« November 2022 | Main | January 2023 »

December 2022

2022.12.31

米国 GAO 軍サイバー人材:兵役義務ガイダンスとデータ追跡を改善する機会の存在 (2022.12.21)

こんにちは、丸山満彦です。

サイバー人材の配備はどこの組織も課題であって、それは米軍でも変わりはないようですね。。。

米軍では、陸海(海兵隊)空軍において、サイバーに関連する職域が設定されているようです(宇宙軍には無いようです...)。ただ、充足率や、高度な訓練を受けた人材に対する定着等についても課題があるようで、勧告が出されていますね。。。

定着のための報奨金とか、不足率等を勘案して、合理的に考えている軍もあるようですね。。。

自衛隊に対して、どれほど参考になるかはわかりませんが、政府機関のみならず、民間企業にとっても(高度な専門家を配属し続けるという意味で)参考になるところがあるかもしれません。。。(仮訳もつけましたが、専門用語、特に軍関係用語がよくわからないので、その辺りは勘弁してくださいませ。。。)

この問題を内部統制の問題(特に統制環境)と位置付けているところが、(当たり前ですが)素晴らしいところだと思います。。。

 

● U.S. Government Accountability Office; GAO

・2022.12.21 Military Cyber Personnel:Opportunities Exist to Improve Service Obligation Guidance and Data Tracking

 

Military Cyber Personnel:Opportunities Exist to Improve Service Obligation Guidance and Data Tracking 軍サイバー人材:兵役義務ガイダンスとデータ追跡を改善する機会の存在
Fast Facts 概要
Military personnel who complete advanced cyber training—which may take a year or more and costs DOD hundreds of thousands of dollars—may not remain in the military for a significant time after training. 高度なサイバー訓練を修了した軍人は、1年以上かかることもあり、国防総省は何十万ドルも負担するが、訓練後、かなりの期間、軍に残らないこともある。
We found that 2 of the 4 military services are not positioned to ensure adequate return on their investment in advanced cyber training. While the Navy and Air Force require 3 years of active duty, the Marine Corps has no guidance for this area and Army guidance does not clearly define active duty service obligations. 我々は、4つの軍事サービスのうち2つが、高度なサイバー訓練への投資に対する十分な見返りを確保する立場にないことを発見した。海軍と空軍は3年間の現役勤務を要求しているが、海兵隊にはこの分野に関する指針がなく、陸軍の指針は現役勤務の義務を明確に定義していない。
We recommended clarifying these service obligations and more. これらの兵役義務の明確化などを勧告した。
Ensuring the nation's cybersecurity is a topic on our High Risk List. 国家のサイバーセキュリティを確保することは、当社のハイリスクリストに掲載されているトピックである。
Highlaight ハイライト
What GAO Found GAOの調査結果
The Navy and the Air Force have guidance requiring a 3-year active-duty service obligation for military personnel who receive lengthy and expensive advanced cyber training. This training prepares personnel to fill the Interactive On-Net Operator (ION) work role, identified as critical by U.S. Cyber Command (USCYBERCOM). In contrast, the Marine Corps does not have such guidance. Additionally, the Army's guidance does not clearly define active duty service obligations. Rather, it sets general service obligations based on the length of training. Using the Army's guidance, GAO estimated that active-duty officers receiving ION training may incur a service obligation of about 1.88 years. However, Army officials stated that they lacked the information needed to calculate and implement service obligations for ION training because it is not specifically listed in Army guidance. Army, Marine Corps, and USCYBERCOM officials acknowledged that guidance with clearly defined service obligations for ION training would create a better return on investment for this critical cyber work role. The Army and the Marine Corps have taken steps to clearly define service obligations for ION training, but officials did not know when or if the guidance would be implemented. Until the revised guidance is implemented, the Army and the Marine Corps are unnecessarily limiting their return on investment in ION training. 海軍と空軍は、長くて高価な高度サイバー訓練を受けた軍人に、3年間の現役兵役義務を課すガイダンスを設けている。この訓練は、米サイバー司令部(USCYBERCOM)が重要視しているインタラクティブ・オン・ネット・オペレーター(ION)業務に従事できるようにするためのものである。これに対し、海兵隊にはそのようなガイダンスがない。さらに、陸軍の指針は、現役の兵役義務を明確に定義していない。むしろ、訓練の長さに基づいて一般兵役義務を定めている。GAOは、陸軍のガイダンスを用いて、ION訓練を受ける現役士官は約1.88年の兵役義務を負うと推定した。しかし、陸軍の職員は、ION訓練は陸軍のガイダンスに具体的に記載されていないため、兵役義務を計算・実施するのに必要な情報が不足していると述べている。陸軍、海兵隊、USCYBERCOM の職員は、ION 訓練の兵役義務が明確に定義されたガイダンスがあれば、この重要なサイバー業務の役割に対する投資対効果をより高めることができると認めている。陸軍と海兵隊は、ION 訓練のサービス義務を明確に定義するための手順を踏んでいるが、当局者は、このガイダンスがいつ、あるいはいつ実施されるかは知らなかった。改訂されたガイダンスが実施されるまで、陸軍と海兵隊は、ION訓練への投資対効果を不必要に制限している。
Years of Service Obligation Required in Military Service Guidance for Interactive On-Net Operator (ION) Training インタラクティブ・オン・ネット・オペレーター(ION)訓練のための軍務ガイダンスで要求される兵役義務年数
Rid14_image2_20221231075001

a. GAO estimated these potential obligations, in part based on Army guidance, but ION training is not specifically listed in that guidance making this requirement challenging to implement, according to Army officials

a. GAO は、陸軍のガイダンスに一部基づいて、これらの潜在的な義務を推定したが、陸軍関係者によると、ION 訓練はそのガイダンスに具体的に記載されていないため、この要件の実施は困難であるとのことである。
b. According to Navy documentation and Marine Corps officials, only enlisted personnel in those military services are eligible to train for the ION work role. b. 海軍の文書と海兵隊の職員によると、これらの軍務の下士官兵だけがIONの職務を訓練する資格があるとのことである。
Staffing gaps—the difference between the number of personnel authorized and the number of personnel staffed—existed in some active-duty cyber career fields from fiscal years 2017 through 2021. Specifically, most of the Navy, Army, and Air Force cyber career fields were staffed at 80 percent or higher compared with the number of authorized personnel. However, four of the six Marine Corps career fields were below 80 percent of authorized levels in fiscal year 2021. 2017年度から2021年度にかけて、現役のサイバー職域の一部で、人員配置のギャップ(許可された人員数と人員配置された人員数との差)が存在した。具体的には、海軍、陸軍、空軍のサイバー職域のほとんどは、許可された人員数に対して80%以上の人員配置であった。しかし、海兵隊の6つの職域のうち4つは、2021会計年度には認可されたレベルの80パーセントを下回っていた。
While the military services track cyber personnel staffing levels by career fields, USCYBERCOM uses work role designations to assign personnel to cyber mission teams. However, the Army, Air Force, and Marine Corps do not track staffing data by work role. As a result, military service officials cannot determine if specific work roles are experiencing staffing gaps. Tracking staffing data at the work role level would enable the military services to identify and address staffing challenges in providing the right personnel to carry out key missions at USCYBERCOM. This information is also essential for increasing personnel assigned to USCYBERCOM as planned by the Department of Defense (DOD). 軍サービスが職業分野別のサイバー要員配置レベルを追跡する一方で、USCYBERCOMは業務役割指定を使ってサイバー・ミッション・チームに要員を割り当てている。しかし、陸軍、空軍、海兵隊は職務別の人員配置データを追跡していない。その結果、軍務担当者は、特定の職務が人員不足に陥っているかどうかを判断することができない。職務ごとの人員データを把握することで、軍はUSCYBERCOMの重要な任務を遂行するために適切な人員を提供するという人員面での課題を特定し、対処することができるようになる。この情報は、国防総省(DOD)が計画するUSCYBERCOMに配属される人員の増加にも不可欠である。
Why GAO Did This Study GAOがこの調査を実施した理由
To accomplish its national security mission and defend a wide range of critical infrastructure, DOD must recruit, train, and retain a knowledgeable and skilled cyber workforce. However, DOD faces increasing competition from the private sector looking to recruit top cyber talent to protect systems and data from a barrage of foreign attacks. 国家安全保障の使命を達成し、広範な重要インフラを防衛するために、DODは知識豊富で熟練したサイバー人材を採用、訓練、保持する必要がある。しかし、DODは外国からの攻撃からシステムやデータを保護するために、優秀なサイバー人材を確保しようとする民間企業との競争の激化に直面している。
Senate Report 117-39 accompanying a bill for the National Defense Authorization Act for Fiscal Year 2022 includes a provision for GAO to review retention challenges and service obligations for active-duty cyber personnel. Among other matters, GAO examines the extent to which (1) a service obligation exists for military cyber personnel receiving advanced cyber training and (2) DOD has experienced staffing gaps for active-duty military cyber personnel for fiscal year 2017 through fiscal year 2021 and tracked cyber work roles. GAO reviewed policies and guidance, analyzed staffing data from fiscal years 2017 through 2021, and interviewed DOD and military service officials. 2022会計年度の国防授権法の法案に付随する上院報告117-39には、GAOが現役サイバー要員の保持の課題と兵役義務を検討する条項が含まれている。GAOは他の事項の中で、(1)高度なサイバー訓練を受ける軍サイバー要員に兵役義務が存在すること、(2)DODが2017会計年度から2021会計年度にかけて現役軍サイバー要員の人員不足を経験し、サイバー業務の役割を追跡したこと、について調査した。GAOは、政策とガイダンスを検討し、2017年度から2021年度までの人員配置データを分析し、DODと軍役の職員にインタビューを行った。
Recommendations 勧告

GAO is making six recommendations, including that the Army and Marine Corps clearly define active-duty service obligations for advanced cyber training in guidance, and that the Army, Air Force and Marine Corps track cyber personnel data by work role. DOD concurred with the recommendations.

GAOは、陸軍と海兵隊がガイダンスで高度なサイバー訓練に対する現役の兵役義務を明確に定義すること、陸軍、空軍、海兵隊がサイバー職員のデータを職務別に追跡することなど、6つの勧告を行ってた。DODは勧告に同意した。
Recommendations for Executive Action エグゼクティブ・アクションのための勧告
Agency Affected: Recommendation 影響を受ける機関 勧告
Department of the Army: The Secretary of the Army should ensure that the Office of the Deputy Chief of Staff for Personnel updates Army Regulation 614-200 in a timely manner to clearly define active-duty service obligations for ION training, for the Army's relevant cyber enlisted personnel. (Recommendation 1) 陸軍:陸軍長官は、人事担当参謀本部が陸軍規則614-200を適時に更新し、陸軍の関連サイバー下士官のION訓練に対する現役兵役義務を明確に定義することを確実にすべきである。(勧告1) 
Department of the Army: The Secretary of the Army should ensure that the Office of the Deputy Chief of Staff for Personnel updates Army Regulation 350-100 in a timely manner to clearly define active-duty service obligations for ION training, for the Army's relevant cyber officers. (Recommendation 2) 陸軍:陸軍長官は、人事担当参謀本部が陸軍規則350-100を適時に更新し、陸軍の関連サイバー士官のION訓練に対する現役兵役義務を明確に定義することを確実にすべきである。(勧告2) 
Department of the Navy: The Secretary of the Navy should ensure that the Commandant of the Marine Corps develops guidance in a timely manner to establish active-duty service obligations for ION training. (Recommendation 3) 海軍:海軍長官は、海兵隊司令官が、ION 訓練のための活動義務を確立するためのガイダンスを適時に作成することを確実にすべきである。(勧告3) 
Department of the Army: The Secretary of the Army should ensure that the Chief of Staff of the Army takes the necessary steps to integrate U.S. Cyber Command work roles into the Army's personnel system of record to track cyber personnel data by work role. (Recommendation 4) 陸軍:陸軍長官は、陸軍参謀総長が、米サイバー司令部の業務役割を陸軍の人事システムに統合し、業務役割ごとにサイバー人事データを追跡するために必要な措置をとることを確実にすべきである。(勧告4) 
Department of the Air Force: The Secretary of the Air Force should ensure that the Chief of Staff of the Air Force takes the necessary steps to integrate U.S. Cyber Command work roles into the Air Force's personnel system of record to track cyber personnel data by work role. (Recommendation 5) 空軍:空軍長官は、空軍参謀長が米サイバー司令部の業務役割を空軍の人事システムに統合し、業務役割ごとにサイバー人事データを追跡するために必要な措置を講じることを確実にすべきである。(勧告5) 
Department of the Navy: The Secretary of the Navy should ensure that the Commandant of the Marine Corps takes the necessary steps to integrate U.S. Cyber Command work roles into the Marine Corps' personnel system of record to track cyber personnel data by work role. (Recommendation 6) 海軍:海軍長官は、海兵隊司令官に対し、海兵隊の人事システムに米サイバー司令部の業務役割を統合し、業務役割ごとにサイバー要員データを追跡するために必要な措置を講じることを確実にすべきである。(勧告6) 

 

Report

・[PDF] Highlights

20221231-75627

 

・[PDF] Full Report

20221231-75724

 

・[DOCX] 仮訳

 

 

 

・[PDF] Accessible PDF

20221231-75825

 

 

| | Comments (0)

TCFDコンソーシアム:気候関連財務情報開示に関するガイダンス3.0 事例集 (2022.12.26)

こんにちは、丸山満彦です。

気候関連財務情報開示タスクフォース(TCFD; Task Force on Climate-related Financial Disclosures)フォーラムが、気候関連財務情報開示に関するガイダンス3.0(TCFDガイダンス3.0) 事例集」を公表していますね。。。

こうやって、まとめて事例を見てみると、取り組み内容が豊富になり、開示も充実しましたね。。。

 

TCFDコンソーシアム

・2022.12.26  「気候関連財務情報開示に関するガイダンス3.0(TCFDガイダンス3.0)事例集」の日本語版を公表いたしました。

2022.10.05に発表された、ニュースリリースにリンクしています。。。

で、一番下に事例集があります。。。

 

・[PDF] TCFDガイダンス3.0」(事例集)

20221231-144947

 

 

目次...

1. 索引

2. TCFD 提言に基づく開示の事例

(1) ガバナンス
 ①
取締役会の議題として気候変動が取り上げられていることを記載
 ②
専門委員会の議題として気候変動が取り上げられていることを記載

(2) 戦略
 ①
戦略 a(短期・中期・長期の気候関連のリスクと機会の記述)
 ②
戦略 b(リスクと機会の影響に関する記述)
 ③
戦略b(移行計画)
 ④
戦略 b(イノベーション)
 ⑤
戦略 c(気候関連シナリオを考慮した気候戦略のレジリエンスの記述)

(3) リスクマネジメント

(4) 指標と目標
 ①
温室効果ガス排出量
 ②
金融機関の指標と目標
 ③
企業固有の指標と目標
 ④
報酬

(5) その他
 ① TCFD
提言との対応の示し方
 ②
異なるビジネスモデルを持つ企業の開示方法
 ③
気候変動対応の目的に関する開示
 ④
多様な開示媒体


 

まるちゃんの情報セキュリティきまぐれ日記

2022.10.07 TCFDコンソーシアム:気候関連財務情報開示に関するガイダンス3.0

 

 

| | Comments (0)

2022.12.30

Belfer Center: Web3関連のイベント(構築、投資、政策立案)(2022.10.20-12.01)

こんにちは、丸山満彦です。

米国のハーバード大学にあるベルファ科学国際問題センター [wikipedia]が、2022.10.20, 11.17, 12.01に、Web3に関する「構築」、「投資」、「政策立案」に関するイベントを開催していますが、「政策立案」の議論について、ブログが公開されていますね。。。

 

Belfer Center for Science and International Affairs, Harvard Kennedy School

・2022.12.16  Event Recap: Policymaking in Web3

 

Event Recap: Policymaking in Web3 イベントレポートWeb3における政策立案
Authors: 著者紹介
· Helena Rong · ヘレナ・ロン
· Sarah Hubbard · サラ・ハバード
Dec. 16, 2022 2022年12月16日
On December 1st, we hosted our third and last panel Policymaking in Web3 as part of our three-part Perspectives in Web3 Virtual Series. We were joined by legal scholars, lawyers and policy researchers who work at the forefront of this domain, including Primavera De Filippi, Research Director at the National Center of Scientific Research and Faculty Associate at Harvard’s Berkman-Klein Center for Internet & Society; Connor Spelliscy, Executive Director of the DAO Research Collective; Miles Jennings, General Counsel and Head of Decentralization of a16z Crypto; David Kerr, Principal of Cowrie LLC; and Lindsey Kelleher, Senior Policy Manager at Blockchain Association. 12月1日、3回にわたって届けてきた「Perspectives in Web3 Virtual Series」の第3回目、そして最後のパネル「Web3の政策立案」を開催した。今回は、この領域の最前線で活躍する法学者、弁護士、政策研究者の方々、国立科学研究センター研究部長でハーバード大学バークマン-クライン・センター教授でもあるプリマヴェーラ・デ・フィリッピ氏、DAOリサーチ・コレクターのエグゼクティブ・ディレクターであるコナー・スペリスキー氏に参加いただき、「Web3における政策立案」をテーマに議論した。プリマベラ デ フィリッピ氏、DAO Research Collective エグゼクティブディレクターコナー スペリシー氏、a16z Crypto ゼネラルカウンセル兼分散化担当マイルズ ジェニングス氏、Cowrie LLC 代表デビッド カー氏、ブロックチェーン協会 上級政策マネージャーリンジー ケレハー氏など、この分野の最前線で活躍する研究者が参加している。
Here are some key takeaways from the event: ここでは、イベントの主な内容を紹介する。
· There is a growing need for regulatory clarity surrounding web3 innovations in keeping with consumer/investor protection and market integrity. The most notable proposed pieces of legislation are the DCCPA in the U.S., MiCA in the EU, proposals of stablecoin rules in Singapore, and retail crypto ETF authorization plan in Hong Kong. · 消費者・投資家保護と市場の健全性を維持するために、Web3のイノベーションを取り巻く規制を明確にする必要性が高まっている。最も注目すべき法案は、米国のDCCPAEUMiCA、シンガポールのステイブルコインルールの提案、香港のリテール暗号ETF認可計画などである。
· Regulators need to pay attention to the nuances of the technology and provide different ways to comply with the same regulatory objective, including considering technological solutions that can be recognized as regulatory equivalent to existing legal protections. Web3 practitioners and regulators should work together to define novel ways of complementing self-regulations with governmental regulations. · 規制当局は、技術のニュアンスに注意を払い、既存の法的保護と同等の規制として認識される技術的解決策を検討するなど、同じ規制目的を遵守するためのさまざまな方法を提供する必要があるのである。Web3の実務者と規制当局は、自己規制と政府規制を補完する新しい方法を定義するために協力する必要がある。
· The borderless nature of web3 technologies brings jurisdictional challenges that current regulations do not yet address, including the question of international taxation. · Web3 技術のボーダーレス化は、国際的な課税の問題など、現行の規制ではまだ対処できない管轄権の問題をもたらす。
· Current DAO LLC regulations are insufficient in addressing the needs of DAOs. The unincorporated nonprofit association (UNA) entity is the current ideal strategy for domestic filing for DAOs. · 現在のDAO LLCの規制は、DAOのニーズに対応するには不十分である。DAOの国内申請には、非法人化された非営利団体(UNA)事業体が現在の理想的な戦略である。
· Ample resources are available for learning more about and engaging more with the intersection of public policy and web3, including the Blockchain Association, Coincenter, European Crypto Initiative, and COALA. · ブロックチェーン協会コインセンターヨーロッパ暗号イニシアチブCOALAなど、公共政策とWeb3の交差点について学び、より深く関わるためのリソースが豊富に用意されている。
Current regulatory landscape for web3 Web3に関する現在の規制状況
Web3 innovations such as cryptocurrency, decentralized finance (DeFi), and decentralized autonomous organizations (DAOs) face immense compliance challenges due to legal and regulatory uncertainties. Given the complexity of the technology stack and nascency of the industry, it took the last five to seven years for regulators to become educated about the technology and many more are still grappling with learning about the technology. As the field grows and expands, policymakers are increasingly aware of the urgent need to provide legal certainties for the field in order to ensure consumer and investor protection and market integrity. Our panelists walked us through several key pieces of legislation around the world concerning web3 regulation. 暗号通貨、分散型金融(DeFi)、分散型自律組織(DAO)などのWeb3イノベーションは、法律や規制の不確実性から、膨大なコンプライアンス上の課題に直面している。技術スタックの複雑さと業界の新しさを考慮すると、規制当局がこの技術について教育を受けるには過去57年かかり、さらに多くの人々がまだこの技術について学ぶことに取り組んでいるところである。この分野の成長と拡大に伴い、政策立案者は、消費者・投資家保護と市場の健全性を確保するために、この分野に法的確実性を与えることが急務であることをますます認識するようになっている。本セミナーでは、Web3に関する世界各国の主要な法規制を紹介した。
In the U.S., the Digital Commodities Consumer Protection Act (DCCPA) provides the Commodity Futures Trading Commission (CFTC) the authority to regulate “digital commodities” and “digital commodity platforms.” Under the DCCPA, crypto assets will be classified as commodities as opposed to securities which would grant the CFTC jurisdiction over crypto spot markets. Spellicy highlights some of the industry’s key concerns with DCCPA, including the de facto ban of De-Fi by applying the same rules to decentralized protocols/smart contracts and centralized intermediaries, and the lack of clear distinction between “digital commodity” and “digital security” and thus the unclear dividing line between responsibilities of the CFTC and those of the SEC. 米国では、デジタル商品消費者保護法(DCCPAにより、商品先物取引委員会(CFTC)に「デジタル商品」及び「デジタル商品プラットフォーム」を規制する権限が付与されている。DCCPAの下では、暗号資産は証券ではなく商品として分類され、CFTCに暗号スポット市場の管轄権を与えることになる。Spellicyは、分散型プロトコル/スマートコントラクトと集中型仲介機関に同じルールを適用することによる事実上のDe-Fiの禁止、「デジタル商品」と「デジタル証券」の明確な区別がなく、CFTCSECの責任の分界が不明であることなど、DCCPAに関する業界の主要な懸念事項をいくつか取り上げている。
In Europe, Markets in Crypto-Assets (MiCA) is a comprehensive bill proposed by the European Commission to streamline DLT and virtual asset regulation in the EU that is planned to take effect in April 2024. It is designed to address crypto-assets such as cryptocurrencies, security tokens and stablecoins that are not currently governed by any existing financial services legislation. A notable omission of MiCA is the topic of DeFi, whose complexity and legal ambiguities warrants a separate investigation that sits outside the current scope of MiCA. In regulating stablecoins, the MiCA legislation proposes to place a cap on the size of crypto assets that are linked to non-euro dominated stablecoins circulating in the EU to 1 million transactions and 200 million euros in transaction value in order to protect the use of euro-dominated stablecoins. Dr. De Filippi points out an important dichotomy that the bill currently does not sufficiently recognize: the difference between stablecoins issued by centralized entities and collateralized algorithmic stablecoins that do not have an entity that manages its token issuance. Lack of distinction between the two could cast enormous compliance challenges for the latter as it becomes impossible to ask for an authorization to operate in the EU. For web3 builders who work with collateralized algorithmic stablecoins, Spelliscy urges them to pay particular attention to MiCA as it would have drastic implications for whether algorithmic stablecoins are even allowed to exist once the bill is enacted. 欧州では、Markets in Crypto-Assets (MiCA)が欧州委員会により提案され、20244月に施行が予定されているEUにおけるDLTおよび仮想資産規制の合理化を図る包括的な法案である。暗号通貨、セキュリティ・トークン、ステイブルコインなど、現在、既存の金融サービス法が適用されていない暗号資産に対応するためのものである。その複雑さと法的曖昧さにより、MiCA の現在の適用範囲外である別の調査が必要とされている。ステイブルコインの規制において、MiCA法案は、ユーロ支配のステイブルコインの使用を保護するため、EU域内で流通する非ユーロ支配のステイブルコインにリンクする暗号資産の規模に、取引件数100万件、取引額2億ユーロという上限を設けることを提案している。デ・フィリップ博士は、現在法案が十分に認識していない重要な二分法として、中央集権的な主体が発行するステイブルコインと、トークン発行を管理する主体を持たない担保付きアルゴリズムステイブルコインの違いを指摘している。両者の区別がない場合、後者にとってはEUでの運用認可を求めることが不可能となり、膨大なコンプライアンス上の課題を投げかけることになりかねません。担保付アルゴリズムステイブルコインを扱うWeb3ビルダーにとって、法案が成立すればアルゴリズムステイブルコインが存在することさえ許されるかどうかに劇的な影響を与えるため、スペリスシーはMiCAに特に注目するよう促している。
Prompting regulators to pay attention to the nuances of the technology, Dr. De Filippi highlights the need for regulators to provide different ways to comply with the same regulatory objective. For policymakers, there needs to be recognition of to which extent there is risk with different systems, and to which extent specific technological guarantees may even lower the risk or at least increase the transparency and respond to regulatory requirements, and thus be recognized as regulatory equivalent to existing legal protections. This way, self-regulation can more easily interface with and complement governmental regulations to get the best of both worlds of the private sector and government, “by bringing practitioners in the blockchain space to engage with regulators so as to propose technical solutions that can be regarded as fulfilling the same policy objectives as existing regulatory frameworks.” 規制当局に技術のニュアンスに注意を促すため、デ・フィリップ博士は規制当局が同じ規制目的を遵守するための異なる方法を提供する必要性を強調している。政策立案者にとっては、異なるシステムでどの程度までリスクがあるのか、また、特定の技術的保証がどの程度までリスクを下げたり、少なくとも透明性を高め、規制要件に対応できるのか、その結果、既存の法的保護と同等の規制として認められる必要がある。このように、自己規制は、より簡単に政府の規制とインターフェースし、補完することができます。"ブロックチェーン空間の実務家が規制当局と関わることで、既存の規制フレームワークと同じ政策目的を満たすとみなされる技術的ソリューションを提案することができます。"民間セクターと政府の両方の世界の長所を手に入れることができるのである。
Across the Pacific, Singapore, Hong Kong, and India are at the forefront of crypto regulations. Kelleher introduced several key policy discussions in Asia. The Monetary Authority in Singapore (MAS) recently published two papers on regulating cryptocurrency payments and stablecoin-related activities. In addition, to support the development of De-Fi and understand its opportunities and risks areas, the MAS also recently launched Project Guardian, which is a pilot project between JP Morgan, DBS and SBI Digital Asset Holdings to experiment with cross-border transactions of tokenized currencies and government bonds. In Hong Kong, regulators are searching for ways to open up a mature crypto market to retail investors by authorizing crypto ETFs that would give investors access to mainstream crypto assets with the appropriate investor guardrails. India on the other hand, aims to develop standard operating procedures (SOPs) for cryptocurrencies during its G20 presidency this winter. 太平洋を挟んで、シンガポール、香港、インドが暗号規制の最前線にいる。ケレハー氏は、アジアにおけるいくつかの重要な政策議論を紹介した。シンガポール金融管理局(MAS)は最近、暗号通貨決済とステーブルコイン関連活動の規制に関する2つのペーパーを発表した。また、デフィの発展を支援し、そのチャンスとリスク領域を理解するために、MASは最近、JPモルガン、DBSSBIデジタルアセットホールディングスによるパイロットプロジェクトであるプロジェクトガーディアンを立ち上げ、トークン化通貨と国債のクロスボーダー取引を実験しているところである。香港では、規制当局が個人投資家に成熟した暗号市場を開放する方法を模索している。暗号ETFを認可することで、投資家は適切な投資家のガードレールを備えた主流の暗号資産にアクセスできるようになる。一方、インドは今冬のG20議長国として、暗号通貨に関する標準業務手順書(SOP)の策定を目指している。
When asked to comment on which geography is ahead of the game in terms of regulation, our panelists agree that the EU is currently taking the spearhead lead, particularly in the realm of stablecoin regulations, albeit still lacking more nuanced differentiation of the different types of stablecoins. The omission of De-Fi in the current version of MiCA gives buffer space for policymakers to understand the technology and to provide the most appropriate regulatory frameworks for the technology. But until then, entrepreneurs are again facing uncertainty as they continue to build products in the space. 規制の面でどの地域が先行しているかという質問に対して、パネリストたちは、特にステイブルコインの規制の領域では、まだ異なる種類のステイブルコインについてのより微妙な区別が欠けているとはいえ、現在EUが先行していることに同意している。MiCAの現行版でDe-Fiが省かれたことで、政策立案者がこの技術を理解し、この技術に最も適した規制の枠組みを提供するためのバッファスペースが生まれました。しかし、それまでは、起業家はこの領域で製品を作り続けながら、再び不確実性に直面することになる。
Regulatory environment post-FTX ポストFTXの規制環境
Given the domino effects that come from the downfalls of FTX and Terra/Luna in recent times, much regulatory scrutiny has focused on the urgency of providing consumer and investor protection. Sharing similar views as panelists from our Investing in Web3 event, our panelists contend that the collapse of FTX is a tale of corporate fraud rather than due to any defects of the technology itself. Jennings stresses that while it is beneficial to have regulatory oversight of crypto spot markets, it is crucial for regulators to tell the distinction between good-faith actors innovating in decentralized technologies within the ecosystem versus violators of securities laws that could well exist in any industry, the latter deserving much more attention and resources for investigation from the SEC to prevent similar financial fiascos from occurring in the future. FTXとTerra/Lunaの破綻から派生したドミノ効果を考えると、消費者と投資家の保護が急務であることが、多くの規制当局の監視の焦点となっている。今回のイベント「Web3における投資」のパネリストと同様の見解を持つパネリストは、FTXの破綻は技術自体の欠陥によるものではなく、企業の不正行為によるものだと主張している。ジェニング氏は、暗号スポット市場の規制監視は有益であるが、規制当局は、エコシステム内の分散型技術に革新をもたらす善意の行為者と、どの業界にも存在し得る証券法違反者を区別することが重要であり、後者は将来同様の金融大混乱を防ぐためにSECからもっと注目と調査のための資源を受ける価値があると強調した。
Adding a layer of jurisdictional complexity of crypto regulations, Kelleher notes that the solvency of FTX U.S. Derivative (formerly known as LedgerX) owes to the strict oversight of the CFTC, while the absence of regulatory oversight for the company’s operations abroad largely led to FTX’s ultimate downfall, underlining the benefits of having clear and transparent rules. However, the challenge remains that policymakers should provide a sensible regulatory environment that both encourages innovation and mitigates potential risks, rather than enforcing one-size-fits-all umbrella solutions that could stifle innovation and steer away entrepreneurs from innovating within their jurisdictional borders. Kerr raises the point that “web3 is not a zero-sum game between centralization and decentralization.” Although technology today has allowed for robust forms of decentralization to combat undesirable privatized control over technology platforms found in web2, this does not mean centralization has no role in a decentralized ecosystem. According to Kerr, “where the harm or the activity was effectively regulated in web2 should provide the map for web3 and it is only the areas where the technology fundamentally changes the existing operations or relationship between parties that would require new or different regulatory structures at all.” FTX U.S. Derivative(旧LedgerX)の支払い能力はCFTCの厳格な監督に負うところが大きいが、同社の海外事業に対する規制監督の欠如はFTXの最終的な破滅につながったとケレハー氏は指摘し、明確で透明性の高い規則を持つことの利点を強調している。しかし、政策立案者は、イノベーションを阻害し、起業家を国境内でのイノベーションから遠ざけるような画一的な解決策を強制するのではなく、イノベーションを奨励し、潜在的なリスクを軽減する賢明な規制環境を提供すべきであるという課題は残されている。カー氏は、「Web3は、中央集権と地方分権のゼロサムゲームではない」と指摘する。今日のテクノロジーは、web2に見られるようなテクノロジー・プラットフォームに対する望ましくない民営化支配に対抗するため、強固な分散化を可能にしたが、だからといって、分散化されたエコシステムにおいて中央集権が何の役割も持たないというわけではない。カー氏によれば、「web2において害や活動が効果的に規制されていたところは、web3の地図を提供すべきであり、技術が既存のオペレーションや当事者間の関係を根本的に変えるような分野でのみ、新しい、あるいは異なる規制構造が全く必要ない」とのことである。
In the past, regulation has often relied on informational reporting and compliance provided by intermediaries. However, Kerr argues that such an approach is ineffective and outdated for web3 applications that do not have intermediated transactions. To confront the new technological reality of the present, governments themselves should update their own toolbox and methodologies of investigation. To this end, our panelists emphasize the need for collaboration between practitioners and policymakers in this space to search for novel ways of cultivating and sustaining a healthy and safe Internet ecosystem. これまで規制は、仲介者が提供する情報報告やコンプライアンスに依存することが多かった。しかし、カー氏は、仲介者のいないWeb3アプリケーションでは、このようなアプローチは効果がなく、時代遅れであると主張している。現在の新しい技術的現実に立ち向かうために、政府自身が調査のツールボックスと方法論を更新する必要がある。このため、パネリストたちは、健全で安全なインターネット生態系を育成・維持するための新しい方法を模索するために、この分野の実務家と政策立案者が協力する必要性を強調している。
Taxation and jurisdictional challenges 課税と裁判管轄の課題
Designing jurisdictional orders over a borderless Internet technology has practical challenges. Kerr shared with us his experience working in the realm of taxation and highlighted key jurisdictional challenges relating to taxes. International taxation on technologies has been affected by the concept of “base erosion,” which refers to corporate tax planning strategies adopted by multinational enterprises to exploit gaps and mismatches in tax rules in order to avoid paying tax. The utilization of borderless technology eliminates the idea of “physical nexus” and results in the need for “economic nexus,” which allows jurisdictions to collect sales taxes based on a set threshold of sales revenue rather than the physical presence of a business in the jurisdiction. Current discussions on crypto often revolve around the technology itself, but there are huge unsettled issues in the matter of international taxation in regards to fair apportionment of where taxes should be assessed, who should pay, what qualifies as a nexus requirement, and what should be shared between jurisdictions. These issues deserve attention from the international community to define a responsible tax position in a world where the type of technology at hand is innately adverse to a clear path towards taxation. ボーダーレスなインターネット技術を利用した裁判管轄の設計は、現実的な課題を抱えている。カーは、税務の領域で働いた経験をもとに、税務に関連する主要な法域の課題を紹介した。テクノロジーに関する国際課税は、多国籍企業が税制上のギャップやミスマッチを利用して納税を回避する法人税対策「ベース・エロージョン」という概念の影響を受けている。ボーダーレス技術の活用により、「物理的ネクサス」という考え方はなくなり、「経済的ネクサス」が必要となる。これは、管轄区域における事業の物理的存在ではなく、売上高の設定基準に基づいて売上税を徴収することを可能にするものである。暗号に関する現在の議論は、しばしば技術そのものを中心に展開されますが、税金を課すべき場所、支払うべき人、ネクサスの要件として適格なもの、管轄区域間で共有すべきものの公正な配分に関して、国際課税の問題では大きな未解決の問題がある。このような問題は、国際社会が責任ある課税のあり方を定義する上で、注目に値するものである。
Regulating DAOs DAOの規制
In order to incentivize entrepreneurship and innovation, we must give entrepreneurs the tools they need to succeed. DAO legal entity structures is one of the critical tools and protections that web3 entrepreneurs currently lack. Through their work at a16z crypto, カー氏 and Jennings have been exploring legal frameworks and entities for DAOs in a series of US-focused legal research and frameworks for DAOs. This exploration into legal frameworks had found that the unincorporated nonprofit association (UNA) entity was the current ideal strategy for domestic filing. “The UNA is a compelling alternative that provides legal existence to unincorporated organizational forms, which is analogous to what most DAOs represent…. The structure is operationally flexible, adheres to the tenets of decentralization (governance by token holders, anonymity, etc.) and despite the name, is not prohibited from earning profits,” Kerr and Jennings state in their piece How to pick a DAO legal entity. 起業家精神とイノベーションを奨励するために、我々は起業家が成功するために必要なツールを与えなければならない。DAOの法的実体構造は、Web3の起業家が現在欠けている重要なツールや保護の1つである。a16z cryptoでの仕事を通じて、カー氏とJenningsは、米国に焦点を当てた一連のDAOのための法的枠組みやエンティティを調査してきた。この法的フレームワークへの探求は、非法人化非営利団体(UNA)エンティティが、国内出願のための現在の理想的な戦略であることを見出していた。UNAは、法人格のない組織形態に法的実在性を与える説得力のある選択肢であり、ほとんどのDAOが代表するものと類似している......」。この構造は運営上柔軟性があり、分散化の信条(トークン保有者によるガバナンス、匿名性など)を守り、名前に反して利益を得ることが禁止されていない」と、カー氏とジェニング氏はその作品How to pick a DAO legal entityの中で述べている。
In the U.S., several states have begun to introduce DAO LLC laws, such as Wyoming, Tennessee and Vermont. Overall, the panelists agreed that this was a great step forward on the part of legislators to be willing to learn, listen, and create a solution. However, the issue with these current laws is that they still have many LLC requirements that do not quite align with the nature of DAOs. For example, DAOs with anonymous membership will have a very difficult time proving the breakdown of ownership typically required in an LLC. These bills were also lacking annotations that help explain the applications in practice or what had to be included to stay consistent with existing legal principles. Overall, the bills as they stand today are not too unique or helpful for DAOs over a traditional LLC. But the states’ desire and willingness to iterate and experiment is ultimately conducive for advancing the field from a legal perspective. In the short-term, states have a role to play in developing these legal entity forms, but in the long-term they will need to collaborate at the federal level on tax policy. 米国では、ワイオミング州、テネシー州、バーモント州など、いくつかの州でDAO LLC法の導入が始まっている。全体として、これは立法者側が学び、耳を傾け、解決策を生み出そうとする素晴らしい一歩であるというのがパネリストの一致した意見であった。しかし、これらの現行法の問題点は、DAOの性質に全くそぐわないLLCの要件がまだ多く残っていることである。例えば、匿名組合員のDAOは、LLCで一般的に要求される所有権の内訳を証明することが非常に困難である。また、これらの法案には、実際の適用を説明するための注釈や、既存の法原則と整合性を保つために含まれなければならないものが欠けていた。全体として、現在の法案は、従来のLLCと比較して、DAOにとってあまりユニークでもなく、有用でもない。しかし、各州が反復し、実験しようとする意欲は、最終的に法的観点からこの分野を発展させることにつながる。短期的には、各州はこのような法人形態を発展させる役割を担っているが、長期的には、連邦レベルでの税制面での協力が必要になってくるだろう。
An alternative approach with an international lens that Dr. De Filippi described is the DAO Model Law proposed by COALA. Given that DAOs are operating at such a transnational level, this approach explores specific ways that policy objectives can be accomplished with technological guarantees. For example, certain DAOs could potentially qualify for legal personality or some partial legal liability if their technical design meets some conditions. Instead of taking the “stick” approach of using regulation to punish, DAOs could be incentivized with the “carrot” (activities they seek to do such as hiring, entering contracts, property) by implementing technological guarantees that are equivalent to traditional regulatory compliance. デ・フィリップ博士が紹介した国際的なレンズを持つ別のアプローチとして、COALAが提案するDAOモデル法がある。DAOが国境を越えたレベルで運営されていることを踏まえ、このアプローチでは、技術的な保証によって政策目標を達成するための具体的な方法を探っている。例えば、ある種のDAOは、その技術設計がある条件を満たせば、法人格を取得したり、部分的な法的責任を負う可能性がある。規制によって罰するという「棒」のアプローチではなく、従来の規制遵守と同等の技術保証を実施することで、DAOに「人参」(雇用、契約締結、財産などDAOが行おうとする活動)のインセンティブを与えることが可能であろう。
Geopolitics of web3, responsible development ウェブ3の地政学、責任ある開発
As we seek to ensure the responsible development of web3 technologies, questions of national competitiveness, national security, consumer protection, extremism, and free speech came to the fore. Kerr pointed out there are several difficult, thorny issues coming to a head in society we will need to address with or without “web3”. web3の技術を責任を持って発展させるために、国家競争力、国家安全保障、消費者保護、過激派、言論の自由などの問題が前面に出てきた。カー氏は、「web3」の有無にかかわらず、社会的に解決しなければならない困難で茨の道となる問題がいくつかあると指摘した。
Exploring the angle of national security and competitiveness, Jennings noted that the technological development of web3 is already happening, and whether or not particular geographies emerge as leaders in shaping the future of value transfer around the world hinges on the regulatory frameworks that are created for entrepreneurs, and whether there are sufficient support and incentives provided for them to build in this space. In addition, given the intricate relationship between the physical nature of regulatory jurisdictions and the borderless network created by the technology, there are inevitable geopolitical tensions at play when examining the technology from a global perspective, adding additional layers of challenges through which both policymakers and entrepreneurs need to navigate. ジェニング氏は、国家安全保障と競争力という切り口から、web3の技術開発はすでに始まっており、特定の地域が世界の価値移転の未来を形作るリーダーとして台頭するかどうかは、起業家に対してどのような規制の枠組みが作られ、この領域で起業するために十分な支援とインセンティブが提供されるかどうかにかかっていると述べました。さらに、規制当局の物理的性質とテクノロジーが生み出すボーダレスネットワークの複雑な関係を考えると、グローバルな視点からテクノロジーを検討する際には、地政学的な緊張が避けられず、政策立案者と起業家の双方がナビゲートしなければならない課題がさらに増えている。
While a difficult balance to strike, the panelists think that there should not have to be a compromise between technical innovation and consumer protection. Protecting consumers does not necessarily have to come at the cost of constraining the potential of the technology. This is where collaboration will be critical between policymakers and practitioners to develop solutions going forward. バランスをとるのは難しいが、技術革新と消費者保護の間で妥協する必要はない、とパネリストは考えている。消費者保護は、必ずしも技術の可能性を制限する代償を払う必要はないのである。この点については、今後、政策立案者と実務担当者が協力して解決策を講じることが重要である。
Recommendations for further learning about web3 and policy Web3と政策についての更なる学習のための提言
For those who are interested in learning more about the intersection of web3 and public policy, the panelists pointed to a handful of organizations that actively publish educational resources such as the Blockchain Association, Coincenter, European Crypto Initiative, and COALA as helpful starting points. Other advocacy groups such as the Electronic Frontier Foundation and Fight for the Future, while not web3 focused, are also interesting organizations with similar values. Web3と公共政策の接点についてもっと知りたいという人のために、パネリストは、ブロックチェーン協会コインセンターヨーロッパ暗号イニシアチブCOALAなど、積極的に教育リソースを公開している一握りの組織を、出発点として参考になると指摘した。また、電子フロンティア財団や Fight for the Futureなどの提言団体も、Web3にフォーカスしているわけではないものの、同様の価値観を持つ興味深い組織であることがわかる。
The panelists suggested that the best way to learn was to dive-in to understanding the technology, talk with technologists in this space, and to do some writing yourself as a critical thought exercise. Given the complexity and rapid development in web3, we must bridge together builders, investors, and policymakers to create thoughtful technology policy for the future. パネリストは、技術を理解するために飛び込み、この分野の技術者と話し、批判的な思考訓練として自分で文章を書くことが最良の方法であると提案した。Web3の複雑さと急速な発展を考えると、私たちは建設業者、投資家、政策立案者を結び付け、将来のための思慮深い技術政策を作り上げなければならない。
Thank you for following along with our Perspectives in Web3 series– for previous sessions, see the Investing in web3 recap and Building in web3 recap posts. Please feel free to reach out to Sarah Hubbard and Helena Rong  if you have further questions or are interested in future collaborations. 前回のセッションについては、Investing in web3recapBuilding in web3recapの記事を参考すること。質問や今後のコラボレーションにご興味のある方は、Sarah Hubbard Helena Rong まで連絡すること。

 

残りのイベント報告

・2022.12.01 Event Recap: Investing in Web3

・2022.11.16 Event Recap: Building in Web3

 

Publicationdefaultmed


 

情報セキュリティきまぐれ日記

・2022.12.28 デジタル庁 Web3.0研究会報告書

・2022.11.22 経団連 web3推進戦略 (2022.11.15)

・2022.10.14 デジタル庁 Web3.0研究会 第1回 (2022.10.05) + 第2回 (2022.10.12)

・2022.07.19 インド データセキュリティ評議会 Web 3.0 - The Internet of the New Era (2022.07.06)

・2022.07.14 総務省 「Web3時代に向けたメタバース等の利活用に関する研究会」の開催

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2022.06.13 デジタル庁 デジタル社会の実現に向けた重点計画 (2022.06.08)

 

Continue reading "Belfer Center: Web3関連のイベント(構築、投資、政策立案)(2022.10.20-12.01)"

| | Comments (0)

2022.12.29

損保総研レポート 国家の関与するサイバー攻撃とサイバー保険の戦争免責条項について

こんにちは、丸山満彦です。

公益財団法人損害保険事業総合研究所が発行している損保総研レポートの2022.12号に「国家の関与するサイバー攻撃とサイバー保険の戦争免責条項について」という論考が掲載されていますね。。。

戦争免責条項を根拠として保険金支払を拒絶した損害保険会社を提訴した事例や、サイバー保険の料率が上がってきているという話もあり、興味深い報告書だと思いました。。。

 

損害保険事業総合研究所 - 機関誌「損保総研レポート」

・2022.12.24 2022年12月 第141号

 ・[PDF] 国家の関与するサイバー攻撃とサイバー保険の戦争免責条項について

20221228-225605


目次...

1.はじめに

2.サイバー保険市場の概況
(1)全世界における市場規模
(2)元受保険業界の状況
(3)再保険会社等の対応

3.国家の関与によるサイバー攻撃
(1)過去のサイバー攻撃の事例
(2)ロシアによるウクライナ侵攻の影響

4.従来の戦争免責条項

5.戦争免責条項の適用を巡る訴訟事例
(1)Merck 対 Ace American など
(2)Mondelez International 対 Zurich American

6.LMAのサイバー戦争免責条項およびロイズの指示
(1)LMA のサイバー戦争免責条項
(2)免責条項への反応
(3)ロイズの市場参加者への指示

7.研究機関による提案
(1)ジュネーブ協会等による提案
(2)カーネギー国際平和基金による提案

8.戦争リスクなどへの補償提供策
(1)国家によるバックストップ
(2)カタストロフ・サイバーリスク市場
(3)保険リンク証券(ILS)

9.おわりに


要旨

近年、世界的にサイバー攻撃が多発、激化しているが、特に 2022 年 2 月のロシアによるウクライナ侵攻以降、「国家の関与によるサイバー攻撃」に対する懸念が広まっている。国家の関与によるサイバー攻撃に係るリスクは、一般的に広域に同時多発的に被害をもたらし、巨額の損害を発生させる可能性があり、個々の損害保険会社では、対応が困難なリスクの 1 つとなっている。

損害保険業界は、これまでサイバー保険のみならず、ソルベンシーに重大な影響を及ぼすリスクを補償対象から除外する対応の一環として、ほとんどすべての損害保険契約に戦争免責条項を付帯している。

2017 年に世界的に大損害をもたらしたサイバー攻撃により、被害を受けた保険契約者が、戦争免責条項を根拠として保険金支払を拒絶した損害保険会社を提訴した事例が、米国で複数発生している。既に一部の裁判では、原告(保険契約者)の主張を認め、被告(保険会社)に保険金支払を命じた一審判決が出ている。

このような状況を踏まえ、ロイズ保険協会(LMA)などでは、「サイバー戦争免責条項」など新たな免責条項案を作成しているが、これらも課題が指摘されており、更なる改善が望まれる。

技術革新に伴い、サイバーリスクを巡る状況も常に「進化」していることから、わが国の損害保険業界も、最新のサイバーリスクの動向や、諸外国の保険業界の動向を注視しつつ、約款における戦争免責条項のあり方に関する検討など、適切な対策を採る必要がある。


 

参考

2022年2月 第138号

 ・[PDF] 米国を中心とするサイバー保険市場の動向

 

2021年1月 第134号

 ・[PDF] 米国を中心とするサイバーインシデント・サイバー保険市場の動向

 

・2019年1月 第126号

 ・[PDF] サイレント・サイバーリスクを巡る動向 -米国・イギリスを中心に-

 

2018年1月 第122号

 ・[PDF] サイバーセキュリティ対策-人材対策を中心に-

 

2017年7月 第120号

 ・[PDF] 米国におけるサイバー保険の動向

 

・2016年7月 第116号

 ・[PDF] サイバーリスクとサイバー保険-米国の動向を中心として-

 

2015年1月 第110号

 ・[PDF] 米国のサイバー・インシュアランスの動向

 

| | Comments (0)

2022.12.28

デジタル庁 Web3.0研究会報告書

こんにちは、丸山満彦です。

デジタル庁が開催していたWeb3.0研究会から「Web3.0 研究会報告書~Web3.0 の健全な発展に向けて~」が公表されていますね。。。委員の松尾先生が「闊達な議論の末、骨のある報告書になりました」とのことです...


デジタル庁 - Web3.0研究会

・[PDF] Web3.0研究会報告書

20221228-05357

 

1. 総論
(1).
検討の背景と基本的考え方
(2).
検討の方向性
(3). Web3.0
の未来像・目指すべき姿
(4).
未来像・目指すべき姿に向けた制度・規制面の課題
(5).
イノベーション促進策
 ① 対話の場としてのプラットフォーム
 ② 「相談窓口」の設置と課題解消に向けた「関係府省庁連絡会議」の開催
 ③ Web3.0 に係る国際的な情報発信・コンセンサス形成への関与
 ④ 研究開発・技術開発の担い手の育成

(6). Web3.0
の健全な発展に向けた今後の取組

2. デジタル資産
(1).
デジタル資産とそれをめぐる議論
(2).
本研究会における主な議論と対応の方向性
 ① デジタル資産を資金調達手段に用いることについての議論
 ② NFTの法的位置付けの整理
  ア. NFTの基本的性質と決済手段としての活用可能性
  イ. NFTが表章する権利に応じた整理
  ウ. NFTに関する利用者の認識
 ③ NFTの取引をめぐる課題 
 ④ クリエイターやコンテンツ保護の必要性
  ア. NFTの信頼性確保
  イ. NFT プラットフォームの規約の在り方
  ウ. クリエイターに対する情報提供の重要性
 ⑤ セキュリティに関する議論

(3). Web3.0
の健全な発展に向けた基本的方向性

3. 分散型自律組織(DAO)
(1). DAO
とそれをめぐる議論
(2).
本研究会における主な議論と対応の方向性
 ① DAO の位置付け 
 ② DAO の設立目的とそれに応じた議論の優先順位付け
 ③ DAO に対する期待とその実現に向けた方向性
 ④ DAO をめぐる様々な課題と対応の在り方
 ⑤ DAO の法人化をめぐる議論
  ア. DAO の法人化に関する諸外国の動向と日本における課題認識
  イ. 日本における今後の議論の方向性


 

・[PDF] Web3.0研究会報告書の概要

20221228-05553

 

気になってる点というのは、ネットワーク外部性のおかげでGAFAM等に集中しているところがよくないということで、分散(非集中)ということで議論がされることが多いように思うのですが、分散(非集中)というのは、経済的な効率性が高くないことも多く、また既存の類似の制度で代替できることも多いと思われ、いろいろな場面で、小さく利用されることはあるとは思いますが、経済の中心的な存在となることも、社会の不可欠な要素となることもないように感じますが、皆様はどうでしょうかね。。。

 

 

| | Comments (0)

2022.12.27

内閣官房サイバーセキュリティセンター 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集

こんにちは、丸山満彦です。

内閣官房サイバーセキュリティセンターが、「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集をしていますね。。。

 

内閣官房サイバーセキュリティセンター

・2022.12.26 基本戦略グループ(第2) 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集について


サイバー攻撃の脅威が高まる中、攻撃を受けた被害組織がサイバーセキュリティ関係組織と被害に係る情報を共有することは、攻撃の全容解明や対策強化を図る上で、被害組織・社会全体の双方にとって有益ですが、実際には、自組織のレピュテーションに影響しかねない情報共有には慎重であるケースも多く見られます。
 そこで、官民の多様な主体が連携する協議体である「サイバーセキュリティ協議会」の運営委員会の下に、「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」(事務局:警察庁、総務省、経済産業省及びサイバーセキュリティ協議会事務局(内閣官房内閣サイバーセキュリティセンター及び政令指定法人JPCERT/CC))を開催し、被害組織の担当部門(システム運用部門、セキュリティ担当、法務・リスク管理部門等)が被害情報を共有する際の実務上の参考となるガイダンスの策定に向けて討議を行いました。
 これを受け、上記検討会において、「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」を作成いたしました。つきましては、同ガイダンス案について、国民の皆様から広く意見を募集いたします。


 

意見募集対象

20221226-224650

目次

用語集

用語集補足

1.はじめに
情報共有とは何か/公表とは何か
なぜ「情報共有をするべき」なのか/公表の社会的意義
本ガイダンスのコンセプト
本ガイダンスの検討経緯
本ガイダンスのスコープ
本ガイダンスを読むにあたって

2.情報共有・被害公表の流れ

3.FAQ
 <情報共有の方法等について>

Q1.
なぜ情報共有が必要なのですか?
Q2.
どのタイミングでどのような情報が共有/公表されますか?
Q3.
「被害組織」とは何ですか?
Q4.
サイバー攻撃被害に係る情報にはどのようなものがありますか?
Q5.
どうやって「情報共有」をすればいいのですか?
Q6.
どのような情報を共有すればいいのですか?
Q7.
「インディケータ情報」とは何ですか?
Q8.
いつ情報を共有すればいいのですか?
Q9.
情報共有活動に参加していない場合、どこに共有すればいいのですか?
Q10.
情報共有を行う上での留意点はありますか?
Q11.
攻撃技術情報の共有とノウハウの共有とは何が違いますか?
Q12.
専門組織同士はどういう情報を共有していますか?
Q13.
なぜ非公開で参加者が限定された情報共有が行われるのですか?

<被害の公表や法令等に基づく報告・届出について>
Q14.
公表の目的は何ですか?
Q15.
公表のタイミングはどのようなものがありますか?
Q16
公表の内容としてはどのようなものがありますか?
Q17.
公表する際の留意点はありますか?
Q18.
警察への通報・相談は、行った方が良いでしょうか?
Q19.
警察に通報・相談することによる業務への影響はあるのでしょうか?
Q20.
所管省庁への任意の報告は、行った方が良いでしょうか?

<被害組織の保護の観点について>
Q21.
公表していないのに自組織の被害が知られて公開されてしまうのはなぜですか?
Q22.
他組織の被害に関する情報を発見した場合、どうしたらよいですか?
Q23.
製品の脆弱性が悪用されていた場合、当該情報はどのように扱えばいいですか?
Q24.
他の被害組織を踏み台として攻撃された場合、当該情報はどのように扱えばいいですか?
Q25.
共有・公表したことで二次被害が出てしまうような情報はありますか?

<攻撃技術情報の取扱いについて>
Q26.
マルウェアに関する情報とはどういうものですか?
Q27.
不正通信先に関する情報とはどういうものですか?
Q28.
攻撃の手口に関する情報とはどういうものですか?
Q29.
専門組織から「見つかった情報を共有活動に展開してよいか?」と尋ねられたらどう判断すればいいですか?
Q30.
情報共有先をどのように指定/制限すればいいですか?
Q31.
専門組織から「分析結果をレポートとして発信してもよいか」と尋ねられたらどう判断すればいいですか?
Q32.
どのような攻撃技術情報であれば速やかに共有することができますか?(公開情報と非公開情報の違いについて)(調査ベンダ向け解説)
Q33.
どのような攻撃技術情報であれば守秘義務契約上の「秘密情報」にあたりませんか?(調査ベンダ向け解説)

4.ケーススタディ
ケース 1:標的型サイバー攻撃
ケース 2:脆弱性を突いた Web サーバ等への不正アクセス
ケース 3:侵入型ランサムウェア攻撃

5.チェックリスト/フローシート


参考資料

20221226-225208

 

「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」

 

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.04.21 総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催


 

| | Comments (0)

2022.12.26

オーストラリア国家監査局 サイバーセキュリティサプライチェーンの管理(連邦警察、税務局、外務貿易省) (2022.12.14)

こんにちは、丸山満彦です。

オーストラリア連邦政府の国家監査局が、連邦警察、税務局、外務貿易省のサイバーセキュリティサプライチェーンの管理についての監査を実施し、報告していますね。。。

それなりに課題があるようです。。。

● Australian National Audit Office: ANAO

・2022.12.14 Management of Cyber Security Supply Chain Risks

・[PDF

20221225-235307

Management of Cyber Security Supply Chain Risks サイバーセキュリティ サプライチェーンリスクのマネジメント
Why did we do this audit? なぜこの監査を行ったのか?
$14.8 billion committed to Information Communications Technology related goods and services in 2021–22 by Australian Government entities. 2021-22年にオーストラリア政府機関が情報通信技術関連の商品とサービスにコミットした額は148億ドル。
Australian Cyber Security Centre (ACSC) has reported that contractors holding government information had a significant increase in malicious cyber activities. オーストラリア・サイバーセキュリティ・センターは、政府情報を保有する請負業者が悪意のあるサイバー活動を大幅に増加させたと報告している。
Previous audits identified high rates of non‐compliance with mandatory Protective Security Policy Framework (PSPF) cyber security requirements and poor administration of government procurements, including monitoring and treatment of non‐compliance with contractual requirements. これまでの監査では、強制的な保護セキュリティポリシーフレームワーク(PSPF)のサイバーセキュリティ要件に対する高い非遵守率や、契約要件に対する非遵守の監視や処置など政府調達の管理不備が指摘されている。
What did we find? 発見事項
The implementation of arrangements by selected entities for managing cyber security risks within procurements and specific contracted providers under the PSPF have not been fully effective. PSPFに基づく調達と特定の契約プロバイダーにおけるサイバーセキュリティリスクマネジメントのための選択された機関による取り決めの実施は、完全には効果的ではなかった。
ATO has largely effective arrangements for assessing and managing procurement cyber security risks in accordance with the PSPF. AFP and DFAT have partially effective arrangements for assessing and managing procurement risks related to cyber security in accordance with the PSPF. オーストラリア税務局は、PSPFに従って調達のサイバーセキュリティリスクを評価・マネジメントするための取り決めを概ね効果的に実施している。オーストラリア連邦警察と外務貿易省は、PSPFに従ってサイバーセキュリティに関連する調達リスクを評価・マネジメントするための部分的に効果的な取り決めを行っている。
AFP and DFAT do not manage compliance of contracted providers with the PSPF requirements for cyber security. ATO had largely established arrangements to manage compliance of their contracted providers with limited assurance over reporting and methods of enforcement of the PSPF requirements for cyber security. オーストラリア連邦警察と外務貿易省は、契約プロバイダーがサイバーセキュリティに関するPSPFの要件を遵守しているかどうかを管理していない。オーストラリア税務局は、契約プロバイダーのコンプライアンスを管理するための取り決めを概ね確立していたが、サイバーセキュリティに関するPSPF要件の報告や実施方法については限定的な保証にとどまっている。
Key facts 主な事実
The Commonwealth Procurement Rules, which govern how entities procure goods and services, was updated in December 2020 to include considerations for cyber security risks. 物品とサービスの調達方法を規定する連邦調達規則が2020年12月に更新され、サイバーセキュリティリスクへの配慮が盛り込まれた。
PSPF Policy 6 and Policy 10 outline the mandatory requirements for non-corporate Commonwealth entities to manage cyber security threats arising from contracted goods and service providers. PSPFポリシー6とポリシー10は、契約した物品とサービスプロバイダから生じるサイバーセキュリティの脅威を管理するための、法人ではない英連邦団体の必須要件を概説している。
51% of non-corporate Commonwealth entities reported not fully implementing PSPF Policy 6 in 2020–21. 51%の非法人連邦機関は、2020-21年にPSPFポリシー6を完全に実施していないと報告した。
72% of non-corporate Commonwealth entities reported not fully implementing PSPF Policy 10 in 2020–21. 72%の非法人連邦機関は、2020-21年にPSPFポリシー10を完全に実施していないと回答している。
Summary and recommendations 概要と提言
Background 背景
1. Australian Government entities deliver a wide range of digital services to the community and hold large volumes of data across their computer networks, some of which is highly sensitive. Australian Government entities rely on a system of organisations, people, activities, information, and resources to deliver digital services and to maintain the security of government computer networks and data. This system can be referred to as an entity’s supply chain.1 1. オーストラリア政府機関は、地域社会に幅広いデジタルサービスを提供し、コンピュータネットワーク上に大量のデータを保有しており、その中には非常に機密性の高いものもある。オーストラリア政府機関は、デジタルサービスを提供し、政府のコンピュータネットワークとデータのセキュリティを維持するために、組織、人、活動、情報、リソースのシステムに依存している。このシステムは、団体のサプライチェーンと呼ばれることがある1。
2. Cyber security continues to be a risk for all Australian individuals, organisations and government entities, with over 67,500 cybercrimes being reported to the Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) in 2020–21 — an increase of 13 per cent since the previous financial year.2 In addition, ACSC has reported that contractors holding government information had a significant increase in malicious cyber activities.3 This increases the cyber security risks arising from an entity’s supply chain as the risks can originate from suppliers, manufacturers, distributors, and retailers that support products and services used by the entity. ACSC recommends that all Australian organisations prioritise the implementation of the Essential Eight Maturity Model (Essential Eight), including knowing their networks and evaluating risks associated with cyber supply chains. 2. サイバーセキュリティは、オーストラリアのすべての個人、組織、政府機関にとって引き続きリスクであり、2020-21年には、オーストラリア信号理事会のオーストラリア・サイバーセキュリティ・センターに67,500件を超えるサイバー犯罪が報告されており、前会計年度から13%増加している2。さらに、オーストラリア・サイバーセキュリティ・センターは、政府情報を保有する契約者に悪質なサイバー活動が大幅に増加したと報告している3 このことから、企業のサプライチェーンから生じるリスクは、企業が用いる製品およびサービスを支える供給者やメーカー、流通業者および小売業者が起源となり得るため増加すると言えます。オーストラリア・サイバーセキュリティ・センター は、オーストラリアのすべての組織が、自社のネットワークを知り、サイバーサプライチェーンに関連するリスクを評価することを含め、Essential Eight Maturity Model (Essential Eight) を優先的に実施することを勧告している。
3. The Attorney-General has established the Protective Security Policy Framework (PSPF) as Australian Government policy and non-corporate Commonwealth entities (NCEs) subject to the Public Governance, Performance and Accountability Act 2013 must apply the PSPF.4 PSPF Policy 5: Reporting on security (Policy 5) sets out the maturity self-assessment model for annual PSPF reporting. The maturity self-assessment model requires entities to assess their security capability and implementation of the PSPF requirements.5 The PSPF specifies that the ‘Managing’ maturity level provides the minimum required level of protection of an entity’s people, information and assets.6 3. PSPF Policy 5: Reporting on Security (Policy 5)は、PSPFの年次報告のための成熟度自己評価モデルを規定している。成熟度自己評価モデルは,事業体に対して,自らのセキュリティ能力と PSPF 要求事項の実施状況を評価するよう求めている5。 PSPF では,成熟度レベル「管理」が,事業体の人,情報,資産の保護に必要な最低限のレベルを提供すると定めている6。
4. Requirements for NCEs to manage cyber security supply chain risks are outlined in PSPF Policy 6: Security governance for contracted goods and service providers (Policy 6) and the Commonwealth Procurement Rules (CPRs). The CPRs were updated in December 2020 to include managing cyber security risks within government procurements and contracts. These are supported by requirements in PSPF Policy 10: Safeguarding data from cyber threats (Policy 10), which outlines the mandatory PSPF cyber security requirements. Since April 2013, the PSPF has mandated NCEs implement four of the ACSC’s Essential Eight Maturity Model, known as the Top Four.7 4. 非法人連邦機関 がサイバーセキュリティのサプライチェーンリスクを管理するための要件は、PSPF 方針 6:契約商品及びサービスプロバイダーのセキュリティガバナンス(方針 6)及び連邦調達規則(CPRs)に概説され ている。CPRは2020年12月に更新され、政府の調達と契約におけるサイバーセキュリティリスクのマネジメントが含まれるようになった。これらは、PSPFポリシー10:Safeguarding data from cyber threats(ポリシー10)の要件によってサポートされており、PSPFサイバーセキュリティの必須要件を概説している。2013 年 4 月以降、PSPF は 非法人連邦機関 に対し オーストラリア・サイバーセキュリティ・センター の「Essential Eight Maturity Model」のうち「Top 4」と呼ばれる 4 項目の実施を義務付けている7。
Rationale for undertaking the audit 監査を実施する理由
5. The ANAO has conducted a series of audits on cyber security and identified ongoing low levels of cyber resilience in NCEs and high rates of non‐compliance with the Top Four mitigation strategies. The high-rates of non-compliance continues to be an issue as AGD’s PSPF Assessment Report 2020–21 indicated 72 per cent of NCEs reported not fully implementing Policy 10 requirements.8 The Top Four mitigation strategies were mandated by the PSPF in 2013. Auditor‐General Report No. 32 2020–21 Cyber Security Strategies of Non‐Corporate Commonwealth Entities noted that: 5. オーストラリア国家監査局 はサイバーセキュリティに関する一連の監査を実施し、非法人連邦機関 のサイバーレジリエンスの 低レベルとトップ 4 の緩和戦略への高い非適合率を確認した。AGD の PSPF アセスメントレポート 2020-21 では、非法人連邦機関 の 72%が政策 10 の要件を完全に実施していないと報告しており、高率の非遵守は引き続き問題である8。監査総長報告書第32号2020-21年非法人連邦機関のサイバーセキュリティ戦略では、次のように指摘されている。
The 2018‐19 PSPF assessment report identified that one of the key challenges faced by the entities who had not achieved the ‘Managing’ maturity level of Policy 10 was reliance on outsourced service providers for information communications technology (ICT) and cyber security services, whereby entities had limited influence or control over the implementation of the mitigation strategies. 9 2018-19年のPSPF評価報告書では、方針10の成熟度レベル「管理」を達成していない事業体が直面する主要な課題の1つは、情報通信技術(ICT)とサイバーセキュリティサービスのアウトソーシングサービスプロバイダーに依存しており、そのため事業体は緩和戦略の実施に対する影響力や制御力が限られていることが確認された。 9
6. The limited influence and control over outsourced service providers of information communications technology (ICT) and cyber security services increases the cyber security risks arising from an entity’s supply chain. The management of cyber security risks within procurements continues to be challenging for NCEs with 51 per cent being reported in AGD’s PSPF Assessment Report 2020–21 as not fully implementing Policy 6. 6. 情報通信技術(ICT)及びサイバーセキュリティサービスの外部委託先に対する影響力と統制力が限定的であるため、事業者のサプライチェーンから生じるサイバーセキュリティリスクが増大する。調達におけるサイバーセキュリティリスクのマネジメントは非法人連邦機関sにとって引き続き困難であり、AGDのPSPF評価レポート2020-21では、51%が方針6を完全に実施していないと報告されている。
7. Auditor‐General Report No. 4 2021‐22 Defence’s Contract Administration — Defence Industry Security Program and Auditor‐General Report No. 6 2021–22 Management of the Civil Maritime Surveillance Services Contract have further indicated poor administration of government procurements, including monitoring and treatment of non‐compliance with contractual requirements. 10 7. 監査役会報告書第4号2021-22国防省の契約管理-防衛産業セキュリティプログラム及び監査役会報告書第6号2021-22民間海上監視サービス契約の管理は、契約要件への不遵守の監視と処置を含む政府調達の管理の不十分さをさらに指摘している。 10
8. The Australian Government has committed $14.8 billion in ICT related goods and services contracts in 2021–22.11 These commitments indicate the Australian Government’s reliance on contracted providers for its ICT capabilities. This dependency on contractors for ICT capabilities and the increase in malicious cyber activities against contractors who hold government information increases the risks associated with government supply chains.12 8. オーストラリア政府は、2021-22年のICT関連の物品およびサービス契約において148億ドルのコミットメントを行った11。これらのコミットメントは、オーストラリア政府がICT能力について契約業者に依存していることを示すものである。このようにICT能力を契約業者に依存し、政府情報を保有する契約業者に対する悪質なサイバー活動が増加することで、政府のサプライチェーンに関連するリスクが高まっている12。
9. This audit was identified as a Joint Committee of Public Accounts and Audit (JCPAA) priority for 2021-22. 9. この監査は、2021-22 年の公会計監査合同委員会(JCPAA)の優先事項として特定された。
10. This audit will examine the effectiveness of the implementation of Policy 6 by selected NCEs and the effectiveness of selected contracted providers’ compliance with the relevant PSPF requirements relating to procurement cyber security risks. It will provide Parliament transparency and insights on the management of procurement cyber security risks.13 10. この監査は、選定された非法人連邦機関による方針6の実施の有効性と、選定された契約プロバイダによる調達サイバーセキュリティリスクに関連するPSPF要件の遵守の有効性を調査するものである。それにより、調達サイバーセキュリティリスクのマネジメントに関する国会の透明性と洞察が得られる13。
Audit objective and criteria 監査の目的及び基準
11. The objective of this audit was to examine the effectiveness of selected NCEs’ arrangements for managing cyber security risks within their procurements and specific contracted providers under the PSPF. 11. 本監査の目的は、PSPFの下での調達及び特定の契約プロバイダにおけるサイバーセキュリティリスクを管理するための選択された非法人連邦機関sの取決めの有効性を調査することであった。
12. To form a conclusion against the audit objective, the ANAO adopted the following two high-level criteria: 12. 監査目的に対する結論を出すために、オーストラリア国家監査局は以下の2つのハイレベルな基準を採用した。
Have entities established effective arrangements to assess and manage procurement risks related to cyber security in accordance with the PSPF requirements? 事業者は、PSPFの要件に従って、サイバーセキュリティに関連する調達リスクを評価・マネジメントするための効果的な取り決めを確立しているか?
Have the contracted providers complied with the relevant PSPF requirements? 契約プロバイダは、関連する PSPF の要求事項を遵守しているか?
13. Three NCEs were included in this audit: 13. 本監査では 3 つの 非法人連邦機関 が対象となった。
Australian Federal Police (AFP); オーストラリア連邦警察
Australian Taxation Office (ATO); and オーストラリア税務局
Department of Foreign Affairs and Trade (DFAT). 外務貿易省
Conclusion 結論
14. The implementation of arrangements by selected entities for managing cyber security risks within procurements and specific contracted providers under the PSPF have not been fully effective. 14. PSPF の下で調達された調達品や特定の契約プロバイダにおけるサイバー・セキュリティ・リスクを管理するための選択された組織による取り決めの実施は、十分に効果的とは言えなかった。
15. ATO has largely effective arrangements for assessing and managing procurement cyber security risks in accordance with the PSPF. AFP and DFAT have partially effective arrangements for assessing and managing procurement risks related to cyber security in accordance with the PSPF. 15. オーストラリア税務局は、PSPFに従って調達のサイバーセキュリティリスクを評価・マネジメントするための取り決めを概ね効果的に実施している。オーストラリア連邦警察と外務貿易省は、PSPFに従ってサイバーセキュリティに関連する調達リスクを評価・マネジメントするための部分的に効果的な取り決めを行っている。
16. AFP and DFAT do not manage compliance of contracted providers with the PSPF requirements for cyber security. ATO had largely established arrangements to manage compliance of their contracted providers with limited assurance over reporting and methods of enforcement of the PSPF requirements for cyber security. 16. オーストラリア連邦警察 と 外務貿易省 は、契約プロバイダがサイバーセキュリティに関する PSPF 要件を遵守しているかどうかを管理していない。オーストラリア税務局は、契約プロバイダーのコンプライアンスを管理するための取り決めを概ね確立していたが、サイバーセキュリティに関するPSPF要件の報告や実施方法については限定的な保証にとどまっていた。
Supporting findings 補足事項
Managing cyber security risks in procurements 調達におけるサイバーセキュリティリスクのマネジメント
17. All three entities have defined roles and responsibilities for managing procurement cyber security risks. The procurement teams are responsible for identifying, assessing, and managing cyber security risks within procurements. The entities have cyber security specialists who can provide advice on cyber security risks associated with a procurement. 17. 3機関とも、調達のサイバーセキュリティリスクをマネジメントするための役割と責任を明確にしている。調達チームは、調達におけるサイバーセキュリティリスクを特定し、評価し、マネジメントする責任を有する。また、調達に伴うサイバーセキュリティリスクについて助言を行うサイバーセキュリティ専門家がいる。
18. None of the three entities’ processes required procurement teams to consult with cyber security specialists when assessing procurement cyber security risks or when considering mandatory PSPF cyber security requirements. Of the three entities, ATO has processes for assisting procurement teams with assessing and managing procurement cyber security risks and consideration of mandatory PSPF cyber security requirements. AFP and DFAT have not implemented processes for assessing and managing procurement cyber security risks, including documenting any assessments performed relating to mandatory PSPF cyber security requirements. 18. 3機関のいずれのプロセスも、調達のサイバーセキュリティリスクを評価する際、あるいはPSPFのサイバーセキュリティ義務要件を検討する際、調達チームにサイバーセキュリティ専門家との協議を義務付けてはいなかった。3機関のうち、オーストラリア税務局は調達サイバーセキュリティリスクの評価とマネジメント、PSPFサイバーセキュリティ必須要件の検討について、調達チームを支援するためのプロセスを有している。オーストラリア連邦警察と外務貿易省は、PSPFのサイバーセキュリティ義務要件に関連して実施された評価の文書化を含め、調達サイバーセキュリティリスクを評価・マネジメントするプロセスを導入していない。
19. All three entities have contract clauses requiring contracted providers to comply with the PSPF, ACSC’s Information Security Manual (ISM) and the respective entities’ policies. ATO performs ongoing assessments of its security terms and conditions to ensure protective security requirements address identified cyber security risks. 19. 3機関とも、契約プロバイダがPSPF、オーストラリア・サイバーセキュリティ・センターの情報セキュリティ・マニュアル(ISM)、各機関の方針を順守することを求める契約条項がある。オーストラリア税務局 は、保護セキュリティ要件が特定されたサイバーセキュリティリスクに対応していることを確認するため、セキュリティ条項の継続的な評価を行っている。
20. DFAT and AFP use contract management plans to specify roles and responsibilities for each contract. ATO has a generic contract management plan that covers ICT contracts and is developing detailed plans for each contracted provider. ATO’s generic contract management plan does not detail roles and responsibilities for each ICT contract. 20. 外務貿易省とオーストラリア連邦警察は、契約管理計画を用いて、各契約の役割と責任を特定している。オーストラリア税務局はICT契約をカバーする一般的な契約管理計画を持ち、各契約プロバイダーの詳細計画を策定中である。オーストラリア税務局の一般契約管理計画には、各ICT契約に対する役割と責任の詳細はない。
21. All three entities have incident management processes within contracting arrangements. ATO is the only entity that has arrangements for monitoring performance against mandatory PSPF cyber security requirements. However, the ATO has not detailed how non-compliance with mandatory PSPF cyber security requirements is to be managed. 21. 3機関とも、契約手配の中で事故管理プロセスを有している。オーストラリア税務局は、PSPFの義務的なサイバーセキュリティ要件に対するパフォーマンスを監視する取り決めをしている唯一の機関である。しかし、オーストラリア税務局 は PSPF のサイバーセキュリティ必須要件に対する不遵守をどのように管理するかについて詳述していない。
22. All selected contracts required contracted providers to adhere to the PSPF, ISM and entity internal policy requirements. None of the entities had processes, performance measures and service level agreements related to managing non-compliance with PSPF, ISM and entity internal policy requirements. Further, none of the entities had processes for verifying the reliability of cyber security related performance information provided by contracted providers. 22. 選択したすべての契約で、契約プロバイダは PSPF、ISM、事業体内部方針の要件を遵守することが求めれていた。どの事業体も、PSPF、ISM、および事業体の内部方針要件への不遵守を管理するためのプロセス、パフォーマンス指標、およびサービス・レベル・アグリーメントを有していなかった。さらに、契約プロバイダが提供するサイバーセキュリティ関連のパフォーマンス情報の信頼性を検証するプロセスを有している事業体はなかった。
23. AFP and DFAT do not monitor compliance against PSPF, ISM and entity internal policy requirements for the selected contracts. ATO has established a Cyber Threat Assurance Program and risk management processes for assessing compliance against mandatory PSPF cyber security requirements. The assurance program included a quarterly audit of contracted provider implementation of the Top Four mitigation strategies. The risk management processes included the use of risk registers to monitor the implementation of some mandatory PSPF cyber security controls and ATO policy requirements. 23. オーストラリア連邦警察 と 外務貿易省 は、選択した契約について PSPF、ISM、事業体内部の方針要件に対するコンプライアンスを監視していない。オーストラリア税務局は、PSPFの強制的なサイバーセキュリティ要件に対するコンプライアンスを評価するためのサイバー脅威保証プログラムおよびリスクマネジメントプロセスを確立した。この保証プログラムには、契約プロバイダーが上位4つの緩和策を実施しているかどうかの四半期ごとの監査が含まれていた。リスクマネジメントプロセスには、PSPF のサイバーセキュリティ必須要件と オーストラリア税務局 のポリシー要件の実施を監視するためのリスクレジスターの使用が含まれていた。
Compliance with PSPF requirements PSPF の要求事項への適合性
24. ATO had processes for ensuring DXC had implemented the required cyber security controls in accordance with the PSPF requirements. DXC had implemented mitigation strategies relating to patching operating systems and application control. 24. オーストラリア税務局は、DXCがPSPFの要件に従って必要なサイバーセキュリティ管理を実施していることを確認するためのプロセスを有していた。DXCは、オペレーティングシステムのパッチ適用とアプリケーション制御に関する緩和策を実施していた。
25. AFP and DFAT had processes for ensuring selected contracted providers had implemented the required cyber security controls in accordance with some of the relevant PSPF requirements. Hitachi had implemented patch management processes for operating systems and applications. AFP had not implemented patch management processes for applications on Hitachi managed servers. Telstra had implemented security measures for restricting administrative privileges to specific network devices. However, Telstra had not implemented patches to operating systems on network devices in accordance with PSPF requirements. 25. オーストラリア連邦警察 と 外務貿易省 は、選定した契約プロバイダーが関連する PSPF 要件の一部に従って要求されるサイバーセキュリティ管理を実施していることを確認するためのプロセスを有していた。日立は、オペレーティングシステムとアプリケーションのパッチマネジメントプロセスを導入していた。オーストラリア連邦警察は、日立が管理するサーバー上のアプリケーションのパッチ管理プロセスを導入していなかった。Telstra社は、特定のネットワーク機器に管理者権限を制限するセキュリティ対策を実施していた。しかし、Telstra社は、PSPFの要件に従って、ネットワークデバイス上のオペレーティングシステムに対するパッチを実装していなかった。
26. ATO has arrangements for monitoring cyber security issues related to the selected contracted provider and specifies contract terms and conditions for monitoring performance for relevant PSPF cyber security and entity policy requirements. None of the entities have specified terms and conditions for managing non-compliance against PSPF and entity internal policy requirements. 26. オーストラリア税務局は、選定された契約プロバイダに関連するサイバーセキュリティ問題を監視するための取り決めを行い、関連するPSPFサイバーセキュリティおよび事業体ポリシー要件に対するパフォーマンスを監視するための契約条件を明記している。どの事業体も、PSPF 及び事業体内部のポリシー要件に対する不遵守を管理するための条件を明記していない。
27. AFP and DFAT do not have contracting arrangements focussed on monitoring cyber security issues and performance against relevant PSPF cyber security and entity policy requirements. 27. オーストラリア連邦警察 と 外務貿易省 は、サイバーセキュリティ問題と関連する PSPF のサイバーセキュリティと組織の方針要件に対する実績の監視に重点を置いた契約上の取決めをしていな い。
28. Of the audited entities, ATO was the only entity that had processes for assessing contracted provider compliance against mandatory PSPF cyber security requirements. ATO had also reassessed cyber security terms and conditions for the selected contract. 28. 監査を受けた団体のうち、PSPF の強制的なサイバーセキュリティ要件に対する契約プロバイダのコンプライアンスを評価する プロセスを持つ団体は オーストラリア税務局 だけであった。またオーストラリア税務局は、選定された契約についてサイバーセキュリティの条件を再評価していた。
29. ATO had some processes for ensuring the accuracy of some performance reporting against relevant PSPF requirements. These processes included verification against other information sources, however, the verification activities were not documented. AFP and DFAT did not have processes for validating the accuracy of performance reporting against relevant PSPF requirements. None of the contracted providers had established assurance mechanisms for verifying the information they provide to entities. 29. オーストラリア税務局は、PSPFの関連要件に対する一部の業績報告の正確性を確保するためのプロセスを有していた。これらのプロセスには他の情報源との照合も含まれていたが、その照合活動は文書化されていなかった。オーストラリア連邦警察と外務貿易省は、関連するPSPFの要件に対する実績報告の正確性を検証するためのプロセスを有していなかった。契約プロバイダーはいずれも、各機関に提供する情報を検証するための保証メカニズムを確立していなかった。
30. All three entities have mechanisms within contracts to address deviations in expected performance, including financial penalties, performance, and service credits, but these mechanisms did not cover cyber security risks or controls.14 AFP has patch management timeframes that deviate from PSPF requirements. 30. 3機関とも、金銭的ペナルティ、パフォーマンス、サービスクレジットを含む、期待されるパフォーマンスの逸脱に対処するメカニズムを契約内に有しているが、これらのメカニズムはサイバーセキュリティリスクやコントロールを対象としていなかった14。
Recommendations  勧告事項
Recommendation no. 1 勧告 No.1
Paragraph 2.15 パラグラフ 2.15
To improve the quality of risk assessments: リスクアセスメントの質を向上させること。
Australian Federal Police and Department of Foreign Affairs and Trade improve processes and guidance for assessing and managing cyber security risks within procurements, including documenting the consideration of mandatory PSPF cyber security requirements; and オーストラリア連邦警察と外務貿易省は、調達におけるサイバーセキュリティリスクの評価と管理のためのプロセスとガイダンスを改善し、PSPF のサイバーセキュリティ必須要件の考慮を文書化することを含む。
Australian Federal Police, Australian Taxation Office and Department of Foreign Affairs and Trade implement processes to assist with identifying when procurement teams are required to consult with cyber security specialists on cyber security risks and mandatory PSPF cyber security requirements. オーストラリア連邦警察、オーストラリア税務局、外務貿易省は、調達チームがサイバーセキュリティリスクと PSPF のサイバーセキュリティ必須要件についてサイバーセキュリティ専門家と協議する必要がある場合の特定を支援するプロセスを導入する。
Australian Federal Police response: Agreed, agreed in part. オーストラリア連邦警察の回答:同意する、部分的に同意する。
Australian Taxation Office response: Agreed. オーストラリア税務局の回答:同意する。
Department of Foreign Affairs and Trade response: Agreed. 外務貿易省の回答:同意する。
Recommendation no. 2 勧告 No.2
Paragraph 2.53 パラグラフ2.53
Australian Federal Police, Australian Taxation Office and Department of Foreign Affairs and Trade should implement processes for verifying the reliability of performance information and managing non-compliance by contracted providers against the PSPF, ISM and entity internal policy requirements, including establishing performance measures focussed on compliance against PSPF, ISM and entity internal policy requirements. オーストラリア連邦警察、オーストラリア税務局、外務貿易省は、パフォーマンス情報の信頼性を検証し、PSPF、ISM、企業の内部方針要件に対する契約プロバイダーの不遵守を管理するプロセスを導入する必要がある。これには、PSPF、ISM、機関の内部方針要件に対する遵守に焦点を当てたパフォーマンス指標の確立が含まれる。

Australian Federal Police response: Agreed. オーストラリア連邦警察の回答: 同意する。
Australian Taxation Office response: Agreed. オーストラリア税務局の回答。 同意する。
Department of Foreign Affairs and Trade response: Agreed. 外務貿易省の回答:同意する。 同意する。
Recommendation no. 3 勧告 No.3
Paragraph 3.26 パラグラフ3.26
To improve monitoring of security controls: セキュリティ管理の監視を改善すること。
Australian Federal Police and Department of Foreign Affairs and Trade specify requirements relating to the implementation and monitoring of the mandatory Protective Security Policy Framework cyber security requirements in contractual arrangements; and オーストラリア連邦警察と外務貿易省は、契約上の取り決めにおいて、強制的な保護セキュリティ方針フレームワークのサイバーセキュリティ要件の実施と監視に関連する要件を明記する。
Australian Federal Police and Department of Foreign Affairs and Trade establish periodic assessments of security terms and conditions of their contracts to address associated cyber security risks. オーストラリア連邦警察と外務貿易省は、関連するサイバーセキュリティリスクに対処するため、 契約のセキュリティ条項と条件について定期的な評価を確立する。
Australian Federal Police response: Agreed, agreed in part. オーストラリア連邦警察の回答:同意する、部分的に同意する。
Department of Foreign Affairs and Trade response: Agreed. 外務貿易省の回答:同意する。
Recommendation no. 4 勧告 No.4
Paragraph 3.37 パラグラフ3.37
Australian Federal Police and Department of Foreign Affairs and Trade specify requirements relating to reporting performance against relevant cyber security and entity policy requirements in contractual arrangements. オーストラリア連邦警察と外務貿易省は、契約上の取り決めにおいて、関連するサイバーセキュリティとエンティティポリシーの要件に対するパフォーマンスの報告に関連する要件を明記する。
Australian Federal Police response: Agreed in part. オーストラリア連邦警察の回答:部分的に同意する。
Department of Foreign Affairs and Trade response: Agreed. 外務貿易省の回答:同意する。
Recommendation no. 5 勧告 No.5
Paragraph 3.46 パラグラフ3.46
To improve quality of performance reporting: パフォーマンス報告の質を向上させるために
Australian Federal Police and Department of Foreign Affairs and Trade establish a performance framework supporting Recommendation 4, including validating the accuracy of performance reporting provided by contracted providers in relation to cyber security; and オーストラリア連邦警察と外務貿易省は、サイバーセキュリティに関して契約プロバイダーが提供するパフォーマンス報告の正確性を検証することを含め、勧告4をサポートするパフォーマンスフレームワークを確立する。
Australian Taxation Office improve processes for verifying performance information provided by contracted providers, including documenting verification activities. オーストラリア税務局は、検証活動の文書化を含め、契約プロバイダーが提供するパフォーマンス情報を検証するプロセスを改善する。
Australian Federal Police response: Agreed in part. オーストラリア連邦警察の回答:部分的に同意する。
Australian Taxation Office response: Agreed. オーストラリア税務局の回答:同意する。
Department of Foreign Affairs and Trade response: Agreed. 外務貿易省の回答:同意する。
Summaries of entity responses 事業体の回答の概要
Australian Federal Police オーストラリア連邦警察
The Australian Federal Police did not provide a summary response. オーストラリア連邦警察から回答要旨は得られなかった。
Australian Taxation Office オーストラリア税務局
The Australian Taxation Office (ATO) welcomes the review and findings that the ATO is largely effective in managing procurement cyber security risks in accordance with the PSPF. The ATO delivers contemporary digital services, supporting effective and secure transactions for the Australian community and maintains security of our organisations’ network and data. The ATO is committed to improving the way in which we manage cyber security supply chain risks and ensuring client interactions with the ATO remain safe and secure. オーストラリア税務局(オーストラリア税務局)は、オーストラリア税務局がPSPFに従って調達サイバーセキュリティリスクを管理する上で概ね有効であるというレビューと調査結果を歓迎する。オーストラリア税務局は最新のデジタルサービスを提供し、オーストラリア社会のために効果的で安全な取引を支援し、組織のネットワークとデータのセキュリティを維持している。オーストラリア税務局はサイバーセキュリティのサプライチェーンリスクの管理方法を改善し、顧客とオーストラリア税務局のやりとりが安全でセキュアであることを保証するために尽力している。
We are pleased that the review recognises the work already performed by the ATO in assessing and managing procurement cyber security risks in accordance with the PSPF. The report found the ATO has established arrangements in managing compliance of contracted providers and monitoring performance against mandatory PSPF cyber security requirements. Further, the ATO has contract management arrangements and performs ongoing assessment of its security terms and conditions to ensure protective security measures address cyber security risks. 我々は、レビューがPSPFに従って調達サイバーセキュリティリスクを評価・管理する上でオーストラリア税務局が既に行っている作業を認識していることを嬉しく思う。報告書によると、オーストラリア税務局は契約プロバイダーのコンプライアンスを管理し、PSPFの必須サイバーセキュリティ要件に対する実績を監視する体制を確立していることが分かった。さらに、オーストラリア税務局は契約マネジメントの取り決めを行い、保護セキュリティ対策がサイバーセキュリティリスクに対応していることを確認するために、セキュリティ条項の継続的な評価を行っている。
The review has identified opportunities for improvement to our risk assessment processes and performance reporting. The ATO operates under the principle of continuous improvement and welcome the findings from the ANAO to further strengthen the procurement program. このレビューにより、リスク評価プロセスとパフォーマンス報告について改善の余地があることが確認された。オーストラリア税務局は継続的な改善の原則のもとに運営されており、調達プログラムをさらに強化するためにオーストラリア国家監査局からの指摘を歓迎する。
Department of Foreign Affairs and Trade 外務貿易省
The Department of Foreign Affairs and Trade (DFAT) welcomes this report and the recommendations directed to the department. 外務貿易省は、本報告書と同省に向けられた勧告を歓迎する。
Whilst we acknowledge the audit findings regarding the International Network Services Agreement (Telstra), we consider the nature of this arrangement is unique and therefore not reflective of the department’s broader activities. The comparison of activities specific to this contract against DFAT’s Protective Security Policy Framework (PSPF) reporting has the potential to misrepresent the department’s cyber security capability across our global network and call into question the appropriateness of our PSPF self-assessments and overall compliance. 我々は、国際ネットワークサービス契約(Telstra)に関する監査結果を認める一方で、この契約の性質が独特であるため、同省の幅広い活動を反映したものではないと考えている。この契約に特有の活動を、外務貿易省の保護セキュリティ・ポリシー・フレームワーク(PSPF)報告と比較することは、グローバルネットワーク全体における同省のサイバーセキュリティ能力を誤って伝え、PSPF自己評価と全体的なコンプライアンスの適切性を疑問視する可能性がある。
As noted in the report and its appendices, DFAT has successfully achieved Essential 8 ‘maturity level 2’ compliance under the ACSC’s E8 maturity model. This achievement is reflective of the department’s significant investment in cyber security in recent years and furthermore, the sophisticated cyber security capability that the department maintains. The department has also embedded the consideration of cyber security risks in its contracting arrangements to align with the procurement framework and relevant policies such as the PSPF. 報告書とその附属書に記載されているように、外務貿易省はオーストラリア・サイバーセキュリティ・センターのE8成熟度モデルの下でエッセンシャル8の「成熟度2」準拠を成功裏に達成した。この成果は、同省が近年サイバーセキュリティに多額の投資を行い、さらに高度なサイバーセキュリティ能力を維持していることを反映するものである。また、同省は、調達の枠組みやPSPFなどの関連政策と整合させるため、契約の取り決めにサイバーセキュリティリスクの考慮を組み込んでいる。
Noting the opportunities to improve, the department will take steps to implement additional processes and policies in line with the report’s recommendations, whilst allowing for whole of government ICT procurement constraints and market conditions. DFAT’s advanced cyber security capability will continue to underpin improvements to departmental policies and processes to ensure cyber security risks are effectively managed. 改善の余地があることを認識した同省は、政府全体のICT調達の制約と市場の状況を考慮しつつ、報告書の勧告に沿った追加のプロセスと政策を実施するための措置を講じる予定である。オーストラリア外務省の高度なサイバーセキュリティ能力は、サイバーセキュリティのリスクが効果的にマネジメントされるよう、省内の方針とプロセスの改善を引き続き支援するものである。
Key messages from this audit for all Australian Government entities この監査から得られた全オーストラリア政府機関に対する主要メッセージ
Below is a summary of key messages, including instances of good practice, which have been identified in this audit and may be relevant for the operations of other Australian Government entities. 以下は、この監査で明らかになった、他のオーストラリア政府機関の業務に関連すると思われる、優れた実践例を含む重要なメッセージの要約である。
Governance and risk management ガバナンスとリスクマネジメント
Assurance arrangements such as the Cyber Threat Assurance Program approach established by ATO to check on the implementation of mandatory PSPF cyber security requirements can assist with monitoring of compliance against cyber security contract requirements. PSPF の強制的なサイバーセキュリティ要件の実施をチェックするために オーストラリア税務局 が設立した「サイバー脅威保証プログラム」のアプローチのような保証の取り決めは、サイバーセキュリティ契約の要件に対するコンプライアンスの監視を支援することができる。
Procurement specialists should ensure that contractual arrangements support the delivery of goods and services to meet the requirements of the entity. 調達専門家は、契約上の取り決めが、事業体の要件を満たす物品及びサービスの提供を支援することを確認する必要がある。
Procurement and contract management 調達と契約管理
Appropriate guidance relating to contracting templates, clauses and tools can help operationalise entity requirements when addressing cyber security risks within procurements and contracts. 契約書のテンプレート、条項及びツールに関する適切な指針は、調達及び契約においてサイバーセキュリティリスクに対処する際に、事業体要件を運用するのに役立つ。
Regular assessment of security terms and conditions when changes in goods, services or business environment occur can assist with achieving government security requirements. 商品、サービス、または事業環境の変化が生じたときにセキュリティ条件を定期的に評価することは、政府のセキュリティ要件の達成を支援することができる。
Procurement and contract management arrangements should include a framework to guide appropriate levels of engagement between procurement and cyber security specialists, such as specifying factors related to the type of procurement and level of risk arising from information communications technology (ICT). 調達及び契約マネジメントの取り決めには、調達の種類や情報通信技術(ICT)から生じるリスクのレベルに関連する要素を明記するなど、調達とサイバーセキュリティの専門家間の適切な関与のレベルを導くための枠組みが含まれるべきである。
Performance and impact measurement パフォーマンス及びインパクトの測定
Cyber security contract terms and conditions that associate performance measures and financial consequences for non-compliance can assist with establishing performance expectations. サイバーセキュリティの契約条件において、パフォーマンス指標及び不遵守の場合の金銭的影響を関連付けることは、期待されるパフォーマンスを確立する上で有用である。
When entities contract for delivery of ICT goods and services, arrangements should be in place that provide equivalent level of assurance over goods and services delivered internally. Entities cannot outsource security responsibilities and need arrangements to assure cyber security controls are implemented, operated, and maintained by contracted providers. 企業がICT製品及びサービスの提供を契約する場合、内部で提供される製品及びサービスと同等のレベルの保証を提供する取り決めを行う必要がある。企業は、セキュリティ責任を外部に委託することはできないため、契約したプロバイダがサイバーセキュリティ管理を実施、運用、維持することを保証する取り決めが必要である。
目次...
Contents 内容
Summary and recommendations 概要と提言
Background 背景
Conclusion 結論
Supporting findings 所見
Recommendations 提言
Summaries of entity responses 各組織の回答概要
Key messages from this audit for all Australian Government entities この監査から得られた全オーストラリア政府機関に対する重要なメッセージ
1. Background 1. 背景
Introduction 序文
Protective Security Policy Framework maturity self-assessment model 保護セキュリティポリシーフレームワークの成熟度の自己評価モデル
Managing cyber security supply chain risk サイバーセキュリティのサプライチェーンリスクマネジメント
Rationale for undertaking the audit 監査実施の理由
Audit approach 監査のアプローチ
2. Managing cyber security risks in procurements 2. 調達におけるサイバーセキュリティリスクのマネジメント
Have entities established an appropriate risk management framework for assessing and managing procurement cyber security risks? 事業者は、調達のサイバーセキュリティリスクを評価し管理するための適切なリスクマネジメントの枠組みを確立しているか。
Have entities established fit-for-purpose contracting arrangements that support the management of procurement cyber security risks? 事業体は、調達サイバーセキュリティリスクのマネジメントを支援する目的に合った契約上の取決めを確立しているか。
Have entities established fit-for-purpose arrangements for the management of contracted providers’ compliance with relevant Protective Security Policy Framework requirements? 事業者は、契約プロバイダが関連する保護セキュリティ方針フレームワークの要求事項を遵守していることを管理するための目的に適った取決めを確立しているか。
3. Compliance with Protective Security Policy Framework requirements 3. 保護セキュリティ方針フレームワークの要求事項への適合性
Have cyber security controls been implemented for relevant Protective Security Policy Framework requirements? 保護政策フレームワークの関連要求事項に対して、サイバーセキュリティの管理が実施されているか。
Is the performance of security controls for relevant Protective Security Policy Framework requirements appropriately monitored? 保護政策フレームワークの関連要求事項に対するセキュリティ管理のパフォーマンスは適切に監視されているか?
Is performance of security controls for relevant Protective Security Policy Framework requirements accurately reported? 保護政策フレームワークの関連要求事項に対するセキュリティ管理の履行は正確に報告されているか。
Appendices 附属書
Appendix 1 Entity responses 附属書1 事業者の回答
Appendix 2 Improvements observed by the ANAO 附属書2 オーストラリア国家監査局が観察した改善点
Appendix 3 Policy 10 and Essential Eight Maturity Model Timeline 附属書3 ポリシー10とエッセンシャルエイトの成熟度モデルのタイムライン
Footnotes 脚注

| | Comments (0)

2022.12.25

米国 バイデン大統領が2023年国防授権法にサインをしましたね。。。

こんにちは、丸山満彦です。

米国 バイデン大統領が2023年国防授権法にサインをしましたね。。。

少し不満そうです...

国民が選んだ議会と国民が選んだ大統領の対立関係もあり得るというところが、良いのかもしれませんね。。。時にスピードが落ちたり、迷走しますが...

 

White House

・2022.12.23 Statement by the President on H.R. 7776, the James M. Inhofe National Defense Authorization Act for Fiscal Year 2023

 

Fig1_20210802074601

Statement by the President on H.R. 7776, the James M. Inhofe National Defense Authorization Act for Fiscal Year 2023 H.R. 7776「2023 年度のジェームズ・M・インホフ国防授権法」に関する大統領の声明
Today, I have signed into law H.R. 7776, the “James M. Inhofe National Defense Authorization Act for Fiscal Year 2023” (the “Act”).  The Act authorizes fiscal year appropriations for the Department of Defense, for Department of Energy national security programs, and for the Department of State, Department of Homeland Security, and the Intelligence Community.  The Act provides vital benefits and enhances access to justice for military personnel and their families, and includes critical authorities to support our country’s national defense, foreign affairs, and homeland security.  While I am pleased to support these critical objectives, I note that certain provisions of the Act raise concerns. 本日、私は H.R. 7776「2023 年度のジェームズ・M・インホフ国防授権法」(以下、「本法」)に署名し、立法化した。  本法は、国防総省、エネルギー省の国家安全保障プログラム、国務省、国土安全保障省、情報機関への年度予算計上を許可するものである。  本法は、軍人とその家族に重要な利益を提供し、司法へのアクセスを強化し、わが国の国防、外交、国土安全保障を支援する重要な権限を含んでいる。  これらの重要な目標を支持することは喜ばしいことだが、本法の一部の条項には懸念があることに留意したい。
Section 1033 of the Act continues to bar the use of funds appropriated to the Department of Defense to transfer Guantánamo Bay detainees to the custody or effective control of certain foreign countries.  Section 1031 of the Act likewise would continue to prohibit the use of such funds to transfer certain Guantánamo Bay detainees into the United States.  It is the longstanding position of the executive branch that these provisions unduly impair the ability of the executive branch to determine when and where to prosecute Guantánamo Bay detainees and where to send them upon release.  In some circumstances, these provisions could make it difficult to comply with the final judgment of a court that has directed the release of a detainee on writ of habeas corpus, including by constraining the flexibility of the executive branch with respect to its engagement in delicate negotiations with foreign countries over the potential transfer of detainees.  I urge the Congress to eliminate these restrictions as soon as possible. 同法第1033条は、グアンタナモ湾の拘禁者を特定の外国の拘禁または実効支配に移すために国防総省に計上される資金の使用を引き続き禁止している。  同法第1031条も同様に、特定のグアンタナモ湾の被拘束者を米国に移送するためにそのような資金を使用することを引き続き禁止している。  これらの規定は、グアンタナモ湾の被拘束者をいつ、どこで訴追し、解放後にどこに送るかを決定する行政府の能力を不当に損なうものであるというのが、行政府の長年の見解である。  状況によっては、これらの規定は、人身保護令状を持つ被拘束者の釈放を指示した裁判所の最終判決に従うことを困難にし、被拘束者の移送の可能性について外国と微妙な交渉を行うことに関して、行政府の柔軟性を制約することも含め、その可能性がある。  私は議会に対し、このような制限をできるだけ早く撤廃するよう強く求める。
Moreover, certain provisions of the Act raise constitutional concerns or questions of construction. さらに、同法の一部の条項は、憲法上の懸念や解釈上の問題を提起している。
A number of provisions of the Act (e.g., sections 1209(c), 1236(a), 1237, 1240, 1276(d), 1640(d), 5510(c), 5593(e), 6316, and 6402) would effectively require the President and other executive branch officials to submit reports and plans to certain congressional committees that will, in the ordinary course, include highly sensitive classified information, including information that could reveal critical intelligence sources or military operational plans.  The Constitution vests the President with the authority to prevent the disclosure of such highly sensitive information in order to discharge his responsibility to protect the national security.  At the same time, congressional committees have legitimate needs to perform vital oversight and other legislative functions with respect to national security and military matters.  Accordingly, it has been the common practice of the executive branch to comply with statutory reporting requirements in a way that satisfies congressional needs pursuant to the traditional accommodation practice and consistent with due regard for the protection from unauthorized disclosure of classified information relating to sensitive intelligence sources and methods or other exceptionally sensitive matters.  I believe the Congress shares this understanding, and my Administration will presume it is incorporated into statutory reporting requirements of the kind at issue in the Act. 同法の多くの条項(例えば、1209(c)、1236(a)、1237、1240、1276(d)、1640(d)、5510(c)、5593(e)、6316、6402条)は、大統領および他の行政府職員に特定の議会委員会への報告書および計画の提出を事実上要求するもので、通常の場合、重要情報源や軍の作戦計画を明らかにし得る情報を含む、極めて機密性の高い機密情報を含むことになる。  憲法は、国家安全保障を守る責任を果たすため、大統領にこのような機密性の高い情報の開示を防ぐ権限を与えている。  同時に、議会の委員会には、国家安全保障と軍事問題に関して重要な監督とその他の立法機能を果たす正当なニーズがある。  したがって、伝統的な慣行に従って議会のニーズを満たし、機密情報源や方法、あるいはその他の例外的な機密事項に関する機密情報の不正な開示からの保護に十分配慮した上で、法定報告要件を遵守することが行政府の一般慣行となってきた。  私は、議会がこの理解を共有していると考えており、私の政権は、本法で問題になっている種類の法定報告要件にこの理解が盛り込まれていると推定している。
Moreover, section 6316 of the Act purports to require the President, acting through the Director of National Intelligence, to submit to certain congressional intelligence committees (and appropriations subcommittees) all Presidential Executive Orders, memoranda, and policy directives that “contain[] a direction to, establish[] a requirement for, or include[] a restriction on any element of the intelligence community.”  My Administration is fully committed to continuing to fulfill its statutory obligations to keep the intelligence committees “fully and currently informed of the intelligence activities of the United States,” 50 U.S.C. 3091, and to provide those committees requested information, 50 U.S.C. 3092(a)(2); see also 50 U.S.C. 3093(b).  However, the documents that section 6316 of the Act would require the President to share would often contain Presidential communications, the confidentiality of which “is fundamental to the operation of Government and inextricably rooted in the separation of powers under the Constitution.”  United States v. Nixon.  Because my Administration’s commitment to keeping the intelligence committees fully and currently informed provides the Congress with the comprehensive and detailed information it needs to oversee the activities of the Intelligence Community, there is no constitutional justification for the additional intrusion section 6316 of the Act would require into confidential and sensitive Presidential communications.  Accordingly, section 6316 of the Act is unconstitutional to the extent it imposes requirements for access to those communications beyond those already present under existing law.  I will commit to complying with its disclosure requirements only in such cases where a committee has a need for such Presidential communications that outweighs the potential harm to the confidentiality interests underlying the Presidential communications privilege. さらに、同法第6316条は、大統領が国家情報長官を通じて、「情報機関のあらゆる要素に対する指示を含む、必要条件を定める、あるいは制限を含む」大統領令、覚書、政策指令のすべてを議会の情報委員会(および予算小委員会)に提出するよう求めている。  私の政権は、情報委員会に「米国の情報活動について完全かつ最新の情報を提供する」(合衆国法典第50編第3091条)法的義務を引き続き果たし、委員会が要求する情報を提供する(合衆国法典第50編第3092条(a)(2)、同第3093条(b)参照)ことに全力を注いでいる。  しかし、本法第6316条が大統領に共有することを要求する文書は、しばしば大統領の通信を含み、その機密性は「政府の運営の基本であり、憲法上の権力分立に密接に根ざしている」のである。  合衆国対ニクソン裁判  情報委員会に完全かつ最新の情報を提供し続けるという私の政権の取り組みは、情報機関の活動を監督するために必要な包括的で詳細な情報を議会に提供するものであり、本法第6316条が求める大統領の機密通信への追加的侵入を正当化する憲法上の根拠はない。  したがって、本法第6316条は、現行法のもとですでに存在するものを超えて、これらの通信へのアクセスに要件を課す限り、違憲である。  私は、委員会が、大統領通信の秘匿特権に基づく機密保持の利益に対する潜在的な害悪を上回る、そうした大統領通信の必要性がある場合にのみ、その開示要件に従うことを約束する。
A number of provisions of the Act may, in certain circumstances, interfere with the exercise of my constitutional authority to articulate the positions of the United States in international negotiations or fora (e.g., sections 1260(a), 1508(a), 1658(a), 5518(d), 5573(b), 5701, and 11338(b)).  I recognize that “[i]t is not for the President alone to determine the whole content of the Nation’s foreign policy” (Zivotofsky v. Kerry) and will make every effort to take action consistent with these directives.  Indeed, I support many of the objectives in these provisions.  Nevertheless, I will not treat them as limiting my constitutional discretion to articulate the views of the United States before international organizations and with foreign governments. 本法の多くの条項は、特定の状況下では、国際交渉やフォーラムにおいて米国の立場を明確にする私の憲法上の権限の行使を妨げる可能性がある(1260(a)、1508(a)、1658(a)、5518(d)、5573(b)、5701、11338(b)項など)。  私は、「国家の外交政策の内容全体を決定するのは大統領一人のためではない」(ジヴォトフスキー対ケリー)ことを認識しており、これらの指令に沿った行動を取るためにあらゆる努力をするつもりである。  実際、私はこれらの条項の目的の多くを支持している。  とはいえ、私は、国際機関や外国政府に対して米国の見解を明確に示すという私の憲法上の裁量を制限するものとして、これらの条項を扱うつもりはない。
Section 9303(b)(1) of the Act provides that the Secretary of State “should” establish or upgrade certain diplomatic facilities in foreign nations.  Although section 9303(b)(3) of the Act later refers to these provisions as “requirements,” I do not read section 9303(b) of the Act to mandate the specified actions. 同法第9303条(b)(1)は、国務長官が外国に特定の外交施設を設置または改善する「べき」であると定めている。  同法第9303条(b)(3)は後にこれらの条項を「要件」と呼んでいるが、私は同法第9303条(b)が特定の行動を義務付けているとは読んでいない。
Section 7201 of the Act requires Presidential designees to enter into information-sharing agreements with certain congressional officers “for timely sharing of tactical and operational cybersecurity threat and security vulnerability information and planned or ongoing counterintelligence operations or targeted collection efforts with the legislative branch.”  The congressional findings in section 7201 of the Act make clear that the information-sharing in question is designed to ensure that the Congress has information concerning cybersecurity and counterintelligence threats to the Congress itself.  I therefore construe the requirements of section 7201 of the Act to be limited to information-sharing related to such cybersecurity and counterintelligence threats to the legislative branch. 同法第7201条は、大統領の被指名者が「戦術的・作戦的なサイバーセキュリティの脅威とセキュリティの脆弱性情報、計画中または進行中の防諜活動または標的型収集活動を立法府と適時に共有するために」特定の議会役員との情報共有協定を締結することを要求している。  同法第7201条の議会所見は、問題の情報共有が、議会が議会自身に対するサイバーセキュリティと防諜の脅威に関する情報を確実に入手できるようにするためのものであることを明確にしている。  したがって、私は、本法のセクション7201の要件は、立法府に対するサイバーセキュリティと防諜の脅威に関する情報共有に限定されると解釈している。
JOSEPH R. BIDEN JR. ジョセフ・R・バイデン・ジュニア

 

 

法律。。。

Congress

・[TXT] Text for H.R.7776 - 117th Congress (2021-2022): James M. Inhofe National Defense Authorization Act for Fiscal Year 2023.

 

・[XML]

Text for H.R.7776 - 117th Congress (2021-2022): James M. Inhofe National Defense Authorization Act for Fiscal Year 2023.



全体構成...

(1) Division A--Department of Defense Authorizations. (1) ディビションA:国防総省の認可
(2) Division B--Military Construction Authorizations. (2) ディビジョンB:軍事建設認可
(3) Division C--Department of Energy National Security Authorizations and Other Authorizations. (3) ディビジョンC:エネルギー省の国家安全保障認可とその他の認可
(4) Division D--Funding Tables. (4) ディビジョンD:資金表
(5) Division E--Non-Department of Defense Matters. (5) ディビジョンE:国防総省以外の事条
(6) Division F--Intelligence Authorization Act for Fiscal Year 2023 (6) ディビジョンF:2023年会計年度インテリジェンス認可法
(7) Division G--Homeland Security. (7) ディビジョンG:国土安全保障
(8) Division H--Water Resources. (8) ディビジョンH:水資源
(9) Division I--Department of State Authorizations. (9) ディビジョンI:国務省の認可
(10) Division J--Oceans and Atmosphere. (10) ディビジョンJ:海洋と大気
(11) Division K--Don Young Coast Guard Authorization Act of 2022 (11) ディビジョンK:ドン・ヤング沿岸警備隊認可法

 

 

Cyberで検索すると935件Hitしました...

気になるようなところは、次のあたりですかね。。。

気になるのは、

 

DIVISION A—DEPARTMENT OF DEFENSE AUTHORIZATIONS ディビジョンA:国防総省の認可
TITLE XV—CYBER AND INFORMATION OPERATIONS MATTERS タイトルXV:サイバーと情報操作の問題
Subtitle A—Cyber Matters サブタイトルA:サイバーに関する事条
Sec. 1501. Improvements to Principal Cyber Advisors. 第1501条 プリンシパル・サイバー・アドバイザーの改善
Sec. 1502. Annual reports on support by military departments for United States Cyber Command. 第1502条 米国サイバー軍に対する軍部からの支援に関する年次報告書
Sec. 1503. Modification of office of primary responsibility for strategic cybersecurity program. 第1503条 戦略的サイバーセキュリティプログラムの主要な責任者のオフィスの変更。
Sec. 1504. Tailored cyberspace operations organizations. 第1504条 カスタマイズされたサイバースペースオペレーション組織
Sec. 1505. Establishment of support center for consortium of universities that advise Secretary of Defense on cybersecurity matters. 第1505条 国防長官にサイバーセキュリティに関する助言を行う大学コンソーシアムのサポートセンター設立
Sec. 1506. Alignment of Department of Defense cyber international strategy with National Defense Strategy and Department of Defense Cyber Strategy. 第1506条 国防省のサイバー国際戦略を国家防衛戦略及び国防省のサイバー戦略と整合させる。
Sec. 1507. Enhancement of cyberspace training and security cooperation. 第1507条 サイバースペース訓練と安全保障協力の強化
Sec. 1508. Military Cybersecurity Cooperation with Hashemite Kingdom of Jordan. 第1508条 ヨルダン・ハシミテ王国との軍事的サイバーセキュリティ協力。
Sec. 1509. Management and oversight of Joint Cyber Warfighting Architecture. 第1509条 統合サイバー戦闘アーキテクチャの管理・監督
Sec. 1510. Integrated non-kinetic force development. 第1510条 統合された非機動戦力の開発
Sec. 1511. Protection of critical infrastructure. 第1511条 重要インフラの保護
Sec. 1512. Budget display for cryptographic modernization activities for certain systems of the Department of Defense. 第1512条 国防総省の特定のシステムに対する暗号近代化活動のための予算表示。
Sec. 1513. Establishing projects for data management, artificial intelligence, and digital solutions. 第1513条 データ管理、人工知能、デジタルソリューションのプロジェクトを設立する。
Sec. 1514. Operational testing for commercial cybersecurity capabilities.  第1514条 商業的なサイバーセキュリティ能力の運用テスト。
Subtitle B—Information Operations サブタイトルB:情報操作
Sec. 1521. Requirement to notify Chief of Mission of military operation in the information environment. 第1521条 情報環境における軍事作戦の最高司令官への通知要件
Sec. 1522. Assessment and optimization of Department of Defense information and influence operations conducted through cyberspace. 第1522条 サイバースペースを通じて行われる国防総省の情報・影響力作戦の評価と最適化
Sec. 1523. Joint information operations course. 第1523条 合同情報作戦コース
Sec. 1524. Limitation on availability of certain funds until submission of joint lexicon for terms related to information operations. 第1524条 情報活動に関する用語の統合辞書が提出されるまでの間、特定の資金の利用を制限する。
Sec. 1525. Limitation on availability of funds pending submittal of information operations strategy and posture review. 第1525条 情報活動戦略・態勢検討書の提出までの間、資金の利用を制限する。
Sec. 1526. Limitation on availability of certain funds until submission of assessments relating to cybersecurity of the defense industrial base.  第1526条 防衛産業基盤のサイバーセキュリティに関する評価を提出するまで、特定の資金の利用を制限する。
Subtitle C—Personnel サブタイトルC:人事
Sec. 1531. Cyber operations-peculiar awards. 第1531条 サイバー作戦-特別賞
Sec. 1532. Establishment of Cyber Operations Designator and rating for the Navy. 第1532条 海軍のサイバー作戦呼称と格付けの確立
Sec. 1533. Total force generation for the Cyberspace Operations Forces. 第1533条 サイバー空間作戦部隊の総戦力化
Sec. 1534. Correcting cyber mission force readiness shortfalls. 第1534条 サイバー作戦部隊の準備不足の是正
Sec. 1535. Department of Defense Cyber and Digital Service Academy. 第1535条 国防総省のサイバー・デジタル・サービス・アカデミー
Sec. 1536. Report on recommendations from Navy Civilian Career Path study. 第1536条 海軍の民間人キャリアパス研究からの提言に関する報告書
Sec. 1537. Study to determine optimal strategy for structuring and manning elements of Joint Force Headquarters–Cyber Organizations, Joint Mission Operations Centers, and Cyber Operations-Integrated Planning Elements. 第1537条 統合軍本部・サイバー組織、統合任務作戦センター、サイバー作戦統合計画要素の構造・人員配置に関する最適戦略を決定するための調査。
Sec. 1538. Manning review of Space Force cyber squadrons. 第1538 条 宇宙軍サイバー飛行隊の人員配置の検討
Sec. 1539. Independent review of posture and staffing levels of Office of the Chief Information Officer. 第1539条 最高情報責任者(Office of the Chief Information Officer) の態勢と人員レベルに関する独立したレビュー
Sec. 1540. Independent assessment of Civilian Cybersecurity Reserve for Department of Defense. 第1540条 国防総省の民間サイバーセキュリティ予備軍の独立評価
Sec. 1541. Comprehensive review of Cyber Excepted Service.  第1541条 サイバーエクセプテッドサービス(Cyber Excepted Service) の包括的レビュー
Subtitle D—Reports And Other Matters サブタイトルD:報告書とその他の事条
Sec. 1551. Pilot program for sharing cyber capabilities and related information with foreign operational partners. 第1551条 外国の作戦パートナーとサイバー能力および関連情報を共有するための試験的プログラム
Sec. 1552. Demonstration program for cyber and information technology budget data analytics. 第1552条 サイバーと情報技術の予算データ解析のための実証プログラム
Sec. 1553. Plan for commercial cloud test and evaluation. 第1553条 商用クラウドのテストと評価のための計画
Sec. 1554. Roadmap and implementation plan for cyber adoption of artificial intelligence. 第1554条 人工知能をサイバーに導入するためのロードマップと実施計画
Sec. 1555. Review of Department of Defense implementation of recommendations from Defense Science Board cyber report. 第1555条 国防科学委員会のサイバー報告書からの提言に対する国防総省の実施状況のレビュー。
Sec. 1556. Annual briefing on relationship between National Security Agency and United States Cyber Command. 第1556条 国家安全保障局と米国サイバー軍との関係についての年次報告会
Sec. 1557. Review of definitions associated with Cyberspace Operations Forces. 第1557条 サイバースペース作戦部隊に関連する定義の見直し
Sec. 1558. Annual assessments and reports on assignment of certain budget control responsibility to Commander of United States Cyber Command. 第1558条 米国サイバー軍司令官への特定の予算管理責任の付与に関する年次評価と報告。
Sec. 1559. Assessments of weapons systems vulnerabilities to radio-frequency enabled cyber attacks. 第1559条 高周波を利用したサイバー攻撃に対する兵器システムの脆弱性の評価
Sec. 1560. Briefing on Department of Defense plan to deter and counter adversaries in the information environment. 第1560条 情報環境における敵対者を抑止し対抗するための国防総省の計画に関するブリーフィング。
   
DIVISION F—INTELLIGENCE AUTHORIZATION ACT FOR FISCAL YEAR 2023 ディビジョンF:2023会計年度インテリジェンス認可法
TITLE LXIII—GENERAL INTELLIGENCE COMMUNITY MATTERS タイトルLXIII:情報機関に関する一般的事条
Sec. 6301. Modification of requirements for certain employment activities by former intelligence officers and employees. 第6301条 元情報将校・職員による特定の雇用活動に関する要件の修正
Sec. 6302. Counterintelligence and national security protections for intelligence community grant funding. 第6302条 情報コミュニティの助成金に関する防諜および国家安全保障の保護
Sec. 6303. Extension of Central Intelligence Agency law enforcement jurisdiction to facilities of Office of Director of National Intelligence. 第6303条 国家情報長官室の施設に対する中央情報局の法執行の管轄権の拡大
Sec. 6304. Annual reports on status of recommendations of Comptroller General of the United States for the Director of National Intelligence. 第6304条 国家情報長官に対する米国会計検査院の勧告の状況について年次報告を行う。
Sec. 6305. Timely submission of classified intelligence budget justification materials. 第6305条 機密情報予算正当化資料の適時提出
Sec. 6306. Copyright protection for civilian faculty of the National Intelligence University. 第6306条 国家情報大学(National Intelligence University) の文民教員の著作権保護
Sec. 6307. Modifications to Foreign Malign Influence Response Center. 第6307条 対外悪意ある影響への対応センター(Foreign Malign Influence Response Center) の修正
Sec. 6308. Requirement to offer cyber protection support for personnel of intelligence community in positions highly vulnerable to cyber attack. 第6308条 サイバー攻撃に非常に弱い立場にある情報機関の職員に対して、サイバー保護支援を提供するための要件
Sec. 6309. Enforcement of cybersecurity requirements for national security systems. 第6309条 国家安全保障システムに対するサイバーセキュリティ要求の実施
Sec. 6310. Review and briefing on intelligence community activities under Executive Order 12333. 第6310条 大統領令12333に基づく情報機関の活動に関するレビューとブリーフィング。
Sec. 6311. Assessing intelligence community open-source support for export controls and foreign investment screening. 第6311条 輸出規制と外国投資の審査に関する情報機関のオープンソースサポートの評価。
Sec. 6312. Annual training requirement and report regarding analytic standards. 第6312条 分析基準に関する年次研修の要求と報告
Sec. 6313. Review of Joint Intelligence Community Council. 第6313条 情報コミュニティ合同委員会の見直し
Sec. 6314. Required policy for minimum insider threat standards. 第6314条 インサイダー脅威の最小限の基準に関する要求方針
Sec. 6315. Unfunded priorities of the intelligence community. 第6315条 情報コミュニティにおける未予算の優先事条
Sec. 6316. Submission of covered documents and classified annexes. 第6316条 対象文書と機密付属文書の提出。
Sec. 6317. Improvements to program on recruitment and training. 第6317条 採用・訓練に関するプログラムの改善
Sec. 6318. Measures to mitigate counterintelligence threats from proliferation and use of foreign commercial spyware. 第6318条 外国製商用スパイウェアの拡散と使用による防諜上の脅威を軽減するための措置。
Sec. 6319. Personnel vetting performance measures. 第6319条 人材精査のパフォーマンス測定
Sec. 6320. Proactive cybersecurity. 第6320条 プロアクティブ・サイバーセキュリティ
   
DIVISION G—HOMELAND SECURITY ディビジョンG:国土安全保障
TITLE LXXI—HOMELAND SECURITY MATTERS タイトルLXXI:国土安全保障問題
Subtitle C—Enhancing Cybersecurity Training And Operations サブタイトルC:サイバーセキュリティの訓練と運用の強化
Sec. 7121. President’s Cup Cybersecurity Competition. 第7121条 大統領杯サイバーセキュリティ・コンペティション
Sec. 7122. Industrial control systems cybersecurity training. 第7122条 産業制御システムサイバーセキュリティ訓練
Sec. 7123. National Computer Forensics Institute reauthorization. 第7123条 国立コンピュータ科学捜査研究所(National Computer Forensics Institute) の再認可
Sec. 7124. Report on cybersecurity roles and responsibilities of the Department of Homeland Security. 第7124条 国土安全保障省のサイバーセキュリティの役割と責任に関する報告書
TITLE LXXII—GOVERNMENTAL AFFAIRS タイトルLXXII:政府関係
Subtitle A—Intragovernmental Cybersecurity Information Sharing Act サブタイトルA:政府内サイバーセキュリティ情報共有法
Sec. 7201. Requirement for information sharing agreements. 第7201条 情報共有協定の要件
Subtitle A—Improving Government For America's Taxpayers サブタイトルA:アメリカの納税者のための政府改善法
Sec. 7211. Government Accountability Office unimplemented priority recommendations. 第7211条 政府説明責任局の未実施の優先的勧告。
Subtitle B—Advancing American AI Act サブタイトルB:Advancing American AI Act(米国AI進歩法
Sec. 7221. Short title. 第7221条 略称
Sec. 7222. Purposes. 第7222条 目的
Sec. 7223. Definitions. 第7223条 定義
Sec. 7224. Principles and policies for use of artificial intelligence in Government. 第7224条 政府における人工知能の使用に関する原則と方針
Sec. 7225. Agency inventories and artificial intelligence use cases. 第7225条 省庁のインベントリおよび人工知能の使用事例
Sec. 7226. Rapid pilot, deployment and scale of applied artificial intelligence capabilities to demonstrate modernization activities related to use cases. 第7226条 ユースケースに関連する近代化活動を実証するための、応用人工知能能力の迅速な試験、展開、規模拡大。
Sec. 7227. Enabling entrepreneurs and agency missions. 第7227条 起業家および省庁のミッションを可能にする。
Sec. 7228. Intelligence community exception. 第7228条 インテリジェンス・コミュニティの例外
   
DIVISION I—DEPARTMENT OF STATE AUTHORIZATIONS ディビジョンI:国務省の認可
TITLE XCV—INFORMATION SECURITY AND CYBER DIPLOMACY タイトルXCV:情報セキュリティとサイバー外交
Sec. 9501. United States international cyberspace policy. 第9501条 米国の国際サイバースペース政策
Sec. 9502. Bureau of Cyberspace and Digital Policy. 第9502条 サイバースペース・デジタル政策局(Bureau of Cyberspace and Digital Policy) 。
Sec. 9503. International cyberspace and digital policy strategy. 第9503条 国際的なサイバースペースとデジタル政策戦略
Sec. 9504. Government Accountability Office report on cyber diplomacy. 第9504条 サイバー外交に関する政府説明責任局の報告書
Sec. 9505. Report on diplomatic programs to detect and respond to cyber threats against allies and partners. 第9505条 同盟国やパートナーに対するサイバー脅威を検知し対応するための外交プログラムに関する報告書。
Sec. 9506. Cybersecurity recruitment and retention. 第9506条 サイバーセキュリティの人材確保と維持
Sec. 9507. Short course on emerging technologies for senior officials. 第9507条 高官を対象とした新技術に関する短期コース
Sec. 9508. Establishment and expansion of Regional Technology Officer Program. 第9508条 地域技術担当者プログラムの設立と拡大
Sec. 9509. Vulnerability disclosure policy and bug bounty program report. 第9509条 脆弱性開示政策とバグバウンティプログラム報告書
   
DIVISION K—DON YOUNG COAST GUARD AUTHORIZATION ACT OF 2022 ディビジョンK:2022年ドン・ヤング沿岸警備隊認可法
TITLE CXI—AUTHORIZATIONS タイトルCXI:認可
Subtitle D—Maritime Cyber And Artificial Intelligence サブタイトルD:海事サイバーと人工知能
Sec. 11224. Enhancing maritime cybersecurity. 第11224条 海上のサイバーセキュリティを強化する。
Sec. 11225. Establishment of unmanned system program and autonomous control and computer vision technology project. 第11225条 無人システムプログラム及び自律制御・コンピュータビジョン技術プロジェクトの設立
Sec. 11226. Artificial intelligence strategy. 第11226条 人工知能戦略
Sec. 11227. Review of artificial intelligence applications and establishment of performance metrics. 第11227条 人工知能アプリケーションのレビューとパフォーマンスメトリクスの確立
Sec. 11228. Cyber data management. 第11228条 サイバーデータ管理
Sec. 11229. Data management. 第11229条 データ管理
Sec. 11230. Study on cyber threats to United States marine transportation system. 第11230条 米国海上輸送システムに対するサイバー脅威に関する研究

 

 

| | Comments (0)

防衛省 防衛研究所 認知戦への対応における『歴史の教訓』研究の可能性

こんにちは、丸山満彦です。

防衛省防衛研究所が「認知戦への対応における『歴史の教訓』研究の可能性」を公表していますね。。。

ウクライナ戦でも認知戦が行われたという話もありますが、より重要なのは、米国の大統領選への干渉など、長期的な認知戦の方ですね。。。

基礎的な知識ということで。。。

 

防衛省 防衛研究所

・2022.12.22 [PDF] 認知戦への対応における『歴史の教訓』研究の可能性 

20221224-03516

 

 

| | Comments (0)

2022.12.24

JNSA 2022セキュリティ十大ニュース

こんにちは、丸山満彦です。

日本ネットワークセキュリティ協会が2022年 セキュリティ十大ニュースを発表していますね。

 

● 日本ネットワークセキュリティ協会 (JNSA)

・2022.12.23 JNSA 2022セキュリティ十大ニュース~セキュリティニュースの二極化は何を示唆するのか~

# Date タイトル サブタイトル
1 2022.02.24 ロシアがウクライナへ軍事侵攻 国家間の戦争においてサイバー攻撃はどう位置付けられるのか?
2 2022.03.01 取引先企業へのサイバー攻撃でトヨタ自動車の国内全工場が稼働停止 改めて浮き彫りになったサプライチェーン全体でのセキュリティ対策の重要性
3 2022.06.23 全市民46万人余の個人情報入ったUSBを紛失 尼崎市が発表 情報に 対する思いの サイイタク(差異痛く/再委託)
4 2022.07.02 KDDI大規模通信障害 丸2日間 119番通報を含む生活インフラに過去最大級の障害
5 2022.10.31 大阪急性期・総合医療センターでランサム被害 人質は電子カルテ、外来診療や手術の停止など深刻な影響
6 2022.05.18 経済安全保障推進法公布 国民生活や国家の安全確保の一端をサイバーセキュリティが担う時代が到来
7 2022.11.04 休眠から再び戻ってきたEmotetが活動再開、猛威は続く 活動開始から8年、進化を続けるEmotetに終焉は来るのか
8 2022.04.01 改正個人情報保護法施行 迅速な法整備とそれに足並みを揃えた社会への展開が課題
9 2022.09.01 デジタル庁発足1週年、期待と実績、改革は道半ば 全員参加で大胆な改革を!
10 2022.07.11 米国政府はLog4jの脆弱性に前例のない警鐘を鳴らした 既に侵入されている? 動き出した攻撃者に対策は間に合うのか
2022.11.01 SMAP-LIU運用開始 Low-ImpactはHigh-Impactになるか、その影響力に期待

 

 

ちなみに、昨年は,,,

# Date タイトル サブタイトル
1 2021.05.07 ランサムウェアの被害広範囲に、影響は一般市民にも ランサムウェア攻撃の脅威を思い知らされた1年
2 2021.03.17 LINEデータ管理の不備が指摘される にわかに盛り上がる経済安全保障の論議
3 2021.01.27 EMOTETテイクダウンの朗報、しかし再燃の動きも 国際間協力により完全破壊するも11月には復活
4 2021.05.26 ProjectWEBへの不正アクセスで官公庁等の情報が流出 今後のITサプライチェーンの課題は?
5 2021.11.26 みずほ銀行のシステム障害多発に金融庁が業務改善命令 日本企業の経営層に求められるITに対する理解
6 2021.01.29 Salesforce設定ミスによる情報流出にNISCが注意喚起 クラウド・バイ・デフォルト時代における新たな責任の自覚
7 2021.10.21 NTTと東京オリパラ大会組織委員会、サイバーセキュリティ対策を報告 懸念されたサイバー攻撃を防御し、東京オリパラは無事終了
8 2021.01.12 ソフトバンク元社員を不正競争防止法違反で逮捕 社員による会社情報持ち出しの抑止力となるか?
9 2021.07.28 「戦争の原因になり得る」とサイバー攻撃に強い危機感 対岸は存在しないサイバー空間の攻防
10 2021.09.28 VPN狙い撃ちの被害続く中、米政府堅牢化のガイダンスを公開 攻撃は境界型防衛への最後通告か

 

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2021.12.24 JNSA 2021セキュリティ十大ニュース

・2020.12.26 JNSAの2020年セキュリティ十大ニュース

・2009.12.29 JNSA 2009セキュリティ十大ニュース発表

 

 

| | Comments (0)

NIST ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティ(改訂1版)

こんにちは、丸山満彦です。

NISTが、ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティ(改訂1版)を公表していますね。。。

NIST - ITL

・2022.12.22 White Paper [Project Description] Responding to and Recovering from a Cyber Attack: Cybersecurity for the Manufacturing Sector (Rev. 1)

 

White Paper [Project Description] Responding to and Recovering from a Cyber Attack: Cybersecurity for the Manufacturing Sector (Rev. 1) ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復。製造業のためのサイバーセキュリティ(改訂1版)
Abstract 概要
The Operational Technology (OT) that runs manufacturing environments play a critical role in the supply chain. Manufacturing organizations rely on OT to monitor and control physical processes that produce goods for public consumption. These same systems are facing an increasing number of cyber attacks, presenting a real threat to safety and production, and economic impact to a manufacturing organization. Though defense-in-depth security architecture helps to mitigate cyber risks, it cannot guarantee elimination of all cyber risks; therefore, manufacturing organizations should also have a plan to recover and restore operations should a cyber incident impact operations. The goal of this project is to demonstrate means to recover equipment from a cyber incident and restore operations. The NCCoE, part of NIST’s Information Technology Laboratory, in conjunction with the NIST Communications Technology Laboratory (CTL) and industry collaborators, will demonstrate an approach for responding to and recovering from an OT attack within the manufacturing sector by leveraging the following cybersecurity capabilities: event reporting, log review, event analysis, and incident handling and response. The NCCoE will map the security characteristics to the NIST Cybersecurity Framework and NIST Special Publication 800-53, Security and Privacy Controls for Federal Information Systems and Organizations and will provide commercial off the shelf (COTS) based modular security controls for manufacturers. NCCoE will implement each of the listed capabilities in a discrete-based manufacturing work-cell that emulates a typical manufacturing process. This project will result in a freely available NIST Cybersecurity Practice Guide. 製造環境を動かす運用技術(OT)は、サプライチェーンにおいて重要な役割を担っている。製造業は、一般消費者向けの製品を生産する物理プロセスの監視と制御にOTを利用している。これらのシステムは、増加するサイバー攻撃に直面しており、安全性、生産性、そして製造業への経済的影響に対する真の脅威となっている。深層防護のセキュリティ構造はサイバーリスクを軽減するのに役立ちますが、すべてのサイバーリスクを排除することを保証するものではない。このプロジェクトの目的は、サイバーインシデントから機器を復旧し、オペレーションを回復する手段を実証することである。NISTの情報技術研究所に属するNCCoEは、NIST通信技術研究所(CTL)および業界の協力者とともに、イベントレポート、ログレビュー、イベント分析、インシデント処理および対応というサイバーセキュリティ機能を活用して、製造業におけるOT攻撃への対応と回復のためのアプローチを実証する予定である。NCCoEは、セキュリティ特性をNISTサイバーセキュリティフレームワークとNIST Special Publication 800-53「連邦情報システムおよび組織のためのセキュリティおよびプライバシー制御」にマッピングし、製造業者向けに商用オフザシェルフ(COTS)ベースのモジュール式セキュリティ制御を提供する。NCCoEは、典型的な製造プロセスをエミュレートするディスクリートベースの製造ワークセルに、記載された各機能を実装する。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定である。

 

・[PDF] Project Description


20221224-11145

 

目次...

 

1 Executive Summary 1 エグゼクティブサマリー
Purpose 目的
Scope 範囲
Assumptions 前提条件
Challenges 課題
Background 背景
2 Cybersecurity Capabilities to be Demonstrated 2 実証されるべきサイバーセキュリティ能力
Event Reporting イベントレポート
Log Review ログレビュー
Event Analysis イベント分析
Incident Handling and Response インシデントハンドリングとレスポンス
Eradication and Recovery 撲滅と復旧
3 Cyber Attack Scenarios 3 サイバー攻撃シナリオ
Scenario 1 - Unauthorized Command Message シナリオ1 - 無許可のコマンドメッセージ
Scenario 2 – Modification of Process or Controller Parameters シナリオ2 - プロセスまたはコントローラパラメータの変更
Scenario 3 – Compromise Human Machine Interface (HMI) or Operator Console シナリオ3 - ヒューマンマシンインターフェース(HMI)またはオペレーターコンソールの侵害
Scenario 4 – Data Historian Compromise シナリオ4 - データヒストリアの侵害
Scenario 5 – Unauthorized Device Detected シナリオ5 - 未承認のデバイスが検出された場合
Scenario 6 – Unauthorized Connection Detected シナリオ6 - 未承認接続の検出
4 Architecture and Capabilities of Lab Environment 4 ラボ環境のアーキテクチャと機能
Testbed Architecture テストベッドアーキテクチャ
Manufacturing Process 製造プロセス
Key Control System Components キーコントロールシステムコンポーネント
5 Solution Capabilities and Components 5 ソリューション機能とコンポーネント
6 Relevant Standards and Guidance 6 関連する規格とガイダンス
7 Security Control Map 7 セキュリティコントロールマップ



エグゼクティブサマリー...

1      EXECUTIVE SUMMARY  1 エグゼクティブサマリー 
Purpose  目的 
This document defines a National Cybersecurity Center of Excellence (NCCoE) project focused on responding to and recovering from a cyber incident within an Operational Technology (OT) environment. Manufacturing organizations rely on OT to monitor and control physical processes that produce goods for public consumption. These same systems are facing an increasing number of cyber incidents resulting in a loss of production from destructive malware, malicious insider activity, or honest mistakes. This creates the imperative for organizations to be able to quickly, safely, and accurately recover from an event that corrupts or destroys data (e.g., database records, system files, configurations, user files, application code).  この文書は、運用技術(OT)環境内でのサイバーインシデントへの対応と復旧に焦点を当てた、全米サイバーセキュリティセンターオブエクセレンス(NCCoE)プロジェクトを定義している。製造業は、一般消費者向けの製品を生産する物理的なプロセスを監視・制御するために、OTに依存している。これらのシステムは、破壊的なマルウェア、悪意のあるインサイダーの活動、または単純なミスによって生産が失われる、ますます多くのサイバーインシデントにさらされている。このため、データ(データベース記録、システムファイル、設定、ユーザーファイル、アプリケーションコードなど)を破損または破壊する事象から、迅速、安全、かつ正確に復旧することが組織にとって不可欠となっている。
The purpose of this NCCoE project is to demonstrate how to operationalize the NIST Framework for Improving Critical Infrastructure Cybersecurity (NIST Cybersecurity Framework) Functions and Categories. Multiple systems need to work together to recover equipment and restore operations when data integrity is compromised. This project explores methods to effectively restore corrupted data in applications and software configurations as well as custom applications and data. The NCCoE—in collaboration with members of the business community and vendors of cybersecurity solutions—will identify standards-based, commercially available, and open-source hardware and software components to design a manufacturing lab environment to address the challenge of responding to and recovering from a cyber incident in an OT environment.    このNCCoEプロジェクトの目的は、NIST Framework for Improving Critical Infrastructure Cybersecurity (NIST Cybersecurity Framework) Functions and Categoriesをどのように運用するかを実証することである。データの完全性が損なわれた場合、複数のシステムが連携して機器を回復し、業務を復旧させる必要がある。このプロジェクトでは、アプリケーションとソフトウェア構成、およびカスタムアプリケーションとデータの破損したデータを効果的に復元する方法を探る。NCCoEは、ビジネス・コミュニティのメンバーやサイバーセキュリティ・ソリューションのベンダーと協力して、標準規格に準拠した、市販の、そしてオープンソースのハードウェアとソフトウェアのコンポーネントを特定し、OT環境におけるサイバーインシデントへの対応と回復という課題に取り組む製造ラボ環境を設計する。  
This project will result in a publicly available NIST Cybersecurity Practice Guide, a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses this challenge.  このプロジェクトは、この課題に対処するサイバーセキュリティ参照設計を実装するために必要な実用的な手順の詳細な実装ガイドである、一般に利用可能なNISTサイバーセキュリティ実践ガイドを作成することになる。
Scope  範囲 
This project will demonstrate how to respond to and recover from a cyber incident within an OT environment. Once a cybersecurity event is detected, typically the following tasks take place before the event is satisfactorily resolved:  このプロジェクトは、OT環境におけるサイバーインシデントへの対応と復旧の方法を実証するものである。サイバーセキュリティイベントが検出されると、そのイベントが満足に解決されるまで、通常、以下の作業が行われる。
1.     Event reporting  1.     イベントの報告 
2.     Log review  2.     ログの確認 
3.     Event analysis  3.     イベント分析 
4.     Incident handling and response  4.     インシデント処理と対応 
5.     Eradication and Recovery  5.     根絶と回復 
NIST Cybersecurity Framework (CSF) Respond and Recover functions and categories are used to guide this project. The objective of the NIST Cybersecurity Framework Respond function is to develop and implement the appropriate activities to take action regarding a detected cybersecurity event. The objective of the Recover function is to develop and implement the appropriate activities to maintain plans for resilience and to restore any capabilities or services that were impaired due to a cybersecurity event.   NIST Cybersecurity Framework (CSF) の Respond と Recover の機能とカテゴリがこのプロジェクトのガイドとして使用されている。NIST サイバーセキュリティフレームワークの Respond 機能の目的は、検出されたサイバーセキュリティイベントに関して行動を起こすための適切な活動を策定し、実施することである。回復機能の目的は、レジリエンスのための計画を維持し、サイバーセキュリティイベントによって損なわれた能力やサービスを回復するための適切な活動を開発し、実施することである。 
Out of scope for this project are systems such as enterprise resource planning (ERP), manufacturing resource planning (MRP), and manufacturing execution systems (MES) that operate on traditional information technology (IT) infrastructures that run on Windows or Linux operating systems. These IT systems have well documented recovery tools available, including those documented in NIST Cybersecurity Practice Guide SP 1800-11, Data Integrity: Recovering from Ransomware and Other Destructive Events.   このプロジェクトの対象外は、エンタープライズリソースプランニング(ERP)、製造リソースプランニング(MRP)、製造実行システム(MES)など、WindowsやLinuxオペレーティングシステムで動作する従来の情報技術(IT)インフラ上で動作するシステムである。これらのITシステムには、NIST Cybersecurity Practice Guide SP 1800-11「Data Integrity」に記載されているものを含め、よく知られたリカバリーツールが用意されている。「ランサムウェアやその他の破壊的なイベントからの復旧」に記載されているものを含む、十分な復旧ツールが用意されている。 
Assumptions  前提条件 
This project assumes that the cyber incident is discovered after some impact has occurred or  prior to impact occurring. A cyber incident can be caused by a variety of factors including but not limited to a well-intentioned insider making a change without proper testing, a malicious insider, or an outside adversary. A comprehensive security architecture should be designed to detect cyber incidents prior to impact including detection of initial access, discovery, and lateral movement. However, a comprehensive defense should also be prepared to restore and recover in the event that a cyber incident is not detected until it is too late. This guide focuses on the hopefully rare event of a cyber incident causing an impact.   このプロジェクトでは、サイバーインシデントは何らかの影響が発生した後、または影響が発生する前に発見されることを想定している。サイバーインシデントは、善意の内部関係者が適切なテストを行わずに変更した場合、悪意のある内部関係者、外部の敵など、さまざまな要因によって引き起こされる可能性がある。包括的なセキュリティ・アーキテクチャは、初期アクセス、発見、横方向の動きの検出など、影響を与える前にサイバーインシデントを検出するように設計されるべきである。しかし、包括的な防御は、サイバーインシデントが手遅れになるまで検出されなかった場合の復旧と回復の準備も必要である。このガイドでは、サイバーインシデントが影響を及ぼすという、できれば稀なケースに焦点を当てます。 
A cyber incident is any compromise to systems or data confidentiality, integrity, or availability.  サイバーインシデントとは、システムやデータの機密性、完全性、可用性に対するあらゆる侵害を指す。
This could be caused by a malicious outsider gaining access and making changes or stealing data. But this could just as easily, and possibly more likely, be caused by someone just doing their job and making a mistake or failing to fully test changes prior to implementation. For this reason, this project addresses cyber incidents generically without concern of what or who caused the incident. However, some scenarios in this project would only happen due to malicious actions and have, therefore, been described as such.   これは、悪意のある部外者がアクセスし、変更を加えたり、データを盗んだりすることによって引き起こされる可能性がある。しかし、誰かが自分の仕事をしていて、ミスをしたり、実施前に変更を完全にテストしなかったりすることによっても、同じように簡単に、そしておそらくもっと高い確率で起こり得ます。このため、このプロジェクトでは、サイバーインシデントを一般的に扱い、何が、誰が、インシデントを引き起こしたかは考慮しないことにしている。しかし、このプロジェクトのいくつかのシナリオは、悪意のある行為によってのみ発生するため、そのように記述されている。 
To make the rest of the document more readable, the term "malicious actor" will be used to encompass everything from a malicious insider, who already has access, to an advanced persistent threat actor, who conducts a long-term targeted campaign against a system. This also includes lower-level outside malicious actors performing attacks such as widespread ransomware campaigns for profit.   この文書の他の部分を読みやすくするため、「悪意のある行為者」という用語は、すでにアクセス権を持つ悪意のある内部関係者から、システムに対して長期的な標的キャンペーンを行う高度持続的脅威行為者までを網羅するために使用されるものとする。また、利益を得るために広範なランサムウェアキャンペーンなどの攻撃を行う、外部の低レベルの悪意のある行為者も含まれる。 
The term "non-malicious actor" will be used to indicate an actor who does not have malicious intent but causes a cyber incident. The cyber incident could be a mistake, a change that has unintended consequences or an untested update that causes disruption to normal operations.   また、悪意はないがサイバーインシデントを引き起こす行為者を「非悪意ある行為者」と呼ぶことにする。サイバーインシデントは、ミス、意図しない結果をもたらす変更、通常業務に支障をきたす未試験のアップデートなどである可能性がある。 
This project assumes:   このプロジェクトは、以下を想定している。 
▪ The lab infrastructure for this project has a relatively small number of robotic and manufacturing process nodes which are representative of a larger manufacturing facility.   このプロジェクトのラボのインフラストラクチャは、大規模な製造施設を代表する比較的少数のロボットと製造プロセスノードを備えている。 
▪ The effectiveness of the example solutions is independent of the scale of the manufacturing environment.  サンプルソリューションの有効性は、製造環境の規模に依存しない。
▪ This project focuses on the Respond and Recover portions of the NIST Cybersecurity Framework. It is assumed that the Identify, Detect, and Protect functions have been implemented to some maturity level, and the following capabilities are operationalized including the necessary technologies:  このプロジェクトは、NISTサイバーセキュリティフレームワークの「対応」と「回復」の部分に焦点を当てる。識別、検知、保護の各機能がある程度の成熟度まで実装され、必要な技術を含め、以下の機能が運用されていることを想定している。
o   Managed and protected physical access to the site  o サイトへの物理的なアクセスの管理と保護 
o Segmentation of OT assets from IT assets o IT 資産から OT 資産の区分け
o   Authentication and authorization mechanisms for accessing OT assets   OT 環境及び OT 資産への完全に管理されたリモートアクセス 
o Fully managed remote access to the OT environment and OT assets o 資産及び脆弱性の管理
o   Asset and vulnerability management  o 資産と脆弱性の管理  
o Continuous monitoring and detection o 継続的な監視と検出
o   IT Network protection measures (such as firewalls, segmentation, intrusion detection, etc.)   o ITネットワークの保護対策(ファイアウォール、セグメンテーション、侵入検知など)  
o   Addressed vulnerabilities associated with the supply chain and vendor access    o サプライチェーンとベンダーアクセスに関連する脆弱性への対応 
o People and processes that support back-up and overall enterprise incident response plans. o バックアップとエンタープライズインシデント対応計画全般をサポートする人材とプロセス。
Challenges  課題 
Implementations that provide recovery solutions and procedures need to acknowledge that restoration procedures that involve the use of backups are designed to restore the system to some previous state, but the "last known good state" may not necessarily be free of vulnerabilities. The following challenges associated with backups are acknowledged:   復旧ソリューションと手順を提供する実装では、バックアップを使用した復旧手順は、システムを以前の状態に戻すように設計されているが、「最後に確認された良好な状態」は、必ずしも脆弱性がないとは限らないことを認識する必要がある。バックアップに関連する次のような課題があることを認識する。 
▪ Vulnerabilities may exist in backup data.  バックアップデータには脆弱性が存在する可能性がある。
▪ Backup data may be compromised while in storage.  バックアップデータに脆弱性が存在する可能性 ・バックアップデータが保管中に危険にさらされる可能性 
▪ Dormant or inactive malware may exist in backup data.  バックアップデータには、休眠状態や非活動状態のマルウェアが存在する可能性がある。
Background  背景 
Manufacturing systems are essential to the nation’s economic security. It is critical for manufacturers to consider how cyber incidents could affect plant operations and the safety of people and property. The NCCoE recognizes this concern and is working with industry through consortia under Cooperative Research and Development Agreements with technology partners from Fortune 500 market leaders to smaller companies specializing in OT security. The aim is to address these challenges by demonstrating practical applications of cybersecurity technologies in a scaled-down version of a manufacturing environment.  製造業のシステムは、国家の経済的安全保障に不可欠である。製造業にとって、サイバーインシデントが工場の操業や人々や財産の安全にどのような影響を及ぼすかを考慮することは非常に重要である。NCCoEはこの懸念を認識しており、フォーチュン500のマーケットリーダーからOTセキュリティに特化した中小企業まで、技術パートナーとの共同研究開発契約に基づくコンソーシアムを通じて、産業界と協力して取り組んでいる。その目的は、製造環境の縮小版でサイバーセキュリティ技術の実用化を実証することで、これらの課題に対処することである。
Considering the current era of Industry 4.0, enterprises are connecting business systems and IT networks to OT networks to improve business agility and operational efficiency. However, recent attacks on OT have shown that malicious actors are pivoting into the OT environment from business systems and IT networks. Most OT systems have been historically isolated from business systems and IT networks, and therefore, were not designed to withstand cyber attacks. The cyber risk mitigation technologies used in IT networks are often not suitable for OT networks because of the real-time and deterministic nature of the OT. These lead to the increasing likelihood that organizations may have to respond or recover from an OT cyber incident. This project will provide guidance to manufacturing organizations for designing mitigations into an OT environment to address cyber incidents.  現在のインダストリー4.0時代を考慮すると、企業はビジネスシステムやITネットワークをOTネットワークに接続し、ビジネスの俊敏性と業務効率を向上させようとしている。しかし、最近のOTに対する攻撃は、悪意のあるアクターが業務システムやITネットワークからOT環境に軸足を移していることを示している。ほとんどのOTシステムは、歴史的に業務システムやITネットワークから分離されていたため、サイバー攻撃に耐えられるように設計されていなかった。また、ITネットワークで使用されているサイバーリスク軽減技術は、OTのリアルタイム性と決定論的な性質から、OTネットワークには適さないことが多い。これらのことから、組織がOTのサイバーインシデントに対応または回復しなければならない可能性が高まっている。このプロジェクトは、サイバーインシデントに対処するために、OT環境に緩和策を設計するためのガイダンスを製造企業に提供するものである。
This project will build upon NIST Special Publication 1800-10: Protecting Information and System Integrity in Industrial Control System Environments by identifying and demonstrating capabilities to improve response to and recovery from cyber incidents in the OT environment.  このプロジェクトは、NIST 特別刊行物 1800-10: 産業用制御システム環境における情報およびシステムの完全性の保護に基づいて、OT環境におけるサイバー・インシデントへの対応と回復を改善する能力を特定し、実証するものである。

 

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.11.07 NIST ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティ

・2022.03.19 NIST SP 1800-10 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ

・2022.03.02 NIST ホワイトペーパー(案) 【プロジェクト概要】サイバー攻撃への対応と復旧:製造業のためのサイバーセキュリティ

・2021.10.01 NIST SP 1800-10 (ドラフト) 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ at 2021.09.23

 

 

| | Comments (0)

個人情報保護委員会 パブコメ 「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」の改正(案)

こんにちは、丸山満彦です。

個人情報保護委員会が、「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」の改正(案)に関する意見募集を行っていますね。。。

仮名加工情報についての記載が追加されていますね。。。

 

e-Gov

・2022.12.23 「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルールの一部を改正する告示(案)」に関する意見募集について

 

 ・命令などの案

 ・・[PDF] 補完的ルールの一部を改正する告示(案)  
 

 ・関連資料、その他

 ・・[PDF] 補完的ルールの改正(案)に関する意見募集について    

 ・・[PDF] 補完的ルールの改正(案) 


20221224-00517



| | Comments (0)

個人情報保護委員会 第7回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で「第7回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催されていますね。。。報告書案が出てきましたね。。。

個人情報保護委員会

・議事次第 [PDF] 議事次第

・資料1[PDF] 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)

20230113-30844

※検討会の議論内容を踏まえ、内容を一部修正しています。

目次...


第 1 章  本報告書の背景

1 顔識別機能付きカメラシステムを巡る国内動向
2 本報告書の対象範囲について
(1)
取り扱う個人情報
(2) 顔識別機能付きカメラを設置する空間的範囲
(3) 顔識別機能付きカメラシステムを利用する目的
(4) 顔識別機能付きカメラシステムを利用する主体的範囲

3 本報告書の位置づけ

第 2 章 用語の定義

第 3 章 顔識別機能付きカメラシステムについて

1 顔識別機能付きカメラシステムやその他防犯システムの機能や動向
(1)
顔識別機能付きカメラシステムの技術的仕組み
(2) 顔識別機能付きカメラシステム以外の映像分析技術
(3) その他の防犯システム、対策

2 顔識別機能付きカメラシステムを利用することの利点・懸念点
(1)
顔識別機能付きカメラシステムを利用することの利点
(2) 顔識別機能付きカメラシステムを利用することの懸念点

3 犯罪予防や安全確保のために顔識別機能付きカメラシステムを利用することが想定される場面
(1)
犯罪予防
(2) 要保護者保護

第 4 章 肖像権・プライバシーに関する留意点

1 肖像権・プライバシー侵害を争点とする裁判例
(1)
肖像権・プライバシー侵害を争点とする判例
(2) カメラ撮影に関する肖像権・プライバシー侵害を争点とする裁判例における考慮要素
(3) 顔識別機能付きカメラシステムを利用する場合への示唆

2 不法行為の成否と個人情報保護法の関係
(
参考) カメラ撮影に関する肖像権・プライバシー侵害を争点とする裁判例

第 5 章  顔識別機能付きカメラシステムを利用する際の個人情報保護法上の留意点

1 顔識別機能付きカメラシステムの利用と個人情報保護法の適用について
2 利用目的の特定、通知公表及びその他の個人情報に係る規律
(1)
利用目的の特定
(2) 利用目的等の通知公表等
(3) 不適正利用の防止及び適正取得のための態様
(4) 利用目的の通知公表等の例外
(5) 要配慮個人情報について
(6) 従来型防犯カメラについての考え方

3 運用基準の在り方及び当該内容に関する透明性の確保
(1)
登録基準
(2) 対応手順
(3) 保存期間
(4) 登録消去
(5) 運用基準に関する透明性の確保

4 安全管理措置
5 他の事業者等に対する個人データの提供
(1)
法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき及び公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 委託
(4) 共同利用

6 保有個人データに係る情報の公表等及び開示等の請求や相談への対応
(1)
保有個人データについて
(2) 保有個人データに係る情報の公表等
(3) 開示等の請求や相談への対応

(
参考) 顔識別機能付きカメラシステムに関する委託

第 6 章 事業者の自主的な取組として考えられる事項

1 実現しようとする内容の明確化・適切な手段の選択
2 導入前の影響評価
3 被撮影者への十分な説明
4 他の事業者との連携
5 導入後の検証

別紙1:顔識別機能付きカメラシステムの利用を巡る国際的な議論
別紙2:顔識別機能付きカメラシステムの検討の観点リスト
別紙3:施設内での掲示案
(参考資料)犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会


  

・資料2 [PDF] 今後のスケジュール(想定)

・参考資料 [PDF] 第6回検討会議事概要

 

Fig_20220201061401

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.09.10 個人情報保護委員会 第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.06.24 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

 

| | Comments (0)

ドイツ ドラフト サイバー攻撃のロギングと検知のための最低基準

こんにちは、丸山満彦です。

ドイツが、サイバー攻撃のロギングと検知のための最低基準に関する公開草案を公表していますね。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.12.22 Community Draft zum Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen veröffentlicht

Community Draft zum Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen veröffentlicht サイバー攻撃のロギングと検知のための最小限の基準の公開草案を公開
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Entwurf des Mindeststandards zur Protokollierung und Detektion von Cyber-Angriffen Version 1.0a.4 als Community Draft veröffentlicht. Das BSI lädt das interessierte Fachpublikum ein, Kommentierungen und Rückmeldungen zur Mitgestaltung bis zum 10. Februar 2023 per E-Mail an [mail] zu richten. ドイツ連邦情報セキュリティ局(BSI)は、サイバー攻撃のログ記録と検知のための最低基準バージョン1.0a.4のドラフトをコミュニティドラフトとして公開した。BSI は、2023 年 2 月 10 日までに共同草案に対するコメントやフィードバックを電子メールにて [mail] 宛てに提出するよう、関心のある専門家国民に呼びかけている。
Eine wesentliche Neuerung im aktuellen Entwurf ist die weitgehende Integration der "Protokollierungsrichtlinie Bund" (PR-B), die bislang als Anlage zum Mindeststandard vorlag. Somit wurden die Sicherheitsanforderungen sowohl zur Protokollierung als auch zur Detektion umfassend überarbeitet und erweitert. Das „Rahmendatenschutzkonzept“ (RDSK) wird zudem aufgrund der geänderten Rechtsgrundlage (§§ 5 und 5a BSIG) sowie des Angebotes der datenschutzkonformen, zentralen Protokollierungs- und Detektionsinfrastruktur („Detection as a Service“) des BSI nicht länger als Anlage zum MST benötigt. 今回の草案の大きな革新点は、これまで最低基準の附属書として用意されていた「連邦議定書ガイドライン」(PR-B)を広範囲に統合したことである。このように、ロギングと検知の両面において、セキュリティ要件が包括的に見直され、拡充されました。さらに、法的根拠の変更(§5および5a BSIG)およびBSIのデータ保護に準拠した中央ログおよび検出インフラ(「Detection as a Service」)の提供により、「データ保護に関する枠組み概念」(RDSK)はMSTの附属書としてもはや必要ではなくなった。
Fachlich fundierte Kommentierungen sind sowohl aus der Bundesverwaltung als auch aus den öffentlichen Stellen der Länder und Kommunen sowie aus der IT-Wirtschaft willkommen. Sie sind ein wichtiger Bestandteil der Qualitätssicherung des Mindeststandards und tragen dazu bei, ihn aktuell und praxisnah zu gestalten. 連邦政府、レンダーや自治体の公的機関、IT業界からの専門的な意見を待っている。これらは、最低基準の品質保証の重要な部分であり、最低基準を最新かつ実用的なものに維持するために役立っている。

 

・2022.12.22 Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen

Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen サイバー攻撃のログと検知のためのBSI最低基準
Immer häufiger werden Cyber-Angriffe auf Unternehmen und Regierungen bekannt, die folgenschwere Konsequenzen für die Betroffenen auslösen. Um Cyber-Angriffe auf die Bundesverwaltung erkennen und behandeln zu können, reguliert dieser Mindeststandard die Protokollierung und Detektion von sicherheitsrelevanten Ereignissen in der Kommunikationstechnik des Bundes. 企業や政府機関に対するサイバー攻撃はますます増加し、被害を受けた人々には深刻な影響が及んでいる。連邦政府に対するサイバー攻撃を認識し対処できるようにするため、この最低基準は、連邦政府の通信技術におけるセキュリティ関連イベントの記録と検出を規制している。
Anhand dieses Mindeststandards etabliert das BSI die bereits durch den Umsetzungsplan 2017 geforderte einheitliche Herangehensweise zur Erkennung von Cyber-Angriffen und bildet eine Grundlage für die Einforderung und Umsetzung von organisatorischen und technischen Maßnahmen. Für eine gemeinsame Basis und Anwendung legt der Mindeststandard daher auch zunächst besonders relevante Begriffe fest. Weiterhin werden die Bausteine OPS.1.1.5 Protokollierung und DER.1 Detektion von sicherheitsrelevanten Ereignissen aus dem modernisierten IT-Grundschutz entsprechend konkretisiert. Dazu werden die Anlagen Protokollierungsrichtlinie Bund (PR-B) und Rahmendatenschutzkonzept (RDSK) als fester Bestandteil des Mindeststandards aufgenommen. Die PR-B dient zum einen als konkretes Rahmenwerk für die Umsetzung der Basisanforderung OPS.1.1.5.A1 Erstellung einer Sicherheitsrichtlinie für die Protokollierung und zum anderen als Umsetzungsrichtlinie zu § 5 Abs. 1 S. 1 Nr. 1 i. V. m. S. 4 BSIG. この最低基準を用いて、BSIは、2017年の実施計画ですでに求められているサイバー攻撃を検知するための統一的なアプローチを確立し、組織的・技術的な対策を呼びかけ、実施するための基礎を形成している。そのため、共通した基礎と応用のために、最低基準では特に関連する用語も最初に定義している。さらに、近代化された IT-Grundschutz のモジュール OPS.1.1.5 ロギング と DER.1 セキュリティ関連事象の検知は、それに応じて具体化されている。このため、最低基準の固定要素として、附属書「連邦政府向けロギングガイドライン(PR-B)」と「データ保護コンセプトの枠組み(RDSK)」が含まれている。PR-B は、基本要件 OPS.1.1.5.A1 ロギングに関するセキュリティガイドラインの作成のための具体的な枠組みとして、また、§5 パラ1 p.1 no.1 と p.4 BS.1 を合わせた実装ガイドラインとして機能する。V. m. S. 4 BSIG.
Aktualisierung Dezember 2022: Derzeit arbeitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) an einer neuen Version des Mindeststandards zur Protokollierung und Detektion von Cyber-Angriffen. Der aktuelle Entwurf der Version 1.0a.4 steht als Community Draft zum Download bereit. Eine Liste mit den wichtigsten Änderungen des Mindeststandards gegenüber seiner Vorgängerversion finden Sie unter: Änderungsübersicht zum Mindeststandard zur Protokollierung und Detektion. Fachlich fundierte Kommentierungen sind sowohl aus der Bundesverwaltung als auch aus den öffentlichen Stellen der Länder und der Kommunen sowie aus der IT-Wirtschaft willkommen. Ihre Rückmeldungen sind ein wichtiger Bestandteil der Qualitätssicherung des Mindeststandards, indem sie dazu beitragen, ihn aktuell und praxisnah zu gestalten. Das BSI lädt daher das interessierte Fachpublikum dazu ein, Kommentierungen und Rückmeldungen zur Mitgestaltung bis zum 10.02.2023 per E-Mail an [mail] zu richten. 2022年12月更新:連邦情報セキュリティ局(BSI)は現在、サイバー攻撃のログと検知のための最低基準の新バージョンを作成中である。現在のバージョン1.0a.4のドラフトは、コミュニティドラフトとしてダウンロードが可能である。 ミニマム・スタンダードの旧版と比較しての重要な変更点の一覧は、以下を参照のこと。 ロギングと検出のための最低基準への概要変更。 連邦行政機関だけでなく、レンダーや自治体の公共機関、IT産業からの専門的なコメントを歓迎する。これらのフィードバックは、ミニマムスタンダードを最新かつ実用的なものに維持するために重要な品質保証の一部となっている。そこでBSIは、関心をお持ちの専門家の方々に対し、2023年2月10日までに、コ・デザインに関する意見・感想は電子メールにて [mail] まで。
Download Community Draft コミュニティ・ドラフトをダウンロード
Community Draft des überarbeiteten Mindeststandards des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Protokollierung und Detektion von Cyber-Angriffen in der Bundesverwaltung 連邦政府におけるサイバー攻撃の記録と検知のための第8条(1)項第1文BSIGに基づくBSIの最低基準改訂の共同体草案
Download Mindeststandard ミニマムスタンダードのダウンロード
Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG zur Protokollierung und Detektion von Cyber-Angriffen in der Bundesverwaltung 連邦行政におけるサイバー攻撃の記録と検知のための§8パラ1文1BSIGに従ったBSIの最低基準
Download Technische Umsetzungshinweise zur Protokollierungsrichtlinie Bund (PR-B) 連邦政府伐採政策(PR-B)の技術的実施ガイドラインをダウンロードする
In der Anforderung PRB.I.1.1.1.2 werden technische Umsetzungshinweise zur Protokollierungsrichtlinie Bund (PR-B) referenziert. Diese sind nach der Verschlusssachenanweisung (VSA) als “VS – NUR FÜR DEN DIENSTGEBRAUCH" eingestuft und sind daher hier nicht veröffentlicht. 要件PRB.I.1.1.2において、連邦政府伐採方針(PR-B)に関する技術的実施要領が参照されている。これらは、機密情報(VSA)により「VS - FOR OFFICE USE ONLY」に分類されているため、ここでは公開していません。
Die Umsetzungshinweise können über den geschützten Bereich heruntergeladen werden. Bei Rückfragen können Sie gerne Kontakt mit uns aufnehmen. 実装説明書は、プロテクトエリアからダウンロードできます。ご不明な点がございましたら、お気軽にお問い合わせください。
Weitere empfehlenswerte Dokumente その他の推奨資料
Umsetzungsplan Bund 連邦政府の実施計画
BSI-Gesetz BSI法

 

・[PDF] Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen

20221223-231853

目次...

 

Inhalt   コンテンツ  
1  Beschreibung  1 内容 
1.1  Begriffsbestimmung und Abgrenzung  1.1 定義と区切り 
1.1.1  Zu protokollierende Ereignisse  1.1.1 ロギングされるイベント 
1.1.2  Kontinuierlicher Prozess  1.1.2 継続的なプロセス 
1.1.3  Aufgabenbereiche  1.1.3 タスクエリア 
1.2  Modalverben  1.2 モーダル動詞 
2  Sicherheitsanforderungen  2 安全に関する要求事項 
2.1  Allgemeine Anforderungen  2.1 一般要求事項 
2.2  Protokollierung  2.2 ロギング 
2.3  Detektion  2.3 検知 
Glossar  用語集 
Literaturverzeichnis  書誌情報 
Abkürzungsverzeichnis  略語一覧 

 

・[DOCX] 仮対訳

 

 

| | Comments (0)

2022.12.23

中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

こんにちは、丸山満彦です。

来年1月10日に施行されることになる「インターネット情報サービス深層合成管理規定」に関する専門家のコメント。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

 

专家解读|加速推进深度合成服务规范化 専門家の解釈|深層合成サービスの標準化を加速させる
专家解读|加快规范深度合成技术应用 専門家の解釈|深層合成技術のアプリケーションの標準化を加速する
专家解读|规范智能技术供给 构建现代化深度合成治理能力 専門家の解釈|知的技術の供給を調整し、現代の深層合成統治能力を構築する。
专家解读|推动深度合成服务综合治理 促进深度合成技术安全发展 専門家の解釈|深層合成サービスの包括的なガバナンスの推進 深層合成技術の安全な開発の推進
专家解读|规范深度合成服务 营造风清气正的网络空间 専門家の解釈|クリーンなサイバースペースを実現するための深層合成サービスの規制

 

 

・2022.12.12 专家解读|加速推进深度合成服务规范化

专家解读|加速推进深度合成服务规范化 専門家の解釈|深層合成サービスの標準化を加速させる
随着人工智能和大数据技术的飞速发展,深度合成技术在互联网信息服务中得到广泛应用。这些技术在为用户提供个性化、精准化、智能化信息服务的同时,如非法应用也容易引发侵害用户合法权益、传播违法信息、操纵社会舆论等一系列问题,给国家利益、社会公共利益和公民合法权益带来巨大挑战。11月25日,国家网信办会同工信部、公安部发布《互联网信息服务深度合成管理规定》(下文简称《规定》),以贯彻落实《网络安全法》《数据安全法》《个人信息保护法》和《互联网信息服务管理办法》等法律、行政法规有关规定。《规定》是我国第一部针对深度合成服务治理的专门性部门规章,对规范深度合成服务、促进相关应用健康发展具有重要时代意义。 人工知能やビッグデータ技術の急速な発展に伴い、深層合成技術はインターネット情報サービスにおいて広く活用されている。 これらの技術は、パーソナライズされた正確かつインテリジェントな情報サービスをユーザーに提供し、違法なアプリケーションなども、ユーザーの合法的な権利と利益を侵害する傾向がある、違法な情報の普及、社会的意見と問題の一連の操作は、国益、社会公共の利益と市民の正当な権利と利益は大きな課題をもたらす。 11月25日、国家サイバースペース管理局は、工業情報化部、公安部とともに、「ネットワークセキュリティ法」、「データセキュリティ法」、「個人情報保護法」および「インターネット情報サービス管理弁法」などの関連法律、行政法規を実施するために、「インターネット情報サービス深層合成管理規定(以下「規定」)」を公布した。 本規定は、深層合成サービスのガバナンスに関する中国初の専門部門規定であり、深層合成サービスを規制し、関連アプリケーションの健全な発展を促進する上で、時代に大きな意味を持つものである。
一、深度合成成为重要技术应用 1:深層合成が重要な技術的アプリケーションになること
深度合成技术,是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、视频、音频、虚拟场景等网络信息的技术。深度合成技术最大的特点之一是“以假乱真”,其通过人工智能和大数据算法合成的虚拟数据具有极佳的视觉、听觉等效果,能够使人难辨真假。深度合成技术的代表性研究是在2014年提出的生成对抗网络(GAN),其通过对抗式迭代训练生成器和判别器两个部分,大幅提升数据生成的逼真程度,使得深度合成的结果难以被人眼辨别真伪。伴随着日益增长的应用需求,深度合成技术在教育、影视、传媒等领域扮演着愈发重要的角色,其面部替换、表情操纵、语音合成等不同技术分支,能够升级传统内容制作方法,改善制作效果,提高制作效率,在各类商业化产品中使用比例显著提升。 深層合成技術は、テキスト、画像、映像、音声、仮想シーンなどのネットワーク情報技術を生成するために、深層学習、バーチャルリアリティなどの世代合成クラスのアルゴリズムを使用することを指す。 深層合成技術の最大の特徴は、「本物であることを偽る」ことであり、人工知能やビッグデータのアルゴリズムによって合成された仮想データは、視覚や聴覚に優れた効果をもたらし、人が本物と偽物の区別をつけることを難しくしている。 深層合成技術の代表的な研究は、2014年に提案されたGAN(Generative Adversarial Network)で、生成器と識別器の成分を敵対的に反復して学習させることでデータ生成の忠実度を大幅に高め、深層合成の結果を人間の目で識別しにくくするものである。 アプリケーションの需要の高まりとともに、深層合成技術は教育、映画、メディアにおいてますます重要な役割を果たすようになり、顔の置き換え、表情操作、音声合成などの異なる技術分野が、従来のコンテンツ制作方法をアップグレードし、制作結果を改善し、制作効率を高めることができ、あらゆる種類の商業製品に使用される割合が著しく高まっている。
二、深度合成技术非法使用带来严重安全风险 2:深層合成技術の違法使用は深刻なセキュリティリスクをもたらす
深度合成技术在支持正向应用的同时,也为我们带来新的安全风险。随着深度合成技术的快速发展,其使用门槛愈发降低,呈现出“平民化”的趋势。普通人可以利用简单方便的软件或工具,制作出真假难辨的合成内容。若非法使用深度合成技术,将导致传播违法和不良信息的乱象,对社会信任、媒体信任、政治信任造成冲击。例如,不法分子通过制作虚假的视频、图像、音频等,进行诽谤、诈骗、勒索、诬陷,甚至通过从互联网获得明星、高管、学者、政要的视频、图像、音频数据,利用深度合成技术对其进行恶意攻击。误用、滥用以及恶意使用深度合成技术生成的数据,将为个人、企业带来声誉损害和财产损失,甚至对国家安全、社会稳定造成威胁。因此,《规定》聚焦深度合成服务乱象问题,构建算法安全治理体系,规范互联网信息服务深度合成管理,意义重大,影响深远。 深層合成技術は、積極的な応用を支える一方で、私たちに新たなセキュリティリスクをもたらす。 深層合成技術の急速な発展に伴い、その敷居はどんどん低くなり、「民生化」の傾向を示している。 一般の人でも、簡単で便利なソフトやツールを使えば、本物と見分けがつかないような合成コンテンツを作ることができる。 深層合成技術の違法な使用は、違法かつ望ましくない情報の発信につながり、社会的、メディア的、政治的信頼に影響を与える。 例えば、悪徳業者が名誉毀損、詐欺、脅迫、言いがかりのために虚偽の動画・画像・音声を作成したり、有名人、経営者、学者、要人の動画・画像・音声データをインターネット上から入手し、深層合成技術を使って悪意を持って攻撃することもある。 深層合成技術によって生成されたデータの誤用、悪用、悪意ある利用は、個人や企業に風評被害や財産損失をもたらし、さらには国家の安全や社会の安定に脅威を与えることになる。 そのため、「規定」は深層合成サービスの混沌の問題に焦点を当て、アルゴリズムセキュリティのガバナンスシステムを構築し、インターネット情報サービスの深層合成の管理を標準化し、大きな意義と遠大な影響力を持つものである。
三、正确处理服务管理规范与技术研究发展的关系 3:サービスマネジメント標準と技術研究開発の関係を正しく処理すること
深度合成技术研究应在安全可靠的基础上推进,在规范中科学发展。深度合成技术已展现其强大的能力,在各个领域的加速应用已成为趋势。然而,在相关技术研究发展的同时,也须直面技术带来的风险,保证算法和数据的安全性、可靠性,最大程度做到技术进步的趋利避害。《规定》在保护深度合成技术良性发展的基础上,明确了生成合成类算法治理的对象,确立了算法治理的基本原则,并鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,强化了深度合成服务提供者和技术支持者的主体责任,为安全可靠的深度合成技术发展指明了方向,并为技术的服务应用提供指引和规范。 深層合成技術の研究は、安全性と信頼性を基本に、標準化における科学的な開発を推進する必要がある。 深層合成技術は、その強力な能力を発揮し、様々な分野への応用が加速している。 しかし、関連技術の研究開発が進む一方で、技術がもたらすリスクと向き合い、アルゴリズムやデータの安全性・信頼性を確保し、被害を回避するために技術の進歩を最大限に活用することが必要である。 本規定は、深層合成技術の良性発展を保護することを前提に、生成合成のアルゴリズムのガバナンスの対象を明確にし、アルゴリズムのガバナンスの基本原則を確立し、関連業界団体が業界の自主規制を強化し、業界標準、業界指針、自主規制管理システムを構築・改善し、深層合成サービス提供者と技術支援者の主な責任を強化し、安全で信頼できる深層合成技術の発展の方向を指し示すことを奨励する。 また、その技術のサービス応用のためのガイドラインと仕様を提供する。
四、深度合成的安全性、可靠性保障对技术治理提出新要求 4:深層合成の安全性と信頼性の保証は、技術的なガバナンスに新たな要件を提示している
《规定》在规范互联网信息服务深度合成管理的同时,也为相关安全性、可靠性保障提出了新的技术治理要求。一方面,深度合成服务提供者应加强深度合成内容管理,建立健全用于识别违法和不良信息的特征库,在非人工审核情形下,则应对使用者的输入数据和合成成果进行精准有效的技术审核,进而对违法和不良信息依法采取处置措施。另一方面,深度合成服务提供者对使用其服务生成或者编辑的信息内容,应当采取技术措施添加不影响用户使用的标识。这要求服务提供者开发新的技术,在不影响用户使用的前提下,在视频、图像、音频、虚拟场景等深度合成信息上合理添加显著标识。此外,由于数据传输过程中,可能会出现如视频帧率降低、图像压缩等常见处理,所添加标识还须具备强鲁棒性,避免在传输过程的正常处理中受到破坏。 同規定は、インターネット情報サービスの綿密な合成管理を規制するとともに、関連するセキュリティと信頼性の保証に関する新たな技術的ガバナンスの要件を提示している。一方、深層合成サービス提供者は、深層合成コンテンツの管理を強化し、違法・望ましくない情報を識別するための健全な機能ライブラリを構築し、非手動監査の場合は、ユーザの入力データおよび合成結果に対して正確かつ有効な技術監査を行い、違法・望ましくない情報に対して法に従った処分措置を講じる必要がある。 一方、深層合成サービス提供者は、そのサービスを利用して生成・編集された情報コンテンツの利用者に影響を与えないような表示を付加する技術的な措置を講じる必要がある。 そのため、サービス提供者には、映像、画像、音声、仮想シーンなどの深層合成情報に、ユーザーの利用に影響を与えることなく、合理的に目立つマークを付加する新技術の開発が求められている。 また、データ伝送中に動画のフレームレート低下や画像圧縮などの一般的な処理が行われることがあるため、付加されるマークも通常の伝送処理で乱れないようなロバスト性が求められる。
综上,《规定》的颁布标志着我国深度合成服务的规范管理工作进入新阶段。深度合成服务提供者和技术支持者应认真学习和理解《规定》,明确主体权责,积极应对深度合成安全性、可靠性技术要求。深度合成服务使用者也应加强算法应用的安全意识,保证使用的合规合法性,有效维护自身的合法权益。(作者:周杰,清华大学研究生院院长) 要約すると、この規定の公布は、中国における深層合成サービスの標準的な管理における新たな段階を示すものである。 深層合成サービス提供者及び技術支援者は、本規定を真剣に検討・理解し、主な権利と責任を明確にし、深層合成の安全性と信頼性に関する技術的要求に積極的に対応する必要がある。 また、深層合成サービス利用者は、アルゴリズムアプリケーションのセキュリティ意識を強化し、コンプライアンスと使用の合法性を確保し、正当な権利と利益を効果的に保護する必要がある。 (著者:清華大学大学院院長 周傑氏)

 

・2022.12.12 专家解读|加快规范深度合成技术应用

专家解读|加快规范深度合成技术应用 専門家の解釈|深層合成技術のアプリケーションの標準化を加速する
近年来,人工智能各项技术飞速发展,应用更加普及多元。其中,深度合成技术作为人工智能领域的创新应用技术,以其较低的应用门槛、较强的娱乐属性、丰富的应用场景受到广泛关注。特别是在互联网信息服务领域,深度合成技术丰富了网络内容形式,进一步释放新技术新应用发展活力。但是,部分深度合成技术应用缺乏规范,对国家安全、社会稳定和公民合法权益带来风险挑战。党的二十大报告强调,“健全网络综合治理体系,推动形成良好网络生态”。《法治社会建设实施纲要(2020-2025年)》明确要求,要制定完善算法推荐、深度伪造等新技术应用的规范管理办法。为规范深度合成服务,国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》(以下简称《规定》)。《规定》通过系统性、创新性制度设计,首次回应了对深度合成服务的管理要求,为互联网信息服务深度合成的规范发展提供了基本遵循和合法依据。 近年、人工知能の様々な技術が急速に発展し、その応用も普及・多様化している。 その中でも、人工知能分野の革新的な応用技術として、応用の敷居が低く、エンターテインメント性が高く、応用シーンが豊富な深層合成技術は、広く関心を持たれている。 特にインターネット情報サービスの分野では、深層合成技術がネットワークコンテンツの形態を豊かにし、新しい技術やアプリケーションの開発の活力をさらに解放している。 しかし、一部の深層合成技術の応用が規制されていないため、国家の安全保障、社会の安定、国民の正当な権利と利益に対するリスク課題が発生している。 第20回党大会の報告書では、「良好なネットワーク生態の形成を促進するために、包括的なネットワークガバナンスシステムを改善すべきである」と強調されている。 法の支配社会実現要綱(2020-2025)」では、アルゴリズム推薦やディープフォージアなどの新技術を適用するための標準的な管理手法の開発が明確に求められている。 深層合成サービスを規制するため、国家インターネット情報弁公室、工業情報化部、公安部が共同で「インターネット情報サービス深層合成管理規定」(以下、「規定」という)を公布した。 規定は、"体系的かつ革新的なシステム設計を通じて、初めて深い合成サービスの管理要件に対応し、インターネット情報サービスの開発の標準化のための深い合成は、基本的なフォローアップと法的根拠を提供する。
一、坚持系统观念,完善互联网信息服务法律体系 1:システムコンセプトを堅持し、インターネット情報サービスの法制度を改善する。
《规定》积极落实党的二十大报告关于立法系统性、整体性、协同性、时效性的要求,对互联网信息服务深度合成作出了科学全面的制度规范。一方面,《规定》有效衔接了相关法律法规。在《网络安全法》《数据安全法》《个人信息保护法》《互联网信息服务管理办法》等上位法框架下,《规定》有效承接了《网络信息内容生态治理规定》《网络音视频信息服务管理规定》《互联网信息服务算法推荐管理规定》等规章、规范性文件中关于网络信息内容管理、新技术新应用安全评估、显著标识、备案管理等制度规定,对深度合成服务管理机制、主体责任等作出了衔接性制度安排。另一方面,《规定》构建了统筹协调、多方参与的监管体制。《规定》明确,国家网信部门负责统筹协调全国深度合成服务的治理和监督管理工作,国务院电信主管部门、公安部门依据各自职责负责深度合成服务的监督管理工作。地方网信部门负责统筹协调本行政区域内深度合成服务的治理和监督管理工作,地方电信主管部门、公安部门依据各自职责负责本行政区域内深度合成服务的监督管理工作。《规定》还鼓励相关行业加强行业自律,搭建齐抓共管、协同共治的治理机制。《规定》的出台,全面贯彻落实了党中央关于网络综合治理的最新要求,通过系统化的制度安排进一步构建完善了我国网络综合治理法治体系。 本規定は、第20回党大会報告の体系的、全体的、相乗的、時宜にかなった立法という要求を積極的に実行し、インターネット情報サービスの綿密な総合化を科学的、包括的に制度規制するものである。 一方、この規定は、関連する法律や規制を効果的に橋渡ししている。 「ネットワークセキュリティ法」、「データセキュリティ法」、「個人情報保護法」、「インターネット情報サービス管理弁法」などの上位法の枠組みの下で、「ネットワーク情報コンテンツ生態ガバナンス規定」、「ネットワーク音声映像情報サービス管理規定」、「インターネット情報サービスアルゴリズム推薦管理規定」などのネットワーク情報コンテンツ管理、新技術・新用途安全評価、重要表示、記録管理などに関する規定および規範文書が実質的に継承されている。 評価、重要なロゴ、レコード管理およびその他のシステムの規定、合成サービス管理機構の深さ、主な責任など、制度的な取り決めの関節を作るために。一方、本規定は、協調的かつ参加型の規制システムを構築している。 「規定」は明確に、国家ネット情報部門は国家深層合成サービスのガバナンスと監督を調整する責任があり、国務院電信部門と公安部門はそれぞれの責任に応じて深層合成サービスの監督と管理を担当する。 現地のネットワーク情報部門は当行政区の深層合成サービスのガバナンスと監督を調整する責任を負い、現地の電信担当部門と公安部門はそれぞれの任務に応じて当行政区の深層合成サービスの監督と管理を担当する。 また、同規定は、関連業界が業界の自主規制を強化し、共同管理・共同ガバナンスのガバナンス機構を構築することを推奨している。 規定の導入は、包括的ネットワークガバナンスに関する党中央委員会の最新の要求を全面的に実施し、体系的な制度整備を通じて、中国の包括的ネットワークガバナンス法治システムをさらに構築し、改善したものである。
二、坚持问题导向,精准破解深度合成治理难题 2:問題志向を堅持し、正確な亀裂の深さを合成するガバナンスの問題
近年来,深度合成技术在社交、影视、广告、医疗、教育、科研等诸多领域不断深化应用,展现出较大的技术价值和商用潜力。同时,其“双刃剑”效果明显,在增加社会福祉的同时也带来一系列风险挑战。一是深度合成技术被用于非法目的,侵犯个人合法权益。如有案例反映诈骗分子利用深度合成技术冒充公司高管的声音,诈骗该公司另一名高管巨额款项,给个人财产权益造成了重大损失。二是深度合成虚假内容引发信任危机,影响社会稳定。利用深度合成技术形成的新闻信息本身真实性、客观性难以保障,更有不法分子利用深度合成技术发布虚假新闻、散布谣言等,造成错误舆论导向,影响社会稳定。三是深度合成技术可能被敌对势力恶意利用,威胁国家安全。国外已出现多起利用深度合成技术伪造政治人物、公众人物音频和视频的情形,不仅影响国内政治稳定,还可能会引发国家间的危机冲突。 近年、深層合成技術は、ソーシャルネットワーク、映画・テレビ、広告、医療、教育、科学研究など多くの分野で応用が深まり、より大きな技術的価値と商業的可能性を示している。 同時に、その「諸刃の剣」的な効果は明らかで、社会福祉を高める一方で、一連のリスク課題ももたらしている。 第一に、深層合成技術は、個人の正当な権利や利益を侵害し、違法な目的で使用されている。 例えば、詐欺師が深層合成技術を使って企業幹部の声になりすまし、その企業の別の幹部から多額の金銭を詐取し、個人の財産権に大きな損害を与える事例がある。 第二に、虚偽の内容の深い合成は、信頼の危機を引き起こし、社会の安定に影響を与えた。 深層合成技術を利用して形成されたニュース情報の真偽や客観性を保証することは難しく、深層合成技術を利用して虚偽のニュースを発表したり、風説を流布したりして、誤った世論誘導を行い、社会の安定に影響を与える悪徳業者さえ存在する。 第三に、深層合成技術が敵対勢力に悪用され、国家の安全保障が脅かされる可能性があることである。 海外では、深層合成技術を利用して政治家や公人の音声や映像を改ざんする事例が多発しており、国内の政治的安定に影響を与えるだけでなく、国家間の危機的な対立につながる可能性もある。
《规定》聚焦深度合成服务中存在的主要风险隐患进行针对性制度设计。一是明确深度合成服务不得用于非法目的。禁止任何个人和组织利用深度合成服务制作、复制、发布、传播法律、行政法规禁止的信息,或从事危害国家利益、社会公共利益或个人合法权益等违法活动。禁止深度合成服务提供者和使用者利用深度合成服务制作、复制、发布、传播虚假新闻信息。二是强化对个人合法权益的保护。《规定》强调深度合成服务提供者和技术支持者应当强化个人信息保护,提供人脸、人声等生物识别信息编辑功能的,须提示使用者依法取得个人单独同意。防止个人信息被非法利用,侵害个人合法权益。三是对深度合成服务提供者提出安全管理要求。《规定》要求深度合成服务提供者进行用户真实身份认证,建立信息发布审核、反电信网络诈骗等管理制度。《规定》通过相关制度设计,科学精准地回应了深度合成服务应用发展对国家、社会及个人带来的风险挑战,为促进新技术新应用的规范发展提供了有益范例。 本規定は、深層合成サービスの主なリスクとハザードに焦点を当て、的を射たシステム設計を行うことを目的としている。 まず、深層合成サービスを違法な目的に使用してはならないことを明記している。 個人・団体を問わず、深層合成サービスを利用して、法律や行政法規で禁止されている情報を作成・複写・公開・流布したり、国益・社会公共利益や個人の正当な権利・利益を脅かすなどの違法行為をすることは禁止されている。 深層合成サービス提供者および利用者が、深層合成サービスを利用して、虚偽のニュース情報を作成、コピー、公開、発信することは禁止されている。 第二に、個人の正当な権利と利益の保護が強化されることである。 同規定では、深層合成サービス提供者や技術支援者は個人情報保護を強化すること、顔や声などの生体情報編集機能を提供するユーザーには、法律に基づき、本人の個別の同意を得るよう促すことが強調されている。 個人情報が個人の正当な権利・利益を侵害する目的で不正に利用されることを防止する。 第三に、深層合成のサービスを提供する事業者に対して、安全管理上の要求事項が課せられている。 同規定は、深層合成サービス事業者に対し、ユーザーの実名認証の実施、情報公開監査や通信ネットワーク不正防止などの管理体制の確立を義務付けている。 関連するシステム設計を通じて、本規定は深層合成サービスアプリケーションの開発が国家、社会、個人にもたらすリスク課題に科学的かつ的確に対応し、新しい技術やアプリケーションの標準的開発を促進する有用な事例を提供した。
三、坚持规范发展,促进深度合成技术向上向善 3:規制の整備を主張し、深層合成技術の上昇を促進する
随着深度合成技术不断优化发展,其开发应用的空间将更为广阔。近几年,深度合成信息内容制作和传播数量高速增长。同时,在“元宇宙”等新模式新场景下,深度合成技术将为智能化、视觉化、场景化、虚拟化的互联网信息服务发展提供更多技术实现方案。《规定》坚持统筹发展和安全,以促进技术在规范中发展为价值取向,在明确“红线”的同时为技术发展留足空间。一是对深度合成服务明确技术向善要求。《规定》要求提供深度合成服务应当尊重社会公德和伦理道德,坚持正确政治方向、舆论导向、价值取向,促进深度合成服务向上向善。同时要求深度合成服务提供者应当建立算法机制机理审核、科技伦理审查等管理制度。二是以技术手段保障深度合成内容可溯源。《规定》要求深度合成服务提供者通过有效技术措施对使用其服务所制作的信息内容添加标识,保证深度合成信息内容可识别、可追溯。三是区分场景规定差异化管理要求。《规定》要求深度合成服务提供者对其生成或编辑的信息内容添加不影响用户使用的标识,但对于可能导致公众混淆或误认的深度合成信息内容应当进行显著标识。同时,要求具有舆论属性或者社会动员能力的深度合成服务提供者和技术支持者履行备案义务。《规定》基于不同的应用场景对深度合成服务进行区分管理,在实现监管目的的同时也为技术发展提供了有效保障。 深層合成技術の継続的な最適化と開発により、その開発・応用領域はより広範囲に及ぶことになるだろう。 近年、深層合成の情報コンテンツ制作・発信が急増している。 同時に、「メタバース」などの新しいモデルやシナリオにおいて、深層合成技術は、インテリジェントで可視化されたシナリオベースの仮想化されたインターネット情報サービスの開発に、より多くの技術的ソリューションを提供することになるだろう。 規定は、十分なスペースを残すために技術の発展のために同時に明確な "レッドライン"で、値の方向の仕様の技術の発展を促進するために、開発とセキュリティの調整に準拠している。第一に、良いものを作るための深層合成サービスには、明確な技術的要件がある。 この規定では、深層合成サービスの提供は、社会道徳と倫理を尊重し、正しい政治の方向性、世論誘導、価値志向を堅持し、深層合成サービスを善導することが求められている。 同時に、深層合成サービスを提供する事業者に対しては、アルゴリズム機構の監査や科学技術の倫理審査などの管理体制を構築することを求めている。 第二に、深層合成のコンテンツのトレーサビリティを技術的に保証すること。 同規定は、深層合成サービス提供者に対し、深層合成情報コンテンツの識別と追跡が可能なように、有効な技術的手段によって、そのサービスを利用して作成された情報コンテンツにマークを付加することを求めている。 第三に、シーンを差別化し、管理上の必要性を提供する。 規定では、深層合成サービス事業者が生成または編集した情報コンテンツに、利用者の利用に影響を与えないような表示を加えることを求めているが、一般利用者の混乱や誤解を招く恐れがある深層合成の情報コンテンツは目立つように表示する必要がある。 同時に、世論属性や社会動員能力を持つ深層合成サービス提供者やテクニカルサポーターが、ファイリング義務を果たすことが求められる。 本規定は、深層合成サービスの管理を異なる適用シナリオに基づいて区別し、規制目的を達成しつつ、技術開発を効果的に保護するものである。
四、坚持底线原则,压实深度合成服务相关主体责任 4:ボトムラインの原則を守り、深層合成サービスに関する主な責任をコンパクトにまとめる
深度合成服务提供者和技术支持者,既是新技术新应用的创造者、受益者,也应是控制技术风险、引导技术向善的责任践行者。《规定》围绕明确各方责任义务进行了系统性制度设计。一方面,明确深度合成服务提供者的主体责任。《规定》要求深度合成服务提供者建立健全算法机制机理审核、信息内容管理、从业人员教育培训等管理制度,具备安全可控的技术保障措施。制定并公开管理规则和平台公约,并提示深度合成服务技术支持者和使用者承担信息安全义务。加强内容管理,采取技术或者人工方式对输入数据和合成结果进行审核,并建立健全相关特征库。加强技术管理,定期审核、评估、验证算法机制机理。提供具有对人脸、人声等生物识别信息或者可能涉及国家安全、国家形象、国家利益和社会公共利益的特殊物体、场景等非生物识别信息编辑功能的模型、模板等工具的,应当开展安全评估。加强训练数据管理,采取必要措施保障数据和个人信息安全。另一方面,明确深度合成服务技术支持者等主体的责任义务。《规定》要求深度合成服务技术支持者应承担训练数据管理、算法机制机理审核、安全评估等义务。应用程序分发平台应落实上架审核、日常管理、应急处置等安全管理责任。 深層合成のサービス提供者と技術支援者は、新技術と新用途の創造者と受益者であるだけでなく、技術リスクを制御し、技術を良い方向に導く責任ある実務者であるべきである。 本規定は、すべての関係者の責任と義務を明確にするために体系的に設計されている。 一方、深層合成サービス提供者の主な責任を明確にしている。 この規制は、深層合成サービス事業者に対して、アルゴリズム機構監査、情報コンテンツ管理、実務者の教育訓練などの管理体制を構築・改善し、安全で制御可能な技術的セーフガード手段を持つことを求めている。 管理ルールやプラットフォーム規約を策定・公開し、技術支援者や深層合成サービス利用者に情報セキュリティの義務を促す。 コンテンツ管理を強化し、入力データと合成結果の監査に技術的または手動的な方法を採用し、関連する機能の健全なライブラリーを確立する。 アルゴリズム機構の定期的な見直し、評価、検証による技術管理の強化。 国家安全保障、国家イメージ、国益、社会公共性に関わるような顔や声などの生体情報、特殊な物体やシーンなどの非生体情報を編集する機能を持つモデルやテンプレートなどのツールを提供する場合は、セキュリティ評価を実施する必要がある。 トレーニングデータの管理を強化し、データおよび個人情報のセキュリティを保護するために必要な措置を講じること。 一方、深層合成サービス技術支援者の責任と義務を明確化した。 規定では、深層合成サービス技術支援者は、トレーニングデータの管理、アルゴリズム機構の審査、セキュリティ評価などの義務を負うことが求められている。 アプリケーション配布プラットフォームは、棚監査、日常管理、緊急廃棄などのセキュリティ管理責任を実装する必要がある。
五、坚持守正创新,贡献深度合成服务治理中国智慧 5:義理と革新を堅持し、深層合成サービス統治に貢献する中国の知恵
习近平总书记指出:“要深度参与全球科技治理,贡献中国智慧,塑造科技向善的文化理念,让科技更好增进人类福祉,让中国科技为推动构建人类命运共同体作出更大贡献!”近年来,我国加快推进新技术新应用创新发展,并对技术发展过程中带来的挑战及时回应,针对区块链信息服务、互联网信息服务算法推荐活动、汽车数据安全管理等技术发展的新兴领域加速出台相关立法,为保障数字经济高质量发展、提升我国数字治理能力提供了法治保障。 習近平総書記は、"我々は世界の科学技術ガバナンスに深く参加し、中国の知恵を貢献し、科学技術の文化的概念を善導し、科学技術に人類の福祉をより促進させ、中国の科学技術に人類運命共同体の構築の推進にもっと貢献させるべきだ!"と指摘している。 近年、中国は新技術とアプリケーションの革新的開発を加速し、技術発展の過程でもたらされる課題に適時に対応し、ブロックチェーン情報サービス、インターネット情報サービスのアルゴリズム推薦活動、自動車データ安全管理などの技術発展の新興分野に対する関連法案の導入を加速し、デジタル経済の高品質の発展を保護するための法の支配を保証し、中国のデジタル統治能力を高めている。
针对深度合成技术带来的颠覆性风险挑战,多个国家和地区不断探索深度合成服务的治理路径。美国从联邦和州层面推出立法提案,欧盟将深度合成涉及的个人数据保护问题纳入《通用数据保护条例》(GDPR)的规制框架,德国、英国、新加坡、韩国等国将深度合成相关犯罪纳入刑法范畴,但尚未有国家出台规范深度合成服务的专门立法。《规定》立足我国发展实践,充分发挥法治固根本、稳预期、利长远的保障作用,率先通过体系化制度安排,构建深度合成服务治理机制,塑造科技向善的治理理念,提供了保护与发展并行的中国方案。(作者:王志勤,中国信息通信研究院副院长) 深層合成技術がもたらす破壊的なリスクの課題に対応するため、いくつかの国や地域では、深層合成サービスのガバナンスの道を模索し続けている。 米国では連邦・州レベルから法制化の提案がなされ、欧州連合では深層合成に関わる個人情報の保護を一般データ保護規定(GDPR)の規制対象に組み込み、ドイツ、英国、シンガポール、韓国などでは深層合成に関わる犯罪を刑法の範囲に含めているが、深層合成サービスを規制する特別な法律を導入した国はまだ存在しない。 中国の発展実践に基づき、本規定は法の支配を十分に発揮して基礎を強化し、期待を安定させ、長期保護を促進し、体系的な制度配置により深層合成サービスのガバナンス機構を率先して構築し、技術の善用というガバナンス概念を形成し、保護と発展の並行に対する中国の解決策を提供するものである。 (筆者:中国情報通信技術研究院副院長 王志琴)。

 

 

・2022.12.12 专家解读|规范智能技术供给 构建现代化深度合成治理能力

专家解读|规范智能技术供给 构建现代化深度合成治理能力 専門家の解釈|知的技術の供給を調整し、現代の深層合成統治能力を構築する。
随着人工智能技术的快速发展,数字产业化进程不断加快,产业数字化、智能化水平进一步提升。多媒体深度合成技术是人工智能技术的重要研究和典型应用领域,涉及深度学习、虚拟现实、预训练大模型等生成合成类算法,国内外著名高校、科研机构、互联网公司和人工智能企业纷纷展开相关技术研究。随着其与互联网信息服务的深度融合,在变革互联网信息制作模式、智能生产新闻媒体内容、改善人机交互体验、繁荣数字经济等方面产生巨大影响。同时我们应该清醒地认识到,利用该技术进行违法和不良信息的制作、复制、发布、传播等行为,对维护网络安全、社会经济稳定、公共利益带来巨大挑战。习近平总书记在党的二十大报告中强调,“健全网络综合治理体系,推动形成良好网络生态”。2022年11月25日,国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》(以下简称《规定》),《规定》深入贯彻《网络安全法》《数据安全法》《个人信息保护法》《互联网信息服务管理办法》等法律、行政法规,聚焦突出问题,有效规范深度合成服务,加强网络内容建设,强化对人工智能技术、服务、内容、平台的综合治理能力。 人工知能技術の急速な発展に伴い、デジタル産業化のプロセスは加速し、産業のデジタル化・知能化のレベルはさらに向上している。 マルチメディア深層合成技術は、深層学習、バーチャルリアリティ、事前学習された大規模モデルなどの生成合成クラスのアルゴリズムを含む人工知能技術の重要な研究および典型的な応用分野であり、国内外の有名大学、研究機関、インターネット企業、人工知能企業が関連技術の研究を開始した。 インターネット情報サービスとの深い融合により、インターネット情報生産のモードを変え、ニュースやメディアコンテンツの知的生産、人間とコンピュータの対話体験の向上、デジタル経済の活況に大きな影響を与えることができるのである。 同時に、この技術を違法で望ましくない情報の生産、複製、出版、普及に利用することは、ネットワークセキュリティの維持、社会・経済の安定、公共の利益に対して大きな課題をもたらすことを冷静に認識する必要がある。 習近平総書記は第20回党大会報告で「総合的なネットワークガバナンス体制を整備し、良好なネットワーク生態の形成を促進する」と強調した2022 11月25日、国家インターネット情報弁公室、工業・情報化部、公安部が共同で「インターネット情報サービス深層合成管理規定」(以下「規定」という)を公布した。 )、「ネットワークセキュリティ法」、「データセキュリティ法」、「個人情報保護法」、「インターネット情報サービス管理弁法」およびその他の法律や行政法規の「規定」の徹底実施、未解決の問題に焦点を当て、深い合成サービスの有効な規制、ネットワークコンテンツの建設を強化、AI技術、サービス、コンテンツ、プラットフォームの総合ガバナンスを強化する。
一、坚持维护国家利益和站稳人民立场,强化算法治理能力 1:国益を守り、国民の立場を堅持し、アルゴリズムによる統治能力を強化する。
《规定》落实总体国家安全观,坚持以人民为中心,对利用深度合成技术危害国家安全和利益、损害国家形象、侵害公民合法权益和隐私的行为,作出全面、具体的回应,对现行算法应用安全监管规则进一步细化,为营造风清气正的网络空间提供制度保障和治理依据。 本規定は、国家安全保障の全体構想を実施し、国民を中心とすることを堅持し、深層合成技術の使用が国家の安全と利益を脅かし、国のイメージを損ない、国民の合法的権益とプライバシーを侵害することに対して包括的かつ具体的に対応し、既存のアルゴリズム応用安全規制の規定をさらに洗練させ、清潔で高潔なサイバー空間の構築に向けた制度保障と統治基礎を提供するものである。
(一)有效衔接现行法规制度,健全我国算法综合治理体系。在《网络安全法》《数据安全法》《个人信息保护法》《互联网信息服务管理办法》等法律法规框架下,深刻把握深度合成服务存在的安全风险,与《网络信息内容生态治理规定》《互联网信息服务算法推荐管理规定》《网络音视频信息服务管理规定》等相关规定制度紧密衔接,理清深度合成技术定义与应用场景,明确服务提供者的信息安全主体责任,延伸互联网信息服务算法治理思路,给出生成合成类算法服务安全管理样板,完善了我国互联网信息服务算法综合治理体系。 (1) 既存の規制や制度を効果的に結びつけ、中国におけるアルゴリズムの包括的なガバナンス体制を整備する。 「ネットワークセキュリティ法」、「データセキュリティ法」、「個人情報保護法」、「インターネット情報サービス管理弁法」などの法規の枠内で、深層合成サービスのセキュリティリスクを深く把握し、「ネットワーク情報コンテンツ生態ガバナンス規定」、「インターネット情報サービスアルゴリズム推薦管理規定」、「ネットワーク音声映像情報サービス管理規定」などの関連規定と制度を密接に結び付けて、深層合成を明確化する。 技術の定義と応用シナリオを明らかにし、サービス提供者の情報セキュリティの主な責任を明らかにし、インターネット情報サービスアルゴリズムのガバナンスの考えを拡張し、世代合成のアルゴリズムサービスのセキュリティ管理のモデルを与え、中国のインターネット情報サービスアルゴリズムの包括的なガバナンスシステムを向上させる。
(二)构建多方共同治理格局,创新人工智能伦理监管的中国方案。《规定》统筹各方力量,构建政府监管、企业履责、行业自律、社会监督的多元共治体系,将网络信息内容生态治理和深度合成服务管理有机结合,通过贯穿深度合成服务事前事中事后的监管模式,针对不同的深度合成活动给出规范要求,进一步明确深度合成服务提供者、技术支持者和使用者以及应用程序分发平台责任,鼓励推动行业自律和出台标准规范,要求社会监督和申诉渠道畅通,及时处理公众诉求,对深度合成服务管理提出了兼具针对性、指导性、规范性的中国方案。 (2)人工知能の倫理的規制のための複数当事者による共同ガバナンスパターンの構築と中国式ソリューションの革新。 本規定は、各方面の努力を結集し、政府の監督、企業の責任、業界の自主規制、社会の監督という多元的な共通ガバナンスシステムを構築し、ネットワーク情報コンテンツの生態ガバナンスと深層合成サービスの管理を有機的に結合し、深層合成サービスの事前・中間・事後を通じた監督モードにより、異なる深層合成活動に規制要件を与え、深層合成サービス提供者、技術支援者とユーザー、アプリケーション配信プラットフォームの責任をより明確にしたものである。 やアプリケーション配信プラットフォームなどの業界自主規制の推進と標準・規範の導入を奨励し、社会的な監督と苦情のためのオープンなルートを求め、国民の要求に迅速に対応し、深い合成サービスの管理について、的を射た、指導的で規範的な中国の解決策を提案している。
(三)聚焦违法和不良信息治理,引导深度合成服务向上向善。针对利用深度合成服务制作、复制、发布、传播违法信息等行为,《规定》划定“红线”,规定不得利用深度合成服务开展法律法规禁止的活动,要求深度合成服务提供者制定和公开管理规则、平台公约,完善服务协议,依法依约履行信息安全管理责任。发现违法和不良信息的,依法采取处置措施,保存有关记录,及时向有关主管部门报告。 (3)違法・不適正情報の管理に注力し、深層合成サービスをより良い方向へ導く。 深層合成サービスを利用して、違法な情報を作成、コピー、公開、拡散するなどの行為に対して、「規制」は「レッドライン」を引き、深層合成サービスを利用して法令で禁止されている行為を行ってはならないと規定し、深層合成サービス事業者に管理規定、プラットフォーム規約の策定と公開、サービス契約の改善を求め、その実現に向けた取り組みを行っている。 情報セキュリティーの管理責任。 万が一、違法な情報、好ましくない情報を発見した場合は、法令に基づき処分し、記録を残すとともに、関係当局に適時に報告する。
(四)促进智能技术健康有序发展,引领相关信息产业落地应用。《规定》的发布进一步提升了我国网络空间信息安全治理能力,引导以深度学习为主的新兴智能技术健康发展,有效促进围绕音频、视频、图像和文本的多模态人工智能算法在应用管理方面的积极探索。随着深度合成技术应用的普及和发展,深度合成检测技术也将顺势而来,通过深度合成与检测的技术演练与应用对抗,能促进构建良性迭代的深度合成信息服务生态,共同推动新兴人工智能技术应用落地。 (4) 知的技術の健全で秩序ある発展を促進し、関連情報産業の陸上応用をリードする。 本規定の発表により、中国のサイバースペース情報セキュリティガバナンス能力がさらに強化され、深層学習を中心とする新興知能技術の健全な発展が導かれ、アプリケーション管理における音声、映像、画像、テキストを中心としたマルチモーダル人工知能アルゴリズムの活発な探求が効果的に促進される。 深層合成技術の応用の普及と発展に伴い、深層合成の検出技術もその流れに乗ってくる。 深層合成と検出の技術リハーサルと応用対決を通じて、良性反復深層合成情報サービス生態の構築を促進し、新興人工知能技術の地上への応用を共同で推進することが可能である。
二、界定各方责任要求,构建深度合成服务治理体系 2:すべての関係者の責任要件を定義し、深い合成サービスガバナンスシステムを構築する。
《规定》明确各方在深度合成活动全流程的主体责任,在《互联网信息服务算法推荐管理规定》已有规定基础上,明确指导性极强的生成合成标识方法,要求完善管理制度和技术保障措施。 規定は、「インターネット情報サービスアルゴリズム推薦管理規定」に基づいて、深層合成活動の全過程であるすべての当事者の主な責任を明確に規定している、明確な指導は合成ロゴ方式を生成するために非常に強い、完璧な管理システムと技術的なセーフガード対策が必要である。
(一)明确义务要求,强化主体责任。《规定》分析梳理了深度合成活动边界,明确了深度合成技术定义,对深度合成服务提供者、技术支持者和使用者以及应用程序分发平台等主体应履行的责任义务作出规定,如深度合成服务提供者应履行建立健全管理制度、对使用者真实身份信息认证、加强深度合成信息内容管理等义务,服务提供者和技术支持者应履行加强训练数据管理、加强深度合成技术管理等义务。同时,《规定》对具有舆论属性或者社会动员能力的深度合成服务提供者提出了更严格的监管要求。 (1)明確な義務要件、主要な責任を強化する。 本規定は、深層合成活動の境界を分析・整理し、深層合成技術の定義を明確にし、深層合成サービス提供者、技術支援者、ユーザーおよびアプリケーション配信プラットフォームなどの主体が果たすべき責任と義務について規定している。例えば、深層合成サービス提供者は健全な管理システムの構築、ユーザーの真の身元情報の認証、深層合成情報コンテンツの管理強化などの義務を果たすべきとしている。 サービス提供者および技術支援者は、学習用データの管理強化、深層合成技術の管理強化などの義務を果たすこと。 同時に、同規定は、世論属性や社会動員能力を持つ深層合成サービス提供者に対するより厳しい規制要件を打ち出している。
(二)监管针对性强,涵盖技术管理要求。《规定》针对利用生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息,明确了算法备案、安全评估、显著标识等强制性要求及适用情形,如规定深度合成服务提供者和技术支持者若生成或编辑生物识别信息,必须进行算法安全评估。此外,《规定》针对各类生成合成技术应用,还提出要加强制度建设、技术保障措施安全可控、制定和公开管理规则、完善服务协议、建立健全辟谣机制等要求。 (2)技術的な管理要件を網羅した、対象性の高い規制である。 同規定は、テキスト、画像、音声、映像、仮想シーンなどのネットワーク情報を生成するための生成・合成アルゴリズムの使用について、アルゴリズムの申請、セキュリティ評価、著名な識別などの必須要件と適用状況を規定しており、深層合成サービス提供者と技術支援者が生体情報を生成または編集する場合は、アルゴリズムのセキュリティ評価を実施しなければならないと定めているなど。 また、生成合成技術の各種応用について、システム構築の強化、安全・制御のための技術的保障措置、管理規定の策定と公開、サービス協定の改善、偽情報に対する健全なメカニズムの確立などの要件も提示している。
(三)细化标识规则,明确具体规范要求。《规定》对《互联网信息服务算法推荐管理规定》关于生成合成类算法标识相关要求作出细化,明确采取技术措施添加不影响用户使用的标识,如可能导致混淆或者误认的,还应当在合理位置、区域进行显著标识等要求,规定任何组织和个人不得采用技术手段删除、篡改、隐匿深度合成标识。 (3)マーキングのルールを洗練させ、具体的な仕様要件を明確にする。 同規定は、合成クラスアルゴリズムのロゴの生成に関する「インターネット情報サービスアルゴリズム勧告の管理に関する規定」の要件を改良し、混乱や誤認につながる可能性のあるロゴなど、利用者の使用に影響を与えないロゴを追加する技術的措置を明確にするだけではなく、合理的な場所、重要な識別用の領域およびその他の要件で、組織および個人は、削除、改ざん、合成ロゴの深さを隠すために技術的手段を使用しないことを規定している。
三、强化支撑体系建设,推动深度合成治理走深向实 3:サポートシステムの構築を強化し、より深く、より実用的に行くために合成ガバナンスの深さを促進する
随着数字化、智能化进程的加快,互联网信息服务综合治理不断细化、深入,规范深度合成活动对营造健康安全的网络空间和加强社会治理有着重要意义。为推动《规定》落实,下一步建议加强如下工作: デジタル化・知的化の加速に伴い、インターネット情報サービスの総合的なガバナンスは絶えず洗練され、深化しており、健全で安全なサイバースペースを作り、社会ガバナンスを強化するために、深化合成活動の標準化は大きな意義がある。 規定の実施を促進するために、次の作業を強化することが推奨される。
一是强化智能监管平台支撑。加大科技攻关力度,深入研究深度合成类算法内生安全机理和深度合成鉴别等关键技术,推动深度合成管理技术能力建设。加强人机混合的智能监管技术,研究深度合成服务提供者的安全可控技术保障方案,把监管规范转化为评估标准,建设面向网络全域监管的监测管理平台。研发深度合成与鉴别对抗机制,鼓励新兴科技企业与研究机构开展技术演练,共同推动深度合成服务健康发展。紧密结合国际前沿,建设自主可控的深度合成算法安全应用体系与技术生态。 第一に、インテリジェントな監視プラットフォームのサポートを強化することである。 科学技術研究の努力を高め、深層合成クラスアルゴリズムの内生的なセキュリティ機構と深層合成の識別と他のキーテクノロジーについて深く研究し、深層合成管理技術の能力構築を促進する。 人と機械のハイブリッド型知能監督技術を強化し、深層合成サービス業者のセキュリティ制御可能な技術保証方式を研究し、監督仕様を評価基準に転換し、ネットワーク全体の監督を行う監視管理プラットフォームを構築する。 深層合成と識別対決のメカニズムを研究開発し、新興技術企業や研究機関に技術演習を奨励し、深層合成サービスの健全な発展を共同で促進する。 国際的なフロンティアと密接に統合し、独立した制御可能な深層合成アルゴリズムセキュリティ応用システムと技術エコロジーを構築する。
二是强化人工智能安全评估支撑。抓紧建立深度合成安全评估机制,组织研究制定深度合成安全评估相关标准规范,基于《规定》要求和深度合成类算法机制机理特点,对评估流程、方法、内容等制定规定,明确提供具有对人脸、人声等生物识别信息或者可能涉及国家安全、国家形象、国家利益和社会公共利益的特殊物体、场景等非生物识别信息编辑功能的模型、模板等工具的,应当进行安全评估。组建专业队伍对相关深度合成服务提供者和技术支持者评估情况进行检查,以评促建,完善行业标准,加强行业自律,加快推进深度合成服务规范化。 第二に、AIセキュリティ評価への対応強化である。 深層合成セキュリティ評価メカニズムの確立を把握し、深層合成セキュリティ評価関連標準と規範の研究開発を整理し、規定の要求と深層合成型アルゴリズムのメカニズム特性を踏まえ、評価プロセス、方法、内容などの規定を策定し、人の顔、人の声などの生体情報の編集機能を持ち、国家安全、国家イメージ、国家利益、社会公共利益に関わる可能性がある特殊な対象や場面について明確に規定すること。 顔や声などの非生体情報、特殊なオブジェクトやシーンを編集する機能を持つモデルやテンプレートなどのツールで、国家安全保障、国家イメージ、国益、社会公共性に関わる可能性がある場合は、セキュリティ評価を実施するものとする。 専門チームを結成し、関連する深層合成サービス提供者と技術支援者の評価を検査し、評価を通じて建設を推進し、業界標準を向上させ、業界の自主規制を強化し、深層合成サービスの標準化を加速させることにした。
三是加强科普宣贯工作支撑。配合国家人工智能算法综合治理工作部署,面向互联网企业、重点行业企业和相关管理部门等进行《规定》的宣贯培训,督促企业提升深度合成技术服务水平;推进多模态人工智能相关学科研究全面开展,培育高层次人才,鼓励相关科研机构、高校与企业建立广泛合作机制;加强科普教育,提升音视图文多媒体深度合成技术透明度,引导社会各界积极参与社会监督,共同推进深度合成服务综合治理,强化多方治理成效。(作者:徐波,中国科学院自动化研究所所长) 第三に、科学技術の宣伝活動への支援を強化すること。 国家AIアルゴリズム総合ガバナンスの展開に協力し、インターネット企業、重点産業企業、関連管理部門などに規定の伝播訓練を行い、企業に深層合成技術サービスのレベル向上を促し、マルチモーダルAI関連分野の総合研究を推進し、ハイレベル人材を育成し、関連科学研究機関や大学に企業との幅広い協力メカニズムの構築を促し、大衆科学教育の強化、強化する。 また、中国科学院(CAS)は、音声、映像やグラフィックマルチメディアの深層合成の新技術の開発に取り組んでおり、社会のあらゆる部門が積極的に社会監督に参加するよう指導し、深層合成サービスの包括的なガバナンスを共同で推進し、複数政党によるガバナンスの有効性を高めている。 (著者:中国科学院自動化研究所所長 徐波)。

 

 

・2022.12.12 专家解读|推动深度合成服务综合治理 促进深度合成技术安全发展

 

专家解读|推动深度合成服务综合治理 促进深度合成技术安全发展 専門家の解釈|深層合成サービスの包括的なガバナンスの推進 深層合成技術の安全な開発の推進
随着新一代信息技术的快速发展,深度合成技术作为人工智能领域的新应用、新实践,已在多个行业场景中被推广应用,并催生了“元宇宙”等新的应用场景。当前,网络传播环境日趋复杂,新型合成方法层出不穷,技术滥用的风险也在不断加剧。为加强互联网信息服务深度合成管理,国家互联网信息办公室、工业和信息化部、公安部联合发布了《互联网信息服务深度合成管理规定》(以下简称《规定》)。《规定》构建了互联网信息服务深度合成治理制度规范,迈出我国新技术新应用立法的重要一步。 新世代の情報技術の急速な発展に伴い、深層合成技術は人工知能分野の新しい応用・実践として、多くの産業シーンで推進・応用され、「メタ宇宙」などの新しい応用シーンを生み出している。 現在、インターネットの通信環境はますます複雑化し、新しい合成方法が登場し、技術の乱用の危険性が高まっている。 インターネット情報サービスの深層合成の管理を強化するため、国家インターネット情報弁公室、工業情報化部、公安部が共同で「インターネット情報サービスの深層合成管理弁法」(以下「弁法」)を制定した。 この規定は、インターネット情報サービスの綿密な総合的なガバナンスのためのシステム仕様を構築し、中国における新技術とアプリケーションの法制化に重要な一歩を踏み出した。
一、《规定》出台必要及时,意义深远 1:本規定の導入は必要かつ適時であり、広範囲な意義がある。
技术发展与风险挑战相伴而生,新技术新应用发展日新月异,技术治理是一场永恒的攻防对抗博弈,也是技术从创新应用到规范发展的必经阶段。当前,换脸、换声、三维重建、智能对话等深度合成服务已经在国外互联网社交媒体中广泛应用,催生了美颜美妆、影视制作、智能客服、虚拟主播、元宇宙等一系列形式新颖丰富、功能便捷智能的应用形态,丰富了互联网信息内容生态,推动了互联网相关产业发展,为人民生活带来了便利便捷和多样化体验。然而,深度合成技术也正在被恶意利用制作虚假信息内容,进而可能带来政策干扰、谣言泛滥、低俗内容肆意传播等影响国家安全、社会稳定的风险问题。 技術の発展とリスクの課題は手をつないで行く、新技術と新しいアプリケーションの開発は、日々変化している、技術ガバナンスは、攻撃と防御の間の対立の永遠のゲームであるが、また、革新的なアプリケーションから必要な段階の開発を標準化するための技術。 現在、フェイスチェンジ、ボイスチェンジ、3D再構成、知能対話などの深層合成サービスは、インターネット上の海外ソーシャルメディアに広く利用され、一連の新しくて豊かな美容、映画・テレビ制作、知能接客、バーチャルアンカー、メタ宇宙などの便利で知的な応用形態を生み出し、インターネット情報コンテンツ生態を豊かにし、インターネット関連産業の発展を促進し、人々の生活に便利さと便利さをもたらすようになった。 人々の暮らしに便利さと多様性をもたらしている。 しかし、深層合成技術は、虚偽の情報コンテンツを作成するために悪用されることもあり、その結果、政策妨害、風説の流布、低俗なコンテンツの野放図な拡散など、国家の安全や社会の安定に影響を与える危険な問題を引き起こす可能性がある。
出台《规定》,是进一步提升网络综合治理能力的应时应势之举,具有针对性和前瞻性。《规定》是目前我国针对深度合成服务出台的第一部专门性部门规章,作出了一系列明确合规指引,对加强互联网信息服务深度合成管理、促进互联网信息服务健康发展、推进网络空间治理意义重大,影响深远。 この規定は、インターネットの包括的なガバナンスをさらに強化するためのタイムリーで前向きな動きである。 本規定は、中国で初めて発行された深層合成サービスの専門部門規定であり、一連の明確な遵守指針を作り、インターネット情報サービスの深層合成の管理を強化し、インターネット情報サービスの健全な発展を促進し、サイバースペースのガバナンスを進める上で大きな意義と遠大な影響を与えるものである。
二、《规定》为深度合成技术安全应用和健康发展奠定制度基础 2:合成技術安全アプリケーションの深さと制度的基盤の健全な発展のための規制
(一)明确了深度合成技术定义和服务范围。深度合成技术由来已久,随着深度学习技术,特别是对抗式生成网络技术的发展,深度合成技术门槛大幅降低,2017年11月Reddit网站的用户“deepfakes”发布伪造视频令这项技术引起关注。近年来,深度伪造技术在国内外反响强烈,其以制作足以“以假乱真”的信息内容严重威胁国家安全、干扰传播秩序,让人们广泛关注和深切担忧,给相关技术和产业发展带来一定影响。从技术进步的角度来说,深度合成技术应用的初衷是让生成合成内容更逼真,但深度合成技术在愈趋“智能”的同时,也不可避免地带来更多的安全风险,除深度伪造风险外,还包括生成合成信息内容带来的个人信息泄漏、侵犯人格权和知识产权等他人合法权益等风险。 (1)深層合成技術およびサービス範囲の定義を明確化した。 深層合成技術の歴史は古く、深層学習技術、特に敵対的生成ネットワーク技術の発展に伴い、深層合成技術の敷居は大きく下がってきている。 近年、深層偽造技術は、「偽造」可能な情報コンテンツを作成することにより、国家の安全を著しく脅かし、通信秩序を阻害する恐れがあるため、国内外で強い反響を呼び、広く懸念と深い悩みを引き起こし、関連技術や産業の発展に一定の影響をもたらしている。 技術進歩の観点から、深層合成技術の応用は、生成された合成コンテンツをよりリアルにすることが本来の目的であるが、深層合成技術がより「知的」になる一方で、深層偽造のリスクに加えて、生成された合成情報コンテンツがもたらす個人情報の流出、人格権や知的財産権など他者の正当な権利・利益の侵害など、セキュリティリスクも必然的に多くなっている。 深層偽造のリスクだけでなく、個人情報の漏洩、個人情報や知的財産権などの正当な権利・利益の侵害のリスクもある。
《规定》在深度伪造基础上对深度合成技术作出了更全面的规范,从利用算法角度提出包括利用深度学习、虚拟现实等生成合成类算法,从制作内容形态角度提出包括文本、图像、音频、视频、虚拟场景等多种类型,从具体应用形态上分类列举了多种典型场景,明确了深度合成技术的定义和范围。 今回の規制では、深層偽造をベースに、深層学習やバーチャルリアリティなどを利用して合成クラスのアルゴリズムを生成するなどのアルゴリズムを利用する観点、テキスト、画像、音声、映像、仮想シーンなどのコンテンツ形態を作る観点、具体的な応用形態から、様々な典型的シナリオを分類・リスト化し、深層合成技術の定義と範囲を明確化し、より包括的に仕様化している。
(二)从内容管理深化到行为管理。有别于信息内容发布与传播,互联网信息服务深度合成活动是一项涉及算法技术、应用功能、产品业务,覆盖数据采集、分析、编辑、加工等多环节的数据处理过程,产生的安全风险也是由参与多方、不同环节共同作用形成的,因此对互联网信息服务深度合成的规范和引导,需要覆盖各主体、各环节。 (2) コンテンツ管理から行動管理への深化。 情報コンテンツの公開と普及とは異なり、インターネット情報サービスの深層合成活動は、アルゴリズム技術、アプリケーション機能、製品事業を含むデータ処理プロセスであり、データの収集、分析、編集、加工など複数のリンクをカバーしており、発生したセキュリティリスクも複数の当事者の参加と異なるリンクによって一緒に形成されるため、インターネット情報サービスの深層合成の仕様と指導は、すべての対象者とすべてのリンクをカバーする必要がある。 したがって、インターネット情報サービスの深層合成のための規制とガイダンスは、すべての主題とリンクをカバーする必要がある。
《规定》明确了相关主体的责任和义务。在监管主体上,将深度合成服务技术支持者纳入管理。服务技术支持者为上游主体,为服务提供者提供技术支撑;服务提供者为中游主体,为服务使用者提供深度合成服务;服务使用者为下游主体,是使用深度合成服务的组织、个人。《规定》从信息呈现和传播两个维度开展治理,通过显式标识和隐式标识两种管理手段,实现对内容和行为双重规范。在信息呈现方面,提出深度合成服务提供者应当在可能导致公众混淆或者误认的深度合成信息内容中加入显式标识,以提示公众该内容的生成合成特性,保障公众知情权,降低虚假信息传播的风险,实现内容治理。在信息传播方面,通过有效技术保障措施在深度合成信息内容中添加隐式标识,实现深度合成内容安全溯源和技术应用安全可控,确保内容传播链条明确清晰,事后追责准确无误,实现行为治理,为参与深度合成信息内容制作传播的各方主体厘清责任边界。 同規定は、関連する対象者の責任と義務を明確にしている。 規制対象では、管理への合成サービス技術サポーターの深さ。 サービス技術支援者はサービス提供者の技術支援を行う川上の主体、サービス提供者はサービス利用者に深層合成サービスを提供する川中の主体、サービス利用者は深層合成サービスを利用する組織や個人である川下の主体である。 この規制は、情報の提示と伝達という二つの次元から、明示的識別と暗黙的識別という二つの管理手段を通じてガバナンスを行い、コンテンツと行動の二重の規制を実現するものである。 情報提示の面では、深層合成サービス事業者は、深層合成情報のコンテンツに、一般の人の混乱や誤解を招くような明示的な識別を入れることで、コンテンツの合成特性を示し、国民の知る権利を保護し、誤った情報を拡散するリスクを低減し、コンテンツのガバナンスを実現することが提案されている。 情報発信の面では、効果的な技術的セーフガードを通じて、深層合成情報コンテンツに暗黙の識別情報を付加し、深層合成コンテンツの安全なトレーサビリティと安全で制御可能な技術的応用を実現し、コンテンツ発信の連鎖を明確かつ曖昧にせず、事後の説明責任を正確に果たし、行動ガバナンスを実現するとともに深層合成情報コンテンツの制作と発信に関わるすべての関係者の責任の境界を明確にする。
(三)突出全过程安全评估管理。2021年12月,国家互联网信息办公室发布《互联网信息服务算法推荐管理规定》(以下简称《算法规定》),对包括生成合成类在内的五类算法推荐服务进行规范。《规定》在《算法规定》基础上,一是加强对深度合成服务全过程管理。深入深度合成服务的数据处理环节、算法运行阶段、使用者行为全过程,提出更明确细化和更具有操作性的管理要求和合规指引。二是深化备案与评估标本兼治。《规定》要求具有舆论属性或者社会动员能力的深度合成服务提供者和技术支持者依法履行算法备案手续,并公示备案编号,有助于引导互联网信息服务深度合成合规运营、提升产品口碑、增强企业互信、促进行业健康发展。《规定》明确了对深度合成服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能应当开展安全评估管理,有助于帮助企业防范和应对深度合成内容安全风险、数据安全风险和技术滥用风险,有助于促进管理部门备案摸底、风险监测和监督检查等工作依法开展、落地成效。 (2021年12月、国家サイバースペース管理局は「インターネット情報サービスのアルゴリズム推薦管理弁法」(以下「アルゴリズム弁法」)を公布し、合成クラスの生成など5種類のアルゴリズム推薦サービスを規制した。 本規定は、アルゴリズム規定に基づいており、その1つは、深層合成サービスの全プロセスの管理を強化することである。 徹底的な合成サービスデータ処理リンク、アルゴリズム操作段階、全体のプロセスのユーザーの動作は、より明確かつ詳細で、より運用管理要件とコンプライアンスガイドラインを提唱した。第二に、基準と根本原因の両方について、ファイリングと評価を深めることである。 「規定」は、世論属性または社会動員能力を持つ深層合成サービス提供者と技術支援者が、法律に従ってアルゴリズム申請手続きを行い、申請番号を公表することを求め、インターネット情報サービスの深層合成コンプライアンス運用を指導し、製品評価を高め、企業の相互信頼を強化し、業界の健全な発展を促進させる。 本規定は、世論属性または社会動員能力を持つ深層合成サービスの提供者が開発しオンライン化した新製品、アプリケーションおよび機能は、セキュリティ評価および管理の対象とすべきであることを明確にし、企業が深層合成コンテンツのセキュリティリスク、データセキュリティリスクおよび技術誤用リスクを防止および対応し、管理部門が法に基づきファイリングおよびマッピング、リスク監視および監督・検査作業を促進し、実施の有効性に寄与することを支援する .
三、健全深度合成治理技术支撑体系,促进服务健康有序发展 3:合成統治技術支援システムの深化を図り、サービスの健全かつ秩序ある発展を促進する。
《规定》的出台,是网络内容治理由结果管理迈向行为管理的重要一步,标志着我国网络空间治理能力进一步优化提升。但是,深度合成技术与应用管理目前仍处于起步阶段,在技术支撑和能力建设方面有待进一步加强。加快推进深度合成治理技术支撑体系建设,是切实保障深度合成服务治理工作有力有序推进的关键。建议从以下方面加强工作: 本規定の導入は、ネットワークコンテンツガバナンスが結果管理から行動管理へと移行する重要なステップであり、中国のサイバースペースガバナンス能力のさらなる最適化と強化を意味している。 しかし、綿密な合成技術やアプリケーションの管理はまだ発展途上であり、技術支援や能力開発の面でさらに強化する必要がある。 深層合成ガバナンス技術支援システムの構築を加速させることは、深層合成サービスガバナンスの強力かつ秩序ある推進を効果的に保証するための鍵である。 以下のような観点で強化することを提案する。
(一)促进多方共治深入细化安全标准。《规定》充分结合深度合成技术特点与发展趋势,提出了针对深度合成服务和技术的普适性的规范思路,但在生成合成类算法服务范围、深度合成技术具体范围、深度合成服务业务分类、显式标识条件与标识方式、隐式标识方法与识别等诸多具体方面,仍亟需行业内部进一步细化相关配套标准规范。在实际落地过程中,建议行业内推进产业联盟建立,研制相关标准规范,以产业自治、多方共治的方式,不断推进深度合成技术应用高质量发展。 (1)マルチパーティガバナンスを推進し、セキュリティ標準を徹底的に改良する。 しかし、合成クラスアルゴリズムのサービス範囲、合成技術の特定範囲、合成サービスの業務分類、明示的な識別条件と識別モード、暗黙的な識別方法と識別など、多くの具体的な面では、業界内の関連サポートをさらに改良する必要がある。 標準仕様である。 実際の実施プロセスにおいては、産業界の自律性と多者間ガバナンスにより、産業界のアライアンス構築、関連規格・仕様の策定、深層合成技術応用の高品質な発展を継続的に推進することが提案されている。
(二)用以技术管技术思维促进深度合成服务治理。深度合成技术是一项非常前沿的智能技术,治理其带来的安全问题不能仅靠传统的结果导向治标方法。建议从深度合成信息内容源头上解决其衍生的内容安全风险,利用技术创新、技术对抗等方式,持续提升和迭代检测技术的能力。互联网信息服务深度合成综合治理,不仅着眼于管理好、使用好、发展好深度合成技术及相关服务,同时,也致力于深度合成技术的合法合理合规使用,促进深度合成技术及相关服务健康有序的发展。 (2) 技術を使って技術思考を管理し、深い総合的なサービスガバナンスを推進する。 深層合成技術は非常に先端的な知能技術であり、それによってもたらされるセキュリティ問題のガバナンスは、従来の結果主義的な対処法だけに頼ることはできない。 深層合成された情報コンテンツに由来するコンテンツセキュリティリスクに対して、技術革新、技術対決などを駆使して、検知技術の能力を継続的に向上、反復させながら、ソースから対処することが推奨される。 インターネット情報サービスの深層合成の総合的なガバナンスは、深層合成技術と関連サービスの良好な管理、使用、発展に重点を置くだけでなく、深層合成技術の合法的、合理的、コンプライアンス的な使用に力を注ぎ、深層合成技術と関連サービスの健全で秩序ある発展を促進する。
(三)推进深度合成服务治理技术能力建设。构建互联网信息服务深度合成安全监管体系需要在技术支撑和能力建设方面进一步加强。国家科研机构应加大深度合成安全方面的科技攻关,建设深度合成安全评估和风险监测的科研创新平台,探索共建新型研发机构,形成引领深度合成安全基础研究的战略力量。组织建立专业技术评估队伍,研究深度合成安全内生机理、安全风险评估、全生命周期安全监测等关键技术。加强基础科研设施建设,完善算法安全治理人才队伍培养体系,提升深度合成自主创新和安全可控能力。(作者:孟丹,中国科学院信息工程研究所所长) (3)サービスガバナンスの深化技術的能力開発を推進する。 インターネット情報サービスの深層総合安全監督システムの構築は、技術支援と能力強化の面でさらに強化する必要がある。 国家科学研究機関は、深層合成セキュリティの科学技術研究を増加させ、深層合成セキュリティの評価とリスク監視の科学研究・イノベーションプラットフォームを構築し、新たな研究開発機関の共同構築を模索し、深層合成セキュリティの基礎研究をリードする戦略部隊を形成する必要がある。 深層合成の安全性に関する内因性メカニズム、安全性リスク評価、全生涯安全性モニタリングなどの主要技術を研究するための専門技術評価チームの設立を組織する。 基礎科学研究施設の建設を強化し、アルゴリズムセキュリティガバナンスの人材チームの育成システムを改善し、深層合成の自主革新能力とセキュリティ制御能力を強化する。 (筆者:中国科学院情報工学研究所所長 孟丹)。

 

 

・2022.12.12 专家解读|规范深度合成服务 营造风清气正的网络空间

专家解读|规范深度合成服务 营造风清气正的网络空间 専門家の解釈|クリーンなサイバースペースを実現するための深層合成サービスの規制
《互联网信息服务深度合成管理规定》(下文简称为《规定》)于2022年11月25日发布,标志着深度合成服务成为了我国算法治理中率先专门立法的算法服务类型。中共中央印发的《法治社会建设实施纲要(2020—2025年)》中提出完善网络信息服务方面的法律法规,制定完善算法推荐、深度伪造等新技术应用的规范管理办法。这一规章的出台将纲要提出的重要任务落地,凸显了深度合成技术在我国算法安全治理中的重要地位。 2022年11月25日に「インターネット情報サービス深層合成管理規定」(以下、規定)が発表され、深層合成サービスは中国のアルゴリズムガバナンスにおいて、初めて具体的に法制化されたアルゴリズムサービスの一種となった。 中国共産党中央委員会が発表した「法治社会実施要綱(2020-2025)」では、オンライン情報サービスに関する法規制を整備し、アルゴリズム推薦や深層偽造などの新技術を適用するための規制管理方法を開発・改善することが提案されている。 この規定の導入により、大綱で提案された重要な課題が実践され、中国におけるアルゴリズムセキュリティのガバナンスにおいて、深層合成技術の重要な位置づけが浮き彫りにされた。
深度合成技术,是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等信息的技术。近年来,深度合成技术应用广泛、形式多样,在影视、传媒、教育等领域有大量应用形式,可实现特效制作、元宇宙场景、虚拟仿真教学等功能。随着各类商业化产品普及,深度合成的信息内容也在网络上大量涌现,越来越多的社会公众接触到了深度合成技术。《规定》确立了我国对深度合成服务的治理框架,提出了明确的数据和技术管理规范,为促进深度合成技术向上向善,引导相关产业健康发展,确保互联网信息内容安全提供了有力的制度保障。 深層合成技術とは、深層学習、バーチャルリアリティなどの生成合成クラスのアルゴリズムを用いて、テキスト、画像、音声、映像、仮想シーンなどの情報技術を生成することである。 近年、深層合成技術は、映画やテレビ、メディア、教育などの分野で多くの応用形態があり、特撮制作、メタ宇宙シーン、バーチャルシミュレーション教育などの機能を実現することができます。 様々な商材の普及に伴い、インターネット上でも深層合成された情報コンテンツが急増し、より多くの一般人が深層合成技術に触れるようになった。 本規定は、中国における深層合成サービスのガバナンスの枠組みを確立し、明確なデータおよび技術管理規定を打ち出し、深層合成技術の上昇志向を促進し、関連産業の健全な発展を導き、インターネット情報コンテンツの安全性を確保するための強力な制度保障を提供するものである。
一、规范深度合成服务的重要意义 1:深層合成サービスの規制の重要性
深度合成服务是生成合成类算法的应用服务,属于我国《互联网信息服务算法推荐管理规定》中规定的生成合成类、排序精选类、检索过滤类、个性化推送类、调度决策类算法推荐服务中的一种。深度合成技术应用领域十分广泛,可以被用来生成和编辑文本、生成音乐、合成人声,如代替人创作诗歌和撰写词曲,自动生成伴奏音乐与合成歌声等。深度合成技术也可以被用来进行人脸生成、人脸替换、人脸操控,可被用来制作电影特效,或者生成以假乱真的人物视频。深度合成技术还可被用来进行图像生成、图像增强等,如2021年被广泛关注的FacePlay应用,只需要用户上传一张人脸照片,就可以生成不同服装场景的图片和视频。深度合成技术也极大地丰富了虚拟数字空间的信息内容,为更加多样化的传播行为提供了可能性。2021年10月,脸书宣布更名为“Meta”即元宇宙,即是利用深度合成技术创建虚拟世界,用户可以通过现实头戴设备与其他用户实现互动。 深層合成サービスは、合成クラス生成アルゴリズムの応用サービスであり、中国の「インターネット情報サービスアルゴリズム推薦管理弁法」に規定された合成クラス生成、選別クラス、検索・フィルタリングクラス、個人化推薦クラス、スケジュール・決定クラスの1種類のアルゴリズム推薦サービスに属する。 人間の代わりに詩や歌詞を作ったり、バックトラックの自動生成やボーカルの合成など、テキストの生成・編集、音楽の生成、人間の声の合成に利用できる。 また、Deep Synthesisは、顔の生成、顔の置き換え、顔の加工、映画の特殊効果や実在する人物の架空の映像の作成などにも利用できる。 Deep Synthesisは、画像生成や画像補正などにも利用でき、例えば2021年に注目されているFacePlayアプリは、ユーザーが顔写真をアップロードするだけで、様々な服装シーンの画像や動画を生成することができる。 2021年10月、Facebookは深層合成技術を使って、リアルなヘッドセットデバイスを通して他のユーザーと交流できる仮想世界を作り出すメタバース、Metaの名称変更を発表した。 メタ・ユニバースは、深層合成技術によって作られた仮想世界で、リアルなヘッドセットを介して他のユーザーと交流することができる。
随着深度合成技术的开源开放、深度合成产品和服务的逐渐增多,深度合成内容制作的技术门槛越来越低,深度合成服务已经实现了公众化、平民化,普通人仅需要少量的图像、音频、视频、文本等样本数据,利用简便易用的深度合成工具,就能够模糊真实信息和虚假信息的边界。深度合成技术诞生之初,由于技术的不成熟,尚存在合成的视频中人物微表情不自然、图像边缘有锯齿等明显痕迹。但近年来在网络传播的深度合成视频内容,人物动作的逼真度、自然度,以及视频整体的清晰度、流畅度都可以达到以假乱真的水平,用户已经难以鉴别。 深層合成技術のオープンソース化と深層合成製品・サービスの漸増により、深層合成コンテンツ制作の技術的な敷居はどんどん低くなり、深層合成サービスは一般化して、一般人は少量の画像、音声、動画、テキストなどのサンプルデータさえあれば、使いやすい深層合成ツールを使って、本物の情報と偽物の情報の境界を曖昧にすることができるようになった。 深層合成技術の黎明期には、技術の未熟さゆえに、合成された映像に不自然な微表情やギザギザの痕跡が残っていた。 しかし近年は、キャラクターの動きのリアルさや自然さ、映像全体のわかりやすさや流暢さなど、ユーザーが偽物を見分けることが難しいレベルにまで達している。
深度合成技术一旦被滥用,会造成巨大风险与实质性危害,可能给个人、企业造成肖像、名誉等人格和财产权益损害,也可能给社会秩序、国家政治稳定和安全造成巨大威胁。如将深度合成技术用于捏造国家政要言论、伪造公务人员虚假视频,可能给政治安全和国家安全带来重大危害。对个人与企业来说,深度合成技术的滥用也可能造成巨大权益损害。如企业高管被深度合成捏造视频篡改发言内容,可能造成市场恐慌,引发金融市场动荡。个人也可能被伪造虚假视频等,被用来向其亲友诈骗或者伪造不雅视频侵害其名誉权。 深層合成技術がひとたび悪用されれば、巨大なリスクと大きな被害をもたらし、個人や企業に肖像権、名誉などの人格権や財産権を侵害し、社会秩序、国家の政治的安定、安全保障に大きな脅威を与える可能性がある。 例えば、国家要人の発言や公務員の偽映像の捏造に深層合成技術が利用されれば、政治的安全保障や国家安全保障に大きな損害を与える可能性がある。 また、個人や企業にとっても、深層合成技術の悪用は、その権利や利益に大きな損害を与える可能性がある。 例えば、企業幹部が捏造映像や発言内容の改ざんなどの深層取材を受けた場合、市場にパニックを引き起こし、金融市場の混乱につながる可能性がある。 また、個人が、例えば、友人や親族を詐取したり、わいせつな動画を偽装して風評被害を受けたりする可能性もある。
由此可见,深度合成技术的快速发展为数字时代发展带来了令人期待的可能性,但也带来了令人担忧的巨大风险。习近平总书记指出,“网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好,符合人民利益。”规范和引导利用深度合成技术提供的互联网信息服务,最大限度地保护公民、企业合法权益,维护国家安全、政治稳定与社会公共秩序,促进技术向上向善造福社会,成为了立法立规的紧迫任务。 このように、深層合成技術の急速な発展は、デジタル時代の発展に有望な可能性を開くと同時に、重大で心配なリスクももたらすことが明らかである。 習近平総書記は、「サイバースペースは何億人もの人々の共通の心の故郷である」と指摘した。 サイバースペースの晴天と良好な生態系は国民の利益となる。" 深層合成技術を利用して提供されるインターネット情報サービスを規制・指導し、国民と企業の正当な権益を最大限に保護し、国家の安全、政治の安定と社会公共秩序を維持し、社会のために技術を振興することは、立法と規制の緊急課題となっている。
二、构建深度合成服务安全监管制度 2:綿密な合成サービスセキュリティ監督システムの構築
《规定》共分为五章,分别从总则、一般规定、数据技术管理规范、监督检查与法律责任、附则等部分,构建了深度合成服务的安全监管制度。在中华人民共和国境内应用深度合成技术提供互联网信息服务的,适用本规定。 法規は5章に分けられ、それぞれ総則、総則、データ技術管理仕様、監督検査と法的責任、附属書などの部分からなり、深い総合サービス安全監督システムを構築している。 本規定は、中華人民共和国における深層合成技術の応用によるインターネット情報サービスに適用される。
《规定》注重保障互联网信息内容安全,特别是新闻信息安全。规章对深度合成服务提供者提出了明确的要求。一是深度合成服务提供者要落实信息安全主体责任,加强深度合成内容管理,采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核,一旦发现违法和不良信息,应当依法采取处置措施;二是针对深度合成信息内容的特殊性,深度合成服务提供者应当建立健全辟谣机制,并设置便捷的用户申诉和公众投诉、举报入口;三是深度合成服务提供者要履行对服务使用者的管理义务,包括进行真实身份认证,保证用户实名使用深度合成服务,以及提示服务使用者落实个人信息保护要求等。 この規定は、インターネット上の情報コンテンツ、特にニュース情報の安全性を確保することに重点を置いている。 同規定は、深層合成サービス提供者に対する明確な要件を提示している。 第一に、深層合成サービス提供者は情報セキュリティの主な責任を履行し、深層合成コンテンツの管理を強化し、技術的または手動的な方法を採用して深層合成サービス利用者の入力データおよび合成結果を審査し、違法かつ望ましくない情報を発見したら、法律に基づいて処分措置を取らなければならない。第二に、深層合成情報コンテンツの特殊性を考慮して、深層合成サービス提供者は情報遮断の仕組みを確立し改善し、また、深層合成コンテンツは、情報遮断の仕組みを確立し改善しなければならない。 便利なユーザーの苦情や公共の苦情、報告ポータルを設定する。第三に、合成サービス提供者の深さは、ユーザーが実名で深い合成サービスを使用するだけでなく、個人情報保護の要件を実装するサービスユーザーを促すために、実際のID認証など、管理義務を履行することである。
《规定》与《互联网信息服务算法推荐管理规定》一脉相承,并提出了相辅相成的管理要求。具有舆论属性和社会动员能力的深度合成服务提供者仍要履行算法推荐服务的备案手续,深度合成服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能也要按规定开展安全评估。此外,《规定》针对深度合成数据和技术管理提出了更进一步的规范要求。第一,深度合成服务提供者和技术支持者都被纳入到了监管的对象中。这是由于深度合成服务不仅由服务提供者向公众提供,技术支持者也对深度合成服务产生重要影响。因此二者都需要对深度合成训练数据加强管理,并保障数据安全。同时,深度合成服务提供者提供人脸、人声等生物识别信息编辑功能,还要提示深度合成服务使用者履行个人信息保护义务,征得被编辑个人的单独同意。第二,深度合成服务提供者和技术支持者提供具有能够生成或者编辑人脸、人声等生物识别信息的,或生成或者编辑可能涉及国家安全、国家形象、国家利益和社会公共利益的特殊物体、场景等非生物识别信息的功能的模型、模板等工具的,应当依法自行或者委托专业机构开展安全评估。这是由于换脸、换声等视频可显著改变个人身份特征,具有较高的风险。同时,涉及到国家安全的如国家标志性场所、历史遗迹等,即使是非生物识别信息,也有可能被伪造而带来重大的安全风险。 本規定は、「インターネット情報サービスのアルゴリズム推薦に関する管理規程」に沿ったものであり、相互に補完する形で管理要件を定めている。 世論属性と社会動員力を持つ深層合成サービス提供者は、依然としてアルゴリズム推薦サービスの申請手続きを行わなければならず、世論属性または社会動員力を持つ深層合成サービス提供者は、新製品、新アプリケーション、新機能を開発し、規定に従って安全性評価を行う必要がある。 また、深層合成のデータおよび技術管理に関する「レギュレーション」では、さらなる仕様の要求が出されている。 まず、深層合成のサービス提供者と技術支援者の両方が規制対象に含まれる。 なぜなら、深層合成サービスは、サービス提供者が一般に提供するだけでなく、技術支援者が深層合成サービスに大きな影響を与えるからである。 そのため、どちらも深層合成の学習データとデータセキュリティの管理を強化する必要がある。 同時に、顔や音声などの生体情報編集機能を提供する深層合成サービス事業者も、深層合成サービス利用者に対して、個人情報保護義務の履行や編集対象者の個別同意の取得を促すべきである。 次に、顔や音声などの生体情報の生成・編集、あるいは国家安全保障、国家イメージ、国益、社会公共性に関わる可能性のある特殊な物体やシーンなどの非生体情報の生成・編集が可能な機能を持つモデルやテンプレートなどのツールを提供する深層合成サービス事業者や技術支援者は、法律に従って自らセキュリティ評価を実施するか専門機関に委託しなければなりません。 これは、顔の入れ替えや声の入れ替えなどの動画は、個人のアイデンティティの特徴を大きく変える可能性があり、高いリスクを伴うためである。 一方、国定公園や歴史的遺物など国家の安全に関わるものは、たとえ非生体情報であっても改ざんされる可能性があり、安全保障上の重大なリスクとなる。
三、规范深度合成服务保障网络空间清朗 3:クリアなサイバースペースを確保するための深層合成サービスへの規制
针对深度合成服务带来的机遇与恶意使用带来的挑战,世界各国纷纷出台管理法律法规,探索对深度合成服务的依法治理。欧盟与美国均有相关立法考虑,同时加强打入数字水印、开发真伪鉴别等技术治理手段,要求互联网企业对平台内容进行自我审查,从源头打击网络虚假内容。 深層合成サービスがもたらす機会と悪意のある利用がもたらす課題に対応するため、世界各国は管理法を導入し、深層合成サービスの法的ガバナンスを探っている。 欧州連合と米国は共に関連法案を検討し、デジタルウォーターマークの打ち込みや真正性識別の開発など技術的なガバナンス手段を強化し、インターネット上の虚偽コンテンツに対抗するためインターネット企業にプラットフォームコンテンツの自己検閲を求めるなど、発信元から対策を行っている。
我国《规定》的重要特色,是基于深度合成服务技术性强的特点,从技术开发、模型训练、服务提供和使用等环节对深度合成服务提供者和技术支持者提出全面管理要求。一是要求添加深度合成隐式标识,确保信息内容的可追溯性。深度合成服务提供者对使用其服务生成编辑的信息内容,应当采取技术措施添加隐式标识,这既不影响用户的使用体验,也实现了深度合成信息内容的可追溯性。二是要求添加显著标识,确保信息内容传播的可感知性。对于可能会导致公众混淆或者误认的深度合成信息内容,深度合成服务提供者还应当添加显著标识,在合理位置、区域向公众进行提示,避免对公众产生误导,引起信息内容安全风险。三是明确法律责任,保证深度合成标识的可查验性。规章要求任何组织和个人不得采用技术手段删除、篡改、隐匿深度合成标识。这既要求深度合成标识在深度合成内容全生命周期存在,也要求深度合成服务提供者和技术支持者保证隐式标识和显著标识的鲁棒性,使得该标识不因压缩、传输等环节丢失,进一步通过技术手段压实主体责任。 この規定の大きな特徴は、深層合成サービスの高度な技術的性格に基づき、深層合成サービス提供者や技術支援者に対して、技術開発、モデル教育、サービス提供、利用などの面で包括的な管理要求を課している点である。 まず、情報内容のトレーサビリティを確保するために、暗黙のうちにDeep Synthesisロゴを追加することが必要である。 深層合成サービス提供者は、そのサービスを利用して生成・編集された情報コンテンツに暗黙のロゴを付加することで、利用者の使用感を損なわず、かつ深層合成情報コンテンツのトレーサビリティを実現する技術的手段を講じる必要がある。 第二に、情報コンテンツの発信の知覚性を確保するために、目立つロゴをつけることが求められている。 また、公衆の混乱や誤解を招く恐れのある深層合成情報コンテンツについては、深層合成サービス提供者は、公衆に誤解を与えず情報コンテンツのセキュリティリスクを招かないよう、合理的な位置や場所に重要な表示物を追加する必要がある。 第三に、深層合成のロゴのチェック性を確保することは、明確な法的責任である。 この規定では、組織または個人が技術的手段を用いて深層合成ロゴを削除、改ざん、または隠蔽してはならないことになっている。 これは、深層合成コンテンツの全ライフサイクルにおいて、深層合成ロゴが存在することと、深層合成サービス提供者と技術支援者が、圧縮、伝送などのリンクによってロゴが失われないように、暗黙のロゴと重要なロゴの堅牢性を確保し、さらに技術手段によって主な責任をコンパクトにすることの両方を要求するものである。
深度合成技术展现了其强大的能量和可能性,加速应用已经成为现实趋势。但其带来效率和便利的同时,也带来了技术的伴生风险。深度合成服务从相继被纳入到《网络音视频信息服务管理规定》《网络信息内容生态治理规定》《互联网信息服务算法推荐管理规定》中监管,到出台专门的规章进行规制,显示出我国一方面引导深度合成技术良性发展,另一方面坚决打击利用深度合成服务制作传播违法不良信息、危害信息内容安全、社会公共利益和国家安全的行为。在合规前提下,深度合成技术创新发展,不断开拓应用场景,将形成对人工智能产业整体的带动效应,促进技术向上向善。(作者:时建中,中国政法大学副校长) 深層合成技術は、その大きなエネルギーと可能性を示し、加速度的に導入が進んでいるのが実情である。 しかし、効率や利便性をもたらす反面、技術に伴うリスクも伴いる。 深層合成サービスは、「ネットワーク音声・映像情報サービス管理条例」、「ネットワーク情報コンテンツ生態統治条例」、「インターネット情報サービスアルゴリズム推薦管理条例」に組み込まれ、それらを規制する特別な規定を導入し、中国は、一方で深層合成技術の良性発展を指導し、他方で深層合成サービスを利用して違法かつ望ましくない情報を生産・流布し、情報コンテンツを危うくしていることに断固として対処していることが示された。 安全保障、社会的公共性、国家安全保障 コンプライアンスを前提に、深層合成の技術革新と応用シナリオの継続的な開発が、AI産業全体へのドライビングエフェクトを形成し、技術の上方修正を促進する。 (著者:中国政法大学副学長 石建中氏)

 

1_20210705085401

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

| | Comments (0)

2022.12.22

NIST SP 800-107 Revision 1 承認されたハッシュアルゴリズムを使用するアプリケーションに対する推奨事項の廃止

こんにちは、丸山満彦です。

NISTが、

SP800-107 Rev.1 Recommendation for Applications Using Approved Hash Algorithms. (承認されたハッシュアルゴリズムを使用するアプリケーションに対する推奨事項)

を廃止することにしたようですね。。。

他のSP 800との重複がある場合もあるので、関連性が高いSPで最新情報を維持することにし、重複する記載になる107は廃止するということのようですね。。。

 

NIST- ITL

・2022.12.20 Withdrawal of NIST Special Publication 800-107 Revision 1

 

Withdrawal of NIST Special Publication 800-107 Revision 1 NIST Special Publication 800-107 Revision 1の廃止
In August 2021, NIST’s Crypto Publication Review Board initiated a process to review NIST Special Publication (SP) 800-107 Revision 1Recommendation for Applications Using Approved Hash Algorithms. SP 800-107 Rev. 1discusses the security strengths of hash functions and provides recommendations on digital signatures, HMAC, hash-based key derivation functions, random number generation, and the truncation of hash functions. See the initial public comments received by NIST.   2021年8月、NISTの暗号出版物審査委員会は、NIST 特別刊行物 (SP) 800-107 Revision 1「承認されたハッシュアルゴリズムを使用するアプリケーションに対する推奨事項」を見直すプロセスを開始した。SP 800-107 Rev.1は、ハッシュ関数のセキュリティ上の強みを論じ、デジタル署名、HMAC、ハッシュベースの鍵導出関数、乱数生成、ハッシュ関数の切り捨てに関する勧告を提供している。NISTが受け取った最初のパブリックコメントを参照。  
On June 8, 2022, NIST proposed the withdrawal of SP 800-107 Rev. 1 and called for comments on that decision proposal. See the decision proposal comments received by NIST.    2022年6月8日、NISTはSP 800-107 Rev.1の廃止を提案し、その決定提案に対するコメントを募集している。NISTが受領した決定提案コメントを参照。    
After considering the received comments, NIST is planning to withdraw SP 800-107 Rev. 1. Since the publication of SP 800-107 Rev. 1 in 2012, NIST has published (or revised) multiple recommendations that cover hash functions in different applications in more detail (e.g., SP 800-90A/B/C, SP 800-56A/B/C, SP 800-131A, SP 800-133, SP 800-135). In order to keep specific use requirements for a primitive in their most relevant publications—and avoid duplicating them in a separate publication—NIST has decided to withdraw SP 800-107 Rev. 1.   受領したコメントを検討した結果、NISTはSP 800-107 Rev.1の廃止を計画している。 2012年にSP 800-107 Rev.1が発行されて以来、NISTは異なるアプリケーションにおけるハッシュ関数をより詳細に取り上げた複数の勧告を発行(または改訂)してきた(例:SP 800-90A/B/C, SP 800-56A/B/C, SP 800-131A, SP 800-133, SP 800-135)。プリミティブの特定の使用要件を最も関連性の高い出版物で維持し、別の出版物で重複を避けるために、NISTはSP 800-107 Rev. 1を撤回することを決定した。  
NIST has moved the supplementary material currently in SP 800-107 Rev. 1 to NIST’s hash functions webpage. Next, NIST will move the requirements listed in SP 800-107 Rev.1 that are not currently addressed in other standards to a new Implementation Guidance (IG) developed by the Cryptographic Module Validation Program (CMVP). These requirements will again be considered when hash-function-related standards are revised. Once the new IG has been published, NIST will withdraw SP 800-107 Rev. 1.  NISTは、現在SP 800-107 Rev.1に含まれている補足資料をNISTのハッシュ関数ウェブページに移動させた。次に、NISTはSP 800-107 Rev.1に記載されている要件のうち、現在他の標準で対処されていないものを、暗号モジュール検証プログラム(CMVP)が開発した新しい実装ガイダンス(IG)に移す。これらの要件は、ハッシュ関数関連の標準が改訂される際に再び考慮されることになる。 新しいIGが発行され次第、NISTはSP 800-107 Rev.1を撤回する予定である。 
Information about the review process is available at NIST's Crypto Publication Review Project.  レビュープロセスに関する情報は、NISTのCrypto Publication Review Projectで入手できる。 

 

関連トピック

・Security and Privacy: secure hashing

 

 

参考

・2012.08.24 SP 800-107 Rev. 1 Recommendation for Applications Using Approved Hash Algorithms

 ・[PDF] SP 800-107 Rev. 1

20221222-65008

 

 

| | Comments (0)

経済産業省 「デジタルスキル標準」をとりまとめました!

こんにちは、丸山満彦です。

経済産業省と独立行政法人情報処理推進機構(IPA)は、

今年3月に公開した

  • 全てのビジネスパーソンが身につけるべき能力・スキルの標準 である「DXリテラシー標準(DSS-L)

と合せて、

  • 企業・組織のDX推進を人材のスキル面から支援するため、DXを推進する人材の役割や習得すべきスキルを定義した「DX推進スキル標準(DSS-P)

を今回新たに策定し、

  • 個人の学習や企業の人材育成・採用の指針である「デジタルスキル標準(DSS)」ver.1.0

として、取りまとめていますね。。。

 

DXって、(テクノロジーを活かした) ビジネス改革ですから、ビジネス改革というカツ丼に、ピリッとテクノロジーという七味がかかっている感じですよね。。。(よくわからんけど...)

なので、基本はビジネス改革のためのスキルがあって、そこにデジタルリテラシーが乗っかってきて、チームとして機能するという感じですよね。。。なので、ここでは、あまり取り上げられていないけど、コンプライアンス的な話や、外売りをするのであれば、マーケティング的な要素というのも、必要だったりはしますよね。。。

 

経済産業省

・2022.12.21 「デジタルスキル標準」をとりまとめました!


経済産業省と独立行政法人情報処理推進機構(IPA)は、企業・組織のDX推進を人材のスキル面から支援するため、DXを推進する人材の役割や習得すべきスキルを定義した「DX推進スキル標準(DSS-P)」を今回新たに策定し、今年3月に公開した「DXリテラシー標準(DSS-L)」と合せて、個人の学習や企業の人材育成・採用の指針である「デジタルスキル標準(DSS)」ver.1.0として、取りまとめました。


 

概要は。。。

 


2.概要

デジタルスキル標準」は、ビジネスパーソン全体がDXに関する基礎的な知識やスキル・マインドを身につけるための指針である「DXリテラシー標準」、及び、企業がDXを推進する専門性を持った人材を育成・採用するための指針である「DX推進スキル標準」の2種類で構成されています。

  • DXリテラシー標準」(2022年3月29日公表済):全てのビジネスパーソンが身につけるべき能力・スキルの標準
  • DX推進スキル標準」(2022年12月21日公表): DXを推進する人材の役割や習得すべきスキルの標準

なお、「デジタルスキル標準」で扱う知識やスキルは、共通的な指標として転用がしやすく、かつ、内容理解において特定の産業や職種に関する知識を問わないことを狙い、可能な限り汎用性を持たせた表現としています。そのため、個々の企業・組織への適用にあたっては、各企業・組織の属する産業や自らの事業の方向性に合わせた具体化が求められることに留意する必要があります。


 

全体像...

 

Photo_20221222055201

 

人材類型

Photo_20221222055501

 

 

関連リンク

 

検討会のメンバーは、座長をはじめ、昔からよく知っている人もいますが、私の知っている人は情報システム管理関係の方ですね。。。。

第1回 デジタル時代の人材政策に関する検討会([PDF] 資料1 委員名簿


<座長>
三谷 慶一郎 株式会社NTTデータ経営研究所 エグゼクティブオフィサー

<委員> 50 音順
有馬 三郎 株式会社セゾン情報システムズ 執行役員
テクノベーションセンター長 兼 HULFTプラットフォーム開発部長
石川 拓夫 株式会社日立アカデミー 取締役
石原 直子 株式会社リクルート リクルートワークス研究所
人事研究センター長 主幹研究員
草野 隆史 株式会社ブレインパッド 代表取締役社長
島田 裕次 東洋大学 総合情報学部総合情報学科 教授
田中 邦裕 さくらインターネット株式会社 代表取締役社長
広木 大地 株式会社レクター 取締役

<事務局>
経済産業省 商務情報政策局 情報技術利用促進課
みずほ情報総研株式会社 経営・ITコンサルティング部


 

● IPA - デジタルスキル標準(DSS)

 

 

 

| | Comments (0)

2022.12.21

PCAOB 中国の監査法人の検査が実質的に終了したようですね。。。(2022.12.15)

こんにちは、丸山満彦です。

米国の証券取引所に上場している企業を監査している監査法人は定期的にPCAOBの検査を受けることになっております。例えば、日本企業の中には米国の証券取引所に上場している企業の監査をしている日本の監査法人もその対象となります。ただ、中国については、今年にやっと調整ができたことから、中国の監査法人については今年からその検査が始まりました。

で、今回、その調査が一段落したということで、PCAOBから発表があったようですね。。。対象となったのは、中国本土のKPMG Huazhen LLPと香港のPricewaterhouseCoopersのようです。特に、大きな問題もなかったようですね。。。

この監査法人の選択にあたり、中国政府等との事前も含め調整は全くなく、他の国と同様にPCAOBが独自に決めて、独自に調査をしたとのことです。。。

正式な報告書については、新年早々に発表されるようです。。。

Public Company Accounting Oversight Board: PCAOB

・2022.12.15 PCAOB Secures Complete Access to Inspect, Investigate Chinese Firms for First Time in History

20221221-154252

 

PCAOB Secures Complete Access to Inspect, Investigate Chinese Firms for First Time in History PCAOBが史上初めて中国企業の検査・調査への完全なアクセスを確保
Chair Williams: Investors are more protected today because Congress passed the Holding Foreign Companies Accountable Act (HFCAA) ウィリアムズ委員長:議会が外国企業責任追及法(HFCAA)を可決したため、今日、投資家はより保護されるようになった。
Public Company Accounting Oversight Board (PCAOB) Chair Erica Y. Williams released the following statement today after the Board determined the PCAOB was able to secure complete access to inspect and investigate audit firms in the People’s Republic of China (PRC) for the first time in history, in 2022. 公開会社会計監視委員会(PCAOB)のエリカ・Y・ウィリアムズ委員長は、PCAOBが2022年に史上初めて中華人民共和国(PRC)の監査事務所を検査・調査するための完全なアクセス権を確保できたと判断したことを受け、本日以下の声明を発表した。
FACT SHEET: PCAOB Secures Complete Access to Inspect, Investigate Chinese Firms for First Time in History ・ファクトシート:PCAOBが史上初めて中国事務所の検査・調査への完全なアクセスを確保
2022 HFCAA Determination Report(PDF) ・2022年HFCAA決定報告書(PDF)
From Chair Williams: ウィリアムズ議長より
For the first time in history, the PCAOB has secured complete access to inspect and investigate registered public accounting firms headquartered in mainland China and Hong Kong. And this morning the Board voted to vacate the previous determinations to the contrary. PCAOBは歴史上初めて、中国本土と香港に本社を置く登録会計事務所を検査・調査するための完全なアクセス権を確保した。そして今朝、理事会はそれに反するこれまでの決定を取り消すことを決議した。
This historic and unprecedented access was only possible because of the leverage Congress created by passing the Holding Foreign Companies Accountable Act. Congress sent a clear message with that legislation that access to U.S. capital markets is a privilege and not a right, and China received that message loud and clear. この歴史的で前例のないアクセスは、議会がHolding Foreign Companies Accountable Actを可決することによって作り出した影響力によってのみ可能となったものである。議会はこの法案で、米国の資本市場へのアクセスは権利ではなく特権であるという明確なメッセージを発し、中国はそのメッセージをはっきりと受け取ったのである。
Investors are more protected today because of Congress’ leadership, and I want to thank Members of the House and the Senate for their ongoing work to hold China accountable. 議会のリーダーシップにより、今日、投資家はより保護されており、中国の責任を追及するために継続的に活動している下院と上院の議員に感謝したい。
I want to be clear: this is the beginning of our work to inspect and investigate firms in China, not the end. The PCAOB is continuing to demand complete access in mainland China and Hong Kong moving forward. Our teams are already making plans to resume regular inspections in early 2023 and beyond, as well as continuing to pursue investigations. これは中国の企業を検査・調査する我々の仕事の始まりであり、終わりではないことを明確にしたいと思う。PCAOBは中国本土と香港での完全なアクセスを今後も要求していく。我々のチームはすでに、2023年初頭およびそれ以降に定期的な検査を再開する計画を立てており、調査も継続して行っている。
The Board does not have to wait another year to reassess its determinations. Should PRC authorities obstruct or otherwise fail to facilitate the PCAOB’s access – in any way and at any point in the future – the Board will act immediately to consider the need to issue a new determination. 理事会は、その決定を再評価するために、もう1年待つ必要はない。中国当局がPCAOBのアクセスを妨害したり、その他の方法で促進できなかった場合、それがいかなる方法であれ、また将来のいかなる時点であれ、理事会は直ちに行動し、新たな決定を下す必要性を検討することになる。
It is important to understand: today’s announcement is about one question and one question only – is the PCAOB able to inspect and investigate firms in mainland China and Hong Kong completely at this time? The answer, following thorough and systematic testing, is yes. 重要なことは、本日の発表は、PCAOBが中国本土と香港の企業を完全に検査・調査することができるのか、という一つの疑問に対するものであり、一つの疑問だけであることを理解することである。徹底的かつ体系的なテストの結果、その答えは「イエス」である。
What we found during the course of our inspections and investigations is a separate question that we will address through our typical inspection and enforcement processes, which are designed to protect investors. 検査と調査の過程で発見したことは、投資家保護を目的とする通常の検査と執行のプロセスを通じて対処する別の問題である。
Today’s announcement should not be misconstrued in any way as a clean bill of health for firms in mainland China and Hong Kong. It is a recognition that, for the first time in history, we are able to perform full and thorough inspections and investigations to root out potential problems and hold firms accountable to fix them. 本日の発表は、中国本土と香港の企業にとって健全な状態であると誤解されるものではない。これは、歴史上初めて、私たちが完全かつ徹底的な検査と調査を行い、潜在的な問題を根絶し、企業に責任を持たせて解決することができるようになったことを認識したものである。
We arrived at today’s decision only after thoroughly verifying China’s compliance. 我々は、中国のコンプライアンスを徹底的に検証した上で、本日の決定に至った。
More than 30 PCAOB staff members conducted on-site inspections and investigations in Hong Kong, reviewing thousands of pages of documents, conducting interviews and taking testimony over a nine-week period from September to November. 30人以上のPCAOBスタッフが9月から11月までの9週間、香港でオンサイトの検査と調査を行い、数千ページに及ぶ文書を確認し、インタビューを行い、証言を得た。
On behalf of the entire PCAOB Board, I want to thank those staff members for their dedication and commitment. Because of their sacrifices and hard work, investors are more protected today. PCAOB理事会全体を代表して、これらのスタッフの献身とコミットメントに感謝したい。彼らの犠牲と努力のおかげで、今日、投資家はより保護されている。
Our inspections team was more than double the size of a typical team for similar inspections, and they remained on the ground in Hong Kong for about three weeks longer than the typical timeframe. 私たちの検査チームは、同様の検査を行う通常のチームの2倍以上の規模であり、通常の期間より約3週間長く香港に滞在した。
Our teams were tough. They were thorough. They tested the PRC compliance with skepticism and rigor. 私たちのチームはタフであった。徹底していた。そして、懐疑的かつ厳格にPRCのコンプライアンスをテストした。
And because of their hard work and commitment to holding China accountable, the PCAOB secured each of the three criteria required to achieve complete access: そして、彼らの努力と中国に責任を持たせるというコミットメントにより、PCAOBは完全なアクセスを達成するために必要な3つの基準のそれぞれを確保した。
One: The PCAOB exercised sole discretion to select the firms, audit engagements, and potential violations it inspected and investigated – without consultation with, nor input from, PRC authorities. 1:PCAOBは、中国当局と協議することなく、また中国当局の意見を聞くことなく、独断で監査法人、監査業務、潜在的な違反行為を選定し、検査・調査した。
PCAOB staff selected two firms for inspection: KPMG Huazhen LLP in mainland China and PricewaterhouseCoopers in Hong Kong. And they inspected a total of eight engagements between the two firms. PCAOBは2つの監査法人を検査対象として選定した。中国本土のKPMG Huazhen LLPと香港のPricewaterhouseCoopersである。そして、この2つのファームの間で行われた合計8件の契約を検査した。
Staff selected those firms using the same methodology they use in all PCAOB inspections, including consideration of risk factors posed by particular firms or issuer engagements. スタッフは、特定のファームや発行者の業務がもたらすリスク要因を考慮するなど、すべてのPCAOB検査で使用するのと同じ方法を用いて、これらのファームを選択した。
The selected engagements included several from categories of audit engagements PRC authorities had denied access to in the past – including large state-owned enterprises and issuers in sensitive industries. 選定された監査契約には、中国当局が過去にアクセスを拒否した監査契約(大規模な国有企業や敏感な業界の発行体など)がいくつか含まれていた。
Neither the PRC authorities nor the firms had any input or influence over the selections, and neither were given advanced notice. 中国当局も監査法人も、この選定について何の意見も影響も持っておらず、また事前に通知もされていない。
Separately, PCAOB staff also selected potential violations to be investigated consistent with regular practices and processes applied in the U.S. and around the world, without any input from or advance notice to PRC authorities, and PCAOB staff pursued all such investigations without interference. これとは別に、PCAOBのスタッフは、米国および世界で適用されている通常の実務とプロセスに従って、潜在的な違反行為を調査対象として選定しており、PRC当局からの意見や事前通知もなく、PCAOBスタッフは干渉されることなくすべての調査を進めている。
Two: PCAOB inspectors and investigators were able to view complete audit work papers with no redactions, and the PCAOB was able to retain information needed to complete our work. 2:PCAOBの検査官と調査官は、改竄のない完全な監査資料を閲覧することができ、PCAOBは業務遂行に必要な情報を保持することができた。
And three: The PCAOB had direct access to interview and take testimony from all personnel associated with the audits the PCAOB inspected or investigated. 3:PCAOBは、PCAOBが検査または調査した監査に関連するすべての担当者と直接面談し、証言を得ることができた。
I have been clear from day one, there would be no loopholes and no exceptions to our demand for complete access, and there were none. 私は初日から、完全なアクセスを求める私たちの要求に抜け穴や例外はないと明言してきましたが、その通りであった。
Our inspection reports are not yet finalized, but we are committed to releasing them as soon as possible in the new year. 検査報告書はまだ確定していないが、新年のできるだけ早い時期に公開することを約束する。
Preliminarily, PCAOB staff have identified numerous potential deficiencies. 予備的に、PCAOBスタッフは多数の潜在的な欠陥を特定した。
Any deficiencies are troubling. At the same time, it is not unexpected to find numerous deficiencies in jurisdictions that are being inspected for the first time. And the potential deficiencies identified by PCAOB staff at the firms in mainland China and Hong Kong are consistent with the types and number of findings the PCAOB has encountered in other first-time inspections around the world. どのような欠陥も厄介なものである。同時に、初めて検査を受ける法域で多数の欠陥が見つかることは予想外ではない。そして、中国本土と香港の会社でPCAOBスタッフが指摘した潜在的な欠陥は、PCAOBが世界中の他の初回検査で遭遇した指摘の種類と数に一致する。
The fact that we found those potential deficiencies is a sign that the inspection process worked as it is supposed to. This is exactly why Congress passed the HFCAA in the first place – so we could open up the books, identify potential problems, and begin the work of holding firms accountable to fix them. And that is exactly what we intend to do. これらの潜在的な欠陥が見つかったということは、検査プロセスが想定通りに機能したことの証である。これこそ、議会がそもそもHFCAAを可決した理由である。帳簿を公開し、潜在的な問題を特定し、それを修正するために会社に責任を負わせる作業を開始できるようにするためである。そして、それこそが、我々が意図していることなのだ。
Again, this is the beginning of the PCAOB’s work to inspect and investigate firms in mainland China and Hong Kong, not the end. We are continuing to demand complete access, and we will act immediately to reconsider today’s determinations should China obstruct, or otherwise fail to facilitate our access, at any time. 繰り返するが、これはPCAOBが中国本土と香港の企業を検査・調査する作業の始まりであり、終わりではないのである。私たちは完全なアクセスを要求し続け、中国が私たちのアクセスを妨害したり、そうでなければ、いつでも今日の決定を再考するために直ちに行動するつもりである。
I want to thank Chair Gensler and the Securities and Exchange Commission for their ongoing support, the incredible teams at the U.S. Embassy in Beijing and the U.S. consulate in Hong Kong who helped ensure the safety and security of our staff, my fellow PCAOB Board Members for their ongoing work, Members of Congress who made this possible through the passage of the HFCAA, and the PCAOB staff whose tireless efforts secured this historic access to protect investors. ゲンスラー委員長と証券取引委員会の継続的な支援、スタッフの安全とセキュリティを確保した北京の米国大使館と香港の米国領事館の素晴らしいチーム、PCAOB理事の継続的な活動、HFCAAを可決してこれを可能にした議会のメンバー、そして投資家保護のためにこの歴史的アクセスを確保したPCAOBスタッフの不断の努力に感謝したい。

 

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.09.02 米国 PCAOB 中国・香港に本社を置く登録会計事務所を検査することについて中国証券監督管理委員会、中華人民共和国財政部と議定書に署名 (2022.08.26)

 

 

| | Comments (0)

世界経済フォーラム (WEF) サイバー情報共有がもたらすビジネス上の重要性 - 私たちの集団防衛のために

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が「 サイバー情報共有がもたらすビジネス上の重要性 - 私たちの集団防衛のために」を公表しています。

攻撃者側は、その目的(国家の目的、金銭目的)達成のために、団結してきているわけですがから、防御側も業界、官民等で連携することは重要だですよね。。。

サイバーセキュリティ分野で情報共有の重要性は過去からも言われているし、米国のバイデン大統領が2021年5月12日に発表した「国家のサイバーセキュリティの改善に関する大統領令」でも強調されているポイントですが、なかなか難しいとも言われています。

この報告書では、サイバーセキュリティが経営リスクの一つとして管理すべき課題であり、そのためにCxOが協力して解決していく課題でもあることから、CEOがサイバー情報共有についてコミットすることが重要と書かれています。その通りだと思いますね。。。

 

World Economic Forum 

・2022.12.12 The Business Imperative of Cyber Information Sharing for Our Collective Defence

The Business Imperative of Cyber Information Sharing for Our Collective Defence サイバー情報共有がもたらすビジネス上の重要性 - 私たちの集団防衛のために
Businesses today must successfully manage their cyber risk to thrive. Effective risk management requires cyberthreat information sharing. This paper outlines three key steps to manage the risk and close the attacker–defender gap: making information sharing a C-suite prerogative; managing compliance and regulatory concerns; and defining “sharing” on a practical level. Businesses that adopt this paper’s framework, productively sharing information at the organizational level and embracing a collective defence posture, will be well on their way to managing their cyber risk effectively. Indeed, by making information sharing a part of leadership priorities, by understanding and responding to compliance and regulatory concerns, and by more clearly defining what sharing means, achieving an information-led approach to cybersecurity becomes an achievable and necessary business advantage. 今日のビジネスが成功するためには、サイバーリスクをうまく管理する必要がある。効果的なリスクマネジメントのためには、サイバー脅威の情報共有が必要である。この論文では、リスクを管理し、攻撃者と防御者のギャップを埋めるための3つの重要なステップを紹介している。それは、情報共有を経営幹部の特権とすること、コンプライアンスと規制に関する懸念を管理すること、そして「共有」を実用的なレベルで定義することである。この論文のフレームワークを採用し、組織レベルでの生産的な情報共有と集団的な防衛態勢を採用する企業は、サイバーリスクを効果的にマネジメントするための道を歩むことになる。実際、情報共有をリーダーシップの優先事項の一つとし、コンプライアンスや規制の懸念を理解して対応し、共有の意味をより明確に定義することで、サイバーセキュリティに対する情報主導のアプローチを実現することは、達成可能かつ必要なビジネス上の優位性となる。
Businesses today must successfully manage their cyber risk to thrive. Effective risk management requires cyberthreat information sharing. This paper outlines three key steps to manage the risk and close the attacker–defender gap: making information sharing a C-suite prerogative; managing compliance and regulatory concerns; and defining “sharing” on a practical level. Businesses that adopt this paper’s framework, productively sharing information at the organizational level and embracing a collective defence posture, will be well on their way to managing their cyber risk effectively. Indeed, by making information sharing a part of leadership priorities, by understanding and responding to compliance and regulatory concerns, and by more clearly defining what sharing means, achieving an information-led approach to cybersecurity becomes an achievable and necessary business advantage. 今日の企業が成功するためには、サイバーリスクをうまく管理する必要がある。効果的なリスクマネジメントのためには、サイバー脅威の情報共有が必要である。本稿では、リスクを管理し、攻撃者と防御者のギャップを解消するための3つの重要なステップを紹介する。この論文のフレームワークを採用し、組織レベルでの生産的な情報共有と集団的な防衛態勢を採用する企業は、サイバーリスクを効果的にマネジメントするための道を歩むことになる。実際、情報共有をリーダーシップの優先事項の一つとし、コンプライアンスや規制の懸念を理解して対応し、共有の意味をより明確に定義することで、サイバーセキュリティに対する情報主導のアプローチを実現することは、達成可能かつ必要なビジネス上の利点となるのである。

 

・[PDF]

20221221-60939

 目次...

Foreword まえがき
Executive summary エグゼクティブサマリー
Introduction 序文
1 Making information sharing a C-suite prerogative 1 情報共有はC-suiteの特権
2 Managing compliance and regulatory concerns 2 コンプライアンスと規制に関する懸念の管理
3 Defining “sharing” on a practical level 3 「共有」の実務的な定義
Conclusion まとめ
Contributors 協力者

 

エグゼクティブサマリー

Executive summary エグゼクティブサマリー
True information sharing is foundational to closing the gap between attackers and defenders, so it is imperative to make it a reality. 真の情報共有は、攻撃者と防御者の間のギャップを埋めるための基盤であり、それを実現することが不可欠である。
To ensure the right level of cybersecurity, cooperation between the public and private sectors is absolutely crucial. Information Sharing and Analysis Centres create a platform for such cooperation in terms of sharing information about root causes, incidents and threats, as well as sharing experience, knowledge and analysis. 適切なレベルのサイバーセキュリティを確保するためには、官民の協力が絶対に欠かせない。情報共有・分析センターは、根本原因、インシデント、脅威に関する情報の共有、経験、知識、分析の共有という点で、そうした協力のためのプラットフォームを構築している。
European Union Agency for Cybersecurity 欧州連合サイバーセキュリティ機関
This paper provides a brief discussion of three key steps towards closing the attacker-defender gap: 本論文では、攻撃者と防御者のギャップを解消するための3つの重要なステップについて簡単に説明する。
1. Making information sharing a C-suite prerogative 1. 情報共有はC-suiteの特権であること
2. Managing compliance and regulatory concerns 2. コンプライアンスと規制に関する懸念の管理
3. Defining “sharing” on a practical level 3. 現実的なレベルでの「共有」の定義
These three steps must be implemented in concert to achieve truly productive information sharing, but it is a worthwhile endeavour given the alarming acceleration of attacks, and the relative stagnation of the progress of defenders by comparison. In addition, this paper provides the following understandings as the foundation upon which the case for information sharing rests: 真に生産的な情報共有を実現するためには、これら3つのステップを連動させる必要があるが、攻撃の加速と、それに比べて防御側の進歩が相対的に停滞していることを考えると、これは価値のある取り組みと言える。また、本稿では、情報共有の基盤として、以下のような認識を示す。
・Cyberthreats today have escalated to the point where they can pose an existential risk to a company, disrupt national/global critical infrastructure and cause the loss of life. ・今日のサイバー脅威は、企業の存亡に関わるリスクや、国家・世界の重要インフラを破壊し、人命の損失をもたらすまでにエスカレートしている。
・For enterprises to have any chance of successfully defending themselves, they must accept and adopt a philosophy of collective defence. Cyber information sharing is at the core of any collective defence strategy. ・企業が自己防衛を成功させるためには、集団防衛の理念を受け入れ、採用する必要がある。サイバー情報の共有は、集団防衛戦略の中核をなすものである。
・Information sharing is not new, and it is demonstrably not a competitive issue. ・情報共有は新しいものではなく、また競争的な問題でもない。
・Legal processes and emerging technical solutions exist for real and perceived regulatory and privacy challenges. ・規制やプライバシーの問題については、法的な手続きや新たな技術的な解決策が存在する。
・Achieving true cyber information sharing is a business prerogative and, as with any business priority, success requires the active support and engagement of C-suite executives. ・真のサイバー情報共有の実現はビジネスの特権であり、ビジネスの優先順位と同様に、成功にはC-suiteエグゼクティブの積極的な支援と関与が必要である。

 

1 情報共有はC-suiteの特権

Making information sharing a C-suite prerogative 情報共有はC-suiteの特権
Cybersecurity cannot be addressed solely as a technical issue and must be managed as a material business risk. サイバーセキュリティは、技術的な問題だけでは対応できず、重要なビジネスリスクとして管理する必要がある。
At the 2015 Financial Services Roundtable featuring the largest integrated financial services companies in the United States, bank CEOs discussed systemic risks to their firms and the industry. They agreed that the impact that cyber incidents could have on operational resiliency was a top risk. The potential of a cyberattack to disrupt critical operations, putting the banks, their customers and the global financial system at risk, was material and growing. The CEOs acknowledged three key facts: 米国最大の総合金融サービス企業が参加した2015年の金融サービス・ラウンドテーブルでは、銀行のCEOが自社と業界に対するシステミック・リスクについて議論した。彼らは、サイバーインシデントがオペレーショナルレジリエンスに与えうる影響が最大のリスクであることに同意した。サイバー攻撃によって重要な業務が中断され、銀行やその顧客、世界の金融システムが危険にさらされる可能性は重大であり、その危険性は増大している。CEOたちは、3つの重要な事実を認識した。
1. The adversary was getting more sophisticated and was highly collaborative. 1. 敵はより巧妙になり、高度に連携している。
2. Despite the significant investments being made, the banks were falling farther behind. 2. 莫大な投資を行っているにもかかわらず、銀行はより大きな遅れをとっている。
3. That meant the status quo was not acceptable. 3. つまり、現状維持は許されない。
A higher level of collaboration and collective defence among the banks was required, as was real engagement with government and other critical sectors to protect their firms and the global financial system. 銀行と世界の金融システムを守るために、政府および他の重要なセクターとの真の関与と同様に、銀行間のより高いレベルの協力と集団的な防御が必要だったのである。
The CEOs did not just talk about the issue; they personally engaged with government officials and put their money and staff behind a remedy, collectively funding the creation of the US Financial Systemic Analysis & Resilience Center (FSARC), now the Analysis & Resilience Center (ARC). CEOたちは、この問題について話すだけでなく、自ら政府関係者と関わり、資金と人員を救済策に投入し、米国金融システム分析・回復力センター(FSARC)、現在の分析・回復力センター(ARC)の設立に共同で資金を提供した。
The world has seen a significant rise in sophisticated cyber incidents over the past few years, ranging from the SolarWinds and Colonial Pipeline attacks to uncountable ransomware incidents. While aspects of the events are not new (disclosure of data, theft of money), their scale and escalation have heightened the focus on cybersecurity and operational resiliency by corporate leaders in every sector of the economy, members of the media and government officials. SolarWindsやColonial Pipelineの攻撃から数え切れないほどのランサムウェア事件に至るまで、ここ数年、世界では巧妙なサイバー事件が著しく増加している。これらの事件は、データの漏洩や金銭の盗難など目新しいものではないが、その規模や深刻化により、経済のあらゆる部門の企業リーダー、メディア、政府関係者が、サイバーセキュリティと業務上のレジリエンスへの関心を高めている。
The silver lining to the increased cyberthreat is a growing understanding that a bad cyber day can pose an existential threat to a company. Cybersecurity cannot be addressed solely as a technical issue and must be managed as a material business risk. This realization has amplified the focus of management teams and boards of directors. This combination of increased focus and collective vulnerability offers an opportunity for CISOs to engage their C-suites to seek their active support to enhance collaboration, better defend and protect organizations against these threats, and improve the security and resiliency of the collective ecosystem. サイバー脅威の増大に伴う明るい兆しは、サイバーデイの悪化が企業の存続を脅かす可能性があることを理解するようになったことである。サイバーセキュリティは、技術的な問題としてのみ対処することはできず、重要なビジネスリスクとしてマネジメントする必要がある。この認識により、経営陣と取締役会の焦点はさらに高まっている。このような注目度の高まりと集団的脆弱性の組み合わせは、CISOが経営陣を巻き込んで積極的な支援を求め、協力体制を強化し、これらの脅威から組織をよりよく守り、集団的エコシステムのセキュリティとレジリエンスを向上させる好機となる。
One specific action a CISO can take to better engage with senior executives is to schedule a cyberthreat information briefing for their C-suite executives and board of directors with their relevant law enforcement/governmental agency. President Biden’s 12 May 2021 Executive Order on Improving the Nation’s Cybersecurity starts with the need for better cyber information sharing. CISOが上級管理職との関係を深めるためにできる具体的な行動の1つは、関連する法執行機関/政府機関とCスイート幹部および取締役会のためのサイバー脅威情報のブリーフィングを予定することである。バイデン大統領が2021年5月12日に発表した「国家のサイバーセキュリティの改善に関する大統領令」は、サイバー情報の共有をより良くする必要性から始まっている。
The European Union Agency for Cybersecurity (ENISA) states on its website that “European legislation like the NIS Directive and the Cybersecurity Act nourish the creation of sectoral ISACs and public-private partnerships within the EU”. The EU’s Digital Operational Resilience Act also proposes to specifically develop information and intelligence sharing protocols. 欧州連合サイバーセキュリティ機関(ENISA)は、そのウェブサイトで「NIS指令やサイバーセキュリティ法などの欧州の法律は、EU内の分野別ISACや官民パートナーシップの構築を養っている」と述べている。また、EUのデジタル運用レジリエンス法では、情報および情報共有プロトコルを具体的に整備することが提案されている。
The private sector should drive engagement in information collaboration. This can seem unnatural in competition-driven businesses, but history has demonstrated that cybersecurity is neither a competitive nor an anticompetitive issue. Mutual success requires a willingness to work together. An active interest in collaborating operationally is necessary to share observations, lessons learned, best practices and intelligence in order to protect the enterprise, its clients and the ecosystem. 民間部門は、情報連携への関与を促進する必要がある。これは、競争主導のビジネスでは不自然に思えるかもしれないが、サイバーセキュリティは競争でも反競争でもないことは歴史が証明している。相互の成功には、協力する意志が必要である。企業、その顧客、エコシステムを保護するために、観察、教訓、ベストプラクティス、インテリジェンスを共有するためには、運用面での協力に積極的に関心を持つことが必要である。
As a result, when company leaders make sharing a real priority, it has a chance to succeed. In contrast, information sharing efforts often wither without sustained support from the top. Effective sharing requires continuous support; the CEO and other senior company officials must make cyberthreat information sharing an ongoing priority for it to be impactful and sustainable. その結果、企業のトップが情報共有の重要性を認識すれば、情報共有は成功する可能性がある。一方、情報共有の取り組みは、トップからの継続的なサポートがなければ、しばしば衰退してしまう。効果的な情報共有には継続的な支援が必要である。CEOをはじめとする企業の上級幹部は、サイバー脅威の情報共有を継続的な優先事項とすることで、インパクトのある持続的な情報共有を実現することができるのである。
   
The challenges associated with cyberattacks and the financial fraud stemming from such incidents are bigger than any one institution, and this is something the financial sector must face together. We are stronger and more resilient when we work collectively to understand the evolving tactics of cyber adversaries and to deepen the layers of defence against such attacks. Bill Nelson, President and Chief Executive Officer (2006-2018), FS-ISAC サイバー攻撃とそれに起因する金融詐欺に関連する課題は、どの金融機関よりも大きく、金融セクターが一丸となって立ち向かわなければならない。私たちは、サイバー攻撃者の進化する戦術を理解し、そのような攻撃に対する防御の層を厚くするために協力し合うことで、より強く、よりレジリエンスに富んだ存在となるのである。ビル・ネルソン FS-ISAC社長兼最高経営責任者(2006年~2018年
A platform of trust and communication to facilitate information sharing among sectors and businesses is necessary to share actionable insights with other stakeholders for situational awareness, and to detect and respond to cyberthreats promptly. Cyber Security Agency of Singapore 状況認識のために他のステークホルダーと実用的な洞察を共有し、サイバー脅威を迅速に検知して対応するためには、セクターや企業間の情報共有を促進する信頼とコミュニケーションのプラットフォームが必要である。シンガポールサイバーセキュリティ庁

 

 

| | Comments (0)

世界経済フォーラム (WEF) 製造業における人工知能から価値を解き放つ (2022.12.12)

こんにちは、丸山満彦です。

世界経済フォーラム(WEF)が、トルコと共に作った製造業におけるAIの活用についてのガイドのようなものです。。。

トルコは次世代戦闘機を作成し、他国に売り込もうとするなど、積極的ですね。。。

 

World Economic Forum 

・2022.12.12 Unlocking Value from Artificial Intelligence in Manufacturing

Unlocking Value from Artificial Intelligence in Manufacturing 製造業における人工知能から価値を解き放つ
Artificial intelligence (AI) can enable a new era in the digital transformation journey, offering tremendous potential to transform industries for greater efficiency, sustainability and workforce engagement. Even though the impact of AI applications in manufacturing and value chains is known, the full opportunity from their deployment is still to be uncovered due to a number of organizational and technical roadblocks. Recognizing this need, the World Economic Forum’s Platform for Shaping the Future of Advanced Manufacturing and Value Chains and Platform for Shaping the Future of Technology Governance: Artificial Intelligence and Machine Learning, together with the Centre for the Fourth Industrial Revolution Türkiye, convened industry, technology and academic experts to shed light on these challenges and propose a step-by-step approach to overcome them. 人工知能(AI)は、デジタルトランスフォーメーションの旅における新しい時代を可能にし、効率性、持続可能性、労働力のエンゲージメントを高めるために産業を変革する多大な可能性を提供することができる。製造業やバリューチェーンにおけるAIアプリケーションの影響は知られていても、多くの組織的・技術的な障害により、その展開から得られる機会の全容はまだ明らかにされていないのが現状である。この必要性を認識し、世界経済フォーラムの「先進製造業とバリューチェーンの未来を形作るためのプラットフォーム」と「テクノロジー・ガバナンスの未来を形作るためのプラットフォーム」は、このようなニーズに応えるものである。人工知能と機械学習は、第4次産業革命トルコセンターとともに、産業界、テクノロジー、学術界の専門家を招集し、これらの課題に光を当て、それを克服するための段階的なアプローチを提案した。
Artificial intelligence (AI) can enable a new era in the digital transformation journey, offering tremendous potential to transform industries for greater efficiency, sustainability and workforce engagement. Even though the impact of AI applications in manufacturing and value chains is known, the full opportunity from their deployment is still to be uncovered due to a number of organizational and technical roadblocks. Recognizing this need, the World Economic Forum’s Platform for Shaping the Future of Advanced Manufacturing and Value Chains and Platform for Shaping the Future of Technology Governance: Artificial Intelligence and Machine Learning, together with the Centre for the Fourth Industrial Revolution Türkiye, convened industry, technology and academic experts to shed light on these challenges and propose a step-by-step approach to overcome them. 人工知能(AI)は、デジタル変革の旅における新時代を可能にし、より高い効率性、持続可能性、労働力の関与のために産業を変革する多大な可能性を提供することができる。製造業やバリューチェーンにおけるAIアプリケーションの影響は知られていても、多くの組織的・技術的な障害により、その展開による完全な機会はまだ明らかにされていない。この必要性を認識し、世界経済フォーラムの「先進製造業とバリューチェーンの未来を形作るためのプラットフォーム」と「テクノロジー・ガバナンスの未来を形作るためのプラットフォーム」は、このようなニーズに応えるものである。人工知能と機械学習は、第4次産業革命トルコセンターと共同で、産業界、テクノロジー、学術界の専門家を招集し、これらの課題に光を当て、克服するための段階的なアプローチを提案した。
This white paper presents the benefits that can be achieved through industrial AI applications in operational performance, sustainability and workforce augmentation as well as six main barriers hindering their adoption at scale. It also highlights over 20 successful AI applications implemented by leading manufacturers and an example of a step-by-step approach to implementing scalable AI applications in manufacturing and supply chains. 本ホワイトペーパーでは、産業用AIアプリケーションを通じて、運用パフォーマンス、持続可能性、労働力の増強において達成できるメリットと、大規模な採用を妨げる6つの主な障壁を紹介している。また、大手メーカーが導入した20以上の成功したAIアプリケーションと、製造業やサプライチェーンにおけるスケーラブルなAIアプリケーションの導入のためのステップバイステップアプローチの例も紹介している。

・[PDF] Unlocking Value from Artificial Intelligence in Manufacturing

20221220-225922

目次...

Foreword まえがき
Executive summary エグゼクティブサマリー
Introduction 序文
1 Unlocking value in manufacturing through AI 1 AIによる製造業の価値向上
2 Shedding light on common barriers to industrial AI adoption 2 産業用AI導入の共通障壁に光を当てる
3 A collection of AI applications in manufacturing 3 製造業におけるAIアプリケーション集
4 A step-by-step approach to implementing scalable industrial AI applications 4 スケーラブルな産業用AIアプリケーションを実装するためのステップバイステップアプローチ
Conclusion まとめ
Contributors 協力者
Endnotes 巻末資料

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
Recent global developments and an ever-growing list of shocks and disruptions have put further strain on already shaken global value chains. The complexity of current challenges impacting manufacturing and value chains calls for the need to go beyond the traditional means of driving productivity to uncover the next wave of value for businesses, the workforce and the environment. Artificial intelligence (AI) is a crucial enabler of industry transformation, opening new ways to address business problems and unlock innovation while driving operational performance, sustainability and inclusion. Even though the impact of AI applications on manufacturing processes is known, the full opportunity from their deployment is still to be uncovered due to a number of organizational and technical roadblocks. 最近のグローバルな展開と増え続けるショックやディスラプションは、すでに揺らいでいるグローバル・バリューチェーンにさらなる負担をかけている。製造業とバリューチェーンに影響を与える現在の課題の複雑さは、生産性を促進する従来の手段を超えて、企業、労働者、環境にとっての価値の次の波を明らかにする必要性を呼びかけている。人工知能(AI)は、産業変革の重要な実現手段であり、ビジネス上の問題に対処し、イノベーションを解放する新しい方法を開くと同時に、運用パフォーマンス、サステナビリティ、インクルージョンを推進するものである。製造プロセスにおけるAIアプリケーションの影響は知られていても、多くの組織的・技術的な障害により、その配備による完全な機会はまだ明らかにされていない。
Recognizing this need, the Centre for the Fourth Industrial Revolution Türkiye, together with the World Economic Forum’s Platform for Shaping the Future of Advanced Manufacturing and Value Chains and Platform for Shaping the Future of Technology Governance: Artificial Intelligence and Machine Learning, convened industry, technology and academic experts to shed light on these challenges and propose a step-by-step approach to overcome them. The consultations revealed six main challenges hindering the adoption and scaling of AI applications in manufacturing: この必要性を認識し、第4次産業革命トルコセンターは、世界経済フォーラムの「先進製造業とバリューチェーンの未来を形作るためのプラットフォーム」と「テクノロジー・ガバナンスの未来を形作るためのプラットフォーム」とともに、以下のイベントを開催した。産業界、技術界、学術界の専門家を招集し、これらの課題に光を当て、克服するための段階的なアプローチを提案した。協議の結果、製造業におけるAIアプリケーションの導入と規模拡大を妨げる6つの主要な課題が明らかになった。
1. A mismatch between AI capabilities and operational needs 1. AIの能力と業務上のニーズとのミスマッチ
2. The absence of a strategic approach and leadership communication 2. 戦略的アプローチとリーダーシップ・コミュニケーションの不在
3. Insufficient skills at the intersection of AI and operations 3. AIと運用の交差点におけるスキルの不足
4. Data availability and the absence of a data governance structure 4. データの可用性とデータガバナンス体制の不在
5. A lack of explainable AI models in manufacturing 5. 製造業における説明可能なAIモデルの不足
6. Significant customization efforts across manufacturing use cases 6. 製造業のユースケース間での大幅なカスタマイズの取り組み
The consultations show that leading manufacturers have successfully overcome the challenges mentioned above, implementing a variety of AI applications and achieving a positive impact on operational performance, sustainability and workforce engagement, mainly in six areas: health and safety, quality, maintenance, production processes, the supply chain, and energy management. 協議の結果、大手製造業は上記の課題を克服し、さまざまなAIアプリケーションを導入し、主に安全衛生、品質、メンテナンス、生産プロセス、サプライチェーン、エネルギー管理の6つの分野で、業務パフォーマンス、サステナビリティ、ワークフォースエンゲージメントにプラスの影響を与えることに成功していることが明らかになった。
While opportunities enabled by AI in manufacturing are promising and attracting many leaders, organizations are looking for a common framework that outlines how to implement AI solutions and ensure a successful return on investment. 製造業におけるAIが可能にする機会は有望であり、多くのリーダーを魅了しているが、組織はAIソリューションの導入方法を概説し、投資に対する成功報酬を確保するための共通のフレームワークを求めている。
Based on the consultations, this white paper presents one step-by-step process as an example of how it is possible to overcome barriers, using the AI Navigator2 developed by the INC Invention Center as a reference: 本ホワイトペーパーでは、コンサルティングをもとに、INCインベンションセンターが開発したAIナビゲーター2 を参考に、障壁を克服するための一例として、あるステップ・バイ・ステップのプロセスを紹介している。
Phase 0: Initiation to build the fundamentals – strategy, data and workforce フェーズ 0:戦略、データ、人材といった基礎的な部分を構築するイニシエーション
Phase 1: Ideation to identify potential use cases and conduct a pre-selection フェーズ 1:ユースケースの候補を特定し、事前選定を行うアイデア出し
Phase 2: Assessment to select use cases and identify priorities via gap analysis フェーズ 2:ユースケースを選択し、ギャップ分析により優先順位を特定するためのアセスメント
Phase 3: Feasibility to complete all required tests and studies フェーズ 3:必要なテストと調査をすべて完了させるフィージビリティ(実現可能性
Phase 4: Implementation, which requires iteration and piloting using agile project management フェーズ 4:アジャイルプロジェクトマネジメントによる反復と試行が必要な実装
Moving forward, the World Economic Forum and the Centre for the Fourth Industrial Revolution Türkiye will continue to work closely with stakeholders in the Centre for the Fourth Industrial Revolution Network and across industries to accelerate the journey to capture value from AI in manufacturing globally. It will offer the Turkish Employers’ Association of Metal Industries (MESS) Technology Centre as a unique testing and collaboration system for businesses to pilot new AI applications and foster a collaborative approach among a diverse group of stakeholders to ensure the right AI capabilities are built in manufacturing and rolled out worldwide. 今後、世界経済フォーラムと第4次産業革命センター・トルコは、第4次産業革命センター・ネットワークのステークホルダーや産業界全体と密接に連携し、製造業におけるAIからの価値獲得に向けた旅をグローバルに加速していく。新しいAIアプリケーションを試験的に導入する企業のための独自の試験・コラボレーションシステムとしてトルコ金属工業経営者協会(MESS)テクノロジーセンターを提供し、製造業において正しいAI能力が構築され、世界中で展開されるように、多様なステークホルダー間の共同アプローチを促進する。

 

 

| | Comments (0)

NIST FIPS 197「高度暗号化標準」の更新提案

こんにちは、丸山満彦です。

NISTが、FIPS 197「高度暗号化標準」の更新の提案をしていますね。。。

NIST - ITL

・2022.12.19 Announcement of Proposal to Update FIPS 197, The Advanced Encryption Standard

 

Announcement of Proposal to Update FIPS 197, The Advanced Encryption Standard FIPS 197「高度暗号化標準」の更新提案の通知
As a part of the periodic review of NIST’s cryptographic standards and guidelines, NIST's Crypto Publication Review Board ("Review Board") announced the review of Federal Information Processing Standards Publication (FIPS) 197, The Advanced Encryption Standard (AES) in May 2021. NISTの暗号標準とガイドラインの定期的な見直しの一環として、NISTのCrypto Publication Review Board(以下、レビューボード)は、2021年5月に連邦情報処理標準出版物(FIPS)197, 高度暗号化標準(AES)の見直しを行うと発表した。
NIST proposes to update FIPS 197. An update of a publication is appropriate when it only requires changes to correct errors or clarify its interpretation, and no changes are made to technical content. The proposed changes to FIPS 197 are summarized in the sections below. NISTは、FIPS 197の更新を提案している。 出版物の更新は、誤りの訂正や解釈の明確化のための変更のみを必要とし、技術的な内容に変更がない場合に適切とされている。 FIPS 197 の変更案は、以下のセクションに要約されている。
A public comment period for the draft FIPS 197 update is open through February 13, 2023.  Public comments on the decision to update the FIPS, or on the draft update itself, may be submitted to [mail], with “Comments on Draft FIPS 197 Update” in the subject line. Comments received in response to this request will be posted on the Crypto Publication Review Project site after the due date. Submitters’ names and affiliations (when provided) will be included, while contact information will be removed. See the project site for additional information about the review process. FIPS 197更新ドラフトに対するパブリックコメント期間は、2023年2月13日までである。  FIPS更新の決定、または更新ドラフト自体に対するパブリックコメントは、件名に "Comments on Draft FIPS 197 Update "と記載して [mail] 宛に提出することができる。この要請に応じて受け取ったコメントは、期日後に暗号化出版物審査プロジェクトのサイトに掲載される。提出者の名前と所属(提供されている場合)は含まれますが、連絡先情報は削除される。レビュープロセスの詳細については、プロジェクトサイトを参照のこと。
Summary of the Draft Update of FIPS 197 FIPS 197のドラフト更新の概要
The version history is summarized in Appendix D of the draft update of FIPS 197. The draft update includes extensive editorial improvements to the version that was published in November 2001, including the following: バージョン履歴は、FIPS 197のドラフト更新の附属書Dに要約されている。更新ドラフトは、2001年11月に発行されたバージョンに対して、以下のような広範囲な編集上の改善を含んでいる。
・The frontmatter is modernized, e.g., a foreword and abstract are added. ・まえがき及び要約を追加するなど、前文を現代的にした。
・Terms and symbols are defined more comprehensively and consistently. ・用語や記号の定義をより包括的かつ統一的にした。
・Formatting/typesetting is improved in a variety of ways. ・書式やタイプセットを改善した。
・Unnecessary formalism is removed. ・不必要な形式的表現を排除した。
・Diagrams are included for the three key schedules. ・3つの主要なスケジュールについて、図を掲載した。
・Some references were updated, and additional references were provided. ・いくつかの参考文献を更新し、さらに参考文献を追加した。
Initial Public Comments 初回パブリックコメント
In May 2021, the Review Board requested initial public comments for the review of FIPS 197 (released 2001). In June 2021, the public comments were posted. The public comment to include a reference to NIST Special Publication (SP) 800-133 Rev. 2, Recommendation for Cryptographic Key Generation was accepted in the updated draft. 2021年5月、レビューボードはFIPS 197(2001年リリース)のレビューのための初期パブリックコメントを要請した。2021年6月、パブリックコメントが掲載された。NIST 特別出版物 (SP) 800-133 Rev.2, 暗号鍵の生成に関する推奨事項への言及を含めるというパブリックコメントは、更新ドラフトで受理された。
The other two public comments include a variety of observations and suggestions for the appropriate properties for a block cipher and its modes of operation. In particular, both comments request that NIST standardize an alternative block cipher with a larger block size. Neither comment recommends any changes to FIPS 197 itself. 他の2件のパブリックコメントには、ブロック暗号とその動作モードの適切な特性に関する様々な見解や提案が含まれている。特に、両コメントともブロックサイズを大きくした代替ブロック暗号を標準化するようNISTに要求している。どちらのコメントもFIPS 197自体の変更は推奨していない。
NISTIR 8319 NISTIR 8319
Published in July 2021, NIST Internal Report (NISTIR) 8319, Review of the Advanced Encryption Standard documented the main considerations in the review of FIPS 197. 2021年7月に発行されたNIST内部報告書(NISTIR)8319「高度暗号化標準のレビュー」では、FIPS197のレビューにおける主な検討事項が文書化されている。
Rationale for Updating FIPS 197 FIPS 197の更新の根拠
There are two elements to the decision to update a publication: 1) editorial revision is appropriate, and 2) technical revision is not necessary. In the case of FIPS 197, several potential clarifications are recommended in Section 3.5 of NISTIR 8319, and NIST identified a variety of other editorial improvements. 出版物の更新を決定するには、2つの要素がある。1) 編集上の改訂が適切である、2) 技術的な改訂が必要でない。FIPS 197 の場合、NISTIR 8319 のセクション 3.5 でいくつかの潜在的な明確化が推奨されており、NIST はその他の編集上の様々な改善点を特定した。
The technical content is the specification of a family of three block ciphers: AES-128, AES-192, and AES-256, where the numerical suffix indicates the bit length of the key. Since AES is adopted widely, the main question for the review is whether the specified block cipher family is sufficiently secure. The following is a summary of the security assessment: 技術的な内容は、3つのブロック暗号のファミリーの仕様である。AES-128、AES-192、AES-256の3種類で、数字のサフィックスが鍵のビット長を表している。AESは広く採用されているため、レビューの主な問題は、指定されたブロック暗号ファミリーが十分に安全であるかどうかということである。以下、安全性評価の概要を述べる。
・Classical security [Sections 3.1 and 3.2 of NISTIR 8319]: The key sizes remain adequate against classical exhaustive search. For the classical analytic attacks on instances of the AES algorithm that are listed in Table 2 of NISTIR 8319, either 1) the attack only applies to an unapproved, weakened variant, in which the number of rounds is reduced by at least three; or 2) the computational complexity of the attack is prohibitive. In the second category, the largest theoretical reduction in computational complexity over generic, exhaustive search occurs under the restrictive assumption of related-keys, and only for AES-192 and AES-256. ・古典的安全性 [NISTIR 8319の3.1項と3.2項]: 古典的な網羅的探索に対して、鍵の大きさは十分である。NISTIR 8319の表2に記載されているAESアルゴリズムのインスタンスに対する古典的な分析的攻撃については、1) 攻撃は、ラウンド数が少なくとも3つ減少している、未承認の弱体化したバリエーションにのみ適用されるか、2) 攻撃の計算複雑さが法外であるかのいずれかである。2番目のカテゴリーでは、一般的な網羅的探索と比較して理論上最大の計算量削減が、関連鍵という制限付きの仮定の下で、AES-192とAES-256に対してのみ発生する。
・Key Size and Post-Quantum Security [Section 3.3 of NISTIR 8319]: If large-scale quantum computers are developed, Grover’s algorithm would facilitate a brute force search for the key with computational work that is roughly the square root of the classical computational work. NIST expects to issue appropriate guidance on parameter choices and post-quantum security as part of the Post-Quantum Cryptography project. ・鍵のサイズと量子後のセキュリティ [NISTIR 8319の3.3項]: 大規模な量子コンピュータが開発された場合、Groverのアルゴリズムは古典的な計算量のほぼ平方根の計算量で鍵のブルートフォースサーチを容易にする。NISTは、ポスト量子暗号プロジェクトの一環として、パラメータの選択とポスト量子セキュリティに関する適切なガイダンスを発行することを期待している。
・Implementation security [Section 3.4 of NISTIR 8319]: Implementation attacks based on "side channels" such as power consumption and execution timing are a general concern for keyed cryptographic algorithms, including the AES family. Cache-timing attacks are a significant additional concern for the AES algorithm because they can potentially be mounted remotely; mitigating this risk was a key motivation for the inclusion of an AES instruction in modern processors. NIST will consider developing separate guidance on how to protect implementations of the AES family against implementation attacks in general. ・実装セキュリティ [NISTIR 8319のセクション3.4]。消費電力や実行タイミングのような「サイドチャンネル」に基づく実装攻撃は、AESファミリーを含む鍵暗号アルゴリズムに対する一般的な懸念事項である。キャッシュタイミング攻撃は、リモートで実行される可能性があるため、AESアルゴリズムにとって重要な追加的懸念事項である。このリスクを軽減することが、最新のプロセッサにAES命令を組み込む主な動機であった。NISTは、AESファミリーの実装を一般的な実装攻撃から保護する方法について、別途ガイダンスを作成することを検討する。

 

・2022.12.19 FIPS 197 (Draft) Advanced Encryption Standard (AES)

・[PDF]  FIPS 197 (Draft)

20221220-165217

 

 

| | Comments (0)

経済産業省 総務省 警察庁 NISC 年末年始休暇において実施いただきたい対策について(注意喚起)

こんにちは、丸山満彦です。

GW前、お盆前、年末年始前、、、風物詩的になってまいりました。。。

 

経済産業省

・2022.12.20 年末年始休暇において実施いただきたい対策について注意喚起を行います

・[PDF] 年末年始休暇において実施いただきたい対策について

・[PDF] 別添資料

20221220-154355

 

● 警察庁 - サイバーポリスエージェンシー

・2022.12.20 年末年始休暇において実施いただきたい対策について(注意喚起)

・[PDF] 年末年始休暇において実施いただきたい対策について(注意喚起)

・[PDF] セキュリティ対策責任者・システム担当者向け資料

 

● 内閣官房サイバーセキュリティセンター

・2022.12.20 年末年始休暇において実施いただきたい対策について注意喚起を行います

・[PDF] 年末年始休暇において実施いただきたい対策について(注意喚起) 

・[PDF] 長期休暇に向けて、セキュリティ対策は万全ですか? 

ちなみに...

 

 

 

| | Comments (0)

2022.12.20

OECD 「信頼性のある、持続可能で、包摂的なデジタルの未来」に関する閣僚宣言 (2022.12.15)

こんにちは、丸山満彦です。

遅れていたことに少しずつ追いつてきていますよ。。。(^^)

2022.12.14-15に経済協力開発機構(OECD)デジタル経済政策委員会(CDEP)閣僚会合がスペインのグランカナリアで開催され、「信頼性のある、持続可能で、包摂的なデジタルの未来」に関する閣僚宣言が採択されていますね。。。

こちらは、総務省のウェブページで紹介されています。(信頼性のあるガバメントアクセスに関する高次原則に係る閣僚宣言」は、個人情報保護委員会のウェブページで紹介されてました)。

OECD

・2022.12.15 Declaration on a Trusted, Sustainable and Inclusive Digital Future

 

総務省

・2022.12.16 OECDデジタル経済に関する閣僚会合の結果

・[PDF] Declaration on a Trusted, Sustainable and Inclusive Digital Future

20221220-143900

・[PDF]  仮訳

20221220-144317

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.12.17 OECD 「信頼性のあるガバメントアクセスに関する高次原則に係る閣僚宣言」を採択

 

 

| | Comments (0)

公安調査庁 令和5年「内外情勢の回顧と展望」

こんにちは、丸山満彦です。

公安調査庁が、2022.12.19に内外情勢の回顧と展望」を更新して、公表していますね。。。

特集は3つあって...

  • 特集1 ロシアによるウクライナ侵略をめぐって揺れ動いた世界
  • 特集2 経済安全保障関連
  • 特集3 サイバー空間の広がりに伴う脅威の拡散

です。。。

昨年は、

でした。

 

公安調査庁

・2022.12.19 令和5年「内外情勢の回顧と展望」の公表について

・[PDF] 内外情勢の回顧と展望(令和5年版)」

20221220-131300

 

目次...

内外情勢の回顧と展望(令和5年版)の発行に当たって

特集1 ロシアによるウクライナ侵略をめぐって揺れ動いた世界
  1 長期化するウクライナ危機
  2 対ロシア関係をめぐる国際社会の対応
  3 ウクライナ侵略を受けた我が国内での動向
  COLUMN① ロシアによるウクライナ侵略を捉えたイスラム過激組織の主張
  COLUMN② ロシアによるウクライナ侵略の中で狙われる製品

特集2 経済安全保障関連
  1 重要技術・製品等の確保に向けた取組を継続する米中
  2 国内外の技術・製品の獲得に向けた動向
  3 経済安全保障分野における公安調査庁の取組

特集3 サイバー空間の広がりに伴う脅威の拡散
  1 公共空間としての重要性を増すサイバー空間
  COLUMN 民主主義の基盤を脅かす懸念のある偽情報
  2 活動主体の多様化が進むサイバー空間
  3 サイバーセキュリティ意識の向上に加え、メディア情報リテラシーの向上も課題

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.07.01 公安調査庁 国際テロリズム要覧2022

・2022.06.30 公安調査庁 「公安調査局長・公安調査事務所長会議」における公安調査庁長官訓示(2022.06.23)

・2022.05.28 公安調査庁 経済安全保障の確保に向けて2022~技術・データ・製品等の流出防止~

・2022.04.17 公安調査庁 サイバー空間における脅威の概況2022

・2022.03.09 公安調査庁 経済安全保障関連調査及びサイバー関連調査の取組強化について

・2022.02.24 公安調査庁 経済安全保障に関する啓発のためにYouTube広告を配信します

・2021.12.20 公安調査庁 内外情勢の回顧と展望(令和4年版)

・2021.03.25 公安調査庁 サイバーパンフレット「サイバー空間における脅威の概況2021」at 2021.03.05

・2020.06.30 公安調査庁 サイバーパンフレット「サイバー攻撃の現状2020」

 

 

| | Comments (0)

データ被害時のベンダー選定チェックシート Ver.1.0 by 日本データ復旧協会(DRAJ), デジタル・フォレンジック研究会(IDF), 日本ネットワークセキュリティ協会(JNSA), 日本コンピュータセキュリティインシデント対応チーム協議会(NCA), ソフトウェア協会(SAJ)

こんにちは、丸山満彦です。

ランサムウェア攻撃によるインシデントは一向に減らないような感じですね。ランサムウェアの事故からの復旧をする際に、外部専門家の力も必要となるのですが、どういうベンダーを選定すれば良いのか迷うこともあると思います。変な業者を頼んで、勝手に身代金を払ってデータ復旧したみたいなことがあると困りますよね。。。

ということで、日本データ復旧協会(DRAJ), デジタル・フォレンジック研究会(IDF), 日本ネットワークセキュリティ協会(JNSA), 日本コンピュータセキュリティインシデント対応チーム協議会(NCA), ソフトウェア協会(SAJ)が、協力して、「データ被害時のベンダー選定チェックシート Ver.1.0」を作成し、公表していますので、参考に...

セキュリティ業界に団体がたくさんありますね。。。

| | Comments (0)

中国 最高検察庁 国民の個人情報に対する犯罪を法に基づいて処罰した代表的な5事例の公表 (2022.12.07)

こんにちは、丸山満彦です。

中国でも個人情報保護法が制定されるなど、個人データに関する規制が行われていますが、最高検察庁 国民の個人情報に対する犯罪を法に基づいて処罰した代表的な5事例の公表しており、どのようにして処罰されているのかの片鱗を知ることができるかもしれません。ただ、個人情報保護法が施行される前の事例ですが。。。

最高人民检察院

・2022.12.07 最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例

 

最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例 最高検察庁、国民の個人情報に対する犯罪を法に基づいて処罰した代表的な5事例を公表
推动形成个人信息保护多元共治新格局 個人情報保護に関する多様で共通した新しいガバナンスの形成の推進
近日,最高人民检察院发布5件依法惩治侵犯公民个人信息犯罪典型案例。该批典型案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型个人信息的全面保护,体现了检察机关依法从严惩治侵犯公民个人信息犯罪的政策导向。 最近、最高人民検察院は、国民の個人情報に対する犯罪を法律に基づいて処罰した代表的な5つの事例を発表した。 代表的な事例では、国民の信用情報、生体情報、軌跡情報、健康・生理情報など、さまざまな種類の個人情報を包括的に保護しており、国民の個人情報に対する犯罪を法律に基づいて厳しく処罰するという検察当局の政策方針が反映されている。
该批典型案例对司法办案中涉及个人信息的有关法律适用问题进行了重申或明确。比如,案例一明确,对客观上无法排重计算所涉个人信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。案例二明确,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。 一連の典型的な事例では、裁判例における個人情報に関連する法的適用の問題が再確認され、明確にされている。 例えば、事例1では、関係する個人情報を順位付けして計算することが客観的に不可能な場合、違法収益の額を有罪判決および量刑の事実上の根拠として決定することができることを明確にしている。 事例2は、国民の個人情報の一括管理について、虚偽または重複を証明する証拠がある場合を除き、押収量に基づき直接個数を決定することを明確にしたものである。
信息数量、违法所得数额是侵犯公民个人信息罪定罪量刑的重要依据。其中之一达到司法解释规定的标准,即可认定为“情节严重”或者“情节特别严重”,按照侵犯公民个人信息罪定罪量刑。如果二者分别属于不同的量刑幅度的,可以按照处罚较重的量刑幅度处理。 国民の個人情報に対する犯罪では、情報量と違法収益の額が有罪判決や量刑の重要な根拠となる。 このうち、1つでも「司法解釈」が定める基準に達していれば、「加重状況」または「特に加重な状況」とみなされ、国民の個人情報を侵害した罪に応じて有罪判決が下される。 両者が異なる量刑範囲に含まれる場合は、より重い刑罰が適用される量刑範囲に従うことができる。
党的二十大明确指出要“加强个人信息保护”。近年来,全国检察机关强化履职担当,不断加强对公民个人信息的司法保护。2019年至今年10月,全国检察机关共批准逮捕涉嫌侵犯公民个人信息犯罪嫌疑人1.3万余人,提起公诉2.8万余人。 第20回党大会では、「個人情報保護の強化」の必要性が明確に指摘された。 近年、国家検察庁はその役割を強化し、国民の個人情報の司法保護を継続的に強化している。2019年から今年10月まで、国家検察庁は国民の個人情報を侵害した疑いのある13,000人以上の容疑者の逮捕を認め、28,000件以上の起訴を行った。
最高检第一检察厅负责人表示,民法典第四编第六章专章规定了“隐私权和个人信息的保护”。2021年11月1日颁布施行的个人信息保护法完善了个人信息保护的法律体系。在司法实践中,涉及信息类型的界定、刑事处罚标准的确定,以及庞杂的信息数量核查等问题,仍亟需加强指导。通过该批典型案例的选编、发布,以期促进个人信息保护相关法律深入贯彻实施,为检察办案提供指导。下一步,检察机关要进一步强化履职,结合打击治理电信网络诈骗犯罪等深挖关联犯罪,加强对上游信息采集、提供、倒卖等环节犯罪行为的全链条打击,对公民个人信息的信息类型以及刑事处罚标准加强研究,协同推进个人信息保护刑事检察和公益诉讼检察一体化办案,促进平台、行业完善内部管控,推动形成个人信息保护多元共治新格局。 最高検察庁第一検察庁長官は、民法第4編第6章にプライバシーと個人情報の保護が規定されており、2021年11月1日に施行される個人情報保護法により、個人情報保護に関する法制度が整備されたと述べている。 司法実務においては、情報の種類の定義、刑事罰の決定、複雑な情報量の検証などに関する指導の強化が急務であることに変わりはない。 今回の代表的な事例の選定・公表を通じて、個人情報保護関連法の徹底を図るとともに、検察官の事件処理の指針を提供することを目的としている。 次の段階として、検察当局はその職務をさらに強化し、通信ネットワーク詐欺犯罪などの取り締まりと連動して関連犯罪の捜査を深め、上流情報の収集・提供・ダンピングなどの犯罪行為に対する取り締まりの全チェーンを強化し、国民の個人情報の種類や刑事処罰基準の研究を強化し、個人情報保護刑事訴訟と公益訴訟訴追の統合を共同で推進、プラットフォームや業界の改善を促進する必要がある。 内部統制を強化し、個人情報保護のための新しい多面的なガバナンスの形成を促進する。
检察机关依法惩治侵犯公民个人信息犯罪典型案例 国民の個人情報に対する犯罪を法律に基づいて処罰する調達機関の代表的な事例
关于印发检察机关依法惩治侵犯公民个人信息犯罪典型案例的通知 国民の個人情報を侵害した犯罪を処罰する法令に基づく検察庁の典型的な事例を公表することに関する通知
各省、自治区、直辖市人民检察院,解放军军事检察院,新疆生产建设兵团人民检察院: 中央政府直轄の各省、自治区、市の人民検察院、人民解放軍の軍事検察院、新疆生産建設兵団の人民検察院。
近年来,全国检察机关坚持以习近平新时代中国特色社会主义思想为指导,依法能动履职,切实加强对公民个人信息的司法保护。2019年至2022年10月,共批准逮捕涉嫌侵犯公民个人信息犯罪嫌疑人1.3万余人,提起公诉2.8万余人,有力保护了被害人的合法权益。为深入学习贯彻党的二十大精神,全面贯彻习近平法治思想,积极回应社会关切,切实加强公民个人信息保护,加强办案指导,持续推动《中华人民共和国个人信息保护法》贯彻实施,最高人民检察院选编了“解某某、辛某某等人侵犯公民个人信息案”等5件检察机关依法惩治侵犯公民个人信息犯罪典型案例,现印发你们,供参考借鉴。 近年、国家検察機関は「新時代の中国の特色ある社会主義」に関する習近平思想の指導を堅持し、法律に従ってダイナミックに職務を遂行し、国民の個人情報の司法保護を効果的に強化しており、2019年から2022年10月まで、国民の個人情報を侵害した疑いのある容疑者計13,000人余りの逮捕を認め、28,000余りを起訴し、被害者の合法的権益を有効に保護することができるようになった。 第20回中国共産党全国代表大会の精神を徹底的に研究・実践し、習近平の法治思想を全面的に実行し、社会の関心事に積極的に対応し、国民の個人情報保護を効果的に強化し、事件処理の指導を強化し、中華人民共和国個人情報保護法の実施を絶えず推進するために、最高人民検察院は「謝木茂、辛木茂ら国民の個人情報を侵害した事件」を選定・編集した。 "最高人民検察院は、法律に従って国民の個人情報に対する犯罪を処罰する検察機関の典型的な事例を5つ選び、ここに参考資料として発行した。
本批典型案例有以下特点:一是体现了依法从严惩治侵犯公民个人信息犯罪的政策导向,注重全面打击上下游犯罪。如案例三中,天津检察机关通过加强检警协作,深挖上下游犯罪,从窃取信息的源头到出售末端全面排查、精准打击,彻底斩断犯罪链条。二是体现了对公民个人信息的全面保护。个人信息内涵丰富,民法典、个人信息保护法专门进行了定义。本批案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型信息的全面保护。三是强调发挥指导检察办案的作用。如案例一提出,对客观上无法排重计算信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。案例二提出,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。对信息的真实性,可以采取抽样方式进行验证。四是强调法治宣传教育和促进诉源治理。通过发布典型案例,提醒广大人民群众提高自我保护意识,谨防个人信息泄露。如案例二中被告人将开发的窃取被害人照片的软件伪装成“颜值检测”软件,迷惑性极强,只要用户下载打开使用就会造成个人信息的泄露。针对行业“内鬼”泄露公民个人信息案件中反映出的管理漏洞和内部监管机制不到位等问题,检察机关通过制发检察建议,督促相关单位履行监管职责,完善管理制度,预防和杜绝泄露公民个人信息问题的发生。 第一に、国民の個人情報に対する犯罪を法律に基づいて厳罰化し、川上から川下まで総合的に取り締まるという政策方針を反映していることである。 例えば、事例3では、天津市検察当局が検察と警察の連携を強化することで、犯罪の上流と下流を深く掘り下げ、盗んだ情報の出所から販売先まで総合的に調査し、正確に取り締まり、犯罪チェーンを完全に断ち切った。 第二に、国民の個人情報を包括的に保護することを具現化したものである。 個人情報には豊かな意味合いがあり、民法や個人情報保護法などで具体的に定義されている。 今回は、国民の信用情報、生体情報、軌跡情報、健康・生理情報など、さまざまな情報を包括的に保護する事例を取り上げた。 第三に、事件処理における検察官の誘導の役割を重視している。 例えば、事例1では、情報量のランク付けや算出が客観的に不可能な場合、違法収益の額を有罪判決や量刑の事実上の根拠として用いることができると提案している。 事例2は、大量に押収された国民の個人情報の短冊の枚数を、真偽不明または重複しているという証拠がある場合を除き、押収量に基づいて直接決定することを提案する。 情報の真偽は、サンプリングによって確認することができる。 第四に、法の支配に関する教育の推進と、訴訟源のガバナンスの推進を重視していることである。 代表的な事例を公開することで、一般の方々にも自衛意識を高め、個人情報漏えいに注意するよう呼びかけた。例えば、事例2において、被告は、被害者の写真を盗むために開発したソフトウェアを「顔写真検出」ソフトウェアと偽っていたが、これは極めて紛らわしいもので、ユーザーがダウンロードして開いて使用すると、個人情報の流出が発生することになる。  業界の「内部者」による国民の個人情報流出事件に反映された管理の抜け穴と不十分な内部監督機構に鑑み、検察当局は、監督責任を果たし、管理システムを改善し、国民の個人情報流出を防止・停止するよう関連部門に促す検察勧告を発表した。
下一步,各级检察机关要进一步强化履职,结合打击治理电信网络诈骗犯罪等深挖关联犯罪,加强对上游信息采集、提供、倒卖等环节犯罪行为全链条打击,加强对公民个人信息“信息类型”和刑事处罚标准的研究,充分发挥检察监督职能优势,协同推进个人信息保护刑事检察和公益诉讼检察一体化办案,促进平台、行业完善内部管控,推动形成个人信息保护多元共治新格局。 次の段階として、各レベルの調達機関は、職務の遂行をさらに強化し、通信ネットワーク詐欺の取り締まりと連動して関連犯罪の調査を深め、上流の情報収集・提供・販売における犯罪のチェーン全体の取り締まりを強化し、国民の個人情報の「情報型」と刑事処罰基準の研究を強化し、調達機関の監督機能を十分に発揮させる必要がある。 また、最高人民検察院はその監督機能を活用して、個人情報保護に関する刑事訴追と公益訴訟の一体化を推進し、プラットフォームと産業による内部管理の改善を促進し、個人情報保護に関する多面的なガバナンスの新形態の形成を促進した。
最高人民检察院 最高人民検察庁
2022年12月2日 2022年12月2日
检察机关依法惩治侵犯公民个人信息犯罪典型案例 国民の個人情報に対する犯罪を法律に基づいて処罰する検察当局の典型的な事例
案例一 解某某、辛某某等人侵犯公民个人信息案 事件1 謝木茂、申木茂らによる市民の個人情報侵害事件
【关键词】 [キーワード]
侵犯公民个人信息  征信信息  信息数量  违法所得数额 国民の個人情報、信用情報、情報量、不正所得額の侵害
【基本案情】 [事件の基本的な事実]
被告人解某某,北京某信息咨询有限公司法定代表人。 被告人である謝慕慕は、北京情報諮詢有限公司の法的代表者である。
被告人辛某某,北京某信息咨询有限公司股东。 北京信息諮詢有限公司の株主である被告新夢は、「北京信息諮詢有限公司を設立した。
被告人吴某某、郝某、李某某等基本情况略。 被告呉茂茂、被告郝茂茂、被告李茂茂の基本的状況は省略する。
该公司2015年7月成立后,最初主要是网络商业推广,后公司出现亏损。解某某、辛某某便决定出售公民信息牟利。2018年1月至2019年6月,解某某、辛某某雇佣吴某某、郝某、李某某等50余人通过在网上刊登贷款广告、在公司的“点有钱”微信公众号设置贷款广告链接,吸引有贷款需求的人填写“姓名、手机号、有无本地社保和公积金、有无负债、房产和车辆持有状况、工资收入、有无保险、征信情况、借款需求、还款周期”等信息。获取上述信息后,解某某、辛某某指使员工将上述信息上传到公司开发的“点有钱”APP,再通过在微信群搜集、在“点有钱”微信公众号发放广告,获取银行、金融公司信贷员的姓名和手机号。通过与信贷员联系,吸引他们在APP注册充值。信贷员充值后,解某某、辛某某等人在未经信息权利人同意的情况下,将信息以每条30元至150元的价格出售给信贷员。通过出售上述信息,解某某、辛某某等人违法所得共计450余万元。 同社は2015年7月、当初はネットビジネスのプロモーションを主な目的としていたが、赤字になったことをきっかけに設立された。 同社は2015年に設立され、当初はネットビジネスのプロモーションを中心に展開していた。 同社の「ポイントマネー」WeChat公開番号にローン広告へのリンクを設置し、融資ニーズのある人が「氏名、携帯電話番号、地域の社会保障と摂生資金の有無、借金の有無、不動産と車の保有状況、給与と収入、保険の有無、信用状況、借入ニーズ、返済サイクル」などの情報を記入するよう呼びかけた。 謝萌と新萌は、上記情報を入手した後、従業員に指示して、同社が開発した「ポイントマネー」アプリに上記情報をアップロードし、WeChatグループでの収集を通じて、「ポイントマネー」WeChat公開番号で、銀行や金融会社の債権者名を入手する広告を発行したこと のホームページを作成した。 同社の債権者に連絡を取り、アプリの登録と上乗せを呼びかけた。 債権者が上納した後、謝慕と辛慕は情報権利者の同意なしに、債権者に情報をそれぞれ30元から150元で売却した。 上記の情報を販売することで、謝慕慕、辛慕慕慕らは合計450万元以上の不法な収益を得た。
2019年6月,公安机关立案侦查,将解某某、辛某某等人抓获,从网站后台提取到公民个人信息共计31万余条。 2019年6月、公安当局は捜査案件を開設し、謝萌萌、新萌萌らを逮捕し、同サイトの裏側から計31万件以上の市民の個人情報を抜き出した。
【检察机关履职过程】 [検察当局の職務執行]
(一)审查逮捕 (1) 審査・逮捕
2019年8月5日,北京市昌平区人民检察院以涉嫌侵犯公民个人信息罪对解某某等人批准逮捕。批捕后,检察机关建议公安机关围绕涉案公民个人信息的内容、数量、是否属于单位犯罪等问题进一步侦查。 2019年8月5日、北京昌平区人民検察院は、市民の個人情報を侵害した疑いで、謝何某らの逮捕を承認した。 逮捕の承認後、公安当局は、関係する市民の個人情報の内容や量、単位犯罪かどうかを中心にさらに調査するよう提案した。
(二)审查起诉 (2) 審査・起訴
2019年12月30日,公安机关将解某某等人移送审查起诉。检察机关审查认为,2017年底,解某某、辛某某决定实施犯罪,招募员工,收集、出售公民信息,除此之外公司并无其他合法经营活动,依法应以自然人犯罪论处。由于存放数据的服务器域名过期未续费导致原始信息被删除,通过后台提取的信息包含“*”,客观上无法对具体信息条数排重计算。于是,检察机关通过审查银行流水、业绩单等电子证据等认定每名被告人的违法所得均超过5万元,属于“情节特别严重”。在共同犯罪中,解某某、辛某某起主要作用,系主犯;其余被告人系被雇佣,在犯罪中分工合作,实施信息上传、筛选、销售等,起次要作用,系从犯。经释法说理,解某某、辛某某等人均自愿认罪认罚。 2019年12月30日、公安当局は謝何某らを審査・起訴に回した。 検察当局は、2017年末、謝何某と新何某が犯罪を犯すことを決め、従業員を募集し、市民の情報を収集、販売し、それ以外に、同社は正当な事業活動がなく、法律により自然人犯罪として処罰されるべきであると検討した。 データが保存されているサーバーのドメイン名が期限切れで更新されなかったため、元の情報が削除され、バックグラウンドで抽出された情報には「*」が含まれており、客観的には特定の情報の個数を順位付けして算出することはできなかった。 その結果、検察当局は、銀行のフローや業績表などの電子的証拠を調べることで、各被告の違法所得が5万元を超え、「特に深刻」であることを突き止めたのである。 共同犯罪では、謝何某、新何某は、主要な役割は、主犯格を果たし、被告の残りの部分は、分業、情報のアップロードの実装では、スクリーニング、販売など、二次的な役割を果たし、雇われた、付属品である。 法律を説明した後、謝何某、新何某らは全員自発的に罪を認め、有罪を主張した。
2020年6月24日,昌平区人民检察院以解某某、辛某某等人涉嫌侵犯公民个人信息罪提起公诉。 2020年6月24日、昌平区人民検察院は市民の個人情報を侵害した罪で、謝何某、新何某らを起訴した。
(三)指控与证明犯罪 (3) 罪の告発と立証
2020年9月16日,昌平区人民法院依法公开审理。 2020年9月16日、昌平区人民法院は法律に基づいて公開裁判を実施した。
庭审中,被告人对指控的事实与罪名均无异议。但有的辩护人提出,一是本案属于单位犯罪。二是信息数量没有排重,故数量认定不准确。三是指控的违法所得包含了公司其他合法经营所得,该部分不应当作为犯罪金额。 裁判の間、被告人は自分に対する事実と告発に異議を唱えませんでした。 しかし、擁護派からは、まず、この事件はユニット犯罪であるとの指摘もあった。 第二に、情報の数が多くランク付けされていないため、不正確な数字と判断されたことである。 第三に、違法とされる収入には、会社の他の正当な事業収入も含まれており、その部分を犯罪の額とすべきではないこと。
公诉人答辩指出,一是谢某某、辛某某成立公司后,虽然最初是合法经营,但公司出现亏损后,自2017年底就预谋收集、出售公民信息,并招募员工等,2018年以后除实施收集、出售公民信息犯罪活动以外,并无其他合法经营。根据《最高人民法院关于审理单位犯罪案件具体应用法律有关问题的解释》的规定,公司、企业、事业单位设立后,以实施犯罪为主要活动的,不以单位犯罪论处。二是本案在客观上无法实现信息排重,但有确实、充分的证据可以证实各被告人违法所得数额均在5万元以上。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定,信息数量、违法所得数额中某一项达到刑事追诉标准,即构成侵犯公民个人信息罪。本案虽然无法确定信息数量,但可以证实被告人违法所得数额达到5万元以上,属于“情节特别严重”。三是被告人供述、公司银行流水、业绩单及各被告人之间的微信聊天记录等证据可以证实谢某某、辛某某自2018年1月以后除出售公民个人信息外并无其他合法经营活动,所以指控的金额均系犯罪所得。 検察官の答弁では、まず、謝と新が会社を設立した後、当初は合法的に運営されていたものの、損失を被り、2017年末から計画的に市民情報を収集・販売し、従業員を募集するなどしており、2018年以降は市民情報の収集・販売という犯罪行為の実行以外に合法的な運営はなかったことが指摘された。 最高人民法院の「単位犯罪事件の審理における法の具体的適用に関する問題についての解釈」によると、犯罪の遂行を主な活動として設立された会社、企業、機関は単位犯罪として処罰されないとされている。 第二に、本件では、客観的に情報の順位付けの重さを実現することは不可能であったが、各被告の違法収益額が5万元以上であることを確認できる確実かつ十分な証拠が存在したことである。 最高人民法院と最高人民検察院の「市民の個人情報侵害の刑事事件の処理における法律の適用に関するいくつかの問題についての解釈」によると、情報量と違法収益額のいずれかが刑事訴追の基準に達する場合、市民の個人情報侵害の犯罪に該当する。 本件では、情報量を把握することはできなかったが、被告の違法収益額が5万元以上に達していることは確認でき、「特に重大な事情」である。 第三に、被告人の自白、会社の銀行フロー、業績表、被告人同士のWeChat記録などの証拠から、謝慕と新慕は2018年1月以降、市民の個人情報を販売する以外に正当な事業活動がないことが確認できるので、容疑額は犯罪収益である。
(四)裁判结果 (4) 裁判結果
2020年12月11日,昌平区人民法院采纳检察机关指控意见和量刑建议,以侵犯公民个人信息罪判处解某某、辛某某等被告人有期徒刑三年六个月至一年四个月不等,并处罚金。 2020年12月11日、昌平区人民裁判所は検察官の告発と判決勧告を採択し、市民の個人情報を侵害したとして、謝何某、辛何某ら被告に3年6ヶ月から1年4ヶ月の有期懲役を宣告し、罰金を科した。
【典型意义】 [代表的な意義]
(一)非法获取、出售征信信息,情节严重的,应以侵犯公民个人信息罪依法惩处。个人征信信息属于公民个人信息,包括个人基本信息、个人信贷交易信息,以及反映个人信用状况的其他信息。具有非法获取、出售征信信息50条以上,或者违法所得5000元以上情形之一的,属于“情节严重”,依法应以侵犯公民个人信息罪定罪处罚。数量或者数额达到上述规定标准十倍以上的,属于“情节特别严重”,依法应处三年以上七年以下有期徒刑,并处罚金。 (1) 信用情報の不正取得・販売の状況が重大である場合、被告人は国民の個人情報侵害の罪として法律により処罰されるものとする。 個人信用情報とは、国民の個人情報であり、基本的な個人情報、個人信用取引情報、その他個人の信用状況を反映する情報である。 50件以上の信用情報を不正に取得・販売した場合、または5,000元以上の不正な収益を得た場合は、「重大な事情」があると見なされ、法律に従い、市民個人情報侵害罪として有罪・処罰される。 数量または金額が上記基準の10倍以上に達した場合は、「特に重大な事態」として、3年以上7年以下の懲役および罰金に処するものとする。
(二)对客观上无法排重计算信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。信息数量、违法所得数额是侵犯公民个人信息罪定罪量刑的重要依据。其中之一达到司法解释规定的标准,即可认定为“情节严重”或者“情节特别严重”,按照侵犯公民个人信息罪定罪量刑。如果二者分别属于不同的量刑幅度的,可以按照处罚较重的量刑幅度处理。 (2) 情報量を算出することが客観的に不可能な場合、違法収益の額を有罪判決および量刑の事実上の根拠とすることができる。 国民の個人情報を侵害する罪では、情報量と違法な収入額が有罪判決や量刑の重要な根拠となる。 このうち1つでも司法解釈で定められた基準に達していれば、「重大な事情」または「特に重大な事情」とみなされ、国民の個人情報を侵害した罪に準じて有罪判決が下されることになる。 両者が異なる量刑範囲に属する場合は、より重い刑罰の量刑範囲に従うことができる。
(三)提高自我保护意识,防止个人信息泄露。征信信息全面反映个人信贷状况,与公民人身、财产安全直接相关,被泄露后容易成为电信网络诈骗、套路贷等违法犯罪活动的被害人。生活中,要注意选择正规的金融机构贷款,不随意点击不明贷款链接,不轻易透露个人财产状况,谨防信息泄露。 (3) 自己防衛意識の向上と個人情報漏洩の防止。 信用情報は個人の信用状況を総合的に反映し、国民の生命・財産の安全に直結するものであり、流出後は通信網詐欺や貸金業などの違法・犯罪行為の被害者となりやすい。 生活の中では、融資を受ける際には正式な金融機関を選ぶこと、知らない融資のリンクを勝手にクリックしないこと、情報漏洩を防ぐために個人の資産状況を安易に公開しないことなどに注意する必要がある。
案例二 李某侵犯公民个人信息案 事例2 李何某が市民の個人情報を侵害した場合
【关键词】 [キーワード]
侵犯公民个人信息  人脸信息  生物识别信息  信息数量 国民の個人情報、顔情報、生体情報、情報量の侵害
【基本案情】 [事件の基本的な事実]
被告人李某,某网络科技有限公司软件开发人员。 ネットワーク技術会社のソフトウェア開発者である李何某被告。
2020年6月至9月,李某制作了一款可以窃取安装者手机内的照片的软件。当手机用户下载安装该软件打开使用时,软件就会自动获取手机相册的照片并且上传到李某搭建的服务器后台。李某将该软件发布在暗网某论坛售卖,截至2021年2月9日,共卖得网站虚拟币30$。后李某为炫耀技术、满足虚荣心,又将该软件伪装成“颜值检测”软件,发布在某论坛供网友免费下载安装,以此方式窃取安装者手机相册照片1751张。其中,含有人脸信息、姓名、身份证号码、联系方式、家庭住址等100余条公民个人信息。 2020年6月から9月にかけて、李何某はインストール者の携帯電話から写真を盗み出すことができるソフトウェアを作成した。 携帯電話のユーザーがソフトをダウンロードしてインストールし、開くと、携帯電話のアルバムから自動的に写真を取得し、李が構築したサーバーのバックエンドにアップロードする仕組みになっていた。 李は、ダークウェブ上のフォーラムにソフトウェアを販売するために投稿し、2021年2月9日までに、ウェブサイト上で合計30ドルの仮想通貨を販売したのである。 その後、李は自分の技術を誇示し虚栄心を満たすために、このソフトウェアを「顔検出」ソフトウェアに偽装し、ネットユーザーが無料でダウンロード・インストールできるよう掲示板に掲載し、インストール者の携帯アルバムから1751枚の写真を盗み出した。 このソフトウェアは、ネットユーザーが自由にダウンロードしてインストールできるよう、フォーラムで公開された。
2020年9月,李某又用虚拟币在该暗网的论坛购买“社工库资料”并转存于网盘。2021年2月,李某为炫耀自己的能力,明知“社工库资料”含有户籍信息、车主信息等,仍将网盘链接分享到“业主交流”QQ群(150名成员)。经去除无效数据、合并去重后,该“社工库资料”包含公民个人信息共计8100余万条。 2020年9月、李は仮想コインを使ってダークウェブのフォーラムで「ソーシャルワーカーデータベース」を購入し、自分のオンラインディスクに転送した。 2021年2月、李は自分の能力を誇示するため、「社労士データベース」に戸籍や車の所有者情報が含まれていることを知りながら、QQグループ「所有者交流」(150人)にウェブドライブのリンクを共有した。 無効なデータを削除し、結合と重み付けを解除した「ソーシャルワーカー・データベース」には、合計で8,100万件以上の国民の個人情報が含まれていた。
2021年3月9日,公安机关将李某抓获。经侦查,因“社工库资料”内容庞大且存储于境外网盘,未查到有人下载使用。 2021年3月9日、公安当局が李何某を逮捕した。 調査の結果、「ソーシャルワーカー・データベース」はコンテンツが大きく、オフショアネットワークに保存されていたため、ダウンロードして利用した人はいなかったと判明した。
【检察机关履职过程】 検察当局の職務遂行
(一)审查逮捕 (1) 審査・逮捕
2021年3月26日,公安机关对李某提请批准逮捕。上海市奉贤区人民检察院审查认为,李某非法获取并在QQ群内提供8100余万条公民个人信息,信息数量巨大,符合“情节特别严重”的规定,且李某利用“颜值检测”软件窃取“人脸信息”等事实需继续侦查,本案存在毁灭证据的可能,遂于4月2日批准逮捕。 2021年3月26日、公安当局が李何某の逮捕の承認を求めた。 上海市奉賢区人民検察院は、李何某がQQグループの市民の個人情報8,100万件以上を不正に取得・提供し、これは膨大な情報量で「特に深刻な状況」の要件に該当すること、李何某が「顔検出」ソフトを使って「顔情報」などを盗用していたことを認定した。 "証拠隠滅 "の可能性があるため、4月2日に逮捕が承認された。
(二)审查起诉 (2) 審査・起訴
2021年5月28日,公安机关将该案移送审查起诉。奉贤区人民检察院审查认为,李某非法获取并提供公民个人信息,已涉嫌侵犯公民个人信息罪,且信息数量符合“情节特别严重”的规定,鉴于李某主观上没有出售牟利的目的,客观上未造成信息传播、扩散,且系初犯,自愿认罪认罚,8月10日,奉贤区人民检察院以李某涉嫌侵犯公民个人信息罪提起公诉,提出有期徒刑三年,缓刑三年的量刑建议。 2021年5月28日、公安当局は本件を審査・起訴に回した。 奉賢区人民検察院は、李何某が市民の個人情報を違法に取得・提供し、市民の個人情報を侵害した疑いがあり、その情報量は「特に深刻な状況」の要件に該当すると認定した。 8月10日、奉賢区人民検察院は李何某を市民の個人情報侵害の罪で起訴し、懲役3年、執行猶予3年の判決を提案した。
(三)指控与证明犯罪 (3) 罪の告発と立証
2021年8月23日,奉贤区人民法院依法公开审理。 2021年8月23日、奉賢区人民裁判所は、法律に従って公開裁判を行った。
庭审中,辩护人提出,一是本案未对涉案8100余万条信息的真实性核实确认,数量认定依据不足。二是被告人到案后如实供述自己利用黑客软件窃取照片的事实,还主动交代公安机关未掌握的在暗网非法购买公民个人信息并分享至QQ群的事实,对于该事实应当认定为自首。 裁判の中で弁護側が提案したのは、まず、事件に関わる8,100万件以上の情報の真偽が検証・確認されておらず、数量を決定する根拠が不十分であったこと。 第二に、被告はハッキングソフトを使って写真を盗んだ事実を自白し、また、公安当局が市民の個人情報を闇ネットで違法に購入し、QQグループに共有した事実を率先して説明し、自首とみなすべきであるとした。
公诉人答辩指出,一是司法鉴定机构去除无效信息,合并去重进行鉴定,鉴定出有效个人信息8100余万条,信息数量客观、真实,符合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定的对批量公民个人信息具体数量的认定规则,且公安机关抽样验证,随机抽取部分个人信息进行核实,能够确认涉案个人信息的真实性。二是公安机关抓获李某前已掌握其在暗网非法购买公民个人信息并分享到QQ群的事实,与其利用黑客软件窃取照片的行为属同种罪行,依法不能认定为自首。 検察官の答弁は、まず、司法鑑定機関が無効な情報を削除し、鑑定用に結合・除重し、有効な個人情報8,100万件余りを鑑定し、その件数は、市民個人情報侵害の刑事事件の処理における適用法のいくつかの問題に関する最高人民法院と最高人民検察院の解釈で規定した、塊である市民個人情報の特定量を決める規定に沿って、客観性と真実性があると指摘している。 公安当局がサンプリングの検証を行い、一部の個人情報を無作為に抽出して検証した結果、本件に関わる個人情報の真偽を確認することができた。 第二に、公安当局は、李何某が逮捕する前に、ダークウェブで市民の個人情報を違法に購入し、QQグループに共有していた事実をすでに把握しており、これはハッキングソフトで写真を盗むのと同類の犯罪であり、法に基づく自首とは言えない。
(四)裁判结果 (4) 裁判結果
奉贤区人民法院审理认为,李某具有坦白情节,且自愿认罪认罚,对其依法从宽处理,以侵犯公民个人信息罪判处李某有期徒刑三年,缓刑三年,并处罚金。 奉賢区人民法院は、李何某が犯行を自白し、自発的に罪を認めたこと、法律に基づき寛大であることを認め、市民の個人情報を侵害した罪で、李何某に懲役3年、執行猶予3年、罰金を言い渡した。
【典型意义】 [代表的な意義]
(一)对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。侵犯公民个人信息犯罪中,涉案信息动辄上万乃至数十万条,在海量信息状态下,对信息逐一核实在客观上较难实现。所以,实践中允许适用推定规则,即根据查获的数量直接认定,但这不意味着举证责任倒置,对通过技术手段可以去重的,应当作去重处理,排除重复的信息。对信息的真实性,可以采取抽样方式进行验证。 (1) 国民の個人情報の一括取得は、事実と異なることや重複していることが判明した場合を除き、押収した数量に基づき、直接、個数を決定する。 国民の個人情報を対象とした犯罪の場合、対象となる情報は数万から数十万に及ぶことが多く、情報が大量にある状態では、一つひとつの情報を検証することが客観的に困難となるためである。 したがって、実際には、推定ルールのアプリケーションは、直接識別押収の数に応じて、つまり、許可されているが、これは技術的な手段を通じて、重複を削除することができる証明責任の逆転を意味しない、重複した情報を除く、脱複製処理する必要がある。 情報の真偽は、サンプリングという手段で検証することができる。
(二)人脸信息是具有不可更改性和唯一性的生物识别信息。人脸识别技术给生活带来便利的同时,也容易被犯罪分子窃取利用或者制作合成,破解人脸识别验证程序,侵害隐私、名誉和财产。生活中,要谨慎下载使用“颜值检测”等“趣味”软件,防范个人信息泄露,造成合法权益受损。 (2) 顔情報は、不変性・一意性を有する生体情報である。 顔認証技術は生活に便利さをもたらす一方で、簡単に盗まれて犯罪者に利用されたり、合成で作られて顔認証の認証手順を破り、プライバシーや評判、財産を侵害する可能性があるのである。 生活の中では、個人情報の流出や法的権利の毀損を防ぐために、「顔検出」などの「お楽しみ」ソフトのダウンロードや使用には注意が必要である。
案例三 谢某、李某甲等人侵犯公民个人信息案 事例3:謝何某、李甲何某らによる市民の個人情報の侵害
【关键词】 [キーワード]
侵犯公民个人信息  全链条打击  宽严相济  诉源治理  国民の個人情報侵害、連鎖的取り締まり、寛大さと厳しさ、ソース管理 
【基本案情】 [事件の基本的な事実]
被告人谢某,无业。 被告人、謝何某は無職であった。
被告人李某甲,无业。 被告人、李甲何某は無職であった。
被告人李某乙、张某、刘某甲、高某、刘某乙等基本情况略。 被告李乙何某、張何某、劉甲何某、高何某、劉乙何某の基本的事実は省略。
2020年,某公司针对新型农村社会养老保险(简称“新农保”)研发了一款具备快速注册和人脸识别功能的APP。谢某获悉后,联系该公司表示可免费承接认证操作业务。2021年4月至7月,谢某先后组织杨某等10人前往吉林、辽宁多地农村,使用该APP对参保村民进行认证。 2020年、ある会社が新農村社会年金保険(以下、新農村保険)の高速登録と顔認証を備えたアプリを開発した。これを知った謝何某は、認証作業を無料で引き受けると連絡し、2021年4月から7月まで、謝何某は楊何某ら10人を組織して吉林、遼寧などの農村に行き、アプリを使ってもらうことに成功し、それを主な事業としている。
其间,天津市宁河区的李某甲、李某乙等人与谢某联系,向谢某提供事先已经批量注册的百家号“白号”(未实名认证),由谢某等人借“新农保”认证之机采集村民姓名、身份证号码和人脸信息,将上述“白号”激活为具备发布功能和商业营销价值的实名认证账号,再向李某甲、李某乙等人出售。 一方、天津市寧河区の李甲何某と李乙何某は、謝何某に接触し、登録済みの「白番」(実名認証なし)を一括して提供し、謝何某らは、「新農村保険」認証のために村人の名前、ID番号、顔情報を収集するのに利用した。「白番」は、出版機能や商業的なマーケティング価値を持つ実名アカウントに活性化され、李甲何某や李乙何某などに販売された
通过此种方式,李某甲、李某乙从谢某处购得账号1.9万余个,连同从张某、刘某甲等人处非法获取的其他账号,在宁河区又向高某、刘某乙等20余人出售。高某、刘某乙等人将所得账号再出售或者批量运营,致使包含公民个人信息的实名账号被多次转卖,被用于运营收益等。 このようにして、李甲何某と李乙何某は謝何某から19,000件以上の口座を購入し、張何某や劉乙何某から不正に入手した他の口座と合わせて、寧河区の高何某や劉乙何某など20人以上に販売した。 高何某、劉乙何某と他の人がアカウントを取得し、販売または一括操作、その結果、市民の個人情報を含む実名アカウントが何度も転売され、営業収益に使用されたなどである。
2021年7月至11月,上述人员被陆续抓获。经查,李某甲违法所得70余万元,谢某等11人违法所得共计31余万元,李某乙、刘某甲等26人违法所得数千元至10余万元不等。 2021年7月から11月にかけて、上記の容疑者が相次いで逮捕された。 調査、李甲何某は、違法所得70万元以上、謝何某など11人違法所得合計31万元以上、李乙何某、劉甲何某など26人、違法所得数千元から10万元以上の範囲。
【检察机关履职过程】 [検察当局の職務遂行]
(一)引导侦查 (1) 調査の指導
应公安机关商请,天津市宁河区人民检察院提出犯罪嫌疑人的行为涉嫌侵犯公民个人信息罪,建议围绕信息获取方式、数量、流向、违法所得等收集证据,固定关键电子证据防止灭失。公安机关及时开展侦查,排查控制了其他上下游涉案人员,同步扣押手机、电脑等作案工具。 公安当局の要請を受けた天津市寧河区人民検察院は、容疑者の行為は市民の個人情報を侵害した疑いがあるとし、情報の入手方法、量、流れ、違法所得などを中心に証拠を収集し、重要電子証拠を固定し、紛失しないよう提案した。 公安当局は速やかに捜査を行い、事件に関わった他の上流・下流関係者を調査・管理し、同時に携帯電話やパソコンなどの犯罪道具を押収した。
(二)审查逮捕 (2) 審査・逮捕
公安机关将谢某、李某甲等29人提请批准逮捕。宁河区人民检察院审查认为,上述犯罪嫌疑人在主观恶性、犯罪层级、违法所得数额等方面存在较大差异,应区分处理。审查后,对谢某等直接窃取公民个人信息的犯罪团伙成员,李某甲等专门从事网络账号灰产的购买者及其他情节较重、违法所得数额较高的犯罪嫌疑人依法作出批捕决定;对情节较轻、违法所得数额较低的中末端购买者,评估社会危险性后作出不批捕决定。根据这一标准,公安机关对后续拟提请批准逮捕的9名犯罪嫌疑人采取了非羁押强制措施。批捕后,检察机关制发继续侦查提纲,建议公安机关继续深挖上下游犯罪。 公安当局は、謝、李ら29人を逮捕した。 寧河区人民検察院は、上記の容疑者は主観的な悪意、犯罪階層、違法収益額などの面で大きく異なり、異なる処理を行うべきであると検討した。 審査の結果、謝慕などの犯罪組織の構成員が直接市民の個人情報を盗み、李甲何某などのネットワークアカウントの灰色生産専門の購入者などの容疑者は、状況がより深刻で違法所得金額が高いため、法律に従って逮捕を認める決定を下し、中・末端の購入者は状況がより深刻で違法所得金額が低く、社会危険度を評価して逮捕を認めない決定を下した。 この基準に基づき、公安当局は、その後逮捕が認められた9人の被疑者に対し、非拘束的な強制措置を採用した。 逮捕が認められた後、検察当局は継続捜査の要綱を策定し、公安当局に川上と川下の犯罪を引き続き深掘りするよう助言した。
(三)审查起诉 (3) 審査・起訴
2021年10月29日、12月10日,公安机关陆续将谢某、李某甲等38人移送审查起诉。宁河区人民检察院全面审查案件事实、证据,开展认罪认罚和追赃工作。审查后,检察机关对窃取信息源头的主犯、与谢某直接联络的始端购买者李某甲、李某乙等9人依法起诉并建议判处实刑;对团伙从犯、销售环节赚取差价及仅有购买行为的27名中末端人员,结合情节、获利、退赃情况依法起诉并建议判处缓刑;对犯罪情节轻微,依法不需要判处刑罚的1名未成年犯罪嫌疑人,1名在校就读的大学生犯罪嫌疑人作出相对不起诉处理。上述38名犯罪嫌疑人均认罪认罚,退赃共计100余万元。 2021年10月29日と12月10日、公安当局は相次いで謝何某、李何某を含む38人を審査・起訴に回した。 寧河区人民検察院は、事件の事実と証拠を総合的に検討し、有罪を主張し、盗品を回収する作業を行った。 レビューの後、主犯の盗まれた情報のソースの調達当局は、買い手李甲何某、李乙何某と他の9人のトップに直接接触し、法律に従い、固体の刑の賦課を勧告し、共犯者のギャング、販売リンクは差額を稼ぐために、最終的に27人の購入だけ、状況、利益、法律によると盗品の返還と組み合わせて、執行猶予の付与を推奨し、犯罪の状況は、法律によると、罰則1課す必要がないマイナーである。 被疑者は未成年で、大学生が不起訴になった。 38人の容疑者全員が罪を認め、合計100万元以上の盗品を返還した。
(四)指控与证明犯罪 (4) 犯罪の告発と立証
2021年12月14日、2022年3月9日,宁河区人民检察院陆续将谢某、李某甲等36人提起公诉。 2021年12月14日、2022年3月9日、寧河区人民検察院は謝何某、李甲何某など36人を次々と起訴した。
庭审中,各被告人均当庭认罪认罚。李某甲的辩护人提出,被告人系先买入后卖出的行为,计算违法所得时应将购买信息的费用作为成本扣减。 法廷での審理では、各被告が罪を認め、有罪を主張した。 李甲何某の弁護側は、被告は先に買ってから売っていたのであり、違法所得を計算する際には情報の購入費用を経費として差し引くべきであると提案した。
公诉人答辩指出,违法所得是犯罪分子因实施违法犯罪活动而取得的全部财产。根据《检察机关办理侵犯公民个人信息案件指引》的规定,对于违法所得,直接以被告人出售公民个人信息的收入予以认定,不必扣减其购买信息的犯罪成本。 検察官の答弁では、違法所得とは、違法な犯罪行為の実行の結果、犯人が得たすべての財産であると指摘された。 国民の個人情報の侵害に係る事件に関する検察庁の対応指針」によれば、違法収益は、国民の個人情報の売買による被告人の収入で直接認識すべきであり、情報を購入した犯罪に要した費用を控除する必要はないとしている。
(五)裁判结果 (5) 裁判結果
2022年6月8日、21日,宁河区人民法院采纳检察机关全部指控事实和量刑建议,认定谢某、李某甲等36人构成侵犯公民个人信息罪,对谢某、李某甲等9人分别判处有期徒刑四年至二年不等,并处罚金,对李某乙等27人分别判处有期徒刑三年至六个月不等,适用缓刑,并处罚金。 2022年6月8日と21日、寧河区人民裁判所は、調達当局の事実と判決勧告をすべて採用し、謝何某、李甲何某など36人が市民個人情報侵害罪を構成すると認定し、謝何某、李甲何某など9人に4年以上2年以下の有期懲役と罰金を、李乙何某など27人に3年以上6カ月以下の有期懲役と執行猶予付判決および罰金を適用する判決を言い渡した。
(六)综合治理 (6) 包括的なガバナンス
对办案中发现的社保认证工作的管理漏洞,宁河区人民检察院向有关职能部门制发检察建议,建议规范“新农保”认证工作流程和保密规定,加强委托合作方的资质审核及转委托监督,加强个人信息保护法治宣传。 寧河区人民検察院は、社会保険認証プロセスの管理の抜け穴について、関連当局に勧告を出し、「新農業保険」認証プロセスの業務フローと機密性を標準化し、委託先の資格を強化し、再委託先の監督を強化し、個人情報保護に関する法治の推進を強化すべきと提案した。
【典型意义】 [典型的な意義]
(一)从严惩处,全面打击上下游犯罪。侵犯公民个人信息犯罪往往呈现链条化、产业化特征,严重影响人民群众安全感,对“上游窃取信息—中间购买加工—下游运营获利”的链条式犯罪,通过加强检警协作,深挖上下游犯罪,从窃取源头到出售末端,全面排查、精准打击,彻底斩断犯罪链条。 (1) 上流・下流犯罪の厳罰化と包括的な取り締まり。 市民の個人情報を侵害する犯罪は、チェーン化、産業化が進んでいることが特徴で、人々の安心感に深刻な影響を及ぼしている。 そこで、盗難の発生源から販売終了まで、包括的な捜査と緻密な取り締まりを行い、犯罪の連鎖を完全に断ち切る。
(二)区分情形、区别对待,落实宽严相济刑事政策。对犯罪嫌疑人众多的侵犯公民个人信息犯罪,要结合犯罪嫌疑人在共同犯罪中的地位、作用、主观恶性、犯罪情节等,依法区分主从犯,分类处理。对主犯、“职业惯犯”以及利用未成年人实施犯罪的,要依法从严处理,当捕则捕,当诉则诉,并建议从严判处实刑。对认罪认罚、积极退赃退赔,初犯、偶犯,作用较小、获利较少的从犯,要依法从宽处理,采取非羁押措施,依法不起诉或者建议判处缓刑。 (2) 状況を区別して扱い、寛大さと厳しさの刑事政策を実行する。 容疑者の数が多い市民の個人情報に対する犯罪については、共同犯罪における容疑者の地位と役割、主観的な悪、犯罪の状況など、法律に従って、本人と共犯を区別するために、分類処理する。 主犯格である「プロの再犯者」や「未成年者を利用した犯罪者」には、逮捕時は逮捕、起訴時は起訴と、法律に基づいて厳正に対処し、厳しい判決を勧告すべきである。 有罪を認め、罰するために、積極的に盗品や補償を返す、初犯、時折犯、小さい、収益性の低い共犯者の役割は、法律に従って寛大に、非保護措置を取るために、起訴または執行猶予に判決を推奨されていない。
(三)延伸职能,注重诉源治理。检察机关在办案中,要注意分析案件反映出的问题,加强与相关职能部门沟通,通过检察建议等方式提示风险、督促改进,及时堵塞社会治理漏洞,促进形成保护公民个人信息的合力。 (3) 機能を拡張し、ガバナンスの源泉に注目する。 事例を処理する際に検察当局は、事例の分析に注意を払うには、問題を反映して、関連する機能部門とのコミュニケーションを強化し、検察官の勧告やリスクを示唆する他の方法を介して、改善を促す、社会的なガバナンスの抜け穴のタイムリーなプラグイン、および市民の個人情報の保護の形成を促進シナジー効果である。
案例四 陈某甲、于某、陈某乙侵犯公民个人信息案 事例4 陳甲何某、于何某、陳乙何某による市民の個人情報侵害事件
【关键词】 [キーワード]
侵犯公民个人信息  行踪轨迹信息  情节特别严重  国民の個人情報、軌跡情報の侵害、特に深刻な状況 
【基本案情】 [事件の基本的な事実]
被告人陈某甲,无业。 被告人である陳甲何某は無職であった。
被告人于某,无业。 被告人である于何某は無職であった。
被告人陈某乙,无业。 被告人である陳乙何某は無職であった。
2018年,陈某甲了解到“私家侦探”获利高。2020年,陈某甲决定从事“私家侦探”活动,后在网上发布信息,称可找人、查人,并注册了昵称为“专业商务调查”的微信号承揽业务。2020年12月,闵某(另案处理)通过网络搜索,联系到陈某甲,要求陈某甲寻找其离家出走的妻子郭某,并将郭某的姓名、照片、手机号码等提供给陈某甲。陈某甲于2021年1月、3月将郭某的手机号码交给他人(网络用名,正在进一步侦查确认),由该人获得郭某的手机定位后反馈给陈某甲。陈某甲则伙同于某等人在山西省吕梁市柳林县采取蹲点守候的方式,确认了郭某的具体位置,并向闵某提供。 2018年、陳甲何某は「私立探偵」の利益が高いことを知り、2020年、陳甲何某は「私立探偵」活動を行うことを決め、インターネット上で情報を公開し、「人を探せる、人を調べられる」とし、ニックネームを登録した" 2020年12月、闵何某(別件)はウェブ検索で陳甲何某に連絡し、家出した妻の郭を探してほしいと頼み、郭の名前、写真、携帯電話番号などを陳甲何某に提供した。陳甲何某は2021年1月と3月に郭の携帯電話番号を別の人物(ネットワークが使用する名前、さらなる調査により確認中)に渡し、その人物が郭の携帯電話の位置を取得して闵何某にフィードバックしている。陳甲何某は、今度は山西省呂梁市柳林県で于何某らと一緒に、郭の具体的な位置を確認するために現地で見張り、郭を提供する。
2021年6月,闵某再次联系陈某甲要求帮助寻找其妻子。6月17日,陈某甲又采取上述方法获得了郭某的手机定位信息、快递地址信息。6月18日,陈某甲与于某、陈某乙三人驾车到达山西省吕梁市柳林县,与闵某一起蹲点守候到6月23日。后被害人郭某出现后,陈某甲等三人驾车离开。当日13时左右,闵某将郭某杀害。 2021年6月、闵何某は再び陳甲何某に連絡を取り、妻を探す手助けをしてほしいと頼んだ。 6月17日、陳甲何某は再び上記の方法で郭の携帯電話の位置情報、住所情報を調べ、見つけることができた。 被害者の郭が現れた後、陳甲何某ら3人は車を走らせた。 その日の13時頃、闵何某は郭を殺害した。
经查,闵某先后支付陈某甲39500元。陈某甲分给于某9000元、分给陈某乙6000元。 闵何某が陳甲何某に39,500元を支払っていたことが判明した。陳甲何某は9,000元を于何某に、6,000元を陳乙何某に分与した。
【检察机关履职过程】 [検察当局の職務遂行]
(一)审查逮捕 (1) 審査・逮捕
山西省柳林县人民检察院在审查逮捕闵某涉嫌故意杀人案时,发现陈某甲、于某、陈某乙虽然不能认定为闵某故意杀人罪的共犯,但涉嫌侵犯公民个人信息犯罪,遂建议公安机关立案侦查。后公安机关以陈某甲、于某、陈某乙涉嫌侵犯公民个人信息罪提请批准逮捕。 山西省柳林県人民検察院は、閔氏の故意殺人の疑いで審査・逮捕した際、陳甲何某、于何某、陳乙何某は、閔氏の故意殺人の共犯とは特定できないが、市民の個人情報を侵害した疑いがあるとし、公安機関に捜査案件を開設するよう勧告した。 公安機関は、陳甲何某、于何某、陳乙何某は、市民の犯罪の個人情報を侵害する疑いがあると逮捕を承認した後。
2021年8月5日,柳林县人民检察院审查认为,陈某甲、于某、陈某乙出售公民行踪轨迹信息,被他人用于犯罪,造成被害人死亡的严重后果,属于侵犯公民个人信息“情节特别严重”,依法对三人作出批捕决定。批捕后,检察机关制发继续侦查提纲,建议公安机关进一步梳理闵某给陈某甲的转账证据,继续查找其他犯罪嫌疑人。 2021年8月5日、劉林県人民検察院は、陳甲何某、于何某、陳乙何某は、市民の所在トラック情報を販売し、犯罪を犯すために他の人によって使用された、深刻な結果の被害者の死亡に起因する、市民の個人情報の侵害である "状況は特に深刻"、逮捕決定に関する法律に従って、確認。 逮捕後、検察当局は継続捜査の要綱を発表し、公安当局がさらに閔氏から陳氏嘉への送金の証拠を整理し、他の容疑者の捜索を継続するよう示唆した。
(二)审查起诉 (2) 審査・起訴
2021年9月22日,公安机关将该案移送审查起诉。其间,陈某甲、于某的家属对被害人家属进行了赔偿,被害人家属对二人表示谅解。三人均认罪认罚,在辩护人见证下自愿签署具结书。检察机关根据被告人在犯罪中的地位、作用,认定陈某甲在共同犯罪中起主要作用,系主犯;于某、陈某乙在共同犯罪中起次要、辅助作用,系从犯。10月22日,检察机关将三名被告人以涉嫌侵犯公民个人信息罪提起公诉,并提出量刑建议。 2021年9月22日、公安当局は本件を審査・起訴に回した。 一方、陳甲何某と于何某の家族は、被害者の家族に賠償を行い、2人に理解を示した。 3人とも罪を認め、弁護人の立会いのもと、自発的に受理書にサインした。 10月22日、検察当局は3人の被告を市民の個人情報侵害の疑いで起訴し、判決に関する勧告を行った。
(三)指控与证明犯罪 (3) 罪の告発と立証
2021年12月16日,柳林县人民法院公开开庭审理。 2021年12月16日、柳林県人民裁判所は公開審理を行った。
审理期间,陈某乙对被害人家属进行了赔偿。三名被告人及辩护人对检察机关指控的事实、罪名均无异议。陈某甲的辩护人提出,被害人家属已谅解,陈某甲自愿认罪认罚,建议从轻处罚,并适用缓刑。 裁判の中で、陳乙何某は被害者の家族に賠償を行った。 3人の被告とその弁護人は、検察当局が主張する事実と告発に対して異議を唱えなかった。陳甲何某の弁護側は、被害者家族の理解を得て、陳甲何某が自発的に罪を認め、刑罰を認め、より軽い刑罰と執行猶予付き判決の適用を提案した。
公诉人答辩指出,被告人通过采用手机定位、查看快递信息、蹲点守候等手段非法获取被害人郭某的个人信息并提供给闵某,闵某据此信息将被害人郭某找到并杀害。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定,出售或者提供行踪轨迹信息,被他人用于犯罪的,应当认定为“情节严重”;造成被害人死亡的,应当认定为“情节特别严重”。本案被告人陈某甲即属于“情节特别严重”的情形,依法应判处三年以上七年以下有期徒刑,虽然认罪认罚,可以依法从宽处理,但仍应判处三年以上有期徒刑,不符合适用缓刑的条件。 検察側弁護人は、被告人が携帯電話の測位、緊急情報の確認、現地で待つなどの方法で被害者郭の個人情報を不正に入手し、それを閔に提供し、閔はこの情報に基づいて被害者郭務を発見し殺害したと指摘した。 最高人民法院と最高人民検察院の「市民の個人情報の侵害に関わる刑事事件の処理における法律の適用に関するいくつかの問題についての解釈」によると、居場所・軌跡情報の販売・提供により、他人が犯罪を犯した場合、「重大な状況」と見なされ、被害者を死亡させた場合、「重大な状況」と見なされるとのことである。 "事情は特に深刻である。 本件の被告人である陳甲何某は、「特に深刻な状況」にあると考えられ、3年以上7年以下の有期懲役に処せられるべきであるが、罪を認めているため、法律により寛大な処遇を受けることができる。
(四)裁判结果 (4) 裁判結果
2021年12月25日,柳林县人民法院采纳检察机关指控事实和量刑建议,认定三名被告人构成侵犯公民个人信息罪,判处陈某甲、于某、陈某乙有期徒刑三年至一年三个月不等,并处罚金。 2021年12月25日、柳林県人民裁判所は、調達当局の事実と判決勧告を採用し、3人の被告が市民個人情報侵害罪を構成すると認定し、陳木嘉、余木、陳木毅に3年以上1年3カ月以下の有期懲役を宣告し、罰金を課した。
【典型意义】 [代表的な意義]
(一)非法获取、出售或者提供行踪轨迹信息,构成犯罪的,应当依法从严惩处。行踪轨迹信息属于公民个人信息。行为人出售或者提供行踪轨迹信息,被他人用于犯罪的,应认定为“情节严重”,依法构成侵犯公民个人信息罪。实施前述行为,造成被害人死亡等严重后果的,属于侵犯公民个人信息罪“情节特别严重”,依法应判处三年以上七年以下有期徒刑。 (1) 居場所・軌跡情報の不正取得、販売、提供が犯罪に該当する場合は、法律に基づき厳正に処罰される。 居場所や軌跡の情報は、市民の個人情報に属する。 加害者が居場所や軌跡の情報を販売・提供し、その情報が他者によって犯罪に利用された場合、「重大な事情」とみなされ、法律により国民の個人情報侵害罪が構成される。 前述の行為が行われ、被害者が死亡するなどの重大な結果を招いた場合、国民の個人情報侵害罪は「特に重い」とされ、3年以上7年以下の有期懲役に処される。
(二)强化行踪轨迹信息保护意识,维护自身安全。行踪轨迹信息可以直接定位特定自然人的具体位置,与公民的生命、健康、财产、隐私等息息相关。犯罪分子通过窃取、非法提供行踪轨迹信息谋取不法利益,严重危害公民人身、财产安全和社会管理秩序。生活中,要注意提高对快递地址、手机号码、定位信息等个人信息的保护意识和安全防范意识,防止被不法分子窃取利用。 (2) 居場所・軌跡情報保護の意識を強化し、自らの安全を確保する。 トラック情報は、特定の自然人の位置を直接的に特定することができ、国民の生命、健康、財産、プライバシーに密接に関わる情報である。 犯罪者は、居場所追跡情報を盗み、違法に提供することで不正な利益を得ようとし、市民の個人・財産の安全や社会運営秩序を著しく危うくしている。 生活の中では、エクスプレスアドレスや携帯電話番号、位置情報などの個人情報の保護や、犯罪者に盗まれたり利用されたりしないようなセキュリティ意識の向上に気を配る必要がある。
案例五 韦某、吴某甲、吴某乙侵犯公民个人信息案 事例5 魏何某、呉甲何某、呉乙何某による市民個人情報侵害事件
【关键词】 [キーワード]
侵犯公民个人信息  行业“内鬼”  健康生理信息  诉源治理  国民の個人情報、業界の "インサイダー"、健康・生理情報、ガバナンスの源泉が侵害される 
【基本案情】 [事件の基本的な事実]
被告人韦某,某医院产科主管护师。 被告魏何某は、ある病院の産科を担当する看護師である。
被告人吴某甲、吴某乙,二人均系保健按摩中心个体经营者。 被告呉甲何某、被告呉乙何某は、いずれも健康マッサージ店の個人経営者である。
吴某甲、吴某乙在广西南宁市江南区经营一家保健按摩中心,主要是向产妇提供服务。为扩大客源,吴某甲向南宁市某医院产科主管护师韦某提出,由韦某提供产妇信息,并承诺每发展一名客户就给韦某50元或60元报酬,若客户后续办卡消费则另外向韦某支付10%的提成。 呉甲何某、呉乙何某は、広西チワン族自治区南寧市江南区で医療マッサージセンターを運営し、主に陣痛中の女性にサービスを提供している。呉甲何某は顧客拡大のため、南寧市の病院の産科担当の看護師である魏何某に魏何某によるマタニティ情報の提供を提案し、顧客を開拓するたびに魏何某に50元か60元を支払い、その後顧客がカードを実行して使用すればさらに10%の手数料を魏何某に支払う約束を取り付けた。
2018年至2020年6月,韦某便以写论文需要数据为由,通过欺骗有权限的同事登录该医院“护士站”系统查询产妇信息后拍照发给自己,或者自行通过科室办公电脑查询该医院“桂妇儿”系统产妇信息后拍照,不定期将上述产妇信息照片通过微信发给吴某甲,吴某甲、吴某乙则利用上述信息安排员工通过电话联系产妇发展客户。 2018年から2020年6月まで、魏何某は論文を書くためにデータが必要だという口実で、許可を得た同僚を騙して病院の「ナースステーション」システムにログインしてマタニティ情報を確認し、写真を撮って自分に送ったり、自分自身で、部署の事務所のパソコンを使って病院の「桂女児」システムのマタニティ情報を確認し、写真を撮ったりしていた。そして、呉甲何某と呉乙何某は、上記の情報をもとに、従業員が母子手帳を持つ顧客に電話で連絡を取るよう手配した。
经查,韦某向吴某甲、吴某乙出售包括产妇姓名、家庭住址、电话号码、分娩日期、分娩方式等在内的产妇健康生理信息500余条。 魏は、母親の氏名、自宅の住所、電話番号、出産日、出産方法など、500件以上の母親の健康・生理情報を呉茂嘉と呉茂義に売ったことが判明したのである。
【检察机关履职过程】 [検察当局の職務遂行]
(一)审查逮捕 (1) 審査・逮捕
2020年7月10日,公安机关对韦某、吴某甲、吴某乙提请批准逮捕。广西南宁青秀区人民检察院审查认为,韦某、吴某甲、吴某乙涉嫌侵犯公民个人信息罪,可能判处徒刑以上刑罚,因部分事实需进一步查证,不采取逮捕措施可能导致证据被毁灭,遂作出批捕决定。 2020年7月10日、公安当局は魏何某、呉甲何某、呉乙何某の3人の逮捕の承認を求めた。 青秀区、広西チワン族自治区、中国の人々の調達は、魏何某、呉甲何某、呉乙何某は市民の個人情報の侵害の疑いがあることを確認し、投獄またはより多くの罰則を宣告することができる、事実の一部がさらに調査する必要があるので、逮捕措置を取るしないように、証拠の破壊につながる可能性があるので逮捕することを決定した。
(二)审查起诉 (2) 審査・起訴
2020年9月11日,公安机关将该案移送审查起诉。10月12日,青秀区人民检察院将该案移送有管辖权的江南区人民检察院审查起诉。检察机关通过梳理韦某获取产妇健康生理信息的渠道、交易方式等,认定韦某非法获取、出售产妇公民个人信息数量500余条,依法应予定罪处罚。而且,韦某将其在履职过程中获得的信息出售给他人,依法应从重处罚。经释法说理,韦某等三人均认罪认罚,在辩护人见证下自愿签署具结书。10月26日,江南区人民检察院对韦某、吴某甲、吴某乙以侵犯公民个人信息罪提起公诉。 2020年9月11日、公安当局は本件を審査・起訴に付し、10月12日、青秀区人民検察院は本件を管轄する江南区人民検察院に審査・起訴に付し、江南区人民検察院は本件を管轄する江南区人民検察院に審査・起訴に付した。 検察当局は、魏模が妊産婦の健康・生理情報を入手した経路と取引方法を整理した結果、魏が500以上に及ぶ妊産婦民事個人情報を違法に入手し、販売したことを認定し、法に基づき有罪判決を受け処罰されるべきであると判断した。 同社は、個人情報を他者に販売することを主な事業としており、これは法律で罰せられることになる。 10月26日、江南区人民検察院は、市民の個人情報を侵害したとして、魏何某、呉甲何某、呉乙何某を起訴した。
(三)指控与证明犯罪 (3) 犯罪の主張と立証
2020年11月12日,江南区人民法院依法公开审理。 2020年11月12日、江南区人民裁判所は、法律に基づいて、公聴会。
审理期间,韦某主动退赔违法所得。韦某、吴某甲及辩护人提出,涉案公民个人信息大部分隐私性不高,且未被用于其他违法犯罪活动;吴某乙及辩护人提出,吴某乙没有直接参与获取产妇信息,是从犯的辩护意见。 裁判では、魏謨が率先して違法な収益を返還した。魏何某、呉甲何某、および弁護側は、関係する市民の個人情報のほとんどはプライバシー性が高くなく、他の違法・犯罪行為に利用されていないことを、呉乙何某および弁護側は、呉乙何某が直接母性情報の取得に関与しておらず、共犯であることを提案した。
公诉人答辩指出,涉案信息不仅有产妇姓名、家庭住址、电话号码等一般信息,还涉及分娩日期、分娩方式等隐私信息,敏感程度高,韦某将在履职或者提供服务过程中获得的信息出售给他人,不仅侵害孕产妇的个人权益,还危害了整个医疗体系的信用,依法应从重处罚。吴某乙虽未直接参与获取信息,但与吴某甲共同出资购买信息,并用于经营活动,在共同犯罪中起主要作用,系主犯,应当按照其所参与的全部犯罪处罚。 検察官の答弁では、本件情報には、産婦の氏名、自宅住所、電話番号などの一般的な情報だけでなく、出産日、出産方法などのプライベートな情報も含まれており、機密性が高いこと、魏は職務遂行や他人へのサービス提供の過程で得た情報を販売し、妊婦の人格権や利益を侵害しただけでなく、医療システム全体の信用も危うく、法律に基づき厳罰化すべきことを指摘された。呉乙何某は、直接的には情報取得に関与していないが。 しかし、呉甲何某とともに、情報購入のための資金を調達し、購入し、事業活動に使用し、共同正犯の大役を果たした。 主犯は呉甲何某です。 彼は犯罪全体への参加に応じた処罰を受けるべきでしょう。
(四)裁判结果 (4) 裁判結果
2020年12月16日,江南区人民法院采纳检察机关的指控事实和意见,认定韦某、吴某甲、吴某乙犯侵犯公民个人信息罪,分别判处韦某、吴某甲、吴某乙有期徒刑十个月,缓刑两年至有期徒刑六个月不等,并处罚金。 2020年12月16日、江南区人民裁判所は、検察院の告発事実と意見を採用し、魏何某、呉甲何某、呉乙何某を市民の個人情報を侵害した罪で有罪とし、魏何某、呉甲何某、呉乙何某に懲役10月、懲役2年6ヶ月執行猶予、罰金を科す判決を言い渡した。
(五)综合治理 (5) 包括的なガバナンス
针对涉案医院对公民个人信息管理不善、对从业人员纪律约束不强、法治教育不足等问题,江南区人民检察院制发检察建议,促进涉案医院倒查信息安全管理状况,完善患者信息安全管理措施与制度,从源头防范公民个人信息泄露。 江南区人民検察院は、関係病院による市民の個人情報管理の不十分さ、実務者の規律・規律の欠如、法治教育の欠如などを受け、関係病院に対して、情報セキュリティ管理状況の見直し、患者情報セキュリティ管理対策・システムの改善、市民の個人情報の漏洩防止を源泉から促す検察官の勧告を行った。
【典型意义】 [典型的な意義]
(一)依法打击“行业”内鬼内外勾连出售公民个人信息犯罪活动。产妇分娩信息等是医院在开展医疗活动过程中掌握的公民健康生理信息。对于医护人员将其在履行职责或者提供服务中获得的产妇健康生理信息出售或者提供给他人的行为,构成犯罪的,应依法予以打击。对下游非法获取公民个人信息的犯罪也应依法打击,实现全链条惩处。 (1)国民の個人情報の犯罪行為の売却の談合の内側と外側の "業界 "インサイダーに対抗するための法律。 出産情報とは、病院が医療活動を行う過程で持つ、市民の健康・生理に関する情報である。 医療従事者が職務の遂行やサービスの提供の過程で得た母性健康・生理情報を販売したり、他人に提供することは犯罪であり、法律に従って取り締まる必要がある。 また、下流の国民の個人情報の不正取得の犯罪についても、法律に基づき取り締まりを行い、完全な連鎖処罰を実現すべきである。
(二)通过检察建议促进诉源治理。行业“内鬼”泄露公民个人信息,反映出部分重点领域公民个人信息管理存在漏洞,内部监管机制不到位,相关从业人员法律意识淡薄。检察机关办案中应通过制发检察建议,督促医疗单位履行监管职责,完善对患者健康生理信息的安全管理制度,预防和杜绝泄露公民个人信息问题的发生。 (2) プロキュレーターの勧告により、訴訟源のガバナンスを促進する。 業界の「内部者」による国民の個人情報の流出は、一部の重要な分野における国民の個人情報の管理の抜け穴、内部監督機構の不備、関連実務者の法的認識の弱さを反映している。 検察当局は、国民の個人情報の漏洩を防止・排除するため、患者の健康・生理情報の安全管理体制を改善するよう検察当局の勧告を出し、医療部門が監督責任を果たすよう促すべきである。
深入贯彻落实个人信息保护法 個人情報保護法の徹底
切实维护公民个人信息安全 個人情報の安全管理の徹底
——最高检第一检察厅负责人就检察机关依法惩治侵犯公民个人信息犯罪典型案例答记者问 ・最高人民検察院第一検察庁の担当者が,検察機関が国民の個人情報に対する犯罪を法律に基づいて処罰する典型的な事例について,記者の質問に答えている。
中国特色社会主义进入新时代,人民在民主、法治、公平、正义、安全、环境等方面的要求日益增长,每个人都希望过上更有尊严、更加体面的生活。加强对公民个人信息的保护,成为与人民群众切身利益相关的新的法治需求之一。党的二十大明确指出要“加强个人信息保护”。为深入贯彻党的二十大精神,全面贯彻习近平法治思想,在依法能动履职中践行人民至上,切实加强办案指导,积极回应社会关切,最高人民检察院在《中华人民共和国个人信息保护法》贯彻实施一周年之际,印发5件检察机关依法惩治侵犯公民个人信息犯罪的典型案例。近日,最高检第一检察厅负责人就相关问题回答了记者提问。 中国の特色ある社会主義が新しい時代に入り、民主主義、法の支配、公正、正義、安全、環境に対する人々の要求は高まり、誰もがより尊厳のある、まともな生活を送りたいと願っている。 国民の個人情報保護の強化は、国民の身近な利益に関わる法治国家の新たな要求の一つとなっている。 第20回党大会では、「個人情報保護の強化」の必要性が明確に指摘された。 第20回党大会の精神を徹底的に実行し、習近平の法治思想を全面的に実行し、法に従って職務を行う人民至上主義を実践し、事件処理の指導を有効に強化し、社会の関心事に積極的に対応するために、最高人民検察院は、中華人民共和国個人情報保護法施行1周年を機に、検察機関が法に従って国民の個人情報に関する犯罪を処罰する5つの典型例を発表した。 先日、最高検察庁第一検察庁の担当者が、関連する問題について記者からの質問に答えた。
问:最高检以依法惩治侵犯公民个人信息犯罪为主题发布典型案例,主要出于什么考虑? Q:最高検察庁が、国民の個人情報に対する犯罪を法律に基づいて処罰するというテーマで、代表的な事例を公表した主な理由は何であるか?
答:最高检发布这一批依法惩治侵犯公民个人信息犯罪典型案例,主要考虑包括:一是适应人民群众加强个人信息保护的现实需求。迅速发展的信息网络,在给人民群众带来生活便利的同时,也难免被犯罪分子所利用,他们采用各种手段非法获取公民个人信息,使人民群众频遭滋扰,危害人民群众的人身、财产安全,严重的信息泄露甚至还会危害国家安全。根据中国互联网协会《中国网民权益保护调查报告(2021)》显示,近一年来,因个人信息泄露、垃圾信息、诈骗信息等原因,网民总体损失约达805亿元。82.3%的网民亲身感受到了由于个人信息泄露对日常生活造成的影响。因此,加强个人信息保护已成为全社会普遍高度关注的问题。二是深入贯彻落实个人信息保护法律规定的法治需要。我国宪法明确规定公民的基本权利,强调尊重和保障人权,明确公民的人格尊严不受侵犯。民法典第四编第六章专章规定了“隐私权和个人信息的保护”,彰显了国家和法律对个人信息的尊重和保护。2021年11月1日颁布施行的个人信息保护法规定了对个人信息保护的具体举措,完善了个人信息保护的法律体系。通过典型案例的梳理、选编、发布,更好促进个人信息保护相关法律深入贯彻实施。三是加强指导检察办案的实践需要。信息技术的快速发展给司法办案带来许多新情况新问题。2017年,最高法、最高检联合印发的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对指导办理侵犯公民个人信息犯罪案件发挥了重要作用。但面对复杂多变的社会实践和信息技术的迅猛发展,信息类型的界定、刑事处罚标准的确定,以及庞杂的信息数量核查等,都成为司法实践亟需加强指导的问题。通过发布典型案例,以期为检察办案提供指导。四是落实“谁执法谁普法”普法责任制,强化教育警示和法治宣传的工作需要。一方面,通过案例震慑警示犯罪分子,如果违反国家规定,非法获取、出售或者提供公民个人信息,构成犯罪的,将受到法律严惩。另一方面,提示广大人民群众,在生活中,下载不明网站链接,使用所谓“颜值检测”软件,随意丢弃含有个人信息的快递包装等,都有可能造成个人信息泄露。通过发布典型案例,提醒人民群众提高自我保护意识和安全防范意识,避免造成人身、财产损失。 A: 最高検察庁は、国民の個人情報に対する犯罪を処罰するために、法律に従って今回の典型的な事例を発表したが、主な検討事項は次の通りである。まず、国民の実務的なニーズに合わせて、個人情報の保護を強化することである。 急速に発展する情報ネットワークは、国民に便利さをもたらす一方で、犯罪者がさまざまな手段で国民の個人情報を不正に入手し、国民に迷惑をかけることが多発し、個人と財産の安全が脅かされ、重大な情報流出があれば、国家の安全が脅かされることも避けられない状況である。 中国インターネット協会の「中国インターネットユーザーの権益保護に関する調査報告(2021年)」によると、昨年1年間で、個人情報の流出、スパム、詐欺情報によるインターネットユーザーの損失は全体で約805億元に達し、個人情報流出による日常生活への影響を個人的に感じているインターネットユーザーは82.3%にのぼる。 そのため、個人情報保護の強化は、社会全般にとって高い関心事となっている。 第二に、個人情報保護に関する法規定を徹底するための法治国家の必要性である。 中国の憲法は国民の基本的権利を明確に規定し、人権の尊重と保護を強調し、国民の人間的尊厳を侵してはならないことを明確にしている。 2021年11月1日に施行された「個人情報保護法」は、個人情報保護の具体策を定め、個人情報保護に関する法制度の整備を行うものである。 代表的な事例を整理・選択・公開することで、個人情報保護関連法の徹底をより一層推進していく。 第三に、起訴誘導の実務を強化する必要がある。 情報技術の急速な発展は、司法事件処理に多くの新しい状況や問題をもたらしており、2017年、最高裁判所と最高検察庁が共同で発表した「市民の個人情報侵害の刑事事件の処理における法律の適用に関するいくつかの問題に関する解釈」は、市民の個人情報に対する犯罪事件の処理を指導する重要な役割を担っている。 しかし、社会慣行の複雑な変化や情報技術の急速な発展に伴い、情報の種類の定義、刑事処罰基準の決定、膨大な情報の検証など、司法実務における指導の強化が急務となっている。 典型的な事例の公開を通じて、検察官が事件を処理する際の指針を示すことを目的としている。 第四に、「法を執行する者は法の推進に責任を負う」制度を実施し、法の支配の教育、警告、推進を強化することが必要である。 一方では、犯罪者が国の規制に違反して、犯罪に当たる国民の個人情報を不正に取得、販売、提供した場合、法律で厳しく罰せられることを抑止、警告するものである。 一方、一般消費者に対しては、知らないサイトのリンクのダウンロード、いわゆる「顔検出」ソフトの使用、個人情報の入った宅配便の廃棄などが、日常生活における個人情報の漏えいにつながる可能性があることを注意喚起している。 典型的な事例の公開を通じて、人的・物的損害を引き起こさないよう、自己防衛や安全対策への意識を高めることを呼びかけている。
问:这批依法惩治侵犯公民个人信息犯罪典型案例有什么特点? Q:国民の個人情報に対する犯罪が法律で罰せられる典型的な事例として、今回のバッチはどのような特徴があるのか?
答:这批典型案例主要具有以下几个特点:一是体现检察机关依法从严惩治侵犯公民个人信息犯罪的政策导向,注重全链条打击上下游犯罪。如案例三中,天津检察机关通过加强检警协作,深挖上下游犯罪,从窃取信息的源头到出售末端全面排查、精准打击,彻底斩断犯罪链条。二是强化对公民个人信息的全面保护。个人信息内涵丰富,民法典、个人信息保护法进行了专门定义,该批案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型信息的全面保护。三是对部分法律适用问题重申或者明确了意见。如案例一明确,对客观上无法排重计算信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。案例二明确,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。对信息的真实性,可以采取抽样方式进行验证。四是强化诉源治理。如针对行业“内鬼”泄露公民个人信息案件中反映出的管理漏洞和内部监管不到位等问题,检察机关制发检察建议,督促相关部门履行监管职责,完善管理制度,预防和杜绝泄露公民个人信息问题的发生。 A:今回の典型的な事例には、主に次のような特徴がある。第一に、国民の個人情報に対する犯罪を法律に基づいて厳格に処罰し、チェーン全体を重視して上流と下流の犯罪を撲滅するという検察当局の政策方針が反映されていることである。 例えば、事例3では、天津市検察当局が検察と警察の連携を強化することで、犯罪の上流と下流を深く掘り下げ、盗んだ情報の出所から販売先まで総合的に調査し、正確に取り締まり、犯罪チェーンを完全に断ち切ったのである。 第二に、国民の個人情報の包括的な保護を強化することである。 個人情報は、民法や個人情報保護法などで具体的に定義された豊かな意味合いを持つ情報であり、今回の裁判では、国民の信用情報、生体情報、所在・軌跡情報、健康・生理情報など、さまざまな情報を包括的に保護することが規定されている。 第三に、いくつかの法的適用問題についての意見が再確認されたり、明確にされたりしたことである。 例えば、事例1では、情報量の順位付けや算出が客観的に不可能な場合、違法所得の金額を確定することで有罪判決や量刑の事実関係を判断できることを明確にしている。 事例2は、国民の個人情報を一括して取り扱う場合、真正でないことや重複していることを証明する証拠がある場合を除き、押収量に応じて個数を直接決定することを明確にしている。 情報の真偽はサンプリングで検証することができる。 第四に、ガバナンスの源泉を強化することである。 例えば、業界内の「内部者」による国民の個人情報の漏えい事件では、検察当局が検察勧告を出し、関連部門に監督業務の遂行と管理体制の改善を促し、国民の個人情報の漏えいを防止・排除している。
问:能否介绍一下近年来全国检察机关在打击侵犯公民个人信息犯罪方面的具体工作情况? Q:国民の個人情報を狙う犯罪に対して、近年、国の検察当局が具体的にどのような取り組みをしているのか。
答:近年来,全国检察机关强化履职担当,加强对公民个人信息的司法保护,着力维护公民个人信息安全。一是立足检察办案,依法从严打击侵犯公民个人信息犯罪。2019年至今年10月,全国检察机关共批准逮捕涉嫌侵犯公民个人信息罪犯罪嫌疑人1.3万余人,起诉2.8万余人,有效保护了被害人的合法权益。二是强化规范指引,制定一系列相关司法解释和规范性文件。2018年,最高检制定《检察机关办理侵犯公民个人信息案件指引》,明确了办理侵犯公民个人信息案件应注意的若干问题。2021年,最高检制定《人民检察院办理网络犯罪案件规定》,强化了对利用信息网络实施犯罪和上下游关联犯罪的惩处。2022年,最高法、最高检、公安部联合发布《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》,明确对于数量特别众多且具有同类性质、特征或者功能的证据材料,确因客观条件限制无法逐一收集的,应当按照一定比例或者数量选取证据,以适应形势要求,提升办案质效。三是注重通过检察办案促进完善社会治理。各地检察机关在依法从严打击犯罪的同时,对办案中发现的管理漏洞,及时通过制发检察建议促进源头治理。2020年,最高检向工信部发出检察建议,围绕网络黑灰产业链条整治、APP违法违规收集个人信息等问题提出了治理建议。四是持续推进案例指导工作。一个案例胜过一打文件。通过发布案例,加强法治宣传教育,促进全社会法治观念的养成。2022年,最高检以“网络时代人格权刑事保护”为主题发布第三十四批指导性案例。其中,检例第140号柯某侵犯公民个人信息案,明确了包含房产信息和身份识别信息的业主房源信息属于公民个人信息,对指导类似案件的办理发挥了重要作用。此外,最高检发布的打击治理电信网络诈骗、养老诈骗典型案例中,也有多件涉及公民个人信息犯罪。 A: 近年、国家検察庁はその任務を強化し、国民の個人情報の司法保護を強化し、国民の個人情報の安全確保に努めている。 2019年から今年10月まで、国家検察当局は国民の個人情報に対する犯罪の疑いがある13,000人以上の容疑者の逮捕を承認し、28,000人以上を起訴し、被害者の正当な権益を効果的に保護した。 2018年、最高検察庁は「検察庁が国民の個人情報侵害事件を処理するための指針」を策定し、国民の個人情報侵害事件の処理において留意すべき事項を明らかにした。 2021年、最高検察庁は「人民検察庁のサイバー犯罪事件処理に関する規定」を策定し、情報ネットワークを利用した犯罪や上・下流関連犯罪の処罰を強化した。 2022年、最高裁判所、最高検察庁、公安部は共同で「情報ネットワーク犯罪事件の処理における刑事手続の適用に関するいくつかの問題に関する意見」を発表し、性質、特徴、機能が類似した特に多数の証拠資料について、客観的条件によりそれらを一つ一つ収集することは確かに不可能である場合、状況の要求に適応するために一定の割合または数量で証拠を選択すべきことを明らかにした。 事件処理の質と効率を高めること。 第三に、起訴を通じたソーシャルガバナンスの向上に重点を置いている。 2020年、最高人民検察院は産業情報化部に対して、ネットワークブラック・グレー産業チェーンの改善とAPPによる個人情報の違法・不正収集に焦点を当てた検察庁勧告を出した。 第四に、事例ガイダンスを継続的に推進したことである。 十数枚の書類より一件の方がいい。 2022年、最高検察庁は「インターネット時代における人格権の刑事保護」をテーマに、34回目の指導事例を発表した。 その中で、第140号検察事件「柯茂による市民個人情報侵害事件」は、物件情報及び識別情報を含む所有者名簿情報が市民の個人情報であることを明確にし、類似事件の処理を指導する重要な役割を果たした。 また、最高検察庁は、国民の個人情報に対する犯罪でもある電気通信ネットワーク詐欺や年金詐欺の対策と管理の典型的な事例を数多く発表した。
问:下一步,最高检在进一步加强个人信息保护方面有哪些考虑? Q:最高検が次のステップで個人情報保護をさらに強化する際の留意点は?
答:为贯彻落实党中央决策部署,保障人民群众合法权益,维护社会安全稳定,检察机关将强化履职,不断加强公民个人信息保护。一是结合打击治理电信网络诈骗犯罪等深挖关联犯罪,依法追溯个人信息泄露的渠道,加强对上游信息采集、提供、倒卖等环节犯罪行为的全链条打击。聚焦金融、电信、房产、酒店、劳务中介等重点多发行业,依法从严打击行业从业人员侵犯公民个人信息犯罪。二是加强对公民个人信息类型和刑事处罚标准的研究,推进完善个人信息保护法律体系。三是完善检察机关刑事检察和公益诉讼检察部门之间的线索移送、同步介入、人员协作、会商研判机制,协同推进个人信息保护刑事检察和公益诉讼检察一体化办案,推动形成个人信息保护多元共治新格局。四是充分发挥检察监督职能,促进网络平台、行业完善内部管控。加强与行业主管部门和行业协会沟通,推动建立健全个人信息保护常态化机制,完善行业规则,加强行业自律,强化个人信息的源头保护,在全社会全行业营造保护公民个人信息的良好环境。 A:党中央委員会の決定と配置を実行し、国民の合法的な権益を保護し、社会の安全と安定を維持するために、検察機関はその職務遂行を強化し、国民の個人情報の保護を絶えず強化する。 第一に、通信ネットワーク詐欺犯罪などの取り締まりと連動して、個人情報漏洩の経路を法律に基づいて追跡し、上流工程の情報収集・提供・販売犯罪の取り締まりを全体として強化する。 金融、通信、不動産、ホテル、労働仲介など、重要かつ頻度の高い業界に焦点を当て、業界関係者による国民の個人情報に対する犯罪を法律に基づき取り締まる。 第二に、国民の個人情報の種類と刑事罰基準に関する研究を強化し、個人情報保護に関する法制度の整備を推進する。 第三に、調達機関の刑事検察部門と公益訴訟部門の間で、手がかりの紹介、同時介入、スタッフの協力と協議、研究のメカニズムを改善し、個人情報保護のための刑事検察と公益訴訟の統合を共同で推進し、個人情報保護のための多面的かつ共通の新しいガバナンスのパターンの形成を促進する。 第四に、調達監督機能を十分に発揮し、ネットワークプラットフォームと産業の内部統制の改善を推進する。 業界当局や業界団体とのコミュニケーションを強化し、個人情報保護に関する健全な仕組みづくりを推進するとともに、業界ルールの整備、業界の自主規制を強化し、個人情報の源泉保護を強化し、社会全体および業界における国民の個人情報保護のための良好な環境を整備する。

 

1_20210612030101

| | Comments (0)

米国 ホワイトハウス 日本の国家安全保障戦略に関するジェイク・サリバン国家安全保障アドバイザーの声明 (2022.12.16)

こんにちは、丸山満彦です。

日本の国家安全保障戦略が16日に閣議決定されたのですが、、、米国のホワイトハウス側でもサリバン国家安全保障アドバイザーが即日で声明を発表していますね・・・

同盟関係ですから、密接に連携していますね。。。きっと。。。

 

U.S. The White House

・2022.12.16 Statement by National Security Advisor Jake Sullivan on Japan’s Historic National Security Strategy

 

Statement by National Security Advisor Jake Sullivan on Japan’s Historic National Security Strategy 日本の歴史的な国家安全保障戦略に関するジェイク・サリバン国家安全保障アドバイザーの声明
Today, Japan has taken a bold and historic step to strengthen and defend the free and open Indo-Pacific with the adoption of its new National Security Strategy, National Defense Strategy and Defense Buildup Program. The strategy sets forth the vision of Prime Minister Kishida and the Japanese people for a broad and strong community of partners and allies in support of peace and stability in the region. Japan’s goal to significantly increase defense investments will also strengthen and modernize the U.S.-Japan Alliance. The new strategy reinforces Prime Minister Kishida’s deep commitment to international peace and nuclear nonproliferation and sets the stage for Japan’s leadership in 2023, as Japan takes a seat on the United Nations Security Council and hosts the G7. We are grateful for Prime Minister Kishida’s and Japan’s leadership around the world, including their support for Ukraine as Russia wages its brutal war. We congratulate Prime Minister Kishida and the people of Japan on their historic new National Security Strategy which will help us and our partners achieve lasting peace, stability and prosperity. 本日、日本は新しい国家安全保障戦略、防衛戦略、防衛力整備計画を採択し、自由で開かれたインド太平洋を強化し、防衛するための大胆かつ歴史的な一歩を踏み出した。 この戦略は、地域の平和と安定を支える広範で強力なパートナーや同盟国の共同体についての岸田首相と日本国民のビジョンを示している。 防衛投資を大幅に増やすという日本の目標は、日米同盟を強化し、近代化することにもつながる。新戦略は、国際平和と核不拡散に対する岸田首相の深いコミットメントを強化し、2023年に日本が国連安全保障理事会に席を置き、G7を開催する際のリーダーシップを発揮するための舞台装置となるものである。私たちは、ロシアが残忍な戦争を繰り広げるウクライナへの支援を含め、岸田首相と日本の世界におけるリーダーシップに感謝している。 我々は、岸田首相と日本国民が、我々と我々のパートナーが永続的な平和、安定、繁栄を達成するために役立つ、歴史的な新しい国家安全保障戦略を策定したことに祝意を表する。

 

 

Fig1_20210802074601

 


 

まるちゃんの情報セキュリティきまぐれ日記

日本側。。。

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

 

 

| | Comments (0)

2022.12.19

米国 国家情報長官室 情報コミュニティ指令 126 号の発行:大統領令 14086 号に基づくシグナルズ・インテリジェンス救済メカニズムの実施手順 (2022.12.13)

こんにちは、丸山満彦です。

欧州と米国の個人データの流通に関わる重要な鍵を握っている指令ということになりますね。。。

 

・2022.12.13 Issuance of Intelligence Community Directive 126: Implementation Procedures for the Signals Intelligence Redress Mechanism under Executive Order 14086

 

Issuance of Intelligence Community Directive 126: Implementation Procedures for the Signals Intelligence Redress Mechanism under Executive Order 14086 情報コミュニティ指令 126 号の発行:大統領令 14086 号に基づくシグナルズ・インテリジェンス救済メカニズムの実施手順
Today, ODNI released to the public Intelligence Community Directive 126: Implementation Procedures for the Signals Intelligence Redress Mechanism under Executive Order 14086. This Directive governs the handling of redress complaints regarding certain signals intelligence activities, as required by Sections 3(b) and 3(c)(i) of Executive Order 14086. It specifies the process by which qualifying complaints may be transmitted by an appropriate public authority in a qualifying state pursuant to Executive Order 14086. Additionally, and pursuant to the same Executive Order, this Directive authorizes and sets forth the process through which the ODNI Civil Liberties Protection Officer shall investigate, review, and, as necessary, order appropriate remediation for a covered violation regarding qualifying complaints; communicate the conclusion of such investigation to the complainant through the appropriate public authority in a qualifying state and in a manner that protects classified or otherwise privileged or protected information; and provide necessary support to the U.S. Data Protection Review Court. 本日、ODNI は、情報コミュニティ指令 126 号を一般に公開した。大統領令 14086 号に基づくシグナルズ・インテリジェンス救済メカニズムの実施手順。この指令は、大統領令14086号の第3条(b)および第3条(c)(i)で要求されている、特定の信号情報活動に関する苦情の処理について規定するものである。この指令は、大統領令 14086 号に従って、資格のある国の適切な公的機関が資格のある苦情を送信するためのプロセスを規定するものである。さらに、同大統領令に従い、本指令は、ODNI 自由権保護官 が、適格な苦情に関する対象違反について調査、検討、および必要に応じて適切な是正を命じ、その調査結果を、適格国家の適切な公的機関を通じて、機密情報またはその他の特権もしくは保護情報を保護する方法で原告者に伝え、米国データ保護審査法廷に必要な支援を行うプロセスを認可および規定するものである。
Additional information may be found at www.dni.gov/clpt. その他の情報については、www.dni.gov/clpt を参照のこと。

 

・[PDF

20221219-175135

 

ICD 126 ICD 126
Implementation Procedures for the Signals Intelligence Redress Mechanism Under Executive Order 14086 大統領令14086に基づくシグナルズ・インテリジェンス救済メカニズムの実施手順
A. AUTHORITY:  A. 権限
National Security Act of 1947, as amended; Foreign Intelligence Surveillance Act of 1978, as amended; Executive Order (EO) 12333, as amended; Executive Order 13526, as amended;
Executive Order 14086; Intelligence Community Directive (ICD) 107, Civil Liberties, Privacy, and Transparency; and other applicable provisions of law.
1947年国家安全保障法(改正)、1978年外国情報監視法(改正)、大統領令(EO)12333号(改正)、大統領令13526号(改正)、大統領令 14086、情報コミュニティ指令(ICD)107号「自由、プライバシー、および透明性」、およびその他適用される法律の規定。
B. PURPOSE: B. 目的
1. This Directive establishes the process for the submission of qualifying complaints transmitted by an appropriate public authority in a qualifying state pursuant to Executive Order 14086. Additionally, and pursuant to the same Executive Order, this Directive authorizes and sets forth the process through which the ODNI Civil Liberties Protection Officer (CLPO) shall investigate, review, and, as necessary, order appropriate remediation for a covered violation regarding qualifying complaints; communicate the conclusion of such investigation to the complainant through the appropriate public authority in a qualifying state and in a manner that protects classified or otherwise privileged or protected information; and provide necessary support to the U.S. Data Protection Review Court. 1. 本指令は、大統領令 14086号 に従い、資格のある国の適切な公的機関から送信された資格のある苦情の提出プロセスを確立するものである。さらに、同大統領令に従い、本指令は、ODNI Civil Liberties Protection Officer(CLPO)が、適格な苦情に関する対象違反について調査、検討し、必要に応じて適切な是正を命じ、当該調査の結論を、適格国家の適切な公的機関を通じて、機密情報またはその他の特権もしくは保護された情報を保護する方法で苦情提出者に伝え、米国データ保護審査裁判所に必要な支援を行うプロセスを許可し、規定するものである。
C. APPLICABILITY C. 適用範囲
l. "lhis Directive applies to the Intelligence Community (IC), as defined by Executive Orders 12333 and 14086. l. 「本指令は、大統領令 12333号 及び 14086号 で定義される情報コミュニティ(IC)に適用される。
2. Nothing in this Directive is intended to alter or supersede ODNI's obligations or authorities under other applicable U S. laws, regulations, or policy direction, to include, but not limited to: Executive Order 12333, Executive Order 14086, the Freedom of Information Act, the Privacy Act of 1974, the Foreign Intelligence Surveillance Act of 1978, or the Inspector General Act. 2. 2. 本指令のいかなる部分も、他の適用される米国の法律、規制、または政策方針に基づく ODNI の義務や権限を変更したり、それに取って代わったりすることを意図したものではありません。これには、大統領令12333号、大統領令14086号、情報公開法、1974年プライバシー法、1978年外国情報監視法、監察官法が含まれるが、これらに限定されるものではない。
D. DEFINITIONS D. 定義
1. The terms "appropriate remediation," "covered violation," "Intelligence Community," "elements of the Intelligence Community," "intelligence," "national security," and "qualifying complaint" shall have the same meaning as defined in Executive Order 14086. 1. 「適切な是正」、「対象となる違反」、「情報コミュニティ」、「情報コミュニティの要素」、「情報」、「国家安全保障」、および「適格な苦情」という用語は、大統領令 14086号 で定義されているものと同じ意味を持つものとする。
2. A "qualifying state" is defined as a country or regional economic integration organization that has been designated by the Attorney General after a determination that the country or regional economic integration organization meets the requirements of Section 3(f) of Executive Order 14086. 2. 「適格国家」とは、国または地域経済統合組織が大統領令 14086号 の第 3 項(f)の要件を満たすと判断された後、司法長官によって指定された国または地域経済統合組織を指す。
3. An "appropriate public authority in a qualifying state" is defined as an entity that has been officially selected by the qualifying state to facilitate the consideration of qualifying complaints made with respect to data transfers from the qualifying state to the United States. A country or regional economic integration organization may identify its appropriate public authority in the course of seeking the Attorney General's designation as a qualifying state pursuant to Section 3(f) of Executive Order 14086. A qualifying state may change or update its appropriate public authority at any time, with 30 days' notice, through an official statement provided by its foreign ministry to the CLPO and the Department of State. 3. 適格国の適切な公的機関」とは、適格国から米国へのデータ転送に関してなされた適格な苦情の検討を促進するために、適格国によって公式に選択された団体と定義される。国または地域経済統合機構は、大統領令14086号の第3条(f)に従って司法長官に適格国家としての指定を求める過程で、その適切な公的機関を特定することができる。適格国は、30日前に外務省からCLPOおよび国務省に提出される公式声明を通じて、いつでも適切な公的機関を変更または更新することができる。
4. The "protection of intelligence sources and methods" is defined for the purpose of this Directive to include, but is not limited to, the protection of any classified information or otherwise privileged or protected information. These protections are to be applied in a manner that maintains the full and appropriate protection of all classified, privileged, or protected information, while still ensuring that the CLPO, Data Protection Review Court, and Privacy and Civil Liberties Oversight Board are provided access to information necessary to conduct the functions assigned to each of these entities by Executive Order 14086. 4. 本指令の目的上、「情報源及び方法の保護」は、あらゆる機密情報又はその他の特権的若しくは保護された情報の保護を含むが、これに限定されないと定義される。これらの保護は、すべての機密情報、特権情報、または保護された情報の完全かつ適切な保護を維持しつつ、CLPO、データ保護審査裁判所、およびプライバシー・自由権監視委員会が、大統領令 14086号 によってこれらの団体に割り当てられた機能を実行するために必要な情報へのアクセスを提供されるような方法で適用されるものとする。
E. POLICY E. 方針
1. Submission and Receipt of Qualifying Complaints: 1. 適格な苦情の提出と受領
a. Pursuant to Executive Order 14086, a complainant must submit a complaint in writing to the appropriate public authority in a qualifying state. a. 大統領令 14086 号に従い、原告は、資格のある州の適切な公的機関に書面で苦情を提出しなければならない。
b. An appropriate public authority in a qualifying state must transmit the written complaint to the CLPO through an encrypted electronic communication. ODNI's Office of Civil Liberties, Privacy and Transparency will establish an electronic address to receive such transmitted complaints from appropriate public authorities in qualifying states. b. 適格国家の適切な公的機関は、書面による苦情を暗号化された電子通信によってCLPOに送信しなければならない。ODNIの市民的自由・プライバシー・透明性局は、該当する州の適切な公的機関から送信された苦情を受け取るための電子アドレスを設置する。
c. Within 15 business days of receipt of the complaint from the appropriate public authority in a qualifying state, the CLPO shall conduct an initial review of the complaint to assess whether the complaint meets all of the requirements necessary to conduct a redress review pursuant to Executive Order 14086 and this Directive (i.e., whether the complaint is a "qualifying complaint," as that term is defined in EO 14086). Specifically, for a transmitted complaint to be a "qualifying complaint" consistent with Executive Order 14086' s definition of "covered violation" and "qualifying complaint," the complaint must: c. 適格な州の適切な公的機関から苦情を受け取ってから15営業日以内に、CLPOは苦情の初期審査を行い、苦情が大統領令14086号および本指令に従って救済審査を行うために必要なすべての要件を満たしているかどうか(すなわち、大統領令 14086号 に定義されている「適格な苦情」であるかどうか)を評価する。具体的には、送信された苦情が、大統領令 14086号 の「対象となる違反」と「適格な苦情」の定義と一致する「適格な苦情」であるためには、その苦情は以下の要件を満たす必要がある。
(l) allege a violation has occurred and arises from U.S. signals intelligence activities conducted after 7 October 2022 regarding data reasonably believed to have been transferred to the United States from a qualifying state after the effective date of the Attorney General's designation for such a state; (l) 2022年10月7日以降に実施された米国の信号情報活動から、司法長官による適格国家指定の発効日以降に米国に移転されたと合理的に考えられるデータに関して違反が発生したと主張すること。
(2) allege the violation regards such transferred data that pertains to personal information of or about the complainant, a natural person; (2) 自然人である申立人の個人情報に関連する当該移転データに関する違反を主張すること。
(3) allege that the violation adversely affects the complainant's individual privacy and civil liberties interests; (3) 違反が原告の個人的なプライバシーおよび市民的自由の利益に悪影響を及ぼすと主張する場合。
(4) allege that the violation also violates one or more of the applicable laws, orders, statutes, or procedures detailed in Section 4(d)(iii) of Executive Order 14086; (4) 違反が、大統領令 14086 号の第 4(d)(iii) 項に詳述されている適用法、命令、法令、または手続きの 1 つ以上に違反していると主張すること。
(5) include basic information to enable a review of the complaint, to include: (5) 申し立てを確認するための基本的な情報を含むこと。
(a) infonnation that forms the basis for alleging that a covered violation has occurred, which need not demonstrate that the complainant's data has in fact been subject to United States signals intelligence activities; (a) 対象となる違反が発生したと主張する根拠となる情報であって、申立人のデータが実際に米国の信号諜報活動の対象となっていたことを示す必要のない情報。
(b) the nature of the relief sought; (b) 求める救済の性質。
(c) the specific means (e.g., the complainant's email address or phone number) by which personal information of or about the complainant was believed to have been transmitted to the United States; (c) 申立人の個人情報または申立人に関する個人情報が米国に送信されたと思われる具体的な手段(例えば、申立人の電子メールアドレスまたは電話番号など)。
(d) the identities of the United States Government entities believed to be involved in the alleged violation (if known); and (d) 違反の疑いのある行為に関与していると思われる米国政府機関の身元(判明している場合);および
(e) any other measures the complainant pursued to obtain the relief requested and  the responses received through those other measures; (e) 申立人が要求された救済を得るために追求した他の手段およびそれらの手段によって受け取った回答。
(6) not be frivolous, vexatious, or made in bad faith; (6) 軽薄、執拗、または不誠実なものでないこと。
(7) be brought on behalf of the complainant, acting on that person's own behalf, and not as a representative of a governmental, nongovernmental, or intergovernmental organization; and (7) 政府、非政府、または政府間組織の代表としてではなく、申立人自身のために行動する申立人のために提起されたものであること。
(8) contain a verification by the appropriate public authority in a qualifying state: (8) 適格国の適切な公的機関による検証を含むこと。
(a) of the identity of the complainant, and  (a) 申立人の身元を確認すること。
(b) that the complaint satisfies the conditions of Section E. 1 .c.(l) — (7) of this Directive. (b) 苦情が本指令のセクション E.1.c.(l) ~ (7) の条件を満たしていること。
d. The complaint must be transmitted to the CLPO by the appropriate public authority in a qualifying state in the English language. The appropriate public authority in a qualifying state may translate the complaint on behalf of the complainant. d. 苦情は、資格要件国の適切な公的機関が英語で CLPO に送信しなければならない。適格国の適切な公的機関は、苦情申立者に代わって苦情を翻訳することができる。
e. The transmission of the complaint from an appropriate public authority in a qualifying state must also contain a description of the manner in which the authority verified the identity of the complainant. The CLPO shall rely on the verification of the identity of the complainant by the appropriate public authority in a qualifying state, but should either the information provided by the appropriate public authority in a qualifying state or subsequent investigation of the complaint call into question the identity of the complainant, the CLPO may request additional information from the public authority in a qualifying state in a manner that does not reveal intelligence sources or methods or otherwise indicate whether an individual has, in fact, been the subject of signals intelligence activities. e. 適格国の適切な公的機関からの苦情の送信には、その公的機関が苦情申立者の身元を確認した方法についての記述も含まれていなければなりません。CLPOは、資格国の適切な公的機関による申立人の身元確認に依拠するものとするが、資格国の適切な公的機関が提供した情報またはその後の苦情調査によって申立人の身元に疑問が生じた場合、CLPOは資格国の公的機関に、情報源または方法を明らかにしない方法で、または個人が実際に信号情報活動の対象であったかどうかを示す追加情報を要求することができるものとする。
f. If the CLPO determines that the complaint is not a qualifying complaint because it does not meet the conditions of Section E. 1 .c., or does not meet the conditions of Section E. 1 .d., of this Directive, the CLPO will provide written notification via encrypted electronic communication and in the English language to the appropriate public authority in a qualifying state of the deficiencies in the complaint. f. CLPO が、苦情が本指令のセクション E. 1 .c. の条件を満たしていない、またはセクション E. 1 .d. の条件を満たしていないため、適格な苦情でないと判断した場合、CLPO は暗号化電子通信を介して、英語で、適格国家の該当公的機関に苦情における欠陥の書面による通知を提供する。
g. If the CLPO determines that the complaint meets the conditions of Sections E.I .c. and E. 1 .d. of this Directive, the CLPO will provide written notification via encrypted electronic communication and in the English language to the appropriate public authority in a qualifying state that a qualifying complaint has been submitted and that an investigation will commence. g. CLPO が、苦情が本指令のセクション E.I .c. および E.1 .d. の条件を満たすと判断した場合、CLPO は、適格な苦情が提出され、調査が 開始されることを、暗号化された電子通信を介して、英語で、適格国家の関係当局に書面にて通知す るものとする。
h. The CLPO shall maintain records in a secure and classified electronic repository of all submitted complaints, all communications regarding submitted complaints with the appropriate public authorities in qualifying states, and all determinations of whether transmitted complaints were determined to be qualifying complaints. Such records shall be maintained consistent with National Archives and Records Administration records control schedules. h. CLPO は、提出されたすべての苦情、提出された苦情に関する適格国家の関係当局とのすべての 連絡、および送信された苦情が適格な苦情と判断されたかどうかのすべての判断の記録を安全かつ機密 の電子リポジトリに維持しなければならない。このような記録は、米国国立公文書館記録管理局の記録管理スケジュールに従って維持されるものとする。
i. Within 10 business days of notifying an appropriate public authority in a qualifying state that a complaint has been determined by the CLPO to meet the requirements of Section E. 1 .c. and E. 1 .d. of this Directive, the CLPO shall transmit via encrypted electronic communication to the Department of Commerce and the Data Protection Review Court an unclassified record regarding each qualifying complaint that provides only the identity of the complainant, the appropriate public authority in a qualifying state that transmitted the qualifying complaint, and the date when the qualifying complaint was transmitted to the CLPO. i. CLPO が、苦情が本指令のセクション E. 1 .c. および E. 1 .d. の要件を満たすと判断したことを、該当する州の適切な公的機関に通知してから 10 営業日以内に、CLPO は、暗号化電子通信を介して商務省およびデータ保護審査裁判所に、各適格苦情に関する非分類記録(苦情提出者の身元、適格苦情を送信した該当州の適切な公的機関、適格苦情が CLPO に送信された日のみを提供)を送信するものとする。
2. Investigation of a Qualifying Complaint: 2. 適格な苦情の調査
a. The CLPO shall exercise statutory and delegated authority to investigate each qualifying complaint. a. CLPO は、法的権限及び委任された権限を行使し、各適格苦情を調査するものとする。
b. In light of the allegations made in the complaint, the CLPO will request that the Privacy and Civil Liberties Officers of the relevant IC elements obtain and provide the CLPO access to information necessary to investigate the qualifying complaint. b. 申し立ての内容に基づき、CLPOは関連するIC要素のプライバシー及び自由権担当官に対し、適格な申し立てを調査するために必要な情報を入手し、CLPOに提供するよう要請する。
(1) In a manner consistent with the protection of classified information or otherwise privileged or protected information, the CLPO, with assistance from the Privacy and Civil Liberties Officers of the relevant IC elements, will conduct an investigation by gathering information necessary to complete the review, to include, where appropriate, a description of the search parameters used to identify such information and written confirmation when no such information is identified. All searches and transmission of results must be conducted in a timely manner in order to facilitate the investigation. (1) CLPO は、機密情報またはその他の特権もしくは保護された情報の保護と一貫した方法で、関連する IC 要素のプライバシー及び自由権担当者の支援を受けて、レビューを完了するために必要な情報を収集することにより調査を行う。これには、必要に応じて、当該情報を特定するために使用した検索パラメータの説明及び 当該情報が特定できない場合の書面による確認も含める。すべての検索と結果の送信は、調査を促進するために適時に行われなければならない。
(2) The CLPO may: seek clarifications; request additional information or documents regarding the relevant signals intelligence activities or remedial steps taken in the case of previously identified noncompliance regarding relevant signals intelligence activities; conduct  and document interviews with relevant IC personnel; or otherwise seek the assistance of the IC elements, through their Privacy and Civil Liberties Officers, in any instances in which the CLPO determines it is necessary to supplement the record in order to investigate the allegations of a  qualifying complaint. IC elements shall provide access to information and personnel in a manner consistent with the protection of classified information or otherwise privileged or protected information. (2) CLPOは、関連するシグナルインテリジェンス活動または関連するシグナルインテリジェンス活動に関して以前に確認された違反の場合の改善措置に関する追加情報または文書を要求し、関連するIC職員とのインタビューを実施し文書化し、またはCLPOが適格な申し立ての申し立てを調査するために記録を補足する必要があると判断した場合、プライバシーおよび自由権担当を通してIC要素の支援を要請できるものとする。IC 要素は、機密情報または特権もしくは保護された情報の保護と矛盾しない方法で、情報および職員へのアクセスを提供するものとする。
(3) The CLPO may also request information from the Department of Justice regarding any legal advice provided, or compliance records concerning, signals intelligence activities related to the allegations in the qualifying complaint. (3) CLPO は、適格な苦情の申し立てに関連する信号情報活動に関して提供された法的助言、 またはコンプライアンス記録に関する情報を司法省に要求することもできる。
c. IC elements shall not take any actions designed to impede or improperly influence the  investigation of the CLPO into facts relevant to the qualifying complaint. c. IC の構成員は、適格な苦情に関連する事実についての CLPO の調査を妨げたり、 不適切な影響を与えることを目的としたいかなる行動もとってはならない。
d. The information and records obtained by the CLPO shall be maintained in a physically or logically separated repository with protections necessary to protect classified or otherwise privileged or protected information and in a manner consistent with National Archives and Records Administration records control schedules. d. CLPO が入手した情報及び記録は、物理的又は論理的に分離されたリポジトリで、機密情 報、その他の特権又は保護された情報を保護するために必要な保護を受け、米国公文書館及び 記録局の記録管理スケジュールに合致した方法で維持されるものとする。
3. Review, Determination, and Remediation of Qualifying Complaints: 3. 適格な苦情のレビュー、判断、および是正。
a. Based upon the result of the investigation, the CLPO shall determine whether a covered violation has occurred. In making this determination, the CLPO shall apply relevant U.S. law impartially, and consistent with established legal principles, take into account both relevant national security interests and applicable privacy protections, and give appropriate deference to any relevant determinations made by national security officials. a. 調査結果に基づき、CLPO は、対象となる違反が発生したか否かを判断するものとする。この決定において、CLPO は関連する米国法を公平に適用し、確立された法原則と一致させ、 関連する国家安全保障上の利益と適用されるプライバシー保護の両方を考慮し、国家安全保障当局に よる関連する決定には適切な敬意を表するものとする。
b. If the CLPO determines that a covered violation has occurred, the CLPO will determine the appropriate remediation for the covered violation. b. CLPO が対象となる違反が発生したと判断した場合、CLPO は対象となる違反に対する適切な是正措置を決定する。
c. As required by Executive Order 14086, each element of the IC, and each agency containing an element of the IC, shall comply with any applicable determination by the CLPO to undertake appropriate remediation with regard to the qualifying complaint, subject to any contrary determination by the Data Protection Review Court. Information regarding the status and completion of such appropriate remediation shall be provided to the CLPO. c. 大統領令 14086号 で要求されているように、IC の各要素及び IC の要素を含む各機関は、データ保護審 査裁判所の反対決定に従い、適格な苦情に関して適切な是正を行うために CLPO による該当する決定 に従わなければならない。そのような適切な是正の状況及び完了に関する情報は、CLPOに提供されるものとする。
d. The CLPO shall produce a classified written decision explaining the basis for the CLPO's factual findings, determination with respect to whether a covered violation occurred, and determination of the appropriate remediation in the event of a covered violation. The CLPO's classified written decision, as well as any relevant information or records obtained or created by the CLPO in the course of the investigation, shall constitute the classified ex parte record of review. The classified ex parte record of review shall be maintained in a physically or logically separated repository with protections necessary to protect classified or otherwise privileged or protected information, in a manner consistent with National Archives and Records Administration records control schedules. d. CLPO は、CLPO の事実調査、対象違反の有無に関する判断、および対象違反が発生した場合の適切 な改善策の判断の根拠を説明する、機密扱いの決定書を作成するものとする。CLPO の機密扱いの決定書、および CLPO が調査の過程で入手または作成した関連情報または 記録は、機密扱いの一方的なレビュー記録を構成するものとする。機密扱いの一方的審査記録は、国立公文書記録管理局の記録管理スケジュールと一致する方法で、機密扱いの情報またはその他の特権もしくは保護された情報を保護するために必要な保護を備えた物理的または論理的に分離したリポジトリで維持されるものとする。
e. The CLPO shall provide a classified report on information indicating a violation of any authority subject to the oversight of the Foreign Intelligence Surveillance Court to the Assistant Attorney General for National Security to permit onward reporting to the Court, as  required by law or the Court's Rules of Procedure. e. CLPO は、法律または裁判所の訴訟規則で要求されるとおり、外国情報監視裁判所の監督下にある権限の違反を示す情報に関する機密報告書を国家安全保障担当司法長官補佐官に提供し、裁判所への報告を可能にするものとする。
4. Transmittal of Results of Review of Qualifying Complaint: 4. 適格な訴えの審査結果の送付
a. Upon the CLPO's completion of the review of a qualifying complaint, and in a manner that continues to protect classified information or otherwise privileged or protected information, the CLPO shall provide a copy of the CLPO's classified written decision to all relevant IC elements. IC elements may seek review of the CLPO's classified decision by the Data Protection Review Court in the manner prescribed by Executive Order 14086 and regulations issued by the Attorney General. a. CLPO が適格な苦情の審査を完了した場合、引き続き機密情報またはその他の特権もしくは 保護された情報を保護する方法で、CLPO は CLPO の機密の決定書のコピーをすべての関連 IC 要素に提供するものとする。IC 要素は、大統領令 14086 及び司法長官が発行する規則に規定された方法で、データ保護審 査裁判所による CLPO の機密扱いの決定の見直しを求めることができる。
b. Upon the CLPO's completion of the review of a qualifying complaint, the CLPO shall inform the complainant, in writing and via an unclassified statement in the English language and made via an encrypted electronic communication to the appropriate public authority in a qualifying state, in a manner that continues to protect classified information or otherwise privileged or protected information, and without confirming or denying that the complainant was subject to United States signals intelligence activities, that: b. CLPO が適格な苦情の審査を完了した場合、CLPO は、適格国の適切な公的機関に、機密情報またはその他の特権もしくは保護された情報を引き続き保護する方法で、かつ苦情申立者が合衆国の信号情報活動の対象であることを肯定も否定もせず、書面および英語による非分類声明で、次のことを通知しなければならない。
(1) The review either did not identify any covered violations or the Civil Liberties Protection Officer of the Office of the Director of National Intelligence issued a determination requiring appropriate remediation; (1) 調査の結果、対象となる違反が発見されなかったか、または国家情報長官室の自由権保護官が適切な是正を求める決定を下した場合。
(2) The complainant or an element of the IC may, as prescribed in regulations issued by the Attorney General, apply for review of the CLPO's determinations by the Data Protection Review Court described in Executive Order 14086, to include a statement on the manner in which the complainant may seek review from the Data Protection Review Court pursuant to  these regulations; and (2) 申立人またはICの要素は、司法長官が発行する規則に従って、大統領令14086に記載されているデータ保護審査裁判所にCLPOの決定の審査を申請することができ、申立人がこれらの規則に従ってデータ保護審査裁判所に審査を求めることができる方法に関する記述を含むこと。
(3) If either the complainant or an element of the IC applies for review by the Data  Protection Review Court, a special advocate will be selected by the Data Protection Review Court to advocate regarding the complainant's interest in the matter. (3) 原告または IC の要素のいずれかがデータ保護審査裁判所に審査を申請する場合、 データ保護審査裁判所は、その問題における原告の利益に関して弁護する特別弁護人を選任する。
5. Assistance to the Data Protection Review Court: 5. データ保護審査裁判所への支援
a. In the event that a Data Protection Review Court panel is convened, the CLPO shall convey to the Data Protection Review Court the classified ex parte record of review in a manner consistent with the relevant regulations approved by the Attorney General and requirements governing the handling of classified information or otherwise privileged or protected  information. a. データ保護審査法廷のパネルが招集された場合、CLPO は、司法長官が承認した 関連規則および機密情報またはその他の特権もしくは保護された情報の取り扱いに 関する要件に合致した方法で、データ保護審査法廷に機密の一方的審査記録を伝達するものとする。
b. The CLPO shall provide any necessary support as requested by the Data Protection Review Court, to include supplementing the classified ex parte record of review in response to inquiries made by the Data Protection Review Court. b. CLPO は、データ保護審査裁判所の要求に応じて、データ保護審査裁判所の照会に応じ て機密の一方的審査記録を補足するなど、必要なサポートを提供するものとする。
c. Consistent with statutory and delegated authority, and in a manner consistent with the protection of intelligence sources and methods, the CLPO will request from IC elements assistance in obtaining information to supplement the classified ex parte record of review in response to requests from the Data Protection Review Court. c. CLPO は、法令及び委任された権限に基づき、かつ、情報源及び方法の保護と整合的な 方法で、データ保護審査裁判所の要請に応じ、機密の一方的審査記録を補足する情報を入手するため の支援を IC 要素に要請するものとする。
d. Consistent with the relevant regulations issued by the Attomey General, should the Data Protection Review Court determine that alternative appropriate remediation is required to fully redress the qualifying complaint, the CLPO shall consult with relevant IC elements and provide views to the Data Protection Review Court regarding the alternative appropriate remediation, to include an assessment of the impacts of such alternative appropriate remediation on the operations of the IC and the national security of the United States. d. データ保護審査裁判所が、適格な苦情を完全に是正するために別の適切な是正が必要であると判断した場合、CLPOはICの関連部門と協議し、データ保護審査裁判所に別の適切な是正に関する意見を提供し、当該別の適切な是正がIC運営および米国の国家安全保障に与える影響の評価も含めるものとする。
6. Assistance to the Privacy and Civil Liberties Oversight Board (PCLOB): 6. プライバシーと自由に関する監視委員会(PCLOB)への支援
a. IC elements and the CLPO shall provide the PCLOB with access to information necessary to conduct the annual review of the redress process described in Section 3(e) of Executive Order 14086, consistent with the protection of intelligence sources and methods. a. IC 要素及び CLPO は、情報源及び方法の保護と整合性を保ちつつ、大統領令 14086 号の第 3 項(e)に記載された救済プロセスの年次審査を実施するために必要な情報へのアクセスを PCLOB に提供するものとする。
F. EFFECTIVE DATE: This Directive becomes effective on the date of signature. F. 発効日:本指令は、署名の日付をもって発効する。

 

 


 

● まるちゃんの情報セキュリティきまぐれ日記

ヨーロッパ側の報道...

・2022.12.16 欧州委員会 米国との安全なデータの流れを確保するための適切な決定の採択に向けたプロセスを開始

 

大統領令...

・2022.10.11 米国 米国におけるシグナル・インテリジェンス活動のための安全保障の強化に関する大統領令(GDPR対応)

 

 

 

| | Comments (0)

NIST SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン 、63A-4 (ドラフト) 登録と身元確認、63B-4 (ドラフト) 本人認証とライフサイクル管理、63C-4 (ドラフト) 連携とアサーション

こんにちは、丸山満彦です。。。

NISTがSP800-63デジタル・アイデンティティ・ガイドライン(4巻シリーズ)の第4版のドラフトを公表していますね。。。あくまでも連邦政府の利用を意識したものです。。。

約1.5年前に初期ドラフトが公表されてから少し時間がたちまちたが、ようやくドラフトバージョンが発行されましたね。。。

 

NIST - ITL

・2022.12.16 SP 800-63-4 (Draft) Digital Identity Guidelines

・2022.12.16 SP 800-63A-4 (Draft) Digital Identity Guidelines: Enrollment and Identity Proofing

・2022.12.16 SP 800-63B-4 (Draft) Digital Identity Guidelines: Authentication and Lifecycle Management

・2022.12.16 SP 800-63C-4 (Draft) Digital Identity Guidelines: Federation and Assertions

 

SP 800-63-4 (Draft) Digital Identity Guidelines SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン
SP 800-63A-4 (Draft) Digital Identity Guidelines: Enrollment and Identity Proofing SP 800-63A-4 (ドラフト) デジタル・アイデンティティ・ガイドライン:登録と身元確認
SP 800-63B-4 (Draft) Digital Identity Guidelines: Authentication and Lifecycle Management SP 800-63B-4 (ドラフト) デジタル・アイデンティティ・ガイドライン: 本人認証とライフサイクル管理
SP 800-63C-4 (Draft) Digital Identity Guidelines: Federation and Assertions SP 800-63C-4 (ドラフト) デジタル・アイデンティティ・ガイドライン:連携とアサーション
Announcement 発表
NIST requests comments on the draft fourth revision to the four-volume suite of Special Publication 800-63, Digital Identity Guidelines. This publication presents the process and technical requirements for meeting the digital identity management assurance levels specified in each volume. They also provide considerations for enhancing privacy, equity, and usability of digital identity solutions and technology. NISTは、Special Publication 800-63「デジタル・アイデンティティ・ガイドライン」の4巻セットの第4改訂版ドラフトに対するコメントを求めている。本書は、各巻で指定されたデジタル ID 管理保証レベルを満たすためのプロセスおよび技術要件を提示する。また、デジタル ID ソリューションおよび技術のプライバシー、公平性、および使いやすさを向上させるための考慮事項が記載されている。
Background 背景
The rapid proliferation of online services over the past few years has heightened the need for reliable, equitable, secure, and privacy-protective digital identity solutions. 過去数年間のオンラインサービスの急速な普及により、信頼性が高く、公平で、安全で、プライバシーを保護するデジタル・アイデンティティ・ソリューションに対するニーズが高まっている。
Revision 4 of NIST Special Publication 800-63, Digital Identity Guidelines, intends to respond to the changing digital landscape that has emerged since the last major revision of this suite was published in 2017 — including the real-world implications of online risks. The guidelines present the process and technical requirements for meeting digital identity management assurance levels for identity proofing, authentication, and federation, including requirements for security and privacy as well as considerations for fostering equity and the usability of digital identity solutions and technology. NIST 特別刊行物 800-63「デジタル・アイデンティティ・ガイドライン」の改訂4版は、このスイートの最後のメジャー改訂版が2017年に発行されて以来、オンラインリスクの現実世界での影響を含め、出現した変化するデジタルの状況に対応することを意図している。本ガイドラインは、セキュリティとプライバシーに関する要件だけでなく、公平性を育むための配慮や、デジタルIDソリューションや技術の使いやすさなど、本人認証、認証、連携のデジタルID管理の保証レベルを満たすためのプロセスおよび技術要件を提示している。
Taking into account feedback provided in response to our June 2020 Pre-Draft Call for Comments, as well as research conducted into real-world implementations of the guidelines, market innovation, and the current threat environment, this draft seeks to: 2020 年 6 月のプレドラフト意見募集に寄せられたフィードバックや、ガイドラインの実世界での実装、市場の革新、現在の脅威環境について行われた調査を考慮し、このドラフトは以下を目的としている。
Advance Equity: This draft seeks to expand upon the risk management content of previous revisions and specifically mandates that agencies account for impacts to individuals and communities in addition to impacts to the organization. It also elevates risks to mission delivery – including challenges to providing services to all people who are eligible for and entitled to them – within the risk management process and when implementing digital identity systems. Additionally, the guidance now mandates continuous evaluation of potential impacts across demographics, provides biometric performance requirements, and additional parameters for the responsible use of biometric-based technologies, such as those that utilize face recognition. 公平性の向上:このドラフトは、これまでのリスクマネジメントの内容を発展させ、組織への影響に加え、個人とコミュニティへの影響も考慮することを特に義務付けている。また、デジタル ID システムを導入する際のリスクマネジメントプロセスにおいて、サービスを受ける資格のあるすべての人にサービスを提供するという課題を含め、ミッションの実現に対するリスクを高めている。さらに、このガイダンスでは、人口統計全体に及ぶ潜在的な影響の継続的な評価、バイオメトリクス性能要件、および顔認識を利用するものなどのバイオメトリクス・ベースの技術を責任を持って使用するための追加パラメータを義務付けている。
Emphasize Optionality and Choice for Consumers: In the interest of promoting and investigating additional scalable, equitable, and convenient identify verification options, including those that do and do not leverage face recognition technologies, this draft expands the list of acceptable identity proofing alternatives to provide new mechanisms to securely deliver services to individuals with differing means, motivations, and backgrounds. The revision also emphasizes the need for digital identity services to support multiple authenticator options to address diverse consumer needs and secure account recovery. 消費者のためのオプションと選択を重視する。 顔認識技術を活用するもの、しないものを含め、拡張可能、公平、かつ便利な身元確認オプションの追加を促進および調査するために、このドラフトは、許容可能な身元確認の代替手段のリストを拡張し、手段、動機、背景が異なる個人にサービスを安全に提供する新しい仕組みを提供する。また、この改訂では、デジタル・アイデンティティ・サービスが、多様な消費者のニーズと安全なアカウント回復に対応するため、複数の認証者オプションをサポートする必要性を強調している。
Deter Fraud and Advanced Threats: This draft enhances fraud prevention measures from the third revision by updating risk and threat models to account for new attacks, providing new options for phishing resistant authentication, and introducing requirements to prevent automated attacks against enrollment processes. It also opens the door to new technology such as mobile driver’s licenses and verifiable credentials. 不正行為と高度な脅威の抑止:このドラフトは、新しい攻撃を考慮したリスクおよび脅威モデルの更新、フィッシングに強い認証の新しいオプションの提供、登録プロセスに対する自動的な攻撃を防止するための要件の導入により、第3回改訂から不正防止策を強化している。また、モバイル運転免許証や検証可能なクレデンシャルなどの新しい技術にも門戸を開いている。
Address Implementation Lessons Learned: This draft addresses areas where implementation experience has indicated that additional clarity or detail was required to effectively operationalize the guidelines. This includes re-working the federation assurance levels, providing greater detail on Trusted Referees, clarifying guidelines on identity attribute validation sources, and improving address confirmation requirements. 実装の教訓に対処する:このドラフトは、ガイドラインを効果的に運用するために、実装の経験からさらなる明確化または詳細化が必要であると指摘された領域に対応している。これには、連携保証レベルの再作成、信頼される審判者の詳細、ID 属性検証ソースに関するガイドラインの明確化、および住所確認要件の改良が含まれる。
Note to Reviewers レビュアーへのお願い
NIST is specifically interested in comments on and recommendations for the following topics: NIST は、特に以下のトピックに関するコメントおよび提言に関心を寄せている。
Identity Proofing and Enrollment 身元確認と登録
NIST sees a need for inclusion of an unattended, fully remote Identity Assurance Level (IAL) 2 identity proofing workflow that provides security and convenience, but does not require face recognition. Accordingly, NIST seeks input on the following questions: NIST は、セキュリティと利便性を提供するが顔認証を必要としない、無人の完全リモート ID 保証レベル(IAL)2 の身元確認ワークフローを含める必要性があると見ている。したがって、NIST は以下の質問に対する意見を求めている。
What technologies or methods can be applied to develop a remote, unattended IAL2 identity proofing process that demonstrably mitigates the same risks as the current IAL2 process? 現在の IAL2 プロセスと同じリスクを実証的に軽減する、リモートで無人な IAL2 身元確認プ ロセスを開発するために、どのような技術または方法が適用できるのか?
Are these technologies supported by existing or emerging technical standards? これらの技術は、既存の、または新たに出現した技術標準でサポートされているか?
Do these technologies have established metrics and testing methodologies to allow for assessment of performance and understanding of impacts across user populations (e.g., bias in artificial intelligence)? これらの技術は、性能の評価およびユーザー集団全体への影響の理解を可能にする確立された測定 基準および試験方法を持っているか(たとえば、人工知能におけるバイアス)。
What methods exist for integrating digital evidence (e.g., Mobile Driver’s Licenses, Verifiable Credentials) into identity proofing at various identity assurance levels? デジタル証拠(例:携帯運転免許証、検証可能な証明書)をさまざまな身元保証レベルの身元確認に 統合するために、どのような方法が存在するか?
What are the impacts, benefits, and risks of specifying a set of requirements for CSPs to establish and maintain fraud detection, response, and notification capabilities? CSP が不正行為の検出、対応、および通知機能を確立し維持するための一連の要件を規定することの影響、利点、およびリスクは何か?
Are there existing fraud checks (e.g., date of death) or fraud prevention techniques (e.g., device fingerprinting) that should be incorporated as baseline normative requirements? If so, at what assurance levels could these be applied? 既存の詐欺チェック(例:死亡日)または詐欺防止技術(例:デバイスの指紋採取)で、基本的な規範的要件として取り入れるべきものはあるか?あるとすれば、それらはどの程度の保証レベルで適用できるのか?
How might emerging methods such as fraud analytics and risk scoring be further researched, standardized, measured, and integrated into the guidance in the future? 不正分析やリスクスコアリングのような新しい手法は、今後どのように研究、標準化、測定され、ガイダンスに統合される可能性があるか?
What accompanying privacy and equity considerations should be addressed alongside these methods? これらの手法に付随して、プライバシーや公平性についてどのような配慮が必要か?
Are current testing programs for liveness detection and presentation attack detection sufficient for evaluating the performance of implementations and technologies? ライブネス検知とプレゼンテーション攻撃検知のための現在のテストプログラムは、実装と技術の性能を評価するのに十分か?
What impacts would the proposed biometric performance requirements for identity proofing have on real-world implementations of biometric technologies? 身元確認のために提案されたバイオメトリクス性能要件は、バイオメトリクス技術の実世界の実装にどのような影響を与えるか?
Risk Management リスクマネジメント
What additional guidance or direction can be provided to integrate digital identity risk with enterprise risk management? デジタル・アイデンティティ・リスクをエンタープライズ・リスクマネジメントと統合するために、 どのような追加ガイダンスまたは方向性を提供できるのか?
How might equity, privacy, and usability impacts be integrated into the assurance level selection process and digital identity risk management model? 公平性、プライバシー、およびユーザビリティの影響は、保証レベル選択プロセスおよびデジタル ID リスク・マネジメント・モデルにどのように統合されるのか?
How might risk analytics and fraud mitigation techniques be integrated into the selection of different identity assurance levels? How can we qualify or quantify their ability to mitigate overall identity risk? リスク分析および詐欺行為軽減技術は、異なる ID 保証レベルの選択にどのように統合されるのか?全体的な ID リスクを軽減する能力をどのように認定または定量化できるのか?
Authentication and Life Cycle Management 本人認証およびライフサイクル管理
Are emerging authentication models and techniques – such as FIDO passkey, Verifiable Credentials, and mobile driver’s licenses – sufficiently addressed and accommodated, as appropriate, by the guidelines? What are the potential associated security, privacy, and usability benefits and risks? FIDO パスキー、検証可能クレデンシャル、モバイル運転免許証などの新しい認証モデルおよび技 術は、ガイドラインによって十分に扱われ、必要に応じて対応されているか?関連するセキュリティ、プライバシー、ユーザビリティの潜在的な利点とリスクは何か?
Are the controls for phishing resistance as defined in the guidelines for AAL2 and AAL3 authentication clear and sufficient? AAL2およびAAL3認証のガイドラインに定義されているフィッシング対策は明確かつ十分か?
How are session management thresholds and reauthentication requirements implemented by agencies and organizations? Should NIST provide thresholds or leave session lengths to agencies based on applications, users, and mission needs? セッション管理のしきい値と再認証の要件は、機関や組織でどのように実装されているか? NISTは、アプリケーション、ユーザ、ミッションのニーズに基づいて、閾値を提供したり、セッションの長さを機関に委ねたりする必要があるか?
What impacts would the proposed biometric performance requirements for this volume have on real-world implementations of biometric technologies? 本編で提案されたバイオメトリクス性能要件は、バイオメトリクス技術の実世界での実装にどのような影響を及ぼすか?
Federation and Assertions 連携とアサーション
What additional privacy considerations (e.g., revocation of consent, limitations of use) may be required to account for the use of identity and provisioning APIs that had not previously been discussed in the guidelines? ガイドラインでこれまで議論されていなかった ID およびプロビジョニング API の使用を考慮するために、どのような追加のプライバシー配慮(例:同意の取り消し、使用の制限)が必要になるか?
Is the updated text and introduction of “bound authenticators” sufficiently clear to allow for practical implementations of federation assurance level (FAL) 3 transactions? What complications or challenges are anticipated based on the updated guidance? 更新された文章と「バインド認証者」の序文は、連携保証レベル(FAL)3トランザク ションの実用的な実装を可能にするために十分に明確ですか?更新されたガイダンスに基づき、どのような複雑さや課題が予想されるか?
General 一般
Is there an element of this guidance that you think is missing or could be expanded? このガイダンスの中で、欠けている、または拡張できると思われる要素はあるか?
Is any language in the guidance confusing or hard to understand? Should we add definitions or additional context to any language? ガイダンスの中で、分かりにくい言葉や理解しにくい言葉はあるか?用語の定義や文脈を追加する必要があるか?
Does the guidance sufficiently address privacy? このガイダンスは、プライバシーについて十分に対処しているか?
Does the guidance sufficiently address equity? このガイダンスは、衡平性について十分な配慮がなされているか?
What equity assessment methods, impact evaluation models, or metrics could we reference to better support organizations in preventing or detecting disparate impacts that could arise as a result of identity verification technologies or processes? ID 検証技術またはプロセスの結果として生じる可能性のある不平等な影響を防止または検出する組織をより良く支援するために、どのような衡平性評価方法、影響評価モデル、または測定基準を参照できるか?
What specific implementation guidance, reference architectures, metrics, or other supporting resources may enable more rapid adoption and implementation of this and future iterations of the Digital Identity Guidelines? デジタル ・アイデンティティ・ガイドラインの今回および今後の繰り返しの、より迅速な採用および実施を 可能にする具体的な実施ガイダンス、参照アーキテクチャ、測定基準、またはその他の支援リソースは何か?
What applied research and measurement efforts would provide the greatest impact on the identity market and advancement of these guidelines? どのような応用研究および測定の取り組みが、ID 市場およびこれらのガイドラインの進展に最 大の影響を与えるか?
Abstract (63-4) 要約(63-4)
These guidelines provide technical requirements for federal agencies implementing digital identity services and are not intended to constrain the development or use of standards outside of this purpose. The guidelines cover identity proofing and authentication of users (such as employees, contractors, or private individuals) interacting with government information systems over networks. They define technical requirements in each of the areas of identity proofing, registration, authenticators, management processes, authentication protocols, federation, and related assertions. This publication will supersede NIST Special Publication 800-63-3. このガイドラインは、デジタル ID サービスを実装する連邦機関のための技術要件を提供し、 この目的以外の標準の開発または使用を制限することを意図していない。このガイドラインは、ネットワーク上で政府情報システムと相互作用する利用者(職員、請負業者、私人など)の身元確認と認証を対象としている。このガイドラインは、身元確認、登録、認証子、管理プロセス、認証プロトコル、フェデレー ション、および関連アサーションの各分野における技術要件を定義している。この出版物は、NIST 特別刊行物 800-63-3 に取って代わるものである。
Abstract (63A-4) 概要(63A-4)
These guidelines provide technical requirements for federal agencies implementing digital identity services and are not intended to constrain the development or use of standards outside of this purpose. This guideline focuses on the enrollment and verification of an identity for use in digital authentication. Central to this is a process known as identity proofing in which an applicant provides evidence to a credential service provider (CSP) reliably identifying themselves, thereby allowing the CSP to assert that identification at a useful identity assurance level. This document defines technical requirements for each of three identity assurance levels. This publication will supersede NIST Special Publication (SP) 800-63A. このガイドラインは、デジタル ID サービスを実装する連邦機関のための技術要件を提供し、この目的以外の標準の開発または使用を制限することを意図していない。このガイドラインは、デジタル認証で使用するための ID の登録と検証に重点を置いている。この中心は、申請者がクレデンシャル・サービス・プロバイダ(CSP)に自分自身を確実に識別する証拠を提供し、それによって CSP が有用な ID保証レベルでその識別を主張できるようにする身元確認と呼ばれるプロセスである。この文書では、3 つの ID 保証レベルのそれぞれについて技術要件を定義している。本書は、NIST 特別刊行物(SP)800-63A に取って代わるものである。
Abstract (63B-4) 概要(63B-4)
These guidelines provide technical requirements for federal agencies implementing digital identity services and are not intended to constrain the development or use of standards outside of this purpose. These guidelines focus on the authentication of subjects interacting with government information systems over networks, establishing that a given claimant is a subscriber who has been previously authenticated. The result of the authentication process may be used locally by the system performing the authentication or may be asserted elsewhere in a federated identity system. This document defines technical requirements for each of the three authenticator assurance levels. This publication will supersede NIST Special Publication (SP) 800-63B. このガイドラインは、デジタル ID サービスを実装する連邦機関のための技術要件を提供し、この目的以外の標準の開発または使用を制約することを意図していない。このガイドラインは、ネットワークを介して政府情報システムと相互作用する対象者の認証に重点を置き、所定の請求者が以前に認証された加入者であることを確立する。認証プロセスの結果は、認証を実行するシステムによってローカルに使用されるか、または連合 ID システムの他の場所で主張される場合がある。本文書は、3 つの本人認証保証レベルのそれぞれについて技術要件を定義する。本書は、NIST 特別刊行物 (SP) 800-63B に取って代わるものである。
Abstract (63C-4) 概要 (63C-4)
These guidelines provide technical requirements for federal agencies implementing digital identity services and are not intended to constrain the development or use of standards outside of this purpose. This guideline focuses on the use of federated identity and the use of assertions to implement identity federations. Federation allows a given credential service provider to provide authentication attributes and (optionally) subscriber attributes to a number of separately-administered relying parties. Similarly, relying parties may use more than one credential service provider. This publication will supersede NIST Special Publication (SP) 800-63C. このガイドラインは、デジタル ID サービスを実装する連邦機関のための技術要件を提供し、この目的以外の標準の開発または使用を制約することを意図していない。このガイドラインは、ID 連携を実装するための連携 ID の使用とアサーションの使用に重点を置いている。連携により、特定のクレデンシャル・サービス・プロバイダは、認証属性および (オプションで)加入者属性を、別々に管理される多数の依拠当事者に提供することができる。同様に、依拠当事者は複数のクレデンシャル・サービス・プロバイダを使用することができる。この出版物は、NIST 特別刊行物 (SP) 800-63C に取って代わるものである。

 

 

・[PDF] SP 800-63-4 (Draft)

20221219-55332

・[PDF] SP 800-63A-4 (Draft)

20221219-55338

・[PDF] SP 800-63B-4 (Draft)

20221219-55343

・[PDF] SP 800-63C-4 (Draft)

20221219-55348

 

目次

SP 800-63-4 (Draft) Digital Identity Guidelines SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン
1. Purpose 1. 目的
2. Introduction 2. 序文
2.1. Scope & Applicability 2.1. 範囲と適用性
2.2. How to Use this Suite of SPs 2.2. このSPスイートの使用方法
2.3. Enterprise Risk Management Requirements and Considerations 2.3. エンタープライズリスクマネジメントの要件と考慮事項
2.3.1. Security 2.3.1. セキュリティ
2.3.2. Privacy 2.3.2. プライバシー
2.3.3. Equity 2.3.3. 公平性
2.3.4. Usability 2.3.4. ユーザビリティ
3. Definitions and Abbreviations 3. 定義と略語
4. Digital Identity Model 4. デジタル・アイデンティティ・モデル
4.1. Overview 4.1. 概要
4.2. Enrollment and Identity Proofing 4.2. 登録と身元確認
4.3. Authentication and Lifecycle Management 4.3. 本人認証とライフサイクル管理
4.3.1. Authenticators 4.3.1. 本人認証
4.3.2. Subscriber Accounts 4.3.2. サブスクライバ・アカウント
4.3.3. Authentication Process 4.3.3. 本人認証プロセス
4.4. Federation and Assertions 4.4. 連携とアサーション
4.4.1. Federation Benefits 4.4.1. 連携のメリット
4.4.2. Federation Protocols and Assertions 4.4.2. 連携プロトコルとアサーション
4.4.3. Relying Parties 4.4.3. リライイング・パーティー
5. Digital Identity Risk Management 5. デジタル・アイデンティティのリスクマネジメント
5.1. Conduct Initial Impact Assessment 5.1. 初期インパクトアセスメントの実施
5.1.1. Identify Impacted Entities 5.1.1. 影響を受ける事業者の特定
5.1.2. Identify Impact Categories and Potential Harms 5.1.2. 影響カテゴリー及び潜在的な損害の特定
5.1.3. Identify Potential Impact Levels 5.1.3. 潜在的な影響レベルの特定
5.1.4. Impact Analysis 5.1.4. 影響度分析
5.2. Select Initial Assurance Levels 5.2. 初期保証レベルの選択
5.2.1. Assurance Levels 5.2.1. 保証レベル
5.2.2. xAL Descriptions 5.2.2. xALの記述
5.2.3. Initial Assurance Level Selection 5.2.3. 初期保証レベルの選択
5.3. Tailor and Document Assurance Levels 5.3. 保証レベルの調整と文書化
5.3.1. Assess Privacy, Equity, Usability and Threats 5.3.1. プライバシー、公平性、使用性、及び脅威の評価
5.3.2. Identify Compensating Controls 5.3.2. 代償となるコントロールの特定
5.3.3. Identify Supplemental Controls 5.3.3. 補足的なコントロールの特定
5.3.4. Document Results - The Digital Identity Acceptance Statement 5.3.4. 結果の文書化 - デジタル・アイデンティティの承認ステートメント
5.4. Continuously Evaluate and Improve 5.4. 継続的な評価と改善
5.5. Cyber, Fraud, and Identity Program Integrity 5.5. サイバー、不正、およびアイデンティティ・プログラムの完全性
References 参考文献
General References 一般的な参考資料
Standards 標準規格
NIST Special Publications NISTの特別出版物
Federal Information Processing Standards 連邦情報処理規格
Appendix A. Definitions and Abbreviations 附属書 A. 定義と略語
A.1. Definitions A.1. 定義
A.2. Abbreviations A.2. 略語
Appendix B. Change Log 附属書 B. 変更履歴
B.1. SP 800-63-1 B.1. SP 800-63-1
B.2. SP 800-63-2 B.2. SP 800-63-2
B.3. SP 800-63-3 B.3. SP 800-63-3
B.4. SP 800-63-4 B.4. SP 800-63-4
   
SP 800-63A-4 (Draft) Digital Identity Guidelines: Enrollment and Identity Proofing SP 800-63A-4 (ドラフト) デジタル・アイデンティティ・ガイドライン:登録と身元確認
1. Purpose 1. 目的
2. Introduction 2. 序文
2.1. Expected Outcomes of Identity Proofing 2.1. 身元確認に期待される成果
2.2. Identity Assurance Levels 2.2. アイデンティティ保証レベル
3. Definitions and Abbreviations 3. 定義と略語
4. Identity Resolution, Validation, and Verification 4. アイデンティティの解決、検証、および妥当性確認
4.1. Identity Proofing and Enrollment 4.1. 身元確認と登録
4.1.1. Process Flow 4.1.1. プロセスの流れ
4.2. Identity Resolution 4.2. アイデンティティーの解決
4.3. Identity Validation and Identity Evidence Collection 4.3. ID 検証と ID の証拠収集
4.3.1. Characteristics of Acceptable Physical Evidence 4.3.1. 許容される物的証拠の特徴
4.3.2. Characteristics of Acceptable Digital Evidence 4.3.2. 許容されるデジタル証拠の特徴
4.3.3. Evidence Strength Requirements 4.3.3. 証拠強度要件
4.3.4. Identity Evidence and Attribute Validation 4.3.4. アイデンティティの証拠と属性検証
4.4. Identity Verification 4.4. ID 検証
4.4.1. Identity Verification Methods 4.4.1. 本人確認方法
5. Identity Assurance Level Requirements 5. 身元保証レベル要件
5.1. General Requirements 5.1. 一般要件
5.1.1. Identity Service Documentation and Records 5.1.1. アイデンティティ・サービスの文書と記録
5.1.2. General Privacy Requirements 5.1.2. 一般的なプライバシー要件
5.1.3. General Equity Requirements 5.1.3. 一般的な公平性の要件
5.1.4. General Security Requirements 5.1.4. セキュリティに関する一般的な要求事項
5.1.5. Additional Requirements for Federal Agencies 5.1.5. 連邦政府機関に対する追加要件
5.1.6. Requirements for Enrollment Codes 5.1.6. 登録コードに関する要件
5.1.7. Requirements for Notifications of Identity Proofing 5.1.7. 身元確認の通知に関する要件
5.1.8. Requirements for Use of Biometrics 5.1.8. バイオメトリクスの使用に関する要求事項
5.1.9. Trusted Referees and Applicant References 5.1.9. 信頼できる照会先と申請者の照会先
5.1.10. Requirements for Interacting with Minors 5.1.10. 未成年者との接点に関する要求事項
5.2. Identity Proofing Process 5.2. 身元確認プロセス
5.3. Identity Assurance Level 1 5.3. 身元保証レベル 1
5.3.1. Automated Attack Prevention 5.3.1. 自動的な攻撃防御
5.3.2. Evidence and Core Attributes Collection Requirements 5.3.2. 証拠とコアアトリビュートの収集要件
5.3.3. Evidence and Core Attributes Validation Requirements 5.3.3. 証拠スとコア属性の検証要件
5.3.4. Identity Verification Requirements 5.3.4. 本人確認要件
5.3.5. Notification of Proofing Requirement 5.3.5. プルーフィング要件に関する通知
5.4. Identity Assurance Level 2 5.4. アイデンティティ保証レベル 2
5.4.1. Automated Attack Prevention 5.4.1. 自動的な攻撃防御
5.4.2. Evidence and Core Attribute Collection Requirements 5.4.2. 証拠とコア属性の収集要件
5.4.3. Evidence and Core Attributes Validation Requirements 5.4.3. 証拠とコア属性の検証要件
5.4.4. Identity Verification Requirements 5.4.4. アイデンティティ検証要件
5.4.5. Notification of Proofing Requirement 5.4.5. プルーフィング要件に関する通知
5.5. Identity Assurance Level 3 5.5. アイデンティティ保証レベル 3
5.5.1. Automated Attack Prevention 5.5.1. 自動的な攻撃防御
5.5.2. Evidence and Core Attributes Collection Requirements 5.5.2. 証拠とコアアトリビュートの収集要件
5.5.3. Validation Requirements 5.5.3. 検証要件
5.5.4. Identity Verification Requirements 5.5.4. 本人確認要件
5.5.5. Notification of Proofing Requirement 5.5.5. プルーフィング要件に関する通知
5.5.6. Biometric Collection 5.5.6. バイオメトリック収集
5.5.7. In-person Proofing Requirements 5.5.7. 対面での証明の必要性
5.5.8. Requirements for IAL3 Supervised Remote Identity Proofing 5.5.8. IAL3 監視下遠隔身元確認の要件
5.6. Summary of Requirements 5.6. 要件のまとめ
6. Subscriber Accounts 6. 加入者アカウント
6.1. Subscriber Accounts 6.1. 加入者アカウント
6.2. Subscriber Account Access 6.2. 加入者アカウントへのアクセス
6.3. Subscriber Account Lifecycle 6.3. 加入者アカウントのライフサイクル
6.3.1. Subscriber Account Activity 6.3.1. 加入者アカウント活動
6.3.2. Subscriber Account Termination 6.3.2. 加入者アカウントの終了
7. Threats and Security Considerations 7. 脅威とセキュリティに関する考察
7.1. Threat Mitigation Strategies 7.1. 脅威の緩和策
7.2. Collaboration with Adjacent Programs 7.2. 隣接するプログラムとの協働
8. Privacy Considerations 8. プライバシーへの配慮
8.1. Collection and Data Minimization 8.1. 収集とデータの最小化
8.1.1. Social Security Numbers 8.1.1. 社会保障番号
8.2. Notice and Consent 8.2. 通知と同意
8.3. Use Limitation 8.3. 使用制限
8.4. Redress 8.4. 救済
8.5. Privacy Risk Assessment 8.5. プライバシーリスク評価
8.6. Agency-Specific Privacy Compliance 8.6. 機関特有のプライバシーコンプライアンス
9. Usability Considerations 9. ユーザビリティに関する考慮事項
9.1. General User Considerations During Enrollment and Identity Proofing 9.1. 登録および身元確認中の一般的なユーザーの考慮事項 9.2.
9.2. Pre-Enrollment Preparation 9.2. 登録前の準備
9.3. Enrollment and Proofing Session 9.3. 登録と証明のセッション
9.4. Post-Enrollment 9.4. 登録後
10.Equity Considerations 10.公平性に関する考慮事項
10.1. Equity and Identity Resolution 10.1. 公平性とアイデンティティの解決
10.2. Equity and Identity Validation 10.2. 衡平性と同一性の検証
10.3. Equity and Identity Verification 10.3. 公平性と同一性の検証
10.4. Equity and User Experience 10.4. 公平性とユーザーエクスペリエンス
References 参考文献
General References 一般的な参考資料
Standards 標準規格
NIST Special Publications NISTの特別出版物
Appendix A. Change Log 附属書 A. 変更履歴
   
SP 800-63B-4 (Draft) Digital Identity Guidelines: Authentication and Lifecycle Management SP 800-63B-4 (ドラフト) デジタル・アイデンティティ・ガイドライン: 本人認証とライフサイクル管理
1. Purpose 1. 目的
2. Introduction 2. 序文
3. Definitions and Abbreviations 3. 定義と略語
4. Authentication Assurance Levels 4. 本人認証保証レベル
4.1. Authentication Assurance Level 1 4.1. 認証保証レベル 1
4.1.1. Permitted Authenticator Types 4.1.1. 許可される認証者タイプ
4.1.2. Authenticator and Verifier Requirements 4.1.2. 認証機関とベリファイアの要件
4.1.3. Reauthentication 4.1.3. 再認証
4.1.4. Security Controls 4.1.4. セキュリティ制御
4.1.5. Records Retention Policy 4.1.5. 記録保持ポリシー
4.2. Authentication Assurance Level 2 4.2. 本人認証保証レベル 2
4.2.1. Permitted Authenticator Types 4.2.1. 許可された本人認証の種類
4.2.2. Authenticator and Verifier Requirements 4.2.2. 本人認証およびベリファイアの要件
4.2.3. Reauthentication 4.2.3. 再認証
4.2.4. Security Controls 4.2.4. セキュリティ制御
4.2.5. Records Retention Policy 4.2.5. 記録保持ポリシー
4.3. Authentication Assurance Level 3 4.3. 本人認証保証レベル 3
4.3.1. Permitted Authenticator Types 4.3.1. 許可された本人認証の種類
4.3.2. Authenticator and Verifier Requirements 4.3.2. 本人認証およびベリファイアの要件
4.3.3. Reauthentication 4.3.3. 再認証
4.3.4. Security Controls 4.3.4. セキュリティ制御
4.3.5. Records Retention Policy 4.3.5. 記録保持ポリシー
4.4. Privacy Requirements 4.4. プライバシーに関する要求事項
4.5. Summary of Requirements 4.5. 要求事項の概要
5. Authenticator and Verifier Requirements 5. 本人認証とベリファイアの要件
5.1. Requirements by Authenticator Type 5.1. 認証器タイプ別要件
5.1.1. Memorized Secrets 5.1.1. 暗記された秘密(Memorized Secrets
5.1.2. Look-Up Secrets 5.1.2. ルックアップシークレット
5.1.3. Out-of-Band Devices 5.1.3. 帯域外装置
5.1.4. Single-Factor OTP Device 5.1.4. 一要素 OTP デバイス
5.1.5. Multi-Factor OTP Devices 5.1.5. 多要素ワンタイムパスワードデバイス
5.1.6. Single-Factor Cryptographic Software 5.1.6. シングルファクター暗号化ソフトウェア
5.1.7. Single-Factor Cryptographic Devices 5.1.7. 単一要素暗号化装置
5.1.8. Multi-Factor Cryptographic Software 5.1.8. 多要素暗号化ソフトウェア
5.1.9. Multi-Factor Cryptographic Devices 5.1.9. 多要素暗号化装置
5.2. General Authenticator Requirements 5.2. 本人認証の一般要件
5.2.1. Physical Authenticators 5.2.1. 物理的認証子
5.2.2. Rate Limiting (Throttling) 5.2.2. レート制限(スロットル)
5.2.3. Use of Biometrics 5.2.3. バイオメトリクスの使用
5.2.4. Attestation 5.2.4. 認証
5.2.5. Phishing (Verifier Impersonation) Resistance 5.2.5. フィッシング(検証者のなりすまし)耐性
5.2.6. Verifier-CSP Communications 5.2.6. 検証者-CSP 間通信
5.2.7. Verifier Compromise Resistance 5.2.7. ベリファイアの危殆化に対する耐性
5.2.8. Replay Resistance 5.2.8. リプレイ耐性
5.2.9. Authentication Intent 5.2.9. 本人認証の意図
5.2.10. Restricted Authenticators 5.2.10. 制限された本人認証手段
5.2.11. Activation Secrets 5.2.11. アクティベーション・シークレット
5.2.12. Connected Authenticators 5.2.12. 接続された認証者
6. Authenticator Lifecycle Management 6. 本人認証のライフサイクル管理
6.1. Authenticator Binding 6.1. 本人認証バインディング
6.1.1. Binding at Enrollment 6.1.1. 登録時のバインディング
6.1.2. Post-Enrollment Binding 6.1.2. 登録後のバインディング
6.1.3. Binding to a Subscriber-provided Authenticator 6.1.3. サブスクライバが提供する本人認証機能へのバインディング
6.1.4. Renewal 6.1.4. 更新
6.2. Loss, Theft, Damage, and Unauthorized Duplication 6.2. 紛失、盗難、損傷、および不正な複製
6.3. Expiration 6.3. 有効期限
6.4. Invalidation 6.4. 無効化
7. Session Management 7. セッション管理
7.1. Session Bindings 7.1. セッションバインディング
7.1.1. Browser Cookies 7.1.1. ブラウザクッキー
7.1.2. Access Tokens 7.1.2. アクセストークン
7.1.3. Device Identification 7.1.3. デバイスの識別
7.2. Reauthentication 7.2. 再認証
7.2.1. Reauthentication from a Federation or Assertion 7.2.1. 連携またはアサーションからの再認証
8. Threats and Security Considerations 8. 脅威とセキュリティに関する考察
8.1. Authenticator Threats 8.1. 本人認証の脅威
8.2. Threat Mitigation Strategies 8.2. 脅威の緩和策
8.3. Authenticator Recovery 8.3. 本人認証のリカバリ
8.4. Session Attacks 8.4. セッション攻撃
9. Privacy Considerations 9. プライバシーに関する考察
9.1. Privacy Risk Assessment 9.1. プライバシーリスク評価
9.2. Privacy Controls 9.2. 個人情報保護管理
9.3. Use Limitation 9.3. 使用制限
9.4. Agency-Specific Privacy Compliance 9.4. 機関特有のプライバシーコンプライアンス
10.Usability Considerations 10.ユーザビリティに関する考慮事項
10.1. Usability Considerations Common to Authenticators 10.1. 本人認証に共通するユーザビリティの考慮事項
10.2. Usability Considerations by Authenticator Type 10.2. 認証機関タイプ別のユーザビリティに関する考慮事項
10.2.1. Memorized Secrets 10.2.1. 記憶された秘密(Memorized Secrets
10.2.2. Look-Up Secrets 10.2.2. ルックアップシークレット(Look-Up Secrets
10.2.3. Out-of-Band 10.2.3. 帯域外
10.2.4. Single-Factor OTP Device 10.2.4. 一要素 OTP デバイス
10.2.5. Multi-Factor OTP Device 10.2.5. 多要素ワンタイムパスワードデバイス
10.2.6. Single-Factor Cryptographic Software 10.2.6. 単一要素暗号化ソフトウェア
10.2.7. Single-Factor Cryptographic Device 10.2.7. 単一要素暗号化装置
10.2.8. Multi-Factor Cryptographic Software 10.2.8. 多要素暗号化ソフトウェア
10.2.9. Multi-Factor Cryptographic Device 10.2.9. 多要素暗号化装置
10.3. Summary of Usability Considerations 10.3. ユーザビリティに関する考察のまとめ
10.4. Biometrics Usability Considerations 10.4. バイオメトリクスのユーザビリティに関する考察
11.Equity Considerations 11.公平性に関する考察
References 参考文献
General References 一般的な参考文献
Standards 標準規格
NIST Special Publications NIST特別出版物
Federal Information Processing Standards 連邦情報処理規格
Appendix A. Strength of Memorized Secrets 附属書A. 暗記された秘密の強さ
A.1. Introduction A.1. 序文
A.2. Length A.2. 長さ
A.3. Complexity A.3. 複雑さ
A.4. Central vs. Local Verification A.4. 中央検証 vs. 局所検証
A.5. Summary A.5. まとめ
Appendix B. Change Log 附属書B. 変更履歴
   
SP 800-63C-4 (Draft) Digital Identity Guidelines: Federation and Assertions SP 800-63C-4 (ドラフト) デジタル・アイデンティティ・ガイドライン:連携とアサーション
1. Purpose 1. 目的
2. Introduction 2. 序文
3. Definitions and Abbreviations 3. 定義と略語
4. Federation Assurance Level (FAL) 4. 連携保証レベル(FAL)
4.1. Federation Assurance Level 1 (FAL1) 4.1. 連携保証レベル 1 (FAL1)
4.2. Federation Assurance Level 2 (FAL2) 4.2. 連携保証レベル 2 (FAL2)
4.3. Federation Assurance Level 3 (FAL3) 4.3. 連携保証レベル 3 (FAL3)
4.4. Requesting and Processing xALs 4.4. xALの要求と処理
5. Federation 5. 連携
5.1. Trust Agreements 5.1. 信頼合意書
5.1.1. Bilateral Trust Agreements 5.1.1. 二組織間信頼合意書
5.1.2. Multilateral Trust Agreements 5.1.2. 多組織間信頼合意書
5.1.3. Proxied Federation 5.1.3. 代理人による連携
5.2. Registration 5.2. 登録
5.2.1. Manual Registration 5.2.1. 手動登録
5.2.2. Dynamic Registration 5.2.2. 動的登録
5.3. Authentication and Attribute Disclosure 5.3. 本人認証と属性開示
5.3.1. IdP Allowlists of RPs 5.3.1. RP の IdP 許可リスト
5.3.2. IdP Blocklists of RPs 5.3.2. RP の IdP 不許可リスト
5.3.3. IdP Runtime Decisions 5.3.3. IdP 実行時決定事項
5.3.4. RP Allowlists of IdPs 5.3.4. IdP の RP 許可リスト
5.3.5. RP Blocklists of IdPs 5.3.5. IdP の RP 不許可リスト
5.3.6. RP Runtime Decisions 5.3.6. RP 実行時決定事項
5.4. RP Subscriber Accounts 5.4. RP 加入者アカウント
5.4.1. Provisioning Models 5.4.1. プロビジョニングモデル
5.4.2. Attribute Synchronization 5.4.2. 属性の同期化
5.4.3. Provisioning APIs 5.4.3. プロビジョニングAPI
5.4.4. Attribute Collection 5.4.4. 属性の収集
5.4.5. Time-based Removal of RP Subscriber Accounts 5.4.5. RP加入者アカウントの時間ベースの削除
5.5. Privacy Requirements 5.5. プライバシー要件
5.6. Reauthentication and Session Requirements in Federated Environments 5.6. 統合環境における再認証とセッションの要件
5.7. Shared Signaling 5.7. シグナリングの共有
6. Assertions 6. アサーション(Assertion)
6.1. Assertion Binding 6.1. アサーションバインディング
6.1.1. Bearer Assertions 6.1.1. ベアラアサーション
6.1.2. Bound Authenticators 6.1.2. 本人認証のバインド
6.2. Assertion Protection 6.2. アサーションの保護
6.2.1. Assertion Identifier 6.2.1. アサーションの識別子
6.2.2. Signed Assertion 6.2.2. 署名されたアサーション
6.2.3. Encrypted Assertion 6.2.3. 暗号化されたアサーション
6.2.4. Audience Restriction 6.2.4. 視聴者制限
6.2.5. Pairwise Pseudonymous Identifiers 6.2.5. 対の疑似同名識別子
6.3. Identity APIs 6.3. ID API
6.3.1. Attribute Providers 6.3.1. 属性プロバイダー
7. Assertion Presentation 7. アサーションの提示
7.1. Back-Channel Presentation 7.1. バックチャンネルでの提示
7.2. Front-Channel Presentation 7.2. フロントチャンネル表示
7.3. Protecting Information 7.3. 情報の保護
8. Security 8. セキュリティ
8.1. Federation Threats 8.1. 連携の脅威
8.2. Federation Threat Mitigation Strategies 8.2. 連携脅威の緩和策
9. Privacy Considerations 9. プライバシーに関する考察
9.1. Minimizing Tracking and Profiling 9.1. 追跡とプロファイリングの最小化
9.2. Notice and Consent 9.2. 通知と同意
9.3. Data Minimization 9.3. データの最小化
9.4. Agency-Specific Privacy Compliance 9.4. 機関特有のプライバシーコンプライアンス
9.5. Blinding in Proxied Federation 9.5. プロキシされた連携における盲検化
10.Usability Considerations 10.ユーザビリティの考慮事項
10.1. General Usability Considerations 10.1. 一般的なユーザビリティの考慮事項
10.2. Specific Usability Considerations 10.2. 特定のユーザビリティに関する考察
10.2.1. User Perspectives on Online Identity 10.2.1. オンライン・アイデンティティに関するユーザーの視点
10.2.2. User Perspectives of Trust and Benefits 10.2.2. 信頼と利益に関するユーザーの視点
10.2.3. User Mental Models and Beliefs 10.2.3. ユーザーのメンタルモデルと信念
11.Equity Considerations 11.公平性に関する考察
12.Examples 12.事例
12.1. Security Assertion Markup Language (SAML) 12.1. SAML(セキュリティアサーションマークアップ言語)
12.2. Kerberos Tickets 12.2. ケルベロスチケット
12.3. OpenID Connect 12.3. OpenIDコネクト
References 参考文献
General References 一般的な参考資料
Standards 標準規格
NIST Special Publications NIST特別出版物
Federal Information Processing Standards 連邦情報処理規格
Appendix A. Changelog 附属書A 変更履歴

 

 


 

20221219-65559 20221219-65643

NIST SP 800-63-4 Draft 

 


Identity Proofing Process (身元確認プロセス)

20221219-70034

NIST SP800-63A-4 Draft


信頼できるもう一つのデバイスを利用した本人認証の方法2種

 

20221219-70606
20221219-70628

NIST SP 800-63B-4 Draft


連携

20221219-71242

NIST SP 800-63C-4 Draft

 

手動登録・動的登録

20221219-71704 20221219-71733

NIST SP 800-63C-4 Draft

 


 

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

・2021.06.17 NISTIR 8335 (Draft) 公共安全機関 (PSO) のためのIDaaS

・2021.06.11 NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について

・2020.09.24 米国NSAが「多要素認証サービスの選択と安全な使用」に関する連邦政府向けのガイダンスを公表していますね。。。

・2020.06.11 NIST SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines

・2020.03.17 ENISA eIDAS準拠のeIDソリューションに関する報告書

・2020.03.07 NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました

| | Comments (0)

2022.12.18

国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

こんにちは、丸山満彦です。

国家安全保障戦略が閣議決定されましたね。。。経済が発展していない中で、防衛費を増やし軍事力を増加するという方向なんですよね。。。外交、インテリジェンス、軍事、経済の総量、バランスの再定義がされたってことなんですかね。。。

30年、経済発展していないというのが痛いですよね。。。(我々世代の責任が大きいのかもしれませんが。。。)

英語版も同時に公表されていますね。。。方針レベルでは事前に確認をしながら...ってことなのでしょうかね。。。米国の方は英語版をベースに理解をするということなのでしょうね。。。

 

内閣官房

国家安全保障戦略について

・[PDF] 「国家安全保障戦略」概要

20221217-142927

 

・[PDF] 国家安全保障戦略」(令和4年12月16日 国家安全保障会議・閣議決定)

20221217-143247

 

・[PDF] National Security Strategy(NSS) -English Version-

20221217-143454

 

目次...

Ⅰ 策定の趣旨

Ⅱ 我が国の国益

Ⅲ 我が国の安全保障に関する基本的な原則

Ⅳ 我が国を取り巻く安全保障環境と我が国の安全保障上の課題
1 グローバルな安全保障環境と課題
2 インド太平洋地域における安全保障環境と課題
 ⑴ インド太平洋地域における安全保障の概観
 ⑵ 中国の安全保障上の動向
 ⑶ 北朝鮮の安全保障上の動向
 ⑷ ロシアの安全保障上の動向

Ⅴ 我が国の安全保障上の目標

Ⅵ 我が国が優先する戦略的なアプローチ
1 我が国の安全保障に関わる総合的な国力の主な要素
2 戦略的なアプローチとそれを構成する主な方策
 ⑴ 危機を未然に防ぎ、平和で安定した国際環境を能動的に創出し、自由で開かれた国際秩序を強化するための外交を中心とした取組の展開
  ア 日米同盟の強化
  イ 自由で開かれた国際秩序の維持・発展と同盟国・同志国等との連携の強化
  ウ 我が国周辺国・地域との外交、領土問題を含む諸懸案の解決に向けた取組の強化
  エ 軍備管理・軍縮・不拡散
  オ 国際テロ対策カ 気候変動対策キ ODAを始めとする国際協力の戦略的な活用ク 人的交流等の促進
 ⑵ 我が国の防衛体制の強化
  ア 国家安全保障の最終的な担保である防衛力の抜本的強化
  イ 総合的な防衛体制の強化との連携等
  ウ いわば防衛力そのものとしての防衛生産・技術基盤の強化
  エ 防衛装備移転の推進
  オ 防衛力の中核である自衛隊員の能力を発揮するための基盤の強化
 ⑶ 米国との安全保障面における協力の深化
 ⑷ 我が国を全方位でシームレスに守るための取組の強化
  ア サイバー安全保障分野での対応能力の向上
  イ 海洋安全保障の推進と海上保安能力の強化
  ウ 宇宙の安全保障に関する総合的な取組の強化
  エ 技術力の向上と研究開発成果の安全保障分野での積極的な活用のための官民の連携の強化
  オ 我が国の安全保障のための情報に関する能力の強化
  カ 有事も念頭に置いた我が国国内での対応能力の強化
  キ 国民保護のための体制の強化
  ク 在外邦人等の保護のための体制と施策の強化
  ケ エネルギーや食料など我が国の安全保障に不可欠な資源の確保
 ⑸ 自主的な経済的繁栄を実現するための経済安全保障政策の促進
 ⑹ 自由、公正、公平なルールに基づく国際経済秩序の維持・強化
 ⑺ 国際社会が共存共栄するためのグローバルな取組
  ア 多国間協力の推進、国際機関や国際的な枠組みとの連携の強化
  イ 地球規模課題への取組

Ⅶ 我が国の安全保障を支えるために強化すべき国内基盤
1 経済財政基盤の強化
2 社会的基盤の強化
3 知的基盤の強化

Ⅷ 本戦略の期間・評価・修正

Ⅸ 結語

 

サイバーの部分もありますね。。。

(4) Strengthening Efforts to Seamlessly Protect Japan in All Directions  ⑷ 我が国を全方位でシームレスに守るための取組の強化 
In the current security environment, the boundaries between military and nonmilitary, peacetime and contingency, have become blurred. Hybrid warfare is taking place, and gray zone situations are constantly arising. Japan will seamlessly protect its national interests by promoting cross-governmental policies in diverse fields, including cyber, maritime and space domains, technology, intelligence, and ensuring the safety of its people at home and abroad.   軍事と非軍事、有事と平時の境目が曖昧になり、ハイブリッド戦が展開され、グレーゾーン事態が恒常的に生起している現在の安全保障環境において、サイバー空間・海洋・宇宙空間、技術、情報、国内外の国民の安全確保等の多岐にわたる分野において、政府横断的な政策を進め、我が国の国益を隙なく守る。 
(i) Improving Response Capabilities in the Field of Cybersecurity  ア サイバー安全保障分野での対応能力の向上 
In order to ensure secure and stable use of cyberspace, especially the security of the nation and critical infrastructures, the response capabilities in the field of cybersecurity should be strengthened equal to or surpassing the level of leading Western countries.   サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保するために、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる。 
Specifically, in order to be able to respond to emerging cyber threats at any time, Japan will first establish a mechanism to continuously assess the information systems of government agencies, to improve measures against cyber threats as necessary, and to constantly manage vulnerabilities of government agencies’ information systems. As part of these efforts, the Government will continue to enhance defense throughout the lifecycle of information systems of government agencies, including those used in the fields of diplomacy, defense, and intelligence, from installation to disposal, while also promoting the development and effective use of human resources inside and outside the Government, by actively adopting cutting-edge concepts and technologies related to cybersecurity at all times.   具体的には、まずは、最新のサイバー脅威に常に対応できるようにするため、政府機関のシステムを常時評価し、政府機関等の脅威対策やシステムの脆弱性等を随時是正するための仕組みを構築する。その一環として、サイバーセキュリティに関する世界最先端の概念・技術等を常に積極的に活用する。そのことにより、外交・防衛・情報の分野を始めとする政府機関等のシステムの導入から廃棄までのライフサイクルを通じた防御の強化、政府内外の人材の育成・活用の促進等を引き続き図る。 
In addition, Japan will introduce active cyber defense for eliminating in advance the possibility of serious cyberattacks that may cause national security concerns to the Government and critical infrastructures and for preventing the spread of damage in case of such attacks, even if they do not amount to an armed attack. For this purpose, the Government will take further steps to develop information gathering and analysis capabilities in the field of cybersecurity and establish systems to implement active cyber defense. Therefore, the Government will advance efforts to consider to realize necessary measures including the following (a) to (c):  その上で、武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する。そのために、サイバー安全保障分野における情報収集・分析能力を強化するとともに、能動的サイバー防御の実施のための体制を整備することとし、以下の(ア)から(ウ)までを含む必要な措置の実現に向け検討を進める。  
(a)         Japan will advance efforts on information sharing to the Government in case of cyberattacks among the private sector including critical infrastructures, as well as coordinating and supporting incident response activities for the private sector.   (ア) 重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、支援等の取組を強化するなどの取組を進める。 
(b)         Japan will take necessary actions to detect servers and others suspected of being abused by attackers by utilizing information on communications services provided by domestic telecommunications providers.  (イ) 国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃者による悪用が疑われるサーバ等を検知するために、所要の取組を進める。 
(c)         For serious cyberattacks that pose security concerns against the Government, critical infrastructures, and others, the Government will be given the necessary authorities that allow it to penetrate and neutralize attacker's servers and others in advance to the extent possible.  (ウ) 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。 
In order to realize and promote these efforts, including active cyber defense, the National center for Incident readiness and Strategy for Cybersecurity (NISC) will be constructively restructured to establish a new organization which will comprehensively coordinate policies in the field of cybersecurity, in a centralized manner. Then, the Government will work on legislation and strengthen operations for the purpose of materializing these new efforts in the field of cybersecurity. These measures will contribute to the reinforcement of a comprehensive defense architecture.   能動的サイバー防御を含むこれらの取組を実現・促進するために、内閣サイバーセキュリティセンター(NISC)を発展的に改組し、サイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置する。そして、これらのサイバー安全保障分野における新たな取組の実現のために法制度の整備、運用の強化を図る。これらの取組は総合的な防衛体制の強化に資するものとなる。 
In addition, the Government will improve coordination with other policies that contribute to the enhancement of cybersecurity, such as economic security and the enhancement of technical capabilities related to national security.   また、経済安全保障、安全保障関連の技術力の向上等、サイバー安全保障の強化に資する他の政策との連携を強化する。 
Furthermore, the Government will continue to work for the enhancement of information gathering and analysis, attribution and its public announcement, as well as formulation of international frameworks and rules in a coordinated manner with its ally, like-minded countries and others.  さらに、同盟国・同志国等と連携した形での情報収集・分析の強化、攻撃者の特定とその公表、国際的な枠組み・ルールの形成等のために引き続き取り組む。 

 

全体の対訳

National Security Strategy of Japan  国家安全保障戦略
December, 2022  令和4年12月16日
I Purpose  Ⅰ 策定の趣旨 
The international community is facing changes defining an era. We are reminded once again that globalization and interdependence alone cannot serve as a guarantor for peace and development across the globe. The free, open, and stable international order, which expanded worldwide in the post-Cold War era, is now at stake with serious challenges amidst historical changes in power balances and intensifying geopolitical competitions. Meanwhile, a host of issues such as climate change and