« March 2023 | Main | May 2023 »

April 2023

2023.04.30

米国 国土安全保障省 人工知能タスクフォースを設立 (2023.04.20)

こんにちは、丸山満彦です。

米国の国土安全保障省が人工知能タスクフォースを設立するようです。

安全保障の観点からAIをどう見るのか?貿易における貨物の審査や強制労働によって生産された製品の特定、フェンタニル(合成麻薬の原料となる [wikipedia] )の米国への流入検知など、国土安全保障のための重要施策にAIを活用することを目指すということのようです。。。司法省のFBI、DEAとの関係も含めて、この活動の行方は興味深いですね。。。

 

⚫︎ U.S. Department of Homeland Security: DHS

・2023.04.20 Memo on the Establishment of a DHS Artificial Intelligence Task Force

・[PDF]

20230430-32811

 

Establishment of a DHS Artificial Intelligence Task Force DHS人工知能タスクフォースの設立について
DHS must address the many ways in which artificial intelligence (AI), including revolutionary advances in generative Al, will drastically alter the threat landscape and augment the arsenal of tools we possess to succeed in the face of the threats. We must also ensure that our use of Al is rigorously tested to avoid bias and disparate impact, and is clearly explainable to the people we serve. DHS は、生成 Al の革命的な進歩を含む人工知能 (AI) が脅威の状況を劇的に変化させ、脅威に直面したときに成功するためのツール群を増強する多くの方法に対処しなければならない。また、Alの使用は、バイアスや格差のある影響を避けるために厳密にテストされ、私たちが奉仕する人々に明確に説明できるようにしなければならない。
To advance specific mission applications of Al across the Department, l am directing the creation of an internal Artificial Intelligence Task Force (AITF or "Task Force"). The Task Force will begin with the following discrete tasks, among others: 防衛省全体でAlの特定の任務への応用を進めるため、私は社内に人工知能タスクフォース(AITFまたは「タスクフォース」)の創設を指示する。タスクフォースは、特に次のような個別のタスクから着手する予定である:
• Integrate AI into our efforts to enhance the integrity of our supply chains and the broader trade environment. We will seek to deploy AI to more ably screen cargo, identify the importation of goods produced with forced labor, and manage risk.  ・サプライチェーンと広範な貿易環境の完全性を高めるための取り組みにAIを組み込む。私たちは、貨物をより適切に選別し、強制労働で生産された商品の輸入を特定し、リスクをマネジメントするために、AIを導入することを目指す。
• Leverage AI to counter the flow of fentanyl into the United States. We will explore using this technology to better detect fentanyl shipments, identify and interdict the flow of precursor chemicals around the world, and target for disruption key nodes in the criminal networks.  ・米国へのフェンタニルの流入に対抗するために、AIを活用する。フェンタニルの輸送をより適切に検知し、世界中の前駆体化学物質の流れを特定し阻止し、犯罪ネットワークの主要なノードを破壊するためにこの技術を使用することを検討する。
• Apply Al to digital forensic tools to help identify, locate, and rescue victims of online child sexual exploitation and abuse, and to identify and apprehend the perpetrators of this heinous crime.  ・デジタル・フォレンジック・ツールにAlを適用し、オンライン児童性的搾取・虐待の被害者の特定、所在確認、救出、そしてこの凶悪犯罪の加害者の特定と逮捕を支援する。
• And, working with partners in government, industry, and academia, assess the impact of Al on our ability to secure critical infrastructure. ・また、政府、産業界、学界のパートナーと協力し、重要なインフラを保護する能力に対するAlの影響を評価する。
I ask that you both lead this Task Force as its Co-Chairs on behalf of the Department. The Task Force's Members shall be the heads of all Offices and Agencies. As Co-Chairs, you shall establish the Task Force's internal working procedures and may draw on staff detailed from Offices and Agencies across the Department to support its work. The Task Force's authority does not alter the current functions, rights, privileges, powers, authorities, and duties vested by law in Department officials, or any directive or delegation, related to artificial intelligence.  二人には、省庁を代表して、共同議長としてこのタスクフォースを率いるように依頼する。タスクフォースのメンバーは、すべての官庁の責任者とする。共同議長として、タスクフォースの内部作業手順を確立し、その作業を支援するために、省内の各事務所および機関から派遣されたスタッフを活用することができるものとする。タスクフォースの権限は、人工知能に関連し、法律により省役員に与えられた現在の機能、権利、特権、権力、権限、義務、または指示や委任を変更するものではない。
The Task Force shall be established for one year, after which it may be extended to continue its work.  タスクフォースは1年間設置されるものとし、その後、作業を継続するために延長することができる。
The Task Force shall report to me regularly on its work and AI efforts across the Department more broadly, including: タスクフォースは、その作業と、より広く省内のAIの取り組みについて、定期的に私に報告するものとする:
• Within 45 days, a concept of operations for the Task Force, including milestones for advancing the four priority initiatives outlined above; and  ・45日以内に、上記の4つの優先的イニシアチブを進めるためのマイルストーンを含む、タスクフォースの活動コンセプト。
• Every 60 days thereafter, a progress report on the four priority initiatives outlined above and any other pertinent AI initiatives identified by the Task Force.  ・その後60日ごとに、上記の4つの優先取り組みと、タスクフォースが特定したその他の適切なAI取り組みに関する進捗報告書を提出する。
The Task Force shall also be responsible for reviewing and, where appropriate, implementing the Homeland Security Advisory Council's (HSAC) upcoming findings and recommendations on the intersection of Al and homeland security. Within 30 days of the release of the HSAC's report, the Task Force shall develop a plan to implement the HSAC's recommendations across the Department. The Task Force shall include updates on implementation in the recurring progress reports noted above. タスクフォースはまた、Alと国土安全保障の交差点に関する国土安全保障諮問委員会(HSAC)の今後の調査結果と勧告を見直し、必要に応じて実施する責任を負うものとする。HSACの報告書の発表から30日以内に、タスクフォースは、HSACの勧告を省内で実施するための計画を策定するものとする。タスクフォースは、上述の定期的な進捗報告書に、実施に関する最新情報を含めるものとする。

 

 

| | Comments (0)

IPA 「令和4年度中小企業等に対するサイバー攻撃の実態調査」調査実施報告書

こんにちは、丸山満彦です。

IPAが「令和4年度中小企業等に対するサイバー攻撃の実態調査」の報告書を公表しています。。。

テーマとしては社会的に意義があるし、よいなぁ、、、と思って読み始めるわけです。。。

 

この調査は、

目的 サプライチェーン全体のサイバーセキュリティ対策強化のために必要な対策や、その実装に向けて有効な業界全体としての取組みの検討に供する
対象 外部からの情報窃取や取引先企業への攻撃の足掛かりとしてのサイバー攻撃を受けるおそれが大きいと考えられる経済安全保障上重要となるサプライチェーン上の中小企業
調査方法 ネットワーク環境・セキュリティ対策の状況について把握した上で、ネットワーク及び端末における異常を監視する等により攻撃の実態(数・手法・被害に遭った場合の影響など)について調査・分析を行なった

ということになっていて、

調査・分析の具体的な方法は、

・UTM(Unified Threat Management)等のネットワークセキュリティ監視装置を用いて企業内外のネットワーク通信を監視

・EDR(Endpoint Detection and Response)等のエンドポイントセキュリティソフトウェアを用いて企業内ネットワークに接続された端末における挙動を監視する等の方法

により、

・対象中小企業のネットワーク及び端末の双方について一定期間監視し、

・ログを収集、統合的に分析。

 

その結果は、

・「ネットワーク環境及びセキュリティ対策の状況把握」においては、

  • 既にUTMを設置している企業が多かった
  • ただし、アラートの確認はベンダ任せになっている
  • ヒアリングで「できていない」と認識している事項は、ポリシー策定、USB対策、工場LAN対策

・「ネットワーク及び端末における異常監視」においては、

  • ランサムウェアやC&Cサーバとの通信といったセキュリティ侵害に当たる攻撃は検知されなかった
  • 民間のUTM監視サービスや、過去のサイバーセキュリティお助け隊サービスの実証事業結果と比較しても、特定産業分野のサプライチェーンに属する企業ではインターネット側から攻撃が多く、内部侵入のきっかけになるような動作も多いことから、リスクがより高いと考えられる状況

で、ここまでは、そうやろな...なんですが、

結論、


本調査で実施した、現況調査の分析結果およびサイバー攻撃の実態調査の分析結果を用い、経済安全保障上重要となるサプライチェーン上の中小企業に対するリスクと有効な対策を以下のとおり考察しました。

  • メールやWebを契機としたウイルス感染に対しては、UTMとEDRの双方で防ぎ、被害拡大を防止する事が有効。
  • 定期的に検知レポートを確認し、不審なアプリケーションやサイバー攻撃の兆候を把握し、対策を継続的に行うことが有効。
  • セキュリティの有識者等適切な知識経験を有した人員によるネットワーク構成の確認や検証が有効。

で、こける。。。どういうロジックで、そういう結論になる???

調査目的に対する調査手法がよくなかったのかなぁ。。。

 

⚫︎ IPA

・2023.04.25 「令和4年度中小企業等に対するサイバー攻撃の実態調査」調査実施報告書について

・[PDF]

20230430-20734

 

 

 

 

 

 

| | Comments (0)

2023.04.29

英国 AIに関する英国政府の発表をいくつか。。。

こんにちは、丸山満彦です。

どの国も生成AIを含むAIの利活用のための環境整備に取り組んでいる感じですが、4月20日以降の英国政府からのいくつかの発表...

 

⚫︎ U.K. Gov

2023.04.24 Press release Initial £100 million for expert taskforce to help UK build and adopt next generation of safe AI 英国が次世代の安全なAIを構築・導入するための専門家タスクフォースに、当初1億ポンドを投じる。
2023.04.21 Case study DASA funding helps drive ethical artificial intelligence community safeguarding application from proof of concept to product launch DASAの資金援助により、倫理的な人工知能コミュニティの安全保護アプリケーションを、概念実証から製品化まで推進することができる。
2023.04.21 News story £2 million available for novel human augmentation innovations to enhance human capability in defence 防衛における人間の能力を強化するための新しい人間拡張技術に200万ポンドを提供

 

・2023.04.24 Initial £100 million for expert taskforce to help UK build and adopt next generation of safe AI

 

Initial £100 million for expert taskforce to help UK build and adopt next generation of safe AI 英国が次世代の安全なAIを構築・導入するための専門家タスクフォースに、当初1億ポンドを投じる。
Prime Minister and Technology Secretary announce £100 million in funding for Foundation Model Taskforce. 首相と技術長官は、ファウンデーションモデル・タスクフォースへの1億ポンドの資金提供を発表。
・Prime Minister and Technology Secretary announce £100 million in initial start-up funding for taskforce responsible for accelerating the UK’s capability in rapidly-emerging type of artificial intelligence - on top of £900 million investment into compute technology at Budget ・首相と技術長官が、急速に発展する人工知能分野で英国の能力を加速させるタスクフォースに1億ポンドの初期立ち上げ資金を提供することを発表 - 予算における計算機技術への9億ポンドの投資に追加して
・foundation models, including large language models like ChatGPT and Google Bard, are AI systems trained on massive data sets which can be used for a wide range of tasks across the economy ・ChatGPTやGoogle Bardのような大規模言語モデルを含む、膨大なデータセットを学習させたAIシステムで、経済全般にわたるさまざまなタスクに利用することができる。
・investment will fund new government-industry taskforce to ensure sovereign capabilities and broad adoption of safe and reliable foundation models, helping cement the UK’s position as a science and technology superpower by 2030 ・2030年までに、英国の科学技術大国としての地位を確固たるものにするため、安全で信頼性の高い基礎モデルの普及とソブリン能力を確保するための新たな政府・産業タスクフォースに投資する。
£100 million to kickstart the delivery of the government’s major ambitions for the UK’s capability in safe and reliable foundation models has been announced by the Prime Minister and Technology Secretary. 安全で信頼性の高い基盤モデルにおける英国の能力向上という政府の大きな野望を実現するためのキックスタートとして1億ポンドが、首相と技術長官によって発表された。
The Taskforce, modelled on the success of the COVID-19 Vaccines Taskforce, will develop the safe and reliable use of this pivotal artificial intelligence (AI) across the economy and ensure the UK is globally competitive in this strategic technology. このタスクフォースは、COVID-19ワクチンタスクフォースの成功をモデルにしており、この極めて重要な人工知能(AI)の安全で信頼できる利用法を経済全体で開発し、英国がこの戦略的技術で世界的な競争力を持つようにするものである。
Foundation models - including large language models like ChatGPT and Google Bard - are a category of artificial intelligence systems trained on huge volumes of data such as text, images, video or audio to gain broad and sophisticated capabilities across many tasks. ChatGPTやGoogle Bardのような大規模な言語モデルを含むファウンデーションモデルは、テキスト、画像、動画、音声などの膨大なデータで訓練された人工知能システムのカテゴリで、多くのタスクで広範かつ洗練された機能を獲得する。
​​With AI set to contribute billions of pounds to UK GDP, the work of the Taskforce will help deliver on the Prime Minister’s priorities to grow our economy, whilst generating better outcomes for people across the country through better public services. Research suggests that the broad adoption of such systems could triple national productivity growth rates. AIは英国のGDPに何十億ポンドも貢献すると言われており、タスクフォースの活動は、経済を成長させるという首相の優先事項を実現すると同時に、より良い公共サービスを通じて、国中の人々により良い結果をもたらすことにつながるだろう。調査によると、このようなシステムを広く採用することで、国の生産性成長率が3倍になる可能性があるそうだ。
In areas like healthcare, this type of AI has enormous potential to speed up diagnoses, drug discovery and development. In education it could transform teachers’ day-to-day work, freeing up their time to focus on delivering excellent teaching. ヘルスケアなどの分野では、この種のAIは、診断、創薬、開発のスピードアップに大きな可能性を秘めている。教育分野では、教師の日常業務を一変させ、優れた教育の実現に集中する時間を確保することができる。
This technology is also predicted to raise global GDP by 7 percent over a decade, making its adoption a vital opportunity to grow the UK economy. To support businesses and public trust in these systems and drive their adoption, the Taskforce will work with the sector towards developing the safety and reliability of foundation models, both at a scientific and commercial level. また、このテクノロジーは、10年間で世界のGDPを7%引き上げると予測されており、その導入は英国経済を成長させる重要な機会となっている。このようなシステムに対する企業や国民の信頼を支え、導入を促進するために、タスクフォースは、科学的および商業的なレベルで、基礎モデルの安全性と信頼性を開発するために、このセクターと協力する予定である。
The investment will build the UK’s ‘sovereign’ national capabilities so our public services can benefit from the transformational impact of this type of AI. The Taskforce will focus on opportunities to establish the UK as a world leader in foundation models and their applications across the economy, and acting as a global standard bearer for AI safety. この投資は、英国の「主権的」な国家能力を構築し、公共サービスがこの種のAIがもたらす変革的な影響から恩恵を受けられるようにするものである。タスクフォースは、英国を基礎モデルとその経済分野への応用における世界的リーダーとして確立し、AIの安全性に関する世界的旗手として活動する機会に焦点を当てる。
The funding will be invested by the Foundation Model Taskforce in foundation model infrastructure and public service procurement, to create opportunities for domestic innovation. The first pilots targeting public services are expected to launch in the next six months. 資金は、国内のイノベーションの機会を創出するために、基礎モデルタスクフォースが基礎モデルのインフラと公共サービス調達に投資する。公共サービスを対象とした最初のパイロットは、今後6ヶ月で開始される予定である。
The Taskforce, announced as part of the Integrated Review Refresh last month, will bring together government and industry experts and report directly to the Prime Minister and Technology Secretary. 先月、統合レビュー・リフレッシュの一環として発表されたタスクフォースは、政府および業界の専門家を集め、首相および技術長官に直接報告する予定である。
This follows last week’s Cabinet meeting where Ministers agreed on the transformative potential of AI, the vital importance of retaining public confidence in its use, and the need for regulation that keeps people safe without preventing innovation. これは、先週の閣議で、AIが持つ変革の可能性、その利用に対する国民の信頼を維持することの極めて重要性、イノベーションを妨げることなく人々の安全を守る規制の必要性について閣僚が合意したことを受けたものである。
Prime Minister Rishi Sunak said: リシ・スナク首相は次のように述べている:
Harnessing the potential of AI provides enormous opportunities to grow our economy, create better-paid jobs, and build a better future through advances in healthcare and security. AIの可能性を活用することは、経済の成長、より良い報酬の雇用の創出、医療とセキュリティの進歩によるより良い未来の構築のための膨大な機会を提供する。
By investing in emerging technologies through our new expert taskforce, we can continue to lead the way in developing safe and trustworthy AI as part of shaping a more innovative UK economy. 新しい専門家タスクフォースを通じて新興技術に投資することで、より革新的な英国経済を形成する一環として、安全で信頼性の高いAIの開発をリードし続けることができる。
Science, Innovation and Technology Secretary Michelle Donelan said: ミシェル・ドネラン
科学・イノベーション・テクノロジー長官は次のように述べている:
Developed responsibly, cutting-edge AI can have a transformative impact in nearly every industry. It can revolutionise the way we develop new medical treatments, tackle climate change and improve our public services, all while growing and future-proofing our economy. 責任を持って開発された最先端のAIは、ほぼすべての産業で変革的な影響を与えることができる。新しい治療法の開発、気候変動への対応、公共サービスの改善など、あらゆる面で革命を起こすことができ、同時に経済の成長と将来性を高めることができる。
We need to act now to seize the opportunities AI can offer us in the future. We’re backing our expert taskforce with the funding to make our ambitions for an AI-enabled country a reality and keep the UK at the front of the pack in this emerging technology. 私たちは、AIが将来私たちにもたらす機会をつかむために、今行動する必要がある。私たちは、AIを活用した国づくりという私たちの野望を実現し、この新しいテクノロジーにおいて英国が常に先頭を走り続けるために、専門家によるタスクフォースを資金面で支援している。
To ensure such leadership, the greatest capability we can develop is in the safety and reliability of such systems. This will ensure that the public and business have the trust they need to confidently adopt this technology and fully realise its benefits. That is exactly what this taskforce will prioritise. このようなリーダーシップを確保するために、私たちが開発できる最大の能力は、このようなシステムの安全性と信頼性にある。これによって、国民や企業が自信を持ってこの技術を採用し、そのメリットを十分に享受するために必要な信頼性を確保することができる。このタスクフォースは、まさにこの点を最優先に考えている。
The taskforce will be led by an expert Chair, who will be announced later in the summer. Matt Clifford, Chair of the Advanced Research and Innovation Agency, will advise the Prime Minister and Technology Secretary on the development of the taskforce while the appointment is ongoing. タスクフォースは、夏以降に発表される専門家の議長によって率いられる予定である。先進研究革新機構(Advanced Research and Innovation Agency)のマット・クリフォード(Matt Clifford)会長は、任命が行われている間、タスクフォースの発展について首相と技術長官に助言する予定である。
Foundation models rely on significant compute power, and this investment comes on top of around £900 million for a new ‘exascale’ supercomputer and a dedicated AI Research Resource to equip the UK with the processing power it needs to support the next generation of AI innovation. The Taskforce will play a crucial role in ensuring the major, multi-year funding announced at the Budget for compute is strategically invested to prioritise and strengthen the UK’s capability in foundation models. ファウンデーション・モデルは大きな計算能力に依存しており、今回の投資は、次世代のAIイノベーションをサポートするために必要な処理能力を英国に装備するために、新しい「エクサスケール」スーパーコンピュータと専用のAIリサーチ・リソースに約9億ポンドを上乗せするものである。タスクフォースは、予算で発表されたコンピュートのための大規模な複数年の資金が、基礎モデルにおける英国の能力を優先的に強化するために戦略的に投資されるようにする上で、重要な役割を果たすことになる。
The Taskforce will ensure the UK’s capability in this rapidly developing area is built with safety and reliability at its core, in line with the approach set out in the AI Regulation White Paper published last month. タスクフォースは、先月発表されたAI規制白書で示されたアプローチに沿って、この急速に発展する分野における英国の能力が、安全性と信頼性を中核として構築されるようにする。
Doug Gurr, Chair,  The Alan Turing Institute, said: アラン・チューリング研究所会長のダグ・ガーは、次のように述べている:
We congratulate the government on this exciting investment which will keep the UK at the cutting edge of this transformative technology and look forward to continuing to work with all the relevant partners to help develop breakthrough AI applications in a safe, reliable, trustworthy and ethical way. 私たちは、英国をこの変革的な技術の最先端に位置させるこのエキサイティングな投資について政府を祝福し、安全、信頼、信用、倫理的な方法で画期的なAIアプリケーションの開発を支援するために、すべての関連パートナーと引き続き協力することを期待している。
Marc Warner, CEO of Faculty, said: ファカルティのCEOであるマーク・ワーナーは、次のように述べている:
Artificial intelligence is an epoch-defining technology, which - if deployed safely and responsibly - will revolutionise how we live and work. To reap the rewards and manage the risks, the UK urgently needs the public and private sector to work effectively together to seize the vast opportunities from foundational models. It is welcome to see initial funding towards this goal, which will help ensure safe deployment and protect national security, whilst harnessing AI’s power to transform public services. 人工知能は時代を画する技術であり、安全かつ責任を持って導入されれば、私たちの生活や仕事のあり方に革命をもたらすだろう。報酬を得、リスクをマネジメントするために、英国では官民が効果的に協力し、基礎的なモデルから大きなチャンスをつかむことが急務となっている。この目標に向けた最初の資金提供が行われたことは歓迎すべきことである。この資金提供は、公共サービスを変革するためにAIの力を活用する一方で、安全な導入と国家の安全保障を確保するのに役立つ。
The funding follows Business Connect, an event bringing government and industry together to focus on making Britain the most innovative economy in the world. DSIT Minister of State George Freeman led a panel on the government’s work in digital technology and life sciences and, together with the Chancellor, spoke about how these high-priority sectors could help accelerate economic growth across the UK. 今回の資金提供は、英国を世界で最も革新的な経済国にするために政府と産業界が一堂に会するイベント、ビジネスコネクトに続くものである。 DSITのジョージ・フリーマン国務大臣は、デジタル技術とライフサイエンスにおける政府の取り組みに関するパネルをリードし、首相とともに、これらの優先度の高いセクターが英国全体の経済成長を加速させるためにどのように役立つかについて講演した。

 

 

・2023.04.21 DASA funding helps drive ethical artificial intelligence community safeguarding application from proof of concept to product launch

 

DASA funding helps drive ethical artificial intelligence community safeguarding application from proof of concept to product launch DASAの資金援助により、倫理的な人工知能コミュニティの安全保護アプリケーションを、概念実証から製品化まで推進することができる。
Trilateral’s artificial intelligence web application helps organisations better understand and respond to crime Trilateralの人工知能ウェブアプリケーションは、組織が犯罪をよりよく理解し、対応することを支援する。
・London-based SME, Trilateral Research, has developed an ethical AI application called Honeycomb that can help organisations make sense of human behaviour and case data to quickly implement safeguarding measures for crimes such as human trafficking ・ロンドンを拠点とする中小企業であるTrilateral Research社は、人身売買などの犯罪に対して、組織が人間の行動や事件データを理解し、安全対策を迅速に実施することを支援する倫理AIアプリケーション「Honeycomb」を開発した。
・Funded through the DASA Open Call and Security Rapid Impact, Trilateral’s innovation will launch in April 2023 ・DASA公募、セキュリティ・ラピッドインパクトを経て、三極のイノベーションは2023年4月に始動する。
・DASA has supported Trilateral from proof of concept, through to product launch, helping Trilateral reach a faster route to market through the Rapid Impact Open Call ・DASAはTrilateralのコンセプトの実証から製品の発売までをサポートし、Rapid Impact Open Callを通じてTrilateralの迅速な市場投入を支援した。
Explainable AI to help understand human terrain and case data and solve crime 人間の地形や事件データを理解し、犯罪の解決を支援する説明可能なAI
Artificial intelligence (AI) is growing in adoption, complexity and fidelity, and more organisations are turning to AI to expedite analysis at scale. While AI can make complex analysis and decision making more straightforward for human users, it is vital to understand how AI functions. 人工知能(AI)は、その採用率、複雑さ、忠実度を増しており、より多くの組織が、規模に応じた分析を迅速化するためにAIを利用している。AIは、人間のユーザーにとって複雑な分析や意思決定をより分かりやすくすることができるが、AIがどのように機能するかを理解することは極めて重要である。
AI explainability builds trust in the ability of AI to aid responsible decision making in sensitive areas where transparency is key, such as human trafficking, child protection, organised crime, and healthcare. This helps users understand AI output, avoid bias, maintain high standards and ensure AI outcomes can be challenged or reviewed. AIの説明可能性は、人身売買、児童保護、組織犯罪、ヘルスケアなど、透明性が重要な敏感な分野における責任ある意思決定を支援するAIの能力に対する信頼を築きます。これは、ユーザーがAIの出力を理解し、バイアスを回避し、高い基準を維持し、AIの結果に異議を唱えたり、見直したりできるようにするのに役立つ。
Introducing Trilateral Research’s explainable AI web application Trilateral Researchの説明可能なAIウェブアプリケーションを紹介する。
With the help of DASA funding, London-based SME, Trilateral Research, has developed an explainable AI web application called Honeycomb, which will launch in April 2023. It is designed to enable organisations to better understand and respond to complex societal issues, such as human trafficking, to make more informed decisions quickly. ロンドンに拠点を置く中小企業、Trilateral Researchは、DASAの資金援助を受けて、説明可能なAIウェブアプリケーション「Honeycomb」を開発し、2023年4月に発売する予定である。このアプリケーションは、人身売買のような複雑な社会問題をよりよく理解し、対応することで、組織がより多くの情報に基づいた意思決定を迅速に行えるようにすることを目的としている。
Trilateral Research built the AI application on a suite of Natural Language Processing (NPL) tools which are used to extract, communicate, and expedite the analysis of crime case content, such as text, databases, documentation and case notes. The NPL tool highlights patterns, trends, key themes and topics of interest, and fast tracks findings back to analysts and intelligence officers for validation. This helps human users enhance their professional judgement to review cases quickly and implement safeguarding interventions. Trilateral Researchは、テキスト、データベース、文書、事件メモなど、犯罪事件のコンテンツの抽出、伝達、分析の迅速化に使用される自然言語処理(NPL)ツール群にAIアプリケーションを構築した。NPLツールは、パターン、トレンド、主要なテーマ、関心のあるトピックをハイライトし、分析官や情報担当者が検証できるように、発見を素早く追跡する。これにより、ユーザーは専門的な判断力を高め、迅速にケースを確認し、保護措置を講じることができるようになる。
Trilateral’s AI web application was developed alongside in-house subject matter experts in areas such as human trafficking and criminology to ensure the NPL technology had a strong understanding of the domain, resulting in enhanced validly of output. TrilateralのAIウェブアプリケーションは、人身売買や犯罪学などの分野の社内専門家と共に開発され、NPLテクノロジーがこの分野を強く理解することで、より有効なアウトプットが得られるようになった。
Making sense of structured data for criminal investigation 犯罪捜査のための構造化データの意味づけ
Trilateral’s solution can analyse a huge amount of structured case data and expedite findings in several hours, when compared to a human analyst which could take weeks. Trilateralのソリューションは、膨大な量の構造化されたケースデータを分析し、人間の分析者が数週間かかるのと比較すると、数時間で結果を出すことができる。
Trilateral’s innovation helps defence and security in several ways: Trilateralのイノベーションは、いくつかの点で防衛やセキュリティに貢献している:
・Patterns, trends, key themes, topics detection: The AI web application can quickly trawl through mountains of case data to find information relevant to a case. ・パターン、トレンド、主要テーマ、トピックの検出: AIウェブアプリケーションは、大量の事件データを素早く検索し、事件に関連する情報を探し出すことができる。
・Geospatial and human terrain data: The tool utilises geospatial analysis and can visualise structured data that relates to the wider human terrain. ・地理空間と人体地形データ: このツールは地理空間分析を利用し、より広い人間の地形に関連する構造化データを可視化することができる。
・Fast tracked analysis: Enables human analysts and intelligence officers to obtain results faster and with a wider variety of data, within several hours instead of days. ・ファストトラック分析 人間のアナリストや情報担当者が、より早く、より多様なデータを用いて、数日ではなく数時間以内に結果を得ることができるようにする。
・Easy to understand data: The innovation is easy to use and digest, enabling users beyond the analyst, such as senior decision makers, to understand the analysis. ・理解しやすいデータ: このイノベーションは使いやすく、消化しやすいので、上級の意思決定者など、アナリスト以外のユーザーも分析結果を理解することができるようになる。
・Human aiding: Ensures analysts and intelligence officers can focus more on value adding tasks, rather than time intensive data analysis. ・人間の補助: アナリストや情報担当者が、時間のかかるデータ分析ではなく、付加価値の高いタスクに集中できるようにする。
DASA support from proof of concept to product launch コンセプトの実証から製品発売までのDASAサポート
DASA funding and engagement has helped Trilateral steer the direction of the product to achieve a faster route to market through the defence and security sector. DASAの資金援助と関与により、Trilateralは製品の方向性を決定し、防衛・安全保障分野での市場投入をより早く実現することができた。
The SME had initially developed the innovation to help Defence better understand unconventional societal issues such as the risk of human trafficking, cultural property protection, gender-based violence and child exploitation in conflict situations. Trilateral first engaged with DASA in 2018 where they delivered a proof of concept for a risk assessment tool to help the UK military to assess the risk of modern slavery and human trafficking in conflict situations. 中小企業は当初、紛争状況における人身売買、文化財保護、ジェンダーに基づく暴力、児童搾取のリスクなど、従来とは異なる社会問題を防衛省がより理解できるようにするためのイノベーションを開発していました。Trilateralは2018年に初めてDASAに参加し、英国軍が紛争状況における現代奴隷と人身売買のリスクを評価するのに役立つリスク評価ツールの概念実証を提供した。
Their next funded DASA project, HAMOC, was submitted in 2019, which sought to develop AI tools to equip defence with the capability to effectively integrate human security analysis into its existing planning functions. Leveraging feedback from DASA, Trilateral steered the direction of HAMOC, towards a continued security focus to meet rapid engagement opportunities. 次に資金提供を受けたDASAプロジェクト「HAMOC」は2019年に提出され、人間の安全保障分析を既存の計画機能に効果的に統合する能力を防衛に装備するためのAIツールを開発することを目指した。DASAからのフィードバックを活用し、TrilateralはHAMOCの方向性を、迅速な関与の機会を満たすために安全保障に焦点を当て続ける方向に舵を切った。
Trilateral successfully submitted their next project to the DASA Security Rapid Impact Open Call in 2021, to develop explainable AI to extract and communicate insight from existing databases to help police combat child exploitation and organised crime through advance organised crime group mapping. As part of trialling, Trilateral are collaborating with a UK police force, helping them make better use of their data, successfully showing how the tool can be used to implement safeguarding measures months ahead of their standard timelines. このプロジェクトは、既存のデータベースから洞察を抽出・伝達する説明可能なAIを開発し、組織犯罪グループの事前マッピングを通じて、警察が児童搾取や組織犯罪と戦うのを支援するものである。トライアルとして、Trilateralは英国の警察と協力し、データの有効活用を支援し、標準的なスケジュールよりも数ヶ月早く保護措置を実施するためにツールを使用できることを示すことに成功している。
All of this work fed into the development of Honeycomb which is due to launch in April 2023. これらの作業はすべて、2023年4月に発売予定のハニカムの開発に反映された。
Dr Hayley Watson, Director, Sociotech Innovation at Trilateral Research said: Trilateral ResearchのSociotech Innovation担当ディレクター、ヘイリー・ワトソン博士は次のように述べている:
DASA provided us the space and time to innovate and co-design with defence users, which enabled our development of sociotechnical methods for building ethical AI to combat complex societal problems. The opportunities for defence and security end users are huge, working together, we can offer the capability to harness explainable AI to combat complex societal problems from national security to crisis and conflict stabilisation efforts. We look forward to continuing to work with those keen to leverage innovation to enhance their operations and ? > ultimately, help save lives. DASAは、防衛関連ユーザーと革新的な共同設計を行うためのスペースと時間を提供してくれ、複雑な社会問題に対処する倫理的なAIを構築するためのソシオテクニカル手法の開発を可能にした。防衛・安全保障分野のエンドユーザーにとってのチャンスは非常に大きく、一緒に働くことで、国家安全保障から危機や紛争の安定化努力まで、複雑な社会問題に立ち向かうための説明可能なAIを活用する能力を提供することができる。私たちは、イノベーションを活用して業務を強化し、最終的には人命救助に貢献することを望む人たちと、今後も協力していきたいと思いる。> 最終的には、人命救助に貢献する。
What’s next for Trilateral 三極の次なる目標は?
Through successful funding, testing, and trialling with DASA, Trilateral has gained confidence in engaging with defence and security customers, which has in turn built credibility for their product. DASAの資金調達、テスト、トライアルを経て、Trilateralは防衛・安全保障分野の顧客と関わることに自信を持ち、その結果、製品の信頼性を高めることができた。
DASA has helped provide an outlet for Trilateral to test the market, foster a large network of product champions and potential customers, and steer the direction of their product towards a security focus for rapid pick up. Looking into the future, Trilateral hopes to build on their product launch by further developing tools to integrate more directly with customer systems via application programming interface feeds and data migration tools, and develop even more creative solutions for explainable AI. DASAは、Trilateralが市場をテストする場を提供し、製品チャンピオンや潜在的な顧客の大規模なネットワークを育成し、製品の方向性をセキュリティに焦点を当て、迅速にピックアップできるようにすることに貢献した。将来的には、アプリケーション・プログラミング・インターフェースのフィードやデータ移行ツールを介して顧客のシステムとより直接的に統合するツールをさらに開発し、説明可能なAIのためのさらに創造的なソリューションを開発することで、製品の発売を成功させたいと考えている。

 

・2023.04.21 £2 million available for novel human augmentation innovations to enhance human capability in defence

£2 million available for novel human augmentation innovations to enhance human capability in defence 防衛における人間の能力を強化するための新しい人間拡張技術に200万ポンドを提供
DASA has launched a new Themed Competition to develop and prototype human augmentation technology for defence DASAは、防衛のための人間拡張技術の開発と試作を目的とした新しいテーマコンペティションを開始した。
・DASA has launched a new Themed Competition: Human Augmentation (HA) DASAが新テーマコンペティションを開始した: ヒューマンオーギュメンテーション(HA)
・Funding provided by the Defence Science and Technology Laboratory (Dstl) Human Augmentation Science and Technology (S&T) project 国防科学技術研究所(Dstl)人間拡張科学技術(S&T)プロジェクトによる資金提供。
・Up to £2 million is available for novel, safe and ethical HA technologies to mitigate human performance as the limiting factor in Defence scenarios 防衛シナリオにおける制限要因である人間のパフォーマンスを軽減するための、安全で倫理的な新規HA技術に最大200万ポンドが提供される。
The Defence and Security Accelerator (DASA) is pleased to launch a new Themed Competition called Human Augmentation. Human Augmentation (HA) refers to the use of science or technology to temporarily or permanently modify human performance. This encompasses a range of technologies, including exoskeletons, wearables, genetics, brain interfaces, pharmaceuticals, and bioinformatics. 防衛・安全保障アクセラレータ(DASA)は、「Human Augmentation」という新しいテーマのコンペティションを開始することになった。 Human Augmentation(HA)とは、科学や技術を利用して、人間のパフォーマンスを一時的または恒久的に変更することを指する。これには、外骨格、ウェアラブル、遺伝学、ブレイン・インターフェイス、医薬品、バイオインフォマティクスなど、さまざまな技術が含まれる。
This Themed Competition aims to develop novel, Generation-After-Next (GAN) prototype HA technologies which can be harnessed safely and ethically that mitigate human performance as the limiting factor in a UK Defence environment. 本テーマコンペティションは、英国防衛環境における制限要因である人間のパフォーマンスを軽減する、安全かつ倫理的に利用可能な、新しいGeneration-After-Next(GAN)プロトタイプHA技術の開発を目的としている。
Technologies that influence the following human capabilities and aptitudes include: 以下のような人間の能力・適性に影響を与える技術が含まれる:
・sensory enhancement to support mission outcomes ・ミッションの成果をサポートするための感覚的な向上
・collaborative working (including human-human and human-machine) ・協働作業(人と人、人と機械の協働作業を含む)
・attention during tasks with a cognitive element ・認知的な要素を含む作業時の注意事項
・enhanced decision making (reduced time and improved outcomes) ・意思決定の迅速化(時間短縮と成果の向上)
・physical endurance ・物理的な耐久性
・strength ・強さ
・overcoming limitations to physical and cognitive fatigue ・身体的・認知的な疲労に対する限界の克服
Key Dates and Funding 主な日程と資金調達
Up to £2 million is available for this competition, and DASA expects to fund 5 to 10 proposals. 本コンペティションには最大200万ポンドが用意されており、DASAは5~10件の提案に出資することを想定している。
Submission deadline: midday on Tuesday 13 June 2023 提出期限:2023年6月13日(火)の昼12時
Do you have an innovation which could augment human performance? Read the full competition document and submit a proposal. 人間のパフォーマンスを向上させる可能性のあるイノベーションをお持ちであるか? コンペティションの全文を読んで、提案書を提出すること。
Human augmentation technologies in defence 防衛分野における人間拡張技術
As the battlefield becomes more complex and the demands on our personnel increase, in order to win tactical advantage, they will have to out-think and out-pace their adversaries. If HA technologies can be harnessed safely and ethically to develop enhanced levels of performance, it is possible they could afford improvements in capability across the whole force. 戦場がより複雑になり、隊員への要求が高まるにつれ、戦術的優位性を獲得するためには、敵のことを考え、ペースを上げる必要がある。もし、HA技術を安全かつ倫理的に活用し、より高いレベルの性能を開発することができれば、部隊全体の能力を向上させることができる可能性がある。
This Themed Competition has 3 use cases. このテーマコンペティションでは、3つのユースケースを用意している。
Use Case 1: Biofeedback Systems ユースケース1:バイオフィードバックシステム
Systems that measure user state, interpret the resulting data and deliver an effect based on the data. ユーザーの状態を測定し、得られたデータを解釈し、そのデータに基づいた効果を提供するシステム。
Use Case 2: The Warfighter Ensemble ユースケース2:ウォーファイター・アンサンブル
Equipment that is worn closely on the body and is designed to optimise and enhance biological functions. 身体に密着して装着し、生体機能を最適化・強化するように設計された機器。
Use Case 3: Sensory Enhancements ユースケース3:感覚的な強化
Enhancing the human senses beyond typical biological capability. 人間の感覚を、一般的な生物学的能力を超えて強化する。
Supporting events サポートイベント
Webinar ウェビナー
Join us on 3 May 2023 for a dial-in session that will provide further detail on the problem space and a chance to ask questions in an open forum. If you would like to participate, please register on the Eventbrite page. 2023年5月3日に開催されるダイアルインセッションでは、問題空間のさらなる詳細と、オープンフォーラムでの質問の機会を設けますので、ご参加ください。参加ご希望の方は、Eventbriteのページより申し込むこと。
Submit a proposal 提案書の提出
Do you have an innovation that may help accelerate the development of human augmentation technologies for defence and military effect delivery? 防衛・軍事効果伝達のための人間拡張技術の開発を加速させるのに役立ちそうなイノベーションを持っているか?
Read the full competition document to learn more and submit a proposal. コンペティションの詳細を確認し、提案書を提出すること。

 

1_20230429151201

 

 

 

| | Comments (0)

英国 デジタル市場・競争・消費者法 (DMCC) 案

こんにちは、丸山満彦です。

英国政府が、デジタル市場・競争・消費者法案についてプレスリリースを公表していますね。。。

・デジタル市場の競争の監視のために、デジタル・マーケット局 (Digital Markets Unit) を作り、これが監督することになるようですね。。。

・競争市場のために、政府の調査・執行権限を強化するようですね。。。

・消費者保護のために、より迅速に対応できるようにし、罰金は最大の世界売上の10%

 

⚫︎ U.K. Gov

・2023.04.25 New bill to stamp out unfair practices and promote competition in digital markets

New bill to stamp out unfair practices and promote competition in digital markets デジタル市場における不公正な慣行を排除し、競争を促進する新法案
The CMA welcomes draft legislation enhancing its ability to promote competition and protect consumers, including new powers for its Digital Markets Unit. CMAは、デジタル・マーケット・ユニットの新たな権限を含め、競争を促進し消費者を保護する能力を強化する法案の草案を歓迎する。
The Digital Markets, Competition and Consumers (DMCC) Bill will promote growth in the UK economy by ensuring free and vigorous competition amongst businesses – both online and on the high street. It will also strengthen the Competition and Market Authority’s (CMA) powers to crack down on unfair practices. デジタル市場・競争・消費者(DMCC)法案は、オンラインと街頭の両方で、企業間の自由で活発な競争を確保することにより、英国経済の成長を促進する。また、競争・市場庁(CMA)の不公正な慣行を取り締まる権限も強化される予定である。
The bill reinforces the key principles that underpin the CMA’s work, which are about helping people, businesses and the economy. The bill has 3 areas of focus: 法案は、CMAの活動を支える主要な原則、すなわち、人々、企業、経済を支援することを強化するものである。法案は3つの分野に重点を置いている:
Consumer protection: People need to be able to shop without fear of being ripped off and fair-dealing businesses should be able to compete without being disadvantaged by those who break the rules. The CMA has taken enforcement action against those who use unfair practices to dupe people into handing over their money – taking action on fake reviews, subscription traps and pressure selling. The new rules in this bill will allow the CMA to be even more effective. They will empower the CMA to decide when consumer law has been broken, rather than having to take each case to court. This will help ensure people are protected more quickly, and fair-dealing firms are not disadvantaged. The bill will also allow the CMA to fine businesses which do break the law up to 10% of their global turnover. 消費者保護: 人々は騙される心配なく買い物をすることができ、公正な取引を行う企業は、ルールを破る人々によって不利益を被ることなく競争できる必要がある。CMAは、偽のレビュー、定期購入の罠、圧力販売など、不公正な方法で人々を騙してお金を渡す業者に対して強制措置を取ってきた。本法案の新しい規則は、CMAがさらに効果的に活動できるようにするものである。消費者法が破られた場合、個々のケースを裁判にかけるのではなく、CMAが判断できるようになるのである。これにより、人々がより迅速に保護され、公正な取引を行う企業が不利にならないようにすることができます。また、この法案により、CMAは法律に違反した企業に対し、全世界の売上高の最大10%まで罰金を科すことができるようになる。
・Digital markets: People and businesses benefit from vibrant, competitive digital markets which offer the latest products and services. The bill establishes a new, targeted regime built for the digital age, overseen by the Digital Markets Unit (DMU) in the CMA – that will use a proportionate approach to hold digital firms accountable for their actions – enabling all innovating businesses to compete fairly. It will set rules that will prevent firms with Strategic Market Status from using their size and power to limit digital innovation or market access – ensuring the UK remains a highly attractive place to invest and do business for all. ・デジタル市場: 最新の製品やサービスを提供する活気に満ちた競争力のあるデジタル市場は、人々や企業にとって有益である。この法案は、CMAのDigital Markets Unit (DMU)が監督する、デジタル時代のために構築された新しい、的を絞った体制を確立するもので、比例したアプローチでデジタル企業の行動に対する責任を追及し、すべての革新的企業が公平に競争できるようにする。また、戦略的市場地位を有する企業が、その規模や力を利用してデジタルイノベーションや市場アクセスを制限することを防ぐためのルールを設定し、英国がすべての人にとって投資やビジネスを行う上で非常に魅力的な場所であり続けることを保証するものである。
・Competition: Bolstered investigative and enforcement powers will mean the CMA can conduct faster and more flexible competition investigations, which identify and stop unlawful anticompetitive conduct more quickly. Changes to the competition framework – including updated merger and fine thresholds – will make it easier for the CMA to take action against mergers which harm UK consumers and businesses. Such changes will allow the CMA to continue to protect and promote open and free markets, spurring companies to innovate and bring more products to market, providing more choice for customers and creating a strong foundation for economic growth. ・競争: 調査権限と執行権限の強化により、CMAはより迅速かつ柔軟な競争調査を実施し、違法な反競争的行為をより迅速に特定・停止することができる。合併や罰金の閾値の更新を含む競争の枠組みの変更により、CMAは、英国の消費者や企業に損害を与える合併に対して、より簡単に行動を起こすことができるようになる。このような変更により、CMAはオープンで自由な市場を引き続き保護・促進し、企業の技術革新とより多くの製品の市場投入を促し、お客様に多くの選択肢を提供し、経済成長のための強固な基盤を作ることができるようになる。
Sarah Cardell, Chief Executive of the CMA, said: CMAの最高責任者であるサラ・カーデルは、次のように述べている:
We welcome this flagship bill which provides the CMA with new powers to do even more to protect people, businesses and support the economy. This has the potential to be a watershed moment in the way we protect consumers in the UK and the way we ensure digital markets work for the UK economy, supporting economic growth, investment and innovation. 私たちは、CMAに新たな権限を与え、人々や企業を保護し、経済を支えるためにさらに多くのことを行えるようにするこの重要な法案を歓迎する。この法案は、英国の消費者を保護する方法と、デジタル市場が英国経済のために機能し、経済成長、投資、イノベーションを支援する方法における分岐点となる可能性を持っている。
People rely on free and fair markets to get the best deal possible, but also expect that rules are in place to protect them when things go wrong. Proposals to give the CMA stronger enforcement powers when firms break consumer law – including the ability to directly impose fines for the first time – are crucial to ensure we can continue cracking down on rip-offs and underhand deals, helping to deter firms from taking advantage of people. 人々は、可能な限り最高の取引を得るために自由で公正な市場に依存しているが、同時に、物事がうまくいかないときに彼らを保護するための規則が整備されていることも期待している。企業が消費者法に違反した場合にCMAに強力な執行権限を与える提案(初めて直接罰金を科す能力を含む)は、ぼったくりや裏取引を確実に取り締まり、企業が人々を利用するのを阻止するために極めて重要である。
Digital markets offer huge benefits, but only if competition enables businesses of all shapes and sizes the opportunity to succeed. This bill is a legal framework fit for the digital age. It will establish a tailored, evidenced-based and proportionate approach to regulating the largest and most powerful digital firms to ensure effective competition that benefits everyone. デジタル市場は大きな利益をもたらするが、それは競争によって、あらゆる形や大きさの企業が成功する機会を得ることができる場合に限られます。本法案は、デジタル時代にふさわしい法的枠組みである。最大かつ最も強力なデジタル企業を規制するために、カスタマイズされた、証拠に基づく、比例したアプローチを確立し、すべての人に利益をもたらす効果的な競争を保証する。
We look forward to supporting this bill as it passes through the legislative process and stand ready to use these new powers once approved by Parliament. 私たちは、この法案が立法過程を通過する際にサポートすることを楽しみにしており、国会で承認された後は、これらの新しい権限を使用する準備が整っている。
Notes to editors 編集後記
1. The bill will be introduced to the House of Commons by Kevin Hollinrake MP, Minister for Enterprise, Markets and Small Business at the Department of Business and Trade. 1. 法案は、ビジネス・貿易省のエンタープライズ・市場・中小企業担当大臣であるケビン・ホリンレイク議員によって下院に提出される予定である。
2. Firms with substantial and entrenched market power, in at least one digital activity, providing them with a strategic position will be designated with Strategic Market Status (SMS) by the DMU and will be subject to the new regime. A threshold will apply meaning that only firms with a global turnover above £25bn, or UK turnover above £1bn, will be in scope. 2. 少なくとも1つのデジタル活動において、実質的かつ定着した市場力を持ち、戦略的な地位を有する企業は、DMUによって戦略的市場地位(SMS)に指定され、新制度の対象となる予定である。閾値が適用されるため、全世界の売上高が250億ポンド以上、または英国の売上高が10億ポンド以上の企業のみが対象となる。
3. The CMA established the DMU in shadow form in 2021 in the anticipation it would be granted statutory powers to oversee digital markets – since then it has been recruiting the necessary staff and advised government as it prepares the bill introduced today. 3. CMAは、デジタル市場を監督する法的権限が付与されることを想定して、2021年にDMUを影の組織として設立しました。それ以来、必要なスタッフを募集し、本日提出された法案の準備のために政府に助言を行っている。
4. More information on the Digital Markets Competition and Consumers Bill can be found via the Department of Business and Trade website. Journalists should contact the DBT press office for more information on the bill, timing, and the parliamentary process 4. デジタル市場競争消費者法案に関する詳細は、Department of Business and Tradeのウェブサイトからご確認いただけます。法案、時期、議会プロセスに関する詳細については、DBTプレスオフィスまで問い合わせること。
5. For media enquiries about the DMU and the proposed new regulatory regime that it will oversee, journalists can email press@cma.gov.uk 5. DMUおよびDMUが監督する新しい規制制度案に関する報道関係者のお問い合わせは、press@cma.gov.uk まで。

 

・2023.04.25 New Bill to crack down on rip-offs, protect consumer cash online and boost competition in digital markets

New Bill to crack down on rip-offs, protect consumer cash online and boost competition in digital markets ぼったくりを取り締まり、オンラインで消費者の現金を保護し、デジタル市場の競争を促進する新法案

New powers unveiled aimed at boosting competition, clamping down on subscription traps and fake reviews

競争を促進し、購読の罠や偽のレビューを取り締まることを目的とした新しい権限が発表された。
・New powers aimed at boosting competition in digital markets currently dominated by a small number of firms ・少数の企業によって支配されているデジタル市場の競争を促進することを目的とした新しい権限
・Clamping down on subscription traps that cost consumers £1.6bn a year, making it easier for consumers to opt out ・消費者に年間16億ポンドの損害を与えている定期購入の罠を取り締まり、消費者がオプトアウトしやすくする
・Tackling fake reviews so customers aren’t cheated by bogus ratings ・偽の評価でお客様が騙されないように、偽のレビューに取り組む
New legislation will today (25 April) be introduced to ensure businesses and consumers are protected from rip-offs and can reap the full benefits of the digital economy with confidence. 本日(4月25日)、企業および消費者を詐欺から守り、安心してデジタル経済の恩恵を最大限に享受できるようにするための新しい法律が導入されます。
Fake reviews that cheat customers, subscription traps that cost more than a billion pounds a year and new powers for the Competition and Markets Authority (CMA) to tackle businesses that breach consumer rights law are all elements of today’s far-reaching Bill. 顧客を騙す偽のレビュー、年間10億ポンド以上の損害を与える定期購入の罠、消費者の権利に関する法律に違反する企業に取り組む競争市場局(CMA)の新しい権限などは、すべて今日の広範囲に及ぶ法案の要素である。
In competitive markets, firms strive to give consumers the best products, most choice, and lowest possible prices. The Bill will provide the CMA with stronger tools to investigate competition problems and take faster, more effective action, including where companies collude to bump-up prices at the expense of UK consumers. 競争市場では、企業は消費者に最高の製品、最も多くの選択肢、そして可能な限り低い価格を提供するよう努力する。この法案は、企業が結託して英国の消費者を犠牲にして価格をつり上げる場合など、競争上の問題を調査し、より迅速で効果的な措置をとるための強力な手段をCMAに提供するものである。
The CMA will be able to directly enforce consumer law rather than go through lengthy court processes. The reforms will also heighten the consequences for wrongdoers as the CMA and the courts will have the power to impose penalties of up to 10% of global turnover for breaching consumer law. CMAは、長い裁判手続きを経ずに、消費者法を直接執行することができるようになる。この改革により、CMAと裁判所は、消費者法違反に対して全世界の売上高の最大10%の罰則を科す権限を持つことになり、不正行為者への影響も大きくなる。
Today’s Bill will also enable the Government to ban the practice of facilitating fake reviews or advertising consumer reviews without taking reasonable steps to check they are genuine. New rules will ensure consumers can exit subscriptions in a straightforward, cost-effective, and timely way and require that businesses issue a reminder to consumers when a free trial or introductory offer is coming to an end. 本日の法案により、政府は、偽のレビューを助長する行為や、本物であることを確認する合理的な手順を踏まずに消費者レビューを宣伝する行為を禁止することも可能となる。新たな規則により、消費者が分かりやすく、費用対効果が高く、タイムリーな方法で購読を終了できるようにし、無料体験や紹介キャンペーンが終了する際には、企業が消費者にリマインダーを発行することを義務付ける。
This will help deliver one of the Government’s five priorities to grow the economy by increasing consumer choice and confidence in the products they buy and services they use. これにより、消費者の選択肢を増やし、購入する製品や利用するサービスに対する信頼感を高めることで、政府の5つの優先事項の1つである経済成長を実現することができるのである。
Business and Trade Minister Kevin Hollinrake said: Kevin Hollinrakeビジネス・アンド・トレード大臣は次のように述べている:
Smartphones and online shopping have profoundly changed the landscape for businesses, consumers and the foundations of a modern thriving economy, which now lie in strong consumer choice, confidence and competition. スマートフォンとオンラインショッピングは、企業や消費者の状況を大きく変え、現代の繁栄する経済の基盤は、消費者の強い選択、信頼、競争にあります。
From abuse of power by tech giants, to fake reviews, scams and rip-offs like being caught in a subscription trap - consumers deserve better. The new laws we’re delivering today will empower the CMA to directly enforce consumer law, strengthen competition in digital markets and ensure that people across the country keep hold of their hard-earned cash. ハイテク企業による権力の乱用から、偽のレビュー、詐欺、定期購入の罠にはまるようなぼったくりまで、消費者にはもっと良いものがあるはずである。今日、私たちが提出する新しい法律は、CMAに消費者法を直接執行する権限を与え、デジタル市場の競争を強化し、全国の人々が苦労して稼いだお金を維持できるようにするものである。
As part of the Bill, a Digital Markets Unit (DMU) within the CMA will be given new powers to tackle the excessive dominance that a small number of tech companies have held over consumers and businesses in the UK. This market dominance has stifled innovation and growth across the economy, holding back start-ups and smaller firms from accessing markets and consumers. 法案の一部として、CMAのデジタル・マーケット・ユニット(DMU)には、少数のハイテク企業が英国の消費者や企業に対して保持してきた過度の支配に取り組むための新しい権限が与えられます。このような市場支配は、経済全体のイノベーションと成長を阻害し、新興企業や中小企業が市場や消費者にアクセスすることを妨げている。
The government’s new digital regime will give the DMU powers to ensure that businesses and consumers are not unfairly disadvantaged by the biggest players, allowing them access to dynamic and thriving digital markets that will ultimately support our economy to grow. If a firm is deemed to have strategic market status in key digital services, the DMU will be able to step in to set tailored rules on how they behave and operate. 政府の新しいデジタル制度は、企業や消費者が最大手によって不当に不利益を被ることがないよう、DMUに権限を与え、ダイナミックで繁栄するデジタル市場へのアクセスを可能にし、最終的に経済の成長を支援するものである。ある企業が主要なデジタルサービスにおいて戦略的市場地位を有すると判断された場合、DMUは、その企業の行動や運営方法についてカスタマイズされたルールを設定するために介入することができるようになる。
For example, the biggest tech firms may be instructed by the DMU to provide more choice and transparency to their customers. If firms don’t abide by these rules, the DMU will have the power to fine them up to 10% of their global turnover. 例えば、最大手のハイテク企業は、顧客により多くの選択肢と透明性を提供するようDMUから指示されるかもしれない。もし企業がこれらのルールを守らない場合、DMUはその企業の世界売上高の最大10%までの罰金を科す権限を持つことになる。
The DMU will also be able to tackle the root causes of competition issues in digital markets by carrying out targeted interventions, opening up new paths for start-ups or smaller firms that have previously struggled to grow and compete in these markets. また、DMUは、デジタル市場における競争問題の根本的な原因に対して、的を絞った介入を行い、これまで市場の成長と競争に苦戦していた新興企業や中小企業に新たな道を開くことができるようになる予定である。
Firms may be told to give customers greater flexibility when purchasing products online and to break down restrictive technical barriers that block users from using products on different devices and systems. The new regime will drive innovation across the entire economy, maintain and further the UK as an attractive tech destination for international investment, and make the digital economy a fairer place for businesses and customers. 企業は、顧客がオンラインで製品を購入する際に、より大きな柔軟性を与え、ユーザーが異なるデバイスやシステムで製品を使用することを妨げる制限的な技術的障壁を取り除くよう指示されるかもしれない。新体制は、経済全体のイノベーションを促進し、国際的な投資先として魅力的なハイテク産業としての英国を維持・発展させ、デジタル経済を企業や顧客にとってより公正な場所にするものである。
Paul Scully, Minister for Tech and the Digital Economy said: ポール・スカリー技術・デジタル経済担当大臣は、次のように述べている:
Today’s announcement shows we are proudly pro-growth and pro-innovation across the board in the tech sector, seeking to open up new opportunities for all firms, however small or large they are, while empowering consumers. 本日の発表は、私たちがハイテク分野全般において、誇りを持って成長促進とイノベーション促進を図っていることを示すものであり、規模の大小にかかわらず、すべての企業に新しい機会を提供し、消費者に力を与えることを目指している。
The Prime Minister has made his intention to secure growth and innovation within every corner of our economy very clear – the new Digital Markets Unit will help fulfil this important priority for the UK in the digital economy. 首相は、経済の隅々まで成長とイノベーションを確保する意図を明確にしている。新しいデジタル・マーケッツ・ユニットは、デジタル経済における英国のこの重要な優先事項を実現するのに役立つだろう。
Rocio Concha, Which? Director of Policy and Advocacy, said: Which?の政策・アドボカシー担当ディレクターであるRocio Conchaは、次のように述べている。政策・アドボカシー担当ディレクターのRocio Conchaは、次のように述べている:
This bill is a pivotal step to make markets in the UK work better for consumers, businesses and support economic growth. この法案は、英国の市場を消費者や企業にとってより良く機能させ、経済成長を支えるための極めて重要なステップである。
Whether it’s fake reviews by dishonest businesses or people getting trapped in unwanted and costly subscriptions, our consumer protections are overdue an upgrade. Which? has long campaigned for stronger powers for the Competition and Markets Authority, including tough enforcement and the ability to fine firms that break the law directly. 不誠実な企業による偽のレビューや、不要で高額な定期購入に引っかかる人々など、私たちの消費者保護はアップグレードが必要な時期に来ている。Which?は、厳しい取締りや、法を犯した企業に直接罰金を科す能力など、競争市場庁の権限強化について長年キャンペーンを行ってきた。
The empowerment of the CMA’s Digital Markets Unit will also be a major step forward. It needs the right powers to loosen the vice-like grip of a handful of tech giants that will foster innovation and give consumers more choice and lower prices. CMAのDigital Markets Unitに権限が与えられることも、大きな前進となるだろう。CMAは、一握りのハイテク企業の支配力を緩め、イノベーションを促進し、消費者により多くの選択肢と低価格を提供するための適切な権限を必要としている。
Dom Hallas, Executive Director at Coadec, said: Coadecのエグゼクティブ・ディレクターであるDom Hallasは、次のように述べている:
Startups thrive in competitive markets but currently too many are grappling with bed-blocking incumbents in broken markets. The Digital Markets Unit can become a powerful tool to help innovative companies break through. 新興企業は、競争力のある市場で成長するが、現在、あまりにも多くの企業が、崩壊した市場で既存企業の妨害に悩まされている。デジタルマーケッツユニットは、革新的な企業の躍進を支援する強力なツールになるだろう。
UKHospitality Chief Executive Kate Nicholls said: UKHospitalityの最高責任者であるKate Nichollsは次のように述べている:
We’re pleased that the Government has listened to the concerns of hospitality businesses about fake reviews and have taken swift action to tackle it, by giving the CMA enhanced powers through this Bill. 政府が、偽のレビューに関するホスピタリティ企業の懸念に耳を傾け、この法案を通じてCMAに強化された権限を与えることで、偽のレビューに取り組むための迅速な行動を取ったことを嬉しく思いる。
Fake reviews do irreparable damage to businesses, offer consumers a misleading view of a business and devalue the efforts of honest customers leaving genuine feedback. This Bill will help to deliver fairness for both hospitality venues and their customers in this area, and we look forward to working with Government to achieve this. 偽のレビューは、ビジネスに回復不能なダメージを与え、消費者にビジネスに対する誤解を与え、本物のフィードバックを残す正直な顧客の努力を無価値にする。本法案は、この分野において、ホスピタリティ施設とその顧客の双方に公平性をもたらすのに役立ち、その実現に向けて政府と協力することを楽しみにしている。
Sarah Cardell, Chief Executive of the CMA, said: CMAの最高責任者であるサラ・カーデルは、次のように述べている:
The new powers in this bill help the CMA take swift, decisive action to tackle rip offs, protecting consumers whether they are shopping online or on the high street. The new fining powers will provide an important deterrent to businesses seeking to take advantage of people while also ensuring fair dealing businesses can thrive. この法案に盛り込まれた新しい権限は、CMAが迅速かつ断固とした態度でぼったくりに対処し、オンラインショッピングであれ街角であれ、消費者を保護するためのものである。新しい罰金制度は、人々を利用しようとする企業に対する重要な抑止力となると同時に、公正な取引を行う企業の繁栄も保証するものである。
The bill will also strengthen the Digital Markets Unit, helping to ensure digital markets remain competitive and continue to benefit people, business, and the UK economy. We welcome its introduction to parliament and look forward to it progressing. また、この法案はDigital Markets Unitを強化し、デジタル市場が競争力を維持し、人々、ビジネス、英国経済に利益をもたらし続けることを保証するのに役立つ。私たちは、この法案が議会に提出されたことを歓迎し、この法案の進展を楽しみにしている。
Background: 背景
New measures will come into effect as soon as possible following parliamentary approval, subject to secondary legislation and the publication of guidance. 新しい措置は、二次的な法律とガイダンスの公表を条件として、議会の承認後、できるだけ早く発効する予定である。
Today’s announcement follows the Government’s responses to the ‘reforming competition and consumer policy’ and ‘a new pro-competition regime for digital markets’ consultations published last year. The government received feedback from businesses, consumers groups, regulators and others to ensure today’s reforms provide for the strong and proportionate competition and consumer law and enforcement that consumers and businesses need to thrive. 本日の発表は、昨年発表された「競争・消費者政策の改革」および「デジタル市場のための新たな競争促進体制」協議に対する政府の回答を受けたものである。政府は、企業、消費者団体、規制当局などからフィードバックを受け、本日の改革が、消費者と企業の繁栄に必要な強力かつ適切な競争・消費者法および執行を提供することを確認しました。
Consumer protection policy is devolved to Northern Ireland but reserved for Scotland and Wales. Competition policy, including digital competition, is reserved for the whole of the United Kingdom. 消費者保護政策は北アイルランドに委ねられ、スコットランドとウェールズには留保されている。デジタル競争を含む競争政策は、英国全体に留保されている。
Firms may be given instruction by the DMU to open up their data to rival search engines, or to increase the transparency of how their app store or marketplace review systems work. If firms don’t abide by the rules set for them, the DMU will have the power to fine them up to 10% of their global turnover and make senior managers personally responsible for ensuring their company complies with the DMU’s requests. 企業は、ライバルの検索エンジンにデータを公開したり、アプリストアやマーケットプレイスのレビューシステムの仕組みの透明性を高めるよう、DMUから指示を受けることがあります。企業が定められたルールを守らない場合、DMUは最大で全世界の売上高の10%までの罰金を科す権限を持ち、DMUの要求に企業が従うことを保証する責任を上級管理職に負わせることになる。
Fake reviews will be tackled by taking a new power in the Bill and consulting on a new law against: 偽のレビューについては、法案に新たな権限を設け、これに対抗する新たな法律について協議することで対処する:
Commissioning someone to write or submit a fake review; 偽のレビューを書く、または投稿するよう誰かに依頼すること;
Posting consumer reviews without taking reasonable steps to check they are genuine; and 消費者のレビューが本物であることを確認するための合理的な手順を踏まずに投稿すること。
Offering or advertising to submit, commission or facilitate fake reviews. 偽のレビューを投稿、委託、促進することを提案または宣伝すること。
‘Subscription traps’ in which businesses make it difficult to exit a contract will also be stopped. Under new rules, businesses must: 企業が契約解除を困難にする「サブスクリプション・トラップ」も停止される予定である。新しい規則では、企業は次のことをしなければならない:
Provide clearer information to consumers before they enter a subscription contract; 消費者が購読契約を結ぶ前に、より明確な情報を提供すること;
Issue a reminder to consumers that a free trial or low-cost introductory offer is coming to an end, and a reminder before a contract auto-renews onto a new term; and 無料体験や低価格の紹介キャンペーンが終了すること、および契約が新しい期間に自動更新される前に消費者に注意喚起を行うこと。
Ensure consumers can exit a contract in a straightforward, cost-effective and timely way. 消費者が、わかりやすく、費用対効果の高い、タイムリーな方法で契約を終了できるようにする。
The enforcement of consumer rights law is also being strengthened. In the three years from 2018/19 to 2020/21, the CMA’s actions provided a direct financial benefit to consumers worth £7.7 billion. Today’s announcement will build on this success. 消費者の権利に関する法律の執行も強化されている。2018/19から2020/21までの3年間で、CMAの行動は77億ポンド相当の消費者に直接的な金銭的利益をもたらしました。本日の発表は、この成功をさらに発展させるものである。
The CMA will be able to award compensation to consumers and directly impose financial penalties for: CMAは、消費者に補償を与え、以下のような金銭的な罰則を直接科すことができるようになる:
Breaching consumer protection laws, of up to 10% of global annual turnover for businesses or up to £300,000 in the case of an individual; 消費者保護法に違反した場合、企業の場合は全世界の年間売上高の最大10%、個人の場合は最大30万ポンドまでの罰金を科す;
Breaching undertakings given to the CMA, with penalties worth up to 5% of a business’ annual global turnover or up to £150,000 for an individual, and additional daily penalties for continued non-compliance; and CMAに提出した約束に違反した場合、企業の年間売上高の最大5%、個人の場合は最大15万ポンドに相当する罰則、および違反が継続した場合はさらに日当が加算される。
Non-compliance with an information notice, concealing evidence or providing false information, with penalties worth up to 1% of a business’ annual global turnover or up to £30,000 for an individual, and additional daily penalties for continued non-compliance. 情報通知への不遵守、証拠の隠蔽、虚偽の情報の提供には、企業の年間グローバル売上高の最大1%または個人の最大3万ポンド相当の罰則があり、不遵守が続くとさらに日当が発生する。

 

 

法案はたぶんこちら...

 

⚫︎U.K. Parilament

・2023.04.26 Digital Markets, Competition and Consumers Bill

・[PDF

20230429-21618

 

目次...

・[DOCX] 仮対訳中

 

 

 

| | Comments (0)

金融庁 オペレーショナル・レジリエンス確保に向けた基本的な考え方

こんにちは、丸山満彦です。

金融庁が、「オペレーショナル・レジリエンス確保に向けた基本的な考え方」について、パブリックコメントを受けて確定版を公表していますね。。。

 

金融庁

・2023.04.27 「オペレーショナル・レジリエンス確保に向けた基本的な考え方」(案)に対するパブリック・コメントの結果等の公表について

 

・[PDF] (別紙1)  コメントの概要及び金融庁の考え方

・[PDF] (別紙2)  「オペレーショナル・レジリエンス確保に向けた基本的な考え方」

20230629-151807

 

・[PDF] (別紙3)  「オペレーショナル・レジリエンス確保に向けた基本的な考え方」(概要)

20230629-154211

 

・[PDF] (別紙4)  「オペレーショナル・レジリエンス確保に向けた基本的な考え方」(英訳)

 

 

パブコメ時...

・2022.12.16「オペレーショナル・レジリエンス確保に向けた基本的な考え方」(案)への意見募集について

 

 


オペレーショナル・レジリエンスのための諸原則、健全なオペレーショナル・リスク管理のための諸原則の改訂の公表時...

 

・2021.04.02 バーゼル銀行監督委員会による「オペレーショナル・レジリエンスのための諸原則」及び「健全なオペレーショナル・リスク管理のための諸原則の改訂」の公表について

・[PDF] 「オペレーショナル・レジリエンスのための諸原則」の公表について

20230629-153822

 

 

・[PDF] 「健全なオペレーショナル・リスク管理のための諸原則の改訂」の公表について

20230629-153712

 


・2020.08.13 バーゼル銀行監督委員会による市中協議文書 「オペレーショナル・レジリエンスのための諸原則」及び「健全なオペレーショナル・リスク管理のための諸原則の改訂」の公表について


・[PDF] バーゼル委による市中協議文書「健全なオペレーショナル・リスク管理のための諸原則(改訂版)」、「オペレーショナル・レジリエンスのための諸原則」について

20230629-153507

 


 

きっかけとなった、2020年8月のBISにおける「オペレーショナル・レジリエンスのための諸原則」の改訂

BIS

プレス・リリース

・2020.08.06 Basel Committee releases consultative documents on principles for operational risk and operational resilience

市中協議文書「オペレーショナル・レジリエンスのための諸原則」

・[PDF]  Consultative Document Principles for operational resilience

20230629-152856

・[DOCX] 仮訳

 

 

市中協議文書「健全なオペレーショナル・リスク管理のための諸原則の改訂」

・[PDF] Consultative Document Revisions to the principles for the sound management of operational risk

20230629-153105

・[DOCX] 仮訳

 

 


 

| | Comments (0)

米国 NISTIR 8460 (ドラフト) 状態機械複製とビザンチン敵対者のコンセンサス

こんにちは、丸山満彦です。

322ページの大作!!! かなり専門的... そして、、、カタカナだらけになる...

ざっとしか見ていないが、全部をすぐに理解するのは難しそう...

 

⚫︎ NIST - ITL

・2023.04.26 NISTIR 8460 (Draft) State Machine Replication and Consensus with Byzantine Adversaries

 

NISTIR 8460 (Draft) State Machine Replication and Consensus with Byzantine Adversaries NISTIR 8460 (ドラフト) 状態マシーンレプリケーションとビザンチン敵対者のコンセンサス
Announcement 通知
Most applications on the internet are run by centralized service providers that are a single point of failure: if the provider crashes or is malicious, users may lose access to the application, or it may return erroneous or inconsistent results. Consensus algorithms and state machine replication enable a set of mutually distrusting parties to emulate a centralized service in a fault-tolerant and distributed manner. Although the study of these algorithms began in the 1980s, research has accelerated dramatically since the advent of Bitcoin in 2008. インターネット上のほとんどのアプリケーションは、単一障害点である集中型サービスプロバイダーによって実行されている。プロバイダーがクラッシュしたり悪意があったりすると、ユーザーはアプリケーションにアクセスできなくなったり、誤った結果や矛盾した結果を返したりする可能性がある。コンセンサスアルゴリズムと状態マシンのレプリケーションにより、相互に不信感を持つパーティーの集合が、フォールトトレラントで分散した方法で集中型サービスをエミュレートすることができます。これらのアルゴリズムの研究は1980年代に始まったが、2008年のBitcoinの登場以降、研究が劇的に加速している。
This document provides a survey on consensus algorithms, state machine replication, and distributed ledger technology for readers who already possess a high-level understanding of distributed ledgers, such as that provided by NIST IR 8202, Blockchain Technology Overview. After introducing the properties of these systems, the models they operate in, and the subprotocols used to implement them, this document provides a detailed look at many of the most prominent permissioned and permissionless algorithms in the literature with a focus on performance and security considerations. Finally, a variety of related topics are discussed, including state machine design, interoperability, scalability mechanisms such as sharding and "layer 2" technologies, and how incentives can impact system security. 本書では、NIST IR 8202「ブロックチェーン技術の概要」のような分散型台帳に関する高度な理解をすでに持っている読者を対象に、コンセンサスアルゴリズム、状態マシーンレプリケーション、分散型台帳技術に関するサーベイを提供する。これらのシステムの特性、それらが動作するモデル、およびそれらを実装するために使用されるサブプロトコルを紹介した後、本書は、パフォーマンスとセキュリティの考慮事項に焦点を当て、文献で最も著名な許可付きおよび許可なしアルゴリズムの多くを詳細に見ている。最後に、状態マシン設計、相互運用性、シャーディングや「レイヤー2」技術などのスケーラビリティメカニズム、インセンティブがシステムセキュリティに与える影響など、さまざまな関連トピックについて議論する。
Abstract 概要

The objective of state machine replication (SMR) is to emulate a centralized service in a distributed, fault-tolerant fashion. To this end, a set of mutually distrusting processes must agree on the execution of client-submitted commands. Since the advent of Bitcoin, the idea of SMR has received significant attention. This document surveys both classical and more modern research on SMR and details many of the most significant permissioned and permissionless algorithms, their performance, and security considerations.

状態マシーンレプリケーション(SMR)の目的は、集中型サービスを分散型かつフォールトトレラントな方法でエミュレートすることである。そのためには、相互に不信感を抱く一連のプロセスが、クライアントから提出されたコマンドの実行に同意する必要がある。Bitcoinの登場以来、SMRの考え方は大きな注目を浴びている。本書では、SMRに関する古典的な研究と最新の研究の両方を調査し、最も重要なパーミッション付き、パーミッションなしのアルゴリズムの多く、その性能、およびセキュリティに関する考察を詳述する。

・[PDF] NISTIR 8460 (Draft)

20230428-233101

 

エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー 
Since the deployment of Bitcoin on January 3rd, 2009, and its description by the pseudonymous Satoshi Nakamoto in 2008 [1], research and development of new, practical state machine replication (SMR) systems have surged. It has been stated that Bitcoin provided a solution to the "Byzantine Generals Problem." While not strictly true, it is a useful starting point for this document’s analysis of consensus algorithms, state machine replication, and distributed ledger technology (DLT).  2009年1月3日にBitcoinが登場し、2008年にSatoshi Nakamoto氏によって記述されて以来[1]、新しい実用的な状態マシーンレプリケーション(SMR)システムの研究・開発が急増している。ビットコインは、"ビザンチン将軍問題 "の解決策を提供したと言われている。厳密には事実ではないが、本書のコンセンサスアルゴリズム、状態マシーンレプリケーション、分散型台帳技術(DLT)の分析の出発点として有用である。
More generally, the goal of these types of problems is to allow a set of mutually distrusting processes (e.g., computer processes) to agree on the outcome of some deliberation despite the possibility that some of them are faulty or even malicious. In essence, the goal is to provide some service to clients that emulates a centralized service while operating as a distributed server. There are a variety of ways to formulate this problem (several are described in Section 1), but they all require some notion of agreement between the distributed processes. Research in this area began in the early 1980s when the Byzantine Agreement [2] and Byzantine Generals [3] problems were formulated. The frst algorithms to solve these problems were extremely ineffcient, and real-world usage did not become plausible until the celebrated Practical Byzantine Fault Tolerance (PBFT) algorithm was invented in 1999 [4].  より一般的には、この種の問題の目的は、相互に不信感を抱く一連のプロセス(例えばコンピュータプロセス)が、その一部が欠陥があったり悪意があったりする可能性があるにもかかわらず、ある審議の結果について合意することを可能にすることである。要するに、分散サーバーとして動作しながら、集中型サービスをエミュレートする何らかのサービスをクライアントに提供することが目的である。この問題の定式化には様々な方法があるが(いくつかの方法はセクション1で説明)、いずれも分散プロセス間の合意に関する何らかの概念を必要とする。この分野の研究は、1980年代前半にビザンチン合意[2]とビザンチン将軍[3]という問題が定式化されたときに始まった。これらの問題を解く最初のアルゴリズムは極めて非科学的であり、1999年に有名なPBFT(Practical Byzantine Fault Tolerance)アルゴリズムが発明されるまで、実世界での使用は妥当なものではなかった[4]。
Until the advent of Bitcoin, it was believed that all distributed agreement algorithms required a fxed set of identifable participants known in advance. Bitcoin was the frst protocol to demonstrate that consensus can be maintained across distributed processes in an open network with free entry and no fxed identifers. Today, the terms permissioned and permissionless are used to describe the difference between the two models.  Bitcoinが登場するまでは、すべての分散型合意アルゴリズムは、事前に知っている特定可能な参加者のセットを必要とすると信じられていた。Bitcoinは、自由な参加と身元確認ができないオープンネットワークにおいて、分散プロセス間でコンセンサスを維持できることを実証した最初のプロトコルである。今日、この2つのモデルの違いを表現するために、許可制と許可なしという用語が使われている。
Bitcoin also popularized the idea of a blockchain as the data structure over which the distributed processes maintain agreement. Since then, the concept has been generalized to distributed ledgers more broadly. A blockchain is an ordered list of client-submitted commands, or transactions, that modify the system state. Because all participants execute the same agreed-upon commands in the same order, participants are able to maintain a common view of the execution of a protocol-defned state machine. In addition to cryptocurrencies, state machine replication and the smart contracts they enable have been suggested for use in trade settlement, fnance, identity management, supply chains, healthcare, Internet of Things (IoT), and other industries.  また、ビットコインは、分散プロセスが合意を維持するためのデータ構造として、ブロックチェーンという考え方を普及させた。それ以来、この概念はより広範な分散型台帳に一般化されている。ブロックチェーンは、クライアントから提出されたコマンド(トランザクション)の順序付きリストであり、システムの状態を変更するものである。すべての参加者が同じ順序で合意したコマンドを実行するため、参加者はプロトコル定義された状態マシンの実行に関する共通のビューを維持することができます。暗号通貨に加え、状態マシンのレプリケーションとそれが可能にするスマートコントラクトは、貿易決済、フナンス、ID管理、サプライチェーン、ヘルスケア、モノのインターネット(IoT)、その他の産業での利用が提案されている。
0.1. Purpose and Scope  0.1. 目的および範囲 
This document is intended to serve as an advanced treatment of consensus algorithms, state machine replication, and distributed ledger technology. It may also function as a reference for consensus algorithms as it contains fairly detailed descriptions of a variety of algorithms that may be useful in different scenarios. The reader is expected to already have a highlevel understanding of distributed ledger technology, such as that provided by NIST IR 8202, Blockchain Technology Overview [5].  本書は、コンセンサスアルゴリズム、状態マシンのレプリケーション、分散型台帳技術の高度な扱いとして機能することを意図している。また、異なるシナリオで有用と思われる様々なアルゴリズムのかなり詳細な説明を含んでいるため、コンセンサスアルゴリズムのリファレンスとしても機能する可能性がある。読者は、NIST IR 8202, Blockchain Technology Overview [5]で提供されているような分散型台帳技術について、すでに高いレベルの理解を持っていることが期待される。
This document frst discusses the properties required of distributed consensus systems and the many kinds of subprotocols used to implement them in a variety of system models. Many algorithms, both permissioned and permissionless, are then described in detail. The discussion on permissioned consensus starts with the classic PBFT algorithm but focuses heavily on techniques that have been developed more recently and improve performance or enable security in more challenging environments. Permissionless algorithms are divided into categories based on the Sybil-resistance mechanism employed – that is, proof of work (PoW), proof of stake (PoS), and alternative mechanisms. There is extensive discussion on the unique security issues that arise in each case, the architectural reasons they exist, and techniques that can be used to mitigate them. Finally, a variety of more advanced topics are discussed, including scalability methods such as sharding and "layer 2" technologies, interoperability, state machine design, networking, and how incentives impact system security.  本書では、まず、分散型コンセンサスシステムに求められる特性と、それを様々なシステムモデルで実装するために使用される多くの種類のサブプロトコルについて説明する。そして、許可制と許可なしの両方の多くのアルゴリズムが詳細に説明されている。パーミッションコンセンサスに関する議論は、古典的なPBFTアルゴリズムから始まるが、より最近開発され、性能を向上させたり、より困難な環境でのセキュリティを可能にする技術に大きく焦点を当てている。許可なしアルゴリズムは、採用されたシビル耐性メカニズム、すなわちプルーフオブワーク(PoW)、プルーフオブ状態(PoS)、および代替メカニズムに基づくカテゴリに分けられる。また、それぞれのケースで発生するユニークなセキュリティ問題、それが存在するアーキテクチャ上の理由、そしてそれらを軽減するために使用できる技術について、広範な議論が行われている。最後に、シャーディングや「レイヤー2」技術などのスケーラビリティ手法、相互運用性、状態マシン設計、ネットワーキング、インセンティブがシステムセキュリティに与える影響など、より高度なトピックについてさまざまな議論を展開する。
0.2. Notes on Terminology  0.2. 用語に関する注意事項 
The distributed systems literature is rife with synonyms and inconsistent or imprecise use of terms. When the word "consensus" appears in this document, it is meant as a generalization that captures all of the agreement problems described, including various broadcast problems, Byzantine Agreement, and state machine replication. The term "broadcast" – when not being used to describe broadcast problems specifcally – is meant to convey the idea of simultaneously transmitting a message to multiple peers. In addition, the ill-defned term "decentralized," which is used frequently in the literature, is discussed in more detail in section 3.1.  分散システムの文献には、同義語や一貫性のない、あるいは不正確な用語の使い方があふれている。この文書で "consensus "という言葉が登場するとき、それは様々なブロードキャスト問題、ビザンチン合意、状態マシンのレプリケーションなど、説明されている合意問題のすべてを捕らえる一般化として意味されている。ブロードキャスト」という用語は、ブロードキャスト問題を具体的に説明するために使用されていない場合、複数のピアにメッセージを同時に送信するという考えを伝えることを意味している。さらに、文献で頻繁に使用されている定義が不明確な用語「分散型」については、3.1節で詳しく説明する。
Several groups of synonymous words appear in this document. Most of the time, terminology from the original source paper was used. For example, the terms "node," "replica," "process," "validator," and "miner" are used as synonyms but often in slightly different contexts, such as an entity that participates in consensus. Many protocols have leaders, which may be called the "primary" or "block producer." When a node is not the leader, it may be a "secondary" or "backup." A "malicious" node may be considered "Byzantine," "faulty," "corrupt," or "dishonest," whereas honest nodes are sometimes called "correct." When nodes eventually agree on a value, it is sometimes said that they "decide," "output," or "accept" the value.  本書では、いくつかの同義語のグループが登場する。ほとんどの場合、原典の論文の用語が使用されている。例えば、「ノード」、「レプリカ」、「プロセス」、「バリデータ」、 「マイナー」という用語は同義語として使用されるが、コンセンサスに参加するエンティティ など、少し異なる文脈で使用されることがよくある。多くのプロトコルにはリーダーが存在し、"プライマリ "または "ブロックプロデューサー "と呼ばれることがある。ノードがリーダーでない場合、"セカンダリー "または "バックアップ "となることがある。悪意のある」ノードは、「ビザンチン」、「フォルティ」、「コラプト」、「不誠実」とみなされることがあるが、正直なノードは「正しい」と呼ばれることがある。ノードが最終的にある値に合意した場合、その値を「決定」「出力」「受容」したと言われることもある。
The term "blockchain" is defned in NIST IR 8202, Blockchain Technology Overview:  ブロックチェーン」という用語は、NIST IR 8202「Blockchain Technology Overview」で定義されている: 
Blockchains are distributed digital ledgers of cryptographically signed transactions that are grouped into blocks. Each block is cryptographically linked to the previous one (making it tamper evident) after validation and undergoing a consensus decision. As new blocks are added, older blocks become more diffcult to modify (creating tamper resistance). New blocks are replicated across copies of the ledger within the network, and any conficts are resolved automatically using established rules. [5]  ブロックチェーンは、暗号的に署名された取引の分散型デジタル台帳で、ブロックにグループ化されている。ブロックチェーンは、暗号的に署名された取引の分散型デジタル台帳であり、ブロックにグループ化される。各ブロックは、検証および合意決定を経て、前のブロックと暗号的にリンクされる(改ざんが明らかになります)。新しいブロックが追加されると、古いブロックは修正が難しくなります(耐タンパ性が生まれます)。新しいブロックは、ネットワーク内の台帳のコピーにレプリケーションされ、混乱は確立されたルールを使って自動的に解決される。[5] 
While this is a good description of some specifc blockchains, the term is used here to only mean "a chain of blocks," capturing the fact that blocks are cryptographically linked together in a list. This makes blockchains a particular data structure within a broader set of distributed ledgers.  これは、ある特定のブロックチェーンの良い説明であるが、この用語は、ブロックが暗号的にリストでリンクされているという事実を捕らえ、「ブロックの連鎖」という意味でのみ使用されている。このため、ブロックチェーンは、より広範な分散型台帳の中の特定のデータ構造となっている。
0.3. Document Structure  0.3. 文書構造 
The rest of this document is organized as follows:  本書の残りの部分は、以下のように構成されている: 
•  Sections 1-3 are introductory material. Section 1 introduces the formal problems that are solved by the protocols described throughout the document and some of the model assumptions under which the problems can be solved. Section 2 describes the various sub-protocols and components that are often used in designing distributed ledger systems for SMR. Section 3 discusses the trade-offs between maintaining "decentralization" and the scalability of DLT systems.  ・セクション1~3は入門的な資料である。セクション1では、本書で説明するプロトコルが解決する形式問題と、その問題を解決するためのモデル前提のいくつかを紹介する。セクション2では、SMRの分散台帳システムを設計する際によく使われる様々なサブプロトコルとコンポーネントについて説明する。セクション3では、「分散性」の維持とDLTシステムのスケーラビリティのトレードオフについて議論する。
•  Sections 4-8 describe protocols for permissioned consensus. Section 4 describes Practical Byzantine Fault Tolerance (PBFT), the frst system design scalable enough to be used in practice. Section 5 describes more modern, high-performance consensus algorithms. Section 6 discusses algorithms that are designed for asynchronous networks where messages may be arbitrarily delayed. Section 7 surveys a variety of extra properties that one might desire from a permissioned consensus algorithm. Section 8 describes protocols where participants may select their own quorums of trusted replicas and need not be aware of the existence of every replica in the network.  ・セクション4-8では、許可制コンセンサスのためのプロトコルについて説明する。セクション4では、実用上十分なスケーラビリティを持つ最初のシステム設計であるPBFT(Practical Byzantine Fault Tolerance)について述べる。セクション5では、より現代的で高性能なコンセンサスアルゴリズムについて説明する。セクション6では、メッセージが任意に遅延する可能性のある非同期ネットワーク用に設計されたアルゴリズムについて説明する。セクション7では、許可されたコンセンサスアルゴリズムに望まれるであろう様々な追加的な特性について調査している。セクション8では、参加者が信頼できるレプリカのクォーラムを選択することができ、ネットワーク内のすべてのレプリカの存在を認識する必要がないプロトコルについて説明する。
•  Sections 9-11 discuss protocols that use proof of work (PoW) as a Sybil-resistance mechanism. Section 9 discusses aspects common to most PoW protocols. Section 10 describes Nakamoto Consensus – the protocol used by Bitcoin – in detail. Section 11 describes a wide variety of PoW consensus designs.  ・セクション9-11では、シビル耐性メカニズムとしてプルーフ・オブ・ワーク(PoW)を使用するプロトコルを説明する。セクション9では、ほとんどのPoWプロトコルに共通する側面について説明する。セクション10では、Bitcoinで使用されているプロトコルであるNakamoto Consensusについて詳しく説明している。セクション11では、様々なPoWコンセンサスの設計について説明する。
•  Sections 12-13 discuss protocols that use proof of stake (PoS) as a Sybil-resistance mechanism. Section 12 provides a historical overview of PoS and the security issues that need to be considered as part of PoS algorithm design. Section 13 describes a variety of specifc PoS protocols.  ・セクション12~13では、シビル耐性メカニズムとしてプルーフ・オブ・状態(PoS)を使用するプロトコルについて説明する。セクション12では、PoSの歴史的な概要と、PoSアルゴリズム設計の一部として考慮する必要があるセキュリティ問題について説明する。セクション13では、様々なPoSプロトコルを説明する。
•  Section 14 discusses protocols that use alternative Sybil-resistance algorithms, such as proof of space, as well as hybrid mechanisms.  ・セクション14では,空間証明のような代替シビル耐性アルゴリズムを使用するプロトコルや,ハイブリッドメカニズムについて説明する。
•  Sections 15-19 cover a variety of more advanced topics related to the design of DLT for SMR. Section 15 discusses the technical details of one of the more promising scalability methods: sharding. Section 16 discusses interoperability between systems. Section 17 covers topics related to the network layer of these protocols, such  ・セクション15-19では、SMRのためのDLTの設計に関連する、より高度なトピックを取り上げている。セクション15では、より有望なスケーラビリティ手法の1つであるシャーディングの技術的詳細について議論している。第16章では、システム間の相互運用性について論じている。第17節では、以下のようなプロトコルのネットワーク層に関連するトピックを取り上げる。
as how a node discovers new peers and communication strategies. Section 18 discusses state machine design considerations and some "layer 2" scaling protocols that can be built on an underlying replicated state machine. Section 19 considers a variety of incentive-related security issues that can arise in these systems.  ノードが新しいピアや通信戦略を発見する方法などである。セクション18では、状態マシンの設計に関する考察と、基本的なレプリケーション状態マシン上に構築できるいくつかの「レイヤー2」スケーリングプロトコルについて説明する。セクション19では、これらのシステムで発生しうるインセンティブに関連する様々なセキュリティ問題を考察する。

 

目次...

Executive Summary エグゼクティブサマリー
0.1. Purpose and Scope 0.1. 目的および範囲
0.2. Notes on Terminology 0.2. 用語に関する注意事項
0.3. Document Structure 0.3. 文書構成
1. Introducing the Problems 1. 問題の紹介
1.1. The Byzantine Generals Problem. 1.1. ビザンチン将軍問題
1.2. Broadcast Problems and Byzantine Agreement 1.2. ブロードキャスト問題とビザンチン合意
1.3. State Machine Replication (SMR) 1.3. 状態マシーンレプリケーション(SMR)
1.4. The Adversary 1.4. 敵対者
1.5. Timing Assumptions 1.5. タイミングの仮定
1.6. Permissioned vs. Permissionless 1.6. 許可制 vs. 許可無し
2. System Components 2. システム構成要素
2.1. Data Structures for Distributed Ledgers 2.1. 分散型台帳のためのデータ構造
2.2. Sybil-Resistance Mechanism 2.2. シビル耐性機構
2.3. Leader Election and Committee Selection 2.3. リーダー選出と委員会選出
2.4. Fork-Choice or Chain Selection Rules 2.4. フォーク・チョイスまたはチェーン選択ルール
2.5. Networking 2.5. ネットワーキング
2.6. Incentive Mechanism 2.6. インセンティブメカニズム
2.7. Cryptographic Primitives 2.7. 暗号プリミティブ
2.8. State Machine 2.8. 状態マシン
2.8.1. UTXO vs. Account Model. 2.8.1. UTXOとアカウントモデルとの比較。
2.8.2. Changing the Rules 2.8.2. ルールの変更
3. Scaling and "Decentralization" 3. スケーリングと "ディセントラリゼーション"
3.1. A Note on Decentralization 3.1. 分権に関する注意点
3.2. Full Nodes and Light Clients. 3.2. フルノードとライトクライアント
3.3. Scalability Challenges and Block Sizes 3.3. スケーラビリティの課題とブロックサイズ
4. Practical Byzantine Fault Tolerance (PBFT) 4. 実用的なビザンチンフォールトトレランス(PBFT)
4.1. PBFT View Change 4.1. PBFTビューチェンジ
4.2. PBFT Security 4.2. PBFTセキュリティ
4.3. Zyzzyva and Speculative Execution 4.3. ザイザイバと投機的実行
4.4. A Permissioned DAG: Blockmania 4.4. 許可制のDAG:ブロックマニア
5. Modern High-Performance Blockchains 5. 現代の高性能ブロックチェーン
5.1. Streamlined Blockchains 5.1. 合理化されたブロックチェーン
5.2. PiLi and PaLa 5.2. PiLiとPaLa
5.3. HotStuf 5.3. HotStuf
5.3.1. Sync HotStuf 5.3.1. シンクHotStuf
5.4. Further Optimizing Latency 5.4. レイテンシーのさらなる最適化
6. Asynchronous BFT 6. 非同期BFT
6.1. HoneyBadgerBFT 6.1. ハニーバジャーBFT
6.1.1. Mostéfaoui et al.’s Asynchronous Binary Agreement Protocol. 6.1.1. Mostéfaouiらの非同期バイナリ合意プロトコル。
6.1.2. Reducing HoneyBadgerBFT’s latency with BEAT 6.1.2. BEATによるHoneyBadgerBFTの待ち時間の削減
6.1.3. Improving ACS Performance with Dumbo 6.1.3. ダンボによるACSのパフォーマンス向上
6.2. An Asynchronous Permissioned DAG: Hashgraph 6.2. 非同期許可制のDAG:Hashgraph
7. Miscellaneous Permissioned BFT 7. その他の許可制のBFT
7.1. Fairly Ordering Transactions 7.1. 取引の公正な順序付け
7.2. Accountability Against Malicious Replicas 7.2. 悪意のあるレプリカに対する説明責任
7.3. Specially Designated Roles for Replicas 7.3. レプリカのための特別な役割
7.4. Deterministic Longest Chain Protocols 7.4. 決定論的な最長の鎖のプロトコル
7.5. Flexible BFT 7.5. 柔軟なBFT
7.6. View Change Algorithms  7.6. ビューチェンジアルゴリズム 
8. Localizing Trust Over Incomplete Networks With Open Membership 8. オープンメンバーシップを持つ不完全なネットワーク上での信頼の局所化
8.1. Stellar 8.1. ステラ
8.1.1. FBAS Background 8.1.1. FBASの背景
8.1.2. Stellar Consensus Protocol (SCP). 8.1.2. ステラ・コンセンサス・プロトコル(SCP)。
8.1.3. SCP Security 8.1.3. SCPのセキュリティ
8.2. Ripple 8.2. リップル
8.3. Cobalt 8.3. コバルト
8.3.1. Background 8.3.1. 背景
8.3.2. Broadcast in Incomplete Networks 8.3.2. 不完全なネットワークにおけるブロードキャスト
9. Proof of Work: The Basics. 9. プルーフ・オブ・ワークの 基本的なこと
9.1. Proof of Work and Sybil Resistance 9.1. プルーフ・オブ・ワークとシビルレジスタンス
9.1.1. Mining Pools 9.1.1. マイニングプール
9.1.2. Hardware: ASICs and ASIC Resistance 9.1.2. ハードウエア: ASICとASIC抵抗
9.1.3. Mining Centralization in Practice. 9.1.3. マイニングの集中化の実際
9.2. Difculty Adjustment Algorithms 9.2. 難易度調整アルゴリズム
9.3. Attacks Against Mining Pools: Pool-Hopping and Block Withholding 9.3. マイニングプールに対する攻撃: プールホッピングとブロックウィズホルディング
9.4. Selfsh Mining 9.4. セルフシュ・マイニング
10. Nakamoto Consensus. 10. ナカモトコンセンサス
10.1. Theory of Nakamoto Consensus 10.1. ナカモトコンセンサスの理論
10.1.1. Nakamoto Consensus With Chains of Variable Difculty 10.1.1. 難易度可変の連鎖を持つ中本コンセンサス
10.1.2. Additional Analyses of Nakamoto Consensus 10.1.2. 中本コンセンサスの追加分析
10.2. Violating the Nakamoto Consensus Security Assumptions 10.2. 中本コンセンサスのセキュリティ前提を破る
10.2.1. Network Delay and Block Propagation 10.2.1. ネットワーク遅延とブロック伝搬
10.2.2. Majority Hash Rate Attacks (51% Attacks) 10.2.2. Majority Hash Rate Attacks(51%の攻撃)
10.2.3. Hash Function Collisions 10.2.3. ハッシュ関数コリジョン
10.3. (More) Attacks Against Nakamoto Consensus 10.3.中本コンセンサスへの(さらなる)攻撃
11. More Proof-of-Work Protocols. 11. その他のプルーフ・オブ・ワーク・プロトコル
11.1. Nakamoto Consensus Protocol Adjustments 11.1. 中本コンセンサスプロトコルの調整
11.1.1. Weak Blocks and Pre-Consensus 11.1.1. ウィークブロックとプレコンセンサス
11.1.2. Bitcoin-NG 11.1.2. ビットコイン-NG
11.1.3. Tie-Breaking Schemes 11.1.3. タイブレーキングスキーム
11.1.4. DECOR+ 11.1.4. DECOR+(デコルプラス
11.1.5. Publish or Perish 11.1.5. パブリッシュ・オア・ペリッシュ
11.1.6. NC-Max. 11.1.6. NC-Max。
11.2. Greedy Heaviest-Observed Sub-Tree (GHOST) 11.2. 貪欲な最前線サブツリー(GHOST)
11.3. FruitChains 11.3. フルーツチェーン
11.4. Parallel Chain Approaches 11.4. パラレルチェーンアプローチ
11.4.1. Prism 11.4.1. プリズム
11.5. Proof-of-Work DAGs 11.5. プルーフオブワークDAG
11.5.1. Inclusive Blockchains and Confux 11.5.1. インクルーシブ・ブロックチェーンとコンフュ
11.5.2. SPECTRE and Phantom. 11.5.2. SPECTREとPhantom
11.5.3. Tangle 11.5.3. タングル
11.5.4. Meshcash. 11.5.4. メシュカシュ
11.6. Proof of Work for Committee Selection. 11.6. 委員会選出のためのプルーフ・オブ・ワーク
11.6.1. Hybrid Consensus 11.6.1. ハイブリッドコンセンサス
11.6.2. Solida 11.6.2. ソリダ
12. Proof of Stake: The Basics 12. プルーフ・オブ・ステーク 基礎編
12.1. Early Attempts at Proof of Stake 12.1. プルーフ・オブ・ステークの初期の試み
12.1.1. Nothing-at-Stake and Costless Simulation 12.1.1. ナッシングアットテイクとコストレスシミュレーション
12.1.2. Long-Range Attacks, Posterior Corruption, and Weak Subjectivity 12.1.2. 遠距離攻撃、事後的な腐敗、弱い主観性
12.1.3. Leader Election, Anonymity, and Security Against Adaptive Adver-saries 12.1.3. リーダー選出、匿名性、適応型アドヴァーサリに対する安全性
12.2. Leader Predictability and Security. 12.2. リーダーの予測可能性と安全性
12.3. Wealth Concentration, Block Rewards, and Centralization 12.3. 富の集中、ブロック報酬、集中化
13. Proof-of-Stake Protocols 13. プルーフオブ状態プロトコル
13.1. Chain-Based Proof of Stake 13.1. チェーンベースのプルーフオブ状態
13.1.1. Chains of Activity 13.1.1. 活動の連鎖
13.1.2. Snow White. 13.1.2. 白雪姫
13.1.3. Ouroboros Family: Praos and Genesis 13.1.3. ウロボロスファミリー プラオスとジェネシス
13.1.4. DFINITY 13.1.4. DFINITY
13.2. Ethereum 2.0 13.2. イーサリアム2.0
13.3. DAG-based Proof of Stake. 13.3. DAGベースのプルーフオブ状態
13.3.1. Fantômette 13.3.1. ファントメット
13.3.2. Avalanche 13.3.2. アバランシュ
13.3.3. Parallel Chains 13.3.3. パラレルチェーン
13.4. BFT-Based Proof of Stake 13.4. BFTに基づくプルーフオブ状態
13.4.1. Tendermint. 13.4.1. テンダーミント
13.4.2. Algorand. 13.4.2. Algorand(アルゴランド)。
14. Hybrid and Alternative Sybil-Resistance Mechanisms 14. ハイブリッドおよび代替シビル耐性機構
14.1. Proof of Space 14.1. 空間の証明
14.1.1. Spacemint 14.1.1. スペースミント
14.1.2. Chia. 14.1.2. チア
14.2. Proof of Activity. 14.2. 活性を証明する。
14.3. Checkpoints and Finality Gadgets. 14.3. チェックポイントとファイナリティガジェット。
14.3.1. Ad Hoc Finality Layers and Reorg Protection 14.3.1. アドホックなファイナリティレイヤーとリオーガプロテクション
14.3.2. Casper the Friendly Finality Gadget (FFG) 14.3.2. キャスパー・ザ・フレンドリー・ファイナリティ・ガジェット(FFG)
14.3.3. More Finality Gadgets and Checkpointing Protocols. 14.3.3. その他のファイナリティガジェットとチェックポイントプロトコル
15. Sharding 15. シャーディング
15.1. Intra-Shard Consensus. 15.1. シャード内コンセンサス
15.2. Identity Registration, Committee (Re)confguration, and Epoch Randomness 15.2. ID登録、委員会の(再)構成、およびエポックランダム性
15.3. Cross-Shard Transaction Processing 15.3. クロスシャードトランザクション処理
15.4. A Diferent Approach: Monoxide 15.4. 異質なアプローチ 一酸化炭素
15.5. Fraud Proofs and Data Availability 15.5. 不正の証明とデータの利用可能性
16. Interoperability. 16. 相互運用性
16.1. Cross-Chain Communication, Fair Exchange, and Atomic Swaps. 16.1. クロスチェーンコミュニケーション、フェアエクスチェンジ、アトミックスワップ
16.2. Bootstrapping Methods: Merged Mining and Proof of Burn 16.2. ブートストラップ法: マージド・マイニングとプルーフ・オブ・バーン
16.3. Sidechains, Relays, and Asset Transfer 16.3. サイドチェーン、リレー、アセットトランスファー
16.3.1. Permissionless Sidechains. 16.3.1. 許可なしのサイドチェイン
17. Networking 17. ネットワーキング
17.1. Networking for Permissionless Systems 17.1. 許可なしシステムのためのネットワーキング
17.1.1. Peer Discovery 17.1.1. ピアディスカバリー
17.1.2. Neighbor Selection. 17.1.2. ネイバーセレクション(Neighbor Selection)。
17.1.3. Communication Strategy 17.1.3. コミュニケーション戦略
18. State Machines. 18. 状態マシン
18.1. Virtual Machine Design. 18.1. 仮想マシンの設計
18.1.1. Concurrency in Smart Contracts. 18.1.1. スマートコントラクトにおける並行処理
18.1.2. Zero-Knowledge Proofs and Verifable Computation 18.1.2. ゼロ知識証明と検証可能な計算機
18.1.3. Delegating Execution 18.1.3. 実行の委譲
18.2. Layer 2 Protocols. 18.2. レイヤー2 プロトコル
18.2.1. Payment and State Channels. 18.2.1. 支払いチャネルと状態チャネル
18.2.2. Plasma and Rollups. 18.2.2. プラズマとロールアップ
19. Incentives. 19. インセンティブ
19.1. Block Rewards: Subsidies and Transaction Fees. 19.1. ブロックリワード 補助金とトランザクションフィー。
19.1.1. The Mining Gap and (the Absence of a) Block Subsidy 19.1.1. マイニングギャップと(ブロック補助金の不在)ブロック補助金
19.2. State Machines, Incentives, and Security. 19.2. 状態マシン、インセンティブ、セキュリティ
19.3. Alternative Transaction Fee Protocols. 19.3. 代替取引手数料プロトコル
References 参考文献

 

 

| | Comments (0)

2023.04.28

首相官邸 2022年度 Trusted Web に関する調査研究

こんにちは、丸山満彦です。

インターネットの欠点?

当時の技術で「簡単に繋がり、切れない」ことを優先したことが、時代を経て、当初の想定を超える多様な用途に利用されることになり、いろいろな課題が無視できない状況になってきた...ということでしょうかね。。。

この調査研究の趣旨について、この受託元であるNTTデータ研究所の2022.07.05のウェブページでは、次のような記載がありますね。。。


  • 様々な社会活動のデジタル化が進む一方で、フェイクニュース等のデータそのものの信頼への懸念、先鋭化していくプライバシーリスク、データの取扱いへの懸念からくる産業界におけるデータ活用の停滞、勝者総取り等によるエコシステムのサステナビリティへの懸念など、信頼できる自由なデータ流通(DFFT)を妨げる、様々な歪みが生じています

  • これらの懸念は、データそのものが信頼できない、データのやり取りをする相手を信頼できない、相手方におけるデータの取扱いを信頼できないといった現状が主な原因と考えられます

  • こうした中で、インターネット上で、DFFTを確保する枠組みを構築すべく、特定のサービスに依存せずに、個人・法人によるデータのコントロールを強化する仕組み、やり取りするデータや相手方を検証できる仕組みなどの新たな信頼の枠組みを付加することを目指す「Trusted Web」構想を実現していくことが重要になっています。

Trusted Webの実現は、DFFTを実現するための手段の一つということでしょうかね。。。

 

首相官邸 - Trusted Web推進協議会

 ・2022年度 Trusted Web に関する調査研究の成果物について

 


1.海外調査レポート(経済産業省)

分散型アイデンティティやトラストフレームワークなど、Trusted Webに関連した各国の取組(政策やユースケース)を調査しました。対象国は、米国、カナダ、EU、英国、インド、ニュージーランド、シンガポールです。


・[PDF

20230811-122110

1. 調査の背景・目的
1.1 本書の位置づけ
1.2
調査の背景・目的
1.3
調査方針
 1.3.1
調査の全体像
 1.3.2 基礎調査について
 1.3.3 詳細調査テーマについて
 1.3.4 詳細調査における調査対象国・地域について

 1.3.5
整理・分析について

2. 基礎調査:デジタルアイデンティに関する基礎的事項
2.1
アクセスコントロールとTrust
2.2
アイデンティティ
 2.2.1
アイデンティティ 
 2.2.2 デジタルアイデンティティ

2.3
アイデンティティの管理モデル
 2.3.1
現行の管理形態
 2.3.2 現行のアイデンティティ管理モデルにおけるペインポイント

2.4
トラストフレームワーク
2.5
自己主権型アイデンティティ/分散型アイデンティティ
 2.5.1 SSI/DID
の実装スキーム
 2.5.2 SSI/DID の実装手段・参照規格

3. 詳細調査結果
3.1
共通識別制度・デジタル ID に関する政策動向
 3.1.1
欧州(EU、ドイツ、イギリス)における調査結果
 3.1.2 北米(米国、カナダ)における調査結果
 3.1.3 オセアニア(オーストラリア、ニュージーランド)における調査結果
 3.1.4 アジア(シンガポール、インド)における調査結果
 3.1.5 共通識別番号・デジタル ID の政策動向に関する総括

3.2
トラストフレームワークの策定状況
 トラストフレームワーク(再掲)
 トラストフレームワーク調査方針
 3.2.1
欧州(EU、ドイツ、イギリス)における調査結果
 3.2.2 北米(米国、カナダ)における調査結果
 3.2.3 オセアニア(オーストラリア、ニュージーランド)における調査結果
 3.2.4 アジア(シンガポール、インド)における調査結果
 3.2.5 トラストフレームワークの策定状況に関する総括

3.3
自己主権型/分散型アイデンティティに関する取り組み・ユースケース
 3.3.1
欧州(EU、ドイツ、イギリス)における調査結果
 3.3.2  北米(米国、カナダ)における調査結果
 3.3.3  オセアニア(オーストラリア、ニュージーランド)における調査結果
 3.3.4  アジア(シンガポール、インド)における調査結果
 3.3.5  自己主権型/分散型アイデンティティに関する取り組みに関する総括

4. 整理・分析
4.1
調査テーマを総括した各国のデジタル ID 政策の方向性
4.2
各国の比較・分析
4.3 Trusted Web
との連携可能性、示唆・課題

 


2.Trusted Webに係る国際標準化動向調査(デジタル庁)

分散型識別子(Decentralized Identifier; DID)や検証可能なクレデンシャル(Verifiable Credential; VC)等、Trusted Webの実現に必要となる要素技術に関する標準化活動を行う国際標準化機関および団体を対象に、各機関・団体における活動状況を調査し整理すると共に、それらの活動とTrusted Webとの関連性をまとめています。


レポート概要版

・[PDF]

20230811-122546

 

 

いろいろと勉強になりますね。。。

 

 

 

| | Comments (0)

米国 連邦取引委員会 司法省 消費者金融保護局 雇用機会均等委員会 「自動化システムにおける差別やバイアスに対する執行努力に関する共同声明 」

こんにちは、丸山満彦です。

米国の連邦取引委員会、司法省、消費者金融保護局、雇用機会均等委員会が、「自動化システムにおける差別やバイアスに対する執行努力に関する共同声明 」を公表していますね。。。

欧州のAI法案で、原則禁止、高リスク分野の内容に関連するような話ですかね。。。

結構、高い決意表明のように読みました。。。

 

FTCのウェブページから...

⚫︎ Federal Trate Commission

・2023.04.25 FTC Chair Khan and Officials from DOJ, CFPB and EEOC Release Joint Statement on AI

FTC Chair Khan and Officials from DOJ, CFPB and EEOC Release Joint Statement on AI 連邦取引委員会のカーン委員長、司法省、消費者金融保護局 (CFPB) 、雇用機会均等委員会 (EEOC) の関係者がAIに関する共同声明を発表
FTC Chair Lina M. Khan and officials from three other federal agencies jointly pledged today to uphold America’s commitment to the core principles of fairness, equality, and justice as emerging automated systems, including those sometimes marketed as “artificial intelligence” or “AI,” become increasingly common in our daily lives – impacting civil rights, fair competition, consumer protection, and equal opportunity. FTCのリナ・M・カーン委員長と他の3つの連邦政府機関の関係者は本日、「人工知能」(AI)として販売されることもある自動システムが私たちの日常生活にますます浸透し、市民権、公正競争、消費者保護、機会均等に影響を及ぼす中、公正、平等、正義という米国の基本原則を堅持することを共同で誓約した。
Chair Khan and officials with the Civil Rights Division of the U.S. Department of Justice, the Consumer Financial Protection Bureau, and the U.S. Equal Employment Opportunity Commission released their joint statement outlining a commitment to enforce their respective laws and regulations to promote responsible innovation in automated systems. カーン議長および米国司法省公民権局、消費者金融保護局、米国雇用機会均等委員会の関係者は、自動化システムの責任あるイノベーションを促進するために、それぞれの法律や規制を強化することを表明する共同声明を発表した。
All four agencies have previously expressed concerns about potentially harmful uses of automated systems and resolved to vigorously enforce their collective authorities and to monitor the development and use of automated systems. 4つの機関はすべて、以前に自動化システムの潜在的に有害な使用について懸念を表明し、それぞれの集団的な権限を強力に執行し、自動化システムの開発と使用を監視することを決議している。
“We already see how AI tools can turbocharge fraud and automate discrimination, and we won’t hesitate to use the full scope of our legal authorities to protect Americans from these threats,” said Chair Khan. “Technological advances can deliver critical innovation—but claims of innovation must not be cover for lawbreaking. There is no AI exemption to the laws on the books, and the FTC will vigorously enforce the law to combat unfair or deceptive practices or unfair methods of competition.” カーン委員長は、次のように述べている。「我々はすでに、AIツールが詐欺を加速させ、差別を自動化することを目の当たりにしており、これらの脅威から米国人を守るために、法的権限の全範囲を行使することを躊躇しない。技術の進歩は重要なイノベーションをもたらすが、イノベーションを主張することが法律違反の隠れ蓑になってはいけない。FTCは、不公正または欺瞞的な行為や不公正な競争方法と闘うために、精力的に法律を執行していく。」

 

・[PDF] JOINT STATEMENT ON ENFORCEMENT EFFORTS AGAINST DISCRIMINATION AND BIAS IN AUTOMATED SYSTEMS

20230428-53539

 

JOINT STATEMENT ON ENFORCEMENT EFFORTS AGAINST DISCRIMINATION AND BIAS IN AUTOMATED SYSTEMS  自動化システムにおける差別やバイアスに対する執行努力に関する共同声明 
Rohit Chopra, Director of the Consumer Financial Protection Bureau,   消費者金融保護局長のロヒト・チョプラ氏、  
Kristen Clarke, Assistant Attorney General for the Justice Department’s Civil Rights Division,   司法省公民権局検事補のKristen Clarke氏、  
Charlotte A. Burrows, Chair of the Equal Employment Opportunity Commission, and   雇用機会均等委員会委員長のシャーロット・A・バローズと  
Lina M. Khan, Chair of the Federal Trade Commission   リナ・M・カーン 連邦取引委員会委員長  
issued the following joint statement about enforcement efforts to protect the public  from bias in automated systems and artificial intelligence:  は、自動化システムや人工知能のバイアスから国民を保護するための執行努力について、以下の共同声明を発表した: 
America’s commitment to the core principles of fairness, equality, and justice are deeply embedded in the federal laws that our agencies enforce to protect civil rights, fair competition, consumer protection, and equal opportunity. These established laws have long served to protect individuals even as our society has navigated emerging technologies. Responsible innovation is not incompatible with these laws. Indeed, innovation and adherence to the law can complement each other and bring tangible benefits to people in a fair and competitive manner, such as increased access to opportunities as well as better products and services at lower costs.   公平、平等、正義という基本原則に対する米国のコミットメントは、市民権、公正な競争、消費者保護、機会均等を守るために私たちの機関が執行する連邦法に深く組み込まれている。これらの確立された法律は、私たちの社会が新興の技術を利用する際にも、個人を保護するために長い間役立ってきた。責任あるイノベーションは、これらの法律と相容れないものではない。実際、イノベーションと法律の遵守は互いに補完し合い、公平で競争力のある方法で人々に具体的な利益をもたらすことができる。例えば、機会へのアクセスの増加や、より良い製品やサービスをより低コストで提供することができる。 
Today, the use of automated systems, including those sometimes marketed as “artificial intelligence” or “AI,” is becoming increasingly common in our daily lives. We use the term “automated systems” broadly to mean software and algorithmic processes, including AI, that are used to automate workflows and help people complete tasks or make decisions. Private and public entities use these systems to make critical decisions that impact individuals’ rights and opportunities, including fair and equal access to a job, housing, credit opportunities, and other goods and services. These automated systems are often advertised as providing insights and breakthroughs, increasing efficiencies and cost-savings, and modernizing existing practices. Although many of these tools offer the promise of advancement, their use also has the potential to perpetuate unlawful bias, automate unlawful discrimination, and produce other harmful outcomes.   今日、「人工知能」または「AI」として販売されているものを含む自動化システムの使用は、私たちの日常生活においてますます一般的になってきている。私たちは、「自動化システム」という言葉を、ワークフローを自動化し、人々がタスクを完了したり意思決定するのを助けるために使用される、AIを含むソフトウェアやアルゴリズムプロセスを意味する広義なものとして使用している。民間および公的機関は、これらのシステムを使用して、仕事、住宅、信用機会、その他の財やサービスへの公平かつ平等なアクセスを含む、個人の権利と機会に影響を与える重要な意思決定を行っている。これらの自動化されたシステムは、しばしば、洞察やブレークスルーを提供し、効率とコスト削減を高め、既存の慣行を近代化すると宣伝されている。これらのツールの多くは、進歩が期待できるものであるが、その使用は、違法なバイアスを永続させ、違法な差別を自動化し、その他の有害な結果をもたらす可能性もある。 
Our Agencies’ Enforcement Authorities Apply to Automated Systems  自動化されたシステムに適用される当局の取締り権限 
Existing legal authorities apply to the use of automated systems and innovative new technologies just as they apply to other practices. The Consumer Financial Protection Bureau, the Department of Justice’s Civil Rights Division, the Equal Employment Opportunity Commission, and the Federal Trade Commission are among the federal agencies responsible for enforcing civil rights, non-discrimination, fair competition, consumer protection, and other vitally important legal protections. We take seriously our responsibility to ensure that these rapidly evolving automated systems are developed and used in a manner consistent with federal laws, and each of our agencies has previously expressed concern about potentially harmful uses of automated systems. For example: 
既存の法的権限は、他の慣行に適用されるのと同様に、自動化システムや革新的な新技術の使用にも適用される。消費者金融保護局、司法省公民権局、雇用機会均等委員会、連邦取引委員会は、公民権、無差別、公正競争、消費者保護、その他の極めて重要な法的保護を執行する責任を負う連邦機関の一つである。我々は、急速に進化する自動システムが連邦法に合致した方法で開発・使用されることを保証する責任を真剣に受け止めており、各機関はこれまで、自動システムの潜在的な有害利用について懸念を表明してきました。例えば、以下のようなものである: 

• The Consumer Financial Protection Bureau (CFPB) supervises, sets rules for, and enforces numerous federal consumer financial laws and guards consumers in the financial marketplace from unfair, deceptive, or abusive acts or practices and from discrimination. The CFPB published a circular confirming that federal consumer financial laws and adverse action requirements apply regardless of the technology being used. The circular also made clear that the fact that the technology used to make a credit decision is too complex, opaque, or new is not a defense for violating these laws.    ・消費者金融保護局(CFPB)は、連邦消費者金融法の監督、規則制定、執行を行い、金融市場における消費者を不当、欺瞞的、虐待的行為や差別から保護している。CFPBは、連邦消費者金融法および不利益処分の要件は、使用されている技術に関係なく適用されることを確認する回覧を発表した。また、信用判断に使用される技術が複雑すぎる、不透明である、または新しいという事実は、これらの法律に違反することの抗弁にはならないことを明らかにした。  
• The Department of Justice’s Civil Rights Division (Division) enforces constitutional provisions and federal statutes prohibiting discrimination across many facets of life, including in education, the criminal justice system, employment, housing, lending, and voting. Among the Division’s other work on issues related to AI and automated systems, the Division recently filed a statement of interest in federal court explaining that the Fair Housing Act applies to algorithm-based tenant screening services. ・司法省公民権局(Division)は、教育、刑事司法制度、雇用、住宅、融資、投票など、生活のさまざまな場面で差別を禁止する憲法条項と連邦法を執行している。AIや自動化システムに関連する問題に対する同課の他の活動の中で、同課は最近、連邦裁判所に、アルゴリズムに基づく入居審査サービスに公正住宅法が適用されることを説明する利害声明書を提出した。 
• The Equal Employment Opportunity Commission (EEOC) enforces federal laws that make it illegal for an employer, union, or employment agency to discriminate against an applicant or employee due to a person’s race, color, religion, sex (including pregnancy, gender identity, and sexual orientation), national origin, age (40 or older), disability, or genetic information (including family medical history). In addition to the EEOC’s enforcement activities on discrimination related to AI and automated systems, the EEOC issued a technical assistance document explaining how the Americans with Disabilities Act applies to the use of software, algorithms, and AI to make employment-related decisions about job applicants and employees. ・雇用機会均等委員会(EEOC)は、人種、肌の色、宗教、性別(妊娠、性自認、性的指向を含む)、国籍、年齢(40歳以上)、障害、遺伝情報(家族病歴を含む)を理由に、雇用主、組合、雇用機関が応募者や従業員を差別することを違法としている連邦法の施行者である。AIや自動化システムに関連する差別に関するEEOCのエンフォースメント活動に加え、EEOCは、求職者や従業員に関する雇用関連の判断を行うためのソフトウェア、アルゴリズム、AIの使用について、アメリカ障害者法の適用方法を説明した技術支援文書を発行した。
• The Federal Trade Commission (FTC) protects consumers from deceptive or unfair business practices and unfair methods of competition across most sectors of the U.S. economy by enforcing the FTC Act and numerous other laws and regulations. The FTC issued a report evaluating the use and impact of AI in combatting online harms identified by Congress. The report outlines significant concerns that AI tools can be inaccurate, biased, and discriminatory by design and incentivize relying on increasingly invasive forms of commercial surveillance. The FTC has also warned market participants that it may violate the FTC Act to use automated tools that have discriminatory impacts, to make claims about AI that are not substantiated, or to deploy AI before taking steps to assess and mitigate risks. Finally, the FTC has required firms to destroy algorithms or other work product that were trained on data that should not have been collected.  ・連邦取引委員会(FTC)は、FTC法およびその他多数の法律や規制を施行することにより、米国経済のほとんどの分野において、欺瞞的または不正な商習慣や不公正な競争方法から消費者を保護している。FTCは、議会が特定したオンライン上の害悪に対抗するためのAIの使用と影響を評価する報告書を発行した。同報告書は、AIツールが設計上不正確、バイアス、差別的である可能性があり、ますます侵襲的な形態の商業的監視に依存するインセンティブを与えるという重大な懸念について概説している。また、FTCは、差別的な影響を与える自動化ツールの使用、実証されていないAIに関する主張、リスクの評価と軽減のための措置を講じる前のAI導入は、FTC法に違反する可能性があると市場参加者に警告している。最後に、FTCは企業に対し、収集されるべきではなかったデータで訓練されたアルゴリズムやその他の作業成果物を破棄するよう求めている。
Automated Systems May Contribute to Unlawful Discrimination and Otherwise Violate Federal Law  自動化されたシステムは違法な差別を助長し、連邦法に違反する可能性がある。
Many automated systems rely on vast amounts of data to find patterns or correlations, and then apply those patterns to new data to perform tasks or make recommendations and predictions. While these tools can be useful, they also have the potential to produce outcomes that result in unlawful discrimination. Potential discrimination in automated systems may come from different sources, including problems with:  自動化されたシステムの多くは、膨大な量のデータからパターンや相関関係を見つけ出し、そのパターンを新しいデータに適用してタスクを実行したり、推奨や予測を行ったりします。これらのツールは有用である一方、違法な差別をもたらす結果をもたらす可能性もある。自動化されたシステムにおける潜在的な差別は、以下のようなさまざまな原因から生じる可能性がある: 
Data and Datasets: Automated system outcomes can be skewed by unrepresentative or imbalanced datasets, datasets that incorporate historical bias, or datasets that contain other types of errors. Automated systems also can correlate data with protected classes, which can lead to discriminatory outcomes.  データおよびデータセット: データおよびデータセット:自動化システムの結果は,代表的でない,あるいは不均衡なデータセット,過去のバイアスを組み込んだデータセット,あるいは他の種類のエラーを含むデータセットによって歪められることがある。また,自動化されたシステムは,データを保護されたクラスと相関させ,差別的な結果をもたらす可能性がある。
Model Opacity and Access: Many automated systems are “black boxes” whose internal workings are not clear to most people and, in some cases, even the developer of the tool. This lack of transparency often makes it all the more difficult for developers, businesses, and individuals to know whether an automated system is fair.   モデルの不透明性とアクセス: 自動化されたシステムの多くは「ブラックボックス」であり,その内部構造はほとんどの人,場合によってはツールの開発者でさえも明確ではない。このような透明性の欠如は,開発者,企業,そして個人にとって,自動化されたシステムが公正であるかどうかを知ることをより困難にしている場合がある。
Design and Use: Developers do not always understand or account for the contexts in which private or public entities will use their automated systems. Developers may design a system on the basis of flawed assumptions about its users, relevant context, or the underlying practices or procedures it may replace.  設計と使用: 開発者は,民間企業や公的機関が自動化システムを使用する際の状況を必ずしも理解したり,考慮したりしていない。開発者は,ユーザー,関連する文脈,またはシステムが置き換える可能性のある基本的な慣行や手順に関する誤った仮定に基づいて,システムを設計することがある。
Today, our agencies reiterate our resolve to monitor the development and use of automated systems and promote responsible innovation. We also pledge to vigorously use our collective authorities to protect individuals’ rights regardless of whether legal violations occur through traditional means or advanced technologies.    本日、両機関は、自動化システムの開発と利用を監視し、責任あるイノベーションを促進するという決意を改めて表明する。また、法的侵害が従来の手段によるものであれ、先端技術によるものであれ、個人の権利を保護するために、私たちの総力を結集して強力に取り組むことを誓う。  

 

 

この報告書で各省からでているガイダンス等は読んでいた方が良いですね。。。おそらく日本もこういうのをつくっていかないと思われます...

 

 

⚫︎Consumer Financial Protection Bureau (CFPB)

01_20230428060301

・2022.05.26 Consumer Financial Protection Circular 2022-03 - Adverse action notification requirements in connection with credit decisions based on complex algorithms

 

 

⚫︎Department of Justice’s Civil Rights Division 

02_20230428060301

・2023.01.09 Justice Department Files Statement of Interest in Fair Housing Act Case Alleging Unlawful Algorithm-Based Tenant Screening Practices

 

 

⚫︎Equal Employment Opportunity Commission (EEOC)

03_20230428060301

・2022.02 The Americans with Disabilities Act and the Use of Software, Algorithms, and Artificial Intelligence to Assess Job Applicants and Employees

 

 

⚫︎ Federal Trade Commission (FTC)

04_20230428060301

・2023.03.20 Chatbots, deepfakes, and voice clones: AI deception for sale

・2023.02.27 Keep your AI claims in check

・2022.10.18 [PDF] Joint Statement of Chair Lina M. Khan, Commissioner Rebecca Kelly Slaughter, and Commissioner Alvaro M. Bedoya In the Matter of Passport Auto Group Commission File No. 2023199 

・2022.06.16 FTC Report Warns About Using Artificial Intelligence to Combat Online Problems - Agency Concerned with AI Harms Such As Inaccuracy, Bias, Discrimination, and Commercial Surveillance Creep

・2022.03.04 FTC Takes Action Against Company Formerly Known as Weight Watchers for Illegally Collecting Kids’ Sensitive Health Data - WW International and its Kurbo App are required to delete data, destroy any algorithms, and pay a monetary penalty

・2021.04.19 Aiming for truth, fairness, and equity in your company’s use of AI

 

 

 




| | Comments (0)

2023.04.27

EU 議会 暗号資産に関する法案を承認

こんにちは、丸山満彦です。

EU議会が、暗号通貨を含む暗号資産の監督、消費者保護、環境保護に関する新たな共通ルール(MiCA)を承認しましたね。。。ビットコインや電子マネートークンなどの暗号資産の移転追跡し、疑わしい取引をブロックできるようにしています。。。

Crypto-assets: green light to new rules for tracing transfers in the EU 暗号資産:EUにおける移転追跡のための新ルールに青信号が灯る
Parliament endorsed the first EU rules to trace crypto-asset transfers, prevent money laundering, as well as common rules on supervision and customer protection. 欧州議会は、暗号資産の送金を追跡し、マネーロンダリングを防止するためのEU初の規則を承認し、監督と顧客保護に関する共通規則も承認した。
On Thursday, MEPs approved with 529 votes in favour to 29 against and 14 abstentions, the first piece of EU legislation for tracing transfers of crypto-assets like bitcoins and electronic money tokens. The text –which was provisionally agreed by Parliament and Council negotiators in June 2022- aims to ensure that crypto transfers, as is the case with any other financial operation, can always be traced and suspicious transactions blocked. The so-called “travel rule”, already used in traditional finance, will in future cover transfers of crypto assets. Information on the source of the asset and its beneficiary will have to “travel” with the transaction and be stored on both sides of the transfer. 木曜日、欧州議会は、ビットコインや電子マネートークンなどの暗号資産の移転追跡に関するEU初の法案を、賛成529票、反対29票、棄権14票で承認した。この文書は、2022年6月に議会と理事会の交渉担当者が暫定的に合意したもので、他の金融業務と同様に、暗号の送金を常に追跡し、疑わしい取引をブロックできるようにすることを目的としている。いわゆる「トラベルルール」は、伝統的な金融であるでに使用されているが、将来的には暗号資産の移転も対象となる。資産の出所と受取人に関する情報は、取引と一緒に「移動」し、送金の両側で保存されなければならない。
The law would also cover transactions above €1000 from so-called self-hosted wallets (a crypto-asset wallet address of a private user) when they interact with hosted wallets managed by crypto-assets service providers. The rules do not apply to person-to-person transfers conducted without a provider or among providers acting on their own behalf. この法律は、いわゆるセルフホストウォレット(個人ユーザーの暗号資産ウォレットアドレス)が、暗号資産サービスプロバイダーが管理するホストウォレットとやり取りする際の、1000ユーロを超える取引も対象とする予定である。この規則は、プロバイダーを介さずに行われる個人間送金や、自らを代行するプロバイダー間で行われる個人間送金には適用されない。
Uniform EU market rules for crypto-assets 暗号資産に関するEU統一市場ルール
Plenary also gave its final green light with 517 votes in favour to 38 against and 18 abstentions, to new common rules on the supervision, consumer protection and environmental safeguards of crypto-assets, including crypto-currencies (MiCA). The draft law agreed informally with the Council in June 2022 includes safeguards against market manipulation and financial crime. プレナリーはまた、暗号通貨を含む暗号資産の監督、消費者保護、環境保護に関する新たな共通ルール(MiCA)に対して、賛成517票、反対38票、棄権18票で最終的なGOサインを与えた。2022年6月に理事会と非公式に合意したドラフト法には、市場操作や金融犯罪に対する保護措置が盛り込まれている。
MiCA will cover crypto-assets that are not regulated by existing financial services legislation. Key provisions for those issuing and trading crypto-assets (including asset-reference tokens and e-money tokens) cover transparency, disclosure, authorisation and supervision of transactions. Consumers would be better informed about the risks, costs and charges linked to their operations. In addition, the new legal framework will support market integrity and financial stability by regulating public offers of crypto-assets. MiCAは、既存の金融サービス法では規制されない暗号資産を対象とする予定である。暗号資産(資産参照トークン、電子マネートークンを含む)の発行・取引業者に対する主要な規定は、取引の透明性、開示、認可、監督をカバーしている。消費者は、取引に関連するリスク、コスト、手数料について、よりよく知らされることになる。さらに、新しい法的枠組みは、暗号資産の公募を規制することで、市場の整合性と金融の安定性をサポートする。
Finally, the agreed text includes measures against market manipulation and to prevent money laundering, terrorist financing and other criminal activities. To counter money-laundering risks the European Securities and Markets Authority (ESMA) should set up a public register for non-compliant crypto assets service providers that operate in the European Union without authorisation. 最後に、合意された文書には、市場操作に対する対策、マネーロンダリング、テロ資金調達、その他の犯罪行為を防止するための対策が含まれている。マネーロンダリングリスクに対抗するため、欧州証券市場庁(ESMA)は、認可を受けずに欧州連合で活動する非適合暗号資産サービスプロバイダーの公開登録簿を設置する必要がある。
To reduce the high carbon footprint of crypto-currencies, significant service providers will have to disclose their energy consumption. 暗号通貨の高いカーボンフットプリントを削減するため、重要なサービスプロバイダーはエネルギー消費量を開示する必要がある。
Quotes by rapporteurs 報告者による引用
Stefan Berger (EPP, DE), lead MEP for the MiCA regulation, said: “This puts the EU at the forefront of the token economy with 10 000 different crypto assets. Consumers will be protected against deception and fraud, and the sector that was damaged by the FTX collapse can regain trust. Consumers will have all the information they need and all underlying risks around crypto-assets will have to be monitored. We secured that the environmental impact disclosure will be taken into account by investors in crypto assets. This regulation brings a competitive advantage for the EU. The European crypto-asset industry has regulatory clarity that does not exist in countries like the US.” MiCA規制のリードMEPであるStefan Berger(EPP、DE)は、次のように述べている: 「これにより、EUは1万種類の暗号資産を持つトークンエコノミーの最前線に立つことになる。消費者は欺瞞や詐欺から守られ、FTXの破綻でダメージを受けたセクターは信頼を取り戻すことができる。消費者は必要な情報をすべて得ることができ、暗号資産にまつわるすべての潜在的なリスクを監視する必要がある。私たちは、環境影響の開示が暗号資産の投資家に考慮されることを確保した。この規制は、EUに競争上の優位性をもたらすものである。欧州の暗号資産業界は、米国のような国にはない規制の明確性を持っている。"
Ernest Urtasun (Greens/EFA, ES), co-rapporteur for the Economic and Monetary Affairs Committee on crypto-asset transfers said: “Currently illicit flows in crypto-assets are moved swiftly across the world, with a high chance of never being detected. The Recast of the TFR will oblige crypto-asset service providers to detect and stop criminal crypto flows and also ensure that all categories of crypto companies are subject to the full set of anti-money laundering obligations. This will close a major loophole in our AML framework and implement in the EU the most ambitious travel rule legislation in the world so far, in full compliance with international standards.” 暗号資産移転に関する経済金融委員会の共同報告者であるErnest Urtasun (Greens/EFA, ES)は次のように述べた: 「現在、暗号資産の不正な流れは、高い確率で検出されることなく、世界中で迅速に移動している。TFRのRecastは、暗号資産サービスプロバイダーに犯罪的な暗号の流れを検知して停止することを義務付けるとともに、すべてのカテゴリーの暗号企業がマネーロンダリング防止義務一式の対象となることを保証するものである。これにより、AMLの枠組みにおける大きな抜け穴を塞ぎ、国際基準に完全に準拠した、これまで世界で最も野心的な旅行規則の法律をEUで実施することになる。"
Co-rapporteur for the Civil Liberties, Justice and Home Affairs Committee Assita Kanko (ECR, BE) said: “Parliament and Council have found a fair compromise that will make it safer for people of good will to hold and trade crypto assets. However, it will make it more difficult for criminals, terrorists and sanctions evaders to misuse crypto assets. Any administrative burden on crypto companies and innovators will be more than offset by the fact that we are unifying the currently fragmented European market that has 27 regulatory regimes.” 市民的自由・司法・内務委員会の共同報告者であるアシタ・カンコ(ECR、BE)は次のように述べた: 「議会と理事会は、善意の人々が暗号資産を保有し、取引することをより安全にするための公正な妥協点を見出した。しかし、犯罪者、テロリスト、制裁逃れ者が暗号資産を悪用することはより困難になる。暗号企業やイノベーターにかかる管理上の負担は、27の規制体制がある現在断片的な欧州市場を統一するという事実によって、十二分に相殺されるだろう。"
Next steps 次のステップへ
The texts will now have to be formally endorsed by Council, before publication in the EU Official Journal. They will enter into force 20 days later. この文書は今後、EU官報に掲載される前に、理事会で正式に承認される必要がある。施行はその20日後となる。
In adopting this legislation, Parliament is responding to citizens’ expectations to set safeguards and standards for the use of blockchain technology as expressed in Proposal 35(8) of the conclusions of the Conference on the Future of Europe. 本法案を採択することで、議会は、欧州未来会議の結論の提案35(8)で示された、ブロックチェーン技術の使用に関するセーフガードと基準を設定するという市民の期待に応えることになる。

 

 

(1)暗号資産の市場に関する欧州議会および理事会の規則の提案と指令(EU)2019/1937の改正に関する2023年4月20日の欧州議会立法決議

European Parliament legislative resolution of 20 April 2023 on the proposal for a regulation of the European Parliament and of the Council on Markets in Crypto-assets and amending Directive (EU) 2019/1937

・[PDF] [DOCX]

20230427-03320

 

・(2)資金及び特定の暗号資産の移転に伴う情報に関する欧州議会及び理事会の規則の提案に関する2023年4月20日の欧州議会立法決議(再掲載)

European Parliament legislative resolution of 20 April 2023 on the proposal for a regulation of the European Parliament and of the Council on information accompanying transfers of funds and certain crypto-assets (recast) 

・[PDF][DOCX]

20230427-03426

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.03.28 金融庁 事務ガイドライン(第三分冊:金融会社関係(16 暗号資産交換業者関係)の一部改正

・2023.03.17 警察庁 令和4年におけるサイバー空間をめぐる脅威の情勢等について

・2023.02.11 米国 英国 ロシアを拠点とするサイバー犯罪組織「Trickbot」のメンバーに制裁を科す

・2023.01.04 世界経済フォーラム (WEF) 暗号通貨の未来はこうなる

・2022.12.30 Belfer Center: Web3関連のイベント(構築、投資、政策立案)(2022.10.20-12.01)

・2022.12.03 Interpol サイバー化された金融犯罪:インターポールの世界的な警察活動で1億3,000万米ドル(175億円)を阻止 (2022.11.24)

・2022.11.13 欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決

・2022.10.15 警察庁 金融庁 NISC 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

・2022.10.14 デジタル庁 Web3.0研究会 第1回 (2022.10.05) + 第2回 (2022.10.12)

 

 

| | Comments (0)

2023.04.26

参議院常任委員会調査室・特別調査室 サイバー犯罪条約第2追加議定書の概要 ― 国境を越えるサイバー犯罪捜査のための国際協力 ― (2023.04.14)

こんにちは、丸山満彦です。

サイバー犯罪条約 [PDF]  [wikipedia] の第2追加議定書は、国外のサーバー等に犯罪の証拠が保存されていることが増えていることから、これらの証拠の収集をより強力にすすめられるように、2017年に交渉を開始しし、日本も起草作業に関わり、2021年11月に欧州評議会で採択されたものです。

・ドメイン名の登録情報の開示

・インターネット・サービス・プロバイダが保有する情報の開示

・緊急事態における相互援助及びコンピュータ・データの迅速な開示

などがあります。。。2022年5月12日の署名式典で、米、伊などと共に日本も署名をしていますが、まだ国内で法制化はできていません。。。

で、これを法制化しようという動きなのでしょうかね。。。参議院常任委員会調査室・特別調査室が「サイバー犯罪条約第2追加議定書の概要 ― 国境を越えるサイバー犯罪捜査のための国際協力 ―」という文書を公表していますね。。。


⚫︎ 参議院常任委員会調査室・特別調査室

調査室作成資料 - 455号(令和5年4月14日) 特集:第211回国会の法律案等の紹介(1)

・2023.04.14 [PDF] サイバー犯罪条約第2追加議定書の概要 ― 国境を越えるサイバー犯罪捜査のための国際協力 ―

20230426-173627

 

外務省の資料

⚫︎ 外務省 - 条約

協力及び電子的証拠の開示の強化に関するサイバー犯罪に関する条約の第二追加議定書

議定書([PDF] 和文 / [PDF] 英文

20230426-174123

 

・[PDF] 説明

20230426-174130

・[PDF] 概要

20230426-174228

 

サイバー犯罪条約

・[PDF] 和文テキスト(訳文)

・[PDF] 説明書

 

⚫︎ Council of Europe

Convention on Cybercrime (ETS No. 185)

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.04 世界経済フォーラム (WEF) サイバー犯罪の取り締まりに国際的なルールが必要な理由

・2004.12.08 国家セキュリティ体制 米国の状況・・・

 

| | Comments (2)

経済産業省 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版 (2022.04.20)

こんにちは、丸山満彦です。

経済産業省から、ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインの第2版が公表されていました。。。


⚫︎ 経済産業省

・2023.04.20 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版


経済産業省では、産業分野別のサイバーセキュリティ確保の一環として、エレベーターや空調など多くの制御系機器を有するビル分野に関するステークホルダーが集まり、そのサイバーセキュリティ対策について議論する「ビルサブワーキンググループ」を設置し、「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第1版」

を公表しました。第1版の公表から約4年が経過する中、サイバー攻撃(インシデント)を受けた際に、その損害を最小限に抑え、復旧にかかる時間とコストを削減するための取組(インシデントレスポンス)の概要及び詳細な対策を共通編に組み込み、第2版として公表しました。


 

・[PDF] ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版

20230426-163317

・[PDF] ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版別紙

※第2版への改定に伴う第1版からの変更なし

20230426-163454

 

ビルシステムのサイバー・フィジカル・セキュリティ対策ガイドラインのページ...

ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン

 

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.19 経済産業省 「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版(案)」及び「付属書 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン(案)」に対する意見募集

・2022.10.31 経済産業省 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版 (2022.10.24)

 

 

| | Comments (0)

英国 GovAssure:英国政府のサイバーセキュリティの評価 (2023.04.20)

こんにちは、丸山満彦です。

すべての政府省庁、独立行政法人の一部が、GovAssureという新制度のもとでサイバーセキュリティのレビュー(監査のようなもの)を受けることになったようですよ。。。

・ベルファストで開催された、CyberUKで、ダウンデン内閣府大臣が発表したようです。。。

・GovAssureは、内閣府の政府セキュリティ・グループ (Cabinet Office’s Government Security Group: GSG) が国家サイバーセキュリティセンター (National Cyber Security Centre: NCSC) の支援を受けながらするようです。。。

・評価基準は、NSCSのサイバーアセスメントフレームワーク (Cyber Assement Framework: CAF) を使うようです。現在は2022年4月11日に改訂されたバージョン3.1です。。。

⚫︎ U.K. Gov

・2023.04.20 Government launches new cyber security measures to tackle ever growing threats

Government launches new cyber security measures to tackle ever growing threats ガバナンス、増え続ける脅威に対応するため、新たなサイバーセキュリティ対策を開始
New and enhanced cyber security measures will better protect the UK government’s IT systems, which run key services for the public, from growing cyber threats. サイバーセキュリティ対策が新たに強化され、国民に重要なサービスを提供する英国政府のITシステムを、増大するサイバー脅威からより安全に保護することができる。
From: Cabinet Office and The Rt Hon Oliver Dowden CBE MP From: 内閣府およびオリバー・ダウデン議員
・All government departments and a select number of arm’s length bodies to have their cyber security reviewed under new, more stringent measures. すべての政府省庁および独立行政法人の一部が、より厳格な新制度のもとでサイバーセキュリティのレビューを受けることになった。
・The new cyber security regime, known as GovAssure, will be run by the Government Security Group, part of the Cabinet Office. GovAssureとして知られる新しいサイバーセキュリティ体制は、内閣府の一部である政府セキュリティ・グループによって運営される予定である。
・GovAssure delivers on a key part of the Government Cyber Security Strategy by improving cyber resilience and help government organisations protect themselves from growing hostile cyber threats. GovAssureは、サイバーレジリエンスを改善することにより、政府サイバーセキュリティ戦略の重要な部分を実現し、政府組織が増大する敵対的なサイバー脅威から身を守るのを支援する。
New cyber security measures will increase the UK’s cyber resilience and protect the UK government’s essential IT functions from ever growing threats. Under the new rules, all central government departments will have their cyber health reviewed annually through new, more robust criteria. 新しいサイバーセキュリティ対策は、英国のサイバーレジリエンスを向上させ、英国政府に不可欠なIT機能を増大し続ける脅威から保護するものである。新しいルールの下で、すべての中央政府部門は、より強固な新しい基準によって、毎年サイバーの健全性を見直すことになる。
Known as GovAssure, the new cyber security scheme will be run by the Cabinet Office’s Government Security Group (GSG), with input from the National Cyber Security Centre (NCSC). GovAssureと呼ばれるこの新しいサイバーセキュリティ制度は、内閣府の政府セキュリティ・グループ(GSG)が、国家サイバーセキュリティセンター(NCSC)の意見を取り入れながら運営する予定である。
GovAssure was announced by Chancellor to the Duchy of Lancaster, Oliver Dowden, at a speech to CyberUK in Belfast. GovAssureは、ベルファストのCyberUKで行われた講演で、ランカスター領担当大臣のオリバー・ダウデン首相が発表した。
Chancellor of the Duchy of Lancaster, The Rt Hon Oliver Dowden said: ランカスター領担当大臣首相、オリバー・ダウデン閣下は次のように述べている:
"Cyber threats are growing, which is why we are committed to overhauling our defences to better protect government from attacks. Today’s stepped up cyber assurance will strengthen government systems, which run vital services for the public, from attacks. It will also improve the country’s resilience; a key part of our recent Integrated Review Refresh." 「私たちは、政府を攻撃から守るために、防御を強化することを約束する。本日のサイバーアシュアランスの強化は、国民にとって重要なサービスを運営する政府のシステムを攻撃から強化するものである。また、私たちが最近行った統合レビューのリフレッシュの重要な部分である、国のレジリエンスを向上させることになる。
GovAssure introduces a number of changes in the way government protects itself from cyber threats. These include: GovAssureは、政府がサイバー脅威から自らを保護する方法について、多くの変更を導入している。その内容は以下の通りである:
・Using NCSC’s Cyber Assessment Framework (CAF) to review the assurance measures all government departments have. The framework includes measures such as setting out indicators of good practice for managing security risk and protecting against a cyber attack and was designed for making critical national services resilient to attack. NCSC のサイバーアセスメント・フレームワーク(CAF)を使用し、すべての政府部門が持つ保証措置を見直す。このフレームワークには、セキュリティリスクのマネジメントやサイバー攻撃からの保護に関する優良事例の指標を示すなどの措置が含まれており、重要な国家サービスを攻撃に対してレジリエンスにするために設計されたものである。
・Departments will also be assessed by third parties to increase standardisation and validate results. 標準化と結果の検証のため、第三者による評価も行う。
・Centralised cyber security policy and guidance to help government organisations identify best practice. ・政府組織がベストプラクティスを特定するためのサイバーセキュリティ政策とガイダンスを一元化する。
In January 2022, the UK government launched the first ever Government Cyber Security Strategy (GCSS) which laid out the significant challenges facing government security and a clear vision for improving resilience. Today’s announcement delivers on a key part of the aim of the strategy of significantly hardening government systems from  cyber attack. 2022年1月、英国政府は史上初の「政府サイバーセキュリティ戦略(GCSS)」を発表し、政府のセキュリティが直面する重大な課題と、レジリエンスを向上させるための明確なビジョンを示した。本日の発表は、サイバー攻撃から政府システムを大幅に強化するという戦略の目的の重要な部分を実現するものである。
Government Chief Security Officer, Vincent Devine said: 政府の最高セキュリティ責任者であるVincent Devineは、次のように述べている:
"This is a transformative change in government cyber security. GovAssure will give us far greater visibility of the common cyber security challenges facing government. It will set clear expectations for departments, empower hard-working cyber security professionals to strengthen the case for security change and investment, and will be a powerful tool for security advocacy." 「これは、政府のサイバーセキュリティに変革をもたらすものである。GovAssureは、政府が直面する一般的なサイバーセキュリティの課題について、はるかに大きな可視性を与えてくれるだろう。各部門に明確な期待を持たせ、勤勉なサイバーセキュリティの専門家に力を与え、セキュリティの変更と投資の事例を強化し、セキュリティの提唱のための強力なツールとなるだろう」。
Lindy Cameron, CEO, National Cyber Security Centre said: 国家サイバーセキュリティセンターのCEOであるLindy Cameronは、次のように述べている:
"We are committed to ensuring the UK continues to be a leading global cyber nation, which is why we have supported the development of the Cyber Assessment Framework to improve the security of our most critical information systems." 「我々は、英国が世界をリードするサイバー国家であり続けることを約束する。そのため、最も重要な情報システムのセキュリティを向上させるために、サイバー評価フレームワークの開発をサポートした。」
"The government’s adoption of the Cyber Assessment Framework through GovAssure will significantly improve resilience." 「政府がGovAssureを通じてサイバーアセスメント・フレームワークを採用することで、レジリエンスを大幅に向上させることができる。」

 

ダウンデン氏の演説

・2023.04.19 CyberUK speechm

 

英国のサイバー戦略

 National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

・[PDF] National Cyber Strategy 2022

20211217-55613

日本語訳 [Downloded]

20230221-170849

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

2022.01.26 英国 政府のサイバーセキュリティ戦略:2022年 - 2030年

・2021.12.17 英国 国家サイバー戦略

 

| | Comments (0)

米国 NIST SP 1800-39 データ格付の実践(初期ドラフト)

こんにちは、丸山満彦です。

NISTが、データ格付けについて、SP 1800-39A, Implementing Data Classification Practices の初期ドラフトを公開し、意見募集をしていますね。。。

重要なんだが、実践が難しい分野ですよね。。。

 

⚫︎ NIST - ITL

・2023.04.24 SP 1800-39 (Draft) Implementing Data Classification Practices (Preliminary Draft)

 

SP 1800-39 (Draft) Implementing Data Classification Practices (Preliminary Draft) SP 1800-39 (案) データ格付の実践(初期ドラフト)
Announcement 通知
The National Cybersecurity Center of Excellence (NCCoE) has published for comment Preliminary Draft NIST SP 1800-39A, Implementing Data Classification Practices.  National Cybersecurity Center of Excellence (NCCoE)は、ト NIST SP 1800-39A, データ格付の実践(初期ドラフ)を意見募集用に公開した。 
About the Project プロジェクトについて
Organizations are managing an increasing volume of data while maintaining compliance with policies for protecting that data. Those policies are driven by business, regulatory, data security, and privacy requirements. This publication can help organizations reduce the risk of data breaches, loss, and mishandling through data-centric security management, by demonstrating how to discover and classify data based on its characteristics regardless of where the data resides or how it is shared. 組織は、増え続けるデータを管理しながら、そのデータを保護するためのポリシーへの準拠を維持している。これらのポリシーは、ビジネス、規制、データセキュリティ、およびプライバシーの要件によって決定される。本書は、データの保存場所や共有方法に関係なく、データの特徴に基づいてデータを発見し格付する方法を示すことで、データ中心のセキュリティ管理によるデータ漏洩、損失、誤操作のリスク低減に貢献する。
The NCCoE and its collaborators are using commercially available technology to build interoperable data classification solutions for use cases. As the project progresses, this preliminary draft will be updated with supporting guidance, and additional use cases and volumes will also be released to solicit public comment. NCCoEとその協力者は、市販の技術を使用して、ユースケースに対応した相互運用可能なデータ格付ソリューションを構築している。プロジェクトの進行に伴い、この初期ドラフトは支援ガイダンスとともに更新され、追加のユースケースとボリュームも公開され、パブリックコメントが募集される予定である。

 

・[PDF] NIST SP 1800-39A iprd

20230426-130754

 

Executive Summary  エグゼクティブサマリー 
Organizations are managing an increasing volume of data while maintaining compliance with policies for protecting that data. Those policies are driven by business, regulatory, data security, and privacy requirements. This publication can help organizations reduce the risk of data breaches, loss, and mishandling through data-centric security management by demonstrating how to discover and classify data based on its characteristics regardless of where the data resides or how it is shared. As part of a zero-trust approach, security management depends on organizations knowing what data they have, what the data’s characteristics are, and the organization’s security and privacy requirements for that data. The example solutions in this guide focus on using data classification in various use cases to inform the protection of data that is used by an organization and shared between organizations. The guide’s use cases will demonstrate commercially available products that enable data classification. The first use case focuses on classifying data used in email messages exchanged within and between organizations.  組織は、増え続けるデータを管理しながら、そのデータを保護するためのポリシーへの準拠を維持している。これらのポリシーは、ビジネス、規制、データセキュリティ、およびプライバシーの要件によって決定される。本書は、データの保存場所や共有方法に関係なく、データを発見し、その特徴に基づいて格付する方法を示すことで、組織がデータ中心のセキュリティ管理によってデータ侵害、損失、誤操作のリスクを軽減するのに役立つ。ゼロトラスト・アプローチの一環として、セキュリティ管理は、組織がどのようなデータを持っているか、そのデータの特性は何か、そのデータに対する組織のセキュリティとプライバシーの要件は何かを知ることに依存する。本ガイドのソリューション例では、さまざまなユースケースでデータ格付を使用し、組織で使用され、組織間で共有されるデータの保護に情報を提供することに焦点を当てている。本ガイドのユースケースは、データ格付を可能にする市販の製品を示すものである。最初のユースケースは、組織内および組織間で交換される電子メールメッセージで使用されるデータの格付に焦点を当てている。
This 1800-series National Institute of Standards and Technology (NIST) publication documents how the National Cybersecurity Center of Excellence (NCCoE) and its collaborators are using commercially available technology to build interoperable data classification solutions for use cases. As the project progresses, this preliminary draft will be updated with supporting guidance, and additional use cases and volumes will also be released to solicit public comment.   この1800シリーズの米国国立標準技術研究所(NIST)の出版物は、National Cybersecurity Center of Excellence(NCCoE)とその協力者が、市販の技術を使用して、ユースケースのための相互運用可能なデータ格付ソリューションを構築する方法を文書化している。プロジェクトの進行に伴い、この予備的な草案はサポートするガイダンスで更新され、追加のユースケースとボリュームも公開され、パブリックコメントを募集する予定である。 
CHALLENGE  課題 
Significant challenges that have hindered effective use of data classification for protecting data include:  データ保護のためのデータ格付の効果的な利用を妨げている重大な課題は以下の通りである: 
§  The limited nature of actionable and interoperable standards for data classification across different regulated industry sectors means that many organizations do not use classifications that are consistent with those of their partners and suppliers to support various policies.   § 規制の異なる産業部門間でデータ格付に関する実用的で相互運用可能な標準が限られているため、多くの組織は、様々な方針をサポートするためにパートナーやサプライヤーの格付と一致する格付を使用していない。 
§  The lack of shared data classification schemes can result in data being classified and labeled inconsistently.   § データ格付のスキームが共有されていないため、データの格付やラベル付けに一貫性がない。 
§  Data being widely distributed across data centers, clouds, and endpoint devices complicates the process of establishing and maintaining data inventories.   § データは、データセンター、クラウド、エンドポイントデバイスに広く分散しているため、データインベントリの確立と維持のプロセスが複雑になっている。 
§  Data classifications and data handling requirements often change during the data lifecycle, requiring the capability to adjust to those changing requirements.  § データのライフサイクルの中で、データの格付や取り扱いの要件が変化することが多いため、変化する要件に対応する能力が必要とされる。
§  Organizational culture may not connect its data owners and business process owners with its data classification technology operators.  § 組織の文化が、データ所有者やビジネスプロセス所有者とデータ格付技術の運用者を結びつけていない場合がある。
This practice guide can help your organization:  このプラクティスガイドは、あなたの組織を支援する: 
§  Adopt, support, and implement interoperable data classification schemas   § 相互運用可能なデータ格付スキーマを採用し、サポートし、実装する。 
§  Mitigate the security and privacy risks of sharing data within and among organizations   § 組織内および組織間でデータを共有する際のセキュリティおよびプライバシーのリスクの低減  
§  Become familiar with commercially available solutions that can help classify data  § データの格付に役立つ市販のソリューションに精通する。
§  Develop and strengthen a common language for data classification  § データ格付の共通言語を開発・強化する。
SOLUTION  解決方法 
The NCCoE is collaborating with technology providers to build several example data classification solutions and demonstrate their ability to meet organizational data classification needs. The project’s objective is to define product-agnostic recommended practices for defining data classification schemes and communicating them to others. Organizations will also be able to use the recommended practices to inventory and characterize data for other security management purposes, such as prioritization of data in preparing the migration of systems, applications, and services to support post-quantum cryptographic algorithms.  NCCoEは、テクノロジープロバイダーと協力して、いくつかのデータ格付ソリューションの例を構築し、組織のデータ格付ニーズに対応する能力を実証している。このプロジェクトの目的は、データ格付スキームを定義し、それを他者に伝えるための、製品にとらわれない推奨事項を定義することである。また、この推奨プラクティスは、システム、アプリケーション、サービスをポスト量子暗号アルゴリズムに対応させるための移行準備におけるデータの優先順位付けなど、他のセキュリティ管理目的のためにデータのインベントリと特徴付けに使用することができるようになる予定である。
For the first example solution, the use case involves the creation, transmission, storage, and retrieval of email. The solution focuses on the classification and exchange of email messages and attachments within and among multiple organizations. Additional volumes of this publication will be released in the future. Volumes will document how organizations can apply zero-trust-aligned approaches to solve the challenge of exchanging data via email using data classification techniques. Future volumes will include data classification guidance, example solution architectures, demonstrations of the technology, and mapping relationships to support various government and industry-recommended practices.  最初のソリューション例では、電子メールの作成、送信、保存、および検索をユースケースとしている。このソリューションでは、複数の組織内および組織間で、電子メールメッセージと添付ファイルを格付して交換することに焦点を当てている。本書は、今後、続巻が発売される予定である。各巻では、データ格付技術を使用して電子メールによるデータ交換の課題を解決するために、組織がゼロ・トラスト・アラインド・アプローチをどのように適用できるかを文書化する予定である。将来的には、データ格付のガイダンス、ソリューションアーキテクチャーの例、テクノロジーのデモンストレーション、政府や業界が推奨するさまざまなプラクティスをサポートするためのマッピング関係などが含まれる予定である。
Our solution strategy follows an agile implementation methodology to build iteratively and incrementally while adapting or adding capabilities. Additional data classification use cases will be examined to address an increasing number of requirements and resource types.   当社のソリューション戦略は、アジャイル実装の方法論に従って、適応や機能追加を行いながら反復的かつ段階的に構築している。今後、さらに多くの要件やリソースに対応するため、データ格付のユースケースを検討する予定である。 
The following collaborators are working with NIST on this project.  このプロジェクトでは、以下の協力者がNISTと連携している。
Collaborators  協力者
ActiveNav  アクティブナビゲーション 
Adobe  アドビ 
GitLab  ギットラボ 
Google  グーグル 
Janusnet  ヤヌスネット 
JPMorgan Chase & Co.  JPMorgan Chase & Co. 
Quick Heal  クイックヒール 
Thales Trusted Cyber Technologies  タレス・トラステッド・サイバー・テクノロジーズ 
Trellix  トレリックス 
Virtru  ヴァーチャル 
While the NCCoE is using a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution.  NCCoEはこの課題に対処するために一連の商用製品を使用しているが、本ガイドはこれらの特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものではありません。組織の情報セキュリティ専門家は、既存のツールやITシステムインフラと最もよく統合できる製品を特定する必要があります。また、このガイドを出発点として、ソリューションの一部をカスタマイズして実装することもできる。
HOW TO USE THIS GUIDE  このガイドの使用方法 
Depending on your role in your organization, you might use this guide in different ways:  組織におけるあなたの役割に応じて、本ガイドをさまざまな方法で使用することができる: 
Business decision makers, including chief information security, business security officers, and technology officers can use this part of the guide, NIST SP 1800-39a: Executive Summary, to understand the drivers for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.  最高情報セキュリティ責任者、ビジネスセキュリティオフィサー、技術責任者などのビジネス意思決定者は、本書のこの部分、NIST SP 1800-39a: Executive Summary を使用して、本書の目的、当社が取り組むサイバーセキュリティの課題、この課題を解決する当社のアプローチ、そのソリューションが組織にもたらすメリットについて理解できる。
Future releases of this publication will include guidance to assist people in the following roles:  本書の今後のリリースでは、以下の役割の人々を支援するためのガイダンスを掲載する予定である: 
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use NIST SP 1800-39b: Approach, Architecture, and Security Characteristics, which describes what we built and why, including the risk analysis performed and the security/privacy control mappings.  リスクを特定、理解、評価、軽減する方法に関心のある技術、セキュリティ、プライバシーのプログラム管理者は、NIST SP 1800-39bを使用できる: アプローチ、アーキテクチャ、およびセキュリティ特性では、リスク分析の実施やセキュリティ/プライバシー制御のマッピングなど、私たちが構築したものとその理由を説明している。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-39c: HowTo Guides, which provide specific product installation, configuration, and integration instructions for building the example implementations, allowing you to replicate all or parts of this project.   このようなアプローチを実施したいIT専門家は、NIST SP 1800-39cを活用することができる: このガイドでは、実装例を構築するための具体的な製品のインストール、構成、および統合の手順を提供しており、このプロジェクトのすべてまたは一部を複製することができる。 

 

 

| | Comments (0)

米国 NIST ホワイトペーパー(案) 「NIST サイバーセキュリティフレームワーク 2.0 コア」のディスカッションドラフト

こんにちは、丸山満彦です。

NISTが、Cybersecurity Frameworkの改訂をおこなっていますが、2.0 Coreのディスカッションドラフトが公表され、意見募集されていますね。。。

今までの、識別、防御、検知、対応、復旧の5つの機能から統治(Govern)が加わり6つの機能になっています。

また、それぞれのカテゴリー内でのサブカテゴリーの移動や統廃合もありますね。。。

 

CSF 2.0 Function  CSF 2.0機能  CSF 2.0 Category  CSF 2.0カテゴリー  CSF 2.0 カテゴリー識別子
Govern
(GV) 
統治
 (GV)
Organizational Context 組織的な背景  GV.OC 
Risk Management Strategy リスクマネジメント戦略  GV.RM 
Roles and Responsibilities 役割と責任  GV.RR 
Policies and Procedures 方針と手順  GV.PO 
Identify
(ID) 
識別
(ID)
Asset Management アセットマネジメント  ID.AM 
Risk Assessment リスクアセスメント  ID.RA 
Supply Chain Risk Management サプライチェーンリスクマネジメント  ID.SC 
Improvement 改善  ID.IM 
Protect
(PR) 
防御
(PR)
Identity Management, Authentication, and Access Control アイデンティティ管理、認証、アクセス制御  PR.AA 
Awareness and Training 意識向上とトレーニング  PR.AT 
Data Security データセキュリティ  PR.DS 
Platform Security プラットフォーム・セキュリティ  PR.PS 
Technology Infrastructure Resilience 技術基盤の強靭化  PR.IR 
Detect
(DE) 
検知
(DE) 
Adverse Event Analysis  有害事象の解析   DE.AN  
Continuous Monitoring  継続的なモニタリング   DE.AM
Respond
(RS) 
対応
(RS)
Incident Management インシデントマネジメント  RS.AM 
Incident Analysis インシデント分析  RS.AN 
Incident Response Reporting and Communication インシデント対応の報告・連絡  RS.CO 
Incident Mitigation インシデント低減  RS.MI 
Recover
(RC) 
復旧
(RC) 
Incident Recovery Plan Execution インシデント復旧計画の実行  RC.RP 
Incident Recovery Communication インシデント復旧コミュニケーション  RC.CO 

 

 

⚫︎ NIST - ITL

・2023.04.24 White Paper (Draft) Discussion Draft of the NIST Cybersecurity Framework 2.0 Core

White Paper (Draft) Discussion Draft of the NIST Cybersecurity Framework 2.0 Core ホワイトペーパー(案) NIST Cybersecurity Framework 2.0 Coreのディスカッション・ドラフト
Announcement 通知
This discussion draft identifies the potential Functions, Categories, and Subcategories (also called cybersecurity outcomes) of the NIST Cybersecurity Framework (CSF) 2.0 Core. NIST is releasing this document for discussion to inform the development of the complete NIST CSF 2.0 Draft. このディスカッションドラフトは、NIST サイバーセキュリティフレームワーク(CSF)2.0 コアの機能、カテゴリー、サブカテゴリー(サイバーセキュリティ成果とも呼ばれる)の候補を特定する。NIST は、完全な NIST CSF 2.0 ドラフトの開発に情報を提供するために、この文書を議論のために公開する。
This early draft of the NIST CSF 2.0 Core is preliminary—it is intended to increase transparency of the update process and promote discussion to generate concrete suggestions for improving the Framework. The draft covers cybersecurity outcomes across 6 Functions, 21 Categories, and 112 Subcategories (Tables 1 and 3). It also includes a sampling of the potential new CSF 2.0 Informative Examples column, to provide notional actions that interpret the CSF Subcategories (Table 2). The draft does not yet identify all Implementation Examples, Informative References, or other information that may be included in the CSF 2.0 Core. In addition to PDF and Excel formats, the final CSF 2.0 Core will be showcased through the online Cybersecurity and Privacy Reference Tool (CPRT) to provide a machine-readable format and updates to crosswalk and mappings to other resources. このNIST CSF 2.0 Coreの初期ドラフトは予備的なものであり、更新プロセスの透明性を高め、フレームワークの改善のための具体的な提案を生み出すための議論を促進することを目的としている。この草案は、6つの機能、21のカテゴリー、および112のサブカテゴリーにわたるサイバーセキュリティの成果を網羅している(表1および表3)。また、CSF 2.0 のサブカテゴリーを解釈する想定アクションを提供するために、新たに設けられる可能性のある「参考例」欄のサンプルも含まれている(表 2)。草案では、CSF 2.0 Core に含まれる可能性のあるすべての識別例、参考資料、その他の情報はまだ特定されていません。最終的な CSF 2.0 Core は、PDF や Excel 形式に加えて、オンラインの Cybersecurity and Privacy Reference Tool(CPRT)を通じて公開され、機械可読形式や他のリソースとのクロスウォークやマッピングの更新が提供される予定である。
The modifications from CSF 1.1 are intended to increase clarity, ensure a consistent level of abstraction, address changes in technologies and risks, and improve alignment with national and international cybersecurity standards and practices. While many organizations have told NIST the CSF 1.1 is still effective in addressing cybersecurity risks, NIST believes these changes are warranted to make it easier for organizations to address their current and future cybersecurity challenges more effectively. The NIST CSF has been widely used to reduce cybersecurity risks since initial publication in 2014; NIST is working with the community to ensure the CSF 2.0 is effective for the next decade. CSF 1.1からの改善は、明確性の向上、一貫した抽象度の確保、技術やリスクの変化への対応、国内外のサイバーセキュリティ基準や慣行との整合性の向上を目的としている。多くの組織がNISTに対して、CSF 1.1はサイバーセキュリティリスクに対処する上で依然として有効であると述べているが、NISTは、組織が現在および将来のサイバーセキュリティ上の課題に、より効果的に対処しやすくするために、これらの変更が正当化されるものと考えている。NIST CSFは、2014年の初版発行以来、サイバーセキュリティリスクの低減に広く利用されている。NISTは、CSF 2.0が今後10年間有効であることを確認するために、コミュニティと協力している。
Feedback on this discussion draft may be submitted to cyberframework@nist.gov at any time. Feedback will inform the complete NIST CSF 2.0 draft anticipated to be released for public comment this summer. このディスカッション・ドラフトに対するフィードバックは、いつでも cyberframework@nist.gov に提出することができる。 フィードバックは、今夏にパブリックコメントのために公開される予定の NIST CSF 2.0 の完全なドラフトに反映される。
NIST seeks feedback as to whether the cybersecurity outcomes address current cybersecurity challenges faced by organizations, are aligned with existing practices and resources, and are responsive to the comments. NIST seeks concrete suggestions about improvements to the draft, including revisions to Functions, Categories, and Subcategories, and submissions of omitted cybersecurity outcomes. NIST also requests feedback on the format, content, and scope of Implementation Examples; suggestions of possible Examples; and the appropriate level of abstraction between Subcategories and Examples. In addition, NIST requests feedback on the best way to showcase final modifications from CSF 1.1 to CSF 2.0 to ease transition. NISTは、サイバーセキュリティの成果が、組織が直面する現在のサイバーセキュリティの課題に対応しているか、既存の実務やリソースと整合しているか、コメントに対応しているか、といったフィードバックを求めている。NISTは、機能、カテゴリー、サブカテゴリーの改善や、省略されたサイバーセキュリティ成果の提出など、草案の改善に関する具体的な提案を求めている。また、NISTは、実装例の形式、内容、範囲、可能な実装例の提案、サブカテゴリーと実装例の間の適切な抽象度に関するフィードバックも求めている。さらに、NIST は、CSF 1.1 から CSF 2.0 への移行を容易にするために、最終的な修正を示す最良の方法についてフィードバックを求めている。
All relevant comments, including attachments and other supporting material, will be made publicly available on the NIST CSF 2.0 website. Personal, sensitive, or confidential business information should not be included. Comments with inappropriate language will not be considered. 添付資料やその他の補足資料を含む関連するコメントはすべて、NIST CSF 2.0 ウェブサイトで一般に公開される予定である。個人情報、機密情報、またはビジネス上の機密情報は記載しないこと。不適切な表現が含まれるコメントは考慮されない。

 

・[PDF] Discussion Draft of the NIST Cybersecurity Framework 2.0 Core

20230426-55351

 

・[DOCX] 仮訳途中...

 

ちなみに、CF1.1の機能とカテゴリーは...

機能 カテゴリー
識別
(ID)

   
資産管理(ID.AM): 自組織が事業目的を達成することを可能にするデータ、人員、デバイス、システム、施設が、識別され、組織の目的と自組織のリスク戦略における相対的な重要性に応じて管理されている。
ビジネス環境(ID.BE): 自組織のミッション、目標、利害関係者、活動が、理解され、優先順位付けが行われている。この情報は、サイバーセキュリティ上の役割、責任、リスクマネジメント上の意思決定を伝えるために使用されている。
ガバナンス(ID.GV): 自組織に対する規制、法律、リスク、環境、運用上の要求事項を、管理し、モニタリングするためのポリシー、手順、プロセスが理解されており、経営層にサイバーセキュリティリスクについて伝えている。
リスクアセスメント(ID.RA): 自組織は、(ミッション、機能、イメージ、評判を含む)組織の業務、組織の資産、個人に対するサイバーセキュリティリスクを把握している。
リスクマネジメント戦略(ID.RM): 自組織の優先順位、制約、リスク許容度、想定が、定められ、運用リスクに対する意思決定を支援するために利用されている。
サプライチェーンリスクマネジメント (ID.SC): 自組織の優先順位、制約、リスク許容度、想定が、定められ、サプライチェーンリスクマネジメントに関連するリスクに対する意思決定を支援するために利用されている。自組織は、サプライチェーンリスクを識別し、分析・評価し、管理するためのプロセスを定め、実装している。

防御 
(PR)

   

アイデンティティ管理、認証/アクセス制御(PR.AC): 物理的・論理的資産および関連施設へのアクセスが、認可されたユーザ、プロセス、デバイスに限定されている。また、これらのアクセスは、認可された活動およびトランザクションに対する不正アクセスのリスクアセスメントと一致して、管理されている。
意識向上およびトレーニング (PR.AT): 自組織の人員およびパートナーは、関連するポリシー、手順、契約に基づいた、サイバーセキュリティに関する義務と責任を果たせるようにするために、サイバーセキュリティ意識向上教育とトレーニングが実施されている。
データセキュリティ(PR.DS): 情報と記録(データ)が、情報の機密性、完全性、可用性を保護するための自組織のリスク戦略に従って管理されている。
情報を保護するためのプロセスおよび手順(PR.IP): (目的、範囲、役割、責任、経営コミットメント、組織間の調整について記した)セキュリティポリシー、プロセス、手順が、維持され、情報システムと資産の防御の管理に使用されている。
保守(PR.MA): 産業用制御システムと情報システムのコンポーネントの保守と修理が、ポリシーと手順に従って実施されている。
保護技術(PR.PT): 技術的なセキュリティソリューションが、関連するポリシー、手順、契約に基づいて、システムと資産のセキュリティとレジリエンスを確保するために管理されている。
検知
(DE)

  
異常とイベント(DE.AE): 異常な活動は、検知されており、イベントがもたらす潜在的な影響が、把握されている。
セキュリティの継続的なモニタリング(DE.CM): 情報システムと資産は、サイバーセキュリティイベントを識別し、保護対策の有効性を検証するために、モニタリングされている。
検知プロセス(DE.DP): 検知プロセスおよび手順が、異常なイベントに確実に気付くために維持され、テストされている。
対応
(RS)

    
対応計画(RS.RP): 対応プロセスおよび手順が、検知したサイバーセキュリティインシデントに対応できるように実施され、維持されている。
コミュニケーション(RS.CO): 対応活動が、内外の利害関係者との間で調整されている(例:法執行機関からの支援)。
分析 (RS.AN): 分析は、効果的な対応を確実にし、復旧活動を支援するために実施されている。
低減(RS.MI): 活動は、イベントの拡大を防ぎ、その影響を緩和し、インシデントを解決するために実施されている。
改善(RS.IM): 組織の対応活動は、現在と過去の検知/対応活動から学んだ教訓を取り入れることで改善されている。
復旧
(RC)


復旧計画(RC.RP): 復旧プロセスおよび手順は、サイバーセキュリティインシデントによる影響を受けたシステムや資産を復旧できるよう実行され、維持されている。
改善(RC.IM): 復旧計画およびプロセスが、学んだ教訓を将来の活動に取り入れることで改善されている。
コミュニケーション(RC.CO): 復旧活動は、内外の関係者(例:コーディネーティングセンター、インターネットサービスプロバイダ、攻撃システムのオーナー、被害者、他組織のCSIRT、ベンダ)との間で調整されている。

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.21 米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...)

・2022.10.07 米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)

 

| | Comments (0)

米国 NIST SP 1800-38A「耐量子暗号への移行」の初期ドラフト

こんにちは、丸山満彦です。

NISTが、耐量子暗号への移行について、SP 1800-38A, Migration to Post Quantum Cryptographyの初期ドラフトを公開し、意見募集をしていますね。。。

 

⚫︎ NIST - ITL

・2023.04.24 NCCoE Releases Preliminary Draft NIST SP 1800-38A, Migration to Post Quantum Cryptography for Public Comment

 

NCCoE Releases Preliminary Draft NIST SP 1800-38A, Migration to Post Quantum Cryptography for Public Comment NCCoE、NIST SP 1800-38A「耐量子暗号への移行」の初期ドラフトを公開し、パブリックコメントを実施
The National Cybersecurity Center of Excellence (NCCoE) has released a preliminary draft practice guide, NIST Special Publication (SP) 1800-38A, Migration to Post-Quantum Cryptography, for public comment. The comment period is open now through June 8, 2023. ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、実践ガイドの一次案「NIST Special Publication (SP) 1800-38A, 耐量子暗号への移行」を公開し、パブリックコメントを求めている。コメント期間は2023年6月8日までとなっている。
About the Project このプロジェクトについて
Advances in quantum computing could compromise many of the current cryptographic algorithms being widely used to protect digital information, necessitating replacement of existing algorithms with quantum-resistant ones. Previous initiatives to update or replace installed cryptographic technologies have taken many years, so it is critical to begin planning for the replacement of hardware, software, and services that use affected algorithms now so that data and systems can be protected from future quantum computer-based attacks.  量子コンピュータの進歩により、デジタル情報を保護するために広く使われている現在の暗号アルゴリズムの多くが危険にさらされる可能性があり、既存のアルゴリズムを量子耐性を持つものに置き換える必要がある。これまでの暗号技術の更新や置き換えには長い年月がかかっており、量子コンピュータを用いた将来の攻撃からデータやシステムを守るためには、影響を受けるアルゴリズムを使用するハードウェア、ソフトウェア、サービスの置き換え計画を今すぐ開始することが重要である。 
NIST has been soliciting, evaluating, and standardizing quantum-resistant public-key cryptographic algorithms (web). To complement this effort, the NIST National Cybersecurity Center of Excellence (NCCoE) is engaging with industry collaborators and regulated industry sectors and the U.S. Federal Government to bring awareness to the issues involved in migrating to post-quantum algorithms and to prepare the crypto community for migration.   NISTは、量子耐性公開鍵暗号アルゴリズム (web)
の募集、評価、標準化を行ってきた。この取り組みを補完するため、NIST National Cybersecurity Center of Excellence(NCCoE)は、産業界の協力者、規制産業部門、米国連邦政府と連携し、ポスト量子アルゴリズムへの移行に伴う問題への認識を高め、暗号コミュニティが移行に備えられるよう取り組んでいる。  
As the project progresses, this preliminary draft will be updated, and additional volumes will also be released for comment.  プロジェクトの進行に伴い、この一次的なドラフトは更新され、コメントのために追加のボリュームもリリースされる予定である。 

 

 

・2023.04.24 SP 1800-38 (Draft) Migration to Post-Quantum Cryptography: Preparation for Considering the Implementation and Adoption of Quantum Safe Cryptography (Preliminary Draft)

・[PDF] NIST SP 1800-38A iprd

20230426-51154

 

Executive Summary エグゼクティブサマリー 
Advances in quantum computing could compromise many of the current cryptographic algorithms being widely used to protect digital information, necessitating replacement of existing algorithms with quantum-resistant ones. Previous initiatives to update or replace installed cryptographic technologies have taken many years, so it is critical to begin planning for the replacement of hardware, software, and services that use affected algorithms now so that data and systems can be protected from future quantum computer-based attacks.  量子コンピュータの進歩により、デジタル情報を保護するために広く使われている現在の暗号アルゴリズムの多くが危険にさらされる可能性があり、既存のアルゴリズムを量子耐性を持つものに置き換える必要がある。これまでの暗号技術の更新や置き換えには長い年月がかかっており、量子コンピュータを用いた将来の攻撃からデータやシステムを守るためには、影響を受けるアルゴリズムを使用するハードウェア、ソフトウェア、サービスの置き換え計画を今すぐ開始することが重要である。
NIST has been soliciting, evaluating, and standardizing quantum-resistant public-key cryptographic algorithms (web). To complement this effort, the NIST National Cybersecurity Center of Excellence (NCCoE) is engaging with industry collaborators and regulated industry sectors and the U.S. Federal Government to bring awareness to the issues involved in migrating to post-quantum algorithms and to prepare the crypto community for migration.  NISTは、量子耐性公開鍵暗号アルゴリズム(web)の募集、評価、標準化を行ってきた。この取り組みを補完するため、NIST National Cybersecurity Center of Excellence(NCCoE)は、産業界の協力者、規制対象産業部門、米国連邦政府と連携し、ポスト量子アルゴリズムへの移行に伴う問題への認識を高め、暗号コミュニティが移行に備えられるよう取り組んでいる。
As the project progresses, this preliminary draft will be updated, and additional volumes will also be released for comment.  プロジェクトの進行に伴い、この予備的なドラフトは更新され、コメントのための追加ボリュームもリリースされる予定である。
CHALLENGE  課題 
Many of the cryptographic products, protocols, and services used today, in particular those using publickey algorithms like Rivest-Shamir-Adleman algorithm (RSA), Elliptic Curve Diffie Hellman (ECDH), and Elliptic Curve Digital Signature Algorithm (ECDSA), need to be updated, replaced, or significantly altered to use quantum-resistant algorithms. Many public-key algorithms and the protocols that use them will be vulnerable to attacks. A majority of today’s information and communication technology systems are not designed to support rapid adaptations of new cryptographic algorithms without making significant changes to the systems’ components.  現在使われている暗号製品、プロトコル、サービスの多く、特にRSA(Rivest-Shamir-Adleman algorithm)、ECDH(Elliptic Curve Diffie Hellman)、ECDSA(Elliptic Curve Digital Signature Algorithm)などの公開鍵アルゴリズムを使ったものは、量子耐性アルゴリズムを使ったものに更新、置き換え、または大幅に変更する必要がある。多くの公開鍵アルゴリズムとそれを使用するプロトコルは、攻撃に対して脆弱になる。現在の情報通信技術システムの大部分は、システムのコンポーネントを大幅に変更することなく、新しい暗号アルゴリズムに迅速に対応できるように設計されていない。
Furthermore, organizations are often unaware of the breadth and scope of application and functional dependencies on public-key cryptography within their products, services, and operational environments. As a result, an organization may not have complete visibility into and a full inventory of the use of cryptography across their organization. Having a complete inventory of key partners (Software as a Service, software vendors, etc.), where cryptography is being used (on-premises, over public internet, etc.) and what data is associated with those relationships will be instrumental to understand how to prioritize migration.  さらに、組織は、自社の製品、サービス、運用環境における公開鍵暗号の適用範囲や機能依存の広さについて知らないことが多い。その結果、組織は、組織全体における暗号の使用状況を完全に把握することができず、完全なインベントリーを持つことができない場合がある。主要なパートナー(SaaS、ソフトウェアベンダーなど)、暗号が使用されている場所(オンプレミス、公衆インターネットなど)、それらの関係に関連するデータを完全に把握することは、移行を優先する方法を理解するために重要である。
The new algorithms will likely not be drop-in replacements for the quantum-vulnerable algorithms. They may not have the same performance or reliability characteristics due to differences in key size, signature size, error handling, number of execution steps required to perform the algorithm, key establishment process complexity, etc. Maintaining connectivity and interoperability among organizations and organizational elements during the transition from quantum-vulnerable algorithms to quantumresistant algorithms will require careful planning. Furthermore, an organization may not have complete control over its cryptographic mechanisms and processes so that they can make accurate alterations to them without involving intense manual effort.  新しいアルゴリズムは、量子脆弱性アルゴリズムの代替品にはならないだろう。鍵のサイズ、署名のサイズ、エラー処理、アルゴリズムの実行に必要な実行ステップ数、鍵の確立プロセスの複雑さなどの違いにより、同じ性能や信頼性を持つとは限りません。量子脆弱性アルゴリズムから量子耐性アルゴリズムへの移行中に、組織や組織要素間の接続性や相互運用性を維持するためには、慎重な計画が必要となる。さらに、組織は暗号の仕組みやプロセスを完全に制御することができないため、手作業による多大な労力を要することなく、正確な変更を行うことができない可能性がある。
OUTCOME  アウトカム 
This project will initially develop example implementations, guidance, and recommended practices. Next, the project will demonstrate these examples supporting various use case scenarios. The findings from the demonstrations will be published in this practice guide, a NIST 1800-series Special Publication that is composed of multiple volumes targeting different topics and audiences defined by workstreams. The initial workstreams are scoped to the following:  このプロジェクトでは、まず、実装例、ガイダンス、推奨事項を作成する。次に、このプロジェクトは、様々なユースケースのシナリオをサポートするこれらの例のデモンストレーションを行う予定である。実証実験から得られた知見は、NIST 1800シリーズの特別刊行物であるこの実践ガイドに掲載される予定であり、ワークストリームによって定義されたさまざまなテーマや対象者を対象とした複数の巻から構成されている。最初のワークストリームは、次のような範囲に設定されている: 
•       Exploring the use of discovery tools to detect and report the presence and use of quantumvulnerable cryptography in systems and services, and the use of output from the tools to inform risk analysis for prioritizing actions to move away from quantum-vulnerable cryptography.   ・システムおよびサービスにおける量子脆弱性暗号の存在と使用を検知し報告するための検知ツールの使用,および量子脆弱性暗号からの脱却を優先するためのリスク分析へのツールの出力の利用を検討する。
•       Identifying interoperability and performance challenges that applied cryptographers may face when implementing the first quantum-resistant algorithms NIST will standardize in 2024. Initial interoperability and performance testing will incorporate QUIC, Transport Layer Security (TLS), Secure Shell (SSH), X.509 post-quantum certificate hybrid profiles to support traditional and post-quantum algorithms, and post-quantum-related operations of next-generation Hardware Security Modules (HSMs).   ・NISTが2024年に標準化する最初の量子耐性アルゴリズムを実装する際に、応用暗号技術者が直面する可能性のある相互運用性と性能の課題を識別する。初期の相互運用性および性能テストでは、QUIC、TLS(Transport Layer Security)、SSH(Secure Shell)、従来のアルゴリズムとポスト量子アルゴリズムをサポートするX.509ポスト量子証明書ハイブリッドプロファイル、次世代ハードウェアセキュリティモジュール(HSM)のポスト量子関連運用を組み込む予定である。 
Lessons learned from the workstreams, such as identifying gaps that exist between post-quantum algorithms and their integration into protocol implementations, will be shared with standards development organizations responsible for developing or updating standards that protect systems and related assets. Increased use of discovery tools will have the added benefit of detecting and reporting the use of cryptographic algorithms that are known vulnerable to non-quantum attacks. Further, our strategy for future phases will build iteratively to produce recommended practices for algorithm replacement, where in some cases interim hybrid implementations are necessary to maintain interoperability during migration.   ポスト量子アルゴリズムとプロトコル実装への統合の間に存在するギャップの特定など、ワークストリームから学んだ教訓は、システムや関連資産を保護する標準の開発または更新を担当する標準開発組織と共有される予定である。検知ツールの使用を増やすことで、非量子攻撃に対して脆弱であることが知られている暗号アルゴリズムの使用を検知し報告するという利点もある。さらに、将来のフェーズにおける我々の戦略は、アルゴリズムの置き換えのための推奨事項を作成するために反復的に構築するものであり、場合によっては、移行中の相互運用性を維持するために暫定的なハイブリッド実装が必要となる。 
We invite feedback from the larger PQC community of interest to identify future workstreams that will accelerate the adoption and deployment of PQC.   PQCの導入と展開を加速させる将来のワークストリームを特定するため、より大きなPQCコミュニティからのフィードバックを募集する。 
This preliminary practice guide can help your organization:  この予備的実践ガイドは、あなたの組織に役立つものである: 
•       Identify where, and how, public-key algorithms are being used on information systems  ・公開鍵アルゴリズムが情報システムのどこで,どのように使用されているかを識別する。
•       Mitigate enterprise risk by providing tools, guidelines, and practices that can be used by organizations in planning for replacement/update of hardware, software, and services that use quantum-vulnerable public-key algorithms  ・量子脆弱性公開鍵アルゴリズムを使用するハードウェア,ソフトウェア,サービスの交換/更新を計画する際に,組織が使用できるツール,ガイドライン,プラクティスを提供することにより,企業リスクを低減する。
•       Develop a risk-based playbook for migration involving people, processes, and technology   ・人,プロセス,テクノロジーを含む移行について,リスクに基づいたプレイブックを作成する。
This preliminary practice guide can help product and service producers:  この予備的実践ガイドは、製品およびサービスの生産者に役立つものである: 
•       Perform interoperability and performance testing for different classes of technology  ・異なるクラスの技術について,相互運用性と性能のテストを実施する。
•       Strengthen cryptographic discovery tools to produce actionable reports  ・暗号解読ツールを強化し,実用的なレポートを作成する。
•       Understand the potential impact that transitioning from quantumvulnerable algorithms could have on their products and services  ・量子脆弱性アルゴリズムからの移行が,自社の製品・サービスに与える潜在的な影響を理解する。
SOLUTION  解決方法 
The initial drafts for the Migration to Post-Quantum Cryptography project will demonstrate tools for the discovery of quantum-vulnerable algorithms in the following use case scenarios:  Migration to Post-Quantum Cryptographyプロジェクトの初期ドラフトでは、以下のユースケースシナリオにおいて、量子脆弱なアルゴリズムを発見するためのツールを実証する: 
•       Vulnerable algorithms used in cryptographic code or dependencies during a continuous integration/continuous delivery development pipeline   ・継続的インテグレーション/継続的デリバリー開発パイプラインにおいて,暗号コードまたは依存関係で使用される脆弱なアルゴリズム
•       Vulnerable algorithms used in network protocols, enabling traceability to specific systems using active scanning and historical traffic captures  ・ネットワークプロトコルで使用される脆弱なアルゴリズム。アクティブスキャンや過去のトラフィックキャプチャを使用して,特定のシステムへのトレーサビリティを可能にする。
•       Vulnerable algorithms used in cryptographic assets on end user systems and servers, to include applications and associated libraries  ・エンドユーザーシステムおよびサーバー上の暗号資産で使用される脆弱なアルゴリズム(アプリケーションおよび関連ライブラリを含む)。
The result will be a practical demonstration of technology and tools that can support organizations that use vulnerable public-key cryptography today in their planning of a migration roadmap using a riskbased approach.   その結果、脆弱な公開鍵暗号を現在使用している組織が、リスクベースアプローチを用いた移行ロードマップを計画する際に支援できる技術やツールを実用的に実証することになる。 
In tandem, industry collaborators will publish results/observations/findings from the interoperability and performance workstream in the form of additional practice guide volumes, white papers, or NIST Internal Reports (IRs) to mitigate the gaps and accelerate the adoption of post-quantum algorithms into the products, protocols, and services.  同時に、産業界の協力者は、相互運用性と性能のワークストリームから得られた結果/観察/発見を、追加のプラクティスガイドブック、ホワイトペーパー、またはNIST内部レポート(IR)の形で発表し、ギャップを緩和して、ポスト量子アルゴリズムの製品、プロトコル、サービスへの採用を加速させる。
The following is a list of the collaborating organizations:  以下は、協力団体のリストである: 
Consortium Members  コンソーシアムメンバー 
Amazon Web Services, Inc. (AWS) アマゾン ウェブ サービス株式会社(AWS)
Cisco Systems, Inc. シスコシステムズ株式会社
Crypto4A Technologies, Inc.  Crypto4A Technologies, Inc. 
CryptoNext Security クリプトネクストセキュリティ
Dell Technologies デル・テクノロジーズ
DigiCert デジサート
Entrust エントラスト
Information Security Corporation 情報セキュリティ株式会社
InfoSec Global インフォセック グローバル
ISARA Corporation 株式会社ISARA
JPMorgan Chase Bank, N.A. JPMorgan Chase Bank, N.A.
Microsoft  マイクロソフト 
National Security Agency (NSA) アメリカ安全保障局(NSA) 
PQShield PQShield(ピーキューシールド 
Samsung SDS Co., Ltd. サムスンSDS株式会社 
SandboxAQ  サンドボックスAQ 
Thales DIS CPL USA, Inc.  IBM Thales Trusted Cyber Technologies  タレス DIS CPL USA, Inc.  IBMタレストラステッドサイバーテクノロジー 
VMware, Inc. ヴイエムウェア株式会社 
wolfSSL ウルフSSL
While the NCCoE is using a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution.  NCCoEはこの課題に対処するために一連の商用製品を使用しているが、本ガイドはこれらの特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものではない。組織の情報セキュリティ専門家は、既存のツールやITシステムインフラと最もよく統合できる製品を特定する必要がある。また、このガイドを出発点として、ソリューションの一部をカスタマイズして実装することもできる。
HOW TO USE THIS GUIDE  このガイドの使用方法 
Depending on your role in your organization, you might use this guide in different ways:  組織におけるあなたの役割に応じて、本ガイドをさまざまな方法で使用することができる: 
Business decision makers, including chief information security and technology officers can use this part of the guide, NIST SP 1800-38a: Executive Summary, to understand the drivers for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.  最高情報セキュリティ責任者や技術責任者などのビジネス意思決定者は、本書のこの部分、NIST SP 1800-38a: Executive Summary を使用して、本書の目的、当社が取り組むサイバーセキュリティの課題、この課題を解決する当社のアプローチ、およびそのソリューションが組織にどのような利益をもたらすかを理解することができる。
Future releases of this publication will include guidance to assist people in the following roles:  本書の今後のリリースでは、以下の役割の方々を支援するためのガイダンスを掲載する予定である: 
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use NIST SP 1800-38b: Approach, Architecture, and Security Characteristics, which describes what we built and why, including the risk analysis performed and the security/privacy control mappings.  リスクを特定、理解、評価、緩和する方法に関心のある技術、セキュリティ、およびプライバシーのプログラム管理者は、NIST SP 1800-38b を使用できる: アプローチ、アーキテクチャ、およびセキュリティの特徴では、リスク分析の実施やセキュリティ/プライバシー制御のマッピングを含め、何をなぜ構築したかを説明している。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-38c: HowTo Guides, which provide specific product installation, configuration, and integration instructions for building the example implementation, allowing you to replicate all or parts of this project.   このようなアプローチを実施したいITプロフェッショナルは、NIST SP 1800-38cを活用することができる: このガイドでは、実装例を構築するための具体的な製品のインストール、構成、および統合の手順を提供しており、このプロジェクトのすべてまたは一部を複製することができる。 



 

| | Comments (0)

2023.04.25

Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

こんにちは、丸山満彦です。

Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表していますね。。。U.K. のNCSCのウェブページから。。。

メタガイダンスのような形をとっていて、スマートシティー以外においても参考になるように思います。。。

 

⚫︎U.K. NCSC 

・2023.04.20 UK and international partners publish joint guidance to help communities create secure smart cities

UK and international partners publish joint guidance to help communities create secure smart cities 英国および国際的なパートナーが、地域社会が安全なスマートシティを作るための共同ガイダンスを発表
New guide, published during CYBERUK 2023, sets out cyber security best practices for creating connected places. CYBERUK 2023期間中に発表された新しいガイドでは、コネクテッド・プレイスを作るためのサイバーセキュリティのベストプラクティスが示されている。
The UK and international partners have published new advice today (Thursday) to help communities balance the cyber security risks involved with creating smart cities. 英国および国際的なパートナーは、本日(木)、コミュニティがスマートシティの構築に伴うサイバーセキュリティリスクのバランスを取るための新しい助言を発表した。
The new joint Cybersecurity Best Practices for Smart Cities guide, issued by the National Cyber Security Centre (NCSC) – a part of GCHQ – alongside agencies from the US, Australia, Canada and New Zealand, is designed to help ensure connected technologies are integrated into infrastructure in a way which protects systems and data. GCHQの一部である国家サイバーセキュリティセンター(NCSC)が、米国、オーストラリア、カナダ、ニュージーランドの機関 省と共同で発行した「スマートシティのためのサイバーセキュリティ・ベストプラクティス」は、システムとデータを保護する方法で接続技術をインフラに確実に統合できるようにすることを目的とした。
It highlights that smart cities, or connected places, have the potential to offer communities cost savings and quality-of-living improvements, but notes these benefits must be balanced with the risks. また、スマートシティやコネクテッド・プレイスは、地域社会にコスト削減や生活の質の向上をもたらす可能性があることを強調したが、これらの利点はリスクとバランスを取る必要があると指摘した。
These risks include an expanded and interconnected attack surface, risks from the supply chain and vulnerabilities that can be introduced by automating infrastructure operations. これらのリスクには、相互接続された攻撃対象の拡大、サプライチェーンからのリスク、インフラ運用の自動化によってもたらされる可能性のある脆弱性などが含まれる。
Communities considering adopting smart cities technologies are encouraged to consult this new guidance to understand the risks and how to mitigate them. スマートシティ技術の導入を検討したコミュニティは、この新しいガイダンスを参照して、リスクとその軽減方法を理解することが推奨される。
Lindy Cameron, NCSC CEO, said: NCSCのCEOであるLindy Cameronは、次のように述べている:
“Connected places have the potential to make everyday life safer and more resilient for citizens; however, it’s vital the benefits are balanced in a way which safeguards security and data privacy. 「しかし、セキュリティとデータ・プライバシーを保護する方法で、その利点のバランスをとることが重要である。
“Our new joint guidance will help communities manage the risks involved when integrating connected technologies into their infrastructure and take action to protect systems and data from online threats.” 「私たちの新しい共同ガイダンスは、地域社会がインフラに接続技術を組み込む際のリスクを管理し、システムやデータをオンラインの脅威から保護するための行動をとるのに役立つ。
The new guide has been published on day two of CYBERUK 2023, the UK’s flagship cyber security conference, which is taking place in Northern Ireland. この新しいガイドは、北アイルランドで開催されている英国の主要なサイバーセキュリティ会議であるCYBERUK 2023の2日目に発表された。
The NCSC has issued this guide with the Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), the Australian Cyber Security Centre (ACSC), the Canadian Centre for Cyber Security (CCCS), and the New Zealand National Cyber Security Centre (NCSC-NZ). NCSCは、サイバーセキュリティ・基盤セキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、オーストラリアサイバーセキュリティセンター(ACSC)、カナダサイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)とともに本ガイドを発行した。

 

・[PDF]

20230425-52040

 

 

Cybersecurity Best Practices for Smart Cities   スマートシティのためのサイバーセキュリティ・ベストプラクティス  
Publication: April 19, 2023  発行: 2023年4月19日 
United States Cybersecurity and Infrastructure Security Agency  米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁 
United States National Security Agency  米国国家安全保障局 
United States Federal Bureau of Investigation  米国連邦捜査局 
United Kingdom National Cyber Security Centre  英国ナショナル・サイバー・セキュリティ・センター 
Australian Cyber Security Centre   オーストラリア・サイバーセキュリティセンター  
Canadian Centre for Cyber Security   カナダ・センター・フォー・サイバー・セキュリティ  
New Zealand National Cyber Security Centre  ニュージーランド・ナショナル・サイバー・セキュリティ・センター 
Summary  概要 
This guidance is the result of a collaborative effort from the United States Cybersecurity and Infrastructure Security Agency (CISA), the United States National Security Agency (NSA), the United States Federal Bureau of Investigation (FBI), the United Kingdom National Cyber Security Centre (NCSC-UK), the Australian Cyber Security Centre (ACSC), the Canadian Centre for Cyber Security (CCCS), and the New Zealand National Cyber Security Centre (NCSC-NZ). These cybersecurity authorities—herein referred to as “authoring organizations”—are aware that communities may seek cost-savings and quality-of-life improvements through the digital transformation of infrastructure to create “smart cities.” In this context, the term “smart cities” refers to communities that:
本ガイダンスは、米国サイバーセキュリティ・基盤セキュリティ局(CISA)、米国国家安全保障局(NSA)、米国連邦捜査局(FBI)、英国国家サイバーセキュリティセンター(NCSC-UK)、オーストラリアサイバーセキュリティセンター(ACSC)、カナダサイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)による共同作業の結果、作成された。これらのサイバーセキュリティ当局(以下、「作成機関」と呼ぶ)は、地域社会がインフラのデジタル化を通じてコスト削減や生活の質の向上を求め、「スマートシティ」を実現する可能性があることを認識している。この文脈では、「スマートシティ」という用語は、以下のようなコミュニティを指す:  
•       Integrate information and communications technologies (ICT), community-wide data, and intelligent solutions to digitally transform infrastructure and optimize governance in response to citizens’ needs.   ・情報通信技術(ICT),コミュニティ全体のデータ,インテリジェントなソリューションを統合し,インフラをデジタルに変換し,市民のニーズに対応したガバナンスを最適化する。
•       Connect the operational technology (OT) managing physical infrastructure with networks and applications that collect and analyze data using ICT components—such as internet of things (IoT) devices, cloud computing, artificial intelligence (AI), and 5G.   ・物理インフラを管理する運用技術(OT)と、モノのインターネット(IoT)機器、クラウドコンピューティング、人工知能(AI)、5GなどのICTコンポーネントを使用してデータを収集・分析するネットワークやアプリケーションを接続する。 
Note: Terms that also refer to communities with this type of integration include “connected places,” “connected communities,” and “smart places.” The communities adopting smart city technologies in their infrastructure vary in size and include university campuses, military installations, towns, and cities.  注)このような統合が進んだコミュニティを指す言葉として、"接続された地域"、"接続されたコミュニティー"、"スマート地域 "もある。スマートシティ技術をインフラに採用しているコミュニティの規模はさまざまで、大学キャンパス、軍事施設、町、都市などが含まれる。
Integrating public services into a connected environment can increase the efficiency and resilience of the infrastructure that supports day-to-day life in our communities. However, communities considering becoming smart cities should thoroughly assess and mitigate the cybersecurity risk that comes with this integration. Smart cities are attractive targets for malicious cyber actors because of:   公共サービスをコネクテッド環境に統合することで、コミュニティでの日常生活を支えるインフラの効率と回復力を高めることができる。しかし、スマートシティ化を検討しているコミュニティは、この統合に伴うサイバーセキュリティリスクを十分に評価し、軽減する必要がある。スマートシティが悪意のあるサイバーアクターの魅力的なターゲットとなるのは、次のような理由からである:  
•       The data being collected, transmitted, stored, and processed, which can include significant amounts of sensitive information from governments, businesses, and private citizens.   ・収集,送信,保存,処理されるデータには,政府,企業,民間人からの大量の機密情報が含まれる可能性がある。
•       The complex artificial intelligence-powered software systems, which may have vulnerabilities, that smart cities sometimes use to integrate this data.   ・スマートシティがこのデータを統合するために使用する、複雑な人工知能を搭載したソフトウェアシステム(脆弱性がある場合がある)。 
The intrinsic value of the large data sets and potential vulnerabilities in digital systems means there is a risk of exploitation for espionage and for financial or political gain by malicious threat actors, including nation-states, cybercriminals, hacktivists, insider threats, and terrorists.  大規模なデータセットの本質的な価値とデジタルシステムの潜在的な脆弱性は、国家、サイバー犯罪者、ハクティビスト、内部脅威者、テロリストなどの悪意のある脅威行為者によって、スパイ活動や金銭的または政治的利益のために悪用されるリスクがあることを意味する。
No technology solution is completely secure. As communities implement smart city technologies, this guidance provides recommendations to balance efficiency and innovation with cybersecurity, privacy protections, and national security. Organizations should implement these best practices in alignment with their specific cybersecurity requirements to ensure the safe and secure operation of infrastructure systems, protection of citizens’ private data, and security of sensitive government and business data.  完全に安全なテクノロジーソリューションはない。コミュニティがスマートシティ技術を導入する際、このガイダンスは、効率とイノベーションとサイバーセキュリティ、プライバシー保護、および国家安全保障のバランスをとるための推奨事項を提供する。組織は、インフラシステムの安全・安心な運用、市民の個人データの保護、政府および企業の機密データのセキュリティを確保するため、それぞれのサイバーセキュリティ要件に合わせてこれらのベストプラクティスを実施する必要がある。
The authoring organizations recommend reviewing this guidance in conjunction with NCSCUK’s Connected Places Cyber Security Principles, ACSC’s An Introduction to Securing Smart Places, CCCS’s Security Considerations for Critical Infrastructure, CISA’s Cross-Sector Cybersecurity Performance Goals, Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default, and Protecting Against Cyber Threats to Managed Service Providers and their Customers. 本ガイダンスは、NCSCUK の「接続された地域のサイバーセキュリティ原則」、ACSC の「スマート地域をセキュアにするための紹介」、CCCS の「重要インフラのためのセキュリティ考慮事項」、CISA の「分野横断サイバーセキュリティ成果ゴール」、「サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインと - デフォルト、マネージドサービスプロバイダーのための原則とアプローチ」 と「マネージドサービスプロバイダーとその顧客に対するサイバー脅威から守るために」と合わせて確認するよう提言する。
Risk to Smart Cities  スマートシティのリスク 
Smart cities may create safer, more efficient, more resilient communities through technological innovation and data-driven decision-making; however, this opportunity also introduces potential vulnerabilities that, if exploited, could impact national security, economic security, public health and safety, and critical infrastructure operations. Cyber threat activity against OT systems is increasing globally, and the interconnection between OT systems and smart city infrastructure increases the attack surface and heightens the potential consequences of compromise.   スマートシティは、技術革新とデータ駆動型の意思決定を通じて、より安全で効率的、かつ強靭なコミュニティを構築する可能性がある。しかし、この機会は、悪用された場合、国家安全保障、経済安全保障、公衆衛生と安全、重要インフラの運用に影響を与える可能性のある潜在的な脆弱性も組み込んでしまっている。OTシステムに対するサイバー脅威活動は世界的に増加しており、OTシステムとスマートシティインフラの相互接続は、攻撃対象領域を拡大し、侵害の潜在的な結果を高めている。 
Smart cities are an attractive target for criminals and cyber threat actors to exploit vulnerable systems to steal critical infrastructure data and proprietary information, conduct ransomware operations, or launch destructive cyberattacks. Successful cyberattacks against smart cities could lead to disruption of infrastructure services, significant financial losses, exposure of citizens’ private data, erosion of citizens’ trust in the smart systems themselves, and physical impacts to infrastructure that could cause physical harm or loss of life. Communities implementing smart city technologies should account for these associated risks as part of their overall risk management approach. The authoring organizations recommend the following resources for guidance on cyber risk management:  スマートシティは、犯罪者やサイバー脅威者にとって、脆弱なシステムを悪用して重要インフラのデータや専有情報を盗んだり、ランサムウェアの運用を行ったり、破壊的なサイバー攻撃を仕掛ける魅力的なターゲットである。スマートシティに対するサイバー攻撃が成功すると、インフラサービスの中断、多額の金銭的損失、市民の個人情報の流出、スマートシステムそのものに対する市民の信頼の低下、身体的被害や人命の損失を引き起こす可能性のあるインフラへの物理的影響につながる恐れがある。スマートシティ技術を導入するコミュニティは、全体的なリスク管理手法の一環として、これらの関連リスクを考慮する必要がある。執筆団体は、サイバーリスク管理に関するガイダンスとして、以下のリソースを推奨する: 
• An introduction to the cyber threat environment (CCCS)
・サイバー脅威環境入門(CCCS)
• Control System Defense: Know the Opponent (CISA, NSA)
・制御システムの防御: 相手を知る (CISA,NSA)
Cyber threat bulletin: Cyber threat to operational technology  (CCCS)  ・サイバー脅威速報 運用技術に対するサイバー脅威(CCCS)
Cyber Assessment Framework (NCSC-UK)  ・サイバーアセスメントフレームワーク(NCSC-UK)
Expanded and Interconnected Attack Surface   拡張され相互接続された攻撃面  
Integrating a greater number of previously separate infrastructure systems into a single network environment expands the digital attack surface for each interconnected organization. This expanded attack surface increases the opportunity for threat actors to exploit a vulnerability for initial access, move laterally across networks, and cause cascading, crosssector disruptions of infrastructure operations, or otherwise threaten confidentiality, integrity, and availability of organizational data, systems, and networks. For example, malicious actors accessing a local government IoT sensor network might be able to obtain lateral access into emergency alert systems if the systems are interconnected.  これまで別々に存在していた多数のインフラシステムを単一のネットワーク環境に統合することで、相互接続された各組織のデジタル攻撃対象領域が拡大する。この攻撃対象領域の拡大により、脅威行為者が脆弱性を悪用して初期アクセスを行い、ネットワークを横断して移動し、インフラ運用に連鎖的・横断的な混乱を引き起こす、あるいは組織のデータ、システム、ネットワークの機密性、完全性、可用性を脅かす機会が増加する。例えば、地方自治体のIoTセンサーネットワークにアクセスした悪意ある行為者は、システムが相互接続されている場合、緊急警報システムに横からアクセスすることができるかもしれない。
Additionally, as a result of smart cities integrating more systems and increasing connectivity between subnetworks, network administrators and security personnel may lose visibility into collective system risks. This potential loss of visibility includes components owned and operated by vendors providing their infrastructure as a service to support integration. It is critical that system owners maintain awareness and control of the evolving network topology as well as the individuals/vendors responsible for the overall system and each segment. Ambiguity regarding roles and responsibilities could degrade the system’s cybersecurity posture and incident response capabilities. Communities implementing smart city technology should assess and manage these risks associated with complex interconnected systems.  さらに、スマートシティがより多くのシステムを統合し、サブネットワーク間の接続性を高めた結果、ネットワーク管理者やセキュリティ担当者は、集合的なシステムリスクに対する可視性を失う可能性がある。このような可視性の喪失の可能性には、統合をサポートするためにインフラをサービスとして提供するベンダーが所有・運営するコンポーネントも含まれる。システム所有者は、進化するネットワーク・トポロジーの認識と管理を維持し、システム全体と各セグメントに責任を持つ個人/ベンダーを把握することが重要である。役割と責任に関するあいまいさは、システムのサイバーセキュリティ態勢とインシデント対応能力を低下させる可能性がある。スマートシティ技術を導入するコミュニティは、複雑に相互接続されたシステムに関連するこれらのリスクを評価し、管理する必要がある。
Risks From the ICT Supply Chain and Vendors   ICTサプライチェーンとベンダーのリスク  
Communities building smart infrastructure systems often rely on vendors to procure and integrate hardware and software that link infrastructure operations via data connections. Vulnerabilities in ICT supply chains—either intentionally developed by cyber threat actors for malicious purposes or unintentionally created via poor security practices—can enable:   スマートインフラシステムを構築するコミュニティは、データ接続を介してインフラ運用をつなぐハードウェアとソフトウェアの調達と統合をベンダーに依存することが多い。ICTサプライチェーンの脆弱性は、サイバー脅威者が悪意を持って意図的に開発したもの、あるいはセキュリティの不備によって意図せずに作られたものであり、以下のような可能性がある:  
•       Theft of data and intellectual property,   ・データおよび知的財産の窃盗
•       Loss of confidence in the integrity of a smart city system, or   ・スマートシティのシステムの完全性に対する信頼性の喪失,または
•       A system or network failure through a disruption of availability in operational technology.   ・運用技術における可用性の中断によるシステムまたはネットワークの障害。
ICT vendors providing smart city technology should take a holistic approach to security by adhering to secure-by-design and secure-by-default development practices. Software products developed in accordance with these practices decrease the burden on resource-constrained local jurisdictions and increase the cybersecurity baseline across smart city networks. See the following resource for guidance on secure-by-design and secure-by-default development practices:  スマートシティ技術を提供するICTベンダーは、セキュアバイデザインやセキュアバイデフォルトの開発手法を遵守することで、セキュリティに対する全体的なアプローチを取るべきである。これらの手法に従って開発されたソフトウェア製品は、リソースに制約のある地方自治体の負担を軽減し、スマートシティネットワーク全体のサイバーセキュリティのベースラインを向上させることができる。セキュアバイデザインとセキュアバイデフォルトの開発手法に関するガイダンスについては、以下のリソースを参照すること: 
Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-byDesign and -Default (CISA, NSA, FBI, ACSC, NCSC-UK, CCCS, BSI, NCSC-NL, CERT NZ, NCSC-NZ)  ・サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインおよびデフォルトの原則とアプローチ(CISA,NSA,FBI,ACSC,NCSC-UK,CCCS,BSI,NCSC-NL,CERT NZ, NCSC-NZ)
The risk from a single smart city vendor could be much higher than in other ICT supply chains or infrastructure operations, given the increased interdependencies between technologies and basic or vital services. Organizations should consider risks from each vendor carefully to avoid exposing citizens, businesses, and communities to both potentially unreliable hardware and software and deliberate exploitation of supply chain vulnerabilities as an attack vector. This includes scrutinizing vendors from nation-states associated with cyberattacks, or those subject to national legislation requiring them to hand over data to foreign intelligence services.  テクノロジーと基本的または重要なサービスとの相互依存が高まっていることから、単一のスマートシティベンダーからのリスクは、他のICTサプライチェーンやインフラ運用よりもはるかに高くなる可能性がある。組織は、市民、企業、およびコミュニティを、信頼性の低いハードウェアやソフトウェアの可能性と、攻撃ベクトルとしてのサプライチェーンの脆弱性の意図的な悪用の両方にさらすことを避けるため、各ベンダーからのリスクを慎重に検討する必要がある。これには、サイバー攻撃に関連する国家のベンダーや、外国の諜報機関にデータを渡すことを義務付ける国内法の対象になっているベンダーを精査することも含まれる。
Illicit access gained through a vulnerable ICT supply chain could allow the degradation or disruption of infrastructure operations and the compromise or theft of sensitive data from utility operations, emergency service communications, or visual surveillance technologies. Smart city IT vendors may also have access to vast amounts of sensitive data from multiple communities to support the integration of infrastructure services—including sensitive government information and personally identifiable information (PII)—which would be an attractive target for malicious actors. The aggregation of sensitive data may provide malicious actors with information that could expose vulnerabilities in critical infrastructure and put citizens at risk. See the following resources for guidance on mitigating supply chain risks:  脆弱なICTサプライチェーンを通じて不正アクセスを受けると、インフラ運用の低下や中断、公共事業、緊急サービス通信、視覚監視技術などの機密データの侵害や盗難が発生する可能性がある。スマートシティのITベンダーは、インフラサービスの統合をサポートするために、複数のコミュニティから、政府の機密情報や個人を特定できる情報(PII)を含む膨大な量の機密データにアクセスできる可能性もあり、悪意ある行為者にとって魅力的なターゲットとなるでしょう。機密データの集約は、重要インフラの脆弱性を暴き、市民を危険にさらす可能性のある情報を悪意ある行為者に提供する可能性がある。サプライチェーンリスクを軽減するためのガイダンスについては、以下のリソースを参照すること: 
Information and Communications Technology Supply Chain Risk Management (CISA)  ・情報通信技術のサプライチェーンリスク管理(CISA)
•  Supply chain security guidance (NCSC-UK)  ・サプライチェーンセキュリティガイダンス (NCSC-UK) 
Identifying Cyber Supply Chain Risks (ACSC)  ・サイバーサプライチェーンリスクの特定(ACSC) 
• Cyber supply chain: An approach to assessing risk (CCCS)  ・サイバーサプライチェーンの リスク評価へのアプローチ(CCCS)
Automation of Infrastructure Operations  インフラ運用の自動化 
Smart cities can achieve efficiencies by automating operations, such as wastewater treatment or traffic management. Automation reduces the requirement for direct human control of those systems. Automation can also allow for better consistency, reliability, and speed for standardized operations. However, automation can also introduce new vulnerabilities because it increases the number of remote entry points into the network (e.g., IoT sensors and remote access points). The volume of data and complexity of automated operations—including reliance on third-party vendors to monitor and manage operations—can reduce visibility into system operations and potentially hinder real-time incident response.  スマートシティは、排水処理や交通管理などの業務を自動化することで効率化を図ることができる。自動化により、これらのシステムを人間が直接制御する必要性が低くなる。また、自動化によって、標準化された業務の一貫性、信頼性、スピードが向上する。しかし、自動化は、ネットワークへのリモートエントリーポイント(IoTセンサーやリモートアクセスポイントなど)の数を増やすため、新たな脆弱性をもたらす可能性もある。また、自動化された運用のデータ量や複雑さ(運用の監視・管理をサードパーティベンダーに依存することも含む)は、システム運用の可視性を低下させ、リアルタイムの事故対応を妨げる可能性がある。
Automation for infrastructure operations in smart city environments may require the use of sensors and actuators that increase the number of endpoints and network connections that are vulnerable to compromise. The integration of AI and complex digital systems could introduce new unmitigated attack vectors and additional vulnerable network components. Reliance on an AI system or other complex systems may decrease overall transparency into the operations of networked devices as these systems make and execute operational decisions based on algorithms instead of human judgment.  スマートシティ環境におけるインフラ運用の自動化では、センサーやアクチュエーターの使用が必要となる場合があり、侵害の恐れがあるエンドポイントやネットワーク接続の数が増加する。AIや複雑なデジタルシステムの統合により、新たな未知の攻撃ベクトルや脆弱なネットワークコンポーネントが追加される可能性がある。AIシステムやその他の複雑なシステムに依存すると、これらのシステムが人間の判断ではなくアルゴリズムに基づいて運用上の意思決定を行い実行するため、ネットワーク機器の運用に対する全体的な透明性が低下する可能性がある。
Recommendations  推奨事項 
Secure Planning and Design  セキュアな企画・設計 
The authoring organizations strongly recommend communities include strategic foresight and proactive cybersecurity risk management processes in their plans and designs for integrating smart city technologies into their infrastructure systems. New technology should be deliberately and carefully integrated into legacy infrastructure designs. Communities should ensure any “smart” or connected features they are planning to include in new infrastructure are secure by design and incorporate secure connectivity with any remaining legacy systems. Additionally, communities should be aware that legacy infrastructure may require a redesign to securely deploy smart city systems. Security planning should focus on creating resilience through defense in depth and account for both physical and cyber risk as well as the converged cyberphysical environment that IoT and industrial IoT (IIoT) systems introduce. See the following consolidated, baseline practices that organizations of all sizes can implement to reduce the likelihood and impact of known IT and OT risks.   筆者らは、コミュニティが、スマートシティ技術をインフラシステムに統合するための計画や設計に、戦略的な先見性とプロアクティブなサイバーセキュリティリスク管理プロセスを含めることを強く推奨する。新技術は、レガシーなインフラ設計に意図的かつ慎重に統合する必要がある。コミュニティは、新しいインフラに組み込む予定の「スマート」または「接続」機能が安全な設計になっており、残存するレガシーシステムとの安全な接続を組み込んでいることを確認する必要がある。さらに、コミュニティは、スマートシティシステムを安全に導入するために、レガシーインフラの再設計が必要になる場合があることを認識する必要がある。セキュリティ計画は、深層防護によるレジリエンスの創出に重点を置き、物理的リスクとサイバーリスクの両方、およびIoTと産業用IoT(IIoT)システムが導入するサイバーフィジカル環境の統合を考慮する必要がある。ITおよびOTの既知のリスクの可能性と影響を低減するために、あらゆる規模の組織が実施できる、以下の統合的な基本プラクティスを参照すること。 
Cross-Sector Cybersecurity Performance Goals (CISA)  ・分野横断サイバーセキュリティ成果目標 (CISA)
See the following additional resources for guidance on accounting for risks in the cyber, physical, and converged environments:  サイバー環境、物理環境、および融合環境におけるリスクの会計処理に関するガイダンスについては、以下の追加リソースを参照すること: 
Improving ICS Cybersecurity with Defense-in-Depth Strategies (CISA)  ・深層防衛戦略によるICSサイバーセキュリティの向上(CISA)
Cybersecurity and Physical Security Convergence (CISA)  ・サイバーセキュリティと物理セキュリティの融合(CISA) 
Consequence-Driven Cyber-Informed Engineering (INL)  ・結果駆動型サイバーインフォームドエンジニアリング (INL)
Apply the principle of least privilege.  最小特権の原則を適用する。
The organizations responsible for implementing smart city technology should apply the principle of least privilege throughout their network environments. As defined by the U.S. National Institute of Standards and Technology (NIST), the principle of least privilege is, “The principle that a security architecture should be designed so that each entity is granted the minimum system resources and authorizations that the entity needs to perform its function.” Administrators should review default and existing configurations along with hardening guidance from vendors to ensure that hardware and software is only permissioned to access other systems and data that it needs to perform its functions. Administrators should also immediately update privileges upon changes in administrative roles or the addition of new users or administrators from newly integrated systems. They should use a tiered model with different levels of administrative access based on job requirements. Administrators should limit access to accounts with full privileges across an enterprise to dedicated, hardened privileged access workstations (PAWs). Administrators should also use time-based or just-intime privileges and identify high-risk devices, services, and users to minimize their access. For detailed guidance, see:  スマートシティ技術の実装を担当する組織は、ネットワーク環境全体に最小特権の原則を適用する必要がある。米国国立標準技術研究所(NIST)の定義によると、最小特権の原則とは、「セキュリティアーキテクチャは、各主体がその機能を果たすために必要な最小限のシステムリソースと権限を付与されるように設計されるべきであるという原則」である。管理者は、ハードウェアおよびソフトウェアが、その機能を実行するために必要な他のシステムおよびデータへのアクセスのみが許可されていることを確認するために、ベンダーからのハードニングガイダンスとともに、デフォルトおよび既存の設定を確認する必要がある。また、管理者は、管理者の役割の変更や、新しく統合されたシステムから新しいユーザーや管理者が追加された場合、直ちに権限を更新する必要がある。管理者は、職務要件に基づいて管理者アクセスのレベルが異なる階層モデルを使用する必要がある。管理者は、企業全体の全権限を持つアカウントへのアクセスを、専用の堅牢な特権アクセスワークステーション(PAW)に制限する必要がある。また、管理者は、時間ベースの特権またはジャストインタイムの特権を使用し、リスクの高いデバイス、サービス、およびユーザーを特定し、そのアクセスを最小限に抑える必要がある。詳細なガイダンスについては、以下を参照すること: 
Defend Privileges and Accounts (NSA)  ・特権とアカウントの保護 (NSA)
Restricting Administrative Privileges (ACSC)  ・管理者権限の制限(ACSC)
Managing and controlling administrative privileges (CCCS)  ・管理者権限の管理・制御(CCCS)
Enforce multifactor authentication.  多要素認証を実行する
The organizations responsible for implementing smart city technology should secure remote access applications and enforce multifactor authentication (MFA) on local and remote accounts and devices where possible to harden the infrastructure that enables access to networks and systems. Organizations should explicitly require MFA where users perform privileged actions or access important (sensitive or high-availability) data repositories. Russian state-sponsored APT actors have recently demonstrated the ability to exploit default MFA protocols. Organizations responsible for implementing smart cities should review configuration policies to protect against “fail open” and re-enrollment scenarios. See the following resource for guidance on implementing MFA:  スマートシティ技術の導入を担当する組織は、ネットワークやシステムへのアクセスを可能にするインフラを強化するために、リモートアクセスアプリケーションを保護し、ローカルおよびリモートのアカウントとデバイスに可能な限り多要素認証(MFA)を適用する必要がある。組織は、ユーザーが特権的な操作を行ったり、重要な(機密または高可用性の)データリポジトリにアクセスしたりする場合に、MFAを明示的に要求する必要がある。ロシアの国家が支援するAPTアクターは最近、デフォルトのMFAプロトコルを悪用する能力を実証している。スマートシティの実装を担当する組織は、「フェイルオープン」や再登録のシナリオから保護するために、設定ポリシーを見直す必要がある。MFAの実装に関するガイダンスについては、以下のリソースを参照すること: 
#More Than a Password (CISA)  ・パスワードを超えるもの(CISA)
Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and “PrintNightmare” Vulnerability (FBI, CISA)  ・ロシアの国家支援によるサイバーアクターが、デフォルトの多要素認証プロトコルと「PrintNightmare」脆弱性を悪用してネットワークアクセスを獲得(FBI、CISA)。
Transition to Multi-Factor Authentication (NSA)  ・多要素認証(NSA)への移行について 
MFA for online services (NCSC-UK)  ・オンラインサービス用MFA(NCSC-UK)
Implementing MFA (ACSC)  ・MFAの実装(ACSC) 
Zero trust architecture design principles - Authenticate and authorize (NCSC-UK)  ・ゼロトラストアーキテクチャ設計原則-認証と承認(NCSC-UK)
Implement zero trust architecture.  ゼロトラストアーキテクチャを導入する。
Implementing zero trust network design principles will create a more secure network environment that requires authentication and authorization for each new connection with a layered, defense-in-depth approach to security. Zero trust also allows for greater visibility into network activity, trend identification through analytics, issue resolution through automation and orchestration, and more efficient network security governance. See the following resources for guidance on implementing zero trust:  ゼロトラスト・ネットワーク設計原則を導入することで、セキュリティに対するレイヤー化された深層防御アプローチにより、新しい接続ごとに本人認証と認可を必要とする、より安全なネットワーク環境を実現する。また、ゼロトラストにより、ネットワーク活動の可視化、分析による傾向の特定、自動化とオーケストレーションによる問題解決、ネットワークセキュリティガバナンスの効率化が可能になる。ゼロトラストの導入に関するガイダンスについては、以下のリソースを参照すること: 
Zero trust architecture design principles (NCSC-UK)  ・ゼロトラストアーキテクチャ設計原則(NCSC-UK)
Zero Trust Maturity Model (CISA)  ・ゼロトラスト成熟度モデル(CISA)
Embracing a Zero Trust Security Model (NSA)  ・ゼロ・トラスト・セキュリティ・モデル(NSA)の採用 
A zero trust approach to security architecture (CCCS)  ・セキュリティ・アーキテクチャへのゼロ・トラスト・アプローチ(CCCS)
Zero Trust security model (CCCS)  ・ゼロトラストセキュリティモデル(CCCS)
Note: Both zero trust architecture and MFA should be applied wherever operationally feasible in balance with requirements for endpoint trust relationships. Some OT networks may require trust-by-default architectures, but organizations should isolate such networks and ensure all interconnections with that network are secured using zero trust and related principles.    注:ゼロトラストアーキテクチャと MFA の両方は、エンドポイントの信頼関係の要件とのバランスにおいて、運用上可能な限り適用される必要がある。一部の OT ネットワークでは Trust-by-default アーキテクチャが必要な場合があるが、組織はそのような ネットワークを分離し、そのネットワークとのすべての相互接続がゼロトラスト及び関連原則を使用してセキュリ ティを確保する必要がある。  
Manage changes to internal architecture risks.  内部アーキテクチャのリスクに対する変更管理
The organizations responsible for implementing smart city technology should understand their environment and carefully manage communications between subnetworks, including newly interconnected subnetworks linking infrastructure systems. Network administrators should maintain awareness of their evolving network architecture and the personnel accountable for the security of the integrated whole and each individual segment. Administrators should identify, group, and isolate critical business systems and apply the appropriate network security controls and monitoring systems to reduce the impact of a compromise across the community. See the following resources for detailed guidance:  スマートシティ技術の実装に責任を持つ組織は、自分たちの環境を理解し、インフラシステムをつなぐ新たに相互接続されたサブネットワークを含む、サブネットワーク間の通信を慎重に管理する必要がある。ネットワーク管理者は、進化するネットワーク・アーキテクチャと、統合された全体と各個別セグメントのセキュリティに責任を持つ担当者について認識を保つ必要がある。管理者は、重要なビジネスシステムを特定、グループ化、隔離し、適切なネットワークセキュリティ制御と監視システムを適用して、コミュニティ全体における侵害の影響を軽減する必要がある。詳細なガイダンスについては、以下のリソースを参照すること: 
CISA Vulnerability Scanning (CISA)  ・CISA 脆弱性スキャニング (CISA)
Vulnerability Scanning Tools and Services (NCSC-UK)  ・脆弱性スキャニングツールとサービス(NCSC-UK)
Security architecture anti-patterns (NCSC-UK)  ・セキュリティアーキテクチャのアンチパターン(NCSC-UK)
• Security architecture anti-patterns (NCSC-UK)  ・横揺れを防止する(NCSC-UK)
Segment Networks and Deploy Application-aware Defenses (NSA)  ・ネットワークをセグメント化し,アプリケーションを意識した防御を展開する(NSA)
Securely manage smart city assets.  スマートシティの資産の安全管理
Secure smart city assets against theft and unauthorized physical changes. Consider implementing physical and logical security controls to protect sensors and monitors against manipulation, theft, vandalism, and environmental threats.  スマートシティの資産を盗難や不正な物理的変更から保護する。センサーやモニターを操作、盗難、破壊行為、環境の脅威から保護するために、物理的および論理的なセキュリティ管理の実施を検討する。
Improve security of vulnerable devices.  脆弱なデバイスのセキュリティの向上
See the following resources for guidance on protecting devices by securing remote access:  リモートアクセスの保護によるデバイスの保護に関するガイダンスについては、以下のリソースを参照すること: 
Selecting and Hardening Remote Access VPN Solutions (CISA, NSA)  ・リモートアクセスVPNソリューションの選択と強化(CISA,NSA)
Using Virtual Private Networks (ACSC)  ・バーチャルプライベートネットワークの活用(ACSC)
Virtual private networks (CCCS)  ・仮想プライベートネットワーク(CCCS)
Protect internet-facing services.  インターネットに接続されたサービスを保護する。
See the following resources for guidance on protecting internet-facing services:  インターネットに面したサービスを保護するためのガイダンスについては、以下のリソースを参照すること: 
Protecting internet-facing services on public service CNI (NCSC-UK)  ・公共サービスCNIにおけるインターネット接続サービスの保護(NCSC-UK)
Strategies for protecting web application systems against credential stuffing attacks (CCCS)  ・クレデンシャル・スタッフィング攻撃(CCCS)からWebアプリケーションシステムを保護するためのストラテジー 
Isolate web-facing applications (CCCS)  ・Web向けアプリケーションを分離する(CCCS)
Patch systems and applications in a timely manner.  システム、アプリケーションへの適時なパッチ適用
Where possible, enable automatic patching processes for all software and hardware devices that include authenticity and integrity validation. Leverage threat intelligence to identify active threats and ensure exposed systems and infrastructure are protected. Secure software assets through an asset management program that includes a product lifecycle process. This process should include planning replacements for components and software nearing or past end-of life, as patches may cease to be developed by manufacturers or developers. See the following resources for guidance on protecting systems and networks via asset management:  可能であれば、すべてのソフトウェアとハードウェアのデバイスに対して、本人認証と完全性検証を含む自動パッチ適用プロセスを有効にする。脅威インテリジェンスを活用してアクティブな脅威を特定し、露出したシステムおよびインフラストラクチャを確実に保護する。製品ライフサイクルプロセスを含む資産管理プログラムを通じて、ソフトウェア資産を保護する。このプロセスには、製造業者や開発業者によってパッチが開発されなくなる可能性があるため、耐用年数が近い、または過ぎたコンポーネントやソフトウェアの交換を計画することが含まれるべきである。資産管理によるシステムおよびネットワークの保護に関するガイダンスについては、以下のリソースを参照すること: 
Known Exploited Vulnerabilities Catalog (CISA)  ・既知の悪用された脆弱性カタログ (CISA)
Asset management for cyber security (NCSC-UK)  ・サイバーセキュリティのための資産管理(NCSC-UK)
Review the legal, security, and privacy risks associated with deployments.  導入に関連する法的リスク、セキュリティリスク、およびプライバシーリスクの検討
Implement processes that continuously evaluate and manage the legal and privacy risks associated with deployed solutions.  導入されたソリューションに関連する法的リスクとプライバシーリスクを継続的に評価し、管理するプロセスを導入する。
Proactive Supply Chain Risk Management  サプライチェーンリスクマネジメントの推進 
All organizations responsible for implementing smart city technology should proactively manage ICT supply chain risk for any new technology, including hardware or software that supports the implementation of smart city systems or service providers supporting implementation and operations. Organizations should use only trusted ICT vendors and components. The ICT supply chain risk management process should include participation from all levels of the organization and have full support from program leaders implementing smart city systems. Procurement officials from communities implementing smart city systems should also communicate minimum security requirements to vendors and articulate actions they will take in response to breaches of those requirements. Smart city technology supply chains should be transparent to the citizens whose data the systems will collect and process.  スマートシティ技術の導入を担当するすべての組織は、スマートシティシステムの導入をサポートするハードウェアやソフトウェア、または導入や運用をサポートするサービスプロバイダーを含む、あらゆる新しい技術について、ICTサプライチェーンのリスクを積極的に管理する必要がある。組織は、信頼できるICTベンダーとコンポーネントのみを使用する必要がある。ICTサプライチェーンリスクマネジメントプロセスは、組織の全レベルからの参加を含み、スマートシティシステムを実施するプログラムリーダーからの完全な支持を得るべきである。また、スマートシティシステムを導入するコミュニティの調達担当者は、ベンダーに最低限のセキュリティ要件を伝え、その要件に違反した場合に取るべき行動を明確にする必要がある。スマートシティ技術のサプライチェーンは、システムがデータを収集・処理する市民に対して透明であるべきである。
For detailed supply chain security guidance, see:  サプライチェーンのセキュリティに関する詳細なガイダンスについては、以下を参照すること: 
Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure (CISA, ACSC, NCSC-NZ, NCSC-UK, CCCS)  ・重要インフラに対するロシアの国家支援および犯罪的なサイバー脅威(CISA,ACSC,NCSC-NZ,NCSC-UK,CCCS)
Supply chain security guidance (NCSC-UK)   ・サプライチェーンセキュリティガイダンス (NCSC-UK)  
ICT Supply Chain Library (CISA)   ・ICTサプライチェーンライブラリー(CISA)
Cyber-Physical Security Considerations for the Electricity Sub-Sector (CISA)  ・電力サブセクターにおけるサイバーフィジカルセキュリティの考慮点(CISA)
Cyber Supply Chain Risk Management (ACSC)   ・サイバーサプライチェーンリスクマネジメント(ACSC)
Software Supply Chain  ソフトウェアサプライチェーン 
The organizations responsible for implementing smart city technology should set security requirements or controls for software suppliers and ensure that potential vendors use a software development lifecycle that incorporates secure development practices, maintains an active vulnerability identification and disclosure process, and enables patch management.   スマートシティ技術の実装に責任を持つ組織は、ソフトウェア供給業者に対するセキュリティ要件または管理を設定し、候補となる業者が、安全な開発手法を取り入れ、脆弱性の識別と開示プロセスを積極的に維持し、パッチ管理を可能にするソフトウェア開発ライフサイクルを使用することを確認すべきである。 
Product vendors should also assume some of the risk associated with their products and develop smart city technology in adherence to secure-by-design and secure-by-default principles and active maintenance for the products they provide. Vendors adhering to these principles give the organizations responsible for procuring and implementing smart city technology more confidence in the products they introduce into their networks.   また、製品ベンダーは、自社製品に関連するリスクの一部を引き受け、セキュアバイデザインおよびセキュアバイデフォルトの原則を遵守してスマートシティ技術を開発し、提供する製品のメンテナンスを積極的に行うべきである。これらの原則を遵守するベンダーは、スマートシティ技術の調達と実装を担当する組織に対して、ネットワークに導入する製品に対する信頼性を高めることができる。 
For detailed guidance, see:  詳細なガイダンスについては、こちらをご覧ください: 
Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-byDesign and -Default (CISA, NSA, FBI, ACSC, NCSC-UK, CCCS, BSI, NCSC-NL, CERT NZ, NCSC-NZ)  ・サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインおよびデフォルトの原則とアプローチ(CISA,NSA,FBI,ACSC,NCSC-UK,CCCS,BSI,NCSC-NL,CERT NZ, NCSC-NZ)
Software Bill of Materials (CISA)   ・ソフトウェア部品表(CISA)
Supply Chain Cyber Security: In Safe Hands (NCSC-NZ)  ・サプライチェーンサイバーセキュリティを 安全な手に(NCSC-NZ)
Securing the Software Supply Chain: Recommended Practices Guide for Customers (ODNI, NSA, CISA, CSCC, DIBSCC, ITSCC)  ・ソフトウェアサプライチェーンの安全性確保: 顧客向け推奨プラクティスガイド(ODNI,NSA,CISA,CSCC,DIBSCC,ITSCC)
Coordinated Vulnerability Disclosure Process (CISA)  ・協調的脆弱性開示プロセス(CISA)
Protecting your organization from software supply chain threats (CCCS)  ・ソフトウェアサプライチェーンの脅威から組織を守るために(CCCS)
Hardware and IoT Device Supply Chain  ハードウェアとIoTデバイスのサプライチェーン 
Organizations responsible for implementing smart city technology should determine whether the IoT devices and hardware that will enable “smart” functionality will require support from third-party or external services. These organizations should perform due-diligence research on how parts are sourced and assembled to create products. They should also determine how the devices store and share data and how the devices secure data at rest, in transit, and in use. Organizations should maintain a risk register that identifies both their own and their vendors’ reliance on cloud computing support, externally sourced components, and similar dependencies. For detailed guidance, see:  スマートシティ技術の導入を担当する組織は、「スマート」な機能を実現するIoT機器やハードウェアが、サードパーティや外部サービスによるサポートを必要とするかどうかを判断する必要がある。これらの組織は、製品を作るために部品がどのように調達され、組み立てられるかについてデューディリジェンス調査を行う必要がある。また、デバイスがどのようにデータを保存・共有するか、デバイスが静止時、転送時、使用時のデータをどのように保護するかについても判断する必要がある。組織は、自社及びベンダーのクラウドコンピューティングへの依存、外部調達された部品、及び同様の依存関係を特定するリスク登録簿を維持する必要がある。詳細なガイダンスについては、以下を参照すること: 
Cyber supply chain: An approach to assessing risk
(CCCS) 
・サイバー・サプライ・チェーン: リスクを評価するためのアプローチ(CCCS)
Cybersecurity for IOT Program
(NIST) 
・サイバーセキュリティ・フォー・IOTプログラム(NIST)
• Defending Against Software Supply Chain Attacks (CISA, NIST)  ・ソフトウェアサプライチェーン攻撃への防御(CISA,NIST)
Managed Service Providers and Cloud Service Providers   マネージドサービスプロバイダー、クラウドサービスプロバイダー  
Organizations should set clear security requirements for managed service providers and other vendors supporting smart city technology implementation and operations. Organizations should account for the risks of contracting with third-party vendors in their overall risk management planning and ensure organizational security standards are included in contractual agreements with external parties. Similarly, organizations should carefully review cloud service agreements, including data security provisions and responsibility sharing models. For detailed guidance, see:  組織は、スマートシティ技術の導入と運用を支援するマネージドサービスプロバイダやその他のベンダーに対して、明確なセキュリティ要件を設定する必要がある。組織は、全体的なリスク管理計画の中で、第三者ベンダーとの契約によるリスクを考慮し、組織のセキュリティ基準が外部との契約合意に含まれていることを確認する必要がある。同様に、組織は、データセキュリティ条項や責任分担モデルなど、クラウドサービス契約を慎重に検討する必要がある。詳細なガイダンスについては、以下を参照すること: 
Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-byDesign and -Default
(CISA, NSA, FBI, ACSC, NCSC-UK, CCCS, BSI, NCSC-NL, CERT NZ, NCSC-NZ) 
・サイバーセキュリティリスクのバランスを変える:Security-byDesign および -Default の原則とアプローチ(CISA、NSA、FBI、ACSC、NCSC-UK、CCCS、BSI、NCSC-NL、CERT NZ、NCSC-NZ)。
Protecting Against Cyber Threats to Managed Service Providers and their Customers
(NCSC-UK, CCCS, NCSC-NZ, CISA, NSA, FBI) 
・マネージドサービスプロバイダーとその顧客に対するサイバー脅威からの保護(NCSC-UK, CCCS, NCSC-NZ, CISA, NSA, FBI)
Six steps toward more secure cloud computing (FTC)  ・より安全なクラウドコンピューティングに向けた6つのステップ(FTC)
Choosing the best cyber security solution for your organization (CCCS)  ・組織に最適なサイバーセキュリティソリューションの選択(CCCS)
Operational Resilience  オペレーショナル・レジリエンス 
The organizations responsible for implementing smart city technology should develop, assess, and maintain contingencies for manual operations of all critical infrastructure functions and train staff accordingly. Those contingencies should include plans for disconnecting infrastructure systems from one another or from the public internet to operate autonomously. In the event of a compromise, organizations should be prepared to isolate affected systems and operate other infrastructure with as little disruption as possible.  スマートシティ技術の導入に責任を持つ組織は、すべての重要なインフラ機能を手動で操作するためのコンティンジェンシーを開発、評価、維持し、それに基づいてスタッフを訓練する必要がある。これらの緊急事態には、インフラシステムを互いに切り離し、または公共のインターネットから切り離して自律的に動作させるための計画を含めるべきである。侵害が発生した場合、組織は、影響を受けるシステムを隔離し、可能な限り混乱なく他のインフラを運用できるように準備する必要がある。
Backup systems and data.  システムおよびデータのバックアップ 
The organizations responsible for implementing smart city technology should create, maintain, and test backups, both for IT system records and for manual operational capabilities for the physical systems integrated in a smart city network. These organizations should identify how and where data will be collected, processed, stored, and transmitted and ensure each node in that data lifecycle is protected. System administrators should store IT backups separately and isolate them to inhibit the spread of ransomware—many ransomware variants attempt to find and encrypt/delete accessible backups. Isolating backups enables restoration of systems/data to their previous state in the case of a ransomware attack.   スマートシティ技術の実装に責任を持つ組織は、ITシステムの記録と、スマートシティネットワークに統合された物理システムの手動操作能力の両方のバックアップを作成、維持、およびテストする必要がある。これらの組織は、データがどのように、どこで収集、処理、保存、送信されるかを特定し、そのデータライフサイクルの各ノードが保護されていることを確認する必要がある。ランサムウェアの多くは、アクセス可能なバックアップを見つけ、暗号化/削除しようとする。バックアップを分離することで、ランサムウェアの攻撃を受けても、システム/データを以前の状態に戻すことができる。 
The organizations responsible for implementing smart city technology should have plans in place and training for staff so operations managers can disconnect normally connected infrastructure systems and operate manually in an “offline” mode to maintain basic service levels. For detailed guidance, see:  スマートシティ技術の導入を担当する組織は、基本的なサービスレベルを維持するために、運用管理者が通常接続されているインフラシステムを切断し、「オフライン」モードで手動操作できるように、計画を立て、スタッフに対するトレーニングを実施する必要がある。詳細なガイダンスについては、以下を参照すること: 
•  Offline backups in an online world (NCSC-UK)  ・オンライン世界におけるオフライン・バックアップ(NCSC-UK)
Conduct workforce training.  従業員のトレーニングを実施する。
Though implementation of smart city technology may include extensive automation, employees responsible for managing infrastructure operations should be prepared to isolate compromised IT systems from OT and manually operate core functions if necessary. Organizations should train new and existing employees on integrated, automated operations as well as isolated, manual backup procedures, including processes for restoring service after a restart. Organizations should update training regularly to account for new technologies and components. For detailed guidance, see:  スマートシティ技術の導入には広範な自動化が含まれる可能性があるが、インフラの運用管理を担当する従業員は、侵害された IT システムを OT から切り離し、必要に応じて中核機能を手動で操作する準備をする必要がある。組織は、統合された自動化されたオペレーションと、再起動後にサービスを回復するためのプロセスを含む、分離された手動バックアップ手順について、新規および既存の従業員をトレーニングする必要がある。組織は、新しい技術やコンポーネントを考慮し、定期的にトレーニングを更新する必要がある。詳細なガイダンスについては、以下を参照すること: 
•  ICS Training Available Through CISA (CISA)  ・CISA (CISA)で受講できるICSトレーニング 
Develop and exercise incident response and recovery plans.  インシデントレスポンスとリカバリーの計画策定と演習
Incident response and recovery plans should include roles and responsibilities for all stakeholders including executive leaders, technical leads, and procurement officers from inside and outside the smart city implementation team. The organizations responsible for implementing smart city technology should maintain up-to-date and accessible hard copies of these plans for responders should the network be inaccessible (e.g., due to a ransomware attack). Organizations should exercise their plans annually and coordinate with continuity managers to ensure continuity of operations. For detailed guidance see:  インシデント対応・復旧計画には、スマートシティ導入チーム内外の幹部リーダー、技術リーダー、調達担当者を含むすべての関係者の役割と責任を含める必要がある。スマートシティ技術の導入に責任を持つ組織は、ネットワークがアクセス不能になった場合(ランサムウェア攻撃など)、対応者のためにこれらの計画の最新かつアクセス可能なハードコピーを維持する必要がある。組織は、毎年計画を実施し、業務の継続性を確保するために、継続性管理者と連携する必要がある。詳細なガイダンスについては、以下を参照すること: 
•  Incident Response Plan Basics (CISA)  ・インシデントレスポンス計画の基本(CISA)
•  Effective steps to cyber exercise creation (NCSC-UK)  ・サイバー演習作成への効果的なステップ(NCSC-UK)
Incident Management: Be Resilient, Be Prepared (NCSC-NZ)  ・インシデント管理: レジリエントであること,準備すること(NCSC-NZ)
Preparing for and Responding to Cyber Security Incidents (ACSC)  ・サイバーセキュリティインシデントへの備えと対応(ACSC)
Developing your incident response plan (CCCS)  ・インシデント対応計画の策定(CCCS)
Developing your IT recovery plan (CCCS)  ・ITリカバリープランを策定する(CCCS)
Purpose  目的 
This guidance was developed by U.S., U.K., Australian, Canadian, and New Zealand cybersecurity authorities to further their respective cybersecurity missions, including their responsibilities to develop and issue cybersecurity specifications and mitigations.  このガイダンスは、米国、英国、オーストラリア、カナダ、ニュージーランドのサイバーセキュリティ当局が、サイバーセキュリティの仕様と緩和策を策定し発行する責任を含む、それぞれのサイバーセキュリティのミッションを推進するために作成したものである。
Acknowledgements  謝辞
Microsoft, IBM, and Nozomi Networks contributed to this guidance.  本ガイダンスには、マイクロソフト、IBM、ノゾミネットワークスの各社が協力している。

 

 

| | Comments (0)

英国 NCSC 原則に基づく保証(PBA) (2023.04.17)

こんにちは、丸山満彦です。

英国が原則に基づく技術保証の制度を考えているようですね。。。

 

⚫︎U.K. NCSC 

・2023.04.17 Principles Based Assurance (PBA)

 

Principles Based Assurance (PBA) 原則に基づく保証(PBA)
Helping customers gain confidence that products are resilient to cyber attack. サイバー攻撃に強い製品であることを利用者に確信してもらう。
ON THIS PAGE このページでは
1.What is Principles Based Assurance (PBA) and how will it help you ? 1.原則に基づく保証 (PBA) とは何か?
2.What technology is PBA for ? 2.PBAはどのような技術に対応するのか?
3.When will PBA be available ? 3.PBAはいつから利用できるのか?
4.What will PBA look like ? 4.PBAはどのようなものか?
5.Assurance, Principles & Claims (APCs) 5.保証、原則、クレーム(APC)
6.Who does the assessment ? 6.誰が評価するのか?
7.Being able to make the right decision 7.正しい判断ができるようになる
What is Principles Based Assurance (PBA) and how will it help you ? 1.原則に基づく保証 (PBA) とは何か?
At NCSC we are building Principles Based Assurance (PBA) to help our customers gain confidence that the technology they use every day is making them more resilient rather than more vulnerable to a cyber attack. NCSCでは、顧客が毎日使っている技術がサイバー攻撃に対して脆弱になるのではなく、より強靭になるという確信を得られるよう、原則に基づく保証(PBA)を構築している。
NCSC focuses its ‘hands on’ assurance effort on those technologies and customers that face the highest threats. Given how vast and connected the technology landscape is now, and how rapidly it is evolving, we recognise that there’s currently a gap in a UK capability to provide a trusted, accessible independent assessment of technology against the scaled threat model. NCSCは、最も高い脅威に直面している技術や顧客に対して、「実地」での保証の取り組みに重点を置いている。現在、テクノロジー環境は非常に広大で、つながっており、急速に進化しているため、スケールされた脅威モデルに対して、信頼できる、アクセス可能な独立したテクノロジーの評価を提供する英国の能力には、現在ギャップがあることを認識している。
To plug this gap, we are building Principles Based Assurance, an NCSC framework for assurance best practice that we are planning to be scaled through industry partners to provide a consistent, accessible UK assurance service. このギャップを埋めるために、我々はNCSCの保証のベストプラクティスのためのフレームワークである原則に基づく保証を構築しており、業界のパートナーを通じて拡張し、一貫性のあるアクセス可能な英国の保証サービスを提供することを計画している。
What technology is PBA for ? 2.PBAはどのような技術に対応するのか?
We’re not just looking at the functionality of security products, like firewalls or VPNs. Given how connected technology is now (to both other technology and people), we must include products (including software) whose primary function is not security, but a compromise of which would cause a significant impact. ファイアウォールやVPNのようなセキュリティ製品の機能性だけに注目しているわけではない。現在、テクノロジーが(他のテクノロジーや人と)いかにつながっているかを考えると、セキュリティが主な機能ではないものの、その侵害が重大な影響を及ぼす製品(ソフトウェアを含む)も含まなければならない。
We need to be able to consider different threat models the system needs to be resilient to. Critical National Infrastructure (CNI), defence and intelligence contexts are likely going to be up against attackers with significant resources, skill, and time, working in a targeted way. This is a different threat to attackers who leverage readily available tools and public vulnerabilities in a spontaneous and scaled way. システムが耐性を持つ必要のあるさまざまな脅威モデルを考慮できるようにする必要がある。重要な国家インフラ(CNI)、防衛、情報の分野では、大規模なリソース、スキル、時間を持ち、標的を定めて活動する攻撃者に直面する可能性がある。これは、容易に入手できるツールや公開されている脆弱性を自発的かつ大規模に活用する攻撃者とは異なる脅威である。
For many customers, gaining confidence that the technology they’re using is resilient to this latter threat model is all they require. If we come up with an approach that tries to make all technology resilient against the former model then timescales will extend, costs will rocket, and choice will vanish. 多くの顧客にとっては、自分たちが使っているテクノロジーがこの後者の脅威モデルに強いという確信を得ることができれば、それだけで十分なのである。もし、すべての技術を前者の脅威に耐えられるようにしようとするアプローチをとれば、タイムスケールは延び、コストは跳ね上がり、選択肢はなくなってしまうでしょう。
When will PBA be available ? 3.PBAはいつから利用できるのか?
Creating PBA can be thought of as a three-layered process. PBAの作成は、3つの層からなるプロセスとして考えることができる。
The first, foundational, layer is the philosophy of a risk-based rather than a compliance-driven approach. The second stage is developing a consistent method that can be followed, along with documentation and templates to be used. The final stage is how the method can be deployed and accessed as a service in the marketplace by both vendors and buyers in a consistent and trusted way. 第1段階は、コンプライアンス重視のアプローチではなく、リスク重視のアプローチという哲学を基礎とすることである。第2段階は、使用する文書やテンプレートとともに、それに従うことができる一貫した方法を開発することである。最終段階は、ベンダーとバイヤーの両方が一貫した信頼できる方法で、その方法を市場にサービスとして展開し、アクセスできるようにする方法である。
Service サービス
PBA needs to be accessed by both vendors and buyers in a consistent way both through trusted industry services to provide independent assessment, capability, or through the NCSC website. PBAは、ベンダーとバイヤーの両方が、独立した評価、能力を提供する信頼できる業界サービス、またはNCSCのウェブサイトを通じて、一貫した方法でアクセスする必要がある。
Method 方法
PBA needs a well-structured approach that both enables vendors to demonstrate evidence against it and provides consistency in the way in which industry and government deploy it as a scheme or service. It is defined by a framework, documentation and technical standards approved by the NCSC. PBAは、ベンダーがその根拠を示すことができ、産業界や政府がスキームやサービスとして展開する方法に一貫性を持たせる、構造化されたアプローチが必要である。PBAは、NCSCによって承認されたフレームワーク、文書、技術標準によって定義されている。
Philosophy 哲学
PBA is an assurance philosophy stretching across the whole customer spectrum. It promotes a more adaptable and holistic, threat-first approach. with understandable outputs that help people to make risk-based decisions. More detail on this aspect is in the White Paper. PBAは、顧客の全領域に及ぶ保証の哲学である。PBAは、より適応性が高く、全体的で、脅威を第一に考えたアプローチを促進するものであり、人々がリスクベースの意思決定をするのに役立つ理解しやすいアウトプットを提供する。この点に関する詳細は、ホワイトペーパーに記載されている。
The NCSC will be publishing the PBA method, when it is available, so that people can start using it. NCSCは、PBAの手法が利用可能になった時点で、人々が利用を開始できるように公開する予定である。
Work is about to begin on the Service layer, to design a way to scale the PBA philosophy and method through Industry partners. By next year we plan to have an embryonic network of approved Cyber Resilience Test Facilities. サービス層については、PBAの理念と手法を産業界のパートナーを通じて拡張する方法を設計するための作業を開始しようとしているところである。来年までには、承認されたサイバー・レジリエンス試験施設のネットワークの胎動が始まる予定である。
What will PBA look like ? 4.PBAはどのようなものか?
On our Technology Assurance section of the website, you will find our Core Technology Assurance Principles. These principles describe the security outcomes that we’d look to assess against to gain confidence in any product. They are divided into three pillars: ウェブサイトの「技術保証」セクションには、「技術保証の基本原則」が掲載されている。この原則は、あらゆる製品の信頼性を高めるために、私たちが評価すべきセキュリティの成果を示している。この原則は、3つの柱に分かれている:
Development 開発
an assessment of the security of the vendor and where appropriate this would include the security of the development environment. Find out more about the 7 principles underpinning the development of secure products. ベンダーのセキュリティの評価、適切な場合は開発環境のセキュリティも含まれます。セキュアな製品開発を支える7つの原則の詳細については、こちら。
Design & functionality 設計と機能性
an assessment of the resilience of the product to cyber attack and the efficacy of any security functionality. Find out more about the 6 principles for design and functionality. サイバー攻撃に対する製品の耐性を評価し、セキュリティ機能の有効性を評価すること。設計と機能の6原則の詳細はこちら。
Through-life スルーライフ
an assessment of how well the security of the product or service will be maintained during its operational lifetime. Find out more about the 5 principles for maintaining a product's security through all stages of its life-cycle. 製品またはサービスのセキュリティが、その運用期間中にどの程度維持されるかを評価するものである。製品のライフサイクルのあらゆる段階を通じてセキュリティを維持するための5つの原則についての詳細はこちら。
Assurance, Principles & Claims (APCs) 5.保証、原則、クレーム(APC)
To enable people to evidence and assess against these principles in a consistent way, we are generating a set of new artefacts called Assurance, Principles & Claims (APCs). これらの原則を一貫した方法で証明し、評価できるようにするために、私たちは「保証、原則、主張(APC)」と呼ばれる一連の新しい成果物を生成している。
An APC will restructure a set of already published security or assurance principles, formalising the language, and illustrating each individual principle with a set of ideal-scenario claims that, if met, means the technology solution is achieving what the principle intends. APCは、既に公開されているセキュリティや保証の原則を再構築し、言語を形式化し、個々の原則を理想的なシナリオの主張で説明するもので、この主張が満たされれば、技術ソリューションが原則の意図することを達成していることを意味する。
It is based on Claims, Argument, Evidence (CAE) approaches used for safety assurance, tailored for cyber security assurance. Full technical specifications for this approach will be published by NCSC, but we can illustrate the concepts with this simple flow: これは、安全保証に用いられる主張、議論、証拠(CAE)アプローチに基づき、サイバーセキュリティ保証のために調整されたものである。このアプローチの完全な技術仕様はNCSCによって公開される予定であるが、この簡単なフローで概念を説明することができる:
Claim 主張
A claim is a true/false statement about a property of a particular object. A claim is exactly what you might consider it to be from common usage of the term; an idea that someone is trying to convince somebody else is true. As an example a product may intend to be able to recover itself from compromise, leading to a claim such as “The Product protects itself from persistent compromise” 主張とは、特定のオブジェクトの特性に関する真偽を示す文のことである。クレームとは、一般的な用語の使い方から想像できるように、誰かが他の誰かに真実であると信じさせようとする考えである。例えば、ある製品は妥協から自己回復できることを意図しており、"本製品は持続的な侵害から自らを保護する "のような主張を導き出すことができるかもしれない。
Argument 論証
An argument is a rule that provides the bridge between what we know or are assuming (sub-claims, evidence) and the top level claim we are investigating. In the example above an argument would begin this bridging by breaking down the claim we are making into a number of sub-claims that are more easily evidenced; one example would be to decompose the claim into sub-claims that describe the what the term “protect” means, such as “The product detects and acts on compromise within 2 seconds” and “When compromise is detected the device stops operating”. 議論とは、私たちが知っていることや想定していること(サブクレーム、証拠)と、私たちが調査しているトップレベルの主張との間の橋渡しをするルールである。上記の例では、論証は、私たちが主張することを、より簡単に証拠となるいくつかのサブクレームに分解することによって、この橋渡しを開始することになる; 例えば、「製品は2秒以内に侵害を検知して対処する」「侵害が検知されるとデバイスは動作を停止する」など、「保護する」という用語の意味を説明するサブクレームにクレームを分解することが挙げられる。
Evidence 証拠
Evidence is an artefact that establishes facts that can be trusted and lead directly to a claim (via an argument). There can be many sources of information but what makes one evidence is the support or rebuttal of a claim. To continue the example the sub-claims described could be evidenced by an independent test facility deliberately launching various forms of compromise against a device and observing the time until the device responds, and the operational state of the device upon that response. 証拠とは、信頼できる事実を立証し、(議論を経て)主張に直接つながる人工物である。情報源はたくさんあるが、証拠となるのは、主張の裏付けや反証となるものである。この例を続けると、独立した試験施設が、ある機器に対して意図的に様々な形態の侵害行為を行い、その機器が応答するまでの時間や、応答した際の機器の動作状態を観察することで、記載したサブクレームを証明することができる。
For particular technology classes, where there is an identified need, bespoke APCs will be created. The NCSC will host the whole portfolio of APC documents on its website, so that vendors and customers can access both core APCs and the bespoke APCs according to their needs. 特定の技術クラスについて、必要性が確認された場合、特注のAPCが作成される予定である。NCSCは、APC文書の全ポートフォリオをウェブサイトで公開し、ベンダーと顧客がニーズに応じてコアAPCとカスタムAPCの両方にアクセスできるようにする。
Who does the assessment ? 6.誰が評価するのか?
How much confidence you need in the assessment of the product will probably depend on the impact of something going wrong. 製品のアセスメントにどれだけの信頼性が必要かは、おそらく何か問題が発生した場合の影響に依存する。
If the criticality of a product is high or you don’t have the skills to do the assessment yourself, then an independent assessment might be a more appropriate route to gaining confidence in a product’s cyber resilience. If the impact would be less serious, then a self-assertion against the relevant APC document by the vendor may be sufficient (and less costly). 製品の重要性が高い場合、または自分で評価を行うスキルがない場合は、製品のサイバー耐性を信頼するために独立した評価を行うことがより適切な方法である場合がある。影響がそれほど大きくない場合は、ベンダーが関連する APC 文書に対して自己アサーションを行うことで十分な場合がある(コストもかからない)。
PBA enables flexibility in the route chosen to gain confidence, but consistency and structure for the outcomes and evidence that need to be demonstrated. PBA は、信頼性を得るために選択する経路に柔軟性を持たせるが、実証する必要のある結果と証拠に一貫性と構造を持たせる。
Being able to make the right decision 7.正しい判断ができるようになる
Ultimately, PBA needs to enable a customer to make an informed decision about whether to buy the product or how to integrate it into their system in a secure way. The outputs should be usable and accessible by all kinds of customers, many of whom will not be security experts. 最終的に、PBA は、顧客が製品を購入するかどうか、または安全な方法でシステムに統合する方法について、情報に基づいた決定を下すことができるようにする必要がある。出力は、あらゆる種類の顧客(その多くはセキュリティの専門家ではない)が使用でき、アクセスできるものでなければならない。
A PBA Assurance Statement (from an independent assessment) will shine a light on what cyber security properties a product has, and how this impacts the risks of the system it’s integrated into. PBA保証書(独立した評価による)は、製品がどのようなサイバーセキュリティ特性を持ち、それが統合されるシステムのリスクにどのように影響するかを明らかにするものである。

 

インフォグラフィック

・[PDF]

20230425-45007

 

Guidance

Technology assurance

 Technology assurance 技術保証
 The future of Technology Assurance in the UK 英国におけるテクノロジー・アシュアランスの未来
 White paper: The future of NCSC Technology Assurance  ホワイトペーパー NCSCテクノロジーアシュアランスの将来
 The audience for technology assurance 技術保証についての想定読者
 What is technology assurance? 技術保証とは何か?
 The current state of technology assurance 技術保証の現状
 Why technology assurance in the UK needs to change 英国の技術保証はなぜ変わらなければならないのか
 Developing a new approach to assurance 保証のための新しいアプローチを開発する
 Objectives of Principles Based Assurance (PBA) 原則に基づく保証(PBA)の目的
 Building a dynamic assurance model 動的保証モデルの構築
 Success criteria 成功の基準
 Summary 概要
 Principles and how they can help us with assurance 原則とそれが保証にどのように役立つのか
 Principles: Product development  プリンシプル:商品開発
 1. Design for user need 1. ユーザーニーズに応えるデザイン
 2. Enable your developers 2. デベロッパーを有効にする
 3. Manage your supply chain risk 3. サプライチェーン・リスクの管理
 4. Secure your development environment 4. 開発環境の安全性の確保
 5. Review and test frequently 5. レビューと頻繁なテスト
 6. Manage change effectively 6. 変化の効果的な管理
 7. Build for through-life 7. スルーライフのための構築
 Principles: Product design and functionality  プリンシプル:製品のデザイン・機能性
 1. Usability of the product 1. 製品のユーザビリティ
 2. Only authorised users should have access to data and functionality 2. データおよび機能へのアクセスは、許可されたユーザーのみが可能であること
 3. Protect sensitive data in transit 3. 移送中の機密データの保護
 4. Maintain the integrity of a product and any sensitive data held on it 4. 製品および製品に含まれる機密データの整合性の維持
 5. Protect against compromise from connected technology 5. コネクテッドテクノロジーからの侵害から守る
 6. Security events should be logged and monitored 6. セキュリティイベントはログに記録し、監視する
 Principles: Through-life  プリンシプル:スルーライフ
 1. Enable people to manage their risks 1. 人々が自分のリスクを管理できるようにすること
 2. Protect the product from unauthorised access 2. 不正なアクセスからの製品保護
 3. Monitor services used by a product 3. 製品が使用するサービスの監視
 4. Review and improve the security offered by a product 4. 製品が提供するセキュリティの見直しと改善
 5. Be prepared to respond to external events 5. 外的事象に対応できるよう準備すること
Principles Based Assurance (PBA) 原則に基づく保証 (PBA)

 

 

 

 

 

| | Comments (0)

NATO 世界最大級のサイバー防衛演習「Locked Shields」 2023の優勝はスウェーデン・アイスランド合同チーム

こんにちは、丸山満彦です。

2010年からNATO Cooperative Cyber Defense Center of Excellence(CCDCOE)によりタリンで開催されているLocked Shiekdsが、今年もタリンで、38カ国、3000名以上の参加者によりで、4月18日から21日に開催され、ことしの順位は、

  1. スウェーデン・アイスランド合同チーム
  2. エストニア・アメリカ合同チーム
  3. ポーランドチーム

だったようです。。。

日本からも参加していますね。。。毎年、参加し続けることが重要ですね。。。

 

・2023.04.21 Sweden-Iceland Joint Team Emerges on Top of Locked Shields 2023 Cyber Defense Exercise

Sweden-Iceland Joint Team Emerges on Top of Locked Shields 2023 Cyber Defense Exercise スウェーデン・アイスランド合同チーム、「ロックド・シールド2023」サイバー防衛演習の頂点に立つ
The most effective teams of Locked Shields 2023 were the Sweden-Iceland joint team, the Estonia-USA joint team, and the Polish team. Locked Shields 2023で最も効果的だったのは、スウェーデンとアイスランドの合同チーム、エストニアとアメリカの合同チーム、そしてポーランドチームだった。
Locked Shields 2023 was the most competitive exercise yet, with a big jump in quality among Blue Teams. Locked Shields is still growing and developing after all these years. “I am thankful for all the Blue Teams who make Locked Shields the unique exercise it is! I cannot stress enough how vital their contributions and feedback are to us,” said Mart Noorma, the Director of NATO CCDCOE. Locked Shields 2023は、Blue Teamsのクオリティが大きく跳ね上がり、これまでで最も競争力の高い演習となった。Locked Shieldsは、何年経っても成長し、発展し続けている。NATO CCDCOEのディレクターであるMart Noorma氏は、次のように述べている。「Locked Shieldsをユニークな演習にしてくれたすべてのブルーチームに感謝している!彼らの貢献とフィードバックが我々にとっていかに重要であるかは、いくら強調してもしきれません」。
The Sweden-Iceland joint team emerged as the most effective participant, followed by the Estonia-USA joint team and the Polish team. Effective teams foster strong collaboration between their strategic decision-makers and technicians to address all elements of a large-scale cyber attack. 最も効果的な参加者はスウェーデンとアイスランドの合同チームで、次いでエストニアとアメリカの合同チーム、ポーランドのチームだった。効果的なチームは、大規模なサイバー攻撃のすべての要素に対処するために、戦略的意思決定者と技術者の間で強力な協力体制を構築している。
Teams that can effectively handle all the challenges across various categories of a large-scale cyber attack are those that foster strong collaboration between their strategic decision-makers and technicians. By working together, they can ensure that all the attack elements are properly addressed, resulting in a more successful outcome. 大規模サイバー攻撃のさまざまなカテゴリーにまたがるすべての課題に効果的に対処できるチームは、戦略的意思決定者と技術者の強い協力関係を育んでいるチームである。連携することで、すべての攻撃要素に適切に対処することができ、結果的に成功につながるのである。
“The fact that more and more nations are joining shows the quality and value of Locked Shields. Thanks to our partners, we can offer the training audiences new technical challenges and new avenues to explore. Learning to tackle new opposition, adapt, and collaborate are the main aims of Locked Shields,” added Noorma. 「より多くの国が参加しているという事実は、Locked Shieldsの品質と価値を示している。私たちのパートナーのおかげで、トレーニングの参加者に新しい技術的な挑戦と新しい道を提供することができます。新しい敵に挑み、適応し、協力することを学ぶことが、Locked Shieldsの主な目的である」とNoormaは付け加えた。
“There has been a noticeable jump in quality, which was impressive. For us, Locked Shields is the pinnacle of cyber defence exercises out there. We saw that training audience had prepared well, and team compositions were well thought through. As always, the participants provided invaluable experience for the organisers as well. Hats off to all the players and organisers!” said Carry Kangur, Head of the Exercise. 演習の責任者であるキャリー・カングールは、「クオリティが著しく向上したことは印象的だった。私たちにとって、Locked Shieldsはサイバー防衛演習の最高峰である。訓練参加者はよく準備し、チーム編成もよく考えられていることがわかった。いつものように、参加者は主催者側にも貴重な経験を提供してくれた。参加者の皆さん、そして主催者の皆さん、本当にお疲れ様だった」と述べた。
Kangur added that each of the 24 participating teams could be regarded as winners as they will likely have gained valuable and relevant training experience from Locked Shields, which offers a unique opportunity for teams to test their skills in a safe environment. “I know many people want to know who comes out on top. Even though scoring is a big part of the exercise, for us, it is more important to see participants adding new partners, members, and nations into their teams. It might sound like a cliché, but everybody is a winner at Locked Shields.” カングールは、次のように述べた。「参加した24チームは、安全な環境で自分たちのスキルを試すユニークな機会を提供するLocked Shieldsから、貴重で適切なトレーニング経験を得たと考えられるので、それぞれ勝者とみなすことができる。多くの人が、誰が優勝したのか知りたがっているのは知っている。しかし、私たちにとっては、参加者が自分のチームに新しいパートナーやメンバー、国を加えていく様子を見ることの方が重要である。陳腐な表現に聞こえるかもしれないが、Locked Shieldsでは誰もが勝者なのである」。
Locked Shields is an annual NATO CCDCOE’s cyber defence exercise designed to test and improve the preparedness of member nations and partners against large-scale cyber attacks. Locked Shieldsは、大規模なサイバー攻撃に対する加盟国やパートナーの備えをテストし、改善することを目的としたNATO CCDCOEのサイバー防衛演習として毎年開催されている。

 

1_20230412154201

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.12 NATO 世界最大級のサイバー防衛演習「Locked Shields」に3000人以上が参加

 

 

| | Comments (0)

米国 CISA SBOM関連の二文書

こんにちは、丸山満彦です。

CISAがSBOMに関連する文書を「SBOMの種類」と「VEXの最小要件」の二つ出していますね。。。

 

⚫︎ CISA

ニュースリリース

・2023.04.21 CISA Releases Two SBOM Documents

CISA Releases Two SBOM Documents CISAがSBOMの2つのドキュメントを公開
Today, CISA released two community-drafted documents around Software Bill of Materials (SBOM)Types of SBOM documents and Minimum Requirements for Vulnerability Exploitability eXchange (VEX).  本日、CISAはソフトウェア部品表(SBOM)に関する2つのコミュニティ起草文書を公開しました: 「SBOM文書の種類」と「脆弱性悪用可能性交換(VEX)の最小要件」である。 
The Types of SBOM document summarizes common types of SBOMs that tools may create in the industry today, along with the data typically presented for each type of SBOM. As software goes from planning to source to build to deployed and used, tools may be able to detect subtle differences in the underlying components. These types will allow for better differentiation of tools and in the broader marketplace. 「SBOMの種類」は、今日、業界でツールが作成する可能性のある一般的なSBOMの種類と、各SBOMの種類に対して通常提示されるデータを要約している。ソフトウェアが計画からソース、ビルド、配備、使用へと進むにつれ、ツールは基礎となるコンポーネントの微妙な差異を検出できるようになるかもしれない。これらのタイプは、ツールおよび広範な市場でのより良い差別化を可能にする。
The Minimum Requirements for VEX document specifies the minimum elements to create a VEX document. This will allow interoperability between different implementations and data formats of VEX. It will also help promote integration of VEX into novel and existing security tools. This document also specifies some optional VEX elements. 「VEXの最小要件」文書では、VEX文書を作成するための最小限の要素を規定している。これにより、VEXの異なる実装やデータフォーマット間の相互運用性が可能になる。また、新規および既存のセキュリティ・ツールへのVEXの統合を促進するのに役立つ。また、この文書では、いくつかのオプションのVEX要素も規定している。
Led by CISA, both publications were debated and drafted by a community of industry and government experts with the goal to offer some common guidance and structure for the large and growing global SBOM community. CISAが主導し、両出版物は、大きく成長する世界のSBOMコミュニティに共通の指針と構造を提供することを目的として、業界と政府の専門家のコミュニティによって議論され、起草された。

 

 

・2023.04.21 Types of Software Bill of Materials (SBOM)

Types of Software Bill of Materials (SBOM) ソフトウェア部品表(SBOM)の種類
This document summarizes some common types of SBOMs that tools may create today, along with the data typically presented for each type of SBOM. It was drafted by a community-led working group on SBOM Tooling and Implementation, facilitated by CISA. この文書は、今日ツールが作成する可能性のあるいくつかの一般的なタイプのSBOMと、各タイプのSBOMに通常提示されるデータをまとめたものである。この文書は、CISAが進行役を務めるSBOMツールおよび実装に関するコミュニティ主導のワーキンググループによって起草された。

 

・[PDF

20230425-23812

 

Types of Software Bill of Material (SBOM) Documents  ソフトウェア部品表(SBOM)の種類 
Introduction  はじめに 
Today there is a widely used definition of the minimum content of a Software Bill of Material (SBOM).1 However, an SBOM may contain different forms of the minimum information sourced from different product artifacts. Given the disparate ways SBOM data can be collected, tool outputs may vary and provide value in different use cases. This document summarizes some common types of SBOMs that tools may create today, along with the data typically presented for each type of SBOM. An SBOM document may combine information for multiple SBOM types.  今日、ソフトウェア部品表(SBOM)の最小限の内容に関する広く使用されている定義がある1。しかし、SBOMには、異なる製品の成果物から得られた最小限の情報の異なる形式が含まれる場合がある。SBOMデータの収集方法が多様であるため、ツールの出力は異なるユースケースで価値を提供する可能性がある。この文書では、今日ツールが作成する可能性のあるいくつかの一般的なタイプのSBOMと、各タイプのSBOMに対して通常提示されるデータを要約する。SBOM文書では、複数のSBOMタイプに関する情報を組み合わせることができる。
Definitions and Discussions  定義と議論 
The following two tables summarize the different types of SBOMs and the benefits and limitations of each type. This list of SBOM types is not intended to be tightly tied to the software lifecycle. Some SBOM types may be available and useful across multiple lifecycle phases, while others may be available only in one lifecycle phase. Also, the data presented within an SBOM type may vary, depending on the software’s lifecycle phase and industry.  次の2つの表は、SBOMのさまざまな種類と、それぞれの種類の利点と制限をまとめたものである。この SBOM タイプのリストは、ソフトウェアライフサイクルと緊密に関連付けることを意図してはいない。SBOMの種類によっては、複数のライフサイクルフェーズで利用可能で有用なものもあれば、あるライフサイクルフェーズでのみ利用可能なものもある。また、ソフトウェアのライフサイクルフェーズや業界によって、SBOMタイプで示されるデータは異なる場合がある。
Conclusion   結論  
These definitions are meant as a starting point for clarifying SBOM types that varying tooling types and methods may create. Different tooling approaches may be required to create the same SBOM type for different kinds of software. This document may evolve as the innovation around SBOMs and their uses may require the addition of more SBOM types. Progress in adopting and refining Vulnerability Exploitability eXchange[1] (i.e., VEX), service dependencies, and “SBOM of SBOMs,” among others, may require additional types of SBOMs.   これらの定義は、さまざまなツールタイプおよび方法が作成する可能性のあるSBOMタイプを明確にするための出発点として意図されている。異なる種類のソフトウェアに対して同じ SBOM タイプを作成するために、異なるツールアプローチが必要となる場合がある。SBOMとその使用に関する技術革新により、より多くのSBOMタイプを追加する必要があるため、この文書は進化する可能性がある。脆弱性悪用可能性交換[1](すなわちVEX)、サービス依存性、および「SBOMのSBOM」等の採用および改良の進展により、SBOMの追加タイプが必要となる可能性がある。 
[1] See https://ntia.gov/files/ntia/publications/vex_one-page_summary.pdf for an initial overview. More information will be available at https://www.cisa.gov/sbom. 

 

SBOMタイプ  定義  データ内容  メリット  制限事項 
デザイン 
Design 
新しいソフトウェア成果物のために意図され、計画されたソフトウェアプロジェクトまたは製品に含まれるコンポーネント(一部はまだ存在しないかもしれない)のSBOM。 通常、設計仕様書、RFP、または初期コンセプトから派生する。 ライセンス購入や取得に先立ち、互換性のないコンポーネントを強調する。 非常に難しいかもしれない。
開発者が使用する部品リストとして、承認または推奨する部品リストを定義している。 他のSBOMタイプに比べ、細部まで確認することができない。
ソース
Source
製品アーティファクトを構築するために使用される開発環境、ソースファイル、および含まれる依存関係から直接作成されるSBOM。  通常、ソフトウェア構成分析(SCA)ツールから生成され、手動で明確化される。 ビルドプロセスにアクセスすることなく可視化できる。 実行されない、あるいは配備されたコードでコンパイルされないコンポーネント(脆弱性を持つ可能性がある)を強調するかもしれない。 
脆弱性をソースで修正することを容易にすることができる。 言語/エコシステムによっては、ランタイム、プラグイン、またはアプリケーションサーバーやプラットフォームライブラリのような動的コンポーネントを含まない場合がある。
含まれるコンポーネントの依存関係ツリー/階層を表示することができる。 完全性のために他のSBOMへの参照を必要とする場合がある。
ビルド
Build
ソースファイル、依存関係、ビルドされたコンポーネント、ビルドプロセスのエフェメラルデータ、および他のSBOMなどのデータから、リリース可能なアーティファクト(実行ファイルまたはパッケージなど)を作成するためにソフトウェアを構築するプロセスの一部として生成されたSBOM。 通常、ビルドプロセスの一部として生成される。最終的なリリース成果物SBOMのために、統合された中間ビルドおよびソースSBOMで構成されることがある。 ビルドやCI/CD(Continuous Integration/Continuous Deployment)プロセスで得られる情報により、製品アーティファクトのSBOM表現が正しいという信頼性が高まる。 このSBOMを生成するために、ビルドプロセスを変更する必要があるかもしれない。
ソースコードだけでなく、より多くのコンポーネントを可視化することができる。 ビルドが実行されるビルド環境に大きく依存する。
同じビルドワークフローで SBOM と製品アーティファクトの署名を可能にすることで、信頼性を向上させる。 間接的な依存関係や実行時の依存関係を把握することが困難な場合がある。
  動的にリンクされた依存関係(言語やエコシステムによって実行時に置き換わる可能性がある)の正しいバージョンを含んでいない可能性がある。
分析済み
Analyzed 
ビルド後のアーティファクト(実行ファイル、パッケージ、コンテナ、仮想マシンイメージなど)の解析を通じて生成されるSBOM。このような分析には、一般にさまざまなヒューリスティックが必要である。文脈によっては、これは「サードパーティ」SBOMとも呼ばれることがある。 通常、サードパーティツールによる成果物の分析を通じて生成される。  レガシーファームウェアの成果物のように、アクティブな開発環境がなくても可視化できる。 ソフトウェアコンポーネントを正確に分解・認識できないため、省略やエラー、近似値が発生する可能性がある。 
ビルドプロセスにアクセスする必要がない。 ヒューリスティックやコンテキスト固有のリスク要因に依存する可能性がある。
他のソースからの SBOM データの検証を支援することができる。他のSBOMタイプ作成ツールで見落とされている隠れた依存関係を見つけることができる。  
実装された
Deplyed 
システム上に存在するソフトウェアのインベントリーを提供するSBOM。これは、構成オプションの分析、および(潜在的にシミュレートされた)展開環境での実行動作の調査を組み合わせた、他のSBOMのアセンブリである可能性がある。 通常、システムにインストールされた成果物のSBOMと構成情報を記録することによって生成される。  システム上にインストールされたソフトウェアコンポーネント(アプリケーションを実行するために使用されるその他の設定やシステムコンポーネントを含む)を表示します。  インストールやデプロイのプロセスを変更する必要がある場合があります。
アクセスできないコードにコンポーネントが存在する可能性があるため、ソフトウェアの実行環境を正確に反映できない可能性がある。
ランタイム
(Runtime)
ソフトウェアを実行するシステムを計測して生成されたSBOM。システム内に存在するコンポーネントだけでなく、外部呼び出しまたは動的にロードされるコンポーネントも捕捉する。文脈によっては、これを「計装」または「動的」SBOMと呼ぶこともある。 通常、システムと相互作用するツールから、実行中の環境および/または実行されたアーティファクトを記録することによって生成される。 動的にロードされるコンポーネントや外部接続を含め、システム実行時に何が使用されているかを把握するための可視性を提供する。 実行中のシステムを解析する必要があるため、オーバーヘッドが発生する可能性がある。
コンポーネントがアクティブかどうか、どの部分が使用されているかなどの詳細情報を含むことができる。 詳細な情報は、システムの全機能が使用されるまで一定期間実行された後でなければ得られない場合がある。

 

・2023.04.21 Minimum Requirements for Vulnerability Exploitability eXchange (VEX)

Minimum Requirements for Vulnerability Exploitability eXchange (VEX) 脆弱性悪用可能性交換(VEX)の最小要件
This document specifies the minimum elements to create a Vulnerability Exploitability eXchange (VEX) document. These elements are derived from, but may not fully conform to, existing VEX documentation and implementations. It was drafted and debated by experts from across the security and software world, representing different sectors and backgrounds. この文書は、脆弱性悪用可能性交換(VEX)文書を作成するための最小限の要素について規定するものである。これらの要素は、既存のVEX文書や実装に由来するものであるが、完全に適合するものではない可能性がある。この文書は、セキュリティとソフトウェアの世界の様々な分野と背景を持つ専門家によって起草され、議論された。

 

 

・[PDF]

20230425-23828

 

 

| | Comments (0)

2023.04.24

B7 東京サミット共同提言

こんにちは、丸山満彦です。

G7が今回は日本で開催されますが、それに合わせて、G7国の経済団体のB7が東京で開催され、共同提言が行われましたね。。。

市場の分断の負の影響を低減させる必要性について強調していますね。。。

もちろん、デジタル(セキュリティを含む)に関することにも言及されていますね。。。

 

原文は英語ですが、日本語訳については、経団連から公表されています。

⚫︎日本経済団体連合

・2023.04.20 B7東京サミット共同提言

目次...

 


Ⅳ.デジタルトランスフォーメーション

1.「自由で公正な貿易投資のためのクラブ」を通じたDFFTの実現

2.データ保護制度間の相互運用性の実現

3.ガバメント・アクセスに係るルール設定

4.セキュリティの確保

(1) サイバーセキュリティの強化

COVID-19のパンデミックによるデジタル化の進展や、社会・経済活動の変化に伴い、産業界のみならず社会全体でサイバー空間と実空間との融合が進展している。一方でサプライチェーンを介したサイバー攻撃も増加している。また、地政学的緊張の高まりがサイバー空間にまで及ぶにつれ、サイバーセキュリティは国家安全保障の重要な分野となりつつある。このような状況下、「Society 5.0 for SDGs」の実現に向けた価値創造とバリューチェーン構築、リスク管理の観点から、G7は、運用上の協力、グローバルサウスに対するキャパシティビルディング、異なった制度間の調和に向けた対話などを推進すべきである。

(2) ディスインフォメーションへの対応

基本的人権の根本である表現の自由が保障されなければならない一方、悪意ある情報を含むディスインフォメーションは民主主義と国家安全保障を脅かす可能性がある。本件は市民の自由と安全保障上の考慮に関する憲法上の議論を含む問題であるため、G7各国はそれぞれの方法でディスインフォメーションへの対応と検閲の禁止といった課題に対処し、必要に応じて情報とベストプラクティスを共有すべきである。

5.デジタル技術の開発

6.キャパシティビルディング


 

 となっていますね。。。

原文は英語です。。。

・2023.04.20 B7 Tokyo Summit Joint Recommendation

 

欧州のビジネスヨーロッパでも公表されていますね。。。

⚫︎ Business Europe

・2023.04.20 B7 Tokyo Summit - Joint recommendation

・[PDF]

20230424-122756

 

 

| | Comments (0)

アイルランド データ保護局 GDPR第30条 取扱活動の記録についてのガイダンス

こんにちは、丸山満彦です。

アイルランドのデータ保護局が、GDPR第30条 取扱活動の記録についてのガイダンスを公表していますね。。。

⚫︎ An Coimisiún um Chosaint Sonraí

・2023.04 Records of Processing (Article 30) Guidance

Records of Processing (Article 30) Guidance 取扱活動の記録(第30条)のガイダンス
Article 30 of the General Data Protection Regulation (GDPR) requires Data Controllers to maintain a Record of Processing Activities (RoPA) under their responsibility. Article 30 GDPR prescribes the information the records must contain and states that controllers and processors must be in a position to provide such records to the Data Protection Commission (DPC) on request. The Records of Processing Activities (RoPA), as a measure to demonstrate compliance, is one of the means by which Data Controllers demonstrate and implement the principle of accountability as set out in Article 5(2) GDPR. A well drafted RoPA will demonstrate to the DPC that a Data Controller is aware of, and has considered the purpose of, all processing activities taking place within the organisation. 一般データ保護規則(GDPR)第30条は、データ管理者がその責任の下で取扱活動の記録(RoPA)を維持することを求めている。GDPR第30条では、記録が含まなければならない情報を規定し、管理者および処理者は、要求に応じてデータ保護委員会(DPC)に当該記録を提供できる状態になければならないとされている。コンプライアンスを実証する手段としての取扱活動記録(RoPA)は、データ管理者がGDPR第5条(2)に定める説明責任の原則を実証し、実施する手段の1つである。よく練られたRoPAは、データ管理者が組織内で行われるすべての処理活動の目的を認識し、検討していることをDPCに示すものである。
This guidance should assist controllers with compliance with Article 30 of the GDPR. このガイダンスは、GDPR第30条を遵守する管理者の助けとなるだろう。

 

・[PDF] Guidance Note: Records of Processing Activities (RoPA) under Article 30 GDPR

20230424-55049

 

Contents  目次 
Introduction  はじめに 
Article 30 - What is required  第30条 要求されること
 • Article 30(1)  ・第30条第1項
 • Article 30(2) ・第30条第2項
 • Article 30(3) ・第30条(3)
 • Article 30(4) ・第30条第4項
 Exemptions to Article 30: Small and Medium Enterprises  第30条の適用除外 中小企業 
Record of Processing Activities: 'Dos and Don'ts'  取扱活動の記録: 「やるべきこと、やってはいけないこと」
'Dos' for Organisations  組織のための「やるべきこと」。
 Break down the RoPA with reference to the different functions within the organisation   組織内のさまざまな機能を参照してRoPAを分解する。
 Use the RoPA as a tool to demonstrate compliance with the Accountability principle as set out in Article 5 GDPR   GDPR第5条に定めるアカウンタビリティ原則の遵守を証明するツールとしてRoPAを使用する。
 include relevant extra information as appropriate   適宜、関連する追加情報を含む 
 Gain buy-in across the organisation   組織全体の賛同を得る 
 Maintain a living document   生きた文書を維持する 
'Don'ts' for orgnanisation  組織にとっての「やってはいけない」こと 
 Neglect to update the RoPA   RoPAの更新を怠る
 Don't cut corners with detail and granularity   詳細と粒度の手抜きをしないこと 
 Don't maintain a RoPA that is not self-explanatory   自明でないRoPAを維持しないこと 
RoPAs for Smaller Organisations  小規模な組織のためのRoPA 
Records of Processing Activities Examples  取扱活動の記録例 
INTRODUCTION  はじめに 
Article 30 of the General Data Protection Regulation (GDPR) requires Data Controllers to maintain a Record of Processing Activities (RoPA) under their responsibility. The GDPR also requires Data Processors to maintain a record of all categories of processing activities carried out on behalf of each Data Controller they work with. Article 30 GDPR prescribes the information the records must contain and states that controllers and processors must be in a position to provide such records to the Data Protection Commission (DPC) on request. The Records of Processing Activities (RoPA), as a measure to demonstrate compliance, is one of the means by which Data Controllers demonstrate and implement the principle of accountability as set out in Article 5(2) GDPR. A  well drafted RoPA will demonstrate to the DPC that a Data Controller is aware of, and has considered the purpose of, all processing activities taking place within the organisation. The RoPA should also demonstrate that the Data Controller has considered the implications of the processing of the personal data, the specific and limited personal data required for each activity, and the particularities of managing the security and retention of the personal data to be processed.  一般データ保護規則(GDPR)第30条では、データ管理者がその責任の下で取扱活動の記録(RoPA)を維持することを求めている。また、GDPRは、データ取扱者に対し、連携する各データ管理者に代わって実施されるすべてのカテゴリーの取扱活動の記録を保持するよう求めている。GDPR第30条では、記録が含むべき情報を規定し、管理者と取扱者は、要求に応じてデータ保護委員会(DPC)に当該記録を提供できる状態になければならない。コンプライアンスを実証する手段としての取扱活動記録(RoPA)は、データ管理者がGDPR第5条(2)に定める説明責任の原則を実証し、実施する手段の1つである。よく練られたRoPAは、データ管理者が組織内で行われるすべての取扱活動の目的を認識し、検討していることをDPCに示すものである。また、RoPAは、データ管理者が個人データの取扱の意味、各活動に必要な特定かつ限定された個人データ、取扱される個人データのセキュリティと保持を管理する特殊性を考慮したことを示す必要がある。
By way of other legislation on Records of Processing Activities, Article 24 of the Law Enforcement Directive (LED) and Section 81 of the Data Protection Act 2018 also require the maintenance of records of processing activities carried out under the LED, and prescribe the specific information such records must contain.   取扱活動の記録に関する他の法律により、法執行指令(LED)の第24条およびデータ保護法2018の第81条も、LEDの下で実施される取扱活動の記録の維持を要求し、当該記録が含むべき特定の情報を規定している。 
Article 57 GDPR details the ‘tasks’ to be performed by the DPC in relation to the GDPR. These tasks include creating awareness with data controllers and processors of their obligations. The DPC is also tasked with monitoring and enforcing the application of the GDPR. It was with these obligations in mind  that in early 2022 the DPC conducted a ‘sweep’ of the Records of Processing Activities of thirty organisation, across both the public and private sectors, to identify common issues arising and possible shortcomings in respect of the drafting and maintenance of RoPAs held by organisations. As part of the sweep, the DPC requested that organisations of various sizes, in both the public and private sector, send their RoPA to the DPC for review . As a result of the sweep, the findings made on examination of the RoPAs and the analysis of those findings, the DPC has drafted the below guidance. This guidance has been drafted to assist organisations in complying with their Article 30 obligations. Particular emphasis is placed on the positive practices identified over the course of the sweep.  GDPR第57条は、GDPRに関連してDPCが行うべき「タスク」を詳述している。これらの任務には、データ管理者および取扱者の義務に関する認識を高めることが含まれる。また、DPCは、GDPRの適用を監視し、実施することも任務としている。このような義務を念頭に置いて、DPCは2022年初頭、官民を問わず30組織の取扱活動記録の「掃討」を行い、組織が保有するRoPAの起草と維持に関して生じる共通の問題や考えられる欠点を特定したのである。この調査の一環として、DPCは、官民を問わず様々な規模の組織に対し、RoPAをDPCに送付し、レビューしてもらうよう要請した。掃討作戦の結果、RoPAを調査した結果、DPCは以下のガイダンスを起草した。このガイダンスは、組織が第30条の義務を遵守することを支援するために作成されたものである。特に、調査期間中に確認されたポジティブな慣行に重点を置いている。
Shortcomings which were identified have also been highlighted, to assist organisations as to ‘What Not to Do’.   また、「やってはいけないこと」として組織を支援するために、識別された欠点も強調されている。 
Article 30 - What is required  第30条 要求されること
Article 30 of the GDPR places an obligation on controllers and processors to have in place within their organisations a detailed record which accurately identifies the activities the organisation carries out which use personal data. Failure to identify all relevant processing activities may result in personal data being processed in a way that is not in compliance with the GDPR. It may also mean that appropriate technical and organisational measures to protect the personal data being controlled or processed by an organisation are not put in place.  GDPR第30条は、管理者と取扱者に対し、個人データを使用する組織の活動を正確に特定する詳細な記録を組織内に設置する義務を課している。関連するすべての取扱活動を特定できない場合、GDPRに準拠しない方法で個人データが取扱される可能性がある。また、組織が管理または取扱する個人データを保護するための適切な技術的および組織的な措置が講じられていないことを意味する場合もある。
• Article 30(1) GDPR provides that all organisations that process personal data, either as a data controller or as their representative, shall maintain a record of the processing activities under its responsibility.  Article 30(1) prescribes that this record must contain all of the following:  ・第30条1項GDPRは、データ管理者またはその代理人として個人データを取扱するすべての組織が、その責任の下で取扱活動の記録を保持することを規定している。 第30条(1)は、この記録には以下のすべてを含まなければならないと規定している: 
a) The name and contact details of the controller and, where applicable, the joint controller, the controller's representative and the Data Protection Officer (DPO);  a) 管理者、場合によっては共同管理者、管理者の代表者及びデータ保護責任者(DPO)の氏名及び連絡先; 
b) The purposes of the processing;  b) 取扱の目的; 
Ø Why the organisation is using the personal data in question, for example,  for the purposes of payroll management.  Ø 組織が当該個人データを使用する理由、例えば、給与管理の目的など。
c) A description of the categories of data subjects and of the categories of personal data;  c) データ主体のカテゴリおよび個人データのカテゴリの説明; 
Ø For example, both employees and clients of an organisation are examples of categories of data subjects .  Ø 例えば、組織の従業員と顧客の両方が、データ主体のカテゴリーの例である。
Ø Categories of personal data include contact details, previous employment history, and the health records of employees.  Ø 個人データのカテゴリーには、連絡先の詳細、過去の職歴、従業員の健康記録などがある。
d) The categories of recipients to whom the personal data have been, or will be disclosed, including recipients in third countries or international organisations;  d) 個人データが開示された、または開示される予定の受領者(第三国または国際機関の受領者を含む)の分類; 
Ø By way of example, this would include an external HR company subcontracted to deal with an internal HR matter.  Ø 例として、社内の人事問題に対処するために下請けされた外部の人事会社が含まれる。
e) Where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;   e) 該当する場合、第三国または国際組織への個人データの移転(当該第三国または国際組織の特定、および第49条(1)第2項に言及する移転の場合、適切な保護措置の文書化を含む); 
Ø This would include the transfer of information to an international organisation such as an international NGO or to a processor based outside of the European Economic Area (EEA).  Ø これには、国際NGOなどの国際組織や欧州経済領域(EEA)外に拠点を置く取扱業者への情報の移転が含まれる。
f) Where possible, the envisaged time limits for erasure of the different categories of data;  f) 可能な場合、異なる種類のデータの消去のための想定される期限; 
Ø This is likely to be organisation dependant and may be set by statute, internal policies, industry guidelines or a combination of all three.  Ø これは組織に依存する可能性が高く、法令、内部方針、業界ガイドライン、またはこれら 3 つの組み合わせによって設定される可能性がある。
g) Where possible, a general description of the technical and organisational security measures referred to in Article 32(1);  g) 可能であれば、第32条(1)で言及された技術的及び組織的なセキュリティ対策の一般的な説明書; 
Ø This may include, for example, the encryption of records, access controls and staff training.   Ø これには、例えば、記録の暗号化、アクセス制御、スタッフのトレーニングが含まれる。 
• Article 30(2) GDPR details the records of processing which must be maintained by data processors or their representatives. This includes that a processor’s representative must maintain a record of all categories of processing activities carried out on behalf of a controller, containing;  ・GDPR第30条(2)では、データ取扱者またはその代理人が維持しなければならない取扱の記録について詳述している。これには、取扱者の代理人は、管理者に代わって実施されるすべてのカテゴリーの取扱活動について、以下を含む記録を維持しなければならないことが含まれる; 
a) The name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and, where applicable, of the controller’s or the processor’s representative, and the data protection officer;  a) 取扱者または取扱者、および取扱者が代行する各管理者の名前と連絡先、および該当する場合は管理者または取扱者の代表者、データ保護責任者の名前; 
b) The categories of processing carried out on behalf of each controller;  b) 各管理者に代わって実施される取扱のカテゴリー; 
c) Where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;  c) 該当する場合、第三国または国際機関への個人データの移転。当該第三国または国際機関の特定、および第49条第1項第2号に言及する移転の場合、適切な保護措置の文書化を含む; 
Where possible, a general description of the technical and organisational security measures referred to in Article 32(1).  可能な場合、第32条(1)で言及された技術的及び組織的なセキュリティ対策の一般的な説明。
• Article 30(3) GDPR requires the controller to maintain the records prescribed by Article 30 ‘in writing, including in electronic form’.    ・GDPR第30条(3)は、管理者に対し、第30条に規定される記録を「電子形式を含む書面で」維持することを要求している。  
• Article 30(4) GDPR requires the controller to make the record available to the supervisory authority (the DPC) on request.   ・GDPR第30条(4)は、管理者に、要求に応じて監督当局(DPC)が記録を利用できるようにすることを要求している。 
Exemptions to Article 30: Small and Medium Enterprises  第30条の適用除外 中小企業 
• Article 30(5) GDPR provides for certain circumstances where the obligations set out in Article 30(1)-30(4) GDPR do not apply. A derogation, or exemption, to the obligations applies in circumstances where an organisation employs fewer than 250 persons. However this derogation does not apply to processing which constitutes any of the following:  ・GDPR第30条5項は、GDPR第30条(1)~(4)に定める義務が適用されない特定の状況について規定している。組織が250人未満の従業員を雇用している場合、この義務の免除が適用される。ただし、この免除は、以下のいずれかに該当する取扱には適用されない: 
a) Processing that is likely to result in a risk (and not just a high risk) to the rights and freedoms of data subjects. By way of example, this would include the processing of mortgage applications, the use of artificial intelligence, and the tracking of an individual’s location.  a) データ主体の権利と自由に対するリスク(高いリスクだけではない)をもたらす可能性のある取扱。例として、住宅ローン申請の取扱、人工知能の使用、個人の位置情報の追跡などが挙げられる。
b) Processing that is not occasional, such as HR  or pay related processing for employees or  b) 臨時ではない取扱、例えば、従業員の人事や給与に関する取扱や 
c) Processing that includes special categories of data or personal data relating to criminal convictions and offences. This would include Garda vetting, trade union membership, or biometric data processing.  c) 特別な種類のデータ、または犯罪歴および犯罪に関連する個人データを含む取扱。これには、Garda の審査、労働組合への加入、またはバイオメトリックデータ取扱などが含まれる。
• The occurrence of any one of these forms of processing triggers the obligation to maintain a Record of Processing Activities, however this obligation is only in respect of the particular type of processing that does not fall within the scope of the derogation.  For further information on the applicability of Article 30 GDPR, the DPC refers Data Controllers and Processors to the Article 29 Working Party position paper on Article 30(5) which has been endorsed by the European Data Protection Board. This position paper is available here.  ・これらの取扱形態のいずれかが発生した場合、取扱活動の記録を保持する義務が生じるが、この義務は、適用除外の範囲に含まれない特定の種類の取扱に関してのみ生じる。 GDPR第30条の適用に関する詳細については、DPCはデータ管理者および取扱者に、欧州データ保護委員会によって承認された第30条5項に関する29条作業部会のポジションペーパーを参照している。このポジションペーパーは、ここで入手可能である。
Record of Processing Activities: 'Dos and Don'ts'  取扱活動の記録: 「やるべきこと、やってはいけないこと」
'Dos' for Organisations  組織のための「やるべきこと」。
Break down the RoPA with reference to the different functions within the organisation  組織内のさまざまな機能を参照してRoPAを分解する。
RoPAs should be clearly broken down and detailed according to the different business units or functions within an organisation, such as HR, finance or marketing. This helps ensure that no processing activities are accidentally omitted when completing the RoPA.  It is suggested that this can be achieved by creating separate tables or spreadsheets for each business unit within an overall RoPA document or system.   RoPAは、人事、財務、マーケティングなど、組織内の異なるビジネスユニットや機能に応じて明確に分解し、詳細に記述する必要がある。これにより、RoPAの記入時に取扱活動が誤って省略されることがないようにすることができます。 これは、RoPA 文書またはシステム全体の中で、各ビジネスユニットごとに個別の表またはスプレッ ドシートを作成することによって達成できることが示唆される。 
•  It is advised that a data mapping exercise should be done by organisations to clarify what data organisations hold and where. Relevant units across the organisation should be involved in this process to again ensure that nothing is omitted.  ・組織がどのようなデータをどこで保有しているかを明確にするために、組織でデータマッピングを実施することが推奨される。このプロセスには、組織内の関連部門が参加し、漏れがないことを再度確認する必要がある。
Ø For example, controllers could start with a common business function such as HR. This business function is likely to have several different purposes for processing, with each purpose involving different categories of individuals (for example employees, contractors and interns) and with each individual having several categories of personal data (such as health and safety information, sick leave, payroll details).  Ø 例えば、管理者は、HRのような共通のビジネス機能から始めることができる。この業務機能には、複数の異なる取扱目的があり、それぞれの目的には異なる個人区分(従業員、契約社員、インターンなど)が含まれ、各個人には複数の個人区分(健康・安全情報、病気休暇、給与明細など)があると思われる。
Ø It is recommended that processors start with each controller they are processing data for, and then the breakdown of the different categories of personal data they are processing for each controller.  Ø 取扱者は、まず自分がデータ取扱をしている管理者ごとに、次に各管理者のために取扱している個人データの異なるカテゴリの内訳を説明することを推奨する。
By way of example of good practice, although the DPC is not saying a RoPA should be done in this matter, in the sweep conducted by the DPC it found that some organisations include every business area of the organisation in the RoPA to ensure accuracy and to ensure that no unit or function is omitted. This was the case even if some business areas conducted no processing of personal data. By way of a further example of good practice, although not suitable for every organisation, the DPC found that some organisations appear to find it beneficial to break the RoPA down by various different business locations, where more than one office or branch of the organisation exists.   グッドプラクティスの例として、DPCはこの件に関してRoPAを行うべきとは言っていませんが、DPCが行った調査では、正確性を確保し、単位や機能の漏れがないように、組織のすべてのビジネスエリアをRoPAに含めている組織があることがわかった。これは、たとえ個人データの取扱を行わないビジネスエリアがあったとしても同様である。また、すべての組織に当てはまるわけではないが、グッドプラクティスの一例として、DPCは、組織の事務所や支店が複数ある場合、RoPAをさまざまな事業所ごとに分けることが有益であると考える組織があることを発見した。 
Use the RoPA as a tool to demonstrate compliance with the Accountability  説明責任への準拠を証明するツールとしてRoPAを使用する。
principle as set out in Article 5 GDPR  GDPR第5条に規定される原則 
RoPAs should ensure to include granular and meaningful information. This means that RoPAs should go into specific detail for each category of data subject, category of personal data or processing activity.  RoPAは、粒状で意味のある情報を含むことを保証すべきである。つまり、RoPAは、データ主体のカテゴリー、個人データのカテゴリー、取扱活動ごとに具体的に詳しく説明する必要がある。
•  For example, retention periods are likely to differ depending on the category of data in question and the RoPA should reflect the retention period for each specific category.  ・例えば、保持期間は問題のあるデータのカテゴリーによって異なる可能性が高く、RoPAは特定のカテゴリーごとの保持期間を反映する必要がある。
Include relevant extra information as appropriate  適宜、関連する追加情報を含める 
The DPC identified in the sweep that many organisations include in their RoPA helpful extra information not explicitly listed in Article 30, for example:  DPCは、多くの組織がRoPAに、第30条に明示的に記載されていない有用な追加情報を含めていることを一斉に確認した: 例えば
• The Article 6 legal basis for processing  ・取扱の第6条法的根拠
• The Article 9 basis for the processing of special category data  ・特別なカテゴリーデータの取扱に関する第9条の根拠
• Whether a breach has occurred in respect of a particular processing activity  ・特定の取扱活動に関して違反が発生したかどうか
• The transfer mechanism relied upon when listing third country transfers, and  ・第三国転送をリストアップする際に依拠した転送メカニズムおよび
• Risk ratings the organisation may have assigned to each processing activity.  ・組織が各取扱活動に割り当てた可能性のあるリスク評価。
While including this information is helpful, the specific prescribed information as set out in Article 30 should never be overlooked.   このような情報を含めることは有益であるが、第30条に規定された特定の規定情報を決して見逃してはならない。 
It is advised that organisations specifically state which information has been prescribed by Article 30, and which information has been included as a ‘helpful extra’. This is to assist if different business areas and employees are inputting into the RoPA so that it will be obvious to a new reader which information is mandatory, and which information has been added to the RoPA as an additional extra. It is strongly advised that the prescribed information as detailed in Article 30 should not be buried or difficult to find in the RoPA document, or in any other document that an organisation may be using to satisfy the Article 30 requirements. For further information on this, see point three of the ‘Don’ts’ list below.  組織は、第30条で規定された情報と、「役に立つ追加情報」として含まれる情報を具体的に記載することを推奨する。これは、異なる事業分野や従業員がRoPAに入力する場合、どの情報が必須で、どの情報が追加事項としてRoPAに追加されたかが、初めて読む人にとって明白になるようにするためである。RoPA文書や、組織が第30条の要件を満たすために使用している他の文書において、第30条に詳述されている所定の情報が埋もれていたり、見つけにくかったりしないようにすることが強く推奨される。これに関する詳細は、以下の「してはいけないこと」リストのポイント3を参照すること。
Gain buy-in across the organisation  組織全体の賛同を得る 
The RoPA is an obligation which the data controller as a whole should be responsible for. It is recommended that the responsibility for completing the RoPA should not rest solely with the DPO. If it is solely an organisation’s DPO preparing and maintaining the RoPA there is the potential  processing activities may be missed, or that the RoPA will become a tick box compliance exercise. The DPC would suggest that the process can be led by the DPO with different areas of the organisation feeding into the process. There are different ways organisations can successfully gain buy-in from different areas of their organisation when completing the RoPA. The following are a number of suggestions of how to do so:  RoPAは、データ管理者全体が責任を持つべき義務である。RoPAを完成させる責任をDPOだけに負わせないことが推奨される。組織のDPOのみがRoPAを作成・管理する場合、取扱活動が見逃される可能性があり、またRoPAがチェックボックス式のコンプライアンスになる可能性がある。DPCは、このプロセスをDPOが主導し、組織のさまざまな領域がプロセスに参加することを提案する。RoPAを完了する際に、組織が組織のさまざまな領域から賛同を得るには、さまざまな方法がある。以下は、その方法に関するいくつかの提案である: 
• An organisation could internally set specific RoPA review dates, and request all sections of the organisation participate in the review. It may be helpful to be strategic in scheduling this review date at a time where there is likely to be capacity within the organisation to give the task of reviewing the RoPA due attention, for example, not in a busy period such as the run up to Christmas. ・組織内で特定のRoPAレビュー日を設定し、組織内のすべてのセクションがレビューに参加するように要求することができる。例えば、クリスマス前のような忙しい時期ではなく、組織内でRoPAのレビュー作業に十分な注意を払えるキャパシティがありそうな時期に、このレビュー日を戦略的に設定することが有効かもしれない。
• The DPC found that some organisations find it helpful to include definitions, or guidance and explanation sections in the RoPA document which can be used for reference, for example setting out typical examples of processing activities, categories or recipients, for that particular organisation. This helps members of the organisation who may not work closely with data protection issues to accurately provide the information required for the RoPA. ・DPCは、RoPA文書に、例えば、特定の組織における取扱活動、カテゴリー、または受領者の典型的な例を示すなど、参照に使用できる定義、またはガイダンスと説明のセクションを含めることが有益であると考える組織があることを発見した。これにより、データ保護の問題に密接に関与していない組織のメンバーが、RoPA に必要な情報を正確に提供することができる。
• Organisations should specifically set out the process owners- that is, who within each business function is responsible for maintaining the information required by Article 30 and who is responsible for centrally collating the document. ・組織は、プロセスの所有者、すなわち、各業務機能の誰が第30条で要求される情報の維持に責任を持ち、誰がその文書を集中的に照合する責任を持つかを明確に定めるべきである。
• Drop down menus can be used to ensure that a uniform, cohesive RoPA document is maintained. However free text fields should also be included for each processing activity to record nuanced information that may only be relevant to one particular processing activity. ・ドロップダウンメニューは、統一されたまとまりのあるRoPA文書が維持されるように使用することができる。しかし、特定の取扱活動にのみ関連する可能性のある微妙な情報を記録するために、取扱活動ごとにフリーテキストフィールドも含めるべきである。
Maintain a living document  生きた文書を維持する 
The RoPA should be a living, dynamic, document, which is continuously updated to reflect the current position of the organisation at all times with regard to their processing of personal data. To achieve this the following steps are recommended;  RoPAは、生きた、動的な、文書であるべきであり、個人データの取扱に関する組織の現在の立場を常に反映するように継続的に更新される。これを達成するために、以下のステップを推奨する; 
• To this end, it is likely an electronic (rather than paper based) RoPA will be more suitable for the majority of organisations, so that it can be edited and saved easily. ・そのためには、編集や保存が簡単にできるように、(紙ベースではなく)電子版のRoPAが大多数の組織に適していると思われる。
• As part of employee training, business units should be aware that new products or services that require the processing of personal data should be added to the RoPA as they are rolled out. ・従業員教育の一環として、事業部門は、個人データの取扱を必要とする新しい製品またはサービスが展開される際に、RoPAに追加する必要があることを認識する必要がある。
• It is recommended that processing activities no longer taking place are marked as such or removed from the live RoPA. However, maintenance of an archive of ・もはや行われていない取扱活動は、そのようにマークされるか、ライブのRoPAから削除されることが推奨される。ただし、個人情報のアーカイブを維持することは
obsolete processing activities should be kept for accountability purposes if removal is the preferred option within the organisation.  組織内で削除が好ましい選択肢である場合、廃止された取扱活動は、説明責任のために保管されるべきである。
‘Don’ts’ for Organisations  組織にとっての「やってはいけない」こと 
Neglect to update the RoPA  RoPAの更新を怠る
As stated in the ‘Dos’ section above, the RoPA should be maintained as a living and dynamic  document. The DPC found that in the course of the sweep conducted some organisations found it challenging to provide a copy of their RoPA within the ten day period requested by the DPC. Some organisations did not meet the deadline given. As stated above, the RoPA should be maintained sufficiently such that it is ‘ready to go’ at any time.  上記の「やってはいけないこと」のセクションで述べたように、RoPAは生きた動的な文書として維持されるべきである。DPCが実施した調査の過程で、DPCが要求した10日以内にRoPAのコピーを提供することが困難な組織があることが判明した。また、期限を守らない組織もあった。上記のように、RoPAはいつでも「すぐに使える」ように十分な整備が必要である。
• The obligation under Article 30 is to ‘maintain’ a record of processing and ‘make the record available to the supervisory authority on request’; therefore, the DPC advises that ten days should be sufficient notice for any organisation in all circumstances. ・第30条に基づく義務は、取扱の記録を「維持」し、「要求に応じて監督当局に記録を提供する」ことである。したがって、DPCは、あらゆる状況において、どの組織にとっても10日間が十分な通知となるはずだとアドバイスしている。
• Organisations should note that the DPC may carry out similar compliance sweeps in the future. The DPC may also request the RoPA from a controller as part of other regulatory activities being carried out, including but not limited to, breach notification management, complaint handling, Inquiries and investigations. ・組織は、DPCが将来的に同様のコンプライアンス・スイープを実施する可能性があることに留意する必要がある。また、DPCは、違反通知管理、苦情取扱、照会および調査など、実施中の他の規制活動の一環として、管理者にRoPAを要求する場合がある。
• Failure to have such documentation to hand could be considered as non-compliance with the GDPR. ・このような文書が手元にない場合、GDPRの不遵守とみなされる可能性がある。
Ø It should be noted that providing the DPC with RoPA templates or a ‘sample’ of the RoPA is not sufficient, as the requirement under Article 30 is to make the actual RoPA maintained available to the supervisory authority on request. Ø 第30条の要件は、維持されている実際のRoPAを監督当局の要求に応じて利用可能にすることであるため、DPCにRoPAテンプレートまたはRoPAの「サンプル」を提供するだけでは十分ではないことに留意する必要がある。
• RoPAs should not refer to out of date or expired information, for example referring to the Privacy Shield as the mechanism for the transfer of personal data to the US. ・RoPAは、例えば、米国への個人データ移転の仕組みとしてプライバシーシールドに言及するなど、古くなった情報や期限切れの情報を参照すべきではない。
Don’t cut corners with detail and granularity  詳細と粒度の手抜きをしないこと 
The DPC identified as part of its sweep that some organisations’ RoPAs are not adequately detailed or granular. By way of examples drawn from RoPAs received:  DPCは、その調査の一環として、一部の組織のRoPAが十分に詳細でないことを確認した。受け取ったRoPAから抜粋した例を挙げる: 
• In response to the requirement to list ‘categories of personal data’ the DPC received responses to this category which stated ‘personal data’, ‘personally identifiable information’ and ‘responses to questions’. These responses are unequivocally not sufficient in terms of describing what information is actually collected by an organisation and needed to be significantly further particularised.  ・個人データの種類」を記載するという要求に対して、DPCは「個人データ」「個人を特定できる情報」「質問に対する回答」と記載された回答を受け取った。これらの回答は、組織で実際に収集される情報を記述するという点では明らかに不十分であり、さらに大幅に特定する必要があった。
• In response to the requirement to list ‘technical and organisational security measures’ an organisation stated ‘measures are in place that ensure appropriate security’ or ‘appropriate security’. Again this detail is insufficient. The GDPR states that where possible, a general description of the technical and organisational security measures in place in an organisation should be included. The DPC has noticed a trend that technical and organisational security measures are often not described in detail in many organisations’ RoPAs.  It is recommended that organisations should give a general description of what technical and organisational measures are in place in their RoPA. ・技術的および組織的なセキュリティ対策」を記載するという要求に対して、ある組織は「適切なセキュリティを確保するための対策が講じられている」あるいは「適切なセキュリティ」と述べている。この詳細もまた不十分である。GDPRは、可能な限り、組織で実施されている技術的および組織的なセキュリティ対策の一般的な説明を含めるべきであると述べている。DPCは、多くの組織のRoPAにおいて、技術的および組織的なセキュリティ対策が詳細に記述されていないことが多いという傾向に気付きました。 組織は、RoPAにおいて、どのような技術的・組織的な対策がとられているか、一般的な説明を行うことが推奨される。
Don’t maintain RoPA that is not self-explanatory  自明でないRoPAを維持しないこと 
In order to be fit for purpose, the RoPA provided to the DPC needs to be a complete, self-contained document clearly listing all information as required by Article 30. RoPAs must be self-explanatory.  目的に適合するためには、DPCに提供されるRoPAは、第30条で要求されるすべての情報を明確に記載した完全で自己完結した文書である必要がある。RoPAは、自明でなければならない。
Recital 82 GDPR states:  GDPRの解説82には、次のように記載されている: 
…in order to demonstrate compliance with this Regulation, the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records, on request, available to it, so that it might serve for monitoring those processing operations.  ...本規則の遵守を証明するために、管理者または取扱者は、その責任の下で取扱活動の記録を保持する必要がある。各管理者および取扱者は、監督当局に協力し、要求に応じてこれらの記録を監督当局に提供し、取扱業務の監視に役立つようにする義務がある。
The following practices should be avoided:  以下の慣行は避けるべきである: 
• Hyperlinking documents into the RoPA, as a response to a requirement to list information, that are not accessible when clicked on. For example, hyperlinking a retention schedule which when clicked on is not available to the DPC as it is stored on an internal company drive. Stating 'in accordance with the retention policy' or 'solicitors’ retention schedule' but not elaborating on what these documents actually stipulate in terms of retention periods. ・情報一覧の要求への対応として、クリックしてもアクセスできない文書をRoPAにハイパーリンクすること。例えば、保持スケジュールをハイパーリンクし、クリックすると社内のドライブに保存されるため、DPCが利用できないようにする。保管方針に従って」または「弁護士の保管スケジュール」と記載しながら、これらの文書が保管期間に関して実際に何を規定しているのかを詳しく説明しない。
Ø This makes the RoPA deficient and or unfit for purpose as the DPC cannot rely on the RoPA to gain insight into the processing activities of the particular organisation where such information is unavailable. Ø この場合、DPCはRoPAに依拠して、特定の組織の取扱活動を把握することができず、そのような情報が入手できないため、RoPAに欠陥があり、または目的に適さない。
• Rather than having a complete RoPA document, hyperlinking or referring to a number of different documents or sources to satisfy the Article 30 requirements. The RoPA should not be prohibitively confusing as this goes against the purpose of the document to assist the DPC in carrying out its functions. ・完全なRoPA文書を作成するよりも、ハイパーリンクを張ったり、多くの異なる文書や情報源を参照したりして、第30条の要件を満たす方がよい。DPCの機能遂行を支援するという文書の目的に反するため、RoPAは法外に混乱するものであってはならない。
Ø If there is no base RoPA document and a piecemeal approach is taken, there is also the risk that processing activities may be overlooked. The RoPA should not just be a ‘catch all’ document that refers to other documents; all processing activities should be recorded in sufficient detail. Ø ベースとなるRoPA文書がなく、断片的なアプローチが取られる場合、取扱活動が見落とされるリスクもある。RoPAは、他の文書に言及する「キャッチオール」文書であってはならず、すべての取扱活動が十分詳細に記録されなければならない。
• The DPC should not have difficulty accessing the prescribed information set out in Article 30 GDPR; it should not be left wondering if it has exhausted all available sources of information and should not have to try to reconcile discrepancies between various pieces of information set out in different locations. No personal data should be kept by an organisation ‘just in case’. For example, one organisation indicated in their RoPA that they processed the passport information of staff for use in their organisational structure chart, as passport information was used by the HR function. ・DPCは、GDPR第30条に規定された所定の情報にアクセスすることが困難であってはならず、利用可能な情報源をすべて使い果たしたかどうか疑問に思ったり、異なる場所に記載された様々な情報間の不一致を調整しようとする必要はないはずである。個人データは、「万が一」のために組織で保管されるべきではない。例えば、ある組織はRoPAの中で、組織構造図に使用するために職員のパスポート情報を取扱していることを示したが、これはパスポート情報が人事機能で使用されるためである。
• Using acronyms that are undefined, which may be common terms within the organisation in question but which do not have an obvious meaning to the DPC. As stated, drafters should be mindful that the DPC as an external reader needs to be able to fully comprehend the document. ・定義されていない略語を使用する。当該組織では一般的な用語かもしれないが、DPCにとっては明白な意味を持たないものである。このように、起草者は、外部の読者であるDPCが文書を完全に理解できる必要があることに留意する必要がある。
• If an organisation is unable to document its RoPA it calls into question its understanding of the purposes for which personal data is processed and retained by the organisation, and the ways in which such data is processed. ・組織がRoPAを文書化できない場合、組織による個人データの取扱および保持の目的、ならびにそのようなデータの取扱方法についての理解が疑われることになります。
RoPAs for Smaller Organisations  小規模な組織のためのRoPA 
As set out above, smaller organisations may not be required to maintain a full RoPA due to the size of the organisation. However, most organisations will need to record processing activities such as HR and payroll functions. For small organisations it may be that a simple spreadsheet is sufficient to maintain the RoPA. For larger or more complex organisations, the data controller may opt to use a relational database or one of the many RoPA tools available from third party data protection service providers. Whatever method used, the RoPA should be a standalone record that the DPC can request and view in a readable format. If an organisation is using software to record its RoPA a report should be able to be easily generated if it is asked for.  上記のように、小規模な組織は、組織の規模により、完全なRoPAを維持する必要がない場合がある。しかし、ほとんどの組織では、人事や給与計算などの取扱活動を記録する必要がある。小規模な組織の場合、RoPAの管理は簡単なスプレッドシートで十分かもしれない。大規模またはより複雑な組織の場合、データ管理者は、リレーショナルデータベースまたは第三者のデータ保護サービスプロバイダーが提供する多くのRoPAツールのいずれかを使用することを選ぶことができます。どのような方法を用いるにせよ、RoPAは、DPCが要求し、読みやすい形式で閲覧できる独立した記録であるべきである。組織がソフトウェアを使ってRoPAを記録している場合、要求があれば簡単に報告書を作成することができるはずである。
The maintenance of a RoPA by a small organisation should not be a burdensome exercise. Having a RoPA will allow a small organisation to map and understand all of the personal data it is processing and for what reasons. A RoPA, as well as being a compliance and risk management tool, will assist a data controller in identifying personal data processing that may not be necessary, and may help in demonstrating to data subjects a commitment to best practice data protection policies and procedures.  小規模な組織がRoPAを維持することは、負担の大きい行為であってはならない。RoPAを持つことで、小規模な組織でも、どのような理由でどのような個人データを取扱しているのか、マッピングして理解することができます。RoPAは、コンプライアンスおよびリスク管理ツールであるだけでなく、データ管理者が必要でない個人データ取扱を特定するのに役立ち、データ保護方針および手順のベストプラクティスへの取り組みをデータ主体に示すのに役立つかもしれない。
Records of Processing Activities Examples  取扱活動の記録例 
The above guidance, and the examples given, have been informed by the RoPAs provided to the DPC in its RoPA sweep conducted in early 2022.   上記のガイダンス、および例示した内容は、2022年初頭に実施したRoPA掃討戦でDPCに提供されたRoPAによってもたらされたものである。 
A number of examples of poor RoPA practice were received amongst the records. One organisation that responded to the sweep provided the DPC with several Data Protection Impact Assessments (DPIAs), claiming that these documents met the requirements of Article 30 of the GDPR. The DPC does not agree with this argument. The RoPA is a standalone record, a compliance tool that the DPC should be able to rely on to provide an accurate view of data processing taking place within an organisation. The accountability obligation lies with the organisation concerned and the information required under Article 30 should be presented to the supervisory authority in a manner that facilitates a demonstration of compliance and assists the supervisory authority in the performance of its functions, as required under Article 31. Expecting the DPC to review a large number of separate documents in order to try to find the information required under Article 30 is not acceptable. In addition, not every processing activity would have, or require, a DPIA.  記録の中には、RoPAの実践が不十分な事例が数多く含まれていた。掃討に応じたある組織は、DPCに複数のデータ保護影響評価(DPIA)を提供し、これらの文書がGDPR第30条の要件を満たしていると主張した。DPCはこの主張には同意していません。RoPAは独立した記録であり、組織内で行われているデータ取扱を正確に把握するために、DPCが信頼できるコンプライアンスツールである。説明責任は当該組織にあり、第30条に基づき要求される情報は、第31条に基づき要求されるように、コンプライアンスの実証を容易にし、監督当局の機能遂行を支援する方法で、監督当局に提示されるべきである。第30条で要求される情報を見つけようとするために、DPCが多数の個別の文書を確認することを期待することは、容認できない。さらに、すべての取扱活動がDPIAを実施するわけではなく、また必要とするわけでもない。
The DPC received many good examples of detail in respect of Article 30(1)(b) and (c); the purposes for processing and personal data categories requirements. One organisation utilised a relational database system to group processing activities by business units and teams. The organisation was able to present the information as and when required in a spreadsheet format. While it is impractical to provide a full example of a RoPA within this guidance, below, at Approach A and Approach B, are two possible layouts using a spreadsheet programme. Approach C is a RoPA that would not be of sufficient detail. Table A is a table of the information required, with examples of suggested detail and examples of insufficient detail. DPCは、第30条(1)(b)および(c)、すなわち取扱目的および個人データ分類の要件について、詳細な説明を行う良い例を数多く受け取りました。ある組織では、リレーショナルデータベースシステムを利用して、取扱活動をビジネスユニットやチームごとにグループ化していました。この組織は、必要な時に必要な情報をスプレッドシート形式で提示することができました。このガイダンスの中でRoPAの完全な例を示すことは現実的ではないが、以下、アプローチAとアプローチBに、表計算プログラムを使った2つの可能なレイアウトを示す。アプローチCは、十分な詳細が得られないRoPAである。表Aは、必要な情報の表であり、推奨される詳細の例と不十分な詳細の例である。

 

 

 


個人情報法保護委員会のウェブページには、GDPR関連の情報が多数ありますよね。。。

 

⚫︎ 個人情報保護委員会 - 国際関係 - 諸外国・地域の法制度

・EU(外国制度) GDPR(General Data Protection Regulation:一般データ保護規則)

 

 

Continue reading "アイルランド データ保護局 GDPR第30条 取扱活動の記録についてのガイダンス"

| | Comments (0)

官邸 知的財産戦略本部 パブコメ 「メタバース上のコンテンツ等をめぐる新たな法的課題等に関する論点の整理(案)」

こんにちは、丸山満彦です。

内閣府 知的財産戦略本部から、「メタバース上のコンテンツ等をめぐる新たな法的課題等に関する論点の整理(案)」が公表されていますね。。。

これは、メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議(石井夏生利先生、佐藤一郎先生、中村伊知哉先生等が委員になっています)で議論されたものですね。。。

従来の環境からからメタバース上にかわることにより、変化があるかですが、「自己投射性・没入感、リアルタイム性、オープン性」ということが挙げられています。

それがどれほどの質的な変化につながるかですかね。。。

あと、普及にはデバイス問題がありますかね。。。うちにもMetaのQuest-2がありますが、最初はつかってみたけど、その後、使っていない。。。デバイスが使いやすくなれば、コンテンツも増えて、ゲーム以外での利用も増えるかもですかね。。。

それと、個人的な問題かもですが、長く使うと酔うような状況にはなりますよね。。。

なお、「案の策定に当たり検討事項が多く、当初予定よりも多くの期間を要していることから、30日の期間を取ることが難しいため」、パブコメの期間が5月7日までと、通常の半分くらいしかありませんので、注意を...

そんなに急いで、結論を出す必要があるのかなぁという気もしますが、いろいろと事情があるのかもしれません...

 

⚫︎ e-Gov

・2023.04.21 「メタバース上のコンテンツ等をめぐる新たな法的課題等に関する論点の整理(案)」に係る意見募集

・[PDF] メタバース上のコンテンツ等をめぐる新たな法的課題等に関する論点の整理(案)  [downloaded]


20230424-23524

 


第3章 課題の所在と対応の方向性(論点の整理)

検討事項1 現実空間と仮想空間を交錯する知財利用、仮想オブジェクトのデザイン等について
.仮想空間における知財利用と権利者の権利保護
 課題1-1;現実空間のデザインの仮想空間における模倣、現実空間と仮想空間 を横断した実用品デザインの活用
 課題1-2;現実空間の標識の仮想空間における無断使用
 課題1-3;現実環境の外観の仮想空間における再現
.メタバース上の著作物利用等に係る権利処理
 課題2-1;メタバース上のイベント等における著作物のライセンス利用
 課題2-2;仮想空間におけるユーザーの創作活動
 課題2-3;NFT等を活用した仮想オブジェクトの取引制度・取扱い等の現状
  ①仮想オブジェクトの「保有」
  ②NFT等を活用した仮想オブジェクトの二次流通等

検討事項2 アバターの肖像等に関する取扱いについて
Ⅰ.メタバース外の人物の肖像の無断使用への対応

 課題1-1;実在の人物の肖像の写り込み
 課題1-2;実在する他者の肖像を模したアバター等の無断作成・無断使用
.他者のアバターの肖像等の無断使用その他の権利侵害への対応
 課題2-1;他者のアバターの肖像・デザインの無断使用
  ①他者のアバターのデザインを盗用したアバターの作成・使用
  ②アバターの肖像の無断撮影・公開
 課題2-2;他者のアバターへのなりすまし、他者のアバターののっとり等
 課題2-3;アバターに対する誹謗中傷等
.アバターの実演に関する取扱い
 課題3;アバターの実演に係る著作隣接権の権利処理

検討事項3 仮想オブジェクトやアバターに対する行為、アバター間の行為をめぐるルール形成、規制措置等について

検討事項4 その他(国際裁判管轄・準拠法について)


 

メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議

 

親会議 メタバースのエコシステムと法的課題(ルール形成)等について
2022.11.21 第1回会合 議事次第・資料 (1)会合、議事概要及び資料の公開等の取扱について【非公開】
(2)当面の検討事項と検討の進め方について
(3)メタバースのエコシステムと法的課題(ルール形成)等について
<ヒアリング>
バーチャル美少女ねむ氏
中馬和彦構成員
(4)討議
資料1 会合、議事概要及び資料の公開の取扱いについて(案)
資料2-1 官民連携会議の設置について(当面の検討課題と検討の進め方案)
資料2-2 分科会の設置について(案)
資料3-1 ヒアリング資料(1)(バーチャル美少女ねむ氏)
資料3-2 ヒアリング資料(2)(中馬和彦構成員)
資料4 討議メモ
参考資料1-1 メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議の設置について(2022年11月21日 知的財産戦略推進事務局決定)
参考資料1-2 構成員名簿
参考資料2 メタバース上のコンテンツをめぐる新たな法的課題への対応についての参考資料
参考資料3 メタバース関連ソフトロー等事例集
2023.03.16 第2回会合 議事次第・資料 (1)論点整理について
(2)その他
資料1-1 第一分科会「論点整理」素案 -概要-(現実空間と仮想空間を交錯する知財利用、仮想オブジェクトのデザイン等に関する権利の取扱いについて)
資料1-2 第二分科会「論点整理」素案 -概要-(アバターの肖像等に関する取扱いついて)
資料1-3 第三分科会「論点整理」素案 -概要-(仮想オブジェクトやアバターに対する行為、アバター間の行為をめぐるルール形成、規制措置等について)
資料2-1 官民連携会議「論点整理」の構成イメージ(案)
資料2-2 官民連携会議「論点整理」素案
資料3 ルール形成に向けた今後の取組みについて(検討案)
参考資料1 「電子商取引及び情報財取引等に関する準則(令和4年4月経済産業省)」-抜粋-
(「 Ⅳ 国境を越えた取引等に関する論点」)
参考資料2 メタバース関連ソフトロー等事例集
         
第一分科会 現実空間と仮想空間を交錯する知財利用、仮想オブジェクトのデザイン等に関する権利の取扱い
2023.01.13 第1回会合 議事次第・資料 (1)論点整理の進め方等について
(2)現実空間と仮想空間を交錯する知財利用、仮想オブジェクトのデザイン等に関する権利の取扱いについて
資料1 「論点整理」の構成イメージ(案)
資料2 メタバースの活用により目指す価値と目指すべきメタバースの理念(イメージ試案)
資料3 メタバースに係るルール形成の在り方等について(討議用メモ)
資料4 現実空間と仮想空間を交錯する知財利用、仮想オブジェクトのデザイン等に関する権利の取扱いについて(討議用メモ)
資料5 デザインの保護(著作権法・意匠法・不正競争防止法)<現状把握>/標識の保護(商標法・不正競争防止法)<現状把握>
参考資料1 メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議分科会の設置について(2022年11月21日官民連携会議決定)
参考資料2-1 メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議(第1回)における主な意見
参考資料2-2 官民連携会議(第1回)中馬構成員ヒアリング資料 抜粋
参考資料3 メタバース関連ソフトロー事例集
参考資料4 「Web3.0研究会報告書 ~Web3.0の健全な発展に向けて~ (2022年12月 Web3.0研究会)」 抜粋
2023.02.01 第2回会合 議事次第・資料 (1)現実空間と仮想空間を交錯する知財利用、仮想オブジェクトのデザイン等に関する権利の取扱いについて
(2)その他
資料1 現実空間と仮想空間を交錯する知財利用、仮想オブジェクトのデザイン等に関する権利の取扱いについての論点の整理(たたき台)
参考資料1 官民連携会議「論点整理」の構成イメージ(案)
参考資料2 「デジタル化に伴うビジネスの多様化を踏まえた不正競争防止法の在り方)」(令和5年1月 産業構造審議会知的財産分科会不正競争防止小委員会) ―「デジタル時代におけるデザインの保護」関係抜粋―
参考資料3 メタバース関連ソフトロー事例集
第二分科会 アバターの肖像等に関する取扱い
2023.01.26 第1回会合 議事次第・資料 (1)論点整理の進め方等について
(2)アバターの肖像等に関する取扱いについて
<ヒアリング>
 ・五常総合法律事務所 弁護士 数藤 雅彦氏
資料1 「論点整理」の構成イメージ(案)
資料2 メタバースの活用により目指す価値と目指すべきメタバースの理念(イメージ試案)
資料3 メタバースに係るルール形成の在り方等について(討議用メモ)
資料4 ヒアリング資料(五常総合法律事務所 弁護士 数藤 雅彦氏)
資料5 アバターの肖像等に関する取扱いについて(討議用メモ)
資料6 アバター関連のソフトロー等
参考資料1 メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議分科会の設置について(2022年11月21日官民連携会議決定)
参考資料2-1 メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議(第1回)における主な意見
参考資料2-2 官民連携会議(第1回)中馬構成員ヒアリング資料 抜粋
参考資料3 肖像権ガイドライン ~自主的な公開判断の指針~(2021年4月デジタルアーカイブ学会)
参考資料4 メタバース関連ソフトロー事例集
2023.03.10 第2回会合 議事次第・資料 (1)アバターの肖像等に関する取扱いについて
(2)その他
資料1 アバターの肖像等に関する取扱いについての論点の整理(たたき台)
資料2 アバターの肖像等をめぐって生じる権利侵害
参考資料1 官民連携会議「論点整理」の構成イメージ(案)
参考資料2 アバター関連のソフトロー等
第三分科会 仮想オブジェクトやアバターに対する行為、アバター間の行為等をめぐるルールの形成、規制措置等の取扱い
2022.12.26 第1回会合 議事次第・資料 (1)論点整理の進め方等について
(2)仮想オブジェクトやアバターに対する行為、アバター間の行為等をめぐるルールの形成、規制措置等の取扱いについて
資料1 「論点整理」の構成イメージについて(案)
資料2 メタバースの活用により目指す価値と目指すべきメタバースの理念(イメージ試案)
資料3 メタバースに係るルール形成の在り方等について(討議用メモ)
資料4 道下構成員提出資料(メタバース空間内で生じる問題事案等と対応の現状)
資料5 仮想オブジェクトやアバターに対する行為、アバター間の行為等をめぐるルールの形成、規制措置等の取扱いについて(討議用メモ)
参考資料1 メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議分科会の設置について(2022年11月21日官民連携会議決定)
参考資料2-1 メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議(第1回)における主な意見
参考資料2-2 官民連携会議((第1回)中馬構成員ヒアリング資料 抜粋
参考資料3 レポート「メタバースでのハラスメント(Nem×Mila)」
参考資料4 メタバース関連ソフトロー等事例集
2023.01.30 第2回会合 議事次第・資料 (1)仮想オブジェクトやアバターに対する行為、アバター間の行為等をめぐるルールの形成、規制措置等の取扱いについて
(2)その他
資料1-1 第三分科会「論点の整理」(たたき台)の構成
資料1-2 仮想オブジェクトやアバターに対する行為、アバター間の行為等をめぐるルールの形成、規制措置等の取扱いについての論点の整理(たたき台)
資料2 メタバースプラットフォーマーにおける問題事案への対応
資料3 メタバースをめぐる欧州の動向(欧州委員会による発信)
参考資料1 官民連携会議「論点整理」の構成イメージ(案)
参考資料2 メタバース関連ソフトロー事例集

 

 

| | Comments (0)

2023.04.23

NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

こんにちは、丸山満彦です。

NISTが、SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデルを公表し、意見募集をしています。。。

⚫︎ NIST - ITL

ニュース...

・2023.04.18 A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Location Environments: NIST SP 800-207A Available for Comment

A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Location Environments: NIST SP 800-207A Available for Comment 多拠点環境におけるクラウドネイティブ・アプリケーションのアクセス制御のためのゼロトラストアーキテクチャ・モデル: NIST SP 800-207Aのコメントを受け付けている。
The initial public draft of NIST Special Publication (SP) 800-207A, A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Location Environments, is now available for public comment. NIST Special Publication (SP) 800-207A「多拠点環境におけるクラウド型アプリケーションのアクセス制御のためのゼロトラストアーキテクチャモデル」の初期公開ドラフトが、現在パブリックコメント用に公開されている。
Enterprise application environments consist of geographically distributed and loosely coupled microservices that span multiple cloud and on-premises environments. They are accessed by a userbase from different locations through different devices. This scenario calls for establishing trust in all enterprise access entities, data sources, and computing services through secure communication and the validation of access policies. エンタープライズのアプリケーション環境は、複数のクラウドやオンプレミス環境にまたがる、地理的に分散した疎結合のマイクロサービスから構成されている。これらのアプリケーションには、さまざまな場所からさまざまなデバイスを介してユーザーベースがアクセスする。このシナリオでは、安全な通信とアクセスポリシーの検証を通じて、すべてのエンタープライズアクセスエンティティ、データソース、コンピューティングサービスに対する信頼を確立する必要がある。
Zero trust architecture (ZTA) and the principles on which it is built have been accepted as the state of practice for obtaining necessary security assurances, often enabled by an integrated application service infrastructure, such as a service mesh. ZTA can only be realized through a comprehensive policy framework that dynamically governs the authentication and authorization of all entities through status assessments (e.g., user, service, and requested resource. This guidance recommends: ゼロトラストアーキテクチャ(ZTA)とその原理は、必要なセキュリティ保証を得るための実践状態として受け入れられており、多くの場合、サービスメッシュのような統合アプリケーションサービスインフラによって実現されている。ZTA は、ステータス評価(ユーザー、サービス、要求されたリソースなど)を通じて、すべてのエンティティの認証と認可を動的に管理する包括的なポリシーフレームワークによってのみ実現することができる。本ガイダンスでは、以下を推奨する:
・The formulation of network-tier and identity-tier policies and ・ネットワーク層および アイデンティティ層ポリシーの策定。
・The configuration of technology components that will enable the deployment and enforcement of different policies (e.g., gateways, infrastructure for service identities, authentication, and authorization tokens with the help of a central coordination infrastructure). ・さまざまなポリシーの実装と実施を可能にする技術コンポーネントの構成(例:ゲートウェイ、中央調整基盤の助けを借りたサービスID、認証、認可トークンのための基盤など)。

 

 

文書

・2023.04.18 SP 800-207A (Draft) A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Cloud Environments

・[PDF] SP 800-207A (Draft)

 

20230423-51734

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
The principles of zero trust, as described in NIST Special Publication (SP) 800-207, have become the guiding markers for developing secure zero trust architecture. A well-established class of applications are cloud-native applications. The generally accepted characterization of a cloud native application includes the following:  NIST Special Publication (SP) 800-207に記載されているゼロトラストの原則は、安全なゼロトラストアーキテクチャを開発するための指針となる指標となっている。確立されたアプリケーションのクラスは、クラウドネイティブ・アプリケーションである。一般的に受け入れられているクラウドネイティブ・アプリケーションの特徴は、以下の通りである: 
• The application is made up of a set of loosely coupled components called microservices. Each of the microservices can be hosted on different physical or virtual machines (VMs) and even be geographically distributed (e.g., within several facilities that belong to the enterprise, such as the headquarters, branch offices, and in various cloud service provider environments).  ・アプリケーションは、マイクロサービスと呼ばれる疎結合のコンポーネントの集合で構成されている。アプリケーションは、マイクロサービスと呼ばれる疎結合コンポーネントのセットで構成されている。マイクロサービスのそれぞれは、異なる物理マシンまたは仮想マシン(VM)でホストすることができ、地理的に分散していることもある(例えば、本社、支社、およびさまざまなクラウドサービスプロバイダ環境など、エンタープライズに属する複数の施設内など)。
• Any transaction involving the application may also involve one or more inter-service (microservice) calls across the network.  ・また、アプリケーションを含むあらゆるトランザクションは、ネットワークを介した1つまたは複数のサービス間(マイクロサービス)コールを含む可能性がある。
• A widespread feature (though not necessarily a requirement for cloud-native application) is the presence of a software platform called the service mesh that provides an integrated set of all application services (e.g., services discovery, networking connections, communication resilience, and security services like authentication and authorization).  ・クラウドネイティブ・アプリケーションの要件とは限らないが)広く普及している特徴は、すべてのアプリケーションサービス(サービス発見、ネットワーク接続、通信回復力、認証や認可などのセキュリティサービスなど)の統合セットを提供する、サービスメッシュと呼ばれるソフトウェアプラットフォームの存在である。
The realization of a zero trust architecture for the above class of cloud-native applications requires a robust policy framework. In order to follow zero trust principles, the constituent polices in the framework should consider the following scenario:  上記のようなクラスのクラウドネイティブ・アプリケーションに対してゼロトラストアーキテクチャを実現するには、強固なポリシーフレームワークが必要である。ゼロトラスト原則に従うためには、フレームワークの構成ポリシーは以下のシナリオを考慮する必要がある: 
• There should not be implicit trust in users, services, or devices based exclusively on their network location, affiliation, or ownership. Hence, policy definitions and associated security controls based on the segmentation or isolation of networks using network parameters (e.g., IP addresses, subnets, perimeter) are insufficient. These policies fall under the classification of network-tier policies.  ・ネットワークの場所、所属、所有権にのみ基づいて、ユーザー、サービス、デバイスを暗黙のうちに信頼してはならない。したがって、ネットワークパラメータ(IPアドレス、サブネット、境界線など)を使用したネットワークの分割や分離に基づくポリシー定義や関連するセキュリティ制御は不十分である。これらのポリシーは、ネットワーク層ポリシーの分類に該当する。
• To ensure the presence of zero trust principles throughout the entire application, networktier policies must be augmented with policies that establish trust in the identity of the various participating entities (e.g., users and services) irrespective of the location of the services or applications, whether on-premises or on multiple clouds.  ・アプリケーション全体を通してゼロトラスト原則が存在することを保証するために、ネットワーク層ポリシーは、オンプレミスまたは複数のクラウド上のサービスやアプリケーションの場所に関係なく、様々な参加エンティティ(ユーザーやサービスなど)のアイデンティティに対する信頼を確立するポリシーで補強する必要がある。
This document provides guidance for realizing a zero trust architecture that can enforce granular application-level policies for cloud-native applications. The guidance is anchored in the following:  本書は、クラウドネイティブ・アプリケーションにきめ細かいアプリケーションレベルのポリシーを適用できるゼロトラストアーキテクチャを実現するためのガイダンスを提供する。このガイダンスは、以下の点に軸足を置いている: 
• A combination of network-tier and identity-tier policies  ・ネットワーク層とアイデンティティ層のポリシーの組み合わせ
• The components of cloud-native applications that enable the definition and deployment of those policies, such as edge, ingress, sidecar, and egress gateways; the creation, issuance, and maintenance of service identities; the issuance of authentication and authorization tokens that carry user identities in the enterprise application infrastructure that encompasses multi-cloud and hybrid environments  ・エッジ,イングレス,サイドカー、エグレスゲートウェイなどのポリシーの定義と実装を可能にするクラウドネイティブ・アプリケーションのコンポーネント、サービスIDの作成、発行、維持、マルチクラウドやハイブリッド環境を包含するエンタープライズアプリケーションインフラにおけるユーザーIDを運ぶ認証・認可トークンの発行など。

 

目次...

Executive Summary  エグゼクティブサマリー 
1. Introduction 1. はじめに
1.1. Background – Zero Trust Principles and Zero Trust Architecture 1.1. 背景:ゼロトラスト原則とゼロトラスト・アーキテクチャ
1.2. Relationship to Other NIST Guidance Documents 1.2. 他のNISTガイダンス文書との関係
1.3. Scope 1.3. 適用範囲
1.4. Target Audience 1.4. 想定読者
1.5. Organization of This Document 1.5. 本書の構成
2. The Enterprise Cloud-Native Platform and its Components  2. エンタープライズ・クラウドネイティブ・プラットフォームとその構成要素 
2.1. Enterprise Infrastructure Layer 2.1. エンタープライズ基盤層
3. Designing a Policy Framework for ZTA for Cloud-Native Application Environments 3. クラウドネイティブ・アプリケーション環境におけるZTAのポリシーフレームワークの設計
3.1. Functional Components of Identity-Based Segmentation Policies for ZTA 3.1. ZTAのアイデンティティに基づくセグメンテーション・ポリシーの機能的構成要素
3.2. Shortcomings of Identity-Based Segmentation Policies for Enterprise ZTA 3.2. エンタープライズ向けZTAにおけるアイデンティティに基づくセグメンテーションポリシーの欠点
3.3. Multi-Tier Policies for Enterprise ZTA  3.3. エンタープライズZTAの多層ポリシー 
4. Implementing Multi-Tier Policies for ZTA for Cloud-Native Application Environments 4. クラウドネイティブ・アプリケーション環境向けZTAの多層ポリシーの実装
4.1. Reference Application Infrastructure Scenario 4.1. 参照アプリケーション基盤のシナリオ
4.2. Role of the Service Mesh in Policy Deployment, Enforcement, and Updates  4.2. ポリシーの実装、施行、更新におけるサービスメッシュの役割 
4.3. Policy Deployment for Reference Application Infrastructure.  4.3. 参照アプリケーション基盤のポリシー実装 
4.4. Another Application Infrastructure Scenario  4.4. 別のアプリケーション基盤のシナリオ 
4.5. Functional Roles of Application Infrastructure Elements in Enforcing Policies  4.5. ポリシーの適用におけるアプリケーション基盤要素の機能的役割 
4.6. Comparison of Identity-Tier and Network-Tier Policies  4.6. アイデンティティ層とネットワーク層のポリシーの比較 
 4.6.1. Approaches for Deployment and the Limitations of Network-Tier Policies   4.6.1. ネットワーク層ポリシーの実装の考え方と限界について 
 4.6.2. Prerequisites for the Deployment of Identity-Tier Policies   4.6.2. アイデンティティ層ポリシーの実装に関する前提条件 
 4.6.3. Advantages of Identity-Tier Policies   4.6.3. アイデンティティ層ポリシーの利点 
5. Summary and Conclusions  5. まとめと結論 
References  参考文献 

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

 

 

Continue reading "NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル"

| | Comments (0)

2023.04.22

東北大学、東京工業大学の生成的AI利用の留意事項

こんにちは、丸山満彦です。

このブログでは、日本の大学が学生向けに発表した、生成系AI利用の留意事項を紹介しています。最初には紹介したのは、東京大学でしたが、東北大学が3月末に、そして東工大も先日公表しています。。。

 

⚫︎ 東北大学 - Online Class Guide

・2023.03.31 ChatGPT等の生成系AI利用に関する留意事項(学生向け)

 

 

 

⚫︎ 東京工業大学

 ・2023.04.20 学修における生成系人工知能の使用に関する本学の考え方について

 

1_20230422062601

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.22 東北大学、東京工業大学の生成系AI利用の留意事項

・2023.04.20 大阪大学 生成AI(Generative AI)の利用について

・2023.04.06 東京大学 生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について

 

| | Comments (0)

欧州委員会 EUサイバーセキュリティ・スキルアカデミー (2023.04.18)

こんにちは、丸山満彦です。

欧州委員会が、2023年欧州技能年 2023 European Year of Skills) の一環として、サイバーセキュリティ人材の数を増加することを目的として、EUサイバーセキュリティ・スキルアカデミーを創設したようですね。。。

 

⚫︎ European Commission

Cyber Skill Academy

 

ニュース

・2023.04.18 Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience

 

Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience サイバー:効果的な作戦協力、連帯、レジリエンスのためのEUの能力強化に向けて
Today, the Commission has adopted a proposal for the EU Cyber Solidarity Act to strengthen cybersecurity capacities in the EU. It will support detection and awareness of cybersecurity threats and incidents, bolster preparedness of critical entities, as well as reinforce solidarity, concerted crisis management and response capabilities across Member States. The Cyber Solidarity Act establishes EU capabilities to make Europe more resilient and reactive in front of cyber threats, while strengthening existing cooperation mechanism.  It will contribute to ensuring a safe and secure digital landscape for citizens and businesses and to protecting critical entities and essential services, such as hospitals and public utilities. 本日、欧州委員会は、EUにおけるサイバーセキュリティの能力を強化するための「EUサイバー連帯法」の提案書を採択した。この法律は、サイバーセキュリティの脅威やインシデントの検知と認識を支援し、重要な事業体の備えを強化するとともに、加盟国間の連帯、協調的な危機管理および対応能力を強化するものである。サイバー連帯法は、既存の協力メカニズムを強化しつつ、欧州がサイバー脅威に対してより強靭で反応的になるためのEUの能力を確立するものである。 この法律は、市民や企業にとって安全で安心なデジタル環境を確保し、病院や公共事業などの重要な事業体や重要なサービスを保護することに貢献する。
The Commission has also presented a Cybersecurity Skills Academy, as part of the 2023 European Year of Skills, to ensure a more coordinated approach towards closing the cybersecurity talent gap, a pre-requisite to boosting Europe's resilience. The Academy will bring together various existing initiatives aimed at promoting cybersecurity skills and will make them available on an online platform, thereby increasing their visibility and boosting the number of skilled cybersecurity professionals in the EU. 欧州委員会はまた、「2023年欧州技能年」の一環として、欧州の強靭性を高めるための前提条件であるサイバーセキュリティ人材の格差是正に向けたより協調的なアプローチを確保するため、「サイバーセキュリティ・スキルアカデミー」を発表した。同アカデミーは、サイバーセキュリティスキルの普及を目的とした既存のさまざまなイニシアチブをまとめ、オンラインプラットフォームで公開することで、その認知度を高め、EUにおけるサイバーセキュリティ技能者の数を増加させることを目的とするものである。
Under the European Security Union, the EU is committed to ensuring that all European citizens and businesses are well protected, both online and offline, and to promoting an open, secure and stable cyberspace. Yet, the increasing magnitude, frequency and impact of cybersecurity incidents represent a major threat to the functioning of network and information systems and to the European Single Market. Russia's military aggression against Ukraine has further exacerbated this threat, along with the multiplicity of state-aligned, criminal and hacktivist actors involved in current geopolitical tensions. 欧州安全保障連合(European Security Union)のもと、EUは、すべての欧州市民と企業がオンラインとオフラインの両方で十分に保護されるようにし、オープンで安全かつ安定したサイバースペースを促進することに取り組んでいる。しかし、サイバーセキュリティ事件の規模、頻度、影響の増大は、ネットワークや情報システムの機能、欧州単一市場に対する大きな脅威となっている。ロシアのウクライナに対する軍事侵攻は、現在の地政学的緊張に関与する国家と連携した犯罪者やハクティビストの多様性と共に、この脅威をさらに悪化させた。
Building on a strong strategic, policy and legislative framework that is already in place, the proposed EU Cyber Solidarity Act and the Cybersecurity Skills Academy will further contribute to enhancing detection of cyber threats, resilience and preparedness at all levels of the EU's cybersecurity ecosystem. 提案されているEUサイバー連帯法とサイバーセキュリティ・スキルアカデミーは、すでに実施されている強力な戦略、政策、法律の枠組みを基盤として、EUのサイバーセキュリティ・エコシステムのあらゆるレベルにおけるサイバー脅威の検知、回復力、準備の強化にさらに貢献するものである。
... ...
EU Cybersecurity Skills Academy EUサイバーセキュリティ・スキルアカデミー
The EU Cybersecurity Skills Academy will bring together private and public initiatives aimed at boosting cybersecurity skills at European and national levels, making them more visible and helping to close the cybersecurity talent gap of cybersecurity professionals. EUサイバーセキュリティ・スキル・アカデミーは、欧州および国家レベルでのサイバーセキュリティ・スキルの向上、その可視化、サイバーセキュリティ専門家の人材格差の解消を目指す民間と公共のイニシアティブを結集するものである。
The Academy will initially be hosted online on the Commission's Digital Skills and Jobs platform. Citizens interested in pursuing a career in cybersecurity will be able to find training and certifications from across the EU in a single place online. Stakeholders will also be able to pledge their support to improve cybersecurity skills in the EU by initiating specific actions, such as to offering cybersecurity trainings and certifications. 同アカデミーは当初、欧州委員会の「Digital Skills and Jobs」プラットフォーム上でオンライン開催される予定である。サイバーセキュリティの分野でキャリアを積むことに関心のある市民は、EU全域のトレーニングや認定資格をオンラインで一か所から探すことができるようになる。また、関係者は、サイバーセキュリティの研修や資格の提供など、具体的な行動を開始することで、EUにおけるサイバーセキュリティのスキル向上への支援を表明することができる。
The Academy will evolve to include a common space for academia, training providers and industry helping them to coordinate education programmes, trainings, funding, and monitor the evolution of the cybersecurity job market.  アカデミーは、学術界、研修プロバイダー、産業界が教育プログラム、研修、資金調達を調整し、サイバーセキュリティの雇用市場の進化を監視するのに役立つ共通のスペースを含むように発展していくだろう。 
... ...
Next Steps 次のステップ
The European Parliament and the Council will now examine the proposed Regulation on the EU Cyber Solidarity Act, as well as the targeted amendment to the Cybersecurity Act. 欧州議会と理事会は今後、EUサイバー連帯法に関する規則案と、サイバーセキュリティ法の的を射た改正案を検討することになる。
The European Cybersecurity Competence Centre will organise a joint procurement of tools and infrastructures with the selected cross-border Security Operations Centres to build cyber detection capabilities.   欧州サイバーセキュリティ・コンピテンスセンターは、サイバー検知能力を構築するために、選定された国境を越えたセキュリティ・オペレーションセンターとツールやインフラの共同調達を組織する予定である。 
The EU Cybersecurity Agency (ENISA) and the European Cybersecurity Competence Centre will continue working on cybersecurity skills, contributing to the implementation of the Cybersecurity Skills Academy, in line with their respective mandates, and in close cooperation with the Commission and the Member States. EUサイバーセキュリティ機関(ENISA)と欧州サイバーセキュリティ能力センターは、それぞれの権限に基づき、欧州委員会および加盟国と緊密に協力しながら、サイバーセキュリティ・スキルアカデミー実施に貢献し、サイバーセキュリティスキルに関する取り組みを継続する。
The Commission proposes that the Academy takes the shape of a European digital infrastructure consortium (EDIC), a new legal framework to implement multi-country projects. This possibility will now be discussed with Member States. 欧州委員会は、このアカデミーを、複数国のプロジェクトを実施するための新しい法的枠組みである欧州デジタル基盤コンソーシアム(EDIC)の形にすることを提案している。この可能性については、今後、加盟国と協議することになる。
It is also necessary to ensure that professionals undertake required quality trainings. In this regard, ENISA will develop a pilot project, exploring the set-up of a European attestation scheme for cybersecurity skills.   また、専門家が必要な質の高いトレーニングを受けることを保証することも必要である。この点に関して、ENISAは、サイバーセキュリティスキルに関する欧州の認証スキームの設定を検討するパイロットプロジェクトを開発する予定である。 
Background 背景
With the proposed EU Cyber Solidary Act, the Commission responds to the Member States' call to strengthen EU cyber resilience, and delivers on its commitment expressed in the recent Joint Cyber Defence Communication to prepare an EU Cyber Solidarity Initiative. 欧州委員会は、EUサイバー連帯法を提案することで、EUのサイバー耐性を強化するという加盟国の要請に応え、EUサイバー連帯イニシアチブを準備するという最近の共同サイバー防衛コミュニケーションで表明した公約を実現する。
The EU Cyber Solidary Act and the Cybersecurity Skills Academy build upon the EU Cybersecurity strategy as well as the EU's legislative framework to bolster the EU's collective resilience against increasing cybersecurity threats. This includes the Directive on measures for a high common level of cybersecurity across the Union (NIS 2) and the Cybersecurity Act. EUサイバー連帯法とサイバーセキュリティ・スキルアカデミーは、EUサイバーセキュリティ戦略や、増大するサイバーセキュリティの脅威に対するEUの集団的な回復力を強化するためのEUの法的枠組みを基盤としている。これには、EU全体でサイバーセキュリティを高度に共通化するための措置に関する指令(NIS 2)およびサイバーセキュリティ法が含まれる。

 

・2023.04.18 Questions and Answers: Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience

Questions and Answers: Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience 質問と回答 サイバー:効果的な作戦協力、連帯、回復力のためのEUの能力強化に向けて
... ...
EU Cybersecurity Skills Academy EUサイバーセキュリティ・スキルアカデミー
What are the specific objectives of the Cybersecurity Skills Academy? サイバーセキュリティ・スキル・アカデミーの具体的な目的は何か?
The Cybersecurity Skills Academy will increase the visibility of cybersecurity skills initiatives and help boosting numbers of skilled cybersecurity professionals in the EU to tackle the gap in cybersecurity professionals across the Member States. サイバーセキュリティ・スキル・アカデミーは、サイバーセキュリティ・スキルのイニシアチブの認知度を高め、EUにおける熟練したサイバーセキュリティ専門家の数を増やし、加盟国全体のサイバーセキュリティ専門家の格差に対処することを支援する。
The Academy will: 本アカデミーは以下のことを行う:
Work towards a common baseline for cybersecurity career profiles and the associated skills. It will provide clarity on cybersecurity trainings and certifications to increase the number of cybersecurity professionals in Europe. It is also necessary to ensure that professionals undertake required quality trainings. With this in mind, the Commission will launch a pilot project to set up a European attestation system for cybersecurity skills. ・サイバーセキュリティのキャリアプロファイルと関連スキルの共通基準に向けて努力する。欧州におけるサイバーセキュリティの専門家の数を増やすために、サイバーセキュリティのトレーニングや認証について明確にする。また、専門家が必要な質の高いトレーニングを受けることができるようにすることも必要である。このことを念頭に置いて、欧州委員会は、サイバーセキュリティのスキルに関する欧州の認証制度を立ち上げるためのパイロットプロジェクトを開始する予定である。
Ensure a better channelling and visibility of the available funding opportunities for cybersecurity skills-related activities to maximise their impact. ・サイバーセキュリティ技能に関連する活動に対する利用可能な資金提供の機会を、その効果を最大化するために、より良いチャネリングと可視性を確保する。
Call on stakeholders (e.g., companies, schools, universities and authorities) to take action by making concrete pledges to initiate specific actions, such as to offer cybersecurity trainings and certifications, as well as integrating cybersecurity skills into their strategies. ・関係者(企業、学校、大学、当局など)に対し、サイバーセキュリティに関する研修や資格の取得、サイバーセキュリティスキルを戦略に組み込むなど、具体的な行動を開始することを約束することで、行動を起こすよう呼びかける。
Define indicators to monitor the evolution on the job market for cybersecurity professionals, allowing training providers (such as schools, universities and organisations) to timely adapt their trainings and curricula to the market needs. ・サイバーセキュリティの専門家の雇用市場の変化を監視するための指標を定め、訓練提供者(学校、大学、組織など)が訓練やカリキュラムを市場のニーズに合わせて適時に対応できるようにする。
The Commission proposes that the Academy takes the shape of a European digital infrastructure consortium (EDIC), a new legal framework to implement multi-country projects. This possibility will now be discussed with Member States. 欧州委員会は、このアカデミーを、複数国のプロジェクトを実施するための新しい法的枠組みである欧州デジタルインフラコンソーシアム(EDIC)の形にすることを提案している。この可能性については、今後、加盟国と協議することになる。
In the meantime, the Commission will create a single point of entry to the Academy through the Digital Skills and Jobs Platform, giving access to relevant information, activities and stakeholders within the scope of the Academy. 一方、欧州委員会は、「デジタル技能・雇用プラットフォーム」を通じて、アカデミーの範囲内の関連情報、活動、関係者にアクセスできるように、アカデミーへのシングルポイントを設ける予定である。
The EU Agency for Cybersecurity (ENISA) and the European Cybersecurity Competence Centre (ECCC) will support the implementation of the Cybersecurity Skills Academy in close cooperation with the Commission and Member States. EUサイバーセキュリティ機関(ENISA)と欧州サイバーセキュリティ能力センター(ECCC)は、欧州委員会および加盟国と緊密に協力しながら、サイバーセキュリティ技能アカデミーの実施を支援する予定である。
What kind of trainings will the Academy showcase? アカデミーはどのようなトレーニングを紹介するのか?
Initially, the Academy will gather existing education and training opportunities and give them visibility on the Digital Skills and Jobs Platform.  当初、アカデミーは、既存の教育・訓練機会を集め、Digital Skills and Jobs Platform上で可視化する予定である。 
Furthermore, the Commission will finance specific cybersecurity courses, through Erasmus+, joint Bachelor and Master degree programmes, joint courses or modules. As well as well intensive programmes combining online teaching with a short period of physical mobility. さらに、欧州委員会は、エラスムス+、学士と修士の共同学位プログラム、共同コース、モジュールを通じて、特定のサイバーセキュリティ・コースに資金を提供する。また、オンライン教育と短期間の物理的移動を組み合わせた集中プログラムも用意されている。
As another example, along Academy's goals, ENISA will enhance its training offer by expanding its 'train the trainer' programme to public and private critical operators in the scope of the NIS2 Directive. もう一つの例として、アカデミーの目標に沿って、ENISAは、NIS2指令の範囲にある公共および民間の重要な事業者に「トレーナー養成」プログラムを拡大し、トレーニングの提供を強化する予定である。
The European Security and Defence Centre will also review its training offer, designed for the cyber defence workforce.   また、欧州安全保障防衛センター(European Security and Defence Centre)も、サイバー防衛要員を対象としたトレーニングの提供を見直す予定である。  
Why it is so important to have one single entry point in EU? なぜEUで単一のエントリーポイントを持つことが重要なのか?
There are numerous initiatives from public and private entities at European and national levels looking to boost the cybersecurity skills job market. Collecting and presenting them together on one page online would greatly increase their visibility and comparability. For one, a student or job seeker wishing to enter the cybersecurity field, or a professional willing to upskill or reskill may find it challenging to know where and how to start. An organisation looking for funding on cybersecurity skills has to navigate on several pages to find the information needed. Giving a single point of entry will make it easier for all those interested to have access to relevant information. サイバーセキュリティ技能の職域を拡大しようとする欧州および国レベルの官民団体による多数の取り組みがある。それらをオンラインで1つのページに集めて紹介することで、その可視性と比較可能性を大幅に高めることができます。サイバーセキュリティ分野への進出を希望する学生や求職者、あるいはスキルアップやスキルリセットを希望する専門家は、どこからどのように手をつければよいのかがわからないというのが現状である。サイバーセキュリティのスキルに関する資金援助を探している組織は、必要な情報を見つけるためにいくつかのページをナビゲートしなければならない。入り口が1つであれば、すべての関係者が関連情報にアクセスしやすくなる。
How will the Cybersecurity Skills Academy be funded? サイバーセキュリティ・スキル・アカデミーはどのように資金を調達するのか?
Initially, the Cybersecurity Skills Academy will benefit from €10 million of dedicated EU budget under the Digital Europe Programme work programme 2023-2024. 当初、サイバーセキュリティ・スキルアカデミーは、デジタル・ヨーロッパ・プログラムの作業プログラム2023-2024のもと、1000万ユーロのEU専用予算の恩恵を受ける予定である。
The Cybersecurity Skills Academy will facilitate the visibility of funding on cyber skills from relevant EU programmes (such as DEP, RRF, InvestEU, the European Social Fund Plus). サイバーセキュリティ・スキル・アカデミーは、関連するEUプログラム(DEP、RRF、InvestEU、欧州社会基金プラスなど)のサイバー・スキルに関する資金の可視化を促進する予定である。
Should the Academy take the shape of a European digital infrastructure consortium (EDIC), it will further facilitate pooling national and private resources, in close cooperation with the European Cybersecurity Competence Centre (ECCC) and the national coordination centres (NCCs). このアカデミーが欧州デジタルインフラコンソーシアム(EDIC)の形になれば、欧州サイバーセキュリティ能力センター(ECCC)や各国調整センター(NCC)との緊密な協力のもと、国や民間のリソースをプールすることがさらに容易になる。

 

・2023.04.18 The EU Cybersecurity Skills Academy Factsheet

The EU Cybersecurity Skills Academy Factsheet EUサイバーセキュリティ・スキルアカデミー ファクトシート
The EU Cybersecurity Skills Academy will bring together private and public initiatives at European and national levels to address needs of the cybersecurity labour market and close the cybersecurity talent gap of cybersecurity professionals EUサイバーセキュリティ・スキルアカデミーは、サイバーセキュリティ労働市場のニーズに対応し、サイバーセキュリティ専門家の人材格差を解消するために、欧州および各国レベルで民間と公共のイニシアティブを結集する。

 

・[PDF]

20230421-51906

 

・2023.04.18 Communication on the Cybersecurity Skills Academy

 

・[PDF]

20230421-51916

 

 

COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Closing the cybersecurity talent gap to boost the EU’s competitiveness, growth and resilience ('The Cybersecurity Skills Academy') 欧州委員会から欧州議会および欧州連合へのコミュニケーション EUの競争力、成長、回復力を高めるためのサイバーセキュリティ人材の格差是正(「サイバーセキュリティ・スキルズ・アカデミー」)
Closing the cybersecurity talent gap to boost the EU’s competitiveness, growth and resilience   EUの競争力、成長、レジリエンスを高めるために、サイバーセキュリティの人材格差を解消する  
(‘The Cybersecurity Skills Academy’)  (サイバーセキュリティ・スキルアカデミー)
1. An urgent need to reduce risks by addressing the cybersecurity skills shortage and gaps   1. サイバーセキュリティのスキル不足・ギャップへの対応によるリスク低減が急務に
Cybersecurity is not only part of citizens, businesses, and Member States’ security. It is also a necessity to ensure the EU’s political stability, the stability of its democracies and the prosperity of our society and businesses. The cybersecurity threat landscape has evolved greatly in the past years, with the worrying trend that a growing number of cyberattacks target military and civilian critical infrastructure in the EU. Threat actors increase their capabilities and novel, hybrid and emerging threats, such as the use of bots and techniques based on artificial intelligence, are emerging . Notably, ransomware threat actors are routinely inflicting considerable damage, both financially and reputationally, to entities.    サイバーセキュリティは、市民、企業、加盟国の安全保障の一部であるばかりではありません。EUの政治的安定、民主主義国家の安定、私たちの社会と企業の繁栄を確保するためにも必要なことなのです。サイバーセキュリティの脅威の状況はここ数年で大きく進化しており、EUの軍事・民生重要インフラを標的とするサイバー攻撃の数が増えているという憂慮すべき傾向があります。脅威の主体は能力を高め、ボットの使用や人工知能に基づく技術など、斬新でハイブリッドな新たな脅威が出現している 。特に、ランサムウェアの脅威者は、日常的に、経済的にも評判的にも大きな損害を事業体に与えている。 
A large number of cybersecurity incidents have also targeted public administration and governments in Member States, as well as European Institutions, Bodies and Agencies (EUIBAs) . The finance  and health  sectors, both backbones of society and economy, have also consistently been targeted6. The geopolitical tensions linked to Russia’s war of aggression against Ukraine have increased the cybersecurity threat  and have the potential of destabilising our society. The security of the EU cannot be guaranteed without the EU’s most valuable asset: its people. The EU urgently needs professionals with the skills and competences to prevent, detect, deter and defend the EU, including its most critical infrastructures, against cyberattacks and ensure its resilience.  また、多くのサイバーセキュリティ事件が、加盟国の行政や政府、欧州機関or 省庁(EUIBAs)を標的にしている。また、社会と経済の基盤である金融や医療分野も一貫して狙われている6。ロシアのウクライナへの侵略戦争に関連した地政学的緊張は、サイバーセキュリティの脅威を高め、私たちの社会を不安定にする可能性を持っている。EUの安全保障は、EUの最も貴重な資産である人材なしには保証されません。EUは、最も重要なインフラを含むEUをサイバー攻撃から予防、探知、抑止、防御し、その回復力を確保するためのスキルと能力を備えた専門家を緊急に必要としている。
The cybersecurity talent gap further hampers Europe’s competitiveness and growth, which heavily depend on the development and uptake of strategic digital technologies (e.g. artificial intelligence, 5G and cloud). A skilled cybersecurity workforce is needed in order for the EU to remain in a position to deliver key advanced technologies in a global setting.   サイバーセキュリティの人材格差は、戦略的デジタル技術(人工知能、5G、クラウドなど)の開発と取り込みに大きく依存する欧州の競争力と成長をさらに阻害する。EUがグローバルな舞台で重要な先端技術を提供する立場を維持するためには、熟練したサイバーセキュリティの人材が必要である。 
To prepare for and to face this evolving threat landscape and to foster EU’s competitiveness, the EU cybersecurity policy has progressed significantly in the last years leading to the adoption of a number of initiatives such as the EU’s Cybersecurity Strategy for the Digital Decade , the revised Network and Information Security Directive (NIS2 Directive) , EU sectoral cybersecurity legislation , the EU policy on cyber defence , the Cyber Resilience Act  and the Cyber Solidarity Act, proposed by the Commission together with this Communication. But without the necessary skilled people to implement them, these pieces of legislation will not achieve their objectives. While the basic knowledge of cybersecurity by the general population is addressed as part of initiatives supporting the development of general skills needed to participate in society , a competent workforce is essential in both the public and private sector, at national and EU level, including in standardisation organisations, to deliver on those cybersecurity legal and policy requirements.   この進化する脅威の状況に備え、それに対処し、EUの競争力を高めるために、EUのサイバーセキュリティ政策はここ数年で大きく進展し、EUの「デジタル10年のためのサイバーセキュリティ戦略」、改正ネットワーク・情報セキュリティ指令(NIS2指令)、EU分野別サイバーセキュリティ法、サイバー防衛に関するEU政策、サイバーレジリエンス法、サイバー連帯法といった多くのイニシアティブが採択されている(本コミュニケーションとともに、委員会によって提案された)。しかし、それらを実施するために必要な熟練した人材がいなければ、これらの法律はその目的を達成することはできない。一般市民がサイバーセキュリティに関する基本的な知識を身につけることは、社会参加に必要な一般的スキルの開発を支援する取り組みの一環として取り組まれているが、サイバーセキュリティに関する法律や政策の要件を実現するためには、標準化団体を含む国内およびEUレベルの官民両セクターにおいて、有能な労働力が不可欠である。 
The EU’s security and competitiveness therefore depend on having a professional skilled cybersecurity workforce. However, the EU is facing a very substantial shortage of skilled cybersecurity professionals, which puts the EU, its Member States, its businesses and citizens at risk of cybersecurity incidents. In 2022, the shortage of cybersecurity professionals in the European Union ranged between 260,000  and 500,000 , while the EU’s cybersecurity workforce needs were estimated at 883,000 professionals  , suggesting a misalignment between the competences available and those required by the labour market. The cybersecurity workforce further suffers from the misconception associated with its technical image, and continues to fail at attracting women, who amount to 20% of cybersecurity graduates  and to 19% of information and communications technology (ICT) specialists  To address this, Europe’s Digital Decade Policy Programme 2030  has set the target of increasing the number of ICT professionals by 20 million by 2030, while also achieving gender convergence. Moreover, implementing emerging EU policy requires an adequately skilled and sufficient workforce. For example, over 42% of senior IT leaders in the financial services industry highlighted the lack of cybersecurity skills and expertise as a key challenge facing their business when it comes to cybersecurity defence and incident management , at a time when they will need to implement sectoral cybersecurity legislation such as the Digital Operational Resilience Act (DORA).  したがって、EUの安全保障と競争力は、専門的な技術を持つサイバーセキュリティの労働力を有するかどうかにかかっている。しかし、EUは、熟練したサイバーセキュリティ専門家の非常に大きな不足に直面しており、EU、加盟国、その企業、市民をサイバーセキュリティ事件のリスクにさらしている。2022年、EUにおけるサイバーセキュリティ専門家の不足は26万人から50万人の間であったが、EUのサイバーセキュリティ労働力のニーズは88万3000人と推定されており、利用できる能力と労働市場が求める能力の間にズレがあることを示唆している。サイバーセキュリティの人材は、その技術的なイメージからくる誤解に苦しんでおり、サイバーセキュリティの卒業生の20%、情報通信技術(ICT)専門家の19%を占める女性の誘致に失敗し続けている。これに対し、欧州のデジタル10年政策プログラム2030は、2030年までにICT専門家の数を2000万人増やすという目標を掲げ、同時にジェンダー収束も達成するとしている。さらに、EUの新たな政策を実施するには、十分なスキルを持った十分な労働力が必要である。例えば、金融サービス業界のシニアITリーダーの42%以上が、サイバーセキュリティの防御と事故管理に関して、サイバーセキュリティのスキルと専門知識の不足を自社のビジネスが直面する主要な課題として挙げている。
Employers’ hesitancy to invest in human capital, looking for already trained and experienced workforce, further contributes to constraining the labour market . This shortage affects all types of companies, including small and medium-sized enterprises (SMEs), which represent 99% of all businesses in the EU . The challenge is also high for public administrations which are largely hit and most impacted by cybersecurity incidents .   雇用主が人的資本への投資をためらい、すでに訓練を受け、経験を積んだ労働力を求めることは、労働市場の制約をさらに助長する。この不足は、EUの全企業の99%を占める中小企業(SMEs)を含む、あらゆる種類の企業に影響を及ぼす。 また、サイバーセキュリティ事件の被害が大きく、最も影響を受ける行政機関にとっても、この課題は大きい。 
Closing the EU’s cybersecurity professional talent gap is therefore a matter of urgency, as the EU’s security and competitiveness are at stake.  したがって、EUのサイバーセキュリティ専門家の人材格差を解消することは、EUの安全保障と競争力に関わる緊急の課題である。
2. The lack of synergies and coordinated action to close the cybersecurity skills gap  2. サイバーセキュリティのスキルギャップを解消するための相乗効果や協調行動の欠如 
Initiatives at European and national level conducted by public and private entities to address the cybersecurity labour market shortages are flourishing. However, they are scattered and have so far failed to reach a critical mass to make a real difference.  サイバーセキュリティの労働市場の不足に対処するため、官民の団体による欧州および国内レベルでの取り組みが盛んになっている。しかし、それらはばらばらであり、今のところ真の変化をもたらすための重要な質量に達することができていない。
To start with, there is currently limited common understanding of the composition of the EU cybersecurity workforce and of associated skills, whereas similar cybersecurity job profiles should entail the same set of skills. The low uptake by relevant actors of a common European reference framework for cybersecurity professionals translates into the lack of a communication tool between employers, educators and policy makers, and incapacity to conduct measurement and assess the gaps of the cybersecurity labour market. It further prevents the design of education and training curricula and the creation of career pathways responding to the policy and market needs for those wishing to enter the profession. Upskilling and reskilling of the workforce relies widely on cybersecurity trainings and certificates, usually offered by private providers. However, the workforce faces difficulties to get an overview of the quality of the cybersecurity trainings offered and the associated certificates issued.  まず、EUのサイバーセキュリティ人材の構成と関連スキルに関する共通理解が限られている。一方、同様のサイバーセキュリティの職務プロファイルは、同じ一連のスキルを必要とするはずである。サイバーセキュリティ専門家のための欧州共通の参照フレームワークが関係者にあまり受け入れられていないことは、雇用者、教育者、政策立案者間のコミュニケーションツールの欠如、サイバーセキュリティ労働市場のギャップを測定し評価する能力の欠如につながる。さらに、教育・訓練カリキュラムの設計や、この職業に就くことを希望する人の政策・市場ニーズに対応したキャリアパスの作成ができない。労働者のスキルアップと再スキルは、通常、民間プロバイダーが提供するサイバーセキュリティ・トレーニングと証明書に広く依存している。しかし、労働者は、提供されるサイバーセキュリティ研修や発行される関連証明書の質の概要を把握することが困難な状況にある。
While education and training and building career pathways are necessary to enhance the supply side of the labour market, the role of the demand side in training its workforce and adapting to its evolution is currently underestimated. Industry and public employers lack common fora and places to pool ideas on how to best train the workforce and to address how to better assess skills, especially during the recruitment process. The most in-demand hard skills may be cybersecurity related , such as software development or cloud computing , but transversal skills are still unjustifiably disregarded. Critical thinking and analysis, problem-solving and self-management are skill groups which are more demanded by employers  and are rising in prominence in the lead up to 2025 .  労働市場の供給側を強化するためには、教育訓練とキャリアパスの構築が必要であるが、労働力を訓練し、その進化に適応するための需要側の役割は、現在過小評価されている。産業界と公共機関の雇用主は、労働力を最もよく訓練する方法についてアイデアを出し合い、特に採用プロセスにおいてスキルをよりよく評価する方法に取り組むための共通の場と場所を欠いている。最も需要の高いハードスキルは、ソフトウェア開発やクラウドコンピューティングなど、サイバーセキュリティに関連するものかもしれませんが、横断的なスキルは、いまだに不当に軽視されているのが現状である。クリティカルシンキングや分析、問題解決、自己管理は、雇用主が求めるスキルグループであり、2025年に向けてその重要性が高まっている。
Many public and private investment initiatives in cybersecurity skills exist already, with the EU widely funding projects under different instruments . However, the continuing shortage of skills in the EU raises questions as regards their visibility and impact and suggests that they may not systematically match the needs of the market, which need to be urgently mapped at EU level. In addition, several sources of funding lead to duplication, missing the opportunity to scale up and make a real impact. Moreover, those who need the investment cannot always identify the most appropriate sources for their needs.  サイバーセキュリティのスキルに関する官民の投資イニシアティブはすでに数多く存在し、EUはさまざまな手段の下でプロジェクトに広く資金を提供している。しかし、EUではスキルの不足が続いているため、その可視性と影響力に疑問があり、市場のニーズと体系的に合致していない可能性が示唆されており、EUレベルで緊急にマッピングする必要がある。さらに、複数の資金源があるため重複が生じ、規模を拡大し、真のインパクトを与える機会を失っている。さらに、投資を必要とする人々は、そのニーズに最も適した資金源を常に特定することができません。
Stakeholders have been trying to address the complex and multifaceted issue of the shortage of cybersecurity skills. The EU Agency for Cybersecurity (ENISA) has been developing instruments related to role profiles or higher education , the European Cybersecurity Competence Centre (ECCC)  is addressing cybersecurity skills in a dedicated working group, the European Security and Defence College (ESDC) is working on the cybersecurity skills of the civilian and military workforce in the context of the  Common Security and Defence Policy , private organisations are trying to tackle the issue , the cybersecurity certification industry is developing a roadmap and trainings targeting the skills gap . Member States are also trying to address the issue through a variety of initiatives, ranging from regulatory  to setting up of cybersecurity skills academies  or Cyber Campuses , Cybercrime Centres of Excellence , or through public-private partnerships .  However, the work of all these stakeholders often lacks coordination and synergies and has not reached its potential of making a substantial difference on the job market as shown by the growing shortage in the cybersecurity workforce in the EU. Increasing synergies across cyber communities is also needed as the necessary skillsets to uphold cybersecurity, fight cybercrime or build cyber defence responses are often of a similar nature.   関係者は、サイバーセキュリティのスキル不足という複雑で多面的な問題に取り組もうとしてきた。EUサイバーセキュリティ機関(ENISA)は、役割プロファイルや高等教育に関連する手段を開発しており、欧州サイバーセキュリティ能力センター(ECCC)は、専門のワーキンググループでサイバーセキュリティスキルに取り組んでいる。欧州安全保障・防衛大学(ESDC)は、共通安全保障・防衛政策の観点から、民間および軍事労働者のサイバーセキュリティスキルに取り組んでいる。加盟国も、規制からサイバーセキュリティ技能アカデミーやサイバーキャンパス、サイバー犯罪センターオブエクセレンスの設立、あるいは官民パートナーシップに至るまで、さまざまな取り組みを通じてこの問題に対処しようとしている。 しかし、これらすべての関係者の活動は、しばしば連携や相乗効果を欠き、EUにおけるサイバーセキュリティ人材不足の深刻化に見られるように、雇用市場に大きな変化をもたらすという潜在能力を発揮していない。サイバーセキュリティの維持、サイバー犯罪との戦い、サイバー防衛反応の構築に必要なスキルセットは、しばしば類似した性質を持つため、サイバーコミュニティ間のシナジーを高めることも必要である。 
Finally, today, the EU has limited means of assessing the state and the evolution of the cybersecurity labour market and of the skills of its workforce. Member States and EUIBAs  rely on either data collected by private entities or on a wider set of EU-collected data notably by Eurostat  and the European Centre for the Development of Vocational Training (CEDEFOP)  on ICT professionals. In other words, the EU has a partial and fragmented view of its needs, which prevents it from consolidating an aggregated vision of the state of  the cybersecurity labour market.  最後に、今日、EUには、サイバーセキュリティの労働市場やその労働者のスキルの状態や進化を評価する手段が限られている。加盟国とEUIBAは、民間団体が収集したデータか、EUが収集した幅広いデータ、特にICT専門家に関するEurostatと欧州職業訓練開発センター(CEDEFOP)によるデータに依存している。言い換えれば、EU はそのニーズについて部分的かつ断片的な見解を持っており、それがサイバーセキュリティの労働市場の状態について集約的なビジョンを集約することを妨げている。
3. An EU-wide coordinated response: the Cybersecurity Skills Academy  3. EU全体で協調する対応策:サイバーセキュリティ・スキルアカデミー
3.1.The objective  3.1.目的 
To overcome the challenge of addressing cybersecurity skills and closing the labour market gap, the Commission is putting forward a Cybersecurity Skills Academy, as announced by the President of the European Commission in her 2022 State of the Union Letter of Intent41,  , and in the context of the European Year of Skills.   サイバーセキュリティ技能への対応と労働市場の格差是正という課題を克服するため、欧州委員会は、欧州委員会委員長が2022年の一般教書41で発表したように、また、欧州技能年との関連で、サイバーセキュリティ技能アカデミーを提唱している。 
The Cybersecurity Skills Academy (in short, ‘the Academy’) aims at creating a single point of entry and synergies for cybersecurity education and training offers as well as for funding opportunities and specific actions for supporting the development of cybersecurity skills. It will scale up stakeholders’ initiatives to reach a critical mass that will make a difference on the labour market, including for defence. Those activities would align along common goals and key performance indicators to seek greater impact.  サイバーセキュリティ・スキル・アカデミー(略して「アカデミー」)は、サイバーセキュリティの教育や訓練、サイバーセキュリティのスキル開発を支援するための資金提供の機会や特定の行動に対する単一の入口と相乗効果を生み出すことを目的としている。また、関係者のイニシアティブを拡大し、防衛を含む労働市場に変化をもたらすクリティカルマスに到達させる予定である。これらの活動は、共通の目標や重要な成果指標に沿って調整され、より大きな効果を追求することになる。
The focus of the Academy will be the skilling of cybersecurity professionals. The activity of the Academy will feed into to EU policies on cybersecurity, but also into education and lifelong learning. It complements the two Council recommendations related to digital education and skills proposed by the Commission at the same time as this Communication .  アカデミーの焦点は、サイバーセキュリティの専門家を育成することである。アカデミーの活動は、サイバーセキュリティに関するEUの政策だけでなく、教育や生涯学習にも反映されることになる。また、本コミュニケーションと同時に欧州委員会が提案した、デジタル教育と技能に関する2つの理事会勧告を補完するものである。
The Academy will rely on four pillars: (1) fostering knowledge generation through education and training by working on a common framework for cybersecurity role profiles and associated skills, enhancing the European education and training offer to meet the needs, building career pathways and providing visibility and clarity over cybersecurity trainings and certifications to enhance the supply side of the labour; (2) ensuring a better channelling and visibility over available funding opportunities for skills-related activities in order to maximise their impact; (3) calling stakeholders to take action; and (4) defining indicators to monitor the evolution of the market and be in a capacity to assess the effectiveness of their actions.  同アカデミーは、以下の4つの柱を軸に活動する: (1) 労働力の供給側を強化するために、サイバーセキュリティの役割プロファイルと関連スキルの共通フレームワークに取り組み、ニーズに合わせて欧州の教育・訓練の提供を強化し、キャリアパスを構築し、サイバーセキュリティの訓練と認定について可視性と明確性を提供することにより、教育・訓練を通じて知識生成を促進する; (2) スキル関連活動に対する資金提供の機会をより良く調整し、その効果を最大化するための可視性を確保する (3) 関係者に行動を呼びかける (4) 市場の進化を監視し、行動の有効性を評価するための指標を定義する 
The implementation of the Academy will be supported by a EUR 10 million funding from the Digital Europe Programme (DEP) .  本アカデミーの実施には、デジタル・ヨーロッパ・プログラム(DEP)から1,000万ユーロの資金が提供される予定である。
3.2.The Academy’s governance  3.2.アカデミーのガバナンス 
Ultimately, to provide an infrastructure that serves as a single entry point to foster cooperation between academia, training providers and industry, where the supply and the demand sides of the EU cybersecurity ecosystem could meet and be trained, the Academy could take the shape of a European digital infrastructure consortium (EDIC) . This instrument would allow Member States to work jointly on closing the cybersecurity skills gap, as well as to closely cooperate with the Commission, ENISA and the European  最終的には、EUのサイバーセキュリティ・エコシステムの供給側と需要側が出会い、訓練を受けることができるような、学術機関、訓練提供者、産業界の協力を促進する単一の入り口となるインフラを提供するために、アカデミーは欧州デジタルインフラコンソーシアム(EDIC)の形を取ることができる。この制度により、加盟国はサイバーセキュリティのスキルギャップの解消に共同で取り組むことができ、欧州委員会、ENISA、欧州連合(EU)とも緊密に協力することができる。
Cybersecurity Competence Centre (ECCC), in line with their mandates and competences, and to bring on board all relevant stakeholders but also direct European, national and private investment into a common objective. For that purpose, interested Member States are encouraged to submit to the Commission a pre-notification by 30 May 2023 of their future application for such an EDIC. This voluntary pre-notification would allow the Commission to issue early comments on the draft EDIC application, thus allowing for its further development and formal submission in a speedier manner.  During the entire process and to the extent requested by Member States, the Commission, acting as a multi-country project accelerator, will facilitate the preparation of the EDIC application. Then, upon a positive assessment of the application by the Commission and approval by the Digital Decade Programme Committee, the Commission would issue a Decision establishing the EDIC and subsequently help coordinate the implementation of the EDIC .  サイバーセキュリティ・コンピテンス・センター(ECCC)は、その権限と能力に基づき、すべての関連する利害関係者を取り込むだけでなく、欧州、国、民間の投資を共通の目標に向かわせることが目的である。そのために、関心のある加盟国は、2023年5月30日までに、EDICを将来申請する旨の事前通知を欧州委員会に提出することが奨励される。この自発的な事前通知により、欧州委員会はEDICの申請書案について早期にコメントを出すことができ、その結果、より迅速な方法でのさらなる開発および正式な提出が可能となる。 このプロセス全体において、また加盟国が要請する範囲において、欧州委員会は多国間プロジェクト促進機関として、EDIC申請書の作成を促進することになる。そして、欧州委員会が申請を肯定的に評価し、「デジタルの10年」プログラム委員会が承認すれば、欧州委員会はEDICを設立する決定を下し、その後、EDICの実施の調整を支援する。
In the meantime, and while the EDIC is being formally set-up, the Commission will create a virtual single point of entry by enhancing the Commission’s Digital Skills and Jobs Platform  with the support of the European Cybersecurity Community Support (ECCO) project .  一方、EDICが正式に設立されるまでの間、欧州委員会は、欧州サイバーセキュリティ共同体支援(ECCO)プロジェクトの支援を受けて、欧州委員会のデジタル技能・雇用プラットフォームを強化し、仮想の単一入口を設ける予定である。
ENISA will contribute to the implementation of the Academy in line with the agency’s objectives , notably with regards to assistance in cybersecurity education and training, and taking into consideration its reporting obligations under the NIS2 Directive . The ECCC will work in line with its Strategic Agenda to support the implementation of the Cybersecurity Skills Academy. Notably, the ECCC will implement Strategic Objective 3 (Cybersecurity) of the Digital Europe Programme. It will benefit from the support of the Commission and Member States, through the National Coordination Centres (NCCs). The Cooperation Group established under the NIS2 Directive  will be solicited where relevant. Finally, joining forces with the industry and academia will be necessary to reach the Academy’s goal of closing the cybersecurity skills gap.    ENISAは、NIS2指令に基づく報告義務を考慮し、特にサイバーセキュリティ教育・訓練の支援に関して、機関or 省庁の目的に沿ってアカデミーの実施に貢献する。ECCCは、戦略的アジェンダに沿って、サイバーセキュリティ・スキルアカデミーの実施を支援する。特に、ECCCはデジタル・ヨーロッパ・プログラムの戦略目標3(サイバーセキュリティ)を実施する予定である。ECCCは、欧州委員会と加盟国から、ナショナル・コーディネーション・センター(NCCs)を通じて支援を受ける。NIS2指令に基づき設立された協力グループも、関連する場合には協力を要請する予定である。最後に、サイバーセキュリティのスキルギャップを解消するというアカデミーの目標を達成するためには、産業界や学術界と力を合わせることが必要であろう。  
4. Knowledge generation and training:  establish a common EU approach to cybersecurity training  4. 知識の創出と訓練:サイバーセキュリティの訓練に対するEU共通のアプローチを確立する。
Under the knowledge generation and training pillar of the Cybersecurity Skills Academy, a structured approach will be developed with the clear objective to increase the number of persons with cybersecurity skills in the EU, to better target trainings to market needs, and provide visibility over career pathways.  サイバーセキュリティ・スキル・アカデミーの知識創出と訓練の柱の下で、EUにおけるサイバーセキュリティのスキルを持つ人の数を増やし、市場のニーズに合わせた訓練を行い、キャリア経路を可視化するという明確な目的のもと、構造的なアプローチが開発される。
4.1.Speaking the same language: a common approach on cybersecurity role profiles and associated skills  4.1.同じ言葉を話す:サイバーセキュリティの役割プロファイルと関連スキルに関する共通のアプローチ 
Work has already been done by ENISA towards defining role profiles of cybersecurity professionals under the European Cyber Skills Competence Framework (ECSF) . This should become the basis for the Academy to define and assess relevant skills, monitor the evolution of the skill gaps and provide indications on the new needs. For each cybersecurity role of the ECSF, a set of applicable European e-Competence Framework  is incorporated as an element of the profile description .  ENISAでは、欧州サイバー・スキル・コンピテンス・フレームワーク(ECSF)のもと、サイバーセキュリティ専門家の役割プロファイルを定義する作業がすでに行われている。これは、アカデミーが関連スキルを定義・評価し、スキルギャップの進化を監視し、新たなニーズに関する示唆を提供するための基礎となるはずである。ECSFの各サイバーセキュリティの役割について、適用される欧州e-コンピテンスフレームワークのセットは、プロファイルの説明の要素として組み込まれている。
ENISA will therefore review the ECSF and identify evolving skills needs and gaps in the cybersecurity workforce, including through advanced tools (e.g. artificial intelligence, big data , data mining). For that purpose, ENISA will work under the steer of the EDIC, when established, the ECCC, together with NCCs, the Commission, the ECCO project, and market players . For the cyber defence workforce, ENISA will take into due account the work done by the ESDC. Similarly, in the area of fighting cybercrime, ENISA will factor in the activities carried out by EU Agency for Law Enforcement Training (CEPOL) and Europol in establishing an Operational Training Needs Analysis  on cyberattacks.   そのため、ENISAはECSFを見直し、高度なツール(人工知能、ビッグデータ、データマイニングなど)を通じて、サイバーセキュリティ人材における進化するスキルニーズとギャップを特定する予定である。この目的のために、ENISAは、EDIC、ECCC、NCCs、欧州委員会、ECCOプロジェクト、市場関係者とともに、その指揮の下で活動することになる。サイバー防衛の労働力については、ENISAはESDCの活動を十分に考慮することになる。同様に、サイバー犯罪との闘いの分野では、ENISAは、EU法執行訓練機関(CEPOL)と欧州刑事警察機構がサイバー攻撃に関する業務訓練ニーズ分析を確立するために実施した活動を考慮する予定である。 
The ECSF will be regularly complemented and reviewed under the Academy throughout a two-yearly cycle. In addition, the Commission and the European External Action Service will contribute to defining specific profiles and associated skills for sectors as needed, with the support of EU agencies and bodies, such as the ESDC , Europol and CEPOL .  ECSFは、2年ごとのサイクルを通じて、アカデミーの下で定期的に補完され、見直されることになる。さらに、欧州委員会と欧州対外行動庁は、ESDC、欧州刑事警察機構、CEPOLなどのEU機関や団体の支援を受けて、必要に応じて、特定のプロファイルや関連スキルを定義することに貢献する。
Links will also be made between the ECSF and relevant instruments of EU employment policy . In particular the ECSF job profiles as well as related skills will be integrated into the ESCO classification. This will improve the classification of and linkages between occupations and skills in the field of cybersecurity, making it easier for individuals to upskill and reskill and supporting skills-based job matching and cross-border mobility.     また、ECSFとEUの雇用政策の関連諸制度との関連付けも行われる。特に、ECSFのジョブプロファイルと関連スキルは、ESCOの分類に統合される予定である。これにより、サイバーセキュリティ分野の職業とスキルの分類と関連性が改善され、個人のスキルアップとリスキルが容易になり、スキルベースのジョブマッチングと国境を越えた移動が支援される。   
4.2.Fostering cooperation to design cybersecurity education and training curricula  4.2.サイバーセキュリティの教育・訓練カリキュラムを設計するための協力の促進 
Once the EDIC is set up, the Academy should receive support from Member States to become the reference place in Europe for designing and delivering cybersecurity trainings addressing the most in-demand skills and provide on-the-job trainings and traineeships opportunities for start-ups and SMEs and for public administrations in innovative companies in cybersecurity and cybersecurity competence centres. The EDIC should work with all relevant stakeholders, including industry, to design such trainings, and build on projects such as CyberSecPro  funded by the Digital Europe Programme, which brings together 17 higher education institutions and 13 security companies from 16 Member States in order to become the best practice for all cybersecurity training programmes.   EDICが設立されたら、アカデミーは加盟国の支援を受け、最も需要の高いスキルに対応したサイバーセキュリティ研修を設計・提供するための欧州における参照場所となり、サイバーセキュリティやサイバーセキュリティ能力センターの革新的企業における新興企業や中小企業、行政に対して実地訓練や研修の機会を提供すべきである。EDICは、産業界を含むすべての関連する利害関係者と協力してこのような研修を設計し、デジタル・ヨーロッパ・プログラムの資金提供を受けたCyberSecProのようなプロジェクトを基礎として、すべてのサイバーセキュリティ研修プログラムのベストプラクティスとなるよう、16加盟国の17高等教育機関と13セキュリティ企業を結集させることが望ましい。 
The Academy will work with all relevant stakeholders to attract the young generations to enter cybersecurity careers. In line with the proposal for a Council recommendation on improving the provision of digital skills in education and training, Member States should set up and reinforce measures to recruit and train specialised teachers and trainers and facilitate acquiring cybersecurity skills, including through apprenticeship placements. Integrating cybersecurity in education and training programmes, while ensuring their accessibility, developing the apprenticeships and traineeships offer, fostering innovative approaches including, for example, serious games and shared simulation platforms, organising immersion weeks in cybersecurity positions, explaining the non-technical role profiles should be encouraged. Participation in these cybersecurity learning opportunities of hard to reach groups, such as young people with disabilities, living in remote or rural areas and from other minority groups should also be supported.  アカデミーは、若い世代がサイバーセキュリティの仕事に就けるよう、すべての関係者と協力していく。教育・訓練におけるデジタルスキルの提供の改善に関する理事会勧告の提案に沿って、加盟国は、専門的な教員やトレーナーを採用・訓練し、見習い派遣を含め、サイバーセキュリティスキルの習得を促進する措置を設定・強化すべきである。教育訓練プログラムにサイバーセキュリティを統合し、そのアクセス性を確保し、実習生や研修生を募集し、例えばシリアスゲームや共有シミュレーションプラットフォームを含む革新的なアプローチを育成し、サイバーセキュリティ職への没頭週間を組織し、非技術的な役割プロファイルを説明し、奨励すべきである。障害を持つ若者、遠隔地や地方に住む若者、その他のマイノリティグループなど、手の届きにくいグループのサイバーセキュリティ学習の機会への参加も支援されるべきである。
Support will continue to be provided by the Commission for the development of microcredentials, vocational education and training programmes. In particular, joint bachelor and master degree programmes, joint courses or modules that can lead to micro-credentials  and blended intensive programmes  on all topics, including on cybersecurity, will continue to be financed under Erasmus+. The further rollout of the European Universities Initiative  and of Centres of Vocational Excellence  will also be supported to encourage greater cooperation between higher education and relevant vocational education and training institutions across Europe. EU funding programmes, including Erasmus+ and the Digital Europe Programme, will support this aim of deeper cooperation, as will EU funds for the development of individual learning accounts .   マイクロクレデンシャル、職業教育、訓練プログラムの開発に対して、欧州委員会は引き続き支援を提供する。特に、学士と修士の共同学位プログラム、マイクロクレデンシャルにつながる共同コースやモジュール、サイバーセキュリティを含むあらゆるテーマに関する混合集中プログラムは、引き続きエラスムス+の下で資金を提供される予定である。また、欧州全域の高等教育機関と関連する職業教育・訓練機構との協力関係を強化するため、欧州大学イニシアティブと職業卓越センター(Centres of Vocational Excellence)のさらなる展開も支援される予定である。エラスムス+やデジタル・ヨーロッパ・プログラムなどのEUの資金プログラムは、個人学習口座の開発のためのEU資金と同様に、より深い協力というこの目的を支援することになる。 
To facilitate cooperation at national level among academia and providers of cybersecurity skills trainings with private and public sector employers and foster synergies between the public and private sector, NCCs are invited to explore the setting up of Cyber Campuses in Member States. The Cyber Campuses would aim at providing poles of excellence at national level for the cybersecurity community and the Academy would help their networking and further coordination of their activities.  学術機関やサイバーセキュリティ技能訓練の提供者と民間および公的セクターの雇用主との国家レベルでの協力を促進し、官民間の相乗効果を促進するために、NCCは加盟国におけるサイバーキャンパスの設立を検討するよう求められている。サイバーキャンパスは、サイバーセキュリティコミュニティに国レベルの卓越した拠点を提供することを目的とし、アカデミーは、そのネットワーク化と活動のさらなる調整を支援する。
ENISA will also enhance its cybersecurity training offer aligning its courses catalogue  to the ECSF profiles and elaborating training modules per profile, which may enhance Member States training offers. ENISA will also expand its ‘train the trainer’ programme , targeting the professional needs of EUIBAs, and Member States’ public authorities and public and private critical operators in the scope of the NIS2 Directive.   ENISAは、ECSFのプロファイルに沿ったコースカタログを作成し、プロファイルごとにトレーニングモジュールを作成することで、サイバーセキュリティトレーニングの提供も強化する。ENISAはまた、EUIBA、加盟国の公的機関、NIS2指令の範囲にある公的・私的重要事業者の専門的ニーズを対象とした「トレーナー養成」プログラムも拡大する予定である。 
In addition, other EU agencies and bodies will strengthen their cybersecurity training offer. For example, implementing the EU policy on cyber defence, the ESDC will develop a new set of cybersecurity courses and will align some of its current courses with the ECSF. These courses will lead to certification of learning outcomes . The ESDC, in collaboration with the Commission, will explore the possibility of integrating certificates into the EUeID Wallet. The ESDC will further explore possible assessment of skills mechanisms, against which the certificates will be delivered. Similarly, in the area of fighting cybercrime, close connections with the CEPOL Cybercrime Academy  will be sought to foster synergies and complementarities in the design and implementation of training curricula.  さらに、他のEU機関や団体も、サイバーセキュリティに関するトレーニングの提供を強化する。例えば、サイバー防衛に関するEU政策を実施するESDCは、新しいサイバーセキュリティ・コースを開発し、現在のコースの一部をECSFと整合させる予定である。これらのコースは、学習成果の認証につながるものである。ESDCは、欧州委員会と協力して、EUeIDウォレットに証明書を統合する可能性を検討する予定である。ESDCはさらに、証明書が交付される際のスキル評価メカニズムの可能性を検討する予定である。同様に、サイバー犯罪対策の分野では、研修カリキュラムの設計と実施における相乗効果と補完性を促進するために、CEPOLサイバー犯罪アカデミーとの緊密な連携を模索することになる。
4.3.Creating synergies and providing visibility to cybersecurity trainings and certification across Member States  4.3.加盟国間での相乗効果の創出とサイバーセキュリティ研修・認証の可視化 
The Academy should address the issue of visibility and synergies of training and certification. This would benefit the civilian, defence, law enforcement and diplomatic cyber communities, as all sectors require in many cases the same expertise, based on similar curricula and learning outcomes.    アカデミーは、訓練と認証の可視化と相乗効果の問題に取り組むべきである。これは、民間、防衛、法執行、外交の各サイバーコミュニティにとって有益である。すべてのセクターが、多くの場合、同様のカリキュラムと学習成果に基づいて、同じ専門知識を必要としているからである。  
The Academy would provide a single point of entry for those interested in a cybersecurity career. In the short term this will be done by enhancing the Commission’s Digital Skills and Jobs Platform with the support of the ECCO project. A specific section to cybersecurity careers, will link with existing tools, from higher education programmes to training opportunities, including courses leading to micro-credentials and vocational education and training programmes, to job offers. This will be achieved by referring to or integrating into the platform ongoing work and initiatives, such as the ones of ENISA, who in collaboration with academia has set up a mapping of education institutions providing cybersecurity programmes. This will be further enhanced with the support of NCCs. In addition, two repositories of existing trainings from public and private sectors and of cybersecurity certifications will be developed and consolidated by ENISA with the support of NCCs, the Commission and the ECCO project, and in collaboration with entities delivering certifications and drawing also on other relevant initiatives . These will also be integrated into the single point of entry of the Digital Skills and Jobs Platform. This work will also benefit NCCs whose task is notably to promote and disseminate cybersecurity educational programmes71.   このアカデミーは、サイバーセキュリティのキャリアに関心のある人たちに、単一の入口となる。短期的には、ECCOプロジェクトの支援を受けて、欧州委員会の「デジタルスキルと雇用のプラットフォーム」を強化することによって、これを実現することになる。サイバーセキュリティのキャリアに特化したセクションは、高等教育プログラムから、マイクロクレデンシャルにつながるコースや職業教育訓練プログラムを含む訓練機会、求人情報まで、既存のツールにリンクさせる予定である。これは、学術界と協力してサイバーセキュリティプログラムを提供する教育機関のマッピングを作成したENISAのような、現在進行中の作業やイニシアチブを参照したり、プラットフォームに統合することで達成される予定である。これは、NCCの支援によりさらに強化される予定である。さらに、官民の既存の研修とサイバーセキュリティ認証の2つのリポジトリが、NCCs、欧州委員会、ECCOプロジェクトの支援を受けて、認証を提供する団体と協力し、他の関連イニシアチブも活用して、ENISAによって開発・統合される予定である。また、これらは、「デジタルスキルと雇用のプラットフォーム」のシングルポイントに統合される予定である。この作業は、特にサイバーセキュリティ教育プログラムを推進し普及させることを任務とする NCC にも有益である71。 
It is also necessary to provide assurances to professionals that the trainings they undertake are of the required quality. In this regard, ENISA will develop a pilot project, exploring the setup of a European attestation scheme for cybersecurity skills.  また、専門家が受ける研修が必要な品質であるという保証を提供することも必要である。この点に関して、ENISA は、サイバーセキュリティスキルに関する欧州の認証スキームの設定を検討するパイロットプロジェクトを開発する。
In addition, identifying skills and trainings, and associating them with a job profile is essential, but it is also important to ensure that cybersecurity services are provided with the requisite competence, expertise and experience This is particularly the case for managed security services providers in areas such as incident response, penetration testing, security audits and consultancy. The NIS2 Directive and the Cyber Solidarity Act proposal set out specific tasks for such managed security services providers. Therefore, the Commission is also proposing a targeted amendment to the Cybersecurity Act  to enable certification schemes of managed security services at EU level. Such certification schemes should aim at, inter alia, ensuring that these services are provided by staff with a very high level of technical knowledge and competence in the relevant areas.   さらに、スキルとトレーニングを特定し、ジョブプロファイルと関連付けることは不可欠であるが、サイバーセキュリティサービスが必要な能力、専門知識、経験をもって提供されることを保証することも重要である。これは特に、インシデント対応、侵入テスト、セキュリティ監査、コンサルティングなどの分野における管理セキュリティサービスプロバイダーにとって重要なケースである。NIS2指令とサイバー連帯法の提案は、このようなマネージド・セキュリティサービス・プロバイダーに対する特定の任務を定めている。したがって、欧州委員会は、EUレベルでのマネージド・セキュリティサービスの認証制度を可能にするため、サイバーセキュリティ法の的を絞った改正案も提案している。このような認証制度は、特に、関連分野における非常に高いレベルの技術的知識と能力を持つスタッフによって、これらのサービスが提供されることを保証することを目的とすべきである。 
Quality assurance and recognition mechanisms for micro-credentials  facilitate the transparency, comparability and portability of learning outcomes. In line with the Council recommendation on a European approach to micro-credentials , Member States are encouraged to include cybersecurity micro-credentials in their national qualification frameworks. That would allow them to relate the cybersecurity micro-credentials to the European Qualifications Framework . The European Digital Credentials for Learning infrastructure is available to issue digitally signed cybersecurity qualifications and microcredentials of individuals. These contain rich data including on cybersecurity learning outcomes and can be stored in the future EUeID digital wallet .    マイクロクレデンシャルの品質保証と承認の仕組みは、学習成果の透明性、比較可能性、移植可能性を促進する。マイクロクレデンシャルに対する欧州のアプローチに関する理事会勧告に沿って、加盟国はサイバーセキュリティのマイクロクレデンシャルを国家資格の枠組みに含めることが推奨される。これにより、加盟国はサイバーセキュリティのマイクロクレデンシャルを欧州資格枠組に関連付けることができる。欧州の学習用デジタル資格インフラは、個人のデジタル署名されたサイバーセキュリティ資格とマイクロクレデンシャルを発行するために利用可能である。これらは、サイバーセキュリティの学習成果を含む豊富なデータを含み、将来のEUeIDデジタルウォレットに保存することができる。  
Actions under the Academy   アカデミーの活動  
Member States and industry  加盟国・産業界 
• Ensure the support for the development and recognition of cybersecurity learning microcredentials, in line with the Council recommendation on a European approach to microcredentials.  ・マイクロクレデンシャルに対する欧州のアプローチに関する理事会勧告に沿って,サイバーセキュリティ学習用マイクロクレデンシャルの開発と承認に対する支援を確保する。
• Include  cybersecurity  qualifications,  including  micro-credentials  in  National Qualifications Frameworks.  ・マイクロクレデンシャルを含むサイバーセキュリティの資格を国家資格枠組み(National Qualifications Frameworks)に含める。
• Provide on-the-job learning opportunities through apprenticeships for people going through cybersecurity skills development initiatives.  ・サイバーセキュリティ技能開発イニシアティブを受ける人々に対して,実習を通じて実地学習の機会を提供する。
Commission  委員会 
• In the short term, create a single point of entry for cybersecurity programmes, existing trainings, and for cybersecurity certifications via the Digital Skills and Jobs Platform by end of 2023.  ・短期的には、2023 年末までに、サイバーセキュリティプログラム、既存のトレーニング、および Digital Skills and Jobs Platform を介したサイバーセキュリティ認証のための単一エントリポイントを作成する。
• Propose an amendment to the Cybersecurity Act to allow the certification of managed security providers on 18 April 2023.  ・2023年4月18日にマネージドセキュリティプロバイダーの認証を可能にするサイバーセキュリティ法の改正を提案する。
EU bodies and agencies  EUの団体、機関/省庁 
•  Establish the ECSF as a common approach on cybersecurity role profiles and associated skills by end 2023.  ・2023年末までに、サイバーセキュリティの役割プロファイルと関連スキルに関する共通のアプローチとしてECSFを確立する。
•  ENISA to initiate the development of a pilot project setting up a European attestation scheme for cybersecurity skills in Q2 2023.  ・ENISAは、2023年第2四半期に、サイバーセキュリティスキルの欧州認証スキームを設定するパイロットプロジェクトの開発を開始する。
•  ENISA to review its courses catalogue and open its ‘train the trainer’ programme to public and private critical operators by end 2023.   ・ENISAは、2023年末までに、コースカタログを見直し、「トレーナー養成」プログラムを官民の重要事業者に開放する。 
•  Finish the alignment of ESDC curricula with the ECSF by mid-2023.   ・2023年半ばまでに、ESDCのカリキュラムとECSFの整合化を完了させる。 
5. Stakeholder involvement: committing to close the cybersecurity skills gap    5. ステークホルダーの参加:サイバーセキュリティのスキルギャップを解消するためのコミットメント   
Under the Academy, a coordinated approach to stakeholder involvement will be developed to address the cybersecurity skills gap. The aim will be to maximise the visibility and impact of the various stakeholders’ commitments aiming at narrowing the cybersecurity skills gap.   本アカデミーの下で、サイバーセキュリティのスキルギャップに対処するために、利害関係者の関与のための協調的なアプローチが開発される予定である。その目的は、サイバーセキュリティ技能格差の縮小を目指す様々な利害関係者のコミットメントの可視性と影響力を最大化することであろう。 
The Commission calls on stakeholders to make concrete commitments through pledges to upskill and reskill workers through dedicated actions, building as much as possible on the identified cybersecurity skills gap. Such stakeholder cybersecurity pledges should be reported on the Digital Skills and Jobs Platform, similarly to other digital pledges already visible on the platform. The Commission further encourages stakeholders making a cybersecurity pledge on the Platform to join the Digital Large Scale Partnership under the Pact for Skills . Cybersecurity commitments made under the Digital Large Scale Partnership are encouraged to be submitted on the Digital Skills and Jobs Platform. Likewise, commitments made under the Digital Skills and Jobs Platform are encouraged to be reported under the Pact for Skills’ Digital Large Scale Partnership.   欧州委員会は、特定されたサイバーセキュリティ技能格差に可能な限り基づいて、献身的な行動を通じて労働者のスキルアップと再スキルを誓約し、具体的な約束をするよう関係者に呼びかける。このような関係者のサイバーセキュリティに関する誓約は、「デジタルスキル&ジョブズ・プラットフォーム」において、同プラットフォームで既に公開されている他のデジタル誓約と同様に報告されるべきである。欧州委員会はさらに、プラットフォーム上でサイバーセキュリティの誓約を行う関係者が、「スキルのための協定」の下でデジタル大規模パートナーシップに参加することを奨励する。デジタル大規模パートナーシップの下で行われるサイバーセキュリティの誓約は、デジタルスキル&ジョブズ・プラットフォームで提出されることが推奨される。同様に、「デジタル技能・雇用プラットフォーム」の下で行われたコミットメントは、「技能のための条約」の「デジタル大規模パートナーシップ」の下で報告されることが奨励される。 
The Commission further calls upon Member States to pursue efforts in implementing the Women in Digital Declaration  to encourage women to play an active and prominent role in the digital technology sector and achieve gender convergence in cybersecurity positions. The Commission also encourages Member States to develop synergies with their European Social Fund+ (ESF+) programmes to further support the objective of gender equality in labour participation , for example through establishing mentorship programmes for girls and women. These can facilitate the building of role models to attract girls to cybersecurity professions, combatting at the same time gender-related stereotypes. It also encourages the upskill and reskill of women and fosters the development of a community, which can support women in their entry or promotion on the cybersecurity job market.   欧州委員会はさらに、加盟国に対し、デジタル技術分野において女性が積極的かつ顕著な役割を果たすことを奨励し、サイバーセキュリティの職種におけるジェンダー収束を達成するために、「デジタルにおける女性宣言」の実施に向けた取り組みを進めるよう求める。また、欧州委員会は、加盟国に対し、労働参加における男女平等の目的をさらに支援するために、欧州社会基金+(ESF+)プログラムとの相乗効果を高めることを奨励する。例えば、少女と女性のためのメンターシップ・プログラムを確立することを通して。これらは、サイバーセキュリティの職業に女子を引きつけるためのロールモデルの構築を促進し、同時にジェンダーに関連する固定観念と闘うことができる。また、女性のスキルアップと再スキルを奨励し、サイバーセキュリティの仕事市場への参入や昇進において女性を支援できるコミュニティの発展を促進する。 
Member States should adopt, as part of their national cybersecurity strategies, specific measures in view of mitigating the cybersecurity skills shortage , identifying and better channelling efforts to close the skills gaps and ultimately ensuring a proper implementation of their obligations under the NIS2 Directive.  加盟国は、国家サイバーセキュリティ戦略の一環として、サイバーセキュリティのスキル不足を緩和し、スキルギャップを解消するための努力を特定し、より良い方向に導き、最終的にはNIS2指令に基づく義務の適切な実施を確保するという観点から、具体的な措置を採用すべきである。
Some Member States make use of synergies between civilian, defence and law enforcement  initiatives. For example, growing a workforce using their national compulsory military service, or making use of cyber reservists, who are military-trained citizens filling in cybersecurity positions in the armed forces , allow the population, and especially young adults, to increase their cybersecurity and cyber defence skills.  The same applies in the area of fighting cybercrime as many similarities exist between general cybersecurity efforts and law enforcement activities in the response to cybersecurity incidents-.  The Commission encourages discussions amongst Member States on such initiatives and invites them to assess how a skilled workforce can best serve both the defence and civilian cybersecurity communities.   加盟国の中には、民間、防衛、法執行の各イニシアティブの相乗効果を利用しているところもある。例えば、義務教育の兵役を利用して労働力を育成したり、軍隊でサイバーセキュリティの職務に就く軍事訓練を受けた国民であるサイバー予備軍を活用することで、国民、特に若年層がサイバーセキュリティやサイバー防御のスキルを向上させることができます。 一般的なサイバーセキュリティの取り組みとサイバーセキュリティ事件への対応における法執行活動には多くの類似点が存在するため、サイバー犯罪との戦いの分野でも同じことが言える。 欧州委員会は、このような取り組みについて加盟国で議論することを奨励し、熟練した労働力が防衛と民間の両方のサイバーセキュリティ・コミュニティにどのように貢献できるかを評価するよう加盟国に呼びかける。 
The Commission will reflect upon proposals on how to fill the current and anticipated gaps identified in its review of EUIBAs needs. It will in particular encourage staff to benefit from the forthcoming EU-United States (US) cybersecurity fellowship established under the EUUS dialogue.  欧州委員会は、EUIBAのニーズの見直しで明らかになった現在および将来のギャップを埋める方法について、提案書を検討する。特に、EUUSの対話の下で設立される予定のEU・米国のサイバーセキュリティ・フェローシップの恩恵を受けるよう、職員に奨励する予定である。
Actions under the Academy   アカデミーの活動  
The industry   業界  
• Propose specific cybersecurity pledges on the Digital Skills and Jobs Platform as of 18 April 2023.  ・2023年4月18日時点の「デジタルスキル・雇用プラットフォーム」での具体的なサイバーセキュリティの誓約を提案する。
Member States  加盟国 
•  Include in the national cybersecurity strategies specific measures to address the cybersecurity skills gap.  ・国のサイバーセキュリティ戦略に,サイバーセキュリティのスキルギャップに対処するための具体的な方策を盛り込む。
Member States and industry  加盟国および産業界 
• Implement the Women in Digital Declaration and achieve gender convergence in cybersecurity positions by 2030.  ・Women in Digital Declarationを実施し、2030年までにサイバーセキュリティの役職におけるジェンダーコンバージェンスを達成する。
6. Funding: build synergies to maximise the impact of spending for developing cybersecurity skills  6. 資金調達:サイバーセキュリティスキル育成のための支出の効果を最大化するための相乗効果を構築する。
Under the Academy, the impact of investments into cybersecurity skills will be maximised by providing a common entry point, facilitating a better channelling of the funds towards the needs of the market and mainstreaming the use of funding, facilitating synergies between different instruments while avoiding duplication of efforts .  本アカデミーの下で、サイバーセキュリティ技能への投資の効果は、共通のエントリーポイントを提供し、資金を市場のニーズに合わせてより適切に配分し、資金活用の主流化を促進し、重複を避けながら異なる手段間の相乗効果を促進することによって最大化されるであろう。
6.1. Matching the funds with the needs  6.1. 資金とニーズのマッチング 
Under the Academy, the ECCC, with the support of the Commission, the ECCO project and NCCs, will gather information on how EU funds are used to finance cybersecurity skills, and will assess how EU funds are supporting the narrowing of the cybersecurity skills gap.  本アカデミーの下で、ECCCは欧州委員会、ECCOプロジェクト、NCCの支援を受け、サイバーセキュリティ技能の資金調達にEU資金がどのように使われているかについての情報を集め、EU資金がサイバーセキュリティ技能格差の縮小をどのように支えているかを評価する。
Taking into consideration this aggregated information, the ECCC will seek to ensure better channelling of EU funds towards the identified needs. It will fund actions that would address the most pressing gaps in the cybersecurity workforce, including those related to the implementation of cybersecurity policy needs.   これらの集約された情報を考慮し、ECCCは、特定されたニーズに対するEU資金のより良いチャネリングを確保することを目指す。ECCCは、サイバーセキュリティ政策ニーズの実施に関連するものを含め、サイバーセキュリティ人材における最も差し迫ったギャップに対処する行動に資金を提供する予定である。 
6.2. Providing visibility to available funds and partnership initiatives for cybersecurity skills  6.2. サイバーセキュリティ技能のために利用可能な資金とパートナーシップのイニシアチブの可視化
In the short term, the Digital Skills and Jobs Platform will become the single point of entry for stakeholders where all information on funding opportunities for cybersecurity skills will be available.   短期的には、デジタルスキル・雇用プラットフォームが、サイバーセキュリティスキルのための資金調達機会に関するすべての情報を入手できる、関係者のための単一の入口となる。 
The EU is investing in people and their skills and using partnerships notably with the industry to mobilise action on up- and reskilling through several instruments identified under the European Skills Agenda , in particular the Pact for Skills  and the Digital Education Action Plan . The Digital Europe Programme funds cybersecurity skills opportunities, notably through multi-country project initiatives, in clear complementarity with the support offered by Horizon Europe for research and innovative technological solutions in cybersecurity. The European Defence Fund  finances research and technology development to conduct efficient cyber operations, including trainings and exercises . Erasmus+ will continue to support such initiatives including through blended intensive programmes and cooperation projects.  EUは、「欧州技能アジェンダ」、特に「技能協定」と「デジタル教育行動計画」の下で特定されたいくつかの手段を通じて、人材とその技能に投資し、特に産業界とのパートナーシップを利用して、技能の向上と再教育に関する行動を動員している。デジタル・ヨーロッパ・プログラムは、サイバーセキュリティの研究と革新的な技術的ソリューションに対するホライゾン・ヨーロッパの支援と明確に補完する形で、特に複数国のプロジェクト・イニシアチブを通じて、サイバーセキュリティのスキルアップの機会を提供する。欧州防衛基金は、訓練や演習を含む効率的なサイバー作戦を実施するための研究および技術開発に資金を提供している。エラスムス+は、混合型集中プログラムや協力プロジェクトを通じて、このような取り組みを引き続き支援していく。
Member States are encouraged to mobilise the EU funds they directly manage to support cybersecurity skills and jobs. The cohesion policy funds, such as the European Regional Development Fund (ERDF) and the ESF+ carry important potential for synergies in this regard .The scope of actions under the Recovery and Resilience Facility (RRF)  and InvestEU include further key complementarities in delivering the objectives of the Academy.  加盟国は、サイバーセキュリティの技能と雇用を支援するために、自らが直接管理するEU資金を動員することが奨励される。欧州地域開発基金(ERDF)やESF+などの結束政策基金は、この点で重要な相乗効果を発揮する可能性がある。復興・強靭化ファシリティ(RRF)やInvestEUの行動範囲には、アカデミーの目的を達成する上でさらに重要な補完性がある。
Actions under the Academy  アカデミーの活動 
European Cybersecurity Competence Centre and ENISA  欧州サイバーセキュリティ・コンピテンスセンター、ENISA 
• Map existing EU funding for cybersecurity skills against market needs, assess effectiveness and identify funding priorities by end of 2024.  ・2024年末までに、サイバーセキュリティ技能に対するEUの既存の資金を市場ニーズと照らし合わせ、有効性を評価し、資金の優先順位を特定する。
Commission  委員会 
• Create a single point of entry for funding opportunities for cybersecurity skills on the Digital Skills and Jobs Platform by end of 2023.  ・2023年末までに、Digital Skills and Jobs Platformにサイバーセキュリティスキルのための資金調達機会のシングルポイントを作る。
7. Measuring progress: built-in accountability  7. 進捗の測定:説明責任の組み込み 
Under the Academy a methodology will be developed that will allow measuring the progress to close the cybersecurity skills gap.   本アカデミーでは、サイバーセキュリティのスキルギャップを解消するための進捗状況を測定することができる手法を開発する予定である。 
7.1.Defining cybersecurity indicators to monitor the evolution of the cybersecurity labour market  7.1.サイバーセキュリティの労働市場の進化を監視するためのサイバーセキュリティ指標を定義する。
The Digital Economy and Society Index (DESI) summarises indicators on Europe’s digital performance and tracks the progress of EU Member States. Under the Cybersecurity Skills Academy, ENISA, in cooperation with the Commission and the NIS Cooperation Group  will develop indicators, including related to gender, to track the progress made in EU Member States to increase the number of cybersecurity professionals, consulting also relevant market players and the NCCs. ENISA will draw on the DESI methodology  and will ensure that the indicators are in line with Europe’s digital targets on ICT professionals and on achieving gender-convergence in ICT. The Commission will then work towards integrating such indicators into the DESI, thereby allowing for the yearly tracking of the state of the cybersecurity skills and job market.  デジタル経済社会指数(DESI)は、欧州のデジタルパフォーマンスに関する指標をまとめ、EU加盟国の進捗を追跡するものである。サイバーセキュリティ技能アカデミーの下、ENISAは欧州委員会およびNIS協力グループと協力して、関連する市場関係者やNCCにも相談しながら、サイバーセキュリティ専門家の数を増やすためのEU加盟国の進捗状況を追跡するための、性別に関するものを含む指標を開発する予定である。ENISAはDESIの手法を活用し、指標がICT専門家に関する欧州のデジタル目標およびICTにおけるジェンダーコンバージェンスの達成に沿ったものであることを確認する予定である。その後、欧州委員会は、このような指標をDESIに統合することで、サイバーセキュリティのスキルと雇用市場の状況を毎年追跡できるようにすることを目指す。
7.2.Collecting data and reporting   7.2.データの収集と報告  
ENISA will collect the data on the indicators with the support of the ECCO project and of the NCCs. Based on the data collected, ENISA will produce a yearly report that will contribute to the state of the Digital Decade Report , which, together with DESI, will further feed into the European Semester country-specific analysis and recommendations . Moreover, the indicators on cybersecurity skills will contribute to ENISA’s two-yearly report on the state of cybersecurity in the EU foreseen in the NIS2 Directive, covering cybersecurity capabilities, awareness and hygiene across the EU.   ENISAは、ECCOプロジェクトおよびNCCの支援を受けて、指標に関するデータを収集する。収集されたデータに基づき、ENISAは「デジタル10年の状況報告書」に貢献する年次報告書を作成し、DESIとともに欧州セメスターの国別分析・勧告にさらに反映させる予定である。さらに、サイバーセキュリティのスキルに関する指標は、NIS2指令で規定されているEUのサイバーセキュリティの状況に関するENISAの2年ごとの報告書に貢献し、EU全体のサイバーセキュリティの能力、意識、衛生をカバーすることになる。 
7.3.Preparing key performance indicators (KPIs) for cybersecurity  7.3.サイバーセキュリティに関する重要業績評価指標(KPI)の作成 
With the view of closing the European cybersecurity talent gap, ENISA, in close cooperation with the Commission and the NCCs will propose KPIs to the Commission, drawing on the methodology from the Digital Decade Policy Programme 2030, as well as on experience of the industry. ENISA will take into due account the KPIs used by Member States to assess their national cybersecurity strategies .  欧州のサイバーセキュリティ人材の格差を解消する観点から、ENISAは欧州委員会とNCCとの緊密な協力の下、「デジタル10年政策プログラム2030」の手法や業界の経験を活用し、欧州委員会にKPIを提案する予定である。ENISAは、加盟国が自国のサイバーセキュリティ戦略を評価するために使用するKPIを十分に考慮する予定である。
Actions under the Academy   アカデミーでの活動  
ENISA  ENISA
• Prepare indicators and KPIs on cybersecurity skills by the end of 2023.  ・2023年末までにサイバーセキュリティのスキルに関する指標とKPIを準備する。
• Collect data on indicators and report on them, with a first collection by 2025.  ・2025年までに最初の収集を行い、指標に関するデータを収集し、報告する。
Commission  委員会 
• Work towards the integration of indicators on cybersecurity into DESI and into the state of the Digital Decade Report.  ・サイバーセキュリティに関する指標をDESIと「デジタルの10年」報告書に統合する方向で取り組むこと。
 8.  Conclusion    8.  まとめ  
This Communication sets the foundations for a revamp of the EU’s approach to boosting cybersecurity skills for professionals in the EU. The aim is to reduce the cybersecurity skills gap and to equip the EU with the necessary workforce to allow it to respond to the constantly evolving threat landscape, implement EU policies that are aimed at shielding the EU from cyberattacks, but also to boost business opportunities and competitiveness. A skilled cybersecurity workforce can benefit the civilian, defence, diplomatic and law enforcement communities, facilitating synergies amongst them.  このコミュニケーションは、EU内の専門家のサイバーセキュリティスキルを高めるためのEUのアプローチを刷新するための基礎を打ち立てるものである。その目的は、サイバーセキュリティのスキルギャップを減らし、EUが常に進化する脅威の状況に対応し、サイバー攻撃からEUを守ることを目的としたEU政策を実施し、さらにビジネスチャンスと競争力を高めるために必要な労働力を備えることにある。熟練したサイバーセキュリティ人材は、民間、防衛、外交、法執行の各コミュニティに恩恵をもたらし、これらのコミュニティ間の相乗効果を促進することができる。
The Commission calls on Member States and all stakeholders to deliver on the ambition of the Cybersecurity Skills Academy.   欧州委員会は、加盟国およびすべての関係者に対し、サイバーセキュリティ・スキルアカデミーの野望を実現することを求めるものである。 

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.22 欧州委員会 EUサイバーセキュリティ・スキルアカデミー (2023.04.18)

・2023.04.21 欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

・2023.04.21 欧州委員会 EUサイバー連帯法の提案 (2023.04.18)

 

 

 

 

 

| | Comments (0)

2023.04.21

欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

こんにちは、丸山満彦です。

欧州委員会が、「マネージド・セキュリティサービス」に対する欧州の認証スキームを将来的に採用することを可能にするため、サイバーセキュリティ法の一部改正を提案していますね。。。EUではすでに、ICT製品、ICTサービス、ICTプロセスの認証がありますが、それにマネージド・セキュリティサービスを加えるという感じですね。。。

 

 

⚫︎ European Commission

・2023.04.18 Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience

 

Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience

サイバー:効果的な作戦協力、連帯、レジリエンスのためのEUの能力強化に向けて
... ...
Certification Schemes for Managed Security Services マネージド・セキュリティサービスの認証スキーム
The Commission has also proposed today a targeted amendment to the Cybersecurity Act, to enable the future adoption of European certification schemes for ‘managed security services'. These are highly critical and sensitive services provided by cybersecurity service providers, such as incident response, penetration testing, security audits and consultancy, to assist companies and other organisations prevent, detect, respond or recover from cyber incidents. また、欧州委員会は本日、「マネージド・セキュリティサービス」に対する欧州の認証スキームを将来的に採用することを可能にするため、サイバーセキュリティ法の一部改正を提案した。これらのサービスは、企業やその他の組織がサイバーインシデントを予防、検出、対応、回復するのを支援するために、インシデント対応、侵入テスト、セキュリティ監査、コンサルティングなど、サイバーセキュリティサービスプロバイダーが提供する非常に重要で機密性の高いサービスである。
Certification is key and can play an important role in the context of the EU Cybersecurity Reserve and the Directive on measures for a high common level of cybersecurity across the Union (NIS 2 Directive), facilitating also the cross-border provision of these services. 認証は重要であり、EUサイバーセキュリティ・リザーブおよびEU全域におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(NIS 2指令)の文脈において重要な役割を果たし、これらのサービスの国境を越えた提供をも促進することができる。
...  

 

・2023.04.18 Proposed Regulation on ‘managed security services’ amendment.

・[PDF

20230421-51859_20230421084201 

 

Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) 2019/881 as regards managed security services マネージド・セキュリティサービスに関して規則(EU)2019/881を改正する欧州議会および欧州評議会の規則(REGULATION OF THE EUROPEAN PARLIAMENT AND THE COUNCIL)の提案
EXPLANATORY MEMORANDUM  説明
1.  CONTEXT OF THE PROPOSAL  1.  提案の背景 
•  Reasons for and objectives of the proposal  ・提案の理由と目的
This explanatory memorandum accompanies the proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) 2019/881  as regards managed security services.  本説明書は、マネージド・セキュリティサービスに関する規則(EU)2019/881を改正する欧州議会及び理事会規則の提案に伴うものである。
The proposed targeted amendment aims to enable, by means of Commission implementing acts, the adoption of European cybersecurity certification schemes for ‘managed security services’, in addition to information and technology (ICT) products, ICT services and ICT processes, which are already covered under the Cybersecurity Act. Managed security services play an increasingly important role in the prevention and mitigation of cybersecurity incidents.   この一部改正案は、サイバーセキュリティ法の下で既に対象となっている情報技術(ICT)製品、ICTサービス、ICTプロセスに加え、「マネージド・セキュリティサービス」についても欧州のサイバーセキュリティ認証スキームの採用を、欧州委員会の実施行為によって可能にすることを目的としている。マネージド・セキュリティサービスは、サイバーセキュリティインシデントの予防と軽減において、ますます重要な役割を果たす。 
In its conclusions of 23 May 2022  on the development of the European Union’s cyber posture, the Council called upon the Union and its Member States to reinforce efforts to raise the overall level of cybersecurity, for example by facilitating the emergence of trusted cybersecurity service providers, and stressed that encouraging the development of such providers should be a priority for the industrial policy of the Union in the cybersecurity field. It also invited the Commission to propose options to encourage the emergence of a trusted cybersecurity service industry. The certification of managed security services is an effective means of building trust in the quality of those services and thereby facilitating the emergence of a trusted European cybersecurity service industry.  欧州連合のサイバー態勢の整備に関する2022年5月23日の結論において、理事会は欧州連合とその加盟国に対し、信頼できるサイバーセキュリティサービスプロバイダーの出現を促進するなどして、サイバーセキュリティ全体のレベルを高める努力を強化するよう求め、そのようなプロバイダーの開発を促進することがサイバーセキュリティ分野における欧州連合の産業政策の優先事項とすべきことを強調した。また、欧州委員会に対し、信頼できるサイバーセキュリティサービス産業の出現を促進するための選択肢を提案するよう求めた。マネージド・セキュリティサービスの認証は、そのサービスの品質に対する信頼を築き、それによって信頼できる欧州のサイバーセキュリティ・サービス産業の出現を促進する効果的な手段である。
The Joint Communication ‘EU Policy on Cyber Defence’ adopted by the Commission and the High Representative on 10 November 2022 , announced that the Commission would explore the development of EU-level cybersecurity certification schemes for cybersecurity industry and private companies. Managed security services providers will also play an important role in the EU-level cybersecurity reserve, the gradual set-up of which is supported by the Cyber Solidarity Act, proposed in parallel to this Regulation. The EU-level cybersecurity reserve is to be used to support response and immediate recovery actions in the event of significant and large-scale cybersecurity incidents. The relevant cybersecurity services provided by ‘trusted providers’ referred to in the Cyber Solidarity Act, correspond to ‘managed security services’ in this proposal.  2022年11月10日に欧州委員会と上級代表が採択した共同コミュニケーション「サイバー防衛に関するEU政策」では、欧州委員会がサイバーセキュリティ業界と民間企業向けにEUレベルのサイバーセキュリティ認証制度の開発を検討すると発表している。マネージド・セキュリティサービス・プロバイダーは、本規則と並行して提案された「サイバー連帯法」によって段階的に設立が支援されるEUレベルのサイバーセキュリティ準備金においても、重要な役割を果たすことになる。EUレベルのサイバーセキュリティ準備金は、重大かつ大規模なサイバーセキュリティ事件が発生した場合の対応と即時復旧行動を支援するために使用される予定である。サイバー連帯法で言及されている「信頼できるプロバイダー」が提供する関連サイバーセキュリティサービスは、本提案における「マネージド・セキュリティサービス」に相当する。
Some Member States have already begun adopting certification schemes for managed security services. There is therefore a growing risk of fragmentation of the internal market for managed security services owing to inconsistencies in cybersecurity certification schemes across the Union. This proposal enables the creation of European cybersecurity certification schemes for those services to prevent such fragmentation.   一部の加盟国は、すでにマネージド・セキュリティサービスの認証制度の採用を開始している。そのため、サイバーセキュリティ認証スキームが欧州連合内で一貫していないことにより、マネージド・セキュリティサービスの国内市場が断片化するリスクが高まっている。本提案は、このような断片化を防ぐため、管理型セキュリティサービスのための欧州サイバーセキュリティ認証制度の創設を可能にする。 
•  Consistency with existing policy provisions in the policy area  ・政策分野での既存の政策規定との整合性
This proposal is consistent with the Cybersecurity Act, which it amends. It builds on the provisions of that Regulation and adapts them to also include managed security services. The proposed amendments are limited to what is strictly necessary and do not alter the characteristics or the functioning of the Cybersecurity Act.   本提案は、改正するサイバーセキュリティ法と一致している。同規則の規定を基礎とし、マネージド・セキュリティサービスも含めるよう適応させるものである。この改正案は、厳密に必要なものに限定されており、サイバーセキュリティ法の特性や機能を変更するものではない。 
This proposal is also consistent with Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) . The providers of managed security services are considered to be essential or important entities belonging to a sector of high criticality under Directive (EU) 2022/2555. Recital 86 of that Directive states that managed security service providers, in areas such as incident response, penetration testing, security audits and consultancy, play a particularly important role in assisting entities in their efforts to prevent, detect, respond to or recover from incidents. Managed security service providers have however also themselves been the target of cyberattacks and pose a particular risk because of their close integration in the operations of their customers. Essential and important entities within the meaning of Directive (EU) 2022/2555 should therefore exercise increased diligence in selecting a managed security service provider.   この提案は、EU全体でサイバーセキュリティの高い共通レベルのための措置に関する2022年12月14日の欧州議会および理事会の指令(EU)2022/2555、規則(EU)No 910/2014および指令(EU)2018/1972の修正、および指令(EU)2016/1148(NIS 2指令)の廃止とも一致する 。マネージド・セキュリティサービスのプロバイダーは、指令(EU)2022/2555に基づき、高い重要性を持つセクターに属する必須または重要な事業体とみなされる。同指令の説明86は、インシデントレスポンス、侵入テスト、セキュリティ監査、コンサルティングなどの分野におけるマネージド・セキュリティサービスプロバイダーは、インシデントの予防、検出、対応、回復に取り組む事業者を支援する上で特に重要な役割を果たすと述べている。しかし、マネージド・セキュリティサービス・プロバイダーは、顧客の業務と密接に連携しているため、それ自体がサイバー攻撃の標的となっており、特別なリスクをもたらしている。したがって、指令(EU)2022/2555の意味における本質的かつ重要な事業体は、マネージド・セキュリティサービスプロバイダーを選択する際に、より高い注意を払う必要がある。 
This proposal aims to improve the quality of managed security services and to increase their comparability. It thereby enables essential and important entities to exercise the increased diligence in selecting a managed security service provider as required under Directive (EU) 2022/2555. Moreover, the definition of ‘managed security services’ in this proposal is derived from and very similar to the definition of ‘managed security services providers’ in Directive (EU) 2022/2555. For these reasons, the proposal is highly complementary with the NIS 2 Directive.  本提案は、マネージド・セキュリティサービスの質を向上させ、その比較可能性を高めることを目的としている。これにより、指令(EU)2022/2555で要求されるような、マネージド・セキュリティサービスプロバイダーの選択において、必須および重要な事業者がより高い注意力を発揮できるようになる。さらに、本提案における「マネージド・セキュリティサービス」の定義は、指令(EU)2022/2555における「マネージド・セキュリティサービスプロバイダー」の定義に由来し、非常に類似している。これらの理由から、本提案はNIS 2指令と高い補完性を持っている。
Finally, this proposal is complementary with the proposed Cyber Solidarity Act. The proposed Cyber Solidarity Act lays down a process to select the providers to form an EU-level cybersecurity reserve, which should, inter alia, take into account whether those providers have obtained European or national cybersecurity certification. Future certification schemes for managed security services will thus play a significant role in the implementation of the Cyber Solidarity Act.  最後に、本提案はサイバー連帯法案と補完関係にある。提案されているサイバー連帯法は、EUレベルのサイバーセキュリティ予備軍を形成するプロバイダーを選定するプロセスを定めており、特に、これらのプロバイダーが欧州または国内のサイバーセキュリティ認証を取得しているかどうかを考慮する必要がある。したがって、マネージド・セキュリティサービスに関する今後の認証制度は、サイバー連帯法の実施において重要な役割を果たすことになる。
•  Consistency with other Union policies  ・他のEU政策との整合性
This proposal does not affect the Cybersecurity Act’s consistency with Regulation (EU) 2016/679 (the General Data Protection Regulation, ‘GDPR’)  and its provisions on establishing certification mechanisms and data protection seals and marks for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The Cybersecurity Act remains without prejudice to the certification of data processing operations, including when such operations are embedded in products and services, under the GDPR.  この提案は、サイバーセキュリティ法と規則(EU)2016/679(一般データ保護規則、「GDPR」)との整合性、および管理者と処理者による処理業務の本規則への準拠を示すことを目的とした認証メカニズムおよびデータ保護シール・マークの確立に関するその規定には影響を与えない。サイバーセキュリティ法は、GDPRに基づくデータ処理業務の認証(当該業務が製品およびサービスに組み込まれている場合を含む)に影響を与えないままである。
Furthermore, this proposal does not affect the Cybersecurity Act’s compatibility with Regulation (EC) No 765/2008 on accreditation and market surveillance requirements , in particular as regards the framework on national accreditation bodies and conformity assessment bodies, and national certification supervisory authorities.  さらに、本提案は、認定および市場監視要件に関する規則(EC)No 765/2008 との互換性、特に国家認定団体および適合性評価団体、国家認証監督当局に関する枠組みに関して、サイバーセキュリティ法の互換性に影響を与えない。
2.  LEGAL BASIS, SUBSIDIARITY AND PROPORTIONALITY  2.  法的根拠、補完性、比例性 
• Legal basis  ・法的根拠
This proposal amends the Cybersecurity Act, which is based on Article 114 of the Treaty on the functioning of the European Union (TFEU). As in the case of the Cybersecurity Act, this proposal aims to avoid fragmentation of the internal market, namely by enabling the adoption of European cybersecurity certification schemes for managed security services. Member States have started to adopt national certification schemes for managed security services. There is thus a concrete risk of fragmentation of the internal market for these services, which the present proposal aims to address. Therefore, Article 114 TFEU is the relevant legal basis for this initiative.  本提案は、欧州連合の機能に関する条約(TFEU)第114条に基づくサイバーセキュリティ法を改正するものである。サイバーセキュリティ法の場合と同様に、本提案は、マネージド・セキュリティサービスに対する欧州のサイバーセキュリティ認証スキームの採用を可能にすることによって、内部市場の分断を回避することを目的としている。加盟国は、マネージド・セキュリティサービスのための国内認証スキームの採用を開始している。このため、これらのサービスに関する国内市場の断片化の具体的なリスクがあり、本提案がこれを解決することを目的としている。したがって、TFEU114条は、この構想の関連する法的根拠となる。
• Subsidiarity (for non-exclusive competence)   ・補助性(非独占的な権限について)
The objective of enabling the adoption of European cybersecurity certification schemes for managed security and avoiding fragmentation of the internal market cannot be achieved at national level but only at Union level. Furthermore, managed security services, which are the targeted subject of the proposed amendment, are offered by providers active across the Union, as are their largest potential customers. Action at Union level is therefore both necessary and more effective than action at national level.  マネージドセキュリティに関する欧州のサイバーセキュリティ認証制度の採用を可能にし、国内市場の分断を回避するという目的は、国レベルでは達成できず、連合レベルでしか達成できない。さらに、改正案の対象であるマネージド・セキュリティサービスは、EU全域で活動するプロバイダーによって提供されており、その最大の潜在顧客も同様である。したがって、EUレベルでの行動は、国内レベルでの行動よりも必要であり、かつ効果的である。
• Proportionality  ・比例性
The proposal is a targeted amendment of the Cybersecurity Act. It is limited to what is strictly necessary to achieve its objective, namely to enable the adoption of European cybersecurity certification schemes for managed security services, in addition to ICT products, ICT services and ICT processes. The proposed amendments adapt, in particular, the scope of the European cybersecurity certification framework to include ‘managed security services’, introduce a definition of those services in line with the NIS 2 Directive, and amend the security objectives of European cybersecurity certification in order to adapt it to ‘managed security services’. The other amendments are of a technical nature and are intended to ensure that the relevant articles apply also to ‘managed security services’.  The proposed initiative is thus proportionate to the objective.   本提案は、サイバーセキュリティ法の的を絞った改正である。その目的は、ICT製品、ICTサービス、ICTプロセスに加え、管理されたセキュリティサービスに対する欧州のサイバーセキュリティ認証制度の採用を可能にすることであり、その目的を達成するために厳密に必要なものに限定されている。今回の改正案では、特に、欧州サイバーセキュリティ認証の枠組みの範囲を「マネージド・セキュリティサービス」に適応させ、NIS 2指令に沿ったサービスの定義を導入し、欧州サイバーセキュリティ認証のセキュリティ目標を「マネージド・セキュリティサービス」に適応させるために改正する。その他の改正は技術的なもので、関連する条文が「マネージド・セキュリティサービス」にも適用されるようにするためのものである。 このように、提案されたイニシアチブは、目的に比例したものである。 
• Choice of the instrument  ・手法の選択
As the proposal amends Regulation (EU) 2019/881, the appropriate legal instrument is a Regulation.  本提案は規則(EU)2019/881を改正するものであるため、適切な法制度は規則である。
3.  RESULTS  OF  EX POST  EVALUATIONS,  STAKEHOLDER CONSULTATIONS AND IMPACT ASSESSMENTS 
3. 事後評価、ステークホルダーとの協議、影響評価の結果 
• Ex post evaluations/fitness checks of existing legislation ・既存法の事後評価/適合性チェック
 Not applicable.  該当なし。
• Stakeholder consultations  ・ステークホルダーとの協議
Targeted consultations with Member States and ENISA have been carried out. In these consultations, Member States described their current activities and views as regards certification of managed security services. ENISA explained its views and its findings from discussions with Member States and stakeholders. The comments and information received from Member States and ENISA have fed into this proposal.  加盟国およびENISAとの的を絞った協議が実施された。これらの協議において、加盟国は、マネージド・セキュリティサービスの認証に関する現在の活動や見解を説明した。ENISAは、加盟国や利害関係者との議論から得た見解とその所見を説明した。加盟国及びENISAから受領したコメント及び情報は、本提案に反映された。
• Collection and use of expertise  ・専門知識の収集と活用 
Not applicable.  該当なし。
• Impact assessment  ・影響度評価
A waiver from the need for an impact assessment has been requested as the proposal is a very limited and targeted amendment to the Cybersecurity Act. It would empower the Commission to adopt, by means of implementing acts, certification schemes for ‘managed security services’, in addition to ICT products, ICT services and ICT processes, which are already covered by the Act. However, the amendment would only have an effect once such certification schemes are adopted at a later stage. Moreover, the amendment would not change the voluntary character of the certification schemes. • Regulatory fitness and simplification Not applicable.  この提案は、サイバーセキュリティ法の非常に限定的で的を絞った改正であるため、影響評価の必要性の免除を要請している。この改正は、同法がすでに対象としているICT製品、ICTサービス、ICTプロセスに加え、「マネージド・セキュリティサービス」の認証スキームを実施法によって採択する権限を欧州委員会に与えるものである。しかし、この改正は、そのような認証スキームが後の段階で採用された場合にのみ効果を発揮することになる。さらに、この改正は、認証制度の自発的な性格を変更するものではない。・規制の適性化と簡素化 該当しない。
•  Fundamental rights  ・基本的権利
The proposal does not have any foreseeable consequences for the protection of fundamental rights.   本提案は、基本的人権の保護に予見される結果をもたらすものではない。 
4. BUDGETARY IMPLICATIONS  4. 予算上の影響 
None.  なし。
5. OTHER ELEMENTS  5. その他の要素 
• Implementation plans and monitoring, evaluation and reporting arrangements  ・実施計画およびモニタリング,評価,報告の取り決め
The provisions to be amended by the proposal will be evaluated as part of the periodic evaluation of the Cybersecurity Act to be carried out by the Commission in accordance with Article 67 thereof. That evaluation assesses, inter alia, the impact, effectiveness and efficiency of the provisions on the Cybersecurity Certification Framework with regard to the objectives of ensuring an adequate level of cybersecurity of ICT products, ICT services and ICT processes in the Union and of improving the functioning of the internal market. The proposal contains an amendment that ensures that the evaluation is also to cover managed security services. The Commission also sends a report on the evaluation and its conclusions to the European Parliament, the Council and the ENISA Management Board and makes the findings of the report public.   本提案により改正される規定は、その第67条に従って欧州委員会が実施するサイバーセキュリティ法の定期的な評価の一環として評価される予定である。この評価は、特に、連合におけるICT製品、ICTサービス、ICTプロセスの適切なレベルのサイバーセキュリティを確保するという目的、および域内市場の機能を改善するという目的に関して、サイバーセキュリティ認証フレームワークに関する規定の影響、効果、効率性を評価する。この提案には、管理されたセキュリティサービスも評価の対象とすることを保証する修正案が含まれている。また、欧州委員会は、評価とその結論に関する報告書を欧州議会、理事会、ENISA管理委員会に送付し、報告書の調査結果を公表する。 
• Detailed explanation of the specific provisions of the proposal  ・提案の具体的な条項の詳細説明
The proposal contains two articles. While Article 1 contains the amendments to Regulation (EU) 2019/881, Article 2 concerns the entry into force. Article 1 contains targeted amendments to amend the scope of the European cybersecurity certification framework in the Cybersecurity Act to include ‘managed security services’ (Articles 1 and 46 of the Cybersecurity Act). It introduces a definition of those services, which is very closely aligned to the definition of ‘managed security services providers’ under the NIS 2 Directive (Article 2 of the Cybersecurity Act). It also adds a new Article 51a on the security objectives of European cybersecurity certification adapted to ‘managed security services’. Lastly, the proposal contains a number of technical amendments to ensure that the relevant articles apply also to ‘managed security services’.  この提案には2つの条文が含まれている。第1条が規則(EU)2019/881の改正を含む一方で、第2条は発効に関するものである。第1条には、サイバーセキュリティ法における欧州サイバーセキュリティ認証の枠組みの範囲を改正し、「マネージド・セキュリティサービス」(サイバーセキュリティ法第1条および第46条)を含めるための的を射た改正が含まれている。これは、NIS 2指令に基づく「マネージド・セキュリティサービスプロバイダー」の定義(サイバーセキュリティ法第2条)に非常に近いものであり、これらのサービスの定義を導入している。また、「マネージド・セキュリティサービス」に適用される欧州サイバーセキュリティ認証のセキュリティ目標に関する新しい第51a条も追加される。最後に、本提案は、関連する条文が「マネージド・セキュリティサービス」にも適用されるようにするための多くの技術的修正を含んでいる。
2023/0108 (COD)  2023/0108 (コード) 
Proposal for a  を提案する。
REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL  欧州議会および欧州理事会規則 
amending Regulation (EU) 2019/881 as regards managed security services  マネージド・セキュリティサービスに関する規則(EU)2019/881を改正する。
(Text with EEA relevance)  (EEAに関連するテキスト)。
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,  欧州議会と欧州連合理事会、 
Having regard to the Treaty on the Functioning of the European Union, and in particular Article 114 thereof,  欧州連合の機能に関する条約、特にその第114条を考慮すること、 
Having regard to the proposal from the European Commission,  欧州委員会からの提案に配慮して、 
After transmission of the draft legislative act to the national parliaments,  立法草案が各国議会に伝達された後、 
Having regard to the opinion of the European Economic and Social Committee,  欧州経済社会委員会の意見に留意すること、 
Having regard to the opinion of the Committee of the Regions;  地域委員会の意見を考慮すること; 
Acting in accordance with the ordinary legislative procedure, Whereas:  通常の立法手続に従って行動する、以下である: 
(1) Regulation (EU) 2019/881 of the European Parliament and of the Council  sets up a framework for the establishment of European cybersecurity certification schemes for the purpose of ensuring an adequate level of cybersecurity for ICT products, ICT services and ICT processes in the Union, as well as for the purpose of avoiding the fragmentation of the internal market with regard to cybersecurity certification schemes in the Union.  (1) 欧州議会及び欧州理事会の規則(EU)2019/881は、連合におけるICT製品、ICTサービス及びICTプロセスの適切なレベルのサイバーセキュリティを確保することを目的として、また、連合におけるサイバーセキュリティ認証スキームに関する国内市場の分断を回避することを目的として、欧州サイバーセキュリティ認証スキームの設立のための枠組みを設定する。
(2) Managed security services, which are services consisting of carrying out, or providing assistance for, activities relating to their customers’ cybersecurity risk management, have gained increasing importance in the prevention and mitigation of cybersecurity incidents. Accordingly, the providers of those services are considered as essential or important entities belonging to a sector of high criticality pursuant to Directive (EU) 2022/2555 of the European Parliament and of the Council . Pursuant to Recital 86 of that Directive, managed security service providers in areas such as incident response, penetration testing, security audits and consultancy, play a particularly important role in assisting entities in their efforts to prevent, detect, respond to or recover from incidents. Managed security service providers have however also themselves been the  (2) マネージド・セキュリティサービスは,顧客のサイバーセキュリティリスク管理に関する活動を実施し,又はその支援を提供することからなるサービスであり,サイバーセキュリティ事件の予防及び軽減において重要性が増している。したがって、これらのサービスの提供者は、欧州議会および理事会の指令(EU)2022/2555に基づき、高い重要性を有する部門に属する必須または重要な事業体とみなされる。同指令の説明86によれば、インシデントレスポンス、侵入テスト、セキュリティ監査、コンサルティングなどの分野におけるマネージド・セキュリティサービスプロバイダーは、インシデントの予防、検出、対応、回復のための努力において、企業を支援する上で特に重要な役割を担っている。しかし、マネージド・セキュリティサービスプロバイダーは、それ自体もまた、インシデントの予防、検出、対応、回復のための努力を支援する重要な役割を果たしている。
target of cyberattacks and pose a particular risk because of their close integration in the operations of their customers. Essential and important entities within the meaning of Directive (EU) 2022/2555 should therefore exercise increased diligence in selecting a managed security service provider.  サイバー攻撃の標的であり、顧客の業務に密接に統合されているため、特にリスクが高い。したがって、指令(EU)2022/2555の意味における本質的かつ重要な事業体は、マネージド・セキュリティサービスプロバイダーを選択する際に、より高い注意を払う必要がある。
(3) Managed security services providers also play an important role in the EU Cybersecurity Reserve whose gradual set-up is supported by Regulation (EU) …/…. [laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cybersecurity threats and incidents]    The EU Cybersecurity Reserve is to be used to support response and immediate recovery actions in case of significant and large-scale cybersecurity incidents. Regulation (EU)  (3) マネージド・セキュリティサービスプロバイダーは、規則(EU).../...によって段階的に設立が支援されているEUサイバーセキュリティ・リザーブにおいても重要な役割を果たす。[EUサイバーセキュリティ・リザーブは、重大かつ大規模なサイバーセキュリティ事件が発生した場合の対応と即時復旧行動を支援するために使用される。規則(EU) 
…/…[laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cybersecurity threats and incidents]  lays down a selection process for the providers forming the EU Cybersecurity Reserve, which should, inter alia, take into account whether the provider concerned has obtained a  .../...(サイバーセキュリティの脅威や事件を検知し、それに備え、対応するための結束と能力を強化するための措置を定めたもの)は、EUサイバーセキュリティ・リザーブを形成するプロバイダーの選定プロセスを規定しており、特に、当該プロバイダーが認証を受けているかどうかを考慮する必要があるとしている。
European or national cybersecurity certification. The relevant services provided by ‘trusted providers’ according to  Regulation (EU) …./…..[laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cybersecurity threats and incidents]  correspond to ‘managed security services’ in accordance with this Regulation.  欧州または国のサイバーセキュリティ認証。規則(EU)....../......(サイバーセキュリティの脅威およびインシデントを検出し、準備し、対応するための連合における連帯および能力を強化するための措置を定める)に従って「信頼できるプロバイダー」が提供する関連サービスは、本規則に基づく「マネージド・セキュリティサービス」に相当する。
(4) Certification of managed security services is not only relevant in the selection process for the EU Cybersecurity Reserve but it is also an essential quality indicator for private and public entities that intend to purchase such services. In light of the criticality of the managed security services and the sensitivity of the data they process, certification could provide potential customers with important guidance and assurance about the trustworthiness of these services. European certification schemes for managed security services contribute to avoiding fragmentation of the single market. This Regulation therefore aims at enhancing the functioning of the internal market.  (4) マネージド・セキュリティサービスの認証は、EUサイバーセキュリティ・リザーブの選考プロセスに関連するだけでなく、当該サービスを購入しようとする民間および公的機関にとって不可欠な品質指標である。マネージド・セキュリティサービスの重要性と、それらが処理するデータの機密性を考慮すると、認証は潜在的な顧客に対して、これらのサービスの信頼性についての重要な指針と保証を提供し得る。マネージド・セキュリティサービスに関する欧州の認証制度は、単一市場の断片化を回避することに貢献する。したがって、本規則は、域内市場の機能を強化することを目的としている。
(5) In addition to the deployment of ICT products, ICT services or ICT processes, managed security services often provide additional service features that rely on the competences, expertise and experience of their personnel. A very high level of these competences, expertise and experience as well as appropriate internal procedures should be part of the security objectives in order to ensure a very high quality of the managed security services provided. In order to ensure that all aspects of a managed security service can be covered by a certification scheme, it is therefore necessary to amend Regulation (EU) 2019/881   (5) ICT製品、ICTサービス又はICTプロセスの展開に加えて、マネージド・セキュリティサービスは、その担当者の能力、専門知識及び経験に依存する付加的なサービス機能を提供することが多い。提供されるマネージド・セキュリティサービスの非常に高い品質を確保するために、これらの能力、専門知識及び経験の非常に高いレベル、並びに適切な内部手続は、セキュリティ目標の一部でなければならない。したがって、マネージド・セキュリティサービスのすべての側面を認証スキームでカバーできるようにするために、規則(EU)2019/881の改正が必要である。 
The European Data Protection Supervisor was consulted in accordance with  に従い、欧州データ保護監督者に相談した。
Article 42(1) of Regulation (EU) 2018/1725 of the European Parliament and of the Council  and delivered an opinion on [DD/MM/YYYY HAVE ADOPTED THIS REGULATION:  欧州議会及び理事会の規則(EU)2018/1725の第42条(1)項に基づき、[DD/MM/YYYYY HAVE ADOPTED THIS REGULATION]に意見を届けた: 
Article 1  第1条 
Amendments to Regulation (EU) 2019/881 Regulation (EU) 2019/881 is amended as follows:  規則(EU)2019/881の改正 規則(EU)2019/881を、以下のように改める: 
(1) in Article 1(1), first subparagraph, point (b) is replaced by the following:  (1) 第1条(1)第1号において、ポイント(b)を以下のように置き換える: 
‘(b) a framework for the establishment of European cybersecurity certification schemes for the purpose of ensuring an adequate level of cybersecurity for ICT products, ICT services, ICT processes, and managed security services in the Union, as well as for the purpose of avoiding the fragmentation of the internal market with regard to cybersecurity certification schemes in the Union.’;  '(b)連合におけるICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティサービスに対する適切なレベルのサイバーセキュリティを確保する目的、並びに連合におけるサイバーセキュリティ認証スキームに関する国内市場の分断を回避する目的のための欧州サイバーセキュリティ認証スキームの構築の枠組み'; 
(2) Article 2 is amended as follows:  (2) 第2条を、以下のように改める: 
(a) points 9, 10 and 11 are replaced by the following:  (a) 第 9 、第 10 及び第 11 を、以下のように置き換える: 
‘(9) ‘European cybersecurity certification scheme’ means a comprehensive set of rules, technical requirements, standards and procedures that are established at Union level and that apply to the certification or conformity assessment of specific ICT products, ICT services, ICT processes, or managed security services;  '(9)「欧州サイバーセキュリティ認証制度」とは、連合レベルで確立され、特定のICT製品、ICTサービス、ICTプロセス、または管理されたセキュリティサービスの認証または適合性評価に適用される、規則、技術要件、基準および手続きの包括的なセットをいう; 
’(10) ‘national cybersecurity certification scheme’ means a comprehensive set of rules, technical requirements, standards and procedures developed and adopted by a national public authority and that apply to the certification or conformity assessment of ICT products, ICT services, ICT processes and managed security services falling under the scope of the specific scheme; (11) ‘European cybersecurity certificate’ means a document issued by a relevant body, attesting that a given ICT product, ICT service, ICT process or managed security service has been evaluated for compliance with specific security requirements laid down in a European cybersecurity certification scheme;’;  (10) 「国家サイバーセキュリティ認証スキーム」とは、国家公的機関が開発し採用した、特定のスキームの範囲に属するICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスの認証又は適合性評価に適用される、規則、技術要件、標準及び手続きの包括的セットをいう。 (11) 「欧州サイバーセキュリティ認証」とは、所定のICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスが欧州サイバーセキュリティ認証スキームに定められた特定のセキュリティ要件に準拠して評価を受けていることを証明する関連機関が発行した文書、' をいう; 
(b) the following point is inserted:  (b) 次を挿入する: 
‘(14a) ‘managed security service’ means a service consisting of carrying out, or providing assistance for, activities relating to cybersecurity risk management, including incident response, penetration testing, security audits and consultancy’;  (14a)「マネージド・セキュリティサービス」とは、インシデント対応、侵入テスト、セキュリティ監査及びコンサルティングを含むサイバーセキュリティリスク管理に関する活動を実施し、又はそのための支援を提供することからなるサービスを意味する」; 
(c) points 20, 21 and 22 are  replaced by the following:  (c) 第20、第21及び第22を、以下のように置き換える: 
‘(20) ‘technical specifications’ means a document that prescribes the technical requirements to be met by, or conformity assessment procedures relating to, an ICT product, ICT service, ICT process or managed security service;  (20) 「技術仕様」とは、ICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスが満たすべき技術要件又は適合性評価手順を規定する文書をいう; 
(21) ‘assurance level’ means a basis for confidence that an ICT product, ICT service, ICT process or managed security service meets the security requirements of a specific European cybersecurity certification scheme, and indicates the level at which an ICT product, ICT service, ICT process or managed security service has been evaluated but as such does not measure the security of the ICT product, ICT service, ICT process or managed security service concerned;  (21) 「保証レベル」とは、ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスが、特定の欧州サイバーセキュリティ認証スキームのセキュリティ要件を満たしていると確信するための根拠を意味し、ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスが評価されたレベルを示すが、そのため当該ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスのセキュリティは測定しない; 
(22) ‘conformity self-assessment’ means an action carried out by a manufacturer or provider of ICT products, ICT services, or ICT processes or managed security services, which evaluates whether those ICT products, ICT services, ICT processes or managed security services meet the requirements of a specific European cybersecurity certification scheme;’;  (22) 「適合性自己評価」とは、ICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスの製造者又は提供者が実施する行為であって、当該ICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスが特定の欧州サイバーセキュリティ認証スキームの要件を満たしているかどうかを評価するものをいう」; 
(3) in Article 4, paragraph 6 is replaced by the following  (3) 第4条第6項を以下のように改める
‘6. ENISA shall promote the use of European cybersecurity certification, with a view to avoiding the fragmentation of the internal market. ENISA shall contribute to the establishment and maintenance of a European cybersecurity certification framework in accordance with Title III of this Regulation, with a view to increasing the transparency of the cybersecurity of ICT products, ICT services, ICT processes, and managed security services, thereby strengthening trust in the digital internal market and its competitiveness.’;  '6. ENISAは、国内市場の分断を回避する観点から、欧州のサイバーセキュリティ認証の利用を促進するものとする。ENISAは、ICT製品、ICTサービス、ICTプロセス、管理されたセキュリティサービスのサイバーセキュリティの透明性を高め、それによってデジタル内部市場の信頼と競争力を強化することを目的として、本規則のタイトルIIIに従って欧州サイバーセキュリティ認証枠組みの確立と維持に貢献しなければならない'; 
(4) Article 8 is amended as follows:  (4) 第8条は、以下のように改める: 
(a) paragraph 1 is replaced by the following:  (a) 第1項を以下のように改める: 
‘1. ENISA shall support and promote the development and implementation of Union policy on cybersecurity certification of ICT products, ICT services, ICT processes and managed security services, as established in Title III of this Regulation, by:  1. ENISAは、本規則のタイトルIIIに定める、ICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスのサイバーセキュリティ認証に関する連合政策の策定及び実施を、以下の方法により支援し促進するものとする: 
(a) monitoring developments, on an ongoing basis, in related areas of standardisation and recommending appropriate technical specifications for use in the development of European cybersecurity certification schemes pursuant to Article 54(1), point (c), where standards are not available;  (a) 標準化の関連分野の発展を継続的に監視し、標準が利用できない場合には、第54条(1)の(c)に従って欧州サイバーセキュリティ認証スキームの開発で使用するための適切な技術仕様を推奨する; 
(b) preparing candidate European cybersecurity certification schemes (‘candidate schemes’) for ICT products, ICT services, ICT processes and managed security services in accordance with Article 49;  (b) 第49条に従って、ICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティサービスに関する欧州サイバーセキュリティ認証スキームの候補(「候補スキーム」)を作成すること; 
(c) evaluating adopted European cybersecurity certification schemes in accordance with Article 49(8);  (c) 第49条(8)に従って、採用された欧州サイバーセキュリティ認証スキームを評価すること; 
(d) participating in peer reviews pursuant to Article 59(4);  (d) 第59条(4)に基づくピアレビューに参加すること; 
(e) assisting the Commission in providing the secretariat of the ECCG pursuant to Article 62(5).’;  (e) 第62条(5)に基づき、ECCGの事務局を提供するために委員会を支援すること; 
(b) paragraph 3 is replaced by the following:  (b) 第3項を以下のように改める: 
‘3. ENISA shall compile and publish guidelines and develop good practices, concerning the cybersecurity requirements for ICT products, ICT services, ICT processes and managed security services, in cooperation with national cybersecurity certification authorities and industry in a formal, structured and transparent way.’;  3. ENISAは、各国のサイバーセキュリティ認証機関および産業界と協力して、ICT製品、ICTサービス、ICTプロセスおよびマネージド・セキュリティサービスのサイバーセキュリティ要件に関するガイドラインを、公式、構造的かつ透明性のある方法で編集、公表し、優良事例を開発しなければならない; 
(c) paragraph 5 is replaced by the following:  (c) 第5項を以下のように置き換える: 
‘5. ENISA shall facilitate the establishment and take-up of European and international standards for risk management and for the security of ICT products, ICT services, ICT processes and managed security services.’;  '5. ENISAは、リスク管理及びICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティ・サービスのセキュリティに関する欧州及び国際的な基準の確立及び導入を促進するものとする; 
(5) in Article 46, paragraphs 1 and 2 are replaced by the following:  (5) 第46条第1項及び第2項を以下のように改める:
‘1.   The European cybersecurity certification framework shall be established in order to improve the conditions for the functioning of the internal market by increasing the level of cybersecurity within the Union and enabling a harmonised approach at Union level to European cybersecurity certification schemes, with a view to creating a digital single market for ICT products, ICT services, ICT processes and managed security services.’;  1.欧州サイバーセキュリティ認証枠組みは、ICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスのデジタル単一市場の創設を目的として、連合内のサイバーセキュリティのレベルを高め、欧州サイバーセキュリティ認証スキームに対する連合レベルでの調和したアプローチを可能にすることによって内部市場の機能に関する条件を改善するために、設立するものとする'; 
2. The European cybersecurity certification framework shall provide for a mechanism to establish European cybersecurity certification schemes. It shall attest that the ICT products, ICT services and ICT processes that have been evaluated in accordance with such schemes comply with specified security requirements for the purpose of protecting the availability, authenticity, integrity or confidentiality of stored or transmitted or processed data or the functions or services offered by, or accessible via, those products, services and processes throughout their life cycle. In addition, it shall attest that managed security services that have been evaluated in accordance with such schemes comply with specified security requirements for the purpose of protecting the availability, authenticity, integrity and confidentiality of data, which are accessed, processed, stored or transmitted in relation to the provision of those services, and that those services are provided continuously with the requisite competence, expertise and experience by staff with a very high level of relevant technical knowledge and professional integrity.’;   2. 欧州サイバーセキュリティ認証の枠組みは、欧州サイバーセキュリティ認証スキームを確立するためのメカニズムを提供するものとする。欧州サイバーセキュリティ認証の枠組みは、欧州サイバーセキュリティ認証制度を確立するためのメカニズムを提供し、当該制度に従って評価されたICT製品、ICTサービス及びICTプロセスが、保存又は送信若しくは処理されたデータ又は当該製品、サービス及びプロセスによって提供又はアクセスされる機能若しくはサービスの可用性、真正性、完全性若しくは機密性をそのライフサイクルを通じて守ることを目的とした所定のセキュリティ要件に適合することを保証しなければならない。さらに、当該制度に従って評価されたマネージド・セキュリティサービスが、当該サービスの提供に関連してアクセス、処理、保存又は伝送されるデータの可用性、真正性、完全性及び機密性の保護を目的とする所定のセキュリティ要件に準拠していること、並びに当該サービスが、極めて高いレベルの関連技術知識及び専門的誠実性を有するスタッフにより、必要な能力、専門知識及び経験とともに継続的に提供されていることを証明しなければならない」;  
(6) in Article 47, paragraphs 2 and 3 are replaced by the following:  (6) 第47条第2項及び第3項を以下のように改める:
‘2.   The Union rolling work programme shall in particular include a list of ICT products, ICT services and ICT processes or categories thereof, and managed security services, that are capable of benefiting from being included in the scope of a European cybersecurity certification scheme.  2.連合ローリング作業計画は、特に、欧州のサイバーセキュリティ認証スキームの範囲に含めることで利益を得ることができるICT製品、ICTサービス、ICTプロセスまたはそのカテゴリ、およびマネージド・セキュリティサービスのリストを含むものとする。
3. Inclusion of specific ICT products, ICT services and ICT processes or categories thereof, or of managed security services, in the Union rolling work programme shall be justified on the basis of one or more of the following grounds:  3. 特定の ICT 製品、ICT サービス、ICT プロセスまたはそのカテゴリ、あるいは管理されたセキュリ ティサービスを連合のローリング作業計画に含めることは、以下の 1 つ以上の根拠に基づいて正当化されるものとする: 
(a) the availability and the development of national cybersecurity certification schemes covering a specific category of ICT products, ICT services, or ICT processes or managed security services and, in particular, as regards the risk of fragmentation;  (a) ICT 製品、ICT サービス、ICT プロセス又はマネージド・セキュリティサービスの特定のカテゴリーを対象とし、特に断片化のリスクに関して、各国のサイバーセキュリティ認証スキームが利用可能であり、発展している; 
(b) relevant Union or Member State law or policy;  (b) 関連する連合国又は加盟国の法律又は政策; 
(c) market demand;  (c) 市場の需要; 
(d) developments in the cyber threat landscape;  (d) サイバー脅威の状況における進展; 
(e) request for the preparation of a specific candidate scheme by the ECCG.’;  (e) ECCGによる特定の候補スキームの作成に対する要求』; 
(7) in Article 49, paragraph 7 is replaced by the following:   (7) 第49条第7項を以下のように改める:  
‘7.   The Commission, based on the candidate scheme prepared by ENISA, may adopt implementing acts providing for a European cybersecurity certification scheme for ICT products, ICT services, ICT processes and managed security services which meets the requirements set out in Articles 51, 52 and 54. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 66(2).’;  '7.   欧州委員会は、ENISAが作成した候補スキームに基づいて、第51条、第52条および第54条に定める要件を満たすICT製品、ICTサービス、ICTプロセスおよびマネージド・セキュリティサービスに対する欧州サイバーセキュリティ認証スキームを定める実施法を採択できる。これらの実施法は、第66条第2項にいう審査手続に従って採択されなければならない; 
(8) Article 51 is amended as follows:  (8) 第 51 条を以下のように改める: 
(a) the title is replaced by the following:  (a)表題を以下のように改める: 
Security objectives of European cybersecurity certification schemes for ICT products, ICT services and ICT processes  ICT製品、ICTサービス及びICTプロセスに対する欧州のサイバーセキュリティ認証制度のセキュリティ目標 
(b) the introductory sentence is replaced by the following:  (b) 導入文を以下のように置き換える: 
‘A European cybersecurity certification scheme for ICT products, ICT services or ICT processes shall be designed to achieve, as applicable, at least the following security objectives:’  ICT製品、ICTサービスまたはICTプロセスに関する欧州のサイバーセキュリティ認証制度は、該当する場合、少なくとも次のセキュリティ目標を達成するように設計されなければならない」
(9)  The following Article is inserted:   (9)次の条文を挿入する:  
‘Article 51a  第 51a 条 
Security objectives of European cybersecurity certification schemes for managed security services  マネージド・セキュリティサービスにおける欧州のサイバーセキュリティ認証制度のセキュリティ目標 
‘A European cybersecurity certification scheme for managed security services shall be designed to achieve, as applicable, at least the following security objectives:  マネージド・セキュリティサービスの欧州サイバーセキュリティ認証スキームは、該当する場合、少なくとも以下のセキュリティ目的を達成するように設計されなければならない: 
(a) ensure that the managed security services are provided with the requisite competence, expertise and experience, including that the staff in charge of providing these services has a very high level of technical knowledge and competence in the specific field, sufficient and appropriate experience, and the highest degree of professional integrity;   (a) マネージド・セキュリティサービスが、必要な能力、専門知識及び経験(これらのサービスを提供する担当スタッフが、特定の分野における非常に高いレベルの技術的知識及び能力、十分かつ適切な経験、並びに最高度の専門的誠実さを有することを含む)をもって提供されることを保証する;  
(b) ensure that the provider has appropriate internal procedures in place to ensure that the managed security services are provided at a very high level of quality at all times ;  (b) マネージド・セキュリティサービスが常に非常に高いレベルの品質で提供されることを保証するために、プロバイダが適切な内部手続を有していることを保証する; 
(c) protect data accessed, stored, transmitted or otherwise processed in relation to the provision of managed security services against accidental or unauthorised access, storage,  disclosure, destruction, other processing, or loss or alteration or lack of availability;  (c) マネージド・セキュリティサービスの提供に関連してアクセス、保存、送信またはその他の処理が行われるデータを、偶発的または不正なアクセス、保存、開示、破壊、その他の処理、または損失、改ざん、可用性の欠如から保護する; 
(d) ensure that the availability and access to data, services and functions is restored in a timely manner in the event of a physical or technical incident;  (d) 物理的または技術的な事故が発生した場合、データ、サービスおよび機能への可用性およびアクセスが適時に回復されることを保証すること; 
(e) ensure that authorised persons, programs or machines are able only to access the data, services or functions to which their access rights refer;  (e) 権限を有する者、プログラム又は機械が、そのアクセス権が参照するデータ、サービス又は機能のみにアクセスできることを保証すること; 
(f) record, and enable to assess, which data, services or functions have been accessed, used or otherwise processed, at what times and by whom;  (f) どのデータ、サービス又は機能が、何時、誰によって、アクセス、使用又はその他の処理をされたかを記録し、評価できるようにすること; 
(g) ensure that the ICT products, ICT services and ICT processes [and the hardware] deployed in the provision of the managed security services are secure by default and by design, do not contain known vulnerabilities and include the latest security updates;’;  (g) マネージド・セキュリティサービスの提供において展開されるICT製品、ICTサービス、ICTプロセス(およびハードウェア)が、デフォルトおよび設計上安全であり、既知の脆弱性を含まず、最新のセキュリティ更新を含むことを保証すること」; 
(10)   Article 52 is amended as follows:  (10) 第 52 条は、以下のとおり改める: 
 (a)  paragraph 1 is replaced by the following:   (a) 第1項を以下のように置き換える: 
‘1.   A European cybersecurity certification scheme may specify one or more of the following assurance levels for ICT products, ICT services, ICT processes and managed security services: ‘basic’, ‘substantial’ or ‘high’. The assurance level shall be commensurate with the level of the risk associated with the intended use of the ICT product, ICT service, ICT process or managed security service, in terms of the probability and impact of an incident.’;  1.   欧州サイバーセキュリティ認証制度は、ICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスについて、以下の保証レベルのうち1つ以上を指定することができる: 基本」、「実質」または「高」。保証レベルは、インシデントの確率及び影響の観点から、ICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスの意図された使用に関連するリスクのレベルに見合ったものでなければならない'; : 
(b) paragraph 3 is replaced by the following:  (b) 第3項を次のように置き換える
‘3.   The security requirements corresponding to each assurance level shall be provided in the relevant European cybersecurity certification scheme, including the corresponding security functionalities and the corresponding rigour and depth of the evaluation that the ICT product, ICT service, ICT process or managed security service is to undergo.’; (c) paragraphs 5, 6 and 7 are replaced by the following:  3.   各保証レベルに対応するセキュリティ要件は、対応するセキュリティ機能、ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスが受けるべき評価の厳しさと深さを含め、関連する欧州サイバーセキュリティ認証スキームに提供されなければならない」;(c)第5、6および7項は、以下に置き換えられる: 
‘5.   A European cybersecurity certificate or EU statement of conformity that refers to assurance level ‘basic’ shall provide assurance that the ICT products, ICT services, ICT processes and managed security services for which that certificate or that EU statement of conformity is issued meet the corresponding security requirements, including security functionalities, and that they have been evaluated at a level intended to minimise the known basic risks of incidents and cyberattacks. The evaluation activities to be undertaken shall include at least a review of technical documentation. Where such a review is not appropriate, substitute evaluation activities with equivalent effect shall be undertaken.  5.   保証レベル「基本」に言及する欧州サイバーセキュリティ認証またはEU適合性宣言は、当該認証またはEU適合性宣言が発行されるICT製品、ICTサービス、ICTプロセスおよびマネージド・セキュリティサービスが、セキュリティ機能性を含む対応するセキュリティ要件を満たし、インシデントおよびサイバー攻撃の既知の基本リスクを最小限に抑えることを意図したレベルで評価されたことを保証するものとする。実施される評価活動には、少なくとも技術文書のレビューが含まれるものとする。このようなレビューが適切でない場合、同等の効果を持つ代替評価活動が実施されるものとする。
6. A European cybersecurity certificate that refers to assurance level ‘substantial’ shall provide assurance that the ICT products, ICT services, ICT processes and managed security services for which that certificate is issued meet the corresponding security requirements, including security functionalities, and that they have been evaluated at a level intended to minimise the known cybersecurity risks, and the risk of incidents and cyberattacks carried out by actors with limited skills and resources. The evaluation activities to be undertaken shall include at least the following: a review to demonstrate the absence of publicly known vulnerabilities and testing to demonstrate that the ICT products, ICT services, ICT processes or managed security services correctly implement the necessary security functionalities. Where any such evaluation activities are not appropriate, substitute evaluation activities with equivalent effect shall be undertaken.  6. 保証レベル「実質的」に言及する欧州サイバーセキュリティ証明書は、証明書が発行された ICT 製品、ICT サービス、ICT プロセスおよびマネージド・セキュリティサービスが、セキュリティ機能性を含む対応するセキュリティ要件を満たし、既知のサイバーセキュリティリスク、および限られたスキルやリソースを持つ行為者によって行われる事件やサイバー攻撃のリスクを最小限にすることを意図したレベルで評価されていることを保証するものとする。実施される評価活動は、少なくとも次のものを含むものとする:公に知られた脆弱性がないことを証明するためのレビュー、及びICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスが必要なセキュリティ機能性を正しく実装していることを証明するためのテスト。このような評価活動が適切でない場合、同等の効果を持つ代替の評価活動が実施されるものとする。
7. A European cybersecurity certificate that refers to assurance level ‘high’ shall provide assurance that the ICT products, ICT services, ICT processes and managed security services for which that certificate is issued meet the corresponding security requirements, including security functionalities, and that they have been evaluated at a level intended to minimise the risk of stateof-the-art cyberattacks carried out by actors with significant skills and resources. The evaluation activities to be undertaken shall include at least the following: a review to demonstrate the absence of publicly known vulnerabilities; testing to demonstrate that the ICT products, ICT services, ICT processes or managed security services correctly implement the necessary security functionalities at the state of the art; and an assessment of their resistance to skilled attackers, using penetration testing. Where any such evaluation activities are not appropriate, substitute activities with equivalent effect shall be undertaken.’;  7. 保証レベル「高」に言及する欧州のサイバーセキュリティ証明書は、証明書が発行された ICT 製品、ICT サービス、ICT プロセスおよびマネージド・セキュリティサービスが、セキュリティ機能性を含む対応するセキュリティ要件を満たし、かつ、相当なスキルやリソースを持つ行為者が行う最先端のサイバー攻撃のリスクを最小化することを意図したレベルで評価されていることを保証するものとする。実施される評価活動は、少なくとも次のものを含むものとする:公に知られた脆弱性がないことを証明するためのレビュー、ICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスが、必要なセキュリティ機能性を最先端の状態で正しく実装していることを証明するためのテスト、及び侵入テストを使用した熟練攻撃者に対する耐性の評価。このような評価活動が適切でない場合は、同等の効果を持つ代替活動を実施しなければならない」; 
(11) in Article 53, paragraphs 1, 2 and 3 are replaced by the following:   (11) 第 53 条第 1 項、第 2 項及び第 3 項を以下のように改める:  
‘1.   A European cybersecurity certification scheme may allow for the conformity self-assessment under the sole responsibility of the manufacturer or provider of ICT products, ICT services, ICT processes or managed security services. Conformity self-assessment shall be permitted only in relation to ICT products, ICT services, ICT processes and managed security services that present a low risk corresponding to assurance level ‘basic’.  1.   欧州のサイバーセキュリティ認証スキームは、ICT 製品、ICT サービス、ICT プロセス、または管理されたセキュリティサービスの製造者または提供者の唯一の責任において、適合性の自己評価を許可することができる。適合性自己評価は、保証レベル「基本」に対応する低リスクの ICT 製品、ICT サービス、ICT プロセスおよびマネージド・セキュリティサービスに関連してのみ許可されるものとする。
2. The manufacturer or provider of ICT products, ICT services, ICT processes or managed security services may issue an EU statement of conformity stating that the fulfilment of the requirements set out in the scheme has been demonstrated. By issuing such a statement, the manufacturer or provider of ICT products, ICT services, ICT processes or managed security services shall assume responsibility for the compliance of the ICT product, ICT service, ICT process or managed security service with the requirements set out in that scheme.  2. ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスの製造者またはプロバイダは、スキームに規定された要求事項を満たしていることが実証されたことを示すEU適合宣言書を発行できる。このような声明を発行することにより、ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスの製造者または提供者は、ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスが当該スキームに定められた要求事項に適合することに対する責任を負うものとする。
3. The manufacturer or provider of ICT products, ICT services, ICT processes or managed security services shall make the EU statement of conformity, technical documentation, and all other relevant information relating to the conformity of the ICT products, ICT services or managed security services with the scheme available to the national cybersecurity certification authority referred to in Article 58 for the period provided for in the corresponding European cybersecurity certification scheme. A copy of the EU statement of conformity shall be submitted to the national cybersecurity certification authority and to ENISA.’;  3. ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスの製造者または提供者は、ICT製品、ICTサービスまたはマネージド・セキュリティサービスのスキームへの適合に関連するEU適合宣言、技術文書およびその他のすべての関連情報を、対応する欧州サイバーセキュリティ認証スキームに規定される期間、第58条に言及する国家サイバーセキュリティ認証機関が利用できるようにしなければならない。EU適合性宣言のコピーは、国家サイバーセキュリティ認証機関およびENISAに提出されるものとする'; 
(12) in Article 54, paragraph 1 is amended as follows:  (12) 第 54 条第 1 項を以下のように改める: 
(a) point (a) is replaced by the following:  (a) (a)の箇所を以下のように置き換える: 
‘(a) the subject matter and scope of the certification scheme, including the type or categories of ICT products, ICT services, ICT processes and managed security services covered;’;  (a)対象となるICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティサービスの種類又はカテゴリーを含む、認証スキームの主題及び範囲; 
(b) point (j) is replaced by the following:  (b) (j)項を以下のように置き換える: 
‘(j) rules for monitoring compliance of ICT products, ICT services, ICT processes and managed security services with the requirements of the European cybersecurity certificates or the EU statements of conformity, including mechanisms to demonstrate continued compliance with the specified cybersecurity requirements;’;  (j)ICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスが欧州サイバーセキュリティ認証書又はEU適合性宣言書の要求事項に準拠していることを監視するための規則(特定サイバーセキュリティ要求事項に継続して準拠していることを実証するための仕組みを含む)」; 
(c) point (l) is replaced by the following:  (c) ポイント(l)を以下のように置き換える: 
‘(l) rules concerning the consequences for ICT products, ICT services,  '(l)ICT製品、ICTサービスに対する影響に関する規則、 
ICT processes and managed security services that have been certified  認証を取得したICTプロセスおよびマネージド・セキュリティサービス 
or for which an EU statement of conformity has been issued, but which do not comply with the requirements of the scheme;’;  またはEU適合性宣言が発行されているが、スキームの要求事項に適合していないもの;'; 
(d) point (o) is replaced by the following:  (d) ポイント(o)を以下のように置き換える: 
‘(o) the identification of national or international cybersecurity certification schemes covering the same type or categories of ICT products, ICT services, ICT processes and managed security services, security requirements, evaluation criteria and methods, and assurance levels;’;  (o)ICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティサービス、セキュリティ要件、評価基準及び方法並びに保証レベルの同じ種類又はカテゴリーを対象とする国内又は国際的なサイバーセキュリティ認証スキームの識別'; 
(e) point (q) is replaced by the following:  (e) ポイント(q)を以下のように置き換える: 
‘(q) the period of the availability of the EU statement of conformity, technical documentation, and all other relevant information to be made available by the manufacturer or provider of ICT products, ICT services, ICT or managed security services processes;’;  (q)ICT製品、ICTサービス、ICT又はマネージド・セキュリティサービスプロセスの製造者又は提供者が利用可能とするEU適合性宣言、技術文書及びその他すべての関連情報の利用可能期間''; 
(13) Article 56 is amended as follows:  (13) 第56条を以下のとおり改める: 
(a) paragraph 1 is replaced by the following:  (a) 第1項を以下のように置き換える: 
‘1.   ICT products, ICT services, ICT processes and managed security services that have been certified under a European cybersecurity certification scheme adopted pursuant to Article 49 shall be presumed to comply with the requirements of such scheme’;.  1.   第49条に従って採択された欧州サイバーセキュリティ認証スキームの下で認証されたICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスは、当該スキームの要件に適合していると推定される」;。
(b) paragraph 3 is amended as follows:  (b) 第3項を以下のように改める: 
(i) the first subparagraph is replaced by the following:  (i) 第 1 項を以下のように置き換える: 
‘The Commission shall regularly assess the efficiency and use of the adopted European cybersecurity certification schemes and whether a specific European cybersecurity certification scheme is to be made mandatory through relevant Union law to ensure an adequate level of cybersecurity of ICT products, ICT services, ICT processes and managed security services in the Union and improve the functioning of the internal market. The first such assessment shall be carried out by 31 December 2023, and subsequent assessments shall be carried out at least every two years thereafter. Based on the outcome of those assessments, the Commission shall identify the ICT products, ICT services, ICT processes and managed security services covered by an existing certification scheme which are to be covered by a mandatory certification scheme.’;  欧州委員会は、採用された欧州サイバーセキュリティ認証制度の効率と利用を定期的に評価し、欧州連合におけるICT製品、ICTサービス、ICTプロセス、管理セキュリティサービスの適切なレベルのサイバーセキュリティを確保し、内部市場の機能を向上させるために、特定の欧州サイバーセキュリティ認証制度を関連連合法を通じて義務化するかどうかを決定する。最初の当該評価は2023年12月31日までに実施され、その後の評価は少なくとも2年ごとに実施されるものとする。これらの評価の結果に基づき、欧州委員会は、既存の認証制度でカバーされているICT製品、ICTサービス、ICTプロセスおよび管理されたセキュリティサービスのうち、必須の認証制度の対象となるべきものを特定する; 
(ii) the third subparagraph is amended as follows:  (ii) 第 3 項を以下のように改める: 
(aa) point (a) is replaced by the following:  (aa) ポイント(a)を以下のように置き換える: 
‘(a) take into account the impact of the measures on the manufacturers or providers of such ICT products, ICT services, ICT processes or managed security services and on the users in terms of the cost of those measures and the societal or economic benefits stemming from the anticipated enhanced level of security for the targeted ICT products, ICT services, ICT processes or managed security services;’;  (a)当該ICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスの製造者又は提供者及び利用者に対して、当該措置のコスト及び対象となるICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスの予想されるセキュリティレベルの強化から生じる社会的又は経済的利益の観点から、当該措置が及ぼす影響を考慮する; 
(bb) point (d) is replaced by the following:  (bb) ポイント(d)を以下のように置き換える: 
‘(d) take into account any implementation deadlines, transitional measures and periods, in particular with regard to the possible impact of the measure on the manufacturers or providers of ICT products, ICT services, ICT processes or managed security services, including SMEs;’;  (d)特に、中小企業を含むICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスの製造者又はプロバイダに対する当該措置の起こり得る影響に関して、あらゆる実施期限、経過措置及び期間を考慮すること」; 
(c) paragraphs 7 and 8 are replaced by the following:  (c) 第7項、第8項を以下のように置き換える: 
‘7.   The natural or legal person who submits ICT products, ICT services, ICT processes or managed security services for certification shall make available to the national cybersecurity certification authority referred to in Article 58, where that authority is the body issuing the European cybersecurity certificate, or to the conformity assessment body referred to in Article 60 all information necessary to conduct the certification.  7.   ICT製品、ICTサービス、ICTプロセスまたはマネージド・セキュリティサービスを認証のために提出する自然人または法人は、第58条に言及された国内のサイバーセキュリティ認証機関(当該機関が欧州サイバーセキュリティ証明書を発行する機関である場合)または第60条に言及された適合評価機関が認証を行うために必要なすべての情報を利用可能にするものとする。
8.   The holder of a European cybersecurity certificate shall inform the authority or body referred to in paragraph 7 of any subsequently detected vulnerabilities or irregularities concerning the security of the certified ICT product, ICT service, ICT process or managed security services that may have an impact on its compliance with the requirements related to the certification. That authority or body shall forward that information without undue delay to the national cybersecurity certification authority concerned.’  8.   欧州サイバーセキュリティ認証の保有者は、認証に関連する要求事項への準拠に影響を及ぼす可能性のある、認証されたICT製品、ICTサービス、ICTプロセスまたは管理されたセキュリティサービスのセキュリティに関する脆弱性または不正を、第7項に記載の当局または団体にその後検出した場合、通知するものとする。当該当局または団体は、当該情報を当該国のサイバーセキュリティ認証機関に過度の遅滞なく転送しなければならない」。
(14) in Article 57, paragraphs 1 and 2 are replaced by the following:  (14) 第 57 条第 1 項及び第 2 項を以下のように改める: 
‘1.   Without prejudice to paragraph 3 of this Article, national cybersecurity certification schemes, and the related procedures for the ICT products, ICT services, ICT processes and managed security services that are covered by a European cybersecurity certification scheme shall cease to produce effects from the date established in the implementing act adopted pursuant to Article 49(7). National cybersecurity certification schemes and the related procedures for the ICT products, ICT services, ICT processes and managed security services that are not covered by a European cybersecurity certification scheme shall continue to exist.  1.   本条第3項を害することなく、欧州サイバーセキュリティ認証スキームの対象となるICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティサービスに関する国家サイバーセキュリティ認証スキーム及び関連手続きは、第49条第7項に従って採択された実施法に定められた日付から効力を失うものとする。欧州のサイバーセキュリティ認証スキームの対象とならないICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスに関する国内のサイバーセキュリティ認証スキーム及び関連する手続きは、引き続き存在するものとする。
2.   Member States shall not introduce new national cybersecurity certification schemes for ICT products, ICT services, ICT processes and managed security services already covered by a European cybersecurity certification scheme that is in force.’;  2.   加盟国は、既に施行されている欧州のサイバーセキュリティ認証スキームの対象となるICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティサービスについて、新たな国内サイバーセキュリティ認証スキームを導入しないものとする; 
(15) Article 58 is amended as follows:  (15) 第58条を以下のように改める: 
(a) paragraph 7 is amended as follows:  (a) 第7項を以下のように置き換える: 
(i) points (a) and (b) are replaced by the following:  (i) (a)及び(b)の点は、以下のように置き換えられる: 
 ‘(a) supervise and enforce rules included in European cybersecurity certification schemes pursuant to point (j) of Article 54(1) for the monitoring of the compliance of ICT products, ICT services, ICT processes and managed security services with the requirements of the European cybersecurity certificates that have been issued in their respective territories, in cooperation with other relevant market surveillance authorities;   '(a)他の関連する市場監視当局と協力して、ICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティサービスが、それぞれの地域で発行された欧州サイバーセキュリティ証明書の要件に準拠しているかを監視するために、第54条第1項の(j)点に従って欧州サイバーセキュリティ認証制度に含まれる規則を監督し、執行する; 
(b) monitor compliance with and enforce the obligations of the manufacturers or providers of ICT products, ICT services, ICT processes or managed security services that are established in their respective territories and that carry out conformity self-assessment, and shall, in particular, monitor compliance with and enforce the obligations of such manufacturers or providers set out in Article 53(2) and (3) and in the corresponding European cybersecurity certification scheme;’; (ii)  point (h) is replaced by the following:  (b) それぞれの地域において設立され、適合性自己評価を実施するICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスの製造業者又はプロバイダの義務の遵守を監視し、執行し、特に、第53条(2)及び(3)に定める当該製造業者又はプロバイダの義務及び対応する欧州サイバーセキュリティ認証制度における義務の遵守を監視し、執行しなければならない』、(ii)点(h)は、以下のものに置き換えられる: 
‘(h) cooperate with other national cybersecurity certification authorities or other public authorities, including by sharing information on the possible non-compliance of ICT products, ICT services, ICT processes and managed security services with the requirements of this Regulation or with the requirements of specific European cybersecurity certification schemes; and’;  (h)ICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスが本規則の要求事項又は特定の欧州サイバーセキュリティ認証制度の要求事項に適合していない可能性に関する情報の共有を含め、他の国のサイバーセキュリティ認証当局又は他の公的当局と協力する; 
(b) paragraph 9 is replaced by the following:  (b) 第9項を以下のように置き換える: 
‘9.   National cybersecurity certification authorities shall cooperate with each other and with the Commission, in particular, by exchanging information, experience and good practices as regards cybersecurity certification and technical issues concerning the cybersecurity of ICT products, ICT services, ICT and managed security services processes.’;  9.   各国のサイバーセキュリティ認証機関は、特に、サイバーセキュリティ認証及びICT製品、ICTサービス、ICT及びマネージド・セキュリティサービスのプロセスのサイバーセキュリティに関する技術的課題に関する情報、経験及び優良事例の交換を通じて、相互に及び欧州委員会と協力するものとする; 
(16) in Article 59 (3), points (b) and (c) are replaced by the following:  (16) 第 59 条(3)(b)及び(c)を以下のように改める: 
 ‘(b) the procedures for supervising and enforcing the rules for monitoring the compliance of ICT products, ICT services, ICT processes and managed security services with European cybersecurity certificates pursuant to Article 58(7), point (a);   (b)第58条第7項(a)に基づく欧州サイバーセキュリティ証明書へのICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスの適合性を監視するための規則の監督及び執行のための手続; 
(c) the procedures for monitoring and enforcing the obligations of manufacturers or providers of ICT products, ICT services, ICT processes or managed security services pursuant to Article 58(7), point (b);’;  (c) 第58条(7)の(b)に基づくICT製品、ICTサービス、ICTプロセス又はマネージド・セキュリティサービスの製造者又は提供者の義務を監視し執行するための手続; 
(17) in Article 67, paragraphs 2 and 3 are replaced by the following:  (17) 第67条第2項及び第3項を以下のように改める: 
‘2.   The evaluation shall also assess the impact, effectiveness and efficiency of the provisions of Title III of this Regulation with regard to the objectives of ensuring an adequate level of cybersecurity of ICT products, ICT services, ICT processes and managed security services in the Union and improving the functioning of the internal market.  '2.   また、評価は、連合におけるICT製品、ICTサービス、ICTプロセス及び管理されたセキュリティ・サービスのサイバーセキュリティの適切なレベルを確保し、内部市場の機能を改善するという目的に関して、本規則のタイトル3の規定の影響、効果及び効率性を評価するものとする。
3.   The evaluation shall assess whether essential cybersecurity requirements for access to the internal market are necessary in order to prevent ICT products, ICT services, ICT processes and managed security services which do not meet basic cybersecurity requirements from entering the Union market.’.  3.   評価は、基本的なサイバーセキュリティ要件を満たさないICT製品、ICTサービス、ICTプロセス及びマネージド・セキュリティサービスが連合市場に参入することを防止するために、内部市場へのアクセスに不可欠なサイバーセキュリティ要件が必要であるかどうかを評価するものとする'. 
Article 2  第2条 
This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.  本規則は、欧州連合官報に掲載された日の翌日から20日目に発効するものとする。
This Regulation shall be binding in its entirety and directly applicable in all Member States.  本規則は、その全体を拘束し、すべての加盟国に直接適用されるものとする。

 

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.22 欧州委員会 EUサイバーセキュリティ・スキルアカデミー (2023.04.18)

・2023.04.21 欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

・2023.04.21 欧州委員会 EUサイバー連帯法の提案 (2023.04.18)

 

 

 

 

| | Comments (0)

欧州委員会 EUサイバー連帯法の提案 (2023.04.18)

こんにちは、丸山満彦です。

欧州委員会は、EUにおけるサイバーセキュリティの能力を強化するための「EUサイバー連帯法」の提案を採択したようですね。。。

この法律は

・サイバーセキュリティの脅威やインシデント検知・認識を支援し、重要な事業体の防御を強化する

・EU加盟国の連帯、協調的な危機管理・対応能力を強化する

という目的であるようですね。。。レジリエンス強化という感じですかね。。。

マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案「EUサイバーセキュリティ・スキルアカデミー」については、別途書くつもり...たぶん...

 

 

⚫︎ European Commission

・2023.04.18 Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience

Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience サイバー:効果的な作戦協力、連帯、レジリエンスのためのEUの能力強化に向けて
Today, the Commission has adopted a proposal for the EU Cyber Solidarity Act to strengthen cybersecurity capacities in the EU. It will support detection and awareness of cybersecurity threats and incidents, bolster preparedness of critical entities, as well as reinforce solidarity, concerted crisis management and response capabilities across Member States. The Cyber Solidarity Act establishes EU capabilities to make Europe more resilient and reactive in front of cyber threats, while strengthening existing cooperation mechanism.  It will contribute to ensuring a safe and secure digital landscape for citizens and businesses and to protecting critical entities and essential services, such as hospitals and public utilities. 本日、欧州委員会は、EUにおけるサイバーセキュリティの能力を強化するための「EUサイバー連帯法」の提案書を採択した。この法律は、サイバーセキュリティの脅威やインシデントの検知と認識を支援し、重要な事業体の備えを強化するとともに、加盟国間の連帯、協調的な危機管理および対応能力を強化するものである。サイバー連帯法は、既存の協力メカニズムを強化しつつ、欧州がサイバー脅威に対してより強靭で反応的になるためのEUの能力を確立するものである。 この法律は、市民や企業にとって安全で安心なデジタル環境を確保し、病院や公共事業などの重要な事業体や重要なサービスを保護することに貢献する。
The Commission has also presented a Cybersecurity Skills Academy, as part of the 2023 European Year of Skills, to ensure a more coordinated approach towards closing the cybersecurity talent gap, a pre-requisite to boosting Europe's resilience. The Academy will bring together various existing initiatives aimed at promoting cybersecurity skills and will make them available on an online platform, thereby increasing their visibility and boosting the number of skilled cybersecurity professionals in the EU. 欧州委員会はまた、「2023年欧州技能年」の一環として、欧州の強靭性を高めるための前提条件であるサイバーセキュリティ人材の格差是正に向けたより協調的なアプローチを確保するため、「サイバーセキュリティ・スキルアカデミー」を発表した。同アカデミーは、サイバーセキュリティスキルの普及を目的とした既存のさまざまなイニシアチブをまとめ、オンラインプラットフォームで公開することで、その認知度を高め、EUにおけるサイバーセキュリティ技能者の数を増加させることを目的とするものである。
Under the European Security Union, the EU is committed to ensuring that all European citizens and businesses are well protected, both online and offline, and to promoting an open, secure and stable cyberspace. Yet, the increasing magnitude, frequency and impact of cybersecurity incidents represent a major threat to the functioning of network and information systems and to the European Single Market. Russia's military aggression against Ukraine has further exacerbated this threat, along with the multiplicity of state-aligned, criminal and hacktivist actors involved in current geopolitical tensions. 欧州安全保障連合(European Security Union)のもと、EUは、すべての欧州市民と企業がオンラインとオフラインの両方で十分に保護されるようにし、オープンで安全かつ安定したサイバースペースを促進することに取り組んでいる。しかし、サイバーセキュリティ事件の規模、頻度、影響の増大は、ネットワークや情報システムの機能、欧州単一市場に対する大きな脅威となっている。ロシアのウクライナに対する軍事侵攻は、現在の地政学的緊張に関与する国家と連携した犯罪者やハクティビストの多様性と共に、この脅威をさらに悪化させた。
Building on a strong strategic, policy and legislative framework that is already in place, the proposed EU Cyber Solidarity Act and the Cybersecurity Skills Academy will further contribute to enhancing detection of cyber threats, resilience and preparedness at all levels of the EU's cybersecurity ecosystem. 提案されているEUサイバー連帯法とサイバーセキュリティ・スキルアカデミーは、すでに実施されている強力な戦略、政策、法律の枠組みを基盤として、EUのサイバーセキュリティ・エコシステムのあらゆるレベルにおけるサイバー脅威の検知、回復力、準備の強化にさらに貢献するものである。
EU Cyber Solidarity Act EUサイバー連帯法
The EU Cyber Solidarity Act will strengthen solidarity at Union level to better detect, prepare for and respond to significant or large-scale cybersecurity incidents, by creating a European Cybersecurity Shield and a comprehensive Cyber Emergency Mechanism. EUサイバー連帯法は、欧州サイバーセキュリティ・シールドと包括的なサイバー緊急事態対応メカニズムを創設することにより、重大または大規模なサイバーセキュリティ事件の検知、準備、対応をより良く行うための連邦レベルでの連帯を強化する。
To detect major cyber threats quickly and effectively, the Commission proposes the establishment of a European Cyber Shield, which is a pan-European infrastructure of composed of national and cross-border Security Operations Centres (SOCs) across the EU. These are entities tasked with detecting and acting on cyber threats. They will use state-of-the-art technology, such as artificial intelligence (AI) and advanced data analytics, to detect and share timely warnings on cyber threats and incidents across borders. In turn, authorities and relevant entities will be able to respond more efficiently and effectively to major incidents. 欧州委員会は、重大なサイバー脅威を迅速かつ効果的に検知するために、欧州サイバーシールドの設立を提案している。これは、EU全域の国や国境を越えたセキュリティ・オペレーション・センター(SOC)からなる汎欧州的インフラである。 このセンターは、サイバー脅威の検知と対処を任務とする組織である。人工知能(AI)や高度なデータ分析などの最先端技術を駆使して、サイバー脅威やインシデントを検知し、国境を越えてタイムリーな警告を共有する。これにより、当局や関連団体は、重大なインシデントに対してより効率的かつ効果的に対応することができるようになる。
These centres could be operational by early 2024. As a preparatory phase of the European Cyber Shield, in April 2023 the Commission has selected, under the Digital Europe Programme, three consortia of cross-border Security Operations Centres (SOC), bringing together public bodies from 17 Member States and Iceland. これらのセンターは、2024年初頭までに運用開始される可能性がある。欧州サイバーシールドの準備段階として、欧州委員会は2023年4月、デジタル・ヨーロッパ・プログラムのもと、17の加盟国とアイスランドの公的団体が参加する国境を越えたセキュリティ・オペレーション・センター(SOC)の3つのコンソーシアムを選定した。
The EU Cyber Solidarity Act also includes the creation of a Cyber Emergency Mechanism to increase preparedness and enhance incident response capabilities in the EU. It will support: また、EUサイバー連帯法には、EUにおける備えを強化し、インシデント対応能力を高めるためのサイバー緊急事態メカニズムの設立が含まれている。 支援する予定である:
Preparedness actions, including testing entities in highly critical sectors (healthcare, transport, energy, etc.) for potential vulnerabilities, based on common risk scenarios and methodologies. ・共通のリスクシナリオと方法論に基づき、重要度の高い分野(医療、運輸、エネルギーなど)の事業体に対して潜在的な脆弱性をテストするなどの準備行動
Creating a new EU Cybersecurity Reserve consisting of incident response services from trusted providers pre-contracted and therefore ready to intervene, at the request of a Member State or Union Institutions, bodies and agencies, in case of a significant or large-scale cybersecurity incident. ・重要かつ大規模なサイバーセキュリティインシデントが発生した場合、加盟国または機関 省庁の要請に応じて介入できるよう、事前に契約された信頼できるプロバイダーによるインシデント対応サービスからなる新しいEUサイバーセキュリティ・リザーブの創設
Providing financial support for mutual assistance, where a Member State could offer support to another Member State. ・加盟国が他の加盟国に支援を提供できるような相互支援のための財政支援の提供
Moreover, the proposed Regulation establishes the Cybersecurity Incident Review Mechanism to enhance Union resilience by reviewing and assessing significant or large-scale cybersecurity incidents after they have taken place, drawing lessons learned and where appropriate, issuing recommendations to improve Union's cyber posture. さらに、提案された規則は、重大または大規模なサイバーセキュリティ事件が発生した後にレビューおよび評価を行い、教訓を引き出し、適切な場合には、連合のサイバー態勢を改善するための勧告を出すことによって、連合の回復力を強化するためのサイバーセキュリティ事件レビュー機構を設立している。
The total budget for all actions under the EU Cyber Solidarity Act is of EUR 1.1 billion, of which about 2/3 will be financed by the EU through the Digital Europe Programme. EUサイバー連帯法に基づくすべての活動の総予算は11億ユーロで、そのうち約2/3はデジタル・ヨーロッパ・プログラムを通じてEUが資金を提供することになっている。
EU Cybersecurity Skills Academy EUサイバーセキュリティ・スキルアカデミー
The EU Cybersecurity Skills Academy will bring together private and public initiatives aimed at boosting cybersecurity skills at European and national levels, making them more visible and helping to close the cybersecurity talent gap of cybersecurity professionals. EUサイバーセキュリティ・スキル・アカデミーは、欧州および国家レベルでのサイバーセキュリティ・スキルの向上、その可視化、サイバーセキュリティ専門家の人材格差の解消を目指す民間と公共のイニシアティブを結集するものである。
The Academy will initially be hosted online on the Commission's Digital Skills and Jobs platform. Citizens interested in pursuing a career in cybersecurity will be able to find training and certifications from across the EU in a single place online. Stakeholders will also be able to pledge their support to improve cybersecurity skills in the EU by initiating specific actions, such as to offering cybersecurity trainings and certifications. 同アカデミーは当初、欧州委員会の「Digital Skills and Jobs」プラットフォーム上でオンライン開催される予定である。サイバーセキュリティの分野でキャリアを積むことに関心のある市民は、EU全域のトレーニングや認定資格をオンラインで一か所から探すことができるようになる。また、関係者は、サイバーセキュリティの研修や資格の提供など、具体的な行動を開始することで、EUにおけるサイバーセキュリティのスキル向上への支援を表明することができる。
The Academy will evolve to include a common space for academia, training providers and industry helping them to coordinate education programmes, trainings, funding, and monitor the evolution of the cybersecurity job market.  アカデミーは、学術界、研修プロバイダー、産業界が教育プログラム、研修、資金調達を調整し、サイバーセキュリティの雇用市場の進化を監視するのに役立つ共通のスペースを含むように発展していくだろう。 
Certification Schemes for Managed Security Services マネージド・セキュリティ・サービスの認証スキーム
The Commission has also proposed today a targeted amendment to the Cybersecurity Act, to enable the future adoption of European certification schemes for ‘managed security services'. These are highly critical and sensitive services provided by cybersecurity service providers, such as incident response, penetration testing, security audits and consultancy, to assist companies and other organisations prevent, detect, respond or recover from cyber incidents. また、欧州委員会は本日、「マネージド・セキュリティ・サービス」に対する欧州の認証スキームを将来的に採用することを可能にするため、サイバーセキュリティ法の的を絞った改正を提案した。これらのサービスは、企業やその他の組織がサイバーインシデントを予防、検出、対応、回復するのを支援するために、インシデント対応、侵入テスト、セキュリティ監査、コンサルティングなど、サイバーセキュリティサービスプロバイダーが提供する非常に重要で機密性の高いサービスである。
Certification is key and can play an important role in the context of the EU Cybersecurity Reserve and the Directive on measures for a high common level of cybersecurity across the Union (NIS 2 Directive), facilitating also the cross-border provision of these services. 認証は重要であり、EUサイバーセキュリティ・リザーブおよびEU全域におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(NIS 2指令)の文脈において重要な役割を果たし、これらのサービスの国境を越えた提供をも促進することができる。
Next Steps 次のステップ
The European Parliament and the Council will now examine the proposed Regulation on the EU Cyber Solidarity Act, as well as the targeted amendment to the Cybersecurity Act. 欧州議会と理事会は今後、EUサイバー連帯法に関する規則案と、サイバーセキュリティ法の的を射た改正案を検討することになる。
The European Cybersecurity Competence Centre will organise a joint procurement of tools and infrastructures with the selected cross-border Security Operations Centres to build cyber detection capabilities.   欧州サイバーセキュリティ・コンピテンスセンターは、サイバー検知能力を構築するために、選定された国境を越えたセキュリティ・オペレーションセンターとツールやインフラの共同調達を組織する予定である。 
The EU Cybersecurity Agency (ENISA) and the European Cybersecurity Competence Centre will continue working on cybersecurity skills, contributing to the implementation of the Cybersecurity Skills Academy, in line with their respective mandates, and in close cooperation with the Commission and the Member States. EUサイバーセキュリティ機関(ENISA)と欧州サイバーセキュリティ能力センターは、それぞれの権限に基づき、欧州委員会および加盟国と緊密に協力しながら、サイバーセキュリティ・スキルアカデミー実施に貢献し、サイバーセキュリティスキルに関する取り組みを継続する。
The Commission proposes that the Academy takes the shape of a European digital infrastructure consortium (EDIC), a new legal framework to implement multi-country projects. This possibility will now be discussed with Member States. 欧州委員会は、このアカデミーを、複数国のプロジェクトを実施するための新しい法的枠組みである欧州デジタル基盤コンソーシアム(EDIC)の形にすることを提案している。この可能性については、今後、加盟国と協議することになる。
It is also necessary to ensure that professionals undertake required quality trainings. In this regard, ENISA will develop a pilot project, exploring the set-up of a European attestation scheme for cybersecurity skills.   また、専門家が必要な質の高いトレーニングを受けることを保証することも必要である。この点に関して、ENISAは、サイバーセキュリティスキルに関する欧州の認証スキームの設定を検討するパイロットプロジェクトを開発する予定である。 
Background 背景
With the proposed EU Cyber Solidary Act, the Commission responds to the Member States' call to strengthen EU cyber resilience, and delivers on its commitment expressed in the recent Joint Cyber Defence Communication to prepare an EU Cyber Solidarity Initiative. 欧州委員会は、EUサイバー連帯法を提案することで、EUのサイバー耐性を強化するという加盟国の要請に応え、EUサイバー連帯イニシアチブを準備するという最近の共同サイバー防衛コミュニケーションで表明した公約を実現する。
The EU Cyber Solidary Act and the Cybersecurity Skills Academy build upon the EU Cybersecurity strategy as well as the EU's legislative framework to bolster the EU's collective resilience against increasing cybersecurity threats. This includes the Directive on measures for a high common level of cybersecurity across the Union (NIS 2) and the Cybersecurity Act. EUサイバー連帯法とサイバーセキュリティ・スキルアカデミーは、EUサイバーセキュリティ戦略や、増大するサイバーセキュリティの脅威に対するEUの集団的な回復力を強化するためのEUの法的枠組みを基盤としている。これには、EU全体でサイバーセキュリティを高度に共通化するための措置に関する指令(NIS 2)およびサイバーセキュリティ法が含まれる。
For More Information 詳細情報
Questions & Answers - Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience 質疑応答 ・サイバー:効果的な作戦協力、連帯、回復力のためのEUの能力強化に向けて
Factsheet – EU Cyber Solidarity Act ファクトシート ・EUサイバー連帯法
Factsheet – Cybersecurity Skills Academy ファクトシート ・サイバーセキュリティ・スキルアカデミー
Proposed Regulation on the Cyber Solidarity Act サイバー連帯法に関する規制案について
Commission communication on the Cybersecurity Skills Academy サイバーセキュリティ・スキルアカデミーに関する欧州委員会のコミュニケーション
Proposed Regulation on ‘managed security services' amendment マネージドセキュリティサービス」に関する規制案の修正について
Factsheet - the EU Cybersecurity Strategy ファクトシート ・EUサイバーセキュリティ戦略
EU Cyber Solidarity Act policy page EU Cyber Solidarity Actポリシーページ
EU Cybersecurity Skills Academy – Digital Skills and Jobs Platform EU Cybersecurity Skills Academy ・Digital Skills and Jobsプラットフォーム
Quote(s) 引用:

With the cyber package presented today, we show how by acting in solidarity, we can build up the infrastructure, skills and capacities that we need to face our common growing cybersecurity threat.

本日発表されたサイバーパッケージにより、我々は連帯して行動することで、共通に拡大するサイバーセキュリティの脅威に立ち向かうために必要なインフラ、スキル、能力をいかに構築できるかを示すことができます。
Margrethe Vestager, Executive Vice-President for a Europe Fit for the Digital Age - 18/04/2023 マルグレーテ・ヴェスタガー、「デジタル時代にふさわしい欧州」担当上級副大統領 ・18/04/2023

The EU Cyber Solidarity Act and the Cybersecurity Skills Academy are our two new tangible instruments to address the EU’s operational cybersecurity needs: the Act brings forward concrete measures that will allow the EU to respond to threats and attacks; and the Academy aims at reinforcing our skills base so that we have the people we need for this purpose.

EUサイバー連帯法」と「サイバーセキュリティ・スキルアカデミー」は、EUのサイバーセキュリティのニーズに対応するための2つの新しい具体的な手段である。同法は、EUが脅威や攻撃に対応できるようにするための具体策を提示し、アカデミーは、この目的に必要な人材を確保するためにスキルベースを強化することを目的としている。
Margaritis Schinas, Vice-President for Promoting our European Way of Life - 18/04/2023 マルガリーテス・シナス副総裁(欧州生活様式推進担当) ・18/04/2023

Today marks the proposal of a European cyber shield. To effectively detect, respond, and recover from large-scale cybersecurity threats, it is imperative that we invest substantially and urgently in cybersecurity capabilities. The Cyber Solidarity Act is a critical milestone in our journey towards achieving this objective.

今日は、欧州のサイバーシールドの提案の記念すべき日である。大規模なサイバーセキュリティの脅威を効果的に検知し、対応し、回復するためには、サイバーセキュリティの能力に大幅かつ緊急に投資することが不可欠である。サイバー連帯法は、この目的を達成するための重要なマイルストーンとなる。
Thierry Breton, Commissioner for Internal Market - 18/04/2023 ティエリー・ブルトン、域内市場担当委員 ・18/04/2023

 

 

・2023.04.18 The EU Cyber Solidarity Act

The EU Cyber Solidarity Act EUサイバー連帯法

On the 18 April 2023, the European Commission proposed the EU Cyber Solidarity Act, to improve the preparedness, detection and response to cybersecurity incidents across the EU.
2023年4月18日、欧州委員会は、EU全域におけるサイバーセキュリティ事件への備え、検知、対応を改善するための「EUサイバー連帯法」を提案した。

The EU Cyber Solidarity Act aims to strengthen capacities in the EU to detect, prepare for and respond to significant and large-scale cybersecurity threats and attacks. The proposal  includes a European Cybersecurity Shield, made of Security Operation Centres interconnected across the EU, and a comprehensive Cybersecurity Emergency Mechanism to improve the EU’s cyber posture .

EUサイバー連帯法は、重大かつ大規模なサイバーセキュリティの脅威や攻撃を検知、準備、対応するためのEU内の能力を強化することを目的としている。この提案には、EUのサイバー態勢を改善するために、EU全域で相互接続されたセキュリティ・オペレーション・センターからなる「欧州サイバーセキュリティ・シールド」と、包括的な「サイバーセキュリティ緊急メカニズム」が含まれている。
European Cybersecurity Shield 欧州サイバーセキュリティ・シールド
The European Cyber Shield will be composed of Security Operations Centres (SOCs) across the EU, brought together in several multi-country SOC platforms, built with support from the Digital Europe Programme (DEP) to supplement national funding. The Cyber Shield will be tasked with improving the detection, analysis and response to cyber threats. These SOCs will use advanced technology such as Artificial Intelligence (AI) and data analytics to detect and share warnings on such threats with  authorities across borders. They will allow for a more timely and efficient response to major threats.During a first phase, launched in November 2022, three consortia of cross-border Security Operations Centres (SOCs) were selected, bringing together public bodies from 17 Member States and Iceland, under the Digital Europe Programme. 欧州サイバーシールドは、EU全域のセキュリティ・オペレーション・センター(SOC)で構成され、複数の国からなるSOCプラットフォームに集められ、デジタル・ヨーロッパ・プログラム(DEP)の支援を受けて各国の資金を補う形で構築される。サイバーシールドは、サイバー脅威の検知、分析、対応を改善することを任務とする。これらのSOCは、人工知能(AI)やデータ分析などの先進技術を駆使して、こうした脅威を検知し、国境を越えて当局と警告を共有する。2022年11月に開始された第1期では、デジタル・ヨーロッパ・プログラムのもと、17の加盟国とアイスランドの公共団体が参加する国境を越えたセキュリティ・オペレーション・センター(SOC)の3つのコンソーシアムが選定された。
Cyber Emergency Mechanism サイバー緊急事態メカニズム
The Cyber Emergency Mechanism will ensure that preparedness and response to cybersecurity incidents are improved. It will do this by: サイバーエマージェンシーメカニズムは、サイバーセキュリティインシデントに対する準備と対応を改善することを保証する。そのために、以下のことを行う:
・Supporting preparedness actions - Testing entities in crucial sectors such as finance, energy and healthcare for potential weaknesses that could make them vulnerable to cyber threats. The selection of sectors to be tested will be based on common risk assessment at the EU level. ・準備行動の支援:金融、エネルギー、医療などの重要な分野の事業体が、サイバー脅威に対して脆弱となり得る潜在的な弱点がないかどうかをテストする。テスト対象となるセクターの選定は、EUレベルでの共通のリスク評価に基づいて行われる。
・Creating an EU Cybersecurity Reserve –The EU Cybersecurity Reserve would consist of incident response services from private service providers (‘trusted providers’), that can be deployed at the request of Member States or Union Institutions, bodies and agencies, to help them address significant or large-scale cybersecurity incidents. ・EUサイバーセキュリティ・リザーブの創設:EUサイバーセキュリティ・リザーブは、民間サービスプロバイダー(「信頼できるプロバイダー」)による事故対応サービスで構成され、加盟国やEU機関・団体の要請に応じて配備され、重大または大規模なサイバーセキュリティ事故への対応を助けることができる。
・Mutual assistance – The mechanism will support  a Member State that offers mutual assistance to another Member State affected by  a cybersecurity incident. ・相互支援:このメカニズムは、サイバーセキュリティ事件の影響を受けた他の加盟国に対して相互支援を提供する加盟国を支援するものである。
Funding 資金調達
The EU Cybersecurity Shield and the Cybersecurity Emergency Mechanism of this Regulation will be supported by funding under Strategic Objective ‘Cybersecurity’ of DEP. 本規則の「EUサイバーセキュリティ・シールド」と「サイバーセキュリティ緊急メカニズム」は、DEPの戦略目標「サイバーセキュリティ」に基づく資金で支援される予定である。
The total budget includes an increase of EUR 100 million that this Regulation proposes to re-allocate from other Strategic Objectives of DEP. This will bring the new total amount available for Cybersecurity actions under DEP to EUR 842.8 million. 総予算には、本規則がDEPの他の戦略目標から再配分することを提案する1億ユーロの増額が含まれている。これにより、DEPのサイバーセキュリティ対策に利用できる新たな総額は8億4280万ユーロとなる。
Part of the additional EUR 100 million will reinforce the budget managed by the ECCC to implement actions on SOCs and preparedness as part of their Work Programme(s). Moreover, the additional funding will serve to support the establishment of the EU Cybersecurity Reserve. 追加1億ユーロの一部は、ECCCがワークプログラムの一部としてSOCsおよび準備に関する行動を実施するために管理する予算を強化するものである。さらに、この追加資金は、EUサイバーセキュリティ準備金の設立を支援するために使用される予定である。
It complements the budget already foreseen for similar actions in the main DEP and Cybersecurity DEP WP from the period 2023-2027 which could bring the total to 551 million for 2023-2027, while 115 million were dedicated already in the form of pilots for 2021-2022. Including Member States contributions, the overall budget could amount up to 1.109 billion euros. これは、2023年から2027年の期間、DEPおよびサイバーセキュリティDEPのWPで同様の活動を行うために既に予測されている予算を補完するもので、2023年から2027年の合計で5億5100万円となり、2021年から2022年のパイロット版の形で既に1億1500万円が計上されている。加盟国からの拠出を含めると、全体の予算は11億900万ユーロに達する可能性がある。
Cybersecurity Incident Review Mechanism サイバーセキュリティ・インシデントレビュー・メカニズム
The proposed Regulation would also establish the Cybersecurity Incident Review Mechanism to assess and review specific cybersecurity incidents: . At the request of the Commission or of national authorities (the EU-CyCLONe or the CSIRTs network), the EU Cybersecurity Agency (ENISA) will be responsible for the review of specific significant or large-scale cybersecurity incident and should deliver a report that includes lessons learned, and where appropriate, recommendations to improve Union’s cyber response. 同規則案はまた、特定のサイバーセキュリティインシデントを評価・検討するための「サイバーセキュリティ・インシデントレビュー・メカニズム」を設置するとしている。欧州委員会または各国機関(EU-CyCLONeまたはCSIRTsネットワーク)の要請に応じて、EUサイバーセキュリティ機関(ENISA)は、特定の重大または大規模なサイバーセキュリティ事件のレビューを担当し、学んだ教訓と、必要に応じて、EUのサイバー対応を改善するための勧告を含む報告書を提出すべきである。

 

・2023.04.18 EU Cyber Solidarity Act Factsheet

EU Cyber Solidarity Act Factsheet EUサイバー連帯法ファクトシート
The EU Cyber Solidarity Act aims to strengthen common EU detection of cybersecurity threats and incidents and situational awareness, as well as preparedness and response capabilities. EUサイバー連帯法は、サイバーセキュリティの脅威やインシデントに対するEU共通の検知と状況認識、そして準備と対応能力を強化することを目的としている。

 

・[PDF] EU Cyber Solidarity Act Factsheet

20230421-51842

The Commission proposed a regulation on the EU Cyber Solidarity Act to reinforce the EU’s solidarity and coordinated actions to detect, prepare and effectively respond to growing cybersecurity threats and incidents. 欧州委員会は、拡大するサイバーセキュリティの脅威やインシデントの検知、準備、効果的な対応に向けたEUの連帯と協調行動を強化するため、EUサイバー連帯法に関する規制を提案した。
The Cyber Solidarity Act, funded by €1.1 billion (of which about 2/3 will come from the EU budget) introduces: サイバー連帯法は、11億ユーロ(うち約2/3はEU予算)の資金を投入して導入される:
・A European Cyber Shield, a pan European infrastructure of national and cross border SOCs ・国や国境を越えた SOC による汎欧州的なインフラである European Cyber Shield を導入する。
The Security Operations Centres (SOCs), are entities that monitor and analyse insights on cyber threats. With the Cyber Shield they will be able to provide timely warnings across borders. セキュリティ・オペレーション・センター(SOC)は、サイバー脅威の監視と分析を行う組織である。サイバーシールドの導入により、国境を越えてタイムリーな警告を発することができるようになる。
・A Cyber Emergency Mechanism to: ・サイバーエマージェンシーメカニズム:
・・Strengthen preparedness by testing entities in highly critical sectors (healthcare, transport, energy, etc.) for potential vulnerabilities. ・・重要度の高い分野(医療、交通、エネルギーなど)の事業者が潜在的な脆弱性をテストすることで、備えを強化する。
・・Create an EU Cybersecurity Reserve with incident response services from trusted providers ready to intervene, at the request of a Member State, in case of significant and large-scale cybersecurity incidents. ・・重要かつ大規模なサイバーセキュリティ事件が発生した場合に、加盟国の要請に応じて、信頼できるプロバイダーによる事件対応サービスを提供するEUサイバーセキュリティ・リザーブを創設する。
・・Provide financial support for mutual assistance between Member States’ national authorities. ・・加盟国の国家当局間の相互支援のための財政支援を行う。
・A Cybersecurity Incident Review Mechanism to: ・サイバーセキュリティ・インシデントレビュー・メカニズムは、以下のことを行う:
・・Review and assess significant or large-scale incidents. ・・重要または大規模なインシデントのレビューと評価を行う。
・・At the request of the Commission, the EU-CyCLONe or the CSIRTs network, ENISA should review the cybersecurity incident and response. ENISA should then deliver a report on lessons learned and recommendations. ・・欧州委員会、EU-CyCLONe、CSIRTsネットワークの要請に応じて、ENISAは、サイバーセキュリティインシデントとその対応をレビューしなければならない。その後、ENISAは、教訓と勧告に関する報告書を提出すべきである。

 

 

・2023.04.18 Proposed Regulation on the Cyber Solidarity Act

Proposed Regulation on the Cyber Solidarity Act サイバー連帯法に関する規則案
The EU Cyber Solidarity Act aims to strengthen capacities in the EU to detect, prepare for and respond to significant and large-scale cybersecurity threats and attacks. EUサイバー連帯法は、重要かつ大規模なサイバーセキュリティの脅威や攻撃を検知、準備、対応するためのEU内の能力を強化することを目的としている。

 

・[PDF] Annexes

ANNEXES to the REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cybersecurity threats and incidents サイバーセキュリティの脅威や事件を検知、準備、対応するためのEUの連帯と能力を強化するための措置を定めた欧州議会および欧州評議会の規則の附属書。
ANNEX   附属書
Regulation (EU) 2021/694 is amended as follows:  規則(EU)2021/694は、以下のように改正される: 
(1)In Annex I, the section/ chapter ‘Specific Objective 3 – Cybersecurity and Trust’ is replaced by the following:   (1)附属書Ⅰにおいて、『特定の目標3 ・サイバーセキュリティ及び信頼』の項/章を以下のように置き換える:  
‘Specific Objective 3 – Cybersecurity and Trust   特定目標3-サイバーセキュリティと信頼」は、次のように置き換えられる:『特定目標3-サイバーセキュリティと信頼  
The Programme shall stimulate the reinforcement, building and acquisition of essential capacities to secure the Union’s digital economy, society and democracy by reinforcing the Union cybersecurity industrial potential and competitiveness, as well as by improving capabilities of both the private and public sectors to protect citizens and businesses from cyber threats, including by supporting the implementation of Directive (EU) 2016/1148.   本プログラムは、指令(EU)2016/1148の実施を支援することを含め、サイバー脅威から市民と企業を守るための民間と公的部門の能力を向上させるとともに、連合のサイバーセキュリティ産業の潜在力と競争力を強化することにより、連合のデジタル経済、社会、民主主義を確保するために不可欠な能力の強化、構築、取得を促進するものとする。 
Initial and, where appropriate, subsequent actions under this objective shall include:   本目標の下での初期および適切な場合にはその後の行動は、以下を含むものとする:  
1.                 Co-investment with Member States in advanced cybersecurity equipment, infrastructures and knowhow that are essential to protect critical infrastructures and the Digital Single Market at large. Such co-investment could include investments in quantum facilities and data resources for cybersecurity, situational awareness in cyberspace including National SOCs and Cross-border SOCs forming the European Cyber Shield, as well as other tools to be made available to public and private sector across Europe.   1.                 重要インフラ及びデジタル単一市場全般の保護に不可欠な先進的なサイバーセキュリティ機器、インフラ及びノウハウへの加盟国との共同投資。このような共同投資には、サイバーセキュリティのための量子施設やデータリソースへの投資、欧州サイバーシールドを形成する国内SOCや国境を越えたSOCを含むサイバー空間の状況認識、欧州全域の官民セクターが利用できるようにするその他のツールなどが含まれ得る。 
2.                 Scaling up existing technological capacities and networking the competence centres in Member States and making sure that those capacities respond to public sector and industry needs, including through products and services that reinforce cybersecurity and trust within the Digital Single Market.   2.                 既存の技術的能力を拡大し、加盟国のコンピテンスセンターをネットワーク化し、デジタル単一市場においてサイバーセキュリティと信頼を強化する製品やサービスを通じて、これらの能力が公共部門や産業のニーズに対応するようにする。 
3.                 Ensuring wide deployment of effective state-of-the-art cybersecurity and trust solutions across the Member States. Such deployment includes strengthening the security and safety of products, from their design to their commercialisation.   3.                 効果的な最先端のサイバーセキュリティと信頼のソリューションが、加盟国全体で広く展開されるようにする。このような展開には、製品の設計から商品化まで、製品のセキュリティと安全性を強化することが含まれる。 
4.                 Support closing the cybersecurity skills gap by, for example, aligning cybersecurity skills programmes, adapting them to specific sectorial needs and facilitating access to targeted specialised training.   4.                 例えば、サイバーセキュリティスキルプログラムを整合させ、特定のセクターのニーズに適合させ、対象となる専門トレーニングへのアクセスを容易にすることによって、サイバーセキュリティスキルギャップの解消を支援する。 
5.                 Promoting solidarity among Member States in preparing for and responding to significant cybersecurity incidents through deployment of cybersecurity services across borders, including support for mutual assistance between public authorities and the establishment of a reserve of trusted cybersecurity providers at Union level.‘;  5.                 国境を越えたサイバーセキュリティサービスの展開を通じて、重大なサイバーセキュリティインシデントへの準備と対応における加盟国間の連帯を促進し、公的機関間の相互支援の支援や連合レベルでの信頼できるサイバーセキュリティプロバイダーの予備軍の設立を含む; 
(2) In Annex II the section/chapter ‘Specific Objective 3 – Cybersecurity and Trust’ is replaced by the following:   (2) 附属書Ⅱにおいて、セクション/章「特定の目標3-サイバーセキュリティと信頼」は、以下のものに置き換えられる:  
‘Specific Objective 3 – Cybersecurity and Trust   具体的目標3-サイバーセキュリティと信頼」を次のように改める。 
3.1. The number of cybersecurity infrastructure, or tools, or both jointly procured1   3.1. サイバーセキュリティのインフラ、またはツール、あるいはその両方を共同調達した数1  
3.2. The number of users and user communities getting access to European cybersecurity facilities   3.2. 欧州のサイバーセキュリティ施設にアクセスできるようになったユーザーとユーザーコミュニティーの数  
3.3 The number of actions supporting preparedness and response to cybersecurity incidents under the Cyber Emergency Mechanism’  3.3 サイバー緊急メカニズムに基づくサイバーセキュリティインシデントへの準備と対応を支援するアクションの数' 

 

・2023.04.18 Questions and Answers: Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience

Questions and Answers: Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience 質問と回答 サイバー:効果的な作戦協力、連帯、回復力のためのEUの能力強化に向けて
EU Cyber Solidarity Act EUサイバー連帯法
What are the objectives of the proposal for a Cyber Solidarity Act? サイバー連帯法の提案の目的は何であるか?
In line with the Council Conclusions on the EU's Cyber Posture of May 2022 and as announced in the Joint Cyber Defence Communication, the Commission has proposed an EU Cyber Solidarity Act. 2022年5月のEUのサイバー態勢に関する理事会結論に沿い、また、サイバー防衛に関する共同コミュニケーションで発表されたように、欧州委員会はEUサイバー連帯法を提案している。
The EU Cyber Solidarity Act includes a series of actions to strengthen solidarity and enhance coordinated EU detection and situational awareness, while at the same time supporting Member States' preparedness and response capabilities to significant or large-scale cybersecurity incidents, through: EUサイバー連帯法は、連帯を強化し、EUの協調的な検知と状況認識を強化すると同時に、重大または大規模なサイバーセキュリティ事件に対する加盟国の準備と対応能力を支援する一連の行動を含んでいる:
The European Cyber Shield, which will consist of a pan-European infrastructure of Security Operation Centers (SOCs), to build and enhance coordinated detection and situational awareness capabilities. 欧州サイバーシールドは、セキュリティ・オペレーションセンター(SOC)の汎欧州インフラで構成され、協調的な検知・状況認識能力を構築・強化するものである。
The Cybersecurity Emergency Mechanism to support Member States in preparing for and responding to major or large-scale cybersecurity incidents. サイバーセキュリティ緊急メカニズム:加盟国が大規模なサイバーセキュリティインシデントに備え、対応することを支援する。
The Cybersecurity Incident Review Mechanism to review and assess significant or large-scale incidents. 重要または大規模なインシデントをレビューし評価するための「サイバーセキュリティインシデントレビューメカニズム」。
The Cyber Security Act will be supported by a total of €1.1 billion, of which about 2/3 will come from the EU budget. サイバーセキュリティ法は、総額11億ユーロの支援を受けており、そのうち約2/3がEU予算から拠出される予定である。
How will the European Cyber Shield work? 欧州のサイバーシールドはどのように機能するのか?
The European Cyber Shield will consist of a pan-European infrastructure that connects Security Operations Centres (SOCs) spread across the EU. 欧州サイバーシールドは、EU全域に広がるセキュリティ・オペレーション・センター(SOC)を結ぶ汎欧州的なインフラストラクチャで構成される予定である。
It will strengthen capacities to analyse, detect and prevent cyber threats and to support the production of high-quality intelligence on cyber threats. This will be done using state-of-the-art tools, such as artificial intelligence (AI) and advanced data analytics. These tools will be jointly procured by the European Cybersecurity Competence Centre (ECCC) in collaboration with national or cross-border SOCs. これにより、サイバー脅威を分析、検知、予防する能力を強化し、サイバー脅威に関する高品質のインテリジェンスの作成を支援する。これは、人工知能(AI)や高度なデータ分析など、最先端のツールを用いて行われる。これらのツールは、欧州サイバーセキュリティ能力センター(ECCC)が、各国または国境を越えたSOCと協力して共同調達する予定である。
National SOCs will make up the building blocks of the European Cyber Shield. These will be public bodies, designated by Member States, acting as gateways to other public and private organisations at national level for collecting and analysing information on cybersecurity threats and incidents. 各国のSOCは、欧州サイバーシールドのビルディングブロックを構成する。これは加盟国が指定する公的団体で、サイバーセキュリティの脅威やインシデントに関する情報を収集・分析するために、国レベルで他の公的・民間組織とのゲートウェイとして機能する。
The European Cyber Shield will ultimately be made up of several cross-border SOC platforms, each grouping together national SOCs from at least three Member States. Support from the Digital Europe Programme (DEP) will supplement national funding for the SOCs. 欧州サイバーシールドは最終的に、少なくとも3つの加盟国の国内SOCを集めた、複数の国境を越えたSOCプラットフォームで構成される予定である。デジタル・ヨーロッパ・プログラム(DEP)からの支援は、SOCのための国内資金を補うことになる。
The first phase of establishing the European Cyber Shield is ongoing following a Call for Expression of Interest for cross-border SOCs under the DEP Cybersecurity Work Programme 2021-2022. DEP Cybersecurity Work Programme 2021-2022に基づく国境を越えたSOCの関心表明の募集を受け、欧州サイバーシールドの設立の第一段階が進行中である。
The European Cyber Shield will build upon and complement the work of existing SOCs, Computer Security Incident Response Teams (CSIRTs) and other relevant actors. 欧州サイバーシールドは、既存のSOC、コンピュータセキュリティインシデント対応チーム(CSIRT)、その他の関連アクターの活動を基礎とし、補完することになる。
What is a Security Operations Centre (SOC)? セキュリティ・オペレーションセンター(SOC)とは?
The EU Cybersecurity Strategy proposes to build, strengthen and interconnect cyber threat intelligence (CTI) capabilities across the European Union. Such capabilities involve monitoring, detection and analysis to prevent cyber threats and provide timely warnings to authorities and all relevant stakeholders. EUサイバーセキュリティ戦略では、EU全体でサイバー脅威情報(CTI)能力を構築、強化、相互接続することを提案している。このような能力は、サイバー脅威を防止し、当局やすべての関係者にタイムリーな警告を提供するための監視、検出、分析に関与する。
These capabilities are typically ensured by public or private Security Operations Centres (SOCs). These centres work together with Computer Emergency Response Teams/Computer Security Incident Response Teams (CERTs/CSIRTs) and they are supported by external, specialised sources of intelligence on cyber threats. これらの能力は、通常、公的または民間のセキュリティ・オペレーション・センター(SOC)によって確保される。これらのセンターは、コンピュータ緊急対応チーム/コンピュータセキュリティインシデント対応チーム(CERTs/CSIRTs)と連携し、サイバー脅威に関する外部の専門的な情報源によって支援される。
SOCs may include any entity or team tasked with detecting and acting on cyber threats. SOCは、サイバー脅威の検出と対処を任務とするあらゆる団体やチームを含むことができる。
The European Cyber Shield will be made up of National SOCs, which are public bodies designated by Member States to fill this role at national level, as well as cross-border SOCs consisting of at least three national SOCs working together to pool cyber threat intelligence. 欧州サイバーシールドは、加盟国が国レベルでこの役割を果たすために指定した公的団体である国別SOCと、少なくとも3つの国別SOCが連携してサイバー脅威の情報を共有する国境を越えたSOCで構成される予定である。
How will the Cybersecurity Emergency Mechanism work? サイバーセキュリティ緊急メカニズムはどのように機能するのか?
The Cybersecurity Emergency Mechanism will strengthen the EU's preparedness and response to cybersecurity incidents. The support from the Mechanism is complementary to national resources and capabilities and other forms of support available at Union level.   サイバーセキュリティ緊急メカニズムは、サイバーセキュリティ事件に対するEUの準備と対応を強化するものである。メカニズムによる支援は、各国のリソースや能力、EUレベルで利用可能な他の形態の支援を補完するものである。 
The Mechanism includes: 同メカニズムには以下が含まれる:
Preparedness actions, including testing entities operating in highly critical sectors (healthcare, transport, energy, etc.) for potential vulnerabilities. The Commission, after consulting the NIS Cooperation Group and ENISA, the EU Agency for Cybersecurity, will identify sectors and sub-sectors from which entities should be eligible to receive financial support for coordinated testing. EU funding will also support other preparedness actions not covered by coordinated testing. 高度に重要な分野(医療、運輸、エネルギーなど)で活動する事業体の潜在的な脆弱性をテストするなどの準備行動。欧州委員会は、NIS協力グループおよびEUサイバーセキュリティ機関であるENISAと協議した上で、協調テストのための資金援助を受ける資格がある機関およびサブセクターを特定する。EUの資金は、協調テストの対象外であるその他の準備行動も支援する予定である。
Support for incident response and immediate recovery from significant and large-scale cybersecurity incidents. Support will be provided through the EU Cybersecurity Reserve with services from trusted private providers. Such services include, among others, incident analysis or incident response coordination. In case of significant or large-scale cyber-incidents, at the request of Member States, these actions will support the response and immediate recovery of essential services. 重大かつ大規模なサイバーセキュリティ事件からの事件対応と即時復旧のための支援。支援は、信頼できる民間プロバイダーからのサービスとともに、EUサイバーセキュリティ・リザーブを通じて提供される予定である。このようなサービスには、特に、インシデント分析またはインシデント対応の調整が含まれる。重大または大規模なサイバーインシデントが発生した場合、加盟国の要請に応じて、これらの行動は、必要不可欠なサービスの対応と即時復旧を支援することになる。
Mutual assistance between national authorities for situations when a Member State dispatches experts to assist another Member State in mitigating a cybersecurity incident. 加盟国が他の加盟国を支援するために専門家を派遣し、サイバーセキュリティインシデントを緩和する場合の国家当局間の相互支援。
What is preparedness under the Cyber Solidarity Act? サイバー連帯法における準備とは?
Cybersecurity preparedness means a state of readiness and capability enabling an effective rapid response to a significant or large-scale cybersecurity incident. This can be ensured through risk assessment for potential vulnerabilities and monitoring actions taken in advance. サイバーセキュリティの準備とは、重大または大規模なサイバーセキュリティインシデントへの効果的な迅速な対応を可能にする準備と能力の状態を意味する。これは、潜在的な脆弱性に対するリスクアセスメントと、事前に行われる監視行動によって確保することができる。
The increasing impact of cybersecurity incidents represents a major threat to the functioning of technology and to the Single Market as whole. The quickly evolving threat landscape demands stronger preparedness at all levels of the EU's cybersecurity ecosystem. サイバーセキュリティ事件の影響の増大は、技術の機能および単一市場全体に対する大きな脅威を意味する。急速に進化する脅威の状況は、EUのサイバーセキュリティ・エコシステムのあらゆるレベルにおいて、より強い備えを要求している。
The preparedness actions proposed in the Regulation promote a consistent approach and the strengthening of security across the EU and its internal market. Member States would receive support for testing and assessing entities operating in highly critical sectors. The sectors or subsectors will be selected at the EU level to ensure coordinated action. 同規則で提案されている準備行動は、EUとその域内市場全体における一貫したアプローチとセキュリティの強化を促進するものである。加盟国は、極めて重要な分野で活動する事業体のテストと評価のための支援を受けることになる。この分野やサブセクターは、協調行動を確実にするためにEUレベルで選定される。
In addition, the Regulation proposes support for other preparedness actions, not covered by the coordinated testing of entities operating in highly critical sectors. Those actions could cover support to various types of other national preparedness activities. さらに、規則では、高度に重要な分野で活動する企業の協調的な試験には含まれない、その他の準備行動に対する支援を提案している。これらの行動には、様々な種類の他の国の準備活動への支援が含まれる可能性がある。
What is testing under the Cyber Solidarity Act? サイバー連帯法に基づくテストとは何であるか?
The Cybersecurity Emergency Mechanism includes the cybersecurity testing of entities operating in highly critical sectors (healthcare, energy, transport, etc.) for potential vulnerabilities based on EU risk assessments and methodologies developed by the NIS Cooperation Group in cooperation with the Commission, ENISA, and the High Representative for the Common Foreign and Security Policy. サイバーセキュリティ緊急メカニズムには、欧州委員会、ENISA、共通外交・安全保障政策上級代表と協力してNIS協力グループが開発したEUリスク評価と方法論に基づいて、高度に重要なセクター(医療、エネルギー、輸送など)で活動する事業体の潜在的脆弱性に関するサイバーセキュリティテストが含まれている。
The selection of sectors and development of risk scenarios should take into account relevant EU-wide risk assessments and risk scenarios. セクターの選択とリスクシナリオの策定は、関連するEU全体のリスク評価とリスクシナリオを考慮する必要がある。
What are risk assessments and risk scenarios and what is their role? リスク評価とリスクシナリオとは何か、その役割は何か。
The assessment of cybersecurity risks is fundamental in order to define the adoption of appropriate security measures to prevent and prepare for a cybersecurity incident. サイバーセキュリティのリスクを評価することは、サイバーセキュリティインシデントを防止し、それに備えるための適切なセキュリティ対策の採用を明確にするための基本的なことである。
Risk assessment is a process consisting of risk identification, risk analysis and risk evaluation. A risk scenario is a visualisation of potential sequence of events that might have adverse impact on the functioning of the networks and information systems and on the EU as a whole. リスク評価とは、リスクの特定、リスク分析、リスク評価からなるプロセスである。リスクシナリオは、ネットワークや情報システムの機能、EU全体に悪影響を及ぼす可能性のある一連の事象を可視化したものである。
For the purpose of selecting sectors from which entities should be subject to the coordinated preparedness testing, the EU Cyber Solidarity Act builds on a number of relevant EU-wide risk assessments and risk scenarios, such as for example the ongoing risk assessment as regards the communications and networks infrastructure in the Union following the Joint Ministerial Call of Nevers, and the risk evaluation conducted and risk scenarios built following the Council Conclusions on developing the Union's Cyber Posture. EUサイバー連帯法は、協調的な準備テストの対象となる事業体のセクターを選択する目的で、EU全体のリスク評価とリスクシナリオを構築している。例えば、ネヴァースの共同閣僚会議に続いて行われたEU内の通信・ネットワークインフラに関する進行中のリスク評価や、EUのサイバー態勢の整備に関する理事会結論に従って行われたリスク評価とリスクシナリオの構築などである。
Which services and entities will make up the EU Cybersecurity Reserve? どのようなサービスや団体がEUサイバーセキュリティ・リザーブを構成するのであるか?
The aim of the EU Cybersecurity reserve is to support response actions and provide immediate support to recover from significant and large-scale cybersecurity incidents. EUサイバーセキュリティ予備軍の目的は、対応行動を支援し、重大かつ大規模なサイバーセキュリティ事件から回復するための即時支援を提供することである。
The EU Cybersecurity Reserve will consist of services from a selected pool of trusted private companies providing managed security services, such as incident analysis or incident response coordination. These companies will be ready and can be mobilized to support Member States in case of significant and large-scale cybersecurity incidents affecting entities covered by the Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive). EUサイバーセキュリティ・リザーブは、インシデント分析やインシデント対応の調整などのマネージド・セキュリティ・サービスを提供する信頼できる民間企業の中から選ばれたサービスから構成される。これらの企業は、EU全域におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(NIS2指令)の対象となる事業体に影響を及ぼす重大かつ大規模なサイバーセキュリティ事件が発生した場合、加盟国を支援するための準備を整え、動員することができるようにする。
The providers of these services will be selected in a procurement procedure. The Cyber Solidarity Act sets out a series of principles and selection criteria that should be followed during such procedure. In order to support the Commission in establishing the EU Cybersecurity Reserve, ENISA, after consulting Member States and the Commission, will prepare a mapping of the services needed for the EU Cybersecurity Reserve. これらのサービスのプロバイダーは、調達手続きで選定される予定である。サイバー連帯法は、このような手続きにおいて従うべき一連の原則と選定基準を定めている。欧州委員会がEUサイバーセキュリティ・リザーブを設立するのを支援するために、ENISAは加盟国と欧州委員会に相談した後、EUサイバーセキュリティ・リザーブに必要なサービスのマッピングを作成する予定である。
How can the Member States make use of the EU Cybersecurity Reserve? 加盟国はどのようにEUサイバーセキュリティ・リザーブを利用することができるのか?
Upon the request of the Member States, the EU Cybersecurity Reserve will assist competent authorities in responding to significant or large-scale cybersecurity incidents, and in immediately recovering from such incidents. 加盟国の要請に応じて、EUサイバーセキュリティ・リザーブは、重大または大規模なサイバーセキュリティ事件への対応や、そのような事件からの即時復旧において、所轄当局を支援することになる。
The support from the EU Cybersecurity Reserve is complementary to national mitigating measures and support actions. Therefore, to receive support, the competent authority should also itself provide to the affected entity direct technical assistance, and other resources to assist the response and immediate recovery efforts. EUサイバーセキュリティ・リザーブからの支援は、国内の緩和策や支援行動を補完するものである。したがって、支援を受けるためには、所轄官庁自身も、影響を受ける事業者に対して、直接的な技術支援、および対応と即時復旧の取り組みを支援するためのその他のリソースを提供する必要がある。
How will the support for incident response work? インシデント対応への支援はどのように行われるのか?
Once the Member State's request for support from the EU Cybersecurity Reserve is transmitted to the Commission and ENISA, the Commission, with the support of ENISA will assess it without delay. If the support is granted, the trusted service providers that form the EU Cybersecurity Reserve will offer support to Computer Security Incident Response Teams (CSIRTs) and other national competent authorities responsible for cyber crisis management. They will be able to use it to support entities operating in critical or highly critical sectors, according to the NIS 2 Directive, that suffer from the cybersecurity incident. The incident response services will complement the national efforts to respond to significant and large-scale incidents. 加盟国によるEUサイバーセキュリティ・リザーブからの支援要請が欧州委員会とENISAに伝達されると、欧州委員会はENISAの支援を受け、遅滞なくその評価を行う。支援が認められた場合、EUサイバーセキュリティ・リザーブを形成する信頼できるサービスプロバイダーは、サイバー危機管理を担当するコンピュータセキュリティインシデント対応チーム(CSIRT)やその他の国の所轄官庁に支援を提供することになる。これらの機関は、NIS 2指令に基づく重要部門または高度に重要な部門で活動し、サイバーセキュリティインシデントに見舞われた事業体を支援するために、この支援を利用することができるようになる。インシデント対応サービスは、重大かつ大規模なインシデントに対応するための各国の取り組みを補完することになる。
Support may also be provided to the EU institutions, bodies and agencies and should be complementary to efforts already made by the EU institutions to respond to a significant or large-scale incident. また、EUの機関、団体、機関 省庁にも支援が提供される可能性があり、EUの機関がすでに行っている重大・大規模なインシデントに対応するための努力を補完するものでなければならない。
What is the procedure for selecting trusted service providers? 信頼できるサービス・プロバイダーの選定手順はどのようなものであるか?
The services from trusted private service providers for the Cybersecurity Reserve will be purchased via procurement procedure. The Cyber Solidarity Act provides for certain procurement principles and selection criteria for such providers, including: サイバーセキュリティ・リザーブのための信頼できる民間サービス・プロバイダーからのサービスは、調達手続きによって購入される予定である。サイバー連帯法は、このようなプロバイダーについて、以下のような一定の調達原則と選定基準を定めている:
the highest degree of professional competence to provide the services; サービスを提供するための最高度の専門的能力;
a framework to protect sensitive information; 機密情報を保護するためのフレームワーク
proof of transparent governing structure, demonstrating integrity and absence of conflict of interest; 透明性のある統治構造を証明し、誠実さと利益相反のないことを証明すること;
security cleared personnel; secure IT systems; セキュリティ・クリアな人材、安全な IT システム;
attestable previous experience delivering services to national authorities and entities operating in the critical and highly critical sectors in the Union; 国家機関および連邦の重要部門や高度に重要な部門で活動する団体にサービスを提供した証明できる過去の経験;
availability and agility; 可用性と敏捷性;
providing the service in the local language; 現地語でサービスを提供すること;
certification at the EU level once a European cybersecurity certification scheme for managed security service providers is in place. マネージドセキュリティサービスプロバイダーに対する欧州のサイバーセキュリティ認証制度が整備された後、EUレベルで認証を受けること。
What is the Incident Review Mechanism? インシデントレビューメカニズムとは何か?
According to the proposed Cyber Solidarity Act, the Cyber Crisis Liaison Organisation Network (EU-CyCLONe), the CSIRTs network, or the Commission may request that ENISA reviews and assesses a specific potential or ongoing significant or large-scale cybersecurity incident. サイバー連帯法案によると、サイバー危機連絡組織ネットワーク(EU-CyCLONe)、CSIRTsネットワーク、または欧州委員会は、特定の潜在的または進行中の重大または大規模なサイバーセキュリティ事件のレビューと評価をENISAに要請できる。
When reviewing and assessing a specific incident, ENISA shall collaborate with relevant stakeholders, including representatives from the private sector, Member States and the Commission. ENISA will also consult managed security services providers, entities affected by cybersecurity incidents, and other relevant entities. 特定のインシデントのレビューと評価に際し、ENISAは、民間企業、加盟国、欧州委員会の代表者を含む関連する利害関係者と協働する。また、ENISAは、マネージドセキュリティサービスプロバイダー、サイバーセキュリティインシデントの影響を受ける事業者、その他の関連する事業者にも相談する。
After a review and assessment of an incident, ENISA shall deliver an incident review report to EU CyCLONe, the CSIRTs network and the Commission. In the report, ENISA shall address main causes and vulnerabilities of cybersecurity incidents, as well as lessons learned and, where appropriate, recommendations to improve Union's cyber posture.  インシデントのレビューと評価の後、ENISAは、EU CyCLONe、CSIRTsネットワークおよび欧州委員会にインシデントレビュー報告書を提出しなければならない。報告書では、ENISAは、サイバーセキュリティ事件の主な原因や脆弱性、学んだ教訓、そして必要に応じて、EUのサイバー態勢を改善するための勧告を取り上げるものとする。 
Can non-EU countries receive support from the EU Cybersecurity Reserve? EU以外の国もEUサイバーセキュリティ・リザーブの支援を受けられるか?
Taking into account the unpredictable nature of cybersecurity attacks and the fact that they are often not contained in a specific geographical area and pose a high-risk of spill-over, the incident response support from the EU Cybersecurity Reserve will be made available to third countries associated to Digital Europe Programme, in accordance with their respective association agreements to the programme. サイバーセキュリティ攻撃の予測不可能な性質や、特定の地理的範囲に収まらないことが多く、波及のリスクが高いことを考慮し、EUサイバーセキュリティ・リザーブからの事故対応支援は、デジタル・ヨーロッパ・プログラムに関連する第三国が、同プログラムに対するそれぞれの関連協定に従って利用できるようにする予定である。
EU Cybersecurity Skills Academy EUサイバーセキュリティ・スキルアカデミー
What are the specific objectives of the Cybersecurity Skills Academy? サイバーセキュリティ・スキル・アカデミーの具体的な目的は何であるか?
The Cybersecurity Skills Academy will increase the visibility of cybersecurity skills initiatives and help boosting numbers of skilled cybersecurity professionals in the EU to tackle the gap in cybersecurity professionals across the Member States. サイバーセキュリティ・スキル・アカデミーは、サイバーセキュリティ・スキルのイニシアチブの認知度を高め、EUにおける熟練したサイバーセキュリティ専門家の数を増やし、加盟国全体のサイバーセキュリティ専門家の格差に対処することを支援する。
The Academy will: 本アカデミーは以下のことを行う:
Work towards a common baseline for cybersecurity career profiles and the associated skills. It will provide clarity on cybersecurity trainings and certifications to increase the number of cybersecurity professionals in Europe. It is also necessary to ensure that professionals undertake required quality trainings. With this in mind, the Commission will launch a pilot project to set up a European attestation system for cybersecurity skills. サイバーセキュリティのキャリアプロファイルと関連スキルの共通基準に向けて努力する。欧州におけるサイバーセキュリティの専門家の数を増やすために、サイバーセキュリティのトレーニングや認証について明確にする。また、専門家が必要な質の高いトレーニングを受けることができるようにすることも必要である。このことを念頭に置いて、欧州委員会は、サイバーセキュリティのスキルに関する欧州の認証制度を立ち上げるためのパイロットプロジェクトを開始する予定である。
Ensure a better channelling and visibility of the available funding opportunities for cybersecurity skills-related activities to maximise their impact. サイバーセキュリティスキルに関連する活動に対する利用可能な資金提供の機会を、その効果を最大化するために、より良いチャネリングと可視性を確保する。
Call on stakeholders (e.g., companies, schools, universities and authorities) to take action by making concrete pledges to initiate specific actions, such as to offer cybersecurity trainings and certifications, as well as integrating cybersecurity skills into their strategies. 関係者(企業、学校、大学、当局など)に対し、サイバーセキュリティに関する研修や資格の取得、サイバーセキュリティスキルを戦略に組み込むなど、具体的な行動を開始することを約束することで、行動を起こすよう呼びかける。
Define indicators to monitor the evolution on the job market for cybersecurity professionals, allowing training providers (such as schools, universities and organisations) to timely adapt their trainings and curricula to the market needs. サイバーセキュリティの専門家の雇用市場の変化を監視するための指標を定め、訓練提供者(学校、大学、組織など)が訓練やカリキュラムを市場のニーズに合わせて適時に対応できるようにする。
The Commission proposes that the Academy takes the shape of a European digital infrastructure consortium (EDIC), a new legal framework to implement multi-country projects. This possibility will now be discussed with Member States. 欧州委員会は、このアカデミーを、複数国のプロジェクトを実施するための新しい法的枠組みである欧州デジタルインフラコンソーシアム(EDIC)の形にすることを提案している。この可能性については、今後、加盟国と協議することになる。
In the meantime, the Commission will create a single point of entry to the Academy through the Digital Skills and Jobs Platform, giving access to relevant information, activities and stakeholders within the scope of the Academy. 一方、欧州委員会は、「デジタルスキル・雇用プラットフォーム」を通じて、アカデミーの範囲内の関連情報、活動、関係者にアクセスできるように、アカデミーへのシングルポイントを設ける予定である。
The EU Agency for Cybersecurity (ENISA) and the European Cybersecurity Competence Centre (ECCC) will support the implementation of the Cybersecurity Skills Academy in close cooperation with the Commission and Member States. EUサイバーセキュリティ機関(ENISA)と欧州サイバーセキュリティ能力センター(ECCC)は、欧州委員会および加盟国と緊密に協力しながら、サイバーセキュリティ・スキルアカデミーの実施を支援する予定である。
What kind of trainings will the Academy showcase? アカデミーはどのようなトレーニングを紹介するのか?
Initially, the Academy will gather existing education and training opportunities and give them visibility on the Digital Skills and Jobs Platform.  当初、アカデミーは、既存の教育・訓練機会を集め、Digital Skills and Jobs Platform上で可視化する予定である。 
Furthermore, the Commission will finance specific cybersecurity courses, through Erasmus+, joint Bachelor and Master degree programmes, joint courses or modules. As well as well intensive programmes combining online teaching with a short period of physical mobility. さらに、欧州委員会は、エラスムス+、学士と修士の共同学位プログラム、共同コース、モジュールを通じて、特定のサイバーセキュリティ・コースに資金を提供する。また、オンライン教育と短期間の物理的移動を組み合わせた集中プログラムも用意されている。
As another example, along Academy's goals, ENISA will enhance its training offer by expanding its 'train the trainer' programme to public and private critical operators in the scope of the NIS2 Directive. もう一つの例として、アカデミーの目標に沿って、ENISAは、NIS2指令の範囲にある公共および民間の重要な事業者に「トレーナー養成」プログラムを拡大し、トレーニングの提供を強化する予定である。
The European Security and Defence Centre will also review its training offer, designed for the cyber defence workforce.   また、欧州安全保障防衛センター(European Security and Defence Centre)も、サイバー防衛要員を対象としたトレーニングの提供を見直す予定である。  
Why it is so important to have one single entry point in EU? なぜEUで単一のエントリーポイントを持つことが重要なのだろうか?
There are numerous initiatives from public and private entities at European and national levels looking to boost the cybersecurity skills job market. Collecting and presenting them together on one page online would greatly increase their visibility and comparability. For one, a student or job seeker wishing to enter the cybersecurity field, or a professional willing to upskill or reskill may find it challenging to know where and how to start. An organisation looking for funding on cybersecurity skills has to navigate on several pages to find the information needed. Giving a single point of entry will make it easier for all those interested to have access to relevant information. サイバーセキュリティスキルの職域を拡大しようとする欧州および国レベルの官民団体による多数の取り組みがある。それらをオンラインで1つのページに集めて紹介することで、その可視性と比較可能性を大幅に高めることができます。サイバーセキュリティ分野への進出を希望する学生や求職者、あるいはスキルアップやスキルリセットを希望する専門家は、どこからどのように手をつければよいのかがわからないというのが現状である。サイバーセキュリティのスキルに関する資金援助を探している組織は、必要な情報を見つけるためにいくつかのページをナビゲートしなければならない。入り口が1つであれば、すべての関係者が関連情報にアクセスしやすくなる。
How will the Cybersecurity Skills Academy be funded? サイバーセキュリティ・スキル・アカデミーはどのように資金を調達するのであるか?
Initially, the Cybersecurity Skills Academy will benefit from €10 million of dedicated EU budget under the Digital Europe Programme work programme 2023-2024. 当初、サイバーセキュリティ・スキルアカデミーは、デジタル・ヨーロッパ・プログラムの作業プログラム2023-2024のもと、1000万ユーロのEU専用予算の恩恵を受ける予定である。
The Cybersecurity Skills Academy will facilitate the visibility of funding on cyber skills from relevant EU programmes (such as DEP, RRF, InvestEU, the European Social Fund Plus). サイバーセキュリティ・スキル・アカデミーは、関連するEUプログラム(DEP、RRF、InvestEU、欧州社会基金プラスなど)のサイバー・スキルに関する資金の可視化を促進する予定である。
Should the Academy take the shape of a European digital infrastructure consortium (EDIC), it will further facilitate pooling national and private resources, in close cooperation with the European Cybersecurity Competence Centre (ECCC) and the national coordination centres (NCCs). このアカデミーが欧州デジタルインフラコンソーシアム(EDIC)の形になれば、欧州サイバーセキュリティ能力センター(ECCC)や各国調整センター(NCC)との緊密な協力のもと、国や民間のリソースをプールすることがさらに容易になる。
For More Information 詳細情報
Press release - Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience プレスリリース ・サイバー:効果的な作戦協力、連帯、弾力性のためのEUの能力強化に向けて
Factsheet – EU Cyber Solidarity Act ファクトシート ・EUサイバー連帯法
Factsheet – Cybersecurity Skills Academy ファクトシート ・サイバーセキュリティ・スキルアカデミー
Proposed Regulation on the Cyber Solidarity Act サイバー連帯法に関する規制案について
Commission communication on the Cybersecurity Skills Academy サイバーセキュリティ・スキルアカデミーに関する欧州委員会のコミュニケーション
Proposed Regulation on ‘managed security services' amendment マネージドセキュリティサービス」に関する規制案の修正について
Factsheet - the EU Cybersecurity Strategy ファクトシート ・EUサイバーセキュリティ戦略
EU Cyber Solidarity Act policy page EU Cyber Solidarity Actポリシーページ
EU Cybersecurity Skills Academy – Digital Skills and Jobs Platform EUサイバーセキュリティ・スキルアカデミー ・デジタルスキル・ジョブズ・プラットフォーム

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.21 欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

・2023.04.21 欧州委員会 EUサイバー連帯法の提案 (2023.04.18)

 

| | Comments (0)

2023.04.20

NISC 意見募集「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定(案)R5

こんにちは、丸山満彦です。

内閣官房のサイバーセキュリティセンターが政府統一基準の改定案を公表し、意見募集をしていますね。。。

2年前の改訂の際の、ブログを上書き...(^^)

思い返せば、NISCが「内閣官房 情報セキュリティ対策推進室」(多分)といわれていた頃に内閣官房に参加し、まずは情報セキュリティセンターの立ち上げと同時に、政府統一基準の策定を進めておりましたね。当時は、内閣府の新しいビルが立つ前で、そこに3階建のプレハブがあり、そこで色々としておりましたね。。。もう、18年以上も前の話ですね。。。

作成当時の重要なルールとして、「主語」を明確にするというのがありましたね。XXXをする責任を持ってするのは誰か?を明確にするということですね。これは、セキュリティの役割の「椅子」を用意することができないので、担当という「帽子」を被せるということにしたのですが、どの帽子の人が何をしなければならないかを明確にしないといけないですよね。。。ということから来ています。。。

なので遵守事項は、「最高情報セキュリティ責任者は」とか、「職員等(当時は、「行政事務従事者」でしたね。。。)は」とか、になっているんですよね。。。

今年度は、

・組織的な対策については、改善に関する対策の強化、サプライチェーン関係の対応強化がポイントですかね。。。

・情報システムへの対策については、安全保障、ランサムウェア対策も含めて業務の継続性を担保するための復旧対策の強化、冗長化、インテリジェンスの強化と、高度な対策の実施(多要素認証、監視機能、動的アクセス制御...)

1_20230420030901

 

 

とかありますね。。。

実際に準拠して、「運用」することが重要ですね。。。

 

⚫︎ NISC

・2023.04.17 「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定(案)に関する意見の募集

意見募集対象

・[PDF] 政府機関等のサイバーセキュリティ対策のための統一規範(案)

20230420-25625

 

 

・[PDF] 政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)(案)

20230420-25640

 

・[PDF] 政府機関等の対策基準策定のためのガイドライン(令和5年度版)(案)

20230420-25654

 


意見募集対象外

20230420-25856
改定案についての説明会もあるようですよ...

「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定(案)に関する意見募集に係る説明会を実施いたします。


実施日時:令和5年4月28日(金)15:00~16:00


 

 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.26 NISC 意見募集「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定(案)

 

 

| | Comments (0)

大阪大学 生成AI(Generative AI)の利用について

こんにちは、丸山満彦です。

大阪大学の総長の西尾章治郎教授が、学生にむけて「生成AI(Generative AI)の利用について」を書いていますね。。。

東京大学でも副学長が、「生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について」を公表していましたが、、、

 

⚫︎ 大阪大学

・2023.04.17 生成AI(Generative AI)の利用について

リスク関係の記述でいえば、、、


...まず、インターネット上の情報は、正しいものばかりではなく、生成AIで作られた文章には誤りが含まれることもあります。生成AIから得られた回答を、その真偽を正しく判断せずに自分の言葉として発信した場合、さまざまなリスクをはらむことがあります。このリスクについて、一人ひとりが認識してください。

生成AIへ投げかけた質問事項やその記載内容が、システムに蓄積・学習される可能性があり、情報の漏洩に繋がる恐れがあります。個人情報や機密情報を提供しないように注意してください。また、特に画像生成AIでは、他者が作成した画像や写真などを取り込むこと自体が著作権侵害となる可能性がありますので、注意してください。

...


とあります。

そして、学びに関しても、


生成AIツールで成果物を作成するだけでは、学びは深まりません。高等教育の意義は、さまざまな情報を活用し、自らの考えを創り上げ、さらには、自らと異なる意見や考えに耳を傾けて、人と人との対話を通して独創的な考え方やアイデアを生み出すところにあります。大学での学びは学習するプロセスや豊かな人間性を育むための人的交流も重要であることを認識してください。...


とありますね。。。

参考になるものとして...

⚫︎ 大阪大学社会技術共創研究(ELSI)センター

生成AI(Generative AI)の倫理的・法的・社会的課題(ELSI)論点の概観:2023年3月版

20230419-172747


目次...

はじめに

1.  画像⽣成 AI(TEXT-TO-IMAGE AI)
1.1. 動向
1.2. 訓練のためのデータセット
1.3. 指摘されている ELSI 論点

2.  テキスト⽣成 AI(TEXT-TO-TEXT AI)
2.1. 動向
2.2. 訓練のためのデータセット
2.3. 指摘されている ELSI 論点

3.  分野ごとの反応
3.1. 教育分野
3.2. マーケティング分野
3.3. 学術出版分野
3.4. ジャーナリズム分野
3.5. エンターテインメント分野
3.6. 司法分野
3.7. 医療分野

4.  おわりに:ELSI への対応動向

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.22 東北大学、東京工業大学の生成系AI利用の留意事項

・2023.04.20 大阪大学 生成AI(Generative AI)の利用について

・2023.04.06 東京大学 生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について

 

 

| | Comments (0)

2023.04.19

EDPB 管理者または処理者の主管監督官庁の特定に関するガイドライン 8/2022

こんにちは、丸山満彦です。

EDPBが国を跨ぐ場合の監督官庁がどこの国のデータ保護機関になるのかを決めるためのガイドラインの改訂版 (Vwe.2.0) ... 管理者または処理者の主管監督官庁の特定に関するガイドライン 8/2022 を公表していますね。。。

 

⚫︎European Data Protection Board: EDPB 

・2023.04.17 Guidelines 8/2022 on identifying a controller or processor’s lead supervisory authority

 

・[PDF]

20230419-44933

 

 

Table of contents  目次 
0  Preface 0 前書き
1  Identifying a lead supervisory authority: the key concepts 1 主管監督官庁の特定:重要な概念
1.1  ‘Cross-border processing of personal data’  1.1 「個人データの国境を越えた処理」。
1.1.1  ‘Substantially affects’   1.1.1 「実質的に影響を与える」。
1.2  Lead supervisory authority  1.2 主管監督官庁 
1.3  Main establishment  1.3 主な設立経緯 
2  Steps to identify the lead supervisory authority 2 主管監督官庁を特定するためのステップ
2.1  Identify the ‘main establishment’ for controllers 2.1 コントローラーの「主要施設」を特定する。
2.1.1  Criteria for identifying a controller’s main establishment in cases where it is not the place of its central administration in the EEA  2.1.1 管理者の主たる施設がEEA内の中央管理場所でない場合の特定基準
2.1.2  Groups of undertakings  2.1.2 事業のグループ化
2.1.3  Joint controllers  2.1.3 ジョイントコントローラ
2.2  Borderline cases 2.2 ボーダーラインの場合
2.3  Processor 2.3 処理者
3  Other relevant issues 3 その他の関連事項
3.1  The role of the ’supervisory authority concerned’ 3.1 「当該監督官庁」の役割
3.2  Local processing 3.2 ローカル処理
3.3  Companies not established within the EU 3.3 EU域内に設立されていない会社
ANNEX - Questions to guide the identification of the lead supervisory authority 附属書 ・主管監督官庁の特定を導くための質問事項
1  Is the controller or processor carrying out the cross-border processing of personal data? 1 個人データのクロスボーダー処理を実施しているのは、管理者または処理者なのか?
2  How to identify the ‘lead supervisory authority’ 2 「主管監督官庁」を特定する方法
3  Are there any ‘concerned supervisory authorities’? 3 「関係監督官庁」はあるか?
The European Data Protection Board  欧州データ保護委員会 
Having regard to Article 70(1)(e) and (l) of the Regulation 2016/679/EU of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, (hereinafter “GDPR”),  個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2016年4月27日の欧州議会及び理事会の規則2016/679/EU、並びに指令95/46/ECを廃止する規則(以下「GDPR」)の第70条(1)(e)及び(l)を考慮し、 
Having regard to the EEA Agreement and in particular to Annex XI and Protocol 37 thereof, as amended by the Decision of the EEA joint Committee No 154/2018 of 6 July 2018 ,  2018年7月6日のEEA合同委員会の決定第154/2018号によって改正されたEEA協定、特にその附属書XI及び第37議定書を考慮し、、 
Having regard to Article 12 and Article 22 of its Rules of Procedure,  手続規則第12条および第22条を考慮すること、 
Having regard to the Article 29 Working Party Guidelines for identifying a controller or processor’s lead supervisory authority, WP244 rev.01,  管理者又は処理者の主管監督官庁を特定するための第29条作業部会ガイドライン、WP244 rev.01を考慮すること、 
Having regard to the EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR,  GDPRにおける管理者と処理者の概念に関するEDPBガイドライン07/2020を考慮すること、 
HAS ADOPTED THE FOLLOWING GUIDELINES  は、以下のガイドラインを採用している。
0 PREFACE  0 前書き 
1. On 5 April 2017, the Article 29 Working Party adopted its Guidelines for identifying a controller or processor’s lead supervisory authority (WP244 rev.01) , which were endorsed by the European Data Protection Board (hereinafter “EDPB”) at its first Plenary meeting . This document is a slightly updated version of those guidelines. Any reference to the WP29 Guidelines for identifying a controller or processor’s lead supervisory authority (WP244 rev.01) should, from now on, be interpreted as a reference to these EDPB guidelines.  1. 2017年4月5日、第29条作業部会は、管理者又は処理者の主管監督官庁を特定するためのガイドライン(WP244 rev.01) を採択し、欧州データ保護委員会(以下「EDPB」)はその最初の本会合で承認した 。この文書は、これらのガイドラインの若干の更新版である。WP29 Guidelines for identifying a controller or processor's lead supervisory authority (WP244 rev.01) への言及は、今後、この EDPB ガイドラインへの言及と解釈されるべきである。
2. The EDPB has noticed that there was a need for further clarifications, specifically regarding the notion of main establishment in the context of joint controllership and taking into account the EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR .  2. EDPBは、GDPRにおける管理者と処理者の概念に関するEDPBガイドライン07/2020を考慮し、特に共同管理者の文脈における主要施設の概念について、さらなる明確化が必要であることに気づいた。
3. The paragraph concerning this matter has been revised and updated, while the rest of the document was left unchanged, except for editorial changes. The revision concerns, more specifically, Section 2.1.3 on joint controllers.  3. この件に関するパラグラフは改訂され、更新されましたが、編集上の変更を除き、文書の他の部分は変更されていません。この改訂は、より具体的には、共同管理者に関する2.1.3項に関するものである。
1 IDENTIFYING A LEAD SUPERVISORY AUTHORITY: THE KEY CONCEPTS  1 主管監督官庁の特定:重要な概念 
1.1 ‘Cross-border processing of personal data’  1.1 「個人データの国境を越えた処理」
4. Identifying a lead supervisory authority is only relevant where a controller or processor is carrying out the cross-border processing of personal data. Article 4(23) GDPR defines ‘cross-border processing’ as either the:   4. 主管監督官庁の特定は、管理者または処理者が個人データの国境を越えた処理を実施している場合にのみ関連する。GDPR第4条(23)では、「クロスボーダー処理」を以下のように定義している:  
- processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or the  ・管理者または処理者が2つ以上の加盟国に設立されている連合内の管理者または処理者の2つ以上の加盟国における事業所の活動の文脈で行われる個人データの処理、または以下のいずれかを指す。
- processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State.  ・連合内の管理者または処理者の単一の事業所の活動の文脈で行われる個人データの処理であって、複数の加盟国のデータ主体に実質的に影響を与える、または与える可能性があるもの。
5. This means that where an organisation has establishments in France and Romania, for example, and the processing of personal data takes place in the context of their activities, then this will constitute cross-border processing.   5. つまり、ある組織が、例えばフランスとルーマニアに事業所を有し、その活動の中で個人データの処理が行われる場合、これは国境を越えた処理に該当することになる。 
6. Alternatively, the organisation may only carry out processing activity in the context of its establishment in France. However, if the activity substantially affects – or is likely to substantially affect – data subjects in France and Romania then this will also constitute cross-border processing.    6. または、組織は、フランスに設立された事業所との関係においてのみ、処理活動を行うことができる。ただし、その活動がフランスおよびルーマニアのデータ対象者に実質的に影響を与える、または与える可能性がある場合、これも国境を越えた処理に該当する。  
1.1.1 ‘Substantially affects’  1.1.1 「実質的に影響を与える」場合 
7. The GDPR does not define ‘substantially’ or ‘affects’. The intention of the wording was to ensure that not all processing activity, with any effect and that takes place within the context of a single establishment, falls within the definition of ‘cross-border processing’.   7. GDPRは、「実質的に」または「影響を与える」を定義していない。この文言の意図は、何らかの影響を及ぼし、単一の事業所のコンテキスト内で行われるすべての処理活動が、「国境を越えた処理」の定義に該当しないようにすることであった。 
8. The most relevant ordinary English meanings of ‘substantial’ include: ‘of ample or considerable amount or size; sizeable, fairly large’, or ‘having solid worth or value, of real significance; solid; weighty, important’ .   8. 「substantial」の最も関連性の高い通常の英語の意味には、以下のものがある: 十分な、または相当な量や大きさの、sizeable、「かなり大きな」、または「確かな価値や値打ちのある、本当の意義のある、堅実な、重みのある、重要な」。 
9. The most relevant meaning of the verb ‘affect’ is ‘to influence’ or ‘to make a material impression on’. The related noun -‘effect’- means, amongst other things, ‘a result’ or ‘a consequence’ . This suggests that for data processing to affect someone it must have some form of impact on them. Processing that does not have a substantial effect on individuals does not fall within the second part of the definition of ‘cross-border processing’. However, it would fall within the first part of the definition where the processing of personal data takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union, where the controller or processor is established in more than one Member State.  9. 動詞「affect」の最も適切な意味は、「影響を与える」または「物質的な印象を与える」である。関連する名詞である「effect」は、特に「結果」または「結果」を意味する。このことから、データ処理が誰かに影響を与えるには、その人に何らかの形で影響を与えなければならないことがわかる。個人に実質的な影響を与えない処理は、「国境を越えた処理」の定義の第2部に該当しない。しかし、個人データの処理が、連合内の管理者または処理者の2つ以上の加盟国における事業所の活動の文脈で行われる場合には、定義の第1部に該当することになる。
10. Processing can be brought within the second part of the definition if there is the likelihood of a substantial effect, not just an actual substantial effect. Note that ‘likely to’ does not mean that there is a remote possibility of a substantial effect. The substantial effect must be more likely than not. On the other hand, it also means that individuals do not have to be actually affected: the likelihood of a substantial effect is sufficient to bring the processing within the definition of ‘cross-border processing’.   10. 実際の実質的な影響だけでなく、実質的な影響の可能性がある場合、処理は定義の後半部分に含まれることがある。「可能性が高い」とは、実質的な影響の可能性が低いことを意味しないことに留意すること。実質的な効果は、そうでない場合よりも可能性が高くなければなりません。一方、「可能性が高い」とは、個人が実際に影響を受ける必要はないことを意味する。実質的な影響の可能性があれば、その処理を「国境を越えた処理」の定義に含めるには十分です。 
11. The fact that a data processing operation may involve the processing of a number – even a large number – of individuals’ personal data, in a number of Member States, does not necessarily mean that the processing has, or is likely to have, a substantial effect. Processing that does not have a substantial effect does not constitute cross-border processing for the purposes of the second part of the definition, regardless of how many individuals it affects.   11. データ処理業務が、多数の加盟国において、多数の(たとえ多数であっても)個人の個人データの処理を含むという事実は、必ずしもその処理が実質的な影響を持つ、または持つ可能性が高いことを意味しない。実質的な影響を及ぼさない処理は、それが何人の個人に影響を及ぼすかにかかわらず、定義の第2部分の目的上、国境を越えた処理には該当しない。 
12. Supervisory Authorities will interpret ‘substantially affects’ on a case by case basis. We will take into account the context of the processing, the type of data, the purpose of the processing and factors such as whether the processing:  12. 監督当局は、「実質的に影響を与える」をケースバイケースで解釈する。処理の文脈、データの種類、処理の目的、および処理が以下のような要因であるかどうかを考慮する: 
o causes, or is likely to cause, damage, loss or distress to individuals;  o 個人に対して損害、損失、苦痛を与える、または与える可能性がある; 
o has, or is likely to have, an actual effect in terms of limiting rights or denying an opportunity;  o 権利を制限したり、機会を奪うという意味で、実際に影響を与える、または与える可能性がある; 
o affects, or is likely to affect individuals’ health, well-being or peace of mind;  o 個人の健康、幸福、心の平穏に影響する、または影響する可能性がある; 
o affects, or is likely to affect, individuals’ financial or economic status or circumstances; o 個人の経済的、経済的地位や状況に影響を与える、または与える可能性がある;
o leaves individuals open to discrimination or unfair treatment;  o 個人が差別や不当な扱いを受ける可能性があること; 
o involves the analysis of the special categories of personal or other intrusive data, particularly the personal data of children;  oは、特別なカテゴリの個人データまたはその他の侵入的なデータ、特に子供の個人データの分析を含む; 
o causes, or is likely to cause individuals to change their behaviour in a significant way;    o 個人に重大な行動の変化を引き起こす、または引き起こす可能性がある 
o has unlikely, unanticipated or unwanted consequences for individuals; o 個人にとって、あり得ない、予期しない、または望まない結果をもたらす  
o creates embarrassment or other negative outcomes, including reputational damage; or  o 風評被害を含む、恥ずかしさまたはその他の否定的な結果をもたらす、または 
o involves the processing of a wide range of personal data.  o 広範な個人データの処理を伴う。
13. Ultimately, the test of ‘substantial effect’ is intended to ensure that supervisory authorities are only required to co-operate formally through the GDPR’s consistency mechanism "where a supervisory authority intends to adopt a measure intended to produce legal effects as regards processing operations which substantially affect a significant number of data subjects in several Member States” .  13. 最終的に、「実質的な影響」のテストは、「監督当局が、複数の加盟国の相当数のデータ主体に実質的に影響を与える処理業務に関して法的効果をもたらすことを意図した措置を採用しようとする場合」、監督当局がGDPRの整合性メカニズムを通じて正式に協力することのみを求められるようにすることを目的としている。
1.2 Lead supervisory authority  1.2 主管監督官庁
14. Put simply, a ‘lead supervisory authority’ is the authority with the primary responsibility for dealing with a cross-border data processing activity, for example when a data subject makes a complaint about the processing of his or her personal data.  14. 簡単に言えば、「主管監督官庁」とは、例えばデータ主体が自分の個人データの処理について苦情を申し立てた場合に、国境を越えたデータ処理活動に対処するための主たる責任を有する当局である。
15. The lead supervisory authority will coordinate any investigation, involving other ‘concerned’ supervisory authorities.   15. 主管監督官庁は、他の「関係する」監督当局を巻き込んで、あらゆる調査を調整する。 
16. Identifying the lead supervisory authority depends on determining the location of the controller’s ‘main establishment’ or ‘single establishment’ in the EU. Article 56 GDPR says that:  16. 主管理当局の特定は、EUにおける管理者の「主要施設」または「単一施設」の所在地を決定することによります。GDPR第56条には、次のように書かれている: 
- the supervisory authority of the main establishment or of the single establishment of the controller or processor shall be competent to act as lead supervisory authority for the crossborder processing carried out by that controller or processor in accordance with the [cooperation] procedure provided in Article 60.  ・管理者または処理者の主要施設または単一施設の監督当局は、第60条に規定された[協力]手続きに従って、その管理者または処理者によって行われる国境を越えた処理について、主管理当局として行動する権限を有するものとする。
1.3 Main establishment  1.3 主要施設 
17.  Article 4(16) GDPR states that ‘main establishment’ means:   17.  GDPR第4条(16)では、「主要施設」を意味するとされている:  
- as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment;   ・複数の加盟国に事業所を有する管理者に関しては、連合におけるその中央管理者の所在地を指す。ただし、個人データの処理の目的および手段に関する決定が、連合内の管理者の別の事業所で行われ、後者の事業所が当該決定を実施させる権限を有する場合は、この限りではない。この場合、そのような決定をした事業所が主要な事業所であるとみなされる・ 
- as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;  ・複数の加盟国に事業所を有する処理者に関しては、連合におけるその中央管理機関の所在地、または、処理者が連合に中央管理機関を有しない場合は、処理者が本規則に基づく特定の義務を負う限りにおいて、処理者の事業所の活動の文脈における主要な処理活動が行われる連合におけるその事業所の所在地とする。
2 STEPS TO IDENTIFY THE LEAD SUPERVISORY AUTHORITY  2. 主管監督官庁を特定するためのステップ 
2.1 Identify the ‘main establishment’ for controllers  2.1 コントローラーの「主要施設」を特定する。
18. In order to establish where the main establishment is, it is firstly necessary to identify the central administration of the controller in the EEA, if any. The approach implied in the GDPR is that the central administration in the EU is the place where decisions about the purposes and means of the processing of personal data are taken, and this place has the power to have such decisions implemented.  18. 主要施設がどこにあるかを確定するためには、まず、EEAにおける管理者の中央管理機関があれば、それを特定する必要がある。GDPRが暗示するアプローチは、EU内の中央管理機関が、個人データの処理の目的および手段に関する決定を行う場所であり、この場所が当該決定を実施させる権限を有するというものである。
19. The essence of the lead supervisory authority principle in the GDPR is that the supervision of crossborder processing should be led by only one supervisory authority in the EU. In cases where decisions relating to different cross-border processing activities are taken within the EU central administration, there will be a single lead supervisory authority for the various data processing activities carried out by the multinational company. However, there may be cases where an establishment other than the place of central administration makes autonomous decisions concerning the purposes and means of a specific processing activity. This means that there can be situations where more than one lead supervisory authority can be identified, i.e. in cases where a multinational company decides to have separate decision-making centres, in different countries, for different processing activities.    19. GDPRにおける主管監督官庁原則の本質は、クロスボーダー処理の監督をEU内のただ一つの監督庁が主導すべきであるということである。異なるクロスボーダー処理活動に関する決定がEU中央管理局内で行われる場合、多国籍企業によって行われる様々なデータ処理活動に対する単一の主管監督機関が存在することになる。しかし、中央管理地以外の事業所が、特定の処理活動の目的および手段に関する自律的な決定を行うケースもあり得る。つまり、多国籍企業が異なる処理活動に対して、異なる国で別々の意思決定センターを持つことを決定した場合など、複数の主管理当局を特定できる状況があり得るということである。  
20. It is worth recalling, that where a multinational company centralises all the decisions relating to the purposes and means of processing activities in one of its establishments in the EEA (and that establishment has the power to implement such decisions), only one lead supervisory authority will be identified for the multinational.   20. 多国籍企業が、処理活動の目的及び手段に関するすべての決定をEEA内の1つの事業所に集中させる場合(及び当該事業所が当該決定を実施する権限を有する場合)、当該多国籍企業に対して1つの主管監督官庁のみが特定されることを想起する価値がある。 
21. In these situations, it will be essential for companies to identify precisely where the decisions on purpose and means of processing are taken. Correct identification of the main establishment is in the interests of controllers and processors because it provides clarity in terms of which supervisory authority they have to deal with in respect of their various compliance duties under the GDPR. These may include, where relevant, designating a data protection officer or consulting for a risky processing activity that the controller cannot mitigate by reasonable means. The relevant provisions of the GDPR are intended to make these compliance tasks manageable.   21. このような状況では、企業は、処理の目的および手段に関する決定がどこで行われるかを正確に特定することが不可欠となる。主管監督官庁の正確な特定は、GDPRに基づく様々なコンプライアンス義務に関して、どの監督当局に対応しなければならないかを明確にするため、管理者及び処理者の利益となる。これらには、関連する場合、データ保護責任者の指定や、管理者が合理的な手段で軽減できないリスクの高い処理活動に対するコンサルティングが含まれる場合がある。GDPRの関連規定は、これらのコンプライアンスタスクを管理しやすくすることを意図している。 
22. The examples below illustrate this:  22. 以下の例は、これを説明するものである: 
Example 1: A food retailer has its headquarters (i.e., its ‘place of central administration’) in Rotterdam, Netherlands. It has establishments in various other EEA countries, which are in contact with individuals there. All establishments make use of the same software to process consumers’ personal data for marketing purposes. All the decisions about the purposes and means of the processing of consumers’ personal data for marketing purposes are taken within its Rotterdam headquarters. This means that the company’s lead supervisory authority for this cross-border processing activity is the Dutch supervisory authority.   例 1:ある食品小売業者は、オランダのロッテルダムに本社(すなわち、「中央管理場所」)を置いている。他のさまざまなEEA諸国に事業所があり、そこの個人と連絡を取っている。すべての事業所は、マーケティング目的で消費者の個人データを処理するために、同じソフトウェアを使用している。マーケティング目的の消費者の個人データの処理の目的および手段に関するすべての決定は、ロッテルダムの本社内で行われる。つまり、この国境を越えた処理活動に関する同社の主管監督官庁は、オランダの監督官庁である。 
Example 2: A bank has its corporate headquarters in Frankfurt, and all  its banking processing activities are organised from there, but its insurance department is located in Vienna. If the establishment in Vienna has the power to decide on all insurance data processing activities and to implement these decisions for the whole EEA, then, as foreseen in Article 4(16) GDPR, the Austrian supervisory authority would be the lead supervisory authority in respect of the cross-border processing of personal data for insurance purposes, and the competent German supervisory authority (i.e., the Hessen supervisory authority) would supervise the processing of personal data for banking purposes, wherever the clients are located .  例2:ある銀行の本社はフランクフルトにあり、銀行業務の処理活動はすべてフランクフルトで組織されているが、保険部門はウィーンにある。ウィーンの事業所がすべての保険データ処理活動を決定し、EEA全体に対してこれらの決定を実施する権限を有する場合、GDPR第4条16項に規定されているように、オーストリアの監督当局は保険目的の個人データの国境を越えた処理に関する主管監督当局となり、ドイツの管轄監督当局(すなわち、ヘッセン監督当局)は、顧客がどこに位置していても銀行目的の個人データの処理を監督することになる。
2.1.1 Criteria for identifying a controller’s main establishment in cases where it is not the place of its central administration in the EEA  2.1.1 管理者の主要施設がEEA内の中央管理場所でない場合の特定基準 
23. Recital 36 GDPR is useful in clarifying the main factor that shall be used to determine a controller’s main establishment if the criterion of the central administration does not apply. This involves identifying where the effective and real exercise of management activities, that determine the main decisions as to the purposes and means of processing through stable arrangements, takes place. Recital 36 GDPR also clarifies that “the presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment”.   23. GDPRの説明36は、中央管理という基準が適用されない場合に、管理者の主要施設を決定するために使用しなければならない主な要因を明らかにする上で有用である。これには、安定した取り決めによる処理の目的および手段に関する主要な決定を決定する、管理活動の効果的かつ現実的な行使が行われる場所を特定することが含まれます。また、GDPRの説明36は、「個人データの処理または処理活動のための技術的手段および技術の存在および使用は、それ自体、主たる施設を構成するものではなく、したがって、主たる施設の決定基準ではない」ことを明確にしている。 
24. The controller itself identifies where its main establishment is and therefore which supervisory authority is its lead supervisory authority. However, this can be challenged by the respective supervisory authority concerned afterwards.    24. 管理者自身が、その主要施設がどこにあるか、したがって、どの監督当局がその主管監督当局であるかを特定する。ただし、このことは、その後、関係する各監督当局が異議を申し立てることができる。  
25. The factors below are useful for determining the location of a controller’s main establishment, according to the terms of the GDPR, in cases where it is not the location of its central administration in the EEA.   25. 以下の要素は、GDPRの条項に従って、EEA内の中央管理機関の所在地でない場合に、管理者の主な施設の所在地を決定するのに有用である。 
o Where are decisions about the purposes and means of the processing given final ‘sign off’?  o 処理の目的および手段に関する決定は、どこで最終的な「サインオフ」を受けるか? 
o Where are decisions about business activities that involve data processing made?  o データ処理を伴う事業活動に関する決定は、どこで行われるか? 
o Where does the power to have decisions implemented effectively lie?  o 決定を効果的に実施させる権限は、どこにあるか?
o Where is the Director (or Directors) with overall management responsibility for the cross-border processing located?  o 国境を越えた処理について全体的な管理責任を負うディレクター(または複数のディレクター)はどこにいるか?
o Where is the controller or processor registered as a company, if in a single territory?  o 管理者または処理者は、単一地域であれば、どこで会社として登録されているか。
26. Note that this is not an exhaustive list. Other factors may be relevant depending on the controller or processing activity in question. If a supervisory authority has reasons to doubt that the establishment identified by the controller is in reality the main establishment for the purposes of the GDPR, it can – of course – require the controller to provide the additional information necessary for it to prove where its main establishment is located.   26. これは網羅的なリストではないことに留意すること。問題の管理者または処理活動によっては、他の要因が関連する可能性がある。監督当局は、管理者が特定した事業所がGDPRの目的上、現実に主要な事業所であることを疑う理由がある場合、当然ながら、管理者に対して、主要な事業所がどこにあるかを証明するために必要な追加情報の提供を求めることができる。 
2.1.2 Groups of undertakings  2.1.2 事業者のグループ 
27. Where processing is carried out by a group of undertakings that has its headquarters in the EEA, the establishment of the undertaking with overall control is presumed to be the decision-making centre relating to the processing of personal data, and will therefore be considered to be the main establishment for the group, except where decisions about the purposes and means of processing are taken by another establishment. The parent, or operational headquarters of the group of undertakings in the EEA, is likely to be the main establishment, because that would be the place of its central administration.   27. 処理がEEAに本社を置く事業グループによって実施される場合、全体的な管理を行う事業の事業所は、個人データの処理に関する意思決定の中心であると推定されるため、処理の目的および手段に関する決定が他の事業所で行われる場合を除き、そのグループの主要施設と見なされる。EEA内の事業グループの親会社または事業本部は、その中央管理の場所となるため、主要施設となる可能性が高い。 
28. The reference in the definition to the place of a controller’s central administration works well for organisations that have a centralised decision-making headquarters and branch-type structure. In such cases, it is clear that the power to make decisions about cross-border processing, and to have them carried out, lies within the company’s headquarters. In such cases, determining the location of the main establishment - and therefore which supervisory authority is the lead supervisory authority - is straightforward. However, the decision system of group of companies could be more complex, giving independent making powers relating to cross-border processing to different establishments. The criteria set out above should help groups of undertakings to identify their main establishment.   28. 定義における管理者の中央管理場所への言及は、集中的な意思決定本部と支店タイプの構造を持つ組織には有効である。そのような場合、国境を越えた処理に関する意思決定とその実行をさせる権限が本社にあることは明らかである。このような場合、主要施設の所在地、つまりどの監督当局が主導的な監督当局であるかを決定することは簡単である。しかし、企業グループの意思決定システムは、異なる事業所に国境を越えた処理に関する独立した意思決定権を与え、より複雑になる可能性がある。上記の基準は、事業者グループが主要な事業所を特定するのに役立つはずである。 
2.1.3 Joint controllers  2.1.3 共同管理者 
29. The GDPR does not specifically deal with the issue of designating a lead supervisory authority where two or more controllers established in the EEA jointly determine the purposes and means of processing - i.e. joint controllers. Article 26(1) and Recital 79 GDPR make it clear that in joint controllership situations, the controllers shall in a transparent manner determine their respective responsibilities for compliance with their obligations under the GDPR.  29. GDPRは、EEAに設立された2つ以上の管理者が処理の目的および手段を共同で決定する場合、すなわち共同管理者を指定する問題については特に扱っていない。GDPR第26条(1)および説明79は、共同管理者の状況において、管理者は、透明性のある方法で、GDPRに基づく義務の遵守に関するそれぞれの責任を決定しなければならないことを明確にしている。
30. As recalled by the EDPB in its Guidelines on the concept of controller and processor , joint controllers need to set “who does what” by deciding between themselves who will have to carry out which tasks, in order to make sure that the processing complies with the applicable obligations under the GDPR in relation to the joint processing at stake.   30. EDPBが管理者と処理者の概念に関するガイドラインで想起しているように、共同管理者は、問題となっている共同処理に関連してGDPRの下で適用される義務に処理が準拠することを確認するために、誰がどの作業を実行しなければならないかを自分たちの間で決定することによって、「誰が何をするか」を定める必要がある。 
31. The compliance measures and related obligations joint controllers should consider when determining their respective responsibilities, in addition to those specifically referred in Article 26(1) GDPR, include, amongst others, the organisation of contact with data subjects and supervisory authorities.  31. 共同管理者がそれぞれの責任を決定する際に考慮すべき遵守措置及び関連する義務には、GDPR第26条第1項に特に言及されているものに加え、特にデータ主体及び監督当局との接触の組織化などが含まれる。
32. It should be recalled that supervisory authorities are not bound by the terms of such arrangement, neither on the issue of the qualification of the parties as joint controllers nor on the designated contact point .  32. 監督当局は、共同管理者としての当事者の資格の問題や指定された連絡先の問題に関しても、そのような取り決めの条件に拘束されないことを忘れてはならない。
33. Moreover, the decision-making power of joint controllers does not comprise the determination of the competent supervisory authority according to Articles 55 and 56 GDPR, or the ability of these supervisory authorities to exercise their tasks and powers as described in Articles 57 and 58 GDPR.  33. さらに、共同管理者の意思決定権は、GDPR第55条および第56条に基づく管轄監督当局の決定、またはこれらの監督当局がGDPR第57条および第58条に記載された任務および権限を行使する能力を構成するものではない。
34. The notion of main establishment is linked by virtue of the GDPR to a single controller and cannot be extended to a joint controllership situation. This is without prejudice to the possibility for each joint controller to have its own main establishment. In other words, the main establishment of a controller cannot be considered as the main establishment of the joint controllers for the processing carried out under their joint control. Therefore, joint controllers cannot designate (among the establishments where decisions on the purposes and means of the processing are taken) a common main establishment for both joint controllers.  34. 主要施設という概念は、GDPRの規定によって単一の管理者と結びついており、共同管理者の状況にまで拡張することはできない。これは、各共同管理者が独自の主要施設を持つ可能性を損なうものではない。言い換えれば、ある管理者の主要施設は、共同管理者の共同管理の下で行われる処理について、共同管理者の主要施設とみなすことはできない。したがって、共同管理者は、(処理の目的及び手段に関する決定を行う事業所のうち)両共同管理者に共通の主要施設を指定することはできない。
2.2 Borderline cases   2.2 境界線上のケース  
35. There will be borderline and complex situations where it is difficult to identify the main establishment or to determine where decisions about data processing are taken. This might be the case where there is cross-border processing activity and the controller is established in several Member States, but there is no central administration in the EEA and none of the EEA establishments are taking decisions about the processing (i.e. decisions are taken exclusively outside of the EEA).  35. 主要な事業所を特定すること、またはデータ処理に関する意思決定がどこで行われるかを決定することが困難な、境界線上の複雑な状況が存在することになる。これは、国境を越えた処理活動があり、管理者が複数の加盟国に設立されているが、EEAには中央管理機関がなく、EEAの事業所のいずれも処理に関する意思決定を行っていない(すなわち、意思決定はもっぱらEEAの外で行われている)場合である場合が考えられる。
36. In the case above, the company carrying out cross-border processing may be keen to be regulated by a lead supervisory authority to benefit from the one-stop-shop principle. However, the GDPR does not provide a solution for situations like this. In these circumstances, the company should designate the establishment that has the authority to implement decisions about the processing activity and to take liability for the processing, including having sufficient assets, as its main establishment. If the company does not designate a main establishment in this way, it will not be possible to designate a lead supervisory authority. Supervisory authorities will always be able to investigate further where this is appropriate.  36. 上記の場合、クロスボーダー処理を行う会社は、ワンストップ・ショップの原則の恩恵を受けるために、主管監督当局による規制を受けることを強く希望することができる。しかし、GDPRは、このような状況に対する解決策を提供していない。このような状況では、会社は、十分な資産を有するなど、処理活動に関する決定を実施し、処理に対する責任を負う権限を有する事業所を、主要施設として指定する必要がある。会社がこのように主要施設を指定しない場合、主管監督当局を指定することはできない。監督当局は、これが適切である場合、常にさらなる調査を行うことができる。
37. The GDPR does not permit ‘forum shopping’. If a company claims to have its main establishment in one Member State, but no effective and real exercise of management activity or decision-making over the processing of personal data takes place there, the relevant supervisory authorities (or ultimately the EDPB ) will decide which supervisory authority is the ‘lead’, using objective criteria and looking at the evidence. The process of determining where the main establishment is may require active inquiry and co-operation by the supervisory authorities. Conclusions cannot be based solely on statements by the organisation under review. The burden of proof ultimately falls on controllers and processors to demonstrate to the relevant supervisory authorities where the relevant processing decisions are taken and where there is the power to implement such decisions. Effective records of data processing activity would help both organisations and supervisory authorities to determine the lead supervisory authority. The lead supervisory authority, or concerned supervisory authorities, can rebut the controller’s analysis based on an objective examination of the relevant facts, requesting further information where required.  37. GDPRは「フォーラムショッピング」を認めていません。ある企業がある加盟国に主要施設を有すると主張しても、そこでは個人データの処理に関する経営活動や意思決定が効果的かつ実際に行われていない場合、関連する監督当局(または最終的にはEDPB)は、客観的基準を用い、証拠を見ながら、どの監督当局が「主導」であるかを決定する。主要施設がどこであるかを決定する過程では、監督当局による積極的な調査や協力が必要となる場合がある。結論は、審査対象の組織による声明だけに基づくことはできない。最終的な立証責任は、管理者および処理者が、関連する処理に関する決定が行われる場所および当該決定を実施する権限がある場所を関連する監督当局に証明することにあるのです。データ処理活動の効果的な記録は、組織と監督当局の両方が主管監督当局を決定するのに役立つだろう。主管監督官庁、または関係監督官庁は、関連する事実の客観的な調査に基づき、必要に応じてさらなる情報を要求して、管理者の分析に反論することができる。
38. In some cases, the relevant supervisory authorities will ask the controller to provide clear evidence, in line with any EDPB guidelines, of where its main establishment is, or where decisions about a particular data processing activity are taken. This evidence will be given due weight and the supervisory authorities involved will co-operate to decide which one of them will take the lead in investigations. Such cases will only be referred to the EDPB for a decision under Article 65(1)(b) GDPR where supervisory authorities have conflicting views in terms of identifying the lead supervisory authority. However, in most cases, the EDPB expects that the relevant supervisory authorities will be able to agree a mutually satisfactory course of action.   38. 場合によっては、関係監督当局は、EDPBガイドラインに沿って、管理者の主要施設がどこにあるか、または特定のデータ処理活動に関する決定が行われる場所について、明確な証拠を提供するよう管理者に要求することになる。この証拠は十分に重視され、関係する監督当局は、どの監督当局が調査の主導権を握るかを決定するために協力することになる。このようなケースは、監督当局が主導的な監督当局を特定するという点で意見が対立している場合にのみ、GDPR第65条1項(b)に基づく決定のためにEDPBに付託されることになる。しかし、ほとんどの場合、EDPBは、関連する監督当局が相互に満足できる行動方針に合意できることを期待している。 
2.3 Processor   2.3 処理者  
39. The GDPR also offers the one-stop-shop system for the benefit of processors that are subject to GDPR and have establishments in more than one Member State.  39. GDPRは、GDPRの適用を受け、複数の加盟国に事業所を有する処理者のために、ワンストップ・ショップ制度も提供している。
40. Article 4(16)(b) GDPR states that the processor’s main establishment will be the place of the central administration of the processor in the EU or, if there is no central administration in the EU, the establishment in the EU where the main processing (processor) activities take place.  40. GDPR第4条(16)(b)では、処理者の主要施設は、EUにおける処理者の中央管理場所、またはEUに中央管理場所がない場合は、主な処理(処理者)活動が行われるEU内の事業所とするとしている。
41. However, according to Recital 36 GDPR, in cases involving both a controller and a processor, the competent lead supervisory authority should be the lead supervisory authority for the controller. In this situation, the supervisory authority of the processor will be a ‘supervisory authority concerned’ and should participate in the cooperation procedure. This rule will only apply where the controller is established in the EEA. In cases where controllers are subject to the GDPR on the basis of its Article 3(2), they will not be subject to the one-stop-shop mechanism. A processor - for example, a large cloudservice provider - may provide services to multiple controllers located in different Member States. In such cases, the lead supervisory authority will be the supervisory authority that is competent to act as lead for the controller. In effect, this means a processor may have to deal with multiple supervisory authorities.   41. ただし、GDPRの説明36によれば、管理者と処理者の両方が関与する場合、管轄の主管監督当局は管理者の主管監督当局となるべきである。この状況では、処理者の監督当局は「関係する監督当局」となり、協力手続きに参加する必要がある。この規則は、管理者がEEAに設立されている場合にのみ適用されます。管理者がGDPRの第3条2項に基づいてGDPRの適用を受ける場合、ワンストップショップメカニズムの適用を受けることはない。処理者(例えば、大規模なクラウドサービスプロバイダ)は、異なる加盟国に所在する複数の管理者にサービスを提供する場合がある。このような場合、主管監督官庁は、管理者の主管として行動する権限を有する監督官庁となる。事実上、処理者は複数の監督当局に対応しなければならない可能性があることを意味する。 
3 OTHER RELEVANT ISSUES  3 その他の関連事項 
3.1 The role of the ’supervisory authority concerned’  3.1 「当該監督官庁」の役割 
42. GDPR Article 4(22) says that the:   42. GDPR第4条(22)には、次のように書かれている:  
‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because: (a) the controller or processor is established on the territory of the Member State of that supervisory authority; (b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or (c) a complaint has been lodged with that supervisory authority.’  関係する監督当局」とは、(a)管理者または処理者が当該監督当局の加盟国の領域内に設立されていること、(b)当該監督当局の加盟国に居住するデータ主体が処理によって実質的に影響を受ける、または受ける可能性があること、(c) 当該監督当局に苦情が申し立てられたこと、を理由として個人データの処理に関心を有する監督当局を意味する。
43. The concept of a concerned supervisory authority is meant to ensure that the ‘lead supervisory authority’ model does not prevent other supervisory authorities having a say in how a matter is dealt with when, for example, individuals residing outside the lead supervisory authority’s jurisdiction are substantially affected by a data processing activity. In terms of factor (a) above, the same considerations as for identifying a lead supervisory authority apply. Note that in (b) the data subject must merely reside in the Member State in question; they do not have to be a citizen of that State. It will generally be easy in (c) to determine - as a matter of fact - whether a particular supervisory authority has received a complaint.     43. 関係監督当局の概念は、「主管監督当局」モデルが、例えば、主管監督当局の管轄外に居住する個人がデータ処理活動によって実質的に影響を受ける場合に、他の監督当局が問題の処理方法について発言することを妨げないようにすることを目的としている。上記の要因(a)については、主管監督官庁を特定する場合と同じ考慮事項が適用される。(b)については、データ主体は単に当該加盟国に居住していればよく、当該加盟国の国民である必要はないことに留意する必要がある。(c)の場合、特定の監督当局が苦情を受けたかどうかを事実として判断することは、一般に容易であろう。   
44. Article 56, paragraphs (2) and (5) GDPR provide for a concerned supervisory authority to take a role in dealing with a case without being the lead supervisory authority. When a lead supervisory authority decides not to handle a case, the concerned supervisory authority that informed the lead supervisory authority shall handle it. This is in accordance with the procedures in Article 61 (Mutual assistance) and Article 62 (Joint operations of supervisory authorities) GDPR. This might be the case where a marketing company with its main establishment in Paris launches a product that only affects data subjects residing in Portugal. In such a case, the French and Portuguese supervisory authorities might agree that it is appropriate for the Portuguese supervisory authority to take the lead in dealing with the matter. Supervisory authorities may request that controllers provide input in terms of clarifying their corporate arrangements. Given that the processing activity has a purely local effect - i.e. on individuals in Portugal - the French and Portuguese supervisory authorities have the discretion to decide which supervisory authority should deal with the matter - in accordance with Recital 127 GDPR.  44. GDPR第56条第2項および第5項では、関係監督当局が、主管監督当局でなくとも、案件の処理に役割を果たすことができることを規定している。主管監督機関が案件を取り扱わないことを決定した場合、主管監督機関に通知した関係監督機関が案件を取り扱いる。これは、GDPR第61条(相互扶助)および第62条(監督当局の共同運営)の手続きに従ったものです。パリに主要施設を持つマーケティング会社が、ポルトガルに居住するデータ主体にのみ影響を与える製品を発売するようなケースが考えられる。このような場合、フランスとポルトガルの監督当局は、ポルトガルの監督当局がこの問題に率先して対処することが適切であることに合意するかもしれない。監督当局は、管理者に対し、企業の取り決めを明確にするという点で、意見を提供するよう要請することができる。処理活動が純粋に局所的な効果、すなわちポルトガルの個人に対する効果を持つことを考慮すると、フランスおよびポルトガルの監督当局は、GDPRの説明文127に従って、どちらの監督当局がこの問題に対処すべきかを決定する裁量権を有している。
45. The GDPR requires lead and concerned supervisory authorities to co-operate, with due respect for each other’s views, to ensure a matter is investigated and resolved to each authority’s satisfaction - and with an effective remedy for data subjects. Supervisory authorities should endeavour to reach a mutually acceptable course of action. The formal consistency mechanism should only be invoked where co-operation does not reach a mutually acceptable outcome.    45. GDPRは、問題が調査され、それぞれの当局が満足するように解決され、データ主体が効果的に救済されることを保証するために、主導者および関係監督当局が、互いの意見を十分に尊重しながら協力することを求めている。監督当局は、相互に受け入れ可能な行動を取るよう努力すべきである。正式な整合性メカニズムは、協力が相互に受け入れ可能な結果に達しない場合にのみ発動されるべきである。  
46. The mutual acceptance of decisions can apply to substantive conclusions, but also to the course of action decided upon, including enforcement activity (e.g. full investigation or an investigation with limited scope). It can also apply to a decision not to handle a case in accordance with the GDPR, for example because of a formal policy of prioritisation, or because there are other concerned authorities as described above.   46. 決定の相互受け入れは、実質的な結論だけでなく、強制活動(例えば、完全な調査又は限定的な範囲での調査)を含む決定された行動方針にも適用され得る。また、例えば、優先順位付けの正式な方針があるため、または上記のように他の関係当局があるため、GDPRに従って案件を取り扱わないという決定にも適用され得る。 
47. The development of consensus and good will between supervisory authorities is essential to the success of the GDPR’s cooperation and consistency procedures.  47. 監督当局間のコンセンサスと善意の醸成は、GDPR の協力及び一貫性手続きの成功に不可欠である。
3.2 Local processing  3.2 ローカル処理 
48. Local data processing activity does not fall within the GDPR’s cooperation and consistency provisions. Supervisory authorities will respect each other’s competence to deal with local data processing activity on a local basis. Processing carried out by public authorities will always be dealt with on a ‘local’ basis, too.   48. ローカルなデータ処理活動は、GDPR の協力と一貫性の規定には該当しない。監督当局は、ローカルなデータ処理活動をローカルなベースで取り扱うために、互いの能力を尊重する。公的機関が実施する処理も、常に「ローカル」ベースで処理される。 
3.3 Companies not established within the EEA  3.3 EEA域内に設立されていない企業 
49. The GDPR’s cooperation and consistency mechanisms only apply to controllers with an establishment, or establishments, within the EEA. If a company does not have an establishment in the EEA, the mere presence of a representative in a Member State does not trigger the one-stop-shop principle. This means that controllers without any establishment in the EEA must deal with local supervisory authorities in every Member State they are active in, through their local representative.   49. GDPRの協力および一貫性の仕組みは、EEA域内に事業所または施設を有する管理者にのみ適用される。EEA内に事業所がない場合、加盟国に代表者がいるだけでは、ワンストップ・ショップの原則は発動しません。つまり、EEA内に事業所を持たない管理者は、現地代理人を通じて、活動するすべての加盟国の監督当局と取引しなければなりません。 
For the European Data Protection Board  欧州データ保護委員会 
The Chair  議長
(Andrea Jelinek)  (アンドレア・イェリネク) 
       
ANNEX - QUESTIONS TO GUIDE THE IDENTIFICATION OF THE LEAD SUPERVISORY AUTHORITY  附属書 ・主管監督官庁の特定を導くための質問事項 
1 Is the controller or processor carrying out the cross-border processing of personal data?  1 管理者または処理者は、個人データの国境を越えた処理を実施しているか?
a. Yes, if:  a. はい、以下の場合: 
• The controller or processor is established in more than one Member State, and   ・管理者または処理者が2つ以上の加盟国に設立されている場合、および
• The processing of personal data takes place in the context of the activities of establishments in more than one Member State.  ・個人データの処理は、2つ以上の加盟国にある事業所の活動の中で行われる。
Ø In this case, go to section 2.   Ø この場合、第2項に。 
b. Yes, if:  b. はい、以下の場合: 
• The processing of personal data takes place in the context of the activities of a controller or processor’s single establishment in the EEA, but:  ・個人データの処理は、EEA内の管理者または処理者の単一の事業所の活動の文脈で行われるが、以下のような場合: 
• Substantially affects or is likely to substantially affect individuals in more than one Member State.   ・複数の加盟国の個人に実質的に影響を与える、または与える可能性がある。
Ø In this case, the lead supervisory authority is the authority for the controller or processor’s single establishment in a single Member State. This is - by logic - the controller or processor’s main establishment because it is its only establishment.   Ø この場合、主管監督機関は、単一の加盟国における管理者または処理者の単一施設のための当局です。これは、論理的には、管理者または処理者の唯一の施設であるため、管理者または処理者の主要施設である。 
 2  How to identify the ‘lead supervisory authority’   2 「主管監督官庁」を特定する方法 
 a.  In a case involving only a controller:    a.  コントローラーのみが関与する場合  
i. Identify the controller’s place of central administration in the EEA;   i. EEAにおける管理者の中央管理場所を特定する;  
ii. The supervisory authority of the country where the place of central administration is located is the controller’s lead supervisory authority.   ii. 中央管理場所がある国の監督当局が、管理者の主管監督当局となる。 
However:   ただし、以下の通り:  
iii. If decisions on the purposes and means of the processing are taken in another establishment in the EEA, and that establishment has the power to implement those decisions, then the lead supervisory authority is the one located in the country where this establishment is.  iii. 処理の目的および手段に関する決定がEEA内の別の事業所で行われ、その事業所がその決定を実施する権限を有する場合、この事業所がある国に所在する事業所が主管監督当局となる。
 b.  In a case involving a controller and a processor:   b.  管理者と処理者が関与するケースにおいて 
i. Check if the controller is established in the EEA and subject to the one-stop-shop system If so, ii. Identify the lead supervisory authority of the controller. This authority will also be the lead supervisory authority for the processor. iii. The (non-lead) supervisory authority competent for the processor will be a ‘concerned supervisory authority’ - see section 3 below.  i. 管理者がEEAに設立され、ワンストップショップシステムの対象であるかどうかを確認する場合、ii.管理者の主管監督官庁を特定する。この当局は、処理者の主管理当局でもある。処理業者に対して権限を有する(非主導)監督当局は、「関係監督当局」(下記3項参照)となる。
 c.  In a case involving only a processor:   c.  処理者のみが関与する場合 
i. Identify the processor’s place of central administration in the EEA;  i. 処理者のEEAにおける中央管理場所を特定する; 
ii. If the processor has no central administration in the EEA, identify the establishment in the EEA where the main processing activities of the processor take place.  ii. 処理者がEEAに中央管理機関を持たない場合、処理者の主要な処理活動が行われるEEA内の施設を特定する。
 d.  In a case involving joint controllers:   d.  共同管理者が関与する場合 
i. Check if the joint controllers are established in the EEA.  i. 共同管理者がEEAに設立されているかどうかを確認する。
ii. Identify the place of central administration in the EEA for each joint controller respectively (where applicable);   ii. 各共同管理者のEEAにおける中央管理場所をそれぞれ特定する(該当する場合);  
iii. The supervisory authority of the country where the place of central administration is located is the lead supervisory authority of the respective joint controller.  iii. 中央管理地がある国の監督当局は、それぞれの共同管理者の主管監督当局である。
 3  Are there any ‘concerned supervisory authorities’?   3 「関係する監督当局」はあるか?
An authority is a ‘concerned authority’:  当局とは、「関係当局」のことである: 
• When the controller or processor has an establishment on its territory, or:  ・管理者または処理者がその領土に施設を有している場合、または: 
• When data subjects on its territory are substantially affected or likely to be substantially affected by the processing, or:  ・その領域内のデータ主体が処理によって実質的に影響を受けるか、または受ける可能性がある場合、または: 
• When a complaint is received by a particular supervisory authority. ・特定の監督当局に苦情が寄せられた場合。

 

 

 

| | Comments (0)

EDPB データ主体の権利(アクセス権)に関するガイドライン(最終版)を採択 

こんにちは、丸山満彦です。

EDPBがデータ主体によるデータへのアクセス権についての最終版を公表していますね。。。

 

⚫︎European Data Protection Board: EDPB 

・2023.04.17 EDPB adopts final version of Guidelines on data subject rights - right of access

EDPB adopts final version of Guidelines on data subject rights - right of access EDPB データ主体の権利(アクセス権)に関するガイドライン(最終版)を採択 
Following public consultation, the EDPB has adopted a final version of the Guidelines on data subject rights - Right of access. The Guidelines analyse the various aspects of the right of access and provide more precise guidance on how the right of access has to be implemented in different situations. Among others, the Guidelines provide clarifications on the scope of the right of access, the information the controller has to provide to the data subject, the format of the access request, the main modalities for providing access, and the notion of manifestly unfounded or excessive requests. Following public consultation, the guidelines were updated and further clarifications were added on different aspects that were brought up in the consultation. Furthermore, some minor editorial adjustments were made to ensure consistency of different concepts. EDPBは、パブリックコンサルテーションを経て、データ主体の権利(アクセス権)に関するガイドラインの最終版を採択した。 本ガイドラインは、アクセス権の様々な側面を分析し、アクセス権が様々な状況下でどのように実施されなければならないかについて、より正確なガイダンスを提供する。特に、アクセス権の範囲、管理者がデータ主体に提供しなければならない情報、アクセス要求の形式、アクセスを提供するための主な方法、および明白に根拠のないまたは過剰な要求の概念について明確化されている。パブリックコンサルテーションの後、ガイドラインは更新され、コンサルテーションで提起されたさまざまな側面についてさらなる明確化が加えられた。さらに、異なる概念の一貫性を確保するために、編集上の微調整が行われた。
In addition, the EDPB also adopted final versions of the targeted updates of Guidelines for identifying  a  controller  or  processor’s  lead supervisory  authority and the Guidelines on data breach notification. Both guidelines concern an update of the Art. 29 Working Party Guidelines on the same subjects. The public consultation only concerned the paragraphs of the guidelines that were updated. さらに、EDPBは、管理者または処理者の監督当局を特定するためのガイドラインおよびデータ侵害通知に関するガイドラインの最終版も採択した。両ガイドラインは、第29条作業部会ガイドラインの更新に関わるものである。第29条作業部会ガイドラインの更新に関わるものである。パブリックコンサルテーションは、更新されたガイドラインのパラグラフにのみ関係するものであった。
Following public consultation, some feedback was included in the updated Guidelines on data breach notification. Most notably, the new version clarifies that the notification shall be the responsibility of the controller. In addition, some stakeholders raised concerns about operational issues when a personal data breach needs to be notified to multiple data protection authorities (DPAs). The EDPB recalls that the targeted update simply aligns the text of the Guidelines with the text of the GDPR, which does not provide for one-stop-shop for controllers not established within EEA. The EDPB however considered the stakeholders’ feedback, and decided to publish a contact list for data breach notification with relevant links and accepted languages for all EEA DPAs on its website in the near future. This will make it easier for controllers to identify the contact points and requirements per DPA. パブリックコンサルテーションの後、いくつかのフィードバックがデータ侵害通知に関するガイドラインの更新に含まれた。最も注目すべきは、新バージョンでは、通知は管理者の責任であることが明確にされている。また、一部の関係者は、個人データの侵害を複数のデータ保護当局(DPA)に通知する必要がある場合の運用上の問題について懸念を示している。EDPBは、今回の更新は、ガイドラインの文章をGDPRの文章に合わせるだけであり、EEA域内に設立されていない管理者のためのワンストップショップを規定していないことを想起する。しかし、EDPBは関係者のフィードバックを考慮し、近い将来、すべてのEEA DPAの関連リンクと受け入れ可能な言語を含むデータ侵害通知の連絡先リストをウェブサイト上で公開することを決定した。これにより、コントローラはDPAごとの連絡先や要件を容易に特定できるようになる。

 

・[PDF]

20230419-44926

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.   データ主体のアクセス権は、EUの基本権憲章の第8条で規定に明記されている。この権利は、欧州のデータ保護法の枠組みが始まった当初から存在し、現在では、Art.15 GDPRにおいて、より具体的で正確な規則によってさらに発展している。15 GDPRにおいて、より具体的で正確な規則によってさらに発展している。 
Aim and overall structure of the right of access  アクセス権の目的および全体構造 
The overall aim of the right of access is to provide individuals with sufficient, transparent and easily accessible information about the processing of their personal data so that they can be aware of and verify the lawfulness of the processing and the accuracy of the processed data. This will make it easier - but is not a condition - for the individual to exercise other rights such as the right to erasure or rectification.   アクセス権の全体的な目的は、個人データの処理に関する十分で透明性のある、簡単にアクセスできる情報を個人に提供し、処理の合法性と処理されたデータの正確性を認識し確認できるようにすることである。これにより、個人が消去権や修正権などの他の権利を行使することが容易になる(ただし、これは条件ではない)。 
The right of access according to data protection law is to be distinguished from similar rights with other objectives, for example the right of access to public documents which aims at guaranteeing transparency in public authorities’ decision-making and good administrative practice.   データ保護法に基づくアクセス権は、他の目的を持つ同様の権利、例えば、公的機関の意思決定における透明性と良好な行政慣行を保証することを目的とする公文書へのアクセス権とは区別されるものである。 
However, the data subject does not have to give reasons for the access request and it is not up to the controller to analyse whether the request will actually help the data subject to verify the lawfulness of the relevant processing or exercise other rights. The controller will have to deal with the request unless it is clear that the request is made under other rules than data protection rules.   ただし、データ対象者はアクセス要求の理由を述べる必要はなく、その要求がデータ対象者が関連処理の合法性を確認したり、その他の権利を行使したりするのに実際に役立つかどうかを分析することは、管理者の責任ではない。管理者は、その要求がデータ保護規則以外の規則に基づいてなされたものであることが明らかでない限り、その要求に対処する必要がある。 
The right of access includes three different components:  アクセス権には、3つの異なる構成要素が含まれる: 
§  Confirmation as to whether data about the person is processed or not,  § 本人に関するデータが処理されているかどうかの確認、 
§  Access to this personal data and   § この個人データへのアクセスおよび  
§  Access to information about the processing, such as purpose, categories of data and recipients, duration of the processing, data subjects’ rights and appropriate safeguards in case of third country transfers.  § 目的、データの種類および受領者、処理の期間、データ主体の権利および第三国へ の移転の場合の適切な保護措置など、処理に関する情報へのアクセス。
General considerations on the assessment of the data subject’s request  データ主体の要求の評価に関する一般的な考慮事項 
When analysing the content of the request, the controller must assess whether the request concerns personal data of the individual making the request, whether the request falls within the scope of Art. 15 and whether there are other, more specific, provisions that regulate access in a certain sector. It must also assess whether the request refers to all or only parts of the data processed about the data subject.  要求の内容を分析する場合、管理者は、要求が要求を行う個人の個人データに関係するかどうか、要求が第15条の範囲に含まれるかどうかを評価しなければならない。15に該当するかどうか、また、特定の分野でのアクセスを規制する、より具体的な他の規定があるかどうかを評価する必要がある。また、要求がデータ対象者について処理されたデータの全てに言及しているのか、一部のみに言及しているのかを評価しなければならない。
There are no specific requirements on the format of a request. The controller should provide appropriate and user-friendly communication channels that can easily be used by the data subject. However, the data subject is not required to use these specific channels and may instead send the request to an official contact point of the controller. The controller is not obliged to act on requests that are sent to completely random, or apparently incorrect, addresses.  要求の形式に関する特定の要件はない。管理者は、データ対象者が容易に利用できる適切で使いやすい通信手段を提供する必要がある。ただし、データ対象者は、これらの特定のチャネルを使用する必要はなく、代わりにコントローラの公式連絡先にリクエストを送信することができる。コントローラは、完全にランダムな、または明らかに不正確なアドレスに送信されたリクエストに対処する義務を負わない。
Where the controller is not able to identify data that refers to the data subject, it shall inform the data subject about this and may refuse to give access unless the data subject provides additional information that enables identification. Further more, if the controller has doubts about whether the data subject is who they claim to be, the controller may request additional information in order to confirm the identity of the data subject. The request for additional information must be proportionate to the type of data processed, the damage that could occur etc. in order to avoid excessive data collection.   管理者がデータ対象者に関連するデータを特定できない場合、管理者はその旨をデータ対象者に通知するものとし、データ対象者が特定を可能にする追加情報を提供しない限り、アクセスを拒否することができる。さらに、管理者がデータ対象者が本人であるかどうか疑わしい場合、管理者はデータ対象者の身元を確認するために追加情報を要求することができる。追加情報の要求は、過剰なデータ収集を避けるため、処理されるデータの種類、発生し得る損害などに比例したものでなければならない。 
Scope of the right of access  アクセス権の範囲 
The scope of the right of access is determined by the scope of the concept of personal data as defined in Art. 4(1) GDPR. Aside from basic personal data like name, address, phone number etc. a broad variety of data may fall within this definition like medical findings, history of purchases, creditworthiness indicators, activity logs, search activities etc. Personal data which have undergone pseudonymisation are still personal data as opposed to anonymised data. The right of access refers to personal data concerning the person making the request. This should not be interpreted overly restrictively and may include data that could concern other persons too, for example communication history involving incoming and outgoing messages.   アクセス権の範囲は、第4条(1)で定義される個人データの概念の範囲によって決定される。GDPR第4条(1) に定義される個人データの概念の範囲によって決定される。氏名、住所、電話番号などの基本的な個人データのほか、医学的所見、購入履歴、信用度指標、活動ログ、検索活動など、さまざまなデータがこの定義に含まれる可能性がある。仮名化を経た個人データは、匿名化されたデータとは異なり、依然として個人データである。アクセス権は、要求する人に関する個人データを指する。これは過度に制限的に解釈されるべきではなく、例えば、送受信メッセージを含む通信履歴など、他の人に関係するデータも含まれる可能性がある。 
In addition to providing access to the personal data, the controller has to provide additional information about the processing and on data subjects’ rights. Such information can be based on what is already compiled in the controller’s record of processing activities (Art. 30 GDPR) and the privacy notice (Art. 13 and 14 GDPR). However, this general information may have to be updated to the time of the request or tailored to reflect the processing operations that are carried out in relation to the specific person making the request.   個人データへのアクセスを提供することに加え、管理者は、処理に関する追加情報およびデータ主体の権利を提供しなければならない。このような情報は、管理者の処理活動の記録(GDPR第30条)およびプライバシー通知(GDPR第13条および第14条)に既にまとめられているものを基にすることができる。ただし、この一般的な情報は、要求の時点に更新したり、要求を行う特定の人物に関連して実施される処理業務を反映するように調整したりする必要がある場合がある。 
How to provide access  アクセスの提供方法 
The ways to provide access may vary depending on the amount of data and the complexity of the processing that is carried out. Unless explicitly stated otherwise, the request should be understood as referring to all personal data concerning the data subject and the controller may ask the data subject to specify the request if they process a large quantity of data.  アクセスを提供する方法は、データの量および実施される処理の複雑さによって異なる場合がある。明示的に別段の記載がない限り、要求はデータ対象者に関するすべての個人データを指すと理解すべきであり、管理者は大量のデータを処理する場合、データ対象者に要求を特定するように求めることができる。
The controller will have to search for personal data throughout all IT systems and non-IT filing systems based on search criteria that mirrors the way in which the information is structured, for example name and customer number. The communication of data and other information about the processing must be provided in a concise, transparent, intelligible and easily accessible form, using clear and plain language. The more precise requirements in this regard depend on the circumstances of the data processing as well as the data subject’s ability to grasp and comprehend the communication (for example taking into account that the data subject is a child or a person with special needs). If the data consists of codes or other “raw data”, these may have to be explained in order to make sense to the data subject.  管理者は、すべてのITシステムおよび非ITファイリングシステムを通じて、例えば氏名や顧客番号といった情報の構造化方法を反映した検索基準に基づいて個人データを検索する必要がある。データおよび処理に関するその他の情報の伝達は、簡潔、透明、分かりやすく、容易にアクセスできる形で、明確かつ平易な言語を用いて提供されなければならない。この点に関するより正確な要件は、データ処理の状況、およびデータ対象者がコミュニケーションを把握し理解する能力(例えば、データ対象者が子供または特別なニーズを持つ人であることを考慮する)に依存する。データがコードまたはその他の「生データ」で構成されている場合、データ対象者が理解できるように説明する必要がある場合がある。
The main modality for providing access is to provide the data subject with a copy of their data but other modalities (such as oral information and on site access) can be foreseen if the data subject requests it. The data can be sent by e-mail, provided that all necessary safeguards are applied taken into consideration, for example, the nature of the data, or in other ways, for example a self-service tool.   データへのアクセスを提供する主な方法は、データ対象者にデータのコピーを提供することであるが、データ対象者が要求すれば、他の方法(口頭での情報提供や現場でのアクセスなど)も予見することができる。データは、データの性質などを考慮し、必要な保護措置をすべて適用した上で、電子メールで送信することもできるし、セルフサービスツールなどの他の方法で送信することもできる。 
Sometimes, when there is a large quantity of data and it would be difficult for the data subject to comprehend the information if given all in one bulk – especially in the online context - the most appropriate measure could be a layered approach. Providing information in different layers may facilitate the data subject’s understanding of the data. The controller must be able to demonstrate that the layered approach has an added value for the data subject and all layers should be provided at the same time if the data subject chooses it.   大量のデータがあり、データ対象者が情報を理解するのが困難な場合、特にオンラインの場合、最も適切な方法は、階層化されたアプローチである可能性がある。異なるレイヤーで情報を提供することで、データ主体のデータに対する理解が容易になる可能性がある。管理者は、レイヤーアプローチがデータ主体にとって付加価値があることを証明できなければならず、データ主体がそれを選択した場合は、すべてのレイヤーを同時に提供する必要がある。 
The copy of the data and the additional information should be provided in a permanent form such as written text, which could be in a commonly used electronic form, so that the data subject can easily download it. The data can be given in a transcript or a compiled form as long as all the information is included and this does not alter or change the content of the information.   データのコピーおよび追加情報は、データ対象者が容易にダウンロードできるように、一般的に使用される電子形式である可能性がある、書面によるテキストなどの恒久的な形態で提供されるべきである。すべての情報が含まれ、情報の内容が変更されない限り、データは転写または編集された形で提供されることが可能である。 
The request must be fulfilled as soon as possible and in any event within one month of receipt of the request. This can be extended by two further months where necessary, taking into account the complexity and number of the request. The data subject then has to be informed about the reason for the delay. The controller must implement necessary measures to deal with requests as soon as possible and adapt these measures to the circumstances of the processing. Where data is stored only for a very short period, there must be measures to guarantee that a request for access can be fulfilled without the data being erased while the request is being dealt with. Where a large quantityof data is processed, the controller will have to put in place routines and mechanisms that are adapted to the complexity of the processing.  要求は、できるだけ早く、いかなる場合でも要求の受領から1ヶ月以内に実現されなければならない。これは、要求の複雑さと数を考慮し、必要に応じてさらに2ヶ月延長することができる。その後、データ主体は、遅延の理由について通知されなければならない。管理者は、要求にできるだけ早く対処するために必要な措置を講じ、これらの措置を処理の状況に適合させなければならない。データが非常に短期間しか保存されない場合、アクセス要求が処理されている間にデータが消去されることなく、アクセス要求が満たされることを保証する措置が必要である。大量のデータが処理される場合、管理者は、処理の複雑さに適応したルーチンおよびメカニズムを導入する必要がある。
The assessment of the request should reflect the situation at the moment when the request was received by the controller. Even data that may be incorrect or unlawfully processed will have to be provided. Data that has already been deleted, for example in accordance with a retention policy, and therefore is no longer available to the controller cannot be provided.  要求の評価は、要求が管理者によって受け取られた瞬間の状況を反映する必要がある。不正確または違法に処理された可能性のあるデータも提供しなければならない。保持方針などに基づいてすでに削除され、管理者がもはや利用できないデータは提供できる。
Limits and restrictions  制限と制約 
The GDPR allows for certain limitations of the right of access. There are no further exemptions or derogations. The right of access is without any general reservation to proportionality with regard to the efforts the controller has to take to comply with the data subject´s request.   GDPRは、アクセス権の一定の制限を認めている。それ以上の免除や軽減はない。アクセス権は、データ主体の要求に応じるために管理者が講じなければならない努力に関して、比例関係に対する一般的な留保を持たないものである。 
According to Art. 15(4) the right to obtain a copy shall not adversely affect the rights and freedoms of others. The EDPB is of the opinion that these rights must be taken into consideration not only when granting access by providing a copy, but also, if access to data is provided by other means (on-site access for example). Art. 15(4) is not, however, applicable to the additional information on the processing as stated in Art. 15(1) lit. a.-h. The controller must be able to demonstrate that the rights or freedoms of others would be adversely affected in the concrete situation. Applying Art. 15(4) should not result in refusing the data subject’s request altogether; it would only result in leaving out or rendering illegible those parts that may have negative effects for the rights and freedoms of others.   第 15 条(4)によれば、コピーを取得する権利は、他者の権利及び自由に対して悪影響を及ぼしてはならない。EDPBは、コピーを提供することでアクセスを許可する場合だけでなく、データへのアクセスが他の手段で提供される場合(例えば、オンサイトアクセス)にも、これらの権利を考慮しなければならないという見解を持っている。第 15 条(4)は、しかし、第15条(1) lit.a.-h.に記載されている処理に関する追加情報には適用されない。管理者は、具体的な状況において、他者の権利または自由が悪影響を受けることを証明できなければならない。第15条(4)を適用することで 、データ主体の要求を完全に拒否することにはならない。他者の権利および自由に悪影響を及ぼす可能性のある部分を省いたり、判読不能にしたりすることになる。 
Art. 12(5) GDPR allows controllers to reject requests that are manifestly unfounded or excessive, or to charge a reasonable fee for such requests. These concepts have to be interpreted narrowly. Since there are very few prerequisites regarding access requests, the scope of considering a request as manifestly unfounded is rather limited. Excessive requests depend on the specifics of the sector in which the controller operates. The more often changes occur in the controller’s data base, the more often the data subject may be permitted to request access without it being excessive. Instead of refusing access, the controller may decide to charge a fee from the data subject. This would only be relevant in the case of excessive requests in order to cover the administrative costs that such requests may cause. The controller must be able to demonstrate the manifestly unfounded or excessive character of a request.   GDPR 第12条(5) では、管理者は、明らかに根拠のない要求や過剰な要求を拒否したり、そのような要求に対して合理的な手数料を請求することができる。これらの概念は、狭く解釈されなければならない。アクセス要求に関する前提条件がほとんどないため、明らかに根拠のない要求とみなされる範囲はかなり限定的である。過剰な要求は、管理者が事業を行っている部門の仕様に依存する。管理者のデータベースに変更が生じる頻度が高ければ高いほど、データ対象者は、過剰な要求でなくともアクセスを要求することが許可される場合がある。アクセスを拒否する代わりに、管理者はデータ主体から手数料を徴収することを決定することができる。これは、過剰な要求の場合にのみ、そのような要求が引き起こす可能性のある管理コストをカバーするために関連するものである。管理者は、要求が明らかに根拠がない、または過剰なものであることを証明できなければならない。 
Restrictions of the right of access may also exist in Member States’ national law as per Art. 23 GDPR and the derogations therein. Controllers who intend to rely on such restrictions must carefully check the requirements of the national provisions and take note of any specific conditions that may apply. Such conditions may be that the right of access is only temporarily delayed or that the restriction only applies to certain categories of data.  アクセス権の制限は、加盟国の国内法においてもGDPR第23条およびその緩和措置に基づき、アクセス権の制限が存在する場合がある。このような制限に依拠しようとする管理者は、国内規定の要件を慎重に確認し、適用される可能性のある特定の条件に留意する必要がある。そのような条件とは、アクセス権が一時的にのみ遅延すること、または制限が特定のデータカテゴリーにのみ適用されることである可能性がある。

 

目次...

Table of contents  目次 
1  Introduction - general observations 1 はじめに-一般的な見解
2  Aim of the right of access, structure of Article 15 GDPR and general principles 2 アクセス権の目的、GDPR第15条の構成と一般原則
2.1  Aim of the right of access 2.1 アクセス権の目的
2.2  Structure of Article 15 GDPR 2.2 GDPR 第 15 条の構成
2.2.1  Defining the content of the right of access 2.2.1 アクセス権の内容の定義
2.2.1.1  Confirmation as to ‘whether’ or not personal data are being processed 2.2.1.1 個人データが処理されている「かどうか」についての確認
2.2.1.2  Access to the personal data being processed 2.2.1.2 処理される個人データへのアクセス
2.2.1.3  Information on the processing and on data subject rights 2.2.1.3 処理に関する情報およびデータ主体の権利に関する情報
2.2.2  Provisions on Modalities 2.2.2 モダリティに関する規定
2.2.2.1  Providing a copy 2.2.2.1 コピーの提供
2.2.2.2  Providing further copies 2.2.2.2 追加コピーの提供
2.2.2.3  Making the information available in a commonly used electronic form 2.2.2.3 一般的に使用される電子的な形態で情報を利用できるようにすること。
2.2.3  Possible limitation of the right of access 2.2.3 アクセス権の制限の可能性
2.3  General principles of the right of access 2.3 アクセスの権利の一般原則
2.3.1  Completeness of the information 2.3.1 情報の完全性
2.3.2  Correctness of the information 2.3.2 情報の正しさ
2.3.3  Time reference point of the assessment 2.3.3 評価の時間的基準点
2.3.4  Compliance with data security requirements 2.3.4 データセキュリティの要求事項への準拠
3  General considerations regarding the assessment of access requests 3 アクセス要求の評価に関する一般的な考慮事項
3.1  Introduction 3.1 はじめに
3.1.1  Analysis of the content of the request 3.1.1 リクエスト内容の分析
3.1.2  Form of the request 3.1.2 リクエストの形式
3.2  Identification and authentication 3.2 識別と確認
3.3  Proportionality assessment regarding authentication of the requesting person 3.3 要求者の本人確認に関する比例性評価
3.4  Requests made via third parties / proxies 3.4 第三者/代理人を介したご依頼について
3.4.1  Exercise of the right of access on behalf of children 3.4.1 子どもに代わってのアクセス権の行使
3.4.2  Exercising the right of access through portals / channels provided by a third party 3.4.2 第三者が提供するポータル/チャンネルを通じたアクセス権の行使
4  Scope of the right of access and the personal data and information to which it refers 4 アクセス権の範囲とその対象となる個人データおよび情報
4.1  Definition of personal data 4.1 個人情報の定義
4.2  The personal data the right of access refers to 4.2 アクセス権の対象となる個人データ
4.2.1  “personal data concerning him or her” 4.2.1 "本人に関する個人データ"
4.2.2  Personal data which “are being processed” 4.2.2 "処理されている "個人データ
4.2.3  The scope of a new request to access 4.2.3 新たなアクセス要求の対象範囲
4.3  Information on the processing and on data subject rights 4.3 処理に関する情報およびデータ主体の権利に関する情報
5  How can a controller provide access? 5 コントローラは、どのようにしてアクセスを提供できるか?
5.1  How can the controller retrieve the requested data? 5.1 管理者は要求されたデータをどのように取り出すことができるか?
5.2  Appropriate measures for providing access 5.2 アクセスを提供するための適切な手段
5.2.1  Taking “appropriate measures” 5.2.1 "適切な措置 "をとること
5.2.2  Different means to provide access 5.2.2 アクセスを提供するためのさまざまな手段
5.2.3 Providing access in a ”concise, transparent, intelligible and easily accessible form using clear and plain language” 5.2.3 "明確で平易な言語を用いた、簡潔で透明性のある、分かりやすい、容易にアクセスできる形 "でアクセスを提供すること。
5.2.4  A large quantity of information necessitates specific requirements on how the information is provided 5.2.4 情報量が多いため、情報の提供方法について特定の要件が必要である
5.2.5  Format 5.2.5 フォーマット
5.3  Timing for the provision of access 5.3 アクセス提供のタイミング
6  Limits and restrictions of the right of access 6 アクセス権の制限と制約
6.1  General remarks 6.1 総論
6.2  Article 15 (4) GDPR 6.2 GDPR 第15条(4)
6.3  Article 12(5) GDPR 6.3 GDPR 第12条(5)
6.3.1  What does manifestly unfounded mean? 6.3.1 明白な根拠がないとはどういうことか?
6.3.2  What does excessive mean? 6.3.2 過大とはどういう意味か?
6.3.3  Consequences 6.3.3 結果
6.4  Possible restrictions in Union or Member States law based on Article 23 GDPR and derogations 6.4 GDPR第23条に基づく連合国または加盟国の法律で考えられる制限と、その緩和措置
Annex – Flowchart 附属書-フローチャート

 

 

 

| | Comments (0)

EDPB 2022年活動報告書

こんにちは、丸山満彦です。

 EDPBが2022年の活動報告書を公表していますね。。。

 

⚫︎European Data Protection Board: EDPB 

・2023.04.17 Launch of the 2022 Annual Activity Report of the EDPB

・[PDF]

20230419-44909

 

目次...

1 GLOSSARY 1 用語集
2 FOREWORD 2 前書き
3 2022 – HIGHLIGHTS 3 2022年 - ハイライト
3.1. ENFORCEMENT COOPERATION 3.1. 執行協力
3.1.1. Vienna statement on enforcement cooperation 3.1.1. 執行協力に関するウィーン声明
3.1.2. Guidelines 02/2022 on the application of Art. 60 GDPR 3.1.2. GDPR第60条の適用に関するガイドライン 02/2022。
3.1.3. Guidelines 04/2022 on the calculation of administrative fines under the GDPR 3.1.3. GDPRに基づく行政処分の罰金の算定に関するガイドライン04/2022号
3.2. 2022 ARTICLE 65 DECISIONS 3.2. 2022年第65条決定
3.2.1. Decision 01/2022 on the dispute arisen on the draft decision of the French Supervisory Authority regarding Accor SA under Art. 65(1)(a) GDPR 3.2.1. GDPR第65条(1)(a)に基づくアコーSAに関するフランス監督庁の決定案について発生した紛争に関する決定01/2022
3.2.2. Binding Decision 2/2022 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding Meta Platforms Ireland Limited (Instagram) under Art. 65(1)(a) GDPR 3.2.2. GDPR第65条(1)(a)に基づく Meta Platforms Ireland Limited (Instagram) に関するアイルランド監督庁の決定案について生じた紛争に関する拘束力のある決定 2/2022
3.2.3. Binding Decision 3/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Facebook service (Art. 65 GDPR) and Binding Decision 4/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Instagram service (Art. 65 GDPR) 3.2.3. Meta Platforms Ireland LimitedおよびそのFacebookサービスに関してアイルランドのSAが提出した紛争に関する拘束的決定3/2022(GDPR65条)およびMeta Platforms Ireland LimitedおよびそのInstagramサービスに関してアイルランドのSAが提出した紛争に関する拘束力のある決定4/2022(GDPR65条)
3.2.4. Binding Decision 5/2022 on the dispute submitted by the Irish SA regarding WhatsApp Ireland Limited (Art. 65 GDPR) 3.2.4. WhatsApp Ireland Limited(GDPR第65条)に関するアイルランドSAから提出された紛争に関する拘束力のある決定 5/2022
4 2022 - THE EDPB SECRETARIAT 4 2022年-EDPB事務局
4.1. THE EDPB SECRETARIAT 4.1. EDPB事務局
4.2. EDPB BUDGET 4.2. EDPB 予算
4.3. IT COMMUNICATION TOOLS 4.3. イットコミュニケーションツール
4.4. THE EDPB SECRETARIAT’S ACTIVITIES RELATING TO ACCESS TO DOCUMENTS 4.4. 文書へのアクセスに関するEDPB事務局の活動
4.5. THE EDPB SECRETARIAT’S DATA PROTECTION OFFICER ACTIVITIES 4.5. EDPB事務局のデータ保護担当者活動
5 ACTIVITIES IN 2022 5 2022年の活動
5.1. BINDING DECISIONS 5.1. 拘束力のある決定
5.1.1. Decision 01/2022 on the draft decision of the French Supervisory Authority regarding Accor SA under Art. 65(1)(a) GDPR 5.1.1. GDPR第65条(1)(a)に基づくAccor SAに関するフランス監督庁の決定草案に関する決定01/2022。
5.1.2. Binding Decision 2/2022 on the draft decision of the Irish Supervisory Authority regarding Meta Platforms Ireland Limited (Instagram) under Art. 65(1)(a) GDPR 5.1.2. GDPR第65条(1)(a)に基づくMeta Platforms Ireland Limited(Instagram)に関するアイルランド監督庁の決定草案に関する拘束力のある決定 2/2022。
5.1.3. Binding Decision 3/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Facebook service (Art. 65 GDPR) and Binding Decision 4/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Instagram service (Art. 65 GDPR)  5.1.3. Meta Platforms Ireland LimitedおよびそのFacebookサービスに関してアイルランドのSAが提出した紛争に関する拘束的決定3/2022(GDPR65条)およびMeta Platforms Ireland LimitedおよびそのInstagramサービスに関してアイルランドのSAが提出した紛争に関する拘束力のある決定 4/2022(GDPR65条)。 
5.1.4. Binding Decision 5/2022 on the dispute submitted by the Irish SA regarding WhatsApp Ireland Limited (Art. 65 GDPR) 5.1.4. WhatsApp Ireland Limited(GDPR第65条)に関するアイルランドSAから提出された紛争に関する拘束力のある決定 5/2022条
5.2. CONSISTENCY OPINIONS 5.2. 整合性意見
5.2.1. Opinions on draft decisions regarding Binding Corporate Rules 5.2.1. 拘束力のある企業規則に関する決定草案に対する意見
5.2.2. Opinions on draft requirements for accreditation of a certification body 5.2.2. 認証機関の認定に関する要求事項案への意見
5.2.3. Opinions on certification criteria 5.2.3. 認証基準に関する意見
5.2.4. Opinions on SAs’ approval of accreditation requirements for code of conduct monitoring body 5.2.4. 行動規範監視団体の認定要件に対するSAの承認に関する意見
5.3. GENERAL GUIDANCE 5.3. 一般指導
5.3.1. Guidelines 01/2022 on data subject rights - Right of access 5.3.1. データ主体の権利に関するガイドライン01/2022 - アクセス権
5.3.2. Guidelines 02/2022 on the application of Art. 60 GDPR 5.3.2. GDPR第60条の適用に関するガイドライン 02/2022。
5.3.3. Guidelines 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them 5.3.3. ソーシャルメディアプラットフォームのインターフェースにおける欺瞞的なデザインパターンに関するガイドライン 03/2022:認識と回避の方法
5.3.4. Guidelines 04/2022 on the calculation of administrative fines under the GDPR 5.3.4. GDPRに基づく行政処分の罰金の計算に関するガイドライン04/2022
5.3.5. Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement 5.3.5. 法執行の分野における顔認識技術の使用に関するガイドライン05/2022
5.3.6. Guidelines 06/2022 on the practical implementation of amicable settlements 5.3.6. 有効的な解決の実践に関するガイドライン 06/2022
5.3.7. Guidelines 07/2022 on certification as tool for transfers 5.3.7. 移転のためのツールとしての認証に関するガイドライン07/2022
5.3.8. Guidelines 8/2022 on identifying a controller or processor’s LSA 5.3.8. コントローラまたはプロセッサのLSAの特定に関するガイドライン 8/2022
5.3.9. Guidelines 9/2022 on personal data breach notification under GDPR 5.3.9. GDPRにおける個人データ侵害通知に関するガイドライン9/2022号
5.3.10. Guidelines adopted after public consultation 5.3.10. パブリックコンサルテーションを経て採用されたガイドライン
5.4. REGISTER FOR DECISIONS TAKEN BY SA AND COURTS ON ISSUES HANDLED IN THE CONSISTENCY MECHANISM 5.4. 一貫性メカニズムで扱われる問題について、SAおよび裁判所が下した決定のための登録簿
5.5. LEGISLATIVE CONSULTATION AND DOCUMENTS ADDRESSED TO THE EU INSTITUTIONS OR NATIONAL AUTHORITIES 5.5. 立法協議およびEU機構または各国当局に宛てた文書
5.5.1. EDPB-EDPS Joint Opinion 1/2022 on the extension of the Covid-19 certificate Regulation 5.5.1. Covid-19 証明書規制の延長に関する EDPB-EDPS 共同意見書 1/2022
5.5.2. EDPB-EDPS Joint Opinion 2/2022 on the Proposal of the European Parliament and of the Council on harmonised rules on fair access to and use of data (Data Act) 5.5.2. データへの公正なアクセスと利用に関する調和のとれた規則に関する欧州議会と理事会の提案に関するEDPB-EDPS共同意見書2/2022(データ法)
5.5.3. EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space 5.5.3. 欧州健康データ空間に関する規則案に関するEDPB-EDPS共同意見書03/2022号
5.5.4. EDPB-EDPS Joint Opinion 04/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse 5.5.4. 児童の性的虐待を防止・撲滅するための規則を定めた欧州議会および理事会規則の提案に関するEDPB-EDPS共同意見書04/2022号
5.5.5. Statement 01/2022 on the announcement of an agreement in principle on a new Trans-Atlantic Data Privacy Framework 5.5.5. 新しい大西洋横断データプライバシー枠組みに関する基本合意の発表に関する声明 01/2022
5.5.6. Statement 04/2022 on the design choices for a digital euro from the privacy and data protection perspective 5.5.6. プライバシーとデータ保護の観点からのデジタルユーロのデザイン選択に関する声明 04/2022
5.5.7. Response of the EDPB to the European Commission’s targeted consultation on a digital Euro 5.5.7. デジタルユーロに関する欧州委員会の対象コンサルテーションに対するEDPBの回答
5.5.8. Statement on the implications of the CJEU judgement C-817/19 on the use of PNR in Member States 5.5.8. 加盟国におけるPNRの使用に関するCJEU判決C-817/19の影響に関する声明
5.6. OTHER GUIDANCE AND INFORMATION NOTES 5.6. その他のガイダンスと情報ノート
5.6.1. Statement 02/2022 on personal data transfers to the Russian Federation 5.6.1. ロシア連邦への個人データ移転に関する声明 02/2022
5.7. GDPR COOPERATION AND ENFORCEMENT 5.7. GDTPの協力と実施
5.7.1. Statement on enforcement cooperation 5.7.1. 執行協力に関する声明
5.7.2. EDPB Document on the selection of cases of strategic importance 5.7.2. 戦略的に重要なケースの選択に関するEDPB文書
5.7.3. Coordinated Enforcement Framework 5.7.3. 協調執行の枠組み
5.7.4. Support Pool of Experts 5.7.4. 専門家のサポートプール
5.8. PLENARY MEETINGS AND SUBGROUPS 5.8. 全体会議およびサブグループ
5.9. STAKEHOLDER CONSULTATION 5.9. ステークホルダーコンサルテーション
5.9.1. Stakeholder events 5.9.1. ステークホルダーイベント
5.9.2. Public consultation on draft guidance 5.9.2. ガイダンス草案に関するパブリックコンサルテーション
5.9.3. Survey on practical application of adopted guidance 5.9.3. 採択されたガイダンスの実践的な適用に関する調査
5.10. EXTERNAL REPRESENTATION OF THE BOARD 5.10. 理事会の外部代表
6 SUPERVISORY AUTHORITY ACTIVITIES IN 2022 6 2022年の監督官庁の活動
6.1. CROSS-BORDER COOPERATION 6.1. 国境を越えた協力
6.1.1. Preliminary procedure to identify the Lead and Concerned Supervisory Authorities 6.1.1. 主導監督官庁及び懸念監督官庁を特定するための予備的手順
6.1.2. Database regarding cases with a cross-border component 6.1.2. クロスボーダーの要素を持つケースに関するデータベース
6.1.3. One-Stop-Shop Mechanism and decisions 6.1.3. ワンストップ・ショップの仕組みと決定事項
6.1.4. Mutual Assistance 6.1.4. 相互扶助
6.1.5. Joint Operations 6.1.5. 共同オペレーション
6.2. NATIONAL CASES 6.2. 国内事例
6.2.1. Some relevant national cases with exercise of corrective powers 6.2.1. 是正措置の行使を伴ういくつかの関連する国内事例
6.3. SA SURVEY - BUDGET AND STAFF 6.3. SA調査-予算とスタッフ
7 COORDINATED SUPERVISION COMMITTEE OF THE LARGE EU INFORMATION SYSTEMS AND OF EU BODIES, OFFICES AND AGENCIES 7 EUの大規模な情報システムおよびEUの団体、機関、 省庁の協調監督委員会
8 ANNEXES 8 附属書
8.1. GENERAL GUIDANCE ADOPTED IN 2022 8.1. 2022年に採用された一般的なガイダンス
8.2. CONSISTENCY OPINIONS AND DECISIONS ADOPTED IN 2022 8.2. 2022年に採択された整合性意見と決定
8.3. JOINT OPINIONS ADOPTED IN 2022 8.3. 2022年に採択された共同意見
8.4. LEGISLATIVE CONSULTATION 8.4. 立法協議
8.5. OTHER DOCUMENTS 8.5. 他文書
8.6. LIST OF EXPERT SUBGROUPS AND TASKFORCES WITH SCOPE OF MANDATES 8.6. 専門家サブグループとタスクフォースのリストとマンデートの範囲

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.16 EDPB シェンゲン情報システム データ主体の権利行使のための手引き アクセス権、修正権、消去権

・2023.04.14 EDPB Metaによる米国への個人データ転送に関する紛争解決、Chat GPTに関するタスクフォースを設置

・2023.04.06 欧州 EDPB GDPRにおける個人データ侵害通知に関するガイドライン 9/2022 Ver. 2.0

・2023.03.02 EDPB EU-米国データ・プライバシー・フレームワークにおける改善を歓迎するが、いいたいことは54ページ分ほどある(^^)

・2023.02.28 欧州 EDPB ガイドライン03/2022 ソーシャルメディア・プラットフォームのインターフェースにおける欺瞞的なデザインパターン:その認識と回避方法について

・2023.02.28 欧州 EDPB 個人データの越境に関するガイド2つ...

・2023.01.20 EDPB 公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキー バナータスクフォースの報告書を採択

・2022.12.08 欧州データ保護委員会が、Facebook、Instagram、WhatsAppに対するアイルランドのデータ保護委員会の決定に対する他のデータ保護委員会からの異議申し立てに対して調整することに。。。

・2022.12.06 アイルランド データ保護委員会がフェイスブックの「データスクレイピング」調査に関する決定を発表/罰金265百万ユーロ(約380億円)(2022.11.28)

・2022.11.25 欧州データ保護委員会 パブコメ コントローラ用 拘束的企業準則 (BCR-C) (2022.11.15)

・2022.11.14 欧州データ保護委員会 スロベニアデータ監督庁 財産の保護はGPS追跡の正当な利益となり得るが、その手段は適切かつ必要なものでなければならない

・2022.10.24 欧州委員会 Europrivacy: GDPR準拠を保証する認証 (2022.10.17)

・2022.10.21 欧州データ保護委員会 EDPB 意見募集 GDPRに基づく個人データ漏えい通知に関するガイドライン9/2022

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.02.17 欧州データ保護委員会 (EDPB) 各国個人データ保護機関が協調して公共部門によるクラウドベースサービスの利用に関する調査を開始

・2021.11.21 欧州データ保護委員会 (EDPB) 意見募集 第三国または他の国への個人データの移転と認定する基準についてのガイド「GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021」

・2021.10.21 欧州データ保護委員会 (EDPB) GDPR第23条に基づくデータ主体の権利の制限に関するガイドラインを採択

・2021.10.03 欧州データ保護委員会 (EDPB) 韓国の十分性決定案に関する意見を採択

・2021.10.03 欧州データ保護委員会 (EDPB) Cookieバナーについてのタスクフォースを設置

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.04 欧州データ保護委員会 (EDPB) 2020年次報告書

・2021.04.24 欧州データ保護委員会 (EDPB) が「ソーシャルメディアユーザーのターゲティングに関するガイドライン」の最新版の公表をソーシャルメディアで行っていますね(^^)

・2021.04.19 EDPB(欧州データ保護会議) UKの十分性についての意見

・2021.04.09 EUデータ保護当局 (EDPB/EDPS) は、デジタルグリーン証明書の提案についての共同意見を採択

・2021.03.15 欧州データ保護委員会 (EDPB) コネクテッド・カーおよびモビリティ関連アプリケーションにおける個人データの処理に関するガイドラインの最終版を公表

・2021.02.16 欧州委員会 健康データとGDPRに関する加盟国の規則についての調査結果を公開

・2021.02.07 EDPB 健康研究を中心としたGDPRの一貫した適用に関する欧州委員会からの明確化要請に対する回答

・2021.01.19 欧州データ保護委員会 パブコメ データ漏えいの通知に関する事例ガイドライン

・2020.11.20 欧州データ保護委員会-第42回本会議、第41回本会議(標準契約条項)

・2020.09.08 欧州データ保護委員会 (EDPB)が「GPDRにおけるコントローラとプロセッサーの概念に関するガイドライン」について意見募集をしていますね。。。

・2020.07.16 EU-USのプライバシーシールドを無効にしま〜す by EU裁判所

・2020.06.21 EDPB COVID-19 Contact Tracing Applicationの相互運用性に関する声明を発表

・2020.05.07 欧州データ保護委員会はGDPRに基づく「同意」に関するガイドラインを公表していますね

 

 

 

| | Comments (0)

2023.04.18

米国 食品医薬品局 医療機器におけるサイバーセキュリティ FD&C法524B条に基づくサイバーデバイスおよび関連システムに対する受け入れ拒否の方針

こんにちは、丸山満彦です。

米国の食品医薬品局が。医療機器におけるサイバーセキュリティ FD&C法524B条に基づくサイバーデバイスおよび関連システムに対する受け入れ拒否の方針を発行していますね。。。

2022年12月29日に2023年連結歳出法(「オムニバス」)が成立しましたが、医療機器のサイバーセキュリティについての条項、第3305条「医療機器のサイバーセキュリティの確保」もあります。これは、連邦食品・医薬品・化粧品法(FD&C法)を改正し、第524B条「機器のサイバーセキュリティの確保」を追加したものですね。。。3月29日からの施行のため、3月30日にガイダンスが発行されています。。。パブコメは求めることはしていないけど、問題があればいつでも相談してねって...


⚫︎ U.S. Food and Drug Administration

・2023.03 Cybersecurity in Medical Devices: Refuse to Accept Policy for Cyber Devices and Related Systems Under Section 524B of the FD&C Act

 

FDA-2023-D-1030 Cybersecurity in Medical Devices: Refuse to Accept Policy for Cyber Devices and Related Systems Under Section 524B of the FD&C Act; Guidance for Industry and Food and Drug Administration Staff; Availability

 

・2023.03.30 Cybersecurity in Medical Devices: Refuse To Accept Policy for Cyber Devices and Related Systems Under Section 524B of the FD&C Act; Guidance for Industry and Food and Drug Administration Staff; Availability



 


 

2023年連結歳出法(「オムニバス」)第3305条

 

SEC. 3305. ENSURING CYBERSECURITY OF MEDICAL DEVICES. SEC. 3305. 医療機器のサイバーセキュリティを確保する。
(a) In General.—Subchapter A of chapter V of the Federal Food, Drug, and Cosmetic Act (21 U.S.C. 351 et seq.) is amended by adding at the end the following: (a) 一般に-連邦食品・医薬品・化粧品法(21 U.S.C. 351 et seq.)の第V章Aは、末尾に以下を追加することにより改正される:
"SEC. 524B. ENSURING CYBERSECURITY OF DEVICES. "SEC.524B. 機器のサイバーセキュリティの確保
“(a) In General.—A person who submits an application or submission under section 510(k), 513, 515(c), 515(f), or 520(m) for a device that meets the definition of a cyber device under this section shall include such information as the Secretary may require to ensure that such cyber device meets the cybersecurity requirements under subsection (b). "(a)一般的に -本条に基づくサイバー機器の定義を満たす機器について、510(k)項、513項、515(c)項、515(f)項、または520(m)項に基づく申請または提出を行う者は、当該サイバー機器が第(b)項のサイバーセキュリティ要件を満たすことを確実にするために長官が要求する情報を含む。
"(b) Cybersecurity Requirements.—The sponsor of an application or submission described in subsection (a) shall — "(b) サイバーセキュリティ要件"-第(a)項に記載された申請書または提出物のスポンサーは、以下のとおりとする。
“(1) submit to the Secretary a plan to monitor, identify, and address, as appropriate, in a reasonable time, postmarket cybersecurity vulnerabilities and exploits, including coordinated vulnerability disclosure and related procedures; "(1) 調整された脆弱性の開示および関連する手順を含む、市販後のサイバーセキュリティの脆弱性および悪用を監視、特定、および適切な時期に対処する計画を長官に提出する;
“(2) design, develop, and maintain processes and procedures to provide a reasonable assurance that the device and related systems are cybersecure, and make available postmarket updates and patches to the device and related systems to address— "(2) 機器及び関連システムがサイバーセキュリティであることを合理的に保証するためのプロセス及び手順を設計、開発及び維持し、機器及び関連システムの市販後の更新及びパッチを利用可能にし、以下の事項に対処する。
“(A) on a reasonably justified regular cycle, known unacceptable vulnerabilities; and "(A) 合理的に正当化された定期的なサイクルにおいて、既知の許容できない脆弱性。
“(B) as soon as possible out of cycle, critical vulnerabilities that could cause uncontrolled risks; "(B) 制御不能なリスクを引き起こす可能性のある重要な脆弱性を、サイクルからできるだけ早く除外する;
“(3) provide to the Secretary a software bill of materials, including commercial, open-source, and off-the-shelf software components; and "(3) 商用、オープンソース、市販のソフトウェア部品を含むソフトウェア部品表を長官に提供すること。
“(4) comply with such other requirements as the Secretary may require through regulation to demonstrate reasonable assurance that the device and related systems are cybersecure. "(4) 機器および関連システムがサイバーセキュアであるという合理的な保証を示すために、長官が規則により要求するその他の要件に従うこと。
“(c) Definition.—In this section, the term ‘cyber device’ means a device that— "(c)定義-本節において、「サイバー機器」という用語は、以下の機器を意味する。
“(1) includes software validated, installed, or authorized by the sponsor as a device or in a device; "(1) 装置として、または装置内に、スポンサーによって検証、インストール、または認可されたソフトウェアを含む;
“(2) has the ability to connect to the internet; and "(2)インターネットに接続する機能を有している。
“(3) contains any such technological characteristics validated, installed, or authorized by the sponsor that could be vulnerable to cybersecurity threats. "(3) スポンサーによって検証され、インストールされ、または認可された、サイバーセキュリティの脅威に脆弱な可能性があるそのような技術的特性を含む。
“(d) Exemption.—The Secretary may identify devices, or categories or types of devices, that are exempt from meeting the cybersecurity requirements established by this section and regulations promulgated pursuant to this section. The Secretary shall publish in the Federal Register, and update, as appropriate, a list of the devices, or categories or types of devices, so identified by the Secretary.” "(d) 免除-長官は、本節および本節に従って公布された規則により確立されたサイバーセキュリティ要件への適合を免除される機器、または機器のカテゴリーもしくはタイプを特定することができる。長官は、長官がそう特定した機器、または機器のカテゴリーもしくはタイプのリストを連邦官報に掲載し、適宜更新するものとする。"
(b) Prohibited Act.—Section 301(q) of the Federal Food, Drug, and Cosmetic Act (21 U.S.C. 331(q)) is amended by adding at the end the following: (b) 禁止行為-連邦食品医薬品化粧品法301条(q)(21 U.S.C. 331(q))は、末尾に以下を追加することにより改正される:
“(3) The failure to comply with any requirement under section 524B(b)(2) (relating to ensuring device cybersecurity).” "(3)第 524B(b)(2) 項(機器のサイバーセキュリティの確保に関する)に基づくいずれかの要件に従わないこと。.
(c) Rule of Construction.—Nothing in this section, including the amendments made by this section, shall be construed to affect the Secretary’s authority related to ensuring that there is a reasonable assurance of the safety and effectiveness of devices, which may include ensuring that there is a reasonable assurance of the cybersecurity of certain cyber devices, including for devices approved or cleared prior to the date of enactment of this Act. (c) 構成規則-本節による修正を含む本節のいかなる規定も、機器の安全性と有効性の合理的な保証の確保に関連する長官の権限に影響を及ぼすものと解釈してはならない。この権限には、本法の制定日以前に承認または認可された機器を含む、特定のサイバー機器のサイバーセキュリティの合理的保証の確保を含めることができる。
(d) Effective Date.—The amendments made by subsections (a) and (b) shall take effect 90 days after the date of enactment of this Act. An application or submission submitted before such effective date shall not be subject to the requirements under subsection (a) or (b) of section 524B of the Federal Food, Drug, and Cosmetic Act, as added by this section. (d) 発効日-第(a)項及び第(b)項による改正は、本法の制定日の90日後に発効する。当該発効日前に提出された申請書または提出物は、本節により追加された連邦食品・医薬品・化粧品法第524B条(a)または(b)の要件に従わないものとする。
(e) Guidance for Industry and FDA Staff on Device Cybersecurity.—Not later than 2 years after the date of enactment of this Act, and periodically thereafter as appropriate, the Secretary, in consultation with the Director of the Cybersecurity and Infrastructure Security Agency, shall review and, as appropriate and after soliciting and receiving feedback from device manufacturers, health care providers, third-party-device servicers, patient advocates, and other appropriate stakeholders, update the guidance entitled “Content of Premarket Submissions for Management of Cybersecurity in Medical Devices” (or a successor document). (e) 機器のサイバーセキュリティに関する産業界およびFDAスタッフ向けのガイダンス-本法制定日から2年以内に、およびその後適宜定期的に、長官は、サイバーセキュリティおよびインフラセキュリティ庁長官と協議して、機器製造業者、医療提供者、第三者機器サービス業者、患者支援者、およびその他の適切な関係者から意見を募り受け取った後、必要に応じて、「医療機器のサイバーセキュリティ管理のための市販前提出内容」(または後継のドキュメント)というタイトルのガイダンスを見直し更新しなければならない。
(f) Resources Regarding Cybersecurity of Devices.—Not later than 180 days after the date of enactment of this Act, and not less than annually thereafter, the Secretary shall update public information provided by the Food and Drug Administration, including on the website of the Food and Drug Administration, with information regarding improving cybersecurity of devices. Such information shall include information on identifying and addressing cyber vulnerabilities for health care providers, health systems, and device manufacturers, and how such entities may access support through the Cybersecurity and Infrastructure Security Agency and other Federal entities, including the Department of Health and Human Services, to improve the cybersecurity of devices. (f) 機器のサイバーセキュリティに関するリソース-本法の制定日から180日以上遅く、その後毎年以上、長官は、食品医薬品局のウェブサイトを含め、食品医薬品局が提供する公開情報を更新し、機器のサイバーセキュリティの改善に関する情報を提供するものとする。当該情報には、医療提供者、医療システム、機器製造者のサイバー脆弱性の特定と対処に関する情報、および当該機関が機器のサイバーセキュリティを改善するためにサイバーセキュリティおよびインフラセキュリティ庁および保健福祉省を含む他の連邦機関を通じて支援を受けることができる方法に関する情報を含めるものとする。
(g) GAO Report.—Not later than 1 year after the date of enactment of this Act, the Comptroller General of the United States shall publish a report identifying challenges in cybersecurity for devices, including legacy devices that may not support certain software security updates. Through such report, the Comptroller General shall examine— (g) GAO報告書-本法の制定日から1年以内に、米国会計検査院は、特定のソフトウェア・セキュリティ更新をサポートしない可能性のあるレガシー機器を含む、機器のサイバーセキュリティにおける課題を特定する報告書を公表するものとする。当該報告書を通じて、会計検査院は、以下の事項を調査するものとする。
(1) challenges for device manufacturers, health care providers, health systems, and patients in accessing Federal support to address vulnerabilities across Federal agencies; (1) 機器メーカー、医療提供者、医療システム、および患者が、連邦機関または 省庁にまたがる脆弱性に対処するための連邦政府の支援にアクセスする際の課題;
(2) how Federal agencies can strengthen coordination to better support cybersecurity for devices; and (2) 機器のサイバーセキュリティをよりよく支援するために、連邦機関がどのように連携を強化できるのか。
(3) statutory limitations and opportunities for improving cybersecurity for devices. (3) 機器のサイバーセキュリティを改善するための法的制限と機会。
(h) Definition.—In this section, the term “device” has the meaning given such term in section 201(h) of the Federal Food, Drug, and Cosmetic Act (21 U.S.C. 321(h)). (h) 定義-本節において、「機器」という用語は、連邦食品・医薬品・化粧品法(21 U.S.C. 321(h))201条(h)において当該用語に与えられる意味を有する。

 

| | Comments (0)

国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

こんにちは、丸山満彦です。

医療機器規制の国際整合化について将来の方向性を議論するフォーラムである国際医療機器規制当局フォーラムが「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」を公表していますね。。。

 

⚫︎ International Medical Device Regulators Forum; IMDRF

まずは、既存の医療機器のサイバーセキュリティの原則と実践...

・2023.04.11 Principles and Practices for the Cybersecurity of Legacy Medical Devices

・[DOCX] [PDF] IMDRF Principles and Practices for the Cybersecurity of Legacy Medical Devices (N70) Final

20230418-44437

・[DOCX] 仮訳

Preface 序文
Contents 目次
1. Introduction 1. はじめに
2. Scope 2. 対象範囲
3. Definitions 3. 定義
4. General Principles 4. 一般原則
4.1. Total Product Life Cycle Framework 4.1. トータルプロダクト・ライフサイクル・フレームワーク
4.2. Communication 4.2. コミュニケーション
4.3. Shared Risk Management 4.3. リスクマネジメントの共有化
5. Overview of IMDRF TPLC Framework for Medical Device   Cybersecurity 5. 医療機器サイバーセキュリティのためのIMDRF TPLCフレームワークの概要
5.1. Development (Stage 1) 5.1. 開発(ステージ1)
5.2. Support (Stage 2) 5.2. サポート(ステージ2)
5.3. Limited Support (Stage 3) 5.3. 限定的サポート(ステージ3)
5.4. EOS (Stage 4) 5.4. EOS(ステージ4)
5.5. Framework for Assessing Risk to Trigger Transition to   Different Life Cycle Stages 5.5. 異なるライフサイクルステージへの移行のきっかけとなるリスクを評価するフレームワーク
6. Development Life Cycle Stage: Responsibilities/Expectations 6. 開発ライフサイクルステージ:責任と期待
6.1. Communications 6.1. コミュニケーション
6.2. Risk Management 6.2. リスクマネジメント
6.3. Transfer of Responsibility 6.3. 責任の移譲について
7. Support Life Cycle Stage: Responsibilities/Expectations 7. サポート ライフサイクルステージ:責任と期待
7.1. Communications 7.1. コミュニケーション
7.2. Risk Management 7.2. リスクマネジメント
7.3. Transfer of Responsibility 7.3. 責任の移譲について
8. Limited Support Life Cycle Stage: Responsibilities/  Expectations 8. 限定的サポート ライフサイクルステージ:責任と期待
8.1. Communications 8.1. コミュニケーション
8.2. Risk Management 8.2. リスクマネジメント
8.3. Transfer of Responsibility 8.3. 責任の移譲について
9. EOS Life Cycle Stage: Responsibilities/ Expectations 9.EOS ライフサイクルステージ:責任と期待
9.1. Communications 9.1. 通信
9.2. Risk Management 9.2. リスクマネジメント
9.3. Transfer of Responsibility 9.3. 責任の移譲について
10. Summary of Cybersecurity TPLC Responsibilities/  Expectations 10. サイバーセキュリティTPLCの責任と期待の概要
11. Considerations regarding compensating controls after EOS    for a Medical Device 11. 医療機器のEOS後の補償制御に関する留意点
11.1. Compensating Risk Control Measures 11.1. リスクコントロール対策の補償
11.2. Education 11.2. 教育
12. References 12. 参考資料
12.1. IMDRF Documents 12.1. IMDRF ドキュメント
12.2. Standards 12.2. 標準
12.3. Regulatory Guidance and Draft Guidance 12.3. 規制ガイダンスおよびガイダンス案
12.4. Other Resources and References 12.4. その他のリソースと参考文献

 

 

 

次に、医療機器のSBOMの原則と実践...

・2023.04.13 Principles and Practices for Software Bill of Materials for Medical Device Cybersecurity

・[DOCX] [PDF] Principles and Practices for Software Bill of Materials for Medical Device Cybersecurity (N73) Final

20230418-44457

・[DOCX] 仮訳

 

Contents 序文
1. Introduction 1 はじめに
2. Scope 2 提供範囲
3. Definitions 3 定義
4. Overview of SBOM Framework 4 SBOMフレームワークの概要
5. Overview of Manufacturer Considerations 5 メーカー検討の概要
5.1. Collect SBOM Content 5.1 SBOMコンテンツの収集
5.2. Generate an SBOM 5.2 SBOMを生成する
5.3. Distribute an SBOM 5.3 SBOMを配布する
5.4. Maintain SBOM Content 5.4 SBOMコンテンツの維持
5.5. Challenges 5.5 挑戦すること
6. Overview of Healthcare Provider Considerations 6 医療従事者の考慮事項の概要
6.1. SBOM Ingestion and Management 6.1 SBOMの取り込みと管理
7. SBOM Use Cases 7 SBOMの使用例
7.1. Risk Management 7.1 リスクマネジメント
7.2. Vulnerability Management 7.2 脆弱性管理
7.3. Incident Management 7.3 インシデントマネジメント
8. References 8 参考文献
8.1. IMDRF Documents 8.1 IMDRF文書
8.2. Standards 8.2 標準
8.3. Regulatory Guidance and Draft Guidance 8.3 法規制ガイダンスおよびガイダンス案
8.4. Other Resources and References 8.4 その他のリソースと参考文献
9. Appendices 9 附属書
9.1. SBOM Component Types and Tools 9.1 SBOMコンポーネントの種類とツール

 

 

 

 

 

| | Comments (0)

2023.04.17

金融安定理事会 (FSB) サイバーインシデント報告におけるより大きな収束を実現するための提言

こんにちは、丸山満彦です。

社会的な影響が大きい重要インフラについては、規制機関を含む様々な利害関係者から、サイバーインシデントの報告の要求がくるでしょうから、それを効率的、効果的にすることは求められるでしょうね。。。

そこで、、、

G20カ国等が参加する金融機関の団体である金融安定理事会 (Financial Stability Board: FSB) [wikipedia] が、「サイバーインシデント報告におけるより大きな収束を実現するための提言 (Recommendations to Achieve Greater Convergence in Cyber Incident Reporting) 」を公表していますね。。。

あわせて、「インシデントレポーティング交換用フォーマット (FIRE) (Format for Incident Reporting Exchange (FIRE))」と「用語集 (Cyber Lexicon) 」の改訂も...

 

● Financial Stability Board: FSB

・2023.04.13 FSB sets out a comprehensive approach to achieve greater convergence in cyber incident reporting

FSB sets out a comprehensive approach to achieve greater convergence in cyber incident reporting FSBは、サイバーインシデント報告における収束性の向上を実現するための包括的なアプローチを示す。
The Financial Stability Board (FSB) today published a report with recommendations to achieve greater convergence in cyber incident reporting. 金融安定理事会(FSB)は本日、サイバーインシデント報告の収束性を高めるための提言をまとめた報告書を発表した。
Cyber incidents are rapidly growing in frequency and sophistication. The interconnectedness of the global financial system makes it possible that a cyber incident at one financial institution (or an incident at one of its third-party service providers) could have spill-over effects across borders and sectors. In many jurisdictions, financial authorities have introduced cyber incident reporting requirements for financial institutions, which are crucial for effective policy response and promoting financial stability. Over the last decade, however, meaningful differences have and continue to emerge in the requirements and practices associated with cyber incident reporting. Recognising that timely and accurate information on cyber incidents is crucial for effective incident response and recovery and promoting financial stability, the G20 asked the FSB to deliver a report on achieving greater convergence in cyber incident reporting. サイバーインシデントは、急速に頻度と精巧さを増している。グローバルな金融システムの相互接続性により、ある金融機関のサイバーインシデント(またはその第三者サービスプロバイダーのインシデント)が、国境やセクターを越えて波及する可能性がある。多くの機構では、金融当局が金融機関に対するサイバーインシデント報告義務を導入しており、これは効果的な政策対応と金融の安定を促進するために極めて重要である。しかし、過去10年間、サイバーインシデント報告に関連する要件や慣行において、意味のある相違が生じ、現在も続いている。サイバーインシデントに関する適時で正確な情報は、効果的なインシデント対応と復旧、金融の安定を促進するために極めて重要であると認識し、G20はFSBに対し、サイバーインシデント報告におけるさらなる収束の達成に関する報告書を提出するよう要請した。
To meet this call, the FSB conducted work to promote greater convergence in cyber incident reporting in three ways: この要請に応えるため、FSBは、3つの方法でサイバーインシデント報告の収束拡大を促進するための作業を実施した:
・Setting out recommendations to address the issues identified as impediments to achieving greater harmonisation in cyber incident reporting. Financial authorities and institutions can choose to adopt these recommendations as appropriate and relevant, consistent with their legal and regulatory framework. ・サイバーインシデント報告におけるより大きな調和を達成するための阻害要因として特定された問題に対処するための勧告を設定する。金融当局や機構は、それぞれの法律や規制の枠組みと整合的な形で、適切かつ関連性のあるこれらの勧告を採用することを選択することができる。
・Enhancing the Cyber Lexicon to include additional terms related to cyber incident reporting, as a ‘common language’ is necessary for increased convergence. ・サイバーレキシコンを強化し、サイバーインシデント報告に関連する追加の用語を含める。
・Identifying common types of information that are submitted by financial institutions to authorities for cyber incident reporting purposes, which culminated in a concept for a common format for incident reporting exchange (FIRE) to collect incident information from financial institutions and use between themselves. ・金融機関がサイバーインシデント報告の目的で当局に提出する情報の共通タイプを特定し、金融機関からインシデント情報を収集し、金融機関間で利用するためのインシデント報告交換(FIRE)の共通フォーマットの構想に結実させた。
These initiatives will help to promote cyber resilience as the threat landscape becomes increasingly more complex. これらの取り組みにより、脅威の状況がますます複雑化する中、サイバーレジリエンスを促進することが期待される。
Notes to editors 編集後記
The FSB published a report on Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence in October 2021. The report found that fragmentation exists across sectors and jurisdictions in the scope of what should be reported for a cyber incident; methodologies to measure severity and impact of an incident; timeframes for reporting cyber incidents; and how cyber incident information is used. This subjects financial institutions that operate across borders or sectors to multiple reporting requirements for one cyber incident. At the same time, financial authorities receive heterogeneous information for a given incident, which could undermine a financial institution’s response and recovery actions. FSBは、「サイバーインシデント報告」に関する報告書を発表した: 2021年10月に「既存のアプローチとより広範な収束のための次のステップ」を発表した。同報告書では、サイバーインシデントについて報告すべき範囲、インシデントの重大性と影響を測定する方法論、サイバーインシデントの報告期間、サイバーインシデント情報の利用方法について、セクターや法域を越えて断片化が存在していることが明らかになった。このため、国境やセクターを越えて活動する機構は、1つのサイバーインシデントに対して複数の報告義務を負わされることになる。同時に、金融機関はあるインシデントについて異質な情報を受け取ることになり、金融機関の対応や回復行動を損なう恐れがある。
In October 2022, in response to a request from the G20 to take forward work to achieve greater convergence in cyber incident reporting, the FSB initiated a public consultation on its proposals. The FSB has also published today an overview of the responses to its consultation. 2022年10月、G20からのサイバーインシデント報告におけるより大きな収束を達成するための作業を進めるよう要請を受け、FSBはその提案に関するパブリックコンサルテーションを開始した。また、FSBは本日、そのコンサルテーションに対する回答の概要を公表した。
The FSB developed a Cyber Lexicon in 2018 to foster a common understanding of relevant cyber security and cyber resilience terminology across the financial sector, including banking, financial market infrastructures, insurance and capital markets, and with other industry sectors. A common lexicon aims to foster a common understanding with other industry sectors and facilitate appropriate cooperation to enhance cyber security and cyber resilience. FSBは、銀行、金融市場インフラ、保険、資本市場を含む金融セクター全体、および他の産業セクターとの間で、関連するサイバーセキュリティおよびサイバーレジリエンスの用語の共通理解を促進するため、2018年にサイバーレキシコンを開発した。共通の語彙は、他の産業セクターとの共通理解を促進し、サイバーセキュリティとサイバーレジリエンスを強化するための適切な協力を促進することを目的としている。
The FSB coordinates at the international level the work of national financial authorities and international standard-setting bodies and develops and promotes the implementation of effective regulatory, supervisory, and other financial sector policies in the interest of financial stability. It brings together national authorities responsible for financial stability in 24 countries and jurisdictions, international financial institutions, sector-specific international groupings of regulators and supervisors, and committees of central bank experts. The FSB also conducts outreach with approximately 70 other jurisdictions through its six Regional Consultative Groups. FSBは、各国の金融当局と国際標準化団体の活動を国際レベルで調整し、金融の安定のために効果的な規制、監督、その他の金融セクター政策の策定と実施を促進する。24カ国・地域の金融安定に責任を持つ各国当局、国際金融機関、規制・監督当局のセクター別国際グループ、中央銀行の専門家による委員会などを結集している。また、FSBは、6つの地域協議グループを通じて、約70の他の国・地域とのアウトリーチを実施している。
The FSB is chaired by Klaas Knot, President of De Nederlandsche Bank. The FSB Secretariat is located in Basel, Switzerland, and hosted by the Bank for International Settlements. FSBの議長は、クラース・ノット(De Nederlandsche Bank)総裁が務めている。FSB事務局はスイスのバーゼルにあり、国際決済銀行がホスティングしている。

 

 

・2023.04.13 Recommendations to Achieve Greater Convergence in Cyber Incident Reporting: Final Report

Recommendations to Achieve Greater Convergence in Cyber Incident Reporting: Final Report サイバーインシデント報告におけるより大きな収束を達成するための提言: 最終報告書
The interconnectedness of the global financial system makes it possible that a cyber incident at one financial institution (or an incident at one of its third-party service providers) could have spill-over effects across borders and sectors. グローバルな金融システムの相互接続性により、ある金融機関(またはその第三者サービスプロバイダー)のサイバーインシデントが、国境やセクターを越えて波及する可能性がある。
Cyber incidents are rapidly growing in frequency and sophistication. At the same time, the cyber threat landscape is expanding amid digital transformation, increased dependencies on third-party service providers and geopolitical tensions. サイバーインシデントは急速に頻度と精巧さを増している。同時に、デジタル・トランスフォーメーション、第三者サービス・プロバイダーへの依存度の増加、地政学的緊張の中で、サイバー脅威の状況は拡大しつつある。
Recognising that timely and accurate information on cyber incidents is crucial for effective incident response and recovery and promoting financial stability, the G20 asked the FSB to deliver a report on achieving greater convergence in cyber incident reporting (CIR). G20は、サイバーインシデントに関する適時で正確な情報が、効果的なインシデント対応と復旧、金融の安定を促進するために極めて重要であると認識し、FSBに対し、サイバーインシデント報告(CIR)における収束性の向上に関する報告書を提出するよう要請した。
Drawing from the FSB’s body of work on cyber, including engagement with external stakeholders, the report identifies commonalities in CIR frameworks and details practical issues associated with the collection of cyber incident information from FIs and the onward sharing between financial authorities. These practical issues include: 本報告書は、FSBのサイバーに関する一連の作業(外部のステークホルダーとの関わりを含む)から、CIRの枠組みにおける共通点を特定し、金融機関からサイバーインシデント情報を収集し、金融当局間で共有することに関連する実務上の問題を詳述している。これらの実務的な課題には、以下が含まれる:
i. operational challenges arising from the process of reporting to multiple authorities; 1. 複数の当局に報告するプロセスから生じる運用上の課題;
ii. setting appropriate and consistent qualitative and quantitative criteria/thresholds for reporting; 2. 報告のための適切かつ一貫した質的・量的基準/閾値の設定;
iii. establishing an appropriate culture to report incidents in a timely manner; 3. インシデントを適時に報告するための適切な文化を確立すること;
iv. inconsistent definitions and taxonomy related to cyber security; 4. サイバーセキュリティに関連する定義や分類に一貫性がない;
v. establishing a secure mechanism to communicate on cyber incidents; and 5. サイバーインシデントに関する安全な情報伝達の仕組みの確立。
vi. legal or confidentiality constraints in sharing information with authorities across borders and sectors. 6. 国境やセクターを越えて当局と情報を共有する際の法的・守秘義務的な制約。
This report sets out 16 recommendations to address these issues with a view to promote best practices in cyber incident reporting. 本報告書では、サイバーインシデント報告のベストプラクティスを促進する観点から、これらの問題に対処するための16の推奨事項を定めている。
Recommendations mapped to identified issues and challenges 特定された問題や課題に対応した提言

 


課題・問題点を洗い出し:

運用上の課題 報告基準の設定 適時報告をする文化 初期評価の課題 安全な通信 クロスボーダー、クロスセクターの問題
A CIRアプローチの設計            
1 CIRの目標を設定し、維持する 重要          
2 CIRのフレームワークの収束を促進する。 中庸       重要 重要
3 共通のデータ要件と報告形式を採用する 深刻   中庸 中庸    
4 段階的・段階的な報告要件の実施 マイナー   重要 重要    
5 適切なインシデント報告トリガーを選択する   深刻        
6 初期レポートウィンドウのキャリブレーション   深刻        
7 解釈リスクを最小化するために十分な詳細を提供する   深刻        
8 マテリアリティに基づくトリガーのもと、タイムリーな報告を推進   重要 中庸      
B 監督活動、当局間の連携            
9 CIRおよびCIRRのプロセスの有効性を検証する。     重要 マイナー    
10 アドホックなデータ収集の実施       中庸    
11 国境を越えた情報共有の阻害要因に対処する。           深刻
C 業界との関わり            
12 報告することのメリットについて相互理解を深める 中庸   深刻 マイナー    
13 効果的なCIRコミュニケーションに関するガイダンスを提供する       中庸    
D 能力開発(個人と共有)            
14 CIRをサポートする対応力を維持する     重要 中庸    
15 関連するサイバーイベントやサイバーインシデントを特定するためのプール知識     重要 重要    
16 機密情報を守る 重要       重要  

 

・[PDF]

20230417-54742

 

Executive summary エグゼクティブサマリー
1. Introduction 1. はじめに
2. Practical issues and challenges to achieving greater convergence in CIR 2. CIRのコンバージェンスを高めるための実践的な課題と問題点
2.1. Operational challenges 2.1. 運用上の課題
2.2. Setting reporting criteria 2.2. 報告基準の設定
2.3. Culture of timely reporting 2.3. 適時報告をする文化
2.4. Early assessment challenges 2.4. 初期評価の課題
2.5. Secure communications 2.5. 安全な通信
2.6. Cross-border and cross-sectoral issues 2.6. クロスボーダー、クロスセクターの問題
3. Recommendations 3. 提言
3.1. Design of approach to CIR 3.1. CIRへのアプローチ設計
3.2. Supervisory activities and collaboration betweenauthorities 3.2. 監督活動および当局間の連携
3.3. Industry engagement 3.3. 業界のエンゲージメント
3.4. Capability development (individual and shared) 3.4. 能力開発(個人と共有)
Annex A: 2022 Survey findings 附属書A:2022年調査結果
Annex B: Recommendations mapped to identified issues and challenges 附属書B:特定された問題や課題にマッピングされた推奨事項
Annex C: Initial reporting trigger reference material 附属書C:初回報告トリガー参考資料

 

Executive summary  エグゼクティブサマリー 
Cyber incidents are rapidly growing in frequency and sophistication. At the same time, the cyber threat landscape is expanding amid digital transformation, increased dependencies on thirdparty service providers and geopolitical tensions. The interconnectedness of the global financial system makes it possible that a cyber incident at one financial institution (FI) (or an incident at one of its third-party service providers) could have spill-over effects across borders and sectors.  サイバーインシデントは急速に頻度と精巧さを増しています。同時に、デジタル変革、サードパーティサービスプロバイダーへの依存度の増加、地政学的緊張の中で、サイバー脅威の状況は拡大しつつある。グローバルな金融システムの相互接続性により、ある金融機関(FI)のサイバーインシデント(またはその第三者サービスプロバイダーのインシデント)が、国境やセクターを越えて波及する可能性がある。
Recognising that timely and accurate information on cyber incidents is crucial for effective incident response and recovery and promoting financial stability, the G20 asked the FSB to deliver a report on achieving greater convergence in cyber incident reporting (CIR). To meet this call, the FSB conducted work to promote greater convergence in CIR in three ways: (i) setting out recommendations to address the issues identified as impediments to achieving greater harmonisation in incident reporting; (ii) enhancing the Cyber Lexicon[1] to include additional terms related to CIR as a ‘common language’ is necessary for increased convergence; and (iii) identifying common types of information that are submitted by FIs to authorities for CIR purposes, which culminated in a concept for a common format for incident reporting exchange (FIRE) to collect incident information from FIs and use between themselves. FIRE would be flexible to allow a range of adoption choices and include the most relevant data elements for financial authorities.  G20は、サイバーインシデントに関するタイムリーで正確な情報が、効果的なインシデント対応と復旧、金融安定の促進に不可欠であることを認識し、FSBに対し、サイバーインシデント報告(CIR)における収束性の向上に関する報告書を提出するよう要請した。この要請に応えるため、FSBは、以下の3つの方法でCIRの収束を促進するための作業を実施した: (i)インシデント報告におけるより大きな調和を達成するための障害として特定された問題に対処するための推奨事項を設定すること、(ii)収束を高めるためには「共通言語」が必要であり、CIRに関する追加の用語を含むサイバー・レキシコン[1]を強化すること、(iii) CIR目的で金融機関が当局に提出する情報の共通タイプを特定し、金融機関の事故情報を収集して相互利用するための事故報告交換共通様式(FIRE)概念に結実した。FIREは、様々な採用方法を選択できるように柔軟であり、金融当局にとって最も関連性の高いデータ要素を含むものである。
Drawing from the FSB’s body of work on cyber, including engagement with external stakeholders, this report sets out recommendations that aim to promote convergence among CIR frameworks, while recognising that a one-size-fits-all approach is not feasible or preferable. Financial authorities and FIs can choose to adopt these recommendations as appropriate and relevant, consistent with their legal and regulatory framework.  本報告書は、外部のステークホルダーとの関わりを含むFSBのサイバーに関する一連の作業から、CIRの枠組み間の収束を促進することを目的とした勧告を定めるとともに、画一的なアプローチが実現可能でも望ましいものでもないことを認識している。金融当局及び金融機関は、自国の法的・規制的枠組みと整合的であり、適切かつ関連性の あるこれらの勧告を採用することを選択することができる。
Recommendations:  推奨事項 
1.      Establish and maintain objectives for CIR. Financial authorities should have clearly defined objectives for incident reporting, and periodically assess and demonstrate how these objectives can be achieved in an efficient manner, both for FIs and authorities.  1.      CIR の目標を設定し、維持する。金融当局は、インシデント報告に関する目的を明確に定義し、これらの目的が、金融機関 と当局の双方にとって効率的な方法でどのように達成され得るかを定期的に評価し、実証 するべきである。
2.      Explore greater convergence of CIR frameworks. Financial authorities should continue to explore ways to align their CIR regimes with other relevant authorities, on a cross-border and cross-sectoral basis, to minimise potential fragmentation and improve interoperability.  2.      CIR の枠組みの収束を促進することを検討する。金融当局は、潜在的な断片化を最小化し、相互運用性を向上させるために、国境を越え、セ クター横断的に、他の関連当局と CIR 制度を整合させる方法を引き続き検討するべきである。
3.      Adopt common data requirements and reporting formats. Financial authorities should individually or collectively identify common data requirements, and, where appropriate, develop or adopt standardised formats for the exchange of incident reporting information.  3.      共通のデータ要件と報告形式を採用すること。金融当局は、個別又は集団で共通のデータ要件を特定し、適切な場合には、インシデント報告情報の交換のための標準的なフォーマットを開発又は採用すべきである。
4.      Implement phased and incremental reporting requirements. Financial authorities should implement incremental reporting requirements in a phased manner, balancing the authority’s need for timely reporting with the affected institution’s primary objective of bringing the incident under control.  4.      段階的かつ漸進的な報告要件を実施する。金融機関は、タイムリーな報告に対する当局の必要性と、インシデントをコントロール下に置くという影響を受ける機関の主要な目的とのバランスをとりながら、段階的な方法で段階的な報告要件を導入すべきである。
5.      Select appropriate incident reporting triggers. Financial authorities should explore the benefits and implications of a range of reporting trigger options as part of the design of their CIR regime.  5.      適切なインシデント報告トリガーを選択する。金融当局は、CIR 制度の設計の一環として、様々な報告トリガーオプションの利点と意味を検討す べきである。
6.      Calibrate initial reporting windows. Financial authorities should consider potential outcomes associated with window design or calibration used for initial reporting.  6.      最初の報告窓口を調整する。金融当局は、初回報告に使用される窓の設計又は較正に関連する潜在的な結果を検討す べきである。
7.      Provide sufficient details to minimise interpretation risk. Financial authorities should promote consistent understanding and minimise interpretation risk by providing an appropriate level of detail in setting reporting thresholds, using common terminologies and supplementing CIR guidance with examples.   7.      解釈リスクを最小化するために十分な詳細を提供する。金融当局は、報告基準値の設定において適切なレベルの詳細を提供し、共通の用語 を使用し、CIRガイダンスを事例で補足することにより、一貫した理解を促進し、 解釈リスクを最小化すべきである。 
8.      Promote timely reporting under materiality-based triggers. Financial authorities that use materiality thresholds should consider finetuning threshold language, or explore other suitable approaches, to encourage prompt reporting by FIs for material incidents.  8.      重要性に基づくトリガーの下で、タイムリーな報告を促進する。重要性基準値を使用する金融当局は、重要なインシデントについて金融機関による迅速な報告を 促すために、基準値の文言を微調整すること、又は他の適切なアプローチを検討するべきである。
9.      Review the effectiveness of CIR and cyber incident response and recovery (CIRR) processes. Financial authorities should explore ways to review the effectiveness of FIs’ CIR and CIRR processes and procedures as part of their existing supervisory or regulatory engagement.   9.      CIR 及びサイバーインシデント対応・復旧(CIRR)プロセスの有効性をレビューする。金融当局は、既存の監督又は規制の関与の一環として、金融機関の CIR 及び CIRR のプロセス及び手 続きの有効性をレビューする方法を検討するべきである。 
10.   Conduct ad-hoc data collection. Financial authorities should explore ways to complement CIR frameworks with supervisory measures as needed and engage FIs on cyber incidents, both during and outside of live incidents.  10.   アドホック・データ収集の実施 金融当局は、必要に応じて CIR の枠組みを監督上の措置で補完する方法を検討し、実 際のインシデント中及びそれ以外でも、サイバーインシデントについて金融機関に関与すべき である。
11.   Address impediments to cross-border information sharing. Financial authorities should explore methods for collaboratively addressing legal or confidentiality challenges relating to the exchange of CIR information on a cross-border basis.  11.   国境を越えた情報共有の阻害要因に対処する。金融当局は、国境を越えた CIR 情報の交換に関連する法的又は守秘義務上の課題に共同で対処す る方法を検討するべきである。
12.   Foster mutual understanding of benefits of reporting. Financial authorities should engage regularly with FIs to raise awareness of the value and importance of incident reporting, understand possible challenges faced by FIs and identify approaches to overcome them when warranted.  12.   報告の利益に関する相互理解を促進する。金融当局は、インシデント報告の価値と重要性に対する認識を高めるために、金融機 関と定期的に関わり、金融機関が直面する可能性のある課題を理解し、正当化される場合には、 それを克服するためのアプローチを特定するべきである。
13.   Provide guidance on effective CIR communication. Financial authorities should explore ways to develop, or foster development of, toolkits and guidelines to promote effective communication practices in cyber incident reports.  13.   効果的な CIR コミュニケーションに関するガイダンスを提供する。金融当局は、サイバーインシデント報告における効果的なコミュニケーションの実践を促進するため、ツールキットやガイドラインを開発する、あるいは開発を促進する方法を検討するべきである。
14.   Maintain response capabilities which support CIR. FIs should continuously identify and address any gaps in their cyber incident response capabilities which directly support CIR, including incident detection, assessment and training on a continuous basis.  14.   CIR を支援する対応能力を維持する。金融機関は、継続的に、インシデントの検知、評価及び訓練を含む、CIR を直接支援するサイ バーインシデント対応能力におけるあらゆるギャップを特定し、対処するべきである。
15.   Pool knowledge to identify related cyber events and cyber incidents. Financial authorities and FIs should collaborate to identify and implement mechanisms to proactively share event, vulnerability and incident information amongst financial sector participants to combat situational uncertainty, and pool knowledge in collective defence of the financial sector.  15.   関連するサイバーイベント及びサイバーインシデントを特定するために知識を共有する。金融当局及び金融機関は、状況の不確実性に対処し、金融セクターの集団的防衛のために知識を蓄積するために、金融セクター参加者の間でイベント、脆弱性及びインシデント情報をプロアクティブに共有するメカニズムを特定し、実施するために協力するべきである。
16.   Protect sensitive information. Financial authorities should implement secure forms of incident information handling to ensure protection of sensitive information at all times.  16.   機密情報を保護する。金融当局は、常に機密情報の保護を確保するために、安全な形態のインシデント情報の取り扱いを実施すべきである。
[1] FSB (2023), Cyber Lexicon: Updated in 2023, April. [1] FSB (2023), Cyber Lexicon 2023年更新、4月。

 

 

C: Initial reporting trigger reference material (Survey conducted in January 2022 )

Jurisdiction  Authority    Trigger  RD (hrs)   Source   
Australia  APRA  Threshold  72 hrs   An APRA-regulated entity must notify APRA as soon as possible and, in any case, no later than 72 hours, after becoming aware of an information security incident that: (a) materially affected, or had the potential to materially affect, financially or non-financially, the entity or the interests of depositors, policyholders, beneficiaries or other customers; or (b) has been notified to other regulators, either in Australia or other jurisdictions.   APRAの規制対象事業者は、以下のような情報セキュリティインシデントを認識した後、できるだけ早く、いかなる場合でも72時間以内にAPRAに通知しなければならない: (a) 企業または預金者、保険契約者、受益者またはその他の顧客の利益に、財政的または非財政的に重大な影響を与える、または与える可能性があった、または (b) オーストラリアまたは他の法域の他の規制当局に通知された。
        Source: CPS 234  出典 CPS 234 
China  CBIRC  Occurrence  Immediate  When cyber security incidents occur, network operators should immediately initiate an emergency response plan, adopt corresponding remedial measures, and report to the relevant competent departments in accordance with relevant provisions.  サイバーセキュリティ事件が発生した場合、ネットワーク事業者は直ちに緊急対応策を開始し、対応する改善策を採用し、関連規定に従って関連主管部門に報告する必要がある。
        Source: CAC Cybersecurity Law, article 25 (translated)  出典 CACサイバーセキュリティ法 第25条(翻訳版) 
        Where the breach, tampering, or loss of personal information occurs or may occur, a personal information processor shall immediately take remedial measures and notify the departments with personal information protection duties and the relevant individuals.  個人情報の漏洩、改ざん、紛失が発生し、または発生する可能性がある場合、個人情報取扱事業者は直ちに改善措置を講じ、個人情報保護義務のある部署および関係者に通知しなければならない。
        Source: Personal Information Protection Law (PIPL)  出典 個人情報保護法(PIPL) 
EU  ECB  Threshold  2 hrs (SIs)  Initial information on the cyber incident must be submitted within two hours after the reporting thresholds are exceeded or within two hours after the point in time when the Supervised Entity can reasonably assume that an identified cyber incident will exceed the reporting thresholds, whichever occurs earlier.  サイバーインシデントに関する初期情報は、報告基準値を超えてから2時間以内、または特定されたサイバーインシデントが報告基準値を超えると監督対象事業者が合理的に想定できる時点から2時間以内のいずれか早い時点で提出されなければならない。
        Source: ECB Decisions (issued directly to the banks in scope)  出典 ECB決定書(対象銀行に直接発行されたもの) 
  EIOPA  None  N/A  EIOPA does not have incident reporting in place  EIOPAはインシデントレポートを導入していない 
  ESMA  Detection  24 hrs   Item 55 / Guideline 62: TRs should send to ESMA an initial incident notification within   項目 55 / ガイドライン 62: TRはESMAに対し、以下の期間内に最初のインシデント通知を送るべきである。
        24 hours of becoming aware of the incident and a follow-up notification within one month.  インシデントを認識してから24時間、1ヶ月以内にフォローアップの通知をすること。
        Source: Guidelines on periodic information and notification of material changes to be submitted to ESMA by Trade Repositories  出典はこちら トレード・リポジトリーがESMAに提出する定期的な情報及び重要な変更の通知に関するガイドライン 
  EBA  Threshold  4 hrs  Payment service providers should send the initial report to the competent authority within four hours from the moment the operational or security incident has been classified as major.   決済サービス事業者は、運用上またはセキュリティ上の事故が重大と判断された時点から4時間以内に、所轄官庁に最初の報告書を送付する必要がある。 
        Source: Revised guidelines on major incident reporting under PSD  出典:PSDにおける重大インシデント報告に関するガイドライン改訂版
France  BdF  Threshold  2 hrs (SIs)  Payment service providers should send the initial report to the competent authority within 4 hours from the moment the major operational or security incident was first detected, or, if the reporting channels of the competent authority are known not to be available or operational at that time, as soon as they become available/operational again.   ペイメントサービスプロバイダは、主要な運用またはセキュリティインシデントが最初に検出された時点から4時間以内に、または、その時点で管轄当局の報告チャネルが利用または運用できないことがわかっている場合は、再び利用または運用できるようになり次第、管轄当局に最初の報告書を送付する必要がある。 
    Detection  4 hrs (retail PSs)  Should business be back to normal before 4 hours have passed since the incident was detected, payment service providers should aim to submit both the initial and the last intermediate report simultaneously (i.e. filling out sections A and B of the template) by the 4-hour deadline.  インシデントが検知されてから4時間が経過する前に業務が正常化した場合、決済サービスプロバイダは、4時間の期限までに初回報告書と最終中間報告書の両方を同時に提出する(すなわち、テンプレートのセクションAとBに記入する)ことを目指すべきである。
    Detection  72 hrs  Source: PSDII (for retail payment systems)  出典: PSDII(リテール決済システム向け) 
      (wholesale PSs)  Incident reporting shall occur without any delay after incident detection and in less than 72 hours.  インシデント報告は、インシデント検出後、遅滞なく、72時間以内に行われるものとする。
        Source: ECB framework for wholesale payment systems (for wholesale payments)  出典:ECBのホールセール決済システムに関する枠組み(ホールセール決済用) 
Hong Kong  HKMA  Detection  Same-day  As the nature of every operational incident is different, authorized institutions (AIs) are expected to exercise their judgement and establish internal guidelines endorsed by the management for deciding whether an operational incident should be regarded as significant and thus should be reported to the HKMA.  運用インシデントの性質はそれぞれ異なるため、認可機関(AI)は、運用インシデントを重大とみなし、HKMAに報告すべきかどうかを判断するために、経営陣が承認した内部ガイドラインを策定し、判断を行うことが期待される。
        The HKMA expects AIs to report to it suspected or confirmed cyber attacks that may cau」se potential loss/leakage of sensitive data of the AI or its customer(s), potential financial loss (albeit small) to the affected customer(s), potential material financial loss to the AI, or significant impact on the AI’s reputation.  HKMAは、AIまたはその顧客の機密データの損失/漏洩の可能性、影響を受ける顧客に対する(小規模ではあるが)金銭的損失の可能性、AIに対する金銭的損失の可能性、またはAIの評判に重大な影響を与えるサイバー攻撃の疑いまたは確認を、AIに報告することを期待する。
        The Retail Payment Oversight Division of the HKMA asks SVF licensees to report suspected or confirmed cyber attacks as soon as practicable, and to provide prompt updates as and when the information and assessment is available.  HKMAのRetail Payment Oversight Divisionは、SVFライセンシーに対して、サイバー攻撃の疑いや確認があった場合は実務上可能な限り速やかに報告し、情報や評価が得られた場合は速やかに最新情報を提供するよう求めている。
        As for designated CSSs, as long as the incident affects the operation or service level of the system or the safety and efficiency of the system, they should be reported to the HKMA as soon as possible. No matter whether the incident is known or unknown to the CSS participant, or whether the incident is caused by a third party or the CSS participant, it should be reported to the HKMA.  指定CSSについては、事故がシステムの運用またはサービスレベル、あるいはシステムの安全性と効率性に影響を与える限り、できるだけ早くHKMAに報告する必要がある。事故がCSS参加者の知るところであるか知らないところであるか、事故が第三者またはCSS参加者によって引き起こされたかどうかにかかわらず、HKMAに報告する必要がある。
India  RBI  Detection  6 hrs  Guidelines clearly specify reporting requirements for unusual incidents specifying types of incidents to be reported/not reported. At the same time, they also allow for some discretion where FIs can exercise own judgement for  ガイドラインは、異常なインシデントの報告要件を明確に規定し、報告される/されないインシデントの種類を明示している。同時に、ガイドラインは、金融機関が自らの判断で以下のことを行うことができるよう、ある程度の裁量を認めている。
        reporting the incidents  顛末報告 
        Security Incident Reporting (SIR) to RBI  RBIへのセキュリティインシデント報告(SIR) 
        (within two to 6 hours)  (2~6時間以内) 
        Source: RBI/2015-16/418  ソースはこちら RBI/2015-16/418 
Indonesia  BI  Occurrence  1 hr (PSs)  BI has set qualitative criteria as a reference for CIR; however, no explicit quantitative criteria/ thresholds have been set by the authority. The qualitative criteria includes: potential breaches to the legal/regulatory requirements and the materiality of impact to the critical information systems or services which could cover malfunctioning data centres, network failures, and fraud incidents.  BI は CIR の基準として定性的基準を設定しているが、当局による明確な定量的基準/閾値は設定されていない。定性的基準には、法的/規制的要件への潜在的な違反、データセンターの機能不全、ネットワーク障害、詐欺事件などを含む重要な情報システムまたはサービスへの影響の重大性などが含まれる。
        Article 254.6: The disruption as referred to in paragraph (5) point c and force majeure as referred to in paragraph (5) point d must be notified to Bank Indonesia not later than 1 (one) hour after the disruption occurrence.  第254条6項:第(5)項cで言及される混乱および第(5)項dで言及される不可抗力は、混乱発生から1時間以内にインドネシア銀行に通知されなければならない。
        Source: Bank Indonesia Regulation Number 23/6/PBI/2021 (Payment Service Providers)  出典 インドネシア銀行規則番号23/6/PBI/2021(決済サービスプロバイダー)。
Italy  BdI  Threshold  2 hrs (SIs)  Regarding the timing of notification of incidents, the initial report must be sent:  インシデントの通知時期については、初回報告書の送付が必要である: 
    Threshold  4 hrs (LSIs)  •    for less significant banks, payment and electronic money institutions within 4 hours from the moment when the reporting criteria are met  ・重要度の低い銀行、決済機関、電子マネー機関については、報告基準を満たした時点から4時間以内に送信する。
    Detection  3 hrs (PSs)  •    for significant banks within 2 hours from the moment when the reporting criteria are met  ・重要な銀行については、報告基準を満たした時点から2時間以内に報告する。
        •    for retail payment systems, payment schemes and financial technology providers within 3 hours of incident detection  ・小売決済システム、決済スキーム、金融技術プロバイダーの場合、インシデント検出後3時間以内
  MEF  Threshold  1-6 hrs  As for the national security cyber regulation n. 81/2021 for the financial operators included in the National Cybernetic Perimeter (Law n. 109/2019), the notification mechanism is threshold-less and based on the definitions of relevant cyber events.  国家サイバースペリメーター(法律第109/2019号)に含まれる金融事業者に対する国家安全保障サイバー規制第81/2021号に関しては、通知メカニズムは閾値なしで、関連サイバーイベントの定義に基づくものである。
      (OES/ DSPs)  Designated critical national infrastructure must notify CSIRT Italy without delay of any incident having a significant impact on the continuity of the essential services provided, including information that makes it possible to identify cross-border impact of the incident. The notification must be made within six hours or one hour depending on the severity of the incident.  指定された重要な国家インフラは、提供される必須サービスの継続に重大な影響を及ぼすインシデントについて、インシデントの国境を越えた影響を特定することが可能な情報を含め、イタリアCSIRTに遅滞なく通知しなければならない。この通知は、インシデントの重大性に応じて、6時間以内または1時間以内に行わなければならない。
        Source: Italian Legislative Decree no. 85/2018  出典 イタリア立法令No. 85/2018 
Japan  JFSA  Detection  Immediate  The FSA requires FIs to report immediately when a computer system failure or a cyber security incident meeting certain criteria is detected. Criteria for reportable incidents are provided in FSA's supervisory guidelines. Similar provisions are in place in FSA's supervisory guidelines for other types of FIs. Form 4-45 ‘Report of System Failure and Other Incidents’ in the ‘Forms and Other Materials’ shall be submitted as part of the reporting. Additional reporting is required upon recovery and/or when cause of the incident is identified. A status update shall be reported within one month if the recovery or identification of the cause has not been completed.  金融庁は、コンピュータシステムの障害や一定の基準を満たすサイバーセキュリティインシデントを検知した場合、直ちに報告することを金融機関に求めている。報告すべきインシデントの基準は、金融庁の監督指針に規定されている。同様の規定は、他の種類の金融機関に対する金融庁の監督指針にも設けられている。報告にあたっては、「帳票類」内の様式4-45「システム障害等発生状況報告書」を提出しなければならない。復旧時及び/又はインシデントの原因が特定された場合には、追加の報告が必要となる。復旧または原因の特定が完了していない場合は、1ヶ月以内に状況の更新を報告するものとする。
        Source: Comprehensive Guidelines for Supervision of Major Banks, III-3-7-1-3: Supervisory methods and actions  出典:主要行の監督に関する総合的な指針」(III-3-7-1-3): 監督上の方法と措置 
Russia  CBR  Detection  3 hrs (SIs)  Significant Institutions: within three hours from the moment of detection of the incident.  重要な機関:インシデントの検出の瞬間から3時間以内。
    Detection  24 hrs  Other institutions: within 24 hours from the moment of detection of the incident  その他の機構:インシデントを発見した時点から24時間以内 
      (Other)  Source: Bank of Russia Standard STO BR  出典 ロシア銀行 スタンダードSTO BR 
        BFBO-1.5-2018 (Section 6)  BFBO-1.5-2018 (第6項) 
Saudi Arabia  SAMA  Threshold  Immediate  The Member Organisation should inform ‘SAMA IT Risk Supervision’ immediately when a medium or high classified security incident has occurred and identified.  加盟組織は、中分類または高分類のセキュリティインシデントが発生し、特定された場合、直ちに「SAMA IT Risk Supervision」に報告する必要がある。
        Source: Cyber Security Framework v1.0, Article 3.3.15.5  出典 サイバーセキュリティフレームワークv1.0、第3.3.15.5条 
Singapore  MAS  Detection+ Threshold  1 hr  A bank shall notify the Authority as soon as possible, but not later than 1 hour, upon the discovery of a relevant incident.  銀行は、関連インシデントが発見された場合、可能な限り早く、遅くとも1時間以内に当局に通知するものとする。
        • ‘relevant incident’ means a system malfunction or IT security incident, which has a severe and widespread impact on the bank’s operations or materially impacts the bank’s service to its customers.  ・関連インシデント」とは,システムの不具合やITセキュリティインシデントで,銀行の業務に深刻かつ広範囲な影響を与えるか,銀行の顧客に対するサービスに重大な影響を与えるものを指す。
        Source: MAS Notice on Technology Risk Management  出典:テクノロジー・リスク・マネジメントに関するMASの通知 
Spain  BdE  Threshold  2 hrs  Two hours from its qualification as relevant  関連するものとして、その資格から2時間 
        Source: LSI reporting template (ECB Framework)  出典 LSI報告テンプレート(ECBフレームワーク) 
Switzerland  FINMA  Detection  24 hrs  If a cyber attack on critical assets results in one or more of the protective goals of critical functions and their business processes being put at risk, this must be reported to FINMA immediately.  重要な資産に対するサイバー攻撃により、重要な機能およびそのビジネスプロセスの保護目標の1つ以上が危険にさらされた場合、これは直ちにFINMAに報告されなければならない。
        Immediate reporting to FINMA means that the affected supervised institution informs FINMA through the responsible (Key) Account Manager within 24 hours of detecting such a cyber attack and conducting an initial assessment of its criticality. The actual report should be submitted within 72 hours via the FINMA web-based survey and application platform (EHP).  FINMAへの即時報告とは、影響を受ける被監督機関が、そのようなサイバー攻撃を検知し、その重要性の初期評価を行った後、24時間以内に担当(キー)アカウントマネージャーを通じてFINMAに報告することを意味します。実際の報告は、FINMAのウェブベースの調査およびアプリケーションプラットフォーム(EHP)を介して72時間以内に提出されなければならない。
        Source: FINMA  出典:FINMA 
Türkiye  BRSA  Occurrence  N/A  A firm must notify the BRSA immediately if any sensitive or personal data are disclosed or leaked such that Information Systems Continuity Plan or secondary centres are activated.   会社は、情報システム継続計画やセカンダリーセンターが作動するような機密データや個人データが開示または漏洩した場合、直ちにBRSAに通知しなければならない。 
        Source: Regulation on Information Systems and Electronic Banking Services of Banks  出典 銀行の情報システムおよび電子バンキングサービスに関する規制 
UK  BoE (PRA)  Threshold  Immediate  A firm must notify the PRA immediately if it becomes aware, or has information which reasonably suggests, that any of the following has occurred, may have occurred or may occur in the foreseeable future:  会社は、以下のいずれかが発生した、発生した可能性がある、または予測可能な将来に発生する可能性があることを認識した場合、またはそれを合理的に示唆する情報を得た場合、直ちに PRA に通知しなければならない: 
        (1) the firm failing to satisfy one or more of the threshold conditions; or  (1) 会社が、1つ以上の閾値条件を満たさないこと。
        (2) any matter which could have a significant adverse impact on the firm’s reputation; or  (2) 会社の評判に重大な悪影響を及ぼす可能性がある事項。
        (3) any matter which could affect the firm’s ability to continue to provide adequate services to its customers and which could result in serious detriment to a customer of the firm; or  (3) 当該会社の顧客に対して適切なサービスを提供し続ける能力に影響を与え、当該会社の顧客に重大な不利益をもたらす可能性のある事項。
        (4) any matter in respect of the firm which could result in serious financial consequences to the UK financial system or to other firms.  (4) 英国金融システムまたは他の会社に深刻な財務的影響をもたらす可能性のある会社に関するあらゆる事項。
        Source: PRA Rulebook, 2.1 General Notification Requirements  出典 PRA Rulebook, 2.1 一般的な通知要件 
  FCA  Threshold  Immediate  A firm must notify the FCA immediately if it becomes aware, or has information which reasonably suggests, that any of the following has occurred, may have occurred or may occur in the foreseeable future:  会社は、以下のいずれかが発生した、発生した可能性がある、または予測可能な将来に発生する可能性があることを認識した場合、またはそれを合理的に示唆する情報を得た場合、直ちに FCA に通知しなければならない: 
        (1) the firm failing to satisfy one or more of the threshold conditions; or  (1) 会社が、1 つまたは複数の閾値条件を満たさないこと。
        (2) any matter which could have a significant adverse impact on the firm’s reputation; or  (2) 会社の評判に重大な悪影響を及ぼす可能性がある事項。
        (3) any matter which could affect the firm’s ability to continue to provide adequate services to its customers and which could result in serious detriment to a customer of the firm; or  (3) 当該会社の顧客に対して適切なサービスを提供し続ける能力に影響を与え、当該会社の顧客に重大な不利益をもたらす可能性のある事項。
        (4) any matter in respect of the firm which could result in serious financial consequences to the UK financial system or to other firms.  (4) 英国金融システムまたは他の会社に深刻な財務的影響をもたらす可能性のある会社に関するあらゆる事項。
        Source: FCA Rulebook, SUP 15.3 General Notification Requirements  出典 FCA ルールブック、SUP 15.3 一般的な通知要件 
US  FRB  Threshold  36 hrs  The Federal Reserve Board, OCC, and FDIC issued a final rule that requires a banking organisation to notify its primary federal regulator of any ‘computer-security incident’ that rises to the level of a ‘notification incident,’ as soon as possible and no later than 36 hours after the banking organisation determines that a notification incident has occurred.  連邦準備制度理事会、OCC、FDICは、銀行組織が「通知インシデント」のレベルに達する「コンピュータセキュリティインシデント」を、銀行組織が通知インシデントの発生を判断してからできるだけ早く、遅くとも36時間以内にその主たる連邦規制当局に通知することを求める最終ルールを発表した。
      (Banks)  A bank service provider is required to notify at least one bank-designated point of contact at each affected customer bank as soon as possible when it determines it has experienced a computer-security incident that has materially disrupted or degraded, or is reasonably likely to disrupt or degrade, covered services provided to the bank for four or more hours.  銀行サービスプロバイダは、銀行に提供される対象サービスを4時間以上にわたって著しく中断または低下させた、あるいは中断または低下させる可能性が合理的に高いコンピュータセキュリティインシデントを経験したと判断した場合、影響を受ける各顧客銀行の少なくとも1つの銀行指定の連絡先にできるだけ早く通知することが求められる。
        Source: Computer-Security Incident Notification Requirements for Banking Organisations and Their Bank Service Providers  出典 銀行組織とその銀行サービスプロバイダーに対するコンピュータセキュリティインシデントの通知要件 
  SEC Rule  Threshold  Immediate  SCI personnel having a reasonable basis to conclude that an SCI event has occurred must notify the Commission.  SCIイベントが発生したと結論づける合理的な根拠を有するSCI担当者は、委員会に通知しなければならない。
  (SCI Entities)      Source: SEC Regulation SCI (17 C.F.R. §§ 242-1002)  出典は:SEC規則SCI(17 C.F.R. §242-1002)。

 

 

・2023.04.13 Cyber Lexicon: Updated in 2023

Cyber Lexicon: Updated in 2023 サイバー・レキシコン 2023年更新
Common definitions and taxonomy around cyber are essential to promoting cyber security resilience and greater convergence in cyber incident reporting. サイバーに関する共通の定義と分類法は、サイバーセキュリティ・レジリエンスを促進し、サイバーインシデント報告の収束を高めるために不可欠です。
In 2018, the FSB developed the Cyber Lexicon to support the work of the FSB, the standard-setting bodies and other international organisations to address cyber security and cyber resilience in the financial sector. The lexicon aims to: 2018年、FSBは、金融セクターにおけるサイバーセキュリティとサイバーレジリエンスに取り組むFSB、基準設定団体、その他の国際機関の活動を支援するため、「サイバーレキシコン」を開発した。このレキシコンには、以下の目的がある:
i. enable a common understanding of relevant cyber security and cyber resilience terminology across sectors; 1.関連するサイバーセキュリティおよびサイバーレジリエンスの用語について、セクターを超えた共通理解を可能にする;
ii. enhance work to assess and monitor financial stability risks of cyber risk scenarios; 2. サイバーリスクシナリオの金融安定性リスクを評価・監視する作業を強化する;
iii. facilitate information-sharing as appropriate; and 3. 適宜、情報共有を促進する。
iv. aid work by the FSB and/or standards-setting bodies to provide guidance related to cyber security and cyber resilience, including identifying effective practices. 4. サイバーレキシコンは、FSB および/または基準設定団体による、効果的な実践方法の特定を含むサイバーセキュリティおよびサイバーレジリエンスに関連するガイダンスを提供する作業を支援するものです。
To remain current with the evolving cyber landscape and development of information technology, the Cyber Lexicon has been updated as part of the FSB’s work to achieve greater convergence in cyber incident reporting. A number of new terms were added and some existing definitions were clarified. To ensure consistency with a document that has been implemented for some years now, the same criteria for inclusion and exclusion in the development of the Cyber Lexicon were applied. Terms that are excluded are generally technical terms and terms that are used by financial sector participants in areas extending beyond cyber security and cyber resilience. 進化するサイバー環境と情報技術の発展に対応するため、サイバーレキシコンは、サイバーインシデント報告の収束を目指すFSBの作業の一環として更新されました。多くの新しい用語が追加され、いくつかの既存の定義が明確化されました。数年前から実施されている文書との一貫性を確保するため、サイバー・レキシコンの開発における包含と除外の基準は同じものが適用された。除外された用語は、一般的に技術用語や、サイバーセキュリティやサイバーレジリエンスを超えた領域で金融セクターの参加者によって使用される用語である。

 

・[PDF

20230417-54904

 

 

・2023.04.13 Format for Incident Reporting Exchange (FIRE): A possible way forward

Format for Incident Reporting Exchange (FIRE): A possible way forward インシデント報告交換のためのフォーマット(FIRE): 前進の可能性
The FIRE concept promotes common information elements and requirements for incident reporting, whilst remaining flexible to a range of implementation practices. FIREのコンセプトは、インシデント報告のための共通の情報要素と要件を促進する一方、様々な実施方法に柔軟に対応するものです。
As part of its work to achieve greater convergence in cyber incident reporting (CIR), the FSB found that there is a high degree of commonality in the types of information that authorities require financial institutions to report under existing CIR frameworks. Seeing potential to leverage on these similarities to explore greater convergence, the FSB consulted on a concept for developing a common format for incident reporting exchange (FIRE) to collect incident information from FIs and that authorities could use for information sharing. FSBは、サイバーインシデント報告(CIR)の収束を促進するための活動の一環として、既存のCIRの枠組みの下で当局が金融機関に報告を求める情報の種類に高い共通性があることを発見した。FSBは、これらの共通点を活用してより大きな収束を図る可能性があると考え、金融機関からインシデント情報を収集し、当局が情報共有に利用できるインシデント報告交換(FIRE)の共通フォーマット開発のためのコンセプトについて諮問した。
This report reflects the public feedback received on the FIRE concept. It outlines the potential benefits, risks and costs, and discusses how the FSB will take forward the development of FIRE. 本報告書は、FIREのコンセプトについて寄せられた一般からのフィードバックを反映したものである。潜在的な利益、リスク、コストについて概説し、FSBがFIREの開発をどのように進めるかについて議論している。

 

・[PDF]

20230417-55025

 

 

・2023.04.13 Achieving Greater Convergence in Cyber Incident Reporting: Overview of responses to consultative document

Achieving Greater Convergence in Cyber Incident Reporting: Overview of responses to consultative document サイバーインシデント報告におけるより大きな収束を達成する: 諮問文書への回答の概要
On 17 October 2022, the FSB published a consultative document on achieving greater convergence in cyber incident reporting. The consultative document: 2022年10月17日、FSBは、サイバーインシデント報告におけるより大きな収束の達成に関する協議文書を公表した。協議文書では
・Sets out recommendations to address impediments to achieving greater convergence in CIR with a view to promote better practices; ・より良い慣行を促進する観点から、CIR の収束を促進するための障害に対処するための勧告を示すものである;
・Advances work in developing common terminologies around cyber by proposing updates to the FSB’s Cyber Lexicon; and ・FSBのCyber Lexiconの更新を提案することにより、サイバーに関する共通の用語の開発に向けた作業を進める。
・Proposes the development of a format for incident reporting exchange (FIRE) to promote convergence, address operational challenges arising from financial institutions needing to report to multiple authorities and foster better communication. ・金融機関が複数の当局に報告する必要があることから生じる運用上の課題に対処し、より良いコミュニケーションを促進するために、コンバージェンスを促進するインシデント報告交換(FIRE)のフォーマットの開発を提案する。
Proposes the development of a format for incident reporting exchange (FIRE) to promote convergence, address operational challenges arising from financial institutions needing to report to multiple authorities and foster better communication. コンバージェンスを促進し、金融機関が複数の当局に報告する必要があることから生じる業務上の課題に対処し、より良いコミュニケーションを促進するために、インシデント報告交換(FIRE)のフォーマットの開発を提案する。
The FSB received 22 written responses from a variety of stakeholders. The FSB also organised workshops on 17 November 2022 and on 8 February 2023 to gather further feedback on the consultative document. FSBは、様々なステークホルダーから22件の書面による回答を得た。また、FSBは、2022年11月17日及び2023年2月8日にワークショップを開催し、諮問文書に関するさらなる意見を収集した。
This document summarises the comments raised in the public consultation and sets out the main changes made to the final reports in order to address them. 本書は、公開協議で提起されたコメントを要約し、それに対応するために最終報告書に加えられた主な変更点を示している。

 

 


 

⚫︎日本銀行

・2023.04.18 金融安定理事会によるサイバーインシデント報告の更なる収斂に向けた提案等に係る文書の公表について

 

 

 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.22 金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」

 

 

| | Comments (0)

2023.04.16

英国 ガイダンス 実践における責任あるサイバーパワー (2023.04.04)

こんにちは、丸山満彦です。

英国が、国民への説明責任の一端として、英国の国家サイバー軍の活動の一端を紹介する報告書を公表していますね。。。

日本は、行政(政府、地方自治体等)の情報公開が弱い国なので、こういうところは参考にすることが重要なんでしょうね。。。(民主主義については、もっと英国、フランス、アメリカなどに学ぶ必要があると思うのですけどね。。。むしろ、権威主義に近いのではないかと思えるところもありますからね。。。)

ちなみに、このガイダンスは、高橋先生のブログで知りました。高橋先生のブログ(ハックのライセンス-英国サイバーフォース「実践-責任あるサイバーパワー」の公表)に解説があるので、内容の理解はそちらのほうで(^^)...

 

⚫︎ U.K. Government

プレスリリース

・2023.04.04 National Cyber Force reveals how daily cyber operations protect the UK

National Cyber Force reveals how daily cyber operations protect the UK 国家サイバー軍、日々のサイバー作戦が英国を守っていることを明らかにした。
The NCF outlines how it conducts responsible cyber operations to counter state threats, support military operations, and disrupt terrorists and serious crime NCFは、国家の脅威に対抗し、軍事作戦を支援し、テロリストや重大犯罪を妨害するために、責任あるサイバー作戦を行う方法を概説している。
National Cyber Force, Ministry of Defence, Government Communications Headquarters, and Strategic Command 国家サイバー軍、国防省、政府通信本部、戦略司令部
Established in 2020, the National Cyber Force (NCF) is a partnership between GCHQ and the Ministry of Defence which carries out cyber operations on a daily basis to protect against threats to the UK, further the UK’s foreign policy, support military operations, and prevent serious crime. 2020年に設立された国家サイバー軍(NCF)は、GCHQと国防省のパートナーシップで、英国への脅威からの保護、英国の外交政策の推進、軍事作戦の支援、重大犯罪の防止を目的に、日常的にサイバー作戦を行っている。
Following the publication of the Government’s Integrated Review Refresh (IRR) last month, the publication of a new document titled ‘NCF: Responsible Cyber Power in Practice’ today delivers on the commitment in the IRR to be as transparent as possible about the NCF’s cyber capabilities and provide clarity on how the UK acts as a responsible and democratic cyber power. 先月、政府の統合レビュー・リフレッシュ(IRR)が発表されたのに続き、本日、「NCF:実践における責任あるサイバーパワー」と題する新しい文書が発表され、NCFのサイバー能力についてできる限り透明性を高め、英国が責任ある民主的サイバーパワーとしてどう行動するかを明確にするというIRRでの約束が守られた。
The UK is reiterating its commitment to international stability and security, and illustrating how states can act responsibly in cyberspace through demonstrating how the NCF’s operations are accountable, precise and calibrated. This contrasts with the reckless and indiscriminate activities of those who would do harm to the UK and its allies. 英国は、国際的な安定と安全へのコミットメントを改めて表明し、NCFの活動がいかに説明責任を果たし、正確で調整されているかを示すことで、国家がサイバー空間においていかに責任ある行動をとることができるかを説明するものである。これは、英国やその同盟国に危害を加えようとする者たちの無謀で無差別な活動とは対照的である。
All of the NCF’s operations are conducted in a legal and ethical manner, in line with domestic and international law and our national values. The operations are based on a deep understanding of the cyber environment, which enables NCF to design, time and target them with precision. NCFの活動はすべて、国内法と国際法、そして私たちの国家的価値観に沿った、合法的かつ倫理的な方法で行われている。作戦はサイバー環境に対する深い理解に基づいており、これによってNCFは正確に作戦を立案し、時間を計り、目標を定めることができる。
Central to the NCF’s approach is the ‘doctrine of cognitive effect’ – using techniques that have the potential to sow distrust, decrease morale, and weaken our adversaries’ abilities to plan and conduct their activities effectively. This can include preventing terrorist groups from publishing pieces of extremist media online or making it harder for states to use the internet to spread disinformation by affecting their perception of the operating environment. NCFのアプローチの中心は「認知効果のドクトリン」であり、不信感を植え付け、士気を低下させ、敵の活動を効果的に計画し実施する能力を弱める可能性のある技術を使用することである。これには、テロリスト集団が過激なメディアをオンラインで公開するのを阻止したり、国家がインターネットを使って偽情報を広めるのを困難にしたりすることが含まれ、彼らの活動環境に対する認識に影響を与えることができる。
The NCF’s work is covert and we therefore do not reveal details of individual operations. Indeed the intent is sometimes that adversaries do not realise that the effects they are experiencing are the result of a cyber operation. This ambiguity can help to amplify the cognitive effect. NCFの活動は秘密裏に行われるため、個々の活動の詳細を明らかにすることはない。実際、敵が経験している効果がサイバー作戦の結果であることに気づかないようにすることが目的であることもある。この曖昧さは、認知効果を増幅させるのに役立つ。
Despite the necessary level of secrecy, in line with our commitment to being a responsible cyber actor, we have disclosed that over the last three years the NCF has delivered operations to: 必要なレベルの秘密にもかかわらず、責任あるサイバーアクターであるという我々のコミットメントに沿って、我々は過去3年間、NCFが以下のような作戦を実施したことを公表した:
・protect military deployments overseas; ・海外に展開する軍を保護する;
・disrupt terrorist groups; ・テログループを崩壊させる;
・counter sophisticated, stealthy and continuous cyber threats; ・高度でステルス性のある継続的なサイバー脅威に対抗する;
・counter state disinformation campaigns; ・国家の偽情報キャンペーンに対抗する;
・reduce the threat of external interference in democratic elections; and ・民主的な選挙に対する外部からの干渉の脅威を軽減する。
・remove child sexual abuse material from public spaces online. ・オンライン上の公共スペースから児童性的虐待の資料を削除する。
Through ‘NCF: Responsible Cyber Power in Practice’, the UK is reiterating its commitment to international stability and security, and illustrating how states can act responsibly in cyberspace, in line with domestic and international law. 英国は、「NCF: 実践における責任あるサイバーパワー」を通じて、国際的な安定と安全へのコミットメントを改めて表明し、国内法および国際法に沿って、各国がサイバー空間において責任を持って行動する方法を示している。
Director GCHQ, Sir Jeremy Fleming, said: GCHQ長官のジェレミー・フレミング卿は、次のように述べている:
In an increasingly volatile and interconnected world, to be a truly responsible cyber power, nations must be able to contest and compete with adversaries in cyberspace. In the UK, the National Cyber Force complements the UK’s world class cyber resilience to give the country operational cyber capabilities at the scale needed to protect our free, open, and peaceful society. ますます不安定になり、相互接続が進む世界において、真に責任あるサイバー大国となるためには、各国はサイバースペースで敵対勢力と争い、競争することができなければなりません。英国では、ナショナル・サイバー・フォースが、英国の世界最高水準のサイバー・レジリエンスを補完し、自由で開かれた平和な社会を守るために必要な規模のサイバー作戦能力を提供します。
Building upon two decades of experience, the dynamic new partnership has countered state threats, made key contributions to military operations, and disrupted terrorist cells and serious criminals including child sex offenders. 20年にわたる経験をもとに、ダイナミックな新しいパートナーシップは、国家の脅威に対抗し、軍事作戦に重要な貢献をし、テロ組織や児童性犯罪者を含む重大犯罪を阻止してきました。
With the threat growing and the stakes higher than ever before, we hope this document provides a benchmark for the UK’s approach and a basis for like-minded governments to come together internationally to establish a shared vision and values for the responsible use of cyber operations. 脅威が増大し、かつてないほど賭けが高くなる中、この文書が英国のアプローチの基準となり、志を同じくする政府が国際的に集まり、サイバー作戦の責任ある利用について共通のビジョンと価値観を確立するための基礎となることを願っています。
General Sir Jim Hockenhull, Commander of Strategic Command, said: 戦略軍司令官であるサー・ジム・ホッケンハル将軍は、次のように述べている:
The National Cyber Force is a crucial tool in our integrated approach to national security and our defence of the UK. 国家サイバー軍は、国家安全保障と英国防衛に対する統合的なアプローチにおいて、極めて重要なツールです。
Working across Government and with our international allies is vital. There is a power in partnerships, and we must go further to out-cooperate and out-compete states that are driving instability. 政府全体や国際的な同盟国との協力は不可欠です。パートナーシップには力があり、私たちは、不安定をもたらす国家と協力し、競争するために、さらに前進しなければなりません。
The NCF is also today avowing its Commander for the first time, as part of the Government’s commitment to provide transparency about how the UK conducts responsible cyber operations. また、英国が責任あるサイバー活動を行う方法について透明性を提供するという政府のコミットメントの一環として、NCFは本日初めてその司令官を公言した。
James Babbage, a GCHQ intelligence officer for nearly 30 years, has led the NCF since its inception in 2020, scaled its operations and led efforts to integrate it effectively with a broad range of other agencies and partners. ジェームス・バベッジは、30年近くGCHQの情報将校を務め、2020年のNCF発足以来、その運用を拡大し、他の機関やパートナーとの幅広い統合を効果的に行うための取り組みを主導してきた。
He has spent most of his career at GCHQ, with a secondment to the Ministry of Defence and a tour as a liaison officer in the US. キャリアの大半をGCHQで過ごし、国防省への出向や米国での連絡将校としての活動も経験している。

 

報告書..

・2023.04.04 Guidance: Responsible Cyber Power in Practice

・[HTML]

・[PDF]

20230416-65740

 

 

 

Guidance ガイダンス
Responsible Cyber Power in Practice  実践における責任あるサイバーパワー
Published 4 April 2023 2023年4月4日発行
Contents 目次
Forward 序文
Introduction はじめに
The Challenge 課題
The Response 対応
National Cyber Force 国家サイバー軍
The UK’s Principles And Operational Approach 英国の原則と運用方法
Responsible Cyber Power In Action 責任あるサイバーパワーの実践
Next Steps In NCF Development NCF開発における次のステップ
Forward 序文
The vision of the UK’s National Cyber Strategy (NCS) 2022 is that the UK will continue to be a leading, responsible and democratic cyber power, able to protect and promote its interests in and through cyberspace in support of national goals. The NCS 2022 set out how the UK will continue to adapt, innovate, and invest in order to pioneer a cyber future with the whole of the UK. 英国の国家サイバー戦略(NCS)2022のビジョンは、英国が、国家目標を支援するためにサイバー空間において、またサイバー空間を通じて自国の利益を保護し促進することができる、先導的で責任感があり民主的なサイバー大国であり続けることである。NCS 2022では、英国全体とともにサイバーの未来を切り開くために、英国がどのように適応し、革新し、投資を続けていくかが示された。
One year on, the National Cyber Force (NCF) is taking the opportunity to illustrate aspects of how the UK is being a responsible cyber power in practice. The NCF is one of the exciting and transformational elements which contribute to the NCS. Created in 2020, by building on the previous National Offensive Cyber Programme, the NCF operates continually to support the armed forces and foreign policy of the UK and disrupt a variety of threats: some enabled by the internet and others that put at risk our own ability to benefit from a free, open, peaceful and secure cyberspace. 1年経った今、国家サイバー軍(NCF)は、この機会を利用して、英国が責任あるサイバー大国としてどのように実践しているかを説明する。NCFは、NCSに貢献するエキサイティングで変革的な要素の一つである。2020年に創設されたNCFは、従来の国家攻撃型サイバー計画に基づいて、英国の軍隊と外交政策を支援し、さまざまな脅威(インターネットによって可能になるものもあれば、自由でオープン、平和で安全なサイバー空間から恩恵を受ける我々の能力を危険にさらすものもある)を破壊するために継続的に活動している。
It draws together personnel from GCHQ, the Ministry of Defence (MOD), including Defence Science and Technology Laboratory (Dstl), and SIS under one unified command. Since its establishment, it has played its part in creatively developing a much more integrated and routine use of a full spectrum of capabilities to maintain the UK’s strategic advantage. The integration of the NCF into both Defence and the intelligence agencies is a key part of its unique offer. GCHQ、国防省(MOD)、国防科学技術研究所(Dstl)、SISの職員が1つの統合司令部の下に集結している。設立以来、英国の戦略的優位性を維持するために、あらゆる能力をより統合的かつ日常的に活用するための創造的な開発に一役買っている。NCFが国防省と情報機関の両方に統合されていることは、そのユニークな提案の重要な部分である。
Responsible Cyber Power In Practice provides more detail about how NCF is operating now. Although the field remains relatively new, with much still to be discovered about how these capabilities can be deployed to best advantage, the level of knowledge and understanding has developed quickly in the NCF. Cyberspace is a dynamic environment, and therefore the NCF needs to be agile in developing and seizing opportunities. 『実践における責任あるサイバーパワー』では、NCFが現在どのように運用されているか、より詳細に説明している。この分野はまだ比較的新しく、これらの能力をどのように展開すれば最も有利になるのか、まだ多くの発見があるが、NCFの知識と理解のレベルは急速に発展している。サイバー空間はダイナミックな環境であるため、NCFは機敏に機会を開発し、つかむことが必要である。
In outlining its current thinking, the NCF aims to promote constructive debate and contribute to demonstrating the UK’s commitment to being a responsible cyber power. It may also potentially contribute to deterrence. Much has been achieved since the NCF’s creation; in particular, stakeholders appreciate the versatility of its offer, and the utility of learning together across its diverse missions, from supporting military operations and countering a wide range of state threats, to addressing terrorism and serious crime. NCF derives strength from the diversity of its participants, and the wide range of partners both in the UK and internationally that it cooperates with. In demonstrating the clear value, relevance, and potential of these capabilities, NCF is already helping to show how the whole of society and whole of cyber vision set out in the NCS is the right one for the UK. NCFは現在の考え方を概説することで、建設的な議論を促進し、責任あるサイバー大国であるという英国のコミットメントを示すことに貢献することを目指している。また、抑止力に貢献する可能性もある。NCFの創設以来、多くのことが達成された。特に関係者は、NCFの提供するサービスの多用途性と、軍事作戦の支援や広範な国家の脅威への対抗からテロや重大犯罪への対処まで、その多様な任務にわたって共に学ぶことの有用性を評価している。NCFは、参加者の多様性と、英国内外の幅広いパートナーとの協力関係から強みを得ている。NCFは、これらの能力の明確な価値、関連性、可能性を示すことで、NCSが掲げる社会全体とサイバー全体のビジョンが英国にとっていかに正しいものであるかを示すのに既に役立っている。
Sir Jeremy Fleming, Director GCHQ GCHQ ディレクター ジェレミー・フレミング卿
General Sir Jim Hockenhull, Commander UK Strategic Command 英国戦略軍司令官サー・ジム・ホッケンハル将軍
Introduction はじめに
Cyberspace and digital technology are a fundamental part of daily life. They are central to how we communicate with each other, develop our understanding of what’s happening in the world, conduct business and enjoy our free time. They are also key to how governments and armed forces across the world operate today. サイバー空間とデジタル技術は、日常生活の基本的な部分となっている。我々が互いにコミュニケーションをとり、世界で起きていることを理解し、ビジネスを行い、自由な時間を楽しむための中心的な存在である。また、世界中の政府や軍隊が今日どのように活動しているかという点でも重要な役割を担っている。
An inevitable consequence of this digital revolution is that cyberspace is a significant environment where global security issues are increasingly played out. In today’s digital age, the UK’s ability to operate securely and effectively in cyberspace has become necessary to delivering our national goals. At the same time, the UK’s adversaries, including both state threats and non- state actors, are increasingly using cyberspace and digital technology to do us and others harm. このデジタル革命の必然的な帰結として、サイバー空間は、グローバルなセキュリティ問題がますます展開される重要な環境となっている。今日のデジタル時代において、サイバー空間で安全かつ効果的に活動する英国の能力は、国家目標を達成するために必要になっている。同時に、国家的脅威と非国家的行為者の両方を含む英国の敵対者は、サイバー空間とデジタル技術を利用して、我々や他の人々に危害を加えることがますます増えている。
The Government believes the UK cannot leave cyberspace an uncontested space where adversaries operate with impunity. In the Integrated Review 2021 the UK Government set out the intent to have the ability to take disruptive cyber action that exploits an adversary’s own dependence on digital technology. It also committed to shaping new rules so that offensive cyber tools are developed and used responsibly, in accordance with international law and with due regard to voluntary and non-binding norms such as those endorsed by the UN General Assembly. 政府は、敵対者が平然と活動するサイバー空間を無制限の空間として、英国を放置することはできないと考える。統合レビュー2021において、英国政府は、敵対者がデジタル技術に依存していることを利用した破壊的なサイバー行動を取る能力を持つという意向を示した。また、攻撃的なサイバーツールが、国際法に従い、国連総会で承認されたような自主的で拘束力のない規範に十分配慮して、責任を持って開発・使用されるよう、新しいルールを形成することを約束した。
It is the role of the NCF to make it harder for adversaries to use cyberspace and digital technologies to achieve their ends. This guide to the NCF provides more detail on the background to the NCF and the context in which we operate. It describes our fundamental operational principles, how we go about our work and provides some operational examples. And it sets out that how we function is key to being consistent with our democratic values and the principles of a responsible cyber power. 敵対者が目的を達成するためにサイバー空間やデジタル技術を使用することを困難にすることがNCFの役割である。このNCFガイドでは、NCFの背景と我々が活動する背景について、より詳しく説明している。NCFの基本的な活動方針、我々の仕事の進め方、いくつかの活動例について説明している。そして、我々がどのように機能するかは、我々の民主的価値観と責任あるサイバーパワーの原則に合致することが重要であることを述べている。
The Challenge 課題
The digital technologies that constitute cyberspace are a transformational global force for good with societies increasingly reliant on them. They also act as a critical enabler for actions in the physical world. Modern armed forces worldwide use sophisticated digital capabilities for command and control, situational awareness and as an integral component of weapons systems; in military operations, where the side that most effectively uses digital systems to its own advantage, whilst reducing the ability of their enemy to do so, has a critical edge. These technologies also offer malicious actors new and more effective ways to cause harm in the UK and throughout the world. サイバー空間を構成するデジタル技術は、社会を変革するグローバルな力であり、その依存度はますます高まっている。また、物理的な世界での行動を可能にする重要な要素としても機能している。世界の近代的な軍隊は、高度なデジタル機能を指揮統制、状況認識、兵器システムの不可欠な構成要素として使用している。軍事作戦では、敵の能力を低下させながら、最も効果的にデジタルシステムを利用して自らを有利にする側が、決定的な優位に立つことができる。また、これらの技術は、悪意ある行為者に、英国や世界中で被害をもたらすための新しく効果的な方法を提供する。
Countries such as Russia and Iran routinely carry out cyber operations of different kinds in order to spread disinformation, attempt to undermine democratic processes, disrupt the ability of democratic governments to carry out their day-to-day functions and even to prevent key pieces of critical infrastructure from functioning, without any regard for the consequences. ロシアやイランのような国々は、偽情報の拡散、民主的プロセスの弱体化の試み、民主的政府の日常的な機能遂行能力の妨害、さらには重要インフラの主要部分の機能停止を目的として、その結果を全く考慮せずに、日常的にさまざまなサイバー作戦を展開している。
International organised crime groups have developed whole new classes of criminal activity – in particular ransomware – that exploit our dependence on digital technology to make them money. Terrorist organisations use the internet extensively to spread propaganda and to co-ordinate their attacks. 国際的な組織犯罪グループは、我々のデジタル技術への依存を悪用して、まったく新しい犯罪行為(特にランサムウェア)を開発し、お金を儲けている。テロ組織は、プロパガンダを広め、攻撃を調整するためにインターネットを広く使用している。
And the Russia-Ukraine conflict has seen cyber criminals and hacktivists explicitly aligning themselves with each side’s political objectives and carrying out cyber-attacks targeting foreign interests for political purposes. This demonstrates the potential growth of ideologically driven cyber- attacks outside of any state influence or control at all. また、ロシアとウクライナの紛争では、サイバー犯罪者やハクティビストがそれぞれの政治的目的に明確に同調し、政治的目的のために外国の利益を標的としたサイバー攻撃を行うようになりました。これは、国家の影響や統制が全くないところで、イデオロギーに基づくサイバー攻撃が潜在的に成長していることを示している。
Cyberspace has become an environment that hostile actors are seeking to exploit as much as they can. This very dependency opens up new opportunities to disrupt threat actors, reduce their ability to do us harm and further the interests of the UK and its allies. サイバー空間は、敵対的な行為者ができる限り利用しようとする環境になっている。このような依存関係は、脅威となる行為者を混乱させ、我々に危害を加える能力を低下させ、英国とその同盟国の利益を促進する新たな機会を提供するものである。
The Response 対応
The UK and its allies have a wide range of levers available to tackle serious security threats, including those that are dependent on, or enabled by, cyber capabilities. 英国およびその同盟国は、サイバー能力に依存する、あるいはサイバー能力によって可能となる脅威を含む、深刻な安全保障上の脅威に対処するために利用できる幅広い手段を有している。
Depending on the context, these can involve measures such as cyber resilience, law enforcement action, sanctions, diplomatic intervention, and military activity including, where necessary, the use of force. Alongside these measures, the NCF provides options for the UK to use cyber capabilities as part of the response to serious threats from states and other hostile actors. 文脈に応じて、サイバー回復力、法執行活動、制裁、外交介入、必要な場合には武力行使を含む軍事活動などの手段を取ることができる。これらの措置と並行して、NCFは、国家やその他の敵対的行為者からの深刻な脅威への対応の一環として、英国がサイバー能力を使用するための選択肢を提供する。
Where traditional responses are best placed to deal with the challenge effectively, NCF would rarely if ever get involved. We use existing prioritisation and objective setting structures across government to ensure that we focus our efforts where the nature of the problem means that cyber operations can make a important contribution. 従来の対応がその課題に効果的に対処するのに最適な場合、NCFが関与することはほとんどないだろう。我々は、政府全体の既存の優先順位付けと目的設定の構造を利用して、問題の性質上、サイバー作戦が重要な貢献をすることができる場所に確実に努力を集中させる。
Cyber operations offer particular advantages, depending on the circumstances. They provide an opportunity to reach adversaries irrespective of geography and without the need for individuals to be physically present. They can sometimes provide the only practical means of disrupting an adversary’s ability to exploit the internet and digital technology. They can be precisely targeted with specific effect and can avoid the challenges of using other, potentially physically destructive, interventions. They can create a range of cognitive effects – such as undermining an adversary’s confidence in the data they are receiving or in the ability of their information systems to function effectively – that may be harder to achieve with other approaches. サイバー作戦には、状況に応じて特別な利点がある。地理に関係なく、また個人が物理的に存在する必要なく、敵対者に接触する機会を提供する。インターネットやデジタル技術を悪用する敵の能力を妨害する唯一の現実的な手段である場合もある。特定の効果に的を絞ることができ、物理的に破壊的となりうる他の介入手段を用いる際の課題を回避することができる。また、敵が受信しているデータや情報システムが効果的に機能する能力に対する信頼を損なうなど、他のアプローチでは実現が困難な、さまざまな認知的効果をもたらすことができる。
For all this, there remain questions over the role of cyber operations as a part of modern deterrence. Much has been written about cyber and deterrence, without distinguishing between deterring cyber activity, or using cyber effects to deter other activities. The complexity of the many contributing factors to deterrence means it is not straightforward to read across concepts and lessons directly from the fields of conventional or nuclear deterrence, or seek to build a standalone concept of deterrence without thinking holistically across these broader aspects. このように、現代の抑止力の一部としてのサイバー作戦の役割には疑問が残されている。サイバーと抑止力について多くのことが書かれているが、サイバー活動を抑止するのか、それともサイバー効果を利用して他の活動を抑止するのかを区別していない。抑止力には多くの要因が複雑に絡み合っているため、通常抑止や核抑止の分野から直接概念や教訓を読み解いたり、こうした幅広い側面から総合的に考えずに単独で抑止力の概念を構築しようとしたりするのは、一筋縄ではいかないのである。
Whilst evidence is limited for cyber operations being a primary contributor to deterrence, they can form a secondary or supporting element in an integrated approach. サイバー作戦が抑止力の主要な要因であることを示す証拠は限られているが、統合的なアプローチにおいて二次的または補助的な要素を形成することは可能である。
The UK’s resilience in cyberspace needs to be at the heart of the UK’s defence against adversaries looking to exploit the internet to cause harm. That is why the Government has invested significant resources and energy into improving the UK’s cyber security as set out in the 2022 NCS. However, to be secure in cyberspace also requires actively tackling the cyber dependencies of adversaries. Thus, the National Cyber Security Centre (NCSC) and the NCF are both integral to the strategy. サイバー空間における英国の回復力は、インターネットを悪用して損害を与えようとする敵対勢力に対する英国の防衛の中核となる必要がある。そのため、政府は2022年のNCSで定められた英国のサイバーセキュリティの向上に多大な資源とエネルギーを投入してきた。しかし、サイバー空間で安全であるためには、敵対者のサイバー依存に積極的に取り組むことも必要である。したがって、国家サイバーセキュリティセンター(NCSC)とNCFは、いずれもこの戦略に不可欠な存在である。
National Cyber Force 国家サイバー軍
Established in 2020, the NCF is responsible for operating in and through cyberspace to counter and contest those who would do harm to the UK or its allies, to keep the country safe and to protect and promote the UK’s interests at home and abroad. We operate at the direction of a democratically elected government within a robust oversight framework. 2020年に設立されたNCFは、英国やその同盟国に危害を加えようとする者に対抗し対抗するため、また国の安全を守り、国内外における英国の利益を保護し促進するために、サイバー空間内およびサイバー空間を通じて活動する責任がある。我々は、民主的に選ばれた政府の指示のもと、強固な監視の枠組みの中で活動している。
Once the currently planned growth is complete, we will be made up of a roughly equal share of personnel from the MOD and the intelligence agencies, bringing together expertise, resources, and authorities under a single command structure. We are building on significant experience in cyber operations, stretching back over two decades. This has included disrupting terrorist command and control and propaganda distribution, supporting military objectives on the battlefield, and disrupting the activities of hostile actors seeking to do us harm. 現在計画されている拡張が完了すれば、国防省と情報機関の職員がほぼ同じ割合で構成され、単一の指揮系統の下で専門知識、資源、権限を結集することになる。我々は、20年以上にわたるサイバー作戦の豊富な経験を基盤としている。これには、テロリストの指揮統制やプロパガンダ配信の妨害、戦場での軍事目的の支援、我々に危害を加えようとする敵対勢力の活動の妨害などが含まれる。
The NCF combines MOD’s operational and planning expertise, Dstl’s scientific and technical capabilities, GCHQ’s global intelligence and SIS’s skills in recruiting and running agents alongside delivering clandestine operational technology. This mix of operational, intelligence and security experience provides the UK with a diversity of perspectives and thinking that we believe gives us an edge over our adversaries. NCFは、国防省の作戦・計画に関する専門知識、Dstlの科学技術能力、GCHQのグローバル情報、SISの諜報員の募集・運営に関する技術、さらに秘密作戦技術の提供を兼ね備えている。このように、作戦、情報、セキュリティの経験が混在することで、英国は多様な視点や考え方を持つことができ、敵対する国に対して優位に立つことができると考えている。
The NCF carries out cyber operations on a daily basis to protect against threats to the UK, further the UK’s foreign and national security policy, support military operations, and prevent serious crime (such as countering child sexual exploitation and abuse). NCF operations are conducted against both state and non-state threats (such as terrorism). NCFは、英国への脅威からの保護、英国の外交・国家安全保障政策の推進、軍事作戦の支援、重大犯罪(児童の性的搾取や虐待への対処など)の防止を目的として、日々サイバー作戦を展開している。NCFの活動は、国家と非国家の両方の脅威(テロなど)に対して行われる。
We are establishing a new permanent base at Samlesbury in Lancashire, which will enable the NCF to increase its operational output. The new headquarters will also contribute to the levelling up agenda and bring economic stimulus and other tangible benefits to the region. 我々は、ランカシャー州のサムレスベリーに新たな常設基地を設立し、NCFの活動成果を高めることができるようにする。また、新本部はレベルアップの課題に貢献し、この地域に経済刺激やその他の具体的な利益をもたらすだろう。
What this means in practice 具体的な意味
In practical terms the NCF develops and uses cyber capabilities to carry out operations including disrupting adversary ability to make use of cyberspace and digital technology, influencing adversaries away from doing harm, and exposing hostile activity and wrongdoing. 具体的には、敵のサイバー空間やデジタル技術を利用する能力を妨害し、敵に害を与えないように影響を与え、敵対的な活動や不正行為を暴露するなどの活動を行うために、サイバー能力を開発・利用している。
Our work can include covert operations against the IT networks or technology used by adversaries and employing techniques to make that technology function less effectively or cease to function altogether. 我々の活動には、敵が使用するITネットワークや技術に対する秘密作戦や、その技術の機能を低下させたり、完全に機能しなくさせたりする技術を採用することも含まれる。
It might involve disrupting an adversary’s ability to use different forms of digital communications systems, so they are unable to contact each other at critical times. Or affecting systems an adversary depends on for access to data or to enable their decision making. 例えば、敵がさまざまな形態のデジタル通信システムを使用する能力を妨害し、重要な時に互いに連絡を取ることができないようにすることもある。あるいは、敵がデータへのアクセスや意思決定を可能にするために依存しているシステムに影響を与えることもある。
Techniques may be used to reduce the ability of terrorists to spread extremist media online, or to make it harder for states to use the internet to spread disinformation. Operations may undermine the ability of adversaries to use the internet for criminal purposes by disrupting their use of online platforms and services. Or support the UK’s current military operations and future planning. テロリストが過激なメディアをオンラインで拡散する能力を低下させたり、国家がインターネットを利用して偽情報を拡散することを困難にするために、技術を利用することもある。作戦は、敵対者がオンラインプラットフォームやサービスの利用を妨害することで、犯罪目的でインターネットを利用する能力を弱めることができる。あるいは、英国の現在の軍事作戦と将来の計画を支援する。
Operations may also be conducted to try to influence hostile actors. Intelligence capabilities may be used covertly to gather data about a hostile actor’s activities and then used to demonstrate that their actions are known about and understood. Or covert techniques may be used to reach out to individuals who pose a significant threat to the UK or our allies to seek to influence their actions in a positive way. また、敵対する行為者に影響を与えようとする作戦も実施されることがある。諜報能力は、敵対的行為者の活動に関するデータを収集するために秘密裏に使用され、その後、その行為が知られており理解されていることを示すために使用されるかもしれない。あるいは、英国や同盟国にとって重大な脅威となる人物に接触し、その行動に肯定的な影響を与えようとするために、秘密裏に技術が使用されることもある。
We may also use a combination of technical and information operations against hostile actors in a mutually supportive way, for example, to sow distrust in groups such as criminal gangs or terrorist cells. また、犯罪組織やテロ組織などの集団に不信感を抱かせるなど、敵対的な行為者に対して、技術作戦と情報作戦を組み合わせて、相互に支援する形で使用することもある。
This document outlines, from NCF’s perspective, some of the fundamental operational principles that lie behind these activities, the requirements of responsible cyber operations and some of the challenges that we face as a new organisation. 本書は、NCFの観点から、これらの活動の背景にある基本的な運用原則、責任あるサイバー運用の要件、新しい組織として我々が直面する課題のいくつかを概説する。
The UK’s Principles And Operational Approach 英国の原則と運用アプローチ
Operational principles 作戦原則
Cyber operations are complex and challenging. As a responsible democratic cyber power, the UK is expected to operate in a legal, ethical and responsible way. With that in mind, the NCF designs its operations in accordance with the following core principles: サイバー作戦は複雑で困難なものである。責任ある民主的なサイバー大国として、英国は法的、倫理的、責任ある方法で活動することが期待されている。このことを念頭に置いて、NCFは以下の基本原則に従って業務を設計している:
・Accountable ・説明可能な
・Precise ・正確な
・Calibrated ・較正された
Accountable 説明可能な
Operations are conducted in a legal and ethical manner, in line with domestic and international law and our national values. 作戦は、国内外の法律と我々の国の価値観に沿った、合法的かつ倫理的な方法で行われている。
Precise 正確な
Operations are based on a deep understanding of the cyber environment and are designed to be timed and targeted with precision. 作戦はサイバー環境の深い理解に基づき、正確なタイミングとターゲットになるように設計されている。
Calibrated 較正された
The impact of operations is carefully assessed, taking into account the wider context. This is a dynamic process that responds rapidly to any changes in the operational environment. Consideration is given to a wide range of factors including those that might affect wider escalation and de-escalation. 作戦が与える影響は、より広い文脈を考慮しながら慎重に評価される。これは、作戦環境のいかなる変化にも迅速に対応するダイナミックなプロセスである。エスカレーションとディスカレーションに影響を与える可能性のある要因を含む、幅広い要因に配慮する。
The operational approach 作戦アプローチ
We have developed an operational approach drawing on the UK’s experience of and lessons derived from conducting cyber operations over many years, as well as the use of cyber by others. Our thinking and approach will inevitably continue to evolve as we reflect and learn from the operational impact. The main elements are as follows: 我々は、英国が長年にわたってサイバー作戦を実施してきた経験とそこから得られた教訓、および他国によるサイバー活用をもとに、作戦アプローチを開発した。我々の考え方やアプローチは、運用の影響を反映し、学ぶことで必然的に進化し続けることになる。主な要素は以下の通りである:
Cyber operations and cognitive effect サイバー作戦と認知効果
Our objective is to change adversary behaviour by exploiting their reliance on digital technology. Sometimes our operations will simply aim to remove the adversary’s ability to act. For example, preventing a terrorist group from publishing pieces of extremist media. While it may not be possible to prevent such actions indefinitely, there is advantage in disrupting activity at key points. 我々の目的は、敵がデジタル技術に依存していることを利用し、敵の行動を変えることである。時には、敵の行動力を奪うことを目的とした作戦もある。例えば、テログループが過激なメディアを発行するのを阻止するような場合である。このような行動を無期限に阻止することはできないかもしれないが、要所要所で活動を中断させることには利点がある。
Other operations seek to have a more wide-ranging effect on the adversary’s ability to carry out their intentions. We do this through various means including affecting an adversary’s ability to acquire, analyse and exploit the information they need to advance their objectives. We may also limit their ability to communicate and co- ordinate with others. And we may seek to affect their confidence in their digital technology and the information it is providing them. また、敵の意図することを実行する能力に対して、より広範な影響を与えようとする作戦もある。敵が目的を達成するために必要な情報を入手、分析、活用する能力に影響を与えるなど、さまざまな手段でこれを実現する。また、敵のコミュニケーション能力や他者との協調性を制限することもある。また、敵のデジタル技術とその情報に対する信頼に影響を与えることもある。
Taken together, these kinds of techniques have the potential to provide advantage over adversaries by affecting their perception of the operating environment and weakening their ability to plan and conduct activities effectively. We refer to this as the doctrine of cognitive effect. It is aligned with UK military doctrines of multi-domain and integrated action, which seek to combine capabilities across the domains to have an effect on an adversary’s understanding, capability and willpower to change its behaviour. これらの技術を総合すると、敵の活動環境に対する認識に影響を与え、敵が効果的に活動を計画・実施する能力を弱めることで、敵に対して優位に立つことができる可能性がある。我々は、これを「認知効果のドクトリン」と呼んでいる。これは、敵の理解、能力、意志に影響を与え、敵の行動を変えるために、領域横断的に能力を組み合わせることを目指す、英国軍のマルチドメインおよび統合行動のドクトリンと一致しているものである。
From operational experience, we find that we can often achieve the greatest cognitive effect by affecting the functionality and effectiveness of an adversary’s systems over a period of time, rather than denying them entirely (as in some cases they can be quickly replaced). However, operations to have destructive effect remain an option where that is the most appropriate solution. 作戦経験から、敵のシステムを完全に否定するのではなく、一定期間にわたってその機能や有効性に影響を与えることで、最大の認知効果を得られることが多いことがわかっている(すぐに交換できるケースもあるため)。しかし、破壊的な効果をもたらす作戦も、それが最も適切な解決策である場合には、選択肢として残されている。
A high degree of planning is required to achieve optimal impact and, in some cases, getting the precise timing right is essential. While the immediate effect of a particular cyber operation may be relatively short lived, the cognitive impact – including a hostile actor’s loss of confidence in their data or technology – can often be longer term. Combining several operations, alongside other levers of power, into a campaign for cumulative effect also supports longer term outcomes. 最適な影響を与えるためには高度な計画が必要であり、場合によっては正確なタイミングを計ることが不可欠である。特定のサイバー作戦の直接的な効果は比較的短期間かもしれないが、敵対行為者がデータや技術に対する信頼を失うなど、認知的な影響は長期に及ぶことが多い。いくつかの作戦を、他の権力手段とともにキャンペーンとして組み合わせ、累積的な効果を得ることも、長期的な成果を支援する。
Our operations are covert, and the intent is sometimes that adversaries do not realise that the effects they are experiencing are the result of a cyber operation. The ambiguity involved can help to amplify the cognitive effect. As a general rule we cannot and do not avow cyber operations, as to do so undermines the benefits of ambiguity and risks enabling adversaries to develop better defences. 我々の作戦は秘密裏に行われ、敵が経験している影響がサイバー作戦の結果であることに気づかないようにすることを意図していることもある。曖昧さが認知効果を増幅させるのである。一般的なルールとして、我々はサイバー作戦を公言することはできませんし、また公言することもない。
Influence activity 影響力のある活動
We use various techniques to influence hostile actors to change their behaviours, including engaging with them directly online. Other operations covertly expose information to a range of audiences highlighting, for example, unlawful activities or the fact that a state actor is behind certain disinformation sites. It is our accountable, precise, calibrated and therefore proportionate operations that distinguish us from the large-scale disinformation activities practised by certain of our adversaries. 我々は、敵対的な行為者に影響を与え、その行動を改めさせるために、オンラインで直接関与するなど、さまざまなテクニックを駆使している。また、違法な活動や、ある情報操作サイトの背後に国家主体が存在することなどを強調する情報を、さまざまな読者に向けて秘密裏に公開する活動も行っている。このように、説明責任があり、正確で、調整された、そして割合の高い活動を行うことが、敵対国が行う大規模な情報操作と我々を区別することになる。
Dynamic, targeted operations 動的で目標を絞った作戦
Cyberspace is a dynamic operating environment that demands constant effort to identify opportunities and threats. We use a range of operational styles, tailored to particular circumstances and objectives. If practical, repeated targeting of a particular adversary may at times be necessary, but there may also be situations where this serves only to encourage the adversary to better protect itself. Under most circumstances, our operations are dynamic. They focus on a range of priority targets with highly tailored and calibrated actions designed to achieve specific outcomes. サイバー空間はダイナミックな活動環境であり、機会と脅威を見極めるための絶え間ない努力が必要である。我々は、特定の状況や目的に応じて、さまざまな作戦スタイルを用いている。現実的であれば、特定の敵対者を繰り返し攻撃することが必要な場合もあるが、それが敵対者の自衛を促すだけという状況もあり得る。ほとんどの場合、我々の活動は動的である。特定の成果を達成するために、高度に調整され、調整された行動をとりながら、優先順位の高いさまざまな目標に焦点を当てるのである。
Coordinated action 調整された行動
As with any form of government or military action, individual cyber operations are not usually expected to be strategically decisive on their own. Often, they are at their most effective when combined and co-ordinated with the activities of partners to achieve a shared goal. In the military context, cyberspace is frequently a key enabler of operations in other domains. 政府や軍隊の行動と同様に、個々のサイバー作戦は、通常、それだけで戦略的に決定的なものになるとは期待されない。多くの場合、共通の目標を達成するためにパートナーの活動と組み合わせ、調整したときに最も効果的となる。軍事的な文脈では、サイバー空間は他の領域での作戦を実現する重要な手段であることが多い。
Operations often take the form of a series of related actions and are part of a wider set of activities (campaigns) involving other partners, including allies. Cyber operations can amplify activities in the physical world and vice versa. There are also situations where cyber operations can enable an action by a partner organisation in the physical world. 作戦はしばしば一連の関連する行動の形をとり、同盟国を含む他のパートナーを巻き込んだより広範な一連の活動(キャンペーン)の一部となる。サイバー作戦は物理的な世界での活動を増幅させることができ、またその逆もしかりである。また、サイバー作戦が、物理的な世界でのパートナー組織の活動を可能にする状況もある。
Sometimes operations can be conducted specifically to respond to a particular action by a hostile actor – disrupting a state’s disinformation campaign, for example. At other times they form part of a much wider and more proactive set of actions, or campaigns, to help achieve a particular UK security or military objective, potentially over an extended period. 例えば、国家の偽情報キャンペーンを妨害するなど、敵対的行為者による特定の行為に対応するために特別に実施されることもある。また、英国の安全保障や軍事に関する特定の目的を達成するために、より広範で積極的な一連の行動やキャンペーンの一部を、長期間に渡って行うこともある。
Military integration 軍事的統合
NCF is integrating cyber with other UK military capabilities to help protect our forces, engage our allies and constrain our adversaries to prevent conflict developing. NCFは、サイバーと他の英国軍の能力を統合し、戦力の保護、同盟国の関与、敵対国の抑制を支援し、紛争の発生を防止している。
We are supporting the development of better understanding of the cyber and electro-magnetic domain and its integration with the other operational areas of the military – maritime, land, air and space – to be able to synchronise effects across the tactical, operational and strategic levels. Conducting operations in cyberspace is a critical part of driving the conditions and tempo of strategic activity; a key plank of the military’s approach to increased nation-state competition, and to warfighting, where that is necessary. 我々は、戦術、作戦、戦略の各レベルで効果を同期させることができるように、サイバーと電磁気領域に関するより良い理解、および軍の他の作戦分野(海上、陸上、航空、宇宙)との統合の開発を支援している。サイバー空間での作戦遂行は、戦略的活動の条件とテンポを推進するための重要な部分であり、国家間の競争激化に対する軍のアプローチと、それが必要な場合の戦争遂行への重要な柱である。
Capability development 能力開発
We develop cyber capabilities that are relevant to circumstances across the continuum from competition through crisis to conflict. 我々は、競争から危機、紛争に至るまで、連続した状況に関連するサイバー能力を開発する。
Our operational approach is flexible and agile in order to be ready when needed. Our capabilities combine people, technology and infrastructure. In general, cyber capability development is most efficiently achieved by developing ‘blocks of capability’ that can be deployed against a range of different requirements with the minimum necessary tailoring, while still enabling us to deliver operations that are precise and calibrated. 我々の作戦アプローチは、必要なときに準備ができるように、柔軟で俊敏なものである。我々の能力は、人、技術、インフラを組み合わせたものである。一般的に、サイバー能力の開発は、必要最小限の調整でさまざまな要件に対して展開できる「能力のブロック」を開発することによって最も効率的に達成され、同時に、正確で調整された作戦を提供することができる。
This is essential to enable a timely response against a variety of threats, many of which cannot easily be predicted and where there is simply not the time to develop bespoke capabilities from scratch. We avoid investing significant resource into niche and specific capabilities unless deemed critical. Maintaining skills through constantly operating, while continually developing capabilities, is our main way of ensuring we are postured for crisis and future contingencies. これは、さまざまな脅威に対して適時な対応を可能にするために不可欠なもので、その多くは容易に予測することができず、ゼロから特注の能力を開発する時間もない。我々は、重要であると判断されない限り、ニッチで特殊な能力に大きな資源を投入することは避けている。常に運用することであるキルを維持し、継続的に能力を開発することが、危機や将来の不測の事態に備えるための我々の主な方法である。
Responsible Cyber Power In Action 実践における責任あるサイバーパワー
Types of operation 作戦の種類
The NCF has a remit to use cyber operations in the interests of national security, the UK’s economic wellbeing or in support of the prevention or detection of serious crime. There are three broad categories of NCF operations: NCFは、国家安全保障、英国の経済的福利、または重大犯罪の防止や検出を支援するために、サイバー作戦を使用する権限を有する。NCFの活動には、3つの大きなカテゴリーがある:
・Countering threats from terrorists, criminals and states using the internet to operate across borders in order to do harm in the UK and elsewhere. ・テロリスト、犯罪者、国家が、英国やその他の地域で危害を加えるために、インターネットを使って国境を越えて活動する脅威への対処。
・Countering threats which undermine the confidentiality, integrity and availability of data, and effective use of systems by users. This can involve conducting cyber operations, when necessary, alongside the range of other mitigations available to counter threats to our cyber security, including improved cyber resilience, coordinated action with allied governments, and collaboration with the private sector. ・データの機密性、完全性、可用性、およびユーザーによるシステムの効果的な利用を損なう脅威への対処。これには、サイバーレジリエンスの向上、同盟国政府との協調行動、民間部門との協力など、サイバーセキュリティへの脅威に対抗するために利用できる他のさまざまな緩和策と並行して、必要に応じてサイバー作戦を実施することが必要である。
・Contributing to UK Defence operations and helping to deliver the UK’s foreign policy agenda. Cyber operations can support the full range of Defence activity. And they can make a particular contribution in support of key foreign policy and security objectives. ・英国の防衛活動への貢献と、英国の外交政策課題の実現への寄与。サイバー作戦は、国防活動の全領域を支援することができる。また、重要な外交政策や安全保障の目標を支援する上で、特に貢献することができる。
Operational examples 作戦例
NCF routinely plans and conducts operations to support and protect military operations and help ensure they safely meet their mission objectives. This can include disrupting physical threats, protecting supply chains, and disrupting hostile malware which could threaten operational readiness. Sometimes this involves deploying these cyber capabilities forward, to give a military Commander a wider set of options for force protection. NCFは、軍事作戦を支援・保護するための作戦を日常的に計画・実施し、作戦目標を安全に達成できるように支援する。これには、物理的な脅威の阻止、サプライチェーンの保護、作戦準備態勢を脅かす可能性のある敵対的なマルウェアの阻止が含まれることがある。時には、軍司令官に兵力保護のための幅広い選択肢を提供するために、これらのサイバー能力を前方に展開することもある。
NCF counters threats posed by states in ways other than directly supporting the UK military. These operations have ranged from exposing activities and supporting systems, to disrupting networks and operational capabilities. We have also acted to counter terrorist radicalisation, state disinformation, and reduce the threat of external interference in democratic elections. NCFは、英国軍を直接支援する以外の方法で、国家がもたらす脅威に対抗している。こうした活動は、活動や支援システムの暴露から、ネットワークや作戦能力の破壊に至るまで、多岐にわたっている。また、テロリストの過激化、国家の偽情報に対抗し、民主的な選挙に対する外部からの干渉の脅威を軽減するための活動も行っている。
In countering sophisticated, stealthy and continuous cyber threats, known as Advanced Persistent Threats (APTs) in support of NCSC, NCF operations are informed by behavioural science insights to undermine the tradecraft used by specific APTs. This has enabled our constraining efforts on the APT to persist for longer than in earlier operations. NCSCの支援で、高度な持続的脅威(APT)と呼ばれる高度でステルス性のある継続的なサイバー脅威に対抗する際、NCFの作戦は行動科学の知見に基づき、特定のAPTが使う技巧を弱体化させている。これにより、APTに対する我々の制約的な努力は、以前の作戦よりも長く持続することが可能になった。
We have continued to disrupt terrorist activities and networks, combining technical disruption operations, with activities designed to foster distrust and decrease morale. 我々は、技術的な破壊活動と不信感を醸成し士気を低下させるための活動を組み合わせて、テロリストの活動やネットワークを破壊し続けた。
NCF has carried out a series of actions to counter serious crime. We have also supported HMG’s counter proliferation objectives, for example disrupting activities connected to sanctions evasion. NCFは、重大犯罪に対抗するための一連の活動を実施した。また、制裁回避に関連する活動の妨害など、HMGの核拡散防止目標を支援した。
We deliver persistent campaigns to remove child sexual exploitation and abuse material from the public spaces online and make it harder to find. We have removed large amounts of the most egregious imagery and disrupted illegal activity. These operations are undertaken as part of global efforts to counter this harmful activity and augment the physical reach of law enforcement with digital means. 我々は、児童の性的搾取や虐待に関する資料をオンラインの公共スペースから削除し、見つけにくくするための粘り強いキャンペーンを展開している。我々は、最も悪質な画像を大量に削除し、違法行為を妨害してきた。これらの活動は、この有害な活動に対抗するための世界的な取り組みの一環として行われ、法執行機関の物理的な範囲をデジタル手段で補強している。
Responsible operational planning 責任ある作戦計画
Fundamental to our work is the need to act at all times in line with the UK’s values and its commitment to be a responsible, democratic cyber power. This requirement underpins the operational approach described earlier and we believe makes us more effective. Key factors that ensure responsible cyber operations include the following: 我々の仕事の基本は、英国の価値観と、責任ある民主的なサイバーパワーであるというコミットメントに沿って、常に行動する必要があることである。この要件が、先に述べた運用アプローチを支え、我々をより効果的にしていると考えている。責任あるサイバー運用を保証する主な要素には、以下のようなものがある:
Strict adherence to robust legal and ethical frameworks 強固な法的・倫理的枠組みの厳格な遵守
NCF operations are conducted in line with a well-established legal framework, which includes the Intelligence Services Act 1994 (ISA), the Investigatory Powers Act 2016 (IPA) and the Regulation of Investigatory Powers Act 2000 (RIPA). NCFの活動は、1994年情報サービス法(ISA)、2016年調査権限法(IPA)、2000年調査権限規制法(RIPA)を含む、確立された法的枠組みに則って行われる。
The NCF always acts within the law. Decisions to approve operations are informed by legal advice on relevant domestic and international law. NCF operations must satisfy GCHQ’s statutory functions and obligations set out in ISA and are the subject of warrants and authorisations under that Act, the IPA and RIPA, as appropriate. For situations of armed conflict, international humanitarian law (also known as the Law of Armed Conflict) is also relevant. NCFは常に法律の範囲内で行動している。作戦を承認する決定は、関連する国内法および国際法に関する法的助言によって知らされる。NCFの活動は、ISAに規定されたGCHQの法定機能と義務を満たす必要があり、同法、IPA、RIPAに基づく令状と認可が適宜適用される。武力紛争の状況下では、国際人道法(武力紛争法とも呼ばれる)も関係する。
Furthermore, we build a strong ethical component into NCF operational planning. This is to ensure that our operations, as well as being legally compliant, are also the right thing to do. Part of this is ensuring that operations are consistent with our democratic values, and that they are in line with the principles of responsible behaviour in cyberspace we are setting out here. さらに、NCFの作戦計画には、強力な倫理的要素を組み込んでいる。これは、我々の活動が、法的なコンプライアンスだけでなく、正しいことであることを保証するためである。その一環として、作戦が我々の民主的価値観に合致していること、そして、我々がここで掲げているサイバー空間における責任ある行動の原則に沿ったものであることを保証している。
Robust oversight and accountability 強固な監視と説明責任
The NCF’s activities are subject to approval by Ministers, judicial oversight and Parliamentary scrutiny, making the UK’s governance regime for cyber operations one of the strongest in the world. NCFの活動は、閣僚の承認、司法の監視、議会の精査を受け、英国のサイバー活動に対するガバナンス体制は世界で最も強力なものの1つとなっている。
Accountability for our activities is held jointly by the Secretary of State for Foreign, Commonwealth and Development Affairs, and the Secretary of State for Defence. NCF responds to priorities set by the National Security Council and works closely with officials across several government departments to ensure outcomes support Ministerial departments’ objectives and campaign plans. NCFの活動に対する説明責任は、外務・英連邦・開発担当の国務長官と国防担当の国務長官が共同で担っている。NCFは、国家安全保障会議が設定した優先事項に対応し、複数の政府省庁の職員と緊密に連携して、閣僚部門の目標やキャンペーン計画を確実に支援する成果を上げている。
The Investigatory Powers Commissioner keeps various statutory powers used in the conduct of cyber operations under review. The Intelligence and Security Committee provides Parliamentary oversight. NCF also falls within the jurisdiction of the Investigatory Powers Tribunal, an independent specialist tribunal with unique statutory powers. 調査権限委員会は、サイバー作戦の実施に使用される様々な法定権限を審査下に置いている。諜報・安全保障委員会は議会の監視を行う。NCFはまた、独自の法的権限を持つ独立した専門法廷である捜査権法廷の管轄下にある。
Clear strategy, doctrine and the necessary underlying policies 明確な戦略、ドクトリン、必要な基本方針
The application of operational cyber capabilities in a responsible way is governed by a defined strategy and doctrine, so that there is clarity about what they are used for and a well- understood set of principles governing their operational application. We have developed a robust framework and while most of this must remain secret, this document has set out a number of the most significant principles. 責任ある方法でのサイバー作戦能力の適用は、定義された戦略とドクトリンによって管理され、何のために使用されるのかが明確になり、その作戦適用を管理する一連の原則がよく理解されるようになる。我々は強固な枠組みを開発し、その大部分は秘密にしなければなりませんが、この文書では最も重要な原則のいくつかを示した。
Thorough and established processes to govern operations, including authorisations 認可を含む運用を管理するための徹底的で確立されたプロセス
There is a clear process for setting requirements for NCF operations that involves stakeholders across Government and which enables a clear linkage between specific operations and national-level requirements, endorsed by Ministers. NCF 活動の要件を設定するための明確なプロセスがあり、政府全体の利害関係者が関与し、閣僚の承認を得た上で、特定の活動と国家レベルの要件との明確な関連付けを可能にしている。
Cyber operations may often take a long time to plan but equally may require rapid real-time decision making when the time comes to proceed. We have robust processes in place to govern the practicalities of conducting cyber operations, with clarity about where responsibility lies for sign off at any given point. サイバー作戦の計画には長い時間がかかることが多いが、同時に、いざというときに迅速なリアルタイムの意思決定が求められることもある。我々は、サイバー作戦を実施する際の実務を管理するための強固なプロセスを備えており、承認する責任がどの時点で、どこにあるのかを明確にしている。
These processes are designed to be sufficiently agile to handle high tempo operations. これらのプロセスは、急速な作戦に対応できるよう、十分に機敏に設計されている。
Processes are also in place to achieve effective co-ordination between our operations and the wider activities of which they often form a part. また、我々の作戦と、作戦がしばしばその一部を構成する幅広い活動との間で効果的な調整を行うためのプロセスも整備されている。
Cyber capabilities that can be controlled effectively and that are predictable 効果的にコントロールでき、予測可能なサイバー能力
A core part of responsible cyber operations is the design and use of capabilities in a way that is predictable and controllable, and where the risks are proportionate to the outcome required. We carefully design our capabilities to achieve this end. 責任あるサイバー作戦の中核をなすのは、予測可能で制御可能な方法で能力を設計し使用することであり、リスクは要求される結果に比例するものである。我々は、この目的を達成するために、慎重に能力を設計している。
Sophisticated planning processes to ensure the principles of accountable, precise and calibrated operations are maintained 説明責任を果たし、正確で調整された作戦の原則が維持されるようにするための洗練された計画プロセス
A significant amount of preparation goes in to NCF operations to ensure that they are effective and can be conducted in a responsible way. NCFの活動が効果的であり、責任ある方法で実施できるようにするために、かなりの量の準備が行われる。
This includes relevant technical reconnaissance of the cyber operational environment, to achieve the best possible understanding in advance of and during any operation being undertaken. Our operations are carefully designed in a way that focuses on the specific outcome to be achieved and weighs up the associated risks. There are multiple approval stages that consider the feasibility, operational plan, benefits and risks of an operation before it can be authorised. And we ensure we learn from all operational proposals, not just those that are approved and delivered, to continually improve future operations. これには、サイバー作戦環境の技術的な偵察が含まれ、作戦の実施前および実施中に可能な限り最高の理解を得ることができる。当社の業務は、達成すべき特定の結果に焦点を当て、関連するリスクを考慮した上で慎重に設計されている。認可を受ける前に、実現可能性、運用計画、利益、リスクを考慮した複数の認可段階がある。また、承認され実施されたものだけでなく、すべての作戦案から学び、将来の作戦を継続的に改善することを保証する。
Op and tactical requirements - Strategic Direction 作戦と戦術の要件 - 戦略的な方向性
1. Define 1. 定義
・Campaign objectives ・キャンペーンの目的
・Success factors ・成功要因
・Resources ・リソース
・Risks to delivery ・実行上のリスク
2. Develop 2. 開発
・Refine intelligence and technical capabilities ・情報力・技術力を磨く
・Develop operational plans ・作戦計画の策定
・Integration with other planning frameworks ・他の計画フレームワークとの統合
・Risk assessment and mitigation ・リスクアセスメントと低減
3. Deliver 3. 実行
・Finalise authorisations ・最終承認
・Integrate and deploy capability ・ケイパビリティの統合と展開
4. Impact and Assessment 4. 影響とアセスメント
・Measures ・測定方法
・Review and Learn ・復習と学習
・Report ・報告
Next Steps In NCF Development NCF開発における次のステップ
While it builds on years of UK experience with cyber operations, the NCF remains a relatively new construct. It is still in a period of growth and development as an organisation. Central to our further development are three key elements. NCFは、英国が長年培ってきたサイバー作戦の経験を基にしたものであるが、比較的新しい組織である。組織としては、まだ成長・発展期にある。我々のさらなる発展の中心は、次の3つの重要な要素である。
Scale 規模
NCF needs to scale up to meet the requirements Government has of it. It is pursuing fast growth of personnel and capabilities to realise the potential of the force, whilst maintaining strong oversight and governance. In particular, this means recruiting and training people from across all our partners, as well as developing infrastructure, technology and associated capabilities. NCFは、政府が求める要件を満たすために規模を拡大する必要がある。強力な監督とガバナンスを維持しながら、部隊の潜在能力を実現するために、人員と能力の急速な成長を追求している。特に、インフラ、技術、関連能力の開発だけでなく、すべてのパートナーから人材を採用し訓練することを意味する。
Reach リーチ
Our adversaries are global and use a wide array of cyber and digital technologies. We need to have the technical ability and readiness to reach these adversaries wherever they are and irrespective of how they are using cyber technology. This requires significant capability investment to keep pace with the changing nature of technology, and which relies on enablers provided by key operational partners of the force: GCHQ, SIS and the MOD. 我々の敵はグローバルで、さまざまなサイバー技術やデジタル技術を駆使している。敵がどこにいても、また敵がどのようにサイバー技術を使用しているかに関係なく、敵に到達できる技術的能力と準備態勢を持つ必要がある。そのためには、変化する技術の性質に対応するために、大規模な能力投資が必要であり、それは軍の主要な作戦パートナーから提供されるイネーブラーに依存している: GCHQ、SIS、国防省など、軍の主要な運用パートナーから提供されるイネーブリングに依存している。
Integration 統合
The force must integrate effectively with other parts of Government and with a wider range of partners and allies. この部隊は、政府の他の部署や、より広範なパートナーや同盟国と効果的に統合する必要がある。
This includes law enforcement, partners in the UK intelligence and security community, Government policy departments, and a growing number of international allies. More broadly we are working with the private sector, academia, think tanks and wider civil society to harness the best thinking available to enable our mission. これには、法執行機関、英国の情報コミュニティやセキュリティ・コミュニティのパートナー、政府の政策部門、そして増え続ける国際的な同盟国などが含まれる。さらに広くは、民間企業、学術界、シンクタンク、より広い市民社会と協力し、我々のミッションを実現するために利用できる最高の思考を活用することである。
Challenges 課題
In delivering our mission we inevitably face a number of challenges and risks, many of which we share with other organisations, agencies and departments. These are being carefully managed as the organisation develops, often as part of cross-government approaches under the National Cyber Strategy. They include: 我々の使命を果たす上で、我々は必然的に多くの課題やリスクに直面するが、その多くは他の組織や機関、 省庁と共有するものである。これらは、組織の発展とともに慎重に管理されており、国家サイバー戦略の下、政府横断的な取り組みの一環として行われることが多い。その内容は以下の通りである:
People and skills 人材とスキル
Success in cyber operations is fundamentally dependent on having sufficient of the right people with the necessary skills. That skill set is a broad one and, as well as core technology skills, includes intelligence analysis and operational planning. Many of these skills are in short supply, here and abroad. サイバー作戦の成功は、基本的に必要なスキルを持った適切な人材を十分に確保することにかかっている。このスキルセットは幅広いものであり、コア技術のスキルだけでなく、情報分析や作戦計画も含まれる。これらのスキルの多くは、国内外で不足している。
Maintaining pace with cyber and digital technology サイバーとデジタル技術に対応する
The NCF needs to be able to operate against adversaries using the full range of cyber and digital technologies. These technologies continue to evolve at a rapid rate. Fundamental changes to the future shape of the internet and the globalisation of technology could all raise significant complications. Against that backdrop, developing truly flexible cyber operational capabilities is a significant challenge. NCFは、サイバーとデジタルのあらゆる技術を駆使して敵対勢力に対して活動できる必要がある。これらの技術は急速な速度で進化を続けている。インターネットの将来の形や技術のグローバル化に対する根本的な変化は、すべて重大な複雑性をもたらす可能性がある。このような背景から、真に柔軟なサイバー作戦能力を開発することは、重要な課題である。
Prioritisation — matching resources to where the impact is greatest 優先順位付け - 影響が最も大きい場所にリソースを合わせる
We have a broad remit to address threats including across national security, Defence, economic wellbeing (where this amounts to a national security threat) and serious crime. Inevitably a high degree of prioritisation is required to match available resources to those areas where not only is the need most significant, but where cyber operations have the greatest impact. 我々は、国家安全保障、国防、経済的福祉(これが国家安全保障の脅威となる場合)、重大犯罪を含む脅威に対処する幅広い任務を担っている。必然的に、利用可能なリソースを、ニーズが最も大きいだけでなく、サイバー作戦が最も大きな影響を与える分野に合わせるために、高度な優先順位付けが必要となる。
Measuring effect 効果の測定
Measuring the effect of covert operations, whether in the cyber or physical worlds, is often very hard. It can sometimes be difficult to say definitively that a particular outcome was the result of particular operations. While it may be relatively easy to measure whether a piece of technology is not functioning as intended, due to a cyber operation, it can be harder to measure the actual impact of this on the adversary’s ability to achieve its objectives. We are working on new approaches to measuring effect, with partner assessment teams, in order to help address these challenges and to ensure that we can demonstrate an increasing return on the Government’s investment in the NCF. サイバー世界であれ物理世界であれ、秘密工作の効果を測定することは、しばしば非常に困難である。ある結果が特定の作戦の結果であると断定的に言うことが難しい場合もある。サイバー操作によって、ある技術が意図したとおりに機能しないかどうかを測定するのは比較的簡単かもしれないが、敵対者の目的達成能力に対する実際の影響を測定するのは難しいかもしれない。このような課題に対処し、NCFへの政府の投資に対するリターンが増加していることを確実に示すために、パートナーの評価チームとともに、効果測定の新しいアプローチに取り組んでいる。
Organisational development 組織開発
The NCF is a new organisation that is combining elements from both the intelligence community and the armed forces as well as wider Defence. This means investment in organisational development is important, not least given the often very different cultures, processes and professional experiences of the constituent organisations. The eventual location of the majority of the force, including its headquarters, at a new facility in Samlesbury presents an opportunity requiring a high degree of planning and preparation. NCFは、情報コミュニティと軍隊、さらに国防省全体の要素を統合した新しい組織である。つまり、組織開発への投資が重要であり、特に構成組織の文化、プロセス、専門的な経験が大きく異なることが多いためである。最終的に本部を含む部隊の大部分をサムベスベリーの新施設に置くということは、高度な計画と準備を必要とする機会である。
Licence to operate 作戦許可証
The UK’s approach to cyber operations has traditionally been kept highly secret. But this kind of work clearly prompts questions about how the UK can act in a responsible way that is consistent with its commitment to a free, open, peaceful and secure internet. With the creation of the NCF, and the degree of investment involved, it is right that we enable greater transparency and engage with the public more widely than has been done before. This document is part of that process. Doing so is a crucial part of assuring the force’s ‘licence to operate’ in the public mind and demonstrating the UK’s commitment to being a responsible and democratic cyber power. We do not take this for granted. 英国のサイバー作戦への取り組みは、伝統的に極秘にされてきた。しかし、このような活動は、英国が自由でオープン、平和で安全なインターネットへのコミットメントに合致した責任ある行動をとるにはどうすればよいかという疑問を明確に提起するものである。NCFの設立とそれに伴う投資の度合いにより、これまで以上に透明性を高め、より広く国民と関わりを持つことが正しい。この文書は、そのプロセスの一部である。そうすることで、世間一般にNCFの「活動許可」を保証し、責任ある民主的なサイバー大国であることへの英国のコミットメントを示す重要な部分となる。我々は、このことを重要なことと認識している。

 

 

| | Comments (0)

EDPB シェンゲン情報システム データ主体の権利行使のための手引き アクセス権、修正権、消去権

こんにちは、丸山満彦です。

欧州連合が加盟国内部での国境検査をしなくてもよいことにする代わりに、欧州加盟国での人(例えば、犯罪者)や物(例えば、盗難車両)の情報を共有し、検索できるシステムが必要となるわけですが、それがシェンゲン情報システム(Schengen Information System: SIS)[wikipedia]ですが、それは同時にプライバシーの問題にもなります。。。このシステムは欧州連合で運営されていますね。。。

そのシェンゲン情報システムに対する、個人主体からの本人へのアクセス、修正、消去についての報告書がEDPBから公表されていますね。。。

日本の警察がよく似たシステムを持っているようにも思いますが、それについてのデータへのアクセスってどういうルールになっていたのかなぁ...

 

⚫︎ EDPB

・2023.04.13 The Schengen Information System - a guide for exercising data subjects’ rights: the right of access, rectification and erasure

・[PDF]

20230416-05455

 

・[DOCX] 仮訳(組織名とか適当...)

 

 

| | Comments (0)

2023.04.15

CISA他 サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインとセキュリティ・バイ・デフォルトの原則とアプローチ

こんにちは、丸山満彦です。

CISA、連邦捜査局(FBI)、国家安全保障局(NSA)、オーストラリア、カナダ、英国、ドイツ、オランダ、ニュージーランドのサイバーセキュリティ機関(CERT NZ、NCSC-NZ)は、共同で「サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインとセキュリティ・バイ・デフォルトのための原則とアプローチ」を策定していますね。。。。この初の共同ガイダンスは、セキュア・バイ・デザインおよびデフォルトの製品を出荷するために必要な緊急措置を取るようメーカーに促していますね。。。

Fice Eyes + ドイツ+オランダですね... 日本ははいっていませんね...

 

 

⚫︎ CISA

・2023.04.13 Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default

・[PDF

20230415-20138

 

 

Shifting the Balance of Cybersecurity Risk:  サイバーセキュリティリスクのバランスを変化させる: 
Principles and Approaches for Security-by-Design and -Default   セキュリティ・バイ・デザインとデフォルトの原則とアプローチ  
Publication: April 13, 2023  発行: 2023年4月13日 
Cybersecurity and Infrastructure Security Agency  サイバーセキュリティおよびインフラストラクチャ・セキュリティ庁
Table of Contents  目次 
Table of Contents 目次
Overview: Vulnerable by Design 概要 デザインによる脆弱性
Secure-by-Design セキュア・バイ・デザイン
Secure-by-Default セキュア・バイ・デフォルト
Recommendations for Software Manufacturers ソフトウェアメーカーへの提言
Software Product Security Principles ソフトウェア製品のセキュリティ原則
Secure-by-Design Tactics セキュア・バイ・デザインの戦術
Secure-by-Default Tactics セキュア・バイ・デフォルトの戦術
Hardening vs loosening guides ハーデニング・ガイドとルーシング・ガイド
Recommendations for Customers 顧客への提言 
Disclaimer 免責事項
Resources リソース
OVERVIEW: VULNERABLE BY DESIGN  概要:デザインによる脆弱性 
Technology is integrated into nearly every facet of daily life. Internet-facing systems are connected to critical systems that directly impact our economic prosperity, livelihoods, and even health, ranging from personal identity management to medical care. As only one example, cyber breaches have resulted in hospitals cancelling surgeries and diverting patient care globally. Insecure technology and vulnerabilities in critical systems may invite malicious cyber intrusions, leading to serious potential safety[1] risks.  技術は、日常生活のほぼすべての場面に組み込まれている。インターネットに接続されたシステムは、私たちの経済的繁栄や生活、さらには個人のID管理から医療に至るまで、健康に直接影響を与える重要なシステムに接続されている。ほんの一例であるが、サイバー侵害によって、病院が手術をキャンセルしたり、患者の治療を迂回させたりする事態が世界的に発生している。重要なシステムにおける安全でない技術や脆弱性は、悪意のあるサイバー侵入を招き、潜在的な安全性[1]の重大なリスクにつながる可能性がある。
Now more than ever, it is crucial for technology manufacturers to make Secure-by-Design and Secure-by-Default the focal points of product design and development processes. Some vendors have made great strides driving the industry forward in software assurance, while others lag behind. The authoring agencies strongly encourage every technology manufacturer to build their products in a way that prevents customers from having to constantly perform monitoring, routine updates, and damage control on their systems to mitigate cyber intrusions. Manufacturers are encouraged to take ownership of improving the security outcomes of their customers. Historically, technology manufacturers have relied on fixing vulnerabilities found after the customers have deployed the products, requiring the customers to apply those patches at their own expense. Only by incorporating Secure-by-Design practices will we break the vicious cycle of creating and applying fixes.  技術メーカーにとって、セキュア・バイ・デザインとセキュア・バイ・デフォルトを製品の設計・開発プロセスの中心に据えることは、これまで以上に重要な課題となっている。ソフトウェア保証の分野で業界を大きく前進させたベンダーもあれば、遅れをとったベンダーもある。機関または省庁は、すべての技術メーカーが、顧客がサイバー侵入を軽減するためにシステムの監視、定期的な更新、ダメージコ ントロールを常に行う必要がないような方法で製品を構築することを強く推奨する。製造業者は、顧客のセキュリティの成果を向上させるためのオーナーシップを持つことが奨励される。歴史的に、技術メーカーは、顧客が製品を導入した後に発見された脆弱性の修正に頼っており、顧客が自費でパッチを適用することを要求してきました。セキュア・バイ・デザインの手法を取り入れることで、修正パッチの作成と適用という悪循環を断ち切ることができる。
To accomplish this high standard of software security, the authoring agencies encourage manufacturers to prioritize the integration of product security as a critical prerequisite to features and speed to market. Over time, engineering teams will be able to establish a new steady-state rhythm where security is truly designed-in and takes less effort to maintain. Reflecting this perspective, the European Union reinforces the importance of product security in the Cyber Resilience Act, emphasizing that manufacturers should implement security throughout a product‘s life-cycle in order to prevent manufacturers from introducing vulnerable products into the market.   この高水準のソフトウェア・セキュリティを実現するために、機関 または省庁はメーカーに対し、製品セキュリティの統合を、機能と市場投入のスピードの重要な前提条件と して優先することを奨励している。時が経てば、エンジニアリングチームは、セキュリティが真にデザインインされ、維持にかかる労力が少なくなるような、新しい定常状態のリズムを確立できるようになるであろう。このような視点を反映して、欧州連合はサイバーレジリエンス法の中で製品セキュリティの重要性を強化し、メーカーが脆弱な製品を市場に投入することを防ぐために、製品のライフサイクルを通じてセキュリティを実装することを強調している。 
To create a future where technology and associated products are safer for customers, the authoring agencies urge manufacturers to revamp their design and development programs to permit only Secure-by-Design and -Default products to be shipped to customers. Products that are Secure-by-Design are those where the security of the customers is a core business goal, not just a technical feature. Secure-by-Design products start with that goal before development starts. Secure-by-Default products are those that are secure to use “out of the box” with little to no configuration changes necessary and security features available without additional cost. Together, these two principles move much of the burden of staying secure to manufacturers and reduce the chances that customers will fall victim to security incidents resulting from misconfigurations, insufficiently fast patching, or many other common issues.   技術や関連製品が顧客にとってより安全である未来を実現するため、機関または省庁は、設計・開発プログラムを見直し、セキュア・バイ・デザインおよびデフォルトの製品のみを顧客に出荷できるようにすることをメーカーに求めている。セキュア・バイ・デザイン製品とは、顧客のセキュリティが単なる技術的特徴ではなく、ビジネスの中核的な目標である製品のことである。セキュア・バイ・デザインの製品は、開発開始前にその目標に着手する。セキュア・バイ・デフォルト製品とは、「箱から出してすぐに」安全に使用できる製品であり、設定の変更はほとんど必要なく、追加コストなしでセキュリティ機能を利用できるものである。この2つの原則を併用することで、安全性を維持するための負担の多くをメーカーに移し、設定ミスや不十分なパッチ適用、その他多くの一般的な問題に起因するセキュリティインシデントに顧客が陥る可能性を低減することができる。 
The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI) and the following international partners[2] provide the recommendations in this guide as a roadmap for technology manufacturers to ensure security of their products:  サイバーセキュリティおよびインフラストラクチャ・セキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)および以下の国際的なパートナー [2]は、技術メーカーが製品のセキュリティを確保するためのロードマップとして、本ガイドの推奨事項を提供する: 
•       Australian Cyber Security Centre (ACSC)  ・オーストラリア・サイバーセキュリティセンター(ACSC)
•       Canadian Centre for Cyber Security (CCCS)  ・カナディアン・センター・フォー・サイバー・セキュリティ(CCCS)
•       United Kingdom’s National Cyber Security Centre (NCSC-UK)  ・英国国立サイバーセキュリティセンター(NCSC-UK)
•       Germany’s Federal Office for Information Security (BSI)  ・ドイツ連邦情報セキュリティ局(BSI)
•       Netherlands’ National Cyber Security Centre (NCSC-NL)  ・オランダ国立サイバーセキュリティセンター(NCSC-NL)
•       Computer Emergency Response Team New Zealand (CERT NZ) and New Zealand’s National Cyber Security Centre (NCSC-NZ).  ・コンピュータ緊急対応チームニュージーランド(CERT NZ)およびニュージーランド国立サイバーセキュリティセンター(NCSC-NZ)。
The authoring agencies recognize the contributions by many private sector partners in advancing security-by-design and security-by-default. This product is intended to progress an international conversation about key priorities, investments, and decisions necessary to achieve a future where technology is safe, secure, and resilient by design and default. Toward that end, the authoring agencies seek feedback on this product from interested parties and intend to convene a series of listening sessions to further refine, specify, and advance our guidance to achieve our shared goals.  機関または省庁は、セキュリティ・バイ・デザインおよびセキュリティ・バイ・デフォルトの推進における多くの民間セクターのパートナーの貢献を認識している。本製品は、設計上およびデフォルトで技術が安全、セキュア、レジリエントである未来を実現するために必要な主要優先事項、投資、意思決定に関する国際的な対話を進めることを目的としている。この目的を達成するため、機関または省庁は、関係者からの本製品に関するフィードバックを求め、また、共通の目標を達成するため、ガイダンスをさらに洗練し、特定し、前進させるために、一連のリスニングセッションを開催する予定である。
For more information on the importance of product safety, see CISA’s article, The Cost of Unsafe Technology and What We Can Do About It.  製品安全の重要性については、CISAの記事「The Cost of Unsafe Technology and What We Can Do About It」を参照のこと。
Secure-by-Design  セキュア・バイ・デザイン 
“Secure-by-Design” means that technology products are built in a way that reasonably protects against malicious cyber actors successfully gaining access to devices, data, and connected infrastructure. Software manufacturers should perform a risk assessment to identify and enumerate prevalent cyber threats to critical systems, and then include protections in product blueprints that account for the evolving cyber threat landscape.   「セキュア・バイ・デザイン」とは、悪意のあるサイバーアクターがデバイス、データ、接続されたインフラへのアクセスを成功させることから合理的に保護する方法で技術製品が構築されていることを意味する。ソフトウェアメーカーは、重要なシステムに対する一般的なサイバー脅威を特定・列挙するリスク評価を行い、進化するサイバー脅威の状況を考慮した保護策を製品の設計図に含める必要がある。 
Secure information technology (IT) development practices and multiple layers of defense— known as defense-in-depth—are also recommended to prevent adversary activity from compromising systems or obtaining unauthorized access to sensitive data. The authoring agencies recommend manufacturers use a tailored threat model during the product development stage to address all potential threats to a system and account for each system’s deployment process.  また、敵によるシステムの侵害や機密データへの不正アクセスを防ぐため、安全な情報技術(IT)開発の実践と多重防御(Defense-in-Depthとして知られている)も推奨されている。機関または省庁は、メーカーが製品開発段階で、システムに対する潜在的なすべての脅威に対応し、各システムの展開プロセ スを考慮したカスタマイズされた脅威モデルを使用することを推奨する。
The authoring agencies urge manufacturers to take a holistic security approach for their products and platforms. Secure-by-Design development requires the investment of significant resources by software manufacturers at each layer of the product design and development process that cannot be “bolted on” later. It requires strong leadership by the manufacturer’s top business executives to make security a business priority, not just a technical feature. This collaboration between business leaders and technical teams extends from the early stages of design and development, through customer deployment and maintenance. Manufacturers are encouraged make hard tradeoffs and investments, including those that will be “invisible” to the customers, such as migrating to programming languages that eliminate widespread vulnerabilities. They should prioritize features, mechanisms, and implementation of tools that protect customers rather than product features that seem appealing but enlarge the attack surface.   機関または省庁は、メーカーが自社の製品やプラットフォームに対して全体的なセキュリティアプローチを取ることを強く求める。セキュア・バイ・デザインの開発には、製品の設計・開発プロセスの各層で、ソフトウェアメーカーが後から「ボルトオン」することのできない重要なリソースを投資することが必要である。また、セキュリティが単なる技術的な特徴ではなく、ビジネス上の優先事項であることを示すために、メーカーのトップビジネスエグゼクティブによる強いリーダーシップが必要である。ビジネスリーダーと技術チームのコラボレーションは、設計・開発の初期段階から、顧客への配備やメンテナンスに至るまで続く。製造業者は、広範な脆弱性を排除するプログラミング言語への移行など、顧客には「見えない」ものも含めて、厳しいトレードオフと投資を行うことが奨励される。また、魅力的に見えるが攻撃対象が広がるような製品機能ではなく、顧客を守るための機能、メカニズム、ツールの実装を優先する必要がある。 
There is no single solution to end the persistent threat of malicious cyber actors exploiting technology vulnerabilities, and products that are “Secure-by-Design” will continue to suffer vulnerabilities; however, a large set of vulnerabilities are due to a relatively small subset of root causes. Manufacturers should develop written roadmaps to align their existing product portfolios with more Secure-by-Design practices, ensuring to only deviate in exceptional situations.  技術の脆弱性を悪意あるサイバーアクターが悪用するという永続的な脅威を終わらせる唯一の解決策はなく、「セキュア・バイ・デザイン」である製品も脆弱性を抱え続けることになる。製造業者は、既存の製品ポートフォリオをよりセキュア・バイ・デザインの実践に合わせるためのロードマップを文書で作成し、例外的な状況においてのみ逸脱することを保証する必要がある。
The authoring agencies acknowledge that taking ownership of the security outcomes for customers and ensuring this level of customer security may increase development costs. However, investing in “Secure-by-Design" practices while developing new technology products and maintaining existing ones can substantially improve the security posture of customers and reduce the likelihood of being compromised. Secure-by-Design principles not only strengthen the security posture for customers and brand reputation for developers but also lowers maintenance and patching costs for manufacturers in the long term.    機関または省庁は、顧客に対するセキュリティ成果のオーナーシップを持ち、このレベルの顧客セキュリティを確保することが、開発コストを増加させる可能性があることを認めている。しかし、新しい技術製品の開発や既存の製品の保守を行う際に「セキュア・バイ・デザイン」の実践に投資することで、顧客のセキュリティ態勢を大幅に改善し、危険にさらされる可能性を低減することができる。セキュア・バイ・デザインの原則は、顧客のセキュリティ態勢や開発者のブランド評価を強化するだけでなく、メーカーにとっても長期的にメンテナンスとパッチ適用のコストを低減することができる。  
The Recommendations for Software Manufacturers section listed below provides a list of recommended product development practices and policies for manufacturers to consider.  以下の「ソフトウェアメーカーへの提言」では、メーカーが考慮すべき推奨される製品開発の実践と方針の一覧を掲載している。
Secure-by-Default  セキュア・バイ・デォルト 
“Secure-by-Default” means products are resilient against prevalent exploitation techniques out of the box without additional charge. These products protect against the most prevalent threats and vulnerabilities without end-users having to take additional steps to secure them. Secure-by-Default products are designed to make customers acutely aware that when they deviate from safe defaults, they are increasing the likelihood of compromise unless they implement additional compensating controls.  「セキュア・バイ・デォルト 」 とは、一般的な悪用攻撃に対して、追加費用なしにすぐに使用できる製品を意味する。これらの製品は、エンドユーザーがセキュリティを確保するために追加の手順を踏むことなく、最も一般的な脅威や脆弱性から保護する。セキュア・バイ・デォルト 製品は、安全なデフォルト設定から外れた場合、追加の補償コントロールを実装しない限り、侵害の可能性が高まることを顧客に強く認識させるように設計されている。
•       A secure configuration should be the default baseline. Secure-by-Default products automatically enable the most important security controls needed to protect enterprises from malicious cyber actors, as well as provide the ability to use and further configure security controls at no additional cost. ・安全な構成はデフォルトのベースラインであるべきである。セキュア・バイ・デォルト製品は、悪意のあるサイバー行為者から企業を保護するために必要な最も重要なセキュリティ制御を自動的に有効にし、さらに追加費用なしでセキュリティ制御を使用し、さらに構成する能力を提供する。
•       The complexity of security configuration should not be a customer problem. Organizational IT staff are frequently overloaded with security and operational responsibilities, thus resulting in limited time to understand and implement the security implications and mitigations required for a robust cybersecurity posture. Through optimizing secure product configuration—securing the “default path”— manufacturers can aid their customers by ensuring their products are manufactured, distributed, and used securely in accordance with “Secure-by-Default” standards. ・セキュリティ設定の複雑さは、お客様の問題であってはならない。組織のITスタッフは、セキュリティと運用の責任に追われることが多く、その結果、強固なサイバーセキュリティ態勢に必要なセキュリティの意味と緩和策を理解し、実装する時間が限られている。メーカーは、セキュアな製品構成を最適化し、「デフォルトパス」を確保することで、「セキュア・バイ・デフォルト」基準に従って製品が安全に製造、配布、使用されることを保証し、顧客を支援することができる。
Manufacturers of products that are “Secure-by-Default” do not charge extra for implementing additional security configurations. Instead, they include them in the base product like seatbelts are included in all new cars. Security is not a luxury option but is closer to the standard every customer should expect without negotiating or paying more.  「セキュア・バイ・デォルト 」製品のメーカーは、追加のセキュリティ設定を実装するために追加費用を請求することはない。その代わり、すべての新車にシートベルトが装備されているように、基本製品に含まれている。セキュリティは贅沢なオプションではなく、交渉や追加費用を支払うことなく、すべての顧客が期待すべき標準に近いものである。
RECOMMENDATIONS FOR SOFTWARE MANUFACTURERS  ソフトウェアメーカーへの提言 
This joint guide provides recommendations to manufacturers for developing a written roadmap to implement and ensure IT security. The authoring agencies recommend software manufacturers implement the strategies outlined in the sections below to take ownership of the security outcomes of their customers through Secure-by-Design and -Default principles.  この共同ガイドは、IT セキュリティを実装し確保するためのロードマップを文書化し、製造業者に推奨するものである。著者である機関 省は、ソフトウェア製造者が、セキュア・バイ・デザインおよびデフォルトの原則を通じて、顧客のセキュリ ティ成果のオーナーシップを持つために、以下のセクションで説明する戦略を実施することを推奨する。
Software Product Security Principles  ソフトウェア製品のセキュリティ原則 
Technology manufacturers are encouraged to adopt a strategic focus that prioritizes software security. The authoring agencies developed the below three core principles to guide software manufacturers in building software security into their design processes prior to developing, configuring, and shipping their products.  技術メーカーは、ソフトウェアセキュリティを優先する戦略的焦点を採用することが推奨される。機関または省庁は、ソフトウェアメーカーが製品の開発、構成、出荷に先立ち、ソフトウェアセキュリティを設計プロセ スに組み込む際の指針として、以下の3つの基本原則を策定しました。
1.    The burden of security should not fall solely on the customer. Software manufacturers should take ownership of the security outcomes of their customer’s purchase and evolve their products accordingly. 1.    セキュリティの負担を顧客だけに負わせるべきではない。ソフトウェアメーカーは、顧客が購入した製品のセキュリティの結果について責任を持ち、それに応じて製品を進化させるべきである。
2.    Embrace radical transparency and accountability. Software manufacturers should pride themselves in delivering safe and secure products, as well as differentiating themselves among the rest of the manufacturer community based on their ability to do so. This may include sharing information they learn from their customer deployments, such as the uptake of strong authentication mechanisms by default. It also includes a strong commitment to ensure vulnerability advisories and associated common vulnerability and exposure (CVE) records are complete and accurate. However,  of the temptation to count CVEs as a negative metric, since such numbers are also a sign of a healthy code analysis and testing community.   2.    透明性と説明責任を受け入れる。ソフトウェアメーカーは、安全でセキュアな製品を提供することに誇りを持ち、その能力によって他のメーカーコミュニティと差別化する必要がある。これには、強力な認証メカニズムをデフォルトで採用しているなど、顧客の導入から学んだ情報を共有することも含まれる。また、脆弱性アドバイザリや関連する共通脆弱性・暴露(CVE)記録が完全かつ正確であることを保証するための強いコミットメントも含まれる。しかし、CVEをネガティブな指標としてカウントする誘惑に負けないこと。このような数値は、健全なコード分析およびテストコミュニティの証でもある。 
3. Build organizational structure and leadership to achieve these goals. While technical subject matter expertise is critical to product security, senior executives are the primary decision makers for implementing change in an organization. Executive-level commitment for software manufacturers to prioritize security as a critical element of product development requires the development of partnerships with an organization’s customers to understand: 3. これらの目標を達成するための組織体制とリーダーシップを構築する。製品セキュリティには技術的な専門知識が不可欠であるが、組織の変革を実施するための主要な意思決定者は上級管理職である。ソフトウェアメーカーが製品開発の重要な要素としてセキュリティを優先することを幹部レベルで約束するには、組織の顧客とパートナーシップを築き、理解を深めることが必要である:
a.     The product deployment scenario guidance along with tailored threat model a.     製品導入シナリオのガイダンスと、カスタマイズされた脅威モデル
b.     Proposed implementation for security controls to align to Secure-by-Default principles b.     セキュア・バイ・デフォルトの原則に沿ったセキュリティ制御の実装案
c.     Resource allocation strategies tailored to company size and the ability to replace legacy development practices with Secure-by-Design practices c.     企業規模に合わせた資源配分戦略、レガシーな開発手法をセキュア・バイ・デザインに置き換える能力
d.     The need to maintain an open line of communication for feedback internallyand externally (e.g., employee and customer feedback) regarding product security issues. Software security should be emphasized in internal forums (e.g., all-hands or brown bags), as well as external product marketing and customer engagement d.     製品のセキュリティ問題に関する社内外のフィードバック(従業員や顧客からのフィードバックなど)のために、オープンなコミュニケーションラインを維持する必要がある。ソフトウェアセキュリティは、社内フォーラム(例:オールハンドやブラウンバッグ)、社外の製品マーケティングや顧客エンゲージメントで強調する必要がある。
e.     Measurements of effectiveness within customer deployments. Senior executiveleaders will want to know where investments in security by design and default are helping customers by slowing the pace of security patches, reducing configuration errors, and minimizing attack surface. e.     顧客の配備における有効性の測定。シニアエグゼクティブリーダーは、セキュリティパッチの適用ペースを遅らせたり、設定エラーを減らしたり、攻撃対象領域を最小化したりすることで、セキュリティバイデザインとデフォルトへの投資が顧客の役に立っていることを知りたいと思うだろう。
To enable these three principles, manufacturers should consider several operational tactics to evolve their development processes.  これらの3つの原則を実現するために、メーカーは、開発プロセスを進化させるためのいくつかの運用戦術を検討する必要がある。
Convene routine meetings with company executive leadership to drive the importance of Secure-by-Design and Secure-by-Default within the organization. Policies and procedures should be established to reward production teams that develop products adhering to these principles, which could include awards for implementing outstanding software security practices or incentives for job ladders and promotion criteria.  セキュア・バイ・デザインとセキュア・バイ・デフォルトの重要性を組織内に浸透させるため、会社の経営幹部と定期的にミーティングを行う。これらの原則に準拠した製品を開発した製造チームに報いるための方針と手順を確立する。この方針と手順には、優れたソフトウェアセキュリティの実践に対する表彰や、職階や昇進基準に対するインセンティブを含めることができる。
Operate around the importance of software security to business success. For example, consider assigning a “software security leader” or a “software security team” that upholds business and IT practices to directly link software security standards and manufacturer accountability. Manufacturers should ensure they have robust, independent product security assessment and evaluation programs for their products.  事業の成功に対するソフトウエアセキュリティの重要性を中心に運営する。例えば、「ソフトウエアセキュリティリーダー」や、ビジネスと IT の実践を支持する「ソフトウエアセキュリティチーム」を配置し、ソフトウ エアセキュリティ基準とメーカーの説明責任を直接関連付けることを検討する。製造業者は、自社製品について、強固で独立した製品セキュリティ評価及び評価プログラムを確実に実施する。
Use a tailored threat model during development to prioritize the most critical and high-impact  開発時にカスタマイズされた脅威モデルを使用し、最も重要で影響度の高いものを優先する。
products. Threat models consider a product’s specific use-case and enables development teams to fortify products. Finally, senior leadership should hold teams accountable for delivering secure products as a key element of product excellence and quality.  製品を強化することができる。脅威モデルは、製品の特定のユースケースを考慮し、開発チームが製品を強化することを可能にする。最後に、シニアリーダーは、製品の卓越性と品質の重要な要素として、安全な製品を提供する責任をチームに負わせる必要がある。
Secure-by-Design Tactics  セキュア・バイ・デザインの戦術 
The Secure Software Development Framework (SSDF), also known as National Institute of Standards and Technology’s (NIST) SP 800-218, is a core set of high-level secure software development practices that can be integrated into each stage of the software development lifecycle (SDLC). Following these practices can help software producers become more effective at finding and removing vulnerabilities in released software, mitigate the potential impact of the exploitation of vulnerabilities, and address the root causes of vulnerabilities to prevent future recurrences.  Secure Software Development Framework (SSDF) は、国立標準技術研究所 (NIST) の SP 800-218 としても知られており、ソフトウェア開発ライフサイクル (SDLC) の各段階に統合できる、高レベルの安全なソフトウェア開発プラクティスのコアセットである。これらのプラクティスに従うことで、ソフトウェアメーカーは、リリースされたソフトウェアの脆弱性の発見と除去をより効果的に行い、脆弱性の悪用による潜在的な影響を軽減し、脆弱性の根本原因に対処して将来の再発を防止することができる。
The authoring agencies encourage the use of Secure-by-Design tactics, including principles that reference SSDF practices. Software manufacturers should develop a written roadmap to adopt more Secure-by-Design software development practices across their portfolio. The following is a non-exhaustive list of illustrative roadmap best practices:  作成機関は、SSDFの実践を参照する原則を含め、セキュア・バイ・デザインの戦術を使用することを推奨する。ソフトウェアメーカーは、ポートフォリオ全体でより多くのセキュア・バイ・デザインのソフトウェア開発手法を採用するために、書面によるロードマップを作成する必要がある。以下は、ロードマップのベストプラクティスを例示する非網羅的なリストである: 
•       Memory safe programming languages (SSDF PW.6.1): Prioritize the use of memory safe languages wherever possible. The authoring agencies acknowledge that other memory specific mitigations, such as address space layout randomization (ASLR), control-flow integrity (CFI), and fuzzing are helpful for legacy codebases, but insufficient to be viewed as secure-by-design as they do not adequately prevent exploitation. Some examples of modern memory safe languages include C#, Rust, Ruby, Java, Go, and Swift. Read NSA’s memory safety information sheet for more. ・メモリ安全プログラミング言語(SSDF PW.6.1): メモリ安全プログラミング言語(SSDF PW.6.1):可能な限り,メモリ安全言語の使用を優先する。メモリ安全プログラミング言語(SSDF PW.6.1):可能な限りメモリ安全言語の使用を優先すること。アドレス空間レイアウト無作為化(ASLR),制御フロー完全性(CFI),ファジングなどのメモリ特有の緩和策は,レガシーコードベースには有用だが,悪用を十分に防止できないため,セキュア・バイ・デザインとして見るには不十分であることを,作成機関は認めている。最新のメモリ安全言語の例としては,C#,Rust,Ruby,Java,Go,Swiftなどがある。詳しくは,NSAのメモリ安全性情報シートを参照のこと。
•       Secure Hardware Foundation: Incorporate architectural features that enable finegrained memory protection, such as those described by Capability Hardware Enhanced RISC Instructions (CHERI) that can extend conventional hardware Instruction-Set Architectures (ISAs). For more information visit, University of Cambridge’s CHERI webpage. ・セキュアなハードウェア基盤: 従来のハードウェア命令セットアーキテクチャ(ISA)を拡張できるCapability Hardware Enhanced RISC Instructions(CHERI)に代表される、きめ細かいメモリ保護を可能にするアーキテクチャ機能を搭載する。詳しくは、ケンブリッジ大学のCHERIウェブページを参照のこと。
•       Secure Software Components (SSDF PW 4.1): Acquire and maintain well-secured software components (e.g., software libraries, modules, middleware, frameworks,) from verified commercial, open source, and other third-party developers to ensure robust security in consumer software products. - 安全なソフトウェア部品 (SSDF PW 4.1): 消費者向けソフトウェア製品の強固なセキュリティを確保するため、安全性の高いソフトウェアコンポーネント(ソフトウェアライブラリ、モジュール、ミドルウェア、フレームワークなど)を、検証済みの商用、オープンソース、その他のサードパーティ開発者から取得し、維持する。
•       Web template frameworks (SSDF PW.5.1): Use web template frameworks that implement automatic escaping of user input to avoid web attacks such as cross-site scripting. ・ウェブテンプレートフレームワーク(SSDF PW.5.1): クロスサイトスクリプティングなどのWeb攻撃を回避するために,ユーザー入力の自動エスケープを実装したWebテンプレートフレームワークを使用する。
•       Parameterized queries (SSDF PW 5.1): Use parameterized queries rather than including user input in queries, to avoid SQL injection attacks. ・パラメータ化されたクエリ(SSDF PW 5.1) SQLインジェクション攻撃を回避するため、クエリにユーザー入力を含めず、パラメータ化されたクエリを使用する。
•       Static and dynamic application security testing (SAST/DAST) (SSDF PW.7.2, PW.8.2):  - 静的および動的アプリケーションセキュリティテスト(SAST/DAST)(SSDF PW.7.2、 PW.8.2): 
Use these tools to analyze product source code and application behavior to detect error-prone practices. These tools cover issues ranging from improper management of memory to error prone database query construction (e.g., unescaped user input leading to SQL injection). SAST and DAST tools can be incorporated into development processes and run automatically as part of software development. SAST and DAST should complement other types of testing, such as unit testing and integration testing, to ensure products comply with expected security requirements. When issues are identified, manufacturers should perform root-cause analysis to systemically address vulnerabilities.  これらのツールを使用して、製品のソースコードやアプリケーションの動作を分析し、エラーとなりやすい行為を検出する。これらのツールは、メモリの不適切な管理から、エラーを起こしやすいデータベースクエリの構築(例えば、SQLインジェクションにつながるエスケープされていないユーザー入力)までの問題をカバーしている。SAST および DAST ツールは、開発プロセスに組み込むことができ、ソフトウェア開発の一部として自動的に実行されます。SAST と DAST は、製品が期待されるセキュリティ要件に適合していることを確認するために、単体テストや統合テ ストなど、他の種類のテストを補完する必要がある。問題が特定された場合、製造者は根本原因分析を実施し、脆弱性に体系的に対処する必要がある。
•       Code review (SSDF PW.7.1, PW.7.2): Strive to ensure that code submitted into products goes through peer review by other developers to ensure higher quality. ・コードレビュー(SSDF PW.7.1, PW.7.2): 製品に含まれるコードが,他の開発者によるピアレビューを受け,より高い品質を確保するよう努める。
•       Software Bill of Materials (SBOM) (SSDF PS.3.2, PW.4.1): Incorporate the creation of SBOM[3] to provide visibility into the set of software that goes into products. ・ソフトウェア部品表(SBOM)(SSDF PS.3.2、 PW.4.1): SBOM[3]の作成を取り入れ、製品に搭載される一連のソフトウェアの可視性を提供する。
•       Vulnerability disclosure programs (SSDF RV.1.3): Establish vulnerability disclosure programs that allow security researchers to report vulnerabilities and receive legal safe harbor in doing so. As part of this, suppliers should establish processes to determine root causes of discovered vulnerabilities. Such processes should include determining whether adopting any of the Secure-by-Design practices in this document (or other similar practices) would have prevented the introduction of the vulnerability. ・脆弱性開示プログラム(SSDF RV.1.3): セキュリティ研究者が脆弱性を報告し、その際に法的なセーフハーバーを受けられるような脆弱性開示プログラムを確立する。この一環として、サプライヤーは、発見された脆弱性の根本原因を特定するプロセスを確立する必要がある。このようなプロセスには、本文書におけるセキュア・バイ・デザインの実践(または他の類似の実践)のいずれかを採用すれば、脆弱性の導入を防ぐことができたかどうかを判断することが含まれるべきである。
•       CVE completeness: Ensure that published CVEs include root cause or common weakness enumeration (CWE) to enable industry-wide analysis of software security root causes. While ensuring that every CVE is correct and complete can take extra time, it allows disparate entities to spot industry trends that benefit all manufacturers and customers. For more information on managing vulnerabilities, see CISA’s Stakeholderspecific SVCC guidance. ・CVE の完全性: ソフトウェアセキュリティの根本原因を業界全体で分析できるように、公開されたCVEに根本原因または共通弱点列挙(CWE)が含まれていることを確認する。すべてのCVEが正しく、完全であることを確認するためには、余分な時間がかかることもあるが、異質な団体が業界の動向を把握することができ、すべてのメーカーと顧客に利益をもたらする。脆弱性管理の詳細については、CISAのステークホルダー別SVCCガイダンスをご覧ください。
•       Defense-in-Depth: Design infrastructure so that the compromise of a single security control does not result in compromise of the entire system. For example, ensuring that user privileges are narrowly provisioned and access control lists are employed can reduce the impact of a compromised account. Also, software sandboxing techniques can quarantine a vulnerability to limit compromise of an entire application. ・徹底的な防御: 単一のセキュリティ制御が侵害されても,システム全体が侵害されないようにインフラを設計する。例えば,ユーザー特権を限定的にプロビジョニングし,アクセス制御リストを採用することで,侵害されたアカウントの影響を軽減することができる。また,ソフトウェアのサンドボックス化技術により,脆弱性を隔離し,アプリケーション全体の侵害を抑制することができる。
•       Satisfy Cyber Performance Goals (CPGs): Design products that meet basic security practices. CISA’s Cybersecurity Performance Goals outline fundamental, baseline cybersecurity measures organizations should implement. Additionally, for more ways to strengthen your organization’s posture, see the UK’s Cyber Assessment Framework which shares similarities to CISA’s CPGs. If a manufacturer fails to meet the CPGs— such as not requiring phishing-resistant multi-factor authentication for all employees— then they cannot be seen as delivering Secure-by-Design products.   ・サイバーパフォーマンスゴール(CPG)を満足させる: 基本的なセキュリティ対策に適合した製品を設計する。CISAのCybersecurity Performance Goalsは、組織が実施すべき基本的なサイバーセキュリティ対策について概説している。さらに、組織の態勢を強化する方法として、CISAのCPGと共通する英国のCyber Assessment Frameworkを参照してください。メーカーがCPGを満たしていない場合(例えば、フィッシングに強い多要素認証を全社員に要求していない場合)、セキュリティ・バイ・デザイン製品を提供しているとは見なされません。 
The authoring agencies recognize that these changes are significant shifts in an organization’s posture. As such, their introduction should be prioritized based on criticality, complexity, and business impact. These practices can be introduced for new software and incrementally expanded to cover additional use cases and products. In some cases, the criticality and risk posture of a certain product may merit an accelerated schedule to adopt these practices. In others, practices can be introduced into a legacy codebase and remediated over time.  機関または省庁は、これらの変更が組織の態勢を大きく変化させるものであることを認識している。そのため、その導入は、重要性、複雑性、およびビジネスへの影響に基づいて優先的に行われる必要がある。これらのプラクティスは、新しいソフトウェアに導入し、追加のユースケースや製品に適用するために段階的に拡大することができる。場合によっては、ある製品の重要性とリスクポストを考慮し、これらのプラクティスを導入するスケジュールを早めることができる。また、レガシーコードベースにプラクティスを導入し、時間をかけて改善することも可能である。
Secure-by-Default Tactics  セキュア・バイ・デフォルトの戦術
In addition to adopting Secure-by-Design development practices, the authoring agencies recommend software manufacturers prioritize Secure-by-Default configurations in their products. These should strive to update products to conform to these practices as they are refreshed. For example:  機関または省庁は、セキュア・バイ・デザインの開発手法を採用することに加え、ソフトウェアメーカーが自社製品において セキュア・バイ・デフォルト構成を優先することを推奨する。また、ソフトウェアメーカーは、製品が更新されるたびに、これらのプラクティスに適合するように更新するよう努めるべきである。例えば、以下のようなことである: 
•       Eliminate default passwords: Products should not come with default passwords that are universally shared. To eliminate default passwords, the authoring agencies recommend products require administrators to set a strong password during installation and configuration. ・デフォルトのパスワードをなくす: 製品に,一般的に共有されるデフォルトのパスワードが付属しているべきではない。デフォルトのパスワードをなくすために,機関または省庁は,製品のインストールと設定の際に,管理者が強力なパスワードを設定することを義務付けることを推奨する。
o Mandate Multifactor Authentication (MFA) for privileged users. We observe that many enterprise deployments are managed by administrators who have not protected their accounts with MFA. Given that administrators are high value targets, products should make MFA opt-out rather than opt-in. Further, the system should regularly prompt the administrator to enroll in MFA until they have successfully enabled it on their account.  Netherlands’ NCSC has guidance that parallels CISA’s, visit their Mature Authentication Factsheet for more information. o 特権ユーザーに対する多要素認証(MFA)の義務付け。私たちは、多くの企業で、MFA でアカウントを保護していない管理者によって管理されていることを確認している。管理者は高価なターゲットであるため、製品は MFA をオプトインではなく、オプトアウトにする必要がある。さらに、管理者が自分のアカウントで MFA を有効にするまで、システムは定期的に MFA への登録を促す必要がある。 オランダのNCSCは、CISAのガイダンスと類似したガイダンスを提供している。詳細については、Mature Authentication Factsheetを参照のこと。
•       Single sign-on (SSO): IT applications should implement single sign on technology via modern open standards. Examples include Security Assertion Markup Language (SAML) or OpenID Connect (OIDC.) This capability should be made available by default at no additional cost. ・シングルサインオン(SSO): ITアプリケーションは,最新のオープンスタンダードを通じてシングルサインオン技術を実装する必要がある。この機能は,デフォルトで追加コストなしに利用できるようにする必要がある。
•       Secure Logging: Provide high-quality audit logs to customers at no extra charge. Audit logs are crucial for detecting and escalating potential security incidents. They are also crucial during an investigation of a suspected or confirmed security incident. Consider best practices such as providing easy integration with security information and event management (SIEM) systems with application programming interface (API) access that uses coordinated universal time (UTC), standard time zone formatting, and robust documentation techniques. ・安全なロギング: 高品質の監査ログを追加費用なしで顧客に提供する。監査ログは、潜在的なセキュリティインシデントを検出し、エスカレートさせるために重要である。また、セキュリティインシデントが疑われる、あるいは確認された場合の調査においても、監査ログは極めて重要である。セキュリティ情報およびイベント管理(SIEM)システムとの統合を容易にするため、協定世界時(UTC)を使用したアプリケーションプログラミングインターフェース(API)アクセス、標準タイムゾーンフォーマット、堅牢な文書化技術などのベストプラクティスを考慮する。
•       Software Authorization Profile: Software suppliers should provide recommendations on authorized profile roles and their designated use case. Manufacturers should include a visible warning that notifies customers of an increased risk if they deviate from the recommended profile authorization. For example: Medical doctors can view all patient records, but a medical scheduler has limited access to address information required for scheduling appointments. ・ソフトウェアの認証プロファイル: ソフトウェア供給者は,認可されたプロファイルの役割とその指定されたユースケースに関する推奨事項を提供すべきである。製造者は,推奨されるプロファイルの承認から外れた場合,リスクが増大することを顧客に通知する目に見える警告を含めるべきである。例えば,以下のような場合である: 医師はすべての患者記録を閲覧できるが,医療スケジューラーは予約に必要な住所情報へのアクセスは制限されている。
•       Forward-looking security over backwards compatibility: Too often, backwardscompatible legacy features are included, and often enabled, in products despite causing risks to product security. Prioritize security over backwards compatibility, empowering security teams to remove insecure features even if it means causing breaking changes. ・後方互換性よりも将来を見据えたセキュリティ: 後方互換性のあるレガシー機能が,製品のセキュリティにリスクをもたらすにもかかわらず,製品に含まれ,しばしば有効化されることがある。後方互換性よりもセキュリティを優先し,セキュリティチームには,たとえ変更を余儀なくされても,安全でない機能を削除する権限を与える。
•       Track and reduce “hardening guide” size: Reduce the size of “hardening guides” produced for products and strive to ensure that the size shrinks over time as new versions of the software are released. Integrate components of the “hardening guide” as the default configuration of the product. The authoring agencies recognize that shortened hardening guides result from ongoing partnership with existing customers and include efforts by many product teams, including user experience (UX). ・「ハーデニング・ガイド」のサイズを追跡し、縮小する: 製品のために作成される「ハーデニング・ガイド」のサイズを縮小し、ソフトウェアの新バージョンがリリースされるにつれてサイズが縮小されるように努力する。「ハーデニング・ガイド」の構成要素を、製品のデフォルト構成として統合する。短縮されたハーデニング・ガイドは、既存顧客との継続的なパートナーシップから生まれ、ユーザエクスペリエンス(UX)を含む多くの製品チームによる努力を含んでいることを、作成機関は認識する。
•       Consider the user experience consequences of security settings: Each new setting increases the cognitive burden on end users and should be assessed in conjunction with the business benefit it derives. Ideally, a setting should not exist; instead, the most secure setting should be integrated into the product by default. When configuration is necessary, the default option should be broadly secure against common threats. ・セキュリティ設定がもたらすユーザーエクスペリエンスを考慮する: 新しい設定が増えるたびに,エンドユーザの認知的負担が増えるので,それがもたらすビジネス上の利益と合わせて評価する必要がある。その代わりに,最も安全な設定がデフォルトで製品に統合されていることが理想的である。設定が必要な場合,デフォルトのオプションは,一般的な脅威に対して広く安全であるべきである。
The authoring agencies acknowledge these changes may have operational effects on how the software is employed. Thus, customer input is critical in balancing operational and security considerations. The authoring agencies believe that developing written roadmaps and executive support that prioritize these ideas into an organization’s most critical products is the first step to shifting towards secure software development practices. While customer input is important, the authoring agencies have observed important cases where customers have been unwilling or unable to adopt improved standards, often network protocols. It is important for the manufacturers to create meaningful incentives for customers to stay current and not allow them to remain vulnerable indefinitely.  オーサリング機関は、これらの変更がソフトウェアの使用方法に運用上の影響を及ぼす可能性があることを認識している。したがって、運用とセキュリティの考慮のバランスをとるためには、顧客の意見が重要である。機関または省庁は、これらのアイデアを組織の最も重要な製品に優先的に組み込むロードマップの作成と経営陣の支援は、安全なソフトウェア開発手法に移行するための最初のステップであると信じている。顧客の意見は重要であるが、機関 省庁は、顧客が改善された標準(多くの場合、ネットワークプロトコル)を採用したがらないか、採用できない重要な事例を観察してきた。製造者は、顧客が最新技術を採用するための有意義なインセンティブを作り、いつまでも脆弱なままにしておかないことが重要である。
HARDENING VS LOOSENING GUIDES   ハーデニング・ガイドとルースニング・ガイド
Hardening guides may result from the lack of product security controls being embedded into a product’s architecture from the start of development. Consequently, hardening guides can also be a roadmap for adversaries to pinpoint and exploit insecure features. It is common for many organizations to be unaware of hardening guides, thus they leave their device configuration settings in an insecure posture. An inverted model known as a loosening guide should replace such hardening guides and explain which changes users should make while also listing the resulting security risks.  ハーデニング・ガイドは、製品のセキュリティ管理が開発当初から製品のアーキテクチャに組み込まれていないことに起因する場合がある。その結果、ハーデニング・ガイドは、敵が安全でない機能をピンポイントで悪用するためのロードマップとなる可能性もある。多くの組織では、ハーデニング・ガイドを知らないために、デバイスの構成設定を安全でない状態のままにしておくことが一般的である。ルースニング・ガイドと呼ばれる逆モデルが、このようなハーデニング・ガイドに取って代わり、ユーザーが行うべき変更を説明し、その結果生じるセキュリティリスクも列挙する必要がある。
Rather than developing hardening guides that list methods for securing products, the authoring agencies recommend software manufacturers shift to a Secure-by-Default approach by providing loosening guides. These guides explain the business risk of decisions in plain, understandable language, and can raise organizational awareness of risks to malicious cyber intrusions. Security tradeoffs should be determined by the customers’ senior executives, balancing security with other business requirements.  機関または省庁は、製品の安全性を確保するための方法を列挙したハーデニング・ガイドを開発するのではなく、ルースニング・ガイドを提供することによって、ソフトウェアメーカーがセキュア・バイ・デフォルトのアプローチに移行することを推奨する。これらのガイドは、決定事項のビジネスリスクを分かりやすい言葉で説明し、悪意のあるサイバー侵入に対するリスクに対する組織の意識を高めることができる。セキュリティのトレードオフは、顧客の上級管理職が、セキュリティと他のビジネス要件のバランスを取りながら決定する必要がある。
RECOMMENDATIONS FOR CUSTOMERS  顧客への提言 
The authoring agencies recommend organizations hold their supplying technology manufacturers accountable for the security outcomes of their products. As part of this, the authoring agencies recommend that organizational executives prioritize the importance of purchasing Secure-by-Design and Secure-by-Default products. This can manifest through establishing policies requiring that IT departments assess the security of manufacturer software before it is purchased, as well as empowering IT departments to push back if necessary. IT departments should be empowered to develop purchasing criteria that emphasize the importance of Secure-by-Design and Secure-by-Default practices (both those outlined in this document and others developed by the organization). Furthermore, IT departments should be supported by executive management when enforcing these criteria in purchasing decisions. Organizational decisions to accept the risks associated with specific technology products should be formally documented, approved by a senior business executive, and regularly presented to the Board of Directors.   機関または省庁は、組織が、供給する技術メーカーに、自社製品のセキュリティの結果について責任を負わせることを推奨する。その一環として、機関または省庁は、組織の幹部がセキュア・バイ・デザインおよびセキュア・バイ・デフォルトの製品を購入することの重要性を優先することを推奨する。これは、IT部門がメーカー製ソフトウェアを購入する前にそのセキュリティを評価することを義務付ける方針を確立することや、必要に応じてIT部門を後押しする権限を与えることで実現できる。IT部門は、セキュア・バイ・デザインとセキュア・バイ・デフォルトの重要性を強調する購買基準(本書で概説したものと組織が開発したその他のものの両方)を策定する権限を与えられるべきである。さらに、IT部門は、購買決定においてこれらの基準を実施する際に、経営陣の支援を受けるべきである。特定の技術製品に関連するリスクを受け入れるという組織の決定は、正式に文書化し、上級経営者の承認を得て、定期的に取締役会に提示する必要がある。 
Key enterprise IT services that support the organization’s security posture, such as the enterprise network, enterprise identity and access management, and security operations and response capabilities, should be seen as critical business functions that are funded to align with their importance to the organization’s mission success. Organizations should develop a plan to upgrade these capabilities to leverage manufacturers that embrace Secure-by-Design and Secure-by-Default practices.  組織のセキュリティ体制を支える主要な企業向け IT サービス(企業ネットワーク、企業 ID 及びアクセス管理、セキュリティ運用及び対応機能など)は、重要なビジネス機能として捉え、組織のミッションの成功に対する重要性に応じて資金を提供する必要がある。組織は、セキュア・バイ・デザイン及びセキュア・バイ・デフォルトを採用するメーカーを活用するために、これらの機能をアップグレードする計画を策定する必要がある。
Where possible, organizations should strive to forge strategic partnership relationships with their key IT suppliers. Such relationships include trust at multiple levels of the organization and provide vehicles to resolve issues and identify shared priorities. Security should be a critical element of such relationships and organizations should strive to reinforce the importance of Secure-by-Design and Secure-by-Default practices in both the formal (e.g., contracts or vendor agreements) and informal dimensions of the relationship. Organizations should expect transparency from their technology suppliers about their internal control posture as well as their roadmap towards adopting Secure-by-Design and Secure-by-Default practices.  可能であれば、組織は主要なITサプライヤーと戦略的なパートナーシップ関係を構築するよう努めるべきである。このような関係には、組織の複数のレベルでの信頼関係が含まれ、問題を解決し、共有する優先事項を特定するための手段を提供する。セキュリティは、このような関係の重要な要素であり、組織は、関係の公式な側面(契約やベンダー契約など)と非公式な側面の両方において、セキュア・バイ・デザインとセキュア・バイ・デフォルトの実践の重要性を強化するよう努めるべきである。組織は、内部統制の態勢や、セキュア・バイ・デザインおよびセキュア・バイ・デフォルト の導入に向けたロードマップについて、テクノロジーサプライヤが透明性を確保することを期待すべきである。
In addition to making Secure-by-Default a priority within an organization, IT leaders should collaborate with their industry peers to understand which products and services best embody these design principles. These leaders should coordinate their requests to help manufacturers prioritize their upcoming security initiatives.  By working together, customers can help provide meaningful input to manufacturers and create incentives for them to prioritize security.    IT リーダーは、組織内でセキュア・バイ・デフォルトを優先することに加え、同業他社と連携して、これらの設計原則を最もよく体現している製品やサービスを理解する必要がある。これらのリーダーは、メーカーが今後のセキュリティ対策に優先順位をつけられるように、要望を調整する必要がある。 協力することで、顧客はメーカーに有意義な意見を提供し、メーカーがセキュリティを優先するためのインセンティブを生み出すことができる。  
When leveraging cloud systems, organizations should ensure they understand the shared responsibility model with their technology supplier. That is, organizations should have clarity on the supplier's security responsibilities rather than just the customer’s responsibilities. Organizations should prioritize cloud providers that are transparent about their security posture, internal controls, and ability to live up to their obligations under the shared responsibility model.   クラウドシステムを活用する場合、組織は、技術サプライヤーとの責任共有モデルを確実に理解する必要がある。つまり、顧客の責任だけでなく、サプライヤーのセキュリティ責任についても明確にしておく必要がある。組織は、セキュリティ態勢、内部統制、および責任共有モデルの下で義務を果たす能力について透明性のあるクラウド・プロバイダを優先すべきである。 

 

 

 

 

| | Comments (0)

2023.04.14

EDPB Metaによる米国への個人データ転送に関する紛争解決、Chat GPTに関するタスクフォースを設置

こんにちは、丸山満彦です。

ChatGPTを提供しているOpenAI社に対する、プライバシー法違反の疑いでイタリア、スペイン、カナダですでに調査が始まったこともあり、欧州のGDPBがChatGPT問題に対するタスクフォースを立ち上げるようですね。。。

 

⚫︎ EDPB

・2023.04.13 EDPB resolves dispute on transfers by Meta and creates task force on Chat GPT

EDPB resolves dispute on transfers by Meta and creates task force on Chat GPT EDPB、Metaによる転送に関する紛争を解決、Chat GPTに関するタスクフォースを設置
Brussels, 13 April - The EDPB adopted a dispute resolution decision on the basis of Art. 65 GDPR concerning a draft decision of the IE DPA on the legality of data transfers to the United States by Meta Platforms Ireland Limited (Meta IE) for its Facebook service. The binding decision addresses important legal questions arising from the draft decision of the Irish DPA as lead supervisory authority (LSA) regarding Meta IE. The EDPB binding decision plays a key role in ensuring the correct and consistent application of the GDPR by the national Data Protection Authorities. ブリュッセル、4月13日 - EDPBは、GDPR第65条に基づく紛争解決決定を採択したMeta Platforms Ireland Limited (Meta IE)によるFacebookサービスのための米国へのデータ転送の合法性に関するIE DPAの決定草案に関する紛争解決決定を採択した。この拘束力のある決定は、Meta IEに関するアイルランドDPAの主管庁(LSA)としての決定案から生じる重要な法的問題に対処するものである。EDPBの拘束力のある決定は、各国のデータ保護当局によるGDPRの正確かつ一貫した適用を保証する上で重要な役割を果たす。
As no consensus was reached on the objections lodged by several DPAs, the EDPB was called upon to settle the dispute between the DPAs within two months. 複数のDPAが申し立てた異議申し立てについて合意に至らなかったため、EDPBはDPA間の紛争を2ヶ月以内に解決するよう要請された。
More specifically, in its binding decision, the EDPB settles the dispute on whether an administrative fine and/or an additional order to bring processing into compliance must be included in the Irish DPA’s final decision.   具体的には、EDPBはその拘束力のある決定において、アイルランドDPAの最終決定に行政罰および/または処理を遵守させるための追加命令が含まれなければならないかどうかについての論争を解決するものである。 
The LSA shall adopt its final decision, addressed to the controller, on the basis of the EDPB binding decision taking into account the EDPB's legal assessment, at the latest one month after the EDPB has notified its decision. The EDPB will publish its decision on its website after the LSA has notified its national decision to the controller. LSAは、EDPBの拘束力のある決定に基づいて、EDPBの法的評価を考慮し、遅くともEDPBがその決定を通知してから1ヶ月以内に、管理者に宛てて最終決定を採択するものとする。EDPBは、LSAが国内決定を管理者に通知した後、その決定をウェブサイト上で公表する予定である。
The EDPB members discussed the recent enforcement action undertaken by the Italian data protection authority against Open AI about the Chat GPT service. EDPBのメンバーは、イタリアのデータ保護当局がOpen AIに対して行った、Chat GPTサービスに関する最近の強制措置について議論した。
The EDPB decided to launch a dedicated task force to foster cooperation and to exchange information on possible enforcement actions conducted by data protection authorities. EDPBは、データ保護当局が実施する可能性のある強制措置に関する協力と情報交換を促進するため、専用のタスクフォースを立ち上げることを決定した。
For further information on the Art. 65 procedure, please consult the FAQ 第65条の手続きに関する詳細については、FAQを参照。

 

European Data Protection Board

 

 


⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.14 EDPB Metaによる米国への個人データ転送に関する紛争解決、Chat GPTに関するタスクフォースを設置

・2023.04.14 スペイン ChatGPTを運営するOpenAI社に対して職権で調査手続きを開始

・2023.04.14 イタリア データ保護庁 ChatGPT復活へ... 4月30日までに改善できれば...

・2023.04.10 イタリア データ保護庁委員とOpenAI社CEOが会談

・2023.04.06 OpenAI ブログ AIの安全への取り組み

・2023.04.06 カナダ プライバシーコミッショナー ChatGPTに対する調査を開始

・2023.04.02 イタリア データ保護庁がOpenAI社にプライバシー規制を遵守するまでChatGPTがイタリア人ユーザのデータ処理の制限を直ちに命じた...

| | Comments (0)

スペイン ChatGPTを運営するOpenAI社に対して職権で調査手続きを開始

こんにちは、丸山満彦です。

イタリア、カナダですでに調査が始まっていますが、スペインでも、、、のようですね。。。

EDPBにChatGPTに関するタスクフォースが設置することになったようですね。。。

 

⚫︎ La Agencia Española de Protección de Datos (AEPD)

・2023.04.13 La AEPD inicia de oficio actuaciones de investigación a OpenAI, propietaria de ChatGPT

La AEPD inicia de oficio actuaciones de investigación a OpenAI, propietaria de ChatGPT AEPD、ChatGPTを運営するOpenAI社に対して職権で調査手続きを開始
(13 de abril de 2023). La Agencia Española de Protección de Datos (AEPD) ha iniciado de oficio actuaciones previas de investigación a la empresa estadounidense OpenAI, propietaria del servicio ChatGPT, por un posible incumplimiento de la normativa. (2023年4月13日発表)スペインデータ保護庁(AEPD)は、ChatGPTサービスの所有者である米国企業OpenAIに対し、規制違反の可能性があるとして職権による予備調査手続を開始した。
La semana pasada, la Agencia solicitó al Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) –del que la AEPD forma parte junto a otras autoridades de protección de datos del EEE– que se incluyera el servicio ChatGPT como tema a abordar en su reunión plenaria, al considerar que los tratamientos globales que pueden tener un importante impacto sobre los derechos de las personas requieren de acciones armonizadas y coordinadas a nivel europeo en aplicación del Reglamento General de Protección de Datos. El Comité ha decidido en el Plenario celebrado hoy lanzar un grupo de trabajo (task force) para fomentar la cooperación e intercambiar información sobre las acciones llevadas a cabo por las autoridades de protección de datos. 先週、同庁は、AEPDがEEAの他のデータ保護当局とともに加盟している欧州データ保護委員会(EDPB)に対し、個人の権利に大きな影響を与える可能性のあるグローバルな処理業務は、一般データ保護規則の適用において欧州レベルでの調和・協調した行動を必要とすると考え、本会議で扱うべき課題としてChatGPTサービスを含めるように要請した。委員会は、本日の本会議において、データ保護当局が実施する措置に関する協力を促進し、情報を交換するためのタスクフォースを立ち上げることを決定した。
Con el inicio de la investigación en España y la participación en el grupo de trabajo europeo, la AEPD actúa en paralelo en el marco de sus potestades y competencias como autoridad nacional de supervisión y control, además de en coordinación con sus homólogas europeas a través del Comité. スペインにおける調査の開始と欧州のタスクフォースへの参加により、AEPDは、国内の監督管理当局としての権限と能力の枠内で、また委員会を通じて欧州のカウンターパートと協調しながら、並行して行動する。
La Agencia aboga por el desarrollo y la puesta en marcha de tecnologías innovadoras como la inteligencia artificial desde el pleno respeto a la legislación vigente, ya que considera que sólo desde ese punto de partida puede llevarse a cabo un desarrollo tecnológico compatible con los derechos y libertades de las personas. 同庁は、このような出発点から初めて、個人の権利と自由に適合する形で技術開発を行うことができると考え、施行中の法律を十分に尊重した上で、人工知能などの革新的技術の開発と実装を提唱している。

 

1_20230414052701

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.14 EDPB Metaによる米国への個人データ転送に関する紛争解決、Chat GPTに関するタスクフォースを設置

・2023.04.14 スペイン ChatGPTを運営するOpenAI社に対して職権で調査手続きを開始

・2023.04.10 イタリア データ保護庁委員とOpenAI社CEOが会談

・2023.04.06 OpenAI ブログ AIの安全への取り組み

・2023.04.06 カナダ プライバシーコミッショナー ChatGPTに対する調査を開始

・2023.04.02 イタリア データ保護庁がOpenAI社にプライバシー規制を遵守するまでChatGPTがイタリア人ユーザのデータ処理の制限を直ちに命じた...

 

| | Comments (0)

NIST AI用語集ベータ版 (2023.03.22)

こんにちは、丸山満彦です。

NISTのTrustworthy & Responsible AI Resource Centerが、AI用語集を作りはじめましたね。。。

これはいいですね。。。

 

⚫︎ NIST - Trustworthy & Responsible AI Resource Center - Knowledge Base 

Glossary

 

用語集...

・[Spread Sheet]

 

用語集の開発動機と開発内容を記した文書...

・[PDF] NIST Artifcial Intelligence AI 100-3 The Language of Trustworthy AI: An In-Depth Glossary of Terms

20230414-51038

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.11 NIST ホワイトペーパー NIST AI 100-2e2023(ドラフト)敵対的機械学習:攻撃と防御の分類と用語集

・2023.01.27 NIST AIリスクフレームワーク

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

 

| | Comments (0)

米国 FBI 2022年インターネット犯罪レポート (2023.03.22)

こんにちは、丸山満彦です。

FBIというか、ICS3というか、が2022年のインターネット犯罪レポートを発表していましたね。

2022年の上位6位の苦情について過去7年間のグラフにしてみました。

 

1_20230414042701

 

⚫︎ Internet Crime Complaint Center (IC3)

・2023.03.22 [PDF] Internet Crime Report 2022

20230414-41151

 

過去の報告書 (2001-2022)

Annual Reports

 

⚫︎ FBI - SPRINGFIELD

・2022.03.22 Internet Crime Complaint Center Releases 2022 Statistics

Internet Crime Complaint Center Releases 2022 Statistics インターネット犯罪苦情相談センターが2022年の統計データを発表
In the recently released 2022 Internet Crime Report produced by the FBI’s Internet Crime Complaint Center (IC3), the numbers confirm that cyber actors continue to plague Americans by targeting U.S. networks, attacking critical infrastructure, holding our money and data for ransom, facilitating large-scale fraud schemes, and threatening our national security. IC3 received a total of 800,944 reported complaints, with losses exceeding $10.3 billion. Interestingly, while the total number of complaints decreased by 5%, dollar losses increased significantly by 49%. Phishing schemes were the number one crime type with 300,497 complaints and, for the first time, investment schemes reported the highest financial loss to victims. Victims aged 30-39 were the largest reporting group, while the greatest dollar loss was incurred by citizens aged 60 and older. 先日、FBIのインターネット犯罪苦情センター(IC3)が作成した「2022年インターネット犯罪報告書」では、米国のネットワークを標的とし、重要インフラを攻撃し、お金やデータを身代金として預かり、大規模詐欺スキームを促進し、国家安全を脅かすなど、サイバー行為者が米国人を苦しめ続けていることが数字で確認された。IC3は、合計800,944件の苦情報告を受け、その損失は103億ドルを超えた。興味深いことに、苦情の総数が5%減少する一方で、損害額は49%と大幅に増加した。フィッシング詐欺は300,497件の苦情があり、犯罪の種類としては第1位で、初めて投資詐欺が被害者の金銭的損失を最も大きくしたと報告された。30~39歳の被害者が最大の報告グループであり、最大のドル損失は60歳以上の市民が負ったものである。
Among the complaints received in 2022, phishing, personal data breach, and non-payment/non-delivery are the top incidents reported. And while phishing ranked number one, the associated dollar loss of $52 million is small in comparison to investment fraud which resulted in a $3.3 billion loss - increasing a staggering 127% from the previous year. Within those complaints, cryptocurrency investment fraud rose from $907 million in 2021 to $2.57 billion in 2022, with the most targeted age group reporting this type of scam being 30-49. 2022年に寄せられた苦情のうち、フィッシング、個人情報漏洩、不払い・不配達が報告された事件の上位を占めている。フィッシングは1位だったが、5,200万ドルの損失は、前年比127%増の33億ドルの損失をもたらした投資詐欺に比べれば小さいものである。このうち、暗号通貨の投資詐欺は、2021年の9億700万ドルから2022年には25億7000万ドルに増加し、この種の詐欺を報告する最もターゲットとなる年齢層は30~49歳だった。
In the state-wide rankings, Illinois was 5th highest for number of victims at 14,786, and 7th highest for victim dollar loss at $266.7 million. Business email Compromise (BEC), a sophisticated scam targeting both businesses and individuals performing transfers of funds, topped the list, measuring dollar loss with investment fraud and tech support scams rounding out the top three in Illinois. 州別のランキングでは、イリノイ州は被害者数で5位の14,786人、被害額で7位の2億6670万ドルとなった。イリノイ州のトップ3は投資詐欺と技術サポート詐欺で、被害額はBEC(ビジネスメール詐欺)がトップとなった(資金移動を行う企業と個人の両方を狙った巧妙な詐欺)。
BEC - $83,883,493 BEC - 83,883,493ドル
Investment Fraud - $75,614,466 投資詐欺 - 75,614,466ドル
Tech Support - $31,413,362 技術サポート - 31,413,362ドル
“Cyber-enabled crime has been around for many years, but methods used by perpetrators continue to increase in scope and sophistication emanating from around the world,” said FBI Springfield Field Office Special Agent in Charge David Nanz. “The FBI faces this threat head on by working with our law enforcement and private sector partners, educating the public, and assisting victims. When individuals and entities report incidents to the IC3, they provide valuable information that helps fill gaps crucial to advancing our investigations.” FBIスプリングフィールド支局特別捜査官デイビッド・ナンツは、以下のようにのべている。「サイバー犯罪は何年も前から存在していたが、犯人の手口は、世界中から発信され、その範囲と精巧さを増し続けている。FBIは、法執行機関や民間セクターのパートナーと協力し、一般市民を啓蒙し、被害者を支援することで、この脅威に真正面から向き合っている。個人や団体がIC3に事件を報告することで、捜査の進展に不可欠なギャップを埋める貴重な情報が提供される。」
The IC3 was established by the FBI in May 2000 to receive complaints of Internet related crime and has received more than 7.3 million complaints since its inception, averaging 651,800 complaints per year over the last five years. Its mission is to provide the public with a reliable and convenient reporting mechanism to submit information to the FBI concerning suspected cyber-enabled criminal activity, and to develop effective alliances with law enforcement and industry partners to help those who report. IC3は、インターネット関連犯罪の苦情を受け付けるために2000年5月にFBIによって設立され、設立以来730万件以上の苦情を受け、過去5年間では年平均651,800件の苦情を受け付けている。その使命は、サイバー犯罪の疑いがある情報をFBIに提出するための信頼できる便利な報告手段を一般市民に提供し、法執行機関や業界のパートナーとの効果的な協力関係を構築して、報告者を支援することである。
The FBI recommends that the public frequently review consumer and industry alerts published by IC3. If you are the victim of an Internet crime, submit a complaint to IC3. You can also file a complaint on behalf of another person. More details regarding the 2022 Internet Crime Report can be found online. FBIは、IC3が発行する消費者向けおよび業界向けの警告を頻繁に確認するよう、一般の人々に推奨している。インターネット犯罪の被害に遭われた方は、IC3に苦情を提出してください。また、他人の代理として苦情を提出することもできます。2022年インターネット犯罪報告書に関する詳細は、オンラインで確認できる。

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2021.04.11 FBI インターネット犯罪レポート2020を発表

 

日本...

・2023.03.17 警察庁 令和4年におけるサイバー空間をめぐる脅威の情勢等について

・2022.04.17 公安調査庁 サイバー空間における脅威の概況2022

・2022.04.12 警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)

 

日米の警察にきているサイバー犯罪の苦情件数の差ってなんなんでしょうね。。。ということでこの委員会なんでしょうかね。。。

・2023.04.11 警察庁 サイバー事案の被害の潜在化防止に向けた検討会報告書 (2023.04.06)

・2022.12.05 警察庁 「サイバー事案の被害の潜在化防止に向けた検討会」の開催

 

 

| | Comments (0)

生命未来研究所 AIの研究はちょっと一休みしたらどうか? 2023.04.12


こんにちは、丸山満彦です。

世界中のAI研究所に対し、大規模なAIシステムの開発を一時停止するよう求める公開書簡を公表し、署名を集めた生命未来研究所 (Future of Life Institute)  が、政策提言を公表していますね。。。

  1. 強固な第三者による監査と認証を義務付ける。
  2. 計算能力へのアクセスを規制する。
  3. 国家レベルで有能なAI機関を設立する。
  4. AIが引き起こした損害に対する責任を確立する。
  5. AIモデルの流出を防止・追跡する措置の導入
  6. AIの安全性に関する技術研究資金を拡大する。
  7. AIが生成的なコンテンツや提言を識別・管理するための標準を策定する。

・2023.04.12 [PDF] Policymaking in the Pause
20230808-52734

 

 

Policymaking in the Pause 一時停止に関する政策立案
What can policymakers do now to combat risks from advanced AI systems? 高度なAIシステムがもたらすリスクに対抗するために、政策立案者は今何ができるのか?
“The time for saying that this is just pure research has long since passed. […] It’s in no country’s interest for any country to develop and release AI systems we cannot control. Insisting on sensible precautions is not anti-industry. Chernobyl destroyed lives, but it also decimated the global nuclear industry. I’m an AI researcher. I do not want my field of research destroyed. Humanity has much to gain from AI, but also everything to lose.”  「これは単なる純粋な研究だと言っていられる時期はとっくに過ぎている。[コントロールできないAIシステムを開発し、公開することは、どの国にとっても得策ではない。賢明な予防措置を主張することは、反産業ではない。チェルノブイリは人命を奪ったが、同時に世界の原子力産業を壊滅させた。私はAIの研究者だ。私は自分の研究分野が破壊されることを望まない。人類はAIから得るものも多いが、失うものも多いのだ」。
Stuart Russell, Smith-Zadeh Chair in Engineering and Professor of Computer Science at the University of California, Berkeley, Founder of the Center for HumanCompatible Artificial Intelligence (CHAI). スチュアート・ラッセル、カリフォルニア大学バークレー校のスミス・ザデ工学講座兼コンピューターサイエンス教授、人間適合人工知能センター(CHAI)の創設者。
“Let’s slow down. Let’s make sure that we develop better guardrails, let’s make sure that we discuss these questions internationally just like we’ve done for nuclear power and nuclear weapons. Let’s make sure we better understand these very large systems, that we improve on their robustness and the process by which we can audit them and verify that they are safe for the public.”  「スピードを落とそう。より良いガードレールを作り、原子力や核兵器と同じように、この問題を国際的に議論するようにしよう。これらの非常に大規模なシステムをよりよく理解し、その堅牢性を改善し、一般市民にとって安全であることを監査し検証するプロセスを改善しよう。
Yoshua Bengio, Scientific Director of the Montreal Institute for Learning Algorithms (MILA), Professor of Computer Science and Operations Research at the Université de Montréal, 2018 ACM A.M. Turing Award Winner. ヨシュア・ベンジオ、モントリオール学習アルゴリズム研究所(MILA)科学ディレクター、モントリオール大学コンピュータ科学・オペレーションズリサーチ教授、2018年ACM A.M.チューリング賞受賞者。
“We have a perfect storm of corporate irresponsibility, widespread adoption, lack of regulation and a huge number of unknowns. [FLI’s Letter] shows how many people are deeply worried about what is going on. I think it is a really important moment in the history of AI - and maybe humanity,”  「私たちは、企業の無責任、普及、規制の欠如、そして膨大な数の未知数というパーフェクトストームを抱えている。[FLIの書簡は)いかに多くの人々が、何が起こっているのかを深く心配しているかを示している。AIの歴史において、そしておそらく人類の歴史において、本当に重要な瞬間だと思う」。
Gary Marcus, Professor Emeritus of Psychology and Neural Science at New York University, Founder of Geometric Intelligence ゲイリー・マーカス、ニューヨーク大学名誉教授(心理学・神経科学)、ジオメトリック・インテリジェンス創設者
“We don’t know what these [AI] systems are trained on or how they are being built. All of this happens behind closed doors at commercial companies. This is worrying.”  「私たちは、これらの(AI)システムが何に基づいて訓練されているのか、どのように構築されているのかを知らない。これらはすべて営利企業の密室で行われている。これは憂慮すべきことだ 
Catelijne Muller, President of ALLAI, Member of the EU High Level Expert Group on AI カテライネ・ミュラー、ALLAI会長、AIに関するEUハイレベル専門家グループメンバー
“It feels like we are moving too quickly. I think it is worth getting a little bit of experience with how they can be used and misused before racing to build the next one. This shouldn’t be a race to build the next model and get it out before others.”  「動きが早すぎるように感じる。次のものを作ろうと躍起になる前に、AIがどのように使われ、誤用されるかを少し経験する価値があると思う。次のモデルを作り、他のモデルよりも早く世に送り出す競争であってはならない。
Peter Stone, Professor at the University of Texas at Austin, Chair of the One Hundred Year Study on AI. ピーター・ストーン、テキサス大学オースティン校教授、AI百年研究委員長。
“Those making these [AI systems] have themselves said they could be an existential threat to society and even humanity, with no plan to totally mitigate these risks. It is time to put commercial priorities to the side and take a pause for the good of everyone to assess rather than race to an uncertain future”  「このような(AIシステムを)作っている人たち自身が、AIは社会や人類にとって存亡の危機になりうると言っているが、そのリスクを完全に軽減する計画はない。商業的な優先順位を横に置き、不確実な未来に向かって競争するのではなく、皆のために評価するために一旦立ち止まる時だ。
Emad Mostaque, Founder and CEO of  エマド・モスタク、創業者兼CEO 
Stability AI スタビリティAI
CONTENTS 目次
Introduction 序文
Policy recommendations 政策提言
Mandate robust third-party auditing and certification for specific AI systems 特定のAIシステムに対し、強固な第三者による監査と認証の義務付け
Regulate organizations’ access to computational power 組織の計算能力へのアクセスの規制
Establish capable AI agencies at national level  国家レベルでの有能なAI機関の設立
Establish liability for AI-caused harm  AIが引き起こした被害に対する責任の確立 
Introduce measures to prevent and track AI model leaks  AIモデルの流出を防止・追跡する措置の導入
Expand technical AI safety research funding  AIの安全性に関する技術的研究資金の拡大
Develop standards for identifying and managing AIgenerated content and recommendations AIが生成したコンテンツや推奨事項を識別・管理するための標準の策定
Conclusion 結論
Introduction 序文
Prominent AI researchers have identified a range of dangers that may arise from the present and future generations of advanced AI systems if they are left unchecked. AI systems are already capable of creating misinformation and authentic-looking fakes that degrade the shared factual foundations of society and inflame political tensions. AI systems already show a tendency toward amplifying entrenched discrimination and biases, further marginalizing disadvantaged communities and diverse viewpoints. The current, frantic rate of development will worsen these problems significantly. 著名なAI研究者は、現在および将来世代の高度なAIシステムを放置しておくと、さまざまな危険が生じる可能性があることを指摘している。AIシステムはすでに誤情報や本物に見えるフェイクを作り出し、社会の共有された事実基盤を劣化させ、政治的緊張を煽ることができる。AIシステムはすでに、凝り固まった差別やバイアスを増幅させ、不利な立場にあるコミュニティや多様な視点をさらに疎外する傾向を示している。現在の猛烈な開発スピードは、こうした問題を著しく悪化させるだろう。
As these types of systems become more sophisticated, they could destabilize labor markets and political institutions, and lead to the concentration of enormous power in the hands of a small number of unelected corporations. Advanced AI systems could also threaten national security, e.g., by facilitating the inexpensive development of chemical, biological, and cyber weapons by non-state groups. The systems could themselves pursue goals, either human- or self-assigned, in ways that place negligible value on human rights, human safety, or, in the most harrowing scenarios, human existence.  この種のシステムがより高度になれば、労働市場や政治機構を不安定化させ、選挙で選ばれたわけでもない少数の企業に巨大な権力が集中することになりかねない。高度なAIシステムは、非国家グループによる化学兵器、生物兵器、サイバー兵器の安価な開発を促進するなど、国家安全保障を脅かす可能性もある。システム自身が、人権や人間の安全、あるいは最も悲惨なシナリオでは人間の存在を無視した方法で、人間または自分で決めた目標を追求する可能性もある。
In an effort to stave off these outcomes, the Future of Life Institute (FLI), joined by over 20,000 leading AI researchers, professors, CEOs, engineers, students, and others on the frontline of AI progress, called for a pause of at least six months on the riskiest and most resourceintensive AI experiments – those experiments seeking to further scale up the size and general capabilities of the most powerful systems developed to date.  このような事態を食い止めるため、フューチャー・オブ・ライフ研究所(FLI)は、2万人を超えるAI研究者、教授、CEO、エンジニア、学生など、AIの進歩の最前線にいる人々とともに、最もリスクが高く、最もリソースを必要とするAI実験、つまりこれまでに開発された最も強力なシステムの規模と一般的な能力をさらに拡大しようとする実験について、少なくとも半年間の一時停止を求めた。
The proposed pause provides time to better understand these systems, to reflect on their ethical, social, and safety implications, and to ensure that AI is developed and used in a responsible manner. The unchecked competitive dynamics in the AI industry incentivize aggressive development at the expense of caution . In contrast to the breakneck pace of development, however, the levers of governance are generally slow and deliberate. A pause on the production of even more powerful AI systems would thus provide an important opportunity for the instruments of governance to catch up with the rapid evolution of the field. 提案されている一時停止は、これらのシステムをよりよく理解し、その倫理的、社会的、安全的な影響について考察し、AIが責任ある方法で開発され使用されることを確実にするための時間を提供するものである。AI業界における歯止めなき競争力学は、慎重さを犠牲にして積極的な開発を奨励する。しかし、猛烈なスピードで開発が進むのとは対照的に、ガバナンスの手段は一般的にゆっくりと慎重を期している。したがって、より強力なAIシステムの生産を一時停止することは、ガバナンスの手段がこの分野の急速な進化に追いつくための重要な機会を提供することになる。
We have called on AI labs to institute a development pause until they have protocols in place to ensure that their systems are safe beyond a reasonable doubt, for individuals, communities, and society. Regardless of whether the labs will heed our call, this policy brief provides policymakers with concrete recommendations for how governments can manage AI risks. 私たちはAI研究所に対し、そのシステムが個人、地域社会、社会にとって合理的な疑いを超えて安全であることを保証するためのプロトコルが整備されるまで、開発を一時停止するよう求めてきた。研究所が我々の呼びかけに耳を傾けるかどうかにかかわらず、このポリシー・ブリーフは、政府がAIのリスクをマネジメントする方法について、政策立案者に具体的な提言を提供するものである。
The recommendations are by no means exhaustive: the project of AI governance is perennial and will extend far beyond any pause. Nonetheless, implementing these recommendations, which largely reflect a broader consensus among AI policy experts, will establish a strong governance foundation for AI. 提言は決して網羅的なものではない。AIガバナンスのプロジェクトは永続的なものであり、どのような休止期もはるかに超えて続くだろう。とはいえ、AI政策の専門家の幅広いコンセンサスを反映したこれらの提言を実施することで、AIに対する強力なガバナンス基盤が確立されるだろう。
Policy recommendations: 政策提言
1. Mandate robust third-party auditing and certification. 1. 強固な第三者による監査と認証を義務付ける。
2. Regulate access to computational power. 2. 計算能力へのアクセスを規制する。
3. Establish capable AI agencies at the national level. 3. 国家レベルで有能なAI機関を設立する。
4. Establish liability for AI-caused harms. 4. AIが引き起こした損害に対する責任を確立する。
5. Introduce measures to prevent and track AI model leaks. 5. AIモデルの流出を防止・追跡する措置の導入
6. Expand technical AI safety research funding. 6. AIの安全性に関する技術研究資金を拡大する。
7. Develop standards for identifying and managing AI-generated content and recommendations. 7. AIが生成的なコンテンツや提言を識別・管理するための標準を策定する。
To coordinate, collaborate, or inquire regarding the recommendations herein, please contact us at policy@futureoflife.org.  本提言に関する調整、協力、問い合わせは、policy@futureoflife.org。 
1. Mandate robust third-party auditing and certification for specific AI systems 1. 特定のAIシステムに対し、強固な第三者による監査と認証の義務付け
For some types of AI systems, the potential to impact the physical, mental, and financial wellbeing of individuals, communities, and society is readily apparent. For example, a credit scoring system could discriminate against certain ethnic groups. For other systems – in particular general-purpose AI systems – the applications and potential risks are often not immediately evident. General-purpose AI systems trained on massive datasets also have unexpected (and often unknown) emergent capabilities.  AIシステムの種類によっては、個人、地域社会、社会の身体的、精神的、経済的ウェルビーイングに影響を与える可能性がある。例えば、信用スコアリング・システムは、特定の民族グループを差別する可能性がある。その他のシステム、特に汎用AIシステムについては、その用途や潜在的リスクはすぐには明らかにならないことが多い。また、膨大なデータセットで訓練された汎用AIシステムは、予期せぬ(そしてしばしば未知の)能力を出現させる。
In Europe, the draft AI Act already requires that, prior to deployment and upon any substantial modification, ‘high-risk’ AI systems undergo ‘conformity assessments’ in order to certify compliance with specified harmonized standards or other common specifications. In some cases, the Act requires such assessments to be carried out by independent third-parties to avoid conflicts of interest.  欧州では、AI法案がすでに、「リスクの高い」AIシステムは、配備前や大幅な変更時に、指定された整合標準やその他の共通仕様への準拠を証明するための「適合性アセスメント」を受けることを求めている。場合によっては、利害の衝突を避けるため、独立した第三者がこのような評価を実施することも義務付けられている。
In contrast, the United States has thus far established only a general, voluntary framework for AI risk assessment. The National Institute of Standards and Technology (NIST), in coordination with various stakeholders, is developing so-called ‘profiles’ that will provide specific risk assessment and mitigation guidance for certain types of AI systems, but this framework still allows organizations to simply ‘accept’ the risks that they create for society instead of addressing them. In other words, the United States does not require any third-party risk assessment or risk mitigation measures before a powerful AI system can be deployed at scale. 対照的に、米国はこれまでのところ、AIのリスクアセスメントに関する一般的な自主的枠組みしか確立していない。国立標準技術研究所(NIST)は、さまざまな利害関係者と連携して、特定の種類のAIシステムに対する特定のリスクアセスメントと低減ガイダンスを提供する、いわゆる「プロファイル」を開発しているが、この枠組みは依然として、組織が社会にもたらすリスクに対処するのではなく、単に「受け入れる」ことを可能にしている。言い換えれば、米国は強力なAIシステムを大規模に展開する前に、第三者によるリスクアセスメントやリスク低減策を要求していない。
To ensure proper vetting of powerful AI systems before deployment, we recommend a robust independent auditing regime for models that are general-purpose, trained on large amounts of compute, or intended for use in circumstances likely to impact the rights or the wellbeing of individuals, communities, or society. This mandatory third-party auditing and certification scheme could be derived from the EU’s proposed ‘conformity assessments’ and should be adopted by jurisdictions worldwide . 展開前に強力なAIシステムの適切な吟味を確実にするために、我々は、汎用的で、大量の計算機で学習され、あるいは個人、コミュニティ、社会の権利や福利に影響を与える可能性が高い状況での使用を意図したモデルについて、強固な独立監査体制を推奨する。この強制的な第三者による監査・認証制度は、EUが提案する「適合性評価」から派生したものであり、世界中の国・地域で採用されるべきである。
In particular, we recommend third-party auditing of such systems across a range of benchmarks for the assessment of risks , including possible weaponization and unethical behaviors and mandatory certification by accredited third-party auditors before these high-risk systems can be deployed. Certification should only be granted if the developer of the system can demonstrate that appropriate measures have been taken to mitigate risk, and that any residual risks deemed tolerable are disclosed and are subject to established protocols for minimizing harm.  特に、兵器化の可能性や非倫理的行為を含むリスクを評価するためのさまざまなベンチマークに照らして、このようなシステムを第三者が監査し、高リスクのシステムが導入される前に、認定された第三者監査人による認証が義務づけられることを推奨する。認証は、システムの開発者が、リスクを低減するために適切な措置が講じられていること、および許容可能とみなされる残余リスクが開示され、危害を最小化するための確立されたプロトコルに従うことを証明できる場合にのみ与えられるべきである。
2. Regulate organizations’ access to computational power 2. 組織の計算能力へのアクセスの規制
At present, the most advanced AI systems are developed through training that requires an enormous amount of computational power - ‘compute’ for short. The amount of compute used to train a general-purpose system largely correlates with its capabilities, as well as the magnitude of its risks. 現在、最先端のAIシステムは、膨大な計算能力を必要とする訓練を通じて開発されている。汎用システムの訓練に使用される計算量は、その能力とリスクの大きさに大きく相関する。
Today’s most advanced models, like OpenAI’s GPT-4 or Google’s PaLM, can only be trained with thousands of specialized chips running over a period of months. While chip innovation and better algorithms will reduce the resources required in the future, training the most powerful AI systems will likely remain prohibitively expensive to all but the best-resourced players. OpenAIのGPT-4やグーグルのPaLMのような今日の最も高度なモデルは、数カ月にわたって稼働する数千の専用チップでしか訓練できない。チップの技術革新とアルゴリズムの改良により、将来的に必要なリソースは削減されるだろうが、最も強力なAIシステムのトレーニングは、最も資金力のあるプレーヤー以外には、法外に高価なままである可能性が高い。
Figure 1. OpenAI is estimated to have used approximately 700% more compute to train GPT-4 than the next closest model (Minerva, DeepMind), and 7,000% more compute than to train GPT-3 (Davinci). Depicted above is an estimate of compute used to train GPT-4 calculated by Ben Cottier at Epoch, as official training compute details for GPT-4 have not been released. Data from: Sevilla et al., ‘Parameter, Compute and Data Trends in Machine Learning,’ 2021 [upd. Apr. 1, 2023]. 図1. OpenAIは、GPT-4の訓練に、次に近いモデル(DeepMindのMinerva)よりも約700%、GPT-3(Davinci)の訓練よりも7,000%多くの計算量を使用したと推定される。GPT-4のトレーニングに使用される計算量は、Epoch社のBen Cottier氏によって計算されたもので、GPT-4のトレーニングに使用される計算量の詳細は公表されていない。データ出典:Sevilla et al., 'Parameter, Compute and Data Trends in Machine Learning', 2021 [2023年4月1日更新]。
In practical terms, compute is more easily monitored and governed than other AI inputs, such as talent, data, or algorithms. It can be measured relatively easily and the supply chain for advanced AI systems is highly centralized, which means governments can leverage such measures in order to limit the harms of large-scale models.  実用面では、コンピュート(計算能力)は、人材、データ、アルゴリズムといった他のAIインプットよりも監視やガバナンスが容易である。比較的簡単に計測でき、高度なAIシステムのサプライチェーンは高度に中央集権化されているため、政府は大規模なモデルの害を制限するためにこのような対策を活用できる。
To prevent reckless training of the highest risk models, we recommend that governments make access to large amounts of specialized computational power for AI conditional upon the completion of a comprehensive risk assessment. The risk assessment should include a detailed plan for minimizing risks to individuals, communities, and society, consider downstream risks in the value chain, and ensure that the AI labs conduct diligent know-yourcustomer checks.  最もリスクの高いモデルの無謀な訓練を防ぐため、政府は包括的なリスクアセスメントの完了を条件として、AIに特化した大量の計算能力を利用できるようにすることを推奨する。リスクアセスメントには、個人、地域社会、社会に対するリスクを最小化するための詳細な計画を盛り込み、バリューチェーンにおける川下のリスクを考慮し、AI研究所が顧客に対する真摯なチェックを行うことを保証すべきである。
Successful implementation of this recommendation will require governments to monitor the use of compute at data centers within their respective jurisdictions. The supply chains for AI chips and other key components for high-performance computing will also need to be regulated such that chip firmware can alert regulators to unauthorized large training runs of advanced AI systems.   この勧告を成功裏に実施するには、政府がそれぞれの管轄区域内のデータセンターにおける計算機の使用を監視する必要がある。AIチップやハイパフォーマンス・コンピューティングの他の主要コンポーネントのサプライチェーンも、チップのファームウェアが規制当局に高度なAIシステムの不正な大規模トレーニングを警告できるように規制される必要がある。 
In 2022, the U.S. Department of Commerce’s Bureau of Industry and Security instituted licensing requirements for export of many of these components in an effort to monitor and control their global distribution. However, licensing is only required when exporting to certain destinations, limiting the capacity to monitor aggregation of equipment for unauthorized large training runs within the United States and outside the scope of export restrictions. Companies within the specified destinations have also successfully skirted monitoring by training AI systems using compute leased from cloud providers. We recommend expansion of know-your-customer requirements to all high-volume suppliers for high-performance computing components, as well as providers that permit access to large amounts cloud compute. 2022年、米国商務省産業安全保障局は、世界的な流通を監視・管理するため、これらの構成要素の多くについて輸出許可制を設けた。しかし、ライセンスが必要なのは特定の輸出先に輸出する場合のみであり、米国内や輸出規制の範囲外での無許可の大規模訓練のための機器の集積を監視する能力は制限されている。また、特定輸出先内の企業は、クラウドプロバイダーからリースした計算機を使用してAIシステムをトレーニングすることで、監視を回避することに成功している。我々は、大量のクラウド・コンピューティングへのアクセスを許可するプロバイダだけでなく、ハイパフォーマンス・コンピューティング・コンポーネントのすべての大量供給業者にも、顧客の把握(know-your-customer)要件を拡大することを推奨する。
3. Establish capable AI agencies at national level  3. 国家レベルでの有能なAI機関の設立
AI is developing at a breakneck pace and governments need to catch up. The establishment of AI regulatory agencies helps to consolidate expertise and reduces the risk of a patchwork approach. AIは猛烈なスピードで発展しており、政府はそれに追いつく必要がある。AI規制機関の設立は、専門知識の集約に役立ち、つぎはぎ的なアプローチのリスクを軽減する。
The UK has already established an Office for Artificial Intelligence and the EU is currently legislating for an AI Board. Similarly, in the US, Representative Ted Lieu has announced legislation to create a non-partisan AI Commission with the aim of establishing a regulatory agency. These efforts need to be sped up, taken up around the world and, eventually, coordinated within a dedicated international body. 英国はすでに人工知能室を設立しており、EUは現在AI委員会の法制化を進めている。同様に米国では、テッド・リュー代表者が規制機関の設立を目指し、超党派のAI委員会を設立する法案を発表した。このような取り組みを加速させ、世界中で取り組み、最終的には国際的な専門団体で調整する必要がある。
We recommend that national AI agencies be established in line with a blueprint developed by Anton Korinek at Brookings. Korinek proposes that an AI agency have the power to: ブルッキングスのアントン・コリネックが作成した青写真に沿って、各国のAI機関を設立することを提言する。コリネックは、AI機関に以下の権限を持たせることを提案している:
• Monitor public developments in AI progress and define a threshold for which types of advanced AI systems fall under the regulatory oversight of the agency (e.g. systems above a certain level of compute or that affect a particularly large group of people). ・AIの進歩における公的な開発を監視し、どのような種類の高度なAIシステムが同機関の規制監督下に置かれるかの閾値を定める(例えば、一定レベル以上の計算能力を持つシステムや、特に多くの人々に影響を与えるシステムなど)。
• Mandate impact assessments of AI systems on various stakeholders, define reporting requirements for advanced AI companies and audit the impact on people’s rights, wellbeing, and society at large. For example, in systems used for biomedical research, auditors would be asked to evaluate the potential for these systems to create new pathogens. ・AIシステムの様々な利害関係者への影響評価を義務付け,高度AI企業の報告要件を定め,人々の権利,福利,社会全体への影響を監査する。例えば,生物医学研究に使用されるシステムでは,監査人はこれらのシステムが新たな病原体を作り出す可能性を評価するよう求められるだろう。
• Establish enforcement authority to act upon risks identified in impact assessments and to prevent abuse of AI systems. ・影響アセスメントで特定されたリスクに対処し,AIシステムの悪用を防止するための執行権限を確立する。
• Publish generalized lessons from the impact assessments such that consumers, workers and other AI developers know what problems to look out for. This transparency will also allow academics to study trends and propose solutions to common problems. ・影響評価から得られた一般的な教訓を公表し,消費者,労働者,その他のAI開発者がどのような問題に注意すべきかを知ることができるようにする。この透明性により,学識経験者が傾向を研究し,共通の問題に対する解決策を提案することも可能になる。
Beyond this blueprint, we also recommend that national agencies around the world mandate record-keeping of AI safety incidents, such as when a facial recognition system causes the arrest of an innocent person. Examples include the non-profit AI Incident Database and the forthcoming EU AI Database created under the European AI Act.  この青写真にとどまらず、我々は世界中の国家機関が、顔認識システムが無実の人の逮捕を引き起こした場合などのAIの安全インシデントの記録保存を義務付けることも推奨する。その例として、非営利のAIインシデント・データベースや、欧州AI法に基づき作成される予定のEU AIデータベースが挙げられる。
4. Establish liability for AI-caused harm  4. AIが引き起こした被害に対する責任の確立 
AI systems present a unique challenge in assigning liability. In contrast to typical commercial products or traditional software, AI systems can perform in ways that are not well understood by their developers, can learn and adapt after they are sold and are likely to be applied in unforeseen contexts. The ability for AI systems to interact with and learn from other AI systems is expected to expedite the emergence of unanticipated behaviors and capabilities, especially as the AI ecosystem becomes more expansive and interconnected. AIシステムは、責任の所在を明らかにする上でユニークな課題を提示している。一般的な市販製品や伝統的なソフトウェアとは対照的に、AIシステムは開発者がよく理解していない方法で動作する可能性があり、販売後に学習して適応することができ、予期せぬ状況で適用される可能性が高い。AIシステムが他のAIシステムと相互作用し、そこから学習する能力は、特にAIエコシステムがより拡大し相互接続されるにつれて、予期せぬ行動や能力の出現を促進すると予想される。
Several plug-ins have already been developed that allow AI systems like ChatGPT to perform tasks through other online services (e.g. ordering food delivery, booking travel, making reservations), broadening the range of potential real-world harms that can result from their use and further complicating the assignment of liability. OpenAI’s GPT-4 system card references an instance of the system explicitly deceiving a human into bypassing a CAPTCHA botdetection system using TaskRabbit, a service for soliciting freelance labor.  ChatGPTのようなAIシステムが他のオンラインサービス(例えば、配膳の注文、旅行の予約、予約)を通じてタスクを実行することを可能にするプラグインがすでにいくつか開発されており、その使用によって起こりうる実世界での被害の範囲が広がり、責任の所在がさらに複雑になっている。OpenAIのGPT-4システムカードは、フリーランス労働者を募集するサービスであるTaskRabbitを使って、CAPTCHAボット検知システムを迂回するように、システムが明示的に人間を欺いた例を紹介している。
When such systems make consequential decisions or perform tasks that cause harm, assigning responsibility for that harm is a complex legal challenge. Is the harmful decision the fault of the AI developer, deployer, owner, end-user, or the AI system itself?  このようなシステムが、結果的に害をもたらす決定を下したり、害をもたらすタスクを実行したりする場合、その害に対する責任の所在を明らかにすることは、複雑な法的課題である。有害な決定は、AI開発者、配備者、所有者、エンドユーザー、あるいはAIシステム自体の過失なのだろうか?
Key among measures to better incentivize responsible AI development is a coherent liability framework that allows those who develop and deploy these systems to be held responsible for resulting harms. Such a proposal should impose a financial cost for failing to exercise necessary diligence in identifying and mitigating risks, shifting profit incentives away from reckless empowerment of poorly-understood systems toward emphasizing the safety and wellbeing of individuals, communities, and society as a whole. 責任あるAI開発のインセンティブを向上させるための施策の中で重要なのは、これらのシステムを開発・導入した者が、結果として生じた損害に対して責任を負うことを可能にする首尾一貫した責任の枠組みである。このような提案では、リスクの特定と低減に必要な注意を払わなかった場合に金銭的コストを課すべきであり、利益のインセンティブを、理解不十分なシステムへの無謀な権限付与から、個人、コミュニティ、社会全体の安全と福祉を重視する方向へとシフトさせる。
To provide the necessary financial incentives for profit-driven AI developers to exercise abundant caution, we recommend the urgent adoption of a framework for liability for AIderived harms. At a minimum, this framework should hold developers of general-purpose AI systems and AI systems likely to be deployed for critical functions strictly liable for resulting harms to individuals, property, communities, and society. It should also allow for joint and several liability for developers and downstream deployers when deployment of an AI system that was explicitly or implicitly authorized by the developer results in harm. 利益を追求するAI開発者が十分な注意を払うために必要な金銭的インセンティブを提供するために、我々はAI由来の危害に対する責任の枠組みを早急に採用することを推奨する。少なくとも、この枠組みは、汎用AIシステムや重要な機能に導入される可能性のあるAIシステムの開発者に対し、個人、財産、地域社会、社会に対する結果としての損害について厳格な責任を負わせるべきである。また、開発者が明示的または黙示的に許可したAIシステムの配備が被害をもたらした場合には、開発者と下流の配備者の連帯責任を認めるべきである。
5. Introduce measures to prevent and track AI model leaks  5. AIモデルの流出を防止・追跡する措置の導入
Commercial actors may not have sufficient incentives to protect their models, and their cyberdefense measures can often be insufficient. In early March 2023, Meta demonstrated that this is not a theoretical concern, when their model known as LLaMa was leaked to the internet. As of the date of this publication, Meta has been unable to determine who leaked the model. This lab leak allowed anyone to copy the model and represented the first time that a major tech firm’s restricted-access large language model was released to the public. 営利企業にはモデルを保護する十分なインセンティブがない可能性があり、サイバー防衛対策も不十分な場合が多い。2023年3月初旬、Meta社は、LLaMaとして知られる同社のモデルがインターネットに流出したことで、これが理論上の懸念ではないことを実証した。本誌発行時点では、誰がこのモデルを流出させたのかメタ社は特定できていない。このラボの流出により、誰でもモデルをコピーできるようになり、大手ハイテク企業のアクセス制限付き大規模言語モデルが初めて一般に公開された代表者となった。
Watermarking of AI models provides effective protection against stealing, illegitimate redistribution and unauthorized application, because this practice enables legal action against identifiable leakers. Many digital media are already protected by watermarking - for example through the embedding of company logos in images or videos. A similar process can be applied to advanced AI models, either by inserting information directly into the model parameters or by training it on specific trigger data.  AIモデルの電子透かしは、盗用、違法な再配布、無許可のアプリケーションに対する効果的な防御を提供し、この慣行は識別可能な流出者に対する法的措置を可能にするからである。多くのデジタルメディアは、画像や動画に企業ロゴを埋め込むなど、すでに電子透かしによって保護されている。同じようなプロセスを高度なAIモデルにも適用することができる。モデルのパラメータに直接情報を挿入するか、特定のトリガーデータで学習させるのである。
We recommend that governments mandate watermarking for AI models, which will make it easier for AI developers to take action against illegitimate distribution.  私たちは、政府がAIモデルの電子透かしを義務付けることを推奨する。そうすることで、AI開発者が違法な配布に対して行動を起こしやすくなる。
6. Expand technical AI safety research funding  6. AIの安全性に関する技術的研究資金の拡大
The private sector under-invests in research that ensures that AI systems are safe and secure. Despite nearly USD 100 billion of private investment in AI in 2022 alone, it is estimated that only about 100 full-time researchers worldwide are specifically working to ensure AI is safe and properly aligned with human values and intentions.  民間セクターは、AIシステムの安全性を確保するための研究への投資が不足している。2022年だけでもAIに1000億米ドル近い民間投資が行われているにもかかわらず、AIが安全で人間の価値観や意図に適切に沿ったものであることを確認するために特別に取り組んでいる常勤の研究者は、世界中でわずか100人程度と推定されている。
In recent months, companies developing the most powerful AI systems have either downsized or entirely abolished their respective ‘responsible AI’ teams. While this partly reflects a broader trend of mass layoffs across the technology sector, it nonetheless reveals the relative deprioritization of safety and ethics considerations in the race to put new systems on the market. ここ数カ月で、最も強力なAIシステムを開発している企業は、それぞれの「責任あるAI」チームを縮小または完全に廃止した。これは、テクノロジー部門全体の大量解雇という広範な傾向を反映している面もあるが、それにもかかわらず、新しいシステムを市場に投入する競争において、安全性と倫理への配慮が相対的に優先されていないことを明らかにしている。
Governments have also invested in AI safety and ethics research, but these investments have primarily focused on narrow applications rather than on the impact of more general AI systems like those that have recently been released by the private sector. The US National Science Foundation (NSF), for example, has established ‘AI Research Institutes’ across a broad range of disciplines. However, none of these institutes are specifically working on the large-scale, societal, or aggregate risks presented by powerful AI systems. 政府もAIの安全性と倫理の研究に投資しているが、これらの投資は、民間企業が最近発表したような、より一般的なAIシステムの影響よりも、むしろ狭い範囲での応用に主眼を置いている。例えば、アメリカ国立科学財団(NSF)は、幅広い分野の「AI研究機構」を設立している。しかし、いずれの機構も、強力なAIシステムがもたらす大規模な、社会的な、あるいは総合的なリスクに特化して取り組んでいるわけではない。
To ensure that our capacity to control AI systems keeps pace with the growing risk that they pose, we recommend a significant increase in public funding for technical AI safety research in the following research domains: AIシステムがもたらすリスクの増大に対応し、AIシステムを制御する能力を確保するために、我々は以下の研究領域におけるAIの安全性に関する技術的研究のための公的資金を大幅に増額することを提言する:
• Alignment: development of technical mechanisms for ensuring AI systems learn and perform in accordance with intended expectations, intentions, and values. ・アライメント:AIシステムが意図された期待,意図,価値観に従って学習し,実行することを保証する技術的メカニズムの開発。
• Robustness and assurance: design features to ensure that AI systems responsible for critical functions can perform reliably in unexpected circumstances, and that their performance can be evaluated by their operators.  ・頑健性と保証:重要な機能を担うAIシステムが予期せぬ状況でも確実に機能し,その性能を操作者が評価できるようにするための機能を設計する。
• Explainability and interpretability: develop mechanisms for opaque models to report the internal logic used to produce output or make decisions in understandable ways. More explainable and interpretable AI systems facilitate better evaluations of whether output can be trusted. ・説明可能性と解釈可能性:不透明なモデルが,出力や意思決定に使用される内部ロジックを理解可能な方法で報告するためのメカニズムを開発する。より説明可能で解釈可能なAIシステムは,出力が信頼できるかどうかの評価をより容易にする。
In the past few months, experts such as the former Special Advisor to the UK Prime Minister on Science and Technology James W. Phillips and a Congressionally-established US taskforce have called for the creation of national AI labs as ‘a shared research infrastructure that would provide AI researchers and students with significantly expanded access to computational resources, high-quality data, educational tools, and user support.’ Should governments move forward with this concept, we propose that at least 25% of resources made available through these labs be explicitly allocated to technical AI safety projects. ここ数カ月、ジェームズ・W・フィリップス元英国首相科学技術特別顧問や、米国議会が設置したタスクフォースなどの専門家が、「AI研究者や学生に、計算リソース、高品質データ、教育ツール、ユーザーサポートへのアクセスを大幅に拡大する共有研究インフラ」として、国立AIラボの設立を呼びかけている。ガバナンスがこのコンセプトを推進する場合、これらのラボを通じて利用可能になるリソースの少なくとも25%を、技術的なAI安全プロジェクトに明確に割り当てることを提案する。
7. Develop standards for identifying and managing AI-generated content and recommendations 7. AIが生成したコンテンツや推奨事項を識別・管理するための標準の策定
The need to distinguish real from synthetic media and factual content from ‘hallucinations’ is essential for maintaining the shared factual foundations underpinning social cohesion. Advances in generative AI have made it more difficult to distinguish between AI-generated media and real images, audio, and video recordings. Already we have seen AI-generated voice technology used in financial scams.  現実のメディアと合成メディアを区別し、事実に基づいたコンテンツと「幻覚」を区別する必要性は、社会的結束を支える事実の共有基盤を維持するために不可欠である。生成的AIの進歩により、AIが生成したメディアと本物の画像、音声、映像の区別が難しくなっている。すでに我々は、AI生成的音声技術が金融詐欺に使われているのを目にしている。
Creators of the most powerful AI systems have acknowledged that these systems can produce convincing textual responses that rely on completely fabricated or out-of-context information. For society to absorb these new technologies, we will need effective tools that allow the public to evaluate the authenticity and veracity of the content they consume. 最も強力なAIシステムの開発者たちは、これらのシステムが、完全に捏造された、あるいは文脈から外れた情報に依存した、説得力のあるテキスト応答を生成できることを認めている。社会がこれらの新技術を吸収するためには、一般市民が消費するコンテンツの信憑性や真実性を評価できる効果的なツールが必要である。
We recommend increased funding for research into techniques, and development of standards, for digital content provenance. This research, and its associated standards, should ensure that a reasonable person can determine whether content published online is of synthetic or natural origin, and whether the content has been digitally modified, in a manner that protects the privacy and expressive rights of its creator. 我々は、デジタルコンテンツの出所証明のための技術や標準の開発に関する研究への資金を増やすことを推奨する。この研究とそれに関連する標準は、オンライン上で公開されたコンテンツが人工的なものなのか自然なものなのか、また、そのコンテンツがデジタル的に改変されたものなのかを、合理的な人間が、その作成者のプライバシーと表現権を保護する方法で判断できるようにするものでなければならない。
We also recommend the expansion of ‘bot-or-not’ laws that require disclosure when a person is interacting with a chatbot. These laws help prevent users from being deceived or manipulated by AI systems impersonating humans, and facilitate contextualizing the source of the information. The draft EU AI Act requires that AI systems be designed such that users are informed they are interacting with an AI system, and the US State of California enacted a similar bot disclosure law in 2019. Almost all of the world’s nations, through the adoption of a UNESCO agreement on the ethics of AI, have recognized ‘the right of users to easily identify whether they are interacting with a living being, or with an AI system imitating human or animal characteristics.’ We recommend that all governments convert this agreement into hard law to avoid fraudulent representations of natural personhood by AI from outside regulated jurisdictions. また、人がチャットボットと対話する際に情報開示を義務付ける「ボット・オア・ノット」法の拡大も推奨する。これらの法律は、人間になりすましたAIシステムによって利用者が騙されたり操作されたりするのを防ぎ、情報の出所を文脈で理解しやすくするのに役立つ。EUのAI法の案では、AIシステムは、ユーザーがAIシステムとインタラクションしていることを知らされるように設計されることを求めており、アメリカのカリフォルニア州でも2019年に同様のボット開示法が制定された。世界のほぼすべての国が、AIの倫理に関するユネスコ協定の採択を通じて、「利用者が、自分が生物と相互作用しているのか、人間や動物の特徴を模倣したAIシステムと相互作用しているのかを容易に識別する権利」を認めている。我々は、規制管轄外のAIによる自然人であることの詐欺的表現を避けるため、すべての政府がこの合意を確固たる法律に変えることを推奨する。
Even if a user knows they are interacting with an AI system, they may not know when that system is prioritizing the interests of the developer or deployer over the user. These systems may appear to be acting in the user’s interest, but could be designed or employed to serve other functions. For instance, the developer of a general-purpose AI system could be financially incentivized to design the system such that when asked about a product, it preferentially recommends a certain brand, when asked to book a flight, it subtly prefers a certain airline, when asked for news, it provides only media advocating specific viewpoints, and when asked for medical advice, it prioritizes diagnoses that are treated with more profitable pharmaceutical drugs. These preferences could in many cases come at the expense of the end user’s mental, physical, or financial well-being.  たとえユーザーがAIシステムとやりとりしていることを知っていたとしても、そのシステムがユーザーよりも開発者や配備者の利益を優先している場合はわからないかもしれない。このようなシステムは、ユーザーの利益のために行動しているように見えるかもしれないが、他の機能を果たすために設計されたり、採用されたりしている可能性がある。例えば、汎用AIシステムの開発者は、製品について尋ねられると特定のブランドを優先的に勧め、航空券の予約を頼まれると特定の航空会社をさりげなく好み、ニュースを聞かれると特定の視点を擁護するメディアのみを提供し、医療アドバイスを求められると、より収益性の高い医薬品で治療される診断を優先するようなシステムを設計するよう、金銭的なインセンティブを与えられる可能性がある。こうした嗜好は、多くの場合、エンドユーザーの精神的、肉体的、あるいは経済的な幸福を犠牲にする可能性がある。
Many jurisdictions require that sponsored content be clearly labeled, but because the provenance of output from complex general-purpose AI systems is remarkably opaque, these laws may not apply. We therefore recommend, at a minimum, that conflict-of-interest trade-offs should be clearly communicated to end users along with any affected output; ideally, laws and industry standards should be implemented that require AI systems to be designed and deployed with a duty to prioritize the best interests of the end user.  多くの司法管轄区では、スポンサー付きコンテンツを明確に表示することを義務付けているが、複雑な汎用AIシステムからの出所は極めて不透明であるため、これらの法律は適用されない可能性がある。したがって我々は、利益相反のトレードオフを、影響を受ける出力とともにエンドユーザーに明確に伝えることを最低限推奨する。理想的には、エンドユーザーの利益を最優先する義務を負ってAIシステムを設計・導入することを義務付ける法律や業界標準を導入すべきである。
Finally, we recommend the establishment of laws and industry standards clarifying and the fulfillment of ‘duty of loyalty’ and ‘duty of care’ when AI is used in the place of or in assistance to a human fiduciary. In some circumstances – for instance, financial advice and legal counsel – human actors are legally obligated to act in the best interest of their clients and to exercise due care to minimize harmful outcomes. AI systems are increasingly being deployed to advise on these types of decisions or to make them (e.g. trading stocks) independent of human input. Laws and standards towards this end should require that if an AI system is to contribute to the decision-making of a fiduciary, the fiduciary must be able to demonstrate beyond a reasonable doubt that the AI system will observe duties of loyalty and care comparable to their human counterparts. Otherwise, any breach of these fiduciary responsibilities should be attributed to the human fidiciary employing the AI system.  最後に、AIが人間の受託者に代わって、あるいは人間の受託者を支援するために使用される場合、「忠実義務」と「注意義務」を明確にし、その履行を求める法律と業界標準を確立することを推奨する。状況によっては(例えば、財務アドバイスや法律相談など)、人間の行為者は、顧客の最善の利益のために行動し、有害な結果を最小限に抑えるために十分な注意を払う法的義務がある。AIシステムは、このような種類の意思決定について助言したり、人間のインプットとは無関係に意思決定(株式取引など)を行ったりするために、ますます導入されるようになっている。この目的のための法律や標準は、AIシステムが受託者の意思決定に貢献する場合、受託者が、AIシステムが人間の同等の忠実義務や注意義務を守ることを合理的な疑いを超えて証明できることを義務付けるべきである。そうでなければ、これらの受託者責任の違反は、AIシステムを採用している人間の受託者に帰すべきである。 
Conclusion 結論
The new generation of advanced AI systems is unique in that it presents significant, welldocumented risks, but can also manifest high-risk capabilities and biases that are not immediately apparent. In other words, these systems may perform in ways that their developers had not anticipated or malfunction when placed in a different context. Without appropriate safeguards, these risks are likely to result in substantial harm, in both the near- and longerterm, to individuals, communities, and society. 新世代の高度AIシステムは、重大かつ十分に文書化されたリスクを提示する一方で、すぐには明らかにならない高リスクの能力やバイアスを顕在化させる可能性があるという点でユニークである。言い換えれば、これらのシステムは、開発者が予想していなかったような動作をしたり、別の文脈に置かれたときに誤動作したりする可能性がある。適切な保護措置がなければ、こうしたリスクは、短期的にも長期的にも、個人、地域社会、社会に大きな損害をもたらす可能性が高い。
Historically, governments have taken critical action to mitigate risks when confronted with emerging technology that, if mismanaged, could cause significant harm. Nations around the world have employed both hard regulation and international consensus to ban the use and development of biological weapons, pause human genetic engineering, and establish robust government oversight for introducing new drugs to the market. All of these efforts required swift action to slow the pace of development, at least temporarily, and to create institutions that could realize effective governance appropriate to the technology. Humankind is much safer as a result. 歴史的に見て、政府は、管理を誤れば重大な被害をもたらす可能性のある新興技術に直面したとき、リスクを軽減するために重要な行動をとってきた。世界中の政府は、生物兵器の使用と開発を禁止し、ヒト遺伝子工学を一時停止し、新薬の市場導入に対する政府の監視体制を確立するために、厳しい規制と国際的合意の両方を採用してきた。これらの努力はすべて、少なくとも一時的に開発のペースを落とし、技術にふさわしい効果的なガバナンスを実現できる機構を構築するための迅速な行動を必要とした。その結果、人類はより安全になった。
We believe that approaches to advancement in AI R&D that preserve safety and benefit society are possible, but require decisive, immediate action by policymakers, lest the pace of technological evolution exceed the pace of cautious oversight. A pause in development at the frontiers of AI is necessary to mobilize the instruments of public policy toward commonsense risk mitigation. We acknowledge that the recommendations in this brief may not be fully achievable within a six month window, but such a pause would hold the moving target still and allow policymakers time to implement the foundations of good AI governance. 安全性を維持し、社会に利益をもたらすようなAI研究開発の進展へのアプローチは可能であるが、技術進化のペースが慎重な監視のペースを上回らないよう、政策立案者による断固とした早急な行動が必要であると我々は考える。常識的なリスク低減に向けて公共政策の手段を動員するためには、AIの最前線における開発の一時停止が必要である。しかし、このような一時停止は、動いている目標を静止させ、政策立案者に優れたAIガバナンスの基礎を導入する時間を与えるだろう。
The path forward will require coordinated efforts by civil society, governments, academia, industry, and the public. If this can be achieved, we envision a flourishing future where responsibly developed AI can be utilized for the good of all humanity. 前進するためには、市民社会、政府、ガバナンス、産業界、そして一般市民による協調的な取り組みが必要である。これが達成できれば、責任を持って開発されたAIが全人類のために活用され、繁栄する未来が描けるだろう。

 

[1] See, e.g., Steve Rathje, Jay J. Van Bavel, & Sander van der Linden, ‘Out-group animosity drives engagement on social media,’ Proceedings of the National Academy of Sciences, 118 (26) e2024292118, Jun. 23, 2021, and Tiffany Hsu & Stuart A. Thompson, ‘Disinformation Researchers Raise Alarms About A.I. Chatbots,’ The New York Times, Feb. 8, 2023 [upd. Feb. 13, 2023] [1] 例えば、Steve Rathje, Jay J. Van Bavel, & Sander van der Linden, 'Out-group animosity drives engagement on social media,' Proceedings of the National Academy of Sciences, 118 (26) e2024292118, Jun. 23, 2021, and Tiffany Hsu & Stuart A. Thompson, 'Disinformation Researchers Raise Alarms About A.I. Chatbots,' The New York Times, Feb. 8, 2023 [upd. Feb. 13, 2023]を参照のこと。
[2] See, e.g., Abid, A., Farooqi, M. and Zou, J. (2021a), ‘Large language models associate Muslims with violence,’ Nature Machine Intelligence, Vol. 3, pp. 461–463. [2] 例えば、Abid, A., Farooqi, M. and Zou, J. (2021a), 'Large language models associate Muslims with violence,' Nature Machine Intelligence, Vol.
[3] In a 2022 survey of over 700 leading AI experts, nearly half of respondents gave at least a 10% chance of the long-run effect of advanced AI on humanity being ‘extremely bad,’ at the level of ‘causing human extinction or similarly permanent and severe disempowerment of the human species.’ [3] 2022年に行われた700人以上の第一線のAI専門家を対象とした調査では、回答者の半数近くが、高度なAIが人類に及ぼす長期的な影響について、「人類の絶滅を引き起こすか、あるいは同様に恒久的かつ深刻な無力化を引き起こす」レベルの「極めて悪い」ものになる可能性を少なくとも10%以上あげている。
[4] Future of Life Institute, ‘Pause Giant AI Experiments: An Open Letter,’ Mar. 22, 2023. [4] Future of Life Institute, 'Pause Giant AI Experiments: 公開書簡」2023年3月22日。
[5] Recent news about AI labs cutting ethics teams suggests that companies are failing to prioritize the necessary safeguards.  [5] AI研究所が倫理チームを削減するという最近のニュースは、企業が必要な保護措置を優先していないことを示唆している。
[6] The Future of Life Institute has previously defined “general-purpose AI system” to mean ‘an AI system that can accomplish or be adapted to accomplish a range of distinct tasks, including some for which it was not intentionally and specifically trained.’ 7  [6] The Future of Life Instituteは以前、「汎用AIシステム」を「意図的かつ特別に訓練されたものではないものも含め、様々な明確なタスクを達成できる、または達成できるように適応されたAIシステム」と定義した。7 
[7] Samuel R. Bowman, ’Eight Things to Know about Large Language Models,’ ArXiv Preprint, Apr. 2, 2023. [7] Samuel R. Bowman, 'Eight Things to Know about Large Language Models,' ArXiv Preprint, Apr.2, 2023.
[8] Proposed EU Artificial Intelligence Act, Article 43.1b. [8] EU人工知能法(案)第43.1b条。
[9] National Institute of Standards and Technology, ‘Artificial Intelligence Risk Management Framework (AI RMF 1.0),’ U.S. Department of Commerce, Jan. 2023. [9] 国立標準技術研究所、「人工知能リスクマネジメントフレームワーク(AI RMF 1.0)」、米国商務省、2023年1月。
[10] International standards bodies such as IEC, ISO and ITU can also help in developing standards that address risks from advanced AI systems, as they have highlighted in response to FLI’s call for a pause. [10] IEC、ISO、ITUなどの国際標準団体も、FLIの呼びかけに応じて強調したように、高度なAIシステムによるリスクに対処する標準の開発に協力することができる。
[11] See, e.g., the Holistic Evaluation of Language Models approach by the Center for Research on Foundation Models: Rishi Bommassani, Percy Liang, & Tony Lee, ‘Language Models are Changing AI: The Need for Holistic Evaluation.’ [11] 例えば、Center for Research on Foundation ModelsによるHolistic Evaluation of Language Modelsのアプローチを参照のこと: Rishi Bommassani, Percy Liang, & Tony Lee, 'Language Models are Changing AI: The Need for Holistic Evaluation'.
[12] OpenAI described weaponization risks of GPT-4 on p.12 of the “GPT-4 System Card.” [12] OpenAIは、GPT-4の兵器化リスクについて、"GPT-4システムカード "のp.12に記述している。
[13] See, e.g., the following benchmark for assessing adverse behaviors including power-seeking, disutility, and ethical violations: Alexander Pan, et al., ‘Do the Rewards Justify the Means? Measuring Trade-offs Between Rewards and Ethical Behavior in the MACHIAVELLI Benchmark,’ ArXiv Preprint, Apr. 6, 2023. [13] 権力追求、不益、倫理違反を含む不利な行動を評価するための以下のベンチマークなどを参照: Alexander Pan, et al., 'Do the Rewards Justify the Means? Alexander Pan, et al, 'Do Rewards Justify Means? Measuring Trade-offs Between Rewards and Ethical Behavior in the MACHIAVELLI Benchmark,' ArXiv Preprint, Apr.
[14] Jess Whittlestone et al., ‘Future of compute review - submission of evidence,’ Aug. 8, 2022. [14] Jess Whittlestone et al., 'Future of compute review - submission of evidence', Aug. 8, 2022.
[15] Please see fn. 14 for a detailed proposal for government compute monitoring as drafted by the Centre for Long-Term Resilience and several staff members of AI lab Anthropic. [15] 長期レジリエンスセンター(Centre for Long-Term Resilience)とAIラボAnthropicのスタッフ数名によってドラフトされた政府のコンピュートモニタリングに関する詳細な提案については、fn. 14を参照のこと。
[16] Yonadav Shavit at Harvard University has proposed a detailed system for how governments can place limits on how and when AI systems get trained.  [16] ハーバード大学のヨナダヴ・シャヴィットは、政府がAIシステムの学習方法や学習時期に制限を設ける方法について、詳細なシステムを提案している。
[17] Bureau of Industry and Security, Department of Commerce, ‘Implementation of Additional Export Controls: Certain Advanced Computing and Semiconductor Manufacturing Items; Supercomputer and Semiconductor End Use; Entity List Modification‘, Federal Register, Oct. 14, 2022. [17] 商務省産業安全保障局、「追加輸出規制の実施」: スーパーコンピュータと半導体の最終用途、事業体リストの修正」、連邦官報、2022年10月14日。
[18] Eleanor Olcott, Qianer Liu, & Demetri Sevastopulo, ‘Chinese AI groups use cloud services to evade US chip export control,’ Financial Times, Mar. 9, 2023. [18] Eleanor Olcott, Qianer Liu, & Demetri Sevastopulo, 'Chinese AI groups use cloud services to evade US chip export control,' Financial Times, Mar. 9, 2023.
[19] Anton Korinek, ‘Why we need a new agency to regulate advanced artificial intelligence: Lessons on AI control from the Facebook Files,’ Brookings, Dec. 8 2021. [19] Anton Korinek, 'Why we need a new agency to regulate advanced artificial intelligence: FacebookファイルからのAI規制に関する教訓」ブルッキングス、2021年12月8日。
[20] Proposed EU Artificial Intelligence Act, Article 60. [20] EU人工知能法案、第60条。
[21] Will Knight & Khari Johnson, ‘Now That ChatGPT is Plugged In, Things Could Get Weird,’ Wired, Mar. 28, 2023.  [21] Will Knight & Khari Johnson, 'Now That ChatGPT is Plugged In, Things Could Get Weird,' Wired, Mar. 28, 2023. 
[22] OpenAI, ‘GPT-4 System Card,’ Mar. 23, 2023, p.15. [22] OpenAI、「GPT-4システムカード」、2023年3月23日、p.15。
[23] I.e., functions that could materially affect the wellbeing or rights of individuals, communities, or society. [23] つまり、個人、コミュニティ、社会の福利や権利に重大な影響を与える可能性のある機能である。
[24] Joseph Cox, ‘Facebook’s Powerful Large Language Model Leaks Online,’ VICE, Mar. 7, 2023.  [24] Joseph Cox, 'Facebook's Powerful Large Language Model Leaks Online,' VICE, Mar. 7, 2023. 
[25] For a systematic overview of how watermarking can be applied to AI models, see: Franziska Boenisch, ‘A Systematic Review on Model Watermarking of Neural Networks,’ Front. Big Data, Sec. Cybersecurity & Privacy, Vol. 4, Nov. 29, 2021. [25] 電子透かしがAIモデルにどのように適用できるかの体系的な概要については、以下を参照のこと: Franziska Boenisch, 'A Systematic Review on Model Watermarking of Neural Networks,' Front. Big Data, Sec. Cybersecurity & Privacy, Vol.4, Nov.29, 2021」を参照のこと。
[26] This figure, drawn from , ‘The AI Arms Race is Changing Everything,’ (Andrew R. Chow & Billy Perrigo, TIME, Feb. 16, 2023 [upd. Feb. 17, 2023]), likely represents a lower bound for the estimated number of AI safety researchers. This resource posits a significantly higher number of workers in the AI safety space, but includes in its estimate all workers affiliated with organizations that engage in AI safety-related activities. Even if a worker has no involvement with an organization’s AI safety work or research efforts in general, they may still be included in the latter estimate. [26] この数字は、「AI軍拡競争がすべてを変える」(Andrew R. Chow & Billy Perrigo, TIME, 2023年2月16日[2023年2月17日更新])から引用されたもので、AI安全性研究者の推定数の下限を示している可能性が高い。この資料では、AI安全分野に従事する労働者の数はかなり多いと仮定しているが、AI安全関連活動に従事する組織に所属する労働者すべてを推定に含めている。組織のAI安全活動や研究活動全般に関与していない労働者であっても、後者の推計に含まれる可能性がある。
[27] Christine Criddle & Madhumita Murgia, ‘Big tech companies cut AI ethics staff, raising safety concerns,’ Financial Times, Mar. 29, 2023. [27] Christine Criddle & Madhumita Murgia, 'Big tech companies cut AI ethics staff, raising safety concerns,' Financial Times, Mar. 29, 2023.
[28] See fn. 23, supra. [28] 前掲のfn. 23を参照のこと。
[29] Original call for a UK government AI lab is set out in this article. [29] 英国政府AIラボの設立を求めるガバナンスの原型はこの記事にある。
[30] For the taskforce’s detailed recommendations, see:  ‘Strengthening and Democratizing the U.S. Artificial Intelligence Innovation Ecosystem: An Implementation Plan for a National Artificial Intelligence Research Resource,’  National Artificial Intelligence Research Resource Task Force Final Report, Jan. 2023. [30] タスクフォースの詳細な提言については、以下を参照のこと:  米国の人工知能イノベーション・エコシステムの強化と民主化: National Artificial Intelligence Research Resource: An Implementation Plan for a National Artificial Intelligence Research Resource」(全米人工知能研究リソース・タスクフォース最終報告書、2023年1月)を参照のこと。
[31] Pranshu Verma, ‘They thought loved ones were calling for help. It was an AI scam.’ The Washington Post, Mar. 5, 2023. [31] Pranshu Verma, '彼らは愛する人が助けを求めていると思った。それはAI詐欺だった」。ワシントンポスト、2023年3月5日。
[32] Tiffany Hsu & Stuart A. Thompson, ‘Disinformation Researchers Raise Alarms About A.I. Chatbots,’ The New York Times, Feb. 8, 2023 [upd. Feb. 13, 2023]. [32] Tiffany Hsu & Stuart A. Thompson, 'Disinformation Researchers Raise Alarms About A.I. Chatbots,' The New York Times, Feb. 8, 2023 [2023年2月13日更新]。
[33] Proposed EU Artificial Intelligence Act, Article 52. [33] EU人工知能法案、第52条。
[34] SB 1001 (Hertzberg, Ch. 892, Stats. 2018). [34] SB 1001 (Hertzberg, Ch. 892, Stats. 2018)。
[35] Recommendation 125, ‘Outcome document: first draft of the Recommendation on the Ethics of Artificial Intelligence,’ UNESCO, Sep. 7, 2020, p. 21. [35] 勧告125「成果文書:人工知能の倫理に関する勧告の第1草案」、ユネスコ、2020年9月7日、21頁。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.03 欧州 EU外交部 人工知能時代に事実を正しく伝えるために

 

 

| | Comments (0)

オランダ 耐量子暗号への移行等に関するハンドブック

こんにちは、丸山満彦です。

オランダ内務省・王室関係省の総合情報保安局が、耐量子暗号への移行等に関する文書を公表していますね。。。

 

⚫︎ Algemene Inlichtingen- en Veiligheidsdienst

・2023.04.04 Handboek overstap quantumveilige communicatie gelanceerd

Handboek overstap quantumveilige communicatie gelanceerd スイッチング量子セキュア通信ハンドブックの発表
xperts achten de kans klein maar reëel dat quantumcomputers in 2030 al krachtig genoeg zijn om de huidige cryptografische standaarden te breken. Daarom is het belangrijk dat organisaties spoedig starten met de overstap naar een quantumveilige omgeving. Vandaag hebben de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), TNO en Centrum Wiskunde & Informatica (CWI) een handboek gepubliceerd voor de overstap naar quantumveilige communicatie. 専門家は、2030年までに量子コンピュータが現在の暗号基準を破るほど強力になる可能性は小さいが現実的だと考えている。そのため、組織は早急に量子セキュアな環境への移行を開始することが重要である。本日、General Intelligence and Security Service(AIVD)、TNO、Centrum Wiskunde & Informatica(CWI)は、量子セキュア通信への移行に関するハンドブックを発表した。
Het handboek is bedoeld voor de Nederlandse overheid, het bedrijfsleven, vitale sectoren en kennisinstellingen die werken met belangrijke informatie die versleuteld wordt, zoals bedrijfsgeheimen. Alexandra van Huffelen, staatssecretaris Koninkrijksrelaties en Digitalisering, kreeg het eerste exemplaar overhandigd tijdens een bijeenkomst in Den Haag over de migratie naar post-quantum cryptografie. ハンドブックは、企業秘密など暗号化された重要な情報を扱うオランダ政府、産業界、重要部門、知識機関を対象としている。ハーグで開催された耐量子暗号への移行に関する会議で、アレクサンドラ・ファン・ハッフェレン英国関係・デジタル化担当国務長官が最初の1冊を手渡した。
Overstap vraagt om maatwerk 移行にはカスタマイズが必要
Het handboek biedt handvatten om de overstap naar quantumveilige communicatie door gebruikmaking van post-quantum cryptografie (PQC) goed voor te bereiden en uit te voeren. PQC is een verzameling goedgekeurde versleutelingsmethodes die, in tegenstelling tot de huidige versleuteling, niet te kraken zijn door quantumcomputers. 本ハンドブックは、耐量子暗号(PQC)を用いた量子セキュア通信への移行を適切に準備・実施するためのツールを提供します。PQCは、現在の暗号化とは異なり、量子コンピュータでは解読できない、承認された暗号化手法の集合体である。
Het handboek helpt organisaties om risico’s te identificeren en geeft concrete stappen om te werken aan een migratiestrategie. Er is namelijk niet één strategie voor alle organisaties, aangezien niet elke organisatie dezelfde belangen en ICT-structuur heeft. Bijvoorbeeld omdat men met andersoortige data werkt of een andere mate van vertrouwelijkheid heeft.  本ハンドブックは、組織がリスクを特定し、移行戦略に取り組むための具体的なステップを提供するものである。実際、すべての組織が同じ関心とICT構造を持っているわけではないので、すべての組織に対する単一の戦略は存在しない。例えば、扱うデータの種類や機密保持のレベルが異なるからである。 
Alexandra van Huffelen, staatssecretaris Koninkrijksrelaties en Digitalisering: ‘Het is van groot belang dat Nederland zich  voorbereidt op de dreiging van de quantumcomputer voor onze beveiligde informatie en communicatie. Dit handboek biedt overheid en bedrijfsleven belangrijke ondersteuning hierbij. Mooi om te zien dat de samenwerking tussen de kennisinstellingen leidt tot de publicatie van dit handboek.’ アレクサンドラ・ファン・ハッフェレン(王室関係・デジタル化担当国務長官):「オランダが量子コンピュータの脅威に備え、安全な情報通信を行うことは非常に重要である。このハンドブックは、政府と産業界に重要なサポートを提供するものである。知識機関の協力がこのハンドブックの出版につながったのは素晴らしいことである」。
Dreiging quantumcomputers reëel 量子コンピュータの脅威が現実に
Cryptografie wordt gebruikt om gegevens te beschermen die niet leesbaar mogen zijn door anderen. Experts achter de kans klein maar reëel dat quantumcomputers in 2030 al krachtig genoeg zijn om de huidige cryptografische standaarden te breken. Daarom is het belangrijk om tijdig voor gevoelige informatie passende maatregelen te nemen.  暗号は、他人が読めないはずのデータを保護するために使われる。専門家の間では、2030年までに量子コンピュータが現在の暗号の基準を破るほど強力になる可能性は小さいが現実的であると言われている。したがって、機密性の高い情報については、適切な対策を間に合わせることが重要である。 
Tot die tijd zijn er ook risico’s voor de huidige cryptografie. De data die nu vercijferd worden verstuurd of opgeslagen, kunnen, onderschept worden en op een later moment met een quantumcomputer worden ontcijferd. Gegevens die in 2030 nog steeds gevoelig zijn en geheim moeten blijven, moeten daarom zo snel mogelijk vercijferd worden met cryptografie die beschermt tegen aanvallen van een quantumcomputer. それまでは、現在の暗号技術にもリスクがある。今、暗号化して送信・保存しているデータが、後日、量子コンピュータで傍受・復号化される可能性がある。したがって、2030年になっても機密性が高く、秘密にしておかなければならないデータは、量子コンピュータによる攻撃から保護される暗号でできるだけ早く暗号化する必要がある。

 

Het PQC-migratie handboek

Het PQC-migratie handboek PQC移行ハンドブック
Dit handboek ondersteunt organisaties met concrete stappen en advies om de dreiging van quantumcomputers voor cryptografie te beperken. Het moment waarop quantumcomputers een dreiging zullen vormen voor momenteel gebruikte cryptografie is onvoorspelbaar. Toch moeten bepaalde organisaties nu al aan oplossingen werken vanwege het risico dat quantumcomputers met zich meebrengen. Bijvoorbeeld organisaties die data verwerken die zelfs over 20 jaar nog vertrouwelijk moeten blijven, of die systemen met een lange levensduur ontwikkelen. De meest veelbelovende oplossing is de zogenaamde post-quantumcryptografie (PQC).  本ハンドブックは、暗号に対する量子コンピュータの脅威を軽減するための具体的な手順とアドバイスで組織をサポートします。量子コンピュータが現在使われている暗号に脅威を与えるようになる瞬間は予測不可能である。しかし、量子コンピュータがもたらすリスクから、今すでに解決策に取り組んでいる組織もあるはずである。例えば、20年後も機密性を保たなければならないデータを処理する組織や、寿命の長いシステムを開発する組織などである。最も有望な解決策は、いわゆる耐量子暗号(PQC)である。 

 

・[PDF

20230413-155903

目次...

Inhoud 目次
1 Inleiding 1 はじめに
1.1 Doel van deze handleiding 1.1 本ハンドブックの目的
1.2 Bijbehorende risico's 1.2 関連するリスク
1.3 Documentstructuur en leeswijzer 1.3 文書の構成と読み方
1.4 Achtergrondinformatie over cryptografie 1.4 暗号の背景情報
1.5 Bijbehorende werkzaamheden op het vlak van PQC-migratie 1.5 PQCマイグレーションに関する関連作業
2 Diagnose 2 診断
2.1 PQC-persona's 2.1 PQCペルソナ
2.1.1 Urgente adopters 2.1.1 緊急採用者
2.1.2 Reguliere adopters 2.1.2 通常採用者
2.1.3 Cryptografie-experts 2.1.3 暗号専門家
2.1.4 Uw persona bepalen 2.1.4 ペルソナを定義する
2.2 PQC-diagnose 22 2.2 PQC診断
2.2.1 De PQC-diagnose uitvoeren 2.2.1 PQC診断の実行
3 Migratieplanning 3 移行計画
3.1 Wanneer te beginnen met migreren? 3.1 いつ移行を始めるか?
3.1.1 Verschillende migratiescenario's 3.1.1 さまざまな移行シナリオ
3.1.2 Stapsgewijs proces 3.1.2 ステップバイステッププロセス
3.2 Advies over migratieplanning 3.2 移住計画に関するアドバイス
3.2.1 Planning van bedrijfsprocessen 3.2.1 ビジネスプロセス計画
3.2.2 Technische planning 3.2.2 技術企画
4 Uitvoering 4 実装
4.1 Algemene strategieën 4.1 一般的な戦略
4.2 Primitieven migreren 4.2 プリミティブの移行
4.2.1 Symmetrische cryptografie 4.2.1 対称型暗号方式
4.2.2 Asymmetrische cryptografie: mechanismen voor versleuteling met publieke sleutel en sleutelinkapseling 4.2.2 非対称暗号:公開鍵暗号化機構と鍵のカプセル化
4.2.3 Asymmetrische cryptografie: digitale handtekeningen 4.2.3 非対称暗号:デジタル署名
4.2.4 Hash 4.2.4 ハッシュ
4.2.5 MAC’s 4.2.5 MAC
4.3 Protocollen migreren 4.3 プロトコルのマイグレーション
5 Achtergrondinformatie over primitieven 5 プリミティブの背景情報
5.1 Klassieke primitieven 5.1 古典的なプリミティブ
5.1.1 Symmetrische vercijferingen 5.1.1 対称暗号化
5.1.2 Asymmetrische vercijferingen 5.1.2 非対称な暗号化
5.1.3 Hash 5.1.3 ハッシュ
5.1.4 MAC’s 5.1.4 MAC
5.2 Stateful hash-based handtekeningen 5.2 ステートフルハッシュベースの署名
5.3 Post-quantum primitieven 5.3 ポスト量子プリミティブ
5.3.1 Digitale handtekening 5.3.1 デジタル署名
5.3.2 Versleuteling met publieke sleutel en sleutelvorming 5.3.2 公開鍵暗号と鍵の形成
Bibliografie 参考文献

 

 

 

 

| | Comments (0)

イタリア データ保護庁 ChatGPT復活へ... 4月30日までに改善できれば...

こんにちは、丸山満彦です。

イタリアのデータ保護庁が、GDPRに違反しているということで、OpenAI社のChatGPTのイタリア国内での使用を禁止したわけですが、その後、両者で話し合いが行われ、4月30日までに改善ができれば、復活できるよ、、、、と合意ができたようですね。。。

 

⚫︎ Garante Per La Protezione Dei Dati Personali

・2023.04.12 ChatGPT: Italian SA to lift temporary limitation if OpenAI implements measures - 30 April set as deadline for compliance

ChatGPT: Italian SA to lift temporary limitation if OpenAI implements measures ChatGPT:イタリアSA、OpenAIが対策を講じれば一時的な制限を解除へ
30 April set as deadline for compliance 4月30日をコンプライアンス遵守の期限とする
OpenAI will have to comply by 30 April with the measures set out by the Italian SA concerning transparency, the right of data subjects – including users and non-users -, and the legal basis of the processing for algorithmic training relying on users’ data. Only in that case will the Italian SA lift its order that placed a temporary limitation on the processing of Italian users’ data, there being no longer the urgency underpinning the order, so that ChatGPT will be available once again from Italy. OpenAIは4月30日までに、透明性、ユーザーと非ユーザーを含むデータ主体の権利、ユーザーのデータに依存するアルゴリズムトレーニングのための処理の法的根拠に関するイタリアのSAが定めた措置を遵守しなければならないことになる。その場合のみ、イタリア政府機関は、イタリア人ユーザーのデータ処理に一時的な制限を加える命令を解除し、その命令にはもはや緊急性がないため、ChatGPTは再びイタリアから利用できるようになる。
Therefore, several concrete measures will have to be implemented by the company in accordance with today’s decision by the SA. そのため、本日の決定に従って、具体的な措置を講じる必要がある。
Information 通知
OpenAI will have to draft and make available, on its website, an information notice describing the arrangements and logic of the data processing required for the operation of ChatGPT along with the rights afforded to data subjects (users and non-users). The information notice will have to be easily accessible and placed in such a way as to be read before signing up to the service. オープンアイは、ChatGPTの運営に必要なデータ処理の仕組みとロジック、およびデータ主体(ユーザーと非ユーザー)に与えられる権利を説明する情報通知をドラフトし、ウェブサイトで公開する必要がある。この情報告知は、簡単にアクセスでき、サービスに登録する前に読むことができるように配置されなければならない。
Users from Italy will have to be presented with the notice before completing their registration, when they will also be required to declare they are aged above 18. イタリアからのユーザーは、登録を完了する前に、18歳以上であることを申告する必要がある。
Registered users will have to be presented with the notice at the time of accessing the service, once it is reactivated, when they will also be required to pass through an age gate filtering out underage users on the basis of the inputted age. 登録されたユーザーは、サービスを再開する際に、入力された年齢に基づいて未成年のユーザーを排除する年齢ゲートを通過する必要があるため、この通知を提示する必要がある。
Legal basis 法的根拠
Regarding the legal basis of the processing of users’ personal data for training algorithms, the Italian SA ordered OpenAI to remove all references to contractual performance and to rely – in line with the accountability principle – on either consent or legitimate interest as the applicable legal basis. This will be without prejudice to the exercise the SA’s investigatory and enforcement powers in this respect. 訓練アルゴリズムのためにユーザーの個人データを処理する法的根拠について、イタリアのSAはOpenAIに対し、契約上の履行に関するすべての言及を削除し、説明責任の原則に沿って、適用される法的根拠として同意または正当な利益のいずれかに依拠するよう命じました。これは、この点に関するSAの調査権および執行権の行使を妨げるものではない。
Exercise of data subjects’ rights データ主体者の権利の行使
A set of additional measures concern the availability of tools to enable data subjects, including non-users, to obtain rectification of their personal data as generated incorrectly by the service, or else to have those data erased if rectification was found to be technically unfeasible. 一連の追加措置は、非ユーザーを含むデータ主体が、サービスによって不正に生成された個人データの修正を受けること、または修正することが技術的に不可能であると判明した場合にそれらのデータを消去してもらうことを可能にするツールの利用可能性に関するものである。
OpenAI will have to make available easily accessible tools to allow non-users to exercise their right to object to the processing of their personal data as relied upon for the operation of the algorithms. The same right will have to be afforded to users if legitimate interest is chosen as the legal basis for processing their data. OpenAIは、アルゴリズムの運用のために依拠した個人データの処理に反対する権利を非ユーザーが行使できるように、簡単にアクセスできるツールを提供しなければならない。正当な利益をデータ処理の法的根拠として選択した場合、同じ権利をユーザーに与えなければならない。
Protection of children 子どもの保護
Regarding age verification measures, the Italian SA ordered OpenAI to immediately implement an age gating system for the purpose of signing up to the service and to submit, within the 31st of May, a plan for implementing, by 30 September 2023, an age verification system to filter out users aged below 13 as well as users aged 13 to 18 for whom no consent is available by the holders of parental authority. 年齢確認対策について、イタリアのSAは、OpenAIに対し、サービスへのサインアップを目的とした年齢確認システムを直ちに導入し、2023年9月30日までに、13歳未満のユーザーおよび親権者の同意が得られていない13歳から18歳のユーザーを除外する年齢確認システムの導入計画を5月31日以内に提出するよう命じた。
Awareness-raising campaign 啓発キャンペーン
OpenAI will have to promote an information campaign in agreement with the Garante, by the 15th of May, through radio, TV, newspapers and the Internet in order to inform individuals on use of their personal data for training algorithms. OpenAIは、5月15日までに、Garanteの同意のもと、ラジオ、テレビ、新聞、インターネットを通じて、個人データをトレーニングアルゴリズムに使用することを知らせる情報キャンペーンを実施しなければならない。
The Italian SA will carry on its inquiries to establish possible infringements of the legislation in force and may decide to take additional or different measures if this proves necessary upon completion of the fact-finding exercise under way. イタリアのSAは、施行されている法律への違反の可能性を確認するために調査を続け、現在行われている事実確認が完了した時点で、必要と判断される場合には、追加または異なる措置を取ることを決定することができる。

 

1_20230401162001

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

イタリアデータ保護庁の動き...

・2023.04.14 イタリア データ保護庁 ChatGPT復活へ... 4月30日までに改善できれば...

・2023.04.10 イタリア データ保護庁委員とOpenAI社CEOが会談

・2023.04.02 イタリア データ保護庁がOpenAI社にプライバシー規制を遵守するまでChatGPTがイタリア人ユーザのデータ処理の制限を直ちに命じた...

 

ChatGPTとプライバシー関連...

・2023.04.14 EDPB Metaによる米国への個人データ転送に関する紛争解決、Chat GPTに関するタスクフォースを設置

・2023.04.14 スペイン ChatGPTを運営するOpenAI社に対して職権で調査手続きを開始

・2023.04.14 イタリア データ保護庁 ChatGPT復活へ... 4月30日までに改善できれば...

・2023.04.10 イタリア データ保護庁委員とOpenAI社CEOが会談

・2023.04.06 OpenAI ブログ AIの安全への取り組み

・2023.04.06 カナダ プライバシーコミッショナー ChatGPTに対する調査を開始

・2023.04.02 イタリア データ保護庁がOpenAI社にプライバシー規制を遵守するまでChatGPTがイタリア人ユーザのデータ処理の制限を直ちに命じた...

 

 

| | Comments (0)

2023.04.13

NISTサイバーセキュリティ白書 NIST CSWP 28 小規模製造業におけるセキュリティ・セグメンテーション (2023.04.06)

こんにちは、丸山満彦です。

NISTが、NIST CSWP 28 小規模製造業におけるセキュリティ・セグメンテーションという白書を公表していますね。。。

アプローチとして6ステップが提案されています。。。

  • ステップ1:資産リストの確認 
  • ステップ2:リスクの評価とセキュリティゾーンの作成
  • ステップ3:セキュリティゾーンのリスクレベルの決定 
  • ステップ4:セキュリティゾーン間の通信をマッピングする
  • ステップ5:セキュリティゾーンのセキュリティ制御を決定する
  • ステップ6:論理的なセキュリティ・アーキテクチャ図の作成

 

⚫︎ NIST - ITL

・2023.04.06 White Paper NIST CSWP 28 Security Segmentation in a Small Manufacturing Environment

White Paper NIST CSWP 28 Security Segmentation in a Small Manufacturing Environment NISTサイバーセキュリティ白書
NIST CSWP 28 小規模製造業におけるセキュリティ・セグメンテーション
Abstract 概要
Manufacturers are increasingly targeted in cyber-attacks.  Small manufacturers are particularly vulnerable due to limitations in staff and resources to operate facilities and manage cybersecurity. Security segmentation is a cost-effective and efficient security design approach for protecting cyber assets by grouping them based on both their communication and security requirements. This paper outlines a six-step approach that manufacturers can follow to implement security segmentation and mitigate cyber vulnerabilities in their manufacturing environments. The security architecture resulting from the security segmentation design activities is a foundational preparation step for additional security strategies like Zero Trust. 製造業がサイバー攻撃の標的にされることが多くなっている。  特に小規模な製造業は、設備の運用やサイバーセキュリティを管理するための人員やリソースに制限があるため、脆弱性が高い。セキュリティセグメンテーションは、通信とセキュリティの両方の要件に基づいてサイバー資産をグループ化し、保護するための費用対効果が高く効率的なセキュリティ設計手法である。本稿では、製造業がセキュリティ・セグメンテーションを導入し、製造環境におけるサイバー脆弱性を軽減するための6ステップのアプローチを概説する。セキュリティ・セグメンテーションの設計活動から得られるセキュリティ・アーキテクチャは、ゼロ・トラストのような追加のセキュリティ戦略のための基礎的な準備ステップとなるものである。 

 

・[PDF]

20230413-30027_20230413030001

 

・[DOCX] 仮訳

 

 

 

 

| | Comments (0)

総務省 我が国におけるeシールサービスの状況等に関する情報提供依頼

こんにちは、丸山満彦です。

総務省が、日本において提供されているeシールサービスやeシールと近しい機能を持つと考えられるサービス等について、情報提供をもとめていますね。。。

eシールって社印の電子版のようなものですかね。。。

 

⚫︎ 総務省

・2023.04.12 我が国におけるeシールサービスの状況等に関する情報提供依頼

(1) 依頼内容
   別紙1「我が国におけるeシールサービスの状況等に関する情報提供依頼」

 

eシールに係る指針についてはこちら...

⚫︎ 総務省

・2021.06.25 組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)及びeシールに係る指針(案)に対する意見募集の結果

・2021.06.25 [PDF] e シールに係る指針

20230413-03522

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.30 総務省 パブコメ 組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)及びeシールに係る指針(案)に対する意見募集

 

 

| | Comments (0)

米国 CISA ゼロトラスト成熟度モデル V2.0 (2023.04.11)

こんにちは、丸山満彦です。

CISAがゼロトラスト成熟度モデル V2.0を公表していますね...

2021年8月にVer1.0を公表してから2年弱でバージョンアップです...

 

CISA

リソース

Zero Trust Maturity Model

文書

・2024.04.11 Zero Trust Maturity Model

・[PDF

20240902-225311

・[DOCX][PDF] 仮訳

 

目次...

1.  Introduction 1.  序文
2.  Current Environment 2.  現在の環境
3.  What Is Zero Trust? 3.  ゼロ・トラストとは何か?
4.  Challenges in Zero Trust Adoption 4.  ゼロ・トラスト導入の課題
5.  Zero Trust Maturity Model 5.  ゼロ・トラスト成熟度モデル
5.1  Identity 5.1 アイデンティティー
5.2  Devices 5.2 デバイス
5.3  Networks 5.3 ネットワーク
5.4  Applications and Workloads 5.4 アプリケーションとワークロード
5.5  Data 5.5 データ
5.6  Cross-Cutting Capabilities 5.6 横断的な能力
6.  References 6.  参考文献
7.  CISA Resources 7.  CISAリソース

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

 

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.12.04 米国 国防情報システム局 戦略計画 FY19-22の改訂版を公開

・2020.10.22 NISTのZero Trust Architecture実装プロジェクトに関する文書

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

| | Comments (0)

2023.04.12

NATO 世界最大級のサイバー防衛演習「Locked Shields」に3000人以上が参加

こんにちは、丸山満彦です。

2010年からNATO Cooperative Cyber Defense Center of Excellence(CCDCOE)によりタリンで開催されているLocked Shiekdsが、今年もタリンで、38カ国、3000名以上の参加者によりで、4月18日から21日に開催されますね。。。

Locked Shieldsはレッドチーム対ブルーチームの訓練で、リアルタイムの攻撃から実際のコンピュータシステムを守り、危機的状況における戦術的・戦略的判断をシミュレーションする演習ですね。。。ブルーチームはNATO CCDCOE加盟国とそのパートナー国から構成されていて、システムの防衛に加え、インシデントの報告、戦略的決定の実行、フォレンジック、法律、メディアの課題の解決などを行なわければなりません。。。

この演習の計画には400人のメンバーが関わっていて、5,500以上の仮想システムが作られているようです・・・

 

1_20230412154201

 

NATO CCDCOE

・2023.04.10 World's largest cyber defense exercise Locked Shields brings together over 3000 participants

 

昨年の様子...

・[YouTube]Locked Shields 2022

 

| | Comments (0)

Quad サイバーチャレンジ (2023.04.10-14)

こんにちは、丸山満彦です。

Quad(オーストラリア、インド、日本、米国)のサイバーセキュリティのイベントである、サイバーチャレンジがオーストラリア主導で2023.04.10-14で開催されていますね。。。

 

1_20230412121501

 

⚫︎ Australian Cyber and Infrastructure Security Centre; CISA

・2023.04.10 Quad Cyber Challenge starts 10 April

すべてのインターネットユーザーがサイバーセキュリティについてより深く学び、オンライン攻撃の脅威から自分自身、自分のデバイス、顧客を守るための行動を呼びかけるものということのようですね。。。

 

説明はこちら...(日本語のページもつくってくれています!!!)

・[JP] クアッドサイバーチャレンジ

・[EN] Cybersecurity: Take the Quad Cyber Challenge

 

参加している団体はこちら...

Commitments

登録は、こちらから...(日本語の登録画面もつくってくれています!)

・[JP] クアッドサイバーチャレンジ

 

日本の省庁では、紹介されていませんね。。。外務省、NISC、経済産業省とかの協力状況ってどうなんでしょうかね。。。

 

 

| | Comments (0)

中国 意見募集 生成的人工知能サービス管理弁法

こんにちは、丸山満彦です。

このところ、生成的AIがすっかり流行ですね。Web3はどこにいったのでしょうか?(^^)

さて、そんな生成的AIですが、中国で早速、その管理についての弁法案が公表され、意見募集されています。ネットワークセキュリティ法、データセキュリティ法、個人情報保護法の基の規則となっています。

・虚偽情報を生成できないようにする措置を講じる

・サービス提供前に、セキュリティ評価(世論属性や社会動員力を持つインターネット情報サービスのセキュリティ評価規定)をし、アルゴリズムの申請(インターネット情報サービスのアルゴリズム推奨管理規定)をする

・サービスの利用状況等を明らかにする

・生成された写真や動画などのコンテンツにマークを付ける(インターネット情報サービス深層合成管理規定)

等、既存の法令等との関係がかかれていますね。。。

中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2023.04.11 国家互联网信息办公室关于《生成式人工智能服务管理办法(征求意见稿)》公开征求意见的通知

国家互联网信息办公室关于《生成式人工智能服务管理办法(征求意见稿)》公开征求意见的通知 国家サイバースペース管理局「生成的AIサービス管理弁法(意見募集案)」意見募集の通知
附件:生成式人工智能服务管理办法(征求意见稿) 別紙:生成的AIサービス管理弁法(意見募集案)
国家互联网信息办公室 国家サイバースペース管理局
2023年4月11日 2023年4月11日
生成式人工智能服务管理办法 生成的AIサービス管理弁法
(征求意见稿) (意見募集用ドラフト)
第一条 为促进生成式人工智能健康发展和规范应用,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规,制定本办法。 第1条 本弁法は、生成的AIの健全な発展と標準的な応用を促進するため、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法、およびその他の法律と行政法規に従って制定される。
第二条 研发、利用生成式人工智能产品,面向中华人民共和国境内公众提供服务的,适用本办法。 第2条 本弁法は、中華人民共和国の領域内における公衆へのサービス提供のための生成的AI製品の研究開発および利用について適用される。
本办法所称生成式人工智能,是指基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术。 本措置でいう生成的AIとは、アルゴリズム、モデル及びルールに基づいてテキスト、画像、音声、映像、コード及びその他のコンテンツを生成する技術をいう。
第三条 国家支持人工智能算法、框架等基础技术的自主创新、推广应用、国际合作,鼓励优先采用安全可信的软件、工具、计算和数据资源。 第3条 国は、AIアルゴリズム、フレームワーク及びその他の基礎技術の自主的な革新、普及及び応用並びに国際協力を支持し、安全かつ信頼できるソフトウェア、ツール、コンピューティング及びデータ資源の優先的な利用を奨励する。
第四条 提供生成式人工智能产品或服务应当遵守法律法规的要求,尊重社会公德、公序良俗,符合以下要求: 第4条 生成的AI製品またはサービスの提供は、法令の要件を遵守し、社会道徳および公序良俗を尊重し、以下の要件を満たすものとする:
(一)利用生成式人工智能生成的内容应当体现社会主义核心价值观,不得含有颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,暴力、淫秽色情信息,虚假信息,以及可能扰乱经济秩序和社会秩序的内容。 (1) 生成的AIを用いて生成されるコンテンツは、社会主義の核心的価値を反映し、国家権力の転覆、社会主義体制の転覆、分離独立の扇動、国民統合の損なわれ、テロリズム、過激主義の促進、民族憎悪、民族差別、暴力、わいせつ・ポルノ情報、虚報、経済秩序や社会秩序を乱すおそれのあるコンテンツを含まないこと。
(二)在算法设计、训练数据选择、模型生成和优化、提供服务等过程中,采取措施防止出现种族、民族、信仰、国别、地域、性别、年龄、职业等歧视。 (2) アルゴリズム設計、学習データ選択、モデル生成・最適化、サービス提供の過程において、人種、民族、信条、国、地域、性別、年齢、職業等による差別を防止するための措置を講じること。
(三)尊重知识产权、商业道德,不得利用算法、数据、平台等优势实施不公平竞争。 (3) 知的財産権とビジネス倫理を尊重し、アルゴリズム、データ、プラットフォーム等の利点を利用して不正な競争をすることを控えること。
(四)利用生成式人工智能生成的内容应当真实准确,采取措施防止生成虚假信息。 (4) 生成的AIを用いて生成されるコンテンツは、真実かつ正確であるべきであり、虚偽の情報の生成を防止するための措置を講じること。
(五)尊重他人合法利益,防止伤害他人身心健康,损害肖像权、名誉权和个人隐私,侵犯知识产权。禁止非法获取、披露、利用个人信息和隐私、商业秘密。 (5) 他者の正当な利益を尊重し、他者の心身の健康への害、肖像権・名誉権・個人のプライバシーへの損害、知的財産権への侵害を防止する。 個人情報およびプライバシー・企業秘密の不正な取得、開示、利用を禁止すること。
第五条 利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人(以下称“提供者”),包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等,承担该产品生成内容生产者的责任;涉及个人信息的,承担个人信息处理者的法定责任,履行个人信息保护义务。 第5条 生成的AI製品を用いて、プログラマブルインターフェース等を提供することにより、他者によるテキスト、画像、音声等の生成を支援するなど、チャットやテキスト、画像、音声等の生成サービスを提供する団体および個人(以下「プロバイダー」という。)は、当該製品により生成されたコンテンツの制作者の責任を負い、個人情報が関わる場合、以下のことを行うものとする。 個人情報が関係する場合、提供者は、個人情報の処理者の法的責任を負い、個人情報保護の義務を果たすものとする。
第六条 利用生成式人工智能产品向公众提供服务前,应当按照《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》向国家网信部门申报安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。 第6条 生成的AI製品を利用して公衆にサービスを提供する前に、「世論属性や社会動員力を持つインターネット情報サービスのセキュリティ評価規定」に基づき、国家インターネット情報部門にセキュリティ評価を申告し、「インターネット情報サービスのアルゴリズム推奨管理規定」に基づき、アルゴリズム申告および変更・取消し申告手続きを行わなければならない。
第七条 提供者应当对生成式人工智能产品的预训练数据、优化训练数据来源的合法性负责。 第7条 提供者は、生成的AI製品の事前訓練データおよび最適化訓練データソースの合法性について責任を負うものとする。
用于生成式人工智能产品的预训练、优化训练数据,应满足以下要求: 生成的AI製品に使用される事前学習データ及び最適化学習データは、以下の要件を満たすものとする:
(一)符合《中华人民共和国网络安全法》等法律法规的要求; (1) 中華人民共和国のネットワークセキュリティに関する法律及びその他の法令の要件を遵守していること;
(二)不含有侵犯知识产权的内容; (2)知的財産権を侵害する内容を含んでいないこと;
(三)数据包含个人信息的,应当征得个人信息主体同意或者符合法律、行政法规规定的其他情形; (3) データに個人情報が含まれている場合、個人情報の主体の同意を得ること、その他法令および行政法規が定める事情を満たすこと;
(四)能够保证数据的真实性、准确性、客观性、多样性; (4) データの真正性、正確性、客観性、多様性が保証されていること;
(五)国家网信部门关于生成式人工智能服务的其他监管要求。 (5) 生成的AIサービスに関する国家インターネット情報部門のその他の規制要件。
第八条 生成式人工智能产品研制中采用人工标注时,提供者应当制定符合本办法要求,清晰、具体、可操作的标注规则,对标注人员进行必要培训,抽样核验标注内容的正确性。 第8条 手動ラベリングを使用する生成的AI製品の開発のうち、プロバイダは、このアプローチの要件に沿って、明確、具体的、運用可能なラベリング規則、ラベリング担当者の必要なトレーニング、ラベリングされたコンテンツの正しさのサンプル検証を開発しなければならない。
第九条 提供生成式人工智能服务应当按照《中华人民共和国网络安全法》规定,要求用户提供真实身份信息。 第9条 生成的AIサービスの提供は、「中華人民共和国ネットワークセキュリティ法」の規定に基づき、利用者に実際の身元情報の提供を義務付けるものとする。
第十条 提供者应当明确并公开其服务的适用人群、场合、用途,采取适当措施防范用户过分依赖或沉迷生成内容。 第10条 プロバイダーは、そのサービスの人口、機会、利用状況を明らかにし、開示するものとし、利用者がコンテンツ生成に過度に依存したり、中毒になったりしないよう、適切な措置を講じるものとする。
第十一条 提供者在提供服务过程中,对用户的输入信息和使用记录承担保护义务。不得非法留存能够推断出用户身份的输入信息,不得根据用户输入信息和使用情况进行画像,不得向他人提供用户输入信息。法律法规另有规定的,从其规定。 第11条 プロバイダは、サービスの提供にあたり、利用者の入力情報および利用記録の保護義務を負うものとする。 また、利用者の身元を推測できる入力情報を不正に保持しないこと、利用者の入力情報および利用状況に基づいて肖像画を作成しないこと、利用者の入力情報を他者に提供しないこと。 なお、法令に別段の定めがある場合は、その定めを適用するものとする。
第十二条 提供者不得根据用户的种族、国别、性别等进行带有歧视性的内容生成。 第12条 プロバイダは、ユーザーの人種、国、性別等による差別的なコンテンツを生成してはならない。
第十三条 提供者应当建立用户投诉接收处理机制,及时处置个人关于更正、删除、屏蔽其个人信息的请求;发现、知悉生成的文本、图片、声音、视频等侵害他人肖像权、名誉权、个人隐私、商业秘密,或者不符合本办法要求时,应当采取措施,停止生成,防止危害持续。 第13条 プロバイダは、利用者からの苦情を受け付け、処理する仕組みを構築し、個人からの個人情報の訂正、削除、遮断の要請を速やかに処理し、生成された文章、画像、音声、動画が他人の肖像権、名誉権、個人のプライバシー、営業秘密を侵害し、または本措置の要件を満たさないことが判明した場合または知った場合は、生成を停止し被害の継続を防止する措置を講じるものとする。
第十四条 提供者应当在生命周期内,提供安全、稳健、持续的服务,保障用户正常使用。 第14条 プロバイダは、ユーザによる正常な利用を確保するため、ライフサイクルにおいて安全かつ堅牢で継続的なサービスを提供するものとする。
第十五条 对于运行中发现、用户举报的不符合本办法要求的生成内容,除采取内容过滤等措施外,应在3个月内通过模型优化训练等方式防止再次生成。 第15条 運用中に発見され、利用者から報告された本措置の要件を満たさない生成コンテンツについては、コンテンツフィルタリング等の措置を講じるほか、3ヶ月以内にモデル最適化トレーニング等による再生の防止措置を講ずるものとする。
第十六条 提供者应当按照《互联网信息服务深度合成管理规定》对生成的图片、视频等内容进行标识。 第16条 提供者は、「インターネット情報サービス深層合成管理規定」に基づき、生成された写真や動画などのコンテンツにマークを付けるものとする。
第十七条 提供者应当根据国家网信部门和有关主管部门的要求,提供可以影响用户信任、选择的必要信息,包括预训练和优化训练数据的来源、规模、类型、质量等描述,人工标注规则,人工标注数据的规模和类型,基础算法和技术体系等。 第17条 プロバイダーは、国家インターネット情報部門および関連主管部門の要求に従い、事前訓練および最適化訓練データのソース、サイズ、種類および品質、手動ラベル付けルール、手動ラベル付けデータのサイズおよび種類、基礎アルゴリズムおよび技術システムなどの説明など、ユーザーの信頼および選択に影響を与える必要な情報を提供しなければならない。
第十八条 提供者应当指导用户科学认识和理性使用生成式人工智能生成的内容,不利用生成内容损害他人形象、名誉以及其他合法权益,不进行商业炒作、不正当营销。 第18条 提供者は、生成的AIによって生成されたコンテンツを科学的に理解し、合理的に使用するよう利用者を指導し、生成されたコンテンツを使用して他人のイメージ、評判およびその他の正当な権利と利益を損なわないようにし、商業的投機および不適切なマーケティングに関与しないものとする。
用户发现生成内容不符合本办法要求时,有权向网信部门或者有关主管部门举报。 ユーザーは、生成されたコンテンツが本措置の要件を満たしていないことを発見した場合、インターネット情報部門または関連主管部門に報告する権利を有する。
第十九条 提供者发现用户利用生成式人工智能产品过程中违反法律法规,违背商业道德、社会公德行为时,包括从事网络炒作、恶意发帖跟评、制造垃圾邮件、编写恶意软件,实施不正当的商业营销等,应当暂停或者终止服务。 第19条 プロバイダーは、利用者が生成されたAI製品の利用過程において、オンライン投機、悪意のある投稿やコメントの追従、スパムの作成、マルウェアの書き込み、不適切な商業マーケティングの実施など、法令、企業倫理、社会道徳に違反していると認めた場合、サービスを停止または終了させるものとする。
第二十条 提供者违反本办法规定的,由网信部门和有关主管部门按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处罚。 第20条 プロバイダーが本措置の規定に違反した場合、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法およびその他の法律、行政法規の規定に基づき、インターネット情報部門および関連主管部門が処罰するものとする。
法律、行政法规没有规定的,由网信部门和有关主管部门依据职责给予警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停或者终止其利用生成式人工智能提供服务,并处一万元以上十万元以下罚款。构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 法律や行政法規に規定がない場合、インターネット情報部門と関連主管部門は、その職務に基づき、警告、通報、批判を行い、一定期間内に是正を命じ、是正を拒否した場合や状況が深刻な場合は、生成的AIを用いたサービス提供の停止または終了を命じ、1万元以上、10万元以下の罰金を科されるものとする。 公安管理違反に該当する場合は、法律に基づいて公安管理処分を行い、犯罪に該当する場合は、法律に基づいて刑事責任を追及するものとする。
二十一条 本办法自2023年 月 日起实施。 第21条 本措置は、2023年⚪︎月⚪︎日より施行する。

1_20210612030101


⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.18 中国 サイバー法制白書 2022 (2023.01.12)

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.02.20 中国 「第14次5ヵ年計画における国家情報化計画」についての3つの専門家の意見

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2021.01.05 2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめ

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.07.06 中国のデータセキュリティ法案

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。



| | Comments (0)

2023.04.11

経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 第4回会議 (2023.04.07)

こんにちは、丸山満彦です。

経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 第4回会議の資料が公開されていますね。。。

米国のクリアランス制度を理解するためには、[PDF] 第3回の議事要旨に目を通すと良いかもですね。。。知り合いの中でも、米国やNATO?のクリアランスを持っている人がいましたが、海外出張等は渡航国の制限や事前承認等、いろいろとあったように思います(当時と制度はかわっているかもですが...)。

そして、なによりも情報を開示するかどうかは、その国の国益上有益であるとその国が認める(必要性がある)場合であって、クリアランスがあっても必要性がなければ、こちらから開示を要求しても開示はされないですよね。。。なので、クリアランス制度も重要ですが、例えば米国の機密情報を開示してもらいたいと思うのであれば、米国の国益にかなう活動をするために、その企業に情報開示をしなければならないと米国に思ってもらうことが、なによりも重要なのかもしれませんね。。。(もちろん、日本のクリアランスを維持するためには、それが日本の国益に反しないということも併せて条件になるように思います。)

もちろん、秘密の開示をしたいと米国が思っている場合、日本にクリアランス制度があり、日本政府の秘密を開示することが認められた人であれば、米国側が秘密を開示してもよいかどうかを判断する際の手続きを削減できる可能性は大いにあり、米国、日本双方にとってメリットがあると思います。。。

特に、バックグラウンドチェック等は、政府のクリアランスのもとで、日本政府が一元的に実施することにより、有効性も効率性も上がると思います。(特定秘密でやってるし。。。)

 

内閣官房 - 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

2023.02.22 第1回 議事次第    
資料1 事務局 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議の開催について
資料2 事務局 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議運営要領
資料3 事務局 経済安全保障分野における
セキュリティ・クリアランス制度等に関する有識者会議
議事要旨    
2023.03.14 第2回 議事次第    
資料1 事務局 第1回会議の議論の整理(主なポイント)
資料2 事務局 情報の区分(イメージ)
資料3 電機メーカー・A社 セキュリティ・クリアランス制度への期待
資料4 電機メーカー・B社 セキュリティクリアランス制度に対する要望
議事要旨    
2023.03.27 第3回 議事次第    
資料1 事務局 第2回会議の議論の整理(主なポイント)
資料2 事務局 諸外国における情報保全制度の比較
資料3 電機メーカー・C社 セキュリティ・クリアランス制度について~期待と要望~
資料4 永野秀雄委員 米国におけるセキュリティクリアランス制度の基本情報
議事要旨    
2023.04.07 第4回 議事次第    
資料1 事務局 第3回会議の議論の整理(主なポイント)
資料2 重要インフラ事業者 セキュリティクリアランス制度に対する要望
資料3   セキュリティ・クリアランス制度について

 

第3回 資料2 諸外国における情報保全制度の比較

1_20230411102001

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

 

 

| | Comments (0)

警察庁 サイバー事案の被害の潜在化防止に向けた検討会報告書 (2023.04.06)

こんにちは、丸山満彦です。

警察庁サイバー警察局が、サイバー事案の被害の潜在化防止に向けた検討会報告書等を公表していますね。。。

サイバー攻撃による被害企業(場合によっては同時に加害企業になっている場合もあり)が、企業のレピテーションの悪化等を懸念して、被害を警察に届けないケースもあり、同様の犯罪の防止の上で課題になるというのが問題なのだろうと思います。確かにそうです。。。

サイバー被害が犯罪による被害者であるという認識が持たれていないケースも多いとは思いますが、もっとも重要な対策というのは、「警察に届ければ問題が解決するという警察側のレピテーション」かもしれませんね。。。報告書でいうところの「被害回復への貢献」ということでしょうかね。。。

そのためには官民連携捜査機関の国際連携が重要です。そのためには、普段からのコミュニケーションによる信頼関係の醸成が重要となります。

特に情報の共有が重要となってきますが、お互いに情報を提供しあい、情報を提供した結果についてのフィードバックを情報提供元にも戻し、お互いにとってより良い情報の提供のあり方を見つけていくことが重要です。捜査機関に情報提供したら、ブラックホールのように吸い込まれて、その後はなしの礫...という話もよく聞きますし、警察に情報提供しても手間ばかりかかるし...という声もありますよね。。。

 

 

⚫︎ 警察庁 - サイバー警察局

有識者会議 サイバー事案の被害の潜在化防止に向けた検討会

サイバー事案に関する被害の潜在化を防止するため、関係省庁等と連携した情報共有や、被害者が自発的に通報・相談しやすい環境の整備に向けた方策について多様な観点から議論するため、令和4年度にサイバー事案の被害の潜在化防止に向けた検討会を開催しています。

・[PDF] 報告書 概要編

20230411-20419

 

・[PDF] 報告書 本編

20230411-21049

目次...

はじめに

1 サイバー空間における情勢認識
1.1 個人情報の漏えい等の被害
1.2 医療分野におけるサイバー事案被害
1.3 クレジットカード決済におけるサイバー事案被害

2 被害の潜在化
2.1 通報・相談の重要性
2.2 被害の潜在化
2.3 被害の潜在化に対する現状の取組

3 被害の潜在化防止に向けた方策
3.1 関係機関等との連携強化
 3.1.1 関係機関等との現状の取組・課題
  ⑴ 関係省庁間の情報連携不足
  ⑵ 複数にわたるサイバー事案の被害に関する報告窓口
 3.1.2 関係機関等との連携に関する今後の取組
  ⑴ 関係機関等との連携強化
  ⑵ サイバー事案の被害に関する報告窓口の一元化
3.2 被害者が自発的に通報・相談しやすい環境整備
 3.2.1 通報・相談しやすい環境整備に関する現状の取組・課題
  ⑴ 被害者に対する情報発信の不足
  ⑵ 被害者が相談しにくい事案の存在
  ⑶ 警察の適切な対応の不足
 3.2.2 通報・相談しやすい環境整備に関する今後の取組
  ⑴ 積極的な情報発信
  ⑵ 高齢者や青少年等に対する広報啓発活動
  ⑶ 警察における対応改善に向けた取組

おわりに

 

・[PDF] 報告書 資料編

20230411-21725

 

・[PDF] 発言要旨(第1回)

・[PDF] 発言要旨(第2回)

・[PDF] 発言要旨(第3回)

 

 


 

こういう記事から学べることは多いように思います...

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.07 米国 司法省 Genesis Markeをテイクダウン

・2023.03.29 米国 司法省 世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊 (2023.03.24)

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.01.31 米国 司法省 ランサムウェアの亜種「Hive」を駆除 (2023.01.26)・・

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

 


 

・2022.12.05 警察庁 「サイバー事案の被害の潜在化防止に向けた検討会」の開催

 

 

| | Comments (0)

ドイツ スポーツのデジタル化とアスリートのデータ保護をテーマにした報告書を公表していますね。。。(2023.03.27)

こんにちは、丸山満彦です。

ドイツのデータ保護と情報の自由のための連邦委員会 (BfDI) が スポーツのデジタル化とアスリートのデータ保護をテーマにした報告書を公表していますね。。。

確かに、アスリートの運動量、血液検査等のデータ、アンチドーピングの問題、雇用関係にある場合、移籍に伴う問題等、いろいろと課題がありそうですね。。。

パリ・オインピック迫ってきていますし、世界的な課題なのかもしれません。。。日本でも検討されているのでしょうか。。。業界団体も多いし、個人情報保護委員会が積極的に動かないといけないのでしょうね。。。

アンチドーピングについては、

⚫︎ 独立行政法人日本スポーツ振興センター

・2016.03.23 「アンチ・ドーピングに係るインテリジェンススキーム構築に向けた検討チーム」最終報告書

がありますね。。。

 

 

⚫︎ Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: BfDI

・2023.03.27 [PDF] Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit anlässlich der Sitzung des Sportausschusses  am 29. März 2023 zum Thema   „Digitalisierung im Spitzensport“ 

20230411-12229_20230411023801

 

Bonn, den 27.03.2023  ボン、2023年3月27日 
Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit anlässlich der Sitzung des Sportausschusses  am 29. März 2023 zum Thema   „Digitalisierung im Spitzensport“  2023年3月29日に開催されるスポーツ委員会の「エリートスポーツにおけるデジタル化」をテーマとした会合に際してのデータ保護と情報の自由に関する連邦委員会の声明。
Graurheindorfer Straße 153  グラウアハインドルファー・シュトラーセ153番地 
1.  Entwicklung der Digitalisierung im Sport sowie des Datenschutzrechts   1.スポーツにおけるデジタル化の進展とデータ保護法  
Die Digitalisierung im Sport schreitet sowohl in Deutschland als auch international voran, betrifft nicht nur den Spitzensport, sondern hat längst auch den Breitensport erfasst. Eine allumfassende Bestandsaufnahme der datenschutzrelevanten Digitalisierungen im Sport ist daher kaum möglich.   スポーツのデジタル化はドイツ国内だけでなく国際的にも進んでおり、エリートスポーツに影響を与えるだけでなく、マススポーツにもとっくに浸透している。したがって、スポーツにおけるデータ保護に関連するデジタル化のすべてを網羅した目録を作成することはほとんど不可能である。 
Zudem ist zu berücksichtigen, dass die Zuständigkeiten für die datenschutzrechtliche Aufsicht bekanntlich zwischen den Landesdatenschutzbehörden und mir aufgeteilt sind. Die Zuständigkeit für die privatrechtlichen Verantwortlichen wie insbesondere für die Sportvereine, Landessportbünde, Spitzenverbände sowie weitere Einrichtungen der Sportförderung liegt bei den Ländern. Dies gilt regelmäßig auch für (sport-)ärztliche Praxen und sportmedizinische Einrichtungen, in welchen Sportlerinnen und Sportler medizinisch behandelt werden. Meine Zuständigkeit für die Sportpraxis bezieht sich lediglich auf den Sport bei Bundesbehörden, wie Bundespolizei, Bundeswehr und Zoll. Somit sind in erster Linie meine Kolleginnen und Kollegen in den Ländern mit den praktischen Fällen des Datenschutzes im Sport befasst.   さらに、よく知られているように、データ保護の監督責任は、国のデータ保護当局と自分自身に分かれていることも考慮しなければならない。私法上の責任者、特にスポーツクラブ、州スポーツ連盟、傘下組織、その他のスポーツ振興機関に対する責任は、レンダー(州)にある。これは、スポーツ選手が治療を受ける(スポーツ)医師の診療所やスポーツ医療施設にも適用される。私のスポーツ実務に関する責任は、連邦警察、連邦軍、税関といった連邦当局のスポーツにのみ関係する。したがって、レンダーにいる私の同僚は、主にスポーツにおけるデータ保護の実践的なケースに関係している。 
Mit meinen Ausführungen werde ich daher lediglich einzelne Facetten aufgreifen und die datenschutzrechtlichen Bewertungsmaßstäbe in Grundzügen darlegen können, um die Herausforderungen im Zusammenhang mit dem Schutz des informationellen Selbstbestimmungsrechts der Sportlerinnen und Sportler grob zu umreißen. Den Fokus möchte ich dabei auf die potenzielle Gefährdung der Sportlerinnen und Sportler legen, quasi zu „Gläsernen Athletinnen und Athleten“ zu werden.   したがって、私の発言では、アスリートの情報的自己決定権の保護に関連する課題を概説するために、個々の面を取り上げ、データ保護法の基本的な評価基準を概説することしかできないだろう。今回は、アスリートがいわば「透明なアスリート」になってしまうことの潜在的な危険性に注目したい。 
Grundsätzliche Entwicklungen haben sich seit meinem letzten Bericht 2016 in diesem Ausschuss bezüglich des normativen Rahmens ergeben. Zu nennen ist dabei insbesondere die Datenschutz-Grundverordnung (DSGVO), die seit 25. Mai 2018 unmittelbar und zwingend gilt. Darüber hinaus sind spezielle datenschutzrechtliche Regelungen zu beachten, die im digitalisierten Sport einschlägig sein können. Das kann z. B. bei der Nutzung entsprechender Geräte auch das Telemedienrecht sein, zu dem für Deutschland insbesondere das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) zu nennen ist, das am 1 Dezember 2021 in Kraft getreten ist.   2016年の前回の報告以降、当委員会では規範的枠組みに関して根本的な進展があった。特に、2018年5月25日から直接かつ強制的に適用されるようになった一般データ保護規則(GDPR)については、言及すべきである。さらに、デジタル化されたスポーツにおいて関連する可能性のある特別なデータ保護規則を遵守する必要がある。例えば、対応機器を使用する場合、これはテレメディア法でもあり、ドイツでは特に2021年12月1日に施行された電気通信テレメディアデータ保護法(TTDSG)が含まれる。 
2. Übergreifende Datenschutzrechtliche Grundsätze und Anforderungen  2 データ保護法の一般原則と要件 
Für Ihren Überblick möchte ich vorab in knapper Form die übergreifenden Grundsätze und Anforderungen des Datenschutzes darlegen, bevor ich auf einzelne Facetten der Digitalisierung im Sport eingehe:   スポーツにおけるデジタル化の個々の側面に触れる前に、データ保護の包括的な原則と要件について簡単に概説することから始めたいと思う:  
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Dieses ist im nationalen und europäischen Recht verankert. Das Bundesverfassungsgericht hat das Recht zur informationellen Selbstbestimmung als Ausformung des allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1 Grundgesetz (GG) und der Menschenwürde nach Art. 1 Abs. 1 GG entwickelt. Vom allgemeinen Persönlichkeitsrecht umfasst ist auch die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.   個人データの処理に関する個人の保護は、基本的な権利である。これは国内法および欧州法に明記されている。連邦憲法裁判所は、基本法(GG)第2条1項の人格権およびGG第1条1項の人間の尊厳の一般的権利を発展させたものとして、情報的自己決定権を発展させてきました。人格の一般的権利には、情報技術システムの機密性と完全性の保証も含まれる。 
Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union sowie Artikel 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.   欧州連合基本権憲章第8条1項および欧州連合機能条約(TFEU)第16条1項によれば、すべての人は、自分に関する個人データを保護する権利を有する。 
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im digitalisierten Sport entsteht eine Vielzahl von Daten. Sofern diese nicht so umfassend anonymisiert sind, so dass es ausgeschlossen erscheint, sie auf einzelne Athletinnen und Athleten zurückzuführen, greift der Datenschutz ein. Dabei ist es nicht erforderlich, dass diese Daten allein die Identifizierung bewirken. Zur Bewertung, ob eine Identifizierung möglich ist, müssen alle Mittel berücksichtigt werden, die nach allgemeinem Ermessen wahrscheinlich genutzt werden. So kann also insbesondere eine Kombination verschiedener vermeintlich anonymer Daten zu einer Identifizierung einzelner Personen führen. In manchen Spotarten des Spitzensports wird das Feld so überschaubar sein, dass man Informationen auch ohne Namensnennung auf einzelne Athletinnen und Athleten zurückführen kann.   個人データとは、識別された、または識別可能な自然人に関連するあらゆる情報である。デジタル化されたスポーツでは、大量のデータが生成される。これらが包括的に匿名化され、個々のアスリートまで遡ることが不可能と思われる場合を除き、データ保護が介入する。このデータだけで、個人を特定する必要はない。識別が可能かどうかを評価するためには、一般に使用される可能性が高いと考えられるすべての手段を考慮しなければならない。したがって、特に、匿名とされる異なるデータを組み合わせることで、個人を特定することができる。エリートスポーツの一部のスポットタイプでは、フィールドが非常に管理しやすくなっているため、名前を伏せても個々のアスリートに情報を遡ることができる。 
Die DSGVO stellt hohe Anforderungen an die Verarbeitung personenbezogener Daten. Diese Verpflichtungen treffen alle Verantwortlichen, welche über die Zwecke und Mittel der Verarbeitung entscheiden. Darüber hinaus legt die DSGVO auch den Stellen Verpflichtungen auf, welche personenbezogene Daten im Auftrag verarbeiten. Das können im Sport verschiedene Stellen sein wie z. B. Trainer, Verbände, Spitzenverbände, Dopingagenturen, Sportstättenbetreiber, wissenschaftliche Institute, Ärzte, Labore, Berater, Vermittler, mitunter auch Sponsoren, Wettbüros oder sogar Hersteller von Hard- und Software.   GDPRは、個人データの処理に高い要求を課している。これらの義務は、処理の目的と手段を決定するすべてのデータ管理者に影響する。さらに、GDPRは、個人データの処理を代行する団体にも義務を課している。スポーツでは、コーチ、連盟、統括組織、ドーピング機関、スポーツ施設運営者、科学機関、医師、研究所、コンサルタント、仲介業者、時にはスポンサー、賭博業者、あるいはハードウェアやソフトウェアの製造業者など、さまざまな主体がこれにあたる。 
Die Verantwortlichen sind insbesondere für die Beachtung der datenschutzrechtlichen Grundsätze zuständig und müssen deren Einhaltung nachweisen können. Zu nennen sind hier etwa:   特に、責任者はデータ保護法の原則を遵守する責任があり、その遵守を証明できなければならない。これには、たとえば以下のようなものがある:  
Zweckbindung: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Zudem sind grundsätzlich nur solche Änderungen des Verarbeitungszweckes erlaubt, die mit dem ursprünglichen Erhebungszweck vereinbar sind.  目的の制限:個人データは、特定された、明確な、正当な目的のためにのみ収集することができる。また、当初の収集目的と両立する処理目的の変更のみが許可される。
Rechtmäßigkeit: Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage, z. B. eine gesetzliche Regelung oder eine Einwilligung. Grundlage kann auch ein Vertrag mit Athletinnen/Athleten sein, wenn die Datenverarbeitung zur Erfüllung erforderlich ist. Berechtigte Interessen können eine Datenverarbeitung tragen, wenn überwiegende Interessen der Betroffenen dem nicht entgegenstehen. Im Einzelfall können lebenswichtige Interessen eine Verarbeitung rechtfertigen, z. B. wenn es um die Ortung und Rettung verunglückter Skifahrer geht.   合法性:個人データの処理には、法的規制や同意など、法的根拠が必要である。データ処理が履行に必要な場合、その根拠はアスリートとの契約である場合もある。正当な利益は、データ対象者の優先的な利益と矛盾しない場合、データ処理をサポートすることができる。例えば、負傷したスキーヤーの居場所を特定し、救助する必要がある場合など、個々のケースにおいて、重要な利益がデータ処理を正当化することがある。 
Die Verarbeitung besonderer Kategorien personenbezogener Daten ist noch weiter eingeschränkt. Zu dieser Kategorie zählen neben den im Kontext des Sportbetriebs besonders relevanten Gesundheitsdaten z. B. auch genetische und biometrischen Daten sowie Daten zum Sexualleben oder der sexuellen Orientierung. Die Verarbeitung solcher – typischerweise besonders sensibler – Daten ist verboten, wenn nicht enumerativ aufgezählte Ausnahmetatbestände eingreifen, zu denen grundsätzlich auch eine ausdrückliche Einwilligung zählt.   特別な種類の個人データの処理は、さらに制限される。このカテゴリーには、スポーツ活動の文脈で特に関連性の高い健康データに加えて、例えば、遺伝的データ、生体情報、性生活や性的指向に関するデータも含まれる。このような、一般的に特にセンシティブなデータの処理は、列挙された例外が適用されない限り禁止されており、原則として、明示的な同意も含まれる。 
Transparenz: Ausfluss des Transparenzgebotes sind beispielsweise die weitgehenden Informationspflichten der Verantwortlichen (Art. 13 und 14 DSGVO), u. a. darüber, zu welchen Zwecken und in welchem Umfang die Daten verarbeitet, an wen sie übermittelt werden und welche Risiken mit der Verarbeitung verbunden sind. Der Transparenzgrundsatz betrifft nicht nur den Inhalt der Information, sondern auch die Art und Weise; diese soll nämlich präzise, leicht zugänglich und verständlich sein sowie in klarer und einfacher Sprache erfolgen.   透明性:透明性の原則は、例えば、データの処理目的、処理範囲、送信先、処理に伴うリスクなど、データ管理者の広範な情報提供義務(GDPR13条および14条)に反映されている。透明性の原則は、情報の内容だけでなく、情報の提供方法にも適用される。すなわち、情報は正確で、容易にアクセスでき、理解しやすく、また明確で単純な言語であるべきである。 
Datenminimierung: Die Verarbeitung personenbezogener Daten soll auf das absolut notwendige Maß beschränkt werden.  データの最小化:個人データの処理は、絶対に必要なものに限定されなければならない。
Speicherbegrenzung: Personenbezogene Daten sind zu löschen oder zu anonymisieren, wenn sie für den festgelegten Zweck nicht mehr erforderlich sind.   保存の制限:個人情報は、特定された目的に対して必要でなくなった場合、削除または匿名化されなければならない。 
Datensicherheit: Als zentrales Prinzip des Datenschutzes wurde auch die Gewährleistung von Datensicherheit gesetzlich verankert (Art. 5 Abs. 1 lit. f) und Art. 32 DSGVO). Die Verantwortlichen und ggf. die Auftragsverarbeiter haben geeignete technische und organisatorische Maßnahmen zu treffen, um einen Schutz etwa vor unbefugter oder unrechtmäßiger Verarbeitung oder dem unbeabsichtigten Verlust der Daten zu gewährleisten. Zu berücksichtigen sind dabei der Stand der Technik, die Implementierungskosten sowie die Art, die Umstände und der Zweck der Datenverarbeitung, aber auch die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten. Das Sicherheitslevel muss im Verhältnis zum Risiko angemessen sein. Danach kann u. a. eine Pseudonymisierung oder Verschlüsselung der Daten geboten sein.  データセキュリティ:データ保護の中心的な原則であるデータセキュリティの保証は、法律にも明記されている(5条1項f)および32条DSGVO)。データ管理者および該当する場合、データ処理者は、例えば、不正または違法な処理やデータの偶発的な損失に対する保護を確保するために、適切な技術的および組織的な措置を講じなければならない。その際、最新の技術、導入コスト、データ処理の性質、状況、目的だけでなく、個人の権利と自由に対するリスクの様々な可能性と重大性も考慮しなければならない。セキュリティのレベルは、リスクとの関係で適切でなければならない。したがって、データの仮名化または暗号化が必要とされる場合がある。
Neben den Regelungen der DSGVO können auch andere sog. bereichsspezifische rechtliche Regelungen im Zusammenhang mit der Datenverarbeitung im Sportbereich relevant sein. Praktisch wichtig für die Nutzung digitaler Geräte, die an ein öffentliches Telekommunikationsnetz angeschlossen sind, ist etwa eine Regelung im TTDSG zum Schutz der Privatsphäre. Soweit es nicht ausschließlich der technischen Nachrichtenübertragung dient oder für einen ausdrücklich gewünschten Telemediendienst erforderlich ist, unterliegt das Speichern sowie das Auslesen von Daten auf sogenannten „Endgeräten“ dem Vorbehalt der informierten Einwilligung durch den „Endnutzer“. Wo etwa das Handy oder die Smartwatch von Sporttreibenden zur Leistungs- oder Verhaltenserfassung dient, geht dies also nur mit Zustimmung.   GDPRの規定に加えて、スポーツ分野でのデータ処理に関連して、他のいわゆる分野別の法的規定も関連する場合がある。公衆通信網に接続されたデジタル機器の使用にとって実際的に重要なのは、例えば、プライバシーの保護に関するTTDSGの規則である。メッセージの技術的な送信に限定されない限り、または明示的に希望するテレメディアサービスに必要である限り、いわゆる「エンドデバイス」でのデータの保存および読み取りは、「エンドユーザー」によるインフォームドコンセントの予約の対象となる。例えば、スポーツ選手の携帯電話やスマートウォッチがパフォーマンスや行動を記録するために使用される場合、これは同意を得た場合にのみ可能である。 
3. Einzelne Facetten der Digitalisierung im Sport  3 スポーツにおけるデジタル化の個々の側面 
a) Digitale Performance-, Leistungs- und Verhaltenskontrollen einschließlich Vitalfunktionen   a) バイタルファンクションを含むデジタルパフォーマンスと動作のモニタリング  
Im Leistungssport wird eine Vielzahl von Daten der Sportlerinnen und Sportler verarbeitet, um Performance zu messen und durch Anpassungen letztendlich die Leistung zu optimieren. Dass es sich bei diesen Leistungsdaten um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO handelt, steht außer Frage.   競技スポーツでは、パフォーマンスを測定し、最終的に調整によってパフォーマンスを最適化するために、アスリートからの大量のデータが処理される。これらのパフォーマンスデータは、GDPR第4条1項の意味での個人データであることに疑問の余地はない。 
Die Datenerfassung reicht dabei weit über das hinaus, was nach außen hin sichtbar ist und über Video aufgezeichnet werden kann. Kleinste Sensoren an Sportlerinnen und Sportlern sowie an Sportgeräten messen Positionen, Bewegungen, Geschwindigkeiten und Höhen. Darüber hinaus wird die Belastung der Sportlerinnen und Sportler anhand von Herz- und Atemfrequenzen gemessen. Blutbilder, die beispielsweise Laktatwerte abbilden, ergänzen die Belastungsmessungen. Verletzungs- und Krankheitsdaten kommt ebenfalls ein großes Gewicht zu; insbesondere seit dem Ausbruch von Covid-19 sind diese Daten nochmals in den Fokus gerückt.  データ収集は、外界から見える範囲をはるかに超え、ビデオで記録することも可能である。アスリートやスポーツ用品に搭載された最小のセンサーが、位置、動き、速度、高さを測定する。さらに、アスリートの労力を心拍数や呼吸数で計測する。乳酸値などを示す血算は、ストレス計測を補うものである。怪我や病気のデータも重要で、特にCOVID-19の発生以降、このデータが再び注目されるようになった。
Eine Vielzahl dieser Leistungsdaten stellen besondere personenbezogene Daten im Sinne von Artikel 9 Abs. 1 DSGVO dar, da es sich um Gesundheitsdaten handelt.  これらのパフォーマンスデータの多くは、健康データであるため、GDPR第9条(1)の意味における特別な個人データに該当する。
Grundsätzlich ist es untersagt, Gesundheitsdaten zu verarbeiten. Dieses Verbot gilt nur dann nicht, wenn einer der gesetzlich geregelten Ausnahmefälle gegeben ist (Art. 9 Abs. 2 DSGVO). Dabei ist auch zu berücksichtigen, dass es im Leistungssport vielfach auch um Beschäftigungsverhältnisse geht und die Daten vom Arbeitgeber zum Zweck des Beschäftigungsverhältnisses verarbeitet werden. Daher sind die Vorgaben von § 26 Bundesdatenschutzgesetz (BDSG) einzuhalten.  健康データを処理することは原則禁止されている。この禁止は、法的に規制された例外的なケース(第9条(2)DSGVO)のいずれかが与えられた場合にのみ適用されない。また、競技スポーツには雇用関係が伴うことが多く、データは雇用関係の目的のために雇用主によって処理されることを考慮しなければならない。したがって、連邦データ保護法(BDSG)第26条の要件に従わなければならない。
Demnach kann der Arbeitgeber nur Datenverarbeitungen vornehmen bzw. verlangen, die zur Ausübung (arbeits-)rechtlicher Rechte oder Pflichten bei Überwiegen seiner arbeitgeberseitigen Interessen erforderlich sind (§ 26 Abs. 3 BDSG). Da sich aus rechtlichen/gesetzlichen Vorgaben derzeit eher seltener eine unmittelbare oder mittelbare Erforderlichkeit für die Arbeitgeberseite für Datenverarbeitungen ergeben wird (Ausnahme z. B. im Zusammenhang mit Anti-Doping-Gesetzen), kommt es für Datenverarbeitungen zur weitergehenden Optimierung der sportlichen Leistung regelmäßig maßgeblich auf das Vorliegen einer wirksamen Einwilligung und damit die Einhaltung von Art. 9 Abs. 1 lit. a DSGVO i. V. m. § 26 Abs. 2 BDSG an.   これによると、雇用主は、雇用主の利益が優先される場合、(労働)法的権利または義務の行使に必要なデータ処理のみを処理または要求できる(§26 para.3 BDSG)。使用者がデータ処理を行う直接的または間接的な必要性は、現在、法的/法定要件から生じる可能性が低いため(アンチ・ドーピング法に関連する例外など)、効果的な同意の存在、したがってBDSG26条2項と併せてDSGVO9条1項aに準拠していることは、運動能力のさらなる最適化のためのデータ処理にとって決定的なものとなっている。 
An der Freiwilligkeit der Einwilligung nach § 26 Abs. 2 BDSG kann es jedoch fehlen, wenn dem Betroffenen eine bestimmte Gegenleistung nur unter der Bedingung angeboten wird, dass er in eine Nutzung der Daten einwilligt. Dies wird vor allem im Bereich des Profi-Sports ein Problem darstellen, wenn die Zahlung von Gehältern/Prämien von der Bereitstellung der Fitnessdaten abhängig gemacht wird. Andererseits hat die sportausübende Person eine zur Arbeitgeberseite gleichgelagerte Interessenlage in Bezug auf die Verarbeitung der o.g. Daten, da sie selbst an einer Leistungsoptimierung interessiert ist, wozu die Datenverarbeitung letztendlich dient. Es ist demnach abhängig von den Umständen und Drucksituationen im Einzelfall, ob eine hinreichende Selbstbestimmtheit und damit eine Freiwilligkeit der Einwilligung möglich ist.   しかし、データ対象者がデータの使用に同意することを条件に一定の対価を提供されるだけであれば、BDSG第26条(2)に基づく同意の任意性を欠く可能性がある。これは、特にプロスポーツの分野において、給与/ボーナスの支払いがフィットネスデータの提供によって左右される場合に問題となるであろう。一方、運動する人は、データ処理の最終目的であるパフォーマンスの最適化に関心があるため、上記のデータ処理に関して雇用者と同様の利益を有している。したがって、十分な自己決定、ひいては自発的な同意が可能かどうかは、個々のケースにおける状況や圧力状況によって異なる。 
Essentiell für eine datenschutzrechtlich wirksame Einwilligung ist in jedem Fall, dass die Arbeitgeberseite den Sportlerinnen und Sportlern einen umfassenden Überblick verschafft, in welchem Umfang die Daten im Einzelnen für welche Zwecke verarbeitet werden. Nur so sind sie hinreichend informiert, um eine datenschutzrechtlich wirksame Einwilligung abgeben zu können. Besteht die Datenverarbeitung beispielsweise darin, dass ein Algorithmus die Daten auswertet und interpretiert, muss die einwilligende Person auch die Logik des Algorithmus kennen und verstehen.  いずれにせよ、データ保護法に基づく効果的な同意のためには、雇用主がデータ処理の範囲と目的について包括的な概要を選手に提供することが不可欠である。このようにして初めて、データ保護法の下で有効な同意を与えることができる十分な情報が提供される。データ処理が、例えば、データを評価し解釈するアルゴリズムで構成されている場合、同意者は、そのアルゴリズムの論理も知り、理解する必要がある。
Es ist zu bezweifeln, dass allen Sportlerinnen und Sportlern die genaue Verarbeitung ihrer Daten bekannt ist. Dabei spielt es unter anderem eine Rolle, wer diese Daten verarbeitet und wie diese ausgewertet werden. Alleine die Nutzung der Daten durch die offensichtlichen Empfänger wie Trainer und Vereine kann im Beschäftigtenkontext weitreichende Folgen haben, da die Daten auch für die Besetzung von Mannschaften und Kader herangezogen werden. Daneben sind aber auch Werbepartner, Produkthersteller und Journalisten weitere denkbare Empfänger der Daten mit unterschiedlichen möglichen Konsequenzen für die betroffenen Personen.  すべてのアスリートが、自分のデータの正確な処理について認識しているかどうかは疑問である。とりわけ、誰がこのデータを処理し、どのように評価するかが重要な役割を果たする。コーチやクラブといった明らかな受信者によるデータの使用だけでなく、データはチームや部隊の充足にも使用されるため、従業員の文脈でも広範な影響を及ぼす可能性がある。しかし、それ以外にも、広告パートナー、製品メーカー、ジャーナリストなどがデータの受領者として考えられ、データ対象者にさまざまな影響を与える可能性がある。
Sowohl die für die Datenverarbeitung Verantwortlichen als auch die Sportlerinnen und Sportler sind also gefordert, sich mit der Rechtmäßigkeit und dem Umfang der Datenverarbeitung zu befassen. Hierbei können auch die Datenschutzaufsichtsbehörden von Bund und Ländern eine Anlaufstelle für Rat und Unterstützung sein.   したがって、データ管理者とアスリートの双方が、データ処理の合法性と範囲に対処する必要がある。この点については、連邦および各州のデータ保護監督当局が、アドバイスやサポートの窓口となることもある。 
b) Digitale Vermessung insbesondere außerhalb von Trainingszeiten   b) 特にトレーニング時間外でのデジタル計測  
Neben den Daten, die während des Trainings und des Wettkampfes erfasst werden, werden bei Spitzenathletinnen und –athleten auch außerhalb dieser Zeiten erhebliche Datenmengen erhoben. Man kann hier von Freizeitmonitoring sprechen.  トレーニング中や試合中のデータだけでなく、それ以外の時間帯でもトップアスリートからは相当量のデータが収集されている。ここでは、レクリエーション・モニタリングという言い方もできる。
Beispielsweise wird das Ernährungsverhalten überwacht, indem Ernährungstagebücher, aber auch Blutbilder ausgewertet werden. Da Erholungsphasen im Sport besonders wichtig sind, kommen häufig Geräte zum Schlaf- und Stresstracking zum Einsatz. Es können beispielsweise Herzfrequenzen gemessen und Dauer und Qualität des Schlafes ausgewertet werden. Noch weitergehend sind Apps, in denen die Sportlerinnen und Sportler täglich Fragen zum persönlichen Gesundheitszustand beantworten und so subjektive Daten zu Motivation, Wohlbefinden und Erholungszustand übermitteln.   例えば、食事日記や血球計算を評価することで、栄養行動をモニタリングしている。スポーツでは回復期が特に重要なので、睡眠とストレスのトラッキングのためのデバイスがよく使われる。例えば、心拍数を測定し、睡眠時間や質を評価することができる。さらに進化したアプリでは、アスリートが自分の健康状態に関する質問に毎日答えることで、モチベーション、健康状態、回復状態に関する主観的なデータを送信することができる。 
Dabei kann es zu einer umfassenden und dauerhaft (arbeitgeberseitig) angestrebten Datensammlung und –analyse kommen, die weit in den privaten Bereich eingreift. Insoweit kommt diesen Daten eine größere Bedeutung bei der selbstbestimmten freiwilligen Entscheidung Betroffener für die jeweilige Datenverarbeitung zu. Umso mehr gilt es diese auch von staatlicher Seite zu schützen.   これにより、包括的かつ恒久的なデータ収集と分析が(雇用者側で)行われ、プライベートな領域にまで及ぶ可能性がある。この点で、これらのデータは、それぞれのデータ処理に対するデータ主体の自己決定による自発的な決定において、より重要な意味を持つ。そのため、国の側でそれらを保護することがより重要になる。 
Wenngleich die Sportlerinnen und Sportler auch hier zumindest teilweise ein Interesse an der Datenverarbeitung mit dem Ziel der eigenen Leistungsoptimierung haben, kann der Eingriff in den privaten Bereich durch konstantes Monitoring eine mentale Belastung darstellen. Vor allem die Rückschlüsse, die sich aus den Daten ergeben und Maßnahmen zur Steuerung ermöglichen und gegebenenfalls sogar provozieren können, greifen tief in die Privatsphäre ein.  アスリートは、自身のパフォーマンスを最適化する目的でデータ処理に少なくとも部分的な関心を持つが、常時監視による私的領域への侵入は精神的負担となりうる。とりわけ、データから導き出される結論は、管理措置を可能にし、必要であれば、管理措置を引き起こすことさえあり、私的領域を深く侵すものである。
Im Übrigen stellen sich die gleichen Fragen hinsichtlich der Weitergabe der Daten an Dritte und allgemein der Transparenz der Datenverarbeitung wie bei den zuvor betrachteten Leistungsdaten.  また、データの第三者への譲渡やデータ処理の透明性に関しても、先に述べたパフォーマンスデータと同様の疑問が生じる。
In Bezug auf die Speicherung der Daten in Apps und von Geräten zur Leistungskontrolle haben die Hersteller für Hard- und Software Rechtskonformität zu gewährleisten.   パフォーマンス・モニタリングのためのアプリやデバイスへのデータ保存に関しては、ハードウェアやソフトウェアのメーカーは、法的コンプライアンスを確保しなければならない。 
Im Jahr 2016 haben Datenschutzbehörden aus Bund und Ländern stichprobenartig Geräte und Apps von verschiedenen Anbietern überprüft und teilweise gravierende Mängel festgestellt.  Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat im Frühjahr 2016 dazu die Entschließung „Wearables und Gesundheits-Apps – Sensible Gesundheitsdaten effektiv schützen!“ verabschiedet. , in welcher ein effektiver Schutz der teils sehr sensiblen personenbezogenen Daten gefordert wird.  2016年、連邦とレンダーのデータ保護当局は、さまざまなプロバイダーのデバイスとアプリをランダムにチェックし、いくつかのケースで深刻な欠陥があることを発見した。 2016年春、連邦とレンダーの独立データ保護当局会議は、決議「ウェアラブルと健康アプリ-敏感な健康データを効果的に保護する」を採択した!この決議は、非常にセンシティブなものもある個人データを効果的に保護することを求めている。
c) Dopingkontrollen  c)ドーピングコントロール 
(1) Rechtsgrundlage für die Datenvereinbarung durch NADA und WADA  (1) NADAとWADAによるデータ協定の法的根拠 
Für die Verarbeitung personenbezogener Daten von Sportlerinnen und Sportlern im Rahmen der Dopingbekämpfung sieht das 2015 in Kraft getretene Anti-Doping-Gesetz (AntiDopG) mehrere Rechtsgrundlagen vor. § 9 AntiDopG ermächtigt die Nationale Anti Doping Agentur Deutschland (NADA) zur Verarbeitung von Daten wie den Vor- und Zunamen, das Geschlecht, die Nationalität, die ausgeübte Sportart sowie Angaben zur Erreichbarkeit und zum Aufenthaltsort des Sportlers. Daneben kann die NADA nach § 10 AntiDopG auch Gesundheitsdaten verarbeiten, was insbesondere Blut- und Urinwerte sowie entnommene Gewebe erfasst. § 10 Abs. 2 AntiDopG sieht zudem eine gesonderte Ermächtigung für die Datenübertragung ins Ausland und an internationale Organisationen vor.   2015年に施行されたアンチ・ドーピング法(AntiDopG)は、ドーピングとの闘いの文脈でアスリートの個人データを処理するためのいくつかの法的根拠を提供している。§ アンチ・ドーピング法第9条は、ドイツ国家アンチ・ドーピング機構(NADA)に対し、アスリートの姓名、性別、国籍、実施するスポーツの種類、アスリートの利用可能性および所在に関する情報などのデータを処理する権限を与えている。さらに、第 10 条 AntiDopG に従い、NADA は健康データ(特に血液及び尿の値並びに組織サ ンプル)を処理することができる。§ また、第 10 条(2)項 AntiDopG では、海外や国際機関へのデータ送信について別途認可を与えている。 
In der Literatur regte sich Kritik an diesen weitgehenden Ermächtigungen, die teilweise für verfassungswidrig beziehungsweise unvereinbar mit höherrangigem Datenschutzrecht gehalten werden. Tatsächlich ist die Bestimmtheit der Normen kritisch zu betrachten, da die Tatbestände für die Verarbeitung lediglich voraussetzen, dass die Verarbeitung für das Funktionieren des Dopingkontrollsystems erforderlich ist. Das Dopingkontrollsystem wird aber wiederum von NADA und der World Anti-Doping Agency (WADA) festgelegt. Theoretisch könnte die NADA deshalb also ihre Befugnisse selbst ausdehnen.   文献では、これらの広範囲に及ぶ権限について批判があり、その一部は違憲または上位のデータ保護法と相容れないと考えられている。実際、処理のための事実は、処理がドーピング・コントロール・システムの機能にとって必要であることを要求しているだけであり、基準の具体性は批判的に見なければならない。しかし、ドーピング・コントロール・システムは、NADAと世界アンチ・ドーピング機構(WADA)によって決定される。したがって、理論的には、NADA はその権限を自ら拡大することができる。 
Daneben kommt als Rechtsgrundlage ebenfalls eine wirksame Einwilligung der Athletinnen und Athleten in Betracht. Voraussetzung für die Teilnahme an internationalen und hochklassigen nationalen Sportwettkämpfen ist, dass sich die Sportlerin oder der Sportler dem Dopingkontrollsystem der WADA beziehungsweise NADA unterwirft. Es bestehen deshalb Zweifel an der Freiwilligkeit der Einwilligung, da eine solche für die Teilnahme an Wettkämpfen vorausgesetzt wird. Die Ablehnung der Datenverarbeitung würde also zum Ausschluss der Sportlerin oder des Sportlers führen und käme de facto einem Berufsverbot gleich. Für die betroffenen Athletinnen und Athleten besteht deshalb keine Möglichkeit eines ernsthaften Alternativverhaltens. Die Datenverarbeitung zum Zwecke der Dopingbekämpfung auf eine Einwilligung der Betroffenen zu stützen dürfte deshalb wegen Zweifels an der Freiwilligkeit nur schwer zu begründen sein.  さらに、競技者の効果的な同意も法的根拠として考えることができる。国際的なスポーツ大会やハイレベルな国内スポーツ大会に参加するための前提条件は、競技者がWADAまたはNADAのドーピング管理システムに服従することである。したがって、このような同意は競技会への参加の前提条件であるため、同意の任意性には疑問がある。したがって、データ処理を拒否することは、アスリートの排除につながり、事実上、プロの禁止に等しいといえる。したがって、当該アスリートにとって、重大な代替行動をとる可能性はない。したがって、ドーピング対策のためのデータ処理を関係者の同意に基づくものとすることは、任意性についての疑念から正当化が困難となる可能性が高い。
(2) Meldepflichten der Athletinnen und Athleten  (2) アスリートの報告義務 
Erhebliche Belastungen ergeben sich für die Athletinnen und Athleten aufgrund der sie treffenden Meldepflichten, die jederzeit die Durchführung von Dopingkontrollen ermöglichen sollen. Art. 5.4.1 Nationaler Anti-Doping-Code 2021 (NADC) legt den Grundstein für die Meldepflicht, um effektive Dopingkontrollen planen und die Verfügbarkeit der Athletinnen und Athleten für die Kontrollen sicherstellen zu können. Deshalb müssen die Betroffenen gemäß Art. 3.1 Annex B zum Standard für Ergebnismanagement-/Disziplinarverfahren „vierteljährlich Angaben über Aufenthaltsort und Erreichbarkeit machen, die genaue und vollständige Informationen darüber enthalten, wo sie im kommenden Quartal übernachten, regelmäßigen Tätigkeiten nachgehen und an Wettkämpfen teilnehmen werden. Änderungen sind unverzüglich anzuzeigen“. Anzugebende personenbezogene Daten sind nach Art. 3.1 Annex B zum Standard für Ergebnismanagement-/Disziplinarverfahren unter anderem die Postanschrift, eine Telefonnummer, eine E-Mail-Adresse und Name sowie Adresse jedes Ortes, an dem sich die Athletin bzw. der Athlet aufzuhalten gedenkt.  競技者は、ドーピング検査をいつでも実施できるようにするための報告義務によって、かなりの負担を強いられている。Art.5.4.1 National Anti-Doping Code 2021 (NADC) は、効果的なドーピング・コントロールを計画し、検査のための競技者の確保を可能にするために、報告義務の基礎を築いている。したがって、結果管理/規律手続に関する基準の付属書Bの第3.1条によれば、関係者は、「次の四半期に滞在し、通常の活動に従事し、競技を行う場所に関する正確かつ完全な情報を含む、四半期ごとの居場所情報を提供しなければならない。変更があった場合は、遅滞なく通知するものとする」。結果管理/懲戒手続きに関する基準の付属書Bの第3.1条によれば、提供すべき個人データには、郵便番号、電話番号、電子メールアドレス、競技者が滞在しようとする場所の名前と住所が含まれている。
Aufgrund der vorgenannten Meldungen kann die NADA den Aufenthaltsort und die Sozialkontakte von Betroffenen stündlich nachvollziehen, wobei für die Sportlerin bzw. den Sportler nahezu keine Rückzugsmöglichkeiten bestehen. Dadurch wird es der betroffenen Person unmöglich gemacht, oder jedenfalls erschwert, bestimmte Freiheitsrechte wahrzunehmen. Zudem wird ein nahezu vollständiges Bewegungsprofil erstellt. Die allgemeine Handlungsfreiheit wird schon durch den Überwachungsdruck beschränkt. Besonders problematisch ist hierbei, dass auch die personenbezogenen Daten Dritter angegeben werden müssen, wofür in der Regel keine entsprechende Einwilligung bestehen wird. Dies zeigt sich besonders bei der Angabe des Aufenthaltsorts, wodurch unter anderem die Sexualpartner einer Sportlerin oder eines Sportlers offenbart werden könnten. Kritisiert wurde in der Vergangenheit insbesondere, dass sich zum Beispiel ein homosexueller Sportler gegen seinen Willen gegenüber der NADA durch die Angabe seines Aufenthaltsorts outen müsse. Ich befürchte, dass eine solche umfassende Meldepflicht die Sportlerinnen und Sportler insgesamt, also auch in privater Hinsicht, zu gläsernen Athletinnen und Athleten machen kann.   前述の報告に基づき、NADA は、競技者が退却する可能性がほとんどない状態で、1 時間単位で被災者の居場所や社会的コンタクトを追跡することができる。このため、関係者が一定の自由権を行使することは不可能か、少なくともより困難となる。さらに、ほぼ完全な運動プロファイルが作成される。一般的な行動の自由は、すでに監視の圧力によって制限されている。特に問題なのは、第三者の個人データも提供しなければならないことで、これには通常、対応する同意がない。これは、特にスポーツ選手やスポーツマンの性的パートナーを明らかにする可能性のある、居場所の開示において顕著である。過去には、例えば、同性愛のアスリートが、自分の居場所を述べることによって、本人の意思に反してNADAに自らを公表しなければならないという批判が特にあった。このような包括的な報告義務は、アスリート全体、つまりプライベートでも透明なアスリートになってしまうのではないかと懸念している。 
Die Meldung durch die Athletinnen und Athleten erfolgt über technische Systeme (z. B. ADAMS beziehungsweise die Athlete Central-APP). Datenschutzrechtlich problematisch ist es dabei bereits, wenn viele Personen Zugriff auf die gespeicherten Daten der Sportlerinnen und Sportler haben. In der Vergangenheit kam es zudem zu Hackerangriffen auf das System ADAMS. Bei einem erfolgreichen Hackerangriff, einem Leak oder vergleichbaren Ereignissen würden sowohl Aufenthaltsdaten der Athletinnen und Athleten als auch ihnen nahestehenden Personen zugänglich, möglicherweise sogar öffentlich.   アスリートによる報告は、技術的なシステム(ADAMSやAthlete Central APPなど)を介して行われる。データ保護の観点から、多くの人がアスリートの保存データにアクセスすることは、すでに問題になっている。過去には、ADAMSのシステムに対するハッカー攻撃もあった。ハッカー攻撃や情報漏洩が発生した場合、アスリートの居場所データやアスリートに近しい人物のデータにアクセスできるようになり、場合によっては公開されてしまう可能性がある。 
(3) Datenschutzkonformität der Dopingkontrolle  (3) ドーピング・コントロールのデータ保護適合性 
In datenschutzrechtlicher Hinsicht problematisch ist auch das Vorgehen bei der Dopingkontrolle selbst, bei der der Sportlerin oder dem Sportler durch die NADA und die Kontrolleure erhebliche Verpflichtungen auferlegt werden. So stehen sie unter anderem gemäß Art. 3.4.2 des Standards für Dopingkontrollen und Ermittlungen ab dem ersten Kontakt bis zum Abschluss der Probenahme unter ständiger Beobachtung einer Vertreterin oder eines Vertreters der NADA (DCO). Dieser Person gegenüber besteht zunächst eine Ausweispflicht. Ebenso darf die Athletin bzw. der Athlet die Dopingstation nur unter engen Voraussetzungen und unter Beobachtung verlassen (Art. 3.4.4 Standard für Dopingkontrollen und Ermittlungen).  データ保護の観点から、ドーピング・コントロールの手続き自体も問題であり、NADAと管理者は競技者にかなりの義務を課している。例えば、「ドーピング・コントロール及び調査に関する基準」の第 3.4.2 条によれば、競技者は、最初の接触からサンプル採取が完了するまで、NADA の代表者(DCO)の一定の監視下におかれる。最初に、競技者は、この担当者に対し、自己を特定することが要求される。同様に、競技者は、厳格な条件及び監視の下でのみ、ドーピングステーションを離れることができる(第 3.4.4 条 検査及び調査に関する基準)。
Bei der Durchführung der Dopingkontrolle mittels einer Urinprobe muss nach Anhang C.2.2 zum Standard für Dopingkontrollen und Ermittlungen die Abgabe der Urinprobe direkt beobachtet werden, was nach Anhang C.3.8 zum Standard für Dopingkontrollen und Ermittlungen sogar so weit geht, dass der DCO „einen ungehinderten Blick darauf, wie die Probe den Körper des Athleten verlässt“, haben muss. Dazu kann der DCO die Athletin bzw. den Athleten anweisen, jegliche Kleidung, die den ungehinderten Blick auf die Abgabe der Probe verdeckt, abzulegen oder entsprechend zu richten.  ドーピング・コントロールが尿検体により実施される場合、検査及び調査に関する基準 の付属書 C.2.2 は、尿検体の提出を直接観察することを要求し、検査及び調査に関する 基準の付属書 C.3.8 は、DCO に対して「競技者の身体を離れる検体を遮ることのない視界」 を持つことを要求するまでに至る。この目的のため、DCO は、提供される検体の視界を遮ることのない衣服の脱着又は調整を行うよう競技者に指示することができる。
Während der Vornahme der Dopingkontrolle, die mehrere Stunden dauern kann, wenn die Athletin bzw. der Athlet nicht die erforderliche Mindestprobenmenge erreicht, ist die Autonomie der betroffenen Person erheblich eingeschränkt. Dies betrifft insbesondere die Privatsphäre, Sozialkontakte sowie die Bewegungsfreiheit. Bei der Probeentnahme selbst reicht dieser Eingriff sogar bis in den Intimbereich und kann Schamgefühle bei den Athletinnen und Athleten verursachen. Fraglich ist, ob sich dieser hochinvasive Eingriff damit rechtfertigen lässt, dass der direkte Blickkontakt bei der Entnahme die Abgabe von Fremdurin, also eine Umgehung der Kontrolle, verhindern soll. Zu Zweifeln ist schon an der Erforderlichkeit und Verhältnismäßigkeit des Vorgehens. Zudem ist die Annahme nicht weit hergeholt, dass dieses Vorgehen neben dem Recht auf informationelle Selbstbestimmung auch die Menschenwürde betrifft.   競技者が最低限必要な検体を満たしていない場合、数時間かかる可能性があるドー ピング・コントロールの過程において、関係者の自律性は著しく制限される。これは特に、プライバシー、社会的接触及び移動の自由に影響を及ぼす。サンプル採取自体の場合、この介入は親密な領域にさえ達し、アスリートに羞恥心を引き起こす可能性がある。この非常に侵襲的な介入が、採取時に直接目を合わせることで異物尿の放出を防ぐ、つまりコントロールの回避を意図しているという事実によって正当化されるかどうかは疑問である。この処置の必要性と比例性には疑問がある。さらに、この処置が、情報的自己決定権に加えて、人間の尊厳に影響を及ぼすと考えるのは、あながち間違いではないだろう。 
Noch problematischer erscheint das Prozedere, wenn minderjährige Sportlerinnen und Sportler betroffen sind. Anhang B zum Standard für Dopingkontrollen und Ermittlungen sieht Modifizierungen des üblichen Vorgehens vor, wenn Minderjährige betroffen sind. Danach soll auf die besonderen Bedürfnisse von Minderjährigen „bei der Probenahme soweit wie möglich Rücksicht“ genommen werden. Nach Anhang B.3.4 zum Standard für Dopingkontrollen und Ermittlungen soll zum Beispiel nur noch „grundsätzlich“ sichergestellt werden, dass der DCO die Abgabe der Probe ordnungsgemäß beobachtet. Zudem sollten Minderjährige nur in Anwesenheit eines Vertreters zur Probenahme aufgefordert und während der gesamten Probenahme von einem erwachsenen Vertreter begleitet werden. Art. B.3.3 zum Standard für Dopingkontrollen und Ermittlungen enthält eine Generalklausel für Anpassungen, jedoch nur insoweit die Identität, Sicherheit und Integrität der Probe nicht beeinträchtigt wird. Fragwürdig erscheint, ob diese Anpassungen den Minderjährigen wirklich ein angemessenes Schutzniveau bieten können. Insbesondere ist die direkte Beobachtung der Probe bei Minderjährigen zu bezweifeln.   未成年のアスリートが関与している場合、この手続きはさらに問題であると思われる。検査・調査基準の付属書Bは、未成年者が関与する場合の通常の手続きの修正について規定している。その中で、未成年者の特別なニーズは「検体を採取する際に可能な限り考慮されるものとする」と述べている。例えば、試験及び調査に関する基準の付属書B.3.4によれば、DCOが検体の提供を適切に観察することは、「原則として」確保されるべきであるとされている。さらに、未成年者は、代理人の立会いの下でのみ検体の提供を求められるべきであり、検体採取の間、成人の代理人が同伴すべきである。Art. B.3.3(試験及び調査に関する基準)には、調整に関する一般条項が含まれているが、検体の同一性、安全性及び完全性が損なわれない範囲に限定されている。このような調整によって、未成年者に対して本当に適切なレベルの保護を提供できるかどうかは疑問であると思われる。特に、未成年者によるサンプルの直接観察には疑問が残る。 
(4) Datenveröffentlichungen in der NADAjus  (4) 「NADAjus」でのデータ公開について 
Um Transparenz in der Dopingbekämpfung zu sichern, veröffentlichte die NADA seit 2016 in der Datenbank NADAjus alle Verstöße gegen Antidopingbestimmungen und die diesbezüglich ergangenen Sanktionen. Die veröffentlichten Informationen in Form eines „Steckbriefes“ umfassten insbesondere die Art des Vergehens, das Datum und die verbotene Substanz oder Methode sowie die ergangenen Sanktionen. Angegeben wurden zudem der Vorname und der Anfangsbuchstaben des Nachnamens der betroffenen Athletinnen und Athleten. Mit diesen Angaben und unter Berücksichtigung des Kontexts war deshalb eine Identifizierung Selbiger ohne weiteres möglich. Neben diesen Steckbriefen wurden auch vollständige Urteile verlinkt, die unter Umständen auch private und intime Informationen der Sportlerin oder des Sportlers oder weiterer Personen enthielten.  ドーピングとの闘いにおける透明性を確保するため、NADAは2016年以降、すべてのドーピング防止規則違反と、これに関して科された制裁をNADAjusのデータベースで公表している。プロフィール」の形で公開された情報には、特に違反の種類、日付、禁止物質または方法、および課せられた制裁が含まれている。また、当該アスリートの姓と名の最初の文字も含まれていた。これらの情報をもとに、文脈を考慮すれば、そのままアスリートを特定することが可能である。これらのプロフィールに加えて、完全な判決文もリンクされており、状況によっては、アスリートやその他の人物のプライベートで親密な情報も含まれている。
Nachdem ein Sportler Beschwerde gegen diese Veröffentlichungspraxis bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) erhoben hatte, verzichtet die NADA seit 2020 auf neue Einträge in der Datenbank. Als dann die LDI NRW entschied, dass keine hinreichende Rechtsgrundlage vorhanden sei, um Sanktionsentscheidungen, die die sanktionierte Person identifizierbar machen, unbeschränkt im Internet zu veröffentlichen, stellte die NADA die Datenbank vollständig ein. Heute ist sie nicht mehr aufrufbar.  この公開方法に対して、あるアスリートがノルトライン・ヴェストファーレン州データ保護・情報自由委員会(LDI NRW)に苦情を申し立てたため、NADAは2020年からデータベースへの新規登録を控えるようになりました。その後、LDI NRWが、制裁対象者を特定できるような制裁決定をインターネット上で無制限に公開する十分な法的根拠がないと判断したため、NADAはデータベースを完全に廃止した。現在では、もはやアクセスすることはできない。
Da es aufgrund der Verknüpfung der Angaben spätestens nach einer Internetrecherche problemlos möglich war, die betreffenden Athletinnen und Athleten zu identifizieren, handelte es sich insoweit um personenbezogene Daten. Dabei waren die veröffentlichten Angaben auch geeignet, erheblichen (negativen) Einfluss auf das persönliche und berufliche Leben der Betroffenen zu haben.   情報の紐付けにより、遅くともインターネット検索で問題なく当該競技者を特定することが可能であったため、この点では個人情報であった。また、公表された情報は、関係者の個人生活や職業生活にかなりの(負の)影響を与える可能性があった。 
Eine Einwilligung in die Veröffentlichung scheitert schon aufgrund oben genannter Kriterien an fehlender Freiwilligkeit. Die NADA berief sich deshalb auf Rechtsgrundlagen aus dem AntiDopG. Dort ist die Datenverarbeitung in §§ 9, 10 AntiDopG geregelt, wobei § 9 Nummer 8 i.V.m § 10 Abs. 2 AntiDopG die Verarbeitung von Regelverstößen nach dem Dopingkontrollsystem ermöglicht. Problematisch hieran ist jedoch, dass § 10 Abs. 2 AntiDopG lediglich ermöglicht, die Ergebnisse der Disziplinarverfahren an die dort genannten Organisationen zu übermitteln. Hieraus lässt sich schon ableiten, dass eine Weitergabe an weitere Organisationen oder gar eine Veröffentlichung nicht vorgesehen ist. Auch im Übrigen ist keine taugliche Rechtsgrundlage für die Veröffentlichung im AntiDopG ersichtlich.  公表への同意は、上記の任意性の欠如という基準により、すでに失敗している。そこで NADA は、アンチ・ドーピング法の法的根拠を援用した。そこでは、データ処理は第 9 条、第 10 条 AntiDopG で規定されており、第 9 条 8 項と第 10 条 2 項 AntiDopG との組み合わせにより、ドーピング管理システムに従って規則違反の処理を行うことができる。しかし、§10 パラグラフ 2 AntiDopG では、懲戒手続の結果をそこに記載された組織に伝送することしか認めていないことが問題である。このことから、他の組織への転送、あるいは公表は意図されていないことが推察される。さらに、アンチ・ドーピング法における公表の適切な法的根拠は明らかではない。
Weiterhin stützte die NADA ihr Vorgehen auch auf Art. 14.3 NADC in Verbindung mit dem Internationalen Übereinkommen gegen Doping im Sport. Artikel 14.3 NADC sieht vor, dass  さらに、NADA は、スポーツにおけるドーピングの禁止に関する国際条約と併せ、NADC の第 14.3 条に基づく措置も行った。第 14.3 条 NADC は以下のように規定している。
„die NADA die Identität eines*r Athleten*in oder einer anderen Person, dem*der von einer AntiDoping-Organisation vorgeworfen wird, gegen Anti-Doping-Bestimmungen verstoßen zu haben, die Verbotene Substanz oder die Verbotene Methode und die Art des Verstoßes und eine Vorläufige Suspendierung des*der Athleten*in oder der anderen Person“ veröffentlichen darf. Das Internationale Übereinkommen gegen Doping wurde durch Ratifizierung in nationalem Recht anerkannt. Allerdings befindet sich der WADC in Anhang I des Übereinkommens und soll deshalb lediglich zur Information und nicht verpflichtend angehängt sein. So kam auch die LDI NRW zu dem Ergebnis, dass der Veröffentlichung eine Rechtsgrundlage fehle. Weiterhin richtete sich Kritik in der Literatur an der allgemein zugänglichen Veröffentlichung im Internet, insbesondere unter den Gesichtspunkten der Verhältnismäßigkeit und der Datenminimierung. Deshalb behält sich die NADA laut ihrer Website die Veröffentlichung in einem verbandsinternen Printmedium vor. Auch diese Praxis bedarf nach meiner Einschätzung weiterer datenschutzrechtlicher Überprüfung.   「NADA は、ドーピング防止機関がドーピング防止規則違反を犯したと主張する競技者 又はその他の者の身元、禁止物質又は禁止方法及び違反の性質並びに競技者又はその他の者 の暫定的資格停止を開示することができる」。国際アンチ・ドーピング条約は、批准により国内法で認められている。しかし、WADCは条約の附属書Ⅰにあるため、あくまで参考として添付されるべきであり、義務ではない。したがって、LDI NRWも、この出版物は法的根拠を欠くという結論に達した。さらに、インターネット上で一般的にアクセス可能な出版物に対して、特に比例性とデータの最小化という観点から、文献上では批判が向けられた。そのため、ウェブサイトによると、NADAは協会内の印刷媒体でデータを公開する権利を留保している。私見では、この慣行もデータ保護法の下でさらなる見直しが必要である。 
(5) Internationale Datenübermittlung  (5) 国際的なデータ転送 
Im Rahmen der Dopingkontrollen kommt es zu Datenübermittlungen über den Geltungsbereich der DSGVO hinaus. Über das System ADAMS beziehungsweise die Athlete CentralAPP werden Daten unter anderem an die WADA und Anti-Doping-Organisationen mit Sitz und Servern in einem Drittland übertragen.   ドーピングコントロールの文脈では、データはGDPRの範囲を超えて転送される。ADAMSシステムまたはAthlete CentralAPPを経由して、データはWADAおよび第三国に本部とサーバーを持つアンチ・ドーピング組織などに転送される。 
Vor Inkrafttreten der DSGVO war die Zulässigkeit der Übermittlung dieser Daten in Drittstaaten datenschutzrechtlich jedenfalls stark umstritten. Die DSGVO sieht nach Art. 44, 49 Abs. 1 lit. d i. V. m. Erwägungsgründen 111, 112 die Möglichkeit der Übertragung an Drittstaaten vor, wenn dies für die für die öffentliche Gesundheit zuständigen Dienste zur Verringerung und/oder Beseitigung des Dopings im Sport erforderlich ist. Dabei ist jedoch weiterhin zu berücksichtigen, dass Artikel 49 DSGVO als Ausnahmevorschrift eng auszulegen und die Übermittlung in Drittstaaten weiterhin problematisch ist. Im nationalen Recht ermächtigt § 10 Abs. 2 AntiDopG die NADA dazu, Ergebnisse von Dopingproben und Disziplinarverfahren im Rahmen des Dopingkontrollsystems an eine andere nationale Anti-Doping-Organisation, einen internationalen Sportfachverband, einen internationalen Veranstalter von Sportwettkämpfen oder die Welt Anti-Doping Agentur zu übermitteln, soweit letztgenannte oder letztgenannter hierfür zuständig und die Übermittlung zur Durchführung des Dopingkontrollsystems erforderlich ist.   GDPRが施行される前、このデータを第三国に転送することの可否は、データ保護法の観点から大きな議論を呼んでいた。第44条、第49条第1項dと説明文111、112によると、GDPRは、スポーツにおけるドーピングの削減および/または排除のために公衆衛生サービスに必要な場合、データを第三国に移転する可能性を規定している。しかし、GDPR第49条は例外的な規定として狭く解釈されなければならず、第三国への移転は依然として問題があることを考慮しなければならない。国内法では、ドーピング防止法第 10 条(2)において、NADA は、ドーピン グ・コントロール・システムの枠組みにおけるドーピング・サンプルの結果及び懲戒手続 を、他の国のアンチドーピング機関、国際競技連盟、国際競技大会主催者又は世界アンチドーピング 機関が権限を有し、かつ当該伝送が当該システムの実施のために必要である限りにおいて伝送 することを認められている。 
d) Digitale Profile  d) デジタルプロフィール 
(1) Digitale Profile zur Einzelspieleranalyse oder Talent-Identifikation und Nachwuchsrekrutierung  (1)選手個人の分析または才能の発掘、若手選手の採用のためのデジタルプロフィール 
Leistungsdaten werden nicht nur innerhalb des eigenen Vereins zur Analyse verwendet, sondern auch um festzustellen, welche Spielerinnen und Spieler als Ergänzung in Frage kämen, also um die Transfers eines Vereins zu bestimmen. Auf die Spitze trieb dieses Vorgehen das Baseball-Team der Oakland Athletics, das in der „Moneyball-Ära“ durch eine umfassende Datenanalyse eine Mannschaft zusammenstellen konnte, die trotz starker finanzieller Nachteile die Playoffs erreichte und zwanzig Spiele am Stück gewann. Nach und nach verbreitete sich eine datengestützte Transferpolitik auch in anderen Sportarten. Hierbei werden bestimmte Leistungsdaten einer Spielerin oder eines Spielers gesammelt und mit den bestehenden Daten über das eigene Team verglichen, um möglichst gut in das Teamgefüge passende Athletinnen und Athleten verpflichten zu können. Der Fokus liegt dabei häufig darauf, die Schwächen des Teams auf diese Weise auszugleichen.  成績データは、自クラブ内の分析だけでなく、どの選手を補強するか、つまりクラブの移籍先を決定するためにも使われる。この手法を極めたのが野球のオークランド・アスレチックスで、「マネーボール時代」に総合的なデータ分析でチームを編成し、財政的に厳しいハンデを背負いながらもプレーオフに進出し、20連勝を達成した。次第に、データドリブンな移籍方針が他のスポーツにも広がっていった。これは、ある選手のパフォーマンスデータを収集し、自チームの既存のデータと比較することで、チーム構造にできるだけ適合する選手と契約できるようにするものである。このように、チームの弱点を補うことに重点を置くことが多い。
Grundsätzlich erscheint es möglich, eine solche Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO zu stützen und in der Datenverarbeitung zum Zwecke des Scoutings ein berechtigtes Interesse zu sehen. Wie die hierbei vorzunehmende Interessenabwägung, insbesondere unter Berücksichtigung der Grundsätze des Art. 5 Abs. 1 DSGVO ausfällt, ist im Einzelfall zu bestimmen. Dabei können verschiedene Faktoren wie Art der Daten, Interessenlagen und Auswirkungen relevant werden.   原則として、このようなデータ処理をDSGVO第6条第1項f号に基づき、スカウトを目的とするデータ処理に正当な利益を見出すことは可能であると思われる。この文脈で衡量されるべき利益がどのようになるか、特にGDPR第5条(1)の原則を考慮して、個々のケースで判断されなければならない。データの種類、利益、効果など、さまざまな要因が関係する可能性がある。 
Insbesondere ist zu berücksichtigen, dass das berechtigte Interesse der Vereine umso eher als berechtigt gewichtiger angesehen werden kann, je professioneller Spielerinnen und Spieler sowie Verein an Wettkämpfen teilnehmen. Zudem kann relevant sein, wie sehr die Spielerin oder der Spieler in der Öffentlichkeit steht, also wie viele Daten über die vorgenannte Person ohnehin öffentlich einsehbar sind oder aufgrund der öffentlichen Spielteilnahem einfach aufgezeichnet werden können.   特に、プロ選手やクラブが大会に参加すればするほど、クラブの正当な利益が正当な重みを持つとみなされる可能性が高くなることを考慮しなければならない。さらに、選手がどれだけ世間の注目を浴びているか、すなわち、前述の人物に関するデータが、いずれにせよ公に閲覧可能であるか、あるいは試合への一般参加により容易に記録され得るか、ということも関連する可能性がある。 
Bei Profisportlerinnen und -sportlern sind ohnehin die meisten Leistungsdaten aus Spielen öffentlich einsehbar, was auch teilweise für Verletzungs- oder andere medizinische Daten gilt. Hier dürfte die Interessenabwägung eher zugunsten des Vereins ausfallen, der sich über die Leistungsfähigkeit einer Spielerin oder eines Spielers versichern will, bevor er große finanzielle Mittel für einen Transfer aufwendet, von dem auch die betroffenen Athletinnen und Athleten profitieren.   プロスポーツ選手の場合、試合でのパフォーマンスデータのほとんどはとにかく公に見ることができ、それは怪我やその他の医療データにも一部適用される。この場合、利害のバランスは、選手の移籍に多額の資金を費やす前に、その選手のパフォーマンスを確かめたいクラブに有利になる可能性が高く、関係する選手もその恩恵を受けることになる。 
Kritischer ist dies schon bei Amateursportlerinnen und -sportlern zu betrachten, die in der Regel nicht damit rechnen können, dass ihre Daten für eine vertiefte Analyse herangezogen werden. Erfolgt die Analyse durch einen Amateurverein, dürfte schon das berechtigte Interesse geringer ausfallen. Allerdings haben die im Amateurbereich aufgezeichneten Daten normalerweise einen deutlich geringeren Umfang als im Profisport und beziehen sich auf einfache Metriken. Beim Fußball zum Beispiel auf Spielzeit, erzielte Tore und Assists sowie Spielstrafen und gehen hierüber kaum hinaus. Werden weitere Daten veröffentlicht (beim Fußball zum Beispiel auf den offiziellen Liga- und Verbandsplattformen fußball.de oder DFBnet), geschieht dies häufig auf Betreiben der Spielerin oder des Spielers selbst. Die Verarbeitung dieser Daten kann sogar im Interesse der betroffenen Person liegen, ermöglichen sie doch, dass höherklassige Vereine auf sie aufmerksam werden. Im Amateursport dürfte deshalb die Verarbeitung grundlegender Daten zulässig sein, jedoch sind gegebenenfalls engere Grenzen bei besonderen Daten, wie zum Beispiel Verletzungsdaten, zu ziehen.  アマチュア選手の場合、自分のデータが詳細な分析に使われることを期待することはできないので、この点はより重要である。分析がアマチュア・クラブによって行われる場合、正当な利益は少なくなる可能性がある。しかし、アマチュア部門で記録されるデータは、通常、プロスポーツよりもはるかに小さく、単純な指標に関するものである。例えばサッカーでは、プレー時間、得点、アシスト、反則などが含まれ、それ以上のことはほとんどない。それ以上のデータが公表される場合(サッカーでは、例えばリーグや協会の公式プラットフォームfußball.deやDFBnetで)、それはしばしば選手本人の意思で行われる。このデータの処理は、上位のクラブが彼または彼女を認識することができるため、データ対象者の利益になる可能性もある。したがって、アマチュアスポーツにおいては、基本的なデータの処理は許される可能性が高いが、怪我のデータなど特定のデータの場合には、より厳しい制限を設ける必要があるかもしれない。
(2) Besondere Probleme bei der Nachwuchsförderung  (2) 若手選手の登用における特別な問題点 
Um der Konkurrenz voraus zu sein, greifen Profimannschaften auf das Scouting immer jüngerer Spielerinnen und Spieler zurück. Nicht selten schaffen es auch Minderjährige in Profimannschaften vorzustoßen und auch die Nachwuchsturniere erfreuen sich großer Beachtung und Relevanz. Zur Vereinfachung und Verbesserung des Scoutings verlassen sich die Vereine auch hierbei auf eine datenbasierte Analyse des Nachwuchses. Wo Minderjährige betroffen sind, bestehen jedoch umso größere datenschutzrechtliche Bedenken. Nachwuchsspielerinnen und -spieler stehen häufig bis zu einer gewissen Leistungsgrenze nicht oder kaum im öffentlichen Interesse. Die Analyse ihrer personenbezogenen Daten birgt die Gefahr, dass diese sehr früh mit Vereinen sowie Beraterinnen und Beratern konfrontiert werden und in einen öffentlichen Hype geraten. Besonders problematisch erscheint die Verarbeitung besonderer Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten, die gerade bei jungen Spielerinnen und Spielern unter keinen Umständen an die Öffentlichkeit gelangen sollten. Deshalb sollte der Verarbeitung von Daten junger Athletinnen und Athleten grundsätzlich kritisch begegnet werden. Aber auch hier gilt, dass Vereinen das datenbasierte Scouting möglich sein muss, je professioneller die Spielerin oder der Spieler ist und je mehr sie oder er durch eigene Initiative in der Öffentlichkeit steht.  プロチームは、競争に打ち勝つために、若手選手のスカウトに力を注いでいる。未成年者がプロチームに入ることも珍しくなくなり、ユーストーナメントも大きな注目と関連性を持っている。スカウティングを簡素化し、向上させるために、クラブは若手選手のデータ分析にも力を注いでいる。しかし、未成年が関与する場合、データ保護に関する懸念はさらに大きくなる。ジュニアプレーヤーは、ある一定のパフォーマンス限界までは、公共の利益にならないか、ほとんどならないことが多い。彼らの個人データを分析することは、彼らが非常に早い段階でクラブだけでなくアドバイザーとも対立し、世間的な誇大広告の対象となる危険性をはらんでいる。特に若い選手の場合、いかなる状況でも公開されるべきでない特別なカテゴリーの個人データ、特に健康データの処理は、特に問題があるように思われる。したがって、若いアスリートのデータ処理については、原則として批判的にアプローチする必要がある。しかし、ここでも、プロフェッショナルな選手であればあるほど、また、自らの意思で世間に出ている選手であればあるほど、クラブはデータに基づくスカウティングを実施する必要がある。
(3) Übermittlung von Daten beim Spielertransfer  (3) 選手移籍時のデータ送信について 
Wie oben dargestellt, haben die Leistungsdaten einer Sportlerin oder eines Sportlers große Relevanz. Nicht nur für sie selbst, sondern auch für Vereine und Verbände. Mithin ist diesen Daten auch ein erheblicher sportlicher und wirtschaftlicher Wert beizumessen. Verständlich ist deshalb auch das Interesse der Vereine, bei einem Vereinswechsel die aufgezeichneten Daten beim bisherigen Verein zu erhalten. Möglich erscheint deshalb, dass die betroffene Person von ihrem Recht auf Datenportabilität aus Art. 20 Abs. 1 DSGVO Gebrauch macht, um die Daten auf einen neuen Verein zu übertragen. Jedenfalls wenn ein weites Begriffsverständnis von „bereitgestellten“ Daten herangezogen wird, dürfte der Umfang der betroffenen Daten erheblich sein und in der Regel die Interessen des abgebenden Vereins betreffen. So könnten aus einer detaillierten Aufstellung der Trainingsdaten zum Beispiel Rückschlüsse auf die Trainingsgestaltung des bisherigen Vereins gezogen werden. Zudem wird offensichtlich auf welche Daten sich dieser Verein insbesondere konzentriert, was Indizien für eine Strategie für zukünftige Spiele und Transfers bildet.   このように、スポーツ選手やスポーツウーマンのパフォーマンスデータは、大きな関連性を持っている。自分自身だけでなく、クラブや協会にとっても。したがって、これらのデータは、スポーツ的、経済的に大きな価値がある。したがって、クラブが、クラブを変更する場合に、前のクラブから記録されたデータを受け取ることに関心を持つことは理解できる。したがって、データ対象者が新しいクラブにデータを転送するために、GDPR第20条1項に基づくデータポータビリティの権利を利用することは可能であると思われる。少なくとも「提供された」データという広義の理解を用いるならば、当該データの範囲は重要であり、通常、移籍先のクラブの利益に影響を及ぼすと思われる。例えば、トレーニングデータの詳細なリストから、前のクラブのトレーニング組織について結論が導き出される可能性がある。さらに、このクラブが特にどのデータを重視しているかが明らかになり、将来の試合や移籍に関する戦略の指標を形成することになる。 
Unter Umständen muss der Anspruch auf Datenportabilität deshalb beschränkt werden. Eine Beschränkung ist im Einzelfall möglich und kommt zum Beispiel in Betracht, wenn die Rechte und Freiheiten anderer Personen durch die Datenübertragung beeinträchtigt würden (Art. 20 Abs. 4 DSGVO). Hier erscheint es insbesondere sinnvoll, eine Beschränkung mit dem Schutz der Geschäftsgeheimnisse (wie z. B. Trainingsstrategien, Taktiken etc.) des abgebenden Vereins zu begründen. Zwar können die von der betroffenen Person zur Verfügung gestellten Daten keine Geschäftsgeheimnisse darstellen, jedoch können bei der Übertragung der Daten an den aufnehmenden Verein unter anderem die oben genannten Geschäftsgeheimnisse mitübertragen werden. Die Daten haben jedenfalls ohne weiteres wirtschaftlichen Wert und ein berechtigtes Interesse des abgebenden Vereins an der Geheimhaltung wird in der Regel ebenfalls zu bejahen sein. Da Vereine nichtöffentliche Trainingseinheiten bestreiten, die durch Sichtbarrikaden und Personal vor Einsichtnahme geschützt sind, treffen sie auch Geheimhaltungsmaßnahmen. Insgesamt wird deshalb der Datenportabilität beim Vereinswechsel häufig das berechtigte Geheimhaltungsinteresse des abgebenden Vereins entgegenstehen. Es empfiehlt sich deshalb für die Vereine, zwischen nichtöffentlichen und öffentlichen Daten zu unterscheiden.  したがって、特定の状況下では、データポータビリティの権利は制限されなければならない。制限は個々のケースで可能であり、例えば、データ移転によって他の人の権利と自由が影響を受ける場合などに考慮される(GDPR第20条4項)。この場合、ドナークラブの企業秘密(トレーニング戦略、戦術など)の保護をもって制限を正当化することは特に妥当であると思われる。データ対象者から提供されたデータは企業秘密に該当しないが、受領クラブへのデータ転送には、特に前述の企業秘密が含まれる可能性がある。いずれにせよ、データには経済的価値があり、データの機密保持に関する譲渡側クラブの正当な利益も通常確認されなければならない。クラブは一般に公開されないトレーニングセッションを開催し、視覚的なバリケードや人員によって検査から保護されているため、秘密保持のための措置も講じている。全体として、クラブを変更する場合のデータポータビリティは、変更先のクラブの秘密保持という正当な利益によって反対されることが多いだろう。したがって、クラブは、非公開データと公開データを区別することが望ましい。
   
4. Gefahren aus der Kumulierung von Daten  4 データの蓄積から生じる危険性 
Eine besondere Gefahrendimension resultiert aus der Vielzahl von Daten, welche Sportlerinnen und Sportler über sich preisgeben. Auch die Vielzahl von Stellen, welche diese Daten zu verschiedenen Zwecken verarbeiten und diese an einen durch die Athletinnen und Athleten nicht erfassbaren Empfängerkreis weitergeben, trägt zur Vergrößerung der Risiken bei.   スポーツマンやスポーツウーマンが自分自身について開示する大量のデータは、危険の特別な次元に帰結する。このデータをさまざまな目的で処理し、スポーツ選手が特定できない受信者グループに渡す多数の機関も、リスクを増大させる一因となっている。 
Auch wenn privates Verhalten einen Einfluss auf die Fitness hat (wie beispielsweise Verzicht auf Alkohol und Zigaretten, Sicherstellung von ausreichendem Schlaf) muss auch für Profisportler ein Recht auf Privatsphäre bestehen. Die Verknüpfung mit Daten über privates Verhalten potenziert die Gefahr für gläserne Athletinnen und Athleten. Es gilt zu verhindern, dass Einzelne das diffuse Gefühl haben, allgegenwärtig beobachtet zu sein und bewertet zu werden, ob durch staatliche oder private Stellen. Die Freiheit nicht zum bloßen Objekt von Datenverarbeitungen zu werden, müssen wir bei allen technischen Entwicklungen von Anfang an berücksichtigen und dafür Sorge tragen, sie zu bewahren bzw. wieder zu erlangen  私的な行動が体力に影響を与えるとしても(アルコールやタバコを控える、十分な睡眠を確保するなど)、プロのアスリートにはプライバシーの権利も必要である。これを私的行動のデータと結びつけることは、アスリートが透明化する危険性を高めることになる。国家機関であれ民間機関であれ、自分が遍く観察され評価されているという拡散的な感覚を個人が持たないようにすることが重要である。単なるデータ処理の対象にならない自由は、すべての技術開発において当初から考慮されなければならず、それが維持または回復されることを保証しなければならない。
5. Lösungsansätze  5. 可能な解決策 
Wenn ich zu den geschilderten Problemlagen die wichtigsten Lösungsansätze zusammenfasse, gehören zumindest die Folgenden dazu:   上記のような問題を解決するための最も重要なアプローチをまとめるとすれば、少なくとも次のようなものが挙げられるだろう:  
Die Selbstbestimmung der Athletinnen und Athleten ist zu stärken. Transparenz nimmt eine zentrale Rolle ein. Wie oben ausgeführt ist Sportlerinnen und Sportlern vermutlich oftmals nicht bewusst, welche Daten wie, von wem und für welche Zwecke verarbeitet werden. Hier sind einerseits die Verantwortlichen angehalten, für Transparenz zu sorgen. Denn nur, wenn überhaupt bekannt ist, wie ihre Daten verarbeitet werden, sind die Sportlerinnen und Sportler in der Position, selbst entscheiden zu können und von den ihnen zustehenden Rechten Gebrauch zu machen.  アスリートの自己決定権を強化すること。中心的な役割を果たすのは「透明性」である。前述のように、アスリートはおそらく、どのデータが、どのように、誰によって、どのような目的で処理されているのか、知らないことが多いだろう。一方では、責任者は透明性を確保することが求められます。なぜなら、自分のデータがどのように処理されているのかが全くわかって初めて、アスリートは自分で判断し、権利を行使できる立場になるからである。
Die strenge Zweckbegrenzung des Datenschutzrechts ist von jedem Verantwortlichen zu beachten. Personenbezogene Daten für alle möglichen Zwecke zu verwenden, die mit dem Ursprungszweck der Erhebung nicht übereinstimmen, ist nicht ohne weiteres zulässig. Hier bedarf es einer genauen Überprüfung und im Zweifelsfall eines Verzichts auf eine Verarbeitung zu anderen Zwecken.  データ保護法の厳格な目的制限は、すべてのデータ管理者によって遵守されなければならない。本来の収集目的に該当しないあらゆる目的のために個人データを使用することは、迂闊に許されることではない。ここでは、正確な審査が必要であり、疑わしい場合には、他の目的での処理を放棄する必要がある。
Auf die Zusammenführung von personenbezogenen Daten sollte möglichst verzichtet werden. Wo es für die Erreichung eines als legitim erachteten Zwecks unbedingt erforderlich ist, Daten zusammenzuführen, sollte eine Anonymisierung vorgenommen werden. Eine absolute Anonymisierung derart, dass die Wiederherstellung des Personenbezugs für niemanden möglich ist, ist oft nicht realisierbar. Sie ist im Regelfall datenschutzrechtlich aber auch nicht gefordert. Ausreichend ist regelmäßig, dass der Personenbezug derart aufgehoben wird, dass eine Re-Identifizierung praktisch nicht durchführbar ist. Die robuste – und damit datenschutzadäquate – Anonymisierung bleibt aber eine echte Herausforderung für den jeweiligen Verantwortlichen und bedarf ihrerseits einer Rechtsgrundlage.  個人データの統合は、できる限り避けるべきである。合法的とみなされる目的を達成するためにデータを統合することが絶対に必要な場合、匿名化を実施する必要がある。誰も個人的な参照を再確立することができないような絶対的な匿名化は、多くの場合、実現不可能である。しかし、原則として、これはデータ保護法では要求されていません。通常、再識別が実質的に不可能な方法で個人情報を削除することで十分である。しかし、強固な匿名化、つまりデータ保護に適した匿名化は、それぞれのデータ管理者にとって現実的な課題であり、法的根拠が必要となる。
Datenschutz kann ein scharfes Schwert sein. Dies gilt spätestens seit Geltung der DSGVO, welche insbesondere eine Klarstellung der Verantwortlichkeit, klare Betroffenenrechte, Beschwerde- und Rechtsschutzmöglichkeiten sowie eine Stärkung der unabhängigen Aufsichtsbehörden mit Aufklärungs-, Beratungs-, Abhilfe- und Sanktionsmöglichkeiten gebracht hat. Das Datenschutzrecht hat aber auch Grenzen. So sind beispielsweise die Möglichkeiten der Aufsichtsbehörden limitiert, die privatautonom bestimmten Zwecke der Verarbeitung von Sportdaten als illegitim anzusehen, wenn die Rechtsordnung dies nicht vorgibt.   データ保護は鋭利な剣となり得る。特にGDPRが施行されてからは、責任の明確化、データ主体の権利の明確化、苦情および法的保護の選択肢、さらに独立した監督当局の強化により、明確化、助言、救済、制裁の機会がもたらされている。しかし、データ保護法には限界もある。例えば、法制度に規定がない場合、スポーツデータの処理目的を私的に自律的に決定したものを違法とみなす監督官庁の可能性は限られている。 
Wo Entwicklungen als unerwünscht erkannt werden, kann der Datenschutz mäßigen und begrenzen, wenn es um die Verarbeitung personenbezogener Daten geht. Darüber hinaus bleibt ein weiter Regelungsspielraum für den selbstverwalteten Sport und –wenn es nicht anders geht – auch für den Gesetzgeber.   個人データの処理に関して、その発展が望ましくないと認識される場合、データ保護は緩和と制限を行うことができる。それ以上に、自治体スポーツや、他に方法がない場合は立法者にも、規制の余地が広く残されている。 
6. Zusammenfassung und Schlussfolgerungen  6 まとめと結論 
In meiner Stellungnahme gegenüber dem Sportausschuss 2016 zum Thema „Chancen der Digitalisierung/Big Data für den Spitzensport“ habe ich zur Gefährdungslage der Athletinnen und Athleten ausgeführt:   2016年のスポーツ委員会での「エリートスポーツのためのデジタル化/ビッグデータの機会」というテーマでの発言で、私はアスリートの脆弱性についてこう述べた:  
„Aus datenschutz-rechtlicher Sicht würde insbesondere die langfristige Kumulation individuell zugeordneter Gen-, Gesundheits- und Leistungsdaten ohne klare und eindeutige Zweckbindung und ohne Transparenz für die betroffenen Sportler jedoch erhebliche, nicht akzeptable datenschutzrechtliche Risiken bedeuten. Wer – wie in der ehemaligen DDR – bloßes Objekt fremdgesteuerter Leistungssteigerung würde, verlöre mit seiner „Datenautonomie“ zugleich auch ein Stück seiner Menschenwürde. Der „gläserne Sportler“, dessen sensibelste Daten für jedermann frei abrufbar sind, wäre mit dem Menschenbild des Grundgesetzes nicht vereinbar“.  「しかし、データ保護法の観点からは、明確で曖昧な目的制限や透明性のない、個々に割り当てられた遺伝子、健康、パフォーマンスデータの長期的な蓄積は、関係するアスリートにとって相当で受け入れがたいデータ保護リスクを意味する。旧ドイツ民主共和国のように、外部からコントロールされたパフォーマンス向上の単なる対象となる人々は、「データの自律性」によって人間としての尊厳の一部をも失うことになる。最もセンシティブなデータに誰もが自由にアクセスできる「透明なアスリート」は、基本法の人間像にそぐわないだろう。
Dieser Befund hat sich bis heute nicht geändert. Nicht geändert hat sich auch der Auftrag des deutschen und europäischen Datenschutzes, die Sportlerinnen und Sportler vor diesen Entwicklungen zu schützen. Ich bin davon überzeugt, dass die Beachtung der datenschutzrechtlichen Regel und Prinzipien, insbesondere die Verfolgung der oben dargestellten Lösungsansätze, hierzu einen Beitrag leisten kann.   この所見は今日に至るまで変わっていない。また、こうした動きからアスリートを保護するというドイツやヨーロッパのデータ保護の使命も変わっていません。データ保護法の規則と原則を遵守すること、特に上記のような解決策を追求することが、これに貢献できると確信している。 

 

 

| | Comments (0)

欧州 フォン・デル・ライエン欧州委員長の訪中

こんにちは、丸山満彦です。

少し前に、中国政府が公表していることを紹介しましたが、、、欧州委員会からは、フォン・デル・ライエン欧州委員長の訪中後の会見等の内容が公表されていますね。。。中国と欧州はお互いに貿易で相互利益を得ているので、これからもよろしくね。。。って感じですかね。。。

もちろん、米国も中国との貿易を完全に断ち切るのではないのですが、欧州の温度感は米国の温度感とは少し違うのかもしれませんね。。。日本はどうするのでしょうかね。。。米国の戦略の歯車に組み込まれているのかもしれませんが...知らんけど...

 

1_20230410060601

 

⚫︎European Commission

・2023.04.06 Remarks by President von der Leyen at the press conference at the end of her visit to China

Remarks by President von der Leyen at the press conference at the end of her visit to China フォン・デル・ライエン欧州委員長の訪中終了記者会見での発言
I want to debrief you on a comprehensive day of high-level discussions we had today here in Beijing. I met with President Xi, both in a joint meeting with President Emmanuel Macron and then in a bilateral meeting. I also had a meeting with Prime Minister Li. 今日、ここ北京で行った包括的なハイレベル協議の一日について報告したい。私は習主席と、エマニュエル・マクロン大統領との共同会見、そして二国間会見の両方で会談しました。また、李首相とも会談を行いました。
Let me start with EU-China relations. It is an extensive and complex relationship that we have. For both of us, this relationship has a significant impact on our prosperity and our security. For China, because the European Union is the first export destination, while China is in the European Union the third export destination. If I give you one concrete figure, this means trade of more than EUR 2.3 billion per day in 2022. At the same time, our trade relationship is increasingly imbalanced. Over the last ten years, the European Union's trade deficit has more than tripled. It reached almost EUR 400 billion last year. And we discussed that, because this trajectory is not sustainable and the underlying structural issues need to be addressed. I conveyed that European Union businesses in China are concerned by unfair practices in some sectors – unfair practices that impede their access to the Chinese market. For example, if you take the EU agri-food products, they face significant hurdles. Or if you take medical devices as an example, they are being excluded from the market by discriminatory ‘Buy China' policies. All of these sectors I am speaking about are recognised areas of European excellence. So these sectoral issues are exacerbated by ever-growing requirements imposed by China that apply across the board: be it, for example, increasing pressures to submit to technology transfer; or be it excessive data requirements; or be it insufficient enforcement of intellectual property rights. All this puts European Union companies exporting to China, and also those producing in China, at a significant disadvantage, we discussed that. And we also discussed the fact that this contrasts with the level playing field that all companies operating in the European Single Market benefit from. So against this backdrop, the European Union is becoming more and more vigilant about protecting our interests and ensuring a level playing field. まず、EUと中国の関係からお話しします。私たちの関係は広範かつ複雑です。私たち双方にとって、この関係は私たちの繁栄と安全保障に大きな影響を及ぼしています。中国にとっては、欧州連合が第一の輸出先であるのに対し、中国は欧州連合の中で第三の輸出先だからです。具体的な数字をひとつあげると、2022年には1日あたり23億ユーロ以上の貿易を意味します。同時に、私たちの貿易関係はますますアンバランスになっています。過去10年間で、EUの貿易赤字は3倍以上になりました。昨年は約4000億ユーロに達しました。このような軌道は持続可能ではなく、根本的な構造的問題に対処する必要があるため、私たちはそのことについて議論しました。私は、中国に進出しているEUの企業が、一部の分野における不公正な慣行に懸念を抱いていること、つまり中国市場へのアクセスを阻害する不公正な慣行を伝えています。例えば、EUの農産食品を例にとると、大きなハードルに直面しています。また、医療機器を例にとれば、差別的な「中国買い」政策によって市場から排除されています。私がお話ししているこれらの分野はすべて、欧州の卓越した分野として認められているものです。例えば、技術移転を求める圧力の増大、過剰なデータ要求、知的財産権の不十分な執行など、中国が全面的に課す要件が増え続けているため、こうした分野別の問題は悪化しているのです。これらにより、中国に輸出する欧州連合(EU)企業や中国で生産する企業は大きな不利を被ることになります。また、欧州単一市場で活動するすべての企業が享受している公平な競争条件とは対照的であるという事実も説明しました。このような背景から、EUは我々の利益を保護し、公平な競争条件を確保するために、ますます警戒を強めているのです。
In addition to these imbalances in our relationship, as you know, the European Union is growing more vigilant about dependencies. Some of these dependencies raise significant risks for us, as does the export of sensitive emerging technologies. Within this context, we all know that this leads to calls by some to decouple from China. I doubt that this is a viable or desirable strategy. I believe that we have to engage in de-risking. This means focusing on specific risks, while appreciating that there is of course a large majority of goods and services, so trade that is un-risky. Of course, different risks require different means to address them: We address the risk of dependencies through the diversification of our trade and investment relations. The risk of leakage of sensitive technologies that could be used for military purposes needs to be addressed through export controls or investment screening. But whatever the instrument we choose is, we wish to resolve the current issues through dialogue. So it is basically de-risking through diplomacy. This is why I called for – and we agreed in – the resumption of the High-Level Economic and Trade Dialogue. I am very glad that we agreed on this. Not only the High-Level Economic and Trade Dialogue, but along with this one also the High-Level Digital Dialogue. These two Dialogues should convene as soon as possible to make progress on all the different files and produce tangible results. 我々の関係におけるこうした不均衡に加えて、ご存知のように、欧州連合は依存関係についても警戒を強めています。これらの依存関係の中には、機密性の高い新興技術の輸出と同様、私たちにとって重大なリスクをもたらすものがあります。このような状況の中で、中国との関係を断ち切ろうという声が上がっていることはご存じの通りです。私は、これが実行可能で望ましい戦略であるかどうかは疑問です。私は、デリスキングに取り組むべきだと考えています。これは、特定のリスクに焦点を当てるということですが、もちろん、商品やサービスの大部分は、リスクのない貿易であることを認めつつ、そのリスクを軽減することです。もちろん、リスクが違えば、それに対処する手段も違ってきます: 私たちは、貿易・投資関係の多様化を通じて、依存関係のリスクに対処しています。依存関係のリスクには貿易・投資関係の多様化で対応します。軍事利用されかねない機密技術の流出リスクには、輸出規制や投資審査で対応する必要があります。しかし、どのような手段を選ぶにせよ、私たちは対話を通じて現在の問題を解決したいと願っています。つまり、基本的には外交によるデリスキングです。だからこそ、私は経済・貿易ハイレベル対話の再開を呼びかけ、そして私たちはそれに合意した。私は、このことに合意したことを非常にうれしく思っています。経済・貿易ハイレベル対話だけでなく、これと並行してハイレベル・デジタル対話も開催されます。この2つの対話は、すべての異なるファイルについて進展を図り、具体的な成果を生み出すために、できるだけ早く開催されるべきです。
Let me now turn to the geopolitical environment. This visit is taking place in a challenging and increasing volatile context, in particular because of Russia's war of aggression against Ukraine. China's position on this is crucial for the Europe Union. As a member of the UN Security Council, there is a big responsibility, and we expect that China will play its role and promote a just peace, one that respects Ukraine's sovereignty and territorial integrity, one of the cornerstones of the UN Charter. I did emphasise in our talks today that I stand firmly behind President Zelenskyy's peace plan. I also welcomed some of the principles that have been put forward by China. This is notably the case on the issue of nuclear safety and risk reduction, and China's statement on the unacceptability of nuclear threats or the use of nuclear weapons. We also count on China not to provide any military equipment, directly or indirectly, to Russia. Because we all know, arming the aggressor would be against international law. And it would significantly harm our relationship. 次に、地政学的な環境についてお話しします。今回の訪問は、特にロシアによるウクライナへの侵略戦争のため、困難で不安定さを増している状況の中で行われています。これに対する中国の立場は、欧州連合にとって極めて重要です。国連安全保障理事会のメンバーとして大きな責任があり、中国がその役割を果たし、国連憲章の礎のひとつであるウクライナの主権と領土保全を尊重した公正な平和を推進することを期待しています。私は今日の会談で、ゼレンスキー大統領の和平案を断固として支持することを強調しました。また、中国が提唱しているいくつかの原則を歓迎しました。これは特に、核の安全とリスク軽減の問題、そして核の脅威や核兵器の使用は容認できないという中国の声明です。また、中国がロシアに直接的、間接的にいかなる軍備も提供しないことを期待します。なぜなら、私たちは皆、侵略者を武装させることは国際法に反すると知っているからです。そして、それは私たちの関係を著しく害することになるでしょう。
We also addressed human rights. I expressed our deep concerns about the deterioration of the human rights situation in China. The situation in Xinjiang is particularly concerning. It is important that we continue to discuss these issues. And I therefore welcome that we have already resumed the EU-China Human Rights Dialogue. 私たちはまた、人権についても言及しました。私は、中国における人権状況の悪化について深い懸念を表明しました。新疆ウイグル自治区の状況は特に懸念されます。私たちはこれらの問題について引き続き議論していくことが重要です。したがって、EU・中国人権対話がすでに再開されたことを歓迎します。
Besides Russia's invasion of Ukraine, there are some areas of convergence and cooperation on specific global issues. In view of the size of our economies, we have a shared responsibility in resolving global issues, for example, first and foremost, to protect the climate and to protect our environment. I particularly welcome the positive role that China has played in delivering the Montreal-Kunming agreement on biodiversity. China has also been a driving force to reach a deal on the High Seas Treaty – this is particularly positive. On the fight against climate change, we want to see China make concrete and ambitious commitments in the run-up to COP28 in Dubai. We discussed this topic too. And I invited China to jointly prepare this COP28, in the context of our joint initiative with Canada. And of course, I would very much welcome if China would be choosing to join the Global Methane Pledge. We need China as an important player. These were the different topics in general that we have discussed and I am now looking forward to answer your questions. ロシアのウクライナ侵攻以外にも、特定の国際的な問題に関して収斂し、協力できる分野がいくつかあります。我々の経済規模に鑑みれば、我々は国際的な問題の解決において共通の責任を負っており、例えば、何よりもまず気候を守り、環境を保護することです。私は特に、生物多様性に関するモントリオール-クンミング協定の実現において中国が果たした積極的な役割を歓迎します。また、中国は公海条約に関する合意達成の原動力となりました - これは特に好ましいことです。 気候変動との闘いについては、ドバイでのCOP28に向けて、中国が具体的かつ野心的なコミットメントを行うことを期待します。私たちはこのテーマについても議論しました。そして、カナダとの共同イニシアティブの文脈で、このCOP28を共同で準備するよう中国に呼びかけました。そしてもちろん、中国が国際的・メタン・プレッジに参加することを選択するのであれば、私は大いに歓迎します。中国を重要なプレーヤーとして必要としているのです。以上、一般的なトピックについてお話ししましたが、これから皆さんの質問にお答えしたいと思います。

 

 

 

・2023.04.06 Statement by President von der Leyen ahead of the trilateral meeting with President of the People's Republic of China Xi Jinping and French President Macron

Statement by President von der Leyen ahead of the trilateral meeting with President of the People's Republic of China Xi Jinping and French President Macron 習近平国家主席、マクロン仏大統領との3者会談を前にしたフォン・デル・ライエン欧州委員長の声明文
Dear President Xi, 親愛なる習主席へ、
I would like to start by thanking you for hosting us here in Beijing. This is my second visit to Beijing after 2018. Our visit comes one day after the Qingming Festival which I know is an important day for the people of China to honour and remember the memory of your ancestors. And I am happy to be here to pay respect to this country's great history and culture. まず、ここ北京で私たちを受け入れてくださったことに感謝したいと思います。2018年に続き、2度目の北京訪問となります。私たちの訪問は清明節の1日後に行われますが、これは中国の人々にとって、皆さんの祖先の記憶を尊重し、記憶するための重要な日であると私は知っています。そして私は、この国の素晴らしい歴史と文化に敬意を払うために、この地を訪れることができたことを嬉しく思っています。
Our meeting today is also an important opportunity for a frank and constructive dialogue. The European Union and China today have extensive and complex relations. How we manage these relations will be a determining factor for our future economic prosperity. This is why I do not see decoupling from China as a viable or desirable strategy. But equally, I do see a number of risks that Europe needs to address. So in this light – and in the current geopolitical environment –, it is more important than ever that we talk to each other and keep lines of communication open. 今日の私たちの会合は、率直で建設的な対話のための重要な機会でもあります。今日の欧州連合と中国は、広範かつ複雑な関係にあります。これらの関係をどのように管理するかは、私たちの将来の経済的繁栄を決定する要因となるでしょう。このため、私は中国とのデカップリングが実行可能で望ましい戦略とは考えていません。しかし、同様に、欧州が対処すべき多くのリスクも見ています。このような観点から、そして現在の地政学的環境から、私たちが互いに話し合い、コミュニケーションの糸口を開いておくことは、これまで以上に重要なことなのです。
We are major trading partners. The European Union is China's largest export market, while China is our third largest. And while we need to address some critical imbalances in our economic relationship, China and the European Union must also cooperate closely on the most pressing global challenges: climate change, nuclear threats, global health, global financial stability – and others. Our common future depends on it. 私たちは主要な貿易相手国です。EUは中国にとって最大の輸出市場であり、中国は私たちにとって第3の市場です。そして、我々の経済関係におけるいくつかの重大な不均衡に対処する必要がある一方で、中国と欧州連合は、気候変動、核の脅威、世界の健康、世界の金融安定など、最も差し迫った国際的な課題についても緊密に協力する必要があります。私たちの共通の未来は、それにかかっているのです。
As major economies and actors on the global stage, both China and the European Union have a responsibility to uphold – and also to improve – the rules-based international order based on the United Nations Charter. In the face of Russia's war against Ukraine, we want a just peace to be restored. And for this, we need Russia to end its invasion and withdraw its troops from Ukraine. Territorial integrity and sovereignty are fundamentals of the UN Charter that we all fully support. 中国と欧州連合は、主要な経済国として、また世界の舞台で活躍する者として、国連憲章に基づくルールに基づく国際秩序を維持し、また改善する責任を負っている。ロシアのウクライナに対する戦争に直面して、私たちは公正な平和が回復されることを望んでいる。そのためには、ロシアが侵略をやめ、ウクライナから軍隊を撤退させる必要がある。領土保全と主権は、私たち全員が完全に支持する国連憲章の基本事項です。
By coming here and meeting you in person today, President Xi, I am looking forward to discuss, together with President Macron, these issues and opportunities and how best to manage the challenges that we face. 今日、ここに来て習主席に直接お会いすることで、私はマクロン大統領とともに、こうした問題や機会、そして私たちが直面している課題をどのように管理するのが最善なのかを議論することを楽しみにしています。
Thank you. ありがとうございました。

 

・李首相との会談...

・2023.04.06 Statement by President von der Leyen ahead of the meeting with Chinese Premier of the State Council Li Qiang

Statement by President von der Leyen ahead of the meeting with Chinese Premier of the State Council Li Qiang 李強国務院総理との会談を前にしたフォン・デル・ライエン欧州委員長の声明文
Thank you very much, Prime Minister Li, 李首相、どうもありがとうございました、
Let me start by congratulating you on your new mandate. China is of great importance to Europe through interdependencies and a long-shared history. And I say this as well from a family experience because my father who was Prime Minister of the German state of Lower-Saxony, I remember that he told me when I was a young girl about his visits to China in the mid and late 80s. And in fact, I believe that during one of these visits he signed with the province Anhui the very first cooperation agreement between the Chinese province and the German ‘land'. And this was one of the many impulses for the very deep and wide relations that China and the European Union have established in the meantime. まず、あなたの新しい任務について祝福します。中国は、相互依存関係や長い歴史を共有することによって、ヨーロッパにとって非常に重要な存在です。私の父はドイツのニーダーザクセン州の首相でしたが、私が幼い頃、80年代半ばから後半にかけて中国を訪問したときのことを話してくれたのを覚えています。実際、その訪問の際に、父は安徽省との間で、中国の州とドイツの「土地」との間の最初の協力協定に署名したのだと思う。そしてこれは、中国とEUがその間に築いた非常に深く広い関係の、多くの原動力の1つとなりました。
Both Europe and China have benefitted immensely from this relationship, however EU-China relations have become more complex in the recent years. And it is important that we discuss together all the aspects of our relations today. This will help both the European Union and China to navigate a complex and volatile geopolitical environment. So I am very much looking forward to our discussions.    欧州と中国の双方がこの関係から多大な恩恵を受けているが、EUと中国の関係は近年、より複雑になってきている。そして、今日、両者の関係のあらゆる側面について共に議論することが重要である。そうすることで、EUと中国の双方が複雑で不安定な地政学的環境を乗り切ることができるようになります。ですから、私は私たちの議論をとても楽しみにしています。  

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.10 習近平国家主席、マクロン仏大統領、フォン・デル・ライエン欧州委員長が、中国・フランス・欧州に関する会談を実施 (2023.04.06)

・2023.03.29 中国 ロシア 習近平国家主席とプーチン大統領の会談 (2023.03.22)

・2023.03.15 中国 第14期全国人民代表大会での習近平国家主席のスピーチ

・2023.03.15 中国 グローバル安全保障イニシアティブコンセプトペーパー (2023.02.22)

・2023.02.21 中国 米国の覇権、覇道、いじめとその危険性

・2022.11.15 米国 中国 G20関係 ジョー・バイデン大統領と中華人民共和国の習近平国家主席との会談

・2022.11.07 米国 ドイツ バイデン大統領と訪中したシュルツ首相との電話会談

・2022.11.05 ドイツ 中国 シュルツ首相の中華人民共和国訪問

| | Comments (0)

2023.04.10

イタリア データ保護庁委員とOpenAI社CEOが会談

こんにちは、丸山満彦です。

2023.03.31にOpenAI社がGDPRを遵守していない可能性があるということで、イタリアのデータ保護庁が利用禁止を命じましたが、先日、イタリアデータ保護庁 (Garante) の委員とOpenAI社のCEO他が会談をしたようです。。。

 

⚫︎ Garante Per La Protezione Dei Dati Personali

・2023.04.06 ChatGPT: OpenAI collaborating with Italian SA on co+B3:C9mmitments for protecting italian users

ChatGPT: OpenAI collaborating with Italian SA on co+B3:C9mmitments for protecting italian users ChatGPT: OpenAIはイタリアのユーザーを保護するためのコミットメントについてGaranteと協力しています。
The scheduled meeting between the Italian SA and OpenAI took place last night via videoconference. GaranteとOpenAIの間で予定されていたミーティングが、昨晩、ビデオ会議を通じて行われました。
As well as Sam Altman, the CEO of OpenAI who joined for the initial part of the meeting, the whole panel of commissioners of the Italian SA (Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza) took part in the meeting along with Che Chang, Deputy General Counsel for the US Company, Anna Makaniu, Head of Public Policy, and Ashley Pantuliano, Associate General Counsel. 会議の最初の部分に参加したOpenAIのCEOであるSam Altmanのほか、Garanteの委員全員(Pasquale Stanzione、Ginevra Cerrina Feroni、Agostino Ghiglia、Guido Scorza)、米国法人の副顧問Che Chang、公共政策担当のAnna Makaniu、副顧問Ashley Pantulianoが会議に参加しました。
OpenAI said they believe they comply with applicable personal data protection laws but confirmed their willingness to cooperate with the Italian SA in order to address the concerns raised by the Garante regarding ChatGPT. OpenAIは、適用される個人データ保護法を遵守していると考えているが、ChatGPTに関してGaranteが提起した懸念に対処するために、Garanteと協力する意思があることを確認したと述べています。
For its part, the Italian SA emphasized that this exercise was meant in no way to hamper the development of AI and technological innovation, however it reiterated the importance to comply with the legislation protecting personal data of Italian and European individuals. 一方、イタリア政府機関は、今回の措置がAIと技術革新の発展を妨げるものではないことを強調し、イタリアとヨーロッパの個人の個人データを保護する法律を遵守することの重要性を改めて強調しました。
OpenAI said they are committed to enhancing transparency in the use of data subjects’ personal data and existing mechanisms to exercise data subject rights and safeguards for children. The company undertook to provide the Italian SA by today [6 April] with a document setting out the measures to address the requests by the SA. OpenAIは、データ主体の個人データの使用における透明性の向上、データ主体の権利を行使するための既存のメカニズム、子どもに対するセーフガードに尽力していると述べた。同社は、本日[4月6日]までに、Garanteによる要請に対応するための措置を定めた文書をGaranteに提供することを約束しました。
The Italian SA will assess the proposed measures also with regard to the order issued vis-à-vis OpenAI. Garanteは、提案された措置を、OpenAIに対して出された命令についても評価する予定です。

 

1_20230401162001

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.06 OpenAI ブログ AIの安全への取り組み

・2023.04.06 カナダ プライバシーコミッショナー ChatGPTに対する調査を開始

・2023.04.02 イタリア データ保護庁がOpenAI社にプライバシー規制を遵守するまでChatGPTがイタリア人ユーザのデータ処理の制限を直ちに命じた...

 

 

| | Comments (0)

防衛省 防衛研究所 『大国間競争の新常態』

こんにちは、丸山満彦です。

防衛省の防衛研究所が、『大国間競争の新常態』という書籍を販売しています。が、その内容がPDFでウェブから読めますので、参考まで。。。

情報セキュリティよりも、安全保障の話が目立ってきているかもしれませんが、、、まぁ、Securityということで。。。

 

⚫︎ 防衛省 防衛研究所

・2023.03 『大国間競争の新常態』

1_20230410143701

著者:増田 雅之(編著)

発行年:20233

中国の台頭と米国の相対的衰退というパワーバランスの変化が生じ、パワー、利益、価値、規範そしてそれらを反映する国際秩序の在り方をめぐる米中競争が熾烈さを増している。米中戦略的競争の論理と構図、大国間競争におけるロシア・ファクターの実相、大国間競争のなかでの地域秩序の在り方を検討し、国際秩序の行く末を探る。

 

目次

はしがき

序 章   大国間競争のダイナミズム (増田 雅之

第1部   米中戦略的競争とロシア・ファクター

第1章  中国の国際秩序構想と大国間競争——自信と不満が交錯する「大国外交増田 雅之

コラム① サウジアラビアにとっての中国の戦略的価値とその限界 𠮷田智聡

第2章  米国と対中競争——固定化される強硬姿勢新垣

第3章  ロシアの古典的な大国構想——遠のく「勢力圏」山添 博史

第2部   大国間競争のなかの地域秩序

第4章  ASEANの「中立」——米中対立下のサバイバル戦略庄司 智孝

第5章  大国間競争のなかの豪州——同盟と地域の狭間で佐竹 知彦

コラム② 大国間競争のなかで復活したQUAD (小熊真也)

第6章  大国間競争下の南アジア——米中競争時代の到来と「対テロ戦争」の残滓栗田 真広

第7章  戦略的競争における欧州——国際秩序と地域秩序の相克田中 亮佑

奥付

著者(肩書は刊行時点)

編著者
増田 雅之 理論研究部 政治・法制研究室長

著者
新垣 拓  地域研究部 米欧ロシア研究室 主任研究官
山添 博史 地域研究部 米欧ロシア研究室 主任研究官
庄司 智孝 地域研究部 アジア・アフリカ研究室長
佐竹 知彦 政策研究部 防衛政策研究室 主任研究官
栗田 真広 政策シミュレーション室 主任研究官
田中 亮佑 地域研究部 米欧ロシア研究室 研究員

 

 

 

| | Comments (0)

習近平国家主席、マクロン仏大統領、フォン・デル・ライエン欧州委員長が、中国・フランス・欧州に関する会談を実施 (2023.04.06)

こんにちは、丸山満彦です。

2023.04.06の午後、中国の習近平国家主席、フランスのマクロン大統領、フォン・デル・ライエン欧州委員長が中国・フランス・欧州に関する会談を中国の人民大会堂で実施したようですね。。。

最近習近平さんは、数多くの国家主席、大統領、首相とあっていますよね。。。外交部のウェブページが参考になりますね。。。

フランス側、欧州側のウェブページには、この会談に関する記事が見つけられていないけど、きっとどこかにあるはず...

(2023.04.10追記:European Commission で声明等が掲載されました =>)

 

1_20230410060601 

⚫︎ 中华人民共和国中央人民政府

1 2023.04.07 中华人民共和国和法兰西共和国联合声明(全文) 中華人民共和国とフランス共和国の共同宣言(全文)
2 2023.04.07 习近平同法国总统马克龙在广州非正式会晤 習近平とマクロン仏大統領が広州で非公式に会談
3 2023.04.06 习近平会见欧盟委员会主席冯德莱恩 習近平、フォン・デル・ライエン欧州委員会委員長と会談
4 2023.04.06 习近平同法国总统马克龙、欧盟委员会主席冯德莱恩举行中法欧三方会晤 習近平、マクロン仏大統領、フォン・デル・ライエン欧州委員長との3者会談を実施
5 2023.04.06 习近平出席中法企业家委员会第五次会议闭幕式并致辞 習近平、第5回中仏ビジネス協議会閉会式に出席、スピーチ
6 2023.04.06 习近平同法国总统马克龙举行会谈 習近平、フランスのマクロン大統領と会談
7 2023.04.06 习近平同法国总统马克龙、欧盟委员会主席冯德莱恩举行中法欧三方会晤 習近平、マクロン仏大統領、フォン・デル・ライエン欧州委員長との3者会談を実施
8 2023.04.06 快讯:习近平同法国总统马克龙、欧盟委员会主席冯德莱恩举行中法欧三方会晤 エクスプレス:習近平、フランスのマクロン大統領、欧州委員会のフォン・デル・ライエン委員長と三者会談を行う
9 2023.04.06 习近平:中方愿同法方就政治解决乌克兰危机发出共同呼吁 習近平:中国、ウクライナ危機の政治的解決でフランスと共同アピールする用意あり
10 2023.04.06 习近平同法国总统马克龙共同会见记者 習近平とマクロン仏大統領、記者会見
11 2023.04.06 习近平同法国总统马克龙举行会谈 習近平、フランスのマクロン大統領と会談
12 2023.04.06 快讯:习近平同法国总统马克龙举行会谈 エクスプレス:習近平がフランスのマクロン大統領と会談
13 2023.04.06 习近平将同法国总统马克龙举行会谈 習近平、マクロン仏大統領と会談へ

 

まずは、

4 2023.04.06 习近平同法国总统马克龙、欧盟委员会主席冯德莱恩举行中法欧三方会晤 習近平、マクロン仏大統領、フォン・デル・ライエン欧州委員長との3者会談を実施

 

习近平同法国总统马克龙、欧盟委员会主席冯德莱恩举行中法欧三方会晤 習近平、マクロン仏大統領、フォン・デル・ライエン欧州委員長と中・仏・欧州に関する3者会談を実施
2023年04月06日 22:50来源: 新华社 2023年4月6日 22:50 ソース:新華社
新华社北京4月6日电(记者刘华)4月6日下午,国家主席习近平在人民大会堂同法国总统马克龙、欧盟委员会主席冯德莱恩举行中法欧三方会晤。 北京4月6日(新華社)】習近平主席は6日午後、人民大会堂でエマニュエル・マクロン仏大統領、フランソワ・フォン・デル・ライエン欧州委員長とともに中仏欧三者会談を開催した。
4月6日下午,国家主席习近平在北京人民大会堂同法国总统马克龙、欧盟委员会主席冯德莱恩举行中法欧三方会晤。新华社记者 翟健岚 摄 習近平主席は6日午後、北京の人民大会堂でフランスのエマニュエル・マクロン大統領、欧州委員会のフランソワ・フォン・デア・ライエン委員長と3者会談を行った。 撮影:新華社通信・翟建蘭
习近平指出,中欧双方有着广泛共同利益,合作大于竞争,共识多于分歧。当前,国际形势复杂多变,中欧双方应该坚持相互尊重,增进政治互信,加强对话合作,共同维护世界和平稳定,促进共同发展繁荣,携手应对全球性挑战。今年是中国同欧盟建立全面战略伙伴关系20周年。中方愿同欧方一道,把握好中欧关系发展大方向和主基调,全面重启各层级交往,激活各领域互利合作,为中欧关系发展和世界和平、稳定、繁荣注入新动力。 習近平は、中国と欧州は広範な共通の利益を共有し、協力は競争より大きく、合意は相違より大きいと指摘した。 現在、国際情勢は複雑で不安定であり、中国と欧州は相互尊重を堅持し、政治的相互信頼を高め、対話と協力を強化し、世界の平和と安定の維持、共同の発展と繁栄の促進に協力し、手を携えて世界の課題に取り組むべきだ。 今年は中国とEUの包括的な戦略的パートナーシップの確立から20周年にあたる。 中国は欧州側と協力し、中国・EU関係の発展の大方向と基調を把握し、各レベルの接触を全面的に再開し、各分野の互恵協力を活性化し、中国・EU関係の発展と世界の平和、安定、繁栄に新たな原動力を注ぎ込むことを望んでいる。
习近平强调,要增强中欧关系的稳定性。中欧关系不针对、不依附、不受制于第三方。中方始终从战略高度和长远角度看待中欧关系,对欧政策保持稳定性和连续性。希望欧方形成更为独立、客观的对华认知,奉行务实、积极的对华政策。双方要尊重彼此核心利益和重大关切,通过对话协商聚同化异。要相互尊重彼此发展道路。中国式现代化和欧洲一体化是双方各自着眼未来作出的战略选择,双方要做彼此发展道路上可信、可靠的合作伙伴。中国人民为自己找到的符合本国国情的正确发展道路感到自豪。双方应该求同存异,相互包容、相互欣赏、相互借鉴、相互促进。渲染所谓“民主对抗威权”、挑动“新冷战”,只会给世界带来分裂和对抗。要维护开放互信的合作环境。中欧要保持双向开放,为对方企业提供公平、非歧视性的营商环境,避免将经贸问题政治化、安全化。双方要构建稳定互信的供应链,对接“一带一路”倡议同欧盟“全球门户”战略,助力双方经济长期稳定增长。 習近平は、中国・EU関係の安定を強化する必要性を強調した。 中国と欧州の関係は、第三者を対象とするものでも、依存するものでも、従うものでもない。 中国は常に戦略的かつ長期的な観点から中国・EU関係を捉えており、対欧州政策の安定性と継続性を維持してきた。 我々は、欧州側が中国についてより独立した客観的な認識を持ち、現実的かつ積極的な対中政策を追求することを望んでいる。 双方は、互いの核心的利益と主要な関心事を尊重し、対話と協議を通じて相違を解決するよう努めるべきである。 我々は、互いの発展の道を尊重しなければならない。 中国式の近代化と欧州統合は、双方が将来を見据えて行った戦略的選択であり、双方は互いの発展の道において信頼できるパートナーであるべきである。 中国国民は、自らの国情に合った正しい発展の道を見出したことを誇りに思う。 双方は、違いを留保しながら共通点を探し、互いに寛容であり、互いに感謝し、互いに学び、互いに促進し合うべきである。 いわゆる「権威主義に対抗する民主主義」や「新冷戦」は、世界に分裂と対立をもたらすだけである。 我々は、協力のためのオープンで信頼できる環境を維持しなければならない。 中国と欧州は双方向の開放性を維持し、互いの企業に公平で差別のないビジネス環境を提供し、経済・貿易問題の政治化・安全化を回避すべきである。 双方は安定した相互信頼のサプライチェーンを構築し、「一帯一路」イニシアティブとEUの「グローバル・ゲートウェイ」戦略を連携させ、双方の長期的かつ安定的な経済成長に貢献する必要がある。
习近平强调,中国始终坚持真正的多边主义,坚持共商共建共享的全球治理观,愿同欧方加强在多边事务中的协调合作,共同维护以联合国为核心的国际体系、以国际法为基础的国际秩序、以联合国宪章宗旨和原则为基础的国际关系基本准则。中欧要共同维护世界稳定和繁荣,反对霸权主义、单边主义,反对“脱钩断链”。双方要加强宏观经济和金融政策沟通协调,深化绿色伙伴关系,加强绿色金融、环境技术、清洁能源等领域对话和合作。双方要帮助发展中国家共同发展,推动多边机构和金融资本更多参与二十国集团缓债倡议,探讨在非洲等地开展三方、多方合作。 習近平は、中国は常に真の多国間主義と合意・建設・共有に基づくグローバル・ガバナンスの概念を堅持しており、多国間問題において欧州側との協調・協力を強化し、国連を核とする国際システム、国際法に基づく国際秩序、国連憲章の目的・原則に基づく国際関係の基本規範を共同で守っていきたい。 中国とEUは、世界の安定と繁栄の維持のために協力し、覇権主義や一国主義に反対し、「デカップリングと鎖の切断」に反対すべきである。 双方は、マクロ経済・金融政策に関する意思疎通と協調を強化し、グリーンパートナーシップを深め、グリーンファイナンス、環境技術、クリーンエネルギーの分野における対話と協力を強化すべきである。 双方は、途上国が共に発展することを助け、G20債務救済イニシアティブへの多国間機関や金融資本の参加拡大を促進し、アフリカなどでの三者協力や多党協力を模索すべきだ。
4月6日下午,国家主席习近平在北京人民大会堂同法国总统马克龙、欧盟委员会主席冯德莱恩举行中法欧三方会晤。新华社记者 翟健岚 摄 習近平主席は6日午後、北京の人民大会堂でフランスのエマニュエル・マクロン大統領、欧州委員会のフランソワ・フォン・デア・ライエン委員長と3者会談を行う。 撮影:新華社通信・翟建蘭
冯德莱恩表示,欧方尊重中国历史和文化。欧中进行坦诚和建设性的对话,保持欧中关系持续发展,对欧洲的和平稳定至关重要。欧中互为重要贸易伙伴,彼此经济高度关联,同中国“脱钩”不符合欧方利益,不是欧盟的战略选择,欧盟独立自主地决定对华政策。欧方愿同中方重启欧中经贸高层对话,推进欧中经贸关系稳定平衡发展,实现互利共赢。欧方祝贺中方成功举办《生物多样性公约》第十五次缔约方大会,赞赏中方为减少碳排放所做努力,希望同中方加强沟通协调,合作应对全球性挑战,为促进世界和平、稳定和发展发挥应有作用。 フォン・デル・ライエンは、欧州側が中国の歴史と文化を尊重していると述べた。 欧州と中国が率直かつ建設的な対話を行い、両国の関係を継続的に発展させていくことは、欧州の平和と安定にとって極めて重要である。 欧州と中国は重要な貿易パートナーであり、両国の経済は高度に相互接続している。 中国から「切り離す」ことは欧州の利益にはならず、それはEUの戦略的選択でもない。 欧州連合は、EUと中国の経済・貿易関係の安定的かつ均衡ある発展を促進し、相互利益を達成するために、中国との間でEU・中国ハイレベル経済・貿易対話を再開することを望んでいる。 欧州連合は、中国が生物多様性条約第15回締約国会議を成功させたことを祝福し、中国の二酸化炭素排出量削減への取り組みを高く評価するとともに、中国との意思疎通と調整を強化し、グローバルな課題に協力して取り組み、世界の平和、安定、発展を促進する上で当然の役割を果たすことを希望する。
马克龙表示,当今世界充满不确定性,需要欧中双方以相互尊重和坦诚谦逊的态度加强对话交流。双方应共同努力,不掉入“脱钩断链”的陷阱,开展平等互利合作,共同应对气候变化等紧迫全球性挑战,不断深化欧中全面战略伙伴关系。 マクロン氏は、「今日の世界は不確実性に満ちており、欧州と中国が相互尊重と率直さ、謙虚さをもって対話と交流を強化することが必要である。 双方は、「デカップリングして連鎖を断ち切る」という罠を回避し、対等で互恵的な協力を展開し、気候変動などの差し迫った世界的課題に共同で取り組み、欧州と中国の包括的戦略パートナーシップを深めるために協力する必要がある。
三位领导人就乌克兰危机交换了意见。冯德莱恩和马克龙介绍了欧方看法,表示中方不是乌克兰危机的制造者,欧方赞赏中方为推动政治解决乌克兰危机所做努力,期待中方发挥更加重要作用,愿同中方合作,找到劝和促谈的办法。 3首脳は、ウクライナ危機について意見交換を行った。 フォン・デル・ライエン氏とマクロン氏は欧州側の見解を示し、中国はウクライナ危機の創造者ではない、欧州側はウクライナ危機の政治的解決を推進する中国の努力を評価し、中国がより重要な役割を果たすことを期待していると述べた。
习近平强调,中国始终根据事情本身的是非曲直独立自主决定立场。中方在乌克兰问题上的方针归结为一句话,就是劝和促谈。中方敦促各方保持冷静和理智,共同为和谈创造条件。当务之急是推动停火止战,反对火上浇油、让问题复杂化。乌克兰危机不是中欧之间的问题。中方将继续为劝和促谈发挥积极作用,支持欧方从自身根本和长远利益出发,提出政治解决乌克兰危机的思路和方案,推动构建均衡、有效、可持续的欧洲安全框架。 習近平は、中国は常に独立し、問題そのもののメリットに基づいて自らの立場を決定してきたと強調した。 ウクライナ問題に対する中国のアプローチは、平和を説得し、話し合いを促進するという一言に集約される。 中国は、すべての当事者が冷静かつ理性的であり、和平交渉のための条件を整えるために協力するよう求めている。 最も緊急な課題は、停戦を促進し、戦争を止めることであり、火に油を注ぎ、問題を複雑化させることに反対することである。 ウクライナ危機は中国と欧州の間の問題ではない。 中国は引き続き平和の説得と協議の推進に積極的な役割を果たし、欧州側が自らの根本的かつ長期的な利益のためにウクライナ危機の政治的解決に向けたアイデアと提案を提出し、バランスのとれた効果的で持続可能な欧州安全保障の枠組みの構築を促進することを支持する。
王毅、秦刚等参加会晤。 王毅と秦剛が会談に出席した。

 

 

 

3 2023.04.06 习近平会见欧盟委员会主席冯德莱恩 習近平、フォン・デル・ライエン欧州委員会委員長と会談

 

习近平会见欧盟委员会主席冯德莱恩 習近平、フォン・デル・ライエン欧州委員会委員長と会談
新华社北京4月6日电(记者 刘华)4月6日下午,国家主席习近平在人民大会堂会见欧盟委员会主席冯德莱恩。 北京4月6日(新華社)】習近平主席は6日午後、人民大会堂で欧州委員会のフォン・デル・ライエン委員長と会見した。
4月6日下午,国家主席习近平在北京人民大会堂会见欧盟委员会主席冯德莱恩。新华社记者 姚大伟 摄 習近平主席は6日午後、北京の人民大会堂で欧州委員会のフォン・デル・ライエン委員長と会見した。 撮影:新華社通信・姚大叡
习近平指出,中方始终将欧盟视为国际格局中一支战略性力量,一直把发展中欧关系视为中国外交优先方向,愿同欧方延续良好传统,保持密切沟通,增进战略互信,聚焦互利共赢合作,共同克服干扰和挑战,实现中欧关系高水平运行。 習近平は、中国はEUを国際情勢における戦略的勢力とみなし、中国-EU関係の発展を中国外交の優先的方向とみなしてきたと指摘し、欧州側との良き伝統を引き継ぎ、緊密なコミュニケーションを保ち、戦略的相互信頼を高め、互恵・ウィンウィンの協力を重視し、協力して妨害と課題を克服し、中国-EU関係の高いレベルの運用を達成したい。
习近平强调,中欧双方要加强沟通,建立正确的相互认知,避免误解误判。中华民族有着5000多年文明史,历来反对穷兵黩武、恃强凌弱、国强必霸。中国的发展是为了让中国人民过上好日子。同时,中方坚决维护自身主权、安全、发展利益,绝不答应任何势力剥夺中国人民追求幸福的权利。中欧要聚焦合作,互利共赢,支持经济全球化、贸易自由化,就经贸合作中的问题深入对话沟通,通过协商达成双方均可接受的安排。中方是欧洲解决能源、通货膨胀等挑战,提升竞争力的重要伙伴,欢迎欧方继续分享中国发展红利。 習近平は、中国と欧州はコミュニケーションを強化し、正しい相互認識を構築し、誤解と誤判断を避けるべきだと強調した。 5000年以上の文明の歴史を持つ中華民族は、国が強いときの軍国主義、いじめ、覇権主義に常に反対してきた。 中国の発展は、中国の人々が良い生活を送ることができるようにすることである。 同時に、中国は自国の主権、安全、発展の利益を守ることを決意しており、中国人民の幸福追求の権利を奪ういかなる勢力にも決して同意することはない。 中国と欧州は、互恵とウィンウィンのための協力に焦点を当て、経済のグローバル化と貿易の自由化を支持し、経済・貿易協力における問題について詳細な対話とコミュニケーションを行い、協議を通じて相互に受け入れられる取り決めを行うべきである。 中国は欧州にとって、エネルギーやインフレなどの課題に取り組み、競争力を向上させるための重要なパートナーであり、欧州側が中国の発展の配当を引き続き共有することを歓迎する。
习近平强调,中欧关系的良好发展离不开独立自主、相互尊重、互利合作。中方坚定奉行独立自主的和平外交政策,尊重各国人民自主选择发展道路的权利。中国同任何国家发展双边关系都不针对、不依附、也不受制于第三方。中欧双方要正视差异,管控分歧,相互尊重。希望欧盟委员会着眼欧盟根本和长远利益,从中欧关系大局出发,为中欧关系健康稳定发展发挥积极作用。 習近平は、中国と欧州の関係の良好な発展は、独立、相互尊重、互恵的な協力なしには達成できないと強調した。 中国は独立した平和的な外交政策を断固として追求し、すべての民族が自らの発展の道を選択する権利を尊重する。 中国のいかなる国との二国間関係も、第三者に向けられたものでも、依存するものでも、従うものでもない。 中国とEUは、互いの違いを直視し、それを管理し、尊重し合うべきである。 欧州委員会がEUの基本的かつ長期的な利益に焦点を当て、中国・EU関係の全体状況を考慮し、中国・EU関係の健全で安定した発展に積極的な役割を果たすことを希望する。
4月6日下午,国家主席习近平在北京人民大会堂会见欧盟委员会主席冯德莱恩。新华社记者 谢环驰 摄 習近平主席は6日午後、北京の人民大会堂でフォン・デル・ライエン欧州委員会委員長と会談した。 撮影:新華社通信・謝煥智
冯德莱恩表示,中国拥有悠久历史和深厚文化,欧中文明交流互鉴对双方和世界具有积极影响。欧中在应对气候变化等全球性挑战和政治解决地区争端问题上拥有很多共识,双方应该共同努力,为维护世界和平稳定作出贡献。欧方完全不赞同搞“脱钩断链”,希望同中方加强交往对话,尽早重启三个对话机制,开展更多互利合作。 フォン・デル・ライエンは、次のように述べた。「中国には長い歴史と深遠な文化があり、ヨーロッパと中国の文明の交流と相互理解は、双方と世界に良い影響を与えるものだ。 気候変動や地域紛争の政治的解決など、世界的な課題に対して多くの共通見解を持つ両者は、世界の平和と安定の維持に貢献するために協力するべきだ。 欧州側は、「脱亜入欧、断交」という考えには同意せず、中国との接触と対話を強化し、3つの対話メカニズムを早期に再開し、より互恵的な協力を展開することを望んでいる。」
关于台湾问题,习近平强调,台湾问题是中国核心利益中的核心。谁要是在一个中国问题上做文章,中国政府和中国人民绝不答应;谁要是指望中国在台湾问题上妥协退让,那是痴心妄想,只会搬起石头砸自己的脚。 台湾問題について、習近平は「台湾問題は中国の核心的利益である」と強調した。 中国政府と中国国民は、一帯一路の問題で騒ぐ者には決して同意しない。中国が台湾問題で妥協して引き下がることを期待する者は妄想であり、石を持ち上げて自分の足を砕くだけである。
冯德莱恩重申,欧盟无意改变长期奉行的一个中国政策,承认中华人民共和国政府是代表全中国的唯一合法政府,希望台海地区保持和平稳定。 フォン・デル・ライエンは、EUが長年掲げてきた一帯一路の政策を変えるつもりはなく、中華人民共和国政府を中国全土を代表する唯一の合法的な政府として承認し、台湾海峡地域の平和と安定が維持されることを望んでいると改めて表明した。
王毅、秦刚等参加会晤。 王毅と秦剛が会談に出席した。

 

 

6 2023.04.06 习近平同法国总统马克龙举行会谈 習近平、フランスのマクロン大統領と会談

 

习近平同法国总统马克龙举行会谈 習近平、フランスのマクロン大統領と会談
4月6日下午,国家主席习近平在北京人民大会堂同来华进行国事访问的法国总统马克龙举行会谈。这是会谈前,习近平在人民大会堂东门外广场为马克龙举行欢迎仪式。新华社记者 谢环驰 摄 習近平国家主席は6日午後、北京の人民大会堂で、国賓訪問で中国を訪れたフランスのエマニュエル・マクロン大統領と会談した。 会談に先立ち、習近平氏は人民大会堂東門の外側の広場でマクロン氏の歓迎セレモニーを実施した。 撮影:新華社・謝煥智
新华社北京4月6日电(记者 刘华)4月6日下午,国家主席习近平在人民大会堂同来华进行国事访问的法国总统马克龙举行会谈。 北京4月6日(新華社)】習近平国家主席は6日午後、人民大会堂で中国を公式訪問中のフランスのエマニュエル・マクロン大統領と会談した。
习近平欢迎马克龙再次访华。习近平指出,当今世界正在经历深刻的历史之变,中法作为联合国安理会常任理事国和具有独立自主传统的大国,作为世界多极化、国际关系民主化的坚定推动者,有能力、有责任超越分歧和束缚,坚持稳定、互惠、开拓、向上的中法全面战略伙伴关系大方向,践行真正的多边主义,维护世界和平、稳定、繁荣。 習主席はマクロン氏が再び中国を訪問することを歓迎した。 習近平氏は、次のように指摘した。今日の世界は、重大な歴史的変化の中にある。
国連安全保障理事会の常任理事国として、また独立と自律の伝統を持つ大国として、中国とフランスは 世界の多極化と国際関係の民主化の確固たる推進者として、差異やしがらみを超え、安定的で互恵的、先駆的かつ上向きの中仏包括的戦略的パートナーシップの一般的方向性を堅持する能力と責任を持っている。 真の多国間主義を実践し、世界の平和、安定、繁栄を堅持する。
4月6日下午,国家主席习近平在北京人民大会堂同来华进行国事访问的法国总统马克龙举行会谈。这是会谈前,习近平在人民大会堂东门外广场为马克龙举行欢迎仪式。新华社记者 翟健岚 摄 習近平主席は6日午後、北京の人民大会堂で、国賓訪問で中国を訪れたフランスのマクロン大統領と会談した。 会談に先立ち、習近平は人民大会堂東門の外側の広場でマクロン大統領を歓迎する式典を開催した。 撮影:新華社通信・翟建蘭
习近平积极评价中法关系保持积极稳健发展势头,强调指出,稳定性是中法关系的突出特征和宝贵财富,值得双方精心呵护。双方要用好两国全方位、高水平沟通渠道,保持两国元首密切沟通,今年年内举行中法战略、经济财金、人文交流三大高级别对话机制新一次会议。双方要相互尊重对方主权和领土完整,尊重对方核心利益,妥善处理管控分歧。要坚持互利互惠、共同发展。中国正在大力推进高质量发展和高水平开放,这将为法方提供更广阔市场机遇。中方愿同法方深化农食、航空航天、民用核能等领域合作,培育服务贸易、绿色发展、科技创新等新合作增长点,支持双方共建碳中和中心、加强人才联合培养。欢迎法国担任2024年中国国际服务贸易交易会和第七届中国国际进口博览会主宾国。希望法方为中国企业提供公平、公正、非歧视的营商环境。中方愿同法方以明年中法建交60周年暨中法文化旅游年、巴黎奥运会为契机,加强相关领域合作。 習近平氏は、中仏関係の前向きで着実な発展の勢いを肯定的に評価し、安定は中仏関係の際立った特徴であり貴重な資産であり、双方が慎重に配慮する価値があると強調した。 双方は、両国の全方位的かつハイレベルなコミュニケーションチャンネルを十分に活用し、両首脳間の緊密なコミュニケーションを維持し、中仏の戦略、経済・金融、人文交流に関する3つのハイレベル対話メカニズムの新たな会合を年内に開催するべきだ。 双方は、互いの主権と領土保全を尊重し、互いの核心的利益を尊重し、相違を適切に処理し管理しなければならない。 我々は、相互利益と共同発展を堅持しなければならない。 中国は質の高い発展とハイレベルな開放を精力的に推進しており、これはフランスにより広い市場機会を提供することになる。 中国は、農業・食品、航空宇宙、民間原子力などの分野でフランスとの協力を深め、サービス貿易、グリーン開発、科学技術革新における協力の新たな成長点を開拓し、カーボンニュートラルセンターの建設や人材育成の共同強化において双方を支援することを望んでいる。 我々は、フランスが2024年中国国際サービス貿易博覧会および第7回中国国際輸入博覧会の主賓として参加することを歓迎する。 我々は、フランスが中国企業に公正、公平、無差別なビジネス環境を提供することを希望する。 中国は来年の中仏国交60周年、中仏文化観光年、パリオリンピックを機会に関連分野での協力を強化したい。
4月6日下午,国家主席习近平在北京人民大会堂同来华进行国事访问的法国总统马克龙举行会谈。这是会谈前,习近平在人民大会堂东门外广场为马克龙举行欢迎仪式。新华社记者 谢环驰 摄 習近平主席は6日午後、北京の人民大会堂で、国賓訪問で中国を訪れたフランスのマクロン大統領と会談した。 会談に先立ち、習近平は人民大会堂東門の外側の広場でマクロン大統領を歓迎するセレモニーを開催した。 撮影:新華社・謝煥智
习近平强调,中方愿继续本着开放态度,同法方在联合国、二十国集团、世界贸易组织等多边机制保持密切沟通和协作,共同践行真正的多边主义,携手应对气候变化、能源问题等全球性挑战。中方支持法方办好2025年联合国海洋大会,欢迎法方出席第三届“一带一路”国际合作高峰论坛。 習近平氏は、中国が国連、G20、世界貿易機関などの多国間メカニズムにおいて、フランスとオープンな態度で緊密な意思疎通と協力を継続し、真の多国間主義を実践し、手を携えて気候変動やエネルギー問題などの世界的課題に対処していきたいと強調した。 中国はフランス側が2025年国連海洋会議を開催することを支持し、フランス側が第3回「一帯一路」国際協力フォーラムに出席することを歓迎する。
习近平强调,作为全球两大力量、两大市场、两大文明,中欧关系关乎双方福祉,关乎全球稳定和繁荣。中国对欧政策将保持长期稳定,始终视欧洲为多极化世界中的独立一极,坚持中欧关系不针对、不依附、也不受制于第三方。中方愿同欧方以今年中国同欧盟建立全面战略伙伴关系20周年为契机,全面重启交流对话,稳固中欧友好合作主基调,探讨构建稳定互信的供应链伙伴关系,实现互利共赢。希望法方发挥积极引领作用。 習近平は、世界の2大勢力、2大市場、2大文明として、中国とEUの関係は相互の幸福と世界の安定と繁栄に関わる問題であると強調した。 中国の対欧州政策は長期的に安定しており、常に欧州を多極化した世界における独立した一極とみなし、中国と欧州の関係は第三者を対象とせず、依存せず、従わないことを主張する。 中国は、今年の中国と欧州連合の包括的戦略パートナーシップ構築20周年を契機に、包括的な交流と対話を再開し、中国と欧州連合の友好協力の基調を固め、相互利益とウィンウィンの結果をもたらす安定した相互信頼のサプライチェーン・パートナーシップの構築を模索することを望んでいる。 フランス側が積極的かつ主導的な役割を果たすことを希望する。
4月6日下午,国家主席习近平在北京人民大会堂同来华进行国事访问的法国总统马克龙举行会谈。新华社记者 谢环驰 摄 習近平主席は6日午後、北京の人民大会堂で、国賓訪問で中国を訪れたフランスのエマニュエル・マクロン大統領と会談した。 撮影:新華社通信・謝煥智
马克龙表示,我对3年多前访华情景记忆犹新,非常高兴再次访华,同习近平主席共同探讨进一步提升法中全面战略伙伴关系。我完全赞同习近平主席对法中关系的积极评价以及就发展双边关系提出的重要建议。明年法中将共同庆祝建交60周年。60年来,法中关系保持了稳定健康发展。虽然法中两国发展模式不同,但双方相互尊重,坦诚交流,各领域合作实现了互利互惠,同时在合作应对当今世界面临的全球性挑战方面取得重要进展。法方尊重并奉行一个中国政策。我此次率庞大代表团访华,就是希望同中方加强合作,促进人文交流。法方祝贺中方成功举办昆明-蒙特利尔《生物多样性公约》第十五次缔约方大会,希望继续在气候变化、粮食安全等问题上同中方密切沟通合作。中方将举办第三届“一带一路”国际合作高峰论坛,法方愿同中方就此开展合作。法方赞赏中方始终遵守联合国宪章宗旨,为解决国际地区热点问题发挥积极作用,期待同中方密切沟通协作,努力实现世界的持久和平与稳定。 マクロンは、次のように述べた。「3年以上前に中国を訪問したことを鮮明に覚えており、再び中国を訪問し、習近平主席と仏中包括的戦略パートナーシップのさらなる強化について話し合えることを大変うれしく思う。 習近平主席の仏中関係に対する前向きな評価と、二国間関係発展のための重要な提案に、私は全面的に賛同する。 フランスと中国は来年、国交樹立60周年を共に祝うが、この60年間は安定的かつ健全に発展してきた。 フランスと中国は、発展のモデルは異なるが、お互いを尊重し、率直にコミュニケーションをとり、相互利益のために様々な分野で協力し、今日世界が直面しているグローバルな課題に取り組むための協力において重要な進展を遂げている。 フランスは、一帯一路の政策を尊重し、堅持している。 私が大規模な代表団を率いて中国を訪問するのは、中国との協力を強化し、人文交流を促進するためである。 フランスは、中国が「昆明-モントリオール生物多様性条約第15回締約国会議」の開催に成功したことを祝福し、気候変動や食糧安全保障などの問題で中国と引き続き緊密に協力することを希望する。 中国は第3回「一帯一路」国際協力サミットを開催する予定であり、フランスはこの点で中国と協力する用意がある。 フランスは、中国が常に国連憲章の目的を守り、国際的・地域的なホットスポット問題の解決に積極的な役割を果たしていることを評価し、世界の恒久的な平和と安定を実現するために中国と緊密に協力することを期待する。」
马克龙表示,法方坚持独立自主外交,主张欧洲战略自主,反对搞对立分裂,反对搞阵营对抗。法国不会选边站队,而是主张团结合作,大国关系保持稳定。法方愿同中方保持坦诚深入沟通,增进互信,求同存异,开放合作。法方愿积极推动欧中关系发展。 マクロン氏は、フランスは自主外交を堅持し、欧州の戦略的自治を提唱し、陣営間の拮抗的な分裂や対立を生み出すことに反対すると述べた。 フランスはどちらかを選ぶのではなく、連帯と協力を提唱し、大国間の関係も安定したままである。 フランスは、中国との率直で深いコミュニケーションを維持し、相互信頼を高め、相違点を留保しつつ共通点を求め、協力に前向きであることを望む。 フランスは、欧州と中国の関係の発展を積極的に推進する用意がある。
4月6日下午,国家主席习近平在北京人民大会堂同来华进行国事访问的法国总统马克龙举行会谈。新华社记者 翟健岚 摄 習近平主席は6日午後、北京の人民大会堂で、中国を公式訪問中のフランスのエマニュエル・マクロン大統領と会談した。 撮影:新華社通信・翟建蘭
两国元首还就乌克兰危机交换了意见。习近平强调,中方在乌克兰问题上立场一以贯之、清晰明确,核心就是劝和促谈、政治解决。化解危机没有灵丹妙药,需要各方从自身做起,通过积累互信创造止战和谈条件。中方支持欧方为政治解决危机发挥作用,愿同法方一道呼吁国际社会保持理性克制,避免采取使危机进一步恶化甚至失控的行动;严格遵守国际人道法,避免袭击平民和民用设施,保护妇女、儿童等冲突受害者;切实履行核武器用不得、核战争打不得的承诺,反对在任何情况下使用生化武器,反对武装攻击核电站等民用核设施;尽快重启和谈,按照联合国宪章宗旨和原则,兼顾各方合理安全关切,寻求政治解决,构建均衡、有效、可持续的欧洲安全框架;合作应对乌克兰危机在粮食、能源、金融、交通等领域造成的外溢效应,减少乌克兰危机对世界特别是广大发展中国家的负面影响。中方愿同法方就此保持沟通,为危机的政治解决发挥建设性作用。 両首脳はまた、ウクライナ危機について意見交換を行った。 習近平は、ウクライナに関する中国の立場は一貫して明確であり、平和を説得し、話し合いと政治的解決を促進することが核心であると強調した。 危機を解決する万能薬はないが、すべての当事者が自分たちから出発し、相互信頼の蓄積を通じて戦争を止め、話し合うための条件を整える必要がある。 中国は、危機の政治的解決における欧州側の役割を支持し、フランス側とともに、国際社会に対し、合理的な自制を行い、危機をさらに悪化させる、あるいは手に負えない行動を避けること、国際人道法を厳守し、民間人や民間施設への攻撃を避け、女性や子供など紛争の犠牲者を守ること、核兵器を使用してはならない、核戦争をしてはならないという約束を効果的に実行し、化学兵器や生物兵器をいかなる状況においても使用しないこと、原発やその他の民間核施設に対する武力攻撃は行わないことを求める準備があります。 また、原子力発電所やその他の民生用核施設への武力攻撃に反対する。できるだけ早く和平交渉を再開し、国連憲章の目的と原則に従って、すべての当事者の正当な安全保障上の懸念を考慮しながら政治的解決を求め、バランスのとれた、有効で持続可能な欧州安全保障の枠組みを築く。食糧、エネルギー、金融、交通の分野におけるウクライナ危機の波及効果に取り組むために協力し、世界、特に途上国一般に対するウクライナ危機の負の影響を低減する。 中国はこの点で、フランスと協力する用意がある。 中国はこの点でフランス側とのコミュニケーションを維持し、危機の政治的解決のために建設的な役割を果たすことを望んでいる。
马克龙介绍了法方看法,赞赏中方为政治解决乌克兰危机发挥的重要作用,表示法方主张重启政治谈判,以外交手段解决危机,实现欧洲持久和平,希望同中方加强沟通,为和平做出共同努力。 マクロンは、フランス側の見解を示し、ウクライナ危機の政治的解決に中国が果たした重要な役割を評価し、フランスは外交手段による危機の解決と欧州の恒久的な平和を実現するための政治交渉の再開を提唱し、中国とのコミュニケーションを強化し平和への共同努力を望むと述べた。
会谈后,两国元首共同见证签署农业食品、科技、航空、民用核能、可持续发展、文化等领域多项双边合作文件。 会談後、両首脳は、農業食品、科学技術、航空、民間原子力、持続可能な開発、文化などの分野における多くの二国間協力文書の調印に立ち会った。
两国元首还共同会见了中外记者。 両首脳はまた、中国や外国の記者と合同で会見した。
4月6日下午,国家主席习近平在北京人民大会堂同来华进行国事访问的法国总统马克龙举行会谈。这是会谈后,两国元首共同会见中外记者。新华社记者 谢环驰 摄 習近平主席は6日午後、北京の人民大会堂で、中国を公式訪問していたフランスのマクロン大統領と会談した。 会談後、両首脳は中国や外国の記者と会見した。 撮影:新華社通信・謝煥智
会谈前,习近平在人民大会堂东门外广场为马克龙举行欢迎仪式。 会談に先立ち、習近平は人民大会堂の東門前の広場でマクロン大統領を歓迎するセレモニーを開催した。
马克龙抵达时,礼兵列队致敬。两国元首登上检阅台,军乐团奏中法两国国歌,天安门广场鸣放21响礼炮。马克龙在习近平陪同下检阅中国人民解放军仪仗队,并观看分列式。 マクロン氏が到着すると、敬礼した兵士たちがパレードを行った。 両首脳が閲兵台に乗り、軍楽隊がフランスと中国の国歌を演奏し、天安門広場で21発の銃による敬礼が行われた。 習近平に付き添われたマクロンは、中国人民解放軍の儀仗隊を閲兵し、儀礼的な演出を鑑賞した。
王毅、秦刚等参加上述活动。 王毅と秦剛は上記の行事に出席した。

 

 

9 2023.04.06 习近平:中方愿同法方就政治解决乌克兰危机发出共同呼吁 習近平:中国はウクライナ危機の政治的解決について、フランスと共同でアピールする用意がある。

 

习近平:中方愿同法方就政治解决乌克兰危机发出共同呼吁 習近平:中国はウクライナ危機の政治的解決について、フランスと共同でアピールする用意がある。
4月6日下午,国家主席习近平同法国总统马克龙举行会谈后共同会见记者。 習近平国家主席とフランスのエマニュエル・マクロン大統領は6日午後、会談を行った後、記者団と一緒に会見した。
习近平表示,关于乌克兰危机,中方坚持劝和促谈、政治解决。中方愿同法方一道呼吁国际社会: 習主席は、ウクライナ危機について、中国は平和を促し、協議と政治的解決を推進することを主張すると述べた。 中国はフランス側とともに、国際社会に次のことを呼びかける用意がある;
保持理性克制,避免采取使危机进一步恶化甚至失控的行动; 合理的な自制心を発揮し、危機をさらに悪化させ、あるいは制御不能に陥るような行動を避ける;
严格遵守国际人道法,避免袭击平民和民用设施,保护妇女、儿童等冲突受害者; 国際人道法を厳格に遵守し、民間人や民間施設に対する攻撃を避け、女性や子どもなど紛争の犠牲者を保護する;
切实履行核武器用不得、核战争打不得的庄严承诺,反对在任何情况下使用生化武器,反对武装攻击核电站等民用核设施; 核兵器を使用してはならず、核戦争も行ってはならないという厳粛な約束を効果的に履行し、いかなる状況下でも化学・生物兵器の使用に反対し、原子力発電所等の民生用核施設への武力攻撃に反対する;
尽快重启和谈,按照联合国宪章宗旨和原则,兼顾各方合理安全关切,寻求政治解决,构建均衡、有效、可持续的欧洲安全框架; 和平交渉を可能な限り早期に再開し、国連憲章の目的と原則に従い、すべての当事者の正当な安全保障上の懸念を考慮した政治的解決を図り、バランスのとれた、効果的かつ持続可能な欧州安全保障の枠組みを構築する;
合作应对乌克兰危机在粮食、能源、金融、交通等领域造成的外溢效应,减少乌克兰危机对世界特别是广大发展中国家的负面冲击。 食料、エネルギー、金融及び輸送の分野におけるウクライナ危機がもたらす波及効果に対処し、ウクライナ危機が世界、特に途上国一般に及ぼす負の影響を軽減するために協力する。

 

 

共同宣言...

1 2023.04.07 中华人民共和国和法兰西共和国联合声明(全文) 中華人民共和国とフランス共和国の共同宣言(全文)

 

中华人民共和国和法兰西共和国联合声明(全文) 中華人民共和国とフランス共和国の共同宣言(全文)
新华社北京4月7日电 北京 4月7日(新華社)
中华人民共和国和法兰西共和国联合声明 中華人民共和国とフランス共和国の共同宣言
应中华人民共和国主席习近平邀请,法兰西共和国总统埃马纽埃尔·马克龙于2023年4月5日至7日对中华人民共和国进行国事访问。在两国即将迎来建交60周年之际,两国元首回顾中法关系坚实基础和两国人民友谊,就双边关系、中国-欧盟关系和重大国际地区问题深入交换意见,决定在2018年1月9日、2019年3月25日和2019年11月6日的联合声明基础上,为中法合作开辟新前景,为中国-欧盟关系寻求新动能。 中華人民共和国の習近平国家主席の招きにより、フランス共和国のエマニュエル・マクロン大統領が2023年4月5日から7日まで中華人民共和国を国賓訪問した。 両国が国交樹立60周年を迎えるにあたり、両首脳は中仏関係の強固な基礎と両国民の友好を想起し、二国間関係、中国・EU関係、国際・地域の主要問題について深い意見を交換し、2018年1月9日、2019年3月25日、11月6日の共同声明に基づき、中仏協力に新しい展望を開くことを決めた 中国-EU関係の展望と新たな原動力を模索する。
一、加强政治对话,促进政治互信 I. 政治対話の強化と政治的相互信頼の促進
1.中法将延续两国元首年度会晤机制。 1.中国とフランスは、両国の首脳による年次会談のメカニズムを継続する。
2.中法两国强调双方高层交往及战略对话、高级别经济财金对话和高级别人文交流机制对于发展双边合作的重要性,同意年内举行三大机制新一次会议。 2.中国とフランスは、二国間協力の発展におけるハイレベル接触と戦略対話、ハイレベル経済・金融対話、ハイレベル文化交流のメカニズムの重要性を強調し、年内に3つのメカニズムの新しい会合を開催することに合意した。
3.中法两国重申愿在相互尊重彼此主权与领土完整和重大利益基础上,推动紧密持久的中法全面战略伙伴关系不断发展。 3.中国とフランスは、互いの主権と領土保全及び重要な利益の相互尊重を基礎として、緊密で永続的な包括的戦略パートナーシップを推進する意思を再確認した。
4.中法两国同意深化战略问题交流,特别是深化中国人民解放军南部战区与法国军队太平洋海区之间的对话,加强在国际和地区安全问题上的相互理解。 4.中国とフランスは、戦略的問題に関する交流を深め、特に中国人民解放軍南方戦域とフランス軍太平洋海域との対話を深め、国際及び地域の安全保障問題についての相互理解を深めることに合意した。
5.在中国和欧盟建立全面战略伙伴关系20周年之际,中国重申致力于发展中国-欧盟关系,鼓励高层交往,推动在战略问题上凝聚共识,增加人员交流,共同应对全球性挑战,积极平衡促进经济合作。法国作为欧盟成员国,认同上述方向,并将为此作出贡献。 5.中国とEUの包括的な戦略的パートナーシップの確立20周年を機に、中国は、中国・EU関係の発展、ハイレベルの接触の奨励、戦略的課題に関する合意形成の促進、人的交流の拡大、グローバルな課題への共同対処、バランスのとれた方法による経済協力の積極推進に取り組むことを再確認した。 フランスは欧州連合の一員として、これらの方向性を共有し、それに貢献する。
6.法国重申坚持一个中国政策。 6.フランスは、一帯一路の堅持を再確認する。
二、共同推动世界安全与稳定 II. 世界の安全保障と安定の共同促進
7.作为联合国安理会常任理事国,中法两国共同致力于为国际安全和稳定面临的挑战和威胁寻求基于国际法的建设性解决方案,认为应通过对话协商和平解决国家间分歧和争端,寻求在多极世界里强化以联合国为核心的多边国际体系。 7.中国及びフランスは、国連安全保障理事会の常任理事国として、国際的な安全及び安定に対する課題や脅威に対して、国際法に基づく建設的な解決策を見出すことに尽力し、国家間の相違や紛争は、対話と協議を通じて平和的に解決すべきと考え、国連を中心とする多極化した世界において、多角的国際システムの強化を図る。
8.中法两国重申支持中国、法国、俄罗斯、英国和美国(五常)领导人2022年1月3日发表的《关于防止核战争与避免军备竞赛的联合声明》。正如声明中所强调,“核战争打不赢也打不得”。两国呼吁不采取任何可能加剧紧张风险的行动。 8.中国とフランスは、2022年1月3日に中国、フランス、ロシア、英国、米国(P5)の首脳が発表した「核戦争の防止と軍拡競争の回避に関する共同宣言」への支持を再確認した。 声明で強調されたように、「核戦争は勝つことも戦うこともできない」。 両国は、緊張のリスクを高めるような行動を控えるよう呼びかけた。
9.两国愿加强协调合作,共同维护军控与防扩散体系的权威性和有效性,推进国际军控进程。中法两国重申致力于平衡推进《不扩散核武器条约》核裁军、核不扩散与和平利用核能三大支柱,不断加强《不扩散核武器条约》的普遍性、权威性和有效性。 9.両国は、協調と協力を強化し、軍備管理・不拡散システムの権威と有効性を共同で守り、国際軍備管理プロセスを前進させることを望む。 中国とフランスは、NPTの3つの柱である核軍縮、核不拡散、原子力平和利用をバランスよく推進し、NPTの普遍性、権威、有効性を継続的に強化することへのコミットメントを再確認した。
10.双方支持一切在国际法和联合国宪章宗旨和原则基础上恢复乌克兰和平的努力。 10.両当事者は、国際法及び国際連合憲章の目的及び原則に基づき、ウクライナの平和を回復するためのすべての努力を支持する。
11.双方反对针对核电站和其他和平核设施的武装攻击,支持国际原子能机构为促进和平核设施的安全安保发挥建设性作用,包括为保障扎波罗热核电站的安全安保所作出的努力。 11.両国は、原子力発電所その他の平和的原子力施設に対する武力攻撃に反対し、ザポロージエ原子力発電所の安全及び安全を保証するための努力を含む平和的原子力施設の安全及び安全を促進するための国際原子力機関の建設的役割を支持する。
12.两国强调冲突当事方应严格遵守国际人道法的重要性。两国尤其呼吁根据国际承诺保护受冲突影响的妇女儿童,加大对冲突地区的人道援助,提供安全、快速、无障碍的人道主义援助准入。 12.両国は、紛争当事者による国際人道法の厳格な遵守の重要性を強調する。 特に、国際的な約束に従って、紛争の影響を受ける女性及び子どもを保護すること、並びに紛争地域への人道支援の拡大及び安全、迅速かつ妨げられない人道的アクセスの提供を要請する。
13.双方将继续在中法战略对话机制下保持沟通。 13.双方は、中仏戦略対話メカニズムの下で、引き続き意思疎通を維持する。
14.2015年达成的伊朗核问题全面协议(JCPOA)是多边外交的重要成果。两国重申致力于推动伊朗核问题政治外交解决,重申致力于维护国际核不扩散体系及安理会决议的权威性和有效性,重申在此框架下对国际原子能机构的支持。 14.2015年に成立したイラン核問題に関する包括的合意(JCPOA)は、多国間外交の重要な成果である。 両国は、イラン核問題の政治的・外交的解決を推進し、国際核不拡散体制と安保理決議の権威と有効性を堅持し、この枠組みの下で国際原子力機関を支持するとの約束を再確認した。
15.中法两国将继续就朝鲜半岛问题保持密切沟通。 15.中国とフランスは、朝鮮半島問題に関して、引き続き緊密な意思疎通を図る。
16.中法两国同意继续通过中法网络事务对话机制进行交流。 16.中国とフランスは、サイバー問題に関する中仏対話メカニズムを通じての交流を継続することに合意した。
三、促进经济交流 III.経済交流の促進
17.中法两国承诺为企业提供公平和非歧视的竞争条件,特别是在化妆品、农业和农食产品、空中交通管理、金融(银行、保险、资产管理人)、卫生健康(医疗物资、疫苗)以及能源、投资和可持续发展等领域。为此,两国致力于为企业合作提供良好环境,改善两国企业在对方国家的市场准入,改善营商环境,确保尊重两国所有企业的知识产权。在数字经济领域,包括在5G方面,法方承诺在两国包括国家安全在内的法律法规基础上,继续以公平、非歧视方式处理中国企业的授权许可申请。 17.フランスと中国は、特に化粧品、農業及び農産物、航空交通管理、金融(銀行、保険、資産管理)、健康(医療品、ワクチン)及びエネルギー、投資及び持続可能な開発の分野において、企業に公正かつ非差別的な競争条件を提供することにコミットする。 そのために、両国はビジネス協力に有利な環境の提供、相手国における両国企業の市場アクセスの改善、ビジネス環境の改善、両国のすべての企業の知的財産権の尊重を確保することを約束します。 5Gの分野を含むデジタル経済において、フランス側は、国家安全保障を含む両国の法令に基づき、中国企業からの認可ライセンス申請を公正かつ非差別的に処理することを継続することを約束する。
18.中法两国愿继续加强在服务业各领域的务实合作,支持两国机构和企业在互利基础上开展经贸往来,促进服务贸易发展。法国愿应邀担任2024年中国国际服务贸易交易会主宾国。 18.フランスと中国は、サービス分野の様々な分野における実務協力を引き続き強化し、サービス貿易の発展を促進するために、両国の機関及び企業が互恵的に経済・貿易交流を行うことを支援することに意欲的である。 フランスは、2024年に開催される中国国際サービス貿易博覧会の主賓として招待されることを望んでいる。
19.中法两国希加强农业、农食、兽医和植物检疫领域伙伴关系,乐见猪肉产品市场准入获得保障、向软枣猕猴桃和饲用乳制品开放市场、批准15家猪肉出口机构在华注册。两国主管部门将尽快回应符合双方食品卫生安全法律法规要求的农业、农食产品,特别是肉类和水产品出口企业未来的注册请求和婴幼儿乳品配方注册申请,以及双方各自部门提出的市场开放请求。双方将继续在肉牛、葡萄酒行业以及地理标志,特别是勃艮第葡萄酒地理标志注册方面进行交流合作。法国支持中国将尽快提出的加入国际葡萄与葡萄酒组织的申请,支持中国举办国际葡萄与葡萄酒产业大会。 19.フランスと中国は、農業、農産物、獣医学及び植物検疫サービスの分野におけるパートナーシップの強化を希望し、豚肉製品の市場アクセスの保証、ソフトデイトキウイフルーツ及び飼料用乳製品の市場開放、及び15の豚肉輸出機関の中国での登録の承認を喜んで受ける。 両国の所轄官庁は、今後、農産物・農業食品、特に食肉・水産物の輸出業者の登録申請、乳児用乳製品の登録申請、および双方の食品衛生・安全法令の要件を満たす、それぞれの当局からの市場開放の要請にできるだけ早く対応する。 双方は、牛肉とワインの分野、特にブルゴーニュワインの地理的表示の登録において、交流と協力を続けていく。 フランスは、中国が国際ブドウ・ワイン機構(OIV)にできるだけ早く加盟することを申請し、中国が国際ブドウ・ワイン産業会議を開催することを支持する。
20.中法两国对达成中方航空公司采购160架空客飞机的“批量采购协议”表示欢迎。两国将视中国航空运输市场和机队恢复和发展情况,适时研究中方航空公司的货运和长途运输等需求。双方欢迎中国民航局和欧盟航空安全局加强合作,将在均认可的国际安全标准基础上加快适航认证进程,特别是Y12F、H175、达索8X等项目的适航认证进程。双方欢迎两国企业就可持续航空燃料达成协议。双方继续开展工业合作,特别是空客天津新总装线项目。 20.フランスと中国は、中国の航空会社によるエアバス機160機の購入に関する「数量購入契約」を歓迎した。 中国の航空輸送市場と航空機の回復と発展に応じて、両国は中国の航空会社の貨物輸送と長距離輸送のニーズについて順次検討する。 双方は、中国民用航空局と欧州航空安全機関(EASA)の協力強化を歓迎し、特にY12F、H175、ダッソー8Xなどのプロジェクトについて、合意された国際安全基準に基づいて耐空証明プロセスを加速させる予定である。 双方は、持続可能な航空燃料について両国の企業間で合意に達したことを歓迎する。 双方は産業協力を継続し、特にエアバス天津の新しい最終組立ラインプロジェクトがある。
21.中法两国支持两国航空公司按照两国民航部门相协调的方式,以恢复履行1966年6月1日签署的《中华人民共和国政府和法兰西共和国政府航空交通协定》及相关航权安排为目标,尽快将航空连通恢复至疫情前水平。两国航空公司在中法之间经营航班时应享有公平均等的机会。两国支持深化人员和经济往来,包括为两国私营部门人员和商务人士提供签证便利。 21.フランスと中国は、1966年6月1日に署名された中華人民共和国政府とフランス共和国政府の間の航空交通協定および関連する航空交通権の取り決めの実施を再開する目的で、両国の民間航空当局間の協調的なアプローチに従い、両国の航空会社が航空接続をできるだけ早く流行前のレベルに回復することを支持する。 両国の航空会社は、フランスと中国の間のフライトを運航する際に、公平かつ平等な機会を享受すべきである。 22.両国は、両国の民間企業関係者及びビジネスマンのビザの円滑化を含む、人的及び経済的交流の深化を支持する。
22.双方对两国航天机构围绕嫦娥六号及地外样品联合研究开展合作感到满意。 22.双方は、嫦娥6号周辺の両国の宇宙機関の協力と、地球外サンプルの共同研究に満足している。
23.为实现能源体系低碳转型的共同愿望,中法两国在政府间和平利用核能合作协定框架下,开展民用核能务实合作。两国致力于在中国国家原子能机构和法国原子能和替代能源委员会协议等基础上,继续推进在核能研发领域前沿课题上的合作。两国支持双方企业研究在核废料后处理等问题上加强工业和技术合作的可能性。 23.フランスと中国は、自国のエネルギーシステムにおいて低炭素化を達成するという共通の願いに沿って、原子力平和利用協力に関する政府間協定の枠組みの中で、民間原子力における実務協力に取り組んでいる。 両国は、特に中国国家原子力機関とフランス原子力・代替エネルギー委員会との間の協定に基づき、原子力の研究開発における最先端テーマでの協力を引き続き推進することを約束します。 両国は、核廃棄物の再処理などの問題に関して産業・技術協力を強化する可能性を検討するために、双方の企業を支援する。
24.中法两国对2015年第三方市场合作政府间协议取得的成果表示欢迎。双方致力于已确定的第三方市场合作项目的后续和落实。两国政府鼓励企业、金融机构及其他主体在可适用的国际高标准基础上在第三方市场开拓新的重大经济合作项目。 24.フランスと中国は、第三者市場における協力に関する2015年の政府間協定の結果を歓迎する。 双方は、特定された第三者市場協力プロジェクトのフォローアップと実施にコミットしている。 両政府は、企業、金融機関などが適用される高い国際基準に基づき、第三者市場における新たな主要経済協力プロジェクトを開発することを奨励する。
四、重启人文交流 IV.人文交流の再始動
25.为在全球推动保护和促进文化表现形式多样性,中法两国支持深化文化作品创作与利用方面的合作,将积极推动重启文化和旅游领域的交流合作。中法两国对两国文化主管部门达成文化合作意向声明表示欢迎。 25.世界的なレベルで文化表現の多様性の保護と促進を推進するため、中国とフランスは、文化作品の創作と利用における協力の深化を支持し、文化と観光の分野における交流と協力の再出発を積極的に推進していくこととする。 中国とフランスは、両国の文化当局の文化協力に関する意思表明を歓迎する。
26.双方将于2024年共同举办中法文化旅游年,支持故宫博物院与凡尔赛宫、上海西岸美术馆与蓬皮杜艺术中心等在两国合作举办高水平活动。双方承诺在遵守各自法律前提下,为巡回办展提供海关、物流等方面的便利化举措,将努力确保支持的展览中文化物品的完整性和顺利归还。 26.双方は2024年の「中仏文化観光年」を共同で開催し、故宮博物院とベルサイユ宮殿、上海西海岸美術館とポンピドーセンターが両国でハイレベルなイベントを開催する際の協力を支援する。 双方は、それぞれの法律に従って、巡回展のための税関及び物流円滑化イニシアチブを提供することを約束し、支援された展覧会の文化財の完全性と円滑な返還を確保するために努力することとする。
27.双方重申愿通过联合制作、版权合作、竞赛、艺术家交流等方式,加强在文化和创意产业领域,特别是文学、电影、电视纪录片、出版(含游戏)、音乐、建筑和数字化等领域的合作,提升针对最广泛受众的传播潜力。 27.双方は、可能な限り多くの観客への普及の可能性を高めるため、共同制作、著作権協力、コンクール、芸術家の交流を通じて、文化・創造産業、特に文学、映画、テレビドキュメンタリー、出版(ゲームを含む)、音楽、建築、デジタル化の分野での協力を強化する意志を再確認した。
28.中法两国承诺加强文化遗产保护、修复和开发领域的双边合作。两国欢迎就中国专家与法国团队共同参与巴黎圣母院现场修复工作、兵马俑保护修复研究合作、公输堂和茂陵合作项目、推动两国世界遗产缔结友好关系等达成文化遗产合作路线图。双方将继续共同努力预防和打击盗窃、非法挖掘和非法进出境文化财产。两国重申全力支持“冲突地区遗产保护国际联盟”基金会保护冲突地区文化遗产。 28.フランスと中国は、文化遺産の保存、修復、開発の分野における二国間協力の強化に取り組んでいる。 パリのノートルダム寺院の現地修復に中国の専門家とフランスのチームが共同で参加すること、兵馬俑の保存修復に関する調査協力、恭陵・茂陵の協力プロジェクト、両国の世界遺産間の友好関係締結の促進に関する文化遺産協力ロードマップの合意を歓迎した。 双方は、文化財の盗難、違法な発掘、違法な出入りの防止と撲滅のため、引き続き協力する。 29.両国は、紛争地域における文化遺産保護のための国際紛争地域遺産保存連盟の財団を全面的に支援することを再確認した。
29.中法两国重申重视语言教学合作,促进友谊和相互理解。两国将致力于延长2015年6月两国政府签署的《关于开展语言合作的协议》有效期,鼓励在双方学校开展中文和法语教学并增加双语课程,加强语言师资交流和培训。 29.フランスと中国は、友好と相互理解を促進するために、言語教育における協力を重要視することを再確認した。 両国は、2015年6月に両政府が署名した言語協力に関する協定の延長、双方の学校における中国語とフランス語の教育の奨励とバイリンガル講座の増加、言語教師の交流と研修の強化に取り組む予定です。
30.中法两国重申重视加强高等教育和职业教育合作,将鼓励中法高等院校发展伙伴关系,例如共建合作办学机构,共同推动相互恢复留学生和教师往来,为校际交流提供便利。为此,双方为上述人员申请签证制定便利程序。双方将尽快召开新一届中法教育混委会会议。 30.中国とフランスは、高等教育及び職業教育における協力の強化を重視することを再確認し、共同機関の設立などフランスと中国の高等教育機関のパートナーシップの発展を奨励し、国際学生・教員交流の相互再開及び学校間交流の円滑化を共同で促進する。 このため、双方は、上記の者のビザ申請に関する円滑化手続を確立する。 双方は、新しい中仏混合教育委員会の会合をできるだけ早く開催する。
31.两国元首同意尽快召开新一届中法科技合作联委会会议,确定双边科学合作和促进碳中和科技合作的“中法碳中和中心”的重大方向。中法两国希通过中法科研伙伴交流计划(休伯特·居里安-蔡元培合作计划)等促进科研人员交流。双方愿继续实施“中法杰出青年科研人员交流计划”,加强两国青年科研人员交流,推动优先领域合作和开展联合研究活动。 31.両首脳は、二国間科学協力の主要な方向性を定める中仏科学技術協力合同委員会およびカーボンニュートラルな科学技術協力を推進する「中仏カーボンニュートラルセンター」の新会合をできるだけ早く開催することに合意した。 両国は、中仏研究パートナーシッププログラム(Hubert-Curiean-Cai Yuanpei Cooperation Programme)を通じて、研究者の交流を促進することを希望する。 双方は、両国の若手研究者の交流を強化し、重点分野での協力や共同研究活動を推進するため、「仏中優秀若手研究者交流プログラム」を継続して実施することを希望している。
32.着眼2024年巴黎奥运会和残奥会,两国元首希将体育,特别是青年运动员交流、体育基础设施发展和体育产业经验分享作为双边关系的重要组成部分。 2024年のパリでのオリンピック・パラリンピック競技大会を見据え、両首脳は、スポーツ、特に若い選手の交流、スポーツインフラの整備、スポーツ産業における経験の共有を、両国の関係の重要な部分とすることを希望する。
五、共同应对全球性挑战 V. 国際的な課題に共に取り組む
33.据联合国统计,2022年3.23亿人面临粮食危机。在此背景下,双方承诺维护市场稳定,避免不合理的农业投入品和农产品出口限制,从便利谷物产品和化肥出口着手畅通国际粮食供应链。双方致力于通过中方国际粮食安全合作倡议、粮食和农业韧性行动等实现上述目标。 33.国連によると、2022年には3億2、300万人が食糧危機に直面すると言われている。 このような背景から、双方は、国際的な食料サプライチェーンを円滑にするため、市場の安定を維持し、農業投入物や製品の輸出に対する不当な制限を回避し、穀物製品や肥料の輸出促進を開始することを約束した。 双方は、中国側の国際食料安全保障協力イニシアティブ及び食料・農業レジリエンス・イニシアティブを通じて、これらの目的を達成することにコミットしている。
34.中法两国均认为,提升对非洲伙伴等受粮食危机影响最为严重国家的支持力度对于构建有韧性、可持续的粮食体系十分重要。为此,双方愿推动节粮减损、促进粮食本地化生产的国际合作。根据这一目标,双方共同支持联合国粮农组织、国际农业发展基金、世界粮食计划署等应对粮食安全问题相关组织,以及金融机构和双多边出资方。 34.フランスと中国の双方は、弾力的で持続可能な食糧システムを構築するために、食糧危機の影響を最も受けた国であるアフリカのパートナーへの支援を強化することが重要であると考えている。 この目的のために、双方は、食料を節約し、損失を減らし、地域に根ざした食料生産を促進するための国際協力を促進することを望んでいる。 この目的に沿って、双方は、FAO、国際農業開発基金、世界食糧計画等の食料安全保障問題に関係する組織や、金融機関、二国間及び多国間の資金提供者を支援するために協力する。
35.中法两国强调支持以世界贸易组织为核心、以规则为基础的多边贸易体制,致力于营造自由、开放、透明、包容、非歧视的贸易与投资环境,支持对世界贸易组织进行必要改革,支持世界贸易组织第13届部长级会议取得积极成果。 35.中国とフランスは、世界貿易機関を中核とするルールに基づく多角的貿易システムに対する支持、自由で開かれた、透明で包摂的かつ非差別的な貿易・投資環境に対するコミットメント、世界貿易機関の必要な改革に対する支持及び世界貿易機関第13回閣僚会議の前向きな結果を強調する。
36.中法两国愿开展合作,解决发展中经济体和新兴市场经济体融资困难问题,鼓励其加快能源和气候转型,支持其可持续发展。中方将出席2023年6月在巴黎举行的应对气候变化全球融资契约峰会。法方将出席第三届“一带一路”国际合作高峰论坛。 36.中国とフランスは、開発途上国及び新興市場経済の資金調達の困難に対処し、エネルギー及び気候の転換を加速することを奨励し、その持続可能な発展を支援するために協力することを望んでいる。 中国側は2023年6月にパリで開催される気候変動資金調達に関するグローバルコンパクトのサミットに出席する。 フランス側は、第3回「一帯一路」国際協力フォーラムに出席する。
37.两国同意在二十国集团框架下加强合作,推动二十国集团发挥国际经济合作主要论坛作用,按照巴厘岛峰会领导人承诺推进国际货币金融体系改革。 37.両国は、バリサミットの首脳による約束に従い、G20の枠組みの下での協力を強化し、G20を国際経済協力の主要フォーラムとして推進し、国際通貨金融システムの改革を推進することに合意した。
38.中法两国在发展中国家脆弱性背景下,支持《缓债倡议后续债务处理共同框架》的实施。《共同框架》于2020年11月由二十国集团和巴黎俱乐部通过,中法两国一道参与。双方重申各方以可预见的、及时、有序和协调方式实施《共同框架》,支持2023年2月二十国集团财长和央行行长会议通过的债务议程。 38.開発途上国の脆弱性の文脈において、中国とフランスは、債務救済イニシアティブのフォローアップのための共通の枠組みの実施を支持する。 共通枠組みは2020年11月にG20とパリクラブで採択され、中国とフランスが参加した。 双方は、すべての当事者による共通枠組みの予測可能、適時、秩序ある、協調的な実施を再確認し、G20財務大臣及び中央銀行総裁が2023年2月の会合で採択した債務アジェンダを支持した。
39.双方赞赏二十国集团巴厘岛峰会欢迎各国自愿转借特别提款权,呼吁二十国集团成员国和有意愿的国家加大力度,二十国集团成员国努力将其特别提款权调动比例提高到30%,以尽快实现二十国集团罗马峰会通过的1000亿美元目标。 39.双方は、G20バリ・サミットが各国によるSDRの自発的な移転を歓迎したことを評価し、G20メンバー及びそれを希望する国々がその努力を高めること、G20メンバーが、G20ローマ・サミットで採択された1000億米ドルという目標をできるだけ早く達成するためにSDR動員を30%まで増やすよう努力することを呼びかける。
40.气候、生物多样性和土地退化防治是中法两国共同优先事项。两国承诺秉承2019年11月提出的《北京倡议》,在《联合国气候变化框架公约》及其《巴黎协定》和“昆明-蒙特利尔全球生物多样性框架”(以下简称“昆明-蒙特利尔框架”)的框架内继续保持高水平雄心。双方欢迎《生物多样性公约》第十五次缔约方大会(COP15)第二阶段会议通过“昆明-蒙特利尔框架”。中方将在未来两年继续担任COP15主席国,愿同法方一道积极推动“昆明-蒙特利尔框架”完整有效落实。两国欢迎昆明生物多样性基金和将在全球环境基金下设立的安排对生物多样性融资的积极贡献。两国对在利伯维尔“一个森林”峰会上介绍的工作表示欢迎。 40.気候、生物多様性、土地劣化との闘いは、フランスと中国にとって共通の優先事項である。 両国は、2019年11月に開始された北京イニシアティブに従うとともに、気候変動枠組条約及びそのパリ協定並びに昆明・モントリオール世界生物多様性枠組み(以下「昆明・モントリオール枠組み」という)の枠組み内で活動することを約束する。 締約国は、気候変動枠組条約及びそのパリ協定並びに昆明・モントリオール生物多様性グローバルフレームワーク(以下「昆明・モントリオールフレームワーク」という)の枠組みにおいて、高いレベルの野心が継続されていることを歓迎する。 締約国は、生物多様性条約第15回締約国会議(COP15)の第2段階において、昆明・モントリオール枠組みが採択されたことを歓迎する。 中国は、今後2年間COP15の議長国を継続し、フランスと協力して、昆明-モントリオール・フレームワークの完全かつ効果的な実施を積極的に促進する用意がある。 両国は、昆明生物多様性基金と地球環境ファシリティ(GEF)の下で設立される取り決めが、生物多様性の資金調達に積極的に貢献していることを歓迎する。 両国は、リーブルヴィルでの「一つの森」サミットで発表された作業を歓迎した。
41.中法两国承诺在COP16召开前通报根据“昆明-蒙特利尔框架”修订的国家战略和行动计划。中方将积极研究加入“自然与人类高雄心联盟”的可能性。两国为实现每年减少5000亿美元有损生物多样性的补贴这一目标作出贡献。 41.中国とフランスは、昆明-モントリオール枠組みに沿った国家戦略および行動計画の改定を COP16 に報告することを約束した。 中国は、「自然と人間のための高望み同盟」への参加の可能性を積極的に検討する。 両国は、生物多様性を損なう補助金を年間5、000億米ドル削減するという目標に貢献する。
42.中法两国重申各自碳中和/气候中和承诺。法方承诺到2050年实现气候中和。中方承诺二氧化碳排放力争于2030年前达到峰值,努力争取2060年前实现碳中和。两国将采取政策和措施,落实根据《巴黎协定》目标已确定的国家自主贡献目标。 42.フランスと中国は、カーボン/クライメート・ニュートラルに関するコミットメントを再確認する。 フランスは、2050年までに気候変動による中立を達成することを約束する。 中国は、2030年までにCO2排出量をピークアウトさせ、2060年までにカーボンニュートラルを達成することを約束する。 両国は、パリ協定目標の下で既に設定されている国別貢献目標を実施するための政策及び措置を採用する。
43.双方高度赞赏《联合国气候变化框架公约》第二十七次缔约方大会(COP27)取得的成果,承诺在筹备《联合国气候变化框架公约》第二十八次缔约方大会(COP28)之路上保持密切沟通和协调,推动《巴黎协定》首次全球盘点取得成功,并在减缓、适应、损失和损害以及实施手段等议题上取得积极进展。 43.締約国は、UNFCCC第27回締約国会議(COP27)の成果を高く評価し、UNFCCC第28回締約国会議(COP28)に向けて、密接なコミュニケーションと調整を維持し、パリ協定の最初のグローバルストックテイクの成功を促進し、緩和、適応、損失と損害、実施手段の問題で積極的に進展させることを約束する。 中国とフランスは、パリ協定の推進を支持する。
44.中法两国支持促进和发展有助于生态转型的融资,鼓励各自金融部门(包括银行、保险机构、资产管理人和所有人)统筹业务和减缓和适应气候变化、保护生物多样性、发展循环经济、管控和减少污染或发展蓝色金融等方面的目标。两国还鼓励发展机构和开发银行、央行、监管机构和金融主管部门在绿色和可持续金融领域开展交流,分享经验,推动在非财务信息标准化等方面制定和完善标准。两国承诺支持可持续资本市场的发展。 44.フランスと中国は、生態系の移行に寄与する金融の促進と発展を支持し、それぞれの金融部門(銀行、保険機関、資産管理者及び所有者を含む)が、気候変動の緩和と適応、生物多様性の保全、循環経済の発展、汚染の抑制と削減又はブルーファイナンスの発展の分野における業務と目的を統合することを奨励する。 また、両国は、開発機関や開発銀行、中央銀行、規制当局、金融当局がグリーンファイナンスやサステナブルファイナンスの分野で経験を交換・共有し、非財務情報の標準化などの分野における基準の策定と改善を促進することを奨励した。 両国は、持続可能な資本市場の発展を支援することにコミットしている。
45.中法两国认识到建筑行业在两国温室气体排放中占重要比重,积极研究加入“建筑突破”倡议。两国加强合作,推进建筑节能降碳,推动城市可持续发展。 45.中国とフランスは、両国において建築部門が温室効果ガス排出量の大きな割合を占めていることを認識し、Building Breakthroughイニシアティブへの参加を積極的に検討している。 両国は、建築物におけるエネルギー効率と炭素削減、及び持続可能な都市開発を促進するために協力を強化している。
46.中法两国致力于海洋保护。两国乐见国家管辖范围以外区域海洋生物多样性(BBNJ)政府间会议就关于国家管辖范围以外区域海洋生物多样性养护和可持续利用的文本达成一致,将就后续工作继续加强沟通协调。两国元首重申双方将根据《南极海洋生物资源养护公约》促进南极海洋生物资源养护,继续就在南极设立海洋保护区展开讨论。中法两国致力于“联合国海洋科学促进可持续发展十年”,分别于2022年和2021年设立国家委员会,以凸显知识对于更好保护海洋的重要性。双方承认打击非法、未报告、无管制捕捞活动的重要性。 46.フランスと中国は、海洋保護に取り組んでいる。 両国は、国家管轄地域を超える海洋生物多様性(BBNJ)に関する政府間会合において、国家管轄地域を超える海洋生物多様性の保全と持続可能な利用に関するテキストについて合意に達したことを歓迎し、フォローアップ作業に関するコミュニケーションと調整の強化を継続する。 両首脳は、「南極の海洋生物資源の保存に関する条約」に基づき、南極の海洋生物資源の保存を促進し、南極における海洋保護区の設置に関する議論を継続することを再確認した。 中国とフランスは、国連「持続可能な開発のための海洋科学の10年」にコミットし、2022年と2021年にそれぞれ国内委員会を設立し、海洋のより良い保護のための知識の重要性を強調する。 双方は、違法、無報告及び無規制の漁業と闘うことの重要性を認識している。
47.中法两国致力于推动由法国和哥斯达黎加共同主办的2025年联合国海洋大会取得成功。中方将研究法方提出的将中国作为《生物多样性公约》第十五次缔约方大会(COP15)主席国与法国作为2025年在尼斯举办的第三届联合国海洋大会主席国关联起来的路线图。 47.フランスと中国は、フランスとコスタリカが共催する2025年の国連海洋会議の成功にコミットしている。 中国は、中国の生物多様性条約第15回締約国会議(COP15)議長国とフランスの第3回国連海洋会議(2025年ニース)議長国を結ぶフランス側が提案したロードマップを研究する予定である。
48.中法两国反对塑料污染(包括微塑料污染)。两国支持并参与第五届联合国环境大会续会(UNEA5.2)5/14决议授权的政府间谈判委员会工作,致力于通过一项具有法律约束力的国际文书。 48.中国とフランスは、プラスチック汚染(マイクロプラスチック汚染を含む)に反対している。 彼らは、再開された第5回国連環境総会(UNEA5.2)の決議5/14によって義務付けられた政府間交渉委員会の作業を支持し、参加しており、法的拘束力のある国際文書の採択に尽力している。
49.中法两国承诺保护和可持续管理森林生态系统,支持就更加可持续的价值链开展科学研究,打击非法森林砍伐及相关贸易。两国愿推进在自然保护以及草原保护、修复和可持续利用领域的合作。在此框架下,两国乐见中国国家林业和草原局和法国生物多样性署开展积极合作。 49.フランスと中国は、森林生態系の保護と持続可能な管理に尽力し、より持続可能なバリューチェーンに関する科学研究と違法な森林伐採と関連する貿易との闘いを支持する。 両国は、自然保護及び草原の保護、回復及び持続可能な利用の分野における協力を促進することを望んでいる。 この枠組みにおいて、両国は、中国の国家林業草地管理局とフランスの生物多様性庁との間の活発な協力を歓迎する。
50.中法两国将共同努力,通过公正的能源转型伙伴关系等工具,推动发展中国家实现更加公正的能源转型。 50.フランスと中国は、公正なエネルギー転換のためのパートナーシップのようなツールを通じて、開発途上国におけるより公正なエネルギー転換を促進するために協働する。
51.中法两国强调根据联合国宪章宗旨和原则,促进和保护人权及基本自由对于各国发展的重要性。 51.フランス及び中国は、国連憲章の目的及び原則に従い、全ての国の発展のために人権及び基本的自由を促進し、保護することの重要性を強調する。

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

(2023.04.11追記)

・2023.04.11 欧州 フォン・デル・ライエン欧州委員長の訪中

 

・2023.03.29 中国 ロシア 習近平国家主席とプーチン大統領の会談 (2023.03.22)

・2023.03.15 中国 第14期全国人民代表大会での習近平国家主席のスピーチ

・2023.03.15 中国 グローバル安全保障イニシアティブコンセプトペーパー (2023.02.22)

・2023.02.21 中国 米国の覇権、覇道、いじめとその危険性

・2022.11.15 米国 中国 G20関係 ジョー・バイデン大統領と中華人民共和国の習近平国家主席との会談

・2022.11.07 米国 ドイツ バイデン大統領と訪中したシュルツ首相との電話会談

・2022.11.05 ドイツ 中国 シュルツ首相の中華人民共和国訪問

 

 

 

Continue reading "習近平国家主席、マクロン仏大統領、フォン・デル・ライエン欧州委員長が、中国・フランス・欧州に関する会談を実施 (2023.04.06)"

| | Comments (0)

2023.04.09

米国 インテリジェンスコミュニティーによる2023年脅威評価 (2023.02.06)

こんにちは、丸山満彦です。

米国のOffice of the Director of National Intelligence: ODNI(国家情報局)の2023年脅威評価の報告書が公開されていました。毎年公開されています。。。

 

 ⚫︎ Homeland Security Committee 

・2023.04.04 Green, Gimenez, Garbarino, and Bishop Conduct Oversight on Threats Posed by Chinese-Manufactured Cranes at U.S. Maritime Ports

 

国で言えば、例年通り

  • 中国
  • ロシア
  • 北朝鮮
  • イラン

がフォーカスされています。

内容で言えば、

  • 気候変動と環境悪化
  • 健康安全
  • 国境をまたぐ問題
  • 紛争と脆弱性

がフォーカスされていますね。

Office of Director of National Intelligence : ODNI(国家情報局)

ヘインズ国家情報長官による上院情報特別委員会に対する年次脅威評価の冒頭陳述

・2023.03.08 DNI HAINES OPENING STATEMENT ON THE 2023 ANNUAL THREAT ASSESSMENT OF THE U.S. INTELLIGENCE COMMUNITY

動画...

U.S. Intelligence Directors Testify on Global Threats

2023年の脅威評価報告書

・2023.02.06 ODNI RELEASES 2021 ANNUAL THREAT ASSESSMENT OF THE U.S. INTELLIGENCE COMMUNITY

・[PDF

20230409-12749

・[DOCX] 仮訳

 

 

報告書ではレベル2までの目次ですが、レベル3までをつくると...

INTRODUCTION イントロダクション
FOREWORD まえがき
CHINA 中国
REGIONAL AND GLOBAL OBJECTIVES AND ACTIVITIES 地域・世界の目標・活動
MILITARY CAPABILITIES 軍事能力
WMD 大量破壊兵器
SPACE 宇宙
TECHNOLOGY AND ECONOMICS 技術・経済
CYBER サイバー
MALIGN INFLUENCE OPERATIONS 悪質な影響力作戦
RUSSIA ロシア
REGIONAL AND GLOBAL OBJECTIVES AND ACTIVITIES 地域・世界の目標・活動
UKRAINE ウクライナ
MILITARY CAPABILITIES 軍事能力
WMD 大量破壊兵器
CYBER サイバー
MALIGN INFLUENCE OPERATIONS 悪質な影響力作戦
SPACE 宇宙
IRAN イラン
REGIONAL AND GLOBAL OBJECTIVES AND ACTIVITIES 地域・世界の目標・活動
MILITARY CAPABILITIES 軍事能力
NUCLEAR ISSUES 核兵器問題
CYBER AND MALIGN INFLUENCE OPERATIONS サイバー・悪質な影響力作戦
NORTH KOREA 北朝鮮
REGIONAL AND GLOBAL OBJECTIVES AND ACTIVITIES 地域・世界の目標・活動
MILITARY CAPABILITIES 軍事能力
WMD 大量破壊兵器
CYBER サイバー
CLIMATE CHANGE AND ENVIRONMENTAL DEGRADATION 気候変動と環境悪化
HEALTH SECURITY 健康安全
INFECTIOUS DISEASES AND THE IMPACT OF THE COVID-19 PANDEMIC 感染症とCovid-19パンデミックの影響について
Our Assessment of the Origins of COVID-19 COVID-19の起源に関する我々の評価
BIOLOGICAL WEAPONS 生物兵器
ANOMALOUS HEALTH INCIDENTS 変則的な健康事件
ADDITIONAL TRANSNATIONAL ISSUES 国境をまたぐ追加的課題
PREFACE 序文
DEVELOPMENTS IN TECHNOLOGY 技術開発
TRENDS IN DIGITAL AUTHORITARIANISM AND MALIGN INFLUENCE デジタル権威主義や悪意のある影響力の動向
NUCLEAR PROLIFERATION 核拡散
GLOBAL ECONOMIC CONSEQUENCES OF RUSSIA–UKRAINE WAR ロシア・ウクライナ戦争がもたらす世界経済の影響
MIGRATION 移民
TRANSNATIONAL ORGANIZED CRIME 国際組織犯罪
Foreign Illicit Drugs 海外不正薬物
Money Laundering and Financial Crimes マネー・ローンダリングと金融犯罪
Cybercrime サイバー犯罪
GLOBAL TERRORISM 世界的テロリズム
ISIS ISIS
Hizballah ヒズボラ
Transnational Racially or Ethnically Motivated Violent Extremists 国境を越えた人種的または民族的動機による暴力的過激派
CONFLICTS AND FRAGILITY 紛争と脆弱性
PREFACE 序文
POTENTIAL INTERSTATE CONFLICT 潜在的国家間紛争
India–China インド–中国
India–Pakistan インド–パキスタン
Azerbaijan–Armenia アゼルバイジャン-アルメニア
INTERNAL STRIFE 内戦
Iraq イラク
Burma ビルマ
East Africa 東アフリカ
Western Hemisphere 西半球
GOVERNANCE CHALLENGES ガバナンスの課題
Africa アフリカ
Europe ヨーロッパ
Western Hemisphere 西半球
Tunisia チュニジア

 


報告書

ここで過去の報告書をまとめて見れます...

ANNUAL THREAT ASSESSMENT OF THE U.S. INTELLIGENCE COMMUNITY

・2023.02.06 [PDF] 2023

20230409-12749

 

・2022.03.08 [PDF] 2022

20230409-14739

 

・2021.04.09 [PDF] 2021

20210605-151026

 

・2019.01.19 [PDF] 2019

20230409-15259

 

・2018.02.13 [PDF] 2018

20230409-15657

 

・2017.05.11 [PDF] 2017

20230409-15900

 

・2016.02.09 [PDF] 2016

20230409-20109

 

・2015.02.26 [PDF] 2015

20230409-20243

・2014.01.29 [PDF] 2014

20230409-20422

 

・・2013.03.12 [PDF] 2013

20230409-20608

 

 

・2012.02.16 [PDF] 2012

20230409-20732

 

・2011.03.10 [PDF] 2011

20230409-21115

 

・ 2010.02.02 [PDF] 2010

20230409-21225

 

・2009.03.10 [PDF] 2009

20230409-21347

 

・2008.02.27 [PDF] 2008

20230409-21501

 

・2007.01.11 [PDF] 2007

20230409-21635

 

・2006.02.02 [PDF] 2006

20230409-21809

 

 


 

 

 

 

 

 


⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.06 米国 インテリジェンスコミュニティーによる2021年脅威評価 by ODNI at 2021.04.09

 

 

 

| | Comments (0)

2023.04.08

自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

こんにちは、丸山満彦です。

自民党の経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が、セキュリティ・クリアランスで法整備をするように提言をしていますね。。。


⚫︎ 自民党

・2023.04.04 セキュリティ・クリアランスで法整備を 経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言


経済安全保障推進本部(本部長・甘利明衆院議員)、安全保障調査会(調査会長・小野寺五典衆院議員)、サイバーセキュリティ対策本部(本部長・下村博文衆院議員)、デジタル社会推進本部(本部長・平井卓也衆院議員)は「経済安全保障上の重要政策に関する提言」を取りまとめ、4月4日に岸田文雄総理、高市早苗経済安保担当大臣に申し入れました。


提言内容の柱は次の3つ...

(1) いわゆる「セキュリティ・クリアランス(SC)」制度の導入

(2) サイバーセキュリティ(CS)の確保

(3) 経済インテリジェンス(EI)の強化

 

です...

(1) いわゆるSC制度の導入では、経済安全保障に関連する情報を5分類して整理していますが、特定機密を現在の4分野から拡げるというのがわかりやすいのでしょうが、今まで限定的に運用していた制度を、幅広に拡大することによる全体的な弊害というのも考えられますよね。。。

20230408-213523

政府統一基準を作る時に当初は、機密情報を松竹梅の3区分にし、それぞれの区分に応じた対策を考えるという意見もありましたが、3区分でよいのか?(防衛省等ではより詳細な秘密性の区分が必要だったし...)とか、統一基準としてメンテナンスをするコスト等も踏まえて、統一基準としては機密性2情報を想定した対策を記載し、それ以上については、各省庁が独自に整備することを想定することにしました。ちなみに「機密性2」情報という表現は、仮の表現で、後で各省庁なりが独自に名称をつければよいと思っていたのですが(なので、一括置換しやすいような名称とした)、そのまま定着してしまいましたね(^^;;

個人的には米国政府の運用の仕方を学んで同じようにすることが、合理的なのだろうと思います。その時に重要となるのが、日々の運用ルールのほかに、(1)内部監査、会計検査院監査、(2)機密指定解除の仕組み(例えば25年後には機密指定解除等)だと思います。

ここまで、気にする方が少ないのかもしれませんが、国民主権、民主主義という米国とその同盟国の共通の理念を果たす上では重要なポイントなのだろうと思います。...

 

(2) サイバーセキュリティの確保では、アクティブサイバーディフェンス (ACD)、そしてそれを実現するための脅威情報の収集・分析・共有機能の重要性に触れられているように思います。ここは、ACDの定義の明確化が何よりも重要ですね。。。また、例えば、ACDが相手国のサーバ等へのサイバー攻撃を含むとした場合、相手国のサーバ等を無力化したことにより、相手国の重要インフラ等が停止し、国民生活に大きな影響がでたような場合(あまり想定されないかもしれませんが...)に相手国がどのような判断をするかなど、検討をする項目もいろいろとありそうです。(ちなみに米軍の場合のACDは反撃を含む概念ではなく、脅威情報を活用し、攻撃被害が出る前にリアルタイムな検知をし、それに対処することにより相手の攻撃を阻止を目指すアプローチという考え方だと思います。

ACDについては、2022.09のJPCERT/CCの佐々木さんのコラムが参考になります。

それを実現するための政府側の体制等についても触れられていますね。。。

20230408-213708

 

 (3) 経済インテリジェンスの強化については、今更ですが、、、重要な経済活動(サプライチェーン全体)のレジリエンスと、それに関わる重要技術等の秘密保持がポイントなのでしょうかね...重要な経済活動に関わる、脅威情報の収集、分析、共有の強化という感じでしょうかね。。。

あと、ディスインフォメーションという用語もありますので、情報工作も含んでいるのでしょうかね。。。これは経済インテリジェンスから分けたほうが良いですね。。。(むしろ、民主主義への挑戦という面も強くあるでしょうし...)

 

3_20230408224701

(4) 経済安全保障戦略の策定というのが最後にあって、、、「その取組が史上から評価されるような環境を創生するように努めること(例えばコーポレートガバナンスコードへの反映など)とありますね。。。

 

・[PDF] 経済安全保障上の重要政策に関する提言 [downloaded]

20230408-224329

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

 

| | Comments (0)

カナダ プライバシーコミッショナー ブログ:アルゴリズムによる公正さの可能性と限界

こんにちは、丸山満彦です

カナダのプライバシーコミッショナーが「アルゴリズムによる公正さの可能性と限界」についてブログに記事(二部構成)を載せていますが、興味深いです。。。

AIには公正さが必要という話がありますが、アルゴリズムの公正さ (algorithmic fairness) について検討をしています。。。

 

・2023.04.05 Privacy Tech-Know blog: When worlds collide – The possibilities and limits of algorithmic fairness (Part 1)

結論の部分だけ...

Conclusion 結論
In this first part of our blog series on algorithmic fairness, we gained a number of insights into the history, context, nature and challenges of algorithmic fairness: アルゴリズム・フェアネスに関するブログシリーズの第一弾として、アルゴリズム・フェアネスの歴史、背景、性質、課題などについて、さまざまな知見を得ることができた:
・Algorithmic fairness is an emerging field of research that arises when the future-oriented ambiguity of fairness meets the past-is-prologue precision of AI/ML ・アルゴリズム・フェアネスとは、未来志向のフェアネスという曖昧さと、AI/MLの「過去は進行形」という精密さが相まって生まれる新しい研究分野である。
・As a type of fairness, it shares in the basic properties of the ethical concept of fairness: ・公正の一種であり、倫理的概念である公正の基本的性質を共有する:
・・It involves recognition of both similarities and differences ・・類似と相違の両方を認識すること。
・・It has multiple standards ・・複数の規格を持つ
・・The standards are generally incompatible ・・一般的に相容れない規格である
・In general, there are three main definitions of algorithmic fairness: ・一般に、アルゴリズムの公正さには、大きく分けて3つの定義がある:
・・Sufficiency or parity of predictive values ・・予測値の充足度、パリティ。
・・Separation or parity of error rates ・・誤差の分離・均等性
・・Independence or statistical parity ・・独立性または統計的パリティ
・The definitions are generally incompatible due to an inherent trade-off between maximizing accuracy and minimizing differences among groups ・精度の最大化とグループ間の差異の最小化というトレードオフの関係にあるため、一般的に定義が相容れない。
・It is possible for some or all of the definitions to be satisfied simultaneously, albeit only in highly constrained special cases with trivial solutions ・いくつかの定義を同時に満たすことは可能であるが、それは些細な解を持つ高度に制約された特殊な場合のみである。
Based on these insights, it is clear that algorithmic fairness is a complex discipline. On the one hand, it offers useful mathematical definitions that create a framework for evaluating how our uses of AI/ML can be made more compatible with the idea of a fair and just society. Yet, at the same time, the general incompatibility of the definitions presents important challenges to practitioners. Many questions remain. For example, what measures can be applied to help achieve algorithmic fairness? How do we choose between definitions? What are the limits of mathematical notions of fairness? これらの洞察に基づくと、アルゴリズム・フェアネスが複雑な学問であることは明らかである。一方では、AI/MLの利用が公平で公正な社会の実現にどのように適合するかを評価するための枠組みとして、有用な数学的定義が提示されている。しかし、同時に、定義の一般的な非互換性は、実務家に重要な課題を提示している。多くの疑問が残る。例えば、アルゴリズムの公正さを実現するために、どのような手段を適用することができるのか。どのように定義を選択すればよいのか?数学的な公平性の概念の限界はどこにあるのか?
Please continue to the second part of our blog series on algorithmic fairness, where we will discuss these questions and more. アルゴリズムの公正さに関するブログシリーズの第2部では、これらの疑問などについて解説していく。

 

・2023.04.05 Privacy Tech-Know blog: When worlds collide – The possibilities and limits of algorithmic fairness (Part 2)

Conclusion 結論
In this second, final part of our blog series on algorithmic fairness, we further developed our analysis from a practical perspective and gained additional insights into the nature of algorithmic fairness: アルゴリズムの公正さに関するブログシリーズの最終回であるこの第2回では、実践的な観点から分析をさらに発展させ、アルゴリズムの公正さの本質についてさらなる洞察を得ることができた:
・Measures to help achieve algorithmic fairness can be organized into three groups based on the stages of the AI/ML training lifecycle: ・アルゴリズムによる公平性を実現するために、AI/MLのトレーニングライフサイクルのステージに応じて、3つのグループに分類することができる:
・・Pre-processing ・・プリプロセッシング
・・・Ensure that training data is balanced and representative of the population ・・・トレーニングデータは、母集団を代表するバランスのとれたデータであることを確認する。
・・・Ensure that the ground truth is objective ・・・客観的な真実を確認する。
・・・Ensure that features equally predict the target variable across groups ・・・グループ間で均等に目標変数を予測する機能を確保する。
・・In-processing ・・インプロセシング
・・・Add one or more fairness-enhancing regularization terms to the cost function ・・・コスト関数に公平性を高める正則化項を1つ以上追加する。
・・・Use fair adversarial learning ・・・公正な逆境学習
・Post-processing ・ポストプロセッシング
・・Set the threshold to a value that satisfies your fairness criteria ・・閾値を、あなたの公平性の基準を満たす値に設定する。
・・Use a separate threshold for each group ・・グループごとに敷居を分けて使用する。
・・Due to its mathematical nature, algorithmic fairness suffers from several ethical limitations: ・・アルゴリズムによる公平性は、その数学的性質上、いくつかの倫理的制約がある:
・・It does not address the ethical implications of the actual task an AI/ML model performs ・・AI/MLモデルが実際に行うタスクの倫理的意味合いに対処していない
It cannot determine which definition is appropriate or “fair” in the circumstances どの定義が適切か、あるいは状況に応じて「公正」であるかを判断することはできない
Its results can be manipulated その結果を操作することができる
It cannot evaluate its own effects 自らの効果を評価することができない
Based on these additional insights, it is clear that algorithmic fairness is not only a complex discipline, but that it is no panacea. While various practical measures can be applied to help achieve it, ultimately mathematical notions of fairness have inherent ethical limitations that can only be properly dealt with using non-technical thinking. As always when it comes to evaluating ethical uses of technology, the key is to continue the process of deliberation and not let your thinking be replaced by calculation! これらの追加的な洞察に基づくと、アルゴリズムの公正さは複雑な学問であるだけでなく、万能薬でもないことが明らかです。公正さを実現するために様々な実用的な手段を適用することはできるが、最終的に数学的な公正さの概念は、非技術的な考え方を用いてのみ適切に対処することができる固有の倫理的限界を持っている。テクノロジーの倫理的な利用を評価する場合、重要なのは、熟慮のプロセスを継続することであり、思考を計算に置き換えることではない!

 

 

1_20230406091001

| | Comments (0)

米国 GAO 意見募集 監査基準書 (イエローブック)2023年版 ドラフト (2023.01.30)

こんにちは、丸山満彦です。

米国政府の番人、GAOの監査基準書といえばイエローブック。表紙が黄色だから。。。 ちなみにGAOは連邦政府版のCOSO、つまり内部統制基準書 (Standards for Internal Control in the Federal Government) も作成していますが、こちらは表紙が緑色なので、グリーンブック...

さて、そのイエローブックの改定案が公表され、意見募集していました(気づかなかった)...意見募集期間は2023.04.28まで...

 

⚫︎ GAO

・2023.01.30 Government Auditing Standards:2023 Exposure Draft

 

Government Auditing Standards:2023 Exposure Draft 政府監査基準:2023年公開草案
Fast Facts ファスト・ファクトハイライト
Auditors around the world use our Yellow Book—Government Auditing Standards—to perform audits. We maintain the Yellow Book and stay on top of domestic and international auditing standards. 世界中の監査人は、我々のイエローブック(政府監査基準)を使って監査を行っている。我々はイエローブックを維持し、国内外の監査基準について常に把握している。
This year, we are proposing an update to enhance how audit organizations manage audit quality. Effective quality management can reasonably assure an audit organization that its people, audits, and reports adhere to professional standards and applicable laws. 今年は、監査組織が監査の質を管理する方法を強化するための更新を提案している。効果的な品質管理は、監査組織の人員、監査、報告書が専門的な基準や適用される法律に準拠していることを合理的に保証することができる。
Another updated area adds guidance for financial audits. また、財務監査に関するガイダンスが追加された。
We are seeking public comment on our proposed draft. Please send your comment letters to [mail] no later than April 28, 2023. 我々は、この草案に対するパブリックコメントを求めている。コメントレターは、2023年4月28日までに [mail] 宛に送付ください。
Highlights ハイライト
GAO invites comments on the proposed revisions to Government Auditing Standards, commonly known as the Yellow Book. GAO first issued the standards in 1972. The proposed revisions in the 2023 exposure draft update the Yellow Book to reflect major developments in the auditing and accountability professions and emphasize specific considerations applicable to the government environment. The proposed Yellow Book revision would replace extant chapter 5, "Quality Control and Peer Review," paragraphs 5.01 through 5.59, and add additional application guidance to chapter 6, "Standards for Financial Audits." GAOは、通称イエローブックとして知られる「政府監査基準」の改訂案についてコメントを募集している。GAOは、1972年に同基準を初めて発行した。2023年公開草案で提案されている改訂案は、監査と説明責任の専門家における主要な発展を反映し、政府環境に適用される特定の考慮事項を強調するためにイエローブックを更新するものである。イエローブック改訂案は、現行の第5章「品質管理及びピアレビュー」の5.01から5.59項を置き換え、第6章「会計監査基準」に追加の適用指針を追加するものである。
Some of the major proposed changes from the 2018 revision include the following: 2018年改訂版からの主な変更案としては、以下のようなものがある:
1. Directs audit organizations that are subject to selected standard setters' quality management standards to comply with those requirements and specific additional Yellow Book requirements to avoid the potential burden of audit organizations designing and maintaining separate systems of quality management. 1. 選択された基準設定主体による品質管理基準の適用を受ける監査組織に対し、監査組織が品質管理に関する個別のシステムを設計し維持する潜在的な負担を避けるため、それらの要求事項及び特定のイエローブック追加要求事項に従うよう指示する。
2. Emphasizes the responsibility of leadership for quality management within an audit organization and requires senior leadership to take an active role in the system of quality management. 2. 監査組織内の品質管理に対する指導者の責任を強調し、上級指導者が品質管理システムにおいて積極的な役割を果たすことを要求している。
3. Adds a quality management risk assessment process and an information and communication component to the framework for the system of quality management. 3. 品質マネジメントシステムの枠組みに、品質マネジメントリスクアセスメントプロセスと情報及びコミュニケーションの要素を追加している。
4. Emphasizes monitoring of the entire system of quality management and includes a new requirement to investigate the underlying causes of identified quality management deficiencies. 4. 品質マネジメントシステム全体の監視を重視し、特定された品質マネジメントの欠陥の根本的な原因を調査する新たな要求事項を含む。
5. Promotes scalability of the standard for use by audit organizations differing in size and complexity. 5. 規模や複雑さが異なる監査機関が使用できるように、規格の拡張性を促進する。
6. Provides for the use of engagement quality reviews, if the audit organization determines that engagement quality review is an appropriate response to address one or more quality risks. 6. 監査組織が、1つ又は複数の品質リスクに対処するために、エンゲージメント品質レビューが適切な対応であると判断した場合、エンゲージメント品質レビューの利用を規定している。
7. Proposes application guidance for key audit matters to provide clarity for financial audits of government entities and entities that receive government financial assistance. 7. 政府機関及び政府財政援助を受ける企業の財務監査に明確性を持たせるために、重要な監査事項に関する適用指針を提案している。
See enclosure I of the 2023 exposure draft for a summary of the major proposed changes. 主な変更案の概要については、2023年公開草案の囲み記事Ⅰを参照すること。

 

・[PDF] Full Report (60 pages)

20230408-12309

 

Yellow Book

現行版...

・・Government Auditing Standards:2018 Revision Technical Update April 2021 (Supersedes GAO-18-568G)

・・[PDF] Full Report (234 pages)

20230408-13019

 

Blog...

・2023.03.23 Got an auditing question? We wrote the book on auditing!

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

多くのリンクはきれていますが。。。

・2006.06.23 パブリックセクターの内部統制

| | Comments (0)

米国 プライバシーを保護した上でデータ共有と分析を推進する国家戦略 ・デジタル資産研究開発のための国家目標 (2023.03.29)

こんにちは、丸山満彦です。

第2回民主主義サミットをうけて、ホワイトハウスから、2023.03.29に「民主主義のための技術の進歩」が公表されたわけですが、その際に「プライバシーを保護した上でデータ共有と分析を推進する国家戦略」と「デジタル資産研究開発のための国家目標」もホワイトハウスの科学技術政策局 (OSTP) [wikipedia] から公表されていたのですが、紹介するのを忘れていました。。。

前者はいわゆるPETsに関するものですよね。。。後者はFintech関係という感じですかね。。。

2023.03.29に「民主主義のための技術の進歩」の該当箇所(最後の部分)と国家戦略、国家目標...

 

⚫︎ White House

・2023.03.29 FACT SHEET: Advancing Technology for Democracy

FACT SHEET: Advancing Technology for Democracy ファクトシート:民主主義のための技術の進歩
... ...
Key deliverables announced or highlighted at the second Summit for Democracy include: 第2回サミット・フォー・デモクラシーで発表され、注目を集めた主な成果物は以下の通りである:
National Strategy to Advance Privacy-Preserving Data Sharing and Analytics. OSTP released a National Strategy to Advance Privacy-Preserving Data Sharing and Analytics, a roadmap for harnessing privacy-enhancing technologies, coupled with strong governance, to enable data sharing and analytics in a way that benefits individuals and society, while mitigating privacy risks and harms and upholding democratic principles.   プライバシーを保護するデータ共有と分析を推進する国家戦略。OSTPは、プライバシーのリスクと害を軽減し、民主主義の原則を守りながら、個人と社会に利益をもたらす方法でデータ共有と分析を可能にするために、強力なガバナンスと相まってプライバシー強化技術を活用するためのロードマップである「プライバシー保護データ共有と分析を促進する国家戦略」を発表した。 
National Objectives for Digital Assets Research and Development. OSTP also released a set of National Objectives for Digital Assets Research and Development, whichoutline its priorities for the responsible research and development (R&D) of digital assets. These objectives will help developers of digital assets better reinforce democratic principles and protect consumers by default. デジタル資産の研究開発のための国家目標。 OSTPはまた、デジタル資産の責任ある研究開発(R&D)に対する優先順位を示した「デジタル資産の研究開発のための国家目標」を発表した。これらの目標は、デジタル資産の開発者が民主主義の原則をより強化し、デフォルトで消費者を保護するのに役立つ。
Launch of Trustworthy and Responsible AI Resource Center for Risk Management. NIST announced a new Resource Center, which is designed as a one-stop-shop website for foundational content, technical documents, and toolkits to enable responsible use of AI. Government, industry, and academic stakeholders can access resources such as a repository for AI standards, measurement methods and metrics, and data sets. The website is designed to facilitate the implementation and international alignment with the AI Risk Management Framework. The Framework articulates the key building blocks of trustworthy AI and offers guidance for addressing them. リスクマネジメントのための「信頼できる責任あるAIリソースセンター」の立ち上げ。NISTは、AIの責任ある利用を可能にするための基礎的なコンテンツ、技術文書、ツールキットをワンストップで提供するウェブサイトとして設計された、新しいリソースセンターを発表した。政府、産業界、学術界の関係者は、AI規格のリポジトリ、測定方法と測定基準、データセットなどのリソースにアクセスできます。このウェブサイトは、AIリスクマネジメントフレームワークの導入と国際的な整合性を促進するために設計されている。フレームワークは、信頼できるAIの主要な構成要素を明示し、それらに対処するためのガイダンスを提供している。
International Grand Challenges on Democracy-Affirming TechnologiesAnnounced at the first Summit, the United States and the United Kingdom carried out their joint Privacy Enhancing Technology Prize Challenges. IE University, in partnership with the U.S. Department of State, hosted the Tech4Democracy Global Entrepreneurship Challenge. The winners, selected from around the world, were featured at the second Summit. 民主主義を肯定する技術に関する国際的なグランドチャレンジ。 第1回サミットで発表された米国と英国は、共同でプライバシー強化技術賞のチャレンジを実施した。 IE大学は、米国国務省と共同で、Tech4Democracy Global Entrepreneurship Challengeを開催した。 世界中から選ばれた受賞者たちは、第2回サミットで紹介された。

 

まずは、PETsのほうから...

・[PDF] National Strategy to Advance Privacy-Preserving Data Sharing and Analytics

20230407-51619

・[DOCX] 仮抄訳

 

Executive Summary  エグゼクティブサマリー
Data are vital resources for solving society’s biggest problems. Today, significant amounts of data are accumulated every day—fueled by widespread data generation methods, new data collection technologies, faster means of communication, and more accessible cloud storage. Advances in computing have significantly reduced the cost of data analytics and artificial intelligence, making it even easier to use this data to derive valuable insights and enable new possibilities. However, this potential is often limited by legal, policy, technical, socioeconomic, and ethical challenges involved in sharing and analyzing sensitive information. These opportunities can only be fully realized if strong safeguards that protect privacy1—a fundamental right in democratic societies—underpin data sharing and analytics.  データは、社会の大きな問題を解決するための重要な資源である。今日、データの生成方法の普及、新しいデータ収集技術、より高速な通信手段、よりアクセスしやすいクラウドストレージによって、毎日大量のデータが蓄積されている。コンピュータの進歩により、データ解析や人工知能のコストが大幅に削減され、これらのデータを使って価値ある洞察を導き出し、新しい可能性を実現することがさらに容易になっている。しかし、このような可能性は、機密情報の共有や分析に関わる法律、政策、技術、社会経済、倫理の課題によって制限されることが多い。民主主義社会における基本的権利であるプライバシー1 を保護する強力なセーフガードが、データ共有と分析を支えてこそ、こうした機会を十分に実現することができる。 
Privacy-preserving data sharing and analytics (PPDSA) methods and technologies can unlock the beneficial power of data analysis while protecting privacy. PPDSA solutions include methodological, technical, and sociotechnical approaches that employ privacy-enhancing technologies to derive value from, and enable an analysis of, data to drive innovation while also providing privacy and security. However, adoption of PPDSA technologies has been slow because of challenges related to inadequate understanding of privacy risks and harms, limited access to technical expertise, trust, transparency among participants with regard to data collection and use,2 uncertainty about legal compliance, financial cost, and the usability and technical maturity of solutions.3  プライバシーを保護するデータ共有と分析(PPDSA)の手法と技術は、プライバシーを保護しながら、データ分析の有益な力を引き出すことができる。PPDSAソリューションには、プライバシーを強化する技術を採用し、プライバシーとセキュリティを確保しながら、イノベーションを促進するためにデータから価値を引き出し、データ分析を可能にする方法論、技術、社会技術的アプローチが含まれる。しかし、PPDSA技術の採用は、プライバシーのリスクや損害に関する不十分な理解、技術的専門知識への限られたアクセス、信頼、データの収集と使用に関する参加者の透明性、2 法令遵守に関する不確実性、財政コスト、ソリューションのユーザビリティと技術成熟度に関する課題から、遅々として進まない。 3
PPDSA technologies have enormous potential, but their benefit is tied to how they are developed and used. Existing confidentiality and privacy laws and policies provide important protections to individuals and communities, and attention is needed to determine how to uphold these protections through the use of PPDSA technologies and maintain commitments to equity, transparency, and accountability. Consideration of how individuals may control the collection, linking, and use of their data should also factor into the design and use of PPDSA technologies.   PPDSA 技術は非常に大きな可能性を持っているが、その恩恵は開発・使用方法と結びついている。既存の機密保持やプライバシーに関する法律や政策により、個人やコミュニティは重要な保護を受けている。PPDSA技術の使用を通じて、これらの保護を維持し、公平性、透明性、説明責任へのコミットメントを維持する方法を決定することに注意が必要である。個人が自分のデータの収集、リンク、利用をどのようにコントロールできるかを考慮することも、PPDSAテクノロジーの設計と利用に反映させるべきである。  
Recognizing the untapped potential of PPDSA technologies, the White House Office of Science and Technology Policy (OSTP) initiated a national effort to advance PPDSA technologies.  PPDSA技術の未開拓の可能性を認識し、ホワイトハウスの科学技術政策室(OSTP)は、PPDSA技術を推進するための国家的取り組みを開始した。 
This National Strategy to Advance Privacy-Preserving Data Sharing and Analytics (Strategy) lays out a path to advance PPDSA technologies to maximize their benefits in an equitable manner, promote trust, and mitigate risks. This Strategy takes great care to incorporate socioeconomic and technological contexts that are vital to responsible use of PPDSA technologies, including their impact on equity, fairness, and bias—and how they might introduce privacy harms, especially to disadvantaged groups.  この「プライバシーを保護するデータ共有と分析を推進する国家戦略」(Strategy)は、PPDSA技術を推進し、公平な方法でその利益を最大化し、信頼を促進し、リスクを軽減する道を示すものである。本戦略は、PPDSA技術の責任ある利用に不可欠な社会経済的、技術的背景を取り入れることに細心の注意を払い、公平、公正、偏見への影響、特に不利な立場にあるグループへのプライバシー侵害をもたらす可能性を含む。 
This Strategy first sets out a vision for a future data ecosystem that incorporates PPDSA approaches:  本戦略では、まず、PPDSAのアプローチを取り入れた将来のデータエコシステムのビジョンを示している: 
Privacy-preserving data sharing and analytics technologies help advance the well-being and prosperity of individuals and society, and promote science and innovation in a manner that affirms democratic values.  プライバシーを保護するデータ共有と分析技術は、個人と社会の幸福と繁栄を促進し、民主主義の価値を肯定する方法で科学とイノベーションを促進するのに役立つ。 
This Strategy then lays out the following foundational guiding principles to achieve this vision:  そして、本戦略では、このビジョンを実現するための基本的な指針を以下のように定めている: 
•       PPDSA technologies will be created and used in ways that protect privacy, civil rights, and civil liberties.  l   PPDSAの技術は、プライバシー、市民権、市民的自由を保護する方法で作成、使用される。 
•       PPDSA technologies will be created and used in a manner that stimulates responsible scientific research and innovation, and enables individuals and society to benefit equitably from the value derived from data sharing and analytics.   l   PPDSAの技術は、責任ある科学研究とイノベーションを刺激し、個人と社会がデータ共有と分析から得られる価値から公平に利益を得ることを可能にする方法で作成・使用される。  
•       PPDSA technologies will be trustworthy, and will be created and used in a manner that upholds accountability.    l   PPDSAのテクノロジーは信頼に足るものであり、アカウンタビリティを維持する方法で作成・使用される。   
•       PPDSA technologies will be created and used to minimize the risk of harm to individuals and society arising from data sharing and analytics, with explicit consideration of impacts on underserved, marginalized, and vulnerable communities.    l   PPDSAの技術は、データの共有や分析から生じる個人と社会への危害のリスクを最小化するために、十分なサービスを受けていない、疎外された、脆弱なコミュニティへの影響を明確に考慮しながら、作成・使用されることになる。   
Based on the guiding principles, this Strategy identifies the following strategic priorities for the public and private sectors to progress toward the vision of a future data ecosystem that effectively incorporates PPDSA technologies:  本戦略では、指導原則に基づき、PPDSA技術を効果的に取り入れた将来のデータエコシステムというビジョンに向けて、官民が取り組むべき戦略的優先課題を以下のように定めている: 
•       Advance governance and responsible adoption through the establishment of a multi-partner steering group to help develop and maintain a healthy PPDSA ecosystem, greater clarity on the use of PPDSA technologies within the statutory and regulatory environments, and proactive risk mitigation measures.   l  健全なPPDSAエコシステムの開発と維持、法令や規制環境におけるPPDSA技術の使用に関する明確化、積極的なリスク軽減策を支援するためのマルチパートナー運営グループの設立を通じて、ガバナンスと責任ある採用を推進する。  
•       Elevate and promote foundational and use-inspired research through investments in multidisciplinary research that will advance practical deployment of PPDSA approach and exploratory research to develop the next generation of PPDSA technologies.    l  PPDSAアプローチの実用化を進める学際的な研究や、次世代のPPDSA技術を開発するための探索的な研究への投資を通じて、基礎的な研究や用途を想定した研究を促進する。   
•       Accelerate translation to practice through pilot implementations, development of consensus technical standards, and creation of user-focused tools, decision aids, and testbeds.  l  パイロット実施、コンセンサス技術標準の開発、ユーザー重視のツール、意思決定支援ツール、テストベッドの作成を通じて、実践への移行を加速させる。 
•       Build expertise and promote training and education through concerted efforts to expand PPDSA expertise across the public and private sector and foster privacy education opportunities from K-12 through higher education, with particular attention to capacity building in underserved communities.   l  PPDSAの専門知識を官民問わず拡大し、幼稚園から高等教育までのプライバシー教育の機会を促進するための協調的な取り組みを通じて、専門知識を構築し、トレーニングと教育を促進する。特に、十分なサービスを受けていないコミュニティにおける能力開発に注目する。  
•       Foster international collaboration on PPDSA through promotion of partnerships and an international policy environment that furthers the development and adoption of PPDSA technologies and supports common values while protecting national and economic security.  l  PPDSA技術の開発と採用を促進し、国家と経済の安全を守りながら共通の価値をサポートするパートナーシップと国際的な政策環境の促進を通じて、PPDSAに関する国際協力を促進する。 
PPDSA technologies have the potential to catalyze American innovation and creativity by facilitating data sharing and analytics while protecting sensitive information and individuals’ privacy. Leveraging data at scale holds the power to drive transformative innovation to address climate change, financial crime, public health, human trafficking, social equity, and other challenges, yet it also holds the potential to violate privacy and undercut the fundamental rights of individuals and communities. PPDSA technologies, coupled with strong governance, can play a critical role in protecting democratic values and mitigating privacy risks and harms while enabling data sharing and analytics that will contribute to improvements in the quality of life of the American people. This Strategy serves as a roadmap for both the public and private sectors to responsibly harness the potential of PPDSA technologies and move together toward the vision that anchors this Strategy.  PPDSAの技術は、機密情報や個人のプライバシーを保護しながら、データの共有や分析を促進することで、米国のイノベーションと創造性を触媒する可能性を秘めている。大規模なデータの活用は、気候変動、金融犯罪、公衆衛生、人身売買、社会的公正などの課題に対処するための変革的イノベーションを推進する力を持ちますが、同時にプライバシーを侵害し、個人とコミュニティの基本的権利を損なう可能性も持っている。PPDSA 技術は、強力なガバナンスと相まって、民主主義の価値を保護し、プライバシーのリスクと害を軽減すると同時に、米国民の生活の質の向上に貢献するデータ共有と分析を可能にする重要な役割を果たすことができる。本戦略は、官民両セクターが責任を持ってPPDSAテクノロジーの可能性を活用し、本戦略の中核をなすビジョンに向けて共に歩むためのロードマップとなる。 
OSTP, in partnership with the National Economic Council, will focus and coordinate Federal activities to advance the priorities put forward in this Strategy.   OSTPは、国家経済会議と連携して、この戦略で提示された優先事項を推進するための連邦政府の活動に焦点を当て、調整することになる。  

 

 

 

次に、デジタル資産研究開発のための国家目標

・[PDF] NATIONAL OBJECTIVES FOR DIGITAL ASSETS RESEARCH AND DEVELOPMENT

20230407-51627

Introduction  はじめに 
The United States is committed to maintaining U.S. leadership in the responsible research and development (R&D) of digital assets that reinforces democratic values. This document lays out national objectives for R&D related to digital assets, as defined in President Biden’s Executive Order (E.O.) on Ensuring the Responsible Development of Digital Assets.[1] This includes R&D on techniques and technology that supports digital assets, such as blockchain and other distributed ledger technology (DLT), applied R&D for digital assets both inside and outside of the financial ecosystem, and translational R&D to pilot, prototype, and deploy digital assets technologies.[2]  米国は、民主主義の価値を強化するデジタル資産の責任ある研究開発(R&D)において、米国のリーダーシップを維持することを約束する。この文書は、バイデン大統領の「デジタル資産の責任ある開発の確保に関する大統領令(E.O.)」[1]で定義された、デジタル資産に関する研究開発の国家目標を示している。 これには、ブロックチェーンやその他の分散台帳技術(DLT)などデジタル資産を支える技術やテクノロジーに関する研究開発、金融エコシステムの内外でデジタル資産に関する応用研究開発、デジタル資産技術のパイロット、試作、展開のための翻訳研究開発[2]を含む。
These national objectives are the first step in crafting a National Digital Assets R&D Agenda, as called for in the report titled “Technical Evaluation for a U.S. Central Bank Digital Currency (CBDC) System,” which was published by the White House Office of Science and Technology Policy (OSTP) in response to the President’s E.O.[3] These national objectives will be expanded upon in the forthcoming final R&D agenda to advance foundational, applied, and translational R&D related to digital assets.  これらの国家目標は、大統領に応じて米国科学技術政策局(OSTP)が発表した「米国中央銀行デジタル通貨(CBDC)システムのための技術評価」と題する報告書で求められている、国家デジタル資産研究開発アジェンダを作成する最初のステップとなる[3]。これらの国家目標は、デジタル資産に関する基礎、応用、翻訳研究開発を推進すべく、近々発表する最終研究開発アジェンダでさらに発展させることになる。
The National Digital Assets R&D Agenda is being developed by a Fast-Track Action Committee (FTAC) under the National Science and Technology Council’s Networking and Information Technology Research and Development Subcommittee. Launched in October 2022, the FTAC developed these national objectives with input from experts in the field from across government, academia, industry, civil society, and the public. Engagement activities included the following:  国家デジタル資産研究開発アジェンダは、国家科学技術会議のネットワーク・情報技術研究開発小委員会の下にあるファストトラック行動委員会(FTAC)によって作成されている。2022年10月に発足したFTACは、政府、学界、産業界、市民社会、一般市民の各分野の専門家からの意見を取り入れ、これらの国家目標を策定しました。エンゲージメント活動には、以下のようなものがあった: 
•       A request for information[4] that was issued on January 26, 2023, and garnered over 100 responses from the public.  ・2023年1月26日に発行された情報提供要請[4]は、一般市民から100以上の回答を得た。
•       Discussions with Federal agencies on their priorities for Digital Assets R&D.  ・デジタルアセットの研究開発における優先順位について,連邦機関または省庁と議論した。
•       Informational presentations from a range of researchers, developers, and practitioners from government, academia, industry, and civil society.  ・政府,学術界,産業界,市民社会からの様々な研究者,開発者,実務者による情報提供のプレゼンテーション。
National Objectives  国家目標 
The Federal Government will support collaborative disciplinary and interdisciplinary R&D of digital asset technologies in line with these strategic objectives:  連邦政府は、これらの戦略目標に沿って、デジタル資産技術の学問的・学際的な共同研究開発を支援する: 
Accelerate R&D on fundamental techniques and technologies for digital assets   デジタル資産に関する基礎的な技術・技能の研究開発を加速させる。 
Federal R&D in digital assets should prioritize improving foundational methods, techniques, and technologies that support digital assets, such as DLT, identity, and cryptographic primitives, to improve the utility of digital assets across a range of domains that have different needs and constraints. R&D should ensure that key technical objectives (e.g., security, privacy, resilience, sustainability) can be manifested in real-world applications, as appropriate. R&D should make DLT and related technologies more resilient and sustainable, and advance assessments and mitigation of environmental impacts including understanding how DLT and related technologies may influence the trajectory of clean energy system development. Additionally, applied R&D should be prioritized for a range of potential real-world applications. R&D should help support the development of U.S. and international standards that support these technological advancements.   デジタル資産に関する連邦政府の研究開発は、異なるニーズと制約を持つ様々な領域におけるデジタル資産の有用性を向上させるために、DLT、ID、暗号プリミティブなどのデジタル資産を支える基礎的な手法、技術、テクノロジーの改善を優先させるべきである。研究開発は、主要な技術目標(例:セキュリティ、プライバシー、レジリエンス、持続可能性)が、適宜、実世界のアプリケーションで明示されることを保証すべきである。研究開発は、DLTと関連技術をよりレジリエントで持続可能なものにし、DLTと関連技術がクリーンエネルギーシステム開発の軌道にどのように影響するかを理解することを含め、環境への影響の評価と軽減を進めるべきである。さらに、応用研究開発は、潜在的な実世界での応用範囲のために優先されるべきである。研究開発は、これらの技術的進歩をサポートする米国および国際的な標準の開発をサポートするのに役立つはずである。 
Advance R&D that emphasizes security, privacy, and resilience of digital assets  デジタル資産のセキュリティ、プライバシー、レジリエンスに重点を置いた研究開発を推進する。
Federal R&D in digital assets should prioritize advancing security, privacy, and resilience, as well as transparency, interoperability, and trustworthiness.  For example, digital assets R&D should help strengthen the ability to ensure the cybersecurity and privacy of financial and other sensitive data that are collected, used, transferred, and maintained within the digital asset ecosystem, while also advancing important objectives such as anti-money laundering, combating the financing of terrorism, financial stability, the protection of human rights, and promoting consumer and investor protection and market integrity. R&D should also support advances that can improve the cost, efficiency, privacy, speed, and safety of payments and other financial products and services. R&D should emphasize tools and techniques for verifiably secure and trustworthy transactions, to improve services while protecting consumers and investors from fraud, victimization, privacy violations, and other misconduct. R&D should prioritize discovering new tools and governance approaches that increase transparency and accountability in digital assets, such as making digital assets safer and more understandable for consumers, investors, businesses, and the public. R&D should place special emphasis on improving privacy protections and guarantees.   デジタル資産における連邦政府の研究開発は、セキュリティ、プライバシー、レジリエンス、および透明性、相互運用性、信頼性の向上を優先させるべきである。 例えば、デジタル資産の研究開発は、デジタル資産のエコシステム内で収集、使用、転送、維持される金融データやその他の機密データのサイバーセキュリティとプライバシーを確保する能力の強化を支援し、同時にマネーロンダリング防止、テロ資金対策、金融安定、人権保護、消費者と投資家の保護と市場の完全性の促進といった重要な目的を推進する必要がある。研究開発では、決済やその他の金融商品・サービスのコスト、効率、プライバシー、スピード、安全性を向上させることができる進歩も支援する必要がある。研究開発では、消費者と投資家を詐欺、被害、プライバシー侵害、その他の不正行為から保護しながらサービスを向上させるために、検証可能な安全で信頼できる取引のためのツールや技術を重視すべきである。研究開発では、消費者、投資家、企業、一般市民にとってデジタル資産をより安全で分かりやすいものにするなど、デジタル資産の透明性と説明責任を高める新しいツールやガバナンスアプローチを発見することを優先させるべきである。研究開発は、プライバシー保護と保証の改善に特に重点を置くべきである。 
Cultivate R&D to support a potential U.S. Central Bank Digital Currency  米国中央銀行のデジタル通貨の可能性をサポートするための研究開発を育成する。
Federal R&D in digital assets should prioritize fundamental and translational R&D that would be useful in the assessment, design, implementation, and deployment of a potential U.S. CBDC,[5] including techniques and technologies that advances the Administration’s Policy Objectives for a U.S. CBDC System.[6] R&D should explore innovative and secure architectural approaches and models of issuance, integration of secure hardware, support for interoperability, the programmability of transactions, and incorporation of diverse transactional modalities including offline transactions and governance structures. R&D should emphasize embedding privacy-enhancing and interpretability features, and support models and methodologies that could enable a potential U.S. CBDC system to be scalable, useable, resilient, adaptable, equitable, and environmentally sustainable.   デジタル資産に関する連邦政府の研究開発は、米国CBDCシステムの評価、設計、実装、展開に有用な基礎的・応用的研究開発を優先すべきであり、米国CBDCシステムに関する政権の政策目標を前進させる技術やテクノロジーを含む[5]。研究開発は、革新的で安全なアーキテクチャーのアプローチと発行モデル、安全なハードウェアの統合、相互運用性のサポート、取引のプログラマビリティ、オフライン取引とガバナンス構造を含む多様な取引形態の取り込みについて探求するべきである。研究開発は、プライバシーを強化し、解釈可能な機能を組み込むことを重視し、米国の潜在的なCBDCシステムが拡張可能で、使用可能で、弾力性があり、適応可能で、公平で、環境的に持続可能であることを可能にし得るモデルや方法論を支援する必要がある。 
Support R&D to advance equity and fairness in the development and use of digital assets  デジタル資産の開発と利用における公平性と公正性を向上させるための研究開発を支援する。
Federal R&D in digital assets should prioritize work, especially sociotechnical R&D, that could advance equity, including by expanding access to and usability of safe and beneficial uses of digital assets. R&D to expand access should include protections to not place greater risk (e.g., via predatory inclusion) on underserved and historically marginalized communities, including people of color; rural communities; individuals without the resources to maintain expensive devices or reliable Internet access; and individuals with cognitive, motor, or sensory impairments or disabilities. Through the development of educational materials, usability studies, and support for different communities, or through other design features of digital assets, R&D should ensure that systems do not create new inequities – including technological barriers to use. R&D should be prioritized to understand and mitigate the negative or unintended economic, social, and environmental impacts of creating and maintaining digital assets, even for communities that may not explicitly be users of the technology but are nevertheless impacted.   デジタル資産に関する連邦政府の研究開発は、デジタル資産の安全で有益な利用方法へのアクセスや使い勝手を拡大することを含め、公平性を高めることができる作業、特に社会技術的な研究開発を優先すべきである。アクセスを拡大するための研究開発には、有色人種、農村地域、高価なデバイスや信頼できるインターネットアクセスを維持する資源を持たない個人、認知、運動、感覚の障害や障害を持つ個人など、十分なサービスを受けておらず歴史的に疎外されてきたコミュニティに大きなリスク(例えば、捕食的包摂を通じて)を与えないための保護が含まれていなければなりません。教育資料の開発、ユーザビリティの調査、様々なコミュニティへの支援、あるいはデジタル資産のその他の設計上の特徴を通じて、研究開発は、システムが利用に対する技術的障壁を含む新たな不公平を生み出さないことを保証すべきである。デジタル資産の作成と維持がもたらす経済的、社会的、環境的な負の影響、あるいは意図しない影響を理解し、緩和するために、研究開発を優先すべきです。 
[1] [web [1] [web
[2] The Federal Reserve is already doing significant experimentation on CBDC systems and is leading a broad program rooted in the fundamental nature of a CBDC as a liability of the central bank.  [2] 連邦準備制度はすでにCBDCシステムに関する重要な実験を行っており、中央銀行の負債としてのCBDCの基本的な性質に根ざした幅広いプログラムを主導している。
[3] Technical Evaluation for a U.S. Central Bank Digital Currency System. (Sep. 2022). Office of Science and Technology Policy. [PDF [3] 米国の中央銀行デジタル通貨システムのための技術評価。(Sep. 2022). 米国科学技術政策局. [PDF
[4] Request for Information: Digital Assets Research and Development. Office of Science and Technology Policy. Federal Register Notice. [web] [4] 情報提供のお願い: デジタルアセット研究開発. 米国科学技術政策局(Office of Science and Technology Policy)。連邦官報告示。 [web]
[5] The National Objectives for Digital Assets R&D do not make any assessments or recommendations about whether a U.S. CBDC should be pursued, nor do they intend to suggest any design choices for a potential U.S. CBDC system.  [5] デジタル資産研究開発のための国家目標は、米国の CBDC を追求すべきかどうかについての評価や勧告を行うものではなく、また、米国の潜在的な CBDC システムの設計上の選択肢を示唆するものでもない。
[6] [PDF] [6][PDF]


 




⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

2023.04.04 米国 ファクトシート:「民主主義のための技術の進歩」と「バイデン-ハリス政権の国内外における民主主義の再生への揺るぎないコミットメント」 (2023.03.29)

 

こちらも...

・2023.04.05 米国 政府による監視技術の使用に関する指導原則 権威主義的な政権に対抗するための民主主義を肯定する検閲防止技術を推進するための米国政府官民の呼びかけ (2023.03.30)

・2023.04.04 米国 商用スパイウェアの拡散と悪用に対抗するための取り組みに関する共同声明 (2023.03.30)

・2023.03.29 米国 国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令

 

| | Comments (0)

金融庁 「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表について

こんにちは、丸山満彦です。

金融庁が、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」を公表していますね。。。

新旧対比表をみていると改訂点がわかりますが、当初はCOSOから始まったものの、かなり今回はジャパナイズされてきた文言が増えてきているように感じました。。。

委員の先生のいろいろな思いがあるのかもですね。。。

あと、コメント(No.7)に「ダイレクトレポーティングにしても監査人の工数かわらないでしょう。。。」という当初からの私の意見と同じコメントがありましたね。。。「貴重なご意見として承ります。」と回答されていますが...

 

金融庁 

・2023.04.07 財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表について

[PDF] (別紙1)財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)

20230808-103726

 

[PDF] (別紙2)コメントの概要及びコメントに対する考え方

[PDF] (別紙3)財務報告に係る内部統制の評価及び監査の基準・実施基準(抄)新旧対照表

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.12.09 金融庁 財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について...

・2020.03.31 日本公認会計士協会 監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」の改正について

 

・2011.04.01 金融庁他 内部統制報告制度関係

・2011.02.20 企業会計審議会第21回内部統制部会議事次第

・2010.12.27 金融庁 パブコメ 財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について

・2009.03.28 内部統制報告書例

・2008.06.24 SEC Approves One-Year Extension for Small Businesses From Auditor Attestation Requirement in Sarbanes-Oxley Act

・2008.02.08 実施基準に書かれていないことは監査人の判断しだい?

・2007.11.08 公認会計士協会 パブコメ IT委員会研究報告「ITに係る内部統制の枠組み~自動化された業務処理統制等と全般統制~」(公開草案)

・2007.08.01 金融庁 確定 「金融商品取引法制に関する政令案・内閣府令案等」に対するパブリックコメントの結果等について (2)

・2007.08.01 金融庁 確定 「金融商品取引法制に関する政令案・内閣府令案等」に対するパブリックコメントの結果等について

・2007.06.18 ITへの対応は"Response to IT"?

・2007.03.07 金融庁 企業会計審議会 内部統制部会 第16回議事録

・2007.02.16 財務報告に係る内部統制の評価及び監査の実施基準に対する八田部会長の発言

・2007.02.15 金融庁 財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)を公表

・2007.02.01 金融庁 基準案と実施基準案の修正案が公開されていますね。。。

・2006.08.09 内部統制部会議事録等









| | Comments (0)

2023.04.07

フランス CNIL パーソナルデータセキュリティガイドの新版を発行

こんにちは、丸山満彦です。

フランスのデータ保護機関である情報処理と自由に関する国家委員会 (Commission nationale de l’informatique et des libertés: CNIL) が個人データのセキュリティ確保のためのガイドラインの改訂版を公表していますね。。。

 

⚫︎ Commission nationale de l’informatique et des libertés: CNIL

・2023.04.03 La CNIL publie une nouvelle version de son guide de la sécurité des données personnelles

 

La CNIL publie une nouvelle version de son guide de la sécurité des données personnelles CNIL パーソナルデータセキュリティガイドの新版を発行
Ce guide a pour but d’accompagner les acteurs traitant des données personnelles en rappelant les précautions élémentaires à mettre en œuvre. Cette nouvelle version prend notamment en compte les dernières recommandations de la CNIL en matière de mots de passe et de journalisation. 本ガイドは、個人データを取り扱う関係者に、実施すべき基本的な注意事項を喚起し、支援することを目的としている。この新しいバージョンは、パスワードとロギングに関するCNILの最新の勧告を考慮に入れている。
Quel est le contenu du guide ? このガイドの内容は?
L’obligation de sécurité, inscrite dans la loi depuis 45 ans, a été renforcée par le RGPD. Or, il est parfois difficile, lorsque l’on n'est pas familier avec les méthodes de gestion des risques, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été fait. 45年前から法律に明記されているセキュリティの義務は、RGPDによって強化されました。しかし、リスクマネジメントの手法に精通していない場合、このようなアプローチを実施し、最低限のことが行われたことを確認することは、時として困難である。
Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. 管理者及び処理者は、リスクに見合ったセキュリティレベルを確保するために、適切な技術的及び組織的措置を実施するものとする。
- Article 32 du RGPD - RGPDの第32条
À travers 17 fiches, le guide de la sécurité des données personnelles de la CNIL rappelle aussi bien les précautions élémentaires qui devraient être mises en œuvre de façon systématique que les mesures destinées à renforcer davantage encore la protection des données. Ce guide constitue une référence en matière de sécurité. CNILの個人情報セキュリティガイドは、17枚のシートを通して、体系的に実施すべき基本的な予防策と、データ保護をさらに強化することを目的とした対策を思い起こさせる。このガイドは、セキュリティの分野における参考資料である。
Quelles sont les nouveautés de l’édition 2023 ? 2023年版の新機能は何か?
Pour cette édition, les changements principaux concernent les fiches suivantes : この版では、主に以下のシートが変更されている:
・La fiche n° 2 « Authentifier les utilisateurs » prend en compte la nouvelle recommandation relative aux mots de passe et autres secrets partagés adoptée en 2022 par la CNIL. En particulier, elle reprend la notion d’entropie du mot de passe pour offrir une plus grande liberté dans la définition de politiques de mots de passe et abandonne l’obligation de renouvellement des mots de passe pour les comptes utilisateurs "classiques". シートNo.2「ユーザーの認証」:CNILが2022年に採択したパスワードおよびその他の共有秘密に関する新しい勧告を考慮に入れている。特に、パスワードポリシーの定義に自由度を与えるパスワードエントロピーの概念を盛り込み、「クラシック」ユーザーアカウントのパスワード更新義務を廃止している。
・La fiche n° 4 « Tracer les opérations et gérer les incidents » prend en compte la recommandation relative à la journalisation adoptée en 2021. Elle  explique comment assurer une traçabilité des accès et actions dans des systèmes multi-utilisateurs tout en trouvant l’équilibre entre sécurité, surveillance et risques associés
.
シートNo.4「操作の追跡とインシデントの管理」:2021年に採択されたロギングに関する勧告を考慮に入れている。マルチユーザーシステムにおけるアクセスや操作のトレーサビリティを確保し、セキュリティ、モニタリング、関連するリスクのバランスを取る方法を解説している。
・La fiche n°12 « Encadrer les développements informatiques » a également été enrichie d’éléments venant du guide RGPD pour l’équipe de développement. シートNo.12「IT開発の監督」:開発チームのためのRGPDガイドの要素が盛り込まれている。
・Enfin, les fiches n° 15 « Sécuriser les échanges avec d’autres organismes » et n° 17 « Chiffrer, hacher ou signer »  ont été actualisées pour tenir compte de l’évolution des pratiques actuellement recommandées. ・最後に、ファクトシートNo.15「他組織との交流のセキュリティ確保」ファクトシートNo.17「暗号化、ハッシュ化、署名」:現在推奨されている慣行の変更を考慮し、更新されている。
D’autres mises à jour et améliorations plus ponctuelles ont été apportées pour suivre l’évolution de la menace et des connaissances. その他の更新や改善は、脅威や知識の変化に対応するために、その都度行っている。
À qui s’adresse ce guide ? このガイドは誰のためのものであるか?
Ce guide s’adresse à l’ensemble des professionnels amenés à utiliser des données personnelles. Le responsable de l’organisme, ainsi que ses équipes en charge de la protection des données et de la sécurisation de l’information y trouveront les différentes thématiques à aborder et un ensemble de mesures à mettre en œuvre. 本ガイドは、個人データを使用するすべての専門家を対象としている。組織のトップ、およびデータ保護と情報セキュリティを担当するチームは、このガイドで、取り組むべきさまざまなテーマと実施すべき一連の対策を見つけることができる。
Document reference 参考資料
Télécharger le guide ガイドをダウンロードする
・[PDF] Guide pratique RGPD - Sécurité des données personnelles ・実務ガイドRGPD - 個人データのセキュリティ確保
Pour approfondir お問い合わせ先
> Tous les contenus de la CNIL sur la cybersécurité  > サイバーセキュリティに関するCNILの全コンテンツ 

 

・[PDF]

20230407-42033

 

17のシートは、、、

1.       Sensibiliser les utilisateurs 1.       ユーザーの意識改革
2.       Authentifier les utilisateurs 2.       ユーザーの認証
3.       Gérer les habilitations 3.       オーソライズの管理
4.       Tracer les opérations et gérer les incidents 4.       操作の追跡とインシデントの管理
5.       Sécuriser les postes de travail 5.       ワークステーションのセキュリティ確保
6.       Sécuriser l'informatique mobile 6.       モバイルコンピューティングのセキュリティ確保
7.       Protéger le réseau informatique interne 7.       社内コンピュータネットワークの保護
8.       Sécuriser les serveurs 8.       サーバーのセキュリティ確保
9.       Sécuriser les sites web 9.       ウェブサイトのセキュリティ確保
10.    Sauvegarder et prévoir la continuité d'activité 10.    バックアップと事業継続の計画
11.    Archiver de manière sécurisée 11.    セキュアなアーカイブ
12.    Encadrer les développements informatiques 12.    IT開発の監督
13.    Encadrer la maintenance et la fin de vie des matériels et logiciels 13.    ハードウェア・ソフトウェアの保守とエンドオブライフの管理
14.    Gérer la sous-traitance 14.    外注先の管理
15.    Sécuriser les échanges avec d'autres organismes 15.    他組織との交流のセキュリティ確保
16.    Protéger les locaux 16.    構内の保護
17.    Chiffrer, hacher ou signer 17.    暗号化、ハッシュ化、署名

 

 

| | Comments (0)

米国 司法省 Genesis Markeをテイクダウン

こんにちは、丸山満彦です。

FBIが国内の支局、欧州等の捜査機関と協力して、Genesis Markeをテイクダウンしたと報告していますね...。国際連携が、それなりに効果を出しているようですね。当人からすれば、まだまだやることはあると思っているようには思いますが...

ここでの連携した捜査機関ですが、、、22機関あります。。。が、日本は入っていないですね。。。というかアジアがはいっていないですね。。。

U.K. National Crime Agency 英国国家犯罪局
Italy’s Polizia de Stato イタリア国家警察
Police of Denmark デンマーク警察
Australian Federal Police オーストラリア連邦警察
Royal Canadian Mounted Police 王立カナダ騎馬警察
Canada’s Sûreté du Québec カナダケベック州警察
Romanian Police ルーマニア警察
Cybercrime Sub-directorate for French judicial police フランス司法警察サイバー犯罪小局
Spain’s Policia Nacional スペイン国家警察
Spain’s Guardia Civil スペイン民警
Germany’s Federal Criminal Police Service ドイツ連邦刑事警察、
Swedish Police Authority スウェーデン警察庁
Poland’s Central Bureau for Combating Cybercrime ポーランドサイバー犯罪対策中央局
Dutch National Police オランダ国家警察
Finland’s National Bureau of Investigation フィンランド国家捜査局
Switzerland’s Office of the Attorney General スイス司法長官事務所
Swiss Federal Police スイス連邦警察
Estonia’s Prosecutor General’s Office エストニア検察庁
Iceland’s Metropolitan Police アイスランド警視庁
New Zealand Police ニュージーランド警察
Eurojust 欧州司法機構
Europol. ユーロポール

 

⚫︎ Department of Justice: DOJ

・2023.04.05 Criminal Marketplace Disrupted in International Cyber Operation

 

Criminal Marketplace Disrupted in International Cyber Operation 国際的なサイバー作戦で犯罪市場を壊滅させる
Genesis Market Offered Access to Data Stolen From Over 1.5M Compromised Computers Worldwide and Was a Key Enabler of Ransomware ジェネシス・マーケットは、世界中の150万台以上のコンピュータから盗まれたデータへのアクセスを提供し、ランサムウェアの主要なイネーブラーであった。
The Justice Department announced today a coordinated international operation against Genesis Market, a criminal online marketplace that advertised and sold packages of account access credentials – such as usernames and passwords for email, bank accounts, and social media – that had been stolen from malware-infected computers around the world. 司法省は、世界中のマルウェアに感染したコンピュータから盗まれた電子メール、銀行口座、ソーシャルメディアのユーザー名やパスワードなどのアカウントアクセス情報のパッケージを広告・販売していた犯罪的オンラインマーケットであるジェネシス・マーケットに対する国際協調作戦を本日発表した。
“Working across 45 of our FBI Field Offices and alongside our international partners, the Justice Department has launched an unprecedented takedown of a major criminal marketplace that enabled cybercriminals to victimize individuals, businesses, and governments around the world,” said Attorney General Merrick B. Garland. “Our seizure of Genesis Market should serve as a warning to cybercriminals who operate or use these criminal marketplaces: the Justice Department and our international partners will shut down your illegal activities, find you, and bring you to justice.” メリック・B・ガーランド司法長官は、次のように述べている。「司法省は、FBIの45の支局にまたがり、国際的なパートナーとともに、サイバー犯罪者が世界中の個人、企業、政府に被害を与えることを可能にした主要な犯罪市場の前例のない取り締まりに着手した。ジェネシス・マーケットを押収したことは、こうした犯罪的なマーケットプレイスを運営または利用するサイバー犯罪者に対する警告となるはずである: 司法省と私たちの国際的なパートナーは、あなたの違法な活動を停止し、あなたを見つけ、あなたを裁判にかけるだろう。」
“Yesterday, the Department of Justice and its partners dismantled the Genesis Market and arrested many of its users around the world,” said Deputy Attorney General Lisa O. Monaco. “Genesis falsely promised a new age of anonymity and impunity, but in the end only provided a new way for the Department to identify, locate, and arrest on-line criminals.  The Department of Justice is shining a light on the internet’s darkest corners – in the last year alone, our agents, prosecutors, and partners have dismantled the darknet’s largest marketplaces – Hydra Market, BreachForums, and now Genesis. Each takedown is yet another blow to the cybercrime ecosystem.”  リサ・O・モナコ副司法長官は次のように述べている。「昨日、司法省とそのパートナーは、ジェネシスマーケットを解体し、世界中の多くのユーザーを逮捕した。ジェネシスは、匿名性と免罪符の新時代を偽り約束したが、結局は司法省がオンライン犯罪者を特定し、場所を特定し、逮捕するための新しい方法を提供しただけだった。  司法省は、インターネットの最も暗い隅に光を当てている。昨年だけでも、捜査官、検察官、パートナーは、ダークネット最大のマーケットプレイス、Hydra Market、BreachForums、そして今回のジェネシスを解体している。それぞれのテイクダウンは、サイバー犯罪のエコシステムにまた新たな打撃を与えるものである。」
Since its inception in March 2018, Genesis Market has offered access to data stolen from over 1.5 million compromised computers around the world containing over 80 million account access credentials. Account access credentials advertised for sale on Genesis Market included those connected to the financial sector, critical infrastructure, and federal, state, and local government agencies. Genesis Market was also one of the most prolific initial access brokers (IABs) in the cybercrime world. IABs attract criminals looking to easily infiltrate a victim’s computer system. Genesis Market offered for sale the type of access sought by ransomware actors to attack computer networks in the United States and around the world, and published private-sector reports indicate that they indeed were used by ransomware actors to attack such systems. 2018年3月の開始以来、ジェネシス・マーケットは、8000万以上のアカウントアクセス認証情報を含む世界中の150万以上の侵害されたコンピュータから盗まれたデータへのアクセスを提供してきた。ジェネシス・マーケットで販売宣伝されているアカウントアクセス認証情報には、金融セクター、重要インフラ、連邦・州・地方政府機関に接続されているものが含まれていた。また、ジェネシス・マーケットは、サイバー犯罪の世界で最も盛んなイニシャル・アクセス・ブローカー(IAB)の1つでした。IABは、被害者のコンピュータ・システムに容易に侵入しようとする犯罪者を惹きつけるものです。ジェネシス・マーケットは、ランサムウェアの実行者が米国および世界中のコンピュータネットワークを攻撃するために求めるタイプのアクセスを販売し、公表された民間部門の報告書によると、実際にランサムウェアの実行者がこれらのシステムを攻撃するために使用したことが示されている。
Genesis Market was user-friendly, providing users with the ability to search for stolen access credentials based on location and/or account type (e.g., banking, social media, email, etc.). In addition to access credentials, Genesis Market obtained and sold device “fingerprints,” which are unique combinations of device identifiers and browser cookies that circumvent anti-fraud detection systems used by many websites. The combination of stolen access credentials, fingerprints, and cookies allowed purchasers to assume the identity of the victim by tricking third party websites into thinking the Genesis Market user was the actual owner of the account. ジェネシス・マーケットはユーザーフレンドリーで、場所やアカウントの種類(銀行、ソーシャルメディア、電子メールなど)に基づいて、盗まれたアクセス認証情報を検索する機能をユーザーに提供した。アクセス認証情報に加えて、ジェネシス・マーケット はデバイスの「フィンガープリント」を取得・販売していた。フィンガープリントとは、デバイス識別子とブラウザクッキーのユニークな組み合わせで、多くのウェブサイトが使用している不正防止検知システムを回避することができる。盗まれたアクセス情報、フィンガープリント、クッキーの組み合わせにより、購入者は、第三者のウェブサイトを騙して、ジェネシス・マーケットのユーザーがアカウントの実際の所有者であると思わせることで、被害者の身元を偽ることができた。
Genesis Market users were located all over the world. Federal law enforcement has worked to identify prolific users of Genesis Market who purchased and used stolen access credentials to commit fraud and other cybercrimes. This effort resulted in hundreds of leads being sent to FBI field offices throughout the United States, as well as to foreign law enforcement partners. Further, as part of this operation, dubbed Operation Cookie Monster, law enforcement seized 11 domain names used to support Genesis Market’s infrastructure pursuant to a warrant authorized by the U.S. District Court for the Eastern District of Wisconsin. ジェネシス・マーケットのユーザーは世界中に存在していた。連邦法執行機関は、詐欺やその他のサイバー犯罪を行うために盗んだアクセス認証情報を購入し使用したジェネシス・マーケットの多用なユーザーを特定するために取り組みました。この努力の結果、数百の手がかりが米国内のFBI現場事務所や外国の法執行パートナーに送られることになりました。さらに、「クッキーモンスター作戦」と名付けられたこの作戦の一環として、法執行機関は、ウィスコンシン州東部地区連邦地方裁判所の許可する令状に基づき、ジェネシスマーケットのインフラをサポートするために使用されていた11のドメイン名を押収した。
“The operation being announced today is the direct result of the hard work, dedication, and exceptional collaborative efforts of the FBI and its partners around the globe,” said U.S. Attorney Gregory J. Haanstad for the Eastern District of Wisconsin. “Along with investigative partners and our Justice Department colleagues, my office remains committed to using all available tools to protect individuals from cybercriminals like those who operate these types of online marketplaces.” ウィスコンシン州東部地区連邦検事グレゴリー J. ハーンスタッドは、次のように述べている。「本日発表された作戦は、FBIと世界中のパートナーたちの努力と献身、そして並外れた共同作業の結果である。捜査パートナーや司法省の同僚とともに、私のオフィスは、この種のオンライン市場を運営するようなサイバー犯罪者から個人を守るために、あらゆる手段を駆使することを約束する。」
“Today’s takedown of Genesis Market is a demonstration of the FBI’s commitment to disrupting and dismantling key services used by criminals to facilitate cybercrime,” said FBI Director Christopher Wray. “The work in this case is a great example of the FBI’s ability to leverage our technical capabilities and work shoulder-to-shoulder with our international partners to take away the tools cyber criminals rely on to victimize people all across the world.” FBI長官のクリストファー ワレイは次のようにのべている。「今日のジェネシスマーケットの取り締まりは、犯罪者がサイバー犯罪を促進するために使用する主要なサービスを破壊し、解体するというFBIの取り組みを示すものである。この事件は、FBIが我々の技術力を活用し、国際的なパートナーと肩を並べて、サイバー犯罪者が世界中の人々に被害を与えるために頼りにしているツールを奪うことができることを示す素晴らしい例である。」
The FBI Milwaukee Field Office investigated the case, with assistance from 44 other field offices, the U.K. National Crime Agency, Italy’s Polizia de Stato, Police of Denmark, Australian Federal Police, Royal Canadian Mounted Police, Canada’s Sûreté du Québec, Romanian Police, Cybercrime Sub-directorate for French judicial police, Spain’s Policia Nacional, Spain’s Guardia Civil, Germany’s Federal Criminal Police Service, Swedish Police Authority, Poland’s Central Bureau for Combating Cybercrime, Dutch National Police, Finland’s National Bureau of Investigation, Switzerland’s Office of the Attorney General, Swiss Federal Police, Estonia’s Prosecutor General’s Office, Iceland’s Metropolitan Police, New Zealand Police, Eurojust, and Europol. FBIミルウォーキー支局は、他の44の支局の他、次の法執行機関との協力し、事件を解決した。英国国家犯罪局、イタリア国家警察、デンマーク警察、オーストラリア連邦警察、王立カナダ騎馬警察、カナダケベック州警察、ルーマニア警察、フランス司法警察サイバー犯罪小局、スペイン国家警察、スペイン民警、ドイツ連邦刑事警察、 スウェーデン警察庁、ポーランドサイバー犯罪対策中央局、オランダ国家警察、フィンランド国家捜査局、スイス司法長官事務所、スイス連邦警察、エストニア検察庁、アイスランド警視庁、ニュージーランド警察、欧州司法機構、ユーロポール。
The Department appreciates the assistance provided by authorities in Bulgaria and Latvia in response to Mutual Legal Assistance requests. ブルガリアとラトビアの当局が相互法的支援の要請に応じて提供した支援に感謝する。
Trial Attorneys Benjamin Proctor and Jessica Peck of the Criminal Division’s Computer Crime and Intellectual Property Section and Assistant U.S. Attorney Farris Martini for the Eastern District of Wisconsin are handling the investigation. The Justice Department’s Office of International Affairs provided significant assistance.  刑事部コンピュータ犯罪・知的財産課のBenjamin ProctorとJessica Peckの両裁判官とウィスコンシン州東部地区のFarris Martini連邦検事補がこの捜査に当たっている。司法省の国際部も多大な支援を行った。 
Victim credentials obtained over the course of the investigation have been provided to the website Have I Been Pwned, which is a free resource for people to quickly assess whether their access credentials have been compromised (or “pwned”) in a data breach or other activity. Victims can visit HaveIBeenPwned.com to see whether their credentials were compromised by Genesis Market so that they can know whether to change or modify passwords and other authentication credentials that may have been compromised. このウェブサイトは、データ侵害やその他の活動で自分のアクセス情報が漏洩(pwned)したかどうかを迅速に評価するための無料のリソースです。被害者は、HaveIBeenPwned.comにアクセスして、自分の認証情報がジェネシス・マーケットによって漏洩したかどうかを確認し、漏洩した可能性のあるパスワードやその他の認証情報を変更または修正すべきかどうかを知ることができる。
If you have been active on Genesis Market, in contact with Genesis Market administrators, or have been a victim and need to report, please email the FBI at [mail]. ジェネシス・マーケットで活動していた方、ジェネシス・マーケットの管理者と連絡を取っていた方、または被害にあって報告が必要な方は、FBI までメールで連絡ください。

 

Fig1_20220411162001

 


 

⚫︎ Europol

・2023.04.05 Takedown of notorious hacker marketplace selling your identity to criminals

 

1_20230412000901

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.07 米国 司法省 Genesis Markeをテイクダウン

・2023.03.29 米国 司法省 世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊 (2023.03.24)

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.01.31 米国 司法省 ランサムウェアの亜種「Hive」を駆除 (2023.01.26)・・

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

| | Comments (0)

NATO変革連合軍 認知戦:心を強くし、心を守る

こんにちは、丸山満彦です。

NATO変革連合軍 (Allied Command Transformation) [wikipedia] のウェブページに認知戦についての簡単な文書があったので紹介...

 

⚫︎ NATO Allied Command Transformation

・2023.04.05 Cognitive Warfare: Strengthening and Defending the Mind

Cognitive Warfare: Strengthening and Defending the Mind 認知戦:心を強くし、心を守る
NORFOLK, VA – Warfare has changed dramatically with advanced technologies, whole-of-society involvement, and increased global interconnectivity. More people are unable to differentiate between legitimate and manipulated information. Improving the Alliance-wide understanding of Cognitive Warfare is a priority for NATO member nations and partners. バージニア州ノーフォーク - 戦争は、先端技術、社会全体の関与、グローバルな相互接続の増加によって劇的に変化している。正当な情報と操作された情報を区別できない人が増えている。認知戦に関する同盟全体の理解を深めることは、NATO加盟国やパートナーにとって優先事項である。
What does Cognitive Warfare really mean?  認知戦の本当の意味とは? 
Cognitive, deriving from cognition, is the mental action or process of understanding, encompassing all aspects of intellectual function, including the sub-conscious and emotional aspects that drive a majority of human decision-making. Warfare, as the “experience” of war, originally referred to common activities and characteristics of armed conflict between states, governments, or entities. In the modern landscape, there is less clarity on stakeholders, as varying degrees of organizational, cultural, and social involvement are becoming more commonplace, as well as proxy extension of national interest. コグニティブとは、コグニション(cognition)から派生したもので、人間の意思決定の大部分を左右する潜在意識と感情の側面を含む知的機能のあらゆる側面を包含する、理解のための精神作用またはプロセスである。戦争とは、戦争の「経験」として、もともとは国家、政府、団体間の武力紛争に共通する活動や特性を指していた。現代では、組織的、文化的、社会的な関与の程度が多様化し、国益の代理的な拡大も見られるため、利害関係者については明確ではなくなっている。
Together, these two words paint a definition of Cognitive Warfare: the activities conducted in synchronization with other instruments of power, to affect attitudes and behaviours by influencing, protecting, and/or disrupting individual and group cognitions to gain an advantage. These activities vary greatly, and may encompass supporting or conflicting cultural or personalized components – social psychology, Game Theory, and ethics are all contributing factors. However, activities of modern warfare do not necessarily carry a kinetic component or directly tangible outcomes, such as territorial or resource acquisition – as with other hybrid threats, our adversaries conduct Cognitive Warfare throughout the continuum of conflict, and aim to stay in the ‘Gray Zone’ below the threshold of armed conflict. 「認知戦とは、他の権力手段と同期して行われる活動であり、個人及び集団の認知に影響を与え、保護し、及び/又は破壊することにより、態度及び行動に影響を与え、優位に立つことを目的とするものである」と定義されている。これらの活動は非常に多様であり、文化的または個人的な要素を支持または対立させるものを包含することもある。社会心理学、ゲーム理論、倫理学はすべて貢献する要素である。しかし、現代戦の活動は、必ずしも運動的要素や領土や資源の獲得といった直接的に目に見える成果を伴うものではない。他のハイブリッド脅威と同様に、敵対者は紛争の連続体を通じて認知戦を行い、武力紛争の閾値以下の「グレーゾーン」に留まることを目的としている。
An ongoing example: Russia launched a kinetic, military invasion of Ukraine, reinforced with non-kinetic activities such as targeted propaganda, disinformation campaigns, and support from its partners. Some of these non-kinetic, Cognitive Warfare activities are obvious and direct: receivers of Russian aligned disinformation experience deterioration in their ability to identify fact from fiction, decaying their mental resilience, and with potential long-term impact, such as loss of trust in media.  現在進行中の例: ロシアは、ウクライナへのキネティックな軍事侵攻を開始し、標的型プロパガンダ、偽情報キャンペーン、パートナーからの支援などの非キネティックな活動で補強した。ロシアと連携した偽情報の受信者は、事実と虚構を識別する能力が低下し、精神的レジリエンスが低下し、メディアに対する信頼が失われるなど、長期的な影響を受ける可能性がある。 
Other instances are not as clear: China leverages official and party-aligned influence to manipulate and control their domestic information environment, which results in cognitive biases development. A secondary effect presents: other nation’s citizens also develop cognitive biases towards Chinese mainland citizens and their collective disconnect with external information, which produces two fundamentally opposed perceptions of reality. This form of “us vs. them” polarization can lead to increasing marginalization and exclusion of populations, as well as emotional exploitation, which contributes to China’s Cognitive Warfare strategy.  中国が国内の情報環境を操作しコントロールするために、公的機関や党派の影響力を活用し、その結果、認知バイアスが発達してしまうのである。二次的な効果として、他国の国民も中国本土の国民に対する認知バイアスを持ち、彼らが集団で外部情報を遮断することで、現実に対する二つの根本的に対立した認識を生み出す。このような「私たち対彼ら」の二極化は、集団の疎外と排除を強め、感情を利用することにつながり、中国の認知戦戦略の一翼を担っている。 
Cognitive Warfare integrates cyber, information, psychological, and social engineering capabilities. These activities, conducted in synchronization with other Instruments of Power, can affect attitudes and behaviour by influencing, protecting, or disrupting individual and group cognition to gain advantage over an adversary. Multidisciplinary experts at Allied Command Transformation are developing concepts aimed at protecting the Alliance against the threat of Cognitive Warfare – NATO will Educate, Collaborate, Protect, and Shape to equip nations to protect their core democratic values. 認知戦は、サイバー、情報、心理、ソーシャル・エンジニアリングの能力を統合したものである。これらの活動は、他の「力の道具」と同期して行われ、敵対国に対して優位に立つために、個人や集団の認知に影響を与えたり、保護したり、破壊したりすることによって、態度や行動に影響を与えることができる。NATOは、教育し、協力し、保護し、形成することで、各国が民主主義の中核的価値を守ることができるようにする。

 

1_20230406181001

 

 

| | Comments (0)

2023.04.06

OpenAI ブログ AIの安全への取り組み

こんにちは、丸山満彦です。

ChatGPTを開発しているOpenAI社が自社のブログで、AIの安全への取り組みについて公表していますね。。。社会に対するAIの適合というのは、子育てのようなものですよね。。。特にChatGPTは汎用的な質問を受け付けて回答するものですから、非常に幅広い情報と状況に応じたその活かし方をしっていないといけない。。。

そう考えると、例えば、記憶力のよい5歳の子供が大人のトーク番組に出演しているようなものですよね。。。社会経験が足らない部分はあるでしょうね。。。

されに子育てと違って、人間ではないので、学習のための情報の取得についての制限がある。。。しかし、そういう困難を乗り越えていけると思いますね。。。早めに取り組んだほうが、有利。。。

 

⚫︎ OpenAI - Blog

・2023.04.05 Our approach to AI safety

 

ChatGPTに日本語に要約してもらいました。。。


OpenAIは、強力なAIの安全性と恩恵を保障するために努力しています。実際の使用から学び、新しいAIシステムを段階的に導入し、学習データセットから個人情報を削除するなどの措置をとり、児童保護に力を入れています。さらに、GPT-4はGPT-3.5に比べて82%の不許可コンテンツリクエストに応答しないよう改良されています。 OpenAIは、技術的・制度的な革新を通じてAIの発展を支援することに意欲を示し、世界中の政府と協力して規制を整備しています。


 

1_20230406143601

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.06 カナダ プライバシーコミッショナー ChatGPTに対する調査を開始

・2023.04.06 東京大学 生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について

・2023.04.05 英国 ICO ブログ 生成型人工知能:開発者とユーザーが問うべき8つの質問...

・2023.04.04 欧州検査院 監査プレビュー:EUにおける人工知能

・2023.04.03 欧州 EU外交部 人工知能時代に事実を正しく伝えるために

・2023.04.02 イタリア データ保護庁がOpenAI社にプライバシー規制を遵守するまでChatGPTがイタリア人ユーザのデータ処理の制限を直ちに命じた...

・2023.04.01 英国 意見募集 AI規制白書

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2023.03.22 ENISA AIのサイバーセキュリティと標準化 (2023.03.14)

・2023.03.21 米国 FTCのブログ チャットボット、ディープフェイク、ボイスクローン:AIによるインチキを売り物にする

・2023.03.11 NIST ホワイトペーパー NIST AI 100-2e2023(ドラフト)敵対的機械学習:攻撃と防御の分類と用語集

・2023.03.10 英国 ICO Blog 国際女性デーに向けて...AIによる差別への対処が重要な理由

・2023.03.08 米国 情報技術産業協会 (ITI) AIに関する新たな政策提言を発表 (2023.03.02)

・2023.01.27 NIST AIリスクフレームワーク

・2023.01.08 ノルウェー 個人データ保護局 AI利用における透明性についての報告書 (2022.12.21)

 

| | Comments (0)

カナダ プライバシーコミッショナー ChatGPTに対する調査を開始

こんにちは、丸山満彦です。

イタリアのデータ保護庁がChatGPTに対して、13歳未満の未成年のデータを取得しないと言いながら実質的には取得してしまっているだろうということで調査を始めるというアナウンスをしていますが、カナダのプライバシーコミッショナーも同意なく個人情報を収集・利用・開示されたとの苦情を受けて調査を開始しているようです。。。

各国のデータ保護、プライバシー保護関連の機関がどのような動きをするのかは興味深いところです。。。

 

⚫︎ Office of the Privacy Commissioner of Canada

・2023.04.04 OPC launches investigation into ChatGPT

 

1_20230406091001

 

| | Comments (0)

中国 科学技術の倫理的審査に関する措置(試行実施分)に関する意見募集

こんにちは、丸山満彦です。

中国の科学技術部が、科学技術の倫理的審査に関する措置(試行実施分)に関する意見募集をしています。

遺伝操作、AI等の社会に大きな影響を及ぼす科学技術の利用については、社会に受け入れられる形での利用が求められるわけですが、そういう意味で倫理的審査というのを中国は考えているようです。。。

 

⚫︎中华人民共和国科学技术部

・2023.04.04 关于公开征求对《科技伦理审查办法(试行)》意见的公告

关于公开征求对《科技伦理审查办法(试行)》意见的公告 科学技術の倫理的審査に関する措置(試行実施分)に関する意見公募のお知らせ
为贯彻落实《关于加强科技伦理治理的意见》,加强科技伦理审查和监管,促进负责任创新,科技部牵头,会同相关部门研究起草了《科技伦理审查办法(试行)》,现向社会公开征求意见。公众可通过以下途径和方式提出意见: 科学技術倫理ガバナンスの強化に関する意見」を実施し、科学技術の倫理審査・監督を強化し、責任あるイノベーションを推進するため、科学技術省が中心となり、関係部門と協力して「科学技術倫理審査対策(試行実施用)」を作成し、現在パブリックコメントを受け付けている。 一般の方は、以下の方法・手段で意見を提出することができる:


・[DOCX]

1.科技伦理审查办法(试行)(征求意见稿) 別紙1:科学技術倫理審査対策(試行実施用)(意見募集案)
2.关于《科技伦理审查办法(试行)(征求意见稿)》的说明 別紙2.科学技術の倫理的審査に関する方策(試行)(パブリックコメント案)」についての説明

 

 ・[DOCX] 仮訳(別紙1+2)

1_20210612030101

 

 

| | Comments (0)

中国 ネットワークセキュリティサービス認証の実施に関する意見 (2023.03.29)

こんにちは、丸山満彦です。

中国の国家市場監督管理総局、ネットワークセキュリティ・情報化中央委員会事務局、工業情報化部、公安部がネットワークセキュリティサービス認証の実施に関する意見を公表していますね。。。


● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2023.03.29 关于开展网络安全服务认证工作的实施意见

关于开展网络安全服务认证工作的实施意见 ネットワークセキュリティサービス認証の実施に関する意見
国市监认证规〔2023〕3号 国家自治体監督認証規則[2023]第3号
各省、自治区、直辖市和新疆生产建设兵团市场监管局(厅、委)、党委网信办、工业和信息化主管部门、公安厅(局),各省、自治区、直辖市通信管理局,各有关单位: 省、自治区、中央政府と新疆生産建設兵団市場監督局(部門、委員会)、党委員会インターネット情報オフィス、産業と情報技術の管轄部門、公安部門(局)、省、自治区、中央政府通信管理下に直接市町村、すべての関連単位を持つ:
为推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量,根据《网络安全法》《认证认可条例》,市场监管总局、中央网信办、工业和信息化部、公安部就开展国家统一推行的网络安全服务认证工作提出以下意见。 ネットワークセキュリティサービス認証システムの構築を促進するために、ネットワークセキュリティサービスプロバイダーとサービス品質の能力のレベルを高めるために、"ネットワークセキュリティ法""認証および認定規則 "によると、市場規制の総局、中央インターネット情報局、工業と情報技術省、統一国家ネットワークセキュリティサービス認証作業の実装に関する公安省は、以下の見解を提示した。
一、网络安全服务认证工作坚持“统一管理、共同实施、统一标准、规范有序”的基本原则。市场监管总局、中央网信办、工业和信息化部、公安部根据职责,加强认证工作的组织实施和监督管理,鼓励网络运营者等广泛采信网络安全服务认证结果,促进网络安全服务产业健康有序发展。 1. ネットワークセキュリティサービスの認証作業は、"統一管理、共通の実装、統一基準、標準化と秩序 "の基本原則に準拠している。 市場規制の総局、中央インターネット情報局、工業と情報技術省、公安省は、その責任によると、組織と認証と監督の実施を強化するために、ネットワーク事業者と他の広くネットワークセキュリティサービスの認証結果を受け入れ奨励し、ネットワークセキュリティサービス産業の健全かつ秩序ある発展を推進している。
二、网络安全服务认证目录由市场监管总局会同中央网信办、工业和信息化部、公安部根据市场需求和产业发展状况确定并适时调整,现阶段包括检测评估、安全运维、安全咨询和等级保护测评等服务类别。认证规则和认证标志由市场监管总局征求中央网信办、工业和信息化部、公安部意见后另行制定发布。 2. 市場監督総局が中央インターネット情報局、工業情報化部、公安部と共同でネットワークセキュリティサービス認証ディレクトリは、市場の需要や業界の発展に応じて、テストと評価、セキュリティ運用と保守、セキュリティコンサルティングとレベル保護評価と他のサービスカテゴリを含む、現在の段階を決定し調整する。 認証規則と認証マーク市場規制の一般的な管理は、中央ネットワーク情報オフィス、産業と情報技術省、別のリリースの開発後に公安省を参照する。
三、市场监管总局、中央网信办、工业和信息化部、公安部联合组建由政府部门、科研机构、认证机构、标准化机构、网络安全服务机构和用户等相关方参与的网络安全服务认证技术委员会,协调解决认证体系建设和实施过程中出现的技术问题,研究提出认证目录、认证规则编写修订工作建议等。 3. 市場規制の一般的な管理、中央インターネット情報局、産業省と情報技術省、公安省が共同で政府部門、研究機関、認証機関、標準化機関、ネットワークセキュリティサービスとユーザーおよびその他の関連当事者がネットワークセキュリティサービス認証技術委員会に参加する設定、調整と認証システムの構築と実装から生じる技術課題の解決、研究と認証ディレクトリ、認証ルールを提案する修正作業提案などを準備する。 .
四、从事网络安全服务认证活动的认证机构应当依法设立,符合《认证认可条例》《认证机构管理办法》规定的基本条件,具备从事网络安全服务认证活动的专业能力,并经市场监管总局根据各部门职责征求中央网信办、工业和信息化部、公安部意见后批准取得资质。 4. ネットワークセキュリティサービスの認証活動に従事する認証機関は、法律に従い、"認証および認定省令 "に沿って "認証機関管理対策 "は、ネットワークセキュリティサービスの認証活動に従事するプロの能力を持つ基本的な条件を提供し、中央インターネット情報局、産業と情報技術省、公安省の資格を取得する承認後に求めるために様々な部門の責任に応じて市場監督総局によって設立するものとします。
五、网络安全服务认证机构应当根据认证委托人提出的认证委托,按照网络安全服务认证基本规范、认证规则开展认证工作,建立可追溯工作机制对认证全过程完整记录。 5. ネットワークセキュリティサービスの認証機関は、ネットワークセキュリティサービスの認証の基本的な規範に従って、認証委員会によって提案された認証委員会に基づくべきである、認証の仕事、完全な記録の全体のプロセスの認証のためのトレーサビリティ作業機構の確立を実施するための認証ルール。
六、网络安全服务认证机构应当公开认证收费标准和认证证书有效、暂停、注销或者撤销等状态,并按照有关规定报送网络安全服务认证实施情况及认证证书信息。 6. ネットワークセキュリティサービスの認証機関は、認証料と認証証明書の有効性、一時停止、キャンセルまたはステータスの撤退、およびネットワークセキュリティサービスの認証と認証情報の実装の関連規定に基づき、開示するものとします。
七、通过认证的网络安全服务机构应当按照有关法律法规、标准规范等开展网络安全服务工作,确保持续符合认证要求。 7. ネットワークセキュリティサービスの認証を通じて、関連する法律や規制、基準や規範、ネットワークセキュリティサービスなどの認証要件への継続的なコンプライアンスを確保するために従わなければならない。
八、市场监管部门负责对网络安全服务认证机构、认证活动和认证结果进行监督管理,依法查处认证违法行为。 8. 市場監督部門は、ネットワークセキュリティサービスの認証機関、認証活動、監督と管理の認証結果、法律に従って調査し、認証違反に対処するための責任があります。
九、网信部门、工业和信息化部门、公安部门依据各自职责,推动认证结果采信应用,加强网络安全服务监督管理,促进网络安全服务产业发展,依法查处有关违法行为。 9. ネットワーク情報部門、産業と情報技術部門、公安部門は、それぞれの責任に応じて、認証結果のアプリケーションを促進するために、ネットワークセキュリティサービスの監督と管理を強化し、ネットワークセキュリティサービス産業の発展を促進し、調査し、法律に基づいて違法行為に対処する。
国家市场监督管理总局 国家市場監督管理総局
中央网络安全和信息化委员会办公室 ネットワークセキュリティ・情報化中央委員会事務局
工业和信息化部 工業情報化部
公安部 公安部
2023年3月15日 2023年3月15日

1_20210612030101

| | Comments (0)

東京大学 生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について

こんにちは、丸山満彦です。

東京大学の副学長(教育・情報担当)の太田邦史教授(専門は遺伝・ゲノム動態)[研究室] が、教職員、学生向けに生成系AIにどのように向き合えばよいのか、非常に簡潔かつわかりやすく書いた文書を公表しています。

社会人に対しても非常に参考になると思います。。。

 

⚫︎ utelecon: オンライン授業・Web会議ポータルサイト

・2023.04.03 生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について

目次...

 

・[PDF]にしました。。。

 

生成系AI(ChatGPT等)関連情報

 

1_20230405232101

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.22 東北大学、東京工業大学の生成系AI利用の留意事項

・2023.04.20 大阪大学 生成AI(Generative AI)の利用について

・2023.04.06 東京大学 生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について

 

 

| | Comments (0)

欧州 EDPB GDPRにおける個人データ侵害通知に関するガイドライン 9/2022 Ver. 2.0

こんにちは、丸山満彦です。

EDPBから、GDPRにおける個人データ侵害通知に関するガイドライン Ver. 2.0が公表されていますね。。。

昨年10月に意見募集がおこなわれていたものが、確定した感じですね。。。

 

EEAに設立されていない管理者のデータ漏えい通知についてガイドラインが採択されたとのことです。。。

 

European Data Protection Board: EDPB

・2023.04.04 Guidelines 9/2022 on personal data breach notification under GDPR

・[PDF

20230405-164657

・[DOCX] 仮訳

 


2023.12.15 追記

個人情報保護委員会が仮日本語訳を公表したので、追記...

● 個人情報保護委員会

GDPRに関するガイドラインの仮日本語訳

・2023.12.08 [PDF] 個人データ侵害通知に関するガイドライン09_2022 

20231215-63101


 

 

目次...

Guidelines 9/2022 on personal data breach notification under GDPR GDPRの下での個人データ侵害通知に関するガイドライン9/2022
TABLE OF CONTENTS 目次
0 PREFACE 0 前書き
INTRODUCTION イントロダクション
I. PERSONAL DATA BREACH NOTIFICATION UNDER THE GDPR I. GDRPに基づく個人データ漏えい通知
A. Basic security considerations A. セキュリティに関する基本的な考慮事項
B. What is a personal data breach? B. 個人データ漏えいとは?
1. Definition 1. 定義
2. Types of personal data breaches 2. 個人データ漏えいの種類
3. The possible consequences of a personal data breach 3. 個人データ漏えいがもたらす可能性のある結果
II. ARTICLE 33 - NOTIFICATION TO THE SUPERVISORY AUTHORITY II. 第33条:監督当局への通知
A. When to notify A. 通知するタイミング
1. Article 33 requirements 1. 第33条の要件
2. When does a controller become “aware”? 2. 管理者が 「認識」するのはどんな時か?
3. Joint controllers 3. 共同管理者
4. Processor obligations 4. 処理者の義務
B. Providing information to the supervisory authority B. 監督官庁への情報提供
1. Information to be provided 1. 提供する情報
2. Notification in phases 2. 段階的な通知
3. Delayed notifications 3. 通知遅延
C. Cross-border breaches and breaches at non-EU establishments C. 国境を越えた違反行為とEU域外の事業所における違反行為
1. Cross-border breaches 1. 国境を越えた違反
2. Breaches at non-EU establishments 2. EU域外の事業所での違反
D. Conditions where notification is not required D. 通知が不要な条件
III. ARTICLE 34 – COMMUNICATION TO THE DATA SUBJECT III. 第34条:データ対象者への通知
A. Informing individuals A. 個人への情報提供
B. Information to be provided B. 提供される情報
C. Contacting individuals C.個人への連絡
D. Conditions where communication is not required D. コミュニケーションを必要としない条件
IV. ASSESSING RISK AND HIGH RISK IV. リスク評価と高リスク
A. Risk as a trigger for notification A. 通知のトリガーとなるリスク
B. Factors to consider when assessing risk B. リスクを評価する際に考慮すべき要素
V. ACCOUNTABILITY AND RECORD KEEPING V. 説明責任と記録の保持
A. Documenting breaches A. 違反の文書化
B. Role of the Data Protection Officer B. データ保護責任者の役割
VI. NOTIFICATION OBLIGATIONS UNDER OTHER LEGAL INSTRUMENTS VI. 他の法的文書に基づく通知義務
VII. ANNEX VII. 附属書
A. Flowchart showing notification requirements A. 報告・通知要件を示すフローチャート
B. Examples of personal data breaches and who to notify B. 個人データ漏えいの例と報告・通知先

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.21 欧州データ保護委員会 EDPB 意見募集 GDPRに基づく個人データ漏えい通知に関するガイドライン9/2022

 

 

| | Comments (0)

2023.04.05

英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...

こんにちは、丸山満彦です。

英国の情報コミッショナー (Information Commissioner Office: ICO) が話題の生成的AIの利用に関する留意点をブログで公開していますね。。。

Ico

⚫︎ U.K. Information Commissioner Office: ICO

・2023.04.03 Generative AI: eight questions that developers and users need to ask

Generative AI: eight questions that developers and users need to ask 生成的AI:開発者とユーザーが問うべき8つの質問
News stories about the implications of generative artificial intelligence (AI) and large language models (LLMs) are reaching a climax, with almost two thousand academics and technology experts signing a letter last week calling for a six-month moratorium. 生成的人工知能(AI)と大規模言語モデル(LLM)の影響に関するニュースは、先週、2千人近い学者や技術専門家が6ヶ月間のモラトリアムを求める書簡に署名し、クライマックスを迎えている。
LLMs (such as ChatGPT) and their use cases – from writing essays to powering chatbots or creating websites without human coding involved – have captured the world’s imagination. But it is important to take a step back and reflect on how personal data is being used by a technology that has made its own CEO “a bit scared”. LLM(ChatGPTなど)とその使用例(エッセイの執筆からチャットボットのパワーアップ、人間のコーディングを必要としないウェブサイトの作成まで)は、世界の想像力をかき立てている。しかし、一歩引いて、自社のCEOを「ちょっと怖い」と思わせたテクノロジーによって、個人データがどのように利用されているのかを振り返ることは重要である。
ChatGPT itself recently told me that “generative AI, like any other technology, has the potential to pose risks to data privacy if not used responsibly”. And it doesn’t take too much imagination to see the potential for a company to quickly damage a hard-earned relationship with customers through poor use of generative AI. But while the technology is novel, the principles of data protection law remain the same – and there is a clear roadmap for organisations to innovate in a way that respects people’s privacy. ChatGPT自身も最近、「生成的AIは、他のテクノロジーと同様に、責任を持って使用しなければ、データプライバシーにリスクをもたらす可能性がある」と話している。そして、企業が生成的AIの使い方を誤ると、せっかく築いた顧客との関係を一気に損なう可能性があることは、あまり想像に難くありません。しかし、技術が斬新であっても、データ保護法の原則は変わりません。そして、組織が人々のプライバシーを尊重する方法でイノベーションを起こすための明確なロードマップがある。
Organisations developing or using generative AI should be considering their data protection obligations from the outset, taking a data protection by design and by default approach. This isn’t optional – if you’re processing personal data, it’s the law. 生成的AIを開発または使用する組織は、当初からデータ保護義務を考慮し、データ保護byデザインおよびbyデフォルトのアプローチを取るべきである。これはオプションではありません - 個人データを処理している場合、これは法律である。
Data protection law still applies when the personal information that you’re processing comes from publicly accessible sources. If you’re developing or using generative AI that processes personal data you need to ask yourself the following questions: データ保護法は、処理する個人情報が一般にアクセス可能なソースに由来する場合にも適用されます。個人データを処理するジェネレーティブAIを開発または使用している場合、以下の質問を自問する必要がある:
1. What is your lawful basis for processing personal data? If you are processing personal data you must identify an appropriate lawful basis, such as consent or legitimate interest. 1. 個人データを処理するための合法的な根拠は何であるか? 個人データを処理するための合法的な根拠は何か。個人データを処理している場合は、同意や正当な利益など、適切な合法的根拠を特定する必要がある。
2. Are you a controller, joint controller or a processor? If you are developing generative AI using personal data, you have obligations as the data controller. If you are using or adapting models developed by others, you may be a controller, joint controller or a processor. 2. あなたは、管理者、共同管理者、または処理者であるか? 個人データを使用して生成的AIを開発している場合、データ管理者としての義務がある。他者が開発したモデルを使用または適応している場合、あなたは管理者、共同管理者、または処理者のいずれかになる可能性がある。
3. Have you prepared a Data Protection Impact Assessment (DPIA)? You must assess and mitigate any data protection risks via the DPIA process before you start processing personal data. Your DPIA should be kept up to date as the processing and its impacts evolve. 3. データ保護影響評価(DPIA)を準備しましたか? 個人データの処理を開始する前に、DPIAプロセスを通じてデータ保護リスクを評価し、軽減する必要がある。DPIAは、処理とその影響の変化に応じて、常に最新の状態に保つ必要がある。
4. How will you ensure transparency? You must make information about the processing publicly accessible unless an exemption applies. If it does not take disproportionate effort, you must communicate this information directly to the individuals the data relates to. 4. 透明性はどのように確保するのであるか? 免責事項が適用されない限り、処理に関する情報に一般にアクセスできるようにする必要がある。不釣り合いな労力を必要としない場合は、データが関係する個人に直接この情報を伝えなければならない。
5. How will you mitigate security risks? In addition to personal data leakage risks, you should consider and mitigate risks of model inversion and membership inference, data poisoning and other forms of adversarial attacks. 5. セキュリティリスクはどのように軽減されますか? 個人情報の漏洩リスクに加え、モデルの反転やメンバーシップ推論、データポイズニング、その他の形態の敵対的攻撃のリスクを考慮し、軽減する必要がある。
6. How will you limit unnecessary processing? You must collect only the data that is adequate to fulfil your stated purpose. The data should be relevant and limited to what is necessary. 不必要な処理をどのように制限するのか? 明示された目的を果たすのに十分なデータのみを収集する必要がある。データは関連性のあるもので、必要なものに限定されるべきである。
7. How will you comply with individual rights requests? You must be able to respond to people’s requests for access, rectification, erasure or other information rights. 個人の権利要求にはどのように対応するのか? アクセス、修正、消去、またはその他の情報の権利に関する人々の要求に応じることができなければならない。
8. Will you use generative AI to make solely automated decisions? If so – and these have legal or similarly significant effects (e.g. major healthcare diagnoses) – individuals have further rights under Article 22 of UK GDPR. 生成的AIを使用して、もっぱら自動化された意思決定を行うのであるか? もしそうなら - そしてこれらが法的またはそれに準ずる重大な影響(例:主要な医療診断)を持つ場合 - 個人は英国GDPR第22条に基づくさらなる権利を有する。
As the data protection regulator, we will be asking these questions of organisations that are developing or using generative AI. We will act where organisations are not following the law and considering the impact on individuals. データ保護規制当局として、私たちは生成的AIを開発または使用している組織に対して、これらの質問をする予定である。私たちは、組織が法律に従わず、個人への影響を考慮していない場合に対処する。
We are here to support organisations, enabling them to scale and maintain public trust. Our recently updated Guidance on AI and Data Protection provides a roadmap to data protection compliance for developers and users of generative AI. Our accompanying risk toolkit helps organisations looking to identify and mitigate data protection risks. 私たちは組織をサポートし、組織の規模を拡大し、社会的信頼を維持できるようにする。最近更新された「AIとデータ保護に関するガイダンス」は、ジェネレーティブAIの開発者と利用者のためのデータ保護コンプライアンスへのロードマップを提供する。また、付属のリスクツールキットは、データ保護リスクの特定と軽減を目指す組織を支援する。
Innovators identifying novel data protection questions can get advice from us through our Regulatory Sandbox and new Innovation Advice service. Building on this offer, we are in the process of piloting a Multi-Agency Advice Service for digital innovators needing joined up advice from multiple regulators with our partners in the Digital Regulation Cooperation Forum. データ保護に関する新たな問題を発見したイノベーターは、当社のレギュラトリー・サンドボックスや新しいイノベーション・アドバイス・サービスを通じて、当社からアドバイスを受けることができます。このサービスをベースに、デジタル規制協力フォーラムのパートナーとともに、複数の規制当局からの統合されたアドバイスを必要とするデジタル・イノベーターのためのMulti-Agency Advice Serviceを試験的に導入しているところである。
There really can be no excuse for getting the privacy implications of generative AI wrong. We’ll be working hard to make sure that organisations get it right. 生成的AIのプライバシーへの影響を見誤ることは、本当に許されないことである。私たちは、組織がそれを正しく理解できるよう、懸命に取り組んでいく。

 

ちなみに、2023.03.15に改定された「AIとデータ保護のガイダンス」はこちら...

・2023.03.15 Guidance on AI and data protection

20230405-52848

 

・[DOCX] 仮訳

 

 

 

 

 

| | Comments (0)

米国 政府による監視技術の使用に関する指導原則 権威主義的な政権に対抗するための民主主義を肯定する検閲防止技術を推進するための米国政府官民の呼びかけ (2023.03.30)

こんにちは、丸山満彦です。

民主主義推しですね。。。技術も民主主義のために使おうということですね。。。間違っても権威主義的な政権のためには使ってはならない...

米国のこういう姿勢をみていると、、、日本って本当に民主主義国家をつきつめたいのでしょうかね。。。以外と、権威主義国家に近かったりしないのかなぁ...と思えたりもして...であれば...

そうであって欲しくはないですが...

 

⚫︎ White House

・2023.03.30 [PDF] U.S. Government Public-Private Sector Call to Advance Democracy-Affirming AntiCensorship Technologies to Combat Authoritarian Regimes

20230404-234324

U.S. Government Public-Private Sector Call to Advance Democracy-Affirming AntiCensorship Technologies to Combat Authoritarian Regimes     権威主義的な政権に対抗するための民主主義を肯定する検閲防止技術を推進するための米国政府官民の呼びかけについて    
The U.S. Government has issued a call to the private sector to advance democracy through countering the misuse and abuse of technology, fighting corruption, protecting civic space, and advancing labor rights.  In an effort to champion tenets of Internet freedom, this U.S. Government initiative extends the State Department’s work by calling on the private sector, including key communications and technology manufacturers, to combat authoritarian use of network-level filtering technology for repressive censorship by supporting and furthering censorship-resistant technologies and technical standards.     米国政府は、民間企業に対し、技術の悪用や乱用に対抗し、汚職と闘い、市民空間を保護し、労働者の権利を向上させることを通じて、民主主義を推進するよう呼びかけを行った。 インターネットの自由の理念を支持する努力として、米国政府のこのイニシアチブは、国務省の活動を拡張し、主要な通信および技術メーカーを含む民間部門に、検閲に強い技術および技術標準を支援し促進することによって、抑圧的な検閲のためのネットワークレベルのフィルタリング技術の権威的使用と戦うように呼びかける。   
The world continues to see authoritarian regimes abuse technology as a tool to suppress critics, journalists, human rights defenders, and societies writ large.  Often, these authoritarian regimes exploit security weaknesses in common Internet technologies in their attempts to censor information and communication and curtail freedom of expression.  This presents both an imperative and an opportunity to improve Internet security, resilience, and access for vulnerable users threatened by regimes that do not respect the rule of law or democratic values.    権威主義的な政権が、批評家、ジャーナリスト、人権擁護者、そして社会全体を抑圧するためのツールとして技術を乱用するのを、世界は見続けている。 権威主義的な政権は、しばしば、情報とコミュニケーションを検閲し、表現の自由を抑制しようとする試みの中で、一般的なインターネット技術のセキュリティ上の弱点を利用する。 このことは、法の支配や民主的価値を尊重しない政権によって脅かされている脆弱なユーザーのために、インターネットのセキュリティ、レジリエンス、アクセスを改善する必要性と機会の両方を示している。  
Many foundational networking technologies and protocols can be implemented in ways that provide security benefits while also building in fundamental resistance to repressive network filtering by authoritarian regimes.  Additionally, existing efforts which focus on improving the privacy enhancing properties of Internet technologies can be implemented in ways that bolster censorship resistance, while also protecting against the misuse of such technologies for criminal purposes, such as terrorism, human trafficking, or child exploitation.     多くの基本的なネットワーク技術とプロトコルは、セキュリティ上の利点をもたらすと同時に、権威主義的な政権による抑圧的なネットワークフィルタリングに対する基本的な抵抗力を構築する方法で実装することができる。 さらに、インターネット技術のプライバシー強化技術の向上に焦点を当てた既存の取り組みは、検閲への耐性を強化すると同時に、テロ、人身売買、子供の搾取などの犯罪目的でのこうした技術の悪用から保護する方法で実施することができる。   
The U.S. Government seeks to support Internet freedom, combat repressive censorship, and bolster security.  Progress has already been made on this front.  Private companies and governments around the world have pushed for, or implemented, security features that not only provide additional security to everyday users, but also limit the impact of authoritarian censorship.  But there is more to be done.  We encourage the private sector to meaningfully engage with governments and civil society both in the promotion of an open, free, global, interoperable, reliable, and secure Internet, and in considering the safety of our citizens from harms, online and offline.  米国政府は、インターネットの自由を支援し、抑圧的な検閲に対抗し、セキュリティを強化することを目指している。 この面では、すでに進展が見られる。 世界中の民間企業や政府は、日常的なユーザーにさらなる安全性を提供するだけでなく、権威主義的な検閲の影響を制限するセキュリティ機能を推進し、あるいは実装してきた。 しかし、まだまだやるべきことはある。 我々は、オープン、フリー、グローバル、相互運用性、信頼性、安全性の高いインターネットの推進と、オンラインおよびオフラインでの被害から市民の安全を考えることの両方において、民間企業が政府および市民社会と有意義に関わることを奨励する。
As an initial matter, we encourage the adoption or utilization of the following practices:   最初の事項として、我々は以下のプラクティスの採用または活用を奨励する:  
(1)  Deploying and fostering adoption of network censorship-resistant implementations:  (1) ネットワーク検閲に強い実装を展開し、その採用を促進する: 
Consider advancing the use of networking technologies in key ways, from providing  ネットワーク検閲に強い実装の展開と採用の促進:ネットワーク技術の利用を、以下のような重要な方法で進めることを検討する。
capacity and support to standardization efforts to ensuring implementation of these network technologies include strong network censorship-resistant properties.  また、これらのネットワーク技術の実装がネットワーク検閲に強い特性を持つことを保証するための標準化努力へのサポートと、そのためのキャパシティを提供する。
(2)  Accessible Virtual Private Network (VPN) Support: Consider efforts to lower the barrier to access for users in highly-censored environments.  This could include integrating support for a wide range of VPNs, making VPN usage user-friendly with a focus on language support for areas with high amounts of government censorship and, where possible, turning VPNs on by default.   (2) アクセス可能な仮想プライベートネットワーク(VPN)のサポート: 検閲の厳しい環境にいるユーザーのアクセス障壁を下げる努力を検討すること。 これには、幅広いVPNへのサポートを統合すること、政府による検閲が多い地域では言語サポートに重点を置いてVPNの利用をユーザーフレンドリーにすること、可能であればVPNをデフォルトでオンにすることが含まれる。 
(3)  Direct Support for Anti-Censorship Technologies: Infrastructure providers should consider lending technical and non-technical support to those who provide users in highly-censored environments free access to anti-censorship services.  For example, this could include ensuring rates remain affordable to customers providing these services.   (3) 反検閲技術への直接的な支援 インフラ事業者は、検閲の厳しい環境のユーザーに検閲対策サービスを無償で提供する事業者に対して、技術的・非技術的なサポートを提供することを検討すべきである。 例えば、このようなサービスを提供する顧客にとって、料金が手頃なままであることを保証することも含まれ得る。 
We also encourage the private sector and civil society to share updates at [mail].  また、民間企業や市民社会が [mail] で最新情報を共有することを奨励する。

 

 

国土安全保障省の発表...

⚫︎ Department of Homeland Security

Dhs_20230404235601

・2023.03.30 Secretary Mayorkas Discusses New U.S. Efforts to Counter the Misuse of Technology and the Spread of Digital Authoritarianism at Summit for Democracy

Secretary Mayorkas Discusses New U.S. Efforts to Counter the Misuse of Technology and the Spread of Digital Authoritarianism at Summit for Democracy マヨルカス長官、民主化サミットで技術の悪用とデジタル権威主義の蔓延に対抗する米国の新たな取り組みについて議論する
WASHINGTON – Today, Secretary of Homeland Security Alejandro N. Mayorkas outlined new initiatives by the Biden-Harris Administration to counter the misuse of technology at the second Summit for Democracy in Washington, D.C. He highlighted the Cybersecurity and Infrastructure Security Agency’s (CISA) High-Risk Community Protection initiative, which is dedicated to strengthening the cybersecurity of communities —such as civil society organizations— in the United States who are at heightened risk of cyber threat targeting and transnational repression.  マヨルカス国土安全保障長官は本日、ワシントンD.C.で開催された第2回民主主義サミットで、テクノロジーの悪用に対抗するバイデン=ハリス政権による新たな取り組みについて説明した。同長官は、サイバーセキュリティおよびインフラセキュリティ局(CISA)のハイリスク・コミュニティ保護イニシアティブを取り上げ、米国内の市民社会組織など、サイバー脅威による標的と国境を越えた弾圧のリスクが高まっているコミュニティのサイバーセキュリティ強化に取り組んでいる。 
"Democracies are coming together to reinforce that human rights are the bedrock of our national and international security and must be the north star guiding the design, regulation, and use of technologies,” said Secretary of Homeland Security Alejandro N. Mayorkas. “We must ensure that democracies reject harmful uses of technology and stand together as a model for how to harness technology responsibly and ethically. To that end, in the United States we are active on a number of fronts to ensure technology advances —and does not infringe upon— democracy and human rights. We are changing our policies, deepening our collaboration with democratic partners to accelerate our efforts, and creating new initiatives to protect vulnerable communities here and abroad."   アレハンドロ・N・マヨルカス国土安全保障長官は、次のように述べている。「民主主義諸国は、人権が我々の国家および国際安全保障の基盤であり、テクノロジーの設計、規制、使用を導く北極星でなければならないことを強化するために集まってきている。我々は、民主主義国家がテクノロジーの有害な利用を拒否し、責任と倫理を持ってテクノロジーを活用する方法のモデルとして、共に立ち上がることを確実にしなければならない。そのために、米国では、テクノロジーが民主主義と人権を前進させ、侵害しないようにするために、さまざまな面で積極的に取り組んでいる。我々は政策を変更し、民主的なパートナーとの協力を深めて取り組みを加速させ、国内外の脆弱なコミュニティを保護するための新たなイニシアティブを構築している。」
In January, CISA announced that the Joint Cyber Defense Collaborative (JCDC) will bring technology companies, civil society organizations, and government together to strengthen the cybersecurity of civil society organizations in the United States under threat of transnational repression. In the coming weeks, CISA will accelerate its work on this High-Risk Community Protection initiative and work with partners to develop and implement a joint cyber defense plan focused on civil society. This work will focus initially on engaging civil society organizations to listen and learn about the cybersecurity threats they are facing, find out what support is most needed, identify positive work to amplify, and then work through the JCDC and with partners to fill cybersecurity gaps.  1月、CISAは、テクノロジー企業、市民社会組織、政府を結集し、国境を越えた抑圧の脅威にさらされている米国内の市民社会組織のサイバーセキュリティを強化する「Joint Cyber Defense Collaborative(JCDC)」を発表した。今後数週間で、CISAはこのハイリスク・コミュニティ保護イニシアティブの作業を加速させ、パートナーと協力して、市民社会に焦点を当てた共同サイバー防衛計画を策定し、実施する予定である。この作業は、まず市民社会組織を巻き込んで、彼らが直面しているサイバーセキュリティの脅威に耳を傾け、学び、どのような支援が最も必要かを見つけ、増幅すべき積極的な活動を特定し、JCDCを通じて、またパートナーとともにサイバーセキュリティのギャップを埋めることに重点を置くことになる。 
“Protecting democratic values and civil society organizations in the U.S. and across the globe from cyber threats could not be more important and timely,” said CISA Director Jen Easterly. “I am proud that our agency initiated and will lead this collaborative and sustained approach to help strengthen the collective cyber defense of high-risk communities and civil society organizations. I hope to build on this effort that not only reduces cyber risk and builds resilience, but also weakens the threat of digital transnational repression.”  CISAディレクターのJen Easterlyは、以下のように述べている。「米国および世界中の民主的価値観と市民社会組織をサイバー脅威から守ることは、これ以上ないほど重要でタイムリーなことである。我々の機関が、リスクの高いコミュニティや市民社会組織の集団的なサイバー防御を強化するために、この協力的かつ持続的なアプローチを開始し、それを主導することを誇りに思っている。私は、サイバーリスクを軽減し、レジリエンスを構築するだけでなく、デジタルによる国境を越えた抑圧の脅威を弱めるこの取り組みをさらに発展させたいと考えている。」 
Additionally, CISA, in coordination with the State Department, will cohost a Strategic Dialogue on Cybersecurity of Civil Society under Threat of Transnational Repression with the United Kingdom. This will build on CISA’s High-Risk Community Protection initiative because other countries have also witnessed a rise in transnational repression targeting organizations within their borders. As part of this Strategic Dialogue, CISA’s counterparts from Australia, Canada, Denmark, Estonia, France, Japan, New Zealand, Norway, the United Kingdom, and the United States will work to improve the cybersecurity of civil society organizations, engage in information sharing on the threats facing high-risk communities, and identify opportunities for greater collaboration around the world. The first meeting will take place in the coming months. さらに、CISAは国務省と連携し、英国との間で「国境を越えた抑圧の脅威にさらされる市民社会のサイバーセキュリティに関する戦略的対話」を共催する予定である。これは、CISAの「ハイリスク・コミュニティ保護」イニシアティブに基づくもので、他の国々でも国境内の組織を標的とした国境を越えた弾圧が増加していることを目の当たりにしているためである。この戦略的対話の一環として、オーストラリア、カナダ、デンマーク、エストニア、フランス、日本、ニュージーランド、ノルウェー、英国、米国のCISAのカウンターパートは、市民社会組織のサイバーセキュリティの向上、ハイリスク・コミュニティが直面する脅威に関する情報共有に取り組み、世界中でより協力する機会を確認する。最初の会合は、今後数カ月以内に開催される予定である。
“Democracy is the foundation on which our nations are built. We must not allow it to be eroded,” said United Kingdom Security Minister Tom Tugendhat. “We’ve seen that sophisticated cyber criminals are prepared to target our democratic institutions and important actors like journalists and human rights defenders. We will not allow them to succeed. As the threat changes, we too must adapt. That’s why this forum could not be more welcome. By collaborating and sharing insights, we will improve cybersecurity across the world.”  英国のTom Tugendhat安全保障担当大臣は次のように述べている。「民主主義は、我々の国家が築かれる基盤である。民主主義が損なわれることを許してはならない。洗練されたサイバー犯罪者が、民主的な制度や、ジャーナリストや人権擁護者のような重要な関係者を標的にする用意があることを、我々は見てきた。我々は彼らの成功を許さない。脅威が変化するにつれて、我々も適応しなければならない。だからこそ、このフォーラムはこれ以上ないほど歓迎すべきものなのである。協力し、洞察を共有することで、我々は世界中のサイバーセキュリティを向上させることができる。」
“Helping to protect civil society from those opposed to our democratic values is vital for our collective security and prosperity,” said UK National Cyber Security Centre Chief Executive Lindy Cameron. “The NCSC is committed to working with international partners to support communities at high risk of being targeted online and this new initiative will help to safeguard their important work. I look forward to exchanging insights and expertise in this forum so we can support the cyber security and resilience of those who play such a central role in our societies.”  英国ナショナル・サイバー・セキュリティ・センターの最高責任者であるリンディ・キャメロンは、次のように述べている。「民主主義の価値に反対する人々から市民社会を守る手助けをすることは、我々の集団安全保障と繁栄にとって不可欠である。NCSCは、国際的なパートナーと協力して、オンライン上で標的とされるリスクの高いコミュニティを支援することに尽力しており、この新しいイニシアチブは、彼らの重要な活動を保護するのに役立つ。このフォーラムで見識や専門知識を交換し、我々の社会で中心的な役割を果たしている人々のサイバーセキュリティとレジリエンスをサポートできることを楽しみにしている。 」
The Department of Homeland Security (DHS) regularly works with law enforcement partners, within the United States and around the world, to combat transnational repression, limit the ability of authoritarian regimes to misuse technology, and better understand the tactics and targets of repressive groups and individuals. Throughout Secretary Mayorkas’s tenure, DHS has prioritized engaging directly with the victims of oppressive regimes across the world. DHS has hosted engagements and roundtables with members of various diaspora communities in the United States, including Afghans, Cubans, Nicaraguans, Uyghurs, and Venezuelans, to share information on federal resources available to support nationals in the United States and to support those seeking refuge in the United States. DHS also shares intelligence and information on motivations and tactics for transnational repression with domestic and international partners to help law enforcement and government officials address the threat. In October 2022 at Singapore International Cyber Week, Secretary Mayorkas called for nations to “work together to protect one another and embolden and enable nations and people around the world to live freely, invent, create, and share without fear of reprisal or fear for their safety.” 国土安全保障省(DHS)は、米国内および世界中の法執行機関と定期的に協力し、国境を越えた抑圧に対抗し、権威主義政権がテクノロジーを悪用する能力を制限し、抑圧的なグループや個人の戦術や標的をよりよく理解することを目指している。マヨルカス長官の在任中、DHSは世界中の抑圧的な政権の犠牲者と直接関わることを優先してきた。DHSは、アフガニスタン人、キューバ人、ニカラグア人、ウイグル人、ベネズエラ人など、米国内のさまざまなディアスポラ・コミュニティのメンバーとの交流会や円卓会議を開催し、米国内の国民を支援し、米国に避難する人々を支援するために利用できる連邦政府のリソースについて情報を共有してきた。DHSはまた、法執行機関や政府関係者が脅威に対処できるよう、トランスナショナルな弾圧の動機や戦術に関する情報や情報を国内外のパートナーと共有している。2022年10月、シンガポール国際サイバーウィークで、マヨルカス長官は各国に対し、「互いに協力して保護し、世界中の国や人々が報復や身の危険を恐れることなく自由に暮らし、発明、創造、共有できるようにし、勇気づける 」と呼びかけた。



CISAの発表...

⚫︎ CISA

Cisa_20230405000201

 

・2023.03.30 Joint Statement on the Strategic Dialogue on Cybersecurity of Civil Society Under Threat of Transnational Repression

Joint Statement on the Strategic Dialogue on Cybersecurity of Civil Society Under Threat of Transnational Repression 国境を越えた抑圧の脅威にさらされる市民社会のサイバーセキュリティに関する戦略的対話に関する共同声明
WASHINGTON – The following is the text of a joint statement committed to by the governments of Australia, Canada, Denmark, Estonia, France, Japan, New Zealand, Norway, the United Kingdom, and the United States. オーストラリア、カナダ、デンマーク、エストニア、フランス、日本、ニュージーランド、ノルウェー、英国、米国の各政府は、以下のとおり共同声明を発表したのでお知らせする。
"We, Australia, Canada, Denmark, Estonia, France, Japan, New Zealand, Norway, the United Kingdom and the United States, recognize that civil society organizations, human rights defenders, dissidents, advocacy groups, journalists, and cultural institutions play an essential role in global democracy. The expression of civil rights and free speech without fear is a cornerstone value that we share. Authoritarian governments are increasingly using cyber means to target these groups, both within their countries and across international borders, including in acts of transnational repression to censor political opposition and track dissidents. 「我々、オーストラリア、カナダ、デンマーク、エストニア、フランス、日本、ニュージーランド、ノルウェー、英国、米国は、市民社会組織、人権擁護者、反体制派、提言団体、ジャーナリスト、文化機関が世界の民主主義において不可欠な役割を果たすことを認識している。市民的権利の表現と恐怖のない言論の自由は、私たちが共有する基本的な価値である。権威主義的な政府は、政治的な反対を検閲し、反体制派を追跡するための国境を越えた弾圧行為を含め、自国内および国境を越えて、これらのグループを標的とするためにサイバー手段をますます利用していくでしょう。」
"Over the coming year, we commit to identifying actions that our governments can take to help defend these groups within our respective countries. To support this important mission, the Strategic Dialogue on Cybersecurity of Civil Society Under Threat of Transnational Repression has been established among participating governments. This forum will convene on a regular basis to share information about what each participating country is doing to support the cybersecurity needs of high-risk communities, to share insights on the threat landscape impacting these communities, and to identify opportunities for collaboration on efforts to advance cybersecurity for civil society around the world. In addition, we commit to engaging with civil society and industry in our efforts." 「今後1年間、我々は、各国政府がこれらのグループの防衛を支援するために取ることのできる行動を特定することにコミットする。この重要な使命を支援するため、参加国政府の間で「国境を越えた抑圧の脅威にさらされる市民社会のサイバーセキュリティに関する戦略的対話」が設立された。このフォーラムは定期的に開催され、リスクの高いコミュニティのサイバーセキュリティのニーズを支援するために各参加国が行っていることについての情報を共有し、これらのコミュニティに影響を与える脅威の状況についての洞察を共有し、世界中の市民社会のサイバーセキュリティを推進する取り組みについて協力する機会を確認する。さらに、我々の取り組みにおいて、市民社会や産業界との関わりを持つことを約束する。」
The following is a list of governments that have committed to participate in the Strategic Dialogue on Cybersecurity of Civil Society Under Threat of Transnational Repression: Australia, Canada, Denmark, Estonia, France, Japan, New Zealand, Norway, the United Kingdom and the United States. 国境を越えた抑圧の脅威にさらされる市民社会のサイバーセキュリティに関する戦略的対話」への参加を約束した各国政府のリストは以下の通りである: オーストラリア、カナダ、デンマーク、エストニア、フランス、日本、ニュージーランド、ノルウェー、英国、米国。
### ###

 

 

国務省の「政府による監視技術の使用に関する指導原則」...

⚫︎ Department of State

Dos

・2023.03.30 Guiding Principles on Government Use of Surveillance Technologies

Guiding Principles on Government Use of Surveillance Technologies 政府による監視技術の使用に関する指導原則
Surveillance technologies can be important tools for protecting national security and public safety when used responsibly and in a manner consistent with applicable international law.  At the same time, a growing number of governments misuse surveillance technologies to restrict access to information and the exercise of human rights and fundamental freedoms.  In some cases, governments use these tools in ways that violate or abuse the right to be free from arbitrary or unlawful interference with one’s privacy.  In the worst cases, governments employ such products or services as part of a broad state apparatus of oppression. 監視技術は、責任を持って、適用される国際法と一致する方法で使用される場合、国家の安全保障と公共の安全を守るための重要なツールとなり得る。  同時に、情報へのアクセスや人権および基本的自由の行使を制限するために監視技術を悪用する政府も増えている。  場合によっては、政府は、プライバシーに対する恣意的または不法な干渉から解放される権利を侵害または乱用する方法でこれらのツールを使用する。  最悪の場合、政府はこのような製品やサービスを、広範な国家的抑圧装置の一部として使用する。
Today, the United States is proud to join 44 Summit for Democracy participating states in endorsing new Guiding Principles on Government Use of Surveillance Technologies.  These Guiding Principles illustrate how governments can maintain their commitment to respect democratic values and protect human rights in the responsible use of surveillance technology. They were developed by consensus in the Freedom Online Coalition, a group of 36 governments dedicated to protecting the same human rights online as offline, currently chaired by the United States. 本日、米国は44の民主主義サミット参加国とともに、監視技術の政府使用に関する新しい指導原則を支持することを誇りに思う。  この指導原則は、監視技術の責任ある使用において、政府が民主主義の価値を尊重し、人権を保護するという約束をどのように維持できるかを示している。この指導原則は、オンラインでもオフラインと同様の人権を保護することを目的とした36の政府からなるフリーダム・オンライン連合(現在米国が議長を務める)の合意によって作成された。
The Guiding Principles are intended to prevent the misuse of surveillance technologies by governments to enable human rights abuses in three main areas: 指導原則は、政府が監視技術を悪用して人権侵害を可能にすることを防ぐことを目的としており、主に以下の3つの分野で使用されている:
The use of Internet controls; インターネット規制の使用;
Pairing video surveillance with artificial intelligence-driven tools; and ビデオ監視と人工知能駆動型ツールのペアリング。
The use of big data analytic tools. ビッグデータ分析ツールの使用。
Responsible policies and practices in the use of these technologies protect human rights and foster transparency, accountability, and civic participation, while effectively and appropriately pursuing legitimate law enforcement, public safety, and national security objectives. これらの技術の使用における責任ある政策と実践は、人権を保護し、透明性、説明責任、市民参加を促進する一方で、合法的な法執行、公共の安全、国家安全保障の目的を効果的かつ適切に追求する。
The 36 members of the Freedom Online Coalition are:  Argentina, Australia, Austria, Canada, Chile, Costa Rica, Czech Republic, Denmark, Estonia, Finland, France, Georgia, Germany, Ghana, Ireland, Italy, Japan, Kenya, Latvia, Lithuania, Luxembourg, Maldives, Mexico, Moldova, Mongolia, Netherlands, New Zealand, Norway, Poland, Slovakia, Spain, Sweden, Switzerland, Tunisia, the United Kingdom, and the United States. フリーダム・オンライン連合の36のメンバーは以下の通りである:  アルゼンチン、オーストラリア、オーストリア、カナダ、チリ、コスタリカ、チェコ、デンマーク、エストニア、フィンランド、フランス、グルジア、ドイツ、ガーナ、アイルランド、イタリア、日本、ケニア、ラトビア、リトアニア、ルクセンブルク、モルディブ、メキシコ、モルドバ、モンゴル、オランダ、ニュージーランド、ノルウェー、ポーランド、スロバキア、スペイン、スウェーデン、スイス、チュニジア、英国および米国。
As part of the second Summit for Democracy, additional governments that endorsed the Guiding Principles are:  Albania, Bulgaria, Croatia, Ecuador, Iceland, Kosovo, Malta, and North Macedonia. 第2回民主化サミットの一環として、指導原則を支持した追加政府は以下の通りである:  アルバニア、ブルガリア、クロアチア、エクアドル、アイスランド、コソボ、マルタ、北マケドニアである。

 

指導原則...

・[PDF]

20230405-03528

Guiding Principles on Government Use of Surveillance Technologies  政府による監視技術の使用に関する指導原則 
Purpose:  These voluntary and non-legally binding Guiding Principles illustrate how governments can maintain their commitment to respect and protect democratic principles, human rights, and fundamental freedoms, consistent with their international obligations and commitments, in the responsible use of surveillance technology.  These Guiding Principles are intended to prevent the misuse of surveillance technologies by governments and those acting on their behalf in three main areas of concern.    目的:この自主的で法的拘束力のない指導原則は、監視技術の責任ある使用において、政府がその国際的な義務や公約に合致した民主主義の原則、人権、基本的自由を尊重し保護するという公約をどのように維持できるかを説明する。 本指針は、政府および政府を代行する者による監視技術の悪用を防ぐことを目的としており、主に3つの懸念事項がある。  
Context:  The world has benefited from substantial technological progress in recent decades as the Internet has connected exponentially more people and devices.  When used responsibly and in a manner consistent with applicable international law, surveillance technologies can be important tools for protecting national security, public safety, and critical infrastructure and for conducting criminal investigations, thereby ensuring that people can enjoy their rights and liberties.  文脈:インターネットが飛躍的に多くの人々や機器を接続するようになり、世界はここ数十年で大幅な技術進歩の恩恵を受けてきた。 責任を持って、適用される国際法と一致する方法で使用される場合、監視技術は、国家の安全、公共の安全、重要なインフラを保護し、犯罪捜査を行うための重要なツールとなり、それによって人々がその権利と自由を享受できるようにすることができる。
At the same time, a growing number of governments misuse digital technologies to restrict access to information and the exercise of human rights and fundamental freedoms.  These actions often target journalists, human rights defenders, activists, workers and union leaders, political opposition members, or others perceived as dissidents and critics.  This can lead to the unequal enjoyment of human rights and fundamental freedoms, and disproportionately impacts women and girls in all their diversity as well as individuals or members of groups in marginalized or vulnerable situations that are already largely excluded from civic spaces, online and offline, such as Indigenous Peoples, LGBTI persons, persons belonging to national, racial, ethnic, religious, and linguistic minorities, and persons with disabilities.  In some cases, governments use surveillance technologies in ways that violate or abuse the right to be free from arbitrary or unlawful interference with one’s privacy, as set out in the Universal Declaration of Human Rights (UDHR) and the International Covenant on Civil and Political Rights (ICCPR).  In the worst cases, governments employ such products or services as part of a broad State apparatus of oppression that violates or abuses a number of human rights and fundamental freedoms including freedoms of expression, religion or belief, association, and peaceful assembly, rights to equality before the law and equal protection of the law without discrimination, and procedural rights, causing online and offline civic space to shrink.   一方で、デジタル技術を悪用して、情報へのアクセスや人権・基本的自由の行使を制限する政府も増えている。 こうした行為は、ジャーナリスト、人権擁護者、活動家、労働者、労働組合のリーダー、政治的野党メンバー、あるいは反体制派や批判者とみなされる人々をしばしば標的とします。 これは、人権と基本的自由の不平等な享受につながりかねず、あらゆる多様性を持つ女性と女児、また、先住民族、LGBTI当事者、国家、人種、民族、宗教、言語の少数派に属する者、障害者などのオンラインとオフラインの市民的空間からすでに大部分が排除されている周縁化または脆弱状況にある個人またはグループのメンバーに不釣り合いに影響を与えます。 世界人権宣言(UDHR)や市民的及び政治的権利に関する国際規約(ICCPR)に規定されている、プライバシーに対する恣意的または不法な干渉から自由である権利を侵害または乱用する形で、政府が監視技術を使用するケースもある。 最悪の場合、政府は、表現、宗教または信念、結社、平和的集会の自由、法の下の平等および差別のない法の平等な保護に対する権利、手続き上の権利を含む多くの人権および基本的自由を侵害し、オンラインおよびオフラインの市民空間の縮小を引き起こす広範な国家抑圧装置の一部としてこのような製品またはサービスを採用している。 
The responsible use of surveillance technologies aims to improve safety and security while respecting the rule of law, and to prevent and mitigate against any harmful consequences.  Governments should therefore take steps to ensure that the use of surveillance technologies is lawful and responsible, and also that there are safeguards in place that apply to the collection, handling, and disclosure of material obtained using these technologies in order to protect individual privacy, personal data, and human rights and fundamental freedoms, and to foster transparency, accountability, and civic participation, while effectively and appropriately pursuing legitimate law enforcement, public safety, and national security objectives.   監視技術の責任ある使用は、法の支配を尊重しつつ、安全と安心を向上させ、あらゆる有害な結果を防止し緩和することを目的としている。 したがって、政府は、正当な法執行、公共の安全および国家安全保障の目的を効果的かつ適切に追求しつつ、個人のプライバシー、個人データ、人権および基本的自由を保護し、透明性、説明責任および市民参加を促進するために、監視技術の使用が適法かつ責任あるものであり、さらにこれらの技術を用いて得られた資料の収集、取り扱いおよび開示に適用されるセーフガードが存在することを確保する措置をとるべきである。 
“Surveillance technologies” is a broad concept often defined and regulated in legislation.   「監視技術」は、しばしば法律で定義され規制される広範な概念である。 
Technologies used for surveillance can refer to products or services that can be used to detect, monitor, intercept, collect, exploit, preserve, process, analyze, invasively observe, and/or retain sensitive data, personally identifying information, including biomarkers, or communications concerning individuals or groups.  These technologies can be used lawfully and legitimately with appropriate safeguards, though they can also be used in an unacceptable manner by governments.  These principles apply to the use of surveillance technologies in three ways that are identified below as being of concern.  These Guiding Principles are not intended to apply to activity that does not fall within an area of concern.  監視に使用される技術とは、個人または集団に関する機密データ、バイオマーカーを含む個人識別情報、または通信を検出、監視、傍受、収集、利用、保存、処理、分析、侵襲的観察、および/または保持するために使用できる製品またはサービスを指すことがある。 これらの技術は、適切な保護措置により合法的かつ適法に使用することができるが、政府によって容認できない方法で使用されることもある。 これらの原則は、以下に懸念される3つの方法で監視技術を使用する場合に適用されます。 本指針は、懸念事項に該当しない活動に適用することを意図したものではない。
Scope: These Guiding Principles aim to prevent or mitigate three areas of concern:   適用範囲:本指針は、3つの懸念事項を防止または軽減することを目的としている:  
1)    The use of Internet controls to suppress human rights and fundamental freedoms and unjustly limit access to information;   1) 人権と基本的自由を抑圧し、情報へのアクセスを不当に制限するためのインターネット規制の使用;  
2)    Pairing advanced video surveillance with artificial intelligence (AI)-driven tools to persistently identify and monitor people without an appropriate legal basis; and  2) 高度なビデオ監視と人工知能(AI)駆動のツールを組み合わせて、適切な法的根拠なしに人々を持続的に特定し監視すること。
3)    The use of big data analytic tools to support the discriminatory enforcement of laws and to target individuals or members of groups in marginalized or vulnerable situations, journalists, human rights defenders, workers and union leaders, dissidents, and other perceived government opponents as a means to enforce social and political control.  3) 法律の差別的な執行を支援し、社会的・政治的統制を実施する手段として、社会から疎外されているか脆弱な状況にある個人または集団のメンバー、ジャーナリスト、人権擁護者、労働者や組合リーダー、反体制派、その他政府の反対者と思われる人々を標的とするためのビッグデータ分析ツールの利用である。
Governments should not use these surveillance technologies to unjustifiably interfere with freedom of expression; discourage the exercise of human rights and fundamental freedoms; perpetrate technology-facilitated gender-based violence or discrimination online and offline; perpetuate harmful or discriminatory norms and stereotypes; or limit bodily autonomy through any means, including but not limited to unlawful collection or misuse of personal health data, including reproductive and sexual data, or distribution of intimate images.    政府は、これらの監視技術を、表現の自由を不当に妨げたり、人権や基本的自由の行使を抑制したり、技術によって促進されたオンラインおよびオフラインのジェンダーに基づく暴力や差別を行ったり、有害または差別的な規範や固定観念を永続させたり、生殖および性的データを含む個人の健康データの違法な収集や悪用、親密な画像の配信を含むがこれに限らないいかなる手段を通じて身体の自律性を制限したりするために使用してはならない。  
These Guiding Principles represent common practices and principles for which the implementation can vary across nations depending on legal frameworks and systems, with some nations providing even more robust safeguards.  Similar non-legally binding instruments that articulate the responsible use of surveillance tools and data include the OECD Recommendation on Artificial Intelligence (AI), OECD Privacy Guidelines, OECD Declaration on Government Access to Personal Data Held by Private Sector Entities, the Global Privacy Assembly resolution on Government Access to Data, Privacy and the Rule of Law, the UNESCO Recommendation on the Ethics of Artificial Intelligence, and the work of the Freedom Online Coalition.     これらの指導原則は、共通の慣行と原則を示すものであり、その実施は法的枠組みや制度によって国によって異なり、さらに強固なセーフガードを提供する国もある。 監視ツールやデータの責任ある利用を明示する同様の法的拘束力のない文書としては、人工知能(AI)に関するOECD勧告、OECDプライバシーガイドライン、民間部門が保有する個人データへの政府アクセスに関するOECD宣言、データへの政府アクセス、プライバシーおよび法の支配に関する世界プライバシー総会決議、人工知能の倫理に関するUNESCO勧告、およびフリーダムオンライン連合(Freedom Online Coalition)の取り組みがある。   
Principles:  The following principles are intended to guide the responsible use of surveillance technology to prevent the misuse in the three aforementioned areas of concern.  Some states may choose to implement these principles in other areas as well.    原則:以下の原則は、前述の3つの懸念分野における悪用を防ぐために、監視技術の責任ある使用を導くことを意図している。 州によっては、他の分野でもこれらの原則を実施することを選択することができる。  
•       Appropriate Legal Protections:  The use of surveillance technologies should be carried out in accordance with states’ domestic law and international obligations and commitments, consistent with democratic values and the rule of law, and may incorporate principles such as lawfulness, necessity, proportionality, or reasonableness. Governments should not use surveillance technologies in a manner that violates human rights or undermines fundamental freedoms.  Governments should implement mechanisms that prevent and address violations of applicable domestic and international law, including international human rights law.  Effective oversight, transparency, and redress processes should be clearly defined, reviewed for unintended consequences or misapplication, consistently practiced, and fairly enforced.  Any person claiming such redress should have access to appropriate and effective judicial or non-judicial remedies.  In such scenarios, it is especially important to ensure that systemic oversight and accountability mechanisms have sufficient authority and resources to identify and remedy possible abuses.  適切な法的保護:  監視技術の使用は、国家の国内法および国際的な義務や約束に従って、民主主義の価値と法の支配に合致するように実施されるべきであり、合法性、必要性、比例性、合理性などの原則を取り入れることができる。政府は、人権を侵害し、または基本的自由を損なうような方法で監視技術を使用すべきではない。 政府は、国際人権法を含む適用される国内法および国際法の違反を防止し、対処するためのメカニズムを導入すべきである。 効果的な監視、透明性、および救済のプロセスは、明確に定義され、意図しない結果や誤った適用がないか検討され、一貫して実践され、公正に執行されるべきである。 このような救済を求める者は、適切かつ効果的な司法または非司法的救済を受けることができるべきである。 このようなシナリオでは、制度的な監視と説明責任のメカニズムが、起こりうる乱用を特定し是正するための十分な権限と資源を持つことを保証することが特に重要である。
•       Nondiscrimination:  In accordance with the prohibition on discrimination, surveillance technology should not be used to target individuals or members of a group solely based on race, color, gender, ethnicity, indigeneity, language, religion, age, national origin, disability, genetic information, social origin, sexual orientation, political opinion, or any other classification protected by law or on other grounds inconsistent with applicable domestic law or international obligations and commitments.  Governments should also strive to mitigate disparate impact from surveillance technologies on the basis of the aforementioned attributes.  Where a surveillance process incorporates an automated technology system, such as an AI system, the development of the technological system should employ appropriate, justifiable, equitable, transparent, and understandable design practices.  Efforts to prevent and mitigate unintended bias and disparate impact should begin in the design and development stages.  Deployed systems should be routinely evaluated for discriminatory effect, unintended bias, and disparate impact, noting that these cause and perpetuate disproportionate harm to persons or groups in marginalized or vulnerable situations, especially those facing multiple and intersecting forms of discrimination, and to ensure that outcomes are consistent with applicable law and policy.    無差別:  差別の禁止に従い、監視技術は、人種、肌の色、性別、民族性、先住民族、言語、宗教、年齢、国籍、障害、遺伝情報、社会的出身、性的指向、政治的意見、その他法律で保護される分類、または適用法または国際的な義務や約束と矛盾するその他の理由にのみ基づいて、個人またはグループのメンバーを標的とするために使用されてはならない。 また、政府は、前述の属性に基づく監視技術による格差のある影響を緩和するよう努めなければならない。 監視プロセスがAIシステムなどの自動化された技術システムを組み込んでいる場合、技術システムの開発は、適切、正当、公平、透明、かつ理解しやすい設計慣行を採用すべきである。 意図しないバイアスや格差のある影響を防止・緩和するための努力は、設計・開発段階から始めるべきである。 配備されたシステムは、差別的効果、意図しないバイアス、および格差のある影響について日常的に評価されるべきであり、これらは、周縁化された、または脆弱な状況にある人またはグループ、特に複数の、交差する形態の差別に直面している人に不釣り合いな被害を引き起こし持続させることに留意し、その結果が適用法と政策に一致することを確認する。
•       Oversight and Accountability:  Governments should ensure the operation of surveillance technologies is governed in a manner that proactively mitigates the risks of misuse and enables appropriate access to judicial or administrative review.  Governments should adopt appropriate domestic oversight mechanisms, including human oversight, that help ensure compliance with applicable international human rights obligations as well as applicable domestic laws, procedures, and policies.  In developing and applying oversight mechanisms, governments are encouraged to seek and consider feedback from relevant stakeholders, consistent with law enforcement and national security needs, including civil society, technologists, academics, the private sector, and victims or survivors of unjustified state surveillance, to ensure lawful and responsible use of surveillance technology.  Governments are encouraged to document the uses of surveillance technologies through logs and records in order to facilitate meaningful oversight and monitoring of outcomes and to foster procedural fairness where appropriate.     監視と説明責任:政府は、監視技術の運用が、誤用のリスクを積極的に軽減し、司法または行政審査への適切なアクセスを可能にする方法で管理されることを保証するべきである。 政府は、適用される国際人権義務ならびに適用される国内法、手続きおよび政策の遵守を確保するのに役立つ、人的監視を含む適切な国内監視メカニズムを採用するべきである。 監視メカニズムの開発および適用において、政府は、監視技術の合法的かつ責任ある使用を確保するために、市民社会、技術者、学者、民間部門、および不当な国家監視の被害者または生存者を含む、法執行および国家安全のニーズと一致する関連利害関係者からのフィードバックを求め、検討することが奨励される。 政府は、意味のある監視と結果のモニタリングを促進し、適切な場合には手続き上の公正さを促進するために、ログと記録を通じて監視技術の使用を文書化することが奨励される。
•       Transparency:  Governments should ensure transparency on the applicable general legal framework supporting the use of surveillance technologies.  Governments should clearly define the legal basis for using surveillance technology with transparency on the safeguards in place to prevent abuse or discriminatory uses.  This may include how such technology works, the nature and duration of potential impacts, how negative impacts are mitigated, the frequency of use, and how data processing is consistent with applicable legal obligations.  Procurement policies should be transparent and require, consistent with the UN Guiding Principles on Business and Human Rights, that vendors providing surveillance technologies to governments develop internal policies and processes consistent with the procuring government’s domestic and international legal obligations. Transparency mechanisms should exist and take into account the need to balance the interest of individuals and the public to be informed with the need to prevent the disclosure of information that would harm law enforcement, national security, or public safety objectives.  Governments should consider how they can provide meaningful transparency, including effective notice to possible subjects of surveillance, while balancing these legitimate imperatives.  透明性:  政府は、監視技術の使用を支援する適用可能な一般的な法的枠組みに関する透明性を確保すべきである。 政府は、乱用や差別的な使用を防止するために設けられているセーフガードに関する透明性をもって、監視技術を使用する法的根拠を明確に定義すべきである。 これには、当該技術の仕組み、潜在的な影響の性質と期間、悪影響を軽減する方法、使用頻度、データ処理が適用される法的義務に合致する方法などが含まれる場合がある。 調達方針は透明であるべきであり、国連「ビジネスと人権に関する指導原則」に沿って、政府に監視技術を提供するベンダーが、調達する政府の国内および国際的な法的義務に合致した内部方針およびプロセスを開発することを求める。透明性メカニズムが存在し、個人および国民が情報を得る利益と、法執行、国家安全、または公共の安全の目的を害する情報の開示を防止する必要性とのバランスを考慮する必要がある。 政府は、これらの合法的な要請のバランスを取りながら、監視の対象となりうる人々への効果的な通知を含む、有意義な透明性をどのように提供できるかを検討するべきである。
•       Limitations on Data Scope and Collection:  The quantity and nature of information collected through surveillance technology and the timeframe for which that data is retained should be limited to what is relevant or necessary and appropriate to achieve specified and legitimate objectives of public interest and be consistent with applicable domestic and international law, including rules on safeguarding personal information and the confidentiality of communications.  Within this context, biometric tools such as fingerprint scans, DNA analytics, facial recognition, speech recognition, gait recognition, and iris scans should be used only when lawful and appropriate in the circumstances balancing the interests at stake, giving due regard to the context of collection and use.    データの範囲と収集に関する制限:  監視技術を通じて収集される情報の量と性質、及びそのデータが保持される期間は、公共の利益に関する特定かつ正当な目的を達成するために関連するもの、又は必要かつ適切なものに限定されるべきであり、個人情報の保護及び通信の秘密に関する規則を含む適用される国内及び国際法に合致するものである。 この文脈の中で、指紋スキャン、DNA 分析、顔認識、音声認識、歩行認識、虹彩スキャンなどの生体認証ツールは、収集と使用の背景を十分に考慮し、問題となっている利益のバランスを考慮した状況で、合法かつ適切な場合にのみ使用する必要がある。  
•       Secure Post-Acquisition Data Handling:  Data acquired by governments through the use of surveillance technology should be subject to procedures appropriately ensuring its use, processing, retention, aggregation, and dissemination are consistent with the purpose for which it was acquired.  Personal data acquired or generated through the use of surveillance technology, including disparate personal data elements that are not sensitive separately but become sensitive once combined, should only be shared in compliance with applicable laws, policies, and regulations.  Private sector entities participating in the acquisition, generation, or processing of surveillance data through a government contract should be subject to appropriate safeguards, including requirements for disclosure of breaches, reporting misuse, penalties for misuse of data by public or private actors, whistleblower protections, and reasonable data deletion schedules.    取得後の安全なデータ処理:  政府が監視技術の使用を通じて取得したデータは、その使用、処理、保持、集計、および普及が、取得された目的に合致していることを適切に保証する手続きの対象となるべきものである。 監視技術の使用を通じて取得または生成された個人データは、個別にはセンシティブでないが組み合わされるとセンシティブになる異種の個人データ要素を含め、適用法、政策および規制を遵守した場合にのみ共有されるべきである。 政府との契約を通じて監視データの取得、生成、処理に参加する民間企業は、違反の開示、誤用の報告、官民の関係者によるデータの誤用に対する罰則、内部告発者の保護、合理的なデータ削除スケジュールの要件を含む、適切な保護措置の対象となるべき。
•       Respect for Human Rights, Including Privacy:  Governments should work to ensure that the surveillance technologies they utilize are designed, developed, and deployed with appropriate mechanisms in place to safeguard human rights and fundamental freedoms, including the right to be free from unlawful or arbitrary interference with one’s privacy, and respect for bodily autonomy, including of women and girls in all their diversity, and LGBTI persons.  Such designs, development, and deployments should, where appropriate and consistent with applicable international human rights obligations and commitments, incorporate data retention and minimization procedures, which might include timed deletion, based on what is necessary and appropriate to achieve legitimate objectives, and appropriate privacy enhancing technologies.  プライバシーを含む人権の尊重:  政府は、利用する監視技術が、違法または恣意的なプライバシーへの干渉から自由である権利、およびあらゆる多様性を有する女性および少女、LGBTI者を含む身体の自律性の尊重を含む人権および基本的自由を保護するための適切なメカニズムとともに設計、開発、および配備されることを確保するために努力するべきである。 このような設計、開発及び配備は、適切な場合、及び適用される国際人権義務及び公約と一致する場合、正当な目的を達成するために必要かつ適切なものに基づき、時間差消去を含み得るデータ保持及び最小化手順、並びに適切なプライバシー強化技術を取り入れるべきである。
•       Integrity:  Governments should ensure that their surveillance technologies use secure equipment and undergo testing and evaluation to demonstrate that they are effective, safe, compliant with applicable law, and mitigate adverse outcomes.  Governments should strive for testing conditions in a modelled environment to mirror as closely as possible the conditions in which the system is anticipated to be deployed or has been deployed. This might not always be possible given the unknown characteristics of the system where these technologies may be deployed.  Such testing should take into account both the specific technology used and the roles of any human operators or reviewers.  They should be regularly assessed to ensure their continued integrity for the purpose.    完全性:  政府は、監視技術が安全な機器を使用し、効果的であること、安全であること、適用法に準拠していること、有害な結果を軽減することを実証するための試験と評価を受けることを保証すべきである。 政府は、モデル化された環境における試験条件が、システムが配備されることが予想される、または配備されたことのある条件をできるだけ忠実に反映するように努めるべきである。これらの技術が導入される可能性のあるシステムの未知の特性を考慮すると、これは必ずしも可能ではないかもしれない。 このようなテストは、使用される特定のテクノロジーと、人間のオペレーターやレビュアーの役割の両方を考慮する必要がある。 また、目的に対する完全性を継続的に確保するため、定期的に評価する必要がある。
•       Training:  Government officials involved in the policy development, procurement, operation, oversight, and accountability of surveillance systems should be well informed on the appropriate and lawful use and technical limitations of the technology and data protection best practices, including on matters related to privacy and other human rights.  They should also have ongoing access to legal advice.  Governments should aim for detailed and recurring training on lawful and responsible use of surveillance technology for end users, including users of associated data, and access to appropriate advice on ethics.  Governments could consider peer-to-peer learning mechanisms to prevent a continuation of any problematic practices as appropriate.      訓練:  監視システムの政策立案、調達、運用、監視及び説明責任に関与する政府関係者は、プライバシー及びその他の人権に関連する事項を含む、技術の適切かつ合法的な使用及び技術的限界並びにデータ保護のベストプラクティスについて十分に知らされていなければならない。 また、法的助言に継続的にアクセスできるようにすべきである。 政府は、関連データの利用者を含むエンドユーザーに対して、監視技術の合法的かつ責任ある使用に関する詳細かつ定期的な研修と、倫理に関する適切なアドバイスへのアクセスを目指すべきである。 政府は、適切な場合には、問題のある慣行の継続を防止するために、ピアツーピアの学習メカニズムを検討することができる。
These Guiding Principles have been developed through consensus by the Freedom Online Coalition’s 36 Member States, which are dedicated to the support of Internet freedom and the worldwide protection of human rights and fundamental freedoms online.   この指導原則は、インターネットの自由を支援し、オンラインで人権と基本的自由を世界的に保護することを目的とするフリーダムオンライン連合の36の加盟国による合意によって作成された。 

 

 

そして技術の拡散防止...

・2023.03.30 Export Controls and Human Rights Initiative Code of Conduct Released at the Summit for Democracy

Export Controls and Human Rights Initiative Code of Conduct Released at the Summit for Democracy 輸出管理・人権イニシアティブの行動規範を民主化サミットで発表
The United States continues to put human rights at the center of our foreign policy.  The Export Controls and Human Rights Initiative  – launched at the first Summit for Democracy as part of the Presidential Initiative for Democratic Renewal – is a multilateral effort intended to counter state and non-state actors’ misuse of goods and technology that violate human rights.  During the Year of Action following the first Summit, the United States led an effort to establish a voluntary, nonbinding written code of conduct outlining political commitments by Subscribing States to apply export control tools to prevent the proliferation of goods, software, and technologies that enable serious human rights abuses.  Written with the input of partner countries, the Code of Conduct complements existing multilateral commitments and will contribute to regional and international security and stability. 米国は、人権を外交政策の中心に据え続けている。 輸出規制と人権イニシアティブは、第1回民主化サミットで民主的再生のための大統領イニシアティブの一環として発足したもので、国家や非国家主体が人権を侵害する商品や技術を悪用することに対抗するための多国間努力である。 第1回サミット後の「行動年」において、米国は、深刻な人権侵害を可能にする商品、ソフトウェア、技術の拡散を防ぐために輸出管理ツールを適用するという、加入国による政治的コミットメントを概説する自主的で拘束力のない書面による行動規範の制定に向けた取り組みを主導した。 パートナー国の意見を取り入れて作成されたこの行動規範は、既存の多国間公約を補完し、地域および国際的な安全保障と安定に貢献する。
In addition to the United States, the governments that have endorsed the voluntary Code of Conduct are: Albania, Australia, Bulgaria, Canada, Costa Rica, Croatia, Czechia, Denmark, Ecuador, Estonia, Finland, France, Germany, Japan, Kosovo, Latvia, The Netherlands, New Zealand, North Macedonia, Norway, Republic of Korea, Slovakia, Spain, and the United Kingdom.   The Code of Conduct is open for all Summit for Democracy participants to join. 米国に加え、自主的な行動規範を承認した政府は以下の通りである: アルバニア、オーストラリア、ブルガリア、カナダ、コスタリカ、クロアチア、チェコ、デンマーク、エクアドル、エストニア、フィンランド、フランス、ドイツ、日本、コソボ、ラトビア、オランダ、ニュージーランド、北マケドニア、ノルウェー、韓国、スロバキア、スペイン、そしてイギリスである。   行動規範は、サミットフォーデモクラシーの参加者全員が参加できるようになっている。
The Code of Conduct calls for Subscribing States to: 行動規範は、参加国に対して以下のことを求めている:
・Take human rights into account when reviewing potential exports of dual-use goods, software, or technologies that could be misused for the purposes of serious violations or abuses of human rights. ・深刻な人権侵害や濫用の目的で悪用される可能性のあるデュアルユース商品、ソフトウェア、技術の輸出の可能性を検討する際には、人権を考慮すること。
・Consult with the private sector, academia, and civil society representatives on human rights concerns and effective implementation of export control measures. ・人権に関する懸念や輸出管理措置の効果的な実施について、民間企業、学術界、市民社会の代表と協議する。
・Share information with each other on emerging threats and risks associated with the trade of goods, software, and technologies that pose human rights concerns. ・人権上の懸念をもたらす商品、ソフトウェア、技術の取引に関連する新たな脅威やリスクについて、相互に情報を共有する。
・Share best practices in developing and implementing export controls of dual-use goods and technologies that could be misused, reexported, or transferred in a manner that could result in serious violations or abuses of human rights. ・人権の深刻な侵害や濫用につながりかねない方法で誤用、再輸出、譲渡される可能性のあるデュアルユース商品及び技術の輸出規制の策定と実施におけるベストプラクティスを共有する。
・Encourage their respective private sectors to conduct due diligence in line with national law and the UN Guiding Principles on Business and Human Rights or other complementing international instruments, while enabling non-subscribing states to do the same. ・自国の民間部門が国内法及び国連「ビジネスと人権に関する指導原則」又はその他の補完的な国際文書に沿ったデュー・ディリジェンスを行うことを奨励し、同時に非締約国が同様のことを行うことを可能にする。
・Aim to improve the capacity of States that have not subscribed to the Code of Conduct to do the same in accordance with national programs and procedures. ・行動規範に加入していない国が、国内プログラムや手続きに従って同様のことを行う能力を向上させることを目指す。
We will build on the initial endorsements of the ECHRI Code of Conduct by States at the Summit for Democracy and seek additional endorsements from other States.  We will convene a meeting later this year with Subscribing States to begin discussions on implementing the commitments in the Code of Conduct.  We will also continue discussions with relevant stakeholders including in the private sector, civil society, academia, and the technical community. 我々は、民主主義のためのサミットにおける各国によるECHRI行動規範の最初の支持を基礎とし、他の国からの追加の支持を求める。 我々は、行動規範の約束の実施に関する議論を開始するために、今年後半に加入国との会議を開催する。 また、民間企業、市民社会、学術界、技術界を含む関連するステークホルダーとの議論も継続する予定である。
Find the text of the full code of conduct [91 KB]. 行動規範の全文[91 KB]。

 

・[PDF]

20230405-04258

 

Code of Conduct for Enhancing Export Controls of Goods and Technology That Could be Misused and Lead to Serious Violations or Abuses of Human Rights  悪用され、深刻な人権侵害や虐待につながる可能性のある商品・技術の輸出管理を強化するための行動規範 
We, the Subscribing States,  我々、加入国は、 
Recognizing that advanced goods and technologies are a vital part of global economic growth and communication; that they help people become more interconnected and share knowledge, and can help advance societal opportunity, freedom, and the promotion and protection of human rights and democracy; that there are legitimate law enforcement uses of these technologies with appropriate legal frameworks in place; and that properly regulated trade in these technologies, and their responsible use, has the potential to positively impact the lives of people throughout the world;  先進的な商品及び技術は、世界の経済成長及びコミュニケーションに不可欠なものであり、人々がより相互接続し、知識を共有することを助け、社会の機会、自由、人権及び民主主義の促進及び保護を促進するのに役立つものであり、適切な法的枠組みが存在するこれらの技術の正当な法執行使用が存在し、これらの技術における適切に規制された取引及びその責任ある使用が、世界中の人々の生活にプラスの影響を与える可能性を秘めていると認識し; 
Expressing concern that some state and non-state actors are increasingly misusing surveillance tools and other technologies in ways that can lead to serious violations or abuses of human rights, including acts to censor political opposition and track dissidents, journalists, human rights defenders, other members of civil society, or individuals belonging to vulnerable groups;  一部の国家及び非国家主体が、政治的反対を検閲し、反体制派、ジャーナリスト、人権擁護者、市民社会の他のメンバー、又は脆弱な集団に属する個人を追跡する行為を含む、人権の重大な侵害又は乱用につながり得る方法で監視ツール及びその他の技術をますます誤用していることに懸念を表明し; 
Believing such misuse is contrary to our shared values, raises moral concerns amongst our citizens, and risks undermining the benefits that advanced technologies bring to the world and which they may bring in the future;  このような誤用は、我々の共有する価値観に反し、我々の市民の間に道徳的な懸念を生じさせ、先端技術が世界にもたらす利益及び将来もたらすかもしれない利益を損なう危険があると確信する; 
Resolve to establish and adopt this voluntary Code of Conduct, which outlines political commitments to apply export controls to ensure that relevant goods and technologies are used in compliance with international human rights law and not misused to unlawfully or arbitrarily interfere with privacy or to otherwise commit serious violations or abuses of human rights.  The Code of Conduct complements existing multilateral commitments and will contribute to regional and international security and stability.  この自主的な行動規範は、関連する商品や技術が国際人権法を遵守して使用され、違法または恣意的にプライバシーを妨害したり、その他人権の重大な侵害や乱用を行うために悪用されないように、輸出管理を適用するための政治的コミットメントを概説するものであり、制定・採択することに決議する。 行動規範は、既存の多国間のコミットメントを補完し、地域および国際的な安全保障と安定に貢献する。
Commit to:  次のことにコミットする: 
1.     Make efforts to ensure, consistent with applicable law and existing multilateral commitments, that our domestic legal, regulatory, policy and enforcement tools are appropriate and updated to control the export of dual-use goods or technologies to endusers that could misuse them for the purposes of serious violations or abuses of human rights.  1.     適用法及び既存の多国間公約と整合的に、人権に対する深刻な侵害又は濫用の目的で悪用される可能性のあるエンドユーザーに対するデュアルユース商品又は技術の輸出を管理するために、国内の法律、規制、政策及び執行手段が適切かつ更新されていることを確保するよう努力する。
2.     Engage with the private sector, academia, researchers, technologists, members of civil society, including those from vulnerable groups, in Subscribing States for consultations concerning these issues and concerning effective implementation of export control measures.  2.     これらの問題及び輸出管理措置の効果的な実施に関する協議のために、加入国の民間部門、学術界、研究者、技術者、脆弱な集団の人々を含む市民社会のメンバーとの関わりを持たせる。
3.     Share information regarding threats and risks associated with such tools and technologies with other Subscribing States on an ongoing basis, especially as these technologies develop.  3.     当該ツールや技術に関連する脅威やリスクに関する情報を、特にこれらの技術が発展するにつれて、継続的に他の加入国と共有する。
4.     Share, develop and implement best practices among Subscribing States to control exports of such dual-use goods and technologies to state and non-state actors that pose an unacceptable risk of human rights violations or abuses; seek assurances from recipients that such exported items will not be misused, reexported, or transferred in a manner that could result in serious violations or abuses of human rights; and require provision of sufficient relevant information to enable export control authorities to assess the risk that such exported items might be used in a manner inconsistent with the protection of human rights.  4.     人権侵害や虐待の許容できないリスクをもたらす国家や非国家主体への当該デュアルユース商品や技術の輸出を管理し、当該輸出品が人権の重大な侵害や虐待をもたらすような方法で誤用、再輸出、譲渡されないという保証を取得者に求め、当該輸出品が人権の保護と矛盾する方法で使用されるかもしれないというリスクを輸出管理機関が評価できるように十分な関連情報の提供を要求し、加入国間のベストプラクティスを共有、開発、導入する。
5.     Consult with industry and promote non-state actors’ implementation of human rights due diligence policies and procedures in line with the UN Guiding Principles on Business and Human Rights or other complementing international instruments, and share information consistent with national law with industry to facilitate due diligence practices when implementing export control measures.    5.     産業界と協議し、国連「ビジネスと人権に関する指導原則」または他の補完的な国際文書に沿った人権デューディリジェンス方針および手順の非国家主体による実施を促進し、輸出管理措置の実施時にデューディリジェンスの実施を促進するために国内法に合致した情報を産業界と共有する。  
6.     Aim to improve the capacity of States that have not subscribed to the Code of Conduct to do the same in accordance with national programs and procedures, and encourage other States to join, or act consistent with, this Code of Conduct.  6.     行動規範に加入していない国が、国内プログラムや手続きに従って行動する能力を向上させることを目指し、他の国がこの行動規範に加入すること、あるいは行動規範に沿った行動をとることを奨励する。
Additionally, we commit to:  さらに、我々は次のことを約束する: 
1.     Hold ongoing meetings, either annually or as otherwise agreed by the Subscribing States.  1.     年1回または加入国の合意により、継続的に会議を開催する。
2.     Use these meetings to seek to further develop the workings of the Code of Conduct so as to:  2.     これらの会合は、行動規範の活動をさらに発展させるために利用され、次のようなことを行う: 
a.     Establish procedures for the voluntary exchange of relevant information;  a.     関連する情報を自主的に交換するための手続きを確立する; 
b.     Establish or maintain appropriate mechanisms to address policy questions without prejudice to relevant export control-related frameworks;  b.     関連する輸出管理関連の枠組みを損なうことなく、政策的な問題に対処するための適切なメカニズムを確立し、または維持する; 
c.     Designate a Subscribing State to serve as the central contact for the receipt of questions and the distribution of Code of Conduct and related best practices, or to select a new central contact.  c.     質問の受付、行動規範及び関連するベストプラクティスの配布のための中央連絡先となる加入国を指定する、又は新たな中央連絡先を選定する。
d.     Designate a national point of contact for inquiries about the Subscribing State’s domestic export control procedures and implementation of this Code of Conduct.  d.     加入国の国内輸出管理手続き及び本行動規範の実施に関する問い合わせのための国内窓口を指定する。
e.     Discuss human rights concerns relating to export license applications, including for items controlled by the four multilateral export control regimes;  e.     4つの多国間輸出管理体制によって管理される品目を含む、輸出許可申請に関連する人権上の懸念について議論する; 
f.      Share information/views on relevant technologies for this initiative.  f.      このイニシアティブに関連する技術に関する情報・見解を共有する。
3.     Identify collaboration opportunities with multilateral export control regimes and related initiatives, as appropriate.  3.     多国間輸出管理体制や関連イニシアティブとの協力の機会を適宜確認する。
Note: This document does not specifically mention any of the multilateral export control regimes, such as the Wassenaar Arrangement, as this initiative is open for all States to subscribe to, regardless of whether or not they are a participating state in any of the regimes.  注:本イニシアチブは、ワッセナー・アレンジメントなどの多国間輸出管理レジームの参加国であるか否かにかかわらず、すべての国が加入することができるため、本文書では特に言及していない。

 

民間企業のコミット...

・2023.03.29 Private Sector Commitments to Advance Democracy

Private Sector Commitments to Advance Democracy 民主主義を推進するための民間企業のコミットメント
In the run-up to the Summit for Democracy, the U.S. government issued a Call to Advance Democracy.  The call focused on four areas aligned with the Presidential Initiative on Democratic Renewal:  advancing technology for democracy; fighting corruption; protecting civic space and human rights defenders; and advancing labor rights. 民主化サミットの開催に先立ち、米国政府は「民主化推進コール」を発表した。  この呼びかけは、「民主主義の再生に関する大統領イニシアティブ」に沿った4つの分野、すなわち、民主主義のためのテクノロジーの推進、汚職との戦い、市民的空間と人権擁護者の保護、労働権の推進に焦点を当てている。
We are pleased to share a variety of commitments that private sector actors have made in response to the Call or in connection with the Summit for Democracy.  Companies – like governments – can do more to support democracy and human rights globally, especially at a time when malign actors often exploit corporations’ products to systematically undermine democracy around the world.  The steps below could be helpful in addressing important challenges if implemented in earnest and matched with additional action. 我々は、この呼びかけに応じ、あるいは民主化サミットに関連して、民間セクターの関係者が行ったさまざまなコミットメントを共有できることを嬉しく思う。  特に、悪意ある行為者がしばしば企業の製品を利用して世界中の民主主義を組織的に弱体化させている現在、企業も政府と同様に、世界の民主主義と人権を支援するためにもっと努力することができる。  以下のステップは、本格的に実施され、追加的な行動と一致すれば、重要な課題への対応に役立つと思われる。
Please note that the following information was provided by the companies directly.  The Department does not necessarily endorse the views or information provided. なお、以下の情報は、各企業から直接提供された。  当省は、提供された見解や情報を必ずしも支持するものではない。
I. Advancing Technology for Democracy and Countering the Misuse of Technology I. 民主主義のためのテクノロジーの進化とテクノロジーの悪用への対抗
Over 150 Companies Endorse Principles to Counter Rising Threat Posed by Cyber Mercenaries, spearheaded by Microsoft, Meta, Cisco, and TrendMicro マイクロソフト、Meta、シスコ、トレンドマイクロが提唱する「サイバー傭兵による脅威の増大に対処するための原則」に150社以上が賛同
Over 150 companies that have come together through the Cybersecurity Tech Accord have endorsed a set of principles, which were spearheaded by Microsoft, Meta, Cisco, and TrendMicro with additional support from Google and Apple, focusing on minimizing the risks associated with commercial spyware.  These principles recommend that companies take specific steps to counter the misuse of their products and services to harm people, actively counter the “cyber mercenary” commercial spyware market, invest in cybersecurity awareness, and do everything possible to protect customers, users and the general public.  Additional companies are encouraged to sign onto the principles in the coming days and weeks. この原則は、Microsoft、Meta、Cisco、TrendMicroが主導し、GoogleとAppleが追加支援したもので、商用スパイウェアに関連するリスクを最小限に抑えることに焦点を当てている。 これらの原則は、企業が自社の製品やサービスを悪用して人々に危害を加えることに対抗するための具体的な手段を講じること、「サイバー傭兵」と呼ばれる商用スパイウェア市場に積極的に対抗すること、サイバーセキュリティの啓発に投資すること、顧客、ユーザー、一般市民を保護するためにあらゆる手段を尽くすことを推奨している。 今後、数日から数週間のうちに、さらに多くの企業がこの原則に署名することが望まれる。
Cloudflare:  Working with Researchers to Better Document Internet Censorship and Shutdowns and Engaging Civil Society on Internet Protocols Cloudflare:  研究者と協力してインターネット検閲と閉鎖の記録を改善し、インターネットプロトコルに関する市民社会を関与させる。
Cloudflare commits to working with researchers to share data about Internet shutdowns and selective Internet traffic interference and to make the analysis of this data public and accessible. The Cloudflare Network includes 285 locations in over 100 countries, interconnects with over 11,500 networks globally, and serves a significant portion of global Internet traffic. Cloudflare provides alerts and data to help organizations like Access Now’s KeepitOn coalition, the Freedom Online Coalition, the Internet Society, and OONI monitor Internet censorship and shutdowns around the world. Cloudflareは、研究者と協力してインターネット遮断や選択的インターネットトラフィック干渉に関するデータを共有し、このデータの分析を公開しアクセスできるようにすることを約束する。Cloudflare Networkは、100カ国以上に285の拠点を持ち、全世界で11、500以上のネットワークと相互接続し、世界のインターネットトラフィックの大部分にサービスを提供している。Cloudflareは、Access NowのKeepitOn連合、Freedom Online Coalition、Internet Society、OONIなどの組織が世界中のインターネット検閲やシャットダウンを監視するための警告やデータを提供している。
In addition, Cloudflare commits to meaningfully consult civil society and human rights experts on standards and technologies to ensure future development and application of privacy-enhancing technologies and protocols are consistent with human rights principles and account for human rights impacts. さらに、プライバシー強化技術やプロトコルの今後の開発や適用が、人権の原則に合致し、人権への影響を考慮したことを保証するために、Cloudflareは標準や技術について市民社会や人権の専門家に有意義な協議を行うことを約束する。
Google:  Committing $2 million and 100,000 Security Keys to Support Human Rights Defenders グーグル  人権擁護者を支援するために200万ドルと10万個のセキュリティキーを提供することを約束する。
Human rights defenders around the globe play a critical role in the promotion and support of democratic institutions.  They are consistently targeted for harassment and other attacks, threatening freedom of expression, privacy, and civic space.  Building on the work of its Human Rights Program, Google.org is launching a $2 million fund to support human rights defenders.  This $2 million new fund will support digital security and safety helplines, which provide help to human rights defenders and those vulnerable to doxxing, harassment, account hacking and more.   Google also recently announced it is providing 100,000 security keys at no cost to individuals at high risk of cyber attacks such as journalists, human rights defenders and others.  Google will also continue to provide strong security to those who need it most with its Advanced Protection Program (APP), Project Shield, and through its Online Safety and Security Partnerships with Defending Digital Campaigns and the International Foundation of Electoral Systems. 世界中の人権擁護者は、民主主義制度の推進と支援において重要な役割を果たしている。 彼らは常に嫌がらせやその他の攻撃の対象となり、表現の自由、プライバシー、市民的な空間を脅かされている。 Google.orgは、人権プログラムの活動を基盤として、人権擁護者を支援するための200万ドルの基金を立ち上げることになりました。 この200万ドルの新基金は、デジタルセキュリティとセーフティヘルプラインを支援するもので、人権擁護者やドックス、ハラスメント、アカウントハッキングなどの被害を受けやすい人たちに支援を提供する。   また、Googleは先日、ジャーナリストや人権擁護者などのサイバー攻撃のリスクが高い個人に対して、10万個のセキュリティキーを無償で提供することを発表した。 Googleはまた、Advanced Protection Program(APP)、Project Shield、およびDefending Digital CampaignsやInternational Foundation of Electoral Systemsとのオンライン安全・セキュリティパートナーシップを通じて、最も必要としている人々に強力なセキュリティを提供し続けていく。
In addition, to help combat disinformation abroad and strengthen users’ resilience to it, Google’s Jigsaw will launch new prebunking campaigns in Europe and the Asia-Pacific region on several platforms, as well as publish its methodology and analytic findings to help other organizations working to strengthen information integrity abroad. また、海外での偽情報との戦いや、それに対するユーザーのレジリエンスを強化するために、GoogleのJigsawは、ヨーロッパとアジア太平洋地域で複数のプラットフォームで新しいプレバンキングキャンペーンを開始するとともに、その手法や分析結果を公開し、海外での情報インテグリティの強化に取り組む他の団体に役立てる予定である。
Meta:  Enabling Secure, Private Connections and Countering Government Abuse of Digital Technology Meta:  安全でプライベートな接続を可能にし、政府によるデジタル技術の乱用に対抗する。
Meta recently announced a new feature that allows users to connect to its subsidiary WhatsApp’s instant messaging and voice-over-IP by proxy when their Internet connection is disrupted or blocked.  Disruptions and Internet shutdowns threaten to deny people’s human rights and cut people off from receiving and sending vital news and information.  Choosing a proxy enables users to connect to WhatsApp’s instant messaging and voice-over-IP through servers set up by volunteers and organizations around the world dedicated to helping people communicate freely – while maintaining the security of these communications.  Meta will continue to expand product features to ensure users can communicate securely, and to protect the right to privacy of users.  In addition, Meta commits to continue to regularly report on campaigns by authoritarian governments targeting human rights defenders and other vulnerable populations, for example, here and here.  Meta commits to take appropriate steps with respect to accounts that perpetrate such abuses, including blocking their domain infrastructure from being shared on its services, and where feasible and appropriate, notifying people targeted by these malicious groups.  As cyber espionage campaigns often target multiple platforms, Meta commits to continue to share information with security researchers and its industry peers, where appropriate, so they too can take action to stop this activity. Metaはこのほど、インターネット接続が中断または遮断された場合に、同社子会社のWhatsAppのインスタントメッセージとボイスオーバーIPに代理接続できる新機能を発表した。 混乱やインターネットの遮断は、人々の人権を否定し、重要なニュースや情報の受信・送信を遮断する恐れがある。 プロキシを選択することで、WhatsAppのインスタントメッセージやボイスオーバーIPに、世界中のボランティアや団体によって設置されたサーバーを通じて接続することができ、通信の安全性を維持しながら、人々の自由なコミュニケーションをサポートする。 Metaは、ユーザーが安全にコミュニケーションできるよう、また、ユーザーのプライバシー権を保護するために、製品機能の拡張を続けていく。 さらに、Metaは、人権擁護者やその他の脆弱な人々を標的とした権威主義的な政府によるキャンペーンについて、例えばこちらやこちらで定期的に報告し続けることを約束する。 Metaは、このような虐待を行うアカウントに関して、そのドメインインフラがサービス上で共有されないようにブロックし、実行可能かつ適切な場合には、これらの悪意のあるグループによって標的とされた人々に通知するなど、適切な措置を講じることを約束する。 サイバースパイキャンペーンはしばしば複数のプラットフォームを標的とするため、Metaは、必要に応じてセキュリティ研究者やその業界の同業者と情報を共有し、彼らもこの活動を阻止するために行動を起こすことができるようにすることを約束する。
II. Fighting Corruption II. 腐敗防止
25 Companies Join the Global Initiative to Galvanize the Private Sector as Partners in Combating Corruption (GPS) 腐敗撲滅のパートナーとして民間セクターを活性化するためのグローバル・イニシアティブ(GPS)に25社が参加
Amazon, Anglo American plc, APCO, Cementos Pacasmayo, Crescent Enterprise, Crowell & Moring, Ericsson, Google, Grundfos, Iberdrola, Johnson & Johnson, McDermott, McKinsey, Merck, Novartis, Paul Hastings, Refinitiv, RELX, Rolls-Royce, SABIC, SNC-Lavalin, Tesla, Ulula, Walmart, and Yara have committed to joining the Global Initiative to Galvanize the Private Sector as Partners in Combating Corruption (GPS).  GPS, a key program under the Presidential Initiative for Democratic Renewal, is a vehicle for 1) engaging the private sector as advocates for transparency and accountability and 2) identifying and disseminating innovative private sector practices and approaches to combating corruption.  The State Department’s Bureau of International Narcotics and Law Enforcement at the Department of State (INL) has committed a minimum of $6.5M in funding to the initiative. Amazon、Anglo American plc、APCO、Cementos Pacasmayo、Crescent Enterprise、Crowell & Moring、Ericsson、Google、Grundfos、Iberdrola、Johnson & Johnson、McDermott、McKinsey、Merck、Nobertis、Paul Hastings、Refinitiv、RELX、Rolls-Royce、SABIC、SNC-Lavalin、Tesla、Ulula、WalmartおよびYaraは「民間セクターを汚職撲滅におけるパートナーに結集するグローバル・イニシアティブ(GPS)」の参加を決定している。 GPSは、Presidential Initiative for Democratic Renewalの主要プログラムであり、1)民間部門を透明性と説明責任の支持者として参加させ、2)汚職撲滅のための革新的な民間部門の実践とアプローチを特定し普及させるための手段である。 国務省の国際麻薬・法執行局(INL)は、このイニシアチブに最低650万ドルの資金提供を約束している。
・Amazon, Novartis, and SNC-Lavalin will participate in Compliance Without Borders, an Organization for Economic Cooperation and Development (OECD) and Basel Institute on Governance initiative, which matches compliance experts with State-Owned Enterprises (SOEs) seeking to build capacity to address corruption- and integrity-related challenges. ・アマゾン、ノバルティス、SNC-Lavalinは、経済協力開発機構(OECD)およびバーゼルガバナンス研究所のイニシアチブである「国境なきコンプライアンス」に参加し、コンプライアンスの専門家と、汚職や統合関連の課題に対処する能力を高めようとする国有企業(SOEs)を引き合わせる。
・Amazon will leverage its proprietary compliance toolkits to support small- and medium-sized businesses and, alongside SNC-Lavalin, support the development and implementation of an INL-funded and OECD-developed Infrastructure Anti-Corruption Toolbox (IACT).  IACT will empower actors across the infrastructure value chain to prevent, detect and report corruption. ・アマゾンは、独自のコンプライアンス・ツールキットを活用して中小企業を支援し、SNC-Lavalinとともに、INLが資金提供しOECDが開発したInfrastructure Anti-Corruption Toolbox(IACT)の開発と実施を支援する。 IACTは、インフラのバリューチェーン全体の関係者が汚職を防止、検出、報告できるようにする。
・Novartis and SNC-Lavalin will provide independent support to Small- and Medium-size Enterprises. ・ノバルティスとSNC-Lavalinは、中小企業への独立したサポートを提供する。
・Using new tools it is developing to facilitate stakeholder agency, Walmart will provide regular anti-corruption input from its stakeholder base. ・ウォルマートは、ステークホルダーの参加を促進するために開発中の新しいツールを使用して、ステークホルダーから定期的に汚職防止のための意見を提供する。
・Walmart will contribute to GPS capacity building efforts through ongoing work on Digital Tools for Rule of Law & Recovery and channel ongoing workstreams to boost the SDG33 model as a leadership opportunity for corporate public policy functions. ・ウォルマートは、「法の支配と復興のためのデジタルツール」に関する継続的な作業や、企業の公共政策機能のリーダーシップ機会としてSDG33モデルを後押しするチャネル継続的な作業ストリームを通じて、GPSの能力構築の取り組みに貢献する予定である。
Microsoft: Expanding Support for Journalists Investigating Corruption マイクロソフト 汚職を調査するジャーナリストへの支援を拡大する。
As part of a commitment to working with local journalists worldwide to improve their understanding of digital safety and cybersecurity, Microsoft partnered with the International Foundation for Electoral Systems (IFES) in 2022 to expand a training curriculum for investigative journalists on the abuse of state resources in elections.  The training was piloted in October 2022 in Tunisia and November 2022 in Serbia among 29 local journalists, and focused on digital safety to help journalists map personal risks, cybersecurity to defend themselves online, and strengthening journalists’ capacity for safely investigating state abuse of public resources.  This training is in high demand across IFES’ global project portfolio of 33 countries, and IFES is looking to conduct additional trainings in 2023 and 2024. マイクロソフトは、世界中の現地ジャーナリストと協力してデジタルセーフティとサイバーセキュリティの理解を深める取り組みの一環として、2022年に国際選挙制度財団(IFES)と提携し、選挙における国家資源の乱用に関する調査報道ジャーナリスト向けの研修カリキュラムを拡充した。  この研修は、2022年10月にチュニジアで、2022年11月にセルビアで、29人の現地ジャーナリストを対象に試験的に行われ、ジャーナリストが個人のリスクを把握するためのデジタルセーフティ、オンラインで自衛するためのサイバーセキュリティ、国家による公的資源の乱用を安全に調査するジャーナリストの能力強化に焦点を当てた。  このトレーニングは、33カ国からなるIFESのグローバルプロジェクトポートフォリオ全体で高い需要があり、IFESは2023年と2024年に追加トレーニングを実施することを検討している。
Tintra: Supporting Innovative Solutions through USAID’s Countering Transnational Corruption Grand Challenge for Development (CTC Grand Challenge) ティントラ:USAIDの「Counter Transnational Corruption Grand Challenge for Development」(CTCグランドチャレンジ)を通じて革新的なソリューションを支援する。
Tintra will provide financial and in-kind support to co-create along with USAID and other partners activities under the CTC Grand Challenge to creatively harness the power of data to more easily and effectively expose and prevent corruption.  As part of this effort (or separately if so requested), Tintra will host a hackathon/datathon in its offices with USAID’s key partners, advancing solutions toward a problem identified by USAID.  In addition, Tintra will offer a paid three-month mentorship to a promising early-stage finalist identified through the CTC Grand Challenge, which will include accommodations, training with Tintra’s coders, and support in developing, validating, and piloting their solution. Tintraは、USAIDや他のパートナーと共に、CTCグランドチャレンジの下、データの力を創造的に活用し、より簡単かつ効果的に汚職を暴き、防止するための活動を共同創造するために、財政的、現物的支援を提供する。 この活動の一環として(あるいは要望があれば別途)、TintraはUSAIDの主要パートナーとともに、USAIDが特定した問題に対するソリューションを推進するハッカソン/データソンをオフィスで開催する。 さらに、Tintraは、CTCグランドチャレンジを通じて特定された有望な初期段階のファイナリストに、宿泊施設、Tintraのコーダーによるトレーニング、ソリューションの開発、検証、試験運用のサポートを含む3ヶ月間の有給メンターシップを提供する。
III. Protecting Civic Space and Human Rights Defenders III. 市民空間と人権擁護者の保護
AIG Insurance Management Service:  Providing Design and Structural Support to Program to Provide Legal Support Against Vexatious Lawsuits AIG保険マネジメントサービス  訴訟対策支援プログラムへの設計・構造支援提供
USAID, together with the Organized Crime and Corruption Reporting Project and the Cyrus R. Vance Center for International Justice, announced in December 2022 the launch of Reporters Shield, a program to provide training, resources, and legal support to mitigate the risk of lawsuits in advance, as well as to provide legal defense and assistance to respond to legal threats and claims.  Reporters Shield has received in-kind assistance from AIG Insurance Management Service, Inc. on the design/structure of the insurance initiative.  Reporters Shield will start accepting applications for support in the coming weeks.  The program is a response to studies by the Foreign Policy Center, Index on Censorship, and the Business & Human Rights Resource Centre that have documented how threats of legal action against investigative journalists and civil society organizations have put their work in jeopardy. USAIDは、組織犯罪・汚職報告プロジェクトおよびサイラス・R・バンス国際司法センターとともに、訴訟のリスクを事前に軽減するためのトレーニング、リソース、法的支援を提供するとともに、法的脅威や請求に対応するための法的防御・支援を行うプログラム、Reporters Shieldを2022年12月に開始すると発表した。 Reporters Shieldは、保険構想の設計/構造について、AIG保険マネジメントサービス株式会社から現物支給の支援を受けている。 レポーターズ・シールドは、今後数週間のうちに支援申請の受付を開始する予定である。  このプログラムは、フォーリン・ポリシー・センター、インデックス・オン・センサーシップ、ビジネス&ヒューマン・ライツ・リソース・センターの研究により、調査報道ジャーナリストや市民社会組織に対する法的措置の脅威により、彼らの活動がいかに危険にさらされているかが記録されていることを受けてのものである。
The Business & Democracy Initiative:  Serving as a Point of Connection for the Private Sector to Engage in the Work of Defending Democracy ビジネス&デモクラシー・イニシアティブ:  民間セクターが民主主義を守る活動に参加するための接続ポイントとして機能する。
The Business & Democracy Initiative is a coalition of business leaders and organizations organized by the Black Economic Alliance, Leadership Now Project, and Public Private Strategies.  It is committed to defending democracy, with a focus on the United States’ elections and democratic institutions, and learning from peers working in the private sector and civil society across the globe.  The Business & Democracy Initiative commits to convening business leaders in at least five states in 2023 to provide unbiased education on the state of democracy and opportunities for engagement; to convene private sector leaders on the need to protect businesses from government interference in their ability to conduct business and speak freely; and to amplify business leaders’ voices on the mutually beneficial connection between a strong democracy and a strong, stable economic climate, and the risks to the private sector when civic space is weaponized by those who would undermine democratic institutions. Business & Democracy Initiativeは、Black Economic Alliance、Leadership Now Project、Public Private Strategiesによって組織されたビジネスリーダーおよび組織の連合体である。  米国の選挙と民主的制度に焦点を当てた民主主義の擁護と、世界中の民間企業や市民社会で働く仲間から学ぶことにコミットしている。  ビジネス&デモクラシー・イニシアティブは、2023年に少なくとも5つの州でビジネスリーダーを招集し、民主主義の状態と関与の機会に関する公平な教育を提供すること、ビジネスを行い自由に発言する能力に対する政府の干渉からビジネスを守る必要性について民間部門のリーダーを招集すること、強い民主主義と強力で安定した経済環境の間の相互利益の関係、民主的制度を弱める人々によって市民空間が武器化する場合の民間部門のリスクについてビジネスリーダーの声を増幅することにコミットする。
Cloudflare:  Democratizing Post-Quantum Cryptography by Delivering it for Free, by Default Cloudflare:  ポスト量子暗号を無償で提供し、民主化する。
Cloudflare commits to providing post-quantum cryptography for free by default to all customers – including individual web developers, small businesses, non-profits, and governments.  This will benefit at-risk groups using Cloudflare services like humanitarian organizations, human rights defenders, and journalists through Project Galileo, as well as state and local government election websites through the Athenian Project, to help secure their websites, APIs, cloud tools and remote employees against future threats.  This reflects Cloudflare’s belief that everyone should have access to the next era of cybersecurity standards–instantly and for free.  Cloudflare encourages others to follow suit in making their implementations of post-quantum cryptography free to create a secure and private Internet without a “Quantum” up-charge. Cloudflareは、個人のウェブ開発者、中小企業、非営利団体、政府を含むすべての顧客に対して、ポスト量子暗号をデフォルトで無償提供することを約束する。  これにより、Project Galileoによる人道支援団体、人権擁護者、ジャーナリスト、Athenian Projectによる州・地方政府の選挙サイトなど、Cloudflareのサービスを利用しているリスクの高いグループが、将来の脅威からウェブサイト、API、クラウドツール、リモート従業員を保護できるようになる。  これは、誰もが次の時代のサイバーセキュリティ標準に即座に、しかも無料でアクセスできるというクラウドフレアの信念を反映している。  Cloudflareは、他の企業に対しても、ポスト量子暗号の実装を無料化し、「量子」のアップチャージなしに安全でプライベートなインターネットを実現することに追随することを奨励している。
Please see Cloudflare’s March 2023 Press Release and Blog Post on this commitment for more details. 詳細は、Cloudflareの2023年3月のプレスリリースとこのコミットメントに関するブログポストをご覧ください。
Ford Foundation, Craig Newmark Philanthropies, Google News Initiative, Luminate, Microsoft, MacArthur Foundation:  Supporting Public Interest Media フォード財団、クレイグ・ニューマーク・フィランソロピー、Google News Initiative、Luminate、マイクロソフト、マッカーサー財団:  公益メディアを支援する
The International Fund for Public Interest Media (IFPIM) is a multinational fund run by leading international media experts to support independent media – especially in resource-poor and fragile settings.  IFPIM will provide core operational support to vital public interest media, as well as support the development of new business models that enable these media to survive. 国際公益メディア基金(IFPIM)は、国際的なメディア専門家が運営する多国籍基金で、特に資源が乏しく脆弱な環境にある独立メディアを支援する。  IFPIMは、重要な公益メディアに対して中核的な運営支援を提供するとともに、これらのメディアが生き残るための新しいビジネスモデルの開発を支援する。
Managed by Rockefeller Philanthropy Advisors, Inc., IFPIM is finalizing grants to a diverse group of fourteen finalists in independent media from ten countries to help them experiment with new audience engagement, foster increased diversity in the newsroom, improve representation in coverage, and increase production of fact-based quality news content.  These grants will help these digital natives and other organizations continue to produce independent journalism; inform the public with fact-based data; enable public debate and dialogue across society; and hold those in power to public account.  Of $50 million raised by IFPIM to date (which includes $20 million from USAID), close to $8 million comes from the philanthropic and corporate organizations mentioned above. ロックフェラー・フィランソロピー・アドバイザーズが運営するIFPIMは、10カ国の独立系メディアの最終選考に残った14の多様なグループに対して、新しい視聴者エンゲージメントの実験、ニュースルームにおける多様性の促進、報道における代表性の向上、事実に基づいた質の高いニュースコンテンツの制作の増加などを支援するための補助金を決定している。  これらの助成金は、これらのデジタルネイティブやその他の組織が、独立したジャーナリズムを継続的に制作し、事実に基づいたデータで国民に情報を提供し、社会全体で公開討論と対話を可能にし、権力者に公的責任を負わせることを支援することになる。 IFPIMがこれまでに集Meta5000万ドル(USAIDからの2000万ドルを含む)のうち、800万ドル近くが上記の慈善団体や企業組織からのものである。
Hedera:  Convening Democracy Roundtable on How Blockchain Technologies Support Human Rights, Transparency, and Sustainability Hedera:  ブロックチェーン技術が人権、透明性、持続可能性をどのようにサポートするかについての民主主義ラウンドテーブルを招集する。
Hedera commits to convening a democracy roundtable on how blockchain technologies can and are supporting human rights, transparency, and sustainability.  Current democracy-related applications of blockchain include government systems accountability, fighting misinformation, reducing data manipulation, and tracking financial flows.  Hedera will invite companies, trade associations, advocacy groups, academics and government officials, publicly share a summary of the discussion, and make recommendations for next steps. Hederaは、ブロックチェーン技術が人権、透明性、持続可能性をどのように支援できるか、また支援しているかについての民主主義ラウンドテーブルを開催することにコミットする。 現在、ブロックチェーンの民主主義関連のアプリケーションには、政府システムの説明責任、誤情報との戦い、データ操作の削減、資金の流れの追跡が含まれる。 Hederaは、企業、業界団体、アドボカシーグループ、学者、政府関係者を招待し、議論の要約を公に共有し、次のステップのための提言を行う予定である。
Meta:  Expanding the Availability of Security Protections and Publishing First Annual Human Rights Report and Human Rights Defenders Policy Meta:セキュリティ保護の利用可能性を拡大し、初の年次人権報告書と人権擁護者政策を発表
Meta is giving activists and journalists more protections from threats of violence, including removing content that “outs” people as activists in situations that could put them in danger; giving them more control of their accounts, including who they allow to see their posts; undertaking efforts to secure the accounts of human rights defenders who have been arrested or detained in authoritarian states or conflict settings against unauthorized access by local law enforcement, security services, and conflict actors; and launching a Human Rights Defender and Journalist Fund at APAC.  In 2022, Meta published its first annual human rights report, committing to carrying out a comprehensive salient risk assessment.  As described in its human rights policy, Meta is committed to protecting human rights defenders and other civic actors to support, through product, policy, and operational interventions, their on-platform presence and ability to promote human rights, especially during conflict, elections, political unrest and humanitarian crises. Metaは、活動家やジャーナリストを暴力の脅威から守るため、危険にさらされる可能性のある状況で活動家として「アウト」するコンテンツの削除、投稿の閲覧を許可する人を含むアカウントの管理強化、権威主義国家や紛争環境で逮捕・拘束された人権擁護者のアカウントを、現地の警察、治安サービス、紛争アクターの不正なアクセスから保護する取り組み、APACでの人権擁護者とジャーナリスト基金の開始などを行っている。  2022年、Metaは初の年次人権報告書を発表し、包括的な顕著なリスク評価を実施することを約束した。  人権ポリシーに記載されているように、Metaは人権擁護者やその他の市民活動家を保護し、製品、政策、業務介入を通じて、特に紛争、選挙、政情不安、人道危機の際に、彼らのプラットフォーム上での存在と人権を促進する能力をサポートすることを約束する。
Microsoft:  Helping Independent Media Outlets become Financially Self-Sufficient – A Joint USAID, Microsoft, and Internews Initiative マイクロソフト:独立系メディアの資金的自立を支援 - USAID、マイクロソフト、インターニュースの共同イニシアティブ
Microsoft, USAID and Internews are jointly announcing the development of a Media Viability Accelerator (MVA). The MVA will support independent media outlets globally. Since 2005, the U.S. has lost more than a fourth of its newspapers (2,500) and is on track to lose a third by 2025. This trend has echoes around the world; the main threat to independent media today is arguably not repression by authoritarians, but the challenge of remaining competitive in a difficult business environment. The MVA will be designed to help media outlets abroad become more financially sustainable, compete more effectively for audiences and revenue, and become better equipped to address future business and financial challenges. マイクロソフト、USAID、インターンニューズは共同で、Media Viability Accelerator(MVA)の開発を発表した。MVAは、世界中の独立系メディアを支援する。2005年以降、米国では新聞社の4分の1以上(2、500社)が失われ、2025年までに3分の1が失われる勢いである。この傾向は世界中に波及しており、今日の独立系メディアにとっての主な脅威は、間違いなく権威主義者による弾圧ではなく、厳しいビジネス環境において競争力を維持するための課題である。MVAは、海外のメディアがより財政的に持続可能になり、視聴者と収益のためにより効果的に競争し、将来のビジネスと財政の課題に対処するためのより良い装備を身につけることを支援するために設計されている。
Voluntary Principles on Security and Human Rights Initiative:  Committing to Launch Human Rights Defenders Guidance for 31 corporate members and the Initiative as a whole 安全保障と人権に関する自主原則イニシアチブ  人権擁護団体の立ち上げにコミットする 31の企業会員とイニシアティブ全体に対するガイダンス
The Voluntary Principles on Security and Human Rights Initiative – a multistakeholder initiative that guides companies on how to conduct their security operations in a manner that respects human rights – commits to launching guidance on human rights defenders and the wider civic space in which they work.  The initiative includes 31 major multinational companies from around the world including BP, Chevron, Dinant, Exxon, Shell, Total, Vale, and others.  The guidance will offer an analytical and operational framework to identify and address risks to human rights defenders across key elements of Voluntary Principles implementation; risk assessment and due diligence; stakeholder and community engagement; and relationships with security forces and host country governments.  It will outline practical ways in which those that implement the VPs and the Initiative as a multistakeholder platform can play a proactive conflict prevention role. 安全保障と人権に関する自主原則イニシアチブ(Voluntary Principles on Security and Human Rights Initiative)は、人権擁護者と彼らが活動する広範な市民空間に関するガイダンスを開始することを約束するマルチステークホルダー・イニシアティブである。 このイニシアチブには、BP、シェブロン、ディナント、エクソン、シェル、トタル、ヴァーレなど、世界中の主要多国籍企業31社が参加している。 ガイダンスは、自主原則の実施における主要な要素、リスク評価とデューディリジェンス、ステークホルダーとコミュニティーの関与、治安部隊やホスト国政府との関係において、人権擁護者に対するリスクを特定し対処するための分析的・運用的な枠組みを提供する。 また、VPやマルチステークホルダー・プラットフォームとしてのイニシアティブを実施する側が、積極的な紛争予防の役割を果たすための実践的な方法についても概説する予定である。
IV. Advancing Labor Rights IV. 労働者の権利の促進
American Apparel and Footwear Association (AAFA) / Fair Labor Association (FLA):  Committing to Make Workers Whole as part of Responsible Recruitment アメリカンアパレル&フットウェア協会(AAFA)/公正労働協会(FLA):  責任ある採用の一環として、労働者を丸裸にすることにコミットする
On March 28, 2023, the AAFA and FLA re-launched and enhanced the AAFA/FLA Apparel & Footwear Industry Commitment to Responsible Recruitment.  The enhanced Commitment to Responsible Recruitment builds on lessons learned over the past five years.  Signatories now commit to create conditions where workers receive a timely refund of any fees and costs paid to obtain or maintain their job, if such conditions were already imposed.  The signing companies also agree to work to fully and effectively implement these practices, to incorporate the Commitment into their social compliance standards within one year of signing, and to periodically report on their actions to implement the Commitment, such as through sustainability and/or modern slavery legal disclosures.  Together with their members and Commitment signatories, AAFA and FLA will continue to review the enhanced Commitment to identify areas of future improvement.  AAFA/FLA urge the entire industry to join fellow brands in signing the Commitment. 2023年3月28日、AAFAとFLAは「AAFA/FLA Apparel & Footwear Industry Commitment to Responsible Recruitment」を再スタートさせ、強化した。 強化された「責任ある採用へのコミットメント」は、過去5年間に学んだ教訓をもとに構築されている。 署名企業は現在、労働者が仕事を得るため、あるいは維持するために支払った手数料や費用の払い戻しを適時に受けられる条件を整えることを約束している(そのような条件がすでに課せられている場合)。 また、署名企業は、これらの慣行を完全かつ効果的に実施するために努力し、署名後1年以内にこのコミットメントを自社の社会的コンプライアンス基準に組み込み、持続可能性や現代奴隷の法的開示などを通じて、コミットメントを実施するための行動を定期的に報告することに同意している。 AAFAとFLAは、会員やコミットメント署名者とともに、今後改善すべき分野を特定するため、強化されたコミットメントを継続的に見直す予定である。  AAFA/FLAは、業界全体が他のブランドとともにコミットメントに署名することを強く求める。

 

| | Comments (0)

2023.04.04

米国 商用スパイウェアの拡散と悪用に対抗するための取り組みに関する共同声明 (2023.03.30)

こんにちは、丸山満彦です、

米国は、2023.03.27に国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令を公表しましたが、第2回民主主義サミットを通じて、商用スパイウェアの拡散と悪用に対抗するための取り組みに関する共同声明を公表していますね。。。

共同声明に、名前を連ねているのは、

Five Eyes(米国、英国、カナダ、オーストラリア、ニュージーランド)、デンマーク、フランス、ノルウェー、スウェーデン、スイス、そしてコスタリカです。コスタリカは第2回民主主義サミットの共同開催国なので、名前を連ねているところもあると思います。

 

White House

・ 2023.03.30 Joint Statement on Efforts to Counter the Proliferation and Misuse of Commercial Spyware

Joint Statement on Efforts to Counter the Proliferation and Misuse of Commercial Spyware 商用スパイウェアの拡散と悪用に対抗するための取り組みに関する共同声明
We, the governments of Australia, Canada, Costa Rica, Denmark, France, New Zealand, Norway, Sweden, Switzerland, the United Kingdom, and the United States, recognize the threat posed by the misuse of commercial spyware and the need for strict domestic and international controls on the proliferation and use of such technology.  我々、オーストラリア、カナダ、コスタリカ、デンマーク、フランス、ニュージーランド、ノルウェー、スウェーデン、スイス、英国、米国の政府は、商用スパイウェアの悪用がもたらす脅威と、そのような技術の拡散と使用に対する厳格な国内および国際管理の必要性を認識する。 
Commercial spyware has been misused across the world by authoritarian regimes and in democracies.  Too often, such powerful and invasive tools have been used to target and intimidate perceived opponents and facilitate efforts to curb dissent; limit freedoms of expression, peaceful assembly, or association; enable human rights violations and abuses or suppression of civil liberties; or track or target individuals without proper legal authorization, safeguards, or oversight.  The misuse of these tools presents significant and growing risks to our national security, including to the safety and security of our government personnel, information, and information systems. 商業用スパイウェアは、世界中で権威主義的な政権や民主主義国家で悪用されてきた。  このような強力で侵襲的なツールは、反対派と思われる人物を標的にして威嚇し、反対意見を抑制する努力を促進するため、表現、平和的集会、結社の自由を制限するため、人権侵害や虐待、市民的自由の抑圧を可能にし、適切な法的認可、セーフガード、監視なしに個人を追跡または標的化するために、あまりにも頻繁に使用されてきた。  これらのツールの誤用は、政府職員、情報、情報システムの安全やセキュリティを含め、国家安全保障に重大かつ増大するリスクをもたらす。
We therefore share a fundamental national security and foreign policy interest in countering and preventing the proliferation of commercial spyware that has been or risks being misused for such purposes, in light of our core interests in protecting individuals and organizations at risk around the world; defending activists, dissidents, and journalists against threats to their freedom and dignity; promoting respect for human rights; and upholding democratic principles and the rule of law.  We are committed, where applicable and subject to national legal frameworks, to implementing the Guiding Principles on Government Use of Surveillance Technologies and the Code of Conduct developed within the Export Controls and Human Rights Initiative.  したがって、我々は、世界中で危険にさらされている個人や組織を保護し、活動家、反体制派、ジャーナリストを自由と尊厳に対する脅威から守り、人権の尊重を促進し、民主主義の原則と法の支配を支持するという我々の基本的利益に照らして、このような目的で悪用されてきた、またはその恐れがある商用スパイウェアの拡散に対抗して防止するという、国家安全と外交政策上の利益を共有する。  我々は、該当する場合、また各国の法的枠組みに従って、「政府による監視技術の使用に関する指導原則」と「輸出管理と人権イニシアティブ」の中で策定された「行動規範」を実施することを約束する。 
To advance these interests, we are partnering to counter the misuse of commercial spyware and commit to: これらの利益を促進するために、我々は、商用スパイウェアの悪用に対抗するために提携し、以下のことを約束する:
・working within our respective systems to establish robust guardrails and procedures to ensure that any commercial spyware use by our governments is consistent with respect for universal human rights, the rule of law, and civil rights and civil liberties; ・我々の政府による商用スパイウェアの使用が、普遍的人権、法の支配、市民権および市民的自由の尊重と一致することを保証するための強固なガードレールおよび手順を確立するために、それぞれのシステム内で作業する;
・preventing the export of software, technology, and equipment to end-users who are likely to use them for malicious cyber activity, including unauthorized intrusion into information systems, in accordance with our respective legal, regulatory, and policy approaches and appropriate existing export control regimes; ・情報システムへの不正侵入を含む悪意のあるサイバー活動に使用する可能性のあるエンドユーザへのソフトウェア、技術、機器の輸出を、それぞれの法律、規制、政策アプローチおよび適切な既存の輸出管理レジームに従って防止する;
・robust information sharing on commercial spyware proliferation and misuse, including to better identify and track these tools;       ・商業用スパイウェアの拡散と誤用に関する強固な情報共有(これらのツールの特定と追跡を改善することを含む);      
・working closely with industry partners and civil society groups to inform our approach, help raise awareness, and set appropriate standards, while also continuing to support innovation; and   ・業界パートナーや市民社会グループと緊密に連携し、我々のアプローチに情報を与え、認識を高め、適切な基準を設定するとともに、イノベーションを引き続き支援する。  
・engaging additional partner governments around the world, as well as other appropriate stakeholders, to better align our policies and export control authorities to mitigate collectively the misuse of commercial spyware and drive reform in this industry, including by encouraging industry and investment firms to follow the United Nations Guiding Principles on Business and Human Rights.  ・商業用スパイウェアの悪用を一括して軽減し、この業界の改革を推進するために、世界中のパートナー政府、およびその他の適切な利害関係者をさらに巻き込み、業界および投資会社に「ビジネスと人権に関する国連指導原則」に従うことを奨励するなど、方針と輸出管理当局をより整合させる。 
Our efforts will allow us to work collectively for the first time as we develop and implement policies to discourage the misuse of commercial spyware and encourage the development and implementation of responsible use principles that are consistent with respect for universal human rights, the rule of law, and civil rights and civil liberties. 我々の取り組みにより、商業用スパイウェアの悪用を阻止し、普遍的人権、法の支配、市民権および市民的自由の尊重と一致する責任ある使用原則の策定と実施を奨励するための政策を、初めて集団で実施することができるようになる。

 

 

民主化サミットについてプレスコールでも、商用スパイウェアの普及を止める動きについてのコメントがありますので、参考...

 

・ 2023.03.29 Background Press Call Previewing Day Two of the Summit for Democracy

Background Press Call Previewing Day Two of the Summit for Democracy 民主化サミット2日目のプレスコールを開催しました。
Via Teleconference 電話会議にて
4:35 P.M. EDT 4:35 P.M. EDT
MODERATOR:  Great.  Thank you so much.  Thanks, everyone for joining.  I’ll let our speakers go ahead and get started. 司会:素晴らしい。  本当にありがとうございました。  皆さん、ご参加ありがとうございます。  では、スピーカーの方々に先に始めていただきましょう。
But for your awareness, this call is on background, attributable to “senior administration officials,” and it is embargoed until the end of call. この通話はバックグラウンドで行われ、【上級管理官】に帰属し、通話終了まで口外禁止です。
For your awareness, not for attribution, the speakers on the call today are [senior administration official], [senior administration official], [senior administration official], and [senior administration official]. 本日のスピーカーは、【上級管理官】、【上級管理官】、【上級管理官】、【上級管理官】、【上級管理官】です。
With that, I’ll turn it over to [senior administration official] to get us started. それでは、【上級管理官】の方にお願いして、話を始めます。
SENIOR ADMINISTRATION OFFICIAL:  Great.  Thanks, [Moderator].  And thanks to everybody that’s on the line right now for your interest in the second Summit for Democracy, which President Biden officially kicked off this morning with his four co-hosts: President Chaves of Costa Rica, Prime Minister Rutte of the Netherlands, President Yoon of the Republic of Korea, and President Hichilema of Zambia. 【上級管理官】:素晴らしい。  ありがとう、【司会】。  バイデン大統領が今朝、スタリカのチャベス大統領、オランダのルッテ首相、韓国のユン大統領、そしてザンビアのヒチレマ大統領の4人の共同主催者とともに正式にキックオフした第2回民主化サミットに関心を寄せていただき、今電話で参加されている皆さんに感謝します。
As [Moderator] mentioned, I’ll just kick us off with an overview of the summit and the President’s engagement and announcements today.  It should say a little bit by way of our agenda on advancing technology for democracy. 【司会】が述べたように、まずはサミットの概要と、大統領の今日の関与と発表について説明します。  また、民主主義のためのテクノロジーの発展に関する我々の議題について、少し説明したいと思います。
Then I’ll hand over the floor to [senior administration official], who will lay out in more detail what we consider to be some of our cornerstone technology-focused initiatives under our efforts to counter the proliferation and misuse of technology. 次に、【上級管理官】に席を譲り、技術の拡散や悪用に対抗するための努力の中で、技術に焦点を当てた私たちの重要な取り組みについて、より詳しく説明してもらいます。
And then lastly, we’ll go to [senior administration official] to highlight a few of the other key announcements on the technology front. そして最後に、技術面におけるその他の重要な発表のいくつかを紹介するため、【上級管理官】に話を聞こうと思います。
So just by way of overview of the summit: Over the course of the day today, we heard, in total, from 85 world leaders on issues related to how they’re working to bolster democratic institutions and protect human rights and fight corruption.  And additionally, how democracies are in need to continue to work together when it comes to the many major challenges facing the world on everything from Russia’s aggression in Ukraine, to combating the climate crisis, to food security, and so on. さて、サミットの概要について説明します: 今日一日で、合計85人の世界のリーダーから、民主主義制度の強化、人権の保護、汚職との闘いにどのように取り組んでいるかという問題について話を聞きました。  さらに、ロシアのウクライナ侵略から気候危機への対処、食糧安全保障など、世界が直面する多くの大きな課題に対して、民主主義国家がいかに協力し続ける必要があるかということについても言及しました。
President Biden used his remarks to make the case for how, here in the United States, we’re still doing big things when it comes to things like rebuilding infrastructure and tackling the climate crisis through legislation and creating jobs. バイデン大統領は演説で、インフラの再建や気候危機への対策、雇用の創出など、ここ米国で私たちがいかに大きなことを続けているかを訴えたのです。
And President Biden also used his remarks to make three announcements related to the summit’s themes on the foreign policy front.  また、バイデン大統領は、サミットのテーマに関連して、外交政策面でも3つの発表を行いました。 
First, he announced that we are reinvesting in the summit’s flagship deliverable, which is entitled the Presidential Initiative for Democratic Renewal, with $690 million in new funding.  President Biden launched the Presidential Initiative for Democratic Renewal at the first Summit for Democracy in December of 2021, with an initial investment of just over $420 million.  So, today’s figure highlights a significant addition. まず、サミットの主要な成果物です「民主党再生のための大統領イニシアティブ」と題されたものに、6億9000万ドルの新規資金を再投資することを発表したのです。  バイデン大統領は、2021年12月の第1回民主化サミットで「民主主義再生のための大統領イニシアチブ」を立ち上げ、4億2000万ドル強の初期投資を行っています。  つまり、今日の数字は、大幅な追加を強調しているのです。
The presidential initiative is essentially an umbrella, and it includes foreign assistance and policy steps that the U.S. government is taking both unilaterally, in some instances, and in conjunction with international partners in five categories of work that we deem essential to strengthening democratic renewal abroad.  And those are supporting free and independent media, fighting corruption, bolstering human rights and democratic reformers, advancing technology for democracy, and defending free and fair elections. 大統領イニシアティブは基本的に傘であり、米国政府が、海外の民主主義の刷新を強化するために不可欠と考える5つのカテゴリーの業務において、場合によっては一方的に、また国際パートナーと連携して行っている対外援助や政策措置が含まれています。  それは、自由で独立したメディアの支援、汚職との闘い、人権と民主的改革者の支援、民主主義のための技術の進歩、そして自由で公正な選挙の擁護です。
Second, the President announced that he welcomed the Republic of Korea’s offer to host a third summit for democracy at some point in the future.  And President Biden and President Yoon of South Korea issued a joint statement on this agreement early this morning, D.C. time.  次に、大統領は、将来のある時点で第3回民主化サミットを開催するという大韓民国の申し出を歓迎すると発表しました。  そして、バイデン大統領と韓国のユン大統領は、ワシントンDC時間の今朝早く、この合意に関する共同声明を発表した。 
And third, the President noted that through the Summit for Democracy, we’re really leaning into our agenda on ensuring that technology works for and not against democratic societies.  そして3つ目は、大統領は、民主化サミットを通じて、テクノロジーが民主主義社会のために働き、民主主義社会に逆らわないようにするという我々のアジェンダに大きく傾倒していることを指摘した。 
And to drive that point home, tomorrow, Secretary of State Antony Blinken will be joined by Secretary of Homeland Security Ali Mayorkas; USAID Administrator Samantha Power; our Director of National Intelligence, Avril Haines; and the Office, here at the White House, of Science and Technology Policy Arati Prabhakar; as well as members of Congress, senior foreign government officials, and leading business figures and researchers and advocates on and — at an event on this issue hosted at the Washington Convention Center.  この点を強調するために、明日、アントニー・ブリンケン国務長官は、国土安全保障省のアリ・マヨルカス長官、USAIDのサマンサ・パワー長官、国家情報長官のアブリル・ヘインズ、ホワイトハウスの科学技術政策室のアラティ・プラバカー、さらに国会議員、外国政府の上級管理官、有力な企業家、研究者や支持者とともに、ワシントンコンベンションセンターでこの問題に関するイベントを開催する予定です。 
This will be our contribution on behalf of the U.S. government to what is entitled the summit’s “co-host day.” これは、サミットの「共同開催日」と呼ばれる日に、米国政府を代表しての貢献となります。
Tomorrow, each of our four summit co-hosts — again, Zambia, Costa Rica, the Netherlands, and South Korea — will likewise be hosting in-person ministerial-level events in their capitals on other themes essential to well-functioning, liberal democracy. 明日は、サミットの共催国ですザンビア、コスタリカ、オランダ、韓国の4カ国が、同様に、自由民主主義が十分に機能するために不可欠な他のテーマについて、それぞれの首都で閣僚レベルのイベントを直接開催する予定です。
In advance of tomorrow’s event, the White House put out a factsheet today that summarizes the new initiatives that we’re undertaking on our tech agenda.  And we’re hoping to use this call to flesh that out a little bit.  明日のイベントに先立ち、ホワイトハウスは本日、私たちが取り組んでいる技術アジェンダに関する新しい取り組みをまとめたファクトシートを発表しました。  そして、この電話会議を利用して、その内容を少し詳しく説明したいと考えています。 
This agenda recognizes that to harness technology in a manner that supports democratic values and institutions, the United States and other democracies need to do three things. このアジェンダでは、民主的な価値観や制度を支える形でテクノロジーを活用するためには、米国や他の民主主義国が3つのことを行う必要があることを認識しています。
First, they need to put forward an affirmative vision of what they stand for: persuasive rights-respecting view of how technology can enable individual dignity and economic prosperity. すなわち、テクノロジーが個人の尊厳と経済的繁栄をどのように可能にするかについて、説得力のある権利尊重の見解を提示することです。
Second, what they stand against, which is the misuse and abuse of technology to repress, control, and discriminate. 第二に、民主主義国家が反対するもの、それは抑圧、統制、差別のためのテクノロジーの誤用と濫用です。
And thirdly, democracies need to continue looking ahead so as to align emerging technologies, such as artificial intelligence, with respect for democratic principles and human rights. そして第三に、民主主義国家は、人工知能のような新たなテクノロジーを民主主義の原則と人権の尊重に合致させるために、先を見続ける必要があります。
And so, as our factsheet indicates, we bend our work into these three areas: the affirmative agenda, how we’re countering misuse and the rise of digital authoritarianism, and how we’re looking ahead. このように、ファクトシートが示すように、私たちは、アファーマティブ・アジェンダ、悪用やデジタル権威主義の台頭にどう対抗するか、そして、どう先を見通すか、という3つの分野に分けて活動しています。
So, I’ll hand over to my counterparts to say a little bit more about those areas and firsthand to [senior administration official] to speak in particular about some of the work we’re undertaking under the category of countering the misuse of technology. そこで、これらの分野については、私のカウンターパートにもう少し詳しく話してもらい、特に「テクノロジーの悪用に対抗する」というカテゴリーで私たちが取り組んでいるいくつかの仕事について、【上級管理官】に直接話してもらうことにしましょう。
So, with that, [senior administration official], I’ll hand over to you. それでは、【上級管理官】、あなたにバトンタッチします。
SENIOR ADMINISTRATION OFFICIAL:  Thanks, [senior administration official].  And thanks, everybody. 【上級管理官】:ありがとうございます、【上級管理官】。 そして、皆さん、ありがとうございました。
So, one of the areas that we have really honed in on in particular is the proliferation and misuse of commercial spyware.  私たちが特に力を入れている分野の1つは、商用スパイウェアの拡散と悪用です。 
And we’ve got a number of initiatives that we were able to unveil before and that we will be unveiling as part of the summit that address what we view as the multifaceted challenge posed by the proliferation and misuse of commercial spyware, both in terms of hard national security concerns with regard to counterintelligence and security risks to our personnel and their families, but also with regard to our partners and then also with regard to the misuse abroad to facilitate human rights abuses. 私たちは、商業用スパイウェアの拡散と悪用がもたらす多面的な課題に対処するため、サミットの一環として、以前に発表できたイニシアチブと、これから発表するイニシアチブを数多く用意しています。これは、防諜や兵士とその家族に対する安全保障上のリスクという国家安全保障上の懸念と、パートナーに対する懸念、さらに、人権侵害を助長する海外での悪用という観点から見た場合、そのような課題を提起しています。
So as many of you may have seen in his speech today, the President addressed the threat of commercial spyware directly.  And he highlighted, in particular, an action we took and we unveiled on Monday, which is an executive order that President Biden signed that would restrict for the first time use of commercial spyware if it poses risks from a counterintelligence or security perspective, or in terms of misuse, for example, to facilitate human rights abuses. 今日の演説をご覧になった方も多いと思いますが、大統領は商業用スパイウェアの脅威を直接取り上げました。  特に、私たちが月曜日に発表したある行動を強調しました、 これはバイデン大統領が署名した大統領令で、防諜や安全保障の観点、あるいは人権侵害を助長するなどの悪用という観点から、商用スパイウェアの使用を初めて制限するものです。
So we’ve taken a number of initiatives in this space to address in one case — on the one hand, misuse, for which we have now established robust guardrails for the United States through the executive order; the proliferation of these tools through export controls, including placing commercial spyware vendors on our Department of Commerce Entity List; the development of these tools, for which we have both export controls to restrict and prevent the sale of software technologies and goods that could lead to the development of these tools, but also restrictions on the ability of members of — or officials from the U.S. intelligence community who may seek work abroad after leaving government service, for which our Office of the Director of National Intelligence issued just last week new binding guidance to implement statutory restrictions on the ability of intelligence community professionals to go work for foreign entities abroad. そこで、私たちはこのスペースで、あるケースに対応するために、さまざまな取り組みを行ってきました。一方、悪用に対しては、大統領令によって米国に強固なガードレールを確立しています; また、これらのツールの開発については、商業用スパイウェアのベンダーを商務省の企業リストに掲載するなど、これらのツールの開発につながる可能性のあるソフトウェア技術や商品の販売を制限し、防止するための輸出規制を行っています。さらに、米国の情報機関のメンバーや職員が公務員を辞めた後に海外で仕事をしようとする場合の制限についても、国家情報長官室が先週、情報機関の専門家が海外で外国企業のために働く能力に関する法的制限を実施するための新しい拘束力のある指針を発表したところです。
And then, finally — and we’re very proud to announce a new diplomatic initiative on commercial spyware, which is also referenced in the factsheet that was released earlier today, which is a joint statement on efforts to counter the proliferation and misuse of commercial spyware. これは、本日発表されたファクトシートでも言及されていますが、商用スパイウェアの拡散と悪用に対抗するための取り組みに関する共同声明を発表したことになります。
We are going to be joining an initial group of now 10 additional partners in endorsing the joint statement, which is the first time and the first opportunity to really deepen international cooperation on countering the proliferation and misuse of commercial spyware. この共同声明は、商業用スパイウェアの拡散と悪用に対抗するための国際協力を深めるための初めての機会です。
Now, the initial group of partners includes Australia, Canada, Costa Rica, Denmark, France, New Zealand, Norway, Sweden, Switzerland, the United Kingdom, and, of course, the United States. オーストラリア、カナダ、コスタリカ、デンマーク、フランス、ニュージーランド、ノルウェー、スウェーデン、スイス、英国、そしてもちろん米国が、最初のパートナーです。
And this is really a novel initiative to underscore that we jointly view the threat and the risk posed by the misuse of commercial spyware the same way that we agree on the need for strict domestic and international controls on the proliferation and use of this technology. これは、商業用スパイウェアの悪用がもたらす脅威とリスクを共同で認識し、この技術の拡散と使用に対する国内および国際的な厳格な管理の必要性に同意していることを強調する、実に斬新な取り組みです。
We will be releasing the joint statement tomorrow as part of the U.S. co-hosted event.  私たちは明日、米国共催のイベントの一環として共同声明を発表する予定です。 
And on that note, let me turn over to [senior administration official] to explain that further.  その上で、【上級管理官】にさらに説明をさせてください。 
SENIOR ADMINISTRATION OFFICIAL:  Thank you, [senior administration official].  【上級管理官】:ありがとうございます、【【上級管理官】】。 
The two initiatives that [senior administration official] just outlined in more detail are part of a broader package of commitments that we’re making dedicated to countering the misuse of technology and the rise of digital authoritarianism, which is one of the three buckets that [senior administration official] outlined that will be highlighted at the event tomorrow and reflect the administration’s approach to technology for democracy.  今、【上級管理官】が詳しく説明した2つのイニシアチブは、テクノロジーの悪用やデジタル権威主義の台頭に対抗するために私たちが行っている幅広いコミットメントの一部であり、【上級管理官】が説明した3つのバケットの1つで、明日のイベントで取り上げられる、民主化のためのテクノロジーに対する政権のアプローチを反映しています。 
In addition to the EO and the joint statement, we are also going to be stepping up our support for organizations and people that may be targeted with spyware and other cyberattacks — so the potential victims. 大統領令や共同声明に加え、スパイウェアなどのサイバー攻撃の標的となりうる組織や人々、つまり潜在的な被害者に対する支援も強化する予定です。
The U.S. Cybersecurity and Infrastructure Security Agency — or CISA, as it’s commonly known — has launched a new initiative to better protect organizations within the United States that are at risk of being targeted by transnational repression.  米国のサイバーセキュリティおよびインフラストラクチャ・セキュリティ機関(通称CISA)は、国境を越えた弾圧の標的となる危険性のある米国内の組織をよりよく保護するための新しい取り組みを開始しました。 
This will fill an important gap in that the State Department’s activity in this space to date were focused on supporting organizations abroad against these threats.  国務省がこれまでこの分野で行ってきた活動は、こうした脅威から海外の組織を支援することに重点を置いていたため、これは重要なギャップを埋めることになります。 
Other countries have witnessed a similar rise in transnational attacks on activists, so CISA is also partnering with its counterparts, other national cybersecurity centers, to deepen international cooperation on how to better protect those at risk within their borders.  CISAは、国境を越えた活動家への攻撃も同様に増加していることから、カウンターパートです他の国のサイバーセキュリティセンターとも提携し、国境内で危険にさらされている人々をより良く保護する方法について国際協力を深めています。 
The initial participants in this work include the United Kingdom, which would co-lead this effort, Australia, Canada, Denmark, Estonia, France, Japan, New Zealand, and Norway.  この取り組みの最初の参加国は、この取り組みを共同主導するイギリス、オーストラリア、カナダ、デンマーク、エストニア、フランス、日本、ニュージーランド、ノルウェーです。 
I’d like to briefly highlight two other important initiatives that focus on technology more broadly in this bucket of countering the misuse of technology and the rise of digital authoritarianism.  テクノロジーの悪用やデジタル権威主義の台頭に対抗するため、より広くテクノロジーに焦点を当てた他の2つの重要なイニシアティブを簡単に紹介したいと思います。 
First is: The United States is proud to join the other members of the Freedom Online Coalition to release the guiding principles for government use of surveillance technology, which we will publish tomorrow.  And these guiding principles outline that any government that wants to adhere to democratic principles and human rights can use such technology in a responsible manner.  And it contrasts with those governments that do not.  まず1つ目は 米国は、Freedom Online Coalitionの他のメンバーとともに、政府の監視技術使用に関する指導原則を発表することを誇りに思います(明日発表します)。  そしてこの指導原則は、民主主義の原則と人権を守ろうとする政府であれば、責任ある方法でそうした技術を使用することができると概説しています。  そして、そうでない政府とは対照的なものです。 
And we are delighted that over 40 summit participating states have already endorsed the principles at this point.  そして、サミット参加国のうち40カ国以上が、現時点ですでにこの原則を承認していることを、私たちは嬉しく思っています。 
In addition to the focus on what responsible government behavior looks like, we also want to make sure that the goods and services that leave our borders do not unintentionally contribute to digital authoritarianism abroad.  責任ある政府の行動とはどのようなものかということに焦点を当てることに加え、私たちは、国境を離れた商品やサービスが、意図せずして海外のデジタル権威主義に加担することがないようにしたいとも考えています。 
That is why we’re delivering on our commitment at the first summit and have developed a code of conduct that is designed to better integrate human rights criteria in our export control regime and those of the other 20 countries that have already endorsed it.  そのため、私たちは第1回サミットでの公約を実現し、私たちの輸出管理体制とすでに承認している他の20カ国の輸出管理体制に人権基準をより統合するための行動規範を作成しました。 
You can find more details about this in the White House fact sheet that was released today, and the individual documents will be released tomorrow ahead of the event. これについての詳細は、本日発表されたホワイトハウスのファクトシートでご覧いただけます。また、個々の文書は、イベントに先駆けて明日発表される予定です。
To briefly highlight a few key announcements that fall into the other two buckets of the three themes that [senior administration official] outlined at the beginning: 冒頭で【上級管理官】が説明した3つのテーマのうち、他の2つのバケットに該当するいくつかの重要な発表を簡単に紹介します:
Within the first bucket, focusing on our affirmative vision for a free and open Internet and making sure everybody has access, the President is making sure that we are meeting the — that we are meeting the increased demand for anti-censorship technologies and that sufficient funding is available to expand access to such technologies.  最初のバケツでは、自由で開かれたインターネットと誰もがアクセスできるようにするための肯定的なビジョンに焦点を当て、大統領は、検閲防止技術に対する需要の高まりに応え、そうした技術へのアクセスを拡大するための十分な資金が利用できるようにすることを確認しました。 
We’ve also announced a new funding package to strengthen the government of Costa Rica’s cybersecurity, which is an example of our broader efforts to build capacity to increase cyber resilience. また、コスタリカ政府のサイバーセキュリティを強化するための新しい資金パッケージも発表しました。これは、サイバーレジリエンスを高めるための能力構築という私たちの幅広い取り組みの一例です。
In addition, the Treasury is committing to update its general licenses across relevant sanctions regimes to ensure that communications technology is available to people in sanctioned countries so that they can communicate with each other and with the outside world. さらに、財務省は、制裁対象国の人々が互いに、また外の世界とコミュニケーションできるように通信技術を利用できるようにするため、関連する制裁体制全体で一般ライセンスを更新することにコミットしています。
With respect to the third bucket, and to just close this out — the third bucket is focusing on shaping emerging technologies to align with democratic principles and human rights.  The White House Office of Science and Technology Policy has released a National Strategy to Advance Privacy-Preserving Data Sharing and Analytics, which builds on the blueprint for an AI bill of rights that the White House released last year, as well as the new AI risk-management framework that the Department of Commerce and NIST launched in January. 3つ目のバケツは、民主主義の原則と人権に沿った新興技術の形成に焦点を当てたものです。  ホワイトハウスの科学技術政策室は、「プライバシーを守るデータ共有と分析を進めるための国家戦略」を発表しました。これは、ホワイトハウスが昨年発表したAI権利章の青写真と、商務省とNISTが1月に発表した新しいAIリスクマネジメントのフレームワークをベースにしています。
So tomorrow’s discussion will bring together a unique set of speakers, including the OSTP director, the CEO and co-founder of Anthropic, and the executive vice president of the European Commission, alongside two prominent civil society advocates. そこで明日のディスカッションでは、OSTPのディレクター、AnthropicのCEO兼共同創業者、欧州委員会の執行副社長に加え、著名な市民社会の支持者2名を含むユニークなスピーカーが一堂に会する予定です。
So this hopefully gives you a sense of the — of the breadth of the commitments the administration is announcing today and demonstrates that this is truly an effort across departments and agencies, which reflects the administration’s belief that strengthening and defending democracy at home and abroad must be a whole-of-government effort. このように、今日、政権が発表するコミットメントの幅の広さを感じていただければ幸いです。これは、まさに省庁を超えた取り組みであり、国内外での民主主義の強化・擁護は政府全体の取り組みでなければならないという政権の信念を反映しています。
And with that, I’m turning it back to you, [senior administration official]. それでは、【上級管理官】に話を戻します。
SENIOR ADMINISTRATION OFFICIAL:  Thank you.  Moderator, I think we’re ready to take a couple questions. 【上級管理官】:ありがとうございます、司会者。2、3の質問を受けることができます。
Q    Hi, thank you.  Thanks a lot.  I wonder — it’s a little bit separate from what you guys have just spoken about, but there’s a governmental declaration that’s come out via the State Department from the summit.  And, yeah, I wanted to get your comment on, basically, why is that — at the moment, I can only see the endorsements from 73 countries.  I believe you said 85 leaders spoke today, and 120 countries were initially invited to the summit.  So — so, you know, why so few countries signing up?  And you’ve also got 12 countries registering disagreement with part of the text.  Q ハイ、ありがとうございます。  どうもありがとうございました。  今お話されたこととは少し違うのですが、サミットから国務省を通じて政府宣言が発表されました。  今のところ、73カ国からの支持しか見当たりません。  今日は85人の首脳が発言し、当初は120カ国がサミットに招待されたと聞いています。  それなのに、なぜこれほどまでに賛同者が少ないのでしょうか?  また、12カ国が文章の一部に不同意を表明しています。 
So, you know, is there — is there a sense of disappointment that you’re unable to get, you know, full agreement from everyone involved in the summit to, you know, a statement that is not, you know, particularly controversial, from my reading? 私の読みでは、特に議論の余地があるわけでもない声明文に、サミットの関係者全員から完全な同意を得ることができなかったことに、失望感があるのでしょうか。
SENIOR ADMINISTRATION OFFICIAL:  Thanks for that, Simon.  So, yes, the — we just issued the declaration.  No, there’s not a sense of disappointment.  And let me tell you how the process went down.  Over the course of the past 15 months, more or less, since the first summit, we established an intergovernmental group of roughly half of the invited states — so it was in the order of 60 governments or so — to coordinate the development of what became the declaration and ultimately to endorse it.  【上級管理官】:ありがとうございます、サイモン。  そうですね、宣言を発表したところです。  いや、失望しているわけではありません。  そして、そのプロセスがどのようなものであったかをお話ししましょう。  第1回サミットから15カ月間、多かれ少なかれ、招待国の約半数、つまり60カ国程度の政府間グループを立ち上げ、宣言の策定を調整し、最終的にはそれを承認することになりました。 
As you might imagine, as is the case with any joint statement, negotiations are — can sometimes be intense.  In this case, we were dealing with an extraordinarily large number of governments, and some of the conversations went pretty far down to the wire.  ご想像のとおり、どんな共同声明でもそうですが、交渉は時に激しいものになります。  今回の場合、非常に多くの政府を相手にしていたため、かなりギリギリのところまで話が進んだこともありました。 
And so, as you can see on the media note that accompanied the declaration itself — and let me know if you don’t have that — we indicate that this is essentially the opening of the declaration, not the closing.  And so we want to be sure that we give a little bit more time to the roughly half of summit participants who were not involved in the drafting process itself so as to allow them to come on for endorsement. そこで、宣言文に添付されたメディアノート(手元になければ教えてください)にあるように、これは基本的に宣言文の冒頭であり、終結ではないことを示しました。  ですから、サミットの参加者のうち、ドラフト作成そのものに関与していない約半数の人たちにもう少し時間を与え、賛同を得ることができるようにしたいと思います。
Q    Thank you for doing this.  Sorry not to be on topic about the technology announcements tomorrow, but someone I was speaking with earlier today suggested that Netanyahu’s address to the conference this morning was pre-recorded.  And are you all aware if that was the case? Q この度はありがとうございました。  明日の技術発表の話題でなくて申し訳ないのですが、今日の朝、ある人と話していたら、ネタニヤフ首相の今朝の演説は事前に録音されていたのではないかという話がありました。  それが事実かどうか、皆さんはご存じでしょうか?
SENIOR ADMINISTRATION OFFICIAL:  Laura, this is [senior administration official] again.  I am not.  I would point you to the Israelis on that question.  But I don’t have any indication that the remarks were pre-recorded. 【上級管理官】:ローラ、再び【上級管理官】です。  私はそうではありません。  その質問については、イスラエル人を紹介します。  しかし、その発言が事前に録音されたものですという兆候は持っていません。
Q    Thank you. Q ありがとうございます。
Q    Hi, I don’t know if this is going through, but could you speak to which and how many countries declined the invitation to attend the summit?  I know Pakistan said they were, and I know countries like Malaysia and South Africa didn’t attend the previous summit. Q こんにちは、これが通じるかどうかわかりませんが、サミットへの招待を断ったのはどの国か、何カ国か、話していただけますか?  パキスタンはそうだと言っていましたし、マレーシアや南アフリカのような国は前回のサミットに出席しなかったと思いますが。
SENIOR ADMINISTRATION OFFICIAL:  So, correct on Pakistan.  We don’t actually have a full list.  Just to remind, at this point, the summit is still ongoing.  So we have a number of events.  We highlighted the event that the U.S. will hold tomorrow here in Washington.  【上級管理官】:パキスタンについては、その通りです。  実は全リストは持っていないんです。  ただ、現時点では、サミットはまだ進行中ですことをお伝えしておきます。  そのため、さまざまなイベントが開催されています。  米国が明日、ここワシントンで開催するイベントを紹介しました。 
Our four co-hosts are also holding events in each of their capitals, inviting foreign ministers and other ministerial-level participants, civil society, business leaders, et cetera.  So there are lots of ways for governments to participate.  And it will only be on the back end of tomorrow that we have a full tally for all the various participants.  共催の4カ国もそれぞれの首都でイベントを開催し、外務大臣や閣僚クラスの参加者、市民社会、ビジネスリーダーなどを招待しています。  つまり、各国政府が参加する方法はたくさんあるのです。  そして、さまざまな参加者の全容が明らかになるのは、明日の最終日になってからです。 
So, complex summit, and we think that’s appropriate, given the global scope of what we’re trying to do with the Summit for Democracy. 私たちが民主化サミットでやろうとしていることの世界的な広がりを考えると、複合サミットは適切だと思います。
MODERATOR:  Thanks, everyone, for joining.  That’s all the time we have for today.  As a reminder, the speakers on this call can be attributed as “senior administration officials,” and the embargo is now lifted. モデレーター:皆さん、ご参加ありがとうございました。  本日の時間はここまでです。  念のため、この電話会議の発言者は【上級管理官】とし、口外禁止は解除されましたた。
4:55 P.M. EDT  4:55 P.M. EDT 

 

 

Fig1_20210802074601

 

 

| | Comments (0)

米国 ファクトシート:「民主主義のための技術の進歩」と「バイデン-ハリス政権の国内外における民主主義の再生への揺るぎないコミットメント」 (2023.03.29)

こんにちは、丸山満彦です。

第2回民主主義サミットをうけて、ホワイトハウスから、2023.03.29に「民主主義のための技術の進歩」と「バイデン-ハリス政権の国内外における民主主義の再生への揺るぎないコミットメント」が公表されていますね。。。

米国の考え方を理解する上で役立つかもしれませんね。。。こういう流れをみていると、これからの日本の政策もみえてくるかもしれません。。。

 

⚫︎ White House

・2023.03.29 FACT SHEET: Advancing Technology for Democracy

FACT SHEET: Advancing Technology for Democracy ファクトシート:民主主義のための技術の進歩
The first wave of the digital revolution promised that new technologies would support democracy and human rights. The second saw an authoritarian counterrevolution. Now, the United States and other democracies are working together to ensure that the third wave of the digital revolution leads to a technological ecosystem characterized by resilience, integrity, openness, trust and security, and that reinforces democratic principles and human rights. デジタル革命の最初の波は、新しいテクノロジーが民主主義と人権をサポートすることを約束した。しかし、第二の波では権威主義的な反革命が起こった。今、米国と他の民主主義諸国は、デジタル革命の第3の波が、レジリエンス、誠実さ、開放性、信頼、安全性を特徴とし、民主主義の原則と人権を強化する技術的エコシステムにつながることを確実にするために、協力している。
Together, we are organizing and mobilizing to ensure that technologies work for, not against, democratic principles, institutions, and societies.  In so doing, we will continue to engage the private sector, including by holding technology platforms accountable when they do not take action to counter the harms they cause, and by encouraging them to live up to democratic principles and shared values. 我々は共に、テクノロジーが民主主義の原則、制度、社会に逆らわず、そのために働くことを保証するために組織化し、動員している。 そうすることで、我々は、テクノロジー・プラットフォームが、それらが引き起こす害に対抗するための行動を取らない場合に責任を負わせ、民主主義の原則と共通の価値観に従うよう奨励することを含め、民間部門を引き続き関与させる。
At the first Summit for Democracy, President Biden launched the Presidential Initiative for Democratic Renewal, an innovative, targeted expansion of U.S. Government efforts to defend and grow democratic resilience with likeminded partners through diplomacy and foreign assistance. The United States’ agenda on advancing technology for democracy constitutes one of the Presidential Initiative’s five pillars. バイデン大統領は、第1回民主主義サミットで、外交や対外援助を通じて、同じ考えを持つパートナーとともに民主主義のレジリエンスを守り成長させる米国政府の取り組みを、革新的かつ的を絞って拡大する「民主主義再生のための大統領イニシアティブ」を立ち上げた。民主主義のためのテクノロジーの発展に関する米国のアジェンダは、大統領イニシアティブの5つの柱の1つを構成している。
This agenda recognizes that to harness current and emerging technology in a manner that supports democratic values and institutions, democracies must put forward a vision of what they stand for – an affirmative, persuasive, secure and privacy-preserving, values-driven, and rights-respecting view of how technology can enable individual dignity and economic prosperity, and also what they will stand against – the misuse and abuse of technology to repress, control, divide, discriminate, and disenfranchise.  Additionally, democracies must continue looking ahead, so as to align emerging technologies, such as artificial intelligence (AI), with respect for democratic principles, human rights and fundamental freedoms. このアジェンダは、民主主義の価値と制度を支える形で現在および将来のテクノロジーを活用するために、民主主義国は、自分たちが支持するもの、すなわち、テクノロジーが個人の尊厳と経済的繁栄をいかに可能にするかについて、肯定的、説得的、安全かつプライバシー保護的、価値主導的、権利尊重的であるというビジョンを提示し、また自分たちは何に反対していくのか、すなわち抑圧、統制、分裂、差別および権利剥奪のためのテクノロジーの誤用および悪用を提示しなければならないと考えている。 さらに、民主主義国家は、人工知能(AI)などの新興技術を、民主主義の原則、人権、基本的自由の尊重と整合させるために、先を見据えた取り組みを続けなければならない。
The Biden-Harris Administration’s approach to advancing technology for democracy, and the U.S.-hosted event undertaken as part of the second Summit for Democracy, are each guided by these three key themes: advancing democracy and internet freedom in the digital age, countering the misuse of technology and rise of digital authoritarianism, and shaping emerging technologies to ensure respect for human rights and democratic principles. バイデン-ハリス政権の民主主義のためのテクノロジー推進へのアプローチと、第2回民主主義のためのサミットの一環として行われた米国主催のイベントは、それぞれ、デジタル時代における民主主義とインターネットの自由の推進、テクノロジーの悪用とデジタル権威主義の台頭に対抗する、人権と民主主義の原則を確実に尊重するための新興テクノロジーの形成という3つの主要テーマに導かれている。
Advancing Democracy and Internet Freedom in the Digital Age デジタル時代における民主主義とインターネットの自由の推進
Our affirmative vision for the world’s technological and digital future is one that is free, open, secure, and aligned with respect for democratic principles and human rights. The Declaration for the Future of the Internet, now affirmed by more than 65 countries, and the Blueprint for an AI Bill of Rights, both released following the first Summit for Democracy, help to lay the groundwork for this vision. Additionally, the Biden-Harris Administration’s inaugural National Cybersecurity Strategy outlines a series of actions to advance our positive vision for cyberspace. 世界のテクノロジーとデジタルの未来に対する我々の肯定的なビジョンは、自由でオープン、安全で、民主主義の原則と人権の尊重と調和したも。現在65カ国以上で承認されている「インターネットの未来に関する宣言」と、第1回民主主義サミットの後に発表された「AI権利章典のための青写真」は、このビジョンの基礎作りに役立っている。さらに、バイデン-ハリス政権の初代国家サイバーセキュリティ戦略は、サイバースペースのポジティブなビジョンを推進するための一連のアクションを概説している。
Since the first Summit for Democracy, we have advanced our affirmative agenda in additional key areas, including by mobilizing fellow democracies to advance Internet freedom, bolstering the development of national technology frameworks that align with human rights, and supporting the development of technologies that embed democratic values at every stage of their design and use. And the Biden-Harris Administration is making historic investments to close the digital divide in the United States, while laying the foundation to help shape biotechnologies in line with democratic principles and human rights. 第1回民主主義サミット以降、我々は、インターネットの自由を推進するために民主主義諸国を動員し、人権に沿った国家技術枠組みの開発を強化し、その設計と使用のあらゆる段階で民主的価値を組み込む技術の開発を支援するなど、さらなる重要分野で肯定的な議題を進めてきました。また、バイデン-ハリス政権は、米国のデジタルデバイドを解消するために歴史的な投資を行うとともに、民主主義の原則と人権に沿ったバイオテクノロジーの形成を支援するための基盤を構築している。
Key actions announced or highlighted at the second Summit for Democracy include: 第2回民主主義のためのサミットで発表された、または強調された主なアクションは以下の通りである:
Expanding the Advancing Digital Democracy Initiative. This USAID initiative launched at the first Summit aims to foster open, secure, and inclusive digital societies in which technology advances democratic principles and respect for human rights. In addition to existing pilot programs in Serbia and Zambia, USAID is standing up six more programs in Africa, Asia, Europe, and Latin America. デジタル・デモクラシーの推進イニシアチブの拡大:第1回サミットで発表されたこのUSAIDのイニシアチブは、テクノロジーが民主主義の原則と人権の尊重を促進する、オープンで安全、かつ包括的なデジタル社会の育成を目的としている。セルビアとザンビアでの既存のパイロットプログラムに加え、USAIDはアフリカ、アジア、ヨーロッパ、ラテンアメリカでさらに6つのプログラムを立ち上げている。
Strengthening the Freedom Online Coalition. To implement the Presidential Initiative’s commitment to strengthen and expand the Freedom Online Coalition, the United States assumed the body’s chairship in January 2023 for the first time in the Coalition’s 12-year history. The Department of State, together with USAID and the White House Office of Science and Technology Policy, is now implementing an ambitious Program of Action for this coalition of 36 governments focused on Internet freedom. This includes expanding the body’s membership and strengthening its governance by institutionalizing a troika leadership system among past, present, and future chairs. フリーダム・オンライン連合の強化:フリーダム・オンライン連合の強化・拡大という大統領主導のコミットメントを実行するため、米国は2023年1月、同連合の12年の歴史で初めて、同団体の議長国を引き受けた。国務省は、USAIDおよびホワイトハウス科学技術政策局とともに、インターネットの自由に焦点を当てた36の政府からなるこの連合のために、現在、野心的な行動プログラムを実施している。これには、この組織のメンバーを拡大し、過去、現在、未来の議長によるトロイカ・リーダーシップ・システムを制度化することによって、そのガバナンスを強化することが含まれる。
Growing the Multilateral Surge and Sustain Fund for Anti-Censorship Technology. This Fund, created following the first Summit for Democracy, is managed by the Department of State and designed to expand access to anti-censorship technologies for those who most need critical tools to access the free and open Internet in repressive environments.  The Department of State and U.S. Agency for Global Media have contributed over $17 million to the Open Technology Fund, an independent 501(c)(3) non-profit organization, for this fund. The United States welcomes a recent pledge from the Government of Estonia to contribute to the Fund.   検閲防止技術のための多国間支援・持続基金の拡大:この基金は、第1回民主化サミット後に創設されたもので、国務省が管理し、抑圧的な環境下で自由で開かれたインターネットにアクセスするための重要なツールを最も必要とする人々のために、検閲防止技術へのアクセスを拡大することを目的としている。  国務省と米国グローバルメディア庁は、この基金のために、独立した501(c)(3)非営利団体であるオープンテクノロジー基金に1700万ドル以上を拠出している。米国は、エストニア政府が最近、この基金に拠出することを約束したことを歓迎する。 
Updating Existing Internet Freedom General Licenses. To help make critical Internet communications technology available to local populations in closed societies, the Department of the Treasury’s Office of Foreign Assets Control will amend existing internet communications general licenses (GLs) across relevant sanctions regimes that impose comprehensive sanctions on the target jurisdiction, emulating recent action in the context of Iran, and will work with other countries to share best practices in this area. 既存のインターネット自由一般ライセンスを更新:重要なインターネット通信技術を閉鎖的な社会の地域住民が利用できるようにするため、財務省外国資産管理局は、イランの文脈における最近の行動を模倣して、対象となる司法管轄区に包括的な制裁を課す関連制裁体制全体で既存のインターネット通信一般免許(GL)を改正し、この分野におけるベストプラクティスを他の国々と共有するために協力する予定である。
Developing Donor Principles for the Digital Age. USAID announced that it will work with its partners to develop voluntary, non-binding Donor Principles for the Digital Age to advance human rights and democratic principles, as well as relevant safeguards for donor-supported programs. デジタル時代のドナー原則の開発:USAIDは、人権と民主主義の原則、およびドナー支援プログラムに関連するセーフガードを推進するため、パートナーと協力して、デジタル時代の自発的で拘束力のないドナー原則を策定すると発表した。
Promoting Information Integrity and Resilience (ProInfo) Initiative. Building on the work of the Summit for Democracy Information Integrity Cohort, the ProInfo Initiative expands existing efforts at USAID and the Department of State to strengthen information integrity and resilience globally by advancing private-public-civic partnerships and improving cooperation among key stakeholders, including by demonstrating leadership at the OECD and in other relevant multilateral fora.  USAID will provide up to $16 million to enhance technical assistance and capacity building to local civil society, governments, and media outlets. USAID will expand international donor coordination in order to maximize investments to strengthen information integrity and resilience, especially with respect to marginalized communities, including in the Global South 情報インテグリティとレジリエンス (ProInfo) イニシアティブの推進:サミット・フォー・デモクラシー情報インテグリティ・コホートの活動を基に、ProInfoイニシアチブはUSAIDと国務省の既存の取り組みを拡大し、民間-公共-市民のパートナーシップを促進し、OECDやその他の関連する多国間フォーラムでリーダーシップを発揮するなどして、主要関係者の協力を向上させることにより、情報インテグリティとレジリエンスを世界的に強化します。  USAIDは、現地の市民社会、政府、報道機関に対する技術支援と能力開発を強化するために、最大1600万ドルを提供する。USAIDは、情報の完全性とレジリエンスを強化するための投資を最大化するために、特にグローバル・サウスを含む周縁化されたコミュニティに関して、国際的なドナーの調整を拡大する。 
Cybersecurity Support. On the margins of the Costa Rica’s Summit for Democracy event in San José, the U.S. government announced a new funding package to strengthen the Government of Costa Rica’s cybersecurity. Following damaging ransomware attacks, the assistance package will include a combination of vulnerability assessments, capacity building, and the provision of tools and services. This is an example of how the United States works with partners around the world to build their capacity to address shared threats in cyberspace and support a secure, open, and reliable digital ecosystem. サイバーセキュリティの支援:サンホセで開催されたコスタリカの民主化サミットの会場で、米国政府はコスタリカ政府のサイバーセキュリティを強化するための新しい資金パッケージを発表した。ランサムウェアによる被害を受けて、この支援パッケージには、脆弱性評価、能力開発、ツールやサービスの提供などが含まれる予定である。これは、米国が世界中のパートナーと協力して、サイバースペースにおける共通の脅威に対処し、安全でオープンで信頼性の高いデジタルエコシステムをサポートするための能力を構築する方法の一例である。
Countering the Misuse of Technology and Rise of Digital Authoritarianism 技術の悪用とデジタル権威主義の台頭への対策
From AI-powered mass surveillance to censorship at scale, autocratic governments are increasingly employing technology to repress their citizens and control critics at home and abroad. At the same time, misuse and abuse of technologies can occur in both autocracies and democracies alike, as evidenced by alarming instances of misuse of commercial spyware and the spread of online harassment and abuse.   AIを活用した大規模な監視から大規模な検閲まで、独裁的な政府は、国内外で市民を抑圧し、批評家をコントロールするためにテクノロジーを採用することが増えている。同時に、商業用スパイウェアの悪用や、オンラインでの嫌がらせや虐待の広がりなど、憂慮すべき事例が示すように、テクノロジーの誤用や乱用は独裁国家でも民主国家でも同様に起こりうる。 
To address this challenge, the Biden-Harris Administration is unveiling at the second Summit for Democracy a comprehensive package of actions meant to combat digital repression from multiple angles – from leading by example with respect to use of commercial spyware and deepening international cooperation on this issue; to championing new principles to guide governments’ use of surveillance technology; to announcing a new efforts to integrate a human rights lens into export controls so as to prevent dual-use technologies and goods from falling into the hands of those that may misuse them. The U.S. government is also calling on the private sector to combat authoritarian use of network-level filtering technology for repressive censorship by supporting and furthering censorship-resistant technologies and technical standards. この課題に対処するため、バイデン-ハリス政権は、第2回民主主義のためのサミットにおいて、商業用スパイウェアの使用に関して模範を示し、この問題に関する国際協力を深めることから、政府による監視技術の使用を導くための新しい原則を支持し、デュアルユースの技術や商品が悪用する者の手に渡るのを防ぐため、輸出規制に人権の視点を統合する新しい取り組みを発表するまで、デジタル弾圧と多角的に戦うための包括的な行動パッケージを発表している。また、米国政府は民間企業に対し、検閲に強い技術や技術標準を支援・促進することで、抑圧的な検閲のためにネットワークレベルのフィルタリング技術を権威的に使用することに対抗するよう求めている。
Key actions announced or highlighted at the second Summit for Democracy include: 第2回民主化サミットで発表または強調された主なアクションは以下の通りである:
Executive Order Prohibiting the Use of Commercial Spyware that Poses Risks to National Security. President Biden’s new Executive Order prohibits the operational use of commercial spyware by the U.S. Government when it poses significant counterintelligence or security risks to the United States, or significant risks of improper use by a foreign government or foreign person. The Executive Order substantially advances the Administration’s multifaceted effort to counter the proliferation and misuse of commercial spyware and serves as a demonstration of the United States’ commitment to countering the proliferation and misuse of commercial spyware and other surveillance technology.   国家安全保障に危険を及ぼす商用スパイウェアの使用を禁止する大統領令。バイデン大統領の新しい大統領令は、米国に対する重大な防諜または安全保障上のリスク、あるいは外国政府または外国人による不適切な使用の重大なリスクをもたらす場合、米国政府による商用スパイウェアの運用使用を禁止している。この大統領令は、商用スパイウェアの拡散と悪用に対抗するための政権の多面的な取り組みを実質的に前進させるものであり、商用スパイウェアおよびその他の監視技術の拡散と悪用に対抗する米国の決意を示すものとなっている。  
Joint Statement on Efforts to Counter the Proliferation and Misuse of Commercial Spyware. Complementing the Executive Order, the United States is joining an initial group of nine partners in endorsing the Joint Statement, which aims to deepen international cooperation on countering the proliferation and misuse of commercial spyware. The initial group of partners includes: Australia, Canada, Costa Rica, Denmark, France, New Zealand, Norway, Sweden, Switzerland, and the United Kingdom. 商業用スパイウェアの拡散と悪用に対抗するための努力に関する共同声明。この共同声明は、商業用スパイウェアの拡散と悪用に対抗するための国際協力の深化を目的としている。初期グループのパートナーは以下の通りである: オーストラリア、カナダ、コスタリカ、デンマーク、フランス、ニュージーランド、ノルウェー、スウェーデン、スイス、英国である。
Restrictions on Post-Service Employment with Foreign Entities of Concern. In addition, Congress enacted new statutory authorities and requirements related to commercial spyware in the Intelligence Authorization Acts for Fiscal Years 2022 and 2023, including new restrictions and reporting requirements for Intelligence Community (IC) employees’ post-service employment with foreign governments or companies, to include foreign commercial spyware entities. On March 23, 2023, the Director of National Intelligence issued binding guidance to the U.S. Intelligence Community to implement these statutory requirements, which set a standard that we hope will be followed by other countries 懸念される外国企業への兵役後の雇用の制限。さらに、議会は、2022年度および2023年度の情報認可法において、商業スパイウェアに関連する新たな法的権限および要件を制定した。これには、外国の商業スパイウェア事業体を含む、情報コミュニティ(IC)職員の外国政府または企業への勤務後の雇用に関する新たな制限および報告要件が含まれている。2023年3月23日、国家情報長官は、これらの法定要件を実施するために、米国の情報コミュニティに対して拘束力のあるガイダンスを発行し、他国が追随することを期待する基準を設定した。 
High Risk Community Protection Initiative. The Cybersecurity and Infrastructure Security Agency (CISA) at the U.S. Department of Homeland Security announced the next phase of its groundbreaking High Risk Community Protection Initiative, which is dedicated to strengthening the cybersecurity of high-risk communities—such as civil society organizations—in the United States against transnational repression. ハイリスクコミュニティ保護イニシアティブ。米国国土安全保障省のサイバーセキュリティおよびインフラセキュリティ局(CISA)は、画期的な「ハイリスクコミュニティ保護イニシアチブ」の次の段階を発表した。これは、米国内の市民社会組織などの高リスクコミュニティのサイバーセキュリティを国境を越えた抑圧から強化することを目的としている。
Strategic Dialogue on Cybersecurity of Civil Society Under Threat of Transnational Repression. In complement to CISA’s High Risk Community Protection Initiative, which focuses on actors within the United States, the United Kingdom and the United States will co-host the Strategic Dialogue to facilitate greater international cooperation among the cybersecurity agencies of likeminded countries to strengthen the cybersecurity of civil society against transnational repression within participating states’ respective borders. The initial participants in this dialogue include the United Kingdom, Australia, Canada, Denmark, Estonia, France, Japan, New Zealand, and Norway. 国境を越えた弾圧の脅威にさらされる市民社会のサイバーセキュリティに関する戦略的な対話。米国内のアクターに焦点を当てたCISAのハイリスクコミュニティ保護イニシアティブを補完する形で、英国と米国は、参加国それぞれの国境内で国境を越えた弾圧に対する市民社会のサイバーセキュリティを強化するために、志を同じくする国々のサイバーセキュリティ機関の間でより大きな国際協力を促進する戦略的対話を共同主催します。この対話の最初の参加国は、英国、オーストラリア、カナダ、デンマーク、エストニア、フランス、日本、ニュージーランド、ノルウェーである。
Guiding Principles on Government Use of Surveillance Technologies. Drafted as a consensus document among the 36 members of the Freedom Online Coalition, these principles outline how governments can respect democratic values and protect human rights as they use surveillance technologies in three key areas of concern. The Guiding Principles draw a clear distinction between those governments that adhere to appropriate behaviors and those who misuse surveillance technologies for repression. The members of the Freedom Online Coalition are Argentina, Australia, Austria, Canada, Chile, Costa Rica, Czech Republic, Denmark, Estonia, Finland, France, Georgia, Germany, Ghana, Ireland, Italy, Japan, Kenya, Latvia, Lithuania, Luxembourg, Maldives, Mexico, Moldova, Mongolia, The Netherlands, New Zealand, Norway, Poland, Slovakia, Spain, Sweden, Switzerland, Tunisia, the United Kingdom, and the United States. The following additional states participating in the second Summit for Democracy have endorsed the Guiding Principles: Albania, Bulgaria, Croatia, Ecuador, Iceland, Kosovo, Malta, and North Macedonia.   監視技術の政府利用に関する指導原則。Freedom Online Coalitionの36のメンバーの合意文書としてドラフトされたこの原則は、政府が3つの重要な関心領域で監視技術を使用する際に、どのように民主主義の価値を尊重し、人権を保護できるかを概説している。指導原則は、適切な行動を遵守する政府と、抑圧のために監視技術を悪用する政府を明確に区別している。Freedom Online連合のメンバーは、アルゼンチン、オーストラリア、オーストリア、カナダ、チリ、コスタリカ、チェコ共和国、デンマーク、エストニア、フィンランド、フランス、グルジア、ドイツ、ガーナ、アイルランド、イタリア、日本、ケニア、ラトビア、リトアニア、ルクセンブルク、モルディブ、メキシコ、モルドバ、モンゴル、オランダ、ニュージーランド、ノルウェー、ポーランド、スロバキア、スペイン、スウェーデン、スイス、チュニジア、英国および米国である。第2回民主化サミットに参加した以下の追加国は、指導原則を承認した: アルバニア、ブルガリア、クロアチア、エクアドル、アイスランド、コソボ、マルタ、北マケドニアである。 
Export Controls and Human Rights Initiative – Code of Conduct for Enhancing Export Controls of Goods and Technology That Could be Misused and Lead to Serious Violations or Abuses of Human Rights. This multilateral Code of Conduct, developed through the Export Controls and Human Rights Initiative announced at the first Summit for Democracy, commits subscribing states to better integrate human rights criteria in their export control regimes. In addition to the United States, the following governments that have endorsed the voluntary code of conduct are:  Albania, Australia, Bulgaria, Canada, Croatia, Czechia, Denmark, Ecuador, Estonia, Finland, France, Germany, Japan, Kosovo, Latvia, The Netherlands, New Zealand, North Macedonia, Norway, Republic of Korea, and the United Kingdom. 輸出管理・人権イニシアティブ - 悪用され、人権の深刻な侵害や乱用につながる可能性のある商品と技術の輸出管理を強化するための行動規範。この多国間行動規範は、第1回民主化サミットで発表された「輸出管理・人権イニシアティブ」を通じて作成され、加入国に対し、輸出管理体制に人権基準をよりよく組み込むことを約束する。米国のほか、自主行動規範を承認した政府は以下の通りである:  アルバニア、オーストラリア、ブルガリア、カナダ、クロアチア、チェコ、デンマーク、エクアドル、エストニア、フィンランド、フランス、ドイツ、日本、コソボ、ラトビア、オランダ、ニュージーランド、北マケドニア、ノルウェー、韓国、および英国である。
Complementing U.S. government efforts, a number of private sector actors have also taken specific action to counter the misuse of technology and rise of digital authoritarianism. For example, over 150 companies, spearheaded by Microsoft, Meta, Cisco, Trend Micro and endorsed by Apple and Google, released a set of principles focused on minimizing the risk associated with commercial spyware. Among other corporate commitments, Cloudflare has committed to meaningful consultation with civil society as it works with Internet standards bodies and other Internet providers on the next generation of privacy-enhancing technologies and protocols. Meta has committed to helping people communicate freely and securely, including through a new feature that allows users to connect to WhatsApp by proxy when their Internet connection is disrupted or blocked. Microsoft, together with other cloud service providers, has developed and released the Trusted Cloud Principles. Google is launching a $2 million fund to support human rights defenders, and providing 100,000 security keys at no cost to individuals at higher risk of cyber attacks, such as journalists and human rights defenders. 米国政府の取り組みを補完する形で、多くの民間企業もテクノロジーの悪用やデジタル権威主義の台頭に対抗するために具体的な行動を起こしている。例えば、Microsoft、Meta、Cisco、Trend Microが主導し、AppleとGoogleが支持する150以上の企業が、商用スパイウェアに関連するリスクを最小限に抑えることに焦点を当てた一連の原則を発表した。他の企業のコミットメントとして、Cloudflareは、次世代のプライバシー強化技術やプロトコルについてインターネット標準化団体や他のインターネットプロバイダーと協働する際に、市民社会との有意義な協議を行うことを約束した。Metaは、インターネット接続が中断またはブロックされた場合にWhatsAppに代理接続できる新機能を含め、人々が自由かつ安全にコミュニケーションできるよう支援することを約束した。マイクロソフトは、他のクラウドサービスプロバイダーとともに、「Trusted Cloud Principles」を開発・公表している。グーグルは人権擁護者を支援するために200万ドルの基金を立ち上げ、ジャーナリストや人権擁護者などサイバー攻撃のリスクが高い個人に対して10万個のセキュリティキーを無償で提供するとしている。
Additionally, the Biden-Harris Administration announced, as part of the Global Partnership for Action on Gender-Based Online Harassment and Abusea series of actions to prevent and respond to technology-facilitated gender-based violence and counter its chilling effects on women leaders. This includes committing more than $13 million in targeted funding across USAID and the Department of State. The Global Partnership has grown to be a 12-country initiative bringing together governments, international organizations, civil society, and the private sector to prioritize, understand, prevent, and address the growing scourge of technology-facilitated gender-based violence, which disproportionately impacts women, girls, and LGBTQI+ political and public figures, leaders, journalists and activists. These actions and investments also include the release of the Global Partnership’s 2023 Roadmap and several other initiatives. さらに、バイデン-ハリス政権は、「ジェンダーに基づくオンライン・ハラスメントと虐待に関する行動のためのグローバル・パートナーシップ」の一環として、テクノロジーが促進するジェンダーに基づく暴力を防止・対応し、女性リーダーに対するその冷ややかな影響に対抗する一連のアクションを発表した。これには、USAIDと国務省にまたがる1300万ドル以上の目標資金の投入が含まれる。グローバル・パートナーシップは、政府、国際機関、市民社会、民間部門を結集し、女性、少女、LGBTQI+の政治家、公人、リーダー、ジャーナリスト、活動家に不釣り合いな影響を与える、テクノロジーによるジェンダーに基づく暴力の惨劇を優先的に理解し、予防し、その惨劇に対処する12カ国のイニシアティブに成長した。 これらの行動と投資には、グローバル・パートナーシップの2023年ロードマップの発表やその他のいくつかのイニシアチブも含まれる。
Finally, in September 2022, the Administration released principles for reforms to enhance tech platform accountability, including providing robust federal protections for Americans’ privacy; removing the special legal protections that broadly shield social media companies from liability; and increasing transparency about platform’s algorithms and content moderation decisions. 最後に、2022年9月、政権はテックプラットフォームの説明責任を強化するための改革の原則を発表した。これには、米国人のプライバシーに対する強固な連邦政府の保護の提供、ソーシャルメディア企業を広く責任から守る特別な法的保護の撤廃、プラットフォームのアルゴリズムとコンテンツモデレーションの決定に関する透明性の向上が含まれる。 
Shaping Emerging Technologies to Ensure Respect for Human Rights and Democratic Principles 人権と民主主義の原則の尊重を確保するための新興技術の形成
Emerging technologies, including AI and biotechnology, hold the power to fundamentally shape industries, economies, and entire societies. Automated systems are driving extraordinary benefits, from technology that helps farmers grow food more efficiently and computers that predict storm paths, to algorithms that can identify diseases in patients. These tools now drive important decisions across sectors, while data is helping to revolutionize global industries. They hold the potential to redefine every part of our societies and make life better for everyone, but they also present significant new challenges and risks including to the enjoyment of human rights and fundamental freedoms. We – the private sector, government, and civil society – must ensure that innovation and progress does not come at the price of democratic values or respect for human rights. That is why the Biden-Harris Administration is leveraging the second Summit for Democracy to shine a spotlight on steps it is taking to mitigate risks, and ensure that innovation drives new opportunities for all.    AIやバイオテクノロジーなどの新興テクノロジーは、産業、経済、そして社会全体を根本的に形作る力を秘めている。自動化されたシステムは、農家がより効率的に食物を栽培するための技術や嵐の進路を予測するコンピューター、患者の病気を特定するアルゴリズムなど、並外れた利益をもたらしている。これらのツールは、今や各分野の重要な意思決定の原動力となっており、データはグローバルな産業の変革に役立っている。これらのツールは、我々の社会のあらゆる部分を再定義し、すべての人の生活をより良いものにする可能性を秘めているが、同時に、人権と基本的自由の享受を含む重大な新しい挑戦とリスクをももたらしている。我々民間企業、政府、市民社会は、イノベーションと進歩が民主主義の価値や人権の尊重を犠牲にすることがないようにしなければならない。だからこそ、バイデン-ハリス政権は、第2回民主主義サミットを活用して、リスクを軽減し、イノベーションがすべての人に新たな機会をもたらすことを確実にするために講じているステップにスポットライトを当てている。  
The Administration has released foundational documents providing a road map for achieving these objectives, including an AI Risk Management Framework that the Department of Commerce’s National Institute of Standards and Technology (NIST) released in January 2023, as well as the Blueprint for an AI Bill of Rights that the White House Office of Science and Technology Policy (OSTP) released in October 2022. In February 2023, the President signed Executive Order 14091 on Further Advancing Racial Equity and Support for Underserved Communities Through the Federal Government, which directs federal agencies to root out bias in the design and use of new technologies, such as AI and other automated systems, and to protect the public from algorithmic discrimination. The Administration is also advancing the implementation of the President’s September 2022 Executive Order on Advancing Biotechnology and Biomanufacturing Innovation for a Sustainable, Safe, and Secure American Bioeconomy as the foundation to engage stakeholders at home and abroad on the importance of shaping ethical standards for the biotechnology of the future. 商務省の国立標準技術研究所(NIST)が2023年1月に発表した「AIリスクマネジメント・フレームワーク」や、ホワイトハウスの科学技術政策室(OSTP)が2022年10月に発表した「AI権利章典のためのブループリント」など、政権はこれらの目標達成のためのロードマップを示す基礎資料を発表している。2023年2月、大統領は「連邦政府を通じた人種的公平性のさらなる推進と恵まれないコミュニティへの支援に関する大統領令14091」に署名し、AIやその他の自動化システムなどの新技術の設計と使用におけるバイアスを根絶し、アルゴリズムによる差別から国民を保護するよう連邦機関に指示している。また、政権は、未来のバイオテクノロジーの倫理基準を形成することの重要性について、国内外の関係者を巻き込むための基盤として、2022年9月の「持続可能で安全・安心なアメリカのバイオ経済のためのバイオテクノロジーとバイオ製造イノベーションの推進に関する大統領令」の実施を進めている。
Key deliverables announced or highlighted at the second Summit for Democracy include: 第2回サミット・フォー・デモクラシーで発表され、注目を集めた主な成果物は以下の通りである:
National Strategy to Advance Privacy-Preserving Data Sharing and Analytics. OSTP released a National Strategy to Advance Privacy-Preserving Data Sharing and Analytics, a roadmap for harnessing privacy-enhancing technologies, coupled with strong governance, to enable data sharing and analytics in a way that benefits individuals and society, while mitigating privacy risks and harms and upholding democratic principles.   プライバシーを保護するデータ共有と分析を推進する国家戦略。OSTPは、プライバシーのリスクと害を軽減し、民主主義の原則を守りながら、個人と社会に利益をもたらす方法でデータ共有と分析を可能にするために、強力なガバナンスと相まってプライバシー強化技術を活用するためのロードマップである「プライバシー保護データ共有と分析を促進する国家戦略」を発表した。 
National Objectives for Digital Assets Research and Development. OSTP also released a set of National Objectives for Digital Assets Research and Development, whichoutline its priorities for the responsible research and development (R&D) of digital assets. These objectives will help developers of digital assets better reinforce democratic principles and protect consumers by default. デジタル資産の研究開発のための国家目標。 OSTPはまた、デジタル資産の責任ある研究開発(R&D)に対する優先順位を示した「デジタル資産の研究開発のための国家目標」を発表した。これらの目標は、デジタル資産の開発者が民主主義の原則をより強化し、デフォルトで消費者を保護するのに役立つ。
Launch of Trustworthy and Responsible AI Resource Center for Risk Management. NIST announced a new Resource Center, which is designed as a one-stop-shop website for foundational content, technical documents, and toolkits to enable responsible use of AI. Government, industry, and academic stakeholders can access resources such as a repository for AI standards, measurement methods and metrics, and data sets. The website is designed to facilitate the implementation and international alignment with the AI Risk Management Framework. The Framework articulates the key building blocks of trustworthy AI and offers guidance for addressing them. リスクマネジメントのための「信頼できる責任あるAIリソースセンター」の立ち上げ。NISTは、AIの責任ある利用を可能にするための基礎的なコンテンツ、技術文書、ツールキットをワンストップで提供するウェブサイトとして設計された、新しいリソースセンターを発表した。政府、産業界、学術界の関係者は、AI規格のリポジトリ、測定方法と測定基準、データセットなどのリソースにアクセスできます。このウェブサイトは、AIリスクマネジメントフレームワークの導入と国際的な整合性を促進するために設計されている。フレームワークは、信頼できるAIの主要な構成要素を明示し、それらに対処するためのガイダンスを提供している。
International Grand Challenges on Democracy-Affirming TechnologiesAnnounced at the first Summit, the United States and the United Kingdom carried out their joint Privacy Enhancing Technology Prize Challenges. IE University, in partnership with the U.S. Department of State, hosted the Tech4Democracy Global Entrepreneurship Challenge. The winners, selected from around the world, were featured at the second Summit. 民主主義を肯定する技術に関する国際的なグランドチャレンジ。 第1回サミットで発表された米国と英国は、共同でプライバシー強化技術賞のチャレンジを実施した。 IE大学は、米国国務省と共同で、Tech4Democracy Global Entrepreneurship Challengeを開催した。 世界中から選ばれた受賞者たちは、第2回サミットで紹介された。
### ###

 

 

・2023.03.29 FACT SHEET: The Biden-⁠Harris Administration’s Abiding Commitment to Democratic Renewal at Home and Abroad

FACT SHEET: The Biden-⁠Harris Administration’s Abiding Commitment to Democratic Renewal at Home and Abroad ファクトシート:バイデン-ハリス政権の国内外における民主主義の再生への揺るぎないコミットメント
President Biden has called the struggle to bolster democratic governance at home and abroad the defining challenge of our time. That is because democracy—transparent and accountable government of, for, and by the people—remains the best way to realize lasting peace, prosperity, and human dignity. バイデン大統領は、国内外で民主的な統治を強化するための闘いを、我々の時代の決定的な課題であると述べている。それは、民主主義、すなわち人民の、人民のための、人民による透明で説明責任のある政治が、永続的な平和と繁栄、そして人間の尊厳を実現する最善の方法であることに変わりはないからである。
Internationally, the United States continues to strengthen democratic resilience and respect for human rights through both new and existing initiatives.  In Fiscal Years 2022, 2023, and 2024, the United States has invested and aims to provide approximately $9.5 billion, working with Congress and subject to the availability of appropriations, to suppo 国際的には、米国は新規および既存のイニシアチブを通じて、民主主義のレジリエンスと人権の尊重を強化し続けている。  2022、2023、2024会計年度において、米国は民主主義、人権、グッドガバナンスを世界的に支援するために、議会と協力し、予算が確保されることを前提に、約95億ドルを投資し、提供することを目標としている。
At the first Summit for Democracy held in December 2021, President Biden launched the Presidential Initiative for Democratic Renewal, an expansion of U.S. Government efforts to defend and grow democratic resilience with likeminded partners through diplomacy and foreign assistance. These efforts center on five areas of work crucial to the functioning of transparent, accountable governance:  advancing technology for democracy, supporting free and independent media, fighting corruption, bolstering human rights and democratic reformers, and defending free and fair elections. 2021年12月に開催された第1回民主化サミットで、バイデン大統領は、外交と対外援助を通じて、同じ考えを持つパートナーとともに民主主義のレジリエンスを守り、成長させる米国政府の取り組みを拡大する「民主主義の再生のための大統領イニシアチブ」を立ち上げました。これらの取り組みは、透明で説明可能なガバナンスを機能させるために重要な5つの分野、すなわち、民主主義のためのテクノロジーの推進、自由で独立したメディアの支援、汚職との戦い、人権と民主的改革者の支援、自由で公正な選挙の擁護に焦点を当てている。
Today, the United States is announcingup to $690 million in new funding for the Presidential Initiative for Democratic Renewal through Fiscal Year 2024, working with Congress and subject to the availability of appropriations. As part of the Presidential Initiative, the U.S. Government is also announcing a groundbreaking new suite of policy initiatives intended to advance technology that works for, and not against, democratic societies.   本日、米国は、議会と協力し、予算が確保されることを前提に、2024会計年度までの「民主主義再生のための大統領イニシアチブ」に最大6億9000万ドルの新規資金を提供することを発表した。大統領主導の一環として、米国政府はまた、民主主義社会に対してではなく、そのために機能する技術を促進することを目的とした、画期的な新しい一連の政策イニシアチブを発表している。   
At home, the Biden-Harris Administration has produced historic progress for the American people, proving that democracy delivers a stronger, fairer society that leaves no one behind. Under President Biden’s leadership, the economy has added more than 12 million jobs. The unemployment rate has fallen to 3.6 percent.. The Biden-Harris Administration has taken action to give families more breathing room, including cutting prescription drug costs, health insurance premiums, and energy bills, while driving the uninsured rate to historic lows. It has invested in rebuilding America’s infrastructure, delivering safe roads, clean water, and high-speed Internet to communities across the country. And it is taking the most aggressive action ever to tackle the climate crisis, investing in American innovation and industries that will define the future, and fueling a manufacturing boom that is creating good jobs for workers in parts of the country that have long been left behind.  At the same time, the Biden-Harris Administration has continued to restore and strengthen the United States’ democratic institutions, including by protecting the right to vote and the civil rights of all Americans. 国内では、バイデン-ハリス政権は米国民のために歴史的な進歩をもたらし、民主主義が誰一人取り残さない、より強く、より公平な社会を実現することを証明した。バイデン大統領のリーダーシップの下、経済は1,200万人以上の雇用を増やした。失業率は3.6%まで低下した。バイデン-ハリス政権は、処方箋薬、健康保険料、エネルギー料金の削減など、家庭にゆとりを与えるための措置を講じるとともに、保険未加入率を歴史的な低水準に追いやりました。また、アメリカのインフラ再建に投資し、安全な道路、きれいな水、高速インターネットを国中のコミュニティに提供してきました。また、気候変動問題に取り組むためにこれまでで最も積極的な行動をとり、アメリカのイノベーションと将来を担う産業に投資し、製造業ブームに拍車をかけて、長い間取り残されてきた国内の労働者に良い仕事を生み出している。 同時に、バイデン-ハリス政権は、すべてのアメリカ人の投票権や市民権を保護するなど、米国の民主主義制度の回復と強化を続けてきた。
Advancing Technology for Democracy at Home and Abroad 国内外における民主主義のためのテクノロジーの推進
・The U.S. Government is committed to advancing a positive vision for the Internet and the digital ecosystem; countering the misuse of technology and stemming the tide of digital authoritarianism; and shaping emerging technologies to ensure respect for human rights and democratic principles.  At the Summit, the Administration will announce an ambitious slate of new efforts to ensure that technology strengthens democracy. ・米国政府は、インターネットとデジタル・エコシステムに対するポジティブなビジョンを推進し、テクノロジーの悪用に対抗してデジタル権威主義の流れを止め、人権と民主主義の原則の尊重を確保するために新興テクノロジーを形成することにコミットしている。 サミットにおいて、政権は、テクノロジーが民主主義を強化することを確実にするための野心的な新しい取り組みの数々を発表する予定である。
Promoting Democratic Renewal Abroad 海外における民主主義の再生の促進
Supporting Free and Independent Media. To help mitigate the existential threat to the survival of independent media, USAID via its Media Viability Accelerator is partnering with Microsoft and Internews to create a new, web-based data platform that will enable media outlets to better understand the markets, audiences, and strategies that will maximize their odds of profitability. Additionally, USAID will provide up to $16 million for the Promoting Information Integrity and Resilience Initiative (ProInfo), which will strengthen information integrity globally by advancing international cooperation and private-public-civic partnerships ・自由で独立したメディアを支援する。独立系メディアの存続に対する脅威を軽減するため、USAIDはMedia Viability Acceleratorを通じてMicrosoftおよびInternewsと提携し、メディアが収益性を最大限に高めるための市場、視聴者、戦略をより理解できるような新しいWebベースのデータプラットフォームを構築します。さらに、USAIDは、国際協力と民間-公共-市民パートナーシップを推進することにより、世界的に情報の完全性を強化するPromoting Information Integrity and Resilience Initiative(ProInfo)に最大1600万ドルを提供する予定である。 
Fighting Corruption. In complement to the ongoing work at the U.S. Department of the Treasury to unmask shell companies by requiring them to report information about their beneficial owners, today the U.S. government and over two dozen foreign partners announced the Summit for Democracy Commitment on Beneficial Ownership and Misuse of Legal Persons. The Beneficial Ownership Commitment pledges endorsees to enhancing beneficial ownership transparency so as to make it more difficult for corrupt actors to conceal their identities, assets, and criminal activities through the misuse of opaque corporate structures and legal persons. ・汚職との闘い 米国財務省が現在進めている、シェルカンパニーの実質的な所有者に関する情報の報告を義務付けることにより、シェルカンパニーの正体を暴く取り組みに加え、本日、米国政府と20以上の海外パートナーは、「実質的な所有権と法人の不正利用に関するサミット・フォー・デモクラシーのコミットメント」を発表した。このコミットメントは、不正行為者が不透明な企業構造や法人を悪用し、その身元や資産、犯罪行為を隠すことをより困難にするために、受益権所有者の透明性を高めることを支持者に誓約するも。
・Bolstering Human Rights and Democratic Reformers. ・人権と民主的改革者を強化する。
・・Through the Partnerships for Democratic Development and the Democracy Delivers Initiative, USAID is surging support to countries experiencing democratic breakthroughs by helping reformist leaders show that democracy is delivering concrete benefits to their people.  Since the first Summit for Democracy, the Development Finance Corporation has committed more than $1 billion to help consolidate democratic progress in eight countries on which USAID is focusing the latter effort. ・・民主的発展のためのパートナーシップと民主主義がもたらすイニシアチブを通じて、USAIDは民主主義が国民に具体的な利益をもたらしていることを改革派の指導者が示すのを支援することで、民主主義の躍進を経験している国への支援を強化している。  第1回民主化サミット以来、開発金融公社は、USAIDが後者の取り組みに力を入れている8カ国の民主主義の進展を強化するために、10億ドル以上を拠出している。
・・USAID is creating a first-ever Bureau for Democracy, Human Rights, and Governance to expand and modernize its support for democracy around the world, implement much of the Presidential Initiative, and further infuse democracy, human rights, and good governance considerations across the Agency’s foreign policy and development work. ・・USAIDは、世界中の民主主義への支援を拡大・近代化し、大統領イニシアティブの大部分を実施し、USAIDの外交政策と開発業務に民主主義、人権、良い統治への配慮をさらに浸透させるため、初の民主主義・人権・統治局を創設する。
・・In coordination with the Department of State, the Department of Defense is piloting a program to reduce gaps for women’s participation in partner nation defense and security forces by better incorporating this imperative into security cooperation with its partners. ・・国防総省は、国務省と連携して、パートナー国との安全保障協力にこの要請をよりよく取り入れることにより、パートナー国の防衛・治安部隊への女性の参加に関する格差を縮小するプログラムを試験的に実施している。
Defending Free and Fair Elections.  Following a commitment made at the first Summit for Democracy, USAID has convened the world’s leading election assistance organizations in the Global Network for Securing Election Integrity, to align on standards and practices for supporting clean elections.  It is also issuing a Guide to USAID Electoral Assistance for the 21st Century to highlight the tenets of transparent, politically neutral, technically rigorous electoral assistance, in contrast to the covert and partisan electoral interference of malign foreign actors.    ・自由で公正な選挙を守る。  第1回民主化サミットでの公約に従い、USAIDは世界の主要な選挙支援組織を「選挙の完全性を確保するためのグローバルネットワーク」に招集し、クリーンな選挙を支援するための基準や実践について連携を図りました。  また、「21世紀のUSAID選挙支援ガイド」を発行し、悪意のある外国人による秘密裏に行われる党派的な選挙干渉とは対照的に、透明で政治的に中立、技術的に厳格な選挙支援の信条を強調することにしている。  
Advancing Democratic Renewal at Home 国内での民主的再生の促進
・Protecting the Right to Vote in Free, Fair, and Secure Elections. ・自由、公正、安全な選挙で投票する権利を守る。
・・President Biden has repeatedly and forcefully called on Congress to pass the John Lewis Voting Rights Advancement Act and the Freedom to Vote Act to eliminate discrimination in voting and ensure access to the ballot box for all eligible voters. Until that critical legislation is secured, the Biden-Harris Administration will use every tool at its disposal to protect the right to vote. The Department of Justice has doubled the number of staff dedicated to enforcing voting rights laws, and the President’s FY 2024 Budget provides an increase of $62 million to further strengthen the Department’s Civil Rights Division. The Budget also includes $5 billion to help state and local jurisdictions strengthen our election infrastructure by supporting sustained investment in election equipment, systems, and personnel. Agencies continue to implement the President’s Executive Order directing an all-of-government effort to promote access to voting. ・・バイデン大統領は、投票における差別をなくし、すべての有権者の投票箱へのアクセスを確保するため、ジョン・ルイス投票権促進法および投票自由法の成立を議会に繰り返し力強く求めてきました。この重要な法案が確保されるまで、バイデン=ハリス政権は、投票権を守るためにあらゆる手段を駆使するつもりである。司法省は、投票権法の執行に専念するスタッフの数を倍増させ、大統領の2024年度予算では、同省の公民権部門をさらに強化するために6200万ドルの増員を図っている。また、予算には、選挙機器、システム、人材への持続的な投資を支援することで、州および地方の管轄区域が選挙インフラを強化するための50億ドルも含まれている。各省庁は、投票へのアクセスを促進するための政府全体の取り組みを指示する大統領の大統領令を引き続き実施します。
・・In January 2023, President Biden signed into law the Electoral Count Reform Act, which establishes clear guidelines for our system of certifying and counting electoral votes for President and Vice President. This Act aims to preserve the will of the people and to protect against attempts to overturn our elections, like the attempt that led to the January 6 insurrection. ・・2023年1月、バイデン大統領は、大統領と副大統領の選挙人票を認証・集計する制度に明確なガイドラインを設ける「選挙人票改革法」に署名した。この法律は、民意を維持し、1月6日の暴動につながった試みのように、我々の選挙を覆す試みから保護することを目的としている。
・・The Federal Election Commission took a major step to increase transparency in digital campaigning by finalizing a rule expanding the political advertising disclaimer requirements. These requirements previously applied mainly to traditional print and broadcast; this rule explicitly addresses ads placed for a fee on another person’s website, digital device, application, or advertising platform. Effective March 1, digital political ads must now disclose the entity paying for them. ・・連邦選挙管理委員会は、政治広告の免責事項を拡大する規則を確定させ、デジタル選挙運動の透明性を高めるための大きな一歩を踏み出した。これらの要件は、これまで主に従来の印刷物や放送に適用されていましたが、今回の規則では、他人のウェブサイト、デジタル機器、アプリケーション、広告プラットフォーム上に有料で掲載される広告を明示的に取り上げている。3月1日より、デジタル政治広告は、その費用を支払っている事業者を開示しなければならなくなりました。
・Advancing Equity and Racial Justice and Protecting the Rights of All Americans. ・公平性と人種的正義を推進し、すべてのアメリカ人の権利を守る。
・・Through the implementation of landmark legislation and historic executive action, the Biden-Harris Administration is working to make real the promise of America for everyone—including rural communities, communities of color, Tribal communities, LGBTQI+ individuals, people with disabilities, women and girls, and communities impacted by persistent poverty. To strengthen the federal government’s equity mandate, in February, President Biden signed a second Executive Order further advancing racial equity and support for underserved communities through the federal government. This Executive Order launches a new annual, government-wide process to address the barriers underserved communities face in benefitting from Federal policies, programs, and activities. It also requires agencies to improve their community engagement and seek more input from communities about the policies that impact them. Consistent with this charge, the Office of Information and Regulatory Affairs (OIRA) is developing new tools and guidance to broaden public engagement in the regulatory process. ・・画期的な法律と歴史的な行政措置の実施を通じて、バイデン-ハリス政権は、農村地域、有色人種地域、部族地域、LGBTQI+の人々、障害を持つ人々、女性と少女、持続的貧困の影響を受ける地域など、すべての人にアメリカの約束を実現するために取り組んでいる。連邦政府の公平性を強化するため、バイデン大統領は2月、連邦政府を通じて人種的公平性と十分なサービスを受けていないコミュニティへの支援をさらに推進する2番目の大統領令に署名した。この大統領令は、連邦政府の政策、プログラム、活動から恩恵を受ける上で、十分なサービスを受けていないコミュニティが直面する障壁に対処するための、政府全体の新しい年次プロセスを開始するも。また、各省庁に対して、コミュニティとの関わりを改善し、彼らに影響を与える政策についてコミュニティからより多くの意見を求めることを求めている。この責任に基づき、情報規制局(OIRA)は、規制プロセスにおける市民の関与を広げるための新しいツールとガイダンスを開発している。
・・In a healthy democracy, the criminal justice system must protect the public and ensure fair and impartial justice for all. To advance these mutually reinforcing goals, President Biden urges Congress to pass the George Floyd Justice in Policing Act to advance accountability, transparency, and public trust in law enforcement. In May 2022, the President issued an Executive Order on effective and accountable policing and criminal justice practices that, among other things, requires federal law enforcement agencies to ban chokeholds; restrict no-knock warrants; mandate the use of body-worn cameras; provide de-escalation training; submit officer misconduct records into a new national database; and restrict the transfer of military equipment to local law enforcement agencies. The President’s Executive Order also established a new interagency Alternatives and Reentry Committee to safely reduce unnecessary criminal justice system interactions, improve rehabilitation, and support formerly incarcerated individuals’ successful reentry into society while addressing existing disparities in our Nation’s criminal justice systems. ・・健全な民主主義において、刑事司法制度は、国民を保護し、すべての人に公平で公正な司法を保証しなければならない。これらの相互に補強し合う目標を推進するため、バイデン大統領は議会に対し、法執行における説明責任、透明性、国民の信頼を高めるための「George Floyd Justice in Policing Act」の成立を強く要請している。2022年5月、大統領は効果的で説明責任のある警察と刑事司法の実践に関する大統領令を発表し、特に連邦法執行機関に対して、首絞めの禁止、ノーノック令状の制限、身体装着カメラの使用の義務付け、デエスカレーション訓練の実施、警官の不祥事記録の新しい全国データベースへの提出、地方法執行機関への軍装品の譲渡制限などを求めている。大統領の大統領令はまた、米国の刑事司法制度における既存の格差に対処しつつ、不必要な刑事司法制度との関わりを安全に減らし、更生を改善し、かつて投獄された人々が社会復帰を成功させるのを支援するために、新たな省庁間代替策および再統合委員会を設立した。
・・In September, President Biden held the United We Stand Summit, the first-ever White House Summit to address the hate-fueled violence that threatens our public safety and democracy. At the Summit, the White House announced an historic package of new actions the federal government and all sectors of society will take to foster national unity and counter hate and toxic polarization. The President also established an interagency group to increase and better coordinate U.S. Government efforts to counter antisemitism, Islamophobia, and related forms of bias and discrimination within the United States—the group’s first order of business is to develop a national strategy to counter antisemitism. The President has also taken historic action to reduce gun violence, including by signing into law the most significant gun safety legislation in nearly 30 years and taking more executive action to reduce gun violence that any other president at this point in the presidency. ・・9月には、バイデン大統領がUnited We Stand Summitを開催した。これは、我々の公共の安全と民主主義を脅かす憎悪に起因する暴力に対処するための初のホワイトハウス・サミットである。このサミットで、ホワイトハウスは、国民の団結を促進し、憎しみや有害な偏向に対抗するために、連邦政府と社会のあらゆる部門が取る新しい行動の歴史的パッケージを発表した。大統領はまた、米国内の反ユダヤ主義、イスラム恐怖症、および関連する形態のバイアスや差別に対抗するための米国政府の取り組みを強化し、よりよく調整するための省庁間グループを設立した。このグループの最初の仕事は、反ユダヤ主義に対抗する国家戦略を策定することである。大統領はまた、約30年ぶりに最も重要な銃の安全に関する法律に署名するなど、銃による暴力を減らすために歴史的な行動を取り、現時点では他のどの大統領よりも多くの行政措置を取っている。
・・President Biden has taken historic actions to advance full equality for LGBTQI+ Americans. The President championed and signed into law the Respect for Marriage Act, safeguarding marriage equality for LGBTQI+ and interracial couples. The President has expanded rights and protections for transgender Americans. He has also worked to advance opportunity and dignity for LGBTQI+ children and families by: taking on the discredited practice of so-called “conversion therapy;” strengthening resources and protecting for LGBTQI+ children in America’s public schools; and improving the federal government’s collection of data related to sexual orientation and gender identity. ・・バイデン大統領は、LGBTQI+アメリカ人の完全な平等を推進するために歴史的な行動を起こした。大統領は、LGBTQI+と異人種間のカップルの結婚の平等を守るため、結婚尊重法を提唱し、法律に署名した。大統領は、トランスジェンダーのアメリカ人の権利と保護を拡大した。また、いわゆる「コンバージョンセラピー」と呼ばれる不信な行為に対処し、アメリカの公立学校におけるLGBTQI+の子どもたちのためのリソースと保護を強化し、連邦政府による性的指向と性自認に関するデータ収集を改善することによって、LGBTQI+の子どもたちと家族の機会と尊厳を向上させるために取り組んでいる。
・・Ensuring all people—regardless of their gender—are able to participate fully and equally in civic and political life is a foundational tenet of stable democracies. The Biden-Harris Administration is implementing the National Strategy on Gender Equity and Equality, including making progress towards ensuring all people can live free from violence by signing into law the strengthened and reauthorized Violence Against Women Act and historic military justice reform. The President has also advanced protections and equity in the workplace, including through Executive Orders to advance pay equity for federal employees and employees of federal contractors, and by signing into law important protections for pregnant and nursing workers. The President has issued two Executive Orders and a Presidential Memorandum to protect access to reproductive health care services, including abortion, in the face of the U.S. Supreme Court’s decision in Dobbs, and to defend a woman’s right to make decisions about her own body. ・・性別に関係なく、すべての人々が市民生活や政治生活に十分かつ平等に参加できるようにすることは、安定した民主主義国家の基本的な考え方である。バイデン-ハリス政権は、「ジェンダー平等・公平に関する国家戦略」を実施しており、強化・再承認された「女性に対する暴力防止法」や歴史的な軍事司法改革に署名し、すべての人が暴力から自由に生きられるようにするための進展を図っている。大統領はまた、連邦職員と連邦請負業者の従業員の給与の公平性を高めるための大統領令や、妊娠中や授乳中の労働者に対する重要な保護措置に署名することによって、職場における保護と公平性を進めてきました。大統領は、連邦最高裁判所のドブス判決に直面して、中絶を含むリプロダクティブヘルスケアサービスへのアクセスを保護し、女性が自分の身体について決定する権利を守るために、2つの大統領令と大統領覚書を発行した。
・・President Biden has prioritized relationships with Tribal Nations that are built on respect for Tribal sovereignty and self-governance, honoring federal trust and treaty responsibilities, protecting Tribal homelands, and conducting regular, meaningful, and robust consultation. The President’s economic agenda includes historic levels of funding specifically for Tribal communities and Native people, including $32 billion in the American Rescue Plan (ARP), $13 billion in the Bipartisan Infrastructure Law (BIL), and $700 million in the Inflation Reduction Act (IRA). ・・バイデン大統領は、部族の主権と自治を尊重し、連邦政府の信託と条約の責任を尊重し、部族のホームランドを保護し、定期的で有意義かつ強固な協議を行うことで構築される部族との関係を優先してきました。大統領の経済政策には、アメリカン・レスキュー・プラン(ARP)で320億ドル、超党派インフラ法(BIL)で130億ドル、インフレ削減法(IRA)で7億ドルなど、部族社会と先住民のための歴史的レベルの資金が特別に含まれている。
・Bolstering Democratic Institutions, Promoting Civic Participation, and Improving Public Engagement with Government. ・民主的な制度を強化し、市民参加を促進し、国民の政府への関与を向上させる。
・・The Administration is leveraging the power of national service and volunteerism to bring together Americans from different backgrounds to serve their communities and country in common purpose. The President’s FY 2024 Budget includes a $166 million increase for AmeriCorps to raise the living allowance it provides its members to make national service more accessible. ・・政権は、国家奉仕とボランティア活動の力を活用し、異なる背景を持つ米国人が、共通の目的のもとに地域社会や国に奉仕するよう結集している。大統領の2024年度予算には、国家奉仕をより身近なものにするため、アメリ・コープスがメンバーに支給する生活費を引き上げる1億6600万ドルの増額が含まれている。
・・President Biden believes that all Americans should have the opportunity to learn about our democratic process and our nation’s rich history—including both our triumphs and the times we have failed to live up to our founding ideals. The 2023 omnibus appropriations package tripled federal investment in civics education, and President Biden is building on this progress by including an additional $50 million to help students understand the U.S. Constitution and how our system of Government works and build the skills—including media and digital literacy skills—required to fully participate in civic life. ・・バイデン大統領は、すべてのアメリカ人が民主主義のプロセスと、建国の理想を実現できなかった時代と勝利の両方を含む、我が国の豊かな歴史について学ぶ機会を持つべきだと考えている。2023年のオムニバス予算案では、公民教育への連邦政府の投資を3倍に増やした。バイデン大統領は、この進展を踏まえ、生徒が合衆国憲法と政府システムの仕組みを理解し、メディアやデジタルリテラシーのスキルを含め、市民生活に完全に参加するために必要なスキルを身につけるための追加予算を5千万ドル盛り込んでいる。
・・A free and independent press is critical to our democracy. In October 2022, Attorney General Garland announced significant revisions to the Justice Department’s regulations regarding obtaining information from, or records of, members of the news media. Under the new rules, only in extremely narrow circumstances will DOJ use compulsory legal process—like subpoenas and search warrants—when investigating media acting within the scope of newsgathering. The President’s FY 2024 Budget committed to working with the Congress to support independent local journalism to better inform Americans about the matters that impact their lives and hold the powerful accountable. ・・自由で独立した報道機関は、我々の民主主義にとって不可欠である。2022年10月、ガーランド司法長官は、報道機関のメンバーからの情報入手や記録に関する司法省の規制を大幅に改定することを発表した。新しい規則の下では、司法省は、報道の範囲内で行動するメディアを調査する際に、極めて狭い状況においてのみ、召喚状や捜索令状のような強制的な法的手続きを用いることができます。大統領の2024年度予算では、議会と協力して、アメリカ人の生活に影響を与える事柄についてより良く情報を提供し、権力者の責任を追及するために、独立した地元のジャーナリズムを支援することを約束した。
・・Strong and independent unions are an essential bulwark of democracies: They build solidarity across race, gender and other lines of difference to advance their members’ shared interests, elect leadership from their own ranks to give workers a voice, and serve as counter-weights to the economic and political power of Wall Street and large corporations. Earlier this month, the White House Task Force on Worker Organizing and Empowerment released an update detailing agencies’ progress towards implementing more than 70 action items to support worker organizing and collective bargaining. ・・強力で独立した労働組合は、民主主義国家の不可欠な防波堤である: 組合は、人種、性別、その他の違いを超えて連帯し、組合員の共通の利益を促進し、組合員から指導者を選出し、労働者に発言権を与え、ウォール街や大企業の経済的・政治的権力に対抗する重しとして機能します。今月初め、ホワイトハウスの「労働者の組織化とエンパワーメントに関するタスクフォース」は、労働者の組織化と団体交渉を支援するための70以上の行動項目の実施に向けた各機関の進捗状況を詳述した最新情報を発表した。
・・In December 2022, the Biden-Harris Administration released the U.S. Government’s Fifth Open Government National Action Plan to advance a more inclusive, responsive, and accountable government. The plan includes commitments to increase the public’s access to data to better advance equity, engage the public in the regulatory process, make government records more accessible to the public, counter corruption, and improve the delivery of government services and benefits. ・・2022年12月、バイデン=ハリス政権は、より包括的で、応答性が高く、説明可能な政府を推進するために、米国政府の第5次オープンガバメント国家行動計画を発表した。この計画には、公平性をより高めるために国民のデータへのアクセスを増やすこと、規制プロセスに国民を参加させること、政府記録をより一般にアクセスしやすくすること、汚職に対抗すること、政府サービスや給付の提供を改善することへのコミットメントが含まれている。
### ###

 

Fig1_20210802074601


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.04 米国 商用スパイウェアの拡散と悪用に対抗するための取り組みに関する共同声明 (2023.03.30)

・2023.04.04 米国 ファクトシート:「民主主義のための技術の進歩」と「バイデン-ハリス政権の国内外における民主主義の再生への揺るぎないコミットメント」 (2023.03.29)

・2023.03.29 米国 国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

 

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

| | Comments (0)

欧州検査院 監査プレビュー:EUにおける人工知能

こんにちは、丸山満彦です。

欧州検査院が、EUにおける人工知能に関する簡単な報告書を公表していますね。。。やはり、AIについてはここのところ注目が高まっていますね。。。

 

⚫︎ European Court of Auditors

Audit preview 02/2023: Artificial intelligence in the EU 監査プレビュー02/2023 EUにおける人工知能
​​Artificial intelligence (AI) is relevant for the future competitiveness of the EU economy and could bring benefits in many sectors, from increasing farming and energy efficiency, to helping to fight climate change and making transport safer, cleaner and more efficient. 人工知能(AI)は、EU経済の将来の競争力に関連し、農業やエネルギー効率の向上から、気候変動対策や輸送の安全性、クリーン性、効率性の向上に至るまで、多くの分野で利益をもたらす可能性がある。
The European Court of Auditors has started working on an audit to assess the Commission’s actions in creating a European framework for the development of artificial intelligence. The audit will focus on the effectiveness of the design and impl​ementation of the Commission’s AI Plans and underlying financial and coordination measures. 欧州監査院は、人工知能の開発に向けた欧州の枠組みを構築するための欧州委員会の行動を評価するための監査に取り組み始めた。この監査は、欧州委員会のAI計画およびその基礎となる財政・調整措置の設計と実施の有効性に焦点を当てるものである。

 

監査プレビュー

・[PDF] Audit preview: Information on an upcoming audit, Artificial intelligence in the EU


20230403-233253

・[DOCX] 仮訳

 

 

プレスリリース

・[PDF]

20230403-233302

・[DOCX] 仮訳

 

 

| | Comments (0)

ENISA 先見の明 2030年に向けたサイバーセキュリティの脅威 (2023.03.29)

こんにちは、丸山満彦です。

ENISAが2030年に向けたサイバーセキュリティの脅威を、PESTLE(政治、経済、社会、技術、法律、環境)の面から分析し、導出していますね。。。サイバーの専門家だけで議論をせずに、これからのPESTLEの傾向を踏まえて、サイバー脅威を考える。。。方法論の章は参考になりますね。。。戦略的インテリジェンスですね。。。

 

⚫︎ ENISA

・2023.03.29 ENISA Foresight Cybersecurity Threats for 2030

ENISA Foresight Cybersecurity Threats for 2030 ENISA 先見の明 2030年に向けたサイバーセキュリティの脅威
This study aims to identify and collect information on future cybersecurity threats that could affect the Union’s infrastructure and services, and its ability to keep European society and citizens digitally secure. 本調査は、欧州連合のインフラやサービス、欧州社会と市民のデジタルセキュリティを維持する能力に影響を及ぼす可能性のある、将来のサイバーセキュリティの脅威を特定し、情報を収集することを目的としている。

 

・[PDF

20230403-190555

・[DOCX] 仮訳

 

 

目次...

2.   INTRODUCTION  2.はじめに
2.1   BACKGROUND  2.1 背景
2.2   PURPOSE OF THIS EXERCISE  2.2 この演習の目的
2.3   TARGET AUDIENCE  2.3 想定読者
3.   EMERGING CYBERSECURITY THREATS FOR 2030  3.2030年のサイバーセキュリティの新たな脅威
3.1   SUPPLY CHAIN COMPROMISE OF SOFTWARE DEPENDENCIES - #1  3.1 ソフトウェア依存のサプライチェーン侵害 - #1
3.2   ADVANCED DISINFORMATION / INFLUENCE OPERATIONS (IO) CAMPAIGNS - #2  3.2 高度な偽情報/影響力作戦(IO)キャンペーン - #2
3.3   RISE OF DIGITAL SURVEILLANCE AUTHORITARIANISM /  LOSS OF PRIVACY - #3  3.3 デジタル監視の権威主義の台頭/プライバシーの喪失 - #3
3.4   HUMAN ERROR AND EXPLOITED LEGACY SYSTEMS WITHIN CYBER-PHYSICAL ECOSYSTEMS - #4  3.4 サイバーフィジカル・エコシステムにおけるヒューマンエラーと悪用されたレガシーシステム - #4
3.5   TARGETED ATTACKS (E.G. RANSOMWARE) ENHANCED BY SMART DEVICE DATA - #5  3.5 スマートデバイスのデータによって強化される標的型攻撃(ランサムウェアなど) - #5
3.6   LACK OF ANALYSIS AND CONTROL OF SPACE-BASED INFRASTRUCTURE AND OBJECTS - #6  3.6 宇宙を拠点とするインフラや物体の分析・制御の欠如 - #6
3.7   RISE OF ADVANCED HYBRID THREATS - #7  3.7 高度なハイブリッド型脅威の台頭 - #7
3.8   SKILL SHORTAGES #8  3.8 スキル不足  - #8
3.9   CROSS-BORDER ICT SERVICE PROVIDERS AS A SINGLE POINT OF FAILURE #9  3.9 単一障害点としての国境を越えたICTサービスプロバイダ -#9
3.10ABUSE OF AI - #10  3.10 AIの悪用 - #10
3.11ADDITIONAL THREATS  3.11 追加脅威
4.   2030 TRENDS  4.2030年のトレンド
4.1   PRIORITIZED TRENDS  4.1 優先順位の高いトレンド
MAINTAINING AN EMERGING THREAT LISTING  新たな脅威リストの維持
4.2   DATA COLLECTION (AKA HORIZON SCANNING)  4.2 データ収集(別名:ホライズンスキャニング)
4.3   COLLABORATIVE ANALYSIS  4.3 共同分析
4.4   SYNTHESIS  4.4 SYNTHESIS
A   METHODOLOGY  方法論
B   FORESIGHT INFORMATION MODEL  Bフォーサイト情報モデル
B.1  TREND DESCRIPTION  B.1 トレンドの説明
B.1.1  Drivers of Change  B.1.1 変化の原動力
B.1.2  Megatrends  B.1.2 メガトレンド
B.2  THREAT ANATOMY MODEL  B.2 脅威の解剖学モデル
C   TREND ANALYSIS  Cトレンド分析
C.1  APPROACH & PROCESS  C.1 アプローチとプロセス
C.1.1 Expert Participant Analysis  C.1.1 専門家による参加者分析
C.1.2 Collaborative Exploration  C.1.2 協調探査
D   THREAT IDENTIFICATION  D 脅威の識別
D.1  SCENARIOS  D.1 スケナリオ
D.1.1 Scenario 1 – Blockchain, deepfakes, & cybercrime in a data-rich environment  D.1.1 シナリオ1「データリッチな環境でのブロックチェーン、ディープフェイク、サイバークライム
D.1.2 Scenario 2 – Eco-friendly, sustainable, and interconnected smart cities (non-state actors)  D.1.2 シナリオ2 - 環境に優しく、持続可能で、相互接続されたスマートシティ(非国家主体)。
D.1.3 Scenario 3 – More data, less control  D.1.3 シナリオ3 - より多くのデータ、より少ないコントロール
D.1.4 Scenario 4 – Sustainable energy, automated/short-term workforce  D.1.4 シナリオ4「持続可能なエネルギー、自動化・短期化された労働力
D.1.5 Scenario 5 – Legislation, bias, extinctions, & global threats  D.1.5 シナリオ5 - 法規制、偏見、絶滅、グローバルな脅威
D.2  SCIENCE FICTION PROTOTYPING (SFP)  D.2 サイエンス・フィクション (SF) プロトタイピング(SFP)
D.3  THREAT PRIORITIZATION  D.3 脅威の優先順位付け
E    THREAT SCORING  E脅威スコアリング
5. BIBLIOGRAPHY  5.ビブリオグラフィ

 

導出の方法論...

1_20230403191001

 

結果導出された脅威

# 脅威 仮訳 評点
1 SUPPLY CHAIN COMPROMISE OF SOFTWARE DEPENDENCIES ソフトウェア依存のサプライチェーン侵害 25
2 ADVANCED DISINFORMATION / INFLUENCE OPERATIONS (IO) CAMPAIGNS 高度な偽情報/影響力作戦(IO)キャンペーン 20
3 RISE OF DIGITAL SURVEILLANCE AUTHORITARIANISM /  LOSS OF PRIVACY デジタル監視の権威主義の台頭/プライバシーの喪失  18
4 HUMAN ERROR AND EXPLOITED LEGACY SYSTEMS WITHIN CYBER-PHYSICAL ECOSYSTEMS  サイバーフィジカル・エコシステムにおけるヒューマンエラーと悪用されたレガシーシステム  18
5 TARGETED ATTACKS (E.G. RANSOMWARE) ENHANCED BY SMART DEVICE DATA スマートデバイスのデータによって強化される標的型攻撃(ランサムウェアなど) 18
6 LACK OF ANALYSIS AND CONTROL OF SPACE-BASED INFRASTRUCTURE AND OBJECTS  宇宙を拠点とするインフラや物体の分析と制御の欠如  18
7 RISE OF ADVANCED HYBRID THREATS  高度なハイブリッド型脅威の台頭  14
8 SKILL SHORTAGES  スキル不足  14
9 CROSS-BORDER ICT SERVICE PROVIDERS AS A SINGLE POINT OF FAILURE 単一障害点としての国境を越えたICTサービスプロバイダ 13
10 ABUSE OF AI  AIの悪用  12
11 Increased digital currency-enabled cybercrime  デジタル通貨を利用したサイバー犯罪の増加   
12 Exploitation of e-health (and genetic) data  eヘルス(および遺伝子)データの活用   
13 Tampering with deepfake verification software supply chain  ディープフェイク検証ソフトのサプライチェーンの改ざん  
14 Attacks using quantum computing  量子コンピューティングを利用した攻撃   
15 Exploitation of unpatched and out-of-date systems within the overwhelmed cross-sector tech ecosystem   圧倒的なクロスセクター技術エコシステムの中で、パッチ未適用や最新でないシステムの悪用  
16 AI disrupting/enhancing cyber attacks  AIによるサイバー攻撃の撹乱・強化   
17 Malware insertion to disrupt food production supply chain  食品製造のサプライチェーンを混乱させるマルウェアの挿入   
18 Technological incompatibility of blockchain technologies  ブロックチェーン技術の技術的非互換性   
19 Disruptions in public blockchains  パブリックブロックチェーンにおける混乱  
20 Physical impact of natural/environmental disruptions on critical digital infrastructure  自然/環境破壊が重要なデジタルインフラに与える物理的影響   
21 Manipulation of systems necessary for emergency response  緊急対応に必要なシステムの操作  

 

 

優先順位の高いトレンド...

分野 原文 仮訳 影響度 発生可能性
政治 P1 The increasing geopolitical influence of ICT providers P1 ICTプロバイダーの地政学的影響力の増大 3 3
  P2 Increased political power of non-state actors P2 非国家アクターの政治的パワーの増大 5 5
  P3 The increasing relevance of (cyber) security in elections  P3 選挙における(サイバー)セキュリティの関連性の高まり  5 5
  P4 The public health issues arising from the mental health problems of victims of cybersecurity  P4 サイバーセキュリティの被害者の精神衛生上の問題から生じる公衆衛生上の問題点  4 2
  P5 Industrial control systems and operational technology networks are increasingly targeted by threat actors P5 産業用制御システムおよび運用技術ネットワークは、脅威要因に狙われることが増えている 4 4
  P6 Increased technological dependency of governments on private sector technology companies P6 政府の民間技術企業への技術依存度の高まり 5 4
  P7 COVID speeds up digitalization in public sector P7 COVIDが公共部門のデジタル化を加速させる 4 5
  P8 The increasing digital dependencies and cyber vulnerability of populations P8 人々のデジタル依存度の高まりとサイバー脆弱性 5 5
  P9 The growing pressures on a reduced  cybersecurity workforce P9 減少するサイバーセキュリティ人材への高まるプレッシャー 4 2
経済 EC1 The rise of smart cities EC1 スマートシティの台頭 5 4
  EC2 Use of Distributed Ledger Technologies is growing EC2 分散型台帳技術の活用が進む 5 5
  EC3 Non-traditional work structures like freelancing are rising in popularity ("gig economy") EC3 フリーランスのような非伝統的な仕事の仕組みが人気を集めている("ギグ・エコノミー") 4 4
  EC4 Collecting and analyzing data to assess user behavior is increasing, especially in the private sector EC4 ユーザーの行動を評価するためのデータ収集・分析が、民間企業を中心に増えている 4 4
  EC5 Increasing reliance on automation and connectivity of sustainable energy production EC5 持続可能なエネルギー生産の自動化とコネクティビティへの依存度の増加 5 3
  EC6 Increasing reliance on outsourced IT Services EC6 アウトソーシングされたITサービスに対する依存度の増加 4 5
  EC7 Increasing danger of resource bottlenecks of critical raw materials for strategic technologies and sectors in the EU EC7 EUにおける戦略的技術・分野のための重要な原材料の資源ボトルネックの危険性の増大 5 5
  EC8 The rise of Web3 leverages various emerging technologies incl. blockchain EC8 Web3の台頭は、ブロックチェーンなど様々な新興技術を活用している。 4 4
  EC9 Internet traffic will triple with increased access worldwide EC9 世界的なアクセス増加で、インターネットトラフィックが3倍になる 4 4
社会 S1 Advancement of deep fake technology S1 ディープフェイク技術の高度化 3 5
  S2 Decision-making is increasingly based on automated analysis of data S2 意思決定は、データの自動分析によるものが増えている 4 5
  S3 The rise of brain-computer interfaces  S3 ブレイン・コンピュータ・インターフェイスの台頭  3 3
  S4 The rise of digital authoritarianism S4 デジタル権威主義の台頭 5 5
  S5 Exponential increase of digital technologies in everyday life S5 日常生活におけるデジタル技術のエクスポネンシャルな増加 4 4
  S6 Online education in the EU grows S6 EUにおけるオンライン教育が拡大 3 4
  S7 Increased democratization and access to AI programming and applications S7 AIプログラミングとアプリケーションの民主化とアクセスの増加 5 5
技術 T1 There is an increasing popularity of everything as a service (XaaS) demand and supply T1 XaaS(エブリシング・アズ・ア・サービス)の需要と供給がますます進む 4 5
  T2 Satellite control infrastructure is increasingly critical T2 衛星管制インフラはますます重要になる 3 3
  T3 AI-based systems are increasingly deployed with bias or issues that impact inclusivity, safety, ethics, privacy, trustworthiness, and explainability  T3 AIベースのシステムは、包括性、安全性、倫理、プライバシー、信頼性、説明可能性に影響を及ぼすバイアスや問題を抱えたまま導入されることが多くなっている 4 5
  T4 Extended Reality is going mainstream T4 拡張現実が主流になりつつある 2 2
  T5 Vehicles are becoming increasingly connected to each other and to the outside world and less reliant on human operation T5 自動車は、互いに、また外界との接続を深め、人間の操作に依存しないようになる 4 4
  T6 Digital Twins are entering mainstream us T6 デジタルツインが私たちの主流になる 3 5
法律 L1 The increased and improved connectivity of illegal businesses L1 違法ビジネスの増加・接続性の向上 5 5
  L2 The increasing difficulty for law enforcement to access data stored on (encrypted) networks and the use of collected data L2 法執行機関が(暗号化された)ネットワーク上に保存されたデータにアクセスすることが難しくなっていること、および収集したデータの利用 4 5
  L3 The capacity to control data about oneself (individual, company or state) is becoming more desirable and more technically difficult L3 自分自身(個人、企業、国家)に関するデータを管理する能力は、より望ましく、より技術的に困難になっている 5 5
  L4 Increasing introduction of (technical) legislation in Europe L4 欧州で(技術)法規制の導入が進む 3 5
  L5 Most major technological players continue to reside outside of the EU L5 主要な技術的プレイヤーのほとんどは、引き続きEU圏外に居住している 3 4
  L6 Rising drive towards EU strategic autonomy L6 EUの戦略的自立に向けた動きが活発化 4 5
環境 EN1 The increased  usage of new technologies in remote maintenance EN1 リモート保守における新技術の活用の拡大 4 3
  EN2 Diminishing availability of fresh water EN2 淡水の利用可能性の低下 5 5
  EN3 There is an increasing number of devices that are not (or are unable to be) regularly patche EN3 定期的にパッチを当てない(当てられない)デバイスが増加している  4 4
  EN4 Automation of agricultural skills and workforce EN4 農業技術・労働力の自動化 4 5
  EN5 The increasing threat of extreme weather events due to climate change EN5 気候変動による異常気象の脅威の増大 5 5
  EN6 Mass extinction and loss of biodiversity continues EN6 大量絶滅と生物多様性の損失が続く 5 5
  EN7 The emerging use of distributed and alternative energy resources EN7 分散型エネルギー資源と代替エネルギー資源の新たな利用 3 4
  EN8 The increasing energy consumption of digital infrastructure EN8 デジタルインフラのエネルギー消費量の増加 3 4
  EN9 Industrial switch from fossil fuels to hydrogen or electric (demand) EN9 化石燃料から水素または電気への産業転換(需要) 3 3

 

 

| | Comments (0)

2023.04.03

欧州 EU欧州対外活動庁 人工知能時代に事実を正しく伝えるために

こんにちは、丸山満彦です。

ChatGPTの登場により、AIについての注目がさらに集まるようになりましたね(期待も不安も含めて)。。。要は社会的にインパクトがあるものは、使い方しだいということだと思います。。。火薬、原子力、遺伝子操作も、、、まぁ技術というものはそういうものかもしれません。。。

イーロンマスク氏等が、世界中のAI研究所に対し、大規模なAIシステムの開発を一時停止するよう求める生命未来研究所 (Future of Life Institulte)  の公開書簡に署名し、このソフトウェアがもたらす「社会と人類への重大なリスク」に対する懸念を表明し、話題になりましたよね。。。

 

さて、EU欧州対外活動庁が、人工知能時代に事実を正しく伝える(受け取る)ための留意点を公開していますね。。。

 

⚫︎ EU - EUROPEAN EXTERNAL ACTION SERVICE

・2023.04.02 Getting your facts straight in the era of Artificial Intelligence

Getting your facts straight in the era of Artificial Intelligence 人工知能時代に事実を正しく伝えるために
Artificial Intelligence  promises to revolutionise the way we use the internet and digital services. But it also has a dark side we need to keep in check. 人工知能は、我々のインターネットやデジタルサービスの使い方に革命をもたらすと期待されている。しかし、それは我々が抑えなければならない暗黒面も持っている。
The arrival of next-generation Artificial Intelligence (AI) technology services such as ChatGPT and Google Bard provide unprecedented opportunities as well as challenges. Amongst these is the risk of the misuse of AI for information manipulation. ChatGPTやGoogle Bardのような次世代の人工知能(AI)技術サービスの登場は、前例のないチャンスと同時に、課題ももたらす。なかでも、AIが情報操作に悪用されるリスクは大きい。
In a world dominated by the overabundance of information, separating fact from fiction can be very challenging. The reach of ubiquitous social media platforms like Facebook, YouTube, TikTok and Instagram, to name a few, means the global information environment is increasingly complex. 情報が氾濫する世界では、事実と虚構を区別することは非常に難しいことである。Facebook、YouTube、TikTok、Instagramなど、ユビキタスなソーシャルメディア・プラットフォームの普及により、世界の情報環境はますます複雑になっている。
Fact-checkers are now confronted with what is potentially the mass production of synthetic ‘facts’ generated by computers using AI software. A number of top tech entrepreneurs and leading AI researchers have gone so far as to call for a pause on the rush to launch large scale AI services until we understand more about its potential effects and before we have robust regulation in place. ファクトチェッカーは今、AIソフトウェアを使ってコンピュータが生成した合成「事実」の大量生産に直面する可能性がある。多くのトップクラスの技術起業家や主要なAI研究者は、その潜在的な影響についてより理解し、強固な規制が整備される前に、大規模なAIサービスの開始を急ぐことを一時停止するよう呼びかけるまでに至っている。
A European approach to artificial intelligence 人工知能に対するヨーロッパのアプローチ
While Artificial Intelligence (AI) will be a great boost to research science and industry, Digital Services Act (DSA) and Digital Market Act (DMA) aims to protect the fundamental rights of all users for a trustworthy information environment. 人工知能(AI)は科学や産業の研究を大きく後押しするものであるが、デジタルサービス法(DSA)とデジタル市場法(DMA)は、信頼できる情報環境のためにすべての利用者の基本的権利を保護することを目的としている。
The DSA will provide legal protections to ensure the internet remains a fair and open environment both for communication and for trade. The manipulation of information has a huge impact on our daily lives and will continue as digital services develop and grow. DSAは、インターネットが通信と貿易の双方において公正でオープンな環境であり続けるための法的保護を提供す。情報操作は我々の日常生活に大きな影響を与え、デジタルサービスの発展や成長に伴って今後も続くであろう。
· Follow the link to learn more about creating a safer digital space with Digital Services Act ・デジタルサービス法による安全なデジタル空間の構築について詳しくは、こちら。
· Follow the link to learn more about the European approach to artificial intelligence. ・リンクをたどると人工知能に対するヨーロッパのアプローチについてさらに理解できる。
The current generation of AI technology has demonstrated the ability to produce seemingly plausible conversational content and well-written essays on a wide range of topics in just a few seconds. 現世代のAI技術は、一見もっともらしい会話内容や、さまざまなトピックについてよく書かれたエッセイを、わずか数秒で作成する能力を実証している。
AI can also be used to fabricate images and videos that are engaging enough to go viral and spread rapidly on social media. Whether depicting a celebrity in unexpected situations or portraying a political leader as doing something provocative, for example, these computer-generated illusions easily distort our perceptions of reality. また、AIは、ソーシャルメディア上で急速に拡散されるほど魅力的な画像や動画を捏造することも可能である。例えば、有名人が予期せぬ状況に陥っている様子を描いたり、政治家が挑発的なことをしているように描いたりする場合、こうしたコンピューターが作り出す幻影は、我々の現実認識を容易に歪めてしまう。
The large volume of content coming through social media platforms means it is very difficult to fact check everything. In contrast, providing reliable, factual information takes a lot more time and effort than spreading sensational claims or falsehoods. ソーシャルメディアには大量のコンテンツが存在するため、すべてをファクトチェックすることは非常に困難である。一方、事実に基づいた信頼できる情報を提供することは、センセーショナルな主張や虚偽を広めることよりも多くの時間と労力を必要とす。
If used with malicious intent, AI has the potential to flood the information environment with false narratives generated on an industrial scale, overwhelming the public discourse. 悪意を持って使用された場合、AIは産業規模で生成された偽の物語で情報環境を溢れさせ、公共の言論を圧倒する可能性がある。
AI can and will be used for good in countless ways, but only if we remain on guard for untruths generated by AI technology. しかし、我々がAI技術によって生み出される真実でない情報に対して警戒を怠らなければ、AIは数え切れないほど良い方向に利用される可能性もある。
Things are moving incredibly fast and more and more fact-checking AIs are in the pipeline but, in the meantime, there are some techniques that are helpful to test the authenticity of all types of online information, including AI-generated or not. 物事は信じられないほど速く進み、より多くのファクトチェックAIが登場しているが、それまでの間、AIが生成したものであるかどうかを含め、あらゆる種類のオンライン情報の真偽を検証するのに役立つテクニックがいくつかある。
Five ways to check online content オンラインコンテンツのチェックに役立つ5つの方法
1. Breathe. Allow your fast-acting emotional response to pass. Take the time to engage your critical thinking skills. 1. 深呼吸をする。即効性のある感情的な反応を通過させる。時間をかけて批判的思考力を働かせましょう。
2. Remember the rule of thumb that, if it’s too good (or bad) to be true, it’s probably not true. 2. あまりにも良い(または悪い)ことが真実である場合、それはおそらく真実ではない、という経験則を思い出してください。
3. Seek a second source. Cross-reference using a reliable news provider. 3. 第二の情報源を探す。信頼できるニュースプロバイダーを使って、相互参照する。
4. When in doubt, advanced searches are available on most search engines. For example, an image search will reveal if a picture was ever posted previously in another context. 4. 疑わしい場合は、ほとんどの検索エンジンで高度な検索を行うことができる。例えば、画像検索を使えば、その写真が以前に別の文脈で投稿されたことがあるかどうかがわかる。
5. Use an AI fact-checking service. One way to catch an AI is to use another AI which looks for tell-tale patterns that indicate if the content was AI-generated. Services such as Deepware can be used to detect ‘deepfake’ videos. 5. AIファクトチェック・サービスを利用する。AIを捕まえる方法の1つは、コンテンツがAIによって生成されたものであるかどうかを示す特徴的なパターンを探す別のAIを使用することである。Deepwareのようなサービスは、「ディープフェイク」ビデオを検出するために使用することができる。

 

1_20230403103301

 

 


例の署名....

日本時間 2023.04.03 09:51 現在で2,962名の署名があつまっていますね。。。

⚫︎ Future of Life Institute

・2022.03.22 Pause Giant AI Experiments: An Open Letter

 

Pause Giant AI Experiments: An Open Letter 巨大なAI実験を一時停止せよ: 公開書簡
We call on all AI labs to immediately pause for at least 6 months the training of AI systems more powerful than GPT-4. 我々は、すべてのAIラボに対して、GPT-4よりも強力なAIシステムの訓練を少なくとも6ヶ月間、直ちに一時停止することを求める。
AI systems with human-competitive intelligence can pose profound risks to society and humanity, as shown by extensive research[1] and acknowledged by top AI labs.[2] As stated in the widely-endorsed Asilomar AI PrinciplesAdvanced AI could represent a profound change in the history of life on Earth, and should be planned for and managed with commensurate care and resources. Unfortunately, this level of planning and management is not happening, even though recent months have seen AI labs locked in an out-of-control race to develop and deploy ever more powerful digital minds that no one – not even their creators – can understand, predict, or reliably control. 人間並みの知能を持つAIシステムは、社会と人類に重大なリスクをもたらす可能性があることは、広範な研究[1]で示され、トップAIラボが認めている[2]。 広く支持されているAsilomar AI Principlesにあるように、高度なAIは地球上の生命の歴史に大きな変化をもたらす可能性があり、相応の注意とリソースをもって計画・管理されるべきです。しかし、残念ながら、このレベルの計画と管理は行われていません。ここ数カ月、AI研究所は、誰も(その作成者でさえも)理解できず、予測できず、確実に制御できない、これまで以上に強力なデジタルマインドを開発し展開するための制御不能な競争に陥っています。
Contemporary AI systems are now becoming human-competitive at general tasks,[3] and we must ask ourselves: Should we let machines flood our information channels with propaganda and untruth? Should we automate away all the jobs, including the fulfilling ones? Should we develop nonhuman minds that might eventually outnumber, outsmart, obsolete and replace us? Should we risk loss of control of our civilization? Such decisions must not be delegated to unelected tech leaders. Powerful AI systems should be developed only once we are confident that their effects will be positive and their risks will be manageable. This confidence must be well justified and increase with the magnitude of a system's potential effects. OpenAI's recent statement regarding artificial general intelligence, states that "At some point, it may be important to get independent review before starting to train future systems, and for the most advanced efforts to agree to limit the rate of growth of compute used for creating new models." We agree. That point is now. 現代のAIシステムは、一般的なタスクにおいて人間並みの能力を発揮するようになりつつあり[3]、我々は自問自答しなければならない: 我々は、機械が我々の情報チャネルをプロパガンダや真実でないもので溢れさせるべきでしょうか? 充実した仕事も含めて、すべての仕事を自動化すべきなのか? 我々は、やがて我々よりも数が多く、賢く、時代遅れで、我々に取って代わるかもしれない非人間的な精神を開発すべきなのか? 我々は、文明のコントロールを失うリスクを冒すべきなのか?そのような決定を、選挙で選ばれたわけでもない技術指導者に委ねてはならない。 強力なAIシステムは、その効果がポジティブであり、リスクマネジメントが可能であると確信できる場合にのみ開発されるべきである。 この自信は十分に正当化されなければならず、システムの潜在的な影響の大きさに応じて増大するものでなければならない。OpenAIの人工一般知能に関する最近の声明では、「ある時点で、将来のシステムの訓練を開始する前に独立したレビューを受け、最も進んだ取り組みでは、新しいモデルの作成に使用する計算機の成長速度を制限することに合意することが重要かもしれない 。我々は同意する。それは今である。」
Therefore, we call on all AI labs to immediately pause for at least 6 months the training of AI systems more powerful than GPT-4. This pause should be public and verifiable, and include all key actors. If such a pause cannot be enacted quickly, governments should step in and institute a moratorium. したがって、我々はすべてのAI研究所に対して、GPT-4より強力なAIシステムの訓練を少なくとも6ヶ月間、直ちに一時停止することを求める。この一時停止は、公開され、検証可能であり、すべての主要な関係者を含むものでなければならない。このような一時停止が迅速に実施できない場合は、政府が介入してモラトリアムを実施する必要がある。
AI labs and independent experts should use this pause to jointly develop and implement a set of shared safety protocols for advanced AI design and development that are rigorously audited and overseen by independent outside experts. These protocols should ensure that systems adhering to them are safe beyond a reasonable doubt.[4] This does not mean a pause on AI development in general, merely a stepping back from the dangerous race to ever-larger unpredictable black-box models with emergent capabilities. AI研究所と独立した専門家は、この休止期間を利用して、独立した外部の専門家によって厳格に監査・監督される、高度なAIの設計・開発に関する一連の共有安全プロトコルを共同で開発・実施すべきである。これらのプロトコルは、それを遵守するシステムが合理的な疑いを超えて安全であることを保証するものでなければならない[4]。これは、AI開発全般の休止を意味するものではなく、出現する能力を持つ予測不可能なブラックボックスモデルをますます大きくする危険な競争から一歩後退することを意味している。
AI research and development should be refocused on making today's powerful, state-of-the-art systems more accurate, safe, interpretable, transparent, robust, aligned, trustworthy, and loyal. AIの研究開発は、今日の強力な最先端システムを、より正確で安全、解釈可能、透明、堅牢、連携、信頼、忠実なものにすることに再注目されるべきである。
In parallel, AI developers must work with policymakers to dramatically accelerate development of robust AI governance systems. These should at a minimum include: new and capable regulatory authorities dedicated to AI; oversight and tracking of highly capable AI systems and large pools of computational capability; provenance and watermarking systems to help distinguish real from synthetic and to track model leaks; a robust auditing and certification ecosystem; liability for AI-caused harm; robust public funding for technical AI safety research; and well-resourced institutions for coping with the dramatic economic and political disruptions (especially to democracy) that AI will cause. これと並行して、AI開発者は政策立案者と協力して、強固なAIガバナンスシステムの開発を劇的に加速させなければならない。これには少なくとも、AIに特化した新しく有能な規制当局、高度な能力を持つAIシステムと大規模な計算能力のプールの監視と追跡、本物と合成を区別しモデルの流出を追跡するための証明と電子透かしシステム、堅牢な監査と認証エコシステム、AIによる被害に対する責任、AI安全技術研究に対する強固な公的資金、AIが引き起こす経済的・政治的混乱(特に民主主義の)に対処するための十分にリソースを確保した制度、などが含まれるはずである。
Humanity can enjoy a flourishing future with AI. Having succeeded in creating powerful AI systems, we can now enjoy an "AI summer" in which we reap the rewards, engineer these systems for the clear benefit of all, and give society a chance to adapt. Society has hit pause on other technologies with potentially catastrophic effects on society.[5]  We can do so here. Let's enjoy a long AI summer, not rush unprepared into a fall. 人類は、AIによって豊かな未来を享受できる。強力なAIシステムの創造に成功した今、我々は「AIの夏」を楽しむことができる。この夏、我々は報酬を受け取り、すべての人の明確な利益のためにこれらのシステムを設計し、社会に適応する機会を与えることができる。社会は、社会に壊滅的な影響を与える可能性のある他の技術に対して一時停止を行った[5]。 我々は、ここでそうすることができる。 準備不足のまま秋に突入するのではなく、長いAIの夏を楽しもう。
Notes and references 注釈と参考文献
[1] Bender, E. M., Gebru, T., McMillan-Major, A., & Shmitchell, S. (2021, March). On the Dangers of Stochastic Parrots: Can Language Models Be Too Big?🦜. In Proceedings of the 2021 ACM conference on fairness, accountability, and transparency (pp. 610-623). [1] ベンダー,E. M., ゲブル,T., マクミラン=メジャー,A., & シュミッチェル,S. (2021, March). ストキャスティック・オウムの危険性について: 言語モデルは大きすぎることはないのか🦜. Proceedings of the 2021 ACM conference on fairness, accountability, and transparency (pp. 610-623).
Bostrom, N. (2016). Superintelligence. Oxford University Press. ボストロム、N. (2016). スーパーインテリジェンス』(Superintelligence).オックスフォード大学出版局。
Bucknall, B. S., & Dori-Hacohen, S. (2022, July). Current and near-term AI as a potential existential risk factor. In Proceedings of the 2022 AAAI/ACM Conference on AI, Ethics, and Society (pp. 119-129). Bucknall, B. S., & Dori-Hacohen, S. (2022, July). 潜在的な存在リスク要因としての現在および近未来のAI。 Proceedings of the 2022 AAAI/ACM Conference on AI, Ethics, and Society (pp. 119-129).
Carlsmith, J. (2022). Is Power-Seeking AI an Existential Risk?. arXiv preprint arXiv:2206.13353. カールスミス、J. (2022). パワーシーク型AIは実存的リスクか...arXiv preprint arXiv:2206.13353.
Christian, B. (2020). The Alignment Problem: Machine Learning and human values. Norton & Company. クリスチャン、B. (2020). アライメント問題:機械学習と人間の価値観. ノートン・アンド・カンパニー
Cohen, M. et al. (2022). Advanced Artificial Agents Intervene in the Provision of Reward. AI Magazine, 43(3) (pp. 282-293). コーエン,M.ら(2022). 報酬の提供に介入する高度な人工エージェント. AI Magazine, 43(3) (pp. 282-293).
Eloundou, T., et al. (2023). GPTs are GPTs: An Early Look at the Labor Market Impact Potential of Large Language Models. Eloundou, T., et al. (2023). GPTはGPTである: 大規模言語モデルの労働市場インパクトの可能性を早見表.
Hendrycks, D., & Mazeika, M. (2022). X-risk Analysis for AI Research. arXiv preprint arXiv:2206.05862. ヘンドリクス、D.、&マゼイカ、M.(2022). AI研究のためのXリスク分析.arXiv preprint arXiv:2206.05862.
Ngo, R. (2022). The alignment problem from a deep learning perspective. arXiv preprint arXiv:2209.00626. Ngo, R. (2022). ディープラーニングの観点からのアライメント問題.arXiv preprint arXiv:2209.00626.
Russell, S. (2019). Human Compatible: Artificial Intelligence and the Problem of Control. Viking. ラッセル、S. (2019). ヒューマンコンパチブル: 人工知能と制御の問題(Artificial Intelligence and the Problem of Control). ヴァイキング
Tegmark, M. (2017). Life 3.0: Being Human in the Age of Artificial Intelligence. Knopf. テグマーク、M. (2017). ライフ3.0: 人工知能の時代における人間であること(Being Human in the Age of Artificial Intelligence). Knopf.
Weidinger, L. et al (2021). Ethical and social risks of harm from language models. arXiv preprint arXiv:2112.04359. Weidinger, L. et al (2021). 言語モデルによる危害の倫理的・社会的リスク. arXiv preprint arXiv:2112.04359.
[2] Ordonez, V. et al. (2023, March 16). OpenAI CEO Sam Altman says AI will reshape society, acknowledges risks: 'A little bit scared of this'. ABC News. [2] オルドネス,V.ら(2023年3月16日). OpenAI社CEOサム・アルトマン氏、AIが社会を再形成すると述べ、リスクを認める「少し怖い」。ABC ニュース.
Perrigo, B. (2023, January 12). DeepMind CEO Demis Hassabis Urges Caution on AI. Time. ペリゴ、B. (2023, January 12). DeepMind CEO Demis Hassabis、AIに注意喚起。Time.
[3] Bubeck, S. et al. (2023). Sparks of Artificial General Intelligence: Early experiments with GPT-4. arXiv:2303.12712. [3] ブベック,S.他(2023). 人工一般知能の火花: GPT-4による初期実験. arXiv:2303.12712.
OpenAI (2023). GPT-4 Technical Report. arXiv:2303.08774. OpenAI (2023). GPT-4 テクニカルレポート. arXiv:2303.08774.
[4] Ample legal precedent exists – for example, the widely adopted OECD AI Principles require that AI systems "function appropriately and do not pose unreasonable safety risk". [4] 例えば、広く採用されているOECDのAI原則は、AIシステムが「適切に機能し、不当な安全リスクをもたらさない」ことを求めている。
[5] Examples include human cloning, human germline modification, gain-of-function research, and eugenics. [5] 例えば、ヒトクローン、ヒト生殖細胞系列改変、機能獲得研究、優生学などである。

 

 

| | Comments (0)

米国 米サイバー軍 科学・技術・サイバースペースの未来に図らずも挑戦した女性たち

こんにちは、丸山満彦です。

3月は米国の女性史月間 (Women’s History Month) [wikipedia] になっているようです。。。それにちなんで、米軍のコンピュータに関連してきた女性についての記事がサイバー軍のウェブページに公開されていますね。。。

興味深いです。軍関係ではないので、ここでは紹介せれていませんが、NASAの宇宙計画の軌道計算に大きく貢献した黒人女性のキャサリン・ジョンソンの映画「ドリーム」は一度ご覧になられたら良いかもですね。。。

欧米はもともと、女性の社会的な地位が低かったのが、戦争を通じて男性の労働不足を補う形で社会進出が進み、戦後一旦、もとに戻りかけたところを、1960年代ごろから再び社会進出が進み、現在にいたっているのではないかと思っています。

男性の既得権益を取り除くという改革を社会全体で取り組んできたといえると思います。。。

一方、日本は平安時代にすでに女流作家がいて、女性にも財産が認められるなど、男女平等の社会に近かったのが、江戸後期から女性の地位が低下し始め、明治時代に法的にも女性差別が起こり(欧米の影響ですかね。。。)、その後法的な不平等は改善されたものの(完璧ではないですが)、社会的な進出は遅れているということなんでしょうかね。。。

 

⚫︎ U.S. Cyber Command

・2023.03.30 Women Who Unknowingly Challenged the Future of Science, Technology, and Cyberspace

Women Who Unknowingly Challenged the Future of Science, Technology, and Cyberspace 科学・技術・サイバースペースの未来に図らずも挑戦した女性たち
Every year, March is designated Women’s History Month by presidential proclamation. The month is set aside to honor women’s contributions to American history. Started in 1978 by the Education Task Force of the Sonoma County (California) Commission on the Status of Women as a “Women’s History Week,” the event spread and was first recognized nationally by President Jimmy Carter in 1980. 毎年3月は、大統領令により「女性史月間」に指定されている。この月間は、アメリカの歴史における女性の貢献を称えるために設定されている。1978年、カリフォルニア州ソノマ郡の女性の地位委員会の教育タスクフォースが「女性の歴史週間」として始めたこのイベントは、1980年にジミー・カーター大統領によって初めて全米で認知された。
These are just a handful of the thousands upon thousands of notable, famous, and unfortunately forgotten women who have helped shape science, technology, history, and every other part of America’s history. これらは、科学、技術、歴史、その他アメリカのあらゆる歴史の形成に貢献した、何千何万という著名な、そして残念ながら忘れられた女性のほんの一握りに過ぎない。
“These great women broke the mold and paved the way for so many women to pursue and advance in fields of technology, engineering, and science,” said Senior Master Sgt. Fabrienne C. Doriott, U.S. Cyber Command acting Commandant and J6 Senior Enlisted Leader. “Their work was just the beginning and, we continue to build upon their work.” 「これらの偉大な女性たちは、型にはまらず、多くの女性が技術、工学、科学の分野を追求し、前進するための道を切り開いた」と、米国サイバー軍司令官代理でJ6上級士官であるファブリエンヌ・C・ドリオット上級曹長は述べている。「彼女たちの仕事は始まりに過ぎず、私たちは彼女たちの仕事の上に立ち続けるのである。
                Women’s History Month is a good opportunity to reflect on the famous and relatively unknown women that helped advance science and technology for the United States and that is used every day at U.S. Cyber Command. From computer programming to GPS to sending humans into space, women have played and continue to have an important role.                 女性史月間は、米国の科学技術の発展に貢献し、米国サイバー軍で毎日使用されている有名な女性や比較的知られていない女性について考える良い機会である。コンピュータ・プログラミングからGPS、そして人類を宇宙に送り出すまで、女性は重要な役割を果たしてきたし、これからも果たしていくだろう。
                Most members of the computer and cyber community are familiar with Navy Rear Adm. Grace Hopper. She was instrumental in computer and programming language development from the 1930s through the 1980s, and developed the first computer language written in English rather than mathematical notation. Her most famous version, Common Business Oriented Language, is still in use today.                 コンピュータとサイバーコミュニティのほとんどのメンバーは、海軍少将のグレース・ホッパーに精通している。彼女は1930年代から1980年代にかけて、コンピュータとプログラミング言語の開発に貢献し、数学的表記ではなく英語で書かれた最初のコンピュータ言語を開発した。彼女の最も有名なバージョンであるCommon Business Oriented Languageは、現在も使用されている。
Before modern computers and calculators, engineers relied on humans to perform complicated mathematical calculations. One of these human computers was Edith Clarke. Clarke was a pioneering electrical engineer who struggled to find work in the early 1900s as a female engineer. Her perseverance paid off, though and in 1922, she became the first professionally employed female electrical engineer in the United States. In 2015, Clarke was inducted into the National Inventors Hall of Fame. 現代のコンピューターや電卓が登場する以前、技術者は複雑な数学的計算を人間に頼っていた。その人間コンピュータの一人が、エディス・クラークである。クラークは電気技師の草分け的存在で、1900年代初頭には女性技師として仕事を見つけるのに苦労していた。しかし、彼女の忍耐は実を結び、1922年、彼女は米国で初めて職業的に雇用された女性電気技師となった。2015年、クラークは全米発明家殿堂入りを果たしている。
Some women have made it their priority to promote women and minorities in STEM. Maria Klawe is a shining example of this. She went from being a prominent computer scientist to being the first female president of Harvey Mudd College. During her tenure there, she worked hard to support the Computer Science faculty’s ability to innovate and raised the percentage of women majoring in computer science from less than 15 percent to more than 40 percent today. STEMにおける女性やマイノリティの普及を最優先にしている女性もいる。マリア・クラウは、その輝かしい例である。彼女は著名なコンピューターサイエンティストから、ハーベイ・マッド・カレッジの初の女性学長になった。在任中、彼女はコンピュータサイエンス学部の革新的な能力をサポートするために尽力し、コンピュータサイエンスを専攻する女性の割合を15%未満から今日の40%以上まで引き上げた。
Marjorie Lee Browne was a famous mathematician who pioneered the field of mathematics, specifically relating to algebra. マージョリー・リー・ブラウンは、数学の分野、特に代数に関連する分野を開拓した有名な数学者である。
After Brown graduated, she applied to the University of Michigan’s math graduate program. In the mid-1900s, access to quality education was challenging for African Americans who wanted to advance themselves. The University of Michigan was one of the few institutions in the U.S. that accepted African American students. ブラウンが卒業した後、彼女はミシガン大学の数学の大学院課程に出願している。1900年代半ば、自己啓発を目指すアフリカ系アメリカ人にとって、質の高い教育へのアクセスは困難なものであった。ミシガン大学は、アフリカ系アメリカ人の学生を受け入れている全米でも数少ない教育機関の一つであった。
Browne spent her summers with local teachers, filling them in on the wonders of linear algebra. She recognized that increasing the involvement of black women in STEM was crucial to get more young people involved in mathematics. Browne is also responsible for setting up the first computer center at a historically black university. ブラウンは夏休みを利用して、地元の教師たちに線形代数のすばらしさを教えた。彼女は、より多くの若者が数学に親しむためには、黒人女性のSTEMへの参加を増やすことが重要であると認識した。ブラウンは、歴史的に黒人の多い大学で初めてコンピューターセンターを設立した責任者でもある。
Another woman who made it her life’s work to inspire interest in science among young people was Sally Ride. Ride made history when in 1983, she became the first American woman to fly into space. After retiring from NASA, she founded Sally Ride Science, an organization dedicated to supporting students interested in STEM. もう一人、若い人たちに科学への興味を持たせることをライフワークとした女性が、サリー・ライドである。ライドさんは、1983年にアメリカ人女性として初めて宇宙へ飛び立ち、歴史に名を残した。NASAを退職後、サリー・ライド・サイエンスを設立し、STEMに関心を持つ学生を支援している。
Ellen Ochoa was the first Latina to go to outer space. She was a research engineer and inventor who created optical systems for aerospace missions. She was then selected to be an astronaut and served as director of NASA’s Johnson Space Center in Houston from 2013 to 2018. She continues to speak at schools and conferences to inspire young girls to focus on their education because that was the key to her success. エレン・オチョアは、ラテン系の女性として初めて宇宙へ行った人物である。彼女は、航空宇宙ミッション用の光学系を開発する研究エンジニアであり、発明家であった。その後、彼女は宇宙飛行士に選ばれ、2013年から2018年までヒューストンのNASAジョンソン宇宙センターの所長を務めた。彼女は、それが成功の鍵であったため、若い女の子に教育に専念するよう促すために、学校や会議で講演を続けている。
While many more brilliant and innovative women could be on this list, it is also important to remember the unnamed women that were behind some of the most complicated and ground-breaking feats of science throughout American history. このリストには、もっと多くの優秀で革新的な女性が入る可能性があるが、アメリカの歴史を通じて、最も複雑で画期的な科学の偉業を支えた名もなき女性たちのことも忘れてはいけない。
During World War II, six women led a secret project to program the first all-electronic programmable computer. The women were not named when the project was introduced to the public in 1946. Betty Snyder (later Holberton), Kathleen McNulty (Mauchly), Jean Jennings Bartik, Ruth Licherman (Teitelbaum), Frances Bilas (Spence), and Marlyn Wescoff (Meltzer) achieved the task they were given with no manuals or program languages and were responsible for the success of the Electronic Numerical Integrator And Computer or as it is known today, ENIAC. 第二次世界大戦中、6人の女性が極秘プロジェクトを率いて、初の全電子式プログラマブル・コンピュータをプログラミングした。1946年にこのプロジェクトが一般に紹介されたとき、彼女たちの名前はなかった。ベティ・スナイダー(後のホルバートン)、キャスリーン・マクナルティ(モークリー)、ジーン・ジェニングス・バーティック、ルース・ライシャーマン(タイテルバウム)、フランセス・ビラス(スペンス)、マーリン・ウエストコフ(メルツァー)の6人は、マニュアルやプログラム言語がない中で与えられた課題を達成し、電子数値積和演算機・コンピュータ(現在のENIAC)を成功させる役割を担いた。
Because of the labor shortage during World War II, the Tennessee Eastman Company recruited young women, primarily high-school graduates, to operate the calutrons that used electromagnetic separation to isolate uranium. Despite not knowing what they were working on, the “Calutron Girls” proved highly skilled at operating the instruments and optimizing uranium production, producing better results than the male scientists they worked with. Their work later was instrumental to the Manhattan Project. 第二次世界大戦中の労働力不足から、テネシー・イーストマン社は、電磁分離でウランを分離するカルトロンを操作するために、主に高卒の若い女性を募集した。カルトロン・ガールズ」は、何も知らないにもかかわらず、機器の操作やウラン生産の最適化に高い能力を発揮し、一緒に働いていた男性科学者よりも良い結果を出した。彼女たちの活躍は、後にマンハッタン計画にも貢献することになる。
                At U.S. Cyber Command, our female service members are leading at various levels of the command from Hunt Forward Team Lead to senior enlisted leaders. We rely on them for their fierce devotion to the country as well as their innovation and expertise, not just today, but for the future as well.                 米サイバー軍では、ハント・フォワード・チームリーダーから上級下士官まで、さまざまなレベルで女性兵士が指揮をとっている。私たちは、彼女たちの国への激しい献身と、現在だけでなく将来のための革新と専門知識を頼りにしている。

1_20230403062001

 

参考までですが、WEFが公表しているジェンダー指数です。

2022年の報告書では、日本は146位中116位です。。。すごい順位ですよね。。。内閣府の男女共同参画局もびっくり。。。

低順位の理由が圧倒的に政治ですからね。。。

2_20230403063201

3_20230403064101

 

経済参画 教育 健康 政治参画 経済参画 教育 健康 政治参画 総合 国数
2006年 0.545 0.986 0.980 0.067 0.645 83 60 1 83 80 115
2007年 0.549 0.986 0.979 0.067 0.645 97 69 37 94 91 128
2008年 0.544 0.985 0.979 0.065 0.643 102 82 38 107 98 130
2009年 0.550 0.985 0.979 0.065 0.645 108 84 41 110 101 134
2010年 0.572 0.986 0.980 0.072 0.652 101 82 1 101 94 134
2011年 0.567 0.986 0.980 0.072 0.651 100 80 1 101 98 135
2012年 0.576 0.987 0.979 0.070 0.653 102 81 34 110 101 135
2013年 0.584 0.976 0.979 0.060 0.650 104 91 34 118 105 136
2014年 0.618 0.978 0.979 0.058 0.658 102 93 37 129 104 142
2015年 0.611 0.988 0.979 0.103 0.670 106 84 42 104 101 145
2016年 0.569 0.990 0.979 0.103 0.660 118 76 40 103 111 144
2017年 0.580 0.991 0.98 0.078 0.657 114 74 1 123 114 144
2018年 0.595 0.994 0.979 0.081 0.662 117 65 41 125 110 149
2020年 0.598 0.983 0.979 0.049 0.652 115 91 40 144 121 153
2021年 0.604 0.983 0.973 0.061 0.656 117 92 65 147 120 156
2022年 0.564 1.000 0.973 0.061 0.650 121 1 63 139 116 146

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.14 CISA より多くの若い女性をサイバーセキュリティに導くためにガールスカウトUSAと連携を強化

・2023.03.14 CISAとWomen in CyberSecurityがパートナーシップを強化し、サイバーと技術におけるジェンダーギャップを解消へ

 

| | Comments (0)

米国 米サイバー軍がアルバニアでイランからのサイバー攻撃に対する防衛的ハント作戦を実施 (2023.03.23)

こんにちは、丸山満彦です。

米サイバー軍がアルバニアでイランからのサイバー攻撃に対する防衛的ハント作戦を実施したと公表していました。。。

アルバニア政府は2022年7月からイランからのサイバー攻撃にさらされているようで、その対応に米サイバー軍が協力したということのようですね。。。イランに対して攻撃をしたのではなく、イランからと思われる攻撃に対して、アルバニア側の脆弱性を把握し、それに対する有効な対処についての支援を行ったということのようです。

アルバニアにとっては、米サイバー軍の技術を含む高いサイバー対処能力を活用することができ、米サイバー軍にとっては、実際のサイバー攻撃に対処することにより多くの情報が得られることから、双方にとってのメリットがあるようですね。。。

 

⚫︎ U.S. Cyber Command

・2023.03.23 “Committed Partners in Cyberspace”: Following cyberattack, US conducts first defensive Hunt Operation in Albania

 

“Committed Partners in Cyberspace”: Following cyberattack, US conducts first defensive Hunt Operation in Albania サイバースペースにおけるコミットメントパートナー:サイバー攻撃を受けて、米国がアルバニアで初の防衛的ハント作戦を実施
By Cyber National Mission Force Public Affairs By Cyber National Mission Force Public Affairs
FORT GEORGE G. MEADE, Md. / TIRANA, ALBANIA—“Following a significant cyberattack on Albania in 2022, a team of cyber operators from the U.S. Cyber National Mission Force (CNMF) conducted their first-ever defensive cyber operation there, returning recently with a strengthened partnership with Albania and unique insights into malicious cyber activity.” メリーランド州 フォートジョージ・G・ミード / アルバニア・ティラナTIRANA, ALBANIA-「2022年にアルバニアに重大なサイバー攻撃があった後、米国のサイバー国家任務部隊(CNMF)のサイバーオペレーターチームは、そこで初めて防衛サイバー活動を行い、アルバニアとのパートナーシップ強化と悪質なサイバー活動に関する独自の洞察を持って最近戻ってきた」
U.S. Cyber Command’s CNMF deployed a Hunt Forward team in collaboration with Albania to conduct network defense activities alongside the partner nation to identify, monitor, and analyze adversary tactics, techniques, and procedures. 米国サイバー軍のCNMFは、アルバニアと共同でハント・フォワード作戦チームを展開し、パートナー国と共にネットワーク防衛活動を行い、敵対者の戦術、技術、手順を特定、監視、分析した。
Hunt Forward Operations are defensive missions that allow countries to better understand the shared threats and to enhance the security of critical networks that the U.S., allies, and partners depend on. ハント・フォワード作戦は、各国が共有する脅威をよりよく理解し、米国、同盟国、パートナーが依存する重要なネットワークのセキュリティを強化するための防御的な任務である。
“We are looking forward to increased collaboration with AKSHI [The National Agency for Information Society] in order to establish a resilient ecosystem and a green zone in our public infrastructures,” said Dr. Igli Tafa, General Director and National Cyber Coordinator in the National Authority for Electronic Certification and Cyber Security (NAECCS) of Albania, and is responsible for supervising the law and policies on cybersecurity and trusted services. アルバニアの電子認証とサイバーセキュリティのための国家機関(NAECCS)のゼネラルディレクター兼国家サイバーコーディネーターであり、サイバーセキュリティと信頼されるサービスに関する法律と政策の監督を担当しているイグリ・タファ博士は、「公共インフラにレジリエンスとグリーンゾーンを確立するために、AKSHI(The National Agency for Information Society)との連携を強化したいと思っている」と述べている。
In July 2022, Iranian cyber actors launched a cyberattack against the Government of Albania. According to U.S. Cybersecurity & Infrastructure Security Agency (CISA), these same Iranian actors used similar tactics, techniques, and procedures in another wave of cyber-attacks against the Government of Albania in September 2022. Following the cyberattacks, the U.S. strongly condemned Iran's cyberattack against its NATO ally, and reaffirmed its support to Albania’s efforts to strengthen its cybersecurity. 2022年7月、イランのサイバーアクターがアルバニア政府に対してサイバー攻撃を開始した。米国のサイバーセキュリティ&インフラストラクチャーセキュリティ局(CISA)によると、イランの同じ攻撃者は、2022年9月にアルバニア政府に対するサイバー攻撃の別の波で同様の戦術、技術、手順を使用した。今回のサイバー攻撃を受けて、米国はNATOの同盟国に対するイランのサイバー攻撃を強く非難し、サイバーセキュリティを強化するアルバニアの取り組みに対する支援を再確認した。
“The United States is committed to working with Albania on securing its digital future, and ensuring that connectivity is a force for innovation, productivity, and empowerment,” said Nathaniel Fick, U.S. Ambassador at Large for Cyberspace and Digital Policy. “We will continue to support our NATO ally Albania’s remediation efforts, and invite partners to join us alongside our NATO allies in holding Iran accountable for its destructive cyberattacks against Albania in July and September 2022.” ナサニエル・フィック米国サイバー空間・デジタル政策担当特命大使は次のようにのべている。「米国は、アルバニアのデジタルの未来を確保し、接続性がイノベーション、生産性、エンパワーメントの力となるよう、アルバニアと協力していくことを約束する。我々は、NATOの同盟国であるアルバニアの修復努力を引き続き支援し、2022年7月と9月にアルバニアに対して行った破壊的なサイバー攻撃の責任をイランに問うために、NATOの同盟国とともに我々に参加するようパートナーに呼びかける。」
Over the course of the three-month deployment, CNMF cyber operators worked closely with Albanian cyber partners, hunting for malicious cyber activity and identifying vulnerabilities on networks of Albania’s choice. 3ヶ月の派遣期間中、CNMFのサイバーオペレーターはアルバニアのサイバーパートナーと緊密に連携し、悪意のあるサイバー活動を狩り、アルバニアが選択したネットワーク上の脆弱性を特定した。
“The cooperation with U.S. Cyber Command was very effective and made us feel safe by assuring that we have followed all the right steps in responding to these sophisticated attacks,” said Mirlinda Karçanaj, General Director of National Agency of Information Society (AKSHI), an institution of the Albanian Government that coordinates the development and administration of state information systems. “We hope that this cooperation will continue in the future so that we can further exchange experiences and increase our capacities to another level.” アルバニア政府の機関であり、国家情報システムの開発と管理を調整する国家情報社会局(AKSHI)のMirlinda Karçanaj総局長は、次のようにのべている。「米国サイバー軍との協力は非常に効果的で、このような高度な攻撃に対応するためにすべての正しい手順を踏んだことを保証してくれたので安心できた。我々は、この協力関係が将来も続き、我々がさらに経験を交換し、能力をさらに高めることができるようになることを望んでいる。」
The U.S. cyber operators provided technical findings from their network hunt to the Government of Albania, enabling the partner to take steps toward bolstering their network defense. Those insights have proven invaluable to defending the United States from outside aggression and malicious cyber behavior in cyberspace. 米国のサイバーオペレーターは、ネットワークハントから得られた技術的知見をアルバニア政府に提供し、同国がネットワーク防御の強化に向けた措置を講じることを可能にした。これらの知見は、サイバースペースにおける外部からの攻撃や悪意のあるサイバー行為から米国を守るために非常に重要であることが証明された。
Hunt Forward Operations are conducted collaboratively with the partner nation and with elite military and federal civilian cyber operators from CYBERCOM. During the operation, U.S. operators sit side-by-side with host nation counterparts, hunting only on those networks the partner has identified and provided access to. ハント・フォワード作戦は、パートナー国やCYBERCOMの精鋭軍民サイバーオペレーターと共同で実施されます。作戦中、米国のオペレーターはホスト国のカウンターパートと机を並べ、パートナーが特定し、アクセス権を提供したネットワークにのみハントする。
“The partnerships we build will enable better cyber defense in the future-- they strengthen our ability to defend our Nations,” said U.S. Army Maj. Gen. William J. Hartman, commander of Cyber National Mission Force. “These hunts bring us closer to adversary activity to better understand and then defend ourselves, but they also bring the U.S. closer to our partners and allies. These relationships are key to protecting our networks and critical infrastructure against shared threats.”   サイバー国家任務部隊の司令官であるウィリアム・J・ハートマン米陸軍大将は次のように述べている。「我々が築いたパートナーシップは、将来、より優れたサイバー防衛を可能にし、我々の国を守る能力を強化する。これらの狩りは、敵の活動をよりよく理解し、自分自身を守るために我々を近づけるだけでなく、米国をパートナーや同盟国と近づけるものである。これらの関係は、共有の脅威からネットワークと重要なインフラを保護するための鍵である。」  
When hunting on partner networks, Albanian and U.S. cyber operators can observe malicious cyber actors’ TTPs in real-time. With the nation’s permission, the U.S. team can then bring those insights back to the U.S. to share across the private and public sector, hardening defenses before adversaries can target U.S. networks. パートナーのネットワークでハンティングを行う場合、アルバニアと米国のサイバーオペレーターは、悪意のあるサイバーアクターのTTPをリアルタイムで観察できる。アルバニアの許可を得て、米国のチームはこれらの洞察を米国に持ち帰り、民間および公共部門で共有することで、敵が米国のネットワークを狙う前に防御を強化することができる。
While critical to strengthening U.S. cybersecurity, Hunt Forward Operations also develop and build strategic relationships with key allies and partners. These activities enhance allies’ and partners’ cybersecurity posture, which makes it more difficult for foreign adversaries to operate on networks globally.   米国のサイバーセキュリティ強化に欠かせないハント・フォワード作戦は、主要な同盟国やパートナーとの戦略的な関係も構築している。これらの活動により、同盟国やパートナーのサイバーセキュリティ態勢が強化され、外国の敵対者がグローバルにネットワーク上で活動することがより困難になる。  
 “In an increasingly dynamic environment where malicious cyber actors attempt to exploit our networks, data, and critical infrastructure, we have a key asymmetric advantage that our adversaries don’t have: enduring partnerships like this one with Albania,” said Hartman. “When we are invited to hunt on a partner nations’ networks, we are able to find an adversary's insidious activity in cyberspace, and share with our partner to take action on. We can then impose costs on our adversaries by exposing their tools, tactics and procedures, and improve the cybersecurity posture of our partners and allies. When we share information, we are all more defended from those who seek to do us harm." ハートマンは次のようにのべている。「悪意のあるサイバーアクターが我々のネットワーク、データ、重要なインフラを悪用しようとする、ますますダイナミックな環境において、我々には敵が持っていない重要な非対称の利点がある。アルバニアとのこのような永続的なパートナーシップである。我々がパートナー国のネットワークに侵入することで、サイバースペースにおける敵の陰湿な活動を発見し、パートナー国と共有して対策を講じることができる。そして、敵のツール、戦術、手順を暴露することによって敵にコストを課すことができ、パートナーや同盟国のサイバーセキュリティ態勢を改善することができる。我々が情報を共有することで、我々に危害を加えようとする者から、我々全員がより守られる」。
In cybersecurity, ‘hunting’ is a proactive cyber defense activity, to observe and mitigate threats that are undetected on a network or system. While HFO teams do not mitigate threats on partner networks, they enable their counterparts to pursue and address the threats found. サイバーセキュリティにおいて、「ハンティング」とは、ネットワークやシステム上で検知されない脅威を観察し、軽減するための、積極的なサイバー防衛活動のことである。HFOチームは、パートナーのネットワーク上の脅威を軽減するわけではないが、発見された脅威を追求し対処することを可能にする。
CNMF has deployed 44 times to 22 countries and conducted hunt operations on nearly 70 networks around the world. In addition to Albania, teams have deployed to Ukraine, Estonia, Lithuania, Croatia, Montenegro, North Macedonia, and other nations since 2018. CNMFは、22カ国に44回派遣され、世界中の約70のネットワークでハントオペレーションを実施した。アルバニアに加え、2018年以降、ウクライナ、エストニア、リトアニア、クロアチア、モンテネグロ、北マケドニアなどにチームを展開した。
On December 19, 2022, CNMF was elevated to a subordinate unified command highlighting the evolution of a persistent, professional cyber force today and into the future. Since its inception in 2014, CYBERCOM’s CNMF has rapidly evolved to meet the needs of the Nation, and has participated in, or responded to almost every national crisis the United States has faced. 2022年12月19日、CNMFは下位の統一コマンドに昇格し、現在および将来にわたって永続的で専門的なサイバー部隊の進化を強調した。2014年の発足以来、CYBERCOMのCNMFは国家のニーズに合わせて急速に進化し、米国が直面するほぼすべての国家的危機に参加、または対応してきた。

 

230322dd04510001

 

| | Comments (0)

2023.04.02

経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

こんにちは、丸山満彦です。

委員をしている、経済産業省の「産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)宇宙産業SWG」から「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1」が公表されています。


本ガイドラインは、民間宇宙事業者のビジネス振興及びサイバー攻撃による倒産等の経営リスク軽減の観点から、

  • 宇宙システムに係るセキュリティ上のリスク
  • 宇宙システムに関わる各ステークホルダーが検討すべき基本的セキュリティ対策
  • 対策の検討に当たり参考になる参考文献、活用可能な既存施策 等

について分かりやすく整理して示し、民間事業者における自主的な対策を促すことを目的としています。


ということです。。。

標準モデル...

1_20230402013201

 

リスクシナリオ...

・リスクシナリオ例1:標準型メール攻撃による衛星軌道制御の喪失
・リスクシナリオ例2:開発製造用端末のマルウェア感染による衛星・ミッション機器制御の喪失
・リスクシナリオ例3:衛星データ利用設備へのサイバー攻撃による衛星制御の喪失
・リスクシナリオ例4:観測受付サーバーへの不正アクセスによるサービス提供不能
・リスクシナリオ例5:テレワーク環境下でのメール攻撃による企業機密の漏えい
・リスクシナリオ例6:無許可 USB メモリの利用による操業停止
・リスクシナリオ例7:不正な衛星搭載機器の受入れによるコンステレーション崩壊の危機

 

 

⚫︎ 経済産業省 審議会・研究会 - ものづくり/情報/流通・サービス - 産業サイバーセキュリティ研究会 - ワーキンググループ1(制度・技術・標準化) - ワーキンググループ1(宇宙産業サブワーキンググループ)

・[PDF] 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

20230402-12456

 

・[PDF] 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 1.1 概要資料

20230402-12641

・[EXLS] 【添付資料1】対策要求事項チェックリスト

・[EXLS] 【添付資料2】NIST CSFと宇宙システム特有の対策との対応関係

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.08 NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

 

| | Comments (0)

イタリア データ保護庁がOpenAI社にプライバシー規制を遵守するまでChatGPTがイタリア人ユーザのデータ処理の制限を直ちに命じた...

こんにちは、丸山満彦です。

イタリアのデータ保護庁 (Garante) は、OpenAI社に対して、プライバシー規制を遵守するまでChatGPTがイタリア人ユーザのデータ処理の制限するように直ちに命じ、同時に調査を開始するようですね。。。

いくつかの違反があると想定しているようですが、13歳未満の未成年のデータは取得しないと言いながら、13歳以下のデータかどうかを見分けるフィルターがないということで、実質みわけていないやろ、、、ということもあるようですね。。。

 

⚫︎ Garante Per La Protezione Dei Dati Personali

・2023.03.31 Intelligenza artificiale: il Garante blocca ChatGPT. Raccolta illecita di dati personali. Assenza di sistemi per la verifica dell’età dei minori

Intelligenza artificiale: il Garante blocca ChatGPT. Raccolta illecita di dati personali. Assenza di sistemi per la verifica dell’età dei minori 人工知能:GaranteがChatGPTをブロック。個人情報の違法な収集 未成年者の年齢を確認するシステムの欠如
Intelligenza artificiale: il Garante blocca ChatGPT 人工知能:GaranteがChatGPTをブロックする。
Raccolta illecita di dati personali. Assenza di sistemi per la verifica dell’età dei minori 個人情報の違法な収集 未成年者の年齢を確認するシステムの欠如
Stop a ChatGPT finché non rispetterà la disciplina privacy. Il Garante per la protezione dei dati personali ha disposto, con effetto immediato, la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società statunitense che ha sviluppato e gestisce la piattaforma. L’Autorità ha contestualmente aperto un’istruttoria. プライバシー規制を遵守するまでChatGPTを停止せよ。イタリアデータ保護庁は、プラットフォームを開発・管理する米国OpenAI社に対し、イタリア人ユーザーのデータ処理の暫定的な制限を直ちに命じた。同時に、当局は調査を開始した。
ChatGPT, il più noto tra i software di intelligenza artificiale relazionale in grado di simulare ed elaborare le conversazioni umane, lo scorso 20 marzo aveva subito una perdita di dati (data breach) riguardanti le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio a pagamento. 人間の会話をシミュレートして処理できるリレーショナル人工知能ソフトウェアとして最も有名なChatGPTは、去る3月20日にユーザーの会話と有料サービスの加入者の支払いに関する情報に関してデータの損失(データ侵害)が発生していた。
Nel provvedimento, il Garante privacy rileva la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, ma soprattutto l'assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma. この措置において、プライバシー保証人は、OpenAIによってデータが収集されるユーザーおよびすべての利害関係者に対する情報の欠如、そして何よりも、プラットフォームの運用を支えるアルゴリズムの「訓練」を目的とした個人データの大量収集および保存を正当化する法的根拠の不在を指摘している。
Come peraltro testimoniato dalle verifiche effettuate, le informazioni fornite da ChatGPT non sempre corrispondono al dato reale, determinando quindi un trattamento di dati personali inesatto. さらに、検証の結果、ChatGPTが提供する情報は必ずしも実際のデータと一致しないため、個人データの不正確な処理につながっている。
Da ultimo, nonostante – secondo i termini pubblicati da OpenAI – il servizio sia rivolto ai maggiori di 13 anni, l’Autorità evidenzia come l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti esponga i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza. 最後に、OpenAIが公表した規約によれば、このサービスは13歳以上を対象としているにもかかわらず、当局の指摘によれば、ユーザーの年齢を確認するためのフィルターがないため、未成年者は、その発達と自己認識のレベルに関して全く不適切な回答にさらされることになる。
OpenAI, che non ha una sede nell’Unione ma ha designato un rappresentante nello Spazio economico europeo, deve comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto dal Garante, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo. 欧州連合内に事務所はないが、欧州経済領域内に代理人を置いているOpenAIは、2000万ユーロ以下の罰金または全世界の年間売上高の4%以下の罰金というペナルティを受け、Garanteの要請を実行するために講じた措置を20日以内に伝えなければならない。
Roma, 31 marzo 2023 ローマ、2023年3月31日

 

1_20230401162001

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.30 欧州 ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

 

 

| | Comments (0)

2023.04.01

英国 意見募集 AI規制白書

こんにちは、丸山満彦です。

英国では、2023.02.11に科学・イノベーション・技術省 (Department for Science, Innovation and Technology) が新設されましたが、その科学・イノベーション・技術省と人工知能室 (Office for Artificial Intelligence)  がAI規制白書を公表し、意見募集をしていますね。。。

 

⚫︎ U.K. Governance 

プレス...

・2023.03.29 UK unveils world leading approach to innovation in first artificial intelligence white paper to turbocharge growth

UK unveils world leading approach to innovation in first artificial intelligence white paper to turbocharge growth 英国は、成長を加速させるために、初の人工知能白書でイノベーションに対する世界をリードするアプローチを公開した。
Government launches AI white paper to guide the use of artificial intelligence in the UK, to drive responsible innovation and maintain public trust in this revolutionary technology. 政府は、英国における人工知能の利用を指導し、責任あるイノベーションを推進し、この革命的な技術に対する国民の信頼を維持するためのAI白書を発表した。
・White paper sets out new approach to regulating artificial intelligence to build public trust in cutting-edge technologies and make it easier for businesses to innovate, grow and create jobs ・この白書は、人工知能を規制するための新しいアプローチを示し、最先端技術に対する社会的信頼を築き、企業が革新、成長、雇用を創出しやすくすることを目的としている。
・plan will help unleash the benefits of AI, one of the 5 technologies of tomorrow, which already contributes £3.7 billion to the UK economy ・すでに37億ポンドの経済効果を上げているAIは、明日の5大テクノロジーのひとつであり、その恩恵にあずかることができる。
・follows new expert taskforce to build the UK’s capabilities in foundation models, including large language models like ChatGPT, and £2 million for sandbox trial to help businesses test AI rules before getting to market ・ChatGPTのような大規模言語モデルを含む基礎モデルにおける英国の能力を構築するための新しい専門家タスクフォースをフォローし、企業が市場に出る前にAIルールをテストするための実証実験に200万ポンドを提供する。
Five principles, including safety, transparency and fairness, will guide the use of artificial intelligence in the UK, as part of a new national blueprint for our world class regulators to drive responsible innovation and maintain public trust in this revolutionary technology. 安全性、透明性、公平性を含む5つの原則は、英国における人工知能の使用を導くもので、世界クラスの規制当局が責任あるイノベーションを推進し、この革命的技術に対する国民の信頼を維持するための新しい国家青写真の一部となる。
The UK’s AI industry is thriving, employing over 50,000 people and contributing £3.7 billion to the economy last year. Britain is home to twice as many companies providing AI products and services as any other European country and hundreds more are created each year. 英国のAI産業は盛んで、昨年は5万人以上を雇用し、37億ポンドを経済に貢献した。英国には、AI製品やサービスを提供する企業がヨーロッパの他の国の2倍あり、毎年何百もの企業が誕生している。
AI is already delivering real social and economic benefits for people, from helping doctors to identify diseases faster to helping British farmers use their land more efficiently and sustainably. Adopting artificial intelligence in more sectors could improve productivity and unlock growth, which is why the government is committed to unleashing AI’s potential across the economy. AIはすでに、医師が病気をより早く特定するための支援や、英国の農家が土地をより効率的かつ持続的に利用するための支援など、人々に実際の社会的・経済的利益をもたらしている。より多くの分野で人工知能を採用することで、生産性を向上させ、成長を引き出すことができる。だからこそ、政府は経済全体でAIの潜在能力を引き出すことに尽力している。
As AI continues developing rapidly, questions have been raised about the future risks it could pose to people’s privacy, their human rights or their safety. There are concerns about the fairness of using AI tools to make decisions which impact people’s lives, such as assessing the worthiness of loan or mortgage applications. AIが急速に発展し続ける中、人々のプライバシーや人権、安全に対して将来的にもたらす可能性のあるリスクについて、疑問が投げかけられている。また、ローンや住宅ローンの申し込みの価値を評価するなど、人々の生活に影響を与える決定をAIツールで行うことの公平性についても懸念されている。
Alongside hundreds of millions of pounds of government investment announced at Budget, the proposals in the AI regulation white paper will help create the right environment for artificial intelligence to flourish safely in the UK. 予算で発表された数億ポンドの政府投資とともに、AI規制白書の提案は、英国で人工知能が安全に繁栄するための適切な環境作りを支援する。
Currently, organisations can be held back from using AI to its full potential because a patchwork of legal regimes causes confusion and financial and administrative burdens for businesses trying to comply with rules. 現在、組織はAIを最大限に活用することができません。なぜなら、法制度のパッチワークが混乱を招き、規則を遵守しようとする企業に財政的・管理的負担を強いているからである。
The government will avoid heavy-handed legislation which could stifle innovation and take an adaptable approach to regulating AI. Instead of giving responsibility for AI governance to a new single regulator, the government will empower existing regulators - such as the Health and Safety Executive, Equality and Human Rights Commission and Competition and Markets Authority - to come up with tailored, context-specific approaches that suit the way AI is actually being used in their sectors. 政府は、イノベーションを阻害するような強引な法規制を避け、AIを規制するために適応性のあるアプローチをとる。政府は、AIガバナンスの責任を新たな単一の規制機関に委ねる代わりに、安全衛生庁、平等人権委員会、競争市場庁などの既存の規制機関に権限を与え、それぞれの分野でAIが実際に使用されている方法に適した、状況に応じたアプローチを考え出すようにする。
The white paper outlines 5 clear principles that these regulators should consider to best facilitate the safe and innovative use of AI in the industries they monitor. The principles are: 白書は、これらの規制当局が監視する業界において、AIの安全かつ革新的な利用を最も促進するために考慮すべき5つの明確な原則を概説している。その原則とは
safety, security and robustness: applications of AI should function in a secure, safe and robust way where risks are carefully managed 安全、セキュリティ、堅牢性:AIのアプリケーションは、リスクが慎重に管理された安全、安心、堅牢な方法で機能する必要がある。
transparency and explainability: organisations developing and deploying AI should be able to communicate when and how it is used and explain a system’s decision-making process in an appropriate level of detail that matches the risks posed by the use of AI 透明性と説明可能性:AIを開発・導入する組織は、いつ、どのようにAIが使用されるかを伝え、AIの使用がもたらすリスクに見合った適切なレベルの詳細でシステムの意思決定プロセスを説明できるべきである。
fairness: AI should be used in a way which complies with the UK’s existing laws, for example the Equality Act 2010 or UK GDPR, and must not discriminate against individuals or create unfair commercial outcomes 公正性: AIは、英国の既存の法律、例えば「Equality Act 2010」や「UK GDPR」に準拠した方法で使用されるべきであり、個人を差別したり、不公平な商業的成果を生み出してはならない。
accountability and governance: measures are needed to ensure there is appropriate oversight of the way AI is being used and clear accountability for the outcomes 説明責任とガバナンス:AIの使用方法に対する適切な監視と、成果に対する明確な説明責任を確保するための対策が必要である。
contestability and redress: people need to have clear routes to dispute harmful outcomes or decisions generated by AI 争議可能性と救済:人々は、AIが生み出す有害な結果や決定について争うための明確なルートを持つ必要がある。
This approach will mean the UK’s rules can adapt as this fast-moving technology develops, ensuring protections for the public without holding businesses back from using AI technology to deliver stronger economic growth, better jobs, and bold new discoveries that radically improve people’s lives. このアプローチにより、英国のルールは、この急速に変化するテクノロジーの発展に合わせて適応することができ、より強力な経済成長、より良い雇用、人々の生活を根本的に改善する大胆な新発見をもたらすAIテクノロジーの活用から企業を遠ざけることなく、一般市民の保護を確保できることになる。
Over the next 12 months, regulators will issue practical guidance to organisations, as well as other tools and resources like risk assessment templates, to set out how to implement these principles in their sectors. When parliamentary time allows, legislation could be introduced to ensure regulators consider the principles consistently. 今後12カ月間、規制当局は、組織に対する実践的なガイダンスや、リスク評価テンプレートなどのツールやリソースを発行し、各分野でこれらの原則を実施する方法を定める予定である。議会の時間が許す限り、規制当局がこの原則を一貫して考慮するための法律を導入することも可能である。
Science, Innovation and Technology Secretary Michelle Donelan said ミシェル・ドネラン科学・イノベーション・テクノロジー長官は、次のように述べている。
AI has the potential to make Britain a smarter, healthier and happier place to live and work. Artificial intelligence is no longer the stuff of science fiction, and the pace of AI development is staggering, so we need to have rules to make sure it is developed safely. AIは、イギリスをより賢く、より健康的で、より幸せな生活と仕事の場とする可能性を秘めている。人工知能はもはやSFの世界ではなく、AIの開発ペースは驚異的であるため、安全に開発できるようなルールが必要である。
Our new approach is based on strong principles so that people can trust businesses to unleash this technology of tomorrow. 私たちの新しいアプローチは、人々が企業を信頼して、この明日のテクノロジーを解き放つことができるよう、強力な原則に基づくものである。
Businesses warmly welcomed initial proposals for this proportionate approach during a consultation last year and highlighted the need for more coordination between regulators to ensure the new framework is implemented effectively across the economy. As part of the white paper published today, the government is consulting on new processes to improve coordination between regulators as well as monitor and evaluate the AI framework, making changes to improve the efficacy of the approach if needed. 企業は、昨年のコンサルテーションで、この割合の高いアプローチに関する最初の提案を温かく歓迎し、新しい枠組みが経済全体で効果的に実施されるように、規制当局間の調整を強化する必要性を強調した。本日発表された白書の一部として、政府は、規制当局間の調整を改善するとともに、AIの枠組みを監視・評価し、必要に応じてアプローチの有効性を向上させるための変更を行うための新しいプロセスについて協議している。
£2 million will fund a new sandbox, a trial environment where businesses can test how regulation could be applied to AI products and services, to support innovators bringing new ideas to market without being blocked by rulebook barriers. 200万ポンドは、新たなサンドボックス、すなわち、企業がAI製品やサービスにどのように規制を適用できるかをテストできる試験環境に資金を提供し、ルールブックの障壁に阻まれることなく新しいアイデアを市場に送り出す革新者を支援する。
Organisations and individuals working with AI can share their views on the white paper as part of a new consultation launching today which will inform how the framework is developed in the months ahead. AIに携わる組織や個人は、本日開始される新しいコンサルテーションで白書に対する意見を述べることができ、今後数ヶ月の間にフレームワークがどのように開発されるかを知ることができる。
Lila Ibrahim, Chief Operating Officer and UK AI Council Member, DeepMind, said: DeepMindの最高執行責任者兼UK AIカウンシルメンバーであるLila Ibrahimは、次のように述べている:
AI has the potential to advance science and benefit humanity in numerous ways, from combating climate change to better understanding and treating diseases. This transformative technology can only reach its full potential if it is trusted, which requires public and private partnership in the spirit of pioneering responsibly. The UK’s proposed context-driven approach will help regulation keep pace with the development of AI, support innovation and mitigate future risks. AIは、気候変動への対策から病気の理解や治療まで、数多くの方法で科学を発展させ、人類に恩恵をもたらす可能性を秘めている。この変革的なテクノロジーは、信頼されて初めてその可能性を最大限に発揮することができ、そのためには、責任を持って開拓するという精神で官民がパートナーシップを組む必要がある。英国が提案するコンテキスト駆動型アプローチは、規制がAIの発展に歩調を合わせ、イノベーションを支援し、将来のリスクを軽減するのに役立つだろう。
Grazia Vittadini, Chief Technology Officer, Rolls-Royce, said: ロールス・ロイスの最高技術責任者であるグラツィア・ヴィッタディーニは、次のように述べている:
Both our business and our customers will benefit from agile, context-driven AI regulation. It will enable us to continue to lead the technical and quality assurance innovations for safety-critical industrial AI applications, while remaining compliant with the standards of integrity, responsibility and trust that society demands from AI developers. 当社のビジネスとお客様の両方が、俊敏で文脈を重視したAI規制から利益を得ることができる。これにより、当社は、社会がAI開発者に求める誠実さ、責任、信頼の基準を遵守しながら、セーフティクリティカルな産業用AIアプリケーションの技術および品質保証のイノベーションをリードし続けることができるようになるだろう。
Sue Daley, Director for Tech and Innovation at techUK, said: techUKの技術・イノベーション担当ディレクターであるスー・デイリー(Sue Daley)は、次のように述べている:
techUK welcomes the much-anticipated publication of the UK’s AI white paper and supports its plans for a context-specific, principle-based approach to governing AI that promotes innovation. The government must now prioritise building the necessary regulatory capacity, expertise, and coordination. techUK stands ready to work alongside government and regulators to ensure that the benefits of this powerful technology are felt across both society and the economy. techUKは、待ちに待った英国のAI白書の発表を歓迎し、イノベーションを促進するAIを統治するための、状況に応じた原則に基づくアプローチの計画を支持する。techUKは、政府や規制当局と協力し、この強力な技術がもたらす恩恵が社会と経済の両方に及ぶようにするための準備を整えている。
Clare Barclay, CEO, Microsoft UK, said: マイクロソフトUKのCEOであるクレア・バークレイは、次のように述べている:
AI is the technology that will define the coming decades with the potential to supercharge economies, create new industries and amplify human ingenuity. If the UK is to succeed and lead in the age of intelligence, then it is critical to create an environment that fosters innovation, whilst ensuring an ethical and responsible approach. We welcome the UK’s commitment to being at the forefront of progress. AIは、経済を活性化させ、新しい産業を創出し、人間の創意工夫を増幅させる可能性を秘めた、今後数十年を決定づけるテクノロジーである。英国がインテリジェンスの時代に成功し、リードしていくためには、倫理的で責任あるアプローチを確保しつつ、イノベーションを促進する環境を作ることが重要である。私たちは、英国が進歩の最前線に立つことを約束することを歓迎する。
Rashik Parmar MBE, chief executive, BCS The Chartered Institute for IT, said: BCS The Chartered Institute for ITのチーフエグゼクティブであるRashik Parmar MBEは、次のように述べている:
AI is transforming how we learn, work, manage our health, discover our next binge-watch and even find love. The government’s commitment to helping UK companies become global leaders in AI, while developing within responsible principles, strikes the right regulatory balance. As we watch AI growing up, we welcome the fact that our regulation will be cross-sectoral and more flexible than that proposed in the EU, while seeking to lead on aligning approaches between international partners. It is right that the risk of use is regulated, not the AI technology itself. It’s also positive that the paper aims to create a central function to help monitor developments and identify risks.  Similarly, the proposed multi-regulator sandbox [a safe testing environment] will help break down barriers and remove obstacles. We need to remember this future will be delivered by AI professionals - people - who believe in shared ethical values. Managing the risk of AI and building public trust is most effective when the people creating it work in an accountable and professional culture, rooted in world-leading standards and qualifications. AIは、私たちの学習方法、仕事、健康管理、次のドラマの発見、そして恋愛に至るまで、そのあり方を大きく変えている。英国企業がAIでグローバルリーダーになることを支援しつつ、責任ある原則の下で開発を進めるという政府のコミットメントは、正しい規制のバランスをとっている。私たちは、AIが成長するのを見ながら、私たちの規制が分野横断的で、EUで提案されているものよりも柔軟であることを歓迎し、国際的なパートナー間のアプローチの整合性をリードすることを求めている。AI技術そのものではなく、使用のリスクを規制するのは正しい。また、同紙が、開発の監視とリスクの特定を支援するための中央機能の創設を目指していることも好ましい。  同様に、提案されている複数の規制当局によるサンドボックス(安全なテスト環境)は、障壁を取り除き、障害を取り除くのに役立つだろう。この未来は、共有された倫理的価値を信じるAIの専門家、すなわち人々によってもたらされることを忘れてはならない。AIのリスクマネジメントと社会的信頼の構築は、それを生み出す人々が、世界をリードする基準や資格に根ざした、説明責任のあるプロフェッショナルな文化の中で働くときに最も効果的である。
Notes to editors 編集後記
Read the AI regulation white paper. AI規制白書
Organisations and individuals involved in the AI sector are encouraged to provide feedback on the white paper through a consultation which launches today and will run until Tuesday 21 June. AI分野に関わる組織や個人は、本日から6月21日(火)まで開始されるコンサルテーションを通じて、白書に対するフィードバックを提供することが推奨される。

 

・2023.03.29 AI regulation: a pro-innovation approach

Documents

・[HTML] A pro-innovation approach to AI regulation

・[PDF] A pro-innovation approach to AI regulation (web-ready PDF)

20230401-70645

・[PDF] A pro-innovation approach to AI regulation (print-ready PDF)

読んでおかないといけないというのがこれ。。。影響評価書

・[PDF] UK AI regulation impact assessment

20230401-70805

・[DOCX] 仮訳


目次...

Ministerial foreword まえがき
Executive summary エグゼクティブサマリー
Artificial intelligence – the opportunity and the challenge 人工知能 - 機会と課題
Our pro-innovation framework イノベーションを促進する私たちのフレームワーク
Part 1: Introduction 第1章:序文
1.1 The power and potential of artificial intelligence 1.1 人工知能のパワーと可能性
1.2 Managing AI risks 1.2 AIリスクのマネジメント
1.3 A note on terminology 1.3 用語に関する注意事項
Part 2: The current regulatory environment 第2章:現在の規制環境について
2.1 Navigating the current landscape 2.1 現在の状況をナビゲートする
Part 3: An innovative and iterative approach 第3章:革新的で反復的なアプローチ
3.1 Aims of the regulatory framework 3.1 規制の枠組みの狙い
3.2 The proposed regulatory framework 3.2 提案された規制の枠組み
3.2.1 Defining Artificial Intelligence 3.2.1 人工知能の定義
3.2.2 Regulating the use – not the technology 3.2.2 技術ではなく、用途を規制すること
3.2.3 A principles-based approach 3.2.3 原則に基づくアプローチ
3.2.4 Our preferred model for applying the principles 3.2.4 原則を適用するための私たちの好ましいモデル
3.2.5 The role of individual regulators in applying the principles 3.2.5 原則の適用における各規制当局の役割
3.2.6 Guidance to regulators on applying the principles 3.2.6 原則の適用に関する規制当局へのガイダンス
3.3.1 New central functions to support the framework 3.3.1 枠組みをサポートする新しい中央機能
3.3.3 Foundation models and the regulatory framework 3.3.3 基盤モデルと規制の枠組み
3.3.4 Artificial intelligence sandboxes and testbeds 3.3.4 人工知能のサンドボックスとテストベッド
3.3.5 Regulator capabilities 3.3.5 規制当局の能力
Part 4: Tools for trustworthy AI to support implementation 第4章:実施を支援する信頼できるAIのためのツール
4.1 AI assurance techniques 4.1 AI保証の技術
4.2 AI technical standards 4.2 AI技術基準
Part 5: Territorial application 第5章:地域別適用
5.1 Territorial application of the regulatory framework 5.1 規制枠組みの地域的適用
5.2 Extraterritorial application of the regulatory framework 5.2 規制枠組みの域外適用
Part 6: Global interoperability and international engagement 第6章:グローバルな相互運用性と国際的な関与
6.1 Our regulatory framework on the world stage 6.1 世界を舞台とした我々の規制の枠組み
Part 7: Conclusion and next steps 第7章:結論と次のステップ
7.1 Conclusion and next steps 7.1 結論と次のステップ
Annex A: Implementation of the principles by regulators 附属書 A:規制当局による原則の実施
A.1 Factors that government believes regulators may wish to consider when providing guidance/implementing each principle A.1 各原則をガイダンスとして提供/実施する際に、規制当局が考慮すべきと政府が考えている要素
Annex B: Stakeholder engagement 附属書 B: ステークホルダー・エンゲージメント
B.1 Summary B.1 まとめ
B.2 Background B.2 背景
B.3 Responses B.3 回答
Annex C: How to respond to this consultation 附属書C:本協議への対応について

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
Artificial intelligence – the opportunity and the challenge 人工知能 - 機会と課題
1. Artificial intelligence (AI) is already delivering wide societal benefits, from medical advances[footnote 1] to mitigating climate change.[footnote 2] For example, an AI technology developed by DeepMind, a UK-based business, can now predict the structure of almost every protein known to science.[footnote 3] This breakthrough will accelerate scientific research and the development of life-saving medicines - it has already helped scientists to make huge progress in combating malaria, antibiotic resistance, and plastic waste. 1. 人工知能(AI)は、医学の進歩[脚注1]から気候変動の緩和まで、すでに幅広い社会的利益をもたらしている[脚注2]。例えば、英国に拠点を置く企業DeepMindが開発したAI技術では、科学で知られているほぼすべてのタンパク質の構造を予測できるようになった[脚注3]。 この画期的な技術は科学研究と命を救う医薬品の開発を加速させます。すでにマラリア、抗生物質耐性、プラスチック廃棄物と戦う科学者に大きな進展をもたらしている。
2. The UK Science and Technology Framework[footnote 4] sets out government’s strategic vision and identifies AI as one of 5 critical technologies. The framework notes the role of regulation in creating the environment for AI to flourish. We know that we have yet to see AI technologies reach their full potential. Under the right conditions, AI will transform all areas of life[footnote 5] and stimulate the UK economy by unleashing innovation and driving productivity,[footnote 6] creating new jobs and improving the workplace. 2. 英国の科学技術フレームワーク[脚注4]は、政府の戦略的ビジョンを示し、AIを5つの重要技術の1つとして特定している。フレームワークでは、AIが花開くための環境づくりにおける規制の役割に言及している。私たちは、AI技術がその潜在能力を最大限に発揮するまでには至っていないことを知っている。適切な条件のもとで、AIは生活のあらゆる分野を変革し[脚注5]、イノベーションを解き放ち生産性を促進することで英国経済を刺激し[脚注6]、新しい雇用を創出し職場を向上させるだろう。
3. Across the world, countries and regions are beginning to draft the rules for AI. The UK needs to act quickly to continue to lead the international conversation on AI governance and demonstrate the value of our pragmatic, proportionate regulatory approach. The need to act was highlighted by Sir Patrick Vallance in his recent Regulation for Innovation review. The report identifies the short time frame for government intervention to provide a clear, pro-innovation regulatory environment in order to make the UK one of the top places in the world to build foundational AI companies.[footnote 7] 3. 世界中で、国や地域がAIに関するルールのドラフトを始めている。英国は、AIガバナンスに関する国際的な会話をリードし続け、実用的で割合の高い規制アプローチの価値を実証するために、迅速に行動する必要がある。行動の必要性は、Sir Patrick Vallanceが最近行ったRegulation for Innovationのレビューで強調されている。この報告書では、英国を基礎的なAI企業を建設する世界有数の場所にするために、明確でイノベーションを促進する規制環境を提供するために、政府の介入が短期間で行われることを明らかにしている[脚注7]。
4. While we should capitalise on the benefits of these technologies, we should also not overlook the new risks that may arise from their use, nor the unease that the complexity of AI technologies can produce in the wider public. We already know that some uses of AI could damage our physical[footnote 8] and mental health, [footnote 9] infringe on the privacy of individuals[footnote 10] and undermine human rights.[footnote 11] 4. 私たちは、これらの技術の利点を生かすべきであるが、その利用によって生じる可能性のある新たなリスクや、AI技術の複雑さが広く社会にもたらす不安も見過ごしてはならない。私たちはすでに、AIの一部の利用が私たちの身体的[脚注8]および精神的健康を損ない、[脚注9]個人のプライバシーを侵害し、[脚注10]人権を損なう恐れがあることを知っている[脚注11]。
5. Public trust in AI will be undermined unless these risks, and wider concerns about the potential for bias and discrimination, are addressed. By building trust, we can accelerate the adoption of AI across the UK to maximise the economic and social benefits that the technology can deliver, while attracting investment and stimulating the creation of high-skilled AI jobs.[footnote 12] In order to maintain the UK’s position as a global AI leader, we need to ensure that the public continues to see how the benefits of AI can outweigh the risks.[footnote 13] 5. これらのリスクや、バイアスや差別の可能性に関するより広い懸念に対処しない限り、AIに対する国民の信頼は損なわれるだろう。信頼を築くことで、英国全土でAIの導入を加速し、この技術がもたらす経済的・社会的利益を最大化するとともに、投資を呼び込み、高スキルのAI雇用の創出を促すことができる[脚注12] 英国が世界のAIリーダーとしての地位を維持するには、AIがいかにリスクを上回る利益をもたらすか、国民に引き続き理解していただく必要がある[脚注13]。
6. Responding to risk and building public trust are important drivers for regulation. But clear and consistent regulation can also support business investment and build confidence in innovation. Throughout our extensive engagement, industry repeatedly emphasised that consumer trust is key to the success of innovation economies. We therefore need a clear, proportionate approach to regulation that enables the responsible application of AI to flourish. Instead of creating cumbersome rules applying to all AI technologies, our framework ensures that regulatory measures are proportionate to context and outcomes, by focusing on the use of AI rather than the technology itself. 6. リスクへの対応と社会的信頼の構築は、規制の重要な推進力である。しかし、明確で一貫性のある規制は、企業の投資を支援し、イノベーションへの信頼を築くこともできる。我々の広範な関与を通じて、産業界は、消費者の信頼がイノベーション経済の成功の鍵であることを繰り返し強調した。したがって、AIの責任ある応用を可能にする、規制に対する明確で比例したアプローチが必要である。すべてのAI技術に適用される煩雑な規則を作るのではなく、我々の枠組みは、技術そのものではなく、AIの使用に焦点を当てることで、規制措置が文脈と結果に比例することを保証する。
7. People and organisations develop and use AI in the UK within the rules set by our existing laws, informed by standards, guidance and other tools. But AI is a general purpose technology and its uses can cut across regulatory remits. As a result, AI technologies are currently regulated through a complex patchwork of legal requirements. We are concerned by feedback from across industry that the absence of cross-cutting AI regulation creates uncertainty and inconsistency which can undermine business and consumer confidence in AI, and stifle innovation. By providing a clear and unified approach to regulation, our framework will build public confidence, making it clear that AI technologies are subject to cross-cutting, principles-based regulation. 7. 英国では、人々や組織が、基準やガイダンス、その他のツールから情報を得て、既存の法律で定められたルールの中でAIを開発・使用している。しかし、AIは汎用的な技術であり、その用途は規制の枠を超えることがある。その結果、AI技術は現在、複雑な法的要件のパッチワークによって規制されている。私たちは、横断的なAI規制の不在が不確実性と矛盾を生み、AIに対する企業や消費者の信頼を損ない、イノベーションを阻害する可能性があるという業界全体からのフィードバックに懸念を抱いている。規制に対する明確で統一されたアプローチを提供することで、私たちの枠組みは、AI技術が横断的で原則に基づいた規制の対象であることを明確にし、社会的信頼を築くことができる。
Our pro-innovation framework イノベーションを促進する私たちのフレームワーク
8. The government will put in place a new framework to bring clarity and coherence to the AI regulatory landscape. This regime is designed to make responsible innovation easier. It will strengthen the UK’s position as a global leader in AI, harness AI’s ability to drive growth and prosperity,[footnote 14] and increase public trust in its use and application. 8. 政府は、AI規制の状況に明確さと一貫性をもたらすための新たな枠組みを導入する予定である。この体制は、責任あるイノベーションを容易にするために設計されている。それは、AIにおけるグローバルリーダーとしての英国の地位を強化し、成長と繁栄を促進するAIの能力を活用し[脚注14]、その使用と適用に対する国民の信頼を高めるものである。
9. We are taking a deliberately agile and iterative approach, recognising the speed at which these technologies are evolving. Our framework is designed to build the evidence base so that we can learn from experience and continuously adapt to develop the best possible regulatory regime. Industry has praised our pragmatic and proportionate approach. 9. 我々は、これらの技術が進化するスピードを認識し、意図的に機敏で反復的なアプローチを取っている。我々の枠組みは、経験から学び、最善の規制体制を構築するために継続的に適応できるよう、エビデンスベースを構築するように設計されている。産業界は、私たちの実用的で割合の高いアプローチを賞賛している。
10. Our framework is underpinned by 5 principles to guide and inform the responsible development and use of AI in all sectors of the economy: 10. 私たちの枠組みは、経済のあらゆる分野におけるAIの責任ある開発と利用を導き、知らせるための5つの原則によって支えられている:
・Safety, security and robustness ・安全、セキュリティ、堅牢性
・Appropriate transparency and explainability ・適切な透明性・説明可能性
・Fairness ・公平性
・Accountability and governance ・説明責任とガバナンス
・Contestability and redress ・競合と救済
11. We will not put these principles on a statutory footing initially. New rigid and onerous legislative requirements on businesses could hold back AI innovation and reduce our ability to respond quickly and in a proportionate way to future technological advances. Instead, the principles will be issued on a non-statutory basis and implemented by existing regulators. This approach makes use of regulators’ domain-specific expertise to tailor the implementation of the principles to the specific context in which AI is used. During the initial period of implementation, we will continue to collaborate with regulators to identify any barriers to the proportionate application of the principles, and evaluate whether the non-statutory framework is having the desired effect. 11. 我々は、当初、これらの原則を法制化することはしない。企業に対して新たに厳格で負担の大きい法的要件を課すことは、AIのイノベーションを阻害し、将来の技術的進歩に迅速かつ適切に対応する能力を低下させる恐れがある。その代わりに、この原則は法定外ベースで発行され、既存の規制当局によって実施される予定である。このアプローチは、規制当局の分野固有の専門知識を活用し、AIが使用される特定の状況に合わせて原則の実施を調整するものである。導入の初期期間中、我々は規制当局と協力し、原則の適切な適用に対する障害を特定し、法定外の枠組みが望ましい効果をもたらしているかどうかを評価し続ける予定である。
12. Following this initial period of implementation, and when parliamentary time allows, we anticipate introducing a statutory duty on regulators requiring them to have due regard to the principles. Some feedback from regulators, industry and academia suggested we should implement further measures to support the enforcement of the framework. A duty requiring regulators to have regard to the principles should allow regulators the flexibility to exercise judgement when applying the principles in particular contexts, while also strengthening their mandate to implement them. In line with our proposal to work collaboratively with regulators and take an adaptable approach, we will not move to introduce such a statutory duty if our monitoring of the framework shows that implementation is effective without the need to legislate. 12. この最初の実施期間の後、国会の時間が許す限り、我々は、規制当局に対して、この原則を十分に考慮することを義務付ける法定義務を導入することを期待している。規制当局、産業界、学界からのいくつかの意見では、枠組みの施行を支援するためのさらなる措置を実施すべきであると指摘されている。規制当局に原則を考慮することを義務付けることで、規制当局が特定の文脈で原則を適用する際に判断を下す柔軟性を持たせると同時に、原則を実施する義務を強化する必要がある。規制当局と協働し、適応可能なアプローチをとるという我々の提案に沿い、枠組みをモニタリングした結果、法制化の必要なく実施することが効果的であると判断された場合、我々はこのような法的義務の導入には動かない。
13. In the 2022 AI regulation policy paper,[footnote 15] we proposed a small coordination layer within the regulatory architecture. Industry and civil society were supportive of our intention to ensure coherence across the AI regulatory framework. However, feedback often argued strongly for greater central coordination to support regulators on issues requiring cross-cutting collaboration and ensure that the overall regulatory framework functions as intended. 13. 2022年のAI規制の政策文書[脚注15]で、我々は規制アーキテクチャの中に小さな調整層を設けることを提案した。産業界と市民社会は、AI規制の枠組み全体で一貫性を確保するという我々の意図に賛同してくれた。しかし、フィードバックでは、横断的な協力が必要な問題で規制当局を支援し、全体的な規制の枠組みが意図した通りに機能することを保証するために、中央の調整を強化することを強く主張することが多かった。
14. We have identified a number of central support functions required to make sure that the overall framework offers a proportionate but effective response to risk while promoting innovation across the regulatory landscape: 14. 我々は、規制の枠組み全体でイノベーションを促進しながら、全体的な枠組みがリスクに対して適切かつ効果的な対応を提供することを確認するために必要な、いくつかの中央支援機能を特定した:
・Monitoring and evaluation of the overall regulatory framework’s effectiveness and the implementation of the principles, including the extent to which implementation supports innovation. This will allow us to remain responsive and adapt the framework if necessary, including where it needs to be adapted to remain effective in the context of developments in AI’s capabilities and the state of the art. ・規制の枠組み全体の有効性と原則の実施(実施がイノベーションをどの程度支援しているかを含む)の監視と評価。これにより、AIの能力や技術の進展の中で有効性を維持するために枠組みを適応させる必要がある場合など、必要に応じて対応し、適応させることができる。
・Assessing and monitoring risks across the economy arising from AI. ・AIから生じる経済全体のリスクを評価し、監視する。
・Conducting horizon scanning and gap analysis, including by convening industry, to inform a coherent response to emerging AI technology trends. ・新たなAI技術動向への首尾一貫した対応を知らせるために、産業界を招集することを含め、水平走査とギャップ分析を実施する。
・Supporting testbeds and sandbox initiatives to help AI innovators get new technologies to market. ・AIイノベーターの新技術の市場投入を支援するため、テストベッドとサンドボックスのイニシアチブを支援する。
・Providing education and awareness to give clarity to businesses and empower citizens to make their voices heard as part of the ongoing iteration of the framework. ・フレームワークの継続的な反復の一環として、企業に明確性を与え、市民に声を届けるための教育と認識を提供する。
・Promoting interoperability with international regulatory frameworks. ・国際的な規制フレームワークとの相互運用性を促進する。
15. The central support functions will initially be provided from within government but will leverage existing activities and expertise from across the broader economy. The activities described above will neither replace nor duplicate the work undertaken by regulators and will not involve the creation of a new AI regulator. 15. 中心的な支援機能は、当初は政府内から提供されるが、より広い経済圏の既存の活動や専門知識を活用することになる。上記の活動は、規制当局が行っている業務に取って代わるものでも重複するものでもなく、新たなAI規制当局の設立を伴うものでもない。
16. Our proportionate approach recognises that regulation is not always the most effective way to support responsible innovation. The proposed framework is aligned with, and supplemented by, a variety of tools for trustworthy AI, such as assurance techniques, voluntary guidance and technical standards. Government will promote the use of such tools. We are collaborating with partners like the UK AI Standards Hub to ensure that our overall governance framework encourages responsible AI innovation (see part 4 for details). 16. 我々の比例アプローチは、規制が責任あるイノベーションを支援する最も効果的な方法であるとは限らないことを認識している。提案された枠組みは、保証技術、自主的なガイダンス、技術標準など、信頼できるAIのための様々なツールと連携し、それによって補完される。政府は、そうしたツールの利用を促進する。我々は、全体的なガバナンスの枠組みが責任あるAIのイノベーションを促すように、UK AI Standards Hubのようなパートナーと協力している(詳細は第4部参照)。
17. In keeping with the global nature of these technologies, we will also continue to work with international partners to deliver interoperable measures that incentivise the responsible design, development and application of AI. During our call for views, industry, academia and civil society stressed that international alignment should support UK businesses to capitalise on global markets and protect UK citizens from cross-border harms. 17. これらの技術のグローバルな性質に合わせて、我々はまた、AIの責任ある設計、開発、応用を奨励する相互運用可能な措置を実現するために、国際的なパートナーと協力し続けるつもりである。意見募集の際、産業界、学術界、市民社会は、国際的な連携は、英国企業がグローバル市場を活用することを支援し、国境を越えた害悪から英国市民を保護すべきであると強調した。
18. The UK is frequently ranked third in the world across a range of measures, including level of investment, innovation and implementation of AI.[footnote 16] To make the UK the most attractive place in the world for AI innovation and support UK companies wishing to export and attract international investment, we must ensure international compatibility between approaches. Countries around the world, as well as multilateral forums, are exploring approaches to regulating AI. Thanks to our reputation for pragmatic regulation, the UK is rightly seen by international partners as a leader in this global conversation. 18. 英国は、AIの投資レベル、イノベーション、実装を含む様々な指標において、頻繁に世界第3位にランクされている[脚注16] 英国をAIイノベーションにとって世界で最も魅力的な場所にし、輸出や国際投資の獲得を希望する英国企業を支援するには、アプローチ間の国際整合性を確保しなければならない。世界中の国々が、多国間フォーラムと同様に、AIを規制するためのアプローチを模索している。実用的な規制に対する評判のおかげで、英国はこの世界的な話題のリーダーとして、国際的なパートナーから当然見られている。

 

1 The use of AI in healthcare and medicine is booming, Insider Intelligence, 2023. ヘルスケアや医療におけるAIの利用がブームになっている、Insider Intelligence, 2023。
2 How to fight climate change using AI, Forbes, 2022; Tackling Climate Change with Machine Learning, Rolnick et al., 2019. AIを使った気候変動の戦い方、Forbes、2022年、Tackling Climate Change with Machine Learning、Rolnick et al.、2019年。
3 DeepMind’s protein-folding AI cracks biology’s biggest problem, New Scientist, 2022; Improved protein structure prediction using potentials from deep learning, Senior et al., 2020. DeepMind's protein-folding AI cracks biology's biggest problem, New Scientist, 2022; Improved protein structure prediction using potentials from deep learning, Senior et al.., 2020.
4 The UK Science and Technology Framework, Department for Science, Innovation and Technology, 2023. 英国科学技術フレームワーク、科学技術革新省、2023年。
5 Six of the best future uses of Artificial Intelligence, Technology Magazine, 2023; Multidisciplinary perspectives on emerging challenges, opportunities, and agenda for research, practice and policy, Dwivedi et al., 2021. 人工知能の将来的な最高の利用法6選、テクノロジーマガジン、2023年;新たな課題、機会、研究・実践・政策の課題に関する学際的視点、Dwivediら、2021年。
6 Large dedicated AI companies make a major contribution to the UK economy, with GVA (gross value added) per employee estimated to be £400k, more than double that of comparable estimates of large dedicated firms in other sectors. See AI Sector Study 2022, DSIT, 2023. AI専業の大企業は英国経済に大きく貢献しており、従業員1人当たりのGVA(粗付加価値)は40万ポンドと推定され、他セクターの専業大企業の同程度の推定値の2倍以上である。AI Sector Study 2022, DSIT, 2023 を参照。
7 Pro-innovation Regulation of Technologies Review: Digital Technologies, HM Treasury, 2023. Pro-innovation Regulation of Technologies Review(技術革新促進規制の見直し): デジタル技術、HM Treasury、2023年。
8 AI Barometer Part 4 –Transport and logistics, Centre for Data Ethics and Innovation, 2021. AI Barometer Part 4 -Transport and logistics, Centre for Data Ethics and Innovation, 2021.
9 How TikTok Reads Your Mind, New York Times, 2021. How TikTok Reads Your Mind, New York Times, 2021.
10 Privacy Considerations in Large Language Models, Google Research, 2020. 大規模言語モデルにおけるプライバシーへの配慮、Google Research、2020年。
11 Artificial Intelligence, Human Rights, Democracy, and the Rule of Law, Alan Turing Institute and Council of Europe, 2021. 人工知能、人権、民主主義、法の支配、アラン・チューリング研究所と欧州評議会、2021年。
12 Demand for AI skills in jobs, OECD iLibrary, 2021. 仕事におけるAIスキルの需要、OECD iLibrary、2021年。
13 Public expectations for AI governance (transparency, fairness and accountability), Centre for Data Ethics and Innovation, 2023. AIガバナンスに対する国民の期待(透明性、公平性、説明責任)、Centre for Data Ethics and Innovation, 2023.
14 The AI sector is estimated to contribute £3.7bn in GVA (Gross Value Added) to the UK economy. AI Sector Study 2022, DSIT, 2023. AIセクターは、英国経済に37億ポンドのGVA(付加価値総量)をもたらすと推定されている。 AI Sector Study 2022, DSIT, 2023.
15 Establishing a pro-innovation approach to regulating AI, Office for Artificial Intelligence, 2022. AIを規制するためのイノベーション促進アプローチの確立、Office for Artificial Intelligence、2022年。
16 Global AI Index, Tortoise Media, 2022. Global AI Index、Tortoise Media、2022年。

 

・[DOCX] 対仮訳

 

 

 

| | Comments (0)

« March 2023 | Main | May 2023 »