« November 2022 | Main | January 2023 »

December 2022

2022.12.31

米国 GAO 軍サイバー人材:兵役義務ガイダンスとデータ追跡を改善する機会の存在 (2022.12.21)

こんにちは、丸山満彦です。

サイバー人材の配備はどこの組織も課題であって、それは米軍でも変わりはないようですね。。。

米軍では、陸海(海兵隊)空軍において、サイバーに関連する職域が設定されているようです(宇宙軍には無いようです...)。ただ、充足率や、高度な訓練を受けた人材に対する定着等についても課題があるようで、勧告が出されていますね。。。

定着のための報奨金とか、不足率等を勘案して、合理的に考えている軍もあるようですね。。。

自衛隊に対して、どれほど参考になるかはわかりませんが、政府機関のみならず、民間企業にとっても(高度な専門家を配属し続けるという意味で)参考になるところがあるかもしれません。。。(仮訳もつけましたが、専門用語、特に軍関係用語がよくわからないので、その辺りは勘弁してくださいませ。。。)

この問題を内部統制の問題(特に統制環境)と位置付けているところが、(当たり前ですが)素晴らしいところだと思います。。。

 

● U.S. Government Accountability Office; GAO

・2022.12.21 Military Cyber Personnel:Opportunities Exist to Improve Service Obligation Guidance and Data Tracking

 

Military Cyber Personnel:Opportunities Exist to Improve Service Obligation Guidance and Data Tracking 軍サイバー人材:兵役義務ガイダンスとデータ追跡を改善する機会の存在
Fast Facts 概要
Military personnel who complete advanced cyber training—which may take a year or more and costs DOD hundreds of thousands of dollars—may not remain in the military for a significant time after training. 高度なサイバー訓練を修了した軍人は、1年以上かかることもあり、国防総省は何十万ドルも負担するが、訓練後、かなりの期間、軍に残らないこともある。
We found that 2 of the 4 military services are not positioned to ensure adequate return on their investment in advanced cyber training. While the Navy and Air Force require 3 years of active duty, the Marine Corps has no guidance for this area and Army guidance does not clearly define active duty service obligations. 我々は、4つの軍事サービスのうち2つが、高度なサイバー訓練への投資に対する十分な見返りを確保する立場にないことを発見した。海軍と空軍は3年間の現役勤務を要求しているが、海兵隊にはこの分野に関する指針がなく、陸軍の指針は現役勤務の義務を明確に定義していない。
We recommended clarifying these service obligations and more. これらの兵役義務の明確化などを勧告した。
Ensuring the nation's cybersecurity is a topic on our High Risk List. 国家のサイバーセキュリティを確保することは、当社のハイリスクリストに掲載されているトピックである。
Highlaight ハイライト
What GAO Found GAOの調査結果
The Navy and the Air Force have guidance requiring a 3-year active-duty service obligation for military personnel who receive lengthy and expensive advanced cyber training. This training prepares personnel to fill the Interactive On-Net Operator (ION) work role, identified as critical by U.S. Cyber Command (USCYBERCOM). In contrast, the Marine Corps does not have such guidance. Additionally, the Army's guidance does not clearly define active duty service obligations. Rather, it sets general service obligations based on the length of training. Using the Army's guidance, GAO estimated that active-duty officers receiving ION training may incur a service obligation of about 1.88 years. However, Army officials stated that they lacked the information needed to calculate and implement service obligations for ION training because it is not specifically listed in Army guidance. Army, Marine Corps, and USCYBERCOM officials acknowledged that guidance with clearly defined service obligations for ION training would create a better return on investment for this critical cyber work role. The Army and the Marine Corps have taken steps to clearly define service obligations for ION training, but officials did not know when or if the guidance would be implemented. Until the revised guidance is implemented, the Army and the Marine Corps are unnecessarily limiting their return on investment in ION training. 海軍と空軍は、長くて高価な高度サイバー訓練を受けた軍人に、3年間の現役兵役義務を課すガイダンスを設けている。この訓練は、米サイバー司令部(USCYBERCOM)が重要視しているインタラクティブ・オン・ネット・オペレーター(ION)業務に従事できるようにするためのものである。これに対し、海兵隊にはそのようなガイダンスがない。さらに、陸軍の指針は、現役の兵役義務を明確に定義していない。むしろ、訓練の長さに基づいて一般兵役義務を定めている。GAOは、陸軍のガイダンスを用いて、ION訓練を受ける現役士官は約1.88年の兵役義務を負うと推定した。しかし、陸軍の職員は、ION訓練は陸軍のガイダンスに具体的に記載されていないため、兵役義務を計算・実施するのに必要な情報が不足していると述べている。陸軍、海兵隊、USCYBERCOM の職員は、ION 訓練の兵役義務が明確に定義されたガイダンスがあれば、この重要なサイバー業務の役割に対する投資対効果をより高めることができると認めている。陸軍と海兵隊は、ION 訓練のサービス義務を明確に定義するための手順を踏んでいるが、当局者は、このガイダンスがいつ、あるいはいつ実施されるかは知らなかった。改訂されたガイダンスが実施されるまで、陸軍と海兵隊は、ION訓練への投資対効果を不必要に制限している。
Years of Service Obligation Required in Military Service Guidance for Interactive On-Net Operator (ION) Training インタラクティブ・オン・ネット・オペレーター(ION)訓練のための軍務ガイダンスで要求される兵役義務年数
Rid14_image2_20221231075001

a. GAO estimated these potential obligations, in part based on Army guidance, but ION training is not specifically listed in that guidance making this requirement challenging to implement, according to Army officials

a. GAO は、陸軍のガイダンスに一部基づいて、これらの潜在的な義務を推定したが、陸軍関係者によると、ION 訓練はそのガイダンスに具体的に記載されていないため、この要件の実施は困難であるとのことである。
b. According to Navy documentation and Marine Corps officials, only enlisted personnel in those military services are eligible to train for the ION work role. b. 海軍の文書と海兵隊の職員によると、これらの軍務の下士官兵だけがIONの職務を訓練する資格があるとのことである。
Staffing gaps—the difference between the number of personnel authorized and the number of personnel staffed—existed in some active-duty cyber career fields from fiscal years 2017 through 2021. Specifically, most of the Navy, Army, and Air Force cyber career fields were staffed at 80 percent or higher compared with the number of authorized personnel. However, four of the six Marine Corps career fields were below 80 percent of authorized levels in fiscal year 2021. 2017年度から2021年度にかけて、現役のサイバー職域の一部で、人員配置のギャップ(許可された人員数と人員配置された人員数との差)が存在した。具体的には、海軍、陸軍、空軍のサイバー職域のほとんどは、許可された人員数に対して80%以上の人員配置であった。しかし、海兵隊の6つの職域のうち4つは、2021会計年度には認可されたレベルの80パーセントを下回っていた。
While the military services track cyber personnel staffing levels by career fields, USCYBERCOM uses work role designations to assign personnel to cyber mission teams. However, the Army, Air Force, and Marine Corps do not track staffing data by work role. As a result, military service officials cannot determine if specific work roles are experiencing staffing gaps. Tracking staffing data at the work role level would enable the military services to identify and address staffing challenges in providing the right personnel to carry out key missions at USCYBERCOM. This information is also essential for increasing personnel assigned to USCYBERCOM as planned by the Department of Defense (DOD). 軍サービスが職業分野別のサイバー要員配置レベルを追跡する一方で、USCYBERCOMは業務役割指定を使ってサイバー・ミッション・チームに要員を割り当てている。しかし、陸軍、空軍、海兵隊は職務別の人員配置データを追跡していない。その結果、軍務担当者は、特定の職務が人員不足に陥っているかどうかを判断することができない。職務ごとの人員データを把握することで、軍はUSCYBERCOMの重要な任務を遂行するために適切な人員を提供するという人員面での課題を特定し、対処することができるようになる。この情報は、国防総省(DOD)が計画するUSCYBERCOMに配属される人員の増加にも不可欠である。
Why GAO Did This Study GAOがこの調査を実施した理由
To accomplish its national security mission and defend a wide range of critical infrastructure, DOD must recruit, train, and retain a knowledgeable and skilled cyber workforce. However, DOD faces increasing competition from the private sector looking to recruit top cyber talent to protect systems and data from a barrage of foreign attacks. 国家安全保障の使命を達成し、広範な重要インフラを防衛するために、DODは知識豊富で熟練したサイバー人材を採用、訓練、保持する必要がある。しかし、DODは外国からの攻撃からシステムやデータを保護するために、優秀なサイバー人材を確保しようとする民間企業との競争の激化に直面している。
Senate Report 117-39 accompanying a bill for the National Defense Authorization Act for Fiscal Year 2022 includes a provision for GAO to review retention challenges and service obligations for active-duty cyber personnel. Among other matters, GAO examines the extent to which (1) a service obligation exists for military cyber personnel receiving advanced cyber training and (2) DOD has experienced staffing gaps for active-duty military cyber personnel for fiscal year 2017 through fiscal year 2021 and tracked cyber work roles. GAO reviewed policies and guidance, analyzed staffing data from fiscal years 2017 through 2021, and interviewed DOD and military service officials. 2022会計年度の国防授権法の法案に付随する上院報告117-39には、GAOが現役サイバー要員の保持の課題と兵役義務を検討する条項が含まれている。GAOは他の事項の中で、(1)高度なサイバー訓練を受ける軍サイバー要員に兵役義務が存在すること、(2)DODが2017会計年度から2021会計年度にかけて現役軍サイバー要員の人員不足を経験し、サイバー業務の役割を追跡したこと、について調査した。GAOは、政策とガイダンスを検討し、2017年度から2021年度までの人員配置データを分析し、DODと軍役の職員にインタビューを行った。
Recommendations 勧告

GAO is making six recommendations, including that the Army and Marine Corps clearly define active-duty service obligations for advanced cyber training in guidance, and that the Army, Air Force and Marine Corps track cyber personnel data by work role. DOD concurred with the recommendations.

GAOは、陸軍と海兵隊がガイダンスで高度なサイバー訓練に対する現役の兵役義務を明確に定義すること、陸軍、空軍、海兵隊がサイバー職員のデータを職務別に追跡することなど、6つの勧告を行ってた。DODは勧告に同意した。
Recommendations for Executive Action エグゼクティブ・アクションのための勧告
Agency Affected: Recommendation 影響を受ける機関 勧告
Department of the Army: The Secretary of the Army should ensure that the Office of the Deputy Chief of Staff for Personnel updates Army Regulation 614-200 in a timely manner to clearly define active-duty service obligations for ION training, for the Army's relevant cyber enlisted personnel. (Recommendation 1) 陸軍:陸軍長官は、人事担当参謀本部が陸軍規則614-200を適時に更新し、陸軍の関連サイバー下士官のION訓練に対する現役兵役義務を明確に定義することを確実にすべきである。(勧告1) 
Department of the Army: The Secretary of the Army should ensure that the Office of the Deputy Chief of Staff for Personnel updates Army Regulation 350-100 in a timely manner to clearly define active-duty service obligations for ION training, for the Army's relevant cyber officers. (Recommendation 2) 陸軍:陸軍長官は、人事担当参謀本部が陸軍規則350-100を適時に更新し、陸軍の関連サイバー士官のION訓練に対する現役兵役義務を明確に定義することを確実にすべきである。(勧告2) 
Department of the Navy: The Secretary of the Navy should ensure that the Commandant of the Marine Corps develops guidance in a timely manner to establish active-duty service obligations for ION training. (Recommendation 3) 海軍:海軍長官は、海兵隊司令官が、ION 訓練のための活動義務を確立するためのガイダンスを適時に作成することを確実にすべきである。(勧告3) 
Department of the Army: The Secretary of the Army should ensure that the Chief of Staff of the Army takes the necessary steps to integrate U.S. Cyber Command work roles into the Army's personnel system of record to track cyber personnel data by work role. (Recommendation 4) 陸軍:陸軍長官は、陸軍参謀総長が、米サイバー司令部の業務役割を陸軍の人事システムに統合し、業務役割ごとにサイバー人事データを追跡するために必要な措置をとることを確実にすべきである。(勧告4) 
Department of the Air Force: The Secretary of the Air Force should ensure that the Chief of Staff of the Air Force takes the necessary steps to integrate U.S. Cyber Command work roles into the Air Force's personnel system of record to track cyber personnel data by work role. (Recommendation 5) 空軍:空軍長官は、空軍参謀長が米サイバー司令部の業務役割を空軍の人事システムに統合し、業務役割ごとにサイバー人事データを追跡するために必要な措置を講じることを確実にすべきである。(勧告5) 
Department of the Navy: The Secretary of the Navy should ensure that the Commandant of the Marine Corps takes the necessary steps to integrate U.S. Cyber Command work roles into the Marine Corps' personnel system of record to track cyber personnel data by work role. (Recommendation 6) 海軍:海軍長官は、海兵隊司令官に対し、海兵隊の人事システムに米サイバー司令部の業務役割を統合し、業務役割ごとにサイバー要員データを追跡するために必要な措置を講じることを確実にすべきである。(勧告6) 

 

Report

・[PDF] Highlights

20221231-75627

 

・[PDF] Full Report

20221231-75724

 

・[DOCX] 仮訳

 

 

 

・[PDF] Accessible PDF

20221231-75825

 

 

| | Comments (0)

TCFDコンソーシアム:気候関連財務情報開示に関するガイダンス3.0 事例集 (2022.12.26)

こんにちは、丸山満彦です。

気候関連財務情報開示タスクフォース(TCFD; Task Force on Climate-related Financial Disclosures)フォーラムが、気候関連財務情報開示に関するガイダンス3.0(TCFDガイダンス3.0) 事例集」を公表していますね。。。

こうやって、まとめて事例を見てみると、取り組み内容が豊富になり、開示も充実しましたね。。。

 

TCFDコンソーシアム

・2022.12.26  「気候関連財務情報開示に関するガイダンス3.0(TCFDガイダンス3.0)事例集」の日本語版を公表いたしました。

2022.10.05に発表された、ニュースリリースにリンクしています。。。

で、一番下に事例集があります。。。

 

・[PDF] TCFDガイダンス3.0」(事例集)

20221231-144947

 

 

目次...

1. 索引

2. TCFD 提言に基づく開示の事例

(1) ガバナンス
 ①
取締役会の議題として気候変動が取り上げられていることを記載
 ②
専門委員会の議題として気候変動が取り上げられていることを記載

(2) 戦略
 ①
戦略 a(短期・中期・長期の気候関連のリスクと機会の記述)
 ②
戦略 b(リスクと機会の影響に関する記述)
 ③
戦略b(移行計画)
 ④
戦略 b(イノベーション)
 ⑤
戦略 c(気候関連シナリオを考慮した気候戦略のレジリエンスの記述)

(3) リスクマネジメント

(4) 指標と目標
 ①
温室効果ガス排出量
 ②
金融機関の指標と目標
 ③
企業固有の指標と目標
 ④
報酬

(5) その他
 ① TCFD
提言との対応の示し方
 ②
異なるビジネスモデルを持つ企業の開示方法
 ③
気候変動対応の目的に関する開示
 ④
多様な開示媒体


 

まるちゃんの情報セキュリティきまぐれ日記

2022.10.07 TCFDコンソーシアム:気候関連財務情報開示に関するガイダンス3.0

 

 

| | Comments (0)

2022.12.30

日本公認会計士協会 AICPA「セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに関するTrustサービス規準」の翻訳

こんにちは、丸山満彦です。

電子認証局の運用の適正性の監査などで知られている、Trust Service。以前はWebTrust、SysTrustといった名称でロゴもつくっていましたが、電子認証局の運用の適正性を監査するWebTrust for CA等を除いて、あまり一般化していませんでした。。。しかし、昨今のサプライチェーンリスク(システムやデータの委託先管理)の問題でクラウド事業者がSOC1報告書に加えて、SOC2報告書、SOC3報告書を公表し始めたこともあり、少しまた話題になりますかね。。。

今回日本公認会計士協会から「セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに関するTrustサービス規準」の翻訳が公表されていますが、2017年版のTrust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacyに基づいて、日本公認会計士協会が2018.09.18に公表したものです。。。

2022.12.28にIT委員会研究資料第10号「セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに関するTrustサービス規準」が廃止されたために、別途載せたものです。。。

 

日本公認会計士協会

・2022.12.28 AICPA「セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに関するTrustサービス規準」の翻訳の公表について

 

・[PDF] セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに関するTrustサービス規準(日本語訳)


20231219-51529

・[DOCX] ワードに変換してみました。。。

 

ただ、この元になった2017年版は 2022.10.25に変更されているんですよね。。。

 

● AICPA

・2022.10.25 2017 Trust Services Criteria: See what’s changed

変更点がわかる赤線付...

・[PDF] Trust Services Criteria (Red-Lined Version) [downloaded]

20231219-65545

 

2017年版...

● Wiley.Com

・[PDF] 2017 Trust Service Criteria Supplement B - 2017 Trust Services Criteria for Security,Availability, Processing Integrity,Confidentiality, and Privacy

 

 

 

| | Comments (0)

Belfer Center: Web3関連のイベント(構築、投資、政策立案)(2022.10.20-12.01)

こんにちは、丸山満彦です。

米国のハーバード大学にあるベルファ科学国際問題センター [wikipedia]が、2022.10.20, 11.17, 12.01に、Web3に関する「構築」、「投資」、「政策立案」に関するイベントを開催していますが、「政策立案」の議論について、ブログが公開されていますね。。。

 

Belfer Center for Science and International Affairs, Harvard Kennedy School

・2022.12.16  Event Recap: Policymaking in Web3

 

Event Recap: Policymaking in Web3 イベントレポートWeb3における政策立案
Authors: 著者紹介
· Helena Rong · ヘレナ・ロン
· Sarah Hubbard · サラ・ハバード
Dec. 16, 2022 2022年12月16日
On December 1st, we hosted our third and last panel Policymaking in Web3 as part of our three-part Perspectives in Web3 Virtual Series. We were joined by legal scholars, lawyers and policy researchers who work at the forefront of this domain, including Primavera De Filippi, Research Director at the National Center of Scientific Research and Faculty Associate at Harvard’s Berkman-Klein Center for Internet & Society; Connor Spelliscy, Executive Director of the DAO Research Collective; Miles Jennings, General Counsel and Head of Decentralization of a16z Crypto; David Kerr, Principal of Cowrie LLC; and Lindsey Kelleher, Senior Policy Manager at Blockchain Association. 12月1日、3回にわたって届けてきた「Perspectives in Web3 Virtual Series」の第3回目、そして最後のパネル「Web3の政策立案」を開催した。今回は、この領域の最前線で活躍する法学者、弁護士、政策研究者の方々、国立科学研究センター研究部長でハーバード大学バークマン-クライン・センター教授でもあるプリマヴェーラ・デ・フィリッピ氏、DAOリサーチ・コレクターのエグゼクティブ・ディレクターであるコナー・スペリスキー氏に参加いただき、「Web3における政策立案」をテーマに議論した。プリマベラ デ フィリッピ氏、DAO Research Collective エグゼクティブディレクターコナー スペリシー氏、a16z Crypto ゼネラルカウンセル兼分散化担当マイルズ ジェニングス氏、Cowrie LLC 代表デビッド カー氏、ブロックチェーン協会 上級政策マネージャーリンジー ケレハー氏など、この分野の最前線で活躍する研究者が参加している。
Here are some key takeaways from the event: ここでは、イベントの主な内容を紹介する。
· There is a growing need for regulatory clarity surrounding web3 innovations in keeping with consumer/investor protection and market integrity. The most notable proposed pieces of legislation are the DCCPA in the U.S., MiCA in the EU, proposals of stablecoin rules in Singapore, and retail crypto ETF authorization plan in Hong Kong. · 消費者・投資家保護と市場の健全性を維持するために、Web3のイノベーションを取り巻く規制を明確にする必要性が高まっている。最も注目すべき法案は、米国のDCCPAEUMiCA、シンガポールのステイブルコインルールの提案、香港のリテール暗号ETF認可計画などである。
· Regulators need to pay attention to the nuances of the technology and provide different ways to comply with the same regulatory objective, including considering technological solutions that can be recognized as regulatory equivalent to existing legal protections. Web3 practitioners and regulators should work together to define novel ways of complementing self-regulations with governmental regulations. · 規制当局は、技術のニュアンスに注意を払い、既存の法的保護と同等の規制として認識される技術的解決策を検討するなど、同じ規制目的を遵守するためのさまざまな方法を提供する必要があるのである。Web3の実務者と規制当局は、自己規制と政府規制を補完する新しい方法を定義するために協力する必要がある。
· The borderless nature of web3 technologies brings jurisdictional challenges that current regulations do not yet address, including the question of international taxation. · Web3 技術のボーダーレス化は、国際的な課税の問題など、現行の規制ではまだ対処できない管轄権の問題をもたらす。
· Current DAO LLC regulations are insufficient in addressing the needs of DAOs. The unincorporated nonprofit association (UNA) entity is the current ideal strategy for domestic filing for DAOs. · 現在のDAO LLCの規制は、DAOのニーズに対応するには不十分である。DAOの国内申請には、非法人化された非営利団体(UNA)事業体が現在の理想的な戦略である。
· Ample resources are available for learning more about and engaging more with the intersection of public policy and web3, including the Blockchain Association, Coincenter, European Crypto Initiative, and COALA. · ブロックチェーン協会コインセンターヨーロッパ暗号イニシアチブCOALAなど、公共政策とWeb3の交差点について学び、より深く関わるためのリソースが豊富に用意されている。
Current regulatory landscape for web3 Web3に関する現在の規制状況
Web3 innovations such as cryptocurrency, decentralized finance (DeFi), and decentralized autonomous organizations (DAOs) face immense compliance challenges due to legal and regulatory uncertainties. Given the complexity of the technology stack and nascency of the industry, it took the last five to seven years for regulators to become educated about the technology and many more are still grappling with learning about the technology. As the field grows and expands, policymakers are increasingly aware of the urgent need to provide legal certainties for the field in order to ensure consumer and investor protection and market integrity. Our panelists walked us through several key pieces of legislation around the world concerning web3 regulation. 暗号通貨、分散型金融(DeFi)、分散型自律組織(DAO)などのWeb3イノベーションは、法律や規制の不確実性から、膨大なコンプライアンス上の課題に直面している。技術スタックの複雑さと業界の新しさを考慮すると、規制当局がこの技術について教育を受けるには過去57年かかり、さらに多くの人々がまだこの技術について学ぶことに取り組んでいるところである。この分野の成長と拡大に伴い、政策立案者は、消費者・投資家保護と市場の健全性を確保するために、この分野に法的確実性を与えることが急務であることをますます認識するようになっている。本セミナーでは、Web3に関する世界各国の主要な法規制を紹介した。
In the U.S., the Digital Commodities Consumer Protection Act (DCCPA) provides the Commodity Futures Trading Commission (CFTC) the authority to regulate “digital commodities” and “digital commodity platforms.” Under the DCCPA, crypto assets will be classified as commodities as opposed to securities which would grant the CFTC jurisdiction over crypto spot markets. Spellicy highlights some of the industry’s key concerns with DCCPA, including the de facto ban of De-Fi by applying the same rules to decentralized protocols/smart contracts and centralized intermediaries, and the lack of clear distinction between “digital commodity” and “digital security” and thus the unclear dividing line between responsibilities of the CFTC and those of the SEC. 米国では、デジタル商品消費者保護法(DCCPAにより、商品先物取引委員会(CFTC)に「デジタル商品」及び「デジタル商品プラットフォーム」を規制する権限が付与されている。DCCPAの下では、暗号資産は証券ではなく商品として分類され、CFTCに暗号スポット市場の管轄権を与えることになる。Spellicyは、分散型プロトコル/スマートコントラクトと集中型仲介機関に同じルールを適用することによる事実上のDe-Fiの禁止、「デジタル商品」と「デジタル証券」の明確な区別がなく、CFTCSECの責任の分界が不明であることなど、DCCPAに関する業界の主要な懸念事項をいくつか取り上げている。
In Europe, Markets in Crypto-Assets (MiCA) is a comprehensive bill proposed by the European Commission to streamline DLT and virtual asset regulation in the EU that is planned to take effect in April 2024. It is designed to address crypto-assets such as cryptocurrencies, security tokens and stablecoins that are not currently governed by any existing financial services legislation. A notable omission of MiCA is the topic of DeFi, whose complexity and legal ambiguities warrants a separate investigation that sits outside the current scope of MiCA. In regulating stablecoins, the MiCA legislation proposes to place a cap on the size of crypto assets that are linked to non-euro dominated stablecoins circulating in the EU to 1 million transactions and 200 million euros in transaction value in order to protect the use of euro-dominated stablecoins. Dr. De Filippi points out an important dichotomy that the bill currently does not sufficiently recognize: the difference between stablecoins issued by centralized entities and collateralized algorithmic stablecoins that do not have an entity that manages its token issuance. Lack of distinction between the two could cast enormous compliance challenges for the latter as it becomes impossible to ask for an authorization to operate in the EU. For web3 builders who work with collateralized algorithmic stablecoins, Spelliscy urges them to pay particular attention to MiCA as it would have drastic implications for whether algorithmic stablecoins are even allowed to exist once the bill is enacted. 欧州では、Markets in Crypto-Assets (MiCA)が欧州委員会により提案され、20244月に施行が予定されているEUにおけるDLTおよび仮想資産規制の合理化を図る包括的な法案である。暗号通貨、セキュリティ・トークン、ステイブルコインなど、現在、既存の金融サービス法が適用されていない暗号資産に対応するためのものである。その複雑さと法的曖昧さにより、MiCA の現在の適用範囲外である別の調査が必要とされている。ステイブルコインの規制において、MiCA法案は、ユーロ支配のステイブルコインの使用を保護するため、EU域内で流通する非ユーロ支配のステイブルコインにリンクする暗号資産の規模に、取引件数100万件、取引額2億ユーロという上限を設けることを提案している。デ・フィリップ博士は、現在法案が十分に認識していない重要な二分法として、中央集権的な主体が発行するステイブルコインと、トークン発行を管理する主体を持たない担保付きアルゴリズムステイブルコインの違いを指摘している。両者の区別がない場合、後者にとってはEUでの運用認可を求めることが不可能となり、膨大なコンプライアンス上の課題を投げかけることになりかねません。担保付アルゴリズムステイブルコインを扱うWeb3ビルダーにとって、法案が成立すればアルゴリズムステイブルコインが存在することさえ許されるかどうかに劇的な影響を与えるため、スペリスシーはMiCAに特に注目するよう促している。
Prompting regulators to pay attention to the nuances of the technology, Dr. De Filippi highlights the need for regulators to provide different ways to comply with the same regulatory objective. For policymakers, there needs to be recognition of to which extent there is risk with different systems, and to which extent specific technological guarantees may even lower the risk or at least increase the transparency and respond to regulatory requirements, and thus be recognized as regulatory equivalent to existing legal protections. This way, self-regulation can more easily interface with and complement governmental regulations to get the best of both worlds of the private sector and government, “by bringing practitioners in the blockchain space to engage with regulators so as to propose technical solutions that can be regarded as fulfilling the same policy objectives as existing regulatory frameworks.” 規制当局に技術のニュアンスに注意を促すため、デ・フィリップ博士は規制当局が同じ規制目的を遵守するための異なる方法を提供する必要性を強調している。政策立案者にとっては、異なるシステムでどの程度までリスクがあるのか、また、特定の技術的保証がどの程度までリスクを下げたり、少なくとも透明性を高め、規制要件に対応できるのか、その結果、既存の法的保護と同等の規制として認められる必要がある。このように、自己規制は、より簡単に政府の規制とインターフェースし、補完することができます。"ブロックチェーン空間の実務家が規制当局と関わることで、既存の規制フレームワークと同じ政策目的を満たすとみなされる技術的ソリューションを提案することができます。"民間セクターと政府の両方の世界の長所を手に入れることができるのである。
Across the Pacific, Singapore, Hong Kong, and India are at the forefront of crypto regulations. Kelleher introduced several key policy discussions in Asia. The Monetary Authority in Singapore (MAS) recently published two papers on regulating cryptocurrency payments and stablecoin-related activities. In addition, to support the development of De-Fi and understand its opportunities and risks areas, the MAS also recently launched Project Guardian, which is a pilot project between JP Morgan, DBS and SBI Digital Asset Holdings to experiment with cross-border transactions of tokenized currencies and government bonds. In Hong Kong, regulators are searching for ways to open up a mature crypto market to retail investors by authorizing crypto ETFs that would give investors access to mainstream crypto assets with the appropriate investor guardrails. India on the other hand, aims to develop standard operating procedures (SOPs) for cryptocurrencies during its G20 presidency this winter. 太平洋を挟んで、シンガポール、香港、インドが暗号規制の最前線にいる。ケレハー氏は、アジアにおけるいくつかの重要な政策議論を紹介した。シンガポール金融管理局(MAS)は最近、暗号通貨決済とステーブルコイン関連活動の規制に関する2つのペーパーを発表した。また、デフィの発展を支援し、そのチャンスとリスク領域を理解するために、MASは最近、JPモルガン、DBSSBIデジタルアセットホールディングスによるパイロットプロジェクトであるプロジェクトガーディアンを立ち上げ、トークン化通貨と国債のクロスボーダー取引を実験しているところである。香港では、規制当局が個人投資家に成熟した暗号市場を開放する方法を模索している。暗号ETFを認可することで、投資家は適切な投資家のガードレールを備えた主流の暗号資産にアクセスできるようになる。一方、インドは今冬のG20議長国として、暗号通貨に関する標準業務手順書(SOP)の策定を目指している。
When asked to comment on which geography is ahead of the game in terms of regulation, our panelists agree that the EU is currently taking the spearhead lead, particularly in the realm of stablecoin regulations, albeit still lacking more nuanced differentiation of the different types of stablecoins. The omission of De-Fi in the current version of MiCA gives buffer space for policymakers to understand the technology and to provide the most appropriate regulatory frameworks for the technology. But until then, entrepreneurs are again facing uncertainty as they continue to build products in the space. 規制の面でどの地域が先行しているかという質問に対して、パネリストたちは、特にステイブルコインの規制の領域では、まだ異なる種類のステイブルコインについてのより微妙な区別が欠けているとはいえ、現在EUが先行していることに同意している。MiCAの現行版でDe-Fiが省かれたことで、政策立案者がこの技術を理解し、この技術に最も適した規制の枠組みを提供するためのバッファスペースが生まれました。しかし、それまでは、起業家はこの領域で製品を作り続けながら、再び不確実性に直面することになる。
Regulatory environment post-FTX ポストFTXの規制環境
Given the domino effects that come from the downfalls of FTX and Terra/Luna in recent times, much regulatory scrutiny has focused on the urgency of providing consumer and investor protection. Sharing similar views as panelists from our Investing in Web3 event, our panelists contend that the collapse of FTX is a tale of corporate fraud rather than due to any defects of the technology itself. Jennings stresses that while it is beneficial to have regulatory oversight of crypto spot markets, it is crucial for regulators to tell the distinction between good-faith actors innovating in decentralized technologies within the ecosystem versus violators of securities laws that could well exist in any industry, the latter deserving much more attention and resources for investigation from the SEC to prevent similar financial fiascos from occurring in the future. FTXとTerra/Lunaの破綻から派生したドミノ効果を考えると、消費者と投資家の保護が急務であることが、多くの規制当局の監視の焦点となっている。今回のイベント「Web3における投資」のパネリストと同様の見解を持つパネリストは、FTXの破綻は技術自体の欠陥によるものではなく、企業の不正行為によるものだと主張している。ジェニング氏は、暗号スポット市場の規制監視は有益であるが、規制当局は、エコシステム内の分散型技術に革新をもたらす善意の行為者と、どの業界にも存在し得る証券法違反者を区別することが重要であり、後者は将来同様の金融大混乱を防ぐためにSECからもっと注目と調査のための資源を受ける価値があると強調した。
Adding a layer of jurisdictional complexity of crypto regulations, Kelleher notes that the solvency of FTX U.S. Derivative (formerly known as LedgerX) owes to the strict oversight of the CFTC, while the absence of regulatory oversight for the company’s operations abroad largely led to FTX’s ultimate downfall, underlining the benefits of having clear and transparent rules. However, the challenge remains that policymakers should provide a sensible regulatory environment that both encourages innovation and mitigates potential risks, rather than enforcing one-size-fits-all umbrella solutions that could stifle innovation and steer away entrepreneurs from innovating within their jurisdictional borders. Kerr raises the point that “web3 is not a zero-sum game between centralization and decentralization.” Although technology today has allowed for robust forms of decentralization to combat undesirable privatized control over technology platforms found in web2, this does not mean centralization has no role in a decentralized ecosystem. According to Kerr, “where the harm or the activity was effectively regulated in web2 should provide the map for web3 and it is only the areas where the technology fundamentally changes the existing operations or relationship between parties that would require new or different regulatory structures at all.” FTX U.S. Derivative(旧LedgerX)の支払い能力はCFTCの厳格な監督に負うところが大きいが、同社の海外事業に対する規制監督の欠如はFTXの最終的な破滅につながったとケレハー氏は指摘し、明確で透明性の高い規則を持つことの利点を強調している。しかし、政策立案者は、イノベーションを阻害し、起業家を国境内でのイノベーションから遠ざけるような画一的な解決策を強制するのではなく、イノベーションを奨励し、潜在的なリスクを軽減する賢明な規制環境を提供すべきであるという課題は残されている。カー氏は、「Web3は、中央集権と地方分権のゼロサムゲームではない」と指摘する。今日のテクノロジーは、web2に見られるようなテクノロジー・プラットフォームに対する望ましくない民営化支配に対抗するため、強固な分散化を可能にしたが、だからといって、分散化されたエコシステムにおいて中央集権が何の役割も持たないというわけではない。カー氏によれば、「web2において害や活動が効果的に規制されていたところは、web3の地図を提供すべきであり、技術が既存のオペレーションや当事者間の関係を根本的に変えるような分野でのみ、新しい、あるいは異なる規制構造が全く必要ない」とのことである。
In the past, regulation has often relied on informational reporting and compliance provided by intermediaries. However, Kerr argues that such an approach is ineffective and outdated for web3 applications that do not have intermediated transactions. To confront the new technological reality of the present, governments themselves should update their own toolbox and methodologies of investigation. To this end, our panelists emphasize the need for collaboration between practitioners and policymakers in this space to search for novel ways of cultivating and sustaining a healthy and safe Internet ecosystem. これまで規制は、仲介者が提供する情報報告やコンプライアンスに依存することが多かった。しかし、カー氏は、仲介者のいないWeb3アプリケーションでは、このようなアプローチは効果がなく、時代遅れであると主張している。現在の新しい技術的現実に立ち向かうために、政府自身が調査のツールボックスと方法論を更新する必要がある。このため、パネリストたちは、健全で安全なインターネット生態系を育成・維持するための新しい方法を模索するために、この分野の実務家と政策立案者が協力する必要性を強調している。
Taxation and jurisdictional challenges 課税と裁判管轄の課題
Designing jurisdictional orders over a borderless Internet technology has practical challenges. Kerr shared with us his experience working in the realm of taxation and highlighted key jurisdictional challenges relating to taxes. International taxation on technologies has been affected by the concept of “base erosion,” which refers to corporate tax planning strategies adopted by multinational enterprises to exploit gaps and mismatches in tax rules in order to avoid paying tax. The utilization of borderless technology eliminates the idea of “physical nexus” and results in the need for “economic nexus,” which allows jurisdictions to collect sales taxes based on a set threshold of sales revenue rather than the physical presence of a business in the jurisdiction. Current discussions on crypto often revolve around the technology itself, but there are huge unsettled issues in the matter of international taxation in regards to fair apportionment of where taxes should be assessed, who should pay, what qualifies as a nexus requirement, and what should be shared between jurisdictions. These issues deserve attention from the international community to define a responsible tax position in a world where the type of technology at hand is innately adverse to a clear path towards taxation. ボーダーレスなインターネット技術を利用した裁判管轄の設計は、現実的な課題を抱えている。カーは、税務の領域で働いた経験をもとに、税務に関連する主要な法域の課題を紹介した。テクノロジーに関する国際課税は、多国籍企業が税制上のギャップやミスマッチを利用して納税を回避する法人税対策「ベース・エロージョン」という概念の影響を受けている。ボーダーレス技術の活用により、「物理的ネクサス」という考え方はなくなり、「経済的ネクサス」が必要となる。これは、管轄区域における事業の物理的存在ではなく、売上高の設定基準に基づいて売上税を徴収することを可能にするものである。暗号に関する現在の議論は、しばしば技術そのものを中心に展開されますが、税金を課すべき場所、支払うべき人、ネクサスの要件として適格なもの、管轄区域間で共有すべきものの公正な配分に関して、国際課税の問題では大きな未解決の問題がある。このような問題は、国際社会が責任ある課税のあり方を定義する上で、注目に値するものである。
Regulating DAOs DAOの規制
In order to incentivize entrepreneurship and innovation, we must give entrepreneurs the tools they need to succeed. DAO legal entity structures is one of the critical tools and protections that web3 entrepreneurs currently lack. Through their work at a16z crypto, カー氏 and Jennings have been exploring legal frameworks and entities for DAOs in a series of US-focused legal research and frameworks for DAOs. This exploration into legal frameworks had found that the unincorporated nonprofit association (UNA) entity was the current ideal strategy for domestic filing. “The UNA is a compelling alternative that provides legal existence to unincorporated organizational forms, which is analogous to what most DAOs represent…. The structure is operationally flexible, adheres to the tenets of decentralization (governance by token holders, anonymity, etc.) and despite the name, is not prohibited from earning profits,” Kerr and Jennings state in their piece How to pick a DAO legal entity. 起業家精神とイノベーションを奨励するために、我々は起業家が成功するために必要なツールを与えなければならない。DAOの法的実体構造は、Web3の起業家が現在欠けている重要なツールや保護の1つである。a16z cryptoでの仕事を通じて、カー氏とJenningsは、米国に焦点を当てた一連のDAOのための法的枠組みやエンティティを調査してきた。この法的フレームワークへの探求は、非法人化非営利団体(UNA)エンティティが、国内出願のための現在の理想的な戦略であることを見出していた。UNAは、法人格のない組織形態に法的実在性を与える説得力のある選択肢であり、ほとんどのDAOが代表するものと類似している......」。この構造は運営上柔軟性があり、分散化の信条(トークン保有者によるガバナンス、匿名性など)を守り、名前に反して利益を得ることが禁止されていない」と、カー氏とジェニング氏はその作品How to pick a DAO legal entityの中で述べている。
In the U.S., several states have begun to introduce DAO LLC laws, such as Wyoming, Tennessee and Vermont. Overall, the panelists agreed that this was a great step forward on the part of legislators to be willing to learn, listen, and create a solution. However, the issue with these current laws is that they still have many LLC requirements that do not quite align with the nature of DAOs. For example, DAOs with anonymous membership will have a very difficult time proving the breakdown of ownership typically required in an LLC. These bills were also lacking annotations that help explain the applications in practice or what had to be included to stay consistent with existing legal principles. Overall, the bills as they stand today are not too unique or helpful for DAOs over a traditional LLC. But the states’ desire and willingness to iterate and experiment is ultimately conducive for advancing the field from a legal perspective. In the short-term, states have a role to play in developing these legal entity forms, but in the long-term they will need to collaborate at the federal level on tax policy. 米国では、ワイオミング州、テネシー州、バーモント州など、いくつかの州でDAO LLC法の導入が始まっている。全体として、これは立法者側が学び、耳を傾け、解決策を生み出そうとする素晴らしい一歩であるというのがパネリストの一致した意見であった。しかし、これらの現行法の問題点は、DAOの性質に全くそぐわないLLCの要件がまだ多く残っていることである。例えば、匿名組合員のDAOは、LLCで一般的に要求される所有権の内訳を証明することが非常に困難である。また、これらの法案には、実際の適用を説明するための注釈や、既存の法原則と整合性を保つために含まれなければならないものが欠けていた。全体として、現在の法案は、従来のLLCと比較して、DAOにとってあまりユニークでもなく、有用でもない。しかし、各州が反復し、実験しようとする意欲は、最終的に法的観点からこの分野を発展させることにつながる。短期的には、各州はこのような法人形態を発展させる役割を担っているが、長期的には、連邦レベルでの税制面での協力が必要になってくるだろう。
An alternative approach with an international lens that Dr. De Filippi described is the DAO Model Law proposed by COALA. Given that DAOs are operating at such a transnational level, this approach explores specific ways that policy objectives can be accomplished with technological guarantees. For example, certain DAOs could potentially qualify for legal personality or some partial legal liability if their technical design meets some conditions. Instead of taking the “stick” approach of using regulation to punish, DAOs could be incentivized with the “carrot” (activities they seek to do such as hiring, entering contracts, property) by implementing technological guarantees that are equivalent to traditional regulatory compliance. デ・フィリップ博士が紹介した国際的なレンズを持つ別のアプローチとして、COALAが提案するDAOモデル法がある。DAOが国境を越えたレベルで運営されていることを踏まえ、このアプローチでは、技術的な保証によって政策目標を達成するための具体的な方法を探っている。例えば、ある種のDAOは、その技術設計がある条件を満たせば、法人格を取得したり、部分的な法的責任を負う可能性がある。規制によって罰するという「棒」のアプローチではなく、従来の規制遵守と同等の技術保証を実施することで、DAOに「人参」(雇用、契約締結、財産などDAOが行おうとする活動)のインセンティブを与えることが可能であろう。
Geopolitics of web3, responsible development ウェブ3の地政学、責任ある開発
As we seek to ensure the responsible development of web3 technologies, questions of national competitiveness, national security, consumer protection, extremism, and free speech came to the fore. Kerr pointed out there are several difficult, thorny issues coming to a head in society we will need to address with or without “web3”. web3の技術を責任を持って発展させるために、国家競争力、国家安全保障、消費者保護、過激派、言論の自由などの問題が前面に出てきた。カー氏は、「web3」の有無にかかわらず、社会的に解決しなければならない困難で茨の道となる問題がいくつかあると指摘した。
Exploring the angle of national security and competitiveness, Jennings noted that the technological development of web3 is already happening, and whether or not particular geographies emerge as leaders in shaping the future of value transfer around the world hinges on the regulatory frameworks that are created for entrepreneurs, and whether there are sufficient support and incentives provided for them to build in this space. In addition, given the intricate relationship between the physical nature of regulatory jurisdictions and the borderless network created by the technology, there are inevitable geopolitical tensions at play when examining the technology from a global perspective, adding additional layers of challenges through which both policymakers and entrepreneurs need to navigate. ジェニング氏は、国家安全保障と競争力という切り口から、web3の技術開発はすでに始まっており、特定の地域が世界の価値移転の未来を形作るリーダーとして台頭するかどうかは、起業家に対してどのような規制の枠組みが作られ、この領域で起業するために十分な支援とインセンティブが提供されるかどうかにかかっていると述べました。さらに、規制当局の物理的性質とテクノロジーが生み出すボーダレスネットワークの複雑な関係を考えると、グローバルな視点からテクノロジーを検討する際には、地政学的な緊張が避けられず、政策立案者と起業家の双方がナビゲートしなければならない課題がさらに増えている。
While a difficult balance to strike, the panelists think that there should not have to be a compromise between technical innovation and consumer protection. Protecting consumers does not necessarily have to come at the cost of constraining the potential of the technology. This is where collaboration will be critical between policymakers and practitioners to develop solutions going forward. バランスをとるのは難しいが、技術革新と消費者保護の間で妥協する必要はない、とパネリストは考えている。消費者保護は、必ずしも技術の可能性を制限する代償を払う必要はないのである。この点については、今後、政策立案者と実務担当者が協力して解決策を講じることが重要である。
Recommendations for further learning about web3 and policy Web3と政策についての更なる学習のための提言
For those who are interested in learning more about the intersection of web3 and public policy, the panelists pointed to a handful of organizations that actively publish educational resources such as the Blockchain Association, Coincenter, European Crypto Initiative, and COALA as helpful starting points. Other advocacy groups such as the Electronic Frontier Foundation and Fight for the Future, while not web3 focused, are also interesting organizations with similar values. Web3と公共政策の接点についてもっと知りたいという人のために、パネリストは、ブロックチェーン協会コインセンターヨーロッパ暗号イニシアチブCOALAなど、積極的に教育リソースを公開している一握りの組織を、出発点として参考になると指摘した。また、電子フロンティア財団や Fight for the Futureなどの提言団体も、Web3にフォーカスしているわけではないものの、同様の価値観を持つ興味深い組織であることがわかる。
The panelists suggested that the best way to learn was to dive-in to understanding the technology, talk with technologists in this space, and to do some writing yourself as a critical thought exercise. Given the complexity and rapid development in web3, we must bridge together builders, investors, and policymakers to create thoughtful technology policy for the future. パネリストは、技術を理解するために飛び込み、この分野の技術者と話し、批判的な思考訓練として自分で文章を書くことが最良の方法であると提案した。Web3の複雑さと急速な発展を考えると、私たちは建設業者、投資家、政策立案者を結び付け、将来のための思慮深い技術政策を作り上げなければならない。
Thank you for following along with our Perspectives in Web3 series– for previous sessions, see the Investing in web3 recap and Building in web3 recap posts. Please feel free to reach out to Sarah Hubbard and Helena Rong  if you have further questions or are interested in future collaborations. 前回のセッションについては、Investing in web3recapBuilding in web3recapの記事を参考すること。質問や今後のコラボレーションにご興味のある方は、Sarah Hubbard Helena Rong まで連絡すること。

 

残りのイベント報告

・2022.12.01 Event Recap: Investing in Web3

・2022.11.16 Event Recap: Building in Web3

 

Publicationdefaultmed


 

情報セキュリティきまぐれ日記

・2022.12.28 デジタル庁 Web3.0研究会報告書

・2022.11.22 経団連 web3推進戦略 (2022.11.15)

・2022.10.14 デジタル庁 Web3.0研究会 第1回 (2022.10.05) + 第2回 (2022.10.12)

・2022.07.19 インド データセキュリティ評議会 Web 3.0 - The Internet of the New Era (2022.07.06)

・2022.07.14 総務省 「Web3時代に向けたメタバース等の利活用に関する研究会」の開催

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2022.06.13 デジタル庁 デジタル社会の実現に向けた重点計画 (2022.06.08)

 

Continue reading "Belfer Center: Web3関連のイベント(構築、投資、政策立案)(2022.10.20-12.01)"

| | Comments (0)

2022.12.29

損保総研レポート 国家の関与するサイバー攻撃とサイバー保険の戦争免責条項について

こんにちは、丸山満彦です。

公益財団法人損害保険事業総合研究所が発行している損保総研レポートの2022.12号に「国家の関与するサイバー攻撃とサイバー保険の戦争免責条項について」という論考が掲載されていますね。。。

戦争免責条項を根拠として保険金支払を拒絶した損害保険会社を提訴した事例や、サイバー保険の料率が上がってきているという話もあり、興味深い報告書だと思いました。。。

 

損害保険事業総合研究所 - 機関誌「損保総研レポート」

・2022.12.24 2022年12月 第141号

 ・[PDF] 国家の関与するサイバー攻撃とサイバー保険の戦争免責条項について

20221228-225605


目次...

1.はじめに

2.サイバー保険市場の概況
(1)全世界における市場規模
(2)元受保険業界の状況
(3)再保険会社等の対応

3.国家の関与によるサイバー攻撃
(1)過去のサイバー攻撃の事例
(2)ロシアによるウクライナ侵攻の影響

4.従来の戦争免責条項

5.戦争免責条項の適用を巡る訴訟事例
(1)Merck 対 Ace American など
(2)Mondelez International 対 Zurich American

6.LMAのサイバー戦争免責条項およびロイズの指示
(1)LMA のサイバー戦争免責条項
(2)免責条項への反応
(3)ロイズの市場参加者への指示

7.研究機関による提案
(1)ジュネーブ協会等による提案
(2)カーネギー国際平和基金による提案

8.戦争リスクなどへの補償提供策
(1)国家によるバックストップ
(2)カタストロフ・サイバーリスク市場
(3)保険リンク証券(ILS)

9.おわりに


要旨

近年、世界的にサイバー攻撃が多発、激化しているが、特に 2022 年 2 月のロシアによるウクライナ侵攻以降、「国家の関与によるサイバー攻撃」に対する懸念が広まっている。国家の関与によるサイバー攻撃に係るリスクは、一般的に広域に同時多発的に被害をもたらし、巨額の損害を発生させる可能性があり、個々の損害保険会社では、対応が困難なリスクの 1 つとなっている。

損害保険業界は、これまでサイバー保険のみならず、ソルベンシーに重大な影響を及ぼすリスクを補償対象から除外する対応の一環として、ほとんどすべての損害保険契約に戦争免責条項を付帯している。

2017 年に世界的に大損害をもたらしたサイバー攻撃により、被害を受けた保険契約者が、戦争免責条項を根拠として保険金支払を拒絶した損害保険会社を提訴した事例が、米国で複数発生している。既に一部の裁判では、原告(保険契約者)の主張を認め、被告(保険会社)に保険金支払を命じた一審判決が出ている。

このような状況を踏まえ、ロイズ保険協会(LMA)などでは、「サイバー戦争免責条項」など新たな免責条項案を作成しているが、これらも課題が指摘されており、更なる改善が望まれる。

技術革新に伴い、サイバーリスクを巡る状況も常に「進化」していることから、わが国の損害保険業界も、最新のサイバーリスクの動向や、諸外国の保険業界の動向を注視しつつ、約款における戦争免責条項のあり方に関する検討など、適切な対策を採る必要がある。


 

参考

2022年2月 第138号

 ・[PDF] 米国を中心とするサイバー保険市場の動向

 

2021年1月 第134号

 ・[PDF] 米国を中心とするサイバーインシデント・サイバー保険市場の動向

 

・2019年1月 第126号

 ・[PDF] サイレント・サイバーリスクを巡る動向 -米国・イギリスを中心に-

 

2018年1月 第122号

 ・[PDF] サイバーセキュリティ対策-人材対策を中心に-

 

2017年7月 第120号

 ・[PDF] 米国におけるサイバー保険の動向

 

・2016年7月 第116号

 ・[PDF] サイバーリスクとサイバー保険-米国の動向を中心として-

 

2015年1月 第110号

 ・[PDF] 米国のサイバー・インシュアランスの動向

 

| | Comments (0)

2022.12.28

デジタル庁 Web3.0研究会報告書

こんにちは、丸山満彦です。

デジタル庁が開催していたWeb3.0研究会から「Web3.0 研究会報告書~Web3.0 の健全な発展に向けて~」が公表されていますね。。。委員の松尾先生が「闊達な議論の末、骨のある報告書になりました」とのことです...


デジタル庁 - Web3.0研究会

・[PDF] Web3.0研究会報告書

20221228-05357

 

1. 総論
(1).
検討の背景と基本的考え方
(2).
検討の方向性
(3). Web3.0
の未来像・目指すべき姿
(4).
未来像・目指すべき姿に向けた制度・規制面の課題
(5).
イノベーション促進策
 ① 対話の場としてのプラットフォーム
 ② 「相談窓口」の設置と課題解消に向けた「関係府省庁連絡会議」の開催
 ③ Web3.0 に係る国際的な情報発信・コンセンサス形成への関与
 ④ 研究開発・技術開発の担い手の育成

(6). Web3.0
の健全な発展に向けた今後の取組

2. デジタル資産
(1).
デジタル資産とそれをめぐる議論
(2).
本研究会における主な議論と対応の方向性
 ① デジタル資産を資金調達手段に用いることについての議論
 ② NFTの法的位置付けの整理
  ア. NFTの基本的性質と決済手段としての活用可能性
  イ. NFTが表章する権利に応じた整理
  ウ. NFTに関する利用者の認識
 ③ NFTの取引をめぐる課題 
 ④ クリエイターやコンテンツ保護の必要性
  ア. NFTの信頼性確保
  イ. NFT プラットフォームの規約の在り方
  ウ. クリエイターに対する情報提供の重要性
 ⑤ セキュリティに関する議論

(3). Web3.0
の健全な発展に向けた基本的方向性

3. 分散型自律組織(DAO)
(1). DAO
とそれをめぐる議論
(2).
本研究会における主な議論と対応の方向性
 ① DAO の位置付け 
 ② DAO の設立目的とそれに応じた議論の優先順位付け
 ③ DAO に対する期待とその実現に向けた方向性
 ④ DAO をめぐる様々な課題と対応の在り方
 ⑤ DAO の法人化をめぐる議論
  ア. DAO の法人化に関する諸外国の動向と日本における課題認識
  イ. 日本における今後の議論の方向性


 

・[PDF] Web3.0研究会報告書の概要

20221228-05553

 

気になってる点というのは、ネットワーク外部性のおかげでGAFAM等に集中しているところがよくないということで、分散(非集中)ということで議論がされることが多いように思うのですが、分散(非集中)というのは、経済的な効率性が高くないことも多く、また既存の類似の制度で代替できることも多いと思われ、いろいろな場面で、小さく利用されることはあるとは思いますが、経済の中心的な存在となることも、社会の不可欠な要素となることもないように感じますが、皆様はどうでしょうかね。。。

 

 

| | Comments (0)

2022.12.27

総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集

こんにちは、丸山満彦です。

総務省、経済産業省、警察庁、内閣官房サイバーセキュリティセンターが、「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集をしていますね。。。

内閣官房サイバーセキュリティセンター

・2022.12.26 基本戦略グループ(第2) 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集について


サイバー攻撃の脅威が高まる中、攻撃を受けた被害組織がサイバーセキュリティ関係組織と被害に係る情報を共有することは、攻撃の全容解明や対策強化を図る上で、被害組織・社会全体の双方にとって有益ですが、実際には、自組織のレピュテーションに影響しかねない情報共有には慎重であるケースも多く見られます。
 そこで、官民の多様な主体が連携する協議体である「サイバーセキュリティ協議会」の運営委員会の下に、「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」(事務局:警察庁、総務省、経済産業省及びサイバーセキュリティ協議会事務局(内閣官房内閣サイバーセキュリティセンター及び政令指定法人JPCERT/CC))を開催し、被害組織の担当部門(システム運用部門、セキュリティ担当、法務・リスク管理部門等)が被害情報を共有する際の実務上の参考となるガイダンスの策定に向けて討議を行いました。
 これを受け、上記検討会において、「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」を作成いたしました。つきましては、同ガイダンス案について、国民の皆様から広く意見を募集いたします。


 

意見募集対象

20221226-224650

目次

用語集

用語集補足

1.はじめに
情報共有とは何か/公表とは何か
なぜ「情報共有をするべき」なのか/公表の社会的意義
本ガイダンスのコンセプト
本ガイダンスの検討経緯
本ガイダンスのスコープ
本ガイダンスを読むにあたって

2.情報共有・被害公表の流れ

3.FAQ
 <情報共有の方法等について>

Q1.
なぜ情報共有が必要なのですか?
Q2.
どのタイミングでどのような情報が共有/公表されますか?
Q3.
「被害組織」とは何ですか?
Q4.
サイバー攻撃被害に係る情報にはどのようなものがありますか?
Q5.
どうやって「情報共有」をすればいいのですか?
Q6.
どのような情報を共有すればいいのですか?
Q7.
「インディケータ情報」とは何ですか?
Q8.
いつ情報を共有すればいいのですか?
Q9.
情報共有活動に参加していない場合、どこに共有すればいいのですか?
Q10.
情報共有を行う上での留意点はありますか?
Q11.
攻撃技術情報の共有とノウハウの共有とは何が違いますか?
Q12.
専門組織同士はどういう情報を共有していますか?
Q13.
なぜ非公開で参加者が限定された情報共有が行われるのですか?

<被害の公表や法令等に基づく報告・届出について>
Q14.
公表の目的は何ですか?
Q15.
公表のタイミングはどのようなものがありますか?
Q16
公表の内容としてはどのようなものがありますか?
Q17.
公表する際の留意点はありますか?
Q18.
警察への通報・相談は、行った方が良いでしょうか?
Q19.
警察に通報・相談することによる業務への影響はあるのでしょうか?
Q20.
所管省庁への任意の報告は、行った方が良いでしょうか?

<被害組織の保護の観点について>
Q21.
公表していないのに自組織の被害が知られて公開されてしまうのはなぜですか?
Q22.
他組織の被害に関する情報を発見した場合、どうしたらよいですか?
Q23.
製品の脆弱性が悪用されていた場合、当該情報はどのように扱えばいいですか?
Q24.
他の被害組織を踏み台として攻撃された場合、当該情報はどのように扱えばいいですか?
Q25.
共有・公表したことで二次被害が出てしまうような情報はありますか?

<攻撃技術情報の取扱いについて>
Q26.
マルウェアに関する情報とはどういうものですか?
Q27.
不正通信先に関する情報とはどういうものですか?
Q28.
攻撃の手口に関する情報とはどういうものですか?
Q29.
専門組織から「見つかった情報を共有活動に展開してよいか?」と尋ねられたらどう判断すればいいですか?
Q30.
情報共有先をどのように指定/制限すればいいですか?
Q31.
専門組織から「分析結果をレポートとして発信してもよいか」と尋ねられたらどう判断すればいいですか?
Q32.
どのような攻撃技術情報であれば速やかに共有することができますか?(公開情報と非公開情報の違いについて)(調査ベンダ向け解説)
Q33.
どのような攻撃技術情報であれば守秘義務契約上の「秘密情報」にあたりませんか?(調査ベンダ向け解説)

4.ケーススタディ
ケース 1:標的型サイバー攻撃
ケース 2:脆弱性を突いた Web サーバ等への不正アクセス
ケース 3:侵入型ランサムウェア攻撃

5.チェックリスト/フローシート


参考資料

20221226-225208

 

「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」

 

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.04.21 総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催


 

| | Comments (0)

2022.12.26

オーストラリア国家監査局 サイバーセキュリティサプライチェーンの管理(連邦警察、税務局、外務貿易省) (2022.12.14)

こんにちは、丸山満彦です。

オーストラリア連邦政府の国家監査局が、連邦警察、税務局、外務貿易省のサイバーセキュリティサプライチェーンの管理についての監査を実施し、報告していますね。。。

それなりに課題があるようです。。。

● Australian National Audit Office: ANAO

・2022.12.14 Management of Cyber Security Supply Chain Risks

・[PDF

20221225-235307

Management of Cyber Security Supply Chain Risks サイバーセキュリティ サプライチェーンリスクのマネジメント
Why did we do this audit? なぜこの監査を行ったのか?
$14.8 billion committed to Information Communications Technology related goods and services in 2021–22 by Australian Government entities. 2021-22年にオーストラリア政府機関が情報通信技術関連の商品とサービスにコミットした額は148億ドル。
Australian Cyber Security Centre (ACSC) has reported that contractors holding government information had a significant increase in malicious cyber activities. オーストラリア・サイバーセキュリティ・センターは、政府情報を保有する請負業者が悪意のあるサイバー活動を大幅に増加させたと報告している。
Previous audits identified high rates of non‐compliance with mandatory Protective Security Policy Framework (PSPF) cyber security requirements and poor administration of government procurements, including monitoring and treatment of non‐compliance with contractual requirements. これまでの監査では、強制的な保護セキュリティポリシーフレームワーク(PSPF)のサイバーセキュリティ要件に対する高い非遵守率や、契約要件に対する非遵守の監視や処置など政府調達の管理不備が指摘されている。
What did we find? 発見事項
The implementation of arrangements by selected entities for managing cyber security risks within procurements and specific contracted providers under the PSPF have not been fully effective. PSPFに基づく調達と特定の契約プロバイダーにおけるサイバーセキュリティリスクマネジメントのための選択された機関による取り決めの実施は、完全には効果的ではなかった。
ATO has largely effective arrangements for assessing and managing procurement cyber security risks in accordance with the PSPF. AFP and DFAT have partially effective arrangements for assessing and managing procurement risks related to cyber security in accordance with the PSPF. オーストラリア税務局は、PSPFに従って調達のサイバーセキュリティリスクを評価・マネジメントするための取り決めを概ね効果的に実施している。オーストラリア連邦警察と外務貿易省は、PSPFに従ってサイバーセキュリティに関連する調達リスクを評価・マネジメントするための部分的に効果的な取り決めを行っている。
AFP and DFAT do not manage compliance of contracted providers with the PSPF requirements for cyber security. ATO had largely established arrangements to manage compliance of their contracted providers with limited assurance over reporting and methods of enforcement of the PSPF requirements for cyber security. オーストラリア連邦警察と外務貿易省は、契約プロバイダーがサイバーセキュリティに関するPSPFの要件を遵守しているかどうかを管理していない。オーストラリア税務局は、契約プロバイダーのコンプライアンスを管理するための取り決めを概ね確立していたが、サイバーセキュリティに関するPSPF要件の報告や実施方法については限定的な保証にとどまっている。
Key facts 主な事実
The Commonwealth Procurement Rules, which govern how entities procure goods and services, was updated in December 2020 to include considerations for cyber security risks. 物品とサービスの調達方法を規定する連邦調達規則が2020年12月に更新され、サイバーセキュリティリスクへの配慮が盛り込まれた。
PSPF Policy 6 and Policy 10 outline the mandatory requirements for non-corporate Commonwealth entities to manage cyber security threats arising from contracted goods and service providers. PSPFポリシー6とポリシー10は、契約した物品とサービスプロバイダから生じるサイバーセキュリティの脅威を管理するための、法人ではない英連邦団体の必須要件を概説している。
51% of non-corporate Commonwealth entities reported not fully implementing PSPF Policy 6 in 2020–21. 51%の非法人連邦機関は、2020-21年にPSPFポリシー6を完全に実施していないと報告した。
72% of non-corporate Commonwealth entities reported not fully implementing PSPF Policy 10 in 2020–21. 72%の非法人連邦機関は、2020-21年にPSPFポリシー10を完全に実施していないと回答している。
Summary and recommendations 概要と提言
Background 背景
1. Australian Government entities deliver a wide range of digital services to the community and hold large volumes of data across their computer networks, some of which is highly sensitive. Australian Government entities rely on a system of organisations, people, activities, information, and resources to deliver digital services and to maintain the security of government computer networks and data. This system can be referred to as an entity’s supply chain.1 1. オーストラリア政府機関は、地域社会に幅広いデジタルサービスを提供し、コンピュータネットワーク上に大量のデータを保有しており、その中には非常に機密性の高いものもある。オーストラリア政府機関は、デジタルサービスを提供し、政府のコンピュータネットワークとデータのセキュリティを維持するために、組織、人、活動、情報、リソースのシステムに依存している。このシステムは、団体のサプライチェーンと呼ばれることがある1。
2. Cyber security continues to be a risk for all Australian individuals, organisations and government entities, with over 67,500 cybercrimes being reported to the Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) in 2020–21 — an increase of 13 per cent since the previous financial year.2 In addition, ACSC has reported that contractors holding government information had a significant increase in malicious cyber activities.3 This increases the cyber security risks arising from an entity’s supply chain as the risks can originate from suppliers, manufacturers, distributors, and retailers that support products and services used by the entity. ACSC recommends that all Australian organisations prioritise the implementation of the Essential Eight Maturity Model (Essential Eight), including knowing their networks and evaluating risks associated with cyber supply chains. 2. サイバーセキュリティは、オーストラリアのすべての個人、組織、政府機関にとって引き続きリスクであり、2020-21年には、オーストラリア信号理事会のオーストラリア・サイバーセキュリティ・センターに67,500件を超えるサイバー犯罪が報告されており、前会計年度から13%増加している2。さらに、オーストラリア・サイバーセキュリティ・センターは、政府情報を保有する契約者に悪質なサイバー活動が大幅に増加したと報告している3 このことから、企業のサプライチェーンから生じるリスクは、企業が用いる製品およびサービスを支える供給者やメーカー、流通業者および小売業者が起源となり得るため増加すると言えます。オーストラリア・サイバーセキュリティ・センター は、オーストラリアのすべての組織が、自社のネットワークを知り、サイバーサプライチェーンに関連するリスクを評価することを含め、Essential Eight Maturity Model (Essential Eight) を優先的に実施することを勧告している。
3. The Attorney-General has established the Protective Security Policy Framework (PSPF) as Australian Government policy and non-corporate Commonwealth entities (NCEs) subject to the Public Governance, Performance and Accountability Act 2013 must apply the PSPF.4 PSPF Policy 5: Reporting on security (Policy 5) sets out the maturity self-assessment model for annual PSPF reporting. The maturity self-assessment model requires entities to assess their security capability and implementation of the PSPF requirements.5 The PSPF specifies that the ‘Managing’ maturity level provides the minimum required level of protection of an entity’s people, information and assets.6 3. PSPF Policy 5: Reporting on Security (Policy 5)は、PSPFの年次報告のための成熟度自己評価モデルを規定している。成熟度自己評価モデルは,事業体に対して,自らのセキュリティ能力と PSPF 要求事項の実施状況を評価するよう求めている5。 PSPF では,成熟度レベル「管理」が,事業体の人,情報,資産の保護に必要な最低限のレベルを提供すると定めている6。
4. Requirements for NCEs to manage cyber security supply chain risks are outlined in PSPF Policy 6: Security governance for contracted goods and service providers (Policy 6) and the Commonwealth Procurement Rules (CPRs). The CPRs were updated in December 2020 to include managing cyber security risks within government procurements and contracts. These are supported by requirements in PSPF Policy 10: Safeguarding data from cyber threats (Policy 10), which outlines the mandatory PSPF cyber security requirements. Since April 2013, the PSPF has mandated NCEs implement four of the ACSC’s Essential Eight Maturity Model, known as the Top Four.7 4. 非法人連邦機関 がサイバーセキュリティのサプライチェーンリスクを管理するための要件は、PSPF 方針 6:契約商品及びサービスプロバイダーのセキュリティガバナンス(方針 6)及び連邦調達規則(CPRs)に概説され ている。CPRは2020年12月に更新され、政府の調達と契約におけるサイバーセキュリティリスクのマネジメントが含まれるようになった。これらは、PSPFポリシー10:Safeguarding data from cyber threats(ポリシー10)の要件によってサポートされており、PSPFサイバーセキュリティの必須要件を概説している。2013 年 4 月以降、PSPF は 非法人連邦機関 に対し オーストラリア・サイバーセキュリティ・センター の「Essential Eight Maturity Model」のうち「Top 4」と呼ばれる 4 項目の実施を義務付けている7。
Rationale for undertaking the audit 監査を実施する理由
5. The ANAO has conducted a series of audits on cyber security and identified ongoing low levels of cyber resilience in NCEs and high rates of non‐compliance with the Top Four mitigation strategies. The high-rates of non-compliance continues to be an issue as AGD’s PSPF Assessment Report 2020–21 indicated 72 per cent of NCEs reported not fully implementing Policy 10 requirements.8 The Top Four mitigation strategies were mandated by the PSPF in 2013. Auditor‐General Report No. 32 2020–21 Cyber Security Strategies of Non‐Corporate Commonwealth Entities noted that: 5. オーストラリア国家監査局 はサイバーセキュリティに関する一連の監査を実施し、非法人連邦機関 のサイバーレジリエンスの 低レベルとトップ 4 の緩和戦略への高い非適合率を確認した。AGD の PSPF アセスメントレポート 2020-21 では、非法人連邦機関 の 72%が政策 10 の要件を完全に実施していないと報告しており、高率の非遵守は引き続き問題である8。監査総長報告書第32号2020-21年非法人連邦機関のサイバーセキュリティ戦略では、次のように指摘されている。
The 2018‐19 PSPF assessment report identified that one of the key challenges faced by the entities who had not achieved the ‘Managing’ maturity level of Policy 10 was reliance on outsourced service providers for information communications technology (ICT) and cyber security services, whereby entities had limited influence or control over the implementation of the mitigation strategies. 9 2018-19年のPSPF評価報告書では、方針10の成熟度レベル「管理」を達成していない事業体が直面する主要な課題の1つは、情報通信技術(ICT)とサイバーセキュリティサービスのアウトソーシングサービスプロバイダーに依存しており、そのため事業体は緩和戦略の実施に対する影響力や制御力が限られていることが確認された。 9
6. The limited influence and control over outsourced service providers of information communications technology (ICT) and cyber security services increases the cyber security risks arising from an entity’s supply chain. The management of cyber security risks within procurements continues to be challenging for NCEs with 51 per cent being reported in AGD’s PSPF Assessment Report 2020–21 as not fully implementing Policy 6. 6. 情報通信技術(ICT)及びサイバーセキュリティサービスの外部委託先に対する影響力と統制力が限定的であるため、事業者のサプライチェーンから生じるサイバーセキュリティリスクが増大する。調達におけるサイバーセキュリティリスクのマネジメントは非法人連邦機関sにとって引き続き困難であり、AGDのPSPF評価レポート2020-21では、51%が方針6を完全に実施していないと報告されている。
7. Auditor‐General Report No. 4 2021‐22 Defence’s Contract Administration — Defence Industry Security Program and Auditor‐General Report No. 6 2021–22 Management of the Civil Maritime Surveillance Services Contract have further indicated poor administration of government procurements, including monitoring and treatment of non‐compliance with contractual requirements. 10 7. 監査役会報告書第4号2021-22国防省の契約管理-防衛産業セキュリティプログラム及び監査役会報告書第6号2021-22民間海上監視サービス契約の管理は、契約要件への不遵守の監視と処置を含む政府調達の管理の不十分さをさらに指摘している。 10
8. The Australian Government has committed $14.8 billion in ICT related goods and services contracts in 2021–22.11 These commitments indicate the Australian Government’s reliance on contracted providers for its ICT capabilities. This dependency on contractors for ICT capabilities and the increase in malicious cyber activities against contractors who hold government information increases the risks associated with government supply chains.12 8. オーストラリア政府は、2021-22年のICT関連の物品およびサービス契約において148億ドルのコミットメントを行った11。これらのコミットメントは、オーストラリア政府がICT能力について契約業者に依存していることを示すものである。このようにICT能力を契約業者に依存し、政府情報を保有する契約業者に対する悪質なサイバー活動が増加することで、政府のサプライチェーンに関連するリスクが高まっている12。
9. This audit was identified as a Joint Committee of Public Accounts and Audit (JCPAA) priority for 2021-22. 9. この監査は、2021-22 年の公会計監査合同委員会(JCPAA)の優先事項として特定された。
10. This audit will examine the effectiveness of the implementation of Policy 6 by selected NCEs and the effectiveness of selected contracted providers’ compliance with the relevant PSPF requirements relating to procurement cyber security risks. It will provide Parliament transparency and insights on the management of procurement cyber security risks.13 10. この監査は、選定された非法人連邦機関による方針6の実施の有効性と、選定された契約プロバイダによる調達サイバーセキュリティリスクに関連するPSPF要件の遵守の有効性を調査するものである。それにより、調達サイバーセキュリティリスクのマネジメントに関する国会の透明性と洞察が得られる13。
Audit objective and criteria 監査の目的及び基準
11. The objective of this audit was to examine the effectiveness of selected NCEs’ arrangements for managing cyber security risks within their procurements and specific contracted providers under the PSPF. 11. 本監査の目的は、PSPFの下での調達及び特定の契約プロバイダにおけるサイバーセキュリティリスクを管理するための選択された非法人連邦機関sの取決めの有効性を調査することであった。
12. To form a conclusion against the audit objective, the ANAO adopted the following two high-level criteria: 12. 監査目的に対する結論を出すために、オーストラリア国家監査局は以下の2つのハイレベルな基準を採用した。
Have entities established effective arrangements to assess and manage procurement risks related to cyber security in accordance with the PSPF requirements? 事業者は、PSPFの要件に従って、サイバーセキュリティに関連する調達リスクを評価・マネジメントするための効果的な取り決めを確立しているか?
Have the contracted providers complied with the relevant PSPF requirements? 契約プロバイダは、関連する PSPF の要求事項を遵守しているか?
13. Three NCEs were included in this audit: 13. 本監査では 3 つの 非法人連邦機関 が対象となった。
Australian Federal Police (AFP); オーストラリア連邦警察
Australian Taxation Office (ATO); and オーストラリア税務局
Department of Foreign Affairs and Trade (DFAT). 外務貿易省
Conclusion 結論
14. The implementation of arrangements by selected entities for managing cyber security risks within procurements and specific contracted providers under the PSPF have not been fully effective. 14. PSPF の下で調達された調達品や特定の契約プロバイダにおけるサイバー・セキュリティ・リスクを管理するための選択された組織による取り決めの実施は、十分に効果的とは言えなかった。
15. ATO has largely effective arrangements for assessing and managing procurement cyber security risks in accordance with the PSPF. AFP and DFAT have partially effective arrangements for assessing and managing procurement risks related to cyber security in accordance with the PSPF. 15. オーストラリア税務局は、PSPFに従って調達のサイバーセキュリティリスクを評価・マネジメントするための取り決めを概ね効果的に実施している。オーストラリア連邦警察と外務貿易省は、PSPFに従ってサイバーセキュリティに関連する調達リスクを評価・マネジメントするための部分的に効果的な取り決めを行っている。
16. AFP and DFAT do not manage compliance of contracted providers with the PSPF requirements for cyber security. ATO had largely established arrangements to manage compliance of their contracted providers with limited assurance over reporting and methods of enforcement of the PSPF requirements for cyber security. 16. オーストラリア連邦警察 と 外務貿易省 は、契約プロバイダがサイバーセキュリティに関する PSPF 要件を遵守しているかどうかを管理していない。オーストラリア税務局は、契約プロバイダーのコンプライアンスを管理するための取り決めを概ね確立していたが、サイバーセキュリティに関するPSPF要件の報告や実施方法については限定的な保証にとどまっていた。
Supporting findings 補足事項
Managing cyber security risks in procurements 調達におけるサイバーセキュリティリスクのマネジメント
17. All three entities have defined roles and responsibilities for managing procurement cyber security risks. The procurement teams are responsible for identifying, assessing, and managing cyber security risks within procurements. The entities have cyber security specialists who can provide advice on cyber security risks associated with a procurement. 17. 3機関とも、調達のサイバーセキュリティリスクをマネジメントするための役割と責任を明確にしている。調達チームは、調達におけるサイバーセキュリティリスクを特定し、評価し、マネジメントする責任を有する。また、調達に伴うサイバーセキュリティリスクについて助言を行うサイバーセキュリティ専門家がいる。
18. None of the three entities’ processes required procurement teams to consult with cyber security specialists when assessing procurement cyber security risks or when considering mandatory PSPF cyber security requirements. Of the three entities, ATO has processes for assisting procurement teams with assessing and managing procurement cyber security risks and consideration of mandatory PSPF cyber security requirements. AFP and DFAT have not implemented processes for assessing and managing procurement cyber security risks, including documenting any assessments performed relating to mandatory PSPF cyber security requirements. 18. 3機関のいずれのプロセスも、調達のサイバーセキュリティリスクを評価する際、あるいはPSPFのサイバーセキュリティ義務要件を検討する際、調達チームにサイバーセキュリティ専門家との協議を義務付けてはいなかった。3機関のうち、オーストラリア税務局は調達サイバーセキュリティリスクの評価とマネジメント、PSPFサイバーセキュリティ必須要件の検討について、調達チームを支援するためのプロセスを有している。オーストラリア連邦警察と外務貿易省は、PSPFのサイバーセキュリティ義務要件に関連して実施された評価の文書化を含め、調達サイバーセキュリティリスクを評価・マネジメントするプロセスを導入していない。
19. All three entities have contract clauses requiring contracted providers to comply with the PSPF, ACSC’s Information Security Manual (ISM) and the respective entities’ policies. ATO performs ongoing assessments of its security terms and conditions to ensure protective security requirements address identified cyber security risks. 19. 3機関とも、契約プロバイダがPSPF、オーストラリア・サイバーセキュリティ・センターの情報セキュリティ・マニュアル(ISM)、各機関の方針を順守することを求める契約条項がある。オーストラリア税務局 は、保護セキュリティ要件が特定されたサイバーセキュリティリスクに対応していることを確認するため、セキュリティ条項の継続的な評価を行っている。
20. DFAT and AFP use contract management plans to specify roles and responsibilities for each contract. ATO has a generic contract management plan that covers ICT contracts and is developing detailed plans for each contracted provider. ATO’s generic contract management plan does not detail roles and responsibilities for each ICT contract. 20. 外務貿易省とオーストラリア連邦警察は、契約管理計画を用いて、各契約の役割と責任を特定している。オーストラリア税務局はICT契約をカバーする一般的な契約管理計画を持ち、各契約プロバイダーの詳細計画を策定中である。オーストラリア税務局の一般契約管理計画には、各ICT契約に対する役割と責任の詳細はない。
21. All three entities have incident management processes within contracting arrangements. ATO is the only entity that has arrangements for monitoring performance against mandatory PSPF cyber security requirements. However, the ATO has not detailed how non-compliance with mandatory PSPF cyber security requirements is to be managed. 21. 3機関とも、契約手配の中で事故管理プロセスを有している。オーストラリア税務局は、PSPFの義務的なサイバーセキュリティ要件に対するパフォーマンスを監視する取り決めをしている唯一の機関である。しかし、オーストラリア税務局 は PSPF のサイバーセキュリティ必須要件に対する不遵守をどのように管理するかについて詳述していない。
22. All selected contracts required contracted providers to adhere to the PSPF, ISM and entity internal policy requirements. None of the entities had processes, performance measures and service level agreements related to managing non-compliance with PSPF, ISM and entity internal policy requirements. Further, none of the entities had processes for verifying the reliability of cyber security related performance information provided by contracted providers. 22. 選択したすべての契約で、契約プロバイダは PSPF、ISM、事業体内部方針の要件を遵守することが求めれていた。どの事業体も、PSPF、ISM、および事業体の内部方針要件への不遵守を管理するためのプロセス、パフォーマンス指標、およびサービス・レベル・アグリーメントを有していなかった。さらに、契約プロバイダが提供するサイバーセキュリティ関連のパフォーマンス情報の信頼性を検証するプロセスを有している事業体はなかった。
23. AFP and DFAT do not monitor compliance against PSPF, ISM and entity internal policy requirements for the selected contracts. ATO has established a Cyber Threat Assurance Program and risk management processes for assessing compliance against mandatory PSPF cyber security requirements. The assurance program included a quarterly audit of contracted provider implementation of the Top Four mitigation strategies. The risk management processes included the use of risk registers to monitor the implementation of some mandatory PSPF cyber security controls and ATO policy requirements. 23. オーストラリア連邦警察 と 外務貿易省 は、選択した契約について PSPF、ISM、事業体内部の方針要件に対するコンプライアンスを監視していない。オーストラリア税務局は、PSPFの強制的なサイバーセキュリティ要件に対するコンプライアンスを評価するためのサイバー脅威保証プログラムおよびリスクマネジメントプロセスを確立した。この保証プログラムには、契約プロバイダーが上位4つの緩和策を実施しているかどうかの四半期ごとの監査が含まれていた。リスクマネジメントプロセスには、PSPF のサイバーセキュリティ必須要件と オーストラリア税務局 のポリシー要件の実施を監視するためのリスクレジスターの使用が含まれていた。
Compliance with PSPF requirements PSPF の要求事項への適合性
24. ATO had processes for ensuring DXC had implemented the required cyber security controls in accordance with the PSPF requirements. DXC had implemented mitigation strategies relating to patching operating systems and application control. 24. オーストラリア税務局は、DXCがPSPFの要件に従って必要なサイバーセキュリティ管理を実施していることを確認するためのプロセスを有していた。DXCは、オペレーティングシステムのパッチ適用とアプリケーション制御に関する緩和策を実施していた。
25. AFP and DFAT had processes for ensuring selected contracted providers had implemented the required cyber security controls in accordance with some of the relevant PSPF requirements. Hitachi had implemented patch management processes for operating systems and applications. AFP had not implemented patch management processes for applications on Hitachi managed servers. Telstra had implemented security measures for restricting administrative privileges to specific network devices. However, Telstra had not implemented patches to operating systems on network devices in accordance with PSPF requirements. 25. オーストラリア連邦警察 と 外務貿易省 は、選定した契約プロバイダーが関連する PSPF 要件の一部に従って要求されるサイバーセキュリティ管理を実施していることを確認するためのプロセスを有していた。日立は、オペレーティングシステムとアプリケーションのパッチマネジメントプロセスを導入していた。オーストラリア連邦警察は、日立が管理するサーバー上のアプリケーションのパッチ管理プロセスを導入していなかった。Telstra社は、特定のネットワーク機器に管理者権限を制限するセキュリティ対策を実施していた。しかし、Telstra社は、PSPFの要件に従って、ネットワークデバイス上のオペレーティングシステムに対するパッチを実装していなかった。
26. ATO has arrangements for monitoring cyber security issues related to the selected contracted provider and specifies contract terms and conditions for monitoring performance for relevant PSPF cyber security and entity policy requirements. None of the entities have specified terms and conditions for managing non-compliance against PSPF and entity internal policy requirements. 26. オーストラリア税務局は、選定された契約プロバイダに関連するサイバーセキュリティ問題を監視するための取り決めを行い、関連するPSPFサイバーセキュリティおよび事業体ポリシー要件に対するパフォーマンスを監視するための契約条件を明記している。どの事業体も、PSPF 及び事業体内部のポリシー要件に対する不遵守を管理するための条件を明記していない。
27. AFP and DFAT do not have contracting arrangements focussed on monitoring cyber security issues and performance against relevant PSPF cyber security and entity policy requirements. 27. オーストラリア連邦警察 と 外務貿易省 は、サイバーセキュリティ問題と関連する PSPF のサイバーセキュリティと組織の方針要件に対する実績の監視に重点を置いた契約上の取決めをしていな い。
28. Of the audited entities, ATO was the only entity that had processes for assessing contracted provider compliance against mandatory PSPF cyber security requirements. ATO had also reassessed cyber security terms and conditions for the selected contract. 28. 監査を受けた団体のうち、PSPF の強制的なサイバーセキュリティ要件に対する契約プロバイダのコンプライアンスを評価する プロセスを持つ団体は オーストラリア税務局 だけであった。またオーストラリア税務局は、選定された契約についてサイバーセキュリティの条件を再評価していた。
29. ATO had some processes for ensuring the accuracy of some performance reporting against relevant PSPF requirements. These processes included verification against other information sources, however, the verification activities were not documented. AFP and DFAT did not have processes for validating the accuracy of performance reporting against relevant PSPF requirements. None of the contracted providers had established assurance mechanisms for verifying the information they provide to entities. 29. オーストラリア税務局は、PSPFの関連要件に対する一部の業績報告の正確性を確保するためのプロセスを有していた。これらのプロセスには他の情報源との照合も含まれていたが、その照合活動は文書化されていなかった。オーストラリア連邦警察と外務貿易省は、関連するPSPFの要件に対する実績報告の正確性を検証するためのプロセスを有していなかった。契約プロバイダーはいずれも、各機関に提供する情報を検証するための保証メカニズムを確立していなかった。
30. All three entities have mechanisms within contracts to address deviations in expected performance, including financial penalties, performance, and service credits, but these mechanisms did not cover cyber security risks or controls.14 AFP has patch management timeframes that deviate from PSPF requirements. 30. 3機関とも、金銭的ペナルティ、パフォーマンス、サービスクレジットを含む、期待されるパフォーマンスの逸脱に対処するメカニズムを契約内に有しているが、これらのメカニズムはサイバーセキュリティリスクやコントロールを対象としていなかった14。
Recommendations  勧告事項
Recommendation no. 1 勧告 No.1
Paragraph 2.15 パラグラフ 2.15
To improve the quality of risk assessments: リスクアセスメントの質を向上させること。
Australian Federal Police and Department of Foreign Affairs and Trade improve processes and guidance for assessing and managing cyber security risks within procurements, including documenting the consideration of mandatory PSPF cyber security requirements; and オーストラリア連邦警察と外務貿易省は、調達におけるサイバーセキュリティリスクの評価と管理のためのプロセスとガイダンスを改善し、PSPF のサイバーセキュリティ必須要件の考慮を文書化することを含む。
Australian Federal Police, Australian Taxation Office and Department of Foreign Affairs and Trade implement processes to assist with identifying when procurement teams are required to consult with cyber security specialists on cyber security risks and mandatory PSPF cyber security requirements. オーストラリア連邦警察、オーストラリア税務局、外務貿易省は、調達チームがサイバーセキュリティリスクと PSPF のサイバーセキュリティ必須要件についてサイバーセキュリティ専門家と協議する必要がある場合の特定を支援するプロセスを導入する。
Australian Federal Police response: Agreed, agreed in part. オーストラリア連邦警察の回答:同意する、部分的に同意する。
Australian Taxation Office response: Agreed. オーストラリア税務局の回答:同意する。
Department of Foreign Affairs and Trade response: Agreed. 外務貿易省の回答:同意する。
Recommendation no. 2 勧告 No.2
Paragraph 2.53 パラグラフ2.53
Australian Federal Police, Australian Taxation Office and Department of Foreign Affairs and Trade should implement processes for verifying the reliability of performance information and managing non-compliance by contracted providers against the PSPF, ISM and entity internal policy requirements, including establishing performance measures focussed on compliance against PSPF, ISM and entity internal policy requirements. オーストラリア連邦警察、オーストラリア税務局、外務貿易省は、パフォーマンス情報の信頼性を検証し、PSPF、ISM、企業の内部方針要件に対する契約プロバイダーの不遵守を管理するプロセスを導入する必要がある。これには、PSPF、ISM、機関の内部方針要件に対する遵守に焦点を当てたパフォーマンス指標の確立が含まれる。

Australian Federal Police response: Agreed. オーストラリア連邦警察の回答: 同意する。
Australian Taxation Office response: Agreed. オーストラリア税務局の回答。 同意する。
Department of Foreign Affairs and Trade response: Agreed. 外務貿易省の回答:同意する。 同意する。
Recommendation no. 3 勧告 No.3
Paragraph 3.26 パラグラフ3.26
To improve monitoring of security controls: セキュリティ管理の監視を改善すること。
Australian Federal Police and Department of Foreign Affairs and Trade specify requirements relating to the implementation and monitoring of the mandatory Protective Security Policy Framework cyber security requirements in contractual arrangements; and オーストラリア連邦警察と外務貿易省は、契約上の取り決めにおいて、強制的な保護セキュリティ方針フレームワークのサイバーセキュリティ要件の実施と監視に関連する要件を明記する。
Australian Federal Police and Department of Foreign Affairs and Trade establish periodic assessments of security terms and conditions of their contracts to address associated cyber security risks. オーストラリア連邦警察と外務貿易省は、関連するサイバーセキュリティリスクに対処するため、 契約のセキュリティ条項と条件について定期的な評価を確立する。
Australian Federal Police response: Agreed, agreed in part. オーストラリア連邦警察の回答:同意する、部分的に同意する。
Department of Foreign Affairs and Trade response: Agreed. 外務貿易省の回答:同意する。
Recommendation no. 4 勧告 No.4
Paragraph 3.37 パラグラフ3.37
Australian Federal Police and Department of Foreign Affairs and Trade specify requirements relating to reporting performance against relevant cyber security and entity policy requirements in contractual arrangements. オーストラリア連邦警察と外務貿易省は、契約上の取り決めにおいて、関連するサイバーセキュリティとエンティティポリシーの要件に対するパフォーマンスの報告に関連する要件を明記する。
Australian Federal Police response: Agreed in part. オーストラリア連邦警察の回答:部分的に同意する。
Department of Foreign Affairs and Trade response: Agreed. 外務貿易省の回答:同意する。
Recommendation no. 5 勧告 No.5
Paragraph 3.46 パラグラフ3.46
To improve quality of performance reporting: パフォーマンス報告の質を向上させるために
Australian Federal Police and Department of Foreign Affairs and Trade establish a performance framework supporting Recommendation 4, including validating the accuracy of performance reporting provided by contracted providers in relation to cyber security; and オーストラリア連邦警察と外務貿易省は、サイバーセキュリティに関して契約プロバイダーが提供するパフォーマンス報告の正確性を検証することを含め、勧告4をサポートするパフォーマンスフレームワークを確立する。
Australian Taxation Office improve processes for verifying performance information provided by contracted providers, including documenting verification activities. オーストラリア税務局は、検証活動の文書化を含め、契約プロバイダーが提供するパフォーマンス情報を検証するプロセスを改善する。
Australian Federal Police response: Agreed in part. オーストラリア連邦警察の回答:部分的に同意する。
Australian Taxation Office response: Agreed. オーストラリア税務局の回答:同意する。
Department of Foreign Affairs and Trade response: Agreed. 外務貿易省の回答:同意する。
Summaries of entity responses 事業体の回答の概要
Australian Federal Police オーストラリア連邦警察
The Australian Federal Police did not provide a summary response. オーストラリア連邦警察から回答要旨は得られなかった。
Australian Taxation Office オーストラリア税務局
The Australian Taxation Office (ATO) welcomes the review and findings that the ATO is largely effective in managing procurement cyber security risks in accordance with the PSPF. The ATO delivers contemporary digital services, supporting effective and secure transactions for the Australian community and maintains security of our organisations’ network and data. The ATO is committed to improving the way in which we manage cyber security supply chain risks and ensuring client interactions with the ATO remain safe and secure. オーストラリア税務局(オーストラリア税務局)は、オーストラリア税務局がPSPFに従って調達サイバーセキュリティリスクを管理する上で概ね有効であるというレビューと調査結果を歓迎する。オーストラリア税務局は最新のデジタルサービスを提供し、オーストラリア社会のために効果的で安全な取引を支援し、組織のネットワークとデータのセキュリティを維持している。オーストラリア税務局はサイバーセキュリティのサプライチェーンリスクの管理方法を改善し、顧客とオーストラリア税務局のやりとりが安全でセキュアであることを保証するために尽力している。
We are pleased that the review recognises the work already performed by the ATO in assessing and managing procurement cyber security risks in accordance with the PSPF. The report found the ATO has established arrangements in managing compliance of contracted providers and monitoring performance against mandatory PSPF cyber security requirements. Further, the ATO has contract management arrangements and performs ongoing assessment of its security terms and conditions to ensure protective security measures address cyber security risks. 我々は、レビューがPSPFに従って調達サイバーセキュリティリスクを評価・管理する上でオーストラリア税務局が既に行っている作業を認識していることを嬉しく思う。報告書によると、オーストラリア税務局は契約プロバイダーのコンプライアンスを管理し、PSPFの必須サイバーセキュリティ要件に対する実績を監視する体制を確立していることが分かった。さらに、オーストラリア税務局は契約マネジメントの取り決めを行い、保護セキュリティ対策がサイバーセキュリティリスクに対応していることを確認するために、セキュリティ条項の継続的な評価を行っている。
The review has identified opportunities for improvement to our risk assessment processes and performance reporting. The ATO operates under the principle of continuous improvement and welcome the findings from the ANAO to further strengthen the procurement program. このレビューにより、リスク評価プロセスとパフォーマンス報告について改善の余地があることが確認された。オーストラリア税務局は継続的な改善の原則のもとに運営されており、調達プログラムをさらに強化するためにオーストラリア国家監査局からの指摘を歓迎する。
Department of Foreign Affairs and Trade 外務貿易省
The Department of Foreign Affairs and Trade (DFAT) welcomes this report and the recommendations directed to the department. 外務貿易省は、本報告書と同省に向けられた勧告を歓迎する。
Whilst we acknowledge the audit findings regarding the International Network Services Agreement (Telstra), we consider the nature of this arrangement is unique and therefore not reflective of the department’s broader activities. The comparison of activities specific to this contract against DFAT’s Protective Security Policy Framework (PSPF) reporting has the potential to misrepresent the department’s cyber security capability across our global network and call into question the appropriateness of our PSPF self-assessments and overall compliance. 我々は、国際ネットワークサービス契約(Telstra)に関する監査結果を認める一方で、この契約の性質が独特であるため、同省の幅広い活動を反映したものではないと考えている。この契約に特有の活動を、外務貿易省の保護セキュリティ・ポリシー・フレームワーク(PSPF)報告と比較することは、グローバルネットワーク全体における同省のサイバーセキュリティ能力を誤って伝え、PSPF自己評価と全体的なコンプライアンスの適切性を疑問視する可能性がある。
As noted in the report and its appendices, DFAT has successfully achieved Essential 8 ‘maturity level 2’ compliance under the ACSC’s E8 maturity model. This achievement is reflective of the department’s significant investment in cyber security in recent years and furthermore, the sophisticated cyber security capability that the department maintains. The department has also embedded the consideration of cyber security risks in its contracting arrangements to align with the procurement framework and relevant policies such as the PSPF. 報告書とその附属書に記載されているように、外務貿易省はオーストラリア・サイバーセキュリティ・センターのE8成熟度モデルの下でエッセンシャル8の「成熟度2」準拠を成功裏に達成した。この成果は、同省が近年サイバーセキュリティに多額の投資を行い、さらに高度なサイバーセキュリティ能力を維持していることを反映するものである。また、同省は、調達の枠組みやPSPFなどの関連政策と整合させるため、契約の取り決めにサイバーセキュリティリスクの考慮を組み込んでいる。
Noting the opportunities to improve, the department will take steps to implement additional processes and policies in line with the report’s recommendations, whilst allowing for whole of government ICT procurement constraints and market conditions. DFAT’s advanced cyber security capability will continue to underpin improvements to departmental policies and processes to ensure cyber security risks are effectively managed. 改善の余地があることを認識した同省は、政府全体のICT調達の制約と市場の状況を考慮しつつ、報告書の勧告に沿った追加のプロセスと政策を実施するための措置を講じる予定である。オーストラリア外務省の高度なサイバーセキュリティ能力は、サイバーセキュリティのリスクが効果的にマネジメントされるよう、省内の方針とプロセスの改善を引き続き支援するものである。
Key messages from this audit for all Australian Government entities この監査から得られた全オーストラリア政府機関に対する主要メッセージ
Below is a summary of key messages, including instances of good practice, which have been identified in this audit and may be relevant for the operations of other Australian Government entities. 以下は、この監査で明らかになった、他のオーストラリア政府機関の業務に関連すると思われる、優れた実践例を含む重要なメッセージの要約である。
Governance and risk management ガバナンスとリスクマネジメント
Assurance arrangements such as the Cyber Threat Assurance Program approach established by ATO to check on the implementation of mandatory PSPF cyber security requirements can assist with monitoring of compliance against cyber security contract requirements. PSPF の強制的なサイバーセキュリティ要件の実施をチェックするために オーストラリア税務局 が設立した「サイバー脅威保証プログラム」のアプローチのような保証の取り決めは、サイバーセキュリティ契約の要件に対するコンプライアンスの監視を支援することができる。
Procurement specialists should ensure that contractual arrangements support the delivery of goods and services to meet the requirements of the entity. 調達専門家は、契約上の取り決めが、事業体の要件を満たす物品及びサービスの提供を支援することを確認する必要がある。
Procurement and contract management 調達と契約管理
Appropriate guidance relating to contracting templates, clauses and tools can help operationalise entity requirements when addressing cyber security risks within procurements and contracts. 契約書のテンプレート、条項及びツールに関する適切な指針は、調達及び契約においてサイバーセキュリティリスクに対処する際に、事業体要件を運用するのに役立つ。
Regular assessment of security terms and conditions when changes in goods, services or business environment occur can assist with achieving government security requirements. 商品、サービス、または事業環境の変化が生じたときにセキュリティ条件を定期的に評価することは、政府のセキュリティ要件の達成を支援することができる。
Procurement and contract management arrangements should include a framework to guide appropriate levels of engagement between procurement and cyber security specialists, such as specifying factors related to the type of procurement and level of risk arising from information communications technology (ICT). 調達及び契約マネジメントの取り決めには、調達の種類や情報通信技術(ICT)から生じるリスクのレベルに関連する要素を明記するなど、調達とサイバーセキュリティの専門家間の適切な関与のレベルを導くための枠組みが含まれるべきである。
Performance and impact measurement パフォーマンス及びインパクトの測定
Cyber security contract terms and conditions that associate performance measures and financial consequences for non-compliance can assist with establishing performance expectations. サイバーセキュリティの契約条件において、パフォーマンス指標及び不遵守の場合の金銭的影響を関連付けることは、期待されるパフォーマンスを確立する上で有用である。
When entities contract for delivery of ICT goods and services, arrangements should be in place that provide equivalent level of assurance over goods and services delivered internally. Entities cannot outsource security responsibilities and need arrangements to assure cyber security controls are implemented, operated, and maintained by contracted providers. 企業がICT製品及びサービスの提供を契約する場合、内部で提供される製品及びサービスと同等のレベルの保証を提供する取り決めを行う必要がある。企業は、セキュリティ責任を外部に委託することはできないため、契約したプロバイダがサイバーセキュリティ管理を実施、運用、維持することを保証する取り決めが必要である。
目次...
Contents 内容
Summary and recommendations 概要と提言
Background 背景
Conclusion 結論
Supporting findings 所見
Recommendations 提言
Summaries of entity responses 各組織の回答概要
Key messages from this audit for all Australian Government entities この監査から得られた全オーストラリア政府機関に対する重要なメッセージ
1. Background 1. 背景
Introduction 序文
Protective Security Policy Framework maturity self-assessment model 保護セキュリティポリシーフレームワークの成熟度の自己評価モデル
Managing cyber security supply chain risk サイバーセキュリティのサプライチェーンリスクマネジメント
Rationale for undertaking the audit 監査実施の理由
Audit approach 監査のアプローチ
2. Managing cyber security risks in procurements 2. 調達におけるサイバーセキュリティリスクのマネジメント
Have entities established an appropriate risk management framework for assessing and managing procurement cyber security risks? 事業者は、調達のサイバーセキュリティリスクを評価し管理するための適切なリスクマネジメントの枠組みを確立しているか。
Have entities established fit-for-purpose contracting arrangements that support the management of procurement cyber security risks? 事業体は、調達サイバーセキュリティリスクのマネジメントを支援する目的に合った契約上の取決めを確立しているか。
Have entities established fit-for-purpose arrangements for the management of contracted providers’ compliance with relevant Protective Security Policy Framework requirements? 事業者は、契約プロバイダが関連する保護セキュリティ方針フレームワークの要求事項を遵守していることを管理するための目的に適った取決めを確立しているか。
3. Compliance with Protective Security Policy Framework requirements 3. 保護セキュリティ方針フレームワークの要求事項への適合性
Have cyber security controls been implemented for relevant Protective Security Policy Framework requirements? 保護政策フレームワークの関連要求事項に対して、サイバーセキュリティの管理が実施されているか。
Is the performance of security controls for relevant Protective Security Policy Framework requirements appropriately monitored? 保護政策フレームワークの関連要求事項に対するセキュリティ管理のパフォーマンスは適切に監視されているか?
Is performance of security controls for relevant Protective Security Policy Framework requirements accurately reported? 保護政策フレームワークの関連要求事項に対するセキュリティ管理の履行は正確に報告されているか。
Appendices 附属書
Appendix 1 Entity responses 附属書1 事業者の回答
Appendix 2 Improvements observed by the ANAO 附属書2 オーストラリア国家監査局が観察した改善点
Appendix 3 Policy 10 and Essential Eight Maturity Model Timeline 附属書3 ポリシー10とエッセンシャルエイトの成熟度モデルのタイムライン
Footnotes 脚注

| | Comments (0)

2022.12.25

米国 バイデン大統領が2023年国防授権法にサインをしましたね。。。

こんにちは、丸山満彦です。

米国 バイデン大統領が2023年国防授権法にサインをしましたね。。。

少し不満そうです...

国民が選んだ議会と国民が選んだ大統領の対立関係もあり得るというところが、良いのかもしれませんね。。。時にスピードが落ちたり、迷走しますが...

 

White House

・2022.12.23 Statement by the President on H.R. 7776, the James M. Inhofe National Defense Authorization Act for Fiscal Year 2023

 

Fig1_20210802074601

Statement by the President on H.R. 7776, the James M. Inhofe National Defense Authorization Act for Fiscal Year 2023 H.R. 7776「2023 年度のジェームズ・M・インホフ国防授権法」に関する大統領の声明
Today, I have signed into law H.R. 7776, the “James M. Inhofe National Defense Authorization Act for Fiscal Year 2023” (the “Act”).  The Act authorizes fiscal year appropriations for the Department of Defense, for Department of Energy national security programs, and for the Department of State, Department of Homeland Security, and the Intelligence Community.  The Act provides vital benefits and enhances access to justice for military personnel and their families, and includes critical authorities to support our country’s national defense, foreign affairs, and homeland security.  While I am pleased to support these critical objectives, I note that certain provisions of the Act raise concerns. 本日、私は H.R. 7776「2023 年度のジェームズ・M・インホフ国防授権法」(以下、「本法」)に署名し、立法化した。  本法は、国防総省、エネルギー省の国家安全保障プログラム、国務省、国土安全保障省、情報機関への年度予算計上を許可するものである。  本法は、軍人とその家族に重要な利益を提供し、司法へのアクセスを強化し、わが国の国防、外交、国土安全保障を支援する重要な権限を含んでいる。  これらの重要な目標を支持することは喜ばしいことだが、本法の一部の条項には懸念があることに留意したい。
Section 1033 of the Act continues to bar the use of funds appropriated to the Department of Defense to transfer Guantánamo Bay detainees to the custody or effective control of certain foreign countries.  Section 1031 of the Act likewise would continue to prohibit the use of such funds to transfer certain Guantánamo Bay detainees into the United States.  It is the longstanding position of the executive branch that these provisions unduly impair the ability of the executive branch to determine when and where to prosecute Guantánamo Bay detainees and where to send them upon release.  In some circumstances, these provisions could make it difficult to comply with the final judgment of a court that has directed the release of a detainee on writ of habeas corpus, including by constraining the flexibility of the executive branch with respect to its engagement in delicate negotiations with foreign countries over the potential transfer of detainees.  I urge the Congress to eliminate these restrictions as soon as possible. 同法第1033条は、グアンタナモ湾の拘禁者を特定の外国の拘禁または実効支配に移すために国防総省に計上される資金の使用を引き続き禁止している。  同法第1031条も同様に、特定のグアンタナモ湾の被拘束者を米国に移送するためにそのような資金を使用することを引き続き禁止している。  これらの規定は、グアンタナモ湾の被拘束者をいつ、どこで訴追し、解放後にどこに送るかを決定する行政府の能力を不当に損なうものであるというのが、行政府の長年の見解である。  状況によっては、これらの規定は、人身保護令状を持つ被拘束者の釈放を指示した裁判所の最終判決に従うことを困難にし、被拘束者の移送の可能性について外国と微妙な交渉を行うことに関して、行政府の柔軟性を制約することも含め、その可能性がある。  私は議会に対し、このような制限をできるだけ早く撤廃するよう強く求める。
Moreover, certain provisions of the Act raise constitutional concerns or questions of construction. さらに、同法の一部の条項は、憲法上の懸念や解釈上の問題を提起している。
A number of provisions of the Act (e.g., sections 1209(c), 1236(a), 1237, 1240, 1276(d), 1640(d), 5510(c), 5593(e), 6316, and 6402) would effectively require the President and other executive branch officials to submit reports and plans to certain congressional committees that will, in the ordinary course, include highly sensitive classified information, including information that could reveal critical intelligence sources or military operational plans.  The Constitution vests the President with the authority to prevent the disclosure of such highly sensitive information in order to discharge his responsibility to protect the national security.  At the same time, congressional committees have legitimate needs to perform vital oversight and other legislative functions with respect to national security and military matters.  Accordingly, it has been the common practice of the executive branch to comply with statutory reporting requirements in a way that satisfies congressional needs pursuant to the traditional accommodation practice and consistent with due regard for the protection from unauthorized disclosure of classified information relating to sensitive intelligence sources and methods or other exceptionally sensitive matters.  I believe the Congress shares this understanding, and my Administration will presume it is incorporated into statutory reporting requirements of the kind at issue in the Act. 同法の多くの条項(例えば、1209(c)、1236(a)、1237、1240、1276(d)、1640(d)、5510(c)、5593(e)、6316、6402条)は、大統領および他の行政府職員に特定の議会委員会への報告書および計画の提出を事実上要求するもので、通常の場合、重要情報源や軍の作戦計画を明らかにし得る情報を含む、極めて機密性の高い機密情報を含むことになる。  憲法は、国家安全保障を守る責任を果たすため、大統領にこのような機密性の高い情報の開示を防ぐ権限を与えている。  同時に、議会の委員会には、国家安全保障と軍事問題に関して重要な監督とその他の立法機能を果たす正当なニーズがある。  したがって、伝統的な慣行に従って議会のニーズを満たし、機密情報源や方法、あるいはその他の例外的な機密事項に関する機密情報の不正な開示からの保護に十分配慮した上で、法定報告要件を遵守することが行政府の一般慣行となってきた。  私は、議会がこの理解を共有していると考えており、私の政権は、本法で問題になっている種類の法定報告要件にこの理解が盛り込まれていると推定している。
Moreover, section 6316 of the Act purports to require the President, acting through the Director of National Intelligence, to submit to certain congressional intelligence committees (and appropriations subcommittees) all Presidential Executive Orders, memoranda, and policy directives that “contain[] a direction to, establish[] a requirement for, or include[] a restriction on any element of the intelligence community.”  My Administration is fully committed to continuing to fulfill its statutory obligations to keep the intelligence committees “fully and currently informed of the intelligence activities of the United States,” 50 U.S.C. 3091, and to provide those committees requested information, 50 U.S.C. 3092(a)(2); see also 50 U.S.C. 3093(b).  However, the documents that section 6316 of the Act would require the President to share would often contain Presidential communications, the confidentiality of which “is fundamental to the operation of Government and inextricably rooted in the separation of powers under the Constitution.”  United States v. Nixon.  Because my Administration’s commitment to keeping the intelligence committees fully and currently informed provides the Congress with the comprehensive and detailed information it needs to oversee the activities of the Intelligence Community, there is no constitutional justification for the additional intrusion section 6316 of the Act would require into confidential and sensitive Presidential communications.  Accordingly, section 6316 of the Act is unconstitutional to the extent it imposes requirements for access to those communications beyond those already present under existing law.  I will commit to complying with its disclosure requirements only in such cases where a committee has a need for such Presidential communications that outweighs the potential harm to the confidentiality interests underlying the Presidential communications privilege. さらに、同法第6316条は、大統領が国家情報長官を通じて、「情報機関のあらゆる要素に対する指示を含む、必要条件を定める、あるいは制限を含む」大統領令、覚書、政策指令のすべてを議会の情報委員会(および予算小委員会)に提出するよう求めている。  私の政権は、情報委員会に「米国の情報活動について完全かつ最新の情報を提供する」(合衆国法典第50編第3091条)法的義務を引き続き果たし、委員会が要求する情報を提供する(合衆国法典第50編第3092条(a)(2)、同第3093条(b)参照)ことに全力を注いでいる。  しかし、本法第6316条が大統領に共有することを要求する文書は、しばしば大統領の通信を含み、その機密性は「政府の運営の基本であり、憲法上の権力分立に密接に根ざしている」のである。  合衆国対ニクソン裁判  情報委員会に完全かつ最新の情報を提供し続けるという私の政権の取り組みは、情報機関の活動を監督するために必要な包括的で詳細な情報を議会に提供するものであり、本法第6316条が求める大統領の機密通信への追加的侵入を正当化する憲法上の根拠はない。  したがって、本法第6316条は、現行法のもとですでに存在するものを超えて、これらの通信へのアクセスに要件を課す限り、違憲である。  私は、委員会が、大統領通信の秘匿特権に基づく機密保持の利益に対する潜在的な害悪を上回る、そうした大統領通信の必要性がある場合にのみ、その開示要件に従うことを約束する。
A number of provisions of the Act may, in certain circumstances, interfere with the exercise of my constitutional authority to articulate the positions of the United States in international negotiations or fora (e.g., sections 1260(a), 1508(a), 1658(a), 5518(d), 5573(b), 5701, and 11338(b)).  I recognize that “[i]t is not for the President alone to determine the whole content of the Nation’s foreign policy” (Zivotofsky v. Kerry) and will make every effort to take action consistent with these directives.  Indeed, I support many of the objectives in these provisions.  Nevertheless, I will not treat them as limiting my constitutional discretion to articulate the views of the United States before international organizations and with foreign governments. 本法の多くの条項は、特定の状況下では、国際交渉やフォーラムにおいて米国の立場を明確にする私の憲法上の権限の行使を妨げる可能性がある(1260(a)、1508(a)、1658(a)、5518(d)、5573(b)、5701、11338(b)項など)。  私は、「国家の外交政策の内容全体を決定するのは大統領一人のためではない」(ジヴォトフスキー対ケリー)ことを認識しており、これらの指令に沿った行動を取るためにあらゆる努力をするつもりである。  実際、私はこれらの条項の目的の多くを支持している。  とはいえ、私は、国際機関や外国政府に対して米国の見解を明確に示すという私の憲法上の裁量を制限するものとして、これらの条項を扱うつもりはない。
Section 9303(b)(1) of the Act provides that the Secretary of State “should” establish or upgrade certain diplomatic facilities in foreign nations.  Although section 9303(b)(3) of the Act later refers to these provisions as “requirements,” I do not read section 9303(b) of the Act to mandate the specified actions. 同法第9303条(b)(1)は、国務長官が外国に特定の外交施設を設置または改善する「べき」であると定めている。  同法第9303条(b)(3)は後にこれらの条項を「要件」と呼んでいるが、私は同法第9303条(b)が特定の行動を義務付けているとは読んでいない。
Section 7201 of the Act requires Presidential designees to enter into information-sharing agreements with certain congressional officers “for timely sharing of tactical and operational cybersecurity threat and security vulnerability information and planned or ongoing counterintelligence operations or targeted collection efforts with the legislative branch.”  The congressional findings in section 7201 of the Act make clear that the information-sharing in question is designed to ensure that the Congress has information concerning cybersecurity and counterintelligence threats to the Congress itself.  I therefore construe the requirements of section 7201 of the Act to be limited to information-sharing related to such cybersecurity and counterintelligence threats to the legislative branch. 同法第7201条は、大統領の被指名者が「戦術的・作戦的なサイバーセキュリティの脅威とセキュリティの脆弱性情報、計画中または進行中の防諜活動または標的型収集活動を立法府と適時に共有するために」特定の議会役員との情報共有協定を締結することを要求している。  同法第7201条の議会所見は、問題の情報共有が、議会が議会自身に対するサイバーセキュリティと防諜の脅威に関する情報を確実に入手できるようにするためのものであることを明確にしている。  したがって、私は、本法のセクション7201の要件は、立法府に対するサイバーセキュリティと防諜の脅威に関する情報共有に限定されると解釈している。
JOSEPH R. BIDEN JR. ジョセフ・R・バイデン・ジュニア

 

 

法律。。。

Congress

・[TXT] Text for H.R.7776 - 117th Congress (2021-2022): James M. Inhofe National Defense Authorization Act for Fiscal Year 2023.

 

・[XML]

Text for H.R.7776 - 117th Congress (2021-2022): James M. Inhofe National Defense Authorization Act for Fiscal Year 2023.



全体構成...

(1) Division A--Department of Defense Authorizations. (1) ディビションA:国防総省の認可
(2) Division B--Military Construction Authorizations. (2) ディビジョンB:軍事建設認可
(3) Division C--Department of Energy National Security Authorizations and Other Authorizations. (3) ディビジョンC:エネルギー省の国家安全保障認可とその他の認可
(4) Division D--Funding Tables. (4) ディビジョンD:資金表
(5) Division E--Non-Department of Defense Matters. (5) ディビジョンE:国防総省以外の事条
(6) Division F--Intelligence Authorization Act for Fiscal Year 2023 (6) ディビジョンF:2023年会計年度インテリジェンス認可法
(7) Division G--Homeland Security. (7) ディビジョンG:国土安全保障
(8) Division H--Water Resources. (8) ディビジョンH:水資源
(9) Division I--Department of State Authorizations. (9) ディビジョンI:国務省の認可
(10) Division J--Oceans and Atmosphere. (10) ディビジョンJ:海洋と大気
(11) Division K--Don Young Coast Guard Authorization Act of 2022 (11) ディビジョンK:ドン・ヤング沿岸警備隊認可法

 

 

Cyberで検索すると935件Hitしました...

気になるようなところは、次のあたりですかね。。。

気になるのは、

 

DIVISION A—DEPARTMENT OF DEFENSE AUTHORIZATIONS ディビジョンA:国防総省の認可
TITLE XV—CYBER AND INFORMATION OPERATIONS MATTERS タイトルXV:サイバーと情報操作の問題
Subtitle A—Cyber Matters サブタイトルA:サイバーに関する事条
Sec. 1501. Improvements to Principal Cyber Advisors. 第1501条 プリンシパル・サイバー・アドバイザーの改善
Sec. 1502. Annual reports on support by military departments for United States Cyber Command. 第1502条 米国サイバー軍に対する軍部からの支援に関する年次報告書
Sec. 1503. Modification of office of primary responsibility for strategic cybersecurity program. 第1503条 戦略的サイバーセキュリティプログラムの主要な責任者のオフィスの変更。
Sec. 1504. Tailored cyberspace operations organizations. 第1504条 カスタマイズされたサイバースペースオペレーション組織
Sec. 1505. Establishment of support center for consortium of universities that advise Secretary of Defense on cybersecurity matters. 第1505条 国防長官にサイバーセキュリティに関する助言を行う大学コンソーシアムのサポートセンター設立
Sec. 1506. Alignment of Department of Defense cyber international strategy with National Defense Strategy and Department of Defense Cyber Strategy. 第1506条 国防省のサイバー国際戦略を国家防衛戦略及び国防省のサイバー戦略と整合させる。
Sec. 1507. Enhancement of cyberspace training and security cooperation. 第1507条 サイバースペース訓練と安全保障協力の強化
Sec. 1508. Military Cybersecurity Cooperation with Hashemite Kingdom of Jordan. 第1508条 ヨルダン・ハシミテ王国との軍事的サイバーセキュリティ協力。
Sec. 1509. Management and oversight of Joint Cyber Warfighting Architecture. 第1509条 統合サイバー戦闘アーキテクチャの管理・監督
Sec. 1510. Integrated non-kinetic force development. 第1510条 統合された非機動戦力の開発
Sec. 1511. Protection of critical infrastructure. 第1511条 重要インフラの保護
Sec. 1512. Budget display for cryptographic modernization activities for certain systems of the Department of Defense. 第1512条 国防総省の特定のシステムに対する暗号近代化活動のための予算表示。
Sec. 1513. Establishing projects for data management, artificial intelligence, and digital solutions. 第1513条 データ管理、人工知能、デジタルソリューションのプロジェクトを設立する。
Sec. 1514. Operational testing for commercial cybersecurity capabilities.  第1514条 商業的なサイバーセキュリティ能力の運用テスト。
Subtitle B—Information Operations サブタイトルB:情報操作
Sec. 1521. Requirement to notify Chief of Mission of military operation in the information environment. 第1521条 情報環境における軍事作戦の最高司令官への通知要件
Sec. 1522. Assessment and optimization of Department of Defense information and influence operations conducted through cyberspace. 第1522条 サイバースペースを通じて行われる国防総省の情報・影響力作戦の評価と最適化
Sec. 1523. Joint information operations course. 第1523条 合同情報作戦コース
Sec. 1524. Limitation on availability of certain funds until submission of joint lexicon for terms related to information operations. 第1524条 情報活動に関する用語の統合辞書が提出されるまでの間、特定の資金の利用を制限する。
Sec. 1525. Limitation on availability of funds pending submittal of information operations strategy and posture review. 第1525条 情報活動戦略・態勢検討書の提出までの間、資金の利用を制限する。
Sec. 1526. Limitation on availability of certain funds until submission of assessments relating to cybersecurity of the defense industrial base.  第1526条 防衛産業基盤のサイバーセキュリティに関する評価を提出するまで、特定の資金の利用を制限する。
Subtitle C—Personnel サブタイトルC:人事
Sec. 1531. Cyber operations-peculiar awards. 第1531条 サイバー作戦-特別賞
Sec. 1532. Establishment of Cyber Operations Designator and rating for the Navy. 第1532条 海軍のサイバー作戦呼称と格付けの確立
Sec. 1533. Total force generation for the Cyberspace Operations Forces. 第1533条 サイバー空間作戦部隊の総戦力化
Sec. 1534. Correcting cyber mission force readiness shortfalls. 第1534条 サイバー作戦部隊の準備不足の是正
Sec. 1535. Department of Defense Cyber and Digital Service Academy. 第1535条 国防総省のサイバー・デジタル・サービス・アカデミー
Sec. 1536. Report on recommendations from Navy Civilian Career Path study. 第1536条 海軍の民間人キャリアパス研究からの提言に関する報告書
Sec. 1537. Study to determine optimal strategy for structuring and manning elements of Joint Force Headquarters–Cyber Organizations, Joint Mission Operations Centers, and Cyber Operations-Integrated Planning Elements. 第1537条 統合軍本部・サイバー組織、統合任務作戦センター、サイバー作戦統合計画要素の構造・人員配置に関する最適戦略を決定するための調査。
Sec. 1538. Manning review of Space Force cyber squadrons. 第1538 条 宇宙軍サイバー飛行隊の人員配置の検討
Sec. 1539. Independent review of posture and staffing levels of Office of the Chief Information Officer. 第1539条 最高情報責任者(Office of the Chief Information Officer) の態勢と人員レベルに関する独立したレビュー
Sec. 1540. Independent assessment of Civilian Cybersecurity Reserve for Department of Defense. 第1540条 国防総省の民間サイバーセキュリティ予備軍の独立評価
Sec. 1541. Comprehensive review of Cyber Excepted Service.  第1541条 サイバーエクセプテッドサービス(Cyber Excepted Service) の包括的レビュー
Subtitle D—Reports And Other Matters サブタイトルD:報告書とその他の事条
Sec. 1551. Pilot program for sharing cyber capabilities and related information with foreign operational partners. 第1551条 外国の作戦パートナーとサイバー能力および関連情報を共有するための試験的プログラム
Sec. 1552. Demonstration program for cyber and information technology budget data analytics. 第1552条 サイバーと情報技術の予算データ解析のための実証プログラム
Sec. 1553. Plan for commercial cloud test and evaluation. 第1553条 商用クラウドのテストと評価のための計画
Sec. 1554. Roadmap and implementation plan for cyber adoption of artificial intelligence. 第1554条 人工知能をサイバーに導入するためのロードマップと実施計画
Sec. 1555. Review of Department of Defense implementation of recommendations from Defense Science Board cyber report. 第1555条 国防科学委員会のサイバー報告書からの提言に対する国防総省の実施状況のレビュー。
Sec. 1556. Annual briefing on relationship between National Security Agency and United States Cyber Command. 第1556条 国家安全保障局と米国サイバー軍との関係についての年次報告会
Sec. 1557. Review of definitions associated with Cyberspace Operations Forces. 第1557条 サイバースペース作戦部隊に関連する定義の見直し
Sec. 1558. Annual assessments and reports on assignment of certain budget control responsibility to Commander of United States Cyber Command. 第1558条 米国サイバー軍司令官への特定の予算管理責任の付与に関する年次評価と報告。
Sec. 1559. Assessments of weapons systems vulnerabilities to radio-frequency enabled cyber attacks. 第1559条 高周波を利用したサイバー攻撃に対する兵器システムの脆弱性の評価
Sec. 1560. Briefing on Department of Defense plan to deter and counter adversaries in the information environment. 第1560条 情報環境における敵対者を抑止し対抗するための国防総省の計画に関するブリーフィング。
   
DIVISION F—INTELLIGENCE AUTHORIZATION ACT FOR FISCAL YEAR 2023 ディビジョンF:2023会計年度インテリジェンス認可法
TITLE LXIII—GENERAL INTELLIGENCE COMMUNITY MATTERS タイトルLXIII:情報機関に関する一般的事条
Sec. 6301. Modification of requirements for certain employment activities by former intelligence officers and employees. 第6301条 元情報将校・職員による特定の雇用活動に関する要件の修正
Sec. 6302. Counterintelligence and national security protections for intelligence community grant funding. 第6302条 情報コミュニティの助成金に関する防諜および国家安全保障の保護
Sec. 6303. Extension of Central Intelligence Agency law enforcement jurisdiction to facilities of Office of Director of National Intelligence. 第6303条 国家情報長官室の施設に対する中央情報局の法執行の管轄権の拡大
Sec. 6304. Annual reports on status of recommendations of Comptroller General of the United States for the Director of National Intelligence. 第6304条 国家情報長官に対する米国会計検査院の勧告の状況について年次報告を行う。
Sec. 6305. Timely submission of classified intelligence budget justification materials. 第6305条 機密情報予算正当化資料の適時提出
Sec. 6306. Copyright protection for civilian faculty of the National Intelligence University. 第6306条 国家情報大学(National Intelligence University) の文民教員の著作権保護
Sec. 6307. Modifications to Foreign Malign Influence Response Center. 第6307条 対外悪意ある影響への対応センター(Foreign Malign Influence Response Center) の修正
Sec. 6308. Requirement to offer cyber protection support for personnel of intelligence community in positions highly vulnerable to cyber attack. 第6308条 サイバー攻撃に非常に弱い立場にある情報機関の職員に対して、サイバー保護支援を提供するための要件
Sec. 6309. Enforcement of cybersecurity requirements for national security systems. 第6309条 国家安全保障システムに対するサイバーセキュリティ要求の実施
Sec. 6310. Review and briefing on intelligence community activities under Executive Order 12333. 第6310条 大統領令12333に基づく情報機関の活動に関するレビューとブリーフィング。
Sec. 6311. Assessing intelligence community open-source support for export controls and foreign investment screening. 第6311条 輸出規制と外国投資の審査に関する情報機関のオープンソースサポートの評価。
Sec. 6312. Annual training requirement and report regarding analytic standards. 第6312条 分析基準に関する年次研修の要求と報告
Sec. 6313. Review of Joint Intelligence Community Council. 第6313条 情報コミュニティ合同委員会の見直し
Sec. 6314. Required policy for minimum insider threat standards. 第6314条 インサイダー脅威の最小限の基準に関する要求方針
Sec. 6315. Unfunded priorities of the intelligence community. 第6315条 情報コミュニティにおける未予算の優先事条
Sec. 6316. Submission of covered documents and classified annexes. 第6316条 対象文書と機密付属文書の提出。
Sec. 6317. Improvements to program on recruitment and training. 第6317条 採用・訓練に関するプログラムの改善
Sec. 6318. Measures to mitigate counterintelligence threats from proliferation and use of foreign commercial spyware. 第6318条 外国製商用スパイウェアの拡散と使用による防諜上の脅威を軽減するための措置。
Sec. 6319. Personnel vetting performance measures. 第6319条 人材精査のパフォーマンス測定
Sec. 6320. Proactive cybersecurity. 第6320条 プロアクティブ・サイバーセキュリティ
   
DIVISION G—HOMELAND SECURITY ディビジョンG:国土安全保障
TITLE LXXI—HOMELAND SECURITY MATTERS タイトルLXXI:国土安全保障問題
Subtitle C—Enhancing Cybersecurity Training And Operations サブタイトルC:サイバーセキュリティの訓練と運用の強化
Sec. 7121. President’s Cup Cybersecurity Competition. 第7121条 大統領杯サイバーセキュリティ競技会
Sec. 7122. Industrial control systems cybersecurity training. 第7122条 産業制御システムサイバーセキュリティ訓練
Sec. 7123. National Computer Forensics Institute reauthorization. 第7123条 国立コンピュータ科学捜査研究所(National Computer Forensics Institute) の再認可
Sec. 7124. Report on cybersecurity roles and responsibilities of the Department of Homeland Security. 第7124条 国土安全保障省のサイバーセキュリティの役割と責任に関する報告書
TITLE LXXII—GOVERNMENTAL AFFAIRS タイトルLXXII:政府関係
Subtitle A—Intragovernmental Cybersecurity Information Sharing Act サブタイトルA:政府内サイバーセキュリティ情報共有法
Sec. 7201. Requirement for information sharing agreements. 第7201条 情報共有協定の要件
Subtitle A—Improving Government For America's Taxpayers サブタイトルA:アメリカの納税者のための政府改善法
Sec. 7211. Government Accountability Office unimplemented priority recommendations. 第7211条 政府説明責任局の未実施の優先的勧告。
Subtitle B—Advancing American AI Act サブタイトルB:Advancing American AI Act(米国AI進歩法
Sec. 7221. Short title. 第7221条 略称
Sec. 7222. Purposes. 第7222条 目的
Sec. 7223. Definitions. 第7223条 定義
Sec. 7224. Principles and policies for use of artificial intelligence in Government. 第7224条 政府における人工知能の使用に関する原則と方針
Sec. 7225. Agency inventories and artificial intelligence use cases. 第7225条 省庁のインベントリおよび人工知能の使用事例
Sec. 7226. Rapid pilot, deployment and scale of applied artificial intelligence capabilities to demonstrate modernization activities related to use cases. 第7226条 ユースケースに関連する近代化活動を実証するための、応用人工知能能力の迅速な試験、展開、規模拡大。
Sec. 7227. Enabling entrepreneurs and agency missions. 第7227条 起業家および省庁のミッションを可能にする。
Sec. 7228. Intelligence community exception. 第7228条 インテリジェンス・コミュニティの例外
   
DIVISION I—DEPARTMENT OF STATE AUTHORIZATIONS ディビジョンI:国務省の認可
TITLE XCV—INFORMATION SECURITY AND CYBER DIPLOMACY タイトルXCV:情報セキュリティとサイバー外交
Sec. 9501. United States international cyberspace policy. 第9501条 米国の国際サイバースペース政策
Sec. 9502. Bureau of Cyberspace and Digital Policy. 第9502条 サイバースペース・デジタル政策局(Bureau of Cyberspace and Digital Policy) 。
Sec. 9503. International cyberspace and digital policy strategy. 第9503条 国際的なサイバースペースとデジタル政策戦略
Sec. 9504. Government Accountability Office report on cyber diplomacy. 第9504条 サイバー外交に関する政府説明責任局の報告書
Sec. 9505. Report on diplomatic programs to detect and respond to cyber threats against allies and partners. 第9505条 同盟国やパートナーに対するサイバー脅威を検知し対応するための外交プログラムに関する報告書。
Sec. 9506. Cybersecurity recruitment and retention. 第9506条 サイバーセキュリティの人材確保と維持
Sec. 9507. Short course on emerging technologies for senior officials. 第9507条 高官を対象とした新技術に関する短期コース
Sec. 9508. Establishment and expansion of Regional Technology Officer Program. 第9508条 地域技術担当者プログラムの設立と拡大
Sec. 9509. Vulnerability disclosure policy and bug bounty program report. 第9509条 脆弱性開示政策とバグバウンティプログラム報告書
   
DIVISION K—DON YOUNG COAST GUARD AUTHORIZATION ACT OF 2022 ディビジョンK:2022年ドン・ヤング沿岸警備隊認可法
TITLE CXI—AUTHORIZATIONS タイトルCXI:認可
Subtitle D—Maritime Cyber And Artificial Intelligence サブタイトルD:海事サイバーと人工知能
Sec. 11224. Enhancing maritime cybersecurity. 第11224条 海上のサイバーセキュリティを強化する。
Sec. 11225. Establishment of unmanned system program and autonomous control and computer vision technology project. 第11225条 無人システムプログラム及び自律制御・コンピュータビジョン技術プロジェクトの設立
Sec. 11226. Artificial intelligence strategy. 第11226条 人工知能戦略
Sec. 11227. Review of artificial intelligence applications and establishment of performance metrics. 第11227条 人工知能アプリケーションのレビューとパフォーマンスメトリクスの確立
Sec. 11228. Cyber data management. 第11228条 サイバーデータ管理
Sec. 11229. Data management. 第11229条 データ管理
Sec. 11230. Study on cyber threats to United States marine transportation system. 第11230条 米国海上輸送システムに対するサイバー脅威に関する研究

 

 

| | Comments (0)

防衛省 防衛研究所 認知戦への対応における『歴史の教訓』研究の可能性

こんにちは、丸山満彦です。

防衛省防衛研究所が「認知戦への対応における『歴史の教訓』研究の可能性」を公表していますね。。。

ウクライナ戦でも認知戦が行われたという話もありますが、より重要なのは、米国の大統領選への干渉など、長期的な認知戦の方ですね。。。

基礎的な知識ということで。。。

 

防衛省 防衛研究所

・2022.12.22 [PDF] 認知戦への対応における『歴史の教訓』研究の可能性 

20221224-03516

 

 

| | Comments (0)

2022.12.24

JNSA 2022セキュリティ十大ニュース

こんにちは、丸山満彦です。

日本ネットワークセキュリティ協会が2022年 セキュリティ十大ニュースを発表していますね。

 

● 日本ネットワークセキュリティ協会 (JNSA)

・2022.12.23 JNSA 2022セキュリティ十大ニュース~セキュリティニュースの二極化は何を示唆するのか~

# Date タイトル サブタイトル
1 2022.02.24 ロシアがウクライナへ軍事侵攻 国家間の戦争においてサイバー攻撃はどう位置付けられるのか?
2 2022.03.01 取引先企業へのサイバー攻撃でトヨタ自動車の国内全工場が稼働停止 改めて浮き彫りになったサプライチェーン全体でのセキュリティ対策の重要性
3 2022.06.23 全市民46万人余の個人情報入ったUSBを紛失 尼崎市が発表 情報に 対する思いの サイイタク(差異痛く/再委託)
4 2022.07.02 KDDI大規模通信障害 丸2日間 119番通報を含む生活インフラに過去最大級の障害
5 2022.10.31 大阪急性期・総合医療センターでランサム被害 人質は電子カルテ、外来診療や手術の停止など深刻な影響
6 2022.05.18 経済安全保障推進法公布 国民生活や国家の安全確保の一端をサイバーセキュリティが担う時代が到来
7 2022.11.04 休眠から再び戻ってきたEmotetが活動再開、猛威は続く 活動開始から8年、進化を続けるEmotetに終焉は来るのか
8 2022.04.01 改正個人情報保護法施行 迅速な法整備とそれに足並みを揃えた社会への展開が課題
9 2022.09.01 デジタル庁発足1週年、期待と実績、改革は道半ば 全員参加で大胆な改革を!
10 2022.07.11 米国政府はLog4jの脆弱性に前例のない警鐘を鳴らした 既に侵入されている? 動き出した攻撃者に対策は間に合うのか
2022.11.01 SMAP-LIU運用開始 Low-ImpactはHigh-Impactになるか、その影響力に期待

 

 

ちなみに、昨年は,,,

# Date タイトル サブタイトル
1 2021.05.07 ランサムウェアの被害広範囲に、影響は一般市民にも ランサムウェア攻撃の脅威を思い知らされた1年
2 2021.03.17 LINEデータ管理の不備が指摘される にわかに盛り上がる経済安全保障の論議
3 2021.01.27 EMOTETテイクダウンの朗報、しかし再燃の動きも 国際間協力により完全破壊するも11月には復活
4 2021.05.26 ProjectWEBへの不正アクセスで官公庁等の情報が流出 今後のITサプライチェーンの課題は?
5 2021.11.26 みずほ銀行のシステム障害多発に金融庁が業務改善命令 日本企業の経営層に求められるITに対する理解
6 2021.01.29 Salesforce設定ミスによる情報流出にNISCが注意喚起 クラウド・バイ・デフォルト時代における新たな責任の自覚
7 2021.10.21 NTTと東京オリパラ大会組織委員会、サイバーセキュリティ対策を報告 懸念されたサイバー攻撃を防御し、東京オリパラは無事終了
8 2021.01.12 ソフトバンク元社員を不正競争防止法違反で逮捕 社員による会社情報持ち出しの抑止力となるか?
9 2021.07.28 「戦争の原因になり得る」とサイバー攻撃に強い危機感 対岸は存在しないサイバー空間の攻防
10 2021.09.28 VPN狙い撃ちの被害続く中、米政府堅牢化のガイダンスを公開 攻撃は境界型防衛への最後通告か

 

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2021.12.24 JNSA 2021セキュリティ十大ニュース

・2020.12.26 JNSAの2020年セキュリティ十大ニュース

・2009.12.29 JNSA 2009セキュリティ十大ニュース発表

 

 

| | Comments (0)

NIST ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティ(改訂1版)

こんにちは、丸山満彦です。

NISTが、ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティ(改訂1版)を公表していますね。。。

NIST - ITL

・2022.12.22 White Paper [Project Description] Responding to and Recovering from a Cyber Attack: Cybersecurity for the Manufacturing Sector (Rev. 1)

 

White Paper [Project Description] Responding to and Recovering from a Cyber Attack: Cybersecurity for the Manufacturing Sector (Rev. 1) ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復。製造業のためのサイバーセキュリティ(改訂1版)
Abstract 概要
The Operational Technology (OT) that runs manufacturing environments play a critical role in the supply chain. Manufacturing organizations rely on OT to monitor and control physical processes that produce goods for public consumption. These same systems are facing an increasing number of cyber attacks, presenting a real threat to safety and production, and economic impact to a manufacturing organization. Though defense-in-depth security architecture helps to mitigate cyber risks, it cannot guarantee elimination of all cyber risks; therefore, manufacturing organizations should also have a plan to recover and restore operations should a cyber incident impact operations. The goal of this project is to demonstrate means to recover equipment from a cyber incident and restore operations. The NCCoE, part of NIST’s Information Technology Laboratory, in conjunction with the NIST Communications Technology Laboratory (CTL) and industry collaborators, will demonstrate an approach for responding to and recovering from an OT attack within the manufacturing sector by leveraging the following cybersecurity capabilities: event reporting, log review, event analysis, and incident handling and response. The NCCoE will map the security characteristics to the NIST Cybersecurity Framework and NIST Special Publication 800-53, Security and Privacy Controls for Federal Information Systems and Organizations and will provide commercial off the shelf (COTS) based modular security controls for manufacturers. NCCoE will implement each of the listed capabilities in a discrete-based manufacturing work-cell that emulates a typical manufacturing process. This project will result in a freely available NIST Cybersecurity Practice Guide. 製造環境を動かす運用技術(OT)は、サプライチェーンにおいて重要な役割を担っている。製造業は、一般消費者向けの製品を生産する物理プロセスの監視と制御にOTを利用している。これらのシステムは、増加するサイバー攻撃に直面しており、安全性、生産性、そして製造業への経済的影響に対する真の脅威となっている。深層防護のセキュリティ構造はサイバーリスクを軽減するのに役立ちますが、すべてのサイバーリスクを排除することを保証するものではない。このプロジェクトの目的は、サイバーインシデントから機器を復旧し、オペレーションを回復する手段を実証することである。NISTの情報技術研究所に属するNCCoEは、NIST通信技術研究所(CTL)および業界の協力者とともに、イベントレポート、ログレビュー、イベント分析、インシデント処理および対応というサイバーセキュリティ機能を活用して、製造業におけるOT攻撃への対応と回復のためのアプローチを実証する予定である。NCCoEは、セキュリティ特性をNISTサイバーセキュリティフレームワークとNIST Special Publication 800-53「連邦情報システムおよび組織のためのセキュリティおよびプライバシー制御」にマッピングし、製造業者向けに商用オフザシェルフ(COTS)ベースのモジュール式セキュリティ制御を提供する。NCCoEは、典型的な製造プロセスをエミュレートするディスクリートベースの製造ワークセルに、記載された各機能を実装する。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定である。

 

・[PDF] Project Description


20221224-11145

 

目次...

 

1 Executive Summary 1 エグゼクティブサマリー
Purpose 目的
Scope 範囲
Assumptions 前提条件
Challenges 課題
Background 背景
2 Cybersecurity Capabilities to be Demonstrated 2 実証されるべきサイバーセキュリティ能力
Event Reporting イベントレポート
Log Review ログレビュー
Event Analysis イベント分析
Incident Handling and Response インシデントハンドリングとレスポンス
Eradication and Recovery 撲滅と復旧
3 Cyber Attack Scenarios 3 サイバー攻撃シナリオ
Scenario 1 - Unauthorized Command Message シナリオ1 - 無許可のコマンドメッセージ
Scenario 2 – Modification of Process or Controller Parameters シナリオ2 - プロセスまたはコントローラパラメータの変更
Scenario 3 – Compromise Human Machine Interface (HMI) or Operator Console シナリオ3 - ヒューマンマシンインターフェース(HMI)またはオペレーターコンソールの侵害
Scenario 4 – Data Historian Compromise シナリオ4 - データヒストリアの侵害
Scenario 5 – Unauthorized Device Detected シナリオ5 - 未承認のデバイスが検出された場合
Scenario 6 – Unauthorized Connection Detected シナリオ6 - 未承認接続の検出
4 Architecture and Capabilities of Lab Environment 4 ラボ環境のアーキテクチャと機能
Testbed Architecture テストベッドアーキテクチャ
Manufacturing Process 製造プロセス
Key Control System Components キーコントロールシステムコンポーネント
5 Solution Capabilities and Components 5 ソリューション機能とコンポーネント
6 Relevant Standards and Guidance 6 関連する規格とガイダンス
7 Security Control Map 7 セキュリティコントロールマップ



エグゼクティブサマリー...

1      EXECUTIVE SUMMARY  1 エグゼクティブサマリー 
Purpose  目的 
This document defines a National Cybersecurity Center of Excellence (NCCoE) project focused on responding to and recovering from a cyber incident within an Operational Technology (OT) environment. Manufacturing organizations rely on OT to monitor and control physical processes that produce goods for public consumption. These same systems are facing an increasing number of cyber incidents resulting in a loss of production from destructive malware, malicious insider activity, or honest mistakes. This creates the imperative for organizations to be able to quickly, safely, and accurately recover from an event that corrupts or destroys data (e.g., database records, system files, configurations, user files, application code).  この文書は、運用技術(OT)環境内でのサイバーインシデントへの対応と復旧に焦点を当てた、全米サイバーセキュリティセンターオブエクセレンス(NCCoE)プロジェクトを定義している。製造業は、一般消費者向けの製品を生産する物理的なプロセスを監視・制御するために、OTに依存している。これらのシステムは、破壊的なマルウェア、悪意のあるインサイダーの活動、または単純なミスによって生産が失われる、ますます多くのサイバーインシデントにさらされている。このため、データ(データベース記録、システムファイル、設定、ユーザーファイル、アプリケーションコードなど)を破損または破壊する事象から、迅速、安全、かつ正確に復旧することが組織にとって不可欠となっている。
The purpose of this NCCoE project is to demonstrate how to operationalize the NIST Framework for Improving Critical Infrastructure Cybersecurity (NIST Cybersecurity Framework) Functions and Categories. Multiple systems need to work together to recover equipment and restore operations when data integrity is compromised. This project explores methods to effectively restore corrupted data in applications and software configurations as well as custom applications and data. The NCCoE—in collaboration with members of the business community and vendors of cybersecurity solutions—will identify standards-based, commercially available, and open-source hardware and software components to design a manufacturing lab environment to address the challenge of responding to and recovering from a cyber incident in an OT environment.    このNCCoEプロジェクトの目的は、NIST Framework for Improving Critical Infrastructure Cybersecurity (NIST Cybersecurity Framework) Functions and Categoriesをどのように運用するかを実証することである。データの完全性が損なわれた場合、複数のシステムが連携して機器を回復し、業務を復旧させる必要がある。このプロジェクトでは、アプリケーションとソフトウェア構成、およびカスタムアプリケーションとデータの破損したデータを効果的に復元する方法を探る。NCCoEは、ビジネス・コミュニティのメンバーやサイバーセキュリティ・ソリューションのベンダーと協力して、標準規格に準拠した、市販の、そしてオープンソースのハードウェアとソフトウェアのコンポーネントを特定し、OT環境におけるサイバーインシデントへの対応と回復という課題に取り組む製造ラボ環境を設計する。  
This project will result in a publicly available NIST Cybersecurity Practice Guide, a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses this challenge.  このプロジェクトは、この課題に対処するサイバーセキュリティ参照設計を実装するために必要な実用的な手順の詳細な実装ガイドである、一般に利用可能なNISTサイバーセキュリティ実践ガイドを作成することになる。
Scope  範囲 
This project will demonstrate how to respond to and recover from a cyber incident within an OT environment. Once a cybersecurity event is detected, typically the following tasks take place before the event is satisfactorily resolved:  このプロジェクトは、OT環境におけるサイバーインシデントへの対応と復旧の方法を実証するものである。サイバーセキュリティイベントが検出されると、そのイベントが満足に解決されるまで、通常、以下の作業が行われる。
1.     Event reporting  1.     イベントの報告 
2.     Log review  2.     ログの確認 
3.     Event analysis  3.     イベント分析 
4.     Incident handling and response  4.     インシデント処理と対応 
5.     Eradication and Recovery  5.     根絶と回復 
NIST Cybersecurity Framework (CSF) Respond and Recover functions and categories are used to guide this project. The objective of the NIST Cybersecurity Framework Respond function is to develop and implement the appropriate activities to take action regarding a detected cybersecurity event. The objective of the Recover function is to develop and implement the appropriate activities to maintain plans for resilience and to restore any capabilities or services that were impaired due to a cybersecurity event.   NIST Cybersecurity Framework (CSF) の Respond と Recover の機能とカテゴリがこのプロジェクトのガイドとして使用されている。NIST サイバーセキュリティフレームワークの Respond 機能の目的は、検出されたサイバーセキュリティイベントに関して行動を起こすための適切な活動を策定し、実施することである。回復機能の目的は、レジリエンスのための計画を維持し、サイバーセキュリティイベントによって損なわれた能力やサービスを回復するための適切な活動を開発し、実施することである。 
Out of scope for this project are systems such as enterprise resource planning (ERP), manufacturing resource planning (MRP), and manufacturing execution systems (MES) that operate on traditional information technology (IT) infrastructures that run on Windows or Linux operating systems. These IT systems have well documented recovery tools available, including those documented in NIST Cybersecurity Practice Guide SP 1800-11, Data Integrity: Recovering from Ransomware and Other Destructive Events.   このプロジェクトの対象外は、エンタープライズリソースプランニング(ERP)、製造リソースプランニング(MRP)、製造実行システム(MES)など、WindowsやLinuxオペレーティングシステムで動作する従来の情報技術(IT)インフラ上で動作するシステムである。これらのITシステムには、NIST Cybersecurity Practice Guide SP 1800-11「Data Integrity」に記載されているものを含め、よく知られたリカバリーツールが用意されている。「ランサムウェアやその他の破壊的なイベントからの復旧」に記載されているものを含む、十分な復旧ツールが用意されている。 
Assumptions  前提条件 
This project assumes that the cyber incident is discovered after some impact has occurred or  prior to impact occurring. A cyber incident can be caused by a variety of factors including but not limited to a well-intentioned insider making a change without proper testing, a malicious insider, or an outside adversary. A comprehensive security architecture should be designed to detect cyber incidents prior to impact including detection of initial access, discovery, and lateral movement. However, a comprehensive defense should also be prepared to restore and recover in the event that a cyber incident is not detected until it is too late. This guide focuses on the hopefully rare event of a cyber incident causing an impact.   このプロジェクトでは、サイバーインシデントは何らかの影響が発生した後、または影響が発生する前に発見されることを想定している。サイバーインシデントは、善意の内部関係者が適切なテストを行わずに変更した場合、悪意のある内部関係者、外部の敵など、さまざまな要因によって引き起こされる可能性がある。包括的なセキュリティ・アーキテクチャは、初期アクセス、発見、横方向の動きの検出など、影響を与える前にサイバーインシデントを検出するように設計されるべきである。しかし、包括的な防御は、サイバーインシデントが手遅れになるまで検出されなかった場合の復旧と回復の準備も必要である。このガイドでは、サイバーインシデントが影響を及ぼすという、できれば稀なケースに焦点を当てます。 
A cyber incident is any compromise to systems or data confidentiality, integrity, or availability.  サイバーインシデントとは、システムやデータの機密性、完全性、可用性に対するあらゆる侵害を指す。
This could be caused by a malicious outsider gaining access and making changes or stealing data. But this could just as easily, and possibly more likely, be caused by someone just doing their job and making a mistake or failing to fully test changes prior to implementation. For this reason, this project addresses cyber incidents generically without concern of what or who caused the incident. However, some scenarios in this project would only happen due to malicious actions and have, therefore, been described as such.   これは、悪意のある部外者がアクセスし、変更を加えたり、データを盗んだりすることによって引き起こされる可能性がある。しかし、誰かが自分の仕事をしていて、ミスをしたり、実施前に変更を完全にテストしなかったりすることによっても、同じように簡単に、そしておそらくもっと高い確率で起こり得ます。このため、このプロジェクトでは、サイバーインシデントを一般的に扱い、何が、誰が、インシデントを引き起こしたかは考慮しないことにしている。しかし、このプロジェクトのいくつかのシナリオは、悪意のある行為によってのみ発生するため、そのように記述されている。 
To make the rest of the document more readable, the term "malicious actor" will be used to encompass everything from a malicious insider, who already has access, to an advanced persistent threat actor, who conducts a long-term targeted campaign against a system. This also includes lower-level outside malicious actors performing attacks such as widespread ransomware campaigns for profit.   この文書の他の部分を読みやすくするため、「悪意のある行為者」という用語は、すでにアクセス権を持つ悪意のある内部関係者から、システムに対して長期的な標的キャンペーンを行う高度持続的脅威行為者までを網羅するために使用されるものとする。また、利益を得るために広範なランサムウェアキャンペーンなどの攻撃を行う、外部の低レベルの悪意のある行為者も含まれる。 
The term "non-malicious actor" will be used to indicate an actor who does not have malicious intent but causes a cyber incident. The cyber incident could be a mistake, a change that has unintended consequences or an untested update that causes disruption to normal operations.   また、悪意はないがサイバーインシデントを引き起こす行為者を「非悪意ある行為者」と呼ぶことにする。サイバーインシデントは、ミス、意図しない結果をもたらす変更、通常業務に支障をきたす未試験のアップデートなどである可能性がある。 
This project assumes:   このプロジェクトは、以下を想定している。 
▪ The lab infrastructure for this project has a relatively small number of robotic and manufacturing process nodes which are representative of a larger manufacturing facility.   このプロジェクトのラボのインフラストラクチャは、大規模な製造施設を代表する比較的少数のロボットと製造プロセスノードを備えている。 
▪ The effectiveness of the example solutions is independent of the scale of the manufacturing environment.  サンプルソリューションの有効性は、製造環境の規模に依存しない。
▪ This project focuses on the Respond and Recover portions of the NIST Cybersecurity Framework. It is assumed that the Identify, Detect, and Protect functions have been implemented to some maturity level, and the following capabilities are operationalized including the necessary technologies:  このプロジェクトは、NISTサイバーセキュリティフレームワークの「対応」と「回復」の部分に焦点を当てる。識別、検知、保護の各機能がある程度の成熟度まで実装され、必要な技術を含め、以下の機能が運用されていることを想定している。
o   Managed and protected physical access to the site  o サイトへの物理的なアクセスの管理と保護 
o Segmentation of OT assets from IT assets o IT 資産から OT 資産の区分け
o   Authentication and authorization mechanisms for accessing OT assets   OT 環境及び OT 資産への完全に管理されたリモートアクセス 
o Fully managed remote access to the OT environment and OT assets o 資産及び脆弱性の管理
o   Asset and vulnerability management  o 資産と脆弱性の管理  
o Continuous monitoring and detection o 継続的な監視と検出
o   IT Network protection measures (such as firewalls, segmentation, intrusion detection, etc.)   o ITネットワークの保護対策(ファイアウォール、セグメンテーション、侵入検知など)  
o   Addressed vulnerabilities associated with the supply chain and vendor access    o サプライチェーンとベンダーアクセスに関連する脆弱性への対応 
o People and processes that support back-up and overall enterprise incident response plans. o バックアップとエンタープライズインシデント対応計画全般をサポートする人材とプロセス。
Challenges  課題 
Implementations that provide recovery solutions and procedures need to acknowledge that restoration procedures that involve the use of backups are designed to restore the system to some previous state, but the "last known good state" may not necessarily be free of vulnerabilities. The following challenges associated with backups are acknowledged:   復旧ソリューションと手順を提供する実装では、バックアップを使用した復旧手順は、システムを以前の状態に戻すように設計されているが、「最後に確認された良好な状態」は、必ずしも脆弱性がないとは限らないことを認識する必要がある。バックアップに関連する次のような課題があることを認識する。 
▪ Vulnerabilities may exist in backup data.  バックアップデータには脆弱性が存在する可能性がある。
▪ Backup data may be compromised while in storage.  バックアップデータに脆弱性が存在する可能性 ・バックアップデータが保管中に危険にさらされる可能性 
▪ Dormant or inactive malware may exist in backup data.  バックアップデータには、休眠状態や非活動状態のマルウェアが存在する可能性がある。
Background  背景 
Manufacturing systems are essential to the nation’s economic security. It is critical for manufacturers to consider how cyber incidents could affect plant operations and the safety of people and property. The NCCoE recognizes this concern and is working with industry through consortia under Cooperative Research and Development Agreements with technology partners from Fortune 500 market leaders to smaller companies specializing in OT security. The aim is to address these challenges by demonstrating practical applications of cybersecurity technologies in a scaled-down version of a manufacturing environment.  製造業のシステムは、国家の経済的安全保障に不可欠である。製造業にとって、サイバーインシデントが工場の操業や人々や財産の安全にどのような影響を及ぼすかを考慮することは非常に重要である。NCCoEはこの懸念を認識しており、フォーチュン500のマーケットリーダーからOTセキュリティに特化した中小企業まで、技術パートナーとの共同研究開発契約に基づくコンソーシアムを通じて、産業界と協力して取り組んでいる。その目的は、製造環境の縮小版でサイバーセキュリティ技術の実用化を実証することで、これらの課題に対処することである。
Considering the current era of Industry 4.0, enterprises are connecting business systems and IT networks to OT networks to improve business agility and operational efficiency. However, recent attacks on OT have shown that malicious actors are pivoting into the OT environment from business systems and IT networks. Most OT systems have been historically isolated from business systems and IT networks, and therefore, were not designed to withstand cyber attacks. The cyber risk mitigation technologies used in IT networks are often not suitable for OT networks because of the real-time and deterministic nature of the OT. These lead to the increasing likelihood that organizations may have to respond or recover from an OT cyber incident. This project will provide guidance to manufacturing organizations for designing mitigations into an OT environment to address cyber incidents.  現在のインダストリー4.0時代を考慮すると、企業はビジネスシステムやITネットワークをOTネットワークに接続し、ビジネスの俊敏性と業務効率を向上させようとしている。しかし、最近のOTに対する攻撃は、悪意のあるアクターが業務システムやITネットワークからOT環境に軸足を移していることを示している。ほとんどのOTシステムは、歴史的に業務システムやITネットワークから分離されていたため、サイバー攻撃に耐えられるように設計されていなかった。また、ITネットワークで使用されているサイバーリスク軽減技術は、OTのリアルタイム性と決定論的な性質から、OTネットワークには適さないことが多い。これらのことから、組織がOTのサイバーインシデントに対応または回復しなければならない可能性が高まっている。このプロジェクトは、サイバーインシデントに対処するために、OT環境に緩和策を設計するためのガイダンスを製造企業に提供するものである。
This project will build upon NIST Special Publication 1800-10: Protecting Information and System Integrity in Industrial Control System Environments by identifying and demonstrating capabilities to improve response to and recovery from cyber incidents in the OT environment.  このプロジェクトは、NIST 特別刊行物 1800-10: 産業用制御システム環境における情報およびシステムの完全性の保護に基づいて、OT環境におけるサイバー・インシデントへの対応と回復を改善する能力を特定し、実証するものである。

 

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.11.07 NIST ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティ

・2022.03.19 NIST SP 1800-10 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ

・2022.03.02 NIST ホワイトペーパー(案) 【プロジェクト概要】サイバー攻撃への対応と復旧:製造業のためのサイバーセキュリティ

・2021.10.01 NIST SP 1800-10 (ドラフト) 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ at 2021.09.23

 

 

| | Comments (0)

個人情報保護委員会 パブコメ 「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」の改正(案)

こんにちは、丸山満彦です。

個人情報保護委員会が、「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」の改正(案)に関する意見募集を行っていますね。。。

仮名加工情報についての記載が追加されていますね。。。

 

e-Gov

・2022.12.23 「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルールの一部を改正する告示(案)」に関する意見募集について

 

 ・命令などの案

 ・・[PDF] 補完的ルールの一部を改正する告示(案)  
 

 ・関連資料、その他

 ・・[PDF] 補完的ルールの改正(案)に関する意見募集について    

 ・・[PDF] 補完的ルールの改正(案) 


20221224-00517



| | Comments (0)

個人情報保護委員会 第7回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で「第7回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催されていますね。。。報告書案が出てきましたね。。。

個人情報保護委員会

・議事次第 [PDF] 議事次第

・資料1[PDF] 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)

20230113-30844

※検討会の議論内容を踏まえ、内容を一部修正しています。

目次...


第 1 章  本報告書の背景

1 顔識別機能付きカメラシステムを巡る国内動向
2 本報告書の対象範囲について
(1)
取り扱う個人情報
(2) 顔識別機能付きカメラを設置する空間的範囲
(3) 顔識別機能付きカメラシステムを利用する目的
(4) 顔識別機能付きカメラシステムを利用する主体的範囲

3 本報告書の位置づけ

第 2 章 用語の定義

第 3 章 顔識別機能付きカメラシステムについて

1 顔識別機能付きカメラシステムやその他防犯システムの機能や動向
(1)
顔識別機能付きカメラシステムの技術的仕組み
(2) 顔識別機能付きカメラシステム以外の映像分析技術
(3) その他の防犯システム、対策

2 顔識別機能付きカメラシステムを利用することの利点・懸念点
(1)
顔識別機能付きカメラシステムを利用することの利点
(2) 顔識別機能付きカメラシステムを利用することの懸念点

3 犯罪予防や安全確保のために顔識別機能付きカメラシステムを利用することが想定される場面
(1)
犯罪予防
(2) 要保護者保護

第 4 章 肖像権・プライバシーに関する留意点

1 肖像権・プライバシー侵害を争点とする裁判例
(1)
肖像権・プライバシー侵害を争点とする判例
(2) カメラ撮影に関する肖像権・プライバシー侵害を争点とする裁判例における考慮要素
(3) 顔識別機能付きカメラシステムを利用する場合への示唆

2 不法行為の成否と個人情報保護法の関係
(
参考) カメラ撮影に関する肖像権・プライバシー侵害を争点とする裁判例

第 5 章  顔識別機能付きカメラシステムを利用する際の個人情報保護法上の留意点

1 顔識別機能付きカメラシステムの利用と個人情報保護法の適用について
2 利用目的の特定、通知公表及びその他の個人情報に係る規律
(1)
利用目的の特定
(2) 利用目的等の通知公表等
(3) 不適正利用の防止及び適正取得のための態様
(4) 利用目的の通知公表等の例外
(5) 要配慮個人情報について
(6) 従来型防犯カメラについての考え方

3 運用基準の在り方及び当該内容に関する透明性の確保
(1)
登録基準
(2) 対応手順
(3) 保存期間
(4) 登録消去
(5) 運用基準に関する透明性の確保

4 安全管理措置
5 他の事業者等に対する個人データの提供
(1)
法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき及び公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 委託
(4) 共同利用

6 保有個人データに係る情報の公表等及び開示等の請求や相談への対応
(1)
保有個人データについて
(2) 保有個人データに係る情報の公表等
(3) 開示等の請求や相談への対応

(
参考) 顔識別機能付きカメラシステムに関する委託

第 6 章 事業者の自主的な取組として考えられる事項

1 実現しようとする内容の明確化・適切な手段の選択
2 導入前の影響評価
3 被撮影者への十分な説明
4 他の事業者との連携
5 導入後の検証

別紙1:顔識別機能付きカメラシステムの利用を巡る国際的な議論
別紙2:顔識別機能付きカメラシステムの検討の観点リスト
別紙3:施設内での掲示案
(参考資料)犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会


  

・資料2 [PDF] 今後のスケジュール(想定)

・参考資料 [PDF] 第6回検討会議事概要

 

Fig_20220201061401

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.09.10 個人情報保護委員会 第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.06.24 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

 

| | Comments (0)

ドイツ ドラフト サイバー攻撃のロギングと検知のための最低基準

こんにちは、丸山満彦です。

ドイツが、サイバー攻撃のロギングと検知のための最低基準に関する公開草案を公表していますね。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.12.22 Community Draft zum Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen veröffentlicht

Community Draft zum Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen veröffentlicht サイバー攻撃のロギングと検知のための最小限の基準の公開草案を公開
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Entwurf des Mindeststandards zur Protokollierung und Detektion von Cyber-Angriffen Version 1.0a.4 als Community Draft veröffentlicht. Das BSI lädt das interessierte Fachpublikum ein, Kommentierungen und Rückmeldungen zur Mitgestaltung bis zum 10. Februar 2023 per E-Mail an [mail] zu richten. ドイツ連邦情報セキュリティ局(BSI)は、サイバー攻撃のログ記録と検知のための最低基準バージョン1.0a.4のドラフトをコミュニティドラフトとして公開した。BSI は、2023 年 2 月 10 日までに共同草案に対するコメントやフィードバックを電子メールにて [mail] 宛てに提出するよう、関心のある専門家国民に呼びかけている。
Eine wesentliche Neuerung im aktuellen Entwurf ist die weitgehende Integration der "Protokollierungsrichtlinie Bund" (PR-B), die bislang als Anlage zum Mindeststandard vorlag. Somit wurden die Sicherheitsanforderungen sowohl zur Protokollierung als auch zur Detektion umfassend überarbeitet und erweitert. Das „Rahmendatenschutzkonzept“ (RDSK) wird zudem aufgrund der geänderten Rechtsgrundlage (§§ 5 und 5a BSIG) sowie des Angebotes der datenschutzkonformen, zentralen Protokollierungs- und Detektionsinfrastruktur („Detection as a Service“) des BSI nicht länger als Anlage zum MST benötigt. 今回の草案の大きな革新点は、これまで最低基準の附属書として用意されていた「連邦議定書ガイドライン」(PR-B)を広範囲に統合したことである。このように、ロギングと検知の両面において、セキュリティ要件が包括的に見直され、拡充されました。さらに、法的根拠の変更(§5および5a BSIG)およびBSIのデータ保護に準拠した中央ログおよび検出インフラ(「Detection as a Service」)の提供により、「データ保護に関する枠組み概念」(RDSK)はMSTの附属書としてもはや必要ではなくなった。
Fachlich fundierte Kommentierungen sind sowohl aus der Bundesverwaltung als auch aus den öffentlichen Stellen der Länder und Kommunen sowie aus der IT-Wirtschaft willkommen. Sie sind ein wichtiger Bestandteil der Qualitätssicherung des Mindeststandards und tragen dazu bei, ihn aktuell und praxisnah zu gestalten. 連邦政府、レンダーや自治体の公的機関、IT業界からの専門的な意見を待っている。これらは、最低基準の品質保証の重要な部分であり、最低基準を最新かつ実用的なものに維持するために役立っている。

 

・2022.12.22 Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen

Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen サイバー攻撃のログと検知のためのBSI最低基準
Immer häufiger werden Cyber-Angriffe auf Unternehmen und Regierungen bekannt, die folgenschwere Konsequenzen für die Betroffenen auslösen. Um Cyber-Angriffe auf die Bundesverwaltung erkennen und behandeln zu können, reguliert dieser Mindeststandard die Protokollierung und Detektion von sicherheitsrelevanten Ereignissen in der Kommunikationstechnik des Bundes. 企業や政府機関に対するサイバー攻撃はますます増加し、被害を受けた人々には深刻な影響が及んでいる。連邦政府に対するサイバー攻撃を認識し対処できるようにするため、この最低基準は、連邦政府の通信技術におけるセキュリティ関連イベントの記録と検出を規制している。
Anhand dieses Mindeststandards etabliert das BSI die bereits durch den Umsetzungsplan 2017 geforderte einheitliche Herangehensweise zur Erkennung von Cyber-Angriffen und bildet eine Grundlage für die Einforderung und Umsetzung von organisatorischen und technischen Maßnahmen. Für eine gemeinsame Basis und Anwendung legt der Mindeststandard daher auch zunächst besonders relevante Begriffe fest. Weiterhin werden die Bausteine OPS.1.1.5 Protokollierung und DER.1 Detektion von sicherheitsrelevanten Ereignissen aus dem modernisierten IT-Grundschutz entsprechend konkretisiert. Dazu werden die Anlagen Protokollierungsrichtlinie Bund (PR-B) und Rahmendatenschutzkonzept (RDSK) als fester Bestandteil des Mindeststandards aufgenommen. Die PR-B dient zum einen als konkretes Rahmenwerk für die Umsetzung der Basisanforderung OPS.1.1.5.A1 Erstellung einer Sicherheitsrichtlinie für die Protokollierung und zum anderen als Umsetzungsrichtlinie zu § 5 Abs. 1 S. 1 Nr. 1 i. V. m. S. 4 BSIG. この最低基準を用いて、BSIは、2017年の実施計画ですでに求められているサイバー攻撃を検知するための統一的なアプローチを確立し、組織的・技術的な対策を呼びかけ、実施するための基礎を形成している。そのため、共通した基礎と応用のために、最低基準では特に関連する用語も最初に定義している。さらに、近代化された IT-Grundschutz のモジュール OPS.1.1.5 ロギング と DER.1 セキュリティ関連事象の検知は、それに応じて具体化されている。このため、最低基準の固定要素として、附属書「連邦政府向けロギングガイドライン(PR-B)」と「データ保護コンセプトの枠組み(RDSK)」が含まれている。PR-B は、基本要件 OPS.1.1.5.A1 ロギングに関するセキュリティガイドラインの作成のための具体的な枠組みとして、また、§5 パラ1 p.1 no.1 と p.4 BS.1 を合わせた実装ガイドラインとして機能する。V. m. S. 4 BSIG.
Aktualisierung Dezember 2022: Derzeit arbeitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) an einer neuen Version des Mindeststandards zur Protokollierung und Detektion von Cyber-Angriffen. Der aktuelle Entwurf der Version 1.0a.4 steht als Community Draft zum Download bereit. Eine Liste mit den wichtigsten Änderungen des Mindeststandards gegenüber seiner Vorgängerversion finden Sie unter: Änderungsübersicht zum Mindeststandard zur Protokollierung und Detektion. Fachlich fundierte Kommentierungen sind sowohl aus der Bundesverwaltung als auch aus den öffentlichen Stellen der Länder und der Kommunen sowie aus der IT-Wirtschaft willkommen. Ihre Rückmeldungen sind ein wichtiger Bestandteil der Qualitätssicherung des Mindeststandards, indem sie dazu beitragen, ihn aktuell und praxisnah zu gestalten. Das BSI lädt daher das interessierte Fachpublikum dazu ein, Kommentierungen und Rückmeldungen zur Mitgestaltung bis zum 10.02.2023 per E-Mail an [mail] zu richten. 2022年12月更新:連邦情報セキュリティ局(BSI)は現在、サイバー攻撃のログと検知のための最低基準の新バージョンを作成中である。現在のバージョン1.0a.4のドラフトは、コミュニティドラフトとしてダウンロードが可能である。 ミニマム・スタンダードの旧版と比較しての重要な変更点の一覧は、以下を参照のこと。 ロギングと検出のための最低基準への概要変更。 連邦行政機関だけでなく、レンダーや自治体の公共機関、IT産業からの専門的なコメントを歓迎する。これらのフィードバックは、ミニマムスタンダードを最新かつ実用的なものに維持するために重要な品質保証の一部となっている。そこでBSIは、関心をお持ちの専門家の方々に対し、2023年2月10日までに、コ・デザインに関する意見・感想は電子メールにて [mail] まで。
Download Community Draft コミュニティ・ドラフトをダウンロード
Community Draft des überarbeiteten Mindeststandards des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Protokollierung und Detektion von Cyber-Angriffen in der Bundesverwaltung 連邦政府におけるサイバー攻撃の記録と検知のための第8条(1)項第1文BSIGに基づくBSIの最低基準改訂の共同体草案
Download Mindeststandard ミニマムスタンダードのダウンロード
Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Protokollierung und Detektion von Cyber-Angriffen in der Bundesverwaltung 連邦行政におけるサイバー攻撃の記録と検知のための§8パラ1文1BSIGに従ったBSIの最低基準
Download Technische Umsetzungshinweise zur Protokollierungsrichtlinie Bund (PR-B) 連邦政府伐採政策(PR-B)の技術的実施ガイドラインをダウンロードする
In der Anforderung PRB.I.1.1.1.2 werden technische Umsetzungshinweise zur Protokollierungsrichtlinie Bund (PR-B) referenziert. Diese sind nach der Verschlusssachenanweisung (VSA) als “VS – NUR FÜR DEN DIENSTGEBRAUCH" eingestuft und sind daher hier nicht veröffentlicht. 要件PRB.I.1.1.2において、連邦政府伐採方針(PR-B)に関する技術的実施要領が参照されている。これらは、機密情報(VSA)により「VS - FOR OFFICE USE ONLY」に分類されているため、ここでは公開していません。
Die Umsetzungshinweise können über den geschützten Bereich heruntergeladen werden. Bei Rückfragen können Sie gerne Kontakt mit uns aufnehmen. 実装説明書は、プロテクトエリアからダウンロードできます。ご不明な点がございましたら、お気軽にお問い合わせください。
Weitere empfehlenswerte Dokumente その他の推奨資料
Umsetzungsplan Bund 連邦政府の実施計画
BSI-Gesetz BSI法

 

・[PDF] Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen

20221223-231853

目次...

 

Inhalt   コンテンツ  
1  Beschreibung  1 内容 
1.1  Begriffsbestimmung und Abgrenzung  1.1 定義と区切り 
1.1.1  Zu protokollierende Ereignisse  1.1.1 ロギングされるイベント 
1.1.2  Kontinuierlicher Prozess  1.1.2 継続的なプロセス 
1.1.3  Aufgabenbereiche  1.1.3 タスクエリア 
1.2  Modalverben  1.2 モーダル動詞 
2  Sicherheitsanforderungen  2 安全に関する要求事項 
2.1  Allgemeine Anforderungen  2.1 一般要求事項 
2.2  Protokollierung  2.2 ロギング 
2.3  Detektion  2.3 検知 
Glossar  用語集 
Literaturverzeichnis  書誌情報 
Abkürzungsverzeichnis  略語一覧 

 

・[DOCX] 仮対訳

 

 

| | Comments (0)

2022.12.23

中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

こんにちは、丸山満彦です。

来年1月10日に施行されることになる「インターネット情報サービス深層合成管理規定」に関する専門家のコメント。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

 

专家解读|加速推进深度合成服务规范化 専門家の解釈|深層合成サービスの標準化を加速させる
专家解读|加快规范深度合成技术应用 専門家の解釈|深層合成技術のアプリケーションの標準化を加速する
专家解读|规范智能技术供给 构建现代化深度合成治理能力 専門家の解釈|知的技術の供給を調整し、現代の深層合成統治能力を構築する。
专家解读|推动深度合成服务综合治理 促进深度合成技术安全发展 専門家の解釈|深層合成サービスの包括的なガバナンスの推進 深層合成技術の安全な開発の推進
专家解读|规范深度合成服务 营造风清气正的网络空间 専門家の解釈|クリーンなサイバースペースを実現するための深層合成サービスの規制

 

 

・2022.12.12 专家解读|加速推进深度合成服务规范化

专家解读|加速推进深度合成服务规范化 専門家の解釈|深層合成サービスの標準化を加速させる
随着人工智能和大数据技术的飞速发展,深度合成技术在互联网信息服务中得到广泛应用。这些技术在为用户提供个性化、精准化、智能化信息服务的同时,如非法应用也容易引发侵害用户合法权益、传播违法信息、操纵社会舆论等一系列问题,给国家利益、社会公共利益和公民合法权益带来巨大挑战。11月25日,国家网信办会同工信部、公安部发布《互联网信息服务深度合成管理规定》(下文简称《规定》),以贯彻落实《网络安全法》《数据安全法》《个人信息保护法》和《互联网信息服务管理办法》等法律、行政法规有关规定。《规定》是我国第一部针对深度合成服务治理的专门性部门规章,对规范深度合成服务、促进相关应用健康发展具有重要时代意义。 人工知能やビッグデータ技術の急速な発展に伴い、深層合成技術はインターネット情報サービスにおいて広く活用されている。 これらの技術は、パーソナライズされた正確かつインテリジェントな情報サービスをユーザーに提供し、違法なアプリケーションなども、ユーザーの合法的な権利と利益を侵害する傾向がある、違法な情報の普及、社会的意見と問題の一連の操作は、国益、社会公共の利益と市民の正当な権利と利益は大きな課題をもたらす。 11月25日、国家サイバースペース管理局は、工業情報化部、公安部とともに、「ネットワークセキュリティ法」、「データセキュリティ法」、「個人情報保護法」および「インターネット情報サービス管理弁法」などの関連法律、行政法規を実施するために、「インターネット情報サービス深層合成管理規定(以下「規定」)」を公布した。 本規定は、深層合成サービスのガバナンスに関する中国初の専門部門規定であり、深層合成サービスを規制し、関連アプリケーションの健全な発展を促進する上で、時代に大きな意味を持つものである。
一、深度合成成为重要技术应用 1:深層合成が重要な技術的アプリケーションになること
深度合成技术,是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、视频、音频、虚拟场景等网络信息的技术。深度合成技术最大的特点之一是“以假乱真”,其通过人工智能和大数据算法合成的虚拟数据具有极佳的视觉、听觉等效果,能够使人难辨真假。深度合成技术的代表性研究是在2014年提出的生成对抗网络(GAN),其通过对抗式迭代训练生成器和判别器两个部分,大幅提升数据生成的逼真程度,使得深度合成的结果难以被人眼辨别真伪。伴随着日益增长的应用需求,深度合成技术在教育、影视、传媒等领域扮演着愈发重要的角色,其面部替换、表情操纵、语音合成等不同技术分支,能够升级传统内容制作方法,改善制作效果,提高制作效率,在各类商业化产品中使用比例显著提升。 深層合成技術は、テキスト、画像、映像、音声、仮想シーンなどのネットワーク情報技術を生成するために、深層学習、バーチャルリアリティなどの世代合成クラスのアルゴリズムを使用することを指す。 深層合成技術の最大の特徴は、「本物であることを偽る」ことであり、人工知能やビッグデータのアルゴリズムによって合成された仮想データは、視覚や聴覚に優れた効果をもたらし、人が本物と偽物の区別をつけることを難しくしている。 深層合成技術の代表的な研究は、2014年に提案されたGAN(Generative Adversarial Network)で、生成器と識別器の成分を敵対的に反復して学習させることでデータ生成の忠実度を大幅に高め、深層合成の結果を人間の目で識別しにくくするものである。 アプリケーションの需要の高まりとともに、深層合成技術は教育、映画、メディアにおいてますます重要な役割を果たすようになり、顔の置き換え、表情操作、音声合成などの異なる技術分野が、従来のコンテンツ制作方法をアップグレードし、制作結果を改善し、制作効率を高めることができ、あらゆる種類の商業製品に使用される割合が著しく高まっている。
二、深度合成技术非法使用带来严重安全风险 2:深層合成技術の違法使用は深刻なセキュリティリスクをもたらす
深度合成技术在支持正向应用的同时,也为我们带来新的安全风险。随着深度合成技术的快速发展,其使用门槛愈发降低,呈现出“平民化”的趋势。普通人可以利用简单方便的软件或工具,制作出真假难辨的合成内容。若非法使用深度合成技术,将导致传播违法和不良信息的乱象,对社会信任、媒体信任、政治信任造成冲击。例如,不法分子通过制作虚假的视频、图像、音频等,进行诽谤、诈骗、勒索、诬陷,甚至通过从互联网获得明星、高管、学者、政要的视频、图像、音频数据,利用深度合成技术对其进行恶意攻击。误用、滥用以及恶意使用深度合成技术生成的数据,将为个人、企业带来声誉损害和财产损失,甚至对国家安全、社会稳定造成威胁。因此,《规定》聚焦深度合成服务乱象问题,构建算法安全治理体系,规范互联网信息服务深度合成管理,意义重大,影响深远。 深層合成技術は、積極的な応用を支える一方で、私たちに新たなセキュリティリスクをもたらす。 深層合成技術の急速な発展に伴い、その敷居はどんどん低くなり、「民生化」の傾向を示している。 一般の人でも、簡単で便利なソフトやツールを使えば、本物と見分けがつかないような合成コンテンツを作ることができる。 深層合成技術の違法な使用は、違法かつ望ましくない情報の発信につながり、社会的、メディア的、政治的信頼に影響を与える。 例えば、悪徳業者が名誉毀損、詐欺、脅迫、言いがかりのために虚偽の動画・画像・音声を作成したり、有名人、経営者、学者、要人の動画・画像・音声データをインターネット上から入手し、深層合成技術を使って悪意を持って攻撃することもある。 深層合成技術によって生成されたデータの誤用、悪用、悪意ある利用は、個人や企業に風評被害や財産損失をもたらし、さらには国家の安全や社会の安定に脅威を与えることになる。 そのため、「規定」は深層合成サービスの混沌の問題に焦点を当て、アルゴリズムセキュリティのガバナンスシステムを構築し、インターネット情報サービスの深層合成の管理を標準化し、大きな意義と遠大な影響力を持つものである。
三、正确处理服务管理规范与技术研究发展的关系 3:サービスマネジメント標準と技術研究開発の関係を正しく処理すること
深度合成技术研究应在安全可靠的基础上推进,在规范中科学发展。深度合成技术已展现其强大的能力,在各个领域的加速应用已成为趋势。然而,在相关技术研究发展的同时,也须直面技术带来的风险,保证算法和数据的安全性、可靠性,最大程度做到技术进步的趋利避害。《规定》在保护深度合成技术良性发展的基础上,明确了生成合成类算法治理的对象,确立了算法治理的基本原则,并鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,强化了深度合成服务提供者和技术支持者的主体责任,为安全可靠的深度合成技术发展指明了方向,并为技术的服务应用提供指引和规范。 深層合成技術の研究は、安全性と信頼性を基本に、標準化における科学的な開発を推進する必要がある。 深層合成技術は、その強力な能力を発揮し、様々な分野への応用が加速している。 しかし、関連技術の研究開発が進む一方で、技術がもたらすリスクと向き合い、アルゴリズムやデータの安全性・信頼性を確保し、被害を回避するために技術の進歩を最大限に活用することが必要である。 本規定は、深層合成技術の良性発展を保護することを前提に、生成合成のアルゴリズムのガバナンスの対象を明確にし、アルゴリズムのガバナンスの基本原則を確立し、関連業界団体が業界の自主規制を強化し、業界標準、業界指針、自主規制管理システムを構築・改善し、深層合成サービス提供者と技術支援者の主な責任を強化し、安全で信頼できる深層合成技術の発展の方向を指し示すことを奨励する。 また、その技術のサービス応用のためのガイドラインと仕様を提供する。
四、深度合成的安全性、可靠性保障对技术治理提出新要求 4:深層合成の安全性と信頼性の保証は、技術的なガバナンスに新たな要件を提示している
《规定》在规范互联网信息服务深度合成管理的同时,也为相关安全性、可靠性保障提出了新的技术治理要求。一方面,深度合成服务提供者应加强深度合成内容管理,建立健全用于识别违法和不良信息的特征库,在非人工审核情形下,则应对使用者的输入数据和合成成果进行精准有效的技术审核,进而对违法和不良信息依法采取处置措施。另一方面,深度合成服务提供者对使用其服务生成或者编辑的信息内容,应当采取技术措施添加不影响用户使用的标识。这要求服务提供者开发新的技术,在不影响用户使用的前提下,在视频、图像、音频、虚拟场景等深度合成信息上合理添加显著标识。此外,由于数据传输过程中,可能会出现如视频帧率降低、图像压缩等常见处理,所添加标识还须具备强鲁棒性,避免在传输过程的正常处理中受到破坏。 同規定は、インターネット情報サービスの綿密な合成管理を規制するとともに、関連するセキュリティと信頼性の保証に関する新たな技術的ガバナンスの要件を提示している。一方、深層合成サービス提供者は、深層合成コンテンツの管理を強化し、違法・望ましくない情報を識別するための健全な機能ライブラリを構築し、非手動監査の場合は、ユーザの入力データおよび合成結果に対して正確かつ有効な技術監査を行い、違法・望ましくない情報に対して法に従った処分措置を講じる必要がある。 一方、深層合成サービス提供者は、そのサービスを利用して生成・編集された情報コンテンツの利用者に影響を与えないような表示を付加する技術的な措置を講じる必要がある。 そのため、サービス提供者には、映像、画像、音声、仮想シーンなどの深層合成情報に、ユーザーの利用に影響を与えることなく、合理的に目立つマークを付加する新技術の開発が求められている。 また、データ伝送中に動画のフレームレート低下や画像圧縮などの一般的な処理が行われることがあるため、付加されるマークも通常の伝送処理で乱れないようなロバスト性が求められる。
综上,《规定》的颁布标志着我国深度合成服务的规范管理工作进入新阶段。深度合成服务提供者和技术支持者应认真学习和理解《规定》,明确主体权责,积极应对深度合成安全性、可靠性技术要求。深度合成服务使用者也应加强算法应用的安全意识,保证使用的合规合法性,有效维护自身的合法权益。(作者:周杰,清华大学研究生院院长) 要約すると、この規定の公布は、中国における深層合成サービスの標準的な管理における新たな段階を示すものである。 深層合成サービス提供者及び技術支援者は、本規定を真剣に検討・理解し、主な権利と責任を明確にし、深層合成の安全性と信頼性に関する技術的要求に積極的に対応する必要がある。 また、深層合成サービス利用者は、アルゴリズムアプリケーションのセキュリティ意識を強化し、コンプライアンスと使用の合法性を確保し、正当な権利と利益を効果的に保護する必要がある。 (著者:清華大学大学院院長 周傑氏)

 

・2022.12.12 专家解读|加快规范深度合成技术应用

专家解读|加快规范深度合成技术应用 専門家の解釈|深層合成技術のアプリケーションの標準化を加速する
近年来,人工智能各项技术飞速发展,应用更加普及多元。其中,深度合成技术作为人工智能领域的创新应用技术,以其较低的应用门槛、较强的娱乐属性、丰富的应用场景受到广泛关注。特别是在互联网信息服务领域,深度合成技术丰富了网络内容形式,进一步释放新技术新应用发展活力。但是,部分深度合成技术应用缺乏规范,对国家安全、社会稳定和公民合法权益带来风险挑战。党的二十大报告强调,“健全网络综合治理体系,推动形成良好网络生态”。《法治社会建设实施纲要(2020-2025年)》明确要求,要制定完善算法推荐、深度伪造等新技术应用的规范管理办法。为规范深度合成服务,国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》(以下简称《规定》)。《规定》通过系统性、创新性制度设计,首次回应了对深度合成服务的管理要求,为互联网信息服务深度合成的规范发展提供了基本遵循和合法依据。 近年、人工知能の様々な技術が急速に発展し、その応用も普及・多様化している。 その中でも、人工知能分野の革新的な応用技術として、応用の敷居が低く、エンターテインメント性が高く、応用シーンが豊富な深層合成技術は、広く関心を持たれている。 特にインターネット情報サービスの分野では、深層合成技術がネットワークコンテンツの形態を豊かにし、新しい技術やアプリケーションの開発の活力をさらに解放している。 しかし、一部の深層合成技術の応用が規制されていないため、国家の安全保障、社会の安定、国民の正当な権利と利益に対するリスク課題が発生している。 第20回党大会の報告書では、「良好なネットワーク生態の形成を促進するために、包括的なネットワークガバナンスシステムを改善すべきである」と強調されている。 法の支配社会実現要綱(2020-2025)」では、アルゴリズム推薦やディープフォージアなどの新技術を適用するための標準的な管理手法の開発が明確に求められている。 深層合成サービスを規制するため、国家インターネット情報弁公室、工業情報化部、公安部が共同で「インターネット情報サービス深層合成管理規定」(以下、「規定」という)を公布した。 規定は、"体系的かつ革新的なシステム設計を通じて、初めて深い合成サービスの管理要件に対応し、インターネット情報サービスの開発の標準化のための深い合成は、基本的なフォローアップと法的根拠を提供する。
一、坚持系统观念,完善互联网信息服务法律体系 1:システムコンセプトを堅持し、インターネット情報サービスの法制度を改善する。
《规定》积极落实党的二十大报告关于立法系统性、整体性、协同性、时效性的要求,对互联网信息服务深度合成作出了科学全面的制度规范。一方面,《规定》有效衔接了相关法律法规。在《网络安全法》《数据安全法》《个人信息保护法》《互联网信息服务管理办法》等上位法框架下,《规定》有效承接了《网络信息内容生态治理规定》《网络音视频信息服务管理规定》《互联网信息服务算法推荐管理规定》等规章、规范性文件中关于网络信息内容管理、新技术新应用安全评估、显著标识、备案管理等制度规定,对深度合成服务管理机制、主体责任等作出了衔接性制度安排。另一方面,《规定》构建了统筹协调、多方参与的监管体制。《规定》明确,国家网信部门负责统筹协调全国深度合成服务的治理和监督管理工作,国务院电信主管部门、公安部门依据各自职责负责深度合成服务的监督管理工作。地方网信部门负责统筹协调本行政区域内深度合成服务的治理和监督管理工作,地方电信主管部门、公安部门依据各自职责负责本行政区域内深度合成服务的监督管理工作。《规定》还鼓励相关行业加强行业自律,搭建齐抓共管、协同共治的治理机制。《规定》的出台,全面贯彻落实了党中央关于网络综合治理的最新要求,通过系统化的制度安排进一步构建完善了我国网络综合治理法治体系。 本規定は、第20回党大会報告の体系的、全体的、相乗的、時宜にかなった立法という要求を積極的に実行し、インターネット情報サービスの綿密な総合化を科学的、包括的に制度規制するものである。 一方、この規定は、関連する法律や規制を効果的に橋渡ししている。 「ネットワークセキュリティ法」、「データセキュリティ法」、「個人情報保護法」、「インターネット情報サービス管理弁法」などの上位法の枠組みの下で、「ネットワーク情報コンテンツ生態ガバナンス規定」、「ネットワーク音声映像情報サービス管理規定」、「インターネット情報サービスアルゴリズム推薦管理規定」などのネットワーク情報コンテンツ管理、新技術・新用途安全評価、重要表示、記録管理などに関する規定および規範文書が実質的に継承されている。 評価、重要なロゴ、レコード管理およびその他のシステムの規定、合成サービス管理機構の深さ、主な責任など、制度的な取り決めの関節を作るために。一方、本規定は、協調的かつ参加型の規制システムを構築している。 「規定」は明確に、国家ネット情報部門は国家深層合成サービスのガバナンスと監督を調整する責任があり、国務院電信部門と公安部門はそれぞれの責任に応じて深層合成サービスの監督と管理を担当する。 現地のネットワーク情報部門は当行政区の深層合成サービスのガバナンスと監督を調整する責任を負い、現地の電信担当部門と公安部門はそれぞれの任務に応じて当行政区の深層合成サービスの監督と管理を担当する。 また、同規定は、関連業界が業界の自主規制を強化し、共同管理・共同ガバナンスのガバナンス機構を構築することを推奨している。 規定の導入は、包括的ネットワークガバナンスに関する党中央委員会の最新の要求を全面的に実施し、体系的な制度整備を通じて、中国の包括的ネットワークガバナンス法治システムをさらに構築し、改善したものである。
二、坚持问题导向,精准破解深度合成治理难题 2:問題志向を堅持し、正確な亀裂の深さを合成するガバナンスの問題
近年来,深度合成技术在社交、影视、广告、医疗、教育、科研等诸多领域不断深化应用,展现出较大的技术价值和商用潜力。同时,其“双刃剑”效果明显,在增加社会福祉的同时也带来一系列风险挑战。一是深度合成技术被用于非法目的,侵犯个人合法权益。如有案例反映诈骗分子利用深度合成技术冒充公司高管的声音,诈骗该公司另一名高管巨额款项,给个人财产权益造成了重大损失。二是深度合成虚假内容引发信任危机,影响社会稳定。利用深度合成技术形成的新闻信息本身真实性、客观性难以保障,更有不法分子利用深度合成技术发布虚假新闻、散布谣言等,造成错误舆论导向,影响社会稳定。三是深度合成技术可能被敌对势力恶意利用,威胁国家安全。国外已出现多起利用深度合成技术伪造政治人物、公众人物音频和视频的情形,不仅影响国内政治稳定,还可能会引发国家间的危机冲突。 近年、深層合成技術は、ソーシャルネットワーク、映画・テレビ、広告、医療、教育、科学研究など多くの分野で応用が深まり、より大きな技術的価値と商業的可能性を示している。 同時に、その「諸刃の剣」的な効果は明らかで、社会福祉を高める一方で、一連のリスク課題ももたらしている。 第一に、深層合成技術は、個人の正当な権利や利益を侵害し、違法な目的で使用されている。 例えば、詐欺師が深層合成技術を使って企業幹部の声になりすまし、その企業の別の幹部から多額の金銭を詐取し、個人の財産権に大きな損害を与える事例がある。 第二に、虚偽の内容の深い合成は、信頼の危機を引き起こし、社会の安定に影響を与えた。 深層合成技術を利用して形成されたニュース情報の真偽や客観性を保証することは難しく、深層合成技術を利用して虚偽のニュースを発表したり、風説を流布したりして、誤った世論誘導を行い、社会の安定に影響を与える悪徳業者さえ存在する。 第三に、深層合成技術が敵対勢力に悪用され、国家の安全保障が脅かされる可能性があることである。 海外では、深層合成技術を利用して政治家や公人の音声や映像を改ざんする事例が多発しており、国内の政治的安定に影響を与えるだけでなく、国家間の危機的な対立につながる可能性もある。
《规定》聚焦深度合成服务中存在的主要风险隐患进行针对性制度设计。一是明确深度合成服务不得用于非法目的。禁止任何个人和组织利用深度合成服务制作、复制、发布、传播法律、行政法规禁止的信息,或从事危害国家利益、社会公共利益或个人合法权益等违法活动。禁止深度合成服务提供者和使用者利用深度合成服务制作、复制、发布、传播虚假新闻信息。二是强化对个人合法权益的保护。《规定》强调深度合成服务提供者和技术支持者应当强化个人信息保护,提供人脸、人声等生物识别信息编辑功能的,须提示使用者依法取得个人单独同意。防止个人信息被非法利用,侵害个人合法权益。三是对深度合成服务提供者提出安全管理要求。《规定》要求深度合成服务提供者进行用户真实身份认证,建立信息发布审核、反电信网络诈骗等管理制度。《规定》通过相关制度设计,科学精准地回应了深度合成服务应用发展对国家、社会及个人带来的风险挑战,为促进新技术新应用的规范发展提供了有益范例。 本規定は、深層合成サービスの主なリスクとハザードに焦点を当て、的を射たシステム設計を行うことを目的としている。 まず、深層合成サービスを違法な目的に使用してはならないことを明記している。 個人・団体を問わず、深層合成サービスを利用して、法律や行政法規で禁止されている情報を作成・複写・公開・流布したり、国益・社会公共利益や個人の正当な権利・利益を脅かすなどの違法行為をすることは禁止されている。 深層合成サービス提供者および利用者が、深層合成サービスを利用して、虚偽のニュース情報を作成、コピー、公開、発信することは禁止されている。 第二に、個人の正当な権利と利益の保護が強化されることである。 同規定では、深層合成サービス提供者や技術支援者は個人情報保護を強化すること、顔や声などの生体情報編集機能を提供するユーザーには、法律に基づき、本人の個別の同意を得るよう促すことが強調されている。 個人情報が個人の正当な権利・利益を侵害する目的で不正に利用されることを防止する。 第三に、深層合成のサービスを提供する事業者に対して、安全管理上の要求事項が課せられている。 同規定は、深層合成サービス事業者に対し、ユーザーの実名認証の実施、情報公開監査や通信ネットワーク不正防止などの管理体制の確立を義務付けている。 関連するシステム設計を通じて、本規定は深層合成サービスアプリケーションの開発が国家、社会、個人にもたらすリスク課題に科学的かつ的確に対応し、新しい技術やアプリケーションの標準的開発を促進する有用な事例を提供した。
三、坚持规范发展,促进深度合成技术向上向善 3:規制の整備を主張し、深層合成技術の上昇を促進する
随着深度合成技术不断优化发展,其开发应用的空间将更为广阔。近几年,深度合成信息内容制作和传播数量高速增长。同时,在“元宇宙”等新模式新场景下,深度合成技术将为智能化、视觉化、场景化、虚拟化的互联网信息服务发展提供更多技术实现方案。《规定》坚持统筹发展和安全,以促进技术在规范中发展为价值取向,在明确“红线”的同时为技术发展留足空间。一是对深度合成服务明确技术向善要求。《规定》要求提供深度合成服务应当尊重社会公德和伦理道德,坚持正确政治方向、舆论导向、价值取向,促进深度合成服务向上向善。同时要求深度合成服务提供者应当建立算法机制机理审核、科技伦理审查等管理制度。二是以技术手段保障深度合成内容可溯源。《规定》要求深度合成服务提供者通过有效技术措施对使用其服务所制作的信息内容添加标识,保证深度合成信息内容可识别、可追溯。三是区分场景规定差异化管理要求。《规定》要求深度合成服务提供者对其生成或编辑的信息内容添加不影响用户使用的标识,但对于可能导致公众混淆或误认的深度合成信息内容应当进行显著标识。同时,要求具有舆论属性或者社会动员能力的深度合成服务提供者和技术支持者履行备案义务。《规定》基于不同的应用场景对深度合成服务进行区分管理,在实现监管目的的同时也为技术发展提供了有效保障。 深層合成技術の継続的な最適化と開発により、その開発・応用領域はより広範囲に及ぶことになるだろう。 近年、深層合成の情報コンテンツ制作・発信が急増している。 同時に、「メタバース」などの新しいモデルやシナリオにおいて、深層合成技術は、インテリジェントで可視化されたシナリオベースの仮想化されたインターネット情報サービスの開発に、より多くの技術的ソリューションを提供することになるだろう。 規定は、十分なスペースを残すために技術の発展のために同時に明確な "レッドライン"で、値の方向の仕様の技術の発展を促進するために、開発とセキュリティの調整に準拠している。第一に、良いものを作るための深層合成サービスには、明確な技術的要件がある。 この規定では、深層合成サービスの提供は、社会道徳と倫理を尊重し、正しい政治の方向性、世論誘導、価値志向を堅持し、深層合成サービスを善導することが求められている。 同時に、深層合成サービスを提供する事業者に対しては、アルゴリズム機構の監査や科学技術の倫理審査などの管理体制を構築することを求めている。 第二に、深層合成のコンテンツのトレーサビリティを技術的に保証すること。 同規定は、深層合成サービス提供者に対し、深層合成情報コンテンツの識別と追跡が可能なように、有効な技術的手段によって、そのサービスを利用して作成された情報コンテンツにマークを付加することを求めている。 第三に、シーンを差別化し、管理上の必要性を提供する。 規定では、深層合成サービス事業者が生成または編集した情報コンテンツに、利用者の利用に影響を与えないような表示を加えることを求めているが、一般利用者の混乱や誤解を招く恐れがある深層合成の情報コンテンツは目立つように表示する必要がある。 同時に、世論属性や社会動員能力を持つ深層合成サービス提供者やテクニカルサポーターが、ファイリング義務を果たすことが求められる。 本規定は、深層合成サービスの管理を異なる適用シナリオに基づいて区別し、規制目的を達成しつつ、技術開発を効果的に保護するものである。
四、坚持底线原则,压实深度合成服务相关主体责任 4:ボトムラインの原則を守り、深層合成サービスに関する主な責任をコンパクトにまとめる
深度合成服务提供者和技术支持者,既是新技术新应用的创造者、受益者,也应是控制技术风险、引导技术向善的责任践行者。《规定》围绕明确各方责任义务进行了系统性制度设计。一方面,明确深度合成服务提供者的主体责任。《规定》要求深度合成服务提供者建立健全算法机制机理审核、信息内容管理、从业人员教育培训等管理制度,具备安全可控的技术保障措施。制定并公开管理规则和平台公约,并提示深度合成服务技术支持者和使用者承担信息安全义务。加强内容管理,采取技术或者人工方式对输入数据和合成结果进行审核,并建立健全相关特征库。加强技术管理,定期审核、评估、验证算法机制机理。提供具有对人脸、人声等生物识别信息或者可能涉及国家安全、国家形象、国家利益和社会公共利益的特殊物体、场景等非生物识别信息编辑功能的模型、模板等工具的,应当开展安全评估。加强训练数据管理,采取必要措施保障数据和个人信息安全。另一方面,明确深度合成服务技术支持者等主体的责任义务。《规定》要求深度合成服务技术支持者应承担训练数据管理、算法机制机理审核、安全评估等义务。应用程序分发平台应落实上架审核、日常管理、应急处置等安全管理责任。 深層合成のサービス提供者と技術支援者は、新技術と新用途の創造者と受益者であるだけでなく、技術リスクを制御し、技術を良い方向に導く責任ある実務者であるべきである。 本規定は、すべての関係者の責任と義務を明確にするために体系的に設計されている。 一方、深層合成サービス提供者の主な責任を明確にしている。 この規制は、深層合成サービス事業者に対して、アルゴリズム機構監査、情報コンテンツ管理、実務者の教育訓練などの管理体制を構築・改善し、安全で制御可能な技術的セーフガード手段を持つことを求めている。 管理ルールやプラットフォーム規約を策定・公開し、技術支援者や深層合成サービス利用者に情報セキュリティの義務を促す。 コンテンツ管理を強化し、入力データと合成結果の監査に技術的または手動的な方法を採用し、関連する機能の健全なライブラリーを確立する。 アルゴリズム機構の定期的な見直し、評価、検証による技術管理の強化。 国家安全保障、国家イメージ、国益、社会公共性に関わるような顔や声などの生体情報、特殊な物体やシーンなどの非生体情報を編集する機能を持つモデルやテンプレートなどのツールを提供する場合は、セキュリティ評価を実施する必要がある。 トレーニングデータの管理を強化し、データおよび個人情報のセキュリティを保護するために必要な措置を講じること。 一方、深層合成サービス技術支援者の責任と義務を明確化した。 規定では、深層合成サービス技術支援者は、トレーニングデータの管理、アルゴリズム機構の審査、セキュリティ評価などの義務を負うことが求められている。 アプリケーション配布プラットフォームは、棚監査、日常管理、緊急廃棄などのセキュリティ管理責任を実装する必要がある。
五、坚持守正创新,贡献深度合成服务治理中国智慧 5:義理と革新を堅持し、深層合成サービス統治に貢献する中国の知恵
习近平总书记指出:“要深度参与全球科技治理,贡献中国智慧,塑造科技向善的文化理念,让科技更好增进人类福祉,让中国科技为推动构建人类命运共同体作出更大贡献!”近年来,我国加快推进新技术新应用创新发展,并对技术发展过程中带来的挑战及时回应,针对区块链信息服务、互联网信息服务算法推荐活动、汽车数据安全管理等技术发展的新兴领域加速出台相关立法,为保障数字经济高质量发展、提升我国数字治理能力提供了法治保障。 習近平総書記は、"我々は世界の科学技術ガバナンスに深く参加し、中国の知恵を貢献し、科学技術の文化的概念を善導し、科学技術に人類の福祉をより促進させ、中国の科学技術に人類運命共同体の構築の推進にもっと貢献させるべきだ!"と指摘している。 近年、中国は新技術とアプリケーションの革新的開発を加速し、技術発展の過程でもたらされる課題に適時に対応し、ブロックチェーン情報サービス、インターネット情報サービスのアルゴリズム推薦活動、自動車データ安全管理などの技術発展の新興分野に対する関連法案の導入を加速し、デジタル経済の高品質の発展を保護するための法の支配を保証し、中国のデジタル統治能力を高めている。
针对深度合成技术带来的颠覆性风险挑战,多个国家和地区不断探索深度合成服务的治理路径。美国从联邦和州层面推出立法提案,欧盟将深度合成涉及的个人数据保护问题纳入《通用数据保护条例》(GDPR)的规制框架,德国、英国、新加坡、韩国等国将深度合成相关犯罪纳入刑法范畴,但尚未有国家出台规范深度合成服务的专门立法。《规定》立足我国发展实践,充分发挥法治固根本、稳预期、利长远的保障作用,率先通过体系化制度安排,构建深度合成服务治理机制,塑造科技向善的治理理念,提供了保护与发展并行的中国方案。(作者:王志勤,中国信息通信研究院副院长) 深層合成技術がもたらす破壊的なリスクの課題に対応するため、いくつかの国や地域では、深層合成サービスのガバナンスの道を模索し続けている。 米国では連邦・州レベルから法制化の提案がなされ、欧州連合では深層合成に関わる個人情報の保護を一般データ保護規定(GDPR)の規制対象に組み込み、ドイツ、英国、シンガポール、韓国などでは深層合成に関わる犯罪を刑法の範囲に含めているが、深層合成サービスを規制する特別な法律を導入した国はまだ存在しない。 中国の発展実践に基づき、本規定は法の支配を十分に発揮して基礎を強化し、期待を安定させ、長期保護を促進し、体系的な制度配置により深層合成サービスのガバナンス機構を率先して構築し、技術の善用というガバナンス概念を形成し、保護と発展の並行に対する中国の解決策を提供するものである。 (筆者:中国情報通信技術研究院副院長 王志琴)。

 

 

・2022.12.12 专家解读|规范智能技术供给 构建现代化深度合成治理能力

专家解读|规范智能技术供给 构建现代化深度合成治理能力 専門家の解釈|知的技術の供給を調整し、現代の深層合成統治能力を構築する。
随着人工智能技术的快速发展,数字产业化进程不断加快,产业数字化、智能化水平进一步提升。多媒体深度合成技术是人工智能技术的重要研究和典型应用领域,涉及深度学习、虚拟现实、预训练大模型等生成合成类算法,国内外著名高校、科研机构、互联网公司和人工智能企业纷纷展开相关技术研究。随着其与互联网信息服务的深度融合,在变革互联网信息制作模式、智能生产新闻媒体内容、改善人机交互体验、繁荣数字经济等方面产生巨大影响。同时我们应该清醒地认识到,利用该技术进行违法和不良信息的制作、复制、发布、传播等行为,对维护网络安全、社会经济稳定、公共利益带来巨大挑战。习近平总书记在党的二十大报告中强调,“健全网络综合治理体系,推动形成良好网络生态”。2022年11月25日,国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》(以下简称《规定》),《规定》深入贯彻《网络安全法》《数据安全法》《个人信息保护法》《互联网信息服务管理办法》等法律、行政法规,聚焦突出问题,有效规范深度合成服务,加强网络内容建设,强化对人工智能技术、服务、内容、平台的综合治理能力。 人工知能技術の急速な発展に伴い、デジタル産業化のプロセスは加速し、産業のデジタル化・知能化のレベルはさらに向上している。 マルチメディア深層合成技術は、深層学習、バーチャルリアリティ、事前学習された大規模モデルなどの生成合成クラスのアルゴリズムを含む人工知能技術の重要な研究および典型的な応用分野であり、国内外の有名大学、研究機関、インターネット企業、人工知能企業が関連技術の研究を開始した。 インターネット情報サービスとの深い融合により、インターネット情報生産のモードを変え、ニュースやメディアコンテンツの知的生産、人間とコンピュータの対話体験の向上、デジタル経済の活況に大きな影響を与えることができるのである。 同時に、この技術を違法で望ましくない情報の生産、複製、出版、普及に利用することは、ネットワークセキュリティの維持、社会・経済の安定、公共の利益に対して大きな課題をもたらすことを冷静に認識する必要がある。 習近平総書記は第20回党大会報告で「総合的なネットワークガバナンス体制を整備し、良好なネットワーク生態の形成を促進する」と強調した2022 11月25日、国家インターネット情報弁公室、工業・情報化部、公安部が共同で「インターネット情報サービス深層合成管理規定」(以下「規定」という)を公布した。 )、「ネットワークセキュリティ法」、「データセキュリティ法」、「個人情報保護法」、「インターネット情報サービス管理弁法」およびその他の法律や行政法規の「規定」の徹底実施、未解決の問題に焦点を当て、深い合成サービスの有効な規制、ネットワークコンテンツの建設を強化、AI技術、サービス、コンテンツ、プラットフォームの総合ガバナンスを強化する。
一、坚持维护国家利益和站稳人民立场,强化算法治理能力 1:国益を守り、国民の立場を堅持し、アルゴリズムによる統治能力を強化する。
《规定》落实总体国家安全观,坚持以人民为中心,对利用深度合成技术危害国家安全和利益、损害国家形象、侵害公民合法权益和隐私的行为,作出全面、具体的回应,对现行算法应用安全监管规则进一步细化,为营造风清气正的网络空间提供制度保障和治理依据。 本規定は、国家安全保障の全体構想を実施し、国民を中心とすることを堅持し、深層合成技術の使用が国家の安全と利益を脅かし、国のイメージを損ない、国民の合法的権益とプライバシーを侵害することに対して包括的かつ具体的に対応し、既存のアルゴリズム応用安全規制の規定をさらに洗練させ、清潔で高潔なサイバー空間の構築に向けた制度保障と統治基礎を提供するものである。
(一)有效衔接现行法规制度,健全我国算法综合治理体系。在《网络安全法》《数据安全法》《个人信息保护法》《互联网信息服务管理办法》等法律法规框架下,深刻把握深度合成服务存在的安全风险,与《网络信息内容生态治理规定》《互联网信息服务算法推荐管理规定》《网络音视频信息服务管理规定》等相关规定制度紧密衔接,理清深度合成技术定义与应用场景,明确服务提供者的信息安全主体责任,延伸互联网信息服务算法治理思路,给出生成合成类算法服务安全管理样板,完善了我国互联网信息服务算法综合治理体系。 (1) 既存の規制や制度を効果的に結びつけ、中国におけるアルゴリズムの包括的なガバナンス体制を整備する。 「ネットワークセキュリティ法」、「データセキュリティ法」、「個人情報保護法」、「インターネット情報サービス管理弁法」などの法規の枠内で、深層合成サービスのセキュリティリスクを深く把握し、「ネットワーク情報コンテンツ生態ガバナンス規定」、「インターネット情報サービスアルゴリズム推薦管理規定」、「ネットワーク音声映像情報サービス管理規定」などの関連規定と制度を密接に結び付けて、深層合成を明確化する。 技術の定義と応用シナリオを明らかにし、サービス提供者の情報セキュリティの主な責任を明らかにし、インターネット情報サービスアルゴリズムのガバナンスの考えを拡張し、世代合成のアルゴリズムサービスのセキュリティ管理のモデルを与え、中国のインターネット情報サービスアルゴリズムの包括的なガバナンスシステムを向上させる。
(二)构建多方共同治理格局,创新人工智能伦理监管的中国方案。《规定》统筹各方力量,构建政府监管、企业履责、行业自律、社会监督的多元共治体系,将网络信息内容生态治理和深度合成服务管理有机结合,通过贯穿深度合成服务事前事中事后的监管模式,针对不同的深度合成活动给出规范要求,进一步明确深度合成服务提供者、技术支持者和使用者以及应用程序分发平台责任,鼓励推动行业自律和出台标准规范,要求社会监督和申诉渠道畅通,及时处理公众诉求,对深度合成服务管理提出了兼具针对性、指导性、规范性的中国方案。 (2)人工知能の倫理的規制のための複数当事者による共同ガバナンスパターンの構築と中国式ソリューションの革新。 本規定は、各方面の努力を結集し、政府の監督、企業の責任、業界の自主規制、社会の監督という多元的な共通ガバナンスシステムを構築し、ネットワーク情報コンテンツの生態ガバナンスと深層合成サービスの管理を有機的に結合し、深層合成サービスの事前・中間・事後を通じた監督モードにより、異なる深層合成活動に規制要件を与え、深層合成サービス提供者、技術支援者とユーザー、アプリケーション配信プラットフォームの責任をより明確にしたものである。 やアプリケーション配信プラットフォームなどの業界自主規制の推進と標準・規範の導入を奨励し、社会的な監督と苦情のためのオープンなルートを求め、国民の要求に迅速に対応し、深い合成サービスの管理について、的を射た、指導的で規範的な中国の解決策を提案している。
(三)聚焦违法和不良信息治理,引导深度合成服务向上向善。针对利用深度合成服务制作、复制、发布、传播违法信息等行为,《规定》划定“红线”,规定不得利用深度合成服务开展法律法规禁止的活动,要求深度合成服务提供者制定和公开管理规则、平台公约,完善服务协议,依法依约履行信息安全管理责任。发现违法和不良信息的,依法采取处置措施,保存有关记录,及时向有关主管部门报告。 (3)違法・不適正情報の管理に注力し、深層合成サービスをより良い方向へ導く。 深層合成サービスを利用して、違法な情報を作成、コピー、公開、拡散するなどの行為に対して、「規制」は「レッドライン」を引き、深層合成サービスを利用して法令で禁止されている行為を行ってはならないと規定し、深層合成サービス事業者に管理規定、プラットフォーム規約の策定と公開、サービス契約の改善を求め、その実現に向けた取り組みを行っている。 情報セキュリティーの管理責任。 万が一、違法な情報、好ましくない情報を発見した場合は、法令に基づき処分し、記録を残すとともに、関係当局に適時に報告する。
(四)促进智能技术健康有序发展,引领相关信息产业落地应用。《规定》的发布进一步提升了我国网络空间信息安全治理能力,引导以深度学习为主的新兴智能技术健康发展,有效促进围绕音频、视频、图像和文本的多模态人工智能算法在应用管理方面的积极探索。随着深度合成技术应用的普及和发展,深度合成检测技术也将顺势而来,通过深度合成与检测的技术演练与应用对抗,能促进构建良性迭代的深度合成信息服务生态,共同推动新兴人工智能技术应用落地。 (4) 知的技術の健全で秩序ある発展を促進し、関連情報産業の陸上応用をリードする。 本規定の発表により、中国のサイバースペース情報セキュリティガバナンス能力がさらに強化され、深層学習を中心とする新興知能技術の健全な発展が導かれ、アプリケーション管理における音声、映像、画像、テキストを中心としたマルチモーダル人工知能アルゴリズムの活発な探求が効果的に促進される。 深層合成技術の応用の普及と発展に伴い、深層合成の検出技術もその流れに乗ってくる。 深層合成と検出の技術リハーサルと応用対決を通じて、良性反復深層合成情報サービス生態の構築を促進し、新興人工知能技術の地上への応用を共同で推進することが可能である。
二、界定各方责任要求,构建深度合成服务治理体系 2:すべての関係者の責任要件を定義し、深い合成サービスガバナンスシステムを構築する。
《规定》明确各方在深度合成活动全流程的主体责任,在《互联网信息服务算法推荐管理规定》已有规定基础上,明确指导性极强的生成合成标识方法,要求完善管理制度和技术保障措施。 規定は、「インターネット情報サービスアルゴリズム推薦管理規定」に基づいて、深層合成活動の全過程であるすべての当事者の主な責任を明確に規定している、明確な指導は合成ロゴ方式を生成するために非常に強い、完璧な管理システムと技術的なセーフガード対策が必要である。
(一)明确义务要求,强化主体责任。《规定》分析梳理了深度合成活动边界,明确了深度合成技术定义,对深度合成服务提供者、技术支持者和使用者以及应用程序分发平台等主体应履行的责任义务作出规定,如深度合成服务提供者应履行建立健全管理制度、对使用者真实身份信息认证、加强深度合成信息内容管理等义务,服务提供者和技术支持者应履行加强训练数据管理、加强深度合成技术管理等义务。同时,《规定》对具有舆论属性或者社会动员能力的深度合成服务提供者提出了更严格的监管要求。 (1)明確な義務要件、主要な責任を強化する。 本規定は、深層合成活動の境界を分析・整理し、深層合成技術の定義を明確にし、深層合成サービス提供者、技術支援者、ユーザーおよびアプリケーション配信プラットフォームなどの主体が果たすべき責任と義務について規定している。例えば、深層合成サービス提供者は健全な管理システムの構築、ユーザーの真の身元情報の認証、深層合成情報コンテンツの管理強化などの義務を果たすべきとしている。 サービス提供者および技術支援者は、学習用データの管理強化、深層合成技術の管理強化などの義務を果たすこと。 同時に、同規定は、世論属性や社会動員能力を持つ深層合成サービス提供者に対するより厳しい規制要件を打ち出している。
(二)监管针对性强,涵盖技术管理要求。《规定》针对利用生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息,明确了算法备案、安全评估、显著标识等强制性要求及适用情形,如规定深度合成服务提供者和技术支持者若生成或编辑生物识别信息,必须进行算法安全评估。此外,《规定》针对各类生成合成技术应用,还提出要加强制度建设、技术保障措施安全可控、制定和公开管理规则、完善服务协议、建立健全辟谣机制等要求。 (2)技術的な管理要件を網羅した、対象性の高い規制である。 同規定は、テキスト、画像、音声、映像、仮想シーンなどのネットワーク情報を生成するための生成・合成アルゴリズムの使用について、アルゴリズムの申請、セキュリティ評価、著名な識別などの必須要件と適用状況を規定しており、深層合成サービス提供者と技術支援者が生体情報を生成または編集する場合は、アルゴリズムのセキュリティ評価を実施しなければならないと定めているなど。 また、生成合成技術の各種応用について、システム構築の強化、安全・制御のための技術的保障措置、管理規定の策定と公開、サービス協定の改善、偽情報に対する健全なメカニズムの確立などの要件も提示している。
(三)细化标识规则,明确具体规范要求。《规定》对《互联网信息服务算法推荐管理规定》关于生成合成类算法标识相关要求作出细化,明确采取技术措施添加不影响用户使用的标识,如可能导致混淆或者误认的,还应当在合理位置、区域进行显著标识等要求,规定任何组织和个人不得采用技术手段删除、篡改、隐匿深度合成标识。 (3)マーキングのルールを洗練させ、具体的な仕様要件を明確にする。 同規定は、合成クラスアルゴリズムのロゴの生成に関する「インターネット情報サービスアルゴリズム勧告の管理に関する規定」の要件を改良し、混乱や誤認につながる可能性のあるロゴなど、利用者の使用に影響を与えないロゴを追加する技術的措置を明確にするだけではなく、合理的な場所、重要な識別用の領域およびその他の要件で、組織および個人は、削除、改ざん、合成ロゴの深さを隠すために技術的手段を使用しないことを規定している。
三、强化支撑体系建设,推动深度合成治理走深向实 3:サポートシステムの構築を強化し、より深く、より実用的に行くために合成ガバナンスの深さを促進する
随着数字化、智能化进程的加快,互联网信息服务综合治理不断细化、深入,规范深度合成活动对营造健康安全的网络空间和加强社会治理有着重要意义。为推动《规定》落实,下一步建议加强如下工作: デジタル化・知的化の加速に伴い、インターネット情報サービスの総合的なガバナンスは絶えず洗練され、深化しており、健全で安全なサイバースペースを作り、社会ガバナンスを強化するために、深化合成活動の標準化は大きな意義がある。 規定の実施を促進するために、次の作業を強化することが推奨される。
一是强化智能监管平台支撑。加大科技攻关力度,深入研究深度合成类算法内生安全机理和深度合成鉴别等关键技术,推动深度合成管理技术能力建设。加强人机混合的智能监管技术,研究深度合成服务提供者的安全可控技术保障方案,把监管规范转化为评估标准,建设面向网络全域监管的监测管理平台。研发深度合成与鉴别对抗机制,鼓励新兴科技企业与研究机构开展技术演练,共同推动深度合成服务健康发展。紧密结合国际前沿,建设自主可控的深度合成算法安全应用体系与技术生态。 第一に、インテリジェントな監視プラットフォームのサポートを強化することである。 科学技術研究の努力を高め、深層合成クラスアルゴリズムの内生的なセキュリティ機構と深層合成の識別と他のキーテクノロジーについて深く研究し、深層合成管理技術の能力構築を促進する。 人と機械のハイブリッド型知能監督技術を強化し、深層合成サービス業者のセキュリティ制御可能な技術保証方式を研究し、監督仕様を評価基準に転換し、ネットワーク全体の監督を行う監視管理プラットフォームを構築する。 深層合成と識別対決のメカニズムを研究開発し、新興技術企業や研究機関に技術演習を奨励し、深層合成サービスの健全な発展を共同で促進する。 国際的なフロンティアと密接に統合し、独立した制御可能な深層合成アルゴリズムセキュリティ応用システムと技術エコロジーを構築する。
二是强化人工智能安全评估支撑。抓紧建立深度合成安全评估机制,组织研究制定深度合成安全评估相关标准规范,基于《规定》要求和深度合成类算法机制机理特点,对评估流程、方法、内容等制定规定,明确提供具有对人脸、人声等生物识别信息或者可能涉及国家安全、国家形象、国家利益和社会公共利益的特殊物体、场景等非生物识别信息编辑功能的模型、模板等工具的,应当进行安全评估。组建专业队伍对相关深度合成服务提供者和技术支持者评估情况进行检查,以评促建,完善行业标准,加强行业自律,加快推进深度合成服务规范化。 第二に、AIセキュリティ評価への対応強化である。 深層合成セキュリティ評価メカニズムの確立を把握し、深層合成セキュリティ評価関連標準と規範の研究開発を整理し、規定の要求と深層合成型アルゴリズムのメカニズム特性を踏まえ、評価プロセス、方法、内容などの規定を策定し、人の顔、人の声などの生体情報の編集機能を持ち、国家安全、国家イメージ、国家利益、社会公共利益に関わる可能性がある特殊な対象や場面について明確に規定すること。 顔や声などの非生体情報、特殊なオブジェクトやシーンを編集する機能を持つモデルやテンプレートなどのツールで、国家安全保障、国家イメージ、国益、社会公共性に関わる可能性がある場合は、セキュリティ評価を実施するものとする。 専門チームを結成し、関連する深層合成サービス提供者と技術支援者の評価を検査し、評価を通じて建設を推進し、業界標準を向上させ、業界の自主規制を強化し、深層合成サービスの標準化を加速させることにした。
三是加强科普宣贯工作支撑。配合国家人工智能算法综合治理工作部署,面向互联网企业、重点行业企业和相关管理部门等进行《规定》的宣贯培训,督促企业提升深度合成技术服务水平;推进多模态人工智能相关学科研究全面开展,培育高层次人才,鼓励相关科研机构、高校与企业建立广泛合作机制;加强科普教育,提升音视图文多媒体深度合成技术透明度,引导社会各界积极参与社会监督,共同推进深度合成服务综合治理,强化多方治理成效。(作者:徐波,中国科学院自动化研究所所长) 第三に、科学技術の宣伝活動への支援を強化すること。 国家AIアルゴリズム総合ガバナンスの展開に協力し、インターネット企業、重点産業企業、関連管理部門などに規定の伝播訓練を行い、企業に深層合成技術サービスのレベル向上を促し、マルチモーダルAI関連分野の総合研究を推進し、ハイレベル人材を育成し、関連科学研究機関や大学に企業との幅広い協力メカニズムの構築を促し、大衆科学教育の強化、強化する。 また、中国科学院(CAS)は、音声、映像やグラフィックマルチメディアの深層合成の新技術の開発に取り組んでおり、社会のあらゆる部門が積極的に社会監督に参加するよう指導し、深層合成サービスの包括的なガバナンスを共同で推進し、複数政党によるガバナンスの有効性を高めている。 (著者:中国科学院自動化研究所所長 徐波)。

 

 

・2022.12.12 专家解读|推动深度合成服务综合治理 促进深度合成技术安全发展

 

专家解读|推动深度合成服务综合治理 促进深度合成技术安全发展 専門家の解釈|深層合成サービスの包括的なガバナンスの推進 深層合成技術の安全な開発の推進
随着新一代信息技术的快速发展,深度合成技术作为人工智能领域的新应用、新实践,已在多个行业场景中被推广应用,并催生了“元宇宙”等新的应用场景。当前,网络传播环境日趋复杂,新型合成方法层出不穷,技术滥用的风险也在不断加剧。为加强互联网信息服务深度合成管理,国家互联网信息办公室、工业和信息化部、公安部联合发布了《互联网信息服务深度合成管理规定》(以下简称《规定》)。《规定》构建了互联网信息服务深度合成治理制度规范,迈出我国新技术新应用立法的重要一步。 新世代の情報技術の急速な発展に伴い、深層合成技術は人工知能分野の新しい応用・実践として、多くの産業シーンで推進・応用され、「メタ宇宙」などの新しい応用シーンを生み出している。 現在、インターネットの通信環境はますます複雑化し、新しい合成方法が登場し、技術の乱用の危険性が高まっている。 インターネット情報サービスの深層合成の管理を強化するため、国家インターネット情報弁公室、工業情報化部、公安部が共同で「インターネット情報サービスの深層合成管理弁法」(以下「弁法」)を制定した。 この規定は、インターネット情報サービスの綿密な総合的なガバナンスのためのシステム仕様を構築し、中国における新技術とアプリケーションの法制化に重要な一歩を踏み出した。
一、《规定》出台必要及时,意义深远 1:本規定の導入は必要かつ適時であり、広範囲な意義がある。
技术发展与风险挑战相伴而生,新技术新应用发展日新月异,技术治理是一场永恒的攻防对抗博弈,也是技术从创新应用到规范发展的必经阶段。当前,换脸、换声、三维重建、智能对话等深度合成服务已经在国外互联网社交媒体中广泛应用,催生了美颜美妆、影视制作、智能客服、虚拟主播、元宇宙等一系列形式新颖丰富、功能便捷智能的应用形态,丰富了互联网信息内容生态,推动了互联网相关产业发展,为人民生活带来了便利便捷和多样化体验。然而,深度合成技术也正在被恶意利用制作虚假信息内容,进而可能带来政策干扰、谣言泛滥、低俗内容肆意传播等影响国家安全、社会稳定的风险问题。 技術の発展とリスクの課題は手をつないで行く、新技術と新しいアプリケーションの開発は、日々変化している、技術ガバナンスは、攻撃と防御の間の対立の永遠のゲームであるが、また、革新的なアプリケーションから必要な段階の開発を標準化するための技術。 現在、フェイスチェンジ、ボイスチェンジ、3D再構成、知能対話などの深層合成サービスは、インターネット上の海外ソーシャルメディアに広く利用され、一連の新しくて豊かな美容、映画・テレビ制作、知能接客、バーチャルアンカー、メタ宇宙などの便利で知的な応用形態を生み出し、インターネット情報コンテンツ生態を豊かにし、インターネット関連産業の発展を促進し、人々の生活に便利さと便利さをもたらすようになった。 人々の暮らしに便利さと多様性をもたらしている。 しかし、深層合成技術は、虚偽の情報コンテンツを作成するために悪用されることもあり、その結果、政策妨害、風説の流布、低俗なコンテンツの野放図な拡散など、国家の安全や社会の安定に影響を与える危険な問題を引き起こす可能性がある。
出台《规定》,是进一步提升网络综合治理能力的应时应势之举,具有针对性和前瞻性。《规定》是目前我国针对深度合成服务出台的第一部专门性部门规章,作出了一系列明确合规指引,对加强互联网信息服务深度合成管理、促进互联网信息服务健康发展、推进网络空间治理意义重大,影响深远。 この規定は、インターネットの包括的なガバナンスをさらに強化するためのタイムリーで前向きな動きである。 本規定は、中国で初めて発行された深層合成サービスの専門部門規定であり、一連の明確な遵守指針を作り、インターネット情報サービスの深層合成の管理を強化し、インターネット情報サービスの健全な発展を促進し、サイバースペースのガバナンスを進める上で大きな意義と遠大な影響を与えるものである。
二、《规定》为深度合成技术安全应用和健康发展奠定制度基础 2:合成技術安全アプリケーションの深さと制度的基盤の健全な発展のための規制
(一)明确了深度合成技术定义和服务范围。深度合成技术由来已久,随着深度学习技术,特别是对抗式生成网络技术的发展,深度合成技术门槛大幅降低,2017年11月Reddit网站的用户“deepfakes”发布伪造视频令这项技术引起关注。近年来,深度伪造技术在国内外反响强烈,其以制作足以“以假乱真”的信息内容严重威胁国家安全、干扰传播秩序,让人们广泛关注和深切担忧,给相关技术和产业发展带来一定影响。从技术进步的角度来说,深度合成技术应用的初衷是让生成合成内容更逼真,但深度合成技术在愈趋“智能”的同时,也不可避免地带来更多的安全风险,除深度伪造风险外,还包括生成合成信息内容带来的个人信息泄漏、侵犯人格权和知识产权等他人合法权益等风险。 (1)深層合成技術およびサービス範囲の定義を明確化した。 深層合成技術の歴史は古く、深層学習技術、特に敵対的生成ネットワーク技術の発展に伴い、深層合成技術の敷居は大きく下がってきている。 近年、深層偽造技術は、「偽造」可能な情報コンテンツを作成することにより、国家の安全を著しく脅かし、通信秩序を阻害する恐れがあるため、国内外で強い反響を呼び、広く懸念と深い悩みを引き起こし、関連技術や産業の発展に一定の影響をもたらしている。 技術進歩の観点から、深層合成技術の応用は、生成された合成コンテンツをよりリアルにすることが本来の目的であるが、深層合成技術がより「知的」になる一方で、深層偽造のリスクに加えて、生成された合成情報コンテンツがもたらす個人情報の流出、人格権や知的財産権など他者の正当な権利・利益の侵害など、セキュリティリスクも必然的に多くなっている。 深層偽造のリスクだけでなく、個人情報の漏洩、個人情報や知的財産権などの正当な権利・利益の侵害のリスクもある。
《规定》在深度伪造基础上对深度合成技术作出了更全面的规范,从利用算法角度提出包括利用深度学习、虚拟现实等生成合成类算法,从制作内容形态角度提出包括文本、图像、音频、视频、虚拟场景等多种类型,从具体应用形态上分类列举了多种典型场景,明确了深度合成技术的定义和范围。 今回の規制では、深層偽造をベースに、深層学習やバーチャルリアリティなどを利用して合成クラスのアルゴリズムを生成するなどのアルゴリズムを利用する観点、テキスト、画像、音声、映像、仮想シーンなどのコンテンツ形態を作る観点、具体的な応用形態から、様々な典型的シナリオを分類・リスト化し、深層合成技術の定義と範囲を明確化し、より包括的に仕様化している。
(二)从内容管理深化到行为管理。有别于信息内容发布与传播,互联网信息服务深度合成活动是一项涉及算法技术、应用功能、产品业务,覆盖数据采集、分析、编辑、加工等多环节的数据处理过程,产生的安全风险也是由参与多方、不同环节共同作用形成的,因此对互联网信息服务深度合成的规范和引导,需要覆盖各主体、各环节。 (2) コンテンツ管理から行動管理への深化。 情報コンテンツの公開と普及とは異なり、インターネット情報サービスの深層合成活動は、アルゴリズム技術、アプリケーション機能、製品事業を含むデータ処理プロセスであり、データの収集、分析、編集、加工など複数のリンクをカバーしており、発生したセキュリティリスクも複数の当事者の参加と異なるリンクによって一緒に形成されるため、インターネット情報サービスの深層合成の仕様と指導は、すべての対象者とすべてのリンクをカバーする必要がある。 したがって、インターネット情報サービスの深層合成のための規制とガイダンスは、すべての主題とリンクをカバーする必要がある。
《规定》明确了相关主体的责任和义务。在监管主体上,将深度合成服务技术支持者纳入管理。服务技术支持者为上游主体,为服务提供者提供技术支撑;服务提供者为中游主体,为服务使用者提供深度合成服务;服务使用者为下游主体,是使用深度合成服务的组织、个人。《规定》从信息呈现和传播两个维度开展治理,通过显式标识和隐式标识两种管理手段,实现对内容和行为双重规范。在信息呈现方面,提出深度合成服务提供者应当在可能导致公众混淆或者误认的深度合成信息内容中加入显式标识,以提示公众该内容的生成合成特性,保障公众知情权,降低虚假信息传播的风险,实现内容治理。在信息传播方面,通过有效技术保障措施在深度合成信息内容中添加隐式标识,实现深度合成内容安全溯源和技术应用安全可控,确保内容传播链条明确清晰,事后追责准确无误,实现行为治理,为参与深度合成信息内容制作传播的各方主体厘清责任边界。 同規定は、関連する対象者の責任と義務を明確にしている。 規制対象では、管理への合成サービス技術サポーターの深さ。 サービス技術支援者はサービス提供者の技術支援を行う川上の主体、サービス提供者はサービス利用者に深層合成サービスを提供する川中の主体、サービス利用者は深層合成サービスを利用する組織や個人である川下の主体である。 この規制は、情報の提示と伝達という二つの次元から、明示的識別と暗黙的識別という二つの管理手段を通じてガバナンスを行い、コンテンツと行動の二重の規制を実現するものである。 情報提示の面では、深層合成サービス事業者は、深層合成情報のコンテンツに、一般の人の混乱や誤解を招くような明示的な識別を入れることで、コンテンツの合成特性を示し、国民の知る権利を保護し、誤った情報を拡散するリスクを低減し、コンテンツのガバナンスを実現することが提案されている。 情報発信の面では、効果的な技術的セーフガードを通じて、深層合成情報コンテンツに暗黙の識別情報を付加し、深層合成コンテンツの安全なトレーサビリティと安全で制御可能な技術的応用を実現し、コンテンツ発信の連鎖を明確かつ曖昧にせず、事後の説明責任を正確に果たし、行動ガバナンスを実現するとともに深層合成情報コンテンツの制作と発信に関わるすべての関係者の責任の境界を明確にする。
(三)突出全过程安全评估管理。2021年12月,国家互联网信息办公室发布《互联网信息服务算法推荐管理规定》(以下简称《算法规定》),对包括生成合成类在内的五类算法推荐服务进行规范。《规定》在《算法规定》基础上,一是加强对深度合成服务全过程管理。深入深度合成服务的数据处理环节、算法运行阶段、使用者行为全过程,提出更明确细化和更具有操作性的管理要求和合规指引。二是深化备案与评估标本兼治。《规定》要求具有舆论属性或者社会动员能力的深度合成服务提供者和技术支持者依法履行算法备案手续,并公示备案编号,有助于引导互联网信息服务深度合成合规运营、提升产品口碑、增强企业互信、促进行业健康发展。《规定》明确了对深度合成服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能应当开展安全评估管理,有助于帮助企业防范和应对深度合成内容安全风险、数据安全风险和技术滥用风险,有助于促进管理部门备案摸底、风险监测和监督检查等工作依法开展、落地成效。 (2021年12月、国家サイバースペース管理局は「インターネット情報サービスのアルゴリズム推薦管理弁法」(以下「アルゴリズム弁法」)を公布し、合成クラスの生成など5種類のアルゴリズム推薦サービスを規制した。 本規定は、アルゴリズム規定に基づいており、その1つは、深層合成サービスの全プロセスの管理を強化することである。 徹底的な合成サービスデータ処理リンク、アルゴリズム操作段階、全体のプロセスのユーザーの動作は、より明確かつ詳細で、より運用管理要件とコンプライアンスガイドラインを提唱した。第二に、基準と根本原因の両方について、ファイリングと評価を深めることである。 「規定」は、世論属性または社会動員能力を持つ深層合成サービス提供者と技術支援者が、法律に従ってアルゴリズム申請手続きを行い、申請番号を公表することを求め、インターネット情報サービスの深層合成コンプライアンス運用を指導し、製品評価を高め、企業の相互信頼を強化し、業界の健全な発展を促進させる。 本規定は、世論属性または社会動員能力を持つ深層合成サービスの提供者が開発しオンライン化した新製品、アプリケーションおよび機能は、セキュリティ評価および管理の対象とすべきであることを明確にし、企業が深層合成コンテンツのセキュリティリスク、データセキュリティリスクおよび技術誤用リスクを防止および対応し、管理部門が法に基づきファイリングおよびマッピング、リスク監視および監督・検査作業を促進し、実施の有効性に寄与することを支援する .
三、健全深度合成治理技术支撑体系,促进服务健康有序发展 3:合成統治技術支援システムの深化を図り、サービスの健全かつ秩序ある発展を促進する。
《规定》的出台,是网络内容治理由结果管理迈向行为管理的重要一步,标志着我国网络空间治理能力进一步优化提升。但是,深度合成技术与应用管理目前仍处于起步阶段,在技术支撑和能力建设方面有待进一步加强。加快推进深度合成治理技术支撑体系建设,是切实保障深度合成服务治理工作有力有序推进的关键。建议从以下方面加强工作: 本規定の導入は、ネットワークコンテンツガバナンスが結果管理から行動管理へと移行する重要なステップであり、中国のサイバースペースガバナンス能力のさらなる最適化と強化を意味している。 しかし、綿密な合成技術やアプリケーションの管理はまだ発展途上であり、技術支援や能力開発の面でさらに強化する必要がある。 深層合成ガバナンス技術支援システムの構築を加速させることは、深層合成サービスガバナンスの強力かつ秩序ある推進を効果的に保証するための鍵である。 以下のような観点で強化することを提案する。
(一)促进多方共治深入细化安全标准。《规定》充分结合深度合成技术特点与发展趋势,提出了针对深度合成服务和技术的普适性的规范思路,但在生成合成类算法服务范围、深度合成技术具体范围、深度合成服务业务分类、显式标识条件与标识方式、隐式标识方法与识别等诸多具体方面,仍亟需行业内部进一步细化相关配套标准规范。在实际落地过程中,建议行业内推进产业联盟建立,研制相关标准规范,以产业自治、多方共治的方式,不断推进深度合成技术应用高质量发展。 (1)マルチパーティガバナンスを推進し、セキュリティ標準を徹底的に改良する。 しかし、合成クラスアルゴリズムのサービス範囲、合成技術の特定範囲、合成サービスの業務分類、明示的な識別条件と識別モード、暗黙的な識別方法と識別など、多くの具体的な面では、業界内の関連サポートをさらに改良する必要がある。 標準仕様である。 実際の実施プロセスにおいては、産業界の自律性と多者間ガバナンスにより、産業界のアライアンス構築、関連規格・仕様の策定、深層合成技術応用の高品質な発展を継続的に推進することが提案されている。
(二)用以技术管技术思维促进深度合成服务治理。深度合成技术是一项非常前沿的智能技术,治理其带来的安全问题不能仅靠传统的结果导向治标方法。建议从深度合成信息内容源头上解决其衍生的内容安全风险,利用技术创新、技术对抗等方式,持续提升和迭代检测技术的能力。互联网信息服务深度合成综合治理,不仅着眼于管理好、使用好、发展好深度合成技术及相关服务,同时,也致力于深度合成技术的合法合理合规使用,促进深度合成技术及相关服务健康有序的发展。 (2) 技術を使って技術思考を管理し、深い総合的なサービスガバナンスを推進する。 深層合成技術は非常に先端的な知能技術であり、それによってもたらされるセキュリティ問題のガバナンスは、従来の結果主義的な対処法だけに頼ることはできない。 深層合成された情報コンテンツに由来するコンテンツセキュリティリスクに対して、技術革新、技術対決などを駆使して、検知技術の能力を継続的に向上、反復させながら、ソースから対処することが推奨される。 インターネット情報サービスの深層合成の総合的なガバナンスは、深層合成技術と関連サービスの良好な管理、使用、発展に重点を置くだけでなく、深層合成技術の合法的、合理的、コンプライアンス的な使用に力を注ぎ、深層合成技術と関連サービスの健全で秩序ある発展を促進する。
(三)推进深度合成服务治理技术能力建设。构建互联网信息服务深度合成安全监管体系需要在技术支撑和能力建设方面进一步加强。国家科研机构应加大深度合成安全方面的科技攻关,建设深度合成安全评估和风险监测的科研创新平台,探索共建新型研发机构,形成引领深度合成安全基础研究的战略力量。组织建立专业技术评估队伍,研究深度合成安全内生机理、安全风险评估、全生命周期安全监测等关键技术。加强基础科研设施建设,完善算法安全治理人才队伍培养体系,提升深度合成自主创新和安全可控能力。(作者:孟丹,中国科学院信息工程研究所所长) (3)サービスガバナンスの深化技術的能力開発を推進する。 インターネット情報サービスの深層総合安全監督システムの構築は、技術支援と能力強化の面でさらに強化する必要がある。 国家科学研究機関は、深層合成セキュリティの科学技術研究を増加させ、深層合成セキュリティの評価とリスク監視の科学研究・イノベーションプラットフォームを構築し、新たな研究開発機関の共同構築を模索し、深層合成セキュリティの基礎研究をリードする戦略部隊を形成する必要がある。 深層合成の安全性に関する内因性メカニズム、安全性リスク評価、全生涯安全性モニタリングなどの主要技術を研究するための専門技術評価チームの設立を組織する。 基礎科学研究施設の建設を強化し、アルゴリズムセキュリティガバナンスの人材チームの育成システムを改善し、深層合成の自主革新能力とセキュリティ制御能力を強化する。 (筆者:中国科学院情報工学研究所所長 孟丹)。

 

 

・2022.12.12 专家解读|规范深度合成服务 营造风清气正的网络空间

专家解读|规范深度合成服务 营造风清气正的网络空间 専門家の解釈|クリーンなサイバースペースを実現するための深層合成サービスの規制
《互联网信息服务深度合成管理规定》(下文简称为《规定》)于2022年11月25日发布,标志着深度合成服务成为了我国算法治理中率先专门立法的算法服务类型。中共中央印发的《法治社会建设实施纲要(2020—2025年)》中提出完善网络信息服务方面的法律法规,制定完善算法推荐、深度伪造等新技术应用的规范管理办法。这一规章的出台将纲要提出的重要任务落地,凸显了深度合成技术在我国算法安全治理中的重要地位。 2022年11月25日に「インターネット情報サービス深層合成管理規定」(以下、規定)が発表され、深層合成サービスは中国のアルゴリズムガバナンスにおいて、初めて具体的に法制化されたアルゴリズムサービスの一種となった。 中国共産党中央委員会が発表した「法治社会実施要綱(2020-2025)」では、オンライン情報サービスに関する法規制を整備し、アルゴリズム推薦や深層偽造などの新技術を適用するための規制管理方法を開発・改善することが提案されている。 この規定の導入により、大綱で提案された重要な課題が実践され、中国におけるアルゴリズムセキュリティのガバナンスにおいて、深層合成技術の重要な位置づけが浮き彫りにされた。
深度合成技术,是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等信息的技术。近年来,深度合成技术应用广泛、形式多样,在影视、传媒、教育等领域有大量应用形式,可实现特效制作、元宇宙场景、虚拟仿真教学等功能。随着各类商业化产品普及,深度合成的信息内容也在网络上大量涌现,越来越多的社会公众接触到了深度合成技术。《规定》确立了我国对深度合成服务的治理框架,提出了明确的数据和技术管理规范,为促进深度合成技术向上向善,引导相关产业健康发展,确保互联网信息内容安全提供了有力的制度保障。 深層合成技術とは、深層学習、バーチャルリアリティなどの生成合成クラスのアルゴリズムを用いて、テキスト、画像、音声、映像、仮想シーンなどの情報技術を生成することである。 近年、深層合成技術は、映画やテレビ、メディア、教育などの分野で多くの応用形態があり、特撮制作、メタ宇宙シーン、バーチャルシミュレーション教育などの機能を実現することができます。 様々な商材の普及に伴い、インターネット上でも深層合成された情報コンテンツが急増し、より多くの一般人が深層合成技術に触れるようになった。 本規定は、中国における深層合成サービスのガバナンスの枠組みを確立し、明確なデータおよび技術管理規定を打ち出し、深層合成技術の上昇志向を促進し、関連産業の健全な発展を導き、インターネット情報コンテンツの安全性を確保するための強力な制度保障を提供するものである。
一、规范深度合成服务的重要意义 1:深層合成サービスの規制の重要性
深度合成服务是生成合成类算法的应用服务,属于我国《互联网信息服务算法推荐管理规定》中规定的生成合成类、排序精选类、检索过滤类、个性化推送类、调度决策类算法推荐服务中的一种。深度合成技术应用领域十分广泛,可以被用来生成和编辑文本、生成音乐、合成人声,如代替人创作诗歌和撰写词曲,自动生成伴奏音乐与合成歌声等。深度合成技术也可以被用来进行人脸生成、人脸替换、人脸操控,可被用来制作电影特效,或者生成以假乱真的人物视频。深度合成技术还可被用来进行图像生成、图像增强等,如2021年被广泛关注的FacePlay应用,只需要用户上传一张人脸照片,就可以生成不同服装场景的图片和视频。深度合成技术也极大地丰富了虚拟数字空间的信息内容,为更加多样化的传播行为提供了可能性。2021年10月,脸书宣布更名为“Meta”即元宇宙,即是利用深度合成技术创建虚拟世界,用户可以通过现实头戴设备与其他用户实现互动。 深層合成サービスは、合成クラス生成アルゴリズムの応用サービスであり、中国の「インターネット情報サービスアルゴリズム推薦管理弁法」に規定された合成クラス生成、選別クラス、検索・フィルタリングクラス、個人化推薦クラス、スケジュール・決定クラスの1種類のアルゴリズム推薦サービスに属する。 人間の代わりに詩や歌詞を作ったり、バックトラックの自動生成やボーカルの合成など、テキストの生成・編集、音楽の生成、人間の声の合成に利用できる。 また、Deep Synthesisは、顔の生成、顔の置き換え、顔の加工、映画の特殊効果や実在する人物の架空の映像の作成などにも利用できる。 Deep Synthesisは、画像生成や画像補正などにも利用でき、例えば2021年に注目されているFacePlayアプリは、ユーザーが顔写真をアップロードするだけで、様々な服装シーンの画像や動画を生成することができる。 2021年10月、Facebookは深層合成技術を使って、リアルなヘッドセットデバイスを通して他のユーザーと交流できる仮想世界を作り出すメタバース、Metaの名称変更を発表した。 メタ・ユニバースは、深層合成技術によって作られた仮想世界で、リアルなヘッドセットを介して他のユーザーと交流することができる。
随着深度合成技术的开源开放、深度合成产品和服务的逐渐增多,深度合成内容制作的技术门槛越来越低,深度合成服务已经实现了公众化、平民化,普通人仅需要少量的图像、音频、视频、文本等样本数据,利用简便易用的深度合成工具,就能够模糊真实信息和虚假信息的边界。深度合成技术诞生之初,由于技术的不成熟,尚存在合成的视频中人物微表情不自然、图像边缘有锯齿等明显痕迹。但近年来在网络传播的深度合成视频内容,人物动作的逼真度、自然度,以及视频整体的清晰度、流畅度都可以达到以假乱真的水平,用户已经难以鉴别。 深層合成技術のオープンソース化と深層合成製品・サービスの漸増により、深層合成コンテンツ制作の技術的な敷居はどんどん低くなり、深層合成サービスは一般化して、一般人は少量の画像、音声、動画、テキストなどのサンプルデータさえあれば、使いやすい深層合成ツールを使って、本物の情報と偽物の情報の境界を曖昧にすることができるようになった。 深層合成技術の黎明期には、技術の未熟さゆえに、合成された映像に不自然な微表情やギザギザの痕跡が残っていた。 しかし近年は、キャラクターの動きのリアルさや自然さ、映像全体のわかりやすさや流暢さなど、ユーザーが偽物を見分けることが難しいレベルにまで達している。
深度合成技术一旦被滥用,会造成巨大风险与实质性危害,可能给个人、企业造成肖像、名誉等人格和财产权益损害,也可能给社会秩序、国家政治稳定和安全造成巨大威胁。如将深度合成技术用于捏造国家政要言论、伪造公务人员虚假视频,可能给政治安全和国家安全带来重大危害。对个人与企业来说,深度合成技术的滥用也可能造成巨大权益损害。如企业高管被深度合成捏造视频篡改发言内容,可能造成市场恐慌,引发金融市场动荡。个人也可能被伪造虚假视频等,被用来向其亲友诈骗或者伪造不雅视频侵害其名誉权。 深層合成技術がひとたび悪用されれば、巨大なリスクと大きな被害をもたらし、個人や企業に肖像権、名誉などの人格権や財産権を侵害し、社会秩序、国家の政治的安定、安全保障に大きな脅威を与える可能性がある。 例えば、国家要人の発言や公務員の偽映像の捏造に深層合成技術が利用されれば、政治的安全保障や国家安全保障に大きな損害を与える可能性がある。 また、個人や企業にとっても、深層合成技術の悪用は、その権利や利益に大きな損害を与える可能性がある。 例えば、企業幹部が捏造映像や発言内容の改ざんなどの深層取材を受けた場合、市場にパニックを引き起こし、金融市場の混乱につながる可能性がある。 また、個人が、例えば、友人や親族を詐取したり、わいせつな動画を偽装して風評被害を受けたりする可能性もある。
由此可见,深度合成技术的快速发展为数字时代发展带来了令人期待的可能性,但也带来了令人担忧的巨大风险。习近平总书记指出,“网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好,符合人民利益。”规范和引导利用深度合成技术提供的互联网信息服务,最大限度地保护公民、企业合法权益,维护国家安全、政治稳定与社会公共秩序,促进技术向上向善造福社会,成为了立法立规的紧迫任务。 このように、深層合成技術の急速な発展は、デジタル時代の発展に有望な可能性を開くと同時に、重大で心配なリスクももたらすことが明らかである。 習近平総書記は、「サイバースペースは何億人もの人々の共通の心の故郷である」と指摘した。 サイバースペースの晴天と良好な生態系は国民の利益となる。" 深層合成技術を利用して提供されるインターネット情報サービスを規制・指導し、国民と企業の正当な権益を最大限に保護し、国家の安全、政治の安定と社会公共秩序を維持し、社会のために技術を振興することは、立法と規制の緊急課題となっている。
二、构建深度合成服务安全监管制度 2:綿密な合成サービスセキュリティ監督システムの構築
《规定》共分为五章,分别从总则、一般规定、数据技术管理规范、监督检查与法律责任、附则等部分,构建了深度合成服务的安全监管制度。在中华人民共和国境内应用深度合成技术提供互联网信息服务的,适用本规定。 法規は5章に分けられ、それぞれ総則、総則、データ技術管理仕様、監督検査と法的責任、附属書などの部分からなり、深い総合サービス安全監督システムを構築している。 本規定は、中華人民共和国における深層合成技術の応用によるインターネット情報サービスに適用される。
《规定》注重保障互联网信息内容安全,特别是新闻信息安全。规章对深度合成服务提供者提出了明确的要求。一是深度合成服务提供者要落实信息安全主体责任,加强深度合成内容管理,采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核,一旦发现违法和不良信息,应当依法采取处置措施;二是针对深度合成信息内容的特殊性,深度合成服务提供者应当建立健全辟谣机制,并设置便捷的用户申诉和公众投诉、举报入口;三是深度合成服务提供者要履行对服务使用者的管理义务,包括进行真实身份认证,保证用户实名使用深度合成服务,以及提示服务使用者落实个人信息保护要求等。 この規定は、インターネット上の情報コンテンツ、特にニュース情報の安全性を確保することに重点を置いている。 同規定は、深層合成サービス提供者に対する明確な要件を提示している。 第一に、深層合成サービス提供者は情報セキュリティの主な責任を履行し、深層合成コンテンツの管理を強化し、技術的または手動的な方法を採用して深層合成サービス利用者の入力データおよび合成結果を審査し、違法かつ望ましくない情報を発見したら、法律に基づいて処分措置を取らなければならない。第二に、深層合成情報コンテンツの特殊性を考慮して、深層合成サービス提供者は情報遮断の仕組みを確立し改善し、また、深層合成コンテンツは、情報遮断の仕組みを確立し改善しなければならない。 便利なユーザーの苦情や公共の苦情、報告ポータルを設定する。第三に、合成サービス提供者の深さは、ユーザーが実名で深い合成サービスを使用するだけでなく、個人情報保護の要件を実装するサービスユーザーを促すために、実際のID認証など、管理義務を履行することである。
《规定》与《互联网信息服务算法推荐管理规定》一脉相承,并提出了相辅相成的管理要求。具有舆论属性和社会动员能力的深度合成服务提供者仍要履行算法推荐服务的备案手续,深度合成服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能也要按规定开展安全评估。此外,《规定》针对深度合成数据和技术管理提出了更进一步的规范要求。第一,深度合成服务提供者和技术支持者都被纳入到了监管的对象中。这是由于深度合成服务不仅由服务提供者向公众提供,技术支持者也对深度合成服务产生重要影响。因此二者都需要对深度合成训练数据加强管理,并保障数据安全。同时,深度合成服务提供者提供人脸、人声等生物识别信息编辑功能,还要提示深度合成服务使用者履行个人信息保护义务,征得被编辑个人的单独同意。第二,深度合成服务提供者和技术支持者提供具有能够生成或者编辑人脸、人声等生物识别信息的,或生成或者编辑可能涉及国家安全、国家形象、国家利益和社会公共利益的特殊物体、场景等非生物识别信息的功能的模型、模板等工具的,应当依法自行或者委托专业机构开展安全评估。这是由于换脸、换声等视频可显著改变个人身份特征,具有较高的风险。同时,涉及到国家安全的如国家标志性场所、历史遗迹等,即使是非生物识别信息,也有可能被伪造而带来重大的安全风险。 本規定は、「インターネット情報サービスのアルゴリズム推薦に関する管理規程」に沿ったものであり、相互に補完する形で管理要件を定めている。 世論属性と社会動員力を持つ深層合成サービス提供者は、依然としてアルゴリズム推薦サービスの申請手続きを行わなければならず、世論属性または社会動員力を持つ深層合成サービス提供者は、新製品、新アプリケーション、新機能を開発し、規定に従って安全性評価を行う必要がある。 また、深層合成のデータおよび技術管理に関する「レギュレーション」では、さらなる仕様の要求が出されている。 まず、深層合成のサービス提供者と技術支援者の両方が規制対象に含まれる。 なぜなら、深層合成サービスは、サービス提供者が一般に提供するだけでなく、技術支援者が深層合成サービスに大きな影響を与えるからである。 そのため、どちらも深層合成の学習データとデータセキュリティの管理を強化する必要がある。 同時に、顔や音声などの生体情報編集機能を提供する深層合成サービス事業者も、深層合成サービス利用者に対して、個人情報保護義務の履行や編集対象者の個別同意の取得を促すべきである。 次に、顔や音声などの生体情報の生成・編集、あるいは国家安全保障、国家イメージ、国益、社会公共性に関わる可能性のある特殊な物体やシーンなどの非生体情報の生成・編集が可能な機能を持つモデルやテンプレートなどのツールを提供する深層合成サービス事業者や技術支援者は、法律に従って自らセキュリティ評価を実施するか専門機関に委託しなければなりません。 これは、顔の入れ替えや声の入れ替えなどの動画は、個人のアイデンティティの特徴を大きく変える可能性があり、高いリスクを伴うためである。 一方、国定公園や歴史的遺物など国家の安全に関わるものは、たとえ非生体情報であっても改ざんされる可能性があり、安全保障上の重大なリスクとなる。
三、规范深度合成服务保障网络空间清朗 3:クリアなサイバースペースを確保するための深層合成サービスへの規制
针对深度合成服务带来的机遇与恶意使用带来的挑战,世界各国纷纷出台管理法律法规,探索对深度合成服务的依法治理。欧盟与美国均有相关立法考虑,同时加强打入数字水印、开发真伪鉴别等技术治理手段,要求互联网企业对平台内容进行自我审查,从源头打击网络虚假内容。 深層合成サービスがもたらす機会と悪意のある利用がもたらす課題に対応するため、世界各国は管理法を導入し、深層合成サービスの法的ガバナンスを探っている。 欧州連合と米国は共に関連法案を検討し、デジタルウォーターマークの打ち込みや真正性識別の開発など技術的なガバナンス手段を強化し、インターネット上の虚偽コンテンツに対抗するためインターネット企業にプラットフォームコンテンツの自己検閲を求めるなど、発信元から対策を行っている。
我国《规定》的重要特色,是基于深度合成服务技术性强的特点,从技术开发、模型训练、服务提供和使用等环节对深度合成服务提供者和技术支持者提出全面管理要求。一是要求添加深度合成隐式标识,确保信息内容的可追溯性。深度合成服务提供者对使用其服务生成编辑的信息内容,应当采取技术措施添加隐式标识,这既不影响用户的使用体验,也实现了深度合成信息内容的可追溯性。二是要求添加显著标识,确保信息内容传播的可感知性。对于可能会导致公众混淆或者误认的深度合成信息内容,深度合成服务提供者还应当添加显著标识,在合理位置、区域向公众进行提示,避免对公众产生误导,引起信息内容安全风险。三是明确法律责任,保证深度合成标识的可查验性。规章要求任何组织和个人不得采用技术手段删除、篡改、隐匿深度合成标识。这既要求深度合成标识在深度合成内容全生命周期存在,也要求深度合成服务提供者和技术支持者保证隐式标识和显著标识的鲁棒性,使得该标识不因压缩、传输等环节丢失,进一步通过技术手段压实主体责任。 この規定の大きな特徴は、深層合成サービスの高度な技術的性格に基づき、深層合成サービス提供者や技術支援者に対して、技術開発、モデル教育、サービス提供、利用などの面で包括的な管理要求を課している点である。 まず、情報内容のトレーサビリティを確保するために、暗黙のうちにDeep Synthesisロゴを追加することが必要である。 深層合成サービス提供者は、そのサービスを利用して生成・編集された情報コンテンツに暗黙のロゴを付加することで、利用者の使用感を損なわず、かつ深層合成情報コンテンツのトレーサビリティを実現する技術的手段を講じる必要がある。 第二に、情報コンテンツの発信の知覚性を確保するために、目立つロゴをつけることが求められている。 また、公衆の混乱や誤解を招く恐れのある深層合成情報コンテンツについては、深層合成サービス提供者は、公衆に誤解を与えず情報コンテンツのセキュリティリスクを招かないよう、合理的な位置や場所に重要な表示物を追加する必要がある。 第三に、深層合成のロゴのチェック性を確保することは、明確な法的責任である。 この規定では、組織または個人が技術的手段を用いて深層合成ロゴを削除、改ざん、または隠蔽してはならないことになっている。 これは、深層合成コンテンツの全ライフサイクルにおいて、深層合成ロゴが存在することと、深層合成サービス提供者と技術支援者が、圧縮、伝送などのリンクによってロゴが失われないように、暗黙のロゴと重要なロゴの堅牢性を確保し、さらに技術手段によって主な責任をコンパクトにすることの両方を要求するものである。
深度合成技术展现了其强大的能量和可能性,加速应用已经成为现实趋势。但其带来效率和便利的同时,也带来了技术的伴生风险。深度合成服务从相继被纳入到《网络音视频信息服务管理规定》《网络信息内容生态治理规定》《互联网信息服务算法推荐管理规定》中监管,到出台专门的规章进行规制,显示出我国一方面引导深度合成技术良性发展,另一方面坚决打击利用深度合成服务制作传播违法不良信息、危害信息内容安全、社会公共利益和国家安全的行为。在合规前提下,深度合成技术创新发展,不断开拓应用场景,将形成对人工智能产业整体的带动效应,促进技术向上向善。(作者:时建中,中国政法大学副校长) 深層合成技術は、その大きなエネルギーと可能性を示し、加速度的に導入が進んでいるのが実情である。 しかし、効率や利便性をもたらす反面、技術に伴うリスクも伴いる。 深層合成サービスは、「ネットワーク音声・映像情報サービス管理条例」、「ネットワーク情報コンテンツ生態統治条例」、「インターネット情報サービスアルゴリズム推薦管理条例」に組み込まれ、それらを規制する特別な規定を導入し、中国は、一方で深層合成技術の良性発展を指導し、他方で深層合成サービスを利用して違法かつ望ましくない情報を生産・流布し、情報コンテンツを危うくしていることに断固として対処していることが示された。 安全保障、社会的公共性、国家安全保障 コンプライアンスを前提に、深層合成の技術革新と応用シナリオの継続的な開発が、AI産業全体へのドライビングエフェクトを形成し、技術の上方修正を促進する。 (著者:中国政法大学副学長 石建中氏)

 

1_20210705085401

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

| | Comments (0)

2022.12.22

NIST SP 800-107 Revision 1 承認されたハッシュアルゴリズムを使用するアプリケーションに対する推奨事項の廃止

こんにちは、丸山満彦です。

NISTが、

SP800-107 Rev.1 Recommendation for Applications Using Approved Hash Algorithms. (承認されたハッシュアルゴリズムを使用するアプリケーションに対する推奨事項)

を廃止することにしたようですね。。。

他のSP 800との重複がある場合もあるので、関連性が高いSPで最新情報を維持することにし、重複する記載になる107は廃止するということのようですね。。。

 

NIST- ITL

・2022.12.20 Withdrawal of NIST Special Publication 800-107 Revision 1

 

Withdrawal of NIST Special Publication 800-107 Revision 1 NIST Special Publication 800-107 Revision 1の廃止
In August 2021, NIST’s Crypto Publication Review Board initiated a process to review NIST Special Publication (SP) 800-107 Revision 1Recommendation for Applications Using Approved Hash Algorithms. SP 800-107 Rev. 1discusses the security strengths of hash functions and provides recommendations on digital signatures, HMAC, hash-based key derivation functions, random number generation, and the truncation of hash functions. See the initial public comments received by NIST.   2021年8月、NISTの暗号出版物審査委員会は、NIST 特別刊行物 (SP) 800-107 Revision 1「承認されたハッシュアルゴリズムを使用するアプリケーションに対する推奨事項」を見直すプロセスを開始した。SP 800-107 Rev.1は、ハッシュ関数のセキュリティ上の強みを論じ、デジタル署名、HMAC、ハッシュベースの鍵導出関数、乱数生成、ハッシュ関数の切り捨てに関する勧告を提供している。NISTが受け取った最初のパブリックコメントを参照。  
On June 8, 2022, NIST proposed the withdrawal of SP 800-107 Rev. 1 and called for comments on that decision proposal. See the decision proposal comments received by NIST.    2022年6月8日、NISTはSP 800-107 Rev.1の廃止を提案し、その決定提案に対するコメントを募集している。NISTが受領した決定提案コメントを参照。    
After considering the received comments, NIST is planning to withdraw SP 800-107 Rev. 1. Since the publication of SP 800-107 Rev. 1 in 2012, NIST has published (or revised) multiple recommendations that cover hash functions in different applications in more detail (e.g., SP 800-90A/B/C, SP 800-56A/B/C, SP 800-131A, SP 800-133, SP 800-135). In order to keep specific use requirements for a primitive in their most relevant publications—and avoid duplicating them in a separate publication—NIST has decided to withdraw SP 800-107 Rev. 1.   受領したコメントを検討した結果、NISTはSP 800-107 Rev.1の廃止を計画している。 2012年にSP 800-107 Rev.1が発行されて以来、NISTは異なるアプリケーションにおけるハッシュ関数をより詳細に取り上げた複数の勧告を発行(または改訂)してきた(例:SP 800-90A/B/C, SP 800-56A/B/C, SP 800-131A, SP 800-133, SP 800-135)。プリミティブの特定の使用要件を最も関連性の高い出版物で維持し、別の出版物で重複を避けるために、NISTはSP 800-107 Rev. 1を撤回することを決定した。  
NIST has moved the supplementary material currently in SP 800-107 Rev. 1 to NIST’s hash functions webpage. Next, NIST will move the requirements listed in SP 800-107 Rev.1 that are not currently addressed in other standards to a new Implementation Guidance (IG) developed by the Cryptographic Module Validation Program (CMVP). These requirements will again be considered when hash-function-related standards are revised. Once the new IG has been published, NIST will withdraw SP 800-107 Rev. 1.  NISTは、現在SP 800-107 Rev.1に含まれている補足資料をNISTのハッシュ関数ウェブページに移動させた。次に、NISTはSP 800-107 Rev.1に記載されている要件のうち、現在他の標準で対処されていないものを、暗号モジュール検証プログラム(CMVP)が開発した新しい実装ガイダンス(IG)に移す。これらの要件は、ハッシュ関数関連の標準が改訂される際に再び考慮されることになる。 新しいIGが発行され次第、NISTはSP 800-107 Rev.1を撤回する予定である。 
Information about the review process is available at NIST's Crypto Publication Review Project.  レビュープロセスに関する情報は、NISTのCrypto Publication Review Projectで入手できる。 

 

関連トピック

・Security and Privacy: secure hashing

 

 

参考

・2012.08.24 SP 800-107 Rev. 1 Recommendation for Applications Using Approved Hash Algorithms

 ・[PDF] SP 800-107 Rev. 1

20221222-65008

 

 

| | Comments (0)

経済産業省 「デジタルスキル標準」をとりまとめました!

こんにちは、丸山満彦です。

経済産業省と独立行政法人情報処理推進機構(IPA)は、

今年3月に公開した

  • 全てのビジネスパーソンが身につけるべき能力・スキルの標準 である「DXリテラシー標準(DSS-L)

と合せて、

  • 企業・組織のDX推進を人材のスキル面から支援するため、DXを推進する人材の役割や習得すべきスキルを定義した「DX推進スキル標準(DSS-P)

を今回新たに策定し、

  • 個人の学習や企業の人材育成・採用の指針である「デジタルスキル標準(DSS)」ver.1.0

として、取りまとめていますね。。。

 

DXって、(テクノロジーを活かした) ビジネス改革ですから、ビジネス改革というカツ丼に、ピリッとテクノロジーという七味がかかっている感じですよね。。。(よくわからんけど...)

なので、基本はビジネス改革のためのスキルがあって、そこにデジタルリテラシーが乗っかってきて、チームとして機能するという感じですよね。。。なので、ここでは、あまり取り上げられていないけど、コンプライアンス的な話や、外売りをするのであれば、マーケティング的な要素というのも、必要だったりはしますよね。。。

 

経済産業省

・2022.12.21 「デジタルスキル標準」をとりまとめました!


経済産業省と独立行政法人情報処理推進機構(IPA)は、企業・組織のDX推進を人材のスキル面から支援するため、DXを推進する人材の役割や習得すべきスキルを定義した「DX推進スキル標準(DSS-P)」を今回新たに策定し、今年3月に公開した「DXリテラシー標準(DSS-L)」と合せて、個人の学習や企業の人材育成・採用の指針である「デジタルスキル標準(DSS)」ver.1.0として、取りまとめました。


 

概要は。。。

 


2.概要

デジタルスキル標準」は、ビジネスパーソン全体がDXに関する基礎的な知識やスキル・マインドを身につけるための指針である「DXリテラシー標準」、及び、企業がDXを推進する専門性を持った人材を育成・採用するための指針である「DX推進スキル標準」の2種類で構成されています。

  • DXリテラシー標準」(2022年3月29日公表済):全てのビジネスパーソンが身につけるべき能力・スキルの標準
  • DX推進スキル標準」(2022年12月21日公表): DXを推進する人材の役割や習得すべきスキルの標準

なお、「デジタルスキル標準」で扱う知識やスキルは、共通的な指標として転用がしやすく、かつ、内容理解において特定の産業や職種に関する知識を問わないことを狙い、可能な限り汎用性を持たせた表現としています。そのため、個々の企業・組織への適用にあたっては、各企業・組織の属する産業や自らの事業の方向性に合わせた具体化が求められることに留意する必要があります。


 

全体像...

 

Photo_20221222055201

 

人材類型

Photo_20221222055501

 

 

関連リンク

 

検討会のメンバーは、座長をはじめ、昔からよく知っている人もいますが、私の知っている人は情報システム管理関係の方ですね。。。。

第1回 デジタル時代の人材政策に関する検討会([PDF] 資料1 委員名簿


<座長>
三谷 慶一郎 株式会社NTTデータ経営研究所 エグゼクティブオフィサー

<委員> 50 音順
有馬 三郎 株式会社セゾン情報システムズ 執行役員
テクノベーションセンター長 兼 HULFTプラットフォーム開発部長
石川 拓夫 株式会社日立アカデミー 取締役
石原 直子 株式会社リクルート リクルートワークス研究所
人事研究センター長 主幹研究員
草野 隆史 株式会社ブレインパッド 代表取締役社長
島田 裕次 東洋大学 総合情報学部総合情報学科 教授
田中 邦裕 さくらインターネット株式会社 代表取締役社長
広木 大地 株式会社レクター 取締役

<事務局>
経済産業省 商務情報政策局 情報技術利用促進課
みずほ情報総研株式会社 経営・ITコンサルティング部


 

● IPA - デジタルスキル標準(DSS)

 

 

 

| | Comments (0)

2022.12.21

PCAOB 中国の監査法人の検査が実質的に終了したようですね。。。(2022.12.15)

こんにちは、丸山満彦です。

米国の証券取引所に上場している企業を監査している監査法人は定期的にPCAOBの検査を受けることになっております。例えば、日本企業の中には米国の証券取引所に上場している企業の監査をしている日本の監査法人もその対象となります。ただ、中国については、今年にやっと調整ができたことから、中国の監査法人については今年からその検査が始まりました。

で、今回、その調査が一段落したということで、PCAOBから発表があったようですね。。。対象となったのは、中国本土のKPMG Huazhen LLPと香港のPricewaterhouseCoopersのようです。特に、大きな問題もなかったようですね。。。

この監査法人の選択にあたり、中国政府等との事前も含め調整は全くなく、他の国と同様にPCAOBが独自に決めて、独自に調査をしたとのことです。。。

正式な報告書については、新年早々に発表されるようです。。。

Public Company Accounting Oversight Board: PCAOB

・2022.12.15 PCAOB Secures Complete Access to Inspect, Investigate Chinese Firms for First Time in History

20221221-154252

 

PCAOB Secures Complete Access to Inspect, Investigate Chinese Firms for First Time in History PCAOBが史上初めて中国企業の検査・調査への完全なアクセスを確保
Chair Williams: Investors are more protected today because Congress passed the Holding Foreign Companies Accountable Act (HFCAA) ウィリアムズ委員長:議会が外国企業責任追及法(HFCAA)を可決したため、今日、投資家はより保護されるようになった。
Public Company Accounting Oversight Board (PCAOB) Chair Erica Y. Williams released the following statement today after the Board determined the PCAOB was able to secure complete access to inspect and investigate audit firms in the People’s Republic of China (PRC) for the first time in history, in 2022. 公開会社会計監視委員会(PCAOB)のエリカ・Y・ウィリアムズ委員長は、PCAOBが2022年に史上初めて中華人民共和国(PRC)の監査事務所を検査・調査するための完全なアクセス権を確保できたと判断したことを受け、本日以下の声明を発表した。
FACT SHEET: PCAOB Secures Complete Access to Inspect, Investigate Chinese Firms for First Time in History ・ファクトシート:PCAOBが史上初めて中国事務所の検査・調査への完全なアクセスを確保
2022 HFCAA Determination Report(PDF) ・2022年HFCAA決定報告書(PDF)
From Chair Williams: ウィリアムズ議長より
For the first time in history, the PCAOB has secured complete access to inspect and investigate registered public accounting firms headquartered in mainland China and Hong Kong. And this morning the Board voted to vacate the previous determinations to the contrary. PCAOBは歴史上初めて、中国本土と香港に本社を置く登録会計事務所を検査・調査するための完全なアクセス権を確保した。そして今朝、理事会はそれに反するこれまでの決定を取り消すことを決議した。
This historic and unprecedented access was only possible because of the leverage Congress created by passing the Holding Foreign Companies Accountable Act. Congress sent a clear message with that legislation that access to U.S. capital markets is a privilege and not a right, and China received that message loud and clear. この歴史的で前例のないアクセスは、議会がHolding Foreign Companies Accountable Actを可決することによって作り出した影響力によってのみ可能となったものである。議会はこの法案で、米国の資本市場へのアクセスは権利ではなく特権であるという明確なメッセージを発し、中国はそのメッセージをはっきりと受け取ったのである。
Investors are more protected today because of Congress’ leadership, and I want to thank Members of the House and the Senate for their ongoing work to hold China accountable. 議会のリーダーシップにより、今日、投資家はより保護されており、中国の責任を追及するために継続的に活動している下院と上院の議員に感謝したい。
I want to be clear: this is the beginning of our work to inspect and investigate firms in China, not the end. The PCAOB is continuing to demand complete access in mainland China and Hong Kong moving forward. Our teams are already making plans to resume regular inspections in early 2023 and beyond, as well as continuing to pursue investigations. これは中国の企業を検査・調査する我々の仕事の始まりであり、終わりではないことを明確にしたいと思う。PCAOBは中国本土と香港での完全なアクセスを今後も要求していく。我々のチームはすでに、2023年初頭およびそれ以降に定期的な検査を再開する計画を立てており、調査も継続して行っている。
The Board does not have to wait another year to reassess its determinations. Should PRC authorities obstruct or otherwise fail to facilitate the PCAOB’s access – in any way and at any point in the future – the Board will act immediately to consider the need to issue a new determination. 理事会は、その決定を再評価するために、もう1年待つ必要はない。中国当局がPCAOBのアクセスを妨害したり、その他の方法で促進できなかった場合、それがいかなる方法であれ、また将来のいかなる時点であれ、理事会は直ちに行動し、新たな決定を下す必要性を検討することになる。
It is important to understand: today’s announcement is about one question and one question only – is the PCAOB able to inspect and investigate firms in mainland China and Hong Kong completely at this time? The answer, following thorough and systematic testing, is yes. 重要なことは、本日の発表は、PCAOBが中国本土と香港の企業を完全に検査・調査することができるのか、という一つの疑問に対するものであり、一つの疑問だけであることを理解することである。徹底的かつ体系的なテストの結果、その答えは「イエス」である。
What we found during the course of our inspections and investigations is a separate question that we will address through our typical inspection and enforcement processes, which are designed to protect investors. 検査と調査の過程で発見したことは、投資家保護を目的とする通常の検査と執行のプロセスを通じて対処する別の問題である。
Today’s announcement should not be misconstrued in any way as a clean bill of health for firms in mainland China and Hong Kong. It is a recognition that, for the first time in history, we are able to perform full and thorough inspections and investigations to root out potential problems and hold firms accountable to fix them. 本日の発表は、中国本土と香港の企業にとって健全な状態であると誤解されるものではない。これは、歴史上初めて、私たちが完全かつ徹底的な検査と調査を行い、潜在的な問題を根絶し、企業に責任を持たせて解決することができるようになったことを認識したものである。
We arrived at today’s decision only after thoroughly verifying China’s compliance. 我々は、中国のコンプライアンスを徹底的に検証した上で、本日の決定に至った。
More than 30 PCAOB staff members conducted on-site inspections and investigations in Hong Kong, reviewing thousands of pages of documents, conducting interviews and taking testimony over a nine-week period from September to November. 30人以上のPCAOBスタッフが9月から11月までの9週間、香港でオンサイトの検査と調査を行い、数千ページに及ぶ文書を確認し、インタビューを行い、証言を得た。
On behalf of the entire PCAOB Board, I want to thank those staff members for their dedication and commitment. Because of their sacrifices and hard work, investors are more protected today. PCAOB理事会全体を代表して、これらのスタッフの献身とコミットメントに感謝したい。彼らの犠牲と努力のおかげで、今日、投資家はより保護されている。
Our inspections team was more than double the size of a typical team for similar inspections, and they remained on the ground in Hong Kong for about three weeks longer than the typical timeframe. 私たちの検査チームは、同様の検査を行う通常のチームの2倍以上の規模であり、通常の期間より約3週間長く香港に滞在した。
Our teams were tough. They were thorough. They tested the PRC compliance with skepticism and rigor. 私たちのチームはタフであった。徹底していた。そして、懐疑的かつ厳格にPRCのコンプライアンスをテストした。
And because of their hard work and commitment to holding China accountable, the PCAOB secured each of the three criteria required to achieve complete access: そして、彼らの努力と中国に責任を持たせるというコミットメントにより、PCAOBは完全なアクセスを達成するために必要な3つの基準のそれぞれを確保した。
One: The PCAOB exercised sole discretion to select the firms, audit engagements, and potential violations it inspected and investigated – without consultation with, nor input from, PRC authorities. 1:PCAOBは、中国当局と協議することなく、また中国当局の意見を聞くことなく、独断で監査法人、監査業務、潜在的な違反行為を選定し、検査・調査した。
PCAOB staff selected two firms for inspection: KPMG Huazhen LLP in mainland China and PricewaterhouseCoopers in Hong Kong. And they inspected a total of eight engagements between the two firms. PCAOBは2つの監査法人を検査対象として選定した。中国本土のKPMG Huazhen LLPと香港のPricewaterhouseCoopersである。そして、この2つのファームの間で行われた合計8件の契約を検査した。
Staff selected those firms using the same methodology they use in all PCAOB inspections, including consideration of risk factors posed by particular firms or issuer engagements. スタッフは、特定のファームや発行者の業務がもたらすリスク要因を考慮するなど、すべてのPCAOB検査で使用するのと同じ方法を用いて、これらのファームを選択した。
The selected engagements included several from categories of audit engagements PRC authorities had denied access to in the past – including large state-owned enterprises and issuers in sensitive industries. 選定された監査契約には、中国当局が過去にアクセスを拒否した監査契約(大規模な国有企業や敏感な業界の発行体など)がいくつか含まれていた。
Neither the PRC authorities nor the firms had any input or influence over the selections, and neither were given advanced notice. 中国当局も監査法人も、この選定について何の意見も影響も持っておらず、また事前に通知もされていない。
Separately, PCAOB staff also selected potential violations to be investigated consistent with regular practices and processes applied in the U.S. and around the world, without any input from or advance notice to PRC authorities, and PCAOB staff pursued all such investigations without interference. これとは別に、PCAOBのスタッフは、米国および世界で適用されている通常の実務とプロセスに従って、潜在的な違反行為を調査対象として選定しており、PRC当局からの意見や事前通知もなく、PCAOBスタッフは干渉されることなくすべての調査を進めている。
Two: PCAOB inspectors and investigators were able to view complete audit work papers with no redactions, and the PCAOB was able to retain information needed to complete our work. 2:PCAOBの検査官と調査官は、改竄のない完全な監査資料を閲覧することができ、PCAOBは業務遂行に必要な情報を保持することができた。
And three: The PCAOB had direct access to interview and take testimony from all personnel associated with the audits the PCAOB inspected or investigated. 3:PCAOBは、PCAOBが検査または調査した監査に関連するすべての担当者と直接面談し、証言を得ることができた。
I have been clear from day one, there would be no loopholes and no exceptions to our demand for complete access, and there were none. 私は初日から、完全なアクセスを求める私たちの要求に抜け穴や例外はないと明言してきましたが、その通りであった。
Our inspection reports are not yet finalized, but we are committed to releasing them as soon as possible in the new year. 検査報告書はまだ確定していないが、新年のできるだけ早い時期に公開することを約束する。
Preliminarily, PCAOB staff have identified numerous potential deficiencies. 予備的に、PCAOBスタッフは多数の潜在的な欠陥を特定した。
Any deficiencies are troubling. At the same time, it is not unexpected to find numerous deficiencies in jurisdictions that are being inspected for the first time. And the potential deficiencies identified by PCAOB staff at the firms in mainland China and Hong Kong are consistent with the types and number of findings the PCAOB has encountered in other first-time inspections around the world. どのような欠陥も厄介なものである。同時に、初めて検査を受ける法域で多数の欠陥が見つかることは予想外ではない。そして、中国本土と香港の会社でPCAOBスタッフが指摘した潜在的な欠陥は、PCAOBが世界中の他の初回検査で遭遇した指摘の種類と数に一致する。
The fact that we found those potential deficiencies is a sign that the inspection process worked as it is supposed to. This is exactly why Congress passed the HFCAA in the first place – so we could open up the books, identify potential problems, and begin the work of holding firms accountable to fix them. And that is exactly what we intend to do. これらの潜在的な欠陥が見つかったということは、検査プロセスが想定通りに機能したことの証である。これこそ、議会がそもそもHFCAAを可決した理由である。帳簿を公開し、潜在的な問題を特定し、それを修正するために会社に責任を負わせる作業を開始できるようにするためである。そして、それこそが、我々が意図していることなのだ。
Again, this is the beginning of the PCAOB’s work to inspect and investigate firms in mainland China and Hong Kong, not the end. We are continuing to demand complete access, and we will act immediately to reconsider today’s determinations should China obstruct, or otherwise fail to facilitate our access, at any time. 繰り返するが、これはPCAOBが中国本土と香港の企業を検査・調査する作業の始まりであり、終わりではないのである。私たちは完全なアクセスを要求し続け、中国が私たちのアクセスを妨害したり、そうでなければ、いつでも今日の決定を再考するために直ちに行動するつもりである。
I want to thank Chair Gensler and the Securities and Exchange Commission for their ongoing support, the incredible teams at the U.S. Embassy in Beijing and the U.S. consulate in Hong Kong who helped ensure the safety and security of our staff, my fellow PCAOB Board Members for their ongoing work, Members of Congress who made this possible through the passage of the HFCAA, and the PCAOB staff whose tireless efforts secured this historic access to protect investors. ゲンスラー委員長と証券取引委員会の継続的な支援、スタッフの安全とセキュリティを確保した北京の米国大使館と香港の米国領事館の素晴らしいチーム、PCAOB理事の継続的な活動、HFCAAを可決してこれを可能にした議会のメンバー、そして投資家保護のためにこの歴史的アクセスを確保したPCAOBスタッフの不断の努力に感謝したい。

 

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.09.02 米国 PCAOB 中国・香港に本社を置く登録会計事務所を検査することについて中国証券監督管理委員会、中華人民共和国財政部と議定書に署名 (2022.08.26)

 

 

| | Comments (0)

世界経済フォーラム (WEF) サイバー情報共有がもたらすビジネス上の重要性 - 私たちの集団防衛のために

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が「 サイバー情報共有がもたらすビジネス上の重要性 - 私たちの集団防衛のために」を公表しています。

攻撃者側は、その目的(国家の目的、金銭目的)達成のために、団結してきているわけですがから、防御側も業界、官民等で連携することは重要だですよね。。。

サイバーセキュリティ分野で情報共有の重要性は過去からも言われているし、米国のバイデン大統領が2021年5月12日に発表した「国家のサイバーセキュリティの改善に関する大統領令」でも強調されているポイントですが、なかなか難しいとも言われています。

この報告書では、サイバーセキュリティが経営リスクの一つとして管理すべき課題であり、そのためにCxOが協力して解決していく課題でもあることから、CEOがサイバー情報共有についてコミットすることが重要と書かれています。その通りだと思いますね。。。

 

World Economic Forum 

・2022.12.12 The Business Imperative of Cyber Information Sharing for Our Collective Defence

The Business Imperative of Cyber Information Sharing for Our Collective Defence サイバー情報共有がもたらすビジネス上の重要性 - 私たちの集団防衛のために
Businesses today must successfully manage their cyber risk to thrive. Effective risk management requires cyberthreat information sharing. This paper outlines three key steps to manage the risk and close the attacker–defender gap: making information sharing a C-suite prerogative; managing compliance and regulatory concerns; and defining “sharing” on a practical level. Businesses that adopt this paper’s framework, productively sharing information at the organizational level and embracing a collective defence posture, will be well on their way to managing their cyber risk effectively. Indeed, by making information sharing a part of leadership priorities, by understanding and responding to compliance and regulatory concerns, and by more clearly defining what sharing means, achieving an information-led approach to cybersecurity becomes an achievable and necessary business advantage. 今日のビジネスが成功するためには、サイバーリスクをうまく管理する必要がある。効果的なリスクマネジメントのためには、サイバー脅威の情報共有が必要である。この論文では、リスクを管理し、攻撃者と防御者のギャップを埋めるための3つの重要なステップを紹介している。それは、情報共有を経営幹部の特権とすること、コンプライアンスと規制に関する懸念を管理すること、そして「共有」を実用的なレベルで定義することである。この論文のフレームワークを採用し、組織レベルでの生産的な情報共有と集団的な防衛態勢を採用する企業は、サイバーリスクを効果的にマネジメントするための道を歩むことになる。実際、情報共有をリーダーシップの優先事項の一つとし、コンプライアンスや規制の懸念を理解して対応し、共有の意味をより明確に定義することで、サイバーセキュリティに対する情報主導のアプローチを実現することは、達成可能かつ必要なビジネス上の優位性となる。
Businesses today must successfully manage their cyber risk to thrive. Effective risk management requires cyberthreat information sharing. This paper outlines three key steps to manage the risk and close the attacker–defender gap: making information sharing a C-suite prerogative; managing compliance and regulatory concerns; and defining “sharing” on a practical level. Businesses that adopt this paper’s framework, productively sharing information at the organizational level and embracing a collective defence posture, will be well on their way to managing their cyber risk effectively. Indeed, by making information sharing a part of leadership priorities, by understanding and responding to compliance and regulatory concerns, and by more clearly defining what sharing means, achieving an information-led approach to cybersecurity becomes an achievable and necessary business advantage. 今日の企業が成功するためには、サイバーリスクをうまく管理する必要がある。効果的なリスクマネジメントのためには、サイバー脅威の情報共有が必要である。本稿では、リスクを管理し、攻撃者と防御者のギャップを解消するための3つの重要なステップを紹介する。この論文のフレームワークを採用し、組織レベルでの生産的な情報共有と集団的な防衛態勢を採用する企業は、サイバーリスクを効果的にマネジメントするための道を歩むことになる。実際、情報共有をリーダーシップの優先事項の一つとし、コンプライアンスや規制の懸念を理解して対応し、共有の意味をより明確に定義することで、サイバーセキュリティに対する情報主導のアプローチを実現することは、達成可能かつ必要なビジネス上の利点となるのである。

 

・[PDF]

20221221-60939

 目次...

Foreword まえがき
Executive summary エグゼクティブサマリー
Introduction 序文
1 Making information sharing a C-suite prerogative 1 情報共有はC-suiteの特権
2 Managing compliance and regulatory concerns 2 コンプライアンスと規制に関する懸念の管理
3 Defining “sharing” on a practical level 3 「共有」の実務的な定義
Conclusion まとめ
Contributors 協力者

 

エグゼクティブサマリー

Executive summary エグゼクティブサマリー
True information sharing is foundational to closing the gap between attackers and defenders, so it is imperative to make it a reality. 真の情報共有は、攻撃者と防御者の間のギャップを埋めるための基盤であり、それを実現することが不可欠である。
To ensure the right level of cybersecurity, cooperation between the public and private sectors is absolutely crucial. Information Sharing and Analysis Centres create a platform for such cooperation in terms of sharing information about root causes, incidents and threats, as well as sharing experience, knowledge and analysis. 適切なレベルのサイバーセキュリティを確保するためには、官民の協力が絶対に欠かせない。情報共有・分析センターは、根本原因、インシデント、脅威に関する情報の共有、経験、知識、分析の共有という点で、そうした協力のためのプラットフォームを構築している。
European Union Agency for Cybersecurity 欧州連合サイバーセキュリティ機関
This paper provides a brief discussion of three key steps towards closing the attacker-defender gap: 本論文では、攻撃者と防御者のギャップを解消するための3つの重要なステップについて簡単に説明する。
1. Making information sharing a C-suite prerogative 1. 情報共有はC-suiteの特権であること
2. Managing compliance and regulatory concerns 2. コンプライアンスと規制に関する懸念の管理
3. Defining “sharing” on a practical level 3. 現実的なレベルでの「共有」の定義
These three steps must be implemented in concert to achieve truly productive information sharing, but it is a worthwhile endeavour given the alarming acceleration of attacks, and the relative stagnation of the progress of defenders by comparison. In addition, this paper provides the following understandings as the foundation upon which the case for information sharing rests: 真に生産的な情報共有を実現するためには、これら3つのステップを連動させる必要があるが、攻撃の加速と、それに比べて防御側の進歩が相対的に停滞していることを考えると、これは価値のある取り組みと言える。また、本稿では、情報共有の基盤として、以下のような認識を示す。
・Cyberthreats today have escalated to the point where they can pose an existential risk to a company, disrupt national/global critical infrastructure and cause the loss of life. ・今日のサイバー脅威は、企業の存亡に関わるリスクや、国家・世界の重要インフラを破壊し、人命の損失をもたらすまでにエスカレートしている。
・For enterprises to have any chance of successfully defending themselves, they must accept and adopt a philosophy of collective defence. Cyber information sharing is at the core of any collective defence strategy. ・企業が自己防衛を成功させるためには、集団防衛の理念を受け入れ、採用する必要がある。サイバー情報の共有は、集団防衛戦略の中核をなすものである。
・Information sharing is not new, and it is demonstrably not a competitive issue. ・情報共有は新しいものではなく、また競争的な問題でもない。
・Legal processes and emerging technical solutions exist for real and perceived regulatory and privacy challenges. ・規制やプライバシーの問題については、法的な手続きや新たな技術的な解決策が存在する。
・Achieving true cyber information sharing is a business prerogative and, as with any business priority, success requires the active support and engagement of C-suite executives. ・真のサイバー情報共有の実現はビジネスの特権であり、ビジネスの優先順位と同様に、成功にはC-suiteエグゼクティブの積極的な支援と関与が必要である。

 

1 情報共有はC-suiteの特権

Making information sharing a C-suite prerogative 情報共有はC-suiteの特権
Cybersecurity cannot be addressed solely as a technical issue and must be managed as a material business risk. サイバーセキュリティは、技術的な問題だけでは対応できず、重要なビジネスリスクとして管理する必要がある。
At the 2015 Financial Services Roundtable featuring the largest integrated financial services companies in the United States, bank CEOs discussed systemic risks to their firms and the industry. They agreed that the impact that cyber incidents could have on operational resiliency was a top risk. The potential of a cyberattack to disrupt critical operations, putting the banks, their customers and the global financial system at risk, was material and growing. The CEOs acknowledged three key facts: 米国最大の総合金融サービス企業が参加した2015年の金融サービス・ラウンドテーブルでは、銀行のCEOが自社と業界に対するシステミック・リスクについて議論した。彼らは、サイバーインシデントがオペレーショナルレジリエンスに与えうる影響が最大のリスクであることに同意した。サイバー攻撃によって重要な業務が中断され、銀行やその顧客、世界の金融システムが危険にさらされる可能性は重大であり、その危険性は増大している。CEOたちは、3つの重要な事実を認識した。
1. The adversary was getting more sophisticated and was highly collaborative. 1. 敵はより巧妙になり、高度に連携している。
2. Despite the significant investments being made, the banks were falling farther behind. 2. 莫大な投資を行っているにもかかわらず、銀行はより大きな遅れをとっている。
3. That meant the status quo was not acceptable. 3. つまり、現状維持は許されない。
A higher level of collaboration and collective defence among the banks was required, as was real engagement with government and other critical sectors to protect their firms and the global financial system. 銀行と世界の金融システムを守るために、政府および他の重要なセクターとの真の関与と同様に、銀行間のより高いレベルの協力と集団的な防御が必要だったのである。
The CEOs did not just talk about the issue; they personally engaged with government officials and put their money and staff behind a remedy, collectively funding the creation of the US Financial Systemic Analysis & Resilience Center (FSARC), now the Analysis & Resilience Center (ARC). CEOたちは、この問題について話すだけでなく、自ら政府関係者と関わり、資金と人員を救済策に投入し、米国金融システム分析・回復力センター(FSARC)、現在の分析・回復力センター(ARC)の設立に共同で資金を提供した。
The world has seen a significant rise in sophisticated cyber incidents over the past few years, ranging from the SolarWinds and Colonial Pipeline attacks to uncountable ransomware incidents. While aspects of the events are not new (disclosure of data, theft of money), their scale and escalation have heightened the focus on cybersecurity and operational resiliency by corporate leaders in every sector of the economy, members of the media and government officials. SolarWindsやColonial Pipelineの攻撃から数え切れないほどのランサムウェア事件に至るまで、ここ数年、世界では巧妙なサイバー事件が著しく増加している。これらの事件は、データの漏洩や金銭の盗難など目新しいものではないが、その規模や深刻化により、経済のあらゆる部門の企業リーダー、メディア、政府関係者が、サイバーセキュリティと業務上のレジリエンスへの関心を高めている。
The silver lining to the increased cyberthreat is a growing understanding that a bad cyber day can pose an existential threat to a company. Cybersecurity cannot be addressed solely as a technical issue and must be managed as a material business risk. This realization has amplified the focus of management teams and boards of directors. This combination of increased focus and collective vulnerability offers an opportunity for CISOs to engage their C-suites to seek their active support to enhance collaboration, better defend and protect organizations against these threats, and improve the security and resiliency of the collective ecosystem. サイバー脅威の増大に伴う明るい兆しは、サイバーデイの悪化が企業の存続を脅かす可能性があることを理解するようになったことである。サイバーセキュリティは、技術的な問題としてのみ対処することはできず、重要なビジネスリスクとしてマネジメントする必要がある。この認識により、経営陣と取締役会の焦点はさらに高まっている。このような注目度の高まりと集団的脆弱性の組み合わせは、CISOが経営陣を巻き込んで積極的な支援を求め、協力体制を強化し、これらの脅威から組織をよりよく守り、集団的エコシステムのセキュリティとレジリエンスを向上させる好機となる。
One specific action a CISO can take to better engage with senior executives is to schedule a cyberthreat information briefing for their C-suite executives and board of directors with their relevant law enforcement/governmental agency. President Biden’s 12 May 2021 Executive Order on Improving the Nation’s Cybersecurity starts with the need for better cyber information sharing. CISOが上級管理職との関係を深めるためにできる具体的な行動の1つは、関連する法執行機関/政府機関とCスイート幹部および取締役会のためのサイバー脅威情報のブリーフィングを予定することである。バイデン大統領が2021年5月12日に発表した「国家のサイバーセキュリティの改善に関する大統領令」は、サイバー情報の共有をより良くする必要性から始まっている。
The European Union Agency for Cybersecurity (ENISA) states on its website that “European legislation like the NIS Directive and the Cybersecurity Act nourish the creation of sectoral ISACs and public-private partnerships within the EU”. The EU’s Digital Operational Resilience Act also proposes to specifically develop information and intelligence sharing protocols. 欧州連合サイバーセキュリティ機関(ENISA)は、そのウェブサイトで「NIS指令やサイバーセキュリティ法などの欧州の法律は、EU内の分野別ISACや官民パートナーシップの構築を養っている」と述べている。また、EUのデジタル運用レジリエンス法では、情報および情報共有プロトコルを具体的に整備することが提案されている。
The private sector should drive engagement in information collaboration. This can seem unnatural in competition-driven businesses, but history has demonstrated that cybersecurity is neither a competitive nor an anticompetitive issue. Mutual success requires a willingness to work together. An active interest in collaborating operationally is necessary to share observations, lessons learned, best practices and intelligence in order to protect the enterprise, its clients and the ecosystem. 民間部門は、情報連携への関与を促進する必要がある。これは、競争主導のビジネスでは不自然に思えるかもしれないが、サイバーセキュリティは競争でも反競争でもないことは歴史が証明している。相互の成功には、協力する意志が必要である。企業、その顧客、エコシステムを保護するために、観察、教訓、ベストプラクティス、インテリジェンスを共有するためには、運用面での協力に積極的に関心を持つことが必要である。
As a result, when company leaders make sharing a real priority, it has a chance to succeed. In contrast, information sharing efforts often wither without sustained support from the top. Effective sharing requires continuous support; the CEO and other senior company officials must make cyberthreat information sharing an ongoing priority for it to be impactful and sustainable. その結果、企業のトップが情報共有の重要性を認識すれば、情報共有は成功する可能性がある。一方、情報共有の取り組みは、トップからの継続的なサポートがなければ、しばしば衰退してしまう。効果的な情報共有には継続的な支援が必要である。CEOをはじめとする企業の上級幹部は、サイバー脅威の情報共有を継続的な優先事項とすることで、インパクトのある持続的な情報共有を実現することができるのである。
   
The challenges associated with cyberattacks and the financial fraud stemming from such incidents are bigger than any one institution, and this is something the financial sector must face together. We are stronger and more resilient when we work collectively to understand the evolving tactics of cyber adversaries and to deepen the layers of defence against such attacks. Bill Nelson, President and Chief Executive Officer (2006-2018), FS-ISAC サイバー攻撃とそれに起因する金融詐欺に関連する課題は、どの金融機関よりも大きく、金融セクターが一丸となって立ち向かわなければならない。私たちは、サイバー攻撃者の進化する戦術を理解し、そのような攻撃に対する防御の層を厚くするために協力し合うことで、より強く、よりレジリエンスに富んだ存在となるのである。ビル・ネルソン FS-ISAC社長兼最高経営責任者(2006年~2018年
A platform of trust and communication to facilitate information sharing among sectors and businesses is necessary to share actionable insights with other stakeholders for situational awareness, and to detect and respond to cyberthreats promptly. Cyber Security Agency of Singapore 状況認識のために他のステークホルダーと実用的な洞察を共有し、サイバー脅威を迅速に検知して対応するためには、セクターや企業間の情報共有を促進する信頼とコミュニケーションのプラットフォームが必要である。シンガポールサイバーセキュリティ庁

 

 

| | Comments (0)

世界経済フォーラム (WEF) 製造業における人工知能から価値を解き放つ (2022.12.12)

こんにちは、丸山満彦です。

世界経済フォーラム(WEF)が、トルコと共に作った製造業におけるAIの活用についてのガイドのようなものです。。。

トルコは次世代戦闘機を作成し、他国に売り込もうとするなど、積極的ですね。。。

 

World Economic Forum 

・2022.12.12 Unlocking Value from Artificial Intelligence in Manufacturing

Unlocking Value from Artificial Intelligence in Manufacturing 製造業における人工知能から価値を解き放つ
Artificial intelligence (AI) can enable a new era in the digital transformation journey, offering tremendous potential to transform industries for greater efficiency, sustainability and workforce engagement. Even though the impact of AI applications in manufacturing and value chains is known, the full opportunity from their deployment is still to be uncovered due to a number of organizational and technical roadblocks. Recognizing this need, the World Economic Forum’s Platform for Shaping the Future of Advanced Manufacturing and Value Chains and Platform for Shaping the Future of Technology Governance: Artificial Intelligence and Machine Learning, together with the Centre for the Fourth Industrial Revolution Türkiye, convened industry, technology and academic experts to shed light on these challenges and propose a step-by-step approach to overcome them. 人工知能(AI)は、デジタルトランスフォーメーションの旅における新しい時代を可能にし、効率性、持続可能性、労働力のエンゲージメントを高めるために産業を変革する多大な可能性を提供することができる。製造業やバリューチェーンにおけるAIアプリケーションの影響は知られていても、多くの組織的・技術的な障害により、その展開から得られる機会の全容はまだ明らかにされていないのが現状である。この必要性を認識し、世界経済フォーラムの「先進製造業とバリューチェーンの未来を形作るためのプラットフォーム」と「テクノロジー・ガバナンスの未来を形作るためのプラットフォーム」は、このようなニーズに応えるものである。人工知能と機械学習は、第4次産業革命トルコセンターとともに、産業界、テクノロジー、学術界の専門家を招集し、これらの課題に光を当て、それを克服するための段階的なアプローチを提案した。
Artificial intelligence (AI) can enable a new era in the digital transformation journey, offering tremendous potential to transform industries for greater efficiency, sustainability and workforce engagement. Even though the impact of AI applications in manufacturing and value chains is known, the full opportunity from their deployment is still to be uncovered due to a number of organizational and technical roadblocks. Recognizing this need, the World Economic Forum’s Platform for Shaping the Future of Advanced Manufacturing and Value Chains and Platform for Shaping the Future of Technology Governance: Artificial Intelligence and Machine Learning, together with the Centre for the Fourth Industrial Revolution Türkiye, convened industry, technology and academic experts to shed light on these challenges and propose a step-by-step approach to overcome them. 人工知能(AI)は、デジタル変革の旅における新時代を可能にし、より高い効率性、持続可能性、労働力の関与のために産業を変革する多大な可能性を提供することができる。製造業やバリューチェーンにおけるAIアプリケーションの影響は知られていても、多くの組織的・技術的な障害により、その展開による完全な機会はまだ明らかにされていない。この必要性を認識し、世界経済フォーラムの「先進製造業とバリューチェーンの未来を形作るためのプラットフォーム」と「テクノロジー・ガバナンスの未来を形作るためのプラットフォーム」は、このようなニーズに応えるものである。人工知能と機械学習は、第4次産業革命トルコセンターと共同で、産業界、テクノロジー、学術界の専門家を招集し、これらの課題に光を当て、克服するための段階的なアプローチを提案した。
This white paper presents the benefits that can be achieved through industrial AI applications in operational performance, sustainability and workforce augmentation as well as six main barriers hindering their adoption at scale. It also highlights over 20 successful AI applications implemented by leading manufacturers and an example of a step-by-step approach to implementing scalable AI applications in manufacturing and supply chains. 本ホワイトペーパーでは、産業用AIアプリケーションを通じて、運用パフォーマンス、持続可能性、労働力の増強において達成できるメリットと、大規模な採用を妨げる6つの主な障壁を紹介している。また、大手メーカーが導入した20以上の成功したAIアプリケーションと、製造業やサプライチェーンにおけるスケーラブルなAIアプリケーションの導入のためのステップバイステップアプローチの例も紹介している。

・[PDF] Unlocking Value from Artificial Intelligence in Manufacturing

20221220-225922

目次...

Foreword まえがき
Executive summary エグゼクティブサマリー
Introduction 序文
1 Unlocking value in manufacturing through AI 1 AIによる製造業の価値向上
2 Shedding light on common barriers to industrial AI adoption 2 産業用AI導入の共通障壁に光を当てる
3 A collection of AI applications in manufacturing 3 製造業におけるAIアプリケーション集
4 A step-by-step approach to implementing scalable industrial AI applications 4 スケーラブルな産業用AIアプリケーションを実装するためのステップバイステップアプローチ
Conclusion まとめ
Contributors 協力者
Endnotes 巻末資料

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
Recent global developments and an ever-growing list of shocks and disruptions have put further strain on already shaken global value chains. The complexity of current challenges impacting manufacturing and value chains calls for the need to go beyond the traditional means of driving productivity to uncover the next wave of value for businesses, the workforce and the environment. Artificial intelligence (AI) is a crucial enabler of industry transformation, opening new ways to address business problems and unlock innovation while driving operational performance, sustainability and inclusion. Even though the impact of AI applications on manufacturing processes is known, the full opportunity from their deployment is still to be uncovered due to a number of organizational and technical roadblocks. 最近のグローバルな展開と増え続けるショックやディスラプションは、すでに揺らいでいるグローバル・バリューチェーンにさらなる負担をかけている。製造業とバリューチェーンに影響を与える現在の課題の複雑さは、生産性を促進する従来の手段を超えて、企業、労働者、環境にとっての価値の次の波を明らかにする必要性を呼びかけている。人工知能(AI)は、産業変革の重要な実現手段であり、ビジネス上の問題に対処し、イノベーションを解放する新しい方法を開くと同時に、運用パフォーマンス、サステナビリティ、インクルージョンを推進するものである。製造プロセスにおけるAIアプリケーションの影響は知られていても、多くの組織的・技術的な障害により、その配備による完全な機会はまだ明らかにされていない。
Recognizing this need, the Centre for the Fourth Industrial Revolution Türkiye, together with the World Economic Forum’s Platform for Shaping the Future of Advanced Manufacturing and Value Chains and Platform for Shaping the Future of Technology Governance: Artificial Intelligence and Machine Learning, convened industry, technology and academic experts to shed light on these challenges and propose a step-by-step approach to overcome them. The consultations revealed six main challenges hindering the adoption and scaling of AI applications in manufacturing: この必要性を認識し、第4次産業革命トルコセンターは、世界経済フォーラムの「先進製造業とバリューチェーンの未来を形作るためのプラットフォーム」と「テクノロジー・ガバナンスの未来を形作るためのプラットフォーム」とともに、以下のイベントを開催した。産業界、技術界、学術界の専門家を招集し、これらの課題に光を当て、克服するための段階的なアプローチを提案した。協議の結果、製造業におけるAIアプリケーションの導入と規模拡大を妨げる6つの主要な課題が明らかになった。
1. A mismatch between AI capabilities and operational needs 1. AIの能力と業務上のニーズとのミスマッチ
2. The absence of a strategic approach and leadership communication 2. 戦略的アプローチとリーダーシップ・コミュニケーションの不在
3. Insufficient skills at the intersection of AI and operations 3. AIと運用の交差点におけるスキルの不足
4. Data availability and the absence of a data governance structure 4. データの可用性とデータガバナンス体制の不在
5. A lack of explainable AI models in manufacturing 5. 製造業における説明可能なAIモデルの不足
6. Significant customization efforts across manufacturing use cases 6. 製造業のユースケース間での大幅なカスタマイズの取り組み
The consultations show that leading manufacturers have successfully overcome the challenges mentioned above, implementing a variety of AI applications and achieving a positive impact on operational performance, sustainability and workforce engagement, mainly in six areas: health and safety, quality, maintenance, production processes, the supply chain, and energy management. 協議の結果、大手製造業は上記の課題を克服し、さまざまなAIアプリケーションを導入し、主に安全衛生、品質、メンテナンス、生産プロセス、サプライチェーン、エネルギー管理の6つの分野で、業務パフォーマンス、サステナビリティ、ワークフォースエンゲージメントにプラスの影響を与えることに成功していることが明らかになった。
While opportunities enabled by AI in manufacturing are promising and attracting many leaders, organizations are looking for a common framework that outlines how to implement AI solutions and ensure a successful return on investment. 製造業におけるAIが可能にする機会は有望であり、多くのリーダーを魅了しているが、組織はAIソリューションの導入方法を概説し、投資に対する成功報酬を確保するための共通のフレームワークを求めている。
Based on the consultations, this white paper presents one step-by-step process as an example of how it is possible to overcome barriers, using the AI Navigator2 developed by the INC Invention Center as a reference: 本ホワイトペーパーでは、コンサルティングをもとに、INCインベンションセンターが開発したAIナビゲーター2 を参考に、障壁を克服するための一例として、あるステップ・バイ・ステップのプロセスを紹介している。
Phase 0: Initiation to build the fundamentals – strategy, data and workforce フェーズ 0:戦略、データ、人材といった基礎的な部分を構築するイニシエーション
Phase 1: Ideation to identify potential use cases and conduct a pre-selection フェーズ 1:ユースケースの候補を特定し、事前選定を行うアイデア出し
Phase 2: Assessment to select use cases and identify priorities via gap analysis フェーズ 2:ユースケースを選択し、ギャップ分析により優先順位を特定するためのアセスメント
Phase 3: Feasibility to complete all required tests and studies フェーズ 3:必要なテストと調査をすべて完了させるフィージビリティ(実現可能性
Phase 4: Implementation, which requires iteration and piloting using agile project management フェーズ 4:アジャイルプロジェクトマネジメントによる反復と試行が必要な実装
Moving forward, the World Economic Forum and the Centre for the Fourth Industrial Revolution Türkiye will continue to work closely with stakeholders in the Centre for the Fourth Industrial Revolution Network and across industries to accelerate the journey to capture value from AI in manufacturing globally. It will offer the Turkish Employers’ Association of Metal Industries (MESS) Technology Centre as a unique testing and collaboration system for businesses to pilot new AI applications and foster a collaborative approach among a diverse group of stakeholders to ensure the right AI capabilities are built in manufacturing and rolled out worldwide. 今後、世界経済フォーラムと第4次産業革命センター・トルコは、第4次産業革命センター・ネットワークのステークホルダーや産業界全体と密接に連携し、製造業におけるAIからの価値獲得に向けた旅をグローバルに加速していく。新しいAIアプリケーションを試験的に導入する企業のための独自の試験・コラボレーションシステムとしてトルコ金属工業経営者協会(MESS)テクノロジーセンターを提供し、製造業において正しいAI能力が構築され、世界中で展開されるように、多様なステークホルダー間の共同アプローチを促進する。

 

 

| | Comments (0)

NIST FIPS 197「高度暗号化標準」の更新提案

こんにちは、丸山満彦です。

NISTが、FIPS 197「高度暗号化標準」の更新の提案をしていますね。。。

NIST - ITL

・2022.12.19 Announcement of Proposal to Update FIPS 197, The Advanced Encryption Standard

 

Announcement of Proposal to Update FIPS 197, The Advanced Encryption Standard FIPS 197「高度暗号化標準」の更新提案の通知
As a part of the periodic review of NIST’s cryptographic standards and guidelines, NIST's Crypto Publication Review Board ("Review Board") announced the review of Federal Information Processing Standards Publication (FIPS) 197, The Advanced Encryption Standard (AES) in May 2021. NISTの暗号標準とガイドラインの定期的な見直しの一環として、NISTのCrypto Publication Review Board(以下、レビューボード)は、2021年5月に連邦情報処理標準出版物(FIPS)197, 高度暗号化標準(AES)の見直しを行うと発表した。
NIST proposes to update FIPS 197. An update of a publication is appropriate when it only requires changes to correct errors or clarify its interpretation, and no changes are made to technical content. The proposed changes to FIPS 197 are summarized in the sections below. NISTは、FIPS 197の更新を提案している。 出版物の更新は、誤りの訂正や解釈の明確化のための変更のみを必要とし、技術的な内容に変更がない場合に適切とされている。 FIPS 197 の変更案は、以下のセクションに要約されている。
A public comment period for the draft FIPS 197 update is open through February 13, 2023.  Public comments on the decision to update the FIPS, or on the draft update itself, may be submitted to [mail], with “Comments on Draft FIPS 197 Update” in the subject line. Comments received in response to this request will be posted on the Crypto Publication Review Project site after the due date. Submitters’ names and affiliations (when provided) will be included, while contact information will be removed. See the project site for additional information about the review process. FIPS 197更新ドラフトに対するパブリックコメント期間は、2023年2月13日までである。  FIPS更新の決定、または更新ドラフト自体に対するパブリックコメントは、件名に "Comments on Draft FIPS 197 Update "と記載して [mail] 宛に提出することができる。この要請に応じて受け取ったコメントは、期日後に暗号化出版物審査プロジェクトのサイトに掲載される。提出者の名前と所属(提供されている場合)は含まれますが、連絡先情報は削除される。レビュープロセスの詳細については、プロジェクトサイトを参照のこと。
Summary of the Draft Update of FIPS 197 FIPS 197のドラフト更新の概要
The version history is summarized in Appendix D of the draft update of FIPS 197. The draft update includes extensive editorial improvements to the version that was published in November 2001, including the following: バージョン履歴は、FIPS 197のドラフト更新の附属書Dに要約されている。更新ドラフトは、2001年11月に発行されたバージョンに対して、以下のような広範囲な編集上の改善を含んでいる。
・The frontmatter is modernized, e.g., a foreword and abstract are added. ・まえがき及び要約を追加するなど、前文を現代的にした。
・Terms and symbols are defined more comprehensively and consistently. ・用語や記号の定義をより包括的かつ統一的にした。
・Formatting/typesetting is improved in a variety of ways. ・書式やタイプセットを改善した。
・Unnecessary formalism is removed. ・不必要な形式的表現を排除した。
・Diagrams are included for the three key schedules. ・3つの主要なスケジュールについて、図を掲載した。
・Some references were updated, and additional references were provided. ・いくつかの参考文献を更新し、さらに参考文献を追加した。
Initial Public Comments 初回パブリックコメント
In May 2021, the Review Board requested initial public comments for the review of FIPS 197 (released 2001). In June 2021, the public comments were posted. The public comment to include a reference to NIST Special Publication (SP) 800-133 Rev. 2, Recommendation for Cryptographic Key Generation was accepted in the updated draft. 2021年5月、レビューボードはFIPS 197(2001年リリース)のレビューのための初期パブリックコメントを要請した。2021年6月、パブリックコメントが掲載された。NIST 特別出版物 (SP) 800-133 Rev.2, 暗号鍵の生成に関する推奨事項への言及を含めるというパブリックコメントは、更新ドラフトで受理された。
The other two public comments include a variety of observations and suggestions for the appropriate properties for a block cipher and its modes of operation. In particular, both comments request that NIST standardize an alternative block cipher with a larger block size. Neither comment recommends any changes to FIPS 197 itself. 他の2件のパブリックコメントには、ブロック暗号とその動作モードの適切な特性に関する様々な見解や提案が含まれている。特に、両コメントともブロックサイズを大きくした代替ブロック暗号を標準化するようNISTに要求している。どちらのコメントもFIPS 197自体の変更は推奨していない。
NISTIR 8319 NISTIR 8319
Published in July 2021, NIST Internal Report (NISTIR) 8319, Review of the Advanced Encryption Standard documented the main considerations in the review of FIPS 197. 2021年7月に発行されたNIST内部報告書(NISTIR)8319「高度暗号化標準のレビュー」では、FIPS197のレビューにおける主な検討事項が文書化されている。
Rationale for Updating FIPS 197 FIPS 197の更新の根拠
There are two elements to the decision to update a publication: 1) editorial revision is appropriate, and 2) technical revision is not necessary. In the case of FIPS 197, several potential clarifications are recommended in Section 3.5 of NISTIR 8319, and NIST identified a variety of other editorial improvements. 出版物の更新を決定するには、2つの要素がある。1) 編集上の改訂が適切である、2) 技術的な改訂が必要でない。FIPS 197 の場合、NISTIR 8319 のセクション 3.5 でいくつかの潜在的な明確化が推奨されており、NIST はその他の編集上の様々な改善点を特定した。
The technical content is the specification of a family of three block ciphers: AES-128, AES-192, and AES-256, where the numerical suffix indicates the bit length of the key. Since AES is adopted widely, the main question for the review is whether the specified block cipher family is sufficiently secure. The following is a summary of the security assessment: 技術的な内容は、3つのブロック暗号のファミリーの仕様である。AES-128、AES-192、AES-256の3種類で、数字のサフィックスが鍵のビット長を表している。AESは広く採用されているため、レビューの主な問題は、指定されたブロック暗号ファミリーが十分に安全であるかどうかということである。以下、安全性評価の概要を述べる。
・Classical security [Sections 3.1 and 3.2 of NISTIR 8319]: The key sizes remain adequate against classical exhaustive search. For the classical analytic attacks on instances of the AES algorithm that are listed in Table 2 of NISTIR 8319, either 1) the attack only applies to an unapproved, weakened variant, in which the number of rounds is reduced by at least three; or 2) the computational complexity of the attack is prohibitive. In the second category, the largest theoretical reduction in computational complexity over generic, exhaustive search occurs under the restrictive assumption of related-keys, and only for AES-192 and AES-256. ・古典的安全性 [NISTIR 8319の3.1項と3.2項]: 古典的な網羅的探索に対して、鍵の大きさは十分である。NISTIR 8319の表2に記載されているAESアルゴリズムのインスタンスに対する古典的な分析的攻撃については、1) 攻撃は、ラウンド数が少なくとも3つ減少している、未承認の弱体化したバリエーションにのみ適用されるか、2) 攻撃の計算複雑さが法外であるかのいずれかである。2番目のカテゴリーでは、一般的な網羅的探索と比較して理論上最大の計算量削減が、関連鍵という制限付きの仮定の下で、AES-192とAES-256に対してのみ発生する。
・Key Size and Post-Quantum Security [Section 3.3 of NISTIR 8319]: If large-scale quantum computers are developed, Grover’s algorithm would facilitate a brute force search for the key with computational work that is roughly the square root of the classical computational work. NIST expects to issue appropriate guidance on parameter choices and post-quantum security as part of the Post-Quantum Cryptography project. ・鍵のサイズと量子後のセキュリティ [NISTIR 8319の3.3項]: 大規模な量子コンピュータが開発された場合、Groverのアルゴリズムは古典的な計算量のほぼ平方根の計算量で鍵のブルートフォースサーチを容易にする。NISTは、ポスト量子暗号プロジェクトの一環として、パラメータの選択とポスト量子セキュリティに関する適切なガイダンスを発行することを期待している。
・Implementation security [Section 3.4 of NISTIR 8319]: Implementation attacks based on "side channels" such as power consumption and execution timing are a general concern for keyed cryptographic algorithms, including the AES family. Cache-timing attacks are a significant additional concern for the AES algorithm because they can potentially be mounted remotely; mitigating this risk was a key motivation for the inclusion of an AES instruction in modern processors. NIST will consider developing separate guidance on how to protect implementations of the AES family against implementation attacks in general. ・実装セキュリティ [NISTIR 8319のセクション3.4]。消費電力や実行タイミングのような「サイドチャンネル」に基づく実装攻撃は、AESファミリーを含む鍵暗号アルゴリズムに対する一般的な懸念事項である。キャッシュタイミング攻撃は、リモートで実行される可能性があるため、AESアルゴリズムにとって重要な追加的懸念事項である。このリスクを軽減することが、最新のプロセッサにAES命令を組み込む主な動機であった。NISTは、AESファミリーの実装を一般的な実装攻撃から保護する方法について、別途ガイダンスを作成することを検討する。

 

・2022.12.19 FIPS 197 (Draft) Advanced Encryption Standard (AES)

・[PDF]  FIPS 197 (Draft)

20221220-165217

 

 

| | Comments (0)

経済産業省 総務省 警察庁 NISC 年末年始休暇において実施いただきたい対策について(注意喚起)

こんにちは、丸山満彦です。

GW前、お盆前、年末年始前、、、風物詩的になってまいりました。。。

 

経済産業省

・2022.12.20 年末年始休暇において実施いただきたい対策について注意喚起を行います

・[PDF] 年末年始休暇において実施いただきたい対策について

・[PDF] 別添資料

20221220-154355

 

● 警察庁 - サイバーポリスエージェンシー

・2022.12.20 年末年始休暇において実施いただきたい対策について(注意喚起)

・[PDF] 年末年始休暇において実施いただきたい対策について(注意喚起)

・[PDF] セキュリティ対策責任者・システム担当者向け資料

 

● 内閣官房サイバーセキュリティセンター

・2022.12.20 年末年始休暇において実施いただきたい対策について注意喚起を行います

・[PDF] 年末年始休暇において実施いただきたい対策について(注意喚起) 

・[PDF] 長期休暇に向けて、セキュリティ対策は万全ですか? 

ちなみに...

 

 

 

| | Comments (0)

2022.12.20

OECD 「信頼性のある、持続可能で、包摂的なデジタルの未来」に関する閣僚宣言 (2022.12.15)

こんにちは、丸山満彦です。

遅れていたことに少しずつ追いつてきていますよ。。。(^^)

2022.12.14-15に経済協力開発機構(OECD)デジタル経済政策委員会(CDEP)閣僚会合がスペインのグランカナリアで開催され、「信頼性のある、持続可能で、包摂的なデジタルの未来」に関する閣僚宣言が採択されていますね。。。

こちらは、総務省のウェブページで紹介されています。(信頼性のあるガバメントアクセスに関する高次原則に係る閣僚宣言」は、個人情報保護委員会のウェブページで紹介されてました)。

OECD

・2022.12.15 Declaration on a Trusted, Sustainable and Inclusive Digital Future

 

総務省

・2022.12.16 OECDデジタル経済に関する閣僚会合の結果

・[PDF] Declaration on a Trusted, Sustainable and Inclusive Digital Future

20221220-143900

・[PDF]  仮訳

20221220-144317

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.12.17 OECD 「信頼性のあるガバメントアクセスに関する高次原則に係る閣僚宣言」を採択

 

 

| | Comments (0)

公安調査庁 令和5年「内外情勢の回顧と展望」

こんにちは、丸山満彦です。

公安調査庁が、2022.12.19に内外情勢の回顧と展望」を更新して、公表していますね。。。

特集は3つあって...

  • 特集1 ロシアによるウクライナ侵略をめぐって揺れ動いた世界
  • 特集2 経済安全保障関連
  • 特集3 サイバー空間の広がりに伴う脅威の拡散

です。。。

昨年は、

でした。

 

公安調査庁

・2022.12.19 令和5年「内外情勢の回顧と展望」の公表について

・[PDF] 内外情勢の回顧と展望(令和5年版)」

20221220-131300

 

目次...

内外情勢の回顧と展望(令和5年版)の発行に当たって

特集1 ロシアによるウクライナ侵略をめぐって揺れ動いた世界
  1 長期化するウクライナ危機
  2 対ロシア関係をめぐる国際社会の対応
  3 ウクライナ侵略を受けた我が国内での動向
  COLUMN① ロシアによるウクライナ侵略を捉えたイスラム過激組織の主張
  COLUMN② ロシアによるウクライナ侵略の中で狙われる製品

特集2 経済安全保障関連
  1 重要技術・製品等の確保に向けた取組を継続する米中
  2 国内外の技術・製品の獲得に向けた動向
  3 経済安全保障分野における公安調査庁の取組

特集3 サイバー空間の広がりに伴う脅威の拡散
  1 公共空間としての重要性を増すサイバー空間
  COLUMN 民主主義の基盤を脅かす懸念のある偽情報
  2 活動主体の多様化が進むサイバー空間
  3 サイバーセキュリティ意識の向上に加え、メディア情報リテラシーの向上も課題

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.07.01 公安調査庁 国際テロリズム要覧2022

・2022.06.30 公安調査庁 「公安調査局長・公安調査事務所長会議」における公安調査庁長官訓示(2022.06.23)

・2022.05.28 公安調査庁 経済安全保障の確保に向けて2022~技術・データ・製品等の流出防止~

・2022.04.17 公安調査庁 サイバー空間における脅威の概況2022

・2022.03.09 公安調査庁 経済安全保障関連調査及びサイバー関連調査の取組強化について

・2022.02.24 公安調査庁 経済安全保障に関する啓発のためにYouTube広告を配信します

・2021.12.20 公安調査庁 内外情勢の回顧と展望(令和4年版)

・2021.03.25 公安調査庁 サイバーパンフレット「サイバー空間における脅威の概況2021」at 2021.03.05

・2020.06.30 公安調査庁 サイバーパンフレット「サイバー攻撃の現状2020」

 

 

| | Comments (0)

データ被害時のベンダー選定チェックシート Ver.1.0 by 日本データ復旧協会(DRAJ), デジタル・フォレンジック研究会(IDF), 日本ネットワークセキュリティ協会(JNSA), 日本コンピュータセキュリティインシデント対応チーム協議会(NCA), ソフトウェア協会(SAJ)

こんにちは、丸山満彦です。

ランサムウェア攻撃によるインシデントは一向に減らないような感じですね。ランサムウェアの事故からの復旧をする際に、外部専門家の力も必要となるのですが、どういうベンダーを選定すれば良いのか迷うこともあると思います。変な業者を頼んで、勝手に身代金を払ってデータ復旧したみたいなことがあると困りますよね。。。

ということで、日本データ復旧協会(DRAJ), デジタル・フォレンジック研究会(IDF), 日本ネットワークセキュリティ協会(JNSA), 日本コンピュータセキュリティインシデント対応チーム協議会(NCA), ソフトウェア協会(SAJ)が、協力して、「データ被害時のベンダー選定チェックシート Ver.1.0」を作成し、公表していますので、参考に...

セキュリティ業界に団体がたくさんありますね。。。

| | Comments (0)

中国 最高検察庁 国民の個人情報に対する犯罪を法に基づいて処罰した代表的な5事例の公表 (2022.12.07)

こんにちは、丸山満彦です。

中国でも個人情報保護法が制定されるなど、個人データに関する規制が行われていますが、最高検察庁 国民の個人情報に対する犯罪を法に基づいて処罰した代表的な5事例の公表しており、どのようにして処罰されているのかの片鱗を知ることができるかもしれません。ただ、個人情報保護法が施行される前の事例ですが。。。

最高人民检察院

・2022.12.07 最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例

 

最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例 最高検察庁、国民の個人情報に対する犯罪を法に基づいて処罰した代表的な5事例を公表
推动形成个人信息保护多元共治新格局 個人情報保護に関する多様で共通した新しいガバナンスの形成の推進
近日,最高人民检察院发布5件依法惩治侵犯公民个人信息犯罪典型案例。该批典型案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型个人信息的全面保护,体现了检察机关依法从严惩治侵犯公民个人信息犯罪的政策导向。 最近、最高人民検察院は、国民の個人情報に対する犯罪を法律に基づいて処罰した代表的な5つの事例を発表した。 代表的な事例では、国民の信用情報、生体情報、軌跡情報、健康・生理情報など、さまざまな種類の個人情報を包括的に保護しており、国民の個人情報に対する犯罪を法律に基づいて厳しく処罰するという検察当局の政策方針が反映されている。
该批典型案例对司法办案中涉及个人信息的有关法律适用问题进行了重申或明确。比如,案例一明确,对客观上无法排重计算所涉个人信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。案例二明确,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。 一連の典型的な事例では、裁判例における個人情報に関連する法的適用の問題が再確認され、明確にされている。 例えば、事例1では、関係する個人情報を順位付けして計算することが客観的に不可能な場合、違法収益の額を有罪判決および量刑の事実上の根拠として決定することができることを明確にしている。 事例2は、国民の個人情報の一括管理について、虚偽または重複を証明する証拠がある場合を除き、押収量に基づき直接個数を決定することを明確にしたものである。
信息数量、违法所得数额是侵犯公民个人信息罪定罪量刑的重要依据。其中之一达到司法解释规定的标准,即可认定为“情节严重”或者“情节特别严重”,按照侵犯公民个人信息罪定罪量刑。如果二者分别属于不同的量刑幅度的,可以按照处罚较重的量刑幅度处理。 国民の個人情報に対する犯罪では、情報量と違法収益の額が有罪判決や量刑の重要な根拠となる。 このうち、1つでも「司法解釈」が定める基準に達していれば、「加重状況」または「特に加重な状況」とみなされ、国民の個人情報を侵害した罪に応じて有罪判決が下される。 両者が異なる量刑範囲に含まれる場合は、より重い刑罰が適用される量刑範囲に従うことができる。
党的二十大明确指出要“加强个人信息保护”。近年来,全国检察机关强化履职担当,不断加强对公民个人信息的司法保护。2019年至今年10月,全国检察机关共批准逮捕涉嫌侵犯公民个人信息犯罪嫌疑人1.3万余人,提起公诉2.8万余人。 第20回党大会では、「個人情報保護の強化」の必要性が明確に指摘された。 近年、国家検察庁はその役割を強化し、国民の個人情報の司法保護を継続的に強化している。2019年から今年10月まで、国家検察庁は国民の個人情報を侵害した疑いのある13,000人以上の容疑者の逮捕を認め、28,000件以上の起訴を行った。
最高检第一检察厅负责人表示,民法典第四编第六章专章规定了“隐私权和个人信息的保护”。2021年11月1日颁布施行的个人信息保护法完善了个人信息保护的法律体系。在司法实践中,涉及信息类型的界定、刑事处罚标准的确定,以及庞杂的信息数量核查等问题,仍亟需加强指导。通过该批典型案例的选编、发布,以期促进个人信息保护相关法律深入贯彻实施,为检察办案提供指导。下一步,检察机关要进一步强化履职,结合打击治理电信网络诈骗犯罪等深挖关联犯罪,加强对上游信息采集、提供、倒卖等环节犯罪行为的全链条打击,对公民个人信息的信息类型以及刑事处罚标准加强研究,协同推进个人信息保护刑事检察和公益诉讼检察一体化办案,促进平台、行业完善内部管控,推动形成个人信息保护多元共治新格局。 最高検察庁第一検察庁長官は、民法第4編第6章にプライバシーと個人情報の保護が規定されており、2021年11月1日に施行される個人情報保護法により、個人情報保護に関する法制度が整備されたと述べている。 司法実務においては、情報の種類の定義、刑事罰の決定、複雑な情報量の検証などに関する指導の強化が急務であることに変わりはない。 今回の代表的な事例の選定・公表を通じて、個人情報保護関連法の徹底を図るとともに、検察官の事件処理の指針を提供することを目的としている。 次の段階として、検察当局はその職務をさらに強化し、通信ネットワーク詐欺犯罪などの取り締まりと連動して関連犯罪の捜査を深め、上流情報の収集・提供・ダンピングなどの犯罪行為に対する取り締まりの全チェーンを強化し、国民の個人情報の種類や刑事処罰基準の研究を強化し、個人情報保護刑事訴訟と公益訴訟訴追の統合を共同で推進、プラットフォームや業界の改善を促進する必要がある。 内部統制を強化し、個人情報保護のための新しい多面的なガバナンスの形成を促進する。
检察机关依法惩治侵犯公民个人信息犯罪典型案例 国民の個人情報に対する犯罪を法律に基づいて処罰する調達機関の代表的な事例
关于印发检察机关依法惩治侵犯公民个人信息犯罪典型案例的通知 国民の個人情報を侵害した犯罪を処罰する法令に基づく検察庁の典型的な事例を公表することに関する通知
各省、自治区、直辖市人民检察院,解放军军事检察院,新疆生产建设兵团人民检察院: 中央政府直轄の各省、自治区、市の人民検察院、人民解放軍の軍事検察院、新疆生産建設兵団の人民検察院。
近年来,全国检察机关坚持以习近平新时代中国特色社会主义思想为指导,依法能动履职,切实加强对公民个人信息的司法保护。2019年至2022年10月,共批准逮捕涉嫌侵犯公民个人信息犯罪嫌疑人1.3万余人,提起公诉2.8万余人,有力保护了被害人的合法权益。为深入学习贯彻党的二十大精神,全面贯彻习近平法治思想,积极回应社会关切,切实加强公民个人信息保护,加强办案指导,持续推动《中华人民共和国个人信息保护法》贯彻实施,最高人民检察院选编了“解某某、辛某某等人侵犯公民个人信息案”等5件检察机关依法惩治侵犯公民个人信息犯罪典型案例,现印发你们,供参考借鉴。 近年、国家検察機関は「新時代の中国の特色ある社会主義」に関する習近平思想の指導を堅持し、法律に従ってダイナミックに職務を遂行し、国民の個人情報の司法保護を効果的に強化しており、2019年から2022年10月まで、国民の個人情報を侵害した疑いのある容疑者計13,000人余りの逮捕を認め、28,000余りを起訴し、被害者の合法的権益を有効に保護することができるようになった。 第20回中国共産党全国代表大会の精神を徹底的に研究・実践し、習近平の法治思想を全面的に実行し、社会の関心事に積極的に対応し、国民の個人情報保護を効果的に強化し、事件処理の指導を強化し、中華人民共和国個人情報保護法の実施を絶えず推進するために、最高人民検察院は「謝木茂、辛木茂ら国民の個人情報を侵害した事件」を選定・編集した。 "最高人民検察院は、法律に従って国民の個人情報に対する犯罪を処罰する検察機関の典型的な事例を5つ選び、ここに参考資料として発行した。
本批典型案例有以下特点:一是体现了依法从严惩治侵犯公民个人信息犯罪的政策导向,注重全面打击上下游犯罪。如案例三中,天津检察机关通过加强检警协作,深挖上下游犯罪,从窃取信息的源头到出售末端全面排查、精准打击,彻底斩断犯罪链条。二是体现了对公民个人信息的全面保护。个人信息内涵丰富,民法典、个人信息保护法专门进行了定义。本批案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型信息的全面保护。三是强调发挥指导检察办案的作用。如案例一提出,对客观上无法排重计算信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。案例二提出,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。对信息的真实性,可以采取抽样方式进行验证。四是强调法治宣传教育和促进诉源治理。通过发布典型案例,提醒广大人民群众提高自我保护意识,谨防个人信息泄露。如案例二中被告人将开发的窃取被害人照片的软件伪装成“颜值检测”软件,迷惑性极强,只要用户下载打开使用就会造成个人信息的泄露。针对行业“内鬼”泄露公民个人信息案件中反映出的管理漏洞和内部监管机制不到位等问题,检察机关通过制发检察建议,督促相关单位履行监管职责,完善管理制度,预防和杜绝泄露公民个人信息问题的发生。 第一に、国民の個人情報に対する犯罪を法律に基づいて厳罰化し、川上から川下まで総合的に取り締まるという政策方針を反映していることである。 例えば、事例3では、天津市検察当局が検察と警察の連携を強化することで、犯罪の上流と下流を深く掘り下げ、盗んだ情報の出所から販売先まで総合的に調査し、正確に取り締まり、犯罪チェーンを完全に断ち切った。 第二に、国民の個人情報を包括的に保護することを具現化したものである。 個人情報には豊かな意味合いがあり、民法や個人情報保護法などで具体的に定義されている。 今回は、国民の信用情報、生体情報、軌跡情報、健康・生理情報など、さまざまな情報を包括的に保護する事例を取り上げた。 第三に、事件処理における検察官の誘導の役割を重視している。 例えば、事例1では、情報量のランク付けや算出が客観的に不可能な場合、違法収益の額を有罪判決や量刑の事実上の根拠として用いることができると提案している。 事例2は、大量に押収された国民の個人情報の短冊の枚数を、真偽不明または重複しているという証拠がある場合を除き、押収量に基づいて直接決定することを提案する。 情報の真偽は、サンプリングによって確認することができる。 第四に、法の支配に関する教育の推進と、訴訟源のガバナンスの推進を重視していることである。 代表的な事例を公開することで、一般の方々にも自衛意識を高め、個人情報漏えいに注意するよう呼びかけた。例えば、事例2において、被告は、被害者の写真を盗むために開発したソフトウェアを「顔写真検出」ソフトウェアと偽っていたが、これは極めて紛らわしいもので、ユーザーがダウンロードして開いて使用すると、個人情報の流出が発生することになる。  業界の「内部者」による国民の個人情報流出事件に反映された管理の抜け穴と不十分な内部監督機構に鑑み、検察当局は、監督責任を果たし、管理システムを改善し、国民の個人情報流出を防止・停止するよう関連部門に促す検察勧告を発表した。
下一步,各级检察机关要进一步强化履职,结合打击治理电信网络诈骗犯罪等深挖关联犯罪,加强对上游信息采集、提供、倒卖等环节犯罪行为全链条打击,加强对公民个人信息“信息类型”和刑事处罚标准的研究,充分发挥检察监督职能优势,协同推进个人信息保护刑事检察和公益诉讼检察一体化办案,促进平台、行业完善内部管控,推动形成个人信息保护多元共治新格局。 次の段階として、各レベルの調達機関は、職務の遂行をさらに強化し、通信ネットワーク詐欺の取り締まりと連動して関連犯罪の調査を深め、上流の情報収集・提供・販売における犯罪のチェーン全体の取り締まりを強化し、国民の個人情報の「情報型」と刑事処罰基準の研究を強化し、調達機関の監督機能を十分に発揮させる必要がある。 また、最高人民検察院はその監督機能を活用して、個人情報保護に関する刑事訴追と公益訴訟の一体化を推進し、プラットフォームと産業による内部管理の改善を促進し、個人情報保護に関する多面的なガバナンスの新形態の形成を促進した。
最高人民检察院 最高人民検察庁
2022年12月2日 2022年12月2日
检察机关依法惩治侵犯公民个人信息犯罪典型案例 国民の個人情報に対する犯罪を法律に基づいて処罰する検察当局の典型的な事例
案例一 解某某、辛某某等人侵犯公民个人信息案 事件1 謝木茂、申木茂らによる市民の個人情報侵害事件
【关键词】 [キーワード]
侵犯公民个人信息  征信信息  信息数量  违法所得数额 国民の個人情報、信用情報、情報量、不正所得額の侵害
【基本案情】 [事件の基本的な事実]
被告人解某某,北京某信息咨询有限公司法定代表人。 被告人である謝慕慕は、北京情報諮詢有限公司の法的代表者である。
被告人辛某某,北京某信息咨询有限公司股东。 北京信息諮詢有限公司の株主である被告新夢は、「北京信息諮詢有限公司を設立した。
被告人吴某某、郝某、李某某等基本情况略。 被告呉茂茂、被告郝茂茂、被告李茂茂の基本的状況は省略する。
该公司2015年7月成立后,最初主要是网络商业推广,后公司出现亏损。解某某、辛某某便决定出售公民信息牟利。2018年1月至2019年6月,解某某、辛某某雇佣吴某某、郝某、李某某等50余人通过在网上刊登贷款广告、在公司的“点有钱”微信公众号设置贷款广告链接,吸引有贷款需求的人填写“姓名、手机号、有无本地社保和公积金、有无负债、房产和车辆持有状况、工资收入、有无保险、征信情况、借款需求、还款周期”等信息。获取上述信息后,解某某、辛某某指使员工将上述信息上传到公司开发的“点有钱”APP,再通过在微信群搜集、在“点有钱”微信公众号发放广告,获取银行、金融公司信贷员的姓名和手机号。通过与信贷员联系,吸引他们在APP注册充值。信贷员充值后,解某某、辛某某等人在未经信息权利人同意的情况下,将信息以每条30元至150元的价格出售给信贷员。通过出售上述信息,解某某、辛某某等人违法所得共计450余万元。 同社は2015年7月、当初はネットビジネスのプロモーションを主な目的としていたが、赤字になったことをきっかけに設立された。 同社は2015年に設立され、当初はネットビジネスのプロモーションを中心に展開していた。 同社の「ポイントマネー」WeChat公開番号にローン広告へのリンクを設置し、融資ニーズのある人が「氏名、携帯電話番号、地域の社会保障と摂生資金の有無、借金の有無、不動産と車の保有状況、給与と収入、保険の有無、信用状況、借入ニーズ、返済サイクル」などの情報を記入するよう呼びかけた。 謝萌と新萌は、上記情報を入手した後、従業員に指示して、同社が開発した「ポイントマネー」アプリに上記情報をアップロードし、WeChatグループでの収集を通じて、「ポイントマネー」WeChat公開番号で、銀行や金融会社の債権者名を入手する広告を発行したこと のホームページを作成した。 同社の債権者に連絡を取り、アプリの登録と上乗せを呼びかけた。 債権者が上納した後、謝慕と辛慕は情報権利者の同意なしに、債権者に情報をそれぞれ30元から150元で売却した。 上記の情報を販売することで、謝慕慕、辛慕慕慕らは合計450万元以上の不法な収益を得た。
2019年6月,公安机关立案侦查,将解某某、辛某某等人抓获,从网站后台提取到公民个人信息共计31万余条。 2019年6月、公安当局は捜査案件を開設し、謝萌萌、新萌萌らを逮捕し、同サイトの裏側から計31万件以上の市民の個人情報を抜き出した。
【检察机关履职过程】 [検察当局の職務執行]
(一)审查逮捕 (1) 審査・逮捕
2019年8月5日,北京市昌平区人民检察院以涉嫌侵犯公民个人信息罪对解某某等人批准逮捕。批捕后,检察机关建议公安机关围绕涉案公民个人信息的内容、数量、是否属于单位犯罪等问题进一步侦查。 2019年8月5日、北京昌平区人民検察院は、市民の個人情報を侵害した疑いで、謝何某らの逮捕を承認した。 逮捕の承認後、公安当局は、関係する市民の個人情報の内容や量、単位犯罪かどうかを中心にさらに調査するよう提案した。
(二)审查起诉 (2) 審査・起訴
2019年12月30日,公安机关将解某某等人移送审查起诉。检察机关审查认为,2017年底,解某某、辛某某决定实施犯罪,招募员工,收集、出售公民信息,除此之外公司并无其他合法经营活动,依法应以自然人犯罪论处。由于存放数据的服务器域名过期未续费导致原始信息被删除,通过后台提取的信息包含“*”,客观上无法对具体信息条数排重计算。于是,检察机关通过审查银行流水、业绩单等电子证据等认定每名被告人的违法所得均超过5万元,属于“情节特别严重”。在共同犯罪中,解某某、辛某某起主要作用,系主犯;其余被告人系被雇佣,在犯罪中分工合作,实施信息上传、筛选、销售等,起次要作用,系从犯。经释法说理,解某某、辛某某等人均自愿认罪认罚。 2019年12月30日、公安当局は謝何某らを審査・起訴に回した。 検察当局は、2017年末、謝何某と新何某が犯罪を犯すことを決め、従業員を募集し、市民の情報を収集、販売し、それ以外に、同社は正当な事業活動がなく、法律により自然人犯罪として処罰されるべきであると検討した。 データが保存されているサーバーのドメイン名が期限切れで更新されなかったため、元の情報が削除され、バックグラウンドで抽出された情報には「*」が含まれており、客観的には特定の情報の個数を順位付けして算出することはできなかった。 その結果、検察当局は、銀行のフローや業績表などの電子的証拠を調べることで、各被告の違法所得が5万元を超え、「特に深刻」であることを突き止めたのである。 共同犯罪では、謝何某、新何某は、主要な役割は、主犯格を果たし、被告の残りの部分は、分業、情報のアップロードの実装では、スクリーニング、販売など、二次的な役割を果たし、雇われた、付属品である。 法律を説明した後、謝何某、新何某らは全員自発的に罪を認め、有罪を主張した。
2020年6月24日,昌平区人民检察院以解某某、辛某某等人涉嫌侵犯公民个人信息罪提起公诉。 2020年6月24日、昌平区人民検察院は市民の個人情報を侵害した罪で、謝何某、新何某らを起訴した。
(三)指控与证明犯罪 (3) 罪の告発と立証
2020年9月16日,昌平区人民法院依法公开审理。 2020年9月16日、昌平区人民法院は法律に基づいて公開裁判を実施した。
庭审中,被告人对指控的事实与罪名均无异议。但有的辩护人提出,一是本案属于单位犯罪。二是信息数量没有排重,故数量认定不准确。三是指控的违法所得包含了公司其他合法经营所得,该部分不应当作为犯罪金额。 裁判の間、被告人は自分に対する事実と告発に異議を唱えませんでした。 しかし、擁護派からは、まず、この事件はユニット犯罪であるとの指摘もあった。 第二に、情報の数が多くランク付けされていないため、不正確な数字と判断されたことである。 第三に、違法とされる収入には、会社の他の正当な事業収入も含まれており、その部分を犯罪の額とすべきではないこと。
公诉人答辩指出,一是谢某某、辛某某成立公司后,虽然最初是合法经营,但公司出现亏损后,自2017年底就预谋收集、出售公民信息,并招募员工等,2018年以后除实施收集、出售公民信息犯罪活动以外,并无其他合法经营。根据《最高人民法院关于审理单位犯罪案件具体应用法律有关问题的解释》的规定,公司、企业、事业单位设立后,以实施犯罪为主要活动的,不以单位犯罪论处。二是本案在客观上无法实现信息排重,但有确实、充分的证据可以证实各被告人违法所得数额均在5万元以上。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定,信息数量、违法所得数额中某一项达到刑事追诉标准,即构成侵犯公民个人信息罪。本案虽然无法确定信息数量,但可以证实被告人违法所得数额达到5万元以上,属于“情节特别严重”。三是被告人供述、公司银行流水、业绩单及各被告人之间的微信聊天记录等证据可以证实谢某某、辛某某自2018年1月以后除出售公民个人信息外并无其他合法经营活动,所以指控的金额均系犯罪所得。 検察官の答弁では、まず、謝と新が会社を設立した後、当初は合法的に運営されていたものの、損失を被り、2017年末から計画的に市民情報を収集・販売し、従業員を募集するなどしており、2018年以降は市民情報の収集・販売という犯罪行為の実行以外に合法的な運営はなかったことが指摘された。 最高人民法院の「単位犯罪事件の審理における法の具体的適用に関する問題についての解釈」によると、犯罪の遂行を主な活動として設立された会社、企業、機関は単位犯罪として処罰されないとされている。 第二に、本件では、客観的に情報の順位付けの重さを実現することは不可能であったが、各被告の違法収益額が5万元以上であることを確認できる確実かつ十分な証拠が存在したことである。 最高人民法院と最高人民検察院の「市民の個人情報侵害の刑事事件の処理における法律の適用に関するいくつかの問題についての解釈」によると、情報量と違法収益額のいずれかが刑事訴追の基準に達する場合、市民の個人情報侵害の犯罪に該当する。 本件では、情報量を把握することはできなかったが、被告の違法収益額が5万元以上に達していることは確認でき、「特に重大な事情」である。 第三に、被告人の自白、会社の銀行フロー、業績表、被告人同士のWeChat記録などの証拠から、謝慕と新慕は2018年1月以降、市民の個人情報を販売する以外に正当な事業活動がないことが確認できるので、容疑額は犯罪収益である。
(四)裁判结果 (4) 裁判結果
2020年12月11日,昌平区人民法院采纳检察机关指控意见和量刑建议,以侵犯公民个人信息罪判处解某某、辛某某等被告人有期徒刑三年六个月至一年四个月不等,并处罚金。 2020年12月11日、昌平区人民裁判所は検察官の告発と判決勧告を採択し、市民の個人情報を侵害したとして、謝何某、辛何某ら被告に3年6ヶ月から1年4ヶ月の有期懲役を宣告し、罰金を科した。
【典型意义】 [代表的な意義]
(一)非法获取、出售征信信息,情节严重的,应以侵犯公民个人信息罪依法惩处。个人征信信息属于公民个人信息,包括个人基本信息、个人信贷交易信息,以及反映个人信用状况的其他信息。具有非法获取、出售征信信息50条以上,或者违法所得5000元以上情形之一的,属于“情节严重”,依法应以侵犯公民个人信息罪定罪处罚。数量或者数额达到上述规定标准十倍以上的,属于“情节特别严重”,依法应处三年以上七年以下有期徒刑,并处罚金。 (1) 信用情報の不正取得・販売の状況が重大である場合、被告人は国民の個人情報侵害の罪として法律により処罰されるものとする。 個人信用情報とは、国民の個人情報であり、基本的な個人情報、個人信用取引情報、その他個人の信用状況を反映する情報である。 50件以上の信用情報を不正に取得・販売した場合、または5,000元以上の不正な収益を得た場合は、「重大な事情」があると見なされ、法律に従い、市民個人情報侵害罪として有罪・処罰される。 数量または金額が上記基準の10倍以上に達した場合は、「特に重大な事態」として、3年以上7年以下の懲役および罰金に処するものとする。
(二)对客观上无法排重计算信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。信息数量、违法所得数额是侵犯公民个人信息罪定罪量刑的重要依据。其中之一达到司法解释规定的标准,即可认定为“情节严重”或者“情节特别严重”,按照侵犯公民个人信息罪定罪量刑。如果二者分别属于不同的量刑幅度的,可以按照处罚较重的量刑幅度处理。 (2) 情報量を算出することが客観的に不可能な場合、違法収益の額を有罪判決および量刑の事実上の根拠とすることができる。 国民の個人情報を侵害する罪では、情報量と違法な収入額が有罪判決や量刑の重要な根拠となる。 このうち1つでも司法解釈で定められた基準に達していれば、「重大な事情」または「特に重大な事情」とみなされ、国民の個人情報を侵害した罪に準じて有罪判決が下されることになる。 両者が異なる量刑範囲に属する場合は、より重い刑罰の量刑範囲に従うことができる。
(三)提高自我保护意识,防止个人信息泄露。征信信息全面反映个人信贷状况,与公民人身、财产安全直接相关,被泄露后容易成为电信网络诈骗、套路贷等违法犯罪活动的被害人。生活中,要注意选择正规的金融机构贷款,不随意点击不明贷款链接,不轻易透露个人财产状况,谨防信息泄露。 (3) 自己防衛意識の向上と個人情報漏洩の防止。 信用情報は個人の信用状況を総合的に反映し、国民の生命・財産の安全に直結するものであり、流出後は通信網詐欺や貸金業などの違法・犯罪行為の被害者となりやすい。 生活の中では、融資を受ける際には正式な金融機関を選ぶこと、知らない融資のリンクを勝手にクリックしないこと、情報漏洩を防ぐために個人の資産状況を安易に公開しないことなどに注意する必要がある。
案例二 李某侵犯公民个人信息案 事例2 李何某が市民の個人情報を侵害した場合
【关键词】 [キーワード]
侵犯公民个人信息  人脸信息  生物识别信息  信息数量 国民の個人情報、顔情報、生体情報、情報量の侵害
【基本案情】 [事件の基本的な事実]
被告人李某,某网络科技有限公司软件开发人员。 ネットワーク技術会社のソフトウェア開発者である李何某被告。
2020年6月至9月,李某制作了一款可以窃取安装者手机内的照片的软件。当手机用户下载安装该软件打开使用时,软件就会自动获取手机相册的照片并且上传到李某搭建的服务器后台。李某将该软件发布在暗网某论坛售卖,截至2021年2月9日,共卖得网站虚拟币30$。后李某为炫耀技术、满足虚荣心,又将该软件伪装成“颜值检测”软件,发布在某论坛供网友免费下载安装,以此方式窃取安装者手机相册照片1751张。其中,含有人脸信息、姓名、身份证号码、联系方式、家庭住址等100余条公民个人信息。 2020年6月から9月にかけて、李何某はインストール者の携帯電話から写真を盗み出すことができるソフトウェアを作成した。 携帯電話のユーザーがソフトをダウンロードしてインストールし、開くと、携帯電話のアルバムから自動的に写真を取得し、李が構築したサーバーのバックエンドにアップロードする仕組みになっていた。 李は、ダークウェブ上のフォーラムにソフトウェアを販売するために投稿し、2021年2月9日までに、ウェブサイト上で合計30ドルの仮想通貨を販売したのである。 その後、李は自分の技術を誇示し虚栄心を満たすために、このソフトウェアを「顔検出」ソフトウェアに偽装し、ネットユーザーが無料でダウンロード・インストールできるよう掲示板に掲載し、インストール者の携帯アルバムから1751枚の写真を盗み出した。 このソフトウェアは、ネットユーザーが自由にダウンロードしてインストールできるよう、フォーラムで公開された。
2020年9月,李某又用虚拟币在该暗网的论坛购买“社工库资料”并转存于网盘。2021年2月,李某为炫耀自己的能力,明知“社工库资料”含有户籍信息、车主信息等,仍将网盘链接分享到“业主交流”QQ群(150名成员)。经去除无效数据、合并去重后,该“社工库资料”包含公民个人信息共计8100余万条。 2020年9月、李は仮想コインを使ってダークウェブのフォーラムで「ソーシャルワーカーデータベース」を購入し、自分のオンラインディスクに転送した。 2021年2月、李は自分の能力を誇示するため、「社労士データベース」に戸籍や車の所有者情報が含まれていることを知りながら、QQグループ「所有者交流」(150人)にウェブドライブのリンクを共有した。 無効なデータを削除し、結合と重み付けを解除した「ソーシャルワーカー・データベース」には、合計で8,100万件以上の国民の個人情報が含まれていた。
2021年3月9日,公安机关将李某抓获。经侦查,因“社工库资料”内容庞大且存储于境外网盘,未查到有人下载使用。 2021年3月9日、公安当局が李何某を逮捕した。 調査の結果、「ソーシャルワーカー・データベース」はコンテンツが大きく、オフショアネットワークに保存されていたため、ダウンロードして利用した人はいなかったと判明した。
【检察机关履职过程】 検察当局の職務遂行
(一)审查逮捕 (1) 審査・逮捕
2021年3月26日,公安机关对李某提请批准逮捕。上海市奉贤区人民检察院审查认为,李某非法获取并在QQ群内提供8100余万条公民个人信息,信息数量巨大,符合“情节特别严重”的规定,且李某利用“颜值检测”软件窃取“人脸信息”等事实需继续侦查,本案存在毁灭证据的可能,遂于4月2日批准逮捕。 2021年3月26日、公安当局が李何某の逮捕の承認を求めた。 上海市奉賢区人民検察院は、李何某がQQグループの市民の個人情報8,100万件以上を不正に取得・提供し、これは膨大な情報量で「特に深刻な状況」の要件に該当すること、李何某が「顔検出」ソフトを使って「顔情報」などを盗用していたことを認定した。 "証拠隠滅 "の可能性があるため、4月2日に逮捕が承認された。
(二)审查起诉 (2) 審査・起訴
2021年5月28日,公安机关将该案移送审查起诉。奉贤区人民检察院审查认为,李某非法获取并提供公民个人信息,已涉嫌侵犯公民个人信息罪,且信息数量符合“情节特别严重”的规定,鉴于李某主观上没有出售牟利的目的,客观上未造成信息传播、扩散,且系初犯,自愿认罪认罚,8月10日,奉贤区人民检察院以李某涉嫌侵犯公民个人信息罪提起公诉,提出有期徒刑三年,缓刑三年的量刑建议。 2021年5月28日、公安当局は本件を審査・起訴に回した。 奉賢区人民検察院は、李何某が市民の個人情報を違法に取得・提供し、市民の個人情報を侵害した疑いがあり、その情報量は「特に深刻な状況」の要件に該当すると認定した。 8月10日、奉賢区人民検察院は李何某を市民の個人情報侵害の罪で起訴し、懲役3年、執行猶予3年の判決を提案した。
(三)指控与证明犯罪 (3) 罪の告発と立証
2021年8月23日,奉贤区人民法院依法公开审理。 2021年8月23日、奉賢区人民裁判所は、法律に従って公開裁判を行った。
庭审中,辩护人提出,一是本案未对涉案8100余万条信息的真实性核实确认,数量认定依据不足。二是被告人到案后如实供述自己利用黑客软件窃取照片的事实,还主动交代公安机关未掌握的在暗网非法购买公民个人信息并分享至QQ群的事实,对于该事实应当认定为自首。 裁判の中で弁護側が提案したのは、まず、事件に関わる8,100万件以上の情報の真偽が検証・確認されておらず、数量を決定する根拠が不十分であったこと。 第二に、被告はハッキングソフトを使って写真を盗んだ事実を自白し、また、公安当局が市民の個人情報を闇ネットで違法に購入し、QQグループに共有した事実を率先して説明し、自首とみなすべきであるとした。
公诉人答辩指出,一是司法鉴定机构去除无效信息,合并去重进行鉴定,鉴定出有效个人信息8100余万条,信息数量客观、真实,符合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定的对批量公民个人信息具体数量的认定规则,且公安机关抽样验证,随机抽取部分个人信息进行核实,能够确认涉案个人信息的真实性。二是公安机关抓获李某前已掌握其在暗网非法购买公民个人信息并分享到QQ群的事实,与其利用黑客软件窃取照片的行为属同种罪行,依法不能认定为自首。 検察官の答弁は、まず、司法鑑定機関が無効な情報を削除し、鑑定用に結合・除重し、有効な個人情報8,100万件余りを鑑定し、その件数は、市民個人情報侵害の刑事事件の処理における適用法のいくつかの問題に関する最高人民法院と最高人民検察院の解釈で規定した、塊である市民個人情報の特定量を決める規定に沿って、客観性と真実性があると指摘している。 公安当局がサンプリングの検証を行い、一部の個人情報を無作為に抽出して検証した結果、本件に関わる個人情報の真偽を確認することができた。 第二に、公安当局は、李何某が逮捕する前に、ダークウェブで市民の個人情報を違法に購入し、QQグループに共有していた事実をすでに把握しており、これはハッキングソフトで写真を盗むのと同類の犯罪であり、法に基づく自首とは言えない。
(四)裁判结果 (4) 裁判結果
奉贤区人民法院审理认为,李某具有坦白情节,且自愿认罪认罚,对其依法从宽处理,以侵犯公民个人信息罪判处李某有期徒刑三年,缓刑三年,并处罚金。 奉賢区人民法院は、李何某が犯行を自白し、自発的に罪を認めたこと、法律に基づき寛大であることを認め、市民の個人情報を侵害した罪で、李何某に懲役3年、執行猶予3年、罰金を言い渡した。
【典型意义】 [代表的な意義]
(一)对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。侵犯公民个人信息犯罪中,涉案信息动辄上万乃至数十万条,在海量信息状态下,对信息逐一核实在客观上较难实现。所以,实践中允许适用推定规则,即根据查获的数量直接认定,但这不意味着举证责任倒置,对通过技术手段可以去重的,应当作去重处理,排除重复的信息。对信息的真实性,可以采取抽样方式进行验证。 (1) 国民の個人情報の一括取得は、事実と異なることや重複していることが判明した場合を除き、押収した数量に基づき、直接、個数を決定する。 国民の個人情報を対象とした犯罪の場合、対象となる情報は数万から数十万に及ぶことが多く、情報が大量にある状態では、一つひとつの情報を検証することが客観的に困難となるためである。 したがって、実際には、推定ルールのアプリケーションは、直接識別押収の数に応じて、つまり、許可されているが、これは技術的な手段を通じて、重複を削除することができる証明責任の逆転を意味しない、重複した情報を除く、脱複製処理する必要がある。 情報の真偽は、サンプリングという手段で検証することができる。
(二)人脸信息是具有不可更改性和唯一性的生物识别信息。人脸识别技术给生活带来便利的同时,也容易被犯罪分子窃取利用或者制作合成,破解人脸识别验证程序,侵害隐私、名誉和财产。生活中,要谨慎下载使用“颜值检测”等“趣味”软件,防范个人信息泄露,造成合法权益受损。 (2) 顔情報は、不変性・一意性を有する生体情報である。 顔認証技術は生活に便利さをもたらす一方で、簡単に盗まれて犯罪者に利用されたり、合成で作られて顔認証の認証手順を破り、プライバシーや評判、財産を侵害する可能性があるのである。 生活の中では、個人情報の流出や法的権利の毀損を防ぐために、「顔検出」などの「お楽しみ」ソフトのダウンロードや使用には注意が必要である。
案例三 谢某、李某甲等人侵犯公民个人信息案 事例3:謝何某、李甲何某らによる市民の個人情報の侵害
【关键词】 [キーワード]
侵犯公民个人信息  全链条打击  宽严相济  诉源治理  国民の個人情報侵害、連鎖的取り締まり、寛大さと厳しさ、ソース管理 
【基本案情】 [事件の基本的な事実]
被告人谢某,无业。 被告人、謝何某は無職であった。
被告人李某甲,无业。 被告人、李甲何某は無職であった。
被告人李某乙、张某、刘某甲、高某、刘某乙等基本情况略。 被告李乙何某、張何某、劉甲何某、高何某、劉乙何某の基本的事実は省略。
2020年,某公司针对新型农村社会养老保险(简称“新农保”)研发了一款具备快速注册和人脸识别功能的APP。谢某获悉后,联系该公司表示可免费承接认证操作业务。2021年4月至7月,谢某先后组织杨某等10人前往吉林、辽宁多地农村,使用该APP对参保村民进行认证。 2020年、ある会社が新農村社会年金保険(以下、新農村保険)の高速登録と顔認証を備えたアプリを開発した。これを知った謝何某は、認証作業を無料で引き受けると連絡し、2021年4月から7月まで、謝何某は楊何某ら10人を組織して吉林、遼寧などの農村に行き、アプリを使ってもらうことに成功し、それを主な事業としている。
其间,天津市宁河区的李某甲、李某乙等人与谢某联系,向谢某提供事先已经批量注册的百家号“白号”(未实名认证),由谢某等人借“新农保”认证之机采集村民姓名、身份证号码和人脸信息,将上述“白号”激活为具备发布功能和商业营销价值的实名认证账号,再向李某甲、李某乙等人出售。 一方、天津市寧河区の李甲何某と李乙何某は、謝何某に接触し、登録済みの「白番」(実名認証なし)を一括して提供し、謝何某らは、「新農村保険」認証のために村人の名前、ID番号、顔情報を収集するのに利用した。「白番」は、出版機能や商業的なマーケティング価値を持つ実名アカウントに活性化され、李甲何某や李乙何某などに販売された
通过此种方式,李某甲、李某乙从谢某处购得账号1.9万余个,连同从张某、刘某甲等人处非法获取的其他账号,在宁河区又向高某、刘某乙等20余人出售。高某、刘某乙等人将所得账号再出售或者批量运营,致使包含公民个人信息的实名账号被多次转卖,被用于运营收益等。 このようにして、李甲何某と李乙何某は謝何某から19,000件以上の口座を購入し、張何某や劉乙何某から不正に入手した他の口座と合わせて、寧河区の高何某や劉乙何某など20人以上に販売した。 高何某、劉乙何某と他の人がアカウントを取得し、販売または一括操作、その結果、市民の個人情報を含む実名アカウントが何度も転売され、営業収益に使用されたなどである。
2021年7月至11月,上述人员被陆续抓获。经查,李某甲违法所得70余万元,谢某等11人违法所得共计31余万元,李某乙、刘某甲等26人违法所得数千元至10余万元不等。 2021年7月から11月にかけて、上記の容疑者が相次いで逮捕された。 調査、李甲何某は、違法所得70万元以上、謝何某など11人違法所得合計31万元以上、李乙何某、劉甲何某など26人、違法所得数千元から10万元以上の範囲。
【检察机关履职过程】 [検察当局の職務遂行]
(一)引导侦查 (1) 調査の指導
应公安机关商请,天津市宁河区人民检察院提出犯罪嫌疑人的行为涉嫌侵犯公民个人信息罪,建议围绕信息获取方式、数量、流向、违法所得等收集证据,固定关键电子证据防止灭失。公安机关及时开展侦查,排查控制了其他上下游涉案人员,同步扣押手机、电脑等作案工具。 公安当局の要請を受けた天津市寧河区人民検察院は、容疑者の行為は市民の個人情報を侵害した疑いがあるとし、情報の入手方法、量、流れ、違法所得などを中心に証拠を収集し、重要電子証拠を固定し、紛失しないよう提案した。 公安当局は速やかに捜査を行い、事件に関わった他の上流・下流関係者を調査・管理し、同時に携帯電話やパソコンなどの犯罪道具を押収した。
(二)审查逮捕 (2) 審査・逮捕
公安机关将谢某、李某甲等29人提请批准逮捕。宁河区人民检察院审查认为,上述犯罪嫌疑人在主观恶性、犯罪层级、违法所得数额等方面存在较大差异,应区分处理。审查后,对谢某等直接窃取公民个人信息的犯罪团伙成员,李某甲等专门从事网络账号灰产的购买者及其他情节较重、违法所得数额较高的犯罪嫌疑人依法作出批捕决定;对情节较轻、违法所得数额较低的中末端购买者,评估社会危险性后作出不批捕决定。根据这一标准,公安机关对后续拟提请批准逮捕的9名犯罪嫌疑人采取了非羁押强制措施。批捕后,检察机关制发继续侦查提纲,建议公安机关继续深挖上下游犯罪。 公安当局は、謝、李ら29人を逮捕した。 寧河区人民検察院は、上記の容疑者は主観的な悪意、犯罪階層、違法収益額などの面で大きく異なり、異なる処理を行うべきであると検討した。 審査の結果、謝慕などの犯罪組織の構成員が直接市民の個人情報を盗み、李甲何某などのネットワークアカウントの灰色生産専門の購入者などの容疑者は、状況がより深刻で違法所得金額が高いため、法律に従って逮捕を認める決定を下し、中・末端の購入者は状況がより深刻で違法所得金額が低く、社会危険度を評価して逮捕を認めない決定を下した。 この基準に基づき、公安当局は、その後逮捕が認められた9人の被疑者に対し、非拘束的な強制措置を採用した。 逮捕が認められた後、検察当局は継続捜査の要綱を策定し、公安当局に川上と川下の犯罪を引き続き深掘りするよう助言した。
(三)审查起诉 (3) 審査・起訴
2021年10月29日、12月10日,公安机关陆续将谢某、李某甲等38人移送审查起诉。宁河区人民检察院全面审查案件事实、证据,开展认罪认罚和追赃工作。审查后,检察机关对窃取信息源头的主犯、与谢某直接联络的始端购买者李某甲、李某乙等9人依法起诉并建议判处实刑;对团伙从犯、销售环节赚取差价及仅有购买行为的27名中末端人员,结合情节、获利、退赃情况依法起诉并建议判处缓刑;对犯罪情节轻微,依法不需要判处刑罚的1名未成年犯罪嫌疑人,1名在校就读的大学生犯罪嫌疑人作出相对不起诉处理。上述38名犯罪嫌疑人均认罪认罚,退赃共计100余万元。 2021年10月29日と12月10日、公安当局は相次いで謝何某、李何某を含む38人を審査・起訴に回した。 寧河区人民検察院は、事件の事実と証拠を総合的に検討し、有罪を主張し、盗品を回収する作業を行った。 レビューの後、主犯の盗まれた情報のソースの調達当局は、買い手李甲何某、李乙何某と他の9人のトップに直接接触し、法律に従い、固体の刑の賦課を勧告し、共犯者のギャング、販売リンクは差額を稼ぐために、最終的に27人の購入だけ、状況、利益、法律によると盗品の返還と組み合わせて、執行猶予の付与を推奨し、犯罪の状況は、法律によると、罰則1課す必要がないマイナーである。 被疑者は未成年で、大学生が不起訴になった。 38人の容疑者全員が罪を認め、合計100万元以上の盗品を返還した。
(四)指控与证明犯罪 (4) 犯罪の告発と立証
2021年12月14日、2022年3月9日,宁河区人民检察院陆续将谢某、李某甲等36人提起公诉。 2021年12月14日、2022年3月9日、寧河区人民検察院は謝何某、李甲何某など36人を次々と起訴した。
庭审中,各被告人均当庭认罪认罚。李某甲的辩护人提出,被告人系先买入后卖出的行为,计算违法所得时应将购买信息的费用作为成本扣减。 法廷での審理では、各被告が罪を認め、有罪を主張した。 李甲何某の弁護側は、被告は先に買ってから売っていたのであり、違法所得を計算する際には情報の購入費用を経費として差し引くべきであると提案した。
公诉人答辩指出,违法所得是犯罪分子因实施违法犯罪活动而取得的全部财产。根据《检察机关办理侵犯公民个人信息案件指引》的规定,对于违法所得,直接以被告人出售公民个人信息的收入予以认定,不必扣减其购买信息的犯罪成本。 検察官の答弁では、違法所得とは、違法な犯罪行為の実行の結果、犯人が得たすべての財産であると指摘された。 国民の個人情報の侵害に係る事件に関する検察庁の対応指針」によれば、違法収益は、国民の個人情報の売買による被告人の収入で直接認識すべきであり、情報を購入した犯罪に要した費用を控除する必要はないとしている。
(五)裁判结果 (5) 裁判結果
2022年6月8日、21日,宁河区人民法院采纳检察机关全部指控事实和量刑建议,认定谢某、李某甲等36人构成侵犯公民个人信息罪,对谢某、李某甲等9人分别判处有期徒刑四年至二年不等,并处罚金,对李某乙等27人分别判处有期徒刑三年至六个月不等,适用缓刑,并处罚金。 2022年6月8日と21日、寧河区人民裁判所は、調達当局の事実と判決勧告をすべて採用し、謝何某、李甲何某など36人が市民個人情報侵害罪を構成すると認定し、謝何某、李甲何某など9人に4年以上2年以下の有期懲役と罰金を、李乙何某など27人に3年以上6カ月以下の有期懲役と執行猶予付判決および罰金を適用する判決を言い渡した。
(六)综合治理 (6) 包括的なガバナンス
对办案中发现的社保认证工作的管理漏洞,宁河区人民检察院向有关职能部门制发检察建议,建议规范“新农保”认证工作流程和保密规定,加强委托合作方的资质审核及转委托监督,加强个人信息保护法治宣传。 寧河区人民検察院は、社会保険認証プロセスの管理の抜け穴について、関連当局に勧告を出し、「新農業保険」認証プロセスの業務フローと機密性を標準化し、委託先の資格を強化し、再委託先の監督を強化し、個人情報保護に関する法治の推進を強化すべきと提案した。
【典型意义】 [典型的な意義]
(一)从严惩处,全面打击上下游犯罪。侵犯公民个人信息犯罪往往呈现链条化、产业化特征,严重影响人民群众安全感,对“上游窃取信息—中间购买加工—下游运营获利”的链条式犯罪,通过加强检警协作,深挖上下游犯罪,从窃取源头到出售末端,全面排查、精准打击,彻底斩断犯罪链条。 (1) 上流・下流犯罪の厳罰化と包括的な取り締まり。 市民の個人情報を侵害する犯罪は、チェーン化、産業化が進んでいることが特徴で、人々の安心感に深刻な影響を及ぼしている。 そこで、盗難の発生源から販売終了まで、包括的な捜査と緻密な取り締まりを行い、犯罪の連鎖を完全に断ち切る。
(二)区分情形、区别对待,落实宽严相济刑事政策。对犯罪嫌疑人众多的侵犯公民个人信息犯罪,要结合犯罪嫌疑人在共同犯罪中的地位、作用、主观恶性、犯罪情节等,依法区分主从犯,分类处理。对主犯、“职业惯犯”以及利用未成年人实施犯罪的,要依法从严处理,当捕则捕,当诉则诉,并建议从严判处实刑。对认罪认罚、积极退赃退赔,初犯、偶犯,作用较小、获利较少的从犯,要依法从宽处理,采取非羁押措施,依法不起诉或者建议判处缓刑。 (2) 状況を区別して扱い、寛大さと厳しさの刑事政策を実行する。 容疑者の数が多い市民の個人情報に対する犯罪については、共同犯罪における容疑者の地位と役割、主観的な悪、犯罪の状況など、法律に従って、本人と共犯を区別するために、分類処理する。 主犯格である「プロの再犯者」や「未成年者を利用した犯罪者」には、逮捕時は逮捕、起訴時は起訴と、法律に基づいて厳正に対処し、厳しい判決を勧告すべきである。 有罪を認め、罰するために、積極的に盗品や補償を返す、初犯、時折犯、小さい、収益性の低い共犯者の役割は、法律に従って寛大に、非保護措置を取るために、起訴または執行猶予に判決を推奨されていない。
(三)延伸职能,注重诉源治理。检察机关在办案中,要注意分析案件反映出的问题,加强与相关职能部门沟通,通过检察建议等方式提示风险、督促改进,及时堵塞社会治理漏洞,促进形成保护公民个人信息的合力。 (3) 機能を拡張し、ガバナンスの源泉に注目する。 事例を処理する際に検察当局は、事例の分析に注意を払うには、問題を反映して、関連する機能部門とのコミュニケーションを強化し、検察官の勧告やリスクを示唆する他の方法を介して、改善を促す、社会的なガバナンスの抜け穴のタイムリーなプラグイン、および市民の個人情報の保護の形成を促進シナジー効果である。
案例四 陈某甲、于某、陈某乙侵犯公民个人信息案 事例4 陳甲何某、于何某、陳乙何某による市民の個人情報侵害事件
【关键词】 [キーワード]
侵犯公民个人信息  行踪轨迹信息  情节特别严重  国民の個人情報、軌跡情報の侵害、特に深刻な状況 
【基本案情】 [事件の基本的な事実]
被告人陈某甲,无业。 被告人である陳甲何某は無職であった。
被告人于某,无业。 被告人である于何某は無職であった。
被告人陈某乙,无业。 被告人である陳乙何某は無職であった。
2018年,陈某甲了解到“私家侦探”获利高。2020年,陈某甲决定从事“私家侦探”活动,后在网上发布信息,称可找人、查人,并注册了昵称为“专业商务调查”的微信号承揽业务。2020年12月,闵某(另案处理)通过网络搜索,联系到陈某甲,要求陈某甲寻找其离家出走的妻子郭某,并将郭某的姓名、照片、手机号码等提供给陈某甲。陈某甲于2021年1月、3月将郭某的手机号码交给他人(网络用名,正在进一步侦查确认),由该人获得郭某的手机定位后反馈给陈某甲。陈某甲则伙同于某等人在山西省吕梁市柳林县采取蹲点守候的方式,确认了郭某的具体位置,并向闵某提供。 2018年、陳甲何某は「私立探偵」の利益が高いことを知り、2020年、陳甲何某は「私立探偵」活動を行うことを決め、インターネット上で情報を公開し、「人を探せる、人を調べられる」とし、ニックネームを登録した" 2020年12月、闵何某(別件)はウェブ検索で陳甲何某に連絡し、家出した妻の郭を探してほしいと頼み、郭の名前、写真、携帯電話番号などを陳甲何某に提供した。陳甲何某は2021年1月と3月に郭の携帯電話番号を別の人物(ネットワークが使用する名前、さらなる調査により確認中)に渡し、その人物が郭の携帯電話の位置を取得して闵何某にフィードバックしている。陳甲何某は、今度は山西省呂梁市柳林県で于何某らと一緒に、郭の具体的な位置を確認するために現地で見張り、郭を提供する。
2021年6月,闵某再次联系陈某甲要求帮助寻找其妻子。6月17日,陈某甲又采取上述方法获得了郭某的手机定位信息、快递地址信息。6月18日,陈某甲与于某、陈某乙三人驾车到达山西省吕梁市柳林县,与闵某一起蹲点守候到6月23日。后被害人郭某出现后,陈某甲等三人驾车离开。当日13时左右,闵某将郭某杀害。 2021年6月、闵何某は再び陳甲何某に連絡を取り、妻を探す手助けをしてほしいと頼んだ。 6月17日、陳甲何某は再び上記の方法で郭の携帯電話の位置情報、住所情報を調べ、見つけることができた。 被害者の郭が現れた後、陳甲何某ら3人は車を走らせた。 その日の13時頃、闵何某は郭を殺害した。
经查,闵某先后支付陈某甲39500元。陈某甲分给于某9000元、分给陈某乙6000元。 闵何某が陳甲何某に39,500元を支払っていたことが判明した。陳甲何某は9,000元を于何某に、6,000元を陳乙何某に分与した。
【检察机关履职过程】 [検察当局の職務遂行]
(一)审查逮捕 (1) 審査・逮捕
山西省柳林县人民检察院在审查逮捕闵某涉嫌故意杀人案时,发现陈某甲、于某、陈某乙虽然不能认定为闵某故意杀人罪的共犯,但涉嫌侵犯公民个人信息犯罪,遂建议公安机关立案侦查。后公安机关以陈某甲、于某、陈某乙涉嫌侵犯公民个人信息罪提请批准逮捕。 山西省柳林県人民検察院は、閔氏の故意殺人の疑いで審査・逮捕した際、陳甲何某、于何某、陳乙何某は、閔氏の故意殺人の共犯とは特定できないが、市民の個人情報を侵害した疑いがあるとし、公安機関に捜査案件を開設するよう勧告した。 公安機関は、陳甲何某、于何某、陳乙何某は、市民の犯罪の個人情報を侵害する疑いがあると逮捕を承認した後。
2021年8月5日,柳林县人民检察院审查认为,陈某甲、于某、陈某乙出售公民行踪轨迹信息,被他人用于犯罪,造成被害人死亡的严重后果,属于侵犯公民个人信息“情节特别严重”,依法对三人作出批捕决定。批捕后,检察机关制发继续侦查提纲,建议公安机关进一步梳理闵某给陈某甲的转账证据,继续查找其他犯罪嫌疑人。 2021年8月5日、劉林県人民検察院は、陳甲何某、于何某、陳乙何某は、市民の所在トラック情報を販売し、犯罪を犯すために他の人によって使用された、深刻な結果の被害者の死亡に起因する、市民の個人情報の侵害である "状況は特に深刻"、逮捕決定に関する法律に従って、確認。 逮捕後、検察当局は継続捜査の要綱を発表し、公安当局がさらに閔氏から陳氏嘉への送金の証拠を整理し、他の容疑者の捜索を継続するよう示唆した。
(二)审查起诉 (2) 審査・起訴
2021年9月22日,公安机关将该案移送审查起诉。其间,陈某甲、于某的家属对被害人家属进行了赔偿,被害人家属对二人表示谅解。三人均认罪认罚,在辩护人见证下自愿签署具结书。检察机关根据被告人在犯罪中的地位、作用,认定陈某甲在共同犯罪中起主要作用,系主犯;于某、陈某乙在共同犯罪中起次要、辅助作用,系从犯。10月22日,检察机关将三名被告人以涉嫌侵犯公民个人信息罪提起公诉,并提出量刑建议。 2021年9月22日、公安当局は本件を審査・起訴に回した。 一方、陳甲何某と于何某の家族は、被害者の家族に賠償を行い、2人に理解を示した。 3人とも罪を認め、弁護人の立会いのもと、自発的に受理書にサインした。 10月22日、検察当局は3人の被告を市民の個人情報侵害の疑いで起訴し、判決に関する勧告を行った。
(三)指控与证明犯罪 (3) 罪の告発と立証
2021年12月16日,柳林县人民法院公开开庭审理。 2021年12月16日、柳林県人民裁判所は公開審理を行った。
审理期间,陈某乙对被害人家属进行了赔偿。三名被告人及辩护人对检察机关指控的事实、罪名均无异议。陈某甲的辩护人提出,被害人家属已谅解,陈某甲自愿认罪认罚,建议从轻处罚,并适用缓刑。 裁判の中で、陳乙何某は被害者の家族に賠償を行った。 3人の被告とその弁護人は、検察当局が主張する事実と告発に対して異議を唱えなかった。陳甲何某の弁護側は、被害者家族の理解を得て、陳甲何某が自発的に罪を認め、刑罰を認め、より軽い刑罰と執行猶予付き判決の適用を提案した。
公诉人答辩指出,被告人通过采用手机定位、查看快递信息、蹲点守候等手段非法获取被害人郭某的个人信息并提供给闵某,闵某据此信息将被害人郭某找到并杀害。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定,出售或者提供行踪轨迹信息,被他人用于犯罪的,应当认定为“情节严重”;造成被害人死亡的,应当认定为“情节特别严重”。本案被告人陈某甲即属于“情节特别严重”的情形,依法应判处三年以上七年以下有期徒刑,虽然认罪认罚,可以依法从宽处理,但仍应判处三年以上有期徒刑,不符合适用缓刑的条件。 検察側弁護人は、被告人が携帯電話の測位、緊急情報の確認、現地で待つなどの方法で被害者郭の個人情報を不正に入手し、それを閔に提供し、閔はこの情報に基づいて被害者郭務を発見し殺害したと指摘した。 最高人民法院と最高人民検察院の「市民の個人情報の侵害に関わる刑事事件の処理における法律の適用に関するいくつかの問題についての解釈」によると、居場所・軌跡情報の販売・提供により、他人が犯罪を犯した場合、「重大な状況」と見なされ、被害者を死亡させた場合、「重大な状況」と見なされるとのことである。 "事情は特に深刻である。 本件の被告人である陳甲何某は、「特に深刻な状況」にあると考えられ、3年以上7年以下の有期懲役に処せられるべきであるが、罪を認めているため、法律により寛大な処遇を受けることができる。
(四)裁判结果 (4) 裁判結果
2021年12月25日,柳林县人民法院采纳检察机关指控事实和量刑建议,认定三名被告人构成侵犯公民个人信息罪,判处陈某甲、于某、陈某乙有期徒刑三年至一年三个月不等,并处罚金。 2021年12月25日、柳林県人民裁判所は、調達当局の事実と判決勧告を採用し、3人の被告が市民個人情報侵害罪を構成すると認定し、陳木嘉、余木、陳木毅に3年以上1年3カ月以下の有期懲役を宣告し、罰金を課した。
【典型意义】 [代表的な意義]
(一)非法获取、出售或者提供行踪轨迹信息,构成犯罪的,应当依法从严惩处。行踪轨迹信息属于公民个人信息。行为人出售或者提供行踪轨迹信息,被他人用于犯罪的,应认定为“情节严重”,依法构成侵犯公民个人信息罪。实施前述行为,造成被害人死亡等严重后果的,属于侵犯公民个人信息罪“情节特别严重”,依法应判处三年以上七年以下有期徒刑。 (1) 居場所・軌跡情報の不正取得、販売、提供が犯罪に該当する場合は、法律に基づき厳正に処罰される。 居場所や軌跡の情報は、市民の個人情報に属する。 加害者が居場所や軌跡の情報を販売・提供し、その情報が他者によって犯罪に利用された場合、「重大な事情」とみなされ、法律により国民の個人情報侵害罪が構成される。 前述の行為が行われ、被害者が死亡するなどの重大な結果を招いた場合、国民の個人情報侵害罪は「特に重い」とされ、3年以上7年以下の有期懲役に処される。
(二)强化行踪轨迹信息保护意识,维护自身安全。行踪轨迹信息可以直接定位特定自然人的具体位置,与公民的生命、健康、财产、隐私等息息相关。犯罪分子通过窃取、非法提供行踪轨迹信息谋取不法利益,严重危害公民人身、财产安全和社会管理秩序。生活中,要注意提高对快递地址、手机号码、定位信息等个人信息的保护意识和安全防范意识,防止被不法分子窃取利用。 (2) 居場所・軌跡情報保護の意識を強化し、自らの安全を確保する。 トラック情報は、特定の自然人の位置を直接的に特定することができ、国民の生命、健康、財産、プライバシーに密接に関わる情報である。 犯罪者は、居場所追跡情報を盗み、違法に提供することで不正な利益を得ようとし、市民の個人・財産の安全や社会運営秩序を著しく危うくしている。 生活の中では、エクスプレスアドレスや携帯電話番号、位置情報などの個人情報の保護や、犯罪者に盗まれたり利用されたりしないようなセキュリティ意識の向上に気を配る必要がある。
案例五 韦某、吴某甲、吴某乙侵犯公民个人信息案 事例5 魏何某、呉甲何某、呉乙何某による市民個人情報侵害事件
【关键词】 [キーワード]
侵犯公民个人信息  行业“内鬼”  健康生理信息  诉源治理  国民の個人情報、業界の "インサイダー"、健康・生理情報、ガバナンスの源泉が侵害される 
【基本案情】 [事件の基本的な事実]
被告人韦某,某医院产科主管护师。 被告魏何某は、ある病院の産科を担当する看護師である。
被告人吴某甲、吴某乙,二人均系保健按摩中心个体经营者。 被告呉甲何某、被告呉乙何某は、いずれも健康マッサージ店の個人経営者である。
吴某甲、吴某乙在广西南宁市江南区经营一家保健按摩中心,主要是向产妇提供服务。为扩大客源,吴某甲向南宁市某医院产科主管护师韦某提出,由韦某提供产妇信息,并承诺每发展一名客户就给韦某50元或60元报酬,若客户后续办卡消费则另外向韦某支付10%的提成。 呉甲何某、呉乙何某は、広西チワン族自治区南寧市江南区で医療マッサージセンターを運営し、主に陣痛中の女性にサービスを提供している。呉甲何某は顧客拡大のため、南寧市の病院の産科担当の看護師である魏何某に魏何某によるマタニティ情報の提供を提案し、顧客を開拓するたびに魏何某に50元か60元を支払い、その後顧客がカードを実行して使用すればさらに10%の手数料を魏何某に支払う約束を取り付けた。
2018年至2020年6月,韦某便以写论文需要数据为由,通过欺骗有权限的同事登录该医院“护士站”系统查询产妇信息后拍照发给自己,或者自行通过科室办公电脑查询该医院“桂妇儿”系统产妇信息后拍照,不定期将上述产妇信息照片通过微信发给吴某甲,吴某甲、吴某乙则利用上述信息安排员工通过电话联系产妇发展客户。 2018年から2020年6月まで、魏何某は論文を書くためにデータが必要だという口実で、許可を得た同僚を騙して病院の「ナースステーション」システムにログインしてマタニティ情報を確認し、写真を撮って自分に送ったり、自分自身で、部署の事務所のパソコンを使って病院の「桂女児」システムのマタニティ情報を確認し、写真を撮ったりしていた。そして、呉甲何某と呉乙何某は、上記の情報をもとに、従業員が母子手帳を持つ顧客に電話で連絡を取るよう手配した。
经查,韦某向吴某甲、吴某乙出售包括产妇姓名、家庭住址、电话号码、分娩日期、分娩方式等在内的产妇健康生理信息500余条。 魏は、母親の氏名、自宅の住所、電話番号、出産日、出産方法など、500件以上の母親の健康・生理情報を呉茂嘉と呉茂義に売ったことが判明したのである。
【检察机关履职过程】 [検察当局の職務遂行]
(一)审查逮捕 (1) 審査・逮捕
2020年7月10日,公安机关对韦某、吴某甲、吴某乙提请批准逮捕。广西南宁青秀区人民检察院审查认为,韦某、吴某甲、吴某乙涉嫌侵犯公民个人信息罪,可能判处徒刑以上刑罚,因部分事实需进一步查证,不采取逮捕措施可能导致证据被毁灭,遂作出批捕决定。 2020年7月10日、公安当局は魏何某、呉甲何某、呉乙何某の3人の逮捕の承認を求めた。 青秀区、広西チワン族自治区、中国の人々の調達は、魏何某、呉甲何某、呉乙何某は市民の個人情報の侵害の疑いがあることを確認し、投獄またはより多くの罰則を宣告することができる、事実の一部がさらに調査する必要があるので、逮捕措置を取るしないように、証拠の破壊につながる可能性があるので逮捕することを決定した。
(二)审查起诉 (2) 審査・起訴
2020年9月11日,公安机关将该案移送审查起诉。10月12日,青秀区人民检察院将该案移送有管辖权的江南区人民检察院审查起诉。检察机关通过梳理韦某获取产妇健康生理信息的渠道、交易方式等,认定韦某非法获取、出售产妇公民个人信息数量500余条,依法应予定罪处罚。而且,韦某将其在履职过程中获得的信息出售给他人,依法应从重处罚。经释法说理,韦某等三人均认罪认罚,在辩护人见证下自愿签署具结书。10月26日,江南区人民检察院对韦某、吴某甲、吴某乙以侵犯公民个人信息罪提起公诉。 2020年9月11日、公安当局は本件を審査・起訴に付し、10月12日、青秀区人民検察院は本件を管轄する江南区人民検察院に審査・起訴に付し、江南区人民検察院は本件を管轄する江南区人民検察院に審査・起訴に付した。 検察当局は、魏模が妊産婦の健康・生理情報を入手した経路と取引方法を整理した結果、魏が500以上に及ぶ妊産婦民事個人情報を違法に入手し、販売したことを認定し、法に基づき有罪判決を受け処罰されるべきであると判断した。 同社は、個人情報を他者に販売することを主な事業としており、これは法律で罰せられることになる。 10月26日、江南区人民検察院は、市民の個人情報を侵害したとして、魏何某、呉甲何某、呉乙何某を起訴した。
(三)指控与证明犯罪 (3) 犯罪の主張と立証
2020年11月12日,江南区人民法院依法公开审理。 2020年11月12日、江南区人民裁判所は、法律に基づいて、公聴会。
审理期间,韦某主动退赔违法所得。韦某、吴某甲及辩护人提出,涉案公民个人信息大部分隐私性不高,且未被用于其他违法犯罪活动;吴某乙及辩护人提出,吴某乙没有直接参与获取产妇信息,是从犯的辩护意见。 裁判では、魏謨が率先して違法な収益を返還した。魏何某、呉甲何某、および弁護側は、関係する市民の個人情報のほとんどはプライバシー性が高くなく、他の違法・犯罪行為に利用されていないことを、呉乙何某および弁護側は、呉乙何某が直接母性情報の取得に関与しておらず、共犯であることを提案した。
公诉人答辩指出,涉案信息不仅有产妇姓名、家庭住址、电话号码等一般信息,还涉及分娩日期、分娩方式等隐私信息,敏感程度高,韦某将在履职或者提供服务过程中获得的信息出售给他人,不仅侵害孕产妇的个人权益,还危害了整个医疗体系的信用,依法应从重处罚。吴某乙虽未直接参与获取信息,但与吴某甲共同出资购买信息,并用于经营活动,在共同犯罪中起主要作用,系主犯,应当按照其所参与的全部犯罪处罚。 検察官の答弁では、本件情報には、産婦の氏名、自宅住所、電話番号などの一般的な情報だけでなく、出産日、出産方法などのプライベートな情報も含まれており、機密性が高いこと、魏は職務遂行や他人へのサービス提供の過程で得た情報を販売し、妊婦の人格権や利益を侵害しただけでなく、医療システム全体の信用も危うく、法律に基づき厳罰化すべきことを指摘された。呉乙何某は、直接的には情報取得に関与していないが。 しかし、呉甲何某とともに、情報購入のための資金を調達し、購入し、事業活動に使用し、共同正犯の大役を果たした。 主犯は呉甲何某です。 彼は犯罪全体への参加に応じた処罰を受けるべきでしょう。
(四)裁判结果 (4) 裁判結果
2020年12月16日,江南区人民法院采纳检察机关的指控事实和意见,认定韦某、吴某甲、吴某乙犯侵犯公民个人信息罪,分别判处韦某、吴某甲、吴某乙有期徒刑十个月,缓刑两年至有期徒刑六个月不等,并处罚金。 2020年12月16日、江南区人民裁判所は、検察院の告発事実と意見を採用し、魏何某、呉甲何某、呉乙何某を市民の個人情報を侵害した罪で有罪とし、魏何某、呉甲何某、呉乙何某に懲役10月、懲役2年6ヶ月執行猶予、罰金を科す判決を言い渡した。
(五)综合治理 (5) 包括的なガバナンス
针对涉案医院对公民个人信息管理不善、对从业人员纪律约束不强、法治教育不足等问题,江南区人民检察院制发检察建议,促进涉案医院倒查信息安全管理状况,完善患者信息安全管理措施与制度,从源头防范公民个人信息泄露。 江南区人民検察院は、関係病院による市民の個人情報管理の不十分さ、実務者の規律・規律の欠如、法治教育の欠如などを受け、関係病院に対して、情報セキュリティ管理状況の見直し、患者情報セキュリティ管理対策・システムの改善、市民の個人情報の漏洩防止を源泉から促す検察官の勧告を行った。
【典型意义】 [典型的な意義]
(一)依法打击“行业”内鬼内外勾连出售公民个人信息犯罪活动。产妇分娩信息等是医院在开展医疗活动过程中掌握的公民健康生理信息。对于医护人员将其在履行职责或者提供服务中获得的产妇健康生理信息出售或者提供给他人的行为,构成犯罪的,应依法予以打击。对下游非法获取公民个人信息的犯罪也应依法打击,实现全链条惩处。 (1)国民の個人情報の犯罪行為の売却の談合の内側と外側の "業界 "インサイダーに対抗するための法律。 出産情報とは、病院が医療活動を行う過程で持つ、市民の健康・生理に関する情報である。 医療従事者が職務の遂行やサービスの提供の過程で得た母性健康・生理情報を販売したり、他人に提供することは犯罪であり、法律に従って取り締まる必要がある。 また、下流の国民の個人情報の不正取得の犯罪についても、法律に基づき取り締まりを行い、完全な連鎖処罰を実現すべきである。
(二)通过检察建议促进诉源治理。行业“内鬼”泄露公民个人信息,反映出部分重点领域公民个人信息管理存在漏洞,内部监管机制不到位,相关从业人员法律意识淡薄。检察机关办案中应通过制发检察建议,督促医疗单位履行监管职责,完善对患者健康生理信息的安全管理制度,预防和杜绝泄露公民个人信息问题的发生。 (2) プロキュレーターの勧告により、訴訟源のガバナンスを促進する。 業界の「内部者」による国民の個人情報の流出は、一部の重要な分野における国民の個人情報の管理の抜け穴、内部監督機構の不備、関連実務者の法的認識の弱さを反映している。 検察当局は、国民の個人情報の漏洩を防止・排除するため、患者の健康・生理情報の安全管理体制を改善するよう検察当局の勧告を出し、医療部門が監督責任を果たすよう促すべきである。
深入贯彻落实个人信息保护法 個人情報保護法の徹底
切实维护公民个人信息安全 個人情報の安全管理の徹底
——最高检第一检察厅负责人就检察机关依法惩治侵犯公民个人信息犯罪典型案例答记者问 ・最高人民検察院第一検察庁の担当者が,検察機関が国民の個人情報に対する犯罪を法律に基づいて処罰する典型的な事例について,記者の質問に答えている。
中国特色社会主义进入新时代,人民在民主、法治、公平、正义、安全、环境等方面的要求日益增长,每个人都希望过上更有尊严、更加体面的生活。加强对公民个人信息的保护,成为与人民群众切身利益相关的新的法治需求之一。党的二十大明确指出要“加强个人信息保护”。为深入贯彻党的二十大精神,全面贯彻习近平法治思想,在依法能动履职中践行人民至上,切实加强办案指导,积极回应社会关切,最高人民检察院在《中华人民共和国个人信息保护法》贯彻实施一周年之际,印发5件检察机关依法惩治侵犯公民个人信息犯罪的典型案例。近日,最高检第一检察厅负责人就相关问题回答了记者提问。 中国の特色ある社会主義が新しい時代に入り、民主主義、法の支配、公正、正義、安全、環境に対する人々の要求は高まり、誰もがより尊厳のある、まともな生活を送りたいと願っている。 国民の個人情報保護の強化は、国民の身近な利益に関わる法治国家の新たな要求の一つとなっている。 第20回党大会では、「個人情報保護の強化」の必要性が明確に指摘された。 第20回党大会の精神を徹底的に実行し、習近平の法治思想を全面的に実行し、法に従って職務を行う人民至上主義を実践し、事件処理の指導を有効に強化し、社会の関心事に積極的に対応するために、最高人民検察院は、中華人民共和国個人情報保護法施行1周年を機に、検察機関が法に従って国民の個人情報に関する犯罪を処罰する5つの典型例を発表した。 先日、最高検察庁第一検察庁の担当者が、関連する問題について記者からの質問に答えた。
问:最高检以依法惩治侵犯公民个人信息犯罪为主题发布典型案例,主要出于什么考虑? Q:最高検察庁が、国民の個人情報に対する犯罪を法律に基づいて処罰するというテーマで、代表的な事例を公表した主な理由は何であるか?
答:最高检发布这一批依法惩治侵犯公民个人信息犯罪典型案例,主要考虑包括:一是适应人民群众加强个人信息保护的现实需求。迅速发展的信息网络,在给人民群众带来生活便利的同时,也难免被犯罪分子所利用,他们采用各种手段非法获取公民个人信息,使人民群众频遭滋扰,危害人民群众的人身、财产安全,严重的信息泄露甚至还会危害国家安全。根据中国互联网协会《中国网民权益保护调查报告(2021)》显示,近一年来,因个人信息泄露、垃圾信息、诈骗信息等原因,网民总体损失约达805亿元。82.3%的网民亲身感受到了由于个人信息泄露对日常生活造成的影响。因此,加强个人信息保护已成为全社会普遍高度关注的问题。二是深入贯彻落实个人信息保护法律规定的法治需要。我国宪法明确规定公民的基本权利,强调尊重和保障人权,明确公民的人格尊严不受侵犯。民法典第四编第六章专章规定了“隐私权和个人信息的保护”,彰显了国家和法律对个人信息的尊重和保护。2021年11月1日颁布施行的个人信息保护法规定了对个人信息保护的具体举措,完善了个人信息保护的法律体系。通过典型案例的梳理、选编、发布,更好促进个人信息保护相关法律深入贯彻实施。三是加强指导检察办案的实践需要。信息技术的快速发展给司法办案带来许多新情况新问题。2017年,最高法、最高检联合印发的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对指导办理侵犯公民个人信息犯罪案件发挥了重要作用。但面对复杂多变的社会实践和信息技术的迅猛发展,信息类型的界定、刑事处罚标准的确定,以及庞杂的信息数量核查等,都成为司法实践亟需加强指导的问题。通过发布典型案例,以期为检察办案提供指导。四是落实“谁执法谁普法”普法责任制,强化教育警示和法治宣传的工作需要。一方面,通过案例震慑警示犯罪分子,如果违反国家规定,非法获取、出售或者提供公民个人信息,构成犯罪的,将受到法律严惩。另一方面,提示广大人民群众,在生活中,下载不明网站链接,使用所谓“颜值检测”软件,随意丢弃含有个人信息的快递包装等,都有可能造成个人信息泄露。通过发布典型案例,提醒人民群众提高自我保护意识和安全防范意识,避免造成人身、财产损失。 A: 最高検察庁は、国民の個人情報に対する犯罪を処罰するために、法律に従って今回の典型的な事例を発表したが、主な検討事項は次の通りである。まず、国民の実務的なニーズに合わせて、個人情報の保護を強化することである。 急速に発展する情報ネットワークは、国民に便利さをもたらす一方で、犯罪者がさまざまな手段で国民の個人情報を不正に入手し、国民に迷惑をかけることが多発し、個人と財産の安全が脅かされ、重大な情報流出があれば、国家の安全が脅かされることも避けられない状況である。 中国インターネット協会の「中国インターネットユーザーの権益保護に関する調査報告(2021年)」によると、昨年1年間で、個人情報の流出、スパム、詐欺情報によるインターネットユーザーの損失は全体で約805億元に達し、個人情報流出による日常生活への影響を個人的に感じているインターネットユーザーは82.3%にのぼる。 そのため、個人情報保護の強化は、社会全般にとって高い関心事となっている。 第二に、個人情報保護に関する法規定を徹底するための法治国家の必要性である。 中国の憲法は国民の基本的権利を明確に規定し、人権の尊重と保護を強調し、国民の人間的尊厳を侵してはならないことを明確にしている。 2021年11月1日に施行された「個人情報保護法」は、個人情報保護の具体策を定め、個人情報保護に関する法制度の整備を行うものである。 代表的な事例を整理・選択・公開することで、個人情報保護関連法の徹底をより一層推進していく。 第三に、起訴誘導の実務を強化する必要がある。 情報技術の急速な発展は、司法事件処理に多くの新しい状況や問題をもたらしており、2017年、最高裁判所と最高検察庁が共同で発表した「市民の個人情報侵害の刑事事件の処理における法律の適用に関するいくつかの問題に関する解釈」は、市民の個人情報に対する犯罪事件の処理を指導する重要な役割を担っている。 しかし、社会慣行の複雑な変化や情報技術の急速な発展に伴い、情報の種類の定義、刑事処罰基準の決定、膨大な情報の検証など、司法実務における指導の強化が急務となっている。 典型的な事例の公開を通じて、検察官が事件を処理する際の指針を示すことを目的としている。 第四に、「法を執行する者は法の推進に責任を負う」制度を実施し、法の支配の教育、警告、推進を強化することが必要である。 一方では、犯罪者が国の規制に違反して、犯罪に当たる国民の個人情報を不正に取得、販売、提供した場合、法律で厳しく罰せられることを抑止、警告するものである。 一方、一般消費者に対しては、知らないサイトのリンクのダウンロード、いわゆる「顔検出」ソフトの使用、個人情報の入った宅配便の廃棄などが、日常生活における個人情報の漏えいにつながる可能性があることを注意喚起している。 典型的な事例の公開を通じて、人的・物的損害を引き起こさないよう、自己防衛や安全対策への意識を高めることを呼びかけている。
问:这批依法惩治侵犯公民个人信息犯罪典型案例有什么特点? Q:国民の個人情報に対する犯罪が法律で罰せられる典型的な事例として、今回のバッチはどのような特徴があるのか?
答:这批典型案例主要具有以下几个特点:一是体现检察机关依法从严惩治侵犯公民个人信息犯罪的政策导向,注重全链条打击上下游犯罪。如案例三中,天津检察机关通过加强检警协作,深挖上下游犯罪,从窃取信息的源头到出售末端全面排查、精准打击,彻底斩断犯罪链条。二是强化对公民个人信息的全面保护。个人信息内涵丰富,民法典、个人信息保护法进行了专门定义,该批案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型信息的全面保护。三是对部分法律适用问题重申或者明确了意见。如案例一明确,对客观上无法排重计算信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。案例二明确,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。对信息的真实性,可以采取抽样方式进行验证。四是强化诉源治理。如针对行业“内鬼”泄露公民个人信息案件中反映出的管理漏洞和内部监管不到位等问题,检察机关制发检察建议,督促相关部门履行监管职责,完善管理制度,预防和杜绝泄露公民个人信息问题的发生。 A:今回の典型的な事例には、主に次のような特徴がある。第一に、国民の個人情報に対する犯罪を法律に基づいて厳格に処罰し、チェーン全体を重視して上流と下流の犯罪を撲滅するという検察当局の政策方針が反映されていることである。 例えば、事例3では、天津市検察当局が検察と警察の連携を強化することで、犯罪の上流と下流を深く掘り下げ、盗んだ情報の出所から販売先まで総合的に調査し、正確に取り締まり、犯罪チェーンを完全に断ち切ったのである。 第二に、国民の個人情報の包括的な保護を強化することである。 個人情報は、民法や個人情報保護法などで具体的に定義された豊かな意味合いを持つ情報であり、今回の裁判では、国民の信用情報、生体情報、所在・軌跡情報、健康・生理情報など、さまざまな情報を包括的に保護することが規定されている。 第三に、いくつかの法的適用問題についての意見が再確認されたり、明確にされたりしたことである。 例えば、事例1では、情報量の順位付けや算出が客観的に不可能な場合、違法所得の金額を確定することで有罪判決や量刑の事実関係を判断できることを明確にしている。 事例2は、国民の個人情報を一括して取り扱う場合、真正でないことや重複していることを証明する証拠がある場合を除き、押収量に応じて個数を直接決定することを明確にしている。 情報の真偽はサンプリングで検証することができる。 第四に、ガバナンスの源泉を強化することである。 例えば、業界内の「内部者」による国民の個人情報の漏えい事件では、検察当局が検察勧告を出し、関連部門に監督業務の遂行と管理体制の改善を促し、国民の個人情報の漏えいを防止・排除している。
问:能否介绍一下近年来全国检察机关在打击侵犯公民个人信息犯罪方面的具体工作情况? Q:国民の個人情報を狙う犯罪に対して、近年、国の検察当局が具体的にどのような取り組みをしているのか。
答:近年来,全国检察机关强化履职担当,加强对公民个人信息的司法保护,着力维护公民个人信息安全。一是立足检察办案,依法从严打击侵犯公民个人信息犯罪。2019年至今年10月,全国检察机关共批准逮捕涉嫌侵犯公民个人信息罪犯罪嫌疑人1.3万余人,起诉2.8万余人,有效保护了被害人的合法权益。二是强化规范指引,制定一系列相关司法解释和规范性文件。2018年,最高检制定《检察机关办理侵犯公民个人信息案件指引》,明确了办理侵犯公民个人信息案件应注意的若干问题。2021年,最高检制定《人民检察院办理网络犯罪案件规定》,强化了对利用信息网络实施犯罪和上下游关联犯罪的惩处。2022年,最高法、最高检、公安部联合发布《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》,明确对于数量特别众多且具有同类性质、特征或者功能的证据材料,确因客观条件限制无法逐一收集的,应当按照一定比例或者数量选取证据,以适应形势要求,提升办案质效。三是注重通过检察办案促进完善社会治理。各地检察机关在依法从严打击犯罪的同时,对办案中发现的管理漏洞,及时通过制发检察建议促进源头治理。2020年,最高检向工信部发出检察建议,围绕网络黑灰产业链条整治、APP违法违规收集个人信息等问题提出了治理建议。四是持续推进案例指导工作。一个案例胜过一打文件。通过发布案例,加强法治宣传教育,促进全社会法治观念的养成。2022年,最高检以“网络时代人格权刑事保护”为主题发布第三十四批指导性案例。其中,检例第140号柯某侵犯公民个人信息案,明确了包含房产信息和身份识别信息的业主房源信息属于公民个人信息,对指导类似案件的办理发挥了重要作用。此外,最高检发布的打击治理电信网络诈骗、养老诈骗典型案例中,也有多件涉及公民个人信息犯罪。 A: 近年、国家検察庁はその任務を強化し、国民の個人情報の司法保護を強化し、国民の個人情報の安全確保に努めている。 2019年から今年10月まで、国家検察当局は国民の個人情報に対する犯罪の疑いがある13,000人以上の容疑者の逮捕を承認し、28,000人以上を起訴し、被害者の正当な権益を効果的に保護した。 2018年、最高検察庁は「検察庁が国民の個人情報侵害事件を処理するための指針」を策定し、国民の個人情報侵害事件の処理において留意すべき事項を明らかにした。 2021年、最高検察庁は「人民検察庁のサイバー犯罪事件処理に関する規定」を策定し、情報ネットワークを利用した犯罪や上・下流関連犯罪の処罰を強化した。 2022年、最高裁判所、最高検察庁、公安部は共同で「情報ネットワーク犯罪事件の処理における刑事手続の適用に関するいくつかの問題に関する意見」を発表し、性質、特徴、機能が類似した特に多数の証拠資料について、客観的条件によりそれらを一つ一つ収集することは確かに不可能である場合、状況の要求に適応するために一定の割合または数量で証拠を選択すべきことを明らかにした。 事件処理の質と効率を高めること。 第三に、起訴を通じたソーシャルガバナンスの向上に重点を置いている。 2020年、最高人民検察院は産業情報化部に対して、ネットワークブラック・グレー産業チェーンの改善とAPPによる個人情報の違法・不正収集に焦点を当てた検察庁勧告を出した。 第四に、事例ガイダンスを継続的に推進したことである。 十数枚の書類より一件の方がいい。 2022年、最高検察庁は「インターネット時代における人格権の刑事保護」をテーマに、34回目の指導事例を発表した。 その中で、第140号検察事件「柯茂による市民個人情報侵害事件」は、物件情報及び識別情報を含む所有者名簿情報が市民の個人情報であることを明確にし、類似事件の処理を指導する重要な役割を果たした。 また、最高検察庁は、国民の個人情報に対する犯罪でもある電気通信ネットワーク詐欺や年金詐欺の対策と管理の典型的な事例を数多く発表した。
问:下一步,最高检在进一步加强个人信息保护方面有哪些考虑? Q:最高検が次のステップで個人情報保護をさらに強化する際の留意点は?
答:为贯彻落实党中央决策部署,保障人民群众合法权益,维护社会安全稳定,检察机关将强化履职,不断加强公民个人信息保护。一是结合打击治理电信网络诈骗犯罪等深挖关联犯罪,依法追溯个人信息泄露的渠道,加强对上游信息采集、提供、倒卖等环节犯罪行为的全链条打击。聚焦金融、电信、房产、酒店、劳务中介等重点多发行业,依法从严打击行业从业人员侵犯公民个人信息犯罪。二是加强对公民个人信息类型和刑事处罚标准的研究,推进完善个人信息保护法律体系。三是完善检察机关刑事检察和公益诉讼检察部门之间的线索移送、同步介入、人员协作、会商研判机制,协同推进个人信息保护刑事检察和公益诉讼检察一体化办案,推动形成个人信息保护多元共治新格局。四是充分发挥检察监督职能,促进网络平台、行业完善内部管控。加强与行业主管部门和行业协会沟通,推动建立健全个人信息保护常态化机制,完善行业规则,加强行业自律,强化个人信息的源头保护,在全社会全行业营造保护公民个人信息的良好环境。 A:党中央委員会の決定と配置を実行し、国民の合法的な権益を保護し、社会の安全と安定を維持するために、検察機関はその職務遂行を強化し、国民の個人情報の保護を絶えず強化する。 第一に、通信ネットワーク詐欺犯罪などの取り締まりと連動して、個人情報漏洩の経路を法律に基づいて追跡し、上流工程の情報収集・提供・販売犯罪の取り締まりを全体として強化する。 金融、通信、不動産、ホテル、労働仲介など、重要かつ頻度の高い業界に焦点を当て、業界関係者による国民の個人情報に対する犯罪を法律に基づき取り締まる。 第二に、国民の個人情報の種類と刑事罰基準に関する研究を強化し、個人情報保護に関する法制度の整備を推進する。 第三に、調達機関の刑事検察部門と公益訴訟部門の間で、手がかりの紹介、同時介入、スタッフの協力と協議、研究のメカニズムを改善し、個人情報保護のための刑事検察と公益訴訟の統合を共同で推進し、個人情報保護のための多面的かつ共通の新しいガバナンスのパターンの形成を促進する。 第四に、調達監督機能を十分に発揮し、ネットワークプラットフォームと産業の内部統制の改善を推進する。 業界当局や業界団体とのコミュニケーションを強化し、個人情報保護に関する健全な仕組みづくりを推進するとともに、業界ルールの整備、業界の自主規制を強化し、個人情報の源泉保護を強化し、社会全体および業界における国民の個人情報保護のための良好な環境を整備する。

 

1_20210612030101

| | Comments (0)

米国 ホワイトハウス 日本の国家安全保障戦略に関するジェイク・サリバン国家安全保障アドバイザーの声明 (2022.12.16)

こんにちは、丸山満彦です。

日本の国家安全保障戦略が16日に閣議決定されたのですが、、、米国のホワイトハウス側でもサリバン国家安全保障アドバイザーが即日で声明を発表していますね・・・

同盟関係ですから、密接に連携していますね。。。きっと。。。

 

U.S. The White House

・2022.12.16 Statement by National Security Advisor Jake Sullivan on Japan’s Historic National Security Strategy

 

Statement by National Security Advisor Jake Sullivan on Japan’s Historic National Security Strategy 日本の歴史的な国家安全保障戦略に関するジェイク・サリバン国家安全保障アドバイザーの声明
Today, Japan has taken a bold and historic step to strengthen and defend the free and open Indo-Pacific with the adoption of its new National Security Strategy, National Defense Strategy and Defense Buildup Program. The strategy sets forth the vision of Prime Minister Kishida and the Japanese people for a broad and strong community of partners and allies in support of peace and stability in the region. Japan’s goal to significantly increase defense investments will also strengthen and modernize the U.S.-Japan Alliance. The new strategy reinforces Prime Minister Kishida’s deep commitment to international peace and nuclear nonproliferation and sets the stage for Japan’s leadership in 2023, as Japan takes a seat on the United Nations Security Council and hosts the G7. We are grateful for Prime Minister Kishida’s and Japan’s leadership around the world, including their support for Ukraine as Russia wages its brutal war. We congratulate Prime Minister Kishida and the people of Japan on their historic new National Security Strategy which will help us and our partners achieve lasting peace, stability and prosperity. 本日、日本は新しい国家安全保障戦略、防衛戦略、防衛力整備計画を採択し、自由で開かれたインド太平洋を強化し、防衛するための大胆かつ歴史的な一歩を踏み出した。 この戦略は、地域の平和と安定を支える広範で強力なパートナーや同盟国の共同体についての岸田首相と日本国民のビジョンを示している。 防衛投資を大幅に増やすという日本の目標は、日米同盟を強化し、近代化することにもつながる。新戦略は、国際平和と核不拡散に対する岸田首相の深いコミットメントを強化し、2023年に日本が国連安全保障理事会に席を置き、G7を開催する際のリーダーシップを発揮するための舞台装置となるものである。私たちは、ロシアが残忍な戦争を繰り広げるウクライナへの支援を含め、岸田首相と日本の世界におけるリーダーシップに感謝している。 我々は、岸田首相と日本国民が、我々と我々のパートナーが永続的な平和、安定、繁栄を達成するために役立つ、歴史的な新しい国家安全保障戦略を策定したことに祝意を表する。

 

 

Fig1_20210802074601

 


 

まるちゃんの情報セキュリティきまぐれ日記

日本側。。。

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

 

 

| | Comments (0)

2022.12.19

米国 国家情報長官室 情報コミュニティ指令 126 号の発行:大統領令 14086 号に基づくシグナルズ・インテリジェンス救済メカニズムの実施手順 (2022.12.13)

こんにちは、丸山満彦です。

欧州と米国の個人データの流通に関わる重要な鍵を握っている指令ということになりますね。。。

 

・2022.12.13 Issuance of Intelligence Community Directive 126: Implementation Procedures for the Signals Intelligence Redress Mechanism under Executive Order 14086

 

Issuance of Intelligence Community Directive 126: Implementation Procedures for the Signals Intelligence Redress Mechanism under Executive Order 14086 情報コミュニティ指令 126 号の発行:大統領令 14086 号に基づくシグナルズ・インテリジェンス救済メカニズムの実施手順
Today, ODNI released to the public Intelligence Community Directive 126: Implementation Procedures for the Signals Intelligence Redress Mechanism under Executive Order 14086. This Directive governs the handling of redress complaints regarding certain signals intelligence activities, as required by Sections 3(b) and 3(c)(i) of Executive Order 14086. It specifies the process by which qualifying complaints may be transmitted by an appropriate public authority in a qualifying state pursuant to Executive Order 14086. Additionally, and pursuant to the same Executive Order, this Directive authorizes and sets forth the process through which the ODNI Civil Liberties Protection Officer shall investigate, review, and, as necessary, order appropriate remediation for a covered violation regarding qualifying complaints; communicate the conclusion of such investigation to the complainant through the appropriate public authority in a qualifying state and in a manner that protects classified or otherwise privileged or protected information; and provide necessary support to the U.S. Data Protection Review Court. 本日、ODNI は、情報コミュニティ指令 126 号を一般に公開した。大統領令 14086 号に基づくシグナルズ・インテリジェンス救済メカニズムの実施手順。この指令は、大統領令14086号の第3条(b)および第3条(c)(i)で要求されている、特定の信号情報活動に関する苦情の処理について規定するものである。この指令は、大統領令 14086 号に従って、資格のある国の適切な公的機関が資格のある苦情を送信するためのプロセスを規定するものである。さらに、同大統領令に従い、本指令は、ODNI 自由権保護官 が、適格な苦情に関する対象違反について調査、検討、および必要に応じて適切な是正を命じ、その調査結果を、適格国家の適切な公的機関を通じて、機密情報またはその他の特権もしくは保護情報を保護する方法で原告者に伝え、米国データ保護審査法廷に必要な支援を行うプロセスを認可および規定するものである。
Additional information may be found at www.dni.gov/clpt. その他の情報については、www.dni.gov/clpt を参照のこと。

 

・[PDF

20221219-175135

 

ICD 126 ICD 126
Implementation Procedures for the Signals Intelligence Redress Mechanism Under Executive Order 14086 大統領令14086に基づくシグナルズ・インテリジェンス救済メカニズムの実施手順
A. AUTHORITY:  A. 権限
National Security Act of 1947, as amended; Foreign Intelligence Surveillance Act of 1978, as amended; Executive Order (EO) 12333, as amended; Executive Order 13526, as amended;
Executive Order 14086; Intelligence Community Directive (ICD) 107, Civil Liberties, Privacy, and Transparency; and other applicable provisions of law.
1947年国家安全保障法(改正)、1978年外国情報監視法(改正)、大統領令(EO)12333号(改正)、大統領令13526号(改正)、大統領令 14086、情報コミュニティ指令(ICD)107号「自由、プライバシー、および透明性」、およびその他適用される法律の規定。
B. PURPOSE: B. 目的
1. This Directive establishes the process for the submission of qualifying complaints transmitted by an appropriate public authority in a qualifying state pursuant to Executive Order 14086. Additionally, and pursuant to the same Executive Order, this Directive authorizes and sets forth the process through which the ODNI Civil Liberties Protection Officer (CLPO) shall investigate, review, and, as necessary, order appropriate remediation for a covered violation regarding qualifying complaints; communicate the conclusion of such investigation to the complainant through the appropriate public authority in a qualifying state and in a manner that protects classified or otherwise privileged or protected information; and provide necessary support to the U.S. Data Protection Review Court. 1. 本指令は、大統領令 14086号 に従い、資格のある国の適切な公的機関から送信された資格のある苦情の提出プロセスを確立するものである。さらに、同大統領令に従い、本指令は、ODNI Civil Liberties Protection Officer(CLPO)が、適格な苦情に関する対象違反について調査、検討し、必要に応じて適切な是正を命じ、当該調査の結論を、適格国家の適切な公的機関を通じて、機密情報またはその他の特権もしくは保護された情報を保護する方法で苦情提出者に伝え、米国データ保護審査裁判所に必要な支援を行うプロセスを許可し、規定するものである。
C. APPLICABILITY C. 適用範囲
l. "lhis Directive applies to the Intelligence Community (IC), as defined by Executive Orders 12333 and 14086. l. 「本指令は、大統領令 12333号 及び 14086号 で定義される情報コミュニティ(IC)に適用される。
2. Nothing in this Directive is intended to alter or supersede ODNI's obligations or authorities under other applicable U S. laws, regulations, or policy direction, to include, but not limited to: Executive Order 12333, Executive Order 14086, the Freedom of Information Act, the Privacy Act of 1974, the Foreign Intelligence Surveillance Act of 1978, or the Inspector General Act. 2. 2. 本指令のいかなる部分も、他の適用される米国の法律、規制、または政策方針に基づく ODNI の義務や権限を変更したり、それに取って代わったりすることを意図したものではありません。これには、大統領令12333号、大統領令14086号、情報公開法、1974年プライバシー法、1978年外国情報監視法、監察官法が含まれるが、これらに限定されるものではない。
D. DEFINITIONS D. 定義
1. The terms "appropriate remediation," "covered violation," "Intelligence Community," "elements of the Intelligence Community," "intelligence," "national security," and "qualifying complaint" shall have the same meaning as defined in Executive Order 14086. 1. 「適切な是正」、「対象となる違反」、「情報コミュニティ」、「情報コミュニティの要素」、「情報」、「国家安全保障」、および「適格な苦情」という用語は、大統領令 14086号 で定義されているものと同じ意味を持つものとする。
2. A "qualifying state" is defined as a country or regional economic integration organization that has been designated by the Attorney General after a determination that the country or regional economic integration organization meets the requirements of Section 3(f) of Executive Order 14086. 2. 「適格国家」とは、国または地域経済統合組織が大統領令 14086号 の第 3 項(f)の要件を満たすと判断された後、司法長官によって指定された国または地域経済統合組織を指す。
3. An "appropriate public authority in a qualifying state" is defined as an entity that has been officially selected by the qualifying state to facilitate the consideration of qualifying complaints made with respect to data transfers from the qualifying state to the United States. A country or regional economic integration organization may identify its appropriate public authority in the course of seeking the Attorney General's designation as a qualifying state pursuant to Section 3(f) of Executive Order 14086. A qualifying state may change or update its appropriate public authority at any time, with 30 days' notice, through an official statement provided by its foreign ministry to the CLPO and the Department of State. 3. 適格国の適切な公的機関」とは、適格国から米国へのデータ転送に関してなされた適格な苦情の検討を促進するために、適格国によって公式に選択された団体と定義される。国または地域経済統合機構は、大統領令14086号の第3条(f)に従って司法長官に適格国家としての指定を求める過程で、その適切な公的機関を特定することができる。適格国は、30日前に外務省からCLPOおよび国務省に提出される公式声明を通じて、いつでも適切な公的機関を変更または更新することができる。
4. The "protection of intelligence sources and methods" is defined for the purpose of this Directive to include, but is not limited to, the protection of any classified information or otherwise privileged or protected information. These protections are to be applied in a manner that maintains the full and appropriate protection of all classified, privileged, or protected information, while still ensuring that the CLPO, Data Protection Review Court, and Privacy and Civil Liberties Oversight Board are provided access to information necessary to conduct the functions assigned to each of these entities by Executive Order 14086. 4. 本指令の目的上、「情報源及び方法の保護」は、あらゆる機密情報又はその他の特権的若しくは保護された情報の保護を含むが、これに限定されないと定義される。これらの保護は、すべての機密情報、特権情報、または保護された情報の完全かつ適切な保護を維持しつつ、CLPO、データ保護審査裁判所、およびプライバシー・自由権監視委員会が、大統領令 14086号 によってこれらの団体に割り当てられた機能を実行するために必要な情報へのアクセスを提供されるような方法で適用されるものとする。
E. POLICY E. 方針
1. Submission and Receipt of Qualifying Complaints: 1. 適格な苦情の提出と受領
a. Pursuant to Executive Order 14086, a complainant must submit a complaint in writing to the appropriate public authority in a qualifying state. a. 大統領令 14086 号に従い、原告は、資格のある州の適切な公的機関に書面で苦情を提出しなければならない。
b. An appropriate public authority in a qualifying state must transmit the written complaint to the CLPO through an encrypted electronic communication. ODNI's Office of Civil Liberties, Privacy and Transparency will establish an electronic address to receive such transmitted complaints from appropriate public authorities in qualifying states. b. 適格国家の適切な公的機関は、書面による苦情を暗号化された電子通信によってCLPOに送信しなければならない。ODNIの市民的自由・プライバシー・透明性局は、該当する州の適切な公的機関から送信された苦情を受け取るための電子アドレスを設置する。
c. Within 15 business days of receipt of the complaint from the appropriate public authority in a qualifying state, the CLPO shall conduct an initial review of the complaint to assess whether the complaint meets all of the requirements necessary to conduct a redress review pursuant to Executive Order 14086 and this Directive (i.e., whether the complaint is a "qualifying complaint," as that term is defined in EO 14086). Specifically, for a transmitted complaint to be a "qualifying complaint" consistent with Executive Order 14086' s definition of "covered violation" and "qualifying complaint," the complaint must: c. 適格な州の適切な公的機関から苦情を受け取ってから15営業日以内に、CLPOは苦情の初期審査を行い、苦情が大統領令14086号および本指令に従って救済審査を行うために必要なすべての要件を満たしているかどうか(すなわち、大統領令 14086号 に定義されている「適格な苦情」であるかどうか)を評価する。具体的には、送信された苦情が、大統領令 14086号 の「対象となる違反」と「適格な苦情」の定義と一致する「適格な苦情」であるためには、その苦情は以下の要件を満たす必要がある。
(l) allege a violation has occurred and arises from U.S. signals intelligence activities conducted after 7 October 2022 regarding data reasonably believed to have been transferred to the United States from a qualifying state after the effective date of the Attorney General's designation for such a state; (l) 2022年10月7日以降に実施された米国の信号情報活動から、司法長官による適格国家指定の発効日以降に米国に移転されたと合理的に考えられるデータに関して違反が発生したと主張すること。
(2) allege the violation regards such transferred data that pertains to personal information of or about the complainant, a natural person; (2) 自然人である申立人の個人情報に関連する当該移転データに関する違反を主張すること。
(3) allege that the violation adversely affects the complainant's individual privacy and civil liberties interests; (3) 違反が原告の個人的なプライバシーおよび市民的自由の利益に悪影響を及ぼすと主張する場合。
(4) allege that the violation also violates one or more of the applicable laws, orders, statutes, or procedures detailed in Section 4(d)(iii) of Executive Order 14086; (4) 違反が、大統領令 14086 号の第 4(d)(iii) 項に詳述されている適用法、命令、法令、または手続きの 1 つ以上に違反していると主張すること。
(5) include basic information to enable a review of the complaint, to include: (5) 申し立てを確認するための基本的な情報を含むこと。
(a) infonnation that forms the basis for alleging that a covered violation has occurred, which need not demonstrate that the complainant's data has in fact been subject to United States signals intelligence activities; (a) 対象となる違反が発生したと主張する根拠となる情報であって、申立人のデータが実際に米国の信号諜報活動の対象となっていたことを示す必要のない情報。
(b) the nature of the relief sought; (b) 求める救済の性質。
(c) the specific means (e.g., the complainant's email address or phone number) by which personal information of or about the complainant was believed to have been transmitted to the United States; (c) 申立人の個人情報または申立人に関する個人情報が米国に送信されたと思われる具体的な手段(例えば、申立人の電子メールアドレスまたは電話番号など)。
(d) the identities of the United States Government entities believed to be involved in the alleged violation (if known); and (d) 違反の疑いのある行為に関与していると思われる米国政府機関の身元(判明している場合);および
(e) any other measures the complainant pursued to obtain the relief requested and  the responses received through those other measures; (e) 申立人が要求された救済を得るために追求した他の手段およびそれらの手段によって受け取った回答。
(6) not be frivolous, vexatious, or made in bad faith; (6) 軽薄、執拗、または不誠実なものでないこと。
(7) be brought on behalf of the complainant, acting on that person's own behalf, and not as a representative of a governmental, nongovernmental, or intergovernmental organization; and (7) 政府、非政府、または政府間組織の代表としてではなく、申立人自身のために行動する申立人のために提起されたものであること。
(8) contain a verification by the appropriate public authority in a qualifying state: (8) 適格国の適切な公的機関による検証を含むこと。
(a) of the identity of the complainant, and  (a) 申立人の身元を確認すること。
(b) that the complaint satisfies the conditions of Section E. 1 .c.(l) — (7) of this Directive. (b) 苦情が本指令のセクション E.1.c.(l) ~ (7) の条件を満たしていること。
d. The complaint must be transmitted to the CLPO by the appropriate public authority in a qualifying state in the English language. The appropriate public authority in a qualifying state may translate the complaint on behalf of the complainant. d. 苦情は、資格要件国の適切な公的機関が英語で CLPO に送信しなければならない。適格国の適切な公的機関は、苦情申立者に代わって苦情を翻訳することができる。
e. The transmission of the complaint from an appropriate public authority in a qualifying state must also contain a description of the manner in which the authority verified the identity of the complainant. The CLPO shall rely on the verification of the identity of the complainant by the appropriate public authority in a qualifying state, but should either the information provided by the appropriate public authority in a qualifying state or subsequent investigation of the complaint call into question the identity of the complainant, the CLPO may request additional information from the public authority in a qualifying state in a manner that does not reveal intelligence sources or methods or otherwise indicate whether an individual has, in fact, been the subject of signals intelligence activities. e. 適格国の適切な公的機関からの苦情の送信には、その公的機関が苦情申立者の身元を確認した方法についての記述も含まれていなければなりません。CLPOは、資格国の適切な公的機関による申立人の身元確認に依拠するものとするが、資格国の適切な公的機関が提供した情報またはその後の苦情調査によって申立人の身元に疑問が生じた場合、CLPOは資格国の公的機関に、情報源または方法を明らかにしない方法で、または個人が実際に信号情報活動の対象であったかどうかを示す追加情報を要求することができるものとする。
f. If the CLPO determines that the complaint is not a qualifying complaint because it does not meet the conditions of Section E. 1 .c., or does not meet the conditions of Section E. 1 .d., of this Directive, the CLPO will provide written notification via encrypted electronic communication and in the English language to the appropriate public authority in a qualifying state of the deficiencies in the complaint. f. CLPO が、苦情が本指令のセクション E. 1 .c. の条件を満たしていない、またはセクション E. 1 .d. の条件を満たしていないため、適格な苦情でないと判断した場合、CLPO は暗号化電子通信を介して、英語で、適格国家の該当公的機関に苦情における欠陥の書面による通知を提供する。
g. If the CLPO determines that the complaint meets the conditions of Sections E.I .c. and E. 1 .d. of this Directive, the CLPO will provide written notification via encrypted electronic communication and in the English language to the appropriate public authority in a qualifying state that a qualifying complaint has been submitted and that an investigation will commence. g. CLPO が、苦情が本指令のセクション E.I .c. および E.1 .d. の条件を満たすと判断した場合、CLPO は、適格な苦情が提出され、調査が 開始されることを、暗号化された電子通信を介して、英語で、適格国家の関係当局に書面にて通知す るものとする。
h. The CLPO shall maintain records in a secure and classified electronic repository of all submitted complaints, all communications regarding submitted complaints with the appropriate public authorities in qualifying states, and all determinations of whether transmitted complaints were determined to be qualifying complaints. Such records shall be maintained consistent with National Archives and Records Administration records control schedules. h. CLPO は、提出されたすべての苦情、提出された苦情に関する適格国家の関係当局とのすべての 連絡、および送信された苦情が適格な苦情と判断されたかどうかのすべての判断の記録を安全かつ機密 の電子リポジトリに維持しなければならない。このような記録は、米国国立公文書館記録管理局の記録管理スケジュールに従って維持されるものとする。
i. Within 10 business days of notifying an appropriate public authority in a qualifying state that a complaint has been determined by the CLPO to meet the requirements of Section E. 1 .c. and E. 1 .d. of this Directive, the CLPO shall transmit via encrypted electronic communication to the Department of Commerce and the Data Protection Review Court an unclassified record regarding each qualifying complaint that provides only the identity of the complainant, the appropriate public authority in a qualifying state that transmitted the qualifying complaint, and the date when the qualifying complaint was transmitted to the CLPO. i. CLPO が、苦情が本指令のセクション E. 1 .c. および E. 1 .d. の要件を満たすと判断したことを、該当する州の適切な公的機関に通知してから 10 営業日以内に、CLPO は、暗号化電子通信を介して商務省およびデータ保護審査裁判所に、各適格苦情に関する非分類記録(苦情提出者の身元、適格苦情を送信した該当州の適切な公的機関、適格苦情が CLPO に送信された日のみを提供)を送信するものとする。
2. Investigation of a Qualifying Complaint: 2. 適格な苦情の調査
a. The CLPO shall exercise statutory and delegated authority to investigate each qualifying complaint. a. CLPO は、法的権限及び委任された権限を行使し、各適格苦情を調査するものとする。
b. In light of the allegations made in the complaint, the CLPO will request that the Privacy and Civil Liberties Officers of the relevant IC elements obtain and provide the CLPO access to information necessary to investigate the qualifying complaint. b. 申し立ての内容に基づき、CLPOは関連するIC要素のプライバシー及び自由権担当官に対し、適格な申し立てを調査するために必要な情報を入手し、CLPOに提供するよう要請する。
(1) In a manner consistent with the protection of classified information or otherwise privileged or protected information, the CLPO, with assistance from the Privacy and Civil Liberties Officers of the relevant IC elements, will conduct an investigation by gathering information necessary to complete the review, to include, where appropriate, a description of the search parameters used to identify such information and written confirmation when no such information is identified. All searches and transmission of results must be conducted in a timely manner in order to facilitate the investigation. (1) CLPO は、機密情報またはその他の特権もしくは保護された情報の保護と一貫した方法で、関連する IC 要素のプライバシー及び自由権担当者の支援を受けて、レビューを完了するために必要な情報を収集することにより調査を行う。これには、必要に応じて、当該情報を特定するために使用した検索パラメータの説明及び 当該情報が特定できない場合の書面による確認も含める。すべての検索と結果の送信は、調査を促進するために適時に行われなければならない。
(2) The CLPO may: seek clarifications; request additional information or documents regarding the relevant signals intelligence activities or remedial steps taken in the case of previously identified noncompliance regarding relevant signals intelligence activities; conduct  and document interviews with relevant IC personnel; or otherwise seek the assistance of the IC elements, through their Privacy and Civil Liberties Officers, in any instances in which the CLPO determines it is necessary to supplement the record in order to investigate the allegations of a  qualifying complaint. IC elements shall provide access to information and personnel in a manner consistent with the protection of classified information or otherwise privileged or protected information. (2) CLPOは、関連するシグナルインテリジェンス活動または関連するシグナルインテリジェンス活動に関して以前に確認された違反の場合の改善措置に関する追加情報または文書を要求し、関連するIC職員とのインタビューを実施し文書化し、またはCLPOが適格な申し立ての申し立てを調査するために記録を補足する必要があると判断した場合、プライバシーおよび自由権担当を通してIC要素の支援を要請できるものとする。IC 要素は、機密情報または特権もしくは保護された情報の保護と矛盾しない方法で、情報および職員へのアクセスを提供するものとする。
(3) The CLPO may also request information from the Department of Justice regarding any legal advice provided, or compliance records concerning, signals intelligence activities related to the allegations in the qualifying complaint. (3) CLPO は、適格な苦情の申し立てに関連する信号情報活動に関して提供された法的助言、 またはコンプライアンス記録に関する情報を司法省に要求することもできる。
c. IC elements shall not take any actions designed to impede or improperly influence the  investigation of the CLPO into facts relevant to the qualifying complaint. c. IC の構成員は、適格な苦情に関連する事実についての CLPO の調査を妨げたり、 不適切な影響を与えることを目的としたいかなる行動もとってはならない。
d. The information and records obtained by the CLPO shall be maintained in a physically or logically separated repository with protections necessary to protect classified or otherwise privileged or protected information and in a manner consistent with National Archives and Records Administration records control schedules. d. CLPO が入手した情報及び記録は、物理的又は論理的に分離されたリポジトリで、機密情 報、その他の特権又は保護された情報を保護するために必要な保護を受け、米国公文書館及び 記録局の記録管理スケジュールに合致した方法で維持されるものとする。
3. Review, Determination, and Remediation of Qualifying Complaints: 3. 適格な苦情のレビュー、判断、および是正。
a. Based upon the result of the investigation, the CLPO shall determine whether a covered violation has occurred. In making this determination, the CLPO shall apply relevant U.S. law impartially, and consistent with established legal principles, take into account both relevant national security interests and applicable privacy protections, and give appropriate deference to any relevant determinations made by national security officials. a. 調査結果に基づき、CLPO は、対象となる違反が発生したか否かを判断するものとする。この決定において、CLPO は関連する米国法を公平に適用し、確立された法原則と一致させ、 関連する国家安全保障上の利益と適用されるプライバシー保護の両方を考慮し、国家安全保障当局に よる関連する決定には適切な敬意を表するものとする。
b. If the CLPO determines that a covered violation has occurred, the CLPO will determine the appropriate remediation for the covered violation. b. CLPO が対象となる違反が発生したと判断した場合、CLPO は対象となる違反に対する適切な是正措置を決定する。
c. As required by Executive Order 14086, each element of the IC, and each agency containing an element of the IC, shall comply with any applicable determination by the CLPO to undertake appropriate remediation with regard to the qualifying complaint, subject to any contrary determination by the Data Protection Review Court. Information regarding the status and completion of such appropriate remediation shall be provided to the CLPO. c. 大統領令 14086号 で要求されているように、IC の各要素及び IC の要素を含む各機関は、データ保護審 査裁判所の反対決定に従い、適格な苦情に関して適切な是正を行うために CLPO による該当する決定 に従わなければならない。そのような適切な是正の状況及び完了に関する情報は、CLPOに提供されるものとする。
d. The CLPO shall produce a classified written decision explaining the basis for the CLPO's factual findings, determination with respect to whether a covered violation occurred, and determination of the appropriate remediation in the event of a covered violation. The CLPO's classified written decision, as well as any relevant information or records obtained or created by the CLPO in the course of the investigation, shall constitute the classified ex parte record of review. The classified ex parte record of review shall be maintained in a physically or logically separated repository with protections necessary to protect classified or otherwise privileged or protected information, in a manner consistent with National Archives and Records Administration records control schedules. d. CLPO は、CLPO の事実調査、対象違反の有無に関する判断、および対象違反が発生した場合の適切 な改善策の判断の根拠を説明する、機密扱いの決定書を作成するものとする。CLPO の機密扱いの決定書、および CLPO が調査の過程で入手または作成した関連情報または 記録は、機密扱いの一方的なレビュー記録を構成するものとする。機密扱いの一方的審査記録は、国立公文書記録管理局の記録管理スケジュールと一致する方法で、機密扱いの情報またはその他の特権もしくは保護された情報を保護するために必要な保護を備えた物理的または論理的に分離したリポジトリで維持されるものとする。
e. The CLPO shall provide a classified report on information indicating a violation of any authority subject to the oversight of the Foreign Intelligence Surveillance Court to the Assistant Attorney General for National Security to permit onward reporting to the Court, as  required by law or the Court's Rules of Procedure. e. CLPO は、法律または裁判所の訴訟規則で要求されるとおり、外国情報監視裁判所の監督下にある権限の違反を示す情報に関する機密報告書を国家安全保障担当司法長官補佐官に提供し、裁判所への報告を可能にするものとする。
4. Transmittal of Results of Review of Qualifying Complaint: 4. 適格な訴えの審査結果の送付
a. Upon the CLPO's completion of the review of a qualifying complaint, and in a manner that continues to protect classified information or otherwise privileged or protected information, the CLPO shall provide a copy of the CLPO's classified written decision to all relevant IC elements. IC elements may seek review of the CLPO's classified decision by the Data Protection Review Court in the manner prescribed by Executive Order 14086 and regulations issued by the Attorney General. a. CLPO が適格な苦情の審査を完了した場合、引き続き機密情報またはその他の特権もしくは 保護された情報を保護する方法で、CLPO は CLPO の機密の決定書のコピーをすべての関連 IC 要素に提供するものとする。IC 要素は、大統領令 14086 及び司法長官が発行する規則に規定された方法で、データ保護審 査裁判所による CLPO の機密扱いの決定の見直しを求めることができる。
b. Upon the CLPO's completion of the review of a qualifying complaint, the CLPO shall inform the complainant, in writing and via an unclassified statement in the English language and made via an encrypted electronic communication to the appropriate public authority in a qualifying state, in a manner that continues to protect classified information or otherwise privileged or protected information, and without confirming or denying that the complainant was subject to United States signals intelligence activities, that: b. CLPO が適格な苦情の審査を完了した場合、CLPO は、適格国の適切な公的機関に、機密情報またはその他の特権もしくは保護された情報を引き続き保護する方法で、かつ苦情申立者が合衆国の信号情報活動の対象であることを肯定も否定もせず、書面および英語による非分類声明で、次のことを通知しなければならない。
(1) The review either did not identify any covered violations or the Civil Liberties Protection Officer of the Office of the Director of National Intelligence issued a determination requiring appropriate remediation; (1) 調査の結果、対象となる違反が発見されなかったか、または国家情報長官室の自由権保護官が適切な是正を求める決定を下した場合。
(2) The complainant or an element of the IC may, as prescribed in regulations issued by the Attorney General, apply for review of the CLPO's determinations by the Data Protection Review Court described in Executive Order 14086, to include a statement on the manner in which the complainant may seek review from the Data Protection Review Court pursuant to  these regulations; and (2) 申立人またはICの要素は、司法長官が発行する規則に従って、大統領令14086に記載されているデータ保護審査裁判所にCLPOの決定の審査を申請することができ、申立人がこれらの規則に従ってデータ保護審査裁判所に審査を求めることができる方法に関する記述を含むこと。
(3) If either the complainant or an element of the IC applies for review by the Data  Protection Review Court, a special advocate will be selected by the Data Protection Review Court to advocate regarding the complainant's interest in the matter. (3) 原告または IC の要素のいずれかがデータ保護審査裁判所に審査を申請する場合、 データ保護審査裁判所は、その問題における原告の利益に関して弁護する特別弁護人を選任する。
5. Assistance to the Data Protection Review Court: 5. データ保護審査裁判所への支援
a. In the event that a Data Protection Review Court panel is convened, the CLPO shall convey to the Data Protection Review Court the classified ex parte record of review in a manner consistent with the relevant regulations approved by the Attorney General and requirements governing the handling of classified information or otherwise privileged or protected  information. a. データ保護審査法廷のパネルが招集された場合、CLPO は、司法長官が承認した 関連規則および機密情報またはその他の特権もしくは保護された情報の取り扱いに 関する要件に合致した方法で、データ保護審査法廷に機密の一方的審査記録を伝達するものとする。
b. The CLPO shall provide any necessary support as requested by the Data Protection Review Court, to include supplementing the classified ex parte record of review in response to inquiries made by the Data Protection Review Court. b. CLPO は、データ保護審査裁判所の要求に応じて、データ保護審査裁判所の照会に応じ て機密の一方的審査記録を補足するなど、必要なサポートを提供するものとする。
c. Consistent with statutory and delegated authority, and in a manner consistent with the protection of intelligence sources and methods, the CLPO will request from IC elements assistance in obtaining information to supplement the classified ex parte record of review in response to requests from the Data Protection Review Court. c. CLPO は、法令及び委任された権限に基づき、かつ、情報源及び方法の保護と整合的な 方法で、データ保護審査裁判所の要請に応じ、機密の一方的審査記録を補足する情報を入手するため の支援を IC 要素に要請するものとする。
d. Consistent with the relevant regulations issued by the Attomey General, should the Data Protection Review Court determine that alternative appropriate remediation is required to fully redress the qualifying complaint, the CLPO shall consult with relevant IC elements and provide views to the Data Protection Review Court regarding the alternative appropriate remediation, to include an assessment of the impacts of such alternative appropriate remediation on the operations of the IC and the national security of the United States. d. データ保護審査裁判所が、適格な苦情を完全に是正するために別の適切な是正が必要であると判断した場合、CLPOはICの関連部門と協議し、データ保護審査裁判所に別の適切な是正に関する意見を提供し、当該別の適切な是正がIC運営および米国の国家安全保障に与える影響の評価も含めるものとする。
6. Assistance to the Privacy and Civil Liberties Oversight Board (PCLOB): 6. プライバシーと自由に関する監視委員会(PCLOB)への支援
a. IC elements and the CLPO shall provide the PCLOB with access to information necessary to conduct the annual review of the redress process described in Section 3(e) of Executive Order 14086, consistent with the protection of intelligence sources and methods. a. IC 要素及び CLPO は、情報源及び方法の保護と整合性を保ちつつ、大統領令 14086 号の第 3 項(e)に記載された救済プロセスの年次審査を実施するために必要な情報へのアクセスを PCLOB に提供するものとする。
F. EFFECTIVE DATE: This Directive becomes effective on the date of signature. F. 発効日:本指令は、署名の日付をもって発効する。

 

 


 

● まるちゃんの情報セキュリティきまぐれ日記

ヨーロッパ側の報道...

・2022.12.16 欧州委員会 米国との安全なデータの流れを確保するための適切な決定の採択に向けたプロセスを開始

 

大統領令...

・2022.10.11 米国 米国におけるシグナル・インテリジェンス活動のための安全保障の強化に関する大統領令(GDPR対応)

 

 

 

| | Comments (0)

NIST SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン 、63A-4 (ドラフト) 登録と身元確認、63B-4 (ドラフト) 本人認証とライフサイクル管理、63C-4 (ドラフト) 連携とアサーション

こんにちは、丸山満彦です。。。

NISTがSP800-63デジタル・アイデンティティ・ガイドライン(4巻シリーズ)の第4版のドラフトを公表していますね。。。あくまでも連邦政府の利用を意識したものです。。。

約1.5年前に初期ドラフトが公表されてから少し時間がたちまちたが、ようやくドラフトバージョンが発行されましたね。。。

 

NIST - ITL

・2022.12.16 SP 800-63-4 (Draft) Digital Identity Guidelines

・2022.12.16 SP 800-63A-4 (Draft) Digital Identity Guidelines: Enrollment and Identity Proofing

・2022.12.16 SP 800-63B-4 (Draft) Digital Identity Guidelines: Authentication and Lifecycle Management

・2022.12.16 SP 800-63C-4 (Draft) Digital Identity Guidelines: Federation and Assertions

 

SP 800-63-4 (Draft) Digital Identity Guidelines SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン
SP 800-63A-4 (Draft) Digital Identity Guidelines: Enrollment and Identity Proofing SP 800-63A-4 (ドラフト) デジタル・アイデンティティ・ガイドライン:登録と身元確認
SP 800-63B-4 (Draft) Digital Identity Guidelines: Authentication and Lifecycle Management SP 800-63B-4 (ドラフト) デジタル・アイデンティティ・ガイドライン: 本人認証とライフサイクル管理
SP 800-63C-4 (Draft) Digital Identity Guidelines: Federation and Assertions SP 800-63C-4 (ドラフト) デジタル・アイデンティティ・ガイドライン:連携とアサーション
Announcement 発表
NIST requests comments on the draft fourth revision to the four-volume suite of Special Publication 800-63, Digital Identity Guidelines. This publication presents the process and technical requirements for meeting the digital identity management assurance levels specified in each volume. They also provide considerations for enhancing privacy, equity, and usability of digital identity solutions and technology. NISTは、Special Publication 800-63「デジタル・アイデンティティ・ガイドライン」の4巻セットの第4改訂版ドラフトに対するコメントを求めている。本書は、各巻で指定されたデジタル ID 管理保証レベルを満たすためのプロセスおよび技術要件を提示する。また、デジタル ID ソリューションおよび技術のプライバシー、公平性、および使いやすさを向上させるための考慮事項が記載されている。
Background 背景
The rapid proliferation of online services over the past few years has heightened the need for reliable, equitable, secure, and privacy-protective digital identity solutions. 過去数年間のオンラインサービスの急速な普及により、信頼性が高く、公平で、安全で、プライバシーを保護するデジタル・アイデンティティ・ソリューションに対するニーズが高まっている。
Revision 4 of NIST Special Publication 800-63, Digital Identity Guidelines, intends to respond to the changing digital landscape that has emerged since the last major revision of this suite was published in 2017 — including the real-world implications of online risks. The guidelines present the process and technical requirements for meeting digital identity management assurance levels for identity proofing, authentication, and federation, including requirements for security and privacy as well as considerations for fostering equity and the usability of digital identity solutions and technology. NIST 特別刊行物 800-63「デジタル・アイデンティティ・ガイドライン」の改訂4版は、このスイートの最後のメジャー改訂版が2017年に発行されて以来、オンラインリスクの現実世界での影響を含め、出現した変化するデジタルの状況に対応することを意図している。本ガイドラインは、セキュリティとプライバシーに関する要件だけでなく、公平性を育むための配慮や、デジタルIDソリューションや技術の使いやすさなど、本人認証、認証、連携のデジタルID管理の保証レベルを満たすためのプロセスおよび技術要件を提示している。
Taking into account feedback provided in response to our June 2020 Pre-Draft Call for Comments, as well as research conducted into real-world implementations of the guidelines, market innovation, and the current threat environment, this draft seeks to: 2020 年 6 月のプレドラフト意見募集に寄せられたフィードバックや、ガイドラインの実世界での実装、市場の革新、現在の脅威環境について行われた調査を考慮し、このドラフトは以下を目的としている。
Advance Equity: This draft seeks to expand upon the risk management content of previous revisions and specifically mandates that agencies account for impacts to individuals and communities in addition to impacts to the organization. It also elevates risks to mission delivery – including challenges to providing services to all people who are eligible for and entitled to them – within the risk management process and when implementing digital identity systems. Additionally, the guidance now mandates continuous evaluation of potential impacts across demographics, provides biometric performance requirements, and additional parameters for the responsible use of biometric-based technologies, such as those that utilize face recognition. 公平性の向上:このドラフトは、これまでのリスクマネジメントの内容を発展させ、組織への影響に加え、個人とコミュニティへの影響も考慮することを特に義務付けている。また、デジタル ID システムを導入する際のリスクマネジメントプロセスにおいて、サービスを受ける資格のあるすべての人にサービスを提供するという課題を含め、ミッションの実現に対するリスクを高めている。さらに、このガイダンスでは、人口統計全体に及ぶ潜在的な影響の継続的な評価、バイオメトリクス性能要件、および顔認識を利用するものなどのバイオメトリクス・ベースの技術を責任を持って使用するための追加パラメータを義務付けている。
Emphasize Optionality and Choice for Consumers: In the interest of promoting and investigating additional scalable, equitable, and convenient identify verification options, including those that do and do not leverage face recognition technologies, this draft expands the list of acceptable identity proofing alternatives to provide new mechanisms to securely deliver services to individuals with differing means, motivations, and backgrounds. The revision also emphasizes the need for digital identity services to support multiple authenticator options to address diverse consumer needs and secure account recovery. 消費者のためのオプションと選択を重視する。 顔認識技術を活用するもの、しないものを含め、拡張可能、公平、かつ便利な身元確認オプションの追加を促進および調査するために、このドラフトは、許容可能な身元確認の代替手段のリストを拡張し、手段、動機、背景が異なる個人にサービスを安全に提供する新しい仕組みを提供する。また、この改訂では、デジタル・アイデンティティ・サービスが、多様な消費者のニーズと安全なアカウント回復に対応するため、複数の認証者オプションをサポートする必要性を強調している。
Deter Fraud and Advanced Threats: This draft enhances fraud prevention measures from the third revision by updating risk and threat models to account for new attacks, providing new options for phishing resistant authentication, and introducing requirements to prevent automated attacks against enrollment processes. It also opens the door to new technology such as mobile driver’s licenses and verifiable credentials. 不正行為と高度な脅威の抑止:このドラフトは、新しい攻撃を考慮したリスクおよび脅威モデルの更新、フィッシングに強い認証の新しいオプションの提供、登録プロセスに対する自動的な攻撃を防止するための要件の導入により、第3回改訂から不正防止策を強化している。また、モバイル運転免許証や検証可能なクレデンシャルなどの新しい技術にも門戸を開いている。
Address Implementation Lessons Learned: This draft addresses areas where implementation experience has indicated that additional clarity or detail was required to effectively operationalize the guidelines. This includes re-working the federation assurance levels, providing greater detail on Trusted Referees, clarifying guidelines on identity attribute validation sources, and improving address confirmation requirements. 実装の教訓に対処する:このドラフトは、ガイドラインを効果的に運用するために、実装の経験からさらなる明確化または詳細化が必要であると指摘された領域に対応している。これには、連携保証レベルの再作成、信頼される審判者の詳細、ID 属性検証ソースに関するガイドラインの明確化、および住所確認要件の改良が含まれる。
Note to Reviewers レビュアーへのお願い
NIST is specifically interested in comments on and recommendations for the following topics: NIST は、特に以下のトピックに関するコメントおよび提言に関心を寄せている。
Identity Proofing and Enrollment 身元確認と登録
NIST sees a need for inclusion of an unattended, fully remote Identity Assurance Level (IAL) 2 identity proofing workflow that provides security and convenience, but does not require face recognition. Accordingly, NIST seeks input on the following questions: NIST は、セキュリティと利便性を提供するが顔認証を必要としない、無人の完全リモート ID 保証レベル(IAL)2 の身元確認ワークフローを含める必要性があると見ている。したがって、NIST は以下の質問に対する意見を求めている。
What technologies or methods can be applied to develop a remote, unattended IAL2 identity proofing process that demonstrably mitigates the same risks as the current IAL2 process? 現在の IAL2 プロセスと同じリスクを実証的に軽減する、リモートで無人な IAL2 身元確認プ ロセスを開発するために、どのような技術または方法が適用できるのか?
Are these technologies supported by existing or emerging technical standards? これらの技術は、既存の、または新たに出現した技術標準でサポートされているか?
Do these technologies have established metrics and testing methodologies to allow for assessment of performance and understanding of impacts across user populations (e.g., bias in artificial intelligence)? これらの技術は、性能の評価およびユーザー集団全体への影響の理解を可能にする確立された測定 基準および試験方法を持っているか(たとえば、人工知能におけるバイアス)。
What methods exist for integrating digital evidence (e.g., Mobile Driver’s Licenses, Verifiable Credentials) into identity proofing at various identity assurance levels? デジタル証拠(例:携帯運転免許証、検証可能な証明書)をさまざまな身元保証レベルの身元確認に 統合するために、どのような方法が存在するか?
What are the impacts, benefits, and risks of specifying a set of requirements for CSPs to establish and maintain fraud detection, response, and notification capabilities? CSP が不正行為の検出、対応、および通知機能を確立し維持するための一連の要件を規定することの影響、利点、およびリスクは何か?
Are there existing fraud checks (e.g., date of death) or fraud prevention techniques (e.g., device fingerprinting) that should be incorporated as baseline normative requirements? If so, at what assurance levels could these be applied? 既存の詐欺チェック(例:死亡日)または詐欺防止技術(例:デバイスの指紋採取)で、基本的な規範的要件として取り入れるべきものはあるか?あるとすれば、それらはどの程度の保証レベルで適用できるのか?
How might emerging methods such as fraud analytics and risk scoring be further researched, standardized, measured, and integrated into the guidance in the future? 不正分析やリスクスコアリングのような新しい手法は、今後どのように研究、標準化、測定され、ガイダンスに統合される可能性があるか?
What accompanying privacy and equity considerations should be addressed alongside these methods? これらの手法に付随して、プライバシーや公平性についてどのような配慮が必要か?
Are current testing programs for liveness detection and presentation attack detection sufficient for evaluating the performance of implementations and technologies? ライブネス検知とプレゼンテーション攻撃検知のための現在のテストプログラムは、実装と技術の性能を評価するのに十分か?
What impacts would the proposed biometric performance requirements for identity proofing have on real-world implementations of biometric technologies? 身元確認のために提案されたバイオメトリクス性能要件は、バイオメトリクス技術の実世界の実装にどのような影響を与えるか?
Risk Management リスクマネジメント
What additional guidance or direction can be provided to integrate digital identity risk with enterprise risk management? デジタル・アイデンティティ・リスクをエンタープライズ・リスクマネジメントと統合するために、 どのような追加ガイダンスまたは方向性を提供できるのか?
How might equity, privacy, and usability impacts be integrated into the assurance level selection process and digital identity risk management model? 公平性、プライバシー、およびユーザビリティの影響は、保証レベル選択プロセスおよびデジタル ID リスク・マネジメント・モデルにどのように統合されるのか?
How might risk analytics and fraud mitigation techniques be integrated into the selection of different identity assurance levels? How can we qualify or quantify their ability to mitigate overall identity risk? リスク分析および詐欺行為軽減技術は、異なる ID 保証レベルの選択にどのように統合されるのか?全体的な ID リスクを軽減する能力をどのように認定または定量化できるのか?
Authentication and Life Cycle Management 本人認証およびライフサイクル管理
Are emerging authentication models and techniques – such as FIDO passkey, Verifiable Credentials, and mobile driver’s licenses – sufficiently addressed and accommodated, as appropriate, by the guidelines? What are the potential associated security, privacy, and usability benefits and risks? FIDO パスキー、検証可能クレデンシャル、モバイル運転免許証などの新しい認証モデルおよび技 術は、ガイドラインによって十分に扱われ、必要に応じて対応されているか?関連するセキュリティ、プライバシー、ユーザビリティの潜在的な利点とリスクは何か?
Are the controls for phishing resistance as defined in the guidelines for AAL2 and AAL3 authentication clear and sufficient? AAL2およびAAL3認証のガイドラインに定義されているフィッシング対策は明確かつ十分か?
How are session management thresholds and reauthentication requirements implemented by agencies and organizations? Should NIST provide thresholds or leave session lengths to agencies based on applications, users, and mission needs? セッション管理のしきい値と再認証の要件は、機関や組織でどのように実装されているか? NISTは、アプリケーション、ユーザ、ミッションのニーズに基づいて、閾値を提供したり、セッションの長さを機関に委ねたりする必要があるか?
What impacts would the proposed biometric performance requirements for this volume have on real-world implementations of biometric technologies? 本編で提案されたバイオメトリクス性能要件は、バイオメトリクス技術の実世界での実装にどのような影響を及ぼすか?
Federation and Assertions 連携とアサーション
What additional privacy considerations (e.g., revocation of consent, limitations of use) may be required to account for the use of identity and provisioning APIs that had not previously been discussed in the guidelines? ガイドラインでこれまで議論されていなかった ID およびプロビジョニング API の使用を考慮するために、どのような追加のプライバシー配慮(例:同意の取り消し、使用の制限)が必要になるか?
Is the updated text and introduction of “bound authenticators” sufficiently clear to allow for practical implementations of federation assurance level (FAL) 3 transactions? What complications or challenges are anticipated based on the updated guidance? 更新された文章と「バインド認証者」の序文は、連携保証レベル(FAL)3トランザク ションの実用的な実装を可能にするために十分に明確ですか?更新されたガイダンスに基づき、どのような複雑さや課題が予想されるか?
General 一般
Is there an element of this guidance that you think is missing or could be expanded? このガイダンスの中で、欠けている、または拡張できると思われる要素はあるか?
Is any language in the guidance confusing or hard to understand? Should we add definitions or additional context to any language? ガイダンスの中で、分かりにくい言葉や理解しにくい言葉はあるか?用語の定義や文脈を追加する必要があるか?
Does the guidance sufficiently address privacy? このガイダンスは、プライバシーについて十分に対処しているか?
Does the guidance sufficiently address equity? このガイダンスは、衡平性について十分な配慮がなされているか?
What equity assessment methods, impact evaluation models, or metrics could we reference to better support organizations in preventing or detecting disparate impacts that could arise as a result of identity verification technologies or processes? ID 検証技術またはプロセスの結果として生じる可能性のある不平等な影響を防止または検出する組織をより良く支援するために、どのような衡平性評価方法、影響評価モデル、または測定基準を参照できるか?
What specific implementation guidance, reference architectures, metrics, or other supporting resources may enable more rapid adoption and implementation of this and future iterations of the Digital Identity Guidelines? デジタル ・アイデンティティ・ガイドラインの今回および今後の繰り返しの、より迅速な採用および実施を 可能にする具体的な実施ガイダンス、参照アーキテクチャ、測定基準、またはその他の支援リソースは何か?
What applied research and measurement efforts would provide the greatest impact on the identity market and advancement of these guidelines? どのような応用研究および測定の取り組みが、ID 市場およびこれらのガイドラインの進展に最 大の影響を与えるか?
Abstract (63-4) 要約(63-4)
These guidelines provide technical requirements for federal agencies implementing digital identity services and are not intended to constrain the development or use of standards outside of this purpose. The guidelines cover identity proofing and authentication of users (such as employees, contractors, or private individuals) interacting with government information systems over networks. They define technical requirements in each of the areas of identity proofing, registration, authenticators, management processes, authentication protocols, federation, and related assertions. This publication will supersede NIST Special Publication 800-63-3. このガイドラインは、デジタル ID サービスを実装する連邦機関のための技術要件を提供し、 この目的以外の標準の開発または使用を制限することを意図していない。このガイドラインは、ネットワーク上で政府情報システムと相互作用する利用者(職員、請負業者、私人など)の身元確認と認証を対象としている。このガイドラインは、身元確認、登録、認証子、管理プロセス、認証プロトコル、フェデレー ション、および関連アサーションの各分野における技術要件を定義している。この出版物は、NIST 特別刊行物 800-63-3 に取って代わるものである。
Abstract (63A-4) 概要(63A-4)
These guidelines provide technical requirements for federal agencies implementing digital identity services and are not intended to constrain the development or use of standards outside of this purpose. This guideline focuses on the enrollment and verification of an identity for use in digital authentication. Central to this is a process known as identity proofing in which an applicant provides evidence to a credential service provider (CSP) reliably identifying themselves, thereby allowing the CSP to assert that identification at a useful identity assurance level. This document defines technical requirements for each of three identity assurance levels. This publication will supersede NIST Special Publication (SP) 800-63A. このガイドラインは、デジタル ID サービスを実装する連邦機関のための技術要件を提供し、この目的以外の標準の開発または使用を制限することを意図していない。このガイドラインは、デジタル認証で使用するための ID の登録と検証に重点を置いている。この中心は、申請者がクレデンシャル・サービス・プロバイダ(CSP)に自分自身を確実に識別する証拠を提供し、それによって CSP が有用な ID保証レベルでその識別を主張できるようにする身元確認と呼ばれるプロセスである。この文書では、3 つの ID 保証レベルのそれぞれについて技術要件を定義している。本書は、NIST 特別刊行物(SP)800-63A に取って代わるものである。
Abstract (63B-4) 概要(63B-4)
These guidelines provide technical requirements for federal agencies implementing digital identity services and are not intended to constrain the development or use of standards outside of this purpose. These guidelines focus on the authentication of subjects interacting with government information systems over networks, establishing that a given claimant is a subscriber who has been previously authenticated. The result of the authentication process may be used locally by the system performing the authentication or may be asserted elsewhere in a federated identity system. This document defines technical requirements for each of the three authenticator assurance levels. This publication will supersede NIST Special Publication (SP) 800-63B. このガイドラインは、デジタル ID サービスを実装する連邦機関のための技術要件を提供し、この目的以外の標準の開発または使用を制約することを意図していない。このガイドラインは、ネットワークを介して政府情報システムと相互作用する対象者の認証に重点を置き、所定の請求者が以前に認証された加入者であることを確立する。認証プロセスの結果は、認証を実行するシステムによってローカルに使用されるか、または連合 ID システムの他の場所で主張される場合がある。本文書は、3 つの本人認証保証レベルのそれぞれについて技術要件を定義する。本書は、NIST 特別刊行物 (SP) 800-63B に取って代わるものである。
Abstract (63C-4) 概要 (63C-4)
These guidelines provide technical requirements for federal agencies implementing digital identity services and are not intended to constrain the development or use of standards outside of this purpose. This guideline focuses on the use of federated identity and the use of assertions to implement identity federations. Federation allows a given credential service provider to provide authentication attributes and (optionally) subscriber attributes to a number of separately-administered relying parties. Similarly, relying parties may use more than one credential service provider. This publication will supersede NIST Special Publication (SP) 800-63C. このガイドラインは、デジタル ID サービスを実装する連邦機関のための技術要件を提供し、この目的以外の標準の開発または使用を制約することを意図していない。このガイドラインは、ID 連携を実装するための連携 ID の使用とアサーションの使用に重点を置いている。連携により、特定のクレデンシャル・サービス・プロバイダは、認証属性および (オプションで)加入者属性を、別々に管理される多数の依拠当事者に提供することができる。同様に、依拠当事者は複数のクレデンシャル・サービス・プロバイダを使用することができる。この出版物は、NIST 特別刊行物 (SP) 800-63C に取って代わるものである。

 

 

・[PDF] SP 800-63-4 (Draft)

20221219-55332

・[PDF] SP 800-63A-4 (Draft)

20221219-55338

・[PDF] SP 800-63B-4 (Draft)

20221219-55343

・[PDF] SP 800-63C-4 (Draft)

20221219-55348

 

目次

SP 800-63-4 (Draft) Digital Identity Guidelines SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン
1. Purpose 1. 目的
2. Introduction 2. 序文
2.1. Scope & Applicability 2.1. 範囲と適用性
2.2. How to Use this Suite of SPs 2.2. このSPスイートの使用方法
2.3. Enterprise Risk Management Requirements and Considerations 2.3. エンタープライズリスクマネジメントの要件と考慮事項
2.3.1. Security 2.3.1. セキュリティ
2.3.2. Privacy 2.3.2. プライバシー
2.3.3. Equity 2.3.3. 公平性
2.3.4. Usability 2.3.4. ユーザビリティ
3. Definitions and Abbreviations 3. 定義と略語
4. Digital Identity Model 4. デジタル・アイデンティティ・モデル
4.1. Overview 4.1. 概要
4.2. Enrollment and Identity Proofing 4.2. 登録と身元確認
4.3. Authentication and Lifecycle Management 4.3. 本人認証とライフサイクル管理
4.3.1. Authenticators 4.3.1. 本人認証
4.3.2. Subscriber Accounts 4.3.2. サブスクライバ・アカウント
4.3.3. Authentication Process 4.3.3. 本人認証プロセス
4.4. Federation and Assertions 4.4. 連携とアサーション
4.4.1. Federation Benefits 4.4.1. 連携のメリット
4.4.2. Federation Protocols and Assertions 4.4.2. 連携プロトコルとアサーション
4.4.3. Relying Parties 4.4.3. リライイング・パーティー
5. Digital Identity Risk Management 5. デジタル・アイデンティティのリスクマネジメント
5.1. Conduct Initial Impact Assessment 5.1. 初期インパクトアセスメントの実施
5.1.1. Identify Impacted Entities 5.1.1. 影響を受ける事業者の特定
5.1.2. Identify Impact Categories and Potential Harms 5.1.2. 影響カテゴリー及び潜在的な損害の特定
5.1.3. Identify Potential Impact Levels 5.1.3. 潜在的な影響レベルの特定
5.1.4. Impact Analysis 5.1.4. 影響度分析
5.2. Select Initial Assurance Levels 5.2. 初期保証レベルの選択
5.2.1. Assurance Levels 5.2.1. 保証レベル
5.2.2. xAL Descriptions 5.2.2. xALの記述
5.2.3. Initial Assurance Level Selection 5.2.3. 初期保証レベルの選択
5.3. Tailor and Document Assurance Levels 5.3. 保証レベルの調整と文書化
5.3.1. Assess Privacy, Equity, Usability and Threats 5.3.1. プライバシー、公平性、使用性、及び脅威の評価
5.3.2. Identify Compensating Controls 5.3.2. 代償となるコントロールの特定
5.3.3. Identify Supplemental Controls 5.3.3. 補足的なコントロールの特定
5.3.4. Document Results - The Digital Identity Acceptance Statement 5.3.4. 結果の文書化 - デジタル・アイデンティティの承認ステートメント
5.4. Continuously Evaluate and Improve 5.4. 継続的な評価と改善
5.5. Cyber, Fraud, and Identity Program Integrity 5.5. サイバー、不正、およびアイデンティティ・プログラムの完全性
References 参考文献
General References 一般的な参考資料
Standards 標準規格
NIST Special Publications NISTの特別出版物
Federal Information Processing Standards 連邦情報処理規格
Appendix A. Definitions and Abbreviations 附属書 A. 定義と略語
A.1. Definitions A.1. 定義
A.2. Abbreviations A.2. 略語
Appendix B. Change Log 附属書 B. 変更履歴
B.1. SP 800-63-1 B.1. SP 800-63-1
B.2. SP 800-63-2 B.2. SP 800-63-2
B.3. SP 800-63-3 B.3. SP 800-63-3
B.4. SP 800-63-4 B.4. SP 800-63-4
   
SP 800-63A-4 (Draft) Digital Identity Guidelines: Enrollment and Identity Proofing SP 800-63A-4 (ドラフト) デジタル・アイデンティティ・ガイドライン:登録と身元確認
1. Purpose 1. 目的
2. Introduction 2. 序文
2.1. Expected Outcomes of Identity Proofing 2.1. 身元確認に期待される成果
2.2. Identity Assurance Levels 2.2. アイデンティティ保証レベル
3. Definitions and Abbreviations 3. 定義と略語
4. Identity Resolution, Validation, and Verification 4. アイデンティティの解決、検証、および妥当性確認
4.1. Identity Proofing and Enrollment 4.1. 身元確認と登録
4.1.1. Process Flow 4.1.1. プロセスの流れ
4.2. Identity Resolution 4.2. アイデンティティーの解決
4.3. Identity Validation and Identity Evidence Collection 4.3. ID 検証と ID の証拠収集
4.3.1. Characteristics of Acceptable Physical Evidence 4.3.1. 許容される物的証拠の特徴
4.3.2. Characteristics of Acceptable Digital Evidence 4.3.2. 許容されるデジタル証拠の特徴
4.3.3. Evidence Strength Requirements 4.3.3. 証拠強度要件
4.3.4. Identity Evidence and Attribute Validation 4.3.4. アイデンティティの証拠と属性検証
4.4. Identity Verification 4.4. ID 検証
4.4.1. Identity Verification Methods 4.4.1. 本人確認方法
5. Identity Assurance Level Requirements 5. 身元保証レベル要件
5.1. General Requirements 5.1. 一般要件
5.1.1. Identity Service Documentation and Records 5.1.1. アイデンティティ・サービスの文書と記録
5.1.2. General Privacy Requirements 5.1.2. 一般的なプライバシー要件
5.1.3. General Equity Requirements 5.1.3. 一般的な公平性の要件
5.1.4. General Security Requirements 5.1.4. セキュリティに関する一般的な要求事項
5.1.5. Additional Requirements for Federal Agencies 5.1.5. 連邦政府機関に対する追加要件
5.1.6. Requirements for Enrollment Codes 5.1.6. 登録コードに関する要件
5.1.7. Requirements for Notifications of Identity Proofing 5.1.7. 身元確認の通知に関する要件
5.1.8. Requirements for Use of Biometrics 5.1.8. バイオメトリクスの使用に関する要求事項
5.1.9. Trusted Referees and Applicant References 5.1.9. 信頼できる照会先と申請者の照会先
5.1.10. Requirements for Interacting with Minors 5.1.10. 未成年者との接点に関する要求事項
5.2. Identity Proofing Process 5.2. 身元確認プロセス
5.3. Identity Assurance Level 1 5.3. 身元保証レベル 1
5.3.1. Automated Attack Prevention 5.3.1. 自動的な攻撃防御
5.3.2. Evidence and Core Attributes Collection Requirements 5.3.2. 証拠とコアアトリビュートの収集要件
5.3.3. Evidence and Core Attributes Validation Requirements 5.3.3. 証拠スとコア属性の検証要件
5.3.4. Identity Verification Requirements 5.3.4. 本人確認要件
5.3.5. Notification of Proofing Requirement 5.3.5. プルーフィング要件に関する通知
5.4. Identity Assurance Level 2 5.4. アイデンティティ保証レベル 2
5.4.1. Automated Attack Prevention 5.4.1. 自動的な攻撃防御
5.4.2. Evidence and Core Attribute Collection Requirements 5.4.2. 証拠とコア属性の収集要件
5.4.3. Evidence and Core Attributes Validation Requirements 5.4.3. 証拠とコア属性の検証要件
5.4.4. Identity Verification Requirements 5.4.4. アイデンティティ検証要件
5.4.5. Notification of Proofing Requirement 5.4.5. プルーフィング要件に関する通知
5.5. Identity Assurance Level 3 5.5. アイデンティティ保証レベル 3
5.5.1. Automated Attack Prevention 5.5.1. 自動的な攻撃防御
5.5.2. Evidence and Core Attributes Collection Requirements 5.5.2. 証拠とコアアトリビュートの収集要件
5.5.3. Validation Requirements 5.5.3. 検証要件
5.5.4. Identity Verification Requirements 5.5.4. 本人確認要件
5.5.5. Notification of Proofing Requirement 5.5.5. プルーフィング要件に関する通知
5.5.6. Biometric Collection 5.5.6. バイオメトリック収集
5.5.7. In-person Proofing Requirements 5.5.7. 対面での証明の必要性
5.5.8. Requirements for IAL3 Supervised Remote Identity Proofing 5.5.8. IAL3 監視下遠隔身元確認の要件
5.6. Summary of Requirements 5.6. 要件のまとめ
6. Subscriber Accounts 6. 加入者アカウント
6.1. Subscriber Accounts 6.1. 加入者アカウント
6.2. Subscriber Account Access 6.2. 加入者アカウントへのアクセス
6.3. Subscriber Account Lifecycle 6.3. 加入者アカウントのライフサイクル
6.3.1. Subscriber Account Activity 6.3.1. 加入者アカウント活動
6.3.2. Subscriber Account Termination 6.3.2. 加入者アカウントの終了
7. Threats and Security Considerations 7. 脅威とセキュリティに関する考察
7.1. Threat Mitigation Strategies 7.1. 脅威の緩和策
7.2. Collaboration with Adjacent Programs 7.2. 隣接するプログラムとの協働
8. Privacy Considerations 8. プライバシーへの配慮
8.1. Collection and Data Minimization 8.1. 収集とデータの最小化
8.1.1. Social Security Numbers 8.1.1. 社会保障番号
8.2. Notice and Consent 8.2. 通知と同意
8.3. Use Limitation 8.3. 使用制限
8.4. Redress 8.4. 救済
8.5. Privacy Risk Assessment 8.5. プライバシーリスク評価
8.6. Agency-Specific Privacy Compliance 8.6. 機関特有のプライバシーコンプライアンス
9. Usability Considerations 9. ユーザビリティに関する考慮事項
9.1. General User Considerations During Enrollment and Identity Proofing 9.1. 登録および身元確認中の一般的なユーザーの考慮事項 9.2.
9.2. Pre-Enrollment Preparation 9.2. 登録前の準備
9.3. Enrollment and Proofing Session 9.3. 登録と証明のセッション
9.4. Post-Enrollment 9.4. 登録後
10.Equity Considerations 10.公平性に関する考慮事項
10.1. Equity and Identity Resolution 10.1. 公平性とアイデンティティの解決
10.2. Equity and Identity Validation 10.2. 衡平性と同一性の検証
10.3. Equity and Identity Verification 10.3. 公平性と同一性の検証
10.4. Equity and User Experience 10.4. 公平性とユーザーエクスペリエンス
References 参考文献
General References 一般的な参考資料
Standards 標準規格
NIST Special Publications NISTの特別出版物
Appendix A. Change Log 附属書 A. 変更履歴
   
SP 800-63B-4 (Draft) Digital Identity Guidelines: Authentication and Lifecycle Management SP 800-63B-4 (ドラフト) デジタル・アイデンティティ・ガイドライン: 本人認証とライフサイクル管理
1. Purpose 1. 目的
2. Introduction 2. 序文
3. Definitions and Abbreviations 3. 定義と略語
4. Authentication Assurance Levels 4. 本人認証保証レベル
4.1. Authentication Assurance Level 1 4.1. 認証保証レベル 1
4.1.1. Permitted Authenticator Types 4.1.1. 許可される認証者タイプ
4.1.2. Authenticator and Verifier Requirements 4.1.2. 認証機関とベリファイアの要件
4.1.3. Reauthentication 4.1.3. 再認証
4.1.4. Security Controls 4.1.4. セキュリティ制御
4.1.5. Records Retention Policy 4.1.5. 記録保持ポリシー
4.2. Authentication Assurance Level 2 4.2. 本人認証保証レベル 2
4.2.1. Permitted Authenticator Types 4.2.1. 許可された本人認証の種類
4.2.2. Authenticator and Verifier Requirements 4.2.2. 本人認証およびベリファイアの要件
4.2.3. Reauthentication 4.2.3. 再認証
4.2.4. Security Controls 4.2.4. セキュリティ制御
4.2.5. Records Retention Policy 4.2.5. 記録保持ポリシー
4.3. Authentication Assurance Level 3 4.3. 本人認証保証レベル 3
4.3.1. Permitted Authenticator Types 4.3.1. 許可された本人認証の種類
4.3.2. Authenticator and Verifier Requirements 4.3.2. 本人認証およびベリファイアの要件
4.3.3. Reauthentication 4.3.3. 再認証
4.3.4. Security Controls 4.3.4. セキュリティ制御
4.3.5. Records Retention Policy 4.3.5. 記録保持ポリシー
4.4. Privacy Requirements 4.4. プライバシーに関する要求事項
4.5. Summary of Requirements 4.5. 要求事項の概要
5. Authenticator and Verifier Requirements 5. 本人認証とベリファイアの要件
5.1. Requirements by Authenticator Type 5.1. 認証器タイプ別要件
5.1.1. Memorized Secrets 5.1.1. 暗記された秘密(Memorized Secrets
5.1.2. Look-Up Secrets 5.1.2. ルックアップシークレット
5.1.3. Out-of-Band Devices 5.1.3. 帯域外装置
5.1.4. Single-Factor OTP Device 5.1.4. 一要素 OTP デバイス
5.1.5. Multi-Factor OTP Devices 5.1.5. 多要素ワンタイムパスワードデバイス
5.1.6. Single-Factor Cryptographic Software 5.1.6. シングルファクター暗号化ソフトウェア
5.1.7. Single-Factor Cryptographic Devices 5.1.7. 単一要素暗号化装置
5.1.8. Multi-Factor Cryptographic Software 5.1.8. 多要素暗号化ソフトウェア
5.1.9. Multi-Factor Cryptographic Devices 5.1.9. 多要素暗号化装置
5.2. General Authenticator Requirements 5.2. 本人認証の一般要件
5.2.1. Physical Authenticators 5.2.1. 物理的認証子
5.2.2. Rate Limiting (Throttling) 5.2.2. レート制限(スロットル)
5.2.3. Use of Biometrics 5.2.3. バイオメトリクスの使用
5.2.4. Attestation 5.2.4. 認証
5.2.5. Phishing (Verifier Impersonation) Resistance 5.2.5. フィッシング(検証者のなりすまし)耐性
5.2.6. Verifier-CSP Communications 5.2.6. 検証者-CSP 間通信
5.2.7. Verifier Compromise Resistance 5.2.7. ベリファイアの危殆化に対する耐性
5.2.8. Replay Resistance 5.2.8. リプレイ耐性
5.2.9. Authentication Intent 5.2.9. 本人認証の意図
5.2.10. Restricted Authenticators 5.2.10. 制限された本人認証手段
5.2.11. Activation Secrets 5.2.11. アクティベーション・シークレット
5.2.12. Connected Authenticators 5.2.12. 接続された認証者
6. Authenticator Lifecycle Management 6. 本人認証のライフサイクル管理
6.1. Authenticator Binding 6.1. 本人認証バインディング
6.1.1. Binding at Enrollment 6.1.1. 登録時のバインディング
6.1.2. Post-Enrollment Binding 6.1.2. 登録後のバインディング
6.1.3. Binding to a Subscriber-provided Authenticator 6.1.3. サブスクライバが提供する本人認証機能へのバインディング
6.1.4. Renewal 6.1.4. 更新
6.2. Loss, Theft, Damage, and Unauthorized Duplication 6.2. 紛失、盗難、損傷、および不正な複製
6.3. Expiration 6.3. 有効期限
6.4. Invalidation 6.4. 無効化
7. Session Management 7. セッション管理
7.1. Session Bindings 7.1. セッションバインディング
7.1.1. Browser Cookies 7.1.1. ブラウザクッキー
7.1.2. Access Tokens 7.1.2. アクセストークン
7.1.3. Device Identification 7.1.3. デバイスの識別
7.2. Reauthentication 7.2. 再認証
7.2.1. Reauthentication from a Federation or Assertion 7.2.1. 連携またはアサーションからの再認証
8. Threats and Security Considerations 8. 脅威とセキュリティに関する考察
8.1. Authenticator Threats 8.1. 本人認証の脅威
8.2. Threat Mitigation Strategies 8.2. 脅威の緩和策
8.3. Authenticator Recovery 8.3. 本人認証のリカバリ
8.4. Session Attacks 8.4. セッション攻撃
9. Privacy Considerations 9. プライバシーに関する考察
9.1. Privacy Risk Assessment 9.1. プライバシーリスク評価
9.2. Privacy Controls 9.2. 個人情報保護管理
9.3. Use Limitation 9.3. 使用制限
9.4. Agency-Specific Privacy Compliance 9.4. 機関特有のプライバシーコンプライアンス
10.Usability Considerations 10.ユーザビリティに関する考慮事項
10.1. Usability Considerations Common to Authenticators 10.1. 本人認証に共通するユーザビリティの考慮事項
10.2. Usability Considerations by Authenticator Type 10.2. 認証機関タイプ別のユーザビリティに関する考慮事項
10.2.1. Memorized Secrets 10.2.1. 記憶された秘密(Memorized Secrets
10.2.2. Look-Up Secrets 10.2.2. ルックアップシークレット(Look-Up Secrets
10.2.3. Out-of-Band 10.2.3. 帯域外
10.2.4. Single-Factor OTP Device 10.2.4. 一要素 OTP デバイス
10.2.5. Multi-Factor OTP Device 10.2.5. 多要素ワンタイムパスワードデバイス
10.2.6. Single-Factor Cryptographic Software 10.2.6. 単一要素暗号化ソフトウェア
10.2.7. Single-Factor Cryptographic Device 10.2.7. 単一要素暗号化装置
10.2.8. Multi-Factor Cryptographic Software 10.2.8. 多要素暗号化ソフトウェア
10.2.9. Multi-Factor Cryptographic Device 10.2.9. 多要素暗号化装置
10.3. Summary of Usability Considerations 10.3. ユーザビリティに関する考察のまとめ
10.4. Biometrics Usability Considerations 10.4. バイオメトリクスのユーザビリティに関する考察
11.Equity Considerations 11.公平性に関する考察
References 参考文献
General References 一般的な参考文献
Standards 標準規格
NIST Special Publications NIST特別出版物
Federal Information Processing Standards 連邦情報処理規格
Appendix A. Strength of Memorized Secrets 附属書A. 暗記された秘密の強さ
A.1. Introduction A.1. 序文
A.2. Length A.2. 長さ
A.3. Complexity A.3. 複雑さ
A.4. Central vs. Local Verification A.4. 中央検証 vs. 局所検証
A.5. Summary A.5. まとめ
Appendix B. Change Log 附属書B. 変更履歴
   
SP 800-63C-4 (Draft) Digital Identity Guidelines: Federation and Assertions SP 800-63C-4 (ドラフト) デジタル・アイデンティティ・ガイドライン:連携とアサーション
1. Purpose 1. 目的
2. Introduction 2. 序文
3. Definitions and Abbreviations 3. 定義と略語
4. Federation Assurance Level (FAL) 4. 連携保証レベル(FAL)
4.1. Federation Assurance Level 1 (FAL1) 4.1. 連携保証レベル 1 (FAL1)
4.2. Federation Assurance Level 2 (FAL2) 4.2. 連携保証レベル 2 (FAL2)
4.3. Federation Assurance Level 3 (FAL3) 4.3. 連携保証レベル 3 (FAL3)
4.4. Requesting and Processing xALs 4.4. xALの要求と処理
5. Federation 5. 連携
5.1. Trust Agreements 5.1. 信頼合意書
5.1.1. Bilateral Trust Agreements 5.1.1. 二組織間信頼合意書
5.1.2. Multilateral Trust Agreements 5.1.2. 多組織間信頼合意書
5.1.3. Proxied Federation 5.1.3. 代理人による連携
5.2. Registration 5.2. 登録
5.2.1. Manual Registration 5.2.1. 手動登録
5.2.2. Dynamic Registration 5.2.2. 動的登録
5.3. Authentication and Attribute Disclosure 5.3. 本人認証と属性開示
5.3.1. IdP Allowlists of RPs 5.3.1. RP の IdP 許可リスト
5.3.2. IdP Blocklists of RPs 5.3.2. RP の IdP 不許可リスト
5.3.3. IdP Runtime Decisions 5.3.3. IdP 実行時決定事項
5.3.4. RP Allowlists of IdPs 5.3.4. IdP の RP 許可リスト
5.3.5. RP Blocklists of IdPs 5.3.5. IdP の RP 不許可リスト
5.3.6. RP Runtime Decisions 5.3.6. RP 実行時決定事項
5.4. RP Subscriber Accounts 5.4. RP 加入者アカウント
5.4.1. Provisioning Models 5.4.1. プロビジョニングモデル
5.4.2. Attribute Synchronization 5.4.2. 属性の同期化
5.4.3. Provisioning APIs 5.4.3. プロビジョニングAPI
5.4.4. Attribute Collection 5.4.4. 属性の収集
5.4.5. Time-based Removal of RP Subscriber Accounts 5.4.5. RP加入者アカウントの時間ベースの削除
5.5. Privacy Requirements 5.5. プライバシー要件
5.6. Reauthentication and Session Requirements in Federated Environments 5.6. 統合環境における再認証とセッションの要件
5.7. Shared Signaling 5.7. シグナリングの共有
6. Assertions 6. アサーション(Assertion)
6.1. Assertion Binding 6.1. アサーションバインディング
6.1.1. Bearer Assertions 6.1.1. ベアラアサーション
6.1.2. Bound Authenticators 6.1.2. 本人認証のバインド
6.2. Assertion Protection 6.2. アサーションの保護
6.2.1. Assertion Identifier 6.2.1. アサーションの識別子
6.2.2. Signed Assertion 6.2.2. 署名されたアサーション
6.2.3. Encrypted Assertion 6.2.3. 暗号化されたアサーション
6.2.4. Audience Restriction 6.2.4. 視聴者制限
6.2.5. Pairwise Pseudonymous Identifiers 6.2.5. 対の疑似同名識別子
6.3. Identity APIs 6.3. ID API
6.3.1. Attribute Providers 6.3.1. 属性プロバイダー
7. Assertion Presentation 7. アサーションの提示
7.1. Back-Channel Presentation 7.1. バックチャンネルでの提示
7.2. Front-Channel Presentation 7.2. フロントチャンネル表示
7.3. Protecting Information 7.3. 情報の保護
8. Security 8. セキュリティ
8.1. Federation Threats 8.1. 連携の脅威
8.2. Federation Threat Mitigation Strategies 8.2. 連携脅威の緩和策
9. Privacy Considerations 9. プライバシーに関する考察
9.1. Minimizing Tracking and Profiling 9.1. 追跡とプロファイリングの最小化
9.2. Notice and Consent 9.2. 通知と同意
9.3. Data Minimization 9.3. データの最小化
9.4. Agency-Specific Privacy Compliance 9.4. 機関特有のプライバシーコンプライアンス
9.5. Blinding in Proxied Federation 9.5. プロキシされた連携における盲検化
10.Usability Considerations 10.ユーザビリティの考慮事項
10.1. General Usability Considerations 10.1. 一般的なユーザビリティの考慮事項
10.2. Specific Usability Considerations 10.2. 特定のユーザビリティに関する考察
10.2.1. User Perspectives on Online Identity 10.2.1. オンライン・アイデンティティに関するユーザーの視点
10.2.2. User Perspectives of Trust and Benefits 10.2.2. 信頼と利益に関するユーザーの視点
10.2.3. User Mental Models and Beliefs 10.2.3. ユーザーのメンタルモデルと信念
11.Equity Considerations 11.公平性に関する考察
12.Examples 12.事例
12.1. Security Assertion Markup Language (SAML) 12.1. SAML(セキュリティアサーションマークアップ言語)
12.2. Kerberos Tickets 12.2. ケルベロスチケット
12.3. OpenID Connect 12.3. OpenIDコネクト
References 参考文献
General References 一般的な参考資料
Standards 標準規格
NIST Special Publications NIST特別出版物
Federal Information Processing Standards 連邦情報処理規格
Appendix A. Changelog 附属書A 変更履歴

 

 


 

20221219-65559 20221219-65643

NIST SP 800-63-4 Draft 

 


Identity Proofing Process (身元確認プロセス)

20221219-70034

NIST SP800-63A-4 Draft


信頼できるもう一つのデバイスを利用した本人認証の方法2種

 

20221219-70606
20221219-70628

NIST SP 800-63B-4 Draft


連携

20221219-71242

NIST SP 800-63C-4 Draft

 

手動登録・動的登録

20221219-71704 20221219-71733

NIST SP 800-63C-4 Draft

 


 

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

・2021.06.17 NISTIR 8335 (Draft) 公共安全機関 (PSO) のためのIDaaS

・2021.06.11 NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について

・2020.09.24 米国NSAが「多要素認証サービスの選択と安全な使用」に関する連邦政府向けのガイダンスを公表していますね。。。

・2020.06.11 NIST SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines

・2020.03.17 ENISA eIDAS準拠のeIDソリューションに関する報告書

・2020.03.07 NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました

| | Comments (0)

2022.12.18

国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

こんにちは、丸山満彦です。

国家安全保障戦略が閣議決定されましたね。。。現在安保戦略は、国家防衛戦略に名称変更ですね。。。

サイバーについては、領域 (Domain) という概念や、空間 (Space) という概念で登場しますね。。。

経済が発展していない中で、防衛費を増やし軍事力を増加するという方向なんですよね。。。外交、インテリジェンス、軍事、経済の総量、バランスの再定義がされたってことなんですかね。。。

30年、経済発展していないというのが痛いですよね。。。(我々世代の責任が大きいのかもしれませんが。。。)

英語版も同時に公表されていますね。。。方針レベルでは事前に確認をしながら...ってことなのでしょうかね。。。米国の方は英語版をベースに理解をするということなのでしょうね。。。

 

内閣官房

国家安全保障戦略について

・[PDF] 「国家安全保障戦略」概要

20221217-142927

 

・[PDF] 国家安全保障戦略」(令和4年12月16日 国家安全保障会議・閣議決定)

20221217-143247

 

・[PDF] National Security Strategy(NSS) -English Version-

20221217-143454

 

目次...

Ⅰ 策定の趣旨

Ⅱ 我が国の国益

Ⅲ 我が国の安全保障に関する基本的な原則

Ⅳ 我が国を取り巻く安全保障環境と我が国の安全保障上の課題
1 グローバルな安全保障環境と課題
2 インド太平洋地域における安全保障環境と課題
 ⑴ インド太平洋地域における安全保障の概観
 ⑵ 中国の安全保障上の動向
 ⑶ 北朝鮮の安全保障上の動向
 ⑷ ロシアの安全保障上の動向

Ⅴ 我が国の安全保障上の目標

Ⅵ 我が国が優先する戦略的なアプローチ
1 我が国の安全保障に関わる総合的な国力の主な要素
2 戦略的なアプローチとそれを構成する主な方策
 ⑴ 危機を未然に防ぎ、平和で安定した国際環境を能動的に創出し、自由で開かれた国際秩序を強化するための外交を中心とした取組の展開
  ア 日米同盟の強化
  イ 自由で開かれた国際秩序の維持・発展と同盟国・同志国等との連携の強化
  ウ 我が国周辺国・地域との外交、領土問題を含む諸懸案の解決に向けた取組の強化
  エ 軍備管理・軍縮・不拡散
  オ 国際テロ対策カ 気候変動対策キ ODAを始めとする国際協力の戦略的な活用ク 人的交流等の促進
 ⑵ 我が国の防衛体制の強化
  ア 国家安全保障の最終的な担保である防衛力の抜本的強化
  イ 総合的な防衛体制の強化との連携等
  ウ いわば防衛力そのものとしての防衛生産・技術基盤の強化
  エ 防衛装備移転の推進
  オ 防衛力の中核である自衛隊員の能力を発揮するための基盤の強化
 ⑶ 米国との安全保障面における協力の深化
 ⑷ 我が国を全方位でシームレスに守るための取組の強化
  ア サイバー安全保障分野での対応能力の向上
  イ 海洋安全保障の推進と海上保安能力の強化
  ウ 宇宙の安全保障に関する総合的な取組の強化
  エ 技術力の向上と研究開発成果の安全保障分野での積極的な活用のための官民の連携の強化
  オ 我が国の安全保障のための情報に関する能力の強化
  カ 有事も念頭に置いた我が国国内での対応能力の強化
  キ 国民保護のための体制の強化
  ク 在外邦人等の保護のための体制と施策の強化
  ケ エネルギーや食料など我が国の安全保障に不可欠な資源の確保
 ⑸ 自主的な経済的繁栄を実現するための経済安全保障政策の促進
 ⑹ 自由、公正、公平なルールに基づく国際経済秩序の維持・強化
 ⑺ 国際社会が共存共栄するためのグローバルな取組
  ア 多国間協力の推進、国際機関や国際的な枠組みとの連携の強化
  イ 地球規模課題への取組

Ⅶ 我が国の安全保障を支えるために強化すべき国内基盤
1 経済財政基盤の強化
2 社会的基盤の強化
3 知的基盤の強化

Ⅷ 本戦略の期間・評価・修正

Ⅸ 結語

 

サイバーの部分もありますね。。。

(4) Strengthening Efforts to Seamlessly Protect Japan in All Directions  ⑷ 我が国を全方位でシームレスに守るための取組の強化 
In the current security environment, the boundaries between military and nonmilitary, peacetime and contingency, have become blurred. Hybrid warfare is taking place, and gray zone situations are constantly arising. Japan will seamlessly protect its national interests by promoting cross-governmental policies in diverse fields, including cyber, maritime and space domains, technology, intelligence, and ensuring the safety of its people at home and abroad.   軍事と非軍事、有事と平時の境目が曖昧になり、ハイブリッド戦が展開され、グレーゾーン事態が恒常的に生起している現在の安全保障環境において、サイバー空間・海洋・宇宙空間、技術、情報、国内外の国民の安全確保等の多岐にわたる分野において、政府横断的な政策を進め、我が国の国益を隙なく守る。 
(i) Improving Response Capabilities in the Field of Cybersecurity  ア サイバー安全保障分野での対応能力の向上 
In order to ensure secure and stable use of cyberspace, especially the security of the nation and critical infrastructures, the response capabilities in the field of cybersecurity should be strengthened equal to or surpassing the level of leading Western countries.   サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保するために、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる。 
Specifically, in order to be able to respond to emerging cyber threats at any time, Japan will first establish a mechanism to continuously assess the information systems of government agencies, to improve measures against cyber threats as necessary, and to constantly manage vulnerabilities of government agencies’ information systems. As part of these efforts, the Government will continue to enhance defense throughout the lifecycle of information systems of government agencies, including those used in the fields of diplomacy, defense, and intelligence, from installation to disposal, while also promoting the development and effective use of human resources inside and outside the Government, by actively adopting cutting-edge concepts and technologies related to cybersecurity at all times.   具体的には、まずは、最新のサイバー脅威に常に対応できるようにするため、政府機関のシステムを常時評価し、政府機関等の脅威対策やシステムの脆弱性等を随時是正するための仕組みを構築する。その一環として、サイバーセキュリティに関する世界最先端の概念・技術等を常に積極的に活用する。そのことにより、外交・防衛・情報の分野を始めとする政府機関等のシステムの導入から廃棄までのライフサイクルを通じた防御の強化、政府内外の人材の育成・活用の促進等を引き続き図る。 
In addition, Japan will introduce active cyber defense for eliminating in advance the possibility of serious cyberattacks that may cause national security concerns to the Government and critical infrastructures and for preventing the spread of damage in case of such attacks, even if they do not amount to an armed attack. For this purpose, the Government will take further steps to develop information gathering and analysis capabilities in the field of cybersecurity and establish systems to implement active cyber defense. Therefore, the Government will advance efforts to consider to realize necessary measures including the following (a) to (c):  その上で、武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する。そのために、サイバー安全保障分野における情報収集・分析能力を強化するとともに、能動的サイバー防御の実施のための体制を整備することとし、以下の(ア)から(ウ)までを含む必要な措置の実現に向け検討を進める。  
(a)         Japan will advance efforts on information sharing to the Government in case of cyberattacks among the private sector including critical infrastructures, as well as coordinating and supporting incident response activities for the private sector.   (ア) 重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、支援等の取組を強化するなどの取組を進める。 
(b)         Japan will take necessary actions to detect servers and others suspected of being abused by attackers by utilizing information on communications services provided by domestic telecommunications providers.  (イ) 国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃者による悪用が疑われるサーバ等を検知するために、所要の取組を進める。 
(c)         For serious cyberattacks that pose security concerns against the Government, critical infrastructures, and others, the Government will be given the necessary authorities that allow it to penetrate and neutralize attacker's servers and others in advance to the extent possible.  (ウ) 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。 
In order to realize and promote these efforts, including active cyber defense, the National center for Incident readiness and Strategy for Cybersecurity (NISC) will be constructively restructured to establish a new organization which will comprehensively coordinate policies in the field of cybersecurity, in a centralized manner. Then, the Government will work on legislation and strengthen operations for the purpose of materializing these new efforts in the field of cybersecurity. These measures will contribute to the reinforcement of a comprehensive defense architecture.   能動的サイバー防御を含むこれらの取組を実現・促進するために、内閣サイバーセキュリティセンター(NISC)を発展的に改組し、サイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置する。そして、これらのサイバー安全保障分野における新たな取組の実現のために法制度の整備、運用の強化を図る。これらの取組は総合的な防衛体制の強化に資するものとなる。 
In addition, the Government will improve coordination with other policies that contribute to the enhancement of cybersecurity, such as economic security and the enhancement of technical capabilities related to national security.   また、経済安全保障、安全保障関連の技術力の向上等、サイバー安全保障の強化に資する他の政策との連携を強化する。 
Furthermore, the Government will continue to work for the enhancement of information gathering and analysis, attribution and its public announcement, as well as formulation of international frameworks and rules in a coordinated manner with its ally, like-minded countries and others.  さらに、同盟国・同志国等と連携した形での情報収集・分析の強化、攻撃者の特定とその公表、国際的な枠組み・ルールの形成等のために引き続き取り組む。 

 

全体の対訳

National Security Strategy of Japan  国家安全保障戦略
December, 2022  令和4年12月16日
I Purpose  Ⅰ 策定の趣旨 
The international community is facing changes defining an era. We are reminded once again that globalization and interdependence alone cannot serve as a guarantor for peace and development across the globe. The free, open, and stable international order, which expanded worldwide in the post-Cold War era, is now at stake with serious challenges amidst historical changes in power balances and intensifying geopolitical competitions. Meanwhile, a host of issues such as climate change and infectious disease crises are emerging, requiring cross-border cooperation among nations. Today, we are in an era where confrontation and cooperation are intricately intertwined in international relations.  国際社会は時代を画する変化に直面している。グローバリゼーションと相互依存のみによって国際社会の平和と発展は保証されないことが、改めて明らかになった。自由で開かれた安定的な国際秩序は、冷戦終焉以降に世界で拡大したが、パワーバランスの歴史的変化と地政学的競争の激化に伴い、今、重大な挑戦に晒されている。その中で、気候変動問題や感染症危機を始め、国境を越えて各国が協力して対応すべき諸課題も同時に生起しており、国際関係において対立と協力の様相が複雑に絡み合う時代になっている。 
To date, advanced democratic countries, including Japan, have devoted themselves to upholding universal values such as freedom, democracy, respect for fundamental human rights, and the rule of law, and to spearheading the effort to shape the international society of coexistence and coprosperity. Numerous countries around the world, including developing countries, have also enjoyed the fruits of international peace, stability, and economic development in this globalized world rooted in such order.   これまで、我が国を含む先進民主主義国は、自由、民主主義、基本的人権の尊重、法の支配といった普遍的価値を擁護し、共存共栄の国際社会の形成を主導してきた。途上国を含む国際社会の多くの国も、こうした国際秩序を前提に、グローバリゼーションの中で、国際社会の平和と安定と経済発展の果実を享受してきた。 
At the same time, however, dissatisfaction stemming from widening economic disparities and other factors are generating renewed feelings of tensions at the domestic level and even in inter-state relations. Guided by their own historical views and values, some nations, not sharing universal values, are making attempts to revise the existing international order. In the course of almost a century, humanity has invested itself in defining a fundamental international principle of the general prohibition of the use of force. Yet, a permanent member of the United Nations Security Council (hereinafter referred to as the "UN Security Council"), which has the primary responsibility of maintaining international peace and security, has overtly trampled on this very principle. This is coupled with ongoing unilateral changes to the status quo and such attempts at sea. In addition, some states, not sharing universal values, are exploiting unique approaches to rapidly develop their economies and science technologies, and then, in some areas, are gaining superiorities over those states that have defended academic freedom and marketeconomy principles. These moves challenge the existing international order, thereby intensifying geopolitical competitions in international relations. In the face of that, many developing and other nations are striving to avoid embroiling themselves in geopolitical competitions. We are even observing that some states are now following the lead of those not sharing universal values.  しかし、同時に、拡大する経済格差等に起因する不満は、国内、更には国家間の関係において新たな緊張をもたらしている。普遍的価値を共有しない一部の国家は、独自の歴史観・価値観に基づき、既存の国際秩序の修正を図ろうとする動きを見せている。人類が過去一世紀近くにわたって築き上げてきた武力の行使の一般的禁止という国際社会の大原則が、国際社会の平和及び安全の維持に関する主要な責任を有する国際連合安全保障理事会(以下「国連安保理」という。)の常任理事国により、あからさまな形で破られた。また、海洋における一方的な現状変更及びその試みも継続している。そして、普遍的価値を共有しない一部の国家は、経済と科学技術を独自の手法で急速に発展させ、一部の分野では、学問の自由や市場経済原理を擁護してきた国家よりも優位に立つようになってきている。これらは、既存の国際秩序に挑戦する動きであり、国際関係において地政学的競争が激化している。このような状況において、多くの途上国等は地政学的競争に巻き込まれることを回避しようとしているが、中には普遍的価値を共有しない一部の国家に追随する国も出てきている。 
At a time when geopolitical competition is intensifying, issues are arising elsewhere in the world which call for global cooperation at large. We live in an era where there is a greater imperative than ever before for the international community to rally together in cooperation beyond differences in values, conflicts of interest, and others for the sake of taking on those global challenges that transcend national borders and put the very existence of humankind at risk such as climate change and infectious disease crises.  このように地政学的競争が激化すると同時に、国際社会においては、国際社会全体の協力が不可欠な問題も生じてきている。気候変動、感染症危機等、国境を越えて人類の存在そのものを脅かす地球規模課題への対応のために、国際社会が価値観の相違、利害の衝突等を乗り越えて協力することが、かつてないほど求められている時代になっている。 
Turning our eyes to the neighboring region, Japan’s security environment is as severe and complex as it has ever been since the end of World War II. Russia's aggression against Ukraine has easily breached the very foundation of the rules that shape the international order. The possibility cannot be precluded that a similar serious situation may arise in the future in the Indo-Pacific region, especially in East Asia. Across the globe, historical changes in power balances, particularly in the Indo-Pacific region, are occurring. In addition, in the vicinity of Japan, military buildups, including of nuclear weapons and missiles, are rapidly advancing, coupled with mounting pressures by unilaterally changing the status quo by force. Moreover, grey zone situations over territories, crossborder cyberattacks on critical civilian infrastructures, and information warfare through spread of disinformation, are constantly taking place, thereby further blurring the boundary between contingency and peacetime. Furthermore, the scope of national security has expanded to include those fields previously considered non-military such as economic, technological and others, and thus the boundary between military and nonmilitary fields is no longer clear-cut either.  我が国周辺に目を向ければ、我が国は戦後最も厳しく複雑な安全保障環境に直面している。ロシアによるウクライナ侵略により、国際秩序を形作るルールの根幹がいとも簡単に破られた。同様の深刻な事態が、将来、インド太平洋地域、とりわけ東アジアにおいて発生する可能性は排除されない。国際社会では、インド太平洋地域を中心に、歴史的なパワーバランスの変化が生じている。また、我が国周辺では、核・ミサイル戦力を含む軍備増強が急速に進展し、力による一方的な現状変更の圧力が高まっている。そして、領域をめぐるグレーゾーン事態、民間の重要インフラ等への国境を越えたサイバー攻撃、偽情報の拡散等を通じた情報戦等が恒常的に生起し、有事と平時の境目はますます曖昧になってきている。さらに、国家安全保障の対象は、経済、技術等、これまで非軍事的とされてきた分野にまで拡大し、軍事と非軍事の分野の境目も曖昧になっている。 
Japan also faces difficult domestic challenges such as a declining and aging population with a low fertility rate and a severe fiscal condition. With a view to resolving these challenging economic and social agendas at home and to bringing about economic growth, Japan must ensure an international environment that is conducive to facilitating crossborder economic and social activities such as trade of goods, energy, and food which are essential for industries, and the movement of people.  国内に目を転じれば、我が国は、人口減少、少子高齢化、厳しい財政状況等の困難な課題に直面している。こうした我が国国内の困難な経済的・社会的課題を解決し、経済成長を実現していくためにも、産業に不可欠な物資、エネルギー、食料等の貿易や人の移動等の国境をまたぐ経済・社会活動が円滑になされる国際的な環境を確保しなければならない。 
We live in the world of a historical inflection point and in the face of the most severe and complex security environment since the end of WWII. Against this backdrop, Japan must protect its own national interests, including the peace, security and prosperity of Japan, the safety of its people, and the coexistence and coprosperity of the international community by steadfastly preparing for the worst-case scenario, including fundamental reinforcement of its defense capabilities. To this end, we will strive to proactively foster a desirable security environment for Japan by carrying out vigorous diplomacy. In addition, possessing defense capabilities, which enable Japan to firmly defend itself on its own, will indeed bolster the solid footing of Japan's diplomacy.  このような世界の歴史の転換期において、我が国は戦後最も厳しく複雑な安全保障環境のただ中にある。その中において、防衛力の抜本的強化を始めとして、最悪の事態をも見据えた備えを盤石なものとし、我が国の平和と安全、繁栄、国民の安全、国際社会との共存共栄を含む我が国の国益を守っていかなければならない。そのために、我が国はまず、我が国に望ましい安全保障環境を能動的に創出するための力強い外交を展開する。そして、自分の国は自分で守り抜ける防衛力を持つことは、そのような外交の地歩を固めるものとなる。 
To achieve these objectives, Japan needs a strategy that integrates its national responses at a higher level by taking a panoramic view of the diverse dimensions of international relations as a whole, where confrontation and cooperation are intricately intertwined, including geopolitical competition and responses to global-scale challenges, and then by taking full advantage of comprehensive national power, including diplomatic, defense, economic, technological, and intelligence capabilities. From this standpoint, the Government of Japan hereby sets forth the National Security Strategy as its supreme national security policy document. The Strategy provides strategic guidance for Japan’s national security policy areas, including diplomacy, defense, economic security, technology, cyber, maritime, space, intelligence, official development assistance (ODA), and energy.  こうした目標を達成するためには、地政学的競争、地球規模課題への対応等、対立と協力が複雑に絡み合う国際関係全体を俯瞰し、外交力・防衛力・経済力・技術力・情報力を含む総合的な国力を最大限活用して、国家の対応を高次のレベルで統合させる戦略が必要である。このような視点に立ち、我が国の安全保障に関する最上位の政策文書となる国家安全保障戦略を定める。本戦略は、外交、防衛、経済安全保障、技術、サイバー、海洋、宇宙、情報、政府開発援助(ODA)、エネルギー等の我が国の安全保障に関連する分野の諸政策に戦略的な指針を与えるものである。 
Japan’s first-ever National Security Strategy (decided by the National Security Council and approved by the Cabinet Decision on December 17, 2013) was formulated in 2013. Guided by the policy of Proactive Contribution to Peace based on the principle of the international cooperation, the Legislation for Peace and Security was enacted. By so doing, the Government has put arrangements in place where Japan can seamlessly respond to situations concerning security. While maintaining the fundamental principles of the Japanese national security, grounded in these arrangements, the strategic guidance and policies under this Strategy will dramatically transform Japan’s national security policy after the end of WWII from the aspect of its execution.   2013年に我が国初の国家安全保障戦略(平成 25 年 12 月 17 日国家安全保障会議決定及び閣議決定)が策定され、我が国は、国際協調を旨とする積極的平和主義の下での平和安全法制の制定等により、安全保障上の事態に切れ目なく対応できる枠組みを整えた。本戦略に基づく戦略的な指針と施策は、その枠組みに基づき、我が国の安全保障に関する基本的な原則を維持しつつ、戦後の我が国の安全保障政策を実践面から大きく転換するものである。 
Meanwhile, the exercise of power as a nation begins with the determination of its people. In order to steadily execute the Strategy, which encompasses a broad range of fields beyond the traditional boundaries of diplomacy and defense, it is essential for the Government to gain the understanding and cooperation of its people regarding the content and execution of the Strategy and to foster an environment in which they can voluntarily and proactively participate in Japan's security policy.  同時に、国家としての力の発揮は国民の決意から始まる。伝統的な外交・防衛の分野にとどまらない幅広い分野を対象とする本戦略を着実に実施していくためには、本戦略の内容と実施について国民の理解と協力を得て、国民が我が国の安全保障政策に自発的かつ主体的に参画できる環境を政府が整えることが不可欠である。 
The Strategy consists of the following:  本戦略は次のとおり構成される。 
The Strategy first outlines Japan's national interests, which should serve as the starting point in defining a national security strategy. Then, based on these national interests, the Strategy lays out basic principles concerning Japan's national security that have been nurtured over the course of the postwar security history and experiences as well as by the choices of the Japanese people. Additionally, it presents the current security environment surrounding Japan and its security challenges. On this basis, it sets out national security objectives that Japan should achieve, and identifies ways and means, namely through strategic approaches, by which it can deliver on the objectives through capitalizing on the Japanese comprehensive national power. Then, the Strategy puts forward various foundations of Japan, which sustain the execution of the strategic approaches.  本戦略は、まず、国家の安全保障戦略を定める際の原点となるべき我が国の国益を示す。次に、その国益を踏まえ、我が国の戦後の安全保障の歴史と経験、国民の選択の中から培われてきた我が国の安全保障に関する基本的な原則を示す。さらに、現在の我が国を取り巻く安全保障環境と我が国の安全保障上の課題を示す。これらを踏まえて、我が国が達成すべき我が国の安全保障上の目標を設定し、この目標を我が国が総合的な国力を用いて達成するための手段と方法、すなわち戦略的なアプローチを明らかにする。さらに、戦略的なアプローチの実施を支える土台である我が国の様々な基盤を示す。 
Ⅱ Japan’s National Interests  Ⅱ 我が国の国益 
 Japan’s national interests to be preserved and developed are listed below:  我が国が守り、発展させるべき国益を以下に示す。 
1.      Japan will maintain its sovereignty and independence, defend its territorial integrity, and secure the safety of life, person, and properties of its nationals. Japan will ensure its survival while maintaining its own peace and security grounded in freedom and democracy and preserving its rich culture and traditions. Furthermore, Japan and its nationals will continue to strive so that Japan and its nationals are respected and favorably regarded around the world.  1 我が国の主権と独立を維持し、領域を保全し、国民の生命・身体・財産の安全を確保する。そして、我が国の豊かな文化と伝統を継承しつつ、自由と民主主義を基調とする我が国の平和と安全を維持し、その存立を全うする。また、我が国と国民は、世界で尊敬され、好意的に受け入れられる国家・国民であり続ける。 
2.      Japan will achieve the prosperity of Japan and its nationals through economic growth, thereby consolidating its own peace and security. And, while working to realize Japan's economic prosperity, Japan will maintain and strengthen an open and stable international economic order and achieve an international environment in which Japan and other countries can coexist and prosper together.  2 経済成長を通じて我が国と国民の更なる繁栄を実現する。そのことにより、我が国の平和と安全をより強固なものとする。そして、我が国の経済的な繁栄を主体的に達成しつつ、開かれ安定した国際経済秩序を維持・強化し、我が国と他国が共存共栄できる国際的な環境を実現する。 
3.      Japan will maintain and protect universal values, such as freedom, democracy, respect for fundamental human rights and the rule of law, and international order based on international law. In particular, Japan will maintain and develop a free and open international order, especially in the Indo-Pacific region where Japan is situated.  3 自由、民主主義、基本的人権の尊重、法の支配といった普遍的価値や国際法に基づく国際秩序を維持・擁護する。特に、我が国が位置するインド太平洋地域において、自由で開かれた国際秩序を維持・発展させる。 
III Fundamental Principles Concerning Japan's National Security  Ⅲ 我が国の安全保障に関する基本的な原則 
As a prerequisite for the execution of Japan’s national security policy in pursuit of protecting its national interests, the following are the fundamental principles concerning Japan’s national security.  我が国の国益を守るための安全保障政策の遂行の前提として、我が国の安全保障に関する基本的な原則を以下に示す。 
1.      Japan will maintain the policy of “Proactive Contribution to Peace” based on international cooperation. In order to further embody this principle in the international community and to protect our own national interests in the time ahead, and based on the recognition that the primary responsibility for defending Japan lies with itself, Japan will squarely face the ever-changing security environment by decisively taking on necessary reforms and reinforcing our national security capabilities and roles.  1 国際協調を旨とする積極的平和主義を維持する。その理念を国際社会で一層具現化しつつ、将来にわたって我が国の国益を守る。そのために、我が国を守る一義的な責任は我が国にあるとの認識の下、刻々と変化する安全保障環境を直視した上で、必要な改革を果断に遂行し、我が国の安全保障上の能力と役割を強化する。 
2.      Japan will execute its security policy in a manner that maintains and upholds universal values such as freedom, democracy, respect for fundamental human rights, and the rule of law. As one of the most mature and stable advanced democratic countries in the world, even amidst a complex and severe security environment, Japan will strive to maintain and uphold universal values and principles in cooperation with other countries, and lead the international community by example.  2 自由、民主主義、基本的人権の尊重、法の支配といった普遍的価値を維持・擁護する形で、安全保障政策を遂行する。そして、戦後最も厳しく複雑な安全保障環境の中においても、世界的に最も成熟し安定した先進民主主義国の一つとして、普遍的価値・原則の維持・擁護を各国と協力する形で実現することに取り組み、国際社会が目指すべき範を示す。 
3.      As a peace-loving nation, Japan will adhere to the basic policy of maintaining an exclusively national defense-oriented policy, not becoming a military power that poses a threat to other countries, and observing the Three Non-Nuclear Principles.   3 平和国家として、専守防衛に徹し、他国に脅威を与えるような軍事大国とはならず、非核三原則を堅持するとの基本方針は今後も変わらない。 
4.      The Japan-U.S. Alliance, including the provision of extended deterrence, will remain the cornerstone of Japan's national security policy.  4 拡大抑止の提供を含む日米同盟は、我が国の安全保障政策の基軸であり続ける。 
5.      Japan will attach importance to coexistence and coprosperity alongside other countries, cooperation with like-minded countries, and multilateral cooperation.  5 我が国と他国との共存共栄、同志国との連携、多国間の協力を重視する。 
IV Security Environment Surrounding Japan and Japan’s National Security Challenges  Ⅳ 我が国を取り巻く安全保障環境と我が国の安全保障上の課題 
 In defining its national security objectives, the security environment surrounding Japan and its national security challenges are listed below.  我が国の安全保障上の目標を定めるに当たり、我が国を取り巻く安全保障環境と我が国の安全保障上の課題を以下に示す。 
1. Global Security Environment and Challenges  1 グローバルな安全保障環境と課題 
(1)           Since the formation of the previous National Security Strategy in 2013, the international community has consistently gone through rapid changes, in conjunction with the center of gravity of global power shifting to the IndoPacific region, where Japan is situated. These changes are likely to carry on over the medium-to-long term and to have historical consequences that will transform the nature of the international community.  ⑴ 2013 年の国家安全保障戦略の策定以降も、グローバルなパワーの重心が、我が国が位置するインド太平洋地域に移る形で、国際社会は急速に変化し続けている。この変化は中長期的に続き、国際社会の在り様を変えるほどの歴史的な影響を与えるものとなる可能性が高い。 
(2)           Many opportunities and benefits are presented worldwide such as economic development, technological innovation, people-to-people exchanges, and the creation of new cultures. At the same time, however, it is becoming increasingly difficult for the United States, Japan's ally with the world's greatest comprehensive power, and international frameworks such as the G7 to manage risks in the international community and to maintain and develop a free and open international order. The United Nations, which should embody the will of the international community at large, has experienced a round of confrontation and thus has not fully lived up to fulfilling its functions. This is largely due to the fact that nations, not sharing universal values, or political and economic systems based on such values in common, are expanding their influences, thereby manifesting risks around the globe. Specifically, some states, which do not exclude the policy of increasing their own national interests at the expense of others, are expanding their influence through both military and non-military means, attempting to unilaterally change the status quo, and accelerating actions to challenge the international order. Such moves have sharpened competition and confrontation among states in wide-ranging areas, including military, diplomatic, economic, and technological fields, and have shaken the foundation of the international order. As a result, the current international security environment has become complex and severe, one where inter-state relations and interests of each and every nation are intertwined with each other in a mosaic-like manner.  ⑵ 国際社会においては、経済発展、技術革新、人的交流、新たな文化の創出等の多くの機会と恩恵がもたらされている。しかし、同時に、我が国の同盟国であり世界最大の総合的な国力を有する米国や、G7等の国際的な枠組みが、国際社会におけるリスクを管理し、自由で開かれた国際秩序を維持・発展させることは、ますます難しくなってきている。国際社会全体の意思を具現すべき国連では、対立が目立ち、その機能が十分に果たせていない。これは、普遍的価値やそれに基づく政治・経済体制を共有しない国家が勢力を拡大し、国際社会におけるリスクが顕在化していることが大きな要因である。具体的には、他国の国益を減ずる形で自国の国益を増大させることも排除しない一部の国家が、軍事的・非軍事的な力を通じて、自国の勢力を拡大し、一方的な現状変更を試み、国際秩序に挑戦する動きを加速させている。このような動きが、軍事、外交、経済、技術等の幅広い分野での国家間の競争や対立を先鋭化させ、国際秩序の根幹を揺るがしている。その結果、現在の国際的な安全保障環境は、国家間の関係や利害がモザイクのように入り組む、複雑で厳しいものとなっている。 
(3)           The following are prominent examples of the complexity and severity of the current international security environment.  ⑶ 以下に、こうした現在の国際的な安全保障環境の複雑さ、厳しさを表す顕著な例を挙げる。 
(i)     Unilateral changes to the status quo by force and such attempts against the territorial sovereignty and others of other nations are taking place, combined with military and non-military means. In particular, Russia's aggression against Ukraine constitutes a serious violation of international law prohibiting the use of force, and shakes the very foundation of the international order.  ア 他国の領域主権等に対して、軍事的及び非軍事的な手段を組み合わせる形で、力による一方的な現状変更及びその試みがなされている。特に、ロシアによるウクライナ侵略は、武力の行使を禁ずる国際法の深刻な違反であり、国際秩序の根幹を揺るがすものである。 
(ii)   In cyber, maritime, space, and electromagnetic domains, and other areas, the risks that impede free access to and utilization of these areas are becoming increasingly serious. In particular, the threat of cyberattacks, in which the risk of exposure is relatively low and attackers have an advantage, is growing rapidly. Cyberattacks have been used constantly to disable or destroy critical infrastructures, interfere in foreign elections, demand ransoms, and steal sensitive information, even in the form of state-sponsored cyberattacks. It is highly likely that hybrid warfare, combining military and non-military means to achieve military objectives such as information warfare which utilizes the spread of disinformation prior to an armed attack, will be conducted in an even more sophisticated form in the time ahead.  イ サイバー空間、海洋、宇宙空間、電磁波領域等において、自由なアクセスやその活用を妨げるリスクが深刻化している。特に、相対的に露見するリスクが低く、攻撃者側が優位にあるサイバー攻撃の脅威は急速に高まっている。サイバー攻撃による重要インフラの機能停止や破壊、他国の選挙への干渉、身代金の要求、機微情報の窃取等は、国家を背景とした形でも平素から行われている。そして、武力攻撃の前から偽情報の拡散等を通じた情報戦が展開されるなど、軍事目的遂行のために軍事的な手段と非軍事的な手段を組み合わせるハイブリッド戦が、今後更に洗練された形で実施される可能性が高い。 
(iii)  Addressing those issues not necessarily deemed as security targets in the past, such as supply chain vulnerabilities, increasing threats to critical infrastructures, and leadership struggles over advanced technologies, has also become a major security challenge. As a result, the scope of security has expanded to include the economic sector, making economic measures even more necessary to ensure security.  ウ サプライチェーンの脆弱性、重要インフラへの脅威の増大、先端技術をめぐる主導権争い等、従来必ずしも安全保障の対象と認識されていなかった課題への対応も、安全保障上の主要な課題となってきている。その結果、安全保障の対象が経済分野にまで拡大し、安全保障の確保のために経済的手段が一層必要とされている。 
(iv)  In the field of international trade and economic cooperation, which in principle should be mutually beneficial, some nations are trying to expand their own influence by economically coercing other nations through such means as restricting the exports of mineral resources, food, and industrial and medical supplies, as well as providing loans to other nations in a manner that ignores their debt sustainability.  エ 本来、相互互恵的であるべき国際貿易、経済協力の分野において、一部の国家が、鉱物資源、食料、産業・医療用の物資等の輸出制限、他国の債務持続性を無視した形での借款の供与等を行うことで、他国に経済的な威圧を加え、自国の勢力拡大を図っている。 
(v)    As major nations increase competition in advanced technology research and the use of its outcomes for security and other purposes, some nations are illegally stealing information related to advanced technologies developed by private companies, universities, and other organizations in other countries and using it for their own military purposes.  オ 先端技術研究とその成果の安全保障目的の活用等について、主要国が競争を激化させる中で、一部の国家が、他国の民間企業や大学等が開発した先端技術に関する情報を不法に窃取した上で、自国の軍事目的に活用している。 
(vi)  Due to the changing power balances and diversifying values around the world, strong leadership is being lost in the global governance structure at large. As a result, the international community is presented with greater difficulties to rally together in taking on common challenges such as climate change, free trade, arms control, disarmament, non-proliferation, terrorism, global health including measures against infectious diseases, and food and energy issues. In addition, vulnerable countries in the Middle East, Africa, and the Pacific Islands are disproportionally suffering large damages from extreme weather and reduction of land area due to climate change, the global spread of infectious diseases, and shortages of food and energy.  カ 国際社会におけるパワーバランスの変化や価値観の多様化により、国際社会全体の統治構造において強力な指導力が失われつつある。その結果、気候変動、自由貿易、軍備管理・軍縮・不拡散、テロ、感染症対策を含む国際保健、食料、エネルギー等の国際社会共通の課題への対応において、国際社会が団結しづらくなっている。また、中東、アフリカ、太平洋島嶼部の脆弱な国が、例えば、気候変動がもたらす異常気象・国土面積の減少、感染症の世界的な拡大、食料・エネルギー不足等により、相対的に大きな被害を被っている。 
2. Security Environment and Challenges in the Indo-Pacific Region  2 インド太平洋地域における安全保障環境と課題 
The global security environment and challenges articulated above are particularly prominent in the Indo-Pacific region, where Japan is situated, and its severity may be on the rise in the future. In this regard, the security environment and challenges in the IndoPacific region, including notable trends of countries and regions in particular, are as follows.  上記のグローバルな安全保障環境と課題は、我が国が位置するインド太平洋地域で特に際立っており、将来、更に深刻さを増す可能性がある。これを踏まえ、インド太平洋地域における安全保障環境と課題、特に注目すべき国・地域の動向を以下に示す。 
(1) Overview of Security in the Indo-Pacific Region  ⑴ インド太平洋地域における安全保障の概観 
The Indo-Pacific region is the core of global vitality, home to more than half of the world's population. The dynamism of the intersection of the Pacific and the Indian Oceans is a growth engine for the global economy. Japan, situated in this region, is well positioned to benefit from this.   インド太平洋地域は、世界人口の半数以上を擁する世界の活力の中核であり、太平洋とインド洋の交わりによるダイナミズムは世界経済の成長エンジンとなっている。この地域にある我が国は、その恩恵を受けやすい位置にある。 
At the same time, the Indo-Pacific region faces a host of security challenges. For example, several nations and regions that possess large military forces, including nuclear weapons, do not share universal values, nor political and economic systems based on such universal values. There exists a complex intertwining of diplomatic and other relations based on historical backgrounds. In addition, Japan faces threats and challenges of various types and intensities, such as unilateral changes to the status quo and such attempts in the East and South China Seas and other areas, piracy, terrorism, the proliferation of weapons of mass destruction, and natural disasters.   同時に、インド太平洋地域は安全保障上の課題が多い地域でもある。例えば、核兵器を含む大規模な軍事力を有し、普遍的価値やそれに基づく政治・経済体制を共有しない国家や地域が複数存在する。さらには、歴史的な経緯を背景とする外交関係等が複雑に絡み合っている。また、東シナ海、南シナ海等における領域に関する一方的な現状変更及びその試み、海賊、テロ、大量破壊兵器の拡散、自然災害等の様々な種類と烈度の脅威や課題が存在する。 
Guided by the vision of a Free and Open Indo-Pacific (hereinafter referred to as "FOIP"), in the Indo-Pacific region, Japan has the vital importance of striving to realize a free and open international order based on the rule of law and securing regional peace and stability in cooperation with its ally, like-minded countries and others.  このようなインド太平洋地域において、我が国が、自由で開かれたインド太平洋(以下「FOIP」という。)というビジョンの下、同盟国・同志国等と連携し、法の支配に基づく自由で開かれた国際秩序を実現し、地域の平和と安定を確保していくことは、我が国の安全保障にとって死活的に重要である。 
(2) China’s Activities in the Area of Security  ⑵ 中国の安全保障上の動向 
China has set clear goals to achieve "the great rejuvenation of the Chinese nation," the full completion of "building China into a great modern socialist country" by the middle of this century, and the prompt buildup of the People's Liberation Army to be elevated to "world-class standards." Under these national goals, China has been increasing its defense expenditures at a continuously high level and extensively and rapidly enhancing its military power, including its nuclear and missile capabilities, without sufficient transparency.   中国は、「中華民族の偉大な復興」、今世紀半ばまでの「社会主義現代化強国」の全面的完成、早期に人民解放軍を「世界一流の軍隊」に築き上げることを明確な目標としている。中国は、このような国家目標の下、国防費を継続的に高い水準で増加させ、十分な透明性を欠いたまま、核・ミサイル戦力を含む軍事力を広範かつ急速に増強している。 
In addition, China has intensified its attempts to unilaterally change the status quo by force in the maritime and air domains including in the East and South China Seas, such as its intrusions into the territorial waters and airspace around the Senkaku Islands, and has expanded and intensified its military activities that affect Japan’s national security in the Sea of Japan, the Pacific Ocean, and other areas as well. Furthermore, China is strengthening its strategic ties with Russia and attempting to challenge the international order.   また、中国は、我が国の尖閣諸島周辺における領海侵入や領空侵犯を含め、東シナ海、南シナ海等における海空域において、力による一方的な現状変更の試みを強化し、日本海、太平洋等でも、我が国の安全保障に影響を及ぼす軍事活動を拡大・活発化させている。さらに、中国は、ロシアとの戦略的な連携を強化し、国際秩序への挑戦を試みている。 
The international community strongly urges China, the second largest economy in the world and one of the major countries leading today’s global economy, to make further efforts to address global issues, including climate change, in a manner befitting its international influence. Yet, China does not participate in international frameworks in which other major official creditor nations take part in together, and its development finance and other related activities lack adequate transparency. In addition, China is redoubling its strategic efforts to establish its security in the economic field, and there have been instances of China taking advantage of other countries' dependence on China to exert economic pressure on other countries.  中国は、世界第二位の経済力を有し、世界経済を牽引する国としても、また、気候変動を含む地球規模課題についても、その国際的な影響力にふさわしい更なる取組が国際社会から強く求められている。しかし、中国は、主要な公的債権国が等しく参加する国際的な枠組み等にも参加しておらず、開発金融等に関連する活動の実態も十分な透明性を欠いている。また、経済面での安全を確立すべく、戦略的な取組を強化しており、他国の中国への依存を利用して、相手国に経済的な威圧を加える事例も起きている。 
While maintaining its policy of peaceful reunification of Taiwan, China has not denied the possibility of using military force. In addition, China has been intensifying its military activities in the sea and airspace surrounding Taiwan, including the launch of ballistic missiles into the waters around Japan. Regarding peace and stability across the Taiwan Strait, concerns are mounting rapidly, not only in the Indo-Pacific region including Japan, but also in the entire international community.  中国は、台湾について平和的統一の方針は堅持しつつも、武力行使の可能性を否定していない。さらに、中国は我が国近海への弾道ミサイル発射を含め台湾周辺海空域において軍事活動を活発化させており、台湾海峡の平和と安定については、我が国を含むインド太平洋地域のみならず、国際社会全体において急速に懸念が高まっている。 
It is expected that China contributes, together with Japan, to the peace and stability of the international community including the Indo-Pacific region, through building constructive relations with the international community via communications at various levels including at the summit level as well as repeating dialogue and cooperation with the international community, including Japan.   中国が、首脳レベルを含む様々なレベルでの意思疎通を通じて、国際社会と建設的な関係を構築すること、また、我が国を含む国際社会との対話と協力を重ねること等により、我が国と共にインド太平洋地域を含む国際社会の平和と安定に貢献することが期待されている。 
However, China's current external stance, military activities, and other activities have become a matter of serious concern for Japan and the international community, and present an unprecedented and the greatest strategic challenge in ensuring the peace and security of Japan and the peace and stability of the international community, as well as in strengthening the international order based on the rule of law, to which Japan should respond with its comprehensive national power and in cooperation with its ally, like-minded countries and others.   しかしながら、現在の中国の対外的な姿勢や軍事動向等は、我が国と国際社会の深刻な懸念事項であり、我が国の平和と安全及び国際社会の平和と安定を確保し、法の支配に基づく国際秩序を強化する上で、これまでにない最大の戦略的な挑戦であり、我が国の総合的な国力と同盟国・同志国等との連携により対応すべきものである。 
(3) North Korea’s Activities in the Area of Security  ⑶ 北朝鮮の安全保障上の動向 
In the Korean Peninsula, the large-scale military forces of the Republic of Korea (ROK) and North Korea are in confrontation with one another. North Korea has not carried out the dismantlement of all weapons of mass destruction and ballistic missiles of all ranges in a complete, verifiable and irreversible manner, in accordance with a series of relevant UN Security Council resolutions. While facing serious economic difficulties without any improvement in its human rights situation to date, North Korea continues to heavily allocate its resources to military affairs.  朝鮮半島においては、韓国と北朝鮮双方の大規模な軍事力が対峙している。北朝鮮は、累次の国連安保理決議に従った、全ての大量破壊兵器及びあらゆる射程の弾道ミサイルの完全な、検証可能な、かつ、不可逆的な方法での廃棄を依然として行っていない。現在も深刻な経済的困難に直面しており、人権状況も全く改善しない一方で、軍事面に資源を重点的に配分し続けている。 
In recent years, North Korea has repeatedly launched ballistic missiles with an unprecedented frequency and in new ways, rapidly enhancing its capabilities. In particular, North Korea is making rapid progress in its missile-related technologies and operational capabilities, exemplified by its launching of Intercontinental Ballistic Missile (ICBM)-class ballistic missiles with a range covering the U.S. mainland, launching missiles in new ways including missiles flying with irregular trajectories, and launching missiles from various platforms such as TransporterErector-Launcher (TEL), submarines, and trains.Furthermore, North Korea intends to bolster its nuclear capabilities both in quality and in quantity at the maximum speed. When considered together with its rapid development of missile-related technologies, North Korea's military activities pose an even more grave and imminent threat to Japan's national security than ever before.    北朝鮮は、近年、かつてない高い頻度で、新たな態様での弾道ミサイルの発射等を繰り返し、急速にその能力を増強している。特に、米国本土を射程に含む大陸間弾道ミサイル(ICBM)級弾道ミサイルの発射、変則軌道で飛翔するミサイルを含む新たな態様での発射、発射台付き車両(TEL)・潜水艦・鉄道といった様々なプラットフォームからの発射等により、ミサイル関連技術及び運用能力は急速に進展している。さらに、北朝鮮は、核戦力を質的・量的に最大限のスピードで強化する方針であり、ミサイル関連技術等の急速な発展と合わせて考えれば、北朝鮮の軍事動向は、我が国の安全保障にとって、従前よりも一層重大かつ差し迫った脅威となっている。 
The issue of abductions by North Korea is a critical issue concerning the sovereignty of Japan and the lives and safety of Japanese citizens. It is an urgent issue for the Government to resolve under its responsibility. It is also a universal issue for the international community to take on as a violation of basic human rights.  北朝鮮による拉致問題は、我が国の主権と国民の生命・安全に関わる重大な問題であり、国の責任において解決すべき喫緊の課題である。また、基本的人権の侵害という国際社会の普遍的問題である。 
(4) Russia’s Activities in the Area of Security  ⑷ ロシアの安全保障上の動向 
Russia's aggression against Ukraine and its other actions clearly demonstrate that it does not hesitate to resort to military forces to achieve its own security objectives. In addition, Russia continues to repeat words and actions that could be interpreted as threats to use of nuclear weapons.  ロシアによるウクライナ侵略等、ロシアの自国の安全保障上の目的達成のために軍事力に訴えることを辞さない姿勢は顕著である。また、ロシアは核兵器による威嚇ともとれる言動を繰り返している。 
Russia is accelerating its military activities in the vicinity of Japan. Russia is also strengthening its armaments in the Northern Territories, which is an inherent territory of Japan. This is presumably due to the background that the Sea of Okhotsk plays as an area of activity for strategic nuclear submarines, an important part in Russia's strategic nuclear forces.  ロシアは、我が国周辺における軍事活動を活発化させている。我が国固有の領土である北方領土でもロシアは軍備を強化しているが、これは、特にオホーツク海がロシアの戦略核戦力の一翼を担う戦略原子力潜水艦の活動領域であることが、その背景にあるとみられる。 
Furthermore, Russia has been doubling down on strategic coordination with China. In particular, in recent years, these two countries have ramped up their military coordination by continuing to conduct joint exercises and drills, such as joint navigation by their naval vessels and joint flights of their bombers in the vicinity of Japan.  さらに、ロシアは、中国との間で、戦略的な連携を強化してきている。特に、近年は、我が国周辺での中露両国の艦艇による共同航行や爆撃機による共同飛行等の共同演習・訓練を継続的に実施するなど、軍事面での連携が強化されている。 
By its recent aggression against Ukraine and others, Russia's external and military activities and others have shaken the very foundation of the international order, and are perceived as the most significant and direct threat to security in the European region. In addition, Russia's external and military activities and others in the IndoPacific region, including Japan, together with its strategic coordination with China, are of strong security concern.  ロシアの対外的な活動、軍事動向等は、今回のウクライナ侵略等によって、国際秩序の根幹を揺るがし、欧州方面においては安全保障上の最も重大かつ直接の脅威と受け止められている。また、我が国を含むインド太平洋地域におけるロシアの対外的な活動、軍事動向等は、中国との戦略的な連携と相まって、安全保障上の強い懸念である。 
V National Security Objectives of Japan  Ⅴ 我が国の安全保障上の目標 
The following are the national security objectives of Japan to ensure its national interests in the face of the above-mentioned national security challenges. These objectives are grounded in the fundamental principles of Japan’s national security as outlined in III.  以上のような我が国の安全保障上の課題が存在する中で、我が国が国益を確保できるようにするための我が国の安全保障上の目標を以下に示す。この目標は、上記Ⅲで示した我が国の安全保障に関する基本的な原則を踏まえたものである。 
1.      Japan will continue to be a nation capable of protecting its sovereignty and independence, autonomously determining its domestic and foreign policies, and defending its territory and the safety of life, person, and the properties of its nationals. To this end, Japan will reinforce its own capabilities and roles, and together with its ally, the United States, and like-minded countries and others, deter contingencies and attempts to unilaterally change the status quo in Japan and its vicinity. If by any chance a threat should reach Japan, Japan will disrupt and defeat the threat and minimize the damage caused, and bring it to an end in a manner favorable to protecting its national interests.  1 我が国の主権と独立を維持し、我が国が国内・外交に関する政策を自主的に決定できる国であり続け、我が国の領域、国民の生命・身体・財産を守る。そのために、我が国自身の能力と役割を強化し、同盟国である米国や同志国等と共に、我が国及びその周辺における有事、一方的な現状変更の試み等の発生を抑止する。万が一、我が国に脅威が及ぶ場合も、これを阻止・排除し、かつ被害を最小化させつつ、我が国の国益を守る上で有利な形で終結させる。 
2.      Japan will proactively ensure, through executing its security policy, an international environment in which its own economy can grow. By doing so, Japan will work to achieve a virtuous cycle of security and economic growth, in which economic growth promotes the improvement of the security environment surrounding Japan. Concurrently, Japan will ensure the self-reliance of its economic structure, as well as advantages over other countries and ultimately the indispensability of its technologies.  2 安全保障政策の遂行を通じて、我が国の経済が成長できる国際環境を主体的に確保する。それにより、我が国の経済成長が我が国を取り巻く安全保障環境の改善を促すという、安全保障と経済成長の好循環を実現する。その際、我が国の経済構造の自律性、技術等の他国に対する優位性、ひいては不可欠性を確保する。 
3.      As a major global actor, Japan will join together with its ally, like-minded countries and others to achieve a new balance in international relations, especially in the IndoPacific region. In so doing, Japan will prevent the emergence of situations in which any one state can unilaterally change the status quo easily, and redouble efforts to secure a stable, predictable, free and open international order based on the rule of law.  3 国際社会の主要なアクターとして、同盟国・同志国等と連携し、国際関係における新たな均衡を、特にインド太平洋地域において実現する。それにより、特定の国家が一方的な現状変更を容易に行い得る状況となることを防ぎ、安定的で予見可能性が高く、法の支配に基づく自由で開かれた国際秩序を強化する。 
4.      Japan will work on multilateral cooperation in the fields of international economy, response to global issues such as climate change and infectious diseases, and the formation of international rules and regulations, and then generate an environment in which the international community can coexist and coprosper.  4 国際経済や、気候変動、感染症等の地球規模課題への対応、国際的なルールの形成等の分野において、多国間の協力を進め、国際社会が共存共栄できる環境を実現する。 
VI Strategic Approaches Prioritized by Japan  Ⅵ 我が国が優先する戦略的なアプローチ 
 Japan will implement strategic approaches to achieve its national security objectives, harnessing its comprehensive national power as an integrated and efficient means.  我が国は、我が国の安全保障上の目標を達成するために、我が国の総合的な国力をその手段として有機的かつ効率的に用いて、戦略的なアプローチを実施する。 
1. Main Elements of Comprehensive National Power for Japan’s National Security  1 我が国の安全保障に関わる総合的な国力の主な要素 
(1)    First is diplomatic capabilities. The basis of national security is to proactively create a peaceful, stable, and highly predictable international environment based on the rule of law and to prevent the emergence of threats. Over the years, Japan has devoted itself to diplomatic undertakings and international cooperation to promote peace, stability, and prosperity worldwide. Rooted in these traditions and experiences, and guided by significantly enhanced diplomatic implementation architecture, Japan will continue to nurture relations of trust with many countries, engage in diplomatic efforts to gain understanding and support for its country's position, and carry forward international cooperation with the aim of pursuing coexistence and coprosperity with other countries.  ⑴ 第一に外交力である。国家安全保障の基本は、法の支配に基づき、平和で安定し、かつ予見可能性が高い国際環境を能動的に創出し、脅威の出現を未然に防ぐことにある。我が国は、長年にわたり、国際社会の平和と安定、繁栄のための外交活動や国際協力を行ってきた。その伝統と経験に基づき、大幅に強化される外交の実施体制の下、今後も、多くの国と信頼関係を築き、我が国の立場への理解と支持を集める外交活動や他国との共存共栄のための国際協力を展開する。 
(2)    Second is defense capabilities. These capabilities are the last guarantee of Japan’s national security and embody the will and ability to resolutely defend our nation. In light of the current reality of the world, this function cannot be replaced by any other means. By means of defense capabilities, Japan will deter threats from reaching it, and if threats are indeed posed to Japan, it will disrupt and defeat them. In addition, fundamentally reinforced defense capabilities will bolster the solid footing of our diplomacy for proactively fostering a desirable security environment for Japan.  ⑵ 第二に防衛力である。防衛力は、我が国の安全保障を確保するための最終的な担保であり、我が国を守り抜く意思と能力を表すものである。国際社会の現実を見れば、この機能は他の手段では代替できない。防衛力により、我が国に脅威が及ぶことを抑止し、仮に我が国に脅威が及ぶ場合にはこれを阻止し、排除する。そして、抜本的に強化される防衛力は、我が国に望ましい安全保障環境を能動的に創出するための外交の地歩を固めるものとなる。 
(3)    Third is economic capabilities. Economic capabilities are the foundation of policies to achieve a peaceful and stable security environment. As the world's third largest economy and a major player in shouldering an open and stable international economic order, Japan will undertake free and fair trade and investment activities. In addition, Japan will provide high value-added goods and services that are indispensable to the global supply chain to accomplish its economic growth.  ⑶ 第三に経済力である。経済力は、平和で安定した安全保障環境を実現するための政策の土台となる。我が国は、世界第三位の経済大国であり、開かれ安定した国際経済秩序の主要な担い手として、自由で公正な貿易・投資活動を行う。また、グローバル・サプライチェーンに不可欠な高付加価値のモノとサービスを提供し、我が国の経済成長を実現していく。 
(4)    Fourth is technological capabilities. The creation of science, technology, and innovation is the source of Japan’s own economic and social development. In addition, the appropriate use of technological capabilities plays a crucial role in improving Japan’s national security environment and is also indispensable in addressing global issues such as climate change. Japan will actively capitalize on its advanced technological capabilities, developed over the years in the public and private sectors in the field of national security,, without being bound by its conventional way of thinking.  ⑷ 第四に技術力である。科学技術とイノベーションの創出は、我が国の経済的・社会的発展をもたらす源泉である。そして、技術力の適切な活用は、我が国の安全保障環境の改善に重要な役割を果たし、気候変動等の地球規模課題への対応にも不可欠である。我が国が長年にわたり培ってきた官民の高い技術力を、従来の考え方にとらわれず、安全保障分野に積極的に活用していく。 
(5)    Fifth is intelligence capabilities. In a rapidly and complexly changing security environment, the collection and analysis of high-quality and timely information is essential for the Government to make accurate decisions. To this end, under close cooperation between the policy and intelligence departments, and through comprehensive analyses utilizing all means of collection and sources of information possessed by the Government, information on national security should be obtained as early and accurately as possible, and shared and utilized within and outside the Government. In addition, the Government and the private sector will work on information security to prevent leakage of critical information on its national security.  ⑸ 第五に情報力である。急速かつ複雑に変化する安全保障環境において、政府が的確な意思決定を行うには、質が高く時宜に適った情報収集・分析が不可欠である。そのために、政策部門と情報部門との緊密な連携の下、政府が保有するあらゆる情報収集の手段と情報源を活用した総合的な分析により、安全保障に関する情報を可能な限り早期かつ正確に把握し、政府内外での共有と活用を図る。また、我が国の安全保障上の重要な情報の漏洩を防ぐために、官民の情報保全に取り組む。 
2. Strategic Approaches and Major Ways and Means  2 戦略的なアプローチとそれを構成する主な方策 
(1) Develop Efforts Centered on Diplomacy to Prevent Crises, Proactively Create a Peaceful and Stable International Environment, and Strengthen a Free and Open International Order (i) Strengthen the Japan-U.S. Alliance  ⑴ 危機を未然に防ぎ、平和で安定した国際環境を能動的に創出し、自由で開かれた国際秩序を強化するための外交を中心とした取組の展開ア 日米同盟の強化 
The Japan-U.S. Alliance, with the Japan-U.S. security arrangements at its core, plays an indispensable role not only for the security of Japan but also for the realization of peace and stability in the international community, including in the Indo-Pacific region. In particular, for the U.S. commitment to the region to be maintained and strengthened, deepened cooperation between Japan and the U.S. at a concrete level in the Indo-Pacific region is of vital importance. Bearing these considerations in mind, Japan, while ensuring the bilateral coordination at its strategic levels, will work in coordination with the United States to strengthen the Japan-U.S. Alliance in all areas, including diplomacy, defense, and economy.  日米安全保障体制を中核とする日米同盟は、我が国の安全保障のみならず、インド太平洋地域を含む国際社会の平和と安定の実現に不可欠な役割を果たす。特に、インド太平洋地域において日米の協力を具体的に深化させることが、米国のこの地域へのコミットメントを維持・強化する上でも死活的に重要である。これらのことも念頭に、日米の戦略レベルで連携を図り、米国と共に、外交、防衛、経済等のあらゆる分野において、日米同盟を強化していく。 
(ii) Maintain and Develop a Free and Open International Order and Strengthen Ties with its Ally, Like-minded Countries and Others  イ 自由で開かれた国際秩序の維持・発展と同盟国・同志国等との連携の強化 
As a nation in the Indo-Pacific region, Japan will further promote efforts to realize a FOIP by deepening cooperation with like-minded countries through the Japan-U.S. Alliance as a cornerstone and through efforts such as the Japan-U.S.-Australia-India (Quad) partnership. To this end, Japan will strive to make the vision of a FOIP more universal around the world, create rules to expand the free and fair economic zone, improve connectivity, empower governance of countries and international organizations, and expand efforts to ensure maritime security.  我が国は、インド太平洋地域に位置する国家として、日米同盟を基軸としつつ、日米豪印(クアッド)等の取組を通じて、同志国との協力を深化し、FOIPの実現に向けた取組を更に進める。そのために、FOIPというビジョンの国際社会における更なる普遍化、自由で公正な経済圏を広げるためのルール作り、連結性の向上、各国・国際機関のガバナンスの強化、海洋安全保障の確保等の取組を拡充していく。 
Japan will also further enhance diplomatic engagement with developing countries, which are economically growing and becoming more influential in the international arena. By doing so, Japan, together with as many countries as possible, will strengthen a free and open international order based on the rule of law.  また、経済的にも発展し、国際社会における影響力が高まっている途上国等への外交的な関与を更に強化する。そのことにより、できるだけ多くの国と共に、法の支配に基づく自由で開かれた国際秩序を強化する。 
Furthermore, Japan will build a multilayered network among its ally and like-minded countries, expand it, and strengthen deterrence. Thus, while utilizing frameworks such as the Japan-U.S.-ROK, and Japan-U.S.-Australia, Japan will enhance security cooperation with Australia, India, the ROK, European countries, ASEAN countries, Canada, NATO, EU, and others. Specifically, Japan will promote enhanced engagement with like-minded countries and others in the Indo-Pacific region through bilateral and multilateral dialogues, bilateral training and exercises, conclusions of information protection agreements, Acquisition and Cross-Servicing Agreement (ACSA), Reciprocal Access Agreement (RAA), joint development of defense equipment, transfer of defense equipment and technology, capacity building support, strategic communication, and Flexible Deterrent Options (FDO).  さらに、同盟国・同志国間のネットワークを重層的に構築するとともに、それを拡大し、抑止力を強化していく。そのために、日米韓、日米豪等の枠組みを活用しつつ、オーストラリア、インド、韓国、欧州諸国、東南アジア諸国連合(ASEAN)諸国、カナダ、北大西洋条約機構(NATO)、欧州連合(EU)等との安全保障上の協力を強化する。具体的には、二国間・多国間の対話を通じた同志国等のインド太平洋地域への関与の強化の促進、共同訓練、情報保護協定・物品役務相互提供協定(ACSA)・円滑化協定(RAA)の締結、防衛装備品の共同開発、防衛装備品の移転、能力構築支援、戦略的コミュニケーション、柔軟に選択される抑止措置(FDO)等の取組を進める。 
(iii) Strengthen Diplomacy with Japan's Neighboring Countries and Regions as well as Efforts toward Resolution of Various Issues of Concern, including Territorial Issues  ウ 我が国周辺国・地域との外交、領土問題を含む諸懸案の解決に向けた取組の強化 
Both Japan and China have important responsibilities for the peace and prosperity of the region and the international community. Japan will build a “constructive and stable relationship” with China through communication at various levels, in which Japan asserts its position and calls for responsible actions, while continuing dialogue including on issues of concern and cooperation on matters of common interests. This is essential for peace and stability in the international community, including in the IndoPacific region.  日中両国は、地域と国際社会の平和と繁栄にとって、共に重要な責任を有する。我が国は、中国との間で、様々なレベルの意思疎通を通じて、主張すべきは主張し、責任ある行動を求めつつ、諸懸案も含め対話をしっかりと重ね、共通の課題については協力をしていくとの「建設的かつ安定的な関係」を構築していく。このことは、インド太平洋地域を含む国際社会の平和と安定にとって不可欠である。 
Japan will strongly oppose China's growing attempts to unilaterally change the status quo by force, demand it to not conduct such activities, and respond in a calm and resolute manner. Additionally, with regard to China's rapid strengthening of its military capabilities and expansion of military activities, Japan will strongly encourage China to improve transparency and to cooperate constructively with international efforts for arms control, disarmament and other such efforts, in cooperation with its ally, likeminded countries and others. Furthermore, in order to nurture a relationship of trust, Japan will enhance communication with China in the security field. Japan will also promote efforts, including the establishment of a framework for avoiding and preventing the occurrence of unforeseen situations with China.   中国が力による一方的な現状変更の試みを拡大していることについては、これに強く反対し、そのような行為を行わないことを強く求め、冷静かつ毅然として対応する。また、中国の急速な軍事力の強化及び軍事活動の拡大に関しては、透明性等を向上させるとともに、国際的な軍備管理・軍縮等の努力に建設的な協力を行うよう同盟国・同志国等と連携し、強く働きかける。そして、日中間の信頼の醸成のため、中国との安全保障面における意思疎通を強化する。加えて、中国との間における不測の事態の発生を回避・防止するための枠組みの構築を含む日中間の取組を進める。 
At the same time, based on the recognition that it is possible to cooperate with China in the fields of economy and people-to-people exchange in a mutually beneficial way, Japan will develop appropriate economic relations in a manner that contributes to Japan’s economic development and economic security, and revitalize people to people exchanges with China. In addition, in cooperation with its ally and like-minded countries as well as with international organizations and others, Japan will cooperate with China in areas that need to be tackled together such as global issues, while encouraging China to comply with international rules and standards, increase its own transparency and predictability, and play a responsible and constructive role commensurate with its international influence.  同時に、経済、人的交流等の分野において日中双方の利益となる形での協力は可能であり、我が国経済の発展と経済安全保障に資する形で、中国との適切な経済関係を構築しつつ、両国の人的交流を再活性化していく。また、同盟国・同志国や国際機関等と連携し、中国が、国際的なルール・基準を遵守し、自国の透明性と予見可能性を高め、地球規模課題等について協力すべきは協力しつつ、その国際的な影響力にふさわしい責任ある建設的な役割を果たすように促す。 
Japan's relationship with Taiwan has been maintained as a non-governmental working relationship based on the Japan-China Joint Communique in 1972. Japan’s basic position regarding Taiwan remains unchanged. Taiwan is an extremely important partner and a precious friend of Japan, with whom Japan shares fundamental values, including democracy, and has close economic and personal ties. Peace and stability across the Taiwan Strait is an indispensable element for the security and prosperity of the international community, and Japan will continue to make various efforts based on its position that the cross-strait issues are expected to be resolved peacefully.  台湾との関係については、我が国は、1972 年の日中共同声明を踏まえ、非政府間の実務関係として維持してきており、台湾に関する基本的な立場に変更はない。台湾は、我が国にとって、民主主義を含む基本的な価値観を共有し、緊密な経済関係と人的往来を有する極めて重要なパートナーであり、大切な友人である。また、台湾海峡の平和と安定は、国際社会の安全と繁栄に不可欠な要素であり、両岸問題の平和的解決を期待するとの我が国の立場の下、様々な取組を継続していく。 
The ROK is a highly important neighboring country to Japan both in a geopolitical context and in regard to Japan's security. With the response to North Korea and other issues in mind, Japan will enhance Japan-ROK and Japan-U.S.-ROK strategic coordination, including in the area of security. To this end, Japan will communicate closely with the ROK in order to develop Japan-ROK relations based on the foundation of the friendly and cooperative relations that have developed since the normalization of diplomatic relations in 1965. Japan will also appropriately address issues of concern between the two nations, based on its consistent positions. With regard to the issue over the sovereignty of Takeshima, which is an inherent territory of Japan, Japan will make persevering diplomatic efforts, based on the principle of peaceful resolution of conflicts in accordance with international law, and responding firmly based on the consistent position of Japan.  韓国は、地政学的にも我が国の安全保障にとっても極めて重要な隣国である。北朝鮮への対応等を念頭に、安全保障面を含め、日韓・日米韓の戦略的連携を強化していく。そのためにも、1965 年の国交正常化以来築いてきた日韓の友好協力関係の基盤に基づき日韓関係を発展させていくべく、韓国側と緊密に意思疎通を図っていく。二国間の諸懸案については、我が国の一貫した立場に基づいて然るべく対応していく。我が国固有の領土である竹島の領有権に関する問題については、我が国の一貫した立場に基づき毅然と対応しつつ、国際法にのっとり、平和的に紛争を解決するとの方針に基づき、粘り強く外交努力を行う。 
With regard to North Korea’s nuclear and missile development, Japan will urge North Korea to take concrete actions toward its complete denuclearization, based on the Joint Statement of the Six-Party Talks and relevant UN Security Council resolutions through strengthening regional deterrence, fully implementing sanctions against North Korea, including those based on UN Security Council resolutions, and pursuing diplomatic efforts in close coordination with the U.S. and the ROK. Concerning JapanNorth Korea relations, Japan will endeavor to achieve a comprehensive resolution of outstanding issues of concern, such as the abductions, nuclear and missile issues, in accordance with the Japan-DPRK Pyongyang Declaration. In particular, it is the basic recognition of Japan that normalization of relations with North Korea will not be possible without resolving the abductions issue, a serious humanitarian issue with a time constraint. Japan will make every effort to ensure the safety of all abductees and realize their immediate return at the earliest possible date, investigate the truth regarding the abductions, and transfer those who executed the abductions.  北朝鮮による核・ミサイル開発に関しては、米国及び韓国と緊密に連携しつつ、地域の抑止力の強化、国連安保理決議に基づくものを含む対北朝鮮制裁の完全な履行及び外交的な取組を通じ、六者会合共同声明や国連安保理決議に基づく北朝鮮の完全な非核化に向けた具体的行動を北朝鮮に対して求めていく。また、日朝関係については、日朝平壌宣言に基づき、拉致・核・ミサイルといった諸懸案の包括的な解決に向けて取り組んでいく。とりわけ、拉致問題については、時間的な制約のある深刻な人道問題であり、この問題の解決なくして北朝鮮との国交正常化はあり得ないとの基本認識の下、一日も早い全ての拉致被害者の安全確保及び即時帰国、拉致に関する真相究明、拉致実行犯の引渡しに向けて全力を尽くす。 
With regard to the relations with Russia, Japan will respond in a manner that protects its own national interests in light of the severe security environment in the Indo-Pacific region. In addition, Japan will prevent Russia from taking actions that undermine the peace, stability, and prosperity of the international community, while cooperating with its ally and like-minded countries and others. As for the Northern Territories issue, which is the greatest concern regarding our diplomacy with Russia, Japan’s basic policy of concluding a peace treaty through the resolution of the territorial issue remains unchanged.  ロシアとの関係については、インド太平洋地域の厳しい安全保障環境を踏まえ、我が国の国益を守る形で対応していく。また、同盟国・同志国等と連携しつつ、ロシアによる国際社会の平和と安定及び繁栄を損なう行動を防ぐ。対露外交上の最大の懸案である北方領土問題については、領土問題を解決して平和条約を締結するとの基本方針は不変である。 
(iv) Arms Control, Disarmament, and Non-proliferation  エ 軍備管理・軍縮・不拡散 
Japan will further strengthen its efforts in arms control, disarmament, and nonproliferation, in order to improve its security environment and realize peace and stability around the world by halting and reversing the trend of arms buildup, including nuclear weapons, in the vicinity of Japan, and to prevent the occurrence of situations such as threats of nuclear weapons. Specifically, Japan, as the only country to have ever suffered atomic bombings in war, will spearhead international efforts in realizing a "world without nuclear weapons.” Taking into account regional non-proliferation issues such as North Korea and Iran, Japan will maintain and strengthen the international nuclear disarmament and non-proliferation regime, with the Nuclear Non-proliferation Treaty (NPT) at its cornerstone, and steadily promote practical and realistic efforts while appropriately addressing present international security challenges.   我が国周辺における核兵器を含む軍備増強の傾向を止め、これを反転させ、核兵器による威嚇等の事態の生起を防ぐことで、我が国を取り巻く安全保障環境を改善し、国際社会の平和と安定を実現する。そのために、軍備管理・軍縮・不拡散の取組を一層強化する。具体的には、唯一の戦争被爆国として、「核兵器のない世界」の実現に向けた国際的な取組を主導する。北朝鮮、イラン等の地域の不拡散問題も踏まえ、核兵器不拡散条約(NPT)を礎石とする国際的な核軍縮・不拡散体制を維持・強化し、現実の国際的な安全保障上の課題に適切に対処しつつ、実践的・現実的な取組を着実に進める。 
In addition, Japan will undertake non-proliferation policy with a focus on preserving and bolstering the international export control regime to prevent the proliferation of weapons and related sensitive technologies, implementing appropriate nonproliferation measures domestically, and supporting capacity building of each country.   また、武器や関連機微技術の拡散防止のための国際輸出管理レジームの維持・強化、我が国国内における不拡散措置の適切な実施や、各国の能力構築支援を柱として不拡散政策に取り組む。 
With regard to biological, chemical, and conventional weapons, Japan will actively engage in multilateral efforts and rule-making, including on the Lethal Autonomous Weapons Systems (LAWS).  生物兵器、化学兵器及び通常兵器についても、自律型致死兵器システム(LAWS)を含め、多国間での取組、ルール作り等に積極的に取り組む。 
(v) International Counter-Terrorism  オ 国際テロ対策 
Acts of terrorism are unjustifiable regardless of their motivation and must be firmly condemned. Japan will take a firm position against them and take counter-terrorism measures in coordination with the international community. In this regard, Japan will promote measures against international terrorism and take thorough steps to ensure the security of critical facilities for the livelihoods of its people such as nuclear power plants in Japan. Furthermore, Japan will build arrangements to cooperate with others such as foreign countries and corporate enterprises, including information sharing, to ensure the safety of Japanese nationals and others overseas.   テロはいかなる理由をもってしても正当化できず、強く非難されるべきものであり、国際社会と共に、断固とした姿勢を示し、テロ対策を講じていく。具体的には、国際テロ対策を推進し、また、原子力発電所等の重要な生活関連施設の安全確保に関する我が国国内での対策を徹底する。 
In addition, Japan will reinforce its mechanisms and capabilities for collecting and analyzing information on the international terrorism situation.  さらに、在外邦人等の安全を確保するための情報の共有を始め、各国、民間企業等との協力体制を構築する。また、国際テロ情勢に関する情報収集・分析の体制や能力を強化する。 
(vi) Climate Change Measures  カ 気候変動対策 
Climate change is a security issue that affects the very existence of humankind. Extreme weather events due to climate change significantly impact Japan's national security in various ways including through more frequent and severer natural disasters, increased responses to disasters, more serious energy and food problems, a decrease in national land area, and increased use of the Arctic sea routes.   気候変動は、人類の存在そのものに関わる安全保障上の問題であり、気候変動がもたらす異常気象は、自然災害の多発・激甚化、災害対応の増加、エネルギー・食料問題の深刻化、国土面積の減少、北極海航路の利用の増加等、我が国の安全保障に様々な形で重大な影響を及ぼす。 
Japan will lead the way in advancing efforts both at home and abroad with all stakeholders, including its ally and like-minded countries. Specifically, Japan will embark on initiatives toward the realization of a decarbonized society through structural transformation of the energy and industrial sectors, including maximizing the use of renewable and nuclear energies, and the creation of innovation through bold investments in order to reduce greenhouse gas emissions by 46% from FY 2013 in FY 2030, and realize net-zero by 2050.   同盟国・同志国を含むあらゆるステークホルダーと連携して、国内外での取組を主導していく。具体的には、2030 年度において温室効果ガスを 2013 年度から 46%削減、2050 年までのカーボンニュートラル実現に向けた、再生可能エネルギーや原子力の最大限の活用を始めとするエネルギー・産業部門の構造転換、大胆な投資によるイノベーションの創出等を通じ、脱炭素社会の実現に向けて取り組む。 
Japan will also stand at the forefront in galvanizing global efforts for minimizing negative impacts of climate change upon the international security environment. As part of these efforts, Japan will provide assistance to island nations and other developing countries where climate change poses imminent threats so that sustainable and resilient economies and societies can be built.  また、気候変動が国際的な安全保障環境に与える否定的な影響を最小限のものとするよう、国際社会での取組を主導する。その一環として、気候変動問題が切迫した脅威となっている島嶼国を始めとする途上国等に対して、持続可能で強靭な経済・社会を構築するための支援を行う。 
(vii) Strategic Use of ODA and Other International Cooperation  キ ODAを始めとする国際協力の戦略的な活用 
Guided by the vision of a FOIP, Japan will strategically utilize ODA to maintain and develop a free and open international order and to realize coexistence and coprosperity in the international community. Specifically, Japan will provide assistance to strengthen connectivity through quality infrastructure and human resource development, maritime security, the rule of law, and economic security, thereby strengthening relationships of trust and cooperation with developing countries and others. Japan will also engage with partners in the international community at large that support the vision of a FOIP.   FOIPというビジョンの下、自由で開かれた国際秩序を維持・発展させ、国際社会の共存共栄を実現するためにODAを戦略的に活用していく。具体的には、質の高いインフラ、人材育成等による連結性、海洋安全保障、法の支配、経済安全保障等の強化のための支援を行う。そのことにより、開発途上国等との信頼・協力関係を強化する。また、FOIPというビジョンに賛同する幅広い国際社会のパートナーとの協力を進める。 
Also, under the concept of "human security," Japan will lead international efforts to solve global issues such as poverty reduction, health, climate change, environment, and humanitarian assistance. In so doing, Japan will strengthen its support for overseas operation of Japanese companies, and enhance collaboration between ODA, and other non-ODA public funds. Japan will also continue to strengthen coordination with various stakeholders including international organizations and NGOs.  そして、人間の安全保障の考え方の下、貧困削減、保健、気候変動、環境、人道支援等の地球規模課題の解決のための国際的な取組を主導する。これらの取組を行うに当たり、我が国企業の海外展開の支援や、ODAとODA以外の公的資金との連携等を強化する。さらに、国際機関・NGOを始めとする多様なステークホルダーとの連携を引き続き強化する。 
For the purpose of deepening security cooperation with like-minded countries, apart from ODA for the economic and social development of developing countries and other purposes, a new cooperation framework for the benefit of armed forces and other related organizations will be established. Japan will provide equipment and supplies as well as assistance for the development of infrastructures to like-minded countries in view of strengthening their security capacities and improving their deterrence capabilities. This is part of the efforts to reinforce the comprehensive defense architecture.   同志国との安全保障上の協力を深化させるために、開発途上国の経済社会開発等を目的としたODAとは別に、同志国の安全保障上の能力・抑止力の向上を目的として、同志国に対して、装備品・物資の提供やインフラの整備等を行う、軍等が裨益者となる新たな協力の枠組みを設ける。これは、総合的な防衛体制の強化のための取組の一つである。 
(viii) Promotion of People-to-People Exchanges  ク 人的交流等の促進 
The promotion of mutual understanding among people and countries is the foundation for mitigating inter-state tensions and creating peaceful and stable international relations. With a view to promoting understanding of Japan abroad and fostering an international environment in which Japan and its people are favorably regarded, Japan will engage in people-to-people and cultural exchanges. Specifically, Japan will promote exchanges at various levels and in various fields, including exchanges with government officials, intellectuals, and cultural figures from countries and regions around the world, student exchanges, youth exchanges, sports exchanges, and others. In addition, Japan will support those programs intended to introduce the rich culture of Japan and to spread the Japanese language overseas.  人と人、国と国の相互理解の増進は、国家間の緊張を緩和し、平和で安定した国際関係を築く土台となる。海外における日本への理解を促進し、我が国と国民が好意的に受け入れられる国際環境を醸成するために、人的交流、文化交流等に取り組む。具体的には、各国・地域の政府関係者、有識者、文化人等との交流、留学生交流、青少年交流、スポーツ交流等、様々なレベル・分野での人的交流を促進する。さらに、豊かな我が国の文化の海外への紹介、海外での日本語の普及に対する支援等を行う。 
(2) Strengthening Japan's Defense Architecture ⑵ 我が国の防衛体制の強化 
 (i) Fundamentally Reinforcing Defense Capabilities as the Last Guarantee of National Security  ア 国家安全保障の最終的な担保である防衛力の抜本的強化 
Across the globe, unilateral attempts to change the status quo by force are constantly taking place, and military buildups in the vicinity of Japan are rapidly expanding. The possibilities are not precluded that serious situations shaking the foundation of the international order, such as Russia's aggression against Ukraine, may occur especially in East Asia in the future. In order to respond to this security environment, Japan will fundamentally reinforce its defense capabilities.  国際社会において、力による一方的な現状変更及びその試みが恒常的に生起し、我が国周辺における軍備増強が急速に拡大している。ロシアによるウクライナ侵略のように国際秩序の根幹を揺るがす深刻な事態が、将来、とりわけ東アジアにおいて発生することは排除されない。このような安全保障環境に対応すべく、防衛力を抜本的に強化していく。 
It is difficult to accurately predict when an entity with powerful military capabilities will come to have an intention to directly threaten other countries. Therefore, Japan must pay attention to the capabilities of such actors and develop defense capabilities to take all possible measures to ensure the security of Japan in peacetime. Moreover, Japan's defense capabilities must be able to respond to new ways of warfare as a result of advances in science and technology.   そして、強力な軍事能力を持つ主体が、他国に脅威を直接及ぼす意思をいつ持つに至るかを正確に予測することは困難である。したがって、そのような主体の能力に着目して、我が国の安全保障に万全を期すための防衛力を平素から整備しなければならない。また、我が国の防衛力は、科学技術の進展等に伴う新しい戦い方にも対応できるものでなくてはならない。 
From this perspective, Japan will respond to situations in a multi-layered way by cross domain operational capabilities that enhance the Japan Self-Defense Forces (SDF) capabilities overall, through the synergy of organically integrated capabilities in space, cyberspace, and electromagnetic domains as well as in ground, maritime and air, and by stand-off defense capabilities and other capabilities that will enable us to respond to invading forces from outside the sphere of threats. In addition to manned assets, by reinforcing unmanned defense and other capabilities, Japan will establish defense capabilities where various capabilities are integrated. Furthermore, in order to maximize effective use of the current defense equipment, Japan will further enhance the effectiveness of defense capabilities by improving mobility, securing ammunition and fuel, and hardening major defense facilities as a top priority.  このような視点に立ち、宇宙・サイバー・電磁波の領域及び陸・海・空の領域における能力を有機的に融合し、その相乗効果により自衛隊の全体の能力を増幅させる領域横断作戦能力に加え、侵攻部隊に対し、その脅威圏の外から対処するスタンド・オフ防衛能力等により、重層的に対処する。また、有人アセットに加え、無人アセット防衛能力も強化すること等により、様々な防衛能力が統合された防衛力を構築していく。さらに、現有装備品を最大限有効に活用するため、可動率向上や弾薬・燃料の確保、主要な防衛施設の強靭化により、防衛力の実効性を一層高めていくことを最優先課題として取り組む。 
A key to deterring invasion against Japan is counterstrike capabilities that leverage stand-off defense capability and other capabilities. In recent years, in Japan’s surroundings, there have been dramatic advances in missile-related technologies, including hypersonic weapons, and practical skills for missile operations, such as saturation attack. Missile forces in the region have significantly improved in both qualitative and quantitative terms, and missiles themselves have been repeatedly launched. Missile attacks against Japan have become a palpable threat. Under these circumstances, Japan will continue its steadfast efforts to both qualitatively and quantitatively enhance its missile defense capabilities by continuing to develop technologies that bring the ability to deal with missiles with irregular trajectories.  我が国への侵攻を抑止する上で鍵となるのは、スタンド・オフ防衛能力等を活用した反撃能力である。近年、我が国周辺では、極超音速兵器等のミサイル関連技術と飽和攻撃など実戦的なミサイル運用能力が飛躍的に向上し、質・量ともにミサイル戦力が著しく増強される中、ミサイルの発射も繰り返されており、我が国へのミサイル攻撃が現実の脅威となっている。こうした中、今後も、変則的な軌道で飛翔するミサイル等に対応し得る技術開発を行うなど、ミサイル防衛能力を質・量ともに不断に強化していく。  
Looking ahead, however, if Japan continues to rely solely upon ballistic missile defenses, it will become increasingly difficult to fully address missile threats with the existing missile defense network alone. For this reason, we need counterstrike capabilities: capabilities which, in the case of missile attacks by an opponent, enable Japan to mount effective counterstrikes against the opponent to prevent further attacks while defending against incoming missiles by means of the missile defense network.  しかしながら、弾道ミサイル防衛という手段だけに依拠し続けた場合、今後、この脅威に対し、既存のミサイル防衛網だけで完全に対応することは難しくなりつつある。このため、相手からミサイルによる攻撃がなされた場合、ミサイル防衛網により、飛来するミサイルを防ぎつつ、相手からの更なる武力攻撃を防ぐために、我が国から有効な反撃を相手に加える能力、すなわち反撃能力を保有する必要がある。 
Counterstrike capabilities are SDF’s capabilities that leverage stand-off defense capability and other capabilities. In cases where armed attack against Japan has occurred, and as part of that attack ballistic missiles and other means have been used, counterstrike capabilities enable Japan to mount effective counterstrikes against the opponent’s territory. Counterstrikes are done as a minimum necessary measure for selfdefense and in accordance with the Three New Conditions for Use of Force.  この反撃能力とは、我が国に対する武力攻撃が発生し、その手段として弾道ミサイル等による攻撃が行われた場合、武力の行使の三要件に基づき、そのような攻撃を防ぐのにやむを得ない必要最小限度の自衛の措置として、相手の領域において、我が国が有効な反撃を加えることを可能とする、スタンド・オフ防衛能力等を活用した自衛隊の能力をいう。 
By possessing such capabilities to mount effective counterstrikes, Japan will deter armed attack itself. If an opponent ever launches missiles, it will be able to prevent the opponent’s further armed attacks by counterstrike capabilities, while protecting itself against incoming missiles by the missile defense network, thereby defending the lives and peaceful livelihoods of Japanese nationals.  こうした有効な反撃を加える能力を持つことにより、武力攻撃そのものを抑止する。その上で、万一、相手からミサイルが発射される際にも、ミサイル防衛網により、飛来するミサイルを防ぎつつ、反撃能力により相手からの更なる武力攻撃を防ぎ、国民の命と平和な暮らしを守っていく。 
Counterstrike capabilities are the capabilities on which the Government expressed its view on February 29, 1956, which stated that, under the Constitution, “as long as it is deemed that there are no other means to defend against attack by guided missiles and others, to hit the bases of those guided missiles and others is legally within the purview of self-defense and thus permissible.” These are also capabilities that the Government has chosen not to acquire up to now as a matter of policy decision.  この反撃能力については、1956 年2月 29 日に政府見解として、憲法上、「誘導弾等による攻撃を防御するのに、他に手段がないと認められる限り、誘導弾等の基地をたたくことは、法理的には自衛の範囲に含まれ、可能である」としたものの、これまで政策判断として保有することとしてこなかった能力に当たるものである。 
This Government view squarely applies to measures for self-defense taken under the Three New Conditions for Use of Force, presented in the 2015 Legislation for Peace and Security, and the capabilities that Japan has now decided to acquire can be used when the above-mentioned Three Conditions are met in compliance with this view.  この政府見解は、2015 年の平和安全法制に際して示された武力の行使の三要件の下で行われる自衛の措置にもそのまま当てはまるものであり、今般保有することとする能力は、この考え方の下で上記三要件を満たす場合に行使し得るものである。 
Counterstrike capabilities fall within the purview of Japan’s Constitution and international law; they do not change Japan’s exclusively defense-oriented policy; and, they will be used only when the above-mentioned Three New Conditions are fulfilled. Needless to say, preemptive strikes, namely striking first at a stage when no armed attack has occurred, remain impermissible.  この反撃能力は、憲法及び国際法の範囲内で、専守防衛の考え方を変更するものではなく、武力の行使の三要件を満たして初めて行使され、武力攻撃が発生していない段階で自ら先に攻撃する先制攻撃は許されないことはいうまでもない。 
While the basic division of roles between Japan and the United States will remain unchanged, as Japan will now possess counterstrike capabilities, the two nations will cooperate in counterstrikes just as they do in defending against ballistic missiles and others.  また、日米の基本的な役割分担は今後も変更はないが、我が国が反撃能力を保有することに伴い、弾道ミサイル等の対処と同様に、日米が協力して対処していくこととする。 
Furthermore, Japan will consistently strengthen coordination and cooperation between the SDF and the Japan Coast Guard (JCG), including control over the Japan Coast Guard (JCG) by the Minister of Defense in the event of a contingency.  さらに、有事の際の防衛大臣による海上保安庁に対する統制を含め、自衛隊と海上保安庁との連携・協力を不断に強化する。 
Flexible Deterrent Options (FDO) utilizing SDF assets in the form of crossgovernmental coordination will also be implemented.  また、政府横断的な連携を図る形での自衛隊のアセットを活用した柔軟に選択される抑止措置(FDO)等を実施する。 
In light of Japan’s current security environment, Japan will need to promptly realize the fundamental reinforcement of its defense capabilities. Specifically, by FY 2027, five years after the formulation of the Strategy, Japan will strengthen its defense capabilities to the point at which Japan is able to take the primary responsibility for dealing with invasions against its nation, and disrupt and defeat such threats while gaining the support of its ally and others. Furthermore, by approximately ten years from now, Japan will reinforce its defense capabilities to the point at which it will be possible to disrupt and defeat invasions against its nation much earlier and at a further distance. In addition, as a top priority in five years from now, Japan will maximize effective use of its current equipment, while strengthening its core capabilities for the future of the SDF.  現下の我が国を取り巻く安全保障環境を踏まえれば、我が国の防衛力の抜本的強化は、速やかに実現していく必要がある。具体的には、本戦略策定から5年後の2027年度までに、我が国への侵攻が生起する場合には、我が国が主たる責任をもって対処し、同盟国等の支援を受けつつ、これを阻止・排除できるように防衛力を強化する。さらに、おおむね10年後までに、より早期かつ遠方で我が国への侵攻を阻止・排除できるように防衛力を強化する。さらに、今後5年間の最優先課題として、現有装備品の最大限の有効活用と、将来の自衛隊の中核となる能力の強化に取り組む。 
The above measures related to the development of the SDF architecture and defense policies will entail unprecedented undertakings in terms of size and content. The fundamental reinforcement of defense capabilities will not be achieved by a temporary increase in spending, but rather, the Government will be required to maintain a certain level of expenditure. Hence, these policies will be delivered in accordance with the National Defense Strategy and the Defense Program based on this National Security Strategy. Japan will also need to take appropriate measures for securing stable fiscal resources.  上記の自衛隊の体制整備や防衛に関する施策は、かつてない規模と内容を伴うものである。また、防衛力の抜本的強化は、一時的な支出増では対応できず、一定の支出水準を保つ必要がある。そのため、これら施策は、本戦略を踏まえ、国家防衛戦略及び防衛力整備計画に基づき実現するとともに、その財源についてしっかりした措置を講じ、これを安定的に確保していく。 
In FY 2027, as per its own judgement, Japan will take the necessary measures to make the level of its budget, for both the fundamental reinforcement of defense capabilities and complementary initiatives, reach 2% of the current GDP, through building on the contents of necessary defense capabilities, and by taking into account indexes of international comparison, with a view to coordination with its ally, likeminded countries and others.  このように、必要とされる防衛力の内容を積み上げた上で、同盟国・同志国等との連携を踏まえ、国際比較のための指標も考慮し、我が国自身の判断として、2027 年度において、防衛力の抜本的強化とそれを補完する取組をあわせ、そのための予算水準が現在の国内総生産(GDP)の2%に達するよう、所要の措置を講ずる。 
(ii) Coordinating with Reinforced Comprehensive Defense Architecture.  イ 総合的な防衛体制の強化との連携等 
The core effort in addressing Japan's defense challenges will be to fundamentally reinforce its defense capabilities. However, because of wide-ranging security targets and fields, Japan will utilize not only its defense capabilities but also its comprehensive national power, including diplomatic and economic capabilities, to defend itself. With this in mind, Japan will reinforce its comprehensive defense architecture by promoting efforts in four areas that complement and are inseparable from the fundamental reinforcement of defense capabilities under the frameworks of relevant ministries and agencies, namely research and development, public infrastructure development, cyber security, and international cooperation, to enhance deterrence capabilities of Japan and like-minded countries.   我が国の防衛上の課題に対応する上で、防衛力の抜本的強化がその中核となる。しかし、安全保障の対象・分野が多岐にわたるため、防衛力のみならず、外交力・経済力を含む総合的な国力を活用し、我が国の防衛に当たる。このような考えの下、防衛力の抜本的強化を補完し、それと不可分一体のものとして、研究開発、公共インフラ整備、サイバー安全保障、我が国及び同志国の抑止力の向上等のための国際協力の四つの分野における取組を関係省庁の枠組みの下で推進し、総合的な防衛体制を強化する。 
In addition to this, Japan will promote cooperation with organizations inside and outside the Government, including local public authorities, to develop its defense architecture as a whole.  これに加え、地方公共団体を含む政府内外の組織との連携を進め、国全体の防衛体制を強化する。 
(iii) Reinforcing Defense Production and Technology Base as Defense Capabilities Themselves  ウ いわば防衛力そのものとしての防衛生産・技術基盤の強化 
Japan's defense production and technology base is an indispensable foundation for ensuring stable research and development, production, and procurement of defense equipment in Japan. Therefore, Japan will advance defense production and technology bases because they are characterized as defense capabilities themselves. Specifically, in order to build a strong and sustainable defense industry, Japan will promote various initiatives, including making business projects more attractive and actively leveraging the outcomes of advanced technological research in the public and private sectors for research and development of defense equipment. Japan will also reinforce the system for research and development of new defense equipment and take other measures.  我が国の防衛生産・技術基盤は、自国での防衛装備品の研究開発・生産・調達の安定的な確保等のために不可欠な基盤である。したがって、我が国の防衛生産・技術基盤は、いわば防衛力そのものと位置付けられるものであることから、その強化は必要不可欠である。具体的には、力強く持続可能な防衛産業を構築するために、事業の魅力化を含む各種取組を政府横断的に進めるとともに、官民の先端技術研究の成果の防衛装備品の研究開発等への積極的な活用、新たな防衛装備品の研究開発のための態勢の強化等を進める。 
(iv) Promoting Transfer of Defense Equipment and Technology  エ 防衛装備移転の推進 
Transfer of defense equipment and technology overseas is a key policy instrument to ensure peace and stability, especially in the Indo-Pacific region, to deter unilateral changes to the status quo by force, to create a desirable security environment for Japan, and to provide assistance to countries that are subject to aggression in violation of international law, use of force, or threat of force. From this perspective, the Three Principles on Transfer of Defense Equipment and Technology, its Implementation Guidelines, and other systems are to be considered for revisions in order to promote smooth transfer of defense equipment and technology of high security significance and international joint development in a broad array of fields. In doing so, the necessity, requirements, and transparency of the related procedures for transfer of defense equipment and technology will be under adequate consideration, while maintaining the three principles themselves.   防衛装備品の海外への移転は、特にインド太平洋地域における平和と安定のために、力による一方的な現状変更を抑止して、我が国にとって望ましい安全保障環境の創出や、国際法に違反する侵略や武力の行使又は武力による威嚇を受けている国への支援等のための重要な政策的な手段となる。こうした観点から、安全保障上意義が高い防衛装備移転や国際共同開発を幅広い分野で円滑に行うため、防衛装備移転三原則や運用指針を始めとする制度の見直しについて検討する。その際、三つの原則そのものは維持しつつ、防衛装備移転の必要性、要件、関連手続の透明性の確保等について十分に検討する。 
In addition, Japan will carry forward with the transfer of defense equipment and technology in the joint public and private efforts by implementing measures including providing various forms of assistance to smoothly promote such transfers.  また、防衛装備移転を円滑に進めるための各種支援を行うこと等により、官民一体となって防衛装備移転を進める。 
(v) Strengthening the Foundation for SDF Personnel to Fulfill Abilities as Core of Defense Capabilities  オ 防衛力の中核である自衛隊員の能力を発揮するための基盤の強化 
Japan will solidify the human resource base for the SDF personnel, the core of its defense capabilities, in order for the personnel to further fulfill their abilities. To this end, Japan will work to secure diverse and talented SDF personnel from diverse backgrounds. On top of this, Japan will set in place an organizational environment of zero tolerance for harassment, and foster an environment so that female members can play more active roles. Japan will also improve treatment of SDF personnel, and drive efforts to foster an environment in which all SDF personnel can maintain high morale and fully fulfill their abilities.  防衛力の中核である自衛隊員が、その能力を一層発揮できるようにするため、人的基盤を強化する。そのために、より幅広い層から多様かつ優秀な人材の確保を図る。ハラスメントを一切許容しない組織環境や女性隊員が更に活躍できる環境を整備するとともに、隊員の処遇の向上を図り、そして、全ての自衛隊員が高い士気を維持し、自らの能力を十分に発揮できる環境を整備する。 
(3) Deepening Security Cooperation with the United States  ⑶ 米国との安全保障面における協力の深化 
Japan will fundamentally reinforce its defense capabilities and deepen security cooperation with the United States. By undertaking such efforts, Japan will further strengthen the deterrence and response capabilities of the Japan-U.S. Alliance, including extended deterrence by the U.S. that is backed by its full range of capabilities, including nuclear. Particularly, based on constant examinations of the roles, missions, and capabilities of Japan and the U.S., for the purpose of strengthening the Alliance’s deterrence and response capabilities, Japan will undertake efforts to coordinate bilateral operations including cross-domain operations and the use of Japan's counterstrike capabilities, improve interoperability, deepen cooperation in the cyber, space and other fields, advance equipment and technological cooperation that capitalizes on advanced technologies, carry out more advanced and practical bilateral exercises, conduct joint Flexible Deterrent Options (FDO), conduct joint intelligence, surveillance and reconnaissance (ISR) operations, and increase joint/shared use of Japanese and U.S. facilities, while further developing coordination functions of such framework as the Alliance Coordination Mechanism (ACM). In doing so, Japan will strengthen the foundations of information security and cybersecurity so that Japan and the U.S. can fully employ their capabilities.  At the same time, while undertaking these efforts, Japan will steadily implement the realignment of U.S. Forces in Japan, including the relocation of the Marine Corps Air Station Futenma, from the viewpoint of mitigating impacts on local communities including Okinawa.  我が国の防衛力を抜本的に強化しつつ、米国との安全保障面における協力を深化すること等により、核を含むあらゆる能力によって裏打ちされた米国による拡大抑止の提供を含む日米同盟の抑止力と対処力を一層強化する。具体的には、日米の役割・任務・能力に関する不断の検討を踏まえ、日米の抑止力・対処力を強化するため、同盟調整メカニズム(ACM)等の調整機能を更に発展させつつ、領域横断作戦や我が国の反撃能力の行使を含む日米間の運用の調整、相互運用性の向上、サイバー・宇宙分野等での協力深化、先端技術を取り込む装備・技術面での協力の推進、日米のより高度かつ実践的な共同訓練、共同の柔軟に選択される抑止措置(FDO)、共同の情報収集・警戒監視・偵察(ISR)活動、日米の施設の共同使用の増加等に取り組む。その際、日米がその能力を十分に発揮できるよう、情報保全、サイバーセキュリティ等の基盤を強化する。同時に、このような取組を進めつつ、沖縄を始めとする地元の負担軽減を図る観点から、普天間飛行場の移設を含む在日米軍再編を着実に実施する。 
(4) Strengthening Efforts to Seamlessly Protect Japan in All Directions  ⑷ 我が国を全方位でシームレスに守るための取組の強化 
In the current security environment, the boundaries between military and nonmilitary, peacetime and contingency, have become blurred. Hybrid warfare is taking place, and gray zone situations are constantly arising. Japan will seamlessly protect its national interests by promoting cross-governmental policies in diverse fields, including cyber, maritime and space domains, technology, intelligence, and ensuring the safety of its people at home and abroad.   軍事と非軍事、有事と平時の境目が曖昧になり、ハイブリッド戦が展開され、グレーゾーン事態が恒常的に生起している現在の安全保障環境において、サイバー空間・海洋・宇宙空間、技術、情報、国内外の国民の安全確保等の多岐にわたる分野において、政府横断的な政策を進め、我が国の国益を隙なく守る。 
(i) Improving Response Capabilities in the Field of Cybersecurity  ア サイバー安全保障分野での対応能力の向上 
In order to ensure secure and stable use of cyberspace, especially the security of the nation and critical infrastructures, the response capabilities in the field of cybersecurity should be strengthened equal to or surpassing the level of leading Western countries.   サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保するために、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる。 
Specifically, in order to be able to respond to emerging cyber threats at any time, Japan will first establish a mechanism to continuously assess the information systems of government agencies, to improve measures against cyber threats as necessary, and to constantly manage vulnerabilities of government agencies’ information systems. As part of these efforts, the Government will continue to enhance defense throughout the lifecycle of information systems of government agencies, including those used in the fields of diplomacy, defense, and intelligence, from installation to disposal, while also promoting the development and effective use of human resources inside and outside the Government, by actively adopting cutting-edge concepts and technologies related to cybersecurity at all times.   具体的には、まずは、最新のサイバー脅威に常に対応できるようにするため、政府機関のシステムを常時評価し、政府機関等の脅威対策やシステムの脆弱性等を随時是正するための仕組みを構築する。その一環として、サイバーセキュリティに関する世界最先端の概念・技術等を常に積極的に活用する。そのことにより、外交・防衛・情報の分野を始めとする政府機関等のシステムの導入から廃棄までのライフサイクルを通じた防御の強化、政府内外の人材の育成・活用の促進等を引き続き図る。 
In addition, Japan will introduce active cyber defense for eliminating in advance the possibility of serious cyberattacks that may cause national security concerns to the Government and critical infrastructures and for preventing the spread of damage in case of such attacks, even if they do not amount to an armed attack. For this purpose, the Government will take further steps to develop information gathering and analysis capabilities in the field of cybersecurity and establish systems to implement active cyber defense. Therefore, the Government will advance efforts to consider to realize necessary measures including the following (a) to (c):  その上で、武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する。そのために、サイバー安全保障分野における情報収集・分析能力を強化するとともに、能動的サイバー防御の実施のための体制を整備することとし、以下の(ア)から(ウ)までを含む必要な措置の実現に向け検討を進める。  
(a)         Japan will advance efforts on information sharing to the Government in case of cyberattacks among the private sector including critical infrastructures, as well as coordinating and supporting incident response activities for the private sector.   (ア) 重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、支援等の取組を強化するなどの取組を進める。 
(b)         Japan will take necessary actions to detect servers and others suspected of being abused by attackers by utilizing information on communications services provided by domestic telecommunications providers.  (イ) 国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃者による悪用が疑われるサーバ等を検知するために、所要の取組を進める。 
(c)         For serious cyberattacks that pose security concerns against the Government, critical infrastructures, and others, the Government will be given the necessary authorities that allow it to penetrate and neutralize attacker's servers and others in advance to the extent possible.  (ウ) 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。 
In order to realize and promote these efforts, including active cyber defense, the National center for Incident readiness and Strategy for Cybersecurity (NISC) will be constructively restructured to establish a new organization which will comprehensively coordinate policies in the field of cybersecurity, in a centralized manner. Then, the Government will work on legislation and strengthen operations for the purpose of materializing these new efforts in the field of cybersecurity. These measures will contribute to the reinforcement of a comprehensive defense architecture.   能動的サイバー防御を含むこれらの取組を実現・促進するために、内閣サイバーセキュリティセンター(NISC)を発展的に改組し、サイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置する。そして、これらのサイバー安全保障分野における新たな取組の実現のために法制度の整備、運用の強化を図る。これらの取組は総合的な防衛体制の強化に資するものとなる。 
In addition, the Government will improve coordination with other policies that contribute to the enhancement of cybersecurity, such as economic security and the enhancement of technical capabilities related to national security.   また、経済安全保障、安全保障関連の技術力の向上等、サイバー安全保障の強化に資する他の政策との連携を強化する。 
Furthermore, the Government will continue to work for the enhancement of information gathering and analysis, attribution and its public announcement, as well as formulation of international frameworks and rules in a coordinated manner with its ally, like-minded countries and others.  さらに、同盟国・同志国等と連携した形での情報収集・分析の強化、攻撃者の特定とその公表、国際的な枠組み・ルールの形成等のために引き続き取り組む。 
(ii) Promoting Maritime Security and Strengthen Maritime Law Enforcement Capabilities  イ 海洋安全保障の推進と海上保安能力の強化 
As a maritime nation surrounded by the sea on all sides and blessed with one of the world's most extensive jurisdictional waters, Japan will work with its ally, like-minded countries, and others to promote efforts to ensure the freedoms of navigation and overflight and to ensure safety, as well as maintain and develop the international maritime order based on universal values, including the rule of law. Specifically, Japan will advance multilateral maritime security cooperation by enhancing maritime surveillance to respond to threats in sea lanes, active bilateral drills and exercises with other countries, and overseas port calls. In addition, anti-piracy and intelligence gathering activities will be conducted to ensure the safety of maritime traffic.   四方を海に囲まれ、世界有数の広大な管轄海域を有する海洋国家として、同盟国・同志国等と連携し、航行・飛行の自由や安全の確保、法の支配を含む普遍的価値に基づく国際的な海洋秩序の維持・発展に向けた取組を進める。具体的には、シーレーンにおける脅威に対応するための海洋状況監視、他国との積極的な共同訓練・演習や海外における寄港等を推進し、多国間の海洋安全保障協力を強化する。また、海上交通の安全を確保するために、海賊対処や情報収集活動等を実施する。 
While undertaking international cooperation in these areas, Japan will ensure freedoms of navigation and overflight in the South China Sea and other waters, promote peaceful settlement of disputes based on international law, strengthen relations with those coastal states along the sea lanes, and actively utilize the Arctic sea routes. Furthermore, Japan will continue to actively utilize the SDF facility in Djibouti in order to secure stable use of the sea lane.  そして、これらの取組に関連する国際協力を進めつつ、南シナ海等における航行及び上空飛行の自由の確保、国際法に基づく紛争の平和的解決の推進、シーレーン沿岸国との関係の強化、北極海航路の利活用等を図る。さらに、シーレーンの安定的利用の確保等のためにも、ジブチにおける拠点を引き続き活用する。 
The role played by the JCG, Japan’s maritime law enforcement agency, is essential to its national security. In order to ensure the security of Japan's territory, including the areas surrounding the Senkaku Islands, and to respond effectively in the event of multiple major incidents, Japan's maritime law enforcement capabilities will be significantly reinforced, in conjunction with efforts to strengthen its organization. Specifically, in accordance with the new policy on strengthening maritime law enforcement capabilities, the JCG will promptly increase assets and introduce new technologies, secure sufficient operational expenses, renew degraded vessels, and secure and train personnel.   我が国の安全保障において、海上法執行機関である海上保安庁が担う役割は不可欠である。尖閣諸島周辺を含む我が国領域の警備を万全にし、複数の重大事案発生時にも有効に対応していくため、我が国の海上保安能力を大幅に強化し、体制を拡充する。具体的には、新たな海上保安能力強化に関する方針に基づき、海上保安庁によるアセットの増強や新たな技術の導入、十分な運航費の確保や老朽船の更新、海上保安庁の職員の確保・育成等を速やかに図る。 
In addition, the coordination and cooperation between the JCG and the SDF will be consistently strengthened, including the Minister of Defense's control over the JCG in the event of an emergency.   また、有事の際の防衛大臣による海上保安庁に対する統制を含め、海上保安庁と自衛隊の連携・協力を不断に強化する。 
Furthermore, international coordination and cooperation with maritime law enforcement agencies in the United States, Southeast Asian countries, and other countries will be carried forward.  さらに、米国、東南アジア諸国等の海上法執行機関との国際的な連携・協力も強化する。 
(iii) Reinforcing Comprehensive Efforts for Space Security  ウ 宇宙の安全保障に関する総合的な取組の強化 
To ensure safe and stable utilization of space, which is indispensable for economic and social activities, Japan will strengthen its response capabilities in the field of space security. Specifically, while promoting the use of the space domain by the SDF, JCG and others, Japan will drive forward measures to capitalize on Japan's overall spacerelated capabilities in the field of security, such as strengthening cooperation between the Japan Aerospace Exploration Agency (JAXA) and the SDF.   経済・社会活動にとって不可欠な宇宙空間の安全かつ安定した利用等を確保するため、宇宙の安全保障の分野での対応能力を強化する。具体的には、自衛隊、海上保安庁等による宇宙空間の利用を強化しつつ、宇宙航空研究開発機構(JAXA)等と自衛隊の連携の強化等、我が国全体の宇宙に関する能力を安全保障分野で活用するための施策を進める。 
In addition, Japan will set up a framework for the Government’s decision-making in unforeseeable circumstances, strengthen mechanisms for understanding the space domain, promote measures to address the issue of space debris, expand the development of capabilities to hinder command and control as well as information and communications at the other end, and Japan will enhance cooperation with its ally, likeminded countries, and others, including on the formulation of international codes of conduct.   また、不測の事態における政府の意思決定に関する体制の構築、宇宙領域の把握のための体制の強化、スペースデブリへの対応の推進、相手方の指揮統制・情報通信等を妨げる能力の整備の拡充、国際的な行動の規範策定を含む同盟国・同志国等との連携の強化を進める。 
Furthermore, Japan will utilize its civilian space technology in its national defense by supporting and fostering Japan's space industry, including the construction of satellite constellations, thereby realizing a virtuous cycle to further encourage the development of its space industry   さらに、我が国の宇宙産業を支援・育成することで、衛星コンステレーションの構築を含め、我が国の民間の宇宙技術を我が国の防衛に活用する。そして、それが更に我が国の宇宙産業の発展を促すという好循環を実現する。 
In order to put the agenda and policies in the field of space security into practice, Japan will put together the Government's concept and reflect it in the Basic Plan on Space Policy and other relevant documents.  このような宇宙の安全保障の分野の課題と政策を具体化させる政府の構想を取りまとめた上で、それを宇宙基本計画等に反映させる。 
(iv) Enhancing Public-private Partnerships for Improving Technical Capabilities and Proactively Capitalizing on Outcomes of Research and Development in the Security Field  エ 技術力の向上と研究開発成果の安全保障分野での積極的な活用のための官民の連携の強化 
Cutting-edge science and technology are advancing at an accelerated pace, and it has become extremely difficult in practice to distinguish between technologies for civilian use and for security purposes. Against this backdrop, in order to widely and actively utilize Japan's advanced technological capabilities in the public and private sectors for security purposes, Japan will strengthen the system to improve technological capabilities of the public and private sectors that can be used for security purposes, to utilize, in a whole-of-government manner, funds and information related to research and development. Specifically, for the purpose of promoting research and development of science and technology that contributes to the enhancement of the comprehensive defense architecture, a whole-of-government mechanism will be established to match research and development needs based on the views of the Ministry of Defense with the appropriate technological seeds possessed by relevant ministries and agencies, in addition to implementing these projects. On top of that, Japan will promote active utilization of funds and outcomes related to government-wide R&D, including the Key and Advanced Technology R&D through Cross Community Collaboration Program, for the security sector.   最先端の科学技術は加速度的に進展し、民生用の技術と安全保障用の技術の区別は実際には極めて困難となっている。このこと等を踏まえ、我が国の官民の高い技術力を幅広くかつ積極的に安全保障に活用するために、安全保障に活用可能な官民の技術力を向上させ、研究開発等に関する資金及び情報を政府横断的に活用するための体制を強化する。具体的には、総合的な防衛体制の強化に資する科学技術の研究開発の推進のため、防衛省の意見を踏まえた研究開発ニーズと関係省庁が有する技術シーズを合致させるとともに、当該事業を実施していくための政府横断的な仕組みを創設する。また、経済安全保障重要技術育成プログラムを含む政府全体の研究開発に関する資金及びその成果の安全保障分野への積極的な活用を進める。 
Japan will also work to further strengthen assistance for gathering information, development, and training in the area of cutting-edge and critical technologies and to put in place arrangements.   さらに、先端重要技術の情報収集・開発・育成に向けた更なる支援の強化と体制の整備を図る。 
In order to promote private-sector innovation and to actively utilize the results of such innovation in the security field, Japan will promote the participation of a wide range of leading-edge researchers including those in the academia, while obtaining understanding and cooperation of all parties concerned. Japan will also work across the Government to foster an environment in which the defense industry can fully harness the opportunities offered by other private sector innovations.  そして、民間のイノベーションを推進し、その成果を安全保障分野において積極的に活用するため、関係者の理解と協力を得つつ、広くアカデミアを含む最先端の研究者の参画促進等に取り組む。また、防衛産業が他の民間のイノベーションの成果を十分に活かしていくための環境の整備に政府横断的に取り組む。 
(v) Strengthening Intelligence Capacities for Japan’s National Security   オ 我が国の安全保障のための情報に関する能力の強化 
Japan will reinforce its arrangements and capabilities in the field of intelligence, which is closely related to the maintenance of a sound democracy, smooth decisionmaking by the Government, and effective external communications. Specifically, in order to strengthen Japan's ability to analyze global trends from a broad, accurate, and multifaceted perspective across diplomatic, military, and economic spheres, Japan will significantly enhance its information-gathering capabilities from various information sources, including human intelligence, open source intelligence, signals intelligence, and imagery intelligence. In particular, with regard to human intelligence, the structure for collecting information will be enhanced and strengthened.   健全な民主主義の維持、政府の円滑な意思決定、我が国の効果的な対外発信に密接に関連する情報の分野に関して、我が国の体制と能力を強化する。具体的には、国際社会の動向について、外交・軍事・経済にまたがり幅広く、正確かつ多角的に分析する能力を強化するため、人的情報、公開情報、電波情報、画像情報等、多様な情報源に関する情報収集能力を大幅に強化する。特に、人的情報については、その収集のための体制の充実・強化を図る。 
As for imagery intelligence, the functions of information gathering satellites will be expanded and enhanced, and collected information will be utilized more effectively by strengthening the cooperation and coordination between the Cabinet Satellite Intelligence Center and the Ministry of Defense as well as the SDF.  そして、画像情報については、情報収集衛星の機能の拡充・強化を図るとともに、内閣衛星情報センターと防衛省・自衛隊の協力・連携を強化するなどして、収集した情報の更なる効果的な活用を図る。 
In addition, a mechanism will be established to aggregate information in an integrated manner, and the coordination between the policy and intelligence departments will be enhanced. At intelligence departments, intelligence analysis capabilities will be strengthened to provide high-value-added analysis results to policy making departments through comprehensive analysis (all-source analysis) utilizing all of the intelligence means possessed by the Government, including the use of new technologies such as artificial intelligence (AI).   また、統合的な形での情報の集約を行うための体制を整備する。政策部門と情報部門の連携を強化し、情報部門については、人工知能(AI)等の新たな技術の活用も含め、政府が保有するあらゆる情報手段を活用した総合的な分析(オール・ソース・アナリシス)により、政策部門への高付加価値の分析結果の提供を行えるよう、情報分析能力を強化する。 
Also, while taking into account the discussions on the establishment of a new security clearance system in the economic security field, the arrangement for information security will be further solidified.  そして、経済安全保障分野における新たなセキュリティ・クリアランス制度の創設の検討に関する議論等も踏まえつつ、情報保全のための体制の更なる強化を図る。 
In addition, from the perspective of bolstering the ability to respond to information warfare in the cognitive domain, including spread of disinformation, a new structure will be established within the Government to aggregate and analyze information on disinformation and others originated abroad, to strengthen external communications, and to enhance cooperation with non-governmental agencies. Furthermore, strategic communication will be actively implemented in a coordinated manner within the Government.   また、偽情報等の拡散を含め、認知領域における情報戦への対応能力を強化する。その観点から、外国による偽情報等に関する情報の集約・分析、対外発信の強化、政府外の機関との連携の強化等のための新たな体制を政府内に整備する。さらに、戦略的コミュニケーションを関係省庁の連携を図った形で積極的に実施する。 
Japan will also promptly consider effective measures by both public and private sectors to prevent the misuse of geospatial information in the security area.  そして、地理空間情報の安全保障面での悪用を防ぐための官民の実効的な措置の検討を速やかに行う。 
(vi) Reinforcing Response Capabilities within Japan with Contingencies in Mind  カ 有事も念頭に置いた我が国国内での対応能力の強化  
In preparation for a direct threat to Japan, Japan will enhance response capabilities in wide ranging areas at home. Specifically, as part of the reinforcement of the comprehensive defense architecture, Japan will establish a cross-governmental mechanism to develop and enhance the functions of public infrastructures such as airports and seaports based on the needs of the SDF and the JCG for their smooth utilization and deployment in response to protection of its nationals, peacetime training, and deployment during contingencies. At the same time, rules will be established for ordinary utilization of airports and seaports with a view to responding to contingencies. These efforts will be promoted in cooperation with local municipalities and residents.  我が国に直接脅威が及んだ場合も念頭に、我が国国内における幅広い分野での対応能力を強化する。具体的には、総合的な防衛体制の強化の一環として、自衛隊・海上保安庁による国民保護への対応、平素の訓練、有事の際の展開等を目的とした円滑な利用・配備のため、自衛隊・海上保安庁のニーズに基づき、空港・港湾等の公共インフラの整備や機能を強化する政府横断的な仕組みを創設する。あわせて、有事の際の対応も見据えた空港・港湾の平素からの利活用に関するルール作り等を行う。これらの取組は、地方公共団体、住民等の協力を得つつ、推進する。 
To ensure the smooth activities of the SDF and U.S. forces, and others, measures will be taken to develop arrangements for transportation and storage of SDF ammunition and fuel, coordinate with related parties and organizations regarding use of civilian facilities by the SDF and U.S. forces, ensure secure and flexible use of radio waves, and ensure that SDF facilities and activities be not negatively impacted by civilian facilities.   自衛隊、米軍等の円滑な活動の確保のために、自衛隊の弾薬、燃料等の輸送・保管の制度の整備、民間施設等の自衛隊、米軍等の使用に関する関係者・団体との調整、安定的かつ柔軟な電波利用の確保、民間施設等によって自衛隊の施設や活動に否定的な影響が及ばないようにするための措置をとる。 
Regarding measures to secure critical infrastructures, which are closely linked to sustaining the daily livelihoods, such as nuclear power plants, and measures against illegal landing on remote border islands, Japan will make efforts to seamlessly respond to crises in various forms and stages that do not amount to armed attacks, in addition to armed attack situations. For that purpose, the SDF, Police, the JCG, and others will establish a coordination framework and strengthen their response capabilities by enhancing the equipment, systems, and training, in order to seamlessly respond to crises in various forms and stages that do not amount to armed attacks, in addition to armed attack situations.  原子力発電所等の重要な生活関連施設の安全確保対策、国境離島への不法上陸事案対策等に関し、武力攻撃事態のほか、それには至らない様々な態様・段階の危機にも切れ目なく的確に対処できるようにする。そのために、自衛隊、警察、海上保安庁等による連携枠組みを確立するとともに、装備・体制・訓練の充実など対処能力の向上を図る。 
(vii) Reinforcing Mechanisms for the Protection of Japanese Nationals  キ 国民保護のための体制の強化 
 Japan will reinforce a mechanism for the protection of Japanese nationals through, for instance, efforts to protect residents, in cooperation of the Government, local municipalities, and designated public institutions. Specifically, for the purpose of achieving prompt evacuation of residents, including those in the Southwest region well in advance of an armed attack, Japan will take measures such as formulating a plan for smooth evacuation as soon as possible, securing the means of transportation of the public and private sectors, developing and coordinating the use of airports, seaports, and other public infrastructures, securing various types of evacuation facilities, and working with international organizations.  国、地方公共団体、指定公共機関等が協力して、住民を守るための取組を進めるなど、国民保護のための体制を強化する。具体的には、武力攻撃より十分に先立って、南西地域を含む住民の迅速な避難を実現すべく、円滑な避難に関する計画の速やかな策定、官民の輸送手段の確保、空港・港湾等の公共インフラの整備と利用調整、様々な種類の避難施設の確保、国際機関との連携等を行う。 
In order to enhance the efficacy of these efforts, Japan will also consider the necessary policies, including structural arrangements through promoting coordination among the Government, local municipalities, and designated public institutions, after conducting and assessing drills for the evacuation of residents.  また、こうした取組の実効性を高めるため、住民避難等の各種訓練の実施と検証を行った上で、国、地方公共団体、指定公共機関等の連携を推進しつつ、制度面を含む必要な施策の検討を行う。 
Furthermore, while consistently tackling the enhancement of the information transmission function of J-ALERT, the Government will work to share information and raise public awareness on evacuation activities in preparation for emergencies concerning ballistic missiles.  さらに、全国瞬時警報システム(J-ALERT)の情報伝達機能を不断に強化しつつ、弾道ミサイルを想定した避難行動に関する周知・啓発に取り組む。 
(viii) Reinforcing Architecture and Measures for the Protection of Japanese Nationals and Others Overseas  ク 在外邦人等の保護のための体制と施策の強化 
Japan will reinforce arrangements and measures to protect Japanese nationals and others overseas from threats such as conflicts, natural disasters, infectious diseases and terrorism. Specifically, efforts will be made to take measures, including for raising awareness of Japanese nationals overseas on safety measures from peace time, providing safety information in a timely manner, ensuring means of evacuation, and strengthening cooperation with related countries.   紛争、自然災害、感染症、テロ等の脅威から在外邦人を守るための体制と施策を強化する。具体的には、平素からの邦人に対する啓発、時宜に適った現地危険情報の提供、退避手段の確保、関係国との連携強化等のための取組を行う。 
In this context, consular services at Japanese embassies and consulates, which serve as the most critical hub for protection of Japanese nationals overseas, will be strengthened in terms of structure and capabilities. At the same time, the SDF and other assets will be promptly mobilized for evacuating Japanese nationals and others overseas, when necessary and feasible. To this end, cooperation among relevant ministries and agencies will be enhanced.   この関連で、在外邦人を保護する上で最も重要な拠点となる在外公館における領事業務に関する体制と能力の強化を図る。同時に、在外邦人等の退避等のために、必要かつ可能な場合には、自衛隊等を迅速に活用することとし、その実現のための関係省庁間の連携を強化する。 
Furthermore, while gaining understanding from the Government of Djibouti, the SDF facility there, which has been in operation for counter-piracy activities, will be also utilized for the protection of Japanese nationals and others overseas.  さらに、ジブチ政府の理解を得つつ、在外邦人等の保護に当たっても、海賊対処のために運営されているジブチにある自衛隊の活動拠点を活用していく。 
(viiii) Securing Resources Essential for Japan’s National Security including Energy and Food  ケ エネルギーや食料など我が国の安全保障に不可欠な資源の確保 
From the perspective of ensuring smooth economic and social activities in Japan and abroad, as well as the ability to sustainably respond in the event of an emergency, the Government will promote policies to secure resources essential for Japan’s national security, such as energy security and food security, which form the basis of its people's lives and social and economic activities.  我が国の経済・社会活動を国内外において円滑にし、また、有事の際の我が国の持続的な対応能力等を確保するとの観点から、国民の生活や経済・社会活動の基盤となるエネルギー安全保障、食料安全保障等、我が国の安全保障に不可欠な資源を確保するための政策を進める。 
To ensure energy security, in addition to advancing ties with resource-rich countries, diversifying supply sources, and enhancing procurement risk assessment and other methods, Japan will maximize the use of energy sources that contribute to its energy self-sufficiency, such as renewable energy and nuclear power, and will strategically develop and solidify energy sources for this purpose. In cooperation with its ally, likeminded countries, and international organizations, Japan will drive forward measures to improve Japan's energy self-sufficiency ratio and build a robust energy supply system that can withstand contingencies.  エネルギー安全保障の確保に向けては、資源国との関係強化、供給源の多角化、調達リスク評価の強化等の手法に加え、再生可能エネルギーや原子力といったエネルギー自給率向上に資するエネルギー源の最大限の活用、そのための戦略的な開発を強化する。同盟国・同志国や国際機関等とも連携しながら、我が国のエネルギー自給率向上に向けた方策を強化し、有事にも耐え得る強靭なエネルギー供給体制を構築する。 
With regard to food security, the situation surrounding the supply and demand of food and trade worldwide is unstable and uncertain. As Japan depends largely on imports of food and production materials from overseas, the risks associated with Japan’s food security are manifesting themselves. Therefore, transforming the structure of its food supply is key. Specifically, Japan will produce at home what can be produced here in Japan to the extent possible and work to secure domestic production of items and materials that  highly dependent on foreign countries, in conjunction with ensuring stable imports and appropriate supplying of national stockpiles. In pursuit of this, Japan will expand the production of grains, ramp up the production of feed, amplify the use of domestic resources such as compost, and then appropriately carry out measures to ensure stable imports and the national stockpiles of items that are difficult to procure at home, so that Japan can ensure stable food supply to our people and bolster Japan's food security.   食料安全保障に関し、国際社会における食料の需給や貿易等をめぐる状況が不安定かつ不透明であり、食料や生産資材の多くを海外からの輸入に依存する我が国の食料安全保障上のリスクが顕在化している中、我が国の食料供給の構造を転換していくこと等が重要である。具体的には、安定的な輸入と適切な備蓄を組み合わせつつ、国内で生産できるものはできる限り国内で生産することとし、海外依存度の高い品目や生産資材の国産化を図る。その観点から、穀物等の生産拡大、飼料の増産、堆肥等の国内資源の利用拡大を進めるほか、国内で調達困難なものの安定的な輸入を確保するための対策や適切な備蓄等を併せて講ずることにより、国民への安定的な食料供給を確保し、我が国の食料安全保障の強化を図る。 
With a view to responding to global food security crises, Japan will improve the international environment for food supply, improve food production, and provide support to vulnerable countries, in cooperation with its ally, like-minded countries, and international organizations.  そして、国際的な食料安全保障の危機に対応するために、同盟国・同志国や国際機関等と連携しつつ、食料供給に関する国際環境の整備、食料生産の向上及び脆弱な国への支援等を実施していく。 
(5) Promoting Economic Security Policies to Achieve Autonomous Economic Prosperity  ⑸ 自主的な経済的繁栄を実現するための経済安全保障政策の促進 
 Economic security is to ensure Japan's national interests, such as peace, security, and economic prosperity, by carrying out economic measures. In the face of various threats at hand through economic means, Japan will coordinate ideas on necessary economic measures and execute these measures comprehensively, effectively and intensively to enhance Japan's self-reliance and to secure the advantage and indispensability concerning our technologies and others.  我が国の平和と安全や経済的な繁栄等の国益を経済上の措置を講じ確保することが経済安全保障であり、経済的手段を通じた様々な脅威が存在していることを踏まえ、我が国の自律性の向上、技術等に関する我が国の優位性、不可欠性の確保等に向けた必要な経済施策に関する考え方を整理し、総合的、効果的かつ集中的に措置を講じていく。 
Specifically, Japan will reinforce its mechanisms for promoting economic security policies, and work with its ally and like-minded countries, as well as in cooperation with the private sector, to take measures including those indicated below. Japan will consistently consider and revisit these measures, and in particular, continuously assess the risks that exist in each industry, and implement other necessary security measures in a whole-of-government manner.  具体的には、経済安全保障政策を進めるための体制を強化し、同盟国・同志国等との連携を図りつつ、民間と協調し、以下を含む措置に取り組む。なお、取り組んでいく措置は不断に検討・見直しを行い、特に、各産業等が抱えるリスクを継続的に点検し、安全保障上の観点から政府一体となって必要な取組を行う。 
(i)     Japan will steadily implement and constantly review the Economic Security Promotion Act (Law No. 43, 2022.hereinafter referred to as the "Promotion Act"), and further reinforce efforts in this regard.  ア 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(令和4年法律第43号。以下「推進法」という。)の着実な実施と不断の見直し、更なる取組を強化する。 
(ii)   With regard to supply chain resilience, Japan will curb excessive dependence on specific countries, carry forward next-generation semiconductor development and manufacturing bases, secure stable supply for critical goods including rare earth, and promote capital reinforcement of private enterprises with critical goods and technologies, and strengthen the function of policy-based finance, in pursuit of protecting and nurturing critical goods.  イ サプライチェーン強靭化について、特定国への過度な依存を低下させ、次世代半導体の開発・製造拠点整備、レアアース等の重要な物資の安定的な供給の確保等を進めるほか、重要な物資や技術を担う民間企業への資本強化の取組や政策金融の機能強化等を進める。 
(iii)  Japan will consider reviewing government procurement procedures, including those by local municipalities, as well as expanding the scope of the prior screening system under the Promotion Act, with regard to the critical infrastructure field.  ウ 重要インフラ分野について、地方公共団体を含む政府調達の在り方や、推進法の事前審査制度の対象拡大の検討等を進める。 
(iv)  With regard to data and information protection, Japan will carry out additional measures to ensure more appropriate management of sensitive data and safety and reliability of information and communication technology services. In addition, keeping in mind information security practices of leading countries and needs of  エ データ・情報保護について、機微なデータのより適切な管理や情報通信技術サービスの安全性・信頼性確保に向けた更なる対策を講ずる。
the industries, examinations will be made to bolster Japan's information security, including security clearance.  また、主要国の情報保全の在り方や産業界等のニーズも踏まえ、セキュリティ・クリアランスを含む我が国の情報保全の強化に向けた検討を進める。 
(v)    For the purpose of fostering and preserving technology and other purposes, Japan will proceed with specific considerations in further stepping up support and developing systems for information gathering, development, and fostering of advanced critical technologies, taking on additional measures to enhance investment screening and export control as well as response to forced technology transfer, and further advancing research integrity and measures against talent drain.  オ 技術育成・保全等の観点から、先端重要技術の情報収集・開発・育成に向けた更なる支援強化・体制整備、投資審査や輸出管理の更なる強化、強制技術移転への対応強化、研究インテグリティの一層の推進、人材流出対策等について具体的な検討を進める。 
(vi)  Japan will promote effective efforts against economic coercion by foreign countries.  カ 外国からの経済的な威圧に対する効果的な取組を進める。 
(6) Maintaining and Strengthening International Economic Order based on Free, Fair, and Equitable Rules  ⑹ 自由、公正、公平なルールに基づく国際経済秩序の維持・強化 
Japan will maintain and strengthen an open and stable international economic order by preventing non-military pressure by certain states aimed at impeding independent national foreign policy decision-making and sound economic development. Specifically, while maintaining and strengthening the multilateral trading system with the World Trade Organization (WTO) at its core, Japan will enhance its own measures to counter against unfair trade practices and economic coercion, including through working to solidify international norms in cooperation with its ally and like-minded countries.   特定の国家による非軍事的な圧力により、国家の自主的な外交政策の意思決定や健全な経済発展が阻害されることを防ぎ、開かれ安定した国際経済秩序を維持・強化していく。具体的には、世界貿易機関(WTO)を中核とした多角的貿易体制の維持・強化を図りつつ、不公正な貿易慣行や経済的な威圧に対抗するために、我が国の対応策を強化しつつ、同盟国・同志国等と連携し国際規範の強化のために取り組んでいく。 
In addition, in order to achieve the development of economic order and sustainable and inclusive economic growth in the Indo-Pacific region and extend the free and fair economic order, we will maintain the high standards of the Comprehensive and Progressive Agreement on Trans-Pacific Partnership (CPTPP), ensure the full implementation of the Regional Comprehensive Economic Partnership (RCEP) agreement, and materialize other economic partnership agreement negotiations and the Indo-Pacific Economic Framework (IPEF).  また、インド太平洋地域の経済秩序の発展と持続可能で包摂的な経済成長を実現し、自由で公正な経済秩序を広げるために、環太平洋パートナーシップに関する包括的及び先進的な協定(CPTPP)の高いレベルの維持や、地域的な包括的経済連携(RCEP)協定の完全な履行の確保、その他の経済連携協定交渉、インド太平洋経済枠組み(IPEF)の具体化等に取り組む。 
Furthermore, Japan will pursue implementing mutually beneficial economic cooperation as well as maintaining and strengthening international frameworks and rules. To be specific, in order to avoid situations where recipient countries fall into "debt traps" due to opaque forms of assistance to developing countries by some states and others, Japan will spearhead global efforts to ensure that states and institutions comply with international rules and standards and carry out development finance in a transparent and fair manner.   さらに、相互互恵的な経済協力の実施と国際的な枠組み・ルールの維持・強化を図る。具体的には、一部の国家等による不透明な形での途上国支援に起因して、被援助国が「債務の罠」に陥る状況を回避するために、各国等が国際的なルール・基準を遵守し、透明で公正な開発金融を行うよう、国際的な取組を主導する。 
In addition, Japan will provide capacity-building support for developing countries to enhance their self-reliance and present attractive options for the economic development of developing countries, including support in coordination with its ally and like-minded countries and development finance institutions.  また、同盟国・同志国や開発金融機関等と協調した支援等を含め、途上国の自立性を高めるための能力強化支援や途上国の経済発展のための魅力ある選択肢の提示等を行う。 
(7) Global Efforts for Coexistence and Coprosperity in the International Community  ⑺ 国際社会が共存共栄するためのグローバルな取組 
Japan's national security can only be fulfilled through the peace and stability of the international community. In order to achieve coexistence and coprosperity with the international community, Japan will cooperate with the international community in ways commensurate with its international standing, economic capabilities, and technological capabilities.  我が国の安全保障は、国際社会の平和と安定があってこそ全うされる。国際社会との共存共栄を図っていくため、我が国の国際的な地位と経済力・技術力にふさわしい国際社会への協力を行う。 
(i) Promote Multilateral Cooperation and Strengthen Ties with International Organizations and Frameworks  ア 多国間協力の推進、国際機関や国際的な枠組みとの連携の強化 
Japan has built relationships of trust with many countries, regardless of differences in political and economic systems, through various forms of cooperation. On this basis, through multilateral diplomacy, Japan will strive to realize the goals it attaches importance to and cooperate with the international community for coexistence and coprosperity by engaging in tailored communications with these countries and strengthening cooperation with the United Nations and other international organizations.   我が国はこれまで様々な協力を通じて、政治・経済体制等の相違にかかわらず、多くの国との間で信頼関係を築いてきた。これを基礎として、多国間外交の場を通じて、これらの国との丁寧な意思疎通や国連を始めとする国際機関等との連携強化により、我が国が重視する目標の実現を図るとともに、国際社会の共存共栄のために協力していく。 
In particular, the UN plays a role in a wide range of fields, including conflict management, humanitarian assistance, peacebuilding, protection and promotion of human rights, climate change, food crisis, natural disasters, and refugee issues, and Japan will strengthen cooperation with the UN and countries surrounding the UN to further promote multilateral cooperation. At the same time, given that the UN Security Council does not function adequately when a permanent member is a party to a dispute, and that other inherent limitations of the UN are becoming apparent, we will lead efforts to strengthen the functions of the UN, including reform of the UN Security Council.   特に国連は、紛争対処、人道支援、平和構築、人権の擁護・促進、気候変動、食料危機、自然災害、難民問題等の幅広い分野で役割を果たしており、国連及び国連をめぐる各国との協力を強化し、多国間協力を一層進める。同時に、国連安保理常任理事国が紛争当事者の場合には国連安保理が十分に機能しないなど、国連に内在する限界が顕在化していることを踏まえ、国連安保理の改革を含めた国連の機能強化に向けた取組を主導する。 
In addition, Japan will advance efforts to enable Japanese nationals to play an even more active role as staff in the UN and other international organizations.  国連を始めとする国際機関等で邦人が職員として更に活躍できるための取組を強化する。 
(ii) Efforts to Address Global Challenges  イ 地球規模課題への取組 
The Sustainable Development Goals ("SDGs"), adopted by the UN in September 2015 are goals for the international community as a whole to address global challenges in an integrated manner, including peace, the rule of law, and human rights, with no one being left behind. Rather than addressing each goal individually, Japan will contribute to the achievement of the SDGs by taking on and preventing complex interrelated risks based on the concept of human security.   2015 年9月に国連で採択された持続可能な開発目標(以下「SDGs」という。)は、誰一人取り残すことなく、平和、法の支配や人権も含む、地球規模課題に統合的に取り組むための国際社会全体の目標である。各目標に個別に対処するのではなく、人間の安全保障の考え方に基づき、相互に関連する複合的リスクへの対応及び予防に取り組み、国際社会のSDGs達成に貢献する。
In addition, with regard to global issues such as climate change, infectious diseases, energy, food problems, and the environment, which have a direct or indirect impact on Japan's national security, Japan will expand the circle of cooperation not only to include its ally and like-minded countries, but also many other countries and organizations, and then enhance international efforts.   また、我が国の安全保障に直接・間接に影響を及ぼしている気候変動、感染症、エネルギー・食料問題、環境等の地球規模課題について、同盟国・同志国のみならず、多くの国等との協力を広げ、国際的な取組を強化する。 
Fully recognizing that global health, including measures against infectious diseases, is an important issue for the international community, encompassing not only economic and social risks but also major national security risks, Japan will cooperate with its ally and like-minded countries as well as international organizations and other relevant partners to take all possible measures to prevent, prepare for, and respond to future infectious disease crises on a regular basis, based on its experience in responding to COVID-19. In doing so, Japan, in cooperation with its ally and like-minded countries as well as with international organizations and other relevant partners, will steadfastly deliver medical care at home, and secure infectious disease control supplies including medicines from the early stages of infection crises, and undertake efforts to advance the ability to respond to infectious diseases based on scientific knowledge. The Government will also work to reinforce its own function of serving as the control tower in response to infectious disease crises. Furthermore, Japan will strive to advance health systems and relevant international frameworks that contribute to the enhancement of response capabilities of infectious diseases in developing countries.  感染症対策を含む国際保健が、経済・社会のみならず安全保障上の大きなリスクを包含する国際社会の重要課題であることを十分認識し、同盟国・同志国や国際機関等と連携し、新型コロナウイルスへの対応の経験を踏まえ、将来の感染症危機に対する予防、備えと対応を平素から万全にする。その際、同盟国・同志国や国際機関等と連携しつつ、感染症危機の初期段階から、国内における確実な医療の提供や、医薬品を含む感染症対策物資を確保できるようにしつつ、科学的知見等に基づく感染症対応能力の強化等に取り組む。そして、感染症危機に対応する司令塔機能の強化に取り組む。また、途上国等の感染症対応能力強化に資する保健システムや国際的な枠組みの強化等に取り組む。 
In addition, the Government will actively promote global efforts in realizing more resilient, equitable and sustainable universal health coverage (UHC).  そして、より強靭、より公平で、より持続可能なユニバーサル・ヘルス・カバレッジ(UHC)の実現に向けた国際的な取組を主導していく。 
Additionally, in order to appropriately respond to the rapidly growing needs for humanitarian assistance around the world in recent years, Japan will step up efforts necessary to provide humanitarian assistance promptly and on a sufficient scale. Furthermore, Japan will actively accept displaced people due to war or natural disasters in foreign countries.  近年、世界中で急速に高まっている人道支援の需要に適切に対応すべく、迅速かつ十分な規模の人道支援を行うために必要な取組を強化する。さらに、外国における戦争、自然災害等のために発生した避難民を積極的に受け入れていく。 
The protection of human rights is the fundamental responsibility of each and every country. Japan will raise its voice against serious human rights violations and continue to build on dialogue and cooperation with various countries for the sake of the protection and promotion of human rights.  人権擁護は全ての国の基本的な責務であり、深刻な人権侵害には声を上げると同時に、様々な国と人権保護・促進に向けた対話と協力を重ねていく。 
Given the vulnerable position of women in conflict, Japan will spearhead international efforts to promote the protection and redress of women's human rights. Japan will also undertake efforts around the globe to achieve gender equality and promote women's empowerment in all areas.  紛争下での女性の脆弱な立場を踏まえ、女性の人権保護・救済促進に向けた国際的な取組を主導する。また、あらゆる分野におけるジェンダー平等の実現と女性のエンパワーメントの促進のために国際的な取組を行っていく。 
The international peace cooperation, including peacekeeping operations (PKO) that Japan has long contributed in order to promote peace and stability in the international community, fosters cooperation with other Troop Contributing Countries (TCCs), and helps to develop Japan's human resources. Therefore, Japan will continue to actively engage in various forms of cooperation including dispatch of personnel and strategic use of capacity building assistance.  我が国が国連平和維持活動(PKO)等の分野で長年貢献をしてきた国際平和協力は、国際社会の平和と安定に資するとともに、他の要員派遣国との連携促進及び我が国の人材の育成にも繋がるものである。要員派遣や能力構築支援の戦略的活用を含む多様な協力について引き続き積極的に取り組んでいく。 
VII Domestic Base that should be Strengthened to Support Japan’s National Security 1. Strengthening the Economic and Fiscal Bases  Ⅶ 我が国の安全保障を支えるために強化すべき国内基盤 
Japan will achieve a virtuous cycle of security and economic growth, in which economic growth promotes further improvements in Japan’s national security while ensuring a security environment in which its economy can grow.  1 経済財政基盤の強化我が国の経済が成長できる安全保障環境を確保しつつ、経済成長が我が国の安全保障の更なる改善を促すという安全保障と経済成長の好循環を実現する。 
Japan will also ensure sustainable response capabilities in the event of contingencies across a broad array of sectors. To this end, Japan will promote cooperation between the public and private sectors to secure energy, food, and other resources, develop infrastructure, and build stable supply chains for parts and other items essential for security.   また、幅広い分野において有事の際の持続的な対応能力を確保する。そのために、エネルギーや食料等の確保、インフラの整備、安全保障に不可欠な部品等の安定的なサプライチェーンの構築等のための官民の連携を強化する。 
Furthermore, as Japan's economy is highly dependent on foreign countries, Japan has critical importance in maintaining the confidence of international markets and having adequate fiscal capacity to secure the necessary funds to meet a substantial increase in fiscal demand associated with securing resources and defense equipment in the event of contingency. Thus, Japan will work consistently to reinforce the economic, monetary, and fiscal bases which serve as the foundation of Japan's national security. This is a premise for Japan’s continuous and stable national security policy including fundamental reinforcement of defense capabilities.  そして、我が国の経済は海外依存度が高いことから、有事の際の資源や防衛装備品等の確保に伴う財政需要の大幅な拡大に対応するためには、国際的な市場の信認を維持し、必要な資金を調達する財政余力が極めて重要となる。このように我が国の安全保障の礎である経済・金融・財政の基盤の強化に不断に取り組む。このことは、防衛力の抜本的強化を含む安全保障政策を継続的かつ安定的に実施していく前提でもある。 
2. Reinforcing the Social Base  2 社会的基盤の強化 
Japan will consistently engage in efforts to deepen the understanding of and cooperation on national security among the people of Japan and organizations, inside and outside the Government, including local municipalities and corporate enterprises. Japan will also pay respect to other countries and their citizens, and foster love for its own country and homeland. In addition, Japan will further promote efforts to ensure that activities of the members of SDF and JCG, police officers, and others who dedicate themselves to hazardous duties for the peace and security of Japan be appropriately appreciated across its society. Furthermore, measures will be taken to ensure understanding and cooperation of residents living near security-related facilities, which form the basis for the activities of these personnel.   平素から国民や地方公共団体・企業を含む政府内外の組織が安全保障に対する理解と協力を深めるための取組を行う。また、諸外国やその国民に対する敬意を表し、我が国と郷土を愛する心を養う。そして、自衛官、海上保安官、警察官など我が国の平和と安全のために危険を顧みず職務に従事する者の活動が社会で適切に評価されるような取組を一層進める。さらに、これらの者の活動の基盤となる安全保障関連施設周辺の住民の理解と協力を確保するための施策にも取り組む。 
In addition, Japan will redouble efforts to put forward information at home and abroad on matters that concern both the public and private sectors, such as issues related to its territory and sovereignty, protection of its nationals, and cyberattacks, and to broaden understanding of the current activities of the SDF and U.S. Forces in Japan.   また、領土・主権に関する問題、国民保護やサイバー攻撃等の官民にまたがる問題、自衛隊、在日米軍等の活動の現状等への理解を広げる取組を強化する。 
Furthermore, Japan will improve public and private sector mechanisms and response capabilities in preparation for the next infectious disease crisis, and promote measures for disaster prevention and mitigation in advance.  そして、将来の感染症危機に備えた官民の対応能力の向上、防災・減災のための施策等を進める。 
3. Enhancing the Intellectual Base  3 知的基盤の強化 
The importance of information and technology in the field of national security is on the rise, and ensuring an intellectual base that generates such information and technology is essential to improving security. From this perspective, Japan will promote measures to foster practical cooperation among the Government, business community and academia in the security field, to drive forward information sharing between the public and private sectors for encouraging measured and accurate responses to national security issues, such as the spread of disinformation and cyberattacks, and to step up cooperation between the public and private sectors to facilitate effective communication of Japan's security policy at home and abroad.  安全保障における情報や技術の重要性が増しており、それらを生み出す知的基盤の強化は、安全保障の確保に不可欠である。 そのような観点から、安全保障分野における政府と企業・学術界との実践的な連携の強化、偽情報の拡散、サイバー攻撃等の安全保障上の問題への冷静かつ正確な対応を促す官民の情報共有の促進、我が国の安全保障政策に関する国内外での発信をより効果的なものとするための官民の連携の強化等の施策を進める。 
VIII Duration, Evaluation, and Revision of the Strategy  Ⅷ 本戦略の期間・評価・修正 
The National Security Strategy will fulfill its complete purpose only when its contents are to be executed. Measures based on the Strategy will be strategically and sustainably implemented in a timely and appropriate manner under the National Security Council which serves as the control tower for national security. Furthermore, the National Security Council will regularly and systematically evaluate the security environment and execution of measures based on this document. The Strategy will be executed approximately over the coming decade. Should Japan expect any significant changes including in the security environments, it will make necessary revisions.  国家安全保障戦略は、その内容が実施されて、初めて完成する。本戦略に基づく施策は、国家安全保障会議の司令塔機能の下、戦略的かつ持続的な形で適時適切に実施される。さらに、安全保障環境や本戦略に基づく施策の実施状況等は、国家安全保障会議が定期的かつ体系的な評価を行う。本戦略はおおむね10年の期間を念頭に置き、安全保障環境等について重要な変化が見込まれる場合には必要な修正を行う。 
IX Conclusion  Ⅸ 結語 
At this time of an inflection point in history, Japan is finding itself in the midst of the most severe and complex security environment since the end of WWII. In no way can we be optimistic about what the future of the international community will bring.  歴史の転換期において、我が国は戦後最も厳しく複雑な安全保障環境の下に置かれることになった。将来の国際社会の行方を楽観視することは決してできない。 
However, the world which we have built will continue to be able to nurture economic prosperity thanks to vibrant trade and investment, innovation from global interactions of diverse talents, and new and attractive cultures. We should hold on to these hopes.  しかし、我々がこれまで築き上げてきた世界は、これからも、活力にあふれる貿易・投資活動から生まれる経済的な繁栄、異なる才能の国際的な交わりから生まれるイノベーション、そして、新しく魅力あふれる文化を生み出すことができる。我々は、このような希望を持ち続けるべきである。 
We are now standing at the crossroads of ushering in either a world of hope or a world of adversity and distrust. This very choice will depend on the actions of the international community in the time ahead, including Japan. Japan will ensure its security on the basis of comprehensive national power in areas where the international community is in confrontation. In areas where the international community should engage in cooperation, by contrast, we will continue to fulfill a leading and constructive role in resolving a broad array of issues. Japan’s action in this way worldwide will further enhance its presence and credibility in the international arena and expand the circle of like-minded countries and others, thereby leading to improve the security environment surrounding Japan.  我々は今、希望の世界か、困難と不信の世界のいずれかに進む分岐点にあり、そのどちらを選び取るかは、今後の我が国を含む国際社会の行動にかかっている。我が国は、国際社会が対立する分野では、総合的な国力により、安全保障を確保する。国際社会が協力すべき分野では、諸課題の解決に向けて主導的かつ建設的な役割を果たし続けていく。我が国の国際社会におけるこのような行動は、我が国の国際的な存在感と信頼を更に高め、同志国等を増やし、我が国を取り巻く安全保障環境を改善することに繋がる。 
Even standing at this crossroads between a world of hope and a world of adversity and distrust amidst the most severe and complex post-war security environment, Japan, blessed with a stable democracy, the established rule of law, a mature economy, and rich culture, will advocate policies grounded in universal values and then lead the way in undertaking efforts to reinforce the international order with steadfast resolve.  希望の世界か、困難と不信の世界かの分岐点に立ち、戦後最も厳しく複雑な安全保障環境の下にあっても、安定した民主主義、確立した法の支配、成熟した経済、豊かな文化を擁する我が国は、普遍的価値に基づく政策を掲げ、国際秩序の強化に向けた取組を確固たる覚悟を持って主導していく。

| | Comments (0)

2022.12.17

OECD 「信頼性のあるガバメントアクセスに関する高次原則に係る閣僚宣言」を採択

こんにちは、丸山満彦です。

2022.12.14-15に経済協力開発機構(OECD)デジタル経済政策委員会(CDEP)閣僚会合がスペインのグランカナリアで開催され、「信頼性のあるガバメントアクセスに関する高次原則に係る閣僚宣言」を採択されたようですね。。。

「既存の法的枠組みの下で国家安全保障と法執行機関が個人データにアクセスする方法を明確にすることにより、世界経済のデジタル変革の中心である国境を越えたデータの流れに対する信頼を改善することを目指している。」ということですので、日本でもどのように法整備がされるのか興味深いところです。。。

 

OECD

・2022.12.14 Landmark agreement adopted on safeguarding privacy in law enforcement and national security data access

Landmark agreement adopted on safeguarding privacy in law enforcement and national security data access 法執行および国家安全保障のためのデータ・アクセスにおけるプライバシーの保護に関する画期的な合意が採択された
14/12/2022 - OECD countries today adopted the first intergovernmental agreement on common approaches to safeguarding privacy and other human rights and freedoms when accessing personal data for national security and law enforcement purposes. 2022年12月14日 - OECD諸国は本日、国家安全保障および法執行の目的で個人データにアクセスする際にプライバシーおよびその他の人権と自由を保護するための共通のアプローチに関する初の政府間協定を採択した。
The OECD Declaration on Government Access to Personal Data Held by Private Sector Entities seeks to improve trust in cross-border data flows – which are central to the digital transformation of the global economy – by clarifying how national security and law enforcement agencies can access personal data under existing legal frameworks. It marks a major political commitment by the 38 OECD countries and the European Union that signed up to it during the OECD’s 2022 Digital Economy Ministerial Meeting. The Declaration is also open for adherence by other countries. 民間企業が保有する個人データへの政府アクセスに関するOECD宣言は、既存の法的枠組みの下で国家安全保障と法執行機関が個人データにアクセスする方法を明確にすることにより、世界経済のデジタル変革の中心である国境を越えたデータの流れに対する信頼を改善することを目指している。これは、OECDの2022年デジタル経済閣僚会議で署名したOECD加盟国38カ国と欧州連合による大きな政治的コミットメントを意味する。また、この宣言は、他の国々による順守にも門戸を開いている。
“Being able to transfer data across borders is fundamental in this digital era for everything from social media use to international trade and cooperation on global health issues. Yet, without common principles and safeguards, the sharing of personal data across jurisdictions raises privacy concerns, particularly in sensitive areas like national security,” OECD Secretary-General Mathias Cormann said, launching the Declaration during the OECD Digital Economy Ministerial Meeting. “Today’s landmark agreement formally recognises that OECD countries uphold common standards and safeguards. It will help to enable flows of data between rule-of-law democracies, with the safeguards needed for individuals’ trust in the digital economy and mutual trust among governments regarding the personal data of their citizens.” OECDデジタル経済閣僚会議において、マティアス・コーマン事務総長はこの宣言を発表し、次のように述べた。「国境を越えてデータを転送できることは、このデジタル時代において、ソーシャルメディアの利用から国際貿易、世界的な健康問題への協力に至るまで、すべての基本的なことである。しかし、共通の原則やセーフガードなしに、個人データを国境を越えて共有することは、特に国家安全保障のような機密性の高い分野において、プライバシーに関する懸念を引き起こす。本日の画期的な合意は、OECD加盟国が共通の基準とセーフガードを支持することを正式に認めるものである。この協定は、デジタル経済における個人の信頼と、国民の個人データに関する政府間の相互信頼に必要なセーフガードを備えた、法治民主主義国家間のデータの流れを可能にするのに役立つだろう。」
The Declaration, which rejects any approach to government access to personal data inconsistent with democratic values and the rule of law, is the result of two years of work by the OECD with a group of country experts in data protection, national security, and law enforcement. The project stemmed from growing concerns that the absence of common principles in the sensitive domains of law enforcement and national security could lead to undue restrictions on data flows. Another motivating factor is a desire to increase trust among rule-of-law democratic systems that, while not identical, share significant commonalities. この宣言は、民主主義の価値と法の支配に反する個人情報への政府によるアクセスを拒否するもので、OECDがデータ保護、国家安全保障、法執行の各国専門家のグループと2年にわたる作業を行った成果である。このプロジェクトは、法執行と国家安全保障というセンシティブな領域において共通の原則が存在しないことが、データの流れに不当な制限を加えることにつながるという懸念の高まりに端を発している。また、同一ではないものの、重要な共通点を持つ法治主義の民主主義システム間の信頼を高めたいという願いも動機の一つとなっている。
The Declaration complements the OECD Privacy Guidelines, one of the OECD’s flagship achievements dating back to 1980 and the basis of many countries’ privacy rules. Last updated in 2013, the Privacy Guidelines provide a common reference point for the protection of personal data and aim to facilitate cross-border data flows while upholding democratic values, the rule of law and the protection of privacy and other rights and freedoms. Crucially, however, they allow for exceptions for national security and law enforcement purposes. This new Declaration articulates a set of shared principles that reflect commonalities drawn from OECD members’ existing laws and practices and complement each other in protecting privacy and other human rights and freedoms. この宣言は、1980年に遡るOECDの主要な成果の一つであり、多くの国のプライバシールールの基礎となっているOECDプライバシーガイドラインを補完するものである。2013 年に最終更新されたプライバシー・ガイドラインは、個人データ保護のための共通の基準点 を提供し、民主的価値、法の支配、プライバシーおよびその他の権利と自由の保護を堅持しつつ、国境を 越えたデータの流れを容易にすることを目的としている。しかし、重要なことは、国家安全保障と法執行の目的のための例外を認めていることである。この新しい宣言は、OECD加盟国の既存の法律と慣行から引き出された共通点を反映し、プライバシーと他の人権と自由を保護する上で互いに補完し合う一連の共有原則を明示している。
The principles set out how legal frameworks regulate government access; the legal standards applied when access is sought; how access is approved, and how the resulting data is handled; as well as efforts by countries to provide transparency to the public. They also tackle some of the thornier issues – such as oversight and redress – that have proved challenging to policy discussions for many years. (See the full official text.) この原則は、法的枠組みがどのように政府のアクセスを規制しているか、アクセスが求められる際に適用される法的基準、アクセスがどのように承認され、その結果得られるデー タがどのように取り扱われるか、また、国民に透明性を提供するための各国の努力について定めている。また、長年にわたり政策論争で難問とされてきた監視や救済といった難しい問題にも取り組んでいる。(公式テキスト全文参照)
The Declaration on Government Access is an important milestone in the OECD’s work to support countries in promoting trust in cross-border data flows. The Declaration complements the OECD’s Going Digital project, which in its current and third phase focuses on data governance for growth and well-being and offers evidence-based solutions to critical data governance challenges that countries face. Deliverables from this phase of the project, concluded at the Ministerial Meeting, include the Going Digital Guide to Data Governance Policy Making and the report Going Digital to Advance Data Governance for Growth and Well-being. 政府アクセスに関する宣言は、国境を越えたデータの流れに対する信頼を促進するために各国を支援する OECD の活動において重要なマイルストーンとなるものである。この宣言は、OECD の Going Digital プロジェクトを補完するものであり、現在進行中の第 3 フェーズでは、成長と幸福のためのデータガバナンスに焦点を当て、各国が直面する重要なデータガバナンスの課題に対して、証拠に基づく解決策を提示している。このプロジェクトのこのフェーズからの成果物は、閣僚会議で終了した「データガバナンス政策立案のためのGoing Digitalガイド」と報告書「成長と幸福のためのデータガバナンスを推進するためのGoing Digital」が含まれている。
See more on the 2022 OECD Digital Economy Ministerial Meeting. 2022年OECDデジタルエコノミー閣僚会議の詳細はこちら。
For further information, journalists are invited to contact Catherine Bremer in the OECD Media Office (+33 1 45 24 80 97). 詳細については、ジャーナリストの方はOECDメディアオフィスのキャサリン・ブレマー(+33 1 45 24 80 97)までご連絡ください。
Working with over 100 countries, the OECD is a global policy forum that promotes policies to preserve individual liberty and improve the economic and social well-being of people around the world. OECDは100カ国以上と協力し、個人の自由を守り、世界中の人々の経済的・社会的福祉を向上させるための政策を推進するグローバルな政策フォーラムである。
Also Available こちらも参照のこと
Adopción de un acuerdo histórico para salvaguardar la privacidad en el acceso a datos policiales y de seguridad nacional 警察・治安情報へのアクセスにおけるプライバシーの保護に関する歴史的な協定の採択

 

宣言の内容は次の通りです。

なお、仮訳は個人情報保護委員会の仮訳を写しているので、いつもより正確です(^^)

Declaration on Government Access to Personal Data held by Private Sector Entities

 

個人情報保護委員会

・2022.12.16 経済協力開発機構(OECD)デジタル経済政策委員会(CDEP)閣僚会合(令和4年12月)

・[PDF]

20221217-83252

・[PDF] 仮訳

20221217-83800

 

Declaration on Government Access to Personal Data held by Private Sector Entities 民間部門が保有する個人データに対するガバメントアクセスに関する宣言(仮訳)
WE THE MINISTERS AND REPRESENTATIVES OF Australia, Austria, Belgium, Canada, Chile, Colombia, Costa Rica, the Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland, Ireland, Israel, Italy, Japan, Korea, Latvia, Lithuania, Luxembourg, Mexico, the Netherlands, New Zealand, Norway, Poland, Portugal, the Slovak Republic, Slovenia, Spain, Sweden, Switzerland, Türkiye, the United Kingdom, the United States, and the European Union, met in the Island of Gran Canaria in Spain, on 14-15 December 2022, under the leadership of Spain as Ministerial Chair and with Denmark, Japan, Türkiye, the United Kingdom and the United States as Vice-Chairs, for the meeting of the Committee on Digital Economy Policy (CDEP) at Ministerial level under the theme “driving long-term recovery and economic growth by building a trusted, sustainable, and inclusive digital future”. 我々、オーストラリア、オーストリア、ベルギー、ブルガリア、カナダ、チリ、コロンビア、コスタリカ、クロアチア、チェコ共和国、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、アイスランド、アイルランド、イスラエル、イタリア、日本、韓国、ラトビア、リトアニア、ルクセンブルグ、メキシコ、オランダ、ニュージーランド、ノルウェー、ペルー、ポーランド、ポルトガル、ルーマニア、スロバキア共和国、スロベニア、スペイン、スウェーデン、スイス、トルコ、英国、米国並びに欧州連合の閣僚及び代表者は、2022 年 12 月 14 日から 15 日まで、スペインのグランカナリア島において、議長国のスペイン並びに副議長国のデンマーク、日本、トルコ、英国及び米国のリーダーシップの下、「信頼性のある、持続可能で、包摂的なデジタルの未来の構築による、長期的な復興及び経済成長の促進」をテーマに、デジタル経済政策委員会(CDEP)の閣僚会合を開催した。
Legitimate government access on the basis of common values 共通の価値観に基づく正当なガバメントアクセス 
WE RECALL our shared commitment to upholding democracy and the rule of law, protecting privacy and other human rights and freedoms, promoting data free flow with trust in the digital economy, and maintaining a global, open, accessible, interconnected, interoperable, reliable and secure Internet. 我々は、民主主義と法の支配の堅持、プライバシー及びその他の人権と自由の保護、デジタル経済における信頼性のある自由なデータ流通の促進並びにグローバルで、開かれた、アクセス可能な、相互に接続された、相互運用性があり、信頼性が高く、かつ、安全なインターネットの維持への我々の共通のコミットメントを想起する。
WE RECOGNISE that ongoing digital transformation is creating more data, including personal data, as digital technologies are used across all sectors of the global economy. 我々は、グローバル経済のあらゆる分野でデジタル技術が利用されるようになり、現在進行中のデジタル・トランスフォーメーションが、個人データを含むより多くのデータを生み出していることを認識する。
WE FURTHER RECOGNISE the central role of data in the functioning of our societies and economies, and that cross-border data flows underpin international trade and global commerce and economic co-operation and development; greatly contribute to innovation and research and development across sectors; and are necessary to conduct business and to advance economic and societal goals. 我々はさらに、社会や経済が機能するに当たってのデータの中核的な役割と共に、国境を越えたデータの流通が国際貿易及びグローバルな通商並びに経済協力及び開発を支え、分野を越えたイノベーション及び研究開発に大きく貢献し、ビジネスの実施と経済及び社会の目標の進展のために必要であることを認識する。
WE RECALL the 1980 Recommendation concerning OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, last revised in 2013 [OECD/LEGAL/0188] (hereafter, “OECD Privacy Guidelines”), which provides a basic common reference point for the protection of personal data, whether in the public or private sector, and promotes and facilitates the transborder flows of personal data while upholding democratic values, the rule of law and the protection of privacy and other human rights and freedoms. 我々は、プライバシー保護と個人データの国境を越えた流通に関する OECD ガイドラインに係る 1980 年の勧告(2013 年に最終改訂[OECD/LEGAL/0188])(以下「OECD プライバシーガイドライン」という。)を、官民問わず個人データ保護のための基本的な共通の基準を提供し、民主的価値、法の支配、プライバシー及びその他の人権と自由の保護を堅持しつつ、個人データの国境を越えた流通を促進・円滑化するものとして想起する。
WE RECOGNISE the sovereign duty and responsibility of every country to protect the safety of its population by preventing, detecting and confronting criminal activity and threats to public order and national security, in adherence to democratic values, the rule of law, and the protection of privacy and other human rights and freedoms. 我々は、民主的価値、法の支配、プライバシー及びその他の人権と自由の保護を堅持しつつ、犯罪行為及び公の秩序と国家の安全に対する脅威を防止し、探知し及びこれらに対処することにより、国民の安全を保護するというすべての国における主権的義務と責任を認識する。
WE ACKNOWLEDGE that government access to personal data held by private sector entities is recognised in our national legal frameworks as essential to meeting these sovereign duties and responsibilities, and that law enforcement and national security authorities are therefore vested with powers to lawfully access such data. 我々は、民間部門が保有する個人データへのガバメントアクセスが、これらの主権的義務と責任を果たすために不可欠なものとして国内の法的枠組みで認識されており、したがって法執行機関や国家安全保障当局が、これらのデータに合法的にアクセスする権限を付与されていることを認める。
WE REJECT any approach to government access to personal data held by private sector entities that, regardless of the context, is inconsistent with democratic values and the rule of law, and is unconstrained, unreasonable, arbitrary or disproportionate. Such approaches violate privacy and other human rights and freedoms, breach international obligations, undermine trust and create a serious impediment to data flows to the detriment of the global economy. By contrast, our countries’ approach to government access is in accordance with democratic values; safeguards for privacy and other human rights and freedoms; and the rule of law including an independent judiciary. These protections also contribute to promoting trust by private sector entities in meeting their responsibilities in this context. 我々は、民間部門が保有する個人データへのガバメントアクセスについて、いかなる事情によるものであっても、民主的価値や法の支配と矛盾し、無制限で不合理、恣意的で比例的ではないあらゆるアプローチを拒絶する。このようなアプローチは、プライバシー及びその他の人権と自由を侵害し、国際的な義務に違反し、信頼を損ない、データの流通に深刻な障害をもたらすことになり、結果、世界経済に損害をもたらすものである。対照的に、ガバメントアクセスに対する我々の国のアプローチは、民主的価値、プライバシー及びその他の人権と自由に対する保護措置、独立した司法を含む法の支配に従うものである。また、これらの保護は、これに関連して自らの責任を果たすに当たっての民間部門が醸成する信頼の促進にも寄与する。
WE EMPHASISE, taking into account the justified exceptions to the OECD Privacy Guidelines on grounds of law enforcement and national security, the importance of enhancing trust based on a common understanding of the protections that our countries apply when accessing personal data held by private sector entities in these circumstances. 我々は、法執行及び国家安全保障を理由とする OECD プライバシーガイドラインの正当な例外を考慮しつつ、そのような状況下で民間部門が保有する個人データにアクセスする際に我々の国が適用する保護に係る共通の理解に基づき、信頼を高めることの重要性を強調する。  
WE RECOGNISE that our existing practices and safeguards, in this regard, while not identical to one another, are founded upon similar principles that reflect a shared commitment to protecting privacy and other human rights and freedoms. 我々は、この点に関して、我々の既存の実務と保護措置が、それぞれ同一ではないものの、プライバシー及びその他の人権と自由の保護への共通のコミットメントを反映した類似の原則に基づいていることを認識する。  
WE NOTE stakeholders’ calls for additional work and engagement to identify existing common safeguards in OECD Member countries to protect privacy and freedom of expression, and therefore promote trust, in the context of purchasing commercially available personal data, accessing publicly available personal data, and receiving voluntary disclosures of personal data by law enforcement and national security authorities. 我々は、法執行機関及び国家安全保障当局による、市場で入手可能な個人データの購入、公に入手可能な個人データへのアクセス及び自発的に開示される個人データの受領に当たって、プライバシーと表現の自由を保護し、その結果信頼を促進するために、OECD 加盟国における既存の共通の保護措置を見出すための追加的な作業と関与を求めるステークホルダーの声に留意する。 
WE REITERATE our ambition to build a shared understanding among like-minded democracies of protections for privacy and other human rights and freedoms in place for law enforcement and national security access to personal data held by private sector entities in order to better inform efforts to promote data free flow with trust. 我々は、信頼性のある自由なデータ流通の促進のための取組みをより良く知らせるために、民間部門が保有する個人データへの法執行及び国家安全保障上のアクセスに対して実施中のプライバシー及びその他の人権と自由の保護について、志を同じくする民主主義国の間で共通の理解を構築するという我々の野心を再度表明する。  
Promoting trust in cross-border data flows データの国境を越えた流通における信頼の促進 
WE REAFFIRM our commitment to data free flow with trust as a means of providing confidence to individuals and businesses when transferring personal data internationally. 我々は、個人データの国際的な移転に際して、個人や企業に信頼をもたらす手段としての、信頼性のある自由なデータ流通へのコミットメントを再確認する。 
WE REGARD the below principles as an important expression of our shared democratic values and commitment to the rule of law, which distinguishes our countries from other countries whose law enforcement or national security access to personal data are inconsistent with democratic values and the rule of law, are unconstrained, unreasonable, arbitrary or disproportionate, or amount to violations of human rights. 我々は、以下の原則を、我々が共有する民主的価値と法の支配へのコミットメントの重要な表明であるとみなす。これは、我々の国と、法執行又は国家安全保障上の個人データへのアクセスが民主的価値及び法の支配と矛盾し、無制限で不合理、恣意的で比例的ではない、又は人権侵害に相当する他国とを区別するものである。 
WE RECOGNISE that where our legal frameworks require that transborder data flows are subject to safeguards, our countries take into account a destination country’s effective implementation of the principles as a positive contribution towards facilitating transborder data flows in the application of those rules. 我々は、法的枠組みによりデータの国境を越えた流通が保護措置に従う必要がある場合には、我々の国が、それらの規則の適用において、データ移転先国におけるこれらの原則の効果的な実施を、データの国境を越えた流通の促進に向けて積極的に寄与するものとして考慮することを認識する。 
Principles for government access to personal data held by private sector entities 民間部門が保有する個人データへのガバメントアクセスに関する原則  
WE DECLARE the following shared principles as reflecting commonalities drawn from OECD Members’ existing laws and practices. These principles: 我々は、OECD 加盟国の既存の法と実務から導き出された共通点を反映するものとして、以下の共通の原則を宣言する。 これらの原則は、 
●complement each other in protecting privacy and other human rights and freedoms; •       プライバシー及びその他の人権と自由を保護するために、互いに補完する。  
●apply to government access to and processing of personal data in the possession or control of private sector entities when governments are pursuing law enforcement and national security purposes within their respective territories in accordance with their national legal framework, including situations where countries have the authority under their national legal framework to mandate that private sector entities provide data to the government when the private sector entity or data are not located within their territory (hereafter referred to as “government access”); •       民間部門又はデータが自国の領域内に存在しない場合において当該民間部門に政府へのデータ提供を義務付ける法的枠組みによる権限を国家が有するという状況を含め、政府が自国の法的枠組みに従ってそれぞれの領域内で法執行及び国家安全保障の目的を追求する場合に、民間部門が保有又は管理する個人データへ政府がアクセスし、これを処理すること(以下「ガバメントアクセス」という。)に適用される。  
●are interpreted subject to national legal frameworks and may be applied by countries in different manners, depending on the specific context and circumstances, such as the type of access sought; •       各国の法的枠組みに従って解釈され、求めるアクセスの類型など特定の文脈や状況に応じて、各国によって異なる態様で適用され得る。 
●should be read in light of the following definitions: •       以下の定義に照らして解釈されるべきである。  
a)“Personal data” refers to any information relating to an identified or identifiable individual. a)     「個人データ」とは、識別された又は識別可能な個人に関するすべての情報をいう。 
b)“Legal framework” for government access to personal data refers to national laws, executive or judicial orders, administrative regulations, case law, and other legally binding instruments or requirements, including legal obligations arising from international and supranational law as applicable in the country. b)     ガバメントアクセスの「法的枠組み」とは、国内法、行政命令及び司法命令、行政規則、判例法その他の法的拘束力のある文書又は要件をいい、当該国で適用される国際法及び超国家法から生じる法的義務を含む。 
c)“Private sector entities” refers to individuals and any non-governmental for-profit and not-for-profit organisations. c)     「民間部門」とは、個人並びにあらゆる非政府の営利及び非営利の組織をいう。 
These principles are: 原則は以下のとおりである。  
I.Legal basis I. 法的根拠  
Government access to personal data held by private sector entities is provided for and regulated by the country’s legal framework, which is binding on government authorities and is adopted and implemented by democratically established institutions operating under the rule of law. The legal framework sets out purposes, conditions, limitations and safeguards concerning government access, so that individuals have sufficient guarantees against the risk of misuse and abuse. 民間部門が保有する個人データへのガバメントアクセスは、当該国の法的枠組みによってその根拠が定められ、また、規制される。この法的枠組みは、政府当局を拘束し、また、法の支配の下で活動する民主的に設立された機関によって採用され、実施される。この法的枠組みは、個人が悪用・濫用のリスクに対して十分な保証を得られるよう、ガバメントアクセスに関する目的、条件、制限及び保護措置を定める。  
II.Legitimate aims II. 正当な目的  
Government access supports the pursuit of specified and legitimate aims. Governments seek access only for such aims, in conformity with the rule of law. Government access is carried out in a manner that is not excessive in relation to the legitimate aims and in accordance with legal standards of necessity, proportionality, reasonableness and other standards that protect against the risk of misuse and abuse, as set out in and interpreted within the country’s legal framework. ガバメントアクセスは、特定された正当な目的の追求を支援するものである。政府は、法の支配に従いつつ、当該目的のためだけにアクセスを求める。ガバメントアクセスは、正当な目的に照らして過剰ではない方法で、かつ、必要性、比例性、合理性という法的な基準及び悪用・濫用のリスクから保護するその他の基準に基づき、当該国の法的枠組みで規定され、解釈されるとおりに実施されるものである。 
Governments do not seek access to personal data for the purpose of suppressing or burdening criticism or dissent; or disadvantaging persons or groups solely on the basis of characteristics including, but not limited to: age, mental or physical disability, ethnicity, indigenous status, gender identity or expression, sexual orientation, or political or religious affiliation. 政府は、批判や反対意見を抑えたり、圧迫したりする目的のために、また、年齢、精神障害若しくは身体障害、民族性、先住民の地位、ジェンダーのアイデンティティー若しくは表現、性的志向、又は政治的若しくは宗教的所属を含むがこれらに限らない特性のみに基づいて特定の個人や集団に不利益を被らせる目的のために、個人データへのアクセスを求めない。
III.Approvals III. 承認 
Prior approval (“approval”) requirements for government access are established in the legal framework to ensure that access is conducted in accordance with applicable standards, rules and processes. They are commensurate with the degree of interference with privacy and other human rights and freedoms that will occur as a result of government access. Such requirements specify the criteria for seeking and granting approval, the procedure to be followed, and the entity providing the approval. 適用される基準、規則及び手続きに従ってアクセスが行われることを確保するため、ガバメントアクセスに対する事前承認(「承認」)の要件は、法的枠組みにおいて確立される。これらの要件は、ガバメントアクセスの結果として生じるプライバシー及びその他の人権と自由への干渉の程度に見合うものである。これらの要件は、承認を求め、付与するための基準、従うべき手続き及び承認を付与する主体を規定する。 
Stricter approval requirements are in place for cases of more serious interference, and may include seeking approval from judicial or impartial non-judicial authorities. Emergency exceptions to approval requirements are provided for in the legal framework, and are clearly defined, including justifications, conditions, and duration. より厳格な承認要件は、より深刻な干渉の場合に設けているものであり、司法当局又は公平な非司法当局からの承認を求めることが含まれ得る。緊急事態における承認要件の例外措置は、法的枠組みにおいて規定されるとともに、正当化根拠、条件及び期間を含めて明確に定義される。  
Decisions on approvals are appropriately documented. They are made objectively, on a factual basis in pursuit of a specified and legitimate aim and upon satisfaction that the approval requirements are met. 承認に係る判断は適切に文書化される。それらの判断は、客観的に、事実に基づいて特定された正当な目的を追求する場合において、かつ、承認要件が満たされていることを確認した上で、行われる。 
In situations where approval is not required, other safeguards established in the legal framework apply to protect against misuse and abuse, including clear rules that impose conditions or limitations on the access, as well as effective oversight. 承認が必要ない場合は、悪用・濫用から保護するために、アクセスに条件や制限を課す明確なルールや、効果的な監督など、法的枠組みで定められた他の保護措置が適用される。 
IV.Data handling IV. データの取扱い  
Personal data acquired through government access can be processed and handled only by authorised personnel. Such processing and handling is subject to requirements provided for in the legal framework that include putting in place physical, technical and administrative measures to maintain privacy, security, confidentiality, and integrity. They also include mechanisms to ensure that personal data are processed lawfully, are retained only for as long as authorised in the legal framework in view of the purpose and taking into account the sensitivity of the data, and are kept accurate and up to date to the extent appropriate having regard to the context. ガバメントアクセスを通じて取得した個人データは、権限を与えられた者のみが処理し、取り扱うことができる。このような処理及び取扱いは、プライバシー、セキュリティ、機密性及び完全性を維持するための物理的、技術的及び管理上の措置を講じることを含む、法的枠組みで規定された要件に従うものとする。これには、個人データが、合法的に処理されること、目的に照らし、また、データの機微性も踏まえて、法的枠組みで許容される限りにおいてのみ保持されること、そして、事情を考慮のうえ適切な範囲で正確かつ最新の状態に保たれることを確保するためのメカニズムも含まれる。  
Internal controls are put in place to detect, prevent and remedy data loss or unauthorised or accidental data access, destruction, use, modification, or disclosure, and to report such instances to oversight bodies. データの喪失、データへの不正若しくは偶発的なアクセス、又はデータの破壊、利用、変更若しくは開示を探知し、防止し、及び是正するために、また、そのような事例を監督機関に報告するために、内部統制が行われる。 
V.Transparency V. 透明性  
The general legal framework for government access is clear and easily accessible to the public so that individuals are able to consider the potential impact of government access on their privacy and other human rights and freedoms. 個人がガバメントアクセスによるプライバシー及びその他の人権と自由への潜在的な影響を考慮することができるように、ガバメントアクセスに関する一般的な法的枠組みは、明確で、かつ、公衆にとって容易にアクセス可能なものである。  
Mechanisms exist for providing transparency about government access to personal data that balance the interest of individuals and the public to be informed with the need to prevent the disclosure of information that would harm national security or law enforcement activities. 個人データに対するガバメントアクセスに関する透明性を提供するためのメカニズムが存在する。これらのメカニズムは、個人や公衆が情報を受ける利益と、国家安全保障又は法執行の活動に支障を及ぼす情報開示を防止する必要性とのバランスをとるものである。 
These mechanisms include public reporting by oversight bodies on government compliance with legal requirements as well as procedures for requesting access to government records. Other measures include, for instance, regular reporting by governments and, where applicable, individual notification. これらのメカニズムには、政府の法的要件の遵守に関する監督機関の公開の報告や、政府の記録へのアクセスを要求するための手続などが含まれる。その他の措置には、例えば、政府による定期的な報告や、該当する場合の個人への通知が含まれる。  
Private sector entities are allowed to issue aggregate statistical reports regarding government access requests in conformity with the legal framework. 民間部門は、法的枠組みに従って、ガバメントアクセスに係る要請に関する統計報告を公表することが認められる。 
VI.Oversight VI. 監督  
Mechanisms exist for effective and impartial oversight to ensure that government access complies with the legal framework. ガバメントアクセスが法的枠組みを遵守していることを確保するために、効果的かつ公平な監督のためのメカニズムが存在する。  
Oversight is provided through bodies including internal compliance offices, courts, parliamentary or legislative committees and independent administrative authorities. 監督は、組織内のコンプライアンス担当部門、裁判所、議会又は立法機関、独立した行政機関などの組織を通じて行われる。  
Countries’ oversight systems are comprised of such bodies acting according to their individual mandates and that have powers that include the ability to obtain and review relevant information, conduct investigations or inquiries, execute audits, engage with government entities on compliance and mitigation, and address non-compliance. In addition, such bodies receive and respond to reports of non-compliance to ensure that government entities are accountable, and may also exercise redress functions in response to individuals’ complaints. 各国の監督システムは、このような組織がそれぞれに付与された権限に従って活動することによって成り立っている。このような組織は、関連情報の入手と審査、調査又は照会の実施、監査の実施、法的枠組みの遵守と改善に関する政府機関への関与、法的枠組みの違反への対処などの権限を有する。また、このような組織は、政府機関の説明責任を確保するために法的枠組みの違反の報告を受け、それに対応するものであり、また、個人の苦情を受けて救済の任務を行使することが可能である  
In the exercise of their functions, oversight bodies are protected from interference and have the financial, human and technical resources to effectively carry out their mandate. They document their findings, produce reports, and make recommendations, which are made publicly available to the greatest extent possible. 監督機関は、職務を遂行するに当たり、干渉されることなく、また、効果的に職務を遂行するための財政的、人的及び技術的資源を有するものである。監督機関は調査結果を文書化し、報告書を作成し、勧告を行い、それらは可能な限り一般に公開される。 
VII.Redress VII. 救済  
The legal framework provides individuals with effective judicial and non-judicial redress to identify and remedy violations of the national legal framework. 法的枠組みによって、個人に対して、国内の法的枠組みに対する違反を特定し、是正するための効果的な司法的・非司法的救済が提供される。   
Such redress mechanisms take into account the need to preserve confidentiality of national security and law enforcement activities. This may include limitations on the ability to inform individuals whether their data were accessed or whether a violation occurred. このような救済メカニズムにおいては、国家安全保障及び法執行の活動の機密保持の必要性が考慮される。これには、自分のデータに対してアクセスが行われたかどうか、又は違反が発生したかどうかを個人に通知することを制限することが含まれ得る。 
Available remedies include, subject to applicable conditions, terminating access, deleting improperly accessed or retained data, restoring the integrity of data and the cessation of unlawful processing. They may also include, depending on the circumstances, compensation for damages suffered by an individual. 利用可能な救済措置には、適用される条件に従って、アクセスの停止、不適切にアクセス又は保持されたデータの削除、データの完全性の回復及び違法な処理の停止が含まれる。また、状況によっては、個人が被った損害の補償も含まれ得る。 
WE WELCOME the work of the OECD on data free flow with trust and WE CALL on the Organisation to support countries in their promotion of this Declaration. 我々は、OECD による信頼性のある自由なデータ流通に関する取組みを歓迎し、各国がこの宣言を推進するに当たり OECD がこれを支援することを求める。  

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.12.20 OECD 「信頼性のある、持続可能で、包摂的なデジタルの未来」に関する閣僚宣言 (2022.12.15)

 

 

| | Comments (0)

中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

こんにちは、丸山満彦です。

中国では、インターネット情報サービス深層合成管理規定が制定され、深層合成で作ったものにはマークをつけなければならなくなるようですね。。。2023年1月10日に施行です。。。


中华人民共和国中央人民政府 - 政策 - 国务院政策文件库 - 国务院部门文件

・2022.11.25 国家互联网信息办公室 中华人民共和国工业和信息化部 中华人民共和国公安部 令 第12号

 

国家互联网信息办公室 国家サイバースペース管理局
中华人民共和国工业和信息化部 中華人民共和国工業・情報化部
中华人民共和国公安部 中華人民共和国公安部
第12号 第12号
《互联网信息服务深度合成管理规定》已经2022年11月3日国家互联网信息办公室2022年第21次室务会议审议通过,并经工业和信息化部、公安部同意,现予公布,自2023年1月10日起施行。 「インターネット情報サービス深層合成管理規定」は、2022年11月3日に開催された国家インターネット情報弁公室の第21回室内会議で検討・採択され、工業情報化部及び公安部の同意を得たので、ここに公布し、2023年1月10日から施行する。
国家互联网信息办公室主任 庄荣文 国家サイバースペース管理局局長 庄荣文
工业和信息化部部长 金壮龙 産業情報化部部長 金壮龍
公安部部长 王小洪 公安部長 王小洪
2022年11月25日 2022年11月25日
互联网信息服务深度合成管理规定 インターネット情報サービス深層合成管理規定
第一章 总则 第一章 総則
第一条 为了加强互联网信息服务深度合成管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。 第1条 インターネット情報サービスの綿密な総合管理を強化し、社会主義核心価値観を促進し、国家の安全と社会公共の利益を保護し、国民、法人及びその他の組織の合法的権益を守るため、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法、インターネット情報サービス管理弁法及びその他の法律に基づいて、以下のように制定される。 
第二条 在中华人民共和国境内应用深度合成技术提供互联网信息服务(以下简称深度合成服务),适用本规定。法律、行政法规另有规定的,依照其规定。 第2条 中華人民共和国の領域において、深層合成技術を応用してインターネット情報サービス(以下、深層合成サービスという)を提供する場合、その規定を適用するものとする。 法律及び行政法規に別段の定めがある場合、その定めに従う。
第三条 国家网信部门负责统筹协调全国深度合成服务的治理和相关监督管理工作。国务院电信主管部门、公安部门依据各自职责负责深度合成服务的监督管理工作。 第3条 国家ネットワーク情報部門は、国家深層部総合サービスのガバナンスと関連する監督管理を調整する責任を負う。 国務院電信主管部門、公安部門は、それぞれの職務に応じて、深層合成サービスの監督と管理を担当している。
地方网信部门负责统筹协调本行政区域内的深度合成服务的治理和相关监督管理工作。地方电信主管部门、公安部门依据各自职责负责本行政区域内的深度合成服务的监督管理工作。 地域ネットワーク情報部門は、行政区域内の深層合成サービスのガバナンスと関連する監督管理を調整する役割を担っている。 担当の地方電信部門、公安部門は、それぞれの職務によると、監督と行政区域内の合成サービスの深さの管理を担当している。
第四条 提供深度合成服务,应当遵守法律法规,尊重社会公德和伦理道德,坚持正确政治方向、舆论导向、价值取向,促进深度合成服务向上向善。 第4条 深層合成サービスを提供し、法令を遵守し、社会道徳や倫理を尊重し、正しい政治の方向、世論の指導、値の方向に付着し、深層合成サービスを上方と下方に促進しなければならない。
第五条 鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,督促指导深度合成服务提供者和技术支持者制定完善业务规范、依法开展业务和接受社会监督。 第5条 関連業界団体が業界の自己規律を強化し、業界標準、業界指針、自主規制管理システムを確立・改善し、深層合成サービス業者と技術支援者が業務規範を策定・改善し、法律に従って業務を遂行し、社会の監督を受け入れるよう監督・指導を行うことを奨励する。
第二章 一般规定 第二章 総則
第六条 任何组织和个人不得利用深度合成服务制作、复制、发布、传播法律、行政法规禁止的信息,不得利用深度合成服务从事危害国家安全和利益、损害国家形象、侵害社会公共利益、扰乱经济和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动。 第6条 いかなる組織及び個人も、深層合成サービスを利用して、法律及び行政法規で禁止されている情報を作成、複写、出版、または流布してはならず、また、深層合成サービスを利用して、国家の安全及び利益を危険にさらす、国家のイメージを損なう、社会の公益を侵害する、経済及び社会の秩序を乱す、他人の合法的権利及び利益を侵害するなどの法律及び行政法規で禁止されている行為に従事してはならない。
深度合成服务提供者和使用者不得利用深度合成服务制作、复制、发布、传播虚假新闻信息。转载基于深度合成服务制作发布的新闻信息的,应当依法转载互联网新闻信息稿源单位发布的新闻信息。 深層合成サービス提供者及び利用者は、深層合成サービスを利用して、虚偽のニュース情報を作成、複製、公表または流布してはならないものとする。 深度合成サービスに基づいて制作・公開されたニュース情報の複製は、法律に従ってインターネットニュース情報源単位で公開されたニュース情報を複製するものとする。
第七条 深度合成服务提供者应当落实信息安全主体责任,建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理制度,具有安全可控的技术保障措施。 第7条 深層合成サービス提供者は、情報セキュリティの主な責任を履行し、安全で制御可能な技術的セキュリティ対策で、ユーザ登録、アルゴリズム機構監査、科学技術倫理審査、情報公開監査、データセキュリティ、個人情報保護、電気通信ネットワーク詐欺防止、緊急処理などの管理システムを構築し、改善しなければならない。
第八条 深度合成服务提供者应当制定和公开管理规则、平台公约,完善服务协议,依法依约履行管理责任,以显著方式提示深度合成服务技术支持者和使用者承担信息安全义务。 第8条 深層合成サービス提供者は、管理規定、プラットフォーム規約を制定・公表し、サービス規約を改善し、法律に従って管理責任を果たし、深層合成サービス技術支援者及び利用者が情報セキュリティ義務を有意に引き受けるように促さなければならない。
第九条 深度合成服务提供者应当基于移动电话号码、身份证件号码、统一社会信用代码或者国家网络身份认证公共服务等方式,依法对深度合成服务使用者进行真实身份信息认证,不得向未进行真实身份信息认证的深度合成服务使用者提供信息发布服务。 第9条 深層合成サービス提供者は、携帯電話番号、身分証明書番号、統一社会信用コードまたは全国ネットワーク身元認証公共サービスなどに基づき、法律に従って深層合成サービス利用者の本当の身元情報を認証し、本当の身元情報を認証していない深層合成サービス利用者に情報公開サービスを提供しないものとする。
第十条 深度合成服务提供者应当加强深度合成内容管理,采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核。 第10条 深層合成サービス提供者は、深層合成コンテンツの管理を強化し、技術的または手動的な方法を採用して、深層合成サービス利用者の入力データ及び合成結果を監査するものとする。
深度合成服务提供者应当建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序,记录并留存相关网络日志。 深層合成サービス提供者は、違法・望ましくない情報を識別するために使用する機能データベースを構築・改善し、データベースへの入力基準、規則、手続きを改善し、関連するウェブログを記録・保存する。
深度合成服务提供者发现违法和不良信息的,应当依法采取处置措施,保存有关记录,及时向网信部门和有关主管部门报告;对相关深度合成服务使用者依法依约采取警示、限制功能、暂停服务、关闭账号等处置措施。 深層合成サービス提供者は、違法かつ望ましくない情報を発見した場合、法律に基づいて廃棄措置を取り、関連記録を保存し、適時にネット文字部門及び関連主管部門に報告し、法律及び契約に基づいて関連深層合成サービス利用者に警告、機能制限、サービス停止、アカウント閉鎖などの廃棄措置を取るものとする。
第十一条 深度合成服务提供者应当建立健全辟谣机制,发现利用深度合成服务制作、复制、发布、传播虚假信息的,应当及时采取辟谣措施,保存有关记录,并向网信部门和有关主管部门报告。 第11条 深層合成サービス提供者は、虚偽の情報を生成、コピー、公開、広めるために深層合成サービスを使用して発見、虚偽の情報のメカニズムを確立し、改善しなければならない、速やかに虚偽の措置を取る、関連記録を保存し、ネット文字部門と関連主務部門に報告するものとする。
第十二条 深度合成服务提供者应当设置便捷的用户申诉和公众投诉、举报入口,公布处理流程和反馈时限,及时受理、处理和反馈处理结果。 第12条 深層合成サービス提供者は、便利なユーザー苦情及び公開苦情・通報ポータルを設置し、処理過程とフィードバック期限を公開し、処理結果を適時に受け取り、処理し、フィードバックしなければならない。
第十三条 互联网应用商店等应用程序分发平台应当落实上架审核、日常管理、应急处置等安全管理责任,核验深度合成类应用程序的安全评估、备案等情况;对违反国家有关规定的,应当及时采取不予上架、警示、暂停服务或者下架等处置措施。 第13条 インターネットのアプリケーションショップや他のアプリケーションの配布プラットフォームは、陳列審査、日常管理、緊急処分やその他のセキュリティ管理責任、セキュリティ評価、ファイリングなどの深層合成アプリケーションの検証を実装する必要がある。関連する国の規制に違反して、棚、警告、サービスや棚や他の処分手段の停止ではないタイムリーに撮影する必要がある。
第三章 数据和技术管理规范 第三章 データ及び技術管理仕様
第十四条 深度合成服务提供者和技术支持者应当加强训练数据管理,采取必要措施保障训练数据安全;训练数据包含个人信息的,应当遵守个人信息保护的有关规定。 第14条 深層合成サービス提供者及び技術支援者は、訓練データの管理を強化し、訓練データの安全性を確保するために必要な措置を講じなければならず、訓練データに個人情報が含まれている場合は、個人情報保護に関する関連規定を遵守しなければならない。
深度合成服务提供者和技术支持者提供人脸、人声等生物识别信息编辑功能的,应当提示深度合成服务使用者依法告知被编辑的个人,并取得其单独同意。 深層合成サービス提供者及び技術支援者が顔や音声などの生体情報を編集する機能を提供する場合、深層合成サービスの利用者に対して、法令に基づき編集される個人を知らせるよう促し、個別の同意を得るものとする。
第十五条 深度合成服务提供者和技术支持者应当加强技术管理,定期审核、评估、验证生成合成类算法机制机理。 第15条 深層合成サービス提供者及び技術支援者は、技術管理を強化し、定期的に合成型アルゴリズムの仕組みの見直し、評価、検証を行うものとする。
深度合成服务提供者和技术支持者提供具有以下功能的模型、模板等工具的,应当依法自行或者委托专业机构开展安全评估: 深層合成サービス提供者及び以下の機能を持つモデル、テンプレート等のツールを提供する技術支援者は、法令に基づき、自らセキュリティ評価を行うか、専門機関に委託するものとする。
(一)生成或者编辑人脸、人声等生物识别信息的; (1) 顔や音声などの生体情報を生成・編集すること。
(二)生成或者编辑可能涉及国家安全、国家形象、国家利益和社会公共利益的特殊物体、场景等非生物识别信息的。 (2) 国家安全保障、国家イメージ、国益、社会的公共性に関わる可能性のある特殊なオブジェクトやシーンなど、生体情報以外の情報を生成または編集すること。
第十六条 深度合成服务提供者对使用其服务生成或者编辑的信息内容,应当采取技术措施添加不影响用户使用的标识,并依照法律、行政法规和国家有关规定保存日志信息。 第16条 深層合成サービス提供者は、法律、行政法規及び国の関連規定に基づいて、そのサービスを利用して生成または編集した情報コンテンツの利用状況に影響を与えない範囲でログを追加し、ログ情報を保存する技術的措置を講じるものとする。
第十七条 深度合成服务提供者提供以下深度合成服务,可能导致公众混淆或者误认的,应当在生成或者编辑的信息内容的合理位置、区域进行显著标识,向公众提示深度合成情况: 第17条 次に掲げる深層合成サービス提供者は、公衆の混乱や誤認を招く恐れがあるため、生成または編集した情報コンテンツの合理的な位置と領域を目立つように表示し、深層合成の状況を公衆に示すものとする。
(一)智能对话、智能写作等模拟自然人进行文本的生成或者编辑服务; (1) 知的対話、知的文章作成、その他自然人をシミュレートして文章を生成・編集するサービス
(二)合成人声、仿声等语音生成或者显著改变个人身份特征的编辑服务; (2) 人間の合成音声、模倣音声、その他の音声生成または編集サービスであって、個人の識別特性を著しく変化させるもの。
(三)人脸生成、人脸替换、人脸操控、姿态操控等人物图像、视频生成或者显著改变个人身份特征的编辑服务; (3) 顔の生成、顔の置き換え、顔の操作、ジェスチャーの操作、その他個人の識別特性を著しく変更するキャラクター画像、ビデオの生成または編集のサービス。
(四)沉浸式拟真场景等生成或者编辑服务; (4) 没入感や臨場感などのあるシーンの生成または編集サービス。
(五)其他具有生成或者显著改变信息内容功能的服务。 (5) その他、情報の内容を生成または大幅に変更する機能を有するサービス。
深度合成服务提供者提供前款规定之外的深度合成服务的,应当提供显著标识功能,并提示深度合成服务使用者可以进行显著标识。 前項以外の深層合成サービスを提供する深層合成サービス提供者は、有意差識別機能を提供し、深層合成サービス利用者に有意差識別を促すものとする。
第十八条 任何组织和个人不得采用技术手段删除、篡改、隐匿本规定第十六条和第十七条规定的深度合成标识。 第18条 組織及び個人は、技術的手段を用いて、本規定第16条及び第17条に規定する深層合成マークを消去、改ざん又は隠蔽してはならない。
第四章 监督检查与法律责任 第四章 監督、検査及び法的責任
第十九条 具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。 第19条 世論属性または社会動員能力を有する深層合成サービス事業者は、「インターネット情報サービスアルゴリズム勧告管理規定」に基づき、申請及び申請変更・取消手続きを行う。
深度合成服务技术支持者应当参照前款规定履行备案和变更、注销备案手续。 深層合成サービス技術支援者は、前項を参照し、申請及び変更、申請の取り消しの手続きを行うものとする。
完成备案的深度合成服务提供者和技术支持者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。 申請を完了したディープシンセシスサービスプロバイダー及びテクニカルサポートは、サービスを提供するウェブサイトやアプリケーションの目立つ位置に、申請番号を表示し、公開情報へのリンクを提供する。
第二十条 深度合成服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的,应当按照国家有关规定开展安全评估。 第20条 オンライン上で世論属性または社会動員能力を有する新製品、アプリケーション及び機能を開発する深層合成サービス提供者は、関連国家法規に基づき、セキュリティ評価を実施しなければならない。
第二十一条 网信部门和电信主管部门、公安部门依据职责对深度合成服务开展监督检查。深度合成服务提供者和技术支持者应当依法予以配合,并提供必要的技术、数据等支持和协助。 第21条 インターネット情報部門、主管電信部門及び公安部門は、その職務に従い、深層合成サービスに対する監督・検査を実施する。深層合成サービス提供者及び技術支援者は、法律に従って協力し、必要な技術、データ及びその他のサポートと支援を提供するものとする。
网信部门和有关主管部门发现深度合成服务存在较大信息安全风险的,可以按照职责依法要求深度合成服务提供者和技术支持者采取暂停信息更新、用户账号注册或者其他相关服务等措施。深度合成服务提供者和技术支持者应当按照要求采取措施,进行整改,消除隐患。 インターネット情報部門及び関連主管部門は、深層合成サービスにおける情報セキュリティのリスクが高まったと判断した場合、その職務に従い、深層合成サービス提供者及び技術支援者に対して、情報更新、ユーザーアカウント登録またはその他の関連サービスの停止などの措置を取るよう要求することができる。深層合成サービス提供者及び技術支援者は、要求事項に従って、隠れた危険の是正及び除去のための措置を講じるものとする。
第二十二条 深度合成服务提供者和技术支持者违反本规定的,依照有关法律、行政法规的规定处罚;造成严重后果的,依法从重处罚。 第22条 深層合成サービス提供者及び技術支援者がこの規定に違反した場合、関連する法律及び行政法規の規定に従って処罰され、重大な結果を引き起こした場合は、法律に従って厳重に処罰されるものとする。
构成违反治安管理行为的,由公安机关依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 公安行政違反に該当する場合は、公安当局が法律に基づいて公安行政処分を行い、犯罪に該当する場合は、法律に基づいて刑事責任を追及することになる。
第五章 附则 第五章 附則
第二十三条 本规定中下列用语的含义: 第23条 この規定における次の用語の意味は、次のとおり。
深度合成技术,是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术,包括但不限于: 深層合成技術とは、深層学習、バーチャルリアリティ、その他の生成合成クラスのアルゴリズムを使用して、テキスト、画像、音声、映像、仮想シーンなどのネットワーク情報技術を生成することを指すが、これらに限定されるものではない。
(一)篇章生成、文本风格转换、问答对话等生成或者编辑文本内容的技术; (1) 章立て、文体変換、質疑応答など、テキストコンテンツを生成・編集する技術。
(二)文本转语音、语音转换、语音属性编辑等生成或者编辑语音内容的技术; (2) 音声合成、音声変換、音声属性編集など、音声コンテンツを生成または編集する技術。
(三)音乐生成、场景声编辑等生成或者编辑非语音内容的技术; (3) 音楽生成、シーンサウンド編集など、音声以外のコンテンツを生成・編集する技術。
(四)人脸生成、人脸替换、人物属性编辑、人脸操控、姿态操控等生成或者编辑图像、视频内容中生物特征的技术; (4) 顔生成、顔置換、文字属性編集、顔操作、ジェスチャー操作など、画像・映像コンテンツにおける生体特徴の生成・編集技術。
(五)图像生成、图像增强、图像修复等生成或者编辑图像、视频内容中非生物特征的技术; (5) 画像生成、画像強調、画像復元など、画像または映像コンテンツにおける非生物的特徴の生成または編集のための技術。
(六)三维重建、数字仿真等生成或者编辑数字人物、虚拟场景的技术。 (6) 3D再構成やデジタルシミュレーションなど、デジタルキャラクターや仮想シーンを生成・編集する技術。
深度合成服务提供者,是指提供深度合成服务的组织、个人。 深層合成サービス提供者とは、深層合成サービスを提供する組織・個人を指す。
深度合成服务技术支持者,是指为深度合成服务提供技术支持的组织、个人。 深層合成サービス技術支援者とは、深層合成サービスの技術支援を行う組織や個人を指す。
深度合成服务使用者,是指使用深度合成服务制作、复制、发布、传播信息的组织、个人。 深層合成サービス利用者とは、深層合成サービスを利用して、情報の作成、複製、出版、普及を行う組織や個人を指す。
训练数据,是指被用于训练机器学习模型的标注或者基准数据集。 学習データとは、機械学習モデルの学習に使用する注釈付きデータセットまたはベンチマークデータを指す。
沉浸式拟真场景,是指应用深度合成技术生成或者编辑的、可供参与者体验或者互动的、具有高度真实感的虚拟场景。 没入型シーンとは、深層合成技術を駆使して生成・編集された、参加者が体験・対話できる臨場感あふれる仮想シーンを指す。
第二十四条 深度合成服务提供者和技术支持者从事网络出版服务、网络文化活动和网络视听节目服务的,应当同时符合新闻出版、文化和旅游、广播电视主管部门的规定。 第24条 オンライン出版サービス、オンライン文化活動、オンライン視聴覚番組サービスに従事する深層総合サービス業者及び技術支援者は、同時に報道出版、文化観光、ラジオ・テレビ局の所轄部門の規定を遵守しなければならない。
第二十五条 本规定自2023年1月10日起施行。 第 25 条 この規定は、2023 年 1 月 10 日から施行する。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.12.11 国家互联网信息办公室等三部门发布《互联网信息服务深度合成管理规定》

国家互联网信息办公室等三部门发布《互联网信息服务深度合成管理规定》 国家インターネット情報弁公室など3部門が「インターネット情報サービス深層合成管理規定」を公布
近日,国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》(以下简称《规定》),自2023年1月10日起施行。国家互联网信息办公室有关负责人表示,出台《规定》,旨在加强互联网信息服务深度合成管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。 このほど、国家インターネット情報弁公室、工業・情報化部、公安部が共同で「インターネット情報サービス深層合成管理規定」(以下「規定」)を公布し、2023年1月10日から施行することになった。 国家インターネット情報弁公室の関係責任者は、本規定の導入は、インターネット情報サービスの管理を深く総合的に強化し、社会主義核心価値を促進し、国家の安全と社会公共の利益を保護し、国民、法人及びその他の組織の合法的権益を保護することを目的としていると述べた。
近年来,深度合成技术快速发展,在服务用户需求、改进用户体验的同时,也被一些不法人员用于制作、复制、发布、传播违法和不良信息,诋毁、贬损他人名誉、荣誉,仿冒他人身份实施诈骗等,影响传播秩序和社会秩序,损害人民群众合法权益,危害国家安全和社会稳定。出台《规定》,是防范化解安全风险的需要,也是促进深度合成服务健康发展、提升监管能力水平的需要。 近年、深層合成技術の急速な発展は、ユーザーのニーズに応え、ユーザー体験を向上させる一方で、一部の不心得者が違法で望ましくない情報を作成、コピー、出版、普及させ、他人の名誉や信用を毀損し、他人になりすまして詐欺行為を行い、通信秩序や社会秩序に影響を与え、人々の正当な権利や利益を損ない、国家の安全や社会の安定を危うくさせた。 「規定」を発行し、防止し、セキュリティリスクの必要性を解決するだけでなく、合成サービスの健全な発展の深さを促進するために、規制能力のレベルを強化することである。
《规定》明确了制定目的依据、适用范围、部门职责和导向要求。明确在中华人民共和国境内应用深度合成技术提供互联网信息服务,适用本规定。明确国家和地方网信部门统筹协调深度合成服务的治理和相关监督管理职责,国务院电信主管部门、公安部门以及地方相关部门的监督管理职责。明确提供深度合成服务的总体要求。鼓励相关行业组织加强行业自律。 本規定は、策定目的の根拠、適用範囲、部門の責任、オリエンテーションの要件などを明確にしている。 インターネット情報サービスを提供するために、中華人民共和国の深層合成技術のアプリケーションを明確にする、規定の適用。 国家と地方のネットワーク情報部門は、深層総合サービス、国務院電気通信部門、公安部門と関連する地方部門の監督管理責任のガバナンスと関連する監督管理責任を調整することを明確にする。 深層合成サービスの提供に関する一般的な要件を明確化する。 関連業界団体に業界の自主規制を強化するよう働きかける。
《规定》明确了深度合成服务的一般规定。强调不得利用深度合成服务从事法律、行政法规禁止的活动。要求深度合成服务提供者落实信息安全主体责任,建立健全管理制度和技术保障措施,制定公开管理规则、平台公约,对使用者进行真实身份信息认证,加强深度合成内容管理,建立健全辟谣机制和申诉、投诉、举报机制。明确应用程序分发平台应当落实安全管理责任,核验深度合成类应用程序相关情况。 本規定は、詳細な深層合成サービスに関する一般的な規定を明確にしたものである。 深層合成のサービスは、法律や行政規則で禁止されている活動を行うために使用してはならないことを強調する。 深層合成サービス提供者に対し、情報セキュリティの主責任の遂行、健全な管理体制と技術的保障措置の確立、公開管理規則とプラットフォーム規約の制定、利用者の実名情報の認証、深層合成コンテンツの管理強化、デマ情報と苦情・苦情処理・通報メカニズムの健全な確立を要求する。 アプリケーション配布プラットフォームは、セキュリティ管理責任を果たし、深層合成型アプリケーションに関連する状況を検証する必要があることを明確にする。
《规定》明确了深度合成数据和技术管理规范。要求深度合成服务提供者和技术支持者加强训练数据管理和技术管理,保障数据安全,不得非法处理个人信息,定期审核、评估、验证算法机制机理。深度合成服务提供者对使用其服务生成或编辑的信息内容,应当添加不影响使用的标识。提供智能对话、合成人声、人脸生成、沉浸式拟真场景等生成或者显著改变信息内容功能的服务的,应当进行显著标识,避免公众混淆或者误认。要求任何组织和个人不得采用技术手段删除、篡改、隐匿相关标识。 本規定は、深層合成のデータ及び技術管理に関する規範を明確にするものである。 深層合成サービス提供者及び技術支援者は、教育データ管理及び技術管理の強化、データセキュリティの保護、個人情報を不正に取り扱わないこと、アルゴリズム機構の定期的な監査、評価及び検証を行うことが求められている。 深層合成サービスのプロバイダーは、そのサービスを利用して生成または編集された情報コンテンツの利用に影響を与えないようなマークを追加する必要がある。 知的対話、合成音声、顔生成、没入型擬似シーンなど、情報コンテンツを生成したり大きく変化させたりする機能を提供するサービスは、公衆の混乱や誤認を避けるために目立つように表示する必要がある。 いかなる組織または個人も、技術的手段を用いて当該ロゴを削除、改ざん、または隠蔽しないことが要求される。
《规定》明确了监督检查与法律责任。明确具有舆论属性或者社会动员能力的深度合成服务提供者、技术支持者应当履行备案和变更、注销备案手续。上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的,应当开展安全评估。深度合成服务提供者、技术支持者应当依法配合网信部门和有关主管部门开展的监督检查,并提供必要的支持和协助。发现存在较大信息安全风险的,网信部门和有关主管部门可以按照职责依法要求其采取暂停信息更新、用户账号注册或者其他服务等措施。明确违反规定的法律责任。 本規定は、監督・検査と法的責任を明確にしている。 綿密な合成サービスの提供者、世論属性や社会動員力のある技術支援者が、ファイリングや変更・解約ファイリングの手続きを行うことが明確になっている。 世論属性や社会動員機能を持つ新しい製品、アプリケーション、機能を稼働させる場合は、セキュリティアセスメントを実施しなければならない。 深層合成サービス提供者と技術支援者は、法律に基づいてインターネット情報部門と関連主管部門が実施する監督と検査に協力し、必要な支援と援助を提供しなければならない。 情報セキュリティのリスクがより高いことが判明した場合、ネットメッセージ部門及び関連する主管部門は、その職務に基づき、情報の更新、ユーザーアカウント登録またはその他のサービスの停止などの措置を取るよう要求することができるものとする。 規定に違反した場合の法的責任を明確にすること。
《规定》明确了相关用语的含义。要求深度合成服务提供者和技术支持者从事网络出版服务、网络文化活动、网络视听节目服务的,应当同时符合有关主管部门的规定。 本規定は、関連する用語の意味を明確にしている。 オンライン出版サービス、オンライン文化活動、オンライン視聴覚番組サービスに従事する深層合成サービス業者と技術支援者も、関連主管部門の規定を遵守するよう求めている。
国家互联网信息办公室有关负责人指出,深度合成服务治理需要政府、企业、社会、网民等多方主体共同参与,推动深度合成技术的依法、合理、有效使用,积极防范化解深度合成技术带来的风险,促进互联网信息服务健康发展,维护网络空间良好生态。 国家インターネット情報弁公室の担当者は、深層合成サービスのガバナンスには、政府、企業、社会、ネットユーザーなど複数の主体が共同で参加し、深層合成技術の合法的、合理的、有効な使用を促進し、深層合成技術がもたらすリスクを積極的に防止・解決し、インターネット情報サービスの健全な発展を促進し、サイバースペースの生態を良好に維持する必要があると指摘している。

 

1_20210705085401

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」



| | Comments (0)

2022.12.16

欧州委員会 米国との安全なデータの流れを確保するための適切な決定の採択に向けたプロセスを開始

こんにちは、丸山満彦です。

欧州委員会が米国との安全なデータの流れを確保するための適切な決定の採択に向けたプロセスを開始しましたね。。。これで、最終確定すれば、大西洋を超えるデータ移転がよりスムーズに行われるようになりますね。。。

 

European Commission

・2022.12.13 Data protection: Commission starts process to adopt adequacy decision for safe data flows with the US

Data protection: Commission starts process to adopt adequacy decision for safe data flows with the US データ保護:欧州委員会、米国との安全なデータの流れを確保するための適切な決定の採択に向けたプロセスを開始
Today, the European Commission launched the process towards the adoption of an adequacy decision for the EU-U.S. Data Privacy Framework, which will foster safe trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in its Schrems II decision of July 2020. 本日、欧州委員会は、大西洋を横断する安全なデータの流れを促進し、2020年7月のシュレムスII判決で欧州連合司法裁判所が提起した懸念に対処するためのEU-米国データプライバシー枠組の妥当性決定の採択に向けたプロセスを開始した。
Today's draft decision follows the signature of a US Executive Order by President Biden on 7 October 2022, along with the regulations issued by the US Attorney General Merrick Garland. These two instruments implemented into US law the agreement in principle announced by President von der Leyen and President Biden in March 2022. 本日の決定草案は、2022年10月7日のバイデン大統領による米国大統領令の署名と、メリック・ガーランド米国司法長官による規制の発布に続くものである。これら2つの文書は、フォン・デア・ライエン大統領とバイデン大統領が2022年3月に発表した原則的な合意を米国法に導入するものである。
The draft adequacy decision, which reflects the assessment by the Commission of the US legal framework and concludes that it provides comparable safeguards to those of the EU, has now been published and transmitted to the European Data Protection Board (EDPB) for its opinion. The draft decision concluded that the United States ensures an adequate level of protection for personal data transferred from the EU to US companies. 欧州委員会が米国の法的枠組みを評価し、EUのそれと同等の保護措置を提供していると結論づけた妥当性決定草案は、このたび公表され、欧州データ保護理事会(EDPB)に送付され、その意見が求められることになった。同決定案は、米国が、EUから米国企業に移転される個人データについて適切な保護水準を確保していると結論づけている。
Key elements 主要な要素
US companies will be able to join the EU-U.S. Data Privacy Framework by committing to comply with a detailed set of privacy obligations, for instance, the requirement to delete personal data when it is no longer necessary for the purpose for which it was collected, and to ensure continuity of protection when personal data is shared with third parties. EU citizens will benefit from several redress avenues if their personal data is handled in violation of the Framework, including free of charge before independent dispute resolution mechanisms and an arbitration panel. 米国企業は、例えば、個人情報を収集した目的のために必要でなくなった場合には個人情報を削除すること、個人情報を第三者と共有する場合には保護の継続性を確保することなど、一連の詳細なプライバシー義務を遵守することを約束することにより、EU-米国データプライバシー枠組に参加することができるようになる。EU市民は、個人データがフレームワークに違反して取り扱われた場合、独立した紛争解決機構や仲裁パネルでの無料での救済など、複数の救済手段を利用することができる。
In addition, the US legal framework provides for a number of limitations and safeguards regarding the access to data by US public authorities, in particular for criminal law enforcement and national security purposes. This includes the new rules introduced by the US Executive Order, which addressed the issues raised by the Court of Justice of the EU in the Schrems II judgment: さらに、米国の法的枠組みは、特に刑事法執行や国家安全保障を目的とした米国の公的機関によるデータへのアクセスに関して、多くの制限と保護措置を定めている。これには、Schrems II判決でEU司法裁判所が提起した問題に対処した、米国大統領令によって導入された新しい規則が含まれる。
・Access to European data by US intelligence agencies will be limited to what is necessary and proportionate to protect national security; ・米国の情報機関による欧州のデータへのアクセスは、国家安全保障を守るために必要かつ適切な範囲に限定される。
・EU individuals will have the possibility to obtain redress regarding the collection and use of their data by US intelligence agencies before an independent and impartial redress mechanism, which includes a newly created Data Protection Review Court. The Court will independently investigate and resolve complaints from Europeans, including by adopting binding remedial measures. ・EUの個人は、米国の情報機関による自分のデータの収集と使用に関して、新たに設置されるデータ保護審査裁判所を含む独立した公平な救済機構で救済を受ける可能性がある。 同裁判所は、拘束力のある救済措置の採択を含め、欧州人からの苦情を独自に調査・解決する。
European companies will be able to rely on these safeguards for trans-Atlantic data transfers, also when using other transfer mechanisms, such as standard contractual clauses and binding corporate rules. 欧州企業は、大西洋を越えたデータ移転において、標準契約条項や拘束力のある企業規則といった他の移転メカニズムを利用する際にも、これらのセーフガードに依拠することができるようになる。
Next steps 次のステップ
The draft adequacy decision will now go through its adoption procedure. As a first step, the Commission submitted its draft decision to the European Data Protection Board (EDPB). Afterwards, the Commission will seek approval from a committee composed of representatives of the EU Member States. In addition, the European Parliament has a right of scrutiny over adequacy decisions. Once this procedure is completed, the Commission can proceed to adopting the final adequacy decision. 妥当性決定草案は、今後、採択手続きに入る。第一段階として、欧州委員会は、欧州データ保護理事会(EDPB)に決定草案を提出した。その後、欧州委員会は、EU加盟国の代表で構成される委員会の承認を得ることになる。さらに、欧州議会は妥当性決定に対する監視の権利を持っている。この手続きが完了すると、欧州委員会は最終的な妥当性判断の採択に進むことができる。
The functioning of the EU-U.S. Data Privacy Framework will be subject to periodic reviews, which will be carried out by the European Commission, together with European data protection authorities, and the competent US authorities. The first review will take place within one year after the entry into force of the adequacy decision, to verify whether all relevant elements of the US legal framework have been fully implemented and are functioning effectively in practice. EU-米国データ・プライバシー枠組の機能は、欧州委員会が欧州のデータ保護当局および米国の所轄当局とともに実施する定期的な見直しの対象となる。最初の見直しは、妥当性決定発効後1年以内に行われ、米国の法的枠組みのすべての関連要素が完全に実施され、実際に効果的に機能しているかどうかを検証するために行われる。
Background 背景
Article 45(3) of the General Data Protection Regulation grants the Commission the power to decide, by means of an implementing act, that a non-EU country ensures ‘an adequate level of protection', i.e. a level of protection for personal data that is essentially equivalent to the level of protection within the EU. The effect of adequacy decisions is that personal data can flow freely from the EU (and Norway, Liechtenstein and Iceland) to a third country without further obstacles. 一般データ保護規則第45条3項は、EU域外の国が「適切な保護水準」、すなわち、EU域内の保護水準と本質的に同等の個人データ保護水準を確保していると、実施行為によって決定する権限を欧州委員会に与えている。妥当性決定の効果は、個人データがEU(およびノルウェー、リヒテンシュタイン、アイスランド)から第三国へ、さらなる障害なく自由に流れることができるようになることである。
After the invalidation of the previous adequacy decision on the EU-US Privacy Shield by the Court of Justice of the EU, the European Commission and the US government entered into discussions on a new framework that addressed the issues raised by the Court. EU司法裁判所によってEU-USプライバシーシールドに関する以前の妥当性決定が無効とされた後、欧州委員会と米国政府は、裁判所が提起した問題に対処する新しい枠組みについて協議に入った。
In March 2022, following intense negotiations between the lead negociators, Commissioner Reynders and Secretary Raimondo, President von der Leyen and President Biden announced an agreement in principle on a new transatlantic data transfer framework. In October 2022, President Biden signed an Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities', which was complemented by regulations adopted by the US Attorney General. Together, these two instruments implemented the US commitments into US law, as well as complemented the obligations for US companies. On this basis, the Commission is now proposing a draft adequacy decision on the EU-U.S. Data Privacy Framework. 2022年3月、主席交渉官であるレインダース委員とライモンド長官の激しい交渉を経て、フォン・デア・ライエン大統領とバイデン大統領は、大西洋横断の新たなデータ移転枠組みに関する基本合意を発表した。2022年10月、バイデン大統領は「米国のシグナルインテリジェンス活動に対するセーフガードの強化」に関する大統領令に署名し、米国司法長官が採択した規則によって補完された。この2つの文書により、米国の公約が米国法に組み込まれるとともに、米国企業に対する義務も補完された。これに基づき、欧州委員会は現在、EU-米国データ・プライバシー・フレームワークに関する妥当性決定案を提案している。
Once the adequacy decision is adopted, European entities will be able to transfer personal data to participating companies in the United States, without having to put in place additional data protection safeguards. 妥当性決定が採択されれば、欧州の企業は、データ保護のための追加的な保護措置を講じることなく、米国の参加企業に個人データを移転することができるようになる。
For More Information 詳細情報
Draft adequacy decision 妥当性決定(ドラフト)
・[PDF]
20221216-13704

Q&A Q&A
Factsheet – Transatlantic Data Privacy Framework ファクトシート - 大西洋横断データ・プライバシー・フレームワーク(Transatlantic Data Privacy Framework
Joint Statement on Trans-Atlantic Data Privacy Framework 大西洋横断データ・プライバシー・フレームワークに関する共同声明
Questions & Answers: Executive Order, EU-U.S. Data Privacy Framework 質問と回答 大統領令、EU-米国データ・プライバシー・フレームワーク
EU-US data transfers | European Commission EU-米国間のデータ移転|欧州委員会
Intensifying Negotiations on transatlantic Data Privacy Flow 大西洋をまたぐデータ・プライバシー・フローに関する交渉の強化
Data protection | European Commission データ保護|欧州委員会
Quote(s) コメント
Our talks with the US have resulted in proposing a Framework that will further improve safety of personal data of Europeans transferred to the US. It builds on our good cooperation and progress we have made over the years. The future Framework is also good for businesses and it will strengthen Transatlantic cooperation. As democracies, we need to stand up for fundamental rights, including data protection. This is necessity, not a luxury in the increasingly digitalised and data driven economy 米国との協議の結果、米国に移転される欧州人の個人データの安全性をさらに向上させる枠組みを提案することになった。これは、我々の良好な協力関係と長年にわたる進捗を基礎とするものである。将来のフレームワークは、企業にとっても有益であり、大西洋横断の協力関係を強化するものである。民主主義国家として、我々はデータ保護を含む基本的権利のために立ち上がる必要がある。これは、デジタル化とデータ駆動化が進む経済において、贅沢品ではなく、必要なものである。
Věra Jourová, Vice-President for Values and Transparency - 13/12/2022 Věra Jourová, Vice-President for Values and Transparency - 13/12/2022
Today’s draft decision is the outcome of more than one year of intense negotiations with the US that I led together with my US counterpart Secretary of Commerce Raimondo. Over the past months, we assessed the US legal framework provided by the Executive Order as regards the protection of personal data. We are now confident to move to the next step of the adoption procedure. Our analysis has showed that strong safeguards are now in place in the U.S. to allow the safe transfers of personal data between the two sides of the Altlantic. The future Framework will help protect the citizens’ privacy, while providing legal certainty for businesses. We now await for the feedback from the European Data Protection Board, Member States’ experts and the European Parliament 本日の決定草案は、私が米国のライモンド商務長官とともに主導した、米国との1年以上にわたる激しい交渉の成果である。この数ヶ月間、私たちは個人情報の保護に関して、大統領令によって提供される米国の法的枠組みを評価した。私たちは今、自信を持って採択手続きの次のステップに進むことができる。我々の分析によると、大西洋の両側で個人データの安全な転送を可能にする強力な保護措置が現在米国で実施されていることが判明した。将来のフレームワークは、市民のプライバシー保護に役立つと同時に、企業に法的確実性を提供するものである。我々は今、欧州データ保護委員会、加盟国の専門家、欧州議会からのフィードバックを待っている。
Didier Reynders, Commissioner for Justice - 13/12/2022 ディディエ・レインダース欧州委員会司法担当委員 - 13/12/2022

 

 

・2022.12.13 Questions & Answers: EU-U.S. Data Privacy Framework, draft adequacy decision

Questions & Answers: EU-U.S. Data Privacy Framework, draft adequacy decision Q&A EU-米国間データ・プライバシー・フレームワーク、妥当性決定草案
On 13 December, the European Commission launched the process to adopt an adequacy decision for the EU-U.S. Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in its Schrems II decision of July 2020. 12月13日、欧州委員会は、大西洋を横断するデータの流れを促進し、2020年7月の欧州連合司法裁判所のシュレムスII決定で提起された懸念に対処するEU-米国データ・プライバシー枠組の妥当性決定の採択手続きを開始した。
The draft adequacy decision concludes that the United States ensures an adequate level of protection for personal data transferred from the EU to the US. This is based on an in-depth assessment of the Data Privacy Framework itself and its obligations for companies, as well as the limitations and safeguards on access by US public authorities to data transferred to the US, in particular for criminal law enforcement and national security purposes. 妥当性決定案は、米国がEUから米国に転送される個人データに対して適切なレベルの保護を確保していると結論付けている。これは、データ・プライバシー・フレームワークそのものと企業に対する義務、そして、特に刑事法の執行や国家安全保障の目的のために米国に移転されたデータに対する米国の公的機関によるアクセスに関する制限と保護措置についての詳細な評価に基づいている。
The proposal for a draft adequacy decision follows the signature of an Executive Order by President Biden on 7 October 2022. Along with the Regulation issued by the Attorney General, the Executive Order implemented into US law the agreement in principle on a new EU-U.S. Data Privacy Framework announced on March 2022 by President von der Leyen and President Biden. The Executive Order introduces new binding safeguards to address the concerns raised by the Court of Justice of the European Union in its Schrems II judgement. It imposes limitations and safeguards on access to data by US intelligence agencies, and establishes an independent and impartial redress mechanism to handle and resolve complaints from Europeans concerning the collection of their data for national security purposes. 妥当性決定案の提案は、2022年10月7日のバイデン大統領による大統領令の署名を受けたものである。司法長官が発表した規則とともに、この大統領令は、フォン・デル・ライエン大統領とバイデン大統領が2022年3月に発表した新しいEU-米国データ・プライバシー枠組みに関する基本合意を米国法に導入するものであった。大統領令は、欧州連合司法裁判所のシュレムスII判決で提起された懸念に対処するため、拘束力のある新たなセーフガードを導入している。米国の情報機関によるデータへのアクセスに制限とセーフガードを課し、国家安全保障目的のデータ収集に関する欧州人の苦情を処理・解決するための独立した公平な救済メカニズムを確立するものである。
1. What is an adequacy decision? 1. 適切な判断とは何か?
An adequacy decision is one of the tools provided under the General Data Protection Regulation (GDPR) to transfer personal data from the EU to third countries which, in the assessment of the Commission, offer a comparable level of protection of personal data to that of the European Union. 妥当性判断とは、一般データ保護規則(GDPR)に基づき、欧州委員会の評価においてEUと同等の個人データ保護レベルを提供する第三国へ個人データを移転するために提供される手段の1つである。
As a result of adequacy decisions, personal data can flow freely and safely from the European Economic Area (EEA) to a third country, without being subject to any further conditions or authorisations. In other words, transfers to the third country can be handled in the same way as intra-EU transmissions of data. 妥当性判断の結果、個人データは欧州経済領域(EEA)から第三国へ、さらなる条件や認可を受けることなく、自由かつ安全に流れることができるようになる。言い換えれば、第三国への転送は、EU域内のデータ転送と同じように扱うことができる。
Once the adequacy decision is adopted, European entities will be able to transfer personal data to participating companies in the United States, without having to put in place additional data protection safeguards. 妥当性決定が採択されれば、欧州の事業者は、追加のデータ保護対策を講じることなく、米国の参加企業に個人データを移転することができるようになる。
US companies will be able to certify their participation in the EU-U.S. Data Privacy Framework by committing to comply with a detailed set of privacy obligations (such as purpose limitation and data retention, as well as specific obligations concerning data security and the sharing of data with third parties). 米国企業は、詳細なプライバシー義務(目的の制限やデータ保持、データセキュリティや第三者とのデータ共有に関する特定の義務など)を遵守することを約束することで、EU-U.S. Data Privacy Frameworkへの参加を証明することができるようになる。
2. What are the criteria to assess adequacy? 2. 妥当性を評価する基準とは何か?
Adequacy does not require the third country's data protection system to be identical to the one of the EU, but is based on the standard of ‘essential equivalence'. It involves a comprehensive assessment of a country's data protection framework, both of the protection applicable to personal data and of the available oversight and redress mechanisms. 適切性とは、第三国のデータ保護制度がEUのそれと同一である必要はなく、「本質的な同等性」という基準に基づいている。そのためには、個人データに適用される保護と、利用可能な監視および救済メカニズムの両方について、その国のデータ保護の枠組みを包括的に評価することが必要である。
The European data protection authorities have developed a list of elements that must be taken into account for this assessment, such as the existence of core data protection principles, individual rights, independent supervision and effective remedies. 欧州のデータ保護当局は、データ保護の基本原則の存在、個人の権利、独立した監督、効果的な救済措置など、この評価で考慮しなければならない要素のリストを作成した。
3. What are the limitations and safeguards regarding access to data by United States intelligence agencies? 3. 米国の情報機関によるデータへのアクセスに関する制限と保護措置はどのようなものであるか?
An essential element of the US legal framework on which the draft adequacy decision is based concerns the Executive Order signed by President Biden on 7 October. The Order, as well as an accompanying Regulation, implemented the commitments made by the US in the agreement in principle announced in March by President von der Leyen and President Biden. 妥当性決定の草案の根拠となっている米国の法的枠組みの重要な要素は、10月7日にバイデン大統領が署名した大統領令に関わるものである。この大統領令と付随する規則は、フォン・デル・ライエン大統領とバイデン大統領が3月に発表した原則的合意で米国が約束したことを実施するものである。
For Europeans whose personal data is transferred to the US, the Executive Order provides for: 個人データが米国に転送される欧州の人々のために、大統領令は以下を規定する。
・Binding safeguards that limit access to data by US intelligence authorities to what is necessary and proportionate to protect national security; ・米国の情報当局によるデータへのアクセスを、国家安全保障を守るために必要かつ適切な範囲に限定する拘束力のあるセーフガード。
・Enhanced oversight of activities by US intelligence services to ensure compliance with limitations on surveillance activities; and ・監視活動の制限を確実に遵守するための米国情報機関による活動の監視強化。
・The establishment of an independent and impartial redress mechanism, which includes a new Data Protection Review Court to investigate and resolve complaints regarding access to their data by US national security authorities; ・米国の国家安全保障当局によるデータへのアクセスに関する苦情を調査・解決するための新しいデータ保護審査裁判所を含む、独立かつ公平な救済メカニズムの確立。
The Executive Order requires US intelligence agencies to review their policies and procedures to implement these new safeguards. 大統領令は、米国の情報機関に対し、これらの新しいセーフガードを実施するための方針と手続きを見直すよう求めている。
4. In what way is the new redress mechanism in the area of national security different from the previous Privacy Shield Ombudsperson? 4. 国家安全保障の分野における新しい救済メカニズムは、従来のプライバシーシールド行政監察官とどのように違うのか?
The Executive Order, together with the accompanying Regulation, establishes a new two-layer redress mechanism, with independent and binding authority. 大統領令は、付随する規則とともに、独立した拘束力を持つ2層の新しい救済メカニズムを確立している。
Under the first layer, EU individuals will be able to lodge a complaint with the so-called ‘Civil Liberties Protection Officer' of the US intelligence community. This person is responsible for ensuring compliance by US intelligence agencies with privacy and fundamental rights.  第一層では、EUの個人は、米国情報機関のいわゆる「自由権保護官」に対して苦情を申し立てることができるようになる。この責任者は、米国の情報機関によるプライバシーと基本的権利の遵守を保証する責任を負っている。 
Under the second level, individuals will have the possibility to appeal the decision of the Civil Liberties Protection Officer before the newly created Data Protection Review Court. The Court will be composed of members from outside the US Government, who are appointed on the basis of specific qualifications, can only be dismissed for cause (such as a criminal conviction, or being deemed mentally or physically unfit to perform their tasks) and cannot receive instructions from the government. The Data Protection Review Court will have powers to investigate complaints from EU individuals, including to obtain relevant information from intelligence agencies, and will be able to take binding remedial decisions. For example, if the DPRC would find that data was collected in violation of the safeguards provided in the Executive Order, it will be able to order the deletion of the data. 第二段階として、個人は自由権保護官の決定に対して、新たに設置されるデータ保護審査裁判所に訴えることができるようになる。この裁判所は、特定の資格に基づいて任命された米国政府以外のメンバーで構成され、理由(前科がある、または精神的・身体的に職務遂行に適さないとみなされたなど)がなければ解任されず、政府から指示を受けることはできない。データ保護審査裁判所は、情報機関からの関連情報の入手を含め、EU加盟国の個人からの苦情を調査する権限を有し、拘束力のある救済決定を下すことができるようになる。例えば、DPRCが、行政命令に規定された保護措置に違反してデータが収集されたと判断した場合、そのデータの削除を命じることができるようになる。
To further enhance the Court's review, in each case, the Court will select a special advocate with relevant experience to support the Court, who will ensure that the complainant's interests are represented and that the Court is well-informed of the factual and legal aspects of the case. This will ensure that both sides are represented, and introduces important guarantees in terms of fair trial and due process. 裁判所の審査をさらに強化するため、各事件において、裁判所は関連する経験を持つ特別弁護人を選び、裁判所をサポートします。この弁護人は、申立人の利益を代表し、裁判所が事件の事実上および法律上の側面を十分に理解していることを確認するために必要な人物である。これにより、両者の代表が確保され、公正な裁判と適正手続きの面で重要な保証が導入されることになる。
These are significant improvements compared to the mechanism that existed under the Privacy Shield. これらは、プライバシーシールドの下に存在した仕組みと比較して、大きな改善点である。
5. What are the next steps in the process? 5. 次のステップは?
The draft adequacy decision was transmitted to the European Data Protection Board (EDPB) for its opinion. 妥当性判断の草案は、欧州データ保護理事会(EDPB)に送付され、その意見が求められる。
Afterwards, the Commission will need to obtain the green light from a committee composed of representatives of the EU Member States. In addition, the European Parliament has a right of scrutiny over adequacy decisions. その後、欧州委員会は、EU加盟国の代表で構成される委員会から許可を得る必要があります。さらに、欧州議会は妥当性決定に対する監視の権利を持っている。
Only after that, the European Commission can adopt the final adequacy decision, which would allow data to flow freely and safely between the EU and US companies certified by the Department of Commerce under the new framework. その後、欧州委員会は最終的な妥当性決定を採択することができ、これにより、EUと商務省が認定した米国企業の間で、新しい枠組みに基づいてデータが自由かつ安全に流通するようになる。
6. What are the options available to companies in the meantime? 6. それまでの間、企業にはどのような選択肢があるのか。
It is important to remember that an adequacy decision is not the only tool for international transfers. 適切性判断は国際的な移転のための唯一の手段ではないことを覚えておくことが重要である。
Model clauses, which companies can introduce in their commercial contracts, are the most used mechanism to transfer data from the EU. Last year, the Commission adopted modernised ‘Standard Contractual Clauses' to facilitate their use, including in light of the requirements set by the Court of justice in the Schrems II judgment. Practical guidance to companies relying on Standard Contractual Clauses for transferring data is also available. 企業が商業契約に導入できるモデル条項は、EUからデータを移転する際に最も利用される仕組みである。昨年、欧州委員会は、Schrems II判決で司法裁判所が示した要件を踏まえつつ、その利用を促進するために、近代化された「標準契約条項」を採択した。また、データの移転に関してStandard Contractual Clausesを利用する企業に対する実践的なガイダンスも用意されている。
All the safeguards that have been put in place by the US Government in the area of national security (including the redress mechanism) will be available for all transfers to companies in the US under the GDPR, regardless of the transfer mechanisms used. 国家安全保障の分野で米国政府が導入しているすべてのセーフガード(救済メカニズムを含む)は、使用する移転メカニズムにかかわらず、GDPRの下で米国内の企業へのすべての移転に利用できるようになる。
For more information 詳細については
Press release プレスリリース
EU-US data transfers EU-米国間のデータ移転

 

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.10.11 米国 米国におけるシグナル・インテリジェンス活動のための安全保障の強化に関する大統領令(GDPR対応)

 

・2022.03.27 米国と欧州委員会が米国ー欧州間のデータプライバシーフレームワークに合意したと発表していますね。。。

 「米国のシグナル・インテリジェンス活動に適用されるプライバシーと市民的自由の保護を強化する改革を実施する」

・2021.06.04 欧州データ保護委員会 (EDPB) 2020年次報告書

・2021.03.28 EU-USプライバシーシールドを強化するための交渉を推進 - 米国商務長官と欧州司法長官による共同記者会見

・2020.11.20 欧州データ保護委員会-第42回本会議、第41回本会議(標準契約条項)

・2020.08.13 プライバシーシールド無効の判決を受けて、米国商務長官と欧州司法長官が共同プレス声明していますね

・2020.07.26 欧州データ保護委員会がプライバシーシールド無効判決についてのFAQを公開していますね

・2020.07.21 プライバシーシールド無効判決後のアメリカとイギリス

・2020.07.16 EU-USのプライバシーシールドを無効にしま〜す by EU裁判所

 

 

| | Comments (0)

2022.12.15

ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

こんにちは、丸山満彦です。

ドイツとフランスでIT製品のセキュリティ認証に関する共同文書が発行されていています。相互認証ができるようになるのですかね。。。

「Fixed Time Cybersecurity Certification」という概念が説明されていますが、恥ずかしながら初めて聞きました。フランスでは10年前から行われているようです。。。そして最近、欧州の標準、EN 17640:2022 Fixed-time cybersecurity evaluation methodology for ICT productsが定められたようです。。。

数式を使って計算された審査時間を使って審査をするというアイデアなんでしょうかね。。。事前に審査時間について合意してから審査をするようです。。。

 

ドイツ側の発表...

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.12.12 BSI und ANSSI veröffentlichen Publikation zur Sicherheitszertifizierung von IT-Produkten

 

BSI und ANSSI veröffentlichen Publikation zur Sicherheitszertifizierung von IT-Produkten BSIとANSSI、IT製品のセキュリティ認証に関する出版物を発行
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zusammen mit der französischen Behörde für IT-Sicherheit, Agence Nationale de la Sécurité des Systèmes d‘Information (ANSSI), eine gemeinsame Publikation zur Sicherheitszertifizierung von IT-Produkten veröffentlicht. Anlass ist die Unterzeichnung des bilateralen Abkommens zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten zwischen ANSSI und dem BSI im Juni 2022. Der Fokus der Publikation liegt insbesondere auf den Zertifizierungsprogrammen Certification de Sécurité de Premier Niveau (CSPN) der ANSSI und Beschleunigte Sicherheitszertifizierung (BSZ) des BSI. 連邦情報セキュリティ局(BSI)は、フランスのITセキュリティ当局であるAgence Nationale de la Sécurité des Systèmes d'Information(ANSSI)と共に、IT製品のセキュリティ認証に関する共同出版物を発表した。本書は、ANSSIとBSIが2022年6月に締結するITセキュリティ認証の相互認証に関する二国間協定の締結を機に、ANSSIの認証プログラムCSPNとBSIの加速セキュリティ認証(BSZ)に焦点を当て、その概要を解説している。
Beide Programme basieren auf dem Fixed Time Ansatz, der Evaluierungen in einem festen Zeitrahmen vorsieht. Die Publikation beschreibt die Funktionsweise von Produktzertifizierungen im Allgemeinen sowie des Fixed Time Ansatzes im Speziellen. Außerdem wird die gegenseitige Anerkennung dieser beiden nationalen Zertifizierungsprogramme erläutert und ein Ausblick auf eine mögliche europäische Harmonisierung mittels der neuen europäischen Norm EN 17640 FiT CEM für Evaluierungen in einem festen Zeitrahmen gegeben. どちらのプログラムも、一定の期間で評価を行う「固定時間方式」に基づいています。本書では、一般的な製品認証の仕組みと、特に「固定時間方式」について説明している。また、これら2つの国の認証制度の相互承認について説明し、一定期間内の評価に関する新しい欧州規格EN 17640 FiT CEMによる欧州調和の可能性について展望している。

 

 

Gemeinsame Publikationen von ANSSI und BSI

Gemeinsame Publikationen von ANSSI und BSI ANSSIとBSIの共同出版物
Seit 2018 veröffentlichen das BSI und die französische Behörde für IT-Sicherheit, Agence Nationale de la Sécurité des Systèmes d‘Information (ANSSI), im Rahmen ihrer engen Zusammenarbeit jährlich eine gemeinsame Publikation zu einem aktuellen IT-Sicherheitsthema. 2018年より、BSIとフランスのITセキュリティ当局であるAgence Nationale de la Sécurité des Systèmes d'Information(ANSSI)は、密接な協力関係の一環として、毎年最新のITセキュリティトピックに関する共同出版物を発行している。
Die 2022 veröffentlichte fünfte gemeinsame Publikation beschäftigt sich mit dem Thema Sicherheitszertifizierung von IT-Produkten. Angesichts der voranschreitenden Digitalisierung in Staat, Wirtschaft und Gesellschaft nimmt der Bedarf an sicheren IT-Systemen und -Produkten immer weiter zu. Die IT-Sicherheitszertifizierung ermöglicht eine unabhängige Überprüfung und Bestätigung der IT-Sicherheitseigenschaften eines Produkts. Das so geschaffene Vertrauen in die Sicherheitsleistungen nutzt sowohl Herstellern und Verkäufern als auch potenziellen Käufern und Nutzern eines IT-Produkts. 2022年に発行された5番目の共同出版物は、IT製品のセキュリティ認証の話題を扱っている。国家、経済、社会のデジタル化が進む中、安全なITシステム・製品のニーズは高まり続けている。ITセキュリティ認証は、製品のITセキュリティ特性を独立した立場で検証・確認することができる。こうして生まれたセキュリティ性能への信頼は、IT製品のメーカーと販売者、そして潜在的な購入者と利用者の双方にメリットをもたらす。
In dieser Publikation wird der Prozess der Produktzertifizierung mit dem Schwerpunkt auf die beiden miteinander kompatiblen Zertifizierungsprogramme BSZ und CSPN erläutert. Weitere Themen sind das im Sommer 2022 zwischen ANSSI und BSI geschlossene Anerkennungsabkommen bezüglich der beiden Programme sowie der Ausblick auf die mögliche weitere Harmonisierung im europäischen Rahmen. 本書では、相互に互換性のある2つの認証プログラムBSZとCSPNを中心に、製品認証のプロセスを解説している。その他、2022年夏にANSSIとBSIの間で締結された2つのプログラムに関する認識協定や、欧州の枠組みにおけるさらなる調和の可能性についての展望などについても言及した。
Seit 2020 erscheinen die gemeinsamen Publikationen von ANSSI und BSI in englischer Sprache. 2020年以降、ANSSIとBSIの共同出版物は英語で掲載されている。
Strengthening Cybersecurity with Fixed Time Cybersecurity Certification of IT-Products - 2022 IT製品の定時サイバーセキュリティ認証でサイバーセキュリティを強化 - 2022年
Themenschwerpunkt: Sicherheitszertifizierung von IT-Produkten 主な内容:IT製品のセキュリティ認証
Weitere Publikationen その他の出版物
Deutsch-französisches IT-Sicherheitslagebild 2021Common situational picture 2021Themenschwerpunkt: Ransomware 独仏のITセキュリティ状況像2021年共通状況像2021年フォーカス:ランサムウェア
Deutsch-französisches IT-Sicherheitslagebild Vol. 3 - Dezember 2020Themenschwerpunkt: COVID-19 独仏のITセキュリティ事情Vol.3~2020年12月フォーカス:COVID-19
Deutsch-französisches IT-Sicherheitslagebild Vol. 2 - Mai 2019Themenschwerpunkt: Künstliche Intelligenz 独仏のITセキュリティ状況画 Vol.2~2019年5月フォーカス:人工知能
Deutsch-französisches IT-Sicherheitslagebild Vol. 1 - Juli 2018Themenschwerpunkt: Ransomware 独仏ITセキュリティ事情レポート Vol.1〜2018年7月フォーカス:ランサムウェア

 

・[PDF] Strengthening Cybersecurity with Fixed Time Cybersecurity Certification of IT-Products - 2022

20221215-24112

Fixed Time Cybersecurity Certification   固定時間制サイバーセキュリティ認証
In many areas of the fast growing IT­landscape, cybersecurity is an ever more important aspect. The digitalisation of significant parts of critical infrastructure, industry,  civil services and many more sectors demands for security of the systems and products employed. This is where the cybersecurity certification of IT­products comes into play. It enables manufacturers and vendors of IT­products to have their security statements regarding a product confirmed by a cybersecurity certificate. Analogous to certificates in other areas, e.g., food safety and sustainability, it provides potential product users with an independent assurance on the properties of the product that are difficult to assess by the product users themselves. In  particular, the independent attestation of the product’s security functions demonstrates the fulfilment of specified security requirements and allows potential product  users to assess the compliance of the product with their specific security demands and risk management.   急成長するIT環境の多くの分野で、サイバーセキュリティはこれまで以上に重要な要素となっている。重要なインフラ、産業、市民サービスなど多くの分野でデジタル化が進み、採用されたシステムや製品のセキュリティが要求されている。そこで、IT製品のサイバーセキュリティ認証の出番である。IT製品のメーカーやベンダーは、サイバーセキュリティ証明書によって、製品に関する自社のセキュリティ声明を確認することができる。食品の安全性や持続可能性など、他の分野の証明書と同様に、製品の潜在的な利用者に、製品利用者自身では評価が難しい製品の特性について、独立した保証を提供するものである。特に、製品のセキュリティ機能に関する独立した認証は、指定されたセキュリティ要求事項を満たしていることを証明し、潜在的な製品ユーザーが、彼らの特定のセキュリティ要求事項やリスクマネジメントへの製品の適合性を評価することを可能にする。 
Three Party model – Ensuring Quality  三者モデル - 品質の確保 
Trust in an IT­product certificate requires trust in the  competence and impartiality of the issuing authority. This is guaranteed by three parties working closely together: the applicant, e.g. a manufacturer of the product to be certified, an IT Security Evaluation Facility (ITSEF)  that evaluates the product‘s cybersecurity properties, and the Certification Body (CB) that oversees the procedure.  The applicant is the party that initiates a certification procedure. Therefore, the applicant prepares the application letter including all required documents and evidences, commissions an ITSEF and applies to the certification  body. The ITSEF and the certification body then assess  whether the product is suitable for certification under  the requested certification scheme.   IT製品の証明書を信頼するには、発行機関の能力と公平性を信頼する必要がある。これは、申請者(認証対象製品の製造業者など)、製品のサイバーセキュリティ特性を評価するITセキュリティ評価機関(ITSEF)、手続きを監督する認証機関(CB)の3者が密接に連携することで保証される。 申請者は、認証手続きを開始する当事者である。したがって、申請者は必要な書類や証拠を含む申請書を作成し、ITSEFに依頼し、認証機関に申請する。その後、ITSEFと認証機関は、製品が要求された認証スキームのもとでの認証に適しているかどうかを評価する。 
If this is the case, the ITSEF prepares the evaluation plan to verify that the product meets the security statements of the applicant. This includes planning the tests and testing strategy. Then the evaluation of the IT­product begins. After completion of the evaluation, the ITSEF reports on the evaluation to the CB, describing the evaluation procedure, tests, and results as well as providing a recommendation on the certification. The CB reviews  the evaluation, scrutinising the report of the ITSEF. The final decision on whether the product receives a certificate is made by the certification body.   適合する場合、ITSEFは製品が申請者のセキュリティに関する声明に適合していることを検証するための評価計画を作成する。これには、試験の計画や試験戦略も含まれる。その後、IT製品の評価が開始される。評価終了後、ITSEFは評価手順、試験、結果、認証に関する推奨事項などをCBに報告する。CBはITSEFの報告書を精査し、評価の見直しを行いる。最終的には、認証機関が製品に認証を与えるかどうかを決定する。 
Following this approach, cybersecurity agencies around the globe have been offering the IT security certification of products for more than three decades. They operate many certification schemes with different evaluation  methodologies and scopes of application. The tests to verify the security statements differ depending on the methodology as well as the security perimeter and assurance level(s).  このようなアプローチにより、世界中のサイバーセキュリティ機関が30年以上にわたって製品のITセキュリティ認証を提供している。これらの機関は、評価手法や適用範囲が異なる多くの認証制度を運用している。セキュリティステートメントを検証するためのテストは、方法論だけでなく、セキュリティ境界と保証レベル(複数可)により異なる。
Each product evaluation consists of several tests, usually with a mixture of different test types, to ensure a high level of trust in the security statements made (i.e., the security functions of the respective product). The evaluation does not only verify conformity to the claimed security features and standards but does also include penetration tests that address the quality and robustness of their implementation. 各製品の評価は、セキュリティステートメント(各製品のセキュリティ機能)に対する高い信頼性を確保するために、通常、異なる種類の試験を混合した複数の試験で構成されている。評価は、主張されたセキュリティ機能や標準への適合性を検証するだけでなく、その実装の品質や堅牢性に対処するための侵入テストも含まれる。
Concept of Fixed Time Evaluation  固定時間評価の考え方 
One of these evaluation methodologies is called the fixed  time evaluation methodology. It provides a high level of trust while enabling a predictable evaluation schedule and keeping the effort for the product manufacturer manageable.  このような評価手法のひとつに、「固定時間評価法」というものがある。この評価方法は、高い信頼性を確保しつつ、評価スケジュールを予測可能にし、製品メーカーの労力を管理しやすくするものである。
To keep the product manufacturer’s effort manageable, the required deliverables are mainly limited to documents describing the product with its respective security features. Here, the centrepiece is the Security Target (ST) document, a rather short document of approximately 10 pages mainly describing the operating environment and security features of the product.  製品メーカーの労力を管理しやすくするために、要求される成果物は主に製品のセキュリティ機能を説明する文書に限定される。その中心となるのが、セキュリティターゲット(ST)文書で、製品の動作環境とセキュリティ機能を中心に記述した10ページ程度の短い文書である。
To achieve a fixed time schedule, ITSEF and the certification body agree on a fixed time budget for the evaluation before it starts. The time budget is consistent with the strength of an expected potential attacker and ranges from 15 to 60 person days. It is determined for each particular procedure according to the complexity and scope of features of the product. The ITSEF conducts the evaluation without direct involvement of the other parties. In particular, communication between the parties is reduced during the evaluation, and it is not possible to change or update the version of the evaluated product. With these principles in place, the evaluation can be finished within a predefined timeframe. 一定のタイムスケジュールを実現するために、ITSEFと認証機関は評価開始前に一定のタイムバジェットを合意する。この時間予算は、想定される潜在的な攻撃者の強さと一致し、15~60人日の範囲になる。これは、製品の複雑さと機能の範囲に応じて、特定の手順ごとに決定される。ITSEFは、他の関係者が直接関与することなく評価を行う。特に、評価中は関係者間のコミュニケーションを減らし、評価対象製品のバージョンを変更したり更新したりすることはできない。このような原則のもと、あらかじめ設定された期間内に評価を終了することができる。
Fixed Time Certification Schemes: CSPN and BSZ  固定時間認証方式:CSPNとBSZ 
The demand for security­certified IT­products rises with the advancing digitalisation in many important and critical areas. A little more than 10 years ago, in order to meet this demand, the French cybersecurity agency ANSSI introduced the frst Certification scheme employing a fixed time evaluation: the Certification de sécurité de premier niveau (CSPN) [CSPN]. The goal was to reduce the entrance threshold for manufacturers by minimizing the preparation effort and focussing the testing on the parts that contribute most to the security statements. 多くの重要な分野でデジタル化が進むにつれ、セキュリティ認証されたIT製品への需要が高まっている。10年以上前、この需要に応えるため、フランスのサイバーセキュリティ機関ANSSIは、固定時間評価を採用した最初の認証スキーム、CSPN(Certification de sécurité de premier niveau)[CSPN]を導入した。その目的は、準備にかかる労力を最小限に抑え、セキュリティ声明に最も貢献する部分に試験を集中させることで、製造業者の参入障壁を下げることであった。
The German fiederal cybersecurity agency BSI followed with the introduction of the Beschleunigte Sicherheitszertifzierung (BSZ) [BSZ] in 2021. Thanks to the intensive and continuous bilateral cooperation between the two agencies, both schemes have a common methodology and comparable quality standards. For this reason, the authorities launched the mutual recognition of Certificates under these schemes in 2022. ドイツの連邦サイバーセキュリティ機関BSIは、2021年にBeschleunigte Sicherheitszertifzierung(BSZ)[BSZ]を導入してこれに続いた。両機関の集中的かつ継続的な二国間協力のおかげで、両制度は共通の手法と同等の品質基準を備えている。このため、当局は2022年にこれらの制度に基づく認証書の相互承認を開始した。
International Harmonisation and Recognition of Certificates 認証書の国際的調和と承認
During the development and introduction of the Certification schemes, it became apparent that the demand for Certificates is best met when Certificates are not only focused on the national market but are recognized in other markets. This renders the need for multiple Certification procedures of the same product in different markets obsolete. Consequently, the effort and costs for product manufacturers are reduced, trade barriers are lowered, and the freed capacitates of ITSEFs and CBs can be used for the Certification of more products. 認証制度の開発と導入の過程で、認証書が国内市場だけに焦点を当てたものではなく、他の市場でも承認されることが、認証書に対する需要を最もよく満たすことが明らかになった。これにより、同じ製品について異なる市場で複数の認証手続きを行う必要性がなくなる。その結果、製品製造者の労力とコストが削減され、貿易障壁が低くなり、ITSEF と CB の解放された能力をより多くの製品の認証に利用することができる。
Mutual Recognition Agreement – Extended Cooperation  相互認証協定 - 拡大された協力関係 
The BSZ scheme was developed with the aim to be compatible to the CSPN scheme. Thus, ANSSI and BSI were able to negotiate and sign a mutual recognition agreement for Certificates under those schemes in June 2022 [MRA]. This agreement is initially limited to two years and states that in principle, BSI will recognise all CSPN Certificates and in turn, ANSSI will recognise all BSZ Certificates. Some Certificates can be exempted e.g. when special national regulations apply or the Certificates are based on specific notes and interpretations of the schemes. The agreement also deepens the cooperation between ANSSI and BSI by formalising the regular technical exchange concerning CSPN and BSZ. One aim of this exchange is the further harmonisation of both schemes to reduce the amount of exemptions from recognition. Another goal is to conjointly develop new technical scopes and standardise requirements for the evaluation, e.g., common attack methods, in both schemes. BSZスキームは、CSPNスキームと互換性を持つことを目的として開発されました。そのため、ANSSIとBSIは、2022年6月にこれらのスキームに基づく認証書の相互認証協定を交渉・締結することができた[MRA]。この協定は当初2年間に限定され、原則として、BSIはすべてのCSPN認証書を承認し、ANSSIはすべてのBSZ認証書を承認することが記載されている。特別な国内規制が適用される場合、または認証書がスキームの特定の注記や解釈に基づく場合など、一部の認証書は免除される可能性がある。この協定は、CSPNとBSZに関する定期的な技術交換を正式なものとし、ANSSIとBSIの協力関係を深めるものである。この交換の目的の一つは、両スキームの調和をさらに進め、認証の免除を減らすことである。もう一つの目的は、両制度における新しい技術スコープを共同で開発し、評価のための要件(例えば、共通の攻撃方法)を標準化することである。
Towards Standardisation and European Harmonisation  標準化と欧州のハーモナイゼーションに向けて 
In addition to BSI and ANSSI, other European national cybersecurity agencies have also implemented Certification schemes based on a fixed time methodology. However, these national schemes differ in some of the key aspects and partly address different assurance levels. Thus, the Certificates of the individual schemes are not readily comparable. The new European standard EN 17640 “Fixed Time Cybersecurity Evaluation Methodology” (FiT CEM) [FiT CEM] aims to address the patchwork of different fixed time Certification schemes. It does so by providing a common evaluation methodology which subsumes the national schemes and methodologies. Therefore, EN 17640 does not strive to copy existing concepts, but to expand them in a flexible way with specified evaluation tasks for different levels of assurance. With its holistic scope and great flexibility, FiT CEM opens the possibility to implement a harmonised European Certification scheme under the European Cyber Security Act (CSA) [CSA]. These CSA Certification schemes are developed on behalf of the European Commission and under supervision of the European Union Agency for Cybersecurity (ENISA). The respective Certificates issued under those schemes are recognized in every EU member state, hence enlarging markets for certified ICT products, services and processes and further reducing the efforts and costs for manufacturers. Additionally, this large European market for certified ICT products, services and processes manifests a global influence on cybersecurity standards and product Certification. BSIやANSSIに加え、欧州各国のサイバーセキュリティ機関も、定時法に基づく認証制度を導入している。しかし、これらの国の制度は、いくつかの重要な側面で異なっており、部分的に異なる保証レベルに対応している。そのため、個々の制度の認証書を容易に比較することはできない。新しい欧州規格EN 17640 "Fixed Time Cybersecurity Evaluation Methodology" (FiT CEM) [FiT CEM] は、異なる固定時間認証スキームのパッチワークに対処することを目的としている。これは、各国のスキームや方法論を包含する共通の評価方法論を提供することで実現している。そのため、EN 17640は、既存のコンセプトをコピーするのではなく、保証レベルごとに指定された評価タスクによって、柔軟な方法でそれらを拡張することに努めている。FiT CEMは、その全体的な範囲と大きな柔軟性により、欧州サイバーセキュリティ法(CSA)[CSA]の下で調和のとれた欧州認証スキームを実施する可能性を広げる。これらのCSA認証スキームは、欧州委員会に代わり、欧州連合サイバーセキュリティ機関(ENISA)の監督の下で開発されている。これらの制度の下で発行されたそれぞれの証明書は、すべてのEU加盟国で承認されているため、認証されたICT製品、サービス、プロセスの市場は拡大し、製造者の努力とコストはさらに削減される。さらに、認証されたICT製品、サービス、プロセスに対するこの大きな欧州市場は、サイバーセキュリティ標準と製品認証に世界的な影響を及ぼしていることを明らかにしている。
Evaluating Cybersecurity: サイバーセキュリティの評価
Conformity of security features – do they: セキュリティ機能の適合性 - それらは、以下の通りである。
• conform to the ones claimed by the applicant? ・申請者が主張するものに適合しているか?
• conform to claimed standards? ・要求された規格に適合しているか?
• conform to required standards? ・要求される規格に適合しているか?
Effectiveness / Robustness: Penetration testing 有効性 / 堅牢性:ペネトレーションテスト
• simulation of an attacker with predefined skills and resources ・有効性・堅牢性: ペネトレーションテスト あらかじめ定義されたスキルとリソースを持つ攻撃者のシミュレーショ ン。
• evaluators try to break or circumvent security features ・評価者は,セキュリティ機能の破壊や回避を試みる。
• each product needs an individually adapted strategy ・各製品は個別に対応する必要がある
Purpose of the Certifcation Body: 認証機関の目的
Management of the certification scheme: 認証スキームの管理
• implement evaluation methodology ・評価手法の導入
• monitor certificate use ・認証書の使用状況を監視する
• ensure qualification of evaluators employed by ITSEFs ・ITSEFが雇用する評価者の資格確保
Supervision of the evaluation: 評価の監督
• oversee each evaluation ・各評価の監督
• ensure consistent approach and methodology across all evaluations ・すべての評価において一貫したアプローチと方法論を確保する
• enforce independence of certificate ・証明書の独立性を確保する

 

 

 

フランス側

Agence nationale de la sécurité des systèmes d'information; ANSSI

・2022.12.12 L’ANSSI ET LE BUNDESAMT FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK (BSI) PRÉSENTENT UNE PUBLICATION CONJOINTE “STRENGTHENING CYBERSECURITY WITH FIXED TIME CYBERSECURITY CERTIFICATION OF IT-PRODUCTS”

 

 

EN 17640:2022...

EN 17640:2022Fixed-time cybersecurity evaluation methodology for ICT products

| | Comments (0)

2022.12.14

ENISA 外国人による情報操作と干渉(FIMI)とサイバーセキュリティ - 脅威状況

こんにちは、丸山満彦です。

ENISAが、欧州対外行動庁(EEAS) [wikipedia]とともに、情報操作とサイバーセキュリティを結びつけるための努力をしていますね。。。サイバーセキュリティの対策を情報操作のためにも使えるようにし、情報操作のための対策をサイバーセキュリティ対策にも使えるようにし、相互補完的に効率よく対策ができるようにするのが目的なのでしょうかね。。。

興味深い取り組みですね。。。

 

ENISA

・2022.12.08 Cybersecurity & Foreign Interference in the EU Information Ecosystem

 

Cybersecurity & Foreign Interference in the EU Information Ecosystem EUの情報エコシステムにおけるサイバーセキュリティと外国からの干渉
The European External Action Service (EEAS) and the EU Agency for Cybersecurity (ENISA) join forces to analyse the interplay between cybersecurity and Foreign Information Manipulation and Interference. 欧州対外行動庁(EEAS)と欧州連合サイバーセキュリティ機関(ENISA)が共同で、サイバーセキュリティと外国による情報操作・干渉の相互作用を分析する。
With broader hybrid threats crossing different domains, the European External Action Service (EEAS) and the European Union Agency for Cybersecurity (ENISA) publish today a joint report on the relation between cybersecurity and FIMI to better understand and adapt to the evolving threat landscape. The report puts forward and tests an analytical approach to describe the creation and dissemination behaviours of Foreign Information Manipulation and Interference (FIMI) and disinformation as a way to draw the attention to the activities the EU aims to prevent, deter and respond to. The ambition is to provide an input to the on-going and ever-pressing discussion on the nature and dynamics of information manipulation and interference, including disinformation, and on how to collectively respond to this phenomenon. 欧州対外行動庁(EEAS)と欧州連合サイバーセキュリティ機関(ENISA)は本日、進化する脅威の状況をよりよく理解し適応するために、サイバーセキュリティと外国人情報操作・妨害の関係に関する共同報告書を発表する。本報告書は、EUが防止、抑止、対応を目指す活動への注意を喚起する方法として、外国による情報操作と妨害(FIMI)および偽情報の作成と流布の行動を説明する分析的アプローチを提案し、検証している。偽情報を含む情報操作と干渉の性質と力学、そしてこの現象に集団で対応する方法について、現在進行中の、そして常に切迫した議論へのインプットを提供することがその目的である。
Intentional attempts to manipulate the information environment and public discourse by foreign actors is by no means a new phenomenon. Described in the past as “propaganda” or more recently as “disinformation”, activities labelled as such have received a considerable new impetus by technological advancements and the propagation of the internet, in particular social media and private messenger services. These developments have also provided significant possibilities to increase the reach of such activity as well as the combination of new and diverse tactics, techniques and procedures that are used across domains. 海外のアクターによる情報環境と言論を意図的に操作しようとする試みは、決して新しい現象ではない。過去には「プロパガンダ」、最近では「偽情報」と呼ばれたこのような活動は、技術の進歩やインターネット、特にソーシャルメディアやプライベートメッセンジャーサービスの普及によって、新たな推進力を得ている。これらの発展はまた、そのような活動の範囲を拡大し、領域を超えて使用される新しく多様な戦術、技術、手順の組み合わせに大きな可能性を与えている。
“Hack and leak” episodes, establishing legitimacy of specific content by compromising authoritative accounts or sharing alleged authentic material are only some of the examples that illustrate the dependent relationship between cybersecurity and the manipulation of the information environment. 「ハッキングとリーク」エピソード、権威あるアカウントを侵害することによる特定のコンテンツの正当性の確立、または真正とされる資料の共有は、サイバーセキュリティと情報環境の操作の依存関係を示す例の一部にすぎない。
Considering how hybrid threats crossing different domains are expanding, the analytical approach proposed by the report describes FIMI, as well as the underlying cybersecurity elements, by combing practices from both. 異なる領域を横断するハイブリッドな脅威がいかに拡大しているかを考慮し、本報告書が提案する分析手法は、両者の実践を組み合わせることによって、FIMIとその根底にあるサイバーセキュリティの要素を記述している。
Tested on a limited set of events the report draws some preliminary conclusions on the relationship between cybersecurity and FIMI/disinformation, such as: 本報告書は、限られた事象について検証を行い、サイバーセキュリティとFIMI/偽情報の関係について、以下のような予備的結論を導き出している。
・the role of cybersecurity in establishing attribution of FIMI/disinformation operations; FIMI/偽情報操作の帰属を確立する上でのサイバーセキュリティの役割。
・the importance of a structured, interoperable and seamless incident reporting process between the cybersecurity and FIMI/disinformation communities; サイバーセキュリティ・コミュニティと FIMI/偽情報コミュニティの間の、構造化された相互運用可能でシームレスな事故報告プロセスの重要性。
・the importance of information sharing and the sharing of best practices between the cybersecurity and counter-FIMI/disinformation communities; サイバーセキュリティ及び対FIMI/偽情報コミュニティ間の情報共有及びベストプラクティスの共有の重要性 ・サイバーセキュリティ及び対FIMI/偽情報コミュニティ間の情報共有の重要性
・enhancing and facilitating the cooperation among EU institutions and bodies at policy level; 政策レベルにおけるEUの機関及び組織間の協力の強化及び円滑化。
・raising awareness and support the capacity building of Member States and of international partners. 加盟国および国際的なパートナーの意識を高め、能力開発を支援する。
The report has benefited from the support of the ENISA ad hoc Working Group on Cybersecurity Threat Landscapes. 本報告書は、ENISAのサイバーセキュリティ脅威の景観に関する特別作業部会の支援を受けている。
The report was published to coincide with the fourth edition of the CTI-EU event that brings stakeholders together to promote the dialogue and envision the future of Cyber Threat Intelligence for Europe. この報告書は、欧州のサイバー脅威インテリジェンスの対話を促進し、将来を展望するために関係者を集めたイベントCTI-EUの第4回開催に合わせて発行されました。
Further information 詳細はこちら
Foreign Information Manipulation Interference (FIMI) and Cybersecurity - Threat Landscape 2022 外国人による情報操作と干渉(FIMI)とサイバーセキュリティ - 脅威の現状2022年版
ENISA Threat Landscape 2022 - Infographic ENISAの脅威の現状 2022年 - インフォグラフィック
ENISA Threat Landscape Report 2022 ENISA脅威の現状レポート2022
European Democracy Action Plan – European Commission 欧州民主化行動計画(European Democracy Action Plan) - 欧州委員会
A Strategic Compass for Security and Defence – EEAS 安全保障と防衛のための戦略的コンパス - EEAS
Foreign Information Manipulation and Interference – European Council 外国人による情報操作と干渉 - 欧州評議会

 

・2022.12.08 

Foreign Information Manipulation Interference (FIMI) and Cybersecurity - Threat Landscape 外国人による情報操作と干渉(FIMI)とサイバーセキュリティ - 脅威状況
The EU Agency for Cybersecurity (ENISA) and the European External Action Service (EEAS) have joined forces to study and analyse the threat landscape concerning Foreign Information Manipulation and Interference (FIMI) and disinformation. A dedicated analytical framework is put forward, consistent with the ENISA Threat Landscape (ETL) methodology, with the aim of analysing both FIMI and cybersecurity aspects of disinformation. The concept of Foreign Information Manipulation and Interference (FIMI) has been proposed by the EEAS, as a response to the call of the European Democracy Action Plan for a further refinement of the definitions around disinformation. Although disinformation is a prominent part of FIMI, FIMI puts emphasis on manipulative behaviour, as opposed to the truthfulness of the content being delivered. Several strategic documents, such as the Strategic Compass for Security and Defence and the July 2022 Council Conclusions on FIMI, refer to the importance of countering FIMI as well as hybrid and cyber threats. EUサイバーセキュリティ機関(ENISA)と欧州対外行動庁(EEAS)は、外国人による情報操作と干渉(FIMI)および偽情報に関する脅威の状況を調査・分析するために協力している。偽情報のFIMIとサイバーセキュリティの両側面を分析することを目的として、ENISA脅威ランドスケープ(ETL)手法と整合性のある専用の分析フレームワークを提唱している。海外情報操作・妨害(FIMI)という概念は、欧州民主化行動計画の呼びかけに応え、EEASが偽情報に関する定義をさらに洗練させるために提案したものである。偽情報は FIMI の重要な一部であるが、FIMI は、配信されるコンテンツの真実性とは対照的に、操作的な振る舞いに重点を置いている。安全保障と防衛のための戦略的コンパスや、2022年7月のFIMIに関する理事会結論など、いくつかの戦略文書が、ハイブリッドやサイバー脅威と同様にFIMIに対抗することの重要性に言及している。

 

・[PDF

20221214-05716

・[DOCX] 仮訳

 

目次...

1. INTRODUCTION 1 序文
1.1 CONTEXT 1.1 文脈
1.2 SCOPE 1.2 範囲
1.3 TARGET AUDIENCE 1.3 対象読者
1.4 STRUCTURE 1.4 構造
2. PROPOSED APPROACH 2 プロダクツアプローチ
2.1 OVERVIEW 2.1 概要
2.2 SECTORS AND VICTIMS AND IMPACT 2.2 セクターと被害者、影響
2.3 SEVERITY AND DURATION 2.3 感度・持続時間
2.4 THREAT ACTORS AND MOTIVATION 2.4 脅威分子と動機
2.5 DISARM FRAMEWORK AND MITRE ATT&CK 2.5 DISARMフレームワークとMITRE ATT&CK
3. TESTING THE FRAMEWORK: ANALYSIS AND TRENDS 3 フレームワークのテスト分析および傾向
3.1 DATA COLLECTION AND CLEANING 3.1 データ収集とクリーニング
3.2 APPLICATION OF THE PROPOSED APPROACH – DATA ANALISYS 3.2 提案手法の適用 - データ分析
3.2.1 Sectors, victims and impact 3.2.1 分野、被害者、影響
3.2.2 Severity and duration 3.2.2 重症度・期間
3.2.3 Threat actors and motivation 3.2.3 脅威の主体・動機
3.2.4 DISARM framework and MITRE ATT&CK 3.2.4 DISARMフレームワークとMITRE ATT&CK
4. RECOMMENDATIONS 4 推奨事項
4.1 TECHNICAL 4.1 技術
4.1.1 On the analytical framework 4.1.1 分析フレームワークについて
4.1.2 On the role of cybersecurity 4.1.2 サイバーセキュリティの役割について
4.2 STRATEGIC 4.2 戦略
4.3 POLICY 4.3 方針

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The EU Agency for Cybersecurity (ENISA) and the European External Action Service (EEAS) have joined forces to study and analyse the threat landscape concerning Foreign Information Manipulation and Interference (FIMI) and disinformation. A dedicated analytical framework is put forward, consistent with the ENISA Threat Landscape (ETL) methodology, with the aim of analysing both FIMI and cybersecurity aspects of disinformation.  EUサイバーセキュリティ機関(ENISA)と欧州対外行動庁(EEAS)は、外国人による情報操作と干渉(FIMI)および偽情報に関する脅威の状況を調査・分析するために協力し合った。FIMIと偽情報のサイバーセキュリティの両側面を分析することを目的として、ENISA脅威状況(ETL)手法と一致する専用の分析フレームワークを提唱している。 
The concept of Foreign Information Manipulation and Interference (FIMI) has been proposed by the EEAS, as a response to the call of the European Democracy Action Plan[1] for a further refinement of the definitions around disinformation. Although disinformation is a prominent part of FIMI, FIMI puts emphasis on manipulative behaviour, as opposed to the truthfulness of the content being delivered. Several strategic documents, such as the Strategic Compass for Security and Defence and the July 2022 Council Conclusions on FIMI, refer to the importance of countering FIMI as well as hybrid and cyber threats.  海外情報操作・妨害(FIMI)という概念は、欧州民主化行動計画[1] の呼びかけに応え、EEASが提案したもので、偽情報に関する定義をさらに洗練させたものである。偽情報は FIMI の重要な一部であるが、FIMI は、配信されるコンテンツの真実性とは対照的に、操作的な振る舞いに重点を置いている。安全保障と防衛のための戦略的コンパスや「FIMIに関する2022年7月の理事会結論」など、いくつかの戦略文書が、ハイブリッドやサイバーの脅威と同様にFIMIに対抗することの重要性に言及している。 
Accordingly, in light of broader hybrid threats that cross different domains, one of the main motivations behind this report is to identify ways to bring the cybersecurity and counter-FIMI communities closer together. The ambition is to provide an input to the on-going and everpressing discussion on the nature and dynamics of information manipulation and interference, including disinformation, and on how to collectively respond to this phenomenon.  したがって、異なる領域を横断する広範なハイブリッド脅威を考慮し、サイバーセキュリティと対FIMI のコミュニティをより緊密に連携させる方法を特定することが、本報告書の背後にある主な動機の一つである。その目的は、偽情報を含む情報操作と干渉の性質と力学、およびこの現象に集団で対応する方法について、進行中の、そして常に急がれる議論へのインプットを提供することである。 
The report proposes and tests an analytical approach describing FIMI and manipulation of information, as well as the underlying cybersecurity elements, by combing practices from both domains:   本報告書では、両領域の実践を組み合わせることで、FIMIと情報操作、およびその基盤となるサイバーセキュリティの要素を記述する分析的アプローチを提案し、検証している。  
•        For cybersecurity: The open methodological framework[2] used by ENISA’s annual report on the state of the cybersecurity threat landscape, the ENISA Threat Landscape Reports[3]  •        サイバーセキュリティの場合[2] ENISAがサイバーセキュリティの脅威の状況に関する年次報告書「ENISA 脅威状況報告」[3] で使用しているオープンな手法のフレームワーク。 
•        For FIMI: The open-source DISARM framework used to capture FIMI/disinformation   •        FIMI向け:FIMI/偽情報を捕捉するために使用されるオープンソースのフレームワークDISARM  
By testing the framework on a limited set of events, the report serves as a proof of concept for the interoperability of the frameworks. In addition, it puts forward some preliminary conclusions on the relationship between cybersecurity and FIMI/disinformation:  本報告書は、限定された事象についてフレームワークをテストすることで、フレームワークの相互運用性の概念実証の役割を果たす。さらに、サイバーセキュリティとFIMI/偽情報の関係について、いくつかの予備的な結論も提示している。 
•        Role of cybersecurity in FIMI/disinformation. Cybersecurity analysis seems to be particularly important in establishing attribution: among the events analysed, those that had been attributed relied on a cybersecurity analysis. In addition, cyber-attacks seem to be more prominent at the initial stages of FIMI/disinformation events. This means firstly that specific cyber-attack techniques could act as an indicator of a FIMI/disinformation event and, secondly, that awareness raising is important to limit the development or acquisition of content and the compromise of infrastructure that facilitate dissemination.  •        FIMI/偽情報におけるサイバーセキュリティの役割。サイバーセキュリティの分析は、帰属を確定する上で特に重要であるように思われる。分析された事象のうち、帰属が確定したものはサイバーセキュリティの分析に依拠している。さらに、サイバー攻撃は、FIMI/偽情報事件の初期段階においてより顕著であるように思われる。このことは、第一に、特定のサイバー攻撃手法がFIMI/偽情報イベントの指標として機能しうること、第二に、コンテンツの開発・取得や普及を促進するインフラの侵害を制限するためには、意識向上が重要であることを意味している。 
•        Importance of structured and seamless incident reporting between the cybersecurity and FIMI/disinformation community.  Consistency of data and data quality are the main limitation to cross-domain analyses. For example, open-source data about FIMI/disinformation events often cover entire operations encompassing several incidents, whereas a “pure” cybersecurity perspective would tend to focus on single incidents.  Also, data about FIMI/disinformation events might not contain sufficient information about its cybersecurity aspects. In both cases, improved incident reporting practices could help.  •        サイバーセキュリティと FIMI/偽情報コミュニティ間の構造化されたシームレスなインシデント報告の重要性。  データの一貫性とデータの質は、分野横断的な分析に対する主な制約である。例えば、FIMI/偽情報に関するオープンソースのデータは、しばしば複数のインシデントを含むオペレーション全体をカバーしているが、「純粋な」サイバーセキュリティの観点では、単一のインシデントに焦点を当てる傾向がある。また、FIMI/偽情報イベントに関するデータには、そのサイバーセキュリティの側面に関する十分な情報が含まれていないかもしれない。どちらの場合も、インシデントの報告方法を改善することが有効であろう。 
•        Mutual exchanges between the cybersecurity and the FIMI/disinformation community could benefit the fight against FIMI/disinformation. Since incident handling and response has been at the core of the cybersecurity community for many years, established cybersecurity practices can help the counter FIMI/disinformation community speeding up analytical maturity. For example, the FIMI community can adopt and adapt standard information formats widely used in the cybersecurity realm, to move beyond information sharing by written reports. Conversely, the FIMI/disinformation community can, in return, inform cybersecurity practitioners on new and emerging motivations, targets and threat vectors.   •        サイバーセキュリティとFIMI/偽情報コミュニティの間の相互交流は、FIMI/ディスイン フォメーションとの戦いに利益をもたらす可能性がある。インシデント処理と対応は、長年にわたりサイバーセキュリティ・コミュニティの中核をなしてきたが、確立されたサイバーセキュリティの慣行は、FIMI/偽情報コミュニ ティが分析の成熟を加速させるのに役立つだろう。例えば、FIMI コミュニティは、サイバーセキュリティの領域で広く使われている標準的な情報フォーマットを採用・適用し、書面による報告書による情報共有から脱却することができる。逆に、FIMI/偽情報コミュニティは、サイバーセキュリティの専門家に対して、新しく出現した動機、標的、脅威のベクトルについて情報を提供することができる。  
This report has been validated and supported by the ENISA ad hoc Working Group on Cybersecurity Threat Landscapes (CTL)[4].  本報告書は、ENISA のサイバーセキュリティ脅威の景観(CTL)に関するアドホック・ワーキンググループ[4] によって検証・支援されている。
FIMI  FIMI 
Foreign Information Manipulation and Interference (FIMI) describes a mostly nonillegal pattern of behaviour that threatens or has the potential to negatively impact values, procedures and political processes. Such activity is manipulative in character, conducted in an intentional and coordinated manner. Actors of such activity can be state or non-state actors, including their proxies inside and outside of their own territory.  海外情報操作・妨害行為(FIMI)とは、価値観、手続き、政治的プロセスに悪影響を及ぼす恐れがある、またはその可能性がある、主に非合法な行動パターンを指す。このような活動は、意図的かつ協調的な方法で行われる操作的な性格を有している。このような活動の主体は、自国の領域内外の代理人を含め、国家または非国家主体であり得る。 

 

| | Comments (0)

英国 デジタル・文化・メディア・スポーツ省 アプリストア運営者及びアプリ開発者のための実践規範

こんにちは、丸山満彦です。

英国政府から、アプリストア運営者及びアプリ開発者のための実践規範を公表していますね。。。これは興味深いです。。。

実践規範は次の8つです。。。

  アプリストア運営者 アプリ開発者 プラットフォーム開発者
1. コードのセキュリティとプライバシーの基本要件を満たすアプリのみがアプリストアで許可されるようにすること    
2. アプリがセキュリティとプライバシーの基本要件に準拠していることを確認すること。  
3. 脆弱性開示プロセスの実装  
4. ユーザを保護するためにアプリを更新し続ける
5. セキュリティやプライバシーに関する重要な情報を、利用者にわかりやすい形で提供すること。  
6. セキュリティとプライバシーに関するガイダンスを開発者に提供する    
7. 開発者への明確なフィードバックの提供    
8. 個人情報漏洩が発生した場合、適切な措置が取られるようにすること。  

 

 

U.K. Government - Department for Digital, Culture, Media & Sport

プレス...

・2022.12.09 New rules for apps to boost consumer security and privacy

New rules for apps to boost consumer security and privacy 消費者のセキュリティとプライバシーを強化するアプリの新ルール
World-first Code of Practice to strengthen consumer protections across the app market. アプリ市場全体で消費者保護を強化する世界初の実践規範
・New measures include better reporting of software vulnerabilities and more transparency for users on the privacy and security of apps available on all app stores ・ソフトウェアの脆弱性報告の改善、すべてのアプリストアで利用可能なアプリのプライバシーとセキュリティに関するユーザーへの透明性の向上など、新たな対策が盛り込まれています。
・Government will work with operators and developers over nine-month period to ensure adoption of voluntary rules ・政府は9ヶ月間にわたり、事業者や開発者と協力し、自主ルールの採用を確保します。
Consumers will be better protected from malicious apps which can steal data and money, thanks to new privacy and security rules for app store operators and developers. アプリストアの運営者と開発者向けの新しいプライバシーおよびセキュリティ規則により、データや金銭を盗む悪質なアプリから消費者をより保護することができます。
Millions of people across the UK use apps on their smartphones, game consoles and smart TVs for a wide range of everyday activities such as work, communication, entertainment and banking. 英国では、何百万人もの人々が、スマートフォン、ゲーム機、スマートテレビで、仕事、コミュニケーション、エンターテインメント、銀行業務など、日常のさまざまな場面でアプリを使用しています。
However, there’s a lack of rules governing the security of apps and the app stores where they are accessed. It means there is a threat that people’s privacy and security could be put at risk because apps containing corrupted software, known as malware, can allow criminals to steal data and money, and mislead users. しかし、アプリのセキュリティや、アプリがアクセスされるアプリストアを管理するルールが不足しています。マルウェアと呼ばれる破損したソフトウェアを含むアプリは、犯罪者がデータや金銭を盗んだり、ユーザーを欺いたりすることができるため、人々のプライバシーやセキュリティが危険にさらされる恐れがあることを意味します。
Consumers are also often unable to make informed choices when deciding to download an app because they don’t have important information such as who has access to their data, or where it is stored and processed. また、消費者は、アプリのダウンロードを決定する際に、誰が自分のデータにアクセスできるのか、データはどこに保存され処理されるのかといった重要な情報がないため、十分な情報に基づいて選択できないことが多いのです。
In response to a call for views earlier this year, the government will request that the app industry signs up to a new code of practice which will boost security and privacy requirements on all apps and app stores available in the UK. 今年初めに行われた意見募集を受け、政府はアプリ業界に対し、英国で利用可能なすべてのアプリとアプリストアのセキュリティとプライバシー要件を強化する新しい実践規範への署名を要請する予定です。
The voluntary code of practice for app developers and operators is a world-first and will protect the UK’s app market, with the mobile app market alone generating more than £74 billion in revenue last year. アプリ開発者と運営者のための自主的な実践規範は世界初のもので、モバイルアプリ市場だけで昨年740億ポンド以上の収益を上げている英国のアプリ市場を保護することになります。
The new measures include requiring apps to have a process so that security experts can report software vulnerabilities to developers, making sure security updates are highlighted properly to users and that security and privacy information is provided to users in a clear and easy-to-understand way. 新しい対策には、セキュリティ専門家がソフトウェアの脆弱性を開発者に報告できるようなプロセスをアプリに義務付けること、セキュリティアップデートがユーザーに適切に強調されるようにすること、セキュリティおよびプライバシー情報が明確でわかりやすい方法でユーザーに提供されるようにすることなどが含まれます。
Cyber minister Julia Lopez said: サイバー相のジュリア・ロペス氏は次のように述べました。
“More people are using apps to pay bills, play games and stay in touch with loved ones, with so much of our day-to-day activities now online.” 「請求書の支払いやゲーム、大切な人との連絡にアプリを利用する人が増え、日々の活動の多くがオンラインで行われるようになりました。」
“Consumers should be able to trust that their money and data is in safe hands when using apps and these measures will not only boost our digital economy but also protect people from fraud.” 「消費者は、アプリを使用する際に、自分のお金やデータが安全に管理されていることを信頼できるようになるべきです。これらの措置は、デジタル経済を後押しするだけでなく、人々を詐欺から保護することにもつながります。」
“We’ve already strengthened our laws to boost security in consumers’ digital devices and the telecoms networks we rely on. Today we are taking steps to get app stores and developers to keep customers even safer in the online world.” 「私たちはすでに、消費者のデジタル機器と、私たちが信頼している通信ネットワークのセキュリティを強化するために法律を強化しています。今日、私たちは、アプリストアと開発者が、オンラインの世界でお客様をより安全に守るための措置を講じます。」
The government will work with operators and developers to support them with implementing the voluntary code over a nine-month period. This includes companies such as Apple, Google, Amazon, Huawei, Microsoft, LG, Epic Games, Nintendo, Valve, Sony and Samsung. 政府は、通信事業者や開発者と協力し、9カ月間にわたって自主規範の実施を支援します。これには、Apple、Google、Amazon、Huawei、Microsoft、LG、Epic Games、Nintendo、Valve、Sony、Samsungといった企業が含まれています。
Alongside this, the Department for Digital, Culture, Media and Sport (DCMS) will work to explore what current laws could be extended to cover apps and app stores and whether regulation is needed to mandate the code in the future. これと並行して、デジタル・文化・メディア・スポーツ省(DCMS)は、アプリとアプリストアを対象とする現行法の拡張可能性や、将来的にコードを義務付けるための規制が必要かどうかを検討する作業を行う予定です。
Under the code, app store operators and developers will need to: この規範に基づき、アプリストアの運営者と開発者は以下のことを行う必要があります。
・Share security and privacy information in a user-friendly way with consumers. Examples include when an app is made unavailable on an app store, when an app was last updated and the locations where users’ data are stored and processed for each app. ・セキュリティとプライバシーに関する情報を消費者に分かりやすく伝えること。例えば、アプリがアプリストアで利用できなくなった時期、アプリの最終更新日、アプリごとにユーザーのデータが保存・処理される場所などが含まれます。
・Allow their apps to work even if a user chooses to disable optional functionality and permissions, such as preventing the app accessing a microphone or knowing a user’s location. ・アプリがマイクにアクセスしたり、ユーザーの位置情報を把握したりすることを防ぐなど、ユーザーが任意の機能や許可を無効にすることを選択した場合でも、そのアプリが動作することを許可すること。
・Have a robust and transparent app vetting process in place which ensures only apps which meet the code’s minimum security and privacy rules are published on their stores. ・堅牢かつ透明性のあるアプリ審査プロセスを導入し、コードの最小限のセキュリティおよびプライバシールールを満たすアプリのみがストアで公開されるようにすること。
・Provide clear feedback to developers when an app is not published on their store for security or privacy reasons. ・セキュリティやプライバシーの理由でアプリがストアで公開されない場合、開発者に明確なフィードバックを提供すること。
・Have a vulnerability disclosure process in place, such as a contact form, so software flaws can be reported and resolved without being made publicly known for malicious actors to exploit. ・悪意ある者に悪用されることなく、ソフトウェアの欠陥を報告し、解決できるように、問い合わせフォームなどの脆弱性開示プロセスを整備すること。
・Ensure developers keep their apps up to date to reduce the number of security vulnerabilities in apps. ・アプリのセキュリティ脆弱性を減らすために、開発者がアプリを常に最新の状態に保つようにすること。
Many developers and operators already follow some of these requirements and those which adopt the code will be able to demonstrate they’re following its principles by declaring this on their company website, app website or app store. 多くの開発者や事業者はすでにこれらの要件のいくつかに従っており、コードを採用した事業者は、自社のウェブサイト、アプリのウェブサイト、またはアプリストアでこのことを宣言することにより、その原則に従っていることを証明することができるようになる予定です。
The government is collaborating with international partners to develop international support for the code and will explore the possibility of creating an international standard for apps and app stores. 政府は、国際的なパートナーと協力して、このコードの国際的なサポートを開発し、アプリとアプリストアの国際標準を作成する可能性を検討する予定です。
The new voluntary rules are part of the government’s £2.6 billion National Cyber Strategy which aims to protect and promote the digital economy, strengthen the UK’s cyber resilience and ensure businesses have the best security standards in place to protect their users. この新しい自主ルールは、デジタル経済の保護と促進、英国のサイバーレジリエンスの強化、および企業がユーザーを保護するための最高のセキュリティ基準を確保することを目的とした、政府の26億ポンドの国家サイバー戦略の一部です。
Paul Maddinson, NCSC Director of National Resilience and Strategy, said: NCSCの国家レジリエンス・戦略担当ディレクターであるPaul Maddinsonは、次のように述べています。
“Our devices and the apps we rely on are increasingly essential to everyday life, and it’s important that developers and app store operators take steps to protect users.” 「私たちのデバイスとそれに依存するアプリは、ますます日常生活に欠かせないものとなっており、開発者とアプリストアの運営者がユーザーを保護するための措置を講じることが重要となっています。」
“By signing up to this code of practice, developers and operators can demonstrate how they are delivering security as standard, as well as protect users from malicious actors and vulnerable apps.” 「この実践規範に署名することで、開発者と運営者は、セキュリティを標準として提供していることを証明できるだけでなく、悪意のある行為者や脆弱なアプリからユーザーを保護することができます。」
Rocio Concha, Which? Director of Policy and Advocacy, said: 政策・提言担当ディレクターであるRocio Conchaは、次のように述べています。
“Apps bring a lot of convenience to our everyday lives, but rogue apps making their way onto the biggest app stores are a security and privacy minefield – putting consumers at huge risk from data theft and scams.” 「アプリは私たちの日常生活に多くの利便性をもたらしますが、最大のアプリストアに出回る不正アプリは、セキュリティとプライバシーの地雷原であり、消費者をデータ盗難や詐欺の危険にさらしています。」
“The government’s announcement of a new voluntary code is a positive step towards making apps more secure. The app market must now be monitored closely for improvements and to check whether tech firms are falling short in protecting consumers.” 「政府が新たな自主規範を発表したことは、アプリの安全性を高めるための前向きな一歩です。今後、アプリ市場が改善され、技術系企業が消費者保護に遅れをとっていないかを注意深く監視する必要があります。」
Ends 以上
Notes to Editors: 編集後記
・App stores are available for various devices, including desktops, smartphones, game consoles, smart TVs, wearable devices and smart speakers. ・アプリストアは、デスクトップ、スマートフォン、ゲーム機、スマートテレビ、ウェアラブル端末、スマートスピーカーなど、さまざまなデバイスで利用可能です。
・The full call for views response can be found here ・意見募集の回答全文はこちらでご覧いただけます。
・The voluntary Code of Practice for App Store Operators and App Developers can be found here ・アプリストア運営者およびアプリ開発者のための自主規範は、こちらでご覧いただけます。
・There is more information in the Written Ministerial Statement to Parliament ・詳しくは、国会での閣僚声明の中で説明しています。
・DCMS is backing the country’s powerhouse sectors to grow the economy and make a difference where people live. ・DCMSは、経済を成長させ、人々が暮らす場所に変化をもたらすために、国内の有力セクターを支援しています。
・The digital sector contributes approximately £143 billion to the economy. There are 1,822,000 jobs in the sector, 250,000 more than in 2019 before the pandemic. Exports of services by the digital sector were worth £56 billion in 2020, which is around a fifth of the UK’s total service exports. ・デジタル部門は経済に約1430億ポンド貢献している。同セクターには1,822,000の雇用があり、パンデミック前の2019年より25万人増加している。デジタル・セクターによるサービスの輸出額は2020年に560億ポンドで、これは英国のサービス輸出総額の約5分の1に相当します。
・As part of the government’s work to boost cyber resilience, it has also today published the second wave of the Cyber Security Longitudinal Study which shows how organisations are making steady progress in adopting cyber security measures, with 85 per cent of businesses and 86 per cent of charities taking action to improve their cyber security in the past 12 months ・また、政府はサイバーレジリエンスを高めるための取り組みの一環として、本日、「サイバーセキュリティ縦断調査」の第2波を発表し、企業の85%、慈善団体の86%が過去12カ月間にサイバーセキュリティを改善するための行動を起こし、組織のサイバーセキュリティ対策が着実に進展していることを示しています。

 

 

・2022.12.09 Policy paper: Code of practice for app store operators and app developers

Policy paper: Code of practice for app store operators and app developers ポリシーペーパー:アプリストア運営者及びアプリ開発者のための実践規範
This code of practice sets out minimum security and privacy requirements for app store operators and app developers. この実践規範は、アプリストア運営者およびアプリ開発者に対する最低限のセキュリティおよびプライバシー要件について定めたものである。
Details 詳細
Applications (“apps”) are increasingly essential to everyday life and work. Apps are primarily accessed via app stores across a range of devices, including desktops, smartphones, smart TVs, games consoles, smart speakers and wearables. The UK government has investigated the app ecosystem and found a range of threats relating to malicious and poorly developed apps. アプリケーション(以下、「アプリ」)は、日常生活や業務にますます欠かせないものとなっている。アプリは主に、デスクトップ、スマートフォン、スマートテレビ、ゲーム機、スマートスピーカー、ウェアラブルなど、さまざまなデバイスでアプリストアを通じてアクセスされる。英国政府は、アプリのエコシステムを調査した結果、悪意のあるアプリや開発不十分なアプリに関連するさまざまな脅威を発見した。
The government’s intention is to ensure consumers are protected from online threats by taking forward a robust set of interventions which are proportionate, pro-innovation and future-facing. 政府の意図は、適切で、イノベーションを促進し、将来を見据えた強固な一連の介入策を講じることにより、消費者をオンラインの脅威から確実に保護することにある。
Following a public consultation, the government has developed this updated code of practice for all app store operators and app developers. 公開協議の後、政府は、すべてのアプリストアの運営者とアプリ開発者のために、この最新の実践規範を開発した。
The code sets out the minimum security and privacy requirements which should be followed by app store operators and app developers. The government strongly believes this code will help protect users from malicious and poorly developed apps. この規範は、アプリストアの運営者とアプリ開発者が従うべき最低限のセキュリティとプライバシーの要件を定めています。政府は、この規範が悪意のあるアプリや不十分な開発のアプリからユーザーを保護するのに役立つと強く確信している。
For more information, please see: 詳細については、こちらを参照。
the press notice プレスリリース
the call for views response 意見募集の回答
the written ministerial statement to Parliament 国会での閣僚声明文
To view all documents relating to app security and privacy, please visit the app security and privacy collection page. アプリのセキュリティとプライバシーに関するすべての文書を閲覧するには、アプリのセキュリティとプライバシーのコレクションページを参照のこと。
This work is part of the government’s £2.6 billion National Cyber Strategy which is helping to protect and promote the UK digital economy. A key part of this is improving cyber resilience across the economy and making sure the technology we use every day at home and at work is secure. この取り組みは、英国政府の26億ポンドの国家サイバー戦略の一部であり、英国のデジタル経済の保護と促進に寄与しています。その主要な部分は、経済全体のサイバーレジリエンスを向上させ、家庭や職場で毎日使っている技術を安全にすることである。

 


・2022.12.09 Policy paper: Code of practice for app store operators and app developers

・[PDF

20221213-152629

 

Policy paper: Code of practice for app store operators and app developers ポリシーペーパー アプリストア運営者及びアプリ開発者のための実践規範
Background 背景
The Code of Practice 実践規範
1.Ensure only apps that meet the code’s security and privacy baseline requirements are allowed on the app store 1.セキュリティとプライバシーの基本要件を満たすアプリのみがアプリストアで許可されるようにする。
2.Ensure apps adhere to baseline security and privacy requirements 2.アプリがセキュリティとプライバシーの基本要件を遵守していることを確認すること
3.Implement a vulnerability disclosure process 3.脆弱性の開示プロセスを実施すること
4.Keep apps updated to protect users 4.ユーザを保護するためにアプリを常に更新する
5.Provide important security and privacy information to users in an accessible way 5.セキュリティおよびプライバシーに関する重要な情報を利用しやすい方法で提供すること
6.Provide security and privacy guidance to Developers 6.開発者に対するセキュリティ及びプライバシーに関するガイダンスの提供
7.Provide clear feedback to developers 7.開発者に対する明確なフィードバックの提供
8.Ensure appropriate steps are taken when a personal data breach arises 8.個人情報漏洩が発生した場合、適切な措置を取るようにすること
Annex A: UK data protection law 附属書 A: 英国データ保護法
Annex B: Making a referral to the ICO 附属書 B:ICOに照会する場合
Annex C: Further information 附属書 C: 追加情報
Background 背景
This voluntary Code of Practice sets out practical steps for App Store Operators and App Developers to protect users. The eight principles within the Code refer to globally recognised security and privacy practices. They are not written in a priority order as they are each important in helping to protect users’ security and privacy. The ICO has provided input for Annex A which highlights legal obligations from UK data protection law relevant to the Code of Practice. Some of the principles within the Code are mandated through existing legislation, including data protection law and other principles will help stakeholders demonstrate steps towards adherence. There are also obligations in existing legislation to notify particular regulators in specific circumstances. The ICO has also provided input for Annex B which provides an overview of how a stakeholder can make a referral to the ICO if they find details of security and/or privacy concerns in apps. Annex C includes details of an additional requirement on securing the mechanism for creating enterprise app stores which applies to particular types of app stores. この自主的な行動規範は、アプリストア運営者およびApp開発者がユーザを保護するための実践的なステップを定めている。本規範の8つの原則は、世界的に認知されたセキュリティおよびプライバシーに関する慣行に言及している。これらは、ユーザのセキュリティとプライバシーを保護するためにそれぞれ重要であるため、優先順位をつけて書かれていない。ICOは、本規範に関連する英国のデータ保護法の法的義務を強調した附属書 Aについて意見を述べた。コード内の原則のいくつかは、データ保護法を含む既存の法律で義務付けられており、その他の原則は、ステークホルダーが順守に向けた手順を示すのに役立つ。また、既存の法律には、特定の状況下で特定の規制当局に通知する義務がある。ICOは、アプリのセキュリティやプライバシーに関する懸念の詳細を見つけた場合に、利害関係者がICOに照会する方法の概要を示す附属書 Bにも意見を提供した。附属書 Cには、特定の種類のアプリストアに適用されるエンタープライズ向けアプリストアの作成メカニズムの保護に関する追加要件の詳細が含まれている。
The responsibility to implement the principles falls on App Store Operators, App Developers and Platform Developers. However, given the role of App Store Operators in setting policies and processes for their app stores, reasonable steps should be taken by them to verify that App Developers and Platform Developers are adhering to the principles set out in this Code. This Code will be reviewed, and if necessary, updated no later than every two years in light of technological developments, further clarifications, modifications to regulations and changes to the threat landscape in this area. For example, we may in the future consider if the Code should be expanded to include practices for Software Development Kit providers. この原則を実施する責任は、アプリストア運営者、アプリ開発者、プラットフォーム開発者にある。しかし、アプリストアのポリシーやプロセスを設定するアプリストア運営者の役割を考えると、アプリ開発者やプラットフォーム開発者がこの規範に定められた原則を遵守していることを確認するために、運営者は合理的な手段を講じるべきである。本規定は、技術的発展、さらなる明確化、規制の修正およびこの分野における脅威の状況の変化に照らして、遅くとも2年ごとに見直され、必要に応じて更新される予定である。例えば、将来的には、この規範をソフトウェア開発キットプロバイダー向けの業務に拡大すべきかどうかを検討することもある。
Audience 想定読者
An indication is given for each principle within this Code as to which stakeholder is primarily responsible for implementation. Stakeholders are defined as: この規範の各原則には、どのステークホルダーがその実施に主な責任を持つかが示されている。ステークホルダーは以下のように定義されている。
Stakeholder: Description ステークホルダー 説明
App Store Operators: The persons or organisations responsible for operating the app store. The App Store Operator will have capability to add and remove apps. They will also decide on the requirements that apps will need to meet to be included in the app store, taking into account any legal requirements. アプリストア運営者:アプリストアの運営に責任を持つ個人または組織。アプリストア運営者は、アプリを追加・削除する機能を有する。また、法的な要件を考慮した上で、アプリがアプリストアに登録されるために満たすべき要件を決定する。
App Developers: Persons or organisations which create or maintain apps on the app store. App Developers are responsible for ensuring their app meets the requirements of the app store, as well as any legal requirements. アプリ開発者:アプリストアのアプリケーションを作成または管理する個人または組織である。アプリ開発者は、アプリがアプリストアの要件および法的要件を満たしていることを確認する責任を負う。
Platform Developers: Persons or organisations responsible for producing the operating system, default functionality and the interface that enables third parties to implement additional functionality, such as through apps. プラットフォーム開発者:オペレーティングシステム、デフォルト機能、および第三者がアプリなどを通じて追加機能を実装できるようにするためのインターフェースの作成に責任を有する個人または組織。
Business-to-Business application programming interface (API) providers are not required to comply with the Code because it is the Developers’ responsibility to understand what API codes/services they use and then develop their apps. Business-to-Businessアプリケーション・プログラミング・インターフェース(API)プロバイダは、本コードに準拠する必要はありません。なぜなら、どのAPIコード/サービスを使用しているかを理解し、アプリを開発するのは開発者の責任だからである。
Key terms 主な用語
Term: Definition 用語:定義
App Store: A digital marketplace that allows users to download apps created by developers, including developers other than the app store’s developers. App stores do not only host apps, as they also serve as storefronts that allow users to browse for apps, such as via search functionality. アプリストア:アプリストアの開発者以外の開発者も含め、開発者が作成したアプリをユーザがダウンロードできるようにするデジタルマーケットプレイス。アプリストアはアプリをホストするだけでなく、検索機能などでユーザがアプリを閲覧するための店頭の役割も果たす。
Malicious app: A malicious app is one which intentionally seeks to illegally take user data, money, or control of their device, outside of the understood purpose of the app. It also incorporates apps that make a user or device undertake illegal activity. Indications that an app is malicious include (but are not limited to) phishing for credentials or illicitly collecting multiple types of sensitive data (e.g. contacts, messages), coupled with indicators of detection evasion such as obfuscation, dynamic loading, or cloaking of malicious behaviour. 悪意のあるアプリ:悪意のあるアプリとは、意図的にユーザのデータ、金銭、またはデバイスの制御を不正に取得しようとするもので、アプリの理解された目的以外には含まれない。また、ユーザまたはデバイスに違法行為を行わせるアプリも含まれる。アプリが悪質であることを示す指標としては、難読化、動的ロード、悪意のある動作の隠蔽などの検出回避の指標と相まって、認証情報のフィッシングや複数の種類の機密データ(連絡先、メッセージなど)の不正収集が含まれる(ただし、これらに限定されません)。
Vulnerabilities: A vulnerability is a weakness in an app that may be exploited by an attacker to deliver an attack. They can occur through flaws and features, and attackers will look to exploit any of them, often combining one or more, to achieve their end goal. 脆弱性:脆弱性とは、攻撃者が攻撃を行うために悪用する可能性のあるアプリの弱点のことである。脆弱性は、欠陥や機能を通じて発生する可能性があり、攻撃者は、最終的な目標を達成するために、これらのいずれかを悪用しようとする。
Assessing adherence to the voluntary code 自主規範の遵守状況の評価
There will be a nine month period for Operators and Developers to adhere to the Code. DCMS are only initially focusing on assessing adherence of the Code with App Store Operators. This is because the vast majority of users access apps from platforms offered by Operators. DCMS intends to commence meetings with Operators from early 2023 to determine if Operators have started to enact changes in their processes, including requirements for Developers based on the Code. Operators are welcome to organise additional meetings with DCMS to seek any clarifications and to highlight what actions they are taking. DCMS intends to also request written reports from Operators in Spring 2023 which will be treated as confidential. The reports should clearly state how they meet the provisions in the Code and/or the steps that are being taken to adhere to the Code. 事業者と開発者が自主規範を遵守するための期間は9ヶ月間である。DCMSは、当初、アプリストア運営者の規範遵守の評価にのみ重点を置いている。これは、大多数のユーザが、事業者が提供するプラットフォームからアプリにアクセスするためである。DCMSは、2023年初頭から事業者との会合を開始し、事業者が規範に基づく開発者に対する要件を含むプロセスの変更に着手しているかどうかを判断する予定である。事業者は、明確な説明を求め、どのような行動をとっているかを明らかにするために、DCMSとの追加の会合を開くことを歓迎する。DCMSは、2023年春に事業者に対し、機密事項として扱われる書面による報告書を要求する予定である。報告書には、当規範の規定をどのように満たしているか、および/または当規範を遵守するためにどのような措置がとられているかを明確に記載すべきである。
Once these meetings and written reports have been reviewed, if DCMS determines that insufficient data has been provided and/or that many Operators are not taking steps towards adherence, then we intend to commission our own independent research. This is a voluntary Code, therefore Operators and Developers will also be able to differentiate themselves by affirming publicly that they comply with the Code. We will work with the Operators and Developers to check this is the case. We will also welcome any feedback from other stakeholders and will liaise closely with cyber security companies who have published research reports on areas that overlap with provisions in the Code. これらの会議と報告書を確認した後、DCMSが、データの提供が不十分で、多くのオペレーターが規範遵守のための措置をとっていないと判断した場合には、独自の調査を依頼する予定である。これは自主的な規範であるため、事業者と開発者は、この規範を遵守していることを公言することで、差別化を図ることができる。私たちは、オペレーターやデベロッパーと協力して、この点を確認するつもりである。また、他のステークホルダーからのフィードバックも歓迎し、本規範の規定と重複する領域に関する調査報告書を発表しているサイバーセキュリティ企業とも密接に連携していく。
The Code of Practice 実践規範
1. Ensure only apps that meet the code’s security and privacy baseline requirements are allowed on the app store 1. コードのセキュリティとプライバシーの基本要件を満たすアプリのみがアプリストアで許可されるようにすること
[footnote 1]
[脚注1]
Primarily applies to: App Store Operators 主に適用される者: アプリストア運営者
1.1 App Store Operators shall clearly set out security and privacy requirements for apps on the app store, published in a location that does not require purchasing access by Developers. This shall include those provisions set out in principle 2. 1.1 アプリストア運営者は、アプリストアに掲載するアプリについて、開発者の購入アクセスが不要な場所で公開されるセキュリティおよびプライバシーの要件を明確に定めなければならない。これには、原則 2 に定める規定が含まれなければならない。
1.2 App Store Operators shall have a vetting process which includes security checks in which the above requirements are reviewed prior to approving app submissions and updates. Operators shall notify the Developer if an app or update is rejected for security reasons (see principle 7 for more detail). 1.2 アプリストア運営者は、アプリの申請および更新を承認する前に、上記の要件を確認するセキュリティチェックを含む審査プロセスを持たなければならない。運営者は、アプリやアップデートがセキュリティ上の理由で拒否された場合、開発者に通知しなければならない(詳細は原則7を参照)。
1.3 App Store Operators shall provide an overview of the security checks that are undertaken for apps and updates in a publicly accessible location. 1.3 アプリストア運営者は、アプリやアップデートのセキュリティチェックの概要を、一般にアクセス可能な場所で提供しなければならない。
Example of information provided by an Operator on their security checks 運営者が提供するセキュリティチェックの情報例
Apps undergo a security check which consists of both automated and manual activities. The following activities will be undertaken: アプリは、自動的および手動的な活動からなるセキュリティチェックを受けます。以下の活動が実施される。
・Use of static analysis tools ・静的解析ツールの使用
・Confirmation of necessity of permissions ・パーミッションの必要性の確認
・Confirmation of Software Development Kit versions ・ソフトウェア開発キットのバージョン確認
・Scanning for default credentials ・デフォルトのクレデンシャルのスキャン
・Sharing of submission with a third party for further static analysis and vulnerability scanning. ・さらなる静的解析と脆弱性スキャンのために、第三者と提出物を共有すること。
1.4 App stores shall have an app reporting system (such as visible contact details or a contact form), so that users and security researchers can report malicious apps, and Developers can report fraudulent copies of their own apps to the app store. 1.4 アプリストアは、ユーザやセキュリティ研究者が悪意のあるアプリを報告できるように、また開発者が自身のアプリの不正コピーをアプリストアに報告できるように、アプリ報告システム(連絡先の可視化や問い合わせフォームなど)を備えていなければならない。
1.5 Once an App Store Operator has verified that an app is clearly malicious, they shall make the app unavailable on the app store as soon as possible but no later than 48 hours. Operators shall notify the Developer that their app has been made unavailable. 1.5 アプリストア運営者は、アプリが明らかに悪質であると確認した場合、できるだけ早く、遅くとも48時間以内に、当該アプリをアプリストアで利用できないようにしなければならない。運営者は、開発者に対し、アプリが利用できなくなったことを通知しなければならない。
1.6 Once an App Store Operator verifies that an app or an update is malicious, they should initiate a proportionate review of other apps that have been produced by the same Developer. 1.6 アプリストア運営者は、アプリまたはアップデートが悪質であることを確認したら、同じ開発者によって作成された他のアプリについても、相応のレビューを開始すべきである。
1.7 App Store Operators and Developers should consider working with independent parties to assess app security and privacy. 1.7 アプリストア運営者と開発者は、アプリのセキュリティとプライバシーを評価するために、独立した第三者と協力することを検討すべきである。
2. Ensure apps adhere to baseline security and privacy requirements 2. アプリがセキュリティとプライバシーの基本要件に準拠していることを確認すること。
Primarily applies to: App Developers and Platform Developers 主に適用される者:アプリ開発者プラットフォーム開発者
2.1 Developers shall use industry standard encryption within their apps, specifically in relation to data in transit and where an app needs to encrypt data locally. 2.1 開発者は、特に転送中のデータ及びアプリがローカルにデータを暗号化する必要がある場合、アプリ内で業界標準の暗号化を使用しなければならない。
Apps utilise, receive and transmit data that is often sensitive in nature. This may include data relating to users, an enterprise, functionality or other information necessary for the app to operate securely. This data needs to be encrypted at rest and in transit in order to ensure it cannot be compromised by an attacker. アプリは、多くの場合、本質的に機密性の高いデータを利用し、受信し、送信する。これには、ユーザ、エンタープライズ、機能、またはアプリが安全に動作するために必要なその他の情報に関連するデータが含まれる場合がある。このようなデータは、攻撃者によって侵害されないようにするために、静止時および転送時に暗号化する必要がある。
This may be done by APIs native to the platform, which will often integrate with secure hardware on the device. これは、プラットフォームにネイティブなAPIによって行われる場合があり、多くの場合、デバイス上の安全なハードウェアと統合される。
2.2 Developers shall ensure that the primary function of an app operates if a user chooses to disable its optional functionality and permissions.[footnote 2] 2.2 開発者は、ユーザがオプション機能およびパーミッションの無効化を選択した場合、アプリの主要機能が動作することを保証しなければならない[脚注2]。
2.2.1 If the user isn’t presented with any optional functionalities, developers shall ensure that their app only requires the enabled functions and permissions necessary to operate. 2.2.1 ユーザに任意の機能が表示されない場合、開発者は、アプリが動作するために必要な有効な機能とパーミッションのみを必要とすることを保証しなければならない。
2.3 Developers should not request permissions and privileges which are not functionally required by the app.[footnote 3] 2.3 開発者は、アプリが機能的に必要としない許可や特権を要求してはならない[脚注3]。
2.3.1 Developers shall share the permissions and privileges requested by the app in the app manifest with the App Store Operator, to allow for this to be cross-checked. 2.3.1 開発者は、アプリが要求する許可と権限をアプリマニフェストでアプリストア運営者と共有し、これを相互確認できるようにしなければならない。
A functional requirement is defined as one that is necessary for the user-facing operation of the app. This does not include any background operation which does not offer the user any features or an improved experience. 機能要件は、アプリのユーザ向け操作に必要なものと定義される。これには、ユーザに機能やエクスペリエンスの向上を提供しないバックグラウンドの操作は含まれない。
2.4 Developers shall take steps to make their app adhere to security requirements, data protection by design, broader requirements set out in data protection law[footnote 4] and other appropriate laws to the app’s purpose.[footnote 5] 2.4 開発者は、アプリがセキュリティ要件、デザインによるデータ保護、データ保護法[脚注4]に規定される広範な要件、およびアプリの目的に対するその他の適切な法律を遵守するように、措置を講じなければならない[脚注5]。
2.5 Developers shall ensure there exists a simple uninstall process for their app.[footnote 6] 2.5 開発者は、アプリの簡単なアンインストールプロセスが存在することを保証しなければならない[脚注 6]。
2.6 Developers should have a process to readily update and monitor their software dependencies for known vulnerabilities in all the published versions of their app. 2.6 開発者は、そのアプリの公開されているすべてのバージョンにおいて、既知の脆弱性がないか、ソフトウェアの依存関係を容易に更新し、監視するプロセスを持つべきである。
2.7 Developers should provide users with a mechanism to delete locally held data, and request deletion of personal data gathered by an app.[footnote 7] 2.7 開発者は、ローカルに保持されたデータを削除し、アプリが収集した個人データの削除を要求するメカニズムをユーザに提供すべきである[脚注7]。
3. Implement a vulnerability disclosure process 3. 脆弱性開示プロセスの実装
Primarily applies to: App Developers and App Store Operators 主に適用される者:アプリ開発者アプリストア運営者
3.1 Every app shall have a vulnerability disclosure process, such as through contact details or a contact form, which is created and maintained by the Developer. 3.1 すべてのアプリは、開発者が作成し維持する、連絡先や問い合わせフォームなどによる脆弱性開示プロセスを備えていなければならない。
3.2 Operators shall check that every app on their platform has a vulnerability disclosure process which is accessible and displayed on their app store. This process shall ensure that vulnerabilities can be reported without making them publicly known to malicious actors. 3.2 運営者は、自社のプラットフォーム上のすべてのアプリが、自社のアプリストアでアクセス・表示可能な脆弱性開示プロセスを有していることを確認しなければならない。このプロセスは、悪意のある行為者に知られることなく、脆弱性を報告できることを保証するものでなければならない。
3.3 App Store Operators shall ensure their app store has a vulnerability disclosure process, such as contact details or a contact form, which allows stakeholders to report to the Operator any vulnerabilities found in the app store platform. 3.3 アプリストア運営者は、アプリストアのプラットフォームで発見された脆弱性を関係者が運営者に報告できるように、連絡先や問い合わせフォームなど、脆弱性開示プロセスを備えていることを確認しなければならない。
3.3.1 App Store Operators should accept vulnerability disclosure reports from stakeholders for apps on their platforms if the Developer has not issued acknowledgement specific to said report after 15 working days. App Store Operators should assess the merit of these reports, and contact the Developer if they are deemed credible. 3.3.1 アプリストア運営者は、開発者が15営業日経過しても当該報告に対する承認が得られない場合、自社プラットフォーム上のアプリに関する関係者からの脆弱性開示報告書を受理すべきである。アプリストア運営者は、これらの報告のメリットを評価し、信頼性が高いと判断した場合には開発者に連絡すべきである。
3.3.2 If App Store Operators don’t receive an acknowledgement from the Developer, after a further 15 working days, then they should make the app unavailable on the store. 3.3.2 15 営業日経過しても開発者からの確認がない場合、アプリストア運営者はストア上でアプリを利用できないようにすべきである。
The NCSC’s Vulnerability Disclosure Toolkit exists to help organisations implement an effective vulnerability disclosure process. Such a process should: NCSC の 脆弱性開示ツールキットは、組織が効果的な脆弱性開示プロセスを実装するのを支援するために存在する。そのようなプロセスには、次のようなものがある。
・Enable the reporting of found vulnerabilities ・発見された脆弱性を報告できるようにする
・Be clear, simple and secure ・明確、シンプル、かつ安全であること
・Define how the organisation will respond ・組織がどのように対応するかを定義する
The Toolkit defines how to effectively communicate with finders of vulnerabilities, and how to make a sensible policy that will be clear to the necessary stakeholders. We recognise that vulnerability disclosure reports could be abused for various reasons, such as attempting to make an app unavailable. このツールキットでは、脆弱性の発見者と効果的にコミュニケーションをとる方法、および、必要な利害関係者にとって明確な賢明な方針を立てる方法を定義している。私たちは、脆弱性開示レポートが、アプリを利用できなくしようとするなど、さまざまな理由で悪用される可能性があることを認識している。
App Store Operators and App Developers may also benefit from the following standards: アプリストア運営者及びアプリ開発者は、以下の規格も参考にされると良いでしょう。
ISO/IEC 29147:2018 Information technology — Security techniques — Vulnerability disclosure ISO/IEC 29147:2018 情報技術 - セキュリティ技術 - 脆弱性の開示
ISO/IEC 30111:2019 - Vulnerability handling processes ISO/IEC 30111:2019 - 脆弱性ハンドリングプロセス
4. Keep apps updated to protect users 4. ユーザを保護するためにアプリを更新し続ける
Primarily applies to: App Store OperatorsApp Developers and Platform Developers 主に適用される者: アプリストア運営者、アプリ開発者、プラットフォーム開発者
4.1 Developers shall provide updates to fix security vulnerabilities within their app.[footnote 8] 4.1 開発者は、アプリ内のセキュリティ脆弱性を修正するためのアップデートを提供しなければならない[脚注8]。
4.2 Developers shall update their app when a third-party library or software development kit (SDK) that they are using receives a security or privacy update.[footnote 9] See principle 6.4 for the proposed actions on App Store Operators. 4.2 開発者は、利用しているサードパーティのライブラリやソフトウェア開発キット(SDK)がセキュリティやプライバシーのアップデートを受けた場合、アプリをアップデートしなければならない[脚注 9]。 アプリストア運営者に対して提案されている対応については、原則6.4を参照。
4.3 When a Developer submits a security update for an app, App Store Operators shall encourage users to update the app to the latest version. 4.3 開発者がアプリのセキュリティアップデートを提出した場合、アプリストア運営者は、利用者に対して、アプリを最新版にアップデートしなければならない。
4.4 App Store Operators shall not reject standalone security updates without providing a strong and clear justification to the Developer as to why this has happened. In cases where an Operator is not approving the update due to concerns that they are engaging with a malicious Developer, an Operator shall have flexibility on the time period and detail of said feedback. 4.4 アプリストア運営者は、開発者に対してその理由を明確に説明することなく、単体のセキュリティアップデートを拒否してはならない。悪意のあるデベロッパーとの関わりを懸念してアップデートを承認しない場合、運営者は、その期間およびフィードバックの詳細について柔軟に対応できなければならない。
A standalone security update is one which affects only the security and privacy functionality of the app, with no changes to user functionality, or non-security background operation. スタンドアロンセキュリティアップデートとは、アプリのセキュリティおよびプライバシー機能のみに影響し、ユーザ機能またはセキュリティ以外のバックグラウンド動作には変更を与えないものをいう。
4.5 App Store Operators shall contact a Developer if an app has not received an update for 2 years to check that the app is still being supported. If the Operator does not receive a response from this process within 30 days, then they shall make the app unavailable on the store. 4.5 アプリストア運営者は、アプリが2年間アップデートされていない場合、デベロッパに連絡し、アプリがまだサポートされているかどうかを確認しなければならない。このプロセスから30日以内に返答がない場合、運営者はそのアプリをストア上で利用できないようにしなければならない。
5. Provide important security and privacy information to users in an accessible way 5. セキュリティやプライバシーに関する重要な情報を、利用者にわかりやすい形で提供すること。
Primarily applies to: App Store Operators and App Developers 主に適用される者: アプリストア運営者アプリ開発者
5.1 When an app is removed or made unavailable from an app store, the Operator shall notify users of said app and link to instructions on how a user would remove the app from their device within 30 days.[footnote 10] 5.1 アプリがアプリストアから削除された場合、または利用できなくなった場合、運営者は、当該アプリのユーザに通知し、ユーザが30日以内にアプリをデバイスから削除する方法に関する説明へのリンクを提供しなければならない[脚注10]。
The term “unavailable” refers to when an app is hidden from new users so they can’t download the app, but may still be on the app store so current users may be able to receive updates. 「利用できない」という用語は、アプリが新規ユーザから隠されてアプリをダウンロードできないが、現在のユーザがアップデートを受け取ることができるようにアプリストアに残っている可能性がある場合を指す。
The term “removed” includes when an app is completely removed from the app store; this could be by either the operator or developer. This may be for security or other reasons. 「削除」とは、アプリがアプリストアから完全に削除されることを指す。これは、運営会社または開発会社のいずれかによって行われる可能性がある。これは、セキュリティ上の理由またはその他の理由によるものである可能性がある。
5.2 Developers shall provide the following information about an app’s behaviour: where a user’s data is stored, shared and processed within a privacy policy; when the app was last updated; and other relevant security information.[footnote 11] 5.2 開発者は、アプリの動作について、次の情報を提供しなければならない。プライバシーポリシーの中でユーザのデータが保存、共有、処理される場所、アプリの最終更新日、その他の関連するセキュリティ情報[脚注11]。
5.3 App Store Operators shall display the below information (provided by Developers) for all apps on their app store, such as in a dedicated security and privacy section:[footnote 12] 5.3 アプリストア運営者は、自社のアプリストアにあるすべてのアプリについて、セキュリティとプライバシーに関する専用のセクションなどにおいて、以下の情報(開発者から提供されたもの)を表示しなければならない[脚注12]。
5.3.1 The jurisdictions where a user’s data is stored and processed for each app.[footnote 13] 5.3.1 各アプリについて、ユーザのデータが保存され処理される法域[脚注13]。
5.3.2 The stakeholders that are given access to a user’s data. The categories of stakeholders that are displayed to a user should include third party companies, the app’s organisation, specific governments or not shared with anyone. 5.3.2 ユーザのデータにアクセスすることを許可された利害関係者。ユーザに表示される利害関係者のカテゴリには、第三者企業、アプリの組織、特定の政府、または誰とも共有されないことが含まれるべきである。
5.3.3 The purpose of accessing or using a user’s data. Categories should include marketing, analytics, user services. 5.3.3 ユーザのデータにアクセスする、またはデータを使用する目的。カテゴリには、マーケティング、分析、ユーザサービスが含まれるべきである。
5.3.4 When the app was last updated and any other relevant security information, as well as the information linked to permissions noted in principle 2. 5.3.4 アプリの最終更新日、その他の関連するセキュリティ情報、および原則2に記載された許可に関連する情報。
5.3.5 The above information shall be written in an accessible format for all users and be clearly available prior to purchase and download. 5.3.5 上記の情報は、すべての利用者がアクセス可能な形式で記述され、購入およびダウンロードの前に明確に利用可能でなければならない。
5.4 Developers shall provide information about the permissions which an app may request, such as access to contacts, location and the device’s microphone, along with justifications for why each of these permissions are needed. This information shall be provided to app stores and any users who install the app without an app store. Operators shall display this information for all apps on their app store prior to purchase and download. 5.4 開発者は、連絡先、位置情報、デバイスのマイクへのアクセスなど、アプリが要求する可能性のある許可に関する情報を、それぞれの許可が必要な理由の正当性と共に提供しなければならない。この情報は、アプリストアおよびアプリストアを介さずにアプリをインストールするユーザに対して提供されなければならない。運営者は、購入およびダウンロードの前に、アプリストア上のすべてのアプリについてこの情報を表示しなければならない。
6. Provide security and privacy guidance to Developers 6. セキュリティとプライバシーに関するガイダンスを開発者に提供する
Primarily applies to: App Store Operators 主に適用される者:アプリストア運営者
6.1 App Store Operators shall signpost this Code of Practice to Developers prior to an app’s submission. 6.1 アプリストア運営者は、開発者に対し、アプリの投稿前に本実施規範を案内しなければならない。
6.2 App Store Operators should publicise any upcoming changes to be introduced to their Developer guidelines / policies. 6.2 アプリストア運営者は、開発者向けガイドラインやポリシーに今後導入される変更について、公表すべきである。
6.3. App Store Operators should provide information on what is considered best security and privacy practice where that goes beyond the Code’s baseline requirements, such as information on other standards that have been produced. 6.3. アプリストア運営者は、セキュリティとプライバシーのベストプラクティスと考えられるものについて、規範の基本要件を超えている場合は、他の作成された基準に関する情報などを提供すべきである。
See DCMS’s mapping of the app security standards landscape for more information.[footnote 14] 詳細については、DCMSのアプリセキュリティ基準のマッピングを参照 [脚注14]。
6.4. App Store Operators should support App Developers in implementing effective supply chain management, such as by monitoring common third-party libraries and services and sharing relevant information, highlighting potential threat vectors across multiple apps. 6.4. アプリストア運営者は、共通のサードパーティライブラリやサービスを監視して関連情報を共有し、複数のアプリにまたがる潜在的な脅威のベクトルを明らかにするなど、アプリ開発者による効果的なサプライチェーン管理の実施を支援すべきである。
NCSC has published Supply Chain Security Guidance which is designed to help organisations establish effective control and oversight of their supply chain. We encourage organisations that are part of the app ecosystem to adopt this guidance (where relevant). NCSCは、組織がサプライチェーンの効果的な管理と監視を確立するのを支援するために設計されたサプライチェーンセキュリティガイダンスを発行している。アプリのエコシステムの一部である組織には、このガイダンスを採用することを推奨する(関連する場合)。
7. Provide clear feedback to developers 7. 開発者への明確なフィードバックの提供
Primarily applies to: App Store Operators 主に適用される者:アプリストア運営者
7.1. When an app submission is rejected, the App Store Operator should provide consistent and actionable feedback, justifying the rejection of the app and making clear what elements would need to change in order for the app to be accepted. 7.1. アプリの申請が却下された場合、アプリストア運営者は、却下の理由と、アプリを受け入れるためにどのような要素の変更が必要かを明確にし、一貫した実用的なフィードバックを提供すべきである。
7.2. When an App Store Operator removes or makes an app unavailable for security or privacy reasons, they shall notify the Developer of this step, and provide feedback explaining the reasoning behind the decision. Operators shall take into consideration that the feedback they provide does not help malicious actors. 7.2. アプリストア運営者は、セキュリティやプライバシーの観点からアプリを削除したり利用不可にする場合、その旨を開発者に通知し、決定の理由を説明するフィードバックを行うものとする。運営者は、提供するフィードバックが悪意のある行為者の助けにならないように配慮する。
8. Ensure appropriate steps are taken when a personal data breach arises 8. 個人情報漏洩が発生した場合、適切な措置が取られるようにすること。
Primarily applies to: App Developers and App Store Operators 主に適用される者:アプリ開発者アプリストア運営者
8.1. If a Developer or App Store Operator becomes aware of a security incident in an app which involves a personal data breach, they should inform other relevant stakeholders including App Developers, App Store Operators, and library/SDK Developers. 8.1. 開発者やアプリストア運営者は、個人情報漏洩を伴うアプリのセキュリティ事故に気付いた場合、アプリ開発者、アプリストア運営者、ライブラリ/SDK開発者を含む他の関連するステークホルダーに通知すべきである。
8.2. Developers shall assess the impact of said incident and follow appropriate steps set out under data protection law.[footnote 15] 8.2. 開発者は、当該インシデントの影響を評価し、データ保護法の下で定められた適切な手順に従うものとする[脚注15]。
8.3. When a personal data breach occurs through an app, the Developer shall inform affected users and signpost instructions for users to protect themselves. 8.3. アプリを通じて個人情報漏洩が発生した場合、開発者は影響を受けるユーザに通知し、 ユーザが自らを守るための指示を示すものとする。
8.4. When Operators are notified about a personal data breach in an app, Operators should consider whether the app should be made unavailable to users. 8.4. アプリでの個人データ侵害について通知を受けた場合、オペレーターは、アプリをユーザが利用できないようにすべきかどうかを検討すべきである。
Annex A: UK data protection law 附属書 A:英国データ保護法
App Store Operators and App Developers shall comply with the broader requirements of data protection law, including the Data Protection Act 2018 and UK General Data Protection Regulation, but the sections below have been added to highlight requirements of particular relevance to the Code of Practice.[footnote 16] アプリストア運営者およびアプリ開発者は、2018年データ保護法および英国一般データ保護規則を含むデータ保護法の広範な要件を遵守する必要があるが、本実施規範に特に関連する要件を強調するために、以下のセクションが追加されている[脚注16]。
Controllers and processors 管理者と処理者
・Understanding your role in relation to the personal data you are processing is crucial to ensuring compliance with the UK General Data Protection Regulations (GDPR) and the fair treatment of individuals. ・処理している個人データに関連する自分の役割を理解することは、英国一般データ保護規則(GDPR)の遵守と個人の公正な扱いを確保する上で極めて重要である。
・Your obligations under the UK GDPR will vary depending on whether you are a controller, joint controller or processor. ・英国のGDPRに基づくあなたの義務は、あなたが管理者、共同管理者、処理者のいずれであるかによって異なる。
・The ICO has the power to take action against controllers and processors under the UK GDPR. ・ICOは、英国GDPRに基づき、管理者および処理者に対して措置を講じる権限を有する。
・Individuals can bring claims for compensation and damages against both controllers and processors. ・個人は、管理者と処理者の両方に対して補償と損害賠償の請求を行うことができる。
・You should take the time to assess, and document, the status of each organisation you work with in respect of all the personal data and processing activities you carry out. ・あなたが実施するすべての個人データおよび処理活動に関して、一緒に仕事をする各組織の状況を時間をかけて評価し、文書化すべきである。
・Whether you are a controller or processor depends on a number of issues: The key questions are; 1.) who determines the purposes for which the data are processed (the “why”) and 2.) the means (the “how”) of processing? ・管理者であるか処理者であるかは、いくつかの問題によって決まります。1.) データを処理する目的(「なぜ」)を決定するのは誰か、2.) データ処理の手段(「どのように」)を決定するのは誰か、が主な問題である。
・Organisations that determine the purposes and means of processing will be controllers regardless of how they are described in any contract about processing services. ・処理の目的と手段を決定する組織は、処理サービスに関する契約にどのように記載されているかにかかわらず、管理者になる。
Relevant UK GDPR articles: 4(7), 4(8), 5(1), 5(2), 26, 28-36 英国のGDPRの関連条文。4(7), 4(8), 5(1), 5(2), 26, 28-36
ICO guidance for data controllers and processors データ管理者および処理者のためのICOガイダンス
Security セキュリティ
・A key principle of the UK GDPR is that you must process personal data securely by means of ‘appropriate technical and organisational measures’. This is the ‘security principle’. ・英国GDPRの主要原則は、「適切な技術的および組織的措置」によって個人データを安全に処理しなければならないということである。これは、「セキュリティの原則」である。
・Doing this requires you to consider things like risk analysis, organisational policies, and physical and technical measures. ・そのためには、リスク分析、組織的な方針、物理的・技術的な措置などを考慮する必要がある。
・You also have to take into account additional requirements about the security of your processing and these also apply to data processors. ・また、データ処理のセキュリティに関する追加要件も考慮する必要があり、これらはデータ処理者にも適用される。
・You can consider the state of the art and costs of implementation when deciding what measures to take, but they must be appropriate both to your circumstances and the risk your processing poses. ・どのような対策を講じるかを決定する際には、最新技術と導入コストを考慮することができるが、お客様の状況とお客様の処理がもたらすリスクの両方に対して適切なものでなければならない。
・Where appropriate, you should look to use measures such as pseudonymisation and encryption. ・適切な場合には、仮名化や暗号化などの手段を使用することを検討すべきである。
・Your measures must ensure the ‘confidentiality, integrity and availability’ of your systems and services and the personal data you process within them. ・対策は、システムおよびサービス、ならびにその中で処理される個人データの「機密性、完全性、可用性」を確保するものでなければならない。
・The measures must also enable you to restore access and availability to personal data in a timely manner in the event of a physical or technical incident. ・また、物理的または技術的な事故が発生した場合、個人データへのアクセスと可用性を適時に回復できるような対策でなければならない。
・You also need to ensure that you have appropriate processes in place to test the effectiveness of your measures, and undertake any required improvements. ・また、対策の有効性をテストし、必要な改善を行うための適切なプロセスがあることを確認する必要がある。
Relevant UK GDPR articles: 5(1)(f) and 32 英国のGDPRの関連条文。5(1)(f)および32
ICO guidance on security セキュリティに関するICOのガイダンス
ICO guidance on security outcomes セキュリティの成果に関するICOのガイダンス
Data protection by design and default 設計およびデフォルトによるデータ保護
・The UK GDPR requires you to put in place appropriate technical and organisational measures to implement the data protection principles effectively and safeguard individual rights. This is ‘data protection by design and by default’. ・英国のGDPRは、データ保護の原則を効果的に実施し、個人の権利を保護するために、適切な技術的および組織的な措置を講じることを求めている。これは、「設計およびデフォルトによるデータ保護」である。
・In essence, this means you have to integrate or ‘bake in’ data protection into your processing activities and business practices, from the design stage right through the lifecycle. ・要するに、設計段階からライフサイクルに至るまで、データ保護を処理活動やビジネス慣行に組み込む、または「焼き付ける」必要があるということである。
・This concept is not new. Previously known as ‘privacy by design’, it has always been part of data protection law. The key change with the UK GDPR is that it is now a legal requirement. ・このコンセプトは新しいものではありません。以前は「プライバシー・バイ・デザイン」として知られ、常にデータ保護法の一部となっていました。英国のGDPRの主な変更点は、それが法的要件になったことである。
・Data protection by design is about considering data protection and privacy issues upfront in everything you do. It can help you ensure that you comply with the UK GDPR’s fundamental principles and requirements, and forms part of the focus on accountability. ・デザインによるデータ保護とは、データ保護とプライバシーの問題を、あなたが行うすべてのことに前もって考慮することである。これは、英国GDPRの基本原則と要件に確実に準拠するのに役立ち、説明責任に重点を置くことの一部を形成する。
・Data protection by design is particularly important in the context of mobile apps; for example, understanding the various software components involved, how these relate to the personal data the app processes and what steps you need to take to build in privacy from the design stage. ・設計によるデータ保護は、モバイルアプリのコンテキストにおいて特に重要である。例えば、関係するさまざまなソフトウェアコンポーネント、これらがアプリが処理する個人データにどのように関連するか、設計段階からプライバシーを組み込むためにどのような手順が必要かを理解することが挙げられます。
Relevant UK GDPR articles: 25 英国のGDPR関連記事 25
ICO guidance Data protection by design and default ICOガイダンス 設計とデフォルトによるデータ保護
Personal data breaches 個人データの侵害
・The UK GDPR introduces a duty on all organisations to report certain personal data breaches to the ICO. You must do this within 72 hours of becoming aware of the breach, where feasible. ・英国のGDPRは、すべての組織に対して、特定の個人データ侵害をICOに報告する義務を導入している。可能な限り、違反の認識から72時間以内にこれを行う必要がある。
・If the breach is likely to result in a high risk of adversely affecting individuals’ rights and freedoms, you must also inform those individuals without undue delay. ・違反が個人の権利と自由に悪影響を及ぼす高いリスクをもたらす可能性がある場合、その個人にも過度の遅滞なく通知しなければならない。
・You should ensure you have robust breach detection, investigation and internal reporting procedures in place. This will facilitate decision-making about whether or not you need to notify the relevant supervisory authority or the affected individuals, or both. ・堅牢な違反の検出、調査、および内部報告手順を確実に実施すべきである。これにより、関連する監督官庁、影響を受ける個人、またはその両方に通知する必要があるかどうかの意思決定が容易になる。
・You must also keep a record of any personal data breaches, regardless of whether you are required to notify the ICO. ・また、ICOに通知する必要があるかどうかにかかわらず、個人データの侵害を記録しておく必要がある。
Relevant UK GDPR articles: 33, 34, 58, 83 関連する英国のGDPRの条文 33, 34, 58, 83
Transparency 透明性
・You must be clear, open and honest with people from the start about how you will use their personal data. ・個人データをどのように使用するかについて、最初から明確、オープン、かつ正直に人々に伝えなければならない。
・Individuals have the right to be informed about the collection and use of their personal data. This is a key transparency requirement under the UK GDPR. ・個人は、自分の個人データの収集と使用について知らされる権利を有する。これは、英国のGDPRに基づく重要な透明性の要件である。
・You must provide individuals with information including: your purposes for processing their personal data, your retention periods for that personal data, and who it will be shared with. The ICO calls this ‘privacy information’. ・個人データの処理目的、個人データの保存期間、共有先などの情報を個人に提供する必要がある。ICOはこれを「プライバシー情報」と呼んでいる。
・You must provide privacy information to individuals at the time you collect their personal data from them. ・個人から個人データを収集する際に、個人に対してプライバシー情報を提供する必要がある。
・If you obtain personal data from other sources, you must provide individuals with privacy information within a reasonable period of obtaining the data and no later than one month. ・他の情報源から個人データを取得する場合は、データを取得してから合理的な期間内に、遅くとも1ヶ月以内に、個人に対してプライバシー情報を提供する必要がある。
・There are a few circumstances when you do not need to provide people with privacy information, such as if an individual already has the information or if it would involve a disproportionate effort to provide it to them. ・ただし、個人がすでにその情報を持っている場合や、その情報を提供することが不相応な労力を要する場合など、個人に対してプライバシー情報を提供する必要がない場合もいくつかある。
・The information you provide to people must be concise, transparent, intelligible, easily accessible, and it must use clear and plain language. ・提供する情報は、簡潔で透明性があり、分かりやすく、簡単にアクセスできるものでなければならず、また明確で平易な言語を使用しなければならない。
・It is often most effective to provide privacy information to people using a combination of different techniques including layering, dashboards, and just-in-time notices. ・プライバシー情報の提供は、階層化、ダッシュボード、ジャストインタイム通知など、さまざまな手法を組み合わせて行うのが最も効果的な場合がある。
・User testing is a good way to get feedback on how effective the delivery of your privacy information is. ・プライバシー情報の提供の効果についてフィードバックを得るには、ユーザテストが有効である。
・You must regularly review, and where necessary, update your privacy information. You must bring any new uses of an individual’s personal data to their attention before you start the processing. ・お客様は、プライバシー情報を定期的に見直し、必要に応じて更新する必要がある。個人データの新たな利用がある場合は、処理を開始する前に、その利用について本人の注意を喚起する必要がある。
・Getting the right to be informed correct, can help you to comply with other aspects of the GDPR and build trust with people, but getting it wrong can leave you open to fines and lead to reputational damage. ・情報提供の権利を正しく取得することは、GDPRの他の側面への準拠や人々との信頼関係の構築に役立つが、それを誤ると、罰金の対象となり、風評被害につながる可能性がある。
Relevant UK GDPR articles: 5(a), 12-14 関連する英国のGDPRの条文 5(a), 12-14
ICO guidance on lawfulness, fairness and transparency ICO guidance on individuals’ right to be informed 合法性、公平性、透明性に関するICOガイダンス 情報提供を受ける個人の権利に関するICOガイダンス
Annex B: Making a referral to the ICO 附属書 B: ICOに照会する場合
The Information Commissioner’s Office (ICO) has responsibility for promoting and enforcing the UK General Data Protection Regulation (UK GDPR), the Data Protection Act 2018 (DPA18), the Freedom of Information Act 2000 (FOIA), the Privacy and Electronic Regulations 2003 (PECR), the Network and Information Systems Regulations 2018 (NIS), and the Environmental Information Regulations 2004 (EIR). 情報コミッショナー事務所(ICO)は、英国一般データ保護規則(英国GDPR)、データ保護法2018(DPA18)、情報公開法2000(FOIA)、プライバシーおよび電子規則2003(PECR)、ネットワークおよび情報システム規則2018(NIS)、環境情報規則2004(EIR)を推進し執行する責任を負っている。
Should you believe that you have information, or evidence that indicates an organisation or individual has poor app security and/or privacy practices in place, you can refer your concerns to the ICO. The ICO will consider your referral to establish if the matter should be developed further. 組織または個人が貧弱なアプリセキュリティおよび/またはプライバシー慣行を実施していることを示す情報、または証拠をお持ちだと思われる場合、その懸念をICOに照会することができる。ICOは、その問題をさらに発展させるべきかどうかを決定するために、あなたの付託を検討する。
Potential outcomes include: 想定される結果は以下の通りである。
・After assessment, your referral may be submitted to an ICO department for further consideration and action as deemed appropriate. The ICO will record your referral and log the matter for future reference. ・評価後、あなたの照会は、さらなる検討と適切とみなされる行動のためにICOの部門に提出される場合がある。ICO はあなたの紹介を記録し、将来の参考のためにその問題を記録する。
・The referral procedure outlined in this code does not apply to Data Protection, FOI and EIR complaints, nuisance calls and messages, and complaints about cookies. Information or how you can make a complaint in relation to these, and other information rights issues can be accessed via the ICO website. ・この規範で説明されている照会手続きは、データ保護、FOIおよびEIRに関する苦情、迷惑電話およびメッセージ、Cookieに関する苦情には適用されません。これらの苦情やその他の情報権利に関する問題についての情報は、ICOのウェブサイトから入手することができる。
It is also important to note that the above procedure does not apply to the following: Personal data breaches under Freedom of Information and Data Protection GDPR or DPA 2018, which must be considered and where relevant reported to the ICO as outlined in the following guidance: Protected Disclosures to the ICO - A whistleblower may be making a qualified protected disclosure under the Public Interest Disclosure Act 1998 (PIDA) or the Public Interest Disclosure (Northern Ireland) Order 1998. The ICO has produced guidance on whether an individual may be afforded protection under these pieces of legislation. However, the ICO cannot advise whether a disclosure would be protected, and the individual must satisfy Voluntary Code of Practice for all app store operators and developers themselves that this would be the case through seeking their own independent legal advice. また、以下の場合は、上記の手続きは適用されないので注意すること。情報公開およびデータ保護GDPRまたはDPA 2018に基づく個人データ侵害は、以下のガイダンスに概説されているように検討し、関連する場合はICOに報告する必要がある。ICOへの保護された開示 - 内部告発者は、1998年公益開示法(PIDA)または1998年公益開示(北アイルランド)令に基づく適格保護開示を行う可能性がある。ICOは、個人がこれらの法律の下で保護を受けることができるかどうかについてのガイダンスを作成している。ただし、ICOは、開示が保護されるかどうかを助言することはできません。個人は、独立した法的アドバイスを求めることによって、すべてのアプリストア運営者および開発者のための自主規範がそうであることを自ら納得する必要がある。
If you believe you have identified a potential app related security or privacy concern, please forward your concern to the ICO using the following email address: IH@ico.org.uk We would encourage you to provide as much detail as possible and to include your contact details - if you are comfortable in doing so. Any evidence, which supports your concern, should be included in your referral. アプリに関連するセキュリティやプライバシーに関する潜在的な懸念を確認された場合は、以下のメールアドレスからICOに報告すること。 IH@ico.org.uk できるだけ詳細な情報を提供し、差し支えなければ連絡先を記載していただくことを推奨する。あなたの懸念を裏付ける証拠があれば、照会に含める必要がある。
As part of any assessment process, the ICO may need to contact you to seek further information but will not routinely enter into any correspondence with you regarding your referral. It is important that your referral to the ICO remains confidential, subject to any other reporting obligations. This is to ensure that any future potential investigation we may undertake is not compromised. 評価プロセスの一環として、ICOはさらなる情報を求めるためにあなたに連絡する必要があるかもしれませんが、あなたの紹介状に関してあなたと日常的に連絡を取り合うことはない。ICOに照会する場合は、他の報告義務に従うことを前提に、機密情報として扱われることが重要である。これは、当社が将来行う可能性のある調査が損なわれないようにするためである。
Annex C: Further information 附属書 C:詳細情報
Protecting the mechanism for allowing enterprise app stores エンタープライズのアプリストアを許可する仕組みの保護
App stores can offer organisations mechanisms to set up private app stores, curated for their employees. Thus far, this has predominantly been offered by some operators for mobile and desktop devices. App Store Operators shall ensure that their platform is protected from malicious actors who may use the mechanism for creating enterprise app stores as a backdoor into their customer’s organisation or as a mechanism to distribute malicious apps to consumers.  If an organisation intends to create an app store that involves processing employee data, it shall be required to implement security measures which are required under data protection law to ensure that employee data is protected.[footnote 17] アプリストアは、企業が従業員向けにカスタマイズしたプライベートアプリストアを構築するための仕組みを提供することができる。これまで、主に一部の事業者がモバイルデバイスとであるクトップデバイス向けに提供してきた。アプリストア事業者は、エンタープライズ向けアプリストアを作成する仕組みを、顧客の組織へのバックドアとして、または消費者に悪意のあるアプリを配布する仕組みとして利用する可能性のある悪意のある行為者から、そのプラットフォームを確実に保護すべきである。組織が従業員データの処理を伴うアプリストアを作成しようとする場合、従業員データを確実に保護するために、データ保護法に基づいて要求されるセキュリティ対策を実施すべきである[脚注17]。
1. Please note: relevant authorities such as NHS England and the Medicines and Healthcare products Regulatory Agency (MHRA) are exploring whether an enhanced regime focused on clinical safety for health apps are appropriate. ご注意:NHSイングランドや医薬品・医療製品規制庁(MHRA)などの関連当局は、健康アプリの臨床安全性に焦点を当てた強化体制が適切かどうかを調査している。
2. Developers should be aware that the standards of the ICO’s Children’s Code require that certain functionality, in particular geolocation (under standard 10), is off by default unless the service provider can justify why it should be on by default, taking into account the best interests of the child. See: “Age appropriate design: a code of practice for online services”. Guidance to support the implementation of the Children’s Code can be found here: The Children’s code design guidance ICOのChildren's Codeの基準では、特定の機能、特にジオロケーション(基準10の下)は、サービス提供者が子どもの最善の利益を考慮し、デフォルトでオンにすべき理由を正当化できない限り、デフォルトでオフにすることが求められていることを開発者は知っておくべきである。参照: 「年齢に応じたデザイン:オンラインサービスのための実践規範」。子どもコードの実施を支援するガイダンスは、こちらを参照。 チルドレンズ・コード・デザイン・ガイダンス
3. Relevant stakeholders must adhere to requirements under UK GDPR Articles 13/14 to explain the purposes for processing personal data, which would include processing facilitated via permissions or optional functions. 関係者は、英国GDPR第13/14条の要件に従い、個人データの処理目的について説明する必要があり、これには許可またはオプション機能によって促進される処理が含まれる。
4. Mandated in data protection law; see UK GDPR Article 5(1)(f), 25 and 32 and Annex A. For further information on security requirements and data protection by design and default see: Information Commissioner’s Office, “Guide to the General Data Protection Regulation (GDPR)” and “Data protection by design and default データ保護法で義務付けられている。英国GDPR第5条(1)(f)、25、32条および附属書 Aを参照。セキュリティ要件および設計とデフォルトによるデータ保護に関する詳細については、以下を参照すること。情報コミッショナー事務局、"一般データ保護規則(GDPR)の手引き "および "設計とデフォルトによるデータ保護"
5. With regard to regulatory requirements for health-related apps that qualify as medical devices, please refer to UK Medical Device Regulation and accompanying guidance Medical devices: software applications (apps) for Great Britain and to Regulation (EU) 2017/745 for Northern Ireland. The NHS Digital Technology Assessment Criteria (DTAC) sets out the standards that are required from health apps and digital health technologies. 医療機器として認定される健康関連アプリの規制要件に関しては、グレートブリテンについてはUK Medical Device Regulationおよび付随するガイダンスMedical devices: Software Applications (apps)、北アイルランドについてはRegulation (EU) 2017/745を参照すること。NHSデジタル技術評価基準(DTAC)は、健康アプリやデジタルヘルス技術に要求される基準を定めている。
6. This may be by using the standard functionality of the operating system. However, when using a platform without that functionality, this may involve providing an uninstall script. これは、OSの標準機能を利用することで実現できるかもしれません。ただし、その機能がないプラットフォームを使用する場合、アンインストールスクリプトを提供することが含まれる場合がある。
7. Mandated in data protection law where the right to erasure applies under UK GDPR Article 17. See Annex A for more information. 英国GDPR第17条に基づき消去の権利が適用されるデータ保護法において義務付けられている。詳しくは附属書 Aを参照。
8. In line with data protection law requirements of UK GDPR Article 32. See Annex A for further information. 英国GDPR第32条のデータ保護法の要件に沿うもの。詳しくは附属書 Aを参照。
9. In line with data protection law requirements of UK GDPR Article 32. See Annex A for further information. 英国GDPR第32条のデータ保護法の要件に沿ったもの。詳しくは附属書 Aを参照。
10. This should not supersede principle 1.4 and 1.5 related to malicious apps. これは、悪意のあるアプリに関連する原則1.4および1.5に取って代わるものではない。
11. See UK GDPR Article 4(1) and (2) for definitions of personal data and details on processing: https://www.legislation.gov.uk/eur/2016/679/article/4 個人データの定義と処理に関する詳細は、英国GDPR第4条(1)および(2)を参照:https://www.legislation.gov.uk/eur/2016/679/article/4
12. There are services offered by industry to help operators with verifying this data so that factual information is signposted to users. 事実に基づく情報がユーザに示されるように、このデータの検証を行う事業者を支援するために、産業界が提供するサービスが存在する。
13. NCSC Cloud Security guidance (see principle 2 on physical location and legal jurisdiction). Additionally, the guidance notes that the service provider should be able to tell you where your data is processed, where it will be stored, and in what country the company (and any of its providers that handle your data) is legally based. See: https://www.ncsc.gov.uk/collection/cloud/the-cloud-security-principles/principle-2-asset-protection-and-resilience NCSC Cloud Security ガイダンス(物理的な場所と法的な管轄権に関する原則 2 を参照)。さらに、このガイダンスでは、サービスプロバイダは、あなたのデータがどこで処理され、どこに保存され、その会社(およびあなたのデータを扱うそのプロバイダ)が法的にどの国に拠点を置いているかをあなたに伝えることができるはずであると指摘している。参照: https://www.ncsc.gov.uk/collection/cloud/the-cloud-security-principles/principle-2-asset-protection-and-resilience
14. DCMS commissioned mapping by Copper Horse Ltd, ‘Application Security Mapping’, November 2022. https://appsecuritymapping.com/ DCMSがCopper Horse Ltdに委託して作成したマッピング、「Application Security Mapping」、2022年11月 https://appsecuritymapping.com/.
15. ICO guidance on this can be found here: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/personal-data-breaches/ これに関するICOのガイダンスは、こちらを参照。: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/personal-data-breaches/
16. ICO Glossary of Terms: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-fee/glossary/ ICOの用語集:https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-fee/glossary/
17. See for example, UK GDPR Articles 5(1)(f), 24, 25 and 32 例えば、英国GDPR第5条(1)(f)、24、25、32条を参照。

 

 

| | Comments (0)

2022.12.13

G7首脳声明 (ウクライナのゼレンスキー大統領を迎えてのG7会合)

こんにちは、丸山満彦です。

ドイツを議長国としてバーチャル開催されていたG7ですが、G7首脳声明が公表されていますね。。。

今回は、ゼレンスキー大統領も参加していますね。。。ということで、全体としてはロシアへの非難とウクライナへの支援というのが中心ですね。。。

で、後半に、環境問題系、人権系、最後にパンデミック系の内容となっています。。。サイバー関係はないですかね。。。

 

で、声明等については、

ドイツ連邦政府によるG7のウェブサイトから...

● G7-Germany20221213-194416

G7首脳声明 

・2022.12.12 [PDF] Erklärung der Staats- und Regierungschefs der G7

 

当然米国のWhite Houseにも、日本の外務省にも情報はあるので。。。

英語は、米国のWhite Houseから、日本語は外務省のページから...

 

U.S. The White House20221213-201644

White Houseのウェブページがクリスマスバージョンなので、記念に...(^^)

 

・2022.12.12 G7 Leaders’ Statement

 

外務省

・2022.12.13 G7首脳テレビ会議

・G7首脳声明([PDF] 英文/ [PDF] 和文仮訳


G7 Leaders’ Statement G7首脳声明(2022年12月13日) 
1. We, the Leaders of the Group of Seven (G7), met on 12 December, to reflect on progress of our cooperation under Germany’s Presidency to jointly address global challenges at a time of severe geopolitical crisis and critical moment for the world economy. We were joined by Ukraine’s President Volodymyr Zelenskyy. This year in the face of Russia’s illegal, unjustifiable and unprovoked war of aggression against Ukraine, we stood more united than ever, together with Ukraine and in unwavering commitment to our shared values, the rules-based multilateral order and international cooperation. 1 我々、G7の首脳は、12月12日、深刻な地政学的危機及び世界経済にとって重要な局面に際して、グローバルな課題に共同で取り組むためのドイツ議長国の下における我々の協力の進展を振り返るために会合を行った。我々は、ヴォロディミル・ゼレンスキー・ウクライナ大統領の参加を得た。本年、ロシアの違法で、不当で、いわれのないウクライナに対する侵略戦争に直面する中で、我々は、ウクライナと共に、我々の共通の価値観、ルールに基づく多国間秩序及び国際協力への揺るぎないコミットメントについて、これまで以上に一致団結している。 
2. Today, we reaffirm our unwavering support for and solidarity with Ukraine in the face of ongoing Russian war of aggression for as long as it takes. We condemn Russia’s continuous inhumane and brutal attacks targeting critical infrastructure, in particular energy and water facilities, and cities across Ukraine, and recall that indiscriminate attacks and attacks on the civilian population or civilian objects, constitute a war crime. We also condemn those who are facilitating Putin’s illegal war. We are determined to help Ukraine repair, restore and defend its critical energy and water infrastructure. We will help Ukraine in meeting its winter preparedness needs, will continue to support Ukraine’s civilian resilience, and will further enhance our efforts on this during the international conference to be held in Paris on 13 December. We are determined that Russia will ultimately need to pay for the restoration of critical infrastructure damaged or destroyed through its brutal war. There can be no impunity for war crimes and other atrocities. We will hold President Putin and those responsible to account in accordance with international law. We reiterate that Russia’s irresponsible nuclear rhetoric is unacceptable and that any use of chemical, biological, or nuclear weapons would be met with severe consequences. 2 本日、我々は、進行中のロシアの侵略戦争に直面する中で、必要とされる限りの我々の揺るぎないウクライナへの支持と連帯を再確認する。我々は、特にエネルギー・水道設備といった重要インフラ及びウクライナ全土の都市を標的としたロシアの継続的な非人道的で残酷な攻撃を非難し、無差別な攻撃及び一般市民や民用物に対する攻撃は戦争犯罪を構成することを想起する。我々はまた、プーチンの違法な戦争を容易にしている者を非難する。我々は、ウクライナが重要なエネルギー及び水インフラを復旧し、回復し、防衛する支援を行うことを決意する。我々は、越冬対策のニーズを満たすようウクライナを支援し、ウクライナの民間の強靱性を引き続き支援し、この点に係る我々の取組を12月13日のパリでの国際会議において更に強化する。我々は、ロシアの残酷な戦争によって損害を受け又は破壊された重要インフラについて、ロシアが最終的に回復の代価を払う必要があると決意する。戦争犯罪及び他の残虐行為に関する不処罰は認められない。我々は、国際法に従って、プーチン大統領とその他の責任を有する者の責任を追及する。我々は、ロシアの無責任な核のレトリックは受け入れられず、化学兵器、生物兵器又は核兵器のいかなる使用も、厳しい結果に繋がることとなることを改めて表明する。 
3. Building on our commitments so far, we will continue to galvanise international support to help address Ukraine’s urgent short-term financing needs. We ask our Finance Ministers to convene shortly to discuss a joint approach for coordinated budget support in 2023. We affirm that the International Monetary Fund (IMF) should be central to this effort. 3 これまでの我々のコミットメントに基づき、我々は、ウクライナの緊急の短期的な資金需要に対処することを支援するため、国際的な支援を引き続き促す。我々は、我々の財務大臣に対して、2023年における調整された財政支援のための共同のアプローチを議論するために近日中に会合を行うよう求める。我々は、国際通貨基金(IMF)がこの取組の中心となるべきことを確認する。 
4. We firmly support efforts to secure Ukraine’s immediate financial stability and its recovery and reconstruction towards a sustainable, prosperous and democratic future, in line with its European path. We will build on the outcomes of the International Expert Conference on the Recovery, Reconstruction and Modernisation of Ukraine held on 25 October in Berlin, as well as at the Ukraine Recovery Conference on 21-22 June 2023 in London. In particular, with a view to supporting Ukraine’s repair, recovery and reconstruction, together with Ukraine and our international partners and in close coordination with relevant International Organisations and International Financial Institutions, we will establish a multi-agency Donor Coordination Platform. Through this platform, we will coordinate existing mechanisms to provide ongoing short- and long-term support – with particular responsibility of the Finance Track for short-term financial support –, coordinate further international funding and expertise, and encourage Ukraine’s reform agenda as well as private sector led growth. We will also set up a Secretariat for the Platform. We will each designate a senior government representative to oversee the set-up of the platform and ongoing coordination efforts, and ask them to convene as soon as possible in January 2023. 4 我々は、ウクライナの欧州への道に沿って、ウクライナの即時の金融の安定並びに持続可能で、繁栄し、民主的な未来に向けたウクライナの復興及び再建を確保するための取組を強く支持する。我々は、ベルリンでの10月25日のウクライナ復興・再建・近代化に関する国際専門家会議並びにロンドンでの2023年6月21・22日のウクライナ復興会議の成果を基礎とする。特に、ウクライナの復旧、復興及び再建を支援する観点から、我々は、ウクライナ及び国際的なパートナーと共に、また、関連する国際機関及び国際金融機関との緊密な調整の下で、複数の機関から成るドナー調整プラットフォームを設置する。このプラットフォームを通じて、我々は、短期的な財政支援については財務トラックに特別な責任を持たせつつ、現在行われている短期的及び長期的な支援を提供するための既存のメカニズムを調整し、更なる国際的な資金及び専門的知見を調整し、ウクライナの改革アジェンダ及び民間部門主導の成長を奨励する。我々はまた、このプラットフォームの事務局を設置する。我々は、このプラットフォームの設置及び継続的な調整の取組を監督する政府高官の代表をそれぞれ指名し、2023年1月のできるだけ早い時期に会合することを求める。 
5. With a view to a viable post-war peace settlement, we remain ready to reach arrangements together with Ukraine and interested countries and institutions on sustained security and other commitments to help Ukraine defend itself, secure its free and democratic future, and deter future Russian aggression in line with its rights enshrined in the Charter of the United Nations (UN Charter). 5 実行可能な戦後の和平調停のため、我々は、関心国及び機関並びにウクライナと共に、国連憲章に規定される権利に沿って、ウクライナが自らを守り、自由で民主的な未来を確保し、将来のロシアの侵略を抑止することを支援するための持続的な安全保障や他のコミットメントに関する取り決めを引き続き策定する用意がある。 
6. We will continue to coordinate efforts to meet Ukraine’s urgent requirements for military and defense equipment with an immediate focus on providing Ukraine with air defense systems and capabilities. 6 我々は、防空システム及び能力をウクライナに供与することに直近の焦点を当てるとともに、ウクライナの軍事及び防衛装備に関する緊急の要求を満たすための取組を引き続き調整する。 
7. We also reiterate our strong condemnation of Russia’s continued seizure and militarisation of Ukraine’s Zaporizhzhya Nuclear Power Plant, the abduction and reported abuse of Ukrainian personnel, and the willful destabilisation of its operations. We support the International Atomic Energy Agency’s (IAEA) efforts to establish a Safety and Security Zone. 7 我々はまた、ロシアによるウクライナのザポリッジャ原子力発電所の継続した占拠及び軍事化、ウクライナ人職員の拉致及び報告されている虐待、並びに同発電所の運用の意図的な不安定化に対する我々の強い非難を改めて表明する。我々は、原子力安全及び核セキュリティ保護区域を設定するための国際原子力機関(IAEA)の取組を支持する。 
8. Russia’s war of aggression must end. To date, we have not seen evidence that Russia is committed to sustainable peace efforts. Russia can end this war immediately by ceasing its attacks against Ukraine and completely and unconditionally withdrawing its forces from the territory of Ukraine. We welcome and support President Zelenskyy’s initiative for a just peace. 8 ロシアの侵略戦争は終わらなければならない。今日まで、我々は、ロシアが持続可能な平和に向けた取組にコミットしているという証拠を目にしていない。ロシアは、ウクライナに対する攻撃を中止し、ロシア軍をウクライナの領土から完全かつ無条件に撤退させることで、この戦争を即時に終わらせることができる。我々は、ゼレンスキー大統領の公正な平和に向けたイニシアティブを歓迎し、支持する。 
9. We remain committed to our unprecedented coordinated sanctions measures in response to Russia’s war of aggression. We will maintain and intensify economic pressure on Russia and those who evade and undermine our restrictive measures. We will continue to shield vulnerable countries that are severely impacted by the repercussions of Russia’s war of aggression and its weaponisation of energy and food. 9 我々は、ロシアの侵略戦争に対する前例のない協調した我々の制裁措置に引き続きコミットしている。我々は、ロシアに対する、また、我々の制限措置を回避し、損なう者に対する経済的圧力を維持及び強化する。我々は、ロシアの侵略戦争による影響並びにロシアによるエネルギー及び食料の武器化により深刻な影響を受けている脆弱な国々を引き続き保護する。 
10. We reaffirm our intention to phase out Russian-origin crude oil and petroleum products from our domestic markets. During the week of 5 December 2022, the price cap on seaborne Russian crude oil entered into force in our respective jurisdictions, delivering on our commitment to limit Russia from profiting from its war of aggression against Ukraine, to support stability in global energy markets and to minimise negative economic spillovers of Russia’s war of aggression, especially on low- and middle-income countries. We encourage third countries that seek to import seaborne Russian-origin crude oil and petroleum products to leverage the price cap. We reiterate our decision that the price cap on Russian origin petroleum products will enter into force on 5 February 2023. 10     我々は、ロシア産の原油及び石油製品を我々の国内市場からフェーズアウトさせる我々の意図を再確認する。2022年12月5日の週に、我々のそれぞれの管轄下で海上輸送されるロシア産原油に対する上限価格が施行され、ロシアがウクライナに対する侵略戦争からロシアが利益を得ることを制限し、世界のエネルギー市場の安定化を支援し、及び特に低中所得国へのロシアの侵略戦争による負の経済的影響を限定するという我々のコミットメントを実現している。我々は、海上輸送されるロシア産の原油及び石油製品を輸入することを求める第三国が上限価格を活用することを奨励する。我々は、ロシア産の石油製品に対する上限価格を2023年2月5日に施行するという我々の決定を改めて表明する。 
11. Russia’s war in Ukraine is exacerbating existing fragilities in the global economy, with direct impacts on the cost of living of people in our own countries, and on the world’s most vulnerable. We will continue to use all available policy tools to maintain global financial, macroeconomic and price stability and long-term fiscal sustainability, while providing targeted support to those most in need and working collaboratively to strengthen our collective economic security to external shocks and wider risks. We will make public investments and structural reforms to promote long term growth. We will further coordinate to respond to the urgent needs of most vulnerable countries and will encourage private investment in developing and emerging markets as a key enabler of sustainable economic pathways. 11     ロシアのウクライナにおける戦争は、我々自身の国民の生活費及び世界で最も脆弱な国々に直接的な影響を及ぼしつつ、世界経済における既存の脆弱性を悪化させている。我々は、支援を最も必要とする人々を対象とした支援を提供し、外的ショックや広範なリスクに対する我々の集団的経済安全保障を強化すべく協働しながら、世界的な金融、マクロ経済及び物価の安定並びに財政の長期的な持続可能性を維持するために、利用可能なあらゆる政策手段を引き続き用いる。我々は、長期的な成長を促進するために、公共投資と構造改革を行う。我々は、最も脆弱な国々の緊急のニーズに応えるために更に協調し、持続可能な経済の道筋を実現する重要な手段として、発展途上市場及び新興市場への民間投資を奨励する。 
12. We will keep up our ambition to address global food insecurity, including through the Global Alliance for Food Security (GAFS). We will keep supporting the delivery of grain and fertilisers to vulnerable countries in need and welcome the recent operations led by the World Food Programme (WFP) on this front. We welcome the extension of the Black Sea Grain Initiative (BSGI) alongside further efforts to bring Ukrainian food to the world, namely the European Union’s Solidarity Lanes and the Grain from Ukraine Initiative. 12     我々は、食料安全保障のためのグローバル・アライアンスを含め、世界の食料不安に対処する野心を持ち続ける。我々は、支援を必要とする脆弱な国々への穀物及び肥料の輸送を引き続き支援し、国連世界食糧計画(WFP)が主導するこの分野での最近の活動を歓迎する。我々は、ウクライナの食料を世界にもたらす更なる取組、すなわちEUの連帯レーン及び「ウクライナからの穀物」イニシアティブとともに、黒海穀物イニシアティブ(BSGI)の延長を歓迎する。 
13. Reaffirming our steadfast commitment to implement the Paris Agreement and the outcomes of COP26 and COP27, we commit to urgent, ambitious, and inclusive climate action in this decade to limit global warming to 1.5°C above pre-industrial levels. We reaffirm our commitment to reach net-zero emissions no later than 2050. To that end, and building on our statement adopted in June in Elmau, we endorse the Climate Club’s terms of reference as established by the Climate Club Task Force and hereby establish an open and cooperative international Climate Club. Focusing in particular on the decarbonisation of industries, we will thereby contribute to unlocking green growth. We invite international partners to join the Climate Club and to participate in the further elaboration of its concept and structure. In doing so, we will continue working closely together with relevant International Organisations and stakeholders. We ask the Organisation for Economic Co-operation and Development (OECD), in tandem with the International Energy Agency (IEA), to host an interim secretariat working together with other International Organisations. 13     パリ協定並びに国連気候変動枠組条約第26回及び第27回締約国会議(COP26及びCOP27)の成果を実施するという我々の確固たるコミットメントを再確認し、我々は、地球温暖化を工業化以前の水準と比較して摂氏1.5度までに抑えるため、この10年間の緊急で野心的かつ包摂的な気候行動にコミットする。我々は、遅くとも2050年までにネット・ゼロ排出を達成するという我々のコミットメントを再確認する。そのために、我々は、6月にエルマウで採択された我々の声明に基づき、気候クラブ・タスクフォースにより策定された気候クラブのタームズ・オブ・レファレンス(ToR)を支持し、ここに開放的、協調的かつ国際的な気候クラブを設置する。特に産業の脱炭素化に焦点を当てることによって、我々は、グリーン成長を引き出すことに貢献する。我々は、国際的なパートナーが気候クラブに加入し、そのコンセプトと体制の更なる精緻化に参加するよう招請する。その際、我々は、関連する国際機関及びステークホルダーと引き続き緊密に協働する。我々は、経済協力開発機構(OECD)に対し、国際エネルギー機関(IEA)とともに、他の国際機関と協働して暫定事務局を運営するよう求める。 
14. Recalling our commitment to halt and reverse biodiversity loss by 2030, we will work intensively towards a successful outcome at Convention of Biological Diversity (CBD) COP15, in particular the adoption of an ambitious and effective global biodiversity framework, with clear and measurable targets and its prompt and swift implementation. In this regard we are committed to mobilising resources from all sources and to substantially increasing our national and international funding for nature by 2025 to support the implementation of an ambitious global framework. We encourage countries beyond the G7 to join us in this endeavor. 14     2030年までに生物多様性の喪失を防ぎ回復させる我々のコミットメントを想起し、我々は、明確で測定可能な目標を掲げた野心的かつ効果的なグローバルな生物多様性枠組の採択と迅速かつ速やかな実施を含め、生物多様性条約第15回締約国会議(COP15)における成果に向けて集中的に取り組む。この点に関し、我々は、野心的な世界的枠組の実施を支援するため、あらゆる資金源から資金を動員し、自然に対する我々の国内及び国際的な資金を2025年までに大幅に増加させることにコミットしている。我々は、G7以外の国々に対し、この努力に参加することを奨励する。 
15. Accelerating our contributions to the Partnership for Global Infrastructure and Investment (PGII) to make our global partners a better offer on sustainable, inclusive, climate-resilient, and quality infrastructure investment, we welcome the progress on the Just Energy Transitions Partnerships (JETP) with South Africa and Indonesia as flagship projects for multilateral cooperation, just energy transition and sustainable investment and look forward to swiftly concluding negotiations on a JETP with Vietnam, as well as to making further progress with India and Senegal. We will intensify our cooperation within a PGII working group to deliver on our joint ambition to mobilise up to 600 billion dollars by 2027, and on JETPs, we will coordinate through the JETP working group. 15     持続可能で、包摂的で、気候変動に強く、質の高いインフラ投資に関するより良い提案を国際的なパートナーに行うため、「グローバル・インフラ投資パートナーシップ(PGII)」への我々の貢献を加速し、我々は、多国間協力、公正なエネルギー移行及び持続可能な投資に関する旗艦プロジェクトとして、南アフリカ及びインドネシアとの「公正なエネルギー移行パートナーシップ(JETP)」における進展を歓迎し、ベトナムとのJETPの交渉の早期妥結並びにインド及びセネガルとの更なる進展を期待する。我々は、2027年までに最大6000億ドルを動員するという我々の共同の野心を実現するために、PGII作業部会内での協力を強化し、また、我々はJETPに関し、JETP作業部会を通じて調整する。 
16. Reaffirming our full commitment to realise gender equality and to consistently mainstream gender equality into all policy areas, we welcome the key recommendations by the Gender Equality Advisory Council (GEAC) and look forward to receiving the GEAC’s full report by the end of the year. We thank this year’s GEAC for its important work, reiterate our intention to convene the GEAC as a standing feature of all G7 Presidencies, and look forward to further strengthening it. 16     我々は、ジェンダー平等を実現し、全ての政策分野に一貫してジェンダー平等を主流化させるという我々の完全なコミットメントを再確認し、ジェンダー平等アドバイザリー評議会(GEAC)による主要な提言を歓迎するとともに、年末までに同評議会の報告書の詳細版を受け取ることを期待する。我々は、本年のGEACの重要な作業に感謝するとともに、GEACを全てのG7議長国の常設の組織として召集する意図を改めて表明し、同評議会を更に強化することを期待する。 
17. This year, we have achieved progress to improve the global health architecture with the World Health Organization (WHO) at its core, our capacity to prevent, prepare for and respond to future global health emergencies and to achieve universal health coverage, especially through the G7 Pact for Pandemic Readiness endorsed in Elmau. We welcome the successful Seventh Replenishment of the Global Fund for AIDS, Tuberculosis and Malaria (Global Fund). We will step up our efforts on training and qualifying health workforce as well as strengthening surveillance capacities to detect outbreaks and variants as early as possible by integrating the One Health approach. We will continue to support science to develop safe and effective vaccines, therapeutics, and diagnostics. 17     本年、我々は、特にエルマウで承認された「パンデミックへの備えに関するG7合意」を通じ、WHOを中核としたグローバルヘルス・アーキテクチャ及び将来の世界的な健康危機に対する予防、備え及び対応の能力の改善、並びに、ユニバーサル・ヘルス・カバレッジの達成のために、進展を達成した。我々は、世界エイズ・結核・マラリア対策基金(グローバルファンド)の第7次増資が成功裏に行われたことを歓迎する。我々は、保健医療従事者の研修及び質の担保並びにワンヘルス・アプローチを統合することで感染症の発生及び変異株を可能な限り早期に発見するためのサーベイランス能力の強化に向けた取組を強化する。我々は、安全で有効なワクチン、治療及び診断を開発するための科学を引き続き支援する。 
18. Under the German Presidency, we, the G7, together with other international partners, have demonstrated our resolve to jointly addressing both major systemic challenges and immediate crises of our time. Our commitments and actions pave the way for progress towards an equitable world. As we look to the 2023 G7 Summit in Hiroshima under the Japanese Presidency, and in our support to the Indian G20 Presidency, we stand strong, united and absolutely committed to rebuilding a peaceful, prosperous and sustainable future for all. 18     ドイツ議長国の下、我々G7は、他の国際的なパートナーと共に、現代の主要な体系的な課題及び緊急の危機の双方に共同で対処する決意を示した。我々のコミットメント及び行動は、公平な世界に向けた前進への道筋を整える。日本議長国の下での2023年のG7広島サミットに向け、また、インドのG20議長国への支援において、我々は、力強くあり、結束し、全ての人々にとっての平和で、繁栄し、持続可能な未来の再構築に絶対的にコミットしている。 

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.10.25 G7 金融セクター 「ランサムウェアに対するレジリエンスに関するG7の基礎的要素」「サードパーティのサイバーリスクマネジメントに関するG7の基礎的要素 」(2022.10.13)

・2022.10.17 G7 デジタル分野における独占禁止法執行について議論 (2022.10.12)

・2021.12.31 G7 内務担当、安全保障担当高官によるランサムウェアに関する臨時フォーラム

・2021.09.17 G7 データ保護・プライバシー機関ラウンドテーブル 2021.09

・2021.06.15 外務省 G7 カービスベイ首脳コミュニケ より良い回復のためのグローバルな行動に向けた我々の共通のアジェンダ

・2021.06.14 米国+他のG7首脳 より良い世界への復興 (Build Back Better World; B3W)

・2021.04.30 G7:デジタルと技術 閣僚宣言

・2020.12.09 G7 Cyber Expert Group サイバー演習計画に関するG7の基礎的要素 at 2020.11.24

少し遡りますが...

・2016.10.13 G7 sets common cyber-security guidelines for financial sector

 

 

| | Comments (0)

データ活用に関してちょっと考えていること...

こんにちは、丸山満彦です。

これからの世の中で重要なことの本質的な部分というのは、データ活用だと思うんです。。。このデータ活用というのは、世の中の事象を数値化したもので、このデータからある程度、世の中のことがわかる。したがって、データを活用することによって、世の中の問題を解決することがある程度(しかし使わないよりもずっと確度が高く)できるということだと思います。

世の中の事象をデータ化するということは、デジタル化ということかもしれません。

日本はこのデータ活用の分野で遅れていると言われています。。。高速インターネット回線の整備や、スーパーコンピュータの開発等のハード面ではそれなりに充実しているのでしょうが(総務省の情報通信白書とか参考になりますね。。。)、肝心の活用という部分で、データがないのか、アイデアがないのか、とにかく社会実装としてのデータ活用がうまくいっている感じがしない。

気になるのが、意思決定における論理的判断の軽視というのがあるのかもしれないなぁ。。。とも思ったりします。

どんだけデータを活用して分析しても、最終的には権力者(または、その権力者の恩恵を受けている者)の政治的判断(高度な論理的判断かもしれないし、非論理的な単なる我田引水かもしれない)でことが決まっていくのであれば、データ活用なんて都合のように使われるだけで、世の中の課題解決には重要ではなくなってしまうと多くの人が考えてしまうようになるのかもしれません。。。で、「どうせ、、」ということで、国民全体が論理的な思考をしなくなるということにつながっていき、ますます、データ活用の世界から遠ざかっていっているのかもしれないなぁ。。。と思いました。

個人データの利活用についてのルールが厳しすぎるので、データ産業が起こらないという議論もあります。従来であれば、無理やり押し通していたのでしょうが、欧州でのルールが厳しいので、グローバルに活動している企業としては欧州に会わせざるを得ないし、国としても欧州のルールを意識しなければならなくなり、国内(つまり、決定者の身の回り)の都合だけで、色々と決められなくなり、その先が思考停止しているのではないかと思ったりもしています。。。

これを打破するためには、国民が賢くならなければ、、、と思うのですが、これも負のスパイラルに入っているような気がします。。。

 

データ活用でない、単なる感想ですが。。。

 

こういうところも含めて、意思決定に資するデータと、その分析が正しくできる環境というのが重要なんでしょうね。。。

 

1_20221213080801

 

 

| | Comments (0)

NIST SP 1800-34 コンピューティングデバイスの完全性の検証

こんにちは、丸山満彦です

NISTが、SP 1800-34 コンピューティングデバイスの完全性の検証を公表していますね。。。

6月に公表し、意見募集をしたドラフトが確定版になったということですね。。。

 

NIST - ITL

・2022.12.09 SP 1800-34 Validating the Integrity of Computing Devices

 

SP 1800-34 Validating the Integrity of Computing Devices SP 1800-34 コンピューティングデバイスの整合性の検証
Abstract 概要
Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project demonstrates how organizations can verify that the internal components of the computing devices they acquire, whether laptops or servers, are genuine and have not been tampered with. This solution relies on device vendors storing information within each device, and organizations using a combination of commercial off-the-shelf and open-source tools that work together to validate the stored information. This NIST Cybersecurity Practice Guide describes the work performed to build and test the full solution. 組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざん、盗難、予期せぬソフトウェアやハードウェアの挿入などがある。これらのリスクをマネジメントするためには、サイバーサプライチェーンとその製品・サービスの完全性を確保することが必要である。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが、ノートパソコンであれサーバーであれ、本物であり、改ざんされていないことを確認する方法を実証している。このソリューションは、デバイスベンダーが各デバイス内に情報を保存し、組織が市販のツールとオープンソースのツールを組み合わせて使用し、保存された情報を検証することに依存している。この NIST サイバーセキュリティ実践ガイドは、完全なソリューションを構築し、テストするために実施した作業について説明している。

 

・[PDF] SP 1800-34 (DOI)

20221212-222423

 

Executive Summary  エグゼクティブサマリー 
The supply chains of information and communications technologies are increasingly at risk of compromise. Additional risks causing supply chain disruptions include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the supply chain and its products and services. This project demonstrates how organizations can verify that the internal components and system firmware of the computing devices they acquire are genuine and have not been unexpectedly altered during manufacturing, distribution, or operational use.  情報通信技術のサプライチェーンは、ますます侵害の危険にさらされている。サプライチェーンの途絶を引き起こすその他のリスクには、偽造、不正生産、改ざん、盗難、予期しないソフトウェアやハードウェアの挿入などがある。これらのリスクをマネジメントするためには、サプライチェーンとその製品・サービスの完全性を確保することが必要である。このプロジェクトは、組織が入手したコンピューティングデバイスの内部コンポーネントとシステムファームウェアが本物であり、製造、流通、または運用中に予期せぬ変更が行われていないことを確認する方法を実証している。
CHALLENGE  課題 
Technologies today rely on complex, globally distributed and interconnected supply chain ecosystems to provide highly refined, cost-effective, and reusable solutions. Most organizations’ security processes consider only the visible state of computing devices. The provenance and integrity of a delivered device and its components are typically accepted without validating through technology that there were no unexpected modifications. A delivered device has integrity if it is genuine and all changes to the device were authorized and expected. Provenance is the comprehensive history of a device throughout the entire life cycle from creation to ownership, including changes made within the device or its components.  Assuming without verification that all acquired computing devices are genuine and unmodified increases the risk that a compromise will affect products in an organization’s supply chain and go unnoticed at the time, which in turn increases risks to customers and end users.  今日のテクノロジーは、高度に洗練され、費用対効果が高く、再利用可能なソリューションを提供するために、複雑で、グローバルに分散し、相互接続されたサプライチェーンのエコシステムに依存している。ほとんどの組織のセキュリティプロセスでは、コンピューティングデバイスの目に見える状態のみを考慮している。納品されたデバイスとそのコンポーネントの出所と完全性は、通常、予期せぬ変更がなかったことを技術的に検証することなく受け入れられる。納品されたデバイスが本物で、そのデバイスに対するすべての変更が許可され、予期されたものである場合、そのデバイスには完全性がある。プロベナンスとは、デバイスまたはそのコンポーネント内で行われた変更を含む、作成から所有までのライフサイクル全体を通してのデバイスの包括的な履歴のことである。 入手したすべてのコンピューティングデバイスが本物で、変更されていないことを検証せずに仮定すると、侵害が組織のサプライチェーン内の製品に影響を与え、その時点では気付かれないというリスクが高まり、その結果、顧客とエンドユーザーに対するリスクも高まる。
Organizations currently lack the ability to cost effectively distinguish trustworthy products from others, meaning they are genuine and have not been inappropriately altered. Having this ability is a critical foundation of cyber supply chain risk management (C-SCRM). C-SCRM is the process of identifying, assessing, and mitigating risks associated with the distributed and interconnected nature of supply chains. C-SCRM presents challenges to many industries and sectors, requiring a coordinated set of technical and procedural controls to mitigate risks throughout the design, manufacturing, acquisition, provisioning, operations, and decommissioning stages of a product’s life.  組織は現在、信頼できる製品をコスト効率よく他と区別する能力、つまり、本物であり、不適切な変更が加えられていないことを見分ける能力を欠いている。この能力を持つことは、サイバー・サプライチェーン・リスクマネジメント(C-SCRM)の重要な基盤である。C-SCRMは、分散し相互接続されたサプライチェーンの性質に関連するリスクを特定、評価、および軽減するプロセスである。C-SCRM は、多くの産業や部門に課題をもたらし、製品の設計、製造、取得、供給、運用、廃 棄の各段階を通じてリスクを軽減するために、技術的・手続き的な管理の協調が必要とされる。
This practice guide can help your organization:  この実践ガイドは、あなたの組織を次のように支援する。
§ Avoid using untrustworthy technology components in your products  ・信頼できない技術コンポーネントを製品に使用しないようにする 
§ Enable your customers to readily verify that your products are genuine  ・顧客が製品が本物であることを容易に確認できるようにする。
§ Prevent compromises of your own information and systems caused by acquiring and using compromised technology products   ・危険なテクノロジー製品の入手や使用による、自社の情報・システムに対する侵害を防止する
SOLUTION  解決策 
To address these challenges, the NCCoE collaborated with technology vendors to develop a prototype implementation in harmony with the National Initiative for Improving Cybersecurity in Supply Chains (NIICS), which emphasizes tools, technologies, and guidance focused on the developers and providers of technology. NIICS’ mission is to help organizations build, evaluate, and assess the cybersecurity of products and services in their supply chains. This project aligns with that mission by demonstrating how organizations can verify that the internal components of the computing devices they acquire are genuine and have not been tampered with. This prototype relies on device vendors storing information within each device and organizations using a combination of commercial off-the-shelf and open-source tools that work together to validate the stored information. By doing this, organizations can reduce the risk of compromise to products within their supply chains.   これらの課題に対処するため、NCCoEはテクノロジーベンダーと協力し、サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアティブ(NIICS)と調和するプロトタイプの実装を開発した。NIICSの使命は、組織がサプライチェーンにおける製品やサービスのサイバーセキュリティを構築、評価、査定するのを支援することである。このプロジェクトは、組織が入手したコンピューティングデバイスの内部コンポーネントが本物であり、改ざんされていないことを確認する方法を実証することで、このミッションに合致している。このプロトタイプは、デバイスベンダーが各デバイス内に情報を保存し、組織が市販のツールとオープンソースのツールを組み合わせて使用し、保存された情報を検証することに依存している。これにより、企業はサプライチェーン内の製品が危険にさらされるリスクを低減することができる。 
In this approach, device vendors create an artifact within each device that securely binds the device’s attributes to the device’s identity. The customer who acquires the device can validate the artifact’s source and authenticity, then check the attributes stored in the artifact against the device’s actual attributes to ensure they match. A similar process can be used to periodically verify the integrity of computing devices while they are in use.  このアプローチでは、デバイスベンダーは、デバイスの属性とデバイスのアイデンティティを安全に結びつけるアーティファクトを各デバイス内に作成する。デバイスを購入した顧客は、アーティファクトの出所と真正性を検証し、アーティファクトに保存されている属性とデバイスの実際の属性を照合して、一致することを確認することができる。同様のプロセスを使用して、使用中のコンピューティングデバイスの整合性を定期的に検証することができる。
The authoritative source of information regarding the provenance and integrity of the components provides a strong basis for trust in a computing device. Hardware roots of trust are the foundation upon which the computing system’s trust model is built, forming the basis in hardware for providing one or more security-specific functions for the system. Incorporating hardware roots of trust into acquisition and lifecycle management processes enables organizations to achieve better visibility into supply chain attacks and to detect advanced persistent threats and other attacks. By leveraging hardware roots of trust capabilities as a computing device traverses the supply chain, we can maintain trust in the computing device throughout its operational lifecycle.  コンポーネントの出所と完全性に関する権威ある情報源は、コンピューティングデバイスを信頼するための強力な根拠となる。ハードウェアの信頼の根は、コンピューティングシステムの信頼モデルが構築される基盤であり、システムに1つまたは複数のセキュリティ固有の機能を提供するためのハードウェアにおける基礎を形成するものである。ハードウェアの信頼性の根を取得およびライフサイクル管理プロセスに組み込むことで、組織はサプライチェーンに対する攻撃の可視性を高め、高度な持続的脅威やその他の攻撃を検出することができる。コンピューティングデバイスがサプライチェーンを通過する際にハードウェアの roots of trust 機能を活用することで、その運用ライフサイクルを通じてコンピューティングデバイスの信頼を維持することができる。
This project addresses several processes, including:   このプロジェクトでは、以下のようないくつかのプロセスに取り組んでいる。 
§ how to create verifiable descriptions of components and platforms, which may be done by original equipment manufacturers (OEMs), platform integrators, and even information technology (IT) departments;   ・コンポーネントとプラットフォームに関する検証可能な記述を作成する方法(OEM、プラットフォームインテグレータ、IT部門が実施)。 
§ how to verify devices and components within the single transaction between an OEM and a customer; and   ・OEMと顧客との間の単一の取引において、どのようにデバイスとコンポーネントを検証するか。 
§ how to verify devices and components at subsequent stages in the system lifecycle in the operational environment.   ・運用環境におけるシステムライフサイクルの後続段階でのデバイスとコンポーネントの検証方法。 
This project also demonstrates how to inspect the verification processes themselves.  このプロジェクトはまた、検証プロセス自体を検査する方法も実証している。
The following is a list of the project’s collaborators.  以下は、このプロジェクトの協力者のリストである。
Collaborator: Security Capability or Component  協力者:セキュリティ機能またはコンポーネント 
Archer: Integrated Risk Management Platform, Incident Management, Integrating Data from Asset Discovery and Management and Security Information and Event Management (SIEM) Systems  Archer:統合リスクマネジメントプラットフォーム、インシデント管理、資産発見・管理およびセキュリティ情報・イベント管理(SIEM)システムからのデータ統合 
Dell Technologies: Manufacturer, Platform Integrity Validation System  デル・テクノロジーズ:メーカー、プラットフォーム整合性検証システム 
eclypsium: Platform Integrity Validation System  Eclypsium:プラットフォーム・インテグリティ・バリデーション・システム 
hp: Manufacturer, Platform Integrity Validation System  hp: メーカー、プラットフォーム・インテグリティ検証システム 
Hewlett Packard Enterprise: Manufacturer, Platform Integrity Validation System  ヒューレットパッカードエンタープライズ:メーカー、プラットフォーム・インテグリティ検証システム 
IBM: Security Information and Event Management  IBM:セキュリティ情報およびイベント管理 
Intel: Manufacturer, Platform Integrity Validation System  インテル:プラットフォーム・インテグリティ・バリデーション・システムのメーカー 
National Security Agency: Certificate Authority, Platform Integrity Validation System  国家安全保障局:認証局、プラットフォーム・インテグリティ・バリデーション・システム 
Seagate: Manufacturer, Platform Integrity Validation System  シーゲイト:製造元、プラットフォーム・インテグリティ検証システム 
While the NCCoE used a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization’s information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution. NCCoEはこの課題に対処するために一連の商用製品を使用したが、本ガイドはこれらの特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものではない。組織の情報セキュリティ専門家は、既存のツールや IT システムインフラとの統合に最適な製品を特定する必要がある。また、このガイドを出発点として、ソリューションの一部をカスタマイズし、実装することもできる。

 

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2 Solution 1.2 解決策
1.3 Benefits 1.3 メリット
2  How to Use This Guide 2 このガイドの使い方
2.1 Typographic Conventions 2.1 タイポグラフィの規則
3 Approach 3 アプローチ
3.1  Audience 3.1 対象者
3.2  Scope 3.2 スコープ
3.2.1  Scenario 1: Creation of Verifiable Platform Artifacts 3.2.1 シナリオ1:検証可能なプラットフォームアーティファクトの作成
3.2.2  Scenario 2: Verification of Components During Acceptance Testing 3.2.2 シナリオ2:受入テストにおけるコンポーネントの検証
3.2.3  Scenario 3: Verification of Components During Use 3.2.3 シナリオ3:使用時のコンポーネントの検証
3.3  Assumptions 3.3 前提条件
3.4  Risk Assessment 3.4 リスクアセスメント
3.4.1  Threats 3.4.1 脅威
3.4.2  Vulnerabilities 3.4.2 脆弱性
3.4.3  Risk 3.4.3 リスク
3.5  Security Control Map 3.5 セキュリティコントロールマップ
3.6 Technologies 3.6 技術
3.6.1 Trusted Computing Group 3.6.1 トラステッドコンピューティンググループ
4 Architecture 4 アーキテクチャ
4.1  Architecture Description 4.1 アーキテクチャの説明
4.2  Existing Enterprise IT Management Systems 4.2 既存のエンタープライズIT管理システム
4.2.1  SIEM Tools 4.2.1 SIEMツール
4.2.2  Asset Discovery and Management System 4.2.2 資産発見・管理システム
4.2.3  Configuration Management System 4.2.3 コンフィギュレーション管理システム
4.2.4  Enterprise Dashboards 4.2.4 エンタープライズ・ダッシュボード
4.3  Supporting Platform Integrity Validation Systems 4.3 サポートするプラットフォーム整合性検証システム
4.3.1  Host Integrity at Runtime and Start-up Attestation Certificate Authority (HIRS ACA)24  4.3.1 ランタイムおよびスタートアップ時のホスト完全性認証局(HIRS ACA)24 
4.3.2  Network Boot Services 4.3.2 ネットワークブートサービス
4.3.3  Platform Manifest Correlation System 4.3.3 Platform Manifest Correlation System (プラットフォームマニフェスト相関システム)
4.3.4  Eclypsium Analytic Platform 4.3.4 Eclypsium アナリティカルプラットフォーム
4.4  Computing Devices 4.4 コンピューティングデバイス
4.4.1  HP Inc 4.4.1 HP Inc.
4.4.2  Dell Technologies 4.4.2 デル・テクノロジー
4.4.3  Intel 4.4.3 インテル
4.4.4 Hewlett Packard Enterprise (HPE) 4.4.4 ヒューレット・パッカード・エンタープライズ(HPE)
4.4.5 Seagate 4.4.5 シーゲイト
5  Security Characteristic Analysis 5 セキュリティ特性分析
5.1  Assumptions and Limitations 5.1 前提条件と制限事項
5.2  Build Testing 5.2 ビルドテスト
5.2.1  Scenario 1 5.2.1 シナリオ1
5.2.2  Scenario 2 5.2.2 シナリオ2
5.2.3  Scenario 3 5.2.3 シナリオ3
5.3  Scenarios and Findings 5.3 シナリオと調査結果
5.3.1  Supply Chain Risk Management (ID.SC) 5.3.1 サプライチェーンリスクマネジメント(ID.SC)
5.3.2  Asset Management (ID.AM) 5.3.2 アセットマネジメント(ID.AM)
5.3.3  Identity Management, Authentication and Access Control (PR.AC) 5.3.3 アイデンティティ管理、認証、アクセス制御(PR.AC)
5.3.4  Data Security (PR.DS) 5.3.4 データセキュリティ(PR.DS)
5.3.5  Security Continuous Monitoring (DE.CM) 5.3.5 セキュリティ継続監視(DE.CM)
6  Future Build Considerations 6 今後の構築に関する考察
Appendix A List of Acronyms 附属書 A 頭字語(英語)リスト
Appendix B References 附属書 B 参考文献
Appendix C Project Scenario Sequence Diagrams 附属書 C プロジェクトシナリオシーケンスダイアグラム

 

 

 

 

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2021.11.25 NIST SP 1800-34C (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.03.18 NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices (コンピューティングデバイスの完全性の検証)(Preliminary Draft)

 

 

| | Comments (0)

NIST SP 1800-36 (ドラフト) 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティ強化(初期ドラフト)(2022.12.05)

こんにちは、丸山満彦です。

NISTがIPベースのIoTデバイスとネットワークのセキュリティ強化のための実践ガイドの初期ドラフトを公表、意見募集をしていますね。。。

工場やプラントのDX、また、製品のデジタル化がさらに進んでいく今の状況を踏まえると、重要となっていく領域ですね。。。今後の進展が楽しみな文書ですね。。。日本企業も協力できるところはないのですかね。。。

協力している企業、団体等は、

ですね。。。知らない企業もあります。。。

 

NIST - ITL

・2022.12.05 SP 1800-36 (Draft) Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management: Enhancing Internet Protocol-Based IoT Device and Network Security (Preliminary Draft)

 

SP 1800-36 (Draft) Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management: Enhancing Internet Protocol-Based IoT Device and Network Security (Preliminary Draft) SP 1800-36 (ドラフト) 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティの強化(初期ドラフト)
Announcement 発表内容
The National Cybersecurity Center of Excellence (NCCoE) has published a preliminary public draft of NIST SP 1800-36A: Executive Summary, Enhancing Internet Protocol-Based IoT Device and Network Security. The comment period is open until February 3, 2023. 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、NIST SP 1800-36A: 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティの強化(初期ドラフト)を発表した。意見募集期間は2023年2月3日までである。
About the Project プロジェクトについて
Provisioning network credentials to IoT devices in an untrusted manner leaves networks vulnerable to having unauthorized IoT devices connect to them. It also leaves IoT devices vulnerable to being taken over by unauthorized networks. Instead, trusted, scalable, and automatic mechanisms are needed to safely manage IoT devices throughout their lifecycles, beginning with secure ways to provision devices with their network credentials—a process known as trusted network-layer onboarding. Trusted network-layer onboarding, in combination with additional device security capabilities such as device attestation, application-layer onboarding, secure lifecycle management, and device intent enforcement could improve the security of networks and IoT devices. 信頼されていない方法でIoTデバイスにネットワーク認証情報を提供すると、ネットワークは未承認のIoTデバイスに接続される危険性がある。また、IoTデバイスが不正なネットワークに乗っ取られる可能性もある。IoTデバイスのライフサイクルを通じて安全に管理するための、信頼できるスケーラブルで自動的なメカニズムが必要である。まず、デバイスにネットワーク認証情報を提供する安全な方法(信頼できるネットワーク層のオンボーディングとして知られるプロセス)がある。信頼できるネットワーク層のオンボーディングは、デバイスの認証、アプリケーション層のオンボーディング、セキュアなライフサイクル管理、デバイスの意図の強制など、追加のデバイスセキュリティ機能と組み合わせて、ネットワークとIoTデバイスのセキュリティを向上させることができる。
This practice guide aims to demonstrate how organizations can protect both their IoT devices and their networks. The NCCoE is collaborating with product and service providers to produce example implementations of trusted network-layer onboarding and capabilities that improve device and network security throughout the IoT-device lifecycle to achieve this. この実践ガイドは、組織がIoTデバイスとネットワークの両方を保護する方法を示すことを目的としている。NCCoEは、製品およびサービスプロバイダと協力して、信頼できるネットワーク層のオンボーディングと、IoTデバイスのライフサイクルを通じてデバイスとネットワークのセキュリティを向上させる機能の実装例を作成し、これを実現するために取り組んでいる。
Join the IoT Community of Interest IoTコミュニティ・オブ・インタレストに参加する
If you have expertise in IoT and/or network security and would like to help shape this project, consider joining the IoT Onboarding Community of Interest. Contact the project team at [mail] declaring your interest. IoTおよび/またはネットワーク・セキュリティの専門知識をお持ちで、このプロジェクトの形成を支援したい人は、IoT Onboarding Community of Interestに参加することを検討して欲しい。プロジェクトチームまで連絡の上、興味を表明すること。
Abstract 概要
Providing devices with the credentials and policy needed to join a network is a process known as network-layer onboarding. Establishing trust between a network and an IoT device prior to such onboarding is crucial for mitigating the risk of potential attacks. There are two sides of this attack: one is where a device is convinced to join an unauthorized network, which would take control of the device. The other side is where a network is infiltrated by a malicious device. Trust is achieved by attesting and verifying the identity and posture of the device and the network as part of the network-layer onboarding process. Additional safeguards, such as verifying the security posture of the device before other operations occur, can be performed throughout the device lifecycle. In this practice guide, the National Cybersecurity Center of Excellence (NCCoE) applies standards, recommended practices, and commercially available technology to demonstrate various mechanisms for trusted network-layer onboarding of IoT devices. We show how to provide network credentials to IoT devices in a trusted manner and maintain a secure posture throughout the device lifecycle. ネットワークに参加するために必要な証明書とポリシーをデバイスに提供することは、ネットワーク層のオンボーディングとして知られるプロセスである。このようなオンボーディングの前にネットワークとIoTデバイスの間に信頼関係を確立することは、潜在的な攻撃のリスクを軽減するために非常に重要である。この攻撃には2つの側面がある。1つは、デバイスが不正なネットワークに参加するように説得され、デバイスを制御される場合である。もう1つは、悪意のあるデバイスによってネットワークが侵入される場合である。信頼は、ネットワーク層のオンボーディングプロセスの一部として、デバイスとネットワークのアイデンティティと姿勢を証明し、検証することによって達成される。その他の操作の前にデバイスのセキュリティポストを検証するなどの追加のセーフガードは、デバイスのライフサイクル全体を通じて実行することができる。この実践ガイドでは、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が、標準、推奨実践、および市販の技術を適用して、IoTデバイスの信頼できるネットワーク層オンボーディングのためのさまざまなメカニズムを実証している。信頼できる方法でIoTデバイスにネットワーク認証情報を提供し、デバイスのライフサイクルを通じて安全な姿勢を維持する方法を紹介する。

 

・[PDF]  NIST SP 1800-36A iprd
 

20221213-64611

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
Providing devices with the credentials and policy needed to join a network is a process known as network-layer onboarding. Establishing trust between a network and an IoT device prior to such onboarding is crucial for mitigating the risk of potential attacks. There are two sides of this attack: one is where a device is convinced to join an unauthorized network, which would take control of the device.  The other side is where a network is infiltrated by a malicious device. Trust is achieved by attesting and verifying the identity and posture of the device and the network as part of the network-layer onboarding process. Additional safeguards, such as verifying the security posture of the device before other operations occur, can be performed throughout the device lifecycle. In this practice guide, the National Cybersecurity Center of Excellence (NCCoE) applies standards, recommended practices, and commercially available technology to demonstrate various mechanisms for trusted network-layer onboarding of IoT devices. We show how to provide network credentials to IoT devices in a trusted manner and maintain a secure posture throughout the device lifecycle.  ネットワークに参加するために必要な証明書とポリシーをデバイスに提供することは、ネットワーク層のオンボーディングとして知られるプロセスである。このようなオンボーディングの前にネットワークとIoTデバイスの間に信頼関係を確立することは、潜在的な攻撃のリスクを軽減するために非常に重要である。この攻撃には2つの側面がある。1つは、デバイスが不正なネットワークに参加するように説得され、デバイスを制御される場合である。もう1つは、悪意のあるデバイスによってネットワークが侵入される場合である。信頼は、ネットワーク層のオンボーディングプロセスの一部として、デバイスとネットワークのアイデンティティと姿勢を証明し、検証することによって達成される。その他の操作の前にデバイスのセキュリティポストを検証するなどの追加のセーフガードは、デバイスのライフサイクル全体を通じて実行することができる。この実践ガイドでは、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)が、標準、推奨実践、および市販の技術を適用して、IoTデバイスの信頼できるネットワーク層オンボーディングのためのさまざまなメカニズムを実証している。信頼できる方法でIoTデバイスにネットワーク認証情報を提供し、デバイスのライフサイクルを通じて安全な姿勢を維持する方法を紹介する。
CHALLENGE  課題 
With 40 billion IoT devices expected to be connected worldwide by 2025, it is unrealistic to onboard or manage these devices by visiting each device and performing a manual action. While it is possible for devices to be securely provided with their local network credentials at the time of manufacture, this requires the manufacturer to customize network-layer onboarding on a build-to-order basis, which prevents the manufacturer from taking full advantage of the economies of scale that could result from building identical devices for its customers.  2025年までに世界中で400億台のIoTデバイスが接続されると予想される中、各デバイスを訪問して手動でアクションを実行することによって、これらのデバイスをオンボードまたは管理することは非現実的である。デバイスの製造時にローカルネットワークの認証情報を安全に提供することは可能であるが、この場合、メーカーはネットワーク層のオンボーディングを受注生産でカスタマイズする必要があり、顧客向けに同一のデバイスを製造することで得られる規模の経済を十分に活用することができなくなる。
The industry lacks scalable, automatic mechanisms to safely manage IoT devices throughout their lifecycles, and in particular it lacks a trusted mechanism for providing IoT devices with their network credentials and policy at the time of deployment on the network. It is easy for a network to falsely identify itself, yet many IoT devices onboard to networks without verifying the network’s identity and ensuring that it is their intended target network. Also, many IoT devices lack user interfaces, making it cumbersome to manually input network credentials. Wi-Fi is sometimes used to provide credentials over an open (i.e., unencrypted) network, but this onboarding method risks credential disclosure. Most home networks use a single password shared among all devices, so access is controlled only by the device’s possession of the password and does not consider a unique device identity or whether the device belongs on the network. This method also increases the risk of exposing credentials to unauthorized parties. Providing unique credentials to each device is more secure but providing unique credentials manually would be resource-intensive and error-prone, would risk credential disclosure, and cannot be performed at scale.   業界には、IoTデバイスをライフサイクルを通じて安全に管理するためのスケーラブルで自動的なメカニズムがなく、特に、IoTデバイスにネットワーク認証情報とポリシーをネットワークに展開する際に提供するための信頼できるメカニズムがない。ネットワークが自身を偽って識別することは容易であるが、多くのIoTデバイスは、ネットワークの識別情報を検証し、それが意図したターゲットネットワークであることを確認せずにネットワークにオンボードしている。また、多くのIoT機器にはユーザーインターフェースがないため、ネットワークの認証情報を手動で入力するのは面倒である。オープンな(つまり暗号化されていない)ネットワーク上で認証情報を提供するためにWi-Fiが使われることがあるが、このオンボーディング方式では認証情報が漏洩するリスクがある。ほとんどのホームネットワークでは、すべてのデバイスで共有される単一のパスワードを使用しているため、デバイスがパスワードを所有しているかどうかによってのみアクセスが制御され、デバイスの固有IDやデバイスがネットワークに属しているかどうかは考慮されない。また、この方法では、認証情報が不正な者にさらされる危険性が高くなる。各デバイスに一意のクレデンシャルを提供することはより安全であるが、一意のクレデンシャルを手動で提供することは、リソース集約的でエラーが起こりやすく、クレデンシャル開示のリスクがあり、大規模に実行することは不可能である。 
Once a device is connected to the network, if it becomes compromised, it can pose a security risk to both the network and other connected devices. Not keeping such a device current with the most recent software and firmware updates may make it more susceptible to compromise. The device could also be attacked through the receipt of malicious payloads. Once compromised, it may be used to attack other devices on the network.   デバイスがネットワークに接続されると、それが危険にさらされた場合、ネットワークと他の接続デバイスの両方に対してセキュリティリスクをもたらす可能性がある。このようなデバイスを最新のソフトウェアやファームウェアに更新しておかないと、より危険にさらされる可能性がある。また、悪意のあるペイロードを受け取ることによっても、デバイスは攻撃される可能性がある。いったん侵害されると、ネットワーク上の他のデバイスを攻撃するために使用される可能性がある。 
OUTCOME  成果 
The outcome of a project is to develop example solutions, demonstrate them to support various scenarios, and publish the findings in this practice guide, a NIST Special Publication (SP) 1800 that is composed of multiple volumes targeting different audiences.  プロジェクトの成果は、ソリューション例を開発し、さまざまなシナリオをサポートするためにそれらを実証し、この実践ガイド(異なるオーディエンスを対象とした複数のボリュームで構成されるNIST Special Publication(SP)1800)で発見を公開することである。
This practice guide can help IoT device users:  このプラクティスガイドは、IoT デバイスのユーザーを支援する。
Understand how to onboard their IoT devices in a trusted manner to:  信頼できる方法で IoT デバイスを搭載する方法を理解する。
▪ Ensure that their network is not put at risk as new IoT devices are added to it  ・新しい IoT デバイスが追加されても、ネットワークが危険にさらされないようにする。
▪ Safeguard their IoT devices from being taken over by unauthorized networks  ・IoT デバイスが不正なネットワークに乗っ取られないように保護する。
▪ Provide IoT devices with unique credentials for network access  ・IoTデバイスにネットワークアクセス用の一意のクレデンシャルを提供する。
▪ Provide, renew, and replace device network credentials in a secure manner  ・デバイスのネットワーク認証情報を安全な方法で提供、更新、交換することができる。
▪ Support ongoing protection of IoT devices throughout their lifecycles   ・IoT デバイスのライフサイクルを通しての継続的な保護をサポートする。 
This practice guide can help manufacturers and vendors of semiconductors, secure storage components, IoT devices, and network onboarding equipment:  このプラクティスガイドは、半導体、セキュアストレージコンポーネント、IoTデバイス、ネットワークオンボーディング装置のメーカーやベンダーの助けとなるものである。
Understand the desired security properties for supporting trusted network-layer onboarding and explore their options with respect to recommended practices for:  信頼できるネットワーク層オンボーディングをサポートするために望ましいセキュリティ特性を理解し、以下の推奨事項に関する選択肢を検討する。
▪ Providing unique credentials into secure storage on IoT devices at time of manufacture (i.e., device credentials)  ・製造時にIoTデバイスのセキュアストレージに固有のクレデンシャルを提供する(すなわちデバイスクレデンシャル)。
▪ Installing onboarding software onto IoT devices  ・IoT デバイスにオンボーディングソフトウェアをインストールする。
▪ Providing IoT device purchasers with information needed to onboard the IoT devices to their networks (i.e., device bootstrapping information)       ・IoTデバイスの購入者に、IoTデバイスをネットワークに搭載するために必要な情報(すなわち、デバイスのブートストラップ情報)を提供すること。     
▪ Integrating support for network-layer onboarding with additional security capabilities to provide ongoing protection throughout the device lifecycle   ・デバイスのライフサイクルを通じて継続的な保護を提供するために、ネットワーク層のオンボーディングのサポートを追加のセキュリティ機能と統合する。 
SOLUTION  解決方法 
The NCCoE has adopted the trusted network-layer onboarding approach to provide automated, trusted ways to provide IoT devices with unique network credentials and manage devices throughout their lifecycles to ensure that they remain secure. The NCCoE is collaborating with technology providers and other stakeholders initially to implement example trusted network-layer onboarding solutions for IoT devices that:  NCCoEは、IoTデバイスに固有のネットワーク認証情報を提供し、デバイスの安全性を維持するためにそのライフサイクルを通じてデバイスを管理する自動化された信頼できる方法を提供するために、信頼できるネットワーク層オンボーディングのアプローチを採用している。NCCoEは、まず技術プロバイダーやその他の関係者と協力して、以下のようなIoTデバイスのためのトラステッド・ネットワークレイヤー・オンボーディング・ソリューションの例を実装している。
▪ provide each device with unique network credentials,  ・各デバイスに一意のネットワーク認証情報を提供する。
▪ enable the device and the network to mutually authenticate,  ・デバイスとネットワークが相互に認証できるようにする。
▪ send devices their credentials over an encrypted channel,  ・デバイスに暗号化されたチャネルでクレデンシャルを送信する。
▪ do not provide any person with access to the credentials, and  ・デバイスの認証情報を暗号化されたチャネルで送信し、 ・認証情報へのアクセスを誰にも提供せず、かつ 
▪ can be performed repeatedly throughout the device lifecycle.   ・デバイスのライフサイクルを通じて繰り返し実行できる。 
The use cases we demonstrate include:  私たちが示すユースケースは以下の通りである。
▪ trusted network-layer onboarding of IoT devices,  ・IoTデバイスの信頼できるネットワークレイヤーオンボーディング。
▪ repeated trusted network-layer onboarding of devices to the same or a different network,  ・同じネットワークまたは異なるネットワークへの信頼されたネットワーク層オンボーディングの繰り返し
▪ automatic establishment of an encrypted connection between an IoT device and a trusted application service (i.e., trusted application-layer onboarding) after the IoT device has performed trusted network-layer onboarding and used its credentials to connect to the network, and  ・IoTデバイスが信頼されるネットワーク層のオンボーディングを実行し、ネットワークに接続するためにその資格情報を使用した後に、IoTデバイスと信頼されるアプリケーションサービスとの間の暗号化接続を自動的に確立すること(すなわち、信頼されるアプリケーション層のオンボーディング)、および 
▪ software-based methods to provide device credentials in the factory and transfer device bootstrapping information from device manufacturer to device purchaser.   ・工場でデバイスの認証情報を提供し、デバイス製造業者からデバイス購入者にデバイスのブートストラップ情報を転送するソフトウェアベースのメソッド。 
Future use cases may include demonstrating the integration of trusted network-layer onboarding with zero trust-inspired capabilities such as ongoing device authorization, renewal of device network credentials, using device attestation to ensure that only trusted IoT devices are permitted to be onboarded, device lifecycle management, and enforcement of device communications intent.  今後のユースケースとしては、継続的なデバイス認証、デバイスのネットワーク認証情報の更新、デバイス認証の使用による信頼できるIoTデバイスのみのオンボーディング許可、デバイスライフサイクル管理、デバイス通信意図の実施など、ゼロトラストに着想を得た機能と信頼できるネットワーク層オンボーディングの統合を実証することが考えられる。
We are following an agile methodology of building implementations iteratively and incrementally, starting with network-layer onboarding and gradually integrating additional capabilities that improve device and network security throughout a managed device lifecycle. There are five initial builds that demonstrate network-layer onboarding and one factory use case build intended to simulate activities performed by an IoT device manufacturer to provide devices with their credentials. The network-layer onboarding builds will demonstrate the Wi-Fi Easy Connect, Bootstrapping Remote Secure Key Infrastructure, and Thread Commissioning protocol approaches. Several application-layer onboarding approaches will also be implemented, along with policy-based continuous assurance and authorization.  我々は、ネットワーク層のオンボーディングから始まり、管理されたデバイスのライフサイクルを通じてデバイスとネットワークのセキュリティを向上させる追加機能を徐々に統合しながら、反復的かつ段階的に実装を構築するアジャイル手法に従う。ネットワーク層のオンボーディングを実証する5つの初期ビルドと、IoTデバイスメーカーがデバイスに認証情報を提供する際の活動をシミュレートするための1つのファクトリーユースケースビルドが用意されている。ネットワーク層のオンボーディングビルドでは、Wi-Fi Easy Connect、Bootstrapping Remote Secure Key Infrastructure、およびThread Commissioningの各プロトコルアプローチを実証する。また、ポリシーベースの継続的な保証と承認とともに、アプリケーション層のオンボーディングアプローチもいくつか実装される予定である。
The example implementations use technologies and capabilities from our project collaborators (listed below). The solutions will map to NIST Cybersecurity Framework security standards and guidelines, NIST  実装例では、プロジェクトの共同研究者(以下にリストアップ)の技術や機能を使用する。これらのソリューションは、NISTサイバーセキュリティフレームワークのセキュリティ標準とガイドライン、NISTの内部報告書(NISTIR)8.0に準拠している。
Internal Report (NISTIR) 8259A capabilities, NISTIR 8228 considerations, and European  内部文書 (NISTIR) 8259Aの機能、NISTIR 8228の考慮事項、およびEuropean Telecommunications Standards Institute (ETSI)の技術に対応している。
Telecommunications Standards Institute (ETSI) European Standard (EN) 303 645 requirements.  Telecommunications Standards Institute (ETSI) European Standard (EN) 303 645の要件に対応する。

 

関連Web、インサイト...

● NIST - NCCoE

プロジェクトの説明...

・2022.12.05 Trusted IoT Device Network-Layer Onboarding and Lifecycle Management

 

インサイト...

・2022.12.05 ANNOUNCEMENTS -  NCCoE Releases Draft Practice Guide for Trusted IoT Onboarding and Lifecycle Management

 

 


 

まるちゃんの情報セキュリティきまぐれ日記

SP 800-213, NIST IR 8259関係

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2021.11.30 NIST SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立、SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

IoTのネットワーク関係

・2022.01.21 NISTIR 8349(ドラフト)IoTデバイスのネットワーク動作を特徴づける方法論 at 2022.01.11

 

消費者向けの方...

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

 

そういえば、この法制化の動きはどうなっているんだっけ...

・2020.11.19 米国 2020年IoTサイバーセキュリティ改善法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?

 

 

| | Comments (0)

2022.12.12

NIST 意見募集 NISTIR 8278 Rev. 1 (Draft) 国家オンライン情報提供参照 (OLIR) プログラム: 概要、利点、および使用、NISTIR 8278A Rev. 1 (Draft) 国家オンライン情報提供参照 (OLIR) プログラム: OLIR開発者のための提出ガイダンス

こんにちは、丸山満彦です

NISTが、国家オンライン情報提供参照 (OLIR) プログラムについての文書(「概要、利点、および使用 (NISTIR 8278)」と「OLIR開発者のための提出ガイダンス (NISTIR 8278A)」の改訂案を公表し、意見募集をしていますね。。。

このOLIRプログラムはなかなか必要性は感じるものの、国としてやろうとすると、力が入りますよね。。。

 

● NISTNIST - ITL

・2022.12.08 NISTIR 8278 Rev. 1 (Draft) National Online Informative References (OLIR) Program: Overview, Benefits, and Use

・2022.12.08 NISTIR 8278A Rev. 1 (Draft) National Online Informative References (OLIR) Program: Submission Guidance for OLIR Developers

 

発表内容は同じです。。。

Announcement 発表
NIST is seeking public comments on two draft NIST Internal Reports (NIST IR) for the National Online Informative References (OLIR) Program. This Program is a NIST effort to facilitate subject matter experts in defining Online Informative References (OLIRs), which are standardized expressions of relationships between concepts in information and communication technology (ICT) documents, like the NIST Cybersecurity Framework.  NISTは、国家オンライン情報提供参照 (OLIR)プログラムの2つのNIST 内部文書 (NIST IR)ドラフトに対するパブリックコメントを募集している。このプログラムは、NISTサイバーセキュリティフレームワークのような情報通信技術(ICT)文書における概念間の関係を標準的に表現したオンライン情報参照(OLIR)の定義において、主題専門家を支援するNISTの取り組みである。 
The draft reports are revisions of existing publications that provide 1) an overview of the Program and its benefits and use (NIST IR 8278r1), and 2) submission guidance for OLIR developers (NIST IR 8278Ar1). この報告書案は、既存の出版物を改訂したもので、1)プログラムの概要とその利点および使用方法(NIST IR 8278r1)、2)OLIR開発者のための提出ガイダンス(NIST IR 8278Ar1)を提供するものである。
The public comment period for both drafts is open through January 20, 2023.  両案とも、2023年1月20日までパブリックコメントを受け付けている。 
Details: 詳細:
Draft NIST IR 8278r1, National Online Informative References (OLIR) Program: Overview, Benefits, and Use, describes the OLIR Program, including what OLIRs are, what benefits they provide, and how anyone can access and use OLIRs. Based on feedback received from OLIR adopters, this draft has the following changes from the original NIST IR 8278: NIST IR 8278r1(ドラフト)「国家オンライン情報提供参照 (OLIR)プログラム:概要、利点、および使用」では、OLIRとは何か、OLIRが提供する利点は何か、誰でもOLIRにアクセスし使用できる方法は何かなど、OLIRプログラムについて説明している。OLIR採用者から寄せられたフィードバックに基づき、本ドラフトはNIST IR 8278のオリジナル版から以下の変更を加えている。
・Editorial and structural changes throughout the report to improve clarity and usability 報告書全体の編集および構造を変更し、分かりやすさと使いやすさを向上させた。
・Updated content throughout the report to reflect proposed changes to OLIR, such as eliminating the concept of tiers of OLIR reference data and adding the concept of unilateral and bilateral OLIRs OLIR参照データの階層の概念の削除、片側および両側OLIRの概念の追加など、OLIRに関する変更案を反映し、報告書全体の内容を更新。
・Added content on the NIST Cybersecurity and Privacy Reference Tool (CPRT) NIST Cybersecurity and Privacy Reference Tool(CPRT)に関する内容を追加した。
Draft NIST IR 8278Ar1, National Online Informative References (OLIR) Program: Submission Guidance for OLIR Developers, instructs OLIR Developers – the subject matter experts who create OLIRs – on how to complete an OLIR Template when submitting an OLIR to NIST for inclusion in the OLIR Catalog. Based on feedback received from OLIR adopters, proposed changes to OLIR in this revision of the original NIST IR 8278A include: NIST IR 8278Ar1(ドラフト)「国家オンライン情報提供参照(OLIR)プログラム:OLIR開発者のための提出ガイダンス」は、OLIR開発者(OLIRを作成する主題専門家)に対して、OLIRカタログに掲載するためにNISTにOLIRを提出する際のOLIR テンプレートの記入方法を指導している。OLIR採用者から寄せられたフィードバックに基づき、オリジナルのNIST IR 8278Aの今回の改訂では、OLIRに以下のような変更点が提案されている。
・Definitions for “crosswalk OLIR” and “mapping OLIR,” as well as expanded guidance and templates to include them ・「クロスウォークOLIR」及び「マッピングOLIR」の定義、並びにこれらを含むガイダンス及びテンプレートの拡張。
・Revisions to the OLIR life cycle steps so that an OLIR does not need to be posted publicly until NIST’s review has been completed ・OLIR のライフサイクルステップを改訂し、NIST のレビューが完了するまでは OLIR を公開する必要がないようにした。
・Splitting the original template into two – one for defining OLIRs and one for general information ・元のテンプレートを2つに分割-1つはOLIRの定義用、もう1つは一般的な情報用。
・Modified explanations and guidance for several template fields, including the Informative Reference Name, Reference Document, Rationale, and Group and Group Identifier ・情報参照名、参照文書、根拠、グループ及びグループ識別子を含むいくつかのテンプレートフィールドの説明及びガイダンスを修正した。
・Updated examples to reflect the proposed changes to OLIR ・OLIRの変更案を反映した例の更新。

 

・2022.12.08 NISTIR 8278 Rev. 1 (Draft) National Online Informative References (OLIR) Program: Overview, Benefits, and Use

 

NISTIR 8278 Rev. 1 (Draft) National Online Informative References (OLIR) Program: Overview, Benefits, and Use NIST IR 8278r1(ドラフト)国家オンライン情報提供参照 (OLIR)プログラム:概要、利点、および使用
Abstract 概要
Information and communication technology (ICT) domains – such as cybersecurity, privacy, and Internet of Things (IoT) – have many requirements and recommendations made by national and international standards, guidelines, frameworks, and regulations. An Online Informative Reference (OLIR) provides a standardized expression of the relationships between concepts in such documents. OLIRs provide a consistent and authoritative way of specifying relationships that can be used by both humans and automation. The National OLIR Program is a NIST effort to encourage and facilitate subject matter experts in defining OLIRs and to provide a centralized location for displaying and comparing OLIRs. This report provides an overview of the National OLIR Program, explains the basics of OLIRs and the benefits they can provide, and shows how anyone can access and use OLIRs. サイバーセキュリティ、プライバシー、モノのインターネット(IoT)などの情報通信技術(ICT)領域には、国内外の標準、ガイドライン、フレームワーク、および規制によって作られた多くの要件や推奨事項がある。オンライン情報参照(OLIR)は、このような文書における概念間の関係を標準的に表現したものである。OLIRは、人間とオートメーションの両方が使用できる、一貫した権威ある関係性の指定方法を提供する。国家 OLIR プログラム は、OLIR の定義においてサブジェクト・マター・エキスパートを奨励、促進し、OLIR を表示、比較するための一元的な場所を提供する NIST の取り組みである。本レポートでは、国家 OLIR プログラムの概要、OLIRの基本、OLIRがもたらすメリットについて説明し、誰でもOLIRにアクセスして使用する方法を紹介する。

 

・[PDF] NISTIR 8278 Rev. 1 (Draft)

 


 

・2022.12.08 NISTIR 8278A Rev. 1 (Draft) National Online Informative References (OLIR) Program: Submission Guidance for OLIR Developers

 

NISTIR 8278A Rev. 1 (Draft) National Online Informative References (OLIR) Program: Submission Guidance for OLIR Developers NISTIR 8278A Rev. 1 (Draft) 国家オンライン情報提供参照 (OLIR) プログラム: OLIR開発者のための提出ガイダンス
Abstract 概要
The National Online Informative References (OLIR) Program is a NIST effort to facilitate subject matter experts in defining standardized Online Informative References (OLIRs), which are relationships between elements of documents from cybersecurity, privacy, and other information and communications technology domains. This document assists OLIR Developers in understanding the processes and requirements for participating in the Program. The primary focus of the document is to instruct Developers on how to complete an OLIR Template when submitting an OLIR to NIST for inclusion in the OLIR Catalog. 国家オンライン情報提供参照 (OLIR) プログラムは、サイバーセキュリティ、プライバシー、その他の情報通信技術分野の文書の要素間の関係である標準的なオンライン情報提供参照 (OLIR) の定義において、主題専門家を促進するNISTの取り組みである。本文書は、OLIR開発者がプログラムに参加するためのプロセスと要件を理解することを支援する。本文書の主な目的は、OLIR カタログに掲載するために NIST に OLIR を提出する際に、OLIR テンプレートの記入方法を開発者に指示することである。

 

・[PDF] NISTIR 8278 Rev. 1 (Draft)

 


 

National Online Informative References Program OLIR

National Online Informative References Program OLIR 全国オンライン情報提供プログラム OLIR
Overview 概要
The National Online Informative References (OLIR) Program is a NIST effort to facilitate subject matter experts (SMEs) in defining standardized online informative references (OLIRs) between elements of their documents, products, and services and elements of NIST documents like the Cybersecurity Framework Version 1.1Privacy Framework Version 1.0NISTIR 8259A, or NIST SP 800-53 Revision 5. The NIST Interagency or Internal Report (IR) 8278 - National Online Informative References (OLIR) Program: Program Overview and OLIR Uses focuses on explaining what OLIRs are, what benefits they provide, how anyone can search and access OLIRs, and how subject matter experts can contribute OLIRs. National Online Informative References (OLIR) Program は、サブジェクト・マター・エキスパート(SME)が、自社の文書、製品、サービスの要素と、Cybersecurity Framework Version 1.1, Privacy Framework Version 1.0, NISTIR 8259A, または NIST SP 800-53 Revision 5 など NIST 文書の要素間の標準化されたオンライン情報参照(OLIR)を定義できるよう促す NIST の取り組みである。NISTの政府機関間あるいは内部文書である  NIST IR 8278 国家オンライン情報提供参照 (OLIR)プログラム:概要、利点、および使用
では、OLIRとは何か、OLIRがもたらす利点とは何か、誰でもOLIRを検索してアクセスする方法、主題専門家がOLIRを提供する方法について重点的に説明している。
Informative Reference Catalog 情報参照カタログ
Contains all the Reference Data—Informative References and Derived Relationship Mappings (DRMs) すべての参考データ、すなわち参考文献と派生関係マッピング(DRM)が収録されている。
Derived Relationship Mapping Analysis Tool 派生関係マッピング分析ツール
Provides Users the ability to generate DRMs for Reference Documents with a Focal Document of the Users’ choice. ユーザーが選択した対象文章を持つ参照文書のDRMを生成する機能を提供する。
OLIR Focal Document Templates OLIR対象文書テンプレート
Downloadable templates of OLIR Focal Documents OLIR対象文書のテンプレートがダウンロードできる。

 

Fig1_20221212081001

 

 

 

| | Comments (0)

NATO CCDCOE 自律型船舶におけるサイバーセキュリティの考慮事項 (2022.11)

こんにちは、丸山満彦です

NATO CCDCOEが自律型船舶におけるサイバーセキュリティの考慮事項が公表されていますね。。。自動運転、ドローンに比べて自律型船舶の領域はその実現にもう少し時間がかかりそうということのようですが、セキュリティの考え方の整理については、セキュリティ・バイ・デザインの観点から、早めに検討を進めていくことが重要なのでしょうね。。。

検討している脅威は次の9つです...

Attacks to Disrupt RF Signals RF信号を妨害する攻撃
Attacks to Deceive or Degrade Sensors センサーを欺く・劣化させる攻撃
Attacks to Intercept or Modify Communications 通信の傍受・改ざんを目的とした攻撃
Attacks on OT Systems OTシステムに対する攻撃
Attacks on IT Systems ITシステムに対する攻撃
Attacks on AI used for Autonomous Operations 自律的な運用に利用されるAIへの攻撃
Attacks Through Supply Chains サプライチェーンを介した攻撃
Attacks Through Physical Access 物理的なアクセスによる攻撃
Attacks on the Shore Control Centre ショアコントロールセンターへの攻撃

 

NATO CCDCOE

・2022.11 Cybersecurity Considerations in Autonomous Ships

 

Cybersecurity Considerations in Autonomous Ships 自律型船舶におけるサイバーセキュリティの考慮事項
Autonomous transportation will profoundly change maritime traffic. Human-crewed and autonomous vessels or ships will have to share the oceans, seas, rivers and canals. As autonomous vessels can operate at various levels of autonomy or control, cybersecurity on board will vary. Autonomous maritime vehicles, surface or submarine, commercial or military, provide advantages for specific missions. Being still under development, the effects of cyberattacks on autonomous vessels are not yet apparent. It is more efficient to consider security issues in the development phase since the security-by-design principle embraces the consideration of potential threats and countermeasures at an earlier stage. The insecurity of autonomous ships could lead to environmental disasters caused by collisions with other ships and port facilities, vessel hijacking, theft or blackmail. However, relatively little attention has been paid so far to the security of autonomous vessels compared to other similar applications such as autonomous cars, drones and aircraft. 自律型輸送は海上交通を大きく変化させるだろう。人間が乗船する船舶と自律型船舶が、海、海峡、河川、運河を共有しなければならなくなる。自律型船舶は、さまざまなレベルの自律性または制御性で運用できるため、船内のサイバーセキュリティはさまざまに変化する。自律型海上車両は、水上または潜水艦、商用または軍事用を問わず、特定のミッションに有利に働くものである。まだ開発中であるため、自律型船舶に対するサイバー攻撃の影響はまだ明らかではない。セキュリティ・バイ・デザインの原則は、潜在的な脅威と対策をより早い段階で検討することを包含しているため、開発段階でセキュリティ問題を検討することがより効率的であると言える。自律型船舶の不安は、他の船舶や港湾施設との衝突による環境災害、船舶のハイジャック、盗難、恐喝などにつながる可能性がある。しかし、自律型船舶のセキュリティについては、自律型自動車、ドローン、航空機など他の類似のアプリケーションと比較して、これまで比較的注目されてこなかった。
This paper provides an overview of a general framework and components of autonomous vessels and related work on their security. Then, it provides nine distinctive threat categories with explanations of scenarios and applicable countermeasures at a high level: attacks to disrupt radio frequency (RF) signals; attacks to deceive or degrade sensors; Attacks to intercept/modify communications; Attacks on Operational Technology systems; Attacks on Information Technology systems; Attacks on Artificial Intelligence used for autonomous operations; Attacks through supply chains; Attacks through physical access; and Attacks on the Shore Control Centre. As the concept and technology related to autonomous vessels are still evolving, identification and determination of detailed specific countermeasures at this stage are not feasible. Moreover, detailed countermeasures will be different by application and the targeted level of autonomy. Nevertheless, potential threat scenarios and high-level considerations of countermeasures would help ship engineers, owners and operators identify and implement security functionalities essential for autonomous vessels. 本文書では、自律型船舶の一般的なフレームワークと構成要素、およびそのセキュリティに関する関連研究の概要を説明する。そして、無線周波数(RF)信号を妨害する攻撃、センサーを欺いたり劣化させたりする攻撃、通信を傍受/変更する攻撃、運航技術システムへの攻撃、情報技術システムへの攻撃、自律運航に用いられる人工知能への攻撃、サプライチェーンを通じた攻撃、物理アクセスによる攻撃、岸壁コントロールセンターへの攻撃の9つの特徴ある脅威カテゴリーについて、シナリオの説明と適用できる対策を高いレベルで示している。自律型船舶に関する概念や技術はまだ発展途上であり、現段階で詳細な具体的対策を特定・決定することは不可能である。さらに、詳細な対策はアプリケーションや対象となる自律性のレベルによって異なるだろう。しかしながら、潜在的な脅威のシナリオと対策に関するハイレベルな考察は、船舶技術者、船主、オペレーターが自律型船舶に不可欠なセキュリティ機能を特定し、実装するのに役立つと思われる。

 

・[PDF] Cybersecurity Considerations in Autonomous Ships

20221212-13851

 

・[DOCX] 仮訳

 

 


Fig1_20221212014801  

1.上位モジュールの概要

 

 

Fig2_20221212014801

2.無人船舶のアーキテクチャ概要

 


 

まるちゃんの情報セキュリティきまぐれ日記

ドローン関係

・2022.06.23 一般社団法人セキュアドローン協議会 ドローンセキュリティガイド 第3版 (2022.06.16)

・2022.04.26 米国 White House ドローン対策国家計画

・2022.04.14 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

・2020.10.13 米空軍は「連邦U-2ラボがU-2 Dragon LadyをKubernetesで飛行させた」と公開していますね。。。

・2020.06.09 米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。

 

自動運転車関係

・2022.11.21 経済産業省 日本発の自動運転システムの「シナリオに基づく安全性評価フレームワーク」に関する国際標準 (ISO34502) が発行されたことを公表

・2022.08.22 英国政府 データ倫理・イノベーションセンター「自動運転車における責任あるイノベーション」

・2021.05.06 ENISA コネクテッド&オートメーテッド・モビリティ(CAM)エコシステムの安全性を確保する方法

・2021.02.12 ENISA 人工知能を使った自律走行におけるサイバーセキュリティの課題

・2020.06.26 国土交通省 自動運行装置(レベル3)に係る国際基準が初めて成立しました

 

| | Comments (0)

カナダ サイバーセキュリティセンター 「ゼロトラスト・セキュリティモデル - ITSAP.10.008」

こんにちは、丸山満彦です。

カナダ政府のサイバーセキュリティセンター (Canadian Centre for Cyber Security) がゼロトラスト・セキュリティモデルについてのガイドを公表しています

基本的には、CISAのゼロトラストの概念をベースに説明しているものですね。。。

 

 Canada.ca - Canadian Centre for Cyber Security - Cyber security guidance

・2022.11 Zero Trust security model - ITSAP.10.008

 

Zero Trust security model - ITSAP.10.008 ゼロトラスト・セキュリティモデル - ITSAP.10.008
The traditional security model used by organizations to protect information systems focused on perimeter  defense and implicitly trusted anyone inside the corporate network, therefore granting them access to resources. As more governments and enterprises undergo digital transformation, adopt cloud-based technologies and embrace remote/hybrid work, the traditional perimeter-focused defenses are no longer sufficient to protect internal networks and data. This document provides information on Zero Trust (ZT) as a model to address the modern challenges of securing remote workers, protecting hybrid cloud environments and defending against cyber security  threats. 組織が情報システムを保護するために使用している従来のセキュリティモデルは、境界防御に焦点を当て、企業ネットワーク内の誰でも暗黙のうちに信頼し、したがってリソースへのアクセスを許可していた。多くの政府やエンタープライズがデジタル・トランスフォーメーションに取り組み、クラウドベースのテクノロジーを採用し、リモート/ハイブリッドワークを受け入れるようになると、従来の境界を重視した防御では、内部ネットワークとデータを保護するのに十分ではなくなった。本書では、リモートワーカーの保護、ハイブリッドクラウド環境の保護、サイバーセキュリティの脅威からの防御といった現代の課題に対処するモデルとして、ゼロトラスト(ZT)に関する情報を提供する。
What is Zero Trust? ゼロトラストとは?
The term “Zero Trust” (ZT) does not apply to a single product, technology, or architecture layer. Rather, it represents a security framework for protecting infrastructure and data. ZT’s central tenet is that no subject (application, user, or device) in an information system is trusted by default. Trust must be re-assessed and verified every time a subject requests access to a new resource. The degree of access provided is dynamically adjusted based on the level of trust established with the subject. ZT involves adopting a new mindset to security by always assuming a breach and focusing on resource protection (e.g. services and data). With an ever -changing technology landscape and more sophisticated and persistent cyber threats, the ZT security model can help organizations to significantly improve their cyber defenses. 「ゼロトラスト」(ZT)という用語は、単一の製品、技術、またはアーキテクチャ層に適用されるものではない。むしろ、インフラとデータを保護するためのセキュリティフレームワークを表している。ゼロトラストの中心的な考え方は、情報システム内のいかなる主体(アプリケーション、ユーザー、デバイス)も、デフォルトでは信頼されないということである。信頼は、対象者が新しいリソースへのアクセスを要求するたびに、再評価され検証されなければならない。提供されるアクセスの程度は、対象者との間で確立された信頼度に基づいて動的に調整される。ゼロトラストでは、常に侵害を想定し、リソース(サービスやデータなど)の保護に重点を置くことで、セキュリティに対する新しい考え方を採用する。テクノロジーの状況が刻々と変化し、サイバー脅威がより巧妙かつ持続的になる中、ゼロトラスト・セキュリティモデルは、組織のサイバー防御を大幅に向上させるのに役立つと考えられている。
The Government of Canada (GC) is working on developing a ZT Security Framework that is based on the CISA model and the National Institute of Standards and Technology’s (NIST) special publication. The framework includes ZT concepts and components that can be leveraged by departments and agencies to improve the GC’s overall security posture. カナダ政府(GC)は、CISA モデルと米国国立標準技術研究所(NIST)の特別出版物に基づく ゼロトラスト・セキュリティフレームワークの開発に取り組んでいる。このフレームワークには、GCの全体的なセキュリティ体制を向上させるために、各省庁が活用できるゼロトラストの概念とコンポーネントが含まれている。
"Never trust, always verify" 決して信用せず、常に検証する
CISA Zero Trust Maturity Model CISA ゼロトラスト成熟度モデル
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) proposes a ZT model that consists of five pillars and three capabilities. This model is designed to provide organizations with a roadmap and resources to achieve an optimal zero trust environment over time. 米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、5つの柱と3つの能力からなるZTモデルを提唱している。このモデルは、最適なゼロトラスト環境を時間をかけて実現するためのロードマップとリソースを組織に提供することを目的としている。
Foundation of Zero Trust ゼロトラストの基盤
Fig1_20221212033401
Long description - Foundations of Zero Trust ゼロトラストの基盤
The image depicts the Zero Trust Maturity Model proposed by the U.S Cybersecurity and Infrastructure Security Agency (CISA). The model for the foundation of zero trust consists of five pillars – Identity, Device, Network/Environment, Application workload and Data. At the base of the model are three capabilities – Visibility and Analytics, Automation and Orchestration, and Governance. 画像は、米国CISAが提唱する「ゼロトラスト成熟度モデル」を描いたものである。ゼロトラストの基礎となるモデルは、「アイデンティティ」「デバイス」「ネットワーク/環境」「アプリケーションのワークロード」「データ」の5つの柱で構成されている。モデルのベースとなるのは、「可視化と分析」「自動化とオーケストレーション」「ガバナンス」の3つの能力である。
Identity. Use phishing -resistant multifactor authentication  (MFA) and continuously validate users and entities throughout their interactions with services or data. Use enterprise-managed identities for both on-premises and cloud environments. Implement least privilege  access. アイデンティティ:フィッシングに強い多要素認証(MFA)を使用し、サービスやデータとのやり取りを通じてユーザーとエンティティの検証を継続的に行いる。オンプレミス環境とクラウド環境の両方で、エンタープライズ管理されたアイデンティティを使用する。最小権限アクセスを導入する。
Device. Establish baseline device security protections. Continuously monitor and validate device security. Use machine learning analytics to make access control  decisions for services and data. Conduct regular inventory of devices. デバイス:デバイスのセキュリティ保護に関する基本方針を確立する。デバイス・セキュリティの継続的な監視と検証を行う。サービスやデータへのアクセス制御を決定するために、機械学習分析を使用する。デバイスの定期的なインベントリを実施する。
Network/Environment. Utilize micro-segmentation to isolate critical data from other data. Control privileged network access, manage data flows (internal and external) and encrypt all traffic and connections. ネットワーク/環境:マイクロセグメンテーションを活用し、重要なデータを他のデータから分離する。特権的なネットワークアクセスを制御し、データの流れ(内部および外部)を管理し、すべてのトラフィックと接続を暗号化する。
Application workload. Continuously authorize access to applications. Strongly integrate threat protections into application workflows. Integrate application security testing throughout the development and deployment process. アプリケーションのワークロード:アプリケーションへのアクセスを継続的に認証する。アプリケーションのワークフローに脅威防御を強力に統合する。開発・導入プロセス全体を通じてアプリケーションのセキュリティテストを実施する。
Data. Protect data on devices, in applications and in networks. Inventory, categorize and label data, and deploy mechanisms to detect data exfiltration . Encrypt all data at rest or in transit (in cloud or remote environments). データ:デバイス、アプリケーション、ネットワーク上のデータを保護する。データのインベントリ化、分類、ラベル付けを行い、データの流出を検出する仕組みを導入する。クラウドやリモート環境において、保存時または転送時のすべてのデータを暗号化する。
Visibility and analytics. Utilize tools like advanced security analytics platforms, and security user behaviour analytics to observe and analyze real-time user behaviour, service and device health. Log and analyze all access events for suspicious behaviours. 可視化と分析:高度なセキュリティ分析プラットフォームやセキュリティユーザ行動分析などのツールを活用し、ユーザの行動、サービス、デバイスの健全性をリアルタイムで観察・分析する。すべてのアクセスイベントをログに記録し、不審な行動がないか分析する。
Automation and orchestration. Automate security and network operational processes by managing functions between all the security systems and applications. Implement just-in-time and just-enough access controls. Automatically enforce strict access controls for high-value data. 自動化とオーケストレーション:すべてのセキュリティ・システムとアプリケーション間の機能を管理することにより、セキュリティとネットワークの運用プロセスを自動化する。ジャストインタイム、ジャストエネスティアクセスコントロールの実現 高価値のデータに対して、厳格なアクセス制御を自動的に実施する。
Governance. Automate enforcement of data protections required by policy. Use automated discovery of networks, devices and services with manual or dynamic authorization  and automated remediation of unauthorized entities. ガバナンス:ポリシーに基づくデータ保護の実施を自動化する。ネットワーク、デバイス、サービスの自動検出と、手動または動的な承認、および未承認エンティティの自動修復を使用する。
What are the benefits with ZT? ゼロトラストの利点は何か?
While there is no perfect security strategy and some form of cyber threats will always exist, ZT is an effective approach to increase an organization’s cyber security posture for today's digital transformation. Some of the benefits of ZT includes: 完璧なセキュリティ戦略は存在せず、何らかのサイバー脅威は常に存在するが、ゼロトラストは今日のデジタルトランスフォーメーションのために組織のサイバーセキュリティ態勢を強化するための効果的なアプローチである。ゼロトラストの利点には、以下のようなものがある。
Increases network security. Every digital interaction (e.g user connecting to an application) is verified and authorized continuously to ensure conditional requirements of an organization's security policies are met. Coupled with network segmentation and strong user and device authentication, this will improve overall network security. ネットワークセキュリティの強化:すべてのデジタル操作(ユーザーがアプリケーションに接続するなど)は、継続的に検証・承認され、組織のセキュリティポリシーの条件要件が満たされていることが確認される。ネットワークのセグメンテーション、強力なユーザーおよびデバイス認証と組み合わせることで、ネットワーク全体のセキュリティを向上させることができる。
Reduces impact from data breach. Smaller trust zones mean cyber threat actors need to be authenticated and authorized to a new security boundary each time they access a different resource. This would limit their lateral movement across the network and reduce potential harm from a data breach. データ漏洩による影響を軽減する:信頼区間が狭いということは、サイバー脅威者が異なるリソースにアクセスするたびに、新たなセキュリティ境界で認証・認可を受ける必要があることを意味する。これにより、ネットワーク上での横方向の動きが制限され、データ流出による潜在的な被害が軽減される。
Improves data protection. ZT leverages technologies such as strong encryption, VPNs and data loss prevention capabilities to protect all data at rest or in motion. データ保護を向上させる:ゼロトラストは、強力な暗号化、VPN、データ損失防止機能などの技術を活用し、静止状態または移動中のすべてのデータを保護する。
Achieves continuous compliance. By improving visibility of who, what, and where, ZT enables network operators to more closely log behavior and activities to verify compliance to policies. 継続的なコンプライアンスを実現する:ゼロトラストは、誰が、何を、どこで行ったかの可視性を向上させることで、ネットワーク事業者がより詳細に行動やアクティビティを記録し、ポリシーへの準拠を確認することを可能にする。
Improve visibility, detection and response. Automatic logging and monitoring of cyber related events from user devices and services gives an overall real-time view of the environment. Analytics improves visibility for network operators to develop proactive security measures before incidents occur or to quickly respond to threats. 可視化、検知、対応の改善:ユーザーデバイスやサービスからのサイバー関連イベントの自動ログ収集と監視により、環境全体をリアルタイムに把握することができる。アナリティクスによって可視性が向上するため、ネットワーク事業者は、インシデントが発生する前に予防的なセキュリティ対策を策定したり、脅威に迅速に対応したりすることができる。
Enables modernization of the workforce with a secure solution. ZT enables new ways of working by securely connecting users, devices, applications and services over any network (on-premises, public cloud or hybrid environment) using identity-based validation policies. 安全なソリューションでワークフォースの近代化を可能にする:ゼロトラストは、IDベースの検証ポリシーを使用して、あらゆるネットワーク(オンプレミス、パブリッククラウド、ハイブリッド環境)上でユーザー、デバイス、アプリケーション、サービスを安全に接続することにより、新しい働き方を可能にする。
What are the challenges with ZT? ゼロトラストの課題は何か?
Organizations looking to improve their security posture with ZT will need to consider some challenges they may face which include: ゼロトラストを利用してセキュリティ体制を改善しようとする組織は、以下のような課題を考慮する必要がある。
Increased time and effort to strongly authenticate every user and device using two factor authentication. Significant technical and administrative work across organizations is needed to define and implement detailed attributes of every user and resource to support trust/access decisions. 二要素認証を使用して、すべてのユーザーとデバイスを強力に認証するための時間と労力が増加する。信頼性/アクセスに関する決定をサポートするために、すべてのユーザーとリソースの詳細な属性を定義し、実装するために、組織全体でかなりの技術的および管理的作業が必要になる。
Increased organizational focus and commitment will be needed over multiple years which could make ZT difficult to achieve. ZT affects multiple levels of infrastructure and operations, all of which require tight coordination to succeed. 複数年にわたる組織的な取り組みが必要であり、その結果、ゼロトラストの実現が困難になる可能性がある。ZTは複数のレベルのインフラと運用に影響するため、成功させるためには緊密な連携が必要となる。
Increased chance of being locked into a long-term commitment with cloud providers’ proprietary systems. Organizations with multi-cloud solutions may encounter such challenges since ZT is a framework and not an industry standard. Partnership with commercial cloud providers is key to properly understand the organization’s business and security objectives in order to select the appropriate solution. クラウドプロバイダーの独自システムに長期的に拘束される可能性が高くなる。 ゼロトラストはフレームワークであり、業界標準ではないため、マルチクラウドを導入している企業は、このような課題に直面する可能性がある。適切なソリューションを選択するためには、組織のビジネスとセキュリティの目標を正しく理解するために、商用クラウドプロバイダーとの連携が重要である。
How to transition to a ZT security model? ゼロトラスト・セキュリティ・モデルに移行するには?
To improve your organization’s cyber security posture consider implementing the following steps as a starting point in your transition towards ZT: 組織のサイバーセキュリティ体制を向上させるには、ゼロトラストへの移行の出発点として、次のステップの実施を検討すること。
Enforce strong MFA. Aim for Level of Assurance (LoA) 3. Check out our publication for more details on User authentication guidance for information technology systems (ITSP.30.031 v3).  強力なMFAを実施する。 情報技術システムのためのユーザー認証ガイダンス(ITSP.30.031 v3)の詳細については、当局の出版物を参照すること。
Grant access based on user and device information and not only logical location. Use multiple data points (e.g identity, location, device health, resource, data classification, and anomalies) to make security decisions.  論理的な位置だけでなく、ユーザとデバイスの情報に基づいてアクセスを許可する。複数のデータポイント(ID、位置情報、デバイスの状態、リソース、データの分類、異常など)を使用して、セキュリティの決定を行う。
Employ just-in-time (JIT) and just-enough access (JEA) risk-based adaptive policies to implement least privilege access.  適時(JIT)および本当に必要なだけのアクセス(JEA):リスクベースの適応型ポリシーを採用し、最小権限アクセスを実現する。
Use dedicated devices, Privileged Access Workstations (PAW) and Secured Admin Workstations (SAW) to separate sensitive tasks and accounts from non-administrative computer uses, such as email and web browsing.  専用デバイス、特権アクセスワークステーション(PAW)、保護された管理者ワークステーション(SAW)を使用して、機密性の高いタスクやアカウントを、電子メールやWebブラウジングなどの管理者以外のコンピュータ使用から切り離する。
Learn more about ZT architecture, frameworks and guidelines: ゼロトラストのアーキテクチャ、フレームワーク、ガイドラインの詳細については、こちらを参照。
NIST SP 800-207: Zero Trust Architecture NIST SP 800-207: ゼロトラスト・アーキテクチャ
NIST SP 1800-35: Implementing a Zero Trust Architecture (preliminary draft) NIST SP 1800-35: ゼロトラスト・アーキテクチャの実装(初期ドラフト)
CISA’s Zero Trust Maturity Model CISA ゼロトラスト成熟度モデル
National Cyber Security Centre—UK, "Zero trust architecture design principles" 英国国立サイバーセキュリティセンター:ゼロトラストアーキテクチャ設計原則
Australian Cyber Security Centre Australia&nbps;- Essential Eight Maturity Model オーストラリア・サイバーセキュリティセンター:オーストラリアの基本的8つの成熟度モデル

 

・[PDF] Zero Trust security model

20221212-33157




 

まるちゃんの情報セキュリティきまぐれ日記

・2022.11.30 米国 国防総省 ゼロトラスト戦略とロードマップ (2022.11.07)

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.13 IPA ゼロトラスト移行のすゝめ (IPA 産業サイバーセキュリティセンター 中核人材育成プログラム 5期生 ゼロトラストプロジェクト)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド

・2022.04.19 Cloud Security Alliance ソフトウェア定義境界 (SDP) とドメインネームシステム (DNS) の統合:強化されたゼロトラストポリシーの適用 (2022.04.12)

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2021.10.29 Cloud Security Alliance: ゼロトラスト・アーキテクチャーに向けて

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.07.27 NISTのNCCoEがゼロトラスト・アーキテクチャ・プロジェクトの実装に参加する18社を指名していますね。。。

・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

・2021.06.29 ゼロトラスト指南書 IPA 産業サイバーセキュリティセンター 中核人材育成プログラム 4期生 ゼロトラストプロジェクト

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.04.19 複式簿記・会計システムとゼロトラスト・アーキテクチャ、そして収斂進化

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.05.28 CSAがソフトウェア定義の境界(SDP)を使用してゼロトラストを実装する方法に関する報告書を公開していますね。。。

 

| | Comments (0)

2022.12.11

英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

こんにちは、丸山満彦です。

英国は、昨年 (2021.11.24) に、スマートフォン、スマート◯◯◯といった、インターネットに接続する製品(PCは対象外)について

  1. 安易なデフォルトパスワードの禁止
  2. 脆弱性開示ポリシーの義務付け
  3. セキュリティアップデートを受ける期間に関する情報開示の義務付け

を要求する製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案を提出していましたが、、、

成立 (2022.12.06) したようですね。。。

メーカーだけでなく、輸入業者も対象のようです。。。

具体的な内容は法律には書いていないので、これは政令待ちですかね。。。

違反者には、最高1000万ポンドまたは世界売上の4%の罰金が課されるという感じですね。。。

施行までに12ヶ月の猶予があるようです。

日本で言えば「技適」、欧州で言えば「サイバーレジリエンス法」と同じような内容ですが、違う部分もあるので、いずれにせよ具体的な規制が見えてきたら検討は必要でしょうね。。。

 

U.K. Parliament

・2022.12.06 Product Security and Telecommunications Infrastructure Act 2022

 

法文はこちら。。。

U.K. Legislation

Product Security and Telecommunications Infrastructure Act 2022

 

1_20230125052501・[DOCX] 機械仮対訳

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

サイバーレジリエンス法案

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

 

| | Comments (0)

日英デジタルパートナーシップ - デジタル・メディア・スポーツ省、総務省、経済産業省、デジタル庁 - (2022.12.07)

こんにちは、丸山満彦です。

英国のデジタル・メディア・スポーツ省と、日本の総務省、経済産業省、デジタル庁が、日英デジタルパートナーシップを立ち上げたと発表していますね。。。

「2019 年の日英共同声明、2020 年の包括的経済連携協定(CEPA)及び 2022 年5月4日のデジタル分野における協力を深化させるために日英関係省庁で発表した日英共同のコミットメントに示された、日英関係省庁の現存する深遠で歴史的なパートナーシップを基礎とする」もので、

「日英関係省庁が共同してその市民、企業及び経済のために具体的なデジタル政策の成果を提供するための戦略的枠組みとしての役割を果たす」とのことです。。。

ただ、このパートナーシップは、「法的拘束力のある義務を構成又は創設するものではなく、また、法的拘束力のある義務を構成又は創設することを意図したものではない」ということですね。。。(この手の取り交わしによくある話ですが。。。)

そして、初期重点分野として、次の4つの柱に取り組む。

  1. デジタルインフラ及び技術
  2. データ
  3. デジタル規制及び標準
  4. デジタルトランスフォーメーション

ということです。。。

1. デジタルインフラ及び技術 ベンダ多様化
サイバーレジリエンスの向上
半導体
AI
2. データ  
3. デジタル規制及び標準 オンラインセーフティ
デジタル市場
デジタル技術標準
インターネットガバナンス
4. デジタルトランスフォーメーション デジタル政府の変⾰:
デジタル技術の恩恵を社会の隅々まで⾏き届かせる
デジタル ID

 

サイバー的な要素は、サイバーレジリエンスの向上の部分ですね。。。

 


サイバーレジリエンスの向上

a. サイバーレジリエンスとは、組織がサイバー攻撃やセキュリティ侵害に備え、それに対応し、それから回復する能力である。サイバーレジリエンスは、経済の成長と繁栄とともに、事業の強靭性と事業継続の鍵である。

b. サイバー空間における脅威のさらなる複雑化に対処するため、日英関係省庁は、二国間で、国際標準化団体において及びサイバーセキュリティ問題に関連する多国間の場において協力することにより、その解決を追求する。また、日本の「Society 5.0」構想及び「サイバーセキュリティ戦略」並びに英国の「ナショナル・サイバー戦略」においてそれぞれ想定される、より強靭性のあるサイバー環境の実現を確保する。これらの目標を達成するため、日英関係省庁は、関係する多面的な組織及び部門の間の緊密な協力を通じて、以下のようなイニシアティブを推進する。

i. セキュア・バイ・デザイン: IoT 製品のセキュリティ及びアプリのセキュリティ及びプライバシーの改善。これには、ISO 及びその他の関連する標準化団体における IoT セキュリティ基準及びガイドラインのための情報共有及び標準化活動を促進するための協力を含む。

ii. サイバーレジリエンスの強化。これには、民間部門のサイバーセキュリティを改善するためのインセンティブ及び規制に関するベストプラクティスの交換が含まれる。

iii. サイバースキルの構築及びサイバーのプロフェッショナル育成。

iv. 国民、企業及び地域社会を保護するためのコネクテッド・プレイス/スマートシティのサイバーレジリエンスを促進するための情報共有。

v. デジタル・サプライ・チェーンの強化:デジタル・サービス・プロバイダ(「システム・インテグレータ」)及びセキュアでないソフトウェアに関連するサイバーセキュリティ・リスクへの対処

vi. データセンター及びクラウドを含むデータ・インフラストラクチャのセキュリティ及び強靭性の確保




● U.K. Government - Business and industry - Media and communications - Communications and telecomms

・2022.12.07 UK-Japan Digital Partnership

 

 

総務省

・2022.12.07 日英デジタルパートナーシップの立ち上げ


【関連資料】
 日英デジタルパートナーシップ(Japan-UK Digital Partnership)
  (別添)【原文】/【仮訳】
 
【関係報道資料】
 日英デジタル・グループ会合(第1回)の結果(令和4年10月7日)
 https://www.soumu.go.jp/menu_news/s-news/01tsushin08_02000141.html
 日英デジタル・グループの立ち上げ (令和4年5月4日)
 https://www.soumu.go.jp/menu_news/s-news/01tsushin08_02000135.html




経済産業省

・2022.12.07 日英デジタルパートナーシップを立ち上げました


関連資料

関連リンク


 

デジタル庁

・2022.12.07 日英デジタルパートナーシップを立ち上げました


関連資料


 

 

1_20221210233001

 

 

| | Comments (0)

2022.12.10

英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

こんにちは、丸山満彦です。

英国政府のデジタル・文化・メディア・スポーツ省にあるデータ倫理・イノベーションセンターが、「業界温度チェック:AI保証の障壁と実現要因」という報告書を公表しています。業界として選ばれたのは、「人事・採用」、「金融」、「コネクテッドカー・自動運転車 (CAV)」です。。。

知識・スキルの不足」、「需要不足」というのが、共通して大きな障害という感じですかね。。。

 

● U.K. Government - Department for Digital, Culture, Media & Sport - Centre for Data Ethics and Innovation

・2022.12.08 Industry temperature check: barriers and enablers to AI assurance

目次...

1.Overview 1.概要
2.General findings: Key themes 2.一般的な調査結果 主要テーマ
3.General findings: Barriers to AI assurance 3.一般的な調査結果 AI保証の障壁
4.General findings: Interventions 4.主な調査結果 介入策
5.Sector-specific findings: Overview 5.分野別所見 概要
6.Summary view across sectors 6.部門別のまとめ
7.HR and recruitment: Overview 7.人事・採用:概要
8.HR and recruitment: Barriers to AI assurance 8.人事・採用:AI保証のための障壁
9.HR and recruitment: Interventions 9.人事・採用:介入
10.Finance: Overview 10.財務:概要
11.Finance: Barriers to AI assurance 11.財務:AI保証のための障壁
12.Finance: Interventions 12.財務:介入
13.Connected and automated vehicles (CAV): Overview 13.コネクテッドカー・自動運転車 (CAV):概要
14.Connected and automated vehicles (CAV): Barriers to AI assurance 14.コネクテッドカー・自動運転車 (CAV): AI保証のための障壁
15.Connected and Automated Vehicles (CAV): Interventions 15.コネクテッドカー・自動運転車 (CAV): 介入
16.Looking towards the future 16.将来に向けて
17.Methodology 17.方法論

 

概要...

1. Overview 1. 概要
AI assurance - mechanisms to assess and communicate reliable evidence about the trustworthiness of AI systems - has an important role to play in helping to achieve the government’s ambitions for a risk based, pro-growth approach to AI governance, as set out in the National AI Strategy. Providing a toolbox of assurance mechanisms for use with AI - such as technical and governance standards, impact assessments, and possibly in the longer-term, certification - will enable greater adoption of AI and data-driven technologies, while supporting organisations to innovate responsibly. The Roadmap to an Effective AI Assurance Ecosystem, developed by the Centre for Data Ethics and Innovation (CDEI), sets out a path to building an effective and mature ecosystem of AI assurance services in the UK. AI保証(AIシステムの信頼性に関する信頼できる証拠を評価し伝達するメカニズム)は、国家AI戦略で示されたように、AIガバナンスに対するリスクベースの成長促進アプローチという政府の野心の達成を支援する重要な役割を担っている。技術基準やガバナンス基準、影響評価、そして長期的には認証など、AIで使用するための保証メカニズムのツールボックスを提供することは、AIやデータ駆動型技術の採用を拡大し、同時に組織が責任を持ってイノベーションを行うことを支援することになる。 データ倫理・イノベーションセンター(CDEI)が開発した「効果的なAI保証エコシステムへのロードマップ」は、英国におけるAI保証サービスの効果的で成熟したエコシステムを構築するための道筋を示している。
To support delivery of the Roadmap, the CDEI launched its AI Assurance Programme. In its first year, the focus of the programme has been to gain a better understanding of current levels of industry engagement with AI assurance, to best focus our efforts on areas with the highest potential for impact. このロードマップの実現を支援するため、CDEIはAI保証プログラムを立ち上げた。初年度のプログラムの焦点は、AI保証に対する業界の現在の取り組みレベルをより深く理解し、最も効果が期待できる分野に焦点を当てることにある。
Since the publication of the Roadmap, the CDEI has facilitated a series of events with stakeholders. Our Industry Temperature Check: Barriers and Enablers to AI Assurance summarises key findings from these activities, which included: a series of Ministerial roundtables, the CDEI x techUK AI assurance symposium, semi-structured interviews, and an online survey, reflecting the views of diverse stakeholders across sectors. ロードマップの発表以来、CDEIはステークホルダーとの一連のイベントを開催してきた。私たちの業界温度チェック。本書は、一連の閣僚級円卓会議、CDEI x techUK AI assuranceシンポジウム、半構造化インタビュー、オンライン調査など、セクターを超えた多様なステークホルダーの意見を反映したこれらの活動から得られた主要な結果を要約している。
In addition to this, we have chosen to examine in more detail three sectors that face distinct challenges from increased AI adoption: HR and recruitment, finance, and connected and automated vehicles (CAV). This is to ensure that we capture a breadth of concerns and incentives for implementing AI assurance across the economy. これに加えて、AI導入の拡大により明確な課題に直面する3つのセクターをより詳細に検討することにした。「人事・採用」「金融」「コネクテッドカー・自動運転車(CAV)」です。これは、経済全体でAI保証を実施するための懸念とインセンティブを幅広く捉えるためである。
This publication identifies industry barriers and enablers to engaging with AI assurance, to identify potential practical interventions to support increased uptake and adoption of AI assurance techniques and standards. The report is broken into four sections, the first focusing on cross-sectoral findings, with the following sections focusing on sector-specific findings from HR and recruitment, finance, and CAV. 本書は、AI保証に関与する業界の障壁と実現要因を特定し、AI保証の手法と標準の取り込みと採用の増加を支援するための実践的な介入の可能性を明らかにしている。本報告書は4つのセクションに分かれており、最初のセクションではセクター横断的な知見に焦点を当て、次のセクションでは人事・採用、金融、CAVのセクター固有の知見に焦点を当てている。
The findings illustrated in this paper will inform the continued development of the CDEI’s AI assurance Programme and inform our practical interventions to support the development of a thriving AI assurance ecosystem. 本論文で示された知見は、CDEIのAI保証プログラムの継続的な開発に情報を提供し、繁栄するAI保証エコシステムの開発を支援するための実践的な介入に情報を提供する。

 

一般的な発見事項:主要なテーマ

2. General findings: Key themes 2. 一般的な発見事項:主要なテーマ
Over the past year, the CDEI has engaged with AI developers, AI assurance service providers, and industry executives from startups, SMEs, and multinationals across a variety of sectors, to gauge familiarity and engagement with AI assurance and identify priority areas for supporting the development of a world-leading AI assurance ecosystem in the UK. This exercise has identified a number of key themes, outlined below: CDEIは、過去1年間にわたり、AI開発者、AI保証サービスプロバイダ、さまざまな分野の新興企業、中小企業、多国籍企業の業界幹部と関わり、AI保証に対する親近感と関与を測定し、英国における世界有数のAI保証エコシステムの開発を支援するための優先領域を特定した。この調査により、以下のような重要なテーマが特定された。
AI assurance as part of wider risk management より広範なリスクマネジメントの一環としてのAI保証
AI assurance was often contextualised by participants as an important element of a wider organisational risk management framework. Participants reported developing or expanding existing risk management frameworks to include AI-related risks. These include technical risks, which can be mitigated by modifications to model design or input data, and governance risks, which can be mitigated by changes to organisational policies or processes. AI保証は、参加者によって、より広範な組織のリスクマネジメントの枠組みの重要な要素であるという文脈で語られることが多い。参加者は、AI関連のリスクを含む既存のリスクマネジメントのフレームワークを開発または拡張していると報告している。これには、モデル設計や入力データの修正によって軽減できる技術的リスクや、組織のポリシーやプロセスの変更によって軽減できるガバナンスリスクが含まれる。
Industry support for a proportionate approach to assurance 保証のための比例アプローチに対する業界の支持
Participants emphasised that selecting an assurance technique to evaluate a system is dependent on the context in which the system is deployed. They noted that the appropriate technique may be determined by a range of factors, including lifecycle stage, risk category, risk level, sector, use case, and legal/regulatory requirements. Typically, participants supported a proportionate approach to assurance, in which low-risk sectors/use cases utilise less formal assurance techniques (e.g. impact assessment), while high risk industries/use cases utilise a combination of assurance techniques (e.g. impact assessment, as well as performance testing, conformity assessment and/or validation). 参加者は、システムを評価するための保証手法の選択は、そのシステムが展開される状況に依存することを強調した。適切な手法は、ライフサイクルステージ、リスクカテゴリー、リスクレベル、セクター、ユースケース、法的/規制上の要件など、様々な要因によって決定される可能性があることを指摘した。一般的に、参加者は、低リスクの分野/ユースケースはあまり正式でない保証手法(例:影響評価)を利用し、高リスクの業界/ユースケースは保証手法(例:影響評価に加え、性能試験、適合性評価及び/又はバリデーション)を組み合わせて利用する、保証の比例アプローチを支持した。
Industry desire for third-party certification/accreditation 第三者認証/認定に対する業界の要望
Many participants felt the use of third-party tools and services - including cloud-based and software-as-a-service (SaaS) assurance platforms - was preferable to using internal services, as they provide an impartial perspective. However, there are concerns around the consistency and robustness of third-party assurance services. Participants expressed a desire for certification or accreditation schemes as a means of recognising and demonstrating the credibility and quality of third-party assurance service providers. 多くの参加者は、クラウドベースやSaaS(Software-as-a-Service)保証プラットフォームなど、第三者のツールやサービスの利用は、公平な視点を提供するため、内部サービスの利用よりも望ましいと考えている。しかし、第三者による保証サービスの一貫性や堅牢性については懸念がある。参加者からは、第三者保証サービス提供者の信頼性と品質を認識・実証する手段として、認証や認定の仕組みを望む声が聞かれた。
Standards to support AI assurance techniques AIの保証技術をサポートする標準
Many participants referenced using standards developed by standards development organisations (SDOs) alongside other assurance techniques. Some adopted standards directly, while others used them as a point of reference for what they should be assuring for (e.g. explainability and robustness) and then developed their own methods for achieving these aims. Organisations which did not use technical standards reported that this is, in part, because the standards landscape is complex and difficult to navigate. 多くの参加者が、標準化団体(SDO)が開発した標準を他の保証手法と併用していることに言及している。標準を直接採用する場合もあれば、何を保証すべきかの基準(説明可能性や堅牢性など)として標準を使用し、その目的を達成するための独自の方法を開発する場合もありました。技術標準を使用しない組織は、標準の状況が複雑で進むのが困難であることが一因であると報告している。
Prevalence of impact assessments 影響評価の普及
The most frequently cited assurance techniques were impact assessments. Impact assessments pose questions to identify potential ethical and societal impacts of an AI system, and may focus on design and development processes, or wider organisational processes. Participants noted that impact assessments are often the initial stage of an assurance engagement, used to identify what additional measures may be required to assure the system. 最も頻繁に引用された保証手法は、影響評価であった。影響評価は、AIシステムの潜在的な倫理的・社会的影響を特定するための質問を投げかけ、設計・開発プロセスやより広範な組織的プロセスに焦点を当てることがある。参加者は、影響評価は保証業務の初期段階であることが多く、システムを保証するためにどのような追加措置が必要かを特定するために使用されると述べている。
Assurance creates competitive advantage 保証は競争優位を生み出す
There was a strongly held view among participants that AI assurance can provide organisations with ‘a competitive edge’, through building customer trust and managing reputational risk. On one hand, using assurance techniques to evaluate AI systems can build trust in consumer-facing AI systems by demonstrating adherence to ethical values (fairness, transparency etc.) and/or relevant regulation/legislation. On the other hand, using assurance techniques can also help identify and mitigate AI-related risks to manage reputational risks and avoid negative publicity. This helps to mitigate greater commercial risks, in which high-profile failures could lead to reduced customer trust and adoption of AI systems. 参加者の間では、AIによる保証は、顧客の信頼構築やレピュテーションリスクのマネジメントを通じて、企業に「競争優位性」をもたらすという意見が強く聞かれた。一方では、AIシステムの評価に保証技術を用いることで、倫理的価値(公平性、透明性など)や関連する規制・法律への準拠を実証し、消費者向けのAIシステムに対する信頼を構築することができる。一方、保証技術を使用することで、AI関連のリスクを特定・軽減し、レピュテーションリスクをマネジメントし、ネガティブな評判を回避することもできる。これは、知名度の高い失敗が顧客の信頼とAIシステムの採用の減少につながる可能性のある、より大きな商業的リスクを軽減するのに役立つ。
Regulatory compliance is a key driver of assurance 規制遵守は保証の重要な推進力
The need to comply with relevant existing and future regulation and legislation to demonstrate best practice and avoid penalties was identified by participants as a key driver of AI assurance, and is likely to drive both the adoption of existing assurance techniques as well as the development of new assurance techniques and standards. Organisations will need to comply with both existing legislation like the UK General Data Protection Regulation (UK GDPR) as well as anticipated future regulatory frameworks like the regime to be outlined in the UK’s forthcoming White Paper on AI Regulation. ベストプラクティスを実証し、罰則を回避するために、関連する既存および将来の規制や法律に準拠する必要性は、参加者によってAI保証の主要な推進力として認識されており、既存の保証技術の採用と新しい保証技術や標準の開発の両方を推進すると思われる。組織は、英国一般データ保護規則(英国GDPR)のような既存の法律と、英国が近々発表するAI規制白書で概説される体制のような将来予想される規制枠組みの両方に準拠する必要がある。
Participants were eager to understand how different assurance techniques could help organisations to demonstrate implementation and integration of the proposed regulatory principles set out in the UK Government’s July 2022 Establishing a pro-innovation approach to regulating AI paper, highlighting how regulation can also drive requirements for AI assurance. Participants were also mindful of the EU AI Act, which they anticipated is likely to mandate certain assurance activities such as risk management frameworks and conformity assessments, acting as a direct driver of AI assurance. 参加者は、英国政府が2022年7月に発表した「Establishing a pro-innovation approach to regulating AI paper」で示された規制原則案の実施と統合を実証するために、さまざまな保証技術がどのように役立つかを理解しようとしており、規制がAI保証の要件を推進することもできると強調している。また、参加者は、リスクマネジメントの枠組みや適合性評価など、特定の保証活動を義務付ける可能性が高いと予想されるEUのAI法にも留意しており、AI保証の直接的な推進力として作用しているようだ。

 

 

障壁とその説明...

Barrier type : Description 障壁の種類 : 説明
Workforce barriers : Lack of knowledge/skills: In many organisations that design and develop AI systems, staff either don't know what unique risks AI poses, or can identify these risks but don't have the skills or knowledge to effectively mitigate them. Alternatively, in organisations that procure AI systems, teams are often unaware that they may be required to monitor, prove or assess the performance of these systems over time. 人材に関する障壁:知識・スキルの不足。 AIシステムを設計・開発する多くの組織では、スタッフがAIがもたらす固有のリスクを知らないか、リスクを特定できてもそれを効果的に軽減するスキルや知識を持ち合わせていないかのどちらかである。また、AIシステムを調達している組織では、これらのシステムのパフォーマンスを長期にわたって監視、証明、評価することが求められる可能性があることを知らない場合が多いようである。 : 
Organisational barriers : Lack of buy-in from senior management teams: Many senior decision-makers (e.g. managing directors/partners) are often unaware of the concept of responsible AI, and as a result don't prioritise or fund measures to support the development of responsible systems. Participants noted the importance of making a strong business case for AI assurance, which can help senior leaders demonstrate return on investment (ROI) in responsible AI. 組織的な障壁:経営幹部からの支持の欠如。 多くの上級意思決定者(例:マネージング・ディレクターやパートナー)は、責任あるAIの概念を知らないことが多く、その結果、責任あるシステムの開発をサポートするための施策に優先順位をつけたり、資金を提供したりすることがない。参加者は、シニアリーダーが責任あるAIへの投資収益率(ROI)を実証するのに役立つ、AI保証のための強力なビジネスケースを作ることの重要性を指摘した。 : 
 Lack of resources: Lack of financial resources is a common barrier to AI assurance, specifically for the adoption of standards developed by standards development organisations (SDOs). Many SDO-developed standards are labour intensive and costly, requiring considerable time and effort to adopt. This is a particularly big barrier for small and medium-sized enterprises (SMEs), who typically have more limited resources to devote to responsible AI development. リソースの不足:リソースの不足は、AI保証、特に標準開発組織(SDO)が開発した標準の採用に対する共通の障壁である。SDOが開発した標準の多くは、労働集約的でコストが高く、採用にはかなりの時間と労力を必要とします。これは、責任あるAI開発に割くことのできるリソースが通常より限られている中小企業(SME)にとって、特に大きな障壁となる。
Operational/ market barriers : Lack of standardised/unified approach: Due to the newness of the AI assurance market, there is fragmentation and a lack of consistency across AI assurance service providers. For example, each provider may use different metrics and/or measurement techniques for assessing an AI system. This multitude of approaches makes it difficult for organisations to determine which assurance service provider or technique is best suited to assess their AI systems. 用/市場の障壁:標準化/統一されたアプローチの欠如。 AI保証市場の新しさにより、AI保証サービスプロバイダ間で断片化し、一貫性が欠けている。例えば、各プロバイダーは、AIシステムを評価するために、異なる測定基準や測定技術を使用することがあります。このような多様なアプローチにより、企業はどの保証サービスプロバイダや手法が自社のAIシステムの評価に最も適しているかを判断することが困難になっている。 : 
Governance barriers : Regulatory uncertainty: There is considerable hesitancy to invest resources in adopting assurance techniques or standards that may be irrelevant or incompatible with future regulatory requirements. There is a need for more clarity around which standards/assurance techniques may support compliance with future regulatory requirements. ガバナンスの障壁:規制の不確実性。 将来の規制要件と無関係または互換性がない可能性のある保証技術や標準を採用するためにリソースを投資することには、かなりのためらいがあります。将来の規制要件への準拠をサポートする規格や保証技術について、より明確にする必要がある。 : 

 

セクターごとの優先度...

★★★:高影響度、★★:中影響度、★:低影響度、?:評価なし

障壁 人事・採用 金融 CAV
知識・スキルの不足 ★★★ ★★★ ★★★
ガイダンスの不足 ★★ ★★
利用可能な保証手法の認識不足 ★★ ★★★
利用可能な規格の認識不足 ★★★ ★★
ベストプラクティスへの道しるべがない ★★★ ★★★
需要(社内外)の不足 ★★★ ★★ ★★★
適切な手法・規格を選択することが難しい ★★
標準にかかる金銭的コスト
国際的な相互運用性の欠如
規制の不確実性 ★★★
保証のための努力を認める仕組みの欠如 ★★★
標準化状況の複雑さ

 

・PDFなら。。。

・[PDF] Industry Temperature Check - Barriers and Enablers to AI Assurance

20221210-31405 

 

| | Comments (0)

NIST SP 800-160 Vol. 2 Rev. 1 サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

こんにちは、丸山満彦です。

SP 800-160 Vol. 2 Rev. 1 サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチが確定し、公表されていますね。。。

310ページあります...

基本的な言葉の定義...

Cyber Resiliency サイバー・レジリエンス
The ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on systems that use or are enabled by cyber resources. Cyber resiliency is intended to enable mission or business objectives that depend on cyber resources to be achieved in a contested cyber environment.  サイバー・リソースを使用する、またはサイバー・リソースによって可能になるシステム上の不利な条件、ストレス、攻撃、または侵害を予測し、それに耐え、そこから回復し、それに適応する能力。サイバー・レジリエンスは、競合するサイバー環境において、サイバー・リソースに依存するミッションまたはビジネスの目標を達成できるようにすることを意図している。
Note: Cyber resiliency can be a property of a system, network, service, system-of-systems, mission or business function, organization, critical infrastructure sector or sub-sector, region, or nation.  注:サイバー・レジリエンスは、システム、ネットワーク、サービス、システム・オブ・システム、ミッションまたはビジネス機能、組織、重要インフラ部門またはサブ部門、地域、または国家の特性であり得る。

 

cyber incident [CNSSI 4009]* サイバーインシデント
Actions taken through the use of an information system or network that result in an actual or potentially adverse effect on an information system, network, and/or the information residing therein. 情報システム、ネットワーク、および/またはそこに存在する情報に対して、実際の、または潜在的な悪影響をもたらす、情報システムまたはネットワークの使用を通じて行われる行為。

*:Committee on National Security Systems (2015) Committee on National

Security Systems (CNSS) Glossary. (National Security Agency, Fort George G.Meade, MD), CNSS Instruction 4009. https://www.cnss.gov/CNSS/issuances/Instructions.cfm

 

 

NIST - ITL

・2022.12.09 SP 800-160 Vol. 2 Rev. 1 Developing Cyber-Resilient Systems: A Systems Security Engineering Approach

SP 800-160 Vol. 2 Rev. 1 Developing Cyber-Resilient Systems: A Systems Security Engineering Approach SP 800-160 Vol.2 Rev.1 サイバー・レジリエンス・システムを開発する: システムセキュリティ工学のアプローチ
Abstract 概要
NIST Special Publication (SP) 800-160, Volume 2, focuses on cyber resiliency engineering—an emerging specialty systems engineering discipline applied in conjunction with systems security engineering and resilience engineering to develop survivable, trustworthy secure systems. Cyber resiliency engineering intends to architect, design, develop, implement, maintain, and sustain the trustworthiness of systems with the capability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises that use or are enabled by cyber resources. From a risk management perspective, cyber resiliency is intended to help reduce the mission, business, organizational, enterprise, or sector risk of depending on cyber resources. NIST特別刊行物(SP)800-160第2巻は、サイバーレジリエンス工学に焦点を当てている。これは、システムセキュリティ工学やレジリエンス工学と組み合わせて適用されるシステム工学の新たな専門分野であり、生存可能で信頼できる安全なシステムを開発するためのものである。サイバーレジリエンス工学は、サイバーリソースを使用する、またはサイバーリソースによって可能になる悪条件、ストレス、攻撃、侵害を予測し、それに耐え、回復し、適応する能力を持つシステムの信頼性を設計、設計、開発、実装、維持、維持することを意図している。リスクマネジメントの観点から、サイバーレジリエンスは、サイバーリソースに依存することによるミッション、ビジネス、組織、エンタープライズ、またはセクターのリスクを低減することを目的としている。
This publication can be used in conjunction with ISO/IEC/IEEE 15288:2015, Systems and software engineering—Systems life cycle processes; NIST Special Publication (SP) 800-160, Volume 1, Systems Security Engineering—Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems; NIST SP 800-37, Risk Management Framework for Information Systems and Organizations—A System Life Cycle Approach for Security and Privacy; and NIST SP 800-53, Security and Privacy Controls for Information Systems and Organizations. It can be viewed as a handbook for achieving the identified cyber resiliency outcomes based on a systems engineering perspective on system life cycle and risk management processes, allowing the experience and expertise of the implementing organization to help determine how the content will be used for its purpose. Organizations can select, adapt, and use some or all of the cyber resiliency constructs (i.e., goals, objectives, techniques, approaches, and design principles) described in this publication and apply the constructs to the technical, operational, and threat environments for which systems need to be engineered. 本書は、ISO/IEC/IEEE 15288:2015「システムおよびソフトウェアエンジニアリング-システムライフサイク ルプロセス」、NIST 特別刊行物(SP)800-160 第1巻「システムセキュリティ工学-信頼できる安全なシステムの工学における学際的アプ ローチのための考察」、NIST SP 800-37「情報システムおよび組織のためのリスクマネジメントフレームワーク-セキュリ ティおよびプライバシーのためのシステムライフサイクルアプローチ」、NIST SP 800-53「情報シス テムおよび組織のためのセキュリティおよびプライバシー管理」と併せて使用することができる。これは、システムライフサイクルとリスクマネジメントプロセスに関するシステムエンジニアリングの視点に基づき、特定されたサイバーレジリエンスの成果を達成するためのハンドブックと見なすことができ、実施組織の経験と専門知識が、この内容をどのように目的に使用するかを決定するのに役立つ。各組織は、本書で説明されているサイバー レジリエンスの構成要素(すなわち、目標、目的、技術、アプローチ、設計原則)の一部またはす べてを選択、適応、使用することができ、システムを設計する必要がある技術環境、運用環境、脅威 環境に構成要素を適用することができる。

 


EXECUTIVE SUMMARY  エグゼクティブサマリー
The goal of the NIST Systems Security Engineering initiative is to address security, safety, and resiliency issues from the perspective of stakeholder requirements and protection needs using established engineering processes to ensure that those requirements and needs are addressed across the entire system life cycle to develop more trustworthy systems.1 To that end, NIST Special Publication (SP) 800-160, Volume 2, focuses on cyber resiliency engineering—an emerging specialty systems engineering discipline applied in conjunction with resilience engineering and systems security engineering to develop more survivable, trustworthy systems. Cyber resiliency engineering intends to architect, design, develop, maintain, and sustain the trustworthiness of systems with the capability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises that use or are enabled by cyber resources. From a risk management perspective, cyber resiliency is intended to reduce the mission, business, organizational, or sector risk of depending on cyber resources.  NIST システムセキュリティ工学イニシアチブの目標は、より信頼できるシステムを開発するために、確立された工学プロセスを用いて、利害関係者の要求と保護ニーズの観点からセキュリティ、安全性、および回復力の問題に取り組み、これらの要求とニーズがシステムのライフサイクル全体にわたって対処されるようにすることである。サイバーレジリエンス工学は、サイバーリソースを使用する、またはサイバーリソースによって可能になる悪条件、ストレス、攻撃、侵害を予測し、それに耐え、回復し、適応する能力を持つシステムの信頼性を設計、設計、開発、維持、維持することを意図している。リスクマネジメントの観点から、サイバーレジリエンスは、サイバーリソースに依存することによるミッション、ビジネス、組織、またはセクターのリスクを低減することを意図している。
This publication can be used in conjunction with ISO/IEC/IEEE 15288:2015, Systems and software engineering—Systems life cycle processes; NIST SP 800-160, Volume 1, Systems Security Engineering—Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems; NIST SP 800-37, Risk Management Framework for Information Systems and Organizations—A System Life Cycle Approach for Security and Privacy; and NIST SP 800-53, Security and Privacy Controls for Information Systems and Organizations. The application of the concepts in this publication—in combination with the system life cycle processes in SP 800-160, Volume 1, and the risk management methodology in SP 800-37—can be viewed as a handbook for achieving cyber resiliency outcomes. Guided and informed by stakeholder protection needs, mission and business assurance needs, and stakeholder concerns with cost, schedule, and performance, the cyber resiliency constructs and analysis approach can be applied to critical systems to identify, prioritize, and implement solutions to meet the unique cyber resiliency needs of organizations.  本書は、ISO/IEC/IEEE 15288:2015「システムおよびソフトウェアエンジニアリング-システムライフサイク ルプロセス」、NIST SP 800-160「システムセキュリティ工学-信頼できる安全なシステムの工学における学際的 アプローチのための考察」、NIST SP 800-37「情報システムおよび組織のためのリスクマネジメントフレームワーク-セ キュリティおよびプライバシーのためのシステムライフサイクルアプローチ」、NIST SP 800-53「情報シス テムおよび組織のためのセキュリティおよびプライバシー管理」と併せて使用することができる。本書の概念を、SP 800-160 第1巻のシステム・ライフサイクル・プロセスおよび SP 800-37 のリスクマネジメント手法と組み合わせて適用することは、サイバーレジリエンスの成果を達成するためのハンドブックとみなすことができる。利害関係者の保護ニーズ、ミッションとビジネス保証のニーズ、およびコスト、スケジュール、パフォーマンスに関する利害関係者の懸念に導かれ、情報に基づき、サイバーレジリエンスの構成と分析アプローチを重要システムに適用することで、組織固有のサイバーレジリエンスニーズを満たすソリューションを特定し、優先順位を付け、実装することができる。
NIST SP 800-160, Volume 2, presents a cyber resiliency engineering framework to aid in understanding and applying cyber resiliency, a concept of use for the framework, and the engineering considerations for implementing cyber resiliency in the system life cycle. The framework constructs include goals, objectives, techniques, implementation approaches, and design principles. Organizations can select, adapt, and use some or all of the cyber resiliency constructs in this publication and apply the constructs to the technical, operational, and threat environments for which systems need to be engineered.  NIST SP 800-160 第2巻は、サイバーレジリエンスの理解と適用を支援するためのサイバーレジリエンス工学フレームワーク、フレームワークの使用概念、システムライフサイクルにおけるサイバーレジリエンスを実装するための工学的考慮事項を提示している。フレームワークの構成要素には、目標、目的、技術、実装アプローチ、設計原則が含まれる。組織は、本書のサイバーレジリエンスの構成要素の一部またはすべてを選択、適応、使用し、システムを設計する必要がある技術環境、運用環境、脅威環境に構成要素を適用することができる。
Building from the cyber resiliency engineering framework, this publication also identifies considerations for determining which cyber resiliency constructs are most relevant to a system of interest and a tailorable cyber resiliency analysis approach to apply the cyber resiliency concepts, constructs, and practices to a system. The cyber resiliency analysis is intended to determine whether the cyber resiliency properties and behaviors of a system of interest, wherever it is in the life cycle, are sufficient for the organization using that system to meet its mission assurance, business continuity, or other security requirements in a threat environment that includes the advanced persistent threat (APT). A cyber resiliency analysis is performed with the expectation that such analysis will support engineering and risk management decisions about the system of interest.  サイバーレジリエンス工学の枠組みから構築された本書は、どのサイバーレジリエンス構成要素が対象システムに最も関連するかを決定するための考慮事項、およびサイバーレジリエンスの概念、構成要素、および実践をシステムに適用するためのテーラーメイドのサイバーレジリエンス分析アプローチも明らかにしている。サイバーレジリエンス分析は、対象システムがライフサイクルのどの段階にあろうとも、そのシステムのサイバーレジリエンス特性や挙動が、そのシステムを使用する組織にとって、高度な永続的脅威(APT)を含む脅威環境において、ミッションの保証、ビジネス継続、またはその他のセキュリティ要件を満たすのに十分であるかどうかを判断することを意図している。サイバーレジリエンス分析は、そのような分析が対象システムに関するエンジニアリングとリスクマネジメントの決定を支援することを期待して実施される。
The cyber resiliency engineering framework is supplemented by several technical appendices that provide additional information to support its application, including:  サイバーレジリエンスエンジニアリングフレームワークは、その適用を支援するために、以下のような追加情報を提供するいくつかの技術的附属書によって補足されている: 
Background and contextual information on cyber resiliency  サイバーレジリエンスに関する背景と文脈情報 
Detailed descriptions of the individual cyber resiliency constructs (i.e., goals, objectives, techniques, implementation approaches, design principles) that are part of the cyber resiliency engineering framework  サイバーレジリエンス工学の枠組みの一部である個々のサイバーレジリエンス構成要素(すなわち、目標、目的、技法、実施アプローチ、設計原則)の詳細な説明 
Controls in [SP 800-53] that directly support cyber resiliency (including the questions used to determine if controls support cyber resiliency, the relevant controls, and cyber resiliency techniques and implementation approaches)  SP 800-53の中で、サイバーレジリエンスを直接的に支援する統制(統制がサイバーレジリエンスを支援しているかどうかを判断するために使用される質問、関連する統制、サイバーレジリエンスの技法及び実施アプローチを含む。
An approach for adversary-oriented analysis of a system and applications of cyber resiliency, a vocabulary to describe the current or potential effects of a set of mitigations, and a representative analysis of how cyber resiliency approaches and controls could mitigate adversary tactics, techniques, and procedures  システム及びサイバーレジリエンスのアプリケーションの敵対者指向の分析のためのアプローチ、一連の低減の現在又は潜在的な効果を記述するための語彙、及びサイバーレジリエンスアプローチ及び統制が敵対者の戦術、技術、及び手順をどのように緩和し得るかの代表者分析 
An analysis of the potential effects of cyber resiliency on adversary tactics, techniques, and procedures used to attack operational technologies (e.g., Industrial Control Systems)  運用技術(例えば、産業制御システム)を攻撃するために使用される敵の戦術、技術、手順に対するサイバー レジリエンスの潜在的効果の分析 
1 In the context of systems engineering, trustworthiness means being trusted to fulfill whatever critical requirements may be needed for a particular component, subsystem, system, network, application, mission, enterprise, or other entity. Trustworthiness requirements can include attributes of safety, security, reliability, dependability, performance, resilience, and survivability under a wide range of potential adversity in the form of disruptions, hazards, and threats [SP 800-160 v1].  1 システムエンジニアリングの文脈では、信頼性とは、特定のコンポーネント、サブシステム、システム、ネットワーク、アプリケーション、ミッション、エンタープライズ、またはその他の事業体にとって必要とされるあらゆる重要な要件を満たすことが信頼されることを意味する。信頼性の要件には、安全性、セキュリティ、信頼性、信頼性、性能、レジリエンス、およびディスラプション、ハザード、および脅威という形の幅広い潜在的な逆境下でのサバイバビリティの属性を含めることができる[SP 800-160 v1]。
目次...

CHAPTER ONE INTRODUCTION 第1章 序文
1.1 PURPOSE AND APPLICABILITY 1.1 目的と適用性
1.2 TARGETAUDIENCE 1.2 対象読者
1.3 HOWTOUSETHISPUBLICATION 1.3 出版の方法
1.4 PUBLICATION ORGANIZATION 1.4 出版物の構成
CHAPTER TWO THE FUNDAMENTALS 第2章 基礎知識
2.1 CYBERRESILIENCYENGINEERINGFRAMEWORK 2.1 サイバーレジリエンシー工学の枠組み
2.1.1 Cyber Resiliency Goals 2.1.1 サイバーレジリエンスの目標
2.1.2 Cyber Resiliency Objectives 2.1.2 サイバーレジリエンスの目的
2.1.3 Cyber Resiliency Techniques and Approaches 2.1.3 サイバーレジリエンスの技法とアプローチ
2.1.4 Cyber Resiliency Design Principles 2.1.4 サイバーレジリエンス設計原則
2.1.5 Relationship Among Cyber Resiliency Constructs 2.1.5 サイバーレジリエンス構成要素間の関係
2.2 CYBERRESILIENCY IN THE SYSTEM LIFECYCLE 2.2 システムライフサイクルにおけるサイバーレジリエンシー
2.3 RISKMANAGEMENT AND CYBERRESILIENCY 2.3 リスク管理とサイバーレジリエンシー
CHAPTER THREE CYBER RESILIENCY IN PRACTICE 第3章 実践におけるサイバーレジリエンス
3.1 SELECTING AND PRIORITIZING CYBER RESILIENCY CONSTRUCTS 3.1 サイバー回復力の構成要素の選択と優先順位付け
3.1.1 Achievement of Goals and Objectives 3.1.1 目標と目的の達成
3.1.2 Cyber Risk Management Strategy 3.1.2 サイバーリスクマネジメント戦略
3.1.3 System Type 3.1.3 システムタイプ
3.1.4 Cyber Resiliency Conflicts and Synergies 3.1.4 サイバーレジリエンスの競合と相乗効果
3.1.5 Other Disciplines and Existing Investments 3.1.5 他の分野と既存の投資
3.1.6 Architectural Locations 3.1.6 設置場所
3.1.7 Effects on Adversaries, Threats, and Risks 3.1.7 敵対者、脅威、リスクへの影響
3.1.8 Maturity and Potential Adoption 3.1.8 成熟度と採用の可能性
3.2 ANALYTIC PRACTICES AND PROCESSES 3.2 分析手法とプロセス
3.2.1 Understand the Context 3.2.1 コンテクストを理解する
3.2.2 Develop the Cyber Resiliency Baseline 3.2.2 サイバーレジリエンスベースラインの策定
3.2.3 Analyze the System 3.2.3 システムの分析
3.2.4 Define and Analyze Specific Alternatives 3.2.4 具体的な代替案の定義と分析
3.2.5 Develop Recommendations 3.2.5 提言を作成する
REFERENCES 参考文献
APPENDIX A GLOSSARY 附属書A 用語集
APPENDIX B ACRONYMS 附属書B 略語集
APPENDIX C BACKGROUND 附属書C 背景
C.1 DEFINING CYBER RESILIENCY C.1 サイバー回復力の定義
C.2 DISTINGUISHING CHARACTERISTICS OF CYBER RESILIENCY C.2 サイバーレジリエンスの特徴
C.3 RELATIONSHIP WITH OTHER SPECIALITY ENGINEERING DISCIPLINES C.3 他の専門工学分野との関係
C.4 RELATIONSHIP BETWEEN CYBER RESILIENCY AND RISK C.4 サイバー回復力とリスクの関係
APPENDIX D CYBER RESILIENCY CONSTRUCTS 附属書D サイバーレジリエンスの構成要素
D.1 CYBER RESILIENCY GOALS D.1 サイバーレジリエンシーの目標
D.2 CYBER RESILIENCY OBJECTIVES D.2 サイバー回復力の目標
D.3 CYBER RESILIENCY TECHNIQUES D.3 サイバー回復力のテクニック
D.4 CYBER RESILIENCY IMPLEMENTATION APPROACHES D.4 サイバーレジリエンスの実施アプローチ
D.5 CYBER RESILIENCY DESIGN PRINCIPLES D.5 サイバー回復力の設計原則
D.5.1 Strategic Design Principles D.5.1 戦略的設計原則
D.5.2 Structural Design Principles D.5.2 構造的設計原則
D.6 RELATIONSHIPS AMONG CYBER RESILIENCY CONSTRUCTS D.6 サイバーレジリエンスの構成要素間の関係
D.7 APPLICATION OF CYBER RESILIENCY CONSTRUCTS D.7 サイバー回復力の構成要素の適用
APPENDIX E CONTROLS SUPPORTING CYBER RESILIENCY 附属書 E サイバーレジリエンスを支える統制
APPENDIX F ADVERSARY-ORIENTED ANALYSIS 附属書 F 敵指向の分析
F.1 POTENTIAL EFFECTSON THREAT EVENTS F.1 脅威事象の潜在的影響
F.2 ANALYSIS OF POTENTIAL EFFECTS OF CYBERRESILIENCY F.2 サイバー回復力の潜在的影響の分析
F.2.1. Assumptions and Caveats F.2.1. 前提条件と注意点
F.2.2 Potential Uses of Analysis F.2.2 潜在的な分析の用途
F.2.3 Results of Analysis F.2.3 分析結果
F.2.4 Candidate Mitigations F.2.4 候補となる低減策
APPENDIX G OPERATIONAL TECHNOLOGIES 附属書G 運用技術
G.1 ANALYSIS APPROACH G.1 分析アプローチ
G.1.1 Assumptions and Caveats G.1.1 前提条件と注意事項
G.1.2 Analysis Process G.1.2 分析プロセス
G.2 ANALYSIS RESULTS G.2 分析結果

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.12.10 NIST SP 800-160 Vol. 2 Rev. 1 サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

・2022.11.20 NIST SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリング (2022.11.16)

・2022.06.10 NIST SP 800-160 Vol.1 Rev.1(ドラフト)信頼性の高いセキュアなシステムのエンジニアリング

・2022.01.21 NIST SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築 at 2022.01.11

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

・2020.04.27 NIST White Paper - Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)


 

 

Continue reading "NIST SP 800-160 Vol. 2 Rev. 1 サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ"

| | Comments (0)

経団連 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見

こんにちは、丸山満彦です。

経団連が、「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見を公表していますね。。。このガイドラインの策定のメンバーの一人ですが、、、貴重なご意見ありがとうございます!!!(^^)

 

日本経済団体連合会

・2022.12.06 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見


...「経団連サイバーセキュリティ経営宣言 2.0」(2022年10月11日改定)と軌を一にする内容であり、概ね賛同できる。そのうえで、下記4点について意見申し上げる。

1. グローバルな視点の追加

今次改定案では全編を通じて、「国境を越えたサイバーセキュリティリスク・対策」といった観点がやや希薄ではないか。「経団連サイバーセキュリティ経営宣言 2.0」にも現状認識を示しているとおり、取引先や海外子会社等のサプライチェーンを経由したサイバー攻撃が増加傾向にある中、サプライチェーン全体を俯瞰したサイバーセキュリティ対策の強化にあたっては、グローバルな視点を盛り込むことが不可欠ではないか。

2. 多様な経営リスクにおける位置づけの敷衍

「経営者が認識すべき3原則」の一つとして、「・・・サイバーセキュリティリスクを多様な経営リスクの中での一つとして位置づけ、・・・」(6頁)と記載されているが、企業が実行に移すにあたっては、例えば以下のように、より具体的に踏み込んだ内容とする必要があるのではないか。

  • どのような経営リスクと同列に扱うべきか(例:為替変動、天変地異、エネルギー価格高騰 等)
  • どのような粒度で判断すべきか(例:IT系・OT系を峻別して考えるべきか、ランサムウェアとDDoS攻撃を同列で扱うべきか 等)
  • 対策を推進する際に、経営者として何を判断すべきか(例:リソース配分の優先度 等)

ここまで踏み込んで記載したうえで、別途「手順・ツール」で具体的なツールを提示することによって、経営ガイドラインの実効性が高まるのではないか。

3. 「事業継続」に関する記述の追加

事業サイドと情報システム・セキュリティ担当者の間の日常のコミュニケーションが重要であるという認識を踏まえ、「経営者が認識すべき3原則」の(3)の記述(Ⅲ頁)を以下のとおり変更しては如何。

変更前:「・・・社内の関係者(CIO等セキュリティ担当者、事業担当責任者等)にサイバーセキュリティ対策に関する情報開示を行うことなどで・・・

変更後:「・・・社内の関係者(CIO等セキュリティ担当者、事業担当責任者等)にサイバーセキュリティ対策に関する情報開示や事業継続に関して定期的な検討を行うことなどで・・・

4. 「サイバー保険」に関する記述の追加

指示4および指示9にサイバー保険の活用を推奨する記載があるが、サイバー保険のカバー範囲が必ずしも被害の全体でないこと、国家レベルの攻撃の場合は戦争扱いとなり、被害に対する補償が支払われない可能性があることを注記する必要があるのではないか。


 

Keidanren

 


 

● まるちゃんの情報セキュリティきまぐれ日記

意見募集...

2022.10.27 経済産業省 サイバーセキュリティ経営ガイドライン Ver3.0(案)に対する意見募集

 

経団連の公表物...

2022.10.15 経団連サイバーセキュリティ経営宣言 2.0 (2022.10.11)

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

 

 サイバーセキュリティ経営ガイドライン関連...

・2022.06.16 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)

・2022.03.30 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2021.08.18 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版)

・2021.04.27 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)

・2021.04.06 IPA 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

・2020.09.30 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。

・2020.06.04 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2020.03.26 IPA サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版

 

 

| | Comments (0)

2022.12.09

世界経済フォーラム (WEF) 顔認識の責任ある制限のためのポリシーフレームワーク ユースケース:法執行機関の捜査 9つの原則 (2022.11)

こんにちは、丸山満彦です。

World Economic Forum(世界経済フォーラム)が、国連地域間犯罪・司法研究所 (UNICRI)、Interpolやオランダ警察等と協力をして、顔認識の責任ある制限のためのポリシーフレームワークに関する報告書を出していますね。。。

犯罪捜査において顔認識技術は、犯人逮捕につながる強力な武器となりますが、逆にそれ故、誤った判断をしてしまい犯人でない人を犯人と思い込んでしまい逮捕してしまったり、犯罪抑止の観点から常時監視のようなことになると、平穏な生活が脅かされることもあるので、慎重な活用が必要なのでしょうね。。。

この報告書には、原則と自己チェックリストがありますね。。。

日本でも議論は始まっていると思うので、参考にすると良いですね。。。

9つの原則...

1. Respect for human and fundamental rights 1. 人権及び基本的人権の尊重
2. Necessary and proportional use  2. 必要かつ比例した使用 
3. Human oversight and accountability  3. 人的監視と説明責任 
4. Optimization of system performance  4. システム性能の最適化 
5. Mitigation of error and bias 5. エラーとバイアスの軽減
6. Legitimacy of probe images and reference databases 6. 捜査画像と参照データベースの正当性
7. Integrity of images and metadata 7. 画像とメタデータの完全性
8. Skilled human interface and decision-making 8. 熟練したヒューマンインターフェースと意思決定
9. Transparency 9. 透明性

 

United Nations Interregional Crime and Justice Research Institute; UNICRI

・2022.11 A Policy Framework for Responsible Limits on Facial Recognition. Use Case: Law Enforcement Investigations - November 2022

A Policy Framework for Responsible Limits on Facial Recognition. Use Case: Law Enforcement Investigations - November 2022 顔認識の責任ある制限のためのポリシーフレームワーク ユースケース:法執行機関の捜査 (2022.11)
The World Economic Forum, in partnership with the International Criminal Police Organization (INTERPOL), the United Nations Interregional Crime and Justice Research Institute (UNICRI), and the Netherlands police, published A Policy Framework for Responsible Limits on Facial Recognition Technology, Use Case: Law Enforcement Investigations. 世界経済フォーラムは、次の団体と提携した。国際刑事警察機構(INTERPOL)、国連地域間犯罪・司法研究所(UNICRI)、オランダ警察と共同で、「A Policy Framework for Responsible Limits on Facial Recognition Technology, Use Case: 法執行機関の捜査
While the adoption of facial recognition technology (FRT) has many socially beneficial uses in various industries, it also creates a unique set of challenges that require an appropriate governance process to ensure its ethical and human rights compliant use. To address these challenges, the World Economic Forum and project community published its initial vision for a policy framework for the responsible use of FRT in law enforcement investigations in 2021. 顔認識技術(FRT)の採用は、様々な産業において社会的に有益な用途がある一方で、倫理的かつ人権を遵守した利用を確保するために適切なガバナンスプロセスを必要とする独自の課題も生じている。これらの課題に対処するため、世界経済フォーラムとプロジェクト・コミュニティは、2021年に法執行機関の捜査におけるFRTの責任ある使用のための政策的枠組みに関する最初のビジョンを発表した。
Following its launch, six law enforcement agencies undertook an exercise to pilot the policy framework in order to review and validate its utility and completeness. Drawing from the feedback and learnings of the pilots, the new insight report highlights key principles such as respect for human and fundamental rights, necessary and proportional use, mitigation of error and bias, and transparency. It also includes a self-assessment questionnaire used to support law enforcement agencies in effectively implementing these the proposed principles for responsible facial recognition use. Through a series of questions, it prompts agencies to reflect on their governance systems and their use of FRT in terms of the stated principles. その発表後、6つの法執行機関が、その有用性と完全性を検討・検証するために、政策フレームワークを試験的に導入するための演習を実施した。パイロット版のフィードバックと学習から、新しいインサイトレポートは、人権と基本的権利の尊重、必要かつ比例した使用、エラーとバイアスの軽減、透明性などの主要原則を強調している。また、責任ある顔認識利用のために提案されたこれらの原則を法執行機関が効果的に実施するのを支援するための自己評価アンケートも含まれている。一連の質問を通じて、各機関のガバナンスシステムと、記載された原則の観点からのFRTの使用について考察するよう促している。
“This report shows the depth and breadth of how the Forum is able to bring multiple stakeholders together to find solutions to the most difficult technological challenges of our time. We are delighted to have created a document which is already being adopted by others for their governance regimes and by our Partners in the work,” said Kay Firth-Butterfield, Head of AI and Machine Learning at the World Economic Forum. “Now we encourage others around the world to adopt regulations or best practices reflecting this work.” 世界経済フォーラムのAI・機械学習部門の責任者であるケイ・ファース・バターフィールドは、次のように述べている。「この報告書は、フォーラムがいかにして複数のステークホルダーを集め、現代の最も困難な技術的課題に対する解決策を見出すことができるかを示すものである。我々は、すでに他がそのガバナンス体制に採用し、我々のパートナーが作業に参加している文書を作成できたことを嬉しく思っている。今、我々は世界中の他の人々が、この作業を反映した規制やベストプラクティスを採用することを奨励する。」
The International Organization for Standardization – ISO/IEC JTC1 SC37 – is currently developing a standard titled “Biometric identification systems involving passive capture subjects.” The endeavour is intended to support the implementation of the proposed European Union (EU) AI Act. The standard will provide guidance and requirements for providers of biometric systems labelled as “high risks: in the draft EU AI Act and will include some of the recommendations from the framework on the responsible use of facial recognition technology for law enforcement investigations developed by the World Economic Forum, INTERPOL, UNICRI and the Netherlands Police. 国際標準化機構であるISO/IEC JTC1 SC37は、現在、"Biometric identification systems involving passive capture subjects "と題する規格を策定中である。この試みは、提案されている欧州連合(EU)のAI法の実施を支援することを意図している。この規格は、EUのAI法の草案で「高リスク」とされた生体認証システムのプロバイダーに対する指針と要件を提供し、世界経済フォーラム、インターポール、UNICRI、オランダ警察が開発した法執行捜査における顔認証技術の責任ある利用に関する枠組みからの勧告を一部含む予定である。
“We have co-designed this framework to serve as a unique reference to law enforcement in our 195 member countries on the responsible and transparent use of facial recognition”, said Cyril Gout, Director of Operational Support and Analysis, INTERPOL. “We will support its implementation through our global police network to increase awareness of this important biometric technology. More than 2,000 terrorists, criminals, fugitives, persons of interest or missing persons have been identified since the launch of INTERPOL’s facial recognition system in 2016.” INTERPOLの運用サポート・分析部門のディレクターであるCyril Goutは、次のように述べている。「我々は、顔認識の責任ある透明性のある使用に関して、195の加盟国の法執行機関に対して独自の参考資料となるようにこのフレームワークを共同設計した。この重要な生体認識技術に対する意識を高めるため、我々の世界的な警察ネットワークを通じて、その実施を支援する。2016年のINTERPOLの顔認識システムの開始以来、2,000人以上のテロリスト、犯罪者、逃亡者、要注意人物または行方不明者が特定されている。」
A total of six law enforcement agencies from five countries participated in the piloting the framework: the Brazilian Federal Police, the Central Directorate of the Judicial Police in France, the National Gendarmerie in France, the Netherlands Police, the New Zealand Police, and the Swedish Police Authority. These agencies deliberated upon the policy framework for four months before completing the self-assessment questionnaire and providing their feedback of its utility and completeness. フレームワークの試行には、ブラジル連邦警察、フランス司法警察中央長官、フランス国家憲兵隊、オランダ警察、ニュージーランド警察、スウェーデン警察庁の5カ国から合計6つの法執行機関が参加した。これらの機関は、自己評価アンケートに回答し、その有用性と完全性についてフィードバックを提供する前に、4ヶ月間政策フレームワークについて検討した。
“We are particularly proud of the policy framework for the use of facial recognition technology and are confident it will help law enforcement agencies to ensure their use of this technology respects fundamental and human rights. As it now goes out into the world, we and our partners in the Forum, INTERPOL and the Netherlands Police stand ready to support law enforcement agencies to implement its principles. This can also be a valuable resource for the general public and we encourage all those interested in, or concerned by, this technology to reflect on it.” said Irakli Beridze, Head, UNICRI Centre for Artificial Intelligence and Robotics. UNICRI人工知能・ロボットセンター長のIrakli Beridzeは、次のように述べた。「我々は、顔認識技術の使用に関する政策フレームワークを特に誇りに思っており、法執行機関がこの技術を使用する際に、基本的人権を尊重することを保証するのに役立つと確信している。我々は、フォーラム、インターポール、オランダ警察のパートナーとともに、法執行機関がその原則を実施するのを支援する用意がある。これは一般市民にとっても貴重なリソースとなり得るものであり、この技術に興味を持つ、あるいは関心を持つすべての人々がこの技術について考察することを奨励する。」
As the framework now enters the next phase of its lifecycle, the project team encourages those engaged in the global policy debate about the governance of facial recognition technology to join in these efforts and to promote the adoption and deployment of governance frameworks such as this. プロジェクトチームは、顔認識技術のガバナンスに関する世界的な政策論争に携わる人々が、こうした取り組みに参加し、このようなガバナンスフレームワークの採用や展開を促進するよう奨励している。

 

・[PDF] A Policy Framework for Responsible Limits on Facial Recognition Use Case: Law Enforcement Investigations

20221209-94605

 

目次...

Foreword まえがき
Introduction 序文
Methodology 方法論
1 Law enforcement investigations: use cases and definitions 1 法執行機関の調査:使用例と定義
2 Principles 2 原則
3 Self-assessment questionnaire 3 自己評価質問書
Conclusion まとめ
Glossary 用語解説
Contributors 協力者
Endnotes 巻末資料

 

原則...

Principles 原則
A global- and multistakeholder-developed set of principles for the responsible use of facial recognition technology for law enforcement investigations. 法執行機関の捜査のために顔認識技術を責任を持って使用するための、グローバルかつマルチステークホルダーが開発した一連の原則。
1. Respect for human and fundamental rights 1. 人権及び基本的人権の尊重
1.1 FRT should be used only as part of a lawful investigation, and always only as an investigative lead,  to support the identification of criminals/fugitives, missing persons, persons of interest and victims.  1.1 FRT は、犯罪者・逃亡者、行方不明者、参考人、被害者の特定を支援するため、合法的な捜査の一部としてのみ、また常に捜査上の手がかりとしてのみ使用されるべきである。
1.2 The rights provided for within the International Bill of Human Rights and other relevant human rights treaties and laws should always be respected, particularly the right to human dignity, the right to equality and non-discrimination, the right to privacy, the right to freedom of expression, association and peaceful assembly, the rights of the child and older persons, the rights of persons with disabilities, the rights of migrants, the rights of Indigenous people and minorities, and the rights of persons subjected to detention or imprisonment. The use of FRT by law enforcement for investigations should respect these rights and be necessary and proportionate to achieve legitimate policing aims. 1.2 国際人権規約及びその他の関連する人権条約・法律に規定される権利は、常に尊重されるべきであり、特に、人間の尊厳の権利、平等及び非差別の権利、プライバシーの権利、表現、結社及び平和的集会の自由の権利、児童及び高齢者の権利、障害者の権利、移民の権利、先住民及び少数者の権利並びに拘禁又は投獄を受ける者の権利が尊重されなければならない。捜査のための法執行機関による FRT の使用は、これらの権利を尊重し、正当な取り締まりの目的を達成するために必要かつ適切なものでなければならない。
1.3 Any restrictions or limitations to human rights are permissible under international human rights law only if they are necessary and proportionate to achieving a legitimate policing aim and are not applied in an arbitrary manner. These restrictions must be established in law and should correspond to the least intrusive means of pursuing such an aim. 1.3 人権に対するいかなる制限も、国際人権法の下では、正当な取り締まりの目的を達成するために必要かつ適切であり、恣意的に適用されない場合にのみ許される。これらの制限は法律で確立されなければならず、そのような目的を追求するための最も侵襲性の低い手段に対応するものでなければならない。
1.4 Law enforcement agencies should be subject to effective oversight by bodies with enforcement powers in accordance with national laws or policies. Among other things, these or other bodies should have the specific task of hearing and following complaints from citizens and assessing the compliance of law enforcement activities with human and fundamental rights.  1.4 法執行機関は、国内法または政策に従って、執行権限を有する機関による効果的な監視に服するべきである。特に、これらの機関または他の機関は、市民からの苦情を聞き、それに従い、法執行活動が人権および基本的権利を遵守しているかどうかを評価するという具体的な任務を有するべきである。
1.5 Law enforcement agencies should consider setting up an independent ethical oversight committee or assigning the responsibility to periodically review law enforcement officers’ use of FRT to a preexisting body, supporting them in achieving respect for human and fundamental rights. 1.5 法執行機関は、独立した倫理監視委員会の設置や、法執行者によるFRTの使用を定期的に審査する責任を既存の機関に委ね、人権および基本的権利の尊重を実現するための支援を行うことを検討する必要がある。
1.6 Individuals should have the right to an effective remedy before an independent and impartial tribunal set up by law against actions concerning the use of FRT.  1.6 個人は、FRTの使用に関する行為について、法律で定められた独立した公平な法廷において、効果的な救済を受ける権利を有するべきである。
2. Necessary and proportional use  2. 必要かつ比例した使用 
2.1 The decision to use FRT should always be guided by the objective of striking a fair balance between allowing law enforcement agencies to deploy the latest technologies, which are demonstrated to be accurate and safe, to safeguard individuals and society against security threats, and the necessity  to protect the human rights of individuals.  2.1 FRT の使用は、法執行機関が、個人及び社会を安全保障上の脅威から守るために、正確性 と安全性が実証された最新の技術を導入することと、個人の人権を守る必要性との間の公正なバランスをとるという目的から、常に導かれるべきものである。
2.2 Law enforcement agencies considering the use of FRT should always provide a documented and justified argument as to why FRT is the chosen option and why alternative options were not chosen.  2.2 FRT の使用を検討している法執行機関は、なぜ FRT が選択されたのか、なぜ代替の選択肢が選択されな かったのかについて、常に文書化された正当な論拠を提供しなければならない。
2.3 The use of FRT by law enforcement agencies, from the request to the use of the outcome of the search, should always be aimed at, and limited to, a single specific goal, necessarily related  to investigative purposes.  2.3 法執行機関による FRT の使用は、要請から捜査結果の使用に至るまで、常に捜査目的に必然的に 関連する単一の特定の目標を目的とし、かつそれに限定されるべきであり、FRT の使用は、法執行 機関によって行われる。
2.4 International, regional and national policies and/or laws should specify for which classes of crimes  or investigations the use of FRT by law enforcement agencies is acceptable and/or lawful.  2.4 国際的、地域的及び国内的な政策及び/又は法律は、法執行機関による FRT の使用がどの分類の犯罪又は捜査のために許容及び/又は合法であるかを規定すべきである。
2.5 Acknowledging the right to privacy and other human rights, the collection of images from public and publicly accessible spaces for FRT identification purposes should be done only for a determined list of use cases, in a limited area and for an established processing time period in accordance with relevant national laws or policies.  2.5 プライバシーの権利及びその他の人権を認識し、FRT 識別目的のための公共及び公的にアクセス可能な空間からの画像の収集は、関連する国内法又は政策に従って、決められた 使用事例のリストに対してのみ、限られた地域及び決められた処理期間において行われるべきである。
2.6 As a consequence of the additional risks involved in the use of real-time FRT, an independent authority responsible for oversight of law enforcement operations (such as the independent ethical oversight committee described in Principle 1.5) should be in charge of authorizing applications for its use and, if there is not enough time, it should be authorized through the chain of command. In such cases, the chain of command should inform the independent authority as soon as possible and not later than 24 hours after authorizing the use, justifying its decision to use real-time FRT and explaining why it considered there was insufficient time to seek its authorization in advance. Law enforcement should use the results of any real-time FRT search only to verify an individual’s identity and conduct additional verifications. All images captured during an operation involving the use of real-time FRT, both the original image and the biometric template, should be deleted from the system, according to the policies governing the storage of live images.  2.6 リアルタイム FRT の使用に伴う追加的なリスクの結果として、法執行業務の監督に責任を持つ独立した当局(原則 1.5 に記載されている独立した倫理監督委員会のような)が、その使用の申請を承認する責任を負うべきであり、十分な時間がない場合は、命令系統を通じて承認されるべきである。このような場合、指揮系統は、リアルタイム FRT を使用する決定を正当化し、なぜ事前に承認を求めるには時間が足りないと考えたかを説明した上で、使用を承認した後 24 時間以内に、できるだけ早く独立当局に通知すべきである。法執行機関は、個人の身元を確認し、追加の検証を行うためにのみ、リアルタイム FRT 検索の結果を使用するものとする。リアルタイム FRT の使用を含む操作中に捕捉されたすべての画像は、オリジナル画像と生体測定テンプレートの両方が、ライブ画像の保存を管理する方針に従って、システムから削除されるべきである。
2.7 FRT, and other face analysis technologies, should be used for no purpose other than biometric identification/recognition/verification. The use of FRT to infer ethnicity, gender, sex, age, emotion, opinion, health status, religion and sexual orientation, and the use of FRT for predictive analysis, should not be permitted.  2.7 FRT 及び他の顔分析技術は、生体識別/認識/検証以外の目的では使用されるべきではない。民族、性別、年齢、感情、意見、健康状態、宗教、性的指向を推測するための FRT の使用、および予測分析のための FRT の使用は、許可されるべきではない。
3. Human oversight and accountability  3. 人的監視と説明責任 
3.1 Lines of responsibility for the outcome of a given use of FRT should be well defined and transparent.  A law enforcement agency should never issue analysis and conclusions from FRT without interpretation by an examiner and oversight by a manager with the right expertise (with the unique exception described in Principle 2.6).  3.1 FRT を使用した結果に対する責任の所在は、明確に定義され、透明であるべきである。 法執行機関は、審査官による解釈と適切な専門知識を有する管理者による監督なしに、 FRT による分析と結論を決して発行すべきではない(原則 2.6 に記載された固有の例外を除く)。
3.2 The use of FRT should always be conducted by an individual trained as described in Principle 8 (with the exception of situations of emergency as presented in Principle 2.6). The skills of facial experts are critical and necessary to maintain the highest level of accuracy in the identification process.  3.2 FRT の使用は、常に原則 8 に記載された訓練を受けた個人によって実施されるべきである(原則 2.6 に示された緊急事態の例外を除く)。顔の専門家の技能は、識別プロセスにおいて最高レベルの精度を維持するために重要かつ必要である。
3.3 A peer review (blind verification or examination by a second expert) should systematically be performed before a result is communicated to the requesting investigation team. The result provided should be consensus-based or, in the event of a lack of consensus, the most conservative conclusion in terms of similarities observed should prevail.  3.3 ピアレビュー(第二の専門家によるブラインド検証又は検査)は、結果が依頼元の調査チームに通知される前に、体系的に実施されるべきである。提供される結果は、コンセンサスに基づくものであるべきであり、コンセンサスが得られない場合には、観察された類似性の観点から最も保守的な結論が優先されるべきものである。
3.4 The law enforcement agency should verify that a mechanism exists whereby citizens can file a complaint with or seek redress for any harms before a competent body designated by national authorities.  3.4 法執行機関は、市民が国家当局によって指定された管轄機関に苦情を申し立てたり、損害の救済を求めたりできる仕組みが存在することを確認する必要がある。
3.5 If an individual proposed by an FRT system as a potential candidate is subsequently taken into custody, brought in as a witness or assumes any other official role in a law enforcement process, that person should be informed that he/she was subject to a search using FRT, provided that this would not compromise the investigation. 3.5 FRT システムによって候補者として提案された個人が、その後拘留されたり、証人として連行されたり、法執行プロセスにおいて他の公的役割を担う場合、その人は、捜査を妨げない限り、 FRT を用いた捜査の対象となったことを知らされる必要がある。
4. Optimization of system performance  4. システム性能の最適化 
4.1 Law enforcement agencies should require vendors to follow FRT standards, such as those set by the International Organization for Standardization (ISO) and the European Committee for Standardization (CEN), to evaluate the performance of their algorithms at the design and deployment stages.  4.1 法執行機関は、国際標準化機構(ISO)や欧州標準化委員会(CEN)が定めた FRT 標準に準拠し、設計・導入段階でアルゴリズムの性能を評価するようベンダーに求めるべきである。
4.2 Law enforcement agencies should introduce a standardized procurement process in a transparent way, requiring vendors to comply with the above-mentioned standards and to submit their algorithms to large-scale independent audits/testing undertaken against appropriate test standards (lab tests and, if possible, field tests). After evaluating all candidates, agencies should select the provider who can demonstrate the best-performing algorithm. 4.2 法執行機関は、ベンダーに対し、上記の標準に準拠し、適切な試験基準(ラボ試験、可能であれば実地試験)に照らして実施される大規模な独立監査/試験にアルゴリズムを提出することを求める、標準的な調達プロセスを透明な形で導入する必要がある。すべての候補を評価した後、機関は、最も性能の良いアルゴリズムを実証できるプロバイダを選択する必要がある。
4.3 Due diligence with respect to system performance should be undertaken by reference to large-scale independent tests, such as those conducted by NIST in the US. These tests provide a scientifically robust, transparent baseline of performance.  4.3 システム性能に関するデューディリジェンスは、米国の NIST が実施するような大規模な独立試験を参照することによって実施されるべきである。これらのテストは、科学的に堅牢で、透明性のある性能の基準値を提供する。
4.4 Independent lab tests to validate the performance of the FRT should be designed to model, as closely as practical, the real-world objectives and conditions (including data landscape, operators of the technology, timetables affecting decisions made using the technology, etc.) in which the FRT is applied in practice. 4.4 FRT の性能を検証する独立ラボ試験は、FRT が実際に適用される実世界の目的及び条件(データ の状況、技術の運用者、技術を用いた意思決定に影響を与えるスケジュール等を含む)を、実際に近い形でモデル化するように設計されなければならない。
4.5 Law enforcement agencies should notify the technology provider of relevant errors identified in order to have the system reviewed.  4.5 法執行機関は、システムの見直しを行うために、特定された関連する誤りを技術提供者に通知するべきである。
4.6 To leverage accuracy gains, law enforcement agencies should expect to make, and establish procedures for, regular upgrades or replacement of the FRT. 4.6 正確さの向上を活用するために、法執行機関は、FRT の定期的な改善または交換を予期 し、そのための手順を確立することが望ましい。
5. Mitigation of error and bias 5. エラーとバイアスの軽減
5.1 The risk of error and bias by machines and humans should be mitigated to the greatest extent possible. This should be done through an ex ante and ex post evaluation strategy:  5.1 機械および人間によるエラーとバイアスのリスクは、可能な限り軽減されなければならない。これは、事前および事後の評価戦略によって行われる必要がある。
5.1.1 Ex ante evaluations: technology providers, and where it applies, technology integrators, should ensure biases and errors are mitigated to the greatest extent possible before the deployment of the system by law enforcement agencies. The level of performance across demographics and the design of the quality management system should be evaluated by an independent third party. This evaluation should be organized by the technology provider and the results made available to law enforcement agencies that procure FRT and to the public for review. Law enforcement agencies that procure FRT should require in their procurement criteria information about the specific metrics the provider uses to gauge bias and other relevant risks. Before deploying FRT systems, law enforcement agencies should set up pilot tests to ensure the system is operating as intended. 5.1.1 事前評価:技術提供者、および適用される場合は技術統合者は、法執行機関によるシステムの配備前に、バイアスおよびエラーが可能な限り軽減されることを確認する必要がある。人口統計学的なパフォーマンスレベルと品質管理システムの設計は、独立した第三者によって評価されるべきである。この評価は、技術提供者によって整理され、その結果は FRT を調達する法執行機関および一般市民がレビューできるようにされるべきである。FRT を調達する法執行機関は、その調達基準において、プロバイダーがバイアスや他の関連リスクを測定するために使用する特定の指標に関する情報を要求するべきである。FRT システムを展開する前に、法執行機関はシステムが意図したとおりに動作していることを確認するためにパイロットテストを設定するべきである。
5.1.2 Ex post evaluations: law enforcement agencies – if necessary, with the support of competent authorities – should deploy risk-mitigation processes to identify, monitor and mitigate the risks of error and biases throughout the entire life cycle of the system. A regularly programmed internal audit (that could include the use of the self-assessment questionnaire related to these principles) and, if possible, an independent third-party audit should be conducted to validate the robustness of these processes. The conclusions of these audits should be made publicly available.  5.1.2 事後評価:法執行機関は、必要に応じて所轄官庁の支援を受け、システムの全ライフサイクルを通じてエラーとバイアスのリスクを特定、監視、軽減するためのリスク軽減プロセスを導入するべきである。これらのプロセスの堅牢性を検証するために、定期的にプログラムされた内部監査(これらの原則に関連する自己評価アンケートの利用を含むことができる)、及び可能であれば独立した第三者監査が実施されるべきである。これらの監査の結論は、一般に公開されるべきである。
To continually improve the quality of the processes and the system’s performance, law enforcement agencies, technology providers and technology integrators should establish an in-service support agreement throughout the entire life cycle of the system. プロセスの品質とシステムの性能を継続的に改善するために、法執行機関、技術プロバイダー、技術インテグレーターは、システムの全ライフサイクルを通じて、インサービスサポート契約を確立するべきである。
6. Legitimacy of probe images and reference databases 6. 捜査画像と参照データベースの正当性
6.1 Law enforcement agencies should ensure that their processing of probe images and reference databases are compliant with international, regional and national laws and/or policies, which should include storage criteria, purpose limitation, retention period, deletion rules, etc.  6.1 法執行機関は、捜査画像及び参照用データベースの処理が、保存基準、目的制限、保存期間、削除 規則等を含む国際、地域及び国内法及び/又は政策に準拠していることを確認する必要がある。
6.2 The collection of probe images should be conducted on a legal basis and aimed at a specific purpose.  6.2 捜査画像の収集は、法的根拠に基づき、かつ、特定の目的に沿って実施されるべきである。
6.3 The reference database(s) used for FRT investigations should always have a legal basis and be used under the authorization of competent authorities. Consequently, reference databases that include data collected without legal basis from the internet, electronic devices or other sources should not be used. 6.3 FRT 調査に使用される参照用データベースは、常に法的根拠を有し、所轄官庁の認可の下 で使用されるべきである。従って、インターネット、電子機器、その他の情報源から法的根拠なく収集された データを含む参照用データベースを使用すべきではない。
6.4 Probe images should not be inserted into the reference database by default. Probe images of unidentified subjects may be stored in a database for further investigation; however, such images should be appropriately labelled (e.g. as an unidentified suspect or unidentified victim) and the reasons for their insertion into the database detailed. Differently labelled categories of image can be stored on the same database but should be logically separated so that facial experts can, with requisite authorizations, independently search the specific categories. Additional care should be afforded to ensure that, if the underlying status justifying the insertion of the probe image into the database (e.g. as an unidentified suspect) changes, the image is removed from the database. 6.4 捜査画像は、デフォルトで参照データベースに挿入されるべきではない。しかし、そのような画像には適切なラベル付け(例:容疑者不明、被害者不明)を行い、 データベースに挿入する理由を詳細に説明する必要がある。異なるラベルが付けられた画像カテゴリーを同一のデータベースに保存することは可能であるが、顔の専門家が必要な権限を持って、特定のカテゴリーを独立して検索できるように、論理的に分離されるべきである。また、捜査画像のデータベースへの登録を正当化する基本的な状況(例えば、未確認容疑者としての状況)が変化した場合、その画像がデータベースから削除されるように、さらなる注意が必要である。
6.5 Exporting images and biometric metadata to public cloud-based FRT that could potentially be outside the local jurisdiction should be prohibited. 6.5 画像及び生体認証メタデータを、現地の管轄区域外にある可能性のあるパブリッククラウドベースの FRT にエクスポートすることは、禁止されなければならない。
6.6 Law enforcement agencies should maintain a strict and transparent chain of custody of all images (probe image sets and reference databases) used for FRT. The law enforcement agency should specify, and enforce, clear and transparent rules designating who does and does not have access to the images, and under what circumstances. 6.6 法執行機関は、FRT に使用される全ての画像(捜査画像セット及び参照データベース)の厳密かつ透明な保管の連鎖を維持しなければならない。法執行機関は、誰が画像にアクセスでき、できないか、また、どのような状況下でアクセスできるかを指定する明確かつ透明な規則を規定し、実施すべきである。
6.7 Law enforcement agencies should specify well-defined protocols for determining when, and on the basis of what criteria, images are to be deleted from a probe set or a reference database. The law enforcement agency should create, and adhere to, a well-defined and transparent protocol for the disposal of images that have been deleted from a probe set or reference database or are otherwise no longer needed; any such protocol should be designed to protect the privacy of any individuals appearing in the images identified for disposal. 6.7 法執行機関は、いつ、どのような基準に基づいて、捜査セットまたは参照データベースから 画像が削除されるべきかを決定するための、明確に定義されたプロトコルを規定するものとする。法執行機関は、捜査セットまたはレファレンスデータベースから削除された画像、またはその他の点 で不要となった画像を廃棄するための、明確に定義された透明性のあるプロトコルを作成し、これを遵守すべきである。そのようなプロトコルでは、廃棄が確認された画像に登場する個人のプライバシーを保護するよう 設計されなければならない。
6.8 For all solved cases or for cases where the investigation has been concluded, the biometric template of the probe image should be deleted from the FRT system and the original facial image stored for accountability purposes in line with existing national law and policies.  6.8 すべての解決された事例または捜査が終了した事例について、捜査画像のバイオメトリックテンプレートは FRT システムから削除され、オリジナルの顔画像は既存の国内 法および政策に沿った説明責任の目的で保管されなければならない。
7. Integrity of images and metadata 7. 画像とメタデータの完全性
7.1 Law enforcement agencies should establish standards and thresholds of image quality for reference database images in order to mitigate the risk of errors. Reference database images that do not meet the defined standards and image-quality thresholds should not be used.  7.1 法執行機関は、エラーのリスクを軽減するために、参照データベース画像に対する画質の基準および閾値を設定する必要がある。定義された基準および画質の閾値を満たさない参照データベース画像は、使用されるべきではない。
7.2 Law enforcement agencies should also establish best practices to evaluate image quality for probe images. Before any search using an FRT system, the facial examiner should conduct a manual assessment of the image to ascertain if the probe image is of a high-enough quality to conduct a facial comparison. If the expert is unable to do so manually, the probe image should be rejected. Although a minimum number of pixels between the eyes is often recommended, care should be taken when using this as a threshold as it is often insufficient to confirm image quality.  7.2 法執行機関は、捜査画像の画質を評価するためのベストプラクティスも確立すべきである。FRTシステムを使用した捜査の前に、顔面検査官は画像の手動評価を実施し、捜査画像が顔面 比較を実施するのに十分な高品質であるかどうかを確認する必要がある。専門家が手動で評価できない場合、捜査画像は拒否されるべきである。目と目の間の最小ピクセル数はしばしば推奨されているが、これを閾値として使用する場合、画質の確認には不十分なことが多いので注意が必要である。
7.3 Standards for probe images and reference database images should be identified by each law enforcement agency, taking into account the strength of the algorithm, the results of internal testing of the FRT system, the nature of the use case and any recommendations from the technology provider regarding its specific system. Standards, such as International Civil Aviation Organization (ICAO) photo standards, may serve as guidance for assessing image quality of reference database images. Guidance on best practices for probe images and additional recommendations for reference database images could also be provided by groups such as the Facial Identification Scientific Working Group (FISWG), the European Network of Forensic Science Institutes Digital Imaging Working Group (ENFSIDIWG) and the INTERPOL Facial Experts Working Group (IFEWG).  7.3 捜査画像および参照データベース画像の標準は、アルゴリズムの強度、FRT システムの内部テストの結果、ユースケースの性質、および特定のシステムに関する技術提供者からの推奨を考慮に入れて、各法執行機関によって特定されるべきである。国際民間航空機関(ICAO)写真規格などの規格は、参照データベース画像の画質評価のガイダンスとして機能することができる。また、顔識別科学作業部会(FISWG)、欧州法科学研究所デジタル画像作業部会(ENFSIDIWG)、インターポール顔専門家作業部会(IFEWG)などのグループにより、捜査画像に関するベストプラクティスに関する指針や参照データベース画像に関する追加勧告が提供される可能性もある。
7.4 Law enforcement examiners should be aware of the risk of image manipulation, such as morphing and deepfakes, when images come from uncontrolled sources and/or production modes. When suspected, these images should be rejected or processed with extreme precaution. 7.4 法執行機関の検査官は、管理されていない情報源および/または製造方法から得られた画像については、モーフィングやディープフェイクなどの画像操作の危険性を認識すべきである。疑われる場合、これらの画像は拒否されるか、または細心の注意を払って処理されるべ きである。
7.5 Forensic upgrading (e.g. contrast and brightness correction) should comply with existing published guidance or standards (such as by FISWG). 7.5 フォレンジック改善(例えばコントラストや明るさの補正)は、(FISWG によるような)既存の公表されたガイダンスや標準に準拠すべきである。
7.6 The use of tools for non-forensic upgrading (e.g. pose correction) should be used only during the FRT search phase. If non-forensic upgrading is carried out, the insertion or modification of facial features or geometry on an existing image should be performed with care in order to avoid distortion of the image.  7.6 非フォレンジック改善(例:姿勢補正)のためのツールの使用は、FRTサーチの段階でのみ使用されるべきである。ノンフォレンジック・改善が実施される場合、既存画像への顔の特徴や形状の 挿入・変更は、画像の歪みを避けるために慎重に実施されるべきである。
7.7 In case of a possible match, and to reach a final conclusion, forensic upgrading of face quality only should be accepted. For reporting purposes, the original image should be presented together with the description of forensic upgrading methods to ensure the auditability and reproducibility of the upgrading process.  7.7 一致の可能性がある場合、および最終的な結論を得るために、顔面品質のフォレンジック・ 改善のみを認めるべきである。報告目的のために、改善プロセスの監査可能性と再現性を確保するため、原画像 はフォレンジック・改善方法の説明とともに提示されるものとする。
7.8 While processing data, law enforcement agencies should always conduct a proper and verified attribution of identity to photos in the reference dataset, and verify the serial number of photos, their traceability and origin. 7.8 データ処理中、法執行機関は常に参照データセット中の写真への適切かつ検証された帰属を行い、写真のシリアルナンバー、追跡可能性および出所を検証するべきである。
7.9 The integrity of the reference database should be evaluated regularly, in accordance with the applicable legal framework and best practices. 7.9 参照データベースの完全性は、適用される法的枠組み及びベストプラクティスに従って、 定期的に評価されなければならない。
7.10 Vulnerabilities to hacking and cyberattacks should be identified to ensure robustness and avoid data leaks and data manipulation.  7.10 堅牢性を確保し、データ漏洩やデータ操作を回避するため、ハッキングやサイバー攻撃に対する脆弱性が特定される必要がある。
8. Skilled human interface and decision-making 8. 熟練したヒューマンインターフェースと意思決定
8.1 FRT should be used only by trained persons who follow the procedures ordered through the chain  of command and/or by management.  8.1 FRTは、指揮命令系統及び/又は経営陣により命じられた手続きに従う訓練を受けた者のみが使用すべきである。
8.2 Everybody within the organization, especially the chain of command/management, should understand the capacities and limits of the technology and system used. 8.2 組織内の全員、特に指揮系統/管理者は、使用される技術及びシステムの能力と限界を理解すべきである。
8.3 Law enforcement agencies that use or intend to use FRT should provide or facilitate training on an ongoing basis and should be informed by the latest research in machine learning and remote biometrics.  8.3 FRT を使用する、または使用しようとする法執行機関は、継続的に研修を提供または促進し、 機械学習および遠隔生体認証における最新の研究により情報を得るべきである。
8.4 The training (and certification when it applies) of facial experts, and those in the chain of command/ management, should include:  8.4 顔の専門家、および指揮命令系統/管理系統の者の訓練(および適用される場合は認証)は、以下を含むべきである。
8.4.1 Knowledge of and updates of mandatory regulations, laws or policies concerning the use  of biometrics.  8.4.1 生体認証の使用に関する強制的な規制、法律又は政策の知識及びその更新。
8.4.2 Awareness of the risk of biases by the FRT system (anticipation of false positives and false negatives, awareness of differences in performance on various demographics, knowing how to calibrate and adjust the threshold of the system, understanding how to configure the system in the manner appropriate to the specific circumstances and risks of a given use case, and how to fix the length of the candidate lists).  8.4.2 FRT システムによるバイアスのリスクの認識(偽陽性と偽陰性の予測、様々な人口統計学上の性能の違いの認識、 システムの閾値の校正と調整の方法を知る、与えられたユースケースの特定の状況とリスクに適した方法 でシステムを構成する方法の理解、および候補リストの長さを固定する方法)。
8.4.3 Understanding of the risk of biases by the human agent (overestimation of own capability, risk of over-reliance on technology, blind spots, risk of human bias such as other-race-effect bias).  8.4.3 ヒューマンエージェントによるバイアスのリスクの理解(自身の能力の過大評価、技術への過度の依存のリスク、盲点、他民族効果バイアスなどのヒューマンバイアスのリスクなど)。
8.4.4 Awareness of the risk of false positives from twins, siblings and other related individuals. 8.4.4 双子、兄弟姉妹、その他の近親者による偽陽性のリスクへの認識。
8.4.5 Awareness of the risk of image manipulation, including data integrity attacks and data morphs, and, when available, the tools to identify them.  8.4.5 データ整合性攻撃やデータモーフを含む画像操作のリスクと、利用可能な場合はそれらを特定する ためのツールについての認識。
8.4.6 How to implement risk-mitigation methodologies (one match vs. differential diagnosis approach, blinding techniques, blind verifications, etc.). 8.4.6 リスク軽減のための方法論(1つの一致と鑑別診断のアプローチ、盲検化技術、盲検検証など)を実施する方法。
8.4.7 Understanding of the nature of an investigative lead as the outputs of an FRT search and best practices for verifying the identity of leads generated. 8.4.7 FRT 検索のアウトプットとしての捜査の手掛かりの性質、及び生成された手掛かりの同一性を検証するためのベストプラクティスを理解すること。
8.4.8 Instruction in data governance procedures, including the collection, storage, integrity and traceability of data. 8.4.8 データの収集、保存、完全性、トレーサビリティを含む、データガバナンス手順に関する教示。
8.4.9 How to use tools, when available, that assist examiners in understanding the reasoning behind systems’ decisions/recommendations. 8.4.9 審査官がシステムの決定/勧告の背後にある理由を理解することを支援する、利用可能な場合、ツールの使用方法。
8.5 Recognizing that innate capability to recognize faces exists on a spectrum, examiners should be recruited by factoring in performance on face comparison tests, acknowledging that experience and training also matter. 8.5 顔認識に対する生得的な能力がスペクトル上に存在することを認識し、審査官は、経験と訓練も重要であることを認識しつつ、顔比較試験における性能を考慮して採用されなければならない。
9. Transparency 9. 透明性
9.1 Information about the use of FRT by law enforcement agencies should be available to the public. This information should be made available on a permanent basis or on request, and communicated by the appropriate official authorities, be it the law enforcement agency itself or another government entity.  9.1 法執行機関による FRT の使用に関する情報は、一般に利用可能であるべきである。この情報は、恒久的に、または要求に応じて利用可能とされ、法執行機関自体または他の政府機関である適切な公的機関によって伝達されるべきである。
9.2 Law enforcement agencies, or the most appropriate other official authority – with input from the law enforcement agency – should, in line with the applicable laws and policies, make public: 9.2 法執行機関、または最も適切な他の公的機関は-法執行機関からの情報と共に-適用される法 律および政策に沿って、公開すべきである。
9.2.1 A clear definition of the use of FRT for law enforcement investigations, specifying the purpose and objectives, such as to identify criminals/fugitives, persons of interest, missing persons and victims.  9.2.1 犯罪者/逃亡者、参考人、行方不明者及び被害者の特定など、目的と目標を特定した、法執行 調査のための FRT 使用の明確な定義。
9.2.2 The vendor selected (if applicable) and the name and version of the software.  9.2.2 選択したベンダー(該当する場合)、およびソフトウェアの名称とバージョン。
9.2.3 How they use probe images: procedures and criteria to select, store/not store images and, if stored, for how long.  9.2.3 調査画像の使用方法:画像を選択する手順と基準、保存する/しない、保存する場合はどのくらいの期間保存するか。
9.2.4 How they use the reference database: procedures to consult the database, criteria to select, store/not store probe images in this reference database and, if stored, for how long; as well as details about whether this database can be used to train or refine other FRT systems or machine learning models in general. 9.2.4 参照データベースの使用方法:データベースを参照する手順、この参照データベースに捜査 画像を選択する基準、保存する/しない、保存する場合はその期間、またこのデータベースが他の FRT システムや機械学習モデル一般の訓練や改良に使用できるかどうかに関する詳細。
9.2.5 The policy regarding the type of data that may be shared with other organizations, including personal data and databases of face images.  9.2.5 個人データや顔画像のデータベースなど、他の組織と共有することができるデータの種類に関する方針。
9.2.6 The name of law enforcement departments or units able to launch searches and view the results of searches.  9.2.6 検索を開始し、検索結果を閲覧することができる法執行部門またはユニットの名称。
9.2.7 The functional title, type of expertise and level of training of individuals using the system. 9.2.7 システムを使用する個人の職務上の肩書き、専門知識の種類、及び訓練レベル。
9.2.8 The process to determine a possible match, namely blind-review or peer-review of possible matches.  9.2.8 一致の可能性を判断するためのプロセス、すなわち一致の可能性のブラインドレビューまたはピアレビュー。
9.2.9 Information about the mechanisms in place (see Principle 1.5) to ensure FRT is used as intended. 9.2.9 FRT が意図されたとおりに使用されていることを確認するために設置された機構(原則 1.5 参照)に関する情報。
9.2.10 Auditable records of search requests made by law enforcement agencies, such as the number of requests, the number of investigative leads generated and the type of crimes related to these requests.  9.2.10 法執行機関による検索要求の監査可能な記録(要求数、生成された捜査の手がかりの数、および これらの要求に関連する犯罪の種類など)。
9.2.11 The results of audits and/or evaluations of the performance of the FRT system conducted by the vendor of the technology and/or by the law enforcement agency. This should include a description of: the design of the evaluation; the data used in the evaluation; and the results (metrics) obtained. 9.2.11 技術のベンダーおよび/または法執行機関によって実施された、FRTシステムの性能の監査および/または評価の結果。これは、評価の設計、評価で使用されたデータ、および得られた結果(測定基準)の説明を含むべきである。
9.2.12 Information about how an individual can contact the law enforcement agency to submit  a query or complaint concerning its use of FRT. 9.2.12 FRT の使用に関する質問または苦情を提出するために、個人が法執行機関に連絡する方法についての情報。
9.2.13 A record of complaints filed by members of the public against the use of the FRT and the law enforcement agency’s response of those formal complaints. 9.2.13 FRT の使用に対して一般市民が提出した苦情、及びそれらの正式な苦情に対する法執行機関の対応の記録。
9.2.14 Any other information that can be publicly shared without compromising law enforcement investigations and that may be relevant for the public. 9.2.14 法執行機関の調査を損なうことなく公に共有することができ、かつ公衆に関連する可能性のあるその他一切の情報。
9.3 Information made available to the public should be concise, easily accessible, understandable and provided in clear and plain language. Exceptions to this should be permitted only if they are necessary and proportionate to pursue legitimate purposes and in accordance with the law.  9.3 一般に公開される情報は、簡潔で、容易にアクセスでき、理解でき、明確で平易な言葉で提供され るべきである。これに対する例外は、合法的な目的を追求するために必要かつ適切であり、法律に従った場合のみ許可されるべきである。

 

自己評価質問書...

Self-assessment questionnaire 自己評価質問書
A self-assessment tool to support law enforcement agencies in ensuring they have introduced the measures needed for responsible facial recognition. 法執行機関が責任ある顔認証に必要な措置を確実に導入することを支援するための自己評価ツールである。
1. Respect for human and fundamental rights 1. 人権および基本的権利の尊重
1.1 Does your use of FRT for law enforcement investigations respect the International Bill of Human Rights and other relevant human rights treaties and laws? 1.1 法執行捜査のための FRT 利用は、国際人権規約やその他の関連人権条約・法律を尊重しているか?
1.2 Is the output of an FRT search always considered only as an investigative lead? 1.2 FRT 検索の出力は、常に捜査の手がかりとしてのみ考慮されているか?
1.3 What procedures are in place to guarantee that restrictions or limitations to some human rights are allowed only if they are necessary and proportionate to achieving a legitimate policing aim? 1.3 一部の人権に対する制限や制約は、正当な警察目的を達成するために必要かつ適切である場合にのみ許されることを保証するために、どのような手続が行われているか?
1.4 Are you working with oversight bodies to effectively assess the compliance of law enforcement activities with human and fundamental rights? 1.4 法執行活動が人権および基本的人権を遵守しているかどうかを効果的に評価するために、監督機関と連携しているか。
1.5 Are these bodies tasked with hearing and following complaints from citizens? 1.5 これらの機関は、市民からの苦情を聞き、それに従うことを任務としているか?
1.6 Is there an independent ethical oversight committee to periodically review your use of FRT and support you to achieve respect for the human and fundamental rights?  1.6 FRTの利用を定期的に検証し、人権・基本的権利の尊重を達成するための支援を行う独立した倫理的監視委員会があるか?
1.7 Is there an existing judicial authority that offers effective remedies to individuals who consider their rights to have been violated through the use of FRT? 1.7 FRT の利用により権利を侵害されたと考える個人に対して、効果的な救済を行う司法当局が存在するか?
2. Necessary and proportional use 2. 必要かつ比例した使用
2.1 What uses of FRT are allowed in your jurisdiction and what is the basis in applicable international, regional and national laws or policies?  2.1 管轄区域において、どのような FRT の使用が認められているか、また適用される国際法、地域法、国内法、政策にどのような根拠があるか?
2.2 What was the objective that guided the decision to use FRT? 2.2 FRT を使用する決定を導いた目的は何か?
2.3 Which alternatives were considered before taking the decision to deploy FRT in your agency, and what were the criteria that ultimately led to the decision to reject those alternatives?  2.3 あなたの機関で FRT を導入する決定を下す前に、どの代替案が検討され、最終的にそれらの代替案を拒否する決定に至った基準は何でしたか?
2.4 How do you ensure that your use of FRT, from the request to the use of the outcome of the search,  is appropriate, limited and exclusively related to investigative purposes?  2.4 調査の依頼から結果の利用まで、FRT の利用が適切で、限定的で、捜査目的にのみ関連していることをどのように確認するのか?
2.5 What uses of FRT are allowed in your jurisdiction (based on laws defined by international, regional and national laws or policies)? 2.5 管轄区域において、どのような FRT の利用が認められているか(国際法、地域法及び国内 法又は政策によって定義された法律に基づく)?
2.6 What are the use cases for which you are authorized to collect images from public spaces for  FRT identification? 2.6 FRT 識別のために公共空間から画像を収集することが許可されているユースケースは何か?
2.7 What processes and controls are in place to ensure that the collection of images from public and publicly accessible spaces for FRT identification purposes is done only for a determined list of use cases, in a limited area and for a finite time period? 2.7 FRT識別のための公共及び公にアクセス可能な空間からの画像の収集が、決められたユースケースの リストに対してのみ、限られた地域及び有限の期間行われることを確実にするために、どのような プロセス及び管理が行われているか?
2.8 What procedures are in place governing work conducted with independent authorities in charge of authorizing real-time uses of FRT for identification purposes under exceptional circumstances? 2.8 例外的な状況下で、識別目的のための FRT のリアルタイム使用を認可する担当の独立した当局と行う作業を管理するために、どのような手順を設けているか?
2.9 In cases where your agency deploys real-time FRT, is there an independent authority or an established ethical oversight committee (see Principle 1.5) that regulates its use? 2.9 貴機関がリアルタイム FRT を導入する場合、その使用を規制する独立機関又は確立された倫理的監視委員会 (原則 1.5 参照)は存在するか?
2.10 If real-time use of FRT is authorized through the chain of command because of a lack of time to inform the independent authority, what processes have you introduced to ensure that the chain of command informs the independent authority within 24 hours and justifies its decision to use real-time FRT, outlining why it felt there was insufficient time to obtain authorization in advance of its use?  2.10 独立機関に報告する時間がないため、指揮系統を通じてリアルタイム FRT の使用が許可される場合、指揮系統が 24 時間以内に独立機関に報告し、リアルタイム FRT の使用に先立って承認を得る時間が不十分であると感じた理由を概説して、その決定を正当化するために、どのようなプロセスを導入しているか?
2.11 In cases of real-time use of FRT, what processes have you implemented to make sure all images recorded by the real-time FRT system, including the biometric template and the original face image, are deleted, according to the defined policies for the storage of live images? 2.11 リアルタイム FRT を使用する場合、生体認証テンプレートやオリジナルの顔画像など、リアルタイム FRT システムで記録された全ての画像が、定められたライブ画像の保存ポリシーに従って削除されていることを確認するために、どのようなプロセスを実施したか?
2.12 What processes have you implemented to prevent the use of FRT to infer ethnicity, gender, sex, health status, age, emotion, opinion, religion or sexual orientation recognition or for predictive analysis? 2.12 民族、性別、性、健康状態、年齢、感情、意見、宗教、性的指向の認識や予測分析のために FRT を使用することを防ぐために、どのようなプロセスを導入しているか?
3. Human oversight and accountability 3. 人的監視と説明責任
3.1 What processes have you introduced to ensure that an FRT output is always verified by an examiner with oversight by a manager with the appropriate level of expertise (except in the case described in Principle 2.6)? 3.1 FRT の出力が、常に適切なレベルの専門知識を有する管理者による監督を受けた審査官によ って検証されることを確保するために、どのようなプロセスを導入したか(原則 2.6 に記載の場合を除 く)?
3.2 How do you ensure the FRT system is always used by individuals trained as suggested on Principle 8 (except in the case described on Principle 2.6)? 3.2 FRTシステムが、常に原則8で示唆された訓練を受けた個人によって使用されていることをどのように 確実にするか(原則2.6に記載の場合を除く)?
3.3 Is a systematic peer review performed before reaching any final decision?  3.3 最終決定に至る前に、体系的なピアレビューを実施しているか。
3.4 When two experts are assigned to evaluate the results, how do you reach a consensus between the examiner and reviewer(s)? 3.4 2人の専門家が評価する場合、審査員とレビュアーの間でどのようにコンセンサスを得るのであるか。
3.5 What mechanisms are in place for citizens to file a complaint with or seek redress from a  competent body? 3.5 市民が管轄機関に苦情を申し立てたり、救済を求めたりするための仕組みはどのようなものであるか?
3.6 Do you inform individuals taken into custody, brought in as a witness or involved in an investigation that they were identified using an FRT system, provided this does not compromise the investigation? 3.6 捜査を妨げない限り、身柄を拘束された者、証人として呼び出された者、捜査に関与している者に FRT システムを使用して特定されたことを通知するか?
4. Optimization of system performance 4. システム性能の最適化
4.1 What existing or forthcoming standards do you ask your vendor to follow to evaluate the performance of your FRT system?  4.1 FRT システムの性能を評価するために、ベンダーにどのような既存または今後の基準を求めているか?
4.2 Have you introduced procurement rules to select providers who comply with these standards  of performance?  4.2 これらの性能基準を遵守するプロバイダを選択するための調達ルールを導入しているか。
4.3 Have you introduced procurement rules to select providers who have submitted their FRT system  to an independent evaluation such as that organized by NIST?  4.3 NIST が主催するような独立した評価に FRT システムを提出したプロバイダを選択する調達ルールが導入されているか。
4.4 Have you selected the technology provider who presented the best results? 4.4 最も優れた結果を示した技術提供者を選定しているか?
4.5 Are the independent lab tests of performance designed to model, as closely as possible, the realworld objectives and conditions in which the FRT is applied in practice? 4.5 独立した実験室での性能試験は、FRT が実際に適用される実世界の目的と条件を可能な限りモデル化するように設計されているか?
4.6 Do you notify the technology provider when you identify relevant errors in the use of the FRT system? 4.6 FRT システムの使用において関連する誤りを発見した場合、技術提供者に通知しているか?
4.7 What procurement rules have you introduced to ensure the regular upgrading or replacement of the FRT? 4.7 FRT の定期的な改善又は交換を確保するために、どのような調達ルールを導入しているか?
5. Mitigation of error and bias 5. エラーとバイアスの軽減
5.1 How is your technology provider (or where it applies, the integrator) making sure that biases and errors are mitigated to the greatest extent possible before the FRT system’s deployment? 5.1 FRT システムの展開前に、技術提供者(または適用される場合はインテグレーター)は、どのようにバイアスとエラーを可能な限り軽減するようにしているか?
5.2 Has the FRT software been tested by an independent third-party organization on the level  of performance across different demographic groups? 5.2 FRT ソフトウェアは、独立した第三者機関により、異なる人口統計グループにわたる性能のレベルについてテストされたか?
5.3 Has the design of the quality management system of the FRT system been evaluated by  an independent third-party organization?  5.3 FRT システムの品質管理システムの設計は、独立した第三者機関によって評価されているか?
5.4 Have technology providers and integrators communicated the results of those evaluations to law enforcement agencies and the general public? 5.4 技術プロバイダーやインテグレーターは、それらの評価結果を法執行機関や一般市民に伝えているか。
5.5 Do your procurement criteria require information to be supplied about the metrics that technology providers use to gauge bias and other relevant risks? 5.5 あなたの調達基準は、技術プロバイダーがバイアスや他の関連するリスクを測定するために使用する指標について、情報を提供することを要求しているか?
5.6 Did you set up pilot tests before deploying the FRT system? 5.6 FRT システムを展開する前に、パイロットテストを設定したか?
5.7 Have you deployed risk-mitigation processes to identify, monitor and mitigate the risks of error and biases throughout the entire life cycle of the system?  5.7 システムの全ライフサイクルを通じて、エラーとバイアスのリスクを特定、監視、軽減するためのリスク軽減プロセスを展開したか?
5.8 Have you programmed internal audits and, if possible, an independent third-party audit, to validate the robustness of your risk-mitigation processes? If yes, have you publicly shared the results of these audits? 5.8 リスク軽減プロセスの堅牢性を検証するために、内部監査及び可能であれば独立した第三者監査 を計画したか?もしそうなら、これらの監査の結果を公表しているか?
5.9 Have you established an in-service support agreement throughout the entire life cycle of the system  in collaboration with technology providers and integrators? 5.9 技術プロバイダーやインテグレーターと協力し、システムの全ライフサイクルを通じてのインサービスサポートアグリーメントを確立しているか?
6. Legitimacy of probe images and reference databases 6. 捜査画像と参照データベースの正当性
6.1 Is your processing of probe images and reference databases, including storage criteria, purpose limitation, retention period and deletion rules, compliant with international, regional and national laws or policies? 6.1 保存基準、目的制限、保存期間、削除ルールを含む捜査画像と参照用データベースの処理は、国際、地域、国内の法律や政策に準拠しているか?
6.2 What processes have you introduced to ensure that the collection of probe images is conducted on  a legal basis and aimed at a specific purpose? 6.2 捜査画像の収集が、法的根拠に基づき、特定の目的に沿って行われていることを保証するために、どのようなプロセスを導入しているか?
6.3 How do you ensure that images contained in your reference databases are collected only with  a legal basis? 6.3 参照データベースに含まれる画像が、法的根拠に基づいてのみ収集されることをどのように保証しているか。
6.4 Do you label unidentified probe images according to their corresponding categories – e.g. as “unidentified suspect” or “unidentified victim”? 6.4 未確認の捜査画像に、対応するカテゴリ(例えば「容疑者不明」「被害者不明」など)に応じてラベルを付けているか?
6.5 Do you store unidentified probe images in your reference databases? If yes, can they be searched separately? 6.5 未特定の捜査画像を参照用データベースに保存しているか?保存している場合、それらを個別に検索することができるか?
6.6 Do you remove unidentified probe images from the unsolved probe database if an image’s underlying status, which justified the image’s insertion in the database, changes?  6.6 データベースへの登録を正当化した画像の基本ステータスが変更された場合、未解決事件データベースから未同定捜査画像を削除するか?
6.7 What technical measures have you put in place to prevent the export of images and biometric metadata to public cloud-based FRT systems that could potentially be outside the local jurisdiction?  6.7 画像とバイオメトリックメタデータが、現地の管轄外にある可能性のあるパブリッククラウドベースの FRT システムにエクスポートされるのを防ぐために、どのような技術的措置をとっているか?
6.8 How do you ensure a strict and transparent chain of custody of all images (probe image sets and reference databases)?  6.8 すべての画像(捜査画像セットと参照データベース)の厳密かつ透明な保管の連鎖をどのように 確保しているか?
6.9 Are there clear and transparent rules designating who does and does not have access to probe images and reference databases and under what circumstances? 6.9 誰が、どのような状況下で、捜査画像及び参照用データベースにアクセスでき、またできないかを 指定する明確かつ透明な規則があるか?
6.10 Have you established clear and transparent protocols for determining when, and based on what criteria, images are to be deleted from a probe image set or a reference database, taking into particular consideration the need to ensure the protection of the privacy of any individuals appearing in such images? 6.10 画像に写っている個人のプライバシー保護を確保する必要性を特に考慮し、捜査画像セットまたは参照データベースから画像を削除するタイミングとその基準を決定するための明確で透明性のあるプロトコルが確立されているか?
6.11 Is the biometric template of the probe image deleted from the FRT system for all solved cases or for cases for which the investigation has been concluded? 6.11 調査画像の生体認証テンプレートは、全ての解決済み事件又は捜査が終了した事件の FRT システムから削除されるか?
6.12 For all solved cases or for cases for which the investigation has been concluded, is the original facial image stored in line with existing national law and policies for accountability purposes? 6.12 すべての解決済み事件又は捜査が終了した事件について、オリジナルの顔画像は、説明責 任の目的のために既存の国内法及び政策に従って保管されているか?
7. Integrity of images and metadata 7. 画像とメタデータの完全性
7.1 Have you established image quality standards for reference database images? 7.1 参照データベースの画像について、画質基準を設けているか?
7.2 Do you exclude reference images that do not meet those quality standards?  7.2 その品質基準を満たさない参照画像は除外しているか?
7.3 Do you have a procedure in place to perform an image quality assessment of the probe image before any FRT search is launched?  7.3 FRT検索を開始する前に、捜査画像の画質評価を行う手順を定めているか?
7.4 Have you established a threshold of a minimum number of pixels between the eyes for the probe image to be used? 7.4 使用する捜査画像について、目と目の間の最小ピクセル数の閾値を定めているか。
7.5 Do you exclude probe images that do not satisfy a manual assessment of image quality? 7.5 画質の手動評価を満足しない捜査画像は除外しているか?
7.6 What quality reference standards and thresholds are you following? Have you considered best practices and recommendations, such as those presented by ICAO, FISWG, ENFSI/DIWG and IFEWG? 7.6 どのような品質基準規格や閾値に従っているか?ICAO、FISWG、ENFSI/DIWG、IFEWGが提示するようなベストプラクティスや勧告を検討したか?
7.7 How do you manage the risks of image manipulation (deepfakes, morphing, etc.)? Do you deploy  a specific procedure to detect them when you collect images from uncontrolled sources?  7.7 画像加工(ディープフェイク、モーフィングなど)のリスクマネジメントはどのように行っているか?管理されていないソースから画像を収集する場合、それらを検出するための特定の手順を導入しているか?
7.8 If you detect a manipulated image (deepfake, morphing, etc.), how do you process this image? 7.8 操作された画像(ディープフェイク、モーフィングなど)を検出した場合、その画像をどのように処理するか?
7.9 If you perform forensic upgrading of face quality, which methods of image processing do you use? Can any of these processes be considered to modify the original face features, adding or removing data from the image? 7.9 顔の品質に関するフォレンジック・改善を行う場合、どのような画像処理の方法を使用するか? これらの処理のいずれかが、元の顔の特徴を修正し、画像からデータを追加または削除すると考えられますか?
7.10 Do you comply with published guidance or standards (such as by FISWG) when using tools for forensic upgrading of face quality? 7.10 顔のフォレンジック・改善のためのツールを使用する際、(FISWGなどによる)公表されたガイダンスや標準に準拠しているか?
7.11 How do you ensure that non-forensic upgrading of face quality is used only during the search phase?  7.11 顔の画質の非鑑定的向上が検索段階でのみ使用されることをどのように確認するか?
7.12 In case of a possible match, do you use the forensic upgraded image for final conclusions? 7.12 一致する可能性がある場合、最終的な結論のためにフォレンジック・改善された画像を使用するか?
7.13 How do you document forensic upgrading to ensure the auditability and reproducibility of the upgrading process? 7.13 改善プロセスの監査可能性と再現性を確保するために、フォレンジック・改善をどのように文書化するか?
7.14 What processes do you follow to ensure the proper attribution of identity to photos in the reference dataset and to verify the serial number of photos, as well as their traceability and origin? 7.14 参照データセット内の写真への適切な帰属を保証し、写真のシリアル番号、トレーサビリティ、出所を検証するために、どのようなプロセスをとっているか?
7.15 Have you performed a system security verification to identify vulnerabilities to hacking and cyberattacks? 7.15 ハッキングやサイバー攻撃に対する脆弱性を特定するために、システムセキュリティの検証を行ったか。
8. Skilled human interface and decision-making 8. 熟練したヒューマンインターフェースと意思決定
8.1 Is FRT used only by trained persons?  8.1 FRTは訓練を受けた者のみが使用しているか?
8.2 Does everybody within the organization understand the capacities and limits of the technology and system used? 8.2 組織内の全員が、使用する技術やシステムの能力と限界を理解しているか?
8.3 Is a training programme offered and, if so, how often is it offered?  8.3 トレーニングプログラムは提供されているか、提供されている場合はどのくらいの頻度で提供されているか?
8.4 How do you evaluate the quality of the training programme over time, taking into consideration the latest progress in research (e.g. have you established a scientific committee or equivalent, etc.)?  8.4 研究の最新の進捗を考慮し、トレーニングプログラムの質を長期的にどのように評価しているか(例:科学委員会または同等の組織を設立しているかなど)?
8.5 Have you ensured that the training (and certification when it applies) of face experts and agents within the chain of command/management includes information about: 8.5 指令系統/管理系統内の顔専門家及び代理人の研修(及び適用時の認証)には、以下の情報が含まれることを確認したか?
8.5.1 Mandatory regulations, laws or policies concerning the use of biometrics?  8.5.1 バイオメトリクスの使用に関する強制的な規制、法律又は政策
8.5.2 Risk of machine biases related to FRT systems? 8.5.2 FRT システムに関連する機械のバイアスのリスク
8.5.3 Risk of human biases when using FRT systems? 8.5.3 FRT システムを使用する際の人間のバイアスのリスク
8.5.4 Risk of false positives from twins, siblings and other related individuals? 8.5.4 双子、兄弟姉妹、その他の血縁者から偽陽性が生じるリスク
8.5.5 Risk of image manipulation, including data integrity attacks and data morphs, and training on existing or new tools used to detect them? 8.5.5 データ整合性攻撃やデータモーフを含む画像操作のリスクと、それらを検出するために使用される既存または新規ツールのトレーニング
8.5.6 Implementation of risk-mitigation methodologies? 8.5.6 リスク軽減のための方法論の実施
8.5.7 Nature of the investigative leads and best practices for verifying the identity of leads generated? 8.5.7 調査の手がかりの性質と、生成された手がかりの同一性を検証するためのベストプラクティス
8.5.8 Data governance procedures, including the collection, storage, integrity and traceability of data? 8.5.8 データの収集、保管、完全性、トレーサビリティを含む、データガバナンスの手順
8.5.9 Use of tools that assist examiners in understanding the reasoning behind systems’ decisions/ recommendations? 8.5.9 審査官がシステムの決定/勧告の背後にある理由を理解することを支援するツールの使用
8.6 Have you implemented recruitment processes to primarily hire examiners who perform well on standardized face comparison tests? 8.6 標準化された顔比較試験で優れた成績を収めた審査官を主に採用する採用プロセスを実施しているか
9. Transparency 9. 透明性
9.1 Is information about your use of FRT publicly available on a permanent basis or by request? 9.1 FRT の使用に関する情報は、恒常的に、または要求に応じて一般に公開されているか?
9.2 Have you, or another official authority with input from your agency, publicly shared information about: 9.2 あなた、またはあなたの機関から意見を得た別の公的機関は、以下の情報を公に共有したか?
9.2.1 The purpose of the FRT solution deployed and a clear definition of its use and the various FRT use cases? 9.2.1 導入された FRT ソリューションの目的、及びその使用と様々な FRT 使用事例の明確な定義
9.2.2 The vendor and the name and version of the selected software?  9.2.2 選択したソフトウェアのベンダー、名称、バージョン
9.2.3 Your processes regarding the use of probe images, including procedures and criteria to select, store/not store images and, if stored, for how long? 9.2.3 画像を選択する手順と基準、保存する/しない、保存する場合はその期間を含む、捜査画像の使用に関 するあなたのプロセス
9.2.4 Your processes regarding the use of reference databases, including procedures to consult the databases, and criteria to select, store/not store probe images in this reference database and, if stored, for how long? 9.2.4 参照データベースの使用に関するあなたのプロセス(データベースを参照する手順、この参照データベースにプ ローブ画像を選択、保存/非保存する基準、保存する場合はその期間を含む)
9.2.5 Information of whether the reference databases can be used to train or refine other FRT systems or machine learning models in general? 9.2.5 参照データベースは、他の FRT システムや機械学習モデル全般の訓練や改良に使用できるかどうかの情報
9.2.6 The policy regarding the type of data that may be shared with other organizations, including personal data and databases of face images?  9.2.6 個人データや顔画像のデータベースなど、他の組織と共有することができるデータの種類に関する方針
9.2.7 The list of law enforcement departments that have access to FRT search requests? 9.2.7 FRTの検索要求にアクセスできる法執行部門のリスト
9.2.8 The functional title, type of expertise and level of training of individuals using the system?  9.2.8 システムを使用する個人の職務上の肩書き、専門知識の種類、および訓練レベル
9.2.9 The process to determine a possible match process, namely blind-review or peer-review  of possible matches?  9.2.9 可能性のある一致のプロセス、すなわちブラインドレビューまたはピアレビューを決定するプロセス
9.2.10 Information about the mechanisms in place (see Principle 1.5) to ensure FRT is used as intended? 9.2.10 FRT が意図されたとおりに使用されていることを確認するために設置された機構(原則 1.5 参照)についての情報
9.2.11 Auditable records of search requests made by law enforcement such as the number of requests, the investigative leads generated and the type of crimes related to the requests? 9.2.11 法執行機関による捜査要請の監査可能な記録(要請数、生成された捜査の手がかり、要請に関連する犯罪の種類など)
9.2.12 The results of audits and/or evaluations of the performance of the FRT system conducted  by the vendor of the technology?  9.2.12 技術ベンダによって実施されたFRTシステムの性能の監査及び/又は評価の結果
9.2.13 The results of audits and/or evaluations of the performance of the FRT system conducted  by the law enforcement agency?  9.2.13 法執行機関によって実施された FRT システムの性能の監査及び/又は評価の結果
9.2.14 Information about how an individual can contact law enforcement to submit a query or complaint? 9.2.14 個人が問い合わせや苦情を提出するために法執行機関に連絡できる方法に関する情報
9.2.15 A report presenting the complaints, and responses from law enforcement agencies to citizens’ complaints about the use of FRT?  9.2.15 FRT の使用に関する市民の苦情、およびそれに対する法執行機関からの回答を提示する報告書
9.3 How do you ensure that the information provided to the public about law enforcement’s use of FRT  is concise, easily accessible, understandable and provided in clear and plain language? 9.3 法執行機関の FRT 利用について市民に提供される情報が簡潔で、容易にアクセスでき、理解でき、明瞭で平易な言語で提供されることをどのように保証するか?

 

 


 

まるちゃんの情報セキュリティきまぐれ日記

 

顔認識関連

日本での犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.09.10 個人情報保護委員会 第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.06.24 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

欧州AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

米国GAO関係

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

 

Faicial Recognition

・2022.07.12 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

金融庁 財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について...

こんにちは、丸山満彦です。

財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準(いわゆるJ-SOXのクライテリア)の改訂案が2022.12.08に開催された企業会計審議会第24回内部統制部会で議論されたようですね。。。

改訂の理由という意味では、この内部統制の基準及び実施基準のお手本としていた、COSOの内部統制が改訂されたことが理由のようなことも書いていますが、COSOの改訂って2013年??? 9年も前の話が改訂の理由というのはね。。。

財務報告から報告に変わったという話ですが、これって、実はすでに カナダのCoCo (1995)では、External Reportingという名称で、財務報告にとどまらず、外部の利害関係者に報告するもの全てを含んでいました。[PDF] CoCo No.1 Guidance on Control ([DOCX] 仮訳 )

あと、「売上高等の概ね2/3」や「売上、売掛金及び棚卸資産の3勘定」についても、当時は企業への負荷がかからないアピールをするため?に記載していたけど、やはり内部統制が有効に機能しているかどうかをいう場合に、金融庁が決めた基準にしたがったら自動的にそうなるというふうには取られないので、問題になるとおもっていたのですが、案の定、そういう話になっていますよね。。。

さて、まもなく、パブリックコメントにかけられるのでしょうかね。。。

 

● 金融庁 - 審議会・研究会等 - 企業会計審議会 - 議事録・資料等

・2022.12.08 企業会計審議会第24回内部統制部会 議事次第

 

・[PDF] 資料1(前文)内部統制基準・実施基準の改訂について(公開草案)

20221208-181356

 

 

・[PDF] 資料2財務報告に係る内部統制の評価及び監査の基準(抄)新旧対照表

・[PDF] 資料3-1財務報告に係る内部統制の評価及び監査の実施基準Ⅰ(抄) 新旧対照表

・[PDF] 資料3-2財務報告に係る内部統制の評価及び監査の実施基準Ⅱ(抄) 新旧対照表

・[PDF] 資料3-3財務報告に係る内部統制の評価及び監査の実施基準Ⅲ(抄) 新旧対照表

・[PDF] 企業会計審議会内部統制部会委員等名簿

 

 


一 経 緯

金融商品取引法により、上場会社を対象に財務報告に係る内部統制の経営者による評価と公認会計士等による監査(以下「内部統制報告制度」という。)が平成20 年4月1日以後開始する事業年度に適用されて以来、14年余りが経過した。この内部統制報告制度は、財務報告の信頼性の向上に一定の効果があったと考えられる。  一方で、経営者による内部統制の評価範囲の外で開示すべき重要な不備が明らかになる事例や内部統制の有効性の評価が訂正される際に十分な理由の開示がない事例が一定程度見受けられており、経営者が内部統制の評価範囲の検討に当たって財務報告の信頼性に及ぼす影響の重要性を適切に考慮していないのではないか等の内部統制報告制度の実効性に関する懸念が指摘されている。

また、国際的な内部統制の枠組みについて、米国のCOSO(トレッドウェイ委員会支援組織委員会)の内部統制の基本的枠組みに関する報告書(以下「COSO報告書」という。)が、経済社会の構造変化やリスクの複雑化に伴う内部統制上の課題に対処するために改訂された。具体的には、内部統制の目的の一つである「財務報告」の「報告」への拡張(非財務報告と内部報告を含む)、不正に関するリスクへの対応の強調、内部統制とガバナンスや全組織的なリスク管理との関連性の明確化等を行っている。我が国でも、コーポレートガバナンス・コード等において、これらの課題に一定の対応は行われているものの、内部統制報告制度ではこれらの点に関する改訂は行われてこなかった。

このような内部統制報告制度を巡る状況を踏まえ、令和3(2021)年11月、「会計監査の在り方に関する懇談会(令和3事務年度)論点整理」において、高品質な会計監査を実施するための環境整備の観点から、内部統制報告制度の在り方に関して、内部統制の整備・運用状況について分析を行い、国際的な内部統制・リスクマネジメントの議論の進展も踏まえながら、必要に応じて、内部統制の実効性向上に向けた議論を進めることが必要であるとされた。

こうしたことから、当審議会は、令和4(2022)年10月から内部統制部会において、内部統制の実効性向上を図る観点から審議・検討を開始した。このたび、内部統制部会において、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(公開草案)」をとりまとめたので、これを公表し、広く各界の意見を求めることとした。

なお、内部統制部会の審議においては、以下の問題提起があった。

  • サステナビリティ等の非財務情報の内部統制報告制度における取扱いについては、当該情報の開示等に係る国内外における議論を踏まえて検討すべきではないか。
  • ダイレクト・レポーティング(直接報告業務)を採用すべきかについては、内部統制監査の在り方を踏まえ、検討すべきではないか。
  • 内部統制監査報告書の開示の充実に関し、例えば、内部統制に関する「監査上の主要な検討事項」を採用すべきかについては、内部統制報告書における開示の進展を踏まえ検討すべきではないか。
  • 訂正内部統制報告書について、現在監査を求めていないが、監査人による関与の在り方について検討すべきではないか。
  • 経営者の責任の明確化や経営者による内部統制無効化への対応等のため、課徴金を含めた罰則規定の見直しをすべきではないか。
  • 会社法に内部統制の構築義務を規定する等、会社法と調整していくべきであり、将来的に会社法と金融商品取引法の内部統制を統合し、内部統制の4つの目的をカバーして総合判断できるようにすべきではないか。
  • 代表者による確認書において、内部統制に関する記載の充実を図ることを検討すべきではないか。
  • 定期的な開示から臨時的な開示に金融商品取引法が動いているのであれば、臨時報告書についても内部統制を意識すべきではないか。

これらについては、法改正を含む更なる検討が必要な事項であることから、中長期的な課題とすることとした。

 

二 主な改訂点とその考え方

(1)内部統制の基本的枠組み

1. 報告の信頼性

サステナビリティ等の非財務情報に係る開示の進展やCOSO報告書の改訂を踏まえ、内部統制の目的の一つである「財務報告の信頼性」を「報告の信頼性」とすることとした。報告の信頼性は、組織内及び組織の外部への報告(非財務情報を含む。)の信頼性を確保することをいうと定義するとともに、「報告の信頼性」には「財務報告の信頼性」が含まれ、金融商品取引法上の内部統制報告制度は、あくまで「財務報告の信頼性」の確保が目的であることを強調した。

2. 内部統制の基本的要素

「リスクの評価と対応」においては、COSO報告書の改訂を踏まえ、リスクを評価するに際し不正に関するリスクについて考慮することの重要性や考慮すべき事項を明示した。また、「情報と伝達」については、大量の情報を扱う状況等において、情報の信頼性の確保におけるシステムが有効に機能することの重要性を記載した。さらに、「ITへの対応」では、ITの委託業務に係る統制の重要性が増していること、サイバーリスクの高まり等を踏まえた情報システムに係るセキュリティの確保が重要であることを記載した。

3. 経営者による内部統制の無効化

内部統制を無視ないし無効ならしめる行為に対する、組織内の全社的又は業務プロセスにおける適切な内部統制の例を示した。また、当該行為が経営者以外の業務プロセスの責任者によってなされる可能性もあることを示した。

4. 内部統制に関係を有する者の役割と責任

監査役等については、内部監査人や監査人等との連携、能動的な情報入手の重要性等を記載した。また、内部監査人については、熟達した専門的能力と専門職としての正当な注意をもって職責を全うすること、取締役会及び監査役等への報告経路も確保すること等の重要性を記載した。

5. 内部統制とガバナンス及び全組織的なリスク管理

内部統制とガバナンス及び全組織的なリスク管理は一体的に整備及び運用されることの重要性を明らかにし、これらの体制整備の考え方として、3線モデル等を例示した。

 

(2) 財務報告に係る内部統制の評価及び報告

1. 経営者による内部統制の評価範囲の決定

経営者が内部統制の評価範囲を決定するに当たって、財務報告の信頼性に及ぼす影響の重要性を適切に考慮すべきことを改めて強調するため、評価範囲の検討における留意点を明確化した。具体的には、評価対象とする重要な事業拠点や業務プロセスを選定する指標について、例示されている「売上高等の概ね2/3」や「売上、売掛金及び棚卸資産の3勘定」を機械的に適用すべきでないことを記載した。

また、評価範囲に含まれない期間の長さを適切に考慮するとともに、開示すべき重要な不備が識別された場合には、当該開示すべき重要な不備が識別された時点を含む会計期間の評価範囲に含めることが適切であることを明確化した。評価対象に追加すべき業務プロセスについては、検討に当たって留意すべき業務プロセスの例示等を追加した。

さらに、評価範囲に関する監査人との協議について、評価範囲の決定は経営者が行うものであるが、監査人による指導的機能の発揮の一環として、当該協議を、内部統制の評価の計画段階及び状況の変化等があった場合において、必要に応じ、実施することが適切であることを明確化した。

なお、上記の「売上高等の概ね2/3」や「売上、売掛金及び棚卸資産の3勘定」について、それらを機械的に適用せず、評価範囲の選定に当たって財務報告に対する影響の重要性を適切に勘案することを促すよう、基準及び実施基準における段階的な削除を含む取扱いに関して、今後、当審議会で検討を行うこととしている。

2. ITを利用した内部統制の評価

ITを利用した内部統制の評価について留意すべき事項を記載した。この評価に関して、一定の頻度で実施することについては、経営者は、IT環境の変化を踏まえて慎重に判断し、必要に応じて監査人と協議して行うべきであり、特定の年数を機械的に適用すべきものではないことを明確化した。

3. 財務報告に係る内部統制の報告

内部統制報告書において、記載すべき事項を明示した。経営者による内部統制の評価の範囲について、重要な事業拠点の選定において利用した指標の一定割合等の決定の判断事由等について記載することが適切であるとした。また、前年度に開示すべき重要な不備を報告した場合における当該開示すべき重要な不備に対する是正状況を付記事項に記載すべき項目として追加した。

 

(3) 財務報告に係る内部統制の監査

監査人は、実効的な内部統制監査を実施するために、財務諸表監査の実施過程において入手している監査証拠の活用や経営者との適切な協議を行うことが重要である。

監査人は、経営者による内部統制の評価範囲の妥当性を検討するに当たっては、財務諸表監査の実施過程において入手している監査証拠も必要に応じて、活用することを明確化した。また、評価範囲に関する経営者との協議については、内部統制の評価の計画段階、状況の変化等があった場合において、必要に応じて、実施することが適切であるとしつつ、監査人は独立監査人としての独立性の確保を図ることが求められることを明確化した。

また、監査人が財務諸表監査の過程で、経営者による内部統制評価の範囲外から内部統制の不備を識別した場合には、内部統制報告制度における内部統制の評価範囲及び評価に及ぼす影響を十分に考慮するとともに、必要に応じて、経営者と協議することが適切であるとした。

 

三 内部統制報告書の訂正時の対応

近年、開示すべき重要な不備が当初の内部統制報告書においてではなく、後日、内部統制報告書の訂正によって報告される事例や、経営者による内部統制の評価範囲外から当該不備が識別される事例が一定程度見受けられる。また、訂正内部統制報告書においては、現在、当該不備が当初の内部統制報告書において報告されなかった理由、及び当該不備の是正状況等についての記載は求められていない。

こうしたことから、事後的に内部統制の有効性の評価が訂正される際には、訂正の理由が十分開示されることが重要であり、訂正内部統制報告書において、具体的な訂正の経緯や理由の開示を求めるために、関係法令について所要の整備を行うことが適当である。

 

四 適用時期等

  1. 改訂基準及び改訂実施基準は、令和6(2024)年4月1日以後開始する事業年度における財務報告に係る内部統制の評価及び監査から適用する。なお、改訂基準及び改訂実施基準を適用するに当たり、関係法令等において、基準・実施基準の改訂に伴う所要の整備を行うことが適当である。
  2. 改訂基準及び改訂実施基準を実務に適用するに当たって必要となる内部統制監査の実務の指針については、日本公認会計士協会において、関係者とも協議の上、適切な手続の下で、早急に作成されることが要請される。

 

 

 

 

| | Comments (0)

2022.12.08

EU理事会 AI法に関する見解を採択

こんにちは、丸山満彦です。

EUのAI法案の行方が注目されていますね。。。EU理事会がAI法に関する見解を採択したというプレスがありましたね。。。

これをベースに欧州理事会は欧州議会と議論をする感じですね。。。それが同意に達したら、あとは議会での採択、、、という感じになっていくのでしょうかね。。。

 

Council of the EU

・2022.12.06 Artificial Intelligence Act: Council calls for promoting safe AI that respects fundamental rights

 

Artificial Intelligence Act: Council calls for promoting safe AI that respects fundamental rights 人工知能法:理事会、基本的権利を尊重した安全なAIの推進を要請
The Council has adopted its common position (‘general approach’) on the Artificial Intelligence Act. Its aim is to ensure that artificial intelligence (AI) systems placed on the EU market and used in the Union are safe and respect existing law on fundamental rights and Union values. 理事会は、人工知能法に関する共通の見解(「一般的なアプローチ」)を採択した。その目的は、EU市場に投入され、EU内で使用される人工知能(AI)システムの安全性を確保し、基本的人権とEUの価値観に関する現行法を尊重することである。
Artificial Intelligence is of paramount importance for our future. Today, we managed to achieve a delicate balance which will boost innovation and uptake of artificial intelligence technology across Europe. With all the benefits it presents, on the one hand, and full respect of the fundamental rights of our citizens, on the other. 人工知能は、私たちの未来にとって最も重要なものである。今日、我々は、欧州全体の人工知能技術の革新と取り込みを後押しする、微妙なバランスを達成することができた。一方では、人工知能がもたらすあらゆる利点を享受し、他方では、市民の基本的権利を完全に尊重することができる。
Ivan Bartoš, Czech Deputy Prime Minister for digitalisation and minister of regional development イワン・バルトシュ、チェコ共和国副首相(デジタル化担当)兼地域開発担当大臣
The draft regulation presented by the Commission in April 2021 is a key element of the EU’s policy to foster the development and uptake across the single market of safe and lawful AI that respects fundamental rights. 2021年4月に欧州委員会が提示した規制案は、基本的権利を尊重した安全かつ合法的なAIの開発と単一市場全体での普及を促進するというEUの政策の重要な要素である。
The proposal follows a risk-based approach and lays down a uniform, horizontal legal framework for AI that aims to ensure legal certainty.  It promotes investment and innovation in AI, enhances governance and effective enforcement of existing law on fundamental rights and safety, and facilitates the development of a single market for AI applications. It goes hand in hand with other initiatives, including the Coordinated Plan on Artificial Intelligence which aims to accelerate investment in AI in Europe. この提案は、リスクベースのアプローチに従い、法的確実性を確保することを目的とした、AIに関する統一的で水平な法的枠組みを定めている。  AIへの投資とイノベーションを促進し、基本的権利と安全性に関する既存の法律のガバナンスと効果的な執行を強化し、AIアプリケーションの単一市場の発展を促進するものである。欧州におけるAIへの投資を加速させることを目的とした「人工知能に関する調整計画」など、他のイニシアチブとも連動している。
Definition of an AI system AIシステムの定義
To ensure that the definition of an AI system provides sufficiently clear criteria for distinguishing AI from simpler software systems, the Council’s text narrows down the definition to systems developed through machine learning approaches and logic- and knowledge-based approaches. AIシステムの定義が、AIをより単純なソフトウェア・システムと区別するための十分明確な基準を提供することを確実にするため、理事会の文書は、機械学習アプローチと論理および知識ベースのアプローチによって開発されたシステムに定義を絞り込んでいる。
Prohibited AI practices 禁止されるAI行為
Concerning prohibited AI practices, the text extends to private actors the prohibition on using AI for social scoring. Furthermore, the provision prohibiting the use of AI systems that exploit the vulnerabilities of a specific group of persons now also covers persons who are vulnerable due to their social or economic situation. 禁止されるAI行為については、AIを社会的採点に使用することの禁止を民間事業者にも拡大した。また、特定の集団の脆弱性を利用するAIシステムの利用を禁止する規定が、社会的・経済的状況により脆弱性を有する者も対象とするようになった。
As regards the prohibition of the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces by law enforcement authorities, the text clarifies the objectives where such use is strictly necessary for law enforcement purposes and for which law enforcement authorities should therefore be exceptionally allowed to use such systems. 法執行機関による、公共のアクセス空間での「リアルタイム」遠隔生体認証システムの使用禁止に関しては、その使用が法執行目的のために厳密に必要であり、したがって法執行機関がそのシステムの使用を例外的に許可されるべき目的を明確にしている。
Classification of AI systems as high-risk AIシステムの高リスクへの分類
Regarding the classification of AI systems as high-risk, the text adds a horizontal layer on top of the high-risk classification, to ensure that AI systems that are not likely to cause serious fundamental rights violations or other significant risks are not captured. AIシステムの高リスク分類については、高リスク分類の上に水平レイヤーを追加し、重大な基本的権利侵害やその他の重大なリスクを引き起こす可能性のないAIシステムが捕捉されないように配慮している。
Requirements for high-risk AI systems 高リスクのAIシステムに対する要件
Many of the requirements for high-risk AI systems have been clarified and adjusted in such a way that they are more technically feasible and less burdensome for stakeholders to comply with, for example as regards the quality of data, or in relation to the technical documentation that should be drawn up by SMEs to demonstrate that their high-risk AI systems comply with the requirements. 高リスクAIシステムの要件の多くは、例えば、データの品質や、高リスクAIシステムが要件に準拠していることを示すために中小企業が作成すべき技術文書に関して、より技術的に実現可能で、関係者にとってより負担の少ない方法で、明確化され調整されている。
Since AI systems are developed and distributed through complex value chains, the text includes changes clarifying the allocation of responsibilities and roles of the various actors in those chains, in particular providers and users of AI systems. It also clarifies the relationship between responsibilities under the AI Act and responsibilities that already exist under other legislation, such as the relevant Union data protection or sectorial legislation, including as regards the financial services sector. AIシステムは複雑なバリューチェーンを通じて開発・流通するため、そのバリューチェーンにおける様々な関係者、特にAIシステムの提供者と利用者の責任と役割の配分を明確にする変更が盛り込まれている。また、AI法に基づく責任と、金融サービス分野を含む関連するEUデータ保護法やセクター法などの他の法律に既に存在する責任との関係も明確にしている。
General purpose AI systems 汎用AIシステム
New provisions have been added to account of situations where AI systems can be used for many different purposes (general purpose AI), and where general purpose AI technology is subsequently integrated into another high-risk system. AIシステムが多くの異なる目的(汎用AI)に使用され、汎用AI技術がその後別の高リスクシステムに統合される状況を考慮し、新たな規定が追加された。
The text specifies that certain requirements for high-risk AI systems would also apply to general purpose AI systems in such cases. However, instead of direct application of these requirements, an implementing act would specify how they should be applied in relation to general purpose AI systems, based on a consultation and detailed impact assessment and considering specific characteristics of these systems and related value chain, technical feasibility and market and technological developments. このような場合、高リスクのAIシステムに対する一定の要件が、汎用AIシステムにも適用されることが明記された。ただし、これらの要件を直接適用するのではなく、協議と詳細な影響評価に基づき、これらのシステムと関連するバリューチェーンの特定の特性、技術的実現可能性、市場と技術開発を考慮して、汎用AIシステムに関してどのように適用すべきかを実施法が規定することになろう。
Scope and provisions relating to law enforcement authorities 法執行機関に関連する範囲と規定
An explicit reference has been made to the exclusion of national security, defence, and military purposes from the scope of the AI Act. Similarly, it has been clarified that the AI Act should not apply to AI systems and their outputs used for the sole purpose of research and development and to obligations of people using AI for non-professional purposes, which would fall outside the scope of the AI Act, except for the transparency obligations. 国家安全保障、防衛、軍事目的のAI法の範囲からの除外について明確に言及された。同様に、研究開発のみを目的とするAIシステムおよびその成果物や、非専門的な目的でAIを使用する人々の義務については、透明性義務を除き、AI法の適用範囲外となることが明確化された。
Considering the specificities of law enforcement authorities, several changes have been made to provisions relating to the use of AI systems for law enforcement purposes. Notably, subject to appropriate safeguards, these changes are meant to reflect the need to respect the confidentiality of sensitive operational data in relation to their activities. 法執行機関の特殊性を考慮し、法執行目的でのAIシステムの使用に関連する規定にいくつかの変更が加えられている。特に、適切な保護措置を講じることを条件として、これらの変更は、その活動に関連する機密性の高い業務データの機密性を尊重する必要性を反映することを意図している。
Compliance framework and AI Board コンプライアンスフレームワークとAIボード
To simplify the compliance framework for the AI Act, the text contains several clarifications and simplifications to the provisions on the conformity assessment procedures. AI法の遵守の枠組みを簡素化するため、本文には適合性評価手続きに関する条項の明確化と簡素化がいくつか含まれている。
The provisions related to market surveillance have also been clarified and simplified to make them more effective and easier to implement. The text also substantially modifies the provisions concerning the AI Board, aiming to ensure that it has greater autonomy and to strengthen its role in the governance architecture for the AI Act. In order to ensure the involvement of the stakeholders in relation to all issues related to the implementation of the AI Act, including the preparation of implementing and delegated acts, a new requirement has been added for the Board to create a permanent subgroup serving as a platform for a wide range of stakeholders. 市場監視に関する規定も明確化・簡素化され、より効果的で実施しやすくなっている。また、AI委員会の自律性を高め、AI法のガバナンス体制におけるその役割を強化することを目的として、AI委員会に関する規定も大幅に修正されている。施行法や委任法の作成を含むAI法の施行に関連するすべての問題への関係者の関与を確保するため、理事会が幅広い関係者のためのプラットフォームとして機能する常設サブグループを設置することが新たに要求されている。
As regards penalties for infringements of the provisions of the AI Act, the text provides for more proportionate caps on administrative fines for SMEs and start-ups. AI法の規定に違反した場合の罰則については、中小企業や新興企業に対する行政罰の上限をより公平にすることが規定された。
Transparency and other provisions in favour of the affected persons 透明性および関係者に有利なその他の規定
The text includes several changes that increase transparency regarding the use of high-risk AI systems. Notably, some provisions have been updated to indicate that certain users of a high-risk AI system that are public entities will also be obliged to register in the EU database for high-risk AI systems. この条文には、リスクの高いAIシステムの使用に関する透明性を高めるいくつかの変更が含まれている。特に、いくつかの条項が更新され、公的機関である高リスクAIシステムの特定のユーザーは、高リスクAIシステムに関するEUデータベースへの登録も義務付けられることが示された。
Moreover, a newly added provision puts emphasis on an obligation for users of an emotion recognition system to inform natural persons when they are being exposed to such a system. さらに、新たに追加された条項では、感情認識システムの利用者が、自然人にそのようなシステムにさらされていることを知らせる義務が強調されている。
The text also makes it clear that a natural or legal person may make a complaint to the relevant market surveillance authority concerning non-compliance with the AI Act and may expect that such a complaint will be handled in line with the dedicated procedures of that authority. また、自然人または法人は、AI法の不遵守に関して関連する市場監視当局に苦情を申し立てることができ、そのような苦情が当該当局の専用手続きに沿って処理されることを期待できることを明示している。
Measures in support of innovation 技術革新を支援するための措置
With a view to creating a legal framework that is more innovation-friendly and to promoting evidence-based regulatory learning, the provisions concerning measures in support of innovation have been substantially modified in the text. よりイノベーションに適した法的枠組みの構築と、根拠に基づく規制の学習を促進する観点から、イノベーションを支援する措置に関する規定が大幅に修正された。
Notably, it has been clarified that AI regulatory sandboxes, which are supposed to establish a controlled environment for the development, testing and validation of innovative AI systems, should also allow for testing of innovative AI systems in real world conditions. 特に、革新的なAIシステムの開発、テスト、検証のための制御された環境を確立することになっているAI規制サンドボックスは、現実世界の条件下での革新的なAIシステムのテストも可能にすべきことが明確にされた。
Furthermore, new provisions have been added allowing unsupervised real-world testing of AI systems, under specific conditions and safeguards. In order to alleviate the administrative burden for smaller companies, the text includes a list of actions to be undertaken to support such operators, and it provides for some limited and clearly specified derogations. さらに、特定の条件と保護措置の下で、AIシステムの監視されていない実世界でのテストを可能にする新しい条項が追加された。また、中小企業の管理負担を軽減するため、そのような事業者を支援するために実施すべき措置のリストを盛り込み、いくつかの限定的かつ明確に指定された例外措置を規定している。
Next steps 次のステップ
The adoption of the general approach will allow the Council to enter negotiations with the European Parliament (‘trilogues’) once the latter adopts its own position with a view to reaching an agreement on the proposed regulation. 一般的アプローチの採択により、欧州議会が独自の見解を示した後、理事会は欧州議会との交渉(「三者協議」)に入り、規制案について合意に達することができるようになる。
General approach 一般的アプローチ
General approach - Statement by Germany 一般的アプローチ - ドイツの声明
Draft regulation (Commission proposal) 規制案(欧州委員会提案)
A European approach to artificial intelligence (European Commission information) 人工知能に対する欧州のアプローチ(欧州委員会情報)
A digital future for Europe (background information) 欧州のデジタルな未来 (背景情報)
Visit the meeting page  会議のページ

 

General approach

20221208-151748

・[DOCX] 仮訳

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

| | Comments (0)

欧州データ保護委員会が、Facebook、Instagram、WhatsAppに対するアイルランドのデータ保護委員会の決定に対する他のデータ保護委員会からの異議申し立てに対して調整することに。。。

こんにちは、丸山満彦です。

Meta Platforms Ireland Limitedの提供している、Facebook、Instfram、WhatsAppについてのGDPR違反に関するアイルランド・データ保護委員会の決定について、他のデータ保護委員会からの異議があったようで、欧州データ保護委員会がGDPR第65条に基づいて調整をするようですね。。。

 

European Data Protection Board: EDPB

・2022.12.06 EDPB adopts Art. 65 dispute resolution binding decisions regarding Facebook, Instagram and WhatsApp

 

EDPB adopts Art. 65 dispute resolution binding decisions regarding Facebook, Instagram and WhatsApp EDPBが、Facebook、Instagram、WhatsAppに関する第65条の紛争解決拘束力を有する決定を採択。
Brussels, 6 December - The EDPB adopted three dispute resolution decisions on the basis of Art. 65 GDPR concerning Meta Platforms Ireland Limited (Meta IE). The binding decisions address important legal issues arising from the draft decisions of the Irish SA as lead supervisory authority (LSA) regarding Meta IE platforms Facebook, Instagram and WhatsApp. The EDPB binding decisions play a key role in ensuring the correct and consistent application of the GDPR by the national Supervisory Authorities. ブリュッセル、12月6日 - EDPBは、GDPR第65条に基づく3つの紛争解決決定を採択した。第65条に基づき、Meta Platforms Ireland Limited (Meta IE)に関する3つの紛争解決決定を採択した。拘束力のある決定は、Meta IEのプラットフォームであるFacebook、Instagram、WhatsAppに関する主管庁(LSA)としてのアイルランドSAの決定草案に起因する重要な法的問題を扱っている。EDPBの拘束力のある決定は、各国の監督当局によるGDPRの正確かつ一貫した適用を保証する上で重要な役割を果たす。
The Irish SA issued the draft decisions following complaint-based inquiries into the processing activities of the three platforms. The Facebook and Instagram draft decisions concern, in particular, the lawfulness and transparency of processing for behavioural advertising. The WhatsApp draft decision concerns notably the lawfulness of processing for the purpose of the improvement of services. Several SAs issued objections on the draft decisions prepared by the Irish SA concerning, among others, the legal basis for processing (Art. 6 GDPR), data protection principles (Art. 5 GDPR), and the use of corrective measures including fines. アイルランドのSAは、3つのプラットフォームの情報処理活動に対する苦情ベースの問い合わせを受け、決定草案を発表しました。FacebookとInstagramの決定草案は、特に行動ターゲティング広告のための処理の適法性と透明性に関するものです。WhatsAppの決定書草案は、特にサービス向上を目的とした処理の適法性に関するものである。アイルランドのSAが作成した決定書草案に対して、いくつかのSAは、処理の法的根拠(GDPR第6条)、データ保護の原則(GDPR第5条)、罰金を含む是正措置の使用などに関して異議を唱えた。
As no consensus was reached on these objections, the EDPB was called upon to settle the dispute between the SAs within two months. これらの異議申し立てについて合意に至らなかったため、EDPBは2ヶ月以内にSA間の紛争を解決するよう要請された。
In its binding decisions, the EDPB settles, among others, the question of whether or not the processing of personal data for the performance of a contract is a suitable legal basis for behavioural advertising, in the cases of Facebook and Instagram, and for service improvement, in the case of WhatsApp.   EDPBはその拘束力のある決定において、特に、FacebookとInstagramの場合、契約履行のための個人データの処理が行動ターゲティング広告の適切な法的根拠となるかどうか、WhatsAppの場合、サービス改善のための法的根拠となるかどうかという問題に決着をつけることになる。  
The LSA shall adopt its three final decisions, addressed to the controller, on the basis of the EDPB binding decisions, taking into account the EDPB's legal assessment, at the latest one month after the EDPB has notified its decisions. The EDPB will publish its decisions on its website after the LSA has notified its national decisions to the controller. LSAは、EDPBの拘束力のある決定に基づいて、EDPBの法的評価を考慮し、遅くともEDPBが決定を通知してから1ヶ月後に、管理者宛の3つの最終決定を採択するものとする。EDPBは、LSAが国内決定を管理者に通知した後、その決定をウェブサイトに掲載する。
Note to editors: 編集後記
For further information on the Art. 65 procedure, please consult the FAQ 第65条の手続きの詳細については、FAQを参照のこと。

 

1_20221207192801

 


 

ちなみに、GDPRの日本語訳は、個人情報保護委員会にありますね。。。

個人情報保護委員会

・[PDF] 一般データ保護規則(GDPR)の条文

第65条...

Article 65  Dispute resolution by the Board  第65条 欧州データ保護会議による対立の解決 
1. In order to ensure the correct and consistent application of this Regulation in individual cases, the Board shall adopt a binding decision in the following cases:   1. 個々の事案における本規則の適正かつ一貫性のある適用を確保するため、欧州データ保護会議は、以下の場合、拘束力のある決定を採択する: 
(a) where, in a case referred to in Article 60(4), a supervisory authority concerned has raised a relevant and reasoned objection to a draft decision of the lead authority or the lead authority has rejected such an objection as being not relevant or reasoned. The binding decision shall concern all the matters which are the subject of the relevant and reasoned objection, in particular whether there is an infringement of this Regulation;    (a) 第60 条第4 項に規定する場合において、主監督機関の決定案に対して、関係監督機関が、関連性があり理由を付した異議を述べた場合、又は、主監督機関が、関連性若しくは理由がないものとして、その異議を却下した場合。その拘束力のある決定は、関連性があり理由を付した異議の対象となっている全ての事項、とりわけ、本規則の違反があるか否かに関するものとする。 
(b) where there are conflicting views on which of the supervisory authorities concerned is competent for the main establishment;   (b) どの関係監督機関が主たる拠点に対する職務権限をもつかに関し、見解の対立がある場合; 
(c) where a competent supervisory authority does not request the opinion of the Board in the cases referred to in Article 64(1), or does not follow the opinion of the Board issued under Article 64. In that case, any supervisory authority concerned or the Commission may communicate the matter to the Board.  (c) 第64 条第1 項に規定する場合において、職務権限をもつ監督機関が欧州データ保護会議の意見を求め   ない場合、又は、第64 条に基づいて発せられる欧州データ保護会議の意見に従わない場合。その場合、関係監督機関又は欧州委員会は、欧州データ保護会議に対し、そのことを連絡できる。 
2.  The decision referred to in paragraph 1 shall be adopted within one month from the referral of the subject-matter by a twothirds majority of the members of the Board. That period may be extended by a further month on account of the complexity of the subject-matter. The decision referred to in paragraph 1 shall be reasoned and addressed to the lead supervisory authority and all the supervisory authorities concerned and binding on them.  2. 第1 項に規定する決定は、その事項付託があった時から1 か月以内に、欧州データ保護会議の構成員の3 分の2 の多数によって、採択される。この期間は、対象事項複雑性を考慮に入れた上で、さらに1 か月延長できる。第1 項に規定する決定は、その理由を付し、主監督機関及び全ての関係監督機関に宛てるものとし、かつ、それらの者を拘束する。 
3. Where the Board has been unable to adopt a decision within the periods referred to in paragraph 2, it shall adopt its decision within two weeks following the expiration of the second month referred to in paragraph 2 by a simple majority of the members of the Board. Where the members of the Board are split, the decision shall by adopted by the vote of its Chair.  3. 欧州データ保護会議が第2 項に規定する期間内に決定を採択できない場合、欧州データ保護会議は、第2 項に規定する2 か月目が経過した後の2 週間以内に、欧州データ保護会議の構成員の単純多数決により、その決定を採択する。欧州データ保護会議の構成員が可否同数の場合、その決定は、議長の投票によって採択される。 
4. The supervisory authorities concerned shall not adopt a decision on the subject matter submitted to the Board under paragraph 1 during the periods referred to in paragraphs 2 and 3.  4. 関係監督機関は、第 2 項及び第 3 項に規定する期間内においては、第 1 項に基づいて欧州データ保護会議に付託された事項に関する決定を採択してはならない。 
5. The Chair of the Board shall notify, without undue delay, the decision referred to in paragraph 1 to the supervisory authorities concerned. It shall inform the Commission thereof. The decision shall be published on the website of the Board without delay after the supervisory authority has notified the final decision referred to in paragraph 6.  5. 欧州データ保護会議の議長は、関係監督機関に対し、不当な遅滞なく、第1 項に規定する決定を通知する。議長は、欧州委員会に対し、そのことを通知する。その決定書は、その監督機関が第6 項に規定する 終決定の通知をした後、遅滞なく、欧州データ保護会議のWeb サイト上で公表される。 
6. The lead supervisory authority or, as the case may be, the supervisory authority with which the complaint has been lodged shall adopt its final decision on the basis of the decision referred to in paragraph 1 of this Article, without undue delay and at the latest by one month after the Board has notified its decision. The lead supervisory authority or, as the case may be, the supervisory authority with which the complaint has been lodged, shall inform the Board of the date when its final decision is notified respectively to the controller or the processor and to the data subject. The final decision of the supervisory authorities concerned shall be adopted under the terms of Article 60(7), (8) and (9). The final decision shall refer to the decision referred to in paragraph 1 of this Article and shall specify that the decision referred to in that paragraph will be published on the website of the Board in accordance with paragraph 5 of this Article. The final decision shall attach the decision referred to in paragraph 1 of this Article.  6. 主監督機関、又は、事案により、異議申立てを受けた監督機関は、本条第1 項に規定する決定に基づき、不当な遅滞なく、かつ、欧州データ保護会議がその決定を通知した後遅くとも1 か月以内に、その監督機関の終決定書を採択する。その主監督機関、又は、事案により、その異議申立てを受けた監督機関は、欧州データ保護会議に対し、その 終決定書が管理者又は処理者及びデータ主体に送付された日付を通知する。関係監督機関の 終決定は、第 60 条第 7 項、第 8 項及び第 9 項条件に基づいて採択される。 終決定書は、本条第 1 項に規定する決定書を参照するものとし、かつ、同項に規定する決定書が本条の第5 項に従って委員会のWeb サイト上で公表されることを表記する。 終決定書は、本条第1 項に規定する決定書を添付する。 

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.12.06 アイルランド データ保護委員会がフェイスブックの「データスクレイピング」調査に関する決定を発表/罰金265百万ユーロ(約380億円)(2022.11.28)

 

 

| | Comments (0)

米国 国防総省はサイバーセキュリティ実習生制度に貢献

こんにちは、丸山満彦です。

米国の国防総省が、サイバーセキュリティ実習生制度に貢献していると広報していますね。。。

U.S. Department of Defense

・2022.12.06 DOD Contributes to Registered Cybersecurity Apprenticeship Program

 

DOD Contributes to Registered Cybersecurity Apprenticeship Program 国防総省はサイバーセキュリティ登録実習生制度に貢献
Under the Defense Department United Services Military Apprenticeship Program umbrella, the Department of Labor has established several cybersecurity trades to support the goals of the National Cyber Security Registered Apprenticeship Program and is in the process of developing more apprenticeships. In January 2022, the DOD and DOL partnered to establish the first federal cybersecurity apprenticeship program. 国防総省連合軍実習生制度の下で、労働省は国家サイバーセキュリティ登録実習生制度の目標をサポートするためにいくつかのサイバーセキュリティ職業を設立し、さらに新たな実習生制度を開発中である。2022年1月、国防総省と労働省は提携し、初の連邦サイバーセキュリティ実習生制度を設立した。
Since the program's inception, the DOD identified and developed standards for 15 critical cybersecurity occupations to address military needs and potentially serve as a model for other federal agencies as well. プログラムの開始以来、DODは軍のニーズに対応し、他の連邦機関のモデルとしても機能する可能性のある15の重要なサイバーセキュリティ職業を特定し、その基準を開発した。
Spotlight: Engineering in the DOD スポットライト:国防総省のエンジニアリング
The largest DOL registered apprenticeship program, USMAP is a formal military training program that provides enlisted active-duty and reserve service members opportunities to improve their job skills and the ability to earn a nationally recognized journeyworker certificate upon completion. As part of the portfolio of the Office of the Undersecretary of Defense for Personnel and Readiness, USMAP permits enrolled service members to record their on-duty work hours for time-based apprenticeships or demonstrate existing mastery through competency-based apprenticeships.     DOL最大の登録実習生制度であるUSMAPは、正式な軍事訓練プログラムで、現役の下士官と予備役が職務スキルを向上させる機会を提供し、修了時には全国的に認められた職人証明書を取得することができる。USMAPは、国防総省の人事・即応担当次官室のポートフォリオの一部として、登録した軍人が時間ベースの実習のために勤務時間を記録したり、能力ベースの実習を通じて既存の習得を証明することを許可している。   
Since inception of the first federal cybersecurity apprenticeship program via USMAP, 15 critical cybersecurity occupations have been finalized and approved. Five critical cybersecurity occupations were approved earlier in 2022, and 10 were approved during a 120-Day Cybersecurity Apprenticeship Sprint. Both departments are working to finalize other additional cybersecurity occupational areas over the next several months.  USMAP による初の連邦サイバーセキュリティ実習生制度の開始以来、15の重要なサイバーセキュリティ職業が最終決定され承認された。5つの重要なサイバーセキュリティ職業は2022年の早い時期に承認され、10は120日間のサイバーセキュリティ見習いスプリントの間に承認された。両省は、今後数カ月の間に他の追加のサイバーセキュリティ職業分野を確定させるべく取り組んでいる。 
Cybersecurity Apprenticeship Sprint is a national campaign to encourage employers, industry associations, labor unions and training providers to explore registered apprenticeships as a recruitment, training and retention strategy and connect with the Department of Labor's Office of Apprenticeship to develop new apprenticeship programs or quickly join existing programs. Within the DOD and DOL, USMAP is strengthening technical apprenticeable skills in targeted areas and facilitating private sector employment opportunities for transitioning Service members.  サイバーセキュリティ実習生(春)は、雇用主、業界団体、労働組合、訓練プロバイダーが、採用・訓練・定着戦略として登録見習い制度を検討し、労働省の見習い局と連携して新しい見習い制度の開発や既存の制度への早期参加を促す全国キャンペーンである。DODとDOL内では、USMAPが対象分野の見習い可能な技術力を強化し、移行する軍人の民間企業での雇用機会を促進させている。 
Furthermore, DOD issued a memo — jointly signed by the Chief Information Officer and the Undersecretary of Defense for Acquisition and Sustainment — aimed at expanding the cybersecurity workforce by encouraging the use of registered apprenticeship programs. These efforts will help DOD and the defense industrial base continue to identify, recruit, develop and retain the cybersecurity workforce that can support the nation's efforts to defend against current and future cyber threats and attacks. さらに、DODは、登録実習生制度の利用を奨励することにより、サイバーセキュリティの労働力を拡大することを目的とした、最高情報責任者と取得・維持担当国防次官の連名によるメモを発表した。これらの取り組みにより、国防総省と防衛産業基盤は、現在および将来のサイバー脅威と攻撃から国を守る取り組みを支援できるサイバーセキュリティ人材の特定、採用、開発、保持を継続的に行うことができる。
"Our peers in federal government and industry can leverage the DOD's already established cybersecurity registered apprenticeships to create their own within their organizations," Gary Schaub, senior advisor for professional military education in the OUSD P&R, said. "Commonality will enhance recruitment and retention of the cybersecurity workforce as well as foster common competency and portability across federal government and industry."  OUSD P&Rの職業軍人教育担当上級顧問のGary Schaubは次のように述べている。「連邦政府と産業界の仲間は、国防総省がすでに設立したサイバーセキュリティ登録実習制度を活用して、それぞれの組織で独自の実習を行うことができる。共通化することで、サイバーセキュリティ人材の採用と維持を強化し、連邦政府と産業界に共通する能力と移植性を促進する。」 
The 15 USMAP cybersecurity apprenticeships, developed by the DOD and approved by the DOL Office of Apprenticeship throughout the Cybersecurity Apprenticeship Sprint, include the following: DODが開発し、サイバーセキュリティ見習いスプリントを通じてDOLの見習い室が承認した15のUSMAPサイバーセキュリティ見習いには、以下のものが含まれる。
・Network Operations Specialist  ・ネットワーク・オペレーション・スペシャリスト 
・Cyber IT Knowledge Manager  ・サイバーITナレッジマネージャー
・Cyber Defense Incident Responder  ・サイバーディフェンス・インシデント・レスポンダー
・Technical Security Specialist  ・テクニカルセキュリティスペシャリスト 
・Customer Service Tech Support  ・カスタマー・サービス・テクニカルサポート 
・Fiber Technician  ・ファイバー技術者 
・Cyber Database Administrator  ・サイバーデータベース管理者 
・Cyber Defense Analyst  ・サイバーディフェンスアナリスト 
・System Security Analyst  ・システムセキュリティアナリスト 
・Vulnerability Assessment Analyst  ・脆弱性診断アナリスト 
・Cyber Defense Infrastructure Support Specialist  ・サイバーディフェンスインフラサポートスペシャリスト 
・System Admin  ・システム管理者 
・Cyber Digital Forensics  ・サイバーデジタルフォレンジック 
・Cyber All Source Analyst  ・サイバーオールソースアナリスト 
・Cyber Intel Planner  ・サイバーインテルプランナー 
The DOD has taken action in the cybersecurity apprenticeship space and will continue to promote development of tools and resources designed to empower service members and veterans to pursue training and credentialing opportunities that will help them succeed in military and civilian careers alike.  While the DOD ensures the military services are prepared to execute the mission requirements for national defense — today and in the future — their actions also compliment the civilian industries' employment demand signals and changes to meet the nation's needs. The DOD stands ready to support service members and veterans to meet both of these challenges. DOD はサイバーセキュリティ見習い分野で行動を起こしており、軍人と退役軍人が軍人と民間人のキャリアで同様に成功するのに役立つ訓練と資格取得の機会を追求できるように設計されたツールとリソースの開発を引き続き推進する。  DOD は軍部が現在および将来の国防のための任務要件を遂行できるようにする一方で、その行動は民間産業の雇用需要シグナルを補完し、国家のニーズを満たすように変化させるものである。DODは、これら2つの課題に対応するために、軍人と退役軍人を支援する準備が整っている。

 

United Services Military Apprenticeship Program: USMAP

20221207-153804

| | Comments (0)

2022.12.07

デジタル庁 マイナンバーカードと健康保険証の一体化に関する検討会(第1回)

こんにちは、丸山満彦です。

デジタル庁で、マイナンバーカードと健康保険証の一体化に関する検討会(第1回)が開催されたようですね。。。

■ 検討会

 ● 構成員は、

  • 河野 太郎 デジタル大臣
  • 松本 剛明 総務大臣
  • 加藤 勝信 厚生労働大臣


専門家ワーキンググループ

 ●
座長
は、

  • 村上 敬亮 デジタル庁国民向けサービスグループ統括官

 ●
構成員

  • 吉川 浩民 総務省自治行政局長
  • 伊原 和人 厚生労働省保険局長
  • 長島 公之 日本医師会常任理事
  • 遠藤 秀樹 日本歯科医師会副会長
  • 森 昌平 日本薬剤師会副会長
  • 伊藤 悦郎 健康保険組合連合会常務理事
  • 岡﨑 誠也 国民健康保険中央会会長

となっていますね。。。

■ 第1回委員会

 ●
議事
は、

  1. 検討会について
    • 検討会について
    • 専門家ワーキンググループについて
  2. 検討会における検討事項
  3. 今後の進め方について

 ●
資料
は、

 

20221207-142843

 

ということで。。。

 

 

| | Comments (0)

米国 国防総省 ナカソネ陸軍将が「ウクライナとのサイバーセキュリティに関する提携が功を奏した」と話たようですね @レーガン国防フォーラム

こんにちは、丸山満彦です。

米国の国防総省の発表で、ロナルド・レーガン大統領図書館で12月2日に開催されたレーガン国防フォーラムのパネルディスカッションでナカソネ陸軍将(4星)、ケンドール空軍長官の発言が公開されていますね。。。

連携でうまくいった例として、安全で確実な選挙を実施したことを挙げていますね。。。

 

U.S. Department of Defense

・2022.12.03 Partnering With Ukraine on Cybersecurity Paid Off, Leaders Say

 

Partnering With Ukraine on Cybersecurity Paid Off, Leaders Say ウクライナとのサイバーセキュリティに関する提携が功を奏したと首脳陣が語る
A year ago, a hunt forward 10-member team of the U.S. Cyber Command's Cyber National Mission Force arrived in Kyiv, Ukraine. 1年前、米サイバー司令部のサイバー・ナショナル・ミッション・フォースのハントフォワード・チームの10人がウクライナのキーウに到着した。
The Marine Corps major leading that team called back and she said, "We're gonna be here for a bit," said Army Gen. Paul M. Nakasone, commander, U.S. Cyber Command and director, National Security Agency/chief, Central Security Service.  米サイバー軍司令官兼国家安全保障局長官兼中央安全保障局長のポール・M・ナカソネ陸軍将(4星)は、「チームを率いる海兵隊少佐が電話をかけてきて、『私たちは少しここにいることになる』と言った」と述べた。 
Nakasone spoke on a panel today at the Reagan National Defense Forum at the Ronald Reagan Presidential Library in Simi Valley, California.  ナカソネ将軍は今日、カリフォルニア州シミバレーにあるロナルド・レーガン大統領図書館で開催されたレーガン国防フォーラムでパネルディスカッションに参加した。 
That team grew from 10 to 39 people, working with Ukraine to strengthen its cyber defenses and provide reassurance. It paid off big-time as Russia launched its invasion, he said.  彼は次のように述べた。「ウクライナと協力してサイバー防衛を強化し、安心感を与えるために、そのチームは10人から39人に増えた。そして、ロシアが侵攻を開始したときに大きな成果を上げた」。 
The lesson: presence, persistence and the value of partnerships is what matters most, he said.  「その教訓は、存在感、粘り強さ、そしてパートナーシップの価値こそが最も重要である、ということだ」。 
The Federal Bureau of Investigation, the Cybersecurity and Infrastructure Security Agency, industry, academia, as well as foreign allies and partners are among those that the Defense Department works with closely, he said.  「連邦捜査局、サイバーセキュリティとインフラセキュリティ局、産業界、学界、そして海外の同盟国やパートナーなど、国防総省は密接に連携している」。 
A prime example is Cybercom partnering with the FBI and CISA, to ensure safe and secure elections, he mentioned.  「その代表的な例が、サイバー軍がFBIやCISAと提携し、安全で確実な選挙を実現することである」。 
"We generate really good insights. We share intelligence and information with the FBI and CISA. And then, we take action against adversaries who are going to try to do us harm," Nakasone said.  「私たちは、本当に優れた洞察力を生み出している。FBIやCISAとインテリジェンスや情報を共有する。そして、私たちに危害を加えようとする敵対者に対して行動を起こす」。 
The past year, the NSA released 24 unclassified cybersecurity advisories regarding what to expect in terms of Russian attacks on such things as the U.S. critical infrastructure, he said.  「NSAは昨年、米国の重要インフラなどに対するロシアの攻撃について、24の非機密サイバーセキュリティアドバイザリーを発表した」。 
Frank Kendall, secretary of the Air Force, who also spoke on the panel, said regarding military cyber systems, "If we put the resources into them, we can be reasonably cybersecure. … But [enemy] tactics will continue to evolve. They're going to get more sophisticated over time as we build better defenses."   同じくパネルに登壇したフランク・ケンドール空軍長官は、軍のサイバーシステムについて、次のように述べた。「リソースを投入すれば、それなりにサイバーセキュリティを確保することは可能だ。しかし、(敵の)戦術は進化し続けるだろう。我々がより良い防御を構築すればするほど、彼らはより洗練されていくだろう」。 
Over the last few decades, America's ability to secure against cyberattacks has improved pretty dramatically, he added.  「この数十年の間に、アメリカのサイバー攻撃に対する安全保障の能力は、劇的に向上した」。 
"You're never going to be perfect, but you can be highly resilient and you can be at a point where you if you get an unexpected attack, you can recover," Kendall said.  「完璧ということはありえないが、高いレジリエンスを持ち、予期せぬ攻撃を受けても回復できる状態にすることはできる」。 
When Russia attacked, Ukraine was not able to entirely defeat the cyber threat but they were able to block a lot of its impact, he said. 「ロシアが攻撃してきたとき、ウクライナはサイバー脅威を完全に打ち負かすことはできなかったが、その影響の多くをブロックすることができた」。

 

Dod

 

| | Comments (0)

英国 投資家等に対するサイバーセキュリティのリスクに対する開示等の個人的な整理....

こんにちは、丸山満彦です。

英国における投資家等に対するサイバーセキュリティのリスクに対する開示等について、整理しておきたいと思いながら、なかなかできていないのですが、まずは初めて見ないということで。。。

まずは、FRC(英国財務報告評議会)[wikipedia] の報告書から。。。FRCといえば、かつては英国の会計基準を策定していた団体ですね。今は国際会計基準になっていますが。。。そして今、監査・報告・ガバナンス機構 (ARGA: Audit, Reporting and Governance Authority) に変わろうとしていますね。。。(2023年4月に完全移行予定?)

 

The Financial Reporting Council: FRC

・2022.06.16 [PDF] Guidance on the Strategic Report

20221206-223109

7A The strategic report: content elements for entities that are not PIEs or are PIEs with 500 or fewer employees

7B The strategic report: content elements for entities that are PIEs with more than 500 employees

の7A.33, 7B.33に関連記載があります(内容は両方とも同じです。。。ので、7B.33を記載しておきます)

7B.33 Significant changes in principal risks such as a change in likelihood, probable timing or possible effect, or the inclusion of new risks, should be highlighted and explained.[32] 7B.33  可能性の変化、起こりうる時期、影響の変化など、主要なリスクの重大な変化、または新たなリスクの包含は、強調して説明されるべきである。[32]。
[32] Further information on risk management can be found in the FRC’s Guidance on Risk Management, Internal Control and Related Financial and Business Reporting for Code companies and Guidance on the Going Concern Basis of Accounting and Reporting on Solvency and Liquidity Risks for non-Code companies. [32] リスクマネジメントに関する詳しい情報は、FRCの「リスクマネジメント、内部統制、関連する財務および事業報告に関するガイダンス」(規範企業向け)、「継続企業の会計基準および支払能力と流動性リスクに関する報告に関するガイダンス」(非規範企業向け)に記載される。
Example
Where the risk profile of an entity has changed, many entities explain whether the individual risks identified have increased, decreased or remained the same severity. The risk mitigation could also show how the entity has responded to the change. 企業のリスクプロファイルが変化した場合、多くの企業は、識別した個々のリスクが増加したのか、減少したのか、それとも同じ深刻さのままなのかを説明している。また、リスク軽減は、企業がその変化にどのように対応したかを示すこともできる。
For instance, in recent years, the cyber risk faced by many entities has significantly increased. The risk disclosures could explain the ways in which cyber risk could affect the business, for instance a cyber attack, loss of sensitive data leading to a lack of customer confidence, a failure of IT systems leading to a failure to operate certain elements of the business etc. The risk mitigation could explain the processes that the entity has put in place to mitigate the increased risk. 例えば、近年、多くの企業が直面するサイバーリスクは著しく増大している。リスク開示は、サイバーリスクがどのように事業に影響を与えうるかを説明することができる。例えば、サイバー攻撃、機密データの損失による顧客の信頼喪失、ITシステムの故障による事業の特定要素の運用不能などである。リスク軽減は、企業が増大するリスクを軽減するために導入したプロセスを説明することができる。

 

・2021. 09.02 [PDF] FRC Lab Call for participants_cyber digital and data risk 2021


20221206-224334

Cyber, Digital and Data risk サイバー、デジタル、データリスク
The Financial Reporting Lab (Lab) is inviting companies, investors and other interested parties to participate in a new project around cyber, digital and data risk. This project will consider how company processes are changing and how that might translate into useful external disclosures. Contact the Lab at [mail] if you are interested in taking part. 財務報告ラボ(Lab)は、企業、投資家、その他の関係者に、サイバー、デジタル、データリスクに関する新しいプロジェクトに参加するよう呼びかけている。このプロジェクトでは、企業のプロセスがどのように変化し、それがどのように有用な外部開示につながる可能性があるかを検討する予定である。参加に興味のある方は、mail
まで連絡すること
Background 背景
As part of the Lab’s recent project on Reporting on risks, uncertainties, opportunities and scenarios, we found that companies face increasingly complex risks around digital processes, systems and data. The increase in risk is driven by changing business models, increased use of data, and the COVID-19-accelerated digital transformation of operations.  当研究所の最近のプロジェクト「リスク、不確実性、機会、シナリオに関する報告」の一環として、企業はデジタルプロセス、システム、データに関するますます複雑なリスクに直面していることが分かった。リスクの増加は、ビジネスモデルの変化、データ活用の増加、COVID-19によって加速する業務のデジタル変革によってもたらされている。
The government’s recent proposals on the resilience statement also identified digital security risk as one of the key issues businesses are expected to report on.  レジリエンス・ステートメントに関する政府の最近の提案でも、デジタル・セキュリティ・リスクは、企業が報告することが期待される重要な課題の1つであるとされている。
We have heard that, in response to this increase in risk, companies are evolving processes, oversight and mitigations. However, such changes are not always evident in external disclosures. このようなリスクの高まりに対応して、企業はプロセス、監視、緩和策を進化させていると聞いている。しかし、そのような変化は、必ずしも外部開示において明らかではない。
We therefore want to speak to companies, investors and others with an interest in this evolving risk reporting area.  そこで、この進化するリスク報告分野に関心を持つ企業、投資家、その他の方々にお話を伺いたいと考えている。
The project scope will be determined in conjunction with participants but is expected to include:  プロジェクトの範囲は参加者とともに決定されるが、以下を含むことが予想される。
• how companies’ risk management practices are evolving to counter cyber, digital and data risks;  ・企業のリスクマネジメントは,サイバー、デジタル、データリスクに対応するためにどのように進化しているか。
• how boards are building expertise in cyber, digital and data; and  ・取締役会がサイバー、デジタル、データに関する専門知識をどのように構築しているか。
• how external disclosures such as risk reports, viability and (in future) resilience statements should communicate cyber, digital and data risk and what specific disclosures would be useful when such risks crystalise. ・リスク報告書、実行可能性報告書、(将来的には)レジリエンス報告書などの外部開示は、どのようにサイバー、デジタル、データリスクを伝えるべきか、また、そのようなリスクが顕在化した場合にどのような具体的開示が有用であるか。

 

・2021.09.02 [PDF] Reporting on risks, uncertainties, opportunities and scenario

20221206-230019

P29にPageGroup2020年の年次報告書46ページとともに紹介されています。。。

Cyber, data and digital risk サイバー、データ、デジタルリスク
Like climate change, cyber, digital and data risks are becoming a topic of enhanced focus. The technological acceleration of companies’ business models driven by the COVID-19 pandemic now means that almost every company will face some type of cyber, data and digital risk (collectively or individually).  気候変動と同様に、サイバー、デジタル、およびデータのリスクは、より注目されるテーマとなっている。COVID-19の大流行によって企業のビジネスモデルが技術的に加速されたことは、ほとんどすべての企業が(集団または個人として)何らかのサイバー、データ、デジタルリスクに直面することを意味している。
As part of this project our discussions with companies identified that those at the leading edge are developing new ways to monitor and manage such risks. The Lab is undertaking a deep-dive into this risk area to understand current practice, approaches and disclosures. If you would be interested in taking part in such a project please email us at: [mail] このプロジェクトの一環として、私たちは企業との話し合いの中で、最先端を行く企業がこのようなリスクを監視・マネジメントするための新しい方法を開発していることを確認した。ラボでは、このリスク領域を深く掘り下げ、現在の実践、アプローチ、情報開示について理解することを目的としている。このようなプロジェクトに参加することに興味がある方は、mail までメールで連絡すること。


● U.K.  Department for Business, Energy & Industrial Strategy

Policy paper Restoring trust in audit and corporate governance

・2021.03.18 [PDF] Restoring trust in audit and corporate governance Consultation on the government’s proposals

20221206-232228


該当箇所は、P60の「3 New corporate reporting」の 「3.1 Resilience Statement」ですね。。。

レジリエンスに影響を与える項目として、「デジタルセキュリティリスク(外部からのサイバーセキュリティの脅威と、内部の不備から生じる大規模なデータ漏洩のリスクの両方を含む)」が例示されていますね。。。

3.1  Resilience Statement  3.1 レジリエンス・ステートメント 
The Government agrees with the Brydon Review recommendation and proposes to introduce a statutory requirement on public interest entities to publish an annual Resilience Statement, consolidating and building on the existing going concern and viability statements. The Government proposes that the Resilience Statement should be required initially of premium listed companies, in view of their existing experience of producing viability statements, and should extend to other public interest entities two years later.   政府は、ブライドン・レビューの提言に同意し、公益事業体に対して、現行の継続企業の前提条件と存続可能性報告書を統合し、さらに発展させたレジリエンス・ステートメントを毎年公表することを法的に義務付けることを提案している。政府は、レジリエンス・ステートメントを、上場企業の既存のバイアビリティ・ステートメント作成の経験に鑑み、当初はプレミアム上場企業に要求し、2年後にその他の公益事業体に拡大することを提案する。 
Background   背景  
3.1.1  How a company identifies and manages risks to its survival and success over the short, medium and long term is of considerable interest to existing and potential investors and creditors, as well as to regulators and other stakeholders. There is also a clear public interest in companies building resilience to reduce the risks of disorderly corporate failure, and the attendant social and economic shocks that such failures can cause.   3.1.1 企業が短期、中期、長期の生存と成功に対するリスクをどのように特定し、管理しているかは、既存、潜在的な投資家や債権者、規制当局や他のステークホルダーにとって大きな関心事である。また、企業が無秩序な企業破綻のリスクと、そうした破綻が引き起こす可能性のある付随的な社会的、 経済的衝撃を低減するためにレジリエンスを構築することには、明確な公共の利益が存在する。 
3.1.2  All large and medium sized companies must already disclose in their annual accounts any ‘material uncertainties’ that could affect the company’s ability to continue as a going concern under accounting standards required to be followed by UK company law . Those companies must also describe each year, within their strategic report, the principal risks and uncertainties facing the business.   3.1.2すべての大・中企業は、英国会社法で義務づけられている会計基準のもと、継続企業の前提に影響を与えうる「重要な不確実性」を年次報告書で開示しなければならない。また、これらの企業は、毎年、戦略報告書の中で、事業が直面する主なリスクと不確実性を記述しなければなりません。  
3.1.3  Additional requirements apply to premium listed companies under the UK Corporate Governance Code, underpinned by the Financial Conduct Authority’s Listing Rules. In particular, premium listed companies must publish annually a going concern statement, a viability statement, and an assessment of the company’s emerging and principal risks and explanation of how they are being managed or mitigated .   3.1.3 プレミアム上場企業には、金融行動監視機構(Financial Conduct Authority)の上場規則に基づく英国コーポレートガバナンス・コードの下で追加的な要件が適用される。特に、プレミアム上場会社は、継続企業の前提に関する記述、存続可能性に関する記述、会社の新たな主要リスクの評価、およびそれらのリスクの管理または軽減方法の説明を毎年公表しなければならない。 
3.1.4  The going concern statement requires the board to state whether it considers it appropriate to adopt the going concern basis of accounting in respect of its half-yearly and annual accounts, and identify any material uncertainties as to its ability to do so for at least the next twelve months. The viability statement requires the board to assess the prospects of the company, and to specify the period in respect of which that assessment applies and why it is appropriate. It also requires the board to state whether it has a reasonable expectation that the company will be able to continue in operation and meet its liabilities over that period, drawing attention to any qualifications or assumptions as necessary.   3.1.4 継続企業の前提に関する記述では、取締役会が半期報告書および年次報告書に関して継続企業の前提を採用することが適切と考えるかどうかを述べ、少なくとも今後12ヶ月間継続企業の前提を採用できるかどうかに関する重要な不確実性を明らかにすることを義務付けている。実行可能性報告書は、取締役会が会社の見通しを評価し、その評価が適用される期間とそれが適切である理由を明示することを要求しています。また、その期間中、会社が事業を継続し、債務を履行することができると合理的に期待できるかどうかを、必要に応じて除外項目や仮定に注意を払いながら説明することも要求している。 
3.1.5  The Brydon Review has proposed that a new Resilience Statement should set out a company’s approach to exploring and mitigating risks and uncertainties over the short term (12 years), medium term (5 years) and long-term (an indefinite period to be determined by the company) . The Review recommends that, in doing so, the Statement should incorporate and build on the existing going concern and viability statements, including greater transparency on the potential ‘material uncertainties’ considered by companies in their going concern assessment, and greater use of scenario testing.   3.1.5 ブライドン・レビューは、新しいレジリエンス・ステートメントが、短期(1, 2年)、中期(5年)、長期(会社が決定する無期限)のリスクと不確実性を調査・軽減する会社のアプローチを示すべきであると提唱している。その際、企業が継続企業の評価で考慮する潜在的な「重要な不確実性」の透明性を高め、シナリオ・テストをより活用するなど、既存の継続企業の評価と実行可能性の評価を取り込み、構築することを提言している。 
Government proposals   政府の提案  
3.1.6  The Government accepts the Brydon Review proposal in principle, subject to consultation on the specific implementation options set out below. There is strong investor and wider stakeholder interest in how companies are building business resilience to cope with severe yet plausible scenarios in the short and medium term, and in understanding how a company’s directors are exploring and preparing for likely challenges over the long term. Better disclosures of management thinking on resilience enable better informed investment decisions which can lower the cost of capital.   3.1.6 政府は、以下に示す具体的な実施方法についての協議を前提として、原則としてブライドン・レビューの提案を受け入れている。企業が、短期・中期的に、厳しいがもっともらしいシナリオに対処するために、どのように事業のレジリエンスを構築しているか、また、企業の取締役が長期的に起こりうる課題についてどのように検討し準備しているかを理解することに、投資家や幅広いステークホルダーが強い関心を持っています。レジリエンスに関する経営陣の考え方の開示が改善されれば、より良い情報に基づく投資判断が可能となり、 資本コストを引き下げることができる。 
3.1.7  The experience of Covid-19 has further increased investor appetite for fuller and more meaningful disclosures by companies about how they are planning for potential future challenges. It has heightened expectations that companies will be able to explain how they are preparing to cope with liquidity, solvency and operational risks during a prolonged period of uncertainty. 3.1.7 Covid-19 の経験から、企業が将来の潜在的な課題にどのように対処するかについて、より充実した意味のある情報開示を求める投資家の欲求がさらに高まった。不確実性が長期化する中で、企業が流動性、ソルベンシー、オペレーショナルリスクに対処するための準備をどのように行っているかを説明できるようになることへの期待が高まった。
3.1.8  Existing risk and viability reporting requirements produce useful disclosures, although much reporting in practice does not look beyond the next three years. The viability statement in particular has not proved as effective as originally hoped. As a number of investors have pointed out, most companies prepare viability statements on a three year forward look, which does not cover how a company is planning to survive and thrive through a typical business cycle . Investors have also pointed to a relative lack of detail on the risk scenario planning referred to in many viability statements. The Government therefore sees a strong case for a single consolidated statement that is more useful to investors than the two existing reports.  3.1.8 リスクと実現可能性の報告に関する既存の要求事項は、有用な情報開示をもたらすが、 実務上の報告の多くは、今後3年間を見通したものではない。特に実現可能性ステートメントは、当初期待されたほどには有効でないことが判明している。多くの投資家が指摘しているように、ほとんどの企業は、3年先まで見通した実現可能性ステートメントを作成しており、これでは、企業が通常のビジネスサイクルの中でどのように生き残り、繁栄していくかをカバーできていない。また、投資家からは、多くの実現可能性ステートメントで言及されているリスクシナリオの計画について、相対的に詳細が欠けているとの指摘がなされている。そのため、政府は、既存の2つの報告書よりも投資家にとって有用な単一の連結報告書を作成することを強く推奨しています。
Resilience Statement – implementation options  レジリエンス・ステートメント - 実施オプション 
Minimum new reporting requirements  新しい報告要件の最小化 
3.1.9  The Government accepts the Brydon Review proposal that the Resilience Statement should address business resilience over the short, medium and long-term.  3.1.9 政府は、レジリエンス・ステートメントが短期、中期、長期の事業の回復力を扱うべきであるというブライドン・rレビューの提言を受諾している。
3.1.10 The short-term section of the Statement would incorporate companies’ existing going concern statement, including disclosure of any material uncertainties considered by management during their going concern assessment, which were subsequently determined not to be material after the use of significant judgement and/or the introduction of mitigating action. Such disclosures are currently required under international financial reporting standards in respect of the application of significant judgement, but the Government accepts the Brydon Review proposal that this should be required in the Resilience Statement, including disclosure of uncertainties no longer judged material after mitigating action. This has the potential to drive better compliance and more informative reporting in this area. 3.1.10 ステートメントの短期セクションには、継続企業の評価において経営陣が考慮した重要な不確実性のうち、重要な判断を経て、あるいは緩和策を導入した結果、重要ではないと判断されたものの開示を含む、企業の現行の継続企業の記述を組み込むことになる。このような開示は、現在、重要な判断の適用に関して国際財務報告基準で要求されているが、政府は、緩和措置の後に重要でなくなった不確実性の開示を含め、これをレジリエンス・ステートメントで要求すべきであるというブライドン・レビューの提案を受け入れている。これは、この分野でのコンプライアンス向上と、より有益な報告を促進する可能性を持っている。 
3.1.11 The medium term section of the Statement would incorporate the existing viability statement requirements to provide an assessment of the company’s prospects and resilience, and to address matters which may threaten the company’s ability to continue in operation and meet its financial liabilities as they fall due . However, the Government agrees with the Brydon Review that the mandatory assessment period should be five years, rather than the three year period currently chosen by most companies who produce viability statements. The Government also agrees with the Brydon Review that viability reporting over the medium term should do more to evidence scenario planning by companies  and views are invited on how this could best be achieved in practice. The Government intends, at this stage, to require companies to include at least two reverse stress testing scenarios in their Resilience Statement. 3.1.11ステートメントの中期セクションは、会社の見通しとレジリエンスの評価を提供し、会社が事業を継続し、期限が到来した金融負債を支払う能力を脅かす可能性のある問題に対処するために、既存の実現可能性ステートメントの要件を取り入れることになる。しかし、政府は、強制的な評価期間を、実現可能性ステートメントを作成する多くの企業が現在選択している3年ではなく、5年にすべきであるというブライドン・レビューに同意している。また、政府は、中期的な実現可能性ステートメントは、企業によるシナリオ・プランニングを証明するためにもっと行われるべきで、これを実際にどのように達成するのが最善であるかについて意見を求めるという点でも、ブライドン・レビューに同意している。政府は、現段階では、少なくとも2つの逆ストレステストのシナリオをレジリエンス・ステートメントに含めることを企業に要求する予定である。
3.1.12 The Government also proposes to require further specific disclosures in both the short and medium-term sections of the Resilience Statement. The existing going concern and viability statements largely leave it to companies’ discretion to determine which specific matters of risk and viability should be considered and reported. The Government accepts that companies should continue to have flexibility in the Statement to report on resilience matters most relevant and material to their individual business. The Government recognises, however, that there are resilience issues common to many, if not all, businesses, and that it could be helpful to shareholders and other users to have these addressed specifically in the Statement.   3.1.12 政府は、レジリエンス・ステートメントの短期と中期の両セクションで、さらに具体的な開示を要求することも提案している。現行の継続企業の前提に関するステートメントと実現可能性ステートメントは、リスクと存続可能性のどの具体的事項を検討し、報告すべきかを決定することを、主として企業の裁量に委ねている。政府は、企業が、個々の事業にとって最も関連性が高く重要なレジリエンス事項を報告するために、引き続きステートメントの中で柔軟性を持つべきであることを認めている。しかし、政府は、すべてではないにしても、多くの事業に共通するレジリエンス問題があり、それをステートメントで具体的に取り上げることが、株主や他の利用者にとって有用であることを認識している。 
3.1.13 These might include:  3.1.13 こうした問題には次のようなものがある。
• threats to liquidity, solvency and business continuity in response to a major disruptive event (such as a pandemic) which disrupts normal trading conditions;  ・通常の取引条件を混乱させるような大規模な破壊的事象(パンデミックなど)に対応する流動性、支払 能力、事業継続性への脅威。
• supply chain resilience and any other areas of significant business dependency (e.g. on particular markets, products or services);  ・サプライチェーンのレジリエンス、およびその他の重大な事業依存分野(特定の市場、製品、サービスなど)。
• digital security risks (both including external cyber security  threats, and the risk of major data breaches arising from internal lapses);  ・デジタルセキュリティリスク(外部からのサイバーセキュリティの脅威と、内部の不備から生じる大規模なデータ漏洩のリスクの両方を含む)。
• the business investment needs of the company to remain productive and viable;  ・生産性と生存力を維持するための事業投資の必要性
• the sustainability of the company’s dividend and wider distribution policy; and  ・会社の配当政策及びその他の分配政策の持続可能性
• climate change risk (for more on which please see paragraphs 3.1.15-3.1.18 below).  ・気候変動リスク(詳細は下記3.1.15〜3.1.18項参照) 
19. Do you agree that the above matters should be included by all companies in the Resilience Statement? If so, should they be addressed in the short or medium term sections of the Statement, or both? Should any other matters be addressed by all companies in the short and medium term sections of the Resilience Statement?   19. 上記の事項を全ての会社がレジリエンス・ステートメントに含めるべきことに同意するか。同意する場合、ステートメントの短期、中期、又はその両方のセクションで取り上げるべきであるか?その他の事項についても、レジリエンス・ステートメントの短期及び中期のセクションで全ての企業が取り上げるべきであるか? 
3.1.14 The Government agrees with the Brydon Review that the content in the long-term section of the Resilience Statement should not in general be prescribed. This section should instead set out what the directors of the company consider to be the main long-term challenges to the company and its business model, and how these are being addressed. These might include the impact of long-term changes in demographics, technology, consumer preferences and other identified trends on the company’s long-term business model.  3.1.14 政府は、レジリエンス・ステートメントの長期セクションの内容を一般的に規定すべきではないというブライドン レビューの意見に同意する。このセクションでは、代わりに、会社の取締役が会社とそのビジネスモデルに対する主な長期的課題として考えていることと、それらにどのように対処しているかを示すべきである。これには、人口統計、技術、消費者嗜好、その他特定された傾向の長期的変化が会社の長期的ビジネスモデルに与える影響も含まれるかもしれない。
3.1.15 However, the Government would welcome views on whether the Resilience Statement as a whole, including the long-term section, should specifically address the impact of climate change on the company’s business model and financial planning. In this respect, views are invited on whether the Resilience Statement could provide a means for companies in future  to provide disclosures consistent with the recommendations of the Taskforce on Climate-related Financial Disclosures (TCFD) , in whole or part. 3.1.15 しかし、政府は、長期的なセクションを含むレジリエンス・ステートメント全体が、気候変動が企業のビジネスモデルや財務計画に与える影響について具体的に取り扱うべきかどうかについての意見を歓迎する。この点に関して、レジリエンス・ステートメントが、今後企業が気候関連財務情報開示タスクフォース(TCFD)の提言に沿った情報開示を行うための手段となり得るかどうか、全体又は部分的な見解を求めたい。
3.1.16 The TCFD framework encourages companies to report on how they are identifying and managing climate change risks (and opportunities) over the short, medium and long-term, including with reference to their governance, strategy and risk assessment processes. UK companies are not currently required to report according to TCFD recommendations. The Financial Conduct Authority has recently introduced a new Listing Rule which requires premium listed companies to set out whether and where they have made disclosures in line with TCFD recommendations, and to explain why they may not have made any such disclosures . The Government has also announced plans to introduce mandatory climaterelated financial reporting in line with TCFD recommendations for all UK companies above a certain size threshold by 2025, and will consult separately on those proposals.    3.1.16 TCFDの枠組みは、ガバナンス、 戦略、リスク評価プロセスを含め、短・ 中・長期的な気候変動リスク(及び機会) をどのように特定しマネジメントしている かについて報告することを企業に奨励している。英国企業は、現在、TCFDの提言に従った報告をすることを求められていない。金融行動監視機構は最近、新しい上場規則を導入し、プレミアム上場企業に対し、TCFDの勧告に沿った開示を行っているかどうか、またどこで行っているか、そしてなぜそのような開示を行っていないのかを説明するよう求めている。また政府は、2025年までに一定規模以上の全ての英国企業に対して、TCFDの勧告に沿った気候変動関連の財務報告を義務付ける計画を発表しており、その 提案については別途協議する予定である。  
3.1.17 The TCFD focus on climate related financial disclosures across the short, medium and long term may complement the structure of reporting under the Resilience Statement. The Government is interested to hear from all interested parties on whether, and if so how, these two reporting measures might be integrated.  3.1.17 短期、中期、長期にわたる気候関連 の財務情報開示に焦点を当てたTCFDは、レジリエンス・ステートメントに基づく報告の構造を補完するものと考えられる。政府は、これら2つの報告手段を統合 するかどうか、また統合する場合にはどのように統合するかについて、全ての関係者から情報を得ることに関心を持っている。
3.1.18 The Government also agrees with the Brydon Review that companies should consider, as part of their Audit and Assurance Policy80, whether any independent assurance is required of the Resilience Statement, as well as outlining the company’s internal assurance of the Statement’s content. Any such independent assurance would be in addition to that required by the statutory audit.  3.1.18 政府は、企業が監査・保証方針80 の一環として、レジリエンス・ステートメントの内容に関する企業の内部保証の概要を示すだけでなく、 レジリエンス・ステートメントに何らかの独立した保証が必要かどうかを検討すべきであるというブライドン・レビューにも同意している。そのような独立した保証は、法定監査で要求されるものに加えられることになる。
20. Should the Resilience Statement be a vehicle for TCFD reporting in whole or part?   20. レジリエンス・ステートメントは、TCFD報告の全体または一部とすべきか? 
Scope of company coverage and implementation route  対象企業の範囲と実施ルート 
3.1.19 Premium listed companies currently have more extensive experience of risk and viability reporting through disclosures they provide under the UK Corporate Governance Code and the UK Listing Rules. The Government therefore intends to introduce the Resilience Statement initially in respect of premium listed companies only.  3.1.19 プレミアム上場企業は現在、英国コーポレートガバナンス・コードと英国上場規則に基づく開示を通じて、リスクと実行可能性の報告についてより広範な経験を有している。このため、政府は当初、プレミアム上場企業のみを対象としてレジリエンス・ステートメ ントを導入する予定である。
3.1.20 However, the Government believes that the public interest in resilience reporting extends to other listed and to unlisted companies with a significant economic and social footprint. The Government therefore intends to extend the requirement to provide a Resilience Statement to other Public Interest Entities within two years of it coming into force for premium listed companies, subject to the possible exclusion of recently listed companies as set out in paragraph 1.3.26 and Q4 above. Recently listed companies would retain the option of voluntary compliance in order to build investor confidence in their reporting and future prospects. 3.1.20 しかし、政府は、レジリエンス・ステートメントに対する公共の利益は、他の上場企業や、経済的・社会的影響が大きい非上場企業にも及んでいると考えている。そのため、政府は、レジリエンス・ステートメントの提供という要件を、プレミアム上場企業については発効後2年以内に他の公益事業体にも拡大する方針であるが、上記1.3.26項及びQ4で示したとおり、直近の上場企業は除外する可能性がある。直近の上場会社は、その報告や将来の見通しに対する投資家の信頼を高めるため、自主的な遵守という選択肢を保持することになる。
21. Do you agree with the proposed company coverage for the Resilience Statement, and the proposal to delay the introduction of the Statement in respect of non-premium listed PIEs for two years? Should recently-listed companies be out of scope?  21. レジリエンス・ステートメントの対象会社案、及び、非プレミアム上場 PIEs に関するステートメントの導入を 2 年遅らせるという提案に同意するか。最近上場した会社は対象外とすべきであるか?
3.1.21 The Government’s preferred implementation route at this stage is to implement the Resilience Statement through legislation as a new section of the existing Strategic Report, supported by non-statutory guidance to be maintained by the new Audit, Reporting and Governance Authority (ARGA). The Government and regulators will consider what consequential changes may be needed to the UK Corporate Governance Code and relevant provisions in the UK Listing Rules to ensure that there is no duplication across the Strategic Report, the Code and the Listing Rules. Any changes to the Listing Rules would be for the Financial Conduct Authority to determine and would be subject to separate FCA consultation. The Government will also consider what scope there may be for companies to report existing statutory disclosures on risk within the Resilience Statement. 3.1.21 現段階での政府の望ましい実施ルートは、レジリエンス・ステートメントを既存の戦略報告書の新しいセクションとして法制化し、新しい監査・報告・ガバナンス機構(ARGA)が維持する法定外のガイダンスによって支援することである。政府と規制当局は、戦略報告書、コード、上場規則に重複がないように、英国コーポレート・ガバナンス・コードと英国上場規則の関連規定にどのような変更が必要になるかを検討することになる。上場規則の変更は、金融行動監視機構(FCA)が決定し、FCA の個別の協議に付されることになる。また、政府は、企業がリスクに関する既存の法定開示をレジリエンス・ステートメントで報告する余地があるかについても検討する予定である。

 

 

ブライドン・レビュー

Chartered Governance Institute UK & Ireland (CGI)

The Brydon Review (2019)

・2019.12[PDF] ASSESS, ASSURE AND INFORM IMPROVING AUDIT QUALITY AND EFFECTIVENESS  - REPORT OF THE INDEPENDENT REVIEW INTO THE QUALITY AND EFFECTIVENESS OF AUDIT (SIR DONALD BRYDON CBE)

20221207-01800

 

 

 


 

米国については、、、

まるちゃんの情報セキュリティきまぐれ日記

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則

 

 

| | Comments (0)

2022.12.06

アイルランド データ保護委員会がフェイスブックの「データスクレイピング」調査に関する決定を発表/罰金265百万ユーロ(約380億円)(2022.11.28)

こんにちは、丸山満彦です。

アイルランドのデータ保護委員会による、Metaに対する高額の行政処分についてです。。。

 

The Data Protection Commission

Dpclogocolourv2

・2022.11.28 Data Protection Commission announces decision in Facebook “Data Scraping” Inquiry

Data Protection Commission announces decision in Facebook “Data Scraping” Inquiry データ保護委員会がフェイスブックの「データスクレイピング」調査に関する決定を発表
The Data Protection Commission (DPC) has today announced the conclusion to an inquiry into Meta Platforms Ireland Limited (MPIL), data controller of the “Facebook” social media network, imposing a fine of €265 million and a range of corrective measures. データ保護委員会(DPC)は本日、ソーシャルメディアネットワーク「Facebook」のデータ管理者であるMeta Platforms Ireland Limited(MPIL)に対する調査の結論を発表し、2億6500万ユーロの罰金とさまざまな是正措置を課すことを明らかにした。
The DPC commenced this inquiry on 14 April 2021, on foot of media reports into the discovery of a collated dataset of Facebook personal data that had been made available on the internet. The scope of the inquiry concerned an examination and assessment of Facebook Search, Facebook Messenger Contact Importer and Instagram Contact Importer tools in relation to processing carried out by Meta Platforms Ireland Limited (‘MPIL’) during the period between 25 May 2018 and September 2019. The material issues in this inquiry concerned questions of compliance with the GDPR obligation for Data Protection by Design and Default.  The DPC examined the implementation of technical and organisational measures pursuant to Article 25 GDPR (which deals with this concept). DPCは、インターネット上で公開されていたFacebookの個人情報の照合データが発見されたとの報道を受け、2021年4月14日にこの調査を開始しました。この照会の範囲は、2018年5月25日から2019年9月の間にMeta Platforms Ireland Limited(以下、MPIL)が実施した処理に関するFacebook Search、Facebook Messenger Contact Importer、Instagram Contact Importerツールの調査および評価に関するものであった。この照会における重要な問題は、設計とデフォルトによるデータ保護に関するGDPRの義務に準拠するかどうかに関するものであった。  DPCは、(この概念を扱う)GDPR第25条に従って、技術的および組織的な措置の実施を検討した。
There was a comprehensive inquiry process, including cooperation with all of the other data protection supervisory authorities within the EU. Those supervisory authorities agreed with the decision of the DPC. EU内の他のすべてのデータ保護監督当局との協力も含め、包括的な照会プロセスが行われました。それらの監督当局は、DPCの決定に同意しました。
The decision, which was adopted on Friday, 25 November 2022, records findings of infringement of Articles 25(1) and 25(2) GDPR. The decision imposed a reprimand and an order requiring MPIL to bring its processing into compliance by taking a range of specified remedial actions within a particular timeframe. In addition, the decision has imposed administrative fines totalling €265 million on MPIL. 2022年11月25日(金)に採択された決定書には、GDPR25条1項および25条2項の侵害の所見が記録されている。決定では、譴責処分と、MPILに対し、特定の期間内に特定の改善措置の範囲を講じることにより、その処理を遵守させるよう求める命令が課された。さらに、本決定は、MPILに対して、総額2億6,500万ユーロの行政処分を課している。

 

 

 

EDPBのウェブページにも掲載されていますね。。。

EDPB

1_20221206063701

・2022.12.01 Irish Supervisory Authority announces decision in Facebook “Data Scraping” inquiry

Irish Supervisory Authority announces decision in Facebook “Data Scraping” inquiry アイルランド監督庁、フェイスブック「データスクレイピング」調査における決定を発表
Background information 背景情報
Date of final decision: 25 November 2022 最終決定日:2022年11月25日
Cross-border, subject to the cooperation and consistency mechanism outlined in Article 60 GDPR. 国境を越え、GDPR第60条に概説される協力・整合性メカニズムに従う。
LSA: Irish Supervisory Authority (SA). LSA:アイルランドの監督当局(SA)。
and CSAs:  all other European SAs.     およびCSA:他のすべての欧州SA。    
Controller: Meta Platforms Ireland Limited (formerly Facebook Ireland Limited) (‘Meta Platforms’). コントローラー Meta Platforms Ireland Limited(旧Facebook Ireland Limited)(以下、「Meta Platforms」)。
Legal Reference: GDPR obligation for Data Protection by Design and Default (Article 25 GDPR). 法的参照:設計およびデフォルトによるデータ保護に関するGDPRの義務(GDPR第25条)。
Decision: infringement of Articles 25(1) and 25(2) GDPR, order to bring processing into compliance, and administrative fines totalling €265 million. 決定:GDPR第25条1項および2項の違反、処理を遵守させるための命令、および総額2億6500万ユーロの行政罰金。
Key words: Data Protection by Design and Default, cross-border, Article 25. キーワード 設計とデフォルトによるデータ保護、クロスボーダー、第25条
Summary of the Decision 決定の概要
Origin of the case 本件の発端
The Irish Supervisory Authority, SA commenced this inquiry on 14 April 2021, on foot of media reports into the discovery of a collated dataset of Facebook personal data that had been made available on the internet. アイルランド監督庁(SA)は、インターネット上で公開されていたFacebookの個人データを照合したデータセットが発見されたとの報道を受け、2021年4月14日に本調査を開始した。
Key Findings                                    主な調査結果                                   
The scope of inquiry concerned an examination and assessment of the Facebook Search, Facebook Messenger Contact Importer and Instagram Contact Importer tools in relation to processing carried out by Meta Platforms  during the period between 25 May 2018 and September 2019. The material issues in this inquiry concerned questions of compliance with the GDPR obligation for Data Protection by Design and Default. The DPC examined the implementation of technical and organisational measures pursuant to Article 25 GDPR (which deals with this concept). 照会範囲は、2018年5月25日から2019年9月の間にMeta Platformsによって行われた処理に関連するFacebook Search、Facebook Messenger Contact Importer、Instagram Contact Importerツールの検査と評価に関するものであった。この照会における重要な問題は、設計とデフォルトによるデータ保護に関するGDPRの義務に準拠するかどうかの問題であった。DPCは、GDPR第25条(この概念を扱う)に従い、技術的および組織的な措置の実施を検討した。
Decision 決定
The decision, which was adopted on Friday, 25 November 2022, records findings of infringement of Articles 25(1) and 25(2) GDPR. The decision imposed a reprimand and an order requiring Meta Platforms to bring its processing into compliance by taking a range of specified remedial actions within a particular timeframe. In addition, the decision has imposed administrative fines totalling €265 million on Meta Platforms. 2022年11月25日(金)に採択された決定書には、GDPR第25条(1)および第25条(2)の違反の所見が記録されている。決定では、譴責処分と、Meta Platformsに対し、特定の期間内に特定の改善措置の範囲を取ることによって、その処理を遵守させることを求める命令が課された。さらに、この決定では、Meta Platformsに総額2億6500万ユーロの行政罰が課された。
For further information: Data Protection Commission announces decision in Facebook “Data Scraping” inquiry 詳細については、こちらを参照。 データ保護委員会、フェイスブックの「データスクレイピング」調査における決定を発表
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned. ここに掲載されたニュースは、EDPBの公式なコミュニケーションやEDPBによる推奨を意味するものではない。このニュースは、もともと各国の監督官庁が発表したもので、情報提供の目的でSAの要請によりここに掲載されたものである。このニュースアイテムに関するご質問は、当該監督官庁にすること。

 

 


 

■ メタプラットフォームのForm 10-Q, 10-K関係

当然に、アイルランドの件の記載があります。。。

 

Edgar - Meta Platforms, Inc. META on Nasdaq

現在最新の10-Q

・2022.10.27 10-Q: Quarterly report for quarter ending September 30, 2022

現在最新の10-K

・2022.02.03 10-K: Annual report for year ending December 31, 2021

 

 

| | Comments (0)

世界経済フォーラム (WEF) より厳格な報告規則から新たなサイバー脅威ハブまで、EUはサイバーセキュリティ法をアップグレード中

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が「より厳格な報告規則から新たなサイバー脅威ハブまで、EUはサイバーセキュリティ法をアップグレード中」という記事を公表していますね。。。世界経済フォーラム (WEF) の一つのトピックスとして、Cybersecurityがあります。。。

 

World Economic Forum 

Centre for Cybersecurity

 

・2022.12.02 From stricter reporting rules to a new cyber threat hub, the EU is upgrading its cybersecurity law

 

From stricter reporting rules to a new cyber threat hub, the EU is upgrading its cybersecurity law より厳格な報告規則から新たなサイバー脅威ハブまで、EUはサイバーセキュリティ法をアップグレード中
・The European Union is replacing its bloc-wide cybersecurity directive in an effort to bolster cyber resilience. ・欧州連合(EU)は、サイバーレジリエンスを強化するために、EU全域を対象としたサイバーセキュリティ指令の改正を進めている。
・In particular, the legislation aims to protect critical infrastructure. ・特に、重要なインフラを保護することを目的としている。
・“If we are being attacked on an industrial scale, we need to respond on an industrial scale,” a top EU official said. ・EUの高官は、「もし我々が産業規模で攻撃されているのであれば、産業規模で対応する必要がある」と述べている。
The European Union is set to make major upgrades to its bloc-wide cybersecurity framework for the first time in years. 欧州連合(EU)は、EU全体のサイバーセキュリティの枠組みを数年ぶりに大幅にアップグレードする予定である。
In November, the EU Parliament and European Council approved the implementation of a new policy known as the Network and Information Security Directive 2 (NIS 2.0). The framework will replace the original NIS Directive, which was introduced in 2016 as the first EU-wide cybersecurity legislation. 11月、EU議会と欧州理事会は、「ネットワークおよび情報セキュリティ指令2(NIS 2.0)」として知られる新しい政策の実施を承認した。この枠組みは、2016年に最初のEU全体のサイバーセキュリティ法として導入された現在のNIS指令に取って代わるものである。
“We need to act to make our businesses, governments and society more resilient to hostile cyber operations,” Bart Groothuis, the lead member of the European Parliament, said in a statement. “This European directive is going to help around 160,000 entities tighten their grip on security and make Europe a safe place to live and work.” 欧州議会の主席議員であるBart Groothuisは、次のように述べている。「私たちは、敵対的なサイバー作戦に対して、企業、政府、社会をよりレジリエンスにするために行動する必要がある。この欧州指令は、約16万社の企業がセキュリティを強化し、欧州を生活と仕事の安全な場所にするために役立つだろう。」
NIS 2.0 aims to bolster the EU’s cybersecurity capabilities and resilience by expanding its coverage to include more sectors as well as increasing and harmonizing baseline security requirements for member states. Notably, this expansion includes a focus on critical infrastructure like energy systems, health care networks and transportation services. NIS 2.0は、対象分野を拡大し、加盟国に対する基本的なセキュリティ要件を増やし調和させることで、EUのサイバーセキュリティ能力とレジリエンスを強化することを目的としている。特に、この拡大には、エネルギーシステム、医療ネットワーク、輸送サービスなどの重要インフラへの重点的な取り組みが含まれている。
The directive also introduces new mechanisms to better facilitate cooperation among national authorities and establishes a new centre to oversee a coordinated response to major cyber attacks. The centre is called the European Cyber Crises Liaison Organisation Network—or the EU-CyCLONe. この指令はまた、各国当局間の協力をより円滑にするための新しいメカニズムを導入し、大規模なサイバー攻撃への協調的対応を監督する新しいセンターを設立している。このセンターは、欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe)と呼ばれている。
“If we are being attacked on an industrial scale, we need to respond on an industrial scale,” Groothuis added. 「産業規模で攻撃されているのであれば、産業規模で対応する必要がある」とGroothuis氏は付け加えた。
Under the NIS 2.0 directive, the EU will also join the United States and other countries in mandating stricter incident reporting requirements. The legislation will mandate that organizations across the board report cyber breaches and attacks within 24 hours of becoming aware of the incident. Companies that fail to do so can face steep fines. NIS 2.0指令の下、EUは米国や他の国々と並んで、より厳しいインシデント報告要件を義務付けることになる。この法案では、あらゆる組織がサイバー侵害や攻撃を認知してから24時間以内に報告することが義務づけられる。これを怠った企業は、高額な罰金を科せられる可能性がある。
NIS 2.0 has been in development for several years and is part of a wider EU campaign to engage stakeholders and bolster cybersecurity measures more broadly. NIS 2.0は数年前から開発が進められており、利害関係者の参加とサイバーセキュリティ対策をより広範囲に強化するためのEUのキャンペーンの一環である。
In fact, in 2021, the EU requested the World Economic Forum’s Cyber Resilience in Electricity community to provide comments on plans to improve cybersecurity legislation. “In view of the unprecedented digitalization in recent years, the feedback from member states and society, and the need for a more harmonized implementation across member states, the time has come to refresh it,” the Forum stated in its report. 実際、2021年、EUは世界経済フォーラムの「Cyber Resilience in Electricity」コミュニティに、サイバーセキュリティ法制の改善計画についてコメントを提供するよう要請している。「近年の前例のないデジタル化、加盟国や社会からのフィードバック、加盟国間でより調和のとれた実施の必要性を考慮し、リフレッシュする時期が来た 」と、フォーラムは報告書に述べている。
Already, the EU has introduced new legislation to strengthen security requirements for digital hardware and software products and critical energy infrastructure. すでにEUは、デジタルハードウェア・ソフトウェア製品や重要なエネルギーインフラに対するセキュリティ要件を強化するための新しい法律を導入している。
Yet NIS 2.0 is being advanced as cyber attacks continue to rise in prevalence and sophistication—and continue to target critical infrastructure systems. In February, for example, major oil refining hubs in Belgium and the Netherlands were hit with a cyber attack. The hack interrupted the trade of refined products across the region. にもかかわらず、NIS 2.0は、サイバー攻撃がますます普及し、高度化し、重要なインフラシステムが狙われ続ける中で進められている。例えば、2月には、ベルギーとオランダの主要な石油精製拠点がサイバー攻撃に遭った。このハッキングにより、同地域の石油精製製品の取引に支障をきたした。
“There is no doubt that cybersecurity will remain a key challenge for the years to come. The stakes for our economies and our citizens are enormous,” Ivan Bartoš, the Czech deputy prime minister for digitalization and minister of regional development, said in a statement after the Council’s vote, adding that NIS2 is “another step to improve our capacity to counter this threat.” チェコのデジタル化担当副首相兼地域開発大臣のイヴァン・バルトシュ氏は、理事会の採決後の声明で、以下のように述べている。「サイバーセキュリティが今後数年間、重要な課題であり続けることに疑いの余地はない。NIS2がこの脅威に対抗する能力を向上させるための新たな一歩である。経済と市民にとっての利害関係は非常に大きい。」
NIS 2.0 is expected to come into effect in the coming weeks and EU member states will then have 21 months to incorporate the new provisions into their national legislation. EU-CyCLONe officials, however, have already begun large-scale cyber attack simulations to increase readiness. NIS2.0は今後数週間のうちに発効し、EU加盟国はその後21カ月以内に新条項を国内法に取り入れることになっている。しかし、EU-CyCLONeの関係者は、すでに大規模なサイバー攻撃シミュレーションを開始し、準備態勢を整えている。
“Cyberattacks are everywhere,” Thierry Breton, the EU commissioner for the internal market, said in a statement on the cyber training exercise. “It is our shared responsibility to work collectively in preparing and implementing rapid emergency response plans.” EUの内部市場担当委員であるティエリー・ブルトン氏は、このサイバー訓練に関する声明の中で、「以下のように述べている。「サイバー攻撃はどこにでもある。迅速な緊急対応策の準備と実施に集団で取り組むことは、我々の共通の責任である。」
Moreover, the Forum Cyber Resilience communities continue to foster multistakeholder dialogues to enhance and drive collective action and raise awareness to strengthen cyber resilience at a global scale. These incudes, among other initiatives, a cybersecurity learning lab that aims to help organizations across sectors understand and mitigate their cyber risk. さらに、フォーラム・サイバー・レジリエンスのコミュニティは、世界規模でのサイバー・レジリエンスを強化するために、集団行動を強化・推進し、意識を高めるためのマルチステークホルダー・ダイアログを引き続き促進している。これには、さまざまな分野の組織がサイバーリスクを理解し、軽減できるようにすることを目的としたサイバーセキュリティ学習ラボなどのイニシアチブが含まれる。
Have you read? すでに目を通した?
Why ‘fire drills’ are key for cybersecurity ・なぜサイバーセキュリティには「消火訓練」が重要なのか?
Is your cybersecurity ready to take the quantum leap? ・あなたのサイバーセキュリティは、飛躍的な進歩を遂げる準備ができているか?
Europe is bolstering energy sector resilience. But cyber risk remains a major vulnerability ・欧州では、エネルギー部門のレジリエンスを強化している。しかし、サイバーリスクは依然として大きな脆弱性である

 

Wef_20221026015401

 


 

まるちゃんの情報セキュリティきまぐれ日記

 

NIS2関係

・2022.11.29 EU連合理事会 NIS2成立

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2022.11.13 欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決

・2021.03.15 欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

 

WEF関係

・2022.10.26 世界経済フォーラム (WEF) 規制当局が取締役会に求めるサイバーセキュリティのポイント

・2022.08.19 世界経済フォーラム (WEF) 暗号通貨とステーブルコインがもたらすマクロ経済への影響  (2022.07.22)

・2022.08.18 世界経済フォーラム (WEF) サイバーレジリエンス指数 - 組織のサイバーレジリエンスの向上 (2022.07.14)

・2022.05.12 世界経済フォーラム (WEF) 「AI Procurment in a Box」を使ってみる:実装からのインサイト

・2022.03.30 世界経済フォーラム (WEF) 暗号通貨規制:今、私たちはどこにいて、どこに向かっているのか?

・2022.02.10 世界経済フォーラム (WEF) 欧州におけるエネルギー分野の最新サイバー攻撃が問題となる理由

・2022.01.20 世界経済フォーラム (WEF) グローバル・サイバーセキュリティ・アウトルック 2022

 

| | Comments (0)

NISC 警察庁 学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について(注意喚起)(2022.11.30)

こんにちは、丸山満彦です。

NISCと警察庁から、学術関係者・シンクタンク研究員等を標的としたサイバー攻撃についての注意喚起が出ていますね。。。

こういう注意喚起が出るということは、そういう事態があったんでしょうかね。。。知らんけど。。。

 

● NISC

・2022.11.30 学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について(注意喚起)

・[PDF] 注意喚起

20221205-235736

・[PDF] 概要

20221205-235951

 

 

● 警察庁

・2022.11.30 学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について(注意喚起)

・[PDF] 注意喚起

・[PDF] 別添資料

 

| | Comments (0)

2022.12.05

日本内部監査協会 COSO「人工知能の可能性を最大限に実現する」 (2022.11.21)

こんにちは、丸山満彦です。

2021年09月にCOSOが公表したガイダンス”Realize the Full Potential of Artificial Intelligence”の日本語訳を日本内部監査協会が公表していました。。。

”Realize the Full Potential of Artificial Intelligence
” 
は、


全社的リスクマネジメント(ERM)の原則をAI(人工知能)施策に適用することで、組織がAIの統合的なガバナンスを確立し、リスクを管理し、戦略目標の達成を最大化するためのパフォーマンスを向上できることを目的としたもの


ということのようです。

日本内部監査協会 - ガバナンス資料集

・2022.11.21 COSO『人工知能の可能性を最大限に実現する』

・[PDF

20221205-12256

 


目次...

はじめに
AI革命:ビジネスとイノベーションの変革
COSO ERMフレームワーク:総合的な事業戦略やIT戦略と整合したAIリスクへの対応
ガバナンスとカルチャー
戦略と目標設定
パフォーマンス
レビューと修正
情報、伝達および報告
総括


COSO ERMを学ぶ上でも役立つように思います。

 

原文は、

Committee of Sponsoring Organizations of the Treadway Commission; COSO

・[PDF] Realize the Full Potential of Artificial Intelligence

20221205-14209

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.12.05 日本内部監査協会 COSO「人工知能の可能性を最大限に実現する」 (2022.11.21)

・2022.12.05 日本内部監査協会 COSO「クラウドコンピューティングのためのERM」 (2022.10.27)

・2022.08.08 日本内部監査協会 COSO「コンプライアンスリスクマネジメント:COSO ERMフレームワークの適用」 (2022.06.14)

・2022.03.31 日本内部監査協会 COSO『デジタル時代のサイバーリスクマネジメント』発行

・2022.03.31 COSO スピードと破壊の時代における組織のアジリティの実現 (2022.03.09)

・2021.09.17 COSO 人工知能の可能性を最大限に発揮するために

・2021.07.30 COSO クラウドコンピューティングのためのエンタープライズ・リスクマネジメント

・2020.11.13 COSO コンプライアンス・リスク管理 - COSO ERM フレームワークの適用

・2020.08.06 COSO ブロックチェーンと内部統制:COSOの視点

・2020.05.22 COSO ERMガイダンス:リスク選好度 - 成功要因

・2020.02.06 COSO ERMガイダンス:価値の創造と保護

 

10年以上遡ります。。。

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

 

 

 

| | Comments (0)

日本内部監査協会 COSO「クラウドコンピューティングのためのERM」 (2022.10.27)

こんにちは、丸山満彦です。

少し前の話になるのですが、2ヶ月ほど前に2021年07月にCOSOが公表したガイダンス”ERM for Cloud Computing”の日本語訳を日本内部監査協会が公表していました。。。

”ERM for Cloud Computing
” 
は、


COSOの全社的リスクマネジメント(ERM)フレームワーク(2017年版)を活用し、クラウドコンピューティングのガバナンスを確立することも目的としたもの


ということのようです。

日本内部監査協会 - ガバナンス資料集

・2022.10.27 COSO『クラウドコンピューティングのためのERM』

・[PDF

20221205-12411
 


目次...

はじめに
クラウドコンピューティング環境での全社的リスクマネジメント
ガバナンスとカルチャー
戦略と目標設定
パフォーマンス
レビューと修正
情報、伝達および報告
結論
付録A.クラウドコンピューティングへの行程
付録B.役割と責任
付録 C.用語集と定義


COSO ERMを学ぶ上でも役立つように思います。

 

原文は、

Committee of Sponsoring Organizations of the Treadway Commission; COSO

・[PDF] ERM for Cloud Computing

20221205-13408

 

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.12.05 日本内部監査協会 COSO「人工知能の可能性を最大限に実現する」 (2022.11.21)

・2022.12.05 日本内部監査協会 COSO「クラウドコンピューティングのためのERM」 (2022.10.27)

・2022.08.08 日本内部監査協会 COSO「コンプライアンスリスクマネジメント:COSO ERMフレームワークの適用」 (2022.06.14)

・2022.03.31 日本内部監査協会 COSO『デジタル時代のサイバーリスクマネジメント』発行

・2022.03.31 COSO スピードと破壊の時代における組織のアジリティの実現 (2022.03.09)

・2021.09.17 COSO 人工知能の可能性を最大限に発揮するために

・2021.07.30 COSO クラウドコンピューティングのためのエンタープライズ・リスクマネジメント

・2020.11.13 COSO コンプライアンス・リスク管理 - COSO ERM フレームワークの適用

・2020.08.06 COSO ブロックチェーンと内部統制:COSOの視点

・2020.05.22 COSO ERMガイダンス:リスク選好度 - 成功要因

・2020.02.06 COSO ERMガイダンス:価値の創造と保護

 

10年以上遡ります。。。

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

 

 

| | Comments (0)

Interpol アフリカ全域の作戦で、サイバー犯罪者とリスクの高いオンラインインフラを特定

こんにちは、丸山満彦です。

英国、ドイツからの支援もあって、アフリカのサイバー犯罪をInterpolとAFRIPOLが協力して、サイバー犯罪に関わるインフラを特定し、破壊したようですね。。。(おそらくたくさんあるでしょうから、その一部ということでしょうが...)

 

INTERPOL

・2022.11.25 Operation across Africa identifies cyber-criminals and at-risk online infrastructure

 

Operation across Africa identifies cyber-criminals and at-risk online infrastructure アフリカ全域の作戦で、サイバー犯罪者とリスクの高いオンラインインフラを特定
INTERPOL and AFRIPOL collaborate in joint action against cybercrime INTERPOLとAFRIPOLがサイバー犯罪に対する共同行動を実施
Law enforcement officials from 27 INTERPOL countries joined forces in the Africa Cyber Surge Operation to counter cybercrime across the continent. 27のINTERPOL加盟国の法執行当局が、アフリカ大陸全域のサイバー犯罪に対抗するための「アフリカ・サイバー・サージ作戦」で力を合わせた。
Against the backdrop of the huge financial losses suffered by companies, businesses and individuals, the four-month operation (July to November 2022) saw officers detect, investigate and disrupt cybercrime through coordinated law enforcement activities utilizing INTERPOL platforms, tools and channels, in close cooperation with AFRIPOL.  企業、事業者、個人が被った巨額の金銭的損失を背景に、4カ月間(2022年7月~11月)の作戦では、AFRIPOLと緊密に協力し、INTERPOLのプラットフォーム、ツール、チャンネルを活用した協調的法執行活動を通じて、担当者がサイバー犯罪を検知、調査、破壊することに成功した。
Operational results 運用結果
Coordinated from an INTERPOL Command Centre in Kigali, Rwanda, the operation focused on removing the enablers of cybercrime. ルワンダのキガリにあるINTERPOLコマンドセンターから調整されたこの作戦は、サイバー犯罪のイネーブラーを取り除くことに重点を置いている。
Among the operational highlights: 作戦のハイライトは以下の通りである。
・11 individuals were arrested, with one suspect linked to the abuse of children, and 10 others linked to scam and fraud activities worth USD 800,000 which had an impact on victims globally. ・11人が逮捕され、そのうち1人は児童虐待に関連し、他の10人は80万米ドル相当の詐欺・不正行為に関連し、世界の被害者に影響を与えた。
・Authorities in Eritrea took down a Darknet Market that was selling hacking tools and cybercrime-as-a-service components. ・エリトリアの当局は、ハッキング・ツールやサイバー犯罪のためのサービス部品を販売していたダークネット・マーケットを取り締まった。
・Multiple cryptocurrency scam cases were resolved in Cameroon, including one with an estimated financial impact upon the victim of more than CFA 8 million. ・カメルーンでは複数の暗号通貨詐欺事件が解決し、そのうちの1件は被害者に800万CFA以上の経済的影響を与えたと推定されている。
・Tanzania recovered more than USD 150,000 of victims’ money from data infringement and copyright cases. ・タンザニアでは、データ侵害と著作権侵害の事例から、15万米ドル以上の被害者の金銭を回収した。
・Action was taken against more than 200,000 pieces of malicious cyber infrastructure which facilitate cybercrime across the African Region. This included the takedown and clean-up of malicious infrastructure linked to botnet activity, and the dissemination of mass phishing, spam and online extortion activities (e.g. romance scams, banking scams and theft of data) to potential victims. ・アフリカ地域全体で、サイバー犯罪を助長する20万以上の悪質なサイバーインフラに対して対策を講じた。これには、ボットネット活動に関連する悪質なインフラの撤去とクリーンアップ、大量のフィッシング、スパム、オンライン恐喝活動(例:ロマンス詐欺、銀行詐欺、データの盗難)を潜在的被害者に広めることが含まれている。
Participating countries were able to improve their own national cyber security by patching network vulnerabilities and cleaning-up defaced government websites and securing vulnerable critical infrastructure, thereby reducing the risk of potentially catastrophic attacks. 参加国は、ネットワークの脆弱性を修正し、改ざんされた政府ウェブサイトをクリーンアップし、脆弱な重要インフラを保護することで、自国のサイバーセキュリティを向上させることができ、それによって壊滅的な攻撃の可能性を低減することができたのである。
Actionable intelligence 実用的なインテリジェンス
Investigations were shaped by intelligence provided by INTERPOL’s private sector partners including British Telecom, Cyber Defense Institute, Fortinet’s FortiGuard Labs, Group-IB, Kaspersky, Unit 42-Palo Alto Networks, Shadowserver and Trend Micro. ブリティッシュ・テレコム、Cyber Defense Institute、フォーティネットのFortiGuard Labs、Group-IB、カスペルスキー、Unit 42-Palo Alto Networks、Shadowserver、トレンドマイクロなど、インターポールの民間セクターパートナーから寄せられた情報によって捜査は形作られた。
The information also contributed to the development of 28 INTERPOL Cyber Activity Reports that highlighted the various threats and types of criminal activity and outlined the recommended actions to be taken by national authorities. また、これらの情報は、さまざまな脅威や犯罪活動の種類を明らかにし、国家当局が取るべき推奨行動の概要を示した28のINTERPOLサイバー活動レポートの作成に貢献した。
Participating investigators worked in their home countries in collaboration with National Cyber Emergency Response Teams, Internet Service Providers and Hosting Providers who were notified of the potential vulnerability in their network infrastructure within their jurisdictions. 参加した捜査官は自国で、国家サイバー緊急対応チーム、インターネットサービスプロバイダー、ホスティングプロバイダーと協力し、管轄内のネットワークインフラの潜在的な脆弱性について通知された。
This collaboration proved very successful with 80% of identified ISPs engaging with law enforcement to mitigate the risks, identify weaknesses in their infrastructure and notify customers. この協力体制は非常に有効で、特定されたISPの80%が法執行機関と連携し、リスクの軽減、インフラの弱点の特定、顧客への通知などを行った。
Of the participating countries, 18 have recognized Cyber Emergency Response Teams (CERTs), all of whom are actively working with law enforcement agencies and ISPs. Agreements have been set up between these organizations to formalize future responses. 参加国のうち、18カ国がサイバー緊急対応チーム(CERT)を認定しており、すべてのチームが法執行機関やISPと積極的に連携している。これらの組織の間では、今後の対応を正式なものとするための協定が結ばれている。
INTERPOL platforms 国際刑事警察機構(INTERPOL)プラットフォーム
An INTERPOL coordination team on the ground in Kigali offered real-time support, while investigators from participating countries made use of INTERPOL’s secure Cybercrime Collaborative Platform for Operations to update each other on progress, share intelligence and receive support. キガリの現場にいたインターポールの調整チームはリアルタイムのサポートを提供し、参加国の捜査官はインターポールの安全な「サイバー犯罪対処のためのコラボレーションプラットフォーム」を利用して、進捗状況を互いに報告し、情報を共有し、サポートを受けることができた。
The Cyber Surge operation not only brought together many African member countries for the first time in a unified cybercrime operation but also helped build trust and establish valuable working relationships between them and with other partners. サイバー・サージ作戦は、多くのアフリカ加盟国が初めて統一的なサイバー犯罪作戦に参加しただけでなく、加盟国間や他のパートナーとの信頼関係を築き、貴重な作業関係を確立するのに役立った。
Developing capacity 能力の開発
The Operation was preceded by a two-week training event in Kigali, Rwanda, which covered both cybercrime and cryptocurrency investigations. Delivered to 23 law enforcement agencies from 22 African countries, the course equipped participants with the knowledge and skills necessary for the Operation itself and will enable them to take proactive and sustainable action in the future. この作戦に先立ち、ルワンダのキガリで2週間のトレーニングが行われ、サイバー犯罪と暗号通貨の捜査の両方が網羅された。このコースは、アフリカ22カ国から集まった23の法執行機関に提供され、参加者は「オペレーション」自体に必要な知識とスキルを身につけ、将来的に積極的かつ持続可能な行動を取ることができるようになった。
A debrief meeting held in Mauritius at the end of November allowed member countries to share successes, discuss challenges and identify areas for improvement. 11月末にモーリシャスで開催された報告会では、メンバー国が成功事例を共有し、課題について議論し、改善すべき点を明らかにした。
The Cyber Surge activities have also led to newly introduced legislative protocols and the establishment of a series of Cybercrime departments in member countries, which will further contribute to reducing the impact of cybercrime and protecting communities in the region. また、サイバーサージ活動により、新たに導入された法律プロトコルや、加盟国における一連のサイバー犯罪部門の設立が実現し、サイバー犯罪の影響を軽減し、地域のコミュニティを守ることにさらに貢献することが期待される。
Acknowledgments 謝辞
The Africa Cyber Surge Operation was coordinated by INTERPOL’s Cybercrime Directorate and INTERPOL Support Programme for the African Union (ISPA) in collaboration with AFRIPOL. アフリカ・サイバー・サージ作戦は、INTERPOLのサイバー犯罪局およびINTERPOL Support Programme for the African Union(ISPA)がAFRIPOLと協力して調整したものである。
The Operation and related events were funded by the UK Foreign Commonwealth and Development Office and the German Federal Foreign Office as part of their ongoing support to INTERPOL and AFRIPOL. この作戦と関連イベントは、INTERPOLとAFRIPOLへの継続的な支援の一環として、英国外務連邦開発局とドイツ連邦外務省から資金提供されたものである。

 

Interpol

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2021.05.17 Interpol 英国の資金でアフリカのサイバー犯罪と戦うためのイニシアティブを始めた

・2020.08.17 INTERPOLが「アフリカのオンライン犯罪は表のインターネットからダークウェブに」という報告書を出していますね。。。

・2020.07.07 INTERPOLが「急成長しているアフリカのモバイルマネー業界に犯罪者が深く広く入り込んでいる」という報告書を出していますね。。。

 

 

| | Comments (0)

警察庁 「サイバー事案の被害の潜在化防止に向けた検討会」の開催

こんにちは、丸山満彦です。

警察庁が、 「サイバー事案の被害の潜在化防止に向けた検討会」を開催していますね。。。年度内に3回程度の検討会を開催するようですね。。。


(1) 検討会テーマ

通報・相談の促進に向けた関係省庁等との連携及び環境整備

(2) テーマ選定の背景及び目的

○ サイバー事案の被害は、予想外の形で広範囲に波及する危険等があることから、事案の発生を早い段階で把握し、対応することが求められるものの、被害者側におけるレピュテーションリスクの懸念等から通報・相談がためらわれる傾向があり、いわゆる「被害の潜在化」が課題となっている。

○ サイバー事案に関する被害の潜在化を防止するため、関係省庁等と連携した情報共有や、被害者が自発的に通報・相談しやすい環境の整備に向けた方策について多様な観点から御議論いただく。


ということのようです。。。

 

警察庁

・2022.12.01 サイバー事案の被害の潜在化防止に向けた検討会の開催について

・[PDF] サイバー事案の被害の潜在化防止に向けた検討会の開催について

・[PDF] サイバー事案の被害の潜在化防止に向けた検討会委員名簿

 

新井 悠  (株)NTTデータ システム技術本部 サイバーセキュリティ技術部 エグゼクティブ・セキュリティ・アナリスト
荒木 粧子 (株)ソリトンシステムズ ITセキュリティ事業部エバンジェリスト
沢田 登志子 (一社)ECネットワーク 理事
篠田 佳奈 (株)BLUE 代表取締役
島根 悟 (一財)日本サイバー犯罪対策センター 業務執行理事
蔦 大輔 森・濱田松本法律事務所 弁護士
林 憲明 フィッシング対策協議会 運営委員
藤本 正代 情報セキュリティ大学院大学 教授
星 周一郎 東京都立大学 法学部 教授

 

Npa

 

 

| | Comments (0)

2022.12.04

NIST SP 1800-22 (ドラフト) モバイルデバイスセキュリティ:私物端末の持ち込み(BYOD)(2次ドラフト)

こんにちは、丸山満彦です。

NISTが、去年の3月(なので、1年9ヶ月前)にBYOD(私物端末の持ち込み)の実践ガイダンスのドラフトを公表し、意見募集をしていましたが、それを踏まえて第2ドラフトを公表し、意見募集をしています。。。

BYODは、従業員にとっては、携帯二台もちが避けられるのでメリットがありますが、

・情報技術(IT)部門の責任と複雑さの増加、

・保護されていない個人用デバイスから生じる企業のセキュリティ脅威、

・個人データのプライバシーの保護

に関する課題がありますね。。。

エグゼクティブサマリーの次の指摘はなかなか興味深いですね。。。

Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks to organizations. Solutions that are designed to secure corporate devices and on-premise data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, thereby opening up the possibility of observation and control that would not otherwise exist. 企業でBYOD機能を実現すると、組織に新たなサイバーセキュリティ・リスクが発生する。企業のデバイスとオンプレミスのデータを保護するために設計されたソリューションでは、BYODのための効果的なサイバーセキュリティ・ソリューションを提供することはできない。BYOD の展開がもたらす独自のリスクにより、効果的なソリューションを見つけることは困難である。さらに、BYOD を実現すると、従業員の個人所有のデバイスに雇用者がアクセスできるようになるため、従業員に新たなプライバシー・リスクが発生し、他の方法では不可能な監視と制御が行われる可能性が出てくる。

 

NIST - ITL

・2022.11.29 SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) (2nd Draft)

 

SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) (2nd Draft) SP 1800-22 (ドラフト) モバイルデバイスセキュリティ:私物端末の持ち込み(BYOD)(2次ドラフト)
Announcement 発表
Many organizations now support their employees' use of personal mobile devices to remotely perform work-related activities. This increasingly common practice, known as Bring Your Own Device or BYOD, provides employees with increased flexibility to telework and access organizational information resources. Helping ensure that an organization's data is protected when it is accessed from personal devices, while ensuring employee privacy poses unique challenges and threats. 多くの組織では、従業員が個人所有のモバイルデバイスを使用して、業務に関連する活動をリモートで実行できるようになった。BYOD(Bring Your Own Device)と呼ばれるこの一般的な慣行は、テレワークや組織の情報リソースへのアクセスをより柔軟に行えるようにするもので、ますます普及している。しかし、個人所有のデバイスから組織のデータにアクセスする際、従業員のプライバシーを守りながらデータを保護することは、非常に困難な課題であり、脅威でもある。
The goal of the Mobile Device Security: Bring Your Own Device practice guide is to provide an example solution that helps organizations use both a standards-based approach and commercially available technologies to help meet their security and privacy needs when permitting personally-owned mobile devices to access enterprise resources.  モバイルデバイスセキュリティの目標は、「Bring Your Own Device(私物端末の持ち込み)」である。Bring Your Own Deviceの実践ガイドの目的は、標準ベースのアプローチと市販のテクノロジーの両方を使用して、個人所有のモバイルデバイスによるエンタープライズリソースへのアクセスを許可する場合に、セキュリティとプライバシーのニーズを満たすのに役立つソリューションの例を提供することである。 
This second draft includes major updates to the iOS BYOD implementation.  この第 2 ドラフトには、iOS BYOD の実装に関する大幅な更新が含まれている。 
We look forward to receiving your comments and any feedback on the following questions will be very helpful: また、以下の質問に対するご意見もお待ちしている。
Does the guide meet your needs? このガイドはあなたのニーズを満たしているか?
Can you put this solution to practice?  このソリューションを実践できるか? 
Are specific sections more/less helpful? 特定のセクションはより有用であるか/そうではありませんか?
Abstract 概要
Bring Your Own Device (BYOD) refers to the practice of performing work-related activities on personally owned devices. This practice guide provides an example solution demonstrating how to enhance security and privacy in Android and iOS smartphone BYOD deployments. BYOD(Bring Your Own Device)とは、個人所有のデバイスで業務に関連する活動を行うことを指す。この実践ガイドでは、Android および iOS スマートフォンの BYOD 導入におけるセキュリティとプライバシーを強化する方法を示すソリューションの例を示する。
Incorporating BYOD capabilities into an organization can provide greater flexibility in how employees work and increase the opportunities and methods available to access organizational resources. For some organizations, the combination of traditional in-office processes with mobile device technologies enables portable communication approaches and adaptive workflows. For others, it fosters a mobile-first approach in which their employees communicate and collaborate primarily using their mobile devices. BYOD 機能を組織に組み込むことで、従業員の働き方に柔軟性が生まれ、組織のリソースにアクセスする機会や方法が増えます。組織によっては、従来のオフィス内のプロセスとモバイル・デバイス・テクノロジーを組み合わせることで、携帯可能なコミュニケーション・アプローチと適応性のあるワークフローを実現できる。また、従業員が主にモバイルデバイスを使用してコミュニケーションやコラボレーションを行う、モバイルファーストのアプローチを促進する組織もある。
However, some of the features that make BYOD mobile devices increasingly flexible and functional also present unique security and privacy challenges to both work organizations and device owners. The unique nature of these challenges is driven by the diverse range of devices available that vary in type, age, operating system (OS), and the level of risk posed. しかし、BYODモバイル・デバイスの柔軟性と機能性を高めるいくつかの機能は、職場組織とデバイスの所有者の両方に対して、セキュリティとプライバシーに関する独自の課題を提起している。これらの課題は、種類、年齢、オペレーティング・システム(OS)、およびリスクのレベルが異なるさまざまなデバイスが利用可能であることに起因している。
Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks to organizations. Solutions that are designed to secure corporate devices and on-premise data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, thereby opening up the possibility of observation and control that would not otherwise exist. 企業でBYOD機能を実現すると、組織に新たなサイバーセキュリティ・リスクが発生する。企業のデバイスとオンプレミスのデータを保護するために設計されたソリューションでは、BYODのための効果的なサイバーセキュリティ・ソリューションを提供することはできない。BYOD の展開がもたらす独自のリスクにより、効果的なソリューションを見つけることは困難である。さらに、BYOD を実現すると、従業員の個人所有のデバイスに雇用者がアクセスできるようになるため、従業員に新たなプライバシー・リスクが発生し、他の方法では不可能な監視と制御が行われる可能性が出てくる。
To help organizations benefit from BYOD’s flexibility while protecting themselves from many of its critical security and privacy challenges, this Practice Guide provides an example solution using standards-based, commercially available products and step-by-step implementation guidance. この実践ガイドでは、BYOD の柔軟性を活用しながら、セキュリティとプライバシーに関する多くの重要な課題から組織を保護するために、標準ベースの市販製品を使用したソリューションの例と段階的な実装ガイダンスを提供する。

 

・[PDF]  NIST SP 1800-22 2pd

20221203-103740

 

・エグゼクティブサマリー...

 

Executive Summary  要旨 
Many organizations provide employees the flexibility to use their personal mobile devices to perform work-related activities. An ineffectively secured personal mobile device could expose an organization or employee to data loss or a privacy compromise. Ensuring that an organization’s data is protected when it is accessed from personal devices poses unique challenges and threats.  多くの組織では、従業員が個人所有のモバイルデバイスを使用して業務に関連する活動を行うことができるように柔軟性を提供している。個人所有のモバイルデバイスのセキュリティが不十分な場合、組織や従業員はデータの損失やプライバシーの侵害にさらされる可能性がある。個人所有のモバイルデバイスからアクセスする際に、組織のデータを確実に保護することは、独自の課題と脅威をもたらする。
Allowing employees to use their personal mobile devices for work-related activities is commonly known as a bring your own device (BYOD) deployment. A BYOD deployment offers a convenient way to remotely access organizational resources, while avoiding the alternative of carrying both a work phone and personal phone. This NIST Cybersecurity Practice Guide demonstrates how organizations can use standards-based, commercially available products to help meet their BYOD security and privacy needs.  従業員が個人所有のモバイルデバイスを業務に使用することは、一般的にBYOD(Bring Your Own Device)と呼ばれている。BYOD を導入すると、組織のリソースにリモートでアクセスできるようになる一方で、仕事用の携帯電話と個人用の携帯電話の両方を持ち歩くという選択肢を避けることができる。この NIST サイバーセキュリティ実践ガイドは、組織が標準ベースの市販製品を使用して、BYOD のセキュリティとプライバシーのニーズを満たす方法を示している。
CHALLENGE  課題 
BYOD devices can be used interchangeably for work and personal purposes throughout the day. While flexible and convenient, BYOD can introduce challenges to an enterprise. These challenges can include additional responsibilities and complexity for information technology (IT) departments caused by supporting many types of personal mobile devices used by the employees, enterprise security threats arising from unprotected personal devices, as well as challenges protecting the privacy of employees and their personal data stored on their mobile devices.  BYOD デバイスは、1 日を通して仕事とプライベートの両方の目的で交換可能に使用されます。BYOD は柔軟で便利な反面、エンタープライズに課題をもたらす可能性がある。これらの課題には、従業員が使用する多くの種類の個人用モバイルデバイスをサポートすることによる情報技術(IT)部門の責任と複雑さの増加、保護されていない個人用デバイスから生じる企業のセキュリティ脅威、および従業員とそのモバイルデバイスに保存されている個人データのプライバシーを保護する課題などがある。
An ineffectively secured personal mobile device could expose an organization or employee to data loss or a privacy compromise. 個人用モバイルデバイスのセキュリティが不十分な場合、組織や従業員がデータ損失やプライバシー侵害にさらされる可能性がある。
SOLUTION  解決策 
The National Cybersecurity Center of Excellence (NCCoE) collaborated with the mobile community and cybersecurity technology providers to build a simulated BYOD environment. Using commercially available products, the example solution’s technologies and methodologies can enhance the security  posture of the adopting organization and help protect employee privacy and organizational information assets. 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、モバイルコミュニティおよびサイバーセキュリティ技術プロバイダーと協力し、BYOD環境のシミュレーションを構築した。市販の製品を使用することで、このソリューションのテクノロジーと方法論は、採用する組織のセキュリティ姿勢を強化し、従業員のプライバシーと組織の情報資産を保護するのに役立つ。
This practice guide can help your organization:  この実践ガイドでは、以下のことを実現する。
§  protect data from being accessed by unauthorized persons when a device is stolen or misplaced § デバイスの盗難や置き忘れの際に、不正アクセスからデータを保護する。
§  reduce risk to employees through enhanced privacy protections § プライバシー保護の強化により、従業員のリスクを軽減する。
§  improve the security of mobile devices and applications by deploying mobile device technologies   § モバイルデバイス技術の導入によるモバイルデバイスとアプリケーションのセキュリティの向上  
§  reduce risks to organizational data by separating personal and work-related information from each other § 個人情報と業務関連情報を分離することによる組織データへのリスクの低減
§  enhance visibility into mobile device health to facilitate identification of device and data compromise, and permit efficient user notification  § モバイルデバイスの健全性を可視化し、デバイスとデータの侵害を特定し、ユーザーへの通知を効率的に行う。
§  leverage industry best practices to enhance mobile device security and privacy  § モバイルデバイスのセキュリティとプライバシーを強化するために、業界のベストプラクティスを活用する。
§  engage stakeholders to develop an enterprise-wide policy to inform management and employees of acceptable practices § 管理職と従業員に許容されるポリシーを伝えるため、利害関係者を巻き込んでエンタープライズ全体のポリシーを策定する。
The example solution uses technologies and security capabilities (shown below) from our project collaborators. The technologies used in the solution support security and privacy standards and guidelines including the NIST Cybersecurity Framework and NIST Privacy Framework, among others. Both iOS and Android devices are supported by this guide’s example solution.  このソリューションの例では、プロジェクトの協力者が提供するテクノロジーとセキュリティ機能(以下に示す)を使用している。このソリューションで使用されているテクノロジーは、NIST Cybersecurity FrameworkやNIST Privacy Frameworkなどのセキュリティとプライバシーの標準およびガイドラインをサポートしている。このガイドのサンプルソリューションでは、iOSとAndroidの両方のデバイスがサポートされている。
While the NCCoE used a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution. NCCoEはこの課題に対処するために一連の商用製品を使用したが、本ガイドはこれらの特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものではありません。組織の情報セキュリティ専門家は、既存のツールや IT システムのインフラと最もよく統合できる製品を特定する必要がある。また、このガイドを出発点として、ソリューションの一部をカスタマイズし、実装することもできる。
HOW TO USE THIS GUIDE  このガイドの使用方法 
Depending on your role in your organization, you might use this guide in different ways:  組織におけるあなたの役割に応じて、このガイドをさまざまな方法で使用することができる。
Business decision makers, including chief information security and technology officers can use this part of the guide, NIST SP 1800-22a: Executive Summary, to understand the impetus for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.  情報セキュリティおよび技術の最高責任者を含むビジネス意思決定者は、本ガイドのこの部分であるNIST SP 1800-22Aを使用できる。エグゼクティブ・サマリーは、本ガイドのきっかけ、当社が取り組むサイバーセキュリティの課題、この課題を解決するための当社のアプローチ、およびこのソリューションが組織にどのような利益をもたらすかを理解するために使用する。
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use the following:  リスクを特定、理解、評価、および軽減する方法に関心のある技術、セキュリティ、およびプライバシープログラムマネージャーは、以下を利用することができる。
§  NIST SP 1800-22b: Approach, Architecture, and Security Characteristics, which describes what we built and why, the risk analysis performed, and the security/privacy control mappings.  § NIST SP 1800-22b: NIST SP 1800-22b: アプローチ、アーキテクチャ、およびセキュリティ特性。何をなぜ作ったか、実施したリスク分析、セキュリティ/プライバシー制御のマッピング。 
§  NIST SP 1800-22 Supplement: Example Scenario: Putting Guidance into Practice, which provides an example of a fictional company using this practice guide and other NIST guidance to implement a BYOD deployment with their security and privacy requirements.  § NIST SP 1800-22 Supplement。シナリオの例。この実践ガイドおよび他の NIST ガイダンスを使用して、セキュリティおよびプライバシーの要件を満たす BYOD 展開を行う架空の会社の例を示している。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-22c: How To Guides, which provides specific product installation, configuration, and integration instructions for building the example implementation, allowing you to replicate all or parts of this project.   このようなアプローチを実施したいIT専門家は、NIST SP 1800-22C: How To Guidesを利用できる。このガイドでは、実装例を構築するための具体的な製品のインストール、構成、および統合の手順が提供されており、このプロジェクトのすべてまたは一部を再現することができる。 

 

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2  Solution 1.2 解決策
1.2.1 Standards and Guidance 1.2.1 標準とガイダンス
1.3 Benefits 1.3 利点
2  How to Use This Guide 2 このガイドの使用方法
2.1 Typographic Conventions 2.1 タイポグラフィ規則
3 Approach 3 アプローチ
3.1  Audience 3.1 想定読者
3.2  Scope 3.2 対象範囲
3.3 Assumptions 3.3 前提条件
3.4 Risk Assessment 3.4 リスクアセスメント
4 Architecture 4 アーキテクチャ
4.1  Common BYOD Risks and Potential Goals to Remediate Those Risks 4.1 一般的なBYODリスクと、そのリスクを修正するための潜在的な目標
4.1.1  Threat Events 4.1.1 脅威となる事象
4.1.2  Privacy Risks 4.1.2 プライバシー・リスク
4.1.3  Security and Privacy Goals 4.1.3 セキュリティとプライバシーの目標
4.2  Example Scenario: Putting Guidance into Practice 4.2 シナリオの例:ガイダンスの実践
4.3  Technologies that Support the Security and Privacy Goals of the Example Solution 4.3 ソリューション例のセキュリティとプライバシーの目標をサポートする技術
4.3.1  Trusted Execution Environment 4.3.1 信頼された実行環境
4.3.2  Enterprise Mobility Management 4.3.2 エンタープライズモビリティ管理
4.3.3  Virtual Private Network 4.3.3 仮想プライベートネットワーク
4.3.4  Mobile Application Vetting Service 4.3.4 モバイルアプリケーション審査サービス
4.3.5  Mobile Threat Defense 4.3.5 モバイル脅威防御
4.3.6  Mobile Operating System Capabilities 4.3.6 モバイルオペレーティングシステム機能
4.4  Architecture Description 4.4 アーキテクチャの説明
4.5  Enterprise Integration of the Employees’ Personally Owned Mobile Devices 4.5 従業員の個人所有のモバイルデバイスのエンタープライズ統合
4.5.1  Microsoft Active Directory Integration 4.5.1 Microsoft Active Directoryの統合
4.5.2  Mobile Device Enrollment 4.5.2 モバイルデバイスのエンロールメント
4.6  Mobile Components Integration 4.6 モバイルコンポーネントの統合
4.6.1  Zimperium–MaaS360 4.6.1 Zimperium-MaaS360
4.6.2  Kryptowire–MaaS360 4.6.2 Kryptowire-MaaS360
4.6.3  Palo Alto Networks–MaaS360 4.6.3 パロアルトネットワークス-MaaS360
4.6.4  iOS and Android MDM Integration 4.6.4 iOSおよびAndroid MDMの統合
4.7  Privacy Settings: Mobile Device Data Processing 4.7 プライバシー設定。モバイルデバイスのデータ処理
4.7.1  EMM: MaaS360 4.7.1 EMM: MaaS360
4.7.2  MTD: Zimperium 4.7.2 MTD: Zimperium(ジンペリウム
4.7.3  Application Vetting: Kryptowire 4.7.3 アプリケーションベッティング Kryptowire
4.7.4  VPN: Palo Alto Networks 4.7.4 VPN:Palo Alto Networks(パロアルトネットワークス
5  Security and Privacy Analysis 5 セキュリティとプライバシーの分析
5.1  Analysis Assumptions and Limitations 5.1 分析の前提条件と限界
5.2  Build Testing 5.2 ビルドテスト
5.3  Scenarios and Findings 5.3 シナリオと調査結果
5.3.1  Cybersecurity Framework, Privacy Framework, and NICE Framework Work Roles Mappings 5.3.1 サイバーセキュリティフレームワーク、プライバシーフレームワーク、および NICE フレームワークの作業役割マッピング
5.3.2  Threat Events and Findings 5.3.2 脅威イベントと調査結果
5.3.3  Privacy Risk Findings 5.3.3 プライバシーリスクの調査結果
5.4  Security and Privacy Control Mappings 5.4 セキュリティとプライバシーコントロールの対応付け
6  Example Scenario: Putting Guidance into Practice 6 シナリオの例。ガイダンスの実践
7  Conclusion 7 結論
8  Future Build Considerations 8 今後の構築に関する考察
Appendix A List of Acronyms 附属書A 頭字語リスト
Appendix B Glossary 附属書B 用語集
Appendix C References 附属書C 参考文献
Appendix D Standards and Guidance 附属書D 標準とガイダンス
Appendix E Example Security Subcategory and Control Map 附属書E セキュリティサブカテゴリーとコントロールマップの例
Appendix F Example Privacy Subcategory and Control Map 附属書F プライバシーサブカテゴリーとコントロールマップの例

 

 


 

1st ドラフトの時...

まるちゃんの情報セキュリティきまぐれ日記

・2021.03.19 NIST SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) BYODのセキュリティ

 

| | Comments (0)

2022.12.03

Interpol サイバー化された金融犯罪:インターポールの世界的な警察活動で1億3,000万米ドル(175億円)を阻止 (2022.11.24)

こんにちは、丸山満彦です。

インターポールの世界的な活動である、HAECHI III作戦で1億3,000万米ドル(175億円)の仮想資産を押収し、約1000名を逮捕したと公表していますね。。。

ちなみに、HAECHI III作戦(2022.06.28-11.23)には30カ国が参加していて、日本も参加していますね。。。

確かに銀行強盗をしようとする人はかなり減っていて、金融犯罪というのは、基本的にサイバーですよね。。。

 

Interpol

・2022.11.24 Cyber-enabled financial crime: USD 130 million intercepted in global INTERPOL police operation

 

Cyber-enabled financial crime: USD 130 million intercepted in global INTERPOL police operation サイバー化された金融犯罪:インターポールの世界的な警察活動で1億3,000万米ドルを阻止
Operation HAECHI III cracks down on voice phishing, romance scams, sextortion, investment fraud, business email compromise and money laundering associated with illegal online gambling  「HAECHI III作戦」は、違法なオンライン・ギャンブルに関連する音声フィッシング、ロマンス詐欺、セクストーション、投資詐欺、ビジネス・メール侵害、マネーロンダリングを取り締まるものである。
LYON, France – An INTERPOL police operation to tackle online fraud has seen almost 1000 suspects arrested and the seizure of USD 129,975,440 worth of virtual assets. フランス、リヨン - インターポール(国際刑事警察機構)のオンライン詐欺撲滅作戦により、約1000人の容疑者が逮捕され、1億2997万5440ドル相当の仮想資産が押収された。
Fraud investigators around the world worked together over five months (28 June – 23 November) to intercept money and virtual assets linked to a wide range of cyber-enabled financial crimes and money laundering, assisting countries to recover and return illicitly obtained funds to victims. 世界中の詐欺捜査官が5ヶ月間(6月28日~11月23日)協力し、幅広いサイバー金融犯罪やマネーロンダリングに関連する資金や仮想資産を押収し、各国が不正に入手した資金を回収して被害者に返還できるよう支援した。
Specifically targeting voice phishing, romance scams, sextortion, investment fraud and money laundering associated with illegal online gambling, Operation HAECHI III was coordinated by INTERPOL’s Financial Crime and Anti-Corruption Centre (IFCACC) which supported 30 countries via their respective INTERPOL National Central Bureaus (NCBs). 特に音声フィッシング、ロマンス詐欺、セクストーション、投資詐欺、違法オンラインギャンブルに関連するマネーロンダリングをターゲットとした「オペレーション HAECHI III」は、インターポールの金融犯罪・腐敗防止センター(IFCACC)が調整し、それぞれのインターポール国内中央局(NCB)を通じて30カ国を支援した。
In total, the operation resulted in the arrest of 975 individuals and allowed investigators to resolve more than 1,600 cases. In addition almost 2,800 bank and virtual-asset accounts linked to the illicit proceeds of online financial crime were blocked. この活動により、合計で975人が逮捕され、捜査官は1,600件以上の事件を解決することができた。さらに、オンライン金融犯罪の不正収益に関連する約2,800の銀行口座と仮想資産口座が封鎖された。
Operation HAECHI III investigations generated the publication of 95 INTERPOL Notices and diffusions, and the detection of 16 new crime trends. HAECHI III作戦の捜査により、95件のインターポール・ノーティスが発行され、拡散され、16件の新しい犯罪動向が検出された。
Taking the profit out of financial crime 金融犯罪から利益を得る
Operation HAECHI III brought together law enforcement agencies, Financial Intelligence Units, asset recovery offices, prosecutors and private sector financial experts to identify illicit funds and money mules, detect money laundering activities and deactivate associated bank accounts. HAECHI III作戦は、法執行機関、金融情報部門、資産回収事務所、検察、民間の金融専門家を集め、不正資金やマネー・ミュールの特定、マネー・ローンダリング活動の検出、関連銀行口座の無効化などを行いた。
“The success of this operation is based on two key elements for law enforcement, follow the money and cooperation via INTERPOL. We have highlighted the need for greater efforts to deprive criminals of their illegal gains and this operation has seen member countries doing just that.” Jürgen Stock, INTERPOL Secretary General 「この作戦の成功は、法執行機関にとって2つの重要な要素、資金の追跡とインターポールを通じた協力に基づくものである。私たちは、犯罪者から違法な利益を奪うためにさらなる努力が必要であることを強調してきたが、この作戦によって、加盟国はまさにそれを実践している」ユルゲン・ストックINTERPOL事務局長
International police cooperation during Operation HAECHI III unveiled several emerging online financial crime trends, particularly variations on impersonation scams, romance frauds, sextortion and investment frauds. HAECHI III」作戦における国際警察の協力により、オンライン金融犯罪の新たなトレンド、特になりすまし詐欺、ロマンス詐欺、セクストーション、投資詐欺のバリエーションが明らかにされた。
Investigators also reported a surge in fraudulent investment schemes committed through the use of instant messaging apps where encrypted information is exchanged promoting the use of cryptocurrency wallets for payment. また、暗号化された情報をやり取りするインスタントメッセージングアプリを利用した詐欺的な投資スキームが急増しており、暗号通貨ウォレットを使った支払いを促進していると報告されている。
In one investigation, two Red Notice fugitives wanted by Korea for suspected involvement in a global Ponzi scheme were arrested in Greece and Italy after embezzling EUR 28 million from 2,000 Korean victims. ある捜査では、世界的なねずみ講への関与が疑われ、韓国から指名手配されていた2人のレッドノーティスの逃亡者が、韓国の被害者2000人から2800万ユーロを横領した後、ギリシャとイタリアで逮捕された。
In another case, the Austrian and Indian NCBs identified a group of online criminals who had been impersonating INTERPOL officers, persuading victims to transfer some USD 159,000 through financial institutions, cryptocurrency exchanges and online gift cards. Indian authorities raided the call centre, seizing four cryptocurrency wallets and other crucial crime evidence. 別の事例では、オーストリアとインドのNCBが、INTERPOLの職員になりすまし、金融機関、暗号通貨取引所、オンラインギフトカードを通じて約15万9000米ドルを送金するよう被害者を説得していたネット犯罪者のグループを特定した。インド当局はコールセンターを急襲し、4つの暗号通貨ウォレットとその他の重要な犯罪証拠を押収した。
"As we look to the future, we recognize the importance for decisive and concerted law enforcement action across borders.  This year’s leg of Operation HAECHI III speaks volumes of IFCACC’s dedicated coordination and the strong commitment of participating countries, all of which foretell of new law enforcement victories ahead," said Hyung Se Lee, Head of NCB Seoul. 「私たちは将来を見据え、国境を越えた断固とした協調的な法執行活動の重要性を認識している。  今年の「オペレーション HAECHI III」は、IFCACCの献身的な調整と参加国の強いコミットメントを物語っており、これらはすべて今後の新たな法執行の勝利を予見させるものである」とNCB SeoulのHyung Se Lee代表は述べている。
From test pilot to live policing tool: ARRP テストパイロットから実際の取り締まりツールへ:ARRP
After several months of pilot testing, Operation HAECHI III saw investigators launch INTERPOL’s new global stop-payment mechanism, known as the Anti-Money Laundering Rapid Response Protocol (ARRP), which  enables countries to work together to submit and handle requests to restrain criminal proceeds. 数カ月にわたるパイロットテストの後、HAECHI III作戦では、捜査官がインターポールの新しいグローバルな支払停止メカニズムであるアンチ・マネー・ローンダリング迅速対応プロトコル(ARRP)を立ち上げた。
Among many ARRP successes during the operation, NCBs Manchester and Dublin worked together to trace and seize some EUR 1.2 million lost to business email scams perpetrated in Ireland.  The funds were returned in full to the victim’s Irish bank account, and investigations continue. この活動では、ARRPの多くの成功例の中で、マンチェスターとダブリンのNCBが協力して、アイルランドで行われたビジネスメール詐欺で失われた約120万ユーロを追跡・押収した。  資金は被害者のアイルランドの銀行口座に全額返還され、捜査が続けられている。
Since January 2022, in total the ARRP has helped member countries recover more than USD 120 million in criminal proceeds from cyber-enabled fraud. 2022年1月以降、ARRPは合計で1億2千万米ドル以上のサイバー対応詐欺の犯罪収益回収を加盟国に支援してきた。
HAECHI III participating countries : Australia, Austria, Brunei, Cambodia, Cote d’Ivoire, France, Ghana, Hong Kong (China), India, Indonesia, Ireland, Japan, Korea, Kyrgyzstan, Laos, Malaysia, Maldives, Nigeria, Philippines, Poland, Romania, Singapore, Slovenia, South Africa, Spain, Sweden, Thailand, United Arab Emirates, United Kingdom, United States. HAECHI III参加国: オーストラリア、オーストリア、ブルネイ、カンボジア、コートジボワール、フランス、ガーナ、香港(中国)、インド、インドネシア、アイルランド、日本、韓国、キルギスタン、ラオス、マレーシア、モルジブ、ナイジェリア、フィリピン、ポーランド、ルーマニア、シンガポール、スロベニア、南アフリカ、スペイン、スウェーデン、タイ、アラブ首長国連邦、英国、米国。
The HAECHI III Operation is global in scope, conducted under the aegis of a three-year project to tackle cyber-enabled financial crime supported by the Republic of Korea, with the participation of INTERPOL member countries on every continent. HAECHI III作戦は、韓国が支援するサイバー金融犯罪に対処するための3年間のプロジェクトの庇護のもと、全大陸のインターポール加盟国の参加を得て実施されるグローバルな作戦である。

Interpol

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.10.15 警察庁 金融庁 NISC 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.21 総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催

・2022.04.17 公安調査庁 サイバー空間における脅威の概況2022

・2022.04.12 警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.01.31 警察法改正案 情報通信局からサイバー警察局へ他

・2021.12.19 警察庁 サイバーセキュリティ政策会議 【令和3年度】サイバー局等新組織において取り組む政策パッケージ

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.06.25 警察庁 サイバー事案への対処能力の強化のために警察庁にサイバー局を設置?

・2021.05.17 Interpol 英国の資金でアフリカのサイバー犯罪と戦うためのイニシアティブを始めた

・2021.04.23 警察庁から「犯罪インフラ化するSMS認証代行への対策について」が公表されていますね

・2020.12.13 Interpolによって調整されたFirst Light作戦2020により電話・インターネット詐欺犯を2万人以上を逮捕し、約160億円を押収したようですね。

 

 

一気に10年前に飛びます(^^)

・2012.07.22 警察庁 警察庁長官官房審議官(サイバーセキュリティ戦略担当)の設置

・2012.06.12 警察庁 CSIRT設置

・2010.07.27 警察庁 マネー・ローンダリング対策のための事業者による顧客管理の在り方に関する懇談会報告書

・2010.03.23 警察庁 情報技術解析平成21年報

・2010.02.08 警察庁 確定 国家公安委員会が所管する事業分野における個人情報保護に関する指針

・2008.04.09 警察庁 Winny等ファイル共有ソフトを用いた著作権侵害問題とその対応策について(平成19年度総合セキュリティ対策会議 報告書)

・2007.03.08 警察庁 暗号化ソフト開発

・2007.02.22 警察庁 DNA型記録検索システム

・2005.10.22 警察庁 有害ネットの自動監視システム構築へ?

・2005.08.19 警察庁 平成17年上半期の犯罪情勢

・2005.07.22 警察庁 サイバー犯罪防止広報パンフレット

・2005.06.29 警察庁とマイクロソフトが技術協力

・2005.06.17 警察庁 インターネット安全・安心相談システムを開始

・2005.06.21 政府の情報セキュリティ機関

・2005.06.11 奥菜恵さんをインターネット安全大使に任命

・2005.04.07 警察庁 情報セキュリティ対策の実態調査

・2005.04.01 警察庁セキュリティビデオ 「サイバー犯罪事件簿~姿なき侵入者~」

・2005.03.01 サイバー犯罪といえば詐欺

・2005.02.24 サイバー犯罪といえば児童ポルノ

・2004.12.24 @policeの世界のセキュリティ情報

・2004.12.17 警察庁発表 振り込め詐欺対策

・2004.12.02 フィッシングって・・・と、その対策

・2004.11.25 政府のセキュリティサイトを訪ねてみよう

 

コンピュータ犯罪に関する白浜シンポジウム関係

・2022.05.27 第26回サイバー犯罪に関する白浜シンポジウム 顕在化する国境なきサイバー犯罪に立ち向かうために~ ランサムウェアの脅威を考える ~

・2021.05.22 第25回サイバー犯罪に関する白浜シンポジウムが終了しました。。。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

あのJIPDECの昭和57年発行の本をベースに発表した資料があります↓

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2012.05.27 白浜シンポおわりました! 今年で16回目

・2011.05.14 まもなく白浜シンポ! 今年で15回目

・2011.04.16 第15回サイバー犯罪に関する白浜シンポジウム

・2010.06.04 第14回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2010.04.11 第14回サイバー犯罪に関する白浜シンポジウム

・2009.06.05 第13回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2008.10.01 白浜シンポ 経済産業大臣表彰「情報セキュリティ促進部門」

・2008.06.07 白浜シンポ無事終了。来年もできるように。

・2008.06.05 今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。

・2008.04.15 第12回サイバー犯罪に関する白浜シンポジウム

・2007.06.09 白浜シンポ 無事終了・・・

・2007.06.09 白浜シンポ 無事、二日目終了・・・

・2007.06.08 白浜シンポ 無事、初日終了・・・

・2007.06.07 本日より・・・第11回サイバー犯罪に関する白浜シンポジウム

・2007.03.29 第11回サイバー犯罪に関する白浜シンポジウム

・2006.05.25 本日より・・・第10回コンピュータ犯罪に関する白浜シンポジウム

・2006.04.03 受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム

・2005.05.21 第9回コンピュータ犯罪に関する白浜シンポジウム無事終了!

・2005.04.03 コンピュータ犯罪に関する白浜シンポジウム 2005

 

 

 

| | Comments (0)

第3期戦略的イノベーション創造プログラム(SIP:エスアイピー)についての経団連の意見...

こんにちは、丸山満彦です。

経団連が、第3期戦略的イノベーション創造プログラム (SIP) についての意見を掲載しています。。。SIPは国の将来を見据えた政策的な研究プログラムで、税金を使った(5年間で1500億円程度...)プログラムで、研究成果が社会に活きるようになるためには官民連携が重要となるわけですが、うまくいっているんでしょうか。。。

日本経済団体連合会

・2022.12.01 次期SIPに対する意見


次期SIPについては産業界からの期待も高く、研究開発への参画について関心を持つ企業も多い。ただし、実際にリソースを提供するにあたっては下記のとおりに具体的にクリアすべき課題がある。

また、社会実装を進めるにあたっては、研究開発の進展のみならず、先端技術の利活用の観点から規制緩和等の制度整備が併せて必要となることにも留意すべきである。


次のようなことで書かれています。。。

  1. 課題設定
  2. 社会実装のレベル
  3. アジャイルな運用による予算・人材の手当
  4. 民間からの人的支援
  5. 企業の利益確保
  6. スタートアップ
  7. ルール形成及び国際標準化
  8. 享受者のリテラシー向上
  9. 研究推進法人
  10. 他の政策等(PRISMなど)との整理
  11. 情報共有のあり方

 


11. 情報共有のあり方

SIPの概要と研究過程の各ステップがまとめられて明示されていると企業側の理解が深まると考えられる。具体的には、全体を把握できる概念図およびスケジュール上の各マイルストンで何を行うかが簡潔にまとめられた資料を求める。特に、RFI、PD候補の公募、研究開発責任者・実施者の公募、マッチングファンド(企業に求められる資金や工数)について説明があると、企業としてどのようなアクション・負担が求められるのかが理解しやすい。

現状ではFSの内容については概要のみ公開されている状態であり、企業としては社内で参入について検討していない段階でFSの具体的な検討内容や状況について問い合わせることは敷居が高いため、途中経過の公表を求める。併せて過去のSIPでの成果についても引き続き周知を図ることで、事業化までのイメージを持ちやすくなる。

第1期、第2期の企業出身PDがSIPを通して得た知識やスキル等の共有もお願いしたい。また、参入を前提としない企業との情報交換の場を設けるなど、既存の役割以外の関わり方の検討をお願いしたい。


 

さて、SIPのウェブページ

内閣府

戦略的イノベーション創造プログラム(SIP:エスアイピー)

第3期SIPの候補

  1. 豊かな食が提供される持続可能なフードチェーンの構築
  2. 統合型ヘルスケアシステムの構築
  3. 包摂的コミュニティプラットフォームの構築
  4. ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築
  5. 海洋安全保障プラットフォームの構築
  6. スマートエネルギーマネジメントシステムの構築
  7. サーキュラーエコノミーシステムの構築
  8. スマート防災ネットワークの構築
  9. スマートインフラマネジメントシステムの構築
  10. スマートモビリティプラットフォームの構築
  11. 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備
  12. バーチャルエコノミー拡大に向けた基盤技術・ルールの整備
  13. 先進的量子技術基盤の社会課題への応用促進
  14. AI・データの安全・安心な利活用のための基盤技術・ルールの整備
  15. マテリアルプロセスイノベーション基盤技術の整備

 

20221203-101732

課題候補 FS実施方針 検討タスクフォース 研究推進法人 コンセプト  PD候補  所属・役職 
1 豊かな食が提供される持続可能なフードチェーンの構築 PDF 豊かな食が提供される持続可能なフードチェーンの構築に係る検討タスクフォース 国立研究開発法人農業・食品産業技術総合研究機構
生物系特定産業技術研究支援センター
食料安全保障やカーボンニュートラル、高齢化社会への対応に向けて、食料の調達、生産、加工・流通、消費の各段階を通じて、豊かさを確保しつつ、生産性向上と環境負荷低減を同時に実現するフードチェーンを構築する。  松本 英三  株式会社 J-オイルミルズ 取締役常務執行役員 
2 統合型ヘルスケアシステムの構築 PDF 統合型ヘルスケアシステムの構築に係る検討タスクフォース 国立研究開発法人 医薬基盤・健康・栄養研究所 患者や消費者のニーズに対し、医療・ヘルスケア等の限られたリソースを、デジタル化や自動化技術で最大限有効かつ迅速にマッチングするシステムを構築する。  永井 良三  自治医科大学 学長 
3 包摂的コミュニティプラットフォームの構築 PDF 包摂的コミュニティプラットフォームの構築に係る検討タスクフォース 国立研究開発法人 医薬基盤・健康・栄養研究所 性別、年齢、障がいなどに関わらず、多様な人々が社会的にも精神的にも豊かで暮らしやすいコミュニティを実現するため、プライバシーを完全に保護しつつ、社会活動への主体的参加を促し、必要なサポートが得られる仕組みを構築する。  久野 譜也  筑波大学大学院人間総合科学学術院 教授 
4 ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築 PDF ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築に係る検討タスクフォース 国立研究開発法人科学技術振興機構 ポストコロナ社会に向けて、オンラインでも対面と変わらない円滑なコミュニケーションができ、地方に住んでいても大都市と変わらない教育や仕事の機会が提供され、さらに、多様な学び方、働き方が可能な社会を実現するためのプラットフォームを構築する。  西村 訓弘  三重大学大学院地域イノベーション学研究科 教授・特命副学長 
5 海洋安全保障プラットフォームの構築 PDF 海洋安全保障プラットフォームの構築に係る検討タスクフォース 国立研究開発法人海洋研究開発機構 世界有数の海洋国家である我が国にとって安全保障上重要な海洋の保全や利活用を進めるため、海洋の各種データを収集し、資源・エネルギーの確保、気候変動への対応などを推進するプラットフォームを構築する。  石井 正一  日本 CCS 調査株式会社 顧問 
6 スマートエネルギーマネジメントシステムの構築


PDF スマートエネルギーマネジメントシステムの構築に係る検討タスクフォース 国立研究開発法人科学技術振興機構 地域におけるエネルギーの生産及び利用に係る技術の更なる高度化に加え、電力利用だけでなく熱利用についても考慮する需給調整に向けたエネルギーマネジメントシステムの構築、エネルギーマネジメントシステムを支える分散型電源関連、エネルギーキャリア関連技術の確立を目指す。  浅野 浩志  東海国立大学機構岐阜大学高等研究院地方創生エネルギーシステム研究センター特任教授
一般財団法人電力中央研究所研究アドバイザー
東京工業大学科学技術創成研究院特任教授
7 サーキュラーエコノミーシステムの構築 PDF サーキュラーエコノミーシステムの構築に係る検討タスクフォース 独立行政法人環境再生保全機構 大量に使用・廃棄されるプラスチック等素材の資源循環を加速するため、原料の調達から、設計・製造段階、販売・消費、分別・回収、リサイクルの段階までのデータを統合し、サプライチェーン全体として産業競争力の向上や環境負荷を最小化するサーキュラーエコノミーシステムの構築を目指し技術開発を行うとともに、消費者の行動変容を促す環境整備も検討する。その際、脱炭素社会の実現や環境配慮が付加価値になる情報開示に関する国際的なルール形成(TCFD、TNFD等)への対応についても併せて検討を行う。  伊藤 耕三  東京大学大学院 新領域創成科学研究科 教授 
8 スマート防災ネットワークの構築 PDF スマート防災ネットワークの構築に係る検討タスクフォース 国立研究開発法人防災科学技術研究所 気候変動等に伴い災害が頻発・激甚化する中で、平時から災害に備える総合的防災対策を強化するとともに、災害時対応として、災害・被災情報をきめ細かく予測・収集・共有し、個人に応じた防災・避難支援、自治体による迅速な救助・物資提供、民間企業と連携した応急対応などを行うネットワークを構築する。  楠 浩一  東北大学大学院 工学研究科教授
9 スマートインフラマネジメントシステムの構築 PDF スマートインフラマネジメントシステムの構築に係る検討タスクフォース 国立研究開発法人土木研究所 インフラ・建築物の老朽化が進む中で、デジタルデータにより設計から施工、点検、補修まで一体的な管理を行い、持続可能で魅力ある国土・都市・地域づくりを推進するシステムを構築する。 久田 真  筑波大学 名誉教授 
10 スマートモビリティプラットフォームの構築 PDF スマートモビリティプラットフォームの構築に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 移動する人・モノの視点から、移動手段(小型モビリティ、自動運転、MaaS、ドローン等)、交通環境のハード、ソフトをダイナミックに一体化し、安全で環境に優しくシームレスな移動を実現するプラットフォームを構築する。  石田 東生  筑波大学 システム情報系 教授
筑波大学 サイバニクス研究センター 研究統括
筑波大学 未来社会工学開発研究センター センター長
11 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備 PDF 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 人の生活空間でのロボティクスの利用拡大が見込まれる中で、ドアを開ける、モノを運ぶ、階段を登るなどのタスクに応じて、マニピュレータなどの必要な機能を提供するためのハード・ソフトのプラットフォームを構築するとともに、人へのリスク評価手法などについて検討を行う。  山海 嘉之  筑波大学 システム情報系 教授
筑波大学 サイバニクス研究センター 研究統括
筑波大学 未来社会工学開発研究センター センター長
CYBERDYNE 株式会社 代表取締役社長/CEO
12 バーチャルエコノミー拡大に向けた基盤技術・ルールの整備 PDF バーチャルエコノミー拡大に向けた基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 バーチャルエコノミーが拡大する中で、バーチャル空間での個人認証・プライバシー等のルール、バーチャル空間とつなぐ技術として5感、BMI( Brain Machine Interface)の標準化、バーチャル社会の心身への影響、社会システム設計等が求められている。 GAFAMやITベンチャー等の取組が急速な中、社会制度の設計、技術標準化、セキュリティ等に官民連携で取り組む。  持丸 正明  国立研究開発法人産業技術総合研究所
人間拡張研究センター 研究センター長 
13 先進的量子技術基盤の社会課題への応用促進 - 先進的量子技術基盤の社会課題への応用促進に係る検討タスクフォース 国立研究開発法人量子科学技術研究開発機構 量子コンピュータ、量子センシング、量子セキュリティ・ネットワークと古典コンピュータ等の従来技術システムが連携・一体化したサービス実現は、我が国の産業競争力の強化・社会課題解決等に貢献することが期待されている。また、量子コンピュータの進展による現代暗号技術の危殆化に対応するため、量子暗号技術の社会実装や、量子コンピュータ・センサを接続可能とする量子ネットワークの実現が期待されている。令和4年4月目途に策定される新たな戦略を踏まえ、取り組むべき課題を具体化する。  寒川 哲臣  日本電信電話株式会社先端技術総合研究所 所長 
14 AI・データの安全・安心な利活用のための基盤技術・ルールの整備 PDF AI・データの安全・安心な利活用のための基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 AIの利活用の拡大に当たっては、データの品質と計算能力を向上させるとともに、プライバシー、セキュリティ、倫理などが課題として挙げられる。 データの安全・安心な流通を確保しつつ、様々なステークホルダーのニーズに柔軟に対応できるデータ連携基盤を構築することが期待されている。 AI戦略の見直しを踏まえ、取り組むべき課題を具体化する。  宮本 恭幸  東京工業大学工学院電気電子系 教授 
15 マテリアルプロセスイノベーション基盤技術の整備 PDF マテリアルプロセスイノベーション基盤技術の整備に係る検討タスクフォース 国立研究開発法人物質・材料研究機構 マテリアル設計、プロセス設計上のデータ、マテリアルズ・インテグレーション技術やプロセスインフォマティクス技術を適用することで、ニーズに応じた材料を迅速に開発できるイノベーション基盤技術を整備する。  木場 祥介  ユニバーサル マテリアルズ インキュベーター株式会社 代表取締役パートナー 

 

 

 

| | Comments (0)

ENISA サイバーセキュリティ市場分析をするためのディスカッション

こんにちは、丸山満彦です。

規制というのは、(寡占、公害といった外部不経済、情報の偏りなどの理由で)完全競争市場ではない市場において生じている社会全体の利潤の減少を補正し、完全競争市場であれば得られたであろう利潤に持っていくための手段なのだろうと思っています。なので、今ある市場がどのような状態であるのかということを理解することは、どのような補正をすれば、社会的に利潤が最大化するかを理解する上で重要なことだとおもっています。。。

また、企業にとっても市場を正しく理解することは、今後の製品、サービス開発にとっても重要なインプットとなりますね。。。

ということで、ENISAはサイバーセキュリティ市場をどのようにすれば適切に理解できるのかという市場分析の手法について、さまざまな立場の有識者を交えたディスカッションを通じて理解しようとしていますね。。。(今年の4月には暫定版の報告書も公開し、配電網分野のIoTセキュリティ市場での調査結果も公表しています。。。)

日本の政策決定課程との大きな違いかもですね。。。(政策を入れた時の社会への影響分析も欧米ではしますよね。。。日本ではあまり見たことないですが。。。)。日本の場合は、大きな声(利権に関わるので自然と声が大きくなる)の人の意見がより大きく政策に影響され、かえって市場が歪められていたりして。。。で、その結果、国際的な競争力を失っていたりして。。。 知らんけど。。。

さて、ENISAが11月23日ー24日にクラウドサービスを中心に行ったディスカッションのメモ...

結論...

  1. サイバーセキュリティの市場分析には、セクターの特異性を捉えるように設計された方法論を採用すべきである。
  2. サイバーセキュリティ・レジリエンス法は、サイバーセキュリティ市場の透明性を高める画期的な法律案である。同時に、域内市場、サイバーセキュリティ、レジリエンス政策を含む領域をシームレスにカバーするために、他の法律との整合性を確保することが重要である。
  3. EUのサイバーセキュリティ市場を改善し、できればその潜在能力を最大限に発揮させるためには、スキルギャップを解消することが必要である。
  4. 欧州のサイバーセキュリティ市場におけるクラウドセキュリティインフラへの投資レベルは、他の地域(例:米国)の取り組みに比べると遅れている。
  5. 政府は、(国家による攻撃など)必要なときにサイバーセキュリティサービスを利用できるEU市場で活動するサービスプロバイダの目録を保持する必要がある。
  6. サイバーセキュリティの認証制度は、中小企業の投資の可能性に見合ったものである必要がある。

Enisa_20221203060901

 

ENISA

・2022.12.01 Going to the market for Cybersecurity Market Analysis

Going to the market for Cybersecurity Market Analysis サイバーセキュリティ市場分析のために市場へ出向く
The European Union Agency for Cybersecurity (ENISA) organised its first conference on cybersecurity market analysis last week for EU cybersecurity market stakeholders to share experiences and initiate the debate on how to best perform EU cybersecurity market analysis. 欧州連合サイバーセキュリティ機関(ENISA)は先週、EUサイバーセキュリティ市場の関係者を対象に、サイバーセキュリティ市場分析に関する初の会議を開催し、EUサイバーセキュリティ市場分析の最善の実行方法について経験を共有し、議論を開始した。
The objective of the market conference held in Brussels on 23-24 November during the Certification week organised by ENISA, was to promote a policy debate in the area of cybersecurity market analysis. It allowed stakeholders to share their experiences and views on aspects of cybersecurity and what they perceive to be the EU market thereof. ENISAが主催する認証週間中の11月23日から24日にかけてブリュッセルで開催された市場会議の目的は、サイバーセキュリティ市場分析の分野における政策論争を促進することでした。この会議では、関係者がサイバーセキュリティの側面とそのEU市場に関する認識について、それぞれの経験や見解を共有することができた。
Focusing primarily on cloud services, suppliers and users of cybersecurity services, national and European regulators, and research organisations shared the main cybersecurity market trends. They also addressed the questions raised by the evolution of the European cybersecurity regulatory framework and the impact it is likely to have on their affairs and businesses. Such feedback is essential to identify current gaps in the market, seize business opportunities and assess the impact of the cybersecurity requirements. 主にクラウドサービスに焦点を当て、サイバーセキュリティサービスのサプライヤーとユーザー、国内および欧州の規制当局、研究機関が、サイバーセキュリティ市場の主要な動向を共有した。また、欧州のサイバーセキュリティ規制の枠組みの進化によって生じる疑問や、それが自分たちの業務やビジネスに与えるであろう影響についても取り上げた。このようなフィードバックは、市場における現在のギャップを特定し、ビジネスチャンスを掴み、サイバーセキュリティ要件がもたらす影響を評価するために不可欠なものである。
Lorena Boix Alonso is Director for Digital Society, Trust and Cybersecurity inat the European Commission’s Directorate General for Communications Networks Content and Technology (DG CONNECT), stated: "The EU Cybersecurity sector grows fast to match increased digitisation and cyber threats. The European Cyber Competence Center and the EU Agency for Cybersecurity-ENISA are instrumental to increase the EU cyber posture, respectively contributing to strategic investments on cyber capabilities and operational guidance on cyber resilience. We already have a strong research basis on cyber in the EU, but lag behind on turn that research into market impact. We also suffer from a shortage of skilled cyber workers, which is why the Commission will work with others to build a European Cybersecurity Skills Academy." 欧州委員会の通信ネットワーク・コンテンツ・技術総局(DG CONNECT)のデジタル社会・信頼・サイバーセキュリティ担当ディレクターであるロリーナ・ボワ・アロンソは、次のように述べている。「EUのサイバーセキュリティ部門は、デジタル化の進展とサイバー脅威の増大に合わせて急速に成長している。欧州サイバーコンピテンスセンターと欧州サイバーセキュリティ機関(ENISA)は、それぞれサイバー能力に関する戦略的投資とサイバーレジリエンスに関する運用指針に貢献し、EUのサイバー態勢の強化に寄与している。EUには、サイバーに関する強力な研究基盤がすでにあるが、その研究を市場にインパクトのあるものにすることについては遅れをとっている。また、熟練したサイバー従事者の不足にも悩まされている。だからこそ、欧州委員会は他の機関と協力して、欧州サイバーセキュリティ技能アカデミーを設立するのである」。
ENISA Executive Director, Juhan Lepassaar said: "We need to make sure our cybersecurity market is fit for our purpose to make the EU cyber resilient. The market analysis framework developed by ENISA will help identify potential loopholes and map synergies at work. With the right tools and insights from the experience of all our stakeholders across the EU Member States, cybersecurity market analysis will allow us to better understand where to apply our efforts to improve our efficiency." ENISAのJuhan Lepassaar事務局長は、次のように述べた。 「我々は、EUのサイバーレジリエンスを高めるために、サイバーセキュリティ市場が我々の目的に適合していることを確認する必要がある。ENISAが開発した市場分析フレームワークは、潜在的な抜け穴を特定し、作業中の相乗効果をマッピングするのに役立つ。適切なツールとEU加盟国中のすべての関係者の経験からの洞察により、サイバーセキュリティ市場分析では、どこに我々の努力を適用して効率を向上させるべきかをよりよく理解できるようになる。」
Outcomes 成果
During the event, speakers and participants engaged in a lively discussion concerning a host of cybersecurity market aspects. Key conclusions include the following: イベント期間中、講演者と参加者は、サイバーセキュリティ市場の多くの側面について、活発な議論を行った。主な結論は以下の通りである。
・Cybersecurity market analysis should adopt methodologies, that are designed to capture sectoral specificities. ・サイバーセキュリティの市場分析には、セクターの特異性を捉えるように設計された方法論を採用すべきである。
・The Cybersecurity Resilience Act is a ground-breaking piece of draft legislation, which enhances transparency in the cybersecurity market. At the same time, it is important to ensure alignment with other pieces of legislation to seamlessly cover the spectrum that includes, internal market, cybersecurity and resilience policies. ・サイバーセキュリティ・レジリエンス法は、サイバーセキュリティ市場の透明性を高める画期的な法律案である。同時に、域内市場、サイバーセキュリティ、レジリエンス政策を含む領域をシームレスにカバーするために、他の法律との整合性を確保することが重要である。
・It is necessary to close the skills gap in order to improve and hopefully unleash the full potential of the EU cybersecurity market. ・EUのサイバーセキュリティ市場を改善し、できればその潜在能力を最大限に発揮させるためには、スキルギャップを解消することが必要である。
・The level of investment in cloud security infrastructure in the European cybersecurity market lags the efforts across other regions (e.g. US). ・欧州のサイバーセキュリティ市場におけるクラウドセキュリティインフラへの投資レベルは、他の地域(例:米国)の取り組みに比べると遅れている。
・Governments should hold an inventory of the service providers operating in the EU market that make available cybersecurity services when needed (e.g. state-sponsored attacks). ・政府は、(国家による攻撃など)必要なときにサイバーセキュリティサービスを利用できるEU市場で活動するサービスプロバイダの目録を保持する必要がある。
・Cybersecurity certification schemes need to remain proportionate to the investment potential of SMEs. ・サイバーセキュリティの認証制度は、中小企業の投資の可能性に見合ったものである必要がある。
Background 開催背景
The conference that mobilised about 35 speakers, was organised across a range of discussion panels covering the following 6 key topics: 本コンファレンスでは、約35名の講演者が参加し、以下の6つの主要なトピックについて、様々なディスカッションパネルが構成されました。
1. Overview of the EU regulatory approach on cybersecurity; 1. サイバーセキュリティに関するEUの規制アプローチの概要
2. EU digital single market: cybersecurity requirements; 2. EUのデジタル単一市場:サイバーセキュリティの要件
3. Current Practices in Market Analysis and interplay with cybersecurity; 3. 市場分析における現在の実践とサイバーセキュリティとの相互作用。
4. Cybersecurity market: cooperation, innovation and investment strategies; 4. サイバーセキュリティ市場:協力、イノベーション、投資戦略。
5. Strengths, weaknesses, opportunities and threats for the EU cloud cybersecurity market; 5. EUクラウドサイバーセキュリティ市場の強み、弱み、機会、脅威。
6. Cybersecurity certification – driver for the EU cybersecurity market. 6. サイバーセキュリティ認証 - EUのサイバーセキュリティ市場のドライバー。
A sound market analysis can help market players and regulators make informed decisions on cybersecurity devices or services to use, policy initiatives and research and innovation funding. 健全な市場分析は、市場関係者や規制当局が、使用するサイバーセキュリティ機器やサービス、政策的取り組み、研究・イノベーションへの資金提供について、十分な情報に基づいた決定を下すのに役立つ。
For this purpose, ENISA developed a framework to carry out cybersecurity market analysis and it applied it already to the market of the Internet of Things (IoT) distribution grid. The focus shifted to cloud services in 2022. この目的のために、ENISAはサイバーセキュリティ市場分析を行うためのフレームワークを開発し、すでにモノのインターネット(IoT)配電網の市場に適用している。2022年にはクラウドサービスに焦点が移った。
A dedicated Ad Hoc Working Group (AHWG) on the EU Cybersecurity Market has been of assistance to ENISA. EUサイバーセキュリティ市場に関する専門のアドホック・ワーキング・グループ(AHWG)は、ENISAを支援している。
Target audience 対象者
・EU institutions, bodies and Agencies; ・EUの機関、団体、機関
・Member States/public authorities; ・加盟国/公的機関
・ENISA stakeholder groups; ・ENISAのステークホルダー・グループ
・Service providers; ・サービスプロバイダー
・Independent experts; ・独立した専門家
・Industry and industry associations; ・産業界および業界団体
・Research institutions and research related entities; ・研究機関及び研究関連団体
・Consumer organisations/associations. ・消費者組織・団体
Further information その他の情報
Cybersecurity Market Analysis Framework – ENISA report 2022 サイバーセキュリティ市場分析フレームワーク - ENISAレポート2022年版
EU Cybersecurity Market Analysis – IoT in Distribution Grids – ENISA report 2022 EUサイバーセキュリティ市場分析-配電網のIoT-ENISAレポート2022年版

 

サイバーセキュリティ市場分析フレームワークのページ...

● ENISA - Topics - MarketCybersecurity Market Analysis Framework

・Detail

The ENISA Cybersecurity Market Analysis Framework is a “cookbook” on how EU cybersecurity market analyses can be performed. is the cornerstone of ENISA activities in analysing the EU cybersecurity market, as it is used within ENISA to scope, customise and perform market analyses ENISAサイバーセキュリティ市場分析フレームワークは、EUサイバーセキュリティ市場分析をどのように行うことができるかについての「料理本」である。 は、ENISA内で市場分析の範囲、カスタマイズ、実行に使用されており、EUサイバーセキュリティ市場の分析におけるENISA活動の基礎となるものである。
Cybersecurity Market Analysis Framework サイバーセキュリティ市場分析フレームワーク
It is based on existing market analysis good practices and proposes improvements towards covering cybersecurity products, services and processes. In this context, in 2021 ENISA has developed an initial version of a cybersecurity analysis method. This work resulted in the initial version of the ENISA Cybersecurity Market Analysis Framework (ECSMAF)[1]. 既存の市場分析のグッドプラクティスに基づき、サイバーセキュリティ製品、サービス、プロセスをカバーする方向で改善を提案している。この文脈で、2021年、ENISAはサイバーセキュリティ分析手法の初期版を開発した。この作業の結果、初期バージョンのENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)が誕生した[1]。
Essentially, this framework is aimed at those who need a market analysis for a cybersecurity market product, service and processe. It explains what the market analyst should do to describe the cybersecurity market segment (for example, a specific technology) and have an informed view of the demand and supply sides of the cybersecurity market in that segment. 基本的に、このフレームワークは、サイバーセキュリティ市場の製品、サービス、プロセスについて市場分析を必要とする人を対象としている。サイバーセキュリティ市場のセグメント(例えば、特定の技術)を説明し、そのセグメントにおけるサイバーセキュリティ市場の需要側と供給側の情報に基づいた見解を持つために、市場分析が何をすべきかを説明している。
More specifically, ECSMAF has several aims such as to 具体的には、ECSMAFには以下のような狙いがある。
・help identify gaps and opportunities in the European cybersecurity market; ・欧州のサイバーセキュリティ市場におけるギャップと機会の特定を支援する。
・serve as a template or model or guide for putting together a cybersecurity market analysis that can be used for assessing the prospects for any new cybersecurity product, service or process; ・新しいサイバーセキュリティ製品、サービス、プロセスの見通しを評価するために使用できるサイバーセキュリティ市場分析をまとめるためのテンプレートまたはモデル、ガイドとして機能する。
・support the European cybersecurity market by applying more rigour and a more comprehensive, structured approach to the analysis of the market prospects for new products, services and/or processes; ・新しい製品、サービス、プロセスの市場見込みの分析に、より厳密で、より包括的、構造化されたアプローチを適用することによって、欧州のサイバーセキュリティ市場を支援する。
・complement other related work in ENISA (e.g., in risk assessment, research and innovation, cybersecurity index, policy development, cybersecurity certification) and outside ENISA (e.g., national market observatories and statistics organisations); ・ENISA の他の関連業務(例:リスク評価、研究・イノベーション、サイバーセキュリティ指標、政策立案、サイバーセキュリティ認証)および ENISA の外部(例:各国の市場観測機関、統計機関)を補完する。
・help the cybersecurity market analyst prepare a credible market analysis for new cybersecurity products, services and/or processes; ・サイバーセキュリティ市場分析が、新しいサイバーセキュリティ製品、サービス、および/またはプロセスのための信頼できる市場分析を準備するのを支援する。
・establish comparability and quality compliance among the results achieved within a single organisation (inter-organisation consistency); ・単一の組織内で達成された結果間の比較可能性と品質コンプライアンスを確立する(組織間の整合性)。
・establish comparability and quality compliance among results achieved by various analysts of various organisations (intra-organisation consistency); ・様々な組織の様々な分析が達成した結果間の比較可能性と品質コンプライアンスを確立する(組織内一貫性)。
・increase re-usability of material developed within various analysis surveys. ・様々な分析調査において開発された資料の再利用性を高める。
Currently, ECSMAF is used by ENISA within performed cybersecurity market analyses, while it is subject of continuous improvements to enhance its applicability and usefulness for a variety of stakeholders who might be interested in performing their own cybersecurity market analyses. Examples of these stakeholders are: 現在、ECSMAFは、ENISAが実施したサイバーセキュリティ市場分析で使用されているが、独自のサイバーセキュリティ市場分析を実施することに関心を持つ様々な利害関係者にとって、その適用性と有用性を高めるために、継続的な改善が行われている。これらの利害関係者の例としては
・EU institutions, bodies and agencies (e.g., DG-CNECT, DG-GROW, DG-JRC, DG-RTD, DG-TRADE, European Cybersecurity Competence Centre - ECCC, Eurostat, etc.). EU regulation and impact assessments often take into account market issues. Market analyses are important to help policymakers understand trends as well as related demand and supply issues. Market analyses can also help shape future calls in Horizon Europe and other EU programmes where there are market gaps. ・EUの機関、団体、機関(例:DG-CNECT, DG-GROW, DG-JRC, DG-RTD, DG-TRADE, European Cybersecurity Competence Centre - ECCC, Eurostat, etc.):EUの規制や影響評価は、しばしば市場の問題を考慮に入れている。市場分析は、政策立案者がトレンドや関連する需要や供給の問題を理解するために重要である。また、市場分析は、市場にギャップがある場合、ホライゾンヨーロッパや他のEUプログラムにおける将来の募集を形成するのに役立つことがある。
・Public authorities, especially cybersecurity authorities. Cybersecurity market surveillance is subject to regulation (e.g., CSA). The framework and its application may help in comparative market analyses and identifying shared efforts between the Member States. ・公的機関、特にサイバーセキュリティ当局。サイバーセキュリティの市場サーベイランスは規制の対象である(例:CSA):このフレームワークとその適用は、市場比較分析や加盟国間の共有努力の特定に役立つ可能性がある。
・ENISA stakeholder groups (e.g., European Cybersecurity Certification Group (ECCG) composed of Member States, Stakeholder Cybersecurity Certification Group, ENISA Advisory Group). The framework may support decision-making for prioritising certification efforts and spotting market gaps. ・ENISA の関係者グループ(例:加盟国で構成される欧州サイバーセキュリティ認証グループ(ECCG)、関係者サイバーセキュリティ認証グループ、ENISA アドバイザリーグループ):フレームワークは、認証の取り組みの優先順位付けや市場のギャップを見出すための意思決定を支援することができる。
・Industry associations [e.g., Ecosystem of Certification, EU TIC Council, the European Cyber Security Organisation (ECSO), the Information Security Forum (ISF)]: Industry and professional associations can use the framework to identify market opportunities, trends, challenges and vulnerabilities and the creation of competitive advantages to EU industry players. ・業界団体[例:認証のエコシステム、EU TIC 協議会、欧州サイバーセキュリティ組織(ECSO)、情報セキュリティフォーラム(ISF)]:業界団体や専門家団体は、市場の機会、傾向、課題、脆弱性を特定し、EUの業界関係者に競争上の優位性を創出するために、このフレームワークを利用することができる。
・Consumer organisations/associations. By using the framework, such organisations may assess the needs and requirements of consumers for cybersecurity products and services and their prospects in the European cybersecurity market. ・消費者団体/協会:このような組織は、フレームワークを使用することで、サイバーセキュリティ製品とサービスに対する消費者のニーズと要件、および欧州のサイバーセキュリティ市場における消費者の見通しを評価することができる。
・Research institutions may use the proposed methodology to assess the maturity of existing products and markets and guide the development of new technologies and services. ・研究機関:研究機関は、既存の製品や市場の成熟度を評価し、新しい技術やサービスの開発を指導するために、提案された方法論を使用することができる。
・Companies providing cybersecurity products, services and/or processes (supply side). The European Council has estimated that there are 60,000 such companies in Europe. Some are major companies who already conduct sophisticated market analyses, but by far the majority could benefit from some market analysis advice. For some companies, cybersecurity is their principal business; for others, it is just one line of business among others. ・サイバーセキュリティ製品、サービス、および/またはプロセスを提供する企業(供給側):欧州理事会は、欧州にそのような企業が6万社あると推定している。中には、すでに高度な市場分析を行っている大手企業もあるが、圧倒的に多くの企業が何らかの市場分析アドバイスを受けることができるだろう。サイバーセキュリティが主要な事業である企業もあれば、他の事業の中の1つに過ぎない企業もある。
・Companies who need cybersecurity products, services and/or processes (demand side). Such companies may have information security professionals and/or procurement officials who need to improve their companies’ cybersecurity. Hence, they need to find out what is available in the market to meet their needs and requirements. ・サイバーセキュリティの製品、サービス、および/またはプロセスを必要とする企業(需要側):このような企業には、自社のサイバーセキュリティを改善する必要がある情報セキュリティ専門家や調達担当者がいるかもしれない。したがって、彼らは、自分たちのニーズと要件を満たすために、市場で何が利用可能であるかを見つける必要がある。
In its current version, ECSMAF can be found HERE[2]. ECSMAFの現在のバージョンはこちら[2]。
[1] url [1]
[2] url [2]
LATEST PUBLICATIONS 最新出版物
ENISA Cybersecurity Market Analysis Framework (ECSMAF) ENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)
This document is the cornerstone of ENISA activities in analysing the EU cybersecurity market: it presents a cybersecurity market analysis framework as a “cookbook” on how EU cybersecurity market analyses can be performed. この文書は、EUサイバーセキュリティ市場の分析におけるENISA活動の基礎となるもので、EUサイバーセキュリティ市場の分析をどのように行うことができるかについての「料理本」としてサイバーセキュリティ市場分析フレームワークを提示している。
[PDF] [PDF]
EU Cybersecurity Market Analysis - IoT in Distribution Grid EUサイバーセキュリティ市場分析-配電網のIoT化
This report analyses demand and supply of IoT cybersecurity in distribution grids. It provides detailed indications on how this market might further develop in the future. The conclusions provided in the report are related to the envisaged scope, being thus non-exhaustive with regard to the entire smart-grid infrastructure. 本報告書では、配電網におけるIoTサイバーセキュリティの需要と供給について分析している。この市場が今後どのように発展していくかについて、詳細な示唆を与えている。本レポートで提供される結論は、想定される範囲に関連しており、したがってスマートグリッドインフラ全体に関して網羅的ではない。
[PDF] [PDF]

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.11 ENISA サイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析のフレームワーク

 

 

 

| | Comments (0)

米国 GAO K-12(幼稚園から高校まで)の学校へのサイバー攻撃が増加している...その対応は?

こんにちは、丸山満彦です。

米国のGAOが、K-12のセキュリティについてブログの記事を載せていますね。。。 2022.10.20に公表した報告書にもどつくものですね。。。

日本の文部省はこのあたりの領域については、どの程度力をいれているんでしょうかね。。。

 

U.S. GAO - WatchBlog

・2023.12.01 As Cyberattacks Increase on K-12 Schools, Here Is What’s Being Done

As Cyberattacks Increase on K-12 Schools, Here Is What’s Being Done 幼稚園から高校までの学校へのサイバー攻撃が増加する中、何が行われているのか?
In recent years, cyberattacks on K-12 schools have increased. Not only do these attacks disrupt educational instruction and school operations, they also impact students, their families, and teachers.   近年、幼稚園から高校までの学校に対するサイバー攻撃が増加している。こうした攻撃は、教育指導や学校運営を混乱させるだけでなく、生徒やその家族、教師にも影響を与えている。 
The scale and number of attacks increased during COVID-19 as more schools moved to remote learning and increased their reliance on IT services. COVID-19では、多くの学校が遠隔学習に移行し、ITサービスへの依存度が高まるにつれて、攻撃の規模と数が増加した。
Today’s WatchBlog post looks at the growing risks and impacts of cyberattacks on schools, and our work on federal efforts to assist K-12 schools. 本日のWatchBlogでは、学校に対するサイバー攻撃のリスクと影響の増大、およびK-12学校を支援するための連邦政府の取り組みについて紹介する。
What are the potential impacts of cyberattacks? サイバー攻撃の潜在的な影響とは何か?
For our new report, we spoke with school districts and other stakeholders about the impacts cyberattacks have had on their schools, students, and community. Local and state officials told us that the loss of learning following a cyberattack ranged from 3 days to 3 weeks, and recovery time could take anywhere from 2 to 9 months. The financial impacts on schools can be broad. Officials reported monetary losses to school districts ranging from $50,000 to $1 million due to expenses caused by a cyber incident. These costs included, for example, replacement of computer hardware and enhancing cybersecurity to prevent future attacks. この新しい報告書のために、私たちは学区やその他の関係者に、サイバー攻撃が学校、生徒、地域社会に与えた影響について話を聞いた。地元や州の関係者によると、サイバー攻撃による学習の損失は3日から3週間、復旧には2カ月から9カ月かかるという。学校への財政的な影響は広範囲に及ぶ可能性がある。関係者は、サイバーインシデントによって引き起こされた費用による学区の金銭的損失は5万ドルから100万ドルに及ぶと報告している。これらの費用には、例えば、コンピュータのハードウェアの交換や、将来の攻撃を防ぐためのサイバーセキュリティの強化などが含まれる。
Cyberattacks can also result in the disclosure and theft of students’ and school employees’ (like teachers’) personal information. Schools and school districts collect and store a lot of personal information about students and employees. In a 2020 report, we found that information compromised as the result of a data breach included things like students’ grades, bullying reports, and social security numbers—leaving students vulnerable to emotional, physical and financial harm. サイバー攻撃はまた、生徒や学校職員(教師のような)の個人情報の漏洩や盗難につながる可能性もある。学校や学区は、生徒や職員の個人情報を大量に収集・保管している。2020年の報告書では、データ侵害の結果漏洩した情報には、生徒の成績、いじめの報告書、社会保障番号などが含まれており、生徒が精神的、身体的、経済的被害に遭う脆弱性を抱えていることがわかった。
How are schools being attacked? 学校はどのように攻撃されているのか?
Individuals carrying out cyberattacks on schools can use several techniques. These include: 学校へのサイバー攻撃を行う者は、いくつかの手法を用いることができる。以下のようなものがある:
・Phishing, which is an attempt to acquire data or other resources through a fraudulent solicitation in email or on a website. フィッシング:電子メールやウェブサイト上で詐欺的な勧誘を行い、データやその他のリソースを取得しようとする。
・Ransomware, which is a type of malicious software that attempts to block access to computer or data systems. During a ransomware attack, the perpetrator demands a fee to be paid in exchange for restoring access. ランサムウェア:コンピュータやデータシステムへのアクセスを遮断しようとする悪意のあるソフトウェアの一種である。ランサムウェア攻撃では、犯人はアクセスを回復する代わりに料金を支払うよう要求する。
・Distributed denial-of-service attacks, which prevent or impair authorized use of networks, systems or applications by multiple machines operating together to overwhelm a target. 分散型サービス拒否攻撃:複数のマシンが標的を圧倒するために一斉に動作することで、ネットワーク、システム、またはアプリケーションの許可された利用を阻止または妨害する。
・Video conferencing disruptions, meaning attacks that disrupted teleconferences and online classrooms, often with pornographic or hate images and threatening language. ビデオ会議の妨害:電話会議やオンライン教室を妨害する攻撃を意味し、多くの場合、ポルノ画像や憎悪画像、脅迫的な言葉が使われる。
1_20230814151501
Some examples of when these methods of cyberattacks were used on public schools include: これらのサイバー攻撃手法が公立学校で使われた例としては、以下のようなものがある:
・In December 2021, a vendor for Chicago Public Schools was a victim of a ransomware attack in which more than 500,000 students’ and staff members’ personal information was disclosed. The data included students’ names, schools, dates of birth, genders, school identification numbers, state student identification numbers, and course information from previous school years. ・2021年12月、シカゴ公立学校のベンダーがランサムウェア攻撃の被害に遭い、50万人以上の生徒と職員の個人情報が流出した。データには、生徒の氏名、学校名、生年月日、性別、学校識別番号、州の生徒識別番号、過去の学年の履修情報などが含まれていた。
・In February 2021, Winthrop Public Schools in Massachusetts was the victim of a denial-of-service attack that disrupted learning and teaching on the district’s networks and web-based systems. This included emails, learning platforms and video conferencing services—all of which became essential to education during the pandemic when classes were taught remotely. ・2021年2月、マサチューセッツ州のウィンスロップ公立学校はサービス妨害攻撃の被害に遭い、学区内のネットワークやウェブベースのシステムでの学習や授業が中断された。これには、電子メール、学習プラットフォーム、ビデオ会議サービスなどが含まれ、パンデミックの間、遠隔授業が行われていたため、これらのサービスは教育に不可欠なものとなっていた。
・Similarly, in September 2020, Miami-Dade County Public Schools was a victim of a series of denial-of-service attacks. This disrupted learning and teaching on the district’s networks and web-based systems. ・同様に、2020年9月、マイアミ・デイド郡公立学校は、一連のサービス拒否攻撃の犠牲となった。これにより、学区内のネットワークやウェブベースのシステムでの学習や授業が中断された。
・Connecticut officials reported a school district had to shut down for 3 to 4 days due to a cybersecurity incident. This was followed by another incident that involved the Connecticut school district being re-infected 2 to 3 days later. Officials said the additional attack was enabled by the school district’s cybersecurity insurance company not providing sufficient recovery response. ・コネティカット州当局の報告によると、ある学区ではサイバーセキュリティのインシデントにより、3〜4日間シャットダウンを余儀なくされた。このインシデントに続いて、コネチカット州の学区は2〜3日後に再感染を受けた。関係者によると、この追加攻撃は、学区のサイバーセキュリティ保険会社が十分な復旧対応を行わなかったために可能になったという。
・In California, officials told us students could obtain software for $30 to $50 on the internet that would allow them to disrupt school for 20 to 30 minutes during an attack. ・カリフォルニア州では、生徒がインターネット上で30ドルから50ドルでソフトウェアを入手し、攻撃時に20分から30分間、学校を妨害することができると当局者は話している。
Number of U.S. Students Affected by Ransomware Attacks on K-12 Schools and School Districts, 2018-2021 幼稚園から高校までの学校および学区に対するランサムウェア攻撃の影響を受けた米国の生徒数(2018年~2021年)
1_20230814144701
What is the role of the federal government? 連邦政府の役割は?
There is a national strategy for combatting cyberattacks led by the Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA). As part of that strategy, the Department of Education (Education) is responsible for coordinating and collaborating K-12 public school cybersecurity efforts with other federal entities—such as the FBI and DHS, as well as state, local and tribal entities. Education and CISA provide cybersecurity-related products and services to schools, such as online safety guidance. But beyond that, we found that these two federal entities otherwise have little-to-no interaction with other federal partners or the K-12 community regarding cyberattacks. This limits the federal role and ability to help schools
.
国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA)が主導するサイバー攻撃対策の国家戦略がある。その戦略の一環として、教育省(Education Department)は、K-12公立学校のサイバーセキュリティの取り組みを、FBIやDHSなどの他の連邦事業体や、州、地方、部族の事業体と調整し、協力する責任を負っている。教育と CISA は、オンライン安全ガイダンスなど、サイバーセキュリティ関連の製品とサービスを学校にプロバイダしている。しかし、それ以外の点では、これら2つの連邦事業体は、サイバー攻撃に関して他の連邦パートナーや幼稚園児から高校生までのコミュニティとほとんど交流がないことがわかった。このため、学校を支援する連邦政府の役割と能力が制限されている。
We recommended that Education and DHS improve its coordination, enhance schools’ awareness of the federal services available to them, and measure the effectiveness of products and services used by schools. 我々は、教育省とDHSが連携を改善し、学校が利用できる連邦政府のサービスに対する認識を高め、学校が利用する製品やサービスの効果を測定するよう勧告した。
Learn more about cyberattacks and their impact on K-12 schools by checking out our recent report. サイバー攻撃とその幼稚園から高校までの学校への影響については、最近の報告書を参照されたい。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.22 米国 GAO 重要インフラの防御:K-12サイバーセキュリティを強化するためには、連邦政府のさらなる調整が必要である。

| | Comments (0)

2022.12.02

データ保護のEDPSとサイバーセキュリティのENISAが協力関係強化に関する覚書に署名

こんにちは、丸山満彦です。

データ保護のEDPSとサイバーセキュリティのENISAが協力関係強化に関する覚書に署名しましたね。。。

今まで、協力していなかったわけではないとは思いますが、より協力するということなのでしょうかね。。。

 

Edps-enisa

 

European Data Protection Supervisor: EDPS

・2022.11.30 Pairing up Cybersecurity and Data Protection efforts: EDPS and ENISA sign Memorandum of Understanding

Pairing up Cybersecurity and Data Protection efforts: EDPSand ENISA sign Memorandum of Understanding サイバーセキュリティとデータ保護の取り組みを対にする。EDPSとENISAが覚書に調印
The European Data Protection Supervisor (EDPS) and the European   Union Agency for Cybersecurity (ENISA) sign a Memorandum of Understanding (MoU) which establishes a strategic cooperation framework between them.
欧州データ保護監督機関(EDPS)と欧州連合サイバーセキュリティ機関(ENISA)は、両機関の戦略的協力体制を確立する覚書に調印した。
Both organisations agree to consider designing, developing and delivering capacity building, awareness-raising activities, as well as cooperating on policy related matters on topics of common interest, and contributing to similar activities organised by other EU institutions, bodies, offices and agencies (EUIBAs). 両組織は、能力開発、意識向上活動の設計、開発、実施を検討し、また、共通の関心事に関する政策関連事項で協力し、他のEU機関、団体、事務所、機関(EUIBAs)が組織する同様の活動に貢献することに同意する。
Wojciech Wiewiórowski, EDPS, said: “Today's MoU formalises the EDPS and ENISA's cooperation, which has been ongoing for several years. The document establishes strategic cooperation to address issues of common concern, such as cybersecurity as a way of protecting individuals’ personal data. Cybersecurity and data protection go hand in hand and are two essential allies for the protection of individuals and their rights. Privacy-enhancing technologies are a good example of this.” EDPSのWojciech Wiewiórowski氏は、次のように述べている。 「本日のMoUは、数年来続いているEDPSとENISAの協力関係を正式なものとするものです。 この文書は、個人の個人情報を保護する方法としてのサイバーセキュリティなど、共通の関心事に取り組むための戦略的な協力関係を確立するものです。サイバーセキュリティとデータ保護は手を取り合って、個人とその権利を保護するために不可欠な2つの同盟国です。プライバシーを向上させる技術は、その好例と言えるでしょう。"
Juhan Lepassaar, ENISA Executive Director, said: “The Memorandum of Understanding between EDPS and ENISA will allow us to address cybersecurity and privacy challenges in a holistic manner and assist EUIBAs in improving their preparedness." ENISA事務局長のJuhan Lepassaarは、次のように述べている。 "EDPSとENISAの覚書により、サイバーセキュリティとプライバシーの課題に総合的に取り組み、EUIBAの準備態勢を向上させることができるようになります。"
The MoU includes a strategic plan to promote the awareness of cyber hygiene, privacy and data protection amongst EUIBAs. The plan also aims to promote a joint approach to cybersecurity aspects of data protection, to adopt privacy-enhancing technologies, and to strengthen the capacities and skills of EUIBAs. MoUには、EUIBAsの間でサイバー衛生、プライバシー、データ保護に関する認識を促進するための戦略的計画が含まれている。この計画では、データ保護のサイバーセキュリティの側面に対する共同アプローチを促進し、プライバシーを強化する技術を採用し、EUIBAsの能力とスキルを強化することも目指している。

 

 

ENISA

・2022.11.30 Pairing up Cybersecurity and Data Protection Efforts: EDPS and ENISA sign Memorandum of Understanding

 

・[PDF] Memorandum of Understanding

20221202-24033

 

Memorandum of Understanding on increasing cooperation between  the European Data Protection Supervisor and the European Union Agency for Cybersecurity 欧州データ保護監督機関と欧州連合サイバーセキュリティ機関との間の協力関係強化に関する覚書
I. Preamble I. 前文
1. This document is a Memorandum of Understanding setting out the principles for increased cooperation between:  1. 本書は、両者の協力関係を強化するための原則を定めた覚書である。
• The European Data Protection Supervisor (EDPS), established by Regulation (EU) 2018/1725  of the European Parliament and of the Council , represented for the purposes of signature of this Memorandum of Understanding by the European Data Protection Supervisor, Mr Wojciech Wiewiórowski; and  - 欧州データ保護監督者(EDPS)は、欧州議会と理事会の規則(EU)2018/1725によって設立され、欧州データ保護監督者であるWojciech Wiewiórowski氏がこの覚書の署名のために代表を務めている。
• The European Union Agency for Cybersecurity (ENISA), established by Regulation (EU) 2019/881 , of the European Parliament and of the Council , represented for the purposes of signature of this Memorandum of Understanding by its Executive Director, Mr Juhan Lepassaar;  - 欧州議会及び理事会の規則(EU)2019/881により設立された欧州連合サイバーセキュリティ機関(ENISA)、その事務局長であるJuhan Lepassaar氏が本覚書の署名のために代表を務めている。
2. Under Article 52 of Regulation (EU) 2018/1725, the EDPS is the independent supervisory authority responsible, with respect to the processing of personal data, for ensuring that the fundamental rights and freedoms of natural persons, and in particular their right to data protection are respected by the Union institutions, bodies, offices and agencies.  2. 規則(EU)2018/1725の第52条に基づき、EDPSは、個人データの処理に関して、自然人の基本的権利と自由、特にデータ保護に対する権利が連合の機関、団体、事務所、機関によって尊重されることを保証する責任を負う独立監督機関である。
3. Under Title II of Regulation (EU) 2019/881, ENISA is the Union’s agency dedicated to achieving a high common level of cybersecurity across Europe. The Agency acts as a reference point for advice and expertise on cybersecurity for Union institutions, bodies, offices and agencies as well as for other relevant Union stakeholders. 3. 規則(EU)2019/881のタイトルIIに基づき、ENISAは欧州全体で高い共通レベルのサイバーセキュリティを達成することを目的とするEUの機関です。同機関は、欧州連合の機関、団体、オフィス、機関、およびその他の関連する欧州連合のステークホルダーのためのサイバーセキュリティに関する助言と専門知識の参照先として機能する。
II. Purpose II. 目的
4. This Memorandum of Understanding has been agreed in recognition of the common interest of EDPS and ENISA to cooperate more in areas of mutual interest. Building on earlier exchanges, it aims to establish, define and promote a structured cooperation in accordance with and subject to their respective statutory tasks and powers under Union law.  4. 本覚書は、EDPS と ENISA が、相互の関心領域においてより協力することに共通の関心を持っていることを認識し、合意されたものである。これまでの交流に基づき、本覚書は、EU 法に基づくそれぞれの法定任務及び権限に基づき、体系的な協力を確立し、定義し、促進することを目的とする。
5. This Memorandum of Understanding does not affect in any way the tasks and powers of the EDPS as a supervisor of the processing of personal data by ENISA as an EU Agency, nor does it affect in any way the duties of ENISA as a data controller or data processor under Regulation (EU) 2018/1725 and as an independent Agency under Regulation (EU) No 2019/881. This Memorandum of Understanding does not impact activities and duties that either party carries out under Union law. 5. 本覚書は、EU機関としてのENISAによる個人データの処理に対する監督者としてのEDPSの任務及び権限、規則(EU)2018/1725に基づくデータ管理者又はデータ処理者としてのENISAの任務、規則(EU) No 2019/881に基づく独立機関としての任務に何ら影響を与えない。本覚書は、いずれかの当事者がEU法の下で実施する活動や義務に影響を与えるものではない。
III. Strategic Cooperation III. 戦略的な協力関係
6. EDPS and ENISA agree to establish a strategic cooperation in areas of common interest with a view to addressing issues of common concern such as cybersecurity aspects of personal data protection.  6. EDPSとENISAは、個人データ保護のサイバーセキュリティの側面など、共通の関心事に対処することを目的として、共通の関心分野における戦略的協力を確立することに同意する。
7. EDPS and ENISA agree to put forward a strategic plan on promoting awareness, capacity, cyber-hygiene and privacy and data protection stand of institutions, bodies, offices and agencies of the Union. This strategic plan will aim to promote a joint approach to cybersecurity aspects of data protection as well as to the adoption of privacy enhancing technologies, and strengthen the capacities and skills of the aforementioned institutions, bodies, offices and agencies of the Union. Further element useful to establish the strategic plan are defined in Annex A. 7. EDPS及びENISAは、EUの機関、団体、事務所及び機関の意識、能力、サイバー衛生及びプライバシーとデータ保護の立場の促進に関する戦略的計画を打ち出すことに合意する。この戦略計画は、データ保護のサイバーセキュリティの側面及びプライバシー強化技術の採用に対する共同アプローチを促進し、前述の連合の機関、団体、オフィス及び機関の能力及び技能を強化することを目的とする。戦略的計画の策定に有用な更なる要素は、附属書 A に定義されている。
8. As part of the strategic plan, EDPS and ENISA agree to consider designing, developing and delivering capacity building and awareness raising activities in areas of common interest and contributing jointly to similar activities organised by other bodies. Within the scope of each activity, EDPS and ENISA will address aspects within their area of expertise.  8. 戦略計画の一環として、EDPS及びENISAは、共通の関心分野での能力向上及び意識向上 のための活動を設計、開発、実施し、他の機関が主催する同様の活動に共同で貢献することを 検討することに合意する。各活動の範囲内において、EDPS 及び ENISA は、それぞれの専門分野の側面を取り扱う。
9. EDPS and ENISA aim to meet at least once a year to review matters related to the strategic plan, to identify further areas of cooperation, and in order to exchange views on main current and forthcoming challenges for cybersecurity and privacy and data protection, including security of personal data processing and management of personal data breaches, data protection by design and by default and privacy by design, privacy enhancing technologies and privacy engineering and as well as analyses of emerging technologies, foresight methods and topic-specific assessments on the expected societal, legal, economic and regulatory impact of technological innovations. 9. EDPS及びENISAは、戦略的計画に関連する事項をレビューし、更なる協力分野を特定し、また、個人データ処理のセキュリティ及び個人データ侵害の管理、デザイン及びデフォルトによるデータ保護、デザインによるプライバシー、プライバシー強化技術及びプライバシーエンジニアリング、並びに新技術の分析、予見手法及び技術革新が予想される社会、法律、経済及び規制に与える影響のテーマ別評価等サイバーセキュリティ及びプライバシーとデータ保護に関する現在及び将来の主要課題に関して意見交換するために少なくとも年1回の会合を行うことを目標とする。
10. EDPS and ENISA agree to appoint a single contact point responsible for coordinating their cooperation and for consulting each other on a regular basis, particularly with regard to the terms of this Memorandum of Understanding.  10. EDPS及びENISAは、両者の協力の調整及び特に本覚書の条件に関する定期的な協議を担当する単一のコンタクトポイントを任命することに合意する。
11. EDPS and ENISA agree to exchange the contact details of the contact points and to inform each other without undue delay in writing of any change concerning the contact points. 11. EDPS及びENISAは、コンタクトポイントの連絡先を交換し、コンタクトポイントに関する変更 があった場合には、不当な遅延なく書面により相互に通知することに合意する。
IV. On current specific areas of cooperation IV. 現在の具体的な協力分野について
12. ENISA will in particular continue its involvement in the EDPS activities relating to supporting privacy and data protection engineering and privacy enhancing technologies such as the EDPS IPEN network, supporting the organisation of the IPEN workshops back-to-back to ENISA’s Annual Privacy Form (APF) and providing relevant contributions where appropriate. EDPS will in particular continue to support the ENISA’s APF at an appropriate level of participation and throughout a consolidated partnership for the organisation of the IPEN workshops back-to-back to ENISA’s APF. 12. ENISAは、特にEDPS IPENネットワーク等のプライバシー及びデータ保護工学及びプライバシー強化技術の支援に関連するEDPS活動への関与を継続し、ENISAの年次プライバシーフォーム(APF)に連動したIPENワークショップの開催を支援し、適切な場合には関連貢献を提供する。特にEDPSは、ENISAのAPFに適切なレベルで参加し、ENISAのAPFと連動したIPENワークショップの開催に向けた統合的なパートナーシップを通じて、ENISAのAPFを引き続き支援する。
13. EDPS and ENISA agree to inform and to exchange views with each other while preparing strategic documents such as work programmes and action plans insofar as they are relevant to the areas of cooperation identified in this Memorandum of Understanding.  13. EDPS と ENISA は、本覚書で特定された協力分野に関連する限り、作業計画や行動計画のような戦略的 文書を作成する際に、相互に情報を提供し意見交換を行うことに合意する。
14. EDPS and ENISA agree to exchange information on upcoming activities on emerging technologies of mutual concern and exchange views on forthcoming opinions and guidance of common strategic interest, as deemed relevant by the parties.  14. EDPS 及び ENISA は、両当事者が関連すると考える限り、相互に関心のある新技術に関する今後の活動に関する情報を交換し、共通の戦略的関心を有する今後の意見及び指針について意 見交換を行うことに合意する。
15. EDPS and ENISA agree to invite each other to relevant expert meetings and where appropriate collaborate in research activities.  15. EDPS 及び ENISA は、相互に関連する専門家会合に招待し、また、適切な場合には研究活動において協力することに合意する。
V. Expenses V. 費用負担
16. 16. EDPS and ENISA each bear any of their own expenses that may arise in the course of implementing this Memorandum of Understanding, unless agreed otherwise on a case-by-case basis.  16. EDPS及びENISAは、本基本合意書の実施過程で発生し得るあらゆる経費を、個別に合意された場合を除き、それぞれ負担するものとする。
VI. Confidentiality VI. 秘密保持
17. EDPS and ENISA each undertake to keep any information, document or other material communicated to them as confidential, and not to disclose such confidential material to third parties without the prior written consent of the originating Party. This is without prejudice to the obligations of ENISA and EDPS to comply with Regulation (EC) No 1049/2001 of the European Parliament and of the Council of 30 May 2001 regarding public access to European Parliament, Council and Commission documents.  17. EDPS及びENISAは、それぞれ、伝達された情報、文書その他の資料を機密として保持し、発信者 の書面による事前の同意なくして第三者に当該機密資料を開示しないことを約束する。これは、ENISA及びEDPSが、欧州議会、理事会及び委員会文書の一般公開に関する2001年5月30日の欧州議会及び理事会規則(EC)第1049/2001号を遵守する義務を害するもので はない。
18. EDPS and ENISA agree to respect all security measures related to the protection of EU classified information.  18. EDPS及びENISAは、EUの機密情報の保護に関する全てのセキュリティ対策を尊重することに合意する。
VII. Entry into force, duration and revision VII. 発効、継続及び改訂
19. This Memorandum of Understanding shall enter into force on the day following its signature by EDPS and ENISA.  19. 本覚書は、EDPS及びENISAによる署名の翌日に発効するものとする。
20. This Memorandum of Understanding is signed for an initial period of [five] years and may be renewed by mutual agreement between EDPS and ENISA. 20. 本覚書は、当初[5年間]締結され、EDPSとENISAの相互の合意により更新されることができる。
EDPS and ENISA may by mutual agreement at any time amend or supplement this Memorandum of Understanding. Any such amendments or supplements or terminations will be in writing.  EDPS及びENISAは、相互の合意により、いつでも本基本合意書を修正し、又は補足することができる。そのような修正若しくは補足又は終了は、書面により行われる。
 Done in Brussels on 30 November 2022  2022 年 11 月 30 日にブリュッセルで締結された。
 (signed)  (signed)  (署名) (署名)
 For ENISA   For EDPS   ENISA  EDPS 
 The Executive Director  The European Data Protection Supervisor  事務局長 The European Data Protection Supervisor
ANNEX A – Establishing the strategic plan ANNEX A - 戦略計画の策定
A.1. The strategic plan provided for in Article 7 of this MoU will aim to set and prescribe the objectives to be achieved by joint activities and synergies for the next three years in areas of common interest.  A.1. 本 MoU の第 7 条に規定される戦略的計画は、共通の関心分野における今後 3 年間の共同活動とシナ ジーによって達成されるべき目標を設定し規定することを目的とするものである。
A.2. EDPS and ENISA will meet on an annual basis in order to identify and agree on the specific activities and synergies to be undertaken. Each Party may propose a number of activities and also indicate the scope, objectives, timeframe of implementation as well as the anticipated resources that may be required by each Party for delivery of each activity.  A.2. EDPS 及び ENISA は、実施すべき具体的な活動及びシナジーを特定し合意するために、年 1 回の会合を行う。各当事者は、いくつかの活動を提案することができ、また、範囲、目的、実施時期、及び各活 動の実施のために各当事者が必要とし得る予想される資源を示すことができる。
A.3. The final activities and synergies will be agreed in writing and both Parties will mutually agree on the scope, objectives, timeframe and resources required.  A.3. 最終的な活動及びシナジーは文書で合意され,両当事者はその範囲,目的,時間枠及び必要な資源について相互に合意する。
A.4. During the planning and the execution of each activity, regular meetings may be set up in order to monitor the progress, identify risks and relevant mitigation measures.  A.4. 各活動の計画及び実行の間、進捗状況を監視し、リスク及び関連する緩和策を特定するために、定期的な会議を設定することができる。

 

 

| | Comments (0)

欧州理事会ミシェル議長と習近平国家主席の会談

こんにちは、丸山満彦です。

欧州理事会 (European Council) [wikipedia] のミシェル議長が中国を訪問し、習近平国家主席と会談をしたようですね。。。

ロシアによるウクライナ侵攻についても話をしたようですね。。。

 

Euchina

欧州は、準備をした発言通りの原稿で、中国は準備した原稿ですね。。。

 

European Council

・2022.12.01 Remarks by President Charles Michel following the meeting with Chinese President Xi Jinping

Remarks by President Charles Michel following the meeting with Chinese President Xi Jinping 習近平国家主席との会談を受けたシャルル・ミシェル議長のコメント
Good afternoon, こんにちは。
First of all I would like to thank President Xi for hosting us in China today. And I would like to  present to the people of China my sincere condolences for the death of your former President Jiang Zemin. まず、今日、私たちを中国に迎えてくださった習近平国家主席に感謝いたします。そして、中国国民の皆さまに、江沢民元国家主席の死去に対する心からの哀悼の意を表したい。
The EU promotes its interests and its values in the world. I have come to Beijing to engage in a candid, in-depth, and face-to-face dialogue with China’s leadership. Today’s meeting with President Xi Jinping took some three hours. I also met with Prime minister Li Keqiang and the chairman of the National People’s Congress, Li Zhanshu. It’s our first in-person meeting since I took office, due to COVID. My last visit to China was as Belgian Prime Minister in November 2016. EUは、世界において自国の利益と価値を促進しています。私は、中国の指導者と率直で綿密な、そして直接の対話を行うために北京に来ました。本日の習近平国家主席との会談は、3時間ほどで終了しました。また、李克強首相、李湛書全国人民代表大会主席とも会談した。COVIDの関係で、私が就任してから初めての直接の会談です。私が最後に中国を訪れたのは、2016年11月にベルギー首相としてでした。
A few weeks ago, I put a discussion on the EU-China relationship on the agenda of the European Council. The 27 leaders agreed on the critical importance of the EU-China relationship. We discussed how to best manage it in Europe’s interest but also in the global interest. 数週間前、私は欧州理事会でEUと中国の関係についての議論を議題にしました。27人の首脳は、EUと中国の関係が極めて重要であることに同意しました。我々は、欧州の利益のためだけでなく、世界の利益のために、それをどのようにうまく管理するかについて議論しました。
Today, we know that the world faces multiple crises. The war in Ukraine, the energy and food crises, and the slow-down of the global economy. On top of climate change and global health. These global issues require dialogue and action. We need to discuss where we can work better together, but also to discuss and manage our differences. I believe in the power of dialogue. 今日、我々は、世界が複数の危機に直面していますことを承知しています。ウクライナ戦争、エネルギー危機と食糧危機、世界経済の減速。その上、気候変動やグローバルヘルス。これらのグローバルな問題には、対話と行動が必要です。私たちは、よりよく協力できるところを話し合うだけでなく、お互いの違いを議論し、管理する必要があります。私は、対話の力を信じています。
Both the EU and China have an interest in a rules-based world with the UN Charter at its core. EUも中国も、国連憲章を中核とするルールベースの世界に関心を持っています。
We had the occasion to discuss Russia’s war against Ukraine. China is a global player and a Permanent Member of the UN Security Council. We all share the responsibility to work for peace and for the respect of the fundamental principles of the United Nations Charter. I urged President Xi — as we did at our EU-China Summit in April — to use his influence on Russia to respect the UN charter. 我々は、ロシアのウクライナに対する戦争について議論する機会がありました。中国はグローバルプレイヤーであり、国連安全保障理事会の常任理事国です。私たちは皆、平和のために、そして国連憲章の基本原則の尊重のために努力する責任を共有しています。私は習主席に-4月のEU・中国首脳会議で行ったように-、ロシアに対して国連憲章を尊重するよう影響力を行使するよう促しました。
The Kremlin’s attack on a sovereign nation blatantly violates international law. President Xi and I agreed that nuclear threats are not acceptable and highly dangerous, and endanger the international community. クレムリンによる主権国家への攻撃は、国際法にあからさまに違反しています。習主席と私は、核による威嚇は容認できるものではなく、非常に危険であり、国際社会を危うくするものであるとの認識で一致しました。
I also raised the issue of human rights, fundamental freedoms and the rights of minorities. 私はまた、人権、基本的自由、少数民族の権利の問題を提起しました。
Human rights are universal. I welcome the readiness to resume the EU-China Human Rights Dialogue. We will follow up on this commitment. This format has not convened for more than three years.  So, this is an important signal. The Dialogue will allow us to focus on wider human rights policy issues and on individual cases. The right of peaceful assembly is a fundamental right enshrined both in the Universal Declaration of Human Rights and in national constitutions. 人権は普遍的なものです。私は、EU・中国人権対話を再開する用意があることを歓迎します。我々は、このコミットメントをフォローしていきます。この形式は3年以上開催されていません。  従って、これは重要な信号です。この対話により、我々はより広範な人権政策上の問題や個別の事例に焦点を当てることができるようになります。平和的な集会の権利は、世界人権宣言にも各国の憲法にも明記されている基本的な権利です。
I also raised the situation of minorities. We discussed for instance at length the situation in Xinjiang. This is not about interfering with internal affairs. It’s about upholding the principles agreed by the UN for decades and this also applies to Hong Kong. It’s essential that we continue to talk. 私はまた、少数派の状況についても提起しました。例えば、新疆ウイグル自治区の状況についてじっくりと話し合いました。これは内政干渉の問題ではありません。国連が何十年にもわたって合意してきた原則を守ることであり、これは香港にも適用されます。私たちが話し合いを続けることは不可欠です。
We also discussed issues related to the wider Asian region. The EU will have a summit with the ASEAN countries in two weeks. We are deeply connected with our ASEAN partners. We are committed to a peaceful Indo-Pacific and Southeast China Sea. We recall the importance of de-escalating tensions in the region. We need to maintain freedom of navigation and overflight in the region and beyond. また、より広いアジア地域に関連する問題についても議論しました。EUは2週間後にASEAN諸国との首脳会議を開催する予定です。私たちはASEANのパートナーたちと深く結びついています。我々は、平和的なインド太平洋および東南アジアの中国海に対してコミットしています。我々は、この地域の緊張を緩和することの重要性を想起します。我々は、この地域とそれ以外の地域における航行と上空飛行の自由を維持する必要があります。
We also discussed Taiwan. The EU is committed to and maintains its One China Policy. I repeated the longstanding position of the EU on Taiwan and the Taiwan strait. 我々は、また、台湾について議論しました。EUは、「一つの中国」政策にコミットし、これを維持しています。私は、台湾と台湾海峡に関するEUの長年の立場を繰り返しました。
The EU has a strong interest in peace and stability across the Taiwan Strait: 40% of our trade passes through it. It is important to promote stability and prosperity in East Asia. We also discussed the situation in the DPRK and Myanmar. EUは、台湾海峡の平和と安定に強い関心を持っており、我々の貿易の40%は台湾海峡を通過しています。東アジアの安定と繁栄を促進することは重要です。我々はまた、北朝鮮とミャンマーにおける状況についても議論しました。
We also had the occasion to address both bilateral and global economic issues, a key topic of my visit here today in China. European leaders insisted on this point. また、今日、私がこの中国を訪問した際の重要なテーマである、二国間および世界経済の問題にも言及する機会を得ました。欧州の指導者たちは、この点を強く主張しました。
China is our top trading partner in goods amounting to almost EUR 2 billion every day and China accounts for over 22% of European imports. China’s growth in recent decades has benefited both China and the EU and has contributed substantially to China’s dramatic economic transformation. 中国は、毎日ほぼ20億ユーロにのぼる商品で我々の最大の貿易相手国であり、欧州の輸入の22%以上を中国が占めています。ここ数十年の中国の成長は、中国とEUの双方に恩恵をもたらし、中国の劇的な経済変革に大きく寄与してきました。
But I also set out the difficulties faced by EU companies and investors. On the European side, market access remains very open, while in China several sectors remain much more closed. We need greater reciprocity, we need a more balanced relationship with no overdependencies, a real level-playing field for our companies. We need to strike the right balance. A shift into ‘self-reliance’ carries dangers not only for China and the EU but also for the world. しかし、EUの企業や投資家が直面しています困難も指摘した。欧州側では、市場アクセスは依然として非常に開放的であるが、中国ではいくつかの分野がより閉鎖的です。我々はより大きな互恵関係を必要とし、過度な依存関係のない、よりバランスのとれた関係を必要とし、我々の企業にとって本当に公平な競争の場が必要です。私たちは適切なバランスをとる必要があるのです。自立」への移行は、中国とEUだけでなく、世界にとっても危険です。
We believe in free trade, in cooperation; but we need balance and fairness. So, we need to work more on the issues hampering our broad trade relationship and there are channels for that. We believe that trade and investment must be governed by rules, by a reformed World Trade Organization. 私たちは自由貿易や協力を信じていますが、バランスと公平性が必要です。ですから、我々の広範な貿易関係を妨げている問題にもっと取り組む必要がありますし、そのためのチャンネルもあります。我々は、貿易と投資は、改革された世界貿易機関(WTO)によって、ルールによって管理されなければならないと考えています。
We also discussed global issues — such as climate change, health, and the Sustainable Development Goals. We can only meet the challenges of climate change globally and this cannot be done without China.  我々はまた、気候変動、健康、持続可能な開発目標などのグローバルな問題についても議論しました。私たちは、気候変動という課題にグローバルに対応することができ、これは中国抜きではできません。 
On health, we are cooperating on the initiative for a Pandemic Treaty. This is a concrete example of international cooperation. 健康問題では、私たちはパンデミック条約に向けたイニシアティブで協力しています。これは国際協力の具体例です。
Finally, China has a key role to play in issues of common interest, especially for developing countries. For example, on debt reduction, food, and energy issues. 最後に、中国は、特に途上国にとって共通の利益となる問題において重要な役割を担っています。例えば、債務削減、食糧問題、エネルギー問題などです。
We also exchanged views about the COVID situation. The recovery from the COVID pandemic remains a shared priority. I stressed that, in Europe, vaccines have proved especially effective in reducing the number of severe COVID cases and fatalities. また、COVIDの状況について意見交換を行いました。COVIDのパンデミックからの復興は、依然として共通の優先事項です。私は、欧州において、ワクチンがCOVIDの重症患者数および死亡者数の減少に特に有効であることが証明されたことを強調しました。
Today I conveyed key messages on geopolitical, economic, and global issues. We need to make sure that communication channels remain open and that they are used effectively. 本日、私は地政学的、経済的、そしてグローバルな問題についての重要なメッセージをお伝えしました。私たちは、コミュニケーション・チャンネルを常にオープンにし、それを効果的に活用する必要があります。
With China, engaging openly on all aspects of our relationship is the only way forward. We agreed to continue our exchanges in light of the next EU-China Summit in 2023. Thank you. 中国とは、我々の関係のあらゆる側面についてオープンに関与することが、前進する唯一の道です。我々は、2023年の次回のEU・中国首脳会議に向け、我々の交流を継続することに合意した。ありがとうございました。

 

 

中国政府

・2022.12.01 习近平同欧洲理事会主席米歇尔举行会谈

习近平同欧洲理事会主席米歇尔举行会谈 習近平、ミシェル欧州理事会議長と会談
新华社北京12月1日电 12月1日上午,国家主席习近平在人民大会堂同欧洲理事会主席米歇尔举行会谈。 北京12月1日:習近平国家主席は1日午前、人民大会堂でミシェル欧州理事会議長と会談しました。
习近平指出,米歇尔主席代表欧盟全体成员国在中共二十大结束后不久访华,体现了欧盟发展对华关系的良好意愿。中欧是维护世界和平的两大力量、促进共同发展的两大市场、推动人类进步的两大文明。中欧关系保持向前向上势头,坚持互利共赢,符合中欧和国际社会的共同利益。国际形势越动荡,全球挑战越突出,中欧关系的世界意义就越凸显。 習近平は、ミシェル議長が全EU加盟国を代表して中国共産党第20回全国代表大会直後に中国を訪問したことは、中国との関係発展に対するEUの善意を反映したものであると指摘しました。 中国とヨーロッパは、世界平和を維持するための2大勢力であり、共同発展を促進するための2大市場であり、人類の進歩を促進するための2大文明です。 中欧関係の上昇気流を維持し、互恵とウィンウィンを主張することは、中国、欧州、国際社会の共通の利益です。 国際情勢が激動し、世界的な課題が顕著になればなるほど、中欧関係の世界的な意義が浮き彫りになります。
习近平说,江泽民同志昨天因病抢救无效在上海逝世。江泽民同志担任中国国家领导人期间,高度重视和关心中欧关系发展,曾多次访问欧洲国家,同欧盟和欧洲国家领导人保持密切交往,推动建立了中国-欧盟领导人会晤机制,促进了双方各领域对话合作。我们将继承他的遗志,继续巩固发展好中欧关系。中方将继续从战略高度和长远角度看待和发展中欧关系,愿同欧方加强战略沟通协调,推动中欧全面战略伙伴关系行稳致远。 習近平は、江沢民同志が昨日、病気のため上海で死去したと発表しました。 江沢民同志は、中国の指導者としての在任中、中国-EU関係の発展を非常に重視し、関心を寄せており、何度も欧州諸国を訪問し、EUおよび欧州の指導者と緊密に連絡を取り、中国-EU首脳会議メカニズムの構築を推進し、両者の各分野における対話と協力を育んできました。 私たちは彼の遺志を受け継ぎ、中国とEUの関係を強固なものにし、発展させていきたいと思います。 中国は引き続き、中国・EU関係を戦略的かつ長期的な観点から捉え、発展させていきます。また、中国・欧州間の安定的かつ遠大な包括的戦略パートナーシップを促進するため、欧州側との戦略的コミュニケーションと協調を強化する用意がある、と述べました。
习近平介绍了中共二十大重要成果和中国式现代化的5个特征。习近平强调,当前,世界之变、时代之变、历史之变加速演进,各国都在思考未来之路,中共二十大给出了中国答案,那就是:对内坚持中国特色社会主义道路,坚持以人民为中心的发展思想,坚持深化改革开放;对外坚定奉行独立自主的和平外交政策,坚持维护世界和平、促进共同发展的外交宗旨,致力于推动构建人类命运共同体。中国的发展是世界和平力量的增长,中国永远不称霸、永远不搞扩张。这是中国共产党的庄严政治承诺,反映了14亿多中国人民的意志。我们有信心有能力以自身制度的稳定、治理的稳定、政策的稳定、发展的稳定,不断为国际社会注入宝贵的确定性稳定性。中国式现代化和欧洲一体化是中欧各自着眼未来做出的选择。双方应该相互理解、相互支持。中方期待欧盟成为中国走中国式现代化道路的重要伙伴,共享中国超大市场机遇、制度型开放机遇、深化国际合作机遇。 習近平は、第20回中国共産党全国代表大会の重要な成果と中国式近代化の5つの特色を発表しました。 習近平氏は、現在、世界、時代、歴史の変化が加速し、各国が進むべき道を考えており、第20回中国共産党全国代表大会は、中国の特色ある社会主義の道を堅持し、人民を中心とする発展思想を貫き、改革開放を深化させ、平和の自主外交政策をしっかりと追求し、世界平和を守り共同発展を促す外交政策を堅持し、人類の運命の構築に尽力するという中国の答えを出したと強調しました。 人間の運命共同体の構築を推進することを目的としています。 中国の発展は、世界の平和のための力の増大であり、中国は決して覇権を主張したり、拡張に関与することはありません。 これは中国共産党の厳粛な政治的コミットメントであり、14億人を超える中国国民の意思を反映したものです。 私たちは、自らのシステム、ガバナンス、政策、発展の安定性をもって、国際社会に価値ある確実性と安定性を継続的に注入する自信と能力をもっています。 中国式近代化と欧州統合は、中国と欧州がそれぞれ将来を見据えて選択したものです。 双方がお互いを理解し、サポートすることが大切です。 中国は、EUが中国式の近代化の道を歩む中国の重要なパートナーとなり、中国の巨大市場、制度的開放性、国際協力の深化の機会を共有することを期待しています。
习近平就中欧关系发展提出四点看法: 習近平は、中国-EU関係の発展について、4つのポイントを提示しました。
一是要秉持正确认知。中欧之间没有根本战略分歧和冲突。中方不想称王称霸,从不搞、今后也不会搞制度输出。中方支持欧盟战略自主,支持欧洲团结繁荣。希望欧盟机构和成员国建立客观正确的对华认知,对华政策坚守和平共处,坚持互利共赢,超越冷战思维和意识形态对立,超越制度对抗,反对各种形式的“新冷战”。 まず、正しい認識を持つことです。 中国と欧州の間には、根本的な戦略的相違や対立はありません。 中国は覇権を主張したいわけではなく、これまでにも、そしてこれからも体制輸出を行うことはないでしょう。 中国は、EUの戦略的自立と欧州の統一と繁栄を支持します。 EUの機関および加盟国が、中国に対する客観的で正しい認識を確立し、対中政策において平和共存と互恵を堅持し、冷戦思考やイデオロギー的対立を超え、制度的対立を超え、あらゆる形態の「新冷戦」に反対することを希望します。
二是要妥善管控分歧。中欧历史文化、发展水平、意识形态存在差异,双方在一些问题上看法不同很正常,应该以建设性态度保持沟通协商,关键是尊重彼此重大关切和核心利益,特别是尊重主权、独立、领土完整,不干涉对方内政,共同维护中欧关系的政治基础。中方愿在平等和相互尊重基础上举行中欧人权对话。 第二に、違いを適切に管理することです。 重要なのは、互いの主要な関心事と核心的利益、特に主権、独立、領土保全を尊重し、互いの内政に干渉せず、中国-ヨーロッパ関係の政治的基礎を共同で維持することです。 中国は、平等と相互尊重を基本として、中国-EU人権対話を開催することを望んでいます。
三是要开展更高水平合作。欧洲是中国快速发展的重要伙伴,也是受益者。中国将实行高水平对外开放,加快构建新发展格局,欢迎欧方继续参与、继续共赢。双方要加强宏观经济政策协调,加强市场、资本、技术优势互补,共同打造数字经济、绿色环保、新能源、人工智能等新增长引擎,共同确保产业链供应链安全稳定可靠,共同反对搞“脱钩断链”、保护主义,共同反对把经贸科技交流政治化武器化。中方将向欧洲企业保持开放,希望欧盟排除干扰,为中国企业提供公平、透明的营商环境。 第三に、より高いレベルの協力が必要です。 欧州は中国の急速な発展にとって重要なパートナーであり、受益者でもあります。 中国は高水準の対外開放を実施し、新たな発展パターンの構築を加速させるとともに、欧州側が引き続き参加し、共に勝利を収めることを歓迎します。 双方はマクロ経済政策の協調を強化し、市場・資本・技術の優位性の補完性を高め、デジタル経済・グリーン環境保護・新エネルギー・人工知能などの新成長エンジンを共同で構築し、産業チェーンのサプライチェーンの安全性と安定性を共同で確保し、「デカップリングと連鎖破壊」と保護主義に共同で反対し、経済・貿易・技術交流の政治化には共同で反対する必要があります。中国は欧州企業に対して引き続き開放的であり、EUが干渉を排除し、中国企業に公正で透明なビジネス環境を提供することを希望しています。
四是要加强国际协调合作。中欧都主张维护以联合国为核心的国际体系,可以共同践行真正的多边主义,合力应对挑战,共同维护世界和平与发展。双方要引领全球应对气候变化和生物多样性保护、能源安全和粮食安全、公共卫生等努力,加强各自优质公共产品和合作平台的对接协作。欢迎欧方参与共建“一带一路”、全球发展倡议,同欧盟“全球门户”战略有机对接,通过现有各种机制,推动各领域对话合作取得更多成果。 第四に、国際的な協調・協力を強化することです。 中国と欧州はともに、国連を中核とする国際システムの維持を提唱しており、真の多国間主義を実践し、課題に取り組む努力を共にし、世界の平和と発展を守るために協力し合うことができます。 双方は、気候変動と生物多様性保全、エネルギー安全保障と食糧安全保障、公衆衛生へのグローバルな取り組みを主導し、それぞれの高品質な公共財と協力プラットフォームのドッキングと連携を強化すべきです。 我々は、欧州側が「一帯一路」やグローバルな開発イニシアティブに参加し、EUの「グローバル・ゲートウェイ」戦略と連携することを歓迎し、既存の様々なメカニズムを通じて様々な分野での対話と協力を推進し、より多くの成果を挙げていきます。
米歇尔祝贺习近平再次连任中共中央总书记,代表欧盟对江泽民同志因病逝世表示沉痛哀悼。他表示,当前国际形势和地缘政治正在经历深刻复杂变化,国际社会面临诸多挑战和危机。中国不搞扩张,是维护联合国宪章宗旨和支持多边主义的重要伙伴。欧方珍惜在中共二十大后不久即同中方进行最高层次面对面会晤的机会,愿本着相互尊重和坦诚的精神,同中方就欧中关系各方面重要问题进行深入讨论,增进相互了解,促进对话合作,妥善处理分歧。欧盟坚持战略自主,致力于加强自身能力建设,推进欧洲一体化。欧盟坚持一个中国政策,尊重中国的主权和领土完整,不会干涉中国内政。欧盟愿做中方可靠、可预期的合作伙伴。欧方愿意同中方办好下阶段高层交往,通过加强直接对话合作,减少误解误判,加强沟通协作,更好共同应对能源危机、气候变化、公共卫生等全球性挑战。欧方愿同中方继续推进欧中投资协定的进程,增强供应链稳定互信,深化欧中各领域互利合作。 ミシェル氏は、習近平氏が中国共産党中央委員会総書記に再選されたことに祝意を表し、欧州連合を代表して、同志江沢民が長い闘病生活の末に亡くなったことへの深い悲しみを表明しました。 現在の国際情勢や地政学は深遠かつ複雑な変化を遂げており、国際社会は多くの課題や危機に直面している、と述べました。 中国は膨張に関与せず、国連憲章の目的を守り、多国間主義を支持する重要なパートナーです。 欧州連合は、中国共産党第20回全国代表大会の直後に中国と最高レベルで直接会う機会を大切にし、相互尊重と率直さの精神の下、欧州と中国の関係のあらゆる側面における重要問題について中国と深く話し合い、相互理解を深め、対話と協力を促進し、相違点を適切に管理する用意があります。 EUは戦略的自治を堅持し、自らの能力開発を強化し、欧州統合を推進することを約束します。 EUは一帯一路の方針を堅持し、中国の主権と領土の一体性を尊重し、中国の内政に干渉することはありません。 EUは中国にとって信頼できる予測可能なパートナーになることを望んでいます。 欧州側は、中国とのハイレベル接触の次の段階を組織し、強化された直接対話と協力を通じて誤解や判断を減らし、コミュニケーションと協力を強化し、エネルギー危機、気候変動、公衆衛生などの地球規模の課題に共によりよく取り組むことに意欲を示しています。 欧州側は、EU・中国投資協定のプロセスを促進し、サプライチェーンの安定性において相互信頼を高め、様々な分野で欧州と中国の互恵的な協力を深めるために、引き続き中国と協力していくことを望んでいます。
双方就乌克兰危机交换意见。习近平阐述了中方的原则立场,指出,中国有句古话,“城门失火,殃及池鱼”。通过政治方式解决乌克兰危机,最符合欧洲利益,最符合亚欧大陆各国共同利益。当前形势下,要避免危机升级扩大,坚持劝和促谈,管控危机外溢影响,警惕阵营对抗风险。中方支持欧盟加大斡旋调解,引领构建均衡、有效、可持续的欧洲安全架构。中方始终站在和平一边,将继续以自己的方式发挥建设性作用。 ウクライナ危機について意見交換を行いました。 習近平は、中国の原則的な立場を詳しく説明し、「城門の火は池の魚に影響する」という中国の古いことわざがあることを指摘しました。 ウクライナの危機を政治的手段で解決することは、欧州の最善の利益であり、アジアと欧州のすべての国の共通の利益です。 現在の状況下では、危機のエスカレーションと拡大を避け、説得と和平交渉の推進を主張し、危機の波及効果を管理し、陣営間の対立のリスクに対して警戒する必要があります。 中国は、欧州連合が調停努力を強化し、バランスのとれた、効果的で持続可能な欧州の安全保障アーキテクチャの構築を主導していますことを支持します。 中国は常に平和の側に立っており、今後も独自の方法で建設的な役割を担っていくでしょう。
王毅、何立峰等参加上述活动。 上記の活動には、Wang YiとHe Lifengが参加しました。

 

 

なお、江沢民元国家主席がなくなったということで、中国政府関係のウェブのトップページは白黒になっていますね。。。

20221201-235251

 

| | Comments (0)

2022.12.01

欧州議会 一般製品安全規則 (GPSR) 案が合意に達したようですね。。。

こんにちは、丸山満彦です。

2021.06.30に欧州委員会から公表された一般製品安全規則 (General Product Safety Regulation: GPSR) 案が政治的合意に達したと、欧州議会が発表していますね。。。2023年3月の欧州議会と欧州委員会の決議で決定という感じですかね。。。

現在は2002年に施行された一般製品安全指令 (General Product Safety Directive: GPSD) が適用されていますね。。。GPSDは、製造事業者などに安全な製品のみを市場に供給する義務を課す消費者保護規制ですね。。。別に規制されている食品や医療機器以外のすべての消費者が利用しうる製品が対象となるので、製造事業者にとってその影響は大きいでしょうね。。。

この改正の背景は、COVID-19の影響もおそらくあるのでしょうね。。。サイバーセキュリティーなどのリスクやオンライン販売などにも対応し、統合的な規制となっているようです。。。

 

欧州議会の発表

European Parliament

・2022.11.30 Deal on EU rules to better protect online shoppers and vulnerable consumers

Deal on EU rules to better protect online shoppers and vulnerable consumers オンラインショッピングの利用者と弱い立場の消費者をより良く保護するためのEU規則に関する合意
・More effective procedures for product recalls and removal of dangerous goods online ・製品リコールや危険物品の撤去のための、より効果的なオンライン手続き
・Risks for the most vulnerable consumers, like children, to be taken into account ・子供のような最も弱い立場にある消費者のリスクも考慮される。
・Costs of preventable accidents from unsafe products estimated at 11.5 billion euro per year ・安全でない製品による事故を防ぐためのコストは、年間115億ユーロと推定される。
The agreed rules aim to ensure that all kinds of products in the EU, whether sold online or in traditional shops, comply with the highest safety requirements. 合意された規則は、EU域内のあらゆる種類の製品が、オンライン販売であれ、従来の店舗での販売であれ、最高の安全要件に適合することを目指すものである。
On Monday night, negotiators from Parliament and Council reached a provisional political agreement to update the EU’s rules on product safety of non-food consumer products. The new regulation on General Product Safety (GPSR) aims to address product safety challenges in online shopping (in 2021, 73% consumers bought products online). 月曜日の夜、欧州議会と理事会の交渉担当者は、非食品消費財の製品安全に関するEUの規則を更新するための暫定的な政治合意に達した。一般製品安全(GPSR)に関する新規則は、オンラインショッピングにおける製品安全の課題に対処することを目的としている(2021年、73%の消費者がオンラインで製品を購入した)。
Obligations of economic operators and safety assessment 経済事業者の義務および安全性評価
Under the agreed rules, a product can be sold only if there is an economic operator (such as the manufacturer, importer, distributоr) established in the EU, who is responsible for its safety. When assessing product safety, Parliament included measures to guarantee that risks to the most vulnerable consumers (e.g. children), gender aspects and cybersecurity risks are taken into account. 合意された規則では、EU域内に設立された経済事業者(製造者、輸入者、流通業者など)がその安全性に責任を持つ場合にのみ、製品を販売することができる。製品の安全性を評価する際、議会は、最も脆弱な消費者(子供など)に対するリスク、ジェンダーの側面、サイバーセキュリティーのリスクなどが考慮されることを保証する措置を盛り込んだ
Removal of dangerous goods online オンラインでの危険物品の撤去
The GPSR introduces obligations for online marketplaces, as those under the Digital Services Act, including designating a single point of contact for national surveillance authorities and consumers. National surveillance authorities will be able to order online marketplaces to remove or disable access to offers of dangerous products without undue delay and in any event within two working days. Providers of online marketplaces will have to make reasonable efforts to check randomly for dangerous products. GPSRは、デジタルサービス法に基づく義務と同様に、オンラインマーケットプレイスに対しても、各国の監視当局と消費者のための単一の連絡窓口を指定するなどの義務を導入している。各国の監視当局は、オンラインマーケットプレイスに対し、不当な遅延なく、いかなる場合でも2営業日以内に危険物の提供の削除またはアクセス不能にするよう命令することができるようになる。オンラインマーケットプレイスのプロバイダーは、危険な製品を無作為にチェックするための合理的な努力をしなければならない。
Recall, replacement and refunds リコール、交換、払い戻し
The agreed legislation improves the products recall procedure, as return rates remain low, with an estimated third of EU consumers continuing to use recalled products. EUの消費者の3分の1はリコールされた製品を使い続けていると推定され、返品率が低いことから、合意された法律では製品のリコール手続きが改善される。
In case of a safety recall or warning, economic operators and online marketplaces will now be required to inform all affected consumers they can identify and widely disseminate the information. Recall notices should avoid expressions that can decrease consumers’ perception of risk (e.g. “voluntary”, “precautionary”, “in rare/specific situations”). 安全性に関するリコールや警告があった場合、経済事業者やオンラインマーケットプレイスは、特定できる影響を受けるすべての消費者に通知し、その情報を広く普及させることが義務付けられるようになった。リコール通知は、消費者のリスク認識を低下させるような表現(例:「自主的」、「予防的」、「稀な/特殊な状況において」)を避けるべきである。
Consumers will be clearly informed of their right to repair, a replacement or an adequate refund (at least equal to the initial price). They will also have a right to file complaints or launch collective actions. The rapid alert system for dangerous products (“Safety Gate” portal) will be modernised to allow unsafe products to be detected more effectively and will be more accessible for persons with disabilities. 消費者は、修理、交換、適切な返金(少なくとも初期価格と同額)を受ける権利について明確に知らされる。また、苦情や集団訴訟を提起する権利も与えられる。危険な製品の迅速な警告システム(「セーフティゲート」ポータル)は、安全でない製品をより効果的に検出できるよう近代化され、障害者がより利用しやすくなる。
Quote 引用
The rapporteur Dita Charanzová (Renew, CZ) said: “Today's agreement is a big victory for European consumers - it gives them a reason to feel safe buying any product within the EU. Products will be safer in general, but more importantly dangerous products will be removed more quickly, including from online marketplaces. And you will no longer learn about recalls by chance, but instead you will be informed directly whenever possible and given options to repair, replace, or get your money back. These are practical benefits for our citizens”. 報告者のDita Charanzová (Renew, CZ)は次のように述べた。「本日の合意は、欧州の消費者にとって大きな勝利であり、EU域内のあらゆる製品を安心して購入できる根拠となる。一般的に製品はより安全になるが、より重要なのは、危険な製品がオンライン市場を含め、より迅速に撤去されることである。また、リコールについては偶然知るのではなく、可能な限り直接知らされ、修理、交換、返金などのオプションが与えられるようになる。これらは、国民にとって現実的なメリットである」。
Next steps 次のステップ
Parliament (in March 2023) and Council need to endorse the agreement, before its publication in the EU Official Journal and entry into force. The GPSR would apply 18 months after its entry into force. EU官報に掲載され、発効する前に、議会(2023年3月)および理事会がこの協定を承認する必要がある。GPSRは発効から18ヶ月後に適用される。
Background 背景
In June 2021, the Commission presented its proposal to update the 2001 General Product Safety Directive to address challenges linked to new technologies and online sales. 2021年6月、欧州委員会は、新技術やオンライン販売に関連した課題に対処するため、2001年の一般製品安全指令の更新案を提示した。
The new rules are projected to save EU consumers around 1 billion euro in the first year and approximately 5.5 billion over the next decade. By reducing the number of unsafe products on the market, the new measures should reduce the harm caused to EU consumers due to preventable, product-related accidents (estimated today at 11.5 billion euro per year) and cost of healthcare (estimated at 6.7 billion euro per year). この新しい規則により、EUの消費者は初年度に約10億ユーロ、今後10年間で約55億ユーロを節約できると予測されている。市場に出回る安全でない製品の数を減らすことにより、新しい措置は、予防可能な製品関連事故(現在の推定年間115億ユーロ)および医療費(推定年間67億ユーロ)によるEU消費者の損害を減らすはずである。

 

GDPR案...

European Commission(欧州委員会

・2021.06.30 [PDF] COM(2021) 346 final 2021/0170 (COD) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on general product safety, amending Regulation (EU) No 1025/2012 of the European Parliament and of the Council, and repealing Council Directive 87/357/EEC and Directive 2001/95/EC of the European Parliament and of the Council

20221201-61000

 

HTML、DOCでも見れます...

EUR-LEX

Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on general product safety, amending Regulation (EU) No 1025/2012 of the European Parliament and of the Council, and repealing Council Directive 87/357/EEC and Directive 2001/95/EC of the European Parliament and of the Council

・EN [HTML] [DOC] [PDF]

 

・[DOCX] 一部仮対訳

 

 

改訂の背景等...

European Commission(欧州委員会

The General Product Safety Directive

 

 

| | Comments (0)

« November 2022 | Main | January 2023 »