« 厚生労働省 医療情報システムの安全管理に関するガイドライン 第6.0版(案) の審議(第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料) | Main | 総務省 電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集 »

2023.03.24

米国 FTC クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集

こんにちは、丸山満彦です。

米国のFTC(連邦取引委員会)が、クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集をおこなっていますね。。。

競争」に関する事項10問、「セキュリティ」に関する事項10問の合わせて、20問の質問事項があります。。。

こういう意見募集の仕方もありですね。。。これならウェブホームでもできそうですね。。。

 

U.S. Federal Trade Commission

・2023.03.22 FTC Seeks Comment on Business Practices of Cloud Computing Providers that Could Impact Competition and Data Security

FTC Seeks Comment on Business Practices of Cloud Computing Providers that Could Impact Competition and Data Security FTC、競争とデータセキュリティに影響を与える可能性のあるクラウドコンピューティング・プロバイダーのビジネス慣行に関するコメントを募集中
Agency staff seek comment on cloud computing impact on specific industries including healthcare, finance, transportation, e-commerce and defense クラウドコンピューティングが医療、金融、運輸、電子商取引、防衛など特定の産業に与える影響について意見を求める。
The Federal Trade Commission staff are seeking information on the business practices of cloud computing providers including issues related to the market power of these companies, impact on competition, and potential security risks. 連邦取引委員会のスタッフは、クラウドコンピューティングプロバイダーの市場力、競争への影響、潜在的なセキュリティリスクに関する問題を含め、クラウドコンピューティングプロバイダーのビジネス慣行に関する情報を求めている。
In a Request for Information, FTC staff are seeking information about the competitive dynamics of cloud computing, the extent to which certain segments of the economy are reliant on cloud service providers, and the security risks associated with the industry’s business practices. In addition to the potential impact on competition and data security, FTC staff are also interested in the impact of cloud computing on specific industries including healthcare, finance, transportation, e-commerce, and defense. FTCのスタッフは、Request for Informationの中で、クラウドコンピューティングの競争力学、経済の特定の分野がクラウドサービスプロバイダーに依存している程度、業界の商習慣に関連するセキュリティリスクに関する情報を求めている。FTCのスタッフは、競争やデータセキュリティへの潜在的な影響に加え、ヘルスケア、金融、輸送、電子商取引、防衛などの特定の業界におけるクラウドコンピューティングの影響にも関心を持っている。
“Large parts of the economy now rely on cloud computing services for a range of services,” said Stephanie T. Nguyen, the FTC’s Chief Technology Officer. “The RFI is aimed at better understanding the impact of this reliance, the broader competitive dynamics in cloud computing, and potential security risks in the use of cloud.” FTCの最高技術責任者であるStephanie T. Nguyenは、以下のようにのべている。「現在、経済の大部分は、さまざまなサービスにおいてクラウドコンピューティングサービスに依存している。今回のRFIは、この依存の影響、クラウドコンピューティングにおける広範な競争力学、クラウド利用における潜在的なセキュリティリスクをよりよく理解することを目的としている。」
Cloud computing, which is used by a wide range of industries for on-demand access to data storage, servers, networks, and more, is increasingly central to many areas of the economy. The agency has brought several cases against companies that failed to implement basic security safeguards to protect data they stored on third-party cloud computing services including recent cases involving the alcohol delivery platform Drizly and education technology provider Chegg. The FTC has also issued guidance to businesses on steps they can take to secure and protect data stored in the cloud. The RFI will allow the agency to gather more information and insights on cloud computing as a whole. データストレージ、サーバー、ネットワークなどへのオンデマンドアクセスのために幅広い産業で利用されているクラウドコンピューティングは、経済の多くの分野でますます中心的な存在になっている。FTCは、アルコール配送プラットフォームDrizlyや教育技術プロバイダーCheggに関する最近の事例を含め、第三者のクラウドコンピューティングサービスに保存するデータを保護するための基本的なセキュリティ保護措置を実施しなかった企業に対して、いくつかの訴訟を起こしている。また、FTCは、クラウドに保存されたデータを安全に保護するために企業が講じるべき措置に関するガイダンスを発表している。今回のRFIにより、同機関はクラウドコンピューティング全体に関するより多くの情報と洞察を収集することができる。
Among the topics the FTC is seeking comment on include: FTCがコメントを求めているテーマには、以下のようなものがある:
・the extent to which particular segments of the economy are reliant on a small handful of cloud service providers; ・経済界の特定の分野が、少数のクラウドサービスプロバイダーにどの程度依存しているか;
・the ability of cloud customers to negotiate their contracts with cloud providers or are experiencing take-it-or-leave it standard contracts; ・クラウド利用者がクラウドプロバイダーと契約交渉する能力、または標準的な契約を締結していること;
・incentives providers offer customers to obtain more of their cloud services from a single provider; ・プロバイダーが顧客に提供する、より多くのクラウドサービスを単一のプロバイダーから取得するためのインセンティブ;
・the extent to which cloud providers compete on their ability to provide secure storage for customer data; ・クラウドプロバイダーが顧客データの安全な保存を提供する能力でどの程度競争するか;
・the types of products or services cloud providers offer based on, dependent on, or related to artificial intelligence; and the extent to which those products or services are proprietary or provider agnostic; and ・クラウドプロバイダーが提供する、人工知能に基づく、依存する、または関連する製品またはサービスの種類、およびそれらの製品またはサービスが独自またはプロバイダーに依存しない程度、および
・the extent to which cloud providers identify and notify their customers of security risks related to security design, implementation, or configuration. ・クラウドプロバイダーが、セキュリティ設計、実装、構成に関連するセキュリティリスクをどの程度特定し、顧客に通知しているか。
The public will have until May 22, 2023 to submit a comment. Comments will be posted to Regulations.gov after they are submitted. 一般市民は、2023年5月22日までにコメントを提出することができる。コメントは提出後、Regulations.govに掲載される予定である。
Staff from across the FTC’s Office of Technology, Bureau of Competition, and Bureau of Consumer Protection are collaborating on this effort. この取り組みには、FTCの技術局、競争局、消費者保護局を横断するスタッフが協力している。
The Federal Trade Commission works to promote competition, and protect and educate consumers. You can learn more about consumer topics and report scams, fraud, and bad business practices online at ReportFraud.ftc.gov. Follow the FTC on social media, read our blogs and subscribe to press releases for the latest FTC news and resources. 連邦取引委員会は、競争を促進し、消費者を保護・教育するために活動している。ReportFraud.ftc.govでは、消費者トピックについて詳しく学び、詐欺、詐欺、悪質な商習慣をオンラインで報告することができる。FTCの最新ニュースやリソースを入手するには、ソーシャルメディアでFTCをフォローし、ブログを読み、プレスリリースを購読すること。
Press Release Reference 参照
FTC Finalizes Order with Online Alcohol Marketplace for Security Failures that Exposed Personal Data of 2.5 million People ・FTC、250万人分の個人情報を流出させたセキュリティ障害でオンラインアルコール市場に対する命令を確定
FTC Finalizes Order with Ed Tech Provider Chegg for Lax Security that Exposed Student Data ・FTC、セキュリティが甘く学生データが流出したEd TechプロバイダーCheggに最終命令を下す

 

Reaulations.gov

・2023.03.22 Solicitation for Public Comments on the Business Practices of Cloud Computing Providers

・[PDF]

20230324-80455


質問部分...

Solicitation for Public Comments on the Business Practices of Cloud Computing Providers  クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集について 
The staff of the Federal Trade Commission is inviting public comments about the practices of Cloud Computing Providers and their impact on end users, customers, companies, and other businesses across the economy. FTC staff is studying a wide array of issues related to market power, business practices affecting competition, and potential security risks. Staff is also interested in cloud computing with respect to specific industries, including but not limited to healthcare, finance, transportation, eCommerce, and defense. For these specific sectors or more broadly, are there particular market dynamics shaping business practices that affect competition and consumer protection in cloud computing services? If so, what influences are shaping these market dynamics?  連邦取引委員会のスタッフは、クラウド・コンピューティング・プロバイダーの慣行と、それがエンドユーザー、顧客、企業、および経済界全体のその他のビジネスに与える影響についてパブリックコメントを募集している。FTCスタッフは、市場支配力、競争に影響を与えるビジネス慣行、潜在的なセキュリティ・リスクに関する幅広い問題を研究している。また、ヘルスケア、金融、運輸、電子商取引、防衛など、特定の産業に関するクラウドコンピューティングにも関心を寄せている。これらの特定分野、またはより広範な分野において、クラウドコンピューティングサービスの競争と消費者保護に影響を与えるビジネス慣行を形成する特定の市場力学が存在するか?もしそうなら、どのような影響がこれらの市場力学を形成しているのか?
Questions  質問 
Market Power and Business Practices Affecting Competition  市場パワーと競争に影響を与えるビジネス慣行 
1.     What are the different layers of cloud computing (e.g., infrastructure, platform, software)? To what extent do cloud providers specialize within a layer or operate at multiple layers?    1.     クラウドコンピューティングの様々なレイヤー(例:インフラ、プラットフォーム、ソフトウェア)とは何か?クラウドプロバイダーは、どのレイヤーに特化しているか、あるいは複数のレイヤーで事業を展開しているか?  
2.     Do cloud providers continue to invest sufficient resources in research and development?  In which areas are cloud providers investing in most heavily, and why?  Are there areas in which cloud providers have not invested sufficient resources, and if so, why?   2.     クラウドプロバイダーは、研究開発に十分な資源を投入し続けているか? クラウドプロバイダーはどの分野に最も多く投資しているか、またその理由は何か? クラウドプロバイダーが十分なリソースを投資していない分野はあるか、またその場合はなぜか? 
3.     What are the competitive dynamics within and across the different layers of cloud computing? How does service quality vary between providers operating at one layer vs. providers operating at multiple layers?  3.     クラウドコンピューティングの異なるレイヤー間における競争力学はどのようなものか?1つのレイヤーで運営するプロバイダーと複数のレイヤーで運営するプロバイダーでは、サービス品質にどのような違いがあるのか?
4.     What practices do cloud providers use to enhance or secure their position in any layer of cloud computing? What practices are used by cloud providers that operate at multiple layers to entrench or enhance their position? What are the effects of those practices on competition, including on cloud providers who do not operate at multiple layers?  4.     クラウドプロバイダーは、クラウドコンピューティングのどのレイヤーにおいても、自らの地位を向上させたり、確保したりするためにどのような慣行を用いているのか?複数のレイヤーで事業を展開するクラウドプロバイダーは、自らの地位を確立したり強化したりするために、どのような慣行を用いているのか?そのような慣行は、複数のレイヤーで運用されていないクラウドプロバイダーを含め、競争にどのような影響を与えるか?
5.     To what extent are cloud customers able to negotiate their contracts with cloud providers? To what extent are customers experiencing take-it-or-leave-it standard contracts? How does the ability to negotiate depend on the size of the customer, the sensitivity of the data, the purpose for which the data will be used, or other factors?  5.     クラウド利用者はクラウドプロバイダーとの契約についてどの程度交渉することができるのか?顧客はどの程度、「取るか取らないか」の標準的な契約を経験しているのか?交渉の可否は、顧客の規模、データの機密性、データの使用目的、その他の要因にどのように依存するか?
6.     What incentives are cloud providers offering to customers to obtain more of the cloud services they need from a single provider? Are cloud providers linking, tying, or bundling their cloud services with other services?  6.     クラウドプロバイダーは、顧客が必要とするクラウドサービスの多くを単一のプロバイダーから取得するために、顧客に対してどのようなインセンティブを提供しているか?クラウドプロバイダーは、自社のクラウドサービスを他のサービスと連携させたり、抱き合わせたり、バンドルしたりしているか?
7.     What are the trends in pricing practices used by cloud providers? How have pricing practices made it easier or more difficult for customers of cloud services to understand and control the amount of money they spend on cloud services?  7.     クラウドプロバイダーが採用している価格設定の傾向はどのようなものか?クラウドサービスの顧客がクラウドサービスに費やす金額を理解し、コントロールすることを、価格設定によってどのように容易に、あるいは難しくしているか?
8.     To what extent do cloud providers offer products based on open-source software?    8.     クラウド事業者は、どの程度、オープンソースソフトウェアに基づく製品を提供しているか?  
a)     What is the impact of such offerings on competition?   a) そのような製品の提供は、競争にどのような影響を与えるか? 
b)     How have recent changes to the terms of open-source licenses affected cloud providers’ ability to offer products based on open-source software?  b) オープンソースライセンスの条件に対する最近の変更は、オープンソースソフトウェアに基づく製品を提供するクラウドプロバイダーの能力にどのような影響を与えたか?
9.     What types of products or services do cloud providers offer based on, dependent on, or related to artificial intelligence (AI)? To what extent are AI products or services dependent on the cloud provider they are built on, or are they cloud-agnostic? How does the use of AI affect competition among cloud providers today and into the future?  9.     クラウドプロバイダーは、人工知能(AI)に基づく、依存する、または関連するどのような種類の製品またはサービスを提供しているか?AI製品やサービスは、どの程度、それらが構築されるクラウドプロバイダーに依存しているか、あるいはクラウドに依存しないか?AIの利用は、現在および将来のクラウドプロバイダー間の競争にどのような影響を与えるか?
10.  What barriers (e.g., contractual, technological, or other), if any, exist to offering services that compete with individual services offered by cloud infrastructure providers (e.g., hosted databases, Content Delivery Networks, etc.)? What costs do cloud customers face in:  10.  クラウドインフラプロバイダーが提供する個々のサービス(例:ホスト型データベース、コンテンツデリバリーネットワークなど)と競合するサービスを提供する上で、契約上、技術上、その他の障壁があるとすれば、それはどのようなものであるか?クラウドの顧客は、以下のようなコストに直面する: 
a)     switching software services?   a) ソフトウェア・サービスを切り替えること? 
b)     using multiple cloud providers?  b) 複数のクラウドプロバイダーを利用する場合?
c)     porting their data from one cloud provider to another? How important is data portability to competition and to entry?  c) データをあるクラウドプロバイダーから別のクラウドプロバイダーに移行する場合、どのようなコストがかかるか?データのポータビリティは、競争や参入にとってどの程度重要か?
Security Risks  セキュリティリスク 
11.  To what extent are particular segments of the economy reliant on a small handful of cloud service providers and what are the data security impacts of this reliance?  11.  経済の特定の分野が、どの程度、一握りのクラウドサービスプロバイダーに依存しているか、また、この依存がデータセキュリティに与える影響は何か。
12.  Do cloud providers compete on their ability to provide secure storage for customer data?  Do cloud providers compete on the understandability of the user interface or APIs used to configure security and access features to avoid inadvertent exposure of customer data?  12.  クラウドプロバイダーは、顧客データの安全な保存を提供する能力で競争しているか? クラウドプロバイダーは、顧客データの不用意なエクスポージャーを避けるために、セキュリティやアクセス機能を設定するために使用するユーザーインターフェースやAPIの分かりやすさで競争しているか?
13.  What diligence regarding data security do potential customers conduct when selecting a cloud provider?  13.  潜在的な顧客は、クラウドプロバイダーを選択する際に、データセキュリティに関してどのような注意を払うか?
14.  What representations do cloud providers make to their customers about data security or interoperability? What information do cloud providers provide to potential customers such that potential customers can evaluate the providers’ security measures and interoperability capabilities?  14.  クラウドプロバイダーは、データセキュリティや相互運用性に関して、顧客に対してどのような表明をしているか?クラウド事業者は、潜在的な顧客が事業者のセキュリティ対策や相互運用性を評価できるように、潜在的な顧客にどのような情報を提供しているか?
15.  Do cloud vendors provide types of customers with different information during diligence than they provide to other types of customers? If so, does this vary by contracts or contractual provisions, or by their ability to monitor their performance and security?  15.  クラウドベンダーは、ディリジェンスの際に、ある種の顧客に対して、他のタイプの顧客に提供するのとは異なる情報を提供するか?もしそうなら、それは契約や契約条項によって、あるいは性能やセキュリティを監視する能力によって異なるか?
16.  Under what circumstances do cloud vendors identify security risks related to their customers’ security design or implementation/configuration (e.g., a publicly accessible data store containing personal information) and notify customers of that risk?   16.  クラウドベンダーは、どのような状況下で、顧客のセキュリティ設計又は実装・構成(例えば、個人情報を含む一般にアクセス可能なデータストア)に関連するセキュリティリスクを特定し、そのリスクについて顧客に通知するか。 
a)     How frequently does this occur?  a) これはどれくらいの頻度で発生するのか?
b)     In this scenario, when and how does the vendor notify the customer?  b) このシナリオでは、ベンダーはいつ、どのように顧客に通知するか。
17.  What effect does security-related regulation (e.g., GLBA Safeguards Rule, HIPAA Security Rule, etc.) have on market dynamics?  17.  セキュリティ関連の規制(GLBA Safeguards Rule、HIPAA Security Ruleなど)は、市場力学にどのような影響を与えるか。
18.  Can companies comply with contractual obligations to do due diligence on the security of third party cloud providers to whom they entrust information to ensure that those third party cloud providers implement appropriate security measures, and to monitor third party cloud providers’ security on an ongoing basis? If so, how do companies do this due diligence?   18.  企業は、情報を預ける第三者のクラウドプロバイダーのセキュリティについてデューデリジェンスを行い、その第三者のクラウドプロバイダーが適切なセキュリティ対策を実施していることを確認し、第三者のクラウドプロバイダーのセキュリティを継続的に監視するという契約上の義務を遵守できるか。その場合、企業はどのようにこのデューデリジェンスを行うのか。 
19.  How is responsibility for the security of consumers’ personal information allocated between cloud vendors and cloud customers (e.g., allocated by standardized vendor-provided contract or by custom contract)?    19.  消費者の個人情報のセキュリティに関する責任は、クラウドベンダーとクラウド顧客の間でどのように配分されるか(例えば、ベンダーが提供する標準的な契約によって配分されるか、カスタム契約によって配分されるか)。  
a)     How is this allocation conveyed in specific contractual provisions?  a) 具体的な契約条項の中で、この配分はどのように伝えられているか。
b)     Is this allocation of responsibility clear? If not, why?  b) この責任分担は明確か。そうでない場合、その理由は?
c)     Is this allocation of responsibility effective at protecting the information? Why?  c) この責任分担は、情報の保護に有効か?なぜか?
20.  How is responsibility for responding to a breach of data stored in the cloud or other security incident allocated between cloud vendors and customers (e.g., allocated by standardized vendorprovided contract or by custom contract)?    20.  クラウド上に保存されたデータの漏洩やその他のセキュリティインシデントに対応する責任は、クラウドベンダーと顧客の間でどのように配分されているか(例えば、ベンダーが提供する標準的な契約やカスタム契約によって配分される)。  
a)     How is this allocation conveyed in specific contractual provisions?   a) 具体的な契約条項の中で、この割り当てはどのように伝えられているか。 
b)     Is this allocation of responsibility clear? If not, why?  b) この責任分担は明確か。そうでない場合、その理由は?
c)     Is this allocation of responsibility effective at facilitating prompt and legally-compliant data breach response? Why?  c) この責任分担は、迅速かつ法令に準拠したデータ侵害への対応を促進する上で有効か。なぜか?

|

« 厚生労働省 医療情報システムの安全管理に関するガイドライン 第6.0版(案) の審議(第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料) | Main | 総務省 電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 厚生労働省 医療情報システムの安全管理に関するガイドライン 第6.0版(案) の審議(第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料) | Main | 総務省 電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集 »