オーストラリア 情報保護室による「2023-2030年サイバーセキュリティ戦略ディスカッションペーパー」への意見提出
こんにちは、丸山満彦です。
オーストラリア政府の内務省 (Department of Home Affairs)がサイバーセキュリティ戦略を出している(直近は2020年)のですが、2030年に向けたサイバーセキュリティ戦略を2023年中に策定しようとしているようです。。。
それに対して、オーストラリアのプライバシー保護機関である、情報保護室 (Office of the Australian Information Commissioner: OAIC) が意見を提出し、公開していますね。。。。(締切が4月15日だったので、それ以降でしょうが、いつだろう...)
政府機関内で調整するのではなく、意見募集に答える形で意見を提出し、公表するというのは、わかりやすいですね。。。
提言は次の9つありますね...
2002年ごろだったと思うのですが、経済産業省の執務室のよこの会議室で会議が始まるのを待っている時に、その会議室の横にある本棚に「Security and Privacy」という小さな書籍(論文?)があるのが目に止まりました。内容は、プライバシーの保護と国家安全保障のバランスのような話でした。サイバーセキュリティは国家安全保障のための手段でもあり、プライバシーを守るための手段でもあり、いろいろとバランスが求められる分野だなぁ、、、とおもったことを思い出しました。。。
⚫︎Office of the Australian Information Commissioner: OAIC
・Submission to 2023–2030 Cyber Security Strategy Discussion Paper
| Submission to 2023–2030 Cyber Security Strategy Discussion Paper | 2023-2030年サイバーセキュリティ戦略ディスカッションペーパーへの提出 |
| Introduction | はじめに |
| 1.1The Office of the Australian Information Commissioner (OAIC) welcomes the opportunity to make a submission to the 2023–2030 Australian Cyber Security Strategy Discussion Paper (Discussion Paper) released by the Department of Home Affairs (Home Affairs) and to contribute to shaping the 2023–2030 Australian Cyber Security Strategy (Strategy). | 1.1 オーストラリア情報コミッショナー事務所(OAIC)は、内務省(Home Affairs)が発表した 2023-2030 年オーストラリアサイバーセキュリティ戦略ディスカッションペーパー(Discussion Paper)に提出し、2023-2030 年オーストラリアサイバーセキュリティ戦略(Strategy)の形成に寄与する機会を歓迎する。 |
| 1.2The OAIC is Australia’s independent Commonwealth privacy regulator.[1] We play a critical role in regulating entities subject to the Privacy Act 1988 (Privacy Act) to safeguard personal information. The security of personal information is a key regulatory priority for the OAIC. [2] | 1.2 OAICは、オーストラリア連邦の独立したプライバシー規制機関です[1]。 1988年プライバシー法(Privacy Act)の適用を受ける事業者が個人情報を保護するための規制を行う上で、重要な役割を担っている。 個人情報のセキュリティは、OAICにとって重要な規制上の優先事項である。 [2] |
| 1.3Privacy is an essential component in the ring of defence to protect Australia from cyber threats. The Privacy Act includes well-established security requirements, including the obligations under the Australian Privacy Principles (APPs), in particular APP 1 and APP 11, and the Notifiable Data Breaches (NDB) scheme.[3] | 1.3 プライバシーは、オーストラリアをサイバー脅威から守るための防衛の環に不可欠な要素である。プライバシー法には、オーストラリアプライバシー原則(APPs)、特にAPP 1とAPP 11に基づく義務、および通知可能なデータ漏洩(NDB)スキームを含む、確立されたセキュリティ要件が含まれている[3]。 |
| 1.4We welcome the Discussion Paper’s commitment to considering feedback received on the current review of the Privacy Act by the Attorney-General’s Department as part of the development of the Strategy.[4] There is an important opportunity to achieve alignment between the proposals to uplift the established requirements in the Privacy Act Review: Report 2022 (Privacy Act Review Report) and the new Strategy to ensure a consistent, whole-of-government approach to reducing the risk of cyber harm.[5] | 1.4 我々は、戦略策定の一環として、司法長官によるプライバシー法の現行レビューに寄せられたフィードバックを考慮するというディスカッションペーパーのコミットメントを歓迎する[4]。プライバシー法のレビューにおける確立された要件を引き上げる提案の間に整合性を達成する重要な機会がある: 2022年報告書(Privacy Act Review Report)と新戦略は、サイバー被害のリスクを低減するための一貫した政府全体のアプローチを確保するために、整合性を取る重要な機会がある[5]。 |
| 1.5The development of the Strategy comes at a pivotal time. As the Discussion Paper notes, Australia is still counting the cost of the two most significant data breaches in Australia’s history, Optus in September 2022 and Medibank in October 2022.[6] In this context, the OAIC supports additional measures to enhance Australia’s cyber security posture. However, as part of this, the OAIC considers it is essential that any cyber security reforms preserve the integrity of the NDB scheme and the OAIC’s ability to exercise its powers and functions under the Privacy Act. | 1.5 戦略の策定は極めて重要な時期に来ている。ディスカッションペーパーにあるように、オーストラリアは、2022 年 9 月の Optus と 2022 年 10 月の Medibank という、オーストラリアの歴史上最も重要な 2 つのデータ漏洩のコストをまだ計算している[6]。このような背景から、OAIC はオーストラリアのサイバーセキュリティ体制を強化する追加措置を支持する。しかし、その一環として、OAICは、サイバーセキュリティ改革がNDBスキームの完全性とOAICがプライバシー法の下で権限と機能を行使する能力を維持することが不可欠であると考える。 |
| 1.6While government plays an important role in providing support, information and resources to assist entities to uplift cyber resilience and security, the primary responsibility for preventing breaches and protecting data in accordance with the Privacy Act rests with the entities themselves. | 1.6 政府は、事業体がサイバーレジリエンスとセキュリティを向上させるための支援、情報、リソースを提供する上で重要な役割を果たすが、侵害を防止し、プライバシー法に従ってデータを保護する第一の責任は、事業体自身が負うものである。 |
| Summary of recommendations | 提言の概要 |
| Recommendation 1 – The 2023–2030 Australian Cyber Security Strategy should consider and align cyber security reforms with proposals in the Privacy Act Review Report to uplift established privacy security obligations and ensure a consistent, whole-of-government approach to reducing the risk of harm. This includes proposals to remove the small business exemption and enhance the NDB scheme’s reporting requirements. | 提言 1 - 2023-2030 年のオーストラリア・サイバーセキュリティ戦略は、確立されたプライバシーセキュリティ義務を向上させ、被害リスクを軽減するための一貫した政府全体のアプローチを確保するため、サイ バーセキュリティ改革とプライバシー法見直し報告書の提案とを検討し、連携させるべきである。これには、小規模事業者の免責を撤廃し、NDB スキームの報告要件を強化する提案も含まれる。 |
| Recommendation 2 – Consider the distinct purposes of the various cyber security regulatory frameworks in any reform proposals to ensure that relevant laws continue to work cohesively to address risks of harm without leaving any regulatory gaps. | 提言 2 - 改革案において、様々なサイバーセキュリティ規制の枠組みの明確な目的を考慮し、関連する法律が、規制の隙間を残すことなく、危害のリスクに対処するために一貫して機能し続けることを保証すべきである。 |
| Recommendation 3 – Collaboration and information sharing mechanisms, supported through legislative amendment where necessary, should be encouraged to reduce the regulatory burden on entities and ensure a consistent, whole-of-government regulatory approach to uplifting Australia’s cyber security and resilience. | 提言 3 - 規制当局の負担を軽減し、オーストラリアのサイバーセキュリティとレジリエンスを向上させるための一貫した政府全体の規制アプローチを確保するために、必要に応じて法改正による支援を受けながら、連携と情報共有の仕組みを促進すべきである。 |
| Recommendation 4 – As a first step to reducing the compliance burdens on industry, consider whether the provision of appropriate guidance could assist entities to navigate their cyber security obligations. | 提言 4 - 産業界のコンプライアンス負担を軽減するための第一歩として、適切なガイダンスを提供することで、事業者のサイバーセキュリティ義務を支援できるかどうかを検討すべきである。 |
| Recommendation 5 – Any proposed amendments to the SOCI Act, specifically in relation to including ‘customer data’ and ‘systems’ in the definitions of ‘critical assets’, should be accompanied by relevant amendments ensuring that protected information can be disclosed to the OAIC so that it can continue to exercise its powers and functions. | 提言 5 - SOCI 法の改正案、特に「重要資産」の定義に「顧客データ」と「システム」を含めることに関連し、OAIC がその権限と機能を引き続き行使できるように、保護された情報を開示できることを保証する関連改正を伴うべきである。 |
| Recommendation 6 – Any proposed single reporting portal should be designed in close consultation with affected regulators, to ensure that the timeliness and integrity of the reporting requirements for all the regimes consolidated within the portal, including the NDB scheme, are preserved. | 提言 6 - 単一の報告ポータルの提案は、NDBスキームを含むポータルに統合されるすべてのレジームの報告要件の適時性と完全性が維持されるように、影響を受ける規制当局と緊密に協議しながら設計されるべきである。 |
| Recommendation 7 – The CSRN and other forums should continue to play a role in post-incident reviews and their work should inform incident response planning policy and practice. | 提言 7 - CSRNやその他のフォーラムは、インシデント発生後のレビューにおいて引き続き役割を果たすべきであり、その活動はインシデント対応計画の方針と実践に反映されるべきである。 |
| Recommendation 8 – Any proposed obligations of confidentiality should be carefully designed in consultation with regulators, to ensure that agencies such as the OAIC are still able to obtain the information they need from affected entities at the appropriate time, and to exercise their functions and powers in the public interest. | 提言 8 - 提案される守秘義務は、規制当局と協議の上、慎重に設計されるべきであり、OAICのような機関が適切な時期に影響を受ける事業者から必要な情報を入手し、公共の利益のためにその機能および権限を行使することができることを保証すべきである。 |
| Recommendation 9 – Support government agencies and regulators to engage with international counterparts to influence global dialogues in regulatory areas impacting cyber security, such as privacy, to promote consistently high standards around the world. | 提言 9 - 政府機関や規制当局が、プライバシーなどサイバーセキュリティに影響を与える規制分野におけるグローバルな対話に影響を与えるために、国際的なカウンターパートと関わり、世界中で一貫して高い水準を推進することを支援すべきである。 |
| Uplifting cyber security through strengthening and streamlining existing frameworks | 既存の枠組みの強化と合理化を通じて、サイバーセキュリティを向上させる。 |
| Strengthening existing frameworks | 既存の枠組みを強化する |
| 1.7 Privacy and cyber security are inextricably interwoven. Effective privacy regulation plays an important role in uplifting Australia’s cyber security posture, while robust cyber security settings are crucial in protecting Australians’ personal information in an increasingly digital environment. In response to Question 1 of the Discussion Paper, we consider that it is important for the Strategy to be built on an understanding of this symbiotic relationship, to succeed in realising the Strategy’s goal of making Australia the most cyber secure nation in the world by 2030.[7] | 1.7 プライバシーとサイバーセキュリティは、表裏一体である。効果的なプライバシー規制は、オーストラリアのサイバーセキュリティ態勢を強化する上で重要な役割を果たし、強固なサイバーセキュリティ設定は、デジタル化が進む環境下でオーストラリア人の個人情報を保護する上で極めて重要である。ディスカッション・ペーパーの質問1に対して、我々は、2030年までにオーストラリアを世界で最もサイバーセキュアな国にするという戦略の目標を実現するためには、この共生関係を理解した上で戦略を構築することが重要であると考える[7]。 |
| 1.8As recent large-scale data breaches have showed, entities collect and hold an increasingly large quantity of personal and sensitive information about Australians which must be secured effectively. When cyber security settings fail, the risk of harm to individuals whose information is compromised can be devastating. | 1.8 最近の大規模なデータ漏洩が示すように、事業体はオーストラリア人の個人情報や機密情報をますます大量に収集し、保持しており、これらは効果的に保護されなければならない。サイバーセキュリティの設定が失敗した場合、情報が漏洩した個人への被害リスクは壊滅的なものとなり得る。 |
| 1.9The volume and granularity of personal information that is collected by entities, combined with other practices such as tracking, monitoring and profiling, amplifies privacy and security risks. The Privacy Act Review Report considers what changes are needed to Australia’s privacy framework to respond to these risks.[8] It includes detailed examination of proposals that would assist in achieving the Discussion Paper’s objective of enhancing cyber resilience across the economy. | 1.9 事業者が収集する個人情報の量と粒度は、追跡、監視、プロファイリングなどの他の慣行と組み合わされ、プライバシーとセキュリティのリスクを増大させる。プライバシー法の見直し報告書は、これらのリスクに対応するために、オーストラリアのプライバシーの枠組みにどのような変更が必要かを検討している[8]。 経済全体のサイバーレジリエンスを強化するというディスカッションペーパーの目的の達成を支援する提案を詳細に検討することが含まれている。 |
| 1.10Noting the feedback sought in Question 2(a) in relation to the appropriate reform mechanisms to improve mandatory operational cyber security standards across the economy, the OAIC recommends that the new Strategy and any related reforms leverage and build upon the established security requirements in the Privacy Act where appropriate. For example, requirements under APP 1 and APP 11, along with the NDB scheme (explained further below), could be said to provide a ‘baseline’ level of security protections across the whole economy for personal information.[9] | 1.10 経済全体の強制的な運用サイバーセキュリティ基準を改善するための適切な改革メカニズムに関連して、質問2(a)で求められたフィードバックに留意し、OAICは、新しい戦略と関連する改革が、必要に応じてプライバシー法の確立したセキュリティ要件を活用し構築することを推奨している。例えば、APP 1とAPP 11に基づく要件は、NDBスキーム(以下でさらに説明)と共に、個人情報に対する経済全体のセキュリティ保護の「ベースライン」レベルを提供すると言える[9]。 |
| 1.11Implementation of the reforms proposed in the Privacy Act Review Report also provide an important opportunity to uplift these well-established baseline security obligations.[10] In particular, the following proposals would aid in achieving the Discussion Paper’s objective of enhancing cyber resilience across the economy: | 1.11プライバシー法の見直し報告書で提案された改革を実施することは、これらの確立されたベースラインのセキュリティ義務を向上させる重要な機会にもなる[10]。 特に、以下の提案は、経済全体のサイバー耐性を強化するというディスカッションペーパーの目的の達成を支援するものである: |
| removing the small business exemption so that small to medium sized enterprises are brought within the Privacy Act’s scope, thereby establishing baseline security protections across the entire economy[11] | 中小企業の適用除外を撤廃し、中小企業をプライバシー法の適用範囲に含めることで、経済全体にわたる基本的なセキュリティ保護を確立する[11]。 |
| strengthening the NDB scheme, including through amendments to the notification requirements and timeframes[12] and an express requirement for entities to take reasonable steps to implement practices, procedures and systems to enable them to respond to data breaches.[13] This will allow the OAIC to take regulatory action quickly to minimise harm to affected individuals and agencies will be able to collaborate more effectively. Affected individuals will also be in a stronger position to mitigate the risk of serious harm arising from the breach. We note that the OAIC has recommended that these proposals could be strengthened through an express obligation on entities to take reasonable steps to prevent or reduce the harm that is likely to arise for individuals as a result of a data breach[14] | 通知要件と時間枠の修正[12]、データ侵害に対応するための実務、手続き、システムを導入するための合理的な措置を講じることを事業者に求める明示的な要件[13]など、NDBスキームの強化。これにより、OAICは影響を受ける個人への被害を最小限に抑えるための規制措置を迅速に講じ、機関はより効果的に連携できるようになる。また、影響を受ける個人は、情報漏えいから生じる重大な損害のリスクを軽減するためのより強い立場に立つことができる。我々は、OAICが、データ侵害の結果として個人に生じる可能性の高い危害を防止または軽減するための合理的な措置を講じる事業体に対する明示的な義務を通じて、これらの提案を強化することができると提言したことに留意する[14]。 |
| including a list of factors in APP 11, which outlines the baseline privacy outcomes APP entities should consider when taking reasonable steps to protect the personal information they hold, setting a bar for entities and encouraging them to conduct continuous analysis of the potential for threats and their severity so that security measures are commensurate to risks[15] | APP11に要因のリストを含めること。APPは、事業体が保有する個人情報を保護するために合理的な措置を講じる際に考慮すべき基本的なプライバシー成果の概要を示しており、事業体に基準を設け、セキュリティ対策がリスクに見合うように脅威の可能性とその重大性について継続的に分析を実施するよう奨励する[15]。 |
| enhancing the OAIC’s Guidelines on APP 11 on the ‘reasonable steps’ for securing personal information, including cyber-specific elements drawing on technical advice from the Australian Cyber Security Centre (ACSC).[16] | 個人情報を保護するための「合理的な措置」に関するOAICのガイドライン(APP11)を強化し、オーストラリア・サイバーセキュリティセンター(ACSC)からの技術的助言をもとに、サイバーに特化した要素を含む[16]。 |
| Recommendation 1 – The 2023–2030 Australian Cyber Security Strategy should consider and align cyber security reforms with proposals in the Privacy Act Review Report to uplift established privacy security obligations and ensure a consistent, whole-of-government approach to reducing the risk of harm. This includes proposals to remove the small business exemption and enhance the NDB scheme’s reporting requirements. | 提言 1 - 2023-2030 年のオーストラリア・サイバーセキュリティ戦略は、確立されたプライバシ ーセキュリティ義務を向上させ、被害リスクを軽減するための一貫した政府全体のアプローチを確保するため、サイ バーセキュリティ改革とプライバシー法見直し報告書の提案とを検討し、連携させるべきである。これには、小規模事業者の免責を撤廃し、NDB スキームの報告要件を強化する提案も含まれる。 |
| Streamlining cyber-security efforts | サイバーセキュリティの取り組みの合理化 |
| 1.12The OAIC agrees that if we are to ‘lift and sustain cyber resilience and security, it must be an integrated whole-of-nation endeavour’.[17] Having consistent, interoperable and cohesive systems in place is essential to protecting all Australians from cyber threats. Such an approach will promote public trust and confidence in cyber security protections embedded in digital products and services. | 1.12 OAIC は、「サイバーレジリエンスとセキュリティを高め、維持するためには、統合された国全体の努力 が必要である」ことに同意する[17]。一貫した、相互運用可能でまとまったシステムを整備することは、すべてのオーストラリア国民 をサイバー脅威から守るために不可欠である。このようなアプローチは、デジタル製品やサービスに組み込まれたサイバーセキュリティ保護に対する国民の信頼と信用を促進するものである。 |
| 1.13Question 2(d) canvasses whether Australia should consider a Cyber Security Act. The OAIC considers that the concept of a single Act, drawing together cyber-specific legislative obligations and standards across industry and government, offers the potential to simplify regulatory frameworks. We note the Discussion Paper does not provide any further detail and would welcome the opportunity to engage with Home Affairs about the proposed legislation. | 1.13 質問2(d)は、オーストラリアがサイバーセキュリティ法を検討すべきかどうかを問うものである。OAICは、産業界と政府間のサイバーに特化した立法義務と基準をまとめた単一の法律のコンセプトは、規制の枠組みを簡素化する可能性があると考える。ディスカッション・ペーパーにはこれ以上の詳細が記載されていないことに留意し、提案された法律について内務省に関与する機会を歓迎する。 |
| 1.14Question 2(e) of the Discussion Paper invites comments on opportunities to streamline existing regulatory frameworks and reduce the burden on industry. The OAIC welcomes certain measures that have already been implemented, such as the establishment of the national Coordinator for Cyber Security and the National Office for Cyber Security.[18] Noting recent experiences with the Medibank and Optus data breaches, we appreciate the need for greater centralisation and coordination of whole-of-government responses to data breaches and cyber incidents. | 1.14 ディスカッション・ペーパーの質問2(e)は、既存の規制の枠組みを合理化し、産業界の負担を軽減する機会についてコメントを求めている。OAICは、サイバーセキュリティのための国家コーディネーターやサイバーセキュリティのための国家事務所の設立など、すでに実施されている一定の措置を歓迎する[18]。メディバンクやオプタスのデータ漏洩の最近の経験に注目し、データ漏洩やサイバー事件に対する政府全体の対応の集中化と調整の必要性を評価する。 |
| 1.15The OAIC also supports consideration of streamlining existing frameworks and any duplicative oversight requirements. We acknowledge that entities are currently required to navigate multiple frameworks in relation to cyber security, including the Privacy Act and the Security of Critical Infrastructure Act 2018 (SOCI Act), as well as frameworks regulated by the Australian Securities and Investment Commission (ASIC),[19] and the Australian Prudential Regulation Authority (APRA).[20] | 1.15 OAIC は、既存の枠組みや重複する監督要件の合理化を検討することも支持する。我々は、事業者が現在、プライバシー法や重要インフラストラクチャー安全法2018(SOCI法)、さらにオーストラリア証券投資委員会(ASIC)[19]やオーストラリア健全性規制局(APRA)が規制する枠組みなど、サイバーセキュリティに関連する複数の枠組みを利用することが求められていることを認める[20]。 |
| 1.16While there may be intersections, it is important to acknowledge that these regulatory frameworks address different economic and consumer risks. In this way, the various regimes are essential and complementary components in the ring of defence built to address the risks and harms faced by Australians in the digital age. An enduring and sustainable approach to cyber security must be comprehensive if it is to effectively reduce the harms that can arise from a cyber incident. While we appreciate the need to streamline and centralise frameworks, we would caution that any reforms must ensure that the distinct and important purposes of each regime are considered, to ensure there are no regulatory gaps. | 1.16 交差する部分があるかもしれないが、これらの規制の枠組みは、異なる経済リスクと消費者リスクに対処していることを認識することが重要である。このように、様々な規制は、デジタル時代にオーストラリア人が直面するリスクと被害 に対処するために構築された防衛の環において、不可欠かつ補完的な構成要素である。サイバーセキュリティに対する永続的かつ持続可能なアプローチは、サイバーインシデントから生じ得る損害を効果的に軽減するためには、包括的でなければなりません。我々は、枠組みの合理化と一元化の必要性を評価するが、いかなる改革も、規制の隙間がないように、各制度の明確で重要な目的が考慮されることを保証しなければならないことに注意したい。 |
| 1.17In addition, the OAIC considers that collaboration and information sharing across government agencies is key to reducing the regulatory burden on entities and ensuring that a consistent, whole-of-government approach is implemented to promote cyber security.[21] A coordinated approach between regulators is central to ensuring that the distinct but complementary cyber regulatory frameworks work cohesively to address risks of harm. The Cyber Security Regulators Network (CSRN), which the OAIC co-chairs with APRA, is an example of a forum that facilitates information sharing between regulators on cyber-related matters, enabling them to reduce duplication in regulatory responses and coordinate messages to regulated entities. Where necessary and appropriate as part of any reform package, greater information sharing and collaboration between regulators should be facilitated by legislative amendment. | 1.17 さらに、OAICは、政府機関間の連携と情報共有が、事業者の規制負担を軽減し、サイバーセキュリティを促進するための一貫した政府全体のアプローチを確実に実施するための鍵であると考える[21]。規制当局間の協調的アプローチは、異なるが補完的なサイバー規制の枠組みが被害のリスクに対処して首尾よく機能することを確保するための中心である。OAICがAPRAと共同議長を務めるサイバーセキュリティ規制当局ネットワーク(CSRN)は、サイバー関連事項に関する規制当局間の情報共有を促進するフォーラムの一例であり、規制当局の対応における重複を減らし、規制対象団体へのメッセージを調整することを可能にする。改革パッケージの一部として必要かつ適切な場合、規制当局間の情報共有と協力の強化は、法改正によって促進されるべきである。 |
| 1.18We see the value in regulators working together to avoid unnecessary or inadvertent overlap for industry. At the same time, we do not consider that regulatory overlap is necessarily a negative outcome, particularly where it is well managed. It is more problematic if regulatory gaps expose individuals to harm. In certain circumstances, collaboration between relevant regulators and issuing appropriate guidance to assist entities to understand their regulatory obligations may be more appropriate to address parallel but distinct regulatory concerns, than streamlining frameworks. The new National Office for Cyber Security, announced recently by the Minister for Cyber Security Clare O’Neil MP, is a potential mechanism to centralise and consolidate guidance produced by government agencies and regulators to assist entities.[22] | 1.18 産業界にとって不必要な、あるいは不注意な重複を避けるために、規制当局が協力することに価値があると考える。同時に、我々は、規制の重複が、特にそれが適切に管理されている場合には、必ずしも否定的な結果であるとは考えていない。規制のギャップが個人を危険にさらす場合はより問題である。状況によっては、関連する規制当局間の協力や、事業者が規制上の義務を理解するための適切なガイダンスの発行は、枠組みの合理化よりも、並行するが異なる規制上の懸念に対処するために適切である場合がある。サイバーセキュリティ担当大臣であるクレア・オニール(Clare O'Neil MP)が最近発表したサイバーセキュリティのための新しい国家事務局は、政府機関や規制当局が作成したガイダンスを集中・統合し、事業者を支援する潜在的メカニズムである[22]。 |
| Recommendation 2 – Consider the distinct purposes of the various cyber security regulatory frameworks in any reform proposals to ensure that relevant laws continue to work cohesively to address risks of harm without leaving any regulatory gaps. | 提言 2 - 改革案において、様々なサイバーセキュリティ規制の枠組みの明確な目的を考慮し、関連する法律が、規制の隙間を残すことなく、危害のリスクに対処するために一貫して機能し続けることを保証すべきである。 |
| Recommendation 3 – Collaboration and information sharing mechanisms, supported through legislative amendment where necessary, should be encouraged to reduce the regulatory burden on entities and ensure a consistent, whole-of-government regulatory approach to uplifting Australia’s cyber security and resilience. | 提言 3 - 規制当局の負担を軽減し、オーストラリアのサイバーセキュリティとレジリエンスを向上させるための一貫した政府全体の規制アプローチを確保するために、必要に応じて法改正による支援を受けながら、連携と情報共有の仕組みを促進すべきである。 |
| Recommendation 4 – As a first step to reducing the compliance burdens on industry, consider whether the provision of appropriate guidance could assist entities to navigate their cyber security obligations. | 提言 4 - 産業界のコンプライアンス負担を軽減するための第一歩として、適切なガイダンスを提供することで、事業者のサイバーセキュリティ義務を支援できるかどうかを検討すべきである。 |
| Extending the definition of ‘critical assets’ | 重要資産」の定義の拡張 |
| 1.19Question 2(b) of the Discussion Paper invites comments on whether further reform to the SOCI Act is required. In particular, the Discussion Paper seeks feedback on whether existing definitions of ‘critical assets’ in the Act should be expanded to include ‘customer data’ and ‘systems’, the objective being to ensure that the powers under the SOCI Act extend to major data breaches, not just operational disruptions.[23] While we appreciate that this could potentially allow for an uplift of security standards in relation to the handling of personal information, the OAIC is concerned that an unintended consequence of including ‘customer data’ or ‘systems’ in the definitions of ‘critical assets’ would result in a restriction on our ability to exercise our functions and powers in some circumstances, such as in the event of a data breach. | 1.19 ディスカッション・ペーパーの質問2(b)は、SOCI法のさらなる改革が必要かどうかについてのコメントを求めている。特に、ディスカッション・ペーパーでは、SOCI 法に基づく権限が、業務上の混乱だけでなく、大規模なデータ漏洩にも及ぶようにすることを目的として、同法の「重要資産」の既存の定義を「顧客データ」や「システム」にも拡大すべきかどうかについてフィードバックを求めている。 [23] 個人情報の取り扱いに関連したセキュリティ基準の引き上げを可能にする可能性があることは評価するが、OAICは、「重要資産」の定義に「顧客データ」や「システム」を含めるという意図せざる結果、データ侵害の場合など、状況によっては我々の機能と権限を行使する能力が制限されることを懸念している。 |
| 1.20Although the Discussion Paper does not define ‘customer data’ or ‘systems’, it seems likely that it could constitute personal information and/or information about entities’ security arrangements and data breaches, and so the potential overlap into areas regulated by the Privacy Act will need to be considered. | 1.20 討議資料では「顧客データ」または「システム」を定義していないが、個人情報および/または事業者のセキュ リティ体制やデータ侵害に関する情報を構成する可能性があるため、プライバシー法が規制する領域と重なる可能 性を検討する必要がある。 |
| 1.21As outlined above, the Privacy Act includes baseline security requirements that play a crucial role in reducing the likelihood of data breaches occurring and in mitigating their impacts on individuals, such as the requirements of APP 1 and APP 11 and the NDB scheme. The Privacy Act applies to regulated entities across the economy, apart from businesses with an annual turnover of $3 million or less (with some exceptions). | 1.21 上述のように、プライバシー法には、APP 1、APP 11、NDB スキームの要件など、データ侵害の発生 の可能性を低減し、個人への影響を緩和する上で重要な役割を果たす基本的なセキュリティ要件が含ま れる。プライバシー法は、年間売上高が 300 万ドル以下の企業(一部例外あり)を除き、経済全般の規制対象事業者に適用される。 |
| 1.22In particular, the NDB scheme requires APP entities to notify the OAIC and affected individuals about data breaches that are likely to result in serious harm to an individual whose personal information is involved.[24] This includes cyber security incidents involving personal information which may also fall within the scope of the SOCI Act.[25] The scheme is designed to enable individuals whose personal information has been compromised in a data breach to take remedial steps to lessen the adverse impacts that might arise from the breach. | 1.22 特に、NDB スキームは、APP 事業者に対して、個人情報が関係する個人に重大な損害をもたらす可能 性のあるデータ侵害について、OAIC および影響を受ける個人に通知することを義務付けている [24] 。これには、SOCI 法の範囲にも含まれる個人情報に関わるサイバーセキュリティ事件も含まれる [25] 。このスキームは、データ侵害によって個人情報が漏洩した個人が、侵害から生じるかもしれない悪影響を軽減 するために改善措置を取ることを可能にするために設計されている。 |
| 1.23In addition, the Privacy Act includes a complaint mechanism that allows individuals who have been adversely impacted by a data breach to seek redress from the entity that handled their information.[26] This mechanism is crucial as it allows the OAIC to appropriately address the consequences of a data breach for an affected individual. As the trusted national independent privacy regulator, the OAIC plays an important role in providing advice, assurance and, in some cases, a remedy for affected individuals in the event of a breach. | 1.23 さらに、プライバシー法には、データ侵害によって悪影響を受けた個人が、自分の情報を扱った事業者に救済を求めることを可能にする苦情メカニズムが含まれている[26]。このメカニズムは、OAIC が影響を受けた個人に対するデータ侵害の結果に適切に対処することを可能にするので重要である。信頼できる国の独立したプライバシー規制機関として、OAIC は、情報漏えいが発生した場合、影響を受ける個人に対して助言、保証、場合によっては救済を提供するという重要な役割を担っている。 |
| 1.24By contrast, the SOCI Act creates a framework for the regulation of entities in 11 specified ‘critical infrastructure’ sectors, and imposes mandatory cyber incident reporting to the ACSC to enhance the government’s ability to manage national security risks.[27] We note that the SOCI Act imposes a number of positive security obligations in relation to assets deemed to be ‘critical assets’, including creating and maintaining a risk management program, and mandatory cyber security incident reporting.[28] | 1.24 対照的に、SOCI 法は、11 の特定「重要インフラ」分野の事業体を規制するための枠組みを作り、国家安全保障リスクを管理する政府の能力を強化するために ACSC へのサイバー事件報告の義務を課している[27]。SOCI 法は、リスク管理プログラムの作成と維持、サイバーセキュリティ事件報告の義務など「重要資産」とみなされる資産に関連して、多くのポジティブなセキュリティ義務を課すことに注意する[28]。 |
| 1.25Importantly, information that is obtained or created in accordance with the SOCI Act is known as ‘protected information’, and the use and disclosure of this information is limited under the Act.[29] For example, a cyber security incident that is reported under the SOCI Act, is considered ‘protected information’ under that Act.The SOCI Act prevents the disclosure of protected information unless an exception applies, or the disclosure is otherwise authorised.[30] Currently, there is no exception or authorisation for an entity to disclose protected information to the OAIC in accordance with that entity’s statutory obligation to do so.[31] | 1.25 重要なことは、SOCI 法に従って取得または作成される情報は「保護された情報」と呼ばれ、この情報の使用と開示は同法の下で制限される[29]。例えば、SOCI 法に基づいて報告されるサイバーセキュリティ事件は、同法の下で「保護された情報」と見なされる。 SOCI 法は、例外が適用されるか、または開示が別途許可されない限り、保護情報の開示を防止する[30]。現在、保護情報を開示する事業者の法的義務に従って OAIC に開示するための例外または許可は存在しない[31]。 |
| 1.26The OAIC is therefore concerned that an unintended consequence of an amendment to extend the definition of critical assets would be to restrict entities from sharing certain information with the OAIC, such as information or documents included in risk management programs (outlining security arrangements) and cyber security incident notifications, where that information is protected information under the SOCI Act. This would hamper the OAIC’s ability to effectively respond to and investigate data or privacy breaches,unless an exception under Division 3 of the SOCI Act applied. | 1.26 したがって、OAICは、重要資産の定義を拡大する改正の意図しない結果として、リスク管理プログラム(セキュリティの取り決めの概要)やサイバーセキュリティ事件の通知に含まれる情報または文書など、その情報がSOCI法に基づく保護情報である場合に、企業がOAICと特定の情報を共有することを制限することになることを懸念する。これは、SOCI 法の第 3 部門に基づく例外が適用されない限り、データまたはプライバシー侵害に効果的に対応し、調査する OAIC の能力を阻害することになる。 |
| 1.27This may also impact the ability of the OAIC to effectively investigate and otherwise handle complaints made by individuals in relation to a data breach.[32] A limitation on the OAIC’s power to obtain information from entities would significantly impede the OAIC’s exercise of its privacy functions and ability to grant remedies to individuals who have suffered harm. For example, if an individual makes a complaint to the OAIC after suffering harm due to a cyber incident or data breach, the proposed amendment to the SOCI Act may prevent the OAIC from collecting the information it needs to assess whether APP 1 and APP 11 have been complied with, if the affected entity claims that the relevant information is protected information. | 1.27 また、データ侵害に関連して個人から寄せられた苦情を効果的に調査し、処理する OAIC の能力にも影響する可能性がある[32]。OAIC が事業者から情報を取得する権限を制限することは、OAIC のプライバシー機能の行使と損害を被った個人に救済を与える能力を大きく阻害する。例えば、サイバー事件やデータ侵害により被害を受けた個人が OAIC に苦情を申し立てた場合、SOCI 法の改正案は、被害を受けた事業者が関連情報を保護情報であると主張すれば、OAIC が APP 1 および APP 11 が遵守されているかどうかを評価するために必要な情報を収集することを妨げるかもしれない。 |
| 1.28The OAIC therefore recommends that any proposed amendments to the SOCI Act and associated reforms carefully consider this possible intersection and include mechanisms to overcome impediments to the OAIC’s exercise of its functions and powers. For example, consideration could be given to amending Division 3, Subdivision A of the SOCI Act to include a new provision to provide for the authorised use and disclosure of protected information to the OAIC for the purposes of exercising its regulatory functions and powers under the Privacy Act.[33] | 1.28 したがって、OAIC は、SOCI 法の改正案および関連する改革案が、このような交差の可能性を注意深く考慮し、OAIC の機能および権限の行使に対する障害を克服するメカニズムを含むことを推奨する。例えば、SOCI 法の第 3 部、第 A 部を改正し、プライバシー法に基づく規制機能および権限を行使する目的で、OAIC に対する保護情報の認可された使用および開示を規定する新しい規定を設けることを検討することができる[33]。 |
| Recommendation 5 – Any proposed amendments to the SOCI Act, specifically in relation to including ‘customer data’ and ‘systems’ in the definitions of ‘critical assets’, should be accompanied by relevant amendments ensuring that protected information can be disclosed to the OAIC so that it can continue to exercise its powers and functions. | 提言 5 - SOCI 法の改正案、特に「重要資産」の定義に「顧客データ」と「システム」を含めることに関連し、OAIC がその権限と機能を引き続き行使できるように、保護された情報を開示できることを保証する関連改正を伴うべきである。 |
| Improving government response to major cyber incidents | 大規模なサイバーインシデントへの政府の対応を改善する |
| Single reporting portal | 単一の報告ポータル |
| 1.29Question 13(a) proposes a single reporting portal for all cyber incidents, harmonising existing requirements to report separately to multiple regulators. The OAIC is broadly supportive of the concept of a single reporting portal. However, more detail will be needed on how such a portal would function, and in particular on the interplay between the SOCI Act reporting requirements and NDB scheme obligations given the points outlined in the preceding section. | 1.29 質問13(a)は、複数の規制当局に個別に報告する既存の要件を調和させ、すべてのサイバーインシデントに対する単一の報告ポータルを提案する。OAICは、単一の報告ポータルの概念を広範に支持する。しかし、このようなポータルがどのように機能するか、特に、前節で概説した点を踏まえ、SOCI法の報告要件とNDBスキームの義務の相互関係については、より詳細な説明が必要であろう。 |
| 1.30If adopted, the portal should be designed to ensure the reporting requirements for each regime are incorporated accurately, and the integrity of the NDB reporting scheme is preserved. The portal would also need to enable quick access to reported information by the agencies monitoring compliance with relevant statutes. Potential difficulties would arise if centralised reporting slows or limits the information flows to regulators. This will be crucial to ensuring the OAIC is able to continue to effectively exercise its functions and powers as the trusted national independent privacy regulator, and provide advice, assurance, and, in some cases, a remedy for affected individuals and the public. | 1.30 採用された場合、ポータルは、各制度の報告要件が正確に組み込まれ、NDB報告スキームの整合性が保たれるように設計されなければならない。また、ポータルは、関連法規の遵守を監視する機関が、報告された情報に迅速にアクセスできるようにする必要がある。一元的な報告により、規制当局への情報の流れが遅くなったり制限されたりすると、困難が生じる可能性がある。これは、OAIC が信頼される国の独立したプライバシー規制当局として、その機能と権限を効果的に行使し続け、影響を受ける個人と一般市民に対して助言、保証、場合によっては救済を提供できるようにするために極めて重要なことであろう。 |
| 1.31It is also important to note that the NDB scheme is not limited to cyber incidents, and also regulates data breaches that occur across all environments including in physical (not online) environments, for example as a result of human error or system fault.[34] Together with other affected regulators, the OAIC would therefore need to be closely involved in the development of any single portal to ensure that clear messages and processes are developed for regulated entities in relation to how to report different types of incidents. | 1.31 また、NDB スキームはサイバーインシデントに限定されるものではなく、例えば人為的なミスやシ ステム障害の結果として、物理的な(オンラインではない)環境を含むあらゆる環境で発生する データ侵害も規制することに留意することが重要である[34]。したがって OAIC は、他の影響を受ける規制当局とともに、異なるタイプのインシデントを報告する方法と関連して規制対象団体に明確な メッセージとプロセスを開発することを保証すべく、単一のポータルの開発に深く関与しなければならないであろう。 |
| Recommendation 6 – Any proposed single reporting portal should be designed in close consultation with affected regulators, to ensure that the timeliness and integrity of the reporting requirements for all the regimes consolidated within the portal, including the NDB scheme, are preserved. | 提言 6 - 単一の報告ポータルの提案は、NDBスキームを含むポータルに統合されるすべてのレジームの報告要件の適時性と完全性が維持されるように、影響を受ける規制当局と緊密に協議しながら設計されるべきである。 |
| Effective post-incident review and consequence management models | 効果的な事故後のレビューと結果管理モデル |
| 1.32The OAIC is supportive of government efforts to develop an effective post-incident review and consequence management model together with industry as discussed in Question 14. We agree that sharing ‘root cause findings’ from investigations of major cyber incidents could be invaluable for shaping regulated entities’ incident response policies and plans. In a similar initiative, the OAIC periodically publishes statistical information about notifications received under the NDB scheme to help entities and the public understand privacy risks identified through the scheme, and uses scenario examples based on reported incidents to help guide better practice.[35] We note that this practice is starting to be adopted internationally.[36] | 1.32 OAIC は、質問 14 で述べたように、産業界と共に効果的な事故後のレビューと結果管理モデルを開発する政府の努力を支持する。我々は、大規模なサイバーインシデントの調査から得られた「根本原因の発見」を共有することが、規制対象事業者のインシデント対応方針と計画を形成する上で非常に貴重であることに同意する。同様の取り組みとして、OAICは、NDBスキームを通じて特定されたプライバシーリスクを事業者と公衆が理解するのを助けるために、NDBスキームの下で受け取った通知に関する統計情報を定期的に公表し、より良い実践を導くために報告されたインシデントに基づくシナリオ例を使用している[35]。 この実践が国際的に採用され始めていることに我々は留意したい[36]。 |
| 1.33Related to this question, we note the establishment of the new National Office for Cyber Security.[37] Based on recent experience, the OAIC acknowledges the need for greater centralisation and coordination in responding to major cyber incidents and we are therefore broadly supportive of this mechanism. | 1.33この質問に関連して、我々は、サイバーセキュリティのための新しい国家事務所の設立に注目している[37]。最近の経験に基づき、OAICは、主要なサイバーインシデントへの対応において、より集中し調整する必要性を認めており、したがって我々は、このメカニズムを広く支持するものである。 |
| 1.34We also note that together with APRA, the OAIC co-chairs the Cyber Security Regulators Network (CSRN), the other members being the Australia Communications and Media Authority (ACMA), the Australian Competition and Consumer Commission (ACCC) and ASIC. The purpose of the CSRN is to enable Australian regulators to work together to understand, respond to and share information about cyber security risks and incidents. The CSRN demonstrates that regulators can work together effectively to address gaps and reduce duplication, and forums such as this should continue to play an important role in cyber post-incident evaluation and analysis as part of any future reforms. | 1.34 OAIC は APRA と共に、サイバーセキュリティ規制当局ネットワーク(CSRN)の共同議長を務め ており、他のメンバーはオーストラリア通信メディア局(ACMA)、オーストラリア競争・消費者委員 会(ACCC)、ASIC である。CSRNの目的は、オーストラリアの規制当局が協力して、サイバーセキュリティのリスクやインシデントについて理解し、対応し、情報を共有できるようにすることである。CSRN は、規制当局が効果的に連携してギャップに対処し、重複を減らすことができることを実証しており、このようなフォーラムは、将来の改革の一環として、サイバーインシデント後の評価と分析において引き続き重要な役割を果たすべきである。 |
| Recommendation 7 – The CSRN and other forums should continue to play a role in post-incident reviews and their work should inform incident response planning policy and practice. | 提言 7 - CSRNやその他のフォーラムは、インシデント発生後のレビューにおいて引き続き役割を果たすべきであり、その活動はインシデント対応計画の方針と実践に反映されるべきである。 |
| Safe harbour provisions | セーフハーバー規定 |
| 1.35Question 8 of the Discussion Paper proposes the introduction of an explicit obligation of confidentiality upon the Australian Signals Directorate (ASD) and the ACSC to improve engagement with organisations that experience a cyber incident and allow information to be shared between the organisation and ASD/ACSC without the concern that this will be shared with regulators. | 1.35 ディスカッションペーパーの質問 8 では、サイバーインシデントを経験した組織との関わりを改善し、組織と ASD/ACSC の間で規制当局と共有される心配なく情報を共有できるように、オーストラリア信号局 (ASD) および ACSC に明確な守秘義務の導入が提案された。 |
| 1.36While the OAIC appreciates the importance of immediate collaboration and information sharing between affected entities and the ASD/ACSC to facilitate an effective immediate response to cyber incidents, there is a need to balance the facilitation of industry cooperation during an incident with the ability of regulatory agencies to enforce laws and deter non-compliance at an appropriate time. In particular, it is important that any confidentiality obligations do not impede the current reporting obligations under the NDB scheme nor subvert the OAIC’s regulatory role. Safe Harbour arrangements could take many forms. The OAIC’s view is that any such arrangements need to be developed carefully and subject to clear boundaries so that regulatory activity in the public interest is not impeded. While we appreciate the need to incentivise reporting to the ASD/ACSC and facilitate efforts to contain a breach and minimise the potential harms, entities must comply with their legal obligations under the Privacy Act, including their NDB reporting obligation and the obligation to take reasonable steps to protect their data under APP 11. | 1.36 OAICは、サイバーインシデントへの効果的な即時対応を促進するために、影響を受ける組織とASD/ACSCの間で即時の協力と情報共有が重要であることを評価するが、インシデント発生中の業界の協力の促進を、規制機関が法律を施行し適切な時期に非遵守を抑止する能力とバランスを取る必要がある。特に、守秘義務がNDB制度に基づく現在の報告義務を阻害したり、OAICの規制的役割を覆したりしないことが重要である。セーフハーバーの取り決めには、様々な形態が考えられます。OAICの見解としては、そのような取り決めは、公益のための規制活動が阻害されないよう、明確な境界線に従って慎重に策定される必要があると思いる。ASD/ACSCへの報告を奨励し、違反の封じ込めや潜在的な被害を最小限に抑える努力を促進する必要性を評価するが、事業者は、NDB報告義務やAPP11に基づくデータ保護のための合理的な措置をとる義務など、プライバシー法に基づく法的義務を順守する必要がある。 |
| Recommendation 8 – Any proposed obligations of confidentiality should be carefully designed in consultation with regulators, to ensure that agencies such as the OAIC are still able to obtain the information they need from affected entities at the appropriate time, and to exercise their functions and powers in the public interest. | 提言 8 - 提案される守秘義務は、規制当局と協議の上、慎重に設計されるべきであり、OAICのような機関が適切な時期に影響を受ける事業者から必要な情報を入手し、公共の利益のためにその機能および権限を行使することができることを保証すべきである。 |
| International interoperability and enhancing relationships with our neighbours | 国際的な相互運用性と近隣諸国との関係強化 |
| 1.37Question 3 of the Discussion Paper seeks feedback on how Australia can work with its neighbours to build regional cyber resilience and better respond to cyber incidents. The OAIC considers that information sharing between nations on current cyber security risks, threat actors and best practice has a crucial role to play in achieving these objectives. | 1.37 討議資料の質問 3 は、地域のサイバーレジリエンスを構築し、サイバーインシデントによりよく対応するために、オーストラリアが近隣諸国とどのように協力できるかについて意見を求めている。OAICは、現在のサイバーセキュリティリスク、脅威要因、ベストプラクティスに関する国家間の情報共有が、これらの目的を達成する上で重要な役割を果たすと考える。 |
| 1.38The OAIC’s membership of the newly formed Global Privacy Assembly Cybersecurity Sub-Working Group will allow us to leverage offshore technical expertise on cyber security and globally elevate the understanding of best practice strategies.[38] Participation in similar knowledge sharing international cooperation efforts by relevant Australian agencies will leverage international cyber security experience for a domestic context, helping to predict trends in the threat landscape. | 1.38 OAIC が新たに設立された Global Privacy Assembly Cybersecurity Sub-Working Group のメンバーであることは、サイバーセキュリティに関する海外の技術的専門知識を活用し、ベストプラクティス戦略への理解を世界的に高めることを可能にする[38]。オーストラリアの関連機関による同様の知識共有の国際協力の取り組みへの参加は、国内の状況に応じたサイバーセキュリティに関する国際経験を活用して、脅威状況の傾向を予測するのに役立ちます。 |
| 1.39Similarly, Question 5 of the Discussion Paper seeks feedback on how Australia can better contribute to international standards-setting processes in relation to cyber security and shape laws in this area. In our experience, participation and leadership in the global dialogue on privacy and security has allowed the OAIC to shape the international narrative on privacy and security, and to promote globally consistent high standards. | 1.39 同様に、ディスカッション・ペーパーの質問 5 では、オーストラリアがサイバーセキュリティに関 する国際的な基準設定プロセスにどのように貢献し、この分野の法律を形成することができるかについて意見を求め ている。我々の経験では、プライバシーとセキュリティに関する世界的な対話への参加とリーダーシップにより、OAICはプライバシーとセキュリティに関する国際的な物語を形成し、世界的に一貫した高水準を促進することができた。 |
| 1.40In addition, implementation of the reforms in the Privacy Act Review will bring Australia more in line with international standards, which will ensure Australia continues to be a major contributor to the global discussion on privacy and security. This will support good cyber security outcomes and provide a foundation for Australia to solidify its role as a global leader on cyber security related matters. | 1.40 さらに、Privacy Act Review の改革を実施することで、オーストラリアは国際標準に沿うようになり、オーストラリアがプライバシーとセキュリティに関する世界的な議論に主要な貢献者であり続けることを保証する。これは、優れたサイバーセキュリティの成果を支援し、オーストラリアがサイバーセキュリティ関連事項のグローバルリーダーとしての役割を確固たるものにするための土台となる。 |
| 1.41Having contemporary and fit-for-purpose legislative frameworks will provide Australia with the credibility to influence international standard-setting processes, and shape global understandings on what laws and norms are necessary to uphold responsible state behaviour in relation to cyber security. | 1.41 現代的で目的に合った法的枠組みを持つことは、国際的な標準設定プロセスに影響を与え、サイ バーセキュリティに関連する国家の責任ある行動を支持するために必要な法律や規範に関する世界的な 理解を形成する信頼性をオーストラリアに提供することになる。 |
| Recommendation 9 – Support government agencies and regulators to engage with international counterparts to influence global dialogues in regulatory areas impacting cyber security, such as privacy, to promote consistently high standards around the world. | 提言 9 - 政府機関や規制当局が、プライバシーなどサイバーセキュリティに影響を与える規制分野におけるグローバルな対話に影響を与えるために、国際的なカウンターパートと関わり、世界中で一貫して高い水準を推進することを支援すべきである。 |
| Footnotes | 脚注 |
| [1] The OAIC is an independent Commonwealth regulator, established to bring together three functions: privacy functions (protecting the privacy of individuals under the Privacy Act 1988 (Cth), freedom of information (FOI) functions (access to information held by the Commonwealth Government in accordance with the Freedom of Information Act 1982 (Cth), and information management functions (as set out in the Australian Information Commissioner Act 2010 (Cth) (AIC Act). | [1] OAICは、プライバシー機能(プライバシー法1988(Cth)に基づく個人のプライバシー保護)、情報公開機能(情報公開法1982(Cth)に基づく連邦政府保有情報へのアクセス)、情報管理機能(オーストラリア情報コミッショナー法2010(Cth)(AIC法)に規定される)の3機能を結集して設立された連邦の独立規制機関である。 |
| [2] OAIC, Priorities for regulatory action 2022–23 , OAIC, accessed 13 March 2023. | [2] OAIC, Priorities for regulatory action 2022-23 , OAIC, accessed 13 March 2023. |
| [4] Home Affairs, 2023–2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 14, accessed 22 March 2023. | [4] Home Affairs, 2023-2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 14, accessed 22 March 2023. |
| [5] AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, accessed 13 March 2022. | [5] AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, accessed 13 March 2022. |
| [6] Home Affairs, 2023–2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 14, accessed 22 March 2023. | [6] Home Affairs, 2023-2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 14, accessed 22 March 2023. |
| [7] See Home Affairs, 2023–2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 24, Question 1: ‘What ideas would you like to see included in the Strategy to make Australia the most cyber secure nation in the world by 2030?’. | [7] Home Affairs, 2023-2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 24, 質問1:「2030年までにオーストラリアを世界で最もサイバーセキュアな国にするための戦略に、どのようなアイデアを盛り込みたいですか?」を参照のこと。 |
| [8] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Chapter 20, accessed 28 March 2023. | [8] AGD, Privacy Act Review を参照: Report 2022, AGD, Australian Government, 2023, Chapter 20, accessed 28 March 2023. |
| [9] Under APP 1, entities must take reasonable steps beyond technical security measures to protect and ensure the integrity of personal information throughout the information lifecycle, including by implementing strategies in relation to governance, internal practices, processes and systems, and dealing with third party providers. Under APP 11, entities are required to take reasonable steps to protect the personal information they hold from misuse, interference, loss, unauthorised access, modification, or disclosure. | [9] APP1では、事業体は、ガバナンス、内部慣行、プロセス及びシステム、並びに第三者プロバイダとの取引に関連する戦略を実施することを含め、情報のライフサイクルを通じて個人情報の保護及び完全性を確保するために、技術的セキュリティ対策以外の合理的な措置を講じなければならない。APP11では、事業体は、保有する個人情報を誤用、干渉、損失、不正アクセス、修正、または開示から保護するために合理的な措置を講じることが要求されている。 |
| [10] AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, accessed 21 March 2023. | [10] AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, accessed 21 March 2023. |
| [11] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Proposal 6.1, accessed 21 March 2023. In response to Question 15(a), which relates government assistance for small business to keep customers’ data safe, the OAIC is well placed to support small business to comply with the Privacy Act complementing existing government support. | [11] AGD, Privacy Act Review を参照: Report 2022, AGD, Australian Government, 2023, Proposal 6.1, accessed 21 March 2023. 質問15(a)の、顧客のデータを安全に保つための中小企業に対する政府の支援に関連して、OAICは、既存の政府の支援を補完して、中小企業がプライバシー法を遵守するのを支援するのに適した立場にある。 |
| [12] The proposed amendments would require entities to notify the OAIC and affected individuals within 72 hours of eligible data breaches (rather than the current 30 days) and to set out the steps they have taken or intend to take in response to the breach, including steps to reduce any adverse impacts on the affected individuals. | [12] 提案された改正案は、事業者に対して、適格なデータ侵害が発生した場合、(現行の30日ではなく)72時間以内にOAICおよび影響を受ける個人に通知し、影響を受ける個人への悪影響を軽減するための措置を含む、侵害に対応して講じた、または講じる予定の措置を示すよう求めるものである。 |
| [13] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Proposals 28.2 and 28.3, accessed 21 March 2023. | [13] AGD, Privacy Act Review を参照: Report 2022, AGD, Australian Government, 2023, Proposals 28.2 and 28.3, accessed 21 March 2023. |
| [14] See Recommendation 106, Privacy Act Review Discussion Paper: submission by the OAIC , OAIC, 2021, p 221, accessed 21 March 2023. | [14] 提言 106, Privacy Act Review Discussion Paper: submission by the OAIC , OAIC, 2021, p 221, accessed 21 March 2023 を参照のこと。 |
| [15] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Proposal 21.2, accessed 20 March 2023. | [15] AGD, Privacy Act Review を参照のこと: Report 2022, AGD, Australian Government, 2023, Proposal 21.2, accessed 2023年3月20日. |
| [16] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Proposal 21.3, accessed 20 March 2023. | [16] AGD, Privacy Act Reviewを参照のこと: Report 2022, AGD, Australian Government, 2023, Proposal 21.3, accessed 2023年3月20日. |
| [17] Home Affairs, 2023–2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 7, accessed 21 March 2023. | [17] Home Affairs, 2023-2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 7, accessed 21 March 2023. |
| [18] The Hon Clare O’Neil MP, Prime Minister’s Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. | [18] The Hon Clare O'Neil MP, Prime Minister's Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. |
| [19] Corporations Act 2001 (Cth), s 912A(1)(h) requires Australian financial services licensees to have adequate risk management systems in place. A failure of the system to manage cybersecurity risks may result in a breach of this obligation: see ASIC v RI Advice Group Pty Ltd [2022] FCA 496 . | [19] 2001年会社法(Cth)、912A(1)(h)は、オーストラリアの金融サービス免許取得者に適切なリスク管理システムの設置を求めている。サイバーセキュリティのリスクを管理するシステムの失敗は、この義務の違反につながる可能性がある:ASIC v RI Advice Group Pty Ltd [2022] FCA 496 を参照。 |
| [20] Prudential Standard CPS 234 Information Security requires APRA-regulated entities to take measures to be resilient against information security incidents (including cyber-attacks) by maintaining an information security capability commensurate with information security vulnerabilities and threats. The Standard requires entities to notify APRA of material information security incidents. Prudential Standard CPS 220 Risk Management requires APRA-regulated institutions to have systems for identifying, measuring, evaluating, monitoring, reporting, and controlling or mitigating material risks that may affect its ability to meet its obligations to depositors and/or policy holders. The Standard requires notification to APRA when an institution becomes aware of a significant breach of, or material deviation from, the risk management framework. | [20] プルデンシャル基準 CPS 234 情報セキュリティは、情報セキュリティの脆弱性と脅威に見合った情報セキュリティ能力を維持することにより、情報セキュリティ事件(サイバー攻撃を含む)に対して弾力性を持つための措置を講じることを APRA 規制対象事業者に求めている。本基準は、事業体に対し、重要な情報セキュリティ・インシデントをAPRAに通知することを求めている。 プルデンシャル・スタンダードCPS220リスク管理は、APRAの規制下にある機関に対し、預金者や保険契約者 に対する義務を果たす能力に影響を与える可能性のある重要なリスクを特定、測定、評価、監視、報告、管理または 軽減するためのシステムを持つことを求めている。同基準は、金融機関がリスク管理の枠組みの重大な違反や重大な逸脱を認識した場合、APRAに通 知することを求めている。 |
| [21] The OAIC welcomed the Privacy Legislation Amendment (Enforcement and Other Measures) Act 2022, which came into force on 13 December 2022, that provides greater information sharing powers under the Privacy Act and the AIC Act. These provisions ensure that the OAIC can efficiently and effectively cooperate with other regulators and entities during investigative and regulatory activities. This helps to ensure that duplicative investigation and regulatory responses – both domestically and globally – are avoided and limited resources are directed appropriately. | [21] OAICは、2022年12月13日に施行された、プライバシー法およびAIC法の下でより大きな情報共有権限を提供するプライバシー法改正(施行およびその他の措置)法2022を歓迎した。これらの規定により、OAICは、調査および規制活動において、他の規制当局および団体と効率的かつ効果的に協力することができます。これにより、国内外を問わず、重複した調査や規制対応が回避され、限られた資源が適切に配分されるようになるのです。 |
| [22] The Hon Clare O’Neil MP, Prime Minister’s Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. | [22] The Hon Clare O'Neil MP, Prime Minister's Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. |
| [23] See Part 1, Division 1 of the SOCI Act 2018. | [23] SOCI法2018のPart 1, Division 1を参照。 |
| [24] See Part IIIC of the Privacy Act, in particular s 26WK in relation to notification obligations to the Information Commissioner and s 26WL in relation to notification obligations to individuals. | [24] プライバシー法の第IIIC部、特に情報コミッショナーへの通知義務に関する第26WK条および個人への通知義務に関する第26WL条を参照のこと。 |
| [25] See Part 2B of the SOCI Act. | [25] SOCI 法の Part 2B を参照。 |
| [26] See Part V of the Privacy Act, including s 36. | [26] 第 36 条を含むプライバシー法の第 V 部を参照。 |
| [27] CISC, Cyber security incident reporting , Factsheet, CISC, Home Affairs, Australian Government, 2022, accessed 24 March 2023. | [27] CISC, Cyber security incident reporting , Factsheet, CISC, Home Affairs, Australian Government, 2022, accessed 24 March 2023. |
| [28] See Part 2A and Part 2B of the SOCI Act. | [28] SOCI 法の第 2A 部および第 2B 部を参照のこと。 |
| [29] See the definition of protected information in s 5 of the SOCI Act. The 11 critical infrastructure sectors are: Communications, Financial services and markets, Data storage or processing, Defence industry, Higher education and research, Energy, Food and grocery, Health care and medical, Space technology, Transport, Water and sewerage. See Defining critical infrastructure , CISC website, 23 February 2023, accessed 29 March 2023. | [29] SOCI 法の第 5 条の保護情報の定義を参照のこと。11の重要インフラ部門は以下の通り: 通信、金融サービスおよび市場、データの保存または処理、防衛産業、高等教育および研究、エネルギー、食品および食料品、ヘルスケアおよび医療、宇宙技術、輸送、水および下水道。重要インフラの定義 , CISC ウェブサイト、2023 年 2 月 23 日、2023 年 3 月 29 日にアクセス参照。 |
| [30] See SOCI Act, s 45. | [30] SOCI 法、45 条を参照。 |
| [31] See SOCI Act, s 46. | [31] SOCI 法、第 46 条を参照のこと。 |
| [32] See Part V, Division 1 of the Privacy Act. | [32] プライバシー法のパート V、ディビジョン 1 を参照。 |
| [33] This could be modelled on existing s 43AA, or similar. | [33] これは既存の s 43AA または類似のものをモデルとすることができる。 |
| [34] See Notifiable Data Breaches Report: January to June 2022 , OAIC website, 10 November 2022, which states that 162 of the 396 data breaches during the reporting period resulted from cyber security incidents (41%). | [34] Notifiable Data Breaches Report を参照のこと: January to June 2022 , OAIC website, 10 November 2022 によれば、報告期間中の 396 件のデータ侵害のうち 162 件がサイバーセキュリティインシデントに起因している(41%)とされている。 |
| [35] OAIC, Notifiable data breaches publications , OAIC website, n.d., accessed 28 March 2023. | [35] OAIC, Notifiable data breaches publications , OAIC website, n.d., accessed 28 March 2023. |
| [36] President Biden’s Executive Order 14028 established the Cyber Safety Review Board (CSRB) for the purpose of reviewing major cyber events and making recommendations to drive improvements within the private and public sectors. See Executive Order on Improving the Nation’s Cybersecurity , EO 14028, The White House, 21 May 2021, accessed 15 March 2023. | [36] バイデン大統領の大統領令14028は、主要なサイバーイベントをレビューし、民間および公的セクター内での改善を促進するための提言を行う目的で、サイバー安全性レビュー委員会(CSRB)を設立しました。国家のサイバーセキュリティの改善に関する大統領令 , EO 14028, The White House, 21 May 2021, accessed 15 March 2023を参照のこと。 |
| [37] The Hon Clare O’Neil MP, Prime Minister’s Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. | [37] The Hon Clare O'Neil MP, Prime Minister's Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. |
| [38] Global Privacy Assembly, Global Privacy Assembly [website], n.d., accessed 23 March 2023. | [38] Global Privacy Assembly, Global Privacy Assembly [website], n.d., accessed 23 March 2023. |
私が見過ごしていた、オーストラリア・サイバーセキュリティ戦略2023-2030。2022年12月11日ごろに公表されていたみたい...
・2023-2030 Australian Cyber Security Strategy Discussion Paper
| 2023-2030 Australian Cyber Security Strategy Discussion Paper | 2023-2030 年オーストラリア・サイバーセキュリティ戦略ディスカッションペーパー |
| On 8 December 2022, the Minister for Cyber Security, the Hon. Clare O’Neil MP, announced the development of the 2023-2030 Australian Cyber Security Strategy (the Strategy). The Minister has appointed an Expert Advisory Board to advise on the development of the Strategy. | 2022年12月8日、サイバーセキュリティ担当大臣であるクレア・オニール議員は、2023-2030年オーストラリア・サイバーセキュリティ戦略(以下、戦略)の策定を発表しました。 大臣は、本戦略の策定について助言を行う専門家諮問委員会を任命した。 |
| The Government is developing cyber security policy and initiatives under four key areas: | 政府は、4つの主要分野のもと、サイバーセキュリティ政策とイニシアティブを展開している: |
| ・A secure economy and thriving cyber ecosystem | ・安全な経済と繁栄するサイバーエコシステム |
| ・A secure and resilient critical infrastructure and government sector | ・安全で強靭な重要インフラと政府部門 |
| ・A sovereign and assured capability to counter cyber threats | ・サイバー脅威に対抗するための主権的で確実な能力 |
| ・Australia as a trusted and influential global cyber leader, working in partnership with our neighbours to lift cyber security and build a cyber resilient region | ・オーストラリアは信頼と影響力のあるグローバルなサイバーリーダーとして、近隣諸国と連携してサイバーセキュリティを強化し、サイバーレジリエントな地域を構築する。 |
| Discussion paper and submissions | ディスカッションペーパーと提出書類 |
| The Expert Advisory Board has released a discussion paper seeking your views on how Government can achieve its vision under the 2023-2030 Australian Cyber Security Strategy: | 専門家諮問委員会は、2023-2030年オーストラリア・サイバーセキュリティ戦略の下で、政府がどのようにビジョンを達成するかについて、皆様の意見を求めるディスカッションペーパーを発表した: |
・[PDF] 2023-2030 Australian Cyber Security Strategy Discussion Paper
仮対訳...
↓ ↓ ↓ ↓ ↓
| 2023 - 2030 AUSTRALIAN CYBER SECURITY STRATEGY | 2023-2030年 オーストラリア・サイバーセキュリティ戦略 |
| We acknowledge the Traditional Custodians throughout Australia and their continuing connection to land, sea and community. | 我々は、オーストラリア全土の伝統的管理者と、彼らの土地、海、コミュニティとの継続的なつながりを認識する。 |
| We acknowledge the Ngunnawal people, the Traditional Custodians of the land on which this paper was prepared, and we pay our respects to their Elders, past, present and emerging. | 我々は、この文書が作成された土地の伝統的管理者であるNgunnawal族を認め、彼らの過去、現在、そして未来の長老に敬意を表するものである。 |
| Minister’s Foreword | 大臣序文 |
| As Australia’s first Cabinet Minister for Cyber Security I am focused on creating a digital environment that is safe, trusted and secure. As a nation we have a unique opportunity to move cyber security beyond a niche technical field to a strategic national security capability that underpins our future prosperity. | 私は、オーストラリア初のサイバーセキュリティ担当閣僚として、安全、信頼、安心できるデジタル環境の実現に注力している。国家として、サイバーセキュリティをニッチな技術分野にとどまらず、将来の繁栄を支える戦略的な国家安全保障能力へと移行させるまたとない機会がある。 |
| The case for change is clear. Australia has a patchwork of policies, laws and frameworks that are not keeping up with the challenges presented by the digital age. Voluntary measures and poorly executed plans will not get Australia where we need to be to thrive in the contested environment of 2030. | 変革の必要性は明らかである。オーストラリアでは、政策、法律、枠組みがつぎはぎだらけで、デジタル時代がもたらす課題に追いついていない。自主的な対策や不十分な計画では、2030年の競争の激しい環境で成功するために必要なオーストラリアを手に入れることはできない。 |
| The digital age presents enormous opportunities. To achieve our vision of being the world’s most cyber secure country by 2030, we need the unified effort of government, industry and the community. Together, we can equip our community to reduce the number and impact of cyber incidents through improved cyber hygiene and provide clear advice on how to respond confidently when they occur. | デジタル時代には大きなチャンスがある。2030年までに世界で最もサイバーセキュアな国になるというビジョンを達成するためには、政府、産業界、地域社会が一体となって取り組む必要がある。我々は共に、サイバーハイジーンを改善することでサイバーインシデントの数と影響を減らし、発生したときに自信を持って対応する方法について明確なアドバイスを提供できるように、コミュニティを装備することができる。 |
| This discussion paper is an opportunity to provide your views on how we can work together to make Australia a world-leader in cyber security by 2030. This means: | このディスカッションペーパーは、2030年までにオーストラリアをサイバーセキュリティの世界的リーダーにするために、我々がどのように協力できるかについて、皆さんの意見を提供する機会である。これは、次のことを意味する: |
| • Australia has a secure economy and thriving cyber ecosystem; | ・オーストラリアは安全な経済と繁栄するサイバーエコシステムを持つ; |
| • our critical infrastructure and government systems are resilient and secure; | ・オーストラリアの重要なインフラと政府システムはレジリエンスであり、安全である; |
| • we have a sovereign and assured capability to counter cyber threats; and | ・オーストラリアは,サイバー脅威に対抗するための主権的で確実な能力を有している。 |
| • Australia is a trusted and influential global cyber leader, working in partnership with our neighbours to lift cyber security and build a cyber resilient region. | ・オーストラリアは信頼され、影響力のあるグローバルなサイバーリーダーであり、近隣諸国と連携してサイバーセキュリティを強化し、サイバーレジリエントな地域を構築する。 |
| I have appointed an Expert Advisory Board to assist and advise the Government on the development of the 2023-2030 Australian Cyber Security Strategy. The Board is chaired by former Telstra CEO Andrew Penn AO, who is joined by Mel Hupfeld AO DSC and Rachael Falk. The Board is working closely with industry, civil society and academia to advise the Australian Government on the steps we need to take to make Australia the most cyber secure nation in the world by 2030. The Assistant Foreign Minister, the Hon. Tim Watts MP, is also closely involved in the development of the 2023-2030 Australian Cyber Security Strategy, leading our approach to how Australia can work in partnership with our region to lift our collective cyber security. | 私は、2023-2030年オーストラリア・サイバーセキュリティ戦略の策定において政府を支援し、助言するために、専門家諮問委員会を任命した。理事会の議長は、元Telstra CEOのAndrew Penn AOが務め、Mel Hupfeld AO DSCとRachael Falkが参加する。理事会は、産業界、市民社会、学界と緊密に連携し、2030年までにオーストラリアを世界で最もサイバーセキュリティの高い国にするために取るべき措置について、オーストラリア政府に助言している。外務大臣補佐官のティム・ワッツ議員も、2023-2030年のオーストラリア・サイバーセキュリティ戦略の策定に深く関わっており、オーストラリアがどのように地域と連携して集団的なサイバーセキュリティを高めることができるかというアプローチをリードしている。 |
| Setting Australia up for success in the digital age begins with meaningful engagement and transformative partnerships across all levels of government, industry and the community. To achieve this goal, the Government is developing the 2023-2030 Australian Cyber Security Strategy, and we want you to be a part of the discussion. | デジタル時代においてオーストラリアを成功に導くには、政府、産業界、コミュニティのすべてのレベルにおいて、有意義な関与と変革的なパートナーシップを築くことから始まります。この目標を達成するために、政府は2023-2030年オーストラリア・サイバーセキュリティ戦略を策定しており、皆様にもこの議論に加わっていただきたいと思う。 |
| The Hon Clare O’Neil MP | クレア・オニール内務大臣 |
| Minister for Home Affairs | 内務大臣 |
| Minister for Cyber Security | サイバーセキュリティ担当大臣 |
| Introduction from the Expert Advisory Board | 専門家諮問委員会からの紹介 |
| Technology continues to develop at a rapid pace and it is already an integral part of the Australian way of life – it connects our cities, workplaces, schools, and homes. The mobile devices we carry with us every day are super computers in our pockets. Technological advancements have meant that things that once took hours can now be done instantly via a browser, such as checking on our pets at home, shopping 24/7 from the convenience of our homes, and screening visitors at our front doors from thousands of kilometres away. | テクノロジーは急速に発展し続けており、すでにオーストラリアの生活様式に欠かせないものとなっている ・それは都市、職場、学校、家庭をつないでいる。我々が毎日持ち歩いているモバイル機器は、ポケットの中のスーパーコンピューターである。技術の進歩により、かつては何時間もかかっていたことが、ブラウザを通じて瞬時にできるようになった。例えば、自宅でペットの様子を確認したり、自宅から24時間いつでも買い物ができたり、何千キロも離れた玄関で来客を確認したりすることができる。 |
| While this is a discussion paper for the 2023-2030 Australian Cyber Security Strategy (the ‘Strategy’), when we refer to ‘cyber’ we mean the conduit by which all Australians can engage in a wide range of activity digitally such as shopping, banking, work, education, and healthcare. However, we also note that ‘cyber’ provides a conduit for crime, foreign interference, espionage, disinformation and misinformation. Cyber security is the means by which the cyber foundations of the digital world are secured. We are seeking your views to inform our recommendations to Government as to what it should consider when developing cyber security measures to better protect and enhance our collective cyber resilience, both in Australia and in the region. | 本書は、2023-2030年オーストラリア・サイバーセキュリティ戦略(以下、戦略)のためのディスカッションペーパーであるが、「サイバー」という場合、すべてのオーストラリア人がショッピング、銀行、仕事、教育、ヘルスケアなど、デジタルでさまざまな活動を行うことができる導線を意味している。しかし、「サイバー」は、犯罪、外患誘致、スパイ活動、偽情報、誤報の導線となることも留意している。サイバーセキュリティは、デジタル世界のサイバー基盤を保護するための手段である。我々は、オーストラリアと地域の両方において、我々の集団的なサイバーレジリエンスをより良く保護し、強化するために、サイバーセキュリティ対策を開発する際に考慮すべき点について政府に提言するために、皆さんの意見を求めている。 |
| Our national resilience, economic success, and security rely on us getting our cyber settings right. Importantly, 99% of Australians now have access to the internet.1 During the COVID 19 pandemic, classrooms and workplaces moved entirely online, which contributed to the rapid acceleration of living in a digitally connected world. The adoption of digital technologies by some organisations was sped up by three to seven years in just months.2 | 我々の国の回復力、経済的成功、そして安全保障は、我々がサイバー設定を正しく行うことに依存している[1]。COVID 19の流行時には、教室や職場が完全にオンライン化され、デジタルでつながった世界での生活が急速に加速された。一部の組織では、デジタル技術の導入がわずか数ヶ月で3~7年早まった[2]。 |
| Uplifting Australia’s cyber resilience would also provide a significant boost to the domestic digital economy. The Australian cyber market contributed approximately $2.4 billion in Gross Value Added (GVA) in 2022, and the sector’s GVA grew by 11% from 2020 to 2022.3 | オーストラリアのサイバーレジリエンスを向上させることは、国内のデジタル経済を大きく後押しすることにもなる。オーストラリアのサイバー市場は、2022年に約24億ドルの粗付加価値(GVA)に貢献し、この分野のGVAは2020年から2022年にかけて11%成長した[3]。 |
| The CSIRO estimates that Australia’s cyber security revenue could reach $6 billion per year in 2026.4 | CSIROは、オーストラリアのサイバーセキュリティの収益が2026年には年間60億ドルに達する可能性があると推定している[4]。 |
| The rise in revenues and employment in the cyber security industry also has flow-on benefits for a range of domestic sectors and areas of sovereign capability. Australian businesses rely on cyber security professionals to secure their technologies, protect valuable intellectual property, and ensure that customers can trust Australian technical goods and services. In emerging fields such as quantum technologies, artificial intelligence, biotechnologies, and robotics, cyber security professionals are a vital enabler for the development of assured sovereign capabilities for Australia and our international supply chains. | サイバーセキュリティ産業における収入と雇用の増加は、国内のさまざまな分野や主権的能力の分野にも波及効果をもたらす。オーストラリアの企業は、自社の技術を保護し、貴重な知的財産を守り、顧客がオーストラリアの技術製品およびサービスを信頼できるようにするために、サイバーセキュリティの専門家に頼っている。量子技術、人工知能、バイオテクノロジー、ロボット工学などの新興分野では、サイバーセキュリティの専門家は、オーストラリアとオーストラリアの国際的なサプライチェーンのために、確実な主権能力の開発を実現するために不可欠な存在である。 |
| While this means the world is at our fingertips, there is a darker side to living in a cyber-connected world. Just as Australians have rapidly adopted digital goods, education and services, cyber criminals and nation states have also exploited cyber and the world in which we live. They are highly adaptable, adept, and are readily exploiting vulnerabilities: both software and human. | このことは、世界が我々の指先にあることを意味するが、サイバーでつながった世界で生活することには暗い側面もある。オーストラリア人がデジタル製品、教育、サービスを急速に取り入れたように、サイバー犯罪者や国家もサイバーと我々の住む世界を悪用してきた。彼らは非常に順応性が高く、巧みで、ソフトウェアと人間の両方の脆弱性を容易に利用する。 |
| According to the Australian Cyber Security Centre’s (ACSC) 2021-22 Threat Report, one incident is reported on average every 7 minutes5 with over 76,000 cybercrime reports in 2021-22.6 Cyber-enabled crimes such as romance and investment scams, business email compromise, ransomware and phishing emails have been successful in stealing identities and money from organisations and hard-working Australians. | Australian Cyber Security Centre (ACSC) の 2021-22 Threat Report によると、平均 7 分に 1 件の事件が報告され[5] 、2021-22 年には 76,000 件以上のサイバー犯罪が報告されている[6] 。恋愛・投資詐欺、ビジネスメールの漏洩、ランサムウェア、フィッシングメールなどのサイバー対応犯罪は、組織や勤勉なオーストラリア人から身元やお金を盗むのに成功した。 |
| Ransomware and associated extortion threats, espionage and fraud have become a significant threat to Australian organisations, large and small. There was no greater example of this than in September and October 2022, when over a three-week period the personal data of over 9.8 million Optus customers and 9.7 million Medibank customers was stolen by cyber criminals. The scale and severity of these breaches meant that cyber security became a topic that is now front and centre in board rooms and living rooms. It became clear during these incidents that government was ill-equipped to respond, and did not have the appropriate frameworks and powers to enable an effective national response given the number of Australians whose personal information, including identity data, was compromised. | ランサムウェアとそれに関連する恐喝の脅威、スパイ活動、詐欺は、大小を問わずオーストラリアの組織にとって重大な脅威となっている。2022年9月から10月にかけて、3週間にわたって980万人以上のOptusの顧客と970万人のMedibankの顧客の個人データがサイバー犯罪者によって盗まれたことほど、その例を挙げることはできない。これらの侵害の規模と深刻さは、サイバーセキュリティが役員室やリビングルームで最前面に位置するトピックとなったことを意味する。これらの事件で明らかになったのは、政府は対応する能力がなく、IDデータを含む個人情報が漏洩したオーストラリア人の数を考えると、効果的な国家的対応を可能にする適切な枠組みや権限を持っていなかったということである。 |
| While the companies themselves were impacted by these breaches, it is their customers who are the real victims of these insidious crimes. These breaches demonstrate why more needs to be done to make sure our laws recognise there is widespread data collection and government and industry both have an essential role to play in hardening networks and securing our economy. The Strategy must reflect the importance of protecting customer data, and ensure that all organisations have the right cyber security settings in place to make Australia is the most cyber secure nation in the world by 2030. We also need to make sure that we have the right legal and policy settings in place to help break the food chain when it comes to ransomware and related demands from – and payments to – cyber criminals. | これらの侵害は企業自身にも影響があったが、このような陰湿な犯罪の真の犠牲者はその顧客である。これらの侵害は、データ収集が広く行われていることを法律が認識し、政府および産業界がともにネットワークを強化し、経済の安全を確保するために不可欠な役割を果たすようにするために、より多くのことを行う必要があることを証明している。戦略では、顧客データ保護の重要性を反映し、2030年までにオーストラリアを世界で最もサイバーセキュリティの高い国にするために、すべての組織が適切なサイバーセキュリティ設定を持つようにしなければならない。また、ランサムウェアや関連するサイバー犯罪者からの要求、およびサイバー犯罪者への支払いに関して、食物連鎖を断ち切るための正しい法律と政策設定を行う必要がある。 |
| All of us must play a role in keeping our critical data, systems and infrastructure safe. From government departments, large organisations, small to medium businesses, academia and society as a whole. This involves not just best practice operational standards, raising awareness about online scams, or ensuring connected devices are secure by design: it means we must also turn our minds to current and future cyber security threats, and work together to do all that we can to protect Australians and our regional partners from these threats. | 我々全員が、重要なデータ、システム、インフラを安全に保つための役割を果たす必要がある。政府機関、大企業、中小企業、学術界、そして社会全体からである。これは、ベストプラクティスの運用基準、オンライン詐欺に関する意識の向上、接続機器の安全設計の確保だけでなく、現在および将来のサイバーセキュリティの脅威に目を向け、オーストラリア国民と地域のパートナーをこれらの脅威から守るためにできる限りのことをするために協力しなければならないことを意味する。 |
| If we are to lift and sustain cyber resilience and security, it must be an integrated wholeof-nation endeavour. We need a coordinated and concerted effort by governments, individuals, and businesses of all sizes. | サイバーレジリエンスとセキュリティを強化し、維持するためには、国を挙げての統合的な取り組みが必要である。政府、個人、そしてあらゆる規模の企業による協調的な取り組みが必要である。 |
| We believe that the development of a new forward-looking Strategy for Australia is a unique opportunity for us to be ambitious and innovative. Any successful strategy must be national in scope, enduring, affordable, achievable, and allow for flexibility to account for changes in the dynamic cyber environment out to 2030. | 我々は、オーストラリアの新しい未来志向の戦略の策定は、我々が野心的かつ革新的であるためのユニークな機会であると信じている。成功する戦略は、国家的な範囲、永続性、手頃な価格、達成可能性、そして2030年までのダイナミックなサイバー環境の変化に対応できる柔軟性を備えていなければならない。 |
| We appreciate there have been a number of consultations on cyber security and related topics over the last three years, and we will build on this feedback. We also want to make sure that this discussion paper provides you with the opportunity to contribute your views to shape the Australian Government’s approach to domestic and international cyber security at this crucial moment as we move into an increasingly online world. | 過去3年間、サイバーセキュリティと関連するトピックについて多くの協議が行われたことを評価し、このフィードバックを基に進めていきます。また、このディスカッション・ペーパーが、オンライン化が進むこの重要な時期に、国内および国際的なサイバーセキュリティに対するオーストラリア政府のアプローチを形成するために、皆さんの意見を提供する機会を提供することを確認したいと思う。 |
| We welcome your ideas and look forward to receiving your submissions. | 我々は、皆さんのアイデアを歓迎し、皆さんの提出をお待ちしている。 |
| Andrew Penn AO | アンドリュー・ペン AO |
| Mel Hupfeld AO DSC | メル・ヒュプフェルド AO DSC |
| Rachael Falk | Rachael Falk |
| Australia’s Cyber Security Opportunity | オーストラリアのサイバーセキュリティの機会 |
| The Australian Government’s goal of becoming the most cyber secure nation by 2030 is an ambitious aspiration. It recognises that the transition to a digital economy relies on the ability to trust that our personal data, infrastructure, and underpinning systems are secure, even as the cyber threat landscape evolves. Our ambition to become the most cyber secure nation by 2030 can be balanced with our liberal democratic values, and the objective of ensuring Australians can continue to access, engage with, and benefit from the online world. | オーストラリア政府は、2030年までに最もサイバーセキュリティの高い国になるという目標を掲げているが、これは野心的な願望である。デジタル経済への移行は、サイバー脅威の状況が進化しても、我々の個人データ、インフラ、および基盤システムの安全性を信頼できるかどうかにかかっていることを認識している。2030年までに最もサイバーセキュリティの高い国になるという我々の野心は、自由民主主義の価値観や、オーストラリア人が引き続きオンラインの世界にアクセスし、関わり、利益を得られるようにするという目的とのバランスをとることができる。 |
| What would Australia look like as the most cyber secure nation by 2030? | 2030年までに最もサイバーセキュアな国となったオーストラリアは、どのような姿になるのか? |
| In 2030, every aspect of our lives – social, economic, and cultural – is underpinned by digital connectivity. We live in an increasingly contested and congested cyber environment with state and non-state threat actors, and emergent technologies – like artificial intelligence and quantum computing – shaping the cyber security threat landscape in unpredictable ways. But we have invested in enduring and adaptive sovereign capabilities to build national cyber resilience, which means Australians engage in cyberspace with confidence and assurance. | 2030年、我々の生活のあらゆる側面(社会、経済、文化)は、デジタル接続によって支えられている。我々は、国家や非国家の脅威要因、人工知能や量子コンピュータのような新技術が、サイバーセキュリティの脅威の状況を予測不可能な方法で形成し、ますます競争的で混雑したサイバー環境の中で暮らしている。しかし、我々は国家のサイバーレジリエンスを構築するために、永続的かつ適応的な主権的能力に投資してきた。これは、オーストラリア人が自信と確信を持ってサイバー空間に関与することを意味する。 |
| By 2030, Australia is internationally recognised as a leading brand for cyber goods and services. This means consumers expect advanced cyber security built-in by-design, sold at a reasonable price, designed and manufactured by a workforce with world-leading cyber skills under fair working conditions. | 2030年までに、オーストラリアはサイバー商品とサービスのトップブランドとして国際的に認知されている。これは、消費者が、高度なサイバーセキュリティが設計によって組み込まれ、適正な価格で販売され、公正な労働条件の下、世界有数のサイバー技術を持つ労働者によって設計・製造されることを期待することを意味する。 |
| The Australian regulatory system facilitates innovation and stimulates economic growth and recovery. Australian-made products set the international benchmark for cyber services, created in a way that reflects the values of a democratic society; leading on safety and security while respecting basic rights. Customers expect cyber secure technologies in the same way they expect a car to be sold with a seatbelt. | オーストラリアの規制制度はイノベーションを促進し、経済成長と回復を促す。オーストラリア製の製品は、民主主義社会の価値観を反映した方法で作られ、基本的な権利を尊重しながら、安全性とセキュリティをリードするサイバーサービスの国際的なベンチマークとなる。顧客は、自動車がシートベルト付きで販売されていることを期待するのと同じように、サイバーセキュリティ技術を期待している。 |
| Internationally, Australia is a respected partner, collaborating with and supporting countries in our region and globally to defend the international rules-based order in cyberspace. Australia has built a safe and inclusive online environment, and broader prosperity, upon a strong foundation of cyber resilience in our region. A multi-stakeholder system that places individuals, industry, civil society academia and governments on an equal footing ensures responsible and accountable technical management and governance of the Internet. | 国際的にも、オーストラリアは尊敬されるパートナーであり、サイバー空間におけるルールに基づく国際秩序を守るために、地域や世界の国々と協力し、支援している。オーストラリアは、当地域におけるサイバーレジリエンスの強固な基盤の上に、安全で包括的なオンライン環境と、より広い繁栄を築いてきた。個人、産業界、市民社会、学界、政府を対等な立場に置くマルチステークホルダーシステムは、責任と説明責任のあるインターネットの技術管理と統治を保証する。 |
| With our critical infrastructure increasingly reliant on internet connectivity, Australians have confidence that their access to water, electricity or online banking will not be disrupted because of a cyber incident. While cyber attacks remain prevalent, our continued cyber resilience means we apply learnings from regular scenario planning and testing to ensure we have the right preventative measures in place. When a cyber incident does occur, we have an agile and rapid response to mitigate its harm, recover quickly, and disrupt further malicious acts. | 重要なインフラがますますインターネット接続に依存している中、オーストラリア国民は、水、電気、オンラインバンキングへのアクセスがサイバー事件によって中断されることはないと確信している。 サイバー攻撃は依然として蔓延しているが、我々がサイバーレジリエンスを維持するためには、定期的なシナリオプランニングとテストから学んだことを適用し、適切な予防策を講じていることを意味する。サイバーインシデントが発生した場合、我々はその被害を軽減し、迅速に回復し、さらなる悪意ある行為を阻止するための機敏で迅速な対応を行っている。 |
| Realising this vision will require that all Australians – regardless of when they were born, where they live, and what language they speak at home – know what practical actions they need to take to keep their personal information, businesses, and families safe online. | このビジョンを実現するためには、生まれた時期、住んでいる場所、家で話す言語に関係なく、すべてのオーストラリア人が、個人情報、企業、家族の安全をオンラインで守るために取るべき実践的な行動を知っている必要がある。 |
| Approach to Consultation | コンサルテーションへのアプローチ |
| The Strategy will be developed in partnership with industry academia, state and territory governments and the Australian and international community. Like Australia’s cyber security, the Strategy will be a team effort, building on our history of collaborative cyber resilience. | 本戦略は、産業界、学術界、州・準州政府、オーストラリアおよび国際社会とのパートナーシップのもとで策定される予定である。 オーストラリアのサイバーセキュリティと同様に、本戦略は、サイバーレジリエンスの共同開発の歴史に基づいたチームワークで作成される予定である。 |
| Australia is uniquely placed to define and adopt world-leading policies in cyber security. Since Defence 2000: Our Future Defence Force, Australia has been alert to the need to consider cyber security as a matter of national security. | オーストラリアは、サイバーセキュリティの分野で世界をリードする政策を定義し、採用することができるユニークな立場にある。「Defence 2000: Our Future Defence Force」以来、オーストラリアはサイバーセキュリティを国家安全保障の問題として考慮する必要性を警戒してきた。 |
| Australia’s Cyber Security Strategy 2016 introduced cyber security as a risk to a broad audience at the foundational level, and Australia’s Cyber Security Strategy 2020 then recommended action across three pillars: governments protecting against sophisticated cyber threats, businesses protecting their customers, and the community making cyber-aware choices. | オーストラリア・サイバーセキュリティ戦略2016では、リスクとしてのサイバーセキュリティを基礎的なレベルで広く紹介し、その後、オーストラリア・サイバーセキュリティ戦略2020では、高度なサイバー脅威から守る政府、顧客を守る企業、サイバーに配慮した選択をするコミュニティという3つの柱で行動を推奨した。 |
| Australia’s Cyber Security Strategy 2020 was complemented by Australia’s 2021 International Cyber and Critical Technology Engagement Strategy, which set out Australia’s vision for a safe, secure and prosperous Australia, Indo-Pacific region and world, enabled by cyberspace and critical technology. Moving forward, domestic and international cyber security policy considerations will be combined into a whole-of-nation effort under the Strategy. | オーストラリア・サイバーセキュリティ戦略2020は、オーストラリア・国際サイバー・重要技術関与戦略2021によって補完され、サイバー空間と重要技術によって実現される安全、安心、繁栄のオーストラリア、インド太平洋地域、世界に対するオーストラリアのビジョンが示された。今後、国内および国際的なサイバーセキュリティ政策の検討は、同戦略の下で、国を挙げての取り組みに統合されることになる。 |
| The development of the previous cyber strategies has been followed by consultations on the Security of Critical Infrastructure Act (the SOCI Act), the Strengthening Australia’s Cyber Security Regulations and Incentives discussion paper, and the National Data Security Action Plan discussion paper. The Strategy will leverage these consultations and public submissions. | これまでのサイバー戦略の策定は、重要インフラストラクチャー安全法(SOCI法)、オーストラリアのサイバーセキュリティ規制とインセンティブの強化に関するディスカッションペーパー、および国家データセキュリティ行動計画に関するディスカッションペーパーの協議に続いて行われてきた。 本戦略は、これらの協議と一般からの提出物を活用する。 |
| The Expert Advisory Board has commenced consultation on the Strategy through a series of roundtables focussed on the core policy themes identified in this discussion paper. Consultation will continue through to the drafting and publication of the final Strategy before the end of 2023. | 専門家諮問委員会は、このディスカッションペーパーで特定された中核的な政策テーマに焦点を当てた一連の円卓会議を通じて、戦略に関する協議を開始した。協議は、2023年末までに最終的な戦略を起草し、公表するまで継続される予定である。 |
| The Expert Advisory Board and the Department of Home Affairs will lead consultations on domestic components of the Strategy, and partner with the Department of Foreign Affairs and Trade to lead international-themed consultations to ensure that the Strategy accounts for global perspectives and partnerships. | 専門家諮問委員会と内務省が戦略の国内構成要素に関する協議を主導し、外務貿易省と提携して国際テーマの協議を主導し、戦略がグローバルな視点とパートナーシップを考慮することを確実にする。 |
| The Minister for Home Affairs and Cyber Security and the Expert Advisory Board are also being advised on global best practice by a Global Advisory Panel comprising the best minds from our closest allies. The Global Advisory Panel is chaired by Ciaran Martin CB, former CEO of the United Kingdom’s National Cyber Security Centre. | また、内務・サイバーセキュリティ担当大臣と専門家諮問委員会は、最も近い同盟国の最高の頭脳で構成されるグローバル諮問委員会から、世界的なベストプラクティスについて助言を受けることになっている。グローバル・アドバイザリー・パネルの議長は、英国国立サイバーセキュリティセンターの元CEOであるCiaran Martin CBが務めている。 |
| The 2023-2030 Australian Cyber Security Strategy | 2023-2030年オーストラリア・サイバーセキュリティ戦略 |
| Australia’s cyber landscape has evolved significantly since Australia’s Cyber Security Strategy 2020 was released. COVID-19 highlighted our critical dependence on cyber for our productivity, prosperity, and national security as Australians spent more time online than ever before. The RussiaUkraine conflict demonstrated that cyber attacks by both nation states and criminal groups can rapidly spill across borders and affect critical infrastructure and essential services around the world.7 The Optus and Medibank incidents also represented two of the most significant data breaches in Australia’s history. | オーストラリアのサイバー環境は、オーストラリア・サイバーセキュリティ戦略2020が発表されて以来、大きく進化している。COVID-19では、オーストラリア人がかつてないほど多くの時間をオンラインで過ごすようになり、我々の生産性、繁栄、そして国家安全保障にとってサイバーへの依存度が極めて高いことが強調されました。ロシア・ウクライナ紛争は、国家と犯罪集団の両方によるサイバー攻撃が国境を越えて急速に波及し、世界中の重要なインフラや重要なサービスに影響を与えることを実証した[7]。また、オプタスとメディバンクの事件は、オーストラリアの歴史上最も重大なデータ漏洩の2つであった。 |
| Collectively, these events underscore an urgent need to deliver a national cyber security strategy which: | これらの出来事を総合すると、以下のような国家サイバーセキュリティ戦略を実現することが急務であることがわかる: |
| • takes lessons learned from previous stakeholder consultations and major incidents to inform current policy responses; | ・過去の関係者協議や重大事件から学んだ教訓を、現在の政策対応に反映させる; |
| • sets out the priorities for Australia’s cyber security uplift from 2023-2030; and | ・2023年から2030年にかけてのオーストラリアのサイバーセキュリティ強化のための優先順位を設定する。 |
| • seizes opportunities to get ahead of changes in the risk environment, harness new technologies, and position Australia as a global leader on cyber. | ・リスク環境の変化を先取りし,新技術を活用し,オーストラリアをサイバーに関する世界的リーダーとして位置づける機会を捉える。 |
| There are a range of other important Government priorities which will significantly enhance Australia’s digital security and which will progress in parallel with the Strategy. These include: | オーストラリアのデジタルセキュリティを大幅に強化し、本戦略と並行して進行する、他の重要な政府優先事項がある。これらには以下が含まれる: |
| • the outcomes of the Attorney-General Department’s Review of the Privacy Act 1988; | ・1988 年プライバシー法の司法長官による見直しの結果; |
| • the National Plan to Combat Cybercrime; | ・サイバー犯罪に対抗するための国家計画; |
| • the Australian Competition and Consumer Commission Digital Platform Services Inquiry 2020–25; | ・オーストラリア競争・消費者委員会のデジタル・プラットフォーム・サービス調査 2020-25 |
| • Commonwealth Digital ID policy development and reforms; | ・連邦デジタル ID の政策立案と改革; |
| • measures enhancing the growth of critical technology industries and resilience of supply chains led by the Minister for Industry and Science, including the National Quantum Strategy; and | ・国家量子戦略など,産業・科学大臣が主導する重要技術産業の成長とサプライチェーンの強靭性を高める施策 |
| • investment through the REDSPICE (Resilience, Effects, Defence, Space, Intelligence, Cyber, Enablers) package administered by the Minister for Defence. | ・国防大臣が管理するREDSPICE(Resilience, Effects, Defence, Space, Intelligence, Cyber, Enablers)パッケージによる投資。 |
| The Privacy Act Review Report was publicly released on 16 February 2023 for consultation on the development of the Government response to the report. Public consultation will remain open until 31 March 2023. The feedback received will also contribute to the development of the Strategy. | プライバシー法見直し報告書は2023年2月16日に公表され、報告書に対する政府の対応策を策定するための協議が行われた。パブリックコンサルテーションは2023年3月31日まで行われます。 受け取ったフィードバックは、本戦略の開発にも寄与する。 |
| Priorities for the 2023-2030 Australian Cyber Security Strategy | 2023-2030 年オーストラリア・サイバーセキュリティ戦略の優先事項 |
| The Minister for Home Affairs and Cyber Security has noted: | 内務・サイバーセキュリティ担当大臣は、次のように指摘している: |
| “ Everyone has skin in the game when it comes to Australia’s cyber security. If you use the internet, have a smart device in your home, or have a perspective on what Australia’s cyber security should look like, I encourage you to get involved as the Expert Advisory Board seeks views throughout the Strategy’s development.” | オーストラリアのサイバーセキュリティに関しては、誰もが当事者である。インターネットを利用している方、スマートデバイスをお持ちの方、オーストラリアのサイバーセキュリティのあるべき姿について意見を持っている方は、専門家諮問委員会が戦略の策定を通じて意見を求めるので、ぜひ参加してください。 |
| What ideas would you like to see included in the Strategy to make Australia the most cyber secure nation in the world by 2030? | 2030年までにオーストラリアを世界で最もサイバーセキュリティの高い国にするために、どのようなアイデアを戦略に盛り込むべきか? |
| This section of the Discussion Paper outlines: | ディスカッション・ペーパーのこのセクションは、以下の概要を示している: |
| • the core policy areas that the Expert Advisory Board expects will be addressed in the Strategy; and | ・専門家諮問委員会が戦略で取り上げられると期待する中核的な政策分野,および |
| • a series of potential policy areas, where the Expert Advisory Board is seeking your feedback on what action the Australian Government should take to become the world’s most cyber secure nation in the world by 2030. | ・専門家諮問委員会が、2030年までに世界で最もサイバーセキュアな国になるためにオーストラリア政府が取るべき行動についての意見を求めている一連の潜在的政策分野。 |
| Core policy areas to be included in the 2023-2030 Australian Cyber Security Strategy | 2023-2030年オーストラリア・サイバーセキュリティ戦略に盛り込まれる中核政策分野 |
| Enhancing and harmonising regulatory frameworks | 規制の枠組みを強化し調和させる |
| We have heard from industry that business owners often do not feel their cyber security obligations are clear or easy to follow, both from an operational perspective and as company directors. There are a range of implicit cyber security obligations placed on Australian businesses and nongovernment entities, including through the corporations, consumer, critical infrastructure, and privacy legislative and regulatory frameworks. However, it is clear from stakeholder feedback and the increasing frequency and severity of major cyber incidents, that more explicit specification of obligations, including some form of best practice cyber security standards, is required across the economy to increase our national cyber resilience and keep Australians and their data safe. | 企業経営者は、業務上の観点からも会社役員としての観点からも、サイバーセキュリティの義務が明確でなく、従いやすいと感じないことが多いという話を産業界から聞いている。オーストラリアの企業や非政府組織には、企業、消費者、重要インフラ、プライバシーに関する法律や規制の枠組みを含め、さまざまな暗黙のサイバーセキュリティ義務が課せられている。しかし、利害関係者からのフィードバックや、大規模なサイバー事件の頻度や深刻さの増加から、国のサイバー耐性を高め、オーストラリア人とそのデータを安全に保つためには、何らかの形でベストプラクティスのサイバーセキュリティ基準を含む、より明確な義務の指定が経済全体で必要であることは明らかである。 |
| To be the most cyber secure nation in the world by 2030, Australians should have confidence that digital products and services sold are fit for purpose and include appropriate best practice cyber security protections. | 2030年までに世界で最もサイバーセキュリティの高い国になるために、オーストラリア国民は、販売されるデジタル製品やサービスが目的に適っており、適切なベストプラクティスのサイバーセキュリティ保護が含まれているという確信を持つべきである。 |
| There may also be opportunities to simplify and streamline existing regulatory frameworks. For example, stakeholders have encouraged government to streamline reporting obligations and response requirements following a major cyber incident. | また、既存の規制の枠組みを簡素化・合理化する機会もあるかもしれない。例えば、関係者は、大規模なサイバーインシデントが発生した場合の報告義務や対応要件を合理化するよう政府に働きかけている。 |
| It is clear that a package of regulatory reform is necessary. How this would be implemented, including the potential consideration of a new Cyber Security Act, drawing together cyber-specific legislative obligations and standards across industry and government, and the details of these reforms is something on which feedback will be welcomed. This should also consider whether further developments to the SOCI Act are warranted, such as including customer data and ‘systems’ in the definition of critical assets to ensure the powers afforded to government under the SOCI Act extend to major data breaches such as those experienced by Medibank and Optus, not just operational disruptions. | 規制改革のパッケージが必要であることは明らかである。新たなサイバーセキュリティ法の検討、産業界と政府間のサイバーに特化した法的義務や基準の取りまとめ、これらの改革の詳細など、どのように実施されるかは、フィードバックを歓迎するものである。また、SOCI法の下での政府への権限付与を、業務上の混乱だけでなく、メディバンクやオプタスが経験したような大規模なデータ漏洩にも及ぶように、重要資産の定義に顧客データや「システム」を含めるなど、SOCI法のさらなる発展が正当化されるかどうかを検討するべきである。 |
| What legislative or regulatory reforms should the Government pursue to enhance cyber resilience across the digital economy? | デジタル経済全体のサイバーレジリエンスを強化するために、政府はどのような法律・規制改革を行うべきか? |
| See further questions at Attachment A. | 添付資料 A のその他の質問を参照。 |
| Strengthening Australia’s international strategy on cyber security | サイバーセキュリティに関するオーストラリアの国際戦略の強化 |
| Combined with domestic uplift, strengthened international leadership will enable us to seize opportunities and address the challenges presented by the shifting cyber environment. Australia is a respected voice in addressing the challenge of making the world a safer place online. We can leverage this voice through tangible steps to shape global thinking, particularly in relation to new and emerging technologies. | 国内での向上と合わせて、国際的なリーダーシップを強化することで、変化するサイバー環境による機会を捉え、課題に対処することができる。オーストラリアは、世界をオンラインでより安全な場所にするという課題に取り組む上で、尊敬される存在である。我々は、特に新しい技術や新興の技術に関連して、世界の考え方を形成するための具体的なステップを通じて、この声を活用することができる。 |
| Cyber resilience is also essential to unlocking economic opportunity and prosperity in our region. Investments in areas such as health, infrastructure, and education are not secure if they are not underpinned by effective cyber security. | サイバーレジリエンスは、当地域の経済的な機会と繁栄を引き出すためにも不可欠である。健康、インフラ、教育などの分野への投資は、効果的なサイバーセキュリティに裏打ちされていなければ安全とは言えない。 |
| Assistant Minister for Foreign Affairs, the Hon. Tim Watts MP, has noted: | 外務大臣補佐官のティム・ワッツ議員は、次のように指摘している: |
| “ This is not a challenge we face alone. We all – Australia, our region and the global community – benefit from a stable and resilient cyber space. Indeed, without cyber security other gains are too easily lost. | 「これは、私たちだけが直面する課題ではない。オーストラリア、この地域、そして国際社会、すべての人が、安定的で弾力性のあるサイバー空間から利益を得ている。実際、サイバーセキュリティがなければ、他の利益があまりにも簡単に失われてしまう。 |
| Whether it’s developing international cyber space laws and norms, holding accountable those that flout the rules, working to lift regional cyber resilience or leveraging our humanitarian response track record to respond to severe cyber attacks, working with partners is essential to a prosperous and secure cyber environment.” | サイバー空間の国際的な法律や規範の策定、規則に背く者の責任追及、地域のサイバーレジリエンスの向上、深刻なサイバー攻撃への人道的対応の実績の活用など、豊かで安全なサイバー環境には、パートナーとの協力が不可欠である。」 |
| There are three sets of opportunities to explore through consultation on the 20232030 Australian Cyber Security Strategy: | 20232030年オーストラリア・サイバーセキュリティ戦略に関する協議を通じて探求すべき機会は3セットある: |
| 1. How Australia can elevate the existing level of engagement with international partners through concrete steps to promote cyber resilience? | 1. オーストラリアは、サイバーレジリエンスを促進するための具体的なステップを通じて、国際パートナーとの既存の関与のレベルをどのように高めることができるか? |
| 2. What opportunities are there to better support the development of international technology standards, particularly in relation to cyber security? | 2. 特にサイバーセキュリティに関連する国際的な技術標準の策定をより良く支援する機会はあるか? |
| 3. How can government and industry partner to uplift cyber resilience and secure access to the digital economy, especially in Southeast Asia and the Pacific? | 3. 政府と産業界は、特に東南アジアと太平洋地域において、サイバーレジリエンスを向上させ、デジタル経済へのアクセスを確保するために、どのように提携できるか? |
| How can Australia, working with our neighbours, build our regional cyber resilience and better respond to cyber incidents? | オーストラリアは、近隣諸国と協力して、どのように地域のサイバーレジリエンスを構築し、サイ バーインシデントへの対応を向上させることができるか? |
| What opportunities exist for Australia to elevate its existing international bilateral and multilateral partnerships from a cyber security perspective? | オーストラリアが既存の国際的な二国間および多国間パートナーシップをサイバーセキュリティの観点から向上させる機会はどのように存在するか? |
| How should Australia better contribute to international standardssetting processes in relation to cyber security, and shape laws, norms and standards that uphold responsible state behaviour in cyber space? | オーストラリアは、サイバーセキュリティに関連する国際標準化プロセスにどのように貢献し、サイ バー空間における国家の責任ある行動を支持する法律、規範、標準を形成すべきか? |
| Securing government systems | 政府システムの安全確保 |
| The Commonwealth Government controls and processes some of Australia’s most sensitive data to deliver essential public services. Australia continues to be the target of persistent cybercrime and espionage by a wide range of criminal and state actors, including foreign intelligence services, seeking information on political, diplomatic, military, and personal data.8 | 連邦政府は、重要な公共サービスを提供するために、オーストラリアで最も機密性の高いデータを管理・処理している。オーストラリアは、政治、外交、軍事、個人データに関する情報を求める、外国の諜報機関を含む様々な犯罪者や国家主体による執拗なサイバー犯罪とスパイの標的であり続けている[8]。 |
| Government should stand as an exemplar of cyber security; however the Commonwealth Cyber Security Posture in 2022 report (the Cyber Posture Report) reveals government agencies have a long way to go to properly secure government systems. Only 11% of entities in the Cyber Posture Report reached Overall Maturity Level 2 through the implementation of Essential Eight controls, and the majority of entities are yet to implement basic policies and procedures. | 政府はサイバーセキュリティの模範となるべきであるが、英連邦の2022年のサイバーセキュリティ態勢報告書では、政府機関が政府システムを適切に保護するためには長い道のりがあることが明らかになった。サイバーポスチャーレポートに掲載された団体のうち、必須8コントロールの実装を通じて総合成熟度2に達したのはわずか11%で、大半の団体はまだ基本的なポリシーと手順を実装していないことが明らかになった。 |
| Public sector cyber security is comprised of both non-technical and technical elements, and it is crucial to consider both when considering how to better secure government systems. Non-technical aspects include things like governance frameworks and accountability mechanisms, cyber security culture, and risk management planning. Technical aspects include elements such as inventory management and legacy systems, variation across government systems and attack surfaces, and the nature of essential services delivered by each entity. | 公共部門のサイバーセキュリティは、非技術的な要素と技術的な要素の両方から構成されており、政府システムの安全性を高める方法を検討する際には、両方を考慮することが極めて重要である。非技術的な側面には、ガバナンスの枠組みや説明責任の仕組み、サイバーセキュリティ文化、リスク管理計画などがある。技術的な側面には、在庫管理やレガシーシステム、政府システム間の差異や攻撃対象、各組織が提供する重要なサービスの性質などの要素が含まれる。 |
| While acknowledging the work done under previous strategies, these have not achieved the level of progress required to meet the Government’s vision. Leadership and accountability are critical at all levels and in all organisations to deliver the Strategy. Enhancing government cyber posture will require a framework which accounts for: | これまでの戦略の下で行われた作業を認めつつも、これらは政府のビジョンを達成するために必要なレベルの進歩を達成できていない。戦略を実現するためには、すべてのレベル、すべての組織において、リーダーシップと説明責任が不可欠である。政府のサイバー態勢を強化するためには、以下を説明する枠組みが必要である: |
| • best practice standards, evaluation, transparency, reporting, and aligned incentives; and | ・ベストプラクティスの基準,評価,透明性,報告,および整合性のあるインセンティブ |
| • the appropriate support, accountability and leadership for individual government departments and agencies to manage their cyber security risk profile. | ・個々の政府省庁がサイバーセキュリティのリスクプロファイルを管理するための適切なサポート,説明責任,リーダーシップ。 |
| How can Commonwealth Government departments and agencies better demonstrate and deliver cyber security best practice and serve as a model for other entities? | 英連邦政府の部局や機関は、どのようにしてサイバーセキュリティのベストプラクティスをよりよく示し、提供し、他の団体のモデルとして機能させることができるか? |
| Areas for Potential Action by 2030 | 2030年までの潜在的なアクションのための領域 |
| In addition to the core policy areas, where it is clear interventions will be addressed in the Strategy, there are a range of other areas where potential policy options to enhance cyber resilience could be considered in the Strategy. We are seeking views to inform advice to Government on the following potential areas for policy action: | 戦略において介入することが明らかな中核的政策分野に加え、サイバーレジリエンスを強化するための潜在的な政策オプションが戦略において検討される可能性がある他の分野がある。我々は、以下の潜在的な政策分野に関して、政府への助言を得るための意見を求めている: |
| Improving public-private mechanisms for cyber threat sharing and blocking | サイバー脅威の共有と遮断のための官民の仕組みの改善 |
| There is a broad spectrum of options available to enhance cyber security threat sharing and blocking through public-private partnerships. This requires analysis of feasible technical approaches, which can be deployed sustainably at scale. However, improved threat sharing should also consider qualitative issues, such as government practice related to information sharing, access, declassification of intelligence, and existing regulatory frameworks such as the Privacy Act and the Surveillance Legislation Amendment (Identify and Disrupt) Act. There are a range of international approaches which Australia could also consider through the Strategy, recognising these would require further consultation to assess. | 官民連携によるサイバーセキュリティの脅威の共有と遮断を強化するために利用可能な選択肢は広範にわたる。そのためには、規模に応じて持続的に展開できる、実現可能な技術的アプローチの分析が必要である。しかし、脅威の共有の改善には、情報共有、アクセス、情報の機密解除に関する政府の慣行や、プライバシー法、監視法改正(特定と破壊)法などの既存の規制枠組みといった定性的な問題も考慮する必要がある。オーストラリアが戦略を通じて検討できる様々な国際的アプローチもあるが、これらを評価するためにはさらなる協議が必要であることを認識している。 |
| What can Government do to improve information sharing with industry on cyber threats? | サイバー脅威に関する産業界との情報共有を改善するために、政府は何をすればよいか? |
| What best practice models are available for automated threat-blocking at scale? | 大規模な自動脅威遮断のためのベストプラクティスモデルにはどのようなものがあるか? |
| See further questions at Attachment A. | 添付資料 A のその他の質問を参照。 |
| Supporting Australia’s cyber security workforce and skills pipeline | オーストラリアのサイバーセキュリティ人材とスキルパイプラインの支援 |
| There is no one single silver bullet for addressing the shortage of skilled cyber security professionals in Australia. Rather, it requires a suite of practical actions conducted under a clear strategy. The Australian Government is pursuing a broad agenda related to science, technology, engineering, and mathematics (STEM) skills, which will support the growth of our future workforce, including in cyber security. More broadly, the Government has committed to reaching 1.2 million tech jobs by 2030. To the extent that cyber security is embedded in STEM curricula, this agenda will improve the available pool of cyber security professionals. However, it is not yet clear whether this will be sufficient for more specialised cyber security career pathways. The purpose of the discussion paper is to determine whether there are additional steps, specific to the cyber workforce, which should be pursued through the Strategy | オーストラリアにおける熟練したサイバーセキュリティ専門家の不足を解消するための唯一の特効薬はない。むしろ、明確な戦略の下で実施される一連の実践的な行動が必要である。オーストラリア政府は、科学、技術、工学、数学(STEM)スキルに関連する幅広いアジェンダを推進しており、これによってサイバーセキュリティを含む将来の労働力の成長をサポートする。 より広範には、政府は2030年までに120万人の技術職を達成することを公約している。 サイバーセキュリティがSTEMカリキュラムに組み込まれている限り、このアジェンダはサイバーセキュリティの専門家の供給力を向上させるでしょう。しかし、より専門的なサイバーセキュリティのキャリアパスについては、これで十分かどうかはまだ明らかではない。本討議資料の目的は、サイバー人材に特化し、戦略を通じて追求すべき追加的なステップがあるかどうかを判断することである。 |
| Does Australia require a tailored approach to uplifting cyber skills beyond the Government’s broader STEM agenda? | オーストラリアは、政府の広範なSTEMアジェンダを超えて、サイバー・スキルを向上させるための個別のアプローチを必要としているか? |
| What more can the Australian Government do to support Australia’s cyber security workforce through education, immigration, and accreditation? | 教育、移民、認定を通じてオーストラリアのサイバーセキュリティ人材を支援するために、オーストラリア政府はさらに何をすることができるか? |
| National frameworks to respond to major cyber incidents | 大規模なサイバーインシデントに対応するための国家的なフレームワーク |
| It is clear that Australians expect the Commonwealth Government to play a role in responding to major cyber incidents. We need to clarify what the community and victims of a cyber attack can expect from the Government following an incident in the context of victim support and postincident response. Government must ensure that frameworks for incident management and coordination are fit-forpurpose, and conduct post-incident review and consequence management following major cyber incidents. It is also clear that government should share the root cause findings from investigations of major cyber incidents so that we can all benefit from these learnings. There are a range of international models which serve as useful comparisons, and the Optus and Medibank incidents exposed the gaps in Australia’s existing incident response functions. The Strategy provides a mechanism to improve the manner in which Australia responds to major cyber incidents. | オーストラリア国民が、連邦政府が大規模なサイバーインシデントに対応する役割を果たすことを期待していることは明らかである。 被害者支援と事故後の対応という観点から、サイバー攻撃のコミュニティと被害者が事故後に政府から何を期待できるかを明確にする必要がある。政府は、インシデント管理と調整のための枠組みが目的に適合していることを確認し、大規模なサイバーインシデントの後にインシデント後のレビューと結果管理を実施する必要がある。また、政府は、大規模なサイバーインシデントの調査から得られた根本的な原因を共有し、我々全員がこれらの学習から利益を得ることができるようにすべきであることは明らかである。比較対象として有用な様々な国際的モデルがあり、オプタスとメディバンクの事故は、オーストラリアの既存の事故対応機能のギャップを露呈した。 本戦略は、オーストラリアが大規模なサイバーインシデントに対応する方法を改善するためのメカニズムを提供するものである。 |
| How should the Government respond to major cyber incidents (beyond existing law enforcement and operational responses) to protect Australians? | オーストラリア国民を保護するために、政府は大規模なサイバーインシデントにどのように対応すべきか(既存の法執行や運用の対応を超えて)。 |
| What would an effective post-incident review and consequence management model with industry involve? | 産業界との効果的なインシデント後のレビューと結果管理モデルには何が含まれるか? |
| Community awareness and victim support | 地域社会の認識と被害者支援 |
| Despite widespread awareness of the potential risks posed by cybercrime, there is no consistent understanding of the practical steps that consumers, small and medium-sized enterprises (SMEs), and other organisations must take to enhance their cyber security. There is an opportunity through the Strategy to invest further in community awareness and skills building for cyber security, including for SMEs. As with crimes which have devastating impacts on individuals, businesses, and communities, there is scope for Government to explore opportunities to increase support available to victims of cybercrime. While preventing cyber incidents is important, it is inevitable that major attacks will continue to occur through to 2030 and beyond, and Australia should assess its overall cyber posture by viewing remediation and victim support as a key measure of security. | サイバー犯罪がもたらす潜在的なリスクについて広く認識されているにもかかわらず、消費者、中小企業(SMEs)、その他の組織がサイバーセキュリティを強化するために取らなければならない実際的な手順について一貫した理解がありません。この戦略を通じて、中小企業を含め、サイバーセキュリティに関する地域社会の認識とスキル向上にさらに投資する機会がある。 個人、企業、コミュニティに壊滅的な影響を与える犯罪と同様に、政府はサイバー犯罪の被害者が利用できる支援を強化する機会を探る余地がある。サイバー犯罪の防止は重要であるが、2030年以降も大規模な攻撃が発生することは避けられず、オーストラリアは、修復と被害者支援をセキュリティの重要な尺度として捉え、サイバー態勢の全体像を評価すべきである。 |
| How can Government and industry work to improve cyber security best practice knowledge and behaviours and support victims of cybercrime? | 政府と産業界は、サイバーセキュリティのベストプラクティスの知識と行動を改善し、サイバー犯罪の被害者を支援するために、どのように取り組めばよいだろうか。 |
| Investing in the cyber security ecosystem | サイバーセキュリティ・エコシステムへの投資 |
| Protective cyber security technologies have been identified as a critical technology by the Government, and cyber security is essential to the secure development and implementation of a broad range of other critical technologies. To become the most cyber secure nation by 2030, Australia must create an environment that attracts investment in cyber security and other critical technologies.9 There are a range of potential measures which could be explored to promote trade and investment in this space, with clear opportunities for collaboration between federal, state, and territory governments. | 保護用サイバーセキュリティ技術は、政府によって重要技術として認定されており、サイバーセキュリティは、他の広範な重要技術を安全に開発・実施するために不可欠である。2030 年までに最もサイバーセキュリティの高い国になるために、オーストラリアはサイバーセキュリティやその他の重要な技術への投資を誘致する環境を整えなければならない[9] 。この分野での貿易と投資を促進するために、連邦、州、準州政府間の協力の機会を明確にしながら検討できる、さまざまな潜在的措置が存在する。 |
| What opportunities are available for Government to enhance Australia’s domestic cyber security technologies ecosystem and support the uptake of cyber security services and technologies in Australia? | オーストラリア国内のサイバーセキュリティ技術エコシステムを強化し、オーストラリアにおけるサイバーセキュリティサービスと技術の取り込みを支援するために、政府はどのような機会を利用できるのか? |
| How should we approach cyber security technologies future-proofing out to 2030? | 2030年までのサイバーセキュリティ技術の将来性確保にどのように取り組むべきか? |
| Are there opportunities for Government to better use procurement as a lever to support the Australian cyber security technologies ecosystem and ensure that there is a viable path to market for Australian cyber security firms? | 政府は、オーストラリアのサイバーセキュリティ技術のエコシステムを支援し、オーストラリアのサイバーセキュリティ企業の市場参入を確実にするための手段として、調達をより良く利用する機会があるか? |
| Designing and sustaining security in new technologies | 新技術におけるセキュリティの設計と維持 |
| There are a number of emerging technologies, such as quantum, communications technologies, the Internet of Things, and artificial intelligence which will significantly impact, and be impacted by, cyber security. Some of these technologies exist now. Others will rapidly develop from 2023 to 2030 and will disrupt the existing landscape of cyber security. The Strategy must be adaptable to account for changes in the strategic and technological environment in the coming years. | 量子技術、通信技術、モノのインターネット、人工知能など、サイバーセキュリティに大きな影響を与え、また影響を受けるような新しい技術が数多く存在する。これらの技術のいくつかは現在存在している。また、2023年から2030年にかけて急速に発展し、サイバーセキュリティの既存の状況を破壊するものもある。戦略は、今後数年間の戦略的・技術的環境の変化を考慮し、適応可能でなければならない。 |
| How should the Strategy evolve to address the cyber security of emerging technologies and promote security-by-design in new technologies? | 新興技術のサイバーセキュリティに対応し、新技術のセキュリティ・バイ・デザインを推進するために、戦略はどのように進化すべきなのか。 |
| Implementation governance and ongoing evaluation | 実施ガバナンスと継続的評価 |
| The Strategy will form the foundation of an evolving approach to cyber security into the future. Implementation will require strong governance and a transparent, meaningful evaluation framework to ensure the Australian Government’s vision is realised, and the Strategy is fit-for-purpose now and into the future. | 本戦略は、将来にわたってサイバーセキュリティに対する進化したアプローチの基礎を形成する。実施には、オーストラリア政府のビジョンが実現され、戦略が現在および将来にわたって目的に適合するよう、強力なガバナンスと透明で有意義な評価の枠組みが必要である。 |
| How should Government measure its impact in uplifting national cyber resilience? | 政府は、国家のサイバーレジリエンスを向上させるために、どのようにその影響を測定すべきか? |
| What evaluation measures would support ongoing public transparency and input regarding the implementation of the Strategy? | 戦略の実施に関する継続的な国民の透明性と意見を支援する評価手段は何か? |
| Next steps | 次のステップ |
| We welcome responses to the questions outlined in this Discussion Paper (consolidated at Attachment A) and any additional matters relevant to the Strategy by 15 April 2023. | 我々は、2023年4月15日までに、本ディスカッション・ペーパー(添付資料Aに統合)に記載された質問と、本戦略に関連する追加事項への回答を歓迎する。 |
| Attachment A: Cyber Security Strategy Discussion Paper Questions | 添付資料A:サイバーセキュリティ戦略ディスカッションペーパーの質問事項 |
| This attachment consolidates the questions for consultation in the 2023-2030 Australian Cyber Security Strategy Discussion Paper and includes further specific detail. | この添付資料は、2023-2030年オーストラリア・サイバーセキュリティ戦略ディスカッション・ペーパーの質問事項を統合し、さらに具体的な内容を含んでいる。 |
| Respondents may make a submission regarding the entire discussion paper and full list of questions, or select only those questions which are most relevant. | 回答者は、ディスカッションペーパー全体と質問リスト全体について提出することも、最も関連性の高い質問のみを選択することもできる。 |
| 1. What ideas would you like to see included in the Strategy to make Australia the most cyber secure nation in the world by 2030? | 1. 2030年までにオーストラリアを世界で最もサイバーセキュリティの高い国にするために、どのようなアイデアを戦略に盛り込んでほしいか? |
| 2. What legislative or regulatory reforms should Government pursue to: enhance cyber resilience across the digital economy? | 2. デジタル経済全体のサイバーレジリエンスを強化するために、政府はどのような法律や規制の改革を行うべきか? |
| a. What is the appropriate mechanism for reforms to improve mandatory operational cyber security standards across the economy (e.g. legislation, regulation, or further regulatory guidance)? | a. 経済全体の義務的な運用サイバーセキュリティ基準を改善するための改革の適切なメカニズムは何か(例:法律、規制、またはさらなる規制ガイダンス)? |
| b. Is further reform to the Security of Critical Infrastructure Act required? Should this extend beyond the existing definitions of ‘critical assets’ so that customer data and ‘systems’ are included in this definition? | b. 重要インフラ安全保障法のさらなる改革は必要か?これは、既存の「重要資産」の定義を超えて、顧客データや「システム」もこの定義に含まれるように拡張すべきか? |
| c. Should the obligations of company directors specifically address cyber security risks and consequences? | c. 会社役員の義務は、サイバーセキュリティのリスクと影響に特に対処すべきか? |
| d. Should Australia consider a Cyber Security Act, and what should this include? | d. オーストラリアはサイバーセキュリティ法を検討すべきか、またその内容はどうあるべきか? |
| e. How should Government seek to monitor the regulatory burden on businesses as a result of legal obligations to cyber security, and are there opportunities to streamline existing regulatory frameworks? | e. 政府は、サイバーセキュリティに関する法的義務の結果、企業にかかる規制負担をどのように監視しようとするか、また、既存の規制の枠組みを合理化する機会はあるか? |
| f. Should the Government prohibit the payment of ransoms and extortion demands by cyber criminals by: | f. 政府は、サイバー犯罪者による身代金や恐喝要求の支払を禁止すべきである: |
| (a) victims of cybercrime; and/or | (a) サイバー犯罪の被害者、及び/又は |
| (b) insurers? If so, under what circumstances? | (b) 保険会社?もしそうなら、どのような状況下で? |
| i. What impact would a strict prohibition of payment of ransoms and extortion demands by cyber criminals have on victims of cybercrime, companies and insurers? | i. サイバー犯罪者による身代金や恐喝要求の支払を厳格に禁止することは、サイバー犯罪の被害者、企業、保険会社にどのような影響を与えるか。 |
| g. Should Government clarify its position with respect to payment or nonpayment of ransoms by companies, and the circumstances in which this may constitute a breach of Australian law? | g. 政府は、企業による身代金の支払いまたは不払い、およびこれがオーストラリアの法律違反となる可能性がある状況に関して、その立場を明らかにすべきか? |
| 3. How can Australia, working with our neighbours, build our regional cyber resilience and better respond to cyber incidents? | 3. オーストラリアは、近隣諸国と協力して、どのように地域のサイバーレジリエンスを構築し、サイ バー事件によりよく対応することができるか? |
| 4. What opportunities exist for Australia to elevate its existing international bilateral and multilateral partnerships from a cyber security perspective? | 4. オーストラリアが既存の国際的な二国間および多国間パートナーシップをサイバーセキュリティの観点から向上させる機会はあるか? |
| 5. How should Australia better contribute to international standards-setting processes in relation to cyber security, and shape laws, norms and standards that uphold responsible state behaviour in cyber space? | 5. サイバーセキュリティに関連する国際的な基準設定プロセスにどのように貢献し、サイバー空間 における国家の責任ある行動を支持する法律、規範、基準を形成するか? |
| 6. How can Commonwealth Government departments and agencies better demonstrate and deliver cyber security best practice and serve as a model for other entities? | 6. 連邦政府の省庁は、どのようにしてサイバーセキュリティのベストプラクティスをよりよく示し、提供し、他の団体の模範となることができるのか。 |
| 7. What can government do to improve information sharing with industry on cyber threats? | 7. サイバー脅威に関する産業界との情報共有を改善するために、政府は何をすることができるか? |
| 8. During a cyber incident, would an explicit obligation of confidentiality upon the Australian Signals Directorate (ASD) Australian Cyber Security Centre (ACSC) improve engagement with organisations that experience a cyber incident so as to allow information to be shared between the organisation and ASD/ACSC without the concern that this will be shared with regulators? | 8. サイバーインシデントの際、オーストラリア信号局(ASD)オーストラリアサイバーセキュリティセンター(ACSC)に明確な守秘義務を課すことで、サイバーインシデントを経験した組織との関わりを改善し、組織とASD/ACSC間で規制当局との情報共有を懸念することなく共有することができるか。 |
| 9. Would expanding the existing regime for notification of cyber security incidents (e.g. to require mandatory reporting of ransomware or extortion demands) improve the public understanding of the nature and scale of ransomware and extortion as a cybercrime type? | 9. サイバーセキュリティインシデントの通知に関する既存の制度を拡大すること(例えば、ランサムウェアや恐喝要求の報告を義務付けること)は、サイバー犯罪の一種としてのランサムウェアや恐喝の性質や規模に対する一般の理解を向上させるか? |
| 10. What best practice models are available for automated threat-blocking at scale? | 10. 規模に応じた自動的な脅威ブロックのベストプラクティスモデルにはどのようなものがあるか? |
| 11. Does Australia require a tailored approach to uplifting cyber skills beyond the Government’s broader STEM agenda? | 11. オーストラリアでは、政府の広範なSTEMアジェンダの他に、サイバースキルを向上させるための個別のアプローチが必要か? |
| 12. What more can Government do to support Australia’s cyber security workforce through education, immigration, and accreditation? | 12. 教育、移民、認定を通じてオーストラリアのサイバーセキュリティ人材を支援するために、政府はさらに何をすることができるか? |
| 13. How should the government respond to major cyber incidents (beyond existing law enforcement and operational responses) to protect Australians? | 13. 政府は、オーストラリア国民を保護するために、大規模なサイバーインシデントにどのように対応すべきか(既存の法執行や作戦上の対応を超えて)? |
| a. Should government consider a single reporting portal for all cyber incidents, harmonising existing requirements to | a. 政府は、すべてのサイバーインシデントのための単一の報告ポータルを検討し、既存の要件と調和させるべきであ る。 |
| 14. What would an effective post-incident review and consequence management model with industry involve? | 14. 産業界との効果的なインシデント後のレビューと結果管理モデルには、何が含まれるか? |
| 15. How can government and industry work to improve cyber security best practice knowledge and behaviours, and support victims of cybercrime? | 15. 政府と産業界は、サイバーセキュリティのベストプラクティスの知識と行動を改善し、サイバー犯罪の被害者を支援するために、どのように取り組むことができるのか? |
| a. What assistance do small businesses need from government to manage their cyber security risks to keep their data and their customers’ data safe? | a. 中小企業が自社と顧客のデータの安全を守るためにサイバーセキュリティのリスクを管理するために、政府からどのような支援を必要としているか? |
| 16. What opportunities are available for government to enhance Australia’s cyber security technologies ecosystem and support the uptake of cyber security services and technologies in Australia? | 16. 政府がオーストラリアのサイバーセキュリティ技術のエコシステムを強化し、オーストラリアにおけるサイバーセキュリティサービスや技術の導入を支援するために、どのような機会が利用可能か? |
| 17. How should we approach future proofing for cyber security technologies out to 2030? | 17. 2030年までのサイバーセキュリティ技術のフューチャープルーフィングにどのように取り組むべきか? |
| 18. Are there opportunities for government to better use procurement as a lever to support and encourage the Australian cyber security ecosystem and ensure that there is a viable path to market for Australian cyber security firms? | 18. 政府は、豪州のサイバーセキュリティ・エコシステムを支援・促進し、豪州のサイバーセキュリティ企業の市場参入を確実なものにするための手段として、調達をより良く活用する機会はあるか? |
| 19. How should the Strategy evolve to address the cyber security of emerging technologies and promote security by design in new technologies? | 19. 新技術のサイバーセキュリティに対応し、新技術のデザインによるセキュリティを促進するために、戦略をどのように進化させるべきか? |
| 20. How should government measure its impact in uplifting national cyber resilience? | 20. 政府は、国家のサイバーレジリエンスを向上させるために、どのようにその影響を測定すべきか? |
| 21. What evaluation measures would support ongoing public transparency and input regarding the implementation of the Strategy? | 21. 戦略の実施に関する継続的な国民の透明性と意見を支援する評価手段は何か。 |
[1] www.acma.gov.au/publications/2022-12/report/communications-and-media-australia-how-we-use-internet
[3] AustCyber Sector Competitiveness Plan (2022)
[4] CSIRO Futures, Cyber Security A Roadmap to enable growth opportunities for Australia (2018)
[9] Australian Government, Critical Technologies Policy Coordination Office, https://storage.googleapis.com/converlens-au-industry/industry/p/ prj213f6fb4eef13398228aa/public_assets/Critical-Technology-Profiles.pdf
🔳オーストラリアの場合
● AU - Department of Home Affairs - Cyber security - Strategy
・2021.04 [PDF] AUSTRALIA’S INTERNATIONAL CYBER AND CRITICAL TECH ENGAGEMENT STRATEGY
・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020
2016年の前回のバージョン
・[PDF] Australia's Cyber Security Strategy」
⚫︎ まるちゃんの情報セキュリティ気まぐれ日記
・2020.08.11 オーストラリア政府 内務省がサイバーセキュリティ戦略2020を公表していましたね。。。
Comments