« June 2023 | Main | August 2023 »

July 2023

2023.07.31

世界経済フォーラム (WEF) CROのリスクの展望 2023.07

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、CROのリスクの展望についての文書を公表していますね。。。

この報告書は、経済や社会への複合的なショックに直面する政策立案者やビジネスリーダーが、さらなる行動を起こすための優先事項を特定するために、重大なグローバルリスクに関するリアルタイムの見解を提供するために、世界経済フォーラム(WEF)の新経済社会研究センター内のグローバル・リスク・イニシアティブ(Global Risks Initiative)が、官民両部門の主要なリスク管理責任者(Chief Risk Officer)との協議と調査に基づいて作成したものとのことです。。。調査は2023年6月に実施されたようですね。。。

地政学、低金利政策でいきのこっていたゾンビ企業の動向の影響をうける世界景気、AI・サイバー等の技術的リスク、などが気になるリスクとして上がれていますね。。。

 

World Economic Forum - Report

・2023.07.26 [PDF] Chief Risk Officers Outlook July 2023

20230731-61146

 

目次...

Executive summary 要旨
1. Mid-year outlook 1. 中間期の見通し
Economic headwinds 経済の逆風
Geopolitical fallout 地政学的影響
Politics of risk リスク政治
2. Risk spotlight: AI technologies 2. リスクのスポットライト AI技術
Risky business リスクの高いビジネス
Regulatory shortfalls 規制の不足
Contributors 協力者
Acknowledgements 謝辞

 

 

Executive summary 要旨
This first edition of the Chief Risk Officers Outlook launches against a backdrop of economic instability and political tensions. The aim of the outlook is to provide a midyear pulse check from the perspective of on-the-ground risk practitioners, conducted through a new survey of the World Economic Forum’s community of chief risk officers. チーフ・リスク・オフィサー(最高リスク管理責任者)・アウトルック」第1版は、経済不安と政治的緊張を背景に発行された。本アウトルックの目的は、世界経済フォーラムのチーフ・リスク・オフィサー(最高リスク責任者)コミュニティを対象とした新たな調査を通じて、現場のリスク実務者の視点から年央のパルスチェックを提供することである。
The survey asked chief risk officers to gauge the likely level of global volatility across five broad areas (geopolitical relations, economy, domestic politics, society and technology) and to identify up to five risks that they expect to have a severe impact on their organizations in the remainder of 2023. The results point to a range of global risks with the potential to threaten economic growth, destabilize global markets and disrupt broader business operations over the next six months.  この調査では、チーフ・リスク・オフィサーに対して、5つの幅広い分野(地政学的関係、経済、国内政治、社会、テクノロジー)にわたって、世界的なボラティリティがどの程度になりそうかを評価し、2023年の残り期間に組織に深刻な影響を及ぼすと予想されるリスクを5つまで挙げてもらった。その結果、今後6ヶ月の間に、経済成長を脅かし、世界市場を不安定にし、より広範な事業運営を混乱させる可能性のあるさまざまなグローバルリスクが指摘された。
Chief risk officers are most concerned with continuing volatility in geopolitical and geoeconomic relations between major economies, with the majority anticipating upheavals at a global scale. Over 85% of chief risk officers also expect some level  of continued volatility in economic and financial conditions within and across  major economies. リスク管理責任者が最も懸念しているのは、主要国間の地政学的・地理経済的関係が不安定なまま推移することであり、大多数が世界規模での激変を予想している。また、85%以上のリスク管理責任者が、主要経済圏内および経済圏をまたがる経済・金融情勢についても、ある程度の変動が続くと予想している。
Among the risks that the chief risk officers considered, there are four that predominate, with half or more of respondents stating that the following are highly likely to have a severe impact on their organizations in the next six months.  最高リスク責任者が検討したリスクのうち、半数以上の回答者が、今後6ヵ月間に以下のリスクが組織に深刻な影響を与える可能性が高いと回答している。
–    Macroeconomic indicators: The chief risk officers’ focus on economic risks is in line with gloomy international assessments of the global growth outlook. Headline rates of inflation have begun to fall, but they continue to shape the economic risk landscape, not least through increases in interest rates that have squeezed demand and pushed up borrowing costs. マクロ経済指標: チーフ・リスク・オフィサーが経済リスクに注目しているのは、世界的な成長見通しに対する国際的な暗い評価と一致している。インフレ率は低下し始めたが、需要を圧迫し借入コストを押し上げている金利の上昇などを通じて、引き続き経済リスクの状況を形成している。
–    Pricing and/or supply disruptions of key inputs: Although global supply-chain pressures have eased from the levels recorded over the last two years, many organizations are still grappling with significant uncertainty related to input availability and pricing, particularly for some raw materials. A number of the chief risk officers surveyed believe that further environmental or geopolitical shocks to key inputs – for example, stemming from the return of El Niño conditions or heightened controls on critical industrial inputs – are also a material possibility within the next six months. 主要なインプットの価格設定や供給の混乱: 世界的なサプライチェーンの圧力は、過去2年間に記録された水準から緩和されたとはいえ、多くの企業は、特に一部の原材料について、投入資材の入手可能性と価格に関する重大な不確実性に取り組んでいる。調査対象となった多くのリスク管理責任者は、主要な投入資材に対する更なる環境的・地政学的ショック(例えば、エルニーニョ現象の再来や、重要な産業投入資材に対する規制強化に起因するもの)も、今後6ヵ月以内に重大な可能性があると考えている。
–    Armed conflicts and/or use of weapons: Chief risk officer’s concerns about conflict risks may relate in part to the continuation of the war in Ukraine, as well as indirect disruptions to trade patterns and supply chains. However, numerous organizations worldwide are directly impacted by armed conflicts, with approximately 110 such conflicts currently occurring globally. 武力紛争および/または武器の使用: 紛争リスクに関する最高リスク責任者の懸念は、ウクライナにおける戦争の継続や、貿易パターンやサプライチェーンに対する間接的な混乱に一部関連しているかもしれない。しかし,世界中の数多くの組織が武力紛争の直接的な影響を受けており、そのような紛争は現在世界中で約110件発生している。
–    Regulatory changes, compliance and enforcement: The examples of regulatory risks highlighted by the chief risk officers included trade restrictions and evolving provisions relating to climate change and technology. Respondents also note the growing importance to organizations of ethical and societal risks, which they viewed as more complicated to manage than regulatory compliance.  規制の変更、コンプライアンス、法執行: 最高リスク責任者が強調した規制リスクの例には、貿易制限、気候変動やテクノロジーに関連する規定の進化などが含まれる。回答者は倫理的・社会的リスクの組織にとっての重要性が高まっていることも指摘しており、これらのリスクは規制のコンプライアンスよりも管理が複雑であるとみなしている。
The survey also considered the risks posed by the exponential advances that are being made in AI technologies. Three-quarters of respondents expect volatility in the technology domain over the remainder of 2023, and a similar proportion agrees that AI technologies pose reputational risks to their organization, for example, due to the possibility of sensitive data being breached either inadvertently or due to malicious intent.  調査では、AI技術の飛躍的な進歩がもたらすリスクについても検討した。回答者の4分の3は、2023年の残りの期間にわたってテクノロジー領域が不安定になると予想しており、同様の割合の回答者は、例えば、機密データが不注意または悪意によって侵害される可能性によって、AI技術が組織に風評リスクをもたらすことに同意している。
There was consensus that the development and deployment of AI technologies are outpacing the management of associated risks, and 90% of respondents want to see an acceleration of the introduction of regulations and guardrails. Self-regulation is becoming increasingly important, and more than half of respondents indicate that their organization plans to conduct an AI audit within the next six months. While progress on AI-related regulation has already begun, actions by organizations over the next six months will be critical to help ensure that these rapidly developing technological risks do not cascade into the next global crisis. AI技術の開発と導入が関連リスクのマネジメントを上回っているという点では意見が一致しており、回答者の90%が規制とガードレールの導入加速を望んでいる。自主規制の重要性はますます高まっており、回答者の半数以上が、今後6ヶ月以内にAI監査を実施する予定であると回答している。AI関連規制の進展はすでに始まっているが、急速に発展するこうした技術リスクが次の世界的危機に連鎖しないようにするには、今後6ヶ月間の組織の行動が重要になる。

 

 

 

| | Comments (0)

米国 FBI長官がサイバー脅威サミットで人工知能に対するFBIの姿勢を示す

こんにちは、丸山満彦です。

FBIのレイ長官がサイバー脅威サミットでサイバー犯罪者は人工知能を武器化しつつあり、機械学習モデルの高度化に伴い、その脅威は悪化の一途をたどると警告し、外国情報監視法(FISA)[wikipedia] 第702条によってFBIに付与された権限は、FBIが世界中のサイバー犯罪を取り締まる能力の鍵を握っている。第702条はプライバシー保護等の懸念もあり、2023年末までの時限立法となっていて、継続が審議中ですから、こういう発言もでますね。。。


Federal Breau of Investigation; FBI

・2023.07.26 FBI Director Lays Out Bureau’s Stance on Artificial Intelligence at Cyber Threat Summit - Wray also explained how the FBI’s FISA Section 702 authorities empower cyber efforts

 

FBI Director Lays Out Bureau’s Stance on Artificial Intelligence at Cyber Threat Summit FBI長官、サイバー脅威サミットで人工知能に対するFBIの姿勢を示す
Wray also explained how the FBI’s FISA Section 702 authorities empower cyber efforts レイ長官はまた、FBIのFISA702条権限がサイバー対策にどのような力を与えているかについても説明した。
FBI Director Christopher Wray delivers a keynote address at the 2023 FBI Atlanta Cyber Threat Summit in Atlanta on July 26, 2023. 2023年7月26日、アトランタで開催された2023 FBIアトランタ・サイバー脅威サミットで基調講演を行うクリストファー・レイFBI長官。
Transcript / Visit Video Source 動画ソースを見る
During a July 26 keynote at the FBI Atlanta Cyber Threat Summit, Director Christopher Wray warned that cybercriminals are weaponizing artificial intelligence—and the resulting threat will only worsen as machine-learning models become increasingly sophisticated.  クリストファー・レイFBI長官は7月26日、アトランタで開催された「FBIアトランタ・サイバー脅威サミット」の基調講演で、サイバー犯罪者は人工知能を武器化しつつあり、機械学習モデルの高度化に伴い、その脅威は悪化の一途をたどると警告した。 
Wray also explained that the FBI’s authorities under Section 702 of the Foreign Intelligence Surveillance Act, or FISA, enable our efforts to combat international cybercriminals. He identified 702-powered successes and stressed the urgency of reauthorizing that portion of the federal law.  レイ長官はまた、外国情報監視法(FISA)第702条に基づくFBIの権限が、国際的なサイバー犯罪者との闘いを可能にしていると説明した。同氏は702条を活用した成功例を挙げ、連邦法のこの部分を再承認することの緊急性を強調した。 
Wray also discussed nation-state threats in cyberspace, noting that China, in particular, poses a formidable cyber threat, but Russia is not far behind.  レイ氏はまた、サイバー空間における国家間の脅威についても言及し、特に中国が手ごわいサイバー脅威をもたらしているが、ロシアも引けをとらない指摘した。 
Finally, he underscored the importance of public-private partnerships in securing the American people and economy from cyber threats.  最後に、サイバー脅威から米国民と経済を守るためには、官民パートナーシップが重要であることを強調した。 
“For 115 years (in fact, literally today—today is actually the FBI’s birthday), the Bureau has been charged with protecting the American people and upholding the Constitution," he said. "And the men and women of the FBI work tirelessly every day to fulfill that mission—but we could not do it without partners—without partners like you,” he said.  「今日がFBIの誕生日である)115年間、FBIは米国民を保護し、憲法を守る任務を担ってきた。「FBIの男女は、その使命を果たすために日々たゆまぬ努力を続けていますが、私たちはパートナーなしには、つまり皆さんのようなパートナーなしには、この任務を遂行することはできません」と述べた。 
The Weaponization of Artificial Intelligence   人工知能の兵器化  
Director Wray recently said the FBI is examining ways it can use artificial intelligence to help support its mission, such as by “triaging and prioritizing the mountains of data we collect in our investigations.”  レイ長官は最近、FBIがその任務を支援するために人工知能を利用する方法を検討していると述べた。例えば、「捜査で収集した膨大なデータを選別し、優先順位をつける」などだ。 
But during the summit, he warned that bad actors are exploiting machine-learning models to commit crimes.  しかしサミットでは、悪質な行為者が機械学習モデルを悪用して犯罪を犯していると警告した。 
The same generative AI technologies that can be used to save people time by automating tasks can also be used to “generate deepfakes or malicious code,” he said.  タスクを自動化することで人の時間を節約するために使われる生成的AI技術は、「ディープフェイクや悪意のあるコードを生成する」ためにも使われる可能性があると同氏は述べた。 
As an example, he explained one case in which a darknet user allegedly created malware using a generative AI program. Wray said the user "then instructed other cybercriminals on how to use it to recreate malware strains and techniques based on common variants." 一例として、ダークネットのユーザーが生成的AIプログラムを使ってマルウェアを作成したとされるケースを説明した。レイ氏によると、このユーザーは「その後、一般的な亜種をベースにマルウェアの系統やテクニックを再現するために、その使い方を他のサイバー犯罪者に指示した」という。
"And that’s really just the tip of the iceberg," he continued. "We assess that AI is going to enable threat actors to develop increasingly powerful, sophisticated, customizable, and scalable capabilities—and it's not going to take them long to do it." 「そして、これは本当に氷山の一角に過ぎない」と彼は続けた。「私たちは、AIによって脅威行為者がますます強力で洗練された、カスタマイズ可能で拡張性のある能力を開発できるようになると評価している。」
Wray said that the Chinese government is particularly well-positioned to use the increasing powers of AI and machine learning against the United States, especially in conjunction with data it has stolen from the United States.  レイは、中国政府は特に、米国から盗んだデータと組み合わせて、米国に対してAIと機械学習の増大する力を利用するのに有利な立場にあると述べた。 
FISA Section 702 Reauthorization  FISA702条の再承認 
Director Wray said that the authorities granted to the FBI by Section 702 of the Foreign Intelligence Surveillance Act, or FISA, are key to the Bureau's ability to crack down on cybercrime around the world. レイ長官は、次のように述べた。「外国情報監視法(FISA)第702条によってFBIに付与された権限は、FBIが世界中のサイバー犯罪を取り締まる能力の鍵を握っている。」 
“Section 702 is critical to our ability, in particular, to obtain and action cyber intelligence,” he said. “With 702, we can connect the dots between foreign threats and targets here in the U.S., searching information already lawfully within the government’s holdings so that we can notify victims who may not even know they’ve been compromised, sometimes warning them even before they get hit.”  「702条は、特にサイバー情報を入手し行動する我々の能力にとって極めて重要だ。702条があれば、外国の脅威と米国内の標的との点と点を結ぶことができ、すでに政府が合法的に保有している情報を検索することで、危険にさらされていることすら知らない被害者に通知することができる。」
Wray stressed that the FBI’s Section 702 authorities only let it collect information on foreign targets of intelligence surveillance—and not U.S. citizens.  レイ氏は、FBIの第702条の権限は、情報監視の対象である外国人の情報収集のみを許可するものであり、米国市民の情報収集は許可していないと強調した。 
More than half of the FBI’s data reporting under Section 702 has targeted cybercriminals, Wray said. And the Bureau’s 702 authorities yielded 97% of the Bureau’s "raw technical reporting on cyber actors" in the first half of 2023, he added.  レイ氏によれば、702条に基づいて報告されたFBIのデータの半分以上は、サイバー犯罪者をターゲットにしているという。そして、同局の702条権限により、2023年上半期には、同局の「サイバー犯罪者に関する生の技術報告」の97%が得られた、と彼は付け加えた。 
"That’s all intelligence that we can action through threat alerts and defensive briefings," he said.  「これはすべて、脅威の警告や防御のためのブリーフィングを通じて、私たちが行動できる情報です」と彼は言った。 
Wray said the FBI’s Section 702 authorities also powered cybersecurity wins, including:  レイ氏は、FBIの第702条権限もサイバーセキュリティの勝利に貢献したと述べた: 
・Identifying the perpetuator of the 2021 Colonial Pipeline ransomware attack and recovering most of the $4.4 million ransom the company paid in response.  ・2021年に発生したコロニアル・パイプラインのランサムウェア攻撃の実行者を特定し、同社が支払った身代金440万ドルの大半を回収した。 
・Saving an American nonprofit organization who fell victim to a ransomware attack and recovering their data so they didn’t need to give Iranian cybercriminals a dime.  ・ランサムウェア攻撃の被害に遭ったアメリカの非営利団体を救い、イランのサイバー犯罪者に一銭も渡す必要がないようにデータを復旧させた。 
・Sniffing out attempts by Chinese cybercriminals to hack into an American transportation hub before they could wreak havoc.  ・中国のサイバー犯罪者がアメリカの輸送ハブにハッキングしようとしているのを、大惨事を引き起こす前に察知した。 
"The intelligence we obtain through our 702 authorities is absolutely vital to safeguarding the American public and American businesses," he said. "Now, those of you who know me know that I'm not the kind of guy that is prone to overstatement, so when I say it’s vital—it's not helpful, it's not important, it's vital—you know that I mean it." 「私たちが702権限を通じて入手するインテリジェンスは、アメリカ国民とアメリカ企業の安全を守るために絶対に欠かせないものだ。「さて、私をご存知の方は、私が大げさなことを言うタイプではないことを知っているだろう。だから、私が『極めて重要だ』と言えば、『役に立つ』でも『重要だ』でもなく、『極めて重要だ』なのだ。
“Section 702 is critical to our ability, in particular, to obtain and action cyber intelligence. With 702, we can connect the dots between foreign threats and targets here in the U.S., searching information already lawfully within the government’s holdings so that we can notify victims who may not even know they’ve been compromised, sometimes warning them even before they get hit.”  「702条は、特にサイバーインテリジェンスを入手し行動する我々の能力にとって極めて重要だ。702条があれば、外国の脅威と米国内の標的との点と点を結ぶことができ、すでに合法的に政府が保有している情報を検索することで、危険にさらされていることすら知らない被害者に通知することができ、時には攻撃を受ける前に警告することもできる。 」
Nation-State Threats   国家による脅威  
The FBI is also dealing with cyber threats posed by nation-states, Wray said, though it’s not always obvious when a foreign government is responsible for a cyberattack.  FBIは国家によるサイバー脅威にも対処しているが、外国政府によるサイバー攻撃は必ずしも明らかではないとレイ長官は述べた。 
"It’s becoming increasingly difficult to discern where cybercriminal activity ends and nation-state activity begins, as the line between those two continues to blur," he said. Wray pointed to foreign intelligence agents who moonlight as cybercriminals and hackers who take on state-sponsored assignments on the side as evidence of this trend.  「どこからがサイバー犯罪でどこからが国家によるものなのか、その境界線は曖昧になりつつある。レイ氏は、この傾向の証拠として、サイバー犯罪者として副業する外国情報機関の諜報員や、国家主導の仕事を副業で引き受けるハッカーを挙げた。 
In terms of specific nation-state threats, Wray said China poses the largest-scale threat in cyberspace due to the amount of data it has stolen from the United States and the sheer size of its hacking program.  具体的な国家による脅威という点では、中国は米国から盗んだデータの量とハッキングプログラムの規模から、サイバースペースにおける最大の脅威であるとレイ氏は述べた。 
"If you took every single one of the FBI’s cyber agents and intelligence analysts, and I told them focus only on China—nothing but China—cyber actors from China would still outnumber FBI cyber personnel by at least 50 to 1,” Wray said.  「FBIのサイバー捜査官や情報分析官を一人残らず連れて行き、中国だけに集中するように言ったとしても、中国からのサイバーアクターはFBIのサイバー担当者を少なくとも50対1で上回るだろう」とレイ氏は述べた。 
But, he cautioned, Russia also ranks among our top hostile nation-state threats in cyberspace.  しかし彼は、ロシアもサイバー空間における敵対的国家脅威の上位にランクされていると警告した。 
"Although Russia’s invasion of Ukraine may be taking place on physical battlefields half a world away, we’re seeing the effects of that invasion right here at home," he said. "For instance, we’ve seen Russia conducting reconnaissance on [the] U.S. energy sector. And that’s particularly worrisome because we know that once a cyber actor can establish access, they can switch from using that access to collect information to using it to conduct a destructive attack. And they can do it pretty quickly and without notice." 「ロシアによるウクライナ侵攻は、地球の裏側の物理的な戦場では行われているかもしれないが、我々はその侵攻の影響をこの国内でも目にしている。「例えば、ロシアが米国のエネルギー部門を偵察している。サイバー攻撃者が一旦アクセス権を確立すれば、情報収集のためのアクセスから、破壊的な攻撃を行うためのアクセスに切り替えることができる。そして、彼らはそれをかなり素早く、予告なしに行うことができる。
Importance of Partnerships   パートナーシップの重要性  
Wray said the threat posed by today’s cyber threats is too immense for any single organization to tackle alone—including the FBI.  レイ氏は、今日のサイバー脅威がもたらす脅威は、FBIを含め、いかなる組織も単独で取り組むにはあまりにも巨大であると述べた。 
This is why our cyber partnerships with both public and private sectors are paramount.  そのため、官民両セクターとのサイバーパートナーシップが最も重要である。 
Our public sector partnerships with intelligence, law enforcement, and international agencies give us the power to carry out "joint, sequenced operations," he explained.  情報機関、法執行機関、国際機関などとの公共部門とのパートナーシップは、「合同で順序立てた作戦」を遂行する力を与えてくれる、と同氏は説明する。 
But private sector partnerships with businesses help us preempt cyberattacks with preparedness.  しかし、民間部門と企業とのパートナーシップは、サイバー攻撃を未然に防ぐのに役立つ。 
"We’re doing things like pushing out more and more threat alerts and developing more and more relationships—both on a one-on-one basis and through organizations like InfraGard, like DSAC—the Domestic Security Alliance Council—to expand our engagement with U.S. businesses," Wray said. "We’re providing defensive briefings more often to help you keep your data and networks safe from cyberattacks. And we’re trying wherever we can to declassify and share as much information as possible to keep potential victims informed as the threats continue to evolve." 「我々は、より多くの脅威アラートを発信し、より多くの関係を構築している。1対1の関係でも、InfraGardのような組織、DSAC(Domestic Security Alliance Council)のような組織を通じても、米国企業との関わりを広げている。「サイバー攻撃からデータやネットワークの安全を守るため、防御に関する説明会を頻繁に開催している。そして、脅威が進化し続ける中、潜在的な被害者に情報を提供し続けるために、可能な限り多くの情報を機密解除し、共有しようとしている。
Our partnerships with the business sector also help us better understand what we’re actually up against in cyberspace.  ビジネス・セクターとのパートナーシップは、サイバー空間において我々が実際に直面していることをよりよく理解するのにも役立っている。 
"The reality is, at the FBI, we can’t build a comprehensive picture of the cyber threat landscape alone," he said. "We know that an enormous amount of information about the cyber threat landscape exists on the systems and servers of U.S. businesses. So we're working hard to use the information one company gives us to develop an analysis about who an adversary is, what they're doing, where, why, and how they’re doing it, taking pains in the process to protect that company’s identity, not unlike we do with our confidential human sources." 「FBIでは、サイバー脅威の状況を包括的に把握することはできない。「我々は、サイバー脅威の状況に関する膨大な情報が、米国企業のシステムやサーバー上に存在することを知っている。そこで我々は、敵対者が誰なのか、何をやっているのか、どこで、なぜ、どのようにやっているのかについての分析を展開するために、ある企業から提供された情報を利用するよう努力している。
The FBI then shares that analysis with our domestic and international public-sector partners, sector risk management agencies, and service providers, he said.  FBIはその分析を、国内外の公共セクターのパートナー、セクター・リスクマネジメント機関、プロバイダと共有する。 
"And they use it to provide us with even more information, enhancing our global investigations," Wray said. "And ultimately, that helps us discover malicious infrastructure that we might not have known about before that we can then target, and that means that we can then alert you to new threats so you can better remediate and protect yourselves." 「そして、彼らはさらに多くの情報を我々に提供し、我々のグローバルな捜査を強化してくれる。「そして最終的には、これまで我々が知らなかったような悪意のあるインフラを発見し、それをターゲットにすることができる。
Dismantling the Hive  Hiveを解体する 
Wray also emphasized that the FBI acts on the cyber threat data it receives. He touted the Bureau’s successful effort to disrupt the Hive ransomware group—which he said extorted businesses around the world out of ransom payments totaling over $110 million—as proof レイ氏はまた、FBIが受け取ったサイバー脅威のデータに基づいて行動することも強調した。レイ氏は、世界中の企業から総額1億1,000万ドル以上の身代金を脅し取ったというランサムウェア集団「Hive」の破壊にFBIが成功したことをその証拠として挙げた。 
In July 2022, he recalled, the FBI Tampa Field Office got access to the group’s control panel and used it to help victims—all without tipping off the cybercriminals.  2022年7月、FBIタンパ支局はこのグループのコントロールパネルにアクセスし、被害者救済に利用した。 
"We used our access to identify Hive’s targets and offered more than 1,300 of those victim businesses keys to decrypt their infected networks, saving victims an estimated $130 million in ransom payments," Wray said. "And then, working hand-in-hand with our European partners, we seized control of the servers and websites that Hive had been using to communicate with their members, in effect shutting down Hive’s operation and their ability to attack and extort more victims." 私たちはHiveの標的を特定するために私たちのアクセス権を使用し、それらの被害企業のうち1,300社以上に感染したネットワークを解読するための鍵を提供し、被害者の身代金の支払いを推定1億3,000万ドル節約した」とレイは述べた。「そして、欧州のパートナーと手を携えて、Hiveがメンバーとのコミュニケーションに使用していたサーバーとウェブサイトを掌握し、事実上、Hiveの活動を停止させ、さらに多くの被害者を攻撃し、恐喝する能力を停止させた。
But, he noted, the Bureau’s fight against the ransomware threat is far from over.  しかし、同局のランサムウェアの脅威との戦いはまだ終わっていない。 
"Even as I'm standing here speaking to you, the Bureau is investigating more than 100 different ransomware variants—and that's just ransomware—each one of those variants, with scores of victims, wreaking havoc on business operations, causing devastating financial losses, and targeting everything from hospitals and emergency services to the energy sector to state and local government," he said.  「私がここに立って話している間にも、FBIは100種類以上のランサムウェアの亜種を調査しており、これはランサムウェアに限ったことではないが、これらの亜種はそれぞれ数多くの被害者を出し、企業運営に大混乱をもたらし、壊滅的な金銭的損失をもたらし、病院や救急サービスからエネルギー部門、州や地方政府まで、あらゆるものを標的にしている」と述べた。 

 

Resources

外国情報監視法 第702条について

 

ここでもAIについて触れいています。。。

 

1_20230731053901

 

 

| | Comments (0)

名古屋港運協会 NUTS システム障害の経緯報告 (2023.07.26)

こんにちは、丸山満彦です。

名古屋港運協会が、名古屋港統一ターミナルシステム(NUTS システム)障害の経緯報告を公表していますね。。。

 

ランサムウェアへの感染で、2日ほど港湾システムが停止しましたよね。。。港湾のクレーンが動かないと荷物の出し入れできないので、物流がとまりますよね。。。カーギルなんかはこういう仕組みは昔からよく理解しているように思います。。。最近は中国もそういうことを理解して、一帯一路の関係で、港湾整備の支援にも力をいれているかもですね。。。

今回は、バックアップファイルもウイルス感染したていたようで、その影響もあって、回復に少し時間がかかったようですね。。。

 

名古屋港運協会 

概要

目的 本会は、港湾運送事業の適正な運営と港湾運送に関する秩序を確立し、併せて、会員相互の連絡、親睦を図り、もって事業の健全な発展に寄与することを目的とする。
事業 1.港湾運送事業に関する調査、研究、啓発及び宣伝
2.港湾運送事業に関する情報及び資料の収集、整備並びに頒布
3.官公庁、その他諸機関、港湾運送利用者との連絡及び交渉
4.その他、本会の目的達成に必要な事業

港湾運送に関係する企業等98社からなるようですね。。。(2023.07.31現在)

 ・[PDF] 2022年12月現在のリスト (downloaded) 

さて、経緯等...

・2023.07.05 NUTSシステム障害のお知らせ [PDF] (downloaded)

・2023.07.05 NUTSシステム障害のお知らせ(2) [PDF] (downloaded)

・2023.07.06 NUTSシステム障害のお知らせ(3) [PDF] (downloaded)

・2023.07.06 NUTSシステム障害のお知らせ(4) [PDF] (downloaded)

・2023.07.07 お知らせ)名古屋港統一ターミナルシステムのシステム障害について [PDF] (downloaded)

・2023.07.26 NUTSシステム障害の経緯報告 [PDF] (downloaded)

20230814-162252

 

 


 

参考

 piyolog

ランサムウエアによる名古屋港のシステム障害についてまとめてみた

 

 

| | Comments (0)

2023.07.30

日本公認会計士協会 経営研究調査会研究資料第10号「上場会社等における会計不正の動向(2023年版)」を公表

こんにちは、丸山満彦です。

日本公認会計士協会が、経営研究調査会研究資料第10号「上場会社等における会計不正の動向(2023年版)」を公表していますね。。。

興味深いです!!!

なんか、すごく特徴的な傾向があるかというとそうでもないかもですね。。。

ただ発覚経路は、取引先からの照会や当局の調査が増えている(けど、公認会計士監査は減っているが)ので、内部統制の発見統制が十分ではない可能性はありますね。。。

 

1_20230730052701 2_20230730052701 3_20230730052701 4_20230730052701 5_20230730052701

 

6_20230730061001  7

 

日本公認会計士協会 (JICPA)

・2023.07.28 経営研究調査会研究資料第10号「上場会社等における会計不正の動向(2023年版)」の公表について

・[PDF] 本文

20230730-60237

 

 


今年+過去分

2023.07.28 経営研究調査会研究資料第10号「上場会社等における会計不正の動向(2023年版)」 PDF
2022.06.27  経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」 PDF
2021.07.29  経営研究調査会研究資料第8号「上場会社等における会計不正の動向(2021年版)」 PDF
2020.07.17 経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」 PDF
2019.06.19  経営研究調査会研究資料第6号「上場会社等における会計不正の動向(2019年版)」 PDF
2018.05.16  経営研究調査会研究資料第5号「上場会社等における会計不正の動向」 PDF

 


 

まるちゃんの情報セキュリティティ日記

・2022.06.27 日本公認会計士協会 経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」を公表

・2021.07.31 日本公認会計士協会 経営研究調査会研究資料第8号「上場会社等における会計不正の動向(2021年版)」を公表

・2020.07.20 日本公認会計士協会 経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」を公表

 

 

| | Comments (0)

2023.07.29

防衛省 防衛研究所 米軍における情報戦概念の展開

こんにちは、丸山満彦です。

私は民間人で経験もなので、軍、自衛隊の活動について本質的な理解はできないのですが、考え方を理解しようとすることは重要だと思っております。

どこまで正確かはわかりませんが、防衛研究所から「米軍における情報戦概念の展開」という文書が(上)(下)で公表されていますので、備忘録的にこのブログにも載せておきます...

過去の経緯を踏まえて理解しようとすることは重要ですよね。。。

 

 

防衛省 防衛研究所

・2023.07.20 [PDF] 米軍における情報戦概念の展開(上)——ソ連軍「無線電子戦闘」(REC)から「情報環境における作戦」(OIE)へ

20230729-183427

 

 

・2023.07.27 [PDF] 米軍における情報戦概念の展開(下)——米海兵隊「情報」戦闘機能と「21 世紀型の諸兵科連合」

20230729-183436

 

 


 

(参考)

 

Joint Chiefs of Staff

・2022.09.14 Joint Publication 3-04 Information in Joint Operations

20230729-184244

 

空軍のCyber Operation

・2023.02.01 AIR FORCE DOCTRINE PUBLICATION 3-12 CYBERSPACE OPERATIONS

20230729-184403

 

過去の文書

・2018.03.16 Joint Concept for Integrated Campaigning

20230729-184812

 

・2016.10.19 Joint Concept for Human Aspects of Military Operations (JC-HAMO)

20230729-184955

 

・2013.03 Strategic Landpower: Winning the Clash of Wills Strategic Landpower and the Inherently Human Nature of Conflict

20230729-185416

 

 

| | Comments (0)

米国 GAO 暗号資産の包括的な監視を確保するために立法と規制措置が必要である (2023.07.23)

こんにちは、丸山満彦です。

GAOが、「暗号資産の包括的な監視を確保するために立法と規制措置が必要である」として、消費者金融保護局、連邦預金保険公社、全国信用組合管理局、通貨監督庁、米国証券取引委員会に勧告をだしていますね。。。

そして、議会には、ちゃんと利用者保護のための立法をしろと、勧告しています。。。

分散台帳で、中央管理機構が不要で民主的な運営ができるということで、一時は大きく取り上げらていたようにも思いますが、どのようなシステムも現実につかわれているシステムと新しいシステムを繋ぐための関係は必要であり、その関係を有効かつ効率的に行おうとすると、M✖️Nでは効率が悪く、少数の窓口に絞る必要があり、そうするとその窓口がどうしても中央管理的な機能となりますよね。。。ということで、個人的には、分散管理というのは、大規模になればなる(MやNが大きくなる)ほど難しいと思います。。。社会実装しようとするとMやNを大きくするということなので、どうしても中央管理的な機能が必要となっていきますよね。。。技術的には分散できても、社会実装的には集中管理が必要な部分ができる、、、そんな感じなのでしょう。。。

 

U.S. GAO

・2023.07.24 Blockchain in Finance:Legislative and Regulatory Actions Are Needed to Ensure Comprehensive Oversight of Crypto Assets

 

Blockchain in Finance:Legislative and Regulatory Actions Are Needed to Ensure Comprehensive Oversight of Crypto Assets 金融におけるブロックチェーン:暗号資産の包括的な監視を確保するために立法と規制措置が必要である
Fast Facts 速報
Blockchain technology records data and transactions in a shared, tamper-resistant, decentralized digital ledger—offering the promise of faster and cheaper financial transactions with no middlemen. ブロックチェーン技術は、データと取引を、共有され、改ざんされにくく、分散化されたデジタル台帳に記録する。
Recent price crashes, bankruptcies, and fraud involving blockchain-related products and services, such as crypto assets, raised concerns about how much regulation exists now and the risks consumers face. For example, there are gaps in federal regulation of stablecoins—a kind of crypto asset—and trading platforms for crypto assets, leaving consumers and investors subject to harm. 最近の価格暴落、倒産、暗号資産などのブロックチェーン関連商品やサービスに絡む詐欺事件は、現在の規制の存在と消費者が直面するリスクについて懸念を抱かせた。例えば、暗号資産の一種であるステーブルコインや暗号資産の取引プラットフォームに対する連邦政府の規制には隔たりがあり、消費者や投資家が被害に遭う可能性がある。
We recommended that Congress consider legislation to address these risks. 我々は議会に対し、こうしたリスクに対処するための法整備を検討するよう勧告した。
Highlights ハイライト
What GAO Found GAOが発見したこと
Blockchain allows users to conduct and record tamper-resistant transactions that multiple parties make without a central authority, such as a bank, when used for financial transactions. Because of these characteristics, blockchain-related products and services have the potential to produce cost savings, faster transactions, and other benefits over their traditional counterparts. However, these benefits have not been fully realized. Furthermore, the significant risks these products pose have been realized and negatively affected consumers and investors. For example, crypto assets have experienced price volatility. Also, the bankruptcy of FTX Trading Ltd., a prominent crypto asset trading platform, led to the discovery that a substantial portion of the platform's assets might be missing or stolen, according to bankruptcy-related documents. ブロックチェーンは、金融取引に利用される場合、銀行などの中央当局を介さずに、複数の当事者が行う改ざん耐性のある取引を行い、記録することを可能にする。このような特性から、ブロックチェーン関連の製品やサービスは、コスト削減や取引の迅速化など、従来のものと比べてメリットを生み出す可能性がある。しかし、こうしたメリットはまだ十分に実現されていない。さらに、これらの製品がもたらす重大なリスクが顕在化し、消費者や投資家に悪影響を及ぼしている。例えば、暗号資産は価格変動に見舞われている。また、著名な暗号資産取引プラットフォームであるFTX Trading Ltd.の破産により、同プラットフォームの資産の相当部分が行方不明か盗まれている可能性があることが、破産関連文書から判明した。
GAO found gaps in regulatory authority over two blockchain-related products that raise consumer and investor protection and financial stability concerns. GAOは、消費者・投資家保護と金融安定性に懸念を抱かせる2つのブロックチェーン関連商品に対する規制権限にギャップがあることを発見した。
No federal financial regulator has comprehensive authority to regulate the spot market for crypto assets that are not securities. In contrast, platforms that trade crypto asset securities and operate as exchanges as defined by federal securities laws are subject to registration and regulation as national securities exchanges, unless an exemption applies. Several platforms without federal oversight have experienced fraud and trading manipulation. By providing for more comprehensive oversight of these platforms, Congress could better ensure users' protection from unfair and manipulative trading practices. どの連邦金融規制当局も、証券ではない暗号資産のスポット市場を規制する包括的な権限を持っていない。一方、暗号資産証券を取引し、連邦証券法で定義される取引所として運営されるプラットフォームは、免除が適用されない限り、全国証券取引所として登録と規制の対象となる。連邦政府の監視がないいくつかのプラットフォームでは、詐欺や取引操作が発生している。これらのプラットフォームに対するより包括的な監視をプロバイダが提供することで、議会は不公正で操作的な取引慣行からの利用者の保護をより確実にすることができる。
Gaps in regulatory authority exist in the oversight of stablecoins (a crypto asset purported to hold a stable value relative to a fiat currency, such as the U.S. dollar). To keep their value, issuers often state their stablecoins are backed by reserve assets. But no uniform standards exist for reserve levels and risks or for public disclosure of reserves. This increases the risk that a stablecoin may not be able to hold its value and honor user redemption requests. To the extent these stablecoins become more integrated into the financial system, their failures could pose risks to financial stability. By providing for consistent and comprehensive oversight of stablecoins, Congress could better ensure protections for consumers, investors, and the financial system. ステーブルコイン(米ドルなどの不換紙幣と比較して安定した価値を保持するとされる暗号資産)の監視には、規制権限のギャップが存在する。その価値を維持するため、発行者はステーブルコインが準備資産によって裏付けられていると表明することが多い。しかし、準備のレベルやリスク、準備の公開に関する統一基準は存在しない。このため、ステーブルコインがその価値を維持できず、ユーザーの償還要求に応じられないリスクが高まる。このようなステーブルコインが金融システムに統合されればされるほど、その失敗は金融の安定性にリスクをもたらす可能性がある。ステーブルコインに対する一貫した包括的な監視をプロバイダが提供することで、議会は消費者、投資家、金融システムの防御をより確実にすることができる。
Regulators lack an ongoing coordination mechanism for addressing blockchain risks in a timely manner. For example, regulators identified financial stability risks posed by stablecoins in 2019, but they did not identify the need for Congressional action to address the risks until November 2021 (in a report issued through the President's Working Group on Financial Markets). A formal coordination mechanism for addressing blockchain-related risks, which could establish processes or time frames for responding to risks, could help federal financial regulators collectively identify risks and develop timely and appropriate responses. In turn, this could improve protections for consumers and investors, mitigate illicit finance and threats to financial stability, and promote responsible innovation and U.S. competitiveness. 規制当局には、ブロックチェーンのリスクにタイムリーに対処するための継続的な調整メカニズムが欠けている。例えば、規制当局は2019年にステーブルコインがもたらす金融安定リスクを特定したが、2021年11月まで(金融市場に関する大統領作業部会を通じて発表された報告書において)、リスクに対処するための議会措置の必要性を指摘しなかった。ブロックチェーン関連のリスクに対応するための正式な調整メカニズムを設け、リスクへの対応プロセスや時間枠を定めることで、連邦金融規制当局がリスクを集団的に特定し、タイムリーで適切な対応を策定するのに役立つ可能性がある。ひいては、消費者や投資家の防御を改善し、不正金融や金融安定性への脅威を緩和し、責任あるイノベーションと米国の競争力を促進することができる。
Why GAO Did This Study GAOが本調査を実施した理由
Blockchain-related financial products and services have grown substantially in recent years. For example, crypto assets reached a peak market capitalization of nearly $3 trillion in November 2021. However, recent volatility, bankruptcies, and instances of fraud in these markets illustrate the harm consumers and investors may face without adequate protections. Regulators and industry stakeholders are concerned regulatory gaps may limit regulators' ability to address risks these products and services pose. Modernizing the financial regulatory system is on GAO's high-risk list, partly because some entities are not subject to comprehensive regulation. ブロックチェーン関連の金融商品やサービスは近年大きく成長している。例えば、暗号資産の時価総額は2021年11月に約3兆ドルのピークに達した。しかし、こうした市場における最近の変動、倒産、詐欺の事例は、十分な保護がなければ消費者や投資家が直面しかねない危害を物語っている。規制当局や業界関係者は、規制格差がこうした商品やサービスがもたらすリスクに対処する規制当局の能力を制限しかねないと懸念している。金融規制システムの近代化はGAOのハイリスク・リストに入っているが、その理由のひとつは、一部の事業体が包括的な規制の対象になっていないことにある。
GAO was asked to study the regulation of blockchain-related financial products and services. Among other objectives, this report examines regulatory gaps and coordination in regulating these applications. GAO reviewed and analyzed government and industry reports, government guidance and speeches, and laws and regulations. GAO interviewed agency officials and market participants and observers. GAOは、ブロックチェーン関連の金融商品・サービスの規制に関する調査を依頼された。本報告書は、他の目的の中でも、これらのアプリケーションを規制する際の規制のギャップと協調について検証している。GAOは、政府や業界の報告書、政府のガイダンスやスピーチ、法規制を検討・分析した。GAOは政府当局者、市場参加者、オブザーバーにインタビューした。
Recommendations 勧告

GAO recommends Congress consider legislation for federal oversight of nonsecurity crypto asset spot markets and stablecoins. GAO is also making seven recommendations (one to each of seven financial regulators) to establish a (or adapt an existing) coordination mechanism to identify and address blockchain-related risks. One regulator agreed with the recommendation and the others neither agreed nor disagreed.

GAOは議会に対し、非セキュリティ暗号資産スポット市場およびステーブルコインの連邦監督法制化を検討するよう勧告する。GAOはまた、ブロックチェーン関連のリスクを特定し対処するための調整メカニズムを確立(または既存のものを適応)するよう、7つの勧告(7つの金融規制当局にそれぞれ1つずつ)を行っている。1つの規制当局は勧告に同意し、他の規制当局は同意も反対もしていない。
Consumer Financial Protection Bureau 消費者金融保護局
The Director of the Consumer Financial Protection Bureau should jointly establish or adapt an existing formal coordination mechanism with CFTC, FDIC, the Federal Reserve, NCUA, OCC, and SEC for collectively identifying risks posed by blockchain-related products and services and formulating a timely regulatory response. To facilitate these objectives, this mechanism could include formal planning documents that establish the frequency of meetings and processes for identifying risks and responding to them within agreed-upon time frames. (Recommendation 1) 消費者金融保護局の局長は、ブロックチェーン関連商品・サービスがもたらすリスクを集団的に特定し、タイムリーな規制対応を策定するために、CFTC、FDIC、連邦準備制度理事会(FRB)、NCUA、OCC、SECと共同で正式な調整メカニズムを設立するか、既存の調整メカニズムを適応させるべきである。これらの目的を促進するため、このメカニズムには、合意された時間枠内でリスクを特定し対応するための会議の頻度やプロセスを定めた正式な計画文書を含めることができる。(勧告1)
The Chairman of the Commodity Futures Trading Commission should jointly establish or adapt an existing formal coordination mechanism with CFPB, FDIC, the Federal Reserve, NCUA, OCC, and SEC for collectively identifying risks posed by blockchain-related products and services and formulating a timely regulatory response. To facilitate these objectives, this mechanism could include formal planning documents that establish the frequency of meetings and processes for identifying risks and responding to them within agreed-upon time frames. (Recommendation 2) 商品先物取引委員会委員長は、CFPB、FDIC、連邦準備制度理事会(FRB)、NCUA、OCC、SECと共同で、ブロックチェーン関連商品・サービスがもたらすリスクを集団的に特定し、タイムリーな規制対応を策定するための正式な調整メカニズムを構築するか、既存のメカニズムを適応させるべきである。これらの目的を促進するため、このメカニズムには、合意された時間枠内でリスクを特定し対応するための会議の頻度やプロセスを定めた正式な計画文書が含まれる可能性がある。(勧告2)
Federal Deposit Insurance Corporation 連邦預金保険公社
The Chairman of the Federal Deposit Insurance Corporation should jointly establish or adapt an existing formal coordination mechanism with CFPB, CFTC, the Federal Reserve, NCUA, OCC, and SEC for collectively identifying risks posed by blockchain-related products and services and formulating a timely regulatory response. To facilitate these objectives, this mechanism could include formal planning documents that establish the frequency of meetings and processes for identifying risks and responding to them within agreed-upon time frames. (Recommendation 3) 連邦預金保険公社(Federal Deposit Insurance Corporation)の議長は、ブロックチェーン関連の商品・サービスがもたらすリスクを集団的に特定し、タイムリーな規制対応を策定するための正式な調整メカニズムを、CFPB、CFTC、連邦準備制度理事会(Federal Reserve)、NCUA、OCC、SECと共同で構築するか、既存のメカニズムを適応させるべきである。これらの目的を促進するため、このメカニズムには、合意された時間枠内でリスクを特定し対応するための会議の頻度やプロセスを定めた正式な計画文書が含まれる可能性がある。(勧告3)
The Chair of the Board of Governors of the Federal Reserve System should jointly establish or adapt an existing formal coordination mechanism with CFPB, CFTC, FDIC, NCUA, OCC, and SEC for collectively identifying risks posed by blockchain-related products and services and formulating a timely regulatory response. To facilitate these objectives, this mechanism could include formal planning documents that establish the frequency of meetings and processes for identifying risks and responding to them within agreed-upon time frames. (Recommendation 4) 連邦準備制度理事会議長は、ブロックチェーン関連商品・サービスがもたらすリスクを集合的に特定し、タイムリーな規制対応を策定するための正式な調整メカニズムを、CFPB、CFTC、FDIC、NCUA、OCC、SECと共同で構築するか、既存のものを適応させるべきである。これらの目的を促進するため、このメカニズムには、会議の頻度やリスクを特定し、合意された時間枠内で対応するためのプロセスを定めた正式な計画文書を含めることができる。(勧告 4)
National Credit Union Administration 全国信用組合管理局
The Chairman of the National Credit Union Administration should jointly establish or adapt an existing formal coordination mechanism with CFPB, CFTC, FDIC, the Federal Reserve, OCC, and SEC for collectively identifying risks posed by blockchain-related products and services and formulating a timely regulatory response. To facilitate these objectives, this mechanism could include formal planning documents that establish the frequency of meetings and processes for identifying risks and responding to them within agreed-upon time frames. (Recommendation 5) 全国信用組合管理局の局長は、ブロックチェーン関連の商品やサービスがもたらすリスクを集合的に特定し、タイムリーな規制対応を策定するために、CFPB、CFTC、FDIC、連邦準備制度理事会(FRB)、OCC、SECと共同で、または既存の正式な調整メカニズムを構築すべきである。これらの目的を促進するため、このメカニズムには、合意された時間枠内でリスクを特定し対応するための会議の頻度やプロセスを定めた正式な計画文書が含まれる可能性がある。(勧告5)
Office of the Comptroller of the Currency 通貨監督庁
The Comptroller of the Currency should jointly establish or adapt an existing formal coordination mechanism with CFPB, CFTC, FDIC, the Federal Reserve, NCUA, and SEC for collectively identifying risks posed by blockchain-related products and services and formulating a timely regulatory response. To facilitate these objectives, this mechanism could include formal planning documents that establish the frequency of meetings and processes for identifying risks and responding to them within agreed-upon time frames. (Recommendation 6) 通貨監督庁は、ブロックチェーン関連商品・サービスがもたらすリスクを集団的に特定し、タイムリーな規制対応を策定するため、CFPB、CFTC、FDIC、連邦準備制度理事会(FRB)、NCUA、SECと共同で、または既存の正式な調整メカニズムを構築すべきである。これらの目的を促進するため、このメカニズムには、合意された時間枠内でリスクを特定し対応するための会議の頻度やプロセスを定めた正式な計画文書が含まれる可能性がある。(勧告6)
United States Securities and Exchange Commission 米国証券取引委員会
The Chairman of the Securities and Exchange Commission should jointly establish or adapt an existing formal coordination mechanism with CFPB, CFTC, FDIC, the Federal Reserve, NCUA, and OCC for collectively identifying risks posed by blockchain-related products and services and formulating a timely regulatory response. To facilitate these objectives, this mechanism could include formal planning documents that establish the frequency of meetings and processes for identifying risks and responding to them within agreed-upon time frames. (Recommendation 7) 証券取引委員会委員長は、ブロックチェーン関連商品・サービスがもたらすリスクを集合的に特定し、タイムリーな規制対応を策定するための正式な調整メカニズムを、CFPB、CFTC、FDIC、連邦準備制度理事会(FRB)、NCUA、OCCと共同で構築するか、既存のメカニズムを適応させるべきである。これらの目的を促進するため、このメカニズムには、会議の頻度やリスクを特定し、合意された時間枠内で対応するためのプロセスを定めた正式な計画文書が含まれる可能性がある。(勧告7)

 

 

・[PDF]  Full Report

20230729-95515

 

目次...

Letter  手紙 
Background  背景 
Crypto Assets and Related Products Present Significant Risks and Challenges That Limit Potential Benefits  暗号資産と関連商品には、潜在的利益を制限する重大なリスクと課題が存在する。
Regulatory Jurisdiction for Crypto Assets Varies Based on the Intermediary and Activity  暗号資産に対する規制管轄は仲介業者と活動によって異なる 
Regulatory Gaps for Blockchain Products Increase Risks to Investors, Consumers, and Financial Stability  ブロックチェーン商品に対する規制のギャップは、投資家、消費者、金融安定性に対するリスクを増大させる 
Regulators Lack an Ongoing Coordination Mechanism for Addressing Blockchain Risks in a Timely Manner  規制当局は、ブロックチェーンのリスクに適時に対処するための継続的な調整メカニズムを欠いている。
Conclusions  結論 
Matters for Congressional Consideration  議会の検討事項 
Recommendations for Executive Action  行政措置に関する勧告
Agency Comments and Our Evaluation  政府機関のコメントと我々の評価 
Appendix I  Objectives, Scope, and Methodology  附属書 I 目的、範囲、方法論 
Appendix II  Comments from Consumer Financial Protection Bureau  附属書 II 消費者金融保護局からのコメント 
Appendix III  Comments from the Board of Governors of the Federal Reserve  System  附属書 III 連邦準備制度理事会からのコメント 
Appendix IV  Comments from Federal Deposit Insurance Corporation  附属書 IV 連邦預金保険公社からのコメント 
Appendix V  Comments from National Credit Union Administration  附属書 V 全国信用組合管理局からのコメント 
Appendix VI  Comments from the Office of the Comptroller of the Currency  附属書 VI 通貨監督庁からのコメント 
Appendix VII  Comments from Securities and Exchange Commission  附属書 VII 証券取引委員会からのコメント 
Appendix VIII GAO Contact and Staff Acknowledgments 附属書 VIII GAOの連絡先とスタッフの謝辞

 

・[PDF] Highlights Page 


20230729-95555

 

 

 

| | Comments (0)

経済産業省 令和4年度委託調査報告書(サイバーセキュリティ関係) 2023.07.29現在

こんにちは、丸山満彦です。

経済産業省が、令和4年度に委託調査をしたものの報告書一覧がありますが、それが2023.07.27に更新されて、サイバーセキュリティ関連の報告書が公開されていましたので、紹介です。。。

どの課が、どの事業予算で委託し、どの事業者が受託したかがわかります。金額も合わせて一表でわかると良いのにね。。。

そしてなにより、CSVでもよいので、データで提供してくれたらよいのに...

 

経済産業省1_20220705055701

・[PDF] 令和4年度 委託調査報告書 HP掲載一覧

20230729-61240

 

これまでのことろ、サイバーセキュリティに関連しそうな調査報告書は2点です。多分...

 

2023.06.16公表分

システム監査基準、管理基準の改定についての委員会の報告書ですかね。。。

・2023.06.16 [PDF] 令和4年度我が国におけるデータ駆動型社会に係る基盤整備(システム監査制度に関する調査研究)報告書


20230729-61904

目次...

1. 背景と目的 
2. 監査基準及び管理基準の改訂に向けた検討会の開催と改訂案の作成 
(1) システム監査に関する検討会及びワーキンググループの開催
(2)検討チームが作成した資料の確認等
(3)改訂案の作成、編集作業 
3. システム監査制度の中長期的課題に関する関係団体、企業等に対するヒアリング調査 

 

(参考)

経済産業省

システム監査制度について

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.01 経済産業省 「システム監査基準」及び「システム管理基準」の改訂 (2023.04.26)

 


 

2023.05.26公表分

私も委員になっている、サイバーセキュリティ経営ガイドラインの改定のものですね。。。

・2023.05.26 令和4年度サプライチェーン・サイバーセキュリティ対策促進事業(サイバーセキュリティ経営に関する調査)調査報告書

 

20230729-63235

 

目次...

1.調査実施の目的、事業内容等
2.サイバーセキュリティ経営ガイドラインの改訂に向けた調査と改訂案の作成
3.情報セキュリティサービス活用・普及に関する調査
4.まとめ

 

(参考)

● 経済産業省

サイバーセキュリティ経営ガイドラインと支援ツール

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.26 経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.30 経済産業省 「サイバーセキュリティ経営に関する調査 調査報告書」「地域SECUNITY形成促進事業 調査報告書」

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

 

 

| | Comments (0)

2023.07.28

防衛白書(2023年) (+ 能動的サイバー防衛...)

こんにちは、丸山満彦です。

防衛省が令和5年、2023年の防衛白書を公表しましたね。。。

戦略三文書の策定後、初めて刊行される白書なので、三文書策定の経緯や概要も記述していますね。。。

 

表紙がいいですね。。。

一昨年は騎馬姿の墨絵で話題になりましたが、今年のもすごくいい。。。まさに白書ですよね。。。

20230728-153942_20230728161601

 

 

防衛省

・2023.07.28 令和5年度版防衛白書を掲載

目次は概要資料の詳細版がわかりやすいですかね。。。

20230728-161223

 

ちなみに...サイバーという用語は本編で492箇所に出てきておりますが、

章でいうと、、、

第I部 わが国を取り巻く安全保障環境
4章 宇宙・サイバー・電磁波の領域や情報戦などをめぐる動向・国際社会の課題など
第3節 サイバー領域をめぐる動向
1 サイバー空間と安全保障
2 サイバー空間における脅威の動向
3 サイバー空間における脅威に対する動向
第4節 電磁波領域をめぐる動向
1 電磁波領域と安全保障
2 電子戦に関する各国の取組

...
第Ⅲ部 防衛目標を実現するための3つのアプローチ
1章 わが国自身の防衛体制
4節 ミサイル攻撃を含むわが国に対する侵攻への対応
5
サイバー領域での対応
6 電磁波領域での対応

...
2章 日米同盟
2節 日米共同の抑止力・対処力の強化
1
宇宙領域やサイバー領域などにおける協力
...
4節 共同対処基盤の強化
1
情報保全及びサイバーセキュリティ
...

のあたりですかね。。。

 

 

 


防衛白書


・[HTML](準備中)

・[PDF] 本編

20230728-153942
 

・[PDF] 資料編

20230728-154002

 

・[PDF] 防衛年表

20230728-154032

 

概要資料

・[PDF] 簡略版

20230728-154301

 

・[PDF] 詳細版

20230728-154316
 

 パンフレット

・[PDF] 日本語版

20230728-153942

 

・[PDF] 英語版

20230728-154109

 

・[PDF] 中国語版

20230728-154116

 


 

あと、「能動的サイバー防御」について、少し整理...

能動的サイバー防御
という言葉は、防衛白書2023では、次の3箇所にでてきています。。。

ーーーーー
P203

II部 わが国の安全保障・防衛政策
第2章 国家安全保障戦略
6 我が国が優先する戦略的なアプローチ
2
戦略的なアプローチとそれを構成する主な方策
4)わが国を全方位でシームレスに守るための取組の強化
①サイバー安全保障
〇 サイバー防御を強化する。能動的サイバー防御の導入及びその実施のために必要な措置の実現に向け検討を進める。これらのために、サイバー安全保障の政策を一元的に総合調整する新たな組織の設置、法制度の整備、運用の強化を図る。


-----
P216

3章 国家防衛戦略
2節 国家防衛戦略の内容
5           
防衛力の抜本的強化にあたって重視する能力(7つの重視分野)
4
 領域横断作戦能力
②サイバー領域では、防衛省・自衛隊において、能動的サイバー防御を含むサイバー安全保障分野における政府全体での取組と連携していく。その際、重要なシステムなどを中心に常時継続的にリスク管理を実施する態勢に移行し、これに対応するサイバー要員を大幅増強する。このため、2027年度までに、サイバー攻撃状況下においても、指揮統制能力及び優先度の高い装備品システムを保全できる態勢を確立し、また防衛産業のサイバー防衛を下支えできる態勢を確立する。今後、おおむね10年後までに、サイバー攻撃状況下においても、指揮統制能力、戦力発揮能力、作戦基盤を保全し任務が遂行できる態勢を確立しつつ、自衛隊以外へのサイバーセキュリティを支援できる態勢を強化する。

-----
P298

第Ⅲ部 防衛目標を実現するための3つのアプローチ
1章 わが国自身の防衛体制
4節 ミサイル攻撃を含むわが国に対する侵攻への対応
5
サイバー領域での対応
2
 防衛省・自衛隊の取組
サイバー領域は、国民生活にとっての基幹インフラであるとともに、わが国の防衛にとっても領域横断作戦を遂行する上で死活的に重要である。防衛省・自衛隊は、能動的サイバー防御を含むサイバー安全保障分野における政府全体での取組と連携していく。その際、重要なシステムなどを中心に常時継続的にリスク管理を実施する態勢に移行し、これに対応するサイバー要員を大幅増強するとともに、特に高度なスキルを有する外部人材を活用することにより、高度なサイバーセキュリティを実現する。高いサイバーセキュリティの能力により、あらゆるサイバー脅威から自ら防護するとともに、その能力を活かしてわが国全体のサイバーセキュリティの強化に取り組んでいくこととする。
このため、2027年度までに、サイバー攻撃状況下においても、指揮統制能力及び優先度の高い装備品システムを保全できる態勢を確立し、また防衛産業のサイバー防衛を下支えできる態勢を確立する。
今後、おおむね10年後までに、サイバー攻撃状況下においても、指揮統制能力、戦力発揮能力、作戦基盤を保全し任務が遂行できる態勢を確立しつつ、自衛隊以外へのサイバーセキュリティを支援できる態勢を強化することとしている。

-----

明確ではないですが、

能動的サイバー防衛の話においては、

P216で、

その際、重要なシステムなどを中心に常時継続的にリスク管理を実施する態勢に移行し、これに対応するサイバー要員を大幅増強する。

P298で、

その際、重要なシステムなどを中心に常時継続的にリスク管理を実施する態勢に移行し、これに対応するサイバー要員を大幅増強するとともに、

となっていて、

常時継続的にリスク管理を実施する態勢というのが、重要なポイントとなっているように思えるのですが、それがまさに、米英でいうActive Cyber Defense (Defence) なので、ひょっとしたら、防衛省・自衛隊の中では、ACDの定義は米英と同じなのかもしれませんね。。。これからだけだとわからないですが...

 

ちなみに、

米国のACDの定義は、防衛総省が2011年に公表した「サイバー空間における国防総省の戦略」によると

・2011.07 [PDF] Department of Defense Strategy for Operating in Cyberspace

As malicious cyber activity continues to grow, DoD has employed active cyber defense to prevent intrusions and defeat adversary activities on DoD networks and systems. Active cyber defense is DoD’s synchronized, real-time capability to discover, detect, analyze, and mitigate threats and vulnerabilities. It builds on traditional approaches to defending DoD networks and systems, supplementing best practices with new operating concepts. It operates at network speed by using sensors, software, and intelligence to detect and stop malicious activity before it can affect DoD networks and systems. As intrusions may not always be stopped at the network boundary, DoD will continue to operate and improve upon its advanced sensors to detect, discover, map, and mitigate malicious activity on DoD networks. 悪質なサイバー活動が増え続ける中、国防総省は国防総省のネットワークやシステムに対する侵入を防ぎ、敵の活動を打ち負かすために積極的なサイバー防衛を採用してきた。積極的なサイバー防衛とは、脅威と脆弱性を発見、検知、分析、低減するための国防総省の同期化されたリアルタイム能力である。これは、国防総省のネットワークとシステムを防衛するための従来のアプローチを基礎とし、新しい運用コンセプトでベストプラクティスを補うものである。国防総省のネットワークやシステムに影響を与える前に、センサー、ソフトウェア、インテリジェンスを使って悪意のある活動を検知し、阻止することで、ネットワークスピードで運用される。国防総省は、国防総省ネットワーク上の悪意ある活動を検知、発見、マッピング、緩和するための高度なセンサーの運用と改善を継続する。

 

英国でのACDの定義的なのは、国家サイバーセキュリティ戦略(2016-2021)に記載があります。。。

・2016.11.01 [PDF] National Cyber Security Strategy 2016 to 2021

5.1. ACTIVE CYBER DEFENCE  5.1. アクティブ・サイバーディフェンス 
5.1.1. Active Cyber Defence (ACD) is the principle of implementing security measures to strengthen a network or system to make it more robust against attack. In a commercial context, Active Cyber Defence normally refers to cyber security analysts developing an understanding of the threats to their networks, and then devising and implementing measures to proactively combat, or defend, against those threats. In the context of this strategy, the Government has chosen to apply the same principle on a larger scale: the Government will use its unique expertise, capabilities and influence to bring about a step-change in national cyber security to respond to cyber threats. The ‘network’ we are attempting to defend is the entire UK cyberspace. The activities proposed represent a defensive action plan, drawing on the expertise of NCSC as the National Technical Authority to respond to cyber threats to the UK at a macro level. 5.1.1. アクティブ・サイバーディフェンス(ACD)とは、ネットワークやシステムを強化するためのセキュリティ対策を実施し、攻撃に対してより堅牢にするという原則である。商業的な文脈では、アクティブ・サイバーディフェンスとは通常、サイバーセキュリティ・アナリス トがネットワークに対する脅威について理解を深め、それらの脅威と積極的に戦う、あるいは防御す るための対策を考案し、実施することを指す。この戦略の文脈において、政府は同じ原則をより大規模に適用することを選択した。政府は、サイバー脅威に対応するために、独自の専門知識、能力、影響力を用いて、国家サイバーセキュリティに一歩進んだ変化をもたらす。我々が守ろうとしている「ネットワーク」とは、英国のサイバースペース全体のことである。提案されている活動は、国家技術機関としてのNCSCの専門知識を活用し、マクロレベルで英国へのサイバー脅威に対応するための防衛行動計画である。

 

詳細は、

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.17 英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

 


蛇足かもしれませんが...「反撃能力」についてはP213のコラムに記載がありますね。。。

解説 反撃能力

近年、わが国周辺では、極超音速兵器などのミサイル関連技術と飽和攻撃など実戦的なミサイル運用能力が飛躍的に向上し、質・量ともにミサイル戦力が著しく増強される中、ミサイルの発射も繰り返されるなど、わが国へのミサイル攻撃が現実の脅威となっており、既存のミサイル防衛網だけで完全に対応することは難しくなりつつあります。そのため、反撃能力を保有する必要があります。

反撃能力とは、わが国に対する武力攻撃が発生し、その手段として弾道ミサイル等による攻撃が行われた場合、「武力の行使」の三要件に基づき、そのような攻撃を防ぐのにやむを得ない必要最小限度の自衛の措置として、相手の領域において、わが国が有効な反撃を加えることを可能とする、スタンド・オフ防衛能力等を活用した自衛隊の能力のことを言います。

こうした有効な反撃を加える能力を持つことにより、武力攻撃そのものを抑止し、万一、相手からミサイルが発射される際にも、ミサイル防衛網により、飛来するミサイルを防ぎつつ、反撃能力により相手からの更なる武力攻撃を防ぎ、国民の命や平和な暮らしを守っていきます。

この反撃能力については、1956年2月29日に政府見解※1として、憲法上、「誘導弾等による攻撃を防御するのに、他に手段がないと認められる限り、誘導弾等の基地をたたくことは、法理的には自衛の範囲に含まれ、可能である」としたものの、これまで政策判断として保有することとしてこなかった能力に当たるものです。

この政府見解は、2015年の平和安全法制に際して示された武力の行使の三要件の下で行われる自衛の措置にもそのまま当てはまるものであり、今般保有することとする能力は、この考え方の下で上記三要件を満たす場合に行使しうるものです。

反撃能力の行使の対象について、政府は、従来、法理上は、誘導弾等による攻撃を防ぐのに他に手段がない場合における「やむを得ない必要最小限度の措置」をとることは可能であると説明してきており、いかなる措置が自衛の範囲に含まれるかについては、個別具体的に判断されるものであり、この考え方は、反撃能力においても同様です。他方、どこでも攻撃してよいというものではなく、攻撃を厳格に軍事目標に対するものに限定するといった国際法の遵守を当然の前提とした上で、ミサイル攻撃を防ぐのにやむを得ない必要最小限度の措置の対象を個別具体的な状況に照らして判断していくものです。

また、政府としては、従来から、憲法第9条の下でわが国が保持することが禁じられている戦力とは、自衛のための必要最小限度の実力を超えるものを指すと解されており、これに当たるか否かは、わが国が保持する全体の実力についての問題である一方で、個々の兵器のうちでも、性能上専ら相手国の国土の壊滅的破壊のためにのみ用いられる、いわゆる攻撃的兵器※2を保有することは、これにより直ちに自衛のための必要最小限度の範囲を超えることとなるため、いかなる場合にも許されないと考えてきており、この一貫した見解を変更する考えはありません。

※1政府の統一見解(鳩山内閣総理大臣答弁船田防衛庁長官代読(1956年2月29日)わが国に対して急迫不正の侵害が行われ、その侵害の手段としてわが国土に対し、誘導弾などによる攻撃が行われた場合、座して自滅を待つべしというのが憲法の趣旨とするところだというふうには、どうしても考えられないと思うのです。そういう場合には、そのような攻撃を防ぐのに万やむを得ない必要最小限度の措置をとること、たとえば、誘導弾等による攻撃を防御するのに、他に手段がないと認められる限り、誘導弾などの基地をたたくことは、法理的には自衛の範囲に含まれ、可能であるというべきものと思います。

※2例えばICBM、長距離戦略爆撃機、攻撃型空母

20230728-181506

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.26 防衛白書(2022年)

・2021.07.14 日本の防衛白書が初めて台湾周辺情勢の安定の重要性に言及したことについての中国政府の見解

・2021.07.13 防衛白書(2021年)

| | Comments (0)

米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

こんにちは、丸山満彦です。

このブログでも紹介しましたが、、、昨年 (2022.03.09) に公開草案が公表され、意見募集がおこなわれていた、上場企業のサイバーセキュリティに関連するリスク開示について、最終規則になりましたね。。。

投資家に影響を及ぼす内容については、従来から臨時報告書 (Form 8-K, Form 6-K) や年次報告書 (Form 10-k, Form 20-F) に開示することが求められていましたから、従前から開示が行われることにはなっていたわけですが、記載内容やタイミング等についてのルールを明確にすることにより、比較可能性を高めようという考えですね。。。

サイバーセキュリティ事故等によるリスクが高まっていることをうけての話なので、米国に限らず、、、ということで、日本での検討も必要と思いますね。(というか、比較可能性を高めるという話なので、記載内容についての論点だけだから、米国と同じようなルールにすればよいのでは???と思ったりもしますけどね。。。どうでしょう。金融庁さん?)

こんな感じですけど...

  • 新しいForm 8-K Item 1.05では、登録者は、重要であると判断したサイバーセキュリティインシデントを開示し、インシデントの性質、範囲、タイミング、および財務状況や経営成績を含む登録者に対するインシデントの重要な影響または合理的に起こりうる重要な影響を重要な側面から説明することが求められる。

  • 登録者は、インシデントの発見後、不合理な遅延なくインシデントの重要性を判断し、インシデントが重要であると判断された場合、その判断から通常4営業日以内に Item 1.05 Form 8-Kを提出しなければならない。米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面で委員会に通知した場合は、開示を延期することができる。司法長官がさらなる遅延が必要であると示した場合、委員会は遅延の追加要請を検討し、可能な免除命令によってそのような救済を認めることができる。

  • 新規則 S-K第106号は、サイバーセキュリティの脅威による重大なリスクをアセスメント、識別、マネジメントするためのプロセスがある場合はそのプロセスを説明すること、また、過去のサイバーセキュリティインシデントの結果など、サイバーセキュリティの脅威によるリスクが登録者に重大な影響を及ぼしたか、または及ぼす可能性があるかどうかを説明することを登録者に義務付ける。Item 106はまた、サイバーセキュリティの脅威によるリスクに対する取締役会の監督、およびサイバーセキュリティの脅威による重大なリスクの評価と管理におけるマネジメントの役割と専門知識について説明するよう登録者に要求する。

  • Form 6-Kは、外国の非公開発行体が外国の司法管轄区において公表した、または公表が要求された、あるいはその他の方法で開示した重要なサイバーセキュリティインシデントに関する情報を、証券取引所または証券保有者に提供することを要求するために修正される。Form 20-Fは、外国私募発行体に対し、新しいレギュレーションS-Kの Item 106で要求されているのと同等の定期的な開示を行うことを要求するよう修正される。

 

U.S. Securities Exchange Commission: SEC

・2023.07.26 SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies

SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies SEC、上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択
FOR IMMEDIATE RELEASE 2023-139 即時発行 2023-139
Washington D.C., July 26, 2023 — ワシントンD.C.、2023年7月26日
The Securities and Exchange Commission today adopted rules requiring registrants to disclose material cybersecurity incidents they experience and to disclose on an annual basis material information regarding their cybersecurity risk management, strategy, and governance. The Commission also adopted rules requiring foreign private issuers to make comparable disclosures. 米国証券取引委員会(SEC)は本日、サイバーセキュリティに関する重大なインシデントを経験した場合、それを開示し、サイバーセキュリティのリスクマネジメント戦略、ガバナンスに関する重要な情報を年次で開示することを登録企業に義務付ける規則を採択した。同委員会はまた、外国の非公開発行体にも同等の開示を義務付ける規則も採択した。
“Whether a company loses a factory in a fire — or millions of files in a cybersecurity incident — it may be material to investors,” said SEC Chair Gary Gensler. “Currently, many public companies provide cybersecurity disclosure to investors. I think companies and investors alike, however, would benefit if this disclosure were made in a more consistent, comparable, and decision-useful way. Through helping to ensure that companies disclose material cybersecurity information, today’s rules will benefit investors, companies, and the markets connecting them.” SECのゲーリー・ゲンスラー委員長は、次のように述べた。「企業が火事で工場を失おうが、サイバーセキュリティ・インシデントで数百万件のファイルを失おうが、それは投資家にとって重要なことかもしれない。現在、多くの上場企業がサイバーセキュリティに関する開示を投資家に提供している。しかし、この開示がより一貫性があり、比較可能で、意思決定に有用な方法で行われれば、企業も投資家も恩恵を受けると思う。企業がサイバーセキュリティに関する重要な情報を確実に開示することを支援することで、本日の規則は投資家、企業、そしてそれらをつなぐ市場に利益をもたらすだろう。」
The new rules will require registrants to disclose on the new Item 1.05 of Form 8-K any cybersecurity incident they determine to be material and to describe the material aspects of the incident's nature, scope, and timing, as well as its material impact or reasonably likely material impact on the registrant. An Item 1.05 Form 8-K will generally be due four business days after a registrant determines that a cybersecurity incident is material. The disclosure may be delayed if the United States Attorney General determines that immediate disclosure would pose a substantial risk to national security or public safety and notifies the Commission of such determination in writing. 新規則により、登録企業は、重要であると判断したサイバーセキュリティインシデントをForm 8-Kの新しいItem1.05に開示し、インシデントの性質、範囲、時期、および登録企業に対する重要な影響または合理的に起こりうる重要な影響の重要な側面を説明することが義務付けられる。Item1.05 Form 8-Kは通常、サイバーセキュリティインシデントが重要であると登録者が判断してから4営業日後に提出される。米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面で委員会に通知した場合は、開示を延期することができる。
The new rules also add Regulation S-K Item 106, which will require registrants to describe their processes, if any, for assessing, identifying, and managing material risks from cybersecurity threats, as well as the material effects or reasonably likely material effects of risks from cybersecurity threats and previous cybersecurity incidents. Item 106 will also require registrants to describe the board of directors’ oversight of risks from cybersecurity threats and management’s role and expertise in assessing and managing material risks from cybersecurity threats. These disclosures will be required in a registrant's annual report on Form 10-K. この新しい規則はまた、Regulation S-K Item 106を追加し、サイバーセキュリティの脅威による重大なリスク、サイバーセキュリティの脅威および過去のサイバーセキュリティインシデントによるリスクの重大な影響または合理的に起こりうる重大な影響を評価、特定、管理するためのプロセスがある場合は、そのプロセスを説明することを登録者に義務付ける。また、Item 106では、サイバーセキュリティの脅威によるリスクに対する取締役会の監督、サイバーセキュリティの脅威による重大なリスクの評価と管理におけるマネジメントの役割と専門知識についても説明することが求められる。これらの開示は、登録者の年次報告書(Form 10-K)において要求される。
The rules require comparable disclosures by foreign private issuers on Form 6-K for material cybersecurity incidents and on Form 20-F for cybersecurity risk management, strategy, and governance. 同規則は、外国私募発行体に対して、重要なサイバーセキュリティインシデントについてはForm 6-Kで、サイバーセキュリティリスクマネジメント、戦略、ガバナンスについてはForm 20-Fで、同等の開示を要求している。
The final rules will become effective 30 days following publication of the adopting release in the Federal Register. The Form 10-K and Form 20-F disclosures will be due beginning with annual reports for fiscal years ending on or after December 15, 2023. The Form 8-K and Form 6-K disclosures will be due beginning the later of 90 days after the date of publication in the Federal Register or December 18, 2023. Smaller reporting companies will have an additional 180 days before they must begin providing the Form 8-K disclosure. With respect to compliance with the structured data requirements, all registrants must tag disclosures required under the final rules in Inline XBRL beginning one year after initial compliance with the related disclosure requirement. 最終規則は、連邦官報に採択リリースが掲載されてから30日後に発効する。Form 10-KおよびForm 20-Fの開示は、2023年12月15日以降に終了する会計年度の年次報告書から開始される。Form 8-KおよびForm 6-Kの開示は、連邦官報に掲載された日から90日後、または2023年12月18日のいずれか遅い日から開始される。小規模報告会社は、Form 8-K開示のプロバイダを開始するまでにさらに180日の猶予が与えられる。構造化データ要求事項への準拠に関しては、すべての登録会社は、関連する開示要求事項への最初の準拠から1年後に、最終規則に基づき要求される開示をインラインXBRLでタグ付けしなければならない。

 

ファクトシート

・[PDF] Public Company Cybersecurity Disclosures; Final Rules

20230728-70104

FACT SHEET Public Company Cybersecurity Disclosures; Final Rules ファクトシート 公開企業のサイバーセキュリティ開示、最終規則
The Securities and Exchange Commission adopted final rules requiring disclosure of material cybersecurity incidents on Form 8-K and periodic disclosure of a registrant’s cybersecurity risk management, strategy, and governance in annual reports. 米国証券取引委員会は、重要なサイバーセキュリティインシデントのForm 8-Kでの開示と、年次報告書における登録企業のサイバーセキュリティリスクマネジメント、戦略、ガバナンスの定期的な開示を義務付ける最終規則を採択した。
Background 背景
In March 2022, the Commission proposed new rules, rule amendments, and form amendments to enhance and standardize disclosures regarding cybersecurity risk management, strategy, governance, and material cybersecurity incidents by public companies that are subject to the reporting requirements of the Securities Exchange Act of 1934. The Commission observed that cybersecurity threats and incidents pose an ongoing and escalating risk to public companies, investors, and market participants. It noted that cybersecurity risks have increased alongside the digitalization of registrants’ operations, the growth of remote work, the ability of criminals to monetize cybersecurity incidents, the use of digital payments, and the increasing reliance on third party service providers for information technology services, including cloud computing technology. The Commission also observed that the cost to companies and their investors of cybersecurity incidents is rising and doing so at an increasing rate. All of these trends underscored the need for improved disclosure 2022年3月、委員会は、1934年証券取引法の報告義務の対象となる公開企業によるサイバーセキュリティのリスクマネジメント、戦略、ガバナンス、重要なサイバーセキュリティインシデントに関する開示を強化し標準化するための新規則、規則改正、書式改正を提案した。委員会は、サイバーセキュリティの脅威やインシデントが、公開企業、投資家、市場参加者に継続的かつ深刻化するリスクをもたらしていると指摘した。同委員会は、登録企業の業務のデジタル化、リモートワークの増加、サイバーセキュリティ・インシデントを収益化する犯罪者の能力、デジタル決済の使用、クラウドコンピューティング技術を含む情報技術サービスにおけるサードパーティ・サービス・プロバイダーへの依存の高まりに伴い、サイバーセキュリティ・リスクが増大していると指摘した。委員会はまた、サイバーセキュリティのインシデントが企業やその投資家に与えるコストは増加傾向にあり、その割合も増加していると指摘した。これらの傾向はすべて、情報開示の改善の必要性を強調している。
The proposal followed on interpretive guidance issued by Commission staff in 2011 and by the Commission in 2018 on the application of existing disclosure requirements to cybersecurity risk and incidents. Although registrants’ disclosures of material cybersecurity incidents and cybersecurity risk management and governance have improved since the 2011 and 2018 guidance, disclosure practices are inconsistent, necessitating new rules. The proposal was intended to result in consistent, comparable, and decision-useful disclosures that would allow investors to evaluate registrants’ exposure to material cybersecurity risks and incidents as well as registrants’ ability to manage and mitigate those risks. この提案は、2011年に委員会のスタッフが発表し、2018年に委員会がサイバーセキュリティのリスクとインシデントに対する既存の開示要件の適用について発表した解釈指針を踏襲したものである。2011年と2018年のガイダンス以降、登録者による重要なサイバーセキュリティインシデントとサイバーセキュリティリスクマネジメントおよびガバナンスの開示は改善されたが、開示実務には一貫性がないため、新たな規則が必要となった。この提案は、投資家が登録者の重要なサイバーセキュリティリスクとインシデントへのエクスポージャー、およびそれらのリスクを管理・軽減する登録者の能力を評価できるように、一貫性があり、比較可能で、意思決定に有用な開示をもたらすことを意図している。
What’s Required 要求事項
 New Form 8-K Item 1.05 will require registrants to disclose any cybersecurity incident they determine to be material and describe the material aspects of the nature, scope, and timing of the incident, as well as the material impact or reasonably likely material impact of the incident on the registrant, including its financial condition and results of operations.  新しいForm 8-K Item 1.05では、登録者は、重要であると判断したサイバーセキュリティインシデントを開示し、インシデントの性質、範囲、タイミング、および財務状況や経営成績を含む登録者に対するインシデントの重要な影響または合理的に起こりうる重要な影響を重要な側面から説明することが求められる。
Registrants must determine the materiality of an incident without unreasonable delay following discovery and, if the incident is determined material, file an Item 1.05 Form 8-K generally within four business days of such determination. The disclosure may be delayed if the United States Attorney General determines that immediate disclosure would pose a substantial risk to national security or public safety and notifies the Commission of such determination in writing. If the Attorney General indicates that further delay is necessary, the Commission will consider additional requests for delay and may grant such relief through possible exemptive orders. 登録者は、インシデントの発見後、不合理な遅延なくインシデントの重要性を判断し、インシデントが重要であると判断された場合、その判断から通常4営業日以内に Item 1.05 Form 8-Kを提出しなければならない。米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面で委員会に通知した場合は、開示を延期することができる。司法長官がさらなる遅延が必要であると示した場合、委員会は遅延の追加要請を検討し、可能な免除命令によってそのような救済を認めることができる。
New Regulation S-K Item 106 will require registrants to describe their processes, if any, for assessing, identifying, and managing material risks from cybersecurity threats, as well as whether any risks from cybersecurity threats, including as a result of any previous cybersecurity incidents, have materially affected or are reasonably likely to materially affect the registrant. Item 106 will also require registrants to describe the board of directors’ oversight of risks from cybersecurity threats and management’s role and expertise in assessing and managing material risks from cybersecurity threats. 新しいRegulation S-K第106号は、サイバーセキュリティの脅威による重大なリスクをアセスメント、識別、マネジメントするためのプロセスがある場合はそのプロセスを説明すること、また、過去のサイバーセキュリティインシデントの結果など、サイバーセキュリティの脅威によるリスクが登録者に重大な影響を及ぼしたか、または及ぼす可能性があるかどうかを説明することを登録者に義務付ける。Item 106はまた、サイバーセキュリティの脅威によるリスクに対する取締役会の監督、およびサイバーセキュリティの脅威による重大なリスクの評価と管理におけるマネジメントの役割と専門知識について説明するよう登録者に要求する。
Form 6-K will be amended to require foreign private issuers to furnish information on material cybersecurity incidents that they make or are required to make public or otherwise disclose in a foreign jurisdiction to any stock exchange or to security holders. Form 20-F will be amended to require that foreign private issuers make periodic disclosure comparable to that required in new Regulation S-K Item 106. Form 6-Kは、外国の非公開発行体が外国の司法管轄区において公表した、または公表が要求された、あるいはその他の方法で開示した重要なサイバーセキュリティインシデントに関する情報を、証券取引所または証券保有者に提供することを要求するために修正される。Form 20-Fは、外国私募発行体に対し、新しいRegulation S-Kの Item 106で要求されているのと同等の定期的な開示を行うことを要求するよう修正される。
What’s Next 今後の予定
The final rules will become effective 30 days following publication of the adopting release in the Federal Register. With respect to Regulation S-K Item 106 and the comparable requirements in Form 20-F, all registrants must provide such disclosures beginning with annual reports for fiscal years ending on or after December 15, 2023. With respect to compliance with the incident disclosure requirements in Form 8-K Item 1.05 and in Form 6- K, all registrants other than smaller reporting companies must begin complying on the later of 90 days after the date of publication in the Federal Register or December 18, 2023. Smaller reporting companies will have an additional 180 days and must begin complying with Form 8-K Item 1.05 on the later of 270 days from the effective date of the rules or June 15, 2024. With respect to compliance with the structured data requirements, all registrants must tag disclosures required under the final rules in Inline XBRL beginning one year after initial compliance with the related disclosure requirement. 最終規則は、連邦官報に採択リリースが掲載されてから30日後に発効する。レギュレーションS-K Item106およびフォーム20-Fにおける同等の要求事項に関しては、すべての登録者は、2023年12月15日以降に終了する会計年度の年次報告書からそのような開示を提供しなければならない。Form 8-K Item 1.05およびForm 6-Kにおけるインシデント開示要件の遵守に関しては、小規模報告会社を除くすべての登録会社は、連邦官報公告日から90日後または2023年12月18日のいずれか遅い日から遵守を開始しなければならない。小規模報告会社にはさらに180日の猶予が与えられ、規則発効日から270日または2024年6月15日のいずれか遅い日にForm 8-K Item 1.05への準拠を開始しなければならない。構造化データ要件への準拠に関しては、すべての登録企業は、関連する開示要件に最初に準拠した1年後から、最終規則に基づき要求される開示をインラインXBRLでタグ付けしなければならない。

 

最終規則

・[PDF] SECURITIES AND EXCHANGE COMMISSION, 17 CFR Parts 229, 232, 239, 240, and 249 [Release Nos. 33-11216; 34-97989; File No. S7-09-22] RIN 3235-AM89 Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure

20230728-70058

・[DOCX] 仮訳

 


 

米国商工会議所は情報漏洩の懸念を表明していますね。。。

 

U.S. Chamber of Commerce Foundation - YouTube

・2023.07.27 U.S. Chamber Raises Concern with Impact, Overreach of New SEC Cybersecurity Rule

U.S. Chamber Raises Concern with Impact, Overreach of New SEC Cybersecurity Rule 米商工会議所、SECサイバーセキュリティ新規則の影響と行き過ぎに懸念を表明
WASHINGTON, D.C. – Christopher Roberti, U.S. Chamber senior vice president for Cyber, Space, and National Security Policy, issued the following statement today regarding the Securities and Exchange Commission adopting rules on cybersecurity risk management, strategy, governance, and incident disclosure by public companies. ワシントンD.C.-米国商工会議所のクリストファー・ロベリ上級副会頭(サイバー・宇宙・国家安全保障政策担当)は本日、証券取引委員会が公開企業によるサイバーセキュリティのリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択したことについて、以下の声明を発表した。
“The Cyber Incident Reporting for Critical Infrastructure Act of 2022 made it clear that cyber incident reporting to government should occur confidentially and in a protected manner. Yesterday, however, the Securities and Exchange Commission (SEC) finalized a rule that sharply diverges from that mandate and the President’s National Cybersecurity Strategy, jeopardizing a needed confidential reporting strategy and harming cyber incident victims before they can remediate incidents. 「2022年重要インフラ向けサイバーインシデント報告法は、政府へのサイバーインシデント報告は秘密裏に、かつ保護された形で行われるべきであると明確にした。しかし昨日、証券取引委員会(SEC)は、この義務や大統領の国家サイバーセキュリティ戦略から大きく乖離する規則を最終決定し、必要とされる秘密報告戦略を危うくし、インシデントを改善する前にサイバーインシデント被害者に損害を与えることになる。
“The U.S. Chamber has long advocated for a cohesive, aligned, and protected regulatory framework for cyber risk management and continues to have grave concerns about the potential impact of the rule as finalized by the SEC. The Chamber will continue to carefully evaluate the impact of this rule and our options going forward." 「米国商工会議所は、サイバーリスクマネジメントのためのまとまりのある、整合のとれた、保護された規制の枠組みを長年提唱してきたが、SECが最終決定した規則の潜在的な影響について重大な懸念を持ち続けている。米国商工会議所は、この規則の影響と今後の選択肢を慎重に評価し続ける。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

これが、案をだしている段階...

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

その他...

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

| | Comments (0)

2023.07.27

米国 GAO 連邦情報システム統制監査マニュアル(FISCAM)2023年公開草案

こんにちは、丸山満彦です。

米国のGAOが連邦情報システム統制監査マニュアル(FISCAM)2023年公開草案を公表し、意見募集をしていますね。。。

基本は政府監査基準にもとづいてつくっているので、公認会計士の監査に近い概念でマニュアルが作られています。そういう意味では、SOXに馴染みがある方には理解がしやすいと思います。

ただ、400ページ以上もありますので、読むのは大変だと思います。。。が、実はNISCが立ち上がる時に政府統一基準に基づいた監査を考える際に、当時のものを読みました。。。しかしながら、レベエルが高すぎるので、採用は諦めました。。。あれから20年たっているので、そろそろ日本の会計検査院、NISCでも、このくらいのレベルの監査ができるようになっていると期待しています(^^)

 

⚫︎ U.S. GAO

・2023.07.20 Federal Information System Controls Audit Manual (FISCAM) 2023 Exposure Draft

 

Federal Information System Controls Audit Manual (FISCAM) 2023 Exposure Draft 連邦情報システム統制監査マニュアル(FISCAM)2023年公開草案
Fast Facts 概要
We are proposing to update our Federal Information System Controls Audit Manual (FISCAM). This update reflects changes in auditing standards, guidance, control criteria, and technology. 連邦情報システム管理監査マニュアル(FISCAM)の更新を提案する。この更新は、監査標準、ガイダンス、統制基準、技術の変化を反映したものである。
We are seeking public comment on the update. Please send written comments using our fillable form to FISCAM@gao.gov no later than Oct. 18, 2023. この更新に関するパブリック・コメントを求めている。2023年10月18日必着で、FISCAM@gao.gov 宛てに、記入可能な書式を用いて書面にてご意見をお寄せいただきたい。
Information in computer systems is essential to practically every aspect of government operations. FISCAM guides auditors in using government standards to evaluate the effectiveness of controls over these systems. Effective controls can help safeguard data, prevent the disruption of government services, and much more. コンピュータシステム内の情報は、実質的に政府運営のあらゆる側面に不可欠である。FISCAMは、監査人が政府標準を使用してこれらのシステムに対するコントロールの有効性を評価する際の指針となっている。効果的なガバナンスは、データを保護し、政府サービスの中断を防ぐなど、多くのことに役立つ。
Highlights ハイライト
GAO invites comments on the proposed changes to the Federal Information System Controls Audit Manual (FISCAM). The FISCAM 2023 exposure draft updates FISCAM to (1) address responses received through focus groups and interviews with internal and external officials, stakeholders, and users and (2) reflect changes in relevant auditing standards, guidance, control criteria, and technology since the last revision. GAOは連邦情報システム統制監査マニュアル(FISCAM)の変更案についてコメントを募集している。FISCAM 2023公開ドラフトは、(1)フォーカス・グループや内外関係者、利害関係者、利用者へのインタビューを通じて得られた回答に対応し、(2)前回改訂以降の関連する監査標準、ガイダンス、管理基準、技術の変化を反映するために、FISCAMを更新するものである。
The FISCAM 2023 exposure draft proposes four sections that include new and existing content from chapters 1 and 2 of extant FISCAM. Section 100, Introduction, provides an overview of the FISCAM methodology. Section 200, Planning Phase, includes auditor requirements, guidance, and procedures for planning an information system (IS) controls assessment, including identifying relevant IS control objectives. Section 300, Testing Phase, includes auditor requirements, guidance, and procedures for identifying IS controls for testing and determining the nature, extent, and timing of IS control tests. Section 400, Reporting Phase, includes auditor requirements and guidance for communicating the results of the IS controls assessment. FISCAM 2023の公開草案では、現行FISCAMの第1章と第2章に含まれる新内容と既存内容を含む4つのセクションが提案されている。セクション100「序文」は、FISCAMの手法の概要を提供している。セクション200「計画フェーズ」では、関連するIS統制の目的の識別を含む、情報システム(IS)統制の評価を計画するための監査人の要求事項、ガイダンス及び手順を記載している。セクション300「テストフェーズ」には、テストするIS統制を識別し、IS統制テストの性質、範囲及び時期を決定するための監査人の要求事項、指針及び手順が含まれる。セックション400「報告フェーズ」には、IS統制アセスメントの結果をコミュニケーションするための監査人の要求事項及びガイダンスが含まれる。
The FISCAM 2023 exposure draft proposes the following three appendixes included as section 500: FISCAM2023のエクスポージャーでは、セクション500として以下の3つの附属書が提案されている:
Appendix 500A, FISCAM Glossary, updates extant FISCAM appendix XI, Glossary. 附属書 500A「FISCAM用語集」は、現行のFISCAM附属書XI「用語集」を更新するものである。
Appendix 500B, FISCAM Framework, updates the tables containing critical elements, control activities, control techniques, and suggested audit procedures from extant FISCAM chapters 3 and 4. 附属書 500B「FISCAM フレームワーク」は、現行の FISCAM 第 3 章及び第 4 章の重要な要素、管理活動、管理技法、及び推奨される監査手続を含む表を更新するものである。
Appendix 500C, FISCAM Assessment Completion Checklist, provides new content that assists auditors with determining whether the FISCAM methodology was followed. 附属書 500C「FISCAM評価完了チェックリスト」は、監査人がFISCAMの手法に従ったか否かを判断する際に役立つ新しい内容を提供している。
A summary of major proposed changes is included in enclosure I of the FISCAM 2023 exposure draft. 主な変更案の概要は、FISCAM 2023年版公開草案の附属書Ⅰに記載されている。

 

・[PDF]

20230727-114504

 

目次...

100 INTRODUCTION1  はじめに
110 Purpose and Applicability  目的と適用性
120 IS Control Concepts  IS統制の概念
130 Overview of the FISCAM Methodology  FISCAM手法の概要
140 Applicable Auditing and Attestation Standards and Requirements  適用される監査及び認証の標準と要求事項
150 Applicable Criteria  適用基準
160 Overview of the FISCAM Framework  FISCAMフレームワークの概要
200 Planning Phase  計画フェーズ
210 Overview of the Planning Phase  計画フェーズの概要
220 Perform Preliminary Engagement Activities  予備的な監査活動の実施
230 Understand the Entity’s Operations, and Identify and Understand Significant Business Processes  事業体の業務を理解し、重要なビジネスプロセスを識別・理解する
240 Identify Areas of Audit Interest and Understand Business Process Controls  監査対象領域を識別し、ビジネスプロセス統制を理解する
250 Understand the Entity’s Information Security Management Program  事業体の情報セキュリティ管理プログラムを理解する
260 Assess IS Risk on a Preliminary Basis  IS のリスクを予備的にアセスメントする
270 Identify Relevant General Control Objectives and Determine Likelihood of Effective General Controls  関連する全般統制目標を識別し、全般統制が有効である可能性を判断する
280 Prepare Planning Phase Documentation  計画フェーズの文書を作成する
300 Testing Phase  テストフェーズ
310 Overview of the Testing Phase  テストフェーズの概要
320 Select IS Control Activities for Testing  テスト対象のIS統制活動を選択する
330 Determine the Nature, Extent, and Timing of IS Control Tests  IS統制テストの性質、範囲、タイミングを決定する
340 Perform IS Control Tests and Evaluate the Results, Including the Significance of IS Control Deficiencies  IS統制テストを実施し、IS統制の不備の重大性を含む結果を評価する
350 Prepare Testing Phase Documentation  テストフェーズの文書作成
400 Reporting Phase  報告フェーズ
410 Overview of the Reporting Phase  報告フェーズの概要
420 Determine Compliance with FISCAM  FISCAMへの準拠の判断
430 Draft Report  ドラフト報告書
440 Prepare Reporting Phase Documentation  報告フェーズ文書の作成
500 ANNEX 附属書
500A  FISCAM Glossary  FISCAM用語集
500B  FISCAM Framework  FISCAMフレームワーク
500C  FISCAM Assessment Completion Checklist  FISCAM評価完了チェックリスト

 

Continue reading "米国 GAO 連邦情報システム統制監査マニュアル(FISCAM)2023年公開草案"

| | Comments (0)

ビッグモーター 特別調査委員会 調査報告書

こんにちは、丸山満彦です。

ビッグモーターの保険金不正請求問題の件は、大きく取り上げられていますが、創業者による非上場企業で急拡大したような企業では、起こりやすい問題だろうと思います。

組織が大きくなると、経営トップも日々、数字に追われるようになり、人の顔が見えなくなってきますからね。。。いつのまにか、経営者の周りの人が、限られた人だけになっていく。。。そして、虎の威を借る狐ではないですが、その限られた周りの人がゲートキーパーになって、社長に本当の情報をあげなくなっていきます。自分も叱責されたくないし。。。そして、もう一つ、親も子供には甘くなりがち...

そして、経営トップはいつの間にか引き返せないところに立っている。。。

創業者の場合、会社というのは我が子のような気持ちになり、とても強い愛着があることが多いと思います。良い子に育ってほしいと思っている場合がほとんどだろうと思います。

経営が拡大していくどこかのタイミングで、適切な真の伴走者がつくことができていたら、ちがった結果になっていたかもしれませんね。。。(上場を考えると、ガバナンスとか内部統制を考えるようになるので、こういう事案は減る(ゼロにはならないけど...)ので、上場をするというのも一つの考え方かもしれません。。。)

過去に不祥事対応の業務をしたことが幾度かありますが、(すべて上場企業であったからかもしれませんが)心底の悪党という感じの人はいませんからね。。。それなりの規模になっているということは、それなりの経営手腕があり、それなりの人間的魅力というのもあるということでしょうから。。。

ただ、会社の風土をつくるのは、経営トップということは間違いない。。。(これは、過去の経験から強くそう思っています)。ある意味真面目で自分に厳しい(厳しかった)経営者だからこそ、こういう事件を起こす会社にしてしまうケースもありますね。。。目標必達、間違いは許せない。。。といった企業風土を作ってしまい、目標を達成したことにする、間違っていなかったことにするために、(言葉ではいってなかったが当たり前の)コンプライアンス意識が弱まり、法令違反等をしてしてしまう。。。

でも、だからこそ、経営者がちゃんと正しい報告になるような企業風土に作り替えようとすれば、かならず良い会社になれるとも言えます。(もちろん、今回の件については、何も知らないので、なんともわかりませんが...)

たくさんの顧客、取引先、従業員等の方がおられますし、誠実で、信頼される企業として再出発できると良いですね。。。

今回の件で、会社が本当に変われれば、良い会社になれると思います。どこまで本気でやれるかですね。。。

 

ビッグモーター

・2023.07.18 当社板金部門における不適切な請求問題に関するお詫びとご報告 

・[DOCX] copyed

 

・[PDF] 調査報告書  [downloaded]

20230727-51843

 

 

記者会見

https://abema.tv/video/episode/89-93_s10_p24674

20230727-53411

 

YouTube

これが全体をとっていますかね。。。

・2025.07.25ビッグモーターが会見】兼重宏行社長と兼重宏一副社長の辞任を発表

20230727-60114

 

ANNnewsCH 

・2025.07.25 ビッグモーター元従業員が怒り「経営陣知らないのあり得ない」 社長が辞任表明(2023年7月25日)

 

 


| | Comments (0)

サイバー攻撃を受けた時、国は誰にエスカレーションする? NATO CCDCOE エスカレーション・ロードマップ 分析ペーパー

こんにちは、丸山満彦です。

サイバー攻撃を受けた場合、その攻撃に対してどのように対応すべきか... 

国からの攻撃か?民間の攻撃か?

武力攻撃のレベルに達しているか?

どのように判断する?

アクティブサイバーディフェンス等の議論をする前の前提の話かもしれませんが、参考まで...

 

NATO CCDCOE

・2023.07 Escalation Roadmap: An analysis paper

Escalation Roadmap: An analysis paper エスカレーション・ロードマップ 分析ペーパー
Discussing the stability of cyberspace to ensure a stable and peaceful cyberspace is an important but leaves open the question of what action nations should take if things go wrong, what cyber activities would constitute a crisis and when nations should inform and involve the United Nations (UN). This analysis tries to create an escalation roadmap that can be used to decide if a malicious cyber activity or attack should lead to the involvement of the UN, European Union (EU) or the North Atlantic Treaty Organization (NATO). サイバースペースの安定と平和を確保するために、サイバースペースの安定について議論することは重要であるが、物事がうまくいかなくなった場合、各国がどのような行動を取るべきか、どのようなサイバー活動が危機を構成するのか、どのような場合に各国が国連(UN)に通知し、関与すべきかという疑問が残る。この分析では、悪意のあるサイバー活動や攻撃が国連、欧州連合(EU)、北大西洋条約機構(NATO)の関与につながるべきかどうかを判断するために使用できるエスカレーション・ロードマップを作成しようとするものである。

 

・[PDF]

20230726-200056

・[DOCX] 仮訳

 

1_20230727034501

 

 

 

| | Comments (0)

IPA 情報セキュリティ白書 2023

こんにちは、丸山満彦です。

2023.07.25から書籍版が販売ということのようです。。。

情報セキュリティ白書は2008年から続いていますから、今年で16周年ですね。。。

サブタイトルが、「進む技術と未知の世界:新時代の脅威に備えよ」となっていますね。。。

 

IPA

・2023.07.25 情報セキュリティ白書2023 7月25日発売

20240731-232537

 


情報セキュリティ分野の動向を反映した最新刊のおすすめトピックは以下の通りです。

  • 中小企業向けた情報セキュリティ支援策
  • 虚偽情報拡散の脅威と対策の状況
  • デジタル庁の政策
  • 内部不正防止対策の動向
  • クラウドの情報セキュリティ

 

目次...

  • 序章 2022年度の情報セキュリティの概況
  • 第1章 情報セキュリティインシデント・脆弱性の現状と対策
    • 1.1 2022年度に観測されたインシデント状況
    • 1.2 情報セキュリティインシデント、手口、対策
    • 1.3 情報システムの脆弱性の動向
  • 第2章 情報セキュリティを支える基盤の動向
    • 2.1 国内の情報セキュリティ政策の状況
    • 2.2 国外の情報セキュリティ政策の状況
    • 2.3 情報セキュリティ人材の現状と育成
    • 2.4 組織・個人における情報セキュリティの取り組み
    • 2.5 情報セキュリティの普及啓発活動
    • 2.6 国際標準化活動
    • 2.7 安全な政府調達に向けて
    • 2.8 その他の情報セキュリティ動向
  • 第3章 個別テーマ
    • 3.1 制御システムの情報セキュリティ
    • 3.2 IoTの情報セキュリティ
    • 3.3 クラウドの情報セキュリティ
    • 3.4 虚偽情報拡散の脅威と対策の状況
  • 付録 資料・ツール
  • 資料A 2022年のコンピュータウイルス届出状況
  • 資料B 2022年のコンピュータ不正アクセス届出状況
  • 資料C ソフトウェア等の脆弱性関連情報に関する届出状況
  • 資料D 2022年の情報セキュリティ安心相談窓口の相談状況
  • 第18回 IPA「ひろげよう情報モラル・セキュリティコンクール」2022 受賞作品
  • IPAの便利なセキュリティツールとコンテンツ

 

 

情報セキュリティ白書

過去のバックアップ

年度 サブタイトル 全文
2023 進む技術と未知の世界:新時代の脅威に備えよ PDF
2022 ゆらぐ常識、強まる脅威:想定外に立ち向かえ PDF
2021 進むデジタル、広がるリスク:守りの基本を見直そう PDF
2020 変わる生活、変わらぬ脅威:自らリスクを考え新しい行動を PDF
2019 新しい基盤、巧妙化する攻撃:未知のリスクに対応する力 PDF
2018 深刻化する事業への影響:つながる社会で立ち向かえ PDF
2017 広がる利用、見えてきた脅威:つながる社会へ着実な備えを  
2016 今そこにある脅威:意識を高め実践的な取り組みを  
2015 サイバーセキュリティ新時代:あらゆる変化へ柔軟な対応を  
2014 もはや安全ではない:高めようリスク感度  
2013 つながる機器に広がる脅威:求められる一人ひとりの意識の向上  
2012 狙われる機密情報:求められる情報共有体制の整備  
2011 広がるサイバー攻撃の脅威:求められる国際的な対応  
2010 広まる脅威・多様化する攻撃:求められる新たな情報セキュリティ対策  
2009 岐路に立つ情報セキュリティ対策:求められるIT活用との両立  
2008 脅威が見えない脅威-求められるプロアクティブな対策  

 

| | Comments (0)

2023.07.26

Europol インターネット組織犯罪評価(IOCTA)2023 (2023.07.19)

こんにちは、丸山満彦です。

Europolが、インターネット組織犯罪評価(IOCTA)2023という報告書を公表しています。

「過去2年間のサイバー犯罪についての振り返りです。。。

この後、この報告書のトピックごとのより詳細な報告書となる「サイバー攻撃:サービスとしての犯罪の頂点(IOCTA 2023)」、「オンライン詐欺に関するスポットライト・レポート(IOCTA 2023)」、「児童の性的搾取に関するスポットライト・レポート(IOCTA 2023)」と3つの報告書も公表されるようですね。。。


Europol

・2023.07.19 Internet Organised Crime Assessment (IOCTA) 2023

Internet Organised Crime Assessment (IOCTA) 2023 インターネット組織犯罪評価(IOCTA)2023
Cybercrime, in its various forms, represents an increasing threat to the EU. Cyber-attacks, online child sexual exploitation, and online frauds are highly complex crimes and manifest in diverse typologies. Meanwhile the perpetrators behind these crimes are becoming increasingly agile, exploiting new situations created by geopolitical and technological changes.  サイバー犯罪は、さまざまな形で、EUにとって増大する脅威の代表者となっている。サイバー攻撃、オンラインでの児童の性的搾取、オンライン詐欺は、非常に複雑な犯罪であり、多様な類型で現れている。一方、これらの犯罪の背後にいる加害者は、地政学的・技術的変化によって生まれた新たな状況を利用し、ますます機敏になっている。 
The Internet Organised Crime Assessment (IOCTA) is Europol’s assessment of the cybercrime landscape and how it has changed over the last 24 months.  インターネット組織犯罪アセスメント(IOCTA)は、欧州刑事警察機構によるサイバー犯罪の状況の評価であり、過去24ヶ月間にどのように変化したかを示すものである。 
Accompanying this report will be a series of spotlight reports released later this year, each of which examines a specific crime area relating to cybercrime. この報告書に付随して、今年後半に発表される一連のスポットライト・レポートは、それぞれサイバー犯罪に関連する特定の犯罪分野を検証するものである。

 

・[PDF]

20230726-63416

 


 

今年の後半?に発行されるのは...

 

Cyber-attacks: the apex of crime-as-a-service (IOCTA 2023)

Cyber-attacks: the apex of crime-as-a-service (IOCTA 2023) サイバー攻撃:サービスとしての犯罪の頂点(IOCTA 2023)
Following the publication of the IOCTA 2023, Europol will release a series of spotlight reports that take a closer look at emerging trends in a specific area of cybercrime. The first module, ‘Cyber-attacks: the apex of crime-as-a-service’, examines the developments in cyber-attacks, discussing new methodologies and threats as observed by Europol’s operational analysts. It also outlines the types of criminal structures that are behind cyber-attacks, and how these increasingly professionalised groups are exploiting changes in geopolitics as part of their methodologies. 欧州刑事警察機構は、IOCTA2023の発行に続き、サイバー犯罪の特定分野における新たな傾向を詳しく取り上げた一連のスポットライト・レポートを発表する。最初のモジュールである「サイバー攻撃:サービスとしての犯罪の頂点」は、欧州刑事警察機構のオペレーション・アナリストが観察した新たな手法や脅威を取り上げながら、サイバー攻撃の進展について考察している。また、サイバー攻撃の背後にある犯罪構造の種類や、専門化が進むこれらのグループがその手法の一部として地政学の変化をどのように利用しているかについても概説している。

cyber.jpg

 


 

 

Spotlight report on online fraud (IOCTA 2023)

Spotlight report on online fraud (IOCTA 2023) オンライン詐欺に関するスポットライト・レポート(IOCTA 2023)
Following the publication of the IOCTA 2023, Europol will release a series of spotlight reports that take a closer look at emerging trends in a specific area of cybercrime.  欧州刑事警察機構は、IOCTA2023の発行に続き、サイバー犯罪の特定分野における新たな傾向を詳しく取り上げた一連のスポットライト・レポートを発表する。 
This spotlight report assesses developments in online frauds and the criminal networks that operate them. It includes operational highlights that evidence how law enforcement responds to the threat, and highlights some of the new modi operandi that Europol analysts and EU Member State police forces have uncovered in the last 24 months. 今回のスポットライト・レポートでは、オンライン詐欺とそれを運営する犯罪ネットワークの動向を評価する。また、欧州刑事警察機構(Europol)のアナリストとEU加盟国の警察当局が過去24カ月間に発見した新たな手口を紹介する。

 

Artboard 2.png

 


 

Spotlight report on child sexual exploitation (IOCTA 2023)

Spotlight report on child sexual exploitation (IOCTA 2023) 児童の性的搾取に関するスポットライト・レポート(IOCTA 2023)
Following the publication of the IOCTA 2023, Europol will release a series of spotlight reports that take a closer look at emerging trends in a specific area of cybercrime.  欧州刑事警察機構は、IOCTA 2023の発行に続き、サイバー犯罪の特定分野における新たな傾向を詳しく取り上げた一連のスポットライト・レポートを発表する。 
This spotlight report assesses the threat of online child abuse and child sexual exploitation. As a growing and persistent global problem, this crime area is a priority for police forces both inside and outside Europe. This module of the IOCTA 2023 explains how criminals are operating in this crime area, and what trends have emerged over the last 24 months.   今回のスポットライト・レポートでは、オンライン児童虐待と児童の性的搾取の脅威を評価する。世界的に拡大し、根強く残る問題として、この犯罪分野は欧州内外の警察にとって優先事項となっている。IOCTA 2023のこのモジュールでは、この犯罪分野で犯罪者がどのように活動しているのか、また過去24カ月間にどのような傾向が現れたのかを説明している。 

 

Artboard 1.png

 

 

 

Continue reading "Europol インターネット組織犯罪評価(IOCTA)2023 (2023.07.19)"

| | Comments (0)

CSA ゼロトラスト指針原則 (2023.07.18)

こんにちは、丸山満彦です。

CSAがゼロトラスト指針原則が公表されていますね。。。

実装上のTipsという感じでしょうかね。。。参考になることが多いですね。。。

 

⚫︎Cloud Security Alliance

・2023.07.18 Zero Trust Guiding Principles

 

Zero Trust Guiding Principles ゼロトラスト指針原則
Zero Trust is a strategic mindset that is highly useful for organizations to adopt as part of their digital transformations and other efforts to increase security and resilience. However, despite being based on long-standing principles, Zero Trust is easily misunderstood and over-complicated due to conflicting messaging within the security industry and a lack of established Zero Trust standards. When properly understood, Zero Trust philosophy and strategy are valuable tools that organizations can use to enhance security, increase resilience, and guide digital transformation. ゼロトラストは、セキュリティとレジリエンスを高めるためのデジタル変革やその他の取り組みの一環として、組織が採用するのに非常に有用な戦略的考え方である。しかし、ゼロトラストは、長年の原則に基づいているにもかかわらず、セキュリティ業界内でのメッセージの対立や、確立されたゼロトラスト標準の欠如のために、誤解されやすく、複雑になりすぎている。ゼロ・トラストの理念と戦略は、正しく理解されれば、組織がセキュリティを強化し、レジリエンスを向上させ、デジタルトランスフォーメーションを導くために利用できる貴重なツールとなる。
This document provides a clear understanding of what Zero Trust security is and the guiding principles that any organization can leverage when planning, implementing, and operating Zero Trust. These best practices remain consistent across all Zero Trust pillars, use cases, environments, and products. As expertise and industry knowledge mature, additional authoritative references such as guidance, policies, and legislation may be added. 本書は、ゼロ・トラスト・セキュリティとは何かを明確に理解し、ゼロ・トラストを計画、実装、運用する際にあらゆる組織が活用できる指針となる原則を提供する。これらのベストプラクティスは、すべてのゼロトラストの柱、ユースケース、環境、製品で一貫している。専門知識と業界の知識が成熟するにつれて、ガイダンス、ポリシー、法律などの権威ある参考資料が追加される可能性がある。
Principles Covered: 対象となる原則
・Begin with the end in mind ・終わりを念頭に置いて始める
・Do not overcomplicate ・複雑にしすぎない
・Products are not the priority ・製品が最優先ではない
・Access is a deliberate act ・アクセスは意図的な行為である
・Inside out, not outside in  ・インサイド・アウトであり、アウトサイド・インではない 
・Breaches happen ・違反は起こる
・Understand your risk appetite ・リスク選好度を理解する
・Ensure the tone from the top ・トップからの指示を徹底する
・Instill a Zero Trust culture ・ゼロ・トラスト文化を浸透させる
・Start small and focus on quick wins ・小さく始め、迅速な勝利に集中する
・Continuously monitor ・継続的に監視する

 

本文

・[PDF]

20230721-63646

 

プレゼンテーション

・[PDF]

20230721-64252

 

 

 

| | Comments (0)

2023.07.25

CSA ID およびアクセス管理(IAM)のためのゼロトラストの原則とガイダンス (2023.07.13)

こんにちは、丸山満彦です。

CSAが、ID およびアクセス管理(IAM)のためのゼロトラストの原則とガイダンスを公表していますね。。。

 

⚫︎Cloud Security Alliance

・2023.07.13 Zero Trust Principles and Guidance for Identity and Access Management (IAM)

Zero Trust Principles and Guidance for Identity and Access Management (IAM) ID およびアクセス管理(IAM)のためのゼロトラストの原則とガイダンス
dentity and the ability to consume information about that identity as well as other Zero Trust (ZT) signals (additional attributes about an identity), is one of the key principles of zero trust architecture. A ZT approach aims to reduce the success of cyber-attacks and data breaches through risk-based access requirements, that is, by requiring authentication and authorization prior to granting access to resources (data and/or systems). デンティティと、その ID に関する情報および他のゼロトラスト(ZT)シグナル(ID に関する追加属性)を消費する能力は、ゼロトラスト・アーキテクチャの主要原則の 1 つである。ZT アプローチは、リスクベースのアクセス要件、つまりリソース(データおよび/またはシス テム)へのアクセスを許可する前に本人認証と認可を要求することによって、サイバー攻撃とデー タ侵害の成功を減らすことを目的としている。
In order to meet this requirement, it is important to look at both existing and new identity, access management, and cloud solutions with a ZT lens. この要件を満たすには、既存および新規のアイデンティティ、アクセス管理、クラウド・ソリューションの両方をZTのレンズで見ることが重要である。
ZT is a technology-agnostic guidance framework to bring controls closer to the asset being protected (the protect surface). From an identity and access management perspective, this has the potential to significantly increase the richness of the risk-based decision about granting access and eliminate the granting of access based on the binary trust of a single access control method. ZTは技術にとらわれないガイダンスのフレームワークであり、制御を保護対象の資産(防御面)に近づけるものである。IDおよびアクセスマネジメントの観点からは、これはアクセス許可に関するリスクベースの判断の豊かさを大幅に向上させ、単一のアクセス制御方法の二元的な信頼に基づくアクセス許可を排除する可能性を秘めている。

 

・[PDF]

20230721-63632

 

目次...

Abstract 概要
Target Audience 対象読者
Zero Trust Background and Drivers ゼロ・トラストの背景と推進要因
ZT Implementation Methodology ZTの実施方法
Scope 適用範囲
Introduction 序文
Identification of Entities and Attributes. 事業体と属性の識別。
Identity Proofing and Validation: 身元確認と検証:
Signals for Decision. 意思決定のためのシグナル
Authorization Based on Policy. ポリシーに基づく認可。
Dealing with Failed Policy Decision. 失敗したポリシー決定への対処。
Business Value. ビジネス価値。
Conclusion. 結論。
References. 参考文献
Foundational References 基礎となる参考文献

 

 

・[PDF]

20230721-64244

 

 

 

 

 

 

| | Comments (0)

CSA クラウドの IAM とは何か? (2023.07.12)

こんにちは、丸山満彦です。

システムの管理の基礎として、ID管理、アクセス管理、資産管理がありますよね。。。

英語の第3文型ですよね、SVO、ID管理はSに関連する。アクセス管理はV、資産管理はOに関連してきますよね。。。クラウドになったら、何がかわって、何がかわらないのか、それが理解できれば、それほど難しくない。。。

 

⚫︎Cloud Security Alliance

・2023.07.12 What is IAM for the Cloud?

 

What is IAM for the Cloud? クラウドの IAM とは何か?
The purpose of this document is to provide an understanding of the challenges and considerations involved in managing Identity and Access Management (IAM) in the cloud, as well as the importance of IAM to an organization's overall security strategy. このドキュメントの目的は、クラウドにおけるアイデンティティとアクセス管理(IAM)の管理に関する課題と考慮事項、および組織の全体的なセキュリティ戦略における IAM の重要性を理解することである。
Traditionally, IAM was intended as a general purpose mechanism to restrict and control access to enterprise resources by granting permissions to users or groups or users. The goal was entitlement, not so much control, and access was based entirely on assertions of username and password, coupled with group membership or permissions directly assigned at the resource. This model later evolved to centralize IAM, and access decisions were concentrated centrally at an authority such as a service, server, or Identity infrastructure. The threat landscape has materially changed over the years, and today, IAM is a core component of any digital access model. It evolves to employ ever-increasing visibility, granularity, and control as the nature of users, resources, and systems change. 従来、IAMは、ユーザーまたはグループに権限を付与することで、エンタープライズ・リソースへのアクセスを制限および制御する汎用的なメカニズムとして意図されていた。目的は権限付与であり、制御ではなかった。アクセスは、ユーザ名とパスワードの主張と、グループ・メンバーシップまたはリソースに直接割り当てられた権限に基づいていた。このモデルは後に IAM の集中化へと進化し、アクセス決定は、サービス、サーバー、または ID イン フラストラクチャなどの権限に集中するようになった。脅威の状況は年々大きく変化しており、今日、IAMはあらゆるデジタルアクセスモデルの中核をなす要素となっている。IAMは、ユーザー、リソース、システムの性質が変化するにつれて、可視性、きめ細かさ、および制御がますます向上するように進化する。

 

報告書...

・[PDF]

20230721-63620

 

 目次...

Acknowledgments 謝辞
Lead Authors 主執筆者
 CSA Global Staff  CSAグローバルスタッフ
 Abstract  概要
Introduction 序文
The Differences Between Cloud Environments vs. On-Premises Affecting IAM IAMに影響するクラウド環境とオンプレミス環境の違い
Retrospective analysis of IAM IAMの回顧分析
Where IAM Is Headed IAMの方向性
 IAM for the Cloud Environment  クラウド環境におけるIAM
The Ever-Increasing Significance of IAM in a Multi-cloud/Hybrid Environment マルチクラウド/ハイブリッド環境におけるIAMの重要性がますます高まる
 Importance of IAM to Senior Leadership  シニア・リーダーシップにとってのIAMの重要性
Challenges Organizations Face When Adopting IAM Effectively for the Cloud クラウドにIAMを効果的に導入する際に組織が直面する課題
 Top 10 Challenges in Identity  アイデンティティにおける課題トップ10
Cloud IAM Opportunities クラウドIAMの機会
Considerations and Best Practices for an Effective IAM Program for Cloud Environments クラウド環境の効果的なIAMプログラムのための考慮事項とベストプラクティス
Tips for Security/IAM Leaders and Practitioners on Communicating the Value of IAM .Conclusion IAMの価値をコミュニケーションするためのセキュリティ/IAMリーダーおよび実務者のためのヒント .結論

 

プレゼンテーション

・[PDF]

20230721-64236

 

 

 

 

 

| | Comments (0)

米国 公正取引委員会 保健社会福祉省 病院システムと遠隔医療プロバイダに対し、オンライン追跡技術によるプライバシーとセキュリティのリスクについて警告

こんにちは、丸山満彦です。

米国の公正取引委員会 (FTC)  と保健社会福祉省人権局 (HHS-OCR) が病院システムと遠隔医療プロバイダ、約130組織に対し、オンライン追跡技術によるプライバシーとセキュリティのリスクについて警告する共同書簡を関係する組織に送付したようですね。。。

しらずしらずに第三者提供してしまっているようなこともあるのでしょうかね。。。

 

Federal Trade Comission; FTC

リリース

・2023.07.20 FTC and HHS Warn Hospital Systems and Telehealth Providers about Privacy and Security Risks from Online Tracking Technologies

FTC and HHS Warn Hospital Systems and Telehealth Providers about Privacy and Security Risks from Online Tracking Technologies FTCとHHSは、病院システムと遠隔医療プロバイダに対し、オンライン追跡技術によるプライバシーとセキュリティのリスクについて警告する。
Letters highlight concerns stemming from use of technologies that may share a user’s sensitive health information 書簡は、ユーザーの敏感な健康情報を共有する可能性のある技術の使用から生じる懸念を強調する。
The Federal Trade Commission and the U.S. Department of Health and Human Services' Office for Civil Rights (OCR) are cautioning hospitals and telehealth providers about the privacy and security risks related to the use of online tracking technologies integrated into their websites or mobile apps that may be impermissibly disclosing consumers’ sensitive personal health data to third parties. 米連邦取引委員会(FTC)と米保健社会福祉省人権局(OCR)は、病院や遠隔医療プロバイダに対し、ウェブサイトやモバイルアプリに組み込まれたオンライン追跡技術の使用に関連し、消費者の機密個人健康データを第三者に不当に開示している可能性があるプライバシーとセキュリティのリスクについて警告している。
“When consumers visit a hospital’s website or seek telehealth services, they should not have to worry that their most private and sensitive health information may be disclosed to advertisers and other unnamed, hidden third parties,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “The FTC is again serving notice that companies need to exercise extreme caution when using online tracking technologies and that we will continue doing everything in our powers to protect consumers’ health information from potential misuse and exploitation.” FTC消費者保護局のサミュエル・レヴィーン局長は、次のように述べている。「消費者が病院のウェブサイトを訪れたり、遠隔医療サービスを受けたりする際、最もプライベートでセンシティブな健康情報が広告主や無名の隠れた第三者に開示されることを心配する必要はない。FTCは、企業がオンライン追跡技術を使用する際には細心の注意を払う必要があること、また、消費者の健康情報を悪用や搾取の可能性から守るため、今後も全力を尽くすことを改めて通告する。」
“Although online tracking technologies can be used for beneficial purposes, patients and others should not have to sacrifice the privacy of their health information when using a hospital’s website,” said Melanie Fontes Rainer, OCR Director. “OCR continues to be concerned about impermissible disclosures of health information to third parties and will use all of its resources to address this issue.” OCRのメラニー・フォンテス・レイナー局長は次のように述べた。「オンライン追跡技術は有益な目的のために使用されることがあるが、患者やその他の人々が病院のウェブサイトを使用する際に健康情報のプライバシーを犠牲にする必要はない。OCRは引き続き、医療情報のサードパーティへの許されない開示について懸念しており、この問題に対処するためにあらゆる資源を投入していく」
The two agencies sent the joint letter to approximately 130 hospital systems and telehealth providers to alert them about the risks and concerns about the use of technologies, such as the Meta/Facebook pixel and Google Analytics, that can track a user’s online activities. These tracking technologies gather identifiable information about users, usually without their knowledge and in ways that are hard for users to avoid, as users interact with a website or mobile app. 両機関は、約130の病院システムと遠隔医療プロバイダーに対し、ユーザーのオンライン活動を追跡できるメタ/フェイスブック・ピクセルやグーグル・アナリティクスなどの技術の使用に関するリスクと懸念について警告するため、共同書簡を送った。 これらのトラッキング技術は、ユーザーがウェブサイトやモバイルアプリを利用する際に、通常ユーザーが知らないうちに、またユーザーが避けることが難しい方法で、ユーザーに関する識別可能な情報を収集する。
In their letter, both agencies reiterated the risks posed by the unauthorized disclosure of an individual’s personal health information to third parties. For example, the disclosure of such information could reveal sensitive information including health conditions, diagnoses, medications, medical treatments, frequency of visits to health care professionals, and where an individual seeks medical treatment. 両機関は書簡の中で、個人の健康情報が第三者へ無許可で開示されることによってもたらされるリスクを改めて強調した。例えば、そのような情報の開示は、健康状態、診断、投薬、治療、医療専門家への受診頻度、個人がどこで治療を受けたかなどの機密情報を明らかにする可能性がある。
HHS highlighted these concerns in a bulletin it issued late last year that reminded entities covered by the  Health Insurance Portability and Accountability Act (HIPAA) of their responsibilities to protect health data from unauthorized disclosure under the law. HHSは、昨年末に発行した「医療保険の相互運用性と説明責任に関する法律(HIPAA)」の適用を受ける事業体に対し、同法に基づく不正な開示から健康データを保護する責任を喚起する通達の中で、こうした懸念を強調している。
Companies not covered by HIPAA still have a responsibility to protect against the unauthorized disclosure of personal health information—even when a third party developed their website or mobile app. Through its recent enforcement actions against BetterHelp, GoodRx and Premom, as well as recent guidance from the FTC’s Office of Technology, the FTC has put companies on notice that they must monitor the flow of health information to third parties that use tracking technologies integrated into websites and apps. The unauthorized disclosure of such  information may violate the FTC Act and could constitute a breach of security under the FTC’s Health Breach Notification Rule. HIPAAの適用を受けない企業は、サードパーティがウェブサイトやモバイルアプリを開発した場合でも、個人健康情報の不正な開示から保護する責任がある。BetterHelp、GoodRx、Premomに対する最近の強制措置や、FTC技術局からの最近のガイダンスを通じて、FTCは、ウェブサイトやアプリに統合された追跡技術を使用するサードパーティへの健康情報の流れを監視しなければならないことを企業に警告している。 このような情報の不正な開示はFTC法に違反する可能性があり、FTCの健康情報漏えい通知規則のセキュリティ違反に該当する可能性がある。

 

共同書簡

・[PDF]

20230725-10901

 

・[DOCX] 仮訳

 

ブログ

・2023.07.20 FTC-HHS joint letter gets to the heart of the risks tracking technologies pose to personal health information

FTC-HHS joint letter gets to the heart of the risks tracking technologies pose to personal health information FTCとHHSの共同書簡は、追跡技術が個人健康情報にもたらすリスクの核心を突いている。
We usually don’t recommend reading other people’s mail, but even if you weren’t one of the approximately 130 companies that received a recent joint letter from the FTC and HHS’ Office for Civil Rights (OCR), anyone in the health arena – hospitals, other HIPAA-covered entities, telehealth providers, health app developers, etc. – should take the letter to heart and consider a privacy and security check-up at their business. 通常、他人の郵便物を読むことは推奨しないが、FTCとHHSの人権局(OCR)からの最近の共同書簡を受け取った約130社のうちの1社でなかったとしても、病院、その他のHIPAAの対象となる事業体、遠隔医療プロバイダ、健康アプリ開発者など、健康分野に携わる人なら誰でも、この書簡を心に留め、事業におけるプライバシーとセキュリティの点検を検討すべきである。
The joint letter alerts recipients to the risks that tracking technologies – including Meta/Facebook pixel and Google Analytics – pose to the privacy and security of consumers’ personal health information. As users interact with websites or mobile apps, technologies are often tracking their online activities and gathering personal data about them. Much of this happens behind the scenes with consumers utterly unaware they’re being tracked and unable to avoid what’s happening.
この共同書簡は、メタ/フェイスブックピクセルやグーグルアナリティクスを含むトラッキング技術が消費者の個人健康情報のプライバシーとセキュリティにもたらすリスクについて取得者に警告している。ユーザーがウェブサイトやモバイルアプリを利用する際、テクノロジーはしばしばユーザーのオンライン活動を追跡し、個人データを収集している。その多くは、消費者が追跡されていることに全く気づかず、何が起きているのかを避けることもできないまま、舞台裏で行われている。
The nature of the data these technologies are gathering without consumers’ consent – for example, health conditions, diagnoses, medications, and visits to healthcare providers – is uniquely confidential. And impermissible disclosure can lead to identity theft, financial loss, discrimination, stigma, mental anguish, and other injurious consequences. これらのテクノロジーが消費者の同意なしに収集しているデータの性質(例えば、健康状態、診断、投薬、医療プロバイダへの訪問など)は、他に類を見ないほど機密性の高いものである。そして、許されない開示は、個人情報の盗難、経済的損失、差別、汚名、精神的苦痛、その他の有害な結果につながる可能性がある。
You’ll want to read the letter for OCR’s perspectives on tracking and personal health information, but here’s a sentence worth highlighting: “HIPAA regulated entities are not permitted to use tracking technologies in a manner that would result in impermissible disclosures of PHI to third parties or any other violations of the HIPAA Rules.” The letter also cites a December 2022 OCR bulletin with an overview about how HIPAA applies to the use of online tracking technologies. 追跡と個人健康情報についてのOCRの見解については書簡を読んでいただきたいが、特筆すべき一文がある: 「HIPAA規制事業体は、PHIのサードパーティへの開示やその他のHIPAA規則違反をもたらすような方法で追跡技術を使用することは許されない。この書簡はまた、オンライン追跡技術の使用にHIPAAがどのように適用されるかについての概要が記載された2022年12月のOCR通達も引用している。
But even if a company isn’t covered by HIPAA, the letter is a reminder that it still has obligations under the FTC Act and the FTC’s Health Breach Notification Rule to protect against the impermissible disclosures of personal health information. Citing recent FTC law enforcement actions against Easy HealthcareBetterHelpGoodRx, and Flo Health, the letter establishes that it's “essential to monitor data flows of health information to third parties via technologies you have integrated into your website or app.” What if you had someone else design your site or app? The compliance buck still stops with you. Furthermore, your company is legally responsible even if you don’t use the data obtained through tracking technologies for marketing purposes. しかし、たとえ企業がHIPAAの適用を受けていないとしても、個人健康情報の許されない開示から保護するために、FTC法およびFTCの健康侵害通知規則の下での義務があることを、この書簡は喚起している。Easy Healthcare、BetterHelp、GoodRx、Flo Healthに対する最近のFTC法執行措置を引き合いに出しながら、この書簡は、「ウェブサイトやアプリに統合した技術を通じて、サードパーティへの健康情報のデータフローを監視することが不可欠」であることを立証している。もし、あなたのサイトやアプリを他の誰かにデザインしてもらったらどうなるだろうか?コンプライアンスの責任は依然としてあなたにある。さらに、トラッキング技術によって得られたデータをマーケティング目的で使用しなくても、法的責任は貴社にある。
In addition to underscoring that both agencies are watching developments in this area, the letter ends with this admonition: “To the extent you are using the tracking technologies described in this letter on your website or app, we strongly encourage you to review the laws cited in this letter and take actions to protect the privacy and security of individuals’ health information.” 両機関がこの分野の動向を注視していることを強調した上で、この書簡は次のような警告で締めくくられている: 「この書簡に記載されているトラッキング技術をウェブサイトやアプリで使用している限りにおいて、この書簡で引用されている法律を確認し、個人の健康情報のプライバシーとセキュリティを保護するための措置を講じることを強く推奨する」。
That’s sound advice for companies that received the joint letter – and for other businesses, too. これは、共同書簡を受け取った企業にとって、そして他の企業にとっても、適切なアドバイスである。
Check out more health privacy resources from the FTC. FTCが提供するその他の医療プライバシーに関するリソースをチェックする。

 

Health and Human Services  - Office for Civil Rights (OCR)

・2023.07.20 HHS Office for Civil Rights and the Federal Trade Commission Warn Hospital Systems and Telehealth Providers about Privacy and Security Risks from Online Tracking Technologies

HHS Office for Civil Rights and the Federal Trade Commission Warn Hospital Systems and Telehealth Providers about Privacy and Security Risks from Online Tracking Technologies HHS市民権局と連邦取引委員会は、オンライン追跡技術によるプライバシーとセキュリティのリスクについて、病院システムと遠隔医療プロバイダに警告を発する。
Letters highlight concerns about use of online tracking technologies such as Google Analytics and Meta Pixel in violation of HIPAA Google AnalyticsやMeta Pixelのようなオンライントラッキング技術のHIPAA違反使用に関する懸念を強調する書簡が出された。
The U.S. Department of Health and Human Services (HHS), Office for Civil Rights (OCR) and the Federal Trade Commission (FTC) are cautioning hospitals and telehealth providers about the privacy and security risks related to the use of online tracking technologies that may be integrated into their websites or mobile apps that may be impermissibly disclosing consumers’ sensitive personal health data to third parties. Tracking technologies are used to collect and analyze information about how users interact with websites or mobile apps. Generally, tracking technologies developed by third parties send information directly to the third parties who developed such technologies and may continue to track users and gather information about them even after they navigate away from the original website to other websites.  米国保健社会福祉省(HHS)、公民権局(OCR)および連邦取引委員会(FTC)は、病院や遠隔医療プロバイダに対し、ウェブサイトやモバイルアプリに組み込まれている可能性のあるオンライン追跡技術の使用に関連するプライバシーおよびセキュリティリスクについて警告している。トラッキング・テクノロジーは、ユーザーがウェブサイトやモバイル・アプリをどのように利用するかについての情報を収集・分析するために使用される。 一般的に、サードパーティによって開発された追跡技術は、そのような技術を開発したサードパーティに直接情報を送信し、ユーザーが元のウェブサイトから他のウェブサイトに移動した後も、ユーザーを追跡し続け、彼らに関する情報を収集する可能性がある。 
OCR administers and enforces the Health Insurance Portability and Accountability Act of 1996 (HIPAA) Privacy, Security and Breach Notification Rules which set minimum privacy and security standards for the protection of certain individually identifiable health information. FTC’s mission is protecting the public from deceptive or unfair business practices and from unfair methods of competition through law enforcement, advocacy, research, and education.  OCRは、1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)のプライバシー、セキュリティ、および侵害通知に関する規則を管理・執行している。FTCの使命は、法の執行、アドボカシー、調査、教育を通じて、欺瞞的または不公正な商行為や不公正な競争方法から国民を守ることである。 
“Although online tracking technologies can be used for beneficial purposes, patients and others should not have to sacrifice the privacy of their health information when using a hospital’s website,” said Melanie Fontes Rainer, OCR Director. “OCR continues to be concerned about impermissible disclosures of health information to third parties and will use all of its resources to address this issue.” OCRのメラニー・フォンテス・レイナー局長は次のように述べた。「オンライン追跡技術は有益な目的で使用されることもあるが、患者やその他の人々が病院のウェブサイトを利用する際に、自分の健康情報のプライバシーを犠牲にする必要はない。OCRは引き続き、医療情報のサードパーティへの許されない開示について懸念しており、この問題に対処するためにあらゆるリソースを駆使していく。」
“When consumers visit a hospital’s website or seek telehealth services, they should not have to worry that their most private and sensitive health information may be disclosed to advertisers and other unnamed, hidden third parties,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “The FTC is again serving notice that companies need to exercise extreme caution when using online tracking technologies and that we will continue doing everything in our powers to protect consumers’ health information from potential misuse and exploitation.” FTC消費者保護局のサミュエル・レバイン局長は、次のように述べた。「消費者が病院のウェブサイトを訪れたり、遠隔医療サービスを求めたりする際、最もプライベートでセンシティブな健康情報が広告主や無名の隠れた第三者に開示されることを心配する必要はない。「FTCは、企業がオンライン・トラッキング技術を使用する際には細心の注意を払う必要があること、また、消費者の健康情報を悪用や搾取の可能性から守るため、今後も全力を尽くすことを改めて通告する。」
The two agencies sent the joint letter - PDF* to approximately 130 hospital systems and telehealth providers to emphasize the risks and concerns about the use of technologies, such as the Meta/Facebook pixel and Google Analytics, that can track a user’s online activities. These tracking technologies gather identifiable information about users, usually without their knowledge and in ways that are hard for users to avoid, as users interact with a website or mobile app. 両機関は、約130の病院システムや遠隔医療プロバイダーに対し、Meta/FacebookピクセルやGoogleアナリティクスなど、ユーザーのオンライン活動を追跡する技術の使用に関するリスクと懸念を強調するため、共同書簡(PDF*)を送付した。これらのトラッキング技術は、ユーザーがウェブサイトやモバイルアプリとやりとりする際に、通常ユーザーが知らないうちに、またユーザーが避けることが難しい方法で、ユーザーに関する識別可能な情報を収集する。
OCR highlighted these concerns in a bulletin it issued late last year that reminded entities covered by HIPAA of their responsibilities to protect health data from unauthorized disclosure under the law.  Since that time, OCR has confirmed its active investigations nationwide to ensure compliance with HIPAA. OCRは昨年末に発行した通達の中でこれらの懸念を強調し、HIPAAの対象となる事業体に対し、同法に基づく不正な開示から健康データを保護する責任を喚起した。  それ以来、OCRはHIPAAの遵守を確認するため、全国で積極的な調査を行っている。
Companies not covered by HIPAA still have a responsibility to protect against the unauthorized disclosure of personal health information—even when a third party developed their website or mobile app. Through its recent enforcement actions against BetterHelpGoodRx and Premom, as well as recent guidance from the FTC’s Office of Technology, the FTC has put companies on notice that they must monitor the flow of health information to third parties that use tracking technologies integrated into websites and apps. The unauthorized disclosure of such information may violate the FTC Act and could constitute a breach of security under the FTC’s Health Breach Notification Rule. HIPAAの適用を受けていない企業は、サードパーティがウェブサイトやモバイルアプリを開発した場合でも、個人健康情報の不正な開示から保護する責任を負っている。BetterHelp、GoodRx、Premomに対する最近の強制措置や、FTCの技術局からの最近のガイダンスを通じて、FTCは、ウェブサイトやアプリに統合された追跡技術を使用するサードパーティへの健康情報の流れを監視しなければならないことを企業に警告している。このような情報の不正な開示はFTC法に違反する可能性があり、FTCのHealth Breach Notification Ruleに基づくセキュリティ違反となる可能性がある。

 

HIPPAでカバーされる事業者は2022年12月のこちらも...

参考

・2022.12.01 Use of Online Tracking Technologies by HIPAA Covered Entities and Business Associates

 

 

| | Comments (0)

米国 CISAのディレクターが最初の一歩として選んだ4つのセキュリティ対策

こんにちは、丸山満彦です。

CISAもブログをしていますが、ディレクターのEric Goldsteinさんが、「4つの目標でサイバーセキュリティ向上への第一歩を踏み出そう」という記事を書いていますね。。。

なるほど、この4つを選んだか...と

  1. デフォルトパスワードの変更
  2. 多要素認証
  3. ユーザーアカウントと特権アカウントの分離
  4. インシデント対応計画

 

1995年くらいにコンピュータ全般内部統制の評価をすることになったのですが、その際にならったことは今でも役立ちます。

1. Scott といえば Tiger。オラクルのデフォルトユーザのデフォルトパスワードの変更が必要という話です。もちろん、アカウントを使えないようにしてから、パスワードも変えるということをするのですが、Soctt といえば Tigerで、書庫パスワード変更の必要性を覚えることができました。。。

3. UNIXのSUコマンド。一般のユーザーとしてシステムを利用するときと、システム管理者としてシステムにアクセスするときは、アカウントを使い分けろとならいましたね。。。システム管理者としてログイン、ログアウトの管理を確かにするのと、システム管理者の操作ログの取得と検査の重要性を学びました。。。

 

CISA - Blog

・2023.07.21 Take the First Steps Towards Better Cybersecurity With these Four Goals

Take the First Steps Towards Better Cybersecurity With these Four Goals 4つの目標でサイバーセキュリティ向上への第一歩を踏み出そう
Every day, organizations across our country are impacted by cyber intrusions, many of which affect the delivery of essential services. Security professionals and business leaders alike recognize the need to protect their customers, employees, and enterprises against this threat, which raises a simple but challenging question: where to start? 毎日、わが国中の組織がサイバー侵入の影響を受けており、その多くは重要なサービスの提供に影響を及ぼしている。セキュリティの専門家もビジネスリーダーも同様に、顧客、従業員、エンタープライズをこの脅威から守る必要性を認識している。
We know that no organization can adopt every possible cybersecurity measure or solution, but every organization can do something. We also know that some cybersecurity measures are more effective than others in addressing the types of attacks that occur with the greatest frequency and impact. There’s no shortage of guidance, best practices, and standards, but we’ve heard from countless partners about a challenge in prioritization. 私たちは、どの組織も可能な限りのサイバーセキュリティ対策やソリューションを採用できないことを知っているが、どの組織も何かしらできるはずだ。また、サイバーセキュリティ対策の中には、最も高い頻度で発生し、大きな影響を及ぼす攻撃の種類に対処する上で、他のものよりも効果的なものがあることも分かっている。ガイダンス、ベスト・プラクティス、標準には事欠かないが、優先順位付けの難しさについては、数え切れないほどのパートナーから聞かされている。
To address this gap, President Biden’s National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems required Cybersecurity and Infrastructure Security Agency (CISA) to work with industry and interagency partners to develop a set of voluntary Cross-Sector Cybersecurity Performance Goals (CPGs). We first introduced the CPGs in December 2022 and updated them this March based on initial stakeholder feedback. The CPGs were developed for entities of all sizes and across all sectors and meant to enable rigorous prioritization because being secure shouldn’t mean breaking the budget. In addition, the CPGs can help organizations evaluate their current cyber posture while guiding them on how to achieve a strong cybersecurity foundation for their organization このギャップに対処するため、バイデン大統領の「重要インフラ制御システムのサイバーセキュリティ改善に関する国家安全保障覚書」は、サイバーセキュリティ・インフラセキュリティ庁(CISA)に対し、産業界および省庁間のパートナーと協力して、自主的なセクター横断的サイバーセキュリティ・パフォーマンス目標(CPGs)を策定するよう求めた。CISAは2022年12月にCPGを初めて導入し、利害関係者からの初期的なフィードバックに基づいて今年3月に更新した。CPGは、あらゆる規模、あらゆるセクターの事業体向けに開発され、厳格な優先順位付けを可能にすることを意図している。さらに、CPGは、組織が現在のサイバー態勢を評価するのに役立つと同時に、組織の強固なサイバーセキュリティ基盤を実現する方法を導くものでもある。
We believe that if every organization incorporates fundamental cybersecurity practices that they can materially reduce the risk of intrusions, no matter what sector or what size. As the nation’s Cyber Defense Agency, our goal at CISA is to make it easier for every organization to prioritize the most important cybersecurity practices. We also want to be sure they are clear, easy-to-understand, and when—implemented—lay out tangible steps organizations can take to reduce the risk of cyberattacks and the damage they can wreak. すべての組織が基本的なサイバーセキュリティの実践を取り入れれば、業種や規模を問わず、侵入のリスクを大幅に低減できると信じている。国のサイバー防衛機関として、CISAの目標は、すべての組織が最も重要なサイバーセキュリティの実践に優先順位をつけやすくすることである。また、サイバー攻撃のリスクとその被害を軽減するために組織が取るべき具体的なステップを示す、明確で理解しやすいものでありたいと考えている。
Organized according to the Cybersecurity Framework, the CPGs reflect some of the best thinking gleaned from across the cybersecurity community and draw from extensive input from experts across sectors, public and private, domestic and international. サイバーセキュリティフレームワークに従って整理されたCPGは、サイバーセキュリティ・コミュニティ全体から得られた最良の考え方の一部を反映しており、官民、国内外を問わず、セクターを超えた専門家からの広範なインプットから作成されている。
While the full list of goals may seem long, particularly for small organizations, they are quite achievable. For example, some straightforward and essential practices you can start implementing today are: 目標の全リストは、特に小規模な組織にとっては長く感じられるかもしれないが、かなり達成可能なものである。例えば、今日から実施できる簡単で不可欠なプラクティスをいくつか紹介しよう:
Change default passwords (CPG Goal 2.A): Creating and enforcing an organization-wide policy that requires changing default manufacturer’s passwords prior to putting hardware, software, or firmware on the network can help organizations both prevent initial access by threat actors and hinder lateral movement in the event of a compromise. Many devices, such as smartphones, may prompt new users to set up a new password by default. However, many devices still do not prompt users to take this action, and it should be one of the first steps when deploying any new asset or device. Importantly, no technology product should come with a default password that isn’t reset on first use. When purchasing a product, ask your vendor about their use of default passwords! ・デフォルトのパスワードを変更する(CPG目標2.A): ハードウェア、ソフトウェア、ファームウェアをネットワークに導入する前に、製造元のデフォルトのパスワー ドを変更することを義務付ける組織全体のポリシーを策定し、実施することは、脅威行為者による初期アクセスの防止と、侵害が発生した場合の横の動きの抑制の両方に役立つ。スマートフォンのような多くのデバイスは、デフォルトで新しいパスワードを設定するよう新規ユーザーを促すかもしれない。しかし、多くのデバイスはまだこのアクションをユーザーに促しておらず、新しい資産やデバイスを導入する際の最初のステップの一つであるべきだ。重要なことは、どのようなテクノロジー製品も、初回使用時にリセットされないデフォルトのパスワードが付属すべきではないということである。製品を購入する際には、デフォルト・パスワードの使用についてベンダーに尋ねること!
Implement phishing-resistant multifactor authentication (MFA) (CPG Goal 2.H): Adding a critical, additional layer of security to protect your organizations’ accounts can deny threat actors an initial foothold used to wreak havoc. CISA recommends using hardware-based tokens, such as FIDO or Public Key Infrastructure, for the greatest resistance to exploitation. App-based soft tokens are a good option as well. While better than having no additional security layer, Short Message Service (SMS) should be an organization’s last resort for implementing multifactor authentication. For more information see CISA’s fact sheet on Implementing Phishing Resistant MFA along with other information available on CISA’s More than a Password page. Similarly, to the action above, technology products should come out of the box with MFA enabled as a default, without additional cost. When selecting a technology product, remind your vendor that you expect MFA to be automatically enabled for all users. ・フィッシングに強い多要素認証(MFA)を導入する(CPGゴール2.H): 組織のアカウントを保護するために、重要な追加のセキュリティ・レイヤーを追加することで、脅威行為者が大惨事を引き起こすための最初の足がかりを奪うことができる。CISAは、悪用に対する最大の抵抗力として、FIDOや公開鍵基盤などのハードウェアベースのトークンの使用を推奨している。アプリベースのソフトトークンも良い選択肢だ。セキュリティ・レイヤーを追加しないよりはましだが、ショート・メッセージ・サービス(SMS)は、多要素認証を実装するための組織の最後の手段であるべきだ。詳細については、CISAのファクト・シート「フィッシングに強いMFAの実装」を参照のこと。上記のアクションと同様に、テクノロジー製品は、追加コストなしで、デフォルトで MFA を有効にした状態で出荷されるべきである。テクノロジー製品を選択する際には、MFAがすべてのユーザーに対して自動的に有効になることを期待していることをベンダーに思い出させる。
Separate user and privileged accounts (CPG Goal 2.E): Make it harder for threat actors to gain access or escalate privileges, even if user accounts get compromised, by ensuring no user accounts have administrator-level privileges. Be sure to frequently re-evaluate privileges on a recurring basis to validate need for certain permissions. For example, an employee on the marketing team should likely not have access to company human resources data, as it is not necessary for their daily work.   ・ユーザアカウントと特権アカウントを分離する(CPGゴール2.E): ユーザ・アカウントに管理者レベルの特権を持たせないようにすることで、たとえユーザ・アカウントが侵害されたとしても、脅威行為者がアクセスしたり特権を拡大したりすることを困難にする。定期的に権限を再評価し、特定の権限の必要性を確認する。例えば、マーケティングチームの従業員は、日常業務に必要でないため、会社の人事データにアクセスすべきではないだろう。  
Incident response plans (CPG Goal 2.S): Create, maintain, and exercise cybersecurity response plans, which can help an organization know what needs to be done to quickly address common threat scenarios and recover more quickly. While large organizations may have complex plans, smaller entities may start with a simple plan outlining immediate steps to take in an emergency (such as contacting a service provider for assistance) and improve on the plan over time. CISA recommends organizations practice exercising the plan by drilling realistic scenarios at least annually. Again, for large organizations these may be carefully planned tabletop exercises, but for small teams, approaches such as simple rehearsals or spoken walkthroughs can still provide value. ・インシデント対応計画(CPG 目標 2.S): これは、一般的な脅威シナリオに迅速に対処し、より迅速に復旧するために何が必要かを組織が把握するのに役立つ。大規模な事業体であれば複雑な計画を策定しているかもしれないが、小規模な事業体であれば、緊急時に取るべき緊急措置(プロバイダへの連絡など)をまとめたシンプルな計画から着手し、時間をかけて計画を改善していくこともできる。CISAは、少なくとも年1回、現実的なシナリオを想定し、計画を実践することを推奨している。この場合も、大規模な組織の場合は、入念に計画された机上演習になるかもしれないが、小規模なチームの場合は、簡単なリハーサルや口頭によるウォークスルーなどのアプローチでも価値を提供することができる。
We offer a free CPG assessment to help organizations identify areas for maturation and develop a targeted roadmap. Consider a self-assessment or get in touch with our regional team members in your area to learn more! To learn more about the CPGs, take a look at our brief video and visit www.cisa.gov/cpg. 当庁は、組織が成熟すべき領域を特定し、目標とするロードマップを作成するのに役立つ無料のCPGアセスメントを提供している。セルフ・アセスメントをご検討いただくか、お近くの当社地域チーム・メンバーにお問い合わせいただきたい!CPGの詳細については、簡単なビデオを確認のこと。www.cisa.gov/cpg。

 

Cross-Sector Cybersecurity Performance Goals

ビデオ...

 

 

 

CISA CPG Checklist

・[PDF] CISA CPG Checklist

20230329-182025

 

CPG Report

・[PDF] CPG Report

20230329-175409

Complete CPGs Matrix/Spreadsheet

・[XLSX] Complete CPGs Matrix/Spreadsheet

 

 

1_20230724154102

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.30 米国 CISA サイバーセキュリティ・パフォーマンス目標 (CPGs) の更新版を発表 (2023.03.21)

・2022.11.03 米国 国土安全保障省 (DHS) 重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標 (2022.10.27)

 

 

| | Comments (0)

2023.07.24

CSA クラウドとセキュリティ侵害 (C&C): クラウド・セキュリティのゲーム (2023.07.10)

こんにちは、丸山満彦です。

CSAがクラウドとセキュリティ侵害 (C&C): クラウド・セキュリティのゲームを公表していますね。。。

基本レベルと、上級レベルと2つのゲームがあるようですが、、、楽しく学べるようなものなんでしょうか?どうなんでしょうかね。。。

 

⚫︎Cloud Security Alliance

・2023.07.10 Cloud and Compromise (C&C): Gamifying of Cloud Security

 

Cloud and Compromise (C&C): Gamifying of Cloud Security クラウドとセキュリティ侵害(C&C): クラウド・セキュリティのゲーム化
CSA’s Top Threats Working Group works to identify the most significant cloud security threats, vulnerabilities, and weaknesses; analyze major incidents; and evaluate and propose the means to mitigate the root causes of those threats. After their Cloud Threat Modeling publication, this guide is the working group’s next step to deepen the guidance on cloud security gamification. CSA の Top Threats Working Group は、最も重要なクラウドセキュリティの脅威、脆弱性、および弱点を特定し、主要なインシデントを分析し、これらの脅威の根本原因を緩和する手段を評価し、提案することに取り組んでいる。クラウド脅威モデリング」の発表後、クラウドセキュリティゲーミフィケーションに関するガイダンスを深めるために、このワーキンググループは次のステップに進む。
Use this document as your template to conduct a cybersecurity tabletop exercise that familiarizes all participants with the cloud incident response process. Included in the download are instructions on how to play the game, tips and tricks for getting the most out of your tabletop exercise, and game cards to print out. 参加者全員がクラウドのインシデント対応プロセスに慣れるようなサイバーセキュリティ机上演習を実施するために、この文書をテンプレートとして使用する。ダウンロードには、ゲームの進め方、机上演習を最大限に活用するためのヒントとコツ、印刷用のゲームカードが含まれている。
Key Takeaways: 主な要点
・Understand how to build and secure basic cloud architectures  ・基本的なクラウドアーキテクチャを構築し、セキュリティを確保する方法を理解する 
・Understand basic security team roles when building a cybersecurity program  ・サイバーセキュリティ・プログラムを構築する際の基本的なセキュリティ・チームの役割を理解する 
・Identify and protect key assets with cloud security controls and countermeasures  ・クラウドのセキュリティ制御と対策により、重要な資産を識別し、保護する 
・Protect, detect, and respond to cloud threats and threat indicators ・クラウドの脅威と脅威指標を防御、検知、対応する

 

・[ZIP]

・[PDF] 説明書

20230724-180250

 

・[PDF] ゲーム用カード

20230724-180221

プレゼンテーション

・[PDF]

20230724-180906

 

 

 

| | Comments (0)

CSA ChatGPTのセキュリティへの影響 (2023.04.23, 06.20)

こんにちは、丸山満彦です。

ChatGPTのセキュリティへの影響についての文書を公表していますね。。。(翻訳も...)

参考になる部分もあると思います。。。

 

⚫︎Cloud Security Alliance

日本語訳

・2023.06.20 Security Implications of ChatGPT - Japanese Translation

20230721-63612

原文

・2023.04.23 Security Implications of ChatGPT

Security Implications of ChatGPT ChatGPTのセキュリティへの影響
This position paper provides analysis across four dimensions: How it can benefit cybersecurity, how it can benefit malicious attackers, how ChatGPT might be attacked directly, and guidelines for responsible usage. The paper provides clarity about managing the risks in leveraging ChatGPT, but what may be surprising to some, it also identifies over a dozen specific use cases for improving cybersecurity within an organization. このポジションペーパーでは、4つの側面から分析を行う: ChatGPTがサイバーセキュリティにどのような利益をもたらすか、悪意のある攻撃者にどのような利益をもたらすか、ChatGPTがどのように直接攻撃される可能性があるか、そして責任ある利用のためのガイドラインである。ChatGPTを活用する上でのリスクマネジメントを明確にしているが、驚くべきことに、組織内のサイバーセキュリティを改善するための具体的なユースケースを10以上特定している。

 

本文

・[PDF]

20230724-164722

 

プレゼンテーション

・[PDF] 

20230724-164519

 

| | Comments (0)

CSA GDPR遵守のためのCSA行動規範のギャップ解決と附属書10

こんにちは、丸山満彦です。

Cloud Security Alliance; CSAが、GDPR遵守のためのCSA行動規範のギャップ解決と附属書10と資料を公表していますね。。。

 

⚫︎Cloud Security Alliance

・2023.06.21 CSA Code of Conduct Gap Resolution and Annex 10 to the CSA Code of Conduct for GDPR Compliance

 

CSA Code of Conduct Gap Resolution and Annex 10 to the CSA Code of Conduct for GDPR Compliance GDPR遵守のためのCSA行動規範のギャップ解決と附属書10
This bundle from the CSA Privacy Level Agreement Working Group includes: CSAプライバシーレベル合意作業部会からのこのバンドルには以下が含まれる:
・CSA Code of Conduct Gap Resolution spreadsheet ・CSA行動規範ギャップ解決スプレッドシート
・Annex 10 to the CSA Code of Conduct for GDPR Compliance report ・GDPR遵守のためのCSA行動規範の附属書10報告書
These documents are the result of a mapping exercise conducted between the California Consumer Privacy Act (CCPA), the EU’s General Data Protection Regulation (GDPR), and CSA’s Code of Conduct for GDPR Compliance (CoC). This mapping exercise singled out some CCPA provisions that were not fully covered by the CoC, which may create obligations for cloud service providers hoping to achieve CCPA compliance.  これらの文書は、カリフォルニア州消費者プライバシー法(CCPA)、EUの一般データ保護規則(GDPR)、およびCSAのGDPR準拠のための行動規範(CoC)の間で実施されたマッピング演習の結果である。このマッピング作業により、CoCで完全にカバーされていないCCPAの条項がいくつか発見され、CCPAのコンプライアンス達成を望むクラウドサービスプロバイダに義務が生じる可能性があることが判明した。 
Together, the CoC Gap Resolution and Annex 10 to the CoC set out additional controls that allow cloud service providers to leverage the CoC as a means to achieve and demonstrate CCPA compliance. Furthermore, in line with the overall goals of the CoC, Annex 10 allows cloud customers to assess cloud service providers’ level of compliance with both the GDPR and the CCPA, allowing them to make informed engagement decisions. CoCギャップ解決策とCoC附属書10は、クラウドサービスプロバイダがCoCを活用してCCPAコンプライアンスを達成・実証できるようにするための追加的な管理策を定めている。さらに、CoCの全体的な目標に沿って、附属書10は、クラウド顧客がクラウドサービスプロバイダのGDPRとCCPAの両方への準拠レベルを評価することを可能にし、クラウド顧客は十分な情報に基づいたエンゲージメントの意思決定を行うことができる。

 

チェックリスト等

・[ZIP]

 

プレゼンテーション

・[PDF]

20230724-172731

 

 

| | Comments (0)

Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)

こんにちは、丸山満彦です。

Rand研究所 [wikipedia] が米国のセキュリティ・クリアランス・プロセスに関するネット上の誤解を評価した結果の報告書を公表していますね。。。

米国のセキュリティクリアランス制度はそれ自体が、既得権益ビジネスになっている面もあるのかもしれないですが、わかりにくい面もあるようです。

本来であれば、政府がわかりやすく広報をすればよいというのが、今回の提言のポイントのようにも感じます。

ただ、デジタル評価しずらい面もあるのでしょうね。。。

日本もセキュリティ・クリアランスを考えているようですので、制度運用上の参考になるかもですね。。。

 

Rand Corporation

・2023.07 Assessing Misperceptions Online About the Security Clearance Process

Assessing Misperceptions Online About the Security Clearance Process セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する
The purpose of this report is to describe and analyze information and potential misinformation available online about the security clearance process that could lead to misperceptions about the process. The security clearance process may seem confusing and opaque to the public, leading some people to seek clarity from others about their own experiences. Seeking out this kind of information from acquaintances, friends, and family is nothing new, but access to the internet allows people to search for additional sources that might offer answers to their questions, as well as inquire of a larger number of people on public forums about this process. 本報告書の目的は、セキュリティ・クリアランスのプロセスに関する誤解を招きかねない、オンラインで入手可能な情報と潜在的誤情報を記述・分析することである。セキュリティ・クリアランスのプロセスは、一般の人々には分かりにくく、不透明なものに見えるかもしれない。知人や友人、家族にこの種の情報を求めることは今に始まったことではないが、インターネットを利用すれば、自分の疑問に対する答えを提供してくれそうな情報源をさらに探したり、このプロセスについて公開フォーラムでより多くの人に問い合わせたりすることができる。
Reviewing the questions and content on such forums provides insight into what people are asking — and what answers they are getting — and reveals areas in which there are potential misperceptions about the process. このようなフォーラムでの質問や内容を検討することで、人々が何を質問し、どのような回答を得ているかについての洞察が得られ、このプロセスについて潜在的な誤解がある分野が明らかになる。
Research Questions 調査項目
1. What types of information about the security clearance process are online? 1. セキュリティ・クリアランスのプロセスについて、オンライン上にはどのような情報があるか。
2. Where are opportunities to clarify areas of confusion about the clearance process? 2. クリアランス手続きについて混乱している部分を明らかにする機会はどこにあるのか。
Key Findings 主な調査結果
・Government sources are comprehensive but more difficult to understand versus nongovernment sources. ・政府の情報源は包括的であるが、非政府の情報源に比べて理解しにくい。
・Most nongovernment information online is not necessarily false but could lead to misperceptions. ・ネット上の非政府情報のほとんどは、必ずしも誤りではないが、誤解を招く可能性がある。
・Popular topics discussed in online forums could lead to misperceptions by some users. ・オンライン・フォーラムで議論されている人気のある話題は、一部の利用者の誤解を招く可能性がある。
Recommendations 提言
・The federal government should develop and release more accessible, easy-to-understand content that explains the nuances of the security clearance process and includes explanations about the whole-person concept, risk factors, and factors that may mitigate risks. ・連邦政府は、セキュリティ・クリアランス・プロセスのニュアンスを説明し、全人格概念、リスク要因、リスクを軽減する要因に関する説明を含む、よりアクセスしやすく理解しやすいコンテンツを開発し、公開すべきである。
・The federal government should periodically assess online information about the security clearance process to understand what information and misperceptions should be addressed. ・連邦政府は、セキュリティ・クリアランス・プロセスに関するオンライン情報を定期的に評価し、どのような情報や誤解に対処すべきかを理解すべきである。
・The federal government should consider an effort to conduct targeted outreach on some of these online forums that directs users to more official sources. ・連邦政府は、こうしたオンライン・フォーラムの一部で、利用者をより公式な情報源に誘導するような、的を絞ったアウトリーチを実施する取り組みを検討すべきである。
・The federal government should evaluate the effectiveness of outreach on popular online forums. ・連邦政府は、人気のあるオンライン・フォーラムにおけるアウトリーチの効果を評価すべきである。
Table of Contents 目次
Chapter One: Introduction 第1章:序文
Chapter Two: Analysis of Publicly Available Online Government and Nongovernment Information 第2章:一般に公開されている政府および非政府のオンライン情報の分析
Chapter Three: Analysis of Information Shared in Online Discussions About the Security Clearance Process 第3章:セキュリティ・クリアランス・プロセスに関するオンライン・ディスカッションで共有された情報の分析
Chapter Four: Conclusion and Recommendations 第4章:結論と提言
Appendix A: Methodological Details 附属書A:方法論の詳細
Appendix B: Full Government Source Document Table 附属書B:政府資料全文表

 

・[PDF]

20230724-24025

・[DOCX] 仮訳

 

 

国家安全保障に関する質問票 (SF-86)

U.S. Office of Personnel Management(米国人事管理局)

この標準書式86は136ページありますね...

・2016.11 [PDF] Standard Form 86 - QUESTIONNAIRE FOR NATIONAL SECURITY POSITIONS

20230724-25317

質問項目抜粋...

Section 1 - Full Name セクション1 ・氏名
Section 2 - Date of Birth セクション2 ・生年月日
Section 3 - Place of Birth セクション3 ・出生地
Section 4 - Social Security Number セクション4 ・社会保障番号
Section 6 - Your Identifying Information セクション6 ・あなたの識別情報
Section 7 - Your Contact Information セクション7 ・連絡先情報
Section 8 - U.S. Passport Information セクション8 ・米国パスポート情報
Section 9 – Citizenship セクション9 - 市民権
9.1 Complete the following if you answered that you are a U.S. citizen or national by birth, born to U.S. parent(s) in a foreign country. 9.1 外国で米国の両親から生まれた米国市民または米国籍であると答えた場合は、以下に記入する。
9.2 Complete the following if you answered that you are a naturalized U.S. citizen. 9.2 あなたが帰化した米国市民であると答えた場合は、以下を記入すること。
9.3 Complete the following if you answered that you are a derived U.S. citizen. 9.3 あなたが派生米国市民であると答えた場合、以下を記入すること。
9.4 Complete the following if you answered that you are not a U.S. citizen. 9.4 米国市民でないと答えた場合は、以下の項目を記入すること。
Section 10 - Dual/Multiple Citizenship & Foreign Passport Information セクション10 - 二重/多重国籍および外国パスポート情報
10.1 Do you now or have you EVER held dual/multiple citizenships? 10.1 あなたは現在、または過去に二重/多重国籍を持っていたか?
10.2 Have you EVER been issued a passport (or identity card for travel) by a country other than the U.S.? 10.2 米国以外の国からパスポート(または旅行用のIDカード)を発行されたことがあるか。
Section 11 - Where You Have Lived セクション11 - 住んだことがある場所
Section 12 - Where You Went to School セクション12 - 出身校
Section 13A - Employment Activities セクション13A  - 雇用活動
13A.1 Complete the following if employment type is Active Duty, National Guard/Reserve, or USPHS Commissioned Corps. 13A.1 雇用形態が現役、州兵/予備役、USPHS Commissioned Corps の場合は、以下に記入する。
13A.2 Complete the following if employment type is other federal employment, state government, federal contractor, non-government, or other. 13A.2 雇用形態がその他の連邦政府雇用、州政府、連邦政府請負業者、非政府、その他の場合は、以下の項目を記入する。
13A.3 Complete the following if employment type is self-employment 13A.3 雇用形態が自営業の場合は、以下を記入する。
13A.4 Complete the following if employment type is unemployment. 13A.4 雇用形態が失業である場合は、以下を記入する。
13A.5 Complete the following if employment type is Active Duty, National Guard/Reserve, USPHS Commissioned Corps, Other Federal employment, State Government, Federal Contractor, Non-government employment, Self-Employment, or Other. 13A.5 雇用形態が現役、州兵/予備役、USPHS嘱託、その他の連邦雇用、州政府、連邦請負業者、非政府雇用、自営業、その他の場合は、以下を記入する。
13A.6 Complete the following if employment type is Active Duty, National Guard/Reserve, USPHS Commissioned Corps, Other Federal employment, State Government, Federal Contractor, Non-government employment, Self-Employment, or Other. 13A.6 雇用形態が現役、州兵/予備役、USPHS嘱託兵、その他の連邦雇用、州政府、連邦請負業者、非政府雇用、自営業、その他の場合は、以下を記入する。
Section 14 - Selective Service Record (www.sss.gov) セクション14 - 選択サービス記録 (www.sss.gov)
Section 15 - Military History セクション15 - 軍歴
Section 16 - People Who Know You Well セクション16 - あなたをよく知る人
Section 17 - Marital/Relationship Status セクション17 - 婚姻/交際の状況
Provide three people who know you well and who preferably live in the U.S. They should be friends, peers, colleagues, college roommates, associates, etc., who are collectively aware of your activities outside of your workplace, school, or neighborhood, and whose combined association with you covers at least the last seven (7) years. Do not list your spouse, former spouse (s), other relatives, or anyone listed elsewhere on this form. 友人、仲間、同僚、大学のルームメイト、同僚など、職場、学校、近所以外でのあなたの活動を知っていて、あなたとの付き合いが少なくとも過去7年以上ある人。配偶者、元配偶者、その他の親族、または本書式に別記されている人物は記載しないこと。
17.1 Provide three people who know you well and who preferably live in the U.S. They should be friends, peers, colleagues, college roommates, associates, etc., who are collectively aware of your activities outside of your workplace, school, or neighborhood, and whose combined association with you covers at least the last seven (7) years. Do not list your spouse, former spouse (s), other relatives, or anyone listed elsewhere on this form. 17.1 あなたのことをよく知っていて、できれば米国に住んでいる人を3人記入すること。友人、仲間、同僚、大学のルームメイト、同僚など、職場、学校、近所以外でのあなたの活動を知っていて、あなたとの付き合いが少なくとも過去7年間に及ぶ人であること。配偶者、元配偶者、その他の親族、または本書式に他に記載されている人物は記載しないこと。
17.2 Complete the following if you selected "divorced/dissolved", "annulled", or "widowed". Provide information about any person from whom you are divorced/dissolved, annulled, or widowed. 17.2 「離婚・解消」、「婚約破棄」、「寡婦」を選択した場合は、以下を記入すること。離婚・離縁した人、婚約破棄した人、未亡人となった人に関する情報を記入する。
17.3 Do you presently reside with a person, other than a spouse or legally recognized civil union/domestic partner, with whom you share bonds of affection, obligation, or other commitment, as opposed to a person with whom you live for reasons of convenience (e.g. a roommate)? If so, complete the following. If the person was born outside the U.S., provide citizenship information. 17.3 現在、配偶者または法的に認められたシビル・ユニオン/ドメスティック・パートナー以外の人と同居しているか。もしそうなら、以下を記入すること。その人が米国外で生まれた場合は、市民権情報を記入する。
Section 18 – Relatives セクション18 - 親族
18.1 Complete the following if the relative listed is your Mother, Father, Stepmother, Stepfather, Child (including adopted/foster), Stepchild, Brother, Sister, Stepbrother, Stepsister, Half-brother, Half-sister. 18.1 記載されている親族があなたの母、父、継母、継父、子(養子/里子を含む)、継子、兄弟、姉妹、義兄弟、義姉、異母兄弟、異母姉である場合は、以下を記入すること。
18.2 Complete the following if the relative listed is your Mother, Father, Stepmother, Stepfather, Foster parent, Child (including adopted/foster), Stepchild, Brother, Sister, Stepbrother, Stepsister, Half-brother, Half-sister, Father-in-law, Mother-in-law, Guardian and is not deceased. 18.2 記載されている親族があなたの母、父、継母、継父、里親、子(養子/里親を含む)、継子、兄弟、姉妹、義理の兄、義理の姉、異母兄、異母姉、義理の父、義理の母、後見人であり、かつ死亡していない場合は、以下を記入すること。
18.3 Complete the following if the relative listed is your Mother, Father, Stepmother, Stepfather, Child (including adopted/foster), Stepchild, Brother, Sister, Stepbrother, Stepsister, Half-brother, Half-sister and is a U.S. Citizen, foreign born and is deceased.. OR. Complete the following if the relative listed is your Mother, Father, Stepmother, Stepfather, Foster parent, Child (including adopted/foster), Stepchild, Brother, Sister, Stepbrother, Stepsister, Half-brother, Half-sister, Father-in-law, Mother-in-law, Guardian and is a U.S. Citizen, foreign born and has a U.S. or APO/FPO address. 18.3 記載されている親族があなたの母、父、継母、継父、子(養子/養女を含む)、継子、兄弟、姉妹、義兄弟、義姉、異母兄弟、異母姉であり、米国市民、外国生まれ、かつ死亡している場合は、以下を記入する。または 記載されている親族があなたの母、父、継母、継父、里親、子(養子/里親を含む)、継子、兄弟、姉妹、義兄弟、義妹、異母兄弟、異母姉妹、義父、義母、後見人であり、米国市民、外国生まれで、米国またはAPO/FPOに住所がある場合は、以下を記入する。
18.4 Complete the following if the relative listed is your Mother, Father, Stepmother, Stepfather, Foster parent, Child (including adopted/foster), Stepchild, Brother, Sister, Stepbrother, Stepsister, Half-brother, Half-sister, Father-in-law, Mother-in-law, Guardian and is not a U.S. Citizen, has a U.S. address and is not deceased. 18.4 記載されている親族があなたの母、父、継母、継父、里親、子(養子/里親を含む)、継子、兄弟、姉妹、義兄弟、義妹、異母兄弟、異父姉妹、義父、義母、後見人であり、米国市民でなく、米国に住所があり、死亡していない場合は、以下を記入する。
18.5 Complete the following if the relative listed is your Mother, Father, Stepmother, Stepfather, Foster parent, Child (including adopted/foster), Stepchild, Brother, Sister, Stepbrother, Stepsister, Half-brother, Half-sister, Father-in-law, Mother-in-law, Guardian and is not a U.S. Citizen, has a foreign address and is not deceased. 18.5 記載されている親族があなたの母、父、継母、継父、里親、子(養子/里親を含む)、継子、兄弟、姉妹、義兄弟、義妹、異母兄弟、異父姉妹、義父、義母、後見人であり、米国市民でなく、外国に住所があり、死亡していない場合は、以下を記入する。
Section 19 - Foreign Contacts セクション19 - 外国との接触
Do you have, or have you had, close and/or continuing contact with a foreign national within the last seven (7) years with whom you, or your spouse, or legally recognized civil union/domestic partner, or cohabitant are bound by affection, 過去7年以内に、あなた、あなたの配偶者、法的に認められたシビル・ユニオン/ドメスティック・パートナー、または同居人が愛情によって結ばれている外国籍の人と、親密かつ/または継続的な接触があるか、またはあったことがあるか、
influence, common interests, and/or obligation? Include associates as well as relatives, not previously listed in Section 18. 影響力、共通の利益、および/または義務によって結ばれているか?セクション18に記載されていない親族も含む。
Section 20A - Foreign Activities セクション20A - 国外での活動
20A.1 Have you, your spouse or legally recognized civil union/domestic partner, cohabitant, or dependent children EVER had any foreign financial interests (such as stocks, property, investments, bank accounts, ownership of corporate entities, corporate interests or exchange traded funds (ETFs) held in specific geographical or economic sectors) in which you or they have direct control or direct ownership? (Exclude financial interests in companies or diversified mutual funds or diversified ETFs that are publicly traded on a U.S. exchange.) 20A.1 あなた、あなたの配偶者、法的に認められたシビル・ユニオン/ドメスティック・パートナー、同居人、または扶養している子供が、あなたまたは彼らが直接支配している、または直接所有している外国での金融利益(株式、不動産、投資、銀行口座、事業体の所有権、特定の地理的または経済セクターで保有されている企業利益、上場投資信託(ETF)など)を持っていたことがありますか? (米国の取引所で公開されている企業、分散投資型ミューチュアル・ファンド、分散投資型ETFの金融持分を除く)。
20A.2 Have you, your spouse or legally recognized civil union/domestic partner, cohabitant, or dependent children EVER had any foreign financial interests that someone controlled on your behalf? 20A.2 あなた、あなたの配偶者、法的に認められたシビル・ユニオン/ドメスティック・パートナー、同棲者、または扶養している子供が、あなたの代わりに誰かが管理している外国の金融持分を持ったことが過去にあるか。
20A.3 Have you, your spouse or legally recognized civil union/domestic partner, cohabitant, or dependent children EVER owned, or do you anticipate owning, or plan to purchase real estate in a foreign country? 20A.3 あなた、あなたの配偶者、法的に認められたシビル・ユニオン/ドメスティック・パートナー、同居人、または扶養している子供たちが、これまでに外国で不動産を所有したことがあるか、所有する予定があるか、または購入する予定があるか。
20A.4 As a U.S. citizen, have you, your spouse or legally recognized civil union/domestic partner, cohabitant, or dependent children received in the last seven (7) years, or are eligible to receive in the future, any educational, medical, retirement, social welfare, or other such benefit from a foreign country? 20A.4 米国市民として、あなた、あなたの配偶者、法的に認められたシビル・ユニオン/ドメスティック・パートナー、同居人、または扶養している子供が、過去7年間に外国から教育、医療、退職、社会福祉、またはその他の恩恵を受けたことがあるか、または将来受ける資格があるか。
20A.5 Have you EVER provided financial support for any foreign national? 20A.5 あなたはこれまでに外国人に経済的支援を提供したことがあるか?
Section 20B - Foreign Business, Professional Activities, and Foreign Government Contacts セクション20B - 外国でのビジネス、専門職活動、および外国政府との接触
20B.1 Have you in the last seven (7) years provided advice or support to any individual associated with a foreign business or other foreign organization that you have not previously listed as a former employer? (Answer "No" if all your advice or support was authorized pursuant to official U.S. Government business.) 20B.1 過去7年間に、外国企業またはその他の外国組織に関連する個人に対し、助言または支援を提供したことがあるか。(あなたの助言または支援がすべて米国政府の公務に従って認可されたものである場合は、「いいえ」と答えてください)。
20B.2 Have you, your spouse or legally recognized civil union/domestic partner, cohabitant, or any member of your immediate family in the last seven (7) years been asked to provide advice or serve as a consultant, even informally, by any foreign government official or agency? (Answer 'No' if all the advice or support was authorized pursuant to official U.S. Government business.) 20B.2 過去7年間に、あなた、あなたの配偶者または法的に認められたシビル・ユニオン/ドメスティック・パートナー、同居人、またはあなたの肉親の誰かが、外国政府の役人または機関から、非公式であっても助言を提供したり、コンサルタントを務めるよう求められたことがありますか? (助言または支援がすべて米国政府の公務に基づき認可されたものである場合は、「いいえ」と答えてください)。
20B.3 Has any foreign national in the last seven (7) years offered you a job, asked you to work as a consultant, or consider employment with them? 20B.3 過去7年間に、外国人があなたに仕事を依頼したり、コンサルタントとして働くよう求めたり、彼らとの雇用を検討したことがあるか。
20B.4 Have you in the last seven (7) years been involved in any other type of business venture with a foreign national not described above (own, co-own, serve as business consultant, provide financial support, etc.)? 20B.4 過去7年間に、上記以外のタイプの外国人とのビジネス・ベンチャーに関与したことがあるか(所有、共同所有、ビジネス・コンサルタントを務める、財政的支援を提供するなど)。
20B.5 Have you in the last seven (7) years attended or participated in any conferences, trade shows, seminars, or meetings outside the U.S.? (Do not include those you attended or participated in on official business for the U.S. government.) 20B.5 過去7年間に米国外で開催された会議、見本市、セミナー、会合に出席または参加したことがあるか。(米国政府の公務で参加したものは含めない)。
20B.6 Have you or any member of your immediate family in the last seven (7) years had any contact with a foreign government, its establishment (such as embassy, consulate, agency, military service, intelligence or security service, etc.) or its representatives, whether inside or outside the U.S.? (Answer 'No' if the contact was for routine visa applications and border crossings related to either official U.S. Government travel, foreign travel on a U.S. passport, or as a U.S. military service member in conjunction with a U.S. Government military duty.) 20B.6 過去7年間に、あなたまたはあなたの近親者が、米国内外を問わず、外国政府、その施設(大使館、領事館、政府機関、軍事機関、諜報機関、警備機関など)、またはその代表者と接触したことがありますか? (その接触が、米国政府の公式旅行、米国のパスポートを使用した外国旅行、または米国政府の軍事任務に伴う米軍兵士としての旅行のいずれかに関連した、日常的なビザ申請および国境通過のためのものであった場合は、「いいえ」と答えてください)。
20B.7 Have you in the last seven (7) years sponsored any foreign national to come to the U.S. as a student, for work, or for permanent residence? 20B.7 過去7年間に、学生として、就労のために、または永住のために米国に来る外国人のスポンサーになったことがあるか。
20B.8 Have you EVER held political office in a foreign country? 20B.8 外国で政治職に就いたことがあるか。
20B.9 Have you EVER voted in the election of a foreign country? 20B.9 外国の選挙で投票したことがあるか。
Section 20C - Foreign Travel セクション20C - 外国旅行
Have you traveled outside the U.S. in the last seven (7) years? 過去7年間に米国外に旅行したことがあるか?
Section 21 - Psychological and Emotional Health セクション21 - 心理的・感情的健康
The U.S. government recognizes the critical importance of mental health and advocates proactive management of mental health conditions to support the wellness and recovery of Federal employees and others. Every day individuals with mental health conditions carry out their duties without presenting a security risk. While most individuals with mental health conditions do not present security risks, there may be times when such a condition can affect a person’s eligibility for a security clearance. 米国政府は、メンタルヘルスが極めて重要であることを認識し、連邦職員およびその他の人々のウェルネス と回復を支援するために、メンタルヘルス状態の積極的な管理を提唱している。毎日、精神的健康状態にある個人が、安全保障上のリスクをもたらすことなく職務を遂行している。精神的健康状態にあるほとんどの人は、安全保障上のリスクをもたらすことはないが、そのような状態が、その人の安全保障上の資格に影響を与える場合がある。
Individuals experience a range of reactions to traumatic events. For example, the death of a loved one, divorce, major injury, service in a military combat environment, sexual assault, domestic violence, or other difficult work-related, family, personal, or medical issues may lead to grief, depression, or other responses. The government recognizes that mental health counseling and treatment may provide important support for those who have experienced such events, as well as for those with other mental health conditions. Nothing in this questionnaire is intended to discourage those who might benefit from such treatment from seeking it. トラウマとなるような出来事に対して、個人はさまざまな反応を経験する。例えば、最愛の人の死、離婚、大怪我、軍隊での戦闘環境での勤務、性的暴行、家庭内暴力、またはその他の困難な仕事関連、家族、個人的、または医学的問題は、悲嘆、抑うつ、またはその他の反応につながる可能性がある。プロバイダ政府は、メンタルヘルス・カウンセリングや治療が、そのような出来事を経験した人々や、他のメンタルヘルス疾患を持つ人々にとって、重要なサポートを提供する可能性があることを認識している。本アンケートのいかなる記述も、そのような治療から恩恵を受ける可能性のある人々が、そのような治療を受けることを妨げることを意図したものではない。
Mental health treatment and counseling, in and of itself, is not a reason to revoke or deny eligibility for access to classified information or for holding a sensitive position, suitability or fitness to obtain or retain Federal or contract employment, or eligibility for physical or logical access to federally controlled facilities or information systems. Seeking or receiving mental health care for personal wellness and recovery may contribute favorably to decisions about your eligibility. メンタルヘルスの治療やカウンセリングは、それ自体が、機密情報へのアクセスや、機密職を保持する資格、連邦政府または嘱託の雇用を獲得または保持する適性や適性、連邦政府が管理する施設や情報システムへの物理的または論理的なアクセス資格を剥奪または拒否する理由にはならない。個人的な健康や回復のためにメンタルヘルスケアを求めたり受けたりすることは、資格に関する決定に有利に働く可能性がある。
21A Has a court or administrative agency EVER issued an order declaring you mentally incompetent? 21A 裁判所または行政機関から、あなたを精神的に無能力であるとする命令を受けたことがあるか。
21B Has a court or administrative agency EVER ordered you to consult with a mental health professional (for example, a psychiatrist, psychologist, licensed clinical social worker, etc.)? (An order to a military member by a superior officer is not within the scope of this question, and therefore would not require an affirmative response. An order by a military court would be within the scope of the question and would require an affirmative response.) 21B 裁判所または行政機関から、精神衛生の専門家(例えば、精神科医、心理学者、認定臨床ソーシャルワーカーなど)に相談するよう命じられたことがあるか。(上官による軍人への命令はこの質問の範囲ではないため、肯定的な回答は必要ない。軍法会議による命令はこの質問の範囲内であり、肯定的な回答を必要とする)
21C Have you EVER been hospitalized for a mental health condition? 21C 精神疾患で入院したことがあるか。
21D Have you EVER been diagnosed by a physician or other health professional (for example, a psychiatrist, psychologist, licensed clinical social worker, or nurse practitioner) with psychotic disorder, schizophrenia, schizoaffective disorder, delusional disorder, bipolar mood disorder, borderline personality disorder, or antisocial personality disorder? 21D 医師または他の医療専門家(例えば、精神科医、心理学者、認定臨床ソーシャルワーカー、ナースプラクティショナー)によって、精神病性障害、統合失調症、統合失調感情障害、妄想性障害、双極性気分障害、境界性パーソナリティ障害、または反社会性パーソナリティ障害と診断されたことがあるか?
21D.1 Are you currently in treatment? 21D.1 現在治療を受けているか?
21E Do you have a mental health or other health condition that substantially adversely affects your judgment, reliability, or trustworthiness even if you are not experiencing such symptoms today? 21E 現在そのような症状がなくても、あなたの判断力、信頼性、信用性に実質的に悪影響を及ぼすような精神的健康状態またはその他の健康状態があるか?
(Note: If your judgment, reliability, or trustworthiness is not substantially adversely affected by a mental health or other condition, then you should answer "no" even if you have a mental health or other condition requiring treatment. For example, if you are in need of emotional or mental health counseling as a result of service as a first responder, service in a military combat environment, having been sexually assaulted or a victim of domestic violence, or marital issues, but your judgment, reliability or trustworthiness is not substantially adversely affected, then answer "no.") (注) あなたの判断力、信頼性、信用性が、精神的健康状態またはその他の状態によって実質的に悪影響を受けない場合は、治療を必要とする精神的健康状態またはその他の状態であっても、「いいえ」と答えるべきである。例えば、初動対応者としての勤務、軍隊での戦闘環境での勤務、性的暴行や家庭内暴力の被害者、夫婦間の問題などの結果、感情的または精神的なカウンセリングを必要としているが、判断力、信頼性、信用性に実質的な悪影響がない場合は、「いいえ」と回答すること)。
Section 22 - Police Record セクション22 - 警察記録
22.1 Have any of the following happened? (If 'Yes' you will be asked to provide details for each offense that pertains to the actions 22.1 以下のようなことがありましたか(「はい」の場合、その行為に関連する各犯罪の詳細を記入するよう求められる)。
- In the last seven (7) years have you been issued a summons, citation, or ticket to appear in court in a criminal proceeding against you? (Do not check if all the citations involved traffic infractions where the fine was less than $300 and did not include alcohol or drugs) ・過去7年間に,あなたに対する刑事訴訟手続きで,裁判所への出頭を求める召喚状,警告,切符を発行されたことがあるか。(罰金額が300ドル未満で,アルコールや薬物が含まれていない交通違反の場合はチェックしないこと)
- In the last seven (7) years have you been arrested by any police officer, sheriff, marshal or any other type of law enforcement official? ・過去7年間に,警察官,保安官,連邦保安官,その他の法執行官に逮捕されたことがあるか?
- In the last seven (7) years have you been charged with, convicted of, or sentenced for a crime in any court? (Include all qualifying charges, convictions or sentences in any Federal, state, local, military, or non-U.S. court, even if previously listed on this form). ・過去7年間に、何らかの裁判所において犯罪で起訴され、有罪判決を受け、または判決を受けたことがあるか。(連邦、州、地方、軍、または米国以外の裁判所において、対象となるすべての起訴、有罪判決、または判決を含む。過去にこのフォームに記載されていた場合も含む)。
- In the last seven (7) years have you been or are you currently on probation or parole? ・過去7年間に保護観察中または仮釈放中であったか?
- Are you currently on trial or awaiting a trial on criminal charges? ・現在,刑事責任について裁判中であるか,裁判を待っているか。
22.2 Other than those offenses already listed, have you EVER had the following happen to you? 22.2 既に記載した犯罪以外で、これまでに以下のようなことがあったか?
- Have you EVER been convicted in any court of the United States of a crime, sentenced to imprisonment for a term exceeding 1 year for that crime, and incarcerated as a result of that sentence for not less than 1 year? (Include all qualifying convictions in Federal, state, local, or military court, even if previously listed on this form) ・米国の裁判所で犯罪により有罪判決を受け、その犯罪により1年を超える禁固刑を言い渡され、その結果1年以上収監されたことがあるか?(連邦裁判所、州裁判所、地方裁判所、軍法会議で有罪とされ、1年以上収監されたことがあるか。)
- Have you EVER been charged with any felony offense? (Include those under the Uniform Code of Military Justice and non-military/civilian felony offenses) ・重罪で起訴されたことがあるか?Uniform Code of Military Justice(統一軍事裁判規範)に基づくもの、および非軍事/民間重罪を含む。
- Have you EVER been convicted of an offense involving domestic violence or a crime of violence (such as battery or assault) against your child, dependent, cohabitant, spouse or legally recognized civil union/domestic partner, former spouse or legally recognized civil union/ domestic partner, or someone with whom you share a child in common? ・子供、扶養家族、同居人、配偶者、法的に認められたシビル・ユニオン/ドメスティック・パートナー、元配偶者、法的に認められたシビル・ユニオン/ドメスティック・パートナー、または共通の子供を持つ人に対するドメスティック・バイオレンスまたは暴力犯罪(暴力や暴行など)を含む犯罪で有罪判決を受けたことがある?
- Have you EVER been charged with an offense involving firearms or explosives? ・これまでに銃器や爆発物を含む犯罪で起訴されたことがあるか?
- Have you EVER been charged with an offense involving alcohol or drugs? ・アルコールまたは薬物を含む犯罪で起訴されたことがあるか?
Section 23 - Illegal Use of Drugs and Drug Activity セクション23 - 薬物の違法使用と薬物活動
23.1 In the last seven (7) years, have you illegally used any drugs or controlled substances? Use of a drug or controlled substance includes injecting, snorting, inhaling, swallowing, experimenting with or otherwise consuming any drug or controlled substance. 23.1 過去7年間に、薬物または規制薬物を違法に使用したことがあるか?薬物または規制薬物の使用には、薬物または規制薬物の注射、吸引、嚥下、実験、その他の摂取が含まれる。
23.2 In the last seven (7) years, have you been involved in the illegal purchase, manufacture, cultivation, trafficking, production, transfer, shipping, receiving, handling or sale of any drug or controlled substance? 23.2 過去7年間に、薬物または規制薬物の違法な購入、製造、栽培、密売、生産、譲渡、出荷、受領、取り扱い、または販売に関与したことがあるか?
23.3 Have you EVER illegally used or otherwise been illegally involved with a drug or controlled substance while possessing a security clearance other than previously listed? 23.3 以前に記載した以外のセキュリティ・クリアランスを保有している間に、薬物または規制薬物を違法に使用したこと、またはその他の方法で違法に関与したことがあるか?
23.4 Have you EVER illegally used or otherwise been involved with a drug or controlled substance while employed as a law enforcement officer, prosecutor, or courtroom official; or while in a position directly and immediately affecting the public safety other than previously listed? 23.4 過去に、法執行官、検察官、法廷職員として雇用されている間、または先に列挙した以外の、公共の安全に直接かつ即座に影響を与える職に就いている間に、薬物または規制薬物を違法に使用したことがあるか、またはその他の方法で違法に関与したことがあるか。
23.5 In the last seven (7) years have you intentionally engaged in the misuse of prescription drugs, regardless of whether or not the drugs were prescribed for you or someone else? 23.5 過去7年間において、自分または他人のために処方されたか否かを問わず、処方薬の誤用に意図的に関与したことがあるか。
23.6 Have you EVER been ordered, advised, or asked to seek counseling or treatment as a result of your 23.6 薬物や規制薬物の違法使用の結果、カウンセリングや治療を受けるよう命じられたり、忠告されたり、求められたことがあるか。
illegal use of drugs or controlled substances? 薬物や規制薬物を違法に使用したことがあるか。
23.7 Have you EVER voluntarily sought counseling or treatment as a result of your use of a drug or controlled substance? 23.7 薬物や規制薬物を使用した結果、自発的にカウンセリングや治療を受けたことがあるか?
Section 24 - Use of Alcohol セクション24 - アルコールの使用
24.1 In the last seven (7) years has your use of alcohol had a negative impact on your work performance, your professional or personal relationships, your finances, or resulted in intervention by law enforcement/public safety personnel? 24.1 過去7年間に、アルコールの使用により、仕事の業績、仕事上または個人的な人間関係、金銭面に悪影響が及んだことがあるか、または法執行機関/公安職員による介入を受けたことがあるか。
24.2 Have you EVER been ordered, advised, or asked to seek counseling or treatment as a result of your use of alcohol? 24.2 アルコール使用の結果、カウンセリングや治療を受けるよう命じられたり、助言されたり、求められたことがある?
24.3 Have you EVER voluntarily sought counseling or treatment as a result of your use of alcohol? 24.3 アルコール使用の結果、自発的にカウンセリングや治療を受けたことがあるか。
24.4 Have you EVER received counseling or treatment as a result of your use of alcohol in addition to what you have already listed on this form? 24.4 この用紙にすでに記入した以外に、アルコール使用の結果としてカウンセリングや治療を受けたことがあるか?
Section 25 - Investigations and Clearance Record セクション25 - 調査およびクリアランス記録
25.1 Has the U.S. Government (or a foreign government) EVER investigated your background and/or granted you a security clearance eligibility/access? 25.1 米国政府(または外国政府)は、これまでにあなたの経歴を調査したことがあるか、および/または、セキュリティ・クリアランスの資格/アクセス権を付与したことがあるか。
25.2 Have you EVER had a security clearance eligibility/access authorization denied, suspended, or revoked? (Note: An administrative downgrade or administrative termination of a security clearance is not a revocation.) 25.2 あなたはこれまでに、セキュリティ・クリアランス資格/アクセス認可を拒否された、一時停止された、または取り消されたことがあるか?(注意:管理上の資格の格下げまたは管理上の資格の抹消は取り消しではない)。
25.3 Have you EVER been debarred from government employment? 25.3 政府雇用の資格停止処分を受けたことがある?
Section 26 - Financial Record セクション26 - 財務記録
26.1 In the last seven (7) years have you filed a petition under any chapter of the bankruptcy code? 26.1 過去7年間に、破産法のいずれかの章に基づく申立てを行ったことがあるか。
26.2 Have you EVER experienced financial problems due to gambling? 26.2 ギャンブルが原因で金銭的な問題を起こしたことがあるか。
26.3 In the last seven (7) years have you failed to file or pay Federal, state, or other taxes when required by law or ordinance? 26.3 過去7年間に、連邦税、州税、またはその他の税金を、法律や条例で義務付けられているにもかかわらず、申告または納付しなかったことがあるか。
26.4 In the last seven (7) years have you been counseled, warned, or disciplined for violating the terms of agreement for a travel or credit card provided by your employer? 26.4 過去7年間に、雇用主から提供された旅行カードまたはクレジットカードの契約条件に違反し、助言、警告、または懲戒処分を受けたことがあるか。
26.5 Are you currently utilizing, or seeking assistance from, a credit counseling service or other similar resource to resolve your financial difficulties? 26.5 あなたは現在、経済的困難を解決するために、信用カウンセリング・サービスまたはその他の同様のリソースを利用しているか、またはそのようなリソースからの援助を求めているか?
26.6 Other than previously listed, have any of the following happened to you? (You will be asked to provide details about each financial obligation that pertains to the items identified below) 26.6 前に挙げた以外で、以下のようなことがあなたに起こったことがあるか?(以下に識別される項目に関連する各金銭的債務について詳細を記入するよう求められる)。
- In the last seven (7) years, you have been delinquent on alimony or child support payments. ・過去7年間に,扶養料または養育費を滞納したことがある。
- In the last seven (7) years, you had a judgment entered against you. (Include financial obligations for which you were the sole debtor, as well as those for which you were a cosigner or guarantor). ・過去7年間に、あなたに対して判決が下された。(あなたが単独で債務者であった金融債務、および連帯保証人または保証人であった金融債務を含む)。
- In the last seven (7) years, you had a lien placed against your property for failing to pay taxes or other debts. (Include financial obligations for which you were the sole debtor, as well as those for which you were a cosigner or guarantor). ・過去7年間に、税金やその他の債務の支払いを怠ったために、財産に対して先取特権を設定されたことがある。(あなたが連帯保証人または保証人であった債務だけでなく、あなたが単独で債務者であった債務も含む)。
- You are currently delinquent on any Federal debt. (Include financial obligations for which you are the sole debtor, as well as those for which you are a cosigner or guarantor). ・現在、連邦債務を滞納している。(あなたが唯一の債務者である金融債務、およびあなたが連帯保証人または保証人である金融債務を含む)。
26.7 Other than previously listed, have any of the following happened? 26.7 過去に記載した以外に、以下のようなことがあったか?
- In the last seven (7) years, you had any possessions or property voluntarily or involuntarily repossessed or foreclosed? (Include financial obligations for which you were the sole debtor, as well as those for which you were a cosigner or guarantor). ・過去7年間で、自発的または非自発的に所有物や財産を差し押さえられたか?(あなたが唯一の債務者であった金融債務、およびあなたが連帯保証人または保証人であった金融債務を含む)。
- In the last seven (7) years, you defaulted on any type of loan? (Include financial obligations for which you were the sole debtor, as well as those for which you were a cosigner or guarantor). ・過去7年間に、何らかのローンで債務不履行に陥ったことがあるか(あなたが唯一の債務者であった金融債務だけでなく、あなたが連帯保証人または保証人であった金融債務も含む)。
- In the last seven (7) years, you had bills or debts turned over to a collection agency? (Include financial obligations for which you were the sole debtor, as well as those for which you were a cosigner or guarantor). ・過去7年間で、請求書や債務が債権回収会社に引き渡されたことがあるか?(あなたが唯一の債務者であった金融債務、およびあなたが連帯保証人または保証人であった金融債務を含む)。
- In the last seven (7) years, you had any account or credit card suspended, charged off, or cancelled for failing to pay as agreed? (Include financial obligations for which you were the sole debtor, as well as those for which you were a cosigner or guarantor). ・過去7年間に、口座やクレジットカードの利用停止、チャージオフ、解約を受けたことがあるか。(あなたが唯一の債務者であった金融債務、およびあなたが連帯保証人または保証人であった金融債務を含む)。
- In the last seven (7) years, you were evicted for non-payment? ・過去7年間に,未払いを理由に立ち退きを命じられたことがあるか?
- In the last seven (7) years, you had wages, benefits, or assets garnished or attached for any reason? ・過去7年間に,何らかの理由で給料,給付金,資産を差し押さえられたか?
- In the last seven (7) years, you were over 120 days delinquent on any debt not previously entered? (Include financial obligations for which you were the sole debtor, as well as those for which you were a cosigner or guarantor). ・過去7年間に、未入力の債務を120日以上延滞したか?(あなたが単独で債務者であった金融債務、連帯保証人または保証人であった金融債務を含む)。
- You are currently over 120 days delinquent on any debt? (Include financial obligations for which you are the sole debtor, as well as those for which you are a cosigner or guarantor). ・現在、120日以上滞納している債務があるか(あなたが唯一の債務者である金融債務、およびあなたが連帯保証人または保証人である金融債務を含む)。
Section 27 - Use of Information Technology Systems セクション27 - 情報技術の使用
27.1 In the last seven (7) years have you illegally or without proper authorization accessed or attempted to access any information technology system? 27.1 過去7年間に、不正に、または適切な認可なしに、情報技術システムにアクセスした、またはアクセスを試みたことがあるか?
27.2 In the last seven (7) years have you illegally or without authorization, modified, destroyed, manipulated, or denied others access to information residing on an information technology system or attempted any of the above? 27.2 過去7年間に、不法に、または認可を受けずに、情報技術システム上に存在する情報を修正、破壊、操作、または他者によるアクセスを拒否したことがあるか、または上記のいずれかを試みたことがあるか。
27.3 In the last seven (7) years have you introduced, removed, or used hardware, software, or media in connection with any information technology system without authorization, when specifically prohibited by rules, procedures, guidelines, or regulations or attempted any of the above? 27.3 過去7年間に、規則、手順、ガイドライン、または規制によって特に禁止されている場合に、認可を受けずに、情報技術システムに関連するハードウェア、ソフトウェア、またはメディアを導入、削除、または使用したことがあるか、または上記のいずれかを試みたことがあるか。
Section 28 - Involvement in Non-Criminal Court Actions セクション28-  非刑事裁判への関与
In the last ten (10) years, have you been a party to any public record civil court action not listed elsewhere on this form? 過去10年間に、このフォームの他の箇所に記載されていない、公文書による民事裁判の当事者となったことがあるか。
Section 29 - Association Record セクション29 - 関連記録
29.1 Are you now or have you EVER been a member of an organization dedicated to terrorism, either with an awareness of the organization's dedication to that end, or with the specific intent to further such activities? 29.1 あなたは現在、あるいは過去に一度でも、テロリズムを目的とする組織のメンバーであり、その組織がテロリズムを目的としていることを認識しながら、あるいはそのような活動を推進する具体的な意図を持っていたか?
29.2 Have you EVER knowingly engaged in any acts of terrorism? 29.2 あなたはこれまでに、故意にテロ行為に関与したことがあるか?
29.3 Have you EVER advocated any acts of terrorism or activities designed to overthrow the U.S. Government by force? 29.3 米国政府を武力で転覆させようとするテロ行為や活動を提唱したことがあるか?
29.4 Have you EVER been a member of an organization dedicated to the use of violence or force to overthrow the United States Government, and which engaged in activities to that end with an awareness of the organization's dedication to that end or with the specific intent to further such activities? 29.4 米国政府を転覆させるために暴力や武力を行使することを目的とし、そのような目的に対する組織の献身を意識して、またはそのような活動を推進する具体的な意図をもって、そのような目的に向けた活動に従事する組織の加盟者であったことがあるか。
29.5 Have you EVER been a member of an organization that advocates or practices commission of acts of force or violence to discourage others from exercising their rights under the U.S. Constitution or any state of the United States with the specific intent to further such action? 29.5 あなたはこれまでに、米国憲法または米国のいずれかの州に基づく権利の行使を他者に思いとどまらせるために、そのような行為を助長する具体的な意図をもって、武力行為または暴力行為の実行を提唱または実践する団体の加盟国になったことがあるか。
29.6 Have you EVER knowingly engaged in activities designed to overthrow the U.S. Government by force? 29.6 武力による米国政府の転覆を意図した活動に、故意に関与したことがあるか?
29.7 Have you EVER associated with anyone involved in activities to further terrorism? 29.7 テロリズムを助長する活動に関与する人物と関係を持ったことがあるか?

 

 

国家安全保障裁定ガイドライン

(国家情報長官室)

・ 2017.06.08 [PDF] Security Executive Agent Directive 4; SEAD-4 - National Security Adjudicative Guidelines

20230724-30456

・[DOCX] 仮訳

 

 

Performancece.gov

Performance.gov

Trusted Workforce 2.0

 

 

 

ちなみに、全体をパッと理解するには、有本真由弁護士の資料がわかりやすいかもです...

日本安全保障貿易学会 - 第34回 日本安全保障貿易学会 研究大会終了

第34回研究大会

・2022.09.11 [PDF] テーマセッション パート2 <経済安全保障について> セキュリティクリアランスについて~米国を中心に

20230724-33842

 

| | Comments (0)

2023.07.23

NIST SP 800-219r1 macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

こんにちは、丸山満彦です。

NISTがSP 800-219 macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンスの改訂版を公表しています。OSのバージョンアップに合わせて変更していかないといけないので、大変ですね。。。

 

NIST - ITL

・2023.07.23 NIST SP 800-219 Rev. 1 Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP)

NIST SP 800-219 Rev. 1 Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP) NIST SP 800-219 Rev. 1 macOSセキュリティコンプライアンスプロジェクト(mSCP)による自動化されたセキュアな構成ガイダンス
Abstract 概要
The macOS Security Compliance Project (mSCP) provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. This publication introduces the mSCP and gives an overview of the resources available from the project’s GitHub site, which is continuously curated and updated to support each new release of macOS. The GitHub site provides practical, actionable recommendations in the form of secure baselines and associated rules. This publication also describes use cases for leveraging the mSCP content. Updates from the previous version of this publication mainly involve the new mSCP capability to create a custom benchmark by tailoring a baseline. macOSセキュリティコンプライアンスプロジェクト(mSCP)は、システム管理者、セキュリティ専門家、セキュリティポリシー作成者、情報セキュリティ担当者、監査人が、macOSデスクトップおよびラップトップシステムのセキュリティを自動化された方法で確保し、評価するために活用できるリソースを提供する。本書では、mSCPを紹介し、プロジェクトのGitHubサイトで利用可能なリソースの概要を説明する。GitHubサイトは、macOSの新しいリリースをサポートするために継続的にキュレーションされ、更新されている。GitHubサイトでは、セキュアなベースラインと関連するルールの形で、実用的で実行可能な推奨事項を提供している。本書では、mSCPのコンテンツを活用するための使用例についても説明する。本書の前バージョンからの更新点は、ベースラインをカスタマイズしてカスタムベンチマークを作成する新しいmSCP機能に関するものである。

 

・[PDF] NIST.SP.800-219r1

20230722-163901

 

目次...

1. Introduction 1. 序文
1.1. Purpose and Scope 1.1. 目的と範囲
1.2. Audience 1.2. オーディエンス
1.3. Relevance to NIST SP 800-70 and the National Checklist Program 1.3. NIST SP 800-70及び国家チェックリスト・プログラムとの関連性
1.4. Document Structure 1.4. 文書構造
2. Project Description 2. プロジェクトの説明
2.1. Project Goals 2.1. プロジェクトの目標
2.2. mSCP Content Use 2.2. mSCPコンテンツの使用
3. mSCP Components 3. mSCPコンポーネント
3.1. Baselines and Benchmarks 3.1. ベースラインとベンチマーク
3.2. ecurity Baseline Files 3.2. セキュリティ・ベースライン・ファイル
3.2.1. Rule File Composition 3.2.1. ルールファイルの構成
3.2.2. Rule File Categories 3.2.2. ルールファイルのカテゴリー
3.3. Configuration Profiles and Scripts 3.3. 構成プロファイルとスクリプト
3.4. Content Generation Scripts 3.4. コンテンツ生成スクリプト
3.4.1. Generate Baseline Script 3.4.1. ベースライン・スクリプトの生成
3.4.2. Generate Guidance Script 3.4.2. ガイダンススクリプトの生成
3.4.3. macOS Security Compliance Tool 3.4.3. macOSセキュリティコンプライアンスツール
3.4.4. SCAP Generation Script 3.4.4. SCAP生成スクリプト
3.4.5. Generate Mapping Script 3.4.5. マッピングスクリプトの生成
3.5. Customization 3.5. カスタマイズ
3.6. Directories 3.6. ディレクトリ
References 参考文献
Appendix A. mSCP User Roles 附属書A mSCPのユーザーロール
Appendix B. Example of mSCP Usage by a Security Professional 附属書 B. セキュリティ専門家による mSCP の使用例
Appendix C. Example of Creating a Benchmark Using ODVs 附属書 C. ODVを使ったベンチマーク作成例
Appendix D. Example of mSCP Usage by an Assessment Tool Vendor 附属書 D. 評価ツールベンダーによる mSCP の使用例
Appendix E. List of Symbols, Abbreviations, and Acronyms 附属書 E. 記号、略語、頭字語のリスト
Appendix F. Change Log 附属書 F. 変更ログ

 


 

関連情報...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.19 NIST SP 800-219r1(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

・2022.02.19 NIST SP 800-219(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

| | Comments (0)

NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)

こんにちは、丸山満彦です。

米国連邦政府は、Zero Trustの導入をすすめているのですが、規模も大きいですし、大変なようです。

1800-35は1年ぶりにドラフトの更新です。。。

 

NIST - ITL

・2023.07.19 NIST SP 1800-35 (2nd Preliminary Draft) Implementing a Zero Trust Architecture

 

NIST SP 1800-35 (2nd Preliminary Draft) Implementing a Zero Trust Architecture NIST SP 1800-35(第2次初期ドラフト) ゼロ・トラスト・アーキテクチャの実装
Announcement 発表
The Zero Trust Architecture (ZTA) team at NIST's National Cybersecurity Center of Excellence (NCCoE) has published the third version of volumes B and C of a preliminary draft practice guide titled "Implementing a Zero Trust Architecture” and is seeking the public's comments on their contents. NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のゼロトラスト・アーキテクチャ(ZTA)チームは、「Implementing a Zero Trust Architecture」と題する初期ドラフト実践ガイドのB巻とC巻の第3版を公表し、その内容に関する一般からのコメントを求めている。
This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA example implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture.  このガイドは、NCCoEとその協力者が、NIST特別刊行物(SP)800-207「ゼロトラスト・アーキテクチャ」の概念と原則に沿った、相互運用可能なオープン標準ベースのZTA実装例を構築するために、市販の技術をどのように利用しているかをまとめたものである。 
The updated versions of volumes B and C describe ten ZTA implementations, demonstrating how blends of commercially available technologies can be integrated and brought into play to build various types of ZTAs. We will continue to update the volumes of NIST SP 1800-35 appropriately as needed as we make significant progress on the project. B巻とC巻の更新版では、10種類のZTA実装について説明し、市販の技術をどのように統合し、さまざまなタイプのZTAを構築できるかを実証している。 NIST SP 1800-35の各巻は、プロジェクトが大きく進展するにつれ、必要に応じて適宜更新していく予定である。
As an enterprise’s data and resources have become distributed across the on-premises environment and multiple clouds, protecting them has become increasingly challenging. Many users need access from anywhere, at any time, from any device. The NCCoE is addressing these challenges by collaborating with industry participants to demonstrate several approaches to a zero trust architecture applied to a conventional, general-purpose enterprise IT infrastructure on-premises and in the cloud. エンタープライズのデータとリソースがオンプレミス環境と複数のクラウドに分散するようになり、それらの保護はますます困難になっている。多くのユーザーは、いつでも、どこからでも、どのデバイスからでもアクセスする必要がある。NCCoEは、業界参加者と協力し、オンプレミスおよびクラウド上の従来の汎用エンタープライズITインフラに適用されるゼロトラスト・アーキテクチャへのいくつかのアプローチを実証することで、これらの課題に取り組んでいる。
Abstract 概要
A zero trust architecture (ZTA) focuses on protecting data and resources. It enables secure authorized access to enterprise resources that are distributed across on-premises and multiple cloud environments, while enabling a hybrid workforce and partners to access resources from anywhere, at any time, from any device in support of the organization’s mission. Each access request is evaluated by verifying the context available at access time, including criteria such as the requester’s identity and role, the requesting device’s health and credentials, the sensitivity of the resource, user location, and user behavior consistency. If the enterprise’s defined access policy is met, a secure session is created to protect all information transferred to and from the resource. A real-time and continuous policy-driven, risk-based assessment is performed to establish and maintain the access. In this project, the NCCoE and its collaborators use commercially available technology to build interoperable, open, standards-based ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. This NIST Cybersecurity Practice Guide explains how commercially available technology can be integrated and used to build various ZTAs. ゼロトラスト・アーキテクチャ(ZTA)は、データとリソースの保護に重点を置く。オンプレミスや複数のクラウド環境に分散しているエンタープライズリソースへの安全な認証アクセスを可能にし、同時にハイブリッドワーカーやパートナーが、組織のミッションをサポートするために、いつでも、どこからでも、どのデバイスからでもリソースにアクセスできるようにする。各アクセス・リクエストは、アクセス時に利用可能なコンテキストを検証することで評価される。これには、リクエスト元のアイデンティティや役割、リクエスト元のデバイスの状態や認証情報、リソースの機密性、ユーザーの場所、ユーザーの行動の一貫性などの基準が含まれる。エンタープライズで定義されたアクセス・ポリシーに合致する場合、リソースとの間で転送されるすべての情報を保護するためのセキュアなセッションが作成される。リアルタイムかつ継続的なポリシー駆動型のリスクベースのアセスメントが実行され、アクセスが確立・維持される。このプロジェクトでは、NCCoE とその協力者は、市販の技術を使用して、NIST 特別刊行物(SP)800-207「Zero Trust Architecture」の概念と原則に沿った、相互運用可能でオープンな標準ベースの ZTA 実装を構築する。この NIST サイバーセキュリティ実践ガイドでは、さまざまな ZTA を構築するために、市販の技術をどのように統合し、使用できるかを説明する。

 

1800-35B

・[PDF] SP1800-35 Volume B: Approach, Architecture, and Security Characteristics


20230722-155105

 

1800-35C

・[PDF] 1899035 Volume C: How-To Guides

20230722-155530

 

補足情報...

・[PDF] NIST SP 1800-35A 2prd

・[PDF] NIST SP 1800-35D 2prd

NIST SP 1800-35E iprd

Project homepage

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

 

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.10.22 NISTのZero Trust Architecture実装プロジェクトに関する文書

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)


 

 

Continue reading "NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)"

| | Comments (0)

2023.07.22

米国 ホワイトハウス 7つの米国AI企業が、バイデン政権とした3つの分野の8つの約束

こんにちは、丸山満彦です。

米国の7つのAI企業が、バイデン政権と大きくいうと3つの分野の8つの約束をしたようですね。。。

Voluntary AI Commitments

という表題が米国流かもですね。。。

7つの米国AI企業

  1. Amazon
  2. Anthropic
  3. Google
  4. Inflection
  5. Meta
  6. Microsoft
  7. OpenAI

3つの分野...

キーワードは、safety, security, trust。 日本語にすると、安全、セキュリティ、信頼...このニュアンスの違いをうまく伝えるのは難しいですね。。。

Ensuring Products are Safe Before Introducing Them to the Public 製品を市場に出す前に、その安全性を確認する。
Building Systems that Put Security First セキュリティ第一のシステム構築
Earning the Public’s Trust 国民の信頼を得る


8つの自主的な約束(コミットメント)...

Safety  安全
1) Commit to internal and external red-teaming of models or systems in areas including misuse, societal risks, and national security concerns, such as bio, cyber, and other safety areas.  1) バイオ、サイバー、その他の安全分野など、誤用、社会的リスク、国家安全保障上の懸念を含む領域において、モデルやシステムの社内外でのレッドチーム化にコミットする。
2) Work toward information sharing among companies and governments regarding trust and safety risks, dangerous or emergent capabilities, and attempts to circumvent safeguards   2) 信頼と安全のリスク、危険な、あるいは出現しつつある能力、セーフガードを回避しようとする試みに関して、企業と政府の間で情報共有に努める。 
Security   セキュリティ  
3) Invest in cybersecurity and insider threat safeguards to protect proprietary and unreleased model weights   3) 独自かつ未公開のモデルウェイトを保護するために、サイバーセキュリティと内部脅威の保護措置に投資する。 
4) Incent third-party discovery and reporting of issues and vulnerabilities  4) サードパーティによる問題や脆弱性の発見と報告を奨励する。
Trust   信頼  
5) Develop and deploy mechanisms that enable users to understand if audio or visual content is AI-generated, including robust provenance, watermarking, or both, for AI-generated audio or visual content  5) AIが生成した音声または映像コンテンツについて、堅牢な証明、電子透かし、またはその両方を含め、利用者が音声または映像コンテンツがAI生成的かどうかを理解できる仕組みを開発し、展開する。
6) Publicly report model or system capabilities, limitations, and domains of appropriate and inappropriate use, including discussion of societal risks, such as effects on fairness and bias   6) 公正性やバイアスへの影響など社会的リスクについての議論を含め、モデルやシステムの能力、限界、適切な使用領域と不適切な使用領域を公に報告する。 
7) Prioritize research on societal risks posed by AI systems, including on avoiding harmful bias and discrimination, and protecting privacy  7) 有害なバイアスや差別の回避、プライバシーの保護など、AIシステムがもたらす社会的リスクに関する研究を防御する。
8) Develop and deploy frontier AI systems to help address society’s greatest challenges  8) フロンティアAIシステムを開発・展開し、社会の最も大きな課題の解決に貢献する。

 

国益のために、こういう国際的に影響力を及ぼすことができる米国企業が結束できるところが強いですね。。。

これから、AIについての国際的なルールが作られていくでしょうが、米国、欧州、英国、中国とそれぞれの思惑があります。もちろん、日本にもあるのでしょう。。。

どう落とすかですね。。。

 

U.S. White House

・2023.07.21 FACT SHEET: Biden-Harris Administration Secures Voluntary Commitments from Leading Artificial Intelligence Companies to Manage the Risks Posed by AI

FACT SHEET: Biden-⁠Harris Administration Secures Voluntary Commitments from Leading Artificial Intelligence Companies to Manage the Risks Posed by AI ファクトシート:バイデン-ハリス政権は、AIがもたらすリスクを管理するため、大手人工知能企業の自主的なコミットメントを確保した。
Voluntary commitments – underscoring safety, security, and trust – mark a critical step toward developing responsible AI 安全、安心、信頼を強調する自主的なコミットメントは、責任あるAIの開発に向けた重要な一歩となる。
Biden-Harris Administration will continue to take decisive action by developing an Executive Order and pursuing bipartisan legislation to keep Americans safe バイデン-ハリス政権は、大統領令を策定し、アメリカ人の安全を守るための超党派の法案を追求することで、断固とした行動を取り続ける。
Since taking office, President Biden, Vice President Harris, and the entire Biden-Harris Administration have moved with urgency to seize the tremendous promise and manage the risks posed by Artificial Intelligence (AI) and to protect Americans’ rights and safety. As part of this commitment, President Biden is convening seven leading AI companies at the White House today – Amazon, Anthropic, Google, Inflection, Meta, Microsoft, and OpenAI – to announce that the Biden-Harris Administration has secured voluntary commitments from these companies to help move toward safe, secure, and transparent development of AI technology.    就任以来、バイデン大統領、ハリス副大統領、そしてバイデン-ハリス政権全体は、人工知能(AI)がもたらす非常に大きな可能性を捉え、リスクをマネジメントし、米国人の権利と安全を守るために緊急に動いてきた。このコミットメントの一環として、バイデン大統領は本日、アマゾン、Anthropic、グーグル、Inflection、Meta、マイクロソフト、OpenAIの大手AI企業7社をホワイトハウスに招集し、バイデン-ハリス政権が、AI技術の安全、安心、透明性のある開発への移行を支援するために、これらの企業から自発的なコミットメントを確保したことを発表する。  
Companies that are developing these emerging technologies have a responsibility to ensure their products are safe. To make the most of AI’s potential, the Biden-Harris Administration is encouraging this industry to uphold the highest standards to ensure that innovation doesn’t come at the expense of Americans’ rights and safety. このような新興技術を開発している企業には、その製品の安全性を確保する責任がある。AIの可能性を最大限に活用するため、バイデン-ハリス政権はこの業界に対し、イノベーションが米国人の権利と安全を犠牲にすることのないよう、最高標準を維持するよう奨励している。
These commitments, which the companies have chosen to undertake immediately, underscore three principles that must be fundamental to the future of AI – safety, security, and trust – and mark a critical step toward developing responsible AI. As the pace of innovation continues to accelerate, the Biden-Harris Administration will continue to remind these companies of their responsibilities and take decisive action to keep Americans safe. 各社が直ぐにに着手することを選択したこれらのコミットメントは、AIの将来にとって基本的でなければならない3つの原則(安全、セキュリティ、信頼)を強調するものであり、責任あるAIの開発に向けた重要な一歩となる。技術革新のペースが加速し続けるなか、バイデン-ハリス政権は、これらの企業にその責任を喚起し、アメリカ人の安全を守るために断固とした行動を取り続ける。
There is much more work underway. The Biden-Harris Administration is currently developing an executive order and will pursue bipartisan legislation to help America lead the way in responsible innovation. 現在進行中の仕事はまだたくさんある。バイデン=ハリス政権は現在、大統領令を策定中であり、米国が責任あるイノベーションを先導できるよう、超党派の法案を追求する予定である。
Today, these seven leading AI companies are committing to: 本日、これら7つの主要AI企業は以下のことを約束する:
Ensuring Products are Safe Before Introducing Them to the Public 製品を市場に出す前に、その安全性を確認する。
・The companies commit to internal and external security testing of their AI systems before their release. This testing, which will be carried out in part by independent experts, guards against some of the most significant sources of AI risks, such as biosecurity and cybersecurity, as well as its broader societal effects. ・各社は、AIシステムのリリース前に社内外のセキュリティ・テストを実施する。 このテストは独立した専門家によって実施され、バイオセキュリティーやサイバーセキュリティーのようなAIの最も重大なリスク源や、より広範な社会的影響から保護する。
・The companies commit to sharing information across the industry and with governments, civil society, and academia on managing AI risks. This includes best practices for safety, information on attempts to circumvent safeguards, and technical collaboration. ・各社は、AIのリスクマネジメントについて、業界全体、政府、市民社会、学界と情報を共有することを約束する。 これには、安全性に関するベストプラクティス、セーフガードを回避しようとする試みに関する情報、技術協力などが含まれる。
Building Systems that Put Security First セキュリティ第一のシステム構築
・The companies commit to investing in cybersecurity and insider threat safeguards to protect proprietary and unreleased model weights. These model weights are the most essential part of an AI system, and the companies agree that it is vital that the model weights be released only when intended and when security risks are considered. ・各社は、独自のモデルウェイトや未発表のモデルウェイトを保護するため、サイバーセキュリティや内部脅威に対するセーフガードに投資することを約束する。 これらのモデルウェイトはAIシステムの最も重要な部分であり、両社は、モデルウェイトは意図された場合にのみ、またセキュリティリスクを考慮した場合にのみ公開されることが不可欠であることに同意する。
・The companies commit to facilitating third-party discovery and reporting of vulnerabilities in their AI systems. Some issues may persist even after an AI system is released and a robust reporting mechanism enables them to be found and fixed quickly. ・両社は、サードパーティによるAIシステムの脆弱性の発見と報告を促進することを約束する。 問題の中には、AIシステムがリリースされた後でも残るものがあり、強固な報告メカニズムがあれば、それらを迅速に発見し、修正することができる。
Earning the Public’s Trust 国民の信頼を得る
・The companies commit to developing robust technical mechanisms to ensure that users know when content is AI generated, such as a watermarking system. This action enables creativity with AI to flourish but reduces the dangers of fraud and deception. ・両社は、電子透かしシステムなど、コンテンツがAIによって生成されたものであることをユーザーに確実に伝えるための強固な技術的メカニズムを開発することを約束する。 この措置は、AIによる創造性を開花させるとともに、詐欺や欺瞞の危険性を低減する。
・The companies commit to publicly reporting their AI systems’ capabilities, limitations, and areas of appropriate and inappropriate use. This report will cover both security risks and societal risks, such as the effects on fairness and bias. ・各社は、自社のAIシステムの能力、限界、適切な使用領域と不適切な使用領域を公に報告することを約束する。 この報告書は、セキュリティリスクと、公平性やバイアスへの影響などの社会的リスクの両方をカバーする。
・The companies commit to prioritizing research on the societal risks that AI systems can pose, including on avoiding harmful bias and discrimination, and protecting privacy. The track record of AI shows the insidiousness and prevalence of these dangers, and the companies commit to rolling out AI that mitigates them.    ・各社は、有害なバイアスや差別の回避、プライバシーの保護など、AIシステムがもたらしうる社会的リスクに関する研究を優先することを約束する。 AIの実績は、これらの危険の狡猾さと蔓延を示しており、両社はこれらを低減するAIを展開することを約束する。  
・The companies commit to develop and deploy advanced AI systems to help address society’s greatest challenges. From cancer prevention to mitigating climate change to so much in between, AI—if properly managed—can contribute enormously to the prosperity, equality, and security of all. ・各社は、社会の最大の課題に対処するための高度なAIシステムを開発し、展開することを約束する。 がんの予防から気候変動の低減まで、AIは適切に管理されれば、すべての人の繁栄、平等、安全保障に大きく貢献することができる。
As we advance this agenda at home, the Administration will work with allies and partners to establish a strong international framework to govern the development and use of AI. It has already consulted on the voluntary commitments with Australia, Brazil, Canada, Chile, France, Germany, India, Israel, Italy, Japan, Kenya, Mexico, the Netherlands, New Zealand, Nigeria, the Philippines, Singapore, South Korea, the UAE, and the UK. The United States seeks to ensure that these commitments support and complement Japan’s leadership of the G-7 Hiroshima Process—as a critical forum for developing shared principles for the governance of AI—as well as the United Kingdom’s leadership in hosting a Summit on AI Safety, and India’s leadership as Chair of the Global Partnership on AI. We also are discussing AI with the UN and Member States in various UN fora. 国内でこのアジェンダを推進すると同時に、政府は同盟国やパートナーと協力し、AIの開発と利用を管理する強力な国際的枠組みを確立する。米国はすでに、オーストラリア、ブラジル、カナダ、チリ、フランス、ドイツ、インド、イスラエル、イタリア、日本、ケニア、メキシコ、オランダ、ニュージーランド、ナイジェリア、フィリピン、シンガポール、韓国、アラブ首長国連邦、英国との自主的な約束について協議している。米国は、これらのコミットメントが、AIガバナンスのための共有原則を策定するための重要なフォーラムであるG7広島プロセスにおける日本のリーダーシップや、AIの安全性に関するサミット開催における英国のリーダーシップ、AIに関するグローバル・パートナーシップの議長としてのインドのリーダーシップを確実に支援し、補完することを目指す。 また、国連の様々な場において、国連や加盟国ともAIについて議論している。
Today’s announcement is part of a broader commitment by the Biden-Harris Administration to ensure AI is developed safely and responsibly, and to protect Americans from harm and discrimination. 本日の発表は、AIが安全かつ責任を持って開発され、米国人を危害や差別から守るための、バイデン-ハリス政権によるより広範なコミットメントの一環である。
Earlier this month, Vice President Harris convened consumer protection, labor, and civil rights leaders to discuss risks related to AI and reaffirm the Biden-Harris Administration’s commitment to protecting the American public from harm and discrimination. ・今月初め、ハリス副大統領は消費者保護、労働、公民権のリーダーを招集し、AIに関連するリスクについて話し合い、アメリカ国民を被害や差別から守るというバイデン=ハリス政権のコミットメントを再確認した。
Last month, President Biden met with top experts and researchers in San Francisco as part of his commitment to seizing the opportunities and managing the risks posed by AI, building on the President’s ongoing engagement with leading AI experts. ・先月、バイデン大統領は、AIがもたらす機会を捉え、リスクをマネジメントするためのコミットメントの一環として、サンフランシスコでトップクラスの専門家や研究者と会談した。
In May, the President and Vice President convened the CEOs of four American companies at the forefront of AI innovation—Google, Anthropic, Microsoft, and OpenAI—to underscore their responsibility and emphasize the importance of driving responsible, trustworthy, and ethical innovation with safeguards that mitigate risks and potential harms to individuals and our society. At the companies’ request, the White House hosted a subsequent meeting focused on cybersecurity threats and best practices. ・大統領と副大統領は5月、AIイノベーションの最前線にいる4つの米国企業(グーグル、Anthropic、マイクロソフト、OpenAI)のCEOを招集し、その責任を強調するとともに、個人と社会に対するリスクと潜在的な危害を軽減するセーフガードを備えた、責任ある、信頼できる、倫理的なイノベーションを推進することの重要性を強調した。各社の要請を受けて、ホワイトハウスはサイバーセキュリティの脅威とベストプラクティスに焦点を当てた会議を開催した。
The Biden-Harris Administration published a landmark Blueprint for an AI Bill of Rights to safeguard Americans’ rights and safety, and U.S. government agencies have ramped up their efforts to protect Americans from the risks posed by AI, including through preventing algorithmic bias in home valuation and leveraging existing enforcement authorities to protect people from unlawful bias, discrimination, and other harmful outcomes. ・バイデン-ハリス政権は、米国人の権利と安全を守るための画期的な「AI権利章典」の青写真を発表した。米国政府機関は、AIがもたらすリスクから米国人を保護するための取り組みを強化しており、これには、家庭評価におけるアルゴリズムによるバイアスを防止し、違法な偏見や差別、その他の有害な結果から人々を守るために既存の執行権限を活用することが含まれる。
President Biden signed an Executive Order that directs federal agencies to root out bias in the design and use of new technologies, including AI, and to protect the public from algorithmic discrimination. ・バイデン大統領は、AIを含む新技術の設計と使用におけるバイアスを根絶し、アルゴリズムによる差別から国民を保護するよう連邦政府機関に指示する大統領令に署名した。
Earlier this year, the National Science Foundation announced a $140 million investment to establish seven new National AI Research Institutes, bringing the total to 25 institutions across the country. ・今年初め、全米科学財団は1億4,000万ドルを投じて7つの国立AI研究機構を新設することを発表し、これにより全米で25の機構が設立されることになった。
The Biden-Harris Administration has also released a National AI R&D Strategic Plan to advance responsible AI. ・バイデン=ハリス政権も、責任あるAIを推進するための国家AI研究開発戦略計画を発表した。
・The Office of Management and Budget will soon release draft policy guidance for federal agencies to ensure the development, procurement, and use of AI systems is centered around safeguarding the American people’s rights and safety. ・行政管理予算局は、AIシステムの開発・調達・利用が米国民の権利と安全を守ることを中心としたものであることを確実にするため、連邦政府機関向けの政策指針案を近く発表する。

 

・[PDF] Ensuring Safe, Secure, and Trustworthy AI

20230722-61659

 

仮対訳は下に...

 

記者発表...

・2023.07.21 [YouTube] President Biden Delivers Remarks on Artificial Intelligence

・2023.07.21 Remarks by President Biden on Artificial Intelligence

Remarks by President Biden on Artificial Intelligence 人工知能に関するバイデン大統領の発言
Roosevelt Room ルーズベルト・ルーム
1:18 P.M. EDT 東部夏時間 午後1時18分
THE PRESIDENT:  I’m the AI.  (Laughter.)  If any of you think I’m Abe Lincoln, blame it on the AI. 大統領:私はAIだ。  (笑)。私がエイブ・リンカーンだと思っている人がいたら、AIのせいにしてくれ。
First of all, thanks.  Thanks for coming.  And I want to thank my colleagues here for taking the time to come back again and again as we try to deal with the — we’re joined by leaders of seven American companies who are driving innovation in artificial intelligence.  And it is astounding.  まずは、ありがとう。  来てくれてありがとう。  そして、このような問題に対処するために、時間を割いて何度も足を運んでくれた同僚たちに感謝したい。今回は、人工知能のイノベーションを推進する7つのアメリカ企業のリーダーが参加している。  それは驚くべきことだ。 
Artificial intelligence or — it promises an enormous — an enormous promise of both risk to our society and our economy and our national security, but also incredible opportunities — incredible opportunities. 人工知能は、私たちの社会、経済、そして国家安全保障に対するリスクであると同時に、信じられないようなチャンスでもある。
Just two months ago, Kamala and I met with these leaders — most of them are here again — to underscore the responsibility of making sure that products that they are producing are safe and — and making them public — what they are and what they aren’t. ちょうど2ヶ月前、カマラ副大統領と私はこれらの指導者たち-彼らのほとんどは再びここにいる-と会い、彼らが生産している製品が安全であることを確認し、それが何であり、何でないかを公表する責任を強調した。
Since then, I’ve met with some of America’s top minds in technology to hear the range of perspectives and possibilities and risk of AI. それ以来、私はアメリカのテクノロジー界のトップたちと会い、AIのさまざまな視点や可能性、リスクについて話を聞いてきた。
Kamala can’t be here because she’s traveling to Florida, but she’s met with civil society leaders to hear their concerns about the impacts on society and ways to protect the rights of Americans. カマラ副大統領はフロリダに出張中のためここには来られないが、市民社会のリーダーたちと会い、社会への影響やアメリカ人の権利を守る方法についての懸念を聞いてきた。
Over the past year, my administration has taken action to guide responsible innovation. この1年間、私の政権は責任あるイノベーションを導くための行動をとってきた。
Last October, we introduced a first-of-its-kind AI Bill of Rights. 昨年10月には、世界で初めてのAI権利章典を導入した。
In February, I signed an executive order to direct agencies to protect the public from algorithms that discriminate. 2月には、差別的なアルゴリズムから国民を守るよう各省庁に指示する大統領令に署名した。
In May, we unveiled a new strategy to establish seven new AI research institutes to help drive breakthroughs in responsible AI innovention [innovation]. 5月には、責任あるAIイノベーション(技術革新)のブレークスルーを促進するために、7つの新しいAI研究機構を設立する新戦略を発表した。
And today, I’m pleased to announce that these seven companies have agreed volun- — to voluntary commitments for responsible innovation.  These commitments, which the companies will implement immediately, underscore three fundamental principles: safety, security, and trust. そして本日、これら7社が責任あるイノベーションのための自発的なコミットメントに合意したことを発表できることを嬉しく思う。  各社が直ちに実施するこれらのコミットメントは、安全セキュリティ信頼という3つの基本原則を強調している。
First, the companies have an obligation to make sure their technology is safe before releasing it to the public.  That means testing the capabilities of their systems, assessing their potential risk, and making the results of these assessments public. 第一に、各社はその技術を市場に出す前に、安全性を確認する義務がある。  つまり、システムの機能をテストし、潜在的なリスクを評価し、その結果を公表することである。
Second, companies must prioritize the security of their systems by safeguarding their models against cyber threats and managing the risks to our national security and sharing the best practices and industry standards that are — that are necessary. 第二に、企業はサイバー脅威から自社モデルを守り、国家安全保障に対するリスクをマネジメントし、必要なベストプラクティスと業界標準を共有することで、システムのセキュリティを優先しなければならない。
Third, the companies have a duty to earn the people’s trust and empower users to make informed decisions — labeling content that has been altered or AI-generated, rooting out bias and discrimination, strengthening privacy protections, and shielding children from harm. 第三に、企業は国民の信頼を獲得し、ユーザーが十分な情報を得た上で意思決定できるようにする義務がある。改ざんされたコンテンツやAIが生成したコンテンツにはラベルを付け、バイアスと差別を根絶し、プライバシー保護を強化し、子どもたちを被害から守るのだ。
And finally, companies have agreed to find ways for AI to help meet society’s greatest challenges — from cancer to climate change — and invest in education and new jobs to help students and workers prosper from the opportunities, and there are enormous opportunities of AI.   そして最後に、企業はAIが癌から気候変動に至るまで、社会の最も大きな課題を解決するのに役立つ方法を見つけ、学生や労働者がAIの機会から繁栄できるよう、教育や新たな仕事に投資することに合意した。  
These commitments are real, and they’re concrete.  They’re going to help fulfill — the industry fulfill its fundamental obligation to Americans to develop safe, secure, and trustworthy technologies that benefit society and uphold our values and our shared values. これらの公約は現実的で具体的だ。  これらのコミットメントは現実的であり、具体的である。これらのコミットメントは、社会に利益をもたらし、我々の価値観と共通の価値観を支持する、安全、安心、信頼できるテクノロジーを開発するという、アメリカ人に対する基本的な義務を果たすことにつながる。
Let me close with this.  We’ll see more technology change in the next 10 years, or even in the next few years, than we’ve seen in the last 50 years.  That has been an astounding revelation to me, quite frankly.  Artificial intelligence is going to transform the lives of people around the world. 最後に言わせてほしい。  我々は今後10年、あるいは数年のうちに、過去50年間に経験した以上のテクノロジーの変化を目の当たりにするだろう。  これは、率直に言って、私にとって驚くべき啓示だった。  人工知能は世界中の人々の生活を一変させるだろう。
The group here will be critical in shepherding that innovation with responsibility and safety by design to earn the trust of Americans.  And, quite frankly, as I met with world leaders, all — all — all our Eur- — all the G7 is focusing on the same thing. ここのグループは、アメリカ人の信頼を得るために、責任とデザインによる安全性をもって、このイノベーションの舵取りをする上で重要な役割を果たすだろう。  そして率直に言って、私が世界の指導者たちと会ったとき、すべての、すべての、すべての我々のEurが、すべてのG7が同じことに焦点を当てていた。
Social media has shown us the harm that powerful technology can do without the right safeguards in place. ソーシャルメディアは、強力なテクノロジーが適切な保護措置を講じることなくもたらす弊害を我々に示している。
And I’ve said at the State of the Union that Congress needs to pass bipartisan legislation to impose strict limits on personal data collection, ban targeted advertisements to kids, require companies to put health and safety first. 私は一般教書演説で、議会は超党派の法案を可決し、個人データ収集に厳格な制限を課し、子供へのターゲット広告を禁止し、企業に健康と安全を最優先させる必要があると述べた。
But we must be clear-eyed and vigilant about the threats emerging — of emerging technologies that can pose — don’t have to, but can pose — to our democracy and our values.   しかし、私たちは、民主主義と私たちの価値観に脅威をもたらす可能性のある(もたらす必要はないが、もたらす可能性のある)新興テクノロジーについて、明確な目を向け、警戒しなければならない。  
Americans are seeing how advanced artificial intelligence and the pace of innovation have the power to disrupt jobs and industries. 高度な人工知能と技術革新のスピードが、いかに雇用と産業を破壊する力を持っているかを、アメリカ国民は目の当たりにしている。
These commitments — these commitments are a promising step, but the — we have a lot more work to do together.  これらの公約は、有望な一歩ではあるが、われわれは共になすべき多くの仕事を抱えている。 
Realizing the promise of AI by managing the risk is going to require some new laws, regulations, and oversight. リスクをマネジメントすることで、AIの有望性を実現するには、いくつかの新しい法律、規制、監視が必要になるだろう。
In the weeks ahead, I’m going to continue to take executive action to help America lead the way toward responsible innovation.  And we’re going to work with both parties to develop appropriate legislation and regulation.  I’m pleased that Leader Schumer and Leader Jeffries and others in the Congress are making this a top bipartisan priority. 今後数週間、私は、米国が責任あるイノベーションへの道をリードできるよう、引き続き行政措置を講じるつもりだ。  そして、適切な法律や規制を策定するために、両党と協力していくつもりだ。  シューマー党首やジェフリーズ党首をはじめとする議会関係者が、これを超党派の最優先課題としていることをうれしく思う。
As we advance the agenda here at home, we’ll lead the work with — we’ll lead work with our allies and partners on a common international framework to govern the development of AI. 国内でアジェンダを進めると同時に、我々は、AI開発をガバナンスするための国際的な共通の枠組みについて、同盟国やパートナーとの作業を主導していく。
I think these leaders and — I thank these leaders that are in the room with me today — (clears throat)  — and their partnership — excuse me — and their commitments that they’re making.  This is a serious responsibility, and we have to get it right.  And there’s enormous, enormous potential upside as well.  私は、今日私と一緒に部屋にいるこれらの指導者たち、そして彼らのパートナーシップ、失礼、そして彼らのコミットメントに感謝している。  これは重大な責任であり、我々はそれを正しく理解しなければならない。  そして、莫大な潜在的なプラス面もある。 
So I want to thank you all.  And they’re about to go down to a meeting, which I’ll catch up with them later. だから、私は皆さんに感謝したい。  彼らはこれからミーティングに行くので、後で追いつくことにする。
So thank you, thank you, thank you. ありがとう、ありがとう、ありがとう。
1:24 P.M. EDT 東部夏時間 午後1時24分

 

 


 

情報技術産業協議会の反応...

ここの関連団体であるINCITSが、ISO/IEC JTC 1/SC 42にも関わっていますからね。。。

1_20230723031401

Information Technology Industry Council; ITI

・2023.07.21 ITI: New White House AI Commitments Can Mitigate Risks, Advance Trust in Technology

 

ITI: New White House AI Commitments Can Mitigate Risks, Advance Trust in Technology ITI:ホワイトハウスの新しいAIコミットメントはリスクを低減し、技術への信頼を前進させることができる
WASHINGTON – Today, global tech trade association ITI’s President and CEO Jason Oxman reacted to the Biden Administration’s voluntary commitment with seven AI companies, including several ITI members, to ensure the safe and responsible deployment of artificial intelligence (AI): ワシントン - 本日、世界的なハイテク業界団体であるITIのジェイソン・オックスマン会長兼CEOは、バイデン政権がITI会員数社を含むAI企業7社と、人工知能(AI)の安全で責任ある展開を確保するための自主的なコミットメントを交わしたことに対応した:
“Safe and responsible AI development and deployment must be grounded in trust, transparency and ethical design, and collaboration between government, industry, civil society, and academia. The voluntary commitments announced by the White House today will advance the tech industry’s ongoing work to make AI safer for all. We’re encouraged that many of the commitments reflect those recommended by ITI and encourage participation in the AI activities of our affiliated standards activities organization INCITS. ITI looks forward to our continued partnership with the Biden Administration and the U.S. Congress to advance strategic and effective AI policy.” 「安全で責任あるAIの開発と導入は、信頼、透明性、倫理的な設計、政府、産業界、市民社会、学界の協力に基づくものでなければならない。ホワイトハウスが本日発表した自主的なコミットメントは、すべての人にとってAIをより安全なものにするためのテック業界の継続的な取り組みを前進させるだろう。ITIが推奨する公約の多くがこの公約に反映されており、ITIの関連標準活動組織であるINCITSのAI活動への参加を奨励するものであることを心強く思う。ITIは、戦略的かつ効果的なAI政策を推進するため、バイデン政権および米国議会との継続的なパートナーシップを期待している。」
ITI’s Global Policy Principles for Enabling Transparency of AI Systems underscore that transparency is a critical part of developing accountable and trustworthy AI systems and avoiding unintended outcomes or other harmful impacts. ITI’s comprehensive Global AI Policy Recommendations are a guide for governments around the world as they consider how to approach AI, and emphasize the importance of private and public sector collaboration as demonstrated in today’s White House announcement. ITI’s affiliated standards development organization INCITS leads and convenes the U.S. standardization program on AI (ISO/IEC JTC 1/SC 42), which can be a voluntary method for companies to measure, assess, and take steps to meet the commitments announced today. AIシステムの透明性を実現するためのITIのグローバル政策原則は、透明性が説明責任を果たし信頼できるAIシステムを開発し、意図しない結果やその他の有害な影響を回避するために重要な部分であることを強調している。ITIの包括的な「グローバルAI政策提言」は、世界各国の政府がAIへのアプローチ方法を検討する際の指針となるもので、本日のホワイトハウスの発表で示されたように、民間と公的セクターの協力の重要性を強調している。ITIの関連標準開発組織であるINCITSは、AIに関する米国の標準化プログラム(ISO/IEC JTC 1/SC 42)を主導し、招集している。このプログラムは、企業が測定、評価、本日発表された公約を満たすための措置を講じるための自主的な方法となりうる。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.27 米国 国家人工知能研究開発 戦略計画 2023更新 (2023.05.23)

・2023.05.26 米国 ファクトシート:バイデン-ハリス政権、責任ある人工知能の研究・開発・実装を進める新たなステップを導入

・2023.05.08 米国 ホワイトハウス 「米国人の権利と安全を守る責任あるAIイノベーションを推進する新たな行動」 (2023.05.04)

 

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

5原則...

・Safe and Effective Systems ・安全で効果的なシステム
・Algorithmic Discrimination Protections ・アルゴリズムによる差別に対する保護
・Data Privacy ・データプライバシー
・Notice and Explanation ・通知と説明
・Human Alternatives, Consideration, and Fallback ・人的代替手段、配慮、およびフォールバック

 

  • 安全で効果的なシステム:安全で効果的なシステム:安全でない、あるいは効果的でないシステムから保護されるべきである。

  • アルゴリズムによる差別に対する保護:アルゴリズムによる差別に直面してはいけない。また、システムは公平な方法で使用、設計されるべきである。

  • データプライバシー:ユーザーは、組み込みの保護機能によって乱用的なデータ処理から保護されるべきであり、ユーザーに関するデータがどのように使用されるかについて代理権を持つ必要がある。

  • 通知と説明:自動化されたシステムがいつ使用されているかを知り、それが自分に影響を与える結果にどのように、そしてなぜ寄与しているかを理解する必要がある。

  • 人的代替手段、配慮、およびフォールバック:適切な場合にはオプトアウトが可能であるべきであり、また、あなたが遭遇した問題を迅速に検討し、改善できる担当者にアクセスできるようにすべきである。

 

・2023.04.28 米国 連邦取引委員会 司法省 消費者金融保護局 雇用機会均等委員会 「自動化システムにおける差別やバイアスに対する執行努力に関する共同声明 」

 

中国については、

・2023.07.14 中国 国家サイバースペース管理局他 生成型AIサービス管理暫定弁法 施行は2023.08.15

 

欧州については、

・2022.12.08 EU理事会 AI法に関する見解を採択

 

英国については、

・2023.07.20 英国 Ada Lovelace 協会 英国のAI規制、AIリスクなど4つの報告書

 

と、その下の関連記事を併せて読むと全体がみえてくるかもです。。。

 

 

 

 


 

Ensuring Safe, Secure, and Trustworthy AI 仮対訳...

↓↓↓↓↓↓↓↓↓↓

Continue reading "米国 ホワイトハウス 7つの米国AI企業が、バイデン政権とした3つの分野の8つの約束"

| | Comments (0)

2023.07.21

CSA クラウドの攻撃ベクトルを理解する (2023.06.06)

こんにちは、丸山満彦です。

IaaS/Paasにおけるクラウドベースの攻撃を効果的、効率的に守るためのアイデアといったところですかね。。。CSAのイスラエルが頑張ったようですね。。。

 

⚫︎Cloud Security Alliance

・2023.06.06 Understanding Cloud Attack Vectors

Understanding Cloud Attack Vectors クラウドの攻撃ベクトルを理解する
The goal of the document is to map the various attack vectors that are actually being used during cloud-based attacks in IaaS/PaaS and to map the vectors and their mitigating controls to various resources. The motivation for this document came after we analyzed much research around cloud security and realized that they are listing a combination of risks, threats, attack vectors, vulnerabilities, and concerns. And while there are many risks and threats to IaaS/PaaS platforms and applications, most of the risks are associated with a very specific number of attack vectors. この文書の目的は、IaaS/PaaSにおけるクラウドベースの攻撃で実際に使用されている様々な攻撃ベクトルをマッピングし、そのベクトルとその低減対策を様々なリソースにマッピングすることである。このドキュメントを作成した動機は、クラウドセキュリティに関する多くの研究を分析した結果、リスク、脅威、攻撃ベクトル、脆弱性、懸念事項の組み合わせがリストアップされていることに気づいたからだ。そして、IaaS/PaaSプラットフォームやアプリケーションには多くのリスクや脅威が存在するが、ほとんどのリスクは非常に特定の数の攻撃ベクトルに関連している。

 

・報告書

20230721-63551

 

目次的...

1: Exploitable Workloads 1: 搾取可能なワークロード
2: Workloads with Excessive Permissions 2: 過大な権限を持つ作業負荷 
3: Unsecured Keys, Credentials, and Application Secrets 3: 安全でない鍵、認証情報、アプリケーションシークレット
4: Exploitable Authentication or Authorization 4: 悪用可能な本人認証または認可
5: Unauthorized Access to Object Storage 5: オブジェクト・ストレージへの不正アクセス 
6: Third-Party Cross-Environment/Account Access 6: サードパーティによるクロス環境/アカウントアクセス
7: Unsecured/Unencrypted Snapshots & Backups 7: 安全でない/暗号化されていないスナップショットとバックアップ
8: Compromised Images 8: 危殆化したイメージ

 

・要約

20230721-64052

 

ポイントをしぼって仮対訳...

↓↓↓↓↓↓↓↓↓↓


 

 

 

Continue reading "CSA クラウドの攻撃ベクトルを理解する (2023.06.06)"

| | Comments (0)

CSA クラウドにおける金融サービスの現状 (2023.06.05)

こんにちは、丸山満彦です。

金融業界でも、クラウドは普通につかわれていますよね。。。

金融機関の方と話をしたのですが、その時はすべての金融機関の方がクラウドサービスを利用していましたね。。。

そんな時代ですね。。。

気になる領域は、

  • Zero Trust
  • Cloud Regulation
  • Multi-cloud management
  • Financial Shared responsibility model
  • Confidential Computing

のようですね。。

 

⚫︎Cloud Security Alliance

・2023.06.05 State of Financial Services in Cloud

State of Financial Services in Cloud クラウドにおける金融サービスの現状
Due to this trend, CSA has been conducting surveys to better understand the adoption of cloud computing technology in the finance industry, bringing together a community of contributors from global banks, fintech, payment processors, insurance companies, financial supervisory authorities, data protection authorities, and other national regulatory bodies. Now, with this latest report, we aim to better understand:  このような動向を受け、CSAは金融業界におけるクラウド・コンピューティング技術の採用状況をよりよく理解するため、世界の銀行、フィンテック、データ処理者、保険会社、金融監督当局、データ保護当局、その他各国の規制団体の関係者を集めて調査を実施してきた。この最新報告書では、以下をより深く理解することを目的としている: 
・Financial institutions’ level of adoption of cloud solutions and requirements compared to prior surveys conducted in 2019-2020.  ・2019年から2020年にかけて実施された事前調査と比較した、金融機関のクラウド・ソリューションの導入レベルと要件。 
・Current challenges facing the financial services industry.  ・金融サービス業界が直面している現在の課題。 
・Opportunities for CSA to create guidance on protecting financial data and related assets within secure cloud services. ・CSAが安全なクラウドサービス内で金融データと関連資産を保護するためのガイダンスを作成する機会。
Most evident from this report is that cloud services are becoming well-rooted in all aspects of financial services and are expected to be used for a very long time. No longer is the question as to whether cloud will be adopted, but about the execution of how: how to adopt cloud-native security, how to apply Zero Trust methodologies, and how to educate all relevant stakeholders.  本報告書から最も明らかなことは、クラウドサービスが金融サービスのあらゆる側面に根付きつつあり、非常に長期にわたって利用されることが予想されるということである。クラウドが採用されるかどうかはもはや問題ではなく、クラウド・ネイティブなセキュリティをどのように採用するか、ゼロ・トラストの手法をどのように適用するか、関係するすべての利害関係者をどのように教育するかといった、方法の実行が問われている。 
Key Takeaways: 主な要点
・98% of organizations are using some form of cloud computing, up from 91% in 2020. ・組織の98%が何らかのクラウドコンピューティングを利用しており、2020年の91%から増加している。
・57% of organizations currently use multiple cloud providers for their IaaS/PaaS needs.  ・57%の組織が現在、IaaS/PaaSのニーズに対して複数のクラウドプロバイダーを利用している。 
・59% of organizations store or process regulated banking information within cloud services, with only 25% having no future plans to do so. ・59%の組織が、規制対象となる銀行情報をクラウドサービス内で保存または処理しており、将来的にそのような計画を持たない組織は25%に過ぎない。
・A common pain point is the need for broader awareness of approaches to auditing cloud services by regulators and auditors.  ・共通のペインポイントは、規制当局や監査人によるクラウド・サービスの監査アプローチに対する幅広い認識が必要であることだ。 
65% of organizations use CSA’s CCM and CAIQ to demonstrate adherence to frameworks, establish an internal cloud security controls framework, and establish an internal cloud risk management approach. ・65%の組織が、CSAのCCMとCAIQを利用して、フレームワークへの準拠を実証し、内部クラウドセキュリティ管理フレームワークを確立し、内部クラウドリスクマネジメントアプローチを確立している。

 

報告書

20230721-63542

 

目次...

Acknowledgment 謝辞
Preface 序文
Executive Summary 要旨
Survey Methodology 調査方法
Survey Results 調査結果
Cloud Adoption Continues to Increase クラウドの導入は増加の一途をたどっている
Multi-Cloud is Reality for Financial Services マルチクラウドは金融サービスの現実
Zero Trust Adds Integrity to Access Within Financial Cloud ゼロ・トラストが金融クラウド内のアクセスに完全性を加える
Managing Data Improves in the Cloud クラウドにおけるデータ管理の改善
Business Continuity Crucial for Operations in the Cloud クラウドにおける事業継続は重要である
Meeting Regulatory Requirements in the Cloud クラウドにおける規制要件への対応
Data Privacy, Sovereignty, and Localization データのプライバシー、主権、ローカライゼーション
Regulator Understanding of Auditing Practices for Cloud Services 規制当局によるクラウドサービスの監査実務への理解
CCM Harmonizes Security Approach to Cloud CCMはクラウドに対するセキュリティ・アプローチを調和させる
Cloud HSMs and Confidential Computing Enhance Key Management クラウドHSMと機密コンピューティングが鍵管理を強化する
Skills Gap Still Exists in Cloud Security クラウド・セキュリティにはまだスキル・ギャップがある
Check out Key Management activities from CSA. CSA の鍵管理活動をチェックする。
Cloud Key Management Working Group クラウド鍵管理ワーキンググループ
Confidential Computing Working Group 機密コンピューティング・ワーキング・グループ
Cloud Infrastructure Security Training クラウド・インフラ・セキュリティ・トレーニング
Opportunities in Financial Services and Cloud 金融サービスとクラウドにおける機会
Keeping up with New Technologies and CSP Features 新しい技術と CSP の特徴に対応する
Demonstrating Adequate Assurance Cloud Security for FSI FSIのための十分な保証クラウドセキュリティの実証
People: Maintain relevant knowledge (e.g. platform-specific training, micro trainings) 人 関連知識の維持(プラットフォーム別トレーニング、マイクロトレーニングなど)
Training トレーニング
Process: Mappings to FSI Frameworks, Validating to STAR プロセス: FSIフレームワークへのマッピング、STARへの検証
CCM and Industry Standards CCMと業界標準
Technology: CSPs Supporting FSI with Advancements in Security Technologies 技術: セキュリティ技術の進歩でFSIをサポートするCSP
New Features, Artificial Intelligence Integrations 新機能、人工知能の統合
Enterprise and Cloud Risk Management エンタープライズとクラウドのリスクマネジメント
Threat Intelligence and Context Still Needed in the Cloud クラウドには脅威インテリジェンスとコンテキストがまだ必要である
CSA Financial Services Initiatives CSAの金融サービスへの取り組み
Education 教育
Research リサーチ
Industry Briefings 業界向けブリーフィング
Assurance Framework and Programs 保証フレームワークとプログラム
Conclusion 結論
Demographics 人口統計

 

要旨...

Executive Summary  要旨 
The Financial Services Industry (FSI) adoption of cloud services has grown extensively in recent years and is expected to increase with further adoption and integration of cloud service provider (CSP) functions replacing traditional technology of banking, commerce, and other methods of performing financial transactions and exchanging financial data.  金融サービス業界(FSI)のクラウドサービス導入は近年急速に拡大しており、クラウドサービスプロバイダ(CSP)機能のさらなる導入・統合により、銀行業務、商取引、その他の金融取引や金融データ交換の伝統的な技術に取って代わることが期待されている。
The intention of this report was to evaluate the current state of adoption, compared to the industry’s readiness just three years ago when CSA conducted a similar survey and identify the current issues and opportunities that FSI leaders are addressing in their progression to further utilizing cloud services.  本報告書の意図は、CSAが同様の調査を実施したわずか3年前の業界の準備状況と比較して、導入の現状を評価し、FSIのリーダーがクラウドサービスのさらなる活用に向けて取り組んでいる現在の課題と機会を特定することである。
In interviews associated with this report, CISOs and cloud architects for fintech said that harnessing the scalability and quick- to-market capabilities to bring innovation to market was a much more cost-effective approach than some of their prior practices. Additionally, banking professionals, in part from the COVID pandemic, said leveraging cloud for remote workers or ability to deploy new software services more quickly with dynamic updates were primary reasons along with the ability to harmonize security policies for consistent deployments that met regulation.  本報告書に関連したインタビューでは、フィンテックのCISOやクラウド・アーキテクトが、イノベーションを市場に投入するためにスケーラビリティと迅速な市場投入能力を活用することは、以前の慣行よりもはるかに費用対効果の高いアプローチであると述べている。さらに、銀行関係者は、COVIDの流行もあり、リモートワーカー向けにクラウドを活用することや、ダイナミックアップデートで新しいソフトウェアサービスをより迅速に展開できることが、規制を満たした一貫性のある展開のためにセキュリティポリシーを調和させる能力とともに、主な理由であると述べている。
Regulation was one of the greatest influencing factors from the report. Despite the increase in use of cloud computing to host regulated data, concerns remained on how Cloud Service Providers could understand and demonstrate compliance with global legislation.  規制は、報告書から最も大きな影響を受けた要因の1つである。規制対象データをホストするためにクラウドコンピューティングの利用が増加しているにもかかわらず、クラウド・サービス・プロバイダがグローバルな法規制をどのように理解し、コンプライアンスを実証できるのかという懸念が残っていた。
Still, new approaches create new types of risk and respondents said that while use of cloud services is increasing,  それでも、新たなアプローチは新たなタイプのリスクを生み出し、回答者は、クラウドサービスの利用が増加している一方で、その導入ペースには注意が必要だと述べている、 
the pace of adoption will need to be at the speed at which CSPs and Financial Services can both demonstrate the capabilities to show adherence to regulation and overall data protection and staff are comfortable with managing.  導入のペースは、CSPと金融サービスの双方が、規制とデータ保護全般の遵守を示す能力を実証し、スタッフが管理に納得できるスピードに合わせる必要がある。
Other themes beyond regulation identified in the report include the importance of data management, integrity of access, threat intelligence and good enterprise risk management.  規制以外のテーマとしては、データマネジメントの重要性、アクセスの完全性、脅威インテリジェンス、優れたエンタープライズ・リスク・マネジメントなどが挙げられている。
Most evident from the report is that cloud services are becoming well-rooted into all aspects of financial services and are expected to be used for a very long time. No longer is the question as to whether cloud will be adopted but more about the execution of “how”. How to adopt cloud-native security, how to apply zero trust methodologies, how to educate all relevant stakeholders from staff to regulators to cloud partners.  報告書から最も明らかなのは、クラウドサービスが金融サービスのあらゆる側面に根付きつつあり、非常に長期にわたって利用されることが期待されているということだ。もはやクラウドが採用されるかどうかは問題ではなく、「どのように」採用されるかが重要なのだ。クラウドネイティブ・セキュリティをどのように採用するか、ゼロトラスト手法をどのように適用するか、スタッフから規制当局、クラウドパートナーに至るまで、すべての関係者をどのように教育するか、などである。
The information shared with CSA in this report has helped identify future research, standards requirements, training and education that the CSA community may have interest in developing. At the end of the report, we share some of these suggestions that will be socialized with our FS Leadership Council for consideration.  本報告書でCSAと共有された情報は、CSAコミュニティが開発に関心を持つであろう将来の研究、標準要件、トレーニング、教育の特定に役立った。報告書の最後に、これらの提案のいくつかを紹介し、FS リーダーシップ・カウンシルで検討する予定である。

 

気になる領域...

20230721-161108

 

 

要約

20230721-64045

 

 

 

| | Comments (0)

CSA SaaSセキュリティの現状:2023年調査レポート (2023.06.02)

こんにちは、丸山満彦です。

少し(かなり)古い話なのですが...

SaaSセキュリティの現状:2023年調査レポートが公表していますね。。。

これからどんどん業務アプリケーションもSaaSの利用が進むでしょうね。。。となると。。。

 

⚫︎Cloud Security Alliance

・2023.06.02 State of SaaS Security: 2023 Survey Report

State of SaaS Security: 2023 Survey Report SaaSセキュリティの現状:2023年調査レポート
In today’s digital landscape, SaaS has emerged as a vital lifeline for operations in organizations big and small. As businesses entrust the cloud with their invaluable data, security of these applications and the information they harbor takes center stage. While SaaS applications are secure by design, the way they are configured and governed is what poses a risk. Without robust security measures, these organizations expose themselves to potential data breaches, cyber-attacks, and other security incidents, potentially wreaking financial and reputational havoc. Understanding the state of SaaS security and what steps organizations are taking is therefore essential for organizations to protect themselves from these risks.  It's with this backdrop that this survey returns, delving into the intricacies of SaaS security and offering a follow-up to last year's report. 今日のデジタル環境において、SaaSは大小を問わず組織の業務に不可欠なライフラインとして浮上している。企業が貴重なデータをクラウドに託す中、これらのアプリケーションとそこに格納される情報のセキュリティが重要な課題となっている。SaaSアプリケーションは設計上安全であるが、その構成と政府のあり方こそがリスクをもたらす。強固なセキュリティ対策を講じなければ、これらの組織は潜在的なデータ漏洩、サイバー攻撃、その他のセキュリティ・インシデントにさらされ、財務や評判に大打撃を与える可能性がある。したがって、SaaSセキュリティの現状と、組織がどのような対策を講じているかを理解することは、組織がこうしたリスクから身を守るために不可欠である。  このような背景から、本調査ではSaaSセキュリティの複雑さを掘り下げ、昨年のレポートのフォローアップを行う。

 

報告書

20230721-64002

 

パワーポイント

20230721-64032

 

Key Finding 1: 発見事項1:
SaaS Security Incidents on the Rise SaaSセキュリティ・インシデントが増加傾向にある
● 55% of organizations report experiencing SaaS security incident in past 2 years, up 12% from last year. ・過去2年間にSaaSセキュリティ・インシデントを経験したと回答した組織は55%で、昨年より12%増加した。
● Most common SaaS security incidents ・最も一般的なSaaSセキュリティインシデント
○ data leakage ・・データ漏洩
○ malicious apps ・・悪意のあるアプリ
○ data breach ・・データ漏洩
○ SaaS ransomware ・・SaaS ランサムウェア
Key Finding 2: 発見事項 2:
Current SaaS Security Strategies and Methodologies Don’t Go Far Enough 現在のSaaSセキュリティ戦略と手法は十分ではない
● Average organizations uses over 100 SaaS apps ・平均的な組織では100以上のSaaSアプリを使用している
● 58% of organizations estimate their current SaaS security solutions to cover 50% or less of their SaaS apps ・組織の58%は、現在のSaaSセキュリティ・ソリューションでカバーできるSaaSアプリは50%以下と見積もっている。
● Common methods that fall short include CASBs and manual audits ・CASBや手作業による監査など、一般的な方法では不十分である
Key Finding 3: 発見事項 3:
Stakeholder Spread in Securing SaaS Applications SaaSアプリケーションのセキュリティ確保における関係者の広がり
● Many different, high level titles involved in security of SaaS apps ・SaaS アプリのセキュリティには、さまざまなレベルの高い役職が関与している
● Business are taking SaaS security more seriously ・企業は SaaS セキュリティにより真剣に取り組んでいる
● Makes it challenging to determine who is ultimately responsible ・誰が最終的な責任者かを判断することが困難になる
Key Finding 4: 発見事項 4:
Organization Are prioritizing Policies and Process for Entire SaaS Security Ecosystem 組織は、SaaS セキュリティエコシステム全体のポリシーとプロセスを優先している
● Organizations are prioritizing SaaS stack security through several different domains ・組織は、複数の異なる領域を通じて、SaaS スタックのセキュリティを優先している
○ Misconfiguration Management ・・設定ミスの管理
○ Third-party App Access ・・サードパーティによるアプリアクセス
○ SaaS Identity and Access Governance ・・SaaS アイデンティティとアクセスのガバナンス
○ Monitoring SaaS User Devices ・・SaaS ユーザー・デバイスの監視
○ Threat Detection and Response ・・脅威検知と対応
Key Finding 5: 発見事項 5:
Investment in SaaS and SaaS Security Resources (Still) Increasing SaaSとSaaSセキュリティリソースへの投資は(依然として)増加している
● Increasing Investment across several areas including ・以下を含む複数の分野で投資が増加している
○ Business critical SaaS apps ・・ビジネスクリティカルな SaaS アプリ
○ Security Tools ・・セキュリティツール
○ Hiring or training staff for SaaS security ・・SaaS セキュリティのためのスタッフの雇用やトレーニング
● Increase in use of SSPM - 17% in 2022 to 44% in 2023 ・SSPM の利用が増加 - 2022 年の 17%から 2023 年の 44%へ

 

 


 

情報セキュリティ気まぐれ日記

・2022.04.18 SaaSの設定ミスがセキュリティインシデントの63%に関与している? (Cloud Security Alliance )

 

| | Comments (0)

CSA ハイパフォーマンス・コンピューティング机上演習ガイド

こんにちは、丸山満彦です。

少し古い話なのですが。。。

クラウドセキュリティアライアンスが、高性能コンピューティング(HPC)セキュリティのセキュリティガイドラインを公表していました。。。

HPCシステムは、IT部門以外が管理していることが多く、HPCシステム専任の個人の努力によって管理されている場合が多く、正式なサイバーセキュリティのトレーニング等も受けていないかもしれない。。。

なので、攻撃されたら、うまく対応できないのではないか。。。ということで、サイバー攻撃机上演習(TTX)を開催するために必要なフレームワークを公表することにしたようですね。。。

NISTが、2023年2月にNIST SP 800-223 (ドラフト) 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態が公表されているので、それをベースに作成したということのようです。。。

 

⚫︎Cloud Security Alliance

・2023.05.31 High Performance Computing Tabletop Guide

High Performance Computing Tabletop Guide ハイパフォーマンス・コンピューティング机上演習ガイド
This guide lays out the framework necessary to host a High Performance Computing (HPC)-focused cyberattack tabletop exercise (TTX) so that organizations can begin to have these conversations around HPC security. The guide takes readers through an example tabletop exercise designed to assist stakeholders in discussing HPC security as an incident unfolds and establish common ground on actions that can be taken to improve the security of the HPC systems as well as develop incident response (IR) processes around HPC systems. 本ガイドは、ハイパフォーマンス・コンピューティング(HPC)に焦点を当てたサイバー攻撃机上演習(TTX)を開催するために必要な枠組みを示し、組織がHPCセキュリティに関する話し合いを開始できるようにするものである。このガイドでは、インシデントが発生した際に関係者がHPCセキュリティについて議論し、HPCシステムのセキュリティを改善するために取るべき行動や、HPCシステムに関するインシデント対応(IR)プロセスを策定するための共通基盤を確立するための机上演習の例を紹介する。

 

20230721-145006 

簡単な登録でダウンロードできます...

 

目次...

Acknowledgments 謝辞
1. Introduction 1. 序文
Stakeholders ステークホルダー
2. HPC Architecture 2. HPCアーキテクチャ
 Access Zone  アクセスゾーン
 Management Zone  管理ゾーン
 High-Performance Computing Zone  高性能コンピューティングゾーン
 Data Storage Zone  データ保管ゾーン
3. Overview 3. 概要
Exercise Planning Team 演習計画チーム
4. Start of Tabletop Scenario 4. 机上演習シナリオの開始
References 参考文献

  

1_20230721145701


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.08 NIST SP 800-223 (ドラフト) 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態

・2020.05.18 ヨーロッパのスーパーコンピュータが次々とハッキングされた?

| | Comments (0)

国連 地域間犯罪司法研究所 子供のためにより安全に;捜査機関向けのAI研修が開始された

こんにちは、丸山満彦です。

国連の地域間犯罪司法研究所が子供がより安全にインターネットを利用できるようにするために捜査機関向けにAI研修を開始したと公表していますね。。。「より安全な子どものためのAI」イニシアティブの一環のようです。。。

捜査機関がAIを活用して、より効果的、効率的に捜査ができるようになれば、子供が安心して利用できる環境が整えられますよね。。。ということで、捜査機関向けの内容となっているようです。。。

United Nations Interregional Crime and Justice Research Institute

AI for Safer Children: The trainings have commenced!

AI for Safer Children: The trainings have commenced! 子供のためにより安全に:AI研修が開始された!
Three countries trained with three different focuses 3カ国が3つの異なる焦点でトレーニングを実施
In May 2023, under the AI for Safer Children initiative, the United Nations Interregional Crime and Justice Research Institute (UNICRI), through its Centre for Artificial Intelligence (AI) and Robotics, in partnership with the Ministry of Interior of the United Arab Emirates (UAE), commenced its country-specific trainings. 2023年5月、「より安全な子どものためのAI」イニシアティブの下、国連地域間犯罪・司法研究所(UNICRI)は、その人工知能(AI)・ロボット工学センターを通じて、アラブ首長国連邦(UAE)内務省と協力し、国別の研修を開始した。
These trainings are an extension of the AI for Safer Children Global Hub, tailored to each country’s context and needs. They showcase technological tools and techniques available to facilitate each step of child sexual exploitation and abuse investigations, based on the 8-step investigative workflow in the Global Hub’s learning centre, available to all Hub members from, currently, 89 countries. これらの研修は、「より安全な子どものためのAIグローバル・ハブ」の延長線上にあり、各国の状況やニーズに合わせたものである。研修では、グローバル・ハブのラーニング・センターにある8段階の調査ワークフローに基づき、児童の性的搾取や虐待の調査の各段階を促進するために利用可能な技術的ツールやテクニックを紹介する。
The AI for Safer Children trainings, in addition to having experts in forensic analysis going through the workflow, technology provider demonstrations, and UN experts, also feature external stakeholder presentations, all tailored to agencies’ interests.  AI for Safer Childrenのトレーニングでは、法医学分析の専門家によるワークフローの説明、テクノロジープロバイダーのデモンストレーション、国連の専門家による説明に加え、外部関係者によるプレゼンテーションも行われ、すべて各機関の関心に合わせた内容となっている。 
On June 6-7th, the AI for Safer Children team conducted its first in-person, regional training in Singapore which brought together over 80 law enforcement participants from the Singapore Police Force, as well as India, Indonesia and Brunei. It featured open-source intelligence (OSINT) tools and techniques, as per request. 6月6日から7日にかけて、AI for Safer Childrenチームは、シンガポール警察、インド、インドネシア、ブルネイから80人を超える法執行機関の参加者を集め、シンガポールで初の対面式地域トレーニングを実施した。この研修では、要望に応じて、オープンソースインテリジェンス(OSINT)のツールとテクニックが紹介された。
The first training, conducted virtually on May 9-10th for the UAE, featured tools from the Global Hub on victim and suspect identification. On May 30-31st, the training for United Kingdom explored particularly the dark web and deepfake investigations. 最初のトレーニングは、5月9日から10日にかけてUAEを対象にバーチャルで行われ、被害者と容疑者の特定に関するグローバル・ハブのツールが紹介された。5月30日から31日にかけて行われた英国向けのトレーニングでは、特にダークウェブやディープフェイク捜査について探求した。
Testimonials: this ‘could have a massive impact’ on investigations 参加者の声:これは捜査に大きな影響を与えるだろう
Feedback from participants has been overwhelmingly and encouragingly positive: 参加者からのフィードバックは、圧倒的にポジティブで、勇気づけられるものだった:
I wanted to thank you all for your time and amazing organization for the UAE training […] Our attendees were very satisfied with the content and they have learned a lot. ~ Guillaume A. (UAE) アラブ首長国連邦のトレーニングのために時間を割いてくれたこと、そして素晴らしい組織をしてくれたことに感謝したい。 ~ ギヨーム・A(アラブ首長国連邦)
Great effort was made to ensure that the training package fitted our requirements. All elements of the training were interesting and well-delivered by subject matter experts who clearly had great knowledge and expertise. The training program was incredibly useful and very well-constructed. ~ Mike F. (UK)  トレーニングパッケージが私たちの要求に合うよう、多大な努力が払われた。トレーニングのすべての要素が興味深く、明らかに優れた知識と専門知識を持つ専門家によってうまく提供された。トレーニングプログラムは非常に有益で、非常によく構成されていた。 ~ マイク・F(英国) 
‘I truly enjoyed the training’ トレーニングを心から楽しんだ
I truly enjoyed the training and learned a lot from it. I also had the opportunity to explore additional software that will greatly aid in the investigation process, particularly in the identification of victims.” ~ Peh Tian Yi (Singapore) トレーニングを心から楽しみ、多くのことを学んだ。また、捜査プロセス、特に被害者の識別に大いに役立つ追加ソフトウェアを探求する機会にも恵まれた。" ~ ペー・ティアン・イー(シンガポール)
The AI for Safer Children Hub is a very good and useful initiative with lots of tools to support investigations to rescue more victims and arrest more criminals. ~ Yeo Kok Leong (Singapore) AI for Safer Children Hubは、より多くの被害者を救出し、より多くの犯罪者を逮捕するための捜査をサポートするツールがたくさんある、非常に優れた有益な取り組みだ。 ~ ヨウ・コック・レオン(シンガポール)

 

AI for Safer Children

1_20230721050801

 

AI for Safer Children より安全な子どものためのAI
One in five girls and one in thirteen boys globally have been sexually exploited or abused by the age of 18, according to UNICEF, with online interactions featuring in some form in almost all cases of child sexual exploitation and abuse. ユニセフによると、世界全体で女児の5人に1人、男児の13人に1人が18歳までに性的搾取や虐待を受けており、子どもの性的搾取や虐待のほぼすべてのケースで、何らかの形でオンライン上のやりとりが取り上げられている。
In 2020, UNICRI’s Centre for AI and Robotics and the Ministry of Interior of the United Arab Emirates launched the AI for Safer Children initiative in an effort to tackle child sexual exploitation and abuse online through the exploration of new technological solutions, specifically artificial intelligence (AI). 2020年、UNICRIのAI・ロボット工学センターとアラブ首長国連邦内務省は、新しい技術的解決策、特に人工知能(AI)の探求を通じて、オンラインでの児童の性的搾取と虐待に取り組むため、「AI for Safer Children」イニシアティブを立ち上げた。
The initiative strives to support law enforcement agencies to tap into the potential of AI and has designed the AI for Safer Children Global Hub – a unique centralized and secure platform for law enforcement agencies – to support them to do so. The Global Hub contains extensive information on AI tools that could be used to combat child sexual exploitation and abuse and provides guidance on how law enforcement can use it in the course of their work in an ethical and human rights compliant manner. 同イニシアチブは、法執行機関がAIの可能性を活用できるよう支援することに努めており、法執行機関を支援するために、AI for Safer Childrenグローバル・ハブ(法執行機関向けの一元化された安全な独自のプラットフォーム)を設計した。このグローバル・ハブには、児童の性的搾取や虐待と闘うために利用できるAIツールに関する広範な情報が含まれており、法執行機関が倫理的かつ人権に準拠した方法でAIを利用する方法についてのガイダンスが提供されている。
Watch the short video below to learn more about AI for Safer Children. AI for Safer Childrenの詳細については、以下の短いビデオをご覧いただきたい。
AI for Safer Children ultimately seeks to contribute to realizing Target 2 of Goal 16 of the 2030 Agenda for Sustainable Development, which envisages an end to abuse, exploitation, trafficking and all forms of violence and torture against children. AI for Safer Childrenは最終的に、持続可能な開発のための2030アジェンダの目標16のターゲット2の実現に貢献することを目指している。ターゲット2では、子どもに対する虐待、搾取、人身売買、あらゆる形態の暴力や拷問をなくすことを想定している。
The development of the AI for Safer Children initiative follows an ethical and legal process and is guided by a set of seven core principles, which you can find in the related documents section below. AI for Safer Childrenイニシアチブの開発は、倫理的かつ法的なプロセスに従い、7つの基本原則によって導かれている。
Click here to access the AI for Safer Children Global Hub AI for Safer Childrenグローバル・ハブへのアクセスはこちら
Read more about the initiative イニシアチブについてもっと読む

 

AI for Safer Children Global Hub

 

 

| | Comments (0)

米国 国家情報長官室 情報コミュニティのデータ戦略 2023-2025

こんにちは、丸山満彦です。

米国の国家情報長官室が情報コミュニティのデータ戦略2023-2025を公表していますね。。。

4つの戦略的重点分野を示していますが、それが次です...

§  Perform End-to-End Data Management § エンド・ツー・エンドのデータ管理を行う。
§  Deliver Data Interoperability and Analytics at Speed and Scale § データの相互運用性分析スピードとスケールで提供する。
§  Advance All Partnerships for Continued Digital and Data Innovation § デジタルとデータのイノベーションを継続するために、あらゆるパートナーシップを推進する。
§  Transform the IC Workforce to be Data-Driven § ICの人材をデータ主導型に変革する。

当然、AIの活用も...

 

情報コミュニティ[wikipedia]は、複雑ですからね。。。

Organization 組織 所属連邦省庁 設立
Office of Naval Intelligence (ONI) 海軍情報部(ONI) 国防総省 1882
Coast Guard Intelligence (CGI) 沿岸警備隊インテリジェンス(CGI) 国土安全保障省 1915
Bureau of Intelligence and Research (INR) 情報調査局(INR) 国務省 1945
Central Intelligence Agency (CIA) 米国中央情報局(CIA) (独立省庁) 1947
Sixteenth Air Force (16 AF) (USAF ISR Enterprise) 空軍第16部隊 国防総省 1948
National Security Agency (NSA) / Central Security Service (CSS) 米国家安全保障局(NSA)/ 中央セキュリティ・サービス(CSS) 国防総省 1952
National Reconnaissance Office (NRO) 米国偵察局(NRO) 国防総省 1961
Defense Intelligence Agency (DIA) 米国国防情報局(DIA) 国防総省 1961
Military Intelligence Corps (MIC) 米国陸軍情報部(MIC) 国防総省 1977
Office of Intelligence and Counterintelligence (OICI) インテリジェンス・防諜室(OICI) エネルギー省 1977
Marine Corps Intelligence (MCI) 海兵隊情報部(MCI) 国防総省 1978
National Geospatial-Intelligence Agency (NGA) 全米地理情報局(NGA) 国防総省 1996
Office of Intelligence and Analysis (OIA) インテリジェンス&分析事務局(OIA) 財務省 2004
Intelligence Branch (IB) インテリジェンス事務局(IB) FBI 司法省 2005
Office of National Security Intelligence (ONSI) 国家安全保障情報局(ONSI) 司法省 2006
Office of Intelligence and Analysis (I&A) 情報分析室(I&A) CISA 国土安全保障省 2007
National Space Intelligence Center (NSIC) (USSF ISR Enterprise) 米国宇宙情報センター(NSIC) 国防総省 2020

 

 

Office of the Director of National Intelligence; ODNI

・2023.07.17 ODNI RELEASES THE INTELLIGENCE COMMUNITY DATA STRATEGY FOR 2023–2025

ODNI Releases the Intelligence Community Data Strategy for 2023–2025
ODNI、情報コミュニティデータ戦略2023-2025年を発表
WASHINGTON, D.C. – The Office of the Director of National Intelligence (ODNI) today released the Intelligence Community (IC) Data Strategy for 2023–2025. The strategy provides focus areas and actions for all 18 IC elements to accelerate their adoption of common services and efforts to make data more interoperable, discoverable, and artificial intelligence-ready for both people and machines. ワシントンD.C.-国家情報長官室(ODNI)は本日、情報コミュニティ(IC)データ戦略2023-2025年を発表した。同戦略は、ICの全18要素に対し、共通サービスの採用を加速させるための重点分野と行動を提供し、人と機械の両方にとって、データをより相互運用可能にし、発見可能にし、人工知能に対応させる取り組みを行っている。
Since publishing the first data strategy in 2017, the IC has made progress and continues to improve data discoverability, sharing, and usability across the IC and with our national security partners. To keep pace with the increasingly complex and interconnected global security environment, the IC Chief Data Officer (CDO) and IC element CDOs developed the IC Data Strategy to best position the IC now and in the future. 2017年に最初のデータ戦略を発表して以来、ICは進展を遂げ、IC全体および国家安全保障パートナーとのデータの発見性、共有性、使いやすさの改善を続けている。複雑化し相互接続が進むグローバルな安全保障環境に対応するため、ICの最高データ責任者(CDO)とICの各要素CDOは、ICを現在と将来において最適な位置に置くためのICデータ戦略を策定した。
“The IC Data Strategy directs our collective energy towards making data securely accessible and interoperable across boundaries and domains,” said IC CDO Lori Wade. “Our focus areas will expand our ability to securely discover, access, and leverage the IC's data at the speed of mission.” 「ICデータ戦略は、データを安全にアクセスできるようにし、境界や領域を超えて相互運用できるようにするために、我々の総力を結集するものである。「我々の重点分野は、ICのデータを安全に発見し、アクセスし、活用する能力をミッションのスピードに合わせて拡大する。
The strategic focus areas for action are: 戦略的重点分野は以下の通りである:
・Perform end-to-end data management ・エンド・ツー・エンドのデータ管理を行う
・Deliver data interoperability and analytics at speed and scale ・データの相互運用性と分析をスピードとスケールで提供する。
・Advance all partnerships for continued digital and data innovation ・デジタルとデータのイノベーションを継続するために、あらゆるパートナーシップを推進する。
・Transform the IC workforce to be data-driven ・ICの人材をデータ主導型に変革する。

 

・[PDF]

20230721-143029

 

 

1_20230720155601

仮対訳...

↓↓↓↓↓







Continue reading "米国 国家情報長官室 情報コミュニティのデータ戦略 2023-2025"

| | Comments (0)

2023.07.20

国連安全保障理事会の人工知能に関するセッションが初開催される

こんにちは、丸山満彦です。

国連の安全保障理事会で人工知能に関するセッションが初めて開催され、国連事務総長と議長国である英国の外務大臣がスピーチをしていますね。。。

 

国連事務総長のスピーチ

United Nation

・2023.07.18 Secretary-General Urges Security Council to Ensure Transparency, Accountability, Oversight, in First Debate on Artificial Intelligence

Secretary-General Urges Security Council to Ensure Transparency, Accountability, Oversight, in First Debate on Artificial Intelligence 事務総長、安全保障理事会に対し、人工知能に関する初の討議で、透明性、説明責任、監視の確保を促す
Following are UN Secretary-General António Guterres’ remarks to the Security Council debate on artificial intelligence, in New York today: 以下は、本日ニューヨークで行われた人工知能に関する安全保障理事会の討論に対するアントニオ・グテーレス国連事務総長の発言である:
I thank the United Kingdom for convening the first debate on artificial intelligence (AI) ever held in this Council. 安保理で初めて人工知能(AI)に関する討論会を開催してくれた英国に感謝する。
I have been following the development of AI for some time.  Indeed, I told the General Assembly six years ago that AI would have a dramatic impact on sustainable development, the world of work and the social fabric.  But, like everyone here, I have been shocked and impressed by the newest form of AI, generative AI, which is a radical advance in its capabilities. 私はしばらくの間、人工知能の発展を見守ってきた。 実際、私は6年前の総会で、AIは持続可能な開発、仕事の世界、社会構造に劇的な影響を与えるだろうと述べた。  しかし、ここにいる誰もがそうであるように、私はAIの最新形態である生成的AIに衝撃を受け、その能力の根本的な進歩に感銘を受けた。
The speed and reach of this new technology in all its forms are utterly unprecedented.  It has been compared to the introduction of the printing press.  But, while it took more than 50 years for printed books to become widely available across Europe, ChatGPT reached 100 million users in just two months. この新しいテクノロジーのスピードと到達範囲は、そのあらゆる形態において、まったく前例のないものだ。  それは印刷機の序文と比較されてきた。 しかし、印刷された書籍がヨーロッパ全土に広く普及するのに50年以上かかったのに対し、ChatGPTはわずか2ヶ月で1億人のユーザーを獲得した。
The finance industry estimates AI could contribute between $10 and $15 trillion to the global economy by 2030.  Almost every Government, large company and organization in the world is working on an AI strategy. 金融業界は、AIが2030年までに10兆ドルから15兆ドルの世界経済に貢献すると見積もっている。  世界のほぼすべての政府、大企業、組織がAI戦略に取り組んでいる。
But, even its own designers have no idea where their stunning technological breakthrough may lead.  It is clear that AI will have an impact on every area of our lives, including the three pillars of the United Nations.  It has the potential to turbocharge global development, from monitoring the climate crisis to breakthroughs in medical research.  It offers new potential to realize human rights, particularly to health and education.  But, the High Commissioner for Human Rights has expressed alarm over evidence that AI can amplify bias, reinforce discrimination and enable new levels of authoritarian surveillance. しかし、自社の設計者でさえ、その驚くべき技術的飛躍がどこにつながるのか見当もつかない。  AIが国連の3本柱を含む私たちの生活のあらゆる分野に影響を及ぼすことは明らかだ。  気候危機の監視から医学研究のブレークスルーに至るまで、世界の発展を加速させる可能性を秘めている。  人権、特に保健と教育を実現する新たな可能性も秘めている。  しかし、人権高等弁務官は、AIがバイアスを増幅させ、差別を強化し、新たなレベルの権威主義的監視を可能にしうるという証拠に警戒感を表明している。
Today’s debate is an opportunity to consider the impact of artificial intelligence on peace and security — where it is already raising political, legal, ethical and humanitarian concerns.  I urge the Council to approach this technology with a sense of urgency, a global lens, and a learner’s mindset.  Because what we have seen is just the beginning.  Never again will technological innovation move as slow as it is moving today. 本日の討議は、人工知能がすでに政治的、法的、倫理的、人道的な懸念を引き起こしている平和と安全保障に与える影響を検討する機会である。  私は理事会に対し、危機感を持ち、グローバルな視野を持ち、学習者のマインドセットを持って、このテクノロジーに取り組むよう強く求める。  というのも、私たちが目にしたものは、ほんの始まりに過ぎないからだ。  技術革新が今日のようにゆっくりと進むことは二度とないだろう。
AI is being put to work in connection with peace and security, including by the United Nations.  It is increasingly being used to identify patterns of violence, monitor ceasefires and more, helping to strengthen our peacekeeping, mediation and humanitarian efforts. AIは、国連を含め、平和と安全保障に関連して活用されている。  暴力のパターンの特定や停戦の監視などに利用されることが増えており、平和維持、調停、人道支援活動の強化に役立っている。
But, AI tools can also be used by those with malicious intent. AI models can help people to harm themselves and each other, at massive scale.  Let’s be clear:  the malicious use of AI systems for terrorist, criminal or State purposes could cause horrific levels of death and destruction, widespread trauma and deep psychological damage on an unimaginable scale. しかし、AIツールは悪意ある者にも利用される可能性がある。 AIモデルは、大規模に、人々が自分自身やお互いを傷つけるのを助けることができる。  テロリスト、犯罪者、あるいは国家の目的のためにAIシステムを悪意を持って使用すれば、想像を絶する規模の恐ろしいレベルの死と破壊、広範なトラウマ、深い精神的ダメージを引き起こす可能性がある。
AI-enabled cyberattacks are already targeting critical infrastructure and our own peacekeeping and humanitarian operations, causing great human suffering.  The technical and financial barriers to access are low, including for criminals and terrorists.  Both military and non-military applications of AI could have very serious consequences for global peace and security. AIを利用したサイバー攻撃は、すでに重要なインフラや私たち自身の平和維持活動や人道支援活動を標的にし、大きな人的被害をもたらしている。  犯罪者やテロリストを含め、アクセスするための技術的・金銭的障壁は低い。  AIの軍事的、非軍事的な応用は、世界の平和と安全保障にとって非常に深刻な結果をもたらす可能性がある。
The advent of generative AI could be a defining moment for disinformation and hate speech — undermining truth, facts and safety, adding a new dimension to the manipulation of human behaviour and contributing to polarization and instability on a vast scale. 生成的AIの出現は、偽情報やヘイトスピーチの決定的な瞬間となる可能性がある。真実、事実、安全性を損ない、人間の行動操作に新たな次元を加え、大規模な分極化と不安定化を助長する。
Deepfakes are just one new AI-enabled tool that, if unchecked, could have serious implications for peace and stability.  And the unforeseen consequences of some AI-enabled systems could create security risks by accident.  Look no further than social media.  Tools and platforms that were designed to enhance human connection are now used to undermine elections, spread conspiracy theories and incite hatred and violence. ディープフェイクは、AIを活用した新たなツールのひとつに過ぎず、野放しにすれば平和と安定に深刻な影響を及ぼしかねない。  また、一部のAI対応システムが予期せぬ結果をもたらすことで、偶然に安全保障上のリスクが生じる可能性もある。  ソーシャルメディアを見習ってほしい。 人とのつながりを強化するために設計されたツールやプラットフォームが、今では選挙を弱体化させ、陰謀論を広め、憎悪や暴力を扇動するために使われている。
Malfunctioning AI systems are another huge area of concern.  And the interaction between AI and nuclear weapons, biotechnology, neurotechnology and robotics is deeply alarming.  Generative AI has enormous potential for good and evil at scale.  Its creators themselves have warned that much bigger, potentially catastrophic and existential risks lie ahead.  Without action to address these risks, we are derelict in our responsibilities to present and future generations. AIシステムの誤作動もまた、大きな懸念事項だ。  そして、AIと核兵器、バイオテクノロジー、神経技術、ロボット工学との相互作用は、深く憂慮すべきものである。  生成的AIは、規模の大小にかかわらず、善にも悪にも甚大な可能性を秘めている。 その創造者たち自身も、もっと大きな、破滅的で存亡に関わる可能性のあるリスクが待ち受けていると警告している。  これらのリスクに対処するための行動を起こさなければ、我々は現在と未来の世代に対する責任を放棄することになる。
The international community has a long history of responding to new technologies with the potential to disrupt our societies and economies.  We have come together at the United Nations to set new international rules, sign new treaties and establish new global agencies.  While many countries have called for different measures and initiatives around the governance of AI, this requires a universal approach. 国際社会には、社会や経済を混乱させる可能性のある新技術に対応してきた長い歴史がある。  私たちは国連に結集し、新たな国際ルールを定め、新たな条約に署名し、新たなグローバル機関を設立してきた。  多くの国がAIのガバナンスをめぐるさまざまな措置やイニシアチブを求めているが、これには普遍的なアプローチが必要だ。
And questions of governance will be complex for several reasons.  First, powerful AI models are already widely available to the general public.  Second, unlike nuclear material and chemical and biological agents, AI tools can be moved around the world leaving very little trace.  And third, the private sector’s leading role in AI has few parallels in other strategic technologies. ガバナンスの問題は、いくつかの理由から複雑なものとなるだろう。 第一に、強力なAIモデルはすでに広く一般に利用可能となっている。  第二に、核物質や化学・生物兵器とは異なり、AIツールはほとんど痕跡を残さずに世界中を移動できる。 そして第三に、AIにおける民間部門の主導的な役割は、他の戦略的テクノロジーにはほとんど見られない。
But, we already have entry points.  One is the 2018-2019 guiding principles on lethal autonomous weapons systems, agreed through the Convention on Certain Conventional Weapons. I agree with the large number of experts that have recommended the prohibition of lethal autonomous weapons without human control. しかし、私たちにはすでに入り口がある。  ひとつは、特定通常兵器に関する条約を通じて合意された、致死的自律兵器システムに関する2018年から2019年の指導原則である。 私は、人間の制御のない致死的な自律型兵器の禁止を勧告した多くの専門家に同意する。
A second is the 2021 recommendations on the Ethics of Artificial Intelligence agreed through the United Nations Educational, Scientific and Cultural Organization (UNESCO). もうひとつは、国連教育科学文化機関(UNESCO)を通じて合意された人工知能の倫理に関する2021年の勧告である。
The Office of Counter-Terrorism, working with the Interregional Crime and Justice Research Institute, has provided recommendations on how Member States can tackle the potential use of AI for terrorist purposes. テロ対策室は、地域間犯罪司法研究所と協力して、加盟国がテロ目的でAIが使用される可能性にどのように対処できるかについて勧告を出した。
And the AI for Good summits hosted by the International Telecommunications Union (ITU) have brought together experts, the private sector, United Nations agencies and Governments around efforts to ensure that AI serves the common good. また、国際電気通信連合(ITU)主催の「AI for Good」サミットでは、AIが公益に資するよう、専門家、民間セクター、国連機関、ガバナンスが一堂に会した。
The best approach would address existing challenges while also creating the capacity to monitor and respond to future risks.  It should be flexible and adaptable, and consider technical, social and legal questions.  It should integrate the private sector, civil society, independent scientists and all those driving AI innovation. 最善のアプローチは、既存の課題に取り組むと同時に、将来のリスクを監視し対応する能力を生み出すことである。  柔軟性と適応性を備え、技術的、社会的、法的な問題を考慮すべきである。  民間セクター、市民社会、独立した科学者、AIイノベーションを推進するすべての人々を統合すべきである。
The need for global standards and approaches makes the United Nations the ideal place for this to happen.  The Charter of the United Nations’ emphasis on protecting succeeding generations gives us a clear mandate to bring all stakeholders together around the collective mitigation of long-term global risks.  AI poses just such a risk. グローバルな標準とアプローチの必要性から、国連はそのための理想的な場所といえる。  国連憲章は次世代を保護することに重点を置いており、長期的なグローバルリスクの集団的低減に向け、すべての利害関係者を結集させるという明確な使命が与えられている。 AIはまさにそのようなリスクをもたらしている。
I therefore welcome calls from some Member States for the creation of a new United Nations entity to support collective efforts to govern this extraordinary technology, inspired by such models as the International Atomic Energy Agency (IAEA), the International Civil Aviation Organization (ICAO) or the Intergovernmental Panel on Climate Change. そこで私は、国際原子力機関(IAEA)、国際民間航空機関(ICAO)、気候変動に関する政府間パネルなどのモデルにヒントを得て、この驚異的なテクノロジーを統治するための集団的努力を支援する新たな国連事業体の創設を求める加盟国の声を歓迎する。
The overarching goal of this body would be to support countries to maximize the benefits of AI for good, to mitigate existing and potential risks, and to establish and administer internationally-agreed mechanisms of monitoring and governance. この組織の包括的な目標は、各国がAIの恩恵を最大限に享受できるよう支援し、既存および潜在的なリスクを軽減し、国際的に合意された監視とガバナンスのメカニズムを確立・管理することである。
Let’s be honest:  There is a huge skills gap around AI in Governments and other administrative and security structures that must be addressed at the national and global levels.  A new United Nations entity would gather expertise and put it at the disposal of the international community.  And it could support collaboration on the research and development of AI tools to accelerate sustainable development. 正直に言おう。ガバナンスをはじめとする行政・安全保障機構には、AIをめぐる大きなスキル・ギャップがあり、国レベルでも世界レベルでもこれに対処しなければならない。  国連の新たな事業体は、専門知識を集め、国際社会が自由に使えるようにする。 そして、持続可能な開発を促進するためのAIツールの研究開発に関する協力を支援することができる。
As a first step, I am convening a multistakeholder High-Level Advisory Board for Artificial Intelligence that will report back on the options for global AI governance, by the end of this year.  My upcoming Policy Brief on A New Agenda for Peace will also make recommendations on AI governance to Member States. その第一歩として、私は、今年末までにグローバルなAIガバナンスの選択肢について報告する、マルチステークホルダーによる「人工知能に関するハイレベル諮問委員会」を招集する。  平和のための新たなアジェンダ』に関する私の政策ブリーフは、AIガバナンスについても加盟国に勧告する予定である。
First, it will recommend that Member States develop national strategies on the responsible design, development and use of AI, consistent with their obligations under international humanitarian law and human rights law. 第一に、加盟国に対し、国際人道法および人権法の下での義務に合致した、責任あるAIの設計、開発、使用に関する国家戦略を策定するよう勧告する。
Second, it will call on Member States to engage in a multilateral process to develop norms, rules and principles around military applications of AI, while ensuring the engagement of other relevant stakeholders. 第二に、加盟国に対し、他の関係者の関与を確保しつつ、AIの軍事利用をめぐる規範、規則、原則を策定する多国間プロセスに関与するよう求める。
Third, it will call on Member States to agree on a global framework to regulate and strengthen oversight mechanisms for the use of data-driven technology, including artificial intelligence, for counter-terrorism purposes. 第三に、加盟国に対し、テロ対策目的の人工知能を含むデータ駆動型テクノロジーの利用を規制し、監視メカニズムを強化するためのグローバルな枠組みに合意するよう求める。
The Policy Brief on a New Agenda for Peace will also call for negotiations to be concluded by 2026 on a legally binding instrument to prohibit lethal autonomous weapons systems that function without human control or oversight, and which cannot be used in compliance with international humanitarian law. I hope Member States will debate these options and decide on the best course of action to establish the AI governance mechanisms that are so urgently needed. 平和のための新たなアジェンダに関する政策ブリーフ」はまた、人間の制御や監視なしに機能し、国際人道法を遵守して使用することができない致死的な自律型兵器システムを禁止する法的拘束力のある文書について、2026年までに交渉をまとめるよう求める。 私は、加盟国がこれらの選択肢について議論し、緊急に必要とされているAIガバナンスのメカニズムを確立するための最善の行動を決定することを望む。
In addition to the recommendations of the New Agenda for Peace, I urge agreement on the general principle that human agency and control are essential for nuclear weapons and should never be withdrawn.  The Summit of the Future next year will be an ideal opportunity for decisions on many of these inter-related issues. 平和のための新たなアジェンダ」の提言に加え、私は、核兵器には人間の行為と管理が不可欠であり、決して撤廃されるべきではないという一般原則に合意することを強く求める。  来年の未来サミットは、こうした相互に関連する問題の多くについて決定する理想的な機会となる。
I urge this Council to exercise leadership on artificial intelligence and show the way towards common measures for the transparency, accountability, and oversight of AI systems.  We must work together for AI that bridges social, digital and economic divides, not one that pushes us further apart. 私は、この理事会が人工知能に関してリーダーシップを発揮し、AIシステムの透明性、説明責任、監視のための共通の方策への道を示すことを強く求める。  私たちは、社会的、デジタル的、経済的な隔たりを埋めるAIのために協力しなければならない。
I urge you to join forces and build trust for peace and security. We need a race to develop AI for good:  to develop AI that is reliable and safe and that can end poverty, banish hunger, cure cancer and supercharge climate action [and] an AI that propels us towards the Sustainable Development Goals.  That is the race we need, and that is a race that is possible and achievable.  Thank you. 平和と安全のために力を合わせ、信頼を築くことを強く求める。 信頼性と安全性に優れ、貧困をなくし、飢餓をなくし、がんを治し、気候変動対策を促進するAIを開発する。  それこそが私たちに必要な競争であり、可能で達成可能な競争なのだ。  ありがとう。

 

 

1_20230720071701

 

プレス...

・2023.07.18 International Community Must Urgently Confront New Reality of Generative, Artificial Intelligence, Speakers Stress as Security Council Debates Risks, Rewards

International Community Must Urgently Confront New Reality of Generative, Artificial Intelligence, Speakers Stress as Security Council Debates Risks, Rewards 国際情報コミュニティは生成的人工知能の新たな現実に早急に立ち向かわなければならない、安全保障理事会がリスクと報酬について議論する中、発言者たちは強調する。
Secretary-General Points to Potentially ‘Defining Moment for Hate Speech, Disinformation’, as Delegates Call for Ethical, Responsible Governance Framework 事務総長、「ヘイトスピーチと偽情報の決定的瞬間」の可能性を指摘 代議員は倫理的で責任あるガバナンスの枠組みを求める
The international community must urgently confront the new reality of generative and other artificial intelligence (AI), speakers told the Security Council today in its first formal meeting on the subject as the discussion that followed spotlighted the duality of risk and reward inherent in this emerging technology. 国際情報コミュニティは、生成的人工知能(AI)をはじめとする新たな現実と早急に向き合わなければならない、と発言者らは本日、安全保障理事会のこのテーマに関する初の公式会合で語った。
António Guterres, Secretary-General of the United Nations, noting that AI has been compared to the printing press, observed that — while it took more than 50 years for printed books to become widely available across Europe — “ChatGPT reached 100 million users in just two months”.  Despite its potential to turbocharge global development and realize human rights, AI can amplify bias, reinforce discrimination and enable new levels of authoritarian surveillance. アントニオ・グテーレス国際連合事務総長は、AIが印刷機に例えられていると指摘し、印刷された書籍がヨーロッパ全土で広く利用されるようになるまで50年以上かかったのに対し、「ChatGPTはわずか2カ月で1億人のユーザーを獲得した」と述べた。 AIは世界の発展を加速させ、人権を実現する可能性を秘めているにもかかわらず、バイアスを増幅させ、差別を強化し、新たなレベルの権威主義的監視を可能にする可能性がある。
The advent of generative AI “could be a defining moment for disinformation and hate speech”, he observed and, while questions of governance will be complex for several reasons, the international community already has entry points.  The best approach would be to address existing challenges while also creating capacity to respond to future risks, he said, and underlined the need to “work together for AI that bridges social, digital and economic divides — not one that pushes us further apart”. 生成的AIの出現は「偽情報とヘイトスピーチの決定的な瞬間になりうる」とし、ガバナンスの問題はいくつかの理由から複雑になるだろうが、国際社会はすでにエントリーポイントを持っていると述べた。 最良のアプローチは、既存の課題に対処すると同時に、将来のリスクに対応する能力を生み出すことである、と同氏は述べた、 そして、次の必要性を強調した。「社会的、デジタル的、経済的な隔たりを埋めるAIのために協力する必要がある。さらに引き離すものではなく。」
Jack Clark, Co-founder of Anthropic, noted that, although AI can bring huge benefits, it also poses threats to peace, security and global stability due to its potential for misuse and its unpredictability — two essential qualities of AI systems.  For example, while an AI system can improve understanding of biology, it can also be used to construct biological weapons.  Further, once developed and deployed, people identify new and unanticipated uses for such systems. Anthropic社の共同設立者であるジャック・クラーク氏は、AIは大きな利益をもたらす可能性がある一方で、悪用される可能性と予測不可能性というAIシステムの本質的な2つの性質により、平和、安全保障、世界の安定に対する脅威にもなると指摘した。 例えば、AIシステムは生物学の理解を向上させる一方で、生物兵器の製造に利用される可能性もある。 さらに、いったん開発され配備されると、人々はそのようなシステムの新たな、そして予期せぬ用途を特定する。
“We cannot leave the development of artificial intelligence solely to private-sector actors,” he underscored, stating that Governments can keep companies accountable — and companies can earn the world’s trust — by developing robust, reliable evaluation systems.  Without such investment, the international community runs the risk of handing over the future to a narrow set of private-sector actors, he warned. 「人工知能の開発を民間企業だけに任せるわけにはいかない」と強調し、ガバナンスは強固で信頼できる評価システムを開発することで、企業に説明責任を果たさせ、企業は世界の信頼を得ることができると述べた。 このような投資がなければ、国際社会は未来を狭い範囲の民間団体に委ねてしまうリスクがある」と警告した。
Also briefing the Council, Yi Zeng of the Institute of Automation at the Chinese Academy of Sciences pointed out that current AI are information-processing tools that, while seemingly intelligent, are without real understanding.  “This is why they, of course, cannot be trusted as responsible agents that can help humans to make decisions,” he emphasized.  Both near-term and long-term AI will carry a risk of human extinction simply because “we haven’t found a way to protect ourselves from AI’s utilization of human weakness”, he said. また、中国科学院自動化研究所のイ・ツェン氏は、現在のAIは情報処理ツールであり、一見知的に見えるが、真の理解には至っていないと指摘した。 「このため、人間の意思決定を助ける責任あるエージェントとしては、もちろん信頼できない」と強調した。 AIが人間の弱点を利用することから身を守る方法が見つかっていない」だけで、近い将来も長期的にも、AIは人類絶滅のリスクを背負うことになるだろう、と彼は述べた。
In the ensuing debate, Council members alternately highlighted the transformative opportunities AI offers for addressing global challenges and the risks it poses — including its potential to intensify conflict through the spread of misinformation and malicious cyberoperations.  Many, recognizing the technology’s military applications, underscored the imperative to retain the element of human decision-making in autonomous weapons systems.  Members also stressed the need to establish an ethical, responsible framework for international AI governance. その後の討論で、理事会のメンバーは、AIがグローバルな課題に対処するためにもたらす変革の機会と、誤情報や悪意あるサイバー操作の拡散を通じて紛争を激化させる可能性など、AIがもたらすリスクを交互に強調した。 その多くは、この技術が軍事的に応用されることを認識しながらも、自律型兵器システムにおいて人間の意思決定の要素を維持することの必要性を強調した。 政府はまた、国際的なAIガバナンスのための倫理的で責任ある枠組みを確立する必要性を強調した。
On that, Omran Sharaf, Assistant Minister for Advanced Sciences and Technology of the United Arab Emirates, stated that there is a brief window of opportunity, available now, where key stakeholders are willing to unite and consider the guardrails for this technology.  Member States should establish commonly agreed-upon rules “before it is too late”, he stressed, calling for mechanisms to prevent AI tools from promoting hatred, misinformation and disinformation that can fuel extremism and exacerbate conflict. これに関して、米国アラブ首長国連邦のオムラン・シャラフ先端科学技術担当大臣補佐官は、主要な利害関係者が団結してこの技術のガードレールを検討する、今しかない短い機会の窓があると述べた。 加盟国は「手遅れになる前に」、共通に合意されたルールを確立すべきだと強調し、AIツールが過激主義を煽り、紛争を悪化させる憎悪、誤情報、偽情報を助長するのを防ぐメカニズムを求めた。
Ghana’s representative, adding to that, underscored that the international community must “constrain the excesses of individual national ambitions for combative dominance”.  Urging the development of frameworks that would govern AI for peaceful purposes, he spotlighted the deployment of that technology by the United Nations Support Mission in Libya (UNSMIL).  Used to determine the Libyan people’s reaction to policies, it facilitated improvements in that country’s 2022 Global Peace Index, he noted, while also cautioning against AI’s integration into autonomous weapons systems. ガーナの代表者はさらに、国際社会は「戦闘的な支配を目指す各国の野心の行き過ぎを抑制しなければならない」と強調した。 同代表は、平和的な目的のためにAIを管理する枠組みの開発を促し、国連リビア支援団(UNSMIL)によるAI技術の展開に注目した。 リビアの人々の政策に対する反応を判断するために使用され、同国の2022年世界平和指数の改善を促したと指摘する一方、AIが自律型兵器システムに組み込まれることに注意を促した。
The speaker for Ecuador similarly rejected the militarization of AI and reiterated the risk posed by lethal autonomous weapons.  “The robotization of conflict is a great challenge for our disarmament efforts and an existential challenge that this Council ignores at its peril,” he warned.  Adding that AI can either contribute to or undermine peace efforts, he emphasized that “our responsibility is to promote and make the most of technological development as a facilitator of peace”. エクアドルの演説者も同様に、AIの軍事化を否定し、致死的な自律型兵器がもたらすリスクを改めて強調した。 「紛争のロボット化は、我々の軍縮努力にとって大きな挑戦であり、本理事会が危険を顧みず無視する存亡の課題である」と警告した。 また、AIは平和の努力に貢献することもあれば、損なうこともあるとし、「我々の責任は、平和を促進するものとして技術開発を促進し、最大限に活用することだ」と強調した。
China’s representative, noting that AI is a double-edged sword, said that whether it is good or evil depends on how mankind uses and regulates it, and how the balance is struck between scientific development and security.  AI development must ensure safety, risk-awareness, fairness and inclusivity, he stressed, calling on the international community to put ethics first and ensure that technology always benefits humanity. 中国の代表者は、AIは諸刃の剣であると指摘し、それが善か悪かは、人類がAIをどのように利用し、規制するか、そして科学の発展と安全保障のバランスをどのように取るかにかかっていると述べた。 AIの開発は、安全性、リスク認識、公平性、包括性を確保しなければならないと強調し、国際社会に対し、倫理を第一に考え、技術が常に人類に利益をもたらすようにするよう呼びかけた。
James Cleverly, Secretary of State for Foreign, Commonwealth and Development Affairs of the United Kingdom, Council President for July, spoke in his national capacity to point out that AI could enhance or disrupt global strategic stability, challenge fundamental assumptions about defence and deterrence, and pose moral questions about accountability for lethal decisions on the battlefield.  But momentous opportunities lie before the international community, he added, observing:  “There is a tide in the affairs of men, which, taken at the flood, leads to fortune.” ジェームズ・クレバリー英国外務・英連邦・開発問題担当国務長官(7月理事会議長)は、国家的な立場で発言し、AIは世界の戦略的安定を強化することも破壊することもあり得ると指摘し、防衛と抑止に関する基本的な仮定に挑戦し、戦場での致命的な決定に対する説明責任について道徳的な問題を提起した。 しかし、国際社会には重大な機会が待ち受けている:  「人の営みには潮の流れがあり、それを汲み取れば幸運につながる。
Briefings ブリーフィング
ANTÓNIO GUTERRES, Secretary-General of the United Nations, recalled that he told the General Assembly in 2017 that artificial intelligence (AI) “would have a dramatic impact on sustainable development, the world of work and the social fabric”.  Noting that this technology has been compared to the printing press, he observed that — while it took more than 50 years for printed books to become widely available across Europe — “ChatGPT reached 100 million users in just two months”.  The finance industry estimates that AI could contribute up to $15 trillion to the global economy by 2030, and almost every Government, large company and organization in the world is working on an AI strategy.  AI has the potential to turbocharge global development — from monitoring the climate crisis to breakthroughs in medical research — and it offers new potential to realize human rights, particularly in the areas of health and education. アントニオ・グテレス(ANTÓNIO GUTERRES)国連事務総長は、2017年の総会で人工知能(AI)が「持続可能な開発、仕事の世界、社会構造に劇的な影響を与えるだろう」と述べたことを想起した。  この技術が印刷機と比較されていることに触れ、印刷された書籍がヨーロッパ全土に広く普及するのに50年以上かかったのに対し、「ChatGPTはわずか2ヶ月で1億人のユーザーを獲得した」と述べた。  金融業界は、AIが2030年までに世界経済に最大15兆ドル貢献すると見積もっており、世界中のほぼすべての政府、大企業、組織がAI戦略に取り組んでいる。  AIは、気候危機の監視から医学研究のブレークスルーに至るまで、世界の開発を加速させる可能性を秘めており、特に健康と教育の分野において、人権を実現する新たな可能性を提供している。
He pointed out, however, that the High Commissioner for Human Rights has expressed alarm over evidence that AI can amplify bias, reinforce discrimination and enable new levels of authoritarian surveillance.  Urging the Council to approach this technology with a sense of urgency, a global lens and a learner’s mindset, he observed:  “Never again will technological innovation move as slowly as today.”  While AI tools are increasingly being used — including by the United Nations — to identify patterns of violence, monitor ceasefires and help strengthen peacekeeping, mediation and humanitarian efforts, AI models can help people to harm themselves and each other at massive scale.  On that, he said that AI-enabled cyberattacks are already targeting critical infrastructure and peacekeeping operations and that the advent of generative AI “could be a defining moment for disinformation and hate speech”. Outlining other potential consequences, he expressed concern over malfunctioning AI systems and the interaction between AI and nuclear weapons, biotechnology, neurotechnology and robotics. しかし、人権高等弁務官は、AIがバイアスを増幅させ、差別を強化し、新たなレベルの権威主義的監視を可能にするという証拠に警鐘を鳴らしていることを指摘した。  同高等弁務官は理事会に対し、危機感を持ち、グローバルな視野と学習者マインドを持ってこの技術に取り組むよう促し、次のように述べた:  「技術革新が今日ほどゆっくりと進むことは二度とないだろう。  暴力のパターンを特定し、停戦を監視し、平和維持、調停、人道活動の強化に役立てるため、国連を含め、AIツールの利用が進んでいる一方で、AIモデルは大規模に人々が自らを傷つけ、互いに傷つけ合うのを助ける可能性がある。  その上で、AIを活用したサイバー攻撃はすでに重要インフラや平和維持活動を標的にしており、生成的AIの登場は「偽情報やヘイトスピーチの決定的な瞬間になりうる」と述べた。 その他の潜在的な影響については、AIシステムの誤作動や、AIと核兵器、バイオテクノロジー、神経技術、ロボット工学との相互作用に懸念を示した。
“Without action to address these risks, we are derelict in our responsibilities to present and future generations,” he stressed. Questions of governance will be complex for several reasons:  powerful AI models are already widely available; AI tools can be moved around the world leaving very little trace; and the private sector’s leading role in AI has few parallels in other strategic technologies.  However, the international community already has entry points, including the 2018-2019 guiding principles on lethal autonomous weapons systems; the 2021 recommendations on the ethics of AI agreed through the United Nations Educational, Scientific and Cultural Organization (UNESCO); recommendations by the United Nations Office of Counter-Terrorism; and the “AI for Good” summits hosted by the International Telecommunication Union (ITU). 「これらのリスクに対処するための行動を起こさなければ、現在と将来の世代に対する責任を放棄することになる」と強調した。 強力なAIモデルがすでに広く利用可能であること、AIツールはほとんど痕跡を残さずに世界中を移動できること、AIにおける民間部門の主導的役割は他の戦略的テクノロジーにはほとんど類似点がないこと、などである。  しかし、国際社会はすでに、致死的自律兵器システムに関する2018年から2019年の指導原則、国連教育科学文化機関(UNESCO)を通じて合意されたAIの倫理に関する2021年の勧告、国連テロ対策局による勧告、国際電気通信連合(ITU)が主催する「AI for Good」サミットなど、エントリーポイントを持っている。
The best approach, he went on to say, would address existing challenges while also creating the capacity to monitor and respond to future risks.  The need for global standards and approaches makes the United Nations the ideal place for this to happen, and he therefore welcomed calls from some Member States to create a new United Nations entity to support collective efforts to govern this technology.  Such an entity would gather expertise and put it at the international community’s disposal and could support collaboration on the research and development of AI tools to expedite sustainable development.  Urging the Council to show the way towards common measures for the transparency, accountability and oversight of AI systems, he underlined the need to “work together for AI that bridges social, digital and economic divides — not one that pushes us further apart”. 最善のアプローチは、既存の課題に対処すると同時に、将来のリスクを監視し対応する能力を生み出すことである。  グローバルな標準とアプローチの必要性から、国連はこの実現に理想的な場所であるとし、そのため、この技術を管理するための集団的努力を支援する新たな国連事業体の設立を求める一部の加盟国の声を歓迎した。  このような事業体であれば、専門知識を集めて国際社会が自由に使えるようにし、持続可能な開発を促進するAIツールの研究開発に関する協力を支援できる。  同理事会は、AIシステムの透明性、説明責任、監視のための共通の対策への道を示すよう促し、「社会的、デジタル的、経済的な隔たりを埋めるAIのために協力する必要性を強調した。
JACK CLARK, Co-founder, Anthropic, said:  “We cannot leave the development of artificial intelligence solely to private sector actors.  The Governments of the world must come together, develop State capacity and make the development of powerful AI systems a shared endeavour across all parts of society, rather than one dictated solely by a small number of firms competing with one another in the marketplace.”  He recalled that a decade ago the England-based company DeepMind published research that shows how to teach an AI system to play old computer games like Space Invaders.  The same techniques used in that research are now being used to create AI systems that can beat military pilots in air fighting stimulations and even design the components of next-generation semiconductors. Anthropic社の共同設立者であるJACK CLARK氏は、次のように述べた:  「人工知能の開発を民間企業だけに任せるわけにはいきません。 世界中のガバナンスが一丸となり、国家の能力を発展させ、強力なAIシステムの開発を、市場で互いに競争する少数の企業だけに左右されるのではなく、社会のあらゆる部分で共有される取り組みにしなければなりません」。 彼は、10年前にイギリスのディープマインド社が、スペースインベーダーのような古いコンピューターゲームをプレイするようにAIシステムに教える方法を示す研究を発表したことを思い出した。 その研究で使用されたのと同じ技術が、現在、空中戦の刺激で軍用パイロットを打ち負かし、さらには次世代半導体の部品を設計できるAIシステムを作るために使用されている。
Noting that AI models, such as OpenAI, ChatGPT, Google Bard and his own company Anthropic’s Claude are developed by corporate interests, he said that, as private sector actors are the ones that have the sophisticated computers and large pools of data and capital resources to build these systems, they seem likely to continue to define their development.  However, while that will bring huge benefits, it also poses potential threats to peace, security and global stability, which emanate from AI’s potential for misuse and its unpredictability — two essential qualities of AI systems.  For example, on misuse, he said that an AI system that can help in better understanding biology may also be used to construct biological weapons.  On unpredictability, he pointed out that once AI systems are developed and deployed, people identify new uses for them that were unanticipated by their developers or the system itself could later exhibit chaotic or unpredictable behaviour. OpenAI、ChatGPT、Google Bard、そして彼自身の会社Anthropic's ClaudeのようなAIモデルは、企業の利害関係者によって開発されていることを指摘した彼は、これらのシステムを構築するための洗練されたコンピューター、大規模なデータプール、資本資源を持つのは民間企業であるため、今後も民間企業がその開発を定義していく可能性が高いと述べた。 しかし、それは莫大な利益をもたらす一方で、平和、安全保障、世界の安定に対する潜在的な脅威となる。 例えば、悪用については、生物学の理解を深めるのに役立つAIシステムが、生物兵器の製造に使われる可能性があると述べた。 予測不可能性については、AIシステムが開発・導入されると、開発者が予期していなかった新たな用途が見いだされたり、システム自体が後にカオス的で予測不可能な挙動を示す可能性があると指摘した。
“Therefore, we should think very carefully about how to ensure developers of these systems are accountable, so that they build and deploy safe and reliable systems which do not compromise global security,” he urged.  AI as a form of human labour affords immense political leverage and influence, he pointed out, raising such questions about how Governments should regulate this power or who should be the actors that can sell those so-called experts.  The international community must work on developing ways to test for the systems’ capabilities, misuses and potential safety flaws.  For this reason, it has been encouraging to see many countries emphasize the importance of safety testing and evaluation in their various AI policy proposals, he said, naming those of the European Union, China and the United States. 「したがって、これらのシステムの開発者が説明責任を果たし、世界の安全保障を損なわない安全で信頼できるシステムを構築し、配備できるようにする方法について、慎重に考える必要がある」と彼は訴えた。 AIは人間の労働力の一形態であるため、政治的な影響力は絶大であり、政府はこの力をどのように規制すべきか、いわゆる専門家を売り込む主体は誰であるべきか、といった問題を提起している。 国際社会は、システムの能力、誤用、潜在的な安全性の欠陥をテストする方法の開発に取り組まなければならない。 このような理由から、多くの国々が様々なAI政策提案の中で、安全性テストと評価の重要性を強調しているのは心強いことだと、EU、中国、米国の名前を挙げて語った。
Noting the absence of standards or best practices on how to test these systems for things such as discrimination, misuse or safety, he said Governments can keep companies accountable and companies can earn the world’s trust by developing robust and reliable evaluation systems.  Without such an investment, the international community runs the risk of handing over the future to a narrow set of private sector actors, he warned.  “If we can rise to the challenge, however, we can reap the benefits of AI as a global community and ensure there is a balance of power between the developers of AI and the citizens of the world,” he said. また、差別や誤用、安全性など、AIシステムのテスト方法に関する標準やベストプラクティスが存在しないことを指摘し、ガバナンスは企業に説明責任を負わせることができ、企業は強固で信頼できる評価システムを開発することで世界の信頼を得ることができると述べた。 このような投資がなければ、国際社会は狭い範囲の民間企業に未来を委ねてしまうリスクがある、と彼は警告した。 「しかし、私たちがこの課題に立ち向かうことができれば、グローバル・コミュニティとしてAIの恩恵を享受し、AIの開発者と世界の市民との間に力の均衡を確保することができる」と述べた。
YI ZENG, Institute of Automation, Chinese Academy of Sciences, said that there is no doubt that AI is a powerful and enabling technology to push forward global sustainable development.  From the peace and security perspective, efforts should focus on using it to identify disinformation and misunderstanding among countries and political bodies.   AI should be used for network defences, not attacks.  “AI should be used to connect people and cultures, not to disconnect them,” he added.  The current AI, including recent generative AI, are information processing tools that seem to be intelligent, while they are without real understandings, and hence not truly intelligent. 中国科学院自動化機構のYI ZENG氏は、AIが世界の持続可能な発展を推し進めるための強力で実現可能な技術であることは間違いないと述べた。  平和と安全保障の観点からは、各国や政治団体間の偽情報や誤解を識別するためにAIを活用することに焦点を当てるべきだ。   AIは攻撃ではなく、ネットワーク防御に使われるべきである。 「AIは人々や文化をつなぐために使われるべきであり、切り離すために使うべきではない」と付け加えた。 最近の生成的AIを含む現在のAIは、知的であるかのような情報処理ツールであるが、真の理解力を持っていない。
“This is why they, of course, cannot be trusted as responsible agents that can help humans to make decisions,” he emphasized.  AI should not be used for automating diplomacy tasks, especially foreign negotiations among different countries, since it may use and extend human limitations and weaknesses to create bigger or even catastrophic risks.  “AI should never ever pretend to be human,” he said, stressing the need to ensure sufficient, effective and responsible human control for all AI-enabled weapons systems.  Both near-term and long-term AI will include risk of human extinctions simply because “we haven’t found a way to protect ourselves from AI’s utilization of human weakness”.  AI does not “know what we mean by human — [by] death and life”. 「このため、人間の意思決定を助ける責任あるエージェントとしては、もちろん信頼できない」と彼は強調した。 AIは人間の限界や弱点を利用して拡張し、より大きな、あるいは破滅的なリスクを生み出す可能性があるからだ。  「AIは決して人間のふりをすべきではない」と述べ、すべてのAI対応兵器システムに対して、十分かつ効果的で、責任ある人間による制御を確保する必要性を強調した。 AIが人間の弱点を利用することから身を守る方法が見つかっていない」だけで、近い将来も長期的にも、AIには人類が絶滅するリスクが含まれる。  AIは「人間の意味するところ、つまり死と生を知らない」のである。
“In the long term, we haven’t given superintelligence any practical reasons why they should protect humans,” he continued. Proposing the Council consider the possibility of creating a working group on AI for peace and security, he encouraged members to play an increasing role on this important issue.  “Humans should always maintain and be responsible for final decision-making on the use of nuclear weapons,” he emphasized.  The United Nations must play a central role to set up a framework on AI development and governance, to ensure global peace and security. 「長期的に見れば、我々は超知能に人間を守るべき現実的な理由を与えていない」と彼は続けた。 理事会は、平和と安全のためのAIに関する作業部会の設置の可能性を検討するよう提案し、理事長は、この重要な問題に関して、加盟国がより大きな役割を果たすよう促した。 「核兵器の使用に関する最終的な意思決定は、常に人間が維持し、責任を持つべきだ」と強調した。 国連は、世界の平和と安全を確保するため、AIの開発とガバナンスに関する枠組みを構築する中心的な役割を果たさなければならない」と述べた。
Statements 意見
JAMES CLEVERLY, Secretary of State for Foreign, Commonwealth and Development Affairs of the United Kingdom, Council President for July, spoke in his national capacity to note that AI may help the world adapt to climate change, beat corruption, revolutionize education, deliver the Sustainable Development Goals and reduce violent conflict.  “But we are here today because AI will affect the work of the Council,” he observed, pointing out that the technology could enhance or disrupt global strategic stability, challenge fundamental assumptions about defence and deterrence and pose moral questions about accountability for lethal decisions on the battlefield.  Further, AI changes the speed, scale and spread of disinformation — with hugely harmful consequences for democracy and stability — and could aid the reckless quest for weapons of mass destruction by State and non-State actors. ジェームズ・クレバリー英国外務・英連邦・開発問題担当国務長官(7月理事会議長)は、AIが気候変動への適応、汚職の撲滅、教育革命、持続可能な開発目標の達成、暴力的紛争の減少に役立つ可能性があることを指摘し、国家としての立場から発言した。  「しかし、私たちが今日ここにいるのは、AIが理事会の活動に影響を与えるからです」と述べ、この技術が世界戦略の安定性を高めたり、破壊したりする可能性があること、防衛と抑止に関する基本的な仮定に挑戦するものであること、戦場での致命的な決定に対する説明責任について道徳的な問題を提起するものであることを指摘した。  さらに、AIは偽情報のスピード、規模、拡散を変化させ、民主主義と安定に甚大な有害結果をもたらすとともに、国家や非国家主体による大量破壊兵器の無謀な探求を助長する可能性がある。
“That’s why we urgently need to shape the global governance of transformative technologies,” he underscored.  For the United Kingdom, AI should:  support freedom and democracy; be consistent with the rule of law and human rights; be safe and predictable by design; and be trusted by the public.  Noting that his country is home to many of the world’s trail-blazing AI developers and foremost AI safety researchers, he said that the United Kingdom will bring world leaders together for the first major global summit on AI safety in autumn. Momentous opportunities lie before the international community, he added, observing:  “There is a tide in the affairs of men, which, taken at the flood, leads to fortune”. 「だからこそ、変革的テクノロジーのグローバル・ガバナンスを形成することが急務なのです」と強調した。  英国にとってAIは、自由と民主主義を支援し、法の支配と人権に合致し、安全で予測可能な設計であり、国民から信頼されるものでなければならない。  また、英国は世界の先駆的なAI開発者やAI安全性研究の第一人者の出身国であることに触れ、英国は秋にAI安全性に関する初の主要な世界サミットを開催し、世界の指導者を一堂に集める予定であると述べた。 国際社会には大きなチャンスが待ち受けている:  「人の営みには潮の流れがあり、その流れに身を任せれば、幸運に導かれる」。
TAKEI SHUNSUKE, State Minister of Foreign Affairs for Japan, underscored the importance of human-centric and trustworthy AI, noting that the development of AI should be consistent with democratic values and fundamental human rights.  “AI should not be a tool for rulers but should be placed under the rule of law,” he said, stressing that military use of AI should be responsible, transparent and based on international law.  AI can be made more trustworthy by including a wide range of stakeholders in the process, he said, noting that the United Nations’ convening power can bring together wisdom from around the world.  In June, his country hosted a side event at the United Nations with the Office of Counter-Terrorism and United Nations Interregional Crime and Justice Research Institute and led discussions on the misuse of AI by terrorists.  It also launched the Group of Seven (G7) Hiroshima AI Process this year to contribute to the global discussion on generative AI, he added. 日本の武井俊輔外務大臣は、人間中心で信頼できるAIの重要性を強調し、AIの開発は民主主義の価値と基本的人権に合致したものであるべきだと指摘した。 「AIは支配者のための道具ではなく、法の支配下に置かれるべきです」と述べ、AIの軍事利用は責任と透明性を持ち、国際法に基づくものであるべきだと強調した。 AIは、そのプロセスに幅広い利害関係者を参加させることで、より信頼性の高いものとすることができるとし、国連の招集力が世界中の英知を結集させることができると指摘した。  同国は6月、テロ対策局および国連地域間犯罪司法研究所とともに国連でサイドイベントを開催し、テロリストによるAIの悪用に関する議論を主導した。  また、生成的AIに関する世界的な議論に貢献するため、今年G7広島AIプロセスを発足させたと付け加えた。
MANUEL GONÇALVES, Deputy Minister for Foreign Affairs of Mozambique, said that, in full disclosure, his statement was composed solely by humans and not by generative AI tools like ChatGPT.  “We are approaching a point where digital machines can now complete a task that for the majority of human existence was exclusively within the realm of human intelligence,” he continued.  While advancements in AI present immense opportunities, they also pose risks, including the potential of catastrophic outcomes.  “We should take precautions,” he urged, warning that AI is increasingly imitating humans to spread misinformation and conspiracies and carries out numerous other nefarious activities. モザンビーク外務副大臣MANUEL GONÇALVESは、彼の発言はChatGPTのような生成的AIツールではなく、人間のみによって構成されたものであると述べた。  「私たちは、人間の生存の大部分において、人間の知性の範囲内であったタスクを、デジタル・マシンが完了させることができる地点に近づいています」と彼は続けた。  AIの進歩は計り知れないチャンスをもたらす一方で、大惨事を招く可能性を含むリスクももたらす。  「私たちは予防策を講じるべきです」と彼は促し、AIがますます人間を模倣して誤情報や陰謀を広めたり、その他多くの悪質な活動を行っていることに警告を発した。
Turning to AI’s positive impact, he said AI technologies have the potential to transform society — helping to eradicate disease, combat climate change, enhance early warning capabilities and customize mediation efforts.  AI can also be used to enhance data for the benefit of humanity.  Mozambique recognizes the importance of adopting a balanced approach toward AI, he said, while also noting the “credible evidence” indicating that AI poses a real risk.  Therefore, it is crucial to develop an intergovernmental agreement that can govern and monitor the use of AI.  It is important to ensure that all relevant actors, including Governments and the private sector, are provided with the technology tools that can ensure the ethical development and use of AI, he stressed. AIのポジティブな影響に目を向けると、彼は、AI技術は社会を変革する可能性を秘めており、病気の撲滅、気候変動との戦い、早期警戒能力の強化、調停努力のカスタマイズなどに役立つと述べた。  AIはまた、人類の利益のためにデータを強化するために使用することもできる。  モザンビークは、AIに対してバランスの取れたアプローチを採用することの重要性を認識していると述べるとともに、AIが現実のリスクをもたらすことを示す「信頼できる証拠」にも言及した。  したがって、AIの使用をガバナンスし、監視できる政府間協定を策定することが極めて重要である。  政府や民間部門を含むすべての関係者が、AIの倫理的な開発と利用を保証する技術ツールを確実に提供されるようにすることが重要である」と強調した。
OMRAN SHARAF, Assistant Minister for Advanced Sciences and Technology of the United Arab Emirates, underlined the need to establish rules for AI, stating that there is a brief window of opportunity available now where key stakeholders are willing to unite and consider the guardrails for this technology.  Member States should establish commonly agreed-upon rules “before it is too late”, he stressed, which should include mechanisms to prevent AI tools from promoting hatred, misinformation and disinformation that can fuel extremism and exacerbate conflict.  As with other cybertechnologies, the use of AI should be firmly guided by international law, which continues to apply in cyberspace.  He also emphasized that AI should become a tool to promote peacebuilding and the de-escalation of conflicts — not a threat multiplier — and that “the biases of the real world should not be replicated by AI”.  Adding that flexible and agile regulation is needed, he urged avoiding too-rigid rules that can hamper the evolution of this technology. アラブ首長国連邦のオムラン・シャラフ先端科学技術次官補は、AIのルールを確立する必要性を強調し、主要な利害関係者が団結してこの技術のガードレールを検討する、今しかないチャンスがあると述べた。  加盟国は、「手遅れになる前に」共通に合意されたルールを確立すべきであり、そのルールには、AIツールが過激主義を煽り、紛争を悪化させる憎悪、誤情報、偽情報を助長するのを防ぐメカニズムを含めるべきだと強調した。  他のサイバーテクノロジーと同様、AIの使用は、サイバースペースで適用され続ける国際法によってしっかりと導かれるべきである。  また、AIは平和構築と紛争緩和を促進するツールとなるべきであり、脅威を増大させるものではないこと、そして「現実世界のバイアスをAIで再現すべきではない」ことも強調した。  また、柔軟で機敏な規制が必要であるとし、この技術の進化を妨げるような厳しすぎるルールは避けるよう促した。
ZHANG JUN (China), noting that AI is a double-edged sword, said that whether it is good or evil depends on how mankind utilizes and regulates it and balances scientific development with security.  The international community should adhere to putting ethics first and ensure that technology always benefits humanity.  AI development must ensure safety, risk-awareness, fairness and inclusiveness, he stressed.  Leading technology enterprises should clarify the responsible party and avoid developing risky technology that could pose serious negative consequences. Meanwhile, developing countries must enjoy equal access and use of AI technology, products and services.  His country has actively explored AI development and governance in all fields, he said, noting that the Government in 2017 issued the New Generation Artificial Intelligence Development Plan.  In recent years it has continuously improved relevant laws and regulations, ethical norms, intellectual property standards, safety monitoring and evaluation measures to ensure the healthy and orderly development of AI. ZHANG JUN(中国)は、AIは諸刃の剣であると指摘し、それが善か悪かは、人類がどのようにAIを利用し、規制し、科学の発展と安全保障を両立させるかにかかっていると述べた。 国際社会は倫理を第一に考え、技術が常に人類に利益をもたらすようにすべきである。  AIの開発は、安全性、リスク認識、公平性、包括性を確保しなければならないと彼は強調した。  大手テクノロジー・エンタープライズは、責任者を明確にし、深刻な悪影響をもたらしかねない危険な技術の開発を避けるべきである。 一方、発展途上国はAI技術、製品、サービスへの平等なアクセスと利用を享受しなければならない。  同国はあらゆる分野でAIの開発とガバナンスを積極的に模索しているとし、2017年に政府が「新世代人工知能開発計画」を発表したことを指摘した。 近年は、AIの健全かつ秩序ある発展を確保するため、関連法規、倫理規範、知的財産標準、安全監視・評価措置を継続的に改善している。
JEFFREY DELAURENTIS (United States) said that AI offers incredible promise to address global challenges.  Automated systems are already helping to grow food more efficiently, predict storm paths and identify disease in patients.  AI, however, also has the potential to intensify conflict including by spreading misinformation and carrying out malicious cyberoperations.  The United States is committed to working with a range of actors, including Member States, technology companies and civil society actors, he said.  On 4 May, President Joseph R. Biden met with leading AI companies to underscore the responsibility to ensure AI systems are safe and trustworthy.  The United States is also identifying principles to guide the design, use and deployment of automated systems.  Military use of AI must be ethical and responsible.  Earlier this year, the United States proposed a political declaration on the responsible military use of AI, he said, and encouraged all Member States to endorse this declaration. JEFFREY DELAURENTIS(米国)は、AI は世界的な課題に対処するための素晴らしい可能性を秘めている と述べた。  自動化されたシステムはすでに、食料の効率的な栽培、暴風雨の進路予測、患者の病気の特定に役立っている。 しかしAIは、誤情報の拡散や悪意あるサイバー作戦など、紛争を激化させる可能性も秘めている。  米国は加盟国、テクノロジー企業、市民社会など、さまざまなアクターと協力することを約束する」と述べた。  5月4日、ジョセフ・R・バイデン大統領は大手AI企業と会談し、AIシステムの安全性と信頼性を確保する責任を強調した。  米国はまた、自動化システムの設計、使用、配備の指針となる原則を特定している。  AIの軍事利用は倫理的かつ責任あるものでなければならない。  米国は今年初め、AIの責任ある軍事利用に関する政治宣言を提案し、すべての加盟国がこの宣言に賛同するよう促したと述べた。
SÉRGIO FRANÇA DANESE (Brazil) said artificial intelligence is developing so fast that even the best researchers are unable to assess the full scale of the challenges and benefits that these new technologies can provide.  “What we know for sure is that artificial intelligence is not human intelligence,” he said, adding that human oversight is essential to avoid bias and errors.  Even though it has been mostly developed as a civilian application, it can be predicted with certainty that AI applications will be extended to the military field and have a relevant impact on peace and security.  Recalling the concept of “meaningful human control”, he underscored that humans must remain responsible for decisions on the use of weapons systems.  A human element in any autonomous system is essential for the establishment of ethics standards and for full compliance with international humanitarian law.  “There is no replacement for human judgment and accountability,” he asserted. SÉRGIO FRANÇA DANESE(ブラジル)は、人工知能は急速に発展しているため、優れた研究者でさえ、これらの新技術が提供しうる課題と利益の全容を評価することはできないと述べた。 「私たちが確実に知っていることは、人工知能は人間の知能ではないということです」と述べ、バイアスやエラーを避けるためには人間の監視が不可欠であると付け加えた。 人工知能はそのほとんどが民生用として開発されたものだが、今後、軍事分野にも応用され、平和と安全保障に影響を与えることは間違いない。 同氏は、「意味のある人間による制御」という概念を想起し、兵器システムの使用に関する決定には人間が責任を負わなければならないことを強調した。 倫理基準を確立し、国際人道法を完全に遵守するためには、いかなる自律システムにおいても人間の要素が不可欠である。 「人間の判断と説明責任に代わるものはない」と主張した。
PASCALE CHRISTINE BAERISWYL (Switzerland) echoed the words of the robot “Ameca”, speaking to a journalist at the “AI for Good” conference in Geneva:  “I believe it’s only a matter of time before we see thousands of robots like me out there making a difference.”  While a challenge due to its speed and apparent omniscience, AI can and must serve peace.  “It’s in our hands to ensure that AI makes a difference to the benefit and not the detriment of humanity,” she emphasized, adding:  “let’s seize the opportunity to lay the groundwork towards AI for good by working closely with cutting-edge science”.  In this regard, the Swiss Federal Institute of Technology Zurich is developing a prototype of an AI-assisted analysis tool for the United Nations Operations and Crisis Centre which could explore AI’s potential for peacekeeping, particularly for the protection of civilians and peacekeepers.  Additionally, Switzerland recently launched the “Swiss Call for Trust & Transparency initiative”, where academia, private sector and diplomacy jointly seek practical and rapid solutions to AI-related risks. PASCALE CHRISTINE BAERISWYL(スイス)は、ジュネーブで開催された "AI for Good "会議でジャーナリストの取材に応じ、ロボット "Ameca "の言葉を繰り返した:  「私のような何千ものロボットが世の中を変えるのは時間の問題だと思います。  そのスピードと見かけの全知全能性による挑戦ではあるが、AIは平和に貢献できるし、貢献しなければならない。 「AIが人類の利益となり、不利益とならないよう変化をもたらすかどうかは、私たちの手に委ねられているのです」と彼女は強調し、こう付け加えた:  「最先端科学と密接に協力することで、AIを良い方向に導く土台を築く機会をつかみましょう」と付け加えた。  この点に関して、スイス連邦工科大学チューリッヒ校は、国連活動危機管理センター向けにAI支援分析ツールのプロトタイプを開発している。このツールは、平和維持、特に民間人と平和維持要員の保護におけるAIの可能性を探ることができる。 さらにスイスは最近、「信頼と透明性のためのスイス・コール・イニシアチブ」を立ち上げ、学術界、民間企業、外交機関が共同で、AI関連のリスクに対する実践的かつ迅速な解決策を模索している。
HAROLD ADLAI AGYEMAN (Ghana) underscored that the international community must “constrain the excesses of individual national ambitions for combative dominance”, urging the development of frameworks that would govern AI for peaceful purposes.  For Ghana, opportunity lies in developing and applying that technology to identify early warning signs of conflict and to define responses that have a higher rate of success.  AI can also be applied to peace mediation and negotiation efforts, he said, noting that the deployment of that technology by the United Nations Support Mission in Libya (UNSMIL) to determine the Libyan people’s reaction to policies facilitated improvements in that country’s 2022 Global Peace Index.  AI also presents risks — including its integration into autonomous weapons systems – and, on that, he observed:  “The history of our experience with mankind’s mastery in atomic manipulation shows that, should such desires persist, it only generates, in equal measure, efforts by other States to cancel the advantage that such a deterrence seeks to create”. HAROLD ADLAI AGYEMAN (ガーナ)は、国際社会は「戦闘的な支配を目指す各国の野心の行き過ぎを抑制」しなけれ ばならないと強調し、平和的な目的のためのAIを管理する枠組みの開発を促した。  ガーナにとって、紛争の早期警告の兆候を特定し、より高い確率で成功する対応を定義するための技術を開発し、応用することにこそ機会がある。  国連リビア支援団(UNSMIL)が、政策に対するリビア国民の反応を把握するためにこの技術を導入したことで、同国の2022年の世界平和指数が改善されたことを指摘した。  AIはまた、自律型兵器システムへの統合など、リスクもはらんでいる:  「人類が原子操作に熟達した歴史は、そのような欲望が持続する場合、抑止力が生み出そうとする利点を打ち消そうとする努力を他国が等しく生み出すだけであることを示している」と述べた。
NICOLAS DE RIVIÈRE (France) said AI must be a tool for peace, noting that these technologies can contribute to the safety of the blue helmets, improve the protection of civilians, and facilitate the delivery of humanitarian assistance.  However, it also includes risks, he pointed out, noting that AI is liable to heighten cyberthreats and help malicious actors in waging cyberattacks.  At the military level, AI must be modified to reflect the nature of conflict, he said, underscoring the need to develop an applicable framework for autonomous lethal weapons.  Such a framework can help ensure that future conflicts are conducted in a way that respects international humanitarian law, he added.  Affirming his country’s commitment to advancing an ethical and responsible approach for AI, he said that was the aim of the global partnership it launched in 2020, with the European Union and Council of Europe, and which has been working on rules to regulate and support AI development. NICOLAS DE RIVIÈRE(フランス)は、AI は平和のためのツールであるべきだとし、これらの 技術はブルー・ヘルメットの安全確保に貢献し、民間人の保護を改善し、人道支援の提供を容易にす ることができると指摘した。 しかし、AIにはリスクも含まれており、AIはサイバー脅威を増大させ、悪意ある行為者のサイバー攻撃を助長する可能性があると指摘した。 軍事レベルでは、AIは紛争の性質を反映するように修正されなければならないとし、自律型殺傷兵器に適用可能な枠組みを開発する必要性を強調した。 そのような枠組みは、将来の紛争が国際人道法を尊重した形で行われることを保証するのに役立つと付け加えた。  同首相は、AIの倫理的で責任あるアプローチを推進するという自国のコミットメントを確認し、それが欧州連合(EU)および欧州評議会とともに2020年に立ち上げたグローバル・パートナーシップの目的であり、AIの開発を規制し支援するためのルールに取り組んできたと述べた。
HERNÁN PÉREZ LOOSE (Ecuador) said that AI has already developed at “break-neck speed” and will continue to do so.  AI can contribute to peacekeeping and peace efforts, or it can undermine them; prevent conflicts and moderate dialogues in complex situations as was the case during the peak of the COVID-19 pandemic.  AI can improve the security of peacekeeping camps and convoys by monitoring the situation more effectively.  “Our responsibility is to promote and make the most of technological development as a facilitator of peace,” he said.  This can be done only by strictly upholding international human rights law and international humanitarian law.  Ecuador categorically rejects the militarization of AI and reiterates the risk posed by lethal autonomous weapons.  “The robotization of conflict is a great challenge for our disarmament efforts and an existential challenge that this Council ignores at its peril,” he said. HERNÁN PÉREZ LOOSE (エクアドル)は、AIはすでに「猛スピード」で発展しており、今後も発展し続けると述べた。  AIは平和維持や平和への取り組みに貢献することもあれば、それを弱体化させることもある。COVID-19パンデミックのピーク時のように、複雑な状況下で紛争を防止したり、対話を和らげたりすることもできる。  AIは、状況をより効果的に監視することで、平和維持キャンプや輸送隊の安全性を改善することができる。  「私たちの責任は、平和の促進者としての技術開発を促進し、最大限に活用することです。  これは、国際人権法と国際人道法を厳守することによってのみ可能となる。  エクアドルは、AIの軍事化を断固として否定し、致死的な自律型兵器がもたらすリスクを改めて強調する。  「紛争のロボット化は、我々の軍縮努力にとって大きな挑戦であり、この理事会が危険を顧みず無視する存亡の課題である」と述べた。
VANESSA FRAZIER (Malta) said that as AI governance and control practices must be developed at a comparable pace for safeguarding international peace and security, the Council must push for strong AI governance and ensure its inclusive, safe and responsible deployment through the sharing of experiences and governmental frameworks.  Since 2019, her country has been developing an Ethical AI Framework, aligned with the European Ethics Guidelines for Trustworthy AI, she said, further describing Malta’s efforts in the field.  She voiced concern about the use of AI systems in military operations, stressing that machines cannot make human-like decisions involving the legal principles of distinction, proportionality and precaution.  Moreover, lethal autonomous weapons systems currently exploiting AI should be banned and only those weapons systems that are in full respect of international humanitarian law and human rights law should be regulated, she added. VANESSA FRAZIER (マルタ)は、国際的な平和と安全を守るため、AIのガバナンスと管理慣行が同等のペースで開発されなければならないとして、理事会は強力なAIガバナンスを推進し、経験と政府の枠組みの共有を通じて、その包括的で安全かつ責任ある展開を確保しなければならないと述べた。  2019年以降、マルタは「信頼できるAIのための欧州倫理ガイドライン」に沿った「倫理的AIフレームワーク」を策定しており、この分野におけるマルタの取り組みについて述べた。  彼女は、軍事作戦におけるAIシステムの使用について懸念を表明し、機械は区別、比例、予防の法的原則に関わる人間のような判断を下すことはできないと強調した。 さらに、現在AIを利用している致死的な自律型兵器システムは禁止されるべきであり、国際人道法と人権法を完全に尊重した兵器システムのみが規制されるべきであると彼女は付け加えた。
LILLY STELLA NGYEMA NDONG (Gabon) said that AI is increasing the analytical capacity of early warning systems, thereby making it easier to detect emerging threats by analysing vast quantities of data from various sources very quickly.  This has enabled United Nations peacekeeping missions to perform better, particularly in the area of civilian protection.  AI has also contributed to States’ post-conflict reconstruction efforts, along with fostering the implementation of quick-impact projects, employment opportunities for youth and the reintegration of former combatants. She underscored, however, that local communities must take ownership of and absorb these new technologies “to perpetuate their beneficial effects after the withdrawal of international forces” — lest such benefits disappear, and crises resurface. Also stressing the need to bolster transparency, international governance and accountability regarding AI, she called on the United Nations to expand international cooperation to develop a regulatory framework with appropriate control mechanisms and robust security systems. LILLY STELLA NGYEMA NDONG(ガボン)は、AIは早期警戒システムの分析能力を高め、様々な情報源からの膨大なデータを迅速に分析することで、新たな脅威の検知を容易にしていると述べた。  これによ り、国際連合平和維持ミッションは、特に文民保護の分野で、よ り優れたパフォーマンスを発揮できるようになった。  AIはまた、即効性プロジェクトの実施、若者の雇用機会、元戦闘員の社会復帰を促進するとともに、紛争後の復興努力にも貢献してきた。 しかし彼女は、「国際軍の撤退後もその有益な効果を持続させるためには」、地域社会がこれらの新技術を所有し、吸収しなければならないことを強調した。 また、AIに関する透明性、国際ガバナンス、説明責任を強化する必要性を強調し、国連に対し、適切な管理メカニズムと強固なセキュリティ・システムを備えた規制の枠組みを構築するための国際協力を拡大するよう求めた。
FERIT HOXHA (Albania) said AI holds great promise to transform the world like never before, but also poses potential risks that could impact people’s safety, privacy, economy and security.  Some countries continually attempt to deliberately mislead people, distort facts, and interfere in democratic processes of others by misusing digital technologies, he said, underscoring the urgency of establishing the necessary AI safeguards and governance frameworks at the national and international levels.  Clear lines of responsibility and authority are also needed to ensure that AI systems are used appropriately, safely and responsibly for the good of all.  Moreover, AI systems must not infringe on human rights and freedom nor undermine peace and security.  The international community must promote standards for responsible State behaviour and the applicability of international law in the use of AI and its technologies, as well as in the monitoring and assessment of risks and implications, he said, highlighting the Council’s role in that regard. FERIT HOXHA(アルバニア)は、AIはかつてないほど世界を変革する大きな可能性を秘めている一方、人々の安全、プライバシー、経済、セキュリティに影響を与えかねない潜在的なリスクもはらんでいると述べた。  デジタル技術を悪用することで、意図的に人々を欺き、事実を歪曲し、他国の民主的プロセスを妨害しようとする国も後を絶たないとし、国家レベルおよび国際レベルで必要なAIのセーフガードとガバナンスの枠組みを確立することの緊急性を強調した。 また、AIシステムがすべての人の利益のために適切、安全かつ責任を持って使用されることを保証するために、明確な責任と権限の線引きが必要である。 さらに、AIシステムは人権や自由を侵害したり、平和と安全を損なうものであってはならない。 国際社会は、AIとその技術の利用において、またリスクとその影響の監視とアセスメントにおいて、責任ある国家の行動と国際法の適用に関する標準を推進しなければならない」と述べ、この点での理事会の役割を強調した。
DMITRY A. POLYANSKIY (Russian Federation) said that the development of autonomous weapons systems can pose risks to security because such systems can make decisions about the use of force.  AI can also be used in the creation and spread of disinformation and “fake news”, which undermine trust and cause tensions. With respect to lethal autonomous systems, he said that the issue is discussed in the General Assembly and that duplication of such efforts is counterproductive.  “The West has no ethical qualms about knowingly allowing AI to generate misanthropic statements in social networks,” he continued.  Turning to digital inequality, he said that in Europe Internet access is enjoyed by approximately 89 per cent of the population.  In low-income countries, only one quarter of the population enjoys such benefits.  Historically, digital technologies were developed at the private level, and Governments lagged in regulating them.  “This trend needs to be reversed,” he stressed. DMITRY A. POLYANSKIY (ロシア連邦)は、自律型兵器システムの開発は、武力行使に関する意思決定を行えるため、安全保障にリスクをもたらす可能性があると述べた。  AIは偽情報や「フェイクニュース」の作成・拡散にも利用される可能性があり、信頼を損ない、緊張を引き起こす。 致死的な自律システムに関しては、この問題は総会で議論されており、そのような努力の重複は逆効果だと述べた。  「西側諸国は、AIがソーシャルネットワークで人間嫌いの発言をすることを承知の上で許可することに倫理的な問題はない」と続けた。  デジタルの不平等については、ヨーロッパではインターネットへのアクセスは人口の約89%が享受していると述べた。 低所得国では、そのような恩恵を享受しているのは人口の4分の1に過ぎない。  歴史的に、デジタル技術は民間レベルで開発され、政府の規制は遅れていた。  「この傾向を逆転させる必要がある」と強調した。

 

 

 


 

英国の外務大臣のスピーチ

Gov.UK

・2023.07.18 United Nations Security Council session on Artificial Intelligence: Foreign Secretary's speech

United Nations Security Council session on Artificial Intelligence: Foreign Secretary's speech 人工知能に関する国連安全保障理事会セッション: 外務大臣スピーチ
Foreign Secretary James Cleverly gave a speech on Artificial Intelligence (AI) at the United Nations Security Council in New York. ジェームズ・クレバリー外務大臣は、ニューヨークの国連安全保障理事会で人工知能(AI)に関するスピーチを行った。
This is an historic​​ meeting – the first discussion of Artificial Intelligence at the UN ​ Security Council. これは歴史的な会合であり、国連安全保障理事会で初めて人工知能について議論された。
Since the early development of Artificial Intelligence by pioneers like Alan Turing and Christopher Strachey, this technology has advanced with ever greater speed. アラン・チューリングやクリストファー・ストレイシーのような先駆者たちによる初期の人工知能の開発以来、この技術はかつてないスピードで進歩してきた。
​​​​​​​Yet the biggest AI-induced transformations are still to come. Their scale is impossible for us to comprehend fully. But the gains to humanity will surely be immense. しかし、AIによる最大の変革はまだこれからだ。その規模を私たちが完全に理解することは不可能だ。しかし、人類にもたらされる利益は計り知れない。
AI will fundamentally alter every aspect of human life. Ground-breaking discoveries in medicine may be just around the corner. The productivity boost to our economies may be vast. AI may help us adapt to climate change, beat corruption, revolutionise education, deliver the Sustainable Development Goals and reduce violent conflict. AIは人間生活のあらゆる側面を根本的に変えるだろう。医学における画期的な発見はすぐそこまで来ているかもしれない。経済の生産性は飛躍的に向上するかもしれない。AIは、気候変動への適応、汚職の撲滅、教育の革新、持続可能な開発目標の達成、暴力的紛争の減少に役立つかもしれない。
But we are here today because AI will affect the work of this Council. しかし、我々が今日ここにいるのは、AIが本評議会の活動に影響を与えるからである。
It could enhance or disrupt global strategic stability. It challenges our fundamental assumptions about defence and deterrence. It poses moral questions about accountability for lethal decisions on the battlefield. AIは世界の戦略的安定を強化する可能性もあれば、破壊する可能性もある。AIは、防衛と抑止に関する基本的な前提に挑戦している。AIは、戦場における致命的な決定に対する説明責任について、道徳的な問題を提起する。
There can already be no doubt that AI changes the speed, scale and spread of disinformation with hugely harmful consequences for democracy and stability. AI could aid the reckless quest for weapons of mass destruction by state and non-state actors alike. But it could also help us stop proliferation. AIが偽情報のスピード、規模、拡散を変化させ、民主主義と安定に甚大な悪影響を及ぼすことはすでに疑いの余地がない。AIは、国家や非国家主体による大量破壊兵器の無謀な探求を助けるかもしれない。しかし、拡散を食い止める手助けにもなる。
That’s why we urgently need to shape the global governance of transformative technologies. Because AI knows no borders. だからこそ私たちは、変革的テクノロジーのグローバル・ガバナンスを形成することが急務なのだ。AIに国境はないからだ。
The UK’s vision is founded on 4 irreducible principles: 英国のビジョンは、4つの不可逆的原則に基づいている:
open: AI should support freedom and democracy オープンにする: AIは自由と民主主義をサポートすべきである。
responsible: AI should be consistent with the rule of law and human rights 責任を持つ: AIは法の支配と人権と一致すべきである。
secure: AI should be safe and predictable by design; safeguarding property rights, privacy and national security 安全である: 財産権、プライバシー、国家安全保障を守る。
resilient: AI should be trusted by the public and critical systems must be protected レジリエンス: AIは社会から信頼されるべきであり、重要なシステムは保護されなければならない。
​The UK’s approach builds on existing multilateral initiatives, such as the AI for Good Summit in Geneva, or the work of UNESCO, the OECD and the G20. 英国のアプローチは、ジュネーブで開催されたAI for Goodサミットや、ユネスコ、OECD、G20の活動など、既存の多国間イニシアティブを基礎としている。
Institutions like the Global Partnership for AI, the G7’s Hiroshima Process, the Council of Europe, and the International Telecommunication Union are all important partners. AIのためのグローバル・パートナーシップ、G7の広島プロセス、欧州評議会、国際電気通信連合などの機構はすべて重要なパートナーである。
Pioneering AI companies will also need to work with us so we can capture the gains and minimise the risks to humanity. 先駆的なAI企業も我々と協力することで、人類にとっての利益を獲得し、リスクを最小限に抑えることができるだろう。
No country will be untouched by AI, so we must involve and engage the widest coalition of international actors from all sectors. The UK is home to many of the world’s trail-blazing AI developers and foremost AI safety researchers. どの国もAIに無縁ではいられないだろうから、あらゆる分野の国際的な関係者の最も広範な連合体を巻き込み、関与させなければならない。英国は、世界で先駆的なAI開発者やAI安全性研究の第一人者の多くを擁する国である。
So this autumn the UK plans to bring world leaders together for the first major global summit on AI safety. そこで英国は今秋、AI安全性に関する初の大規模なグローバル・サミットのために、世界のリーダーたちを一堂に集めることを計画している。
Our shared goal will be to consider the risks of AI and decide how they can be reduced through coordinated action. 私たちが共有する目標は、AIのリスクを検討し、協調行動を通じてそのリスクを低減する方法を決定することである。
Momentous opportunities, on a scale that we can barely imagine, lie before us. We must seize these opportunities and grasp the challenges of AI – including those for international peace and security – decisively, optimistically and from a position of global unity on essential principles. 私たちの目の前には、想像を絶する規模の重大な機会が横たわっている。私たちは、こうした機会をとらえ、国際的な平和と安全保障を含むAIの課題を、決定的かつ楽観的に、そして本質的な原則に基づく世界的な団結の立場からとらえなければならない。
There is a tide in the affairs of men which, taken at the flood, leads to fortune. 人の営みには流れがあり、その流れに乗れば幸運につながる。
In that spirit, let us work together to ensure peace and security as we pass across the threshold of an unfamiliar world. その精神に則り、平和と安全を確保するために協力し、見知らぬ世界の入り口を通過しよう。

 

 

ブレスリリース

・2023.07.18 Foreign Secretary to call for international cooperation to manage the global implications of Artificial Intelligence

 

 

 

英国は、AIに力をいれていますね。。。。。

 

AI安全性に関するグローバルサミットの開催も計画していますしね。。。

・2023.06.07 UK to host first global summit on Artificial Intelligence

 

 

 


一方中国では、2018年から毎年上海で、世界人工知能大会が開催されていますね。。。今年は7月6日、7日に開催されています。。。

ジェトロのウェブページで完結にまとまっています。。。

 

JETRO

・2023.07.14 2023世界人工知能大会が開催、生成AI技術に注目が高まる

 

その中国が発表した[PDF]2022年各国人工知能イノベーション指数順位表によると、

  順位 国名 得点
第1階層 1 米国 72.23
2 中国 55.20
第2階層 3 英国 46.59
4 ドイツ 44.45
5 シンガポール 44.00
6 カナダ 43.82
7 日本 43.03
8 韓国 41.79
9 イスラエル 39.30
10 スウェーデン 39.19
11 フランス 38.01
12 オーストラリア 37.98
13 オランダ 35.52

 

 

 

| | Comments (0)

英国 Ada Lovelace 協会 英国のAI規制、AIリスクなど4つの報告書

こんにちは、丸山満彦です。

英国 Ada Lovelace 協会は最近AIに関する報告書を公表していますが、今回4本の報告書を公表していますね。。。

Ada Lovelace Institute - Library - Reports

・2023.07.18

Regulating AI in the UK 英国におけるAIの規制
Policy briefing: Regulating AI in the UK 政策ブリーフィング:英国におけるAI規制
AI risk: Ensuring effective assessment and mitigation across the AI lifecycle  AIリスク:AIのライフサイクルを通じた効果的な評価と低減の確保 
Keeping an eye on AI AIから目を離さない

 

 


 

・2023.07.18 Regulating AI in the UK

・[PDF]

20230720-52459

 

Regulating AI in the UK 英国におけるAIの規制
About this report 本報告書について
This report is aimed at policymakers, regulators, journalists, AI practitioners in industry and academia, civil society organisations, and anyone else who is interested in understanding how AI can be regulated in the UK for the benefit of people and society. 本報告書は、政策立案者、規制当局者、ジャーナリスト、産業界や学界のAI実務者、市民社会組織、その他、人々と社会の利益のために英国でAIをどのように規制できるかを理解することに関心のあるすべての人を対象としている。
It contextualises and summarises the UK’s current plans for AI regulation, and sets out recommendations for the Government and the Foundation Model Taskforce. 本書は、AI規制に関する英国の現在の計画を整理・要約し、ガバナンスとファウンデーション・モデル・タスクフォースに対する提言を示している。
Our recommendations are based on extensive desk research, two expert roundtables, independent legal analysis and the results of a nationally representative survey. They also build on previous Ada Lovelace Institute research, including the 2021 report Regulate to innovate1 and extensive analysis and commentary on the EU AI Act.2  For more information on our evidence base, see the sections below on ‘Methodology’ and ‘Further reading’. 我々の提言は、広範な机上調査、2回の専門家懇談会、独立した法的分析、全国代表者調査の結果に基づいている。また、2021年の報告書「Regulate to innovate」1 やEUのAI法に関する広範な分析と解説2 を含む、エイダ・ラブレス研究所の過去の調査にも基づいている。証拠ベースの詳細については、以下の「方法論」と「参考文献」のセクションを参照のこと。
If you would like more information on this report, or if you would like to discuss implementing our recommendations, please contact our policy research team at [mail]. 本報告書に関する詳細、または提言の実施に関するご相談は、政策研究チーム [mail] までご連絡いただきたい。
Executive summary 要旨
It seems as if discussions about artificial intelligence (AI) are everywhere right now – new and emerging uses of AI technologies are appearing across different sectors and are also implicit in every conversation about present and future societies. 今、人工知能(AI)に関する議論は至る所で行われているように思われる。AI技術の新たな用途や新興の用途が様々な分野で登場し、現在と未来の社会に関するあらゆる会話にも暗黙の了解となっている。
The UK Government has laid out its ambition to make the UK an ‘AI superpower’, leveraging the development and proliferation of AI technologies to benefit the UK’s society and economy, and hosting a global summit in autumn 2023. 英国政府は、英国を「AI大国」にするという野望を打ち出し、AI技術の開発と普及を活用して英国の社会と経済に利益をもたらし、2023年秋にはグローバル・サミットを開催するとしている。
This ambition will only materialise with effective domestic regulation, which will provide the platform for the UK’s future AI economy この野望は、効果的な国内規制があって初めて実現するものであり、それが英国の将来のAI経済のプラットフォームを提供することになる
‘Regulating AI’ means addressing issues that could harm public trust in AI and the institutions using them, such as data-driven or algorithmic social scoring, biometric identification and the use of AI systems in law enforcement, education and employment. 「AIを規制する」とは、データ駆動型またはアルゴリズムによる社会的スコアリング、生体データによる識別、法執行、教育、雇用におけるAIシステムの使用など、AIとそれを使用する機構に対する国民の信頼を損ないかねない問題に対処することを意味する。
Regulation will need to ensure that AI systems are trustworthy, that AI risks are mitigated, and that those developing, deploying and using AI technologies can be held accountable when things go wrong. 規制は、AIシステムが信頼に足るものであること、AIのリスクが低減されていること、そしてAI技術を開発・導入・使用する者が、問題が発生した際に説明責任を果たせることを保証する必要がある。
The UK’s approach to AI regulation AI規制に対する英国のアプローチ
While the EU is legislating to implement a rules-based approach to AI governance, the UK is proposing a ‘contextual, sector-based regulatory framework’, anchored in its existing, diffuse network of regulators and laws.3 EUがAIガバナンスにルールベースのアプローチを導入するための法制化を進めているのに対し、英国は、既存の規制当局と法律の拡散したネットワークに支えられた「文脈に基づく、セクターベースの規制枠組み」を提案している3。
The UK approach, set out in the white paper Establishing a pro-innovation approach to AI regulation rests on two main elements: AI principles that existing regulators will be asked to implement, and a set of new ‘central functions’ to support this work.  4 白書「Establishing a pro-innovation approach to AI regulation」で示された英国のアプローチは、主に2つの要素から成り立っている: すなわち、既存の規制当局が実施するよう求められるAIの原則と、この作業をサポートする一連の新しい「中央機能」である。 4
In addition to these elements, the Data Protection and Digital Information Bill currently under consideration by Parliament is likely to impact significantly on the governance of AI in the UK, as will the £100 million Foundation Model Taskforce and AI Safety Summit convened by the UK Government.5 6 7 これらの要素に加え、現在議会で審議中のデータ保護とデジタル情報法案は、英国政府によって招集された1億ポンドの財団モデル・タスクフォースとAI安全サミットと同様に、英国におけるAIのガバナンスに大きな影響を与える可能性が高い5 6 7。
At the Ada Lovelace Institute we have welcomed the allocation of significant Government resource and attention to AI safety, and its commitment to driving AI safety forward at a global level. It will be important that the definition of ‘safety’ adopted by the Government is an expansive one, reflecting the wide variety of harms arising as AI systems become more capable and embedded in society. エイダ・ラブレス協会では、政府がAIの安全性に多大な資源と関心を割り当て、世界レベルでAIの安全性を推進するというコミットメントを表明したことを歓迎している。政府が採用する「安全」の定義は、AIシステムがより高性能になり社会に組み込まれるにつれて生じる多種多様な危害を反映した、広範なものであることが重要であろう。
It is also unlikely that international agreements will be effective in making AI safer and preventing harm, unless they are underpinned by robust domestic regulatory frameworks that can shape corporate incentives and developer behaviour in particular. The credibility of the UK’s AI leadership aspirations therefore rests on getting the domestic regime right. また、特に企業のインセンティブや開発者の行動を形成できる強固な国内規制の枠組みに裏打ちされない限り、国際協定がAIをより安全なものにし、危害を防止する上で効果的である可能性は低い。従って、英国がAIのリーダーを目指すことの信頼性は、国内体制を正しく構築できるかどうかにかかっている。
Regulating AI in the UK: our recommendations 英国におけるAIの規制:我々の提言
Our recommendations fall into three categories, reflecting our three tests for effective AI regulation in the UK: coverage, capability and urgency. 我々の提言は、英国における効果的なAI規制のための3つのテスト、すなわち「適用範囲」、「能力」、「緊急性」を反映し、3つのカテゴリーに分類される。
Coverage 適用範囲
AI is being deployed and used in every sector but the UK’s diffuse legal and regulatory network for AI currently has significant gaps. Clearer rights and new institutions are needed to ensure that safeguards extend across the economy. AIはあらゆる分野で導入・利用されつつあるが、AIに関する英国の拡散した法的・規制的ネットワークには現在、大きなギャップがある。セーフガードを経済全体に広げるためには、より明確な権利と新たな機構が必要である。
Legal rights and protections 課題:法的権利と防御
New legal analysis shows safeguards for AI-assisted decision-making don’t properly protect people. 新たな法的分析によると、AIによる意思決定のセーフガードは人々を適切に保護していない。
Recommendation 1: Rethink the elements of the Data Protection and Digital Information Bill that are likely to undermine the safe development, deployment and use of AI, such as changes to the accountability framework. 提言1:データ保護・デジタル情報法案のうち、AIの安全な開発・配備・利用を損なう可能性の高い要素を再考する、 例えば、説明責任の枠組みの変更などである。
Recommendation 2: Review the rights and protections provided by existing legislation such as the UK General Data Protection Regulation (GDPR) and the Equality Act 2010 and – where necessary – legislate to introduce new rights and protections for people and groups affected by AI to ensure people can achieve adequate redress. 提言2:英国一般データ保護規則(GDPR)や2010年平等法(Equality Act 2010)などの既存の法律が提供する権利と保護を見直し、必要な場合には、AIによって影響を受ける人々やグループが適切な救済を受けられるよう、新たな権利と保護を導入するための立法を行う。
Recommendation 3: Publish a consolidated statement of the rights and protections that people can expect when interacting with AI-based products and services, and organisations providing them. 提言3:AIを利用した製品やサービス、そしてそれらを提供する組織と対話する際に人々が期待できる権利と保護について、統合されたステートメントを公表する。
Routes to redress 課題:救済への道
Even when legal safeguards are in place, accessing redress can be costly and unrealistic for many affected people. 法的な保護措置が講じられていても、被害を受けた多くの人々にとって、救済を受けるには費用がかかり、現実的でない場合がある。
Recommendation 4: Explore the value of establishing an ‘AI ombudsman’ to support people affected by AI and increase regulators’ visibility of AI harms as they occur. 提言4:AIの影響を受ける人々を支援し、AIによる被害が発生した際に規制当局の可視性を高めるために、「AIオンブズマン」を設置する価値を検討する。
Regulatory gaps 課題:規制のギャップ
The Government hasn’t addressed how its proposed AI principles will apply in many sectors. ガバナンスは、提案されているAIの原則が多くの分野でどのように適用されるかを取り上げていない。
Recommendation 5: Set out how the five AI principles will be implemented in domains where there is no specific regulator and/or ‘diffuse’ regulation and also across the public sector. 提言5:AI5原則が、特定の規制当局が存在しない領域や「拡散的」規制、また公共部門全体でどのように実施されるかを明らかにする。
Capability 能力
Regulating AI is resource-intensive and highly technical. Regulators, civil society organisations and other actors need new capabilities to properly carry out their duties. AIの規制は、資源集約的で高度な技術を要する。規制当局、市民社会組織、その他のアクターは、その責務を適切に遂行するために新たな能力を必要としている。
Scope and powers 課題:範囲と権限
Regulator mandates and powers vary greatly, and many will be unable to force AI users and developers to comply with all the principles. 規制当局の権限や職務権限は様々であり、その多くはAIの利用者や開発者にすべての原則の遵守を強制することはできない。
Recommendation 6: Introduce a statutory duty for legislators to have regard to the principles, including strict transparency and accountability obligations. 提言6:厳格な透明性と説明責任の義務を含む、原則に配慮する立法者の法的義務を導入する。
Recommendation 7: Explore the introduction of a common set of powers for regulators and ex ante, developer-focused regulatory capability. 提言7:規制当局に共通の権限と、開発者に焦点を当てた事前規制能力の導入を検討する。
Recommendation 8: Clarify the law around AI liability, to ensure that legal and financial liability for AI risk is distributed proportionately along AI value chains. 提言8:AIリスクに対する法的・金銭的責任がAIバリューチェーンに沿って比例的に配分されるよう、AI責任に関する法律を明確化する。
Resourcing 課題:人材確保
AI is increasingly a core part of our digital infrastructure, and regulators need significantly more resourcing to address it. AIはますますデジタルインフラの中核を担うようになってきており、規制当局はAIに対応するために大幅な人員増を必要としている。
Recommendation 9: Significantly increase the amount of funding available to regulators for responding to AI-related harms, in line with other safety-case based regulatory domains. 提言9:他のセーフティケースに基づく規制領域と同様に、AI関連の危害に対応するために規制当局が利用できる資金量を大幅に増やす。
The regulatory ecosystem 課題:規制のエコシステム
Other actors such as consumer groups, trade unions, charities and assurance providers will need to play a central role in holding AI accountable. 消費者団体、労働組合、慈善団体、保証プロバイダなどの他のアクターは、AIに説明責任を果たさせる上で中心的な役割を果たす必要がある。
Recommendation 10: Create formal channels to allow civil society organisations, particularly those representing vulnerable groups, to meaningfully feed into future regulatory processes, the work of the Foundation Model Taskforce and the AI Safety Summit. 提言10:市民社会組織、特に脆弱性グループの代表者が、将来の規制プロセス、財団モデル・タスクフォースの作業、AI安全サミットに有意義な情報を提供できるよう、正式なチャンネルを設ける。
Recommendation 11: Establish funds and pooled support to enable civil society organisations like consumer groups, trade unions and advisory organisations to hold those deploying and using AI accountable. 提言11:消費者団体、労働組合、諮問機関のような市民社会組織が、AIを配備・使用 する側に説明責任を負わせることができるよう、資金とプールされた支援を確立する。
Recommendation 12: Support the development of non-regulatory tools such as standards and assurance. 提言12:標準や保証などの非規制ツールの開発を支援する。
Urgency 緊急性
The widespread availability of foundation models such as GPT-4 is accelerating AI adoption and risks scaling up existing harms. The Government, regulators and the Foundation Model Taskforce need to take urgent action. GPT-4のような基盤モデルの普及は、AIの導入を加速させ、既存の被害を拡大させるリスクとなっている。ガバナンス、規制当局、ファウンデーションモデル・タスクフォースは、早急に行動を起こす必要がある。
Legislation and enforcement 課題:法整備と施行
New legislation, and more robust enforcement of existing laws, will be necessary to ensure foundation models are safe. 基盤モデルの安全性を確保するためには、新たな法整備と既存法のより強固な執行が必要である。
Recommendation 13: Allocate significant resource and future parliamentary time to enable a robust, legislatively supported approach to foundation model governance as soon as possible. 提言13:財団モデルガバナンスに対する強固で、法制化されたアプローチを早急に実現するために、多大な資源と将来の国会の時間を割く。
Recommendation 14: Review opportunities for and barriers to the enforcement of existing laws – particularly the UK GDPR and the intellectual property (IP) regime – in relation to foundation models and applications built on top of them. 提言14:ファウンデーションモデルとその上に構築されるアプリケーションに関連して、既存法(特に英国のGDPRと知的財産(IP)制度)の執行の機会と障壁を見直す。
Transparency and monitoring 課題:透明性とモニタリング
Too often, foundation models are opaque ‘black boxes’, with limited information available to the Government and regulators. 多くの場合、基盤モデルは不透明な「ブラックボックス」であり、政府や規制当局が利用できる情報は限られている。
Recommendation 15: Invest in pilot projects to improve Government understanding of trends in AI research, development and deployment. 提言15:AIの研究、開発、導入の動向に関する政府の理解を深めるため、パイロット・プロジェクトに投資する。
Recommendation 16: Introduce mandatory reporting requirements for developers of foundation models operating in the UK or selling to UK organisations. 提言16:英国で活動する、あるいは英国の組織に販売する基盤モデルの開発者に対して、報告義務を導入する。
Leadership 課題:リーダーシップ
Priorities for AI development are currently set by a relatively small group of large industry players. AI開発の優先順位は現在、比較的少数の業界大手グループによって決定されている。
Recommendation 17: Ensure the AI Safety Summit reflects diverse voices and an expansive definition of ‘AI safety’. 提言17:AI安全性サミットが多様な声を反映し、「AI安全性」の定義が拡大されるようにする。
Recommendation 18: Consider public investment in, and development of, AI capabilities to steer applications towards generating long-term public benefit. 提言18:長期的な公益を生み出す方向にアプリケーションを誘導するために、AI能力への公共投資とその開発を検討する。

 

・2023.07.18 Policy briefing: Regulating AI in the UK

P+B69:C80olicy briefing: Regulating AI in the UK 政策ブリーフィング 英国におけるAI規制
This briefing examines the UK’s current plans for AI regulation an sets out recommendations for the Government and the Foundation Model Taskforce 本ブリーフィングは、人工知能(AI)規制に関する英国の現行計画を検証し、政府と財団モデル・タスクフォースへの提言を示すものである。
This briefing examines the UK’s current plans for artificial intelligence (AI) regulation as set out in the March 2023 white paper ‘A pro-innovation approach to regulating AI’. It sets out 18 recommendations for the Government and the Foundation Model Taskforce that, if acted on, will help to strengthen the proposed regulatory framework. 本ブリーフィングは、2023年3月の白書「A pro-innovation approach to regulating AI」で示された人工知能(AI)規制に関する英国の現行計画を検証する。本ブリーフィングは、政府とファウンデーション・モデル・タスクフォースに対する18の提言を示しており、これが実行されれば、提案されている規制の枠組みを強化するのに役立つだろう。
It is accompanied by a longer report – Regulating AI in the UK – which further contextualises and summarises the Government’s proposals.1 本報告書には、政府の提案の背景をさらに説明し要約した、より長い報告書「Regulating AI in the UK(英国におけるAIの規制)」も添付されている1。
The Ada Lovelace Institute is an independent research institute with a mission to make data and AI work for people and society. This means making sure that the opportunities, benefits and privileges generated by data and AI are justly and equitably distributed. エイダ・ラブレス研究所は、データとAIを人々と社会のために役立てることを使命とする独立研究機関である。エイダ・ラブレス研究所は、データとAIを人々と社会のために機能させることを使命とする独立研究機関である。これは、データとAIが生み出す機会、利益、特権が公正かつ公平に分配されるようにすることを意味する。
If you would like more information on this policy briefing, or if you would like to discuss implementing our recommendations, please contact our policy research team at [mail]. 本政策ブリーフィングに関する詳細情報をご希望の方、または我々の提言の実施について議論されたい方は、政策研究チーム[mail] までご連絡いただきたい。

 

 

・2023.07.18 AI risk: Ensuring effective assessment and mitigation across the AI lifecycle 

AI risk: Ensuring effective assessment and mitigation across the AI lifecycle  AIリスク:AIのライフサイクルを通じた効果的な評価と低減の確保 
Reducing the risks that AI systems pose to people and society AIシステムが人と社会にもたらすリスクを軽減する
Executive summary 要旨
With the increasing use of AI systems in our everyday lives, it is essential to understand the risks they pose and take necessary steps to mitigate them. Because the risks of AI systems may become manifest at different stages of their deployment, and the specific kinds of risks that may emerge will depend on the contexts in which those systems are being built and deployed, assessing and mitigating risk is a challenging proposition. 日常生活におけるAIシステムの利用が増加する中、AIシステムがもたらすリスクを理解し、それを低減するために必要な措置を講じることが不可欠である。AIシステムのリスクは、その展開のさまざまな段階で顕在化する可能性があり、顕在化する可能性のある具体的なリスクの種類は、システムが構築・展開される状況によって異なるため、リスクのアセスメントと低減は困難な命題である。
Addressing that challenge requires identifying and deploying a range of methods to be used by different actors across the lifecycle of an AI system’s development and deployment.1 By understanding these methods in more detail, policymakers and regulators can support their use by different actors in the UK’s technology sector, and so reduce the risks that AI systems can pose to people and society. この課題に対処するには、AIシステムの開発と展開のライフサイクル全体にわたって、さまざまな関係者が使用するさまざまな手法を特定し、展開する必要がある1。これらの手法をより詳細に理解することで、政策立案者と規制当局は、英国のテクノロジー・セクターのさまざまな関係者によるこれらの手法の使用を支援し、AIシステムが人々と社会にもたらすリスクを低減することができる。
In its March 2023 AI regulation white paper, the UK Government proposed creating a set of central Government functions to support the work of regulators. This included a cross-sectoral risk-assessment function, intended to support regulators in their own risk assessments, to identify and prioritise new and emerging risks, and share risk enforcement best practices. This central function has the potential to help coordinate and standardise the somewhat fragmented risk-assessment landscape identified in this paper, and support the development of a cross-sectoral AI assessment ecosystem in the UK. 英国ガバナンスは、2023年3月のAI規制白書で、規制当局の業務をサポートする一連の中央政府機能の創設を提案した。この機能には、規制当局のリスクアセスメントを支援し、新たなリスクを特定して優先順位を付け、リスク執行のベストプラクティスを共有することを目的とした、分野横断的なリスクアセスメント機能が含まれている。この中央機能は、本稿で明らかにされたやや断片的なリスクアセスメントの状況を調整・標準化し、英国における分野横断的なAIアセスメント・エコシステムの発展を支援する可能性を秘めている。
Key takeaways 主な要点
1. There is not a singular, standardised process for assessing the risks or impacts of AI systems (or a common vocabulary), but there are commonly used components: policymakers, regulators and developers will need to consider how these are delivered and tailored. 1. AIシステムのリスクや影響を評価するための唯一で標準化されたプロセス(または共通の語彙)は存在しないが、一般的に使用される構成要素は存在する:政策立案者、規制当局、開発者は、これらをどのように提供し、調整するかを検討する必要がある。
2. Risk and impact assessment methods typically involve five components: risk identification, risk prioritisation, risk mitigation planning, risk monitoring and communicating risks. The main differences between components are in how they are achieved, the actors involved, the scope of impacts considered and the extent of accountability. 2. リスクと影響のアセスメント手法には、通常5つの要素が含まれる: リスクの特定、リスクの優先順位付け、リスク低減計画、リスクのモニタリング、リスクのコミュニケーションである。構成要素間の主な違いは、その達成方法、関与する主体、考慮する影響の範囲、説明責任の範囲にある。
3. Policymakers globally are incorporating risk and impact assessments in AI governance regimes and legislation, with the EU, USA, Brazil and Canada mandating assessments for various AI systems. Regulators and policymakers face the challenge of ensuring risk consideration is conducted, acted on and monitored over time, highlighting the need for an ecosystem of assessment methods. 3. 世界の政策立案者は、AIのガバナンス体制や法律にリスクアセスメントやインパクトアセスメントを取り入れている、 EU、米国、ブラジル、カナダでは、様々なAIシステムに対して評価を義務付けている。規制当局や政策立案者は、リスクアセスメントが確実に実施され、実施され、長期にわたってモニタリングされるという課題に直面しており、アセスメント手法のエコシステムの必要性が浮き彫りになっている。
4. Identifying and assessing risks alone does not ensure risks are avoided. AI risk management will require an ecosystem of assessment, assurance and audit, including independent auditing, oversight bodies, ethics review committees, safety checklists, model cards, datasheets and transparency registers, which collectively enable monitoring and mitigation of AI-related risks. 4. リスクの識別とアセスメントだけでは、リスクを確実に回避することはできない。 AIのリスクマネジメントには、独立監査、監視団体、倫理審査委員会、安全性チェックリスト、モデルカード、データシート、透明性登録など、評価、保証、監査のエコシステムが必要であり、これらは総体としてAI関連リスクの監視と低減を可能にする。
5. Ensuring this AI assessment ecosystem is effective will require consensus on risk-assessment standards, supported by incentives for assessing societal risks and case studies showcasing risk-assessment methods in practice. Domain-specific guidance, skilled professionals and strong regulatory capacity can further enhance the ecosystem. Third-party assessors, including civil society, academia and commercial services, will be essential for developing and implementing assessment practices at scale. 5. このAIアセスメント・エコシステムが効果的であることを保証するには、リスクアセスメント標準に関するコンセンサスが必要であり、社会的リスクを評価するためのインセンティブや、リスクアセスメント手法の実践事例を紹介するケーススタディに支えられる必要がある。分野に特化したガイダンス、熟練した専門家、強力な規制能力は、エコシステムをさらに強化することができる。市民社会、学術界、商業サービスを含むサードパーティ・アセッサーは、アセスメント手法を開発し、大規模に実施するために不可欠である。
Research questions 研究課題
・What are the broad areas of risks that AI systems can pose in different contexts (particularly from emerging AI technologies)? ・AIシステム(特に新興AI技術)がさまざまな文脈でもたらしうるリスクには、どのようなものがあるか?
・How should regulators or policymakers respond to different kinds of risks? ・規制当局や政策立案者は、さまざまな種類のリスクにどのように対応すべきか。
・What mechanisms and processes can be used to assess different kinds of risks, including the significance of their potential impact and their likelihood? ・潜在的な影響や可能性の重要性を含め、さまざまな種類のリスクを評価するために、どのようなメカニズムやプロセスを用いることができるのか。
・Whose responsibility (e.g. developer, procurer, regulator) is it to conduct these assessments and evaluations? ・これらの評価や査定は誰の責任(開発者、調達者、規制当局など)で行うのか?
・What are methods for checking, monitoring and mitigating risks through the AI lifecycle? ・AIのライフサイクルを通じてリスクをチェックし、監視し、低減する方法にはどのようなものがあるか?
・What might be needed for an effective assessment ecosystem? ・効果的な評価エコシステムには何が必要だろうか?
To answer these questions, this paper surveys approaches for assessing risks that AI systems pose for people and society – both on the ground within AI project teams, and in emerging legislation. The findings of this report are based on a desk-based review and synthesis of grey and academic literature on approaches to assessing AI risk, alongside analysis of draft regulations that contain requirements for anticipating risk or impacts of AI systems. これらの問いに答えるため、本稿では、AIプロジェクトチームの現場と、新たな法規制の両方において、AIシステムが人々や社会にもたらすリスクをアセスメントするためのアプローチを調査する。本報告書の調査結果は、AIシステムのリスクや影響を予測するための要件を含むドラフト規制の分析とともに、AIリスク評価のアプローチに関する灰色文献および学術文献の机上レビューと統合に基づいている。
Key terms 主な用語
Impact assessment: Impact assessments are evaluations of an AI system that use prompts, workshops, documents and discussions with the developers of an AI system and other stakeholders to explore how a particular AI system will affect people or society in positive or negative ways. These tend to occur in the early stages of a system’s development before it is in use, but may occur after a system has been deployed. 影響評価: 影響評価とは、AIシステムの評価であり、プロンプト、ワークショップ、文書、AIシステムの開発者やその他の利害関係者とのディスカッションなどを用いて、特定のAIシステムが人々や社会にどのようなプラスまたはマイナスの影響を与えるかを探るものである。これらは、システムが使用される前の開発の初期段階で行われることが多いが、システムが導入された後に行われることもある。
Risk assessment: Risk assessments are very similar to impact assessments, but look specifically at the likelihood of harmful outcomes occurring from an AI system. These also tend to occur in the early stages of a system’s development before it is in use, but may occur after a system has been deployed. リスクアセスメント: リスクアセスメントはインパクトアセスメントとよく似ているが、特にAIシステムによって有害な結果が生じる可能性を検討するものである。これも、使用前のシステム開発の初期段階で行われる傾向があるが、システムが配備された後に行われることもある。
Algorithmic audit: Algorithmic audits are a form of external scrutiny of an AI system, or the processes around it, which can be conducted as part of a risk or impact assessment. These can be technical audits of the inputs or outputs of a system; compliance audits of whether an AI development team has completed processes or regulatory requirements; regulatory inspections by regulators to monitor behaviour of an AI system over time; or sociotechnical audits that evaluate the ways in which a system is impacting wider societal processes and contexts in which it is operating. Audits usually occur after a system is in use, so can serve as accountability mechanisms to verify whether a system behaves as developers intend or claim. アルゴリズム監査: アルゴリズム監査は、リスクアセスメントや影響度アセスメントの一環として実施される、AIシステムまたはその周辺のプロセスに対する外部からの精査の一形態である。システムのインプットやアウトプットの技術的な監査、AI開発チームがプロセスや規制要件を完了しているかどうかのコンプライアンス監査、AIシステムの挙動を長期的に監視するための規制当局による規制検査、あるいはシステムが動作しているより広範な社会のプロセスやコンテクストにどのような影響を与えているかを評価する社会技術的な監査などがある。監査は通常、システムが使用された後に行われるため、システムが開発者の意図や主張通りに動作するかどうかを検証する説明責任のメカニズムとして機能する。

 

 

・2023.07.18 Keeping an eye on AI

Keeping an eye on AI AIから目を離さない
Approaches to government monitoring of the AI landscape 政府によるAI監視のガバナンス
Executive summary 要旨
The rapid development and deployment of artificial intelligence (AI) systems has the potential to be transformative for society. Whether its effects are beneficial or harmful, AI comes with an array of challenges that policymakers must navigate. To stay ahead of the curve and make well informed strategic decisions, it is essential that the UK Government possesses accurate and timely information about AI systems and their applications. 人工知能(AI)システムの急速な開発と普及は、社会に変革をもたらす可能性を秘めている。その効果が有益なものであれ有害なものであれ、AIには政策立案者が乗り越えなければならない様々な課題が伴う。曲線の先端に立ち、十分な情報に基づいた戦略的決定を行うためには、英国政府がAIシステムとその応用に関する正確でタイムリーな情報を保有することが不可欠である。
Just as governments closely monitor other sectors to inform policy, a similar approach can be adopted for AI. Consider how governments use inflation statistics to guide economic policymaking, or the creation of COVID-19 dashboards for public health decisions. These examples showcase the ability to aggregate complex data and distil it into actionable insights, which can then be used to shape effective policies. 政府が政策に反映させるために他のセクターを注意深く監視しているように、同様のアプローチをAIにも採用することができる。政府が経済政策立案のためにインフレ統計をどのように利用しているか、あるいは公衆衛生の意思決定のためにCOVID-19ダッシュボードをどのように作成しているかを考えてみよう。これらの例は、複雑なデータを集約し、実行可能な洞察に絞り込む能力を示している。
In the context of AI, effective monitoring could provide crucial insights into the impacts, risks and opportunities of AI systems across different sectors and countries. By examining AI’s influence on areas such as employment and recruitment, finance, healthcare and critical infrastructure, the Government could make decisions that maximise benefits and mitigate potential injustices or harms. For instance, monitoring could reveal the need for new regulations to protect affected persons, or investments in safety research for foundation models. AIの文脈では、効果的なモニタリングによって、さまざまな分野や国にわたるAIシステムの影響、リスク、機会について重要な洞察を得ることができる。雇用・採用、金融、医療、重要インフラなどの分野におけるAIの影響力を調査することで、政府は利益を最大化し、潜在的な不正や害を軽減する決定を下すことができる。例えば、モニタリングによって、影響を受ける人々を保護するための新たな規制や、基盤モデルの安全性研究への投資の必要性が明らかになるかもしれない。
Despite the clear need for comprehensive AI monitoring capabilities, the Government currently lacks the necessary infrastructure and tools to effectively track AI developments. By investing in robust AI monitoring systems, both the Government and the public will be better equipped to make informed decisions, based on high-quality data, about whether to use or trust AI systems. This would create a deeper understanding of the societal impact of the use of AI systems and create a robust base for forward-thinking policies. 包括的なAIモニタリング機能の必要性は明らかであるにもかかわらず、政府は現在、AIの発展を効果的に追跡するために必要なインフラやツールを欠いている。強固なAIモニタリング・システムに投資することで、政府も国民も、AIシステムを利用するか信頼するかについて、質の高いデータに基づき、十分な情報に基づいた意思決定を行うことができるようになる。これにより、AIシステムの利用が社会に与える影響についてより深い理解が得られ、将来を見据えた政策のための強固な基盤が構築されるだろう。
The key question of this paper is: 本稿の重要な問いは以下の通りである:
Given the speed of progress and complexity in AI development and deployment, how can Government source, rapidly synthesise and summarise information about technological capabilities, trends, risks and opportunities in order to make informed, strategic policy decisions? AIの開発・導入における進歩の速さと複雑さを考えると、政府はどのようにして、技術的能力、トレンド、リスク、機会に関する情報を入手し、迅速に統合し、要約して、情報に基づいた戦略的な政策決定を行うことができるのか?
Key takeaways 主な要点
1. There are specific properties of AI systems that the Government should consider measuring and monitoring such as their deployment and governance, and their downstream impacts on individuals and society. This information could include: inputs to AI systems; categorical information about the data and model underlying the AI systems; categorical information about processes or operations followed in development and deployment; direct outputs and outcomes of AI systems; and externalities generated by those outputs and outcomes. 1. AIシステムには、その展開やガバナンス、個人や社会に対する下流への影響など、政府が測定・監視を検討すべき特定の特性がある。 この情報には、AIシステムへのインプット、AIシステムの基礎となるデータやモデルに関するカテゴリー情報、開発・展開のプロセスやオペレーションに関するカテゴリー情報、AIシステムの直接的なアウトプットや成果、アウトプットや成果によって生み出される外部性が含まれる。
2. The Government is well placed to address gaps in the existing monitoring ecosystem. This could be through standardised and mandated disclosure of information from companies, g. on compute; voluntary or statutory sharing of commercially sensitive information; and working with other governments on global comparative monitoring efforts. However, not all this information could or should be collected directly by central Government. Sectoral and cross-cutting regulators will have an essential role in providing contextual information during the gathering and interpretation of quantitative or aggregate data on AI capabilities and risks. 2. 政府は、既存のモニタリング・エコシステムにおけるギャップに対処することができる。これは、企業からの情報開示の標準化・義務化(計算機など)、商業上機微な情報の自主的・法定的共有、世界的な比較モニタリングの取り組みにおける他国政府との協力などを通じて行うことができる。しかし、こうした情報のすべてを中央政府が直接収集できるわけではないし、収集すべきでもない。セクターや分野横断的な規制当局は、AIの能力やリスクに関する定量的・集計的データの収集や解釈の際に、文脈に沿った情報をプロバイダとして提供する上で不可欠な役割を担うことになる。
3. Regulators already have a number of existing mechanisms to ensure that information about the AI landscape is identified and shared with them. This information includes new developments, opportunities and risks with a sector or domain. Possible mechanisms are: standards for model cards and datasheets; regulatory sandboxes or multi-agency advisory services, regulatory inspection and audit; whistleblower protections and rewards; incident reporting; and ombudsmen. 3. 規制当局には、AIの状況に関する情報が特定され、共有されるようにするための既存のメカニズムが既にいくつかある。この情報には、分野や領域に関する新たな進展、機会、リスクなどが含まれる。考えられるメカニズムとしては、モデルカードやデータシートの標準、規制当局のサンドボックスや複数機関による助言サービス、規制当局の検査や監査、内部告発者の保護と報奨、インシデント報告、オンブズマンなどがある。
4. Foundation models present unique challenges for cross-sectoral regulation. If and when AI applications in different sectors become more reliant on foundation models, it will not be efficient for individual regulators to each individually assess and monitor these systems and create multiple, overlapping and potentially conflicting demands on the companies deploying them. One option to address this issue is the creation of a centralised AI regulatory function with institutional relationships with the relevant sectoral or cross-cutting regulators and direct monitoring relationships with developers of foundation models. 4. ファウンデーション・モデルは、分野横断的な規制のためのユニークな課題を提示する。 異なるセクターにおけるAIの応用が基盤モデルへの依存度を高めた場合、個々の規制当局がそれぞれ個別にこれらのシステムを評価・監視することは効率的ではなく、導入企業に対して複数の、重複した、そして潜在的に矛盾する要求を生み出すことになる。この問題に対処するための一つの選択肢は、関連するセクターや分野横断的な規制当局と機構的な関係を持ち、基盤モデルの開発者と直接的な監視関係を持つ、一元化されたAI規制機能の創設である。
5. The UK Government should not delay in building out its internal monitoring capabilities, and should immediately initiate small, focused pilot projects responding to policy challenges. This could include establishing a national-level public repository of the harms, failures and unintended negative consequences of AI systems; building on the Review of the Future of Compute; putting in place Government monitoring, aggregating (and potentially publication) of data on broad compute use and demand trends; and requesting to be informed when frontier AI labs begin large-scale training runs of new models. 5. 英国政府は、内部監視能力の構築を遅らせてはならず、政策課題に対応する小規模で集中的なパイロット・プロジェクトを直ちに開始すべきである。 これには、AIシステムの危害、失敗、予期せぬ悪影響に関する国家レベルの公的レポジトリの設立、「コンピ ューターの将来に関するレビュー」の構築、幅広いコンピュート使用と需要の傾向に関するデータの政府による監視、集計(可能であれば 公表)、フロンティアAIラボが新モデルの大規模な訓練を開始する際の情報提供の要請などが含まれる。
Research questions 研究課題
This paper aims to understand how Government can better measure and monitor developments in the AI landscape, addressing the following research questions: 本稿の目的は、政府がAIの動向をより適切に測定・監視する方法を理解することであり、以下の研究課題に取り組むことである:
・What value can monitoring AI developments provide? ・AI開発のモニタリングはどのような価値をプロバイダに提供できるか?
・What aspects of AI research, development and deployment could be measured? ・AIの研究、開発、展開のどのような側面を測定することができるか?
・How could the Government monitor the AI landscape? ・政府はどのようにAIの状況を監視できるか?
・What are the monitoring gaps in the existing ecosystem that the Government is well placed to fill? ・既存のエコシステムにおけるモニタリングのギャップのうち、政府が埋められるものは何か?
・What mechanisms are there for sectoral and cross-cutting monitoring by individual regulators? ・個々の規制当局による分野別・横断的な監視にはどのような仕組みがあるか?
・How can the Government address the challenges of monitoring across development and deployment of AI foundation models? ・政府は、AI基盤モデルの開発・展開を横断的にモニタリングするという課題にどのように対処できるのか?
This paper provides an analysis of approaches to monitoring developments in the AI landscape and outlines elements of AI systems that the Government could monitor. 本稿では、AIの発展を監視するアプローチの分析を行い、政府が監視できるAIシステムの要素を概説する。
It then analyses existing private and intergovernmental initiatives for systematically monitoring AI development and deployment, and identifies several gaps that the Government is uniquely be able to fill. It then examines approaches to monitoring and responsible disclosure in individual sectors, including sandboxes, incident reporting and horizon scanning. Finally, this paper concludes with a discussion of how these approaches could be complicated by the introduction of general-purpose AI systems and future questions that need to be explored. 次に、AIの開発と展開を体系的にモニタリングするための既存の民間および政府間のイニシアティブを分析し、政府が独自に埋めることのできるいくつかのギャップを特定する。続いて、サンドボックス、インシデント報告、ホライズン・スキャンなど、各分野におけるモニタリングと責任ある情報開示へのアプローチを検証する。最後に、これらのアプローチが汎用AIシステムの序文によってどのように複雑化しうるか、また今後検討すべき課題について考察し、本稿を締めくくる。
Key terms 主要用語
Measurement is the collection of information that reduces (expected) uncertainty about a given topic. This requires deciding what information needs to be collected and how to best gather or collect it.1 測定とは、与えられたトピックに関する(予想される)不確実性を低減する情報の収集である。そのためには、どのような情報を収集する必要があるのか、また、どのように収集するのが最適なのかを決定する必要がある1。
Monitoring is the process of operationalising measurement over time and entails systemically and continually gathering measurements in a common format.2 Monitoring  allows for tracking changes over time and for that information to be aggregated and integrated in policymaking. モニタリングは、測定値を長期的に運用するプロセスであり、体系的かつ継続的に共通のフォーマットで測定値を収集することを必要とする2。モニタリングによって経年変化を追跡し、その情報を集約して政策立案に反映させることができる。

Ex ante mechanisms are forward-looking regulatory tools that take effect before an AI system is deployed and impacts users and affected people. Examples of ex-ante mechanisms include regulatory sandboxes which allow companies and regulators to test AI products in a real-world environment before they enter the market. 事前的メカニズムとは、AIシステムが導入され、利用者や影響を受ける人々に影響を与える前に効力を発揮する、将来を見据えた規制手段である。事前規制の例としては、企業や規制当局がAI製品を市場に投入する前に現実の環境でテストすることを可能にする規制のサンドボックスなどがある。
Ex post mechanisms are backwards-looking regulatory tools that take effect after an AI system is deployed. These include regulatory inspection and auditing methods, in which an AI system is evaluated and tested by a regulator for compliance with a particular law or regulation. 事後的メカニズムとは、AIシステムが導入された後に効力を発揮する、後ろ向きの規制ツールである。これには、AIシステムが特定の法律や規制を遵守しているかどうかを規制当局が評価・テストする、規制当局の検査・監査手法が含まれる。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

英国のAI規制...

2023.07.20 英国 Ada Lovelace 協会 英国のAI規制、AIリスクなど4つの報告書

・2023.07.18 英国 科学技術省データ倫理・イノベーションセンターブログ AI保証の専門家が他の領域から学ぶべき6つの教訓 (2023.07.12)

・2023.07.09 英国 著作権と人工知能 (AI) に関する実施規範をつくるようですね。。。(2023.06.29)

・2023.07.07 英国 Ada Lovelace 協会 AIサプライチェーンにおける説明責任の分担 (2023.06.29)

・2023.06.19 英国 科学技術省データ倫理・イノベーションセンター 「AIシステムをより公平にするために、人口統計データへの責任あるアクセスを可能にする」

・2023.06.18 英国 科学技術省データ倫理・イノベーションセンター AI保証事例集 (2023.06.07)

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

 

2023.04.01 英国 意見募集 AI規制白書

 

・2023.03.10 英国 ICO Blog 国際女性デーに向けて...AIによる差別への対処が重要な理由

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

 

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

・2022.10.29 英国 ICO 雇用慣行とデータ保護:労働者の健康情報案に関するコンサルテーション (2022.10.27)

・2022.09.25 英国 Ada Lovelace 協会 欧州におけるAI責任:EUのAI責任指令の先取り

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2021.06.22 人工知能技術に芸術と人文科学はどのように貢献できるか? by John Tasioulas(オックスフォード大学のAI倫理研究所所長)

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

 

| | Comments (0)

IPA 重要情報を扱うシステムの要求策定ガイド

こんにちは、丸山満彦です。

IPAが、経済産業省の要請をうけて、重要情報を扱うシステムの要求策定ガイドを策定し、公表していますね。。。

「管理者が「自律性」と「利便性」の双方を両立したシステムの要求仕様を策定できるようガイドを定めました。」とのことです。。。

レジリエンス (resilience)という言葉がでてきていないですが、世界的な潮流を踏まえて、レジリエンス、、、という言葉はつかっていったほうがよいかもしれません。

 

1_20230720053301

 

利便性の確保と自律性の確保...

利便性の確保
ビジネス :変化し続けるビジネス環境への対応力の確保
技術 :進化し続けるシステム技術環境への対応力の確保

自律性の確保
ガバナンス:国際環境やビジネス環境、技術環境の変化の中で、扱うデータや管理するシステムの安定化に向けた統制力の確保
・・データの機密性・完全性・可用性確保のための項目
・・運用の完全性・可用性確保のための項目
・・ソフトウェアの完全性・可用性確保のための項目
・・ハードウェアの完全性・可用性確保のための項目
・・データセンター・通信の完全性・可用性確保のための項目

 

 

・[PDF] 重要情報を扱うシステムの要求策定ガイド Ver. 1.0

20230720-54047

 

目次...

1.重要情報を扱うシステムの要求策定ガイドについて
1.1 重要情報を扱うシステムに求められること
1.2 本ガイドの目的と位置づけ
1.3 本ガイドの利用シーンとステークホルダー
1.4 要求項目の整理の考え方
1.5 本ガイドのスコープと将来に向けたロードマップ

2.本ガイドの利用方法
2.1 要求項目策定の考え方
 2.1.1 要求項目の策定ステップ
 2.1.2 システムの特性評価方法
 2.1.3 問題・リスクの選定方法
 2.1.4 必要な対策の選定方法
2.2 自律性確保のための要求項目一覧
2.3 利便性確保のための要求項目一覧

3..データ連携における留意点
3.1 データ連携における留意点

4.補足資料
4.1 対象システムの例
4.2 サービスの安定供給を阻害するリスク
4.3 用語一覧

参考資料一覧

 

| | Comments (0)

2023.07.19

米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

こんにちは、丸山満彦です。

ついに米国でも大統領令 (EO) 14028ですることになった消費者向けIoT製品のセキュリティ認証制度が始まるようですね。。。

名称は、サイバートラスト・マーク。。。

2024年後半?開始予定のようです。。。

クライテリア (Criteria)  は、NISTが策定することになっていますね。。。

マークはこんな感じのようです。。。上から、

アクア、グリーン、レッド、ブラック、ホワイト...

1_20230719051401

 

 

すでに欧州ではドイツが制度を開始していますよね。。。そして、シンガポール、フィンランド。。。英国も1年後に開始予定。そして、米国も...

日本では、一般社団法人 重要生活機器連携セキュリティ協議会 (CCDS)という民間団体がすでに認証制度を開始していますが、国としての制度設計は今、まさに経済産業省検討中のところ...

グローバルに調和のとれた制度になってほしいですね。。。

 

White House

・2023.07.18 Biden-⁠Harris Administration Announces Cybersecurity Labeling Program for Smart Devices to Protect American Consumers

Biden-⁠Harris Administration Announces Cybersecurity Labeling Program for Smart Devices to Protect American Consumers バイデン-ハリス政権、米国消費者保護のためスマート機器のサイバーセキュリティ表示プログラムを発表
Leading electronics and appliance manufacturers and retailers make voluntary commitments to increase cybersecurity on smart devices, help consumers choose products that are less vulnerable to cyberattacks. 大手電子機器・家電メーカーと小売業者は、スマート・デバイスのサイバーセキュリティを向上させ、消費者がサイバー攻撃に対して脆弱性の少ない製品を選択できるよう、自主的な取り組みを行う。
“U.S. Cyber Trust Mark” is the latest in a series of actions President Biden and the Biden-Harris Administration have taken to protect hard-working families. 米国サイバートラストマーク は、バイデン大統領とバイデン-ハリス政権が勤勉な家庭を守るために取った一連の行動の最新版である。
The Biden-Harris Administration today announced a cybersecurity certification and labeling program to help Americans more easily choose smart devices that are safer and less vulnerable to cyberattacks. The new “U.S. Cyber Trust Mark” program proposed by Federal Communications Commission (FCC) Chairwoman Jessica Rosenworcel would raise the bar for cybersecurity across common devices, including smart refrigerators, smart microwaves, smart televisions, smart climate control systems, smart fitness trackers, and more. This is the latest example of President Biden’s leadership on behalf of hard-working families—from cracking down on hidden junk fees, to strengthening cyber protections and protecting the privacy of people in their own homes.  バイデン-ハリス政権は本日、米国人がより安全でサイバー攻撃に対する脆弱性の少ないスマート機器をより簡単に選択できるよう、サイバーセキュリティ認証とラベリング・プログラムを発表した。連邦通信委員会(FCC)のジェシカ・ローゼンウォーセル委員長が提案した新しい「U.S. Cyber Trust Mark」プログラムは、スマート冷蔵庫、スマート電子レンジ、スマートテレビ、スマート空調システム、スマート・フィットネス・トラッカーなど、一般的な機器のサイバーセキュリティの水準を引き上げるものである。これは、隠れたジャンク料金の取り締まりから、サイバー防御の強化、自宅でのプライバシー保護に至るまで、勤勉な家庭のためにバイデン大統領がリーダーシップを発揮している最新の例である。 
Several major electronics, appliance, and consumer product manufacturers, retailers, and trade associations have made voluntary commitments to increase cybersecurity for the products they sell.  Manufacturers and retailers announcing support and commitments today to further the program include Amazon, Best Buy, Google, LG Electronics U.S.A., Logitech, and Samsung Electronics. Under the proposed new program, consumers would see a newly created “U.S. Cyber Trust Mark” in the form of a distinct shield logo applied to products meeting established cybersecurity criteria. The goal of the program is to provide tools for consumers to make informed decisions about the relative security of products they choose to bring into their homes. いくつかの主要な電子機器、家電製品、消費者製品メーカー、小売業者、業界団体は、販売する製品のサイバーセキュリティを強化するために自主的なコミットメントを行った。  本日、このプログラムを推進することを表明したメーカーや小売業者には、アマゾン、ベスト・バイ、グーグル、LGエレクトロニクスU.S.A.、ロジテック、サムスン電子が含まれる。提案されている新プログラムの下では、消費者は、確立されたサイバーセキュリティ基準を満たす製品に、明確なシールドロゴの形で新たに作成された「U.S. Cyber Trust Mark」を目にすることになる。このプログラムの目的は、消費者が自分の家に持ち込む製品の相対的なセキュリティについて、十分な情報を得た上で決断できるようなツールを提供することである。
Acting under its authorities to regulate wireless communication devices, the FCC is expected to seek public comment on rolling out the proposed voluntary cybersecurity labeling program, which is expected to be up and running in 2024. As proposed, the program would leverage stakeholder-led efforts to certify and label products, based on specific cybersecurity criteria published by the National Institute of Standards and Technology (NIST) that, for example, requires unique and strong default passwords, data protection, software updates, and incident detection capabilities. FCCは、無線通信機器を規制する権限に基づき、サイバーセキュリティに関する自主的なラベル付けプログラムを2024年に開始する予定である。提案されているように、このプログラムは、例えば、ユニークで強力なデフォルトパスワード、データ保護、ソフトウェアアップデート、インシデント検出機能などを要求する国立標準技術研究所(NIST)が公表した特定のサイバーセキュリティ基準に基づいて、製品の認証とラベル付けを行う関係者主導の取り組みを活用するものである。
Today, the FCC is applying to register a national trademark with the U.S. Patent and Trademark Office that would be applied to products meeting the established cybersecurity criteria. The Administration—including the Cybersecurity and Infrastructure Security Agency—would support the FCC in educating consumers to look for the new label when making purchasing decisions, and encouraging major U.S. retailers to prioritize labeled products when placing them on the shelf and online. 今日、FCCは、確立されたサイバーセキュリティ基準を満たす製品に適用される国家商標を米国特許商標庁に登録申請している。サイバーセキュリティ・インフラセキュリティ庁を含む当政権は、消費者が購入を決定する際にこの新しいラベルを探すようFCCを支援し、米国の大手小売業者がラベル付き製品を優先的に棚やオンラインに並べるよう奨励する。
To further enhance transparency and competition: 透明性と競争をさらに強化する:
The FCC intends the use a QR code linking to a national registry of certified devices to provide consumers with specific and comparable security information about these smart products. Working with other regulators and the U.S. Department of Justice, the Commission plans to establish oversight and enforcement safeguards to maintain trust and confidence in the program. FCCは、これらのスマート製品に関する具体的かつ比較可能なセキュリティ情報を消費者に提供するため、認証された機器の全国登録簿にリンクするQRコードを使用する意向である。FCCは、他の規制当局や司法省と協力して、このプログラムに対する信頼と信用を維持するための監視と執行のセーフガードを確立する計画である。
NIST will also immediately undertake an effort to define cybersecurity requirements for consumer-grade routers—a higher-risk type of product that, if compromised, can be used to eavesdrop, steal passwords, and attack other devices and high value networks. NIST will complete this work by the end of 2023, to permit the Commission to consider use of these requirements to expand the labeling program to cover consumer grade routers. NISTはまた、コンシューマーグレードのルーターに対するサイバーセキュリティ要件を定義する作業にも直ちに着手する予定である。この種の製品はリスクが高く、もし侵害されれば、盗聴、パスワードの窃盗、他の機器や高価値ネットワークへの攻撃に利用される可能性がある。NISTはこの作業を2023年末までに完了させ、欧州委員会がこれらの要件を利用して、消費者グレードのルーターを対象とする表示プログラムの拡大を検討できるようにする。
The U.S. Department of Energy today also announced a collaborative initiative with National Labs and industry partners to research and develop cybersecurity labeling requirements for smart meters and power inverters, both essential components of the clean, smart grid of the future. また、米国エネルギー省は本日、将来のクリーンでスマートな送電網に不可欠なスマートメーターと電力インバーターのサイバーセキュリティ表示要件を研究開発するため、国立研究所および業界パートナーとの共同イニシアティブを発表した。
Internationally, the U.S. Department of State is committed to supporting the FCC to engage allies and partners toward harmonizing standards and pursuing mutual recognition of similar labeling efforts. 国際的には、米国務省は、FCCが同盟国やパートナーを巻き込み、標準の調和を図り、同様のラベリング努力の相互承認を追求することを支援することにコミットしている。
This new labeling program would help provide Americans with greater assurances about the cybersecurity of the products they use and rely on in their everyday lives. It would also be beneficial for businesses, as it would help differentiate trustworthy products in the marketplace. この新しいラベリング・プログラムは、米国人が日常生活で使用し、依存している製品のサイバーセキュリティについて、より大きな保証を提供するのに役立つだろう。また、信頼できる製品を市場で差別化することができるため、企業にとっても有益である。
As part of the development of the program, the Biden-Harris Administration and FCC will continue to engage stakeholders, regulators, and Congress to fully implement this program and work together to keep Americans safe. プログラム開発の一環として、バイデン-ハリス政権とFCCは、関係者、規制当局、議会を巻き込み、このプログラムを完全に実施し、米国人の安全を守るために協力していく。
Participants in today’s announcement include: Amazon, Best Buy, Carnegie Mellon University, CyLab, Cisco Systems, Connectivity Standards Alliance, Consumer Reports, Consumer Technology Association, Google, Infineon, the Information Technology Industry Council, IoXT, KeySight, LG Electronics U.S.A., Logitech, OpenPolicy, Qorvo, Qualcomm, Samsung Electronics, UL Solutions, Yale and August U.S. 本日の発表には、以下の企業が参加している: Amazon、Best Buy、Carnegie Mellon University、CyLab、Cisco Systems、Connectivity Standards Alliance、Consumer Reports、Consumer Technology Association、Google、Infineon、Information Technology Industry Council、IoXT、KeySight、LG Electronics U.S.A.、Logitech、OpenPolicy、Qorvo、Qualcomm、Samsung Electronics、UL Solutions、Yale、August U.S. など。

 

ホワイトハウスで実施された、ラウンドテーブル

・[YouTube] Internet of Things Labeling Initiative

20230723-33428

 

Federal Communication Commission; FCC

・2023.07.18 Rosenworcel Announces Cybersecurity Labeling Program for Smart Devices

・[PDF

20230719-54420

CHAIRWOMAN ROSENWORCEL OUTLINES PROPOSED VOLUNTARY CYBERSECURITY LABELING PROGRAM FOR SMART DEVICES ローゼンウォーセル委員長、スマート機器のサイバーセキュリティ自主表示プログラム案の概要を発表
   “U.S. Cyber Trust Mark” Program Would Help Consumers Make Informed Purchasing Decisions and Encourage Manufacturers to Meet Higher Cybersecurity Standards    「米国サイバートラストマーク」プログラムは、消費者が十分な情報を得た上で購入する際の判断材料となり、製造業者により高いサイバーセキュリティ標準を満たすよう促すものである。
WASHINGTON, July 18, 2023—Federal Communications Commission Chairwoman Jessica Rosenworcel debuted a proposal with her fellow Commissioners to create a voluntary cybersecurity labeling program that would provide consumers with clear information about the security of their Internet-enabled devices, commonly called “Internet of Things” or “smart” devices.  The proposed program—where qualifying products would bear a new U.S Cyber Trust Mark—would help consumers make informed purchasing decisions, differentiate trustworthy products in the marketplace, and create incentives for manufacturers to meet higher cybersecurity standards.  ワシントン2023年7月18日】米連邦通信委員会(FCC)のジェシカ・ローゼンウォーセル委員長は、「IoT」または「スマート」デバイスと呼ばれるインターネット対応機器のセキュリティに関する明確な情報を消費者に提供するため、サイバーセキュリティに関する自主的な表示プログラムを創設する案を、同僚委員とともに発表した。 このプログラムでは、対象となる製品に新たに「U.S. Cyber Trust Mark(米国サイバートラストマーク)」を表示することで、消費者が十分な情報を得た上で購入の意思決定を行い、市場で信頼できる製品を差別化し、メーカーがより高いサイバーセキュリティ基準を満たすためのインセンティブを生み出すことができる。
1_20230719054801
[Image: Copy of the logo the FCC filed for a certification mark with the U.S. Patent and Trademark Office] 画像 FCCが米国特許商標庁に認証マークとして申請したロゴのコピー]。
“Smart devices make our lives easier and more efficient—from allowing us to check who is at the front door when we’re away to helping us keep tabs on our health, remotely adjust the thermostat to save energy, work from home more efficiently, and much more,” said Chairwoman Rosenworcel.  “But increased interconnection also brings increased security and privacy risks.  Today I am proposing that the FCC establish a new cybersecurity labeling program so that consumers will know when devices meet widely accepted security standards.  This voluntary program, which would build on work by the National Institute of Standards and Technology, industry, and researchers, would raise awareness of cybersecurity by helping consumers make smart choices about the devices they bring into their homes, just like the Energy Star program did when it was created to bring attention to energy-efficient appliances and encourage more companies to produce them in the marketplace.”   「スマートデバイスは、私たちの生活をより便利で効率的なものにしてくれる。留守中に誰が玄関にいるかを確認したり、健康状態を把握したり、省エネのためにサーモスタットを遠隔操作で調整したり、在宅勤務をより効率的にしたり、その他多くのことを助けてくれる。 「しかし、相互接続の拡大は、セキュリティやプライバシーのリスクも増大させる。 今日私は、FCCが新しいサイバーセキュリティ表示プログラムを設立し、機器が広く受け入れられているセキュリティ標準に適合していることを消費者が知ることができるようにすることを提案する。 この自主的なプログラムは、国立標準技術研究所、産業界、研究者による研究を基礎とするものであり、消費者が家庭に持ち込む機器について賢い選択をする手助けをすることで、サイバーセキュリティに対する認識を高めることができる。 
The draft proposal, called a Notice of Proposed Rulemaking (NPRM), outlines a voluntary cybersecurity labeling program that would be established under the FCC’s authority to regulate wireless communications devices based on cybersecurity criteria developed by the National Institute of Standards and Technology (NIST).  If the proposal is adopted by a vote of the Commission, it would be issued for public comment, and could be up and running by late 2024.   NPRM(Notice of Proposed Rulemaking)と呼ばれるドラフト案は、国立標準技術研究所(NIST)が策定したサイバーセキュリティ基準に基づいて無線通信機器を規制するFCCの権限に基づいて設立される、自主的なサイバーセキュリティ表示プログラムの概要を示している。 この提案が委員会の投票によって採択されれば、パブリックコメントの募集が開始され、2024年後半には運用が開始される可能性がある。 
The proposal seeks input on issues including the scope of devices for sale in the U.S. that should be eligible for inclusion in the labeling program, who should oversee and manage the program, how to develop the security standards that could apply to different types of devices, how to demonstrate compliance with those security standards, how to safeguard the cybersecurity label against unauthorized use, and how to educate consumers about the program.  The Commission today also unveiled the proposed U.S. Cyber Trust Mark logo, which would appear on packaging alongside a QR code that consumer can scan for further information, pending a certification mark approval by the U.S. Patent and Trademark Office.  この提案では、ラベリングプログラムの対象となるべき米国で販売される機器の範囲、プログラムの監督・管理者、さまざまな種類の機器に適用できるセキュリティ標準の策定方法、セキュリティ標準への準拠を証明する方法、不正使用に対するサイバーセキュリティラベルの保護方法、プログラムに関する消費者への教育方法などの問題について意見を求めている。 このマークは、米国特許商標庁による認証マークの認可が下りるまで、消費者がスキャンして詳細情報を得ることができるQRコードとともにパッケージに表示される。
There are a wide range of consumer Internet of Things (or “IoT”) products on the market that communicate over networks.  These products are made up of various devices, and are based on many technologies, each of which presents a set of security challenges.  According to one third party estimate, there were more than 1.5 billion attacks against IoT devices in the first six months of 2021 alone.  Others estimate that there will be more than 25 billion connected IoT devices in operation by 2030.  The proposal announced today builds on the significant public and private sector work already underway on IoT cybersecurity and labeling, emphasizing the importance of continued partnership so that consumers can enjoy the benefits of this technology with greater confidence in and knowledge of their devices’ security.  消費者向けのモノのインターネット(または「IoT」)製品には、ネットワークを介してコミュニケーションするものが幅広く出回っている。 これらの製品は様々なデバイスで構成され、多くの技術に基づいており、それぞれがセキュリティ上の課題を抱えている。 あるサードパーティーの試算によると、IoTデバイスに対する攻撃は、2021年の最初の半年だけで15億件以上あったという。 また、2030年までに250億台以上のコネクテッドIoTデバイスが稼動するとの予測もある。 本日発表された提案は、IoTサイバーセキュリティとラベリングに関してすでに進められている官民の重要な取り組みを基礎とするもので、消費者がデバイスのセキュリティに対するより高い信頼と知識をもってこの技術の恩恵を享受できるよう、継続的なパートナーシップの重要性を強調している。

 

マークのデザイン等は...

・2023.07.18 Certification Mark – U.S. Cybersecurity Labeling Program for Smart Devices

 

委員長の発言...

REMARKS OF CHAIRWOMAN JESSICA ROSENWORCEL FEDERAL COMMUNICATIONS COMMISSION US CYBERSECURITY LABELING PROGRAM FOR SMART DEVICES EISENHOWER EXECUTIVE OFFICE BUILDING WASHINGTON, DC ジェシカ・ローゼンウォーセル連邦通信委員会委員長の発言 アイゼンハワー行政府ワシントンD.C.
18-Jul-23 18-Jul-23
Good morning.  It’s wonderful to be here with security champions in the government and so many industry experts, too.   おはようございます。 政府のセキュリティ・チャンピオンの皆さん、そして多くの業界の専門家の皆さんとご一緒できて光栄です。 
There are now so many new devices—from smart televisions and thermostats to home security cameras, baby monitors, and fitness trackers—that are connected to the internet.  These technologies provide huge benefits because they can make our lives easier and more efficient.  They allow us to do things like check who is at the front door when we are away, keep tabs on our health, and automatically adjust the thermostat, so we save on our energy bills.  スマートテレビやサーモスタットから、ホームセキュリティカメラ、ベビーモニター、フィットネストラッカーに至るまで、インターネットに接続された新しいデバイスが数多く登場しています。 これらのテクノロジーは、私たちの生活をより簡単で効率的なものにするため、大きなメリットをプロバイダにもたらします。 例えば、留守中に誰が玄関にいるかを確認したり、健康状態を把握したり、サーモスタットを自動調節して光熱費を節約したりすることができます。
But this increased interconnection brings more than just convenience.  It brings increased security risk.  After all, every device connected to the internet is a point of entry for the kind of cyberattacks that can take our personal data and compromise our safety.  That is true for the biggest connections to the largest businesses and the smallest connections to the devices in our homes.   しかし、このような相互接続の増加は、利便性だけではありません。 セキュリティ・リスクの増大です。 結局のところ、インターネットに接続されたすべてのデバイスは、個人データを盗み出し、私たちの安全を脅かすサイバー攻撃の侵入口となるのです。 これは、大企業への最大の接続でも、家庭内の機器への最小の接続でも同じです。 
Let me give you an example.  This is from a story about cybercrime told by the author Misha Glenn.  It involves a bank, which like most institutions in the modern economy, understood the vulnerabilities of digital age activity.  In fact, they spared no expense when it came to cybersecurity.  They carefully assessed the risks of their operation and spent liberally to ensure the secure transfer of funds.  In the process, they convinced themselves that their comprehensive efforts had made them just about invincible.  Of course, pride often comes just before the fall.  Because despite their best efforts, it didn’t take long for a hacker to find a vulnerability.  It wasn’t in the bank’s systems for transactions, deposits, or accounts.  It was in a vending machine at headquarters that was filled with chocolate bars.  The vending machine had its own IP address.  But the bank neglected to put it on the system for automated software patching updates.  After all, when you plan for security updates, the machine where you drop your spare coins for something sweet to keep you going when working late is unlikely to be the focus of your efforts.  But that was all it took for this bank to be penetrated.  A single vending machine packed with chocolate. 例を挙げましょう。 これは、作家のミーシャ・グレンが語ったサイバー犯罪に関する話です。 現代経済におけるほとんどの機構がそうであるように、銀行もデジタル時代の活動の脆弱性を理解していました。 実際、サイバーセキュリティに関しては、出費を惜しみませんでした。 慎重にリスクをアセスメントし、安全な資金移動のために惜しみなく資金を投入しました。 その過程で、彼らは自分たちの包括的な努力によって無敵に近い状態になったと確信したのです。 もちろん、慢心はしばしば転落の直前に訪れるもの。 なぜなら、彼らの最善の努力にもかかわらず、ハッカーが脆弱性を見つけるのに時間はかからなかったからです。 それは銀行の取引、預金、口座のシステムにはありませんでした。 本部にあるチョコレート・バーの自動販売機にあったのです。 その自動販売機には独自のIPアドレスがありました。 しかし、銀行は自動ソフトウェア・パッチ・アップデートのシステムにその自動販売機を入れるのを怠っていたのです。 結局のところ、セキュリティ・アップデートを計画する際、残業中に甘いものを買うために小銭を入れる自動販売機が、その取り組みの焦点になることはまずないのです。 しかし、この銀行が侵入されるのに必要だったのはそれだけだったのです。 チョコレートが詰まった一台の自動販売機。
I love this story because it is a reminder that so much is now connected in our lives.  This is true in businesses—like banks—but it is increasingly true for all of us at home, too.  All of those new home security cameras, connected thermostats, and fitness trackers add up.  In fact, right now there are an estimated 17 billion smart devices in the world.  And we are just getting started.  Because the number of smart devices is growing fast.  In fact, we expect to see 25 billion smart devices by the end of the decade.  And cyberattacks on these devices are growing.  They can make us wary of bringing smart devices into our lives, and missing out on the convenience and opportunity they provide. この話が好きなのは、私たちの生活の中で多くのことがつながっていることを思い出させてくれるからです。 これは銀行のようなビジネスにおいても言えることですが、家庭においてもますますそうなってきています。 新しい家庭用セキュリティカメラ、コネクテッド・サーモスタット、フィットネス・トラッカーなど、すべてがつながっています。 実際、現在世界には推定170億台のスマート・デバイスがあります。 そして、私たちはまだ始まったばかりです。 なぜなら、スマート・デバイスの数は急速に増えているからです。 実際、10年後までには250億台のスマートデバイスが登場すると予想されています。 そして、これらのデバイスに対するサイバー攻撃は増加の一途をたどっています。 このようなサイバー攻撃は、私たちの生活にスマートデバイスを持ち込むことを躊躇させ、スマートデバイスが提供する利便性やチャンスを逃すことになりかねません。
But it doesn’t have to be this way.  Because we can do more to make internet of things devices secure and help consumers make good choices about what they bring into their homes and businesses.   しかし、このようになる必要はありません。 なぜなら、モノのインターネット・デバイスを安全にし、消費者が家庭やビジネスに持ち込むものを適切に選択できるようにするために、私たちはもっとできることがあるからです。 
In fact, a lot of people here today have been hard at work developing solutions.  For years, my colleagues at NIST have been developing security criteria for smart devices.  And last year, I had the opportunity to join many of you, along with NIST, for a discussion at the White House about how we can come together to improve security for smart devices and help consumers understand what they are purchasing.   実際、今日ここにいる多くの人々が、懸命にソリューションを開発してきました。 何年もの間、NISTの同僚たちはスマート・デバイスのセキュリティ基準を開発してきました。 そして昨年、私はNISTとともにホワイトハウスで、スマート・デバイスのセキュリティを改善し、消費者が何を購入しようとしているのかを理解できるようにするために私たちがどのように協力できるかについて、多くの皆さんと議論する機会を得ました。 
I left that conversation energized.  So now I want to tell you how we are going to turn that energy into action.   私はこの話し合いで元気をもらいました。 そこで今、私たちがそのエネルギーをどのように行動に移していくかをお話ししたいと思います。 
Today, I put before my colleagues at the Federal Communications Commission a proposal to put in place the first-ever voluntary cybersecurity labeling program for connected smart devices.  We are calling it the U.S. Cyber Trust Mark.  And just like the “Energy Star” logo helps consumers know what devices are energy efficient, the Cyber Trust Mark will help consumers make more informed purchasing decisions about device privacy and security.  So when you need a baby monitor or new home appliance, you will be able to look for the Cyber Trust Mark and shop with greater confidence.  What’s more, because we know devices and services are not static, we are proposing that along with the mark we will have a QR code that provides up-to-date information on that device.   本日、私は連邦コミュニケーション委員会の同僚たちに、接続されたスマート・デバイスのための、史上初の自主的サイバーセキュリティ表示プログラムを導入する提案を行いました。 私たちはこれを「米国サイバートラストマーク」と呼んでいます。 エナジースター」のロゴが、消費者がどの機器がエネルギー効率に優れているかを知るのに役立つように、サイバートラストマークは、消費者が機器のプライバシーとセキュリティについて、より多くの情報を得た上で購入を決定するのに役立ちます。 そのため、ベビーモニターや新しい家電製品が必要になったとき、サイバートラストマークを探して、より安心して買い物をすることができるようになります。 さらに、私たちはデバイスやサービスが固定的なものではないことを知っているため、マークとともに、そのデバイスに関する最新情報を提供するQRコードを用意することをプロバイダに提案しています。 
This proposal builds on good work already done by government and industry because we will rely on the NIST-recommended criteria for cybersecurity to set the Cyber Trust Mark program up.  That means we will use criteria device manufacturers already know, and, when they choose to meet these standards, they will be able to showcase privacy and security in the marketplace by displaying this mark.  Over time, we hope more companies will use it—and more consumers will demand it.   この提案は、政府と産業界がすでに行っている優れた取り組みの上に成り立っています。というのも、私たちはサイバートラストマークプログラムを立ち上げるにあたり、NISTが推奨するサイバーセキュリティの基準に依拠するからです。 つまり、デバイスメーカーがすでに知っている標準を使用し、これらの標準を満たすことを選択した場合、このマークを表示することで、プライバシーとセキュリティを市場でアピールすることができます。 やがて、より多くの企業がこのマークを使用するようになり、より多くの消費者がこのマークを求めるようになることを願っています。 
So let’s talk next steps.  If adopted by my colleagues at the agency, we will seek public comment on this proposal.  We will ask for input on how best to establish this voluntary labeling program, the scope of eligible devices, the mechanics of managing this program, how to further develop standards that could apply to different kinds of devices, how to demonstrate compliance with those standards, and how best to educate consumers.   それでは、次のステップについてお話ししましょう。 私の同僚がこの提案を採用した場合、私たちはパブリックコメントを求める予定です。 この自主的な表示プログラムを確立する最善の方法、対象となる機器の範囲、このプログラムを管理する仕組み、さまざまな種類の機器に適用できる標準をさらに開発する方法、その標準への準拠を証明する方法、そして消費者を教育する最善の方法について意見を求めます。 
That is not a small task.  But it’s worth it.  Because the future of smart devices is big.  And even bigger is the opportunity for us to ensure that every consumer, business, and every bank with a vending machine can make smart choices about the connected devices they use.  So let’s get to it. これは小さな仕事ではありません。 しかし、それだけの価値はあります。 なぜなら、スマート・デバイスの未来は大きいからです。 そしてさらに大きなチャンスは、すべての消費者、企業、自動販売機のあるすべての銀行が、使用するコネクテッド・デバイスについて賢い選択ができるようにすることです。 さあ、始めましょう。

 

 


 

情報技術産業協議会の反応...

1_20230723031401

IoTのセキュリティに対しても積極的に取り組んできたし、政策提言もしていましたからね。。。

 

Information Technology Industry Council; ITI

・2023.07.18 ITI: U.S. Cyber Trust Mark is Key to a Safe and Resilient Global IoT Ecosystem

ITI: U.S. Cyber Trust Mark is Key to a Safe and Resilient Global IoT Ecosystem ITI:米国のサイバートラストマークは安全でレジリエンスなグローバルIoTエコシステムの鍵である
WASHINGTON – Today, global tech trade association ITI welcomed the Biden Administration’s unveiling of the U.S. Cyber Trust Mark, a voluntary cybersecurity certification and labeling program designed to make smart devices more secure and less vulnerable to cyberattacks. ITI’s President and CEO Jason Oxman will echo the tech industry’s support of the effort during a roundtable event at the White House today. ワシントン発 - 世界的なハイテク業界団体であるITIは本日、バイデン政権が米国サイバートラストマークを発表したことを歓迎した。このマークは、スマートデバイスの安全性を高め、サイバー攻撃に対する脆弱性を軽減することを目的とした任意のサイバーセキュリティ認証・表示プログラムである。ITIのジェイソン・オックスマン会長兼最高経営責任者(CEO)は、本日ホワイトハウスで開催された円卓会議で、この取り組みに対するハイテク業界の支持を表明した。
Governments around the world are considering adopting cybersecurity labeling as a mechanism to better understand and communicate security features in ICT products and services to facilitate confidence, assurance, and trust in such products and services. Providing end-users with clear information about companies’ adherence to cybersecurity standards and discrete topics such as the security features/functionality in devices or services can foster market competition based on security, build trust, and help end-users fulfill their role in maintaining security. 世界中の政府は、ICT製品やサービスのセキュリティ機能をよりよく理解し、伝えるための仕組みとして、サイバーセキュリティラベルの採用を検討している。企業がサイバーセキュリティ標準を遵守していることや、機器やサービスにおけるセキュリティ機能・特徴といった個別のトピックに関する明確な情報をエンドユーザに提供することは、セキュリティに基づく市場競争を促進し、トラストを構築し、エンドユーザがセキュリティの維持に果たす役割を支援することにつながる。
“As cyberattacks become more sophisticated and dynamic, cybersecurity labels can provide consumers with clear information about the cybersecurity of smart devices ,” said ITI President and CEO Jason Oxman. “The administration’s new U.S. Cyber Trust Mark will play an important role in equipping consumers with the tools necessary to protect themselves while helping to facilitate greater confidence and trust. ITI and our member companies look forward to working with the administration and other stakeholders to promote consumer awareness and foster adoption of the label and advance a safe and resilient Internet of Things (IoT) ecosystem for all consumers.” ITI会長兼CEOのジェイソン・オックスマンは、次のように述べた。「サイバー攻撃がより巧妙でダイナミックになるにつれ、サイバーセキュリティのラベルは、スマート機器のサイバーセキュリティに関する明確な情報を消費者に提供することができる。米国政府の新しいサイバートラストマークは、消費者が自分自身を守るために必要なツールを身につける上で重要な役割を果たすと同時に、より大きな信頼と信用を促進するのに役立つだろう。ITIと会員企業は、消費者の認識を促進し、ラベルの採用を促進し、すべての消費者にとって安全でレジリエンスの高いモノのインターネット(IoT)エコシステムを促進するために、行政やその他の関係者と協力することを楽しみにしている。」
ITI has long been a cybersecurity policy leader worldwide. IoT security, including that of smart devices, and cybersecurity certification and labeling have been top priorities for several years. In recent years, ITI issued three sets of first-of-their-kind policy documents designed to help policymakers and stakeholders better ensure the security of the IoT ecosystem, and how to smartly employ tools such as certification and labeling to advance cybersecurity: IoT Security Policy PrinciplesPolicy Principles for Cybersecurity Certification, and Cybersecurity Labeling: A Guide for Policymakers
.
ITIは長年にわたり、世界のサイバーセキュリティ政策をリードしてきた。スマートデバイスを含むIoTセキュリティとサイバーセキュリティ認証およびラベリングは、数年前から最優先事項となっている。近年、ITIは、政策立案者や利害関係者がIoTエコシステムのセキュリティをより確実にし、サイバーセキュリティを向上させるために認証やラベリングなどのツールを賢く採用する方法を支援することを目的とした、他に類を見ない3組の政策文書を発行した:「 IoTセキュリティ政策原則」、「サイバーセキュリティ認証のための政策原則」、「サイバーセキュリティのラベリング」である: 政策立案者のためのガイド

 

過去の政策提言等

・2021.04.21 ITI Releases First-of-its-Kind Global Policy Recommendations for Cybersecurity Labeling

・2020.09.01 ITI Unveils Policy Principles for Cybersecurity Certification for Global Policymakers

・2020.02.05 ITI Issues Policy Principles to Help Secure and Fortify the Internet of Things

 


 

まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

EU

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

 

| | Comments (0)

世界経済フォーラム (WEF) メタバースにおけるプライバシーと安全性

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が「メタバースにおけるプライバシーと安全性」を公表していますね。。。

この報告書でのメタバースのイメージは、「リアルタイムの交流や活動のための共有デジタル空間の集合体、つまりデジタル世界と物理世界を融合させた連続体」という感じのようです。。。

「2次元(2D)や3次元(3D)の物理的・デジタル的な世界や、臨場感をもって体験できる(半)没入型の環境が相互に接続されたネットワークのこと」と定義していますね。。。

今のところは、ゴーグルといわれているデバイスにより、より深い体験ができるようになっていますが、視覚と聴覚に限られていますね。。。おそらく将来的には、脳に直接信号をおくることにより体験できる世界ということになるでしょうから、そうなると、プライバシーや安全性はより重要となるでしょうね。。。物理的な安全というよりも、精神的な安全。。。

いまは、メタバースへの入り口にたったにすぎない。。。

仮想世界の映画としては、マトリックス[wikipedia]が有名ですが、、、バニラ・スカイ[wikipedia]という映画もありましたね。。。個人的にはかなり後味の悪かった映画で、いまでもこうして思い出してしまいます...(^^;; すでに両方とも20年以上も前の映画なのにね。。。

 

 ● World Economic Forum - Report

・2023.07.17 Privacy and Safety in the Metaverse

Privacy and Safety in the Metaverse メタバースにおけるプライバシーと安全性
The metaverse is expected to reach a value of $1 trillion in the next three years, driven by rapid uptake and technologies like generative AI. メタバースは、急速な普及と生成的AIのような技術に牽引され、今後3年間で1兆ドルの価値に達すると予想されている。
The metaverse is expected to reach a value of $1 trillion in the next three years, driven by rapid uptake and technologies like generative AI. メタバースは、急速な普及と生成的AIのような技術によって、今後3年間で1兆ドルの価値に達すると予想されている。
This report is published under the Defining and Building the Metaverse Initiative, whose goal is to bring together major stakeholders from academia, civil society, government and business to advance consensus and create a metaverse that is economically viable, interoperable, safe, equitable and inclusive. The initiative is divided into two workstreams: governance and economic and social value creation. 本レポートは、学術界、市民社会、政府、ビジネス界から主要なステークホルダーを集め、コンセンサスを促進し、経済的に実行可能で、相互運用可能で、安全で、公平で、包括的なメタバースを創造することを目的とした「メタバースの定義と構築イニシアチブ」のもとで発表された。このイニシアティブは、ガバナンスと経済的・社会的価値創造の2つのワークストリームに分かれている。
In this report, the governance workstream emphasizes the need for worldwide collaboration among various stakeholders, including academics, regulators, policy-makers and design teams, to nurture understanding of the metaverse and establish protective measures. The paper highlights the importance of privacy, responsible data handling and inclusive design. It encourages stakeholders to start discussions about the ethical navigation of the metaverse. 本報告書では、ガバナンスのワークストリームにおいて、メタバースに対する理解を深め、保護手段を確立するために、学者、規制当局、政策立案者、デザインチームなど、さまざまなステークホルダーが世界規模で協力する必要性を強調している。この論文は、プライバシー、責任あるデータの取り扱い、包括的なデザインの重要性を強調している。関係者がメタバースの倫理的なナビゲーションについて議論を始めるよう促している。
An accompanying release from the social value creation workstream presents a holistic understanding of the implications of metaverse adoption on individuals, economies and societies. 社会価値創造ワークストリームからの付随リリースでは、メタバース導入が個人、経済、社会に与える影響について全体的な理解を示している。

 

・[PDF]

20230719-24616

 

目次

Foreword  まえがき 
Executive summary 要旨
Introduction 序文
Key concepts 主要概念
1 New realities 1 新たな現実
2 Privacy and data processing 2 プライバシーとデータ処理
3 Engaging safely 3 安全に関与する
4 Literacy and empowerment 4 リテラシーとエンパワーメント
5 Future technology considerations 5 将来のテクノロジーに関する考察
Conclusion おわりに
Appendices 附属書
Contributors 協力者
Endnotes 巻末資料

 

前書きから主要概念...

Foreword まえがき
The metaverse – a term used for the next iteration of the internet – continues to garner research, development, and investment interest around the world. Recent findings from Accenture indicate that the projected value of the metaverse is expected to reach $1 trillion in the next three years, suggesting that the metaverse is already experiencing wide adoption. Furthermore, recent developments in generative AI will accelerate metaverse creation and growth, with the metaverse, in turn, providing a way for AI to reach consumers. While AI and metaverse announcements may compete for media attention, they are, in fact, partners in this digital evolution.  メタバース(インターネットの次の世代を意味する言葉)は、世界中で研究、開発、投資の関心を集め続けている。アクセンチュアの最近の調査結果によると、メタバースの予測価値は今後3年間で1兆ドルに達すると予想されており、メタバースがすでに広く普及しつつあることを示唆している。さらに、生成的AIにおける最近の開発は、メタバースの創造と成長を加速させ、メタバースは、AIが消費者に到達するための手段を提供する。AIとメタバースの発表はメディアの注目を集めるために競合するかもしれないが、実際には、このデジタル進化におけるパートナーである。
The need to foster international dialogue and develop directional guidance is now more relevant than ever. The previous era of technology taught us that while innovation can be a powerful force for good, it can also exacerbate existing problems and create new ones. Building upon the lessons learned from the development of the early internet, the World Economic Forum convenes thought leaders from the public and private sectors to collaboratively develop insights, strategies, and frameworks to help ensure that the metaverse contributes to economic and social progress while protecting individual rights.  国際的な対話を促進し、方向性を示す指針を策定する必要性は、かつてないほど高まっている。前時代のテクノロジーは、イノベーションが善をもたらす強力な力になる一方で、既存の問題を悪化させ、新たな問題を生み出す可能性もあることを教えてくれた。世界経済フォーラムは、初期のインターネット開発から学んだ教訓に基づき、官民のオピニオンリーダーを招集し、メタバースが個人の権利を保護しつつ、経済的・社会的進歩に確実に貢献するための洞察、戦略、フレームワークを共同で開発している。
This paper is a continuation of the World Economic Forum’s Defining and Building the Metaverse Initiative. In collaboration with Accenture, past outputs from this initiative have delved into the concepts of Interoperability in the Metaverse and Demystifying the Consumer Metaverse.  本稿は、世界経済フォーラムの「メタバースの定義と構築」イニシアティブの続編である。アクセンチュアとの協力の下、このイニシアチブの過去のアウトプットは「メタバースにおける相互運用性」と「消費者メタバースの解明」の概念を掘り下げてきた。
We are pleased to present this second output from the governance track: Metaverse Privacy and Safety. It emphasizes key conversation areas so that the metaverse may be built with human rights, safety and privacy at its core. By presenting these insights, decision-makers are empowered to create a metaverse based on human-first principles that will positively impact individuals and society at large.  我々は、ガバナンス・トラックからの2番目のアウトプットを発表できることを嬉しく思う: メタバースのプライバシーと安全性である。メタバースが人権、安全性、プライバシーを中核として構築されるよう、主要な会話領域を強調している。これらの洞察を提示することで、意思決定者は、個人と社会全体にポジティブな影響を与える人間第一の原則に基づくメタバースを創造する力を与えられる。
Simultaneously, the value creation track of this project has released its second output: Social Implications of the Metaverse. It highlights the potential consequences and new opportunities of metaverse adoption and usage on individuals. These insights should help decision-makers think about technology development from a holistic lens and incentivize outcomes for a thriving and healthy society.  同時に、このプロジェクトの価値創造トラックは2番目のアウトプットを発表した: 「メタバースの社会的意義」である。これは、メタバースの採用と利用が個人にもたらす潜在的な影響と新たな機会を浮き彫りにしている。これらの洞察は、意思決定者が総合的なレンズから技術開発について考え、繁栄した健全な社会のための成果にインセンティブを与えるのに役立つずである。
Creating a metaverse that is not only economically viable, but also equitable, accessible, inclusive, and safe requires consideration of human rights, equality, and sustainability. These two publications are based on the inputs of a global, multistakeholder working group of more than 150 experts from academia, civil society, government, technology and business. The lessons from this process are informing global efforts to help realize the benefits, and mitigate the risks, of the metaverse.  経済的に実行可能であるだけでなく、公平で、利用しやすく、包括的で、安全なメタバースを創造するには、人権、平等、持続可能性を考慮する必要がある。これら2つの出版物は、学界、市民社会、ガバナンス、政府、テクノロジー、ビジネス界から150人以上の専門家が参加した、グローバルなマルチステークホルダー・ワーキンググループのインプットに基づいている。このプロセスから得られた教訓は、メタバースの恩恵を実現し、リスクを軽減するための世界的な取り組みに反映されている。
Executive summary 要旨
The metaverse, a dynamic and interconnected digital realm, holds immense potential to reshape the way we live, work, and interact. As the convergence of augmented reality (AR), virtual reality (VR) and mixed reality (MR) blur the boundaries between physical and (semi-)virtual spaces, it becomes imperative to address privacy and safety concerns to ensure a secure and inclusive metaverse for all participants. This paper serves as a catalyst for stakeholders, promoting dialogue and action in navigating the complexities of privacy and safety in this blended world. ダイナミックで相互接続されたデジタル領域であるメタバースは、私たちの生活、仕事、交流のあり方を再構築する計り知れない可能性を秘めている。拡張現実(AR)、仮想現実(VR)、複合現実(MR)が融合し、物理的空間と(半)仮想空間の境界が曖昧になるにつれ、すべての参加者にとって安全で包括的なメタバースを確保するために、プライバシーと安全性への懸念に対処することが不可欠になっている。本論文は、この融合された世界におけるプライバシーと安全性の複雑さを乗り越えるための対話と行動を促進し、利害関係者の触媒となるものである。
This paper emphasizes the importance of designing human-first experiences that prioritize the privacy and safety of all participants across the following domains: 本稿では、以下の領域にわたって、すべての参加者のプライバシーと安全を優先する人間優先の体験をデザインすることの重要性を強調する:
Blending worlds: Stakeholders should consider the nuances of real-world and online experiences–such as the meaning of real-world privacy vs data privacy, given the power metaverse technologies have in blending reality with digital spaces. This encompasses aspects such as rights, harms, crimes, inclusion and diversity within the metaverse environment. 融合する世界:メタバース・テクノロジーが現実とデジタル空間を融合させる力を持っていることから、関係者は現実世界とオンライン体験のニュアンス、例えば現実世界のプライバシーとデータ・プライバシーの意味などを考慮する必要がある。これは、メタバース環境における権利、危害、犯罪、包摂、多様性といった側面を包含する。
Experience and environment design: Choices made today regarding platform/organizational structure, permissions levels and forum type will shape privacy practices and safety measures of participants in the metaverse. エクスペリエンスと環境デザイン: プラットフォーム/組織構造、権限レベル、フォーラムのタイプに関して現在行われている選択は、メタバースにおける参加者のプライバシー慣行と安全対策を形成する。
Data processing and data privacy measures: Privacy decisions regarding the front and back end of system design play a pivotal role in cultivating trust among its users. Adequate privacy protections must be in place to ensure that individuals feel confident engaging in spatial interactions. Without robust data privacy measures, users may be reluctant to fully embrace the metaverse as a platform for social interaction, commerce and entertainment. データ処理とデータプライバシー対策: システム設計のフロントエンドとバックエンドに関するプライバシーの決定は、ユーザー間の信頼を培う上で極めて重要な役割を果たす。個人が安心して空間的なインタラクションに参加できるようにするためには、適切なプライバシー保護が行われなければならない。強固なデータプライバシー対策がなければ、ユーザーは社会的交流、商取引、娯楽のプラットフォームとしてメタバースを完全に受け入れることに消極的になるかもしれない。
Accessing, onboarding and engaging in metaverse environments and experiences: Carefully architecting how participants access, onboard and engage is essential to delivering privacy by design (PbD) and safety by design (SbD); integral to PbD and SbD, stakeholders must consider inclusivity, accessibility and literacy design specifications. メタバース環境と体験へのアクセス、オンボーディング、エンゲージメント: 参加者がどのようにアクセスし、乗り込み、エンゲージするかを注意深く設計することは、プライバシー・バイ・デザイン(PbD)とセーフティ・バイ・デザイン(SbD)を実現する上で不可欠である。PbDとSbDに不可欠な要素として、関係者は包括性、アクセシビリティ、リテラシー設計仕様を考慮しなければならない。
Spotlight: protecting children in the metaverse: Vulnerable groups deserve special consideration – particularly children. It is imperative to address the unique needs of children to foster a positive and enriching metaverse experience. For example, stakeholders should consider how, when and where children’s interests are supported by parental controls to promote autonomy as they grow by learning, playing and creating online. スポットライト:メタバースにおける子どもの保護: 脆弱性グループ、特に子どもは特別な配慮に値する。ポジティブで豊かなメタバース体験を育むためには、子ども特有のニーズに対応することが不可欠である。例えば関係者は、オンラインで学び、遊び、創造することで成長する子どもの自主性を促進するために、いつ、どこで、どのようにペアレンタルコントロールによって子どもの興味をサポートするかを検討すべきである。
Empowering individuals and communities with metaverse literacy: Establishing and enabling metaverse literacy is fundamental for putting human-first design principles into practice. Literacy efforts should target different education levels, be omnichannel in delivery and be customized to be persona- or demographic- specific to best empower all individuals. メタバース・リテラシーで個人とコミュニティに力を与える: メタバース・リテラシーを確立し可能にすることは、人間優先の設計原則を実践するための基本である。リテラシー向上への取り組みは、さまざまな教育レベルを対象とし、オムニチャネルで提供され、すべての個人に最適な力を与えるために、ペルソナやデモグラフィックに合わせてカスタマイズされるべきである。
Future technology considerations: While reliance on generative AI could build efficiency in populating the metaverse with infrastructure, buildings, art, personas and other objects, there is a safety risk inherent in building parts of the metaverse without responsible AI practices. 将来のテクノロジーに関する考察: 生成的AIに頼ることで、インフラ、建物、アート、ペルソナ、その他のオブジェクトをメタバースに投入する際の効率性を構築できるかもしれないが、責任あるAIの実践なしにメタバースの一部を構築することには、安全性のリスクが内在している。
This paper highlights the importance of global cooperation and collaboration among academics, policy-makers, product design teams and regulators. It calls for a collective effort to establish metaverse literacy programmes and comprehensive frameworks that safeguard the privacy, security and rights of individuals in this dynamic digital environment. 本稿では、学者、政策立案者、製品設計チーム、規制当局の世界的な協力と連携の重要性を強調する。このダイナミックなデジタル環境における個人のプライバシー、セキュリティ、権利を保護するメタバース・リテラシー・プログラムと包括的なフレームワークを確立するための集団的努力を求めるものである。
By highlighting privacy considerations, responsible data practices and inclusive design principles, this paper aims to empower stakeholders start conversations regarding how to navigate the metaverse responsibly and ethically. Through embracing privacy-conscious practices and promoting metaverse literacy, stakeholders can unlock the full potential of the metaverse while ensuring a safe and inclusive future for all. プライバシーへの配慮、責任あるデータ実務、包括的な設計原則を強調することで、本論文は、利害関係者が責任と倫理を持ってメタバースをナビゲートする方法について会話を始める力を与えることを目的としている。プライバシーに配慮した実践を受け入れ、メタバース・リテラシーを促進することで、関係者はメタバースの可能性を最大限に引き出し、同時にすべての人にとって安全で包括的な未来を確保することができる。
Introduction 序文
The next era of the internet is on the horizon, and the “metaverse” analogy has emerged as a vision for its potential future state. Although the definition of the metaverse is continually evolving, it can be described as a collection of shared digital spaces for real-time interaction and activities – a continuum that blends digital worlds with the physical world. This paper will discuss the importance of privacy and safety considerations that can support trust and wellbeing in the metaverse.  インターネットの次の時代は目前に迫っており、「メタバース」というアナロジーは、その潜在的な未来の状態のビジョンとして浮上している。メタバースの定義は絶えず進化しているが、リアルタイムの交流や活動のための共有デジタル空間の集合体、つまりデジタル世界と物理世界を融合させた連続体として説明することができる。本稿では、メタバースにおける信頼とウェルビーイングを支えるプライバシーと安全性への配慮の重要性について論じる。
The metaverse is likely to be composed of a consumer, enterprise and industrial metaverse. The early advancements towards the metaverse can be accessed through existing devices such as traditional desktops, tablets and mobile phones. In the future, however, metaverse experiences may be accessed and supported primarily by extended reality (XR) technologies – including augmented reality (AR), mixed reality (MR), virtual reality (VR) and/or other emerging technologies yet unknown.  メタバースは、コンシューマー、エンタープライズ、インダストリーのメタバースで構成される可能性が高い。メタバースに向けた初期の進歩は、従来のデスクトップ、タブレット、携帯電話といった既存のデバイスからアクセスできる。しかし将来的には、拡張現実(XR)技術(拡張現実(AR)、複合現実(MR)、仮想現実(VR)、および/またはまだ知られていないその他の新興技術を含む)によって、メタバース体験がアクセスされ、主にサポートされるようになるかもしれない。
As noted in the State of Digital Trust report by Information Systems Audit and Control Association (ISACA), 1 82% of survey respondents say digital trust will be even more important in five years than it is today. For the metaverse to become a reality, all metaverse stakeholders – including individuals and businesses – will need to address dimensions of digital trust 2 (see Appendix 1). Digital trust will be paramount to metaverse adoption as it is a critical building block for consumers and enterprises alike to promote a sense of safety and well-being.  ISACA(Information Systems Audit and Control Association)による「デジタルトラストの現状(State of Digital Trust)」レポートでも述べられているように、調査回答者の82%が、デジタルトラストは5年後には現在よりもさらに重要になると答えている。メタバースが現実のものとなるためには、個人や企業を含むすべてのメタバース関係者がデジタルトラストの次元に取り組む必要がある2(附属書1参照)。デジタル・トラストは、消費者にとってもエンタープライズにとっても、安全感と幸福感を促進するための重要なビルディング・ブロックであるため、メタバースの採用にとって最も重要である。
The purpose of this paper is to raise awareness of privacy and safety issues within the metaverse so that privacy by design (PbD) and safety by design (SbD) approaches can be aligned with digital trust dimensions and values such as transparency, accountability, oversight, inclusive design and ethical and responsible use may be upheld. This paper seeks to educate metaverse participants, providers, creators, policy-makers and other stakeholders so that they may prioritize and mitigate potential risks. It is paramount that privacy and safety are considered for all users, both individually and holistically, and discussed with special considerations for vulnerable groups and communities, such as children. As an example, this paper includes a special spotlight on children to showcase unique conversations and risks that require special attention. 本稿の目的は、プライバシー・バイ・デザイン(PbD)とセーフティ・バイ・デザイン(SbD)のアプローチをデジタルトラストの次元と整合させ、透明性、説明責任、監視、包括的デザイン、倫理的で責任ある利用といった価値を維持できるように、メタバースにおけるプライバシーと安全の問題に対する認識を高めることである。本稿は、メタバースへの参加者、プロバイダ、クリエイター、政策立案者、その他のステークホルダーが、潜在的なリスクに優先順位をつけ、軽減できるよう啓蒙することを目的としている。プライバシーと安全性が、すべてのユーザーに対して、個人的にも全体的にも考慮され、子どものような脆弱性のあるグループやコミュニティに対して特別に考慮された上で議論されることが最も重要である。その一例として、本稿では、特に注意が必要なユニークな会話やリスクを紹介するために、子どもにスポットライトを当てている。
Foundational key concepts 基礎となる主要概念
This paper makes frequent mentions of the metaverse, metaverse stakeholders, humanfirst, digital trust, well-being, privacy and safety, defined opposite.  本稿では、メタバース、メタバースステークホルダー、ヒューマンファースト、デジタルトラスト、ウェルビーイング、プライバシー、セーフティについて頻繁に言及している。
While the concepts underlie the discussions in this paper, notions of trust, well-being, privacy and safety should be contextualized to different local regulations, cultures, customs and sensitivities. これらの概念は本稿の議論の根底にあるが、信頼、幸福、プライバシー、安全という概念は、異なる地域の規制、文化、習慣、感性に合わせて文脈化されるべきである。
Metaverse: The metaverse is a network of interconnected two dimensional (2D) and three dimensional (3D) physical and digital worlds and environments of (semi-)immersive nature that can be experienced with a sense of presence. The market is still converging around on a single definition, see Appendix 2 for additional market definitions.  メタバース: メタバースとは、2次元(2D)や3次元(3D)の物理的・デジタル的な世界や、臨場感をもって体験できる(半)没入型の環境が相互に接続されたネットワークのことである。市場はまだ一つの定義に収斂している最中であり、追加の市場定義については附属書2を参照のこと。
Metaverse stakeholders: Metaverse stakeholders: the individuals who engage with and support the metaverse. メタバース利害関係者 メタバース関係者:メタバースに関与し、それをサポートする個人。
 – Providers: The technology, platform and service providers that build the infrastructure and devices for the metaverse.  - プロバイダ: メタバースのインフラやデバイスを構築するテクノロジー、プラットフォーム、サービスのプロバイダ。
 – Creators: Creators make content and experiences for participants on the platforms that providers make available.  - クリエイター: プロバイダが提供するプラットフォーム上で、参加者のためにコンテンツや体験を作る。
 – Participants: Individuals who (will) participate in the experiences that creators make.  - 参加者: クリエイターが作る体験に参加する(予定の)個人。
 – Civil society: Community groups, nongovernmental organizations (NGOs), labour unions, indigenous groups, charitable organizations, faith-based organizations, professional associations and foundations that have a role in public life.  - 市民社会: コミュニティ・グループ、非政府組織(NGO)、労働組合、先住民グループ、慈善団体、信仰に基づく組織、専門家団体、公共生活において役割を持つ財団。
 – Academia: Communities dedicated to research, education and scholarship.  - アカデミア: 研究、教育、学問を専門とするコミュニティ。
 – Government/policy-makers: Members of government responsible for policy-making.   - 政府/政策立案者: 政策立案を担当する政府メンバー。
Human-first metaverse: A metaverse that prioritizes the human needs of the individual and consequently integrates supportive design choices, tools and interactions to respect the persons behind the data. This transcends decisions – from architecture and security to privacy, identity and safety choices. This is an inclusive design philosophy that considers people’s needs as they are, irrespective of geography, cultural identity, ability or age. It strives to be equitable and inclusive of all, not just most.  人間優先のメタバース: 個人のニーズを優先し、その結果、データの背後にある個人を尊重するための支援的なデザインの選択、ツール、インタラクションを統合したメタバース。これは、アーキテクチャやセキュリティからプライバシー、アイデンティティ、安全性の選択に至るまで、意思決定を超越している。これは、地理的、文化的アイデンティティ、能力、年齢に関係なく、ありのままの人々のニーズを考慮する包括的なデザイン哲学である。多くの人だけではなく、すべての人を公平に包含することを目指す。
Metaverse technology: メタバース・テクノロジー:
 – Extended reality (XR): a fusion of all the realities – including augmented reality (AR), virtual reality (VR), and mixed reality (MR) – that consists of technology-mediated experiences enabled via a wide spectrum of hardware and software, including sensory interfaces, applications and infrastructures.  - 拡張現実(XR):拡張現実(AR)、仮想現実(VR)、複合現実(MR)を含むすべての現実の融合であり、感覚的インターフェイス、アプリケーション、インフラストラクチャーを含む広範なハードウェアとソフトウェアによって実現されるテクノロジーを媒介とした体験からなる。
 – Virtual reality (VR): a fully immersive softwaregenerated artificial environment. VR is a simulation of three-dimensional images, experienced by users via special electronic equipment, such as a head-mounted display (HMD). VR can create or enhance characteristics such as presence, embodiment and agency.  - 仮想現実(VR):完全没入型のソフトウェアによる人工環境。VRは3次元映像のシミュレーションであり、ヘッドマウントディスプレイ(HMD)などの特殊な電子機器を介してユーザーが体験する。VRは、臨場感、体現感、主体性といった特徴を創造したり、高めたりすることができる。
 – Mixed reality (MR): seamlessly blends the user’s real-world environment with digitally created content, where both environments can coexist and interact with each other.  - 複合現実感(MR):ユーザーの現実世界環境とデジタルで作成されたコンテンツをシームレスに融合させ、両環境を共存させ、相互に作用させることができる。
 – Augmented reality (AR): overlays digitally created content on top of the user’s real-world environment, viewed through a device (such as a smartphone) that incorporates real-time inputs to create an enhanced version of reality.   - 拡張現実(AR):ユーザーの現実世界の環境の上にデジタルで作成されたコンテンツを重ね合わせ、リアルタイムの入力を組み込んだデバイス(スマートフォンなど)を通して見ることで、現実の拡張版を作成する。
Metaverse environment: Also known as immersive virtual environments (IVEs),9 these are (semi-) immersive spaces hosted on a given platform. メタバース環境: 没入型仮想環境(IVE)9 とも呼ばれ、特定のプラットフォーム上でホストされる(半)没入型空間である。
Metaverse experience: The activities, engagement, transactions etc. enabled across metaverse environments.10  メタバース体験: メタバース環境全体で可能になる活動、関与、取引など10。
Privacy:11 Privacy is defined as the right of an individual or entity to manage and maintain control over and confidentiality of information and data about itself, and to make choices on how that data is used and shared; the freedom from interference in one’s personal affairs.  プライバシー:11 プライバシーとは、個人または事業体が自分自身に関する情報やデータを管理・維持し、機密性を保持し、そのデータをどのように利用・共有するかを選択する権利、すなわち個人的な事柄に対する干渉を受けない自由と定義される。
Safety:12 Safety is the state achieved by taking actions to prevent and reduce harms. Metaverse safety includes driving responsible platform design and governance, designing tools to empower individuals to moderate their online experiences, and mitigating illegal or harmful content and conduct. It is important to acknowledge that digital safety requires a complex range of deliberations, balancing legal, policy, ethical, social and technological considerations.  安全性:12 安全性とは、危害を予防し、軽減するための行動をとることによって達成される状態である。メタバースの安全性には、責任あるプラットフォームの設計とガバナンスを推進すること、個人のオンライン体験を節度あるものにするためのツールを設計すること、違法または有害なコンテンツや行為を低減することが含まれる。デジタル・セーフティは、法的、政策的、倫理的、社会的、技術的な考慮のバランスをとりながら、複雑な範囲の検討を必要とすることを認識することが重要である。
Digital trust:13 Digital trust is an individual’s expectation that digital and virtual technologies and services – and the organizations providing them – will protect all stakeholders’ interests and uphold societal expectations and values. For more on digital trust, see the work by the World Economic Forum, Earning Digital Trust.  デジタルの信頼:13 デジタルの信頼とは、デジタルとバーチャルのテクノロジーとサービス、そしてそれらをプロバイダとして提供する組織が、すべての利害関係者の利益を守り、社会の期待と価値を支持するという個人の期待のことである。デジタルの信頼については、世界経済フォーラム(World Economic Forum)の「Earning Digital Trust」を参照されたい。
Well-being:14 Well-being is a sense of health, vitality and happiness that arises from a person’s thoughts, emotions and actions. ウェルビーイング:14 ウェルビーイングとは、人の思考、感情、行動から生じる健康、活力、幸福感のことである。

1.            ISACA, New Digital Trust Research Reveals Gaps, Benefits and Key Takeaways for Future Digital Transformations [Press release],  15 September 2022, https://www.isaca.org/ why-isaca/about-us/newsroom/pressreleases/2022/new-digital-trust-researchreveals-gaps-benefits-and-key-takeaways.

2.            World Economic Forum, Earning Digital Trust: Decision-Making for Trustworthy Technologies, 2022, https://www3.weforum.org/docs/WEF_ Earning_Digital_Trust_2022.pdf.

3.            “Universal Declaration of Human Rights”,  United Nations, 1948, https://www.un.org/en/ about-us/universal-declaration-of-human-rights.

4.            United Nations, Guiding Principles on Business and Human Rights, 2011, https://www.ohchr.org/ sites/default/files/documents/publications/ guidingprinciplesbusinesshr_en.pdf.

5.            World Economic Forum, Global Principles on Digital Safety: Translating International Human Rights for the Digital Context, 2023, https://www.weforum.org/whitepapers/ global-principles-on-digital-safety-translatinginternational-human-rights-for-the-digitalcontext/.

6.            “Article 12 of the Universal Declaration of Human Rights”, United Nations, 1948,  https://www.un.org/en/about-us/universaldeclaration-of-human-rights.

7.           “Responsible innovation”, UK Research and Innovation, 10 May 2023, https://www.ukri.org/ about-us/policies-standards-and-data/ good-research-resource-hub/responsibleinnovation/#:~:text=For%20researchers%2C%20 responsible%20innovation%20is,consequences.

8.            Price, Matthew, “Part 1: From HumanCentric Design to Human-First Design in the Metaverse”, Medium, 3 April 2023,  https://medium.com/@matthewpricephd/part1-from-human-centric-design-to-human-firstdesign-in-the-metaverse-bad99598488a.

9.            Neo, Jun Rong Jeffery, Andrea Stevenson Won and Mardelle McKuskey Shepley, “Designing Immersive Virtual Environments for Human Behavior Research”, Frontiers in Virtual Reality, vol. 2, 2021, https://doi.org/10.3389/ frvir.2021.603750.

10.         Radoff, John, “The Experiences of the Metaverse”, Medium, 27 May 2021, https://medium.com/ building-the-metaverse/the-experiences-of-themetaverse-2126a7899020.

11.         “What does privacy mean?”, iapp, n.d.,  https://iapp.org/about/what-is-privacy/.

12.         “SAFETY Definition & Legal Meaning”,  The Law Dictionary, n.d.,  https://thelawdictionary.org/safety/.

13.         “Digital Trust”, World Economic Forum, n.d., https://initiatives.weforum.org/digital-trust/about.

14.         “Promoting well-being”, World Health Organization, n.d., https://www.who.int/ activities/promoting-well-being.

 


 

ちなみに、あわせて「メタバースの社会的意義」というものも公表されています。。。

 

・2023.07.17 Social Implications of the Metaverse

Social Implications of the Metaverse メタバースの社会的意味
The metaverse is projected to amass a staggering value of $1 trillion over the next three years, indicating rapid adoption and acceleration through technologies such as generative AI. メタバースは、今後3年間で1兆ドルという驚異的な価値を集めると予測されており、生成的AIなどのテクノロジーによって急速に普及・加速することを示している。
This report is published under the Defining and Building the Metaverse Initiative, whose goal is to bring together major stakeholders from academia, civil society, government and business to advance consensus and create a metaverse that is economically viable, interoperable, safe, equitable and inclusive. The initiative is divided into two workstreams: governance and economic and social value creation. 本報告書は、学術界、市民社会、政府、ビジネス界から主要なステークホルダーを集め、コンセンサスを促進し、経済的に実行可能で、相互運用可能で、安全で、公平で、包括的なメタバースを創造することを目的とした「メタバースの定義と構築イニシアティブ」のもとで発表された。このイニシアティブは、ガバナンスと経済的・社会的価値創造の2つのワークストリームに分かれている。
In this report, the social value creation workstream presents a holistic understanding of the implications of metaverse adoption on individuals, across the dimensions of access and adoption, psychological and physical well-being, DEI, sustainability and economic empowerment. It encourages an international dialogue for strategic development and regulatory guidance. 本報告書では、社会的価値創造ワークストリームが、メタバース導入が個人に与える影響について、アクセスと導入、心理的・身体的幸福、DEI、持続可能性、経済的エンパワーメントの各側面にわたる総合的な理解を提示する。戦略的発展と規制の指針のための国際的対話を促している。
An accompanying release from the governance workstream focuses on metaverse privacy and safety, striving for a metaverse rooted in human-first principles. ガバナンス・ワークストリームからの付随リリースでは、メタバースのプライバシーと安全性に焦点を当て、人間第一の原則に根ざしたメタバースを目指している。
Achieving an economically viable, equitable and socially conscious metaverse requires careful consideration of human rights, equality and sustainability. By incorporating these values into the design and development of the metaverse, we can create a digital realm that empowers all individuals, ensures equal opportunities, embraces diversity and safeguards the well-being of its users. 経済的に実行可能で、公平で社会的意識の高いメタバースを実現するには、人権、平等、持続可能性を慎重に考慮する必要がある。メタバースの設計と開発にこれらの価値観を取り入れることで、すべての個人に力を与え、平等な機会を保証し、多様性を受け入れ、ユーザーの幸福を守るデジタル領域を創造することができる。

 

・[PDF]

20230721-42702

 

目次...

Foreword まえがき
Executive summary 要旨
Introduction 序文
1 Access and adoption 1 アクセスと採用
2 Psychological and physical health 2 心理的・身体的健康
3 Diversity, equity and inclusion 3 多様性、公平性、インクルージョン
4 Sustainability 4 持続可能性
5 Economic impact and empowerment 5 経済的影響とエンパワーメント
Conclusion 結論
Glossary 用語集
Contributors 協力者
Endnotes 巻末資料

 

エグゼクティブサマリー

Executive summary 要旨
The transformative power of technology cannot be denied, yet there are both opportunities and challenges in its application. At its core, the impact of technology, and thus the metaverse, is not solely defined by its capabilities but rather by collective behaviours, attitudes and approaches to its implementation. With the potential for significant disruption across industries, it is important to consider the implications of the metaverse on individual and collective well-being.  テクノロジーの変革力は否定できないが、その応用にはチャンスもあれば課題もある。その核心は、テクノロジー、ひいてはメタバースのインパクトは、その能力によってのみ定義されるのではなく、むしろその実装に対する集団的な行動、態度、アプローチによって定義されるということである。業界全体に大きな混乱をもたらす可能性がある以上、メタバースが個人と集団の幸福に及ぼす影響を考えることは重要である。
The private and public sectors will play a critical role in signalling their demands and intentions with the metaverse through investment, development of metaverse technologies and infrastructure, education and upskilling, as well as policy and regulation that mitigate risks while supporting innovation. Overall, awareness and understanding of the potentialities of technology is the first step in shaping individual and societal responses to it.  民間部門と公的部門は、投資、メタバース・テクノロジーとインフラストラクチャーの開発、教育とスキルアップ、さらにはイノベーションを支援しながらリスクを軽減する政策と規制を通じて、メタバースに対する要求と意図を示す上で重要な役割を果たすだろう。全体として、テクノロジーの潜在性に対する認識と理解は、それに対する個人と社会の反応を形成するための第一歩である。
This report aims to investigate these potentialities in the context of social implications derived from the use of digital technologies, analyse their potential for exacerbation in the metaverse and explore a non-exhaustive set of new individual and collective opportunities and challenges rooted in metaverse adoption and use. This report does so across the five dimensions laid out in Figure 1. 本報告書の目的は、デジタル技術の利用から派生する社会的意味合いという文脈でこれらの潜在性を調査し、メタバースにおけるそれらの悪化の可能性を分析し、メタバースの採用と利用に根ざした個人と集団の新たな機会と課題を網羅的でない形で探求することである。本報告書は、図 1 に示した 5 つの次元に渡ってこれを行う。
FIGURE 1 Social value and implications of the metaverse: report overview 図1 メタバースの社会的価値と意味:報告書概要
Access and Adoption アクセスと採用
Opportunity  機会 
If digital infrastructure is established, the metaverse has the potential to help billions of individuals to access digital identities, education, financial services, healthcare and new economic opportunities.  デジタルインフラが確立されれば、メタバースは何十億もの個人がデジタルアイデンティティ、教育、金融サービス、ヘルスケア、新たな経済機会にアクセスできるようになる可能性を秘めている。
Challenge  課題 
If the establishment of metaverse infrastructure is delayed in certain regions, or metaverse applications do not support regional needs, the digital divide may be exacerbated, 特定の地域でメタバースインフラの確立が遅れたり、メタバースアプリケーションが地域のニーズをサポートしなかったりすると、デジタルデバイドが悪化する可能性がある、
Psychological and physical health 心理的・身体的健康
Opportunity  機会 
The metaverse offers a vast range of applications in an at-home or clinical context that support with the improvement of psychological and physical health.  メタバースは、心理的・身体的健康の改善を支援する、家庭や臨床の文脈における膨大なアプリケーションを提供する。
Challenge  課題 
Certain design choices, or excessive usage may lead to negative health outcomes such as worsened cognitive function, stress or anxiety. These outcomes are mediated by factors such as age, exposure time, medium and type of use. 特定のデザインの選択、あるいは過度の使用は、認知機能の悪化、ストレスや不安といった健康上のネガティブな結果につながる可能性がある。これらの結果は、年齢、エクスポージャー時間、媒体、使用の種類などの要因によって媒介される。
Diversity, equity and invludion 多様性、公平性、投資
Opportunity  機会 
Through its intuitive design and its capability of immersion, the metaverse may offer great opportunities to include a large and diverse group of people both into virtual as well as physical activities. メタバースは、その直感的なデザインと没入できる能力によって、物理的な活動だけでなく仮想的な活動にも多くの多様な人々を取り込む大きな機会を提供する可能性がある。
Challenge  課題 
There is a need to establish metaverse accessibility standards in order to include everyone into metaverse experiences, Moreover, it is vital to ensure that metaverse leaders, creators and participants are diverse. 誰もがメタバース体験に参加できるよう、メタバース・アクセシビリティ標準を確立する必要がある。さらに、メタバースのリーダー、クリエイター、参加者が多様であることを保証することが不可欠である。
Sustainability 持続可能性
Opportunity  機会 
Through its capability of immersion and presence, the metaverse offers state-of-the-art opportunities to foster a sustainability mindset and drive climate action.  メタバースは、その没入感と臨場感を通じて、持続可能な考え方を育み、気候変動対策を推進する最先端の機会を提供する。
Challenge  課題
The metaverse comes with its own environmental challenges related to its technologies' energy intensity, e-waste and raw materials sourced. It is vital to mitigate these challenges, while applying the metaverse as a force for good and an enabler of sustainability. メタバースには、テクノロジーのエネルギー集約度、電子廃棄物、原材料の調達に関連する環境上の課題がある。これらの課題を低減する一方で、メタバースを善の力として、また持続可能性を実現する力として活用することが不可欠である。
Economic impact and empowerment 経済効果とエンパワーメント
Opportunity  機会 
The economic impact and opportunity of the metaverse is undeniable, unleashing a new canvas, toolsets, and currencies for individuals with new ways to express and monetize their creativity.  メタバースがもたらす経済的影響と機会は否定できず、創造性を表現し収益化する新たな方法を持つ個人のために、新たなキャンバス、ツールセット、通貨を解き放つ。
Challenge  課題 
To ensure a sustainable and economically viable economy, treatment of IP, portability of ownership and identity, mechanics for transparent and fair value distribution that ensure the individual is compensated for their work and experiences, and establishing processes for the fair flow of money to both the individual and society must be addressed. 持続可能で経済的に存続可能な経済を実現するためには、知的財産の扱い、所有権とアイデンティティのポータビリティ、個人が自分の仕事と経験に見合った報酬を得られるようにする透明で公正な価値分配の仕組み、個人と社会の両方に対する公正な資金の流れのプロセスの確立に取り組まなければならない。

 

| | Comments (0)

NIST NISTIR 8473(ドラフト)電気自動車の超高速充電インフラのためのサイバーセキュリティフレームワークプロファイル

こんにちは、丸山満彦です。

NISTが電気自動車の超高速充電インフラに対してサイバーセキュリティフレームワークを適用する場合のガイダンス案を公表し、意見募集をしていますね。。。

設計思想が違うITとOTが連携しなければならない世界で、シームレスにセキュリティ・レジリエンスを担保するための考え方ということですかね。。。

 

NIST - ITL

・2023.07.14. NISTIR 8473 (Draft) Cybersecurity Framework Profile for Electric Vehicle Extreme Fast Charging Infrastructure

 

NISTIR 8473 (Draft) Cybersecurity Framework Profile for Electric Vehicle Extreme Fast Charging Infrastructure NISTIR 8473(ドラフト)電気自動車の超高速充電インフラのためのサイバーセキュリティフレームワークプロファイル
Announcement 発表
This Cybersecurity Framework Profile (Profile) has been developed for the Electric Vehicle Extreme Fast Charging (EV/XFC) ecosystem and the subsidiary functions that support each of the four domains: (i) Electric Vehicles (EV); (ii) Extreme Fast Charging (XFC); (iii) XFC Cloud or Third-Party Operations; (iv) and Utility and Building Networks. The document provides a foundation that relevant parties may use to develop profiles specific to their organization to assess their cybersecurity posture as a part of their risk management process. This non-regulatory, voluntary profile is intended to supplement, not replace, an existing risk management program or the current cybersecurity standards, regulations, and industry guidelines that are in current use by the EV/XFC industry. このサイバーセキュリティフレームワーク・プロファイルは、電気自動車の超高速充電(EV/XFC)エコシステムと、(i)電気自動車(EV)、(ii)超高速充電(XFC)、(iii)XFCクラウドまたはサードパーティ運用、(iv)ユーティリティおよびビルディングネットワークの4つのドメインをサポートする補助機能を対象として開発された。この文書は、関係者がリスクマネジメントプロセスの一環としてサイバーセキュリティ態勢を評価するために、それぞれの組織に特化したプロファイルを作成するための基礎を提供するものである。この非規制的で自主的なプロファイルは、既存のリスクマネジメントプログラムや、EV/XFC 業界で現在使用されているサイバーセキュリティ標準、規制、業界ガイドラインを補完するものであり、代替するものではない。
Purpose 目的
The EV/XFC Cybersecurity Framework Profile is designed to be part of an enterprise risk management program to aid organizations in managing threats to systems, networks, and assets within the EV/XFC ecosystem. The EV/XFC Cybersecurity Framework Profile is not intended to serve as a solution or compliance checklist. Users of this profile will understand that its application cannot eliminate the likelihood of disruption or guarantee some level of assurance. EV/XFCサイバーセキュリティフレームワークプロファイルは、EV/XFCエコシステム内のシステム、ネットワーク、資産に対する脅威を管理する組織を支援するエンタープライズリスクマネジメントプログラムの一部として設計されている。EV/XFCサイバーセキュリティフレームワークプロファイルは、ソリューションやコンプライアンスチェックリストとして機能することを意図していない。このプロファイルの利用者は、その適用によって混乱の可能性を排除したり、ある程度の保証を保証したりすることはできないことを理解する。
Use of the Profile will help organizations: このプロファイルを使用することは、組織にとって次のような助けとなる:
・Identify key assets and interfaces in each of the ecosystem domains. ・エコシステムの各領域における主要な資産とインタフェースを識別する。
・Address cybersecurity risk in the management and use of EV/XFC services. ・EV/XFCサービスのマネジメントと利用におけるサイバーセキュリティリスクに対処する。
・Identify the threats, vulnerabilities, and associated risks to EV/XFC services, equipment, and data. ・EV/XFCサービス、機器、データに対する脅威、脆弱性、関連リスクを識別する。
・Apply protection mechanisms to reduce risk to manageable levels. ・管理可能なレベルまでリスクを低減するための防御メカニズムを適用する。
・Detect disruptions and manipulation of EV/XFC services. ・EV/XFCサービスの妨害や操作を検知する。
・Respond to and recover from EV/XFC service anomalies in a timely, effective, and resilient manner. ・EV/XFCサービスの異常に、タイムリーかつ効果的に、レジリエンスを持って対応し、回復する。
Join the Community of Interest 関心のあるコミュニティに参加する
If you have expertise in EV/XFC and/or cybersecurity, consider joining the Community of Interest (COI) to receive the latest project news and announcements. Email the team at evxfc-nccoe@nist.gov declaring your interest or complete the sign-up form on our project page. EV/XFCやサイバーセキュリティの専門知識をお持ちの方は、COI(Community of Interest)に参加して、プロジェクトの最新ニュースやお知らせを受け取ることをご検討いただきたい。evxfc-nccoe@nist.gov までメールでご興味を表明いただくか、プロジェクトページの登録フォームにご記入の上、送信していただきたい。
Abstract 概要
This document is the Cybersecurity Framework Profile (Profile) developed for the Electric Vehicle Extreme Fast Charging (EV/XFC) ecosystem and the subsidiary functions that support each of the four domains: (i) Electric Vehicles (EV); (ii) Extreme Fast Charging (XFC); (iii) XFC Cloud or Third-Party Operations; (iv) and Utility and Building Networks. This Profile provides a foundational profile that relevant parties may use to develop profiles specific to their organization to assess their cybersecurity posture as a part of their risk management process. The profile is intended to supplement, not replace, an existing risk management program or the current cybersecurity standards, regulations, and industry guidelines that are in current use by the EV/XFC industry. 本書は、電気自動車超高速充電(EV/XFC)エコシステムと、(i)電気自動車(EV)、(ii)超高速充電(XFC)、(iii)XFC クラウドまたはサードパーティ運用、(iv)ユーティリティおよびビルディングネットワークの 4 つのドメインそれぞれをサポートする補助機能のために開発されたサイバーセキュリティフレームワーク・プロファイル(プロファイル)である。このプロファイルは、関係者がリスクマネジメントプロセスの一環としてサイバーセキュリティ態勢を評価するために、それぞれの組織に固有のプロファイルを作成するために使用できる基礎となるプロファイルを提供するものである。このプロファイルは、既存のリスクマネジメントプログラムや EV/XFC 業界で現在使用されているサイバーセキュリティ標準、規制、業界ガイドラインを補完するものであり、置き換えるものではない。

 

[PDF] NISTIR 8473 (Draft)

20230718-174608

 

目次...

1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience 1.3. 想定読者
2. Intended Use 2. 使用目的
3. EV/XFC Cybersecurity Mission Objectives 3. EV/XFC サイバーセキュリティのミッション目標
3.1. Mission Objective 1: Deliver Reliable Performance through Secure Communications 3.1. ミッション目標1:セキュアなコミュニケーションを通じて信頼できるパフォーマンスを提供する。
3.2. Mission Objective 2: Maintain Resilience of the XFC Infrastructure 3.2. ミッション目標2:XFCインフラのレジリエンスを維持する
3.3. Mission Objective 3: Build and Maintain Trustworthy Relationships with Partners and Customers 3.3. ミッション目標3:パートナーおよび顧客との信頼関係の構築と維持
3.4. Mission Objective 4: Maintain Continuity of Operations 3.4. ミッション目標4:業務の継続性を維持する
4. Overview of the Cybersecurity Framework 4. サイバーセキュリティフレームワークの概要
4.1. The Framework Core 4.1. フレームワークの中核
4.2. Sector-Level Profiles 4.2. セクター・レベルのプロファイル
5. XFC Baseline Profile 5. XFCベースラインプロファイル
5.1. Identify Function 5.1. 機能の識別
5.1.1. Asset Management Category 5.1.1. 資産管理カテゴリー
5.1.2. Business Environment Category 5.1.2. ビジネス環境カテゴリー
5.1.3. Governance Category 5.1.3. ガバナンス・カテゴリー
5.1.4. Risk Assessment Category 5.1.4. リスクアセスメント カテゴリー
5.1.5. Risk Management Category 5.1.5. リスクマネジメントカテゴリー
5.1.6. Supply Chain Risk Management Category 5.1.6. サプライチェーンリスクマネジメントカテゴリー
5.2. Protect Function Considerations Across the EV/XFC Domains 5.2. EV/XFC領域にわたる防御機能の考慮事項
5.2.1. Identity Management, Authentication and Access Control Category 5.2.1. アイデンティティ管理、認証/アクセス制御カテゴリー
5.2.2. Awareness and Training Category 5.2.2. 意識向上およびトレーニングカテゴリー
5.2.3. Data Security Category 5.2.3. データセキュリティカテゴリー
5.2.4. Information Protection and Processes Category 5.2.4. 情報防御とプロセスカテゴリー
5.2.5. Maintenance Category 5.2.5. 保守カテゴリー
5.2.6. Protective Technology Category 5.2.6. 保護技術カテゴリー
5.3. Detect Function Considerations Across the EV/XFC Domains 5.3. EV/XFC領域にわたる検知機能の検討
5.3.1. Anomalies and Events 5.3.1. 異常とイベント
5.3.2. Security Continuous Monitoring 5.3.2. セキュリティの継続的なモニタリング
5.3.3. Detection Processes 5.3.3. 検知プロセス
5.4. Respond Function Considerations Across the EV/XFC Domains 5.4. EV/XFCドメイン間での対応機能の考慮事項
5.4.1. Analysis 5.4.1. 分析
5.4.2. Communications 5.4.2. コミュニケーション
5.4.3. Improvements Category 5.4.3. 改善カテゴリー
5.4.4. Mitigation 5.4.4. 低減
5.4.5. Response Planning 5.4.5. 対応計画
5.5. Recover Function Considerations Across the EV/XFC Domains 5.5. EV/XFCドメイン間での機能回復に関する考慮事項
5.5.1. Communications 5.5.1. コミュニケーション
5.5.2. Improvements 5.5.2. 改善
5.5.3. Recovery Planning 5.5.3. 復旧計画
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書A. 記号、略語、頭字語のリスト

 

 

 


 

Series Number Title Status Release Date
NISTIR 8473 Cybersecurity Framework Profile for Electric Vehicle Extreme Fast Charging Infrastructure Draft 07/14/2023
Download: NISTIR 8473 (Draft) (DOI)Local DownloadProject homepage
NISTIR 8467 Cybersecurity Framework Profile for Genomic Data Draft 06/15/2023
DDownload: NISTIR 8467 (Draft) (DOI)Local DownloadComment templateProject homepage
NISTIR 8406 Cybersecurity Framework Profile for Liquefied Natural Gas Final 06/08/2023
Download: NISTIR 8406 (DOI)Local DownloadProject homepage
NISTIR 8441 Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN) Draft 06/06/2023
Download: NISTIR 8441 (Draft) (DOI)Local DownloadComment templateProject homepage
NISTIR 8323 Rev. 1 Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services Final 1/31/2023
Download: NISTIR 8323 Rev. 1 (DOI); Local Download; Comments received on public draft; PNT homepage
White Paper NIST CSWP 27 Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN): Final Annotated Outline Final 11/03/2022
Download: White Paper (DOI)NIST CSWP 27Project homepage
NISTIR 8323 Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services Final 02/11/2021
Download: NISTIR 8323 (DOI)Local DownloadPNT Profile Quick GuideNIST news articlePNT homepage

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.24 NIST NISTIR 8467(ドラフト)ゲノムデータのサイバーセキュリティフレームワーク・プロファイル

・2023.06.11 NIST NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイル

・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

・2023.03.05 NISTIR 8432(ドラフト) ゲノムデータのサイバーセキュリティ

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティフレームワーク・プロファイル:注釈付きアウトライン最終版

・2022.10.25 NIST NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル (2022.10.17)

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイル

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイル(初期ドラフト)

 


 

 

 

Continue reading "NIST NISTIR 8473(ドラフト)電気自動車の超高速充電インフラのためのサイバーセキュリティフレームワークプロファイル"

| | Comments (0)

2023.07.18

英国 科学技術省データ倫理・イノベーションセンターブログ AI保証の専門家が他の領域から学ぶべき6つの教訓 (2023.07.12)

こんにちは、丸山満彦です。

英国の科学技術省データ倫理・イノベーションセンター が「AI保証の専門家が他の領域から学ぶべき6つの教訓」というブログ記事を3回にわけて公開していまして、参考になります。

品質、環境、情報セキュリティ等につづいて、AIの認証制度を考えているのですが、何が成功要因となるのか、、、ということですね・・・

こういう検討は英国っぽいですね。。。

米国国家規格協会(ANSI)  が事務局をしているISO/IEC SC42で開発中のISO/IEC 42001 AIマネジメントシステム, ISO/IEC 42005 AIインパクトアセスメントにも触れられていますね。。。

1_20230718115501

Gov.UK -  Department for Science, Innovation and Technology - Centre for Data Ethics and Innovation; CDEICentre for Data Ethics and Innovation Blog

Six lessons for an AI assurance profession to learn from other domains  他領域から学ぶAI保証専門職のための6つの教訓 
part one: how can certification support trustworthy AI? ・第1部:認証はどのように信頼できるAIを支援できるか?
Lesson one: Context is key
教訓1: 文脈が鍵である
part two: conditions for effective certification ・第2部:効果的な認証の条件
Lesson two: Broad community building is crucial 
教訓2:幅広いコミュニティ形成が重要である 
Lesson three: In a changing environment, balance between flexibility and robustness is essential
教訓3:変化する環境では、柔軟性と堅牢性のバランスが不可欠である。
part three: features of effective certification schemes ・第3部:効果的な認証スキームの特徴
Lesson four: Existing effective certification schemes are transparent, adaptable, and interoperable
教訓4:既存の効果的な認証制度は、透明性が高く、適応性があり、相互運用が可能である。
Lesson five: Meaningful impact requires a broad range of stakeholder views
教訓5: 意味のあるインパクトには、幅広いステークホルダーの意見が必要である。
Lesson six: Continual monitoring and evaluation can manage complexity
教訓6:継続的なモニタリングと評価で複雑性を管理する

 

Six lessons for an AI assurance profession to learn from other domains - part one: how can certification support trustworthy AI? AI保証専門職が他領域から学ぶべき6つの教訓 - その1:認証はどのように信頼できるAIを支援できるか?
The UK government's recently published approach to AI regulation sets out a proportionate and adaptable framework that manages risk and enhances trust while also allowing innovation to flourish. The framework also highlights the critical role of tools for trustworthy AI, including assurance techniques and technical standards, in enabling the responsible adoption of AI. The CDEI’s AI assurance programme is championing the use and development of these tools to enable the development of an AI assurance ecosystem that is ethical, trustworthy, and effective. As part of this the CDEI is beginning work to promote dialogue on potential paths to an accountable AI assurance profession. 英国政府が最近発表したAI規制のアプローチは、リスクをマネジメントし、信頼を高めると同時に、イノベーションの繁栄を可能にする、比例的で適応可能な枠組みを定めている。この枠組みはまた、責任あるAIの導入を可能にする上で、保証技術や技術標準を含む、信頼できるAIのためのツールの重要な役割を強調している。CDEIのAI保証プログラムは、倫理的で、信頼でき、効果的なAI保証エコシステムの開発を可能にするために、これらのツールの使用と開発を支持している。その一環として、CDEIは、説明責任のあるAI保証の専門家への潜在的な道筋に関する対話を促進するための作業を開始している。
Certification holds promise as one of a wider set of tools for trustworthy AI. In building an accountable AI assurance profession, assurance providers (both the organisations as a whole and the individual professionals themselves) could be certified to evidence their expertise and therefore their trustworthiness. As the AI assurance ecosystem and certification develop, we will need to borrow from experience in other sectors, comparing common features of certification and building on existing knowledge to learn lessons from more mature certification models. 認証は、信頼できるAIのための幅広いツールの一つとして有望である。説明責任を果たせるAI保証のプロフェッショナルを構築する上で、保証プロバイダ(組織全体と個々の専門家自身の両方)は、その専門性、ひいては信頼性を証明するために認証される可能性がある。AI保証のエコシステムと認証が発展するにつれて、認証の共通点を比較したり、既存の知識を基に、より成熟した認証モデルから教訓を学んだりしながら、他分野の経験を参考にする必要があるだろう。
Early in 2023 we spoke to experts across a broad range of sectors to understand what works and doesn’t work in other certification models. We sought views to reflect the varied subject matter and unique challenges of different domains, including cybersecurity, aerospace, sustainability, nuclear safety, bioethics, and medical devices. We covered topics like comparative maturity, conditions for success, and failure modes. 2023年初頭、我々は他の認証モデルで何がうまくいき、何がうまくいかないかを理解するため、幅広い分野の専門家に話を聞いた。サイバーセキュリティ、航空宇宙、持続可能性、原子力安全、生命倫理、医療機器など、さまざまな分野の多様な主題や固有の課題を反映した意見を求めた。成熟度の比較、成功の条件、失敗モードなどのトピックを取り上げた。
Main takeaways 主な要点
Context is key: drivers like regulation and market forces, and governance elements like assurance standards and techniques, will influence the role of certification and how it matures over time. コンテクストが重要である:規制や市場原理のような原動力や、保証標準や技術のようなガバナンス要素は、認証の役割や、それが時間とともにどのように成熟していくかに影響を与える。
Broad community building is crucial for reliable, accountable certification. 信頼性が高く、説明責任のある認証には、幅広いコミュニティの構築が不可欠である。
In a changing environment, balance between flexibility and robustness is essential. 変化する環境においては、柔軟性と堅牢性のバランスが不可欠である。
Therefore, existing effective certification schemes are adaptable, managing this balance appropriately. They are also transparent and interoperable. したがって、既存の効果的な認証制度は適応性があり、このバランスを適切に管理している。また、透明性と相互運用性を備えている。
To be effective, certification schemes require a broad range of stakeholder views. 効果的であるためには、認証制度は幅広い利害関係者の意見を必要とする。
Continual monitoring and evaluation can manage complexity. 継続的なモニタリングと評価により、複雑性を管理することができる。
We will cover these six “lessons learned” in three separate blog posts. This first post looks at the governance context for certification. The second post builds on this, exploring the wider factors needed for certification schemes to be effective—the enabling conditions— taking into account the role of community, and how to balance robustness and flexibility. The third post looks at similarities between effective certification schemes, including specific common characteristics, the range of stakeholders and incentives, and managing complexity through monitoring and evaluation. これら6つの "教訓 "を、3回に分けてブログで紹介する。この最初の投稿では、認証のガバナンスの背景について考察する。2つ目の投稿では、これを踏まえ、認証制度が効果的であるために必要な広範な要因、すなわち、コミュニティの役割や、堅牢性と柔軟性のバランスの取り方を考慮した「実現条件」を探る。3つ目の投稿では、効果的な認証制度に共通する特徴、さまざまな利害関係者やインセンティブ、モニタリングと評価による複雑性の管理などについて考察する。
Across all six lessons, it is important to keep in mind that the process of maturity for certification schemes is continuous. In other sectors—for example sustainability and cybersecurity—certification has continued to mature over time with existing schemes being adjusted, new ones introduced, and others discontinued. 6つの教訓すべてにおいて、認証制度の成熟プロセスは継続的であることを念頭に置くことが重要である。他の分野、例えば持続可能性やサイバーセキュリティなどでは、認証制度は、既存の制度を調整したり、新しい制度を導入したり、廃止したりしながら、時間をかけて成熟し続けている。
Lesson one: Context is key 教訓1: 文脈が鍵である
Certification is one of many governance tools, so it is important to consider it within its broader context. The wider governance landscape, including principles, standards, and conformity assessment techniques, must develop before certification can be effective. Across the range of sectors and schemes we considered, certification was consistently one of the final governance elements to mature. 認証は多くのガバナンス手段の一つであるため、より広い文脈の中で考えることが重要である。認証が効果を発揮するためには、原則、標準、適合性評価技術など、より広範なガバナンスの状況が整備されなければならない。われわれが検討したさまざまなセクターやスキームにおいて、認証は一貫して、成熟すべき最終的なガバナンス要素のひとつであった。
However, that is not to say we should wait and watch these developments passively. Instead, by starting the dialogue about certification early, there is more time to explore with diverse stakeholders which model will work best for an effective future AI assurance profession. By starting now, dialogue will take place in parallel with the development of the wider landscape, rather than afterwards, helping to ensure alignment between emerging assurance techniques and technical standards, and the most promising certification model. しかし、だからといって、こうした発展を受動的に待って見ていろというわけではない。むしろ、認証に関する対話を早期に開始することで、将来の効果的なAI保証プロフェッショナルのためにどのモデルが最も効果的かを、多様なステークホルダーとともに検討する時間が増える。今始めることで、対話は後回しにするのではなく、より広範な状況の進展と並行して行われ、新たな保証技術や技術標準と、最も有望な認証モデルとの整合性を確保するのに役立つ。
The development and adoption of certification may be driven by a combination of factors. In some sectors like aerospace, nuclear safety, food safety, and medical devices, “hard requirements” are imposed by top-down regulation, creating a need for certification schemes that organisations and individuals can use to demonstrate compliance with rules. However, other factors can drive development of certification either as an alternative to, or alongside, regulation. In particular, market forces can encourage certification, as differentiation and brand recognition create competitive advantages and incentives for voluntary certification to demonstrate compliance with good practice, norms or standards, positively affecting consumers’ trust. 認証の開発と採用は、さまざまな要因の組み合わせによって推進される可能性がある。航空宇宙、原子力安全、食品安全、医療機器など一部のセクターでは、トップダ ウン規制によって「厳しい要件」が課されるため、組織や個人が規則への準拠を実証するために利用で きる認証スキームの必要性が生じる。しかし、規制に代わるものとして、あるいは規制と並行して、認証の発展を促す要因もある。特に、差別化とブランド認知が競争上の優位性を生み出すとともに、自主的な認証が優れた慣行、規範、標準への準拠を実証するインセンティブとなり、消費者の信頼にプラスの影響を与えるため、市場原理が認証を後押しする可能性がある。
There are some important questions about what role voluntary certification schemes should play in both the long and short term. Certification evaluates whether something meets a certain standard. However many  standards for AI are still being developed and agreed upon. For example ISO/IEC 42001 (AI Management System) is in approval stage, ISO/IEC 42005 (AI Impact Assessment) is in committee stage, and ISO/IEC AWI TS 6254 (Objectives and approaches for explainability of ML models and AI systems) is in pre-draft stage. As such for the time being "soft" voluntary certification schemes may not be sufficiently developed for establishing and communicating trust. 自主的な認証制度が長期的にも短期的にもどのような役割を果たすべきかについては、いくつかの重要な疑問がある。認証は、何かがある標準を満たしているかどうかを評価するものである。しかし、AIの標準の多くはまだ開発中であり、合意もされていない。例えば、ISO/IEC 42001(AIマネジメントシステム)は承認段階であり、ISO/IEC 42005(AIインパクトアセスメント)は委員会段階であり、ISO/IEC AWI TS 6254(MLモデルおよびAIシステムの説明可能性に関する目的とアプローチ)はドラフト前の段階である。このように、当面は「ソフトな」自主的認証制度は、信頼を確立し、コミュニケーションするために十分に開発されていない可能性がある。
In the longer term, clearer requirements might help make certification more effective. In fields like aerospace and nuclear power, where safety considerations have driven top-down rules, accidents are extremely rare. However, safety is just one part of AI that needs to be assured. Other elements of AI assurance might be better addressed through different types of certification. For instance, voluntary certification focused on elements like fairness and explainability could work alongside top-down rules based on safety and robustness. Top-down regulatory rules on specific principles could also co-exist with voluntary schemes that focus on the same principles and go beyond the baseline set by the regulatory rule. 長期的には、より明確な要求事項が認証をより効果的なものにするかもしれない。航空宇宙や原子力のような分野では、安全への配慮がトップダウンの規則を推進してきたため、事故は極めてまれである。しかし、安全性は保証されるべきAIの一部分に過ぎない。AI保証の他の要素については、さまざまなタイプの認証を通じて対応するのがよいだろう。例えば、公平性や説明可能性といった要素に焦点を当てた自主的な認証は、安全性や堅牢性に基づくトップダウン・ルールと並行して機能する可能性がある。また、特定の原則に基づくトップダウンの規制ルールと、同じ原則に焦点を当て、規制ルールによって設定されたベースラインを超える自主的なスキームとが共存する可能性もある。
The broader context for certification will continue to emerge and develop further over time. However, in the immediate term we should consider and seek consensus on whether encouraging voluntary certification now can help create and mature effective schemes that can be used in the future—taking an iterative approach to certification, aligned with the UK government's adaptable approach to AI regulation. 認証のより広範な背景は、時間の経過とともに現れ、さらに発展していくだろう。しかし、当面は、今、自主的な認証を奨励することが、将来的に利用できる効果的なスキームの構築と成熟に役立つかどうかを検討し、コンセンサスを求めるべきである。
Six lessons for an AI assurance profession to learn from other domains - part two: conditions for effective certification AI保証の専門家が他の領域から学ぶべき6つの教訓 - パート2:効果的な認証の条件
Lesson two: Broad community building is crucial  教訓2:幅広いコミュニティ形成が重要である 
Community building that emphasises skills, communication, and diversity is crucial for ensuring that certification is reliable and accountable. Other sectors, like cybersecurity and healthcare, as well as cross-sector communities organised around ESG and sustainability principles, provide models for how this can work. スキル、コミュニケーション、多様性を重視したコミュニティ形成は、認証の信頼性と説明責任を確保するために極めて重要である。サイバーセキュリティやヘルスケアのような他のセクターや、ESGや持続可能性の原則を中心に組織されたセクター横断的なコミュニティは、これがどのように機能するかのモデルを提供している。
A wider community of organisations and individuals within a sector can help address demand for the skills needed to assure AI systems, and feed a burgeoning profession of certification experts. These skills should not be limited to assurance professionals but must be embedded throughout the wider sector; challenges can surface when assurance knowledge is not available or accessible to those building the systems subject to assurance, for example the engineering community in cybersecurity. With a basic knowledge of assurance embedded throughout a sector, individuals and organisations can more effectively work with assurance professionals to build, test, and deploy trustworthy systems. セクター内の組織や個人からなるより広範なコミュニティは、AIシステムの認証に必要なスキルの需要に対応し、認証専門家という急成長する職業を育成するのに役立つ。このようなスキルは、保証の専門家に限定されるべきでなく、より広範なセクター全体に組み込まれなければならない。保証の知識が、保証の対象となるシステムを構築する人々、例えばサイバーセキュリティのエンジニアリング・コミュニティに利用できない、またはアクセスできない場合、課題が表面化する可能性がある。分野全体に保証の基本的な知識が浸透していれば、個人や組織は、保証の専門家と協力して、信頼できるシステムの構築、テスト、配備をより効果的に行うことができる。
Technical skills for assurance must be accompanied by effective communication and knowledge exchange. Translating technical jargon into findings understandable to organisations and individuals, and listening to feedback from users, are both critical to the success of certification systems. Public engagement to explore the language consumers are using could help organisations to understand what enables different groups to have confidence in trustworthy systems.  保証のための技術的スキルは、効果的なコミュニケーションと知識交換を伴わなければならない。 技術的な専門用語を組織や個人が理解できる知見に変換することと、利用者からのフィードバックに耳を傾けることは、いずれも認証制度の成功に不可欠である。消費者が使用している言語を調査するための一般市民参加は、さまざまなグループが信頼できる制度に確信を持つことができるのは何なのかを組織が理解するのに役立つだろう。 
Strong community structures can also help mitigate major systemic risks, and reduce the likelihood of harms occurring. The risk of loss or isolation of institutional knowledge in engineering systems, for example in the aerospace industry, may contribute to serious accidents and even fatalities, but can be mitigated by providing mechanisms and promoting norms for knowledge exchange and sharing.  強力なコミュニティ構造は、主要なシステミック・リスクを軽減し、危害が発生する可能性を低減するのにも役立つ。例えば航空宇宙産業のような工学システムにおいて、制度的知識が失われたり孤立したりするリスクは、重大事故や死亡事故さえも引き起こす可能性があるが、知識交換と共有のための機構をプロバイダとして提供し、規範を促進することによって低減することができる。 
The need for skills, effective communication, and knowledge exchange and retention, can begin to be addressed through a diverse and collaborative community. We think that the best approach is to form this community early on, drawing together a wide range of stakeholders. A critical next step will therefore be to convene and actively seek the views of organisations, executives and procurement professionals, technical and subject matter experts, developers, consumer groups and civil society, and affected users, bringing these groups together to explore and reach consensus on the most promising path forward.  スキル、効果的なコミュニケーション、知識の交換と保持の必要性は、多様で協力的なコミュニティを通じて対処し始めることができる。私たちは、このコミュニティを早期に形成し、幅広いステークホルダーを集めることが最善のアプローチだと考える。したがって、重要な次のステップは、組織、経営者、調達の専門家、技術および主題の専門家、開発者、消費者団体、市民社会、影響を受けるユーザーの意見を積極的に求め、これらのグループを集めて、最も有望な前進の道を探り、コンセンサスを得ることである。 
Lesson three: In a changing environment, balance between flexibility and robustness is essential 教訓3: 変化する環境では、柔軟性と堅牢性のバランスが不可欠である。
Certification systems often operate in dynamic, rapidly changing environments and must be resilient to substantial and continual change to remain effective. This process of change brings both challenge and opportunity. If managed appropriately, change can play a positive role, sustaining and promoting justified trust, and increasing adoption of trustworthy systems over time. One common theme to emerge from a range of sectors was a tension between robustness and flexibility: certification must be resilient to changes that could undermine its effectiveness, but also be capable of modification and improvement when needed. Getting the balance right between these can be tricky, but is essential to mitigating the significant challenges posed by the process of change. 認証制度は、ダイナミックで急速に変化する環境で運用されることが多く、実効性を維持するためには、実質的かつ継続的な変化に対するレジリエンスが求められる。この変化のプロセスは、課題と機会の両方をもたらす。適切に管理されれば、変化は積極的な役割を果たし、正当な信頼を維持・促進し、長期的に信頼できる制度の採用を増加させることができる。認証は、その有効性を損ないかねない変化に対してレジリエンスでなければならないが、同時に、必要なときには修正と改善が可能でなければならない。このバランスをうまくとることは難しいが、変化のプロセスがもたらす重大な課題を軽減するためには不可欠である。
Certification must be robust, especially in light of the risks of failure or poor performance in safety-critical contexts like aerospace and nuclear safety. Effective governance, including grievance mechanisms and claims management like those in sustainability certification schemes, is seen as essential to ensure quality of certification and minimise the potential for false positives (e.g. a certificate granted in the absence of compliance with requirements). This is especially important in the case of a “race to the bottom” dynamic, which could  enable low-quality or unfounded certification, not only risking unjustified trust in untrustworthy systems, but also undermining trust in trustworthy certification. 認証は、特に航空宇宙や原子力安全のようなセーフティ・クリティカルな状況における失敗やパフォーマンス低下のリスクを考慮すると、強固なものでなければならない。持続可能性認証制度に見られるような苦情処理メカニズムやクレーム管理を含む効果的なガバナンスは、認証の質を確保し、偽陽性の可能性(要求事項への適合がないにもかかわらず認証が与えられるなど)を最小限に抑えるために不可欠であると考えられている。これは、低品質または根拠のない認証を可能にし、信頼できない制度への不当な信頼をリスクにさらすだけでなく、信頼できる認証への信頼を損なう可能性のある「底辺への競争」力学の場合に特に重要である。
However, certification that is highly robust alone is not likely to succeed in the real world. With rapid technological and social change, flexibility is also critical for ensuring that certification is effective. If done right, flexibility can bolster certification and contribute to continued robustness. Learning from results in order to improve the overall system is crucial, for example removing a poor-performing certification body from the wider system. In the sustainability sector, factors such as scandals and reputational risk factors have also played a role in catalysing wider structural change. We must not wait for these factors to arise, but must instead take proactive measures to avoid them in the governance of AI. しかし、堅牢性の高い認証だけでは、実社会で成功する可能性は低い。技術や社会が急速に変化する中、認証の実効性を確保するには柔軟性も不可欠である。 適切に行われれば、柔軟性は認証を強化し、継続的な堅牢性に貢献する。システム全体を改善するために結果から学ぶことは極めて重要であり、例えば、パフォーマンスの悪い認証団体をより広範なシステムから排除することが挙げられる。持続可能性セクターでは、不祥事や風評リスクといった要因も、より広範な構造改革を促す役割を果たしてきた。私たちは、こうした要因が発生するのを待つのではなく、AIのガバナンスにおいてこうした要因を回避するための積極的な対策を講じなければならない。
Another related question is how competition, and in particular new entrants, will be handled, and how high the bar is set for organisations offering certification services to become accredited. New entrants (e.g. AI assurance startups) could drive the use of more effective AI assurance techniques, and help ensure the AI assurance market keeps pace with continual technological change. The bar for accreditation should therefore be set appropriately to avoid stifling innovation and competition, while ensuring the quality, impartiality and competence of certification services. もう一つの関連する問題は、競争、特に新規参入がどのように扱われるのか、また、認証サービスを提供する組織が認定を受けるためのハードルをどの程度高く設定するのかということである。新規参入者(AI保証の新興企業など)は、より効果的なAI保証手法の利用を促進し、AI保証市場が絶え間ない技術革新に確実に対応するのに役立つ可能性がある。したがって、認証サービスの品質、公平性、能力を確保しつつ、イノベーションと競争を阻害しないよう、認証のハードルは適切に設定されるべきである。
From influencing enabling conditions to building effective certification schemes 条件整備から効果的な認証制度構築へ
From these three lessons, we have learned that certain key enabling conditions are necessary for certification to succeed: wider governance structures and mechanisms like principles, standards, and conformity assessment techniques, a diverse stakeholder community, and appropriate management of change over time will all be needed for certification to be effective. これら3つの教訓から、認証を成功させるためには、特定の重要な実現条件が必要であることを学んだ: 認証が効果的であるためには、原則、標準、適合性評価手法のような、より広範なガバナンス構造とメカニズム、多様な利害関係者コミュニティ、および長期にわたる変化の適切な管理がすべて必要である。
Enabling conditions are the starting point, but certification schemes themselves must also be designed and operated appropriately in order to succeed. We will consider some common features of successful certification schemes in part three. 実現可能な条件は出発点であるが、認証制度自体も、成功するためには適切に設計され、運用されなければならない。第3部では、成功する認証制度に共通する特徴について考察する。
Six lessons for an AI assurance profession to learn from other domains - part three: features of effective certification schemes AI保証専門職が他の領域から学ぶべき6つの教訓 - パート3:効果的な認証制度の特徴
We are looking at professionalisation and certification as part of our programme of work to support the vision laid out in our roadmap to an effective AI assurance ecosystem. As discussed in part one, it will be helpful to learn lessons from more mature certification models in other sectors.  我々は、効果的なAI保証エコシステムへのロードマップで示されたビジョンを支援するための作業プログラムの一環として、専門化と認証に注目している。パート1で議論したように、他のセクターにおけるより成熟した認証モデルから教訓を学ぶことは有益であろう。 
Part one and two explored the wider factors needed for certification schemes to be effective, taking into account context, community, and how to balance robustness and flexibility in a changing environment. While these conditions are an important starting point, certification schemes themselves must also be designed and operated appropriately in order to succeed. This blog explores similarities between effective certification schemes, including the range of stakeholders and incentives, managing complexity, and specific common characteristics. 第1部と第2部では、コンテキスト、コミュニティ、変化する環境における堅牢性と柔軟性のバランスの取り方などを考慮しながら、認証制度が効果的であるために必要な広範な要因について検討した。これらの条件は重要な出発点であるが、認証制度そのものも、成功するためには適切に設計され、運用されなければならない。このブログでは、ステークホルダーの範囲やインセンティブ、複雑性の管理、特定の共通点など、効果的な認証制度の共通点を探る。
Lesson four: Existing effective certification schemes are transparent, adaptable, and interoperable 教訓4:既存の効果的な認証制度は、透明性が高く、適応性があり、相互運用が可能である。
The previous lessons raise significant challenges that certification must address in order to be effective. We identified some common principles which could help. In the range of sectors we explored, three common characteristics of effective certification schemes were: transparency, adaptability, and interoperability. これまでの教訓は、認証が効果的であるために取り組むべき重要な課題を提起している。我々は、その一助となり得るいくつかの共通原則を特定した。我々が調査したさまざまなセクターにおいて、効果的な認証制度に共通する3つの特徴は、透明性、適応性、相互運用性であった。
Credible schemes are transparent. The AI sector can learn from other sectors about how transparency can help to empower diverse groups of stakeholders to participate in, improve, and hold systems to account. 信頼できるスキームは透明性が高い。AI部門は、透明性が多様な利害関係者の参加、改善、責任追及にどのように役立つかを他の部門から学ぶことができる。
Transparency is central in many schemes - in sustainability it is often considered a fundamental principle, underpinning the overall credibility of a certification scheme. Within safety management systems in the aviation sector, transparency is key to ensuring that pertinent information and experience is shared and exchanged between those who work to make flying safe. 透明性は多くの制度において中心的なものであり、持続可能性においては、認証制度の全体的な信頼性を支える基本原則とみなされることが多い。航空セクターの安全管理システムにおいても、透明性は、適切な情報と経験が、安全な飛行を実現するために働く人々の間で共有され、交換されることを確実にするための鍵となる。
However, transparency may not necessarily involve simply publishing all available information regardless of relevance. Instead, in the sustainability sector for example, schemes focus on providing important information in appropriate detail, and making this easily accessible to all stakeholders - including information about the goals of a scheme, definitions, how assessments are carried out, and open communication of results and significance. Transparency may also involve public scrutiny, for example, public transparency of adverse event reporting can help drive impact. In healthcare, transparency can include mechanisms for patients and members of the public to look up information about outcomes in order to make their own judgements about the care they receive.  しかし、透明性を確保するためには、関連性の有無にかかわらず、利用可能な情報をすべて公開することが必ずしも必要ではない。その代わり、例えば持続可能性の分野では、スキームは重要な情報を適切に詳細に提供し、すべての利害関係者が容易にアクセスできるようにすることに重点を置いている。その中には、スキームの目標、定義、評価の実施方法、結果と重要性のオープンなコミュニケーションに関する情報も含まれる。例えば、有害事象報告の透明性は、インパクトの推進に役立つ。医療においては、透明性には、患者や一般市民が、自分が受けるケアについて自分自身で判断するために、アウトカムに関する情報を調べることができる仕組みも含まれる。 
We know from other sectors that there may be tensions and tradeoffs to consider with transparency. For example in the case of medical devices, tradeoffs between transparency and human autonomy, and, with sustainability schemes, between transparency and the desire to reduce costs for organisations to seek certification. These questions may begin to be addressed by considering another common characteristic of effective certification, adaptability. 私たちは、他のセクターから、透明性に関して考慮すべき緊張関係やトレードオフがあるかもしれないことを知っている。例えば、医療機器の場合、透明性と人間の自律性とのトレードオフ、持続可能性制度の場合、透明性と認証を求める組織のコスト削減願望とのトレードオフなどである。これらの疑問は、効果的な認証に共通するもう一つの特徴である「適応性」を考慮することで解決できるかもしれない。
Effective schemes are adaptable. This characteristic may help to manage tensions and tradeoffs appropriately to ensure the right balance is struck for challenges, especially as the landscape of AI develops over time. 効果的な制度は適応性がある。この特性は、特にAIの状況が時間の経過とともに発展していく中で、課題に対して適切なバランスが保たれるよう、緊張関係やトレードオフを適切に管理するのに役立つ可能性がある。
Certification can also provide opportunities for ongoing, iterative feedback and improvement. Adaptability can exist at different levels. Within the certification process, auditors might share results with audited parties to show them where improvements can be made. At the scheme level, metrics can be updated, increasing reliability and impact. At the level of the overall model for certification in a specific sector, new initiatives and schemes can be developed - including by new entrants - to respond to more fundamental changes in the assurance ecosystem or governance environment. 改善はまた、継続的なフィードバックと改善の機会を提供することもできる。適応性は様々なレベルで存在し得る。認証プロセスでは、審査員は結果を被審査当事者と共有し、改善点を示すことができる。スキームレベルでは、測定基準を更新し、信頼性と影響力を高めることができる。特定のセクターにおける認証モデル全体のレベルでは、保証エコシステムやガバナンス環境のより根本的な変化に対応するため、新規参入者を含め、新たなイニシアティブやスキームを開発することができる。
AI assurance can learn from other sectors here - for example one approach taken for cybersecurity in the UK takes into account adaptiveness as an important component of assuring technology, especially as that technology changes over time through innovation. In sustainability, a closely related concept of continual improvement is used as an explicit principle underpinning the credibility of certification schemes. Finally, performance-based requirements (stating the "what to do," but not "how to do it") in aviation place greater emphasis on adaptability and focus more on desired, measurable outcomes, than prescriptive approaches. 例えば、英国におけるサイバーセキュリティのアプローチでは、技術保証の重要な要素として適応性を考慮している。持続可能性においては、継続的改善という密接に関連する概念が、認証制度の信頼性を支える明確な原則として用いられている。最後に、航空業界におけるパフォーマンス・ベースの要求事項(「何をすべきか」は述べるが、「どのようにすべきか」は述べない)は、適応性をより重視し、規定的なアプローチよりも、望ましい、測定可能な結果に重点を置いている。
Later on, in lesson six, we will discuss how continuous monitoring and evaluation can help to embed this adaptability into certification systems. この後の第6課では、継続的なモニタリングと評価が、この適応性を認証制度にどのように組み込むのに役立つかについて議論する。
Finally, schemes must be interoperable in order to promote adoption of certification across regional and international governance environments. Interoperability is necessary both for the success of individual schemes, and for the wider adoption of certification as a mechanism to establish and build trust. 最後に、地域的・国際的ガバナンス環境を超えて認証の採用を促進するためには、制度は相互運用可能でなければならない。相互運用性は、個々の制度が成功するためにも、信頼を確立し構築するメカニズムとして認証が広く採用されるためにも必要である。
Here too, other sectors provide examples of how this can work in practice. In engineering and transport sectors like aviation, international cooperation and harmonisation on safety standards has been a driver for safety improvements. Reaching agreement on standards can help to achieve harmonisation where it is more difficult to achieve regulatory consensus. Elsewhere, the sustainability sector gives examples of models where high-level international agreements are made (for example on biotrade), and different assurance models then operate in parallel. ここでも、他のセクターが実際にどのように機能するかの例を示している。航空機のような工学や運輸の分野では、安全標準に関する国際協力と調和が安全改善の原動力となってきた。規制のコンセンサスを得ることが難しい分野では、標準に関する合意を得ることがハーモナイゼーションの実現に役立つ。また、持続可能性の分野では、高レベルの国際協定が結ばれ(バイオトレードなど)、異なる保証モデルが並行して運用されるモデルの例がある。
Lesson five: Meaningful impact requires a broad range of stakeholder views 教訓5: 意味のあるインパクトには、幅広いステークホルダーの意見が必要である。
Certification systems must take into account a broad range of perspectives in order to be effective. Assurance service providers, professional bodies, organisations developing and deploying products or services, and affected users all have different needs and incentives. Sectors like healthcare, cybersecurity, and sustainability have recognised this, and have proactively sought to engage with diverse stakeholders to understand what these different groups need. 認証制度が効果的であるためには、幅広い視点を考慮しなければならない。保証サービスのプロバイダ、専門団体、製品やサービスを開発・展開する組織、影響を受けるユーザーは、それぞれ異なるニーズやインセンティブを持っている。ヘルスケア、サイバーセキュリティ、サステナビリティなどのセクターは、このことを認識し、多様なステークホルダーと積極的に関わり、これらの異なるグループが何を必要としているかを理解しようとしてきた。
Different parts of the market may respond to different incentives to seek certification. While some actors may be motivated to work within specific norms and seek certification due to values or brand differentiation, it can be more difficult to incentivise moderately-engaged actors (the “middle” of the market) to participate in a certification scheme. Appeals to self-interest, such as market incentives, or the ability to evidence performance against benchmarks, can prove effective in these cases. Lower-engagement stakeholders can present a distinct set of challenges, and may require specific interventions (for example through top-down rules) in order for trust to be built across all parts of the AI assurance market . 市場のさまざまな部分が、認証を求めるさまざまなインセンティブに反応する可能性がある。価値観やブランドの差別化により、特定の規範の範囲内で活動し、認証を求める動機付けを持つ行為者がいる一方で、適度に関与している行為者(市場の「中間層」)に認証スキームへの参加を促す動機付けを与えることは、より困難な場合がある。このような場合、市場インセンティブなどの自己利益へのアピールや、ベンチマークに照らしてパフォーマンスを実証する能力が効果的であることが証明される。より低関与度の利害関係者は、明確な一連の課題を提示する可能性があり、AI保証市場のすべての部分にわたって信頼を構築するためには、(例えばトップダウンのルールによる)特定の介入が必要になる場合がある。
Perhaps most importantly, consumers and affected users can make or break a certification scheme. On one hand, consumers can push adoption of standards, driving demand by using brands they trust. On the other hand, lack of user recognition can lead to a certification failing to achieve impact, as has happened previously with some sustainability schemes. It is therefore crucial that consumers and affected users are involved closely in the end-t0-end design, operation, and evolution of certification schemes. In cybersecurity, this has previously been achieved in practice by engaging closely with consumer representatives and advocacy groups on specific assurance projects, leveraging their expertise to gain valuable insights. In practice within the healthcare sector, this can mean getting patients involved in the governance of medical devices through direct outreach programmes. おそらく最も重要なのは、消費者と影響を受けるユーザーが認証スキームを左右する可能性があることだ。一方では、消費者は信頼のおけるブランドを利用することで標準の採用を推進し、需要を喚起することができる。他方で、ユーザーからの認知度が低いと、以前いくつかの持続可能性スキームで起こったように、認証がインパクトを達成できない可能性がある。したがって、消費者と影響を受けるユーザーが、認証制度のエンドツーエンドの設計、運用、進化に密接に関与することが極めて重要である。サイバーセキュリティの分野では、消費者代表者やアドボカシー団体が特定の保証プロジェクトに密接に関与し、彼らの専門知識を活用して貴重な洞察を得ることで、このことが実際に達成されてきた。ヘルスケア分野では、患者を直接支援するプログラムを通じて、医療機器のガバナンスに関与させることができる。
The same principle of engaging widely and early on applies also to frontline practitioners and professionals, who can play a part in addressing some of the practical challenges and limitations of engaging directly with consumers and affected users. In some sectors, for example healthcare, consumers and affected users may turn to trusted third parties (i.e. medical professionals) to understand the trustworthiness of a service or product. So, through their consumer-facing work, professionals working within organisations to deliver services and products also have an important role to play in the development of successful and impactful certification regimes. 消費者や影響を受ける利用者と直接関わることの現実的な課題や限界のいくつかに対処する一翼を担うことができる。例えばヘルスケアなど一部の分野では、消費者や影響を受ける利用者は、サービスや製品のトラスト性を理解するために、信頼できるサードパーティ(医療専門家など)に頼ることがある。そのため、消費者と接する仕事を通じて、サービスや製品を提供する組織内で働く専門家も、成功し影響力のある認証制度の開発において重要な役割を担っている。
Broad stakeholder views will also contribute to the meaningful transparency that certification will require in order to be effective, discussed in the previous lesson. また、幅広い利害関係者の見解は、前課で述べた、認証が効果的であるために必要とされる意味のある透明性にも寄与する。
Therefore, in the cases of consumers and affected users, and the individuals and organisations most closely connected with them, there could be significant opportunities to learn and apply existing knowledge in an AI assurance context to ensure these perspectives are heard. したがって、消費者、影響を受けるユーザー、およびそれらに最も密接に関係する個人と組織の場合、これらの視点に確実に耳を傾けるために、AI保証の文脈で既存の知識を学び、適用する重要な機会があり得る。
Lesson six: Continual monitoring and evaluation can manage complexity 教訓6:継続的なモニタリングと評価で複雑性を管理する
Certification is inherently complex, and will be particularly so for AI and AI assurance. To be effective, certification schemes must ensure that complexities are managed appropriately. Fortunately, other sectors provide clues for how we may begin to manage these complexities in our own context, and show that continual monitoring and evaluation can help address and manage these challenges. 認証は本質的に複雑であり、AIとAI保証については特にそうであろう。認証制度が効果的であるためには、複雑性を適切に管理する必要がある。幸いなことに、他のセクターは、われわれが独自の文脈でこうした複雑性をどのように管理し始めるかについての手がかりを提供しており、継続的なモニタリングと評価がこうした課題への対処と管理に役立つことを示している。
Choices of what and how to measure are likely to have a significant impact on the overall trustworthiness and effectiveness of certification, and within these choices there is a need to balance complex considerations. However, in the case of AI, the overall degree of complexity will be heightened, so certification schemes must pay particularly careful attention to a wide range of challenges. For example, measurements need to be wide-ranging, accurate, precise, and relevant. Qualitative information as well as quantitative metrics are likely needed to provide sufficient relevant information. Measurements must also avoid the problem of “perverse incentives” —like rewarding actors for the wrong behaviour— producing unintended or undesirable results.  何をどのように測定するかという選択は、認証の全体的な信頼性と有効性に大きな影響を与える可能性が高く、こうした選択の中で複雑な考慮事項のバランスをとる必要がある。しかし、AIの場合、全体的な複雑さの度合いは高まるため、認証制度は幅広い課題に特に注意を払わなければならない。例えば、測定は広範囲で、正確で、精密で、適切でなければならない。十分な関連情報を提供するためには、定量的な測定基準だけでなく、定性的な情報も必要であろう。また、誤った行動に対して行為者に報酬を与えるような「逆インセンティブ」によって、意図しない結果や望ましくない結果がもたらされることも避けなければならない。 
Taken together, these challenges may perhaps give the false impression  that measurements must provide total and absolute coverage of all possible scenarios. However, other sectors provide strategies we can look to and potentially learn from, in order to manage these complexities in an AI context. If implemented successfully, these strategies will contribute towards the adaptability required for effective certification, discussed in lesson four above. これらの課題を総合すると、測定はすべての可能なシナリオを完全かつ絶対的にカバーしなければならないという誤った印象を与えるかもしれない。しかし、AIの文脈でこれらの複雑性を管理するために、他のセクターが提供する戦略を参考にし、そこから学ぶことができる可能性がある。これらの戦略が成功裏に実施されれば、上記のレッスン4で述べた、効果的な認証に必要な適応性に貢献することになる。
Ongoing monitoring can help, allowing further metrics to be identified and added, and refinements made over time. Benchmarking can also promote consistency, and help recognise and drive improvements and impact, acting as an incentive to evidence performance improvement. These complexities can be addressed with strategies that are already in use in other sectors, and we can learn from existing examples of effective monitoring and evaluation across a range of domains including cybersecurity, sustainability, and safety-critical domains like medical devices, all of which benefit from continual monitoring and evaluation to manage complexity, thereby improving the trustworthiness of services and products. 継続的なモニタリングは、さらなる測定基準を特定・追加し、時間の経過とともに改良を加えることを可能にする。 また、ベンチマーキングは一貫性を促進し、改善と影響を認識・促進するのに役立ち、パフォーマンス向上を証明するインセンティブとして機能する。サイバーセキュリティ、持続可能性、医療機器のようなセーフティ・クリティカルな領域など、さまざまな領域における効果的なモニタリングと評価の既存の事例から学ぶことができる。
In other sectors, like cybersecurity, there is a tension between certification being sufficiently detailed to be effective, and being long-lasting enough to remain relevant and useful. It is difficult to certify a product or service that is constantly changing, for example a complex system made up of many software components. One approach to manage this is to look at the system holistically, rather than focusing too much on individual metrics. Generally, the more detailed the certification, the more time-restricted it may be. Fortunately, this will not be a novel problem unique to AI assurance, and the approach taken in the cybersecurity domain could provide a valuable model for AI assurance to learn from. サイバーセキュリティのような他の分野では、認証が効果的であるために十分に詳細であることと、関連性と有用性を維持するために十分に長続きすることの間に緊張関係がある。例えば、多くのソフトウェア・コンポーネントで構成される複雑なシステムのように、常に変化する製品やサービスを認証することは困難である。これを管理する1つのアプローチは、個々のメトリクスに焦点を当てすぎるのではなく、システムを全体的に見ることである。 一般に、認証が詳細になればなるほど、時間的制約が大きくなる可能性がある。 幸いなことに、これはAI保証特有の目新しい問題ではなく、サイバーセキュリティの領域で取られているアプローチは、AI保証が学ぶべき貴重なモデルを提供する可能性がある。
Finally, significant complexities are introduced by different use cases and contexts. In the biomedical sector, for example, different sets of tradeoffs can arise between transparency and other varying factors (like human autonomy), depending on the specific context in which a system is being deployed. Here, monitoring strategies can help decide which tradeoffs are appropriate, in each specific situation, for example what level of transparency is right for a particular patient. 最後に、ユースケースやコンテクストが異なると、非常に複雑な問題が生じる。例えば、バイオメディカル分野では、システムが導入される特定のコンテキストによって、透明性と他の様々な要素(人間の自律性など)の間で、異なるトレードオフが生じる可能性がある。ここで、モニタリング戦略は、例えば特定の患者にとってどの程度の透明性が適切かなど、それぞれの特定の状況において、どのトレードオフが適切かを決定するのに役立つ。
Easy or universal solutions to these complexities are unlikely. These challenges need to be addressed in detail and in reference to the specific domain, in harmony with the UK government's proportionate and context-based approach to AI regulation, guided by cross-sectoral principles to be implemented by existing UK regulators and complemented by tools for trustworthy AI, including technical standards. This work will also require a diverse community with skills and expertise, as discussed in the second post. このような複雑な問題に対する安易で普遍的な解決策はありえない。これらの課題は、英国政府のAI規制に対する比例的かつ文脈に基づくアプローチと調和させながら、既存の英国規制当局によって実施される分野横断的な原則に導かれ、技術標準を含む信頼できるAIのためのツールによって補完されながら、特定の分野を参照して詳細に対処される必要がある。この作業には、2番目の投稿で議論したように、スキルと専門知識を持つ多様なコミュニティも必要となる。
Next steps 次のステップ
In these six lessons, we have identified key enabling conditions and common features across existing schemes that can help certification play an effective role in broader governance. These surface further questions and challenges in our own domain, including how to monitor and improve the enabling conditions for effective certification, how schemes might be designed with the necessary features to succeed, and, crucially, who should be involved in efforts to resolve these challenges. これら6つの教訓の中で、我々は、認証がより広範なガバナンスにおいて効果的な役割を果たすのを助けることができる、主要な実現条件と既存の制度に共通する特徴を特定した。これらは、効果的な認証を可能にする条件をどのように監視し改善するか、成功するために必要な特徴を備えたスキームをどのように設計するか、そして極めつけは、これらの課題を解決するための取り組みに誰が関与すべきかなど、私たち自身の領域におけるさらなる疑問や課題を浮き彫りにするものである。
Such questions call for early dialogue involving diverse perspectives. The CDEI is now seeking out wider voices to engage in the community building discussed in these blog posts. Our immediate next step will be to convene diverse stakeholders to take forward the themes presented in these blog posts. We will start with an initial workshop to apply the lessons learned to AI assurance, and encourage anyone interested to reach out to us to express an interest. Our public attitudes team will also consider the potential for further public engagement to better understand consumer expectations for effective certification. These, together with future community building efforts, will help us to develop - in alliance with others - the most promising routes to an accountable AI assurance profession. このような問題には、多様な視点からの早期の対話が必要である。CDEIは現在、これらのブログ記事で議論されているコミュニティ形成に参加するため、より幅広い声を求めている。私たちの当面の次のステップは、このブログ記事で紹介されたテーマを前進させるために、多様なステークホルダーを招集することである。私たちは、学んだことをAI保証に応用するための最初のワークショップから始める予定である。また、私たちの公共意識チームは、効果的な認証に対する消費者の期待をよりよく理解するために、さらなる一般参加の可能性を検討する。これらは、今後のコミュニティ形成の努力とともに、説明責任のあるAI保証の専門家への最も有望なルートを、他者と連携して開発するのに役立つだろう。

 

 

・2021.12.08 The roadmap to an effective AI assurance ecosystem

文書

・[HTML] The roadmap to an effective AI assurance ecosystem

・[HTML] The roadmap to an effective AI assurance ecosystem - extended version



 


 

 

| | Comments (0)

米国 CYBERCOMの ”Under Advisement”、2023年に民間セクターとの提携と業界データ共有を拡大へ (2023.06.29)

こんにちは、丸山満彦です。

米国のCYBERCOMの "Under Advisement"、2023年に民間セクターとの提携と業界データ共有を拡大するというニュースがありましたね。。。

米国のサイバーセキュリティ戦略を実現するためにも官民連携は重要な手段になっていますからね。。。

ここで、重要なことは、「民間=>官」だけでなく、「官=>民間」です。

非機密情報をしっかりと定義して、できる限り官からも共有し、民の被害を抑えるという視点が重要ですが、日本の場合は、どうでしょうかね。。。

 

● U.S. Cyber Command

・2023.06.29 CYBERCOM’s “Under Advisement” to increase private sector partnerships, industry data-sharing in 2023

1_20230718073701 

 

CYBERCOM’s “Under Advisement” to increase private sector partnerships, industry data-sharing in 2023 CYBERCOMの "Under Advisement"、2023年に民間セクターとの提携と業界データ共有を拡大へ
By Cyber National Mission Force Public Affairs サイバー国家任務部隊広報部による
FORT GEORGE G. MEADE, Md. -- In an increasingly contested and evolving cyber domain, the bridge between government and private industry has become crucial in defending against malicious cyber-attacks; for U.S. Cyber Command, this bridge is ‘Under Advisement.’ 米マサチューセッツ州フォートジョージ・G・ミード発--ますます競争が激化し、進化するサイバー領域において、政府と民間企業の架け橋は、悪質なサイバー攻撃から身を守る上で極めて重要になっている。
Under Advisement, or UNAD, is an unclassified program that allows partners across all sectors of industry to collaborate and share technical information on foreign threats, which has been pivotal in countering foreign cyber threats to the Nation. アンダー・アドバイズ(UNAD)は、産業のあらゆる部門にわたるパートナーが協力し、外国の脅威に関する技術情報を共有することを可能にする非機密プログラムであり、これは国家に対する外国のサイバー脅威に対抗する上で極めて重要である。
This two-way information-sharing supports the Dept. of Defense’s mission outside of the United States, enabling a broader threat picture and bolstered network defenses for both the U.S. government and industry partners. この双方向の情報共有は、米国外における国防総省の任務を支援し、米国政府と産業界のパートナー双方にとって、より広範な脅威の把握とネットワーク防御の強化を可能にしている。
“Under Advisement, and the relationships we have built with our industry partners, is game-changing,” said U.S. Army Maj. Gen. William J. Hartman, commander of Cyber National Mission Force, the organization that launched UNAD.  “We are able to enrich industry data with our expertise and unique insights, and share that back with trusted private sector partners—who then can better defend their networks at home, while we pursue malicious cyber actors abroad.  「UNAD を立ち上げた組織である Cyber National Mission Force の司令官であるウィリアム・J・ハートマン米陸軍大将は、「Under Advisement と、われわれが築いてきた業界パートナーとの関係は、画期的なものだ。  「われわれは、専門知識と独自の洞察力で業界データを充実させ、それを信頼できる民間パートナーと共有することができる。
For example, CNMF has unique authorities to conduct defensive cyber operations abroad in partner nations’ networks at their invitation. If novel malware or indicators of compromise are found on those hunt operations, UNAD can rapidly share with private industry and interagency partners, enabling them to harden cyber defenses before those threats can reach U.S. networks. 例えば、CNMFは、相手国の招待に応じて、相手国のネットワークで防御的サイバー作戦を海外で実施する独自の権限を持っている。このようなハント活動で新種のマルウェアや侵害の指標が発見された場合、UNADは民間企業や省庁間パートナーと迅速に共有し、それらの脅威が米国のネットワークに到達する前にサイバー防御を強化することができる。
UNAD is one part of the U.S. government’s engagement with industry, and closely partners with fellow government-industry partner programs such as NSA’s Cybersecurity Collaboration Center and Department of Homeland Security’s Joint Cyber Defense Collaborative. UNADは、米国政府と産業界との関与の一部であり、NSAのサイバーセキュリティ・コラボレーション・センターや国土安全保障省の共同サイバー防衛共同体などの政府と産業界のパートナー・プログラムと緊密に連携している。
“We’re defending against the same adversary as industry,” said Holly Baroody, executive director of U.S. Cyber Command and former deputy to the Cyber National Mission Force commander. “By working together and sharing indicators of compromise, we can get a clearer view of what the adversary is doing in cyber and disrupt their attacks.” 「我々は、産業界と同じ敵対者から防衛している」と、米サイバー司令部のエグゼクティブ・ディレクターであり、サイバー国家任務部隊の前司令官代理であるホリー・バルーディ氏は言う。「協力し、侵害の指標を共有することで、敵がサイバーで何をしているかをより明確に把握し、攻撃を妨害することができる。
UNAD is comprised of highly skilled technical experts, both military and federal civilians, who are in daily contact with industry via secure chat applications and invite-only industry forum. In every interaction, UNAD communicates in full, transparent attribution as members of Cyber Command’s Cyber National Mission Force. UNADは、軍人と連邦政府民間人の両方を含む高度に熟練した技術専門家で構成されており、安全なチャット・アプリケーションや招待制の業界フォーラムを通じて、日々業界と接触している。あらゆる交流において、UNADはサイバー司令部のサイバー国家任務部隊のメンバーとして、完全で透明性のある帰属でコミュニケーションする。
“Partnerships in cyberspace gives us an advantage that our adversaries don’t have,” said U.S. Army Lt. Col. Jason Seales, chief of Under Advisement. “A threat to one of our networks is a threat to all, and it takes public stakeholders and private industry to build foundational cyber defenses in and through partnering.” 「サイバースペースにおけるパートナーシップは、敵が持っていない優位性を我々に与えてくれる。「我々のネットワークの1つに対する脅威は、全てに対する脅威であり、公的な利害関係者と民間産業が、パートナーシップを組むことで、基礎的なサイバー防御を構築する必要がある。
Developed by U.S. Marine Maj. (ret) Jason Kikta, Under Advisement was born out of an urgent need to share, and receive, unclassified cyber threat indicators with private sector partners during the 2018 U.S. midterm elections. Kikta and his small team of cyber experts quickly realized how critical it was to have unified responses to major cyber events. UNAD officially stood up in 2020, ahead of the Presidential elections, and enabled defense against foreign interference. 米海兵隊のジェイソン・キクタ少佐(退役軍人)によって開発されたUnder Advisementは、2018年の米中間選挙期間中に民間セクターのパートナーと機密扱いのないサイバー脅威指標を共有し、それを受け取るという緊急の必要性から生まれた。キクタと彼の小さなサイバー専門家チームは、主要なサイバーイベントへの統一的な対応がいかに重要であるかをすぐに理解した。UNADは大統領選挙を控えた2020年に正式に発足し、外国からの干渉に対する防衛を可能にした。
“We’ve seen how critical UNAD has been in major cyber events such as SolarWinds, Hafnium, and Colonial Pipeline,” said Seales. “UNAD can be described as ‘CYBERCOM’s canaries in the coal mine’…we’re an early warning to malicious cyber activity. We warn our partners in a way that allows them to act and it’s done daily on a foundation of collaboration, trust, and partnership.” 「ソーラーウィンズ、ハフニウム、コロニアル・パイプラインのような大きなサイバー事件で、UNADがいかに重要であったかを私たちは目の当たりにしてきました」とシールズは言う。UNADは "CYBERCOMの炭鉱のカナリア "と表現することができる。私たちは、パートナーが行動できるような方法で警告を発し、協力、信頼、パートナーシップの基盤の上で日々行われている。"
After three years of continuous, real-time information sharing and collaborative response to national-level events such as Solar Winds and Colonial Pipeline, the program hopes to build upon lessons-learned and successes while doubling the number of private-sector partnerships in 2023. ソーラー・ウィンズやコロニアル・パイプラインのような国家レベルの出来事に対する、継続的でリアルタイムの情報共有と協力的な対応を3年間行った後、このプログラムは、2023年には民間部門のパートナーシップの数を倍増させながら、教訓と成功を積み重ねることを望んでいる。
The Cyber National Mission Force is the U.S. military’s joint cyber force charged with defending the Nation in cyberspace through offensive, defensive, and information operations. CNMF’s mission is to plan, direct, and synchronize full-spectrum cyberspace operations to deter, disrupt, and defeat adversary cyber and malign actors. The organization supports national missions and U.S. Cyber Command priorities such as election security, ransomware, cyber espionage, and other crisis and contingencies. サイバー・ナショナル・ミッション・フォース(CNMF)は、米軍の統合サイバー部隊で、攻撃・防御・情報作戦を通じてサイバー空間における国家防衛を任務としている。CNMFの使命は、敵対するサイバーおよび悪意のある行為者を抑止し、混乱させ、打ち負かすための全面的なサイバー空間作戦を計画し、指揮し、同期させることである。この組織は、選挙セキュリティ、ランサムウェア、サイバースパイ、その他の危機や不測の事態など、国家ミッションや米サイバー軍優先事項を支援している。
For more information, or questions about participating in the program, reach out to U.S. Cyber Command’s Under Advisement team here. このプログラムへの参加に関する詳細や質問については、米サイバー司令部のアンダー・アドバイズ・チームにこちらから問い合わせを。

 

関連...

 

サイバー軍

民間とのパートナーシップ。。。

PRIVATE SECTOR PARTNERSHIPS


 

サイバー・ナショナル・ミッション・フォース

Cyber National Mission Force (CNMF)

 

サイバーセキュリティ協働センター

● NSA

NSA Cybersecurity Collaboration Center

 

サイバー防衛協働体

CISA

Joint Cyber Defense Collaborative

 

 

 

| | Comments (0)

金融安定理事会 (FSB) 暗号資産とステーブルコインに関するグローバルな規制枠組みを最終決定

こんにちは、丸山満彦です。

金融安定理事会 (FSB) が、暗号資産とステーブルコインに関するグローバルな規制枠組みを最終決定したと公表していますね。。。

 

● Financial Stability Board: FSB

・2023.07.17 FSB finalises global regulatory framework for crypto-asset activities

FSB finalises global regulatory framework for crypto-asset activities FSBが暗号資産活動に関するグローバルな規制枠組みを最終決定
Final recommendations incorporate learnings from events of the past year in crypto-asset markets and feedback received during the FSB’s public consultation. 最終勧告には、暗号資産市場で過去1年間に起きた事案から得られた学習や、FSBの公開協議で寄せられたフィードバックが盛り込まれている。
Framework is based on the principle of ‘same activity, same risk, same regulation’ and provides a strong basis for ensuring that crypto-asset activities and so-called stablecoins are subject to consistent and comprehensive regulation, commensurate to the risks they pose. フレームワークは「同じ活動、同じリスク、同じ規制」の原則に基づき、暗号資産活動やいわゆるステーブルコインが、それらがもたらすリスクに見合った一貫性のある包括的な規制の対象となることを確保するための強力な基盤を提供するものである。
The FSB and standard-setting bodies will continue to coordinate in promoting globally consistent regulation by considering the need for further guidance or standards and monitoring implementation status at jurisdictional level. FSBと標準設定団体は、さらなるガイダンスや標準の必要性を検討し、法域レベルでの実施状況を監視することで、グローバルに一貫した規制を推進するための調整を続けていく。
The Financial Stability Board (FSB) today published its global regulatory framework for crypto-asset activities to promote the comprehensiveness and international consistency of regulatory and supervisory approaches. 金融安定理事会(FSB)は本日、規制・監督アプローチの包括性と国際的整合性を促進するため、暗号資産活動に関するグローバルな規制の枠組みを公表した。
The events of the past year have highlighted the intrinsic volatility and structural vulnerabilities of crypto-assets and related players. They have also illustrated that the failure of a key service provider in the crypto-asset ecosystem can quickly transmit risks to other parts of that ecosystem. As recent events have illustrated, if linkages to traditional finance were to grow further, spillovers from crypto-asset markets into the broader financial system could increase. 昨年の事案は、暗号資産と関連プレーヤーの本質的な変動性と構造的脆弱性を浮き彫りにした。また、暗号資産のエコシステムにおいて重要なサービス・プロバイダが破綻すると、エコシステムの他の部分にもリスクが迅速に波及することも明らかになった。最近の事案が示すように、伝統的な金融とのつながりがさらに拡大すれば、暗号資産市場から広範な金融システムへの波及が拡大する可能性がある。
The G20 tasked the FSB to coordinate the delivery of an effective regulatory, supervisory and oversight framework for crypto-assets. The framework takes account of lessons from events of the past year in crypto-asset markets and feedback received during the FSB’s public consultation. G20はFSBに対し、暗号資産に対する効果的な規制・監督・監視の枠組みを提供するための調整を行うよう命じた。この枠組みは、暗号資産市場で過去1年間に起きた事案から得られた教訓と、FSBの公開協議で寄せられたフィードバックを考慮に入れている。
The framework consists of two distinct sets of recommendations: この枠組みは、2つの異なる勧告で構成されている:
High-level recommendations for the regulation, supervision and oversight of crypto-asset activities and markets. 暗号資産活動および市場の規制、監督および監視に関するハイレベル勧告。
Revised high-level recommendations for the regulation, supervision, and oversight of “global stablecoin” arrangements. 「グローバル・ステーブルコイン」取決めの規制、監督、監視に関するハイレベル勧告の改訂。
The final recommendations draw on the implementation experiences of jurisdictions and build on the principles – ‘same activity, same risk, same regulation’; high-level and flexible; and technology neutral – that informed the consultative framework. In light of events of the past year, the FSB has strengthened both sets of high-level recommendations in three areas: (i) ensuring adequate safeguarding of client assets; (ii) addressing risks associated with conflicts of interest; and (iii) strengthening cross-border cooperation. 最終的な勧告は、各法域の実施経験に基づき、協議の枠組みに反映された「同じ活動、 同じリスク、同じ規制」、「ハイレベルかつ柔軟」、「技術的に中立」という原則に基づいている。昨年の事案を踏まえ、FSBは3つの分野((i)顧客資産の適切な保護の確保、(ii)利益相反に関連するリスクへの対応、(iii)国境を越えた協力の強化)におけるハイレベル勧告を強化した。
The recommendations focus on addressing risks to financial stability and do not comprehensively cover all specific risk categories related to crypto-asset activities. Central Bank Digital Currencies (CBDCs), envisaged as digitalised central bank liabilities, are not subject to these recommendations. 勧告は、金融の安定性に対するリスクへの対処に重点を置いており、暗号資産活動に関連するすべての特定のリスクカテゴリーを包括的に網羅しているわけではない。デジタル化された中央銀行の負債として想定されている中央銀行デジタル通貨(CBDC)は、これらの勧告の対象ではない。
The FSB has been working closely with the sectoral standard-setting bodies (SSBs) and international organisations to ensure that the work underway regarding the monitoring and regulation of crypto-asset activities and markets is coordinated, mutually supportive, and complementary. The global framework includes a shared workplan that the FSB and SSBs have developed for 2023 and beyond. Through this, they will continue to coordinate work under their respective mandates to promote the development of a comprehensive and coherent global regulatory framework, including through the provision of more granular guidance by SSBs, monitoring and public reporting. FSBは、暗号資産活動や暗号資産市場の監視・規制に関して進められている作業が、協調、相互支援、補完的なものとなるよう、セクター標準設定団体(SSBs)や国際機関と緊密に連携してきた。グローバルな枠組みには、FSBとSSBsが2023年以降に向けて策定した共有ワークプランが含まれる。これを通じて、FSBとSSBsは、SSBsによるより詳細なガイダンスの提供、モニタリング、公的報告などを通じて、包括的で首尾一貫したグローバルな規制枠組みの構築を推進するため、それぞれのマンデートに基づく作業を引き続き調整していく。
Notes to editors 編集後記
In February 2022, the FSB published an Assessment of Risks to Financial Stability from Crypto-assets, which examined developments and associated vulnerabilities in crypto-asset markets, including stablecoins and DeFi. 2022年2月、FSBは「暗号資産による金融安定へのリスクアセスメント」を公表し、ステーブルコインやDeFiを含む暗号資産市場の動向と関連する脆弱性を検証した。
In October 2022, the FSB published A proposed framework for the international regulation of crypto-asset activities, in the form of two separate sets of recommendations, for a public consultation that ran until 15 December 2022. A summary of the consultation responses, together with the individual responses, has been published separately. 2022年10月、FSBは暗号資産活動の国際的規制のための枠組み案を2つの異なる勧告の形で公表し、2022年12月15日まで公開協議を行った。協議の回答のサマリーは、個別の回答とともに別途公表されている。
The FSB coordinates at the international level the work of national financial authorities and international standard-setting bodies and develops and promotes the implementation of effective regulatory, supervisory, and other financial sector policies in the interest of financial stability. It brings together national authorities responsible for financial stability in 24 countries and jurisdictions, international financial institutions, sector-specific international groupings of regulators and supervisors, and committees of central bank experts. The FSB also conducts outreach with approximately 70 other jurisdictions through its six Regional Consultative Groups. FSBは、各国金融当局と国際標準設定団体の作業を国際レベルで調整し、金融の安定のために効果的な規制・監督・その他の金融セクター政策の策定と実施を促進する。FSBは、24カ国・地域の金融安定に責任を負う各国当局、国際金融機構、規制・監督当局からなるセクター別の国際グループ、中央銀行の専門家からなる委員会を結集している。FSBはまた、6つの地域協議グループ(Regional Consultative Groups)を通じて、他の約70の国・地域ともアウトリーチを行っている。
The FSB is chaired by Klaas Knot, President of De Nederlandsche Bank. The FSB Secretariat is located in Basel, Switzerland, and hosted by the Bank for International Settlements. FSBの議長はクラース・ノットオランダ銀行総裁が務めている。FSB事務局はスイスのバーゼルにあり、国際決済銀行がホスティングしている。

 

 

・2023.07.17 FSB Global Regulatory Framework for Crypto-asset Activities

FSB Global Regulatory Framework for Crypto-asset Activities 暗号資産活動のためのFSBグローバル規制枠組み
The FSB is finalising its global regulatory framework for crypto-asset activities to promote the comprehensiveness and international consistency of regulatory and supervisory approaches. FSBは、規制・監督アプローチの包括性と国際的一貫性を促進するため、暗号資産活動に関するグローバルな規制枠組みを最終決定している。
The framework is based on the principle of ‘same activity, same risk, same regulation’ and provides a strong basis for ensuring that crypto-asset activities and so-called stablecoins are subject to consistent and comprehensive regulation, commensurate to the risks they pose, while supporting responsible innovations potentially brought by the technological change. この枠組みは、「同じ活動、同じリスク、同じ規制」という原則に基づいており、暗号資産活動やいわゆるステーブルコインが、技術革新によってもたらされる可能性のある責任あるイノベーションを支援しつつ、それらがもたらすリスクに見合った一貫性のある包括的な規制の対象となることを確保するための強力な基盤を提供するものである。
It consists of two distinct sets of recommendations: この勧告は、2つの異なる勧告で構成されている:
High-level recommendations for the regulation, supervision and oversight of crypto-asset activities and markets; 暗号資産活動および市場の規制、監督、監視に関するハイレベル勧告
Revised high-level recommendations for the regulation, supervision, and oversight of “global stablecoin” arrangements. グローバル・ステーブルコイン」の規制・監督・監視に関するハイレベル勧告の改訂。
The recommendations focus on addressing risks to financial stability, and they do not comprehensively cover all specific risk categories related to crypto-asset activities. They take account of lessons from events of the past year in crypto-asset markets, as well as feedback received during the public consultation of the FSB’s proposals. Central Bank Digital Currencies (CBDCs), envisaged as digitalised central bank liabilities, are not subject to these recommendations. 本勧告は、金融の安定性に対するリスクへの対応に重点を置いており、暗号資産活動に関 連するすべての特定のリスクカテゴリーを包括的に網羅しているわけではない。この勧告は、暗号資産市場で過去1年間に起きた事案から得られた教訓や、FSBの提案の公開協議で寄せられたフィードバックを考慮している。デジタル化された中央銀行の負債として想定されている中央銀行デジタル通貨(CBDC)は、本勧告の対象ではない。
This document describes how the two distinct sets of recommendations build a framework for the regulation, supervision and oversight of global stablecoins arrangements and other crypto-asset activities. 本文書では、2つの異なる勧告が、グローバルなステーブルコインの取決めやその他の暗号資産活動の規制、監督、監視の枠組みをどのように構築するかを説明する。
The FSB and the sectoral standard-setting bodies (SSBs) have developed a shared workplan for 2023 and beyond, through which they will continue to coordinate work, under their respective mandates, to promote the development of a comprehensive and coherent global regulatory framework commensurate to the risks crypto-asset markets activities may pose to jurisdictions worldwide, including through the provision of more granular guidance by SSBs, monitoring and public reporting. FSBと各分野の標準設定団体(SSBs)は、2023年以降の共有ワークプランを策定した。このワークプランでは、SSBsによるより詳細なガイダンスの提供、モニタリング、公的報告などを通じて、暗号資産市場活動が世界の管轄区域にもたらすリスクに見合った、包括的かつ首尾一貫したグローバルな規制枠組みの構築を促進するため、それぞれのマンデートのもと、引き続き調整を進めていく。

 

 

・[PDF] FSB Global Regulatory Framework for Crypto-Asset Activities - Umbrella public note to accompany final framework

20230718-24426

 

・[DOCX] 仮訳

 

 

暗号資産

 

・2023.07.17 High-level Recommendations for the Regulation, Supervision and Oversight of Crypto-asset Activities and Markets: Final report

High-level Recommendations for the Regulation, Supervision and Oversight of Crypto-asset Activities and Markets: Final report 暗号資産活動と市場の規制、監督、監視のためのハイレベル勧告: 最終報告書
In October 2022, the FSB published a consultative report on regulation, supervision and oversight of crypto-asset activities and markets, including a set of high-level recommendations. 2022年10月、FSBは暗号資産活動・市場の規制・監督・監視に関するハイレベル勧告を含む諮問報告書を公表した。
The recommendations are addressed to financial regulatory, supervisory and oversight authorities at a jurisdictional level. They set out the key objectives that an effective regulatory and supervisory framework should achieve but are high-level and flexible so that they can be incorporated into a wide variety of regulatory frameworks. The recommendations establish a global regulatory baseline and some jurisdictions may also decide to take more restrictive regulatory measures. Their aim is to promote a regulatory, supervisory and oversight framework that is technology-neutral and focuses on underlying activities and risks. 勧告は、管轄地域の金融規制・監督・監視当局を対象としている。勧告は、効果的な規制・監督フレームワークが達成すべき主要な目標を定めているが、多様な規制フレームワークに組み込むことができるよう、ハイレベルかつ柔軟なものとなっている。勧告はグローバルな規制のベースラインを確立するものであり、国・地域によっては、より制限的な規制措置をとることを決定する場合もある。その目的は、技術に中立的で、根本的な活動やリスクに焦点を当てた規制・監督・監視の枠組みを推進することである。
These final recommendations take into account feedback from the public consultation and stakeholder outreach. In light of the events that took place in crypto-asset markets in 2022 and early 2023 and the potential threat to the wider financial system, the recommendations also reflect enhancements of key areas. これらの最終勧告は、パブリックコンサルテーションと関係者への働きかけからのフィードバックを考慮に入れている。2022年から2023年初頭にかけて暗号資産市場で起きた出来事や、より広範な金融システムに対する潜在的な脅威を考慮し、勧告には主要分野の強化も反映されている。
In line with the mandate of the FSB, the recommendations focus on regulatory, supervisory and oversight issues relating to crypto-assets to help foster safe innovation. The recommendations therefore do not comprehensively address all specific risk categories related to crypto-asset activities, such as: Anti-Money Laundering/Combating the Financing of Terrorism (AML/CFT); data privacy; cyber security; consumer and investor protection; market integrity; competition policy; taxation; monetary policy; monetary sovereignty; and other macroeconomic concerns. FSBのマンデートに沿って、勧告は安全なイノベーションの育成を支援するため、暗号資産に関連する規制、監督、監視の問題に焦点を当てている。したがって、本勧告は、暗号資産活動に関連する以下のような特定のリスクカテゴリーを包括的に取り 扱うものではない: マネーロンダリング防止/テロ資金供与対策(AML/CFT)、データセキュリティ、消費者・投資家保護、市場整合性、競争政策、税制、金融政策、通貨主権、その他のマクロ経済的懸念などである。
The FSB has been working closely with the International Monetary Fund, World Bank, the Organization for Economic Cooperation and Development (OECD), the Basel Committee on Banking Supervision, the Bank for International Settlements’ Committee on Payments and Market Infrastructures, the International Organization of Securities Commissions (IOSCO), and the Financial Action Task force to ensure that the work underway regarding the monitoring and regulation of crypto-asset activities and markets is coordinated and mutually supportive. FSBは、国際通貨基金(IMF)、世界銀行、経済協力開発機構(OECD)、バーゼル銀行監督委員会、国際決済銀行決済・市場インフラ委員会、証券監督者国際機構(IOSCO)、金融活動作業部会と緊密に連携し、暗号資産活動や市場の監視・規制に関して進められている作業が、協調的かつ相互支援的なものとなるよう努めている。
Final recommendations 最終勧告
Recommendation 1: Regulatory powers and tools 勧告1:規制権限とツール
Authorities should have and utilise the appropriate powers and tools, and adequate resources to regulate, supervise, and oversee crypto-asset activities and markets, and enforce relevant laws and regulations effectively, as appropriate. 当局は、暗号資産活動や市場を規制、監督、監視し、関連する法律や規制を効果的に執行するために、適切な権限や手段、適切なリソースを有し、活用すべきである。
Recommendation 2: General regulatory framework 勧告2:一般的な規制の枠組み
Authorities should apply comprehensive and effective regulation, supervision, and oversight to crypto-asset activities and markets – including crypto-asset issuers and service providers – on a functional basis and proportionate to the financial stability risk they pose, or potentially pose, and consistent with authorities’ respective mandates in line with the principle “same activity, same risk, same regulation”. 当局は、「同じ活動、同じリスク、同じ規制」の原則に則り、暗号資産発行者およびサービスプロバイダを含む暗号資産活動および市場に対し、機能的かつ金融安定リスクに見合った、包括的かつ効果的な規制・監督・監視を行うべきである。
Recommendation 3: Cross-border cooperation, coordination and information sharing 勧告3:国境を越えた協力、調整、情報共有
Authorities should cooperate and coordinate with each other, both domestically and internationally, to foster efficient and effective communication, information sharing and consultation in order to support each other as appropriate in fulfilling their respective mandates and to encourage consistency of regulatory and supervisory outcomes. 当局は、国内外を問わず、効率的かつ効果的なコミュニケーション、情報共有、協議を促進するため、相互に協力・調整すべきである。
Recommendation 4: Governance 勧告4:ガバナンス
Authorities, as appropriate, should require that crypto-asset issuers and service providers have in place and disclose a comprehensive governance framework with clear and direct lines of responsibility and accountability for all functions and activities they are conducting. The governance framework should be proportionate to their risk, size, complexity and systemic importance, and to the financial stability risk that may be posed by activity or market in which the crypto-asset issuers and service providers are participating. It should provide for clear and direct lines of responsibility and accountability for the functions and activities they are conducting. 政府は必要に応じて、暗号資産発行者およびサービスプロバイダが実施するすべての機能および活動に対し、明確かつ直接的な責任と説明責任を伴う包括的なガバナンスの枠組みを整備し、開示することを要求すべきである。ガバナンスの枠組みは、リスク、規模、複雑性、システミックな重要性、および暗号資産発行 者やサービスプロバイダーが参加している活動や市場がもたらす可能性のある金融安定性 リスクに見合ったものでなければならない。暗号資産発行者およびサービスプロバイダが実施する機能および活動につい て、明確かつ直接的な責任と説明責任を規定すべきである。
Recommendation 5: Risk management 勧告5: リスクマネジメント
Authorities, as appropriate, should require crypto-asset service providers to have an effective risk management framework in place that comprehensively addresses all material risks associated with their activities. The framework should be proportionate to the risk, size, complexity, and systemic importance, and to the financial stability risk that may be posed by the activity or market in which they are participating. Authorities should, to the extent necessary to achieve regulatory outcomes comparable to those in traditional finance, require crypto-asset issuers to address the financial stability risk that may be posed by the activity or market in which they are participating. 当局は必要に応じて、暗号資産サービスプロバイダに対し、その活動に関連するすべての重要なリスクに包括的に対処する効果的なリスクマネジメントの枠組みを整備するよう求めるべきである。この枠組みは、リスク、規模、複雑性、システミックな重要性、および参加する活動や市場 によってもたらされる可能性のある金融安定リスクに見合ったものでなければならない。当局は、伝統的な金融に匹敵する規制の成果を達成するために必要な範囲において、 暗号資産発行者が参加している活動または市場によってもたらされる可能性のある金融安 定リスクに対処することを要求すべきである。
Recommendation 6: Data collection, recording and reporting 勧告6:データ収集、記録、報告
Authorities, as appropriate, should require that crypto-asset issuers and service providers have in place robust frameworks, including systems and processes, for collecting, storing, safeguarding, and the timely and accurate reporting of data, including relevant policies, procedures and infrastructures needed, in each case proportionate to their risk, size, complexity and systemic importance. Authorities should have access to the data as necessary and appropriate to fulfil their regulatory, supervisory and oversight mandates. 当局は必要に応じて、暗号資産発行者およびサービスプロバイダに対し、リスク、規模、複雑性、システミックな重要性に応じて、それぞれ必要な関連ポリシー、手順、インフラを含め、データの収集、保管、保護、適時かつ正確な報告のためのシステムおよびプロセスを含む強固な枠組みを整備するよう求めるべきである。当局は、規制・監督・監視のマンデートを果たすために、必要かつ適切なデータへのアクセス権を有するべきである。
Recommendation 7: Disclosures 勧告7:開示
Authorities should require that crypto-asset issuers and service providers disclose to users and relevant stakeholders comprehensive, clear and transparent information regarding their governance framework, operations, risk profiles and financial conditions, as well as the products they provide and activities they conduct. 政府は、暗号資産の発行者およびサービスプロバイダに対し、そのガバナンスの枠組み、業務、リスクプロファイル、財務状況、ならびに提供する商品および実施する活動に関して、包括的かつ明確で透明性の高い情報を利用者および関連するステークホルダーに開示するよう求めるべきである。
Recommendation 8: Addressing financial stability risks arising from interconnections and interdependencies 勧告8:相互接続と相互依存から生じる金融安定リスクに対処する。
Authorities should identify and monitor the relevant interconnections, both within the crypto-asset ecosystem, as well as between the crypto-asset ecosystem and the wider financial system. Authorities should address financial stability risks that arise from these interconnections and interdependencies. 当局は、暗号資産エコシステム内だけでなく、暗号資産エコシステムと広範な金融システムとの間でも、関連する相互接続を特定し、監視すべきである。当局は、こうした相互接続や相互依存から生じる金融安定リスクに対処すべきである。
Recommendation 9: Comprehensive regulation of crypto-asset service providers with multiple functions 勧告9:複数の機能を持つ暗号資産サービスプロバイダの包括的規制
Authorities should ensure that crypto-asset service providers and their affiliates that combine multiple functions and activities, where permissible, are subject to appropriate regulation, supervision and oversight that comprehensively address the risks associated with individual functions and the risks arising from the combination of functions, including but not limited to requirements regarding conflicts of interest and separation of certain functions, activities, or incorporation, as appropriate. 当局は、許容される場合、複数の機能および活動を組み合わせる暗号資産サービスプロバイダおよびその関連会社が、適切な規制、監督および監視の対象となり、利益相反および特定の機能、活動の分離、または適宜の法人化に関する要件など、個々の機能に関連するリスクおよび機能の組み合わせから生じるリスクに包括的に対処することを確保すべきである。
Content Type(s): Publications, Reports to the G20 Source(s): FSB Policy Area(s): Crypto Assets コンテンツの種類 出版物、G20 への報告書 出所:FSB FSB 政策分野:暗号資産
Press Release プレスリリース

17 July 2023FSB finalises global regulatory framework for crypto-asset activities

2023年7月17日FSB、暗号資産活動に関する世界的な規制の枠組みを最終決定
FSB publishes recommendations, constituting a regulatory and supervisory framework for crypto-assets and stablecoins. FSBは、暗号資産とステーブルコインの規制・監督の枠組みを構成する勧告を公表する。
Related Information 関連情報
17 July 2023FSB Global Regulatory Framework for Crypto-asset Activities 2023年7月17日FSB 暗号資産活動のためのグローバル規制枠組み
Framework consists of two distinct recommendations for the regulation, supervision and oversight of crypto-asset markets and activities and “global stablecoin arrangements”. フレームワークは、暗号資産市場・活動と「グローバルなステーブルコインの取決め」の規制・監督・監視に関する2つの異なる勧告で構成される。
16 February 2023The Financial Stability Risks of Decentralised Finance 2023年2月16日分散型金融の金融安定リスク
Report analyses the DeFi ecosystem, identifies vulnerabilities and sets out work to address them. 報告書は、DeFiエコシステムを分析し、脆弱性を特定し、それらに対処するための作業を提示する。
11 October 2022Regulation, Supervision and Oversight of Crypto-Asset Activities and Markets: Consultative report 2022年10月11日暗号資産活動と市場の規制、監督、監視: 諮問報告書
Recommendations to promote the consistency and comprehensiveness of regulatory, supervisory and oversight approaches to crypto-asset activities and markets and to strengthen international cooperation, coordination and information sharing. 暗号資産活動と市場に対する規制・監督・監視アプローチの一貫性と包括性を促進し、国際的な協力・協調・情報共有を強化するための提言。
16 February 2022Assessment of Risks to Financial Stability from Crypto-assets 2022 年 2 月 16 日暗号資産による金融安定性へのリスクの評価
This report provides the FSB’s view on recent developments in crypto-asset markets and their implications for global financial stability. 本レポートは、暗号資産市場の最近の進展と世界の金融安定に対するその影響に関するFSBの見解を提供する。

 

・[PDF] High-level Recommendations for the Regulation, Supervision and Oversight of Crypto-Asset Activities and Markets - Final report

20230718-24440

・[DOCX] 仮訳

 

 

 

ステーブルコイン

 

・2023.07.17 High-level Recommendations for the Regulation, Supervision and Oversight of Global Stablecoin Arrangements: Final report

 

最終勧告

High-level Recommendations for the Regulation, Supervision and Oversight of Global Stablecoin Arrangements: Final report グローバルなステーブルコイン・アレンジメントの規制・監督・監視のためのハイレベル勧告: 最終報告書
In October 2022, the FSB published a review of its High-level Recommendations, including how any gaps identified could be addressed by existing frameworks, considering recent market and policy developments. 2022年10月、FSBは、最近の市場や政策の進展を考慮し、特定されたギャップを既存の枠組みでどのように対処できるかを含め、ハイレベル勧告のレビューを公表した。
These final revised recommendations take into account feedback from a public consultation and stakeholder outreach. これらの最終的な勧告の改訂は、パブリックコンサルテーションやステークホルダーへの働きかけからのフィードバックを考慮に入れている。
The High-level Recommendations seek to promote consistent and effective regulation, supervision and oversight of global stablecoin arrangements (GSCs) across jurisdictions to address the potential financial stability risks they pose, both at the domestic and international level, while supporting responsible innovation and providing sufficient flexibility for jurisdictions to implement domestic approaches. ハイレベル勧告は、グローバル・ステーブルコイン・アレンジメント(GSC)がもたらす潜在的な金融安定リスクに対処するため、国内・国際レベルの双方において、各国・法域間で一貫性のある効果的な規制・監督・監視を推進することを目指すとともに、責任あるイノベーションを支援し、各国・法域が国内アプローチを実施するための十分な柔軟性を提供するものである。
The recommendations are addressed to financial regulatory, supervisory and oversight authorities at a jurisdictional level. They should be applied by individual authorities to the extent they fall within the authorities’ remits. 本勧告は、各国・法域レベルの金融規制・監督・監視当局を対象としている。勧告は、各当局の権限の範囲内で、各当局が適用すべきものである。
The recommendations take a broad approach to GSCs and are intended to be flexible so that they can be incorporated into the wide variety of regulatory frameworks potentially applicable to GSCs around the world. Where international sectoral standards apply to a GSC for a particular economic function, those standards will address risks specific to the economic function and, as such, authorities should implement those international standards. 本勧告は、GSC に対する広範なアプローチをとっており、世界中の GSC に適用される可能性のある多種多様な規制の枠組みに取り入れることができるよう、柔軟性を持たせるこ とを意図している。特定の経済機能に関する GSC に国際的なセクター標準が適用される場合、それらの標準はその経済機能に特有なリスクに対処するものであり、当局はそれらの国際標準を実施すべきである。
Final recommendations 最終勧告
Recommendation 1: Authorities’ readiness to regulate and supervise global stablecoin arrangements 勧告 1:グローバルなステーブルコインの取決めを規制・監督する当局の準備態勢
Authorities should have and utilise the appropriate powers and tools, and adequate resources, to comprehensively regulate, supervise, and oversee a GSC arrangement and its associated functions and activities, and enforce relevant laws and regulations effectively. 当局は、GSC の取決め及び関連する機能・活動を包括的に規制・監督・監視し、関連する法 律・規制を効果的に執行するために、適切な権限・手段及び適切なリソースを有し、活用すべきで ある。
Recommendation 2: Comprehensive oversight of GSC activities and functions 勧告2:GSCの活動と機能の包括的な監督
Authorities should apply comprehensive and effective regulatory, supervisory and oversight requirements consistent with international standards to GSC arrangements on a functional basis and proportionate to their risks insofar as such requirements are consistent with their respective mandates. 当局は、国際標準に合致した包括的かつ効果的な規制・監督・監視の要件を、それぞれの 権限と整合的である限りにおいて、機能的に、かつリスクに見合った形で、GSC の取 り決めに対して適用すべきである。
Recommendation 3: Cross-border cooperation, coordination and information sharing 勧告3:国境を越えた協力、調整、情報共有
Authorities should cooperate and coordinate with each other, both domestically and internationally, to foster efficient and effective communication, information sharing and consultation in order to support each other in fulfilling their respective mandates and to ensure comprehensive regulation, supervision, and oversight of a GSC arrangement across borders and sectors, and to encourage consistency of regulatory and supervisory outcomes. 当局は、それぞれのマンデートの遂行を相互に支援し、国境やセクターを越えた GSC の取 り決めに対する包括的な規制・監督・監視を確保し、規制・監督上の結果の一貫性を促すため に、効率的かつ効果的なコミュニケーション、情報共有、協議を促進するため、国内外を問わず、 相互に協力・協調すべきである。
Recommendation 4: Governance structures and decentralised operations 勧告4:ガバナンス構造と分散運営
Authorities should require that GSC arrangements have in place and disclose a comprehensive governance framework with clear and direct lines of responsibility and accountability for all functions and activities within the GSC arrangement. 政府は、GSC のアレンジメントが、GSC のアレンジメント内の全ての機能及び活動につい て、明確かつ直接的な責任と説明責任を有する包括的なガバナンスの枠組みを有し、そ れを開示することを求めるべきである。
Recommendation 5: Risk management 勧告5:リスクマネジメント
Authorities should require that GSC arrangements have effective risk management frameworks in place that comprehensively address all material risks associated with their functions and activities, especially with regard to operational resilience, cyber security safeguards and AML/CFT measures, as well as “fit and proper” requirements, if applicable, and consistent with jurisdictions’ laws and regulations. 当局は、GSC のアレンジメントが、その機能及び活動に関連する全ての重要なリスク、特 にオペレーショナル・レジリエンス、サイバーセキュリティ・セーフガード、AML/CFT 措 置、及び適用される場合には「適合性及び適正性」の要件に関して、包括的に対処する効果的なリ スクマネジメントの枠組みを有し、かつ法域の法律及び規制と整合的であることを要求す べきである。
Recommendation 6: Data storage and access to data 勧告 6:データの保管とデータへのアクセス
Authorities should require that GSC arrangements have in place robust frameworks, including systems and processes for the collecting, storing, safeguarding and timely and accurate reporting of data. Authorities should have access to the data as necessary and appropriate to fulfil their regulatory, supervisory and oversight mandates. 当局は、GSC の取決めに対し、データの収集、保管、保護、適時かつ正確な報告のためのシス テムおよびプロセスを含む、強固な枠組みを整備することを求めるべきである。当局は、規制・監督・監視のマンデートを果たすために、必要かつ適切なデータへのアクセス権を有するべきである。
Recommendation 7: Recovery and resolution of the GSC 勧告7:GSC の回収と破綻処理
Authorities should require that GSC arrangements have appropriate recovery and resolution plans. 当局は、GSC が適切な回収・破綻処理計画を策定することを義務付けるべきである。
Recommendation 8: Disclosures 勧告8:情報開示
Authorities should require that GSC issuers and, where applicable, other participants in the GSC arrangements provide all users and relevant stakeholders with comprehensive and transparent information to understand the functioning of the GSC arrangement, including with respect to the governance framework, any conflicts of interest and their management, redemption rights, stabilisation mechanism, operations, risk management framework and financial condition. 当局は、GSC の発行体および該当する場合には GSC の他の参加者に対し、ガバナンスの枠組 み、利益相反とそのマネジメント、償還権、安定化メカニズム、業務、リスクマネジメントの枠組 みおよび財務状況を含め、GSC の機能を理解するための包括的かつ透明性のある情報を、すべての利 用者および関連する利害関係者に提供することを求めるべきである。
Recommendation 9: Redemption rights, stabilisation, and prudential requirements 勧告9:償還権、安定化、プルデンシャル要件
Authorities should require that GSC arrangements provide a robust legal claim to all users against the issuer and/or underlying reserve assets and guarantee timely redemption. For GSCs referenced to a single fiat currency, redemption should be at par into fiat. To maintain a stable value at all times and mitigate the risks of runs, authorities should require GSC arrangements to have an effective stabilisation mechanism, clear redemption rights and meet prudential requirements. 当局は、GSC の仕組みが、すべての利用者に対し、発行体および/または原資産に対す る強固な法的請求権を提供し、タイムリーな償還を保証することを要求すべきである。単一の不換紙幣を参照する GSC については、償還は不換紙幣とのパーで行われる べきである。常に安定した価値を維持し、暴落リスクを軽減するため、当局は GSC の取決めに対し て、効果的な安定化メカニズム、明確な償還権、およびプルデンシャル要件を満たすこ とを求めるべきである。
Recommendation 10: Conformance with regulatory, supervisory and oversight requirements before commencing operations 勧告 10:業務開始前の規制・監督・監視要件への適合
Authorities should require that GSC arrangements meet all applicable regulatory, supervisory and oversight requirements of a particular jurisdiction before commencing any operations in that jurisdiction and adapt to new regulatory requirements as necessary and as appropriate. 当局は、GSC のアレンジメントが特定の法域で業務を開始する前に、当該法域の適用され る規制、監督、監視上の要件をすべて満たしていることを求めるとともに、必要に応じて、また 適切な場合には、新たな規制要件に適応することを求めるべきである。

 

・[PDF] High-level Recommendations for the Regulation, Supervision and Oversight of Global Stablecoin Arrangements

 

20230718-24502

・[DOCX] 仮訳

 

 

| | Comments (0)

2023.07.17

英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

こんにちは、丸山満彦です。

英国のNCSCが、アクティブ・サイバーディフェンスについて6年目の報告書が公表されていますので、紹介です。。。

2017年以降、毎年公表されています。。。

ところで、日本でもActive Cyber Defenceあるいは、Active Cyber Defenseについての議論がおこなわれるようになってきていますね。しかし、ハックバックのことをアクティブ・サイバーディフェンスとしていることが多いように思います。英語の本場の英国でも、米国でも、Active Cyber DefenceまたはActive Cyber Defenseは文字通り防御であり攻撃ではないというのが、NCSC、DoDの考え方のように思います。。。

もちろん、日本でのアクティブ・サイバーディフェンスをハックバックとして定義してもよいのでしょうが。。。英語で英国、米国と議論するときにやりづらいかもしれませんね。。。ハックバックについては、サイバー反撃とかにしたほうがよいかもですね。。。

 

NCSC - Guidance & resources

・2023.07.06 ACD - The Sixth Year

 

報告書

・[PDF] ACD The Sixth Year - full report

20230717-51139

・[DOCX] 仮訳

 

目次...

Foreword 序文
Takedown テイクダウン
Suspicious Email Reporting Service 不審メール報告サービス
Mail Check メールチェック
Vulnerability Checking 脆弱性チェック
Protective DNS 保護DNS
Exercise in a Box エクササイズ・イン・ア・ボックス
Early Warning 早期警告
MyNCSC MyNCSC
Routing and Signalling ルーティングとシグナリング
Host Based Capability ホスト・ベースの能力
Vulnerability Reporting and Disclosure 脆弱性の報告と開示
Logging Made Easy 簡単にロギング
Cyber Threat Intelligence Adaptor サイバー脅威インテリジェンス・アダプター
Conclusion/forward look 結論/展望

 

 

主要発見事項の要約...

・[PDF] ACD The Sixth Year - summary of key findings

20230717-55811

 

 

ブログ記事

・2023.07.06 Active Cyber Defence: Sixth annual report now available

 

 

アクティブ・サイバーディフェンスについての情報は、、、

Active Cyber Defence

Introdcution

Services

Sign in or register

Guidance & resources

Contact Us

 

 

 


 

ちなみに、DoDのActive Cyber Defenseの定義は、2011年のサイバー空間の作戦のための国防総省の戦略 Department of Defense Strategy for Operating in Cyberspace で述べられています。

 

・2011.07 [PDF] Department of Defense Strategy for Operating in Cyberspace

20230717-61243



P7にありまして...

As malicious cyber activity continues to grow, DoD has employed active cyber defense to prevent intrusions and defeat adversary activities on DoD networks and systems. Active cyber defense is DoD’s synchronized, real-time capability to discover, detect, analyze, and mitigate threats and vulnerabilities. It builds on traditional approaches to defending DoD networks and systems, supplementing best practices with new operating concepts. It operates at network speed by using sensors, software, and intelligence to detect and stop malicious activity before it can affect DoD networks and systems. As intrusions may not always be stopped at the network boundary, DoD will continue to operate and improve upon its advanced sensors to detect, discover, map, and mitigate malicious activity on DoD networks. 悪質なサイバー活動が増え続ける中、国防総省は国防総省のネットワークやシステムに対する侵入を防ぎ、敵の活動を打ち負かすために積極的なサイバー防衛を採用してきた。積極的なサイバー防衛とは、脅威と脆弱性を発見、検知、分析、低減するための国防総省の同期化されたリアルタイム能力である。これは、国防総省のネットワークとシステムを防衛するための従来のアプローチを基礎とし、新しい運用コンセプトでベストプラクティスを補うものである。国防総省のネットワークやシステムに影響を与える前に、センサー、ソフトウェア、インテリジェンスを使って悪意のある活動を検知し、阻止することで、ネットワークスピードで運用される。国防総省は、国防総省ネットワーク上の悪意ある活動を検知、発見、マッピング、緩和するための高度なセンサーの運用と改善を継続する。

 

 

こちらも参考に...

JPCERT/CC - JPCERT/CC-Eyes

・2022.09.21 「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点につい by 佐々木 勇人

 

 


 

 過去の報告。。。

 

● NCSC

・2022.05.22 ACD - The Fifth Year

・[PDF] ACD The Fifth Year - full report

20230717-100104

・[PDF] ACD The Fifth Year - summary of key findings

20230717-100207

 

・2021.05.10 Active Cyber Defence (ACD) - the fourth year

・[PDF] Active Cyber Defence (ACD) - the 4th year

20230717-101122

 

・2021.02.19 Active Cyber Defence (ACD) - The Third Year

・[PDF] Active Cyber Defence - the third year

20230717-101606

 

・2019.07.16 Active Cyber Defence (ACD) - The Second Year

・[PDF] Active Cyber Defence - The Second Year

20230717-102040

 

 

1年目 国立図書館のアーカイブ...

・2018.02.05 Active Cyber Defence - one year on

・[PDF] Active Cyber Defence - One Year On

20230717-103529

 

2016年のNCSCのアクティブサイバーディフェンスについてのブログ記事...

・2016.11.01 Active Cyber Defence - tackling cyber attacks on the UK

 

1_20230717104001


 

 

英国でのACDの定義的なのは、2016年−2021年の国家サイバーセキュリティ戦略に記載があります。。。

・2016.11.01 National Cyber Security Strategy 2016 to 2021

・[PDF] National Cyber Security Strategy 2016 to 2021

20230717-134604

 

5.1. ACTIVE CYBER DEFENCE  5.1. アクティブ・サイバーディフェンス 
5.1.1. Active Cyber Defence (ACD) is the principle of implementing security measures to strengthen a network or system to make it more robust against attack. In a commercial context, Active Cyber Defence normally refers to cyber security analysts developing an understanding of the threats to their networks, and then devising and implementing measures to proactively combat, or defend, against those threats. In the context of this strategy, the Government has chosen to apply the same principle on a larger scale: the Government will use its unique expertise, capabilities and influence to bring about a step-change in national cyber security to respond to cyber threats. The ‘network’ we are attempting to defend is the entire UK cyberspace. The activities proposed represent a defensive action plan, drawing on the expertise of NCSC as the National Technical Authority to respond to cyber threats to the UK at a macro level. 5.1.1. アクティブ・サイバーディフェンス(ACD)とは、ネットワークやシステムを強化するためのセキュリティ対策を実施し、攻撃に対してより堅牢にするという原則である。商業的な文脈では、アクティブ・サイバーディフェンスとは通常、サイバーセキュリティ・アナリス トがネットワークに対する脅威について理解を深め、それらの脅威と積極的に戦う、あるいは防御す るための対策を考案し、実施することを指す。この戦略の文脈において、政府は同じ原則をより大規模に適用することを選択した。政府は、サイバー脅威に対応するために、独自の専門知識、能力、影響力を用いて、国家サイバーセキュリティに一歩進んだ変化をもたらす。我々が守ろうとしている「ネットワーク」とは、英国のサイバースペース全体のことである。提案されている活動は、国家技術機関としてのNCSCの専門知識を活用し、マクロレベルで英国へのサイバー脅威に対応するための防衛行動計画である。
Objectives  目的 
5.1.2. In undertaking ACD, the Government aims to: 5.1.2. ACD を実施するにあたり、政府は以下を目的としている:
• make the UK a much harder target for state sponsored actors and cyber criminals by increasing the resilience of UK networks;  ・英国ネットワークのレジリエンスを向上させることにより、英国を国家支援行為者やサイバー犯罪者にとってより困難な標的にする; 
• defeat the vast majority of highvolume/low-sophistication malware activity on UK networks by blocking malware communications between hackers and their victims;  ・ハッカーと被害者の間のマルウェア・コミュニケーションを遮断することにより、英国のネットワー クにおける大量かつ低精巧なマルウェア活動の大部分を阻止する; 
• evolve and increase the scope and scale of Government’s capabilities to disrupt serious state sponsored and cyber criminal threats;  ・深刻な国家による脅威やサイバー犯罪の脅威を混乱させるための政府の能力を進化させ、その範囲と規模を拡大する; 
• secure our internet and telecommunications traffic from hijacking by malicious actors; ・インターネットと通信トラフィックを悪意ある者によるハイジャックから守る;
• harden the UK’s critical infrastructure and citizen-facing services against cyber threats; and  ・英国の重要インフラと市民向けサービスをサイバー脅威から守る。
• disrupt the business model of attackers of every type, to demotivate them and to reduce the harm that their attacks can cause. ・あらゆるタイプの攻撃者のビジネスモデルを破壊し、攻撃者のやる気を失わせ、攻撃が引き起こす被害を減らす。
Approach アプローチ
 5.1.3. In pursuit of these aims, the Government will:   5.1.3. これらの目的を達成するため、政府は以下を行う: 
• work with industry, especially Communications Service Providers (CSPs), to make it significantly harder to attack UK internet services and users, and greatly reduce the prospect of attacks having a sustained impact on the UK. This will include tackling phishing, blocking malicious domains and IP addresses, and other steps to disrupt malware attacks. It will also include measures to secure the UK’s telecommunications and internet routing infrastructure;  ・産業界、特にコミュニケーション・サービス・プロバイダ(CSP)と協力し、英国のイ ンターネット・サービスとユーザーを攻撃することを大幅に困難にし、英国に持続的な 影響を与える攻撃の可能性を大幅に低減する。これには、フィッシングへの取り組み、悪意のあるドメインやIPアドレスのブロック、マルウェア攻撃を妨害するためのその他の措置が含まれる。また、英国の電気通信およびインターネット・ルーティング・インフラを保護するための対策も含まれる; 
• increase the scale and development of GCHQ, Ministry of Defence and NCA capabilities to disrupt the most serious cyber threats to the UK, including campaigns by sophisticated cyber criminals and hostile foreign actors; and  ・高度なサイバー犯罪者や敵対的な外国脅威行為者によるキャンペーンを含む、英国にとって最も深刻なサイバー脅威を混乱させるために、GCHQ、国防省、NCAの能力を拡大・発展させる。
• better protect government systems and networks, help industry build greater security into the CNI supply chain, make the software ecosystem in the UK more secure, and provide automated protections for government online services to the citizen. ・政府のシステムとネットワークをよりよく保護し、産業界が CNI のサプライチェーンにより高いセキュリティを構築するのを支援し、英国のソフトウェア・エコシステムをより安全なものにし、政府のオンラインサービスの自動化された保護を市民に提供する。
5.1.4. Where possible, these initiatives will be delivered with or through partnerships with industry. For many, industry will be designing and leading implementation, with the Government’s critical contribution being expert support, advice and thought-leadership.  5.1.4. これらの取り組みは、可能な限り、産業界とともに、または産業界とのパートナーシップを通じて実施される。多くの場合、産業界が設計し、実施を主導することになるが、ガバナンスの重要な貢献は、専門家による支援、助言、思想的リーダーシップである。
5.1.5. The Government will also undertake specific actions to implement these measures, which will include:  5.1.5. ガバナンスは、これらの措置を実施するための具体的な行動も実施する: 
• working with CSPs to block malware attacks. We will do this by restricting access to specific domains or web sites that are known sources of malware. This is known as Domain Name System (DNS) blocking / filtering;  ・マルウェア攻撃をブロックするために CSP と協力する。マルウェアの発信源として知られる特定のドメインやウェブサイトへのアクセスを制限する。これは、ドメインネームシステム(DNS)のブロッキング/フィルタリングとして知られている; 
• preventing phishing activity that relies on domain ‘spoofing’ (where an email appears to be from a specific sender, such as a bank or government department, but is actually fraudulent) by deploying an email verification system on government networks as standard and encouraging industry to do likewise;  ・政府ネットワークに電子メール検証システムを標準配備し、業界にも同様に配備するよう奨励することで、ドメインの「なりすまし」(銀行や政府機関など特定の送信者からの電子メールに見えるが、実際には詐欺メールである)に依存するフィッシング行為を防止する; 
• promoting security best practice through multi-stakeholder internet governance organisations such as the Internet Corporation for Assigned Names and Numbers (ICANN) which coordinates the domain name system), the Internet Engineering Task Force (IETF) and the European Regional Internet Registry (RIPE) and engagement with stakeholders in the UN Internet Governance Forum (IGF);  ・ドメインネームシステムを調整するICANN(Internet Corporation for Assigned Names and Numbers)、IETF(Internet Engineering Task Force)、RIPE(European Regional Internet Registry)などのマルチステークホルダー型のインターネットガバナンス組織や、国連のインターネットガバナンスフォーラム(IGF)における利害関係者との連携を通じて、セキュリティのベストプラクティスを推進する;) 
• working with law enforcement channels in order to protect UK citizens from being targeted in cyber attacks from unprotected infrastructure overseas; ・海外の無防備なインフラからのサイバー攻撃から英国市民を守るため、法執行ルートと協力する;
• working towards the implementation of controls to secure the routing of internet traffic for government departments to ensure that it cannot be illegitimately re-routed by malicious actors; and  ・政府省庁のインターネット・トラフィックを安全にルーティングし,悪意ある行為者によって不正に再ルーティングされないようにするためのコントロールの実施に取り組む。
• investing in programmes in the Ministry of Defence, the NCA and GCHQ that will enhance the capabilities of these organisations to respond to, and disrupt, serious state-sponsored and criminal cyber activity targeting UK networks.  ・国防省、NCA、GCHQにおけるプログラムに投資することで英国のネットワークを標的とした国家による深刻なサイバー活動や、犯罪的サイバー活動に対応し、混乱させるための組織の能力を強化する。
We will develop these technical interventions as threats evolve to ensure that UK citizens and businesses are protected by default from the majority of large-scale commodity cyber attacks. 我々は、脅威が進化するにつれてこれらの技術的介入を発展させ、英国市民と企業が大規模な商品サイバー攻撃の大半からデフォルトで保護されるようにする。
Measuring success  成功の測定
5.1.6. The Government will measure its success in establishing effective ACD by assessing progress towards the following outcomes: 5.1.6. 政府は、以下の成果に対する進捗状況を評価することにより、効果的な ACD の確立における成 功を測定する:
 • the UK is harder to ‘phish’, because we have large-scale defences against the use of malicious domains, more active anti-phishing protection at scale and it is much harder to use other forms of communication, such as ‘vishing’ and SMS spoofing, to conduct social engineering attacks;   ・英国では、悪意のあるドメインの使用に対する大規模な防御、より積極的な大規模フィッシン グ対策、およびソーシャル・エンジニアリング攻撃を行うための「ビッシング」や SMS スプーフィングな どの他のコミュニケーション形態の使用が非常に困難になっているため、「フィッシング」がより困難 になっている; 
• a far larger proportion of malware communications and technical artefacts associated with cyber attacks and exploitation are being blocked;  ・サイバー攻撃や悪用に関連するマルウェアのコミュニケーションや技術的な成果物が、はるかに多くの割合でブロックされている; 
• the UK’s internet and telecommunications traffic is significantly less vulnerable to rerouting by malicious actors;  ・英国のインターネットおよび通信トラフィックは、悪意ある行為者による経路変更に対する脆弱性が大幅に減少している; 
• GCHQ, the Armed Forces’ and NCA capabilities to respond to serious statesponsored and criminal threats have significantly increased. ・GCHQ、軍、NCAの深刻な国家的脅威や犯罪的脅威に対応する能力が大幅に向上した。

 

 

日本の場合

国家安全保障戦略に「能動的サイバー防御」(Active Cybeer Defense)として登場します。。。

・[PDF] 国家安全保障戦略」(令和4年12月16日 国家安全保障会議・閣議決定)

・[PDF] National Security Strategy(NSS) -English Version-

(i) Improving Response Capabilities in the Field of Cybersecurity  ア サイバー安全保障分野での対応能力の向上 
In order to ensure secure and stable use of cyberspace, especially the security of the nation and critical infrastructures, the response capabilities in the field of cybersecurity should be strengthened equal to or surpassing the level of leading Western countries.   サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保するために、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる。 
Specifically, in order to be able to respond to emerging cyber threats at any time, Japan will first establish a mechanism to continuously assess the information systems of government agencies, to improve measures against cyber threats as necessary, and to constantly manage vulnerabilities of government agencies’ information systems. As part of these efforts, the Government will continue to enhance defense throughout the lifecycle of information systems of government agencies, including those used in the fields of diplomacy, defense, and intelligence, from installation to disposal, while also promoting the development and effective use of human resources inside and outside the Government, by actively adopting cutting-edge concepts and technologies related to cybersecurity at all times.   具体的には、まずは、最新のサイバー脅威に常に対応できるようにするため、政府機関のシステムを常時評価し、政府機関等の脅威対策やシステムの脆弱性等を随時是正するための仕組みを構築する。その一環として、サイバーセキュリティに関する世界最先端の概念・技術等を常に積極的に活用する。そのことにより、外交・防衛・情報の分野を始めとする政府機関等のシステムの導入から廃棄までのライフサイクルを通じた防御の強化、政府内外の人材の育成・活用の促進等を引き続き図る。 
In addition, Japan will introduce active cyber defense for eliminating in advance the possibility of serious cyberattacks that may cause national security concerns to the Government and critical infrastructures and for preventing the spread of damage in case of such attacks, even if they do not amount to an armed attack. For this purpose, the Government will take further steps to develop information gathering and analysis capabilities in the field of cybersecurity and establish systems to implement active cyber defense. Therefore, the Government will advance efforts to consider to realize necessary measures including the following (a) to (c):  その上で、武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する。そのために、サイバー安全保障分野における情報収集・分析能力を強化するとともに、能動的サイバー防御の実施のための体制を整備することとし、以下の(ア)から(ウ)までを含む必要な措置の実現に向け検討を進める。  
(a)         Japan will advance efforts on information sharing to the Government in case of cyberattacks among the private sector including critical infrastructures, as well as coordinating and supporting incident response activities for the private sector.   (ア) 重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、支援等の取組を強化するなどの取組を進める。 
(b)         Japan will take necessary actions to detect servers and others suspected of being abused by attackers by utilizing information on communications services provided by domestic telecommunications providers.  (イ) 国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃者による悪用が疑われるサーバ等を検知するために、所要の取組を進める。 
(c)         For serious cyberattacks that pose security concerns against the Government, critical infrastructures, and others, the Government will be given the necessary authorities that allow it to penetrate and neutralize attacker's servers and others in advance to the extent possible.  (ウ) 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。 
In order to realize and promote these efforts, including active cyber defense, the National center for Incident readiness and Strategy for Cybersecurity (NISC) will be constructively restructured to establish a new organization which will comprehensively coordinate policies in the field of cybersecurity, in a centralized manner. Then, the Government will work on legislation and strengthen operations for the purpose of materializing these new efforts in the field of cybersecurity. These measures will contribute to the reinforcement of a comprehensive defense architecture.   能動的サイバー防御を含むこれらの取組を実現・促進するために、内閣サイバーセキュリティセンター(NISC)を発展的に改組し、サイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置する。そして、これらのサイバー安全保障分野における新たな取組の実現のために法制度の整備、運用の強化を図る。これらの取組は総合的な防衛体制の強化に資するものとなる。 
In addition, the Government will improve coordination with other policies that contribute to the enhancement of cybersecurity, such as economic security and the enhancement of technical capabilities related to national security.   また、経済安全保障、安全保障関連の技術力の向上等、サイバー安全保障の強化に資する他の政策との連携を強化する。 
Furthermore, the Government will continue to work for the enhancement of information gathering and analysis, attribution and its public announcement, as well as formulation of international frameworks and rules in a coordinated manner with its ally, like-minded countries and others.  さらに、同盟国・同志国等と連携した形での情報収集・分析の強化、攻撃者の特定とその公表、国際的な枠組み・ルールの形成等のために引き続き取り組む。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.03 米国 米サイバー軍がアルバニアでイランからのサイバー攻撃に対する防衛的ハント作戦を実施 (2023.03.23)

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.08.23 米国 サイバー司令部:クロアチアと米国のサイバー防衛隊が悪質な行為者をハントする

・2022.07.04 英国 商業的なサイバー能力は合法的かつ責任を持って使用されなければならない by 国家サイバーセキュリティセンター長 (2022.06.28)

・2021.11.19 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.04.07 ハックバックを認めるべき?民間企業による積極的サイバー防衛についての記事 ... Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line?

・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)


| | Comments (0)

英国 会計検査院 オンライン安全規制への備え (2023.07.12)

こんにちは、丸山満彦です。

英国の会計検査院 (National Audit Office) がオンライン安全規制への備えという報告書を公表していますね。。。

 

National Audit Office

・2023.07.12 Preparedness for online safety regulation

 

Preparedness for online safety regulation オンライン安全規制への備え
Background to the report 報告書の背景
People are increasingly living their lives online. According to research by Ofcom, 93% of UK adults have access to the internet at home, and they spent on average just under four hours online a day in September 2022. 人々はますますオンラインで生活するようになっている。Ofcom(Office of Communications; 英国情報通信庁)[wikipedia] の調査によると、英国の成人の93%が自宅でインターネットにアクセスし、2022年9月には1日平均4時間弱をオンラインで過ごしている。
Of internet users in the UK, 68% of child users (aged 13-17), and 62% of adult users (aged 18+), indicated in 2022 that they had experienced at least one potential online harm in the last four weeks. Harmful content can vary in nature, from child sexual abuse material and terrorist content to online fraud and the encouragement of self-harm. 英国のインターネット利用者のうち、子供(13~17歳)の利用者の68%、大人(18歳以上)の利用者の62%が、2022年の時点で、過去4週間に少なくとも1回、オンライン上で潜在的な危害を受けた経験があると回答している。有害なコンテンツは、児童の性的虐待やテロリストのコンテンツ、オンライン詐欺や自傷行為の助長など、その性質はさまざまである。
The government has set itself an objective of making the UK the safest place in the world to go online. To achieve this, in March 2022 the government introduced to Parliament the Online Safety Bill. The government considers that, with this Bill, the UK will be the first country to regulate such a comprehensive range of online harms 政府は、英国を世界で最も安全なオンライン環境にするという目標を掲げている。これを達成するため、政府は2022年3月にオンライン安全法案を議会に提出した。政府は、この法案によって、英国がこのような包括的なオンライン被害を規制する最初の国になると考えている。
Scope of the report 報告書の範囲
During our work on this report, responsibility for delivering the Online Safety Bill moved from DCMS to a new department, the Department for Science, Innovation & Technology (DSIT), after machinery-of-government changes in early 2023. In this report, we will refer to DCMS or DSIT, as appropriate, reflecting which department was responsible at that time. 本報告書の作成中、2023年初頭の政府機構改革により、オンライン安全法案の提出責任はDCMSから新省庁である科学技術革新省(DSIT)に移った。本報告書では、当時の担当部局を反映し、適宜DCMSまたはDSITと表記する。
This report examines whether the preparations undertaken by DSIT (and previously DCMS) and Ofcom for the implementation of the new online safety legislation are sufficiently advanced. Our evaluation and recommendations are based on our good practice guidance on the principles of effective regulation. The report covers work undertaken by the departments and Ofcom to: 本報告書では、新しいオンライン安全法の施行に向けて、DSIT(以前はDCMS)とOfcomが行った準備が十分に進んでいるかどうかを検証する。我々の評価と提言は、効果的な規制の原則に関するグッド・プラクティス・ガイダンスに基づいている。本報告書は、各省庁とOfcomが実施した以下の作業を対象としている:
・establish the regulatory framework ・規制の枠組みを確立する
・prepare to implement the regulatory framework ・規制の枠組みを実施するための準備
・enable informed regulation ・情報に基づいた規制を可能にする
Conclusions 結論
Securing adequate protection of citizens from online harm will be a big new role for Ofcom. It has been preparing for the introduction of the new regulatory regime for online safety at the same time as Parliament has been considering the Online Safety Bill establishing the regime. As a result, Ofcom has had to take account of significant changes to both the regime’s scope and timing. オンライン上の危害から市民を適切に保護することは、Ofcomにとって大きな新しい役割である。Ofcomは、議会がオンライン安全法案を審議しているのと同時に、オンライン安全に関する新たな規制体制の導入準備を進めてきた。その結果、Ofcomは規制の範囲と時期の大幅な変更を考慮しなければならなくなった。
Ofcom has made a good start to its preparations and has taken the steps it could reasonably have done by this point: compiling an evidence base to inform its implementation of the new regime; putting in place the capacity, capabilities and organisational design it needs to begin operating the regime; and engaging with stakeholders. Ofcomは準備を順調にスタートさせ、新体制の実施に情報を提供するための証拠資料の作成、新体制の運用を開始するために必要な能力、能力、組織設計の整備、利害関係者との連携など、この時点までに合理的に実施できる措置を講じてきた。
The regulator estimates that its cumulative costs in preparing for and implementing the regime could total £169 million by the end of 2024-25, of which £56 million will have been incurred by the end of 2022-23. The full regulatory regime will, however, only come into effect in phases over the two years after the Bill’s Royal Assent, and Ofcom still has lots to do in terms of finalising its arrangements. 規制当局は、新体制の準備と実施にかかる累積コストは、2024-25年末までに1億6900万ポンド、うち2022-23年末までに5600万ポンドが発生すると見積もっている。しかし、完全な規制制度は法案勅許後の2年間に段階的に施行されるだけであり、Ofcomには最終的な取り決めという点でまだやるべきことがたくさんある。
Ofcom will need to manage several risks in implementing the new regulatory regime in a way that delivers value for money. It will need to move quickly to cover any gaps in its preparations arising from the significant amendments to the Online Safety Bill announced by the government at the end of June 2023 and any further changes before the Bill receives Royal Assent. Ofcomは、新しい規制制度を導入する上で、いくつかのリスクをマネジメントする必要がある。2023年6月末に政府から発表されたオンライン安全法案の大幅な修正と、同法案が勅許を得る前のさらなる変更から生じる準備のギャップをカバーするために、迅速に行動する必要がある。
The regulator has also yet to secure the funding it needs for the extra staff it has identified that it will require. It will need to regulate a very large number of services, the great majority of which have not been regulated before and are unfamiliar with Ofcom and how it works, and which have no UK corporate or economic presence. It will need to cover its costs by introducing fees so that the regime becomes self-financing. It will also need to obtain good-quality data to monitor the compliance of services and to evaluate its own effectiveness and that of the regime. また、規制当局が必要と認識しているスタッフの増員に必要な資金もまだ確保できていない。規制当局は非常に多くのサービスを規制する必要があるが、その大半はこれまで規制を受けたことがなく、Ofcomやその仕組みに馴染みがなく、英国の企業や経済的存在感がない。Ofcomは、手数料を導入することでその費用を賄い、制度が独立採算制になるようにする必要がある。また、サービスのコンプライアンスを監視し、Ofcom自身と制度の有効性を評価するために、質の高いデータを取得する必要がある。
Furthermore, it will be vital for Ofcom to secure public trust by managing the public’s expectations about the regime’s impact in its early years. This is a significant set of challenges, and Ofcom has already started to consider how it will address them. さらにOfcomは、制度の初期段階において、制度の影響に対する国民の期待を管理することで、国民の信頼を確保することが不可欠である。これは重要な課題であり、Ofcomはすでにこれらの課題にどのように取り組むか検討を始めている。
Downloads ダウンロード
Report - Preparedness for online safety regulation  ・報告書 ・オンライン安全規制への備え
Summary - Preparedness for online safety regulation ・要約 ・オンライン安全規制への備え
ePub - Preparedness for online safety regulation ・ePub ・オンライン安全規制への備え

 

 

・[PDF] ・Report - Preparedness for online safety regulation 

20230717-40807

 

要約...

・[PDF] Summary - Preparedness for online safety regulation

20230717-40807

 

目次...

Key facts 主な事実
Summary 概要
Part One Establishing the regulatory framework 第1部 規制の枠組みを確立する
Part Two Preparing to implement the regulatory framework 第2部 規制の枠組みを実施するための準備
Part Three Enabling informed regulation 第3部 情報に基づく規制を可能にする
Appendix One Our audit approach 附属書1 我々の監査アプローチ

 

サマリー...

Summary 要約
Introduction 序文
1  People are increasingly living their lives online. According to research by Ofcom, 93% of UK adults have access to the internet at home, and they spent on average just under four hours online a day in September 2022. Although the internet has many benefits, there are challenges from such online activity. Of internet users in the UK, 68% of child users (aged 13-17), and 62% of adult users (aged 18+), indicated in 2022 that they had experienced at least one potential online harm in the last four weeks. Harmful content can vary in nature, from child sexual abuse material and terrorist content to online fraud and the encouragement of self-harm. 1 人々はますますオンラインで生活するようになっている。Ofcomの調査によると、英国の成人の93%が自宅でインターネットにアクセスし、2022年9月には1日平均4時間弱をオンラインで過ごしている。インターネットには多くの利点があるが、そのようなオンライン活動から生じる課題もある。英国のインターネット利用者のうち、子供(13~17歳)の利用者の68%、大人(18歳以上)の利用者の62%が、2022年の時点で、過去4週間に少なくとも1回、ネット上で潜在的な危害を受けた経験があると回答している。有害なコンテンツは、児童の性的虐待やテロリストのコンテンツ、オンライン詐欺や自傷行為の助長など、その性質はさまざまである。
2  The government has set itself an objective of making the UK the safest place in the world to go online. To achieve this, in March 2022, the Department for Digital, Culture, Media & Sport (DCMS) introduced in the House of Commons the Online Safety Bill (the Bill). The government considers that, with this Bill, the UK will be the first country to regulate such a comprehensive range of online harms. The Bill introduces new duties on search engines, firms which host user-generated content, and providers of pornographic content, to minimise the extent of illegal content and content that is harmful to children experienced by their users. Providers failing to meet these duties will be accountable to Ofcom, the UK’s existing communications regulator, in its new role as the UK’s online safety regulator. 2 政府は、英国を世界で最も安全にオンラインを利用できる国にするという目標を掲げている。これを達成するため、デジタル・文化・メディア・スポーツ省(DCMS)は2022年3月、オンライン安全法案(法案)を下院に提出した。政府は、この法案によって、英国がこのような包括的なオンライン被害を規制する最初の国になると考えている。法案では、検索エンジン、ユーザー生成コンテンツをホストする企業、ポルノ・コンテンツのプロバイダに対し、違法コンテンツや児童に有害なコンテンツがユーザーの目に触れる範囲を最小限に抑えるよう、新たな義務を課す。これらの義務を果たせないプロバイダは、英国の既存のコミュニケーション規制機関であるOfcomに対して、英国のオンライン安全規制機関としての新たな役割において説明責任を負うことになる。
3  The Bill requires Ofcom to secure the adequate protection of citizens from harm arising from content on regulated services, through the appropriate use by service providers of systems and processes designed to reduce the risk of such harm. Ofcom has been preparing for its new regulatory role since 2020 when DCMS confirmed its decision to appoint Ofcom as the regulator for online safety. 3 法案は、Ofcomに対し、そのような危害のリスクを低減するように設計されたシステムとプロセスをサービス・プロバイダが適切に利用することにより、規制対象サービス上のコンテンツに起因する危害から市民を適切に保護することを求めている。Ofcomは、DCMSがOfcomをオンライン安全の規制当局として任命することを決定した2020年以降、新たな規制の役割に向けて準備を進めてきた。
Scope of this report 本報告書の範囲
4  During our work on this report, responsibility for delivering the Online Safety Bill moved from DCMS to a new department, the Department for Science, Innovation & Technology (DSIT), after machinery-of-government changes in early 2023. In this report, we will refer to DCMS or DSIT, as appropriate, reflecting which department was responsible at that time. 4 本報告書の作成期間中、オンライン安全法案を実現するための責任は、2023年初頭の政府機構変更により、DCMSから新たな省庁である科学技術革新省(DSIT)に移った。本報告書では、当時の担当部局を反映し、適宜DCMSまたはDSITと表記する。
5  This report examines whether the preparations undertaken by DSIT (and previously DCMS) and Ofcom for the implementation of the new online safety legislation are sufficiently advanced. Our evaluation and recommendations are based on our good practice guidance on the principles of effective regulation.1 The report covers work undertaken by the departments and Ofcom to: 5 本報告書では、新しいオンライン安全法の施行に向けて、DSIT(以前はDCMS)とOfcomが行った準備が十分に進んでいるかどうかを検証する。我々の評価と提言は、効果的な規制の原則に関するグッド・プラクティス・ガイダンス1 に基づいている:
•  establish the regulatory framework; ・規制の枠組みを確立する;
•  prepare to implement the regulatory framework; and ・規制の枠組みを実施するための準備
•  enable informed regulation. ・情報に基づいた規制を可能にする。
Key findings 主な調査結果
Establishing the regulatory framework 規制の枠組みの確立
6  Ofcom has been preparing for the new regulatory regime while Parliament has been considering the Online Safety Bill. Ofcom has been preparing for its new duties since 2020, but this early start has meant that it has been undertaking its preparations while the regulatory regime was still being developed. Although the broad intent and ambition of the legislation have not changed, there have been significant changes to the Bill’s scope, including the introduction of new duties on service providers to tackle fraudulent advertising and limit children’s access to pornography, and amendments to what were previously core duties on tackling legal but harmful content for adults. The government announced further significant amendments to the Bill at the end of June 2023, including, for example, new powers for Ofcom to obtain information on a child’s social media use if requested by a coroner. There have also been significant changes to the Bill’s timetable. The Bill was introduced in the House of Commons in March 2022 and expected to receive Royal Assent in February 2023. However, the Bill did not enter the House of Lords until January 2023, and, as at July 2023, Royal Assent was not expected until October 2023. The scope of the regulatory regime will not be finalised until the Bill receives Royal Assent (paragraphs 1.8 and 1.9). 6 国会がオンライン安全法案を審議している間、Ofcomは新たな規制体制の準備を進めてきた。Ofcomは2020年以降、新たな責務の準備を進めてきたが、スタートが早かったため、規制体制が整備される中で準備を進めてきたことになる。法案の大まかな趣旨と野心に変更はないが、詐欺広告への取り組みや、子どものポルノへのアクセス制限に関するプロバイダへの新たな義務の序文や、合法だが有害な成人向けコンテンツへの取り組みに関する従来の中核的な義務の修正など、法案の範囲に大きな変更があった。例えば、検視官の要請があれば、Ofcomが子どものソーシャルメディア利用に関する情報を入手できる新たな権限などである。また、法案のスケジュールにも大きな変更があった。法案は2022年3月に下院に提出され、2023年2月に勅許を得る予定だった。しかし、法案が貴族院に入ったのは2023年1月であり、2023年7月時点では、勅許は2023年10月まで下りないと予想されていた。法案が勅許を得るまで、規制制度の範囲は確定しない(パラグラフ1.8および1.9)。
7  The full regulatory regime will be put in place in phases over the two years after Royal Assent. Ofcom’s new powers are expected to come into force two months after Royal Assent to the Bill has been granted. Ofcom then needs to put in place detailed codes of practice and guidance which set out the details of the regulatory regime. This process will involve extensive consultation with a wide range of stakeholders, including industry, and is dependent in some areas on the passing of secondary legislation. Ofcom will finalise all relevant codes and guidance in phases from 2024, and, as at June 2023, it did not expect the regulatory regime to be fully operational until 2025. During this period, there will continue to be uncertainty around the regulatory regime’s final details, such as how service providers will be categorised in order to determine the exact duties they will face. In July 2022, Ofcom produced a roadmap setting out how it intended to implement the new regime after Royal Assent, but this assumed Royal Assent early in 2023. In June 2023, it published an update to the roadmap, confirming the phased approach to its production of codes and guidance, but with a new assumed date for Royal Assent of autumn 2023. The update did not, however, contain detailed dates for the timings of the various phases. There is a risk that the regime will become fully operational later than 2025 if further significant changes, such as those announced by the government at the end of June 2023, are included in the Bill (paragraphs 1.10 and 1.11). 7 完全な規制制度は勅許後の2年間で段階的に導入される。Ofcomの新しい権限は、法案の勅許が下りた2ヶ月後に施行される予定である。その後、Ofcomは規制制度の詳細を定めた詳細な実施規範とガイダンスを制定する必要がある。このプロセスには、業界を含む幅広い利害関係者との広範な協議が必要であり、第二次法の成立に依存する部分もある。Ofcomは2024年から段階的にすべての関連コードとガイダンスを確定する予定であり、2023年6月時点では、規制体制が完全に運用されるのは2025年になると予想している。この間、プロバイダが直面する正確な義務を決定するために、プロバイダをどのように分類するかなど、規制制度の最終的な詳細については不透明な状況が続く。2022年7月、Ofcomは勅許後の新体制をどのように実施するかを示したロードマップを作成したが、これは2023年早期の勅許を前提としたものであった。2023年6月にはロードマップのアップデートを発表し、コードとガイダンスの段階的な作成方法を確認したが、勅許の時期は新たに2023年秋を想定していた。しかし、この更新版には、各段階の時期に関する詳細な日付は含まれていなかった。2023年6月末に政府が発表したような更なる大幅な変更が法案に盛り込まれた場合、制度の本格的な運用開始が2025年より遅くなるリスクがある(パラグラフ1.10および1.11)。
8  Ofcom has identified its early priorities for action once its powers start to come into force after Royal Assent. Ofcom will still have lots to do to develop the regime. For example, it will have to produce more than 40 regulatory documents, including formal codes of practice and guidance for regulated service providers. In the initial stage after its powers start to come into force, Ofcom is prioritising action against some of the most serious online harms, for example, tackling illegal content and protecting children. However, the duties placed on service providers are not enforceable until the relevant codes of practice and guidance are published and the relevant parts of the regulatory regime fully implemented. Even then, enforcing these duties could be challenging for Ofcom as some service providers may deliberately choose not to comply with the regime out of criminal or malign intent, despite Ofcom taking enforcement action, and most have no UK corporate or economic presence. Users may not notice a significant change to their online experience at first. Ofcom has recognised that some stakeholders might expect immediate changes on the Bill’s Royal Assent or might be unaware that Ofcom will have no specific powers to address individual pieces of harmful content. It has therefore put in place a communications strategy for managing these expectations and addressing misunderstandings (paragraphs 1.12 to 1.16). 8 Ofcomは、勅許(ロイヤル・アセント)後にその権限が発効し始めた場合の初期の優先事項を特定した。Ofcomは、この制度を発展させるために、まだ多くの課題を抱えている。例えば、正式な実施規範や規制対象サービスプロバイダ向けのガイダンスなど、40以上の規制文書を作成しなければならない。権限発効後の初期段階では、Ofcomは、違法コンテンツへの対処や児童の保護など、最も深刻なオンライン被害への対処を優先している。しかし、サービスプロバイダに課せられた義務は、関連する実施規範やガイダンスが公表され、規制体制の関連部分が完全に実施されるまでは、強制力を持たない。というのも、一部のプロバイダは、Ofcomが強制措置を講じたにもかかわらず、犯罪的意図や悪意から意図的に規制体制を遵守しないことを選択する可能性があり、また、ほとんどのプロバイダは英国に企業や経済的拠点を持たないからである。ユーザーは、オンライン体験の大きな変化に最初は気づかないかもしれない。Ofcomは、一部の利害関係者が法案の勅許による即時の変化を期待したり、Ofcomが個々の有害コンテンツに対処する具体的な権限を持たないことに気づかない可能性があることを認識している。そこで、こうした期待に応え、誤解に対処するためのコミュニケーション戦略を策定した(パラグラフ1.12~1.16)。
Preparing to implement the framework 枠組みの実施準備
9  Ofcom has made a good start to its preparations. Ofcom has taken a structured approach to preparing for the new regime and established appropriate programme management and governance arrangements for setting it up. Its preparations are broadly on track against its latest planned timetable. In March 2023 Ofcom rated the programme’s overall progress as ‘Amber’ (that is, a delay of less than four weeks or objectives in terms of scope and budget possibly at risk, but with mitigating actions agreed), highlighting uncertainties in the Bill’s timetable as a risk to its plans. Any further significant changes to the scope of the Bill, such as those announced by the government at the end of June 2023, risk creating a gap in Ofcom’s preparations (paragraphs 2.2, 2.4 and 2.5). 9 Ofcom はその準備のために順調なスタートを切った。Ofcomは新体制の準備のために体系的なアプローチをとり、新体制を立ち上げるための適切なプログラム管理とガバナンスの仕組みを確立した。その準備は、最新の予定スケジュールに対して概ね順調に進んでいる。2023年3月、Ofcomはプログラムの全体的な進捗を「アンバー」(4週間未満の遅延、またはスコープと予算に関する目標がリスクにさらされる可能性があるが、緩和措置が合意されている)と評価し、法案のタイムテーブルの不確実性を計画のリスクとして強調した。2023年6月末に政府が発表したような、法案の範囲に対するさらなる大幅な変更は、Ofcomの準備にギャップを生じさせるリスクとなる(段落2.2、2.4、2.5)。
10  Government has enabled Ofcom to commit significant resources to preparing for the new regulatory regime up to 2023-24, but funding for 2024-25 is unclear. Government agreed to Ofcom funding the upfront costs for preparing for the new regime from Wireless Telegraphy Act 2006 receipts, which Ofcom would have otherwise handed to the Exchequer.2 The government expected that the setting up of the new regulatory regime would be completed in 2023-24. Ofcom would then start to recover both its upfront costs, and the ongoing costs of the regime, from fees levied on the industry from 2024-25, making the regime self-financing from that date. However, as at May 2023, Ofcom expected that it would start to recover its online safety costs in 2025-26, a year later than originally expected due to the changes to the Bill’s timetable. Ofcom has also identified that it will need extra resources to take on increases in the scope of the regime, such as the inclusion of fraudulent advertising. As at April 2023, Ofcom estimated that its cumulative costs in preparing for and implementing the regime could total £169 million by the end of 2024-25, of which about £56 million will have been incurred by the end of 2022-23. Ofcom is in the process of finalising its funding requirement for 2024-25 and seeking agreement for this funding from DSIT and HM Treasury. Changes to the Bill’s timetable also mean that the details of the fee regime remain uncertain (paragraphs 2.6 to 2.9). 10 政府により、Ofcomは2023-24年までの新規制体制の準備に多大なリソースを投入することが可能となったが、2024-25年の資金は不透明である。ガバナンスは、Ofcomが新体制準備のための初期費用を2006年無線電信法(Wireless Telegraphy Act 2006)の収入から捻出することに同意した。その後、Ofcomは2024年から25年にかけて、業界に課される料金からその初期費用と継続的な費用を回収し始め、その時点からこの制度は独立採算となる。しかし、2023年5月時点で、Ofcomは、法案のタイムテーブルの変更により、オンライン・セーフティ・コストの回収開始が当初の予想より1年遅い2025-26年になると予想していた。Ofcomはまた、不正広告の取り込みなど、規制範囲の拡大に対応するための余分なリソースが必要であることも認識している。2023年4月時点で、Ofcomは、同制度の準備と実施にかかる累積コストは2024-25年末までに1億6900万ポンド、うち2022-23年末までに約5600万ポンドが発生すると見積もっている。Ofcomは現在、2024-25年に必要な資金を確定し、DSITと財務省にこの資金の合意を求めているところである。法案のスケジュールが変更されたことで、料金制度の詳細も不透明なままである(パラグラフ2.6~2.9)。
11  Ofcom has undertaken significant organisational work to prepare for its new responsibilities. In September 2020, Ofcom restructured so that online safety would be embedded in its organisation, and it expanded its technology group. In April 2023, it created a new Online Safety Group with responsibility for strategy delivery and policy development. This Group also contains a dedicated supervision unit, responsible for promoting the compliance of small providers and for managing relationships with what Ofcom expects to be the 20 largest and riskiest service providers, in line with lessons Ofcom learned from its existing regulation of video-sharing platforms. Ofcom is confident that this new structure will enable it to respond quickly to new and emerging harms but acknowledged that it has more to do to embed more responsive ways of working (paragraphs 2.10 to 2.12). 11 Ofcomは、その新たな責務に備えるため、重要な組織的作業を行ってきた。2020年9月、Ofcomはオンライン・セーフティが組織に組み込まれるように組織再編を行い、技術グループを拡大した。2023年4月には、オンライン・セーフティ・グループ(Online Safety Group)を新設し、戦略の推進と政策の策定を担当することになった。このグループには専門の監督部門も置かれ、小規模プロバイダのコンプライアンス推進と、Ofcomが動画共有プラットフォームに対する既存の規制から学んだ教訓に基づき、最大かつ最もリスクの高い20のサービス・プロバイダとの関係マネージドを担当する。Ofcomは、この新体制により、新たな危害に迅速に対応することが可能になると確信しているが、より迅速な対応方法を定着させるためには、さらにやるべきことがあると認めている(段落2.10~2.12)。
12  Ofcom has significantly expanded its capacity and capabilities since 2020, but challenges remain, for example, in recruiting the extra staff it needs. In July 2020, Ofcom identified that it would require almost 350 extra staff by 2023-24 and beyond to meet its new responsibilities, an increase of more than 35% on its total staff at the end of 2019-20.3 Its progress in delivering this requirement has been broadly in line with its schedule. By March 2023, it had 346 staff in place, based in London, Edinburgh and a new hub in Manchester. However, in February 2023, it revised its estimate of staff needed to more than 450 by the end of 2023-24 and beyond, an increase of more than 100 on its 2020 figure, due to its establishment of a dedicated supervision unit and the need for more staff to cover increases in the regulatory regime’s scope. As at April 2023, it had yet to seek the agreement of DSIT or HM Treasury to the funding it requires for future years. Ofcom had initially focused its recruitment efforts on roles to support the legislative process and set up operations. However, once the regime is under way, some of these staff will transition to supervision roles (paragraphs 2.13 to 2.15, 2.17 and 2.18). 12 Ofcomは、2020年以降、そのキャパシティと能力を大幅に拡大してきたが、例えば、必要な余剰人員の確保に課題が残っている。2020年7月、Ofcomは、新たな責任を果たすために、2023-24年以降に350人近くの増員が必要であることを明らかにした。2023年3月までに、ロンドン、エジンバラ、マンチェスターの新拠点に346人のスタッフを配置した。しかし2023年2月、監督専門部署の設置や、規制対象範囲の拡大をカバーするための増員が必要であることから、2023-24年末およびそれ以降に必要なスタッフの数を、2020年の数字から100人以上増員した450人以上に修正した。2023年4月時点では、将来必要な資金について、まだDSITまたは財務省の合意を求めていない。Ofcomは当初、法制化プロセスを支援し、業務を立ち上げるための役割に重点を置いて採用活動を行っていた。しかし、体制が軌道に乗れば、これらのスタッフの一部は監督業務に移行する予定である(段落2.13~2.15、2.17、2.18)。
Enabling informed regulation 情報に基づく規制の実現
13  Ofcom has prepared a substantial initial evidence base to inform its implementation of the new regime. As at April 2023, it had completed 24 research projects and had a further 90 either planned or under way. This included, for example, work during 2021-22 with six service providers to understand their approaches to content moderation and measurement of online harms. However, as at the start of July 2023, it was working to identify the impact on its plans for future research of the amendments to the Bill announced by the government at the end of June 2023. Ofcom has also drawn on its existing regulatory experience, including that of regulating video-sharing platforms, and has engaged with other regulators, including those overseas. It has undertaken early engagement with industry, meeting some of the providers likely to be subject to the new legislation. Representatives from industry told us that they appreciated Ofcom’s efforts to engage, but some were concerned about the potential burden of compliance, citing examples of requests from Ofcom for information that would require significant effort to answer (paragraphs 3.2 and 3.4 to 3.10). 13 Ofcomは、新体制の実施に情報を提供するため、相当量の初期証拠ベースを準備した。2023年4月時点で、24の調査プロジェクトを完了し、さらに90の調査プロジェクトが計画または進行中である。これには、例えば、2021年から22年にかけて、6つのサービスプロバイダと共同で行った、コンテンツモデレーションやオンライン被害の測定に対するアプローチを理解するための調査などが含まれる。しかし、2023年7月初めの時点では、2023年6月末に政府から発表された法案改正が今後の調査計画に与える影響を特定するための作業を行っていた。Ofcomはまた、動画共有プラットフォームの規制を含む既存の規制の経験を活用し、海外を含む他の規制当局と協力してきた。Ofcomは産業界と早い段階から関わりを持ち、新しい法律の対象となりそうなプロバイダのいくつかと面会した。産業界の代表者からは、Ofcomの関与への努力は評価するが、回答するのに多大な労力を要する情報提供をOfcomから求められた例を挙げ、遵守の潜在的な負担を懸念する声も聞かれた(パラグラフ3.2、3.4~3.10)。
14  The Bill will bring a large number of overseas firms into Ofcom’s regulatory remit for the first time, creating significant monitoring challenges. Based on preliminary research carried out by Ofcom, the number of online services subject to regulation could total more than 100,000 and could be significantly higher. The great majority of these will be based overseas and will not have been regulated by Ofcom before and are therefore unfamiliar with it. Monitoring this scale of services will require automated data collection and analysis systems, and the IT capability to support these, which Ofcom is currently developing (paragraphs 3.11 and 3.12). 14 本法案により、多数の海外企業が初めてOfcomの規制対象となり、モニタリングに大きな課題が生じる。Ofcomが実施した予備調査によれば、規制対象となるオンライン・サービスの数は10万を超え、さらに大幅に増える可能性がある。その大半は海外を拠点とし、これまでOfcomの規制を受けたことがないため、不慣れなサービスである。このような規模のサービスを監視するには、自動化されたデータ収集・分析システムと、それをサポートするIT能力が必要であり、Ofcomは現在これを開発中である(パラグラフ3.11および3.12)。
15  DSIT and Ofcom have yet to finalise their plans for evaluating how well the new regime is working once it is in place, and not all the data required for evaluation are available. DSIT and Ofcom are planning to evaluate the effectiveness of regulation once the regime has begun. However, such evaluation, by nature of the harms involved, will be challenging, and the eventual effectiveness of the new online safety regulatory regime is only partly dependent on the successful implementation of preparations for its introduction. DSIT is progressing its evaluation plans; as at April 2023, work on its evaluation framework was under way. However, there were important evaluation-related gaps in its evidence base that need addressing to enable it to measure the regime’s effectiveness. Filling these gaps will require DSIT and Ofcom to discuss their respective data collection plans as part of their ongoing liaison over evaluation. Ofcom is advancing its own evaluation plans and intends to have identified a short set of evaluation metrics by the time the Bill receives Royal Assent, with a longer list in place by 2025 when the regulatory regime becomes fully operational. Ofcom acknowledges that it will need to fine-tune the regulatory regime after it becomes fully operational, and that the ability to evaluate the effectiveness of the existing regime and future changes will be crucial to this (paragraphs 3.13 to 3.15 and 3.17). 15 DSITとOfcomは、新体制が導入された後の効果を評価する計画をまだ確定しておらず、評価に必要なデータがすべて揃っているわけではない。DSITとOfcomは、新体制がスタートした時点で、規制の有効性を評価する予定である。しかし、このような評価は、その害の性質上、困難であり、新しいオンライン安全規制体制の最終的な有効性は、その序文準備の成功に部分的に依存しているに過ぎない。DSITは評価計画を進めており、2023年4月現在、評価フレームワークの作成が進行中である。しかし、DSITのエビデンスベースには評価に関連する重要なギャップがあり、制度の有効性を測定するためにはこのギャップに対処する必要がある。これらのギャップを埋めるためには、DSITとOfcomが、評価をめぐる継続的な連絡の一環として、それぞれのデータ収集計画について話し合う必要がある。Ofcomは独自の評価計画を進めており、法案が勅許を得るまでに短い評価指標を特定し、規制制度が本格的に運用される2025年までに、より長い評価指標リストを作成する予定である。Ofcomは、規制制度が完全に運用開始された後も微調整が必要であり、そのためには既存の制度と将来の変更の有効性を評価する能力が不可欠であることを認めている(パラグラフ3.13~3.15、3.17)。
Conclusion on value for money 費用対効果に関する結論
16  Securing adequate protection of citizens from online harm will be a big new role for Ofcom. It has been preparing for the introduction of the new regulatory regime for online safety at the same time as Parliament has been considering the Online Safety Bill establishing the regime. As a result, Ofcom has had to take account of significant changes to both the regime’s scope and timing. Ofcom has made a good start to its preparations and has taken the steps it could reasonably have done by this point: compiling an evidence base to inform its implementation of the new regime; putting in place the capacity, capabilities and organisational design it needs to begin operating the regime; and engaging with stakeholders. It estimates that its cumulative costs in preparing for and implementing the regime could total £169 million by the end of 2024-25, of which £56 million will have been incurred by the end of 2022-23. The full regulatory regime will, however, only come into effect in phases over the two years after the Bill’s Royal Assent, and Ofcom still has lots to do in terms of finalising its arrangements. 16 オンライン上の被害から市民を適切に保護することは、Ofcom にとって大きな新しい役割となる。Ofcomは、議会がオンライン安全法案を審議しているのと同時に、オンライン安全に関する新たな規制制度の導入準備を進めてきた。その結果、Ofcomは規制の範囲と時期の大幅な変更を考慮しなければならなくなった。Ofcomは準備を順調にスタートさせ、新体制の実施に情報を提供するための証拠資料の作成、新体制の運用を開始するために必要な能力、能力、組織設計の整備、利害関係者との連携など、この時点までに合理的に実施できる措置を講じてきた。新体制の準備と実施にかかる累積コストは、2024-25年末までに1億6,900万ポンド、うち5,600万ポンドは2022-23年末までに発生すると試算している。しかし、完全な規制制度は法案勅許後の2年間に段階的に施行されるだけであり、Ofcomは最終的な取り決めに関して、まだやるべきことがたくさんある。
17  Ofcom will need to manage several risks in implementing the new regulatory regime in a way that delivers value for money. It will need to move quickly to cover any gaps in its preparations arising from the significant amendments to the Online Safety Bill announced by the government at the end of June 2023 and any further changes before the Bill receives Royal Assent. It has also yet to secure the funding it needs for the extra staff it has identified that it will require. It will need to regulate a very large number of services, the great majority of which have not been regulated before and are unfamiliar with Ofcom and how it works, and which have no UK corporate or economic presence. It will need to cover its costs by introducing fees so that the regime becomes self-financing. It will also need to obtain good-quality data to monitor the compliance of services and to evaluate its own effectiveness and that of the regime. Furthermore, it will be vital for Ofcom to secure public trust by managing the public’s expectations about the regime’s impact in its early years. This is a significant set of challenges, and Ofcom has already started to consider how it will address them. 17 Ofcomは、新しい規制制度を費用対効果の高い形で実施する上で、いくつかのリスクをマネジメントする必要がある。2023年6月末に政府が発表したオンライン安全法案の大幅な改正や、同法案が勅許を得る前のさらなる変更から生じる準備のギャップをカバーするために、迅速に行動する必要がある。また、同法人が必要と認識しているスタッフの増員に必要な資金もまだ確保できていない。非常に多くのサービスを規制する必要があるが、その大半はこれまで規制を受けたことがなく、Ofcomやその仕組みに馴染みがなく、英国に企業や経済的プレゼンスを持たない。Ofcomは、手数料を導入することでその費用を賄い、制度が独立採算制になるようにする必要がある。また、サービスのコンプライアンスを監視し、Ofcom自身と制度の有効性を評価するために、質の高いデータを取得する必要がある。さらにOfcomは、制度の初期段階において、制度の影響に対する国民の期待を管理することで、国民の信頼を確保することが不可欠である。これは重要な課題であり、Ofcomはすでにその解決策を検討し始めている。
Recommendations 提言
18  We make recommendations in four areas. In each of these, both Ofcom and DSIT recognise the need to further develop existing plans, particularly as they begin to implement the full regulatory regime. 18 我々は4つの分野で提言を行う。いずれの分野においても、OfcomとDSITの両社は、特に完全な規制体制の実施を開始する際に、既存の計画をさらに発展させる必要があることを認識している。
Ofcom’s external communication Ofcomの対外コミュニケーション
Ofcom should: Ofcomは以下を行うべきである:
a  manage the public’s expectations about the regime’s impact and Ofcom’s role during implementation to give confidence in the credibility of the new regime with the public, industry and others; and a 国民、産業界、その他に対して、新体制の信頼性を確信させるために、新体制の影響と実施中のOfcomの役割に関する国民の期待を管理する。
b  develop its plans to inform industry about its requirements, particularly ensuring its data requests are coordinated and proportionate, and establishing how it will collect feedback, in particular from smaller, non-categorised companies. b 特に、データ要求が調整され、適切なものであることを保証し、特に小規模でカテゴライズされていない企業からのフィードバックを収集する方法を確立する。
Ofcom’s financial management Ofcomの財務管理
Ofcom should: Ofcomは以下を行うべきである:
c  establish how it will manage the financial risks presented by the additional year of set-up and increased staffing need; as it does so, it should report transparently on its set-up costs through its normal reporting mechanisms, including its annual report and accounts; and その際、年次報告書および会計帳簿を含む通常の報告メカニズムを通じて、設立費用について透明性のある報告を行うべきである。
d  clarify its overall approach to long-term financial management, including the scope of its financial modelling and its assumptions about the future costs and funding of the regime. d 長期的な財務管理に対する全体的なアプローチを明確にすること。これには、財務モデリング の範囲や、将来のコストと資金調達に関する想定も含まれる。
Ofcom’s internal skills and capacity Ofcom内部のスキルと能力
Ofcom should: Ofcomは以下を行うべきである:
e  identify how it will reach the capability and capacity it needs and keep this relevant and up to date so that it is equipped to keep abreast of technology developments, the development of new online services and platforms, and changes to user behaviour as the regime is implemented and becomes operational. e 技術開発、新しいオンラインサービスやプラットフォームの開発、制度の導入・運用に伴うユーザー行動の変化などに対応できるよう、必要な能力と能力をどのように確保するかを明らかにし、これを適切かつ最新のものに維持すること。
Monitoring and evaluation モニタリングと評価
DSIT should: DSITは以下を行うべきである:
f  work with Ofcom to identify how the data Ofcom plans to collect as part of its evaluation activities will support DSIT’s own evaluation of the effectiveness of the regime and the achievement of its policy objectives. f Ofcomと協力して、Ofcomが評価活動の一環として収集する予定のデータが、DSITによる本制度の有効性の評価と政策目標の達成をどのように支援するかを特定する。
Ofcom should: Ofcomは以下を行うべきである:
g  ensure that its processes for collecting data from service providers and its generation of automated information about these are providing it with data of sufficient quality to inform its regulatory duties and enable it to adapt its approach if the data show it is not achieving its aims. g サービスプロバイダーからデータを収集し、プロバイダーに関する情報を自動生成するためのプロセスが、規制上の義務に情報を提供するのに十分な品質のデータを提供していることを確認し、データから目的が達成されていないことが判明した場合には、そのアプローチを変更できるようにする。

 

 

| | Comments (0)

英国 CBPRフォーラムのアソシエイトになる (2023.07.06)

こんにちは、丸山満彦です。

英国が、グローバル・クロスボーダー・プライバシー・ルール(CBPR)フォーラムのアソシエイト・ステータスを付与された世界初の国になったと発表していましたね。。。

CBPRの認定については、日本ではまだまだですね。。。

 

・2023.07.06 UK gets new status in global data privacy certification programme

2_20230716175801

UK gets new status in global data privacy certification programme 英国がグローバルなデータプライバシー認証プログラムで新たな地位を得る
・The UK has become the first country in the world to be granted Associate status in the Global Cross Border Privacy Rules (CBPR) Forum. ・英国は、グローバル・クロスボーダー・プライバシー・ルール(CBPR)フォーラムのアソシエイト・ステータスを付与された世界初の国となった。
・UK becomes first country in the world to be granted associate status to Global Cross Border Privacy Rules Forum ・英国がグローバル・クロスボーダー・プライバシー・ルール・フォーラムのアソシエート・ステータスを付与された世界初の国になる
・Move unlocks opportunities for closer collaboration on international data flows with key global partners ・これにより、主要なグローバル・パートナーとの国際的なデータの流れに関する緊密な協力の機会が開かれる。
UK positioned to help shape practical solutions in building a global data transfers system 英国は、グローバルなデータ移転システム構築における実用的なソリューションの形成を支援する立場にある
The UK has become the first country in the world to be granted Associate status in the Global Cross Border Privacy Rules (CBPR) Forum. The Forum works to support international data transfers between member countries, safeguarding standards on data protection and privacy. 英国は、グローバル・クロスボーダー・プライバシー・ルール(CBPR)フォーラムのアソシエイト・ステータスを付与された世界初の国となった。同フォーラムは、データ保護とプライバシーの標準を守りながら、加盟国間の国際的なデータ移転を支援するために活動している。
Associate status in the Forum presents the UK with an opportunity to help drive co-operation with member nations including the United States, Canada, Mexico, Japan, the Republic of Korea, the Philippines, Singapore, Chinese Taipei, and Australia on international data flows. 同フォーラムのアソシエート・ステータスは、英国に、米国、カナダ、メキシコ、日本、韓国、フィリピン、シンガポール、チャイニーズ・タイペイ、オーストラリアを含む加盟国との国際的なデータフローに関する協力推進を支援する機会を与える。
International data transfers and the need to move both customer and company details from one country to another are an inescapable part of modern global business transactions. In 2021, 93% of the UK’s services exports were data-enabled, meaning the trusted flow of data between countries is rapidly becoming an important contributor to economic growth. A practical approach is therefore an important focus for the government, as it works to help shape a global system which can encourage new innovations while ensuring the security of personal data as it moves across borders. 国際的なデータ転送と、ある国から別の国への顧客と企業の詳細情報の移動の必要性は、現代のグローバルなビジネス取引において避けられない部分である。2021年には、英国のサービス輸出の93%がデータ化されたものであり、国間のデータのトラスト・フローが急速に経済成長に重要な役割を果たすようになっている。そのため、国境を越えて移動する個人データのセキュリティを確保しつつ、新たなイノベーションを促進できるグローバルなシステムの形成に貢献するため、政府にとって実践的なアプローチが重要な焦点となっている。
Minister for Data and Digital Infrastructure, Sir John Whittingdale, said: データ・デジタルインフラ担当大臣のジョン・ウィッティングデール卿は、次のように述べた:
The UK’s association with the Global CBPR Forum is an important step in building a practical and functional system for global data transfers. 英国がグローバルCBPRフォーラムに参加することは、グローバルなデータ移転のための実用的かつ機能的なシステムを構築する上で重要な一歩である。
The safety and security of personal data as it moves between countries is paramount, so it’s vital that we work with our key international partners to design solutions that work for everyone. 国家間を移動する個人データの安全性とセキュリティは最重要であるため、主要な国際的パートナーと協力して、誰にとっても機能するソリューションを設計することが不可欠である。
The UK already has high data protection standards in place when it comes to international transfers, and we look forward to sharing our approach on the global stage alongside the CBPR Forum. 英国は、国際的なデータ移転に関して、すでに高いデータ保護標準を有しており、CBPRフォーラムとともに、グローバルな舞台で我々のアプローチを共有することを楽しみにしている。
The Global CBPR system is a government-backed data privacy certification programme that companies can join to demonstrate compliance with internationally recognised data privacy protections. Many large multinational businesses have already been certified under the framework including Apple, IBM, and Mastercard, and it is one of the very few bodies which supports the secure flow of data across multiple countries, removing barriers and working towards a universal set of data transfer standards. グローバルCBPRシステムは、国際的に認知されたデータプライバシー保護に準拠していることを証明するために企業が参加できる、ガバナンスが支援するデータプライバシー認証プログラムである。アップル、IBM、マスターカードなど、多くの多国籍大企業がすでにこの枠組みの下で認証を受けており、複数の国をまたがるデータの安全な流れをサポートし、障壁を取り除き、普遍的なデータ転送標準を目指す数少ない団体の一つである。
Since leaving the European Union, the UK has seized the opportunity through the Data Protection and Digital Information Bill to create a new UK data rights regime. The legislation reduces burdens on business, supporting the Prime Minister’s priority to grow the economy, and unlocks new avenues for innovation across science and technology. 欧州連合(EU)離脱後、英国はデータ保護およびデジタル情報法案を通じて、英国の新しいデータ権利体制を構築する機会をつかんだ。この法案は、ビジネスへの負担を軽減し、経済成長という首相の優先事項を支援し、科学技術全般にわたるイノベーションのための新たな道を切り開くものである。
In April 2022, the CBPR Forum was expanded beyond the Asia-Pacific region, and the UK is now the first jurisdiction to be accepted as an Associate, a new membership status recently created by the group. 2022年4月、CBPRフォーラムはアジア太平洋地域以外にも拡大され、英国は同グループが最近創設した新しい会員資格であるアソシエートとして受け入れられた最初の法域となった。
Before the UK’s official involvement was confirmed, in April the UK co-hosted a Forum workshop in London alongside the United States to explore how the CBPR system can be strengthened to work alongside the data privacy regimes of different countries. 英国の正式参加が決定する前の4月、英国は米国と共同でロンドンでフォーラム・ワークショップを開催し、各国のデータプライバシー制度とともにCBPR制度をどのように強化できるかを探った。
Further Information その他の情報
This announcement delivers against the government’s commitment to collaborate to facilitate global trusted data flows, including multilateral discussions with the Global CBPR Forum as part of the US-UK Comprehensive Dialogue on Technology and Data ・今回の発表は、「技術とデータに関する米英包括的対話」の一環として、グローバルCBPRフォーラムとの多国間協議を含め、グローバルな信頼されるデータの流れを促進するために協力するという政府のコミットメントを実現するものである。
The UK’s Associate status was announced by the Global CBPR Forum earlier today ・英国のアソシエート・ステータスは、本日グローバルCBPRフォーラムによって発表された。
Download the Global CBPR Framework PDF ・グローバルCBPRフレームワークPDFをダウンロードする
Download the Global CBPR Terms of Reference PDF ・グローバルCBPR規約PDFをダウンロードする
・Forum members include the US, Canada, Japan, Mexico, the Republic of Korea, the Philippines, Singapore, Chinese Taipei and Australia ・フォーラムのメンバーには、米国、カナダ、日本、メキシコ、韓国、フィリピン、シンガポール、チャイニーズ・タイペイ、オーストラリアが含まれる。

 

 

CBPRフォーラム...

Global CBPR Forum

1_20230716175801

・2023.07.06 The Forum Welcomes the UK as an Associate

  フォーラムは英国のアソシエイト入りを歓迎する
The Forum Welcomes the UK as an AssociateThe Global CBPR Forum welcomes the United Kingdom (UK) as an Associate, following the Global Forum Assembly’s endorsement on June 3, 2023, of the Membership Committee’s Recommendation that the UK has met the conditions for recognition as an Associate. グローバルCBPRフォーラムは、2023年6月3日のグローバル・フォーラム総会において、英国がアソシエイトとして承認される条件を満たしているとのメンバーシップ委員会の勧告が承認されたことを受け、英国をアソシエイトとして歓迎する。
The UK is the first jurisdiction to join as an Associate since the Forum started accepting applications for participation by interested jurisdictions on April 13, 2023. 英国は、フォーラムが2023年4月13日に関心のある国・地域からの参加申請の受付を開始して以来、アソシエイトとして加盟した最初の国・地域となる。
“The UK brings valuable expertise in data protection and privacy and shared values regarding cross-border data flows, and the Assembly is excited about further expanding participation in the Forum outside the Asia-Pacific region, following the globalisation of the Forum last year.  The UK’s participation is a step forward to ensuring that the Forum creates a truly global, multilateral mechanism that works for our businesses, workers, consumers, and communities,” said Shannon Coe, Chair of the Global Forum Assembly. 「英国は、データ保護とプライバシーに関する貴重な専門知識と、国境を越えたデータの流れに関する共通の価値観をもたらし、昨年のフォーラムのグローバル化に続き、アジア太平洋地域以外のフォーラムへの参加をさらに拡大することに、総会は大きな期待を寄せている。  英国の参加は、企業、労働者、消費者、地域社会のために機能する、真にグローバルな多国間メカニズムをフォーラムが構築するための一歩である」と、グローバル・フォーラム総会のシャノン・コー議長は述べた。

 


 

参考情報。。。

 

日本のCBPRフォーラム設立の際のプレス。。。

 個人情報保護委員会

・2022.04.21 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言文の公表

経済産業省

・2022.04.21 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言をすることに合意しました

 

CBPR認証をするJIPDECのウェブページ

● JIPDEC

CBPR認証

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.22 個人情報保護委員会 「第3回G7データ保護・プライバシー機関ラウンドテーブル会合」共同コミュニケ、生成AIに関する生命、行動計画

・2022.04.23 米国 フィリピン シンガポール 台湾 グローバル越境プライバシールール(CBPR)フォーラム設立関連...

・2022.04.22 個人情報保護委員会 経済産業省 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言

少し前。。。

 

 

| | Comments (0)

2023.07.16

NIST SP 800-219r1 macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

こんにちは、丸山満彦です。

NISTがSP 800-219 macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンスの改訂版を公表しています。OSのバージョンアップに合わせて変更していかないといけないので、大変ですね。。。

 

NIST - ITL

・2023.07.23 NIST SP 800-219 Rev. 1 Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP)

NIST SP 800-219 Rev. 1 Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP) NIST SP 800-219 Rev. 1 macOSセキュリティコンプライアンスプロジェクト(mSCP)による自動化されたセキュアな構成ガイダンス
Abstract 概要
The macOS Security Compliance Project (mSCP) provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. This publication introduces the mSCP and gives an overview of the resources available from the project’s GitHub site, which is continuously curated and updated to support each new release of macOS. The GitHub site provides practical, actionable recommendations in the form of secure baselines and associated rules. This publication also describes use cases for leveraging the mSCP content. Updates from the previous version of this publication mainly involve the new mSCP capability to create a custom benchmark by tailoring a baseline. macOSセキュリティコンプライアンスプロジェクト(mSCP)は、システム管理者、セキュリティ専門家、セキュリティポリシー作成者、情報セキュリティ担当者、監査人が、macOSデスクトップおよびラップトップシステムのセキュリティを自動化された方法で確保し、評価するために活用できるリソースを提供する。本書では、mSCPを紹介し、プロジェクトのGitHubサイトで利用可能なリソースの概要を説明する。GitHubサイトは、macOSの新しいリリースをサポートするために継続的にキュレーションされ、更新されている。GitHubサイトでは、セキュアなベースラインと関連するルールの形で、実用的で実行可能な推奨事項を提供している。本書では、mSCPのコンテンツを活用するための使用例についても説明する。本書の前バージョンからの更新点は、ベースラインをカスタマイズしてカスタムベンチマークを作成する新しいmSCP機能に関するものである。

 

・[PDF] NIST.SP.800-219r1

20230722-163901

 

目次...

1. Introduction 1. 序文
1.1. Purpose and Scope 1.1. 目的と範囲
1.2. Audience 1.2. オーディエンス
1.3. Relevance to NIST SP 800-70 and the National Checklist Program 1.3. NIST SP 800-70及び国家チェックリスト・プログラムとの関連性
1.4. Document Structure 1.4. 文書構造
2. Project Description 2. プロジェクトの説明
2.1. Project Goals 2.1. プロジェクトの目標
2.2. mSCP Content Use 2.2. mSCPコンテンツの使用
3. mSCP Components 3. mSCPコンポーネント
3.1. Baselines and Benchmarks 3.1. ベースラインとベンチマーク
3.2. ecurity Baseline Files 3.2. セキュリティ・ベースライン・ファイル
3.2.1. Rule File Composition 3.2.1. ルールファイルの構成
3.2.2. Rule File Categories 3.2.2. ルールファイルのカテゴリー
3.3. Configuration Profiles and Scripts 3.3. 構成プロファイルとスクリプト
3.4. Content Generation Scripts 3.4. コンテンツ生成スクリプト
3.4.1. Generate Baseline Script 3.4.1. ベースライン・スクリプトの生成
3.4.2. Generate Guidance Script 3.4.2. ガイダンススクリプトの生成
3.4.3. macOS Security Compliance Tool 3.4.3. macOSセキュリティコンプライアンスツール
3.4.4. SCAP Generation Script 3.4.4. SCAP生成スクリプト
3.4.5. Generate Mapping Script 3.4.5. マッピングスクリプトの生成
3.5. Customization 3.5. カスタマイズ
3.6. Directories 3.6. ディレクトリ
References 参考文献
Appendix A. mSCP User Roles 附属書A mSCPのユーザーロール
Appendix B. Example of mSCP Usage by a Security Professional 附属書 B. セキュリティ専門家による mSCP の使用例
Appendix C. Example of Creating a Benchmark Using ODVs 附属書 C. ODVを使ったベンチマーク作成例
Appendix D. Example of mSCP Usage by an Assessment Tool Vendor 附属書 D. 評価ツールベンダーによる mSCP の使用例
Appendix E. List of Symbols, Abbreviations, and Acronyms 附属書 E. 記号、略語、頭字語のリスト
Appendix F. Change Log 附属書 F. 変更ログ

 


 

関連情報...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.19 NIST SP 800-219r1(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

・2022.02.19 NIST SP 800-219(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

| | Comments (0)

米国 スタンフォード大学 ランサムウェア攻撃の背後にある政治的動機の評価

こんにちは、丸山満彦です。

ランサムウェアは身代金狙いということで経済犯罪との関係が言われていますが、政治目的もあるよね。。。という話のようです。データを使ってできるだけ、定量的に分析しようという試みですね。。。

システムを止めるという意味では、政治的目的にも使えるわけですよね。。。たしか、コロニアルパイプライン事件の時も最初は政治目的?と思ったら経済犯罪だったという話だったと思います。。。

もちろん、経済犯罪チームであっても、政治犯からお金で依頼されれば、実行しますからね。。。表の実行犯と、裏の意図をもった依頼者は異なるわけなので、実行犯のアトリビューションを分析しても出てこない問題もあることは理解しておく必要はありますよね。。。もちろん、アトリビューションを特定できるのであれば、した上での話ですが...

 

Stanford

・2023.07.13 New Paper: Assessing Political Motivations Behind Ransomware Attacks

New Paper: Assessing Political Motivations Behind Ransomware Attacks 新しい論文 ランサムウェア攻撃の背後にある政治的動機を評価する
Recent developments suggest possible links between some ransomware groups and the Russian government. We investigate this relationship by creating a dataset of ransomware victims and analyzing leaked communications from a major ransomware group. 最近の動向は、いくつかのランサムウェアグループとロシア政府との間につながりがある可能性を示唆している。我々は、ランサムウェア被害者のデータセットを作成し、主要なランサムウェアグループから流出したコミュニケーションを分析することで、この関係を調査した。
Traditionally, ransomware attacks have been regarded as apolitical criminal activities. However, there is growing speculation about possible ties between Russia-based ransomware groups and the Kremlin. Our working paper aims to assess political motives behind ransomware attacks based on a newly gathered dataset of ransomware victims. Our findings challenge the notion that attack trends from Russia-based ransomware groups can be solely explained by financial motives. 従来、ランサムウェア攻撃は非政治的な犯罪行為とみなされてきた。しかし、ロシアを拠点とするランサムウェアグループとクレムリンとの関係の可能性についての憶測が広がっている。我々のワーキングペーパーは、新たに収集したランサムウェア被害者のデータセットに基づき、ランサムウェア攻撃の背後にある政治的動機を評価することを目的としている。我々の調査結果は、ロシアを拠点とするランサムウェアグループからの攻撃傾向は、金銭的な動機だけで説明できるという考え方に疑問を投げかけるものである。
To construct the dataset, we collected information from 55 dark web leak sites, focusing on victims targeted by "double extortion" attacks. These attacks involve threatening to publish stolen data even after the victim has paid the ransom. The dataset comprises 4,194 victims from 55 ransomware groups, spanning the period from May 1, 2019, to April 30, 2022. データセットを構築するために、我々は55のダークウェブのリークサイトから情報を収集した。これらの攻撃は、被害者が身代金を支払った後でも盗まれたデータを公開すると脅迫するものである。データセットは、2019年5月1日から2022年4月30日までの期間にまたがる、55のランサムウェアグループからの4,194人の被害者で構成されている。
1_20230715181601
Images show the “leak sites” of two dark web ransomware groups, Conti and Grief. Groups post about their victims on these sites as part of the extortion process. We have blurred victims' identifying information to protect their privacy. 画像は2つのダークウェブ・ランサムウェア・グループ、ContiとGriefの「リークサイト」を示す。グループは恐喝プロセスの一環として、これらのサイトに被害者について投稿する。プライバシー保護のため、被害者の識別情報をぼかしている。
Our analysis reveals several notable patterns. First, we observe an increase in the frequency of attacks by Russia-based ransomware groups leading up to elections in several major democracies, with no similar increase in attacks by groups based outside of Russia. Second, companies that withdrew from or suspended operations in Russia following the invasion of Ukraine were more likely to experience ransomware attacks in the months following the invasion, potentially indicating retaliatory motives. Third, we find a decline in the number of daily ransomware attacks after the invasion, which could be attributed to Russia enlisting ransomware operators to support its cyber offensive against Ukraine. 分析の結果、いくつかの顕著なパターンが明らかになった。第一に、ロシアを拠点とするランサムウェアグループによる攻撃の頻度が、いくつかの主要な民主主義国の選挙前に増加することが観察された。第二に、ウクライナ侵攻後、ロシアから撤退した企業やロシアでの事業を停止した企業は、侵攻後の数ヶ月間にランサムウェア攻撃を受ける可能性が高く、これは報復的な動機があった可能性を示している。これは、ロシアがウクライナに対するサイバー攻撃を支援するために、ランサムウェアの運営者を雇ったためと考えられる。
2_20230715181701
Plot presents coefficients & confidence intervals for the effect of being in one of the three months before or after election period (the two weeks around an election) on the number of daily ransomware attacks by Russia-based (black) & other groups (gray) プロットは、選挙期間(選挙前後の2週間)の前後3ヶ月のいずれかであることが、ロシアベース(黒)とその他のグループ(灰色)によるランサムウェアの1日あたりの攻撃回数に及ぼす影響についての係数と信頼区間を示している。
We also analyzed over 60,000 leaked messages from a prominent Russia-based ransomware group called Conti. These communications show that Conti generally operated independently from the Russian state. However, they also reveal connections between Conti leaders and Russian government contacts and show cooperation on at least one state-backed cyber operation. The chats also reveal that group members believe the Russian government provides them and other groups with safe harbor. また、Contiと呼ばれるロシアを拠点とする著名なランサムウェア・グループから流出した6万件を超えるメッセージも分析した。これらのコミュニケーションは、Contiが一般的にロシア国家から独立して活動していたことを示している。しかし、Contiのリーダーとロシア政府の連絡先とのつながりも明らかになり、少なくとも1つの国家が支援するサイバー作戦での協力も示されている。チャットからは、グループのメンバーが、ロシア政府が彼らや他のグループに安全な隠れ家を提供していると信じていることも明らかになった。
Our data are consistent with a model where the Russian government maintains decentralized yet cooperative relations with Russia-based ransomware groups. The government offers safe harbor from prosecution in exchange for plausible deniability for attacks and access to skilled cyber actors. The Kremlin also benefits indirectly as groups primarily target victims in Western countries. Our findings suggest ransomware presents an international security threat in addition to functioning as a form of crime. 我々のデータは、ロシア政府がロシアを拠点とするランサムウェアグループと分散的でありながら協力的な関係を維持しているというモデルと一致している。政府は、攻撃に対するもっともらしい否認権や熟練したサイバー・アクターへのアクセスと引き換えに、訴追からのセーフハーバーを提供している。また、グループは主に西側諸国の被害者をターゲットにしているため、クレムリンも間接的に利益を得ている。我々の調査結果は、ランサムウェアが犯罪の一形態として機能するだけでなく、国際的な安全保障上の脅威をもたらしていることを示唆している。

 

・[PDF

20230715-181915

・[DOCX] 仮訳

 

 

 

 

| | Comments (0)

カナダ サイバーセキュリティセンター 生成的人工知能(AI) - ITSAP.00.041

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンター(CCCS) が生成的AIについてのセキュリティガイダンスを公表していますね。。。いろいろと参考になると思います。。。

Canada.ca - Canadian Centre for Cyber Security - Cyber security guidance

・2023.07.14 Generative artificial intelligence (AI) - ITSAP.00.041

・[PDF

20230914-62337

Generative artificial intelligence (AI) - ITSAP.00.041 生成的人工知能(AI) - ITSAP.00.041
Awareness series 意識シリーズ
Many organizations use artificial intelligence  (AI) for process optimization, data analysis, patient diagnosis and treatment, and customization of their user experience. 多くの組織が、プロセスの最適化、データ分析、患者の診断と治療、ユーザー体験のカスタマイズのために人工知能(AI)を使用している。
Generative AI is a type of artificial intelligence that generates new content by modelling features of data from large datasets that were fed into the model. While traditional AI systems can recognize patterns or classify existing content, generative AI can create new content in many forms, including text, image, audio, or software code. 生成的AIは、モデルに投入された大規模なデータセットからデータの特徴をモデル化することで、新しいコンテンツを生成する人工知能の一種である。従来のAIシステムは、既存のコンテンツをパターン認識したり分類したりすることができるが、生成的AIは、テキスト、画像、音声、ソフトウェアコードなど、さまざまな形で新しいコンテンツを作成することができる。
One class of generative AIs that have seen significant improvement in recent years are large language models (LLMs). To create content the LLM is provided with a set of parameters via a query or prompt. When generative AI tools interact with users in a conversational mode via prompts, it’s easier for the user to generate content. Since late 2022, several LLMs (OpenAI’s ChatGPT and Google’s LaMDA) and services using LLMs (Google’s Bard and Microsoft’s Bing) have gained the world’s attention. As the interest in generative AI increases, its possible uses are being explored by many. This publication provides some information on the potential risks and mitigation measures associated with generative AI. 近年著しい改善が見られる生成的AIの1つのクラスは、大規模言語モデル(LLM)である。コンテンツを作成するために、LLMはクエリやプロンプトを介してパラメータのセットをプロバイダに提供される。生成的AIツールがプロンプトを介して会話モードでユーザーと対話すると、ユーザーはコンテンツを生成しやすくなる。2022年後半から、いくつかのLLM(OpenAIのChatGPTやグーグルのLaMDA)やLLMを使ったサービス(グーグルのBardやマイクロソフトのBing)が世界の注目を集めている。生成的AIへの関心が高まるにつれ、その利用可能性が多くの人々によって模索されている。本書では、生成的AIに関連する潜在的リスクと低減策に関する情報を提供する。
How is generative AI being used? 生成的AIはどのように利用されているのか?
Generative AI is both a transformative and disruptive technology that may significantly alter the way consumers, industries, or businesses operate. It has the potential to enable creativity and innovation that could improve services and business operations. Some of the useful applications of generative AI are in the following areas: 生成的AIは、消費者、産業、ビジネスのあり方を大きく変える可能性のある、変革的かつ破壊的なテクノロジーである。サービスや事業運営を改善する創造性とイノベーションを可能にする可能性を秘めている。生成的AIの有用な応用例としては、以下のような分野がある:
Healthcare: Assists healthcare providers to make faster diagnoses. AI holds the promise to make personalized treatment plans commonplace. It can be leveraged to enable therapeutic targets and novel drug candidates. ヘルスケア: ヘルスケア:医療プロバイダがより迅速な診断を行えるよう支援する。AIはパーソナライズされた治療計画を一般的なものにする可能性を秘めている。治療ターゲットや新薬候補を可能にするために活用できる。
Software development: Enables software developers to generate code, assists in debugging, or offer code snippets. This can potentially help speed up the development and release of software products. ソフトウェア開発: ソフトウェア開発者がコードを生成したり、デバッグを支援したり、コード・スニペットを提供したりできるようにする。これにより、ソフトウェア製品の開発とリリースをスピードアップできる可能性がある。
Online marketplace: Generates human-like responses in a chatbot and conversational agents which can help organizations improve customer service and reduce support costs. オンラインマーケットプレイス: チャットボットや会話エージェントで人間のような応答を生成し、顧客サービスの改善やサポートコストの削減に貢献する。
Business: Creates personalized customer communications for existing and prospective clients as well as generates predictive sales modelling to forecast customer behaviour. ビジネス: 既存顧客や見込み顧客向けにパーソナライズされたカスタマーコミュニケーションを作成するだけでなく、顧客行動を予測するための予測販売モデリングを生成する。
Publishing and media: Enables content creators to produce unique outputs for use in marketing campaigns, advertising, television, and video productions. On demand content can be generated quickly and with fewer resources, leading to significant cost reduction. 出版・メディア コンテンツ作成者は、マーケティング・キャンペーン、広告、テレビ、ビデオ制作で使用するユニークなアウトプットを作成できる。オンデマンド・コンテンツは、少ないリソースで迅速に生成できるため、大幅なコスト削減につながる。
Education: Allows educators to create personalized learning plans for students tailored to their individual performance, needs, and interests. This could help teachers better support their students. 教育: 教育者は、個々の生徒の成績、ニーズ、興味に合わせて、パーソナライズされた学習計画を作成することができる。これにより、教師は生徒をよりよくサポートできるようになる。
Cyber security: Facilitates enhancement of cyber defence tools against ransomware  and other attacks. Assists cyber security  practitioners to more easily scan large datasets to identify potential threats and minimize false positives by filtering out non-malicious activities. サイバーセキュリティ: ランサムウェアやその他の攻撃に対するサイバー防御ツールの強化を促進する。サイバーセキュリティの専門家が、潜在的脅威を特定するために大規模なデータセットをより簡単にスキャンし、悪意のない活動をフィルタリングすることで誤検知を最小限に抑えることを支援する。
Check out our publication on Artificial intelligence - ITSAP.00.040 人工知能に関する我々の出版物(ITSAP.00.040)
What are the risks of generative AI? 生成的AIのリスクとは?
While the capabilities of generative AI technology present great opportunities, they also bring many concerns. Generative AI can enable threat actors to develop malicious exploits and potentially conduct more effective cyber attacks. A huge concern is that it can provide threat actors with great powers to influence. For example, deliberate manipulation of the underlying code and the tools using it, can introduce supply chain risks from insider threat at the design level to the distribution and patching of software. Here are some of the potential risks to be aware of: 生成的AI技術の能力は大きな機会をもたらす一方で、多くの懸念ももたらす。生成的AIは、脅威行為者が悪意のあるエクスプロイトを開発することを可能にし、より効果的なサイバー攻撃を行う可能性がある。大きな懸念は、脅威行為者に大きな影響力を与える可能性があることだ。例えば、基礎となるコードやそれを使用するツールを意図的に操作することで、設計レベルでの内部脅威からソフトウェアの配布やパッチ適用に至るまで、サプライチェーンのリスクをもたらす可能性がある。以下は、注意すべき潜在的リスクの一部である:
Misinformation and disinformation: Content may not clearly be identified as being AI generated, and could potentially lead to confusion (misinformation) or deception (disinformation). Threat actors can use this in scams or fraudulent campaigns against individuals and organizations. 誤情報と偽情報: 誤報と偽情報:コンテンツが生成的AIであることを明確に識別できず、混乱(誤情報)や欺瞞(偽情報)につながる可能性がある。脅威行為者はこれを個人や組織に対する詐欺や詐欺キャンペーンに利用することができる。
Phishing: Threat actors can craft targeted spear phishing attacks more frequently, automatically, and with a higher-level of sophistication. Highly realistic phishing emails or scam messages could lead to identify theft, financial fraud, or other forms of cybercrime. フィッシング: 脅威行為者は、標的を絞ったスピアフィッシング攻撃を、より頻繁に、自動的に、より高度に作り上げることができる。極めて現実的なフィッシングメールや詐欺メッセージは、識別情報の窃取、金銭詐欺、その他の形態のサイバー犯罪につながる可能性がある。
Privacy of data: Users may unknowingly provide sensitive corporate data or personally identifiable information (PII) in their queries and prompts. Threat actors could harvest this sensitive information to impersonate individuals or spread false information. データのプライバシー: ユーザーは、クエリやプロンプトの中で、企業の機密データや個人を特定できる情報(PII)を無意識のうちに提供する可能性がある。脅威行為者は、個人になりすましたり、偽の情報を広めたりするために、この機密情報を利用する可能性がある。
Malicious code: Technically skilled threat actors can overcome restrictions within the generative AI tools to create malware for use in a targeted cyber attack. Those with little or no coding experience can use generative AI to easily write functional malware that could cause a nuisance to a business or organization. 悪意のあるコード: 技術的に熟練した脅威行為者は、生成的AIツールの制限を乗り越えて、標的型サイバー攻撃に使用するマルウェアを作成することができる。コーディングの経験がほとんどない、あるいは全くない者でも、生成的AIを使えば、企業や組織に迷惑をかけるような機能的なマルウェアを簡単に書き込むことができる。
Buggy code: Software developers may deliberately or inadvertently introduce unsecured and buggy code to the development pipeline. This could happen if they omit or improperly implement error handling and security checks. バグだらけのコード: ソフトウェア開発者は、意図的に、あるいは不注意に、安全でないバグだらけのコードを開発パイプラインに導入する可能性がある。これは、エラー処理やセキュリティチェックを省略したり、不適切に実装したりした場合に起こりうる。
Poisoned datasets: Threat actors can inject malicious code into the dataset used to train the generative AI system. This could undermine the accuracy and quality of the generated data. It could also increase the potential for large-scale supply-chain attacks. 汚染されたデータセット: 脅威行為者は、生成的AIシステムの学習に使用するデータセットに悪意のあるコードを注入することができる。これによって、生成されるデータの精度と品質が損なわれる可能性がある。また、大規模なサプライチェーン攻撃の可能性も高まる。
Biased content: A majority of the training dataset fed into the LLMs come from the open Internet. As such, generated content has a fundamental bias in that only limited amounts of the world’s total data are online and available for AI to use. Also, generated content may be prejudiced if the training dataset lacks balanced representation of data points. バイアスのかかったコンテンツ: LLMに供給されるトレーニングデータセットの大半は、オープンなインターネットから提供される。そのため、生成されたコンテンツには、世界の全データのうち限られた量しかオンライン上に存在せず、AIが利用できないという基本的なバイアスがある。また、生成されたコンテンツは、トレーニングデータセットがデータポイントのバランスの取れた表現を欠いている場合、偏見を持つ可能性がある。
Loss of intellectual property (IP): Generative AI tools may enable sophisticated threat actors to more easily steal corporate data faster and in bulk. Loss of IP (e.g. proprietary business information, copyrighted data, software code or drug trial data) can devastate your organization's reputation, revenue, and future growth. 知的財産(IP)の損失: 生成的AIツールは、洗練された脅威行為者がより簡単に、より速く、大量に企業データを盗むことを可能にするかもしれない。知的財産(例えば、独自のビジネス情報、著作権で保護されたデータ、ソフトウェアコード、治験データ)の損失は、組織の評判、収益、将来の成長に壊滅的な打撃を与える可能性がある。
Be aware 注意すること
Generative AI is a technology that is in the realm of machine learning rather than true “intelligence”. It doesn’t actually understand concepts but produces content that is statistically the best response to a prompt or query. 生成的AIは、真の「インテリジェンス」ではなく、機械学習の領域にあるテクノロジーである。実際に概念を理解するわけではなく、プロンプトやクエリに対して統計的に最適な応答をするコンテンツを生成する。
Always keep in mind that its outputs can be: そのアウトプットは間違っている可能性があることを常に念頭に置いておこう:
・wrong ・間違っている
・llogical ・非論理的
・unaware ・気付かない
・biased ・バイアス
How to mitigate the risks? リスクを低減するには?
Generative AI is another tool that threat actors can leverage to launch their cyber attacks. As this technology becomes more widely used and exploited, there will likely be increases in sophisticated cyber attacks including phishing  and social engineering , misinformation/disinformation, and identity theft. While it may be difficult to identify (or positively attribute) cyber attacks that leverage generative AI, organizations and individuals can prepare for the increased challenges that these attacks may bring. 生成的AIは、脅威行為者がサイバー攻撃を仕掛けるために活用できるもう一つのツールである。この技術がより広く利用され、悪用されるようになると、フィッシングやソーシャルエンジニアリング、誤情報/偽情報、なりすましなど、巧妙なサイバー攻撃が増加する可能性が高い。生成的AIを活用したサイバー攻撃を特定する(または肯定的に帰属させる)ことは難しいかもしれないが、組織や個人は、こうした攻撃がもたらす可能性のある課題の増加に備えることができる。
Organizations can take the following actions to minimize their risks of compromise  to cyber attacks: 組織は、サイバー攻撃に対する侵害リスクを最小化するために、以下の行動を取ることができる:
 Implement strong authentication mechanisms — Secure accounts and devices on your networks with multi-factor authentication (MFA) to prevent unauthorized access to your high-value resources and sensitive data. For more information,  see Secure your accounts and devices with multi-factor authentication (ITSAP.30.030) and Steps for effectively deploying multi-factor authentication (ITSAP.00.105).  強力な認証メカニズムを導入する - ネットワーク上のアカウントやデバイスを多要素認証(MFA)でセキュリティ保護し、価値の高いリソースや機密データへの不正アクセスを防止する。詳細については、「多要素認証でアカウントとデバイスを保護する」(ITSAP.30.030)および「多要素認証を効果的に導入するための手順」(ITSAP.00.105)を参照のこと。
 Apply security patches and updates — Enable automatic updates of IT equipment and patch known exploited vulnerabilities as soon as possible. This will help to prevent AI generated malware from infecting the network.  セキュリティ・パッチとアップデートの適用 - IT機器の自動アップデートを有効にし、既知の脆弱性を悪用したパッチをできるだけ早く適用する。これにより、生成的AIマルウェアがネットワークに感染するのを防ぐことができる。
 Stay informed — Keep up to date on the latest threats and vulnerabilities associated with generative AI and take proactive steps to address them.  情報収集を怠らない - 生成的AIに関連する最新の脅威や脆弱性を常に把握し、積極的な対策を講じる。
 Protect your network — Use network detection tools to monitor and scan the network for abnormal activities. This enables you to quickly identify incidents and threats in order to deploy appropriate mitigation measures. Additionally, explore how AI might be deployed defensively in network protection tools and consider any ramifications. For more information, see Network Security Logging and Monitoring (ITSAP.00.085) and Top10 IT security action items - No. 5 Segment and separate information (ITSM.10.092).  ネットワークの防御 - ネットワーク検知ツールを使用して、異常なアクティビティがないかネットワークを監視・スキャンする。これにより、インシデントや脅威を迅速に特定し、適切な軽減策を展開することができる。さらに、ネットワーク保護ツールにAIをどのように防御的に導入するかを検討し、その影響を検討する。詳細については、「ネットワーク・セキュリティ・ログと監視」(ITSAP.00.085)および「IT セキュリティ・アクション・アイテム Top10 - No.5 セグメントと個別情報」(ITSM.10.092)を参照されたい。
 Train your employees — Educate all users on how to identify the warning signs of social engineering attacks and who to contact to manage these situations securely. This should include an easy way for users to report phishing attacks or suspicious communications.  従業員への教育 - ソーシャル・エンジニアリング攻撃の兆候を識別する方法と、こうした状況を安全に管理するための連絡先について、すべてのユーザを教育する。これには、ユーザーがフィッシング攻撃や疑わしいコミュニケーションを報告する簡単な方法を含めるべきである。
Individuals can take the following actions to protect their personal data from phishing attacks: フィッシング攻撃から個人データを守るために、個人は以下の行動を取ることができる:
 Verify content — As more data becomes available, it may not be easy to tell who is responsible for the content or how much of it is logical or factual. It's important to read and look for indication that the content was produced by a generative AI tool. Review the generated content and take the time to fact check against credible sources. For more information, see How to identify misinformation, disinformation, and malinformation (ITSAP.00.300).  コンテンツを確認する - より多くのデータが利用可能になるにつれ、そのコンテンツの責任者が誰なのか、また、そのコンテンツのどこまでが論理的で事実に基づいているのかを見分けることが容易でなくなる可能性がある。コンテンツが生成的AIツールによって生成されたものであることを読み取り、探すことが重要だ。生成されたコンテンツを確認し、時間をかけて信頼できるソースと照らし合わせて事実確認を行う。詳細については、誤情報、偽情報、不正情報の識別方法(ITSAP.00.300)を参照のこと。
 Practice basic cyber security hygiene — Stay informed, use strong passwords, and enable two-factor authentication to protect online accounts. Make sure to keep software up to date, use antivirus software, and avoid public Wi-Fi networks.  基本的なサイバーセキュリティ衛生を実践する - 情報収集を怠らず、強力なパスワードを使用し、オンラインアカウントを保護するために二要素認証を有効にする。ソフトウェアを常に最新の状態に保ち、ウイルス対策ソフトウェアを使用し、公衆Wi-Fiネットワークを避ける。
 Limit exposure to social engineering or business email compromise — Implement basic online safety practices such as reducing the amount of personal information posted online; avoiding opening email attachments and clicking on links from unknown sources; communicating via an alternate, verified channel; and being suspicious of callers that want sensitive information. For more information, see Don’t take the bait; recognize and avoid phishing attacks (ITSAP.00.101) and What is voice phishing (vishing)? (ITSAP.00.102).  ソーシャル・エンジニアリングやビジネス・メールの侵害へのエクスポージャーを制限する - 個人情報をオンラインに掲載する量を減らす、不明な送信元からのメールの添付ファイルを開いたりリンクをクリックしたりしない、確認済みの別のチャネルでコミュニケーションする、機密情報を要求する電話を疑う、などの基本的なオンライン安全対策を実施する。詳細については、「餌に釣られない;フィッシング攻撃を認識し、回避する」(ITSAP.00.101)および「音声フィッシング(ビッシング)とは何か」(ITSAP.00.102)を参照のこと。(itsap.00.102)を参照のこと。
Security protections when using generative AI tools 生成的AIツール使用時のセキュリティ防御
The following security measures can help you generate quality and trusted content while mitigating privacy concerns: 以下のセキュリティ対策は、プライバシーの懸念を低減しながら、高品質で信頼できるコンテンツを生成するのに役立つ:
 Establish generative AI usage policies — The policies should include the types of content that can be generated and how to use the technology to avoid compromises to your sensitive data. Your policies should also include the oversight and review processes required to ensure the technology is used appropriately. When creating solutions using generative AI, ensure practices lead to trustworthy and ethical behaviour. Be sure to implement the policies quickly and ensure they are communicated to staff.  生成的AIの使用ポリシーを確立する - ポリシーには、生成可能なコンテンツの種類と、機密データへの侵害を避けるための技術の使用方法を含めるべきである。ポリシーには、テクノロジーが適切に使用されていることを確認するために必要な監督とレビューのプロセスも含めるべきである。生成的AIを使用してソリューションを作成する場合、信頼できる倫理的な行動につながる実践を確実にすること。ポリシーを迅速に導入し、スタッフへのコミュニケーションを徹底すること。
 Select training datasets carefully — Obtain datasets from a trusted source and implement a robust process for validating and verifying the datasets, whether they’re externally acquired or developed internally. Use diverse and representative data to avoid inaccurate and biased content. Establish a process for outputs to be reviewed by a diverse team from across your organization to look for inherent biases within the system. Continuously fine-tune or retrain the AI system with appropriate external feedback to improve quality of outputs.  トレーニング用データセットは慎重に選択する - データセットは信頼できるソースから入手し、外部から入手したものであれ、社内で開発したものであれ、データセットの妥当性確認と検証のための強固なプロセスを導入する。不正確でバイアスのかかった内容を避けるため、多様な代表者データを使用する。アウトプットを組織全体の多様なチームによってレビューし、システム内に内在するバイアスを探すプロセスを確立する。外部からの適切なフィードバックにより、AI システムを継続的に微調整または再教育し、出力の質を改善する。
 Choose tools from security-focused vendors — Ensure your vendors have robust security practices baked into their data collection, storage, and transfer processes.  セキュリティ重視のベンダーのツールを選択する - ベンダーがデータの収集、保存、転送プロセスに強固なセキュリティ慣行を組み込んでいることを確認する。
 Be careful what information you provide — Avoid providing PII or sensitive corporate data as part of the queries or prompts. Determine whether the tool allows your users to delete their search prompt history.  提供する情報には注意する - クエリやプロンプトの一部として、個人情報や機密性の高い企業データをプロバイダとして提供することは避ける。ユーザーが検索プロンプトの履歴を削除できるかどうかを確認する。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.22 カナダ サイバーセキュリティセンター 人工知能 - ITSAP.00.040

 

| | Comments (0)

2023.07.15

米国 ホワイトハウス サイバーセキュリティ戦略実施計画

こんにちは、丸山満彦です。

今年の3月に発表された国家サイバーセキュリティ戦略が発表され、先日は、OMBから2025年度予算における政権のサイバーセキュリティ優先事項が発表されましたが、今回は、戦略を実行に移すための実施計画ですね。。。

誰が、いつまでに、何をするのか?ということが書かれていると言う感じですかね。。。

 

U.S. White House

・2023.07.13 FACT SHEET: Biden-Harris Administration Publishes the National Cybersecurity Strategy Implementation Plan

 

FACT SHEET: Biden-⁠Harris Administration Publishes the National Cybersecurity Strategy Implementation Plan ファクトシート:バイデン-ハリス政権、国家サイバーセキュリティ戦略実施計画を発表
President Biden has made clear that all Americans deserve the full benefits and potential of our digital future. The Biden-Harris Administration’s recently released National Cybersecurity Strategy calls for two fundamental shifts in how the United States allocates roles, responsibilities, and resources in cyberspace: バイデン大統領は、すべてのアメリカ国民がデジタルの未来の恩恵と可能性を最大限に享受する資格があることを明確にした。バイデン-ハリス政権が最近発表した国家サイバーセキュリティ戦略は、米国がサイバー空間における役割、責任、資源をどのように配分するかについて、2つの根本的な転換を求めている:
Ensuring that the biggest, most capable, and best-positioned entities – in the public and private sectors – assume a greater share of the burden for mitigating cyber risk 官民を問わず、最も規模が大きく、最も能力があり、最も有利な立場にある事業体が、サイバー・リスク低減のためにより大きな負担を負うようにする。
Increasing incentives to favor long-term investments into cybersecurity サイバーセキュリティへの長期投資を促進するインセンティブを高める。
Today, the Administration is announcing a roadmap to realize this bold, affirmative vision. It is taking the novel step of publishing the National Cybersecurity Strategy Implementation Plan (NCSIP) to ensure transparency and a continued path for coordination. This plan details more than 65 high-impact Federal initiatives, from protecting American jobs by combatting cybercrimes to building a skilled cyber workforce equipped to excel in our increasingly digital economy. The NCSIP, along with the Bipartisan Infrastructure Law, CHIPS and Science Act, Inflation Reduction Act, and other major Administration initiatives, will protect our investments in rebuilding America’s infrastructure, developing our clean energy sector, and re-shoring America’s technology and manufacturing base. 本日、政府は、この大胆かつ積極的なビジョンを実現するためのロードマップを発表する。国家サイバーセキュリティ戦略実施計画(NCSIP)を公表するという斬新なステップを踏み、透明性と継続的な協調の道筋を確保する。この計画には、サイバー犯罪に対抗することで米国の雇用を守ることから、デジタル化が進む経済社会で活躍できる熟練したサイバー人材の育成まで、65を超える影響力の大きい連邦政府の取り組みが詳述されている。NCSIPは、超党派インフラ法、CHIPSおよび科学法、インフレ削減法、その他の主要な政権イニシアティブとともに、米国のインフラ再建、クリーン・エネルギー部門の開発、米国の技術・製造基盤の再構築への投資を保護する。
Each NCSIP initiative is assigned to a responsible agency and has a timeline for completion. Some initiatives, such as the issuance of the Administration’s Cybersecurity Priorities for the Fiscal Year 2025 Budget, have been completed ahead of schedule. Other completed activities, such as the transmittal of the May 26th Department of Defense 2023 Cyber Strategy to Congress, and the June 20th creation of a new National Security Cyber Section by the Justice Department, are key milestones in completing initiatives. This is the first iteration of the plan, which is a living document that will be updated annually. NCSIPの各イニシアティブは担当機関に割り当てられ、完了までのスケジュールが定められている。2025会計年度予算における政権のサイバーセキュリティ優先事項の発表など、一部のイニシアチブは予定よりも早く完了している。5月26日の国防省2023年サイバー戦略の議会への提出や、6月20日の司法省による国家安全保障サイバー課の新設など、その他の完了した活動は、イニシアチブを完了するための重要なマイルストーンである。これは計画の最初の反復であり、毎年更新される生きた文書である。
Eighteen agencies are leading initiatives in this whole-of-government plan demonstrating the Administration’s deep commitment to a more resilient, equitable, and defensible cyberspace. The Office of the National Cyber Director (ONCD) will coordinate activities under the plan, including an annual report to the President and Congress on the status of implementation, and partner with the Office of Management and Budget (OMB) to ensure funding proposals in the President’s Budget Request are aligned with NCSIP initiatives. The Administration looks forward to implementing this plan in continued collaboration with the private sector, civil society, international partners, Congress, and state, local, Tribal, and territorial governments. As an example of the Administration’s commitment to public-private collaboration, ONCD is also working on a request for information regarding cybersecurity regulatory harmonization that will be published in the near future. この政府全体の計画では、18の省庁がイニシアチブを主導しており、よりレジリエンスが高く、公平で、防衛可能なサイバースペースに対するガバナンスの深さを示している。国家サイバー局長室(Office of the National Cyber Director: ONCD)は、大統領と議会への実施状況に関する年次報告など、計画の下での活動を調整し、行政管理予算局(Office of Management and Budget: OMB)と連携して、大統領予算要求における資金調達案がNCSIPの取り組みと整合していることを確認する。ガバナンスは、民間セクター、市民社会、国際パートナー、議会、州、地方、部族、地域政府との継続的な協力のもと、この計画を実施することを楽しみにしている。官民協働に対する政権のコミットメントの一例として、ONCDはサイバーセキュリティ規制の調和に関する情報提供要請にも取り組んでおり、近日中に公表される予定である。
The NCSIP is not intended to capture all Federal agency activities in support of the NCS. The following are sample initiatives from the plan, which is organized by the NCS pillars and strategic objectives. NCSIPは、NCSを支援する連邦機関の活動をすべて把握することを意図したものではない。以下は、NCSの柱と戦略目標によって構成された計画からのイニシアティブのサンプルである。
Pillar One | Defending Critical Infrastructure 柱1:重要インフラの防衛
Update the National Cyber Incident Response Plan (1.4.1): During a cyber incident, it is critical that the government acts in a coordinated manner and that private sector and SLTT partners know how to get help. The Cybersecurity and Infrastructure Security Agency (CISA) will lead a process to update the National Cyber Incident Response Plan to more fully realize the policy that “a call to one is a call to all.” The update will also include clear guidance to external partners on the roles and capabilities of Federal agencies in incident response and recovery. 国家サイバーインシデント対応計画を更新する(1.4.1): サイバーインシデントが発生した場合、政府が協調して行動し、民間部門やSLTTパートナーが支援を受ける方法を知っていることが極めて重要である。サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「一人への呼びかけは全員への呼びかけである」という方針をより完全に実現するため、国家安全保障局(National Cyber Incident Response Plan)の更新プロセスを主導する。この更新には、インシデント対応と復旧における連邦機関の役割と能力に関する外部パートナーへの明確なガイダンスも含まれる。
Pillar Two | Disrupting and Dismantling Threat Actors 柱2:脅威行為者の破壊と解体
Combat Ransomware (2.5.2 and 2.5.4): Through the Joint Ransomware Task Force, which is co-chaired by CISA and the FBI, the Administration will continue its campaign to combat the scourge of ransomware and other cybercrime. The FBI will work with Federal, international, and private sector partners to carry out disruption operations against the ransomware ecosystem, including virtual asset providers that enable laundering of ransomware proceeds and web fora offering initial access credentials or other material support for ransomware activities. A complementary initiative, led by CISA, will include offering resources such as training, cybersecurity services, technical assessments, pre-attack planning, and incident response to high-risk targets of ransomware, like hospitals and schools, to make them less likely to be affected and to reduce the scale and duration of impacts if they are attacked. ランサムウェアに対抗する(2.5.2および2.5.4): CISAとFBIが共同議長を務めるランサムウェア対策合同委員会(Joint Ransomware Task Force)を通じて、行政はランサムウェアやその他のサイバー犯罪の脅威と闘うキャンペーンを継続する。FBIは、連邦政府、国際機関、民間セクターのパートナーと協力し、ランサムウェアの収益の洗浄を可能にする仮想資産プロバイダや、ランサムウェアの活動に対する初期アクセス認証情報やその他の重要な支援を提供するウェブフォーラなど、ランサムウェアのエコシステムに対する破壊作戦を実施する。CISAが主導する補完的な取り組みには、病院や学校といったランサムウェアの高リスクターゲットに対して、トレーニング、サイバーセキュリティサービス、技術アセスメント、事前攻撃計画、インシデント対応などのリソースを提供することで、これらのターゲットが被害を受けにくくし、攻撃を受けた場合の影響の規模や期間を縮小することが含まれる。
Pillar Three | Shaping Market Forces and Driving Security and Resilience 柱3:セキュリティとレジリエンスを推進するための市場の力の形成
Software Bill of Materials (3.3.2): Increasing software transparency allows market actors to better understand their supply chain risk and to hold their vendors accountable for secure development practices. CISA continues to lead work with key stakeholders to identify an3 reduce gaps in software bill of materials (SBOM) scale and implementation. CISA will also explore requirements for a globally-accessible database for end of life/end of support software and convene an international staff-level working group on SBOM. ソフトウェア部品表(3.3.2): ソフトウエアの透明性を高めることで、市場関係者はサプライチェーンのリスクをよりよく理解し、安全な開発慣行についてベンダーに責任を負わせることができる。CISAは、ソフトウェア部品表(SBOM)の規模および実装におけるギャップを特定し、これを低減するために、主要な利害関係者との作業を引き続き主導する。CISAはまた、耐用年数終了/サポート終了ソフトウェアに関する世界的にアクセス可能なデータベースの要件を検討し、SBOMに関する国際的なスタッフレベルの作業部会を招集する。
Pillar Four | Investing in a Resilient Future 柱4:レジリエンスな未来への投資 
Drive Key Cybersecurity Standards (4.1.3, 4.3.3): Technical standards are foundational to the Internet, and U.S. leadership in this area is essential to the vibrancy and security of cyberspace. Consistent with the National Standards Strategy, the National Institute of Standards and Technology (NIST) will convene the Interagency International Cybersecurity Standardization Working Group to coordinate major issues in international cybersecurity standardization and enhance U.S. federal agency participation in the process. NIST will also finish standardization of one or more quantum-resistant publickey cryptographic algorithms. 主要なサイバーセキュリティ標準を推進する(4.1.3, 4.3.3): 技術標準はインターネットの基礎であり、この分野における米国のリーダーシップは、サイバースペースの活気とセキュリティにとって不可欠である。国家標準技術戦略に従い、国立標準技術研究所(NIST)は省庁間国際サイバーセキュリティ標準化作業部会を招集し、国際サイバーセキュリティ標準化における主要事項を調整し、そのプロセスへの米国連邦省庁の参加を強化する。NISTはまた、1つ以上の耐量子公開鍵暗号アルゴリズムの標準化を完了させる。
Pillar Five | Forging International Partnerships to Pursue Shared Goals 柱5:共通の目標を追求するために国際的なパートナーシップの構築
International Cyberspace and Digital Policy Strategy (5.1.1 and 5.1.2): Cyberspace is inherently global, and policy solutions must reflect close collaboration with our partners and allies. The Department of State will publish an International Cyberspace and Digital Policy Strategy that incorporates bilateral and multilateral activities. State will also work to catalyze the development of staff knowledge and skills related to cyberspace and digital policy that can be used to establish and strengthen country and regional interagency cyber teams to facilitate coordination with partner nations. 国際サイバースペース・デジタル政策戦略(5.1.1 および 5.1.2): サイバースペースは本質的にグローバルであり、政策解決にはパートナーや同盟国との緊密な協力が反映されなければならない。国務省は、二国間および多国間の活動を盛り込んだ「国際サイバースペース・デジタル政策戦略」を発表する。また、サイバースペースとデジタル政策に関連する職員の知識とスキルの開発を促進し、パートナー国との協調を促進するために、国や地域の省庁間サイバー・チームの設立と強化に活用できるようにする。

 

・[PDF]

20230715-15016

 

・[DOCX] 仮訳

 

 

 

 

 

 

 


 

関連

OMB 2025 年度予算における政権のサイバーセキュリティ優先事項

2023.06.27 [PDF] M-23-18 Administration Cybersecurity Priorities for the FY 2025 Budget

20230709-71333

 

国家サイバーセキュリティ戦略

・2023.03.02 [PDF] National Cybersecurity Strategy

20230304-72820

 

 


 

情報技術産業協議会の反応...

1_20230723031401

Information Technology Industry Council; ITI

・2023.07.13 ITI Hosts Release of U.S. National Cybersecurity Strategy Implementation Plan, Encourages Ongoing Industry Engagement to Realize Cyber Goals

ITI Hosts Release of U.S. National Cybersecurity Strategy Implementation Plan, Encourages Ongoing Industry Engagement to Realize Cyber Goals ITI、米国国家サイバーセキュリティ戦略実施計画の公表を主催、サイバー目標実現に向けた産業界の継続的関与を促す
WASHINGTON – Today, global tech trade association ITI hosted the release of the White House National Cybersecurity Strategy’s implementation plan, “Securing the Digital Ecosystem for All Americans: The National Cybersecurity Strategy in Practice,” at an event featuring Acting National Cyber Director Kemba Walden and officials from across the U.S. government. Watch the event here. ワシントン - 世界的なハイテク業界団体であるITIは本日、ホワイトハウスによる国家サイバーセキュリティ戦略の実施計画「すべてのアメリカ人のためのデジタル・エコシステムの確保」の発表を主催した: ケンバ・ウォルデン国家サイバー長官代行と米国政府関係者を招いたイベントで、「国家サイバーセキュリティ戦略の実践」が発表された。 イベントの模様はこちらから。
In response to the implementation plan, ITI’s President and CEO Jason Oxman said, “Coupled with industry collaboration, the National Cybersecurity Strategy’s implementation plan can help to realize the vision of a more secure, resilient, and economically prosperous future. We are encouraged that the plan prioritizes harmonizing, streamlining, and deconflicting any new and existing regulations. If done successfully, this will give industry much-needed clarity on the rules of the road to drive security and resilience more efficiently. ITIのジェイソン・オックスマン会長兼最高経営責任者(CEO)は、この実施計画に対し、「国家サイバーセキュリティ戦略の実施計画は、業界の協力と相まって、より安全でレジリエンスが高く、経済的に豊かな未来というビジョンの実現に貢献できる。 我々は、この計画が、新規および既存の規制の調和、合理化、混同の解消を優先していることを心強く思っている。これが成功すれば、セキュリティとレジリエンスをより効率的に推進するための道筋が明確になる。
“We look forward to receiving further details about how implementation will unfold in key areas, including on regulatory harmonization, the cyber incident reporting for critical infrastructure (CIRCIA) rulemaking, SBOM guidance, the software liability framework, and securing global ICT supply chains. We encourage the administration to develop those initiatives in close consultation with the technology industry and other key stakeholders both in and outside of the government to drive tangible progress on the implementation plans. Importantly, the administration and Congress must work together closely to ensure that there are appropriate resources to accomplish the many critical tasks outlined in the plan. We commend the ONCD for quickly delivering an implementation plan following the Strategy’s rollout and look forward to our ongoing partnership to help guide a successful implementation.” 「我々は、規制の調和、重要インフラのためのサイバーインシデント報告(CIRCIA)のルールメイキング、SBOMガイダンス、ソフトウェア責任の枠組み、グローバルなICTサプライチェーンの安全確保など、主要な分野でどのように実施されるのか、さらなる詳細を受け取ることを楽しみにしている。 われわれは、実施計画の具体的な進展を促進するため、政権がテクノロジー産業や政府内外の主要な利害関係者と緊密に協議しながら、これらのイニシアチブを策定することを奨励する。重要なことは、政権と議会が緊密に協力し、計画に示された多くの重要なタスクを達成するための適切なリソースを確保することである。我々は、ONCDが戦略の発表後、迅速に実施計画を提出したことを称賛し、実施を成功に導くための我々の継続的なパートナーシップに期待している。
In addition to Acting Director Walden’s remarks, officials from the Office of the National Cyber Director, U.S. Department of State, National Security Council, U.S. Department of Homeland Security, U.S. Department of Justice, and National Institute of Standards and Technology spoke about the plan’s implementation across the federal government. ウォルデン長官代理の発言に加え、国家サイバー長官室、米国務省、国家安全保障会議、米国土安全保障省、司法省、国立標準技術研究所の関係者が、連邦政府全体における計画の実施について語った。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

米国の安全保障戦略、サイバーセキュリティ戦略...

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.07.02 米国 GAO サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2022.10.29 米国 国家防衛戦略

・2022.10.14 米国 国家安全保障戦略

 

| | Comments (0)

2023.07.14

OECD 人工知能における規制のサンドボックス

こんにちは、丸山満彦です

OECDが人工知能の規制サンドボックスについて、サンドボックスを類型化したり、世界の状況について報告書をだしていますね。。。

中国は、国が大きなサンドボックス的なところもあるのでしょうかね。。。すでにAIの規制をはじめていますよね。。。

 

OECD iLibrary

・2023.07.13 Regulatory sandboxes in artificial intelligence

・[PDF]

20230714-112740

 

Regulatory sandboxes in artificial intelligence 人工知能における規制のサンドボックス
Regulatory experimentation tools are used to test new economic, institutional and technological approaches, and legal provisions, outside of existing regulatory structures. This report focuses on regulatory sandboxes, where authorities engage firms to test innovative products or services that challenge existing legal frameworks. Participating firms obtain a waiver from specific legal provisions or compliance processes to innovate. This report presents lessons learnt from fintech regulatory sandboxes and their positive impacts, such as fostering venture capital investment in fintech start-ups. It covers challenges and risks involved in implementing regulatory sandboxes and their testing processes. This report presents policy considerations for AI regulatory sandboxes, including institutional interdisciplinary cooperation and the need to build up AI expertise within regulatory authorities. Findings underline the need for regulatory interoperability and the role that trade policy can play. Finally, it discusses the need for comprehensive criteria to determine sandbox eligibility and assess trials, and the potential impact of sandboxes on innovation and competition.  規制実験ツールは、既存の規制機構にとらわれず、新しい経済的、制度的、技術的アプローチや法的規定をテストするために用いられる。本レポートでは、既存の法的枠組みに挑戦する革新的な製品やサービスをテストするために、当局が企業を関与させる規制のサンドボックスに焦点を当てる。参加企業は、特定の法規定やコンプライアンス・プロセスから免除を受け、イノベーションを行う。本レポートでは、フィンテック規制のサンドボックスから学んだ教訓と、フィンテック新興企業へのベンチャーキャピタル投資の促進など、そのポジティブな影響について紹介している。規制のサンドボックスとそのテストプロセスの実施に伴う課題とリスクについても取り上げている。本レポートは、AI規制のサンドボックスに関する政策的考察を提示しており、その中には、制度的な学際的協力や、規制当局内でのAI専門知識の構築の必要性などが含まれている。その結果、規制の相互運用性と貿易政策が果たしうる役割の必要性が強調された。最後に、サンドボックスの適格性を判断し、試験を評価するための包括的な基準の必要性と、サンドボックスがイノベーションと競争に与える潜在的な影響について論じている。

 

・目次...

Abstract 概要
Acknowledgements 謝辞
Executive summary エグゼクティブサマリー
1 Frameworks for regulatory experimentation 1 規制実験の枠組み
An enabling policy environment for AI AIを可能にする政策環境
Regulatory experimentation and regulatory innovation 規制の実験と規制の革新
Focus on regulatory sandboxes 規制のサンドボックスに注目
2 Lessons from regulatory sandboxes in fintech 2 フィンテックにおける規制のサンドボックスからの教訓
Positive impacts ポジティブな影響
Challenges 課題
3 Policy considerations for AI regulatory sandboxes and experimentation 3 AI規制のサンドボックスと実験に関する政策的考察
Multi-disciplinary and multi-stakeholder co-operation 多分野にわたるマルチステークホルダーとの協力
AI expertise within regulatory authorities 規制当局におけるAIの専門知識
International regulatory interoperability and a possible role for trade policy 国際的な規制の相互運用性と貿易政策の役割の可能性
Comprehensive sandbox eligibility and testing criteria 包括的なサンドボックスの適格性とテスト基準
Impact on innovation and competition イノベーションと競争への影響
Interactions with other pro-innovation mechanisms 他のイノベーション促進メカニズムとの相互作用
Annex A. Sandbox typology mapping 附属書A サンドボックスの類型マッピング
Annex B. AI-related sandboxes 附属書B.AI関連サンドボックス
Annex C. AI regulatory sandbox scenarios 附属書C AI規制のサンドボックス・シナリオ
References 参考文献

 

 エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
The 2019 OECD Artificial Intelligence (AI) Principles recommend that governments “consider using experimentation to provide a controlled environment in which AI systems can be tested and scaled up.” Experimentation allows regulators to test new economic, institutional and technological approaches, and legal provisions outside of prevailing regulatory structures. Experimental and “hybrid” regulatory approaches include innovation hubs, regulatory sandboxes, standardisation, and co-regulation involving regulators and markets. The growing number and variety of regulatory experimentation approaches tailored to emerging technologies calls for a consolidated taxonomy of instruments and concepts.    2019年のOECD人工知能(AI)原則は、各国政府に対して「AIシステムのテストとスケールアップが可能な管理された環境を提供するために、実験を利用することを検討する」よう勧告している。実験によって、規制当局は既存の規制構造の外で、新しい経済的、制度的、技術的アプローチや法的規定をテストすることができる。実験的で「ハイブリッド」な規制アプローチには、イノベーション・ハブ、規制のサンドボックス、標準化、規制当局と市場が関与する共同規制などがある。新興技術に合わせた規制の実験的アプローチの数と種類が増加していることから、手法と概念に関する統合的な分類法が必要とされている。   
This report focuses on regulatory sandboxes, which are promising for areas with fast innovation cycles, such as AI and financial technology (fintech). Sandboxes create spaces where authorities engage firms to test innovative products or services that challenge existing legal frameworks. Participating firms obtain a waiver from specific legal provisions or compliance processes to allow them to innovate. Approaches to regulatory sandboxes vary but share common characteristics: they are temporary, with a testing process usually limited to six months; they bring together regulators and firms; they waive existing legal provisions and provide tailored legal support for a specific project, often based on trial-and-error; and the technical and market information and data they collect helps regulatory authorities assess whether specific legal frameworks are fit-for-purpose or need to be adapted.   本レポートは、AIや金融技術(フィンテック)のようなイノベーションサイクルの速い分野で有望な規制のサンドボックスに焦点を当てている。サンドボックスは、既存の法的枠組みに挑戦する革新的な製品やサービスをテストするために、当局が企業を関与させる場を創出するものである。参加企業は、特定の法的条項やコンプライアンス・プロセスから免除を受け、イノベーションを起こすことができる。規制当局のサンドボックスへのアプローチは様々だが、共通の特徴がある。それは、テストプロセスが通常6ヶ月に限定された一時的なものであること、規制当局と企業が一体となること、既存の法的規定を免除し、多くの場合、試行錯誤に基づいて、特定のプロジェクトに合わせた法的支援を提供すること、技術的・市場的な情報やデータを収集することで、規制当局が特定の法的枠組みが目的に適合しているか、適合させる必要があるかを評価するのに役立つこと、などである。  
There are about one hundred sandbox initiatives around the world to date, including fintech and privacy sandboxes. The UK Financial Conduct Authority (FCA) pioneered the first fintech regulatory sandbox in 2015, and many countries followed suit. The Monetary Authority of Singapore’s FinTech regulatory sandbox facilitates live experimentation on AI products and services. The UK Information Commissioner’s Office is testing the impact of broader AI-related products and services, particularly on privacy frameworks. The European Commission’s (EC) 2021 AI Act to regulate AI-related products and services includes a regulatory sandbox aimed at providing appropriate flexibility while protecting consumers and fundamental rights.   フィンテックやプライバシーのサンドボックスを含め、現在までに世界中で約100のサンドボックス構想がある。英国金融行動監視機構(FCA)は2015年に最初のフィンテック規制サンドボックスを開拓し、多くの国がこれに続いた。シンガポール金融管理局のフィンテック規制サンドボックスは、AI製品やサービスのライブ実験を促進している。英国情報コミッショナー事務局は、より広範なAI関連製品やサービス、特にプライバシーの枠組みへの影響を検証している。欧州委員会(EC)の2021年AI法は、AI関連の製品やサービスを規制するもので、消費者や基本的権利を保護しつつ、適切な柔軟性を提供することを目的とした規制のサンドボックスを含んでいる。  
Lessons from fintech show that the benefits of regulatory sandboxes include facilitating firm-financing and market-entry and increasing speed-to-market by reducing administrative and transaction costs. For regulators, testing in sandboxes informs policy-making and regulatory processes. Regulatory sandboxes provide a dynamic, evidence-based approach to regulation and regulatory interpretation. Indeed, a common outcome of sandboxes is that regulators issue amendments or guidance on how to interpret legal frameworks. On the other hand, challenges with fintech regulatory sandboxes to date include a lack of harmonised and standardised eligibility criteria and testing processes. Sandboxes require careful design and testing; inadequate specifications can harm competition, consumers, and public or personal data. Moreover, sandboxes are currently viewed as small-scale testing frameworks with limited cohorts, but as companies realise the competitive advantage of entering a sandbox, there could be pressure to expand them. Regulators might also choose to increase participation, to gather more data to inform policy, which would require automating some sandbox processes using governance- and regulatory-technology (govtech and regtech) tools. Finally, because diverging standards can lead some sandboxes to be more lenient, which promotes arbitrage and forum shopping, international cross-sandbox compatibility and collaboration across jurisdictions would be valuable.   フィンテックからの教訓として、規制当局のサンドボックスの利点には、企業の資金調達や市場参入の促進、管理コストや取引コストの削減による市場化スピードの向上などがある。規制当局にとっても、サンドボックスでのテストは、政策立案や規制プロセスに情報を提供する。規制のサンドボックスは、規制と規制の解釈に対して、ダイナミックでエビデンスに基づいたアプローチを提供する。実際、サンドボックスの一般的な成果は、規制当局が法的枠組みの解釈方法について修正案やガイダンスを発表することである。その一方で、これまでのフィンテック規制のサンドボックスの課題には、調和され標準化された適格基準やテストプロセスの欠如がある。サンドボックスには慎重な設計とテストが必要であり、不十分な仕様では競争や消費者、公共データや個人データに害を及ぼす可能性がある。さらに、サンドボックスは現在、限定されたコホートによる小規模なテストフレームワークとみなされているが、企業がサンドボックスに入ることの競争上の優位性に気づくにつれ、サンドボックスを拡大する圧力がかかる可能性がある。規制当局もまた、参加者を増やし、より多くのデータを集めて政策に反映させることを選択するかもしれない。そのためには、ガバナンスと規制のテクノロジー(govtechとregtech)ツールを使って、サンドボックス・プロセスの一部を自動化する必要があるだろう。最後に、基準が多様化することで、一部のサンドボックスがより甘くなり、裁定取引やフォーラム・ショッピングが促進される可能性があるため、国際的なクロスサンドボックスの互換性と、法域を超えた協力は価値があるだろう。  
In addition, AI regulatory sandboxes point to specific challenges and solutions:  さらに、AI規制のサンドボックスは、具体的な課題と解決策を指摘している: 
1.    Multi-disciplinary and multi-stakeholder co-operation – AI products and services are complex and often affect several areas, so that several regulatory authorities must be involved in their testing. There must be co-operation between firms, competition authorities, intellectual-property offices, national standardisation bodies, and data protection authorities, among others.  1.    複数の分野にまたがる、複数の利害関係者の協力 - AI製品やサービスは複雑で、多くの場合、複数の分野に影響を及ぼすため、その試験には複数の規制当局が関与しなければならない。特に、企業、競争当局、知的財産局、国家標準化機関、データ保護当局などの間の協力が必要である。 
2.    AI expertise within regulatory bodies – Regulatory authorities need AI technical expertise to make decisions about access to sandboxes and to develop testing frameworks. Regulatory authorities can develop new, or adapt and strengthen existing capacity-building programmes to enhance competencies related to AI and digital transformation in public bodies.   2.    規制機関内のAIの専門知識 - 規制当局は、サンドボックスへのアクセスに関する決定を下し、テストフレームワークを開発するために、AIの技術的専門知識を必要とする。規制当局は、公的機関におけるAIとデジタルトランスフォーメーションに関連する能力を強化するために、新たな能力開発プログラムを開発したり、既存の能力開発プログラムを適応・強化したりすることができる。  
3.    International regulatory interoperability and a possible role for trade policy – Stronger international co-operation and coordination is needed for regulatory experimentation mechanisms, including regulatory sandboxes. AI sandboxes and other regulatory experimentation approaches in emerging technologies could be likened to "technical regulations" in the future via "equivalence agreements" within technical barriers to trade (TBT) trade agreements.   3.    国際的な規制の相互運用性と貿易政策の役割の可能性 - 規制のサンドボックスを含む規制の実験メカニズムには、より強力な国際協力と協調が必要である。AIサンドボックスやその他の新興技術における規制的実験アプローチは、貿易の技術的障壁(TBT)貿易協定における「同等性協定」を通じて、将来的には「技術的規制」になぞらえられる可能性がある。  
4.    Comprehensive sandbox eligibility and testing criteria – International co-operation on interoperable experimentation frameworks, including testing parameters for AI, could benefit innovation and decrease regulatory fragmentation.  4.    包括的なサンドボックスの適格性とテスト基準 - AIのテストパラメータを含む、相互運用可能な実験の枠組みに関する国際協力は、イノベーションに利益をもたらし、規制の断片化を減らすことができる。 
5.    Impact on innovation and competition – Considering the impacts on innovation and competition is key. Regulatory sandboxes could affect consumers, fundamental rights, innovation, and competition, which should be assessed as early as possible.   5.    イノベーションと競争への影響 - イノベーションと競争への影響を考慮することが重要である。規制のサンドボックスは、消費者、基本的権利、イノベーション、競争に影響を与える可能性があり、可能な限り早期に評価されるべきである。  
6.    Interactions with other pro-innovation mechanisms – Sandboxes as regulatory- 6.    他のイノベーション促進メカニズムとの相互作用 - 規制としてのサンドボックス
experimentation tools should be assessed in combination with other regulatory and institutional mechanisms rather than in isolation. There are strong links between AI regulation and AI standards, especially for risk-based AI regulation that relies on standards. AI sandboxes test the fitness of AI regulations or services against existing AI standards. However, AI standards and AI regulatory sandboxes are at an early stage of development and need to inform each other.  実験ツールは、単独ではなく、他の規制・制度的メカニズムと組み合わせて評価されるべきである。AI規制とAI標準の間には強い結びつきがあり、特に標準に依存するリスクベースのAI規制にはその結びつきが強い。AIサンドボックスは、既存のAI基準に照らしてAI規制やサービスの適合性をテストする。しかし、AI標準とAI規制のサンドボックスは開発の初期段階にあり、互いに情報を提供し合う必要がある。 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

中国関係...

・2023.07.14 中国 国家サイバースペース管理局他 生成的AIサービス管理暫定弁法 施行は2023.08.15

・2023.04.12 中国 意見募集 生成的人工知能サービス管理弁法

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

 

 

| | Comments (0)

中国 国家サイバースペース管理局他 生成的AIサービス管理暫定弁法 施行は2023.08.15

こんにちは、丸山満彦です。

国家サイバースペース管理局等、7部門が共同で、生成的AIサービス管理暫定弁法を公表していますね。。。2023.04.11にドラフトが公開され、意見募集がおこなわれていたものです。。。施行は2023.08.15です。。。

国家互联网信息办公室(国家サイバースペース管理局)

プレス...

・2023.07.13 国家网信办等七部门联合公布《生成式人工智能服务管理暂行办法》

国家网信办等七部门联合公布《生成式人工智能服务管理暂行办法》 国家サイバースペース管理局など7部門が共同で「生成的AIサービス管理暫定弁法」を発表
近日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布《生成式人工智能服务管理暂行办法》(以下称《办法》),自2023年8月15日起施行。国家互联网信息办公室有关负责人表示,出台《办法》,旨在促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。 このほど、国家サイバースペース管理局は、国家発展改革委員会、教育部、科学技術部、工業情報化部、公安部、ラジオテレビ総局と共同で、2023年8月15日に発効する「生成的AIサービス管理暫定弁法」(以下、本弁法)を発表した。 国家サイバースペース管理局の関係責任者によると、本弁法の導入は、生成的AIの健全な発展と標準化された応用を促進し、国家安全保障と社会公益を保護し、国民、法人およびその他の組織の合法的な権益を保護することを目的としているという。
近年来,生成式人工智能技术快速发展,为经济社会发展带来新机遇的同时,也产生了传播虚假信息、侵害个人信息权益、数据安全和偏见歧视等问题,如何统筹生成式人工智能发展和安全引起各方关注。出台《办法》,既是促进生成式人工智能健康发展的重要要求,也是防范生成式人工智能服务风险的现实需要。 近年、AI技術の急速な発展により、経済社会の発展に新たなチャンスをもたらすと同時に、虚偽情報の流布、個人情報権益の侵害、データ安全、偏見差別などの問題も発生し、AIの発展と安全性をどのように調整するかが各方面の注目を集めている。 本弁法の導入は、生成的AIの健全な発展を促進するための重要な要件であるだけでなく、生成的AIサービスのリスクを防止するための現実的な必要性でもある。
《办法》提出国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管,明确了提供和使用生成式人工智能服务总体要求。提出了促进生成式人工智能技术发展的具体措施,明确了训练数据处理活动和数据标注等要求。规定了生成式人工智能服务规范,明确生成式人工智能服务提供者应当采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务,按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识,发现违法内容应当及时采取处置措施等。此外,还规定了安全评估、算法备案、投诉举报等制度,明确了法律责任。 本弁法は、国が発展と安全の均等重視、イノベーションの促進、法に基づくガバナンスの原則を堅持し、生成的AIの革新的発展を奨励するための効果的な措置を講じ、生成的AIサービスの包括的かつ慎重で、分類された段階的な監督を実施し、生成的AIサービスの提供と利用に関する全体的な要件を明確にすることを提案している。 生成的AI技術の発展を促進するための具体的な措置が提案され、訓練データ処理活動やデータラベリングなどの要件が明確化されている。 また、生成的AIサービスに関する規範を規定し、生成的AIサービス提供者は、未成年の利用者が生成的AIサービスに過度に依存したり、耽溺したりすることを防止するための効果的な措置を講じること、インターネット情報サービス深層合成管理規定に従って、画像や動画などの生成コンテンツにマークを付けること、違法なコンテンツを発見した場合には適時に処分する措置を講じることなどを明確にしている。 また、セキュリティ評価、アルゴリズム提出、苦情報告などの制度も規定され、法的責任も明確に定められている。
国家互联网信息办公室有关负责人指出,生成式人工智能服务的发展与治理需要政府、企业、社会、网民等多方参与,共同促进生成式人工智能健康发展,让生成式人工智能技术更好地造福人民。 国家サイバースペース管理局の担当者は、生成的AIサービスの開発とガバナンスには、政府、企業、社会、ネットユーザーなどの関係者の参加が必要であり、生成的AIの健全な発展を共同で推進し、生成的AI技術が国民により良い利益をもたらすようにする必要があると指摘した。

 

 

・2023.07.13 生成式人工智能服务管理暂行办法

生成式人工智能服务管理暂行办法 生成的AIサービス管理暫定弁法
国家互联网信息办公室 国家サイバースペース管理局
中华人民共和国国家发展和改革委员会 中華人民共和国国家発展改革委員会
中华人民共和国教育部 中華人民共和国教育部
中华人民共和国科学技术部 中華人民共和国科学技術部
中华人民共和国工业和信息化部 中華人民共和国工業情報化部
中华人民共和国公安部 中華人民共和国公安部
国家广播电视总局 国家ラジオテレビ総局
《生成式人工智能服务管理暂行办法》已经2023年5月23日国家互联网信息办公室2023年第12次室务会会议审议通过,并经国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局同意,现予公布,自2023年8月15日起施行。 「生成的AIサービス管理暫定弁法」は、2023年5月23日に開催された国家サイバースペース管理局第12回会議において検討・採択され、国家発展改革委員会、教育部、科学技術部、工業情報化部、公安部、ラジオ・テレビ総局の同意を得たものであり、ここに公布し、2023年8月15日以降に施行する。
国家互联网信息办公室主任 庄荣文 国家サイバースペース管理局主任 荘栄文
国家发展和改革委员会主任 郑栅洁 国家発展改革委員会主任 鄭傑傑
教育部部长 怀进鹏 教育部部長 淮金鵬
科学技术部部长 王志刚 王志剛科学技術部長
工业和信息化部部长 金壮龙 工業・情報化部部長 金壮龍
公安部部长 王小洪 王暁紅公安部長
国家广播电视总局局长 曹淑敏 国家ラジオテレビ総局総局長 曹淑民
2023年7月10日 2023年7月10日
生成式人工智能服务管理暂行办法 生成的AIサービス管理暫定弁法
第一章 总 则 第1章 総則
第一条 为了促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国科学技术进步法》等法律、行政法规,制定本办法。 第1条 中華人民共和国サイバーセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法、中華人民共和国科学技術進歩法及びその他の法律と行政法規に基づき、生成的AIの健全な発展と標準化された応用を促進し、国家の安全と社会公共の利益を保護し、国民、法人及びその他の組織の合法的な権益を保護するため、本方法は、中華人民共和国サイバーセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法、中華人民共和国科学技術進歩法及びその他の法律と行政法規を遵守する。 本方法を制定する。
第二条 利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务(以下称生成式人工智能服务),适用本办法。 第2条:本方法は、生成的AI技術を利用して、中華人民共和国の公衆にテキスト、画像、音声、動画その他のコンテンツを生成するサービス(以下、生成的AIサービスという)を提供する場合に適用する。
国家对利用生成式人工智能服务从事新闻出版、影视制作、文艺创作等活动另有规定的,从其规定。 国が、ニュース出版、映画・テレビ制作、文学・芸術創作などの活動に従事するために、生成的AIサービスを利用することを別途定めている場合、当該規定が適用される。
行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用生成式人工智能技术,未向境内公众提供生成式人工智能服务的,不适用本办法的规定。 本弁法の規定は、産業組織、企業、教育・科学研究機関、公共文化機関、関連専門機関、その他、生成的AI技術を開発・応用し、その領域内で生成的AIサービスを公衆に提供しない組織には適用されない。
第三条 国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管。 第3条 国は、法に基づき、開発と安全の均等重視、イノベーションの促進、ガバナンスの原則を堅持し、生成的AIのイノベーションと発展を奨励する効果的な措置を講じ、生成的AIサービスの包括的かつ慎重な分類・等級監督を実施する。
第四条 提供和使用生成式人工智能服务,应当遵守法律、行政法规,尊重社会公德和伦理道德,遵守以下规定: 第4条 生成的AIサービスの提供と利用は、法律と行政法規を遵守し、社会道徳と倫理を尊重し、以下の規定を遵守しなければならない:
(一)坚持社会主义核心价值观,不得生成煽动颠覆国家政权、推翻社会主义制度,危害国家安全和利益、损害国家形象,煽动分裂国家、破坏国家统一和社会稳定,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,暴力、淫秽色情,以及虚假有害信息等法律、行政法规禁止的内容; (1) 社会主義の核心的価値観を堅持し、国家権力の転覆、社会主義体制の転覆を煽動し、国家の安全と利益を危うくし、国家のイメージを損ない、国家の分離独立を煽動し、国家の団結と社会の安定を損ない、テロリズム、過激主義、民族憎悪、民族差別、暴力、わいせつポルノ、虚偽の有害情報など、法律と行政法規で禁止されているコンテンツを生成してはならない;
(二)在算法设计、训练数据选择、模型生成和优化、提供服务等过程中,采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视; (2) アルゴリズムの設計、訓練データの選択、モデルの生成と最適化、サービスの提供の過程において、民族、信仰、国、地域、性別、年齢、職業、健康などに起因する差別を防止するための効果的な措置を講じること;
(三)尊重知识产权、商业道德,保守商业秘密,不得利用算法、数据、平台等优势,实施垄断和不正当竞争行为; (3) 知的財産権とビジネス倫理を尊重し、商業上の秘密を守り、アルゴリズム、データ、プラットフォームなどを利用して独占や不正競争を行わない;
(四)尊重他人合法权益,不得危害他人身心健康,不得侵害他人肖像权、名誉权、荣誉权、隐私权和个人信息权益; (4) 他人の合法的な権利と利益を尊重し、他人の心身の健康を脅かしたり、他人の肖像、名誉、プライバシー、個人情報の権利と利益を侵害してはならない;
(五)基于服务类型特点,采取有效措施,提升生成式人工智能服务的透明度,提高生成内容的准确性和可靠性。 (5) サービスの種類の特徴に基づき、生成的AIサービスの透明性を高め、生成されるコンテンツの正確性と信頼性を向上させるための効果的な措置を講じること。
第二章 技术发展与治理 第2章 技術開発とガバナンス
第五条 鼓励生成式人工智能技术在各行业、各领域的创新应用,生成积极健康、向上向善的优质内容,探索优化应用场景,构建应用生态体系。 第5条 様々な産業と分野における生成的AI技術の革新的な応用を奨励し、前向きで健全、上昇志向のある良質なコンテンツを生成し、応用シナリオの最適化を模索し、応用生態系を構築する。
支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等在生成式人工智能技术创新、数据资源建设、转化应用、风险防范等方面开展协作。 また、産業組織、企業、教育科学研究機関、公共文化機関、関連専門機関などが、生成的AI技術の革新、データ資源の構築、変換、応用、リスク防止において協力することを支援する。
第六条 鼓励生成式人工智能算法、框架、芯片及配套软件平台等基础技术的自主创新,平等互利开展国际交流与合作,参与生成式人工智能相关国际规则制定。 第6条 生成的AIアルゴリズム、フレームワーク、チップ、サポートソフトウェアプラットフォームなどの基礎技術の自主革新を奨励し、対等かつ互恵的な立場で国際交流・協力を行い、生成的AIに関する国際ルールの策定に参加する。
推动生成式人工智能基础设施和公共训练数据资源平台建设。促进算力资源协同共享,提升算力资源利用效能。推动公共数据分类分级有序开放,扩展高质量的公共训练数据资源。鼓励采用安全可信的芯片、软件、工具、算力和数据资源。 生成的AIインフラと公開訓練データリソースプラットフォームの建設を推進する。 演算資源の共同共有を推進し、演算資源利用の効果を高める。 公共データの分類と秩序ある開放を推進し、高品質の公共訓練データ資源を拡大する。 安全で信頼できるチップ、ソフトウェア、ツール、演算資源、データ資源の採用を奨励する。
第七条 生成式人工智能服务提供者(以下称提供者)应当依法开展预训练、优化训练等训练数据处理活动,遵守以下规定: 第7条 生成的AIサービスの提供者(以下「提供者」という)は、法律に従い、事前訓練、最適化訓練およびその他の訓練データ処理活動を行い、以下の規定を遵守しなければならない:
(一)使用具有合法来源的数据和基础模型; (1) 適法な出所のデータおよびベースモデルを使用すること;
(二)涉及知识产权的,不得侵害他人依法享有的知识产权; (2) 知的財産権が関係する場合、法律に従って他者が享受する知的財産権を侵害してはならない;
(三)涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形; (3) 個人情報を取り扱う場合には、本人の同意を得る等、法令及び行政規則で定める事項を遵守すること;
(四)采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性; (4) 訓練データの質を向上させ、訓練データの真正性、正確性、客観性及び多様性を高めるための効果的な措置を講ずること;
(五)《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规的其他有关规定和有关主管部门的相关监管要求。 (5) 「中華人民共和国サイバーセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」などの法律および行政法規のその他の関連規定、および関連主管当局のその他の関連監督要求。
第八条 在生成式人工智能技术研发过程中进行数据标注的,提供者应当制定符合本办法要求的清晰、具体、可操作的标注规则;开展数据标注质量评估,抽样核验标注内容的准确性;对标注人员进行必要培训,提升尊法守法意识,监督指导标注人员规范开展标注工作。 第8条 データラベリングのための生成的AI技術の研究開発の過程において、提供者は本弁法の要求に沿い、明確、具体的かつ運用可能なラベリング規則を制定し、データラベリングの品質評価およびラベリングされた内容の正確性のサンプル検証を実施し、ラベリング担当者に必要な訓練を行い、法律を尊重し遵守する意識を高め、ラベリング担当者が標準的な方法でラベリングを実施するよう監督・指導しなければならない。
第三章 服务规范 第3章 サービス基準
第九条 提供者应当依法承担网络信息内容生产者责任,履行网络信息安全义务。涉及个人信息的,依法承担个人信息处理者责任,履行个人信息保护义务。 第9条 提供者は、法律に従い、ネットワーク情報コンテンツ製作者の責任を負い、ネットワーク情報セキュリティ義務を履行しなければならない。 個人情報に関わる場合、法令に基づき個人情報処理者の責任を負い、個人情報保護義務を履行する。
提供者应当与注册其服务的生成式人工智能服务使用者(以下称使用者)签订服务协议,明确双方权利义务。 提供者は、生成的AIサービスの利用登録を行う利用者(以下、利用者という)との間で、双方の権利義務を明記した利用契約を締結する。
第十条 提供者应当明确并公开其服务的适用人群、场合、用途,指导使用者科学理性认识和依法使用生成式人工智能技术,采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务。 第10条 提供者は、そのサービスの適用人口、適用場面及び適用用途を明らかにし、利用者が生成的AI技術を科学的かつ合理的に理解し、法令に従って利用するよう指導するとともに、未成年の利用者による生成的AIサービスへの過度の依存又は中毒を防止するための効果的な措置を講じなければならない。
第十一条 提供者对使用者的输入信息和使用记录应当依法履行保护义务,不得收集非必要个人信息,不得非法留存能够识别使用者身份的输入信息和使用记录,不得非法向他人提供使用者的输入信息和使用记录。 第11条 提供者は、法令に従い、利用者の入力情報及び利用記録を保護する義務を履行し、不要不急の個人情報を収集せず、利用者を特定できる入力情報及び利用記録を不正に保持せず、利用者の入力情報及び利用記録を不正に他者に提供しない。
提供者应当依法及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求。 提供者は、法令に基づき、本人からの個人情報の照会、複写、訂正、追加、削除等の求めに速やかに応じ、対応するものとする。
第十二条 提供者应当按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识。 第12条 プロバイダは、「インターネット情報サービス深層合成管理規定」に基づき、生成された写真や動画などのコンテンツにマークを付けるものとする。
第十三条 提供者应当在其服务过程中,提供安全、稳定、持续的服务,保障用户正常使用。 第13条 提供者は、そのサービスにおいて、利用者の正常な利用を確保するため、安全、安定かつ継続的なサービスを提供しなければならない。
第十四条 提供者发现违法内容的,应当及时采取停止生成、停止传输、消除等处置措施,采取模型优化训练等措施进行整改,并向有关主管部门报告。 第14条 提供者は、違法コンテンツを発見した場合、速やかに生成停止、送信停止、排除等の処分措置を講じ、モデル最適化訓練等の是正措置を講じ、関係主管機関に報告しなければならない。
提供者发现使用者利用生成式人工智能服务从事违法活动的,应当依法依约采取警示、限制功能、暂停或者终止向其提供服务等处置措施,保存有关记录,并向有关主管部门报告。 提供者は、利用者が生成的AIサービスを利用して違法行為を行っていることを発見した場合、法令に基づき、警告、機能制限、提供サービスの停止・終了等の処分措置を講じ、関連記録を保存し、関係主管機関に報告する。
第十五条 提供者应当建立健全投诉、举报机制,设置便捷的投诉、举报入口,公布处理流程和反馈时限,及时受理、处理公众投诉举报并反馈处理结果。 第15条 提供者は、苦情・通報メカニズムを確立・改善し、便利な苦情・通報ポータルを設置し、処理プロセスとフィードバック期限を公表し、公衆の苦情・通報を適時に受理・処理し、結果をフィードバックしなければならない。
第四章 监督检查和法律责任 第4章 監督、検査および法的責任
第十六条 网信、发展改革、教育、科技、工业和信息化、公安、广播电视、新闻出版等部门,依据各自职责依法加强对生成式人工智能服务的管理。 第16条 ネットワーク、発展改革、教育、科学技術、工業と情報化、公安、ラジオとテレビ、報道出版部門は、それぞれの責任に従って、生成的AIサービスの管理を強化する。
国家有关主管部门针对生成式人工智能技术特点及其在有关行业和领域的服务应用,完善与创新发展相适应的科学监管方式,制定相应的分类分级监管规则或者指引。 関係国家当局は、関連産業・分野における生成的AI技術とそのサービス応用の特徴について、イノベーションの発展に適合する科学的監督方法を改善し、対応する分類・等級監督規則またはガイドラインを制定する。
第十七条 提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。 第17条 世論属性または社会動員能力を有する生成的AIサービスの提供は、関連国家規定に基づいて安全性評価を行い、「インターネット情報サービスアルゴリズム推薦管理規定」に基づいてアルゴリズム申請および変更・取消申請手続きを行わなければならない。
第十八条 使用者发现生成式人工智能服务不符合法律、行政法规和本办法规定的,有权向有关主管部门投诉、举报。 第18条 生成的AIサービスが法律、行政法規および本弁法の規定を遵守していないと判断した利用者は、関連主管機関に苦情を申し立て、通報する権利を有する。
第十九条 有关主管部门依据职责对生成式人工智能服务开展监督检查,提供者应当依法予以配合,按要求对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明,并提供必要的技术、数据等支持和协助。 第19条 関連主管機関は、その職務に従い、生成的AIサービスの監督と検査を実施するために、プロバイダは、必要に応じて、法律に従って協力し、訓練データのソース、スケール、タイプ、ラベリングルール、アルゴリズムのメカニズムのメカニズムなどを説明し、必要な技術、データおよびその他のサポートと支援を提供しなければならない。
参与生成式人工智能服务安全评估和监督检查的相关机构和人员对在履行职责中知悉的国家秘密、商业秘密、个人隐私和个人信息应当依法予以保密,不得泄露或者非法向他人提供。 生成的AIサービスの安全評価および監督検査に携わる関連組織および人員は、法律に従い、職務遂行上知り得た国家機密、商業機密、個人のプライバシーおよび個人情報の秘密を守り、他人に開示したり、違法に提供したりしてはならない。
第二十条 对来源于中华人民共和国境外向境内提供生成式人工智能服务不符合法律、行政法规和本办法规定的,国家网信部门应当通知有关机构采取技术措施和其他必要措施予以处置。 第20条 中華人民共和国外から発信され、同地域に提供された生成的AIサービスが法律、行政法規および本弁法の規定を遵守していない場合、国家ネット情報部門は関連組織に通知し、技術的措置およびその他の必要な措置を講じさせ、これに対処させる。
第二十一条 提供者违反本办法规定的,由有关主管部门依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国科学技术进步法》等法律、行政法规的规定予以处罚;法律、行政法规没有规定的,由有关主管部门依据职责予以警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停提供相关服务。 第21条 提供者が本弁法の規定に違反した場合、中華人民共和国「ネットワーク安全法」、中華人民共和国「データ安全法」、中華人民共和国「個人情報保護法」、中華人民共和国「科学技術進歩法」及びその他の法律、行政法規の規定に基づき、関係主管機関に処罰される。 警告、通報、批判を受け、一定期間内に是正するよう命じられ、是正を拒否した場合、または状況が深刻な場合は、関連サービスの提供停止を命じられる。
构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 公安管理違反に該当する場合、法律に基づき公安管理処分を行い、犯罪に該当する場合、法律に基づき刑事責任を追及する。
第五章 附 则 第5章 附則
第二十二条 本办法下列用语的含义是: 第22条 この弁法において、次の用語の意味は次の通りである:
(一)生成式人工智能技术,是指具有文本、图片、音频、视频等内容生成能力的模型及相关技术。 (1)生成的AI技術とは、テキスト、画像、音声、動画などのコンテンツを生成する能力を持つモデルおよび関連技術を指す。
(二)生成式人工智能服务提供者,是指利用生成式人工智能技术提供生成式人工智能服务(包括通过提供可编程接口等方式提供生成式人工智能服务)的组织、个人。 (2)生成的AIサービス提供者 生成的AI技術を用いて生成的AIサービスを提供する(プログラマブル・インターフェースの提供等による生成的AIサービスの提供を含む)組織又は個人をいう。
(三)生成式人工智能服务使用者,是指使用生成式人工智能服务生成内容的组织、个人。 (3)生成的AIサービス利用者 生成的AIサービスを利用してコンテンツを生成する組織及び個人をいう。
第二十三条 法律、行政法规规定提供生成式人工智能服务应当取得相关行政许可的,提供者应当依法取得许可。 第23条 法律及び行政法規において、生成的AIサービスの提供は関連行政許可を得なければならないと規定されている場合、提供者は法律に従って許可を得なければならない。
外商投资生成式人工智能服务,应当符合外商投资相关法律、行政法规的规定。 生成的AIサービスへの外資は、外資に関する法律および行政法規の規定を遵守しなければならない。
第二十四条 本办法自2023年8月15日起施行。 第24条 本弁法は2023年8月15日から施行する。

 

 

・2023.07.13 国家互联网信息办公室有关负责人就《生成式人工智能服务管理暂行办法》答记者问

国家互联网信息办公室有关负责人就《生成式人工智能服务管理暂行办法》答记者问 国家サイバースペース管理局の関係責任者が回答した「生成的AIサービス管理暫定弁法
近日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布了《生成式人工智能服务管理暂行办法》(以下简称《办法》)。国家网信办有关负责人就《办法》相关问题回答了记者提问。 このほど、国家サイバースペース管理局(SIIO)は、国家発展改革委員会(NDRC)、教育部(MOE)、科学技術部(MOST)、工業情報化部(MIIT)、公安部(MPS)、国家ラジオ映画テレビ総局(SARFT)と共同で、「生成的AIサービス管理暫定弁法」(以下、弁法)を発表した。 国家サイバースペース管理局の担当者が、弁法に関連する問題について記者の質問に答えた。
问:请简要介绍《办法》出台的背景? Q:本弁法の背景を簡単に紹介してほしい。
答:制定《办法》主要基于以下几个方面的考虑:一是深入贯彻落实习近平总书记重要指示精神和党中央决策部署的重要举措。习近平总书记在主持召开中共中央政治局会议时指出:“要重视通用人工智能发展,营造创新生态,重视防范风险。”二是促进生成式人工智能健康发展的迫切需求。随着生成式人工智能技术的快速发展,为经济社会发展带来新机遇的同时,也产生了传播虚假信息、侵害个人信息权益、数据安全和偏见歧视等问题。《办法》坚持目标导向和问题导向,明确了促进生成式人工智能技术发展的具体措施,规定生成式人工智能服务的基本规范。三是推进实施法律规定的内在要求。制定《办法》,是落实《网络安全法》、《数据安全法》、《个人信息保护法》、《科学技术进步法》有关规定的重要要求,进一步规范数据处理等活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。 A:本弁法は、以下の点を考慮して策定された。第一に、習近平総書記の重要な指示と中国共産党中央委員会の決定・配置の精神を徹底的に実行するための重要なイニシアティブである。 習近平総書記は中国共産党中央委員会政治局会議を主宰した際、"AI全般の発展に注目し、イノベーションエコロジーを創造し、リスクの予防に注目する必要がある "と指摘した。 第二に、生成的AIの健全な発展を促進することが急務である。 生成的AI技術の急速な発展に伴い、経済社会の発展に新たなチャンスをもたらす一方で、虚偽情報の流布、個人情報の権益侵害、データセキュリティ、偏見差別などの問題も発生している。 本方針は、目標志向と問題志向を堅持し、生成的AI技術の発展を促進するための具体的な措置を明記し、生成的AIサービスの基本規範を提供する。 第三に、法規定の履行を促進することが固有の要件である。 本弁法の策定は、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法、科学技術進歩法の関連規定を実施し、データ処理などの活動をさらに規制し、国家安全保障と社会の公益を守り、国民、法人、その他の組織の合法的な権益を保護するための重要な要件である。
问:《办法》的适用范围是什么? Q: 本弁法の適用範囲は?
答:《办法》规定,利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务,适用本办法。国家对利用生成式人工智能服务从事新闻出版、影视制作、文艺创作等活动另有规定的,从其规定。行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用生成式人工智能技术,未向境内公众提供生成式人工智能服务的,不适用本办法的规定。 A: 本弁法は、中華人民共和国の公衆にテキスト、画像、音声、映像などのコンテンツを生成するサービスを提供するために、生成的AI技術を使用する場合に適用されると規定している。 ニュース出版、映画・テレビ制作、文学・芸術創作などの活動に従事するための生成的AIサービスの利用について、国家が他の規制を定めている場合は、その規制を適用する。 本弁法の規定は、生成的AI技術を開発・応用し、その領域内で生成的AIサービスを公衆に提供しない産業組織、企業、教育・科学研究機関、公共文化機関、関連専門機関などには適用されない。
问:《办法》坚持的主要原则是什么? Q: 本弁法が支持する主な原則は何か。
答:《办法》提出国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管。 A:本弁法は、国が発展と安全の均等重視、イノベーションの促進、法に基づくガバナンスの原則を堅持し、生成的AIのイノベーションと発展を奨励する効果的な措置を講じ、生成的AIサービスの包括的、慎重かつ分類された段階的な監督を実施することを提案している。
问:《办法》中所称生成式人工智能技术和生成式人工智能服务提供者是指什么? Q:本弁法で言及されている生成的AI技術と生成的AIサービス・プロバイダーとは何か。
答:《办法》中所称生成式人工智能技术,是指具有文本、图片、音频、视频等内容生成能力的模型及相关技术;生成式人工智能服务提供者,是指利用生成式人工智能技术提供生成式人工智能服务(包括通过提供可编程接口等方式提供生成式人工智能服务)的组织、个人。 A:本弁法でいう生成的AI技術とは、テキスト、画像、音声、映像等のコンテンツを生成する能力を有するモデル及び関連技術をいい、生成的AIサービス・プロバイダーとは、生成的AI技術を利用して生成的AIサービス(プログラマブル・インターフェースの提供等による生成的AIサービスの提供を含む)を提供する組織及び個人をいう。
问:《办法》对促进生成式人工智能健康发展有哪些考虑? Q: 生成的AIの健全な発展を促進するための本弁法の留意点は何か。
答:《办法》在治理对象上,针对生成式人工智能服务。在监管方式上,提出对生成式人工智能服务实行包容审慎和分类分级监管,要求国家有关主管部门针对生成式人工智能技术特点及其在有关行业和领域的服务应用,完善与创新发展相适应的科学监管方式,制定相应的分类分级监管规则或者指引。在促进发展具体措施上,一是明确鼓励生成式人工智能技术在各行业、各领域的创新应用,生成积极健康、向上向善的优质内容,探索优化应用场景,构建应用生态体系。二是支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等在生成式人工智能技术创新、数据资源建设、转化应用、风险防范等方面开展协作。三是鼓励生成式人工智能算法、框架、芯片及配套软件平台等基础技术的自主创新,平等互利开展国际交流与合作,参与生成式人工智能相关国际规则制定。四是提出推动生成式人工智能基础设施和公共训练数据资源平台建设。促进算力资源协同共享,提升算力资源利用效能。推动公共数据分类分级有序开放,扩展高质量的公共训练数据资源。鼓励采用安全可信的芯片、软件、工具、算力和数据资源。 A:本弁法は、ガバナンスの対象という観点から、生成的AIサービスを対象としている。 規制アプローチの面では、包括的かつ慎重で、生成的AIサービスの分類・等級付け規制を実施することを提案し、関連する国家主管機関がイノベーションと発展に適合する科学的規制アプローチを改善し、生成的AI技術と関連産業・分野におけるサービス応用の特徴に照らして、生成的AIサービスに対応する分類・等級付け規則またはガイドラインを策定することを求めている。 発展を促進するための具体的な措置としては、第1に、様々な産業・分野における生成的AI技術の革新的な応用を明示的に奨励し、前向きで健全かつ上昇志向の高い質の高いコンテンツを生み出し、応用シナリオを模索・最適化し、応用エコシステムを構築する。 第二に、生成的AI技術の革新、データリソースの構築、変換、応用、リスク防止において、業界団体、企業、教育・科学研究機関、公共文化機関、関連専門機関の協力を支援する。 第三に、生成的AIのアルゴリズム、フレームワーク、チップ、サポートソフトウェアプラットフォームなどの基本技術の自主的な革新、平等かつ互恵的な国際交流と協力、生成的AIに関連する国際ルールの策定への参加を奨励する。 第四に、生成的AIインフラと公開訓練データ・リソース・プラットフォームの構築を促進することを提案している。 演算資源の共同利用を促進し、演算資源利用の有効性を高める。 公共データの分類と等級付けの秩序ある開放を促進し、高品質の公共訓練データ資源を拡大する。 安全で信頼できるチップ、ソフトウェア、ツール、演算資源、データ資源の採用を奨励する。
问:《办法》明确提供和使用生成式人工智能服务应当遵守哪些规定? Q: 本弁法は、生成的AIサービスの提供・利用において遵守すべき規制を明確にしているか?
答:《办法》明确提供和使用生成式人工智能服务应当坚持社会主义核心价值观,不得生成煽动颠覆国家政权、推翻社会主义制度,危害国家安全和利益、损害国家形象,煽动分裂国家、破坏国家统一和社会稳定,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,暴力、淫秽色情,以及虚假有害信息等法律、行政法规禁止的内容;在算法设计、训练数据选择、模型生成和优化、提供服务等过程中,采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视;尊重知识产权、商业道德,保守商业秘密,不得利用算法、数据、平台等优势,实施垄断和不正当竞争行为;尊重他人合法权益,不得危害他人身心健康,不得侵害他人肖像权、名誉权、荣誉权、隐私权和个人信息权益;基于服务类型特点,采取有效措施,提升生成式人工智能服务的透明度,提高生成内容的准确性和可靠性。 A:本弁法は、生成的AIサービスの提供・利用は社会主義の核心的価値観を堅持すべきであり、国家権力の転覆、社会主義体制の転覆、国家の安全と利益の危うさ、国家のイメージの低下、国家の分離独立の扇動、国家の団結と社会の安定を損なうこと、テロリズム、過激主義、民族憎悪、民族差別、暴力、わいせつ・ポルノ、虚偽の有害情報など、法律や行政法規で禁止されている情報を生成してはならないことを明確にしている。 法律と行政法規で禁止されている内容;アルゴリズム設計、訓練データ選択、モデル生成と最適化、サービス提供の過程において、民族、信仰、国、地域、性別、年齢、職業、健康などによる差別を防止するための効果的な措置を講じる;知的財産権、企業倫理を尊重し、企業秘密を守る;アルゴリズム、データ、プラットフォームなどを利用して、独占と不正競争を実施しない;他人の合法的な権利と利益を尊重する。 行動すること、他者の正当な権利・利益を尊重し、他者の心身の健康を損なわないこと、他者の肖像権、名誉、プライバシー、個人情報等の権利・利益を侵害しないこと、サービスの種類の特性に基づき、生成的AIサービスの透明性を高め、生成されるコンテンツの正確性・信頼性を向上させるための効果的な措置を講じること。
问:《办法》规定的治理制度主要有哪些? Q:本弁法に規定されている主なガバナンス体制は?
答:《办法》明确生成式人工智能服务提供者应当依法开展预训练、优化训练等训练数据处理活动,使用具有合法来源的数据和基础模型;涉及知识产权的,不得侵害他人依法享有的知识产权;涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形;采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性。此外,明确了数据标注的相关要求。 A:本弁法では、生成的AIサービス提供者は、法律に基づき、事前訓練や最適化訓練などの訓練データ処理活動を実施し、正当な出所のデータや基本モデルを使用すること、知的財産権が関係する場合、法律に基づき、他者が享有する知的財産権を侵害しないこと、個人情報が関係する場合、法律や行政法規などの事情に基づき、本人の同意を得ること、訓練データの品質を向上させ、訓練データの信憑性を高めるために効果的な措置を講じることを明確にしている。 研修データの質を向上させ、研修データの信憑性、正確性、客観性、多様性を高める。 加えて、データのラベリングに関する関連要件が明確化されている。
问:《办法》主要明确了哪些生成式人工智能服务规范? Q: 本弁法には、主にどのような生成的AIサービスの仕様が規定されているのか?
答:《办法》要求采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务。规定提供者应当按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识。规定提供者发现违法内容的,应当及时采取停止生成、停止传输、消除等处置措施并采取模型优化训练等措施进行整改。明确提供者发现使用者利用生成式人工智能服务从事违法活动的,应当依法依约采取有关处置措施,保存有关记录,并向有关主管部门报告。 A:本弁法では、未成年の利用者が生成的AIサービスに過度に依存したり、中毒になったりしないよう、効果的な措置を講じることを求めている。 「インターネット情報サービス深層合成管理規定」に従い、提供者は生成された画像や動画などのコンテンツにマークを付けることが規定されている。 違法なコンテンツを発見した場合には、速やかに生成停止、送信停止、消去等の措置を講じるとともに、モデルの最適化、訓練等の是正措置を講じることが規定されている。 プロバイダは、利用者が生成されたAIサービスを利用して違法行為を行っていることを発見した場合、法令に基づき適切な処分措置を講じるとともに、関連記録を保存し、関係主管庁に報告しなければならないことは明らかである。
问:《办法》对投诉、举报作了哪些规定? Q: 苦情と報告に関する本弁法の規定は何か。
答:《办法》规定提供者应当建立健全投诉、举报机制,设置便捷的投诉、举报入口,公布处理流程和反馈时限,及时受理、处理公众投诉举报并反馈处理结果。明确使用者发现生成式人工智能服务不符合法律、行政法规和本办法规定的,有权向有关主管部门投诉、举报。 A:本弁法では、提供者は健全な苦情・通報メカニズムを確立し、便利な苦情・通報ポータルを設置し、処理プロセスおよびフィードバック期間を公表し、公衆からの苦情・通報および結果に対するフィードバックを速やかに受け付けて処理しなければならないと規定している。 生成的AIサービスが法律、行政法規および弁法の規定を遵守していないことを発見した利用者は、関係主管機関に苦情を申し立て、報告する権利を有する。

 

専門家の解釈シリーズ...

 

専門家の解釈(1)洗練されたガバナンスのための生成的AIの推進 - 新永飛 中国情報通信研究院政策経済研究所所長

专家解读|推动生成式人工智能精细化治理 専門家の解釈|洗練されたガバナンスのための生成的AIの推進
当前,生成式人工智能正在加速发展,不断催生新场景、新业态、新模式和新市场,赋能千行百业。与此同时,其暴露出的安全风险也引发了各国监管部门的广泛关注,意大利、德国、法国、西班牙等多个国家的数据保护监管机构对ChatGPT表达担忧或发起调查。近日,国家网信办联合国家有关部门公布了《生成式人工智能服务管理暂行办法》(以下简称《办法》)。《办法》是我国促进生成式人工智能健康发展和规范应用的专门立法,界定了生成式人工智能技术的基本概念,规定了生成式人工智能服务提供者的制度要求,为生成式人工智能的健康发展指明了方向。 現在、生成的AIは加速しており、常に新しいシーン、新しい形態、新しいモード、新しい市場を生み出し、何千もの産業に力を与えている。 同時に、その露呈したセキュリティリスクは、各国の規制当局の間に広範な懸念を引き起こし、イタリア、ドイツ、フランス、スペインなど多くの国のデータ保護規制当局がChatGPTへの懸念を表明したり、調査を開始したりしている。 最近、国家サイバースペース管理局(SNIO)は国家関連部門と共同で、「生成的AIサービス管理暫定弁法」(以下、弁法)を発表した。 本弁法は、生成的AIの健全な発展を促進し、その応用を規制するための中国における専門的な法律であり、生成的AI技術の基本概念を定義し、生成的AIサービス提供者の制度的要件を規定し、生成的AIの健全な発展の方向性を指摘している。
一、促进发展,鼓励生成式人工智能研发创新 1. 生成的AIの研究開発とイノベーションの促進
新一代人工智能是推动科技跨越发展、产业优化升级、生产力整体跃升的驱动力量。习近平总书记高度重视人工智能技术发展,指出要加快新能源、人工智能、生物制造、绿色低碳、量子计算等前沿技术研发和应用推广。中共中央政治局4月28日召开会议强调,“要重视通用人工智能发展,营造创新生态,重视防范风险”。 新世代のAIは、科学技術の飛躍的発展、産業の最適化・高度化、生産性の全面的飛躍を促進する原動力となる。 習近平総書記はAI技術の発展を非常に重視しており、新エネルギー、AI、生物製造、グリーン低炭素、量子コンピューターなどの最先端技術の研究開発と応用促進を加速する必要があると指摘している。 中国共産党中央委員会政治局は4月28日に会議を開き、「一般的なAIの発展、イノベーション・エコシステムの構築、リスクの防止を重視すべきだ」と強調した。
《办法》立足于促进生成式人工智能健康发展和规范应用,在总则中明确了国家坚持发展和安全并重、促进创新和依法治理相结合的原则,并在技术发展与治理一章中提出了一系列鼓励措施。一是鼓励创新应用。生成式人工智能应用场景丰富,可以与各行业深度结合,助力实现各行业智能化变革。《办法》明确提出鼓励生成式人工智能技术在各行业、各领域的创新应用,有助于生成式人工智能赋能千行百业。二是鼓励多方协作。生成式人工智能在技术创新、数据资源建设、转化应用、风险防范等方面涉及多方主体,为此,《办法》鼓励行业组织、企业以及各个相关机构之间开展协作。三是鼓励自主创新与国际合作。生成式人工智能尚处于发展阶段,而我国在生成式人工智能相关算法、芯片等技术研发方面起步相对较晚。《办法》一方面鼓励生成式人工智能相关基础技术的自主创新,另一方面鼓励平等互利开展国际交流与合作,从而促进我国人工智能技术发展。四是鼓励资源共享。算力是支撑数字经济蓬勃发展的重要“底座”,数据是生成式人工智能的重要资源。为此,《办法》提出推动生成式人工智能基础设施和公共训练数据资源平台建设的措施,促进算力资源协同共享,提升算力资源利用效能。 本弁法は、生成的AIの健全な発展と標準化された応用の促進に基づき、国家が発展と安全を同等に重視し、イノベーションの促進と法に基づく統治の両立という原則を堅持することを一般原則で明確にし、技術開発と統治に関する章で一連の奨励策を打ち出している。 第一に、革新的な応用を奨励する。 生成的AIの応用シナリオは豊富で、各産業と深く組み合わせることができ、各産業のインテリジェントな変化を実現するのに役立つ。 本弁法は、様々な産業や分野での生成的AI技術の革新的な応用を奨励することを明確に打ち出しており、生成的AIが数千もの産業に力を与えることを支援する。 第二に、複数当事者の協力を奨励している。 生成的AIは、技術革新、データ資源の構築、変換、応用、リスク防止などにおいて、複数の関係者が関与する。 第三に、自主的なイノベーションと国際協力を奨励している。 生成的AIはまだ発展段階にあり、中国は生成的AIに関連するアルゴリズム、チップ、その他の技術の研究開発に比較的遅れて着手した。 本弁法は、一方では、生成的AIに関連する基礎技術の自主革新を奨励し、他方では、対等かつ互恵的な国際交流と協力を奨励し、中国におけるAI技術の発展を促進する。 第四に、資源の共有を奨励する。 演算はデジタル経済の発展を支える重要な「基盤」であり、データは生成的AIにとって重要な資源である。 このため、本弁法は、生成的AIインフラと公共訓練データ資源プラットフォームの建設を促進し、算術資源の共同共有を促進し、算術資源利用の有効性を高める措置を提案している。
二、划定底线,推动生成式人工智能向上向善 2. 底辺を描き、生成的AIを上へ上へと推進する
以ChatGPT为代表的生成式人工智能在社会变革中的具有重要作用,但其可能存在的数据违法收集、知识产权侵权、生成虚假信息等问题同样不容忽视。 ChatGPTに代表される生成的AIは、社会変革に重要な役割を果たすが、違法なデータ収集、知的財産権の侵害、虚偽情報の生成などの問題が発生する可能性も無視できない。
《办法》积极回应生成式人工智能带来的社会问题,明确提供和使用生成式人工智能服务的法律底线。一是不得生成违法内容。《办法》落实《网络安全法》等法律的规定,强调提供和使用生成式人工智能服务应当坚持社会主义核心价值观,不得生成法律、行政法规禁止的内容。二是防止歧视。训练数据本身存在歧视内容、算法更倾向于某些特征值、标注人员的主观判断等因素可能导致歧视问题,给社会带来不良后果,如边缘化弱势人群或者煽动仇恨与暴力。为减少歧视现象发生,《办法》要求在算法设计、训练数据选择、模型生成和优化、提供服务等过程中,采取有效措施防止歧视。三是尊重知识产权和他人合法权益。生成式人工智能在个人信息的处理过程中,可能存在违法收集、使用个人信息等风险;生成式人工智能的训练数据中如包括他人已发表并享有著作权的作品,也可能给知识产权造成侵害。为减少侵权事件的发生,《办法》强调尊重知识产权、商业道德;尊重他人合法权益,不得危害他人身心健康,不得侵害他人肖像权、名誉权、荣誉权、隐私权和个人信息权益。四是提高生成内容准确性和可靠性。自生成式人工智能面世之初,其存在的“一本正经地胡说八道”现象便引起了人们的警惕。这种虚假信息的产生很可能会误导用户,加剧社会对共享信息的不信任。如何保障生成内容的真实性,既是产业界为进一步扩大生成式人工智能商用范围需要克服的技术难题,也是监管部门需要重点考量的问题。《办法》要求生成式人工智能服务提供者(以下简称“提供者”)基于服务类型特点,采取有效措施,提升生成式人工智能服务的透明度,提高生成内容的准确性和可靠性。这一要求充分体现了发展与安全并重的原则,符合生成式人工智能的技术原理与产业需要。 本弁法は、生成的AIがもたらす社会問題に前向きに対応し、生成的AIサービスの提供・利用に関する法的な落とし所を明確にするものである。 第一に、違法なコンテンツを生成してはならない。 本弁法はネットワーク安全法などの規定を実施し、生成的AIサービスの提供・利用は社会主義核心価値観を堅持すべきであり、法律や行政法規で禁止されているコンテンツを生成してはならないことを強調している。 第二に、差別の防止である。 学習データ自体に差別的なコンテンツが存在すること、アルゴリズムが特定の特徴値を好むこと、アノテーション担当者の主観的判断などの要因が差別問題を引き起こし、不利な立場にある人々を疎外したり、憎悪や暴力を煽ったりするなど、社会に悪影響をもたらす可能性がある。 差別の発生を抑制するため、本弁法では、アルゴリズム設計、学習データ選択、モデル生成・最適化、サービス提供の各過程において、差別を防止するための効果的な措置を講じることを求めている。 第三に、知的財産権と他者の正当な権利と利益を尊重することである。 生成的AIには、個人情報の処理過程で個人情報を不正に収集・利用するなどのリスクがある可能性がある。また、生成的AIの学習データには、他者が公表し著作権を有する著作物が含まれる場合、知的財産権の侵害を引き起こす可能性がある。 侵害事件の発生を減少させるため、本弁法は知的財産権と企業倫理の尊重を強調し、他人の合法的な権利と利益を尊重し、他人の心身の健康を脅かしたり、他人の肖像、名誉、プライバシー、個人情報などの権利と利益を侵害してはならない。 第四に、生成コンテンツの正確性と信頼性を向上させることである。 生成的AIが始まって以来、「深刻なナンセンス」という現象が人々の警戒心を喚起してきた。 このような偽情報の生成は、ユーザーを惑わし、共有情報に対する社会的不信を増大させる可能性が高い。 生成されたコンテンツの真正性をどのように保証するかは、生成的AIの商業的範囲をさらに拡大するために業界が克服すべき技術的課題であると同時に、規制当局が検討すべき重要な課題でもある。 本弁法は、生成的AIサービスの提供者(以下、「提供者」という)に対し、サービスの種類の特性に基づき、生成的AIサービスの透明性を高め、生成されるコンテンツの正確性・信頼性を向上させるための効果的な措置を講じることを求めている。 この要件は、開発と安全性を同等に重視するという原則を完全に体現するものであり、生成的AIの技術原則と産業界のニーズに沿ったものである。
三、细化责任,构建生成式人工智能治理体系 3. 責任を精緻化し、生成的AIのガバナンス・システムを構築する。
生成式人工智能从研发到落地需要经历多个环节,包括训练数据处理、数据标注、提供服务等。清晰界定不同环节的要求更有利于降低生成式人工智能的安全风险,增强制度的可落地性。 生成的AIは、研究開発からトレーニングデータ処理、データラベリング、サービス提供など、複数のリンクを経由して着地する必要がある。 さまざまなリンクの要件を明確に定義することは、生成的AIの安全リスクを低減し、システムの強制力を高めることにつながる。
《办法》明确提供者的义务与责任,提供者是利用生成式人工智能技术提供生成式人工智能服务的组织、个人,包括通过提供可编程接口等方式提供生成式人工智能服务的组织、个人。在训练数据处理环节,提供者应当使用具有合法来源的数据和基础模型,并采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性。在数据标注环节,提供者应当制定标注规则,开展数据标注质量评估,并对标注人员进行培训。在提供服务环节,提供者应依法承担网络信息内容生产者责任,按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识;发现违法内容的,应当及时采取处置措施、进行整改并向有关主管部门报告;应依法承担个人信息处理者责任,对生成式人工智能服务使用者的输入信息和使用记录依法履行保护义务,及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求;应履行用户管理义务,明确并公开服务适用情况,指导使用者科学理性认识和依法使用技术,采取未成年人防沉迷措施,依法处置从事违法活动的使用者,建立健全投诉、举报机制;应提供安全、稳定、持续的服务。 本弁法は、プログラマブル・インターフェースの提供を通じて生成的AIサービスを提供する組織や個人を含め、生成的AI技術を用いて生成的AIサービスを提供する組織や個人であるプロバイダーの義務と責任を明確にしている。 訓練データ処理リンクにおいて、プロバイダーは、正当な情報源のデータと基本モデルを使用し、訓練データの質を向上させ、訓練データの真正性、正確性、客観性、多様性を高めるための効果的な措置を講じなければならない。 データ・ラベリング・プロセスにおいて、提供者は、ラベリング規則を策定し、データ・ラベリングの品質評価を実施し、ラベリング担当者にトレーニングを提供しなければならない。 サービスの提供において、提供者は、法律に従ってネットワーク情報コンテンツ製作者の責任を負い、「インターネット情報サービス深層合成管理規定」に従って、生成された画像や動画などのコンテンツをマークし、違法なコンテンツが発見された場合、適時に廃棄措置を取り、是正を行い、関係主管機関に報告する。 利用者管理義務を履行し、サービスの適用を明確にして公開し、利用者が科学的かつ合理的に理解し、法令に従って技術を利用するよう指導し、未成年者の耽溺を防止する措置を講じ、法令に従って不法行為を行った利用者を処分し、苦情及び通報の仕組みを構築・改善する。 安全・安定・継続的なサービスを提供する。
四、强化披露,明确生成式人工智能监管手段 4. 情報開示の強化と生成的AI規制手段の明確化
人工智能算法具有“黑箱”特性,表现为行为不可控、决策机制难以解释,给人工智能监管带来了一定困难。为此,《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》等规范已经明确了算法备案、安全评估等监管手段,提高算法的透明度与可问责性。 AIアルゴリズムには「ブラックボックス」の特性があり、制御不能な行動や説明困難な意思決定メカニズムに現れ、AIの規制に一定の困難をもたらす。 このため、「インターネット情報サービスのアルゴリズム推薦に関する管理弁法」と「インターネット情報サービス深層合成管理規定」は、アルゴリズムの透明性と説明責任を向上させるため、アルゴリズムの申請や安全性評価などの規制手段をすでに明確にしている。
《办法》与现有规范一脉相承,延续了此前监管手段,同时明确了分类分级监管的原则,健全了我国人工智能治理体系。一是明确了安全评估与算法备案要求。为有效应对算法“黑箱”问题,《办法》对提供具有舆论属性或者社会动员能力的生成式人工智能服务的,提出了安全评估与算法备案要求。二是明确了信息披露要求。《办法》明确了提供者应配合主管部门的监督检查,按要求对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明。 本弁法は、既存の規範と同じ流れを汲んでおり、これまでの規制手段を継続する一方、分類と等級監督の原則を明確化し、中国のAIガバナンスシステムを改善するものである。 第一に、安全性評価とアルゴリズム申請の要件を明確にしている。 アルゴリズムの「ブラックボックス」問題に効果的に対処するため、本弁法は世論属性や社会動員能力を持つ生成的AIサービスを提供し、安全性評価とアルゴリズム提出の要件を打ち出した。 第二に、情報開示の要求を明確にした。 本弁法は、プロバイダーが管轄当局の監督・検査に協力し、必要に応じて学習データの出所、規模、種類、ラベリングルール、アルゴリズムメカニズム機構を説明する必要があることを明確にしている。
《办法》是在区块链、汽车数据、算法推荐、深度合成等立法之后,我国对新兴领域立法的又一次探索。《办法》充分协调了发展与安全之间的关系,一方面提出了生成式人工智能发展的鼓励措施,另一方面明确了生成式人工智能的法律底线,构建了生成式人工智能精细化治理体系,有利于推动生成式人工智能健康有序发展,为世界贡献人工智能治理的中国智慧和中国方案。(作者:辛勇飞 中国信息通信研究院政策与经济研究所所长) 本弁法は、ブロックチェーン、自動車データ、アルゴリズムによる推薦、深層合成に関する立法に続く、中国の新興分野における新たな法制の模索である。 本弁法は、発展と安全性の関係を完全に調整し、一方では生成的AIの発展に対するインセンティブを打ち出し、他方では生成的AIの法的底辺を明確にし、生成的AIのきめ細かなガバナンス・システムを構築するものであり、生成的AIの健全かつ秩序ある発展を促進し、中国の知恵に対する世界の貢献と中国のAIガバナンス・プログラムに寄与するものである。 (著者:新永飛 中国情報通信研究院政策経済研究所所長)



専門家の解釈(2)多者間ガバナンスを堅持し、生成的AIの健全な発展に制度的保障を提供する - 楊建軍、中国電子技術標準化研究院党委員会書記

专家解读|坚持多方共治 为生成式人工智能健康发展提供制度保障 専門家の解釈|多者間ガバナンスを堅持し、生成的AIの健全な発展に制度的保障を提供する
生成式人工智能是人类科学技术发展的重要成果,为引领和带动新一轮产业变革提供了可能。近年来,生成式人工智能技术不断成熟,展现出全方位提升人类生产生活效率的重要潜力,揭开人类社会智能化演进的趋势。然而,生成式人工智能也在网络安全方面带来新挑战、新风险。如何发展好、运用好、管理好生成式人工智能,已经成为全世界面临的共同挑战。 生成的AIは人類の科学技術の発展における重要な成果であり、産業変革の新たなラウンドをリードし、牽引する可能性を提供する。 近年、生成的AI技術は成熟を続け、あらゆる面で人類の生産と生活の効率を高める重要な可能性を示し、人類社会の知的進化の流れを明らかにした。 しかし、生成的AIはサイバーセキュリティの面でも新たな課題とリスクをもたらしている。 生成的AIをどのように開発し、利用し、管理するかは、全世界共通の課題となっている。
在此背景下,国家网信办等七部门发布了《生成式人工智能服务管理暂行办法》(以下简称《办法》)。《办法》的出台将从政策法规层面为我国生成式人工智能健康发展保驾护航,是统筹发展和安全的重要举措。同时,《办法》作为国际上首先出台的积极应对生成式人工智能安全风险的专门立法,为有序开展相关管理工作明确了方向。   このような背景から、国家サイバースペース管理局など7つの部門は、「生成的AIサービス管理暫定弁法」(以下、弁法)を公布した。 本弁法の導入は、政策や規制のレベルで中国における生成的AIの健全な発展を護衛するものであり、発展と安全を調整する重要なイニシアティブである。 同時に、本弁法は、生成的AIの安全リスクに積極的に対処する初の国際専門法として、関連管理の秩序ある発展に明確な方向性を提供するものである。  
一、《办法》明确生成式人工智能服务安全要求 1. 本弁法は、生成的AIサービスの安全要件を明確化する。
(一)聚焦生成内容安全,引导服务向上向善   (1) 生成コンテンツの安全性を重視し、サービスを上昇志向に導く  
生成式人工智能服务已成为用户在网络获取知识的重要途径之一,服务所提供的内容将直接影响用户对事物的认知,《办法》明确坚持社会主义核心价值观,要求服务提供者不得生成违法信息,并明确提出防歧视等要求。生成式人工智能服务所产生内容的质量高低、安全与否主要取决于训练数据,《办法》要求服务提供者采取有效措施提高训练数据质量,增强数据的真实性、准确性、客观性、多样性,并指导服务提供者做好数据处理、数据标注等方面的安全管理工作。 生成的AIサービスは、ユーザーがネットワークで知識を得るための重要な手段の一つとなっており、サービスによって提供されるコンテンツは、ユーザーの物事に対する知識に直接影響を与えるため、本弁法は社会主義の核心的価値観を明確に堅持し、サービス提供者が違法な情報を生成しないことを求め、差別禁止などの要求を明確に打ち出した。 生成的AIサービスによって生成されるコンテンツの品質と安全性は主に学習データに依存し、弁法は、サービス提供者が学習データの品質を向上させ、データの信憑性、正確性、客観性、多様性を高めるために効果的な措置を講じることを求め、サービス提供者がデータ処理、データ表示などの安全管理面で良い仕事をするよう指導する。
(二)聚焦用户权益保护,保障服务合法合规   (2) 利用者の権利と利益の保護に焦点を当て、サービスの法令遵守を保証する。  
生成式人工智能服务带来新的安全问题、安全风险,为保护用户权益,服务的过程和形式需要正确的引导,《办法》提出服务提供者需明确并公开服务的适用人群、场合、用途,防范未成年人用户过度依赖或者沉迷。生成式人工智能服务因其技术特点,易涉及用户敏感数据,需进行重点保护,《办法》围绕商业秘密、用户个人信息保护提出要求,并明确了服务提供者对用户输入信息和使用记录的保护义务,为用户安全使用服务提供保障。 生成的AIサービスは、新たなセキュリティ問題とセキュリティリスクをもたらし、利用者の権利と利益を保護するために、サービスのプロセスと形態を正しく導く必要があり、本弁法は、サービス提供者がサービスの適用対象者、場面、用途を明確かつオープンにし、未成年の利用者の過度な依存や放任を防止する必要があることを提案している。 生成的AIサービスは、その技術的特性から、機密性の高いユーザー情報を含みやすく、重点的な保護が必要であり、弁法では、商業秘密及びユーザーの個人情報保護に関する要求を提示し、サービス提供者がユーザーの入力情報及び利用記録を保護する義務を明確にすることで、ユーザーが安全にサービスを利用できるような保護措置を提供するとしている。
(三)聚焦使用模式管理,防范服务滥用误用   (3) 利用形態の管理とサービスの濫用・誤用の防止に注力すること  
生成式人工智能服务涉及的用户数量多、业务跨度大,用户的服务使用情况需受到合理监督,《办法》明确了服务提供者发现使用者利用生成式人工智能服务从事违法活动的,应当依法依约采取警示、限制功能、暂停或者终止向其提供服务等处置措施,保存有关记录,并向有关主管部门报告。生成式人工智能服务产生的内容逼真度高、迷惑性强,极易误导用户,《办法》提出针对图片、视频等生成内容进行明显标识的要求,防止用户误用生成内容。   生成的AIサービスは、多数の利用者と大きな事業スパンを伴うものであり、利用者によるサービス利用を合理的に監督する必要がある。 本弁法は、サービス提供者が、利用者が生成的AIサービスを利用して違法行為を行っていることを発見した場合、法令に従い、契約に基づき、警告、機能制限、サービス提供の停止・終了等の処分措置を講じ、関連記録を保存し、関係主管機関に報告することを明確にしている。 生成的AIサービスは、非常にリアルで紛らわしいコンテンツを生成するため、利用者の誤解を招きやすい。 本弁法は、利用者が生成コンテンツを悪用することを防止するため、画像や動画などの生成コンテンツに明白な表示を義務付けることを打ち出している。  
二、《办法》引导构建生成式人工智能安全治理环境   2. 本弁法は、生成型なAIセキュリティガバナンス環境の構築を指導している。  
(一)鼓励创新应用,统筹发展和安全 (1) イノベーションと応用を奨励し、発展と安全を調整する。
当前,我国生成式人工智能处于关键发展时期,需以安全保发展、以发展促安全,推动生成式人工智能稳步快速发展。《办法》一是进一步明确了发展和安全并重、促进创新和依法治理相结合的原则,对生成式人工智能实行包容审慎的监管;二是鼓励生成式人工智能在各行业领域创新应用,探索优化应用场景,支持专业机构在技术创新、数据资源建设、转化应用、风险防范等方面开展跨行业领域协作,构建应用生态体系;三是鼓励算法、框架、芯片、配套软件等基础技术自主创新,推动全产业链持续发展。 現在、中国の生成的AIは発展の重要な時期にあり、生成的AIの着実かつ急速な発展を促進するため、安全の発展を保護する必要がある。 本弁法はさらに、発展と安全の均等重視、イノベーションの推進、法に基づくガバナンス、生成的AIの包括的かつ慎重な監督の実施などの原則を明確にしている。第二に、生成的AIが各業界で革新的に応用されることを奨励し、応用シナリオの最適化を模索し、専門機関が技術革新、データ資源の構築、転換と応用、リスク防止などにおいて業界を超えた協力を実施し、応用生態系を構築することを支持している。 第三に、アルゴリズム、フレームワーク、チップ、支援ソフトウェアなどの基礎技術の自主革新を奨励し、産業チェーン全体の持続可能な発展を促進する。
(二)强化主体责任,构建多方治理架构  (2) 主体的責任を強化し、複数当事者によるガバナンス構造を構築する 
生成式人工智能服务产业链条正在逐步形成,需要进一步强化主体责任,促进各环节安全水平提升。《办法》一是明确了提供者应依法承担网络安全信息内容生产者责任,履行网络信息安全义务;二是明确了涉及个人信息的,提供者应依法承担个人信息处理者责任,履行个人信息保护义务;三是规定了提供者与使用者应签订服务协议,明确双方权利义务。《办法》从多角度明确治理规则、强调治理要求,明确了用户对服务的监督作用,要求提供者建立投诉举报机制,强调使用者有权向有关部门投诉举报。 生成的AIサービス産業チェーンは徐々に形成されつつあり、各リンクの主体的責任をさらに強化し、安全レベルを促進する必要がある。 本弁法は、第一に、プロバイダーがネットワークセキュリティ情報コンテンツ製作者の責任を負い、法律に従ってネットワーク情報セキュリティ義務を履行することを明確にし、第二に、個人情報が関与する場合、プロバイダーが個人情報処理者の責任を負い、法律に従って個人情報保護義務を履行することを明確にし、第三に、プロバイダーとユーザーがサービス契約を締結し、双方の権利と義務を明確にすることを規定している。 本弁法は、ガバナンスルールを明確化し、多方面からのガバナンス要件を強調し、サービス監督における利用者の役割を明確にし、提供者に苦情・報告メカニズムの確立を求め、利用者が関係当局に苦情を報告する権利を有することを強調している。
(三)推动标准工作,支撑《办法》细化落地 (3) 措置の改善と実施を支援する標準作業の推進
与《办法》相关工作同步,配套支撑《办法》细化落地的网络安全相关国家标准已提前布局、统一推动。全国信息安全标准化技术委员会已发布《信息安全技术生成式人工智能预训练和优化训练数据安全规范》、《信息安全技术生成式人工智能人工标注安全规范》标准需求,并推动《信息安全技术生成式人工智能服务安全总体要求》标准研制工作,对防范生成式人工智能重大安全风险、提升生成式人工智能总体安全水平起到规范引导作用。   本弁法に関連する作業と並行して、本弁法の精緻化を支えるネットワーク・セキュリティに関連する国内標準が事前に策定され、統一的に推進されている。 国家情報セキュリティ標準化技術委員会は、「情報セキュリティ技術生成的AI事前訓練および最適化訓練データセキュリティ仕様書」、「情報セキュリティ技術生成的AI人工注釈セキュリティ仕様書」標準要求事項を発表し、「情報セキュリティ技術生成的AIサービスセキュリティ全体要求事項」標準開発作業を推進し、生成的AIの主要なセキュリティリスクを防止し、生成的AI全体のセキュリティレベルを向上させ、AIの標準化を指導する役割を果たした。 AIの全体的なセキュリティレベルを向上させ、AIの標準化を指導する規範的な役割を果たす。  
三、加快推动《办法》贯彻落实 3. 措置の実施を加速する
《办法》的公布为我国生成式人工智能服务的健康发展提供了重要法制保障,建议加快《办法》的贯彻落实。 弁法の公布は、中国におけるAIサービスの健全な発展に重要な法的保障を提供するものであり、弁法の実施を加速することが推奨される。
一是全面推动《办法》宣贯培训。面向互联网企业、人工智能以及其他智能相关重点行业领域,开展针对性宣传解读,充分宣传《办法》精神,广泛凝聚安全共识,促进行业自律发展。面向社会全面开展科普培训,促进生成式人工智能服务使用者理解国家政策、提高安全意识,促进形成多方参与、共同治理的良好局面。 第一に、本弁法を全面的に推進し、育成を促進する。 インターネット企業、AI及びその他の知能関連重点産業部門に対して、的を絞った宣伝と解説を行い、本弁法の精神を十分に宣伝し、安全保障のコンセンサスを広く結束させ、業界の自主規制の発展を促進する。 コミュニティに対して、包括的な普及訓練を実施し、AIサービス利用者が国家政策を理解し、安全意識を向上させ、多者参加と共通ガバナンスの良好な状況の形成を促進する。
二是建立生成式人工智能服务安全评估机制。推动《办法》配套安全评估机制及配套评估力量建设,督促具有舆论属性或者社会动员能力的服务提供者开展安全评估,及时发现安全风险、整改安全问题、提高安全水平。 第二に、生成的AIサービスの安全評価メカニズムを構築する。 措置の支援安全評価メカニズムおよび支援評価勢力の構築を推進し、世論属性または社会動員能力を持つサービス提供者に安全評価を実施し、安全リスクを特定し、安全問題を是正し、安全レベルを適時に改善するよう促す。
三是加强生成式人工智能服务安全标准化工作。加快开展《办法》配套网络安全相关国家标准研制工作。积极推动安全总体要求、训练数据集安全、人工标注安全等标准工作的研究制定,进一步发挥标准对生成式人工智能管理工作的支撑作用;同步开展标准化前瞻研究,围绕生成式人工智能分类分级、生成内容标识、使用者服务协议等方面开展预研,不断提升标准化工作的科学性、引领性、前瞻性。(作者:杨建军 中国电子技术标准化研究院党委书记) 第三に、生成的AIサービスの安全標準化を強化する。 本弁法を支えるサイバーセキュリティ関連の国家標準の策定を加速する。 全体的なセキュリティ要件、訓練データセットのセキュリティ、人工注釈のセキュリティなどの標準の研究開発を積極的に推進し、生成的AIの管理に対する標準の支持的な役割をさらに発揮させる。同時に、標準化の見通し研究を実施し、生成的AIの分類と等級付け、生成コンテンツの識別、ユーザーサービス契約などの事前研究を実施し、標準化作業の科学性、先導性、将来性を継続的に向上させる。 (執筆者:楊建軍 (著者:楊建軍、中国電子技術標準化研究院党委員会書記)

 

 

専門家の解釈(3)生成的AIの特性に適応し、安全で秩序ある法治環境を創造する - 張震、国家コンピュータネットワーク・情報セキュリティ管理センター・シニアエンジニア

专家解读|适应生成式人工智能特点 营造安全有序法治环境 専門家の解釈:生成的AIの特性に適応し、安全で秩序ある法治環境を創造する
以ChatGPT为代表的现象级互联网应用的出现,掀起了人工智能领域新一轮技术浪潮。作为新一代信息技术,生成式人工智能通过对人类“脑力”的无限延伸,赋予人们对于追求美好生活的更大想象空间。与此同时,生成式人工智能被滥用带来的数据泄露、虚假信息等风险挑战也纷至沓来,各国陆续推出或完善针对生成式人工智能的监管方案。《生成式人工智能服务管理暂行办法》(以下简称《办法》),是对我国人工智能法律体系与算法治理体系的进一步完善。《办法》与《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》在治理思路上一脉相承,在治理制度方面创新推进,坚持从生成式人工智能技术特点出发,提出了一系列针对性的发展与治理措施。   ChatGPTに代表される驚異的なインターネット・アプリケーションの出現は、AI分野の技術に新たな波を起こした。 新世代の情報技術として、生成的AIは人間の「脳力」を無限に拡張することで、より良い生活を追求するための想像力を人々に与える。 その一方で、生成的AIの悪用がもたらすデータ流出や虚偽情報などのリスクも相次いでおり、各国は相次いで生成的AIの規制プログラムを立ち上げたり、改善したりしている。 生成的AIサービス管理暫定弁法」(以下、本弁法という)は、中国のAI法制度とアルゴリズム・ガバナンス制度をさらに改善するものである。 本弁法は、「インターネット情報サービスのアルゴリズム推薦に関する管理弁法」及び「インターネット情報サービスの深度総合に関する管理弁法」とともに、ガバナンスの理念という点では同類であり、ガバナンス制度という点では革新的に前進しており、生成的AI技術の特徴を堅持し、一連の的を射た発展及びガバナンス措置を提案している。  
一、契合新技术新特性,有针对性地进行制度设计 1. 新技術の新たな特徴に適合させ、的を絞ったシステム設計を行う。
与《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》相比,《办法》更加关注生成式人工智能技术本身,主要与生成式人工智能技术自身特性有关:一是生成式人工智能应用场景具有通用性。传统算法应用的处理模式与应用场景相对固定,有较为明确的服务边界,但生成式人工智能应用场景更为丰富,如ChatGPT产品几乎可以处理自然语言领域的所有任务,如果延续针对固定用途信息服务的管理思路,将难以充分切合实际监管需求。二是生成式人工智能具有价值观属性。生成式人工智能模型经过训练后,对一些概念具备了较为稳定的“认知”,围绕相关概念的生成内容往往表现出惊人的一致性。一旦模型在训练过程中引入偏见歧视等有害信息,在模型实际应用中很可能呈现放大化输出。三是生成式人工智能具备可引导性。生成式人工智能模型在原有的人工智能“预训练—微调”范式上,增加了“对齐”的训练环节。在提升模型能力方面,通过在生成式人工智能模型训练过程中调整模型输出概率分布不断趋近人类偏好,但同时也存在被不法分子恶意利用的风险。 「インターネット情報サービスアルゴリズム推薦管理規定」と「インターネット情報サービス深度総合管理規定」と比べると、「措置」は生成的AI技術そのものをより重視しており、主に生成的AI技術そのものの特徴に関連している:第一に、生成的AI応用シナリオは普遍性を持っている。 伝統的なアルゴリズム応用の処理モードと応用シナリオは比較的固定的で、明確なサービス境界線があるが、生成的AI応用シナリオは豊富で、例えばChatGPT製品は自然言語分野のほぼすべてのタスクに対応できる。 第二に、生成的AIには価値属性がある。 訓練後、生成的AIモデルはいくつかの概念についてより安定した「認知」を持ち、関連する概念周辺の生成されたコンテンツはしばしば驚くべき一貫性を示す。 モデルが学習過程で偏見や差別といった有害な情報を導入してしまうと、モデルの実際の適用において増幅された出力を示す可能性が高い。 第三に、生成的AIはブートストラップ可能である。 生成的AIモデルは、AI本来の「事前訓練-微調整」パラダイムに「整列」訓練を加える。 モデル能力の向上という点では、生成的AIモデルの学習過程でモデル出力確率分布を調整することで、モデル出力確率分布は常に人間の嗜好に収束していくが、同時に無法要素に悪意を持って利用されるリスクもある。
《办法》充分结合生成式人工智能特性,提出相应管理要求:一是在生成内容上,《办法》要求利用生成式人工智能生成型内容应当“坚持社会主义核心价值观,不得生成煽动颠覆国家政权、推翻社会主义制度,危害国家安全和利益、损害国家形象,煽动分裂国家、破坏国家统一和社会稳定,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,暴力、淫秽色情,以及虚假有害信息等法律、行政法规禁止的内容”。二是在算法设计等过程上,《办法》要求提供者在“算法设计、训练数据选择、模型生成和优化、提供服务等过程中,采取有效措施防止出现民族、信仰、国别、地域、性别、年龄、职业、健康等歧视”,以及对尊重知识产权、商业道德和他人合法权益等方面提出了保护原则。从这些要求看,《办法》基本涵盖了生成式人工智能服务在应用过程中可能暴露出来的安全及伦理问题。三是在监管方式上,除了安全评估、算法备案、标识等制度外,还提出国家有关主管部门针对生成式人工智能技术特点及其在有关行业和领域的服务应用,完善与创新发展相适应的科学监管方式,制定相应的分类分级监管规则或者指引。   本弁法は、生成的AIの特徴を完全に取り入れ、対応する管理要件を提案するものである:第一に、コンテンツの生成において、本弁法は、生成的AIを利用してコンテンツを生成する場合、「社会主義核心価値観を堅持し、国家権力を転覆し、社会主義体制を転覆し、国の安全と権益を危うくし、国のイメージを損ない、国を分裂させる扇動を生成してはならない、 国家の統一と社会の安定を損ない、テロリズム、過激主義、民族憎悪、民族差別、暴力、わいせつ、ポルノ、虚偽の有害情報、その他法律や行政規則で禁止されている内容を促進する。 第二に、アルゴリズム設計等のプロセスにおいて、「アルゴリズム設計、学習データの選択、モデルの生成と最適化、サービスの提供」のほか、知的財産権、企業倫理、他者の正当な権利・利益の尊重について、民族、信仰、国、地域、性別、年齢、職業、健康等による差別を防止するための効果的な措置を講じることを求めている。 他人の合法的な権利と利益」、知的財産権、ビジネス倫理、他人の合法的な権利と利益を尊重するための保護原則が定められている。 これらの要求事項から、本弁法は基本的に、生成的AIサービスの応用において露呈する可能性のある安全性と倫理問題をカバーしている。 第三に、規制アプローチの面では、安全性評価、アルゴリズム申請、表示などの制度に加え、関連国家主管機関は、生成的AI技術の特徴と関連産業・分野でのサービス応用に鑑み、イノベーションの発展に合わせて科学的規制アプローチを改善し、対応する分類・等級規制規則またはガイドラインを制定することを提案している。  
二、聚焦关键环节,高度重视性能与安全的平衡   2. 重要な局面を重視し、性能と安全性のバランスを重視する  
《办法》在技术监管方面更为聚焦和深入,以生成式人工智能模型训练生产中的“对齐”这一关键技术环节为例,在传统人工智能模型“预训练—微调”生成范式中,预训练环节是利用海量无标注数据让模型学习丰富的知识信息,形成模型的底层知识来源。微调阶段是根据应用领域,通过针对性定制的标注数据集,引导模型形成回答问题的思路。当前,生成式人工智能模型在原有训练范式基础上,应用人工智能模型“对齐”技术,能够帮助生成式人工智能与人类偏好保持对齐并遵循人类意图,实现模型输出内容符合“有帮助的”、“诚实的”和“无害的”准则。在追求生成式人工智能的性能与安全的平衡方面,“对齐”技术的适当使用将发挥关键作用。 本弁法は、生成的AIモデルの訓練と生成における「整列」という重要な技術的リンクを例にとって、技術的規制の面でより重点的かつ踏み込んだものとなっている。 伝統的なAIモデルの「事前訓練-微調整」生成パラダイムでは、事前訓練リンクが重要なリンクとなっている。 従来のAIモデルの「事前訓練-微調整」生成パラダイムでは、事前訓練段階は、大量のラベルなしデータを利用して、モデルに豊富な知識情報を学習させ、モデルの基礎となる知識ソースを形成する。 ファインチューニング段階は、アプリケーションドメインに従ってカスタマイズされた注釈付きデータセットを通じて、質問に答えるアイデアを形成するようにモデルを導くことである。 この技術は、生成的AIが人間の嗜好に合わせ、人間の意図に従うのを助けることができる。 そして「正直」で「無害」である。 アライメント」技術の適切な使用は、生成的AIの性能と安全性のバランスをとる上で重要な役割を果たす。
《办法》围绕相关关键技术环节提出多项条款:一是明确了模型训练及优化的安全性要求,要求模型训练要使用具有合法来源的数据和基础模型,明确“涉及知识产权的,不得侵害他人依法享有的知识产权”“涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形”及采取有效措施提高训练数据质量等,在提升训练数据质量等生成式人工智能模型重要基础方面作出了详细监管说明。二是明确在数据标注过程中,应制定清晰、具体、可操作的标注规则,以及开展数据标注质量评估、抽样核验标注内容的准确性等要求,在提供符合“对齐”要求的高质量数据方面也提出明确要求。三是在模型输出信息出现违法内容时,要求提供者采取模型优化训练等措施进行整改,体现了《办法》与生成式人工智能技术特点及关键环节的高度适应。   本弁法は、関連する重要な技術的側面に関する多くの規定を提案している。第一に、モデルの訓練と最適化に関する安全性要件を明確にし、モデルの訓練には、正当な出典を持つデータとベースモデルを使用することを義務付け、「知的財産権が関係する場合、法律に従って他者が享受している知的財産権を侵害してはならない」「個人情報が関係する場合、本人の同意を得るか、本人の情報を使用しなければならない」ことを明確にしている。 個人情報が関係する場合には、本人の同意を得ることその他法令及び行政規則で定める事情に適合すること」、「学習データの質を向上させるための効果的な措置を講じること」等と、学習データの質の向上など、生成的AIモデルの重要な基本事項について、詳細な規制上の指示がなされている。 第二に、データラベリングの過程において、明確かつ具体的で運用可能なラベリングルールを策定するとともに、データラベリングの品質評価やラベリングされたコンテンツの正確性のサンプル検証を実施することなどの要件を明確にし、「アライメント」の要件を満たす高品質なデータの提供についても明確な要件を提示している。 第三に、モデルの出力情報に違法なコンテンツが含まれる場合、プロバイダは、モデル最適化トレーニングなどの措置を講じ、状況を是正することが求められており、これは、本弁法が、生成的AI技術の特性と重要な側面に高度に適応していることを反映している。  
三、强调促进创新与规范引导并重,有力推动生成式人工智能技术健康发展 3. 本弁法は、イノベーションの推進と規制・指導の重要性を強調し、生成的AI技術の健全な発展を強力に推進している。
《办法》的制定和出台,是我国推进生成式人工智能服务领域治理、促进产业规范健康发展、引导技术向善的重要举措。《办法》第三条指出,生成式人工智能服务,坚持发展和安全并重、促进创新和依法治理相结合的原则;第五条明确鼓励生成式人工智能技术在各行业、各领域的创新应用,支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构在生成式人工智能多个方面开展协作;第六条提出鼓励生成式人工智能算法、框架、芯片及配套软件平台等基础技术的自主创新及平等互利开展国际交流与合作,参与生成式人工智能相关国际规则制定。以上内容均体现出我国高度重视生成式人工智能健康发展,科学合理规范引导生成式人工智能应用的管理原则。在人工智能技术迎来重要发展的时期,我们不仅要让相关新技术新应用充分释放出创新活力,也要在安全监管与创新引导之间掌握好平衡。一方面,高度重视和充分研判生成式人工智能相关创新应用对数据安全、公共利益、知识产权、伦理道德等方面可能造成的影响,进一步加强人工智能领域的行业自律,引导大数据、人工智能等先进技术在社会主义核心价值观的引导下开展应用创新,加快制定相关行业标准和规范。另一方面,充分支持人工智能领域研发主体开拓进取,鼓励和支持自主创新,培育国家级生成式人工智能技术生态和应用生态,坚持包容和审慎相结合,理性务实推进中国人工智能科技创新和数字经济的蓬勃发展。(作者:张震 国家计算机网络与信息安全管理中心高级工程师) 本弁法の制定と導入は、中国が生成的AIサービス分野のガバナンスを推進し、業界の標準化と健全な発展を促進し、技術を善導するための重要なイニシアティブである。 本弁法の第3条は、生成的AIサービスは、発展と安全性を同等に重視する原則を堅持し、法律に従ってイノベーションとガバナンスを推進するとしている。第5条は、生成的AI技術の各産業・分野への革新的な応用を明確に奨励し、生成的AIの多面的な側面における業界団体、企業、教育・科学研究機関、公共文化機関、関連専門機関の協力を支援するとしている。 生成的AIのアルゴリズム、フレームワーク、チップ、サポートソフトウェアプラットフォームなどの基本技術の自主的な革新を奨励し、平等かつ互恵的な国際交流と協力を促進し、生成的AIに関連する国際ルールの策定に参加する。 以上のことはすべて、中国が生成的AIの健全な発展、および科学的かつ合理的な方法で生成的AIの応用を導くという管理原則を非常に重視していることを反映している。 AI技術が重要な発展を迎えている今、関連する新技術と応用がその革新的活力を十分に発揮できるようにするだけでなく、安全規制とイノベーション指導のバランスをうまくとる必要がある。 一方では、生成的AIに関連する革新的応用がデータ安全、公益、知的財産権、倫理道徳に及ぼす可能性のある影響を重視し、十分に研究し、AI分野の業界自主規制をさらに強化し、ビッグデータやAIなどの先端技術が社会主義の核心的価値観の指導の下で応用革新を行うよう指導し、関連業界標準と規範の策定を加速する。 一方、AI分野の研究開発主体の邁進を全面的に支持し、自主的なイノベーションを奨励・支援し、国家レベルの生成的AI技術生態と応用生態を育成し、包容力と慎重さの結合を堅持し、中国のAI科学技術イノベーションとデジタル経済の力強い発展を合理的かつ現実的に推し進める。 (筆者:張震、国家コンピュータネットワーク・情報セキュリティ管理センター・シニアエンジニア)

 

専門家の解釈(4)システムと技術は同じ周波数で共鳴する:中国の生成的AIガバナンスプログラム - 許可 国際商経学院デジタル経済・法制創新研究センター長

专家解读|制度与技术同频共振:生成式人工智能治理的中国方案 専門家の解釈|システムと技術は同じ周波数で共鳴する:中国の生成的AIガバナンスプログラム
以ChatGPT为代表的生成式人工智能正在引发新一轮人工智能革命。生成式人工智能改变了信息和知识的生产方式,重塑了人类与技术的交互模式,并开启了我们对于通用人工智能的无穷想象。可以预见,生成式人工智能将对医疗、教育、零售、金融、咨询、媒体和游戏等行业产生重大影响。而就如任何以往其他技术创新一样,生成式人工智能也是一柄双刃剑,其在助力繁荣与发展的同时,也存在生成虚假有害信息、侵犯隐私、算法歧视、侵犯知识产权等风险。如何在技术创新和公共利益之间、在发展与安全之间寻得平衡,是生成式人工智能等新技术、新应用向全人类提出的时代难题。国家网信办联合有关部门公布的《生成式人工智能服务管理暂行办法》(以下称“《办法》”),是直面这一时代之问的中国回答。作为全球范围内针对生成式人工智能的首部专门立法,《办法》以鼓励创新发展为基调,以个人合法权益、公共利益、国家安全为底线,在原则理念和规制范围上统筹发展与安全,不仅是监管生成式人工智能的中国探索,也为全球人工智能治理开辟了新的道路。 ChatGPTに代表される生成的AIは、AI革命の新たなラウンドを引き起こしている。 ジェネレイティブAIは、情報と知識の生産方法を変え、人間とテクノロジーの相互作用様式を再構築し、一般的なAIに対する無限の想像力を切り開いた。 生成的AIが、医療、教育、小売、金融、コンサルティング、メディア、ゲームなどの業界に大きな影響を与えることは予見できる。 これまでの技術革新と同様、生成的AIも諸刃の剣であり、繁栄と発展に貢献する一方で、虚偽・有害情報の生成、プライバシー侵害、アルゴリズムによる差別、知的財産権の侵害といったリスクもはらんでいる。 技術革新と公共の利益、発展と安全保障のバランスをどうとるかは、生成的AIのような新しい技術やアプリケーションが全人類に突きつけている問題である。 国家サイバースペース管理局(以下、「弁公室」という)が発表した『生成的AIサービス管理暫定弁法』(以下、本弁法という)は、この時代の問いに対する中国の回答である。 世界初の生成的AIの専門法制として、本弁法はイノベーションと発展の奨励を基調とし、個人の合法的権益、公益、国家安全を底辺とし、原則と概念、規制範囲において発展と安全を一体化しており、中国が生成的AIの規制を模索するだけでなく、世界のAIガバナンスに新たな道を開くものである。
一、鼓励创新与规范发展的原则理念 1. イノベーション奨励と発展規制の原則概念
《办法》第一条开宗明义将“促进生成式人工智能健康发展和规范应用”作为首位目标,第三条进一步阐明:“国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管”,凸显出《办法》将生成式人工智能的创新与发展置于重要地位,与欧盟《人工智能责任指令》(AI Liability Directive)、《人工智能法(草案)》(draft AI Act)等以风险预防和责任追究为中心的立法存在差异。2023年6月,欧盟针对通用人工智能增设相应的监管标准。但实践早已经证明,对人工智能这一不断发展且具有不确定性的新技术需要采取更加科学和包容审慎的治理方式。 本弁法の第1条は、「生成的AIの健全な発展と標準化された応用を促進する」ことを第一の目的としており、第3条はさらに、「国家は発展と安全を等しく重視し、法に基づきイノベーションの促進とガバナンスを結合させるという原則を堅持し、生成的AIのイノベーションと発展、および生成的AIサービスの規制を奨励するための効果的な措置を採用する」と明確にしている。 第3条はさらに、「国家は発展と安全を両立させる原則を堅持し、イノベーションの推進と法に基づく統治を両立させ、生成的AIのイノベーションと発展を奨励するための効果的な措置を講じ、生成的AIサービスの包括的、慎重かつ分類された段階的な監督を実施する」と明確にし、本弁法が生成的AIのイノベーションと発展を重要な位置づけに置いていることを強調しており、これはEUのAI責任指令、AI法草案、およびリスク防止と説明責任を中心とするその他の措置と一致している。 2023年6月、EUは汎用AIに適切な規制基準を追加した。 しかし、進化し続ける不確実な新技術であるAIには、より科学的で包括的かつ慎重なガバナンスのアプローチが必要であることは、実践が証明してから久しい。
人工智能发展中的问题要靠发展解决,在风高浪急的大变局时代,不发展是最大的不安全,发展是解决我国一切问题的基础和关键。作为关键通用目的技术,生成式人工智能对人民福祉、经济发展、国家安全和战略竞争均具有重要意义。然而,我国在相关基础研究、技术生态、产业发展、顶尖人才等方面与先进国家仍存在差距。2023年4月,中共中央政治局会议特别指出,要重视通用人工智能发展,营造创新生态,重视防范风险。《办法》秉持这一精神,一方面针对生成式人工智能技术特点,要求管理部门完善与创新发展相适应的科学监管方式,实现技术创新与监管创新的同步演化、协同共振(第十六条)。例如,第七条即充分考虑到训练数据的海量性和异质性,将“数据的真实性、准确性、客观性、多样性”作为优化目标,从而契合了大模型的技术特征;另一方面,鼓励产业界在各行业、各领域中探索优化生成式人工智能应用场景,支持行业组织、企业、科研机构、公共文化机构、专业机构等多元主体开发与协同创新(第五条),推动芯片、软件、框架、算力、算法、数据资源等全链路、全生态的共享与发展(第六条)。 AIの発展における問題は発展によって解決されなければならず、強風と波浪を伴う大変革の時代において、発展しないことは最大の不安であり、発展は中国のあらゆる問題を解決する基礎であり鍵である。 重要な汎用技術として、生成的AIは人々の幸福、経済発展、国家安全保障、戦略的競争にとって大きな意義がある。 2023年4月、中国共産党中央委員会政治局会議は、汎用AIの発展に注意を払い、イノベーションエコロジーを構築し、リスクの予防に注意を払う必要性を特に指摘した。 本弁法はこの精神を堅持し、一方では、汎用AIの技術的特徴について、管理部門に技術革新の発展に適合する科学的規制アプローチの改善を求め、技術革新と規制革新の同期的進化と相乗効果を実現する(第16条)。 例えば、第7条は、学習データの大量性と異質性を十分に考慮し、「データの信憑性、正確性、客観性、多様性」を最適化目標として設定することで、ビッグモデルの技術的特徴に合致させ、他方で、産業界に対して、様々な産業と分野における生成的AIの応用シナリオを模索し、最適化することを奨励し、産業組織、企業、科学研究機関、公共機関、公共部門が生成的AIの応用シナリオを開発し、最適化することを支援している。 産業組織、企業、科学研究機関、公共文化機関、専門機関、その他の多様な主体がイノベーションを発展させ、協力することを支援し(第5条)、チップ、ソフトウェア、フレームワーク、演算、アルゴリズム、データ資源のチェーン全体とエコシステムの共有と発展を促進する(第6条)。
二、包容审慎和分类分级的规制范围 2. 包括的かつ慎重、分類された段階的な規制範囲
作为贯穿《办法》全篇的理念与原则,“鼓励创新与规范发展”不仅集中体现在第二章“技术发展和治理”中,还反映在第三章“服务规范”、第四章“监督检查和法律责任”中,而鲜明体现这一理念的,还在于《办法》对其规制范围的审慎限定。 弁法全体の概念と原則である「技術革新の奨励と発展の規制」は、第2章「技術発展とガバナンス」で中心的に具体化されているだけでなく、第3章「サービスの規制」、第4章「監督、検査および法的責任」にも反映されており、この概念の特徴的な体現は、弁法の規制範囲の慎重な限定にもある。
《办法》第二条从正反两面将《办法》的适用范围明确锚定在“面向境内公众提供生成式人工智能服务”之上,其言简而意深,是本法法眼之所在。详言之,这首先意味着《办法》区分了“服务”与“技术”。这一区分不但与《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》以“服务”为基础的规制相衔接,而且为技术研发、应用容留了试错空间,避免过分进入技术自身迭代领域而影响技术创新。放宽视野看,强调“服务”而非“技术”的规制,恰恰有助于从技术中立论还是建构论的理论纷争中跳脱出来,从系统论出发,将人工智能所栖身的演化体系、组织形态、应用场景一并纳入规制,实现场景化和整体性兼备的治理。其次,《办法》区分了“面向公众”和“面向非公众”。一方面,从风险防范的角度看,“面向公众”可能引发风险扩展和积聚,特别是虚假有害信息的蔓延将扰乱网络空间传播秩序、市场秩序和社会秩序,因此成为监管重心所在;另一方面,生成式人工智能不但是与普通用户信息交互的工具,也是企业内部提高效率、增强竞争优势的有力助手。根据咨询公司埃森哲的调研,近六成的企业打算将ChatGPT用于学习目的,超过40%的企业愿意为此倾力投入。通过定制模式和数据微调,生成式人工智能将颠覆传统的工作模式,并支持各行业、各项业务发展。因而,为企业内部以及垂直领域内“面向非公众的服务”留有余地,将有助于加速生成式人工智能技术在企业端的大规模落地和广泛应用,帮助企业显著提高生产效率,释放创新潜力。最后,《办法》统筹了“境内”和“境外”,对境外企业提供生成式人工智能服务的需求作出回应,要求在遵守本法的前提下合规经营,对外商投资生成式人工智能服务做出衔接规定,体现出包容开放的政策导向。 本弁法の第2条は、本弁法の適用範囲を「領域内で公衆に生成的AIサービスを提供すること」に両側から明確に固定しており、これは単純だが奥が深く、本弁法の眼目である。 具体的には、第一に、本弁法が「サービス」と「技術」を区別していることを意味する。 この区別は、「インターネット情報サービスアルゴリズム推薦管理規定」「インターネット情報サービス深度総合管理規定」だけでなく、「サービス」の規制に基づいて、技術の研究開発、試行錯誤の空間のアプリケーションのために、技術革新の技術自体の反復的な影響の分野にあまりにも多くを避けるために。 より広い視野に立てば、「技術」ではなく「サービス」を重視する規制は、まさに技術中立主義と構成主義の理論論争から脱却し、システム論から出発して、AIが生息する進化システム、組織形態、応用シナリオを規制の中に持ち込み、AIのシナリオと応用を実現することに役立つ。 規制の中にAIを取り込むことで、シナリオに基づいた全体的なガバナンスを実現する。 第二に、本弁法は「公共向け」と「非公共向け」を区別している。 一方、リスク予防の観点から、「公衆向け」は、リスクの拡大・蓄積につながる可能性があり、特に、虚偽・有害情報の拡散は、サイバースペースのコミュニケーション秩序、市場秩序、社会秩序を乱すため、規制の重心となる。他方、「生成的AI」は、一般ユーザーの情報と対話するためのツールであるだけでなく、企業内の効率向上や競争強化のためのツールでもある。 一方、生成的AIは、一般ユーザーの情報と対話するためのツールであるだけでなく、企業内の効率改善や競争力強化のための強力なアシスタントでもある。 コンサルティング会社アクセンチュアの調査によると、企業の60%近くが学習目的でChatGPTを利用する意向があり、40%以上が資金を投入する意向を示している。 カスタマイズされたパターンとデータの微調整を通じて、生成的AIは従来のワークパターンを破壊し、産業とビジネスの発展をサポートするだろう。 そのため、企業や垂直領域で「非パブリック指向サービス」の余地を作ることは、企業側での生成的AI技術の大規模な導入と広範な応用を加速させ、企業の生産性を大幅に向上させ、イノベーションの可能性を引き出すのに役立つだろう。 最後に、本弁法は「内」と「外」を調整し、外資系企業が生成的AIサービスを提供するニーズに応え、本法の前提を遵守することを要求し、生成的AIサービスへの外資導入を規定し、包括的で開放的な政策志向を反映している。 包括的で開放的な政策志向を反映している。
当前,由人工智能引领的新一轮科技革命和产业变革方兴未艾。作为通用人工智能的先行者,生成式人工智能将可能深刻影响人类经济、政治、社会、文化、军事各方面各领域。面对这一全球性挑战,中国已经先行一步。我们期待着《办法》的实施为后续人工智能的立法积累中国经验,为全球人工智能治理贡献中国智慧,共同构建网络空间命运共同体。(作者:许可 对外经济贸易大学数字经济与法律创新研究中心主任) 現在、AIが主導する新たな技術革命と産業変革が台頭している。 一般AIの先駆者として、生成的AIは人類の経済、政治、社会、文化、軍事に多大な影響を与える可能性がある。 この世界的な挑戦に直面して、中国はすでに一歩先を行っている。 我々は、その後のAIに関する法制化のために中国の経験を蓄積し、グローバルなAIガバナンスに中国の知恵を貢献し、運命共同体のサイバースペース・コミュニティーを共同で構築する本弁法の実施を期待している。 (筆者:許可 国際商経学院デジタル経済・法制創新研究センター長 )

 

1_20210612030101

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.12 中国 意見募集 生成的人工知能サービス管理弁法

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

 

 

 

| | Comments (0)

中国 国家サイバースペース管理局 サイバー暴力に関する情報管理規定(意見募集案)(2023.07.07)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が、サイバー暴力情報のガバナンスに関する規定案を公表し、意見募集をしています。。。

サイバー暴力(网络暴力)は、侮辱・罵倒、風評・中傷、プライバシーの侵害、モラルの拉致、中傷・差別、悪意ある憶測など、インターネットを通じて一元的に個人に流され、その心身の健康に深刻な影響を与える違法で望ましくない情報ということのようです。。。

国家互联网信息办公室(国家サイバースペース管理局)

・2023.07.07 国家互联网信息办公室关于《网络暴力信息治理规定(征求意见稿)》公开征求意见的通知

規定案...

网络暴力信息治理规定 サイバー暴力に関する情報管理規定
(征求意见稿) (公開草案)
第一章 总则 第1章 総則
第一条 为了强化网络暴力信息治理,营造良好网络生态,保障公民合法权益,维护社会公共利益,根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律、行政法规,制定本规定。 第1条 本規定は、サイバー暴力に関する情報管理を強化し、良好なネットワーク・エコシステムを創造し、国民の合法的権益を保護し、社会の公益を守るため、中華人民共和国サイバーセキュリティ法、中華人民共和国個人情報保護法及びその他の法律、行政法規に従って制定する。
第二条 中华人民共和国境内的网络暴力信息治理活动,适用本规定。 第2条 本規定は、中華人民共和国領域内のサイバー暴力に関する情報管理に適用する。
本规定所称网络暴力信息,是指通过网络对个人集中发布的,侮辱谩骂、造谣诽谤、侵犯隐私,以及严重影响身心健康的道德绑架、贬低歧视、恶意揣测等违法和不良信息。 本規定でいうサイバー暴力情報とは、侮辱・罵倒、風評・中傷、プライバシーの侵害、モラルの拉致、中傷・差別、悪意ある憶測など、インターネットを通じて一元的に個人に流され、その心身の健康に深刻な影響を与える違法で望ましくない情報を指す
第三条 国家网信部门负责统筹协调全国网络暴力信息治理和相关监督管理工作。 第3条 国家インターネット情報部門は、全国サイバー暴力情報ガバナンスと関連監督管理業務を調整する責任を負う。
地方各级网信部门负责统筹协调本行政区域内的网络暴力信息治理和相关监督管理工作。 各レベルの地方インターネット情報部門は、自らの行政区域におけるネット暴力情報のガバナンスと関連監督管理業務を調整する責任を負う。
第四条 鼓励相关行业组织加强行业自律,督促指导网络信息服务提供者加强网络暴力信息治理并接受社会监督。 第4条 関連業界団体は、業界の自己規律を強化し、ネット暴力情報のガバナンスを強化し、社会的監督を受け入れるよう、ネット情報サービス提供者を監督・指導するよう奨励される。
第二章 一般规定 第2章 総則
第五条 网络信息服务提供者应当履行信息内容管理主体责任,建立完善网络暴力信息治理机制,健全账号管理、信息发布审核、监测预警、举报救助、网络暴力信息处置等制度。 第5条 ネットワーク情報サービス提供者は、情報コンテンツ管理の主な責任を果たし、サイバー暴力情報ガバナンス機構を確立・改善し、アカウント管理、情報公開監査、監視・早期警戒、通報・救助、サイバー暴力情報廃棄システムを改善しなければならない。
第六条 网络信息服务提供者应当强化网络用户账号信息管理,防止假冒、仿冒、恶意关联网络暴力事件当事人进行违规注册或发布信息,协助当事人进行个人账号认证。 第6条 ネットワーク情報サービス提供者は、ネットワーク利用者のアカウント情報の管理を強化し、サイバー暴力事件関係者が偽造、模倣、悪意を持って不正な登録や情報公開を行うことを防止し、関係者の個人アカウントの認証を支援しなければならない。
第七条 网络信息服务提供者应当制定和公开管理规则、平台公约,在用户协议中明确用户制作、复制、发布和传播网络暴力信息应承担的责任,并依法依约履行相应管理职责。 第7条 ネットワーク情報サービス提供者は、管理規則およびプラットフォーム規約を制定・公開し、インターネット上の暴力情報の作成・複製・公開・拡散について利用者が負うべき責任を利用者契約に明記し、法律に従って対応する管理責任を果たさなければならない。
第八条 网络信息服务提供者应当定期发布网络暴力信息治理公告,并在网络信息内容生态治理工作年度报告中,报告相关工作情况。 第8条 ネットワーク情報サービス提供者は、定期的にサイバー暴力情報のガバナンスに関する発表を発行し、ネットワーク情報コンテンツのエコシステムガバナンスに関する年次報告書では、関連する作業について報告しなければならない。
发现存在网络暴力风险时,网络信息服务提供者应当及时公布治理工作情况,回应社会关切,引导网民理性发声,防范抵制网络暴力行为。 ネットワーク情報サービス提供者は、サイバー暴力の危険があることを発見した場合、速やかにガバナンス作業を発表し、社会的関心に対応し、ネットユーザーが理性的に発言するよう指導し、サイバー暴力の防止と抵抗に努めなければならない。
第三章 网络暴力信息监测预警 第3章 サイバー暴力情報の監視と早期警報
第九条 网络信息服务提供者应当建立健全网络暴力信息分类标准和典型案例样本库,在区分舆论监督和善意批评的基础上,明确细化网络暴力信息标准,增强识别准确性。 第9条 ネットワーク情報サービス提供者は、世論監視と善意の批判の区別に基づき、サイバー暴力情報の分類基準と典型的な事例サンプルライブラリを確立・改善し、サイバー暴力情報基準を明確に精緻化し、識別の精度を高めなければならない。
第十条 网络信息服务提供者应当根据历史发布信息、违规处置、举报投诉等情况,动态管理涉网络暴力重点账号,及时采取干预限制措施。 第10条 ネットワーク情報サービス提供者は、公開された情報の履歴、処分違反、苦情報告、サイバー暴力に関わる重要アカウントの動態管理、適時介入、制限措置に基づくべきである。
第十一条 网络信息服务提供者应当建立健全网络暴力信息预警模型,综合考虑事件类别、针对主体、参与人数、信息内容、发布频次、环节场景、举报投诉等维度,及时发现预警网络暴力风险。 第11条 ネットワーク情報サービス提供者は、イベントの種類、対象者、参加者数、情報内容、公開頻度、リンクシナリオ、通報苦情などを考慮し、サイバー暴力の危険性を適時に発見し、警告するサイバー暴力情報警告モデルを確立し、改善すべきである。
第四章 网络暴力信息处置 第4章 サイバー暴力情報の処分
第十二条 网络信息服务提供者发现侮辱谩骂、造谣诽谤、侵犯隐私等网络暴力信息的,应当采取删除屏蔽、断开链接、限制传播等处置措施。对于涉及网络暴力的不良信息,不得在《网络信息内容生态治理规定》第十一条规定的重点环节呈现,防止网络暴力信息扩散传播。 第12条 ネットワーク情報サービス提供者は、侮辱・罵倒、風説の流布・中傷、プライバシーの侵害など、サイバー暴力に関する情報を発見した場合、削除・ブロック、リンクの解除、拡散の制限などの措置を講じなければならない。 ネット暴力情報の拡散・拡散を防止するため、「ネットワーク情報コンテンツの生態的管理に関する規定」第11条に規定されたキーリンクにおいて、ネット暴力に関わる好ましくない情報を提示してはならない。
第十三条 网络信息服务提供者应当加强对跟帖评论信息内容的管理,及时处置以评论、回复、留言、弹幕、点赞等方式发布、传播的网络暴力信息。 第13条 ネットワーク情報サービス提供者は、フォローコメントの情報内容の管理を強化し、コメント、返信、メッセージ、ポップアップ、「いいね!」などによって公開・拡散されたサイバー暴力情報を速やかに廃棄しなければならない。
第十四条 网络信息服务提供者应当加强对网络社区版块、网络群组的管理,不得在词条、话题、超话、群组、贴吧等环节集纳网络暴力信息,禁止创建以匿名投稿、隔空喊话等名义发布导向不良等内容的话题版块和群组账号。 第14条 ネットワーク情報サービス提供者は、ネットワークコミュニティ掲示板、ネットワークグループの管理を強化し、言葉、トピック、ハイパーテキスト、グループ、投稿などでサイバー暴力情報を収集してはならず、匿名投稿の名目で好ましくない指向の内容を公開するトピック掲示板やグループアカウントを作成し、間隔をあけて叫ぶことを禁止する。
网络社区版块、网络群组的建立者和管理者应当履行管理责任,规范成员网络行为和信息发布,发现用户制作、复制、发布、传播网络暴力信息的,应当依法依约采取移出群组等管理措施。 オンライン・コミュニティ・セクションやオンライン・グループの創設者や管理者は、その管理責任を果たし、メンバーのオンライン上での行動や情報の公開を規制し、インターネット上で暴力に関する情報を制作、複製、公開、流布していることが判明した場合には、法律に従ってユーザーをグループから排除するなどの管理措置を講じるべきである。
第十五条 网络信息服务提供者应当强化直播和短视频内容审核,及时阻断涉及网络暴力信息的直播,处置含有网络暴力信息的短视频。 第15条 ネットワーク情報サービスプロバイダは、サイバー暴力情報を含む短いビデオの処分、サイバー暴力情報を含むライブ放送のタイムリーなブロック、ライブ放送や短いビデオのコンテンツの見直しを強化すべきである。
第十六条 互联网新闻信息服务单位应当坚持正确的舆论导向,加强信息内容真实性、合法性审核,不得渲染炒作网络暴力事件,新闻信息跟帖评论实行先审后发。 第16条 インターネットのニュースや情報サービスユニットは、世論の正しい方向に付着する必要があります情報コンテンツの信憑性、正当性の監査を強化し、投機的なネットワークの暴力、ニュースや投稿後の解説のレビューの実装に従うように情報をレンダリングしてはならない。
第十七条 任何组织和个人不得借网络暴力事件实施蹭炒热度、推广引流、故意带偏节奏或者跨平台搬运拼接虚假信息等恶意营销炒作行为。网络信息服务提供者不得为传播网络暴力的账号、机构等提供流量、资金等支持。 第17条 いかなる組織や個人も、サイバー暴力の事件を利用して、便乗した宣伝、トラフィックを宣伝・誘引したり、意図的にテンポを上げたり、プラットフォーム間で虚偽の情報の転送・つなぎ合わせをしたりするような、悪質なマーケティングや投機行為を行ってはならない。 ネットワーク情報サービス・プロバイダーは、サイバー暴力を流布するアカウントや組織にトラフィックや財政的支援を提供してはならない。
第五章 保护机制 第5章 保護メカニズム
第十八条 网络信息服务提供者应当建立完善网络暴力防护功能,提供一键关闭陌生人私信、评论、转发和消息提醒等设置。用户面临网络暴力风险时,应当及时发送系统信息,提示其启动一键防护。 第18条 ネットワーク情報サービス提供者は、サイバー暴力保護機能を確立・改善し、他人のプライベートメッセージ、コメント、リツイート、メッセージのリマインダーなどを閉じるキーを提供する。 サイバー暴力のリスクに直面している利用者は、タイムリーにシステム情報を送信し、鍵による保護を開始するよう促さなければならない。
第十九条 网络信息服务提供者应当完善私信规则,允许用户根据自身需要设置仅接收好友私信或拒绝接收所有私信。采取技术措施阻断网络暴力信息通过私信传输。 第19条 ネットワーク情報サービス・プロバイダーは、プライベート・メッセージのルールを改善し、友人からのプライベート・メッセージのみを受信したり、すべてのプライベート・メッセージの受信を拒否したりすることを、ユーザーが自分で設定できるようにすべきである。 プライベートメッセージによるサイバー暴力情報の送信をブロックする技術的措置を講じるべきである。
第二十条 网络信息服务提供者发现以下情况时,应当及时协助当事人启动一键防护,切实强化当事人保护: 第20条 ネットワーク情報サービス提供者は、以下の状況を発見した場合、速やかに関係者のワンキープロテクションの起動を支援し、関係者の保護を効果的に強化しなければならない:
(一)网络暴力当事人涉及未成年人、老年人等的; (1) サイバー暴力の当事者が未成年者、高齢者等であるとき
(二)当事人在公开环节表示遭受网络暴力的; (2)関係者が、公開の場で、サイバー暴力を受けたことを明らかにしたとき
(三)若不及时采取强制介入措施,可能造成严重后果的其他情形。 (3) 強制介入措置を適時に講じなければ、他の事態に重大な影響を及ぼすおそれがあるとき
第二十一条 网络信息服务提供者应当在显著位置设置专门的网络暴力信息快捷投诉举报入口,开通网络暴力信息投诉举报电话,简化投诉举报程序。 第21条 ネットワーク情報サービス提供者は、サイバー暴力に関する情報のための特別な迅速な苦情通報ポータルを目立つ場所に設置し、サイバー暴力に関する苦情通報のための電話番号を開設し、苦情通報手続きを簡素化しなければならない。
网络信息服务提供者应结合投诉举报内容以及相关证明材料及时受理研判,对明确为网络暴力的情况,依法依规处置并反馈结果,对核实不属于网络暴力的,应当按其他类型举报受理要求予以处理并反馈结果。 ネットワーク情報サービス提供者は、苦情や報告書の内容と関連資料のタイムリーな調査と判断の受け入れと組み合わせる必要があり、明らかにサイバー暴力の場合、法律とフィードバック結果の規則に従って、検証はサイバー暴力に属していない、報告書とフィードバック結果の他の種類の受け入れの要件に従って処理する必要がある。
第二十二条 网络信息服务提供者应当向用户提供针对网络暴力信息的一键取证等功能,提高证据收集便捷性。依法依规为用户维权,司法机关、有关部门调查取证工作等提供及时必要的技术支持和协助。 第22条 ネットワーク情報サービス提供者は、利用者にサイバー暴力情報のワンキーフォレンジック、および証拠収集の利便性を向上させるその他の機能を提供しなければならない。 利用者の権利に関する法律に従い、司法機関、関連部門は、捜査と証拠収集において、適時に必要な技術支援と援助を提供する。
第二十三条 坚持最有利于未成年人的原则,加强对于未成年人用户的特殊、优先保护。网络信息服务提供者应当优先处理涉未成年人网络暴力信息举报。发现未成年人用户存在遭受网络暴力风险的,应当立即处置违法违规信息,提供保护救助服务,并向有关部门报告。 第23条 未成年のユーザーのための特別な、優先的な保護を強化するために、未成年者に最も有利な原則を遵守する。 ネットワーク情報サービス・プロバイダーは、未成年者のサイバー暴力通報情報の取り扱いを優先する。 サイバー暴力の危険性がある未成年ユーザーを発見した場合、直ちに違法情報を処分し、保護・救援サービスを提供し、関連部門に報告しなければならない。
第六章 监督管理和法律责任 第6章 監督と法的責任
第二十四条 网信部门依法对网络信息服务提供者网络暴力信息治理工作落实情况进行监督检查。 第24条 インターネット情報部門は、法律に従い、ネットワーク情報サービス提供者のネット暴力対策の実施を監督・検査する。
第二十五条 网信部门会同有关部门建立健全信息共享、会商通报、取证调证、案件督办等工作机制,协同开展网络暴力信息治理工作。 第25条 インターネット情報部門は、関連部門と協力し、情報共有、相談・通報、証拠収集・調査、事件監督などの作業メカニズムを構築・改善し、協力してサイバー暴力情報管理業務を遂行する。
第二十六条 网络信息服务提供者违反本规定的,依照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处罚。 第26条 「中華人民共和国ネットワーク安全法」、「中華人民共和国個人情報保護法」及びその他の法律、行政法規に基づき、本規定に違反したネットワーク情報サービス提供者は処罰される。
法律、行政法规没有规定的,各级网信部门依据职责给予警告、通报批评,责令限期改正,可以并处一万元以上十万元以下罚款;因处置不及时造成公民生命健康安全等严重后果的,处十万元以上二十万元以下罚款,可责令暂停信息更新。 法律と行政法規に規定がない場合、各級のインターネット情報部門は、職務に従って警告、通知、批判を行い、一定期間内に是正するよう命じ、また、1万元以上10万元以下の罰金を科すことができる。適時に情報を廃棄しなかった結果、市民の生命と健康の安全など重大な影響が生じた場合、10万元以上20万元以下の罰金を科し、情報更新の停止を命じることができる。
网络信息服务提供者发起、组织网络暴力或借网络暴力事件实施恶意营销炒作等行为,应当依法从严从重处罚。 ネットワーク情報サービス提供者が、サイバー暴力を引き起こし、組織し、またはサイバー暴力を利用して、悪質なマーケティング誇大広告などの行為を行った場合、法に基づき厳重に処罰する。
第二十七条 对组织、煽动发布网络暴力信息的网络机构,网络信息服务提供者应当依法依规采取警示沟通、暂停商业收益、限制提供服务、入驻清退等处置措施。 第27条 組織のために、サイバー暴力情報ネットワーク機関のリリースを扇動し、ネットワーク情報サービスプロバイダは、法律に従って、警告の通信、商業収益の停止、サービスの提供の制限、撤退や他の処分措置に駐留を取らなければならない。
第二十八条 网络用户违反本规定的,网络信息服务提供者应当依法依约采取警示提醒、限制账号功能、关闭注销账号等处置措施;对首发、多发、组织、煽动发布网络暴力信息的,采取列入黑名单、禁止重新注册等处置措施。 第28条 ネットワーク利用者がこれらの規定に違反した場合、ネットワーク情報サービス提供者は、法律に従い、警告・注意喚起、アカウント機能の制限、アカウントの閉鎖・抹消などの処分措置を講じなければならず、サイバー暴力に関する情報を公表する最初の、複数の、組織的、扇動的な行為に対しては、ブラックリスト登録、再登録の禁止などの処分措置を講じなければならない。
对借网络暴力事件实施恶意营销、违规营利等行为的,除前款规定外,应当依法依约采取清除新增粉丝、暂停营利权限等处置措施。 サイバー暴力を利用して、悪意のあるマーケティング、違法な営利行為およびその他の行為を実施する場合は、前項の規定に加えて、法律に基づいて、新たなファンの削除、営利特権の停止およびその他の処分措置を講じなければならない。
网络信息服务提供者应当保存有关记录,并及时向网信等有关主管部门报告。 ネットワーク情報サービス提供者は、関連記録を保存し、速やかにネットレター主管部門およびその他の関連部門に報告しなければならない。
第二十九条 违反本规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 第29条 本規定に違反し、他人に損害を与えた場合、民事責任を負い、公序良俗の管理に違反した場合、公序良俗の管理に刑罰を科し、犯罪に該当する場合、刑事責任を追及する。
第七章 附则 第7章 附則
第三十条 本规定由国家互联网信息办公室负责解释。 第30条 この規定は、国家インターネット情報弁公室が解釈する。
第三十一条 本规定自 年 月 日起施行。 第31条 この規定は、X月 X日から施行する。

 

1_20210612030101

 

| | Comments (0)

2023.07.13

ロシア デジタル・ルーブル

こんにちは、丸山満彦です。

ロシアがデジタル・ルーブルのプラットフォームをつくるようですね。。。ロシア中央銀行が、ルールをの意見募集をしています。。。期間は1週間ですが。。。(^^)

デジタルドル、デジタル元、デジタルユーロ、そして、デジタル・ルーブル,,,

 

Банка России

・2023.07.12 Разработаны правила платформы цифрового рубля

Разработаны правила платформы цифрового рубля デジタル・ルーブル・プラットフォームの規則が策定された
Проект положения Банка России является ключевым нормативным актом для запуска цифрового рубля. В нем содержатся основные правила, по которым Банк России как оператор платформы будет взаимодействовать с ее участниками и пользователями, и требования к ним. ロシア銀行の規則草案は、デジタル・ルーブルの立ち上げに向けた重要な規則である。これには、プラットフォームの運営者であるロシア銀行が参加者や利用者とやりとりする基本的なルールと、その要件が記載されている。
В документе перечислены виды цифровых кошельков (счетов цифрового рубля), приведены порядок их открытия и закрытия, перечень операций с цифровыми рублями. この文書には、デジタルウォレット(デジタルルーブル口座)の種類、開設と解約の手順、デジタルルーブルを使った操作のリストが記載されている。
Кроме того, в проекте положения описывается механизм урегулирования споров, рассмотрения запросов и претензий пользователей, а также порядок контроля за соблюдением участниками правил платформы. さらに、紛争解決の仕組み、利用者の要望やクレームの検討、参加者がプラットフォームのルールを遵守しているかどうかを監視する手順についても、規則案に記載されている。
Платформа будет работать круглосуточно, в том числе в выходные и праздничные дни. Операции на ней будут проводиться в режиме онлайн. 同プラットフォームは、週末や祝日を含め、24時間運営される。プラットフォーム上の取引はオンラインで行われる。
Банк России принимает замечания и предложения к проекту документа до 19 июля 2023 года. ロシア中銀は2023年7月19日まで、草案に対する意見や提案を受け付けている。

 

ルールの草案...

・[PDF] ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ)

20230713-181223

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.04 世界経済フォーラム (WEF) 中央銀行デジタル通貨 (CBDC) グローバル相互運用性原則

・2023.07.01 欧州委員会 デジタルユーロの立法案

・2022.04.04 米国 デジタル・ドルができる? H.R. 7231 電子通貨および安全なハードウェア(ECASH)法案

・2021.12.13 中国 第14次5カ年計画 デジタル経済開発計画

・2021.07.15 国際決済銀行 (BIS) ・国際通貨基金 (IMF) ・世界銀行 国際決済のための中央銀行デジタル通貨 (CBDC) に関するG20への報告書

 

| | Comments (0)

英国 小規模企業のサイバーセキュリティをサポート:サイバーアドバイザリー制度 (2023.04.17)

こんにちは、丸山満彦です。

どこの国も中小企業のサイバーセキュリティ対策をどうするかというのは、悩ましい問題なんだろうと思います。

日本の場合は、サイバーお助け隊制度や、情報処理安全確保支援士制度、民間では一般財団法人草の根サイバーセキュリティ推進協議会 (Grafsec)といった取り組みがあります。。。そういえば、私はいずれもなにかしら関係していますね。。。

さて、英国の場合は、サイバーアドバイザリー制度というのがこの4月から始まったようですね。。。

 

1_20230713173401

 

National Cyber Security Centre; NCSC

ブログ...

・2023.04.17 Introducing Cyber Advisors...

 

関連

コンサル...

Assured Cyber Security Consultancy

評価基準...

Cyber Essentials

 

制度概要

IASME

CYBER ADVISOR (CYBER ESSENTIALS) SCHEME

 

| | Comments (0)

NCSC 国家によるサイバー攻撃への初対応から20周年 (2023.06.30) + 日本のNISCの立ち上げ時の話 (JCIC)

こんにちは、丸山満彦です。

英国のサイバーセキュリティ機関といえば、National Cyber Security Centre;NCSC [wikipedia] ですね。。。NCSCが、国家によるサイバー攻撃への初対応から20周年ということで記事を書いています。。。

NCSCがGCHQ(政府通信本部 Government Communications Headquarters)[wikipedia] のサイバー部門として独立したのは2016年ですね。。。それまでは、GCHQの中にありましたから、正確にはGCHQですかね。。。

GCHQは100年の歴史があります。(エニグマ暗号の解読で有名ですよね。。。アラン・チューリング [wikipedia]...イミテーション・ゲーム[wikipedia]という映画にもなりましたね。。。

 

National Cyber Security Centre;NCSC

・2023.06.30 NCSC marks 20th anniversary of first response to state-sponsored cyber attack

NCSC marks 20th anniversary of first response to state-sponsored cyber attack NCSC、国家によるサイバー攻撃への初対応から20周年を迎える
In June 2003, GCHQ experts were involved in responding to a cyber attack against the UK Government for the first time. 2003年6月、GCHQの専門家が初めて英国政府に対するサイバー攻撃に対応した。
・Details of the first cyber incident responded to by GCHQ experts revealed after 20 years ・GCHQの専門家が初めて対応したサイバーインシデントの詳細が20年ぶりに明らかになった。
・A malware attack on a UK Government department was identified as state-sponsored cyber espionage ・英国政府部門に対するマルウェア攻撃が、国家によるサイバースパイであると識別された。
・The response acted as the forerunner to a capability that became the National Cyber Security Centre, a part of GCHQ ・この対応は、GCHQの一部である国家サイバーセキュリティセンターとなった能力の先駆けとして機能した。
THE National Cyber Security Centre (NCSC) is marking the twentieth anniversary this month of GCHQ’s first response to a cyber attack perpetrated against the UK Government by another state. 国家サイバーセキュリティセンター(NCSC)は、GCHQが他国による英国政府へのサイバー攻撃に初めて対処してから、今月で20周年を迎える。
Unlike today, in 2003 there was no government agency set up to deal with cyber attacks, nor was there a dedicated national incident management function. This all changed in 2016 with the establishment of the National Cyber Security Centre, a part of GCHQ. 現在とは異なり、2003年当時はサイバー攻撃に対処するために設立された政府機関は存在せず、専門の国家インシデント管理機能もなかった。これが2016年、GCHQの一部である国家サイバーセキュリティセンターの設立によって一変した。
The NCSC can reveal that in June 2003 cyber experts were called upon to investigate after a government employee detected suspicious activity on one of their workstations. NCSCは、2003年6月に政府職員がワークステーションの1つで不審な動きを検知したため、サイバー専門家に調査を依頼したことを明らかにしている。
A suspected phishing email had been identified, so technical specialists sought help from the Communications-Electronics Security Group (CESG) – the information assurance arm of GCHQ at that time. フィッシングメールの疑いがあったため、技術専門家は当時のGCHQの情報保証部門であったコミュニケーション・エレクトロニクス・セキュリティ・グループ(CESG)に助けを求めた。
CESG’s analysis discovered that malware, designed to steal sensitive data and evade anti-virus products, had been installed, raising suspicions about the attacker’s intent and setting in motion a series of actions that was transformative to cyber incident investigations. CESGの分析により、機密データを盗み、アンチウイルス製品を回避するように設計されたマルウェアがインストールされていることが判明し、攻撃者の意図が疑われ、サイバーインシデント調査に変革をもたらす一連の行動が開始された。
For the first time, GCHQ fused its signals intelligence capabilities with its cyber security function to investigate and identify the actor responsible. GCHQは初めて、シグナル・インテリジェンス機能とサイバー・セキュリティ機能を融合させ、攻撃者を調査・特定した。
The ground-breaking analysis, coupled with international engagement, led CESG to conclude the intent of the attack had been cyber espionage by a nation state, setting in train a mission that today is at the heart of NCSC operations; namely, understanding and responding to cyber threats to the UK. この画期的な分析は、国際的な関与と相まって、CESGに攻撃の意図は国家によるサイバースパイであると結論づけさせ、今日のNCSC活動の中核をなす任務、すなわち英国へのサイバー脅威の理解と対応を開始させた。
Paul Chichester, Director of Operations at the National Cyber Security Centre, said: 国家サイバーセキュリティセンターのオペレーション・ディレクターであるポール・チチェスターは、次のように述べている:
“Twenty years ago, we were just crossing the threshold of the cyber attack arena, and this incident marked the first time that GCHQ was involved in a response to an incident affecting the UK Government. 「20年前、われわれはサイバー攻撃の入り口に立ったばかりで、このインシデントにより、GCHQが初めて英国ガバナンスに影響を与えるインシデントへの対応に関与した。
“It was also the first time that the UK and Europe started to understand the potential online risks we faced and our response transformed how we investigate and defend against such attacks. 「英国やヨーロッパが、我々が直面する潜在的なオンライン・リスクを理解し始めたのも、この事件が初めてであり、我々の対応は、このような攻撃に対する我々の調査方法や防御方法を一変させた。
“The NCSC and our allies have come such a long way since this incident, and it is reassuring to be at the forefront of efforts to develop tools and techniques to defend against cyber threats and keep our respective nations safe online.” 「NCSCと我々の同盟国は、このインシデント以来、長い道のりを歩んできた。サイバー脅威から身を守り、それぞれの国のオンライン上の安全を守るためのツールや技術を開発する取り組みの最前線にいることは、心強いことだ。
The National Cyber Security Centre, a part of GCHQ, was set up in October 2016 to help keep the UK safe online. It combined existing expertise from CESG, the Centre for Cyber Assessment, CERT-UK and the Centre for Protection of National Infrastructure (now the National Protective Security Authority). GCHQの一部である国家サイバーセキュリティセンターは、英国のオンライン上の安全を守るために2016年10月に設立された。CESG、サイバーアセスメントセンター、CERT-UK、国家インフラ防護センター(現在は国家防護セキュリティ局)の既存の専門知識を統合した。
The NCSC responds to cyber security incidents to help reduce the harm they cause to organisations and the wider UK, as well as working with other law enforcement, defence, the UK’s intelligence and security agencies and international partners. NCSCは、サイバーセキュリティインシデントに対応し、組織や英国全体に及ぼす被害を軽減するのを支援するとともに、他の法執行機関、防衛、英国の情報・安全保障機関、国際的なパートナーと協力している。

 

1_20230713163501

 

 


日本では、内閣官房情報セキュリティ対策推進室として、2000年2月に発足しています。2000年1月に政府のウェブページが改ざんされるという事件があったのがそのきっかけになったのでしょうね。。。

私は、NISCの立ち上げのためにまず、内閣官房情報っセキュリティ対策推進室に入りました。。。

その頃の話については、日本サイバーセキュリティ・イノベーション委員会 (JCIC) のウェブページに掲載されている東海大学の三角教授と現在JCIC客員上席研究員の小林正彦さんの対談記事 [PDF] に少しふれていますので、参考になりますね。。。

日本サイバーセキュリティ・イノベーション委員会 (JCIC)

 

立ち上げ時の話 (小林正彦さん vs 三角育生さん)

日本のサイバーセキュリティ政策史 第3回 日本の情報セキュリティ対策黎明期の政策立案~NISC立ち上げに参画して

 

大震災後 (西川徹矢さん vs 三角育生さん)

日本のサイバーセキュリティ政策史第2回 「激動の時代に危機管理体制を構築して」

 

ちなみにNISCの歴史は...

 

NISC

沿革

 

ここに、山口英先生が登場できないのは、大きな損失ですよね。。。

 

そして、

● 内閣官房情報調査室

内閣情報調査室の歴史について

 

 

| | Comments (0)

欧州委員会 Web4.0と仮想世界に関するEUのイニシアチブ: 次の技術的転換期を先取りする

こんにちは、丸山満彦です。

欧州委員会が「Web4.0と仮想世界に関するEUのイニシアチブ: 次の技術的転換期を先取りする 」というこれからの時代を先取りして、どのような戦略をとるべきだろうか、という報告書を出していますね。。。

生成型AIによって、Web3、Web3.0はすっかり陰を潜めてしまった感じがするのですが、いよいよWeb4.0が提唱され、Web3、Web3.0は過去のものとなってしまうのか?それとも、Web4.0にむかうための目先の実現すべきゴールとなるのか...

Web4.0は、物理空間とサイバー空間(物理世界とデジタル世界)の高度な融合の世界?のようでして、、、つぎのような世界観のようです。。。

それを踏まえたセキュリティを含むリスク、プラバシー上の問題とその解決策(規制もふくめて)のイメージについて頭の体操しておかないといけないということですかね。。。

 

社会的なイメージ。。。

By simulating emergency situations and surgeries or providing interaction with the human body in 3D, students and professionals can be trained for specific medical scenarios, risks of surgical complications can be reduced, and the accuracy of diagnoses can be increased .   緊急事態や手術をシミュレートしたり、人体とのインタラクションを3Dで提供したりすることで、学生や専門家は特定の医療シナリオに対応した訓練を受けることができ、手術合併症のリスクを低減し、診断の精度を高めることができる。 
In education and training, a more experiential learning process can help learners grasp abstract or complex subjects more easily, accelerating their learning and understanding of the world.  教育やトレーニングでは、より体験的な学習プロセスが、学習者が抽象的なテーマや複雑なテーマをより容易に把握するのに役立ち、学習や世界への理解を加速させる。
Digital twins can support the preservation or reconstruction of cultural heritage buildings, such as for Notre Dame Cathedral in Paris.   デジタル・ツインは、パリのノートルダム大聖堂のように、文化遺産の保存や再建をサポートすることができる。 
Virtual worlds can help optimise traffic flows based on real-time simulations, thus contributing to the reduction of traffic jams and emissions.  仮想世界は、リアルタイムのシミュレーションに基づいて交通の流れを最適化し、交通渋滞や排気ガスの削減に貢献できる。
Virtual worlds can enhance democratic participation by offering new possibilities for people to voice their ideas, opinions and concerns in more engaging ways.  仮想世界は、人々がより魅力的な方法で自分のアイデアや意見、懸念を表明できる新たな可能性を提供することで、民主主義への参加を促進することができる。

 

産業界でのイメージ。。。

Human-machine interaction on the factory floor is often hazardous and requires safety measures that cost money, time, and space. XR technologies provide new safe ways of human-machine interaction that do not require close physical proximity. This enables humans to use their intelligence and dexterity without the risk of physical harm.  工場の現場における人間と機械の相互作用は、しばしば危険であり、コスト、時間、スペースのかかる安全対策が必要である。XR技術は、物理的に近接する必要のない、人間と機械の新しい安全なインタラクション方法をプロバイダする。これにより、人間は身体的危害のリスクを負うことなく、その知性と器用さを発揮することができる。
Digital twins in the manufacturing and automotive industries enable businesses to model, prototype, and test large numbers of design iterations in real time and in an immersive, physics-based environment before committing physical and human resources to a project.   製造業や自動車産業におけるデジタル・ツインは、ビジネスにおいて、物理的・人的資源をプロジェクトに投入する前に、没入感のある物理ベースの環境において、リアルタイムで大量の設計反復をモデル化し、プロトタイプ化し、テストすることを可能にする。 
Virtual worlds can benefit agriculture through remote assistance for using and repairing machinery and for a more precise and safer treatment of animals.  仮想世界は、機械の使用や修理のための遠隔支援や、動物のより正確で安全な治療のための遠隔支援を通じて、農業に利益をもたらすことができる。
Virtual worlds can boost the cultural and creative industry, from fashion to video games, cultural heritage, music, visual arts and design, by offering new ways to create, promote and distribute European content and engage with audiences.  仮想世界は、ヨーロッパのコンテンツを創造し、宣伝し、配信し、観客と関わる新しい方法を提供することで、ファッションからビデオゲーム、文化遺産、音楽、ビジュアル・アート、デザインに至るまで、文化的・創造的産業を後押しすることができる。

 

欧州委員会がとるべきと考えていること。。。

3.1. People and skills   3.1. 人材とスキル  
Action 1: Support skills development for virtual world technologies (Digital Europe programme), including for women and girls, and for creators of digital content and audiovisual professionals (Creative Europe programme) [2024]; and promote the EU as an attractive destination for highly skilled specialists from non-EU countries [Q3 2023].  行動1:女性と女児、およびデジタルコンテンツの制作者と視聴覚専門家を含む、仮想世界技術のための技能開発(デジタル・ヨーロッパ・プログラム)を支援し(クリエイティブ・ヨーロッパ・プログラム)[2024年]、EU域外からの高度技能専門家にとって魅力的な渡航先としてのEUを促進する [2023年第3四半期]。 
Action 2: Promote the guiding principles for virtual worlds put forward by the Citizens’ Panel and support research on the impact of virtual worlds on people’s health and well-being through Horizon Europe, including specific research on the impact on children’s health and well-being [Q4 2023].  行動2:市民パネルが提示した仮想世界の指導原則を推進し、子供の健康と福祉への影響に関する具体的な研究を含め、ホライゾン・ヨーロッパを通じて、バーチャルワールドが人々の健康と福祉に与える影響に関する研究を支援する[2023年第4四半期]。
Action 3: Develop a Virtual worlds Toolbox for the general public, as well as resources on virtual environments for young people under the Better Internet for Kids strategy [Q1 2024].  行動3:「Better Internet for Kids」戦略の下で、一般市民向けの「Virtual worlds Toolbox」と、青少年向けの仮想環境に関するリソースを開発する[2024年第1四半期]。
3.2. Business: supporting a European Web 4.0 industrial ecosystem   3.2. ビジネス:欧州の Web 4.0 産業エコシステムを支援する  
Action 4: Explore, in consultation with Member States, the launch of a new European Partnership to develop an industrial and technological roadmap [Q1 2024].   行動4: 加盟国と協議の上、産業と技術のロードマップを策定するための新たな欧州パートナーシップの立ち上げを検討する [2024年第1四半期] 。 
Action 5: Support EU Cultural and Creative Industries to test new business models in virtual worlds through Creative Europe [Q1 2024]; foster matchmaking between virtual world developers and industrial users [Q1 2024]; and leverage the European Digital Innovation Hubs and Enterprise Europe Network to support virtual worlds hubs and to promote the uptake of new virtual world solutions [Q4 2023].  行動5:EUの文化・創造産業が、クリエイティブ・ヨーロッパ(Creative Europe)を通じて、仮想世界における新しいビジネスモデルをテストすることを支援する[2024年第1四半期]。欧州デジタル・イノベーション・ハブとエンタープライズ・ヨーロッパ・ネットワークを活用し、仮想世界ハブを支援し、新しい仮想世界ソリューションの導入を促進する。
Action 6: Support the development of standards for open and interoperable virtual worlds [Q4 2023]; explore the potential of new digital cooperation models [Q4 2023]; develop a toolbox to fight counterfeiting including in virtual worlds [Q4 2023]; and promote the use of virtual worlds regulatory sandboxes by Member States [Q2 2024].  行動6:オープンで相互運用可能な仮想世界のための標準の開発を支援する[2023年第4四半期]、新たなデジタル協力モデルの可能性を探る[2023年第4四半期]、仮想世界を含む偽造品と闘うためのツールボックスを開発する [2023年第4四半期]、加盟国による仮想世界規制サンドボックスの利用を促進する [2024年第2四半期]。
3.3. Government: supporting societal progress and improving public services   3.3. ガバナンス:社会の進歩の支援と公共サービスの改善  
Action 7: Support public flagships for smart and sustainable cities and communities, CitiVerse, and for the development of the European Virtual Human Twin under the Horizon Europe and Digital Europe programmes [Q4 2023]; and encourage European Digital Infrastructure Consortia (EDICs) in areas relevant to virtual worlds and Web 4.0 [Q4 2023].  行動7:Horizon EuropeおよびDigital Europeプログラムの下で、スマートで持続可能な都市とコミュニティ、CitiVerse、欧州バーチャル・ヒューマン・ツインの開発のための公的フラッグシップを支援する [2023年第4四半期] 。仮想世界とWeb 4.0に関連する分野において、欧州デジタル・インフラ・コンソーシアム(EDIC)を奨励する [2023年第4四半期]。
3.4. Governance   3.4. ガバナンス  
Action 8: Bring Member States together to share common approaches and best practices on the development of virtual worlds and the wider technological transition to Web 4.0 through an expert group [Q4 2023].   行動8:加盟国を集め、専門家グループを通じて、仮想世界の開発とWeb4.0へのより広範な技術的移行に関する共通のアプローチとベストプラクティスを共有する [2023年第4四半期] 。 
Action 9: Engage with existing multi-stakeholder internet governance institutions to design open and interoperable virtual worlds [from Q4 2023]; and support the creation of a technical multi-stakeholder forum to address certain aspects of virtual worlds and Web 4.0 beyond the remit of existing internet governance bodies [from Q1 2024].   行動 9:オープンで相互運用可能な仮想世界を設計するために、既存のマルチステークホルダー型インターネットガバナンス機構に関与する[2023 年第 4 四半期より]。また、既存のインターネットガバナンス 団体の権限を超えて、バーチャルワールドとウェブ 4.0 の特定の側面に取り組むために、技術的なマルチステークホルダー フォーラムの創設を支援する [2024 年第 1 四半期より] 。 
Action 10: Launch a structured approach to monitor the development of virtual worlds across all industrial ecosystems together with Member States and stakeholders [from Q1 2024].  行動 10:加盟国および利害関係者とともに、すべての産業エコシステムにおける仮想世界の発展を監視するための構造化されたアプローチを開始する[2024 年第 1 四半期より]。

 

EU Commission

プレス...

・2023.07.11 Towards the next technological transition: Commission presents EU strategy to lead on Web 4.0 and virtual worlds

Towards the next technological transition: Commission presents EU strategy to lead on Web 4.0 and virtual worlds 次の技術的転換期に向けて 欧州委員会、ウェブ4.0と仮想世界を主導するEU戦略を発表
Today, the Commission has adopted a new strategy on Web 4.0 and virtual worlds to steer the next technological transition and ensure an open, secure, trustworthy, fair and inclusive digital environment for EU citizens, businesses and public administrations. 欧州委員会は本日、Web 4.0と仮想世界に関する新戦略を採択し、EU市民、ビジネス、行政のために、次なる技術的移行の舵取りを行い、オープンで安全、信頼でき、公正かつ包括的なデジタル環境を確保することを表明した。
The internet is evolving at an extremely fast pace.  Beyond the currently developing third generation of the internet, Web 3.0, whose main features are openness, decentralisation, and user full empowerment, the next generation, Web 4.0, will allow an integration between digital and real objects and environments, and enhanced interactions between humans and machines. インターネットは非常に速いペースで進化している。 オープン性、分散化、ユーザーの全面的なエンパワーメントを主な特徴とする、現在発展中の第3世代のインターネット「ウェブ3.0」を超えて、次世代の「ウェブ4.0」は、デジタルと現実のオブジェクトや環境の統合、人間と機械の相互作用の強化を可能にする。
The outlook of the EU economy beyond 2030, published in March, highlights digitalisation as one of its key drivers and Web 4.0 as a major technological transition bringing a seamlessly interconnected, intelligent and immersive world. The global virtual worlds market size is estimated to grow from €27 billion in 2022 to over €800 billion by 2030. 3月に発表された2030年以降のEU経済の見通しでは、デジタル化が重要な推進力のひとつであり、Web 4.0は、シームレスに相互接続されたインテリジェントで没入感のある世界をもたらす主要な技術的転換点であると強調されている。世界の仮想世界市場規模は、2022年の270億ユーロから2030年には8000億ユーロ以上に成長すると推定されている。
Virtual worlds will impact the way people live together, bringing both opportunities and risks that need to be addressed. The new strategy aims for a Web 4.0 and virtual worlds reflecting EU values and principles, where people's rights fully apply and where European businesses can thrive. 仮想世界は、人々の共同生活のあり方に影響を与え、対処すべきチャンスとリスクの両方をもたらすだろう。新戦略は、EUの価値観と原則を反映し、人々の権利が完全に適用され、欧州の企業が繁栄できるようなWeb4.0と仮想世界を目指している。
Key strategy pillars  主要戦略の柱 
The strategy is in line with the 2030 objectives of the Digital Decade policy programme and three of its key pillars of digitalisation: skills, business and public services. The fourth pillar, infrastructures, is addressed by the Commission's connectivity package and its broader efforts on computing, cloud and edge capacities. It also addresses the openness and global governance of virtual worlds and Web 4.0 as a specific strands of action. この戦略は、「デジタルの10年」政策プログラムの2030年の目標、およびデジタル化の3つの柱(スキル、ビジネス、公共サービス)に沿ったものである。4本目の柱であるインフラストラクチャーは、欧州委員会のコネクティビティ・パッケージと、コンピューティング、クラウド、エッジ能力に関する広範な取り組みによって対処される。また、具体的な行動指針として、仮想世界とWeb 4.0のオープン性とグローバルガバナンスにも取り組んでいる。
Empowering people and reinforcing skills to foster awareness, access to trustworthy information and build a talent pool of virtual world specialists. By the end of 2023, the Commission will promote the guiding principles for virtual worlds, put forward by the Citizens' Panel; and will develop guidance for the general public thanks to a ‘Citizen toolbox' by the first quarter of 2024. As specialists on virtual worlds are essential, the Commission will work with Member States to set up a talent pipeline and will support skills development, including for women and girls, through projects funded by the Digital Europe Programme, and for creators of digital content through the Creative Europe programme.  人々の意識を高め、信頼できる情報へのアクセスを促進し、仮想世界のスペシャリストの人材プールを構築するために、人々に力を与え、スキルを強化する。2023年末までに、欧州委員会は、市民パネルが提示した仮想世界の指導原則を推進し、2024年第1四半期までに、「市民ツールボックス」によって一般市民向けのガイダンスを作成する。仮想世界の専門家が不可欠であることから、欧州委員会は加盟国と協力して人材パイプラインを確立し、デジタル欧州プログラム(Digital Europe Programme)の資金提供によるプロジェクトを通じて、また、クリエイティブ・ヨーロッパ・プログラム(Creative Europe Programme)を通じて、デジタルコンテンツの制作者のために、女性や女児を含む技能開発を支援する。 
Business: supporting a European Web 4.0 industrial ecosystem to scale up excellence and address fragmentation. Currently, there is no EU ecosystem bringing together the different players of the value chain of virtual worlds and Web 4.0. The Commission has proposed a candidate Partnership on Virtual Worlds under Horizon Europe, possibly starting 2025, to foster excellence in research and develop an industrial and technological roadmap for virtual worlds. To foster innovation, the Commission will also support EU creators and media companies to test new creation tools, bring together developers and industrial users, and work with Member States to develop regulatory sandboxes for Web 4.0 and virtual worlds. ビジネス:卓越性を拡大し、断片化に対処するための欧州のWeb 4.0産業エコシステムを支援する。現在、仮想世界とWeb 4.0の価値連鎖のさまざまなプレーヤーをまとめるEUのエコシステムは存在しない。欧州委員会は、Horizon Europe(ホライゾンヨーロッパ)の下で、2025年から開始される可能性のある、仮想世界に関するパートナーシップの候補を提案しており、このパートナーシップは、卓越した研究を促進し、仮想世界の産業・技術ロードマップを策定することを目的としている。また、技術革新を促進するため、欧州委員会は、EUのクリエイターやメディア企業に対し、新たな創造ツールのテストや、開発者と産業界のユーザーの結集を支援し、加盟国と協力して、Web 4.0と仮想世界のための規制のサンドボックスを開発する。
Government: supporting societal progress and virtual public services to leverage the opportunities virtual worlds can offer. The EU is already investing in major initiatives, such as Destination Earth (DestinE), Local Digital Twins for smart communities, or the European Digital Twin of the Ocean to allow researchers to advance science, industries to develop precision applications and public authorities to make informed public-policy decisions. The Commission is launching two new public flagships: “CitiVerse”, an immersive urban environment that can be used for city planning and management; and a European Virtual Human Twin, which will replicate the human body to support clinical decisions and personal treatment. 政府: 仮想世界が提供できる機会を活用するために、社会の進歩と仮想公共サービスを支援する。EUはすでに、Destination Earth(DestinE)、スマートコミュニティーのためのローカル・デジタル・ツイン、European Digital Twin of the Ocean(海洋の欧州デジタル・ツイン)など、研究者が科学を発展させ、産業界が精密なアプリケーションを開発し、公的機関が情報に基づいた公共政策の決定を行えるようにするための大規模な取り組みに投資している。欧州委員会は、新たに2つの公共旗艦を立ち上げる: CitiVerse」は、都市計画や都市管理に利用できる没入型の都市環境であり、「European Virtual Human Twin」は、臨床上の意思決定や個人的な治療をサポートするために人体を再現するものである。
Shaping global standards for open and interoperable virtual worlds and Web 4.0, ensuring that they will not be dominated by a few big players. The Commission will engage with internet governance stakeholders around the world and will promote Web 4.0 standards in line with the EU's vision and values. オープンで相互運用可能な仮想世界とWeb 4.0の世界標準を策定し、一部の大手企業に独占されないようにする。欧州委員会は、世界中のインターネットガバナンス関係者と協力し、EUのビジョンと価値観に沿って、Web 4.0の標準化を推進する。
Background 背景
The strategy builds on the work of the European Commission on virtual worlds and consultations with citizens, academia and businesses. The Commission hosted a European Citizens' Panel on Virtual Worlds between February and April 2023 and invited 150 randomly selected citizens to formulate recommendations on a vision, principles, and actions to ensure that virtual worlds in the EU are fair and fit for people. Their 23 recommendations have guided specific actions included in the strategy on Web 4.0 and virtual worlds. On 14 September 2022, the European Commission has launched the Virtual and Augmented Reality Industrial coalition bringing together the industry and policy makers. この戦略は、仮想世界に関する欧州委員会の取り組みと、市民、学界、企業との協議を基礎としている。欧州委員会は、2023年2月から4月にかけて「仮想世界に関する欧州市民パネル」を開催し、無作為に選ばれた150人の市民を招待して、EUにおける仮想世界が公正で人々に適したものとなるよう、ビジョン、原則、行動に関する提言をまとめた。彼らの23の提言は、ウェブ4.0と仮想世界に関する戦略に含まれる具体的な行動の指針となっている。2022年9月14日、欧州委員会は、産業界と政策立案者を集めた仮想現実産業連合を発足させた。
Furthermore, a new report published by the Joint Research Centre provides an overview of the opportunities that next generation virtual worlds may bring in different sectors such as education, manufacturing, health, and public services among others. さらに、共同研究センター(Joint Research Centre)が発表した新しい報告書では、教育、製造、医療、公共サービスなど、さまざまな分野で次世代仮想世界がもたらす可能性のある機会の概要が示されている。
For More Information 詳細
Questions and Answers: An EU initiative on Web 4.0 and virtual worlds 質問と回答 Web4.0と仮想世界に関するEUのイニシアチブ
Factsheet on Web 4.0 and virtual worlds ウェブ4.0と仮想世界に関するファクトシート
Factsheet: How to develop desirable and fair virtual worlds? The citizens' perspective ファクトシート 望ましい、公正な仮想世界を開発するには?市民の視点
Communication: An EU initiative on Web 4.0 and virtual worlds コミュニケーション ウェブ4.0と仮想世界に関するEUのイニシアチブ
Citizens' report from the European citizens' panel on virtual worlds 仮想世界に関する欧州市民パネルの市民報告書
Staff working document: information, insights and market trends on web 4.0 and virtual worlds スタッフの作業文書:ウェブ4.0と仮想世界に関する情報、洞察、市場動向
News announcement (Joint Research Centre) - Next generation virtual worlds: opportunities, challenges, and policy implications ニュース発表(共同研究センター) - 次世代仮想世界:機会、課題、政策への影響
Quote(s) 引用
The Web 4.0 and virtual worlds will bring benefits for health, contribute to the green transition and better anticipate natural disasters. But we need to have people at the centre and shape it according to our EU digital rights and principles, to address the risks regarding privacy or disinformation. We want to make sure Web 4.0 becomes an open, secure, trustworthy, fair and inclusive digital environment for all. ウェブ4.0と仮想世界は、健康に恩恵をもたらし、グリーンな移行に貢献し、自然災害をよりよく予測するだろう。しかし、プライバシーや偽情報に関するリスクに対処するためには、人々を中心に据え、EUのデジタルの権利と原則に従ってそれを形作る必要がある。私たちは、Web 4.0がすべての人にとってオープンで安全、信頼でき、公正で包括的なデジタル環境となることを確認したい
Margrethe Vestager, Executive Vice-President for a Europe Fit for the Digital Age - 11/07/2023 マルグレーテ・ヴェスタガー、デジタル時代に適合した欧州担当副総裁 - 2023.07.11
The recommendations of the European Citizens’ Panel on Virtual Worlds have had a determining impact on the outcome of this initiative that is adopted by the Commission today. I am so glad that the work we have done to deepen citizens’ engagement, and to make it meaningful for our work, is bearing such fruitful results. When we said: “The Future is in Your Hands”, we meant it! 仮想世界に関する欧州市民パネルの提言は、本日欧州委員会が採択したこのイニシアチブの結果に決定的な影響を与えた。市民の参加を深め、我々の仕事にとって有意義なものにするために行ってきた取り組みが、このような実りある結果をもたらしていることを大変うれしく思う。私たちが言った 「未来はあなたの手の中にある」と言ったが、それは本心である!
Dubravka Šuica, Vice-President for Democracy and Demography - 11/07/2023 ドゥブラヴカ・シュイカ、民主主義・人口統計担当副総裁 - 2023.07.11
Today, Europe throws its hat in the ring to become a world leader in Web 4.0 and virtual worlds. Europe has what it takes to lead the next technological transition: innovative start-ups, rich creative content and industrial applications, a strong role as a global standard-setter, and an innovation-friendly and predictable legal framework. We will take this competitive edge to the next level and connect virtual world developers with industry users, invest in the uptake and scale-up of new technologies, and give people the tools and the skills to safely and confidently use virtual worlds. 今日、欧州はウェブ4.0と仮想世界の世界的リーダーになるべく、その土俵に帽子を投げ入れている。革新的な新興企業、豊富な創造的コンテンツと産業用アプリケーション、世界標準のセッターとしての強力な役割、イノベーションに優しく予測可能な法的枠組みなど、欧州には次の技術的転換をリードするために必要なものがある。我々は、この競争力を次のレベルに引き上げ、仮想世界の開発者と業界のユーザーを結びつけ、新技術の導入とスケールアップに投資し、人々に仮想世界を安全かつ自信を持って利用するためのツールとスキルを提供する。
Thierry Breton, Commissioner for Internal Market - 11/07/2023 ティエリー・ブルトン 欧州委員会域内市場担当委員 - 2023.07.11

 

 

 ・2023.07.11 Questions and Answers: EU initiative on Web 4.0 and virtual worlds: A head start in the next technological transition

Questions and Answers: EU initiative on Web 4.0 and virtual worlds: A head start in the next technological transition 質疑応答 Web4.0と仮想世界に関するEUイニシアチブ:次の技術的転換期を先取りしよう
What is the purpose of the initiative on Web 4.0 and virtual worlds? Web4.0と仮想世界に関するイニシアチブの目的は何か?
The Commission is launching a new initiative to propose its vision and strategic actions on Web 4.0 and virtual worlds for the European Union. It is crucial that this technological transition reflects EU values and principles and fundamental rights from the onset. The strategy aims to ensure that European citizens can safely and confident use virtual worlds and European businesses can develop world-leading applications. Web 4.0 should be driven by open technologies and standards that ensure interoperability between platforms and networks, and freedom of choice for users. 欧州委員会は、欧州連合(EU)のウェブ4.0と仮想世界に関するビジョンと戦略的行動を提案するため、新たなイニシアチブを立ち上げる。この技術的移行が、当初からEUの価値観や原則、基本的人権を反映したものであることが極めて重要である。この戦略は、欧州市民が安全かつ安心して仮想世界を利用できるようにし、欧州企業が世界をリードするアプリケーションを開発できるようにすることを目的としている。Web 4.0は、プラットフォームやネットワーク間の相互運用性と、ユーザーの選択の自由を確保するオープンな技術と標準によって推進されるべきである。
What is Web 4.0? Web 4.0とは何か?
Web 4.0 is the expected fourth generation of the World Wide Web. Using advanced artificial and ambient intelligence, the internet of things, trusted blockchain transactions, virtual worlds and XR capabilities, digital and real objects and environments will be fully integrated and communicating with each other, enabling truly intuitive, immersive experiences, seamlessly blending the physical and digital worlds. ウェブ4.0は、ワールド・ワイド・ウェブの第4世代として期待されている。高度な人工知能やアンビエント・インテリジェンス、モノのインターネット、信頼できるブロックチェーン取引、仮想世界、XR機能などを駆使し、デジタルと現実のオブジェクトや環境が完全に統合され、相互にコミュニケーションすることで、物理世界とデジタル世界がシームレスに融合した、真に直感的で没入感のある体験が可能になる。
What are virtual reality and virtual worlds? 仮想現実と仮想世界とは何か?
Virtual reality is an immersive technology that allows users to interact with virtual objects and other users in virtual worlds. The virtual worlds are persistent, they continue to function even if you do not interact with them. They are in 3D, immersive environments, which make it possible to blend physical and digital worlds in real time, for a variety of purposes such as designing, making simulations, collaborating, learning, socialising, making transactions or providing entertainment. 仮想現実とは、ユーザーが仮想世界で仮想物体や他のユーザーと相互作用することを可能にする没入型技術である。仮想世界は永続的であり、ユーザーが仮想世界と交流しなくても機能し続ける。3Dの没入型環境で、物理世界とデジタル世界をリアルタイムで融合させることができ、デザイン、シミュレーション、共同作業、学習、社交、取引、娯楽など、さまざまな目的に利用できる。
Why is the Commission launching a new initiative on Web 4.0 and virtual worlds? 欧州委員会がWeb4.0と仮想世界に関する新たなイニシアティブを立ち上げたのはなぜか。
We are at the onset of a major technological transition, Web 4.0.  Virtual worlds are an important enabler of Web 4.0 that can significantly revolutionise the daily lives of people and open a wide range of opportunities in many business and industrial ecosystems. The European Commission wants to make sure that EU society, businesses and public bodies are prepared to grasp the new opportunities, but also address the challenges that come along. われわれは今、Web 4.0という大きな技術的転換期を迎えている。  仮想世界はWeb 4.0を実現する重要な要素であり、人々の日常生活に大きな変革をもたらし、多くのビジネスや産業の生態系に幅広い機会をもたらす可能性がある。欧州委員会は、EUの社会、企業、公共団体が、この新たな機会を確実に把握できるようにするとともに、それに伴う課題にも対処できるようにしたいと考えている。
The EU can make a head start in Web 4.0. It has a solid foundation, thanks to its single market, its industrial base, its rich and diverse culture and creative content, its innovative spirit in core technologies, its excellent research and education, and its ground-breaking digital regulatory framework. EUは、Web 4.0で先手を打つことができる。単一市場、産業基盤、豊かで多様な文化と創造的コンテンツ、中核技術における革新的精神、優れた研究と教育、画期的なデジタル規制の枠組みのおかげで、EUには確固たる基盤がある。
How does this strategy on Web 4.0 and virtual worlds relate to other policies in the digital domain? Web4.0と仮想世界に関するこの戦略は、デジタル領域における他の政策とどのように関連しているのか?
The strategy is in line with the objectives of the Digital Decade policy programme and builds on three of its cardinal points: skills, business, and government. The fourth cardinal point, infrastructures, is addressed by the Commission's connectivity package and its wider policies on digital infrastructure, high-performance computing, cloud and edge. The strategy also addresses global governance of Web 4.0 and virtual worlds, as a specific strand of actions. Moreover, the Citizens' Panel built on the European Declaration of Rights and Principles to develop a vision and guiding principles. この戦略は、「デジタルの10年」政策プログラムの目標に沿ったものであり、「スキル」、「ビジネス」、「ガバナンス」という3つの基軸をベースにしている。4つ目の重要なポイントであるインフラストラクチャーは、欧州委員会の接続性パッケージや、デジタルインフラ、高性能コンピューティング、クラウド、エッジに関する広範な政策で扱われている。また、同戦略は、具体的な行動指針として、Web4.0と仮想世界のグローバル・ガバナンスにも取り組んでいる。さらに、市民パネルは、欧州権利・原則宣言に基づき、ビジョンと指導原則を策定した。
What opportunities are there in future virtual worlds? 将来の仮想世界にはどのような機会があるのか?
Virtual worlds hold significant opportunities, for industrial and societal domains. In manufacturing, virtual twins help test and optimise production processes, making them more efficient and sustainable. In the cultural and creative industry, virtual worlds offer new ways to create, promote and distribute European content and engage with audiences. 仮想世界は、産業や社会の領域において、大きなチャンスを秘めている。製造業では、バーチャル・ツインは生産プロセスのテストと最適化に役立ち、より効率的で持続可能なものにする。文化・クリエイティブ産業では、仮想世界は欧州のコンテンツを制作・宣伝・配信し、視聴者とエンゲージする新しい方法を提供する。
The number of use cases for such technologies is vast, stemming across all product manufacturing sectors including simulated machines, factories, transport, networks, and other complex systems. このような技術の使用例は膨大で、シミュレートされた機械、工場、輸送、ネットワーク、その他の複雑なシステムなど、あらゆる製品製造部門に及んでいる。
Another example is the possibility to use accurate 3D models to simulate effects of global warming in order to find better and more energy-efficient solutions. 他の例としては、より良いエネルギー効率の良い解決策を見つけるために、正確な3Dモデルを使用して地球温暖化の影響をシミュレートする可能性がある。
One of important opportunities in virtual worlds is education and training, in particular in the medical field, for scenarios such as an emergency situation, or surgeries simulations, lowering the risks of surgical complications and better accuracy of diagnosis. Virtual classrooms will enable students and teachers to visualise abstract subjects or simulate scientific experiments without taking any risks.  仮想世界における重要な機会のひとつは、教育や訓練であり、特に医療分野では、緊急事態のようなシナリオや手術のシミュレーションを行うことで、手術合併症のリスクを下げ、診断の精度を高めることができる。仮想学級では、生徒や教師がリスクを負うことなく、抽象的な題材を視覚化したり、科学実験をシミュレートしたりすることが可能になる。 
What are the challenges with Web 4.0 and virtual worlds? Web4.0と仮想世界の課題は何か?
The Communication highlights several challenges affecting people, businesses and public services. These include awareness, access to trustworthy information, digital skills, user acceptance and trust in new technologies, as well as broader challenges related to fundamental rights. Businesses are impacted by different types of challenges such as the fragmentation of the ecosystem and access to finance. コミュニケーションは、人々、企業、公共サービスに影響を与えるいくつかの課題を浮き彫りにしている。その中には、意識、信頼できる情報へのアクセス、デジタル・スキル、新技術に対するユーザーの受容と信頼、さらには基本的権利に関するより広範な課題も含まれる。企業は、エコシステムの分断や金融へのアクセスなど、さまざまなタイプの課題に影響を受けている。
Therefore, the Communication puts forward 10 clusters of actions to address the challenges while creating opportunities for people, businesses and public services. そのため、コミュニケーションは、人々、企業、公共サービスに機会を創出しつつ、課題に対処するための10の行動クラスターを提唱している。
How can the EU protect its citizens? EUはどのようにして市民を守ることができるのか?
The EU has a strong regulatory framework that applies to several aspects linked to the development of virtual worlds and Web 4.0. EUには、仮想世界とWeb 4.0の発展に関連するいくつかの側面に適用される強力な規制の枠組みがある。
In relation to the protection and enforcement of the rights of individuals and companies in the digital world, the Digital Services Act and the Digital Markets Act introduce a comprehensive system of accountability for providers of platforms and search engines and for providers of core platform services respectively. This regulation applies also to virtual worlds and web 4.0. デジタル世界における個人と企業の権利の保護と執行に関連して、デジタルサービス法とデジタル市場法は、それぞれプラットフォームと検索エンジンのプロバイダとコア・プラットフォーム・サービスのプロバイダに対する包括的な説明責任制度を導入している。この規制は仮想世界やウェブ4.0にも適用される。
The General Data Protection Regulation safeguards the processing of personal data, and EU consumer law, in particular the Unfair Commercial Practices Directive, protects against manipulating consumers' online choices and transactions. The newly adopted Markets in Crypto-Assets (MiCA) Regulation covers crypto-assets not regulated by existing financial services legislation. All those regulations will be very important in the context of emerging virtual worlds. 一般データ保護規則(General Data Protection Regulation)は個人データの処理を保護し、EU消費者法、特に不公正商行為指令(Unfair Commercial Practices Directive)は、消費者のオンライン上の選択や取引を操作する行為から保護する。新たに採択された暗号資産市場(MiCA)規則は、既存の金融サービス法で規制されていない暗号資産を対象としている。これらすべての規制は、台頭しつつある仮想世界の文脈で非常に重要になるだろう。
What are the actions proposed by the European Commission? 欧州委員会が提案している行動とは何か?
The European Commission proposes 10 actions in the Communication on Web 4.0 and virtual worlds, from developing a Virtual worlds Toolbox for citizens to launching a European partnership under Horizon Europe and supporting a public flagship for smart and sustainable cities and communities (the “Citiverse”). 欧州委員会は、Web 4.0と仮想世界に関するコミュニケーションにおいて、市民向けの仮想世界ツールボックスの開発から、ホライゾン・ヨーロッパの下での欧州パートナーシップの立ち上げ、スマートで持続可能な都市とコミュニティのための公的フラッグシップ(「Citiverse」)の支援まで、10のアクションを提案している。

 

・2023.07.11 Virtual Worlds and Web 4.0 - Factsheet

Virtual Worlds and Web 4.0 - Factsheet 仮想世界とウェブ4.0 - ファクトシート
This factsheet gives an overview of Virtual Worlds and Web 4.0 and the numerous possibilities it can hold for citizens and businesses in the EU. このファクトシートは、仮想世界とWeb 4.0の概要と、それがEUの市民や企業にもたらす数多くの可能性について説明している。
In July 2023, the Commission adopted a strategy on Web 4.0 and virtual worlds. This factsheet summarises some of the key aspects of virtual worlds and how it will transform the lives of EU citizens.  2023年7月、欧州委員会はウェブ4.0と仮想世界に関する戦略を採択した。このファクトシートでは、仮想世界の重要な側面と、それがEU市民の生活をどのように変えるかをまとめている。 

[PDF

20230713-63409

 

 

 

・2023.07.11 An EU initiative on virtual worlds: a head start in the next technological transition

An EU initiative on virtual worlds: a head start in the next technological transition 仮想世界に関するEUのイニシアチブ:次の技術的転換期を先取りしよう
Communication on virtual worlds and Web 4.0 仮想世界とWeb4.0に関するコミュニケーション
This Communication sets out the vision, strategy and proposed actions, aiming to make a significant contribution to the achievement of the Digital Decade objectives of technological leadership, sovereignty and competitiveness by 2030. このコミュニケーションは、2030年までに、技術的リーダーシップ、主権、競争力という「デジタルの10年」の目標達成に大きく貢献することを目指し、ビジョン、戦略、行動案を示している。

 

・[PDF]

20230713-63420

 

 

 

 

・2023.07.11 Staff Working Document: Citizens’ panel report on virtual worlds

Staff Working Document: Citizens’ panel report on virtual worlds スタッフ作業文書 仮想世界に関する市民パネル報告書
Citizens’ report from the citizens’ panel with the 23 recommendations. 23の提言を含む市民パネルの報告書。
EuropeanCommission 欧州委員会
This Staff Working Document (SWD) accompanies the Communication “An EU initiative on virtual worlds: a head start in the next technological transition” providing an overview of market trends and an annex containing  the final 23 recommendations put forward by the citizens from the citizens’ panel on virtual worlds. このスタッフ・ワーキング・ドキュメント(SWD)は、コミュニケーション「仮想世界に関するEUのイニシアチブ:次の技術的転換期における先行投資」に付随するもので、市場動向の概要と、仮想世界に関する市民パネルから市民が提出した最終的な23の提言を含む付属文書を提供している。

 

・[PDF]

20230713-63443

 

 

・2023.07.11 Staff Working Document: information, insights and market trends on web 4.0 and virtual worlds

Staff Working Document: information, insights and market trends on web 4.0 and virtual worlds スタッフ作業文書:ウェブ4.0と仮想世界に関する情報、洞察、市場動向
This Staff Working Document (SWD) provides further information and insights on the main aspects of the Communication, including stakeholders’ views, and technology and market trends on web 4.0 and virtual worlds. このスタッフ作業文書(SWD)は、利害関係者の見解、ウェブ4.0と仮想世界に関する技術と市場動向など、コミュニケーションの主な側面に関するさらなる情報と洞察を提供する。
This Staff Working Document presents an insight into how virtual worlds are opening up many opportunities already in society and main technological trends related to the development of virtual worlds and Web 4.0. このスタッフ・ワーキング・ドキュメントは、バーチャル・ワールドがすでに社会に多くの機会をもたらしていること、そしてバーチャル・ワールドとウェブ4.0の発展に関連する主な技術動向についての洞察を提示するものである。

 

 

・[PDF]

20230713-63500

 

 

 


・2023.03.26 EU competitiveness beyond 2030: looking ahead at the occasion of the 30th anniversary of the Single Market

EU competitiveness beyond 2030: looking ahead at the occasion of the 30th anniversary of the Single Market 2030年以降のEUの競争力:単一市場30周年を機に展望する
Today, the Commission has published two Communications celebrating the 30th anniversary of the Single Market and setting out how to secure Long-term competitiveness of the EU. 本日、欧州委員会は、単一市場創設30周年を記念し、EUの長期的競争力を確保するための方法を示した2つのコミュニケーションを発表した。
The Single Market is undoubtedly the engine of the EU's society and economy. Further reduction of barriers and integration, especially for services, are essential for the Single Market to remain the key driver of EU's competitiveness. In the current geopolitical context, the EU is at a make-or-break moment to succeed in the twin green and digital transition and remain an attractive place for businesses. 単一市場がEUの社会と経済の原動力であることは間違いない。単一市場がEUの競争力の重要な原動力であり続けるためには、障壁のさらなる削減と統合、特にサービスの統合が不可欠である。現在の地政学的な状況において、EUは、グリーンとデジタルの2つの移行を成功させ、企業にとって魅力的な場所であり続けるかどうかの瀬戸際にある。
The long-term view on competitiveness outlines how the EU can build on its strengths and achieve more than merely bridging the growth and innovation gap. A forward-looking, well-defined and coordinated EU framework will foster thriving businesses, able to compete on the global market, with attractive jobs and setting global standards. 競争力に関する長期的視点は、EUがその強みを生かし、単に成長と技術革新のギャップを埋める以上のことを達成する方法を概説している。 将来を見据え、明確に定義され、調整されたEUの枠組みは、グローバル市場で競争し、魅力的な雇用を生み出し、世界標準を打ち立てることのできる、繁栄する企業を育成する。
Ursula von der Leyen, President of the European Commission, said: “With a war on our doorstep, with volatile energy prices, and massive clean-tech investments worldwide, Europe has to up its game. The Single Market has been our key asset to bring prosperity to our citizens and businesses but also to help us cope with crises such as the pandemic, Climate Change or the economic fallout of Russia's war against Ukraine. We can be proud of it and we must do our utmost to preserve and reinforce its strength. We must also make sure that regulatory and administrative frameworks are responsive to business needs. In future we will be guided by a series of key performance indicators, which can tell us whether Europe's economy is really becoming more productive and competitive. Because what gets measured gets done.” 欧州委員会のウルスラ・フォン・デア・ライエン委員長は、次のように述べた: 「戦争が目前に迫り、エネルギー価格が不安定で、クリーンテクノロジーへの投資が世界的に拡大している今、欧州はその競争力を高めなければならない。単一市場は、市民や企業に繁栄をもたらすだけでなく、パンデミックや気候変動、ロシアのウクライナ戦争による経済的影響などの危機に対処するための重要な資産でもある。我々はそれを誇りに思い、その強さを維持・強化するために最大限の努力を払わなければならない。また、規制や行政の枠組みがビジネスのニーズに応えられるようにしなければならない。将来的には、欧州経済が本当に生産性と競争力を高めているかどうかを知ることができる、一連の重要業績評価指標に導かれることになるだろう。なぜなら、測定されたことは実行に移されるからだ
SINGLE MARKET AT 30 2030年の単一市場
Our Single Market is much more than a legal framework or just a market: it is an area of freedom, progress, opportunity, growth, shared prosperity, resilience, and a means of geopolitical projection. With 440 million citizens, 23 million businesses, 15% of global GDP, it is the world's largest integrated single market area while remaining one of the most outward-oriented. 自由、進歩、機会、成長、繁栄の共有、レジリエンス、そして地政学的投影の手段である。4億4,000万人の市民、2,300万社の企業、世界のGDPの15%を擁するEUは、世界最大の統合単一市場圏であると同時に、最も対外的な市場でもある。
The Single Market is the EU's key asset and driver of its competitiveness. For over 30 years, it has helped to improve the life of citizens, made business easier and brought substantial economic benefits by increasing European GDP by 9%. It is also the vehicle for accompanying and ensuring Europe's green and digital transition. It is the source of the EU's regulatory, financial and supply chain integration which helps build economies of scale and facilitates businesses to grow. The Single Market is an important factor of Europe's economic resilience during crises and provides a crucial geopolitical lever that boosts the EU's standing and influence in the world. 単一市場はEUの重要な資産であり、競争力の原動力である。30年以上にわたって、市民生活の改善を助け、ビジネスを容易にし、欧州のGDPを9%増加させるという大きな経済的利益をもたらしてきた。また、欧州のグリーンおよびデジタル移行を支援し、確実にするための手段でもある。EUの規制、金融、サプライチェーンの統合の源であり、規模の経済を構築し、企業の成長を促進するのに役立っている。単一市場は、危機時における欧州経済のレジリエンスの重要な要因であり、世界におけるEUの地位と影響力を高める重要な地政学的テコをプロバイダとして提供している。
However, the Single Market must continue to adapt to new realities and take account of the changing geopolitical environment, technological developments, the green and digital transitions and the need to boost the EU's long-term competitiveness and productivity. しかし、単一市場は新たな現実に適応し、地政学的環境の変化、技術開発、グリーンおよびデジタルへの移行、EUの長期的な競争力と生産性を高める必要性を考慮し続けなければならない。
A collective effort, based on joint ownership of the Single Market at EU and national level, is required to continue maintaining and deepening it, and harnessing its full potential. 単一市場を維持・深化させ、その潜在力を最大限に活用し続けるためには、EUと各国レベルでの共同オーナーシップに基づく集団的努力が必要である。
Looking ahead, first and foremost, a renewed focus is needed on: 今後を展望すると、何よりもまず、以下のことに改めて焦点を当てる必要がある:
Enforcing existing Single Market rules, supported by benchmarks to address the deficits related to transposition and implementation of EU rules; EU規則の移管と実施に関する赤字に対処するためのベンチマークに支えられた、既存の単一市場規則の施行;
Removing Member State-level barriers, in particular barriers to the cross-border provision of services, and in the industrial ecosystems with the greatest economic integration potential (retail, construction, tourism, business services and renewable energy sector).  加盟国レベルの障壁、特に、国境を越えたサービスの提供や、経済統合の可能性が最も高い産業エコシステム(小売、建設、観光、ビジネスサービス、再生可能エネルギー分野)における障壁を撤廃する。 
To this end, the Commission will continue essential cooperation with Member States as part of the Single Market Enforcement Task Force (SMET) and other fora for structured engagement with business stakeholders. The Commission also proposes to set a benchmark on solving a minimum of 90% of cases within 12 months brought to the national SOLVIT centres. The Commission furthermore aims to simplify obligations for Member States to notify national rules and set up national Single Market Offices among different measures foreseen to reduce and prevent barriers in the Single Market.  このため、欧州委員会は、単一市場執行タスクフォース(SMET)や、ビジネス関係者との体系的な関与のためのその他の場の一環として、加盟国との不可欠な協力を継続する。また、欧州委員会は、各国のSOLVITセンターに持ち込まれた案件の最低90%を12ヵ月以内に解決するという基準を設けることも提案している。欧州委員会はさらに、単一市場における障壁を削減・防止するために想定されているさまざまな措置の中で、加盟国に対する国内規則の通知義務の簡素化と、国内単一市場事務所の設置を目指している。 
Furthermore, we must continue to foster the green and digital dimensions of the Single Market as a source of innovation, growth and competitiveness. For instance, the Single Market approach will ensure that the EU maintains its leadership on clean technologies and a competitive edge on decarbonisation. To that end, the Commission is putting in place common EU rules to help businesses embrace the circular economy (e.g. Ecodesign rules for Sustainable Products, Product Passport Initiative), better integrate renewables into the energy system (e.g. New Rules on Electricity Design) and make the most of digitalisation opportunities (e.g. build on Digital Services and Digital Market Acts and create new Data Spaces for health and public procurement). さらに、革新、成長、競争力の源泉として、単一市場のグリーンおよびデジタルな側面を引き続き育成していかなければならない。例えば、単一市場のアプローチは、EUがクリーン技術におけるリーダーシップを維持し、脱炭素化における競争力を維持することを確実にする。そのために、欧州委員会は、企業が循環型経済を受け入れるのを支援し(持続可能な製品に関するエコデザイン規則、製品パスポート構想など)、再生可能エネルギーをエネルギーシステムによりよく統合し(電力設計に関する新規則など)、デジタル化の機会を最大限に活用する(デジタルサービスおよびデジタル市場法の構築、医療および公共調達のための新たなデータスペースの創設など)ためのEU共通の規則を整備している。
The Commission will continue to monitor the progress of the Single Market with tools like the Single Market and Competitiveness Scoreboard and Annual Single Market Report. A continued discussion and reflection with and amongst Member States and relevant stakeholders will guarantee that the Single Market keeps delivering and improving life for its citizens. 欧州委員会は、「単一市場と競争力に関するスコアボード」や「年次単一市場報告書」のようなツールを用いて、単一市場の進捗状況を引き続き監視する。加盟国および関連する利害関係者との継続的な議論と考察は、単一市場がその市民生活を実現し、改善し続けることを保証するものである。
BOOSTING LONG-TERM COMPETITIVENESS 長期的な競争力の強化
The European model of economic growth, based on sustainable competitiveness, economic security, open strategic autonomy and fair competition, has been a source of prosperity for the last decades. Strong common EU-level action has boosted economic activity and productivity in the past and can spur competitiveness and prosperity again in the longer-term. 持続可能な競争力、経済の安全保障、開かれた戦略的自治、公正な競争に基づく欧州の経済成長モデルは、過去数十年にわたり繁栄の源泉となってきた。EUレベルの強力な共通行動は、過去において経済活動と生産性を押し上げ、長期的には競争力と繁栄に再び拍車をかけることができる。
To foster competitiveness, the Commission proposes to work along nine mutually reinforcing drivers to ensure: 競争力を促進するために、欧州委員会は、以下の9つの相互に強化し合う推進力に沿って取り組むことを提案している:
A functioning Single Market by broadening and deepening it and fostering integration of services; 単一市場を拡大・深化させ、サービスの統合を促進することにより、単一市場を機能させる;
Access to private capital and investment by deepening the Capital Markets Union and completing the Banking Union, as well as the development of EU tax and financial services regulatory frameworks supportive of businesses; 資本市場同盟を深化させ、銀行同盟を完成させるとともに、企業を支援するEUの税制および金融サービス規制の枠組みを整備することにより、民間資本と投資へのアクセスを確保する;
Public investment and infrastructure by reforming the European economic governance framework; 欧州経済ガバナンスの枠組みを改革することによる公共投資とインフラストラクチャー;
Research and innovation through tax incentives, public-private partnerships and large-scale projects to de-risk investments in innovation, especially in the key areas of clean technology, digital and biotechnology; 税制優遇措置、官民パートナーシップ、特にクリーンテクノロジー、デジタル技術、バイオテクノロジーの主要分野における技術革新への投資リスクを軽減するための大規模プロジェクトを通じた研究と技術革新;
Energy through fast roll-out of renewables, the digitalisation of energy systems and energy storage facilities; 再生可能エネルギーの迅速な導入、エネルギーシステムのデジタル化、エネルギー貯蔵設備によるエネルギー;
Circularity by fostering the transition towards a more circular economy in the EU; EUにおける循環型経済への移行を促進することによる循環性;
Digitalisation through broad-based take-up of digital tools across the economy and more support for leadership in key digital technologies such as Artificial Intelligence, Quantum Computing, microelectronics, web 4.0, virtual reality and digital twins, and cybersecurity; 人工知能、量子コンピューティング、マイクロエレクトロニクス、ウェブ4.0、バーチャルリアリティ、デジタル・ツイン、サイバーセキュリティなどの主要なデジタル技術におけるリーダーシップへの支援を強化する;
Education and skills by developing and recognising skills as the key to attractive, quality jobs, increasing the participation of women, the young and third country nationals in the labour market, and promoting vocational education and training; 魅力的で質の高い雇用の鍵となるスキルを開発・認識し、女性、若者、第三国人の労働市場への参加を拡大し、職業教育と訓練を促進することによって、教育とスキルを向上させる;
Trade and open strategic autonomy by continuing to open markets for EU companies through deepening ties with allies and trading partners, preserving fair trade principles and addressing risks in a targeted way. 同盟国および貿易相手国との関係を深め、公正な貿易原則を守り、的を絞った方法でリスクに対処することにより、EU企業に市場を開放し続ける。
A set of Key Performance Indicators will track progress towards the targets and ensure the necessary political focus and responsiveness. 一連の主要業績評価指標は、目標に向けた進捗状況を追跡し、必要な政治的焦点と対応力を確保する。
A growth enhancing regulatory framework 成長を強化する規制の枠組み
Accompanying these nine drivers, as a second leg of action, the Commission will work actively towards a regulatory framework more suited for competitiveness and growth. Complementing the ‘one-in, one-out' approach and the competitiveness check, this will include a methodology for assessing cumulative impact of policies and a more innovation-friendly approach to regulation. In particular, there will be a new push for the rationalisation of reporting requirements across the EU's green, digital and economic legislation, with first proposals by the autumn with the aim of a 25% reduction in burden. The Commission will also continue to regularly assess the EU legislation to ensure it remains future-proof and fit for purpose, and to assist Member States in the timely and proper transposition of EU law. これら9つの推進力とともに、欧州委員会は、第二の行動として、競争力と成長により適した規制の枠組みに向けて積極的に取り組んでいく。これには、「ワンイン・ワンアウト」アプローチと競争力チェックを補完するものとして、政策の累積的影響を評価する方法論と、規制に対するより革新に適したアプローチが含まれる。特に、EUのグリーン法、デジタル法、経済法全般にわたる報告義務の合理化を新たに推進し、負担の25%削減を目指して、秋までに最初の提案を行う。また、欧州委員会は、EU法制が将来に備え、目的に適合したものであり続けるよう、定期的な評価を継続するとともに、加盟国がEU法を適時に適切に移管できるよう支援する。
Background 背景
In December 2022, the European Council invited the Commission to make proposals, in early 2023, to ensure EU's resilience and competitiveness by mobilising all relevant national and EU tools and improving framework conditions for investment. 2022年12月、欧州理事会は欧州委員会に対し、EUのレジリエンスと競争力を確保するため、国内およびEUのあらゆる関連手段を動員し、投資の枠組み条件を改善するための提案を2023年初頭に行うよう要請した。
The European Green Deal Industrial Plan, presented by the Commission on 1 February, was the first response to that call. The proposals released today focus on providing a more supportive environment for the scaling up of the EU's manufacturing capacity of net-zero technologies and products and critical raw materials, which will be key to enhance Europe's competitiveness in the transition to a net-zero economy. 欧州委員会が2月1日に発表した「欧州グリーン・ディール産業計画」は、この呼びかけに対する最初の対応であった。本日発表された提案は、ネット・ゼロ経済への移行における欧州の競争力強化の鍵となる、ネット・ゼロ技術や製品、重要な原材料のEUにおける製造能力の拡大に向けて、より支援的な環境を提供することに焦点を当てている。
This communication complements the Green Deal Industrial Plan with a long-term and comprehensive approach to the competitiveness of the EU, in a key moment when a joint push from businesses and policy makers is needed to put Europe on the right path to the next decade and beyond. このコミュニケーションは、グリーン・ディール産業計画を補完するものであり、EUの競争力強化に向けた長期的かつ包括的なアプローチである。
For More Information 詳細情報
Communication On the Single Market at 30 30歳の単一市場に関するコミュニケーション
Long-term view on Competitiveness 競争力に関する長期的展望
Questions & Answers 質問と回答
Factsheet on the 30th anniversary of the Single Market 単一市場30周年記念ファクトシート
Factsheet on the Long-term Competitiveness Strategy of the EU EUの長期競争力戦略に関するファクトシート
Quote(s) 引用
With a war on our doorstep, with volatile energy prices, and massive clean-tech investments worldwide, Europe has to up its game. The Single Market has been our key asset to bring prosperity to our citizens and businesses but also to help us cope with crises such as the pandemic, Climate Change or the economic fallout of Russia’s war against Ukraine. We can be proud of it and we must do our utmost to preserve and reinforce its strength. We must also make sure that regulatory and administrative frameworks are responsive to business needs. In future we will be guided by a series of key performance indicators, which can tell us whether Europe's economy is really becoming more productive and competitive. Because what gets measured gets done. 戦争が目前に迫り、エネルギー価格が不安定で、クリーンテクノロジーへの投資が世界的に拡大している現在、欧州はその競争力を高めなければならない。単一市場は、市民や企業に繁栄をもたらすだけでなく、パンデミックや気候変動、ロシアのウクライナ戦争による経済的影響などの危機に対処するための重要な資産である。我々はそれを誇りに思い、その強さを維持・強化するために最大限の努力を払わなければならない。また、規制や行政の枠組みがビジネスのニーズに応えられるようにしなければならない。将来的には、欧州経済が本当に生産性と競争力を高めているかどうかを知ることができる、一連の重要業績評価指標に導かれることになるだろう。なぜなら、測定されたことは実行に移されるからだ
President Ursula von der Leyen - 16/03/2023 ウルスラ・フォン・デア・ライエン大統領 - 16/03/2023
The single market is the backbone of the European economy and a source of prosperity and wealth for us. It is an indispensable source. But only a deepened, seamless, strong and well-functioning single market will provide sustainable, long-term growth and productivity. This is key to our future competitiveness. 単一市場は欧州経済の基幹であり、われわれの繁栄と富の源泉である。欠くことのできない源泉である。しかし、深化し、継ぎ目がなく、強固で十分に機能する単一市場のみが、持続可能で長期的な成長と生産性をプロバイダする。これは、私たちの将来の競争力の鍵である。
Margrethe Vestager, Executive Vice-President for a Europe Fit for the Digital Age - 16/03/2023 マルグレーテ・ヴェスタガー、デジタル時代に適合した欧州担当副総裁 - 16/03/2023
Europe has withstood major shocks. Now we need to look at what we need to change to maintain our competitive edge in the longer term – beyond 2030. That means confronting long-standing challenges around productivity and competitiveness. We have identified key areas where we need to focus: from investment and financing to open trade and skills, along with smarter regulation. This is important not only to create future quality jobs and growth but also to make the most of the potential offered by the green and digital transitions. The bottom line is that we want to be leaders in the green industries of the future. 欧州は大きな衝撃に耐えてきた。2030年以降も長期的に競争力を維持するためには、何を変えるべきかを検討する必要がある。それは、生産性と競争力をめぐる長年の課題に立ち向かうことを意味する。我々は、投資と資金調達から、よりスマートな規制とともに、開かれた貿易と技能に至るまで、焦点を当てる必要がある主要分野を特定した。これは、将来の質の高い雇用と成長を生み出すだけでなく、グリーンとデジタルの移行がもたらす可能性を最大限に活用するためにも重要である。要するに、我々は未来のグリーン産業のリーダーでありたいということだ」。
Valdis Dombrovskis, Executive Vice-President for an Economy that Works for People - 16/03/2023 バルディス・ドンブロフスキス、人々のために働く経済担当副総裁 - 16/03/2023
The Single Market is more than just a free trade area - it is an area of freedom, prosperity and resilience for all. And we are working hard to ensure that it remains so for at least another 30 years! 単一市場は単なる自由貿易圏ではない。自由と繁栄、そしてすべての人のためのレジリエンスを実現する地域である。そして、少なくともあと30年間はそうあり続けるよう、我々は努力している!
Thierry Breton, Commissioner for Internal Market - 16/03/2023 ティエリー・ブルトン域内市場担当委員 - 16/03/2023

 

 

Continue reading "欧州委員会 Web4.0と仮想世界に関するEUのイニシアチブ: 次の技術的転換期を先取りする"

| | Comments (0)

2023.07.12

フランス ANSSI サイバー危機管理自己評価ツール (2023.07.04)

こんにちは、丸山満彦です。

フランスの情報セキュリティの政府機関である、ANSSI (Agence nationale de la sécurité des systèmes d'information)  が [XLSX] サイバー危機管理自己評価ツールを公表しています!!!

が、フランス語です。。。

こう考えると、日本もいろいろなガイドラインを公表していますが、ほとんど日本語しか作っていないですよね。。。できる限り英語版もつくるようにしたほうがよいですよね。。。

 

Agence nationale de la sécurité des systèmes d'information; ANSSI

・2023.07.04 PUBLICATION D’UN OUTIL D’AUTOÉVALUATION DE GESTION DE CRISE CYBER

PUBLICATION D’UN OUTIL D’AUTOÉVALUATION DE GESTION DE CRISE CYBER サイバー危機管理自己評価ツールの公開
Pour aider à mesurer la préparation aux crises cyber, l’ANSSI partage un outil d’autoévaluation. Cet outil est basé sur la collection de guide « Gestion de crise cyber ». Il permet à chaque organisation d’évaluer son niveau de préparation aux crises cyber sur différentes thématiques et fournit des recommandations pour s’améliorer. サイバー危機への備えを評価するために、ANSSIは自己評価ツールを公開している。このツールは「サイバー危機管理」ガイド集に基づいている。各組織がテーマごとにサイバー危機への備えのレベルを評価し、改善のための提言を行うことができる。
Un outil pour mieux accompagner dans la durée sur la gestion de crise cyber サイバー危機管理をより長期的に支援するためのツール
Depuis trois ans, l’ANSSI met à disposition une collection de guides sur la gestion de crise d’origine cyber qui présentent les bonnes pratiques à mettre en place pour mieux faire face aux menaces cyber et aux crises qu’elles peuvent générer. Afin de permettre à l’ensemble de l’écosystème de mieux évaluer son niveau de préparation, ces guides ont été transposés, avec le soutien du Club des directeurs de sécurité des entreprises (CDSE), dans un outil d’autoévaluation – permettant ainsi à chaque organisation de mesurer plus finement ses forces et faiblesses dans le domaine de la gestion de crise et la continuité d’activité face aux menaces cyber. ANSSIは過去3年間、サイバー危機管理に関するガイド集を提供し、サイバー脅威とそれがもたらす危機によりよく対処するために実施すべきベストプラクティスを示してきた。CDSE(企業危機管理クラブ)の支援により、これらのガイドは、エコシステム全体がその準備レベルをよりよく評価できるよう、自己評価ツールに置き換えられ、各組織がサイバー脅威に直面した際の危機管理と事業継続の分野における強みと弱みをより正確に測定できるようになった。
Cet outil propose une série de 57 questions, réparties sur 5 thématiques : gouvernance et interactions entre équipes mobilisées, processus et outillage, communication de crise et relations externes, détection et réponse à incidents, continuité d’activité et reconstruction. Pour chaque question, une série de réponses progressive permettent un positionnement entre un niveau novice (0) et à l’état de l’art (3). Il peut être utilisé dans le cadre d’une évaluation rapide ou dans le cadre d’un audit plus complet, selon les besoins de chacun. このツールは、ガバナンスと関係チーム間の相互作用、プロセスとツール、危機コミュニケーションと渉外、インシデントの検知と対応、事業継続と再建の5つのテーマに分けられた57の質問から構成されている。各質問には、初心者レベル(0)から最先端レベル(3)までの間に位置づけられるよう、段階的な回答が用意されている。個々のニーズに応じて、迅速な評価の一部として、あるいはより包括的な監査の一部として使用することができる。
Un outil pour s’évaluer et pour s’améliorer 自己評価と改善のためのツール
Une fois l’évaluation réalisée, les résultats sont présentés sous forme d’une série d’indicateurs, dont un synthétique permettant de suivre son score dans le temps. D’autres résultats plus fins (par thématique ou par temporalité de crise) sont également disponibles pour identifier plus simplement d’éventuels points d’amélioration plus spécifiques. アセスメントが完了すると、結果が一連の指標の形で示され、経時的にスコアを追跡するためのサマリー指標も含まれる。また、より具体的な改善点の特定に役立つよう、より詳細な結果(テーマ別または危機の時間枠別)も利用できる。
Le résultat d’évaluation permet également d’identifier les étapes suivantes pour améliorer son niveau de maturité. Pour permettre d’accélérer la mise en place de capacités, il est également proposé un ensemble d’outils et de documents disponibles dans le corpus documentaire de l’ANSSI et au sein de l’écosystème. Cette liste d’outils et de documents sera régulièrement mise à jour, notamment avec les nouvelles productions de la collection « Gestion de crise cyber » de l’ANSSI et du GT « Gestion de crise et entrainement » au Campus Cyber. 評価結果は、成熟度レベルを向上させるために取るべき次のステップも特定する。能力の実装を加速するために、ANSSIの文書コーパスやエコシステム内で利用可能なツールや文書のセットも提案されている。このツールや文書のリストは定期的に更新され、特にANSSIの「サイバー危機管理」コレクションやサイバーキャンパスの「危機管理と訓練」WGからの新たな制作物によって更新される予定である。

 

 自己管理ツール...

・[XLSX] TLPCLEAR_ANSSI_Questionnaire evaluation maturité gestion crise cyber_v1.0

20230712-74022

 

説明資料...

・[PDF] TLPWHITE_ANSSI_Questionnaire d'évaluation à la maturité en gestion de crise cyber_Guide_v1.0

 

サイバー危機管理に関するガイド集

・[PDF]

20230712-74218

 

| | Comments (0)

金融安定理事会 (FSB) 意見募集 サードパーティリスクの管理と監督: 金融機関および金融当局のためのツールキット (2023.06.22)

こんにちは、丸山満彦です。

G20カ国等が参加する金融機関の団体である金融安定理事会 (Financial Stability Board: FSB) [wikipedia] が、金融機関と監督当局向けに「サードパーティリスクの管理と監督」を公表し、意見募集をしています。。。

この文書は、

・金融機関のサードパーティリスク管理に対する規制・監督のアプローチが、法域や金融サービスセクターのさまざまな分野で分断されていることを解消する

・金融機関のサードパーティリスク管理能力と、金融当局の金融システムのレジリエンス を監視・強化する能力を強化する

・関連する利害関係者(金融当局、金融機関、第三者サービスプロバイダー等)間の調整を促進する

ことを目的として作成されているとのことです。

アウトソーシングを含むサードパーティリスクは金融機関の業務のレジリエンスを高める上でも重要なポイントとなっていますよね。。。

・銀行や証券会社のシステムが、委託先からランサムウェアに感染し、システムが2日ほど停止したら...

・生命保険会社のデータベースが、ランサムウェアに感染し、データの復元ができなくなったら...

・多くの金融機関が利用しているあるパブリッククラウドが、障害により、システムが2日ほど停止したら...

 

いろいろと考えられますね。。。

 

● Financial Stability Board: FSB

プレス...

・2023.06.22 FSB consults on toolkit for enhancing third-party risk management and oversight

FSB consults on toolkit for enhancing third-party risk management and oversight FSB、サードパーティリスクの管理と監督強化のためのツールキットを諮問
The Financial Stability Board (FSB) today published for public consultation a toolkit for financial authorities and financial institutions as well as service providers for their third-party risk management and oversight. 金融安定理事会(FSB)は本日、金融当局や金融機関、サードパーティリスク管理・監督のためのツールキットを公表した。
The toolkit has been developed against a backdrop of digitalisation of the financial services sector and growing reliance of financial institutions on third-party service providers for a range of services, some of which support their critical operations. These dependencies can bring many benefits to financial institutions including flexibility, innovation and improved operational resilience. However, if not properly managed, disruption to critical services or service providers could pose risks to financial institutions and, in some cases, financial stability. このツールキットは、金融サービスセクターのデジタル化と、金融機関がサードパーティ・サービス・プロバイダーへの依存度を高めていることを背景に開発された。こうした依存関係は、柔軟性、革新性、業務レジリエンスの改善など、金融機関に多くのメリットをもたらす。しかし、マネージド・サービス・プロバイダーが適切に管理されない場合、重要なサービスやプロバイダが中断することで、金融機関や、場合によっては金融の安定性にリスクをもたらす可能性がある。
The primary emphasis of the toolkit is on critical services given the potential impact of their disruption on financial institutions’ critical operations and financial stability. In light of changing industry practices and recent regulatory and supervisory approaches to operational resilience, the toolkit takes a holistic view of third-party risk management, which is wider than the historical focus on outsourcing. The principle of proportionality is applicable throughout the toolkit, allowing the tools to be adapted to smaller, less complex institutions or to intra-group third-party service relationships. 本ツールキットの主眼は、クリティカル・サービスの中断が金融機関の重要な業務や金融の安定に及ぼしうる影響を考慮し、クリティカル・サービスに置いている。業界の慣行の変化や、オペレーショナル・レジリエンスに対する最近の規制・監督当局のアプローチに鑑み、本ツールキットはサードパーティリスク管理を総合的に捉えており、アウトソーシングに焦点を当てたこれまでの慣行よりも広範なものとなっている。比例性の原則はツールキット全体に適用され、小規模で複雑でない機構やグループ内のサードパーティ・サービス関係にもツールを適応できるようになっている。
The toolkit aims to: ツールキットの目的は以下の通りである:
・reduce fragmentation in regulatory and supervisory approaches to financial institutions’ third-party risk management across jurisdictions and different areas of the financial services sector; ・金融機関のサードパーティリスク管理に対する規制・監督のアプローチが、法域や金融サービスセクターのさまざまな分野で分断されていることを解消する;
・strengthen financial institutions’ ability to manage third-party risks and financial authorities’ ability to monitor and strengthen the resilience of the financial system; and ・金融機関のサードパーティリスク管理能力を強化し、金融当局の金融システムのレジリエンスを監視・強化する能力を強化する。
・facilitate coordination among relevant stakeholders (i.e. financial authorities, financial institutions and third-party service providers). ・関連する利害関係者(金融当局、金融機関、サードパーティ・サービス・プロバイダ等)間 の協調を促進する。
The FSB is inviting comments on this consultative document. Responses should be sent to fsb@fsb.org by 22 August 2023 with the subject line “Third-Party Risk Management and Oversight”. Responses will be published on the FSB’s website unless respondents expressly request otherwise. FSBはこの諮問文書に対するコメントを募集している。回答は2023年8月22日までに、件名を「サードパーティリスク管理および監督」として、fsb@fsb.org まで。対応は、回答者が別段の要請をしない限り、FSBのウェブサイトで公表される。
Notes to editors 編集後記
IIn November 2020, the FSB undertook a public consultation on a discussion paper on regulatory and supervisory issues relating to outsourcing and third-party relationships, which identified a number of issues and challenges. For instance, financial institutions have to ensure that their contractual agreements with third parties grant to them, as well as to supervisory and resolution authorities, appropriate rights to access, audit and obtain information from third parties. The discussion paper noted a common concern about the possibility of systemic risk arising from concentration in the provision of some outsourced and third-party services to financial institutions. These risks may become higher as the number of financial institutions receiving critical services from a given third party increases. Where there is no appropriate mitigant in place, a major disruption, outage or failure at one of these third parties could create a single point of failure with potential adverse consequences for financial stability and/or the safety and soundness of multiple financial institutions. FSBは2020年11月、アウトソーシングとサードパーティ関係に関する規制・監督上の問題に関するディスカッション・ペーパーに関する公開協議を実施し、多くの問題や課題を指摘した。例えば、金融機関はサードパーティとの契約において、監督当局や破綻処理当局と同様に、サードパーティへのアクセス、監査、サードパーティからの情報入手に関する適切な権利を金融機関に付与していることを確認しなければならない。ディスカッション・ペーパーでは、金融機関へのアウトソーシング・サービスやサードパーティ・サービスの提供の集中から生じるシステミック・リスクの可能性についての共通の懸念が指摘されている。こうしたリスクは、あるサードパーティから重要なサービスを受けている金融機関の数が増えれば増えるほど、高くなる可能性がある。適切な低減策が講じられていない場合、これらのサードパーティの1つで大規模な混乱、停止、または障害が発生すれば、金融の安定および/または複数の金融機関の安全性と健全性に潜在的な悪影響を及ぼす単一障害点が生じる可能性がある。
The FSB published an overview of responses to the public consultation in June 2021. Based on feedback to the discussion paper, in September 2021 the FSB’s Standing Committee on Supervisory and Regulatory Cooperation decided to develop a toolkit for financial regulatory and supervisory authorities focused on their oversight of financial institutions’ reliance on critical service providers, including common terms and definitions on third-party risk management. FSBは、2021年6月にパブリックコンサルテーションへの回答の概要を公表した。ディスカッション・ペーパーへのフィードバックに基づき、2021年9月、FSBの監督・規制協力に関する常設委員会は、サードパーティリスク管理に関する共通の用語や定義を含む、金融機関の重要なサービスプロバイダーへの依存に対する監督に焦点を当てた、金融規制・監督当局のためのツールキットを開発することを決定した。

 

コンサルテーション(意見募集)...

・2023.06.22 Enhancing Third-Party Risk Management and Oversight: A toolkit for financial institutions and financial authorities - Consultative document

Enhancing Third-Party Risk Management and Oversight: A toolkit for financial institutions and financial authorities - Consultative document サードパーティリスク管理と監督を強化する: 金融機関および金融当局のためのツールキット-諮問文書
Financial institutions rely on third-party service providers for a range of services, some of which support their critical operations. 金融機関は様々なサービスをサードパーティ・サービス・プロバイダに依存しており、その一部は重要な業務を支えている。
These third-party dependencies have grown in recent years as part of the digitalisation of the financial services sector and can bring multiple benefits to financial institutions including flexibility, innovation and improved operational resilience. However, if not properly managed, disruption to critical services or service providers could pose risks to financial institutions and, in some cases, financial stability. こうしたサードパーティへの依存は、金融サービス部門のデジタル化の一環として近年拡大しており、柔軟性、イノベーション、業務レジリエンスの向上など、金融機関に複数のメリットをもたらす可能性がある。しかし、マネージド・サービス・プロバイダーが適切に管理されない場合、重要なサービスやプロバイダが中断することで、金融機関や、場合によっては金融の安定性にリスクをもたらす可能性がある。
In response to concerns over the risks related to outsourcing and third-party service relationships, the FSB has developed a toolkit for financial authorities and financial institutions as well as service providers for their third-party risk management and oversight. The toolkit aims to: アウトソーシングやサードパーティ・サービス関係に関連するリスクに対する懸念に応えるため、FSBは金融当局や金融機関、サービス・プロバイダがサードパーティのリスク管理や監視を行うためのツールキットを作成した。ツールキットの目的は以下の通りである:
i. reduce fragmentation in regulatory and supervisory approaches to financial institutions’ third-party risk management across jurisdictions and different areas of the financial services sector; 1. 金融機関のサードパーティリスク管理に対する規制・監督アプローチが、法域や金融サービスセクターの様々な分野で分断されていることを解消する;
ii. strengthen financial institutions’ ability to manage third-party risks and financial authorities’ ability to monitor and strengthen the resilience of the financial system; and 2. 金融機関のサードパーティリスク管理能力と、金融当局の金融システムのレジリエンス を監視・強化する能力を強化する。
fiii. acilitate coordination among relevant stakeholders (i.e. financial authorities, financial institutions and third-party service providers). 3. 関連する利害関係者(金融当局、金融機関、サードパーティ・サービス・プロバイダ)間の調整を促進する。
This should help mitigate compliance costs for both financial institutions and third-party service providers. これは、金融機関とサードパーティ・サービス・プロバイダーの双方にとって、コンプライアンス・コストの軽減に役立つはずである。
The toolkit, which looks holistically on third-party risk management, comprises: このツールキットは、サードパーティリスク管理を総合的に検討するもので、以下の内容で構成されている:
・a list of common terms and definitions to improve clarity and consistency across financial institutions and to improve communication among relevant stakeholders ・金融機関全体の明確性と一貫性を改善し、関係者間のコミュニケーションを向上させるための共通用語と定義のリスト
・tools to help financial institutions identify critical services and manage potential risks throughout the lifecycle of a third-party service relationship ・金融機関がサードパーティ・サービス関係のライフサイクルを通じて、重要なサービスを特定し、潜在的なリスクを管理するためのツール。
・tools for supervising how financial institutions manage third-party risks, and for identifying, monitoring and managing systemic third-party dependencies and potential systemic risks ・金融機関がサードパーティリスクをどのように管理しているかを監督し、サードパーティのシステミックな依存関係や潜在的なシステミックリスクを特定、モニタリング、管理するためのツール。

 

・[PDF]

20230712-63819

 

目次...

Questions for consultation コンサルテーションのための質問
Executive summary エグゼクティブサマリー
Introduction 序文
1. Common terms and definitions 1. 共通の用語と定義
2. Scope and general approaches 2. 適用範囲と一般的アプローチ
2.1. Focus on critical services 2.1. 重要なサービスに焦点を当てる
2.2. Holistic focus on third-party risk management 2.2. サードパーティリスク管理への全体的なフォーカス
2.3. Regulatory interoperability across jurisdictions and sectors 2.3. 法域やセクターを超えた規制の相互運用性
2.4. Proportionality 2.4. 比例性
3. Financial institutions’ third-party risk management 3. 金融機関のサードパーティリスク管理
3.1. Identification of critical services and assessment of criticality 3.1. 重要なサービスの特定と重要性の評価
3.2. Onboarding and ongoing monitoring of service providers 3.2. サービスプロバイダーのオンボーディングと継続的モニタリング
3.3. Incident reporting to financial institutions 3.3. 金融機関へのインシデント報告
3.4. Financial institutions’ registers of third-party service relationships 3.4. 金融機関のサードパーティ・サービス関係登録簿
3.5. Management of risks from service providers’ supply chains 3.5. サプライチェーン・プロバイダーのリスク管理
3.6. Business continuity 3.6. 事業継続性
3.7. Exit strategies 3.7. 撤退戦略
3.8. Management of concentration-related risks by individual financial institutions 3.8. 個々の金融機関による集中関連リスクのマネジメント
4. Financial authorities’ oversight of third-party risks 4. 金融当局によるサードパーティリスクの監督
4.1. Financial authorities’ supervision of financial institutions’ third-party risk management 4.1. 金融機関のサードパーティリスク管理に対する金融当局の監督
4.2. Incident reporting to financial authorities  4.2. 金融当局へのインシデント報告 
4.3. Financial authorities’ identification, monitoring and management of systemic third-party dependencies and potential systemic risks . 4.3. 金融当局による、システミックなサードパーティ依存及び潜在的なシステミックリスクの特定、モニ タリング及びマネジメント 4.4.
4.4. Cross-border supervisory cooperation and information sharing 4.4. 国境を越えた監督上の協力と情報共有
Annex 1: Relevant Developments at the Standard Setting Bodies 附属書1:標準設定団体における関連する動き
Annex 2: Regimes pursuing supervision of certain critical third-party services and/or service providers 附属書2:特定の重要なサードパーティ・サービスおよび/またはサービス・プロバイダの監督を追求する制度
Abbreviations 略語

 

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー
Financial institutions rely on third-party service providers for a range of services, some of which support their critical operations. These dependencies have grown in recent years as part of the digitalisation of the financial services sector and can bring multiple benefits to financial institutions including flexibility, innovation and improved operational resilience. However, if not properly managed, disruption to critical services or service providers could pose risks to financial institutions and, in some cases, financial stability.  金融機関は様々なサービスにおいてサードパーティ・サービス・プロバイダに依存しており、 その一部は重要な業務を支えている。こうした依存関係は、金融サービスセクターのデジタル化の一環として近年拡大しており、柔軟性、イノベーション、業務レジリエンスの向上など、金融機関に複数のメリットをもたらす可能性がある。しかし、適切にマネージド・サービス・プロバイダーが管理されなければ、重要なサービスやプロバイダが中断することで、金融機関や、場合によっては金融の安定性にリスクをもたらす可能性がある。
The FSB has developed a toolkit for financial authorities and financial institutions as well as service providers for their third-party risk management and oversight. The toolkit also aims to reduce fragmentation in regulatory and supervisory approaches across jurisdictions and different areas of the financial services sector, thereby helping mitigate compliance costs for both financial institutions and third-party service providers, and facilitate coordination among relevant stakeholders.  FSBは、金融当局や金融機関、サービス・プロバイダがサードパーティリスクを管理・監督するためのツールキットを開発した。本ツールキットはまた、金融サービスセクターの管轄区域や異なる分野間での規制・監督アプローチの分断を減らし、それにより金融機関とサードパーティ・サービス・プロバイダ双方のコンプライアンス・コストを軽減し、関連する利害関係者間の調整を促進することを目的としている。
The toolkit comprises 4 main chapters. Chapter 1 presents a list of common terms and definitions as a foundation. While complete harmonisation of terms is not always possible or desirable, a common understanding of terms and definitions can help improve clarity and consistency, assisting and enhancing communication among stakeholders under interoperable approaches.  ツールキットは4つの主要な章から構成されている。第1章では、基礎となる共通の用語と定義のリストを示している。用語の完全な調和が常に可能であるわけでも、望ましいわけでもないが、用語と定義の共通理解は、相互運用可能なアプローチの下で、明確性と一貫性を改善し、利害関係者間のコミュニケーションを支援・強化するのに役立つ。
Chapter 2 summarises the toolkit’s approach. In particular, the primary emphasis is on critical services given the potential impact of their disruption on financial institutions’ critical operations and financial stability. It also looks holistically on third-party risk management, which is wider than a historical narrower focus on outsourcing, in light of changing industry practices and recent regulatory and supervisory approaches to operational resilience. Similar to the terms and definitions, the toolkit aims to promote interoperability of regulatory and supervisory approaches, short of full homogeneity. Finally, the principle of proportionality is applicable throughout the toolkit, which allows the tools to be adapted to smaller, less complex institutions or intra-group third-party service relationships.  第2章では、ツールキットのアプローチを要約する。特に、クリティカル・サービスの中断が金融機関の重要な業務や金融の安定に与えうる影響を考慮し、クリティカル・サービスに主眼を置いている。また、業界の慣行の変化や、オペレーショナル・レジリエンスに対する最近の規制・監督当局のアプローチに鑑み、アウトソーシングに焦点を絞った従来の狭い範囲にとどまらず、サードパーティリスク管理を総合的に捉えている。用語や定義と同様、ツールキットは、完全な同質性には至らないものの、規制・監督アプローチの相互運用性を促進することを目的としている。最後に、比例性の原則はツールキット全体に適用され、小規模で複雑でない機構やグループ内のサードパーティ・サービス関係にもツールを適応できるようにしている。
Chapter 3 sets out tools to help financial institutions identify critical services and manage potential risks throughout the lifecycle of a third-party service relationship. These tools seek to help financial institutions to:  第3章は、金融機関がサードパーティ・サービス関係のライフサイクルを通じて、重要なサービ スを特定し、潜在的なリスクを管理するのに役立つツールを示している。これらのツールは、金融機関が以下のことを行えるよう支援するものである: 
■ Identify critical services consistently yet flexibly;  ・重要なサービスを一貫して、かつ柔軟に識別する; 
■ Conduct due diligence, contracting and ongoing monitoring of critical services and service providers;  ・重要なサービスとプロバイダのデューデリジェンス、契約、継続的なモニタリングを行う; 
■ Be informed of incidents affecting critical services in a timely way;  ・重要なサービスに影響するインシデントが発生した場合、タイムリーに報告する; 
■ Have consistent mapping of financial institutions’ third-party service relationships;  ・金融機関のサードパーティ・サービス関係を一貫してマッピングする; 
■ Manage risks relating to their third-party service providers’ use of service supply chain;  ・サードパーティ・サービス・プロバイダーがサービス・サプライ・チェーンを利用することに関するリスクを管理する; 
■ Implement and test business continuity plans and coordinate with their third-party service providers for their business continuity;  ・事業継続計画を実施・テストし、事業継続のためにサードパーティ・サービス・プロバイダと調整する; 
■ Develop effective exit strategies; and  ・効果的な撤退戦略を策定する。
■ Strengthen the identification and management of service provider concentration, and concentration-related risks.  ・プロバイダの集中及び集中関連リスクの識別と管理を強化する。
Chapter 4 sets out financial authorities’ current and developing approaches and tools for supervising how financial institutions manage third-party risks, and for identifying, monitoring and managing systemic third-party dependencies and potential systemic risks. In some jurisdictions or regions, financial authorities have or are in the process of acquiring regulatory powers to formally designate certain service providers as critical for the financial system and oversee these service providers and their services to financial institutions. However, this is not the case in other jurisdictions. Accordingly, the tools in this toolkit are versatile and can be adopted through either voluntary collaboration between financial authorities, financial institutions and relevant service providers, requirements or expectations on financial institutions, or direct requirements or expectations on service providers.  第4章では、金融機関がサードパーティリスクをどのように管理しているか、また、システミックなサードパーティの依存関係や潜在的なシステミック・リスクを特定し、モニタリングし、管理するための、金融当局の現在及び開発中のアプローチやツールについて述べている。法域や地域によっては、金融当局が、特定のプロバイダを金融システムにとって重要な存在とし て正式に指定し、これらのプロバイダとその金融機関へのサービスを監督する規制権限を有して いるか、あるいはその過程にある。しかし、他の法域ではそうではない。したがって、本ツールキットのツールは汎用性があり、金融当局、金融機関、関連サー ビスプロバイダー間の自主的な協働、金融機関に対する要求事項や期待事項、あるいはサービ スプロバイダーに対する直接的な要求事項や期待事項のいずれによっても採用可能である。
Among other areas, the tools cover:  とりわけ、本ツールは以下の分野をカバーしている: 
■ Incident reporting to financial authorities, including the possibility of enhancing the existing cyber reporting framework to include reporting by service providers where an incident could give rise to potential risks to financial stability;  ・金融当局へのインシデント報告(インシデントが金融の安定性に対する潜在的なリスクを生じさせる可能性がある場合、サービス・プロバイダによる報告を含めるために、既存のサイバー報告枠組みを強化する可能性を含む; 
■ Non-exhaustive criteria to help financial authorities identify systemic third-party dependencies and assess potential systemic risks; and  ・金融当局がシステミックなサードパーティ依存関係を特定し、潜在的なシステミック・リスクを評価するのに役立つ非網羅的な基準。
■ Tools to identify and manage potential systemic risks, including but not limited to sectorwide exercises and incident response coordination frameworks.  ・潜在的なシステミック・リスクを特定し、マネジメントするためのツール(セクター全体の演習やインシデント対応の調整枠組みを含むが、これに限定されない)。
Finally, the importance of cross-border supervisory cooperation and information sharing is underscored. For this objective, the chapter sets out certain ways to explore greater convergence of regulatory and supervisory frameworks around systemic third-party dependencies, options for greater cross-border information-sharing, and cross-border resilience testing and exercises. 最後に、国境を越えた監督当局間の協力と情報共有の重要性が強調されている。この目的のため、本章では、システミックなサードパーティ依存関係をめぐる規制・監督の枠組みの収束を促進するための一定の方法、クロスボーダーでの情報共有を促進するための選択肢、クロスボーダーでのレジリエンス・テストと演習を提示している。

 

特にききたいところ18選???

Questions for consultation  コンサルテーションのための質問事項 
Chapter 1  第1章 
1. Are the definitions in the consultative document sufficiently clear and easily understood? Are there any important terms and definitions that should be included or amended?  1. 市中協議文書における定義は十分に明確であり、容易に理解できるか。記載または修正すべき重要な用語や定義はあるか。
Chapter 2  第2章 
2. Are the scope and general approaches of the toolkit appropriate?  2. ツールキットの範囲と一般的なアプローチは適切か?
3. Is the toolkit’s focus on regulatory interoperability appropriate? Are there existing or potential issues of regulatory fragmentation that should be particularly addressed?  3. ツールキットが規制の相互運用性に焦点を当てていることは適切か。特に取り組むべき規制の分断に関する既存または潜在的な問題はあるか。
4. Is the discussion on proportionality clear?  4. 比例性に関する議論は明確か。
Chapter 3  第3章 
5. Is the focus on critical services and critical service providers appropriate and useful? Does the toolkit provide sufficient tools for financial institutions to identify critical services? Do these tools rightly balance consistency and flexibility?  5. クリティカル・サービス及びクリティカル・サービス・プロバイダへの焦点化は適切で有用か。ツールキットは、金融機関が重要なサービスを識別するための十分なツールを提供しているか。これらのツールは一貫性と柔軟性のバランスを正しくとっているか。
6. Are there any tools that financial institutions could use in their onboarding and ongoing monitoring of service providers that have not been considered? Are there specific examples of useful practices that should be included in the toolkit?  6. 金融機関がサービスプロバイダのオンボーディング及び継続的なモニタリングで使用できるツールで、考慮されていないものはあるか?ツールキットに含まれるべき有用なプラクティスの具体例はあるか?
7. What are the potential merits, challenges and practical feasibility of greater harmonisation of the data in financial institutions’ registers of third-party service relationships?  7. 金融機関のサードパーティ・サービス関係登録簿のデータをより調和させることの潜在的なメリット、課題、現実的な実現可能性は何か?
8. Are the tools appropriate and proportionate to manage supply chain risks? Are there any other actionable, effective and proportionate tools based on best practices that financial institutions could leverage? Are there any other challenges not identified in the toolkit?  8. サプライチェーンマネジメントツールは、サプライチェーンリスクマネジメントに適切か。金融機関が活用できるベストプラクティスに基づく、実行可能で、効果的で、適切なツールは他にあるか?ツールキットで識別されていない他の課題はあるか?
9. What do effective business continuity plans for critical services look like? Are there any best practices in the development and testing of these plans that could be included as tools? Are there any additional challenges or barriers not covered in the toolkit?  9. 重要なサービスのための効果的な事業継続計画とはどのようなものか?これらの計画の策定とテストにおいて、ツールに含めることのできるベストプラクティスはあるか?ツールキットでカバーされていない課題や障壁はあるか?
10. How can financial institutions effectively identify and manage concentration and related risks at the individual institution level? Are there any additional tools or effective practices that the toolkit could consider?  10. 金融機関は、集中リスク及び関連リスクを個々の機関レベルでどのように効果的に識別・管理できるか?ツールキットが検討しうる追加的なツールや効果的なプラクティスはあるか。
11. Are there practical issues with financial institutions’ third-party risk management that have not been fully considered?  11. 金融機関のサードパーティリスク管理について、十分に検討されていない実務上の問題はあるか。
Chapter 4  第4章 
12. Is the concept of “systemic third-party dependencies” readily understood? Is the scope of this term appropriate or should it be amended?  12. 「システミック・サードパーティ依存」という概念は容易に理解できるか。この用語の範囲は適切か、あるいは修正すべきか。
13. How can proportionality be achieved with financial authorities’ identification of systemic thirdparty dependencies?  13. 金融当局によるシステミックな第三者依存の特定と比例性はどのように達成できるか。
14. Are there any thoughts on financial authorities’ identification/designation of service providers as critical from a financial stability perspective?  14. 金融当局が金融安定性の観点から重要なプロバイダを特定/指定することについて、 何か考えはあるか。
15. Should direct reporting of incidents by third-party service providers within systemic third-party dependencies to financial authorities be considered? If so, what potential forms could this reporting take?  15. システミック・サードパーティ依存関係の中で、サードパーティ・サービス・プロバイダ によるインシデントを金融当局に直接報告することを検討すべきか。もしそうであれば、この報告にはどのような形態が考えられるか。
16. What are the challenges and barriers to effective cross-border cooperation and information sharing among financial authorities? How do these challenges impact financial institutions or service providers?  16. 金融当局間の効果的な国境を越えた協力及び情報共有の課題や障壁は何か?これらの課題は金融機関やサービス・プロバイダにどのような影響を与えるか?
17. Are there any views on (i) cross border information sharing among financial authorities on the areas covered in this toolkit (ii) including [certain third-party service providers] in cross-border resilience testing and exercises, including participation in pooled audits and?  17. (i)本ツールキットでカバーされている分野に関する金融当局間の国境を越えた情報 共有 (ii)プールされた監査への参加を含む、国境を越えたレジリエンス・テスト及び演習に [特定のサードパーティ・サービス・プロバイダ]を含めることについて、何か意見はあるか?
18. Are there specific forms of cross-border cooperation that financial authorities should consider to address the challenges faced by financial institutions or service providers? 18. 金融機関又はサービス・プロバイダが直面する課題に対処するために、金融当局が検 討すべきクロスボーダー協力の具体的な形態はあるか?

 

ちなみに、提案されている「Systemic third-party dependency」の説明は次のとおり...

Systemic third-party dependency: A dependency on one or more services provided by a service provider to financial institutions where their disruption or failure has been identified by a relevant financial authority as having potential implications for financial stability.  システミック・サードパーティ依存:サービス・プロバイダが金融機関に提供する1つ以上のサービスに対する依存状態であって、そのサービスの中断または破綻が金融の安定に潜在的な影響を及ぼすとして、関連する金融当局によって特定されているもの。

 

 

| | Comments (0)

2023.07.11

欧州委員会 安全で信頼できるEUと米国のデータフローに関する新たな十分性認定を採択

こんにちは、丸山満彦です。

欧州委員会が、EU米国間のデータ越境移転に関する新たな枠組み (Privacy Shield 2.0?) を採択しましたね。。。いろいろと調整をしていたみたいですが、どうなりますかね。。。

 

European Commission

・2023.07.10 Data Protection: European Commission adopts new adequacy decision for safe and trusted EU-US data flows

 

Data Protection: European Commission adopts new adequacy decision for safe and trusted EU-US data flows データ保護: 欧州委員会、安全で信頼できるEUと米国のデータフローに関する新たな十分性認定を採択
Today, the European Commission adopted its adequacy decision for the EU-U.S. Data Privacy Framework. The decision concludes that the United States ensures an adequate level of protection – comparable to that of the European Union – for personal data transferred from the EU to US companies under the new framework. On the basis of the new adequacy decision, personal data can flow safely from the EU to US companies participating in the Framework, without having to put in place additional data protection safeguards. 本日、欧州委員会は、EU-米国間のデータ・プライバシー枠組みに関する十分性認定を採択した。同決定は、新たな枠組みの下で、米国がEUから米国企業へ移転される個人データについて、欧州連合(EU)と同等の適切なレベルの保護を確保しているとの結論を下すものである。新たな十分性認定に基づき、個人データはEUから同枠組みに参加する米国企業へ、追加のデータ保護措置を講じることなく安全に移転することができる。
The EU-U.S. Data Privacy Framework introduces new binding safeguards to address all the concerns raised by the European Court of Justice, including limiting access to EU data by US intelligence services to what is necessary and proportionate, and establishing a Data Protection Review Court (DPRC), to which EU individuals will have access. The new framework introduces significant improvements compared to the mechanism that existed under the Privacy Shield. For example, if the DPRC finds that data was collected in violation of the new safeguards, it will be able to order the deletion of the data. The new safeguards in the area of government access to data will complement the obligations that US companies importing data from EU will have to subscribe to. EU-米国データ・プライバシー枠組みは、欧州司法裁判所が提起したすべての懸念に対処するため、新たな拘束力のあるセーフガードを導入している。これには、米国の諜報機関によるEUデータへのアクセスを必要かつ適切なものに制限することや、EUの個人がアクセスできるデータ保護審査裁判所(DPRC)の設置などが含まれる。この新しい枠組みは、プライバシー・シールドの下で存在していたメカニズムと比較して、大幅な改善を導入している。例えば、DPRCは、データが新しいセーフガードに違反して収集されたと判断した場合、データの削除を命じることができる。政府によるデータへのアクセスの分野における新たなセーフガードは、EUからデータを輸入する米国企業が加入しなければならない義務を補完するものである。
President Ursula von der Leyen said: “The new EU-U.S. Data Privacy Framework will ensure safe data flows for Europeans and bring legal certainty to companies on both sides of the Atlantic. Following the agreement in principle I reached with President Biden last year, the US has implemented unprecedented commitments to establish the new framework. Today we take an important step to provide trust to citizens that their data is safe, to deepen our economic ties between the EU and the US, and at the same time to reaffirm our shared values. It shows that by working together, we can address the most complex issues.” ウルスラ・フォン・デア・ライエン大統領は次のように述べた: 「新しいEU-米国データ・プライバシー枠組みは、欧州の人々の安全なデータフローを保証し、大西洋の両岸の企業に法的確実性をもたらすだろう。 昨年のバイデン大統領との基本合意を受けて、米国は新たな枠組みを確立するために前例のない約束を実行に移した。 今日、我々は、市民のデータの安全性に対する信頼を提供し、EUと米国の経済的結びつきを深め、同時に我々の共通の価値観を再確認するための重要な一歩を踏み出した。これは、我々が協力することで、最も複雑な問題にも対処できることを示している」。
US companies will be able to join the EU-U.S. Data Privacy Framework by committing to comply with a detailed set of privacy obligations, for instance the requirement to delete personal data when it is no longer necessary for the purpose for which it was collected, and to ensure continuity of protection when personal data is shared with third parties. 米国企業は、例えば、個人データが収集された目的に必要でなくなった場合には削除する義務や、個人データが第三者と共有される場合には保護の継続性を確保する義務など、プライバシーに関する詳細な義務を遵守することを約束することで、EU-米国データ・プライバシー枠組みに参加することができる。
EU individuals will benefit from several redress avenues in case their data is wrongly handled by US companies. This includes free of charge independent dispute resolution mechanisms and an arbitration panel. EUの個人は、自分のデータが米国企業によって不当に取り扱われた場合、いくつかの救済手段から恩恵を受けることになる。これには、無料の独立した紛争解決メカニズムや仲裁パネルが含まれる。
In addition, the US legal framework provides for a number of safeguards regarding the access to data transferred under the framework by US public authorities, in particular for criminal law enforcement and national security purposes. Access to data  is limited to what is necessary and proportionate to protect national security. さらに、米国の法的枠組みは、特に刑事法執行や国家セキュリティの目的のために、米国の公的機関がこの枠組みの下で移転されたデータにアクセスすることに関して、多くのセーフガードを定めている。データへのアクセスは、国家安全保障を守るために必要かつ適切なものに限定される。
EU individuals will have access to an independent and impartial redress mechanism regarding the collection and use of their data by US intelligence agencies, which includes a newly created Data Protection Review Court (DPRC). The Court will independently investigate and resolve complaints, including by adopting binding remedial measures. EUの個人は、米国の情報機関によるデータの収集と使用に関して、独立した公平な救済メカニズムにアクセスできる。同裁判所は、拘束力のある是正措置の採択を含め、苦情を独自に調査・解決する。
The safeguards put in place by the US will also facilitate transatlantic data flows more generally, since they also apply when data is transferred by using other tools, such as standard contractual clauses and binding corporate rules. 米国が導入したセーフガードは、標準契約条項や拘束力のある企業規則など、他の手段を用いてデータを移転する場合にも適用されるため、大西洋を越えたデータの流れをより一般的に促進することにもなる。
Next steps 次のステップ
The functioning of the EU-U.S. Data Privacy Framework will be subject to periodic reviews, to be carried out by the European Commission, together with representatives of European data protection authorities and competent US authorities. EU-米国データ・プライバシー枠組の機能は、欧州委員会が欧州のデータ保護当局および米国の所轄当局の代表者とともに実施する定期的な見直しの対象となる。
The first review will take place within a year of the entry into force of the adequacy decision, in order to verify that all relevant elements have been fully implemented in the US legal framework and are functioning effectively in practice. 最初の見直しは、十分性認定の発効から1年以内に行われ、すべての関連要素が米国の法的枠組みに完全に導入され、実際に効果的に機能していることを確認する。
Background 背景
Article 45(3) of the General Data Protection Regulation (GDPR) grants the Commission the power to decide, by means of an implementing act, that a non-EU country ensures ‘an adequate level of protection' - a level of protection for personal data that is essentially equivalent to the level of protection within the EU. The effect of adequacy decisions is that personal data can flow freely from the EU (and Norway, Liechtenstein and Iceland) to a third country without further obstacles. 一般データ保護規則(GDPR)第45条3項は、欧州委員会に対し、EU域外の国が「十分な保護水準」(EU域内の保護水準と実質的に同等の個人データ保護水準)を確保していることを、実施法によって決定する権限を与えている。十分性認定の効果は、個人データがEU(およびノルウェー、リヒテンシュタイン、アイスランド)から第三国へ、さらなる障害なしに自由に流れることができるということである。
After the invalidation of the previous adequacy decision on the EU-U.S. Privacy Shield by the Court of Justice of the EU, the European Commission and the US government entered into discussions on a new framework that addressed the issues raised by the Court. EU司法裁判所がEUと米国のプライバシー・シールドに関する前回の十分性認定決定を無効とした後、欧州委員会と米国政府は、同裁判所が提起した問題に対処する新たな枠組みについて協議に入った。
In March 2022, President von der Leyen and President Biden announced that they had reached an agreement in principle on a new transatlantic data flows framework, following negotiations between Commissioner Reynders and US Secretary Raimondo. In October 2022, President Biden signed an Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities', which was complemented by regulations issued by US Attorney General Garland. Together, these two instruments implemented the US commitments reached under the agreement in principle into US law, and complemented the obligations for US companies under the EU-U.S. Data Privacy Framework. 2022年3月、フォン・デル・ライエン欧州委員長とバイデン大統領は、レインダース委員とライモンド米国務長官との交渉の結果、大西洋を越えた新たなデータの流れの枠組みについて基本合意に達したと発表した。2022年10月、バイデン大統領は「米国の情報機関活動に対するセーフガードの強化」に関する大統領令に署名した。これら2つの文書により、基本合意に基づく米国のコミットメントが米国法に導入され、EU-米国データ・プライバシー枠組みにおける米国企業の義務が補完された。
An essential element of the US legal framework enshrining these safeguards is the US Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities', which addresses the concerns raised by the Court of Justice of the European Union in its Schrems II decision of July 2020. これらのセーフガードを明記する米国の法的枠組みの重要な要素は、「米国における情報機関活動に対するセーフガードの強化」に関する大統領令であり、これは2020年7月のシュレムスII号判決で欧州連合司法裁判所が提起した懸念に対処するものである。
The Framework is administered and monitored by the US Department of Commerce. The US Federal Trade Commission will enforce US companies' compliance. この枠組みは米国商務省によって管理・監視される。米国連邦取引委員会は米国企業の遵守を強制する。
For More Information 詳細情報
Adequacy decision on the EU-US Data Privacy Framework EU-米国データ・プライバシー枠組みに関する十分性認定決定
Questions and Answers : EU – US Data Privacy Framework 質問と回答:EU-米国データ・プライバシー枠組み
Factsheet – Transatlantic Data Privacy Framework ファクトシート - 大西洋間のデータ・プライバシー枠組み
EU-US data transfers (europa.eu) EU-米国間のデータ移転(europa.eu)
International dimension of data protection (europa.eu) データ保護の国際的次元 (europa.eu)
Adequacy decisions (europa.eu) 十分性認定(europa.eu)
Joint Statement on Trans-Atlantic Data Privacy Framework (europa.eu) 大西洋横断データ・プライバシー枠組みに関する共同声明(europa.eu)

 

・2023.07.10 Adequacy decision on the EU-US Data Privacy Framework

20230711-62501

・[DOCX] 仮訳

 

 

・2023.07.10 Questions and Answers : EU – US Data Privacy Framework

Questions & Answers: EU-US Data Privacy Framework 質問と回答 EUと米国のデータ・プライバシー枠組み
On 10 July, the European Commission adopted its adequacy decision for the EU-U.S. Data Privacy Framework. The adequacy decision concludes that the United States ensures an adequate level of protection – compared to that of the EU - for personal data transferred from the EU to US companies participating in the EU-U.S. Data Privacy Framework. 欧州委員会は7月10日、EUと米国のデータ・プライバシー枠組みに関する十分性認定を採択した。十分性認定は、EUからEU-米国データ・プライバシー枠組みに参加している米国企業に移転される個人データについて、米国がEUと比較して十分なレベルの保護を確保していると結論付けるものである。
The adequacy decision follows the US' signature of an Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities', which introduced new binding safeguards to address the points raised by Court of Justice of the European Union in its Schrems II decision of July 2020. Notably, the new obligations were geared to ensure that data can be accessed by US intelligence agencies only to the extent of what is necessary and proportionate, and to establish an independent and impartial redress mechanism to handle and resolve complaints from Europeans concerning the collection of their data for national security purposes. この十分性認定は、米国が「米国におけるシグナルインテリジェンス活動のためのセーフガードの強化」に関する大統領令に署名したことを受けたもので、2020年7月のシュレムスII号判決で欧州連合司法裁判所が指摘した点に対処するため、新たな拘束力のあるセーフガードを導入した。特筆すべきは、米国の情報機関が必要かつ適切な範囲でのみデータにアクセスできるようにすること、国家安全保障目的のデータ収集に関する欧州人からの苦情を処理・解決するための独立した公平な救済メカニズムを確立することが、新たな義務として盛り込まれたことである。
1. What is an adequacy decision? 1. 十分性認定とは何か?
An adequacy decision is one of the tools provided under the General Data Protection Regulation (GDPR) to transfer personal data from the EU to third countries which, in the assessment of the Commission, offer a comparable level of protection of personal data to that of the European Union. 十分性認定とは、一般データ保護規則(GDPR)の下で、欧州委員会の評価において欧州連合(EU)と同等の個人データ保護レベルを提供する第三国に、EUから個人データを移転するために提供される手段の一つである。
As a result of adequacy decisions, personal data can flow freely and safely from the European Economic Area (EEA), which includes the 27 EU Member States as well as Norway, Iceland and Liechtenstein, to a third country, without being subject to any further conditions or authorisations. In other words, transfers to the third country can be handled in the same way as intra-EU transmissions of data. 十分性認定の結果、個人データは、EU加盟27カ国およびノルウェー、アイスランド、リヒテンシュタインを含む欧州経済領域(EEA)から第三国へ、さらなる条件や認可を受けることなく、自由かつ安全に流れることができる。言い換えれば、第三国へのデータ移転は、EU域内のデータ移転と同様に扱うことができる。
The adequacy decision on the EU-U.S. Data Privacy Framework covers data transfers from any public or private entity in the EEA to US companies participating in the EU-U.S. Data Privacy Framework. EU-米国データ・プライバシー枠組に関する十分性認定決定は、EEA内のあらゆる公的・私的事業体からEU-米国データ・プライバシー枠組に参加している米国企業へのデータ移転を対象としている。
2. What are the criteria to assess adequacy? 2. 十分性の評価基準は何か?
Adequacy does not require the third country's data protection system to be identical to the one of the EU, but is based on the standard of ‘essential equivalence'. It involves a comprehensive assessment of a country's data protection framework, both of the protection applicable to personal data and of the available oversight and redress mechanisms. 十分性は、第三国のデータ保護制度がEUのそれと同一であることを要求するものではなく、「本質的同等性」の標準に基づいている。そのためには、個人データに適用される保護と、利用可能な監視および救済メカニズムの両方について、その国のデータ保護の枠組みを包括的に評価する必要がある。
The European data protection authorities have developed a list of elements that must be taken into account for this assessment, such as the existence of core data protection principles, individual rights, independent supervision and effective remedies. 欧州のデータ保護当局は、データ保護の基本原則の存在、個人の権利、独立した監督、効果的な救済措置など、この評価に考慮しなければならない要素のリストを作成した。
3. What is the EU-U.S. Data Privacy Framework? 3. EUと米国のデータ・プライバシー枠組みとは何か?
In its adequacy decision, the Commission has carefully assessed the requirements that follow from the EU-U.S. Data Privacy Framework, as well as the limitations and safeguards that apply when personal data transferred to the US would be accessed by US public authorities, in particular for criminal law enforcement and national security purposes. 十分性認定において、欧州委員会は、EU-米国データ・プライバシー枠組みから導かれる要件と、米国に移転された個人データが米国の公的機関、特に刑事法執行や国家セキュリティの目的でアクセスされる場合に適用される制限や保護措置について慎重に評価した。
On that basis, the adequacy decision concludes that the United States ensures an adequate level of protection for personal data transferred from the EU to companies participating in the EU-U.S. Data Privacy Framework. With the adoption of the adequacy decision, European entities are able to transfer personal data to participating companies in the United States, without having to put in place additional data protection safeguards. その上で、十分性認定は、米国はEUからEU-米国データ・プライバシー枠組み参加企業に移転される個人データについて、十分な保護レベルを確保していると結論付けている。十分性認定の採択により、欧州の事業体は、追加のデータ保護措置を講じることなく、米国の参加企業に個人データを移転することができる。
The Framework provides EU individuals whose data would be transferred to participating companies in the US with several new rights (e.g. to obtain access to their data, or obtain correction or deletion of incorrect or unlawfully handled data). In addition, it offers different redress avenues in case their data is wrongly handled, including before free of charge independent dispute resolution mechanisms and an arbitration panel. 同枠組みは、米国の参加企業にデータが移転されるEUの個人に対し、いくつかの新しい権利(データへのアクセス、不正確または違法に取り扱われたデータの訂正または削除を求める権利など)を提供する。さらに、万が一データが不当に取り扱われた場合には、独立した紛争解決メカニズムや仲裁委員会が無料で利用できるなど、さまざまな救済手段が提供される。
US companies can certify their participation in the EU-U.S. Data Privacy Framework by committing to comply with a detailed set of privacy obligations. This could include, for example, privacy principles such as purpose limitation, data minimisation and data retention, as well as specific obligations concerning data security and the sharing of data with third parties. 米国企業は、詳細なプライバシー保護義務を遵守することを約束することで、EU-米国データ・プライバシー枠組みへの参加を証明することができる。これには、例えば、目的の制限、データの最小化、データ保持などのプライバシー原則のほか、データセキュリティや第三者とのデータ共有に関する具体的な義務も含まれる。
The Framework will be administered by the US Department of Commerce, which will process applications for certification and monitor whether participating companies continue to meet the certification requirements. Compliance by US companies with their obligations under the EU-U.S. Data Privacy Framework will be enforced by the US Federal Trade Commission. フレームワークは米国商務省によって管理され、商務省は認証申請を処理し、参加企業が認証要件を継続的に満たしているかどうかを監視する。米国企業によるEU-米国データ・プライバシー枠組みにおける義務の遵守は、米国連邦取引委員会によって執行される。
4. What are the limitations and safeguards regarding access to data by United States intelligence agencies? 4. 米国の情報機関によるデータへのアクセスに関する制限と保護措置は何か。
An essential element of the US legal framework on which the adequacy decision is based concerns Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities', which was signed by President Biden on 7 October and is accompanied by regulations adopted by the Attorney General. These instruments were adopted to address the issues raised by the Court of Justice in its Schrems II judgment. 十分性認定の根拠となる米国の法的枠組みの重要な要素は、10月7日にバイデン大統領によって署名され、司法長官によって採択された規制を伴う「米国の情報活動に対するセーフガードの強化」に関する大統領令に関するものである。これらの文書は、シュレムス2世判決で司法裁判所が提起した問題に対処するために採択された。
For Europeans whose personal data is transferred to the US, the Executive Order provides for: 個人データが米国に移転される欧州の人々に対して、大統領令は以下を規定している:
Binding safeguards that limit access to data by US intelligence authorities to what is necessary and proportionate to protect national security; 米国の情報当局によるデータへのアクセスを、国家安全保障を守るために必要かつ適切なものに制限する拘束力のあるセーフガード;
Enhanced oversight of activities by US intelligence services to ensure compliance with limitations on surveillance activities; and 監視活動の制限の遵守を確実にするため、米国の情報機関による活動の監視を強化する。
The establishment of an independent and impartial redress mechanism, which includes a new Data Protection Review Court to investigate and resolve complaints regarding access to their data by US national security authorities. 米国の国家安全保障当局によるデータへのアクセスに関する苦情を調査・解決するための新しいデータ保護審査裁判所を含む、独立した公平な救済メカニズムの確立。
5. What is the new redress mechanism in the area of national security and how can individuals make use of it? 5. 国家安全保障分野における新たな救済メカニズムとは何か。
The US Government has established a new two-layer redress mechanism, with independent and binding authority, to handle and resolve complaints from any individual whose data has been transferred from the EEA to companies in the US about the collection and use of their data by US intelligence agencies. 米国政府は、EEAから米国内の企業にデータが移転された個人が、米国の情報機関によるデータの収集と使用について苦情を申し立てた場合、その苦情を処理し解決するために、独立した拘束力を持つ新しい2層の救済メカニズムを設立した。
For a complaint to be admissible, individuals do not need to demonstrate that their data was in fact collected by US intelligence agencies. Individuals can submit a complaint to their national data protection authority, which will ensure that the complaint will be properly transmitted and that any further information relating to the procedure —including on the outcome—is provided to the individual. This ensures that individuals can turn to an authority close to home, in their own language. Complaints will be transmitted to the United States by the European Data Protection Board. 苦情が認められるためには、個人のデータが実際に米国の情報機関によって収集されたことを証明する必要はない。個人は、自国のデータ保護当局に苦情を提出することができる。データ保護当局は、苦情が適切に伝達され、手続きに関する追加情報(結果を含む)が個人に提供されることを保証する。これにより、個人は母国に近い当局を、母国語で頼ることができる。苦情は欧州データ保護委員会から米国に送られる。
First, complaints will be investigated by the so-called ‘Civil Liberties Protection Officer' of the US intelligence community. This person is responsible for ensuring compliance by US intelligence agencies with privacy and fundamental rights.  まず、米国情報コミュニティのいわゆる『自由権保護官』が苦情を調査する。この担当者は、米国の情報機関によるプライバシーと基本的権利の遵守を保証する責任を負う。 
Second, individuals have the possibility to appeal the decision of the Civil Liberties Protection Officer before the newly created Data Protection Review Court (DPRC). The Court is composed of members from outside the US Government, who are appointed on the basis of specific qualifications, can only be dismissed for cause (such as a criminal conviction, or being deemed mentally or physically unfit to perform their tasks) and cannot receive instructions from the government. The DPRC has powers to investigate complaints from EU individuals, including to obtain relevant information from intelligence agencies, and can take binding remedial decisions. For example, if the DPRC would find that data was collected in violation of the safeguards provided in the Executive Order, it can order the deletion of the data. 第二に、個人は自由権保護官の決定に対して、新設されたデータ保護審査裁判所(DPRC)に不服を申し立てることができる。同裁判所は、特定の資格に基づいて任命された米国ガバナンス外部のメンバーで構成され、理由(前科があるとか、精神的・肉体的に職務遂行に適さないと判断されたとか)がある場合にのみ解任され、政府から指示を受けることはできない。DPRCは、情報機関から関連情報を入手することも含め、EU個人からの苦情を調査する権限を持ち、拘束力のある改善決定を下すことができる。例えば、大統領令に規定された保護措置に違反してデータが収集されたとDPRCが判断した場合、DPRCはデータの削除を命じることができる。
In each case, the Court will select a special advocate with relevant experience to support the Court, who will ensure that the complainant's interests are represented and that the Court is well informed of the factual and legal aspects of the case. This will ensure that both sides are represented, and introduce important guarantees in terms of fair trial and due process. 各事件において、裁判所は関連する経験を持つ特別弁護人を選出し、裁判所を支援する。この弁護人は、申立人の利益が代表者に代表され、裁判所が事実上および法律上の側面について十分な情報を得ていることを保証する。これにより、双方の代表者が確保され、公正な裁判と適正手続きの面で重要な保証が導入される。
Once the the Civil Liberties Protection Officer or the DPRC completes the investigation, the the complainant will be informed that either no violation of US law was identified, or that a violation was found and remedied.  At a later stage, the complainant will also be informed when any information about the procedure before the DPRC—such as the reasoned decision of the Court— is no longer subject to confidentiality requirements and can be obtained. 自由権擁護官または防御委員会が調査を完了すると、米国法違反が確認されなかったか、または違反が発見され是正されたことが申立人に通知される。  後日、DPRCにおける手続に関する情報(裁判所の理由付き決定など)が守秘義務の対象から外れ、入手できるようになった時点で、申立人にも通知される。
6. When will the decision apply? 6. 決定はいつから適用されるのか?
The adequacy decision entered into force with its adoption on 10 July.  十分性認定決定は7月10日に採択され発効した。 
There is no time limitation, but the Commission will continuously monitor relevant developments in the United States and regularly review the adequacy decision. 期限はないが、欧州委員会は米国の関連動向を継続的に監視し、十分性認定を定期的に見直す。
The first review will take place within one year after the entry into force of the adequacy decision, to verify whether all relevant elements of the US legal framework are functioning effectively in practice. Subsequently, and depending on the outcome of that first review, the Commission will decide, in consultation with the EU Member States and data protection authorities, on the periodicity of future reviews, which will take place at least every four years. 最初の見直しは、十分性認定の発効後1年以内に行われ、米国の法的枠組みのすべての関連要素が実際に有効に機能しているかどうかを検証する。その後、最初の見直しの結果に応じて、欧州委員会はEU加盟国およびデータ保護当局と協議の上、今後の見直しの周期を決定する。
Adequacy decisions can be adapted or even withdrawn in case of developments affecting the level of protection in the third country. 十分性認定は、第三国の保護水準に影響を与えるような進展があった場合には、適応され、あるいは撤回されることもある。
7. What is the impact of the decision on the possibility to use other tools for data transfers to the United States? 7. この決定は、米国へのデータ移転に他の手段を用いる可能性にどのような影響を与えるのか?
All the safeguards that have been put in place by the US Government in the area of national security (including the redress mechanism) apply to all data transfers under the GDPR to companies in the US, regardless of the transfer mechanims used. These safeguards therefore also faciliate the use of other tools, such as standard contractual clauses and binding corporate rules. 国家安全保障の分野で米国ガバナンスが導入したすべての保護措置(救済措置を含む)は、GDPRに基づく米国企業へのすべてのデータ移転に適用される。したがって、これらの保護措置は、標準契約条項や拘束力のある企業規則など、他のツールの使用も容易にする。

 

・2023.07.10 Commercial sector: adequacy decision on the EU-US Data Privacy Framework

Commercial sector: adequacy decision on the EU-US Data Privacy Framework 商業分野: EUと米国のデータ・プライバシー枠組みに関する十分性認定決定
On 10 July the European Commission adopted its adequacy decision for the EU-US Data Privacy Framework. On the basis of the  adequacy decision,  personal data can flow freely from the EU to companies in the United States that participate in the Data Privacy Framework. 欧州委員会は7月10日、EUと米国のデータ・プライバシー枠組みに関する十分性認定を採択した。十分性認定に基づき、個人データはEUからデータ・プライバシー枠組みに参加する米国の企業に自由に流れることができる。
The adequacy decision followed the adoption of Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities’ by US President Biden on 7 October and a Regulation issued by the US Attorney General. These instruments  introduced new binding safeguards to address the points raised by Court of Justice of the European Union in its Schrems II decision of July 2020, ensuring that data can be accessed by U.S. intelligence agencies only to the extent necessary and proportionate and establishing an independent and impartial redress mechanism to handle and resolve complaints from Europeans concerning the collection of their data for national security purposes. 十分性認定は、10月7日のバイデン米大統領による「米国におけるシグナルインテリジェンス活動のためのセーフガードの強化」に関する大統領令の採択と、米司法長官による規則に続くものである。これらの文書は、欧州連合司法裁判所が2020年7月に下したシュレムスII号判決で指摘した点に対処するため、新たな拘束力のあるセーフガードを導入したもので、米国の諜報機関によるデータへのアクセスが必要かつ適切な範囲に限られることを保証し、国家安全保障目的のデータ収集に関する欧州人からの苦情を処理・解決するための独立した公平な救済メカニズムを確立するものである。
The safeguards that have been put in place by the US Government in the area of national security (including the redress mechanism) apply to all data transfers under the GDPR to companies in the US, regardless of the transfer mechanims used. These safeguards therefore also faciliate the use of other tools, such as standard contractual clauses and binding corporate rules. 国家安全保障の分野で米国ガバナンスが導入したセーフガード(救済メカニズムを含む)は、使用される移転の仕組みにかかわらず、GDPRに基づく米国内の企業へのすべてのデータ移転に適用される。したがって、これらのセーフガードは、標準契約条項や拘束力のある企業規則など、他のツールの使用も容易にする。

 

 


 

White House

・2023.07.10 Statement from President Joe Biden on EU Adoption of Adequacy Decision for U.S.-EU Data Flows

Statement from President Joe Biden on EU Adoption of Adequacy Decision for U.S.-EU Data Flows EUが米欧データ・フローに関する十分性認定を採択したことに関するジョー・バイデン大統領の声明
 I welcome the European Commission’s adequacy decision for the EU-U.S. Data Privacy Framework—which will allow personal data to be transferred from Europe to U.S. companies safely and securely. Today’s announcement represents the culmination of years of close cooperation between the United States and the European Union, and affirms the strength of our transatlantic relationship founded on our shared democratic values and vision for the world. The decision reflects our joint commitment to strong data privacy protections and will create greater economic opportunities for our countries and companies on both sides of the Atlantic.  欧州委員会がEU-米国データ・プライバシー枠組の十分性認定を行ったことを歓迎する。これにより、欧州から米国企業への個人データの安全かつ確実な移転が可能になる。本日の発表は、米国と欧州連合(EU)の長年にわたる緊密な協力関係の集大成であり、民主主義的価値観と世界に対するビジョンを共有する我々の大西洋を越えた関係の強さを確認するものである。今回の決定は、強力なデータプライバシー防御に対する我々の共同コミットメントを反映したものであり、大西洋の両岸にある両国と企業にとって、より大きな経済的機会を創出するものである。

| | Comments (0)

2023.07.10

ENISA 健康分野のサイバーセキュリティ状況 (2023.07.05)

こんにちは、丸山満彦です。

ENISAが、健康分野のサイバーセキュリティ状況(2021-2023)を公表していますね。。。

健康分野のインシデントの54%がランサムウェアということのようですね。。。比較的ランサムウェア比率が高いようです。業務がクリティカルな割に、対策が十分ではないので、狙いやすいということなんでしょうかね。。。

 

● ENISA

・2023.07.05 Checking-up on Health: Ransomware Accounts for 54% of Cybersecurity Threats

Checking-up on Health: Ransomware Accounts for 54% of Cybersecurity Threats 健康分野をチェックする:サイバーセキュリティ脅威の54%をランサムウェアが占める
The European Union Agency for Cybersecurity (ENISA) releases today its first cyber threat landscape for the health sector. The report found that ransomware accounts for 54% of cybersecurity threats in the health sector. 欧州連合サイバーセキュリティ機関(ENISA)は本日、健康分野における初のサイバー脅威の状況を発表した。同報告書によると、健康分野におけるサイバーセキュリティの脅威の54%はランサムウェアである。
The comprehensive analysis maps and studies cyberattacks, identifying prime threats, actors, impacts, and trends for a period of over 2 years, providing valuable insights for the healthcare community and policy makers. The analysis is based on a total of 215 publicly reported incidents in the EU and neighbouring countries. この包括的な分析では、サイバー攻撃をマッピングして研究し、2年以上の期間にわたって主要な脅威、脅威行為者、影響、傾向を特定し、医療コミュニティや政策立案者に貴重な洞察を提供している。この分析は、EUおよび近隣諸国で公に報告された合計215件のインシデントに基づいている。
Executive Director of the European Union Agency for Cybersecurity (ENISA), Juhan Lepassaar, said: “A high common level of cybersecurity for the healthcare sector in the EU is essential to ensure health organisations can operate in the safest way. The rise of the covid-19 pandemic showed us how we critically depend on health systems. What I consider as a wake-up call confirmed we need to get a clear view of the risks, the attack surface and the vulnerabilities specific to the sector. Access to incident reporting data must therefore be facilitated to better visualise and comprehend our cyber threat environment and identify the appropriate mitigation measures we need to implement.” 欧州連合サイバーセキュリティ機関(ENISA)のジュハン・レパサール事務局長は、次のように述べている: 「医療機関が最も安全な方法で活動できるようにするためには、EUにおける健康分野のサイバーセキュリティの高い共通レベルが不可欠である。Covid-19の大流行は、私たちがいかに医療システムに依存しているかを示した。私が警鐘を鳴らしたと考えるのは、このセクターに特有のリスク、攻撃対象、脆弱性を明確に把握する必要があることを確認したことだ。したがって、インシデント報告データへのアクセスを容易にし、サイバー脅威環境をよりよく可視化し、理解し、実施すべき適切な軽減策を特定する必要がある。
The findings 調査結果
The report reveals a concerning reality of the challenges faced by the EU health sector during the reporting period. 報告書は、報告期間中にEUの健康分野が直面した課題について、懸念すべき現実を明らかにしている。
Widespread incidents. The European health sector experienced a significant number of incidents, with healthcare providers accounting for 53% of the total incidents. Hospitals, in particular, bore the brunt, with 42% of incidents reported. Additionally, health authorities, bodies and agencies (14%), and the pharmaceutical industry (9%) were targeted. 広範なインシデント。 欧州の健康分野は相当数のインシデントに見舞われ、医療プロバイダがインシデント全体の53%を占めた。特に病院がその矢面に立たされ、報告されたインシデントの42%を占めた。 さらに、保健当局、団体、機関(14%)、製薬業界(9%)が標的となった。
Ransomware and data breaches. Ransomware emerged as one of the primary threats in the health sector (54% of incidents). This trend is seen as likely to continue. Only 27% of surveyed organisations in the health sector have a dedicated ransomware defence programme. Driven by financial gain, cybercriminals extort both health organisations and patients, threatening to disclose data, personal or sensitive in nature. Patient data, including electronic health records, were the most targeted assets (30%). Alarmingly, nearly half of all incidents (46%) aimed to steal or leak health organisations' data. ランサムウェアとデータ侵害 ランサムウェアは、健康分野における主要な脅威の1つに浮上した(インシデントの54%)。この傾向は今後も続くと見られている。健康分野の調査対象組織のうち、ランサムウェア専用の防御プログラムを導入しているのはわずか27%に過ぎない。 金銭的な利益を追求するサイバー犯罪者は、医療機関と患者の双方を脅し、個人データや機密データを開示させる。 電子カルテを含む患者データが最も狙われた資産であった(30%)。驚くべきことに、インシデントの約半数(46%)が医療機関のデータの窃盗や漏洩を目的としていた。
Impact and lessons learned by the COVID-19 Pandemic. It is essential to note that the reporting period coincided with a significant portion of the COVID-19 pandemic era, during which the healthcare sector became a prime target for attackers. Financially motivated threat actors, driven by the value of patient data, were responsible for the majority of attacks (53%). The pandemic saw multiple instances of data leakage from COVID-19-related systems and testing laboratories in various EU countries. Insiders and poor security practices, including misconfigurations, were identified as primary causes of these leaks. The incidents serve as a stark reminder of the importance of robust cybersecurity practices, particularly in times of urgent operational needs. COVID-19パンデミックの影響と教訓 報告期間は、COVID-19パンデミック時代のかなりの部分と重なり、その間に健康分野が攻撃者の格好の標的となったことに注意する必要がある。患者データの価値を原動力とする金銭的動機に基づく脅威行為者が、攻撃の大部分(53%)を担っていた。 パンデミックでは、EU各国のCOVID-19関連システムや検査機関からデータが流出する事例が多発した。これらの流出の主な原因として、設定ミスを含むインサイダーと不十分なセキュリティ慣行が特定された。これらのインシデントは、特に緊急の業務が必要な場合において、強固なサイバーセキュリティの実践の重要性を痛感させるものである。
Vulnerabilities in Healthcare Systems. Attacks on healthcare supply chains and service providers resulted in disruptions or losses to health organisations (7%). Such types of attacks are expected to remain significant in the future, given the risks posed by vulnerabilities in healthcare systems and medical devices. A recent study by ENISA revealed that healthcare organisations reported the highest number of security incidents related to vulnerabilities in software or hardware, with 80% of respondents citing vulnerabilities as the cause of more than 61% of their security incidents. 医療システムの脆弱性。 ヘルスケアのサプライチェーンやプロバイダに対する攻撃は、医療機関に混乱や損失をもたらした(7%)。医療システムや医療機器の脆弱性がもたらすリスクを考えると、このようなタイプの攻撃は今後も重要であると予想される。ENISAによる最近の調査では、ソフトウェアまたはハードウェアの脆弱性に関連するセキュリティインシデントの報告数が医療機関が最も多く、回答者の80%がセキュリティインシデントの61%以上の原因が脆弱性にあると回答していることが明らかになった。
Geopolitical Developments and DDoS Attacks. Geopolitical developments and hacktivist activity led to a surge in Distributed Denial of Service (DDoS) attacks by pro-Russian hacktivist groups against hospitals and health authorities in early 2023, accounting for 9% of total incidents. While this trend is expected to continue, the actual impact of these attacks remains relatively low. 地政学的動向とDDoS攻撃。地政学的動向とハクティビストの活動により、2023年初頭には親ロシア派のハクティビスト・グループによる病院や医療当局に対する分散型サービス拒否(DDoS)攻撃が急増し、インシデント全体の9%を占めた。この傾向は今後も続くと予想されるが、これらの攻撃による実際の影響は比較的低いままである。
The incidents examined in the report had significant consequences for health organisations, primarily resulting in breaches or theft of data (43%) disrupted healthcare services (22%) and disrupted services not related to healthcare (26%). The report also highlights the financial losses incurred, with the median cost of a major security incident in the health sector estimated at €300,000 according to the ENISA NIS Investment 2022 study.  報告書で調査されたインシデントは、主にデータの漏洩や盗難(43%)、医療サービスの中断(22%)、医療とは関係のないサービスの中断(26%)をもたらし、医療機関に重大な影響を与えた。 また、ENISA NIS Investment 2022の調査によると、医療セクターにおける大規模なセキュリティインシデントのコストの中央値は30万ユーロと推定されており、報告書は、発生した金銭的損失にも焦点を当てている。 
Patient safety emerges as a paramount concern for the health community, given potential delays in triage and treatment caused by cyber incidents. サイバーインシデントによってトリアージや治療に遅れが生じる可能性があることから、患者の安全が医療界にとって最も重要な懸念事項として浮上している。
New report from the NIS Cooperation Group NIS協力グループの新報告書
The NIS Cooperation Group releases today its report on “Threats and risk management in the health sector – Under the NIS Directive”. As a first assessment on the measures currently in place, the study sheds light on the different cybersecurity challenges in risk mitigation faced by the EU health sector. Together with relevant threat taxonomies and cyber incident data, the report discloses business continuity and mitigation recommendations to limit the likelihood and impacts of a cyber related incident. NIS協力グループは本日、「健康分野における脅威とリスクマネジメント-NIS指令の下で-」に関する報告書を発表した。現在実施されている対策の最初のアセスメントとして、本研究はEUの健康分野が直面するリスク低減におけるサイバーセキュリティのさまざまな課題に光を当てている。関連する脅威分類とサイバーインシデントデータとともに、報告書はサイバー関連インシデントの可能性と影響を制限するための事業継続と低減に関する推奨事項を開示している。
Background 背景
The ENISA threat landscape reports map the cyber threat landscape to help decision makers, policy makers and security specialists define strategies to defend citizens, organisations and cyberspace. ENISAの脅威状況報告書は、意思決定者、政策立案者、セキュリティ専門家が、市民、組織、サイバー空間を守るための戦略を定義するのに役立つよう、サイバー脅威の状況をマッピングしている。
The report’s content is gathered from open sources such as media articles, expert opinions, intelligence reports, incident analysis and security research reports; as well as through the members of the ENISA Cyber Threat Landscapes Working Group (CTL working group). 報告書の内容は、メディア記事、専門家の意見、インテリジェンスレポート、インシデント分析、セキュリティリサーチレポートなどのオープンソースや、ENISAサイバー脅威状況ワーキンググループ(CTLワーキンググループ)のメンバーを通じて収集される。
The analysis and views of the threat landscape by ENISA is meant to be industry and vendor neutral. Information based on OSINT (Open-Source Intelligence) and the work of ENISA on Situational Awareness also helped document the analysis presented in the report. ENISAによる脅威の分析および見解は、業界およびベンダーに中立であることを意図している。また、OSINT(オープンソースインテリジェンス)に基づく情報やENISAの状況認識に関する作業も、本報告書に掲載された分析の文書化に役立った。
Further Information 詳細情報
Health Threat Landscape – ENISA report 2023 健康分野の脅威の展望 - ENISAレポート2023
ENISA topic: Health ENISAのトピック 健康分野
ENISA topic: Cyber threats ENISAのトピック サイバー脅威
CSIRT capabilities in healthcare sector – ENISA report 2021 健康分野におけるCSIRTの能力 - ENISAレポート 2021年
Cloud security for healthcare services – ENISA report 2021 健康サービスのクラウドセキュリティ - ENISAレポート2021
Procurement guidelines for cybersecurity in hospitals 病院におけるサイバーセキュリティのための調達ガイドライン

 

 

・2023.07.05 Health Threat Landscape

Health Threat Landscape 医療の脅威の状況
This is the first analysis conducted by the European Union Agency for Cybersecurity (ENISA) of the cyber threat landscape of the health sector in the EU. The report aims to bring new insights into the reality of the health sector by mapping and studying cyber incidents from January 2021 to March 2023. It identifies prime threats, actors, impacts and trends based on the analysis of cyberattacks targeting health organisations over a period of more than 2 years. 本報告書は、欧州連合サイバーセキュリティ機関(ENISA)が実施した、EUにおける健康分野のサイバー脅威状況に関する初の分析である。本報告書は、2021年1月から2023年3月までのサイバーインシデントをマッピングし調査することで、健康分野の実態に新たな洞察をもたらすことを目的としている。2年以上にわたる医療機関を標的としたサイバー攻撃の分析に基づき、主要な脅威、行為者、影響、傾向を特定している。

 

 

・[PDF]

20230710-71045

 

目次...

1. INTRODUCTION 1. 序文
2. THREATS 2. 脅威
2.1 RANSOMWARE 2.1 ランサムウェア
2.2 THREATS AGAINST DATA 2.2 データに対する脅威
2.3 DENIAL OF SERVICE ATTACKS 2.3 サービス妨害攻撃
2.4 MALWARE 2.4 マルウェア
2.5 SOCIAL ENGINEERING THREATS 2.5 ソーシャル・エンジニアリングによる脅威
2.6 SUPPLY-CHAIN ATTACKS 2.6 サプライチェーン攻撃
2.7 ERRORS, MISCONFIGURATIONS AND POOR SECURITY PRACTICES 2.7 誤り、設定ミス、不十分なセキュリティ慣行
2.8 MISINFORMATION/DISINFORMATION 2.8 誤情報/偽情報
2.9 INTRUSION 2.9 侵入
3. THREAT ACTORS AND MOTIVATION 3. 脅威行為者と動機
3.1 CYBERCRIMINALS 3.1 サイバー犯罪者
3.2 HACKTIVISTS 3.2 ハクティビスト
4. IMPACT 4. 影響
4.1 BREACH OR THEFT OF DATA 4.1 データ侵害または盗難
4.2 DISRUPTION OF HEALTHCARE SERVICES 4.2 医療サービスの中断
4.3 DISRUPTION OF SERVICES NOT RELATED TO HEALTHCARE 4.3 医療に関連しないサービスの中断
4.4 PATIENT SAFETY 4.4 患者の安全
5. CONCLUSIONS 5. 結論

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー
This is the first analysis conducted by the European Union Agency for Cybersecurity (ENISA) of the cyber threat landscape of the health sector in the EU. The report aims to bring new insights into the reality of the health sector by mapping and studying cyber incidents from January 2021 to March 2023. It identifies prime threats, actors, impacts and trends based on the analysis of cyberattacks targeting health organisations over a period of more than 2 years.  本報告書は、欧州連合サイバーセキュリティ機関(ENISA)が実施した、EUにおける健康分野のサイバー脅威状況に関する初の分析である。本報告書は、2021年1月から2023年3月までのサイバーインシデントをマッピングして調査することにより、健康分野の実態に新たな洞察をもたらすことを目的としている。2年以上にわたる医療機関を標的としたサイバー攻撃の分析に基づき、主要な脅威、行為者、影響、傾向を特定している。
During this period, the European health sector faced a significant number of incidents. EU healthcare providers (53% of the total incidents), and especially hospitals (42%) were particularly affected. We also observed incidents targeting health authorities, bodies and agencies (14%) and attacks to the pharmaceutical industry (9%).   この期間、欧州の医療セクターは相当数のインシデントに直面した。EUの医療プロバイダ(インシデント全体の53%)、特に病院(42%)が特に被害を受けた。また、保健当局、団体、機関を標的としたインシデント(14%)、製薬業界への攻撃(9%)も確認された。 
Ransomware is one of the prime threats in the health sector (54%), both in the number of incidents but also in its impact on health organisations. We expect this trend to continue. In fact, 43% of ransomware incidents are coupled with a data breach or data theft, while disruptions are the other common effect of the attack. Almost half of total incidents (99 incidents, 46%) are a form of threat against the data of health organisations (data breaches, data leaks). Data related threats continue to be one of the main threats in the sector, not only for Europe but also globally.   ランサムウェアは、インシデントの数だけでなく、医療機関への影響においても、健康分野における主要な脅威のひとつである(54%)。この傾向は今後も続くと予想される。実際、ランサムウェアのインシデントの43%は、データ漏洩やデータ盗難と関連しており、攻撃による他の一般的な影響としては混乱がある。インシデント全体のほぼ半分(99件、46%)は、医療機関のデータに対する脅威(データ侵害、データ漏えい)である。データ関連の脅威は、ヨーロッパのみならず世界的にも、この分野における主要な脅威のひとつであり続けている。 
It is important to note that the reporting period covers a large part of the Covid-19 pandemic era, when the healthcare sector was one of the prime victims of cyber attackers. During the reporting period, cybercriminals had the heaviest impact on the sector, in particular ransomware threat actors driven by financial gain (53%). This is linked to the increase in ransomware attacks in general but also to the value of patient data including electronic health records. In fact, patient data were the most targeted assets (30%) throughout the reporting period.   報告対象期間は、健康分野がサイバー攻撃者の主要な犠牲者の一人であったCovid-19パンデミック時代の大部分をカバーしていることに留意することが重要である。報告期間中、サイバー犯罪者はこのセクターに最も大きな影響を及ぼし、特に金銭的利益(53%)を目的としたランサムウェア脅威行為者が多かった。これは、一般的なランサムウェア攻撃の増加だけでなく、電子カルテを含む患者データの価値とも関連している。実際、報告期間中、患者データは最も標的とされた資産(30%)であった。 
The pandemic caused data leakage of patient data from Covid-19 related systems or from testing laboratories on multiple occasions and in multiple countries. These leaks were either due to the collaboration of malicious insiders or, in most cases, accidental due to poor security practices and misconfigurations. These incidents offer lessons to be learned on poor cybersecurity practises when there are pressing operational needs, in this case even more pressing due to the pandemic.  パンデミックにより、Covid-19に関連するシステムや検査室からの患者データの流出が複数回、複数の国で発生した。これらの情報漏えいは、悪意のある内部関係者の協力によるものか、ほとんどの場合、セキュリティ対策の不備や設定ミスによる偶発的なものであった。これらのインシデントは、差し迫った業務上のニーズがある場合、サイバーセキュリティの不備について学ぶべき教訓を提供するものであり、今回はパンデミックのためにさらに差し迫ったものであった。
Attacks on healthcare supply chain and service providers caused disruptions or losses to organisations in the health sector (7%). We assess that these types of attacks will remain highly relevant for the sector in the future, especially in conjunction with the risks posed by vulnerabilities in healthcare systems and medical devices. In a recent ENISA study, healthcare was the sector that declared the most security incidents related to vulnerabilities in software or hardware. Indeed, 80% of the healthcare organisations interviewed declared that more than 61% of their security incidents were caused by vulnerabilities.  ヘルスケアのサプライチェーンやサービスプロバイダーに対する攻撃は、健康分野の組織に混乱や損失をもたらした(7%)。この種の攻撃は、特に医療システムや医療機器の脆弱性がもたらすリスクと関連して、今後も医療セクターにとって大きな意味を持ち続けると我々は評価している。最近のENISAの調査では、ソフトウェアやハードウェアの脆弱性に関連するセキュリティ・インシデントが最も多かったのは健康分野だった。実際、インタビューに応じた医療機関の80%が、セキュリティ・インシデントの61%以上が脆弱性によって引き起こされたと回答している。
Geopolitical developments and hacktivist activity increased the number of DDoS attacks against hospitals and health authorities in early 2023, reaching 9% of total incidents. This was due to a surge in DDoS attacks by pro-Russian hacktivist groups who aimed to disrupt healthcare providers and health authorities in the EU. We expect this trend to continue; however the actual impact of these attacks remains relatively low.  地政学的な動きとハクティビストの活動により、2023年初頭には病院や医療機関に対するDDoS攻撃の件数が増加し、インシデント全体の9%に達した。これは、EUの医療プロバイダや医療当局を混乱させることを目的とした親ロシア派のハクティビスト集団によるDDoS攻撃が急増したためである。この傾向は今後も続くと予想されるが、これらの攻撃による実際の影響は比較的低いままである。
In terms of impact, the incidents observed caused mainly breaches or theft of data (43%), disrupted healthcare services (22%) and other services not related to healthcare (26%). Data breaches affected healthcare entities in 40% of the total number of incidents, and, in particular, hospitals (27%) and primary care (8%). Disruption of healthcare services took place when healthcare entities (82%) and health authorities (12%) were disrupted.   影響という点では、観測されたインシデントは、主にデータの漏洩または盗難(43%)、医療サービスの中断(22%)、医療とは関係のないその他のサービス(26%)を引き起こした。データ漏洩が医療事業体に影響を与えたのはインシデント総数の40%で、特に病院(27%)とプライマリーケア(8%)であった。医療サービスの中断は、医療事業体(82%)と保健当局(12%)が中断された場合に起こった。 
Other impacts include financial losses but this is an impact which is difficult to assess. The ENISA NIS Investment 2022 study indicates that the median cost of a major security incident in the health sector is 300 000 Euro. We also observed sanctions imposed by data protection authorities as well as reputational harm to healthcare providers after major data breaches.  その他の影響としては、経済的損失が挙げられるが、これは評価が難しい影響である。ENISA NIS Investment 2022の調査によると、健康分野における大規模なセキュリティ・インシデントのコストの中央値は300,000ユーロである。また、データ保護当局による制裁や、大規模なデータ漏えい後の医療プロバイダへの風評被害も確認されている。
Patient safety remains a top concern for the health community due to potential delays in the triage and treatment of patients, or due to potential effects on the well-being of patients whose sensitive information is being revealed or who are being subjected to extortion.   患者の安全性は、患者のトリアージや治療に遅れが生じたり、機密情報が漏えいしたり、恐喝を受けたりする患者の幸福に影響を及ぼす可能性があるため、医療界にとって依然として最大の懸念事項である。 
According to a recent study by ENISA, only 27% of organisations surveyed in the health sector have a dedicated ransomware defence programme and 40% of the original equipment suppliers (OES) surveyed have no security awareness programme for non-IT staff. In another recent survey by the NIS cooperation group, 95% of the health organisations surveys face challenges when performing risk assessments, while 46% have never performed a risk analysis. These findings highlight the pressing need for health organisations to apply cyber hygiene practices. These may include offline encrypted backups of critical data, awareness raising and training programmes for healthcare professionals, vulnerability handling and patching, stronger authentication methods, cyber incident response plans and contingency plans, and more. The commitment of senior management is key, especially now that the NIS2 directive introduces liabilities for top management.   ENISAの最近の調査によると、医療セクターの調査対象組織のうち、ランサムウェア対策に特化したプログラムを実施しているのはわずか27%に過ぎず、調査対象となった相手先商標製品供給会社(OES)の40%は、非ITスタッフ向けのセキュリティ意識向上プログラムを実施していない。NIS協力グループによる別の最近の調査では、調査対象の医療機関の95%がリスクアセスメントを実施する際に課題に直面しており、46%はリスク分析を実施したことがない。これらの調査結果は、医療機関がサイバー衛生を実践することが急務であることを浮き彫りにしている。これには、重要データのオフライン暗号化バックアップ、医療従事者の意識向上およびトレーニングプログラム、脆弱性ハンドリングおよびパッチ適用、認証方法の強化、サイバーインシデント対応計画および危機管理計画などが含まれる。特に、NIS2指令が経営トップの責任を導入した現在では、経営幹部のコミットメントが鍵となる。 

 

| | Comments (0)

2023.07.09

米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

こんにちは、丸山満彦です。

米国が2025年度予算におけるサイバーセキュリティの優先事項を公表していますね。。。すでに公表されている[PDF]サイバーセキュリティ戦略に沿っていますね。。。研究開発分野については別途公表されるようです。。。

 

The White House - OMB - INFORMATION AND GUIDANCE - Memoranda

2023.06.27 [PDF] M-23-18 Administration Cybersecurity Priorities for the FY 2025 Budget

20230709-71333

SUBJECT:  Administration Cybersecurity Priorities for the FY 2025 Budget  件名  2025 年度予算における政権のサイバーセキュリティ優先事項 
This memorandum outlines the Administration’s cross-agency cybersecurity investment priorities for formulating fiscal year (FY) 2025 Budget submissions to the Office of Management and Budget (OMB), consistent with spring guidance.  Guidance on cybersecurity research and development priorities will be released in a separate memorandum.  Consistent with the five pillars of the National Cybersecurity Strategy (NCS), departments and agencies should prioritize five cybersecurity effort areas: 1) Defend Critical Infrastructure; 2) Disrupt and Dismantle  Threat Actors; 3) Shape Market Forces to Drive Security and Resilience; 4) Invest in a Resilient Future; and 5) Forge International Partnerships to Pursue Shared Goals.  These priorities should be addressed within the FY 2025 Budget guidance levels provided by OMB.  この覚書は、行政管理予算局(OMB)に提出する 2025 会計年度予算の策定における、行政の省庁横断的なサイバーセキュリティ投資の優先順位を、春のガイダンスに沿って概説するものである。 サイバーセキュリティの研究開発の優先順位に関するガイダンスは、別の覚書で発表される予定である。 国家サイバーセキュリティ戦略(NCS)の5つの柱に沿って、各省庁は5つのサイバーセキュリティの取り組み分野に優先順位をつけるべきである: 1) 重要インフラの防衛、2) 脅威行為者の破壊と解体、3) セキュリティとレジリエンスを推進するための市場力の形成、4) レジリエンスの高い未来への投資、5) 共通の目標を追求するための国際的パートナーシップの構築である。 これらの優先事項は、OMBが提示した2025年度予算のガイダンス・レベルの範囲内で取り組むべきである。
OMB and the Office of the National Cyber Director (ONCD) will jointly review agency responses to these priorities in the FY 2025 Budget submissions, identify potential gaps, and identify potential solutions to those gaps.  OMB, in coordination with ONCD, will provide feedback to agencies on whether their submissions are adequately addressed and are consistent with overall cybersecurity strategy and policy, aiding agencies’ multiyear planning through the regular budget process.  OMBと国家サイバー局長室(ONCD)は共同で、2025年度予算提出におけるこれらの優先事項に対する各省庁の対応を検討し、潜在的なギャップを特定し、それらのギャップに対する潜在的な解決策を特定する。 OMB は ONCD と連携して、各省庁が提出した予算が適切に対処され、全体的なサイバーセキュリティ戦略・政策と整合しているかどうかについて各省庁にフィードバックを提供し、各省庁が通常の予算プロセスを通じて複数年計画を立てる際の助けとする。
Cybersecurity Investment Priorities  サイバーセキュリティ投資の優先事項 
Defend Critical Infrastructure – NCS Pillar 1  NCS 柱1 重要インフラの防衛 
Modernize Federal Defenses  連邦防衛の近代化 
In accordance with the President’s direction in the NCS, the Executive Order 14028,  Improving the Nation’s Cybersecurity, and National Security Memorandum 8, Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems, the U.S. Government must continue to strengthen and modernize its information technology systems.  Agency investments should lead to durable, long-term solutions that are secure by design.  Budget submissions should demonstrate how they:    NCS における大統領の指示、大統領令 14028「国家のサイバーセキュリティ改善」、国家安全保障覚書 8「国家安全保障、国防総省、情報コミュニティのシステムのサイバーセキュリティ改善」に従い、米国政府は情報技術システムの強化と近代化を継続しなければならない。 省庁の投資は、設計上安全な、耐久性のある長期的なソリューションにつながるべきである。 予算提出は、以下を実証するものでなければならない:   
•       achieve progress in zero trust deployments as outlined in OMB Memorandum M-22-09, Moving the U.S. Government Toward Zero Trust Cybersecurity Principles, and explain efforts to close any gaps in those requirements;  ・OMB Memorandum M-22-09「米国政府をゼロ・トラスト・サイバーセキュリティ原則に向かわせる」に概説されているゼロ・トラスト・デプロイメントの進捗を達成し、これらの要件におけるギャップを埋める努力を説明すること; 
•      meet the goals set forth in the Federal Zero Trust Strategy and make clear how agency investments support people, processes, and technology that advance agency capabilities along the Zero Trust Maturity Model
;  
・連邦ゼロ・トラスト戦略で定められた目標を達成し、ゼロ・トラスト成熟度モデルに沿って省庁の能力を向上させる人材、プロセス、技術を省庁の投資がどのように支援するかを明確にする;  
•       prioritize technology modernization where agency systems are reaching end of life or end of service and where Federal Information Security Modernization Act High and High Value Asset systems that are unable to meet zero trust requirements, ensuring that these systems meet standards for security and customer experience requirements;  ・ゼロトラスト要件を満たすことができない連邦情報セキュリティ近代化法(Federal Information Security Modernization Act)の高付加価値資産システム(High and High Value Asset System)が耐用年数やトラストサービスに達している場合は、技術の近代化を優先し、これらのシステムがセキュリティと顧客体験要件の標準を満たすようにする; 
•       secure National Security Systems, including those that are owned or operated by Federal civilian Executive Branch agencies; and  ・連邦文民行政機関が所有または運用するものを含め,国家安全保障システムを保護する。
•       continue to leverage shared cybersecurity services when appropriate and where capability gaps persist, in order to build Federal cohesion and defend Federal systems.   ・連邦の結束力を高め、連邦システムを防衛するために、適切な場合、また能力格差が存続している場合には、共有サイバーセキュリティ・サービスを引き続き活用する。
Improve Baseline Cybersecurity Requirements  ベースライン・サイバーセキュリティ要件の改善 
The NCS emphasizes rebalancing the responsibility to defend cyberspace to ensure that the most capable and best-positioned actors in cyberspace serve as effective stewards of the cyber ecosystem. In setting cybersecurity requirements and considering needed resources,  regulators are strongly encouraged to consult with regulated entities.  Budget submissions should demonstrate how they:   NCS は、サイバースペースにおいて最も能力があり、最も有利な立場にある主体がサイバ ー・エコシステムの効果的な管理者として機能するよう、サイバースペースの防衛責任を再 バランスさせることを強調している。サイバーセキュリティの要件を設定し、必要なリソースを検討するにあたり、規制当局は規制対象事業体と協議することが強く推奨される。 予算提出は、以下を実証するものでなければならない:  
•       further performance-based regulations to ensure: 1) current and future requirements leverage existing cybersecurity frameworks and voluntary consensus standards; and 2) baseline cybersecurity standards can be applied across critical infrastructure sectors but are agile enough to adapt as adversaries increase capabilities and change tactics; and   ・1)現在および将来の要件が、既存のサイバーセキュリティのフレームワークや自主的なコンセンサス標準を活用するものであること; 2) サイバーセキュリティの標準は、重要インフラ部門全体に適用することができるが、敵が能力を高め、戦術を変えても適応できるよう、俊敏であること。 

•       prioritize cybersecurity capabilities and capacity, including personnel, to ensure effective enforcement of regulatory regimes.   ・規制の効果的な実施を確保するために,人員を含むサイバーセキュリティの 能力とキャパシティに優先順位をつける。
Scale Public-Private Collaboration  官民連携の規模を拡大する 
Defending critical infrastructure against adversarial activity and other threats depends upon developing and strengthening collaboration through structured roles and responsibilities.  In addition, increased connectivity is enabled by the automated exchange of data, information, and knowledge.  Budget submissions should demonstrate how they:   敵対的な活動やその他の脅威から重要インフラを守るには、体系化された役割と責任を通じた協力体制の構築と強化が不可欠である。 さらに、データ、情報、知識の自動化された交換により、接続性の向上が可能になる。 予算提出は、以下を実証するものでなければならない:  
•       prioritize building the capacity and mechanisms to collaborate with critical infrastructure owners and operators to identify, understand, and mitigate threats, vulnerabilities, and risks to respective sectors.  Each Sector Risk Management Agency (SRMA) will develop a resource-informed plan to mature its capabilities, improve processes, and make use of technology solutions;   ・各セクターに対する脅威、脆弱性、リスクを特定し、理解し、軽減するために、重要インフラの所有者や運営者と協力する能力とメカニズムを構築することを優先する。 各セクター・リスクマネジメント機関(SRMA)は、その能力を成熟させ、プロセスを改善し、テクノロジー・ソリューションを活用するためのリソースに基づいた計画を策定する;  
•       build on the decades of experience in collaborating with Information Sharing and Analysis Organizations, sector-focused Information Sharing and Analysis Centers, and similar organizations to define sector-by-sector needs and gaps in current SRMA capabilities; and    ・情報共有・分析組織,セクターに特化した情報共有・分析センター,および類似の組織と の数十年にわたる協力の経験に基づき,セクターごとのニーズと現在の SRMA 能力のギャップを明確にする。
•       within each SRMA, consider additional capacity for specialized cyber analysts capable of working with critical infrastructure and providing proactive information to owners and operators.  Such analysts would evaluate sector needs, improve Government processes for intelligence and informational analysis, and partner with private sector, State, local, tribal and territorial entities.  Such considerations should be discussed in accordance with a long-term vision to meet a defined mission and avoid duplication.   ・各 SRMA 内で,重要インフラと連携し,所有者や運用者に事前情報を提供できる専門のサイ バーアナリストの追加能力を検討する。 そのようなアナリストは,各分野のニーズを評価し,インテリジェンスと情報分析のためのガバメントプロセスを改善し,民間部門,州,地方,部族,地域の事業体と提携する。 このような検討は,明確な使命を満たし,重複を避けるための長期的ビジョンに従って議論されるべきである。
 Disrupt and Dismantle Threat Actors - NCS Pillar 2    NCS 柱2:脅威アクターの破壊と解体
Counter Cybercrime, Defeat Ransomware  サイバー犯罪対策、ランサムウェアの撃退 
Ransomware is a threat to national security, public safety, and economic prosperity.  The Administration is committed to mounting disruption campaigns and other efforts that are so sustained, coordinated, and targeted that they render ransomware no longer profitable.  Budget submissions for departments and agencies with existing, designated roles in the disruption of ransomware should demonstrate how they:  ランサムウェアは、国家安全保障、治安、経済的繁栄に対する脅威である。 政権は、ランサムウェアがもはや利益を生まないような、持続的で、協調的で、標的を絞った破壊キャンペーンやその他の取り組みを実施することを約束する。 ランサムウェアの破壊活動において既存の指定された役割を持つ省庁の予算提出は、以下の方法を示すべきである: 
•       prioritize staff to investigate ransomware crimes and disrupt ransomware infrastructure and actors;    ・ランサムウェアの犯罪を調査し、ランサムウェアのインフラと行為者を混乱させるためのスタッフを優先する;   
•       prioritize staff to combat the abuse of virtual currency to launder ransom payments; and   ・ランサムウェア犯罪を調査し,ランサムウェアのインフラや行為者を混乱させるための人員を優先的に配置する。
•       ensure participation in interagency task forces focused on cybercrime.  ・サイバー犯罪に焦点を当てた省庁間タスクフォースへの参加を確保する。
 Shape Market Forces to Drive Security and Resilience - NCS Pillar 3    NCS 柱3:セキュリティとレジリエンスを推進するための市場の力の形成
Secure Software and Leverage Federal Procurement to Improve Accountability  ソフトウェアの安全性を確保し、連邦調達を活用して説明責任を改善する。
OMB Memorandum M-22-18, Enhancing the Security of the Software Supply Chain through Secure Software Development Practices, as updated by M-23-16, requires agencies to take the specific steps to ensure software producers attest to conformity with secure software development practices.  These include obtaining self-attestations from software producers to confirm their development practices meet minimum secure software development requirements.  Further, Executive Order 14028 directs the Federal Acquisition Regulatory Council to consider changes to the Federal Acquisition Regulation that would strengthen and standardize contract requirements for cybersecurity across agencies. Publication of proposed rules for public comment will ensure that the views of stakeholders outside the Government inform and shape any changes that are ultimately finalized.  Budget submissions should demonstrate how they:  OMB Memorandum M-23-16により更新された、M-22-18, セキュアなソフトウェア開発の実践を通じて、ソフトウェア・サプライチェーンのセキュリティを強化する, は、安全なソフトウェア開発慣行への適合をソフトウェア製造者に証明させるための具体的なステップを踏むことを各省庁に求めている。 これには、ソフトウェア製造者から自己証明を取得し、その開発慣行が安全なソフトウェア開発の最低要件を満たしていることを確認することが含まれる。 さらに、大統領令 14028 号は、連邦調達規制審議会に対し、サイバーセキュリティに関する契約要件を省庁間で強化・標準化する連邦調達規則の変更を検討するよう指示している。パブリックコメントのために規則案を公表することで、ガバナンス外の利害関係者の見解が、最終的に確定する変更に反映され、形成されることが保証される。 予算の提出は、以下を実証するものでなければならない: 
•       ensure capacity exists to meet secure software and services requirements, including costs associated with contracts and appropriate training; and  ・契約や適切な訓練に関連する費用を含め,安全なソフトウェアやサービスの要件を満たす能力が確実に存在すること。
•       identify where agency implementation of cybersecurity requirements may benefit from novel procurement practices and/or approaches that could be piloted within the agency or among select agencies for evaluation for broader Federal enterprise use.  ・サイバーセキュリティ要件の実施において,政府機関内または特定の政府機関間で試験的に実施し,より広範な連邦エンタープライズでの利用を評価できるような斬新な調達手法やアプローチから,どのようなメリットが得られるかを特定する。
Leverage Federal Grants and Other Incentives to Build in Security  連邦補助金やその他のインセンティブを活用してセキュリティを組み込む 
Through programs funded by the Infrastructure Investment and Jobs Act (Public Law 117-58),  the Inflation Reduction Act (Public Law 117-169), and the Chips and Science Act (Public Law 117-167), the United States is making once-in-a-generation investments in America’s infrastructure and supporting digital ecosystem.  Departments and agencies should ensure that Federal funding programs for critical infrastructure are designed, developed, fielded, and maintained with cybersecurity resilience in mind.  Budget submissions should demonstrate how the agency supports efforts to secure this infrastructure from cyber threats through: インフラ投資・雇用法(公法 117-58)、インフレ抑制法(公法 117-169)、Chips and Science Act(公法 117-167)により資金提供されたプログラムを通じて、米国は米国のインフラとそれを支えるデジタル・エコシステムに一世一代の投資を行っている。  各省庁は、重要インフラに対する連邦政府の資金提供プログラムが、サイバーセキュリティのレジリエンスを念頭に置いて設計、開発、実戦配備、維持されるようにすべきである。  予算案は、重要インフラをサイバー脅威から守るための取り組みを、各省庁がどのように支援しているかを示すものでなければならない:
•       support for project review, fiscal compliance, and assessment to address cybersecurity threats and the development of cybersecurity performance standards for infrastructure investments where existing standards require refinement; and   ・サイバーセキュリティの脅威に対処するためのプロジェクト審査,財政コンプライアンス,評価の支援,および既存の標準の改善が必要なインフラ投資に対するサイバーセキュリティ性能標準の策定。
•       encouraging the implementation of joint efforts across agencies to provide technical support to projects throughout the design and build phases.  ・設計・建設段階を通じてプロジェクトに技術支援を提供するため,省庁を横断した共同取り組みの実施を奨励する。
 Invest in a Resilient Future - NCS Pillar 4    NCS 柱4:レジリエンスな未来への投資 
Strengthen Cyber Workforce  サイバー人材の強化 
Employers in the Federal and national cyber workforce face challenges in recruiting, hiring, and retaining professionals to fill vacancies in the workforce, which negatively impacts America’s collective cybersecurity.  To address these issues, Budget submissions should draw on the “Good Jobs Principles and best practices for highly effective workforce investments.  Budget proposals should demonstrate how they:   連邦政府および国のサイバー人材の雇用主は、欠員を埋めるための専門家の募集、雇用、維持に課題を抱えており、これは米国のサイバーセキュリティ全体に悪影響を及ぼす。 これらの問題に対処するため、予算案は「良い仕事の原則」と非常に効果的な労働力投資のベストプラクティスを参考にすべきである。 予算案は、以下を示すべきである:  
•       support initiatives that meet the Federal cyber workforce demand by developing, attracting, and retaining cyber talent in the Federal Government and leveraging skillsbased hiring best practices, including skills-and competency-based assessments, shared hiring actions, and multiple on-ramp approaches. These initiatives will strengthen the  cyber workforce by attracting members of underrepresented groups, such as women, people of color, rural populations, and those with disabilities; and  ・連邦政府におけるサイバー人材の開発,誘致,維持を行い,スキルやコンピテンシーに基づく評価、共有された雇用行動、複数のオンランプアプローチを含むスキルに基づく雇用のベストプラクティスを活用することにより、連邦政府のサイバー人材の需要を満たすイニシアティブを支援する。これらのイニシアチブは、女性、有色人種、地方出身者、障がい者など十分に代表されていないグループのメンバーを惹きつけることによって、サイバー労働力を強化する。
•       for agencies that have a mission requirement to bolster cyber capacity throughout the national workforce, include technical assistance, grant programs, and cross-sectional cybersecurity workforce efforts to build technical, foundational cyber skills, and needed capacity.       ・国の労働力全体のサイバー能力を強化することを使命とする省庁に対しては,技術的,基礎的なサイバー・スキル、必要とされる能力を構築するための技術支援、助成金プログラム、横断的なサイバーセキュリティ人材育成の取り組みを行う。
Prepare for the Post-Quantum Future  ポスト量子の未来に備える 
The President issued the National Security Memorandum (NSM) 10, Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems (NSM-10) in order to promote U.S. leadership in quantum information science and address potential threats that quantum computers may pose to encrypted data and systems.  Subsequently, OMB issued OMB Memorandum M-23-02, Migrating to Post Quantum Cryptography (M-23-02), and the National Security Agency issued NSM 8, Task 9: on Identification of Encryption Not in Compliance with Quantum-Resistant Algorithms or Commercial National Security Algorithm (NMM-2022-09). Budget proposals should demonstrate how they:   大統領は、量子情報科学における米国のリーダーシップを促進し、量子コンピュータが暗号化された データやシステムに与える潜在的な脅威に対処するため、国家安全保障覚書(NSM)10「脆弱な暗号システムに対するリスクを低減しつつ、量子コンピューティングにおける米国のリーダーシップを促進する」(NSM-10)を発行した。  その後、OMB は OMB 覚書 M-23-02, ポスト量子暗号への移行(M-23-02)を発行し、国家安全保障局は NSM 8, タスク9:量子耐性アルゴリズムまたは商用国家安全保障アルゴリズムに準拠していない暗号化の特定について (NMM-2022-09)を発行した。予算案は、以下の方法を示すべきである:  
•   ensure that requirements under NSM-10, M-23-02, and NMM-2022-09 are made transparent in Budget submissions.  This should include necessary services and software needed to accurately, and where possible, automatically inventory cryptographic systems and to begin transitioning agencies’ most critical and sensitive networks and systems to post quantum cryptography as directed to do so by OMB.     ・NSM-10、M-23-02、NMM-2022-09 の要件が予算提出において透明化されていることを確認すること。 これには、暗号システムを正確かつ可能な限り自動的にインベントリ化するために必要なサービスやソフトウェア、および各省庁の最も重要で機密性の高いネットワークやシステムをOMBの指示に従いポスト量子暗号への移行を開始するために必要なサービスやソフトウェアを含めるべきである。   
 Forge International Partnerships to Pursue Shared Goals - Pillar 5    NCS 柱5:共通の目標を追求するための国際的なパートナーシップの構築
Strengthen International Partner Capacity and U.S. Ability to Assist   国際パートナーの能力と米国の支援能力を強化する。 
The United States will demonstrate leadership through cooperation in identifying, disrupting, or otherwise addressing malicious cyber activity through a whole-of-Government approach that will mitigate threats to America’s networks and critical infrastructure.  Budget submissions for Federal agencies with overseas cybersecurity missions should demonstrate how they:   米国は、米国のネットワークと重要インフラに対する脅威を軽減するガバナンス全体のアプローチを通じて、悪意のあるサイバー活動を特定、破壊、またはその他の方法で対処するための協力を通じて、リーダーシップを発揮する。 海外にサイバーセキュリティ・ミッションを持つ連邦政府機関の予算提出は、以下を実証するものでなければならない:  
•       maximize the expertise across the Government to pursue coordinated and effective international cyber capacity building efforts;    ・ガバナンス全体の専門知識を最大限に活用し、協調的かつ効果的な国際的サイバー能力構築の取り組みを追求する;   
•       for agencies that have a mission requirement to support international operational coordination, enhance collaboration with foreign partners and allies, including by proposing a readiness posture to engage and assist partners when facing significant cyber attacks; and   ・国際的な作戦調整を支援することを任務要件とする機関については,重大なサイバー攻撃に直面した際にパートナーを関与させ,支援するための準備態勢を提案することを含め,海外のパートナーや同盟国との協力を強化する。
•       build or strengthen international partners’ cyber capacity, working with the private sector, non-governmental organizations, and other international partners, to enable their own security within the digital ecosystem.  ・民間部門,非政府組織,その他の国際的なパートナーと協力して,国際的なパートナーのサイバー能力を構築または強化し,デジタル・エコシステム内での自国の安全保障を可能にする。
Secure Global Supply Chains for Information, Communications, and Operational Technology Products and Services  情報、コミュニケーション、運用技術製品・サービスの安全なグローバル・サプライ・チェーン 
Agencies have been required to establish formal Supply Chain Risk Management (SCRM) programs for acquisitions of information and communications technology and services.  Budget proposals should demonstrate how they:  各省庁は、情報通信技術およびサービスの取得について、正式なサプライチェーンリスクマネジメント(SCRM)プログラムを確立することが求められている。 予算案は、以下の方法を示すべきである: 
•       make transparent the personnel necessary to evaluate and monitor supply chain risks and support required agency SCRM programs; and  ・サプライチェーンリスクを評価・監視し,必要な省庁のSCRMプログラムを支援するために必要な人員を透明化する。
•      support programs that assess threats and vulnerabilities to the United States and its people arising from transactions that concern information and communications technology and involve persons subject to the control or jurisdiction of foreign adversaries, consistent with Executive Order 14034, Protecting American’s Sensitive Data From Foreign Adversaries.   ・大統領令14034「外国の敵対者から米国の機密データを防御する」に沿って,情報通信技術に関係し,外国の敵対者の管理または管轄下にある者が関与する取引から生じる米国とその国民に対する脅威と脆弱性を評価するプログラムを支援すること。

 


 

関連

● まるちゃんの情報セキュリティ気まぐれ日記

米国の安全保障戦略、サイバーセキュリティ戦略...

・2023.07.02 米国 GAO サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2022.10.29 米国 国家防衛戦略

・2022.10.14 米国 国家安全保障戦略

 

 

Continue reading "米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)"

| | Comments (0)

英国 著作権と人工知能 (AI) に関する実施規範をつくるようですね。。。(2023.06.29)

こんにちは、丸山満彦です。

英国の知的財産庁が、著作権と人工知能 (AI) に関する実施規範をつくるようですね。。。

パトリック・ヴァランス卿が、[PDF] デジタル技術のイノベーション促進規制に関するレビューを実施し、「政府は知的財産と生成的AIとの関係を明確にすべきである」と提言したのを受けて、政府は2023年3月15日に「[PDF] この勧告を受け入れる」と回答しています。。。ということで、この回答を実現すべく、委員会が立ち上がったようです。

英国はEUから離れて、自由度をまし、より活動ができている感じですね。。。

会合はチャタムハウス・スタイル(コメントを行った人物の身元は,会議の外部に漏れてはならない、オンラインやソーシャル・メディアに投稿すべきではない)で行われるようです。。。

 

GOV UK

・2023.06.29 The government’s code of practice on copyright and AI

 

委員会の立ち上げに関する文書

・[DOCX] Intellectual Property Office Code of Practice on Copyright and Artificial Intelligence Terms of Reference

目的の部分...

Aims and objectives 目的と目標
This technical working group is tasked with このテクニカル・ワーキング・グループの任務は以下の通りである。
· identifying any creator concerns relating to the use of copyright works, performances and databases[1] by AI systems and users ・AIシステムおよびユーザーによる著作権作品、実演、データベース[1]の利用に関する制作者の懸念を特定すること。
· outlining ways in which any concerns can be addressed ・あらゆる懸念に対処する方法を概説すること
· identifying any barriers to the access to copyright works, performances and databases by AI systems and users, including for the purposes of text and data mining ・テキストマイニングおよびデータマイニングの目的を含め,AIシステムおよびユーザーによる著作物,実演およびデータベースへのアクセスに対する障壁を特定すること。
· outlining options to address any barriers  ・障壁に対処するための選択肢を概説する。
· setting out commitments and expectations in relation to AI firms’ use of protected material and the right holders who own protected material ・AI企業による保護された素材の利用,および保護された素材を所有する権利者との関係における防御と期待を定める。
These areas will form part of a voluntary code of practice. Consideration should be given to the specific recommendations made in the Pro-Innovation Regulation of Technologies Review[2] on generative AI and the Government’s response[3], both published on 15 March 2023, as well as existing licensing practice in the UK and other jurisdictions. これらの領域は、自主的な実践規範の一部を形成する。生成的AIに関するPro-Innovation Regulation of Technologies Review[2]および2023年3月15日に公表された政府の回答[3]でなされた具体的な勧告、ならびに英国および他の法域における既存のライセンス慣行を考慮する必要がある。
The Government’s view, as set out in its response to the Pro-Innovation Regulation of Technologies Review, recognises the need for regulatory certainty to unlock the huge potential of AI. It believes that involvement of both the AI and creative sectors in developing a code of practice will enable both sectors to grow in partnership. The Government considers that this is an issue that industry can, and should, seek to fix itself, although it does not rule out the possibility of legislative action in this area if industry does not take adequate steps to improve the situation. Pro-Innovation Regulation of Technologies Reviewへの回答で示されたガバナンスの見解は、AIの巨大な可能性を解き放つためには規制の確実性が必要であることを認識している。実践規範の策定にAIとクリエイティブの両セクターが関与することで、両セクターが連携して成長することが可能になると考えている。ガバナンスは、この問題は産業界が自ら解決できる問題であり、また自ら解決すべき問題であると考えているが、産業界が状況を改善するための適切な措置を取らない場合、この分野で立法措置が取られる可能性も排除していない。
The working group’s role will include identifying, developing and codifying good practice on the use of copyright, performance and database material in relation to AI, including data mining. ワーキンググループの役割には、データマイニングを含むAIに関連する著作権、実演、データベース素材の使用に関するグッドプラクティスの特定、開発、成文化が含まれる。
The working group’s role will also include raising awareness about the development of good practice so that the code of practice is widely adopted across industry. ワーキンググループの役割には、実践規範が業界全体に広く採用されるよう、グッドプラクティスの開発に関する認識を高めることも含まれる。

 

[1] In the title of the group, and in working group documents, “copyright” may be used as a shorthand for copyright, rights in performances, and database right. Copyright includes both economic and moral rights.

[2] https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1142883/Pro-innovation_Regulation_of_Technologies_Review_-_Digital_Technologies_report.pdf

[3] https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1142798/HMG_response_to_SPV_Digital_Tech_final.pdf

 

1_20230709062501


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.01 英国 意見募集 AI規制白書

・2023.03.20 英国 イノベーションを促進する技術規制の見直し:デジタルテクノロジー

 

| | Comments (0)

米国 NSA CISA 継続的インテグレーション/継続的デリバリー(CI/CD)環境の防御に関する共同ガイダンス (2023.06.28)

こんにちは、丸山満彦です。

米国のNSAとCISAが共同で、継続的インテグレーション/継続的デリバリー(CI/CD)環境の防御に関するガイダンスを発表しているので、備忘録...

DevOpsの環境が汚染されると、大変ですからね。。。

 

CISA

・2023.06.28 CISA and NSA Release Joint Guidance on Defending Continuous Integration/Continuous Delivery (CI/CD) Environments

CISA and NSA Release Joint Guidance on Defending Continuous Integration/Continuous Delivery (CI/CD) Environments CISAとNSA、継続的インテグレーション/継続的デリバリー(CI/CD)環境の防御に関する共同ガイダンスを発表
Today, CISA, together with the National Security Agency (NSA), released a Cybersecurity Information Sheet (CSI) to provide recommendations and best practices for organizations to strengthen the security of their CI/CD pipelines against the threat of malicious cyber actors (MCAs). 本日、CISAは国家安全保障局(NSA)と共同で、悪意のあるサイバー行為者(MCA)の脅威からCI/CDパイプラインのセキュリティを強化するための推奨事項とベストプラクティスを提供するサイバーセキュリティ情報シート(CSI)を発表した。
Recognizing the various types of security threats that could affect CI/CD operations and taking steps to defend against each one is critical in securing a CI/CD environment. Organizations will find in this guide a list of common risks found in CI/CD pipelines and attack surfaces that could be exploited and threaten network security.      CI/CDの運用に影響を及ぼす可能性のある様々なタイプのセキュリティ脅威を認識し、それぞれに対する防御策を講じることは、CI/CD環境の安全性を確保する上で極めて重要である。組織はこのガイドで、CI/CDパイプラインに見られる一般的なリスクと、悪用されてネットワークセキュリティを脅かす可能性のある攻撃面のリストを見つけることができる。     
CISA and NSA encourage all organizations to review this CSI and apply the recommended actions. CISA と NSA は、すべての組織がこの CSI をレビューし、推奨されるアクションを適用することを推奨する。

 

・[PDF] Defending Continuous Integration/Continuous Delivery (CI/CD) Environments

20230709-53944

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
The National Security Agency (NSA) and the Cybersecurity and Infrastructure Security Agency (CISA) are releasing this cybersecurity information sheet (CSI) to provide recommendations and best practices for improving defenses in cloud implementations of development, security, and operations (DevSecOps). This CSI explains how to integrate security best practices into typical software development and operations (DevOps) Continuous Integration/Continuous Delivery (CI/CD) environments, without regard for the specific tools being adapted, and leverages several forms of government guidance to collect and present proper security and privacy controls to harden CI/CD cloud deployments. As evidenced by increasing compromises over time, software supply chains and CI/CD environments are attractive targets for malicious cyber actors (MCAs). Figure 1 provides a high-level representation of threats to various parts of the CI/CD pipeline.  国家安全保障局(NSA)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は、開発・セキュリティ・運用(DevSecOps)のクラウド実装における防御を改善するための推奨事項とベストプラクティスを提供するため、このサイバーセキュリティ情報シート(CSI)を公開する。このCSIは、一般的なソフトウェア開発・運用(DevOps)の継続的インテグレーション/継続的デリバリー(CI/CD)環境にセキュリティのベストプラクティスを統合する方法を、適用する特定のツールに関係なく説明するもので、CI/CDのクラウドデプロイメントを強化するための適切なセキュリティとプライバシーのコントロールを収集し、提示するために、いくつかの形態の政府ガイダンスを活用している。時間の経過とともに侵害が増加していることから明らかなように、ソフトウェアのサプライチェーンとCI/CD環境は、悪意のあるサイバー行為者(MCA)にとって魅力的な標的である。図1は、CI/CDパイプラインのさまざまな部分に対する脅威をハイレベルで表したものである。

 

 

目次...

Contents  目次 
Defending Continuous Integration/Continuous Delivery (CI/CD) Environments 継続的インテグレーション/継続的デリバリー(CI/CD)環境の防御
Executive summary エグゼクティブサマリー
Introduction はじめに
Key terms 主な用語
CI/CD security threats CI/CDセキュリティの脅威
Attack surface アタック・サーフェス
Insecure code 安全でないコード
Poisoned pipeline execution 汚染されたパイプラインの実行
Insufficient pipeline access controls パイプラインのアクセス管理が不十分
Insecure system configuration 安全でないシステム構成
Usage of third-party services サードパーティ・サービスの利用
Exposure of secrets 秘密の暴露
Threat scenarios 脅威シナリオ
Active hardening 積極的な堅牢化
Authentication and access mitigations 認証とアクセス緩和
Use NSA-recommended cryptography NSAが推奨する暗号を使用する
Minimize the use of long-term credentials 長期クレデンシャルの使用を最小限に抑える
Add signature to CI/CD configuration and verify it CI/CDコンフィギュレーションに署名を追加して検証する
Utilize two-person rules (2PR) for all code updates すべてのコード更新に2人ルール(2PR)を活用する。
Implement least-privilege policies for CI/CD access CI/CDアクセスに対する最小特権ポリシーの導入
Secure user accounts 安全なユーザーアカウント
Secure secrets 安全な秘密
Implement network segmentation and traffic filtering ネットワーク・セグメンテーションとトラフィック・フィルタリングの実装
Development environment mitigations 開発環境の緩和
Maintain up-to-date software and operating systems 最新のソフトウェアとオペレーティング・システムを維持する
Keep CI/CD tools up-to-date CI/CDツールを常に最新の状態に保つ
Remove unnecessary applications 不要なアプリケーションを削除する
Implement endpoint detection and response (EDR) tools エンドポイント検出・対応(EDR)ツールの導入
Development process mitigations 開発プロセスの緩和
Integrate security scanning as part of the CI/CD pipeline セキュリティスキャンを CI/CD パイプラインの一部として統合する
Restrict untrusted libraries and tools 信頼できないライブラリやツールを制限する
Analyze committed code コミットされたコードを分析する
Remove any temporary resources 一時的なリソースを削除する
Keep audit logs 監査ログの保存
Implement software bill of materials (SBOM) and software composition analysis (SCA) ソフトウェア部品表(SBOM)とソフトウェア構成分析の実施(SCA)
Plan, build, and test for resiliency 回復力のための計画、構築、テスト
Conclusion 結論
Further guidance さらなるガイダンス
Works cited 引用文献
Appendix A: CI/CD threats mapped to MITRE ATT&CK 附属書A:MITRE ATT&CKにマッピングされたCI/CDの脅威
Initial Access 初期アクセス
Execution 実行
Persistence 永続化
Privilege Escalation 特権のエスカレーション
Defense Evasion 防御回避
Credential Access クレデンシャル・アクセス
Lateral Movement 横展開
Exfiltration 流出

 

 

| | Comments (0)

2023.07.08

日本公認会計士協会 「監査提言集」の公表について

こんにちは、丸山満彦です。

公認会計士協会では、2008年より毎年、監査提言集を公開しています。内部統制のあり方、監査についての参考になります。。。会員向けには別途詳細な記載があるものがあります。

 

日本公認会計士協会

・2023.07.03「監査提言集」の公表について

・[PDF] 監査提言集(一般用)

20230708-74727

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2008.08.08 経営者からの売上目標達成のプレッシャーが強い環境下では、架空売上のリスクが高まるが内部にいる人に他社よりプレッシャーが高いことを認識できるのでしょうか?

・2008.07.28 監査提言集から読み取る内部統制の文書化の限界・・・

・2008.07.22 JICPA 監査提言集

 

| | Comments (0)

ドイツ BSI TR-03153 電子記録システム用技術的安全装置の改訂 (2023.06.30)

こんにちは、丸山満彦です。

ドイツのBSIが、商取引の電子化に伴い、記録されたデータの首尾一貫性、真正性、完全性を確保するための基準が税務調査上も必要ということになり、基準ができたがその基準の改訂ということですね。。。

Bundesamt für Sicherheit in der Informationstechnik: BSI

・2023.06.30 Neue Version der Technischen Richtlinien für Technische Sicherheitseinrichtungen (TSE) veröffentlicht

Neue Version der Technischen Richtlinien für Technische Sicherheitseinrichtungen (TSE) veröffentlicht 技術的セキュリティ機器の技術ガイドラインの新版が発表される
Das BSI hat heute neue Versionen der Technischen Richtlinien für Technische Sicherheitseinrichtungen elektronischer Aufzeichnungssysteme veröffentlicht. BSIは本日、電子記録システムの技術的セキュリティ機器に関する技術ガイドラインの新版を発表した。
Im Zuge der Digitalisierung werden Geschäftsvorfälle heutzutage in der Regel mit Hilfe elektronischer Aufzeichnungssysteme wie zum Beispiel elektronische Kassensysteme erfasst. Um nachträglichen Manipulationen an solchen Aufzeichnungen entgegenzuwirken, werden seit 2020 elektronische Aufzeichnungssysteme obligatorisch mit einer zertifizierten Technischen Sicherheitseinrichtung geschützt. Nach der erfolgreichen Einführung der Technischen Sicherheitseinrichtung für Kassensysteme wurde der Anwendungsbereich der Kassensicherungsverordnung erweitert. デジタル化に伴い、商取引は電子レジなどの電子記録システムによって記録されることが一般的になっている。このような記録の不正操作に対抗するため、2020年以降、電子記録システムは認証された技術的セキュリティ装置で保護されることが義務付けられている。レジシステムへの技術的セキュリティ装置の導入が成功した後、レジセキュリティ条例の適用範囲が拡大された。
Ab 2024 werden gemäß Kassensicherungsverordnung zudem auch Taxis und Funkmietwagen unter den Anwendungsbereich der BSI-Vorgaben fallen. 2024年以降、タクシーと無線ハイヤーもレジセキュリティ条例に基づくBSI要求事項の適用範囲に入る。
BSI-Vizepräsident Dr. Gerhard Schabhüser: „Die gezielte Suche nach Schwachstellen bei der Aufzeichnung steuerrelevanter Daten ist ein lukratives Geschäftsmodell, das auch hohe Investitionen, Expertise und zeitliche Aufwände zur Identifikation von Angriffsmöglichkeiten rechtfertigt. Die Vorgaben des BSI sind daher eine ganz wesentliche Grundlage zur Verhinderung nachträglicher Manipulationen.“ BSI副会長のゲルハルト・シャブヒューザー博士:「税務関連データの記録における脆弱性の標的型探索は、有利なビジネスモデルであり、攻撃の可能性を特定するための高額な投資、専門知識、時間の支出を正当化するものでもある。したがって、BSIの仕様は、その後の不正操作を防止するための非常に重要な基礎となる。
Die neuen Versionen der Technischen Richtlinien haben zum Ziel, die Integration des neuen Anwendungsbereichs der Taxameter und Wegstreckenzähler zu erleichtern, die Zertifizierung Technischer Sicherheitseinrichtungen zu optimieren und die Prüfbarkeit des gesetzeskonformen Einsatzes von Technischen Sicherheitseinrichtungen durch Finanzbehörden zu verbessern. Zudem soll der Einsatz und Austausch von Technischer Sicherheitseinrichtungen verschiedener Hersteller erleichtert werden. テクニカルガイドラインの新バージョンは、タクシーメーターと走行距離計の新しい範囲の統合を促進し、技術的セキュリティ装置の認証を最適化し、税務当局による技術的セキュリティ装置の合法的な使用の検証可能性を向上させることを目的としている。さらに、異なるメーカーの技術的安全装置の使用と交換を容易にする。

 

・2023.06.30 BSI TR-03153 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme

BSI TR-03153 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme BSI TR-03153 電子記録システム用技術的安全装置
Im Zuge der Digitalisierung haben sich die technischen Herausforderungen für die Steuerprüfung stark verändert. So sind nachträgliche Manipulationen an digitalen Grundaufzeichnungen ohne ausreichende Schutzmaßnahmen heute, wenn überhaupt, nur mit hohem Aufwand feststellbar. デジタル化の過程で、税務監査における技術的課題は大きく変化した。例えば、十分な保護措置を講じなければ、基本的なデジタル記録に対するその後の操作は、発見できたとしても多大な労力を要することになる。
Um solche Manipulationen wirksam zu verhindern, müssen die Integrität, Authentizität und Vollständigkeit der aufgezeichneten Daten sichergestellt werden. Zudem müssen die Daten unmittelbar erfasst und im Rahmen von Prüfungen zeitlich aufgefunden werden können. このような操作を効果的に防止するためには、記録されたデータの首尾一貫性、真正性、完全性を確保しなければならない。さらに、データは即座に記録され、監査時にその場所を特定できなければならない。
Erreicht wird dies durch die Verwendung einer Technischen Sicherheitseinrichtung (TSE). Die Technische Sicherheitseinrichtung wird vom elektronischen Aufzeichnungssystem angesprochen, übernimmt die Absicherung der aufzuzeichnenden Daten und speichert die gesicherten Aufzeichnungen in einem einheitlichen Format. Finanzbehörden können die geschützten Daten dann einfordern und auf Vollständigkeit und Korrektheit prüfen. これは、技術的セキュリティ装置(TSE)を使用することによって達成される。技術的セキュリティ装置は、電子記録システムに対応し、記録されるデータの保護を引き継ぎ、保護された記録を標準化されたフォーマットで保存する。税務当局は、保護されたデータを請求し、その完全性と正確性をチェックすることができる。
Teil 1 - Anforderungen an die Technische Sicherheitseinrichtung パート1-技術的セキュリティ装置の要件
Die Technische Richtlinie TR-03153-1 definiert hierfür verbindliche Vorgaben an die Technische Sicherheitseinrichtung, mit denen die digitalen Grundaufzeichnungen eines elektronischen Aufzeichnungssystems gemäß § 146a (1) der Abgabenordnung geschützt werden müssen. 技術ガイドラインTR-03153-1は、ドイツ財政法典第146a条(1)に従い、電子記録システムのデジタル基本記録を保護しなければならない技術的セキュリティ装置に関する拘束力のある要件を定義している。
Die Technische Richtlinie BSI TR-03153-1 definiert Konformitätsvorgaben für Technische Sicherheitseinrichtungen, indem sie Vorgaben für grundlegende Funktionsweise und Aufbau der Technischen Sicherheitseinrichtung macht und Mindestanforderungen an die Interoperabilität definiert Hierzu wird ein einheitliches Datenformat für die Absicherung der elektronischen Aufzeichnungen festgelegt. テクニカル・ガイドラインBSI TR-03153-1は、テクニカル・セキュリティ・デバイスの基本的な機能と構造を規定し、相互運用性のための最低要件を定義することにより、テクニカル・セキュリティ・デバイスの適合要件を定義している。
Zudem wird eine standardisierte Schnittstelle für den Export der aufgezeichneten und abgesicherten Daten aus der Technischen Sicherheitseinrichtung definiert. さらに、技術的安全装置から記録され保護されたデータをエクスポートするための標準化されたインターフェースが定義されている。
Die Definition einer einheitlichen Einbindungsschnittstelle - basierend auf der "Secure Element API" nach BSI TR-03151 - ermöglicht eine technologieoffene und implementierungsunabhängige Kapselung der Sicherheitsfunktionalität der Technischen Sicherheitseinrichtung. BSI TR-03151 に準拠した「Secure Element API」に基づく統一された統合インターフェースの定義により、技術的安全装置のセキュリティ機能を技術的にオープンかつ実装に依存せずにカプセル化することができる。
Aktuelle Version 現在のバージョン
BSI TR-03153-1 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme, Version 1.1.0 BSI TR-03153-1 電子記録システム用技術的セキュリティ装置、バージョン 1.1.0
20230708-72235
BSI TR-03153-1 Anhang A – Zertifizierungsanforderungen, Version 1.1.0 BSI TR-03153-1 附属書 A - 認証要件、バージョン 1.1.0
20230708-72242
BSI TR-03153-1 Anhang B – Anforderungen an den ordnungsgemäßen Betrieb der TSE in bestimmten Nutzungsszenarien, Version 1.1.0 BSI TR-03153-1 附属書 B - 特定の使用シナリオにおける東証の適切な運用のための要求事項、バージョ ン 1.1.0
20230708-72248
Alte Version 旧バージョン
BSI TR-03153 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme, Version 1.0.1 BSI TR-03153 電子記録システム用技術的セキュリティ装置、バージョン 1.0.1
Ergänzung der BSI TR-03153, Version 1.0.1 BSI TR-03153 の補足、バージョン 1.0.1
Klarstellungen und Anwendungshinweise zu BSI TR-03153 Version 1.0.1 und BSI-CC-PP-0105-V2-2020 BSI TR-03153 バージョン 1.0.1 および BSI-CC-PP-0105-V2-2020 の明確化およびアプリケーションノート
TS – Testspezifikation TS - 試験仕様書
Die Testspezifikation (TS) der Technischen Richtlinie BSI-TR-03153 definiert Konformitätstests für Technische Sicherheitseinrichtungen gemäß BSI TR-03153-1. テクニカルガイドライン BSI-TR-03153 のテスト仕様書(TS)は、BSI TR-03153-1 に従っ た技術安全装置の適合試験を定義している。
Testfälle zur neuen Version 1.1.0 新バージョン 1.1.0 のテストケース
Testfälle folgen. テストケースは以下の通りである。
Testfälle zur alten Version 1.0.1 旧バージョン 1.0.1 のテストケース
BSI TR-03153 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme Testspezifikation (TS) BSI TR-03153 電子記録システム用技術的安全装置試験仕様書(TS)
Ergänzung der BSI TR-03153 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme Testspezifikation (TS) BSI TR-03153 電子記録システム用技術セキュリティ装置試験仕様書(TS)の補足
XML-Testfälle nach BSI TR-03153 BSI TR-03153 に従った XML テストケース
Ergänzungen zu den XML-Testfällen nach BSI TR-03153 BSI TR-03153 による XML テストケースの補足
Klarstellungen und Anwendungshinweise zu BSI TR-03153-TS und BSI-CC-PP-0105-V2-2020 BSI TR-03153-TS および BSI-CC-PP-0105-V2-2020 の明確化およびアプリケーションノート
Teil 2 – Regelung zur übergangsweisen Aufrechterhaltung der gesetzlich erforderlichen Zertifizierung von Technischen Sicherheitseinrichtungen in begründeten Ausnahmefällen パート 2 - 正当化された例外的ケースにおける技術的セキュリティ機器の法的に要求される認 証の経過的維持に関する規定
Teil 2 der Technischen Richtlinie BSI TR-03153 beschreibt die Regelungen zur übergangsweisen Aufrechterhaltung der gesetzlich erforderlichen Zertifizierung von Technischen Sicherheitseinrichtungen in begründeten Ausnahmefällen. Ziel der Regelungen ist es, im Feld befindliche Technischen Sicherheitseinrichtungen, bei denen eine vollumfängliche Zertifizierung konform zu den o.g. Schutzprofilen nicht mehr gegeben ist (beispielsweise durch das Bekanntwerden von Schwachstellen oder bei im Rahmen der Einführungsphase unter der Übergangsregelung für die Zertifizierung ins Feld gebrachten Technische Sicherheitseinrichtungen), ersatzweise nach dieser Technischen Richtlinie zu zertifizieren, um entweder in einen hinreichend zertifizierten Regelbetrieb zurückzukehren oder eine geordnete Außerbetriebnahme der im Feld befindlichen Technischen Sicherheitseinrichtungen zu ermöglichen. 技術指針 BSI TR-03153 の第 2 部は、正当な例外的ケースにおける技術的安全装置の法的に要求される認 証の経過的維持に関する規制を記述している。この規定の目的は、上記の保護プロファイルに適合した完全な認証が得られなくなった現場の技術安全装置(例えば、脆弱性が発見された場合や、認証に関する経過措置規定に基づいて導入段階の範囲内で現場に持ち込まれた技術安全装置の場合)を、この技術ガイドラインに従って代替認証し、適切に認証された通常運転に戻すか、現場の技術安全装置の秩序ある廃止を可能にすることである。
Technische Richtlinie BSI TR-03153-2 Version 1.0.0 テクニカルガイドライン BSI TR-03153-2 Version 1.0.0
Technische Richtlinie BSI TR-03153-2 Testspezifikation (TS) Version 1.0.0 技術指針 BSI TR-03153-2 試験仕様書(TS) バージョン 1.0.0

 

 

| | Comments (0)

米国 PCAOB 電子形式の情報の技術支援分析を伴う監査手続の立案及び実施に関する改正案 (2023.06.26)

こんにちは、丸山満彦です。

米国の上場企業の監査を監督するPCAOBが「電子形式の情報の技術支援分析を伴う監査手続の立案及び実施に関する改正案」を提案していますね。。。

監査人が大量のデータを直接扱えるようになると、監査もより効率的に正確にできるようになるので、基準の改訂も必要ということで...

意見募集ということで...

 

Public Company Accounting Oversight Board; PCAOB

・2023.06.26 PCAOB Issues Proposal to Bring Greater Clarity to Certain Auditor Responsibilities When Using Technology-Assisted Analysis

 

PCAOB Issues Proposal to Bring Greater Clarity to Certain Auditor Responsibilities When Using Technology-Assisted Analysis PCAOBは、技術支援分析を使用する際の特定の監査人の責任をより明確にするための提案を公表した。
Proposal updates certain aspects of standards that have not been substantially changed since 2010 本提案は、2010年以降実証的に変更されていない標準の一部を更新するものである。
The Public Company Accounting Oversight Board (PCAOB) today issued for public comment a proposal(PDF) designed to improve audit quality and enhance investor protection by addressing aspects of designing and performing audit procedures that involve technology-assisted analysis of information in electronic form. The proposal includes changes to update aspects of AS 1105, Audit Evidence, and AS 2301, The Auditor’s Responses to the Risks of Material Misstatement. 公開会社会計監視委員会(PCAOB)は本日、電子化された情報の技術支援分析を伴う監査手続の立案及び実施に対応することにより、監査の質を向上させ、投資家保護を強化することを目的とした提案(PDF)をパブリックコメント向けに公表した。この提案には、AS1105「監査証拠」及びAS2301「重要な虚偽表示のリスクに対する監査人の対応」の改訂が含まれている。
The deadline for public comment on the proposal is August 28, 2023. この提案に対するパブリックコメントの期限は、2023年8月28日である。
“The use of technology by auditors and financial statement preparers never stops evolving, and PCAOB standards must keep up to fulfill our mission to protect investors,” said PCAOB Chair Erica Y. Williams. “Today’s proposal is another key part of our strategic drive to modernize PCAOB standards.” 「監査人及び財務諸表作成者による技術の利用は進化を止めず、投資家を保護するという使命を果たすためには、PCAOBの防御基準も遅れをとらないようにしなければならない。 「本日の提案は、PCAOB基準を近代化するための戦略的推進のもう一つの重要な部分である。
Why the Board Is Proposing These Changes Now 理事会が今、これらの変更を提案する理由
Existing PCAOB standards relating to audit evidence and responses to risk were issued by the Board in 2010. Since that time, companies have greatly expanded their use of information systems that maintain large volumes of information in electronic form. As a result, auditors have greater access to large volumes of company-produced and third-party information in electronic form that may potentially serve as audit evidence. Meanwhile, some auditors have greatly expanded their use of data analysis tools. 監査証拠とリスクへの対応に関する既存のPCAOB標準は、2010年に理事会によって発行された。それ以来、企業は大量の情報を電子形式で保持する情報システムの利用を大幅に拡大してきた。その結果、監査人は、潜在的に監査証拠となり得る、電子形式による会社及び第三者の大量の情報に、よりアクセスしやすくなっている。一方、一部の監査人は、データ分析ツールの使用を大幅に拡大している。
Although the PCAOB staff’s research indicates that auditors are using technology-assisted analysis in audit procedures, it also indicates that audit quality would benefit if our standards included additional direction addressing specific aspects of designing and performing audit procedures that involve technology-assisted analysis. PCAOBスタッフの調査によると、監査人は監査手続において技術支援分析を利用しているが、技術支援分析を伴う監査手続の設計及び実施に関する具体的な側面について、PCAOBの標準が追加的な指示を含んでいれば、監査の質が向上することも示している。
What the Proposal Seeks to Achieve 提案の目指すもの
The proposal seeks to improve audit quality by reducing the likelihood that an auditor who uses technology-assisted analysis will issue an opinion without obtaining sufficient appropriate audit evidence. In particular, the proposal would bring greater clarity to auditor responsibilities in the following areas: 本提案は、技術支援分析を利用する監査人が、十分な適切な監査証拠を入手せずに意見書を公表する可能性を低減することにより、監査の質を改善することを目的としている。特に、本提案は、以下の分野における監査人の責任をより明確にするものである:
Using reliable information in audit procedures: Technology-assisted analysis often involves analyzing vast amounts of information in electronic format. The proposal would emphasize auditor responsibilities when evaluating the reliability of such information. For example, when auditors test a company’s controls over electronic information, their testing should include controls over the company’s information technology related to such information. 監査手続における信頼できる情報の利用 監査手続における信頼できる情報の利用:技術支援分析は、多くの場合、電子形式の膨大な情報の分析を伴う。本提案は、このような情報の信頼性を評価する際の監査人の責任を強調するものである。例えば、監査人が企業の電子情報に係る統制をテストする際には、当該情報に関連する企業の情報技術に係る統制もテストに含めるべきである。
Using audit evidence for multiple purposes: Technology-assisted analysis can be used to provide audit evidence for various purposes in an audit. For example, performing risk assessment procedures when planning an audit and performing substantive procedures in response to the auditor’s risk assessment. The proposal would specify that if an auditor uses audit evidence from an audit procedure for more than one purpose, the auditor should design and perform the procedure to achieve each of the relevant objectives. 監査証拠を複数の目的に使用する: 技術支援分析は、監査における様々な目的のために監査証拠を提供するために使用することができる。例えば、監査計画策定時のリスクアセスメント手続の実施や、監査人のリスクアセスメントに対応した実体手続の実施などである。本提案では、監査人が監査手続から得られる監査証拠を複数の目的のために使用する場合、監査人は、関連する各目的を達成するために手続を立案し、実施しなければならないと規定している。
Designing and performing substantive procedures: When designing and performing substantive procedures, auditors can use technology-assisted analysis to identify transactions and balances that meet certain criteria and warrant further investigation. For example, auditors can identify all transactions within an account processed by a certain individual or exceeding a certain amount. The proposal would clarify the factors the auditor should consider as part of that investigation, including whether the identified items represent a misstatement or a control deficiency or indicate a need for the auditor to modify its risk assessment or planned procedures. 実体手続の立案と実施 監査人は、実証的手続を立案・実施する際に、技術支援分析を利用して、特定の基準を満たし、更なる調査が必要な取引及び残高を識別することができる。例えば、監査人は、特定の個人によって処理された、又は一定の金額を超える口座内の全ての取引を識別することができる。本提案では、識別された項目が虚偽表示なのか、コントロールの欠陥なのか、監査人がリスクアセスメントや計画した手続を修正する必要性を示しているのかなど、監査人が調査の一環として考慮すべき要素を明確化するとしている。
Throughout the proposal, the Board requests comment on specific aspects of the proposed amendments. Readers are encouraged to answer these questions, to comment on any aspect of the proposal, and to provide reasoning and relevant data supporting their views. 本提案を通じて、取締役会は、本改訂案の特定の側面に関する意見を要求している。読者は、これらの質問に回答し、提案のあらゆる側面についてコメントし、意見を裏付ける理由や関連データを提供することが推奨される。
The public can learn more about submitting comments on PCAOB proposals at the Open for Public Comment page. For more information regarding the PCAOB’s standard-setting activity, visit our Standards page. 一般市民は、PCAOB提案に対するコメント提出の詳細について、パブリックコメント募集のページで知ることができる。PCAOBの標準設定活動の詳細については、標準のページを参照のこと。

 

 

・[PDF] PCAOB Issues Proposal to Bring Greater Clarity to Certain Auditor Responsibilities When Using Technology-Assisted Analysis

20230708-51541

 

目次

Proposed Amendments Related to Aspects of Designing and Performing Audit Procedures that Involve Technology-Assisted Analysis of Information in Electronic Form  電子形式の情報の技術支援分析を伴う監査手続の立案及び実施に関する改正案 
I.  EXECUTIVE SUMMARY I.  エグゼクティブサマリー
II.  BACKGROUND II.  背景
A. OVERVIEW OF STAFF RESEARCH A. スタッフによる調査の概要
B. EXISTING REQUIREMENTS B. 既存の要件
C. CURRENT PRACTICE C. 現在の慣行
D.  REASONS TO IMPROVE THE AUDITING STANDARDS D.  監査基準を改善する理由
III.  DISCUSSION OF THE PROPOSED AMENDMENTS III.  改正案の検討
A.  CLARIFYING THE DIFFERENCES BETWEEN TESTS OF DETAILS AND ANALYTICAL PROCEDURES AND EMPHASIZING THE IMPORTANCE OF APPROPRIATE DISAGGREGATION OR DETAIL OF INFORMATION A.  詳細性のテストと分析的手続の違いを明確にし、情報の適切な分解又は詳細性の重要性を強調する。
B. SPECIFYING THE AUDITOR’S RESPONSIBILITIES WHEN USING AUDIT EVIDENCE FOR MORE THAN ONE PURPOSE B. 監査証拠を複数の目的に使用する場合の監査人の責任を規定する。
C.  SPECIFYING CONSIDERATIONS FOR THE AUDITOR’S INVESTIGATION OF ITEMS WHEN DESIGNING OR PERFORMING SUBSTANTIVE AUDIT PROCEDURES C.  実証的な監査手続を立案又は実施する際の監査人の調査項目に関する検討事項を規定している。
D.  SPECIFYING AUDITOR RESPONSIBILITIES FOR EVALUATING THE RELIABILITY OF CERTAIN AUDIT EVIDENCE D.  特定の監査証拠の信頼性を評価する際の監査人の責任を規定する。
IV.  ECONOMIC ANALYSIS IV.  経済分析
A. BASELINE A. ベースライン
B. NEED B. ニーズ
C. ECONOMIC IMPACTS C. 経済的影響
D.  ALTERNATIVES CONSIDERED D.  検討された代替案
V.  SPECIAL CONSIDERATIONS FOR AUDITS OF EMERGING GROWTH COMPANIES V.  新興成長企業の監査に関する特別な考慮事項
VI.  EFFECTIVE DATE VI.  発効日
VII.  APPENDICES VII.  附属書
VIII.  OPPORTUNITY FOR PUBLIC COMMENT VIII.  パブリックコメントの機会
APPENDICES
附属書
1. APPENDIX 1 – PROPOSED AMENDMENTS
1. 附属書1-修正案
2.  APPENDIX 2 – CONFORMING AMENDMENTS TO RELATED PCAOB STANDADS
2. 附属書2-関連するPCAOB標準への修正案

 

エグゼクティブサマリー...

I. EXECUTIVE SUMMARY   I. エグゼクティブサマリー  
We are proposing amendments to AS 1105, Audit Evidence and AS 2301, The Auditor’s Responses to the Risks of Material Misstatement (the “proposed amendments”), and conforming amendments to other related PCAOB auditing standards. The proposed amendments are designed to improve audit quality and enhance investor protection by addressing the growing use of certain technology in audits. In particular, the amendments would update PCAOB auditing standards to more specifically address aspects of designing and performing audit procedures that involve analyzing information in electronic form with technology-based tools (i.e., technology-assisted analysis). Increasingly, registered public accounting firms obtain audit evidence by analyzing large volumes of information in electronic form. The proposed updating of PCAOB standards is designed to increase the likelihood that audit procedures performed with the use of technology-assisted analysis provide sufficient appropriate audit evidence to support the opinion expressed in the auditor’s report.  我々は、AS1105「監査証拠」及びAS2301「重要な虚偽表示のリスクに対する監査人の対応」の改訂(以下、「改訂案」)、及びその他の関連するPCAOB監査基準への準拠した改訂を提案する。本改訂案は、監査における特定の技術の利用の拡大に対応することにより、監査の質を向上させ、投資家保護を強化することを目的としている。特に、今回の改訂は、技術ベースのツール(すなわち、技術支援分析)を用いて電子形式の情報を分析する監査手続の立案と実施について、より具体的に取り扱うよう、PCAOB監査基準を更新するものである。登録会計事務所は、電子化された大量の情報を分析することにより、監査証拠を入手することが多くなっている。提案されているPCAOB基準の更新は、技術支援分析を使用して実施された監査手続が、監査報告書に表明された意見を裏付ける十分かつ適切な監査証拠を提供する可能性を高めることを目的としている。
Staff Research  スタッフの研究 
The proposed amendments described in this release are informed by the PCAOB staff’s research project on Data and Technology. The staff’s research has involved gathering information from PCAOB oversight activities, reviewing firm methodologies, engaging with preparers of financial statements, investors, academics, and other stakeholders on their experiences with data and technology, and monitoring the activities of other audit standard setters and regulators.  本リリースに記載されている改訂案は、PCAOBスタッフによる「データと技術」に関する研究プロジェクトから情報を得ている。スタッフの研究には、PCAOBの監視活動からの情報収集、監査事務所の方法論の検討、財務諸表作成者、投資家、学者、その他の利害関係者とのデータと技術に関する経験の共有、他の監査標準設定主体や規制当局の活動の監視が含まれている。
Use of Technology-Assisted Analysis in the Audit  監査における技術支援分析の利用 
Our research indicates that some auditors are expanding their use of technologyassisted analysis (often referred to in practice as “data analysis” or “data analytics”) to perform specific audit procedures that are described in existing AS 1105. These procedures include, for example, inspecting company information in electronic form by examining the correlation between different types of transactions, comparing company information to third-party information, performing analytical procedures by comparing an auditor’s expectation to the company’s recorded balances or transactions, or recalculating company information. Auditors use technology-assisted analysis in many audit areas, including those involving significant risks of material misstatement to financial statements due to error or fraud.  我々の調査によると、一部の監査人は、現行のAS1105に記載されている特定の監査手続を実施するために、技術支援分析(実務上、「データ分析」又は「データアナリティクス」と呼ばれることが多い)の利用を拡大している。これらの手続には、例えば、異なる種類の取引間の相関関係を検討することによる電子形式の会社情報の検査、会社情報と第三者情報との比較、監査人の予想と会社の記録された残高又は取引との比較による分析手続の実施、会社情報の再計算などが含まれる。監査人は、誤謬や不正行為による財務諸表の重要な虚偽表示リスクを含む多くの監査分野で、技術支援分析を利用している。
Why the Board is Proposing These Changes Now  なぜ今審査会はこのような変更を提案するのか 
Existing PCAOB standards relating to audit evidence and responses to risk (AS 1105 and AS 2301) discuss certain fundamental areas of auditor responsibilities, which include addressing the risk of material misstatement to the financial statements by obtaining sufficient appropriate audit evidence. Since the standards were issued by the Board in 2010, advancements in technology have enabled auditors to expand the use of technology-assisted analysis in audits. If not designed and executed in accordance with PCAOB standards, audit procedures that involve analyzing information in electronic form with technology-based tools may not provide sufficient appropriate audit evidence. Our research indicates that AS 1105 and AS 2301 may be more effective if they more specifically address aspects of audit procedures that involve technologyassisted analysis.  監査証拠とリスクへの対応に関する既存のPCAOB標準基準(AS 1105及びAS 2301)は、監査人の責任のある特定の基本的な分野について論じており、これには、十分かつ適切な監査証拠を入手することによる財務諸表の重要な虚偽表示リスクへの対応が含まれる。2010年に基準書が公表されて以来、技術の進歩により、監査人は監査における技術支援分析の利用を拡大することができるようになった。PCAOBの標準に従って設計され、実施されなければ、技術ベースのツールで電子形式の情報を分析する監査手続は、十分な適切な監査証拠を提供しない可能性がある。我々の調査によれば、AS1105とAS2301は、技術支援分析を伴う監査手続の側面をより具体的に取り扱うことで、より効果的になる可能性がある。
Key Provisions of the Proposed Amendments  改訂案の主要な規定 
The Board’s proposal would further specify and clarify auditor responsibilities by amending certain requirements of AS 1105 and AS 2301. The proposed amendments are designed to reduce the likelihood that an auditor who uses technology-assisted analysis will issue an opinion without having obtained relevant and reliable audit evidence. The proposed amendments are principles-based and therefore are intended to be adaptable to the everevolving nature of technology. The Board’s proposal is focused on addressing aspects of technology-assisted analysis and does not address other technology applications used in audits (e.g., blockchain or artificial intelligence) or the evaluation of the appropriateness of tools by the firm’s system of quality control. In particular, the proposed amendments would:  取締役会の提案は、AS1105及びAS2301の特定の要求事項を修正することにより、監査人の責任をさらに特定し、明確化するものである。本改訂案は、技術支援分析を利用する監査人が、関連性があり信頼できる監査証拠を入手することなく意見書を公表する可能性を低減することを目的としている。本改正案は原則に基づくものであるため、進化し続ける技術の性質に適応できるように意図されている。取締役会の提案は、技術支援分析の側面に焦点を当てたものであり、監査で使用される他の技術アプリケーション(例えば、ブロックチェーンや人工知能)や、監査事務所の品質管理システムによるツールの適切性の評価については触れていない。特に、本改訂案では、以下のことが提案されている: 
•       Specify considerations for the auditor’s investigation of items that meet criteria established by the auditor when designing or performing substantive audit procedures;   ・実証的な監査手続を立案又は実施する際に、監査人が設定した基準を満たす項目について監査人が調査する際の留意事項を明記する;  
•       Specify that if an auditor uses audit evidence from an audit procedure for more than one purpose the procedure needs to be designed and performed to achieve each of the relevant objectives;  ・監査人が監査手続から得られる監査証拠を複数の目的のために使用する場合には、関連する各目的を達成するために監査手続を立案し実施する必要があることを規定する; 
•       Provide additional details regarding auditor responsibilities for evaluating the reliability of external information maintained by the company in electronic form and used as audit evidence;   ・会社が電子的な形態で保持し、監査証拠として使用する外部情報の信頼性を評価する監査人の責任に関する追加的な詳細を規定する;  
•       Clarify the differences between tests of details and analytical procedures, and emphasize the importance of appropriate disaggregation or detail of information to the relevance of audit evidence; and   ・詳細テストと分析的手続の違いを明確化し,監査証拠の関連性において情報の適切な分解又は詳細化が重要であることを強調する。
•       Update certain terminology in AS 1105 to reflect the greater availability of information in electronic form and improve the consistency of the use of such terminology throughout the standard.   ・AS1105の特定の用語を更新し,電子形式の情報がより利用しやすくなったことを反映するとともに,標準を通じて当該用語の使用の一貫性を改善する。
This release provides background on the Board’s standard-setting project, discusses the proposed amendments, and includes an economic analysis that further considers the need for standard setting and the anticipated economic impacts of our proposed approach. The release also includes two appendices. Appendix 1 sets forth the text of the proposed amendments.  このリリースでは、理事会の標準設定プロジェクトの背景を説明し、提案されている改訂について議論し、標準設定の必要性と提案されているアプローチにより予想される経済的影響をさらに検討した経済分析を含んでいる。また、本リリースには2つの附属書が含まれている。附属書1には、改正案の本文が記載されている。
Appendix 2 includes conforming amendments to other related PCAOB auditing standards.   附属書2には、他の関連するPCAOB監査基準への準拠した改訂が含まれている。 
Requesting Public Comment on Our Proposal  提案に対する意見要求 
We are seeking comment on the proposed amendments and conforming amendments to other PCAOB auditing standards. Throughout the release we have included detailed questions soliciting your feedback on specific aspects of our proposal. You are encouraged to comment on any or all topics, respond to any or all questions, provide feedback in areas not covered by specific questions, and provide any evidence, including empirical evidence or your practical experiences, that informs your views.  我々は、本改訂案及び他のPCAOB監査基準への適合的な改訂に関するコメントを求めている。本リリースには、我々の提案の特定の側面に関する意見を求める詳細な質問が含まれている。また、特定の質問でカバーされていない分野についてもフィードバックを提供し、経験的な証拠や実務経験など、意見を反映させる根拠を提供することが推奨される。
Instructions on how to comment, including by e-mail or postal mail, can be found on the cover sheet of this release. Comments submitted can be found at the docket page of PCAOB Rulemaking Docket Matter No. 052.  電子メールや郵便など、コメントの方法については、本リリースの表紙に記載されている。提出されたコメントは、PCAOB規則制定ロケット・マターNo.052のドケット・ページに掲載されている。

 

 

現在の監査手続...

1_20230708050001

 

 

| | Comments (0)

欧州委員会 国境を越えたケースにおけるGDPRの執行強化を確保するための新規則を採択 (2023.07.04)

こんにちは、丸山満彦です。

欧州委員会がGDPRを国境を超えて執行する際のデータ保護機関 (DPA) 間の協力を効率的にするための新法を提案しています...

  • 苦情の申し出をする個人にとっては...提出する情報が明確にし、
  • 苦情を受ける企業にとっては...DPAが調査する際の手続きが明確にし、

結果、

  • 個人にとっては、迅速な救済につながる
  • 企業にとっては、法的確実性が高まる
  • DPAにとっては、DPA間の協力が高まり執行の効率化につながる

ということのようです...

 

European Commission

プレス...

・2023.07.04 Data protection: Commission adopts new rules to ensure stronger enforcement of the GDPR in cross-border cases

Data protection: Commission adopts new rules to ensure stronger enforcement of the GDPR in cross-border cases データ保護: 欧州委員会、国境を越えたケースにおけるGDPRの執行強化を確保するための新規則を採択
Today, the Commission proposes a new law to streamline cooperation between data protection authorities (DPAs) when enforcing the General Data Protection Regulation in cross-border cases. The new regulation will set up concrete procedural rules for the authorities when applying the GDPR in cases which affect individuals located in more than one Member State. For example, it will introduce an obligation for the lead Data Protection Authority to send a ‘summary of key issues' to their counterparts concerned, identifying the main elements of the investigation and its views on the case, and therefore allowing them to provide their views early on. The proposal will contribute to reduce disagreements and facilitate consensus among authorities since the initial stages of the process. 本日、欧州委員会は、一般データ保護規則(GDPR)を国境を越えて施行する際のデータ保護当局(DPA)間の協力を効率化するための新法を提案した。この新規則は、複数の加盟国に所在する個人に影響を及ぼすケースでGDPRを適用する際の当局の具体的な手続き規則を定めるものである。例えば、主管するデータ保護当局が「重要事項の要約」を関係当局に送付する義務を導入し、調査の主な要素や案件に関する見解を明らかにすることで、関係当局が早期に見解を提供できるようにする。この提案は、プロセスの初期段階から当局間の意見の相違を減らし、合意を促進することに貢献するだろう。
For individuals, the new rules will clarify what they need to submit when making a complaint and ensure that they are appropriately involved in the process. For businesses, the new rules will clarify their due process rights when a DPA investigates a potential breach of the GDPR. The rules will therefore bring swifter resolution of cases, meaning quicker remedies for individuals and more legal certainty for businesses. For data protection authorities, the new rules will smoothen cooperation and enhance efficiency of enforcement. 個人にとっては、苦情を申し立てる際に提出すべきものが明確になり、プロセスに適切に関与できるようになる。企業にとっては、DPAがGDPR違反の可能性を調査する際の適正手続きの権利が明確になる。従って、この規則は、より迅速な事件解決をもたらし、個人にとってはより迅速な救済を、企業にとってはより法的確実性を意味する。データ保護当局にとっては、新ルールは協力を円滑にし、執行の効率を高めることになる。
Harmonising procedural rules in cross-border cases 国境を越えたケースにおける手続き規則の調和
The new regulation provides detailed rules to support the smooth functioning of the cooperation and consistency mechanism established by the GDPR, harmonising rules in the following areas: 新規則は、GDPRによって設立された協力・一貫性メカニズムの円滑な機能をサポートするための詳細な規則を定めており、以下の分野における規則を調和させている:
Rights of complainants: The proposal harmonises the requirements for a cross-border complaint to be admissible, removing the current obstacles brought by DPAs following different rules. It establishes common rights for complainants to be heard in cases where their complaints are fully or partially rejected. In cases where a complaint is investigated, the proposal specifies rules for them to be properly involved. 申立人の権利: 苦情申立人の権利:この提案は、国境を越えた苦情が認められるための要件を調和させ、異なる規則に従うDPAによってもたらされる現在の障害を取り除く。また、苦情が全面的または部分的に却下された場合に、苦情申立人が聴取を受ける共通の権利を確立する。苦情が調査される場合、苦情に適切に関与するためのルールが規定されている。
Rights of parties under investigation (controllers and processors): The proposal provides the parties under investigation with the right to be heard at key stages in the procedure, including during dispute resolution by the European Data Protection Board (EDPB), and clarifies the content of the administrative file and the parties' rights of access to the file. 調査対象者(管理者と処理者)の権利: 本提案では、欧州データ保護委員会(EDPB)による紛争解決時を含む、手続きの主要な段階において、調査対象当事者に意見を聴取する権利をプロバイダとして提供し、管理ファイルの内容および当事者のファイルへのアクセス権を明確化する。
Streamlining cooperation and dispute resolution: Under the proposal, DPAs will be able to provide their views early on in investigations, and make use of all the tools of cooperation provided by the GDPR, such as joint investigations and mutual assistance. These provisions will enhance DPAs' influence over cross-border cases, facilitate early consensus-building in the investigation, and reduce later disagreements. The proposal specifies detailed rules to facilitate the swift completion of the GDPR's dispute resolution mechanism, and provides common deadlines for cross-border cooperation and dispute resolution. 協力と紛争解決の合理化 本提案により、DPAは調査の早い段階で意見を述べたり、共同調査や相互支援などGDPRが提供するあらゆる協力手段を利用できるようになる。これらの規定により、国境を越えた案件に対するDPAの影響力が強化され、調査における早期の合意形成が促進され、後の意見の相違が減少する。本提案では、GDPRの紛争解決メカニズムの迅速な完了を促進するための詳細なルールを規定し、国境を越えた協力と紛争解決のための共通の期限を定めている。
The harmonisation of these procedural aspects will support the timely completion of investigations and the delivery of a swift remedies for individuals. このような手続き面の調和は、タイムリーな調査の完了と、個人に対する迅速な救済措置の提供を支援する。
Background 背景
As we have seen, the GDPR works. The Commission's Regulation does not affect any substantial elements of the GDPR, such as the rights of data subjects, the obligations of data controllers and processors, or the lawful grounds for processing personal data as set by the GDPR. Since the GDPR entered into force, over 2,000 ‘one-stop-shop' cases have been created in the EDPB's case register, and 711 final decisions have been taken. In some cases, fines of hundreds of millions of euros have been imposed. The next report on the application of the GDPR is due in 2024. これまで見てきたように、GDPRは機能している。欧州委員会の規則は、データ主体の権利、データ管理者および処理者の義務、GDPRが定める個人データ処理の合法的根拠など、GDPRの実質的な要素に影響を与えるものではない。GDPRが施行されて以来、EDPBの事例登録には2,000件を超える「ワンストップショップ」事例が作成され、711件の最終決定が下された。数億ユーロの罰金が課されたケースもある。GDPRの適用に関する次回の報告書は2024年に予定されている。
The GDPR is enforced by independent national DPAs, as well as national courts. In cases that involve processing that takes place, or substantially affects data subjects in more than one Member State, the GDPR's ‘one-stop-shop' enforcement system applies. This means that the DPA where the entity under investigation is based conducts the investigation in cooperation with other concerned DPAs. Under the GDPR, DPAs cooperate in an endeavour to reach consensus on the application of the GDPR in cross-border cases. Where DPAs are unable to reach consensus, the GDPR provides for dispute resolution by the European Data Protection Board (EDPB). GDPRは、各国の裁判所だけでなく、各国の独立したDPAによって施行される。複数の加盟国で行われる、あるいは実質的にデータ主体に影響を及ぼす処理が含まれるケースでは、GDPRの「ワンストップ・ショップ」執行システムが適用される。これは、調査対象の事業体が所在するDPAが、関係する他のDPAと協力して調査を行うことを意味する。GDPRの下では、DPAは国境を越えたケースにおけるGDPRの適用についてコンセンサスを得るべく協力する。DPAが合意に達しない場合、GDPRは欧州データ保護委員会(EDPB)による紛争解決をプロバイダとして規定している。
When enforcing the GDPR, DPAs apply national procedural rules. In its 2020 report on the application of the GDPR, the Commission noted that procedural differences applied by DPAs hinder the smooth and effective functioning of the GDPR's cooperation and dispute resolution mechanisms. In October 2022, the EDPB sent the Commission a ‘wish-list', containing suggestions to streamline and improve some procedural aspects to strengthen cooperation and help to deliver a quicker remedy for data subjects. GDPRを施行する際、DPAは各国の手続き規則を適用する。欧州委員会は、GDPRの適用に関する2020年の報告書の中で、DPAによって適用される手続き上の違いが、GDPRの協力および紛争解決メカニズムの円滑かつ効果的な機能を妨げていると指摘している。2022年10月、EDPBは欧州委員会に対し、協力を強化し、データ主体への迅速な救済を実現するために、いくつかの手続き面を合理化・改善するための提案を含む「希望リスト」を送付した。
Today's proposal addresses the input from a wide range of stakeholders, including the EDPB, representatives from civil society, businesses, academia, and legal practicioners, as well as Member States. From February to March 2023, the Commission published a call for evidence, receiving feedback from a wide variety of stakeholders, including civil society and industry associations. The Commission also held bilateral meetings on the proposal on request, with civil society representatives, national authorities and industry representative organisations. 本日の提案は、EDPB、市民社会、企業、学界、法曹界の代表者、加盟国など、幅広い関係者からの意見を反映したものである。2023年2月から3月にかけて、欧州委員会は証拠募集を行い、市民社会や業界団体を含むさまざまな利害関係者から意見を得た。また、欧州委員会は、市民社会の代表者、各国当局および業界代表団体との間で、要請に応じて提案に関する二者間会合を開催した。
For More Information 詳細情報
GDPR Procedural Regulation GDPR手続き規則
GDPR Procedural Regulation: Questions & Answers GDPR手続き規則 質問と回答
Data protection in the EU (europa.eu) EUにおけるデータ保護(europa.eu)
EU data protection rules empower citizens (europa.eu) EUのデータ保護規則は市民に力を与える(europa.eu)
EDPB “wish-list” identifying procedures of cooperation between data protection authorities that could be harmonised at EU level EDPBがEUレベルで調和可能なデータ保護認可機関間の協力手続きを特定した「希望リスト
5th anniversary of the General Data Protection Regulation (europa.eu) 一般データ保護規則施行5周年 (europa.eu)
Further specifying procedural rules relating to the enforcement of the General Data Protection Regulation (europa.eu) 一般データ保護規則の施行に関する手続き規則をさらに明記する(europa.eu)
Quote(s) 引用
GDPR became a new synonymous for effective data protection law globally. Now, it is the enforcement of the law that will decide on its full success. While the independent authorities are doing a tremendous work, it’s time to ensure we can operate faster and in a more decisive way. Especially in serious cases in which one violation may have many victims across the EU. Our proposal lays down rules to guarantee smooth cooperation among data protection authorities, supporting more vigorous enforcement, to the benefit of the people and businesses alike. GDPRは、世界的に効果的なデータ保護法の新たな代名詞となった。今、その完全な成功を決定するのは法律の施行である。独立した認可当局が多大な働きをしている一方で、より迅速かつ決定的な運用を保証する時が来ている。特に、ひとつの違反がEU全域で多くの犠牲者を出すような深刻なケースではそうだ。我々の提案は、データ保護当局間の円滑な協力を保証する規則を定め、国民と企業双方にとって有益となるよう、より強力な執行を支援するものである。
Věra Jourová, Vice-President for Values and Transparency ヴィエラ・ジュロヴァー副会長(価値観・透明性担当
Five years ago, the world’s most ambitious and innovative data protection law entered into force. Five years on, GDPR has become a landmark legislation in the EU, inspiring global standards. It is clear that enforcement of GDPR works, but the procedures in cross-border cases can be still improved. Today, we have come forward with this proposal to show that we can do better to have quicker and more efficient handling of cases. We have listened to the voices of the European Data Protection Board, Data Protection Authorities, civil society, and the industry. Our proposal addresses their calls and builds on our own findings to better protect Europeans’ right to privacy, provide legal certainty to businesses, and streamline cooperation between data protection authorities on the ground. 年前、世界で最も野心的かつ革新的なデータ保護法が施行された。あれから5年、GDPRはEUにおける画期的な法律となり、世界標準を鼓舞している。GDPRの施行が機能していることは明らかだが、国境を越えたケースにおける手続きはまだまだ改善できる。今日、我々は、より迅速かつ効率的なケース処理のために、より良い方法があることを示すために、この提案を行った。我々は、欧州データ保護委員会、データ保護当局、市民社会、業界の声に耳を傾けてきた。我々の提案は、欧州の人々のデータ・プライバシーの権利をより良く保護し、企業に法的確実性を提供し、現場のデータ保護当局間の協力を合理化するために、彼らの声に応え、我々自身の調査結果に基づくものである。
Didier Reynders, Commissioner for Justice ディディエ・レインダース法務担当委員


 

Q&A

・2023.07.04 Q&A: Stronger enforcement of the GDPR in cross-border cases

Q&A: Stronger enforcement of the GDPR in cross-border cases Q&A: 国境を越えたケースにおけるGDPRの執行強化
Today, the European Commission proposed new rules to support the effectiveness and efficiency of enforcement of the General Data Protection Regulation (GDPR) in cross-border cases. The GDPR Procedural Regulation aims to streamline cooperation between data protection authorities (DPAs), by harmonising some aspects of their administrative procedures in cross-border cases. 本日、欧州委員会は、国境を越えたケースにおける一般データ保護規則(GDPR)の執行の有効性と効率性を支援するための新たな規則を提案した。GDPR防御規則は、データ保護当局(DPA)間の協力を合理化することを目的とし、国境を越えたケースにおけるDPAの行政手続きの一部を調和させるものである。
Does this proposal change data protection rules? この提案はデータ保護規則を変更するのか?
No. As we have seen, the GDPR works. The Commission's Procedural Regulation does not affect any substantial elements of the GDPR, such as the rights of data subjects, the obligations of data controllers and processors, or the lawful grounds for processing personal data as set by the GDPR. これまで見てきたように、GDPRは機能している。欧州委員会の手続き規則は、データ主体の権利、データ管理者および処理者の義務、GDPRが定める個人データ処理の合法的根拠など、GDPRの実質的な要素には影響を与えない。
In its 2020 report on the application of the GDPR, the Commission found that procedural differences applied by DPAs hinder the smooth and effective functioning of the GDPR's cooperation and dispute resolution mechanisms in cross-border cases (i.e. when there are complainants located in more than one Member State). GDPRの適用に関する2020年の報告書の中で、欧州委員会は、DPAによって適用される手続き上の違いが、国境を越えたケース(すなわち、複数の加盟国に申立人がいる場合)におけるGDPRの協力および紛争解決メカニズムの円滑かつ効果的な機能を妨げていることを明らかにした。
The Commission identified that a more harmonised approach on issues such as complaint admissibility, the exercise of due process rights, and the involvement of complainants in the procedure would improve efficiency and results for citizens, businesses and data protection authorities alike. These elements were also identified as important by the European Parliament  and the European Data Protection Board (EDPB). 欧州委員会は、苦情の認容可能性、適正手続の権利の行使、申立人の手続への参加といった問題に関して、より調和のとれたアプローチをとることが、市民、企業、データ保護当局のいずれにとっても、効率性と結果の改善につながることを確認した。これらの要素は、欧州議会や欧州データ保護委員会(EDPB)でも重要であると指摘されている。
Does the proposal change the ‘one-stop-shop' system? 提案は「ワンストップ・ショップ」システムを変更するのか?
No. The regulation fully maintains and supports this system, where individuals and organisations can deal with their local/lead DPA. Individuals reap the benefits of the ‘one-stop-shop' system every day, by relying on their local DPA to protect their rights, no matter where the organisation processing their data is based. Businesses also benefit from the right to deal with a single Data Protection Authority. いいえ。この規則は、個人や組織が各地域の/主導的なDPAに対応できるこのシステムを完全に維持し、サポートする。個人は、自分のデータを処理する組織の拠点がどこであろうと、自分の権利を保護するために地元のDPAに頼ることで、「ワンストップ・ショップ」制度の恩恵を日々享受している。企業もまた、単一のデータ保護当局と取引する権利から利益を得ている。
The proposal complements the GDPR by specifying detailed procedural rules for the cross-border enforcement system - the Regulation will operate within the framework established by the GDPR. It does not alter the procedural steps provided by the GDPR, nor the roles of the actors in the cross-border enforcement procedure – complainants, the lead DPA, DPAs concerned, or the EDPB. この提案は、国境を越えた執行システムに関する詳細な手続き規則を規定することでGDPRを補完するものであり、同規則はGDPRによって確立された枠組みの中で運用される。同規則は、GDPRが規定する手続きステップや、国境を越えたエンフォースメント手続きにおける関係者(申立人、主管DPA、関係DPA、EDPB)の役割を変更するものではない。
How do DPAs cooperate on cross-border cases? 国境を越えた案件について、DPAはどのように協力するのか?
The GDPR is enforced by independent national DPAs, as well as national courts. In cases that involve cross-border processing of personal data (processing that takes place or substantially affects data subjects in more than one Member State) the GDPR's ‘one-stop-shop' enforcement system applies. In such cases, the DPA where the entity under investigation is established conducts the investigation in cooperation with other relevant DPAs. GDPRは、各国の裁判所と同様に、各国の独立したDPAによって執行される。個人データのクロスボーダー処理(複数の加盟国で行われる、または実質的にデータ主体に影響を与える処理)を伴うケースでは、GDPRの「ワンストップ・ショップ」執行システムが適用される。このような場合、調査対象の事業体が設立されているDPAは、他の関連するDPAと協力して調査を実施する。
Under the GDPR, DPAs cooperate in order to reach consensus on the application of the GDPR. Where DPAs are unable to reach consensus in a cross-border case, the GDPR provides for dispute resolution by the European Data Protection Board (EDPB). GDPRの下では、DPAはGDPRの適用に関するコンセンサスを得るために協力する。国境を越えたケースでDPAが合意に達しない場合、GDPRは欧州データ保護委員会(EDPB)による紛争解決をプロバイダとして規定している。
How will DPAs cooperate under this proposal? この提案の下で、DPAはどのように協力するのか?
The proposal introduces additional steps in the cooperation between DPAs to facilitate early consensus-building and to reduce disagreements later in the process which would require the use of the dispute resolution mechanism. 本提案では、早期の合意形成を促進し、紛争解決メカニズムの利用を必要とするようなプロセスの後半での意見の相違を減らすために、DPA間の協力に追加のステップが導入される。
Early in an investigation, the lead DPA must send a ‘summary of key issues' to their counter-parts concerned in the EU. This summary identifies the main elements subject to investigation and the lead DPA's views on the case. This will ensure that the DPAs concerned have all the necessary information to provide their views on the case at an early stage. 調査の初期段階で、主導的なDPAは、EU域内の関係当事者に「重要事項の要約」を送付しなければならない。この要約では、調査の対象となる主な要素と、事案に関する主任DPAの見解が特定される。これにより、関係するDPAは、早い段階で案件に関する見解を提供するために必要な情報をすべて入手することができる。
Should a DPA disagree with the lead DPA's assessment, this authority can request a joint operation or mutual assistance mechanism, as provided by the GDPR. Should the DPAs still disagree on the scope of a complaint-based case, the proposal empowers the European Data Protection Board (EDPB) to adopt an urgent binding resolution to resolve such disagreement early in the process. DPAが主管DPAの評価に同意しない場合、この認可当局はGDPRの規定に従って共同作業または相互支援メカニズムを要請することができる。それでもなお、DPAが苦情に基づく案件の範囲について意見が一致しない場合、本提案は、欧州データ保護委員会(EDPB)に、そのような不一致をプロセスの早い段階で解決するための緊急拘束力のある決議を採択する権限を与える。
What does the proposal mean for complainants? この提案は苦情申立人にとって何を意味するのか?
Currently, DPAs have fragmented approaches to the notion of a complaint. The proposal harmonises the elements which must be provided by complainants in cross-border cases. The DPA that receives a complaint should be responsible for determining its admissibility. 現在、DPAは苦情という概念に対して断片的なアプローチをとっている。本提案は、国境を越えたケースにおいて、申立人がプロバイダとして提供しなければならない要素を調和させるものである。苦情を受理したDPAは、その可否を決定する責任を負うべきである。
The proposal also ensures that complainants will have the same procedural rights in cross-border cases regardless of where the complaint is lodged or which DPA leads the investigation, such as the right to be heard before a decision fully or partially rejecting a complaint, will be adopted.   また本提案では、苦情がどこに申し立てられたか、あるいはどのDPAが調査を主導したかにかかわらず、苦情申立人が国境を越えたケースにおいて同じ手続き上の権利を有することを保証している。 
The regulation recognises the usefulness of amicable settlements by DPAs, which  provide speedy resolution. 同規則は、迅速な解決を提供するDPAによる友好的和解の有用性を認めている。
Where a DPA follows up on a complaint, complainants will be able to make their views known on the allegations against the controller or processor, and, where necessary, to access documents in the administrative file. The proposal harmonises the right of the complainant to be heard prior to the full or partial rejection of a complaint. It ensures that whenever a complaint is rejected, complainants should be able to challenge the decision in court. DPAが苦情をフォローアップする場合、苦情申立人は、管理者または処理者に対する申し立てについて意見を述べ、必要であれば、管理ファイル内の文書にアクセスすることができる。本提案では、苦情が全面的または部分的に却下される前に、苦情申立人の意見を聞く権利を調和させている。これにより、苦情が却下された場合は常に、苦情申立人はその決定に対して法廷で異議を申し立てることができるようになる。
What does it mean for controllers and processors under investigation? 調査を受けている管理者と処理者にとってはどうなるのか?
Under the new rules, parties under investigation will have the right to be heard at key stages in the procedure, including during dispute resolution by the EDPB. It also clarifies the content of the administrative file and the parties' rights of access to the file. 新規則の下では、調査を受けている当事者は、EDPBによる紛争解決時を含め、手続きの主要な段階で意見を聞く権利を持つことになる。また、管理ファイルの内容や当事者のファイルへのアクセス権も明確化される。
The lead DPA should communicate their ‘preliminary findings' to such parties, namely the allegations and the supporting evidence. Under the dispute resolution mechanism, the EDPB should allow the parties to exercise their right to be heard before adopting its decision. 主管DPAは、「予備的所見」、すなわち申し立てとその裏付けとなる証拠を当該当事者に伝えるべきである。紛争解決メカニズムの下で、EDPBはその決定を採択する前に、当事者が意見を聞く権利を行使することを認めるべきである。
The proposal also lays down detailed rules regarding the treatment of confidential information. 本提案はまた、機密情報の取り扱いに関する詳細なルールも定めている。
For More Information 詳細情報
GDPR Procedural Regulation - press release GDPR手続き規則 ・ プレスリリース
GDPR Procedural Regulation GDPR手続き規則
Data protection in the EU (europa.eu) EUにおけるデータ保護(europa.eu)
EU data protection rules empower citizens (europa.eu) EUのデータ保護規則が市民に力を与える(europa.eu)
EDPB “wish-list” identifying procedures of cooperation between data protection authorities that could be harmonised at EU level EDPB、EUレベルで調和が可能なデータ保護認可機関間の協力手続きを「希望リスト」に示す
5th anniversary of the General Data Protection Regulation (europa.eu) 一般データ保護規則施行5周年 (europa.eu)
Further specifying procedural rules relating to the enforcement of the General Data Protection Regulation (europa.eu) 一般データ保護規則の施行に関する手続き規則をさらに規定する(europa.eu)


 

法案

● EUR-Lex

・2023.07.04 Document 52023PC0348 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL laying down additional procedural rules relating to the enforcement of Regulation (EU) 2016/679 COM/2023/348 final

EN

・[PDF] Link to document 1

20240410-55520

・[PDF] Link to document 2 (Annex)

20240410-55629

 

EUROPEAN COMMISSION 欧州委員会
Brussels, 4.7.2023 ブリュッセル、2023年7月4日
COM(2023) 348 final COM(2023) 348 最終版
2023/0202(COD) 2023/0202(COD)
Proposal for a 提案
REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL 欧州議会および理事会の規則に関する提案
laying down additional procedural rules relating to the enforcement of Regulation (EU) 2016/679 規則(EU)2016/679の施行に関する追加手続き規則を定める
EXPLANATORY MEMORANDUM 説明文書
1.CONTEXT OF THE PROPOSAL 1.提案の背景
•Reasons for and objectives of the proposal ・提案の理由と目的
Effective enforcement of EU data protection rules is a prerequisite to ensuring the protection of the right to protection of personal data enshrined in Article 8(1) of the Charter of Fundamental Rights of the European Union (the ‘Charter’) and Article 16(1) of the Treaty on the Functioning of the European Union (TFEU). EUデータ保護規則の効果的な施行は、欧州連合基本権憲章(「憲章」)第8条1項および欧州連合機能条約(TFEU)第16条1項に謳われる個人データ保護の権利の保護を確保するための前提条件である。
Independent national data protection authorities (DPAs) have been tasked with enforcing Regulation (EU) 2016/679 (General Data Protection Regulation or GDPR) 1 since its entry into application in 2018. The ‘one-stop-shop’ decentralised enforcement system aims to ensure consistent interpretation and application of the GDPR while preserving the principle of proximity, where individuals have the possibility to contact their local DPA and receive an answer. This systems requires cooperation between DPAs in ‘cross-border’ cases. In such cases, the ‘lead’ DPA (the DPA of the main establishment of the controller or processor under investigation) conducts the investigation, and is required to cooperate with other ‘concerned’ DPAs in an endeavour to reach consensus by engaging in a dialogue in a spirit of sincere and effective cooperation. The lead DPA must exercise its competence within a framework of close cooperation with DPAs concerned. Where DPAs are unable to reach consensus in a cross-border case, the GDPR provides for dispute resolution, on specific matters raised by so-called ‘relevant and reasoned objections’, by the European Data Protection Board (the Board), which is composed of the heads of the DPA of each Member State and the European Data Protection Supervisor and which includes the participation of the Commission. 独立した各国のデータ保護認可機関(DPA)は、規則(EU)2016/679(一般データ保護規則、GDPR)1が2018年に適用されて以来、その施行を任されている。ワン・ストップ・ショップ」の分散型執行システムは、個人が最寄りのDPAに連絡して回答を得る可能性があるという近接性の原則を維持しつつ、GDPRの一貫した解釈と適用を確保することを目的としている。 この制度では、「国境を越える」ケースではDPA間の協力が必要となる。このような場合、「主導的」DPA(調査対象となる管理者または処理者の主たる事業所のDPA)が調査を実施し、誠実かつ効果的な協力の精神で対話に参加することにより合意に達するよう努力し、他の「関係する」DPAと協力することが求められる。主管DPAは、関係DPAとの緊密な協力の枠組みの中で、その権限を行使しなければならない。国境を越えた事例においてDPAが合意に達することができない場合、GDP防御は、いわゆる「適切かつ理由ある異議申し立て」によって提起された特定の事項について、欧州データ保護理事会(理事会)による紛争解決を規定している。理事会は、各加盟国のDPAの長および欧州データ保護監督者(European Data Protection Supervisor)によって構成され、欧州委員会も参加する。
In its report following two years of the application of the GDPR, the Commission noted that further progress was needed to make the handling of cross-border cases more efficient and harmonised across the EU. 2 The report noted important differences in national administrative procedures and interpretations of concepts in the GDPR cooperation mechanism. In its resolution on the Commission’s 2020 report on the GDPR, the European Parliament urged the Commission to assess whether national administrative procedures hinder the full effectiveness of cooperation under Article 60 of the GDPR as well as its effective implementation. 3 The European Parliament called on the Board to establish basic elements of a common administrative procedure to handle complaints in cross-border cases under the cooperation established under Article 60 of the GDPR. In 2020, the Board launched a reflection on improving cooperation between DPAs in cross-border cases culminating in the adoption of a statement on enforcement cooperation in April 2022 which committed to identify a list of procedural aspects that could be further harmonised in EU law. 4 In October 2022 the Board transmitted this list to the Commission. 5 GDPRの適用から2年後の報告書において、欧州委員会は、国境を越えたケースの取り扱いをEU全体でより効率的かつ調和的なものにするためには、さらなる進展が必要であると指摘している。2 同報告書は、GDPRの協力メカニズムにおける各国の行政手続きや概念の解釈に重要な違いがあることを指摘している。 欧州議会は、GDPRに関する欧州委員会の2020年報告書に関する決議の中で、欧州委員会に対し、各国の行政手続きがGDPR第60条に基づく協力の完全な有効性とその効果的な実施を妨げていないかどうかを評価するよう求めた。3 欧州議会は理事会に対し、GDPR第60条に基づき確立された協力の下、国境を越えたケースにおける苦情を処理するための共通の行政手続きの基本的要素を確立するよう求めた。2020年、理事会は、国境を越えたケースにおけるDPA間の協力改善に関する検討を開始し、2022年4月には、EU法においてさらに調和させることが可能な手続き面のリストを特定することを約束した執行協力に関する声明を採択した。4 2022年10月、理事会はこのリストを欧州委員会に提出した。5
This proposal draws on the Commission’s 2020 report on the GDPR, the Board’s October 2022 list, and conclusions the Commission has drawn from monitoring the enforcement of the GDPR since its entry into application, from the GDPR Multi-stakeholder Expert Group 6 and from the GDPR Member States Expert Group 7 , as well as the comments the Commission has received in response to a Call for Evidence launched in February 2023. It is part of the Commission Work Programme 2023 8 (under the general heading “A new push for European Democracy”). 本提案は、GDPRに関する欧州委員会の2020年報告書、理事会の2022年10月のリスト、およびGDPR施行後の施行状況の監視、GDPRマルチステークホルダー専門家グループ6およびGDPR加盟国専門家グループ7から欧州委員会が得た結論、ならびに2023年2月に開始された証拠募集に対して欧州委員会が得た意見を踏まえている。これは、欧州委員会の「2023年作業計画」8(「欧州の民主主義のための新たな推進」という一般的な見出しの下)の一部である。
The consistent application of the GDPR depends on the effective functioning of the GDPR cross-border enforcement system. Procedural differences applied by DPAs hinder the smooth and effective functioning of the GDPR’s cooperation and dispute resolution mechanisms in cross-border cases. These differences also have important consequences for the rights of the parties under investigation and complainants (as data subjects). Ensuring the GDPR is enforced properly is a prerequisite for securing public trust in the broader digitalisation process and for guaranteeing a level playing field for all entities processing personal data. GDPRの一貫した適用は、GDPRの国境を越えた執行システムの効果的な機能にかかっている。DPAによって適用される手続き上の違いは、国境を越えたケースにおけるGDPRの協力および紛争解決メカニズムの円滑かつ効果的な機能を妨げている。これらの相違は、調査対象当事者や(データ主体としての)申立人の権利にも重要な影響を及ぼす。GDPRが適切に施行されるようにすることは、広範なデジタル化プロセスに対する国民の信頼を確保し、個人データを処理するすべての事業体に公平な競争条件を保証するための前提条件である。
The proposal aims to tackle problems in the following areas: この提案は、以下の分野の問題に取り組むことを目的としている:
·Complaints: Complaints are an essential source of information for detecting infringements of data protection rules. DPAs have varying interpretations on requirements for the form of a complaint, the involvement of complainants in the procedure, and the rejection of complaints. For example: a complaint accepted by some DPAs could be rejected by others on the basis that it provides insufficient information; some DPAs afford complainants equal rights to the parties under investigation, while others do not include complainants or involve complainants to a very limited extent; some DPAs adopt a formal decision rejecting all complaints which are not pursued, while other DPAs fail to do so. These differences mean that the treatment of complaints and the involvement of complainants varies depending on where the complaint is lodged, or which DPA is the lead DPA for a given case. As a result, they delay the conclusion of the investigation and the delivery of a remedy for the data subject in cross-border cases. In its resolution on the Commission’s 2020 report on the GDPR, the European Parliament highlighted the need to clarify the position of complainants in the case of cross-border complaints. ・苦情:苦情:苦情は,データ保護規則の違反を検知するために不可欠な情報源である。DPAは,苦情の形式,苦情申立人の手続きへの関与,苦情の却下に関する要件について,さまざまな解釈を行っている。例えば,あるDPAでは受理された苦情が,他のDPAでは情報不足を理由に却下される可能性があること,あるDPAでは苦情申立人に調査当事者と同等の権利を与えている一方,苦情申立人を含まないか,または極めて限定的にしか関与させないDPAもあること,あるDPAでは追求されなかったすべての苦情を却下する正式な決定を採用している一方,他のDPAではこれを採用していないことなどが挙げられる。このような違いは,苦情が提起された場所や,どのDPAが主管DPAであるかによって,苦情の扱いや申立人の関与が異なることを意味する。その結果,国境を越えたケースにおいて,調査の終了とデータ主体への救済措置の提供が遅れることになる。欧州議会は,GDPRに関する欧州委員会の2020年報告書に関する決議の中で,国境を越えた苦情の場合の申立人の立場を明確にする必要性を強調している。
·Procedural rights of parties under investigation: The rights of defence of parties under investigation constitute a fundamental principle of Union law to be respected in all circumstances, in particular in procedures which may give rise to high penalties. Given the potential severity of the penalties that may be imposed, parties under investigation for breaches of the GDPR must enjoy guarantees similar to those that are provided for in procedures of a penal character. The procedural rights of parties under investigation, such as the extent of the right to be heard and the right of access to the file, vary substantially across the Member States. The extent to which parties are heard, the timing of the hearing, and the documents that are provided to parties to enable them to exercise their right to be heard are elements on which Member States take varying approaches. These varying approaches are not always compatible with the procedure provided for in Article 60 GDPR, which rests on the presumption that the parties under investigation have exercised their due process rights before the draft decision is tabled by the lead DPA. When a case is submitted to the Board for dispute resolution, the extent to which the parties have been heard on the issues raised in the draft decision and the objections of DPAs concerned may vary. In addition, there is a lack of clarity on the extent to which parties under investigation should be heard during dispute resolution by the Board under Article 65 GDPR. Failure to guarantee the right to be heard may render the decisions of DPAs finding infringements of the GDPR more vulnerable to legal challenge. ・調査中の当事者の手続き上の権利:調査対象者の防御権:調査対象者の防御権は,いかなる状況においても尊重されるべき連邦法の基本原則であり,特に高額の罰則が課される可能性のある手続きにおいては尊重されるべきである。課される可能性のある罰則の重大性を考慮すると,GDPR違反の調査を受けている当事者は,刑罰を伴う手続きに規定されているものと同様の保証を享受しなければならない。聴聞権の範囲やファイルへのアクセス権など,調査を受ける当事者の手続き上の権利は,加盟国によって大きく異なる。当事者が聴取される範囲,聴取の時期,聴取の権利を行使できるようにするために当事者に提供される文書は,加盟国がさまざまなアプローチをとる要素である。 このような様々なアプローチは,GDPR第60条に規定されている手続きに必ずしも適合していない。GDPR第60条は,主管DPAが決定書草案を提出する前に,調査対象当事者がデュー・プロセスの権利を行使したことを前提としている。案件が紛争解決のために理事会に提出された場合,当事者が決定草案で提起された問題や関係するDPAの異議についてどの程度聴取を受けたかは様々であろう。加えて,GDPR第65条に基づく理事会による紛争解決において,調査中の当事者がどの程度聴取を受けるべきかについても明確でない。聴聞の権利が保証されないと,GDPRの侵害を認定したDPAの決定が法的な異議申し立てに対して脆弱性を増す可能性がある。
·Cooperation and dispute resolution: The cooperation procedure in Article 60 GDPR is broadly sketched. In cross-border cases, DPAs are required to exchange ‘relevant information’ in an endeavour to reach consensus. Once the lead DPA submits a draft decision in the case, other DPAs have the opportunity to raise ‘relevant and reasoned objections’. These objections raise the possibility of dispute resolution (when they are not followed by the lead DPA). While the dispute resolution procedure in Article 65 GDPR is an essential element of ensuring consistent interpretation of the GDPR, it should be reserved for exceptional cases where sincere cooperation between DPAs has not yielded consensus. Experience in the enforcement of the GDPR in cross-border cases shows that there is insufficient cooperation between DPAs prior to the submission of a draft decision by the lead DPA. Lack of sufficient cooperation and consensus-building on key issues in the investigation at this early stage has resulted in the submission of numerous cases to dispute resolution. ・協力と紛争解決 協力と紛争解決:GDPR第60条の協力手続きは大まかに説明されている。国境を越えたケースでは、DPAは合意形成のために「関連情報」を交換する必要がある。主管DPAが案件の決定ドラフトを提出すると、他のDPAは「適切かつ理由ある異議」を提起する機会を与えられる。これらの異議申し立てにより、(主管DPAが従わない場合)紛争解決の可能性が生じる。GDPR第65条の紛争解決手続きは、GDPRの一貫した解釈を確保するために不可欠な要素であるが、DPA間の誠実な協力が合意に至らなかった例外的なケースに留保されるべきである。国境を越えたケースにおけるGDPRの執行の経験から、主管DPAによる決定案の提出前のDPA間の協力が不十分であることが示されている。この早い段階での調査における重要事項についての十分な協力と合意形成の欠如は、多くの案件を紛争解決に付す結果となっている。
There are disparities in the form and structure of relevant and reasoned objections submitted by DPAs concerned during the cross-border cooperation procedure. These differences hinder the efficient conclusion of the dispute resolution procedure and the inclusion of all DPAs concerned in the procedure, in particular DPAs of smaller Member States, which have less resources than the DPAs of larger Member States. 国境を越えた協力手続きの間に、関係するDPAから提出される関連性のある理由付き異議申し立ての形式や構成には格差がある。このような相違は、紛争解決手続の効率的な終結と、関係するすべてのDPAの手続への参加を妨げており、特に、より大きな加盟国のDPAよりもリソースの少ない、より小さな加盟国のDPAはその傾向が強い。
·The GDPR does not provide deadlines for various stages of the cooperation and dispute resolution procedure. In light of the varying complexity of investigations and the discretion of DPAs to investigate infringements of the GDPR, it is not desirable to prescribe deadlines for every stage of the procedure. However, the imposition of deadlines where appropriate will help prevent undue delay in the completion of cases. ・GDPRは,協力および紛争解決手続の様々な段階について期限を定めていない。調査の複雑さは様々であり,GDPRの侵害を調査するDPAの裁量を考慮すると,手続きの各段階に期限を規定することは望ましくない。しかし,適切な場合には期限を設けることで,案件の完了が不当に遅れることを防ぐことができる。

The proposal aims to address these issues by specifying procedural rules for certain stages of the investigation process in cross-border cases, thereby supporting the smooth functioning of the GDPR cooperation and dispute resolution mechanisms. In particular, the proposal tackles the problems identified above in the following ways:
本提案は、国境を越えたケースにおける調査プロセスの特定の段階に関する手続きルールを規定することにより、これらの問題に対処し、GDPRの協力および紛争解決メカニズムの円滑な機能を支援することを目的としている。特に、本提案では、上記で特定された問題に以下の方法で取り組んでいる:
·Form of complaints and position of complainants: The proposal provides a form specifying the information required for all complaints under Article 77 GDPR concerning cross-border processing and specifies procedural rules for the involvement of complainants in the procedure, including their right to make their views known. It specifies procedural rules for the rejection of complaints in cross-border cases and clarifies the roles of the lead DPA and the DPA with which the complaint was lodged in such cases. It recognises the importance and the legality of amicable settlement of complaint-based cases. ・苦情の形式と申立人の立場: 本提案では,国境を越えた処理に関するGDPR第77条に基づくすべての苦情に必要な情報を明記した書式をプロバイダに提供し,意見を公表する権利を含む,苦情申立人の手続への関与に関する手続規則を規定している。 また,国境を越えたケースにおける苦情の却下に関する手続き規則を規定し,このようなケースにおける主管DPAと苦情を申し立てたDPAの役割を明確にしている。苦情に基づくケースの友好的解決の重要性と合法性を認識している。
·Targeted harmonisation of procedural rights in cross-border cases: The proposal provides the parties under investigation with the right to be heard at key stages in the procedure, including during dispute resolution by the Board, and clarifies the content of the administrative file and the parties’ rights of access to the file. The proposal thereby strengthens the parties’ rights of defence and ensures consistent observance of these rights regardless of which DPA is leading the investigation. ・国境を越えた事件における手続き上の権利の調和を目指す: 本提案は,審査委員会による紛争解決中など,手続きの重要な段階において,調査対象当事者に意見を聞く権利をプロバイダとして提供し,行政ファイルの内容および当事者がファイルにアクセスする権利を明確化する。本提案により,当事者の防御権が強化され,どのDPAが調査を主導するかにかかわらず,これらの権利の一貫した遵守が保証される。
·Streamlining cooperation and dispute resolution: The proposal equips DPAs with the tools necessary to achieve consensus by giving added substance to the requirement for DPAs to cooperate and to share “relevant information” set out in Article 60 GDPR. This Regulation establishes a framework for all DPAs to meaningfully impact a cross-border case by providing their views early in the investigation procedure and making use of all tools provided by the GDPR. Crucially, this will facilitate consensus-building and reduce the likelihood of disagreements later in the procedure, which would require the use of the dispute resolution mechanism. Where there is disagreement between DPAs on the key issue of the scope of the investigation in complaint-based cases, the proposal provides a role for the Board to resolve the disagreement by adopting an urgent binding decision. Involving the Board on this discrete issue provides the lead DPA with the necessary clarity to proceed with the investigation and ensures that the disagreement on the scope of the investigation will not require the use of the Article 65 dispute resolution mechanism. ・協力と紛争解決の合理化: 本提案は,GDPR第60条に規定されたDPAの協力と「関連情報」の共有の要件に実質を与えることで,DPAに合意形成に必要な手段を提供する。本規則は,すべてのDPAが調査手続きの早い段階で意見を提供し,GDPRが提供するすべてのツールを活用することで,クロスボーダー案件に有意義な影響を与えるための枠組みを確立するものである。重要なことは,これにより合意形成が促進され,手続きの後半で意見の相違が生じ,紛争解決メカニズムの利用が必要となる可能性が低くなることである。苦情ベースのケースにおいて,調査の範囲という重要な問題に関してDPA間で意見の相違がある場合,本提案では,緊急の拘束力のある決定を採択することによって意見の相違を解決する役割を理事会に提供している。この個別の問題に関して理事会が関与することで,主導的なDPAは調査を進めるために必要な明確性を得ることができ,調査範囲に関する意見の相違が第65条の紛争解決メカニズムの利用を必要としないことが保証される。
The proposal lays down detailed requirements for the form and structure of relevant and reasoned objections raised by DPAs concerned, thereby facilitating the effective participation of all DPAs and the targeted and swift resolution of the case. 本提案では、関係するDPAが提出する、関連性があり、理由がある異議申立書の形式と構成に関する詳細な要件を定めており、これにより、すべてのDPAの効果的な参加と、的を絞った迅速な事件解決が促進される。

·The proposal lays down procedural deadlines for the dispute resolution procedure, specifies the information to be provided by the lead DPA when submitting the matter to dispute resolution, and clarifies the role of all actors involved in dispute resolution (lead DPA, DPAs concerned and the Board). In this way, the proposal facilitates the swift completion of the dispute resolution procedure for the parties under investigation and data subjects.
・本提案は、紛争解決手続の期限を定め、紛争解決に案件を提出する際に主管DPAが提供すべき情報を規定し、紛争解決に関与するすべての関係者(主管DPA、関係DPAおよび理事会)の役割を明確にしている。このように、本提案は、調査当事者およびデータ主体にとって、紛争解決手続の迅速な完了を促進するものである。
•Consistency with existing policy provisions in the policy area ・政策分野における既存の政策規定との整合性

The proposal complements the GDPR by specifying procedural rules for key stages of the investigation process established by the GDPR. It does not affect the rights of data subjects, the obligations of data controllers and processors, or the lawful grounds for processing personal data as set out by the GDPR.
本提案は、GDPRによって確立された調査プロセスの鍵段階に関する手続き規則を規定することで、GDPRを補完するものである。本提案は、データ主体の権利、データ管理者および処理者の義務、GDPRが定める個人データ処理の合法的根拠に影響を与えるものではない。
The proposal builds on the basic principles of the GDPR concerning complaints, cooperation and dispute resolution, and supplements these provisions with targeted additions to enhance the effectiveness and efficiency of enforcement in cross-border cases. 本提案は、苦情、協力、紛争解決に関するGDPRの基本原則を基礎とし、国境を越えたケースにおける執行の有効性と効率性を高めるために、これらの規定を的を絞った追加条項で補完するものである。
•Consistency with other Union policies ・他のEU政策との整合性

The proposal is fully consistent and compatible with existing Union policies in other areas.
本提案は、他の分野における既存のEU政策と完全に整合し、互換性がある。
2.LEGAL BASIS, SUBSIDIARITY AND PROPORTIONALITY 2.法的根拠、補完性、比例性
•Legal basis ・法的根拠

The legal basis for the proposal is Article 16 of the Treaty on the Functioning of the European Union (TFEU).
本提案の法的根拠は、欧州連合機能条約(TFEU)第16条である。
Article 16 TFEU empowers the European Parliament and the Council to lay down rules regarding the protection of individuals with regard to the processing of personal data and the free movement of such data. The proposal concerns the enforcement of the GDPR in cross-border cases. The objective of such enforcement is to ensure the right of data subjects to protection of their personal data. As such, Article 16 TFEU is the appropriate legal basis for the proposal. TFEU第16条は、欧州議会と理事会に、個人データの処理とその自由な移動に関する個人の保護に関する規則を定める権限を与えている。この提案は、国境を越えたケースにおけるGDPRの施行に関するものである。このような施行の目的は、データ主体が個人データを保護する権利を確保することである。そのため、TFEU16条が本提案の適切な法的根拠となる。
•Subsidiarity (for non-exclusive competence) ・補完性(非独占的権限の場合)

The EU is best placed to act because the proposal relates to an existing procedure established by the GDPR that involves the DPAs of several EU Member States and the European Data Protection Board (an EU body). Accordingly, the problems identified above cannot be solved by EU Member States acting alone.
この提案は、GDPRによって確立された既存の手続きに関連しており、複数のEU加盟国のDPAと欧州データ保護委員会(EUの機関)が関与しているため、EUが行動するのが最適である。したがって、EU加盟国が単独で行動することでは、上記で識別された問題を解決することはできない。
•Proportionality ・比例性
This proposal ensures an appropriate balance between meeting the objective of ensuring the smooth functioning of cross-border enforcement of the GDPR while not unduly interfering with national legal systems. 本提案は、GDPRの国境を越えた執行の円滑な機能を確保するという目的を満たす一方で、各国の法制度に過度に干渉しないという適切なバランスを確保するものである。
The proposal aims to ensure the smooth functioning of the cooperation and dispute resolution mechanism established by the GDPR. Accordingly, the proposal concerns only cross-border cases under the GDPR. Such cases involve DPAs of several EU Member States and the Board. 本提案は、GDPRによって設立された協力および紛争解決メカニズムの円滑な機能を確保することを目的としている。したがって、本提案はGDPRに基づく国境を越えたケースにのみ関係する。このような案件には、複数のEU加盟国および理事会のDPAが関与する。
The extent to which parties under investigation are heard and the involvement of complainants in the administrative procedure are currently covered by national procedural rules. These elements influence the way an investigation is conducted from beginning to end. As such, targeted harmonisation of the right to be heard and the involvement of complainants at key stages in the procedure and only in cross-border cases is essential in order to achieve the objective of the proposal – to streamline cross-border enforcement – and does not go beyond what is necessary in the circumstances. Crucially, the right of parties under investigation to be heard already applies to investigations carried out by DPAs under the GDPR, since the right to be heard is an essential element of the rights of defence and the right to good administration as guaranteed by the Charter. Likewise, the complainant must be informed on the progress of her or his complaint under Article 77(2) GDPR. The proposal mainly harmonises and frames the modalities of these procedural steps. 調査対象者の意見を聞く範囲や、行政手続きへの申立人の関与は、現在、各国の手続き規則によってカバーされている。これらの要素は、最初から最後まで調査の進め方に影響を与える。そのため、国境を越えたケースに限り、手続の重要な段階において、聴聞を受ける権利と申立人の関与を対象とした調和を図ることは、提案の目的である国境を越えた取締りの合理化を達成するために不可欠であり、状況に応じて必要な範囲を超えるものではない。極めて重要なのは、GDPRのもとでDPAが実施する調査には、被調査当事者の聴聞権がすでに適用されていることである。聴聞権は、同憲章が保証する防御権と善良な管理者の権利の不可欠な要素だからである。同様に、GDPR第77条2項に基づき、申立人は申立の進捗状況を通知されなければならない。本提案は、主にこれらの手続きステップの調和と枠組みを図るものである。
•Choice of the instrument ・手段の選択
A regulation is the appropriate instrument for the proposal. The proposal supplements a procedure laid down in an existing regulation, the GDPR. It aims to tackle the issue of diverging procedural approaches by DPAs by harmonising certain aspects of the administrative procedure applied by DPAs when enforcing the GDPR. Accordingly, a regulation (which is directly applicable in the Member States) is necessary to reduce legal fragmentation and ensure the degree of harmonisation required to guarantee the smooth functioning of the cooperation and consistency mechanisms established by the GDPR and to provide legal certainty to complainants, parties under investigation and DPAs. A directive, which affords the Member States discretion as to how to achieve the desired results, would not ensure the degree of harmonisation necessary to achieve the objectives of the proposal. 規則が本提案の適切な手段である。この提案は、既存の規則であるGDPRに定められている手続きを補足するものである。この提案は、GDPRを施行する際にDPAが適用する行政手続の特定の側面を調和させることにより、DPAによる手続アプローチの相違という問題に取り組むことを目的としている。したがって、(加盟国に直接適用される)規則は、法律の分断を減らし、GDPRによって確立された協力および一貫性のメカニズムの円滑な機能を保証するために必要な程度の調和を確保し、申立人、被調査当事者およびDPAに法的確実性を提供するために必要である。望ましい結果を達成する方法について加盟国に裁量を与える指令では、提案の目的を達成するために必要なハーモナイゼーションの程度を確保することはできない。
3.RESULTS OF EX-POST EVALUATIONS, STAKEHOLDER CONSULTATIONS AND IMPACT ASSESSMENTS 3.事後評価、利害関係者協議、影響評価の結果
•Ex-post evaluations/fitness checks of existing legislation ・現行法の事後評価/適合性チェック
In its report following two years of the application of the GDPR, the Commission noted that further progress was needed to make the handling of cross-border cases more efficient and harmonised across the EU. 9 In a staff working document accompanying the report, 10 the Commission identified the need to tackle differences in the following areas: GDPRの適用から2年が経過した後の報告書の中で、欧州委員会は、国境を越えたケースの取り扱いをEU全体でより効率的かつ調和的なものにするためには、さらなる進展が必要であると指摘している。9 報告書に添付されたスタッフの作業文書10において、欧州委員会は、以下の分野における相違に取り組む必要性を指摘している:
·national administrative procedures, concerning in particular: complaint handling procedures, the admissibility criteria for complaints, the duration of proceedings due to different timeframes or the absence of any deadlines, the moment in the procedure when the right to be heard is granted, the information and involvement of complainants during the procedure; ・特に、苦情処理手続き、苦情の認容基準、時間枠が異なることによる手続き期間、または期限がないことによる手続き期間、審問を受ける権利が付与される手続き中の瞬間、手続き中の情報提供および申立人の関与に関するものである;
·interpretations of concepts relating to the cooperation mechanism; and ・協力メカニズムに関する概念の解釈
·the approach to when to start the cooperation procedure, involve DPAs concerned and communicate information to them. ・協力手続きの開始時期,関係するDPAの関与,DPAへの情報伝達に関するアプローチ。
In its resolution on the Commission’s 2020 report on the GDPR, the European Parliament urged the Commission to assess whether national administrative procedures hinder the full effectiveness of cooperation under Article 60 of the GDPR as well as its effective implementation. 11 The European Parliament called on the Board to establish basic elements of a common administrative procedure to handle complaints in cross-border cases under the cooperation established under Article 60 of the GDPR. In 2020, the Board launched a reflection on improving cooperation between DPAs in cross-border cases. Following this reflection, 12 in October 2022 the Board transmitted to the Commission a list identifying procedural aspects of the cooperation between DPAs that could be harmonised at EU level. 13 欧州議会は、GDPRに関する欧州委員会の2020年報告書に関する決議の中で、欧州委員会に対し、GDPR第60条に基づく協力の完全な有効性とその効果的な実施を、各国の行政手続きが妨げていないかどうかを評価するよう求めた。11 欧州議会は理事会に対し、GDPR第60条の下で確立された協力の下で、国境を越えたケースの苦情を処理するための共通の行政手続きの基本要素を確立するよう求めた。2020年、理事会は、国境を越えたケースにおけるDPA間の協力改善に関する検討を開始した。この検討を受けて、2022年10月、理事会は欧州委員会に対し、EUレベルで調和させることが可能なDPA間の協力の手続き的側面を特定するリストを提出した12。13
In the report following two years of the application of the GDPR, the Commission noted that there had not yet been any examples of dispute resolution at Board level. Since the publication of the report in 2020, the Board has adopted eight binding decisions under Article 65(1)(a) GDPR. The Commission’s participation in the Board has allowed it to draw lessons regarding the functioning of the dispute resolution mechanism. In particular, the Commission’s assessment is that the expediency of the investigation could be improved and dispute resolution could be avoided by increasing the level of cooperation between DPAs prior to the submission of a draft decision by the lead DPA. GDPR適用2年後の報告書の中で、欧州委員会は、理事会レベルでの紛争解決の例はまだないと指摘している。2020年の報告書発表以降、理事会はGDPR第65条1項(a)に基づく拘束力のある決定を8件採択している。欧州委員会は、理事会への参加を通じて、紛争解決メカニズムの機能に関する教訓を得ることができた。特に、欧州委員会の評価では、主導的なDPAが決定案を提出する前に、DPA間の協力レベルを高めることにより、調査の迅速性を改善し、紛争解決を回避することができるとしている。
•Stakeholder consultations ・ステークホルダーとの協議
The preparation of the proposal rests on input from a wide range of stakeholders. There was broad agreement among stakeholders that more could be done to improve the efficiency of cross-border enforcement of the GDPR. 本提案の作成は、幅広い利害関係者からの情報に基づいている。利害関係者の間では、GDPRの国境を越えた執行の効率性を改善するために、もっとできることがあるとの意見で広く一致していた。
In particular, the Commission received input on the proposal from the following channels: 特に、欧州委員会は本提案について、以下のルートから意見を得た:
·The Board: The Board is composed of the DPAs, the enforcers of the GDPR. It is tasked with, among others tasks, dispute resolution in cross-border cases under the GDPR. As such, the Commission took due account of the Board’s input at all stages of the preparatory process. In the first instance, the proposal responds to the list of issues transmitted to the Commission by the Board in October 2022 identifying aspects of the cross-border enforcement procedure that could be harmonised at EU level. The proposal addresses most of the issues identified by the Board in its list. In certain cases, the Commission decided not to address the issues identified by the Board, in particular where the Commission felt that the issue was already adequately addressed by the GDPR, or that the matter should remain within the discretion of the lead DPA or be determined by national law. In addition, the proposal tackles certain issues beyond those identified by the Board in its list, where the Commission considered this necessary to ensure the smooth functioning of cross-border enforcement and respect for due process rights. The Commission also conducted targeted consultation on aspects of the proposal with subgroups of the Board that deal with cross-border cooperation and enforcement at meetings on 21 March 2023 and 24 April 2023, to avail of the expertise of DPAs dealing with these issues in their daily work. The Board was fully supportive of the Commission taking action in this area and provided valuable input to the Commission at the March and April 2023 meetings. ・理事会: 理事会: 理事会は、GDPRの施行者であるDPAで構成されている。同審議会は、GDPRの施行者であるDPAで構成されており、特にGDPRに基づく国境を越えた案件の紛争解決を任務としている。そのため、欧州委員会は、準備プロセスのすべての段階において、理事会の意見を十分に考慮した。初動対応として、本提案は、2022年10月に同審議会が欧州委員会に提出した、EUレベルで調和させることが可能な国境を越えた執行手続の側面を特定する問題リストに対応している。同提案は、理事会がリストの中で特定した問題のほとんどに対応している。特に、その問題がGDPRですでに十分に対処されていると欧州委員会が判断した場合や、その問題は主管する規制当局の裁量の範囲内にとどめるべきであると欧州委員会が判断した場合、あるいは国内法によって決定されるべきであると欧州委員会が判断した場合などである。さらに、欧州委員会が、国境を越えた取締りの円滑な機能と適正手続きの権利の尊重を確保するために必要であると判断した場合には、同提案は、理事会がリストの中で特定した事項以外の特定の問題にも取り組んでいる。欧州委員会はまた、2023年3月21日および4月24日に開かれた理事会の国境を越えた協力と執行を扱うサブグループとの会合で、提案の側面について的を絞った協議を行った。理事会は、欧州委員会がこの分野で行動を起こすことを全面的に支持し、2023年3月と4月の会合で欧州委員会に貴重な意見を提供した。
·The GDPR Multi-stakeholder Expert Group: This expert group was established to assist the Commission with the application of the GDPR. It is composed of representatives from civil society, business, academics and legal practitioners. There was broad support among this group for the Commission taking action in this area through a legislative proposal. A meeting held on 19 October 2022 held a first discussion on the Board’s October 2022 list and a second meeting on 21 April 2023 was used by the Commission to consult on specific aspects of the proposal. Given the wide variety of stakeholders represented in this group, views among stakeholders on particular aspects of the proposal varied. All stakeholders supported the provision of a legal framework for amicable settlement in the proposal. NGOs welcomed the Commission’s intention to harmonise the form of complaints and supported involvement of the complainant in the procedure, noting the wide differences in the treatment of complaints in the Member States. Industry groups representing controllers and processors emphasised the need to afford the parties under investigation the right to be heard and to encourage the resolution of disagreements between DPAs early in the investigation process. ・GDPRマルチステークホルダー専門家グループ この専門家グループは、GDPRの適用に関して欧州委員会を支援するために設立された。市民社会、企業、学者、法律家の代表者で構成されている。このグループの間では、欧州委員会がこの分野で立法案を通じて行動を起こすことに幅広い支持が寄せられた。2022年10月19日に開催された会合では、理事会の2022年10月リストに関する最初の討議が行われ、2023年4月21日に開催された2回目の会合では、欧州委員会が提案の特定の側面について協議を行った。このグループにはさまざまな利害関係者が代表者として参加していたため、提案の特定の側面に関する利害関係者間の見解はさまざまであった。すべての利害関係者は、提案に円満解決のための法的枠組みが規定されていることを支持した。NGOは、欧州委員会が苦情の形式を調和させる意向であることを歓迎し、加盟国における苦情の扱いに大きな違いがあることを指摘しつつ、申立人の手続きへの関与を支持した。管理者および処理者の代表者である業界団体は、調査当事者に意見を聞く権利を与え、調査プロセスの早い段階でDPA間の意見の相違を解決することを奨励する必要性を強調した。
·The Member States GDPR Expert Group: This Expert Group serves as a forum for sharing views and information between the Commission and the Member States on the application of the GDPR. The Commission solicited the views of Member States on the Board’s October 2022 list prior to commencement of the drafting process. Member States were broadly supportive of and welcomed the idea of a proposal for a legislative initiative to enhance cross-border enforcement of the GDPR. However, certain Member States with horizontal procedural rules applicable to all administrative procedures identified possible interference with these rules, in particular with regard to the harmonisation of the rights of parties to be heard and the involvement of complainants in the procedure. Accordingly, the Commission has carefully limited harmonisation of these aspects in the proposal to cross-border cases and to the extent necessary to ensure the smooth functioning of the cooperation and dispute resolution mechanism. The Commission held a dedicated meeting with the Member States GDPR Expert Group on 19 April 2023. ・加盟国GDPR専門家グループ: 加盟国GDPR専門家グループ:この専門家グループは、GDPRの適用に関する欧州委員会と加盟国間の意見および情報共有の場として機能している。欧州委員会は、ドラフトプロセスの開始に先立ち、2022年10月の理事会リストについて加盟国の意見を求めた。加盟国は、GDPRの国境を越えた執行を強化するための立法措置の提案に大筋で賛成し、歓迎した。しかし、すべての行政手続きに適用される水平手続き規則を有する一部の加盟国は、特に当事者の傍聴権と申立人の手続きへの参加の調和に関して、これらの規則が干渉される可能性を指摘した。従って、欧州委員会は、本提案におけるこれらの側面の調和を、国境を越えたケースに限定し、また、協力および紛争解決メカニズムの円滑な機能を確保するために必要な範囲に慎重に限定した。欧州委員会は2023年4月19日、加盟国のGDPR専門家グループとの専門会合を開催した。
The Commission also held bilateral meetings on the proposal on request, with NGOs, national authorities and industry representative organisations. また、欧州委員会は、NGO、各国当局、業界代表者との間で、要請に応じて同提案に関する二者間会合を開催した。
The Commission published a call for evidence from 24 February to 24 March 2023 and received 73 responses. The Commission received feedback from a wide variety of stakeholders, including NGOs and industry associations. 欧州委員会は、2023年2月24日から3月24日まで証拠募集を行い、73件の回答を得た。欧州委員会は、NGOや業界団体を含むさまざまな利害関係者から意見を得た。
The Commission has taken due account of the feedback of all stakeholders in the preparation of the proposal. 欧州委員会は、提案の作成にあたり、すべての利害関係者の意見を十分に考慮した。
•Collection and use of expertise ・専門知識の収集と活用
The proposal takes into account the range of input received from stakeholders during the preparatory process, in particular the expertise provided by the Board, the GDPR Multi-stakeholder Expert Group, and the Member States GDPR Expert Group. 本提案は、準備過程において関係者から寄せられたさまざまな意見、特に理事会、GDPRマルチステークホルダー専門家グループ、加盟国GDPR専門家グループから提供された専門知識を考慮している。
The proposal also relies on the case law of the Court of Justice of the European Union (CJEU), in particular case law concerning the operation of the cooperation and consistency mechanism in the GDPR, as well as case law concerning the right to be heard and the right to good administration in Article 41 of the Charter. また、本提案は、欧州連合司法裁判所(CJEU)の判例法、特にGDPRにおける協力および一貫性のメカニズムの運用に関する判例法、ならびに憲章第41条における聴聞の権利および善良な管理者の権利に関する判例法にも依拠している。
•Impact assessment ・影響評価
An impact assessment was not carried out for the proposal. The proposal does not affect the rights of data subjects, the obligations of data controllers and processors, nor the lawful grounds for processing personal data as set by the GDPR. 本提案に対する影響評価は実施されなかった。本提案は、データ主体者の権利、データ管理者および処理者の義務、GDPRが定める個人データ処理の合法的理由に影響を与えるものではない。
The proposal complements the GDPR in a targeted way by specifying procedural rules for the cross-border enforcement procedure established by Chapter VII GDPR. In this way, the proposal operates within the procedural framework established by the GDPR. 本提案は、GDPR第VII章によって確立された国境を越えた執行手続きに関する手続き規則を規定することにより、GDPRを対象的に補完するものである。このように、本提案はGDPRによって確立された手続きの枠組みの中で運用される。
As such, the impact of the proposal will be limited to enhancing the functioning of the cross-border enforcement procedure laid down by the GDPR. The proposal does not alter the roles of the actors in this procedure – complainants, the lead DPA, DPAs concerned, and the Board – which are laid down in the GDPR. Therefore, the proposal will not lead to significant economic, environmental, or social impacts, or entail significant spending. そのため、本提案の機能は、GDPRが定める国境を越えた執行手続の機能を強化することに限定される。本提案は、この手続における関係者(申立人、主管DPA、関係DPA、および理事会)の役割を変更するものではない。したがって、本提案が経済的、環境的、社会的に重大な影響をもたらすことはなく、多額の支出を伴うこともない。
Harmonisation of these procedural aspects will have a positive impact for DPAs, complainants, parties under investigation and public confidence in the GDPR: これらの手続き面の調和は、DPA、申立人、調査対象者、GDPRに対する国民の信頼にプラスの影響を与える:
·DPAs – the initiative will support the cooperation procedure and provide clarity on the arrangements for and timing of cooperation in cross-border cases. This will allow DPAs to make more efficient use of their resources. In addition, by providing DPAs with tools to enhance their cooperation in cross-border cases, the initiative will facilitate consensus-building among DPAs, reducing the number of disagreements and promoting a spirit of cooperation. ・DPA:このイニシアチブは,協力手続きをサポートし,国境を越えたケースにおける協力の取り決めとタイミングを明確にする。これにより,DPAはリソースをより効率的に活用できるようになる。さらに,クロスボーダー案件における協力を強化するためのツールをDPAにプロバイダすることで,DPA間の合意形成を促進し,意見の相違を減らし,協力の精神を促進する。
·Complainants and data subjects – streamlining cooperation between DPAs when enforcing the GDPR will support the timely completion of investigations. This will help to deal more efficiently with infringements of the GDPR and to deliver a swift remedy for the data subject. In addition, complainants will have the same opportunity to be involved in the procedure in cross-border cases regardless of where the complaint is lodged or which DPA is the lead DPA. ・不服申立人とデータ主体 ・ GDPR施行時のDPA間の協力を合理化することで,タイムリーな調査完了をサポートする。これにより,GDPR違反への対処がより効率的になり,データ主体への迅速な救済が実現する。さらに,国境を越えたケースにおいても,苦情がどこで申し立てられたか,またはどのDPAが主導的なDPAであるかにかかわらず,苦情申立人は同じように手続きに関与する機会を与えられる。
·Parties under investigation – improving cooperation in cross-border cases will help to shorten investigations and ensure the provision of necessary guarantees, such as the right to be heard and to access the file, thereby ensuring protection of the right to good administration (Article 41 of the Charter) and the rights of defence (Article 48 of the Charter) of the parties under investigation. Harmonisation of these rights will also make the final decision more robust. ・調査対象者 ・ 国境を越えたケースにおける協力の改善は、調査の短縮に役立ち、また、聴聞権やファイルへのアクセス権などの必要な保証の提供を確保することにより、調査対象者の善良な管理者の権利(憲章第41条)および防御権(憲章第48条)の保護を確保する。これらの権利の調和は、最終決定をより強固なものにする。
·Public confidence in the GDPR – the initiative will strengthen public confidence in the GDPR by facilitating a swifter resolution of investigations and reducing the number of disagreements between DPAs in cross-border cases. ・GDPRに対する国民の信頼 ・ このイニシアティブは,調査の迅速な解決を促進し,国境を越えたケースにおけるDPA間の意見の相違の数を減らすことにより,GDPRに対する国民の信頼を強化する。
•Regulatory fitness and simplification ・規制の適合性と簡素化
Not applicable 該当しない
•Fundamental rights ・基本的権利
By facilitating the swift resolution of cross-border cases, the proposal supports the right of data subjects to protection of their personal data under Article 8 of the Charter and the right to an effective remedy under Article 47 of the Charter. 国境を越えた案件の迅速な解決を促進することで、本提案は、データ主体が個人データ憲章第8条に基づき個人データを保護される権利と、同第47条に基づき効果的な救済を受ける権利を支援する。
By harmonising the right of parties under investigation to be heard and to access the file, the proposal ensures the parties’ rights to good administration under Article 41 of the Charter and rights of defence under Article 48 of the Charter are observed. 調査中の当事者が聴取を受け、ファイルにアクセスする権利を調和させることにより、本提案は、憲章第41条に基づく善良な管理者の権利および憲章第48条に基づく防御の権利が守られることを保証する。
4.BUDGETARY IMPLICATIONS 4.予算への影響
This proposal will not have any substantial budgetary implications. 本提案が予算に与える実質的な影響はない。
5.OTHER ELEMENTS 5.その他の要素
•Implementation plans and monitoring, evaluation and reporting arrangements ・実施計画および監視,評価,報告の取り決め
The Commission will monitor the application of the Regulation together with its ongoing monitoring of the application of the GDPR. 欧州委員会は、GDPRの適用に関する継続的な監視とともに、同規則の適用を監視する。
•Explanatory documents (for directives) ・説明文書(指令の場合)
Not applicable 該当なし
•Detailed explanation of the specific provisions of the proposal ・提案の具体的規定の詳細説明
Chapter I defines the subject of the regulation and sets out the definitions used throughout the instrument. The definitions used in the GDPR apply to the proposal. The proposal addresses only the cross-border enforcement of the GDPR. 第1章では、本規則の対象を定義し、本規則で使用される定義を定めている。GDPRで使用されている定義が本提案に適用される。本提案はGDPRの国境を越えた施行にのみ対応している。
Chapter II provides detailed rules on the submission and handling of complaints. It prescribes a form specifying the information required for cross-border complaints submitted on the basis of Article 77 GDPR and provides factors for DPAs to take into account when considering the extent appropriate to investigate a complaint. The provision of a common form for all cross-border complaints simplifies the complaint procedure for data subjects and removes the fragmented approaches to the concept of a complaint. Article 3 requires DPAs to provide the complainant with an acknowledgement of the complaint. Article 5 provides a legal framework for the amicable settlement of complaints to facilitate the use of amicable settlement by DPAs and to clarify the legal implications of amicable settlement for complainants and DPAs. Article 6 provides detailed rules regarding the translation of documents during cross-border cooperation. 第2章では、苦情の提出と処理に関する詳細な規則を定めている。GDPR第77条に基づいて提出される国境を越えた苦情に必要な情報を規定する書式をプロバイダが規定し、DPAが苦情を調査する適切な範囲を検討する際に考慮すべき要素を規定している。すべての国境を越えた苦情に共通の書式を提供することで、データ主体に対する苦情手続きを簡素化し、苦情の概念に対する断片的なアプローチを取り除く。第3条は、DPAに対し、苦情申立者に苦情の確認書を提供することを義務付けている。第5条は、DPAによる友好的解決の利用を促進し、申立人とDPAにとっての友好的解決の法的意味を明確にするため、苦情の友好的解決に関する法的枠組みを提供する。第6条は、国境を越えた協力の際の文書の翻訳に関する詳細な規則を定めている。
Chapter III concerns cooperation between supervisory authorities in cross-border cases. 第3章は、国境を越えたケースにおける監督当局間の協力に関するものである。
Section 1 provides additional tools for DPAs to reach consensus in cross-border cases. It specifies that ‘relevant information’ to be shared by supervisory authorities during cross-border cooperation should include certain documents and that these documents should be shared at the DPA’s earliest convenience. This provision ensures that DPAs concerned will have all information required to provide their views on the investigation to the lead DPA. 第1節では、国境を越えた事案においてDPAが合意に達するための追加的な手段を提供している。国境を越えた協力の際に監督当局が共有すべき「関連情報」には特定の文書が含まれるべきであり、これらの文書はDPAの最も早い都合で共有されるべきであると規定している。この規定により、関係するDPAは、主管DPAに調査に関する意見を提供するために必要なすべての情報を確実に入手することができる。
Article 9 provides that once the lead DPA has formed a preliminary view on the investigation, it shall send a ‘summary of key issues’ identifying the main findings of fact and the lead DPA’s views on the case to DPAs concerned. The purpose of the summary of key issues is to allow DPAs concerned to meaningfully impact the course of the investigation at an early stage by providing their views on the lead DPA’s assessment. This will help DPAs to resolve disagreements regarding, for example, the legal assessment or, in complaint-based cases, the scope of the investigation, at an early stage, thus reducing the likelihood of dispute resolution later in the procedure. Where there is no agreement at this stage regarding the scope of the investigation in complaint-based cases, or the complex legal or technological assessment undertaken by the lead DPA, Article 10 requires the DPA that disagrees with the lead DPA to make a request to the lead DPA under Article 61 (mutual assistance) or 62 (joint operations) of the GDPR. This provision ensures that DPAs will make use of all tools provided by the GDPR to resolve differences on key issues during the cooperation procedure. Where DPAs cannot come to agreement on the scope of the investigation in complaint-based cases, Article 10 provides that the lead DPA shall request an urgent binding decision of the Board pursuant to Article 66(3) GDPR. In this case, the urgent need to act shall be presumed to be met. This provision ensures that the disagreement on scope will be resolved in a quick and efficient manner, providing the lead DPA with the necessary clarity to proceed with the investigation. 第9条は、主管DPAが調査に関する予備的見解をまとめたら、主な事実認定と主管DPAの見解を示す「重要事項の要約」を関係DPAに送付しなければならないと定めている。重要事項要約の目的は、関係DPAが主管DPAの評価に対する意見をプロバイダに提供することで、早い段階で捜査の進展に有意義な影響を与えることができるようにすることである。これにより、DPAは、例えば法的評価や、苦情に基づく事案では調査の範囲などに関する意見の相違を早期に解決することができ、手続きの後半で紛争が解決する可能性を減らすことができる。苦情ベースのケースにおける調査の範囲、または主導DPAが実施する複雑な法的または技術的評価に関して、この段階で合意が得られない場合、第10条は、主導DPAと意見の相違があるDPAに対し、GDPR第61条(相互支援)または第62条(共同作業)に基づき、主導DPAに要請を行うことを求めている。この規定により、DPAはGDPRが提供するすべてのツールを利用して、協力手続きの間に重要な問題に関する相違を解決することが保証される。DPAが苦情に基づくケースの調査範囲について合意に至らない場合、第10条は、主導DPAがGDPR第66条(3)に従い、理事会の緊急拘束力のある決定を要求することを規定している。この場合、緊急の必要性は満たされていると推定される。この規定により、範囲に関する意見の相違が迅速かつ効率的な方法で解決され、主管DPAが調査を進めるために必要な明確性がプロバイダに提供される。
Section 2 of Chapter III provides detailed rules regarding the full or partial rejection of complaints. These provisions ensure that the DPA with which the complaint was lodged has the information required to enable it to adopt the decision rejecting a complaint, and that a decision rejecting a complaint is adopted in all cases where the complaint is not pursued or withdrawn. The complainant is also provided with the opportunity to make her or his views known prior to the full or partial rejection of the complaint. 第3章第2節では、不服申立ての全部または一部の却下に関する詳細な規定が定められている。これらの規定は、苦情を申し立てたDPAが、苦情を却下する決定を採択するために必要な情報を有していること、および苦情が追求されないか撤回されるすべてのケースにおいて、苦情を却下する決定が採択されることを保証する。また、苦情申立人には、苦情の全部または一部が却下される前に、意見を述べる機会がプロバイダに提供される。
Section 3 of Chapter III harmonises the right of parties under investigation to be heard. It provides that the lead DPA shall submit to the parties under investigation its preliminary findings, setting out the objections raised, the relevant facts, supporting evidence, legal analysis, and, where applicable, proposed corrective measures. The preliminary findings will allow parties under investigation to fully understand the allegations made and to respond to those allegations, ensuring observance of their rights of defence. Article 15 provides that complainants will be given the possibility to submit in writing observations on the preliminary findings. Article 17 provides that the parties under investigation shall have the opportunity to provide their views where the lead DPA intends to submit a revised draft decision in light of relevant and reasoned objections expressed by DPAs concerned. 第3章第3節は、調査対象者の意見を聴取する権利の調和を図っている。主管DPAは、提起された異議、関連事実、裏付け証拠、法的分析、および該当する場合には是正措置案を記載した予備所見を調査当事者に提出しなければならないと規定している。予備的所見により、被調査当事者は申し立てを十分に理解し、その申し立てに対応することができ、防御権の遵守が保証される。第15条は、申立人は予備所見に対する意見を書面で提出する可能性が与えられると規定している。第17条は、主管DPAが、関係DPAから表明された適切かつ理由ある異議に照らして、改訂された決定草案を提出しようとする場合、調査当事者は意見を述べる機会を与えられると規定している。
Section 4 of Chapter III lays down detailed requirements for the form and structure of relevant and reasoned objections raised by DPAs concerned, thereby facilitating the effective participation of all DPAs and the swift resolution of the case. 第3章第4節では、関係DPAが表明する関連性および理由ある異議申立の形式および構成に関する詳細な要件が規定されており、これにより、すべてのDPAの効果的な参加と事件の迅速な解決が促進される。
Chapter IV lays down detailed rules regarding access to the file and the treatment of confidential information. These provisions provide clarity on the documents that should form part of the administrative file in cross-border cases and the moment in which access to the file is provided to the parties under investigation. 第4章は、ファイルへのアクセスおよび機密情報の取り扱いに関する詳細な規則を定めている。これらの規定は、国境を越えた事案において行政ファイルの一部を構成すべき文書や、ファイルへのアクセスが調査当事者に提供されるタイミングを明確にしている。
Chapter V specifies procedural rules for the dispute resolution procedure set out in Article 65 GDPR. Article 22 specifies the information to be provided by the lead DPA to the Board when submitting a matter to dispute resolution. It specifies deadlines and arrangements for determination of the admissibility of relevant and reasoned objections by the Board. Article 24 provides for the hearing of the parties under investigation, or, in the case of rejection of a complaint, the complainant, prior to the binding decision of the Board under Article 65(1)(a) GDPR. By clarifying the roles of all actors and providing deadlines for certain procedural steps, these provisions will facilitate the swift and efficient conclusion of the dispute resolution procedure. 第5章は、GDPR第65条に規定される紛争解決手続に関する手続規則を規定している。第22条は、紛争解決に案件を提出する際、主管DPAが理事会に提供すべき情報を規定している。第22条は、審査会による関連する理由ある異議申立の可否を決定するための期限と取り決めを規定している。第24条は、GDPR第65条(1)(a)に基づく理事会の拘束力のある決定に先立ち、調査対象当事者、または苦情却下の場合は申立人の聴聞について規定している。すべての関係者の役割を明確にし、特定の手続きステップの期限をプロバイダが定めることで、これらの規定は紛争解決手続きの迅速かつ効率的な終結を促進する。
Articles 25 and 26 lay down detailed arrangements for the submission of matters to dispute resolution under Article 65(1)(b) and (c) GDPR. 第25条と第26条は、GDPR第65条(1)(b)および(c)に基づく紛争解決への案件提出に関する詳細な取り決めを定めている。
Chapter VI lays down detailed procedural rules for the urgency procedure in Article 66 GDPR. 第6章は、GDPR第66条の緊急手続に関する詳細な手続規則を定めている。
Chapter VII contains final provisions of the regulation, which concern deadlines, transitional provisions, and the entry into force of the regulation. 第7章は規則の最終規定であり、期限、経過規定、規則の発効に関するものである。
2023/0202 (COD) 2023/0202 (cod)
Proposal for a 欧州議会および
REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL 欧州議会および理事会規則案
laying down additional procedural rules relating to the enforcement of Regulation (EU) 2016/679 規則(EU)2016/679の施行に関する追加手続き規則を定める
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, 欧州議会および欧州連合理事会
Having regard to the Treaty on the Functioning of the European Union, and in particular Article 16 thereof, 欧州連合の機能に関する条約、特にその第16条に留意する、
Having regard to the proposal from the European Commission, 欧州委員会の提案を考慮する、
After transmission of the draft legislative act to the national parliaments, 立法草案が各国議会に送付された後、欧州委員会の意見に留意する、
Having regard to the opinion of the European Economic and Social Committee 14 , 欧州経済社会委員会14の意見を考慮する、
Having regard to the opinion of the Committee of the Regions 15 , 地域委員会15の意見を考慮する、
Acting in accordance with the ordinary legislative procedure, 通常の立法手続きに従って行動する、
Whereas: 以下の通りである:
(1)Regulation (EU) 2016/679 of the European Parliament and of the Council 16 establishes a decentralised enforcement system which aims to ensure the consistent interpretation and application of Regulation (EU) 2016/679 in cross-border cases. In cases concerning cross-border processing of personal data, this system requires cooperation between supervisory authorities in an endeavour to reach consensus and, where supervisory authorities cannot reach consensus, provides for dispute resolution by the European Data Protection Board (the Board). (1)欧州議会および理事会規則(EU)2016/679は、国境を越えたケースにおける規則(EU)2016/679の一貫した解釈と適用を確保することを目的とした分散型執行システムを確立する。この制度は、国境を越えた個人データの処理に関する事案において、監督当局が合意に達するよう努力し、監督当局が合意に達しない場合には、欧州データ保護理事会による紛争解決を規定するものである。
(2)In order to provide for the smooth and effective functioning of the cooperation and dispute resolution mechanism provided for in Articles 60 and 65 of Regulation (EU) 2016/679, it is necessary to lay down rules concerning the conduct of proceedings by the supervisory authorities in cross-border cases, and by the Board during dispute resolution, including the handling of cross-border complaints. It is also necessary for this reason to lay down rules concerning the exercise of the right to be heard by the parties under investigation prior to the adoption of decisions by supervisory authorities and, as the case may be, by the Board. (2)規則(EU)2016/679の第60条および第65条に規定される協力および紛争解決の仕組みを円滑かつ効果的に機能させるためには、国境を越えた苦情への対応を含め、国境を越えた事案における監督当局による手続の実施、および紛争解決の際の理事会による手続実施に関する規則を定めることが必要である。このため、監督当局および場合によっては理事会による決定の採択に先立ち、調査当事者による聴聞権の行使に関する規則を定めることも必要である。
(3)Complaints are an essential source of information for detecting infringements of data protection rules. Defining clear and efficient procedures for the handling of complaints in cross-border cases is necessary since the complaint may be dealt with by a supervisory authority other than the one to which the complaint was lodged. (3)防御は、データ保護規則の違反を検知するために不可欠な情報源である。苦情は、苦情を申し立てた監督当局以外の監督当局によって処理される可能性があるため、国境を越えたケースにおける苦情処理のための明確かつ効率的な手続きを定めることが必要である。
(4)In order to be admissible a complaint should contain certain specified information. Therefore, in order to assist complainants in submitting the necessary facts to the supervisory authorities, a complaint form should be provided. The information specified in the form should be required only in cases of cross-border processing in the sense of Regulation (EU) 2016/679, though the form may be used by supervisory authorities for cases that do not concern cross-border processing. The form may be submitted electronically or by post. The submission of the information listed in that form should be a condition for a complaint relating to cross-border processing to be treated as a complaint as referred to in Article 77 of Regulation (EU) 2016/679. No additional information should be required for a complaint to be deemed admissible. It should be possible for supervisory authorities to facilitate the submission of complaints in a user-friendly electronic format and bearing in mind the needs of persons with disabilities, as long as the information required from the complainant corresponds to the information required by the form and no additional information is required in order to find the complaint admissible. (4)苦情が認められるためには、苦情には一定の情報が含まれていなければならない。従って、苦情申立人が監督当局に必要な事実を提出するのを支援するため、苦情フォームをプロバイダに提供すべきである。書式に規定された情報は、規則(EU)2016/679の意味における国境を越えた処理の場合にのみ要求されるべきであるが、監督当局は国境を越えた処理に関係しない場合に書式を使用することができる。この書式は電子的または郵送で提出することができる。当該書式に記載された情報の提出は、国境を越えた処理に関する苦情が規則(EU)2016/679の第77条にいう苦情として扱われるための条件であるべきである。苦情が容認されるためには、追加的な情報は要求されるべきではない。監督当局は、苦情申出人に要求される情報が書式で要求される情報と一致し、苦情が認められるために追加情報が要求されない限り、使いやすい電子書式で、障害者のニーズに配慮して、苦情の提出を容易にすることが可能であるべきである。
(5)Supervisory authorities are obliged to decide on complaints within a reasonable timeframe. What is a reasonable timeframe depends on the circumstances of each case and, in particular, its context, the various procedural steps followed by the lead supervisory authority, the conduct of the parties in the course of the procedure and the complexity of the case. (5)監督当局は、合理的な期間内に苦情を決定する義務を負う。何が合理的な期間であるかは、各事件の状況、特にその背景、主管監督当局が辿った様々な手続き上の手順、手続きの過程における当事者の行動、事案の複雑さによって異なる。
(6)Each complaint handled by a supervisory authority pursuant to Article 57(1), point (f), of Regulation (EU) 2016/679 is to be investigated with all due diligence to the extent appropriate bearing in mind that every use of powers by the supervisory authority must be appropriate, necessary and proportionate in view of ensuring compliance with Regulation (EU) 2016/679. It falls within the discretion of each competent authority to decide the extent to which a complaint should be investigated. While assessing the extent appropriate of an investigation, supervisory authorities should aim to deliver a satisfactory resolution to the complainant, which may not necessarily require exhaustively investigating all possible legal and factual elements arising from the complaint, but which provides an effective and quick remedy to the complainant. The assessment of the extent of the investigative measures required could be informed by the gravity of the alleged infringement, its systemic or repetitive nature, or the fact, as the case may be, that the complainant also took advantage of her or his rights under Article 79 of Regulation (EU) 2016/679. (6)規則(EU)2016/679第57条(1)項(f)に基づき監督当局が取り扱う各苦情は、監督当局によるあらゆる権限の行使が規則(EU)2016/679の遵守を確保する観点から適切、必要かつ比例的でなければならないことを念頭に置き、適切な範囲であらゆるデューデリジェンスをもって調査される。苦情をどの程度調査すべきかは、各管轄当局の裁量に属する。調査の適切な範囲を評価する一方で、監督当局は、必ずしも苦情から生じる可能性のあるすべての法的・事実的要素を網羅的に調査する必要はないが、苦情申立人に効果的かつ迅速な救済を提供するような、苦情申立人に満足のいく解決を提供することを目指すべきである。必要とされる調査措置の範囲の評価は、申し立てられた侵害の重大性、その体系的もしくは反復的な性質、または場合によっては、申立人が規則(EU)2016/679の第79条に基づく権利も利用したという事実によって知らされる可能性がある。
(7)The lead supervisory authority should provide the supervisory authority with which the complaint was lodged with the necessary information on the progress of the investigation for the purpose of providing updates to the complainant. (7)主管監督当局は、苦情申立てを行った監督当局に対し、苦情申立て人に最新情報を提供する目的で、調査の進捗状況に関する必要な情報を提供しなければならない。
(8)The competent supervisory authority should provide the complainant with access to the documents on the basis of which the supervisory authority reached a preliminary conclusion to reject fully or partially the complaint. (8)主管監督当局は、監督当局が苦情の全部または一部を却下するという予備的結論に達した根拠となる文書へのアクセスを申立人に提供しなければならない。
(9)In order for supervisory authorities to bring a swift end to infringements of Regulation (EU) 2016/679 and to deliver a quick resolution for complainants, supervisory authorities should endeavour, where appropriate, to resolve complaints by amicable settlement. The fact that an individual complaint has been resolved through an amicable settlement does not prevent the competent supervisory authority from pursuing an ex officio case, for example in the case of systemic or repetitive infringements of Regulation (EU) 2016/679. (9)監督当局が規則(EU)2016/679の違反に迅速に終止符を打ち、申立人に迅速な解決をもたらすために、監督当局は、適切な場合には、友好的な和解による苦情の解決に努めるべきである。個々の苦情が友好的和解によって解決されたという事実は、管轄監督当局が、例えば規則(EU)2016/679のシステミックな侵害や反復的な侵害の場合に、職権で事件を追及することを妨げるものではない。
(10)In order to guarantee the effective functioning of the cooperation and consistency mechanisms in Chapter VII of Regulation (EU) 2016/679, it is important that cross-border cases are resolved in a timely fashion and in line with the spirit of sincere and effective cooperation that underlies Article 60 of Regulation (EU) 2016/679. The lead supervisory authority should exercise its competence within a framework of close cooperation with the other supervisory authorities concerned. Likewise, supervisory authorities concerned should actively engage in the investigation at an early stage in an endeavour to reach a consensus, making full use of the tools provided by Regulation (EU) 2016/679. (10)規則(EU)2016/679第VII章における協力・整合性メカニズムの効果的な機能を保証するためには、規則(EU)2016/679第60条の根底にある誠実かつ効果的な協力の精神に沿って、クロスボーダー案件が適時に解決されることが重要である。主管監督当局は、関係する他の監督当局との緊密な協力の枠組みの中で、その権限を行使すべきである。同様に、関係監督当局は、規則(EU)2016/679が提供するツールをフルに活用し、合意形成に向け、早い段階から調査に積極的に関与すべきである。
(11)It is particularly important for supervisory authorities to reach consensus on key aspects of the investigation as early as possible and prior to the communication of allegations to the parties under investigation and adoption of the draft decision referred to in Article 60 of Regulation (EU) 2016/679, thereby reducing the number of cases submitted to the dispute resolution mechanism in Article 65 of Regulation (EU) 2016/679 and ultimately ensuring the quick resolution of cross-border cases. (11)監督事業者にとっては、調査当事者に疑惑を伝え、規則(EU)2016/679第60条で言及されている決定案を採択する前に、できるだけ早期に、調査の重要な側面について合意に達することが特に重要であり、それにより、規則(EU)2016/679第65条の紛争解決メカニズムに提出される案件の数を減らし、最終的にクロスボーダー案件の迅速な解決を確保することができる。
(12)Cooperation between supervisory authorities should be based on open dialogue which allows concerned supervisory authorities to meaningfully impact the course of the investigation by sharing their experiences and views with the lead supervisory authority, with due regard for the margin of discretion enjoyed by each supervisory authority, including in the assessment of the extent appropriate to investigate a case, and for the varying traditions of the Member States. For this purpose, the lead supervisory authority should provide concerned supervisory authorities with a summary of key issues setting out its preliminary view on the main issues in an investigation. It should be provided at a sufficiently early stage to allow effective inclusion of supervisory authorities concerned but at the same time at a stage where the lead supervisory authority’s views on the case are sufficiently mature. Concerned supervisory authorities should have the opportunity to provide their comments on a broad range of questions, such as the scope of the investigation and the identification of complex factual and legal assessments. Given that the scope of the investigation determines the matters which require investigation by the lead supervisory authority, supervisory authorities should endeavour to achieve consensus as early as possible on the scope of the investigation. (12)監督当局間の協力は、案件を調査するのに適切な範囲の評価を含め、各監督当局が享受する裁量の余地や加盟国の様々な伝統に配慮しつつ、関係監督当局が自らの経験や見解を主管監督当局と共有することにより、調査の経過に有意義な影響を与えることを可能にする開かれた対話に基づくべきである。この目的のため、主管監督当局は、関係監督当局に対し、調査における主要論点に関する予備的見解を示した主要論点要約を提供すべきである。これは、関係監督当局の効果的な参加を可能にするために、十分に早い段階で提供されるべきであるが、同時に、事案に関する主管監督当局の見解が十分に成熟した段階で提供されるべきである。関係監督当局は、調査の範囲や複雑な事実・法的評価の特定など、広範な質問についてコメントを提供する機会を持つべきである。調査の範囲によって、主管監督当局が調査を必要とする事項が決定されることを踏まえ、監督当局は、調査の範囲について可能な限り早期にコンセンサスを得るよう努めるべきである。
(13)In the interest of effective inclusive cooperation between all supervisory authorities concerned and the lead supervisory authority, the comments of concerned supervisory authorities should be concise and worded in sufficiently clear and precise terms to be easily understandable to all supervisory authorities. The legal arguments should be grouped by reference to the part of the summary of key issues to which they relate. The comments of supervisory authorities concerned may be supplemented by additional documents. However, a mere reference in the comments of a supervisory authority concerned to supplementary documents cannot make up for the absence of the essential arguments in law or in fact which should feature in the comments. The basic legal and factual particulars relied on in such documents should be indicated, at least in summary form, coherently and intelligibly in the comment itself. (13)すべての関係監督当局と主管監督当局との間の効果的な包括的協力の観点から、関係監督当局のコメントは、すべての監督当局が容易に理解できるよう、簡潔かつ十分に明確かつ的確な表現とすべきである。法律上の論点は、重要論点の概要のうち、その論点が関係する部分を参照してグループ化すべきである。関係監督当局のコメントは、追加文書によって補足することができる。しかし、関係監督当局のコメントにおいて、補足文書に言及するだけでは、コメントに記載されるべき法律上または事実上の本質的な論点の不在を補うことはできない。そのような文書で依拠された基本的な法律上および事実上の特定事項は、少なくとも要約の形で、コメント自体に首尾一貫してわかりやすく示されるべきである。
(14)Cases that do not raise contentious issues do not require extensive discussion between supervisory authorities in order to reach a consensus and could, therefore, be dealt with more quickly. When none of the supervisory authorities concerned raise comments on the summary of key issues, the lead supervisory authority should communicate the preliminary findings provided for in Article 14 within nine months. (14)争点とならない事案については、監督当局間で合意に達するための広範な議論を必要としないため、より迅速に対応することができる。関係監督当局のいずれからも重要事項の概要についてコメントが出されなかった場合、主管監督当局は、9ヶ月以内に第14条に規定する予備的所見を伝えるべきである。
(15)Supervisory authorities should avail of all means necessary to achieve a consensus in a spirit of sincere and effective cooperation. Therefore, if there is a divergence in opinion between the supervisory authorities concerned and the lead supervisory authority regarding the scope of a complaint-based investigation, including the provisions of Regulation (EU) 2016/679 the infringement of which will be investigated, or where the comments of the supervisory authorities concerned relate to an important change in the complex legal or technological assessment, the concerned authority should use the tools provided for under Articles 61 and 62 of Regulation (EU) 2016/679. (15)監督当局は、誠実かつ効果的な協力の精神の下、コンセンサスを得るために必要なあらゆる手段を活用すべきである。したがって、調査対象となる規則(EU)2016/679の規定を含む苦情に基づく調査の範囲について、関係監督当局と主管監督当局との間で見解の相違がある場合、または関係監督当局のコメントが複雑な法的もしくは技術的評価の重要な変更に関連する場合、関係当局は規則(EU)2016/679の第61条および第62条に規定される手段を利用すべきである。
(16)If the use of those tools does not enable the supervisory authorities to reach a consensus on the scope of a complaint-based investigation, the lead supervisory authority should request an urgent binding decision of the Board under Article 66(3) of Regulation (EU) 2016/679. For this purpose, the requirement of urgency should be presumed. The lead supervisory authority should draw appropriate conclusions from the urgent binding decision of the Board for the purposes of preliminary findings. The urgent binding decision of the Board cannot pre-empt the outcome of the investigation of the lead supervisory authority or the effectiveness of the rights of the parties under investigation to be heard. In particular, the Board should not extend the scope of the investigation on its own initiative. (16)これらのツールを使用しても、監督当局が苦情に基づく調査の範囲についてコンセンサスを得ることができない場合、主管監督当局は、規則(EU)2016/679第66条(3)に基づき、理事会の緊急拘束力のある決定を要請すべきである。この目的のため、緊急性の要件は推定されるべきである。主管監督当局は、予備的所見を得る目的で、理事会の緊急拘束力ある決定から適切な結論を導き出すべきである。審査会の緊急拘束力のある決定は、主管監督当局の調査結果や、調査対象者の聴聞権の実効性を先取りすることはできない。特に、審査会は独自の判断で調査範囲を拡大すべきではない。
(17)To enable the complainant to exercise her or his right to an effective judicial remedy under Article 78 of Regulation (EU) 2016/679, the supervisory authority fully or partially rejecting a complaint should do so by means of a decision which may be challenged before a national court. (17)規則(EU)2016/679第78条に基づく実効的な司法救済を受ける権利を認可者が行使できるようにするため、監督当局は、国内裁判所に異議を申し立てることができる決定によって、苦情を全面的または部分的に却下すべきである。
(18)Complainants should have the opportunity to express their views before a decision adversely affecting them is taken. Therefore, in the event of full or partial rejection of a complaint in a cross-border case, the complainant should have the opportunity to make her or his views known prior to the submission of a draft decision under Article 60(3) of Regulation (EU) 2016/679, a revised draft decision under Article 60(4) of Regulation (EU) 2016/679 or a binding decision of the Board under Article 65(1), point (a), of Regulation (EU) 2016/679. The complainant may request access to the non-confidential version of the documents on which the decision fully or partially rejecting the complaint is based. (18)不服申立人は、不利な影響を及ぼす決定が下される前に、意見を表明する機会を与えられるべきである。したがって、クロスボーダー案件において苦情が全面的または部分的に却下された場合、規則(EU)2016/679第60条(3)に基づく決定案、規則(EU)2016/679第60条(4)に基づく改訂決定案、または規則(EU)2016/679第65条(1)項(a)に基づく理事会の拘束力のある決定が提出される前に、苦情申立人は意見を表明する機会を有するべきである。申立人は、不服申立ての全部又は一部を却下する決定の根拠となった文書の非機密版へのアクセスを要求することができる。
(19)It is necessary to clarify the division of responsibilities between the lead supervisory authority and the supervisory authority with which the complaint was lodged in the case of rejection of a complaint in a cross-border case. As the point of contact for the complainant during the investigation, the supervisory authority with which the complaint was lodged should obtain the views of the complainant on the proposed rejection of the complaint and should be responsible for all communications with the complainant. All such communications should be shared with the lead supervisory authority. Since under Article 60(8) and (9) of Regulation (EU) 2016/679 the supervisory authority with which the complaint was lodged has the responsibility of adopting the final decision rejecting the complaint, that supervisory authority should also have the responsibility of preparing the draft decision under Article 60(3) of Regulation (EU) 2016/679. (19)国境を越えた事案で苦情が却下された場合、主管監督当局と苦情を申し立てた監督当局との間の責任分担を明確にする必要がある。調査中の申立人との連絡窓口として、苦情を申し立てた監督当局は、苦情の却下案について申立人の意見を聞くべきであり、申立人とのすべてのコミュニケーションに責任を持つべきである。このようなコミュニケーションはすべて、主管監督当局と共有されるべきである。規則(EU)2016/679第60条(8)及び(9)に基づき、苦情を申し立てた監督当局は、苦情を却下する最終決定を採択する責任を有するため、当該監督当局は、規則(EU)2016/679第60条(3)に基づき、決定草案を作成する責任も有するべきである。
(20)The effective enforcement of Union data protection rules should be compatible with the full respect of the parties' rights of defence, which constitutes a fundamental principle of Union law to be respected in all circumstances, and in particular in procedures which may give rise to penalties. (20)EUデータ保護規則の効果的な施行は、当事者の防御権の完全な尊重と両立すべきであり、これはあらゆる状況において、特に罰則を生じ得る手続において尊重されるべきEU法の基本原則を構成する。
(21)In order to effectively safeguard the right to good administration and the rights of defence as enshrined in the Charter of Fundamental Rights of the European Union (‘the Charter’), including the right of every person to be heard before any individual measure which would affect him or her adversely is taken, it is important to provide for clear rules on the exercise of this right. (21)欧州連合基本権憲章(「憲章」)に謳われている善良な管理者の権利と、自己に不利な影響を及ぼすような個別の措置が取られる前に、すべての人が意見を聴取される権利を含む防御権を効果的に保護するためには、この権利の行使に関する明確な規則を定めることが重要である。
(22)The rules regarding the administrative procedure applied by supervisory authorities when enforcing Regulation (EU) 2016/679 should ensure that the parties under investigation effectively have the opportunity to make known their views on the truth and relevance of the facts, objections and circumstances put forward by the supervisory authority throughout the procedure, thereby enabling them to exercise their rights of defence. The preliminary findings set out the preliminary position on the alleged infringement of Regulation (EU) 2016/679 following investigation. They thus constitute an essential procedural safeguard which ensures that the right to be heard is observed. The parties under investigation should be provided with the documents required to defend themselves effectively and to comment on the allegations made against them, by receiving access to the administrative file. (22)規則(EU)2016/679を施行する際に監督当局が適用する行政手続に関する規則は、監督当局が提出する事実、異議、事情の真実性と関連性について、調査対象当事者が手続を通じて効果的に意見を表明する機会を確保し、それによって防御権を行使できるようにすべきである。予備的所見は、調査後の規則(EU)2016/679の違反の疑いに関する予備的な見解を示すものである。従って、予備調査結果は、聴取される権利の遵守を保証する不可欠な手続き上の保護措置となる。調査当事者は、行政ファイルへのアクセスを受けることにより、効果的に自己を防御し、自己に対する申し立てについてコメントするために必要な文書をプロバイダに提供されるべきである。
(23)The preliminary findings define the scope of the investigation and therefore the scope of any future final decision (as the case may be, taken on the basis of a binding decision issued by the Board under Article 65(1), point (a) of Regulation (EU) 2016/679) which may be addressed to controllers or processors. The preliminary findings should be couched in terms that, even if succinct, are sufficiently clear to enable the parties under investigation to properly identify the nature of the alleged infringement of Regulation (EU) 2016/679. The obligation of giving the parties under investigation all the information necessary to enable them to properly defend themselves is satisfied if the final decision does not allege that the parties under investigation have committed infringements other than those referred to in the preliminary findings and only takes into consideration facts on which the parties under investigation have had the opportunity of making known their views. The final decision of the lead supervisory authority is not, however, necessarily required to be a replica of the preliminary findings. The lead supervisory authority should be permitted in the final decision to take account of the responses of the parties under investigation to the preliminary findings, and, where applicable, the revised draft decision under Article 60(5) of Regulation (EU) 2016/679, and the Article 65(1), point (a), decision resolving the dispute between the supervisory authorities. The lead supervisory authority should be able to carry out its own assessment of the facts and the legal qualifications put forward by the parties under investigation in order either to abandon the objections when the supervisory authority finds them to be unfounded or to supplement and redraft its arguments, both in fact and in law, in support of the objections which it maintains. For example, taking account of an argument put forward by a party under investigation during the administrative procedure, without it having been given the opportunity to express an opinion in that respect before the adoption of the final decision, cannot per se constitute an infringement of defence rights. (23)予備的所見は、調査の範囲を定義し、したがって、管理者または処理者に宛てることができる将来の最終決定(場合によっては、規則(EU)2016/679の第65条(1)項(a)に基づき理事会が発行する拘束力のある決定に基づいて下される)の範囲を定義する。予備的所見は、たとえ簡潔であったとしても、被調査当事者が規則(EU)2016/679の侵害の疑いの内容を適切に特定できるよう、十分に明確な言葉で表現されるべきである。最終決定が、調査対象当事者が予備所見で言及された以外の侵害を行ったと主張せず、調査対象当事者が意見を表明する機会を得た事実のみを考慮するものであれば、調査対象当事者が適切に自己弁護できるよう必要なすべての情報を提供する義務は満たされる。しかし、主管庁の最終決定は、必ずしも予備所見の複製である必要はない。主管監督当局は、最終決定において、予備的所見に対する調査対象当事者の回答、及び、認可される場合には、規則(EU)2016/679第60条(5)に基づく改訂ドラフト決定、及び、監督当局間の紛争を解決する第65条(1)項(a)の決定を考慮することが認められるべきである。主管監督当局は、監督当局が根拠がないと判断した場合には異議申立を断念するか、あるいは、監督当局が維持する異議申立を支持する論拠を事実上も法律上も補足し、再作成するために、調査対象当事者によって提出された事実と法的資格について独自の評価を行うことができるはずである。例えば、最終決定の採択前に意見を述べる機会が与えられていないにもかかわらず、行政手続中に被調査当事者が提出した主張を考慮することは、それ自体が防御権の侵害となることはない。
(24)The parties under investigation should be provided with a right to be heard prior to the submission of a revised draft decision under Article 60(5) of Regulation (EU) 2016/679 or the adoption of a binding decision by the Board pursuant to Article 65(1), point (a), of Regulation (EU) 2016/679. (24)被調査当事者は、規則(EU)2016/679第60条(5)に基づく改訂決定案の提出、または規則(EU)2016/679第65条(1)項(a)に基づく理事会による拘束力のある決定の採択に先立って、意見を聴取される権利をプロバイダに提供されるべきである。
(25)Complainants should be given the possibility to be associated with the proceedings initiated by a supervisory authority with a view to identifying or clarifying issues relating to a potential infringement of Regulation (EU) 2016/679. The fact that a supervisory authority has already initiated an investigation concerning the subject matter of the complaint or will deal with the complaint in an ex officio investigation subsequent to the receipt the complaint does not bar the qualification of a data subject as complainant. However, an investigation by a supervisory authority of a possible infringement of Regulation (EU) 2016/679 by a controller or processor does not constitute an adversarial procedure between the complainant and the parties under investigation. It is a procedure commenced by a supervisory authority, upon its own initiative or based on a complaint, in fulfilment of its tasks under Article 57(1) of Regulation (EU) 2016/679. The parties under investigation and the complainant are, therefore, not in the same procedural situation and the latter cannot invoke the right to a fair hearing when the decision does not adversely affect her or his legal position. The complainant’s involvement in the procedure against the parties under investigation cannot compromise the right of these parties to be heard. (25)不服申立人は、規則(EU)2016/679の潜在的な侵害に関連する問題を特定または明確化する目的で、監督当局が開始した手続きに関与する可能性が与えられるべきである。監督当局がすでに苦情の主体に関する調査を開始している、または苦情を受領した後に職権調査において苦情を処理するという事実は、データ主体を苦情申立人として認可することを妨げるものではない。ただし、管理者または処理者による規則(EU)2016/679違反の可能性に関する監督当局による調査は、申立人と調査対象者との間の対立的な手続を構成するものではない。これは、規則(EU)2016/679の第57条1項に基づく監督当局の職務を遂行するために、監督当局が自らの認可に基づいて、または苦情に基づいて開始する手続きである。したがって、調査当事者と申立人は同じ手続き状況にあるわけではなく、後者は、決定が自身の法的立場に悪影響を及ぼさない場合、公正な審問を受ける権利を行使することはできない。申立人が調査対象当事者に対する手続きに関与することで、これらの当事者の審理を受ける権利を損なうことはできない。
(26)The complainants should be given the possibility to submit in writing views on the preliminary findings. However, they should not have access to business secrets or other confidential information belonging to other parties involved in the proceedings. Complainants should not be entitled to have generalised access to the administrative file. (26)申立人には、予備調査結果について書面で意見を提出する可能性が与えられるべきである。ただし、申立人は、手続に関与する他の当事者に属する企業秘密その他の秘密情報にアクセスすべきではない。申立人は、行政ファイルに一般的にアクセスする権利を与えられるべきではない。
(27)When setting deadlines for parties under investigation and complainants to provide their views on preliminary findings, supervisory authorities should have regard to the complexity of the issues raised in preliminary findings, in order to ensure that the parties under investigation and complainants have sufficient opportunity to meaningfully provide their views on the issues raised. (27)監督当局は、調査当事者及び申立人が予備的所見に対する意見を提供する期限を設定する際、調査当事者及び申立人が提起された問題について有意義に意見を提供する十分な機会を確保するため、予備的所見で提起された問題の複雑性に配慮すべきである。
(28)The exchange of views prior to the adoption of a draft decision involves an open dialogue and an extensive exchange of views where supervisory authorities should do their utmost to find a consensus on the way forward in an investigation. Conversely, the disagreement expressed in relevant and reasoned objections pursuant to Article 60(4) of Regulation (EU) 2016/679, which raise the potential for dispute resolution between supervisory authorities under Article 65 of Regulation (EU) 2016/679 and delay the adoption of a final decision by the competent supervisory authority, should arise in the exceptional case of a failure of supervisory authorities to achieve a consensus and where necessary to ensure the consistent interpretation of Regulation (EU) 2016/679. Such objections should be used sparingly, when matters of consistent enforcement of Regulation (EU) 2016/679 are at stake, since every use of relevant and reasoned objections postpones the remedy for the data subject. Since the scope of the investigation and the relevant facts should be decided prior to the communication of preliminary findings, these matters should not be raised by supervisory authorities concerned in relevant and reasoned objections. They may, however, be raised by supervisory authorities concerned in their comments on the summary of key issues pursuant to Article 9(3), before preliminary findings are communicated to the parties under investigation. (28)ドラフト決定書の採択に先立つ意見交換は、監督当局が調査の進め方に関するコンセンサスを見出すために最大限の努力を払うべき、開かれた対話と広範な意見交換を伴うものである。逆に、規則(EU)2016/679の第65条に基づく監督当局間の紛争解決の可能性を高め、所轄監督当局による最終決定の採択を遅らせる、規則(EU)2016/679の第60条(4)に従った適切かつ理由ある異議申立てにおいて表明される意見の相違は、監督当局がコンセンサスを得ることができなかった例外的なケースにおいて、また、規則(EU)2016/679の一貫した解釈を確保するために必要な場合に生じるべきである。このような異議申立は、規則(EU)2016/679の一貫した執行が問題となる場合には、控えめに使用されるべきである。なぜなら、適切で理由のある異議申立を使用するたびに、データ主体に対する救済が先送りされるからである。調査の範囲および関連する事実は、予備的所見のコミュニケーションに先立って決定されるべきであるので、これらの事項は、関連する理由付き異議申立において、関係監督当局によって提起されるべきではない。しかしながら、これらの事項は、予備調査結果が調査当事者に通知される前に、第9条3項に基づく重要事項の要約に対するコメントの中で、関係監督当局によって提起される可能性がある。
(29)In the interest of the efficient and inclusive conclusion of the dispute resolution procedure, where all supervisory authorities should be in a position to contribute their views and bearing in mind the time constraints during dispute resolution, the form and structure of relevant and reasoned objections should meet certain requirements. Therefore, relevant and reasoned objections should be limited to a prescribed length, should clearly identify the disagreement with the draft decision and should be worded in sufficiently clear, coherent and precise terms. (29)紛争解決手続の効率的かつ包括的な終結のために、すべての監督当局が意見を提供できる立場にあるべきであり、紛争解決中の時間的制約を念頭に置いて、関連する理由付き異議申立の形式及び構成は、一定の要件を満たすべきである。したがって、関連する異議及び理由付き異議は、所定の長さに制限されるべきであり、ドラフト決定に対する不同意を明確に特定し、十分に明確で首尾一貫した正確な言葉で表現されるべきである。
(30)Access to the administrative file is provided for as a part of the rights of defence and the right to good administration enshrined in the Charter. Access to the administrative file should be provided to the parties under investigation when they are notified of preliminary findings and the deadline to submit their written reply to the preliminary findings should be set. (30)行政ファイルへのアクセスは、憲章に謳われている防御権および善良な管理者の権利の一部としてプロバイダに提供されている。行政ファイルへのアクセスは、調査を受けている当事者が予備的所見を通知されたときにプロバイダによって提供されるべきであり、予備的所見に対する回答書を提出する期限を設定すべきである。
(31)When granting access to the administrative file, supervisory authorities should ensure the protection of business secrets and other confidential information. The category of other confidential information includes information other than business secrets, which may be considered as confidential, insofar as its disclosure would significantly harm a controller, a processor or a natural person. The supervisory authorities should be able to request that parties under investigation that submit or have submitted documents or statements identify confidential information. (31)行政ファイルへのアクセスを許可する場合、監督当局は、営業秘密およびその他の秘密情報の保護を確保すべきである。その他の秘密情報のカテゴリーには、企業秘密以外の情報が含まれ、その開示が管理者、処理者または自然人に著しい損害を与える限りにおいて、秘密とみなされる可能性がある。監督当局は、文書または陳述書を提出した、または提出した調査対象当事者に対し、秘密情報を特定するよう要求できるものとする。
(32)Where business secrets or other confidential information are necessary to prove an infringement, the supervisory authorities should assess for each individual document whether the need to disclose is greater than the harm which might result from disclosure. (32)侵害を証明するために企業秘密その他の秘密情報が必要な場合、監督当局は、開示の必要性が開示によって生じる可能性のある損害よりも大きいかどうかを、個々の文書ごとに評価すべきである。
(33)When referring a subject-matter to dispute resolution under Article 65 of Regulation (EU) 2016/679, the lead supervisory authority should provide the Board with all necessary information to enable it to assess the admissibility of relevant and reasoned objections and to take the decision pursuant to Article 65(1), point (a), of Regulation (EU) 2016/679. Once the Board is in receipt of all the necessary documents listed in Article 23, the Chair of the Board should register the referral of the subject-matter in the sense of Article 65(2) of Regulation (EU) 2016/679. (33)規則(EU)2016/679の第65条に基づく紛争解決に主題を付託する場合、主管監督当局は、理事会が関連する理由ある異議申立の可否を評価し、規則(EU)2016/679の第65条(1)の(a)に基づく決定を行うために必要なすべての情報を提供すべきである。理事会が第23条に記載されたすべての必要書類を受領した後、理事会議長は、規則(EU)2016/679第65条(2)の意味において、主題の付託を登録すべきである。
(34)The binding decision of the Board under Article 65(1), point (a), of Regulation (EU) 2016/679 should concern exclusively matters which led to the triggering of the dispute resolution and be drafted in a way which allows the lead supervisory authority to adopt its final decision on the basis of the decision of the Board while maintaining its discretion. (34)規則(EU)2016/679の第65条(1)の(a)に基づく理事会の拘束力のある決定は、紛争解決のきっかけとなった事項のみに関係し、かつ、主管監督当局がその裁量を維持しつつ、理事会の決定に基づいて最終決定を採択できるような方法でドラフトされるべきである。
(35)In order to streamline the resolution of disputes between supervisory authorities submitted to the Board under Article 65(1), points (b) and (c), of Regulation (EU) 2016/679, it is necessary to specify procedural rules regarding the documents to be submitted to the Board and on which the Board should base its decision. It is also necessary to specify when the Board should register the submission of the matter to dispute resolution. (35)規則(EU)2016/679の第65条(1)の(b)及び(c)に基づき理事会に提出された監督当局間の紛争解決を合理化するため、理事会に提出されるべき文書及び理事会がその決定の根拠とすべき文書に関する手続規則を規定する必要がある。また、審査会が紛争解決に案件を提出したことを登録するタイミングも規定する必要がある。
(36)In order to streamline the procedure for the adoption of urgent opinions and urgent binding decisions of the Board under Article 66(2) of Regulation (EU) 2016/679, it is necessary to specify procedural rules regarding the timing of the request for an urgent opinion or urgent binding decision, the documents to be submitted to the Board and on which the Board should base its decision, to whom the opinion or decision of the Board should be addressed, and the consequences of the opinion or decision of the Board. (36)規則(EU)2016/679第66条(2)に基づく理事会の緊急意見および緊急拘束力のある決定の採択手続きを合理化するため、緊急意見または緊急拘束力のある決定の要請のタイミング、理事会に提出されるべき書類および理事会がその決定の根拠とすべき書類、理事会の意見または決定を誰に宛てるべきか、理事会の意見または決定の結果に関する手続き規則を規定する必要がある。
(37)Chapters III and IV concern cooperation between supervisory authorities, the procedural rights of parties under investigation and the involvement of complainants. To ensure legal certainty, those provisions should not apply to investigations already under way at the time this Regulation enters into force. They should apply to ex officio investigations opened after the entry into force of this Regulation and to complaint-based investigations where the complaint was lodged after the entry into force of this Regulation. Chapter V provides procedural rules for cases submitted to dispute resolution under Article 65 of Regulation (EU) 2016/679. Also for reasons of legal certainty, this Chapter should not apply to cases that have been submitted to dispute resolution prior to the entry into force of this Regulation. It should apply to all cases submitted to dispute resolution after the entry into force of this Regulation. (37)第3章と第4章は、監督当局間の協力、調査対象当事者の手続き上の権利、申立人の関与に関するものである。法的確実性を確保するため、これらの規定は、本規則発効時にすでに実施されている調査には適用されるべきではない。これらの規定は、本規則の発効後に開始された職権調査、および本規則の発効後に申し立てがなされた苦情に基づく調査に適用されるべきである。第5章は、規則(EU)2016/679の第65条に基づき紛争解決に付された案件に関する手続き規則を提供する。また、法的確実性の観点から、本規則の発効前に紛争解決に付された事案には本章を適用すべきではない。本規則の発効後に紛争解決に付されたすべての事例に適用されるべきである。
(38)The European Data Protection Supervisor and the European Data Protection Board were consulted in accordance with Article 42(2) of Regulation (EU) 2018/1725 and delivered a joint opinion on [ ], (38)欧州データ保護監督機関及び欧州データ保護委員会は、規則(EU)2018/1725の第42条(2)に従い諮問を受け、[ ]に共同意見を提出した、
HAVE ADOPTED THIS REGULATION: は本規則を採択した:
Chapter I 第1章
General provisions 一般規定
Article 1 第1条
Subject matter 主題
This Regulation lays down procedural rules for the handling of complaints and the conduct of investigations in complaint-based and ex officio cases by supervisory authorities in the cross-border enforcement of Regulation (EU) 2016/679. 本規則は、規則(EU)2016/679の国境を越えた施行における、監督当局による苦情案件及び職権案件の苦情処理及び調査の実施に関する手続規則を定める。
Article 2 第2条
Definitions 定義
For the purposes of this Regulation the definitions in Article 4 of Regulation (EU) 2016/679 shall apply. 本規則においては、規則(EU)2016/679第4条の定義が適用される。
The following definitions shall also apply: また、以下の定義も適用される:
(1)‘parties under investigation’ means the controller(s) and/or processor(s) investigated for alleged infringement of Regulation (EU) 2016/679 related to cross-border processing; (1) 「調査対象者」とは、国境を越えた処理に関する規則(EU)2016/679の違反の疑いについて調査される管理者及び/又は処理者をいう;
(2)‘summary of key issues’ means the summary to be provided by the lead supervisory authority to supervisory authorities concerned identifying the main relevant facts and the lead supervisory authority’s views on the case; (2) 「重要事項の要約」とは、主管監督当局が関係監督当局に提供する、主な関連事実及び事案に関する主管監督当局の見解を特定する要約をいう;
(3)‘preliminary findings’ means the document provided by the lead supervisory authority to the parties under investigation setting out the allegations, the relevant facts, supporting evidence, legal analysis, and, where applicable, proposed corrective measures; (3) 「予備的所見」とは、疑惑、関連事実、裏付け証拠、法的分析、場合によっては是正措置案 を記載した、主管監督当局が調査当事者に提供する文書をいう;
(4)‘retained relevant and reasoned objections’ means the objections which have been determined by the Board to be relevant and reasoned within the meaning of Article 4(24) of Regulation (EU) 2016/679. (4) 'retained relevant and reasoned objections' とは、規則(EU)2016/679第4条(24)の意味において、理事会が関連性があり理由があると判断した異議申立をいう。
Chapter II 第2章
Submission and handling of complaints 苦情の提出および処理
Article 3 第3条
Cross-border complaints 国境を越えた苦情
1.A complaint on the basis of Regulation (EU) 2016/679 that relates to cross-border processing shall provide the information required in the Form, as set out in the Annex. No additional information shall be required in order for the complaint to be admissible. 1.規則(EU)2016/679に基づく苦情のうち、国境を越えた処理に関連するものは、附属書に定める様式で要求される情報を提供しなければならない。苦情が認められるためには、追加情報は要求されない。
2.The supervisory authority with which the complaint was lodged shall establish whether the complaint relates to cross-border processing. 2.苦情が申し立てられた監督当局は、苦情が国境を越えた処理に関連するかどうかを確認しなければならない。
3.The supervisory authority with which the complaint was lodged shall determine the completeness of the information required by the Form within one month. 3.苦情を申し立てた監督当局は、1ヶ月以内に様式で要求される情報の完全性を判断しなければならない。
4.Upon assessment of the completeness of the information required by the Form, the supervisory authority with which the complaint was lodged shall transmit the complaint to the lead supervisory authority. 4.フォームが要求する情報の完全性が認可された場合、苦情を申し立てた監督当局は、主管監督当局に苦情を送付するものとする。
5.Where the complainant claims confidentiality when submitting a complaint, the complainant shall also submit a non-confidential version of the complaint. 5.苦情を提出する際、苦情申立人が守秘義務を主張する場合、苦情申立人は苦情の非秘密バージョンも提出しなければならない。
6.The supervisory authority with which a complaint was lodged shall acknowledge receipt of the complaint within one week. This acknowledgement shall be without prejudice to the assessment of admissibility of the complaint pursuant to paragraph 3. 6.苦情を申し立てた監督当局は、1週間以内に苦情の受領を確認しなければならない。この受理は、第3項に従った苦情の可否の評価を損なうものではない。
Article 4 第4条
Investigation of complaints 苦情の調査
While assessing the extent appropriate to which a complaint should be investigated in each case the supervisory authority shall take into account all relevant circumstances, including all of the following: 監督当局は、各事案において苦情が調査されるべき適切な範囲を評価する一方で、以下の全てを含む全ての関連する状況を考慮するものとする:
(a)the expediency of delivering an effective and timely remedy to the complainant; (a)効果的かつタイムリーな救済を申立者に提供するための便宜性
(b)the gravity of the alleged infringement; (b)申し立てられた侵害の重大性
(c)the systemic or repetitive nature of the alleged infringement. (c)申し立てられた侵害の体系的または反復的な性質。
Article 5 第5条
Amicable settlement 友好的解決
A complaint may be resolved by amicable settlement between the complainant and the parties under investigation. Where the supervisory authority considers that an amicable settlement to the complaint has been found, it shall communicate the proposed settlement to the complainant. If the complainant does not object to the amicable settlement proposed by the supervisory authority within one month, the complaint shall be deemed withdrawn. 苦情は、申立人と調査対象当事者との間の友好的和解によって解決することができる。監督当局は、苦情に対する友好的和解が見出されたと考える場合、提案された和解案を申立人に通知しなければならない。監督当局が提案した友好的解決に申立人が1ヶ月以内に異議を唱えない場合、苦情は取り下げられたものとみなされる。
Article 6 第6条
Translations 翻訳
1.The supervisory authority with which the complaint was lodged shall be responsible for: 1.苦情を申し立てた監督当局は、以下の責任を負うものとする:
(a)translation of complaints and the views of complainants into the language used by the lead supervisory authority for the purposes of the investigation; (a)苦情および申立人の意見を、監督当局が調査のために使用する言語に翻訳する;
(b)translation of documents provided by the lead supervisory authority into the language used for communication with the complainant, where it is necessary to provide such documents to the complainant pursuant to this Regulation or Regulation (EU) 2016/679. (b)本規則又は規則(EU)2016/679に基づき、苦情申立人に当該文書を提供する必要がある場合、主管監督当局が苦情申立人とのコミュニケーションに使用する言語へのプロバイダ提供文書の翻訳。
2.In its rules of procedure, the Board shall determine the procedure for the translation of comments or relevant and reasoned objections expressed by supervisory authorities concerned in a language other than the language used by the lead supervisory authority for the purposes of the investigation. 2.理事会は、その手続規則において、調査のために主管監督当局が使用する言語以外の言語で関係監督当局が表明したコメントまたは関連する理由ある反論の翻訳手続を定めるものとする。
Chapter III 第3章
Cooperation under Article 60 of Regulation (EU) 2016/679 規則(EU)2016/679第60条に基づく協力
Section 1 第1節
Reaching consensus within the meaning of Article 60(1) of Regulation (EU) 2016/679 規則(EU)2016/679第60条第1項の意味における合意形成
Article 7 第7条
Cooperation between supervisory authorities 監督当局間の協力
While cooperating in an endeavour to reach a consensus, as provided for in Article 60(1) of Regulation (EU) 2016/679, supervisory authorities shall use all the means provided for in Regulation (EU) 2016/679, including mutual assistance pursuant to Article 61 and joint operations pursuant to Article 62 of Regulation (EU) 2016/679. 規則(EU)2016/679第60条(1)に規定される合意形成の努力において協力する間、監督当局は、規則(EU)2016/679第61条に基づく相互援助及び規則(EU)2016/679第62条に基づく共同運用を含め、規則(EU)2016/679に規定されるすべての手段を用いるものとする。
The provisions in this section concern the relations between supervisory authorities and are not intended to confer rights on individuals or the parties under investigation. 本項の規定は、監督当局間の関係に関するものであり、個人または調査対象当事者に権利を付与することを意図するものではない。
Article 8 第8条
Relevant information within the meaning of Article 60(1) and (3) of Regulation (EU) 2016/679 規則(EU)2016/679第60条(1)及び(3)の意味における関連情報
1.The lead supervisory authority shall regularly update the other supervisory authorities concerned about the investigation and provide the other supervisory authorities concerned, at the earliest convenience, with all relevant information once available. 1.主管監督当局は、調査について他の関係監督当局に定期的に報告し、入手可能なすべての関連情報を、できるだけ早い段階で他の関係監督当局に提供しなければならない。
2.Relevant information within the meaning of Article 60(1) and (3) of Regulation (EU) 2016/679 shall include, where applicable: 2.規則(EU)2016/679第60条(1)及び(3)の意味における関連情報には、該当する場合、以下を含むものとする:
(a)information on the opening of an investigation of an alleged infringement of Regulation (EU) 2016/679; (a)規則(EU)2016/679の違反の疑いに関する調査の開始に関する情報;
(b)requests for information pursuant to Article 58(1), point (e) of Regulation (EU) 2016/679; (b)規則(EU)2016/679第58条(1)項(e)に基づく情報提供の要求
(c)information of the use of other investigative powers referred to in Article 58(1) of Regulation (EU) 2016/679; (c)規則(EU)2016/679第58条(1)に言及されるその他の調査権限の使用に関する情報;
(d)in the case of envisaged rejection of complaint, the lead supervisory authority’s reasons for rejection of the complaint; (d)苦情却下が想定される場合、主管監督当局による苦情却下の理由;
(e)summary of key issues in an investigation in accordance with Article 9; (e)第9条に基づく調査における重要事項の概要
(f)information concerning steps aiming to establish an infringement of Regulation (EU) 2016/679 prior to the preparation of preliminary findings; (f)予備所見の作成に先立ち、規則(EU)2016/679の違反の立証を目的とした措置に関する情報;
(g)preliminary findings; (g)予備的所見
(h)the response of the parties under investigation to the preliminary findings; (h)予備所見に対する調査対象当事者の回答
(i)the views of the complainant on the preliminary findings; (i)予備所見に対する申立人の見解
(j)in the case of rejection of a complaint, the written submissions of the complainant; (j)苦情が却下された場合、苦情申立人の提出文書
(k)any relevant steps taken by the lead supervisory authority after receiving the response of the parties under investigation to the preliminary findings and prior to submission of a draft decision in the sense of Article 60(3) of Regulation (EU) 2016/679. (k)予備調査結果に対する調査対象当事者の回答を受領した後、規則(EU)2016/679第60条(3)の意味における決定ドラフトを提出する前に、主管監督当局が講じた関連する措置。
Article 9 第9条
Summary of key issues 重要事項の要約
1.Once the lead supervisory authority has formed a preliminary view on the main issues in an investigation, it shall draft a summary of key issues for the purpose of cooperation under Article 60(1) of Regulation (EU) 2016/679. 1.主管監督当局は、調査における主要な論点について予備的見解を形成した後、規則(EU)2016/679第60条(1)に基づく協力のために、主要論点の要約をドラフトしなければならない。
2.The summary of key issues shall include all of the following elements: 2.重要事項の要約には、以下のすべての要素を含まなければならない:
(a)the main relevant facts; (a)主な関連事実
(b)a preliminary identification of the scope of the investigation, in particular the provisions of Regulation (EU) 2016/679 concerned by the alleged infringement which will be investigated; (b)調査範囲の予備的特定、特に、調査対象となる侵害の疑いが関係する規則(EU)2016/679の条項;
(c)identification of complex legal and technological assessments which are relevant for preliminary orientation of their assessment; (c)複雑な法的及び技術的評価で、その評価の予備的な方向付けに関連するものを特定する;
(d)preliminary identification of potential corrective measure(s). (d)潜在的な是正措置の予備的特定。
3.The supervisory authorities concerned may provide comments on the summary of key issues. Such comments must be provided within four weeks of receipt of the summary of key issues. 3.関係監督当局は、重要事項の概要についてコメントを提供することができる。当該コメントは、重要事項要約の受領後4週間以内にプロバイダから提出されなければならない。
4.Comments provided pursuant to paragraph 3 shall meet the following requirements: 4.第3項に従って提供されるコメントは、以下の要件を満たさなければならない:
(a)language used is sufficiently clear and contains precise terms to enable the lead supervisory authority, and, as the case may be, supervisory authorities concerned, to prepare their positions; (a)使用されている文言は、主管監督当局及び場合によっては関係監督当局が自らの立場を準備できるよう、十分に明確であり、正確な用語を含んでいる;
(b)legal arguments are set out succinctly and grouped by reference to the part of the summary of key issues to which they relate; (b)法的論拠が簡潔に記載され、重要事項要約の関連する部分を参照してグループ化されている;
(c)the comments of the supervisory authority concerned may be supported by documents, which may supplement the comments on specific points. (c)関係監督当局のコメントは、特定の論点に関するコメントを補足する文書によって裏付けられることがある。
5.The Board may specify in its rules of procedure restrictions on the maximum length of comments submitted by supervisory authorities concerned on the summary of key issues. 5.理事会は、重要事項要約書について関係監督当局が提出するコメントの最大長に関する制限を、手続規則に規定することができる。
6.Cases where none of the supervisory authorities concerned provided comments under paragraph 3 of this Article shall be considered non-contentious cases. In such cases, the preliminary findings referred to in Article 14 shall be communicated to the parties under investigation within 9 months of the expiry of the deadline provided for in paragraph 3 of this Article. 6.本条第3項に基づき、関係監督当局のいずれからもコメントが提出されなかったケースは、非訟事件とみなされる。この場合、第14条の予備的所見は、本条第3項に定める期限の満了後9カ月以内に調査当事者に通知されるものとする。
Article 10 第10条
Use of means to reach consensus 合意形成のための手段の利用
1.A supervisory authority concerned shall make a request to the lead supervisory authority under Article 61 of Regulation (EU) 2016/679, Article 62 of Regulation (EU) 2016/679, or both, where, following the comments of supervisory authorities concerned pursuant to Article 9(3), a supervisory authority concerned disagrees with the assessment of the lead supervisory authority on: 1.関係監督当局は、第9条(3)に基づく関係監督当局の意見に続き、関係監督当局が以下の事項に関する主管監督当局の評価に同意しない場合、規則(EU)2016/679第61条、規則(EU)2016/679第62条、またはその両方に基づき、主管監督当局に要求を行うものとする:
(a)the scope of the investigation in complaint-based cases, including the provisions of Regulation (EU) 2016/679 concerned by the alleged infringement which will be investigated; (a)苦情に基づく場合の調査範囲(調査対象となる違反の疑いが関係する規則(EU)2016/679の条項を含む);
(b)preliminary orientation in relation to complex legal assessments identified by the lead supervisory authority pursuant to Article 9(2), point (c); (b)第9条(2)項(c)に基づき主管庁が特定した複雑な法的評価に関する予備的オリエンテーション;
(c)preliminary orientation in relation to complex technological assessments identified by the lead supervisory authority pursuant to Article 9(2), point (c). (c)第9条(2)の(c)に従って主管監督当局が特定した複雑な技術的評価に関する予備的オリエンテーション。
2.The request under paragraph 1 shall be made within two months of the expiry of the period referred to in Article 9(3). 2.第1項に基づく要請は、第9条(3)にいう期間の満了後2ヶ月以内に行わなければならない。
3.The lead supervisory authority shall engage with the supervisory authorities concerned on the basis of their comments on the summary of key issues, and, where applicable, in response to requests under Article 61 and 62 of Regulation (EU) 2016/679, in an endeavour to reach a consensus. The consensus shall be used as a basis for the lead supervisory authority to continue the investigation and draft the preliminary findings or, where applicable, provide the supervisory authority with which the complaint was lodged with its reasoning for the purposes of Article 11(2). 3.主管監督当局は、重要事項の概要に関する関係監督当局の意見に基づき、また、該当する場合には、規則(EU)2016/679第61条及び第62条に基づく要請に応じ、関係監督当局と合意形成に努めるものとする。コンセンサスは、主管監督当局が調査を継続し、初期所見をドラフトするための基礎として使用されるか、または、該当する場合には、第11条(2)の目的のために、苦情が申し立てられた監督当局にその理由を提供するために使用される。
4.Where, in a complaint-based investigation, there is no consensus between the lead supervisory authority and one or more concerned supervisory authorities on the matter referred to in Article 9(2), point (b), of this Regulation, the lead supervisory authority shall request an urgent binding decision of the Board under Article 66(3) of Regulation (EU) 2016/679. In that case, the conditions for requesting an urgent binding decision under Article 66(3) of Regulation (EU) 2016/679 shall be presumed to be met. 4.苦情に基づく調査において、本規則第9条(2)の(b)に言及される事項について、主管監督当局と1つ以上の関係監督当局との間でコンセンサスが得られない場合、主管監督当局は、規則(EU)2016/679第66条(3)に基づき、理事会の緊急拘束力ある決定を要請するものとする。この場合、規則(EU)2016/679の第66条3項に基づく緊急拘束力のある決定を要請するための条件が満たされているものと推定される。
5.When requesting an urgent binding decision of the Board pursuant to paragraph 4 of this Article, the lead supervisory authority shall provide all of the following: 5.本条第4項に基づき理事会の緊急拘束力を有する決定を要請する場合、主管監督当局は、以下のすべてを提供しなければならない:
(a)the documents referred to in Article 9(2), points (a) and (b); (a)第9条(2)の(a)および(b)に記載された書類;
(b)the comments of the supervisory authority concerned that disagrees with the lead supervisory authority’s preliminary identification of the scope of the investigation. (b)主管監督当局による調査範囲の予備的特定に同意しない当該監督当局のコメント。
6.The Board shall adopt an urgent binding decision on the scope of the investigation on the basis of the comments of the supervisory authorities concerned and the position of the lead supervisory authority on those comments. 6.理事会は、関係監督当局のコメントおよびそれらに対する主管監督当局の見解に基づき、調査範囲に関する緊急拘束力のある決定を採択する。
Section 2 第2節
Full or partial rejection of complaints 不服申立ての全部または一部の却下
Article 11 第11条
Hearing of complainant prior to full or partial rejection of a complaint 苦情の全部または一部の却下に先立つ申立人の聴聞
1.Following the procedure provided for in Article 9 and 10, the lead supervisory authority shall provide the supervisory authority with which the complaint was lodged with the reasons for its preliminary view that the complaint should be fully or partially rejected. 1.第9条及び第10条に規定された手続に従い、主管監督当局は、苦情が提出された監督当局に対し、苦情の全部又は一部が却下されるべきであるとする予備的見解の理由を提供しなければならない。
2.The supervisory authority with which the complaint was lodged shall inform the complainant of the reasons for the intended full or partial rejection of the complaint and set a time-limit within which the complainant may make known her or his views in writing. The time-limit shall be no less than three weeks. The supervisory authority with which the complaint was lodged shall inform the complainant of the consequences of the failure to make her or his views known. 2.不服申立てを行った監督当局は、不服申立人に対し、不服申立ての全部又は一部を却下する旨の理由を通知し、不服申立人が書面で意見を表明できる期限を設定しなければならない。期限は3週間以上とする。苦情を申し立てた監督当局は、苦情を申し立てた者に、意見を明らかにしなかった場合の結果を通知しなければならない。
3.If the complainant fails to make known her or his views within the time-limit set by the supervisory authority with which the complaint was lodged, the complaint shall be deemed to have been withdrawn. 3.苦情を申し立てた監督当局が設定した期限内に苦情申立人が意見を明らかにしなかった場合、苦情は取り下げられたものとみなされる。
4.The complainant may request access to the non-confidential version of the documents on which the proposed rejection of the complaint is based. 4.苦情申立人は、苦情却下案の根拠となった文書の非機密版へのアクセスを要求することができる。
5.If the complainant makes known her or his views within the time-limit set by the supervisory authority with which the complaint was lodged and the views do not lead to a change in the preliminary view that the complaint should be fully or partially rejected, the supervisory authority with which the complaint was lodged shall prepare the draft decision under Article 60(3) of Regulation (EU) 2016/679 which shall be submitted to the other supervisory authorities concerned by the lead supervisory authority pursuant to Article 60(3) of Regulation (EU) 2016/679. 5.苦情を申し立てた監督当局が設定した期限内に苦情申立人が意見を表明し、その意見が、苦情の全部または一部を却下すべきであるという予備的見解の変更につながらない場合、 苦情を申し立てた監督当局は、規則(EU)2016/679第60条(3)に基づく決定草案を作成しなければならない。これは、規則(EU)2016/679第60条(3)に従い、主管監督当局が関係する他の監督当局に提出するものとする。
Article 12 第12条
Revised draft decision fully or partially rejecting a complaint 不服申立ての全部または一部を却下する改訂ドラフト決定書
1.Where the lead supervisory authority considers that the revised draft decision within the meaning of Article 60(5) of Regulation (EU) 2016/679 raises elements on which the complainant should have the opportunity to make her or his views known, the supervisory authority with which the complaint was lodged shall, prior to the submission of the revised draft decision under Article 60(5) of Regulation (EU) 2016/679, provide the complainant with the possibility to make her or his views known on such new elements. 1.主管監督当局が、規則(EU)2016/679第60条(5)の意味における改訂決定草案が、申立人が意見を表明する機会を持つべき要素を提起していると考える場合、苦情が申し立てられた監督当局は、規則(EU)2016/679第60条(5)に基づく改訂決定草案の提出に先立ち、当該新たな要素について意見を表明する可能性を申立人に提供しなければならない。
2.The supervisory authority with which the complaint was lodged shall set a time-limit within which the complainant may make known her or his views. 2.苦情を申し立てた監督当局は、苦情申立人が意見を表明できる期限を定めるものとする。
Article 13 第13条
Decision fully or partially rejecting a complaint 苦情の全部または一部を却下する決定
When adopting a decision fully or partially rejecting a complaint in accordance with Article 60(8) of Regulation (EU) 2016/679, the supervisory authority with which the complaint was lodged shall inform the complainant of the judicial remedy available to him or her in accordance with Article 78 of Regulation (EU) 2016/679. 規則(EU)2016/679第60条(8)に従い、苦情を全面的または部分的に却下する決定を採択する場合、苦情を申し立てた監督当局は、規則(EU)2016/679第78条に従い、利用可能な司法救済手段を申立人に通知しなければならない。
Section 3 第3節
Decisions addressed to controllers and processors 管理者および処理者に対する決定
Article 14 第14条
Preliminary findings and reply 予備的所見および回答
1.When the lead supervisory authority intends to submit a draft decision within the meaning of Article 60(3) of Regulation (EU) 2016/679 to the other supervisory authorities concerned finding an infringement of Regulation (EU) 2016/679, it shall draft preliminary findings. 1.主管監督機関が、規則(EU)2016/679の違反を認定する規則(EU)2016/679第60条(3)の意味における決定案を他の関係監督機関に提出しようとする場合、初期ドラフトを作成しなければならない。
2.The preliminary findings shall present allegations raised in an exhaustive and sufficiently clear way to enable the parties under investigation to take cognisance of the conduct investigated by the lead supervisory authority. In particular, they must set out clearly all the facts and the entire legal assessment raised against the parties under investigation, so that they can express their views on the facts and the legal conclusions the lead supervisory authority intends to draw in the draft decision within the meaning of Article 60(3) of Regulation (EU) 2016/679, and list all the evidence it relies upon. 2.予備的所見は、調査対象者が主管監督当局が調査した行為を認識できるよう、網羅的かつ十分に明確な方法で提起された申し立てを提示しなければならない。特に、規則(EU)2016/679第60条(3)の意味において、主管庁が決定草案において導き出そうとする事実及び法的結論について、調査対象当事者が意見を表明できるように、調査対象当事者に対して提起されたすべての事実及び法的評価全体を明確に示し、依拠するすべての証拠を列挙しなければならない。
The preliminary findings shall indicate corrective measures the lead supervisory authority intends to use. 予備的所見は、主管監督当局が意図する是正措置を示すものとする。
Where the lead supervisory authority intends to impose a fine, it shall list in the preliminary findings the relevant elements on which it relies while calculating the fine. In particular, the lead supervisory authority shall list the essential facts and matters of law which may result in the imposition of the fine and the elements listed in Article 83(2) of Regulation (EU) 2016/679, including any aggravating or mitigating factors it will take into account. 主管監督当局が制裁金を課すことを意図している場合、主管監督当局は、制裁金を算定する際に依拠する関連要素を予備的所見に記載しなければならない。特に、主管監督当局は、制裁金の賦課につながる可能性のある本質的な事実及び法律事項、並びに規則(EU)2016/679の第83条(2)に列挙されている要素を、考慮する加重要因又は低減要因を含めて列挙しなければならない。
3.The lead supervisory authority shall notify preliminary findings to each of the parties under investigation. 3.主管監督機関は、調査中の各当事者に予備的所見を通知するものとする。
4.The lead supervisory authority shall, when notifying the preliminary findings to the parties under investigation, set a time-limit within which these parties may provide their views in writing. The lead supervisory authority shall not be obliged to take into account written views received after the expiry of that time-limit. 4.主管監督機関は、調査対象当事者に予備的所見を通知する際、これらの当事者が書面で意見を提出できる期限を設定しなければならない。主管監督当局は、当該期間の経過後に受領した書面による意見を考慮する義務を負わないものとする。
5.When notifying the preliminary findings to the parties under investigation, the lead supervisory authority shall provide those parties with access to the administrative file in accordance with Article 20. 5.予備的調査結果を被調査当事者に認可する際、主管監督機関は、第20条に従って、被調査当事者に行政ファイルへのアクセスを提供しなければならない。
6.The parties under investigation may, in their written reply to preliminary findings, set out all facts and legal arguments known to them which are relevant to their defence against the allegations of the lead supervisory authority. They shall attach any relevant documents as proof of the facts set out. The lead supervisory authority shall, in its draft decision, deal only with allegations, including the facts and the legal assessment based on those facts, in respect of which the parties under investigation have been given the opportunity to comment. 6.被調査当事者は、予備調査結果に対する書面による回答において、主管監督当局の申し立てに対する防御に関連する、当事者が知るすべての事実及び法的論拠を記載することができる。また、記載された事実の証拠として、関連文書を添付しなければならない。主管監督官庁は、そのドラフト決定において、調査対象当事者に意見を述べる機会が与えられた事実及び当該事実に基づく法的評価を含む主張のみを取り扱うものとする。
Article 15 第15条
Transmission of preliminary findings to complainants 申立人への予備調査結果の伝達
1.Where the lead supervisory authority issues preliminary findings relating to a matter in respect of which it has received a complaint, the supervisory authority with which the complaint was lodged shall provide the complainant with a non-confidential version of the preliminary findings and set a time-limit within which the complainant may make known its views in writing. 1.主管監督官庁が、苦情を受理した事項に関する予備的所見を公表する場合、苦情を申し立てた監督官庁は、苦情申立人に予備的所見の非機密版を提供し、苦情申立人が書面で意見を表明できる期限を設定しなければならない。
2.Paragraph 1 shall apply also when a supervisory authority, where appropriate, treats several complaints jointly, splits the complaints in several parts or in any other way exercises its discretion concerning the scope of the investigation as set out in preliminary findings. 2.第1項は、監督当局が、適切な場合、複数の苦情を共同で扱い、苦情を複数に分割し、またはその他の方法で、予備所見に定める調査範囲に関する裁量権を行使する場合にも適用されるものとする。
3.Where the lead supervisory authority considers that it is necessary for the complainant to be provided with documents included in the administrative file in order for the complainant to effectively make known her or his views on the preliminary findings, the supervisory authority with which the complaint was lodged shall provide the complainant with the non-confidential version of such documents when providing the preliminary findings pursuant to paragraph 1. 3.主管監督官庁が、苦情申立人が予備所見に対する意見を効果的に周知するために、行政ファイルに含まれる文書を苦情申立人に提供することが必要であると考える場合、苦情が申し立てられた監督官庁は、第1項に従って予備所見を提供する際に、当該文書の非機密版を苦情申立人に提供しなければならない。
4.The complainant shall be provided with the non-confidential version of the preliminary findings only for the purpose of the concrete investigation in which the preliminary findings were issued. 4.申立人は、予備所見が出された具体的な調査の目的のためにのみ、予備所見の非機密版をプロバイダに提供されるものとする。
5.Before receiving the non-confidential version of preliminary findings and any documents provided pursuant to paragraph 3, the complainant shall send to the lead supervisory authority a confidentiality declaration, where the complainant commits himself or herself not to disclose any information or assessment made in the non-confidential version of preliminary findings or to use those findings for purposes other than the concrete investigation in which those findings were issued. 5.申立人は、予備調査結果の非機密版及び第3項に従って提供された文書を受領する前に、主任監督当局に秘密保持宣誓書を送付しなければならず、そこでは、申立人は、予備調査結果の非機密版においてなされたいかなる情報又は評価も開示しないこと、又はそれらの調査結果が発出された具体的な調査以外の目的のためにそれらの調査結果を使用しないことを誓約する。
Article 16 第16条
Adoption of final decision 最終決定の採択
After submitting the draft decision to supervisory authorities concerned pursuant to Article 60(3) of Regulation (EU) 2016/679 and where none of the supervisory authorities concerned has objected to the draft decision within the periods referred to in Article 60(4) and (5) of Regulation (EU) 2016/679, the lead supervisory authority shall adopt and notify its decision under Article 60(7) of Regulation (EU) 2016/679 to the main establishment or single establishment of the controller or processor, as the case may be, and inform the supervisory authorities concerned and the Board of the decision in question, including a summary of the relevant facts and grounds. 規則(EU)2016/679第60条(3)に従い関係監督当局に決定草案を提出した後、規則(EU)2016/679第60条(4)および(5)に言及された期間内に、関係監督当局のいずれからも決定草案に対する異議が出なかった場合、主管監督当局は、決定草案を採択し、採択された決定草案を使用するものとする、 主管監督機関は、規則(EU)2016/679第60条(7)に基づく決定を採択し、場合により、管理者又は処理者の主たる事業所又は単一の事業所に通知し、関係監督機関及び理事会に、関連する事実及び根拠の概要を含む当該決定を通知するものとする。
Article 17 第17条
Right to be heard in relation to revised draft decision 改訂された決定ドラフトに関して意見を聴取される権利
1.Where the lead supervisory authority considers that the revised draft decision within the meaning of Article 60(5) of Regulation (EU) 2016/679 raises elements on which the parties under investigation should have the opportunity to make their views known, the lead supervisory authority shall, prior to the submission of the revised draft decision under Article 60(5) of Regulation (EU) 2016/679, provide the parties under investigation with the possibility to make their views known on such new elements. 1.主管監督当局が、規則(EU)2016/679第60条(5)の意味における改訂された決定草案が、調査対象当事者が意見を公表する機会を有するべき要素を提起していると考える場合、主管監督当局は、規則(EU)2016/679第60条(5)に基づく改訂された決定草案の提出に先立ち、調査対象当事者に対し、当該新たな要素について意見を公表する可能性を提供しなければならない。
2.The lead supervisory authority shall set a time-limit within which the parties under investigation may make known their views. 2.主管監督当局は、調査対象当事者が意見を公表できる期限を設定するものとする。
Section 4 第4節
Relevant and reasoned objections 関連性および理由ある異議申立
Article 18 第18条
Relevant and reasoned objections 関連性および理由ある異議申立
1.Relevant and reasoned objections within the meaning of Article 4(24) of Regulation (EU) 2016/679 shall: 1.規則(EU)2016/679第4条(24)の意味における関連性及び理由ある異議は、以下のとおりとする:
(a)be based exclusively on factual elements included in the draft decision; and (a)決定草案に含まれる事実要素のみに基づく。
(b)not change the scope of the allegations by raising points amounting to identification of additional allegations of infringement of Regulation (EU) 2016/679 or changing the intrinsic nature of the allegations raised. (b)規則(EU)2016/679の違反に関する追加的な申し立ての特定に相当する点を提起したり、提起された申し立ての本質的な性質を変更したりすることにより、申し立ての範囲を変更してはならない。
2.The form and structure of relevant and reasoned objections shall meet all of the following requirements: 2.関連性のある理由付き異議申立の形式および構成は、以下の要件をすべて満たすものとする:
(a)the length of each relevant and reasoned objection and the position of the lead supervisory authority on any such objection shall not exceed three pages and shall not include annexes. In cases involving particularly complex legal issues, the maximum length may be increased to six pages, except if specific circumstances justifying a longer length are accepted by the Board; (a)各異議申立ての長さ及び当該異議申立てに関する主管監督当局の見解は、3ページを超えてはならず、附属書を含んではならない。特に複雑な法的問題を含む場合は、理事会がこれ以上の長さを正当化する特定の状況を認めた場合を除き、最大6ページまでとすることができる;
(b)the disagreement of the supervisory authority concerned with the draft decision shall be stated at the beginning of the relevant and reasoned objection and shall be worded in sufficiently clear, coherent and precise terms to enable the lead supervisory authority, and as the case may be, supervisory authorities concerned, to prepare their positions and to enable the Board to efficiently resolve the dispute; (b)決定草案に対する関係監督当局の不同意を、関連する理由付き異議申立書の冒頭に記載し、主管監督当局及び場合によっては関係監督当局がそれぞれの立場を準備し、理事会が効率的に紛争を解決できるよう、十分に明確で首尾一貫した正確な言葉で表現しなければならない;
(c)legal arguments shall be set out and grouped by reference to the operative part of the draft decision to which they relate. Each argument or group of arguments shall generally be preceded by a summary statement. (c)法的論拠は、それらが関連する決定草案の運用部分を参照することにより、示され、グループ化されなければならない。各論または各論のグループには、通常、要約文を付すものとする。
Chapter IV 第4章
Access to the administrative file and treatment of confidential information 行政ファイルへのアクセス及び秘密情報の取扱い
Article 19 第19条
Content of the administrative file 行政ファイルの内容
1.The administrative file in an investigation concerning an alleged infringement of Regulation (EU) 2016/679 consists of all documents which have been obtained, produced and/or assembled by the lead supervisory authority during the investigation. 1.規則(EU)2016/679の違反の疑いに関する調査における行政ファイルは、調査中に主管監督当局が入手、作成及び/又は収集したすべての文書から構成される。
2.In the course of investigation of an alleged infringement of Regulation (EU) 2016/679, the lead supervisory authority may return to the party from which they have been obtained documents which following a more detailed examination prove to be unrelated to the subject matter of the investigation. Upon return, these documents shall no longer constitute part of the administrative file. 2.規則(EU)2016/679違反の疑いに関する調査の過程において、主管監督当局は、より詳細な調査の結果、調査対象とは無関係であることが判明した文書を入手した当事者に返却することができる。返却後、これらの文書はもはや管理ファイルの一部を構成しないものとする。
3.The right of access to the administrative file shall not extend to correspondence and exchange of views between the lead supervisory authority and supervisory authorities concerned. The information exchanged between the supervisory authorities for the purpose of the investigation of an individual case are internal documents and shall not be accessible to the parties under investigation or the complainant. 3.行政ファイルへのアクセス権は、主管監督当局と関係監督当局との間の通信及び意見交換には及ばないものとする。個々の事案の調査のために監督当局間で交換された情報は内部文書であり、調査当事者や申立人はアクセスできないものとする。
4.Access to relevant and reasoned objections pursuant to Article 60(4) of Regulation (EU) 2016/679 shall be provided in accordance with Article 24. 4.規則(EU)2016/679第60条(4)に基づく関連する理由付き異議へのアクセスは、第24条に従ってプロバイダが提供するものとする。
Article 20 第20条
Access to the administrative file and use of documents 行政ファイルへのアクセス及び文書の使用
1.The lead supervisory authority shall grant access to the administrative file to the parties under investigation, enabling them to exercise their right to be heard. Access to the administrative file shall be granted after the lead supervisory authority notifies the preliminary findings to the parties under investigation. 1.主管監督当局は、被調査当事者が聴聞権を行使できるように、行政ファイルへのアクセスを認めるものとする。行政ファイルへのアクセスは、主管監督機関が調査当事者に予備調査結果を通知した後に許可されるものとする。
2.The administrative file shall include all documents, inculpatory and exculpatory, including facts and documents which are known to the parties under investigation. 2.行政ファイルには、捜査当事者が知っている事実および文書を含む、有罪および無罪を主張するすべての文書を含めるものとする。
3.The conclusions of the lead supervisory authority in the draft decision under Article 60(3) of Regulation (EU) 2016/679 and the final decision under Article 60(7) of Regulation (EU) 2016/679 may only rely on documents cited in the preliminary findings or on which the parties under investigation had the opportunity to make their views known. 3.規則(EU)2016/679第60条(3)に基づくドラフト決定及び規則(EU)2016/679第60条(7)に基づく最終決定における主管監督当局の結論は、予備所見で引用された文書又は調査当事者が意見を明らかにする機会を得た文書にのみ依拠することができる。
4.Documents obtained through access to the administrative file pursuant to this Article shall be used only for the purposes of judicial or administrative proceedings for the application of Regulation (EU) 2016/679 in the specific case for which such documents were provided. 4.本条に基づく行政ファイルへのアクセスを通じて入手した文書は、当該文書がプロバイダされた特定の事案における規則(EU)2016/679の適用に関する司法手続又は行政手続の目的でのみ使用されるものとする。
Article 21 第21条
Identification and protection of confidential information 秘密情報の識別及び保護
1.Unless otherwise provided in this Regulation, information collected or obtained by a supervisory authority in cross-border cases under of Regulation (EU) 2016/679, including any document containing such information, shall not be communicated or made accessible by the supervisory authority in so far as it contains business secrets or other confidential information of any person. 1.本規則に別段の定めがない限り、規則(EU)2016/679に基づく国境を越えた事案において監督当局が収集または取得した情報(当該情報を含む文書を含む)は、それが何人かの企業秘密またはその他の秘密情報を含む限り、監督当局によって伝達され、またはアクセス可能な状態にされてはならない。
2.Any information collected or obtained by a supervisory authority in cross-border cases under Regulation (EU) 2016/679, including any document containing such information, is excluded from access requests under laws on public access to official documents as long as the proceedings are ongoing. 2.規則(EU)2016/679に基づくクロスボーダー案件において監督当局が収集または取得した情報は、当該情報を含む文書を含め、手続が進行中である限り、公文書への公的アクセスに関する法律に基づくアクセス要求から除外される。
3.When communicating preliminary findings to parties under investigation and providing for access to the administrative file on the basis of Article 20, the lead supervisory authority shall ensure that the parties under investigation to whom access is being given to information containing business secrets or other confidential information treat such information with utmost respect for its confidentiality and that such information is not used to the detriment of the provider of the information. Depending on the degree of confidentiality of the information, the lead supervisory authority shall adopt appropriate arrangements to give full effect to the rights of defence of the parties under investigation with due regard for the confidentiality of the information. 3.第20条に基づき、調査中の当事者に予備的調査結果を伝達し、行政ファイルへのアクセスを提供する場合、主管監督当局は、企業秘密その他の秘密情報を含む情報へのアクセスを提供される調査中の当事者が、当該情報をその秘密性を最大限に尊重して取り扱い、当該情報が情報提供者の不利益にならないようにしなければならない。情報の秘密保持の程度に応じて、主管監督当局は、情報の秘密保持に十分配慮しつつ、調査対象当事者の防御の権利を十分に有効にするための適切な取決めを採用しなければならない。
4.An entity submitting information that it considers to be confidential shall clearly identify the information which it considers to be confidential, giving reasons for the confidentiality claimed. The entity shall provide a separate non-confidential version of the submission. 4.事業体は、秘密であると考える情報を提出する場合、秘密であると主張する理由を付して、秘密であると考える情報を明確に特定しなければならない。事業体は、提出物の機密でない別バージョンを提供しなければならない。
5.Without prejudice to paragraph 4, the lead supervisory authority may require the parties under investigation, or any other party which produces documents pursuant to Regulation (EU) 2016/679, to identify the documents or parts of documents which they consider to contain business secrets or other confidential information belonging to them and to identify the parties for which these documents are considered to be confidential. 5.第4項を損なうことなく、主管監督当局は、調査対象当事者又は規則(EU)2016/679に従って文書を提出するその他の当事者に対し、当該当事者に属する企業秘密又はその他の秘密情報を含むと考えられる文書又は文書の一部を特定し、これらの文書が秘密であると考えられる当事者を特定するよう求めることができる。
6.The lead supervisory authority may set a time-limit for parties under investigation and any other party raising a confidentiality claim to: 6.主管監督当局は、調査対象当事者及びその他の秘密保持の主張を行う当事者に対し、以下の期限を設定することができる:
(a)substantiate their claims for business secrets and other confidential information for each individual document or part of document, statement, or part of statement; (a)個々の文書又は文書の一部、陳述書又は陳述書の一部について、営業秘密及びその他の秘密情報に関する主張を立証する;
(b)provide a non-confidential version of the documents and statements, in which the business secrets and other confidential information are redacted; (b)企業秘密及びその他の秘密情報が墨消しされた、文書及び陳述書の非機密バージョンをプロバイダとして提供する;
(c)provide a concise, non-confidential, description of each piece of redacted information. (c)冗長化された各情報の簡潔で非機密的な説明を提供する。
7.If the parties under investigation or any other party fails to comply with paragraphs 4 and 5, the lead supervisory authority may assume that the documents or statements concerned do not contain business secrets or other confidential information. 7.調査対象当事者又はその他の当事者が第4項及び第5項を遵守しない場合、監督当局は、当該文書又は陳述書に企業秘密その他の秘密情報が含まれていないとみなすことができる。
Chapter V 第5章
Dispute resolution 紛争解決
Article 22 第22条
Referral to dispute resolution under Article 65 of Regulation (EU) 2016/679 規則(EU)2016/679第65条に基づく紛争解決への付託
1.If the lead supervisory authority does not follow the relevant and reasoned objections or is of the opinion that the objections are not relevant or reasoned, it shall submit the subject-matter to the dispute resolution mechanism set out in Article 65 of Regulation (EU) 2016/679. 1.主管監督当局が、関連性及び理由のある異議に従わない場合、又は異議が関連性及び理由のないものであるとの意見を有する場合、規則(EU)2016/679第65条に定める紛争解決メカニズムに当該主題を付託するものとする。
2.When referring the subject-matter to dispute resolution, the lead supervisory authority shall provide the Board with all of the following documents: 2.紛争解決に付託する場合、主管監督当局は、理事会に対し、以下のすべての文書を提供するものとする:
(a)the draft decision or revised draft decision subject to the relevant and reasoned objections; (a)関連する理由付き異議申立を条件とする決定草案または改訂決定草案;
(b)a summary of the relevant facts; (b)関連する事実の概要
(c)the preliminary findings; (c)予備的所見
(d)view made in writing by the parties under investigation, as the case may be, pursuant to Articles 14 and 17; (d)第14条及び第17条に基づき、場合により調査対象当事者が書面で行った見解;
(e)views made in writing by complainants, as the case may be, pursuant to Articles 11, 12, and 15; (e)第11条、第12条及び第15条に基づき、場合により申立人が書面で行った見解;
(f)the relevant and reasoned objections which were not followed by the lead supervisory authority; (f)監督主管庁が従わなかった、関連し、理由がある反対意見;
(g)the reasons on the basis of which the lead supervisory authority did not follow the relevant and reasoned objections or considered the objections not to be relevant or reasoned. (g)主管監督当局が、関連し理由がある異議に従わなかった、または異議が関連せず理由がないと見なした根拠。
3.The Board shall within four weeks of receiving the documents listed in paragraph 2 identify retained relevant and reasoned objections. 3.理事会は、第2項に記載された書類を受け取ってから4週間以内に、保持された関連性および理由ある異議申立を特定するものとする。
Article 23 第23条
Registration in relation to a decision under Article 65(1), point (a), of Regulation (EU) 2016/679 規則(EU)2016/679第65条(1)項(a)に基づく決定に関する登録
The Chair of the Board shall register the referral of a subject-matter to dispute resolution under Article 65(1), point (a), of Regulation (EU) 2016/679 no later than one week after having received all of the following documents: 理事会の議長は、規則(EU)2016/679の第65条(1)の(a)に基づく紛争解決への対象事項の付託を、次のすべての文書を受領してから1週間以内に登録しなければならない:
(a)the draft decision or revised draft decision subject to the relevant and reasoned objections; (a)関連する理由付き異議に従った決定草案または改訂決定草案;
(b)a summary of the relevant facts; (b)関連する事実の概要
(c)view made in writing by the parties under investigation, as the case may be, pursuant to Articles 14 and 17; (c)第14条及び第17条に基づき、場合により調査対象当事者が書面で行った見解
(d)views made in writing by complainants, as the case may be, pursuant to Articles 11, 12 and 15; (d)第11条、第12条及び第15条に基づき、場合により申立人が書面で行った見解;
(e)the retained relevant and reasoned objections; (e)保持されている関連性のある、理由のある反対意見;
(f)the reasons on the basis of which the lead supervisory authority did not follow the retained relevant and reasoned objections. (f)主管監督官庁が、保持された関連する異議及び理由付き異議に従わなかった理由。
Article 24 第24条
Statement of reasons prior to adoption of decision under Article 65(1), point (a), of Regulation (EU) 2016/679 規則(EU)2016/679第65条(1)項(a)に基づく決定採択前の理由書
1.Prior to adopting the binding decision pursuant to Article 65(1), point (a), of Regulation (EU) 2016/679, the Chair of the Board shall, through the lead supervisory authority, provide the parties under investigation and/or, in the case of full or partial rejection of a complaint, the complainant, with a statement of reasons explaining the reasoning the Board intends to adopt in its decision. Where the Board intends to adopt a binding decision requiring the lead supervisory authority to amend its draft decision or revised draft decision, the Board shall decide whether such statement of reasons should be accompanied by the retained relevant and reasoned objections on the basis of which the Board intends to adopt its decision. 1.規則(EU)2016/679の第65条(1)の(a)に従い拘束力のある決定を採択する前に、理事会の議長は、主管監督当局を通じて、調査対象当事者、及び/又は、不服申立ての全部若しくは一部が却下された場合には、不服申立人に対し、理事会が決定において採用しようとする理由を説明する理由書を提供するものとする。理事会が、主管監督当局に対し決定草案または改訂決定草案の修正を求める拘束力のある決定を採択しようとする場合、理事会は、当該理由書に、理事会が決定を採択しようとする根拠となる、関連性があり理由付けされた異議申立書を添付すべきかどうかを決定するものとする。
2.The parties under investigation and/or, in the case of full or partial rejection of a complaint, the complainant, shall have one week from receipt of the statement of reasons referred to in paragraph 1 to make their views known. 2.調査対象当事者、および/または、不服申立ての全部もしくは一部が却下された場合、不服申立人は、第1項で言及された理由書を受領してから1週間以内に意見を述べることができるものとする。
3.The deadline in paragraph 2 shall be extended by one week where the Board extends the period for adoption of the binding decision in accordance with Article 65(2) of Regulation (EU) 2016/679. 3.規則(EU)2016/679第65条(2)に従って理事会が拘束力のある決定の採択期間を延長する場合、第2項の期限は1週間延長されるものとする。
4.The period for adoption of the binding decision of the Board provided for in Article 65(2) of Regulation (EU) 2016/679 shall not run during the periods provided for in paragraphs 2 and 3. 4.規則(EU)2016/679の第65条(2)に規定される理事会の拘束力のある決定の採択期間は、第2項および第3項に規定される期間中であってはならない。
Article 25 第25条
Procedure in relation to decision under Article 65(1), point (b), of Regulation (EU) 2016/679 規則(EU)2016/679第65条(1)項(b)に基づく決定に関する手続
1.When referring a subject-matter to the Board under Article 65(1), point (b), of Regulation 2016/679, the supervisory authority referring the subject-matter regarding the competence for the main establishment shall provide the Board with all of the following documents: 1.規則2016/679の第65条(1)の(b)に基づき、理事会に案件を付託する場合、主機関の権限に関する案件を付託した監督当局は、理事会に対し、以下のすべての文書を提出しなければならない:
(a)a summary of the relevant facts; (a)関連する事実の概要
(b)the assessment of these facts as far as the conditions of Article 56(1) of Regulation (EU) 2016/679 are concerned; (b)規則(EU)2016/679の第56条(1)の条件に関するこれらの事実の評価;
(c)views made by the controller or processor whose main establishment is the subject of the referral; (c)付託の対象である主たる事業所を有する管理者又は処理者による見解
(d)the views of other supervisory authorities concerned by the referral; (d)照会に関係する他の監督当局の見解
(e)any other document or information the referring supervisory authority considers relevant and necessary in order to find a resolution on the subject-matter. (e)付託を受けた監督当局が、当該事項に関する解決を見出すために関連し必要であると考えるその他の文書または情報
2.The Chair of the Board shall register the referral no later than one week after having received the documents referred to in paragraph 1. 2.理事会議長は、第1項の書類を受け取ってから1週間以内に、付託を登録するものとする。
Article 26 第26条
Procedure in relation to decision under Article 65(1), point (c), of Regulation (EU) 2016/679 規則(EU)2016/679第65条(1)項(c)に基づく決定に関する手続き
1.When referring a subject-matter to the Board under Article 65(1), point (c), of Regulation 2016/679, the supervisory authority referring the subject-matter or the Commission shall provide the Board with all of the following documents: 1.規則2016/679の第65条(1)の(c)に基づき、理事会に案件を付託する場合、案件を付託した監督当局または欧州委員会は、理事会に対し、以下のすべての文書を提出しなければならない:
(a)a summary of the relevant facts; (a)関連する事実の概要
(b)the opinion, as the case may be, issued by the Board pursuant to Article 64 of Regulation (EU) 2016/679; (b)規則(EU)2016/679の第64条に従って理事会が発行した意見書(場合により);
(c)the views of the supervisory authority referring the subject-matter or the Commission as to whether, as the case may be, a supervisory authority was required to communicate the draft decision to the Board pursuant to Article 64(1) of Regulation (EU) 2016/679, or a supervisory authority did not follow an opinion of the Board issued pursuant to Article 64 of Regulation (EU) 2016/679. (c)場合により、監督当局が規則(EU)2016/679の第64条(1)に従い理事会に決定案を伝達する必要があったかどうか、または監督当局が規則(EU)2016/679の第64条に従って出された理事会の意見に従わなかったかどうかに関する、対象事案を付託した監督当局または欧州委員会の見解。
2.The Chair of the Board shall request the following documents: 2.理事会の議長は、以下の文書を要求するものとする:
(a)the views of the supervisory authority alleged to have breached the requirement to communicate a draft decision to the Board or to have failed to follow an opinion of the Board; (a)理事会に決定ドラフトを伝達する義務に違反した、または理事会の意見に従わなかったとされる監督当局の見解;
(b)any other document or information the supervisory authority considers relevant and necessary in order to find a resolution on the subject-matter. (b)その他、監督当局が当該事項に関する決議を見出すために関連し必要であると考える文書または情報。
If any supervisory authority declares a need to submit its views on the referred subject-matter, it shall submit those views within two weeks of the referral referred to in paragraph 1. 監督当局のいずれかが、付託された案件に関する意見を提出する必要性を表明した場合、第1項に言及された付託から2週間以内に意見を提出しなければならない。
3.The Chair of the Board shall register the referral no later than one week after having received the documents referred to in paragraphs 1 and 2. 3.理事会議長は、第1項および第2項の文書を受領してから1週間以内に、付託を登録するものとする。
Chapter VI 第6章
Urgency procedure 緊急手続
Article 27 第27条
Urgent opinions under Article 66(2) of Regulation (EU) 2016/679 規則(EU)2016/679第66条第2項に基づく緊急意見
1.A request for an urgent opinion of the Board pursuant to Article 66(2) of Regulation (EU) 2016/679 shall be made no later than three weeks prior to the expiry of provisional measures adopted under Article 66(1) of Regulation (EU) 2016/679 and shall contain all of the following items: 1.規則(EU)2016/679の第66条(2)に基づく理事会の緊急意見の要請は、規則(EU)2016/679の第66条(1)に基づき採択された暫定措置の満了の3週間前までに行うものとし、以下のすべての項目を含むものとする:
(a)a summary of the relevant facts; (a)関連する事実の概要;
(b)a description of the provisional measure adopted on its own territory, its duration and the reasons for adopting it, including the justification of the urgent need to act in order to protect the rights and freedoms of data subjects; (b)自国の領域で採用された暫定措置の説明、その期間、及びデータ主体の権利及び自由を保護するために緊急に行動する必要があることの正当化を含む、暫定措置を採用した理由;
(c)a justification of the urgent need for final measures to be adopted on the territory of the Member State of the requesting supervisory authority, including an explanation of the exceptional nature of circumstances requiring the adoption of the measures concerned. (c)当該措置の採択を必要とする状況の例外的性質の認可を含む、要請した監督当局の加盟国の領域で採択される最終措置の緊急の必要性の正当化。
2.The urgent opinion of the Board shall be addressed to the supervisory authority that submitted the request. It shall be similar to an opinion within the meaning of Article 64(1) of Regulation (EU) 2016/679 and enable the requesting authority to maintain or amend its provisional measure in line with the obligations of Article 64(7) of Regulation (EU) 2016/679. 2.理事会の緊急意見は、要請を提出した監督当局に宛てて出されるものとする。それは、規則(EU)2016/679第64条第1項の意味における認可に類似したものであり、要請した監督当局が規則(EU)2016/679第64条第7項の義務に沿って暫定措置を維持または修正することを可能にするものでなければならない。
Article 28 第28条
Urgent decisions under Article 66(2) of Regulation (EU) 2016/679 規則(EU) 2016/679第66条(2)に基づく緊急決定
1.A request for an urgent decision of the Board pursuant to Article 66(2) of Regulation (EU) 2016/679 shall be made no later than three weeks prior to the expiry of provisional measures adopted under Articles 61(8), 62(7) or 66(1) of Regulation (EU) 2016/679. That request shall contain all of the following items: 1.規則(EU)2016/679の第66条(2)に基づく理事会の緊急決定の要請は、規則(EU)2016/679の第61条(8)、第62条(7)または第66条(1)に基づき採択された暫定措置の失効の3週間前までに行わなければならない。当該要請には、以下の項目をすべて含まなければならない:
(a)a summary of the relevant facts; (a)関連する事実の概要;
(b)the provisional measure adopted on the territory of the Member State of the supervisory authority requesting the decision, its duration and the reasons for adopting the provisional measures, in particular the justification of the urgent need to act in order to protect the rights and freedoms of data subjects; (b)決定を要求する監督当局の加盟国の領域で採用された暫定措置、その期間、及び暫定措置を採用した理由、特にデータ主体の権利及び自由を保護するために緊急に行動する必要があることの正当化;
(c)information on any investigatory measures taken on its own territory and replies received from the local establishment of the parties under investigation or any other information in the possession of the requesting supervisory authority; (c)自国の領域でとられた調査措置に関する情報、調査対象者の現地法人から受領した回答、または要請した監督当局が保有するその他の情報;
(d)a justification of the urgent need for final measures to be adopted on the territory of the requesting supervisory authority, bearing in mind the exceptional nature of circumstances requiring the adoption of the final measure, or proof that a supervisory authority failed to respond to a request under Article 61(3) or 62(2) of Regulation (EU) 2016/679; (d)最終措置の採択を必要とする状況の例外的性質を念頭に置いた、要請監督当局の領域において最終措置を採択する緊急の必要性の正当化、または監督当局が規則(EU)2016/679の第61条(3)もしくは第62条(2)に基づく要請に応じなかったことの証明;
(e)where the requesting authority is not the lead supervisory authority, the views of the lead supervisory authority; (e)要請した当局が主管監督当局でない場合は、主管監督当局の見解;
(f)where applicable, the views of the local establishment of the parties under investigation against which provisional measures were taken pursuant to Article 66(1) of Regulation (EU) 2016/679. (f)該当する場合、規則(EU)2016/679の第66条(1)に従って暫定措置が取られた調査対象当事者の現地法人の見解。
2.The urgent decision referred to in paragraph 1 shall be addressed to the supervisory authority that submitted the request and shall enable the requesting authority to maintain or amend its provisional measure. 2.第1項にいう緊急決定は、要請を提出した監督当局宛とし、要請した監督当局が暫定措置を維持または修正できるようにするものとする。
3.Where the Board adopts an urgent binding decision indicating that final measures should be adopted, the supervisory authority to which the decision is addressed shall adopt such measures prior to the expiry of the provisional measures adopted under Article 66(1) of Regulation (EU) 2016/679. 3.理事会が最終的な措置を採用すべきことを示す緊急拘束力のある決定を採択した場合、当該決定の宛先である監督当局は、規則(EU)2016/679第66条(1)に基づき採用された暫定措置の失効前に当該措置を採用しなければならない。
4.The supervisory authority that submitted the request referred to in paragraph 1 shall notify its decision on the final measures to the establishment of the controller or processor on the territory of its Member State and inform the Board. Where the lead supervisory authority is not the requesting authority, the requesting authority shall inform the lead supervisory authority of the final measure. 4.第1項の要請を提出した監督機関は、加盟国領域内の管理者または処理者の事業所に対し、最終措置に関する決定を通知し、理事会に通知するものとする。主管監督機関が要請機関でない場合、要請機関は主管監督機関に最終措置を通知するものとする。
5.Where the urgent binding decision indicates that final measures do not urgently need to be adopted, the lead and supervisory authorities concerned shall follow the procedure in Article 60 of Regulation (EU) 2016/679. 5.緊急拘束力のある決定により、最終措置を緊急に採択する必要がないことが示された場合、当該主管庁及び監督当局は、規則(EU)2016/679第60条の手続きに従うものとする。
Chapter VII 第7章
General and final provisions 一般規定および最終規定
Article 29 第29条
Beginning of time periods and definition of working day 期間の開始および労働日の定義
1.Time-limits provided for in or fixed by the supervisory authorities pursuant to Regulation (EU) 2016/679 shall be calculated in accordance with Regulation (EEC, Euratom) No 1182/71 of the Council 17 . 1.規則(EU)2016/679に基づき、監督当局がプロバイダとして規定または確定する期限は、理事会規則(EEC, Euratom) No 1182/71に基づき算出される17。
2.Time periods shall begin on the working day following the event to which the relevant provision of Regulation (EU) 2016/679 or this Regulation refers. 2.期間は、規則(EU)2016/679または本規則の関連規定が言及している事象の翌営業日から開始するものとする。
Article 30 第30条
Transitional provisions 経過規定
Chapters III and IV shall apply to ex officio investigations opened after the entry into force of this Regulation and to complaint-based investigations where the complaint was lodged after the entry into force of this Regulation. 第III章および第IV章は、本規則の発効後に開始された職権調査、および苦情が本規則の発効後に申し立てられた苦情に基づく調査に適用される。
Chapter V shall apply to all cases submitted to dispute resolution under Article 65 of Regulation (EU) 2016/679 after the entry into force of this Regulation. 第V章は、本規則発効後、規則(EU)2016/679第65条に基づき紛争解決に付されたすべての案件に適用される。
Article 31 第31条
Entry into force 発効
This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union. 本規則は、欧州連合官報に掲載された翌日から20日目に発効する。
This Regulation shall be binding in its entirety and directly applicable in all Member States. 本規則は、その全体を拘束し、すべての加盟国に直接適用されるものとする。
Done at Brussels, ブリュッセルにおいて制定される、
For the European Parliament For the Council 欧州議会
The President The President 議長へ

 

(1)   Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) OJ L 119, 4.5.2016, p. 1–88. (1) 個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日付欧州議会および理事会規則(EU)2016/679、ならびに指令95/46/EC(一般データ保護規則)の廃止 OJ L 119, 4.5.2016, p. 1・88.
(2)   Communication from the Commission to the European Parliament and the Council, Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition - two years of application of the General Data Protection Regulation (COM/2020/264 final). (2) 欧州委員会から欧州議会および理事会へのコミュニケーション「市民のエンパワーメントの柱としてのデータ保護とデジタル移行に対するEUのアプローチ・一般データ保護規則適用2年(COM/2020/264 final)」。
(3)   European Parliament resolution of 25 March 2021 on the Commission evaluation report on the implementation of the General Data Protection Regulation two years after its application (2020/2717(RSP)). (3) 一般データ保護規則の適用後2年間の実施に関する欧州委員会の評価報告書に関する2021年3月25日の欧州議会決議(2020/2717(RSP))。
(4) [WEB] (4) [WEB]
(5) [PDF] (5) [PDF]
(6) [WEB] (6) [WEB]
(7) [WEB] (7) [WEB]
(8) [WEB] (8) [WEB]
(9)   Communication from the Commission to the European Parliament and the Council, Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition - two years of application of the General Data Protection Regulation (COM/2020/264 final). (9) 欧州委員会から欧州議会および理事会へのコミュニケーション、市民の権利拡大の柱としてのデータ保護とデジタル移行に対するEUのアプローチ・一般データ保護規則適用2年(COM/2020/264 final)。
(10)   Commission staff working document accompanying the document Communication from the Commission to the European Parliament and the Council, Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition - two years of application of the General Data Protection Regulation (SWD(2020) 115 final). (10) 欧州委員会から欧州議会および理事会へのコミュニケーション文書「市民のエンパワーメントの柱としてのデータ保護とデジタル移行に対するEUのアプローチ・一般データ保護規則の適用2年」(SWD(2020) 115 final)に付随する欧州委員会スタッフの作業文書。
(11)   European Parliament resolution of 25 March 2021 on the Commission evaluation report on the implementation of the General Data Protection Regulation two years after its application (2020/2717(RSP)). (11) 欧州委員会の一般データ保護規則施行2年後評価報告書に関する2021年3月25日付欧州議会決議(2020/2717(RSP))。
(12) [WEB] (12) [WEB]
(13) [PDF] (13) PDF]
(14)   OJ C , , p. . (14) OJ C , , p. .
(15)   OJ C , , p. . (15) OJ C , , p. .
(16)   Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016, p. 1). (16) 個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日付欧州議会および理事会規則(EU)2016/679、ならびに指令95/46/EC(一般データ保護規則)の廃止(OJ L 119, 4.5.2016, p. 1)。
(17)   Regulation (EEC, Euratom) No 1182/71 of the Council of 3 June 1971 determining the rules applicable to periods, dates and time limits (OJ L 124, 8.6.1971, p. 1). (17) 期間、日付および期限に適用される規則を定める1971年6月3日の理事会規則(EEC、Euratom)No 1182/71(OJ L 124, 8.6.1971, p. 1)。

 

| | Comments (0)

2023.07.07

金融庁 「「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」の改訂(案)に対するパブリック・コメントの結果等の公表」及び「金融機関のシステム障害に関する分析レポート」 (2023.06.30)

こんにちは、丸山満彦です。

金融庁が、「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」の改訂(案)に対するパブリック・コメントの結果等
」及び、2022年度の「金融機関のシステム障害に関する分析レポート」を公表していますね。。。

 

障害事象別割合ですが、ソフトウェア障害と管理面・人的要因の二つで全体の約7割ですね。。。大きな傾向としてはこのところ変化はない感じですね。。。

下のグラフではその他に入れてしまっていますが、コンピュータウイルスへの感染はそれぞれ2022年度0.8%、2021年度0.4%、2020年度1%ですね。。。

 

1_20230707150301

 

● 金融庁

まずは、ITガバナンス関連のほうから...

・2023.06.30 「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」の改訂(案)に対するパブリック・コメントの結果等の公表について

 

・[PDF] 「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」第2版(概要)

20230707-145443

 

・[PDF] 「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」第2版

20230707-145515

 目次...

I. はじめに

II. 本文書の目的・位置づけ

III. ITガバナンスの高度化の必要性
1. 従来の取組み
2. 環境の急速な変化及び金融機関の活動
3. 企業価値を創出するITガバナンスの必要性

IV. 金融機関におけるITガバナンス
1. ITガバナンスに関する考え方
2. 深度ある対話に向けた基本的な考え方・着眼点
(1) 経営陣によるリーダーシップ
(2) 経営戦略と連携した「IT戦略」・「DX戦略」
(3) IT戦略を実現する「IT組織」・「DX推進組織」
(4) 最適化された「ITリソース(資源管理)」
(5) 企業価値の創出につながる「IT投資管理プロセス」
(6) 適切に管理された「ITリスク」
3. その他の論点
4. 金融機関との対話の基本的な進め方
(1) 多様で幅広い情報収集
(2) ベストプラクティスの追求に向けた対話
(3) 対話に当たっての留意点
(4) 当局の問題意識の発信
(5) モニタリングに関する態勢整備

V. 従来のシステムリスク管理
1. 検査マニュアル廃止への対応
(1) ITマネジメント(IT管理)分野に関する取扱い
(2) システム統合・更改リスク管理分野に関する取扱い
2. システム統合・更改リスク管理に関する基本的な考え方・着眼点
(1) 経営陣のリスク管理に対する協調した取組み
(2) 協調したシステム統合リスク管理態勢のあり方
(3) 不測の事態への対応
(4) 監査及び問題点の是正
3. 検査・監督の基本的な進め方
(1) 個別金融機関の実態把握
(2) モニタリングの実施

 

・[PDF] コメントの概要及び金融庁の考え方

 


次にシステム障害分析...

 

・2023.06.30 「金融機関のシステム障害に関する分析レポート」の公表について

・[PDF] レポート

20230707-145522

 

第1部 はじめに

第2部 障害分析概要

第1章 集計期間

第2章 主な障害傾向
第1節 サイバー攻撃・不正アクセス等の意図的なもの
Ⅰ 外部委託先への不正アクセスによる情報漏えいに係る事案
Ⅱ マルウェア感染に係る事案
Ⅲ DDoS攻撃に係る事案

第2節 日常の運用・保守等の過程の中で発生したシステム障害
冗長構成が機能しない等の障害
Ⅱ システム障害発生時の復旧に関する不芳事案

第3節 システム統合・更改等に伴って発生したシステム障害

第4節 プログラム更新、普段と異なる特殊作業等から発生したシステム障害
Ⅰ 設定ミス・作業の誤り

第3章 今後の金融庁の対応
第1節 サイバーセキュリティ管理態勢に関するモニタリング

第2節 システム障害の発生を踏まえたモニタリング

第3節 システム統合・更改等に関するモニタリング

第3部 事例集

第1章 業態全体の障害傾向(事象別)

第2章 事例
第1節 サイバー攻撃・不正アクセス等の意図的な要因から発生したシステム障害

第2節 日常の運用・保守等の過程の中で発生したシステム障害
ハードウェア・回線等の不具合
Ⅱ 設定ミス・操作ミス等の管理面・人的要因
Ⅲ サードパーティの提供するサービス等の要因
Ⅳ 取引量増加に伴う容量不足等

第3節 システム統合・更改に伴い発生したシステム障害

第4節 プログラム更新、普段と異なる特殊作業等から発生したシステム障害
Ⅰ 設定ミス・操作ミス等の管理面・人的要因
Ⅱ ソフトウェアの不具合

第5節 システム障害後の対応が円滑に行われた事例


 

参考

 

BSIのサイバーレジリエンスの基準

● BSI - Committee onPayments and Market Infrastructures Board of the International Organization of Securities
Commissions

・2016.06 [PDF] Guidance on cyber resilience for financial market infrastructures

20230711-63951

・[DOCX] 仮訳

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.05 金融庁 「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」

・2021.07.02 金融庁 「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」の公表について

 

| | Comments (0)

総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集

こんにちは、丸山満彦です。

総務省が、「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集をしていますね。。。

 

総務省

・2023.07.06 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集

概要

・[PDF] 「ICTサイバーセキュリティ総合対策2023」(案)(概要)

20230707-100230

 

本文:意見募集対象

・[PDF] ICTサイバーセキュリティ総合対策2023」(案)

20230707-100104

主な内容...


1.情報通信ネットワークの安全性・信頼性の確保

  • 総合的なIoTボットネット対策の推進(NOTICEの延長・拡充、フロー情報の分析によるC&Cサーバの検知に関する実証等)
  • 情報通信分野におけるサプライチェーンリスク対策(SBOM導入可能性の検討、スマートフォンアプリ検証等)
  • トラストサービスの普及(タイムスタンプの認定制度の必要な見直しの検討、eシールの認定制度創設を含めた検討等)

2.サイバー攻撃への自律的な対処能力の向上

  • 今年度から本格運用を開始するCYNEX(サイバーセキュリティ統合知的・人材育成基盤)の活動強化
  • CYNEXを活用した「政府端末情報を活用したサイバーセキュリティ情報の収集・分析に係る実証事業(CYXROSS)」の開始
  • NICTが実施する実践的サイバー防御演習(CYDER)について、重要インフラ事業者への提供拡大やオンライン演習の改良等、演習規模の拡大を検討するとともに、サイバー安全保障分野における人材育成への活用等を推進
  • 2025年大阪・関西万博に向けた、サイバー防御演習(CIDLE)の推進

3.国際連携の推進

  • 日ASEANサイバーセキュリティ能力構築センター(AJCCBC)の拡充(プログラムの充実、有志国との連携強化等)
  • 大洋州島しょ国向けのセキュリティ人材育成支援プロジェクトの立ち上げを検討

4.普及啓発の推進

  • テレワークセキュリティガイドライン・チェックリストの一層の周知と、ガイドライン類の改正を検討
  • 地域SECUNITYにおける先進的な取組の横展開の推進等更なる強化支援
  • こどもや高齢者に向けたサイバーセキュリティの普及啓発の強化

 

本文目次...

はじめに

I サイバーセキュリティを巡る最近の動向

1. サイバーセキュリティに関する政策動向
2. サイバーセキュリティ全般を巡る動向

II 「ICTサイバーセキュリティ総合対策2023」として今後取り組むべき施策

1. 情報通信ネットワークの安全性信頼性の確保
(1)
総合的な IoT ボットネット対策の推進
(2)
その他情報通信ネットワークにおけるサイバーセキュリティ対策の推進
 ア. 電気通信事業者による積極的サイバーセキュリティ対策の推進
 イ. 情報通信分野におけるサプライチェーンリスク対策
 ウ. Beyond 5G6Gに向けたサイバーセキュリティの検討
 エ. クラウドサービスにおけるサイバーセキュリティの確保
 オ. スマートシティにおけるサイバーセキュリティの確保
 カ. ICT-ISAC を通じた情報共有
 キ. 放送設備におけるサイバーセキュリティ対策

(3)
トラストサービスの普及

2. サイバー攻撃への自律的な対処能力の向上
(1)CYNEX(
サイバーセキュリティ統合知的人材育成基盤)CYXROSS 等の推 進
(2)
研究開発の推進
 ア. CRYPTREC の取組の推進
 イ. NICT における研究開発の推進
 ウ. 大学や民間企業における研究開発の支援等

(3)
人材育成の推進
 ア. 実践的サイバー防御演習(CYDER)の実施
 イ. 万博向けサイバー防御講習(CIDLE)の実施
 ウ. SecHack365 の実施
 エ. 地域人材エコシステムの形成

3. 国際連携の推進
(1)
有志国との二国間連携の強化
(2)
多国間会合を通じた有志国との連携の強化
(3)ISAC
間を通じた民間分野での国際連携の促進
(4)
インド太平洋地域等における開発途上国に対する能力構築支援
 ア. AJCCBC
 イ. 大洋州島しょ国への展開
 ウ. 国際機関との連携

(5)
国際標準化機関における日本の取組の発信及び各国からの提案への対処
(6)
国内企業の国際展開への支援

4. 普及啓発の推進
(1)
事業者向けの普及啓発
 ア. テレワークにおけるサイバーセキュリティの確保
 イ. 地域セキュリティコミュニティの強化
 ウ. サイバー攻撃被害に係る情報の共有公表の適切な推進
 エ. サイバーセキュリティ対策に係る情報開示の促進
 オ. サイバーセキュリティに関する功績の表彰を通じたモチベーション向上策

(2)
個人向けの普及啓発
 ア. 無線 LAN におけるサイバーセキュリティの確保
 イ. 国民のためのサイバーセキュリティサイトを通じた普及啓発
 ウ. こどもや高齢者等に向けた普及啓発

II 今後の進め方

付録1 「サイバーセキュリティタスクフォース」開催要綱
付録2 これまでのサイバーセキュリティタスクフォースにおける検討状況
付録3 本文に記載した総務省作成ガイドラインの一覧
付録4 情報通信ネットワークにおけるサイバーセキュリティ対策分科会とり まとめ()

はじめに
1.
情報通信ネットワークにおけるサイバーセキュリティを巡る現状
2.
端末側における対策(NOTICE)
3.
ネットワーク側その他における対策
4.
今後の進め方


参考

昨年との比較

2022年 2023年
はじめに はじめに
   
Ⅰ サイバーセキュリティを巡る最近の動向 I サイバーセキュリティを巡る最近の動向
1. サイバーセキュリティに関する政策動向 1. サイバーセキュリティに関する政策動向
2. サイバーセキュリティ全般を巡る動向 2. サイバーセキュリティ全般を巡る動向
   
Ⅱ 「ICT サイバーセキュリティ総合対策 2022」として今後取り組むべき施策 II 「ICTサイバーセキュリティ総合対策2023」として今後取り組むべき施策
1. 情報通信ネットワークの安全性・信頼性の確保 1. 情報通信ネットワークの安全性信頼性の確保
  (1)総合的な IoT ボットネット対策の推進
(1)情報通信ネットワークのサイバーセキュリティ対策の推進 (2)その他情報通信ネットワークにおけるサイバーセキュリティ対策の推進
ア. 電気通信事業者による積極的サイバーセキュリティ対策の推進  ア. 電気通信事業者による積極的サイバーセキュリティ対策の推進
イ. 情報通信分野におけるサプライチェーンリスク対策  イ. 情報通信分野におけるサプライチェーンリスク対策
ウ. IoTにおけるサイバーセキュリティの確保  ウ. Beyond 5G6Gに向けたサイバーセキュリティの検討
エ. クラウドサービスにおけるサイバーセキュリティの確保  エ. クラウドサービスにおけるサイバーセキュリティの確保
オ. スマートシティにおけるサイバーセキュリティの確保  オ. スマートシティにおけるサイバーセキュリティの確保
カ. ICT-ISACを通じた情報共有  カ. ICT-ISAC を通じた情報共有
キ. 放送設備におけるサイバーセキュリティ対策  キ. 放送設備におけるサイバーセキュリティ対策
ク. Beyond 5G・6Gに向けたサイバーセキュリティの検討  
(2)トラストサービスの普及 (3)トラストサービスの普及
2. サイバー攻撃への自律的な対処能力の向上 2. サイバー攻撃への自律的な対処能力の向上
(1) CYNEX(サイバーセキュリティ統合知的・人材育成基盤)等の推進 (1)CYNEX(サイバーセキュリティ統合知的人材育成基盤)、CYXROSS 等の推 進
(2) 研究開発の推進 (2)研究開発の推進
   ア. CRYPTREC の取組の推進
   イ. NICT における研究開発の推進
   ウ. 大学や民間企業における研究開発の支援等
(3) 人材育成の推進 (3)人材育成の推進
ア. 実践的サイバー防御演習(CYDER)の実施  ア. 実践的サイバー防御演習(CYDER)の実施
イ. 大規模イベント向け実践的サイバー演習の実施  イ. 万博向けサイバー防御講習(CIDLE)の実施
ウ. SecHack365の実施  ウ. SecHack365 の実施
エ. 地域人材エコシステムの形成  エ. 地域人材エコシステムの形成
3. 国際連携の推進 3. 国際連携の推進
ア. 有志国との二国間連携の強化 (1)有志国との二国間連携の強化
イ. 多国間会合を通じた有志国との連携の強化 (2)多国間会合を通じた有志国との連携の強化
ウ. ISAC間を通じた民間分野での国際連携の促進 (3)ISAC 間を通じた民間分野での国際連携の促進
エ. インド太平洋地域における開発途上国に対する能力構築支援 (4)インド太平洋地域等における開発途上国に対する能力構築支援
   ア. AJCCBC
   イ. 大洋州島しょ国への展開
   ウ. 国際機関との連携
オ. 国際標準化機関における日本の取組の発信及び各国からの提案への対処 (5)国際標準化機関における日本の取組の発信及び各国からの提案への対処
カ. 国内企業のASEAN地域等に向けた国際展開への支援 (6)国内企業の国際展開への支援
4. 普及啓発の推進 4. 普及啓発の推進
(1) 事業者向けの普及啓発 (1)事業者向けの普及啓発
ア. テレワークにおけるサイバーセキュリティの確保  ア. テレワークにおけるサイバーセキュリティの確保
イ. 地域セキュリティコミュニティの強化  イ. 地域セキュリティコミュニティの強化
ウ. サイバー攻撃被害に係る情報の共有・公表の適切な推進  ウ. サイバー攻撃被害に係る情報の共有公表の適切な推進
エ. サイバーセキュリティ対策に係る情報開示の促進  エ. サイバーセキュリティ対策に係る情報開示の促進
オ. サイバーセキュリティに関する功績の表彰を通じたモチベーション向上策  オ. サイバーセキュリティに関する功績の表彰を通じたモチベーション向上策
(2) 個人向けの普及啓発 . (2)個人向けの普及啓発
ア. 無線LANにおけるサイバーセキュリティの確保  ア. 無線 LAN におけるサイバーセキュリティの確保
イ. 国民のためのサイバーセキュリティサイトを通じた普及啓発  イ. 国民のためのサイバーセキュリティサイトを通じた普及啓発
ウ. こどもや高齢者等に向けた普及啓発  ウ. こどもや高齢者等に向けた普及啓発
   
 Ⅲ 今後の進め方 II 今後の進め方
   
付録1 「サイバーセキュリティタスクフォース」開催要綱 付録1 「サイバーセキュリティタスクフォース」開催要綱
付録2 これまでのサイバーセキュリティタスクフォースにおける検討状況 付録2 これまでのサイバーセキュリティタスクフォースにおける検討状況
付録3 本文に記載した総務省作成ガイドラインの一覧 付録3 本文に記載した総務省作成ガイドラインの一覧
  付録4 情報通信ネットワークにおけるサイバーセキュリティ対策分科会とり まとめ(案)

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.13 総務省 「ICTサイバーセキュリティ総合対策2022」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2022」の公表

・2021.07.31 総務省 「ICTサイバーセキュリティ総合対策2021」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2021」の公表

・2020.07.20 総務省 「IoT・5Gセキュリティ総合対策2020(案)」に対する意見募集の結果及び「IoT・5Gセキュリティ総合対策2020」の公表

・2020.06.07 総務省 「IoT・5Gセキュリティ総合対策2020(案)」に対する意見募集

・2020.05.23 総務省 IoT・5Gセキュリティ総合対策 プログレスレポート2020」の公表

 

| | Comments (0)

英国 Ada Lovelace 協会 AIサプライチェーンにおける説明責任の分担 (2023.06.29)

こんにちは、丸山満彦です。

英国 Ada Lovelace 協会 AIサプライチェーンにおける説明責任の分担という報告書を公表していますね。。。

アルゴリズム開発者、学習データ提供者、AI利用者という構造があるわけですのでいろいろと検討をする必要はありそうですよね。。。

 

Ada Lovelace Institute - Library - Reports

・2023.06.29 Expert explainer: Allocating accountability in AI supply chains

Expert explainer: Allocating accountability in AI supply chains 専門家による解説 AIサプライチェーンにおける説明責任の分担
This paper aims to help policymakers and regulators explore the challenges and nuances of different AI supply chains 本稿は、政策立案者や規制当局が様々なAIサプライチェーンの課題やニュアンスを探る一助となることを目的としている。

 

・[PDF]

20230706-125250

 

 

エグゼクティブサマリー

Executive summary 要旨
Creating an artificial intelligence (AI) system is a collaborative effort that involves many actors and sources of knowledge. Whether simple or complex, built in-house or by an external developer, AI systems often rely on complex supply chains, each involving a network of actors responsible for various aspects of the system’s training and development. 人工知能(AI)システムの構築は、多くの関係者や知識源が関与する共同作業である。単純なものであれ複雑なものであれ、社内で構築されたものであれ外部の開発者によるものであれ、AIシステムは多くの場合複雑なサプライチェーンに依存しており、それぞれのサプライチェーンにはシステムの訓練と開発の様々な側面を担う関係者のネットワークが関与している。
As policymakers seek to develop a regulatory framework for AI technologies, it will be crucial for them to understand how these different supply chains work, and how to assign relevant, distinct responsibilities to the appropriate actor in each supply chain. Policymakers must also recognise that not all actors in supply chains will be equally resourced, and regulation will need to take account of these realities. 政策立案者がAI技術に対する規制の枠組みを構築しようとする際、こうしたさまざまなサプライチェーンがどのように機能するのか、また、各サプライチェーンの適切なアクターに適切かつ明確な責任をどのように割り当てるのかを理解することが極めて重要になる。また、政策立案者は、サプライチェーンのすべての関係者が等しくリソースを確保できるわけではないことを認識しなければならず、規制はこうした現実を考慮する必要がある。
Depending on the supply chain, some companies (perhaps UK small businesses) supplying services directly to customers will not have the power, access or capability to address or mitigate all risks or harms that may arise. サプライチェーンによっては、顧客に直接サービスを提供する企業(おそらく英国の中小企業)が、発生しうるすべてのリスクや危害に対処・緩和する力、アクセス、能力を持たない場合もある。
This paper aims to help policymakers and regulators explore the challenges and nuances of different AI supply chains, and provides a conceptual framework for how they might apply different responsibilities in the regulation of AI systems. The paper seeks to address the following: 本稿の目的は、政策立案者や規制当局が様々なAIのサプライチェーンにおける課題や微妙な差異を探り、AIシステムの規制において異なる責任をどのように適用するかについての概念的枠組みを提供することである。本稿では、以下の点に取り組む:
1. Set out what is or is not distinctive about AI supply chains compared with other technologies. 1. AIサプライチェーンについて、他の技術と比較して何が特徴的で、何が特徴的でないかを明らかにする。
2. Examine high-level examples of different kinds of AI supply chains. Examples include: 2. 様々な種類のAIサプライチェーンのハイレベルな例を検証する。例には以下が含まれる:
 a. systems built in-house  a. 社内で構築されたシステム
 b. systems relying on another application programming interface (API)  b. 別のアプリケーション・プログラミング・インターフェース(API)に依存するシステム
c. systems built for a customer (or fine-tuned for one).  c. 顧客のために構築された(あるいは顧客のために微調整された)システム。
3. Provide the components for a general conceptual framework for how regulators could apply relevant, distinctive responsibilities to different actors in an AI supply chain. 3. 規制当局がAIのサプライチェーンにおける様々な主体に対して、どのように関連性のある独自の責任を適用しうるかについて、一般的な概念的枠組みのための構成要素を提供する。
4. Explore the unique complexities that ‘foundation models’ raise for assigning responsibilities to different actors in their supply chain, and how different mechanisms for releasing these models may complicate allocations of responsibility. 4. 「基礎モデル」が、サプライチェーンにおける様々な関係者に責任を割り当てるためにもたらす独特の複雑さと、これらのモデルをリリースするための様々なメカニズムが、責任の割り当てをどのように複雑にする可能性があるかを探る。
In this explainer we use the term ‘foundation models’ – which are also known as ‘general-purpose AI’ or ‘GPAI’. Definitions of GPAI and foundation models are similar and sometimes overlapping. We have chosen to use ‘foundation models’ as the core term to describe these technologies. We use the term ‘GPAI’ in quoted material, and where it’s necessary for a particular explanation. この解説では、「汎用AI」または「GPAI」とも呼ばれる「基盤モデル」という用語を使用する。GPAIと基礎モデルの定義は似ており、時には重複することもある。GPAIと基盤モデルの定義は類似しており、時には重複することもある。私たちは、これらの技術を説明する中核的な用語として「基盤モデル」を使用することにした。引用資料や特定の説明のために必要な場合には、「GPAI」という用語を使用する。
Key findings 主な調査結果
Our evidence review suggests that AI system supply chains have many commonalities with other types of digital technologies, for example raw material mining for smart device hardware. However, there are some significant differences in the novelty, complexity and speed of ongoing change and adaptation of AI models, which make it difficult to standardise or even precisely specify their features. The scale and wide range of potential uses of AI systems can also make it more challenging to attribute responsibility (and legal liability) for harms resulting from complex supply chains. 我々のエビデンスレビューによれば、AIシステムのサプライチェーンは、例えばスマートデバイスのハードウェアの原材料採掘など、他の種類のデジタル技術と多くの共通点がある。しかし、AIモデルの新規性、複雑性、継続的な変化と適応のスピードには大きな違いがあり、その特徴を標準化したり、正確に特定したりすることは困難である。また、AIシステムの規模や潜在的な用途の広さは、複雑なサプライチェーンから生じる損害に対する責任(および法的責任)を帰属させることをより困難にしている。
After discussing various types of AI supply chains, we describe a conceptual framework for assigning responsibility that focuses on principles of transparency, incentivisation, efficacy and accountability. 様々なタイプのAIサプライチェーンについて論じた後、透明性、インセンティブ、有効性、説明責任といった原則に焦点を当てた、責任を負わせるための概念的枠組みを説明する。
To support this framework, regulators should mandate the use of various mechanisms that enable a flow of critical information. These mechanisms should also enable modes of redress up and down an AI system’s supply chain and identify new ways to incentivise these practices in supply chains. この枠組みを支えるために、規制当局は重要な情報の流れを可能にする様々な仕組みの利用を義務付けるべきである。また、これらの仕組みは、AIシステムのサプライチェーンの上下において救済手段を可能にし、サプライチェーンにおけるこうした慣行にインセンティブを与える新たな方法を特定すべきである。
The advent of foundation models (such as OpenAI’s GPT-4) complicate the challenge of allocating responsibility. These systems enable a single model to act as a ‘foundation’ for a wide range of uses. We discuss how various aspects of these nascent systems (including who is designing them, how they are released and what information is made available about them) may impact the allocation of responsibilities for addressing potential risks. 基盤モデル(OpenAIのGPT-4など)の登場は、責任分担の課題を複雑にしている。これらのシステムは、単一のモデルが幅広い用途のための「基盤」として機能することを可能にする。このような新しいシステムの様々な側面(誰が設計しているのか、どのようにリリースされるのか、どのような情報が利用可能なのか等)が、潜在的なリスクに対処するための責任配分にどのような影響を与えるのかについて議論する。
Finally, we discuss some of the challenges that open-source technologies raise for AI supply chains. We suggest policymakers focus on how AI systems are released into public use, which can help inform the allocation of responsibilities for addressing harms throughout an identified supply chain. 最後に、オープンソース技術がAIのサプライチェーンにもたらす課題について述べる。政策立案者は、AIシステムがどのように一般利用されるようにリリースされるかに注目することを提言する。このことは、識別されたサプライチェーン全体を通して、危害に対処する責任の配分に情報を提供するのに役立つ。

 

目次的...

Executive summary エグゼクティブサマリー
Key findings 主な調査結果
Introduction 序文
What is or is not distinctive about AI supply? AIの供給について何が特徴的で、何が特徴的でないか?
Similarities between AI and other technology supply chains AIと他のテクノロジー・サプライチェーンとの類似点
Capital intensity and high returns to scale 資本集約度と高い規模利益率
Scarce inputs 希少なインプット
Example: illegally mined gold in hardware supply chains 例:ハードウェアのサプライチェーンにおける違法に採掘された金
Reliance on third-party software components and libraries サードパーティのソフトウェア・コンポーネントやライブラリへの依存
Data protection データ保護
Copyright 著作権
Human rights 人権
Distinctive features of AI supply AI供給の特徴
Features of models and systems モデルとシステムの特徴
Impact on companies, people and society 企業、人々、社会への影響
Examples of different kinds of AI supply chains 様々な種類のAIサプライチェーンの例
Systems built in-house 自社で構築したシステム
Systems relying on an API APIに依存するシステム
Systems built for a customer (or fine-tuned for one) 顧客のために構築されたシステム(または顧客のために微調整されたシステム)
Open-source components オープンソースのコンポーネント
Assurance intermediaries 保証仲介機関
A conceptual framework for regulators to apply to AI supply chains in their sector 規制当局が自部門のAIサプライチェーンに適用するための概念的枠組み
Transparency 透明性
Transparency in a supply chain: Supply Chain 1 サプライチェーンにおける透明性 サプライチェーン1
Incentives, penalties and value chains インセンティブ、罰則、バリューチェーン
Incentives in a value chain: Supply Chain 2 バリューチェーンにおけるインセンティブ サプライチェーン2
Efficacy up and down the AI supply chain AIのサプライチェーンにおける有効性
Considering efficacy in the supply chain: Supply Chain 3 サプライチェーンにおける有効性を考える サプライチェーン3
Accountability through contracts 契約による説明責任
Accountability through contracts: Supply Chain 4 契約による説明責任 サプライチェーン4
Foundation models 基盤モデル
Supply chains and market dynamics for foundation models 基盤モデルのサプライチェーンと市場力学
How EU regulators are assigning responsibility to foundation models EUの規制当局は、どのようにファウンデーションモデルに責任を割り当てているか
Considerations for assigning responsibility for foundation models 基盤モデルの責任分担に関する検討事項
AI system release strategies AIシステムのリリース戦略
Examples of risks from generative models 生成モデルによるリスクの例
Conclusion 結論
Further questions さらなる質問
Methodology 方法論
Partner information and acknowledgements パートナー情報と謝辞
About the author 著者について
Footnotes 脚注
Related content 関連コンテンツ
The value​​​ ​​​chain of general-purpose AI​​ 汎用AIのバリューチェーン
Sign up for updates 最新情報を受け取る
Main menu メインメニュー
Contact us お問い合わせ
Quick Links クイックリンク

 

 

| | Comments (0)

2023.07.06

内閣官房 (NISC) 重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書

こんにちは、丸山満彦です。

内閣官房 NISC が重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書を公表しましたね。。。

 

 内閣官房 (NIST)

・2023.07.04 重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書

20230706-110609

 

これは、[PDF] 「重要インフラのサイバーセキュリティに係る安全基準等策定指針」で示すセキュリティ確保に向けた取組についての参考情報をサイバーセキュリティ部門(戦略マネジメント層、担当者層)向けに、提供するもののようですね。。。

具体的にはここ...

「4. リスクマネジメントの活用と危機管理」におけるリスクマネジメント等の主要なプロセス(下図の赤枠箇所)及び「5. 対策項目」におけ
る主なセキュリティ対策について、サイバーセキュリティ部門における取組を念頭に記載する。

 

20230706-112318

 

目次...


1. はじめに
1.1.
手引書策定の目的
1.2.
手引書の記載範囲
1.3.
手引書の適用範囲

2. リスクマネジメントのフレームワーク
2.1.
全体像
2.2.
前提

3. コミュニケーション及び協議

4. 組織の状況の特定
4.1.
組織の状況及び特性の把握
4.2.
現在プロファイルの特定

5. リスクアセスメント
5.1.
リスクアセスメントの実施
5.2.
制御システムのリスクアセスメント

6. リスク対応
6.1.
目標プロファイルの作成
6.2.
ギャップ分析と優先順位付け
6.3.
リスク対応計画
6.4.
サプライチェーン・リスク対応

7. コンティンジェンシープラン及び事業継続計画の策定
7.1
コンティンジェンシープランの策定
7.2
事業継続計画(BCP)の策定

8. 運用
8.1.
人材育成
8.2. CSIRT
等の整備
8.3.
平時におけるリスク対応
8.4.
危機管理
8.5.
演習・訓練

9. モニタリング及びレビュー
9.1.
モニタリング実施計画の策定と実施
9.2.
内部監査の実施
9.3.
モニタリング及びレビュー結果の反映方針の策定

10. 記録及び報告
10.1.
記録
10.2.
報告

11. 対策項目
11.1.
組織的対策
11.2.
人的対策
11.3.
物理的対策
11.4.
技術的対策

【別紙】対処態勢整備に係るサイバー攻撃リスクの特性並びに対応及び対策の考慮事項

参考文献


 

 まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.06 内閣官房 NISC サイバーセキュリティ戦略本部 第36回会合

・2023.07.06 内閣官房 (NISC) 政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)

 

 

 

| | Comments (0)

内閣官房 NISC サイバーセキュリティ戦略本部 第36回会合

こんにちは、丸山満彦です。

内閣官房 NISC サイバーセキュリティ戦略本部 第36回会合が開催され、サイバーセキュリティ2023、予算重点化方針、統一規範・基準、重要インフラの安全基準等策定指針を公表していますね。。。

 

内閣官房 (NIST) - サイバーセキュリティ戦略本部

・2023.07.04 サイバーセキュリティ2023(2022年度年次報告・2023年度年次計画)が決定されました

 

決定文書

[PDF] サイバーセキュリティ2023

20230706-102344

 

目次...


はじめに 

第1部 サイバーセキュリティ 2023のポイント(「エグゼクティブ・ サマリー」)
第1 サイバー空間を巡る昨今の状況変化と情勢、及び政策課題

第2 今後の取組の方向性


第2部 サイバーセキュリティに関する情勢

第1章 経済社会の活力の向上及び持続的発展

第2章 国民が安全で安心して暮らせるデジタル社会の実現
第1 国民・社会を守るためのセキュリティ基盤の構築

第2 経済社会基盤を支える各主体における情勢①(政府機関等)
第3 経済社会基盤を支える各主体における情勢②(重要インフラ)
第4 経済社会基盤を支える各主体における情勢③(大学・教育研究機関等)
第5 東京オリンピック・パラリンピック競技大会に向けた取組から得られた知見等の活用

第3章 サイバー空間における国際的な動向

第4章 横断的施策
第1 サイバーセキュリティ分野の研究開発に関する動向
第2 IT・サイバーセキュリティ人材
第3 国民の意識・行動に関する動向


第3部 サイバーセキュリティ戦略に基づく昨年度の取組実績、 評価及び今年度の取組

第1章 経済社会の活力の向上及び持続的発展
第1 経営層の意識改革
第2 地域・中小企業における DX with Cybersecurityの推進
第3 新たな価値創出を支えるサプライチェーン等の信頼性確保に向けた基盤 作り
第4 誰も取り残さないデジタル/セキュリティ・リテラシーの向上と定着

第2章 国民が安全で安心して暮らせるデジタル社会の実現
第1 国民・社会を守るためのサイバーセキュリティ環境の提供
第2 デジタル庁を司令塔とするデジタル改革と一体となったサイバーセキュリティの確保
第3 経済社会基盤を支える各主体における取組①(政府機関等)
第4 経済社会基盤を支える各主体における取組②(重要インフラ)
第5 経済社会基盤を支える各主体における取組③(大学・教育研究機関等)
第6 多様な主体によるシームレスな情報共有・連携と東京オリンピック競技大会・東京パラリンピック競技大会に向けた取組から得られた知見等の活用
第7 大規模サイバー攻撃事態等への対処態勢の強化

第3章 国際社会の平和・安定及び我が国の安全保障への寄与
第1 「自由・公正かつ安全なサイバー空間」の確保
第2 我が国の防御力・抑止力・状況把握力の強化
第3 国際協力・連携

第4章 横断的施策
第1 研究開発の推進
第2 人材の確保、育成、活躍促進
第3 全員参加による協働、普及啓発

第5章 推進体制



 

[PDF] サイバーセキュリティ関係施策に関する令和6年度予算重点化方針

 

20230706-102705

 

第1 基本的な考え方

  • 「サイバーセキュリティ戦略」(令和3年9月28日閣議決定)に従い、所要の施策を速やかに展開する必要がある。
  • 「国家安全保障戦略」(令和4年12月16日国家安全保障会議決定、閣議決定。)においては、我が国を全方位でシームレスに守るため、サイバー防御の強化、能動的サイバー防御の導入及びその実施のために必要な措置の実現に向けた検討、サイバー安全保障の政策を一元的に総合調整する新たな組織の設置、関連する法制度の整備や運用の強化等が規定されている。
  • 「経済財政運営と改革の基本方針2023」(令和5年6月16日閣議決定)、「新しい資本主義のグランドデザイン及び実行計画・フォローアップ」(令和5年6月16日閣議決定)、「デジタル社会の実現に向けた重点計画」(令和5年6月9日閣議決定)に留意するものとする。

第2 重点化を図るべき取組

  1. 中小企業のサイバーセキュリティ戦略
  2. サプライチェーン・リスクを踏まえたソフトウェアセキュリティの高度化に関する取組
  3. 政府情報システムの防護のための一元的な取組
  4. 重要インフラ事業者等のサイバーセキュリティ強化
    1. 重要インフラ分野全般
    2. 医療分野
  5. インド太平洋地域における能力構築支援の推進(ASEAN官民連携支援及び島しょ国支援の強化)
  6. 日米豪印上級サイバーグループ及びランサムウェア対策多国間会合の枠組みを通じた国際連携


 

[PDF] 重要インフラのサイバーセキュリティに係る安全基準等策定指針

20230706-103549

 

目次...

1. 目的及び位置付け
1.1. 
重要インフラにおけるサイバーセキュリティの確保の重要性
1.2. 
「安全基準等」とは何か
1.3. 
安全基準等策定指針の位置付け

2.  総則
2.1. 
策定目的
2.2. 対象範囲
2.3. 
関係主体の役割

3. 組織統治におけるサイバーセキュリティ
3.1. 
組織方針
3.2. 
組織内外のコミュニケーション
3.3. 
経営リスクとしてのサイバーセキュリティリスクの管理
3.4. 
責任及び権限の割当て
3.5. 
資源の確保
3.6. 
監査・モニタリング
3.7. 
情報開示
3.8. 
継続的改善

4.  リスクマネジメントの活用と危機管理
4.1.
組織状況の理解
4.2.
リスクアセスメント
4.3.
サイバーセキュリティリスク対応
4.4.
サプライチェーン・リスクマネジメント
4.5.
事業継続計画等
4.6.
人材育成・意識啓発
4.7. CSIRT
等の整備
4.8.
平時の運用
4.9.
危機管理
4.10.
演習・訓練

5. 対策項目
5.1.
組織的対策
5.2.
人的対策
5.3.
物理的対策
5.4.
技術的対策
5.5.
動向を踏まえた対策


 

提出資料

議事次第 

資料1 サイバーセキュリティ2023(2022年度年次報告・2023年度年次計画)(案)

資料2 サイバーセキュリティ関係施策に関する令和6年度予算重点化方針(案)

資料3 政府機関等のサイバーセキュリティ対策のための統一基準群(案)

資料4 重要インフラのサイバーセキュリティに係る安全基準等策定指針(案)

資料5 遠藤本部員提出資料

関連資料

報道発表資料 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.06 内閣官房 (NISC) 重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書

・2023.07.06 内閣官房 (NISC) 政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)

 

 


 

Continue reading "内閣官房 NISC サイバーセキュリティ戦略本部 第36回会合"

| | Comments (0)

内閣官房 (NISC) 政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)

こんにちは、丸山満彦です。

サイバーセキュリティ対策推進会議(CISO等連絡会議)第20回会合が開催され、政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)が公表されていますね。。。2005年に初版をつくってから、17年超になりますね、、、

私は初版から2012年4月26日発行の平成24年版まで内部のメンバーとして関わっていました。。。

内容もいろいろと時代に合わせていろいろと変わってきています。私たちがいたころは、変更をする際になぜ変更をしたかという背景を変更履歴にコメントをつけるようにして、記録していたのですが、途中からされなくなって、後の担当者がなぜ変更したのか、細かい字句レベルではわからなくなっているかもしれませんね。。。

改訂の歴史...(改訂のポイントから...)

20230706-65511

 

● 内閣官房 (NISC)

・2023.07.04 政府機関等のサイバーセキュリティ対策のための統一基準群(令和5年度版)を策定しました

・[PDF] 政府機関等の対策基準策定のためのガイドライン(令和5年度版)

20230706-63724

・[PDF] 政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)

20230706-63731

・[PDF] 政府機関等のサイバーセキュリティ対策のための統一規範 

20230706-63743

・[PDF] 統一基準群改定のポイント(令和5年度版)

20230706-63215

 


ここで少しセキュリティ監査についての昔話、、、

策定当時に近い、[PDF] 政府機関等の情報セキュリティ対策のための統一基準(第 2 版)では、監査については、次のような記載があります。。。

まずは、本統一基準の使い方の部分で、

ーーーーー

(6) 評価の方法

情報セキュリティ対策は、一過性のものとはせず、遅滞なく継続的に取組みを実施できるものであることが重要である。したがって、各府省庁においては本統一基準に基づき、定期的又は事案等の発生の状況に応じて情報セキュリティ監査を行い、以下のことを確認する必要がある。

(a) 省庁対策基準が統一基準に準拠した内容となっていること。(設計の準拠性確認)
(b) 実際の運用が省庁対策基準に準拠していること。(運用の準拠性確認)
(c) 省庁対策基準の内容がリスクに応じて適切であること、効率的な内容であること、あるいは実現困難な内容となっていないこと。(設計の妥当性確認)
(d)
実際の運用がリスクに応じて有効で効率的であること。(運用の妥当性確認)

特に、各府省庁の情報セキュリティ監査においては、設計及び運用の準拠性確認をその第一の目的とする。ただし、監査の過程において、設計及び運用の妥当性に関連して改善すべきと思われる点が発見された場合には、それを要検討事項にすることが望ましい。なお、本統一基準においては、実施すべき者を具体的に示して遵守事項を定めているため、対策の実施状況については各自の役割に応じた自己点検を実施することとする。情報セキュリティ対策においては、各自がそれぞれの役割を十分に実行することが不可欠であり、各自における対策の実効性を確保するために、自己点検を活用するものである。したがって、各府省庁が監査を行う際には、その自己点検の適正さを確認し、運用の準拠性確認に用いるものとする。

また、情報セキュリティ対策の実施については、原則として、各府省庁の責任において運用することが大前提であるが、政府機関全体としての情報セキュリティ対策推進の観点から、各府省庁は対策の実施状況及び監査結果について内閣官房情報セキュリティセンターに報告を行うこととする。さらに、内閣官房情報セキュリティセンターは、本統一基準に関する評価指標に基づき、各府省庁の情報セキュリティ関係規程の整備状況及び対策実施状況について定期的又は必要に応じて検査し、評価することとする。なお、対象となる情報システムの範囲については内閣官房情報セキュリティセンターが各府省庁と協議して定めるものとする。

ーーーーー

 

監査の部分で、

ーーーーー

(2) 監査の実施
(a) 情報セキュリティ監査責任者は、監査実施計画に基づき、以下の事項を含む監査の実施を監査実施者に指示し、結果を監査報告書として最高情報セキュリティ責任者に報告すること。
(ア) 対策基準に統一基準を満たすための適切な事項が定められていること
(イ) 実施手順が対策基準に準拠していること
(ウ) 被監査部門における実際の運用が情報セキュリティ関係規程に準拠していること

ーーーーー

 

となっています。

この背景は、

・省庁には自組織の業務の適切性、順守性等の監査を実施する内部監査部門が設置されていないことから、情報セキュリティ監査を担当する適切な組織はないという判断であった。(内部監査責任者の不在、監査実施者の不在、監査品質を評価者の不在)

・内部監査部門がないことから、監査技術に長けた人もいない。

・セキュリティに詳しい人も少ない。

したがって、最低限の知識である程度の実効性のあるセキュリティ監査ができるように、監査はできる限り簡単に行える仕組みを作る必要があった

 

そこで考えだされたのは、

・準拠性の監査を最低限実施し、できるなら妥当性の監査も実施するというアプローチ

・自己点検が適切であることを監査する

という手法で、自己点検(1線による確認)に重点を置くアプローチです。

この考え方は、[PDF] 2006年に私が初版を策定したものが改訂されている政府機関等のサイバーセキュリティ対策のための統一基準群に基づく情報セキュリティ監査の実施手引書(令和4年10月), [downloaded] にも引き継がれているように思います。。。

もちろん、[PDF] サイバーセキュリティ対策を強化するための監査に係る基本方針(平成27年5月25日 サイバーセキュリティ戦略本部決定) により、あらたな枠組みも追加されていますが)

できることであれば、米国連邦政府のように、各省庁に内部監査部門をつくり、内部監査を実施し、さらに、会計検査院による監査も実施されるという体制ができれば、より強固になるとは思いますが、そこまでの理解と思いのある政治家も少ないでしょうから、難しいですかね。。。

 

 

全体版初版

・2023.12.23 [PDF] NISD-K303-052 政府機関の情報セキュリティ対策のための統一基準(2005 年 12 月版(全体版初版)) [downloaded]


20230706-73100



 

第2版

・2007.06.14 [PDF] NISD-K303-071 政府機関の情報セキュリティ対策のための統一基準(第 2 版) [downloaded]

20230706-63809

 

・2007.06.14 [PDF] NISD-K303-071C 政府機関の情報セキュリティ対策のための統一基準(第 2 版)解説書 [downloaded]

20230706-64823

 

第3版

・2008.02.04 [PDF] NISD-K303-072 政府機関の情報セキュリティ対策のための統一基準(第 3 版) [downloaded]

20230706-63838

 

・2008.02.04 [PDF] NISD-K303-072C 政府機関の情報セキュリティ対策のための統一基準(第 3 版)解説書 [downloaded]

20230706-63848

 

・2009.02.03 NISD-K303-081 政府機関の情報セキュリティ対策のための統一基準(第 4 版)  [downloaded]

20230706-71233

 

・2010.05.11 NISD-K303-091 政府機関の情報セキュリティ対策のための統一基準(第 4 版) (平成 21 年度修正) [downloaded]

20230706-70921

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.06 内閣官房 (NISC) 重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書

・2023.07.06 内閣官房 NISC サイバーセキュリティ戦略本部 第36回会合

・2023.04.20 NISC 意見募集「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定(案)R5

・2021.04.26 NISC 意見募集「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定(案)

少し遡って...

・2012.05.18 NISC 第29回情報セキュリティ政策会議

・2009.02.04 内閣官房 確定 「政府機関の情報セキュリティ対策のための統一基準(第4版)

・2008.12.11 内閣官房 パブコメ 「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)

・2008.02.05 内閣官房 確定 「政府機関の情報セキュリティ対策のための統一基準(第3版)

・2007.12.13 内閣官房 パブコメ 「政府機関の情報セキュリティ対策のための統一基準(第3版)」

・2007.06.20 内閣官房 「政府機関の情報セキュリティ対策のための統一基準(第2版)」決定

・2007.04.24 内閣官房 パブコメ 3つ 「セキュア・ジャパン2007」(案) 、「政府機関の情報セキュリティ対策のための統一基準(第2版)」(案) 、「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針」の改定案

・2006.09.13 内閣官房 政府機関統一基準適用個別マニュアル群

・2005.12.14 内閣官房 政府機関の情報セキュリティ対策のための統一基準(2005年12月版[全体版初版])

・2005.10.18 内閣官房 「政府機関の情報セキュリティ対策のための統一基準」に追加すべき項目(骨子)に関する意見の募集

・2005.09.29 IT戦略本部 (第32回)議事次第

・2005.09.16 政府 情報セキュリティの政府統一基準関係

 

 

| | Comments (0)

文部科学省 生成AIの利用について 「初等中等教育段階における生成AIの利用に関する暫定的なガイドライン」

こんにちは、丸山満彦です。

文部科学省が生成的AIの利用についてのガイドのウェブページをつくっていますが、[PDF] 初等中等教育段階における生成AIの利用に関する暫定的なガイドラインを局長通達として、各都道府県教育委員会教育長、各都道府県知事等に通知し、公表していますね。。。

夏休み前ということで、夏休みについての課題も併せて記載しているとのことです。。。

 

● 文部科学省

・2023.07.04 [PDF] 初等中等教育段階における生成AIの利用に関する暫定的なガイドライン

 

20230911-51942

 

目次...


1.本ガイドラインの位置づけ

2.⽣成AIの概要

3.⽣成AIの教育利⽤の⽅向性
(1)基本的な考え⽅
(2)⽣成AI活⽤の適否に関する暫定的な考え⽅
(3)「情報活⽤能⼒」の育成強化
(4)パイロット的な取組
(5)⽣成AIの校務での活⽤

4.その他の重要な留意点
(1)個⼈情報やプライバシーに関する情報の保護の観点
(2)教育情報セキュリティの観点
(3)著作権保護の観点

(参考)各学校で⽣成AIを利⽤する際のチェックリスト、主な対話型⽣成AIの概要、今後の国の取組の⽅向性
(別添資料)検討経緯、学習指導要領における情報活⽤能⼒の記載、G7における合意⽂書、
⽣成AIに関する政府⽅針、ヒアリングを実施した有識者⼀覧、
中央教育審議会初等中等教育分科会デジタル学習基盤特別委員会委員名簿


 

書いていることは、もっともなことが多いように思います。


方針

① 現時点では活⽤が有効な場⾯を検証しつつ、限定的な利⽤から始めることが適切である。⽣成AIを取り巻く懸念やリスクに⼗分な対策を講じることができる⼀部の学校において、個⼈情報保護やセキュリティ、著作権等に⼗分に留意しつつ、パイロット的な取組を進め、成果・課題を⼗分に検証し、今後の更なる議論に資することが必要である。

② その⼀⽅、学校外で使われる可能性を踏まえ、全ての学校で、情報の真偽を確かめること(いわゆるファクトチェック)の習慣付けも含め、情報活⽤能⼒を育む教育活動を⼀層充実させ、AI時代に必要な資質・能⼒の向上を図る必要がある。

③ 教員研修や校務での適切な活⽤に向けた取組を推進し、教師のAIリテラシー向上や働き⽅改⾰に繋げる必要がある


 

1.適切でないと考えられる例、2.活用が考えられる例、という順番ですが、逆のほうがよいようにも思います。。。

 


2.活⽤が考えられる例

① 情報モラル教育の⼀環として、教師が⽣成AIが⽣成する誤りを含む回答を教材として使⽤し、その性質や限界等を⽣徒に気付かせること。
② ⽣成AIをめぐる社会的論議について⽣徒⾃⾝が主体的に考え、議論する過程で、その素材として活⽤させること
③ グループの考えをまとめたり、アイデアを出す活動の途中段階で、⽣徒同⼠で⼀定の議論やまとめをした上で、⾜りない視点を⾒つけ議論を深める⽬的で活⽤させること
④ 英会話の相⼿として活⽤したり、より⾃然な英語表現への改善や⼀⼈⼀⼈の興味関⼼に応じた単語リストや例⽂リストの作成に活⽤させること、外国⼈児童⽣徒等の⽇本語学習のために活⽤させること
⑤ ⽣成AIの活⽤⽅法を学ぶ⽬的で、⾃ら作った⽂章を⽣成AIに修正させたものを「たたき台」として、⾃分なりに何度も推敲して、より良い⽂章として修正した過程・結果をワープロソフトの校閲機能を使って提出させること
⑥ 発展的な学習として、⽣成AIを⽤いた⾼度なプログラミングを⾏わせること
⑦ ⽣成AIを活⽤した問題発⾒・課題解決能⼒を積極的に評価する観点からパフォーマンステストを⾏うこと

 

1.適切でないと考えられる例

① ⽣成AI⾃体の性質やメリット・デメリットに関する学習を⼗分に⾏っていないなど、情報モラルを含む情報活⽤能⼒が⼗分育成されていない段階において、⾃由に使わせること
② 各種コンクールの作品やレポート・⼩論⽂などについて、⽣成AIによる⽣成物をそのまま⾃⼰の成果物として応募・提出すること(コンクールへの応募を推奨する場合は応募要項等を踏まえた十分な指導が必要)
③ 詩や俳句の創作、⾳楽・美術等の表現・鑑賞など⼦供の感性や独創性を発揮させたい場⾯、初発の感想を求める場⾯などで最初から安易に使わせること
④ テーマに基づき調べる場⾯などで、教科書等の質の担保された教材を⽤いる前に安易に使わせること
⑤ 教師が正確な知識に基づきコメント・評価すべき場⾯で、教師の代わりに安易に⽣成AIから⽣徒に対し回答させること
⑥ 定期考査や⼩テストなどで⼦供達に使わせること(学習の進捗や成果を把握・評価するという目的に合致しない。CBTで行う場合も、フィルタリング等により、生成AIが使用しうる状態とならないよう十分注意すべき)
⑦ 児童⽣徒の学習評価を、教師がAIからの出⼒のみをもって⾏うこと
⑧ 教師が専⾨性を発揮し、⼈間的な触れ合いの中で⾏うべき教育指導を実施せずに、安易に⽣成AIに相談させること


 

小学生にだけでなく、大人もよく理解しておく必要がありそうですね。。。

 

通知本文...

・[PDF] (令和5年7月4日)「初等中等教育段階における生成AIの利用に関する暫定的なガイドライン」の 作成について(通知)

 

こちらも参考に...

・[PDF] (令和5年5月19日)Chat GPT 等の生成AI の学校現場の利用に向けた今後の対応について

 

 


 

網羅性は全然ないのですが...

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.22 東北大学、東京工業大学の生成系AI利用の留意事項

・2023.04.20 大阪大学 生成AI(Generative AI)の利用について

・2023.04.06 東京大学 生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について

 

| | Comments (0)

2023.07.05

欧州委員会 次世代仮想世界:機会、課題、政策的意味合い

こんにちは、丸山満彦です。

欧州委員会が次世代仮想社会についての報告書を公表していますね。。。

どれほど動物という意味での人間の認知がついてくるのかという話がありますかね。。。普及には。。。

でも、AppleもVision Proを発表してますし、これから注目の分野ではあります。。。

 

European CommissionScience for policy

・2023.07.03 Next generation virtual worlds: opportunities, challenges, and policy implications

 

Next generation virtual worlds: opportunities, challenges, and policy implications 次世代仮想世界:機会、課題、政策的意味合い
New virtual environments are expected to bring transformative shifts in technology, society, and the economy. However, their future is dependent on key technological drivers, industry stakeholders, and adopters. 新しい仮想環境は、技術、社会、経済に変革をもたらすと期待されている。しかし、その将来は、主要な技術的推進力、業界の利害関係者、採用者によって左右される。
new report highlights the emergence of next generation virtual worlds, that intertwine virtual, digital, and physical realities into highly immersive experiences. These ground-breaking virtual environments are expected to bring transformative shifts in technology, society, and the economy. However, their future is dependent on key technological drivers, industry stakeholders, and adopters, making predictions challenging. 新しい報告書は、仮想、デジタル、物理的現実を高度に没入的な体験に結びつける次世代仮想世界の出現に焦点を当てている。こうした画期的な仮想環境は、技術、社会、経済に変革をもたらすと期待されている。しかし、その将来は、主要な技術的推進力、業界の利害関係者、採用者によって左右されるため、予測は困難である。
Why now? なぜ今なのか?
The integration of innovative technologies such as virtual reality, augmented reality, blockchain, cyber-physical systems, AI, and 5G networks into the rapidly evolving Web 3.0 is accelerating at an unprecedented pace. These technologies, along with future advancements, will serve as the foundations for next generation virtual worlds, enabling large-scale interactive experiences that everyone can access. VR(仮想現実)、AR(拡張現実)、ブロックチェーン、サイバーフィジカルシステム、AI、5Gネットワークといった革新的技術が、急速に進化するWeb 3.0に統合され、かつてないスピードで加速している。これらの技術は、将来の進歩とともに、次世代の仮想世界の基礎となり、誰もがアクセスできる大規模なインタラクティブ体験を可能にする。
Presenting the many opportunities of these future virtual worlds, the report also assesses their technical, societal, economic, and legal challenges. Challenges and uncertainties range from privacy, security concerns, ethical considerations and impact on cognition and psychology, to the possible influence on the economy, including on competition and taxation. It will be important to balance the opportunity-risk trade-off from the early stages of development and deployment. 本報告書は、こうした未来の仮想世界がもたらす多くの機会を提示する一方で、技術的、社会的、経済的、法的な課題についても評価している。課題や不確実性は、プライバシー、セキュリティへの懸念、倫理的配慮、認知や心理学への影響から、競争や税制を含む経済への影響の可能性まで多岐にわたる。開発・展開の初期段階から、機会とリスクのトレードオフのバランスをとることが重要になるだろう。
Where are virtual worlds being used? 仮想世界はどこで使われているのか?
Education is highlighted as a significant area where virtual worlds can bring about transformative changes. New ways of learning through shared and distributed virtual experiences have the potential to increase collaborative learning and exploration. However, the design of educational virtual worlds must adhere to principles grounded in developmental psychology and learning sciences, prioritising human rights such as privacy, safety, and non-discrimination. 教育は、仮想世界が変革をもたらしてくれる重要な分野として強調されている。共有され分散された仮想体験を通して学習する新しい方法は、共同学習や探究心を高める可能性を秘めている。しかし、教育用仮想世界のデザインは、発達心理学や学習科学に基づいた原則を遵守し、プライバシーや安全性、非差別といった人権を優先させなければならない。
In healthcare and manufacturing, next generation virtual worlds bring new opportunities for improved medical analysis, diagnosis, surgeries, and therapies. In the manufacturing industry, simulations, digital twins and new business models facilitated by virtual worlds can enhance product design, productivity, quality management and logistics. ヘルスケアと製造業では、次世代仮想世界は、医療分析、診断、手術、治療の改善に新たな機会をもたらす。製造業では、仮想世界によって促進されるシミュレーション、デジタルツイン、新しいビジネスモデルによって、製品設計、生産性、品質管理、物流を強化することができる。
Early examples of delivering public services in virtual words already demonstrate the potential for increased citizen participation in policymaking. At the same time, it is important to start reflecting on ownership, responsibility, accountability or questions around accessibility, ensuring that all can access basic public services in next generation virtual worlds. 仮想世界で公共サービスを提供する初期の例は、すでに政策立案への市民参加拡大の可能性を示している。同時に、所有権、責任、説明責任、あるいはアクセシビリティをめぐる問題について考察を開始し、次世代仮想世界において、すべての人が基本的な公共サービスにアクセスできるようにすることが重要である。
How big are virtual worlds in the EU? EUにおける仮想世界の規模は?
The analysis of large amount of microdata through the JRC Digital Techno-Economic ecoSystem (DGTES) approach sheds light on the current landscape of the digital techno-economic sector of virtual worlds. JRCデジタル・テクノエコノミー・エコシステム(DGTES)のアプローチによる大量のマイクロデータの分析は、仮想世界のデジタル・テクノエコノミー部門の現在の状況を明らかにしている。
Some 3 700 firms, research and government bodies in the EU operate in the virtual worlds subdomain (about 24% of the global total). In the EU, there is a smaller share of firms (63%) and a much larger share of research institutions and universities (29%) than the global virtual worlds subdomain. EU-funded projects involve 2 065 players, implying that more than half (55%) of the European players in the virtual worlds subdomain are involved in an EU-funded project relating to virtual worlds. EUでは、約3,700の企業、研究機関、ガバナンス団体が仮想世界のサブドメインで活動している(世界全体の約24%)。EUでは、世界の仮想世界・サブドメインよりも、企業の割合が少なく(63%)、研究機構や大学の割合がはるかに大きい(29%)。EUが資金を提供するプロジェクトには2065のプレイヤーが参加しており、仮想世界のサブドメインにおけるヨーロッパのプレイヤーの半数以上(55%)が、仮想世界に関連するEUが資金を提供するプロジェクトに参加していることになる。
This evolving landscape will likely require a new response from policymakers in the EU. It is essential to create an environment that fosters both economic growth and the evolution of digital technology players, while prioritising responsible and fair virtual worlds. このような状況の進展は、EUの政策立案者に新たな対応を求めることになるだろう。責任ある公正な仮想世界を優先しつつ、経済成長とデジタル技術プレイヤーの進化の両方を促進する環境を作ることが不可欠である。
To harness the opportunity of virtual worlds in line with EU values, the Commission will soon be launching a new initiative on virtual worlds, as mentioned in President von der Leyen’s 2022 State of the Union letter of intent. .EUの価値観に沿って仮想世界の機会を活用するため、欧州委員会は、フォン・デル・ライエン委員長の2022年の一般教書演説で言及されたように、仮想世界に関する新たなイニシアチブを間もなく立ち上げる予定である。

 

・2023.06.27 Next Generation Virtual Worlds: Societal, Technological, Economic and Policy Challenges for the EU

Next Generation Virtual Worlds: Societal, Technological, Economic and Policy Challenges for the EU 次世代バーチャルワールド:EUの社会的、技術的、経済的、政策的課題
Abstract: This report provides an overview of the opportunities that next generation virtual worlds may bring in different sectors such as education, manufacturing, health, and public services among others. This potential will need to be harnessed in light of the challenges the EU may need to address along societal, technological, and economic and policy dimensions. We apply a multidisciplinary and multisectoral perspective to our analysis, covering technical, social, industrial, political and economic facets. The report also offers a first techno-economic analysis of the digital ecosystem identifying current key players in different subdomains related to virtual worlds. 概要:本報告書は、教育、製造、医療、公共サービスなど、さまざまな分野で次世代バーチャルワールドがもたらす可能性のある機会の概要を提供する。この可能性は、EUが社会的、技術的、経済的、政策的な次元で取り組むべき課題に照らして活用される必要がある。本報告書では、技術、社会、産業、政治、経済の各側面をカバーする学際的かつ多部門的な視点を分析に適用している。また、本報告書は、バーチャルワールドに関連するさまざまなサブドメインにおける現在の主要プレイヤーを特定する、デジタル・エコシステムの初の技術経済分析も提供している。

 

・[PDF]

20230705-94510

 

 エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
This report analyses different facets of next generation virtual worlds, where physical and virtual environments will blend into highly immersive and intuitive experiences. There are already early signs and examples of this future transition. The report offers a comprehensive overview of the historical context of virtual worlds, opportunities across different sectors, and the challenges likely to be posed in technical, societal, economic and governance realms. By considering the current landscape of players, both policymakers and scientists can gain valuable insights into the virtual worlds dynamics and make informed decisions to shape its next generation.  本報告書では、物理的環境とバーチャル環境が融合し、没入感が高く直感的な体験が可能になる次世代のバーチャルワールドについて、さまざまな側面から分析している。この将来的な移行については、すでに初期の兆候や事例が見られる。本レポートは、仮想世界の歴史的背景、さまざまな分野にわたる機会、そして技術的、社会的、経済的、ガバナンスの各領域で提起される可能性のある課題について、包括的な概観を提供している。現在のプレイヤーの状況を考察することで、政策立案者と科学者の双方が、仮想世界のダイナミクスについて貴重な洞察を得ることができ、次世代を形成するための情報に基づいた意思決定を行うことができる。
Policy context  政策的背景 
The EU is now regulating technologies that are likely to be key drivers of next generation virtual worlds through the AI Act, Digital Service Act and Digital Market Act, but also the Data Act and the Data Governance Act amongst other policy initiatives. This report provides early insights and scientific underpinning in areas specific to next generation virtual worlds that would require further policy intervention to protect European values or boost the contribution of European industry.  EUは現在、AI法、デジタルサービス法、デジタル市場法だけでなく、データ法、データ・ガバナンス法などの政策イニシアティブを通じて、次世代バーチャルワールドの主要な原動力となりそうなテクノロジーを規制している。本報告書は、欧州の価値を保護し、欧州産業の貢献を後押しするために、さらなる政策介入が必要と思われる次世代バーチャルワールドに特化した領域について、初期の洞察と科学的裏付けを提供するものである。
Key conclusions  主要な結論 
Opportunities arising from virtual worlds will require analysis considering associated risks, such as privacy, safety, and non-discrimination. Early assessment will be crucial, with equal emphasis on technological advancements and ethical considerations.  バーチャル・ワールドから生まれる機会には、プライバシー、安全性、非差別といった関連リスクを考慮した分析が必要である。早期の評価が重要であり、技術的進歩と倫理的配慮を同等に重視する必要がある。
The advent of next generation virtual worlds holds significant potential for several sectors, notably education, health, public services and manufacturing. Exploring and harnessing this potential can yield substantial advancements and growth in these sectors.  次世代バーチャル・ワールドの出現は、特に教育、医療、公共サービス、製造業など、いくつかの分野に大きな可能性を秘めている。この可能性を追求し、活用することで、これらの分野に大きな進歩と成長をもたらすことができる。
Interoperability among different platforms and components is increasingly important to enhance experiences and maximise the value of next generation virtual worlds. Achieving interoperability through the adoption of common standards can facilitate the seamless integration of virtual worlds.  次世代バーチャルワールドの体験を高め、その価値を最大化するためには、異なるプラットフォームやコンポーネント間の相互運用性がますます重要になっている。共通の標準を採用することで相互運用性を実現すれば、仮想世界のシームレスな統合を促進することができる。
Policymakers must proactively engage with the rapidly evolving and transformative field of virtual worlds. This is crucial to stimulate the economy and foster the evolution of players in this domain while prioritising responsible and fair practices.  政策立案者は、急速に進化し変貌を遂げる仮想世界の分野に積極的に関与しなければならない。これは、責任ある公正な慣行を優先しつつ、経済を活性化し、この分野のプレイヤーの進化を促進するために極めて重要である。
Main findings  主な調査結果 
Next generation virtual worlds will leverage recent and future developments in artificial intelligence, eXtended reality, the Internet of things but also connectivity and infrastructure advances. The opportunities these areas will offer for society and the economy are significant in several sectors.  次世代バーチャルワールドは、人工知能、拡張現実、モノのインターネットだけでなく、コネクティビティやインフラストラクチャーの進歩における最近および将来の発展を活用する。これらの分野が社会と経済にもたらす機会は、いくつかの分野で重要である。
At the same time this report acknowledges the presence of uncertainties and challenges surrounding next generation virtual worlds, and sets the stage for areas worth of future exploration and discussion from a scientific perspective, with links to the specific EU policy context.  同時に本報告書は、次世代バーチャル・ワールドを取り巻く不確実性と課題の存在を認識し、具体的なEUの政策状況とリンクさせながら、科学的見地から今後の探求と議論に値する分野のシーンを設定している。
Related and future JRC work  関連する今後のJRCの活動 
The JRC is planning to set up a Centre for Advanced Studies on next generation virtual worlds, where the impact on society and the policy challenges will be analysed from a multidisciplinary perspective. It will investigate the influence on individuals (digital twins, socialisation), high-stake sectors (health, education, labour), businesses (new services, business models), digital contents (NFTs), technology (human-metaverse interaction, blockchain) and/or social schemes (democracy, geo-politics, role of public sector). JRCは、次世代バーチャルワールドに関する高等研究センターの設立を計画しており、そこでは、社会への影響や政策課題を学際的な視点から分析する。個人(デジタル・ツイン、社会化)、ステークホルダーの高い分野(医療、教育、労働)、企業(新しいサービス、ビジネスモデル)、デジタル・コンテンツ(NFT)、テクノロジー(人間とメタバースとの相互作用、ブロックチェーン)、社会スキーム(民主主義、地政学、公共部門の役割)への影響を調査する。
Quick guide  クイックガイド 
The report begins with an introduction, delving into the historical context of next generation virtual worlds, and explores the reasons behind their significance, emphasising the timeliness and urgency of addressing them now.  本報告書は序文から始まり、次世代バーチャル・ワールドの歴史的背景を掘り下げ、その重要性の背後にある理由を探り、今すぐ取り組むことの時宜性と緊急性を強調している。
Section 2 examines the opportunities that will likely arise from next generation virtual worlds across different sectors and highlights the potential for human-machine interaction, the transformative impact on education and training, advancements in health, medicine, and well-being, implications for manufacturing, and the relevance of next generation virtual worlds in the public sector. Additionally, the section briefly mentions other fields where virtual worlds can bring about significant changes.  第2章では、さまざまな分野にわたる次世代バーチャル・ワールドから生まれるであろう機会を検証し、人間と機械の相互作用の可能性、教育と訓練への変革的影響、健康・医療・福祉における進歩、製造業への影響、公共部門における次世代バーチャル・ワールドの関連性を強調している。さらに、このセクションでは、バーチャル・ワールドが大きな変化をもたらす可能性のある他の分野についても簡単に触れている。
With Section 3, the report then focuses on the challenges associated with next generation virtual worlds. It begins by discussing the technical challenges posed by emerging technologies and the generation of new types of data, infrastructure requirements and the need for standardization and interoperability. Privacy and security concerns are addressed as an additional challenge. Societal challenges are explored, encompassing ethical considerations and human rights implications, the impact on human health, cognition, and psychology, and the effects on education. Furthermore, the document acknowledges the significance of sustainability within the framework of virtual worlds.  第3章では、次世代バーチャルワールドに関連する課題に焦点を当てる。まず、新たな技術や新しいタイプのデータの生成、インフラ要件、標準化と相互運用性の必要性によってもたらされる技術的課題について論じている。プライバシーとセキュリティに関する懸念は、さらなる課題として取り上げられている。社会的な課題としては、倫理的な考察や人権への影響、人間の健康、認知、心理学への影響、教育への影響などが挙げられている。さらに、バーチャル・ワールドの枠組みにおける持続可能性の重要性についても言及している。
Economic challenges related to next generation virtual worlds are discussed, including the influence on the economy, competition, taxation and the emergence of new business models. Governance and policy challenges are also examined, emphasising the importance of effective governance and comprehensive policies and legal frameworks to navigate virtual worlds successfully.  次世代バーチャルワールドに関連する経済的課題については、経済への影響、競争、税制、新しいビジネスモデルの出現などが議論されている。ガバナンスと政策の課題も検討され、仮想世界を成功に導くためには、効果的なガバナンスと包括的な政策・法的枠組みが重要であることが強調されている。
Finally, through the analysis of data on patents, research projects and scientific publications among others, Section 4 sheds light on the current landscape of the digital techno-economic sector of virtual worlds with a specific EU focus.  最後に、特許、研究プロジェクト、科学的出版物などに関するデータの分析を通じて、第4章では、EUに特化した仮想世界のデジタル・テクノエコノミー分野の現状に光を当てる。

 

 

目次...

Abstract 概要
Foreword まえがき
Acknowledgements 謝辞
Executive summary エグゼクティブサマリー
1 Introduction 1 序文
1.1 From Web 1.0 to Web 4.0: next generation virtual worlds in historical context 1.1 Web1.0からWeb4.0へ:歴史的文脈における次世代仮想世界
1.2 Next generation virtual worlds through the concept of metaverses 1.2 メタヴァースの概念から見た次世代仮想世界
1.3 Next generation virtual worlds: why and why now? 1.3 次世代仮想世界:なぜ、そしてなぜ今なのか?
1.4 Uncertainty, open opportunities and challenges 1.4 不確実性、開かれた機会と課題
2 Opportunities across different sectors 2 さまざまな分野にまたがる機会
2.1 Human-machine interaction in virtual worlds 2.1 仮想世界における人間と機械の相互作用
2.2 Education and training 2.2 教育とトレーニング
2.3 Health, medicine and wellbeing 2.3 健康、医療、ウェルビーイング
2.4 Manufacturing 2.4 製造業
2.5 Public sector 2.5 公共部門
2.6 Other fields 2.6 その他の分野
3 Challenges 3 課題
3.1 Societal challenges 3.1 社会的課題
3.2 Technical challenges 3.2 技術的課題
3.3 Economic challenges 3.3 経済的課題
3.4 Governance and policy challenges 3.4 ガバナンスと政策の課題
4. The technoeconomic ecosystem of next generation virtual worlds 4. 次世代仮想世界の技術経済エコシステム
Conclusions 結論
References 参考文献
List of abbreviations and definitions 略語と定義一覧
List of boxes ボックス一覧
List of figures 図一覧
List of tables 表一覧
Annexes 附属書
Annex 1. Next generation virtual worlds digital ecosystem 附属書1. 次世代仮想世界のデジタル・エコシステム

 

 

| | Comments (0)

ENISA デジタルID標準

こんにちは、丸山満彦です。

こいうのをまとめたいなぁと思っていたら、ENISAからでました。。。彼らも複雑になって整理しないとずっと思っていたんでしょうね。。。

まぁ、複雑ということがよくわかりました。。。

 

ENISA

・2023.07.03 Digital Identity Standards

 

Digital Identity Standards デジタル ID 標準
This report gives an overview of the most important standards and standardisation organisations in this area. This information is useful for the novice, to find out what is available, but also for more experienced readers who might not be aware of some (parts of) existing standards. It also provides an analysis of standards related to different means supporting digital identity. This covers means created and managed by trust services, electronic identification means and the EU Digital この報告書では、この分野で最も重要な標準および標準化組織の概要を示す。この情報は、初心者が利用可能なものを調べるのに役立つだけでなく、 既存の標準の一部(の一部)を知らない可能性のある経験豊富な読者にも役立つ。また、デジタル ID をサポートするさまざまな手段に関連する標準の分析も提供する。これは、トラスト・サービス、電子 ID 手段、および EU デジタル・アイデンティティによって作成および管理される手段を対象としている。

 

・[PDF]

20230705-60401

・[DOCX] 仮訳

 

 

目次...

1.   INTRODUCTION  1. はじめに
1.1.  PURPOSE OF THIS DOCUMENT  1.1. 本文書の目的
1.2.  DIGITAL IDENTITY STANDARDS  1.2. デジタル ID 標準
1.3.  RELATED EUROPEAN UNION LEGISLATION  1.3. 欧州連合関連法
2.   SCOPE  2. 適用範囲
2.1.  BASIC MODEL  2.1.基本モデル
2.1.1. Digital identity   2.1.1.デジタル ID
2.1.2. Means to support digital identity   2.1.2.デジタル ID を支援する手段
2.1.3. Supporting services   2.1.3.支援サービス
2.2.  SCOPE OF THE ANALYSIS  2.2.分析範囲
3.   SETTING THE SCENE  3. シーンの設定
3.1.  ROLE OF DIGITAL IDENTITY STANDARDS  3.1.デジタル ID 標準の役割
3.2.  STANDARDISATION ORGANISATIONS  3.2.標準化団体
3.2.1. European standardisation organisations and standards   3.2.1.欧州標準化機構(ESO)と標準
3.2.2. International standardisation organisations and standards   3.2.2.国際標準化機構(SDO)と標準
3.2.3. National standardisation bodies and specialised agencies   3.2.3.国家標準化機関及び専門機関
3.2.4. Industrial bodies   3.2.4.産業団体
3.3.  TOPICS  3.3.トピックス
4.   ANALYSIS  4. 分析
4.1.  EACH GROUP OF STANDARDS  4.1.各標準群
4.2.  GENERAL GROUPS OF STANDARDS  4.2.一般的な標準群
4.2.1. General standards used in identity management   4.2.1.ID 管理で使用される一般標準
4.2.2. General standards used in trust services   4.2.2.信託業務で使用される一般的な基準
4.3.  SPECIFIC GROUPS OF STANDARDS PROVIDING AUTHENTICATION CAPABILITIES  4.3.認証機能を提供する特定の標準群
4.3.1. International Civil Aviation Organization electronic machine-readable travel documents and the eIDAS token   4.3.1.国際民間航空機関の電子機械可読渡航文書とeIDASトークン
4.3.2. Mobile driving licences / mobile documents and mobile electronic identification   4.3.2.モバイル運転免許証(mDL/mdoc)とモバイルeID
4.3.3. X.509 certificates (public key infrastructure and privilege management infrastructure)   4.3.3.X.509 証明書(PKI-PMI)
4.3.4. Security Assertion Markup Language and the eIDAS regulation   4.3.4.セキュリティ・アサート・マークアップ言語とeIDAS規則
4.3.5. OpenID Connect   4.3.5.OpenIDコネクト
4.3.6. FIDO2   4.3.6.FIDO2
4.3.7. Self-sovereign identity   4.3.7.自己主権的アイデンティティ
4.4.  SPECIFIC GROUPS OF STANDARDS NOT PROVIDING AUTHENTICATION CAPABILITIES  4.4.認証機能を提供しない特定の標準標準グループ
4.4.1. Advanced electronic signatures/seals   4.4.1.高度な電子署名/シール(AdES)
4.4.2. Electronic registered delivery service evidence   4.4.2.ERDSのエビデンス
4.5.  SUMMARY  4.5.要約
5.   RECOMMENDATIONS  5. 提言
5.1.  EUROPEAN UNION POLICYMAKERS  5.1.欧州連合の政策立案者
5.2.  EUROPEAN STANDARDISATION ORGANISATIONS  5.2.欧州標準化機構
5.3.  EUROPEAN UNION AGENCY FOR CYBERSECURITY  5.3.欧州連合サイバーセキュリティ機関
ANNEX: ANALYSIS – DIGITAL IDENTITY WALLETS  附属書 A:分析 - デジタル ID ウォレット
A.1. INTRODUCTION TO DIGITAL IDENTITY WALLETS  A.1.デジタル ID ウォレットの紹介
A.2. STANDARDS RELATING TO THE EUROPEAN DIGITAL IDENTITY WALLET  A.2.欧州デジタル ID ウォレットに関する基準
A.3. ANALYSIS  A.3.分析
A.3.1.Functional requirements   A.3.1.機能要件
A.3.2.Interface requirements   A.3.2.インターフェース要件

 

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Digital services and electronic transactions are becoming more and more important. This trend has been accelerated by the COVID-19 restrictions limiting in-person contact, which increased digital interactions between people around the world. However, electronic transactions in which the identities of parties cannot be trusted give rise to fraud. Digital identity – that is, the identification of a legal or natural person or an entity within an electronic service – is more important than ever.  デジタルサービスや電子取引の重要性はますます高まっている。この傾向は、COVID-19の制限によって直接の接触が制限され、世界中の人々のデジタル交流が活発化したことで加速している。しかし、当事者の身元が信頼できない電子取引は詐欺を生む。デジタル・アイデンティティ、すなわち電子サービス内での法人または自然人、あるいは事業体の識別は、これまで以上に重要になっている。 
‘Digital identity’ is defined, for the purpose of this document, as a unique representation of a subject engaged in an online transaction. This contains two elements constituting the role of digital identity: to represent a subject and to support an online transaction. ‘Identity’ itself can be defined as a set of attributes related to an entity.  「デジタル ID」は、本文書の目的上、オンライン取引に従事する主体の一意の表現として定義される。これには、デジタル ID の役割を構成する 2 つの要素が含まれる。すなわち、対象者を表 現することと、オンライン取引を支援することである。「ID」自体は、エンティティに関連する一連の属性として定義することができる。 
There is a multitude of standards in the area of digital identity. The goal of this document is to give an overview of the most important standards and standardisation organisations in this area. This information is useful for the novice, to find out what is available, but also for more experienced readers who might not be aware of some (parts of) existing standards. It also provides an analysis of standards related to different means supporting digital identity. This covers means created and managed by trust services, electronic identification means and the EU Digital Identity Wallet.  デジタル ID の分野には多数の標準がある。本文書の目的は、この分野で最も重要な標準および標準化組織の概要を示すことである。この情報は、初心者が利用可能なものを見つけるのに役立つだけでなく、 既存の標準の一部(の一部)を知らない可能性のある経験豊富な読者にも役立つ。また、デジタル ID を支援するさまざまな手段に関連する標準の分析も提供する。これには、トラスト・サービス、電子 ID 手段、および EU デジタル ID ウォレットによって作成および管理される手段が含まれる。 
Digital identity standards cover several areas. They can describe policies; services issuing or managing digital identity means; formats and protocols to be used; ways of auditing related services; requirements for secure devices; or recommended processes and algorithms.  デジタル ID 標準は、いくつかの分野をカバーする。ポリシー、デジタル ID 手 段を発行または管理するサービス、使用される形式およびプロトコル、関連サービスの監査 方法、安全な装置の要件、または提言プロセスおよびアルゴリズムを記述することができる。 
Digital identity standards have been developed due to the increasing demand for secure, reliable and cross-recognised digital transactions, fuelled by several governmental digital transformation programmes and the COVID-19 restrictions. The standardisation efforts involve several layers of digital identities, extending from the policy and governance level down to the operational and technical specifications level. They also address several elements and technologies supporting digital identities, such as electronic certificates, person identification, signature devices and cybersecurity aspects.  デジタル ID 標準は、いくつかの政府のデジタル変革プログラムやCOVID-19 制限に後押しされ て、安全で信頼性が高く、相互に認識されるデジタル取引に対する要求が高まっているため に開発された。標準化の取り組みには、政策およびガバナンス・レベルから運用および技術仕様レベルま で、デジタル ID のいくつかの層が関わっている。また、電子証明書、本人確認、署名装置、サイバーセキュリティの側面など、デジタル ID を支えるいくつかの要素や技術にも取り組んでいる。 
The following criteria are considered in the analysis of available standards:  利用可能な標準の分析においては、以下の基準が考慮される: 
•  coverage of the identity management life cycle,  • アイデンティティ管理のライフサイクルをカバーする 
•  maturity of the standards,  • スタンダードの成熟度 
•  authentication capabilities (in person versus remote, online versus offline),  • 認証機能(対面か遠隔か、オンラインかオフラインか)、
•  user sole control and dependencies, for example whether ‘call home’ is needed,  • ユーザー単独でのコントロールと依存関係、例えば「コールホーム」が必要かどうかなど、
•  data-protection-enhancing technologies, for example selective disclosure,  • データ保護強化技術、例えば選択的開示
•  trust model.  • 信頼モデル
Based on this analysis, we propose a series of recommendations on the digital identity standardisation requirements in support of cybersecurity policy standards for various groups of stakeholders: EU policymakers, European Standardisation Organisations (ESOs) and ENISA. この分析に基づき、さまざまな利害関係者グループ:EU の政策立案者、欧州標準化機構(ESO)、ENISA に対して、サイバーセキュリティ政策標準 を支援するデジタル ID 標準化要件に関する一連の勧告を提案する。 

 

 

提言...

5. RECOMMENDATIONS  5. 提言 
Based on the analysis provided in Chapter 4, we propose the following recommendations on Digital Identity standardisation requirements in support of cybersecurity policy standards for various groups of stakeholders.  第 4 章の分析に基づき、さまざまな利害関係者グループに対するサイバーセキュリティ政 策標準を支援するデジタル ID 標準化要件について、以下の提言を提案する。 
5.1. EUROPEAN UNION POLICYMAKERS  5.1. 欧州連合の政策立案者 
Recommendation 1  提言1 
EU policymakers should provide a clear legal definition of the term Digital Identity. The revised eIDAS regulation may be the right vehicle through which to define it. This definition should be inspired by the current ISO/IEC 24760-1:2019 standard, which provides a definition of Identity (not Digital Identity)  EU の政策立案者は、デジタル ID という用語の明確な法的定義を示すべきである。改正 eIDAS 規制は、それを定義する適切な手段である。この定義は、現在の ISO/IEC 24760-1:2019 標準に触発されるべきであり、この標準は(デジタル ID ではなく)Identity の定義を提供している。 
Recommendation 2  提言2 
In the context of the EU Digital Identity Wallet, EU policymakers should make use of the new Digital Markets Act to provide direct access from the Mobile Application to the security anchor provided by EU CC certified secure elements available on smartphones. This direct assessment will help create a Trusted Mobile EU Digital Identity. This recommendation should be complemented by a new standardisation request to the European Standardisation Organisations, to develop a unique API from the mobile application to the security anchor provided by the secure element certified by the EU cybersecurity certification scheme. This is crucial for the provision of full interoperability by various smartphone manufacturers.  EU デジタル ID ウォレットの文脈では、EU の政策立案者は、新しいデジタル市場法を利用し て、スマートフォンで利用可能な EU CC 認証セキュア・エレメントが提供するセキュリテ ィ・アンカーにモバイル・アプリケーションから直接アクセスできるようにすべきである。この直接的な評価は、信頼されるモバイル EU デジタル ID の構築に役立つ。この勧告は、モバイル・アプリケーションから、EUサイバーセキュリティ認証スキームによって認証されたセキュア・エレメントが提供するセキュリティ・アンカーへのユニークなAPIを開発するための、欧州標準化機関への新たな標準化要求によって補完されるべきである。これは、さまざまなスマートフォン・メーカーが完全な相互運用性を提供するために極めて重要である。 
Recommendation 3  提言3 
EU policy should consider the need of the EU Mobile Application security and privacy evaluation methodology as a strategic issue and not only as a technical issue. CEN/CENELEC JTC13 should be empowered to define it in fast-track mode.  EUの政策は、EUモバイルアプリケーションのセキュリティとプライバシーの評価手法の必要性を、技術的な問題としてだけでなく、戦略的な問題として考慮すべきである。CEN/CENELEC JTC13は、ファストトラックモードでこれを定義する権限を与えられるべきである。 
Recommendation 4  提言4 
EU policymakers should create a new mandate requiring European standardisation organisations to standardise the EUDI Wallet interfaces with QTSP, Relying Parties, Device, existing national eID documents (eID, E-pass, e-resident permit card, eDL) and existing eIDAS Nodes infrastructures. This mandate should cover methods for recognition and authentication by relying parties through the EUDI Wallet.  EUの政策立案者は、QTSP、依拠当事者、デバイス、既存の国家eID文書(eID、E-pass、e-居住許可証、eDL)、既存のeIDASノード・インフラとのEUDIウォレット・インターフェイスを標準化することを欧州の標準化組織に要求する新しいマンデートを作成すべきである。このマンデートは、EUDIウォレットを通じた依拠当事者による認識と認証の方法をカバーすべきである。 
Recommendation 5  提言5 
EU policymakers should create a new mandate requiring European standardisation organisations to standardise a privacy evaluation methodology for general Digital Identity and more precisely for the EU Digital Identity Wallet.  EU の政策立案者は、一般的なデジタル ID、より正確には EU デジタル ID ウォレットのプライバシー評 価方法を標準化するよう、欧州の標準化組織に義務付ける新しいマンデートを作成すべきである。 
5.2. EUROPEAN STANDARDISATION ORGANISATIONS  5.2. 欧州標準化機構 
Recommendation 6  提言6 
Strong coordination and a clear division of responsibility between the European standardisation organisations should be defined, in terms of the standardisation activities, to avoid duplication of activities. The European standardisation organisations should also make use of the work on the toolbox process that was used to produce the European Digital Identity Architecture and Reference Framework Outline (ARF outline).  活動の重複を避けるため、標準化活動に関して、欧州標準化組織間の強力な調整と明確な責 任分担を定義する必要がある。欧州の標準化組織は、欧州デジタル ID アーキテクチャおよび参照フレームワーク概要(ARF 概 要)の作成に使用されたツールボックスプロセスの作業も利用すべきである。 
Recommendation 7  提言7 
No existing European standard for Mobile Application assessment methodology is available at European level, making it difficult to reference applicable standards in EU legislation.  欧州レベルでは、モバイルアプリケーションの評価方法に関する既存の欧州基準が存在しないため、EU法制において適用可能な基準を参照することが困難である。 
Efforts should be made to address this gap.  このギャップを解消する努力がなされるべきである。 
Recommendation 8  提言8 
European standardisation organisations should adopt ISO/IEC 18013-5 and the ISO/IEC DIS 23220 series as European norms.  欧州の標準化組織は、ISO/IEC 18013-5とISO/IEC DIS 23220シリーズを欧州の標準として採用すべきである。 
Benefits of such regional adoption in the case of European norms include:  欧州の規範の場合、このような地域的な採用の利点には次のようなものがある: 
•  harmonisation within Europe makes it easier to comply with European rules and regulations (avoiding standstills in national work in this area);  •            欧州内でのハーモナイゼーションは、欧州の規則や規制への準拠を容易にする(この分野での各国の作業の停滞を避ける); 
•  documents can be targeted to European needs;  •            欧州のニーズに合わせて文書を作成することができる; 
•  consensus building within Europe is easier than in the global context.  •            欧州内での合意形成は、グローバルな状況よりも容易である。 
The potential adoption of ISO/IEC 18013-5 and/or the ISO/IEC DIS 23220 series as European standards will help to harmonise European approaches towards Digital Identity.  ISO/IEC 18013-5 および/または ISO/IEC DIS 23220 シリーズが欧州標準として採用される可能性があ ることは、デジタル ID に対する欧州のアプローチの調和に役立つ。 
Recommendation 9  提言9 
European standardisation organisations should define a harmonised mutual authentication protocol between the EUDI Wallet and the Relying Parties. This should be in line with the QWAC approach.  欧州の標準化組織は、EUDIウォレットと依拠当事者間の調和された相互認証プロトコルを定義すべきである。これはQWACアプローチに沿ったものであるべきである。 
Recommendation 10  提言10 
European standardisation organisations should prepare a generic code-of-conduct methodology to be applied to the (Q)TSP and the EUDI Wallet. This methodology should reference current CEN/CENELEC Joint Technical Committee 13 cybersecurity and evaluation standards and the incorporation of the ISO/IEC 27005 standard on cybersecurity risk management into national law.  欧州の標準化機関は、(Q)TSPとEUDIウォレットに適用される汎用的な行動規範の方法論を準備すべきである。この方法論は、現行のCEN/CENELEC合同技術委員会13のサイバーセキュリティと評価基準、およびサイバーセキュリティのリスク管理に関するISO/IEC 27005標準の国内法への組み込みを参照すべきである。 
5.3. EUROPEAN UNION AGENCY FOR CYBERSECURITY  5.3. 欧州連合サイバーセキュリティ機関 
Recommendation 11  提言11 
ENISA should publish, on a regular basis, an overview of endorsed Digital Identity standards concerning different domains and sectors.  ENISA は、さまざまなドメインおよびセクターに関して承認されたデジタル ID 標準の概 要を定期的に公表する必要がある。 
Recommendation 12  提言 12 
ENISA should publish an overview of existing Digital Identity Models in Europe and beyond and identify their impact in terms of cybersecurity standards.  ENISA は、欧州内外の既存のデジタル ID モデルの概要を公表し、サイバーセキュリティ基準の観点か らの影響を特定すべきである。 
Recommendation 13  提言13 
ENISA should encourage and support the creation of an ad hoc group to address potential vulnerabilities related to digital identity systems and the EUDI Wallet.  ENISA は、デジタル ID システムおよび EUDI ウォレットに関連する潜在的な脆弱性に対処する ためのアドホック・グループの作成を奨励および支援すべきである。 
Recommendation 14  提言14 
ENISA should work closely with European standardisation organisations in fulfilling potential EU standardisation requests.  ENISAは、EUからの潜在的な標準化要請を満たすために、欧州の標準化団体と緊密に協力すべきである。 
Recommendation 15  提言15 
ENISA should establish a mechanism for assisting EU institutions, bodies and agencies, EU Member States and private organisations regarding various aspects of Digital Identity management. ENISA は、デジタル ID 管理のさまざまな側面に関して EU の機関、団体、機関、EU 加盟国、民間組織を支援するメカニズムを確立すべきである。

 

 

| | Comments (0)

2023.07.04

経済産業省 警察庁 サイバー攻撃によるクレジットカード番号等の漏えい事案に関する対策の推進に関する覚書の締結 (2023.06.30)

こんにちは、丸山満彦です。

経済産業省が、警察庁とサイバー攻撃によるクレジットカード番号等の漏えい事案に関する対策の推進に関する覚書を締結したと公表していますね。。。

サイバー攻撃によるクレジットカード番号等の漏えい事案の未然防止等のために締結をしたとのことです。。。

 

経済産業省

・2023.06.30 経済産業省及び警察庁はサイバー攻撃によるクレジットカード番号等の漏えい事案に関する対策の推進に関する覚書を締結しました

 

概要...


2.覚書のポイント

(1)漏えい事案発生時における連携
・漏えい事案に関する情報の提供
・被害実態の把握、攻撃手口の分析等

(2)通報・相談の促進
・被害企業等からの警察に対する通報・相談の促進に関する周知
・被害企業等からのクレジットカード会社等に対する連絡促進

(3)平時における連携
・攻撃手口や重大なぜい弱性に関する情報等の共有、これらに基づく注意喚起等


です。

 

警察庁

・2023.06.30 経済産業省との覚書の締結について

・[PDF

20230704-153458

| | Comments (0)

世界経済フォーラム (WEF) 量子準備ツールキット:量子安全経済の構築

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が「量子準備ツールキット:量子安全経済の構築」を公表していますね。。。

量子安全経済のための5つの指針を公表していますね。。。

  1. 量子リスクを制度化した組織ガバナンスの確保
  2. 組織全体での量子リスクに対する認識の向上 
  3. 既存のサイバーリスクとともに量子リスクを扱い、優先順位をつける
  4. 将来の技術導入についての戦略的決定
  5. エコシステム間の連携の促進

ただ、量子技術といっても、いろいろとあるわけで、ひとくくりに量子と言われてもなぁ。。。まぁ、新技術全般に共通する話かもですね。。。

 

 ● World Economic Forum - Report

・2023.06.29 Quantum Readiness Toolkit: Building a Quantum-Secure Economy

 

Quantum Readiness Toolkit: Building a Quantum-Secure Economy 量子準備ツールキット:量子安全経済の構築
Accelerating developments in quantum computing pose new challenges to cybersecurity. The rise of quantum computers has the potential to compromise existing cryptographic systems, putting secure communications and data protection at risk. Organizations must adjust security practices and governance to address the quantum threat. 加速する量子コンピュータの発展は、サイバーセキュリティに新たな課題を突きつけている。量子コンピュータの台頭は、既存の暗号システムを侵害する可能性があり、安全なコミュニケーションやデータ保護をリスクにさらす。組織は、量子コンピュータの脅威に対応するために、セキュリティ慣行とガバナンスを調整しなければならない。
The Quantum Readiness Toolkit presents a set of guiding principles for organizations to navigate the quantum computing era securely. These principles cover key areas such as strategizing for future-proof technology, integrating quantum risk into governance structures and risk management processes, and acquiring the necessary talent. By adopting a proactive approach to security and risk management, organizations can better understand and mitigate the risks associated with quantum computing. 量子準備ツールキットは、組織が量子コンピュータ時代を安全に乗り切るための指針を示したものである。これらの原則は、将来を見据えた技術戦略、ガバナンス構造やリスクマネジメントプロセスへの量子リスクの統合、必要な人材の獲得といった重要な分野を網羅している。セキュリティとリスクマネジメントに積極的なアプローチを採用することで、企業は量子コンピューティングに関連するリスクをよりよく理解し、軽減することができる。
The toolkit emphasizes the importance of prioritizing quantum risk alongside existing risks and advocates for a global, cross-border approach to cybersecurity and governing quantum risk. It provides organizations with a framework to assess their quantum readiness and identifies steps to prioritize and enhance their quantum security measures. Though organizations vary in size, industry and maturity, the toolkit is offered a starting point for developing a tailored strategy for quantum readiness. このツールキットは、既存のリスクとともに量子リスクを優先することの重要性を強調し、サイバーセキュリティと量子リスクのガバナンスに対するグローバルで国境を越えたアプローチを提唱している。このツールキットは、各組織が量子の準備状況を評価するためのフレームワークを提供し、量子セキュリティ対策に優先順位を付け、強化するためのステップを特定している。組織の規模、業種、成熟度は様々であるが、このツールキットは、量子対応戦略を策定するための出発点として提供される。
By embracing this guidance, organizations can navigate the challenges of quantum computing and protect their critical assets and information in this new era of technology. このガイダンスを活用することで、企業は量子コンピューティングの課題を克服し、この新しいテクノロジー時代において重要な資産や情報を保護することができる。

 

・[PDF]

20230704-43027

 

目次...

Quantum Readiness Toolkit: Building a Quantum-Secure Economy 量子準備ツールキット:量子安全経済の構築
Foreword  まえがき 
Executive summary  エグゼクティブサマリー 
1 Guiding principles to become quantum cyber-ready  1 量子サイバー対応への指針 
2 The principles to become quantum cyber-ready: in-depth analysis  2 量子サイバー対応になるための原則:詳細分析 
2.1  Ensure the organizational governance structure institutionalizes quantum risk  2.1 量子リスクを制度化した組織ガバナンスの確保
2.2  Raise quantum risk awareness throughout the organization  2.2 組織全体での量子リスクに対する認識の向上 
2.3  Treat and prioritize quantum risk alongside existing cyber risks  2.3 既存のサイバーリスクとともに量子リスクを扱い、優先順位をつける
2.4  Make strategic decisions for future technology adoption  2.4 将来の技術導入についての戦略的決定
2.5  Encourage collaboration across ecosystems  2.5 エコシステム間の連携の促進
Conclusion  結論
Appendix  附属書 
Contributors  貢献者 
Endnotes  注釈 

 

 

エグゼクティブサマリー

Executive summary  エグゼクティブサマリー
Five guiding principles can help organizations embrace the quantum-secure economy.  量子安全経済を組織が受け入れるには、5つの指針が役立つ。
Quantum computers promise transformative powers for businesses and organizations across the globe and through a diverse range of industries. However, they also introduce significant risks to the current digital economy. In the near future, sufficiently powerful and commercially available quantum computers will undermine current cryptographic standards protecting most digital communications and vast amounts of sensitive data. Mitigating this security risk requires organizations to implement quantum-security technologies that quantum computers cannot break. Organizations need to embark on a large and complex transition to become resilient to quantum computer attacks. 量子コンピュータは、世界中の企業や組織、そして多様な産業において、変革をもたらす可能性を秘めている。しかし、量子コンピュータは現在のデジタル経済に重大なリスクももたらす。近い将来、十分に強力で商業的に利用可能な量子コンピュータは、ほとんどのデジタルコミュニケーションや膨大な量の機密データを保護する現在の暗号標準を根底から覆すだろう。このセキュリティ・リスクを低減するには、量子コンピュータが破ることのできない量子セキュリティ技術を導入する必要がある。組織は、量子コンピューター攻撃へのレジリエンスを高めるために、大規模かつ複雑な移行に着手する必要がある。
There is a need for a cohesive, global, cross- border approach to cybersecurity and governing quantum risk. This Quantum Readiness Toolkit provides a framework of five principles to guide organizations to prepare for the quantum-secure economy by providing steps for assessing their quantum readiness and identifying and prioritizing future actions. The input arises from in-depth conversations during the World Economic Forum’s quantum security working group, a global multistakeholder effort, which brings together a community of senior cyber and quantum executives and experts from business, government, regulators and academic institutions. サイバーセキュリティと量子リスクのガバナンスに対して、グローバルで国境を越えた結束したアプローチが必要である。この量子準備ツールキットは、5つの原則からなるフレームワークを提供し、量子準備状況を評価し、将来のアクションを特定し、優先順位をつけるためのステップを提供することで、量子安全経済に備えるためのガイドとなる。このインプットは、世界経済フォーラムの量子セキュリティ作業部会(Quantum Security Working Group)で行われた綿密な対話から生まれたもので、世界的なマルチステークホルダーによる取り組みであり、企業、政府、規制当局、学術機関からサイバーと量子の上級幹部や専門家が集まっている。
Organizations need to prioritize quantum risk alongside existing risks, through the definition of a clear roadmap, and clear roles and responsibilities. To face quantum risks, organizations need to raise awareness, invest in education and in technology adoption, as well as collaborate with the ecosystem. This toolkit and the accompanying knowledge base aim to provide leaders with guidance necessary to achieve organization-wide understanding of quantum risk and its governance – in order to thrive in a quantum-secure economy. 組織は、明確なロードマップを定義し、明確な役割と責任を果たすことで、既存のリスクとともに量子リスクを優先する必要がある。量子リスクと向き合うために、企業は意識を高め、教育や技術導入に投資し、エコシステムと協力する必要がある。このツールキットとそれに付随する知識ベースは、量子リスクとそのガバナンスについて組織全体で理解を深め、量子安全経済で成功するために必要な指針をリーダーに提供することを目的としている。
Since organizations vary in size, industry and maturity, the toolkit does not serve as a one- size-fits-all solution. The guidance laid out in the toolkit is suggestive and not exhaustive since all organizations will have to complete their own quantum security transition. The toolkit serves as a starting point to explore what an organization’s unique strategy for quantum readiness can look like. 組織の規模、業種、成熟度は様々であるため、このツールキットは万能のソリューションではない。ツールキットに記載されている指針は示唆的なものであり、すべての組織が量子セキュリティへの移行を完了しなければならないため、網羅的なものではない。このツールキットは、各組織独自の量子対応戦略を検討するための出発点となる。

 

 

20230704-61947

 

FIGURE 1 Guiding principles to understand the quantum-secure transition  図1 量子安全保障への移行を理解するための指針 
Ensure the organizational governance structure institutionalizes quantum risk  量子リスクを制度化したガバナンス体制の確立す
The quantum threat requires organizations to align their governance structure to their quantum cyber readiness transition by defining clear goals, roles and responsibilities and creating leadership buy-in to enforce change effectively.  量子的脅威への対応には、明確な目標、役割、責任を定め、効果的な改革を実施するためのリーダーシップの支持を得ることで、組織のガバナンス構造を量子サイバー対応への移行に適合させる必要がある。
Raise quantum risk awareness throughout the organization  組織全体での量子リスクに対する認識の向上
Demystifying the quantum threat is key. This requires that not only quantum cyber readiness experts but also senior leaders and risk managers understand the risk and impact of the threat to the organization.  量子の脅威を解明することが重要である。そのためには、量子サイバー脅威の専門家だけでなく、シニアリーダーやリスクマネジメントも量子サイバー脅威のリスクと組織への影響を理解する必要がある。
Treat and prioritize quantum risk alongside existing cyber risks  既存のサイバーリスクとともに量子リスクを扱い、優先順位をつける
A quantum cyber-ready organization follows a structured approach to evaluate and manage quantum risk and integrates mitigating this risk into existing cyber risk management procedures.  量子サイバー対応可能な組織は、量子リスクを評価・管理するための体系的なアプローチに従い、このリスクの低減を既存のサイバーリスクマネジメント手順に統合する。
Make strategic decisions for future technology adoption  将来の技術導入についての戦略的決定
Managing quantum risk provides organizations with opportunities to reassess their technology landscape, specifically the use of cryptography. To make the most out of technology solutions that help mitigate quantum risk, organizations should make strategic technology decisions that support “crypto-agility” to achieve their security objectives.  量子リスクを管理することで、プロバイダは自社のテクノロジー環境、特に暗号技術の利用を見直す機会を得ることができる。量子リスクの低減に役立つテクノロジ・ソリューションを最大限に活用するために、企業は、セキュリティ目標を達成するための「暗号アジリティ」をサポートする戦略的なテクノロジの決定を行うべきである。
Encourage collaboration across ecosystems  エコシステム間の連携の促進
Quantum risk is a systemic risk. An effective quantum security strategy includes collaborating and sharing information with other organizations to identify risks throughout the ecosystem and suppliers to jointly mitigate such risks.  量子リスクはシステムリスクである。効果的な量子セキュリティ戦略には、他の組織と協力し、情報を共有することで、エコシステム全体のリスクを特定し、サプライヤと共同でそのようなリスクを軽減することが含まれる。

 

 

 

| | Comments (0)

世界経済フォーラム (WEF) 中央銀行デジタル通貨 (CBDC) グローバル相互運用性原則

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が中央銀行デジタル通貨 (CBDC) グローバル相互運用性原則に関する報告書を公表していますね。。。

中央銀行が発行するデジタル通貨 (CBDC)について、中国、米国、ユーロ等、約100カ国で実証実験、法律等の整備、導入等が進んでいますが、その相互運用についての議論も必要ということでWEFがこれを公表しているのでしょうね。。。

 

 ● World Economic Forum - Report

・2023.06.29 Central Bank Digital Currency Global Interoperability Principles

Central Bank Digital Currency Global Interoperability Principles 中央銀行デジタル通貨グローバル相互運用性原則
The exploration of central bank digital currencies (CBDC) has gained significant momentum worldwide. With over 100 countries actively engaged in CBDC research and development, there is growing recognition of CBDCs as transformative tools in the future of digital payments. To ensure successful implementation and promote interoperability, global coordination becomes paramount. 中央銀行デジタル通貨(CBDC)の研究は、世界的に大きな盛り上がりを見せている。100カ国以上がCBDCの研究開発に積極的に取り組んでおり、CBDCがデジタル決済の未来を変革するツールであるとの認識が高まっている。導入を成功させ、相互運用性を促進するためには、世界的な協調が不可欠である。
This report analyses CBDCs from a regional perspective, identifying unique aspects and areas of alignment among jurisdictions. It highlights key principles that can serve as a basis for interoperable CBDC design, including trust, financial inclusion, payment efficiency, regulatory compliance, privacy, cybersecurity and more. 本報告書では、地域的な視点からCBDCを分析し、国・地域間のユニークな側面や協調すべき点を明らかにしている。信頼、金融包摂、決済効率、規制遵守、プライバシー、サイバーセキュリティなど、相互運用可能なCBDC設計の基礎となる主要原則を強調している。
The report calls for public-private cooperation, regulatory consistency, innovation and participation in standards development. The principles presented in the report provide a foundation for CBDC interoperability and call for continued conversations and the establishment of enforceable standards. 本報告書は、官民協力、規制の一貫性、イノベーション、標準開発への参加を呼びかけている。報告書に示された原則は、CBDC の相互運用性の基盤となるものであり、継続的な対話と強制力のある標準の確立を求めている。
By understanding regional priorities, aligning areas of common interest and adhering to interoperability principles, CBDCs can advance harmoniously, leading to efficient and interconnected digital payment systems. This report provides valuable insights for stakeholders involved in CBDC development, fostering a global future where CBDCs can thrive and realize their full potential in transforming the payments landscape. 地域の優先順位を理解し、共通の関心分野を一致させ、相互運用性の原則を遵守することで、CBDCは調和を保ちながら前進し、効率的で相互接続されたデジタル決済システムを実現することができる。本報告書は、CBDC の開発に携わる関係者に貴重な洞察を提供し、CBDC が繁栄し、決済事情を一変させる可能性を最大限に発揮できるようなグローバルな未来を育むものである。

 

・[PDF]

20230704-43015

 

目次...

Preface 前書き
Executive summary エグゼクティブサマリー
Introduction 序文
1 Scope 1 範囲
1.1  Definitions 1.1 定義
2 CBDC priorities across regions  2 地域間の CBDC の優先事項 
2.1  Areas of alignment  2.1 一致する地域 
2.2  Latin America and the Caribbean 2.2 ラテンアメリカとカリブ海諸国
2.3  Sub-Saharan Africa 2.3 サブサハラ・アフリカ
2.4  Middle East and North Africa 2.4 中東・北アフリカ
2.5  Asia-Pacific 2.5 アジア太平洋
2.6  Europe 2.6 ヨーロッパ
2.7  North America 2.7 北米
2.8  Global CBDC lessons learned 2.8 世界のCBDCの教訓
3 Global considerations 3 グローバルな検討事項
3.1  Monetary sovereignty 3.1 通貨主権
3.2  Financial stability 3.2 金融の安定性
3.3  Geopolitical risk 3.3 地政学的リスク
3.4  De-dollarization 3.4 脱ドル
3.5  Infrastructure cost considerations 3.5 インフラコストの考慮
4 Key motivations for interoperability principles 4 相互運用性の原則の主な動機
5 Principles for CBDC interoperability 5 CBDC 相互運用性の原則
5.1  Governance 5.1 ガバナンス
5.2  Legal and regulatory 5.2 法的規制
5.3  Identification and authentication 5.3 本人確認と認証
5.4  Payments 5.4 ペイメント
5.5  Technical 5.5 技術的
6 Recommendations 6 推奨事項
6.1  For central banks 6.1 中央銀行向け
6.2  For policy-makers 6.2 政策立案者向け
6.3 For the private sector 6.3 民間セクター向け
6.4  Financial market infrastructure 6.4 金融市場のインフラストラクチャー
Conclusion 結論
Contributors 協力者
Endnotes 巻末資料

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
Central banks have different motivations for exploring or developing central bank digital currency (CBDC), and the demand for improved domestic and cross-border payment rails differs across jurisdictions. To help central banks in the planning and development of their CBDCs and to make sure that interoperable functionalities are considered in time, the central bank community should take steps at the beginning of the design process to include these considerations. Although this paper does not take a stance on the choice to issue a CBDC, it considers interoperability in a global future state where a CBDC may exist.  中央銀行が中央銀行デジタル通貨(CBDC)を検討・開発する動機は様々であり、国内および国境を越えた決済レールの改善に対する需要も法域によって異なる。中央銀行が CBDC を計画・開発する際に役立つよう、また、相互運用可能な機能を適時 検討できるよう、中央銀行コミュニティは、設計プロセスの初期段階から、これらの検討事項 を盛り込むための措置を講じるべきである。本ペーパーは、CBDC を発行するかどうかの選択について立場をとるものではないが、CBDC が存在する可能性のあるグローバルな将来の状態における相互運用性について検討するものである。
Based on the input of the Forum’s Digital Currency Governance Consortium (DCGC) CBDC Regional Roundtable series and multistakeholder input, this paper analyses CBDC from a regional perspective to draw unique elements that would impact CBDC design in each jurisdiction. Based on these regional perspectives, there were several elements that were aligned among countries and regions, including: 本稿は、当フォーラムのデジタル通貨ガバナンス・コンソーシアム(DCGC)CBDC地域ラウンドテーブル・シリーズとマルチステークホルダーからのインプットに基づき、CBDCを地域的な視点から分析し、各法域におけるCBDCの設計に影響を与える独自の要素を導き出したものである。これらの地域的視点に基づき、国や地域間で一致する要素がいくつかあった:
–     Trust in the payment instrument ・決済手段に対する信頼
–     Promoting innovation ・イノベーションの促進
–     Financial inclusion ・金融包摂
–     Monetary and economic stability ・通貨と経済の安定
–     Payment efficiency and security ・決済の効率性と安全性
–     Regulatory compliance and financial integrity ・規制遵守と金融の健全性
–     Privacy and data protection ・防御とデータ保護
–     Cybersecurity and resilience ・サイバーセキュリティとレジリエンス
–     User experience and accessibility ・ユーザー・エクスペリエンスとアクセシビリティ
–     Offline capabilities ・オフライン機能
–     Cross-regional cooperation ・地域間協力
–     Public-private cooperation ・官民協力
–     Interoperability and standards. ・相互運用性と標準
In addition, since the commencement of CBDC pilots and experimentation, there were lessons learned that are relevant globally. These included having a clear reason to pursue CBDC, having strong reasoning for the underlying technology choice, alignment with regulatory frameworks, ensuring integration with other payment solutions, prioritizing user experience and accessibility, building public confidence and trust in the CBDC, building the CBDC with public-private cooperation and prioritizing interoperability.  さらに、CBDCのパイロットと実験が始まって以来、世界的に関連する教訓が得られた。これらの教訓には、CBDC を追求する明確な理由を持つこと、基盤技術を選択する強い理 由を持つこと、規制の枠組みとの整合性、他の決済ソリューションとの統合を確保すること、ユ ーザーエクスペリエンスとアクセシビリティを優先すること、CBDC に対する国民の信頼 と信用を築くこと、官民協力による CBDC の構築、相互運用性の優先などが含まれる。
When considering CBDC interoperability, there are a few key areas that require additional attention. This includes monetary sovereignty, financial stability, geopolitical risk, de-dollarization and infrastructure cost considerations.  CBDC の相互運用性を検討する際、さらに注意を払う必要がある重要な分野がいくつかある。これには、通貨主権、金融の安定性、地政学的リスク、脱ダラー化、インフラコストの考慮が含まれる。
Based on all prior input, there arise a set of principles for CBDC interoperability. There are generally applicable principles such as the need for standardization, openness and inclusivity, scalability, resilience and redundancy, and crossborder integration. Additional principles are grouped by governance, legal and regulatory, identification and authentication, payments, and technical.  すべての事前インプットに基づき、CBDC 相互運用性のための一連の原則が存在する。標準化の必要性、オープン性と包括性、スケーラビリティ、レジリエンスと冗長性、クロスボーダー統合など、一般的に適用可能な原則がある。その他の原則は、ガバナンス、法規制、本人認証、決済、技術別に分類されている。
Thus, the recommendations for central banks are to foster public-private cooperation, engage in thought leadership and advocacy, and education and awareness on CBDCs. For policy-makers, there is a recommendation to aim for regulatory consistency, participate in international forums and foster innovation and research in CBDC. For the private sector, there should be greater participation in regulatory sandboxes and innovation hubs, interoperability testing and pilots, and participation in standards development. For financial market infrastructure players, there should be a focus on interoperable clearing and settlement systems, standardization of messaging formats, and sharing insights from interoperability work.   従って、中央銀行に対する提言は、官民協力の促進、ソート・リーダーシップとアドボカシー活動、CBDCに関する教育と啓発である。政策立案者に対しては、規制の一貫性を目指し、国際的なフォーラムに参加し、CBDCの革新と研究を促進することが推奨される。民間セクターに対しては、規制のサンドボックスやイノベーション・ハブへの参加、相互運用性のテストやパイロット、標準開発への参加を拡大すべきである。金融市場インフラプレーヤーにとっては、相互運用可能な清算・決済システム、メッセージングフォーマットの標準化、相互運用性作業から得られた知見の共有に焦点を当てるべきである。 
These principles can provide a foundation for interoperability with CBDCs. There is a call to action to continue this conversation and form a set of standards that can be applied readily and overseen and enforced by an agreed-upon entity. これらの原則は、CBDC との相互運用性の基盤となる。この対話を継続し、合意された事業体によって容易に適用され、監督・実施されうる一連の標準を形成するための行動が求められている。

 

序文...

Introduction 序文
Central bank digital currencies (CBDC) have the – potential to mitigate the long-standing challenges in payments, including high costs, low speed, limited access and insufficient transparency. As the future of payments could be transformed, there is an opportunity to ensure that there is global coordination in the creation of CBDCs. By understanding various jurisdictional priorities and identifying areas of alignment, a set of principles can be identified that serve as a foundation for the creation of interoperable CBDC design. 中央銀行デジタル通貨(CBDC)は、高コスト、低スピード、アクセス制限、不十分な透明性など、決済における長年の課題を軽減する可能性を秘めている。決済の未来が一変する可能性がある今、CBDCの創設において世界的な協調を確保する機会がある。様々な管轄区域の優先順位を理解し、一致する分野を特定することで、相互運用可能なCBDC設計の基盤となる一連の原則を特定することができる。
This piece builds off the World Economic Forum’s Central Bank Digital Currency Policy-Maker Toolkit, the Digital Currency Governance Consortium (DCGC) white paper series and research from existing and new efforts in this space by international and inter-governmental organizations, many of which involve DCGC member organizations. This paper is informed by the CBDC Regional Roundtable series, workshops, interviews and panels, including World Economic Forum meetings at The Davos Agenda 2022 and 2023 and the Global Technology Governance Retreat. Above all, the paper attempts to provide a neutral, objective and analytical perspective on – CBDC interoperability. 本稿は、世界経済フォーラムの中央銀行デジタル通貨政策立案者ツールキット、デジタル通貨ガバナンス・コンソーシアム(DCGC)のホワイトペーパーシリーズ、そして国際機関や政府間機関によるこの分野での既存および新規の取り組み(その多くはDCGCのメンバー機関が関与している)の調査に基づいている。本稿は、CBDCの地域円卓会議シリーズ、ワークショップ、インタビュー、パネルディスカッション、世界経済フォーラム(ダボス会議)、グローバル・テクノロジー・ガバナンス・リトリートなどから情報を得ている。とりわけ、このホワイトペーパーは、CBDCの相互運用性について中立的、客観的、分析的な視点を提供することを試みている。
This white paper will address the following: このホワイトペーパーでは、以下のことを取り上げる:
– Define the concept of interoperability and CBDC. ・相互運用性とCBDCの概念の定義
– Identify the areas of alignment for CBDC priorities across regions. ・地域間でCBDCの優先事項が一致する分野の識別
– Analyse the priorities for CBDC across regions including Latin America and the Caribbean, Sub-Saharan Africa, Middle East and North Africa, Asia Pacific, Europe and North America. ・ラテンアメリカとカリブ海地域、サハラ以南のアフリカ、中東と北アフリカ、アジア太平洋地域、ヨーロッパと北米を含む地域間のCBDCの優先事項の分析
– Summarize lessons learned from CBDC exploration across the world thus far. ・これまでの世界各地でのCBDCの調査から得られた教訓の要約。
– Acknowledge considerations for CBDC in any jurisdiction, including monetary sovereignty, financial stability, geopolitical risk, de-dollarization and infrastructure cost considerations that need to be reflected on prior to any future CBDC issuance. ・通貨主権、金融の安定性、地政学的リスク、脱ドル、インフラコストなど、将来のCBDC発行に先立ち考慮すべき点の認識
– Set out principles for interoperable CBDC that take into account the previously outlined jurisdictional priorities and areas of alignment. ・ 先に概説した管轄区域の優先順位と整合性を考慮した、相互運用可能なCBDCの原則の確立
– These principles are organized in the categories of governance, legal and regulatory, identification and authentication, different forms of payment and technical considerations. ・これらの原則は、ガバナンス、法規制、本人認証、様々な決済形態、技術的な考慮事項のカテゴリーに整理される。
– Offer recommendations to central bankers, policy-makers, the private sector and financial market infrastructure players. ・中央銀行、政策立案者、民間セクター、金融市場インフラのプレーヤーへの提言
– Conclude with a look towards supporting a set of standards based on these principles. ・最後に、これらの原則に基づく一連の標準を支援するための展望の明示

 

CBDCの状況...

20230704-55112

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.01 欧州委員会 デジタルユーロの立法案

・2022.04.04 米国 デジタル・ドルができる? H.R. 7231 電子通貨および安全なハードウェア(ECASH)法案

・2021.12.13 中国 第14次5カ年計画 デジタル経済開発計画

・2021.07.15 国際決済銀行 (BIS) ・国際通貨基金 (IMF) ・世界銀行 国際決済のための中央銀行デジタル通貨 (CBDC) に関するG20への報告書

| | Comments (0)

世界経済フォーラム (WEF) 自動車ソフトウェアの安全性とイノベーションを解き放つ

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が自動車ソフトウェアの安全性とイノベーションに欠かせない、ソフトウェアのあり方についての報告書を公表していますね。。。ボスコンが協力していますね。。。

 ● World Economic Forum - Report

・2023.06.28 Unlocking Safety and Innovation in Vehicle Software

自動車が機械という要素からよりソフトウェアという要素に重点が移ってきている中、自動車の安全性を向上させるためには、自動車用の汎用ミドルウェア環境のようなものが必要だという感じでしょうかね。。。

 

・[PDF]

20230704-43008

 

図 1 ソフトウェア・デファインド・ビークルの6つのレイヤー 

20230704-45802

FIGURE 1 Six layers of the software-defined vehicle 図 1 ソフトウェア・デファインド・ビークルの6つのレイヤー 
6 Smart mobility ecosystem 6 スマートモビリティ・エコシステム
Enable seamless user journeys, faster innovation and scaling  シームレスなユーザージャーニー、迅速なイノベーション、スケーリングを可能にする 
5 Applications 5 アプリケーション
Deliver differentiating and increasingly complex functions/services to users  差別化され、複雑化する機能・サービスをユーザーに提供する 
4 Data platform 4 データプラットフォーム
Syndicate insights on user and vehicle and provide relevant predictions  ユーザーと車両に関する洞察を共有し、適切な予測を提供する。
3 Vehicle software platform 3 車両ソフトウェア・プラットフォーム
Provide secure, high-performance run-time environment and reusable SW components  安全で高性能なランタイム環境と再利用可能なソフトウェア・コンポーネントをプロバイダする。
2 Compute platform 2 コンピュート・プラットフォーム
Enable high-performance compute at minimum energy consumption  最小限のエネルギー消費で高性能な計算を可能にする 
1 Vehicle platform 1 車両プラットフォーム
Scale and simplify common mechanical components across models  モデル間で共通のメカニカルコンポーネントを拡張し、簡素化する。

 

図 2 車載ソフトウェア・プラットフォームのターゲット像の特徴と最終目標の狙い

20230704-50429

FIGURE 2 Vehicle software platform target picture characteristics and their end-goal ambitions  図 2 車載ソフトウェア・プラットフォームのターゲット像の特徴と最終目標の狙い
1 Mixed-critical 1 ミックスクリティカル
Unified HW/SW foundation can run safety and non-safety critical loads safely for all applications  統一されたHW/SW基盤は、すべてのアプリケーションで安全および非安全クリティカルな負荷を安全に実行できる。
2 Cloud-edge distributed  2 クラウド-エッジ分配 
Software can be virtually tested in cloud and deployed over-the-air during runtime  ソフトウェアをクラウド上で仮想的にテストし、実行時に無線で実装できる。
3 Cloud-native principles  3 クラウドネイティブ原則 
Services can be handled individually (e.g. via containerization, APIs)  サービスを個別に処理できる(コンテナ化、API経由など) 
4 Standardized architecture  4 標準化されたアーキテクチャ 
Industry follows common tech stack with modular template structure and interfaces  業界は、モジュール化されたテンプレート構造とインターフェイスを備えた共通の技術スタックに従う 
5 Integrated toolchain 5 統合されたツールチェーン
Industry adopts commonly agreed toolchain standard allowing co-creation  業界は、共通に合意されたツールチェーン標準を採用し、共創を可能にする。
6 Chip agnostic  6 チップ非依存 
Code can run on different silicon and compute meeting performance requirements  異なるシリコンや性能要件を満たすコンピュート上でコードを実行できる 
7 Cloud agnostic  7 クラウド非依存
Multiple clouds can be combined to interact with the SW platform  複数のクラウドを組み合わせてSWプラットフォームと相互作用させることができる 
8 Language agnostic  8 言語非依存
Any coding language can be used to develop a service  どのようなコーディング言語でもサービスを開発できる 

 

OEM側が囲い込みではなく、協力していくとよりよい社会になるような気がします。。。

 

| | Comments (0)

2023.07.03

OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

こんにちは、丸山満彦です。

OWSAPが、SBOMガイダンスCycloneDX v1.5を公表していますね。。。SBOMというよりも、SBOMも含めて拡大したものになっていますね。。。

米国大統領令14028に対応して国家電気通信情報局(NTIA)が定義したソフトウェア部品表の最小要素を含み、より多くの要素が組み込めるようになっているようです。。。SBOMの普及にはずみがつきますかね。。。

 

OWASP - Blog

・2023.06.23 How CycloneDX v1.5 Increases Trust and Transparency in More Industries

How CycloneDX v1.5 Increases Trust and Transparency in More Industries CycloneDX v1.5がより多くの業界で信頼性と透明性を高める方法
OWASP is often the first to reveal new, innovative ways to leverage SBOM. The release of CycloneDX version 1.5 is no different, opening up SBOM adoption to new industries and introducing numerous ways to customize CycloneDX SBOMs to indicate quality, show transparency, and expedite vulnerability remediation while increasing trust in the supply chain. OWASPはしばしば、SBOMを活用する新しい革新的な方法を最初に明らかにする。CycloneDXバージョン1.5のリリースも同様で、SBOMの採用を新たな業界に広げ、CycloneDX SBOMをカスタマイズして品質を表示し、透明性を示し、脆弱性の修復を迅速化すると同時に、サプライチェーンの信頼を高める数多くの方法を紹介している。
CycloneDX v1.5 further expands visibility and security benefits to new industries through generation of xBOMs: the concept of a CycloneDX BOM is not just restricted to software, but capable of conferring the same benefits to hardware, operations, manufacturing, and many more applications. CycloneDX v1.5は、xBOMの生成を通じて、可視性とセキュリティの利点を新しい業界にさらに拡大する。CycloneDX BOMのコンセプトは、ソフトウェアに限定されるものではなく、ハードウェア、運用、製造、その他多くのアプリケーションに同じ利点を与えることができる。
For example, SaaSBOM, or a Software as a Service BOM, provides an inventory of services, endpoints, and data flows/classifications that power cloud-native applications. Hardware Bill of Materials, or HBOM, supports documentation of components, devices, firmware, configurations, and many other fields that make it ideal for producers of consumer electronics, IoT devices, and embedded devices. CycloneDX xBOMs can also be combined to represent a product ecosystem. For a full-stack product offering, a company can generate an HBOM for devices in the field and a SaaSBOM for the software components of each service. たとえば、SaaSBOM(Software as a Service BOM)は、クラウドネイティブなアプリケーションを支えるサービス、エンドポイント、データフロー/分類のインベントリを提供する。HBOM(Hardware Bill of Materials)は、コンポーネント、デバイス、ファームウェア、コンフィギュレーション、その他多くの分野の文書化をサポートし、家電、IoTデバイス、組み込みデバイスの製造者にとって理想的である。CycloneDX xBOMは、製品のエコシステムを表現するために組み合わせることもできる。フルスタックの製品を提供する場合、企業は現場のデバイスのHBOMと各サービスのソフトウェアコンポーネントのSaaSBOMを生成できる。
With version 1.5, CycloneDX introduces new xBOM types that support both new areas in the product ecosystem for existing users, and also makes CycloneDX usage feasible for new industries altogether. バージョン1.5で、CycloneDXは新しいxBOMタイプを導入し、既存ユーザーの製品エコシステムにおける新領域をサポートするとともに、CycloneDXの利用を新たな業界で実現可能にした。
CycloneDX Increases Transparency and Trust in Machine Learning, Manufacturing, and Low Code Application Platforms CycloneDXは機械学習、製造、ローコードアプリケーションプラットフォームの透明性と信頼性を高める
CycloneDX v1.5 is the first and only format to support three new xBOM types: Machine Learning Bill of Materials (ML-BOM), Manufacturing Bill of Materials (MBOM), and SBOM for Low Code Application Platforms. In the near future, vendor AquaSecurity will also introduce support for Kubernetes Bill of Materials (KBOM), a new type of xBOM based on the CycloneDX v1.5 format. CycloneDX v1.5は、3つの新しいxBOMタイプをサポートする最初で唯一のフォーマットである: 機械学習部品表(ML-BOM)、製造部品表(MBOM)、ローコードアプリケーションプラットフォーム用SBOMである。近い将来、ベンダーのAquaSecurityは、CycloneDX v1.5フォーマットに基づく新しいタイプのxBOMであるKubernetes Bill of Materials(KBOM)のサポートも導入する予定だ。
In each of these industries, trust in the product is critical. Whether purchasing a new smart appliance or subscribing to a website builder, a buyer wants to feel assured that their data will stay secure, be informed of how their data is being used, and know that the product they receive is providing reliable, high-quality information. A CycloneDX SBOM provides not only the dependencies, components, and processes that transform a product or data set – but also the presence, impact, and risks associated with that product. これらの各業界において、製品への信頼は非常に重要である。新しいスマート家電を購入するにしても、ウェブサイトビルダーを購読するにしても、購入者は自分のデータが安全に保たれ、データがどのように使用されているかを知らされ、受け取った製品が信頼できる高品質の情報を提供していることを知りたいと考えている。CycloneDX SBOMは、製品やデータセットを変換する依存関係、コンポーネント、プロセスだけでなく、その製品に関連する存在、影響、リスクも提供する。
Machine Learning Bill of Materials (ML-BOM) 機械学習部品表(ML-BOM)
Machine Learning Bill of Materials (ML-BOM) includes documentation of an algorithm’s model and dataset, enabling its creator to provide contributors with assurance of security and privacy, and consumers with transparency on safety and ethical considerations. Even if the SBOM is not publicly distributed, it can serve as a “snapshot” that an organization or creator can refer back to when reassuring contributors that their data is being stored securely and privately, or making consumers aware of the model’s methods and constraints for learning. 機械学習部品表(Machine Learning Bill of Materials:ML-BOM)には、アルゴリズムのモデルとデータセットの文書化が含まれ、プロバイダは貢献者にセキュリティとプライバシーの保証を、消費者には安全性と倫理的配慮に関する透明性を提供することができる。SBOMが一般に配布されない場合でも、組織または作成者が、データが安全かつ非公開で保存されていることを貢献者に安心させるとき、またはモデルの学習方法と制約を消費者に認識させるときに参照できる「スナップショット」として機能することができる。
Manufacturing Bill of Materials (MBOM) 製造部品表(MBOM)
Manufacturing Bill of Materials (MBOM) describes how a product is made, improving upon the concept of a traditional Bill of Materials (BOM). While both document the materials and sources needed to manufacture a product, and both can be used to manually document and identify risks in a supply chain, CycloneDX also documents how a product combines hardware, firmware, software, processes, and testing to create the final product distributed to the customer. This serves as a record of provenance, or the history of the origins and ownership of a product and how it was built. This can reveal potential security compromises or weaknesses in the toolchain, or the product’s ecosystem and the code, components, and processes that enable this. 製造部品表(MBOM)は、従来の部品表(BOM)の概念を改善し、製品がどのように製造されるかを記述する。どちらも製品の製造に必要な材料とソースを文書化するものであり、サプライチェーンにおけるリスクを手作業で文書化し識別するために使用できるが、CycloneDXは、製品がハードウェア、ファームウェア、ソフトウェア、プロセス、テストをどのように組み合わせて顧客に配布される最終製品を作成するかも文書化する。CycloneDXは、製品の出所や所有権、どのように製造されたかの履歴を記録する。これによって、ツールチェーン、製品のエコシステム、これを可能にするコード、コンポーネント、プロセスにおける潜在的なセキュリティ侵害や弱点を明らかにすることができる。
CycloneDX has doubled the number of external references supported in all SBOMs and significantly increased the types of components supported in version 1.5, allowing for a greater degree of documentation and linking than ever before. This expands CycloneDX’s capability to identify vulnerabilities by adding fields that describe risk assessments, threat models, and the outputs from security tools. CycloneDXは、バージョン1.5で、すべてのSBOMでサポートされる外部参照の数を2倍に増やし、サポートされるコンポーネントの種類を大幅に増やし、これまで以上に高度な文書化とリンクを可能にした。これにより、リスクアセスメント、脅威モデル、セキュリティツールからの出力を記述するフィールドが追加され、脆弱性を特定するCycloneDXの機能が拡張された。
Low Code Application Platforms ローコードアプリケーション・プラットフォーム
CycloneDX is introducing the ability to generate SBOMs for Low Code Application Platforms, which are development environments used to create application software through a graphical user interface instead of traditional hand-coded computer programming. Such platforms reduce the amount of traditional hand-coding, enabling accelerated delivery of business applications. Individuals or businesses often outsource key parts of their daily operations, such as e-commerce, scheduling, or contact forms, to these platforms in exchange for a subscription. CycloneDXは、ローコード・アプリケーション・プラットフォーム用のSBOMを生成する機能を導入する。ローコード・アプリケーション・プラットフォームは、従来の手作業によるコンピュータ・プログラミングの代わりに、グラフィカル・ユーザー・インターフェイスを通じてアプリケーション・ソフトウェアを作成するために使用される開発環境である。このようなプラットフォームは、従来の手作業によるコーディングの量を減らし、ビジネス・アプリケーションの迅速な提供を可能にする。個人や企業は、電子商取引、スケジューリング、問い合わせフォームなど、日常業務の重要な部分を、サブスクリプションと引き換えに、これらのプラットフォームにアウトソーシングすることが多い。
Generating a CycloneDX SBOM allows developers writing Low Code Applications to assure their users that their data is secure. In addition, Low Code Platform vendors can now enable SBOM generation from their respective platforms, enabling users who create applications or processes on a Low Code Platform to dynamically receive SBOMs of their own application. CycloneDX SBOMを生成することで、ローコード・アプリケーションを作成する開発者は、データの安全性をユーザーに保証できる。さらに、Low Code Platformベンダーは、それぞれのプラットフォームからSBOMを生成できるようになり、Low Code Platform上でアプリケーションやプロセスを作成するユーザーが、自身のアプリケーションのSBOMを動的に受信できるようになった。
Kubernetes Bill of Materials (KBOM) Kubernetes部品表(KBOM)
Following the release of CycloneDX v1.5, users of Aqua Trivy tool will be able to generate a new type of xBOM: Kubernetes Bill of Materials (KBOM). CycloneDX v1.5のリリース後、Aqua Trivyツールのユーザーは新しいタイプのxBOMであるKubernetes Bill of Materials (KBOM)を生成できるようになる。
KBOM documents the composition of a Kubernetes cluster, creating a manifest of the components, versions, and images within. This affords transparency to software teams who have used a third-party tool or provider to set up and configure their Kubernetes cluster, providing a comprehensive inventory of a cluster’s control plane components, node components, and add-ons. With this information in hand, security and engineering teams can conduct a vulnerability assessment of the components within a Kubernetes cluster, revealing potential threats to the underlying infrastructure of an organization’s software stack. KBOMはKubernetesクラスタの構成を文書化し、コンポーネント、バージョン、イメージのマニフェストを作成する。これにより、Kubernetesクラスタのセットアップと構成にサードパーティのツールやプロバイダを使用したソフトウェアチームには透明性がもたらされ、クラスタのコントロールプレーンコンポーネント、ノードコンポーネント、アドオンの包括的なインベントリが提供される。この情報があれば、セキュリティチームとエンジニアリングチームは、Kubernetesクラスタ内のコンポーネントの脆弱性評価を実施し、組織のソフトウェアスタックの基盤となるインフラに対する潜在的な脅威を明らかにすることができる。
Ideally the tools that install and configure Kubernetes for you would record their actions as KBOM, but in the meantime you can generate KBOM for existing clusters with Trivy by leveraging the Kubernetes API to discover cluster components. 理想的には、Kubernetesのインストールと設定を行うツールが、そのアクションをKBOMとして記録してくれることが望ましいが、それまでは、Kubernetes APIを活用してクラスタコンポーネントを検出することで、Trivyを使って既存のクラスタのKBOMを生成することができる。
CycloneDX Creates a Foundation of Trust with Enhanced SDLC and SAM Support CycloneDXは強化されたSDLCとSAMサポートで信頼の基盤を作る
CycloneDX v1.5 adds new fields related to Software Development Lifecycle (SLDC) and Software Asset Management (SAM), which provide further context to how the SBOM was generated, the accuracy of the data contained within an SBOM, and the nature of an organization’s dependencies on third-party software components. Data in these fields can be used to increase stakeholder confidence in the product security communicated by the SBOM. CycloneDX v1.5では、ソフトウェア開発ライフサイクル(SLDC)とソフトウェア資産管理(SAM)に関連する新しいフィールドが追加され、SBOMの生成方法、SBOMに含まれるデータの正確性、サードパーティのソフトウェアコンポーネントに対する組織の依存関係の性質について、さらなるコンテキストを提供する。これらのフィールドのデータは、SBOMによって伝達される製品セキュリティに対する利害関係者の信頼性を高めるために使用できる。
CycloneDX v1.5 Provides the Most Advanced Licensing Support of Any SBOM Format CycloneDX v1.5は、あらゆるSBOMフォーマットの中で最も高度なライセンスサポートを提供する。
In addition to the comprehensive open-source license support conferred by previous versions, CycloneDX v1.5 adds commercial license support, which enables users to document the license, licensee, licensor, license number, license type, purchase order, renewal date, and expiration date for any dependent component in their project. With a CycloneDX SBOM, users have one central place to see all the licenses they use, where licenses may be missing, and when to renew or replace licenses to keep their product distribution up and running. CycloneDX v1.5では、以前のバージョンで提供されていた包括的なオープンソースライセンスサポートに加えて、商用ライセンスサポートが追加され、ユーザーはプロジェクト内の任意の依存コンポーネントについて、ライセンス、ライセンシー、ライセンサー、ライセンス番号、ライセンスタイプ、購入順序、更新日、および有効期限を文書化できるようになった。CycloneDX SBOMを使用することで、ユーザは、使用するすべてのライセンス、ライセンスが不足している可能性のある場所、およびライセンスの更新または交換のタイミングを確認できる一元的な場所を持ち、製品の配布を維持し続けることができる。
As a product’s lifecycle matures and third-party components transition from planned integrations into actual integrations, CycloneDX users can leverage new fields introduced by version 1.5 to support Software Asset Management (SAM). While the Software Development Lifecycle (SLDC) typically uses tools for open-source license compliance, SAM is more focused on commercial license support and procurement. Documentation of SAM lifecycles is frequently required for enterprise solution adoption among Fortune 500 companies. In addition, storing license data in a CycloneDX SBOM normalizes data for licensing, configurations, renewals, and deployments for software and hardware assets, providing a springboard for organizations to digitally transform their procurement and SAM processes. 製品のライフサイクルが成熟し、サードパーティコンポーネントが計画された統合から実際の統合に移行するにつれて、CycloneDXユーザーは、バージョン1.5で導入された新しいフィールドを活用して、ソフトウェア資産管理(SAM)をサポートすることができる。ソフトウェア開発ライフサイクル(SLDC)は通常、オープンソースライセンスコンプライアンスのためのツールを使用するが、SAMは商用ライセンスのサポートと調達に重点を置いている。SAM ライフサイクルの文書化は、フォーチュン 500 企業がエンタープライズ ソリューションを採用する際に頻繁に要求される。さらに、CycloneDX SBOMにライセンスデータを格納することで、ソフトウェアとハードウェア資産のライセンシング、コンフィギュレーション、更新、およびデプロイメントのデータが正規化され、組織が調達とSAMのプロセスをデジタルに変換するための足がかりとなる。
To learn more about how commercial licensing support confers risk detection and time savings, visit the License Compliance section of the CycloneDX Authoritative Guide to SBOM. 商用ライセンシングのサポートがどのようにリスクの検知と時間の節約をもたらすかについては、CycloneDX の SBOM に関する権威あるガイドのライセンスコンプライアンスのセクションを参照されたい。
OWASP Introduces Comprehensive SBOM Quality Indicators in CycloneDX OWASP、CycloneDXに包括的なSBOM品質指標を導入
CycloneDX v1.5 lifecycle and evidence fields not only indicate the quality of a product, but also trustworthiness of the product’s SBOM itself. OWASP recommends five dimensions of SBOM quality: CycloneDX v1.5のライフサイクルおよびエビデンス・フィールドは、製品の品質だけでなく、製品のSBOM自体の信頼性も示す。OWASPはSBOMの品質について5つの次元を推奨している:
・Breadth - the coverage in the types of data represented in a BOM ・広さ - BOMに表現されるデータの種類の網羅性
・Depth - the amount of detail or difficulty needed to represent data within a BOM ・深さ - BOM内のデータを表現するために必要な詳細度または難易度
・Lifecycles - the number of lifecycles or the favorability of specific lifecycles in the creation of a BOM ・ライフサイクル - BOMの作成におけるライフサイクルの数または特定のライフサイクルの好ましさ
・Techniques - the approaches used to determine component identity ・テクニック - コンポーネントの同一性を判断するために使用されるアプローチ
・Confidence - the confidence of individual techniques, and the analysis of the sum of all techniques used to identify components ・信頼 - 個々の手法の信頼度、およびコンポーネントの識別に使用されるすべての手法の合計の分析。
To date, CycloneDX is the only SBOM format that includes data supporting all five dimensions. 現在までのところ、CycloneDX は 5 つの次元すべてをサポートするデータを含む唯一の SBOM フォーマットである。
SDLC and SAM Support - Communicating Product Quality and Breaking Down Barriers to Product Adoption SDLCとSAMのサポート - 製品品質のコミュニケーションと製品採用の障壁を取り除く
Version 1.5 introduces support for SDLC fields, which communicate the quality of the SBOM by identifying the stage of the product lifecycle in which it was generated. SBOMs created early on in the lifecycle can provide more insight into the planning, decision-making, and quality improvements of the product as it matures. バージョン1.5では、SDLCフィールドのサポートが導入された。SDLCフィールドは、SBOMが生成された製品ライフサイクルの段階を識別することで、SBOMの品質をコミュニケーションする。ライフサイクルの初期に作成された SBOM は、製品が成熟するにつれて、製品の計画、意思決定、および品質改善に対するより多くの洞察を提供することができる。
SBOMs created early on in a product’s lifecycle capture the planning process for components and services that may be used. As the product progresses through the phases of its lifecycle, the SBOM is further populated with source materials, development artifacts, dependencies and components, component source data, build processes, operational status, configurations, potential security issues, and/or lack of security issues. 製品のライフサイクルの初期に作成されたSBOMは、使用される可能性のあるコンポーネントおよびサービスの計画プロセスを把握する。製品がライフサイクルの段階を経るにつれて、SBOMにはさらに、ソース資料、開発成果物、依存関係とコンポーネント、コンポーネントソースデータ、構築プロセス、運用状況、構成、潜在的なセキュリティ問題、および/またはセキュリティ問題の欠如が入力される。
These add to CycloneDX’s existing benefits to SDLC planning by: これらは、CycloneDX の SDLC 計画に対する既存の利点に次のようなものを加える:
・Creating a snapshot of dependencies, vulnerabilities, changes, and licenses when SBOMs are generated at points throughout the product’s lifetime. ・製品のライフタイムを通じて SBOM が生成されるときに、依存関係、脆弱性、変更、およびライセンスのスナップショットを作成する。
・Revealing additional needs for planning or changes during the early lifecycle, especially in regard to licensing and security issues. ・初期のライフサイクルの間に、特にライセンスとセキュリティの問題に関して、計画や変更の追加的な必要性を明らかにする。
・Showing how development teams pivot on risk throughout the product’s lifecycle, removing unnecessary or vulnerable components while retaining those critical to its functionality. ・開発チームが、製品のライフサイクルを通じて、どのようにリスクに軸足を置き、不必要なコンポーネントや脆弱性のあるコンポーネントを削除する一方で、その機能にとって重要なコンポーネントを保持するのかを示す。
・Assisting in the discovery stage of the lifecycle by helping teams discover projects already in operation and the software/hardware assets they utilize. ・チームがすでに稼働しているプロジェクトや、それらが利用しているソフトウェア/ハードウェア資産を発見するのを支援することで、ライフサイクルの発見段階を支援する。
・Assisting in the decommission stage of the lifecycle by providing a list of all components that need to be taken offline with a product, reducing unexpected cost and risk for the organization. ・製品と共にオフラインにする必要があるすべてのコンポーネントのリストをプロバイダに提供することで、ライフサイクルの廃止段階を支援し、組織にとって予期せぬコストとリスクを削減する。
To learn more about support for SDLC and user-defined lifecycles, visit the Lifecycle Phases section of the CycloneDX Authoritative Guide to SBOM. SDLCとユーザ定義のライフサイクルのサポートについて詳しくは、CycloneDXのSBOMのオーソリティガイドのライフサイクルフェーズのセクションを参照。
CycloneDX Reduces Time to Action on Vulnerability Investigation and Software Composition Analysis CycloneDXは脆弱性調査とソフトウェア構成分析のアクションまでの時間を短縮する
There are three things that can soften the impact of unexpected work: advance preparation, early detection, and the ability to take immediate action. Fortunately, CycloneDX v1.5 introduces a diverse new array of fields to assist with this. 予期せぬ作業による影響を和らげるには、事前準備、早期検知、即時対応という3つのポイントがある。幸いなことに、CycloneDX v1.5は、これを支援する多様な新分野を導入している。
Preparing for the Worst - Using CycloneDX to Document the Software Development Life Cycle 最悪の事態に備える - CycloneDXを使用してソフトウェア開発ライフサイクルを文書化する
Using a CycloneDX SBOM to document SDLC planning lays the groundwork for time savings during future Software Composition Analysis (SCA) and/or vulnerability fixes. This will save SCA professionals or members of a software development team countless hours in going back through artifacts to pinpoint the origin and history of a given vulnerability, affording everyone more time and energy to focus on problem-solving. SDLC 計画を文書化するために CycloneDX SBOM を使用することは、将来のソフトウェア構成分析(SCA)および/または脆弱性修正時に時間を節約するための基礎を築く。これにより、SCA の専門家やソフトウェア開発チームのメンバーは、ある脆弱性の起源と履歴を特定するために成果物をさかのぼるのに数え切れないほどの時間を節約することができ、問題解決に集中するための時間とエネルギーを確保することができる。
SCA and Vulnerability Investigation - CycloneDX Surfaces Critical Information SCAと脆弱性調査 - CycloneDXが重要情報を浮上させる
CycloneDX v1.5 adds 3 capabilities which are critical time-savers to investigating the real-world risk and impact of vulnerabilities within a project: CycloneDX v1.5では、プロジェクト内の脆弱性の実際のリスクと影響を調査するための重要な時間節約となる3つの機能が追加された:
・Identity Evidence - proves the identity of a component and its source, improving confidence in the accuracy of the SBOM and the techniques used to determine component identity. ・アイデンティティ証拠 - コンポーネントのアイデンティティとそのソースを証明し、SBOMの精度とコンポーネントのアイデンティティを決定するために使用される技術に対する信頼性を向上させる。
・Occurrences - shows where individual instances of a component are located in the source code for a project, and aggregates those instances into a single component. ・発生 - プロジェクトのソースコードのどこにコンポーネントの個々のインスタンスがあるかを示し、それらのインスタンスを単一のコンポーネントに集約する。
・Call Stack - similar to a stack trace, this identifies if a vulnerable component was called by the application and shows where it was invoked in a nested function call, indicating the reachability of the vulnerable component and what data or functionality may have been impacted. (This field is particularly useful for IAST vendors.) ・コールスタック - スタックトレースと同様に、脆弱性コンポーネントがアプリケーションから呼び出されたかどうかを識別し、ネストされた関数呼び出しのどこで呼び出されたかを示す。(このフィールドは、特に IAST ベンダーにとって有用である)。
Version 1.5 also adds support for proof of concept data on vulnerabilities, which enables software teams to document and demonstrate how a vulnerability could theoretically be exploited. This may include proof of the exploit happening, payloads to trigger the exploit, code for remediation, and additional details on remediation plans. CycloneDX documentation of vulnerability proof-of-concepts saves time on explanation, investigation, and execution when it is time for a vulnerability to be patched, and can serve as documentation of when and why the vulnerability will be patched. This is commonly used for responsible disclosure, which is a transparency and trust measure to make stakeholders aware of existing vulnerabilities when adopting a product. バージョン1.5では、脆弱性に関する概念実証データのサポートも追加され、ソフトウェアチームは、脆弱性が理論的にどのように悪用されるかを文書化し、実証することができる。これには、エクスプロイトが発生することの証明、エクスプロイトをトリガーするペイロード、修復のためのコード、修復計画の追加詳細などが含まれる。CycloneDXが脆弱性の概念実証を文書化することで、脆弱性にパッチを適用する時期になったときに、説明、調査、実行にかかる時間を節約し、脆弱性にパッチを適用する時期や理由を文書化することができる。これは一般的に責任ある情報開示に使用され、製品を採用する際に利害関係者に既存の脆弱性を認識させるための透明性と信頼性の対策となる。
How to start using CycloneDX v1.5 CycloneDX v1.5の使い始め方
・CycloneDX has a rich community of contributors and supporters ready to help you generate your first SBOM or learn how to utilize these new features. It is quick and easy to join, and all new participants are welcome. CycloneDXには、あなたが最初のSBOMを作成したり、これらの新機能を利用する方法を学んだりするのを支援する準備が整った貢献者と支援者の豊かなコミュニティがある。 参加は迅速かつ簡単で、すべての新規参加者を歓迎する。
・The CycloneDX Authoritative Guide to SBOM is a comprehensive manual for those looking to adopt or optimize use of CycloneDX. CycloneDXのSBOMへの権威あるガイドは、CycloneDXの採用または使用の最適化を検討している人のための包括的なマニュアルである。
・CycloneDX is compatible with over 200 tools supporting 20+ programming languages, including Java, Python, Go, and many others. Explore our tool center to find the right one for you. CycloneDXは、Java、Python、Goなど20以上のプログラミング言語をサポートする200以上のツールと互換性がある。 CycloneDXは、Java、Python、Goなど20以上のプログラミング言語をサポートする200以上のツールと互換性がある。
・Read our CycloneDX v1.5 documentation for more details about newly-supported fields and functionality. 新しくサポートされたフィールドや機能の詳細については、CycloneDX v1.5のドキュメントをお読みください。

 

Authoritative Guide to SBOM Implement and Optimize use of Software Bill of Materials

・[PDF

20230702-205546 

 

目次...

About the Guide% ガイドについて
Copyright and License
著作権とライセンス
PREFACE はじめに
INTRODUCTION 序文
Design Philosophy and Guiding Principles 設計理念と指針
Defining Software Bill of Materials ソフトウェア部品表の定義
The Role of SBOM in Software Transparency ソフトウェアの透明性におけるSBOMの役割
High-Level SBOM Use Cases 高レベルのSBOM使用例
xBOM Capabilities xBOMの機能
CYCLONEDX OBJECT MODEL CycloneDXオブジェクトモデル
BOM Identity BOMアイデンティティ
The Anatomy of a CycloneDX BOM CycloneDX BOMの解剖学
Serialization Formats シリアライゼーション形式
LIFECYCLE PHASES ライフサイクルフェーズ
USE CASES 使用例(ユースケース)
Inventory インベントリ
Vulnerability Management 脆弱性管理
Enterprise Configuration Management Database (CMDB) エンタープライズ構成管理データベース(CMDB)
Integrity Verification 完全性の検証
Authenticity 本人認証
License Compliance ライセンスコンプライアンス
Outdated Component Analysis 失効したコンポーネントの分析
Provenance 原産
Pedigree 血統
Foreign Ownership, Control, or Influence (FOCI) 外国人の所有、支配、または影響(FOCI)
Export Compliance 輸出コンプライアンス
Procurement 調達
Vendor Risk Management ベンダーリスクマネジメント
Supply Chain Management サプライチェーン管理
Composition Completeness and "Known Unknowns" 組成物の完全性と "既知の未知"
Formulation Assurance and Verification 配合保証と検証
BOM COVERAGE, MATURITY, AND QUALITY BOMのカバー率、成熟度、品質
NTIA Minimum Elements NTIA最小要素
SCVS BOM Maturity Model SCVS BOM成熟度モデル
SBOM Quality SBOMの品質
GENERATING CYCLONEDX BOMS CycloneDX BOMの生成
Approaches to Generating CycloneDX SBOMs CycloneDX SBOM生成のアプローチ
Generating SBOMs for Source Files ソースファイルのSBOMを生成する
Integrating CycloneDX Into The Build Process ビルドプロセスへのCycloneDXの統合
Generating BOMs at Runtime 実行時にBOMを生成する
Generating BOMs From Evidence (from binaries) エビデンス(バイナリ)からBOMを生成する
Building CycloneDX BOMs Manually CycloneDX BOMを手動でビルドする
CONSUMING CYCLONEDX BOMS CyclonwDX BOMを消費する
LEVERAGING DATA COMPONENTS データコンポーネントを活用する
ESTABLISHING RELATIONSHIPS IN CYCLONEDX サイクロンDXで関係を確立する
Component Assemblies コンポーネントアセンブリ
Service Assemblies サービスアセンブリ
Dependencies 依存関係
External References 外部参照
Establishing Relationships With BOM-Link BOM-Linkで関係を確立する
Pedigree 血統
Formulation 定式化
EVIDENCE エビデンス
Component Identity コンポーネントのアイデンティティ
Recommendations 推奨事項
Occurrences 発生状況
Reachability Using Call Stacks コールスタックを使った到達可能性
License and Copyright ライセンスと著作権
SCENARIOS AND RECOMMENDATIONS シナリオと推奨事項
General Guidance 一般的なガイダンス
Microservice マイクロサービス
Single Application (monolith, mobile app, etc) 単一アプリケーション(モノリス、モバイルアプリなど)
Multi-Product Solution マルチ製品ソリューション
Multi-Module Product マルチモジュール製品
Using Modified Open Source Software 修正オープンソースソフトウェアの使用
SBOM as Resource Locator リソースロケータとしてのSBOM
SBOM in Release Management リリース管理におけるSBOM
EXTENSIBILITY 拡張性
CycloneDX Properties CycloneDXプロパティ
CycloneDX Properties and Registered Namespaces CycloneDXプロパティと登録された名前空間
XML Extensions XML拡張
APPENDIX A: GLOSSARY 附属書A:用語集
APPENDIX B: REFERENCES 附属書B:参考文献

 

序文

Introduction  序文 
CycloneDX is a modern standard for the software supply chain. At its core, CycloneDX is a general- purpose Bill of Materials (BOM) standard capable of representing software, hardware, services, and other types of inventory. The CycloneDX standard began in 2017 in the Open Worldwide Application Security Project (OWASP) community. CycloneDX is an OWASP flagship project, has a formal standardization process and governance model, and is supported by the global information security community.  CycloneDXは、ソフトウェアサプライチェーンのための最新標準である。CycloneDXは、ソフトウェア、ハードウェア、サービス、その他の種類の在庫を表現できる汎用部品表(BOM)標準である。CycloneDX標準は2017年にOpen Worldwide Application Security Project(OWASP)コミュニティで始まった。CycloneDXはOWASPの旗艦プロジェクトであり、正式な標準化プロセスとガバナンスモデルを持ち、グローバルな情報セキュリティコミュニティによってサポートされている。
Design Philosophy and Guiding Principles  設計哲学と指針 
The simplicity of design is at the forefront of the CycloneDX philosophy. The format is easily understandable by a wide range of technical and non-technical roles. CycloneDX is a full-stack BOM format with many advanced capabilities that are achieved without sacrificing the design philosophy. Some guiding principles influencing its design include:  シンプルな設計はCycloneDXの理念の最前線である。CycloneDXのフォーマットは、技術的、非技術的な幅広い役割の人々が容易に理解できるものである。CycloneDXは、設計理念を犠牲にすることなく達成された多くの高度な機能を持つフルスタックBOMフォーマットである。CycloneDXの設計に影響を与えた指針には、次のようなものがある: 
· Be easy to adopt and easy to contribute to  ・採用しやすく,貢献しやすくする
· Identify risk to as many adopters as possible, as quickly as possible  ・できるだけ早く,できるだけ多くの採用者にリスクを識別する。
· Avoid blockers that prevent the identification of risk  ・リスクの特定を妨げるブロッカーを避ける。
· Continuous improvement - innovate quickly and improve over time  ・継続的改善 - 迅速に革新し,時間をかけて改善する。
· Encourage innovation and competition through extensions  ・拡張機能を通じて技術革新と競争を奨励する
· Produce immutable and backward-compatible releases  ・不変かつ後方互換性のあるリリースを作成する
· Focus on high degrees of automation  ・高度な自動化を重視する
· Provide a smooth path to specification compliance through prescriptive design  ・規定設計により,仕様準拠へのスムーズな道筋を提供する
Defining Software Bill of Materials  ソフトウェア部品表の定義 
The U.S. National Telecommunications and Information Administration (NTIA) defines software bill as materials as "a formal, machine-readable inventory of software components and dependencies, information about those components, and their hierarchical relationships." OWASP CycloneDX implements this definition and extends it in many ways, including adding services as a foundational component in a Software Bill of Materials.  米国国家電気通信情報局(NTIA)は、ソフトウェア部品表を "ソフトウェアコンポーネントと依存関係、それらのコンポーネントに関する情報、およびそれらの階層的関係の正式な、機械で読み取り可能なインベントリ "と定義している。OWASP CycloneDXはこの定義を実装し、ソフトウェア部品表における基礎的なコンポーネントとしてサービスを追加するなど、多くの方法でこれを拡張している。
The Role of SBOM in Software Transparency  ソフトウェアの透明性におけるSBOMの役割 
Software transparency involves providing clear and accurate information about the components used in an application, including their name, version, supplier, and any dependencies required by the component. This information helps identify and manage the risks associated with the software whilst also enabling compliance with relevant regulations and standards. With the growing importance of software in our daily lives, transparency is critical to building trust in software and ensuring that it is safe, secure, and reliable.  ソフトウェアの透明性には、アプリケーションで使用されるコンポーネントについて、その名前、バージョン、供給者、コンポーネントが必要とする依存関係など、明確で正確な情報を提供することが含まれる。この情報は、ソフトウェアに関連するリスクの特定とマネジメントに役立つと同時に、関連する規制や標準への準拠を可能にする。日常生活におけるソフトウェアの重要性が高まる中、透明性は、ソフトウェアに対する信頼を構築し、安全、セキュアで信頼できることを保証するために不可欠である。
SBOMs are the vehicle through which software transparency can be achieved. With SBOMs, parties throughout the software supply chain can leverage the information within to enable various use cases that would not otherwise be easily achievable. SBOMs play a vital role in promoting software transparency, allowing users to make informed decisions about the software they use.  SBOMは、ソフトウェアの透明性を実現する手段である。SBOMによって、ソフトウェアのサプライチェーン全体の関係者は、その中の情報を活用して、他の方法では容易に達成できないような様々なユースケースを可能にすることができる。SBOMは、ソフトウェアの透明性を促進する上で重要な役割を果たし、ユーザが使用するソフトウェアについて十分な情報を得た上で意思決定できるようにする。
High-Level SBOM Use Cases  ハイレベルな SBOM の使用例 
A complete and accurate inventory of all first-party and third-party components is essential for risk identification. SBOMs should ideally contain all direct and transitive components and the dependency relationships between them.  ファーストパーティおよびサードパーティの全コンポーネントの完全かつ正確なインベントリは、リスクの特定に不可欠である。SBOMは、理想的には、すべての直接的および推移的なコンポーネントと、それらの間の依存関係を含むべきである。
CycloneDX far exceeds the Minimum Elements for Software Bill of Materials as defined by the National Telecommunications and Information Administration (NTIA) in response to U.S. Executive Order 14028 CycloneDXは、米国大統領令14028に対応して国家電気通信情報局(NTIA)が定義したソフトウェア部品表の最小要素をはるかに超えている。
Adopting CycloneDX allows organizations to quickly meet these minimum requirements and mature into using more sophisticated use cases over time. CycloneDX is capable of achieving all SBOM requirements defined in the OWASP Software Component Verification Standard (SCVS) CycloneDXを採用することで、組織はこれらの最小要件を迅速に満たし、時間の経過とともにより洗練されたユースケースを使用するように成熟することができる。CycloneDXは、OWASPソフトウェアコンポーネント検証標準(SCVS)で定義されているすべてのSBOM要件を達成することができる。
A few high-level use cases for SBOM include:  SBOMのハイレベルなユースケースには、次のようなものがある: 
·       Product security, architectural, and license risk  ・製品のセキュリティ,アーキテクチャ,ライセンスリスク
·       Procurement and M&A  ・調達とM&A
·       Software component transparency  ・ソフトウェア・コンポーネントの透明性
·       Supply chain transparency  ・サプライチェーンの透明性
·       Vendor risk management  ・ベンダーのリスクマネジメント
xBOM Capabilities  xBOM機能 
CycloneDX provides advanced supply chain capabilities for cyber risk reduction. Among these capabilities are:  CycloneDXは、サイバーリスク低減のための先進的なサプライチェーン機能をプロバイダしている。これらの機能には次のようなものがある: 
·       Software Bill of Materials (SBOM)  ・ソフトウェア部品表(SBOM)
·       Software-as-a-Service Bill of Materials (SaaSBOM)  ・ソフトウェア・アズ・ア・サービス部品表(SaaSBOM)
·       Hardware Bill of Materials (HBOM)  ・ハードウェア部品表(HBOM)
·       Machine Learning Bill of Materials (ML-BOM)  ・機械学習部品表(ML-BOM)
·       Operations Bill of Materials (OBOM)  ・オペレーション部品表(OBOM)
·       Manufacturing Bill of Materials (MBOM)  ・製造部品表(MBOM)
·       Bill of Vulnerabilities (BOV)  ・脆弱性部品表(BOV)
·       Vulnerability Disclosure Report (VDR)  ・脆弱性開示レポート(VDR)
·       Vulnerability Exploitability eXchange (VEX)  ・脆弱性悪用可能性交換(VEX)
·       Common Release Notes Format  ・共通リリースノート形式
Software Bill of Materials (SBOM)  ソフトウェア部品表(SBOM) 
SBOMs describe the inventory of software components and services and the dependency relationships between them. A complete and accurate inventory of all first-party and third-party components is essential for risk identification. SBOMs should ideally contain all direct and transitive components and the dependency relationships between them.  SBOMは、ソフトウェアコンポーネントとサービスのインベントリ、およびそれらの間の依存関係を記述する。すべてのファーストパーティコンポーネントとサードパーティコンポーネントの完全で正確なインベントリは、リスクの特定に不可欠である。SBOMは、理想的には、すべての直接的および推移的なコンポーネントと、それらの間の依存関係を含むべきである。
Software-as-a-Service BOM (SaaSBOM)  サービス・アズ・ア・サービスBOM(SaaSBOM) 
SaaSBOMs provide an inventory of services, endpoints, and data flows and classifications that power cloud-native applications. CycloneDX is capable of describing any type of service, including microservices, Service Orientated Architecture (SOA), Function as a Service (FaaS), and System of Systems.  SaaSBOMは、クラウドネイティブなアプリケーションを支えるサービス、エンドポイント、データの流れと分類のインベントリを提供する。CycloneDXは、マイクロサービス、SOA(Service Orientated Architecture)、FaaS(Function as a Service)、System of Systemsなど、あらゆるタイプのサービスを記述できる。
SaaSBOMs complement Infrastructure-as-Code (IaC) by providing a logical representation of a complex system, complete with an inventory of all services, their reliance on other services, endpoint URLs, data classifications, and the directional flow of data between services. Optionally, SaaSBOMs may also include the software components that make up each service.  SaaSBOMは、すべてのサービスのインベントリ、他のサービスへの依存度、エンドポイントURL、データ分類、サービス間のデータの方向フローを含む複雑なシステムの論理的表現を提供することで、Infrastructure-as-Code(IaC)を補完する。オプションとして、SaaSBOMには各サービスを構成するソフトウェアコンポーネントも含めることができる。
Hardware Bill of Materials (HBOM)  ハードウェア部品表(HBOM) 
CycloneDX supports many types of components, including hardware devices, making it ideal for use with consumer electronics, IoT, ICS, and other types of embedded devices. CycloneDX fills an important role in between traditional eBOM and mBOM use cases for hardware devices.  CycloneDXは、ハードウェアデバイスを含む多くの種類のコンポーネントをサポートしており、家電、IoT、ICS、その他の種類の組み込みデバイスでの使用に最適である。CycloneDXは、ハードウェアデバイスの従来のeBOMとmBOMのユースケースの間で重要な役割を果たす。
Machine Learning Bill of Materials (ML-BOM)  機械学習部品表(ML-BOM) 
ML-BOMs provide transparency for machine learning models and datasets, which provide visibility into possible security, privacy, safety, and ethical considerations. CycloneDX standardizes model cards in a way where the inventory of models and datasets can be used independently or combined with the inventory of software and hardware components or services defined in HBOMs, SBOMs, and SaaSBOMs.  ML-BOMは、機械学習モデルとデータセットの透明性を提供し、セキュリティ、プライバシー、安全性、倫理的配慮の可能性を可視化する。CycloneDXは、モデルとデータセットのインベントリをHBOM、SBOM、SaaSBOMで定義されたソフトウェアとハードウェアのコンポーネントやサービスのインベントリと独立して、または組み合わせて使用できる方法でモデルカードを標準化する。
Operations Bill of Materials (OBOM)  運用部品表(OBOM) 
OBOMs provide a full-stack inventory of runtime environments, configurations, and additional dependencies. CycloneDX is a full-stack bill of materials standard supporting entire runtime environments consisting of hardware, firmware, containers, operating systems, applications, and libraries. Coupled with the ability to specify configuration makes CycloneDX ideal for Operations Bill of Materials.  OBOMは、ランタイム環境、構成、および追加の依存関係のフルスタックのインベントリを提供する。CycloneDXは、ハードウェア、ファームウェア、コンテナ、オペレーティングシステム、アプリケーション、ライブラリで構成されるランタイム環境全体をサポートするフルスタックの部品表標準である。コンフィギュレーションを指定する機能と相まって、CycloneDXは運用部品表に最適である。
Manufacturing Bill of Materials (MBOM)  製造部品表(MBOM) 
CycloneDX can describe declared and observed formulations for reproducibility throughout the product lifecycle of components and services. This advanced capability provides transparency into how components were made, how a model was trained, or how a service was created or deployed. In addition, every component and service in a CycloneDX BOM can optionally specify formulation and do so in existing BOMs or in dedicated MBOMs. By externalizing formulation into dedicated MBOMs, SBOMs can link to MBOMs for their components and services, and access control can be managed independently. This allows organizations to maintain tighter control over what parties gain access to inventory information in a BOM and what parties have access to MBOM information which may have higher sensitivity and data classification.  CycloneDXは、コンポーネントやサービスの製品ライフサイクル全体を通して再現性を確保するために、宣言された配合と観察された配合を記述することができる。この高度な機能により、コンポーネントがどのように製造されたか、モデルがどのようにトレーニングされたか、サービスがどのように作成または展開されたかの透明性を提供する。さらに、CycloneDXのBOMに含まれるすべてのコンポーネントとサービスは、オプションで配合を指定することができ、既存のBOMまたは専用のMBOMでそれを行うことができる。定式化を専用のMBOMに外部化することで、SBOMはコンポーネントやサービスのMBOMにリンクでき、アクセス制御を独立して管理できる。これにより組織は、どの関係者が BOM 内のインベントリ情報にアクセスし、どの関係者がより高い機密性とデータ分類を持つ可能性のある MBOM 情報にアクセスするかを、より厳密に管理することができる。
Bill of Vulnerabilities (BOV)  脆弱性情報(BOV) 
CycloneDX BOMs may consist solely of vulnerabilities and thus can be used to share vulnerability data between systems and sources of vulnerability intelligence. Complex vulnerability data can be represented, including the vulnerability source, references, multiple severities, risk ratings, details and recommendations, and the affected software and hardware, along with their versions.  CycloneDXのBOMは脆弱性のみで構成されるため、システム間や脆弱性情報のソース間で脆弱性データを共有するために使用できる。脆弱性のソース、代表者、複数の深刻度、リスク評価、詳細、推奨事項、影響を受けるソフトウェアとハードウェア、およびそれらのバージョンを含む、複雑な脆弱性データを表現することができる。
Vulnerability Disclosure Report (VDR)  脆弱性情報開示レポート(VDR) 
VDRs communicate known and unknown vulnerabilities affecting components and services. Known vulnerabilities inherited from the use of third-party and open-source software can be communicated with CycloneDX. Previously unknown vulnerabilities affecting both components and services may also be disclosed using CycloneDX, making it ideal for Vulnerability Disclosure Report (VDR) use cases. CycloneDX exceeds the data field requirements defined in ISO/IEC 29147:2018 for vulnerability disclosure information.  VDRは、コンポーネントやサービスに影響を及ぼす既知および未知の脆弱性を伝える。サードパーティやオープンソースソフトウェアの使用から継承された既知の脆弱性は、CycloneDXでコミュニケーションできる。CycloneDXは、コンポーネントとサービスの両方に影響する未知の脆弱性も開示できるため、VDR(Vulnerability Disclosure Report)のユースケースに最適である。CycloneDXは、ISO/IEC 29147:2018で定義された脆弱性開示情報のデータフィールド要件を上回っている。
Vulnerability Exploitability eXchange (VEX)  脆弱性悪用可能性交換(VEX) 
VEX conveys the exploitability of vulnerable components in the context of the product in which they're used. VEX is a subset of VDR. Oftentimes, products are not affected by a vulnerability simply by including an otherwise vulnerable component. VEX allows software vendors and other parties to communicate the exploitability status of vulnerabilities, providing clarity on the vulnerabilities that pose a risk and the ones that do not.  VEXは、脆弱なコンポーネントが使用されている製品のコンテキストにおける脆弱性の悪用可能性を伝える。VEXはVDRのサブセットである。多くの場合、脆弱性のあるコンポーネントを含むだけでは、製品は脆弱性の影響を受けない。VEXによって、ソフトウェアベンダーやその他の関係者は、脆弱性の悪用可能性のステータスをコミュニケーションすることができ、リスクをもたらす脆弱性とそうでない脆弱性を明確にすることができる。
Common Release Notes Format  共通のリリースノート形式 
CycloneDX standardizes release notes into a common, machine-readable format. This capability unlocks new workflow potential for software publishers and consumers alike. This functionality works with or without the Bill of Materials capabilities of the specification.  CycloneDXは、リリースノートを機械可読の共通フォーマットに標準化する。この機能により、ソフトウェアパブリッシャとコンシューマは同様に、新しいワークフローの可能性を解き放つ。この機能は、仕様の部品表機能の有無にかかわらず動作する。

 

 

Continue reading "OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)"

| | Comments (0)

2023.07.02

ISO/IEC 27032:2023 サイバーセキュリティ - インターネットセキュリティガイドライン

こんにちは、丸山満彦です。

ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurityが11年たって、タイトルも変わって公表されていますね。。。

また、Previewで見ええる範囲だけですが、変更履歴を見ると、かなり変更されていますね。。。

 

新しいタイトルは...

● ISO

・2023.06 ISO/IEC 27032:2023 Cybersecurity — Guidelines for Internet security

 

主な変更点は、

— the title has been modified; ・タイトルの変更
— the structure of the document has been changed; ・文書の構造の変更
— the risk assessment and treatment approach has been changed, with the addition of content on threats, vulnerabilities and attack vectors to identify and manage the Internet security risks; ・インターネットのセキュリティリスクを特定し,管理するために,脅威,脆弱性,攻撃ベクトルに関する内容の追加
— a mapping between the controls for Internet security cited in 9.2 and the controls contained in ISO/IEC 27002 has been added to Annex A. ・9.2で引用されているインターネットセキュリティ管理策とISO/IEC 27002に含まれる管理策との対応表の 附属書Aへの追加

 

目的

・インターネットセキュリティの脅威に対処するためのガイドライン

例示されているインターネットセキュリティの脅威

— social engineering attacks; ・ソーシャル・エンジニアリング攻撃
— zero-day attacks; ・ゼロデイ攻撃
— privacy attacks; ・プライバシー攻撃
— hacking; and ・ハッキング
— the proliferation of malicious software (malware), spyware and other potentially unwanted software. ・悪意のあるソフトウェア(マルウェア),スパイウェア,その他の望ましくないソフトウェアの拡散。

 

範囲

This document provides: 本文書は以下を提供する:
— an explanation of the relationship between Internet security, web security, network security and cybersecurity; ・インターネットセキュリティ、ウェブセキュリティ、ネットワークセキュリティ、サイバーセキュリティの関係について説明する;
— an overview of Internet security; ・インターネット・セキュリティの概要
— identification of interested parties and a description of their roles in Internet security; ・利害関係者の特定とインターネットセキュリティにおける役割の説明;
— high-level guidance for addressing common Internet security issues. ・インターネットセキュリティの一般的な問題に対処するための高レベルのガイダンス。

 

 

目次...

Foreword まえがき
Introduction 序文
1 Scope 1 適用範囲
2 Normative references 2 引用規格
3 Terms and definitions 3 用語と定義
4 Abbreviated terms 4 略語
5 Relationship between Internet security, web security, network security and cybersecurity 5 インターネットセキュリティ、ウェブセキュリティ、ネットワークセキュリティ、サイバーセキュリティの関係
6 Overview of Internet security 6 インターネットセキュリティの概要
7 Interested parties 7 利害関係者
7.1 General 7.1 一般
7.2 Users 7.2 利用者
7.3 Coordinator and standardization organisations 7.3 調整機関および標準化機関
7.4 Government authorities 7.4 政府当局
7.5 Law enforcement agencies 7.5 法執行機関
7.6 Internet service providers 7.6 インターネット・サービス・プロバイダ
8 Internet security risk assessment and treatment 8 インターネットセキュリティリスクのアセスメントと処置
8.1 General 8.1 一般
8.2 Threats 8.2 脅威
8.3 Vulnerabilities 8.3 脆弱性
8.4 Attack vectors 8.4 攻撃ベクトル
9 Security guidelines for the Internet 9 インターネットのセキュリティガイドライン
9.1 General 9.1 一般事項
9.2 Controls for Internet security 9.2 インターネットセキュリティのためのコントロール
9.2.1 General 9.2.1 一般
9.2.2 Policies for Internet security 9.2.2 インターネットセキュリティのためのポリシー
9.2.3 Access control 9.2.3 アクセス制御
9.2.4 Education, awareness and training 9.2.4 教育、意識向上およびトレーニング
9.2.5 Security incident management 9.2.5 セキュリティインシデント管理
9.2.6 Asset management 9.2.6 資産管理
9.2.7 Supplier management 9.2.7 サプライヤー管理
9.2.8 Business continuity over the Internet 9.2.8 インターネット上での事業継続性
9.2.9 Privacy protection over the Internet 9.2.9 インターネット上での防御
9.2.10 Vulnerability management 9.2.10 脆弱性管理
9.2.11 Network management 9.2.11 ネットワーク管理
9.2.12 Protection against malware 9.2.12 マルウェアからの防御
9.2.13 Change management 9.2.13 変更管理
9.2.14 Identification of applicable legislation and compliance requirements 9.2.14 適用される法律及びコンプライアンス要件の特定
9.2.15 Use of cryptography 9.2.15 暗号の使用
9.2.16 Application security for Internet-facing applications 9.2.16 インターネットに面したアプリケーションのアプリケーションセキュリティ
9.2.17 Endpoint device management 9.2.17 エンドポイントデバイスの管理
9.2.18 Monitoring 9.2.18 監視
Annex A Cross-references between this document and ISO/IEC 27002 附属書 A 本文書と ISO/IEC 27002 との相互参照事項
Bibliography 参考文献

 

2224pxiso_logo_red_squaresvg

 

 


 

ちなみに、ISO/IEC 27000ファミリーの規格等の検討状況(ISO/IEC JTC 1/SC 27/WG 1)・・・ただし、27032はWG1ではない...

 

 JIPDEC 事業紹介 - 事業一覧 - ISMS・ITSMSの普及

国際動向

現在の最新版

・2022.11.01 ISO/IEC 27000ファミリー規格について

20230702-114137

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.25 ISO/IEC 27001:2022 情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティマネジメントシステム - 要求事項

・2022.02.17 ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.06.13 佐藤慶浩さんによる「ISO/IEC 27701「プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張」の解説」

・2020.06.12 ENISA セキュリティ認証スキームになりうる領域の調査 他 WebTrust, ISMS, Common Criteria...

・2020.04.07 ENISAがGood practices on interdependencies between OES and DSPsとISO/IEC 27002, NIST Cybersecurity Framework, Cobit5とのマッピング表を公開しましたね。。。

・2020.04.03 佐藤慶浩さんによる「15分でわかる「ISO/IEC 27701国際規格(プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張-要求事項及び指針)の概要紹介」を講演録」

 

ぐっと時代は遡り...

・2011.02.11 SC27 Platinum Book -Twenty Years of ISO/IEC JTC 1/SC27- Information Security Standardisation

・2009.08.08 JIPDEC ISO/IEC27000ファミリー

 

 

| | Comments (0)

米国 標準からDESがなくなる。。。

こんにちは、丸山満彦です。

NISTがSP800-67 Rev2を2023.12.31限りで廃止するということで、TDEA(3DES)がNISTから消える感じですね。。。

 

NIST - ITL

・2023.06.29 NIST to Withdraw Special Publication 800-67 Revision 2

 

NIST to Withdraw Special Publication 800-67 Revision 2 NIST、特別刊行物800-67改訂2を取り下げへ
NIST will withdraw Special Publication (SP) 800-67 Revision 2, Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher, on January 1, 2024. NISTは、2024年1月1日に特別刊行物(SP)800-67改訂2版「トリプルデータ暗号アルゴリズム(TDEA)ブロック暗号の推奨」を廃止する。
Background 背景
Initially published in 2004, SP 800-67 specifies the Triple Data Encryption Algorithm (TDEA), including its primary component cryptographic engine, the Data Encryption Algorithm (DEA). DEA was originally specified in Federal Information Processing Standards Publication (FIPS) 46, The Data Encryption Standard, which was withdrawn in 2005. TDEA, which uses three DEA keys for its operation, was designed as an interim replacement for DEA. 2004年に初版が発行されたSP 800-67は、トリプルデータ暗号化アルゴリズム(TDEA)を規定しており、その主要コンポーネントである暗号エンジン、データ暗号化アルゴリズム(DEA)を含む。DEAは元々、連邦情報処理標準出版物(FIPS)46「データ暗号化標準」に規定されていたが、2005年に廃止された。TDEAは、DEAの暫定的な代替として設計された。
SP 800-67 was later revised in 2012 and 2017 to require the following limits on the number of data blocks produced: SP 800-67はその後2012年と2017年に改訂され、生成されるデータブロック数に以下の制限を要求している:
220 blocks, when two of the three keys are the same (2TDEA) in 2012, 2012年には、3つのキーのうち2つが同じ場合(2TDEA)、2^20ブロック、
232 blocks, when all three keys are unique (3TDEA) in 2012, and 2012年は、3つのキーのうち2つが同じ場合(2TDEA)、2^20ブロック、3つのキーのすべてが一意の場合(3TDEA)、2^32ブロック、そして
220 blocks, for 3TDEA in 2017. 2017年の3TDEAでは2^20ブロックであった。
The 2017 revision also disallowed the use of 2TDEA. 2017年の改訂では、2TDEAの使用も禁止された。
In 2019, SP 800-131A Rev. 2, Transitioning the Use of Cryptographic Algorithms and Key Lengths, additional limitations were announced on the use of TDEA for applying cryptographic protection (i.e., encryption, key wrapping, and the generation of Message Authentication Codes (MACs)). In particular, this category of use of TDEA will be 2019年のSP 800-131A Rev.2「暗号アルゴリズムと鍵長の使用の移行」では、暗号保護(すなわち、 暗号化、キーラッピング、メッセージ認証コード(MAC)の生成)を適用するためのTDEAの使用に ついて、追加の制限が発表された。特に、このカテゴリーでのTDEAの使用は、20年まですべてのアプリケーションで非推奨となる。
deprecated for all applications through 2023, and 2023年まですべてのアプリケーションで非推奨とする。
disallowed after December 31, 2023. 2023年12月31日以降は認められない。
TDEA will continue to be allowed for the decryption, key unwrapping, and verification of MACs of already-protected data. TDEAは、すでに保護されたデータの復号化、キーのアンラッピング、MACの検証には引き続き許可される。
To reinforce the transition away from TDEA, SP 800-67 Rev. 2 will be withdrawn soon after December 31, 2023. However, SP 800-67 Rev. 2 will remain available online for historical purposes. TDEAからの移行を強化するため、SP 800-67 Rev.2は2023年12月31日以降すぐに廃止される。しかし、SP 800-67 Rev.2は歴史的な目的のためにオンラインで利用可能なままである。
TDEA Validation TDEAの検証
Testing of TDEA through the Cryptographic Algorithm Validation Program (CAVP) will remain available. Per SP 800-131A Rev. 2, any FIPS 140-3 validated modules that include TDEA for applying protection will be moved to the historical list after December 31, 2023. See the Algorithm Historical List Dates expandable table on the Cryptographic Module Validation Program (CMVP) programmatic transitions page for more information about the TDEA transition. 暗号アルゴリズム検証プログラム(CAVP)によるTDEAのテストは引き続き利用可能である。SP 800-131A Rev.2に従い、保護の適用にTDEAを含むFIPS 140-3検証済みモジュールは、2023年12月31日以降、過去のリストに移される。TDEAの移行の詳細については、暗号モジュール検証プログラム(CMVP)のプログラム移行ページのアルゴリズム履歴リストの日付の拡張可能な表を参照のこと。

 

1_20230702023801

 

| | Comments (0)

米国 GAO サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施

こんにちは、丸山満彦です。

米国のGAOが、国家サイバーセキュリティ戦略の立ち上げと実施という報告書を公表しています。2ページですが...

サイバースペース・ソラリウム委員会の勧告に基づき、2021会計年度の国防権限法に基づき設置された国家サイバーセキュリティ長官ですが、、、ことしの2月以降空席となっていますね。。。ってところがつかれています(^^)

まぁ、確かにね。。。

⚫︎ U.S. GAO

・2023.06.29 Cybersecurity:Launching and Implementing the National Cybersecurity Strategy

速報ハイライト

Cybersecurity:Launching and Implementing the National Cybersecurity Strategy サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施
Fast Facts 速報
Federal agency information systems and national critical infrastructure are vulnerable to cyberattacks. 連邦政府機関の情報システムと国家の重要インフラはサイバー攻撃に脆弱である。
This Snapshot covers the status of the National Cybersecurity Strategy. The strategy's goals and strategic objectives provide a good foundation, but the Administration needs to establish specific objectives and performance measures, resource requirements, and roles and responsibilities. このスナップショットでは、国家サイバーセキュリティ戦略の現状を取り上げる。戦略の目標と戦略目標は良い基盤を提供しているが、行政は具体的な目標と成果指標、必要なリソース、役割と責任を確立する必要がある。
It will be difficult to implement the strategy when the specific details have yet to be issued. The continued vacancy in the role of National Cyber Director is also a challenge. まだ具体的な詳細が発表されていない段階で、戦略を実施するのは難しいだろう。国家サイバー長官の空席が続いていることも課題である。
Highlights ハイライト
What GAO Found GAOの調査結果
The fiscal year 2021 national defense authorization act established the Office of the National Cyber Director (ONCD) and the Senate confirmed a National Cyber Director in June 2021 to serve as the principal advisor to the President on cybersecurity policy and strategy. In March 2023, the White House issued the National Cybersecurity Strategy, describing five pillars supporting the nation's cybersecurity: 2021会計年度の国防権限法は国家サイバー長官室(ONCD)を設立し、上院は2021年6月にサイバーセキュリティ政策と戦略に関する大統領の主要顧問として国家サイバー長官を承認した。2023年3月、ホワイトハウスは国家サイバーセキュリティ戦略を発表し、国家のサイバーセキュリティを支える5つの柱について述べた:
・Defend critical infrastructure ・重要インフラを守る
・Disrupt and dismantle threat actors ・脅威行為者を破壊し、解体する。
・Shape market forces to drive security and resilience ・セキュリティとレジリエンスを推進する市場原理を形成する。
・Invest in a resilient future ・レジリエンスの高い未来への投資
・Forge international partnerships ・国際的なパートナーシップを構築する
In April 2023, GAO reported that the goals and strategic objectives included in the document provide a good foundation for establishing a more comprehensive strategy. Specifically, the strategy fully addressed three of six desirable characteristics of a national strategy. However, it only partially addressed the remaining three. These include 2023年4月、GAOは、この文書に含まれる目標と戦略目標は、より包括的な戦略を確立するための良い土台を提供すると報告した。具体的には、同戦略は国家戦略として望ましい6つの特徴のうち3つに完全に対応している。しかし、残りの3つについては部分的にしか対応していない。それらは以下の通りである。
・goals, subordinate objectives, activities, and performance measures; ・目標、下位目標、活動、成果指標;
・resources, investments, and risk management; and ・資源、投資、リスクマネジメント、そして
・organizational roles, responsibilities, and coordination. ・組織の役割、責任、調整である。
ONCD stated it plans to work with federal agencies to develop a plan to implement the strategy, including milestones or performance measures, and to identify budget priorities. It is critical that these details be issued expeditiously so agencies can begin planning and allocating resources to properly execute the strategy. Until the federal government issues the implementation plan and ensures its strategy documents fully address the desirable characteristics of a national strategy, the nation will lack a clear roadmap for overcoming its cyber challenges. ONCDは、マイルストーンや成果指標を含む戦略を実施するための計画を策定し、予算の優先順位を特定するために、連邦機関と協力する予定であると述べた。各機関が戦略を適切に実行するための計画と資源配分を開始できるよう、これらの詳細が迅速に発表されることが重要である。連邦政府が実施計画を発表し、その戦略文書が国家戦略として望ましい特性を完全に満たすことを確認するまで、国家はサイバー課題を克服するための明確なロードマップを欠くことになる。
Additionally, the newly established National Cyber Director position has been vacant since the Director resigned in February 2023. As of July 2023, an acting official continues to carry out the duties. This vacancy leaves unfilled a key leadership role needed to coordinate federal efforts to address cybersecurity threats and challenges. Further, sustained leadership in this position is essential to ensuring strategy execution and accountability. さらに、新設された国家サイバー長官職は、長官が2023年2月に辞任して以来、空席となっている。2023年7月現在、代行者がその職務を続けている。この空席により、サイバーセキュリティの脅威と課題に対処するための連邦政府の取り組みを調整するために必要な重要な指導的役割が未解決のままとなっている。さらに、この役職における持続的なリーダーシップは、戦略の実行と説明責任を確保するために不可欠である。
Why GAO Did This Study GAOがこの調査を行った理由
Federal agencies and our nation's critical infrastructure—such as energy, transportation, communications, and financial services—rely on information systems to carry out fundamental operations. Because of the increasing threats to federal information systems, critical infrastructure, and the privacy of personally identifiable information, GAO has designated ensuring the nation's cybersecurity as a government-wide high risk issue. This designation emphasizes the urgency with which the federal government needs to undertake efforts to address the nation's cybersecurity challenges. Accordingly, Congress established the Office of the National Cyber Director in the White House with the authority to implement and encourage action in support of the nation's cybersecurity. One of this office's responsibilities is developing and implementing a comprehensive national strategy to address cybersecurity threats and challenges. This product summarizes recent GAO reports that assessed the federal government's efforts to establish a national cybersecurity strategy and plans for implementing it. 連邦政府機関およびエネルギー、輸送、コミュニケーション、金融サービスなどの国家の重要インフラは、基本的な業務を遂行するために情報システムに依存している。連邦政府の情報システム、重要インフラ、個人を特定できる情報のプライバシーに対する脅威が増大しているため、GAOは国のサイバーセキュリティの確保を政府全体の高リスク問題として指定した。この指定は、連邦政府が国家のサイバーセキュリティの課題に対処するための取り組みを緊急に行う必要があることを強調している。したがって、議会は、国家のサイバーセキュリティを支援するための行動を実施し、奨励する権限を持つ国家サイバー長官室をホワイトハウスに設置した。このオフィスの責務の一つは、サイバーセキュリティの脅威と課題に対処するための包括的な国家戦略の策定と実施である。本製品は、国家サイバーセキュリティ戦略の確立に向けた連邦政府の取り組みとその実施計画を評価した最近のGAO報告書を要約したものである。

 

・[PDF]

20230727-173205

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2022.10.14 米国 国家安全保障戦略

 

 

| | Comments (0)

2023.07.01

欧州委員会 デジタルユーロの立法案

こんにちは、丸山満彦です。

欧州委員会 (European Commission) がデジタルユーロの立法案を採択したようですね。。。

中国はデジタル元、アメリカはデジタルドル、欧州はデジタルユーロ、日本はデジタル円、、、

C to Cのオンライン決済が増加することによる、一般的な銀行の預金の減少の影響、収益性への影響なども考えられます。また、民間での買い物には、Suica、ID、Paypayなどの民間の電子マネーが利用されているので、その分野との棲み分け、、、国際決済での主導権争い、、など課題はありますが、始めないとね。。。という感じでしょうかね。。。

日本はどこまで議論がすすんでいるんでしたっけ...ここですよね。。。=>金融庁の「デジタル・分散型金融への対応のあり方等に関する研究会

BISの2022年のデータではドルを使った決済は全体の89%、ユーロが31%、日本円が17%、ポンドが13%、中国元が7%(中国元は2019年の4%からら伸びています)

 

European Commission - EU Science Hub

・2023.06.28 A well-designed digital euro would avoid risks for financial stability and banks’ profitability

A well-designed digital euro would avoid risks for financial stability and banks’ profitability うまく設計されたデジタル・ユーロであれば、金融の安定性と銀行の収益性に対するリスクを回避できるだろう
Today the Commission adopted a legislative proposal to introduce a new European digital currency: the digital euro. The JRC has contributed with a research that anticipates and analyses the possible consequences on the financial system. 本日、欧州委員会は新たな欧州デジタル通貨「デジタル・ユーロ」の導入に関する立法案を採択した。JRCは、金融システムに起こりうる影響を予測・分析する研究において貢献した。
The European Commission adopted today a legislative proposal to introduce a new digital form of money in the EU. The creation of a digital euro —equivalent of the physical cash and also issued by the European Central Bank—could play an important role in supporting the EU’s economy in a world that is becoming more and more digital. 欧州委員会は本日、EUに新たなデジタル通貨を導入するための立法案を採択した。物理的な現金に相当し、欧州中央銀行が発行するデジタル・ユーロの創設は、デジタル化が進む世界においてEU経済を支える重要な役割を果たす可能性がある。
But if not properly designed, the digital euro might pose risks to financial stability. しかし、適切に設計されなければ、デジタル・ユーロは金融の安定性にリスクをもたらすかもしれない。
To help prevent any negative impact, scientists of the Joint Research Centre (JRC) have recently publish two reports that anticipate and shed light on the potential consequences: Central bank digital currency and European banks’ balance sheets (published today) and Bank profitability and central bank digital currency. Below, a synopsis of the research outcome. 悪影響を防ぐため、共同研究センター(JRC)の科学者たちは最近、潜在的な影響を予測し、光を当てる2つの報告書を発表した: 中央銀行のデジタル通貨と欧州の銀行のバランスシート」(本日発表)と「銀行の収益性と中央銀行のデジタル通貨」である。以下、研究成果の概要を紹介する。
Effects on the financial system 金融システムへの影響
The reports, authored by the JRC scientific team working on anticipation and analysis of financial risks, in collaboration with the Commission’s department for Economic and Financial Affairs (DG ECFIN), analyse the implication of a retail-only digital euro on banks’ balance sheets and profitability. 金融リスクの予測・分析に携わるJRCの科学チームが、欧州委員会の経済金融局(DG ECFIN)と共同で執筆した報告書は、小売専用のデジタルユーロが銀行のバランスシートと収益性に及ぼす影響を分析している。
The results of the research and the different scenarios modelled acknowledge that a digital euro might divert funding flows from bank deposits. This could threaten one of the most important financial sources of banks and, especially, of smaller banks: households’ deposits. 調査結果とモデル化されたさまざまなシナリオは、デジタル・ユーロが銀行預金から資金の流れを転換させる可能性があることを認めている。これは、銀行、特に中小銀行の最も重要な資金源の一つである家計の預金を脅かす可能性がある。
Impact on banks’ balance sheet 銀行のバランスシートへの影響
Nevertheless, the study found that a digital euro take-up of less than 3 000 euros per household would not pose any significant risks to financial stability. とはいえ、デジタル・ユーロの普及率が1世帯あたり3,000ユーロ未満であれば、金融の安定性に重大なリスクをもたらすことはないだろう。
Higher demand due to a widespread adoption of the digital currency could lead to a shift in funding sources and structural changes in balance sheets (i.e. banks might have to rely on funding sources other than deposits, like increasing the usage of reserves with central bank and/or the wholesale market for funding). デジタル通貨の普及による需要の高まりは、資金調達源のシフトやバランスシートの構造的な変化(すなわち、銀行が中央銀行やホールセール市場での資金調達のための準備金の利用を増やすなど、預金以外の資金調達源に頼らざるを得なくなる可能性)につながる可能性がある。
Consequences on banks’ profitability 銀行の収益性への影響
With regard to small banks —which normally rely mostly on deposits as a source of funding— the challenges could be more substantial. 通常、資金調達源のほとんどを預金に依存している小規模銀行に関しては、課題はより深刻になる可能性がある。
Small banks could face a potential decrease in profitability if demand for the digital euro reaches high levels: in a large-demand scenario, banks’ return on equity (ROE) might go down from an average value of 3.7% to 2.4%, without considering any other adjustment. デジタル・ユーロに対する需要が高水準に達した場合、小規模銀行は収益性の低下に直面する可能性がある。大規模な需要シナリオでは、銀行の株主資本利益率(ROE)は、他の調整を考慮しなくても、平均値3.7%から2.4%に低下する可能性がある。
Macroeconomic implications マクロ経済への影響
The presence of a digital currency generally produces only small changes in the response of the economy to macroeconomic shocks, especially with a cap on digital cash. デジタル通貨の存在は一般的に、マクロ経済ショックに対する経済の反応にわずかな変化しかもたらさない。
In particular, with a cap on digital euro take-up, the macroeconomic impact of a bank run is similar to the case of a cash-only economy. 特に、デジタルユーロの普及に上限を設けた場合、銀行が破綻した場合のマクロ経済への影響は、現金のみの場合と同様である。
Why a Digital Euro? なぜデジタル・ユーロなのか?
The European Central Bank only issues cash money. Cash is, at the moment, the only current form of central bank money available to the public and it is different from “private money” (or the money people have in their bank accounts). But cash alone is not any more sufficient to support the EU’s economy in the digital age. 欧州中央銀行は現金しか発行しない。現金は現在のところ、中央銀行が発行する貨幣の中で唯一一般に利用可能なものであり、「プライベートマネー」(人々が銀行口座に持っているお金)とは異なる。しかし、デジタル時代のEU経済を支えるには、現金だけではもはや十分ではない。
As matter of fact, use of cash has declined consistently, as it does not satisfy today and tomorrow’s payment habits and/or needs, i.e.: it does not have the features required for remote instant payments and does not cater for the same type of demand as digital money (e.g. e-commerce). 実のところ、現金の使用は一貫して減少している。なぜなら、現金は今日および将来の決済習慣やニーズを満たさないからである。すなわち、遠隔地での即時決済に必要な機能を備えておらず、デジタルマネー(電子商取引など)と同じタイプの需要に対応できないからである。
Nowadays, businesses and consumers are shifting their payment preferences towards digital means of payment: card payments, transfers and other types of digital transactions are made through the platforms offered by banks, or other platforms available in the market. 今日、企業や消費者の決済嗜好はデジタル決済手段へと移行している。カード決済、送金、その他の種類のデジタル取引は、銀行が提供するプラットフォームや、市場で利用可能なその他のプラットフォームを通じて行われている。
Therefore, the creation of a European public digital money could play an important role in supporting the EU’s economy in a world that is becoming more and more digital. したがって、欧州公共デジタルマネーの創設は、デジタル化が進む世界においてEUの経済を支える重要な役割を果たす可能性がある。
A digital euro — issued by the European Central Bank and totally equivalent of the cash euros— would preserve the role of public money and it would ensure that central bank money remains present, available and accepted by everyone without affecting the role of cash. 欧州中央銀行が発行し、現金ユーロと完全に等価なデジタル・ユーロは、公的資金の役割を維持し、現金の役割に影響を与えることなく、中央銀行の資金が存在し、利用可能で、誰にでも受け入れられることを保証する。
The Commission’s proposal of supplying public money in digital form would also contribute to strengthening the international role of the euro and Europe’s open strategic autonomy against other currencies, such as third country central bank digital currencies.  In addition, this proposal would enhance the digitalisation of the European economy and reduce costs related to cross-border payments, by ensuring that the euro remains present and influent on financial markets and supports the EU’s economy in the digital age. A possible digital Euro, therefore, needs to be carefully designed to avoid possible risks to financial stability. また、欧州委員会の提案するデジタル形式での公的資金の供給は、ユーロの国際的役割と、第三国中央銀行のデジタル通貨など他の通貨に対する欧州の開かれた戦略的自律性の強化にも貢献する。  さらに、この提案は、ユーロが金融市場に存在し影響力を維持し、デジタル時代のEU経済を支えることを保証することによって、欧州経済のデジタル化を促進し、国境を越えた決済に関連するコストを削減する。したがって、デジタル・ユーロの可能性は、金融の安定性に対するリスクを回避するために慎重に設計される必要がある。
Sources 関連情報
Central bank digital currency and European banks’ balance sheets ・中央銀行のデジタル通貨と欧州の銀行のバランスシート
Bank profitability and central bank digital currency ・銀行の収益性と中央銀行のデジタル通貨
Single Currency Package: new proposals to support the use of cash and to propos… ・単一通貨パッケージ:現金の使用を支援するための新たな提案と、デジタル通貨を導入するための提案...

 

法律案

・[PDF] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the establishment of the digital euro

20230701-194205

・[DOCX] 仮訳

 

 

・2023.06.28 Single Currency Package

・[PDF] Fact Sheet

20230701-140103

 

・2023.06.28 Single Currency Package: new proposals to support the use of cash and to propose a framework for a digital euro

Single Currency Package: new proposals to support the use of cash and to propose a framework for a digital euro 単一通貨パッケージ: 現金の使用を支援し、デジタルユーロの枠組みを提案する新たな提案
The European Commission has today put forward two proposals to ensure that citizens and businesses can continue to access and pay with euro banknotes and coins across the euro area, and to set out a framework for a possible new digital form of the euro that the European Central Bank may issue in the future, as a complement to cash. 欧州委員会は本日、市民や企業がユーロ圏全域で引き続きユーロ紙幣や硬貨を利用し、支払いを行えるようにするための2つの提案と、欧州中央銀行が将来、現金を補完するものとして発行する可能性のある、ユーロの新たなデジタル形式に関する枠組みを提示した。
The euro continues to be a symbol of Europe's unity and strength. Across the euro area and beyond, for more than two decades, people and businesses have been accustomed to paying with euro coins and banknotes. While 60% of people surveyed would like to continue to have the option to use cash, an increasing number of people are choosing to pay digitally, using cards and applications issued by banks and other digital and financial firms. This trend was accelerated by the COVID-19 pandemic. ユーロは、欧州の結束と強さの象徴であり続けている。20年以上にわたって、ユーロ圏全域で、人々や企業はユーロの硬貨や紙幣での支払いに慣れ親しんできた。調査対象者の60%が今後も現金を使う選択肢を持ち続けたいと考えている一方で、銀行やその他のデジタル・金融企業が発行するカードやアプリケーションを使い、デジタル決済を選択する人が増えている。この傾向は、COVID-19の大流行によって加速した。
To reflect these trends, the Commission has today proposed two mutually supportive sets of measures to ensure that people have both payment options, cash and digital when they want to pay with central bank money: こうした傾向を反映するため、欧州委員会は本日、人々が中央銀行の資金で支払いを希望する際に、現金とデジタルの両方の支払い方法を選べるようにするための、相互に支援し合う2つの措置を提案した:
A legislative proposal on the legal tender of euro cash to safeguard the role of cash, ensure it is widely accepted as a means of payment and remains easily accessible for people and businesses across the euro area. ・ユーロ現金の法定通貨に関する立法案は、現金の役割を保護し、ユーロ圏全域の人々や企業にとって、現金が支払手段として広く受け入れられ、引き続き容易に利用できるようにするためのものである。
A legislative proposal establishing the legal framework for a possible digital euro as a complement to euro banknotes and coins. It would ensure that people and businesses have an additional choice – on top of current private options – that allows them to pay digitally with a widely accepted, cheap, secure and resilient form of public money in the euro area (complementing the private solutions that exist today). While today's proposal – once adopted by the European Parliament and Council – would establish the legal framework for the digital euro, it will ultimately be for the European Central Bank to decide if and when to issue the digital euro. ・ユーロ紙幣と硬貨を補完するものとして、デジタルユーロの法的枠組みを確立する立法案。これにより、ユーロ圏で広く受け入れられ、安価で、安全かつレジリエンスに優れた公的通貨を使ったデジタル決済が可能となり、ユーロ圏の人々や企業は、現在の民間決済手段に加え、新たな選択肢を確保することができる(現在存在する民間決済手段を補完する)。本日の提案は、欧州議会と欧州理事会で採択されれば、デジタル・ユーロの法的枠組みを確立することになるが、デジタル・ユーロを発行するかどうか、またいつ発行するかは、最終的には欧州中央銀行が決定することになる。
The Package in detail パッケージの詳細
Legal tender of euro banknotes and coins ユーロ紙幣と硬貨の法定通貨化
Euro cash is ‘legal tender' in the euro area. This proposal aims to set out in legislation what that actually means, with a focus on two ‘A's: acceptance and access. Although acceptance of cash is high on average across the euro area, issues have emerged in some Member States and sectors. Meanwhile, some people have difficulties in accessing cash, for example as a result of closures of ATMs and bank branches. ユーロ圏では、ユーロ紙幣は「法定通貨」である。この提案は、2つの「A」、すなわち「アクセプタンス」と「アクセス」に焦点を当て、それが実際に何を意味するのかを法律で規定することを目的としている。ユーロ圏全体では平均して現金の受け入れは進んでいるが、加盟国や分野によっては問題が生じている。一方、ATMや銀行支店の閉鎖などにより、現金へのアクセスが困難な人々もいる。
Today's proposal aims to safeguard the continued and widespread acceptance of cash throughout the euro area and will also ensure that people have sufficient access to cash to be able to pay in cash if they so wish. 本日の提案は、ユーロ圏全体における現金の継続的かつ広範な受け入れを保護することを目的とし、また、人々が希望すれば現金で支払いができるよう、十分な現金へのアクセスを確保するものである。
Member States will need to ensure widespread acceptance of cash payments, as well as sufficient and effective access to cash. They will need to monitor and report on the situation and take measures to address any problems identified. The Commission could step in to specify measures if needed. 加盟国は、現金での支払いを広く受け入れるとともに、十分かつ効果的な現金へのアクセスを確保する必要がある。加盟国は状況を監視・報告し、識別された問題に対処するための措置を講じる必要がある。必要であれば、欧州委員会が介入して対策を定めることもできる。
The proposal will ensure that everyone in the euro area is free to choose their preferred payment method and has access to basic cash services. It will ensure the financial inclusion of vulnerable groups who tend to rely more on cash payments, such as older people. この提案は、ユーロ圏のすべての人が、自分の好きな支払い方法を自由に選択し、基本的な現金サービスを利用できるようにするものである。また、高齢者など、現金での支払いに依存しがちな脆弱な層の金融包摂を確保することになる。
Digital euro デジタル・ユーロ
To adjust to the increasing digitalisation of the economy, the European Central Bank (ECB) – like many other central banks around the world – is investigating the possibility of introducing a digital euro, as a complement to cash. The digital euro would give consumers an alternative European-wide payment solution, in addition to the options that exist today. This means more choice for consumers and a stronger international role for the euro. 経済のデジタル化の進展に対応するため、欧州中央銀行(ECB)は、世界中の他の多くの中央銀行と同様、現金を補完するものとしてデジタル・ユーロ導入の可能性を調査している。デジタル・ユーロが導入されれば、消費者は現在ある選択肢に加え、欧州全域をカバーする別の決済手段を手に入れることができる。これは、消費者の選択肢を増やし、ユーロの国際的な役割を強化することを意味する。
Like cash today, the digital euro would be available alongside existing national and international private means of payment, such as cards or applications. It would work like a digital wallet. People and businesses could pay with the digital euro anytime and anywhere in the euro area. 現在の現金と同様、デジタル・ユーロは、カードやアプリケーションなど、既存の国内および国際的な民間決済手段と一緒に利用できるようになる。デジタル・ユーロはデジタル・ウォレットのように機能する。人々も企業も、ユーロ圏内であればいつでもどこでもデジタル・ユーロで支払いができる。
Significantly, it would be available for payments both online and offline, i.e. payments could be made from device to device without an internet connection, from a remote area or underground car park. While online transactions would offer the same level of data privacy as existing digital means of payments, offline payments would ensure a high degree of privacy and data protection for users: they would allow users to make digital payments while disclosing less personal data than they do today when making card payments, just like when paying with cash, and the same as what they disclose when they take cash out of an ATM. Nobody would be able to see what people are paying for when using the digital euro offline. つまり、遠隔地や地下駐車場から、インターネットに接続されていないデバイス間で決済を行うことができる。オンライン取引では、既存のデジタル決済手段と同レベルのデータプライバシーが提供される一方、オフライン決済では、利用者の高度なプライバシーとデータ保護が保証されることになる。利用者は、カード決済を行う際に現在より少ない個人データを開示しながらデジタル決済を行うことができ、現金で支払う場合と同様、ATMから現金を引き出す際に開示するものと同じである。オフラインでデジタル・ユーロを使用する際、人々が何に支払っているかは誰にもわからない。
Banks and other payment service providers across the EU would distribute the digital euro to people and businesses. Basic digital euro services would be provided free of charge to individuals. To foster financial inclusion, individuals who do not have a bank account would be able to open and hold an account with a post office or another public entity, such as a local authority. It would also be easy to use, including for persons with disabilities. EU全域の銀行やその他の決済サービスプロバイダが、人々や企業にデジタルユーロを配布する。基本的なデジタル・ユーロ・サービスは、個人には無料で提供される。金融包摂を促進するため、銀行口座を持たない個人は、郵便局や地方自治体などの公的事業体に口座を開設し、保有することができるようになる。また、障害者を含め、利用しやすいものとする。
Merchants across the euro area would be required to accept the digital euro, except very small merchants who choose not to accept digital payments (as the cost to set up new infrastructure to accept payments in digital euro would be disproportionate). ユーロ圏全域の加盟店は、デジタル決済を受け入れないことを選択するごく小規模の加盟店を除き、デジタル・ユーロを受け入れることが義務付けられる(デジタル・ユーロでの決済を受け入れるために新たなインフラを設置するコストは不釣り合いであるため)。
The digital euro could also be a solid basis for further innovation, allowing banks to provide innovative solutions to their clients, for example. また、デジタル・ユーロは、銀行が顧客に革新的なソリューションを提供することを可能にするなど、さらなるイノベーションのための強固な基盤となる可能性もある。
The wide availability and use of digital central bank money would also be important for the EU's monetary sovereignty – particularly if other central banks around the world start developing digital currencies. It is also important against the backdrop of the developing crypto currency market. 中央銀行のデジタル通貨が広く利用可能になり、使用されることは、EUの通貨主権にとっても重要である。また、暗号通貨市場の発展を背景としても重要である。
Today's proposal sets out the legal framework and essential elements of the digital euro, which would enable – once adopted by the European Parliament and Council – the European Central Bank to eventually introduce a digital euro that is widely usable and available. It will be for the ECB to decide if and when to issue the digital euro. This project will require significant further technical work by the ECB. 本日の提案は、デジタル・ユーロの法的枠組みと基本的な要素を定めたものであり、欧州議会と理事会で採択されれば、欧州中央銀行が最終的に、広く利用可能なデジタル・ユーロを導入できるようになる。デジタル・ユーロを発行するかどうか、またいつ発行するかを決定するのはECBである。このプロジェクトには、ECBによる更なる技術的作業が必要となる。
Background 背景
The European Commission has been working closely with the European Central Bank  over the past few years to jointly review at technical level a broad range of policy, legal and technical questions on the digital euro. 欧州委員会は過去数年間、欧州中央銀行と緊密に協力し、デジタル・ユーロに関する政策、法律、技術的な問題を技術的なレベルで共同で検討してきた。
For more information 詳細
Questions and answers 質問と回答
Factsheet ファクトシート
Legal texts 法律文書
Quote(s) 引用
The euro is a clear European success story: a trusted global currency that symbolises our strength, unity and solidarity. However, as more people choose to pay digitally, the euro should reflect and adapt to the digital age. A digital euro would complement cash but not replace it. Today’s proposals will also make sure that cash will continue to be fully available, while allowing the European Central bank to develop, over time, the practical aspects of the digital euro. It would be safe and secure, instant and convenient - online and offline – offering more consumer choice alongside with private digital payment options such as cards and apps. And it would be available for everyone to use, free of charge and with strict data privacy. ユーロは明らかに欧州のサクセスストーリーであり、我々の強さ、結束、連帯を象徴する信頼できるグローバル通貨である。しかし、より多くの人々がデジタル決済を選択する中、ユーロはデジタル時代を反映し、それに適応すべきである。デジタル・ユーロは、現金を補完するものではあっても、それに取って代わるものではない。本日の提案は、欧州中央銀行が時間をかけてデジタル・ユーロの実用的な面を開発することを可能にする一方で、現金が引き続き完全に利用可能であることを保証するものである。デジタル・ユーロは、安全でセキュアで、オンラインでもオフラインでも即座に利用できる便利なものであり、カードやアプリといった民間のデジタル決済手段とともに、消費者の選択肢を広げるものである。そして、誰もが利用でき、無料で、厳重なデータ・プライバシーが保たれる。
Valdis Dombrovskis, Executive Vice-President for an Economy that Works for People - 28/06/2023 バルディス・ドンブロフスキス副大統領(人々のために働く経済担当) - 28/06/2023
Together with our proposal for a legal framework for a digital euro, today we are also taking action to safeguard the role of cash in our society. Sixty percent of Europeans think it is important to keep cash as a payment option, but there is growing evidence of difficulties with both acceptance of cash and access to it. That’s why we are acting to enshrine in EU law the definition of legal tender, to ensure that our citizens can continue to pay in cash throughout the euro area for everyday transactions. デジタル・ユーロの法的枠組みに関する我々の提案とともに、我々は今日、我々の社会における現金の役割を守るための行動も取っている。欧州の人々の60%は、支払い手段として現金を維持することが重要であると考えているが、現金の受け入れや現金へのアクセスの両方が困難であるという証拠が増えつつある。だからこそ我々は、EU法に法定通貨の定義を明記することで、市民が日常的な取引においてユーロ圏全域で現金での支払いを継続できるようにするために行動しているのである」。
Paolo Gentiloni, Commissioner for Economy - 28/06/2023 パオロ・ジェンティローニ 経済担当委員 - 2023年6月28日
Bringing the euro into the digital age is an important European project. By complementing cash, I have no doubt that a digital euro will bring advantages to citizens and businesses across the EU. But I am aware that it requires peoples’ trust and confidence. Today’s proposal will help frame the debate around what a digital euro is and the advantages of creating it. We are at the beginning of a long democratic process, one which will be done hand-in-hand with the European Parliament, Council – and of course, the European Central Bank, who will decide if and when to introduce the digital euro. ユーロをデジタル時代に移行させることは、欧州の重要なプロジェクトである。現金を補完することで、デジタルユーロがEU全域の市民と企業にメリットをもたらすことは間違いない。しかし、そのためには国民の信頼と信用が必要であることも承知している。本日の提案は、デジタル・ユーロとは何か、また、デジタル・ユーロを創設することの利点は何かをめぐる議論の枠組みとなるだろう。欧州議会、欧州理事会、そしてもちろん、デジタル・ユーロを導入するかどうか、またいつ導入するかを決定する欧州中央銀行と手を携えて行われるであろう。
Mairead McGuinness, Commissioner for Financial Services, Financial Stability and Capital Markets Union - 28/06/2023 メイリード・マクギネス 金融サービス・金融安定・資本市場同盟担当委員 - 2023年6月28日
The digital euro will further strengthen the international role of the euro and provide consumers and businesses with a further, universal, digital payment solution. It will trigger new opportunities in terms of faster, safer and more innovative payments, all while ensuring the highest level of privacy for its users. デジタル・ユーロは、ユーロの国際的な役割をさらに強化し、消費者と企業にさらなる普遍的なデジタル決済ソリューションを提供する。デジタル・ユーロは、利用者の最高レベルのプライバシーを確保しつつ、より速く、より安全で、より革新的な決済という点で、新たな機会をもたらすだろう」。
Thierry Breton, Commissioner for Internal Market - 28/06/2023 ティエリー・ブルトン 欧州委員会域内市場担当委員 - 28/06/2023

 

Q&A

・2023.06.28 Questions and answers on the Single Currency Packag

Questions and answers on the Single Currency Packag 単一通貨パッケージに関する質問と回答
Legal tender of cash 現金の法定通貨
What is ‘legal tender' of euro banknotes and coins? ユーロ紙幣と硬貨の「法定通貨」とは何か?
According to a judgment by the European Court of Justice in January 2021, legal tender entails, in principle, the mandatory acceptance of cash, at full face value, with the power to discharge from a payment obligation. This means that the creditor is in principle obliged to accept a payment made in euro cash, in the absence of an agreement on other means of payment, which subsequently discharges the debtor from his payment obligation. 2021年1月の欧州司法裁判所の判決によると、法定通貨は原則として、支払義務を免除する力を持つ現金を額面金額全額で強制的に受け入れることを意味する。つまり、債権者は、他の支払手段に関する合意がない限り、原則としてユーロ現金による支払を受諾する義務を負い、その結果、債務者は支払義務を免れることになる。
There can be exceptions to this principle of mandatory acceptance, for instance where the parties to a contract agree on another means of payment, or where a refusal of cash is made in good faith. Limits to cash payments are also possible for example to combat tax fraud and evasion. この受諾義務の原則には例外があり、たとえば契約当事者が他の支払手段について合意している場合や、善意で現金を拒否した場合などがある。また、不正行為や脱税に対抗するために、現金での支払いを制限することも可能である。
Currently, only euro banknotes and coins have legal tender status in the euro area. This is why the draft digital euro regulation proposes, among others, to grant legal tender status to the future digital form of the single currency. 現在、ユーロ圏で法定通貨としての地位を有するのはユーロ紙幣と硬貨のみである。そのため、デジタル・ユーロ規制のドラフトでは、特に、将来的にデジタル化される単一通貨に法定通貨としての地位を与えることを提案している。
Why is the Commission acting on this now? なぜ欧州委員会は今、このようなことに取り組んでいるのだろうか。
Under EU law, euro cash is protected as legal tender in the euro area. The proposal codifies and clarifies the judgment by the European Court of Justice in January 2021 which sets out the principles of legal tender. In view of the establishment and potential issuance by the ECB of a digital euro with legal tender status, it is also important to regulate the meaning of legal tender for the existing physical form of the euro to ensure consistency among the two forms of public money. In addition, this proposal seeks to address issues concerning the acceptance of cash that have recently emerged, which can lead to confusion for citizens wanting to pay in cash, as well as concerns which have been raised in a number of Member States about difficulties in accessing cash. EU法の下では、ユーロ圏ではユーロの現金は法定通貨として保護されている。この提案は、法定通貨の原則を定めた2021年1月の欧州司法裁判所の判決を成文化し、明確化するものである。ECBが法定通貨としての地位を有するデジタル・ユーロを創設し、発行する可能性があることを考慮すると、2つの形態の公的通貨間の整合性を確保するため、既存の物理的形態であるユーロの法定通貨の意味を規制することも重要である。加えて、本提案は、現金での支払いを希望する市民の混乱を招きかねない、最近浮上した現金の受け入れに関する問題や、現金へのアクセスが困難であるとの懸念が多くの加盟国で提起されていることにも対処しようとするものである。
What are the objectives of the proposal? 提案の目的は何か?
The main objective of the proposal is to safeguard euro cash as a means of payment, so that people will continue to be able to use it for their payments if they so wish. To achieve this, the proposal clarifies what legal tender means, and sets out the rules for the mandatory acceptance of cash and possible limited exceptions to it. In addition, it also sets out what Member States need to do in order to ensure that cash is widely accepted and easily accessible. この提案の主な目的は、支払い手段としてのユーロ現金を保護することであり、人々が希望すれば、引き続き支払いにユーロ現金を使用できるようにすることである。これを達成するために、本提案では法定通貨とは何かを明確にし、現金の強制的な受け入れと、その例外となりうる限定的なルールを定めている。さらに、現金が広く受け入れられ、容易に利用できるようにするために、加盟国が何をすべきかについても定めている。
How does the proposal safeguard the acceptance of – and access to – cash? この提案は、現金の受け入れと現金へのアクセスをどのように保護するのか?
It is important to ensure that the principle of mandatory acceptance of cash is not undermined by the unilateral imposition of ‘no-cash' policies on consumers by businesses. Therefore, this Regulation will require Member States to monitor cash acceptance levels and the levels of cash refusals, to report them to the Commission and the European Central Bank and to take measures if acceptance of cash is not ensured. As a safeguard, the Commission can require a Member State to take measures where that Member State has taken no or insufficient action. 企業による消費者への一方的な「現金禁止」政策の押し付けによって、現金の強制的受け入れの原則が損なわれないようにすることが重要である。そのため、本規則は、加盟国に対し、現金の受け入れレベルと現金拒否のレベルを監視し、欧州委員会と欧州中央銀行に報告し、現金の受け入れが確保されない場合には措置を講じることを義務付ける。セーフガードとして、欧州委員会は、加盟国が何の対策も講じていない、あるいは不十分である場合には、加盟国に対策を講じるよう求めることができる。
Similarly, sufficient and effective access to cash is key to ensure its use: if people do not have access to cash, they will not be able to pay with it. Therefore, this Regulation will also introduce an obligation on Member States to monitor cash access levels throughout their territory, to report to the Commission and European Central Bank and to take measures if sufficient and effective access to cash is not ensured. As a safeguard, the Commission can require a Member State to take measures where that Member State has taken no, or insufficient, action. 同様に、現金の利用を確保するためには、十分かつ効果的な現金へのアクセスが重要である。そのため、この規則では、加盟国に対し、自国の領域全体における現金へのアクセスレベルを監視し、欧州委員会と欧州中央銀行に報告し、十分かつ効果的な現金へのアクセスが確保されていない場合には措置を講じる義務を課す。セーフガードとして、欧州委員会は、加盟国が何の対策も講じていない、あるいは不十分である場合には、加盟国に対策を講じるよう求めることができる。
How does the proposal contribute to financial inclusion? 提案は金融包摂にどのように貢献するのか?
The proposal aims to preserve the financial inclusion of vulnerable groups who tend to rely more on cash payments, such as older people, those with lower incomes or digital skills, or those without bank accounts such as asylum seekers and refugees. It will ensure that everyone in the euro area is free to choose their preferred payment method and has access to basic cash services. この提案は、高齢者、低所得者、デジタルスキルの低い人々、亡命者や難民など銀行口座を持たない人々など、現金決済に依存する傾向が強い脆弱な層の金融包摂を維持することを目的としている。これにより、ユーロ圏のすべての人々が自由に支払い方法を選択し、基本的な現金サービスを利用できるようになる。
What is the legal basis of the proposal? この提案の法的根拠は何か?
Within the euro area, only the euro has the status of legal tender. Article 128 (1) TFEU lays down the legal tender status of euro banknotes, and article 11 of Regulation EC/974/98 does so with regard to euro coins. ユーロ圏内では、ユーロのみが法定通貨としての地位を有する。TFEU第128条(1)はユーロ紙幣の法定通貨としての地位を定めており、EC/974/98規則の第11条はユーロ硬貨について定めている。
Today's proposal is based on Article 133 TFEU, which provides for the adoption of measures necessary for the use of the euro as the single currency. This Treaty provision reflects the need to establish uniform principles for all Member States whose currency is the euro, in order to safeguard the overall interests of the Economic and Monetary Union and of the euro as the single currency. In accordance with Article 3 (1) (c) TFEU, the EU has an exclusive competence in the area of monetary policy for the Member States whose currency is the euro. 本日の提案は、ユーロを単一通貨として使用するために必要な措置の採用をプロバイダとして定めたTFEU133条に基づいている。この条約の規定は、経済通貨同盟と単一通貨としてのユーロの全体的な利益を守るために、ユーロを通貨とするすべての加盟国に対して統一原則を確立する必要性を反映している。TFEU第3条(1)(c)に従い、EUはユーロを通貨とする加盟国に対して、金融政策の分野における排他的権限を有する。
What are the next steps? 次のステップは何か?
The Regulation is subject to the ordinary legislative procedure, which means that both the European Parliament and the Council must now consider, amend and adopt it before it enters into force. Once the Regulation enters into force, all Member States in the euro area will be required to monitor acceptance of and access to cash in their territory, to report the results of their assessment annually to the Commission and the European Central Bank and to take remedial measures if necessary. 同規則は通常の立法手続きの対象となる。つまり、発効前に欧州議会と理事会の双方で検討、修正、採択されなければならない。同規則が発効すると、ユーロ圏の全加盟国は、自国の領域における現金の受け入れとアクセスを監視し、評価結果を欧州委員会と欧州中央銀行に毎年報告し、必要に応じて改善措置を講じることが義務付けられる。
Digital euro デジタル・ユーロ
What would the digital euro be? デジタル・ユーロとはどのようなものか?
The digital euro would be a ‘central bank digital currency' issued by the European Central Bank and available to the general public. It would be exactly like cash, just in a digital version. Like cash, each digital euro held by consumers would be directly backed by the European Central Bank. It would be distributed to citizens and businesses by banks and other payment service providers. デジタル・ユーロは、欧州中央銀行が発行し、一般市民が利用できる「中央銀行のデジタル通貨」となる。デジタル版というだけで、現金とまったく同じである。現金と同様、消費者が保有するデジタル・ユーロは、欧州中央銀行によって直接裏付けされる。銀行やその他の決済サービスプロバイダによって、市民や企業に配布される。
Unlike crypto-assets, the digital euro would be central bank money. The European Central Bank would guarantee that it is safe, that it keeps a stable value, and that it can be exchanged at face value for euro cash. By contrast, crypto-assets can fluctuate significantly in value and their exchange into euro cash or even commercial bank money cannot be guaranteed. 暗号資産とは異なり、デジタル・ユーロは中央銀行の貨幣となる。欧州中央銀行は、ユーロの安全性、安定した価値、ユーロ現金との額面での交換を保証する。これとは対照的に、暗号資産は価値が大きく変動する可能性があり、ユーロの現金や商業銀行の貨幣との交換さえ保証されない。
Why do we need a digital euro? なぜデジタル・ユーロが必要なのか?
The euro has been a symbol of Europe's unity and strength since its inception 25 years ago. While cash is still prevalent and will remain widely accessible and accepted, more and more citizens and businesses choose to pay electronically. In this context, the digital euro has several objectives: ユーロは25年前に誕生して以来、ヨーロッパの結束と強さの象徴である。現金は依然として普及しており、今後も広く利用され受け入れられるだろうが、電子決済を選択する市民や企業はますます増えている。このような背景から、デジタル・ユーロにはいくつかの目的がある:
・To ensure that people, businesses and public entities continue to have access to a public form of digital money for payments, which is accessible and accepted everywhere in the euro area, at any time (as opposed to only relying on private solutions); ・国民、事業体、公共団体が、ユーロ圏のあらゆる場所でいつでもアクセスでき、受け入れられる(民間のソリューションだけに頼るのとは対照的な)、決済用の公的なデジタルマネーへのアクセスを確保し続けること;
・To make available a form of digital money which ensures the same level of privacy as cash (unlike existing digital payments solutions) and is accessible to all citizens, including those without bank accounts; ・既存のデジタル決済ソリューションとは異なり)現金と同レベルのプライバシーが確保され、銀行口座を持たない人を含むすべての国民がアクセス可能なデジタルマネーを利用できるようにする;
・To promote innovation and competition in retail payments, including by enabling banks and other payment providers to develop new solutions for their customers; ・銀行やその他の決済プロバイダが顧客のために新たなソリューションを開発できるようにするなど、リテール決済におけるイノベーションと競争を促進する;
・To support Europe's open strategic autonomy and reinforce the international role of the euro. ・欧州の開かれた戦略的自治を支援し、ユーロの国際的役割を強化する。
Many central banks around the world are currently exploring the issuance of central bank digital currencies, and a growing number of countries have already issued such currencies. 現在、世界中の多くの中央銀行が中央銀行デジタル通貨の発行を検討しており、すでに発行している国も増えている。
Stablecoins and other crypto-assets that are not denominated in euro, if widely used for payments, could also undermine the stability of our monetary system. It is therefore important to establish a digital form of the euro to ensure that people, businesses, and public entities continue to have access to a public form of money in euro which is accessible and accepted everywhere in the euro area and at any time. The digital euro would also make it easier for people to pay throughout the euro area. It would bring a cash-like experience to digital payments by allowing users to pay and transfer money with a high degree of privacy, and unlike many other digital payment solutions, even without an internet connection. ステーブルコインやユーロ建てでないその他の暗号資産も、決済に広く使用されれば、通貨システムの安定性を損なう可能性がある。したがって、ユーロのデジタル版を確立することは、ユーロ圏のあらゆる場所で、いつでもアクセスでき、受け入れられるユーロ建ての公的通貨を、国民、企業、重要事業体が引き続き利用できるようにするために重要である。デジタル・ユーロはまた、ユーロ圏全域での支払いを容易にする。他の多くのデジタル決済ソリューションとは異なり、インターネットに接続されていなくても、高度なプライバシーを保ちながら支払いや送金を行うことができるため、デジタル決済に現金のような体験をもたらすだろう。
What would the added value of a digital euro be compared to existing private digital payments solutions, such as cards and mobile payments? デジタル・ユーロの付加価値は、カードやモバイル・ペイメントといった既存の民間デジタル・ペイメント・ソリューションと比較してどうなるのか?
Digital payments wherever you are in the euro area: The digital euro would be a single means of payment usable throughout the euro area, regardless of where payers are located and which commercial bank or payment service provider they use. Users will be able to pay anytime, everywhere across the euro area, and payments will be sent and received instantly 24/7, 365 days a year. Today, not all private digital solutions work seamlessly across the EU. ユーロ圏のどこにいてもデジタル決済ができる: デジタル・ユーロは、支払者がどこにいても、どの商業銀行や決済サービス・プロバイダを利用していても、ユーロ圏全域で利用可能な単一の決済手段となる。利用者はユーロ圏のどこにいても、いつでも支払いが可能になり、支払いは365日24時間いつでも即座に送受信されるようになる。現在、すべての民間デジタル・ソリューションがEU全域でシームレスに機能しているわけではない。
Possibility to pay digitally even without access to the internet: The digital euro could be used to send money for payments, even in the absence of an internet connection, if you are physically close to the other party of the transaction, whether another person or a shop (so-called “offline digital euro”). Consumers, businesses, and public entities would be able to make and receive payments even in remote areas with unreliable internet connection, and in case of a shortage of communication networks or power infrastructures.  インターネットにアクセスできなくても、デジタル決済が可能になる: デジタル・ユーロは、インターネットに接続されていなくても、取引の相手方(他人であれ店であれ)に物理的に近ければ、支払いのための送金に使用できる(いわゆる「オフライン・デジタル・ユーロ」)。消費者、事業体、公的機関は、インターネット接続が不安定な遠隔地や、通信ネットワークや電力インフラが不足した場合でも、支払いのやり取りができるようになる。 
More choice for consumers: The digital euro would complement existing private digital payment solutions. It brings more choice to consumers, who would be able to choose among all available payment solutions depending on their needs, preferences and circumstances. 消費者の選択肢が増える: デジタル・ユーロは、既存の民間デジタル決済ソリューションを補完するものである。消費者は、ニーズや嗜好、状況に応じて、利用可能なあらゆる決済ソリューションの中から選択することができるようになる。
Possibility to pay digitally even if you do not have a bank account: the digital euro would foster digital and financial inclusion, thereby contributing to cutting the digital divide by allowing individuals without bank accounts to make or receive digital payments, and to access basic functionalities free of charge. Such functionalities would include converting cash into digital euro and vice versa. 銀行口座を持っていなくてもデジタル決済が可能:デジタル・ユーロはデジタル・インクルージョンと金融インクルージョンを促進し、銀行口座を持っていない個人でもデジタル決済を行ったり、受け取ったり、基本的な機能を無料で利用できるようにすることで、デジタル・デバイドの解消に貢献する。このような機能には、現金からデジタル・ユーロへの変換や、その逆も含まれる。
Enhanced privacy for users: The digital euro would enable users to make digital payments while ensuring their data is protected. When using the digital euro offline, the privacy of the user is the same as when they use cash. 利用者のプライバシーの保護: デジタル・ユーロは、利用者のデータ保護を確保しつつ、デジタル決済を可能にする。オフラインでデジタル・ユーロを使用する場合、利用者のプライバシーは現金を使用する場合と同じである。
Who would issue the digital euro and when? 誰がいつデジタル・ユーロを発行するのか?
If adopted, the legislative proposal would regulate the essential elements of a possible digital euro. After the adoption of the proposal by the European Parliament and Council, the European Central Bank would need to take the final decision on the issuance of a digital euro. This is likely still a number of years away (at least not before 2028). Consumers would receive digital euro either from their commercial banks or payment service providers, or from public bodies designated by Member States, in exchange for deposits or euro cash. The digital euro would be issued by the European Central Bank and the national central banks of euro area Member States. この立法案が採択されれば、デジタル・ユーロの本質的な要素が規制されることになる。欧州議会と欧州理事会による提案の採択後、欧州中央銀行がデジタル・ユーロの発行について最終決定を下す必要がある。これはまだ何年も先のことになりそうだ(少なくとも2028年までには実現しない)。消費者は、預金やユーロ現金と引き換えに、商業銀行や決済サービスプロバイダー、あるいは加盟国が指定する公的機関からデジタルユーロを受け取ることになる。デジタル・ユーロは、欧州中央銀行とユーロ圏加盟国の中央銀行が発行する。
Would the digital euro replace cash, if adopted? デジタル・ユーロが採用された場合、現金に取って代わるのか?
No. The digital euro would complement euro banknotes and coins, not replace them. People, businesses and public entities would have the choice to pay in euro banknotes and coins, other private electronic means of payment, or in the digital euro. いや、デジタル・ユーロはユーロ紙幣や硬貨を補完するものであって、それらに取って代わるものではない。国民、事業体、公的機関は、ユーロ紙幣や硬貨、その他の民間の電子決済手段、あるいはデジタル・ユーロでの支払いを選択できるようになる。
Today's proposal on legal tender would ensure that euro cash remains widely accepted for payments and easily accessible for people, businesses and public entities across the euro area. 法定通貨に関する本日の提案は、ユーロの現金が引き続き広く支払いに利用され、ユーロ圏全域の人々、事業体、公的機関が容易にアクセスできることを保証するものである。
How much would the digital euro cost? Would I need to pay a fee to open a digital euro account, send money abroad, or withdraw cash at an ATM from my digital euro account? デジタル・ユーロにはいくらかかるのか?デジタル・ユーロ口座を開設したり、海外送金したり、デジタル・ユーロ口座からATMで現金を引き出したりするのに、手数料は必要なのか?
Basic services for end users such as opening and closing a digital euro account, consulting balances, funding and defunding your digital euro account, and making transfers and payments would be provided free of charge. デジタル・ユーロ口座の開設・解約、残高照会、デジタル・ユーロ口座への入金・出金、送金・支払といったエンドユーザー向けの基本サービスは無料で提供される。
Similarly to current payment services, users of a digital euro would not face fees when making purchases in digital euro, whether nationally or across border. Banks could only charge their customers for the commercial bank accounts to which the digital euro may be linked, and for voluntary, non-basic services such as conditional payments. 現在の決済サービスと同様に、デジタル・ユーロの利用者は、国内であれ国境を越えてであれ、デジタル・ユーロで買い物をする際に手数料を取られることはない。銀行が顧客に手数料を課すことができるのは、デジタル・ユーロをリンクさせることができる商業銀行口座と、条件付き決済のような自発的で基本的でないサービスに限られる。
How would a digital euro support financial inclusion? Would the digital euro be able to be used offline? デジタル・ユーロはどのように金融包摂を支援するのか? デジタル・ユーロはオフラインでも使えるのか?
To support financial inclusion, the digital euro would be easy to use, available everywhere and at any time, and free of charge for basic use. 金融包摂を支援するために、デジタル・ユーロは使いやすく、いつでもどこでも利用でき、基本的な利用は無料とする。
All commercial banks providing payment account services would be required to provide basic digital euro payment services upon request. In addition, some public entities – such as local and regional authorities and postal offices – would also distribute the digital euro to users that do not wish to open a digital euro account linked to a bank or another other payment services providers. This would allow people without bank accounts to access the digital euro. 決済口座サービスを提供するすべての商業銀行は、要請に応じて基本的なデジタルユーロ決済サービスを提供することが義務付けられる。さらに、地方公共団体や郵便局など一部の公的事業体は、銀行や他の決済サービスプロバイダーと連携したデジタルユーロ口座の開設を希望しない利用者にもデジタルユーロを配布する。これにより、銀行口座を持たない人々もデジタル・ユーロにアクセスできるようになる。
The digital euro would be simple and easy to handle, including for persons with disabilities, functional limitations or limited digital skills, and older persons, in line with Directive (EU) 2019/882 (European Accessibility Act). デジタルユーロは、指令(EU)2019/882(欧州アクセシビリティ法)に従い、障害者、機能制限者、デジタルスキルに制限のある人、高齢者を含め、シンプルで扱いやすいものとなる。
Finally, it would be possible to make transactions in digital euro without an internet connection (“offline use”) – an important feature in areas with poorer access to online services or in cases of power outage for example.  Indeed, it would be possible to hold digital euro locally stored on electronic devices, i.e. “offline” digital euros. 最後に、インターネットに接続しなくてもデジタルユーロの取引が可能になる(「オフライン利用」)。  実際、電子機器にローカルに保存されたデジタル・ユーロ、すなわち「オフライン」デジタル・ユーロを保有することも可能になる。
Who would have access to my personal data and for what purpose? How would my data be protected?  誰がどのような目的で私の個人データにアクセスできるのか?私のデータはどのように防御されるのか? 
Your personal data would be accessed and processed mainly by the bank or payment service provider with whom you hold a digital euro account. As is already the case with private payment accounts today, your bank needs access to your personal data to manage your payment account, carry out payments and prevent fraud and money laundering. 個人データは、主にデジタル・ユーロ口座を持っている銀行または決済サービス・プロバイダによってアクセスされ、処理される。現在、個人の決済口座ですでに行われているように、銀行はあなたの決済口座を管理し、決済を行い、詐欺やマネーロンダリングを防止するために、あなたの個人データにアクセスする必要がある。
For online payments with the digital euro, your bank would only have access to the personal data needed to perform your payment and to prevent fraud and to fight money laundering, as is already the case today for other digital means of payment.  デジタル・ユーロを使ったオンライン決済の場合、銀行がアクセスできるのは、他のデジタル決済手段と同様、決済の実行、不正行為の防止、マネーロンダリングの防止に必要な個人データのみとなる。 
With the offline use of the digital euro, your bank would see the same level of data it sees when you use cash. Your bank would only have access to the personal data that is needed when you deposit or withdraw digital euros from/to your digital euro accounts, to load digital euros onto your local storage devices, or to unload them from the local storage devices into your digital euro account. This high degree of privacy is the same as when you withdraw banknotes at automatic teller machines (ATMs), where payment service providers process personal data related to a user's identity and the funds / accounts that are accessed to take cash out.  When using the digital euro offline, your bank would not be able to access details about transactions - in the same way the bank does not know how you use the cash you have withdrawn from an ATM. デジタル・ユーロをオフラインで使用する場合、あなたの銀行は、あなたが現金を使用するときと同じレベルのデータを見ることになる。銀行が個人データにアクセスできるのは、デジタル・ユーロをデジタル・ユーロ口座に入出金するとき、デジタル・ユーロをローカル・ストレージ・デバイスにロードするとき、またはローカル・ストレージ・デバイスからデジタル・ユーロ口座にアンロードするときだけである。この高度なプライバシーは、自動現金預け払い機(ATM)で紙幣を引き出すときと同じであり、決済サービスプロバイダは、利用者の身元や、現金を引き出すためにアクセスした資金・口座に関連する個人データを処理する。  オフラインでデジタル・ユーロを使用する場合、銀行は取引に関する詳細にアクセスすることはできない。同じように、銀行もATMから引き出した現金の使い道を知ることはできない。
The European Central Bank would not be able to identify individual digital euro users, nor what users do with their money. They would only have access to encrypted data, and only to the extent that this is necessary to settle digital euro transactions, and support payment services providers in performing their tasks. This means that state-of-the-art security and privacy-preserving measures would be used, to ensure that data cannot be used to directly identify a specific digital euro user by the ECB and the national central banks. 欧州中央銀行は、デジタル・ユーロの利用者個人を特定することはできない。欧州中央銀行がアクセスできるのは、暗号化されたデータのみであり、デジタルユーロ取引の決済や決済サービスプロバイダーの業務遂行に必要な範囲に限られる。つまり、ECBや各国中央銀行が特定のデジタル・ユーロ利用者を直接特定するためにデータを使用できないようにするため、最先端のセキュリティとプライバシー保護措置が使用されることになる。
Overall, the level of privacy introduced with the digital euro would be unprecedented for electronic payments. The European Data Protection Supervisor (EDPS) would ensure that this high degree of privacy is respected. 全体として、デジタル・ユーロで導入されるプライバシーのレベルは、電子決済では前例のないものとなる。欧州データ保護監督機関(EDPS)は、この高度なプライバシーが尊重されることを保証する。
What are the differences between online and offline payments in digital euro? デジタル・ユーロにおけるオンライン決済とオフライン決済の違いは何か?
Online digital euro payments are online instant transfers which can take place at distance. To make such payments, you need an internet connection. In terms of user experience, online digital euro payments would not differ from existing electronic instant payment systems. オンライン・デジタル・ユーロ決済とは、オンラインで即時の送金を行うもので、遠隔地でも行うことができる。このような決済を行うには、インターネット接続が必要である。ユーザー・エクスペリエンスという点では、オンライン・デジタル・ユーロ決済は既存の電子即時決済システムと変わらない。
Offline digital euro payments are instant transfers which could be made without an internet connection, as long as there is physical proximity between the devices of the payer and the payee as it happens with cash now. Users would be able to store digital euros in their device for offline use, below a certain threshold exactly as we do with cash in our wallets. Offline digital euro payments would be validated “peer-to-peer”: the payer and payee would directly verify that the transfer of value between them has effectively happened. Such payments would be used mainly for small payments. Just like cash, the details of your offline payments in digital euro would not be visible to anyone – neither your bank, nor the European Central Bank. オフラインのデジタル・ユーロ決済は、現在現金で行われているように、支払い側と受け取り側の端末が物理的に近接している限り、インターネット接続がなくても行える即時送金である。ユーザーは、私たちが財布に現金を入れるのと同じように、オフラインで使用するために、一定の閾値以下のデジタルユーロをデバイスに保存できるようになる。オフラインでのデジタル・ユーロ決済は、「ピアツーピア」で検証されることになる。このような支払いは、主に少額の支払いに使われるだろう。現金と同様、デジタル・ユーロでのオフライン決済の詳細は、銀行や欧州中央銀行を含め、誰にも知られることはない。
When users load or withdraw digital euros from their wallets, however, they would need to be connected to the internet. しかし、ユーザーがデジタル・ユーロを財布に入れたり引き出したりするには、インターネットに接続されている必要がある。
Consumers, businesses, and public entities would be able to make and receive payments even in remote areas with unreliable internet connection, and in case of a shortage of communication networks or power infrastructures. Also in everyday situations, people could benefit from a digital euro available offline when paying in a situation where they do not have an internet connection. 消費者、事業体、公的機関は、インターネット接続が不安定な遠隔地や、通信ネットワークや電力インフラが不足した場合でも、支払いを行ったり受け取ったりできるようになる。また、日常的な場面でも、インターネットに接続できない状況で支払いを行う場合、オフラインで利用できるデジタル・ユーロの恩恵を受けることができる。
What is the difference between a digital euro and the euro we already have in our bank accounts? デジタル・ユーロと銀行口座にあるユーロとの違いは何か?
Like cash, the digital euro would be issued directly by (and is a liability of) the European Central Bank and the National Central Banks of EU Member States. This means that it would be public money or central bank money. The digital euro would have legal tender status, which means that it would be available to all European citizens and residents and will be accepted anywhere in the euro area. This is not the case for existing electronic means of payments provided by commercial banks. 現金と同様、デジタル・ユーロは欧州中央銀行とEU加盟国の国立中央銀行が直接発行する(そしてその責任を負う)。つまり、公的資金または中央銀行の資金となる。デジタル・ユーロは法定通貨としての地位を持ち、すべての欧州市民と居住者が利用でき、ユーロ圏内のどこでも通用する。これは、商業銀行が提供する既存の電子決済手段には当てはまらない。
Where and how would I be able to access the digital euro? デジタル・ユーロはどこで、どのように利用できるのか?
You would be able to open a digital euro account at any commercial bank or any other payment service provider, such as payment institutions and electronic money institutions. In case you do not have a commercial bank account, or you do not wish to open a digital euro account with a bank or payment service provider, you could use a public entity designated by your Member State, such as a post office. You could also change your provider whenever you wish. In case your intermediary is no longer able to ensure access to your digital euro account, there would be an automatic mechanism which ensures that you can get access to your digital euro with the help of another private intermediary. どの商業銀行でも、あるいは決済機関や電子マネー機関などの他の決済サービスプロバイダでも、デジタル・ユーロ口座を開設することができる。商業銀行口座を持っていない場合や、銀行や決済サービス事業者にデジタル・ユーロ口座を開設したくない場合は、郵便局など加盟国が指定する事業体を利用することができる。また、希望すればいつでもプロバイダを変更することができる。仲介業者がデジタル・ユーロ口座へのアクセスを確保できなくなった場合は、別の民間仲介業者の助けを借りてデジタル・ユーロにアクセスできるようにする自動的な仕組みが設けられる。
Where and how would I be able to use my digital euro? デジタル・ユーロはどこで、どのように利用できるのか?
The digital euro would be made available for payments via online banking, as well as for mobile payments – both online and offline – right across the euro area. This would be particularly useful given the difficulties people sometimes face when trying to use their bank cards abroad. You would be able to make payments in digital euro via the regular online banking interface of your bank or payment service provider, a dedicated digital euro app, or via other means like cards, and pay while shopping on e-commerce websites, just like for other electronic money transfers and payments. デジタル・ユーロは、オンライン・バンキング経由での支払いや、オンライン・オフラインを問わず、ユーロ圏全域でのモバイル・ペイメントに利用できるようになる。海外で銀行のキャッシュカードを使用する際に困難が伴うことがあることを考えると、これは特に有用である。銀行やペイメント・サービス・プロバイダの通常のオンライン・バンキング・インターフェース、デジタル・ユーロ専用アプリ、またはカードなどの他の手段を使って、デジタル・ユーロでの支払いが可能になる。
The places and situations where you could pay with your digital euro will expand over time. Eventually, the digital euro would be available for all typical payment situations, for instance to transfer money (“person-to-person”), to pay in shops and restaurants, to pay online, or to make payments to public authorities. Users would also be able to make payments without an internet connection (“offline”), for instance where the internet network is not available. デジタル・ユーロで支払える場所や状況は、時間とともに拡大していくだろう。最終的には、例えば、送金(「個人間」)、ショップやレストランでの支払い、オンラインでの支払い、公的機関への支払いなど、あらゆる典型的な支払い場面でデジタル・ユーロが利用できるようになるだろう。また、インターネットに接続されていない場所(「オフライン」)での支払いも可能になる。
Would I be able to make mobile payments with digital euro? Would I be able to use my European Digital Identity Wallet? デジタルユーロでモバイル決済ができるようになるのか?欧州デジタルIDウォレットは使えるのか?
For mobile payments, users would be able to make or receive payments through the mobile apps of their payment service providers, just as they do for payments today. The European Central Bank may decide to offer a dedicated digital euro app which users could choose to use.  Below a certain threshold and as long as there is physical proximity, mobile payments in digital euro would also be available even without an internet connection. You could also use your European Digital Identity wallet, which was proposed by the Commission to facilitate peoples' and companies' access to public and private online services, to store your digital euros in a safe way. In addition to digital euro basic services, payment services providers may develop value added services and more innovative solutions (e.g. conditional payments) to meet the need of the digital economy.  モバイル決済の場合、利用者は現在と同じように、決済サービスプロバイダーのモバイルアプリを通じて決済を行ったり、支払いを受けたりすることができる。欧州中央銀行は、利用者が選択できるデジタル・ユーロ専用アプリを提供することを決定する可能性がある。  一定の閾値以下で、物理的に近接している限り、インターネット接続がなくてもデジタル・ユーロでのモバイル決済が可能になる。また、欧州委員会が提案した、公共および民間のオンラインサービスへの個人や企業のアクセスを容易にする欧州デジタルIDウォレットを使って、デジタルユーロを安全に保管することもできる。デジタル・ユーロの基本サービスに加え、決済サービス・プロバイダは、デジタル経済のニーズに応えるため、付加価値サービスやより革新的なソリューション(条件付き決済など)を開発する可能性がある。 
Would my digital euro account be remunerated? デジタル・ユーロ口座には報酬が支払われるのか?
No. Like cash, digital euro accounts would not be remunerated (i.e. you cannot earn interest on your deposits in digital euros). いいえ。現金と同様、デジタル・ユーロ口座には報酬は支払われない(つまり、デジタル・ユーロの預金に利息をつけることはできない)。
Would I be able to have more than one digital euro account? 複数のデジタル・ユーロ口座を持つことは可能か?
You may have one or several digital euro accounts, like for commercial accounts. You may also have a joint account with another person, for instance a member of your family or a relative, possibly in addition to your individual digital euro accounts. You would be able to change the number of digital euro accounts over time if you wish. 商業口座のように、1つまたは複数のデジタル・ユーロ口座を持つことができる。また、個人のデジタル・ユーロ口座だけでなく、例えば家族や親戚など、他の人と共同口座を持つこともできる。希望すれば、デジタル・ユーロ口座の数を時間の経過とともに変更することもできる。
In case you have more than one digital euro account, individually or jointly held with someone else, any individual holding limit introduced by the European Central Bank would apply across your digital euro holdings on your different accounts. あなたが複数のデジタル・ユーロ口座を個人で、または他の人と共同で持っている場合、欧州中央銀行が導入する個人保有限度額は、あなたの異なる口座のデジタル・ユーロ保有額全体に適用される。
Would the digital euro be programmable – i.e.  by public authorities to be used for specific purposes? デジタル・ユーロはプログラム可能か、つまり、公的機関が特定の目的に使用することは可能か?
The digital euro would not be programmable. This means that it cannot be programmed by public authorities to be used only for specific purposes. The digital euro would not have built-in restrictions: neither the European Central Bank, nor public authorities would be able to set any limitations on where, when, on what, or to whom you could pay with your digital euros. Like with cash, you would be able to use your digital euro however you choose to do so. At the same time, while public authorities would not be able to programme the digital euro, people would be able to set up recurrent transfers and payments as they are already doing today. デジタル・ユーロはプログラムできない。つまり、特定の目的にのみ使用されるように公的機関がプログラムすることはできない。欧州中央銀行も公的機関も、いつ、どこで、何を、誰に、デジタル・ユーロで支払うかを制限することはできない。現金と同じように、デジタル・ユーロを好きなように使うことができる。同時に、公的機関がデジタル・ユーロをプログラムすることはできないが、人々は現在すでに行っているように、定期的な送金や支払いを設定することができる。
Would there be limits to the amount of digital euro that I can hold on my account? 自分の口座に保有できるデジタル・ユーロの量に制限はあるのか?
You would be able to use the digital euro for payments of any amount. However, limits on the amount of digital euro you can hold may be imposed to safeguard monetary and financial stability.  To ensure that commercial banks continue to play a useful role in the functioning of the economy, including by providing credit, the European Central Bank would be able to decide holding limits.  Such limits would be harmonised at euro area level and follow a strict proportionality principle. The proposal establishes specific criteria for possible limits on the digital euro's store of value function, such as individual holding limits. These limits would however not affect the ability to make payments with a higher value – in such cases additional funds will be transferred automatically from and to a user's commercial bank account via a so-called “waterfall / reverse waterfall” mechanism. どのような金額の支払いにもデジタル・ユーロを使うことができる。しかし、金融・財政の安定を守るために、デジタル・ユーロの保有量に制限が設けられる可能性がある。  商業銀行が信用供与を含む経済機能において有用な役割を果たし続けられるようにするため、欧州中央銀行は保有限度額を決定できるようになる。  こうした限度額はユーロ圏レベルで調和され、厳格な比例原則に従う。本提案では、個人の保有限度額など、デジタル・ユーロの価値保存機能に対する可能な制限について具体的な基準を定めている。このような場合、いわゆる「ウォーターフォール/逆ウォーターフォール」メカニズムによって、利用者の商業銀行口座から、または商業銀行口座へ追加資金が自動的に送金される。
In addition, holding limits would be set by the European Commission for the use of digital euro offline, in order to limit money laundering and terrorism financing risks. さらに、マネーロンダリングやテロ資金供与のリスクを抑えるため、デジタルユーロのオフラインでの使用については、欧州委員会が保有限度額を設定する。
What would the role of the private sector be? 民間セクターの役割は何か?
The digital euro would be intermediated via payment service providers. Banks and other payment service providers would be responsible for the distribution of the digital euro and the provision of payment services to users. They would: デジタルユーロは、決済サービスプロバイダーを通じて仲介される。銀行やその他の決済サービスプロバイダーは、デジタルユーロの流通と利用者への決済サービスの提供に責任を負う。彼らは次のことを行う:
・enable users to access and use the digital euro, for instance by opening and holding a digital euro account; ・例えば、デジタル・ユーロ口座を開設・保有することにより、利用者がデジタル・ユーロにアクセスし、利用できるようにする;
・enable users to initiate and receive digital euro payment transactions; ・利用者がデジタルユーロ決済取引を開始し、受け取ることができるようにする;
・provide digital euro users with digital euro payment instruments; ・デジタルユーロ利用者にデジタルユーロ決済手段を提供する;
・manage the digital euro accounts of their users, for instance by funding and defunding the account upon request from the users; and ・利用者のデジタルユーロ口座を管理する。例えば、利用者からの要求に応じて、口座に資金を供給したり、口座から資金を引き出したりする。
・be able to provide innovative and additional digital euro payment services. ・革新的かつ付加的なデジタルユーロ決済サービスを提供できる。
As a merchant, would I need to accept the digital euro? 加盟店として、デジタル・ユーロを受け入れる必要があるか?
Like cash, the digital euro would be granted the status of legal tender, which means that merchants located in the euro area would need to accept payments in digital euro from consumers. 現金と同様、デジタル・ユーロは法定通貨としての地位を与えられるため、ユーロ圏内の加盟店は消費者からのデジタル・ユーロによる支払いを受け入れる必要がある。
However, exemptions would apply for merchants in situations where it would be disproportionate to impose such an obligation, for instance in view of the cost born by merchants to set up and run the payment infrastructure necessary to accept payments in digital euro. In particular, micro-enterprises would not be obliged to accept payments in digital euro unless they already accept comparable digital means of payment from consumers, such as debit cards. ただし、加盟店がデジタル・ユーロでの支払いを受け入れるために必要な決済インフラを設置・運営するために負担するコストを考慮するなど、そのような義務を課すことが不釣り合いな場合には、加盟店は免除される。特に、零細エンタープライズは、デビットカードのような同等のデジタル決済手段をすでに消費者から受け入れていない限り、デジタルユーロでの支払いに応じる義務はない。
In addition, merchants would not be obliged to accept payments in digital euro where they have agreed with their consumers to use a different means of payment, or owing to temporary circumstances which are beyond their control, for instance in case of a defective payment device. さらに、加盟店は、消費者と別の支払手段を使用することで合意している場合、または、例えば、支払機器の欠陥の場合など、加盟店の手に負えない一時的な事情により、デジタルユーロでの支払いに応じる義務はない。
Merchant fees for accepting digital euro should not exceed the fees for comparable means of payment, such as debit cards or instant payments. デジタルユーロでの支払いを受け付ける際の加盟店手数料は、デビットカードやインスタントペイメントなど、同等の支払い手段の手数料を上回ってはならない。
As a merchant, how would I process digital euro transactions? 加盟店として、どのようにデジタルユーロ取引を処理するのか?
You would be able to process digital euro transactions like other electronic means of payment, through a digital euro account with a bank or another payment service provider, and the relevant hardware and software components. To the extent possible, the objective would be to ensure that you can use the devices that you already have to process private digital payments. 加盟店は、銀行または他の決済サービスプロバイダーのデジタルユーロ口座と、関連するハードウェアおよびソフトウェアコンポーネントを通じて、他の電子決済手段と同様にデジタルユーロ取引を処理することができる。可能な限り、すでに持っている機器を使用して、プライベートなデジタル決済を処理できるようにすることが目的である。
How would the digital euro impact the banking system? デジタルユーロは銀行システムにどのような影響を与えるのか?
The European Commission and the European Central Bank have analysed in detail the potential impact of a digital euro on the banking sector. This analysis suggests that only in cases of large-scale deposit reduction in favour of a digital euro, banks might face liquidity stress and increased funding costs that might translate to lower credit provision to the economy. In order to address the potential risks, the proposal provides the European Central Bank with certain tools (such as holding limits) to limit the digital euro's store of value function if the European Central Bank considers them necessary to protect financial stability. These instruments would not constrain users' day-to-day payments, while mitigating impacts on banks and the wider economy. 欧州委員会と欧州中央銀行は、デジタルユーロが銀行部門に与える潜在的な影響について詳細に分析している。この分析によると、デジタル・ユーロを支持して大規模な預金削減が行われた場合に限り、銀行は流動性ストレスと資金調達コストの増加に直面し、経済への信用供与の低下につながる可能性がある。潜在的なリスクに対処するため、本提案では、欧州中央銀行が金融の安定を守るために必要と考える場合には、デジタル・ユーロの価値保存機能を制限するための一定の手段(保有限度額など)を欧州中央銀行に提供する。これらの手段は、銀行やより広範な経済への影響を低減しつつ、利用者の日々の決済を制約するものではない。
Who would be able to hold digital euro? Would I be able to hold a digital euro account even if I no longer reside in the euro area, or when I go back to my country of residence after travelling to the euro area? 誰がデジタル・ユーロを保有できるのか?ユーロ圏に居住していなくても、あるいはユーロ圏に旅行した後に居住国に戻っても、デジタル・ユーロ口座を保有できるのか?
The digital euro would be accessible to people, businesses, and public entities that reside or are established in a euro area Member State on a temporary or permanent basis. デジタル・ユーロは、ユーロ圏加盟国に一時的または恒久的に居住または設立されている人々、事業体、公的機関が利用できる。
In certain cases, the digital euro may also be accessible to people, businesses and public entities that do not reside or are not established in a euro area Member State. Examples include: 場合によっては、ユーロ圏加盟国に居住または設立していない人々、事業体、公的機関もデジタル・ユーロにアクセスできる。例えば、以下のようなものがある:
1. consumers and businesses that open a digital euro account when they resided or were established in a Euro Area Member State; 1. ユーロ圏加盟国に居住または設立していたときにデジタル・ユーロ口座を開設した消費者や企業;
2. consumers travelling to the euro area for personal or professional purposes;        2. 個人的または仕事上の目的でユーロ圏に渡航する消費者;       
3. consumers that reside or are established in a non-euro area Member State or in a third country, subject to predefined conditions agreed with the national authorities and/or central banks. 3. ユーロ圏非加盟国または第三国に居住または設立している消費者で、各国当局および/または中央銀行と事前に合意した条件に従うもの。
Consumers referred to in cases 1) and 2) may only be granted temporary access to digital euro accounts, subject to the requirements laid down by the European Central Bank. ケース1)および2)に該当する消費者は、欧州中央銀行の定める要件に従い、デジタル・ユーロ口座への一時的なアクセスのみを許可される。
The digital euro would only be accessible to people upon their request. There would be no obligation to hold and use digital euros. デジタル・ユーロへのアクセスは、消費者の要求に応じてのみ可能となる。デジタル・ユーロを保有し使用する義務はない。
Would I be able to use my digital euro outside the euro area? ユーロ圏外でもデジタル・ユーロを使用できるのか?
People, businesses, and public entities located in the euro area would be able to pay in digital euro or send digital euro outside the euro area in cases where: ユーロ圏内にいる人々、事業体、公的機関は、以下のような場合に、デジタル・ユーロでの支払いやユーロ圏外へのデジタル・ユーロの送付が可能になる:
1. the recipients of funds located outside the euro area have a digital euro account and are able to process transactions in digital euro; or, 1. ユーロ圏外にいる資金の取得者がデジタル・ユーロ口座を持ち、デジタル・ユーロで取引を処理できる場合、
2. they use cross-currency payments, whereby the digital euros that they send are converted into the local currency when the payment reaches the recipients of funds located outside the euro area. This would be useful for tourists visiting a country outside the euro area. 2. クロスカレンシー決済を利用し、ユーロ圏外にいる資金の取得者に支払いが届いた時点で、送信したデジタル・ユーロが現地通貨に変換される。これは、ユーロ圏外の国を訪れる観光客にとって便利であろう。
Would EU Member States that are not in the euro area have access to the digital euro? What about third countries? ユーロ圏に加盟していないEU加盟国は、デジタル・ユーロにアクセスできるのだろうか?第三国はどうなるのか?
Yes, potentially. People, businesses and public entities residing or established outside the euro area may access the digital euro by opening digital euro accounts with payment service providers established or operating in a country which is a Member of the European Economic Agreement or in a third country, subject to a prior agreement concluded between the EU and third countries, and/or arrangements concluded between the European Central Bank and national central banks in non-euro area Member States and in third countries. はい、可能性はある。EUと第三国との間で締結された事前協定、および/または欧州中央銀行とユーロ圏以外の加盟国および第三国の各国中央銀行との間で締結された取り決めに従って、ユーロ圏外に居住または設立された人々、企業、公的事業体は、欧州経済協定加盟国または第三国で設立または運営されている決済サービスプロバイダーでデジタルユーロ口座を開設することにより、デジタルユーロにアクセスすることができる。
Are other countries developing central bank digital currencies? 他の国々は中央銀行デジタル通貨を開発しているのか?
Many central banks worldwide have launched investigations regarding the potential introduction of Central Bank Digital Currencies (CBDCs). They conduct research and pilot programs to understand their potential benefits and implications similarly to what the ECB is currently doing. 世界の多くの中央銀行が、中央銀行デジタル通貨(CBDC)の導入可能性について調査を開始している。ECBが現在行っているのと同様に、その潜在的なメリットや意味を理解するための調査やパイロットプログラムを実施している。
In developed countries, this motivation primarily stems from the diminishing use of cash and the need to offer an electronic alternative for payments in public money. In less developed countries, the focus may be on enhancing financial inclusion and improving the retail payment system. 先進国では、このような動機は主に、現金の使用が減少していることと、公的通貨による決済に電子的な代替手段を提供する必要性から生じている。後進国では、金融包摂の強化やリテール決済システムの改善に重点が置かれるかもしれない。
Within the EU, Sweden initiated an investigation into the possibility of an e-krona.  EU域内では、スウェーデンがeクローナの可能性について調査を開始した。 
Outside the EU, the United Kingdom has issued several consultations and launched an investigation for a digital pound, similar to the European Central Bank's technical exploration of a digital euro. EU域外では、英国が複数の協議を発表し、欧州中央銀行によるデジタル・ユーロの技術的調査と同様に、デジタル・ポンドの調査を開始した。
Outside of Europe, China already issued a digital yuan. The digital yuan is already available for payments in an expanding number of regions and is facilitated through major banks and payment service providers. The United States are investigating the case for a digital dollar but have not yet decided whether it is needed. 欧州以外では、中国がすでにデジタル人民元を発行している。デジタル人民元は、すでに多くの地域で決済に利用されており、大手銀行や決済サービスプロバイダを通じて促進されている。米国はデジタル・ドルのケースを調査しているが、それが必要かどうかはまだ決定していない。
How would the digital euro support the international role of the euro? デジタル・ユーロはユーロの国際的役割をどのように支えるのか?
A digital euro would be introduced first and foremost for use by euro area EU residents and businesses, and potentially across the EU. However, the use of the digital euro in international retail payments may also bring benefits to the euro area and/or other economies in terms of trade and remittances by facilitating cross-border payments outside the euro area. In turn, this would lead to tangible benefits, like facilitating trade relations and reducing foreign exchange risks. デジタル・ユーロは、何よりもまず、ユーロ圏のEU居住者と企業、そして潜在的にはEU全域での使用のために導入されるだろう。しかし、国際リテール決済におけるデジタル・ユーロの使用は、ユーロ圏外での国境を越えた決済を容易にすることで、貿易や送金の面で、ユーロ圏および/または他の経済圏にも利益をもたらす可能性がある。ひいては、貿易関係の円滑化や為替リスクの軽減といった具体的な利益にもつながるだろう。
Today's proposal sets out a framework that would enable the use of the euro abroad in certain conditions (see above) and could also be the basis for cross-currency payments arranged with third country central banks, for instance payments in digital euro against another central bank digital currency. 本日の提案は、一定の条件下で海外でのユーロの使用を可能にする枠組みを定めたものであり(上記参照)、第三国の中央銀行との間で取り決められたクロスカレンシー決済、例えば、他の中央銀行のデジタル通貨に対するデジタルユーロでの決済などの基礎となる可能性もある。
As other jurisdictions develop their own digital currencies – and against the backdrop of growing crypto currencies – it is all the more important, from a monetary sovereignty point of view, to ensure that there is a digital version of the euro. 他の国々が独自のデジタル通貨を開発し、また暗号通貨が増加していることを背景に、通貨主権の観点から、ユーロのデジタル版が存在することを保証することは、より重要である。
How would the digital euro support innovation in payments? デジタル・ユーロは決済のイノベーションをどのように支援するのか?
The digital euro could further enhance competition and innovation in the European retail payments market by facilitating the development of a full range of pan-euro area end-user solutions and by supporting digital financial services. For instance, today's proposal supports the development of conditional payments (the ability to instruct a payment automatically when pre-defined conditions are met), which could also enhance the development of innovative industry services in the EU based on the digital euro, complementing private payment solutions. デジタル・ユーロは、汎ユーロ圏のエンドユーザー・ソリューションの開発を促進し、デジタル金融サービスをサポートすることで、欧州のリテール決済市場における競争とイノベーションをさらに促進することができる。例えば、本日の提案は、条件付き決済(あらかじめ定義された条件が満たされた場合に、自動的に決済を指示する機能)の開発を支援するものであり、デジタルユーロに基づくEU域内の革新的な業界サービスの開発を促進し、民間の決済ソリューションを補完する可能性もある。
However, the digital euro would not be programmable. This means that it would not be possible for it to be programmed by public authorities to be used only for specific purposes: public authorities would not be able to control what you can spend your digital euros on. Like with cash, you would be able to use your digital euros for any purpose. しかし、デジタル・ユーロはプログラムできない。つまり、公的機関がデジタル・ユーロを特定の目的にのみ使用できるようにプログラムすることはできない。現金と同様、デジタル・ユーロはどのような目的にも使用できる。
How would the digital euro support resilience in payments? デジタル・ユーロは決済のレジリエンスをどのように支えるのか?
A digital euro could serve as a backup or additional facility in times of crisis, or when private payment means experience operational issues. This would strengthen the operational resilience of the EU's economy. デジタル・ユーロは、危機の際や、民間の決済手段に運用上の問題が生じた際に、バックアップや追加的な機能を果たすことができる。これにより、EU経済のレジリエンスが強化される。
An offline digital euro could also increase the resilience of the European payment landscape by ensuring the continuous provision of offline payments in public money amidst connectivity outages. また、オフラインのデジタル・ユーロは、接続障害が発生した場合でも、公的資金によるオフライン決済の継続的な提供を確保することで、欧州の決済環境のレジリエンスを高めることができる。
The digital euro would be consistent with other Commission initiatives related to supporting resilience in payments, including the Digital Operational Resilience Act (DORA), Cybersecurity Act, Cybersecurity Regulation, and Cyber Resilience Act. デジタル・ユーロは、デジタル・オペレーション・レジリエンス法(DORA)、サイバーセキュリティ法、サイバーセキュリティ規制、サイバー・レジリエンス法など、決済のレジリエンス支援に関連する欧州委員会の他のイニシアチブとも整合的である。
What synergies will there be with instant payments and the Commission's wider retail payments strategy? インスタント・ペイメントと欧州委員会のリテールペイメント戦略にはどのような相乗効果があるのか。
The digital euro would benefit from instant payments, which would allow for the fast funding and defunding of digital euro accounts from commercial bank accounts and vice versa. The providers of instant payments (including banks) may also benefit from a digital euro. The standards and procedures that will enable pan-European payments in digital euro will be available to private payment providers. With these EU-wide standards, they could offer easier and more efficient cross border payment services for their clients. This will reduce cost and time for people and businesses. デジタルユーロは、インスタント・ペイメントによって、商業銀行口座からデジタルユーロ口座への迅速な資金供給と資金決済が可能となり、またその逆も可能となる。インスタント・ペイメントのプロバイダ(銀行を含む)も、デジタル・ユーロから恩恵を受ける可能性がある。デジタル・ユーロによる汎欧州決済を可能にする標準と手続きは、民間の決済プロバイダが利用できるようになる。このようなEU全体の標準があれば、プロバイダーは顧客に対して、より簡単で効率的な国境を越えた決済サービスを提供することができる。これにより、人々や企業のコストと時間が削減される。
Would there be safeguards to prevent money laundering and the financing of terrorism? マネーロンダリングやテロ資金供与を防止するためのセーフガードはあるのか?
With its anti-money laundering (AML) package of 21 July 2021[1]the Commission proposed to significantly strengthen AML rules across the EU. In keeping with the objectives of the AML package and to ensure an effective application of AML/CFT requirements to the digital euro, today's proposal provides that online digital euro payment transactions are subject to AML/CFT requirements, similar to private digital means of payment. 欧州委員会は、2021年7月21日のマネーロンダリング防止(AML)パッケージ[1]で、EU全体のAML規則を大幅に強化することを提案した。AMLパッケージの目的に沿って、また、デジタル・ユーロに対するAML/CFT要件の効果的な適用を確保するため、本日の提案では、オンライン・デジタル・ユーロ決済取引を、民間のデジタル決済手段と同様に、AML/CFT要件の対象とすることを定めている。
To mitigate AML/CFT risks posed by offline digital euro transactions, specific holding and transaction limits for offline proximity payment would be essential since transaction data will not be processed by Payment Services Providers. These holding and transactions limits will be determined by a Commission implementing act, on the basis of a risk assessment. オフラインのデジタル・ユーロ取引によってもたらされる AML/CFT リスクを軽減するために は、取引データがペイメント・サービス・プロバイダーによって処理されないため、 オフラインのプロキシミティ・ペイメントに対する特定の保有限度額および取引限度額が 不可欠である。これらの保有限度額および取引限度額は、リスクアセスメントに基づき、欧州委員会の実施法によって決定される。
What are the respective roles of the co-legislator and the European Central Bank? 共同立法者と欧州中央銀行のそれぞれの役割は何か?
The Regulation on the digital euro is ‘enabling' in nature. This means that the Regulation would establish the digital euro as a new form of central bank money, regulate its essential elements and provide the possibility, but not an obligation, for the European Central Bank to issue the digital euro. The European Central Bank will decide whether to issue the digital euro, in line with its mandate and tasks. デジタルユーロに関する規則は、その性質上「可能にする」ものである。つまり、同規則はデジタル・ユーロを中央銀行の新しい貨幣形態として確立し、その本質的な要素を規制し、欧州中央銀行がデジタル・ユーロを発行する可能性を提供するが、義務ではない。デジタルユーロを発行するかどうかは、欧州中央銀行がその権限と任務に従って決定する。
The proposal for a Regulation – if adopted by the European Parliament and Council – would establish the digital euro and lay down necessary rules concerning it, in particular as regards its legal tender status, privacy, anti-money laundering, distribution, use (limits to its use as a store of value and conditions for its use outside the euro-area) and essential technical features. The essential technical features include the main functionalities of the digital euro: offline, online and conditional payments. 欧州議会と理事会で採択された場合、規則案はデジタル・ユーロを確立し、特に法定通貨としての地位、プライバシー、マネーロンダリング防止、流通、使用(価値貯蔵としての使用の制限とユーロ圏外での使用の条件)、必須の技術的特徴に関して、デジタル・ユーロに関する必要な規則を定めることになる。必須の技術的機能には、デジタル・ユーロの主な機能(オフライン、オンライン、条件付き決済)が含まれる。
Within the framework of the Regulation, the European Central Bank may adopt detailed measures, rules and standards pursuant to its own competences, including with a view to ensuring a smooth and efficient functioning of the digital euro payment system in accordance with Article 22 of its Statute. 欧州中央銀行は、その規約第22条に従い、デジタルユーロ決済システムの円滑かつ効率的な機能を確保する目的も含め、同規則の枠組みの中で、自らの権限に基づき、詳細な措置、規則、標準を採択することができる。
The European Central Bank will be responsible for developing and designing a digital euro in line with the requirement laid down in the Regulation. 欧州中央銀行は、同規則に定められた要件に沿ったデジタル・ユーロの開発および設計に責任を負う。
What are the next steps on today's proposal? 本日の提案の次のステップは?
Today's proposal by the Commission now needs to be debated and adopted by both the European Parliament and the Council. Once the Regulation establishing the digital euro is adopted by the co-legislators, the European Central Bank may decide to issue a digital euro in line with its mandate and tasks. The decision to issue the digital euro falls within the sole competence of the European Central Bank, acting in full independence, in accordance with the Treaties. The European Central Bank would conduct a preparation phase before deciding whether, when and for which maximum amount a digital euro should be issued. 欧州委員会の本日の提案は、今後、欧州議会と欧州理事会の双方で審議され、採択される必要がある。欧州中央銀行(ECB)は、その権限と任務に従い、デジタルユーロの発行を決定することができる。デジタルユーロ発行の決定は、条約に従い、完全な独立性をもって行動する欧州中央銀行の唯一の権限に属する。欧州中央銀行は、デジタル・ユーロの発行の可否、時期、上限額を決定する前に、準備段階を実施することになる。
For more information 詳細はこちら
Press release プレスリリース
Legal texts 法律文書

 

 

 


 

中央銀行のデジタル通貨と欧州の銀行のバランスシート

・2023.06.28 Central bank digital currency and European banks’ balance sheets

Central bank digital currency and European banks’ balance sheets 中央銀行のデジタル通貨と欧州の銀行のバランスシート
Abstract: The aim of this paper is to look at possible scenarios of demand for a retail-only euro central bank digital currency and assess their impact on bank’s balance sheets, to explore potential effects on bank’s intermediation capacity and financial stability. The European Central Bank, in the context of the Eurosystem investigative exercise, has tackled this issue by proposing a set of illustrative scenarios for the adoption of a Euro CBDC (see Adalid et al., 2022 and discussion therein). We expand their analysis to include more detailed results at country level by making use of individual banks data. For each demand scenario, we estimate the potential shock on deposits making use of MS-level data. We then apply these shocks at individual bank level and compare them to a set of alternative adjustment channels, including free reserves, wholesale funding and assets (deleveraging) to obtain a distribution of the ratio of shocks to different channels. Results show that per capita demand scenarios around 3 thousand euro do not seem to present risks for financial stability in the aggregate, though they present asymmetric impacts and could give raise to shifts in the structure of balance sheets and interbank markets. 概要:本稿の目的は、リテール専用のユーロ中央銀行デジタル通貨に対する需要のシナリオを検討し、銀行のバランスシートへの影響を評価することで、銀行の仲介能力と金融安定性に潜在的な影響を探ることである。欧州中央銀行は、ユーロシステムの調査演習の中で、ユーロCBDCの採用に関する一連の例示的シナリオを提案し、この問題に取り組んでいる(Adalid et al.) 我々は彼らの分析を拡大し、個々の銀行のデータを利用することで、国レベルでのより詳細な結果を含める。各需要シナリオについて、MSレベルのデータを用いて預金に対する潜在的なショックを推計する。次に、これらのショックを個々の銀行レベルで適用し、自由準備、ホールセール資金調達、資産(レバレッジ解消)を含む一連の代替調整チャネルと比較し、異なるチャネルに対するショックの比率の分布を得る。その結果、一人当たり3,000ユーロ前後の需要シナリオは、非対称的な影響をもたらし、バランスシートや銀行間市場の構造に変化をもたらす可能性はあるものの、全体としては金融の安定性にリスクをもたらすようには見えないことが示された。

 

・[PDF]

20230701-145519

 

 

目次...

Abstract 要旨
Acknowledgements 謝辞
1 Introduction 1 序文
2 Background and scenarios on a Euro Central Bank Digital Currency 2 ユーロ中央銀行デジタル通貨の背景とシナリオ
3 Methodology and data 3 方法論とデータ
3.1 Data 3.1 データ
3.2 Descriptive statistics of balance sheet structure 3.2 バランスシート構造の記述統計
4 Results 4 結果
4.1 Shocks compared to Total Liabilities 4.1 総負債と比較したショック
4.2 Free reserves adjustment channel 4.2 自由準備の調整チャネル
4.3 Wholesale funding adjustment channel 4.3 ホールセール調達調整チャネル
4.4 Lending assets adjustment channel 4.4 貸出資産の調整チャネル
5 Conclusions 5 結論
References 参考文献
List of abbreviations and definitions 略語と定義のリスト
List of figures 図一覧
List of tables 表一覧

 

 

 


 

 

銀行の収益性と中央銀行のデジタル通貨

・2023.06.28 Bank profitability and central bank digital currency

Bank profitability and central bank digital currency 銀行の収益性と中央銀行のデジタル通貨
Abstrauct: This paper analyzes the potential effect of a European Central Bank Digital Currency (CBDC) on banks’ profitability. We use a large sample of EU banks that span the period from 2007 to 2021 to assess the sensitivity of banks’ profits to the deposits. Using quantile regression, we estimate the conditional profit distribution of a representative bank. We then introduce a shock on the amount of deposits that would be replaced by the CBDC. Our results show that, for a large take-up of CBDC, there might be substantial challenges for the profitability of banks, especially for small banks, that mostly rely on deposits as a source of funding. 概要 本稿では、欧州中央銀行デジタル通貨(CBDC)が銀行の収益性に及ぼす潜在的な影響を分析する。2007年から2021年までの期間にわたるEUの銀行の大規模サンプルを用いて、銀行の収益が預金に対してどの程度敏感であるかを評価する。分位値回帰を用いて、代表的な銀行の条件付き利益分布を推定する。次に、CBDCによって代替される預金量に関するショックを導入した。その結果、CBDCが大量に導入された場合、銀行の収益性、特に資金調達源の多くを預金に依存している小規模銀行の収益性に大きな問題が生じる可能性があることが示された。


・[PDF]

20230701-143015

 

 

Executive summary エグゼクティブsマリー
With the rise of private initiatives and their potential disruptive effects on the financial system, central bank digital currency (CBDC) has become a topic of great importance. Essentially, CBDC represents an official currency that functions just like cash, but in digital form. The reasons why central banks worldwide are focusing on this topic are numerous. One of the key reasons is to provide access to central bank money, which can function as a backup to electronic payment methods. Additionally, CBDC can help to increase payment diversity and facilitate cross-border payments, which would ultimately boost financial inclusion. 民間主導が台頭し、金融システムに破壊的な影響を及ぼす可能性がある中、中央銀行デジタル通貨(CBDC)は非常に重要なテーマとなっている。基本的に、CBDCは現金と同様の機能を持つが、デジタル形式の公式通貨を代表するものである。世界中の中央銀行がこのトピックに注目している理由は数多くある。重要な理由のひとつは、電子決済手段のバックアップとして機能する中央銀行マネーへのアクセスを提供することである。さらに、CBDCは決済の多様性を高め、国境を越えた決済を促進し、最終的に金融包摂を後押しする。
Despite the advantages of CBDC, there are also several challenges to consider in terms of monetary policy and financial stability risks. One of the major concerns is the potential disintermediation of commercial banks. Banks play a crucial role in the transmission of monetary policy by providing liquidity and lending long-term to businesses and households while collecting short-term deposits. If depositors shift their liquidity from a bank deposit to a digital euro wallet, there would be a deposit outflow from the banking sector. This disintermediation could negatively affect the lending channel, reducing credit availability and shrinking banks' profitability. CBDCの利点とは裏腹に、金融政策や金融安定リスクの観点から考慮すべき課題もいくつかある。主な懸念事項のひとつは、商業銀行の仲介排除の可能性である。銀行は、短期預金を集める一方で、企業や家計に流動性を提供し、長期貸出を行うことで、金融政策の伝達において重要な役割を果たしている。預金者が流動性を銀行預金からデジタル・ユーロ・ウォレットに移行すれば、銀行部門から預金が流出することになる。このようなディスインターメディエーションは、貸出チャネルに悪影響を及ぼし、信用の利用可能性を低下させ、銀行の収益性を縮小させる可能性がある。
To investigate the potential effects of CBDC on banks' profitability, we analysed the main determinants of banks' profitability, including bank-specific, cyclical, and structural determinants. CBDCが銀行の収益性に及ぼす潜在的な影響を調査するため、銀行固有、循環的、構造的な決定要因を含め、銀行の収益性の主な決定要因を分析した。
Policy context 政策的背景
In Europe, the Eurosystem decided to launch a two-year investigation exercise in mid-2020, in order to examine the design, features, advantages, and potential consequences of issuing a digital euro. The first report, published in October of the same year, analyses, from a policy perspective, the essential elements and the core principles of a digital euro, along with a first preliminary assessment of technical, economic, and financial issues. One of the identified undesirable effects is the potential disintermediation of commercial banks. A way to mitigate such consequences is to introduce some limits on CBDC holdings. However, estimating the rate of adoption by households and eventually corporations is quite difficult, although we observe a constant reduction in the use of cash for day-to-day payments, partially boosted by COVID-19. For that reason, in the initial investigation part, the ECB focuses on a retail CBDC, being used by the public and excludes the wholesale market (i.e., regulated financial institutions) in the first phase. 欧州では、ユーロシステムが、デジタル・ユーロ発行の設計、特徴、利点、潜在的な影響を検討するため、2020年半ばから2年間の調査を開始することを決定した。同年10月に発表された最初の報告書は、技術的、経済的、財政的な問題の最初の予備的評価とともに、政策の観点から、デジタル・ユーロの本質的な要素と基本原則を分析している。識別された望ましくない影響のひとつは、商業銀行の仲介を断つ可能性である。このような影響を軽減する方法として、商業銀行の保有に何らかの制限を導入することが考えられる。しかし、COVID-19によって部分的に後押しされた、日常的な支払いにおける現金使用の一定の減少が観察されるものの、家計、ひいては企業による導入率を推定することは非常に困難である。そのため、ECBは最初の調査段階において、一般消費者が利用するリテールのCBDCに焦点を当て、ホールセール市場(すなわち規制金融機関)は除外した。
Main findings and key conclusions 主な調査結果と主な結論
The research replicates three demand scenarios from a paper by the ECB (2022) and assesses the reaction of profitability indicators, such as return on assets (ROA) and return on equity (ROE), to these changes. The results indicate that the moderate take-up scenario has a limited effect on the ROE of the panel of Eurozone banks. The 3,000 EUR capped scenario results in a slight decrease in the ROE from 4.3% to 4.1% for a representative large bank. However, under the large take-up scenario, the average ROE decreases substantially, down to 2.7% for large banks and 2.4% for small banks. 本研究では、ECBによる論文(2022年)から3つの需要シナリオを再現し、これらの変化に対する総資産利益率(ROA)や自己資本利益率(ROE)などの収益性指標の反応を評価した。その結果、ユーロ圏の銀行パネルのROEに及ぼす影響は、緩やかなテイクアップ・シナリオでは限定的であることが示された。3,000ユーロの上限設定シナリオでは、代表的な大手銀行のROEは4.3%から4.1%へとわずかに低下した。しかし、大規模なテイクアップ・シナリオの下では、平均ROEは大幅に低下し、大規模銀行で2.7%、小規模銀行で2.4%にまで低下した。
These findings suggest that banks' profitability is not significantly impacted by low take-up of CBDC (i.e., the maximum amount that can be held by an individual). However, larger take-up may pose potential challenges for banks' remuneration, particularly for small banks that rely heavily on deposits as a source of funding. Therefore, a "capped" scenario could be a good compromise, preserving the stock of deposits and the inherited profitability that comes from banks' cheaper funding. A thoughtful implementation strategy is necessary to ensure a smooth transition to the CBDC. これらの結果は、銀行の収益性は、CBDCの利用率(すなわち、個人が保有できる最高額)が低くても大きな影響を受けないことを示唆している。しかし、特に資金調達源として預金に大きく依存している小規模銀行にとっては、利用率が高ければ高いほど、銀行の報酬に潜在的な問題が生じる可能性がある。したがって、「上限を設ける」シナリオは、預金ストックを維持し、銀行の安価な資金調達から生じる収益性を継承する、良い妥協点となりうる。CBDCへの円滑な移行を確保するためには、熟慮された実施戦略が必要である。
CBDC has the potential to provide several benefits, but its implementation requires careful consideration to ensure financial stability. The study's results suggest that a "capped" scenario may be the best approach, balancing the advantages of CBDC with the need to maintain banks' profitability. CBDCはいくつかのメリットをもたらす可能性があるが、その実施には金融の安定性を確保するための慎重な検討が必要である。本研究の結果は、CBDCの利点と銀行の収益性を維持する必要性とのバランスを考慮した上で、「上限を設ける」シナリオが最善のアプローチである可能性を示唆している。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.04 米国 デジタル・ドルができる? H.R. 7231 電子通貨および安全なハードウェア(ECASH)法案

・2021.12.13 中国 第14次5カ年計画 デジタル経済開発計画

・2021.07.15 国際決済銀行 (BIS) ・国際通貨基金 (IMF) ・世界銀行 国際決済のための中央銀行デジタル通貨 (CBDC) に関するG20への報告書

 

 

 

 

| | Comments (0)

個人情報保護委員会「中華人民共和国個人情報保護法」(2021年11月1日施行)の仮日本語訳を作成

こんにちは、丸山満彦です。

個人情報保護委員会が、「中華人民共和国個人情報保護法」(2021年11月1日施行)の仮日本語訳を作成したようですね。。。

これは助かりますね。。。

 

個人情報保護委員会

・2023.06.30 「中華人民共和国個人情報保護法」(2021年11月1日施行)の仮日本語訳を作成しました。

 


中華人民共和国個人情報保護法

中華人民共和国では、2021年11月1日より個人情報保護法が施行されています。仮日本語訳を作成しましたので掲載します。

なお、同法の正確な内容については、中華人民共和国「全国人民代表大会」ウェブ・ページにおいて公表されている「中华人民共和国个人信息保护法」 にてご確認ください。


 

20230701-73225 

 

| | Comments (0)

第12回米欧宇宙対話@ブリュッセルでは、サイバーセキュリティについても議論されたようですね。。。

こんにちは、丸山満彦です。

第12回米欧宇宙対話
がブリュッセルで開催されたようですね。。。

  • 安全保障上の懸念
  • 宇宙サイバーセキュリティと宇宙状況認識
  • 右朝飛行の安全調整

等が、会話されたようですね。。。

どんな会話がされたのでしょうかね。。。

 

1_20230701072401

 

U.S. Department of State

・2023.06.28 12th U.S.-EU Space Dialogue Held in Brussels

 

12th U.S.-EU Space Dialogue Held in Brussels 第12回米欧宇宙対話がブリュッセルで開催される
Hosted by the European Union, officials from the United States and the European Union met for the 12th U.S.-EU Space Dialogue June 26-27 in Brussels, Belgium. The delegations discussed cooperation on a wide range of space activities including growing security concerns, space cybersecurity and space situational awareness, and spaceflight safety coordination. The dialogue also sought to strengthen longstanding cooperation between the United States and Europe on both global navigation satellite systems and Earth observation activities. 欧州連合(EU)主催のもと、米国と欧州連合(EU)の関係者が6月26日から27日にかけて、ベルギーのブリュッセルで第12回米・EU宇宙対話を開催した。代表団は、高まる安全保障上の懸念、宇宙サイバーセキュリティと宇宙状況認識、宇宙飛行の安全調整など、幅広い宇宙活動に関する協力について話し合った。また、この対話では、全地球航法衛星システムと地球観測活動の両方に関する米国と欧州の長年の協力関係の強化も図られた。
The U.S. delegation was led by Assistant Secretary of State for Arms Control, Verification and Compliance Mallory Stewart, and Acting Assistant Secretary of State for Oceans and International Environmental and Scientific Affairs Jennifer R. Littlejohn. The delegation included representatives from the Department of State, the Department of Commerce, the National Aeronautics and Space Administration, the Department of Defense, the Department of Interior, and the Federal Aviation Administration. 米国代表団は、マロリー・スチュワート国務次官補(軍備管理・検証・コンプライアンス担当)とジェニファー・R・リトルジョン国務次官補代理(海洋・国際環境・科学担当)が率いた。 代表団には、国務省、商務省、米国航空宇宙局、国防総省、内務省、連邦航空局の代表者が含まれた。
The European Union delegation was led by European Commission Director General for Defense Industry and Space Timo Pesonen and European External Action Service Managing Director for Common Security and Defense Benedikta von Seherr-Thoss. The delegation also included representatives from the European Organization for the Exploitation of Meteorological Satellites and the European Space Agency. For media inquiries, please contact OES-PA-DG@state.gov. 欧州連合(EU)の代表団は、ティモ・ペソネン欧州委員会防衛産業・宇宙担当局長と、ベネディクタ・フォン・ゼヘル=トス欧州対外行動庁共通安全保障・防衛担当常務理事が率いた。代表団には、欧州気象衛星利用機関と欧州宇宙機関の代表者も含まれている。報道関係者からのお問い合わせは、OES-PA-DG@state.gov まで。

 

 

European Commission - Defence Industry and Space

・2023.06.28 12th U.S.-EU Space Dialogue

12th U.S.-EU Space Dialogue 第12回米・EU宇宙対話
The EU and the US have for a long time enjoyed deep and beneficial cooperation on space affairs. To further develop this cooperation, the two sides engage in regular space dialogues, the most recent of which was held in Brussels on 26-27 June. EUと米国は長期にわたり、宇宙問題に関して深く有益な協力を享受してきた。この協力をさらに発展させるため、双方は定期的に宇宙対話を行っており、最近では6月26~27日にブリュッセルで開催された。
The EU and the US delegations gathered to discuss wide-ranging space topics including important cooperation on Global Navigation Satellite Systems (GNSS), Earth Observation and its applications, Space Situational Awareness, the safety of spaceflight as well as long-term sustainability. A dedicated part of the dialogue addressed space security, this year in the context of the recently adopted Joint Communication on EU Space Strategy for Security and Defence, including space cybersecurity and multilateral engagement. The Space Dialogue provided an opportunity for a bilateral update on respective policy initiatives in view of finding synergies and enhanced strands of cooperation. EUと米国の代表団が一堂に会し、全地球測位衛星システム(GNSS)、地球観測とその応用、宇宙状況認識、宇宙飛行の安全性、長期的な持続可能性など、宇宙に関する重要な協力を含む幅広い議題について話し合った。今年は、最近採択された「安全保障と防衛のためのEU宇宙戦略に関する共同コミュニケーション」の文脈で、サイバーセキュリティや多国間協力を含む宇宙安全保障を取り上げた。宇宙対話は、相乗効果を見いだし、協力関係を強化するという観点から、それぞれの政策イニシアチブに関する二国間の最新情報を提供する機会となった。
The EU delegation was led by Timo Pesonen, Director-General of the European Commission’s Directorate-General for Defence Industry and Space (DEFIS), and Benedikta von Seherr-Thoss, Managing Director for CSDP and Crisis Response at the European External Action Service. Representatives from DG DEFIS, the European External Action Service, the European Space Agency, European Space Programme Agency, and European Organisation for the Exploitation of Meteorological Satellites formed part of the delegation. EU代表団は、ティモ・ペソネン欧州委員会防衛産業・宇宙総局(DEFIS)総局長と、ベネディクタ・フォン・ゼヘル=トス欧州対外行動庁CSDP・危機対応担当常務理事が団長を務めた。DG DEFIS、欧州対外行動庁、欧州宇宙機関、欧州宇宙計画庁、欧州気象衛星利用機構の代表者が代表団の一部を構成した。
The US delegation was led by Mallory Stewart, Assistant Secretary at the Bureau of Arms Control, Verification and Compliance (AVC), U.S. Department of State, and Jennifer R. Littlejohn, Acting Assistant Secretary at the Bureau of Oceans, and International, Environmental & Scientific Affairs, U.S. Department of State. The US delegation was composed, among others, by the representatives from the Department of State, the Department of Homeland Security, the Department of Commerce, the Department of Defence, the U.S. Geological Survey, the National Oceanic and Atmospheric Administration, NASA and Federal Aviation Agency. 米国代表団は、米国務省武器管理・検証・遵守局(AVC)のマロリー・スチュワート次官補と、米国務省海洋・国際・環境・科学局のジェニファー・R・リトルジョン次官補代理が率いた。米国代表団は、国務省、国土安全保障省、商務省、国防総省、米国地質調査所、米国海洋大気庁、NASA、連邦航空局の代表者らで構成された。

 

 

| | Comments (0)

MITRE 攻撃グラフの協調モデル

こんにちは、丸山満彦です。

MITREが、攻撃グラフの協調モデルにるいてのレポートを公表していますね。。。少し興味深いです。。。

 

MITRE

・2023.06.28 A Coordination Model for Attack Graphs

A Coordination Model for Attack Graphs 攻撃グラフの協調モデル
Attack graphs have been proven to be useful for modeling multi-stage attacks for vulnerability analysis, though their use in threat emulation has been hindered by multiple challenges. In this paper, we propose a new type of graph, Activation, Guard, and Effect (AGE) graph, to support emulation of multi-stage attacks. We describe the abstract syntax and execution semantics of AGE graphs and provide examples that illustrate the ability of AGE graphs to model attacks and enable attack execution automation. 攻撃グラフは、脆弱性分析のための多段階攻撃のモデリングに有用であることが証明されているが、脅威のエミュレーションにおける使用は、複数の課題によって妨げられてきた。本稿では、多段階攻撃のエミュレーションをサポートするために、新しいタイプのグラフ、AGE(Activation, Guard, and Effect)グラフを提案する。AGEグラフの抽象的な構文と実行セマンティクスを説明し、AGEグラフが攻撃をモデル化し、攻撃実行の自動化を可能にする能力を説明する例を提供する。

 

 

・[PDF]

20230701-64319

 

目次...

1 Introduction 1 序文
2 Motivating Example 2 動機となる例
3 AGE Graph Semantics 3 AGEグラフの意味論
3.1 Abstract Syntax 3.1 抽象構文
3.2 Semantics 3.2 意味論
4 Examples and AGE Graph Simulator 4 例とAGEグラフシミュレータ
5 Related Work 5 関連作品
6 Conclusions 6 結論

 

序文...

1  Introduction  1 序文 
An attack graph describes the actions an attacker can take on a target system to induce an event or state, called a goal condition, desired by the attacker. Attack graphs have been used to describe complex multi-stage attacks in multiple domains [14, 26, 28, 10], and to describe defenses [17]. The primary application area of attack graphs has been for vulnerability analysis [24, 11, 20, 17]. Applying attack graphs to automated emulation of multi-stage attacks such as those with the tactics described in MITRE ATT&CK [27] would be an attractive prospect. Threat emulation is useful for simulated penetration testing [9], and for evaluating attacker strategies [1]. However, there are a few challenges that must be addressed to enable such an automator.  攻撃グラフは、攻撃者が望むイベントや状態(ゴール条件と呼ばれる)を引き起こすために、 攻撃者がターゲットシステムに対して取り得るアクションを記述する。アタック・グラフは、複数のドメインにおける複雑な多段階攻撃を記述するため[14, 26, 28, 10]や、防御を記述するため[17]に使用されてきた。攻撃グラフの主な応用分野は脆弱性分析である[24, 11, 20, 17]。攻撃グラフを、MITRE ATT&CK [27]で説明されているような多段階攻撃の自動エミュレー ションに適用することは、魅力的な展望である。脅威のエミュレーションは、模擬侵入テスト[9]や攻撃者の戦略評価[1]に有用である。しかし、このようなオートメー ターを実現するには、いくつかの課題がある。
The first challenge is that the attack graph execution will need to respect the partial ordering and nondeterminism that arises from the dependencies and logical conditions in the attack graph. The second challenge is that during an attack the target system will likely undergo state changes due to the attacker’s actions, the defender’s actions, or the actions of users of that system. Therefore, prior to applying the attacker’s actions, also called e↵ects in this paper, the automator must always reevaluate the system state before applying an action, both to understand the success of the previous action and to ensure the preconditions of the action are met. Consequently, the attack representation must allow for state changes in the target system that are not predicted at the beginning of the attack by the attacker. The third challenge is that while attack graph representations such as [14, 26] represent attack plans, they only contain preconditions for the actions, and do not contain the attacker’s mission requirements such as time or other mission constraints to conduct attacker’s actions. The fourth challenge is that sometimes the attack e↵ect may not terminate, or the e↵ect may be fleeting and leaves no permanent trace. The fifth challenge is that the attack representation must be machine readable. This issue has been addressed for the purpose of vulnerability analysis by tools such as MulVal [20], and other ontological techniques for scalability [18].  第一の課題は、攻撃グラフの実行において、攻撃グラフの依存関係や論理条件から生じる部分的な順序性や非決定性を尊重する必要があることである。第二の課題は、攻撃中に攻撃者の行動、防御者の行動、あるいはそのシステムのユーザーの行動によって、ターゲット・システムの状態が変化する可能性が高いことである。したがって、攻撃者のアクション(本論文では「e↵」とも呼ぶ)を適用する前に、オートメー ターは常にシステム状態を再評価しなければならない。その結果、攻撃表現では、攻撃者が攻撃開始時に予測できなかったターゲット・システムの状態変化を許容しなければならない。第3の課題は、[14, 26]のような攻撃グラフ表現は攻撃計画を表現しているが、アクションの前提条件のみを含んでおり、攻撃者のアクションを実施するための時間やその他のミッション制約などの攻撃者のミッション要件を含んでいないことである。第4の課題は、攻撃↵効果が終了しない場合や、攻撃↵効果が儚く、永続的な痕跡を残さない場合があることである。第五の課題は、攻撃表現が機械可読でなければならないことである。この問題は、MulVal [20]のようなツールや、スケーラビリティのための他のオントロジー技術 [18]によって、脆弱性分析の目的で対処されてきた。
We are not aware of any general-purpose attack graph representation with precise execution semantics that can be used for automated execution and addresses the challenges above. This paper describes a coordination model, using the novel Activation, Guard, E↵ect (AGE) graph-based representation, for attack graph automation that addresses these challenges, inspired by  我々は、自動実行に使用でき、上記の課題に対応する、正確な実行セマンティクスを持つ汎用的な攻撃グラフ表現について知らない。本論文では、これらの課題に対処する攻撃グラフ自動化のための、PTIDESのような協調モデルから着想を得た、新しいAGE(Activation, Guard, E↪So_21B5) グラフベースの表現を用いた協調モデルについて述べる。
coordination models such as the PTIDES model [31]. This paper focuses primarily on how AGE graphs address the first four challenges described above.  PTIDESモデル[31]などの協調モデルに触発されている。本稿では主に、AGEグラフが上記の最初の4つの課題にどのように対処するかに焦点を当てる。
Our contributions are: (1) the definition of the AGE graph and its execution semantics, the first coordination model for attack graphs, and (2) the development of a simulator for attack graph execution based on AGE graphs, along with examples of attack graphs and their execution sequences.  我々の貢献は以下の通りである: (1)攻撃グラフのための最初の協調モデルであるAGEグラフとその実行セマンティクスの定義、(2)攻撃グラフとその実行シーケンスの例とともに、AGEグラフに基づく攻撃グラフ実行シミュレータの開発。
The rest of the paper is organized as follows. An example of a sample attack graph from literature is presented along with an alternate graph more suitable for graph execution in Section 2. Section 3 defines AGE graphs and their execution semantics. We discuss the AGE graph simulator and some examples in Section 4. Background and related work are discussed in Section 5; and we conclude in Section 6.  本稿の残りの部分は以下のように構成されている。セクション2節では、文献にある攻撃グラフの例と、グラフ実行に適した代替グラフを示す。セクション3では、AGEグラフとその実行セマンティクスを定義する。セクション4では、AGEグラフシミュレータといくつかの例について述べる。セクション5では、その背景と関連研究について述べ、セクション6で結論を述べる。

 

 

| | Comments (0)

米国 ホワイトハウス バイデノミクスは機能している: 大統領の計画はトップダウンではなくミドルアウトとボトムアップから経済を成長させる

こんにちは、丸山満彦です。

米国の経済、財政政策も重要なので、メモ...

政党が変わるので、過去の失敗を改められますよね。。。政党の方針がそれぞれ異なりますしね。。。日本の場合は、政策によって党がわかれているというよりも、親分子分の関係で分かれたり、くっついたりしているし、政治家も、大臣希望なので自民党、野党キャラなので〇〇党という人もいそうで、このあたりの構造が、思い切った修正を難しくしているのかもしれませんね。。。(国民の生活よりも、面子と仲間との仁義?)

 

● U.S. White House

・2023.06.28 Bidenomics Is Working: The President’s Plan Grows the Economy from the Middle Out and Bottom Up—Not the Top Down

Bidenomics Is Working: The President’s Plan Grows the Economy from the Middle Out and Bottom Up—Not the Top Down バイデノミクスは機能している: 大統領の計画はトップダウンではなくミドルアウトとボトムアップから経済を成長させる
President Biden and Vice President Harris came into office determined to rebuild our economy from the middle out and the bottom up, not the top down—and that strategy is working. Even as they faced an immediate economic and public health crisis—with a raging pandemic, elevated unemployment, snarled supply chains, and hundreds of thousands of small businesses at risk of shuttering—the President and Vice President understood that it wouldn’t be enough to simply go back to the economy we had before the pandemic. That economy was saddled with longstanding challenges that held America back—including rising inequality and disinvestment from communities across the country. バイデン大統領とハリス副大統領は、トップダウンではなく、ミドルアウトとボトムアップから経済を立て直すことを決意して就任し、その戦略は成功している。大統領と副大統領は、猛威を振るうパンデミック、高騰する失業率、寸断されるサプライチェーン、閉鎖のリスクにさらされる何十万もの中小企業など、差し迫った経済と公衆衛生の危機に直面しながらも、パンデミック以前の経済に戻るだけでは不十分であることを理解していた。その経済には、全米の地域社会における格差の拡大や投資意欲の減退など、アメリカの足かせとなる長年の課題があった。
President Biden recognized that some of those challenges were rooted in a failed trickle-down theory that supported slashing taxes for the wealthy and big corporations, shrinking public investment in critical priorities like infrastructure and education, and failing to safeguard market competition. バイデン大統領は、こうした課題の根底には、富裕層や大企業への減税、インフラや教育のような重要な優先課題への公共投資の縮小、市場競争の保護に失敗したトリクルダウン理論があることを認識していた。
The President took office determined to move beyond these failed trickle-down policies and fundamentally change the economic direction of our country. His plan—Bidenomics—is rooted in the recognition that the best way to grow the economy is from the middle out and the bottom up. It’s an economic vision centered around three key pillars: 大統領は、こうした失敗したトリクルダウン政策から脱却し、わが国の経済の方向性を根本的に変えることを決意して就任した。彼の計画「バイノミクス」は、経済を成長させる最善の方法はミドルアウトとボトムアップであるという認識に根ざしている。 これは3つの柱を中心とした経済ビジョンである:
・Making smart public investments in America アメリカへの賢い公共投資を行う
・Empowering and educating workers to grow the middle class ・中産階級を拡大するため、労働者に力を与え、教育する。
・Promoting competition to lower costs and help entrepreneurs and small businesses thrive ・競争を促進してコストを引き下げ、起業家や中小企業の繁栄を支援する。
While our work isn’t finished, Bidenomics is already delivering for the American people. Our economy has added more than 13 million jobs—including nearly 800,000 manufacturing jobs—and we’ve unleashed a manufacturing and clean energy boom. There were more than 10 million applications for new small businesses filed in 2021 and 2022—the strongest two years on record. America has seen the strongest growth since the pandemic of any leading economy in the world. Inflation has fallen for 11 straight months and has come down by more than half. And we have done it all while responsibly reducing the deficit. 私たちの仕事はまだ終わっていないが、バイデノミクスはすでに米国民に成果をもたらしている。私たちの経済は、約80万人の製造業を含む1300万人以上の雇用を創出し、製造業とクリーン・エネルギー・ブームを巻き起こした。2021年と2022年には1,000万件以上の新規中小企業の申請があり、これは過去最高の2年間であった。米国はパンデミック以降、世界の主要経済国の中で最も力強い成長を遂げている。 インフレ率は11ヶ月連続で低下し、半分以下になった。そして我々は、責任を持って財政赤字を削減しながら、すべてを成し遂げたのである。
None of this progress was an accident or inevitable—it has been a direct result of Bidenomics. And rather than taking us back to the failed trickle-down policies of the past, President Biden is committed to finishing the job and continuing to build an economy that finally works for working families—with better jobs, lower costs, and more opportunity. バイデノミクスの直接的な成果である。バイデン大統領は、過去の失敗したトリクルダウン政策に戻るのではなく、仕事を終わらせ、より良い仕事、より低いコスト、より多くの機会を提供し、労働者家族のために最終的に機能する経済を構築し続けることを約束する。
Building More in America by Making Smart Public Investments 賢明な公共投資により、アメリカにさらなる発展をもたらす
When President Biden came into office, public investment as a share of the economy had fallen from 7% in the 1960s to half that. A core tenet of Bidenomics is that targeted public investment can attract more private sector investment, rather than crowd it out. This is particularly true in sectors that are central to the long-term economic and national security interests of the United States—from improving our infrastructure, to semiconductors, to investing in clean energy and climate security. バイデン大統領が就任した当時、経済に占める公共投資の割合は1960年代の7%から半分にまで低下していた。バイデノミクスの核となる信条は、的を絞った公共投資は、民間部門からの投資を押し流すのではなく、より多くの投資を呼び込むことができるということである。これは特に、米国の長期的な経済的・国家的安全保障上の利益の中心となる分野、すなわちインフラの改善から半導体、クリーンエネルギーや気候変動問題への投資までにおいて当てはまる。
The Biden-Harris Investing in America agenda is rebuilding our infrastructure, including our roads and bridges, high-speed internet capacity, ports, and airports. This infrastructure is the necessary foundation for durable and shared economic growth. Thanks to the Bipartisan Infrastructure Law, 35,000 new projects have been awarded funding in communities all across the country. By requiring Made-in-America products when using federal funding to rebuild infrastructure, President Biden is not only investing in our country’s roads and bridges, but also a strong domestic manufacturing base. バイデン-ハリスの「米国への投資」アジェンダは、道路や橋、高速インターネット容量、港湾、空港などのインフラを再建することである。このインフラは、持続可能で共有可能な経済成長のために必要な基盤である。超党派インフラ法のおかげで、全米のコミュニティで35,000の新規プロジェクトが資金を獲得した。インフラ再建のために連邦政府資金を使用する際にメイド・イン・アメリカ製品を要求することで、バイデン大統領は我が国の道路や橋に投資するだけでなく、強力な国内製造基盤にも投資している。
The President’s agenda is also investing in key industries that are critical to our national security and economic security, like producing more semiconductors in America. And it is investing in accelerating the clean energy economy to help achieve our climate goals, working with our global partners. This approach is creating millions of good-paying jobs, advancing American leadership in innovating next-generation technologies, and delivering for workers and communities. The President’s agenda is strengthening our clean energy supply chains by spurring new and expanded U.S. factories, including more than 150 battery plants and 50 solar plants already announced. In all, we’ve seen $490 billion in private investment commitments in 21st century industries since the President took office, and inflation-adjusted manufacturing construction spending has grown by nearly 100% in just two years. New data released just today shows the clean energy workforce added nearly 300,000 jobs in 2022 and clean energy jobs grew in every state in America, in part because of the investments in clean energy and manufacturing by the Biden-Harris Administration. 大統領のアジェンダはまた、米国内での半導体生産の増加など、国家安全保障と経済安全保障に不可欠な主要産業への投資も行っている。また、世界的なパートナーと協力し、気候変動目標の達成を支援するため、クリーン・エネルギー経済の加速化に投資している。このアプローチは、何百万もの高賃金の雇用を創出し、次世代技術の革新における米国のリーダーシップを前進させ、労働者と地域社会に恩恵をもたらす。大統領のアジェンダは、すでに発表された150以上のバッテリー工場と50以上のソーラー工場を含む、米国の工場の新設と拡張を促進することにより、クリーンエネルギーのサプライチェーンを強化している。大統領就任以来、21世紀型産業への民間投資額は4900億ドルに達し、インフレ調整後の製造業建設支出はわずか2年間で100%近く増加した。バイデン-ハリス政権によるクリーンエネルギーと製造業への投資もあり、2022年にはクリーンエネルギーの労働力が30万人近く増加し、アメリカのすべての州でクリーンエネルギーの雇用が増加した。
Empowering and Educating Workers to Grow the Middle Class 中産階級を成長させるために労働者に力を与え、教育する
Bidenomics also recognizes that the benefits of a growing economy are only broadly shared when policies are designed to promote and empower workers. When the President took office, independent experts like the Congressional Budget Office were projecting that the unemployment rate wouldn’t fall below 4% until the end of 2025. But under Bidenomics, the unemployment rate fell below 4% four years before expectations and has stayed there for the past 18 months. バイデノミクスはまた、経済成長の恩恵は、労働者の地位向上と能力強化のための政策によって初めて広く共有されることを認識している。大統領が就任した当時、議会予算局のような独立専門家は、2025年末まで失業率が4%を下回ることはないと予測していた。しかし、バイデノミクスの下、失業率は予想の4年前に4%を下回り、過去1年半は4%を維持している。
We’ve also seen record lows in unemployment for workers who have often been left behind in previous recoveries: with record low unemployment rates achieved under this Administration for African AmericansHispanic Americans, and people with disabilities—and a 70-year low for women. This strong labor market recovery has also led to better pay and working conditions. Inflation-adjusted income is up 3.5% since the President took office, and low-wage workers have seen the largest wage gains over the last year. Job satisfaction reached its highest level on record last year. And the prospect of good jobs has drawn people off the sidelines and into the workforce. In fact, the share of working-age Americans in the workforce hasn’t been higher in more than 20 years. This strong recovery will also provide durable benefits for years to come, in part by preventing the labor market scarring that sticks with workers for generations after a recession. また、これまでの景気回復期に取り残されがちだった労働者の失業率も過去最低を記録した: アフリカ系アメリカ人、ヒスパニック系アメリカ人、障害者の失業率は過去最低を記録し、女性の失業率は70年ぶりの低水準となった。この力強い労働市場の回復は、給与や労働条件の改善にもつながっている。インフレ調整後の所得は大統領就任以来3.5%上昇しており、低賃金労働者の賃金上昇率はこの1年で最大となった。 雇用満足度は昨年、過去最高を記録した。そして、良い仕事があるという見通しが、人々を副業から労働力へと引き寄せている。実際、労働年齢に占める労働人口の割合は、過去20年以上上昇したことがない。この力強い景気回復は、不況の後、労働者が何世代にもわたって抱える労働市場の傷跡を防ぐことによって、今後何年にもわたって持続的な利益をもたらすだろう。
Empowering workers also means educating America’s workers—those with and without a four-year degree. That’s why the Biden-Harris Administration is investing more in registered apprenticeships and career technical education programs than any previous Administration and continuing to fight for free universal pre-K and free community college. 労働者のエンパワーメントとは、4年制学位の有無にかかわらず、アメリカの労働者を教育することでもある。だからこそ、バイデン-ハリス政権は、登録見習い制度やキャリア技術教育プログラムに過去のどの政権よりも多く投資し、無料の全国共通就学前教育制度や無料のコミュニティ・カレッジのために闘い続けているのである。
And the President believes a critical tool for empowering workers is making it easier to join a union. The President is addressing a decades-long decline in unionization by supporting project labor agreements and collective bargaining. He asked the Vice President to lead the White House Task Force on Worker Organizing and Empowerment to drive action across the Administration to empower workers and support their right to join or form a union. Support for unions is the highest it’s been in more than half a century, and the labor movement is expanding to new companies and industries. また大統領は、労働者に力を与えるための重要な手段は、労働組合への加入を容易にすることだと考えている。大統領は、プロジェクト労働協約と団体交渉を支援することで、数十年にわたる労働組合の減少に対処している。大統領は副大統領に「労働者の組織化とエンパワーメントに関するホワイトハウス・タスクフォース」の指揮を執るよう要請し、労働者のエンパワーメントと組合加入・結成の権利を支援するための行動を政権全体で推進するよう求めた。労働組合への支持は過去半世紀以上で最も高く、労働運動は新たな企業や産業に拡大している。
Promoting Competition to Lower Costs and Help Entrepreneurs and Small Businesses Thrive 競争を促進してコストを下げ、起業家や中小企業の繁栄を支援する
Bidenomics recognizes that for markets to function—and for workers and consumers to benefit—our economy requires healthy competition across sectors. After three-quarters of U.S. industries grew more concentrated in the two decades before President Biden took office, he understood that we needed a different approach. More competition means lower costs for consumers and higher wages for workers. And since taking office, the President has been delivering for the American people to lower prices, protect workers, and increase competition across the economy. バイデノミクスは、市場が機能し、労働者と消費者が利益を得るためには、経済が部門を超えた健全な競争を必要としていることを認識している。バイデン大統領が就任するまでの20年間で、米国の産業の4分の3が集中した結果、バイデン大統領は異なるアプローチが必要であることを理解した。競争の激化は、消費者にとってはコストの低下を意味し、労働者にとっては賃金の上昇を意味する。そして就任以来、大統領は米国民のために、価格を下げ、労働者を保護し、経済全体の競争を高めることを実現してきた。
When the President took office, he signed an historic Executive Order on Competition, which “commits the federal government to full and aggressive enforcement of our antitrust laws.” That order identified 72 specific initiatives across government to promote competition—and it is paying off. In addition to enforcement, the Administration is lowering costs for consumers and creating opportunities for innovative new products to come to market—including from the millions of new small businesses around the country that have started during the Biden-Harris Administration. 大統領は就任時、「連邦政府が独占禁止法を完全かつ積極的に執行することを約束する」という歴史的な「競争に関する大統領令」に署名した。この大統領令は、政府全体で競争を促進するための72の具体的なイニシアチブを特定し、その成果を上げている。執行に加え、同政権は消費者のコストを引き下げ、バイデン-ハリス政権下で新たに始まった数百万の中小企業を含む、革新的な新製品の市場参入の機会を創出している。
For example, the Administration changed the rules so that hearing aids can be sold over-the-counter, instead of just via prescription. Previously, hearings aids could cost up to $5,000 per pair, but Americans can now get them for a few hundred dollars at a local convenience or electronics store. President Biden has signed legislation into law that will lower prescription drug costs for seniors and save taxpayers $160 billion over the next decade by giving Medicare the authority to negotiate lower prescription drug prices. The Administration is also fighting to end junk fees—hidden charges that cost Americans’ tens of billions per year and rob the marketplace of the kind of transparency that is necessary for real competition. And the Administration is working toward cracking down on noncompete agreements, which currently limit as many as 30 million workers from switching to a new job in the same field. 例えば、同政権は補聴器を処方箋経由だけでなく、市販でも販売できるようにルールを変更した。以前は補聴器は一組5,000ドルもしたが、今ではアメリカ人は近所のコンビニエンスストアや電気店で数百ドルで手に入れることができる。バイデン大統領は、メディケアに処方薬価格の引き下げ交渉権を与えることにより、高齢者の処方薬コストを引き下げ、今後10年間で1600億ドルの税金を節約する法案に署名した。政権はまた、年間何百億ドルもの負担を強い、真の競争に必要な透明性を市場から奪っている、隠れた手数料であるジャンク・フィー(迷惑料)を廃止するために戦っている。また、現在3,000万人もの労働者が同じ分野での転職を制限されている競業避止義務契約の取り締まりにも取り組んでいる。
Reducing the Deficit and Making the Wealthy and Big Corporations Pay Their Fair Share 財政赤字を削減し、富裕層と大企業に公平な負担を求める
President Biden has pursued this economic vision in a fiscally responsible way—in stark contrast to the Congressional Republican approach. His predecessor enacted the latest version of trickle-down and the result was predictable: his tax giveaway added trillions to deficits, never trickled down to workers, and led to continued offshoring of jobs and profits. In recent weeks, House Republicans have doubled down on this approach—rolling out proposals to enact massive tax cuts for large corporations, including oil companies that made $200 billion in profit last year, while setting the stage for trillions in tax cuts skewed to the wealthiest Americans, delivering a $175,000 average annual tax cut to the top 0.1% (incomes over $4 million). Their view of “fiscal responsibility” is massive cuts to programs that millions of Americans count on, with the Republican Study Committee—which speaks for more than three quarters of House Republicans—recently releasing a plan to raise the Social Security retirement age to 69, eliminate the Medicare prescription drug savings that President Biden has signed into law, raise premiums for seniors on Medicare, and slash Medicaid, the Affordable Care Act, food assistance, and Pell Grants. バイデン大統領は、議会共和党のアプローチとは対照的に、財政的に責任ある方法でこの経済ビジョンを追求してきた。彼の前任者はトリクルダウンの最新版を制定したが、その結果は予想通りだった。彼の税制優遇策は何兆ドルもの赤字を拡大させ、労働者には決して還元されず、雇用と利益の海外移転を継続させた。ここ数週間、下院共和党はこのアプローチをさらに強化し、昨年2,000億ドルの利益を上げた石油会社を含む大企業に大規模な減税を実施する一方で、アメリカの富裕層に偏った数兆ドル規模の減税を実施し、上位0.1%(所得400万ドル以上)に年間平均17万5,000ドルの減税を実施する計画を打ち出している。共和党研究委員会(下院共和党議員の4分の3以上を占める)は最近、社会保障制度の定年を69歳に引き上げ、バイデン大統領が署名したメディケアの処方薬貯蓄を廃止し、メディケアに加入している高齢者の保険料を引き上げ、メディケイド、医療費適正化法、食糧扶助、ペル・グラントを削減する計画を発表した。
President Biden believes in a fundamentally different approach. Under Bidenomics, he has proven that we can make smart investments in the American people while reducing the deficit by ensuring the wealthy and large corporations pay their fair share in taxes, closing wasteful tax loopholes, and slashing wasteful spending on special interests. バイデン大統領は、根本的に異なるアプローチを信じている。バイデノミクスのもと、富裕層や大企業に公平な税負担を保障し、無駄な税の抜け穴を塞ぎ、特別利益団体への無駄な支出を削減することで、財政赤字を削減しながら、アメリカ国民に賢明な投資ができることを証明した。
During his first two years, the President presided over $1.7 trillion in deficit reduction—a larger reduction than under any other President in American history. He has signed legislation into law to reduce the deficit by more than $1 trillion over the next decade, including by ensuring the wealthiest Americans and largest corporations pay their fair share, cracking down on wealthy tax cheats, and lowering prescription drug costs for the American people by cutting wasteful giveaways to Big Pharma. And his Budget would reduce the deficit by another more than $2.5 trillion over the next decade with additional reforms, including requiring the wealthiest Americans and the largest multinational corporations to pay at least the tax rates that many middle-class families do. 大統領就任後の2年間で、大統領は1.7兆ドルの財政赤字削減を指揮した。その中には、最も裕福なアメリカ人や大企業が公平に負担するようにすること、富裕層の税金泥棒を取り締まること、大手製薬会社への無駄な利益供与を削減することでアメリカ国民の処方薬コストを引き下げることなどが含まれる。また、彼の予算は、今後10年間でさらに2兆5,000億ドル以上の財政赤字を削減するもので、これには、米国の富裕層や最大手の多国籍企業に、少なくとも多くの中流家庭が支払っている税率を義務付けるなどの改革が含まれる。
Unlike House Republicans—whose plans would harm hard-working families—the President has proposed cutting taxes for working people and families with children by almost $800 billion over the next 10 years, including cutting taxes by an average of $2,600 for 39 million families that include 62 million children by expanding the Child Tax Credit, cutting taxes by an average of $800 for 19 million working individuals or couples by expanding the Earned Income Tax Credit, and continuing Premium Tax Credit plus-ups that are cutting health care premiums by an average of $800 for nearly 15 million people. 下院共和党が勤労者世帯に悪影響を与えるような計画を立てているのとは異なり、大統領は勤労者と子育て世帯のために今後10年間で8000億ドル近い減税を提案している。これには、児童税額控除の拡大による、6,200万人の子どもを含む3,900万世帯の平均2,600ドルの減税、所得税額控除の拡大による、1,900万人の勤労者個人または夫婦の平均800ドルの減税が含まれる。 また、保険料税額控除の上乗せ措置を継続し、約1500万人の医療保険料を平均800ドル削減する。

 

 

発表...

・2023.06.28 Remarks by President Biden on Bidenomics | Chicago, IL

Remarks by President Biden on Bidenomics | Chicago, IL バイデン大統領、バイデノミクスについて語る|イリノイ州シカゴ
11:58 A.M. CDT 中部夏時間 午前11時58分
THE PRESIDENT:  Hello, hello, hello.  (Applause.)  Thank you all very much.  大統領:こんにちは、こんにちは、こんにちは(拍手)、どうもありがとう。 
And, Bob, thank you for that introduction.  Bob has been helping me for a long time.  I guess he doesn’t know any better.  そしてボブ、序文をありがとう。  ボブは長い間私を助けてくれている。  彼はそれ以上のことを知らないのだろう。 
And speaking of help from a long time — a brand-new guy in town, a guy who — I told him that being mayor I think is the toughest job in America.  They know where you live, and every time you walk in the grocery store you get questions.  そして、長い間助けられてきたといえば......この町の新人で、彼に、市長というのはアメリカで最もタフな仕事だと思う、と言ったんだ。  彼らはあなたがどこに住んでいるか知っているし、食料品店に入るたびに質問を受ける。 
But congratulations, Mr. Mayor.  I think that you’ve been doing a good job.  (Applause.)  Mayor Brandon Johnson. でも市長、おめでとう。  あなたはいい仕事をしていると思う。  (ブランドン・ジョンソン市長。
Look, you know, there’s a guy that helped me more than — I can say this without equivocation — helped me more than anybody in America get elected last time.  A single person: your governor.  He stepped up.  He raised money.  He raised support.  Governor, you’re the best.  Thank you for being such a good friend.  (Applause.)  No, I really mean it.  ところで、アメリカの誰よりも私を助けてくれた人がいるんだ。  知事だ。  彼は立ち上がってくれた。  資金を集めてくれた。  支持を集めてくれた。  知事、あなたは最高だ。  良き友人でいてくれてありがとう。  (拍手)いや、本当にそう思う。 
And I like hanging around with heroines like Tammy Duckworth.  Tammy, God love you.  You’re the — you’re the best too, I tell ya.  タミー・ダックワースのようなヒロインと一緒にいるのが好きなんだ。  タミー、神があなたを愛している。  あなたも最高だよ。 
But you know what?  My good friend Dick Durbin — and he is a good friend; we’ve worked together a long, long time in the United States Senate — he’s the single-most effective senator in getting things done.  And that’s not a joke.  It’s not just Judiciary Committee.  He’s made sure that we got more judges appointed — we — we’ve appointed more African American women to the exec- — to the — to the federal bench than any other — every other president combined.  (Applause.)  And he got the first and brightest Justice Ketanji Brown.  He got — I said I was going to put a Black woman on the Court, and he put her on the Court for me.  He put her on the Court for me. しかし、知ってるか?  親友のディック・ダービンは、米国上院で長い間一緒に仕事をしてきた親友だが、物事を成し遂げる上で最も効果的な上院議員だ。  これは冗談ではない。  司法委員会だけではない。  彼は、他のどの大統領よりも多くのアフリカ系アメリカ人女性を連邦判事に任命した。  (拍手)そして、最も優秀な判事、ケタンジ・ブラウン判事を任命した。  私は黒人女性を法廷に入れると言ったが、彼は私のために彼女を法廷に入れた。  私のために彼女を法廷に入れてくれた。
Dick, you really are the best, man.  And, by the way, when I have questions about — just about any — anything at all beyond the Judiciary Committee, I still call him anyway for his advice.  So thank you. ディック、君は本当に最高だよ。  ちなみに、司法委員会のこと以外でも、何か質問があるときは、とにかく彼に電話してアドバイスをもらうことにしている。  ありがとう。
And Representative Danny Davis.  Danny, you’ve been a good friend for a long time.  (Applause.)  He’s always there.  そしてダニー・デイビス代表者。  ダニーとは長い付き合いだ。  (拍手)彼はいつもそばにいてくれる。 
And to all the elected officials — member of Congress, elected officials here today: Thank you.  Thank you for the welcome and welcoming me to Chicago. そして、選出されたすべての議員たち、今日ここにいる選出された議員たち: ありがとう。  シカゴへの歓迎をありがとう。
You know, in the first quarter of the 20th century, the poet Carl Sandburg described Chicago as a “city of big shoulders.”  A “city of big shoulders.”  He was describing the “big shoulders” of the working-class American town where — who were building this city, at the same time building the middle class. 20世紀の第1四半期、詩人のカール・サンドバーグはシカゴを「大きな肩の街」と表現した。  大きな肩の街」。  彼はアメリカの労働者階級の「大きな肩」を表現したのだ。彼は、中産階級を育てると同時に、この街を作り上げたのだ。
I’m here in Chicago today, for the first quarter of the 21st century, to talk about the economic vision for this country: the economy that grows the economy from the middle out and the bottom up instead of just the top down.  When that happens, everybody does well.  The wealthy still do — (applause) — everybody does well.  The poor have a ladder up, and the wealthy still do well.  We all do well. 私は今日、21世紀の最初の四半世紀のために、この国の経済ビジョンについて話すためにシカゴにいる。  そうなれば、誰もがうまくいく。  富裕層はまだしも(拍手)、誰もがうまくいく。  貧乏人には梯子があり、富裕層はまだうまくやっている。  私たち全員がうまくいく。
This vision is a fundamental break from the economic theory that has failed America’s middle class for decades now.  It’s called trickle-down economics — fundamental economics, trickle-down.  The idea was — it’s the belief that we should cut taxes for the wealthy and big corporations — and I know something about big corporations; there’s more corporations in Delaware incorporated than every other state in the union combined.  I want them to do well, but I — I’m tired of waiting for the trickle-down.  It doesn’t come very quickly.  Not much trickled down on my dad’s kitchen table growing up. このビジョンは、ここ数十年にわたってアメリカの中産階級を失敗させてきた経済理論からの根本的な脱却である。  これはトリクルダウン経済学と呼ばれるもので、基本的な経済学、トリクルダウンである。  私は大企業についてよく知っている。デラウェア州には、連邦の他のすべての州を合わせたよりも多くの企業が法人化している。  デラウェア州には他の州を合わせたよりも多くの企業がある。彼らには頑張ってほしいが、トリクルダウンを待つのはもううんざりだ。  トリクルダウンはなかなかやってこない。  私の父の台所のテーブルの上では、子供時代、あまりトリクルダウンは起こらなかった。
And it’s a belief that we should shrink public investment in infrastructure and public education — shrink it; that we should let good jobs get shipped overseas.  And we actually have a tax policy that encourages them to go overseas to save money.  We should let big corporations amass more power while making it harder to join a u- — a union. そして、インフラや公教育への公共投資を縮小すべきだという信念がある。  私たちは実際に、お金を節約するために海外に行くことを奨励する税制を導入している。  大企業にもっと権力を持たせる一方で、労働組合への加入を難しくするべきだ。
I meant what I said when I said I’m going to be the pro- — the most pro-union president in American history.  And I make no apologies for it.  (Applause.) 私はアメリカ史上最も労働組合に積極的な大統領になると言った。  それについて謝罪はしない。  (拍手)
My predecessor — if my mom were here — and God bless his soul — my predecessor enacted the latest iteration of a failed — the failed theory.  Tax cuts for the wealthy.  It wasn’t paid for, and the estimated cost of his tax cut was $2 trillion.  Two trillion dollars.  私の前任者は--私の母がここにいたら--彼の魂に神のご加護を--失敗した理論の最新の反復を制定した。  富裕層への減税だ。  そのために必要な費用は2兆ドルに上った。  2兆ドルだ。 
Now Republicans are at it again, pushing for tax cuts for large corporations and the wealthy and adding trillions of dollars to the deficit.  Trillions.  共和党は今また、大企業と富裕層への減税を推し進め、赤字に数兆ドルを上乗せしようとしている。  兆ドルだ。 
Folks, let me say this as clearly as I can: The trickle-down approach failed the middle class.  It failed America.  It blew up the deficit.  It increased inequity.  And it weakened the in- — our infrastructure.  It stripped the dignity, pride, and hope out of communities one after another, particularly through the Midwest, Western Pennsylvania, and heading west. 皆さん、できるだけはっきりと言おう: トリクルダウン方式は中間層を失望させた。  アメリカは失敗した。  赤字を膨らませた。  不公平を拡大した。  そしてインフラを弱体化させた。  特に中西部、ペンシルベニア西部、そして西部に至るまで、地域社会から尊厳、誇り、希望を次々と奪っていった。
People working as hard as ever couldn’t get ahead because it’s harder to buy a home, pay for a college education, start a business, retire with dignity. これまでと同じように懸命に働いていた人々が出世できなくなったのは、家を買うこと、大学教育費を支払うこと、ビジネスを始めること、尊厳をもって引退することが難しくなったからだ。
The first time in a generation, the path of the middle class seemed out of reach.  And I don’t think it’s hyperbole; I think it’s a fact no matter whether you’re a Democrat, Republican, or an independent.  この世代で初めて、中流階級の道は手の届かないものに思えた。  これは誇張ではなく、民主党であろうと共和党であろうと無所属であろうと同じことだ。 
I knew we couldn’t go back to the same failed policies when I ran, so I came into office determined to change the economic direction of this country, to move from trickle-down economics to what everyone in the Wall Street Journal and Financial Times began to call “Bidenomics.” だから私は、この国の経済の方向性を変え、トリクルダウン経済学から、ウォールストリート・ジャーナル紙やフィナンシャル・タイムズ紙の誰もが "バイデノミクス "と呼び始めたような経済学に移行することを決意して大統領に就任した。
I didn’t come up with the name.  (Laughter.)  I really didn’t.  I now claim it, but they’re the ones that used it first.  私がその名前を思いついたわけではない。  (笑)本当に思いつかなかった。  今では私が主張しているが、最初に使ったのは彼らだ。 
I got asked by a press person this morning, getting on the helicopter in Washington, why — “When I asked you about Bidenomics a long time ago, you said you didn’t know what it was.”  I said, “I didn’t name it Bidenomics.  I didn’t realize the economists in the Wall Street journal did.”  But I think it’s a plan that I’ll — I’m happy to call it “Bidenomics.”  (Laughs.)  (Applause.) 今朝、ワシントンでヘリコプターに乗ったとき、報道陣になぜと聞かれた。"昔、バイデノミクスについて質問したとき、あなたはそれが何なのか知らなかったと言ったね "と。  私は「バイデノミクスと名付けたのは私ではない。  ウォール・ストリート・ジャーナルのエコノミストたちが名付けたとは知らなかった。  でも、私はこの計画を "バイデノミクス "と呼んでもいいと思う。  (笑)(拍手)。
And guess what?  Bidenomics is working.  When I took office, the pandemic was raging and our economy was reeling, supply chains were broken, millions of people unemployed, hundreds of thousands of small businesses on the verge of closing after so many had already closed — literally, hundreds of thousands on the verge of closing.  そして何だと思う?  バイデノミクスはうまくいっている。  私が大統領に就任したとき、パンデミックは猛威を振るい、経済は動揺し、サプライチェーンは寸断され、何百万人もの人々が失業し、何十万もの中小企業がすでに閉鎖された後、文字通り閉鎖の危機に瀕していた。 
Today, the U.S. has had the highest economic growth rate, leading the world economies since the pandemic.  The highest in the world.  (Applause.) 今日、米国はパンデミック以降、世界経済をリードし、最高の経済成長率を記録している。  世界最高だ。  (拍手)。
As Dick said, with his help, we created 13.4 million new jobs.  More jobs in two years than any president has ever — (applause) — made in four — in two.  ディックが言ったように、彼の支援により、我々は1,340万人の新規雇用を創出した。  この2年間で、どの大統領よりも多くの雇用を創出した(拍手)。 
And, folks, it’s no accident.  That’s Bidenomics in action.  Bidenomics is about building an economy from the middle out and the bottom up, not the top down.  And there are three fundamental changes that we decided to make with the help of Congress and been able to do it: first, making smart investments in America; second, educating and empowering American workers to grow the middle class; and third, promoting competition to lower costs to help small businesses. そして皆さん、これは偶然ではない。  バイデノミクスの実践だ。  バイデノミクスとは、トップダウンではなく、ミドルアウトとボトムアップから経済を構築することだ。  第1に、アメリカへの賢明な投資、第2に、中間層を育てるためのアメリカ人労働者の教育と能力向上、第3に、中小企業を助けるための競争促進によるコスト削減である。
Here’s what I mean by all this.  Under trickle-down economics, it didn’t matter where you made things, as long as you helped the company’s bottom line, even if that meant seeing jobs and industries go overseas for cheaper labor.  Supply chains and key products moved overseas, like China and mu- — much of Asia.  The entire towns and communities, from where I lived all the way out there and through the Midwest, were shut down, hollowed out.  I mean literally hollowed out. 私が言いたいのはこういうことだ。  トリクルダウン経済学の下では、企業の収益に貢献するのであれば、どこでモノを作っても構わなかった。たとえそれが、安い労働力を求めて雇用や産業が海外に流出することを意味したとしても。  サプライチェーンや主要製品は、中国やアジアなど海外に移転した。  私が住んでいた地域から中西部まで、町やコミュニティ全体が閉鎖され、空洞化した。  文字通り、空洞化したのだ。
All over the country, parents have to say to their — and many of you and all elected officials heard people tell you this — had to say to their children, “Honey, I lost my job.  We can’t live here anymore.  We’ve got to move.” 国中のいたるところで、親たちは子どもたちに、そしてあなたたちや選挙で選ばれた議員たちの多くが、このような話を聞かされている。  もうここには住めない。  引っ越すしかないんだ "と言わなければならなかった。
Trickle-down also meant slashing public investment on things that helped drive long-term growth and helped America lead the world in innovation.  We used to invest 2 percent of our gross domestic product in research and development.  By the time I came to office, that was down to 0.7 percent. トリクルダウンはまた、長期的な成長を促し、アメリカが技術革新で世界をリードするのに役立つものへの公共投資を削減することも意味した。  かつては国内総生産の2%を研究開発に投じていた。  私が大統領に就任する頃には、それは0.7%にまで落ち込んでいた。
We used to be number one in the world in research and development.  That’s what we were known for.  Now we rank number nine in the world.  China, decades ago, was number eight in the world.  Now it’s number two in the world.  And other nations are closing in fast. かつては研究開発で世界一だった。  それが私たちの名声だった。  今は世界第9位だ。  中国は数十年前、世界第8位だった。  今では世界第2位だ。  そして他の国々が急速に迫ってきている。
We used to have the best infrastructure in the world — roads, bridges, et cetera — but then we fell to thirt- — rated 13th best inters- — investment in infrastructure.  Two to thirteen.  How can you have the best economy in the world without the best infrastructure in the world?  How do you get product from one place to another? かつては道路や橋など、世界一のインフラを誇っていたが、今では世界第3位--インフラへの投資額は世界第13位--に転落した。  2位から13位だ。  世界一のインフラを持たずに、どうして世界一の経済大国になれるのか?  どうやって製品をある場所から別の場所へ運ぶのか?
I was out in Pittsburgh recently, the “City of Bridges” — bridges collapsing all over the nation.  You’ve seen on television railroad bridges collapsing.  私は最近、"橋の街 "ピッツバーグに出かけた。 テレビで鉄道橋の崩壊を見たことがあるだろう。 
Bidenomics.  We’re turning this around.  We’re supporting targeted investments.  We’re strengthening America’s economic security, our national security, our energy security, and our climate security. バイデノミクスだ。  我々はこれを好転させる。  我々は的を絞った投資を支援している。  アメリカの経済安全保障、国家安全保障、エネルギー安全保障、気候変動安全保障を強化する。
I designed and we signed a Bipartisan Infrastructure Law.  It’s already announced — and you — I heard some of the speakers before touting some of it.  It’s already announced 35,000 projects across the country. 私は超党派インフラ法を立案し、署名した。  私は超党派インフラ法を立案し、署名した。  すでに全国で35,000のプロジェクトが発表されている。
Think of it this way: Nearly a century ago, Franklin Roosevelt’s Rural Electrification Act — Rural Electrification — brought electricity to millions of Americans in rural America.  Seventy years ago, Dwight Eisenhower launched the Interstate Highway System, the largest infrastructure project to date in history. こう考えてみよう: 100年近く前、フランクリン・ルーズベルトが農村電化法(Rural Electrification)を制定し、アメリカの農村部に住む何百万人ものアメリカ人に電気を供給した。  70年前、ドワイト・アイゼンハワーは、史上最大のインフラ・プロジェクトである州間高速道路システムを立ち上げた。
That’s what the Bipartisan Infrastructure Law does.  It will be for our kids and grandkids, only bigger.  超党派インフラ整備法はそれを実現するものだ。  これは私たちの子供や孫のためのものであり、より大規模なものとなる。 
Just last week, we announced our plan to bring affordable high-speed Internet to end a decade of — that — of unaffordable and un- — inaccessible Internet to every home in America, every small business in America.  つい先週、私たちは、アメリカのすべての家庭とすべての中小企業に、手頃な価格の高速インターネットを導入し、10年間続いた安価でアクセスしにくいインターネットに終止符を打つという計画を発表した。 
And to no one’s surprise — (applause) — and to no one’s surprise, it’s bringing along converts.  People strenuously opposed, voting against it when we had this going.  They were — this was going to “bankrupt America.”  そして、誰も驚かないだろうが(拍手)、誰も驚かないだろうが、改宗者をもたらしている。  私たちがこの計画を進めていたとき、人々は激しく反対し、反対票を投じた。  彼らは......これは "アメリカを破産させる "と言っていた。 
Well, there’s a guy named Tuberville from Ala- — a senator from Alabama, who announced that he strongly opposed the legislation.  Now he’s hailing its passage.  Here’s what he said: Quote, “It’s great to see Alabama receive critical funds to boost ongoing broadband efforts.”  (Laughter.)    アラバマ州の上院議員であるチューバビルという男が、この法案に強く反対すると表明した。  彼はこの法案に強く反対すると表明していた。  彼の発言はこうだ: 現在進行中のブロードバンドへの取り組みを後押しする重要な資金をアラバマ州が受け取るのは素晴らしいことだ。  (笑)。  
(The President makes the sign of the cross.)  (Laughter.) (大統領が十字架のサインをする)(笑)。
We’re replacing every single lead pipe in this country and putting our healther- — our children’s health back directly — (applause) — 400,000 schools, 10 million homes.  We’re fixing crumbling bridges, upgrading our power grid, renovating our airports and ports. 私たちはこの国の鉛管をひとつ残らず取り換え、子どもたちの健康を直接的に取り戻そうとしている。  崩れかけた橋を修復し、送電網を整備し、空港や港湾を改修している。
And, Dick, you’re — or one of you talked about that, how important that is for the Great Lakes as well.  そして、ディック、君は、あるいは君の一人は、五大湖にとってもそれがいかに重要かについて話していたね。 
Anyway, last week we reopened I-95, back where I live.  And you go up the East Coast — it’s one of the most important lengths in the entire East Coast.  Well, guess what?  Less than — we — a guy driving a truck hit a ba- — anyway, he knocked down a whole bridge, and the whole — blocked four lanes of the highway.  とにかく先週、私が住んでいるI-95が再開通した。 東海岸を縦断するこの道路は、東海岸全体で最も重要な長さのひとつだ。  さて、どうなったと思う?  トラックを運転していた男が橋に激突し、高速道路の4車線が封鎖されたんだ。 
I went up there, and I said, “We’re going to get this, the number one project, to get done.”  Within one week of my being there, two weeks of it happening, tanker trucks that crashed and caused this overpass that — that has 150,000 vehicles travel on it every day and 14,000 trucks. 私は現地に赴き、"この一番大事なプロジェクトをやり遂げよう "と言った。  私がそこに行ってから1週間も経たないうちに、2週間も経たないうちに、タンクローリーが事故を起こし、毎日15万台、1万4千台のトラックが行き交うこの陸橋を引き起こした。
It’s critical to our economy.  We did it with union workers.  (Applause.)  We closed all the loopholes.  We used all American products, all American materials.  We used federal infrastructure project, made in America.  Made in America.  Not a slogan; it’s actually happening. 私たちの経済にとって極めて重要だ。  私たちはそれを組合員とともに成し遂げた。  (抜け穴はすべて塞いだ。  すべてのアメリカ製品、すべてのアメリカ材料を使用した。  アメリカ製の連邦インフラ・プロジェクトを使用した。  メイド・イン・アメリカだ。 スローガンではなく、実際にそうなっている。
You know, when Roosevelt passed the legislation in the ‘30s about unions being able to be engaged, everybody thinks he just legalized unions.  It said we should encourage unions.  There was a little provision there that very few presidents paid attention to.  It said, “Buy American.”  That meant that if a president was given money by the Congress to build, say, a new deck in an aircraft carrier, or whatever it was, he or she was supposed to use 100 percent American labor and 100 percent American products.  It hardly happened.  They’d get exceptions down to 30 percent, et cetera. ルーズベルトが30年代に労働組合を合法化する法案を可決したとき、誰もが彼は労働組合を合法化しただけだと思った。  労働組合を奨励すべきだという内容だった。  しかし、そこに小さな条項があり、それに注目した大統領はほとんどいなかった。  それは "バイ・アメリカン "というものだった。  つまり、例えば空母の新しい甲板を建造するために議会から資金を与えられた大統領は、100%アメリカの労働力と100%アメリカの製品を使うことになっていた。  それはほとんど実現しなかった。  例外的に30%にまで下げられたりした。
I changed all that.  We’re now investing in key industries of the future, making targeted investments to promote domestic production of semiconductors, batteries, electric cars, clean energy. 私はそれをすべて変えた。  半導体、バッテリー、電気自動車、クリーンエネルギーの国内生産を促進するため、的を絞った投資を行っている。
Under the trickle-down economic theory was that public investment would discourage private investment.  Give me a break.  (Laughter.) トリクルダウン経済理論では、公共投資は民間投資を抑制するとされていた。  勘弁してくれ。  (笑)。
We went to see a whole lot of major corporations and said, “Are you more or less likely to invest if the government invests?”  Overwhelmingly — they had it backwards — they said, “No, we’re more likely to invest if the government invests.” 私たちは多くの大企業を訪ね、「政府が投資した場合、投資する可能性は高くなりますか、低くなりますか」と尋ねた。  彼らは「いや、政府が投資した方が投資する可能性が高い」と答えた。
Public investment declined here at home.  Industries that we invented started to move overseas, like semiconductors.  I want to remind you: America invented these chips — small computer chips the size of the tip of your finger that affect nearly everything in your life, from whether your cellphone functions, your automobiles fu- — can be built, refrigerators work.  It goes on and on — and to sophisticated weapons systems. 国内での公共投資は減少した。  私たちが発明した産業は、半導体のように海外に移転し始めた。  思い出してほしい: アメリカが発明した指先ほどの小さなコンピューターチップは、携帯電話の機能、自動車の製造、冷蔵庫の機能など、生活のほとんどすべてに影響を与える。  それは、携帯電話の機能、自動車の製造、冷蔵庫の機能など、あなたの生活のほとんどすべてに影響を与える。
It’s all in that little com- — without that computer chip, we got a real problem.  But over time, we went from producing 40 percent of those world’s chips down to 10 percent.  Not anymore. コンピュータ・チップがなければ、本当に困ったことになる。  しかし、時が経つにつれ、世界のチップの40%を生産していたのが、10%にまで減ってしまった。  今は違う。
Biden economics means the industries of the future are going to grow right here at home.  At home.  (Applause.)  I mean it.  Not a joke.  バイデン経済学は、未来の産業がここ自国で成長することを意味している。  自国でだ。  (拍手)私は本気だ。  冗談ではない。 
Under Bidenomics, we’ve already had over $490 billion in private investment commitments — $490 billion — from U.S. companies and companies around the world coming to the United States of America. バイデノミクスの下、我々はすでに4,900億ドルを超える民間投資のコミットメントを得た。4,900億ドルとは、米国企業や世界中の企業が米国に投資することだ。
Working with our global partners, America’s investments in clean energy technology are going to reduce carbon emissions, continue to lower the cost of wind — you talked about the wind farms you’re talking about.  You know, it’s already cheaper.  Wind and solar are already significantly cheaper than coal and oil.  You’re not going to see anybody building a new coal-fired plant in America, not just because I — I’d like to pass a law to say that.  It’s too expensive.  It doesn’t work anymore.  Solar power is not just here but around the world. 世界のパートナーと協力し、アメリカのクリーン・エネルギー技術への投資は、二酸化炭素排出量を削減し、風力発電のコストを下げ続けている。  風力発電のコストはすでに下がっている。  風力発電や太陽光発電はすでに石炭や石油よりもかなり安くなっている。  アメリカで新しい石炭火力発電所を建設する人はいないだろう。  高すぎる。  もう機能しない。  太陽光発電はここだけでなく世界中にある。
And we used to be the center of building these solar panels.  We’re coming back and doing it again.  America is going to lead again.  (Applause.) かつて私たちはソーラーパネル製造の中心地だった。  私たちは再び戻ってきて、それをやっている。  アメリカが再びリードするんだ  (拍手)。
Look, it’s a win for the United States and a win for the world that builds on my decision to rejoin the Paris Climate Agreement on the first day I came to office.  The first day.  (Applause.) これは米国にとっての勝利であり、世界にとっての勝利でもある。私が就任した初日にパリ協定に再加盟するという私の決断に基づくものだ。  最初の日だ。  (拍手)
And, by the way, my predecessor talked a lot about increasing manufacturing.  Remember “Infrastructure Week”?  Infrastructure Week became Infrastructure Week and week and week and week and week.  It never happened.  (Laughter.) ところで、私の前任者は製造業の増加について多くのことを語っていた。  インフラ・ウィーク」を覚えているだろうか?  インフラ・ウィークはインフラ・ウィークとなり、何週間も何週間も何週間も何週間も続いた。  それは実現しなかった。  (笑)。
We got Infrastructure Decade done right off the bat.  (Applause.) 私たちは「インフラの10年」をすぐに実現させた(拍手)。
But in reality, construction of manufacturing facilities here on U.S. soil grew only 2 percent on my predecessor’s watch in four years.  Two percent.  On my watch, it’s grown nearly 100 percent in two years — 100 percent — (applause) — with the help of all the members of Congress who are here.  And I’m not being solicitous. しかし実際には、ここアメリカ国内での製造施設の建設は、私の前任者のもとでは4年間でわずか2%しか伸びなかった。  2%だ。  私の時代には、2年間で100%近く伸びた--100%だ(拍手)--ここにいる全議員の協力があったからだ。  そして、私は懇願しているのではない。
Look — Weirton, West Virginia: It used to — where a steel mill closed in the beginning of this century — in 2001 or -02, in that range.  It employed thousands — it had thousands of good-paying jobs that were lost. ウェストバージニア州ウェイトンを見てほしい: ウェストバージニア州ウェイトン:今世紀初頭、2001年か2002年に製鉄所が閉鎖された。  そこでは何千人もの従業員が働いていた--何千人もの高賃金の雇用が失われていた。
But today, with the help from the Inflection [sic] Reduction Act — Inflation Reduction Act, a new plant is being built, building iron-air batteries, which are going to help store energy.  These batteries are going to help store energy.  And it’s being built on the same exact site, bringing back 750 good-paying jobs, bringing back a sense of pride and hope for the future, for all the people or Weirton and surrounding areas. しかし今日、インフレ抑制法(Inflation Reduction Act)の支援を受けて、新しい工場が建設され、エネルギー貯蔵に役立つ鉄空気電池が製造されている。  この電池はエネルギーを貯蔵するのに役立つ。  この工場は同じ場所に建設され、750人分の高賃金の雇用を取り戻し、ウィアトンやその周辺地域のすべての人々に誇りと未来への希望をもたらす。
I believe every American willing to work hard should be able to say where they grew up and stay where they grew up.  That’s Bidenomics. 私は、懸命に働くことを厭わないすべてのアメリカ人が、自分の生まれ育った場所を言うことができ、自分の生まれ育った場所にとどまることができるべきだと信じている。  それがバイデノミクスだ。
You know, my dad used to have an expression.  He’d say, “Joey…” — and I give you my word.  He’d say — my dad was a well-read guy, never got to go to college, and a hardworking gentleman.  私の父はよくこう言っていた。  ジョーイ...」と言うんだ。  父はよく本を読む男で、大学には行かず、勤勉な紳士だった。 
We had dinner at — where we incidentally had conversation and incidentally ate.  My dad used to say, “Remember, a job is about a lot more than a paycheck.”  And I mean this; I give you my word.  He would say, “A job is about lo- — a lot more than a paycheck, Joey.  It’s about your dignity.  It’s about pride.  It’s about being able to look your kid in the eye and say, ‘Honey, it’s going to be okay.’”  私たちは夕食をとった--そこでついでに会話をし、ついでに食事をした。  父はよくこう言っていた。"仕事とは給料以上のものだということを忘れるな"。  これは本心だ。  ジョーイ、仕事とは給料以上のものなんだ。  尊厳のためだ。  プライドだよ。  子供の目を見て、"ハニー、大丈夫だよ "と言えることなんだ」。 
Think about it.  I mean literal sense, think about that.  It’s about your dignity, how you’re treated, and being able to make a living and you can tell your kids it’s going to be okay. 考えてみてくれ。  文字通りの意味でだ。  自分の尊厳、待遇、そして生計を立て、子供たちに『大丈夫だよ』と言えることだ
The second big part of Bidenomics is empowering American workers. バイデノミクスの2つ目の大きな部分は、アメリカの労働者に力を与えることだ。
When I took office, unemployment was over 6 percent.  With the American Rescue Plan, we’ve provided relief and support directly to working-class families.  Our economy came roaring back.  Unemployment dipped below 4 percent by the end of my first year in office.  Now it’s been below 4 percent for the longest stretch in 50 years in American history.  (Applause.) 私が大統領に就任したとき、失業率は6%を超えていた。  アメリカン・レスキュー・計画によって、労働者階級の家庭に直接救済と支援をプロバイダした。  その結果、景気は急回復した。  失業率は就任1年目の終わりまでに4%を下回った。  今や失業率は、アメリカ史上50年間で最も長く4%を下回っている。  (拍手)。
And I must admit I concentrated on it, but we’ve seen, with the help of Jesse Jackson’s legacy and a lot of other people here, we’ve seen record-low unemployment for African Americans — record-low unemployment for African Americans — and Hispanic workers with disabilities.  ジェシー・ジャクソンの遺産をはじめ、ここにいる多くの人々の協力のおかげで、アフリカ系アメリカ人の失業率が過去最低を記録し、障害を持つヒスパニック系労働者の失業率も過去最低を記録した。 
The lowest unemployment rate in 70 years for American women, and you make up half the economy and probably two thirds of the brains.  (Applause.)  No, really, think about it. アメリカ人女性の失業率は過去70年間で最低であり、あなた方は経済の半分を占め、おそらく頭脳の3分の2を占めている。  (いや、本当に考えてみてほしい。
To pause for a second: When I was trying to get — name me a time when you thought any Democrat would get the endorsement — every en- — within a week, every single environmental group out there, the AFL-CIO, the women’s groups.  私が民主党の支持を得ようとしたとき、1週間も経たないうちに、環境保護団体、AFL-CIO、女性団体など、あらゆる団体が支持を表明した。 
I mean, here’s the deal: When I sat with the AFL-CIO, when I sat with the IBEW — starting when I ran last time — I said, “Here’s the deal, though: I’m going to be the most pro-American — most pro-union president in history, but you’ve got to employ more women, you’ve got to attract more African Americans, and you’ve got to attract more minorities.”  They have; they’re going now.  It’s beginning to change.  (Applause.) つまり、こういうことだ: AFL-CIOやIBEWと会談したとき、つまり前回出馬したときからだが、私はこう言った: 私は歴史上最も親米的で、最も親組合的な大統領になるつもりだ、 そして、もっと女性を雇用し、アフリカ系アメリカ人、マイノリティを惹きつけなければならない。  彼らはそうしてきた。  変わり始めている。  (拍手)。
In every industry, from — anyway, I’m — I go to these sites where they’re training — by the way, the other thing I’ve told labor guys: You’ve got to brag a little more about what you do.  Do you realize to get a license to be an electrician in this town or any other you’ve got to essentially go to four years of college?  You have to go through an apprenticeship that takes you four years to five depending — or you can’t get a job.  You get paid a little bit, but you can’t get your license to be an electrician, a labor electrician, until that happens. どの業界においても、僕は--とにかく、僕は--彼らがトレーニングしている現場に行くんだ--ところで、もうひとつ労働者たちに言っていることがある: 自分の仕事をもう少し自慢したほうがいい。  この町や他の町で電気技師の免許を取得するには、基本的に4年間大学に通わなければならない。  4年から5年かかる見習い期間を経なければならない。  そうでなければ、仕事に就くことはできない。給料は少しもらえるが、それまでは電気技師、つまり労働電気技師の免許を得ることはできない。
Look, pay for low-wage workers has grown at the fastest pace in over two decades.  Full employment means workers, especially low-wage workers, have even more bargaining power to demand good pay, to secure good jobs.  低賃金労働者の賃金は過去20年間で最も速いペースで伸びている。  完全雇用とは、労働者、特に低賃金労働者が、良い賃金を要求し、良い仕事を確保する交渉力をさらに持つことを意味する。 
And this is the thing that isn’t consistent with whether people think that we’re moving in the right direction:  Job satisfaction, based on every poll, is at a 36-year high.  More people are satisfied with their jobs than any time in 36 years. そしてこれが、我々が正しい方向に進んでいると人々が考えているかどうかとは一致しない点である:  どの世論調査を見ても、仕事に対する満足度は36年ぶりの高水準にある。  過去36年間で最も多くの人が仕事に満足している。
And the shame [sic] of working-age Americans in the workforce — the share of them — the share of them is the highest it’s been in 20 years.  Remember what they were saying?  “Biden’s policy isn’t working.  He’s just paying people not to work, people on the sidelines.”  Well, guess what?  Every single day in four years before I took office — you may remember, I took a lot of criticism in my presidency.  Republicans charged me with encouraging people to stay home and not work.  Well, they were wrong. そして、労働力として働いている現役世代のアメリカ人の「恥」(中略)シェアは、過去20年間で最高となっている。  彼らが何を言っていたか覚えているだろうか?  「バイデンの政策は機能していない。  彼は働かない人、副業をしている人に金を払っているだけだ」。  さて、何だと思う?  私が大統領に就任するまでの4年間、毎日毎日、私は多くの批判を浴びたことを覚えているだろうか。  共和党は、人々が働かずに家にいることを奨励していると私を非難した。  しかし、彼らは間違っていた。
The evidence is clear: Americans are back to work who’ve been on the sidelines, and they want to come back. 副業をしていたアメリカ人が仕事に復帰し、復帰を望んでいるのだ。
And we’re going to continue this progress by making sure every American has the training and education to participate in this new economy. そして我々は、すべてのアメリカ人がこの新しい経済に参加するための訓練と教育を受けられるようにすることで、この進歩を続けるつもりだ。
We’ve increased Pell Grants and made landmark investments in historic Black universities. 私たちはペル・グラントを増額し、歴史的な黒人大学に画期的な投資を行ってきた。
We’ve invested more in registered apprenticeships and center — and career technology education programs than any previous administration in American history. 登録見習い制度やセンター、キャリア・テクノロジー教育プログラムには、アメリカ史上どの政権よりも多くの投資を行ってきた。
Because of this new economy, we don’t need everyone to have a four-year degree.  It’s great if you can get one; we’re trying to make it easier for you to get one.  But you don’t need it to get a good-paying job anymore. この新しい経済では、全員が4年制の学位を取得する必要はない。  取得できれば素晴らしいことであり、私たちは取得しやすくしようとしている。  しかし、給料の良い仕事に就くためには、もう学位は必要ないのだ。
Think of this: How many of you remember going back to high school and they had shop class, and they had classes where people can learn if they were interested in working with their hands?  They don’t have them very much anymore, anywhere around the country. 考えてみてほしい: 高校に戻ると工作の授業があり、手を動かすことに興味がある人が学べるクラスがあったことを覚えている人は何人いるだろうか?  今はもう、全国どこへ行ってもそんな授業はあまりない。
Well, my wife teaches at a community college, full-time, still.  She has an expression; she says, “Any country that outcompetes us, that out” — excuse me — “that out-educates us will outcompete us.”  We’re not going to let that happen. 私の妻はコミュニティ・カレッジでフルタイムで教えている。  彼女はこう言うんだ。"私たちに勝る国、私たちを出し抜く国"--失礼--"私たちを出し抜く教育をする国は、私たちを出し抜くだろう"。  そんなことはさせない。
That’s why we’re investing significantly in education. だから私たちは教育に多額の投資をしている。
I’m determined to keep fighting for universal pre-K and free community college. 私は、普遍的な就学前教育とコミュニティ・カレッジの無償化のために闘い続ける決意だ。
We’re also fighting to make — (applause) — we’re also fighting to make childcare more affordable because we know one benefit is that it opens up significant opportunities for parents to be able to go back and join the workforce.  (Applause.) 私たちはまた、保育料をもっと安くするために闘っている  (拍手)。というのも、保育料がもっと手ごろになることで、親が職場に戻って働けるようになり、大きなチャンスが広がるからだ。  (拍手)。
We’re also making it easier to empower workers by making it easier to join a union.  また、労働組合への加入を容易にすることで、労働者に力を与えることも容易にしている。 
As I said, I promised to be the most pro-union president in history.  And I tell business leaders all the time: Our union workers are the best in the world. 言ったように、私は歴史上最も組合に積極的な大統領になると約束した。  そして、私はいつもビジネス・リーダーに言っている: 私たちの組合の労働者は世界最高だ。
It takes four to five years at an apprentice.  It’s like going to college.  They’ll do the right job on time.  Long-term costs for businesses is less. 見習いでも4、5年はかかる。  大学に行くようなものだ。  彼らは時間通りに正しい仕事をする。  企業にとって長期的なコストは少ない。
You know, addressing the 40-year decline in unionization by supporting project labor agreements, collective bargaining, prevailing wage laws, that’s the reason today Americans’ support of unions is higher than it’s been in 60 years — 60 years.  (Applause.) プロジェクト労働協約、団体交渉、実勢賃金法を支持することで、40年にわたる労働組合の減少に対処している、 それが今日、アメリカ人の組合支持率が過去60年間で最も高くなっている理由だ。  (拍手)。
And, by the way, I met with the Business Roundtable and others.  They said, “Why am I so pro-union?”  And I said, “Because it helps you.”  It really does.  Think about it. ところで、私はビジネス・ラウンドテーブルなどに会った。  彼らはこう言った。  私は、"それがあなた方の助けになるからだ "と言った。  本当にそうだ。  考えてみてほしい。
The total cost of a major project goes down when you have the best workers in the world doing it.  Not a joke.  It’s true.  It lasts longer.  You don’t have to worry about whether that — that socket is going to work. 世界最高の労働者が働けば、主要プロジェクトの総コストは下がる。  冗談じゃない。  本当なんだ。  長持ちする。  ソケットがうまくいくかどうかを心配する必要もない。
Look, young people are organizing in new companies and industries.  You know, I’ve — I’ve indicated labor — to labor leaders they must expand their ranks.  As I said: more women, more minorities.  That’s what they’ve got to do. ほら、若い人たちが新しい企業や産業で組織化している。  私は労働界のリーダーたちに、労働者の仲間を増やさなければならないと言ってきた。  私が言ったように、女性やマイノリティを増やすことだ。  そうしなければならない。
The third part of Biden economics is promoting competition.  Because when companies have to compete on a level playing field, they have to work harder to attract customers and recruit and retrain workers.  Some of you businesspeople in here know that well. バイデン経済学の3つ目は、競争の促進である。  なぜなら、企業が公平な競争の場で競争しなければならなくなれば、顧客を惹きつけ、労働者を採用し、再教育するために懸命に働かなければならなくなるからだ。  ここにいるビジネスマンの中には、そのことをよく知っている人もいるだろう。
But under the trickle-down economic thr- — theory, three quarters of U.S. industries grew more con- — concencra- — I mean — excuse me — consecrated [concentrated].  I’m thinking I didn’t go to mass.  (Laughter.)  They c- — they were moving to diminish competition. しかし、トリクルダウン理論のもとでは、アメリカの産業の4分の3がより集中的に成長した。  私はミサに行っていないようだ(笑)。  (彼らは競争力を削ぐために動いていたんだ。
Well, that may have been things — made things easier for big corporations.  But for everybody else, it made it harder and more expensive.  It got harder for bus- — small businesses to compete.  It stifled integration [innovation].  It reduced wages for — for workers.  And it made our supply chains more vulnerable. まあ、それは大企業にとっては楽なことだったかもしれない。  でも、それ以外の人たちにとっては、より難しく、より高くなった。  中小企業にとっては競争が難しくなった。  統合(イノベーション)が阻害された。  労働者の賃金を引き下げた。  サプライチェーンの脆弱性も高まった。
So, folks, that’s been the Republican plan so far.  Good for big business.  Bad for everybody else.  It’s not even that good for big business anymore.  これが共和党のこれまでの計画だ。  大企業にとっては好都合だ。  他のすべての人々にとっては悪い。  もはや大企業にとって良いことですらない。 
When I came to office, it was a very different plan: a limited contertation [concentration] of power at the expense of consumers.  The cops are back on the beat enforcing anti-trust laws. 私が大統領に就任した当時は、消費者を犠牲にして権力を限定的に集中させるという、まったく異なる計画だった。  独占禁止法を執行する警察が戻ってきた。
My administration is working to crack down on what we used to call “non-compete agreements.”  We still call them that.  私の政権は、かつて「非競争契約」と呼ばれていたものを取り締まるべく取り組んでいる。  今でもそう呼んでいる。 
These prevent 30 million Americans — from security guards to retail workers — from walking across the street to a same kind of business and getting a higher pay — getting 5 bucks more a week or 10 bucks more a week. これは、警備員から小売店労働者に至るまで、3千万人のアメリカ人が通りを渡って同じ業種に行き、週5ドル、あるいは週10ドル高い給料を得ることを妨げている。
Non-compete agreements.  It’s one thing to have non-compete agreements when you’re dealing with trade secrets.  It’s another thing when you’re doing the same thing of flipping a hamburger, and you’re going to get five cents more by walking across the street to a different place.  競業避止義務契約。  企業秘密を扱っているときに競業避止契約を結ぶのは一つのことだ。  ハンバーガーをひっくり返すという同じことをしているのに、通りを渡って別の店に行けば5セント高くなるというのは別の話だ。 
We also — we’ve promoted and we’re supporting small businesses.  You know, Vice President Harris has prioritized providing support and capital for small-business owners, including for rural, minorities, and women entrepreneurs; including through a brand-new program that’s already helping deliver billions of dollars in growth capital to small businesses in every state. 私たちはまた、中小企業を促進し、支援している。  ハリス副大統領は、地方やマイノリティ、女性起業家を含む中小企業経営者への支援と資金提供を優先しており、すでに各州の中小企業に数十億ドルの成長資金を提供する新しいプログラムも実施している。
We’ve seen a record 10.5 million applications — 10.5 million applications — for folks looking to start a small business just in the last two years — 10.5.  Every one of those applications is an application to hope.  Hope.   この2年間だけでも、中小企業の起業を希望する人々の申請件数は過去最高の1,050万件(1,050万件)に達している。  これらの申請のひとつひとつが希望への申請である。  希望だ。  
Competition also means lowering costs for consumers.  Bringing down inflation remains one of my top priorities. 競争はまた、消費者のコストを下げることを意味する。  インフレ率の低下は、私の最優先事項のひとつである。
Today, inflation is less than half — less than half of what it was a year ago — and that inflation caused by Russia and by the war in Ukraine and by what was going on.  But we knew we had more to do.  There’s more than one way to bring down the costs. 今日、インフレ率は1年前の半分以下になっている。ロシアやウクライナでの戦争、そして何が原因でインフレになったのか。  しかし、我々はもっとやるべきことがあるとわかっていた。  コストを下げる方法は一つではない。
Another expression my dad used to use — for real, he’d say, “Joey…” — he said, “At the end of the month, the question is, after you pay all your bills, do you have just a little left for breathing room?  Just a little left for breathing room.  All your bills paid; do you have anything left?” もうひとつ、父がよく使っていた表現がある。「ジョーイ......」と父は言うのだが、「月末になると、すべての請求書を支払った後に、息抜きのためにほんの少し残っているかどうかが問題になる。  ほんの少し余裕が残っている。  請求書は全部払ったが、何か残っているか?
Well, inflation eats into that obviously.  But guess what?  Bringing down the cost of medication goes a long way to giving you a little more.  まあ、インフレがそれを食い込んでいるのは明らかだ。  しかし、どうだろう?  薬代を下げれば、もう少し余裕ができる。 
That’s why, through the Inflation Reduction Act, we finally gave Medicare the power to negotiate lower prescription drug prices like the VA does now.  (Applause.) だから、インフレ抑制法を通じて、ついにメディケアに、現在のバージニア州のように処方薬価格の引き下げを交渉する権限を与えたのだ。  (拍手)。
We’ve been trying to get this done — Dick and I — for decades in the Senate.  This time, we finally beat Big Pharma for the first time.  (Applause.) ディックと私は、上院で何十年もの間、これを実現しようとしてきた。  今回、我々はついに初めてビッグ・ファーマを打ち負かした。  (拍手)。
You know — you know, the same drug made by the same American company sold in Chicago is more expensive than that same drug sold in Toronto, Great Britain, Eng- — France, Germany, any — any city you can name.  For real.  シカゴで売られている同じアメリカの会社が作った同じ薬は、トロントやイギリス、フランス、ドイツ、どんな都市で売られている同じ薬よりも高いんだ。  本当だ。 
Now, seniors on Medicare are paying as much as 400 — less — 4- — who were paying $400 a month for insulin last year are now paying $35 a month.  (Applause.)  今、メディケアの高齢者は、昨年インスリンに月400ドル払っていた人が、今では月35ドルも払っている。  (拍手)。 
Because guess what?  You know how much it costs to make that insulin?  Ten — T-E-N — dollars.  Package it, maybe 12 total.  And the guy who invented the insulin didn’t even ask for a — a patent because he wanted everybody to have access to it. だってそうだろう?  インスリンを作るのにいくらかかると思う?  10ドルだ。  パッケージにして12ドルくらいだ。  そのインスリンを発明した人は特許を取ろうともしなかった。誰でも手に入るようにしたかったからだ。
We’re just finishing the first round of negotiating drug prices, and we’ll save the taxpayers this year $160 billion.  (Applause.)  That’s like a tax cut.  我々は薬価交渉の第一ラウンドを終えたところだが、今年は1600億ドルの税金を節約できるだろう。  (これは減税のようなものだ。 
It lowers the cost of prescription drugs, and it lowers the federal deficit as well.  処方薬のコストを下げ、連邦赤字も減らす。 
We’re expanding healthcare coverage for more Americans building on Barack’s Affordable Care Act.  (Applause.)  You know why we’re doing that?  I’m proud to strengthen that act, saving average families $800 a year on their healthcare premiums. 私たちは、バラクの医療保険法(Affordable Care Act)に基づき、より多くのアメリカ人に医療保険を拡大する。  (なぜそんなことをするのかわかるか?  この法律を強化し、平均的な家庭の医療保険料を年間800ドル節約できることを誇りに思う。
We’re also fighting to end junk fees.  Most people don’t think of it that way.  Well, here’s what a junk fee is: They can add up to a hundred dollars a mon- — hundreds of dollars a month for a family.  Like that extra fee when you say, “I want my child to sit next to me when I take him to see Grandpop on the West Coast.”  It’s not listed now.  They’re listing it now.  私たちはまた、ジャンク・フィーを終わらせるために戦っている。  ほとんどの人はそのように考えていない。  しかし、ジャンクフィーとはこういうものだ: 家族で月100ドル、数百ドルかかることもある。  例えば、"西海岸のおじいちゃんに会いに行く時、子供を私の隣に座らせたい "と言った時の追加料金のようなものだ。  今は掲載されていない。  今は記載されている 
Hotel resort fees.  You don’t realize — you’re not told they’re going to be — you know that ad in television, “Mine is $200.  His is $180”?  Well, guess what?  ホテルのリゾートフィー。  あなたは気づいていない。テレビで「私のは200ドル。  私のは200ドル、彼のは180ドル」とテレビで宣伝しているのをご存知だろうか?  どうだと思う? 
Or the — the one that bothers me the most is overdraft fees for banks.  The banks made $7.7 billion a year on overdraft fees.  You overdraft on your checking, you get a penalty.  私が一番気になるのは、銀行の当座貸越手数料だ。  銀行は当座貸越手数料で年間77億ドルを売り上げている。  当座預金を借り過ぎるとペナルティが課せられる。 
It’s — one of the leading bank presidents — God love him, he’s passed away — but he had a — he had a yacht.  The name of the yacht was “Overdraft.”  (Laughter.)  I swear to God.  Well, guess what?  There are going to be no more overdraft fees.  (Applause.) 銀行を代表する頭取の一人で、もう亡くなってしまったが、彼はヨットを所有していた。  そのヨットの名前は "当座貸越 "だった(笑)。  (神に誓って。  さて、何だと思う?  当座貸越手数料はもうかからないよ。  (拍手)。
Folks, we’re doing this — we’re doing all this, reducing the deficit at the same time. 皆さん、私たちはこのようなことをやっている--赤字を減らしながら、同時にこのようなことをやっている。
Just in my first two years in office, my team and I have reduced the deficit by $1.7 trillion — more than any president has just in two years.  (Applause.)  就任後2年間で、私と私のチームは赤字を1兆7000億ドル削減した。  (どの大統領よりも多い。) 
And the budget agreement I negotiate, without having to give away anything of consequence, reduced the deficit by another trillion dollar. そして、私が交渉した予算合意では、重要なものを手放すことなく、赤字をさらに1兆ドル削減した。
You know, reversing 40 years of Republican trickle-down economics that helped few but hurt the middle class, it’s going to take some time.  But we’re in — but we’re in a place where some big pieces — and we’re moving in the direction where we can get some more done and people will see it. 共和党の40年にわたるトリクルダウン経済学を覆すことは、少数の人々を助け、中産階級を苦しめるものであり、時間がかかるだろう。  しかし、私たちは今、いくつかの大きなピースを手に入れ、さらに多くのことを成し遂げられる方向に進んでいる。
What I’m doing — and I knew I’d have to do this: All those major legislations we passed, people go, “That’s great.”  But they — it takes time to get it out in the field. 私がやっていることは--こうしなければならないことは分かっていた: 私たちが通過させた主要な法案はすべて、人々は "素晴らしい "と言ってくれる。  しかし、それを現場に届けるには時間がかかる。
It takes time for them to see it.  And I’m not here to declare victory on the economy.  I’m here to say we have a plan that’s turning things around incredibly quickly.  彼らがそれを理解するには時間がかかる。  私はここで経済面での勝利を宣言するつもりはない。  信じられないほど早く状況を好転させる計画があると言いたいのだ。 
But we have more work to do.  For example, does anyone here think the federal tax system is fair?  Raise your hand.  No matter how much money you make.  We’re going to make it fair by eliminating loopholes for crypto traders, hedge fund managers.  Big Oil made $200 billion last year and got a $30,000 tax break — $30 billion tax break. しかし、まだやるべきことはある。  例えば、連邦税制が公正だと思う人はいるだろうか?  手を挙げて。  どれだけ稼いでいてもだ。  我々は、暗号トレーダーやヘッジファンド・マネージャーの抜け穴をなくすことで、公平な税制にするつもりだ。  ビッグオイルは昨年2000億ドルを稼いだが、3万ドルの減税を受けた。
We’re going to get billionaires to pay up a little bit, at least a minimum tax.  You know, when we — when we began, there were 750 — before the pandemic — 750 billionaires in America.  Now there are a thousand.  You know how much their average tax is — they pay in federal tax?  Eight percent taxes.  No billionaire should pay a lower tax rate than a schoolteacher, a firefighter, or a cop.  I mean, this is — (applause) — 億万長者にも少しは負担してもらうつもりだ、少なくとも最低限の税金は。  ご存知のように、私たちが起業した当時、アメリカには750人の億万長者がいた。  今は1000人だ。  彼らの連邦税の平均額を知っているかい?  8%の税金だ。  億万長者が学校の先生や消防士や警官より低い税率を払うはずがない。  つまり、これは......(拍手)。
And I’m not talking about the old, old days of 70 percent tax.  I’m talking about a fair shot.  If they just paid the top — at the top tax rate that exists now, which is lower than 30 percent, we’d raise billions and billions of dollars, lowering the deficit, allowing us to pay for so much more we have to do. 私は70%課税の古い古い時代の話をしているのではない。  公平に払おうという話だ。  現在の最高税率である30%よりも低い税率で納税すれば、何十億ドル、何百億ドルもの財源が生まれ、財政赤字が減少し、私たちがやらなければならないもっと多くのことにお金が使えるようになる。
That’s the next phase of this fight: making the tax code fair for everyone, making the wealthy and the super-wealthy and big corporations begin to pay their fair share, without raising taxes at all on the middle class. それがこの戦いの次の段階だ: 税制を誰にとっても公平なものにし、富裕層や超富裕層、大企業に公平な負担をさせ、中間層にはまったく増税しない。
I made a commitment when I got elected: No one in America making under $400,000 would ever have to pay a single penny more in federal taxes as long as I’m president.  (Applause.)  And I’ve kept that promise.  And $400,000 is a lot of money where I come from. 私は当選時に公約した: 私が大統領である限り、アメリカの40万ドル以下の所得者は連邦税を1ペニーたりとも多く払う必要はない。  (拍手)そして私はその約束を守ってきた。  私の出身地では40万ドルは大金だ。
Let me close this.  I came — when I came to office, I had a fundamental decision to make: Are we going to continue to trickle-down economic as a policy — that’s failed time and again, that grew in inequality, that saw jobs go overseas, that saw– and you’ve seen it out here — towns hollowed out. 最後に言わせてほしい。  私は大統領に就任したとき、根本的な決断を迫られた: 何度も失敗し、不平等を拡大させ、雇用を海外に流出させたトリクルダウン経済政策を続けるのか、 その結果、格差は拡大し、雇用は海外に流出し、町は空洞化した。
I ran on the promise I was going to end this and that I’d begin to build an economy from the middle out and the bottom up.  We’re not going to continue down the trickle-down path as long as I’m president.  This is the moment we are finally going to make a break and move away from economy that has existed in a fundamentally different direction. 私はこれに終止符を打ち、中間層と底辺から経済を構築し始めるという公約を掲げて立候補した。  私が大統領である限り、トリクルダウンの道を進むつもりはない。  私が大統領である限り、トリクルダウン路線を続けるつもりはない。今こそ、これまでとは根本的に異なる方向に存在してきた経済から脱却し、脱却する瞬間なのだ。
Here’s the simple truth about trickle-down economics: It didn’t represent the best of American capitalism, let alone America.  It represented a moment where we walked away — and how many in this country — from how — how this country was built, how this city was built. トリクルダウン経済学についてのシンプルな真実がここにある。それはアメリカ資本主義の最良の代表者ではなく、ましてやアメリカを代表するものでもなかった。  それは、この国がどのように築かれ、この都市がどのように築かれたかということから、私たちが-そしてこの国の多くの人々が-立ち去った瞬間を代表するものだった。
Bidenomics is about the future.  Bidenomics is just another way of saying: Restore the American Dream because it worked before. バイデノミクスは未来についてのものだ。  バイデノミクスとは、別の言い方にすぎない: アメリカン・ドリームを取り戻そう。
It’s rooted in what’s always worked best in this country: investing in America, investing in Americans.  Because when we invest in our people, we strengthen the middle class, we see the economy grow.  That benefits all Americans.  That’s the American Dream. アメリカへの投資、アメリカ人への投資だ。  国民に投資することで、中産階級が強化され、経済が成長する。  それはすべてのアメリカ人に利益をもたらす。  それこそがアメリカン・ドリームなのだ。
Forty years of trickle-down limited that dream at — for those — except for those at the top.  Too many for too long have seemingly suggested that it’s only available if you have a four-year college degree and you can work at a teach — or work at a tech center. 40年にわたるトリクルダウンによって、その夢は制限された。  あまりにも長い間、多くの人々が、4年制大学の学位を持っていて、教員や技術センターで働ける人でなければ、この夢を手に入れることはできないと示唆してきたように思える。
These new factories that are opening — these fabs that are opening for semiconductors, without a college degree, you’re going to make $100- to $130,000 a year working in those fabs — (applause) — $100- to $130,000 a year.  新しい工場がオープンし、半導体の製造工場がオープンしているが、大卒でなくても、これらの工場で働けば、年収10~13万ドルになるだろう(拍手)。 
Well, I believe that every American willing to work hard should be able to get a job no matter where they are — in the heartland, in small towns, in every part of this country — to raise their kids on a good paycheck and keep their roots where they grew up.  That’s Bidenomics. 私は、勤勉に働こうとするすべてのアメリカ人が、どこにいても仕事に就くことができるべきだと信じている-ハートランドでも、小さな町でも、この国のあらゆる場所で-良い給料で子供を育て、自分が育った場所に根を下ろすことができる。  それがバイデノミクスだ。
I think the economic philosophy is not going to restore the American Dream that we have now, that philosophy.  But this new one will.  And it’s going to help — and I think it’s going to help lessen the division in this country by bringing us back together.  It makes it awful hard to demagogue something when it’s working, although they do it all the time. その経済哲学では、今あるアメリカン・ドリームを取り戻すことはできないと思う。  しかし、この新しい哲学はそうするだろう。  そしてそれは、私たちを再びひとつにすることで、この国の分裂を和らげる助けになると思う。  うまくいっているときに何かをデマゴーグするのは非常に難しいことだ。
I’ve long said — and I mean this — I was on the Tibetan Plateau with Xi Jinping.  I traveled 17,000 miles with him.  I’ve spoken with him more than any other head of state because it started when I was vice president and President Hu was the president, and he was the vice president.  We knew he was a su- — going to be successful.  私は以前から言ってきた--そしてこれは本心だ--私は習近平とチベット高原にいた。  私は彼と1万7000マイルを旅した。  私が副主席で胡主席が主席、そして彼が副主席だったときに始まったからだ。  彼が成功することは分かっていた。 
It was inappropriate for Barack to spend that time with him, but I — I spent a lot of time with him.  I met alone with him, just he and I and a simultaneous interpreter, 68 times — 68 hours — 68 times, more than 68 hours.  By the way, I turned in all my notes.  (Laughter.) バラクが彼と一緒に過ごすのは不適切だったが、私は彼と多くの時間を過ごした。  彼と私、そして同時通訳の3人だけで68回、68時間、68時間以上会った。  ちなみにノートは全部提出した。  (笑)。
But — and this is the God’s truth — he asked me — we were on the Tibetan Plateau, and he asked me — he said, “Can you define America for me?”  I said, “Yes, in one word” — and I meant it — “possibilities.  Possibilities.” しかし--これは神の真実なのだが--彼は私に尋ねた--私たちはチベット高原にいたのだが、彼は私に尋ねた--"アメリカを定義できるか?"と。  私は "そう、一言で言えば "と答えた。  可能性だ。
We’re a land of possibilities.  And I told him: It’s never been a good bet to bet against America.  Never.  (Applause.) 我々は可能性の国だ。  そして私は彼に言った: アメリカに賭けるのは決して良い賭けではない。  決してだ。  (拍手)
And I can honestly — I can honestly say I’ve never been more optimistic about America’s future.  I swear to God.  I’ve never been more optimistic.  We just have to remember who we are.  We are the United States of America. そして私は正直に、アメリカの未来についてこれほど楽観的だったことはないと言える。  神に誓う。  これほど楽観的だったことはない。  私たちはただ、自分たちが何者であるかを忘れてはならない。  我々は米国なのだ。
There is nothing — nothing beyond our capacity if we work together. 我々が力を合わせれば、我々の能力を超えるものは何もない。
So, God bless you all.  And may God protect our troops.  Thank you, thank you, thank you.  (Applause.) だから、神のご加護を。  そして神が我々の軍隊を守ってくださるように。  ありがとう、ありがとう、ありがとう。  (拍手)。
12:35 P.M. CDT 中部夏時間 午後12時35分

 

Fig1_20210802074601

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.26 EU 欧州経済安全保障戦略

| | Comments (0)

« June 2023 | Main | August 2023 »