こんにちは、丸山満彦です。
JASA(特定非営利活動法人日本セキュリティ監査協会 )が情報セキュリティ監査人が選ぶ2023年の情報セキュリティ十大トレンドを発表していますね。。。
AIの脅威...がトップなんですが、具体的な脅威がそれなりの確度で起こるということよりも、新しい脅威に対する漠然とした不安的な要素が強いのかもしれませんね。。。
・2024.01.09 監査人の警鐘 – 2024年 情報セキュリティ十大トレンド
ちなみに過去分は2018年からあります。。。
傾向としてはこんな感じ?
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.01.07 JASA 監査人の警鐘- 2023年 情報セキュリティ十大トレンド
・2022.01.07 JASA 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド
こんにちは、丸山満彦です。
米国がAIに関する大統領令を2023.10.30に公表したわけですが、それから90日を経て、期限が来ていないものも含めてすべきことはすべて完了していますね。。。
● U.S. White House
| Fact Sheet: Biden-Harris Administration Announces Key AI Actions Following President Biden’s Landmark Executive Orde | ファクトシート バイデン-ハリス政権、バイデン大統領の画期的な大統領令を受け、主要なAIアクションを発表 |
| Three months ago, President Biden issued a landmark Executive Order to ensure that America leads the way in seizing the promise and managing the risks of artificial intelligence (AI). The Order directed sweeping action to strengthen AI safety and security, protect Americans’ privacy, advance equity and civil rights, stand up for consumers and workers, promote innovation and competition, advance American leadership around the world, and more. | 3カ月前、バイデン大統領は、人工知能(AI)の有望性を捉え、リスクを管理する上で、米国が主導権を握ることを確実にするため、画期的な大統領令を発布した。この大統領令は、AIの安全性とセキュリティの強化、米国人のプライバシーの保護、公平性と公民権の向上、消費者と労働者の支援、イノベーションと競争の促進、世界における米国のリーダーシップの推進など、広範囲に及ぶ行動を指示した。 |
| Today, Deputy Chief of Staff Bruce Reed will convene the White House AI Council, consisting of top officials from a wide range of federal departments and agencies. Agencies reported that they have completed all of the 90-day actions tasked by the E.O. and advanced other vital directives that the Order tasked over a longer timeframe. | 本日、ブルース・リード副参謀総長が、連邦政府各省庁のトップからなるホワイトハウスAI評議会を招集する。各省庁は、E.O.が命じた90日間の行動をすべて完了し、E.O.がより長い期間をかけて命じた他の重要な指令も前進させたと報告した。 |
| Taken together, these activities mark substantial progress in achieving the EO’s mandate to protect Americans from the potential risks of AI systems while catalyzing innovation in AI and beyond. Visit ai.gov to learn more. | これらの活動を総合すると、AIシステムの潜在的リスクから米国人を保護すると同時に、AIやそれ以外の分野でのイノベーションを促進するというEOの使命の達成に向けて、実質的な進展があったことになる。詳細はai.govを参照のこと。 |
| Managing Risks to Safety and Security | 安全とセキュリティへのリスク管理 |
| The Executive Order directed a sweeping range of actions within 90 days to address some of AI’s biggest threats to safety and security. These included setting key disclosure requirements for developers of the most powerful systems, assessing AI’s risks for critical infrastructure, and hindering foreign actors’ efforts to develop AI for harmful purposes. To mitigate these and other risks, agencies have: | 大統領令は、AIの安全性とセキュリティに対する最大の脅威のいくつかに対処するため、90日以内に広範囲に及ぶ行動をとるよう指示した。これには、最も強力なシステムの開発者に対する重要な情報開示要件の設定、重要インフラに対するAIのリスクの評価、有害な目的のためにAIを開発しようとする外国の行為者の努力の妨げなどが含まれる。これらのリスクやその他のリスクを軽減するために、各省庁は以下のことを行ってきた: |
| ・Used Defense Production Act authorities to compel developers of the most powerful AI systems to report vital information, especially AI safety test results, to the Department of Commerce. These companies now must share this information on the most powerful AI systems, and they must likewise report large computing clusters able to train these systems. | 国防生産法の権限を使って、最も強力なAIシステムの開発企業に対し、重要な情報、特にAIの安全性テスト結果を商務省に報告するよう強制した。これらの企業は現在、最も強力なAIシステムに関するこの情報を共有しなければならず、同様にこれらのシステムを訓練できる大規模なコンピューティング・クラスターについても報告しなければならない。 |
| ・Proposed a draft rule that proposes to compel U.S. cloud companies that provide computing power for foreign AI training to report that they are doing so. The Department of Commerce’s proposal would, if finalized as proposed, require cloud providers to alert the government when foreign clients train the most powerful models, which could be used for malign activity. | 海外のAIトレーニングにコンピューティング・パワーを提供している米国のクラウド企業に対し、そうしていることを報告するよう義務付ける規則案を提案した。商務省の提案が原案通り最終化されれば、クラウドプロバイダーは、外国のクライアントが最も強力なモデルを訓練した場合、政府に警告することを義務付けられることになる。 |
| ・Completed risk assessments covering AI’s use in every critical infrastructure sector. Nine agencies—including the Department of Defense, the Department of Transportation, the Department of Treasury, and Department of Health and Human Services—submitted their risk assessments to the Department of Homeland Security. These assessments, which will be the basis for continued federal action, ensure that the United States is ahead of the curve in integrating AI safely into vital aspects of society, such as the electric grid. | すべての重要インフラ部門におけるAIの利用を網羅するリスク評価を完了した。国防総省、運輸省、財務省、保健福祉省を含む9つの機関が、リスク評価を国土安全保障省に提出した。連邦政府の継続的な取り組みの基礎となるこれらの評価により、米国は、電力網のような社会の重要な側面にAIを安全に統合することで、先手を打つことができる。 |
| Innovating AI for Good | 善のためのAI革新 |
| To seize AI’s enormous promise and deepen the U.S. lead in AI innovation, President Biden’s Executive Order directed increased investment in AI innovation and new efforts to attract and train workers with AI expertise. Over the past 90 days, agencies have: | AIの大きな可能性を捉え、AIイノベーションにおける米国のリードを深めるため、バイデン大統領の大統領令は、AIイノベーションへの投資拡大と、AIの専門知識を持つ労働者の誘致・育成に向けた新たな取り組みを指示した。この90日間で、各省庁は以下のことを行った: |
| ・Launched a pilot of the National AI Research Resource—catalyzing broad-based innovation, competition, and more equitable access to AI research. The pilot, managed by the U.S. National Science Foundation (NSF), is the first step toward a national infrastructure for delivering computing power, data, software, access to open and proprietary AI models, and other AI training resources to researchers and students. These resources come from 11 federal-agency partners and more than 25 private sector, nonprofit, and philanthropic partners. | 広範なイノベーション、競争、AI研究へのより公平なアクセスを促進するため、National AI Research Resourceの試験運用を開始した。米国国立科学財団(NSF)が管理するこの試験運用は、研究者や学生にコンピューティング能力、データ、ソフトウェア、オープンでプロプライエタリなAIモデルへのアクセス、その他のAIトレーニングリソースを提供するための国家インフラに向けた第一歩である。これらのリソースは、11の連邦政府機関パートナーおよび25以上の民間セクター、非営利団体、慈善団体パートナーから提供される。 |
| ・Launched an AI Talent Surge to accelerate hiring AI professionals across the federal government, including through a large-scale hiring action for data scientists. TheAI and Tech Talent Task Force created by President Biden’s E.O. has spearheaded this hiring action and is coordinating other key initiatives to facilitate hiring AI talent. The Office of Personnel Management has granted flexible hiring authorities for federal agencies to hire AI talent, including direct hire authorities and excepted service authorities. Government-wide tech talent programs, including the Presidential Innovation Fellows, U.S. Digital Corps, and U.S. Digital Service, have scaled up hiring for AI talent in 2024 across high-priority AI projects. More information about the AI Talent Surge is available at ai.gov/apply. | データサイエンティストの大規模採用活動を含め、連邦政府全体でAI専門家の採用を加速させるため、AI Talent Surgeを開始した。バイデン大統領のE.O.によって創設されたAI・技術人材タスクフォースは、この採用活動の先頭に立ち、AI人材の採用を促進するための他の重要なイニシアティブを調整している。人事管理局は、連邦政府機関がAI人材を雇用するために、直接雇用権限や例外的勤務権限など、柔軟な雇用権限を付与している。大統領イノベーション・フェロー、U.S. Digital Corps、U.S. Digital Serviceを含む政府全体の技術人材プログラムは、優先度の高いAIプロジェクトにおいて、2024年にAI人材の採用を拡大した。AI Talent Surgeの詳細はai.gov/applyで入手できる。 |
| ・Began the EducateAI initiative to help fund educators creating high-quality, inclusive AI educational opportunities at the K-12 through undergraduate levels. The initiative’s launch helps fulfill the Executive Order’s charge for NSF to prioritize AI-related workforce development—essential for advancing future AI innovation and ensuring that all Americans can benefit from the opportunities that AI creates. | EducateAIイニシアチブを開始し、幼稚園から大学レベルまで、質の高い包括的なAI教育の機会を創出する教育者を支援する。このイニシアチブの開始は、将来のAIイノベーションを推進し、AIが生み出す機会から全てのアメリカ国民が恩恵を受けられるようにするために不可欠な、AI関連の人材育成を優先させるというNSFに対する大統領令の要請を満たすのに役立つ。 |
| ・Announced the funding of new Regional Innovation Engines (NSF Engines), including with a focus on advancing AI. For example, with an initial investment of $15 million over two years and up to $160 million over the next decade, the Piedmont Triad Regenerative Medicine Engine will tap the world’s largest regenerative medicine cluster to create and scale breakthrough clinical therapies, including by leveraging AI. The announcement supports the Executive Order’s directive for NSF to fund and launch AI-focused NSF Engines within 150 days. | 新しい地域イノベーションエンジン(NSF Engines)への資金提供を発表した。例えば、2年間で1500万ドル、今後10年間で最大1億6000万ドルの初期投資を行うピードモント・トライアドの再生医療エンジンは、世界最大の再生医療クラスターを活用し、AIの活用を含む画期的な臨床治療の創出と拡大を目指す。 この発表は、AIに焦点を当てたNSFエンジンに150日以内に資金を提供し、立ち上げるようNSFに指示した大統領令を支持するものである。 |
| ・Established an AI Task Force at the Department of Health and Human Services to develop policies to provide regulatory clarity and catalyze AI innovation in health care. The Task Force will, for example, develop methods of evaluating AI-enabled tools and frameworks for AI’s use to advance drug development, bolster public health, and improve health care delivery. Already, the Task Force coordinated work to publish guiding principles for addressing racial biases in healthcare algorithms. | 保健福祉省にAIタスクフォースを設置し、規制を明確にし、医療におけるAIイノベーションを促進するための政策を策定する。同タスクフォースは、例えば、医薬品開発の促進、公衆衛生の強化、医療提供の改善にAIを活用するための、AI対応ツールの評価方法やフレームワークを開発する。すでにタスクフォースは、医療アルゴリズムにおける人種的偏見に対処するための指針を発表するための調整を行った。 |
| The table below summarizes many of the activities federal agencies have completed in response to the Executive Order. | 以下の表は、大統領令に対応して連邦政府機関が完了した活動の多くをまとめたものである。 |
● まるちゃんの情報セキュリティ気まぐれ日記
大統領令...
・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令
各界からの反応...
・2023.11.06 米国の「人工知能の安全、安心、信頼できる開発と利用に関する大統領令」についての 各界からの反応...
こんにちは、丸山満彦です。
NISTが、スマートシティプログラムの戦略計画についての意見募集をしていますね。。。
● NIST
・2024.01.25 NIST is Requesting Public Input on Published Strategic Plan for Smart Cities Program
| NIST is Requesting Public Input on Published Strategic Plan for Smart Cities Program | NISTがスマートシティプログラムの戦略計画について一般からの意見を求めている。 |
| The Global Community Technology Challenge (GCTC) is a U.S. smart cities and communities program led by the Smart Connected Systems Division of the National Institute of Standards and Technology (NIST). The GCTC was formed in 2014 as a partnership of cities and communities, local and state government agencies, business enterprises, non-governmental organizations, universities, and research institutes dedicated to improving the urban environment through the integration of digital technologies. | グローバル・コミュニティ・テクノロジー・チャレンジ(GCTC)は、米国国立標準技術研究所(NIST)のスマート・コネクテッド・システム部門が主導する米国のスマートシティおよびコミュニティ・プログラムである。GCTCは、デジタル技術の統合による都市環境の改善に取り組む都市やコミュニティ、地方・州政府機関、企業、非政府組織、大学、研究機関のパートナーシップとして2014年に結成された。 |
| The GCTC program has recently published its first Strategic Plan (2024-2026), which describes a 3-year program of research and development and reaffirms a continuing collaboration between the federal smart cities program led by NIST and communities, cities, and regions across the country. The GCTC Strategic Plan is built on three key goals: | GCTCプログラムは最近、最初の戦略計画(2024~2026年)を発表した。この計画には、3年間の研究開発プログラムが記載されており、NISTが主導する連邦スマートシティプログラムと、全米のコミュニティ、都市、地域との継続的な協力関係を再確認している。 GCTC戦略計画は、3つの重要な目標に基づいている: |
| ・Establish a research-based, scientific foundation for the NIST Smart Cities Infrastructure program, the GCTC, and the broader smart cities community. | ・NISTスマートシティ・インフラストラクチャ・プログラム、GCTC、より広範なスマートシティ・コミュニティのための、研究に基づく科学的基盤を確立する。 |
| ・Broaden the scope and agenda for smart cities to address current challenges and achieve the equitable distribution of outcomes for community residents, businesses, and organizations. | ・現在の課題に対処し、地域住民、企業、組織にとって公平な成果の配分を達成するために、スマートシティの範囲と課題を広げる。 |
| ・Enhance the national public-private partnership of smart city programs, research institutions, private sector enterprises, and the next generation of community leaders, scientists, and researchers. | ・スマートシティ・プログラム、研究機関、民間企業、次世代のコミュニティ・リーダー、科学者、研究者の官民パートナーシップを強化する。 |
| The GCTC is organized into twelve Technology Sectors, corresponding with city infrastructure systems, services, and programs that can benefit from the integration of advanced digital technologies to improve overall quality of life for community residents. | GCTCは12の技術セクターで構成され、地域住民の生活の質を全体的に向上させるために高度なデジタル技術の統合から恩恵を受けることができる都市のインフラシステム、サービス、プログラムに対応している。 |
● NIST - IOT DEVICES AND INFRASTRUCTURES GROUP
・Global Community Technology Challenge
・[PDF] NIST SP 1900-207 ipd - Global Community Technology Challenge (GCTC) Strategic Plan 2024-2026
こんにちは、丸山満彦です。
デジタル・フォレンジック研究会にコラムを載せました。
・2024.01.25 第806号コラム:「気候風土と社会 」
どこが、IDFと関係するんだ???という内容なのですが、、、
実は、これ、あらゆることに関係しているんじゃないかなぁ。。。と思うんですよね。。。
なので、みなさんにどこまで参考になるかはわかりませんが、ちょっと考えてみてくださいませ。。。
私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧
| # | No | Date | Title |
| 30 | 806 | 2024.01.25 | 気候風土と社会 |
| 29 | 780 | 2023.07.31 | 国家安全保障戦略 ― 何をだれから守るのか? 国益 (National Interests) とは何か? |
| 28 | 754 | 2023.01.31 | 「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない |
| 27 | 731 | 2022.08.22 | サイバー空間の安全に向けて: All for one, One for all |
| 26 | 702 | 2022.01.31 | サイバーセキュリティは空気のように社会全体に拡がる |
| 25 | 678 | 2021.08.16 | ティラノサウルスとスズメ |
| 24 | 650 | 2021.02.01 | データを科学的に分析する |
| 23 | 627 | 2020.08.17 | 若者のサイバー犯罪を無くしたい。。。 |
| 22 | 600 | 2020.02.03 | デジタルフォレンジックスと多様性 |
| 21 | 578 | 2019.08.26 | 未来を考えようと思うとき、人は過去を振り返る |
| 20 | 551 | 2019.02.11 | とらわれずに物事をみつめる |
| 19 | 521 | 2018.07.09 | AIは科学捜査を騙せるか? |
| 18 | 493 | 2017.12.18 | セキュリティ・デバイド? |
| 17 | 474 | 2017.08.07 | 『デジタル・フォレンジック』という言葉を今更考える |
| 16 | 451 | 2017.02.20 | 相手を知ることが重要 |
| 15 | 425 | 2016.08.15 | 本質を理解する |
| 14 | 383 | 2015.10.12 | 名ばかりCSIRTで良いのか? |
| 13 | 357 | 2015.04.13 | IoT時代は明るいか暗いか |
| 12 | 335 | 2014.11.03 | 頭を下げるのは社長です |
| 11 | 308 | 2014.04.30 | 標的型攻撃には内部不正対応が重要? |
| 10 | 286 | 2013.11.14 | セキュリティガバナンスはできる範囲だけやればよいのか? |
| 09 | 261 | 2013.05.23 | セキュリティの基本はずっとかわっていない |
| 08 | 240 | 2012.12.25 | さらに組織化が進むサイバー攻撃集団 |
| 07 | 207 | 2012.05.10 | 外部から侵入されている想定で情報セキュリティを考える |
| 06 | 173 | 2011.09.08 | 想定外に対応するのが危機管理ではないか |
| 05 | 139 | 2011.01.13 | データ分析を使った不正発見手法 |
| 04 | 131 | 2010.11.11 | 発見的統制の重要性 |
| 03 | 084 | 2009.12.10 | クラウドコンピューティングがもたらす光と影 |
| 02 | 058 | 2009.06.11 | 不正をさせない |
| 01 | 021 | 2008.09.25 | ニーズとシーズ、目的と手段 |
こんにちは、丸山満彦です。
@ITで、「生成AI」と「脅威インテリジェンス」はセキュリティの現場をどう変えるのか、というGoogleのセキュリティイベントを取材した記事がでていますが、運用の参考になる面もあると思います。
生成AIを含むAIをセキュリティ対策い活かすのは重要だと思います。。。
この記事では、ジョン・ハルトキスト氏(Mandiantチーフアナリスト)、 ティム・マンリー氏(Google Cloud)、古澤一憲氏(Google Cloud カスタマーエンジニア)が解説していますね。。。
● @IT
・2024.01.25 「生成AI」と「脅威インテリジェンス」はセキュリティの現場をどう変えるのか
こんにちは、丸山満彦です。
2024.01.29 に経済安全保障法制に関する有識者会議(第9回)が開催され、港湾運送事業者は基幹インフラに追加指定、病院は機関インフラに指定しない。。。ということになりそうですね。。。
⚫︎ 内閣官房 - 経済安全保障法制に関する有識者会議(令和4年度~)
・2024.01.29 第9回
資料4 [PDF] 特定社会基盤役務の安定的な提供の確保に関する制度の施行状況及び対象事業の追加について
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.10.11 内閣府 暫定版 経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説 (2023.10.06)
・2023.05.08 閣議決定 経済安全保障関係2つ(特定社会基盤役務基本指針, 特許出願非公開基本指針)(2023.04.28)
こんにちは、丸山満彦です。
内閣官房に設置された、経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議が2024.01.17に第10回の会議を経て最終とりまとめを公表していますね。。。
こういう形でおわりましたね。。。
● 内閣官房 - 経済安全保障推進会議 - 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議
・2024.01.19 [PDF] 最終とりまとめ
目次...
1 はじめに
2 セキュリティ・クリアランス制度に関する必要性
(1) セキュリティ・クリアランス制度に関する国としての必要性
(2) 企業からのニーズ
3 新たな制度の基本的な骨格
4 新たな制度の具体的な方向性
(1) 情報指定の範囲
① 制度の対象とすべき情報の分野
② 民間事業者等が保有する情報
(2) 情報の管理・提供ルール
① 行政機関内における管理ルール
② 個人に対するクリアランス
③ 事業者に対するクリアランス(民間事業者等に対する情報保全)
(3) プライバシーや労働法制等との関係
① 評価対象者への丁寧なプロセス
② プライバシーとの関係
③ 不利益取扱いの防止等
(4) 漏えい等の罰則
(5) 情報保全を適切に実施していくための取組
5 CI以外の重要な情報の取扱い
今後について書いている部分...
(5)情報保全を適切に実施していくための取組
ここまでの議論の過程...
● 内閣官房 - 経済安全保障推進会議 - 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議
| 2023.02.22 | 第1回 | 議事次第 |
| 資料1 | 事務局 | 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議の開催について |
| 資料2 | 事務局 | 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議運営要領 |
| 資料3 | 事務局 | 経済安全保障分野における |
| 議事要旨 | ||
| 2023.03.14 | 第2回 | 議事次第 |
| 資料1 | 事務局 | 第1回会議の議論の整理(主なポイント) |
| 資料2 | 事務局 | 情報の区分(イメージ) |
| 資料3 | 電機メーカー・A社 | セキュリティ・クリアランス制度への期待 |
| 資料4 | 電機メーカー・B社 | セキュリティクリアランス制度に対する要望 |
| 議事要旨 | ||
| 2023.03.27 | 第3回 | 議事次第 |
| 資料1 | 事務局 | 第2回会議の議論の整理(主なポイント) |
| 資料2 | 事務局 | 諸外国における情報保全制度の比較 |
| 資料3 | 電機メーカー・C社 | セキュリティ・クリアランス制度について~期待と要望~ |
| 資料4 | 永野秀雄委員 | 米国におけるセキュリティクリアランス制度の基本情報 |
| 議事要旨 | ||
| 2023.04.07 | 第4回 | 議事次第 |
| 資料1 | 事務局 | 第3回会議の議論の整理(主なポイント) |
| 資料2 | 重要インフラ事業者 | セキュリティクリアランス制度に対する要望 |
| 資料3 | セキュリティ・クリアランス制度について | |
| 議事要旨 | ||
| 2023.04.25 | 第5回 | 議事次第 |
| 資料1 | 事務局 | 第4回会議の議論の整理(主なポイント) |
| 資料2 | 事務局 | スタートアップとの意見交換結果 |
| 資料3 | 内閣情報調査室 | 特定秘密保護法概要 |
| 資料4 | 防衛装備庁 | 防衛産業保全について |
| 議事要旨 | ||
| 2023.05.29 | 第6回 | 議事次第 |
| 資料 | 事務局 | 中間論点整理(骨子案) |
| 議事要旨 | ||
| 2023.06.06 | 中間論点整理 | |
| 中間論点整理(骨子) | ||
| 中間論点整理 | ||
| 2023.10.11 | 第7回 | 議事次第 |
| 資料 | 事務局 | 中間論点整理の概要 |
| 今回の検討の前提 | ||
| 新しい制度の基本的な骨格 | ||
| 経済安全保障上の重要な情報のイメージ | ||
| 経済安全保障上重要な情報の候補 | ||
| 論点 | ||
| ・新しい制度の射程について | ||
| ・新しい制度の基本的な骨格について 経済安全保障上の重要な情報の秘密指定 | ||
| ・・指定解除、 経済安全保障上の重要な情報の管理 | ||
| ・・提供ルール、 罰則 | ||
| ・経済安全保障上の重要な情報について | ||
| 議事要旨 | ||
| 2023.11.20 | 第8回 | 議事次第 |
| 資料 | 事務局 | 第7回会議の議論の整理(主なポイント) |
| 論点 | ||
| ・事業者に対する信頼性確認 | ||
| ・個人に対する信頼性確認 | ||
| ・漏洩等に対する罰則 | ||
| 議事要旨 | ||
| 2023.12.20 | 第9回 | 議事次第 |
| 資料1 | 事務局 | 第8回会議の議論の整理(主なポイント) |
| (1)事業者に対する信頼性確認(クリアランスが必要となる事業者・従業員) | ||
| (2)事業者に対する信頼性確認(FOCI) | ||
| (3)個人に対する信頼性確認、調査とプライバシー | ||
| (4)罰則 | ||
| (5)その他 | ||
| 資料2 | 事務局 | 論点 |
| 〇調査の一元化の関係 | ||
| • 「一元化機関」における調査事項と調査手法 | ||
| • 調査機能の一元化のスキーム | ||
| 〇プライバシー・労働法制等との関係 | ||
| • 評価対象者に対する配慮 | ||
| 資料3 | 事務局 | 前回会議の指摘事項について |
| ・アメリカのNISPOMについて | ||
| ・海外の制度概要(組織・施設クリアランス) | ||
| ・国内法との関係(外為法) | ||
| ・罰則 | ||
| ・諸外国における国家秘密情報漏洩時の罰則について | ||
| 議事要旨 | 事務局 | |
| 2024.01.17 | 第10回 | 議事次第 |
| 資料 | 最終取りまとめ案 | |
| 参考資料 | ||
| 議事次第 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.12.22 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第9回)
・2023.10.12 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第7回)
・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理
こんにちは、丸山満彦です。
米国は、軍事面では、装備品の能力だけではなく、装備品をつくる環境としての国防産業についても意識して戦略的に取り組んでいて、すごいと思います。。。
今回、初めての国防産業戦略を公表していますね。。。
考え方自体が興味深いですね。。。
調達等に関しても既存の技術をできるだけ使おうとしていますね。。
ちなみに...
NDISの戦略的優先事項
・2024.01.11 DOD Releases First-Ever National Defense Industrial Strategy
| DOD Releases First-Ever National Defense Industrial Strategy | 国防総省、初の国防産業戦略を発表 |
| The Department of Defense today released its inaugural National Defense Industrial Strategy (NDIS), which will guide the Department's engagement, policy development, and investment in the industrial base over the next three to five years. Taking its lead from the National Defense Strategy (NDS), this strategy will catalyze generational change from the existing defense industrial base to a more robust, resilient, and dynamic modernized defense industrial ecosystem. | 国防総省は本日、今後3~5年間における国防総省の産業基盤への関与、政策立案、投資の指針となる国防産業戦略(NDIS)を発表した。この戦略は、国家防衛戦略(NDS)から導かれ、既存の防衛産業基盤から、より強固で弾力性があり、ダイナミックな近代化された防衛産業エコシステムへの世代交代を促進するものである。 |
| "The current and future strategic environment demands immediate, comprehensive, and decisive action to strengthen and modernize our defense industrial base ecosystem so it delivers at speed and scale for our warfighters," Deputy Secretary of Defense Kathleen Hicks said. "DoD's first-ever National Defense Industrial Strategy will help ensure we build the modern defense industrial and innovation ecosystem that's required to defend America, our allies and partners, and our interests in the 21st century." | 「キャスリーン・ヒックス国防副長官は、「現在および将来の戦略的環境は、防衛産業基盤のエコシステムを強化・近代化し、戦闘員のために迅速かつ大規模に提供できるようにするため、迅速、包括的、かつ断固とした行動を求めている。「国防総省初の国防産業戦略は、21世紀のアメリカ、同盟国、パートナー、そして我々の利益を守るために必要な、近代的な国防産業と技術革新のエコシステムを確実に構築するのに役立つだろう。 |
| "We are proud to release this ground-breaking strategy," said Dr. William A. LaPlante, Under Secretary of Defense for Acquisition and Sustainment, added. "The NDIS recognizes that America's economic security and national security are mutually reinforcing and, ultimately the nation's military strength cannot be untethered from our overall industrial strength. We must act now to build on recent progress and ensure we have the capacity to produce at speed and scale." | 「この画期的な戦略を発表できることを誇りに思う」と、ウィリアム・A・ラプランテ国防次官(取得・維持担当)は付け加えた。「NDISは、アメリカの経済的安全保障と国家安全保障は相互に補強し合うものであり、究極的には、国の軍事力を産業力全体から切り離すことはできないと認識している。われわれは、最近の進展に基づき、迅速かつ大規模な生産能力を確保するために、今行動しなければならない。 |
| While the NDS identifies risk to the industrial base, it also guides the Department to solutions. Recognizing that the defense industrial base must provide the required capabilities at the speed and scale necessary for the U.S. military to engage and prevail in a near-peer conflict, the NDIS strategy calls out challenges, solutions, and risks of failure concisely. The strategy offers a strategic vision and path along four strategic priorities: resilient supply chains, workforce readiness, flexible acquisition, and economic deterrence. This proposed pathway to modernize the defense industrial ecosystem also recognizes that this effort cannot be a Department of Defense-only solution, repeatedly emphasizing cooperation and coordination between the entire U.S. government, private industry, and international allies and partners. | NDSは産業基盤に対するリスクを特定する一方で、防衛省を解決策へと導くものでもある。防衛産業基盤は、米軍がほぼ同規模の紛争に関与し勝利するために必要なスピードと規模で、必要な能力を提供しなければならないことを認識し、NDIS戦略は課題、解決策、失敗のリスクを簡潔に示している。この戦略は、4つの戦略的優先事項(弾力性のあるサプライチェーン、労働力の即応性、柔軟な取得、経済的抑止力)に沿った戦略的ビジョンと道筋を提示している。防衛産業エコシステムを近代化するためのこの道筋案は、この取り組みが国防総省だけの解決策ではありえないことも認識しており、米政府全体、民間企業、国際的な同盟国やパートナーとの協力と協調を繰り返し強調している。 |
| The full NDIS and a fact sheet are available at: [web] | NDISの全文とファクトシートは、[web] で入手できる。 |
・2024.01.12 DOD Releases First Defense Industrial Strategy
| DOD Releases First Defense Industrial Strategy | DODが初の国防産業戦略を発表 |
| The Defense Department today released its first strategy for ensuring that the U.S. defense industrial base meets the demands of a challenging national security landscape well into the future. | 国防総省は本日、米国の国防産業基盤が将来にわたって厳しい国家安全保障情勢の要求に応えられるようにするための初の戦略を発表した。 |
| The 59-page National Defense Industrial Strategy lays out long-term priorities that will guide DOD actions and resource prioritization with the aim of creating a modern, resilient defense industrial ecosystem designed to deter U.S. adversaries and meet the production demands posed by evolving threats. | 59ページにわたる国防産業戦略は、米国の敵対勢力を抑止し、進化する脅威がもたらす生産需要に対応するよう設計された、近代的で強靭な国防産業エコシステムを構築することを目的として、国防総省の行動と資源の優先順位付けの指針となる長期的な優先事項を示している。 |
| "We are implementing the National Defense Industrial Strategy now to ensure that our defense industrial base continues to both strengthen our national security here at home while reassuring and supporting allies and partners," said Laura D. Taylor-Kale, assistant secretary of defense for industrial base policy, in unveiling the strategy from the Pentagon. | 国防総省のローラ・D・テイラー=ケール国防次官補(産業基盤政策担当)は、国防総省からこの戦略を発表する中で、「防衛産業基盤が、同盟国やパートナーを安心させ支援しながら、国内での国家安全保障を強化し続けることを確実にするため、我々は今、国防産業戦略を実施している」と述べた。 |
| TTaylor-Kale underscored the urgent need to shore up the defense industrial base as U.S. adversaries build up their military power to levels not seen since World War II. She noted China's increasing threat to upend existing international order. She also highlighted the United States' continued support for Ukraine as it defends itself from Russian aggression and for Israel in its fight against Hamas. | テイラー=ケール国防次官補は、米国の敵対勢力が第二次世界大戦以来の水準にまで軍事力を増強する中、国防産業基盤を強化する緊急の必要性を強調した。彼女は、中国が既存の国際秩序を根底から覆す脅威を強めていることを指摘した。また、ロシアの侵略から自国を守るウクライナや、ハマスと闘うイスラエルを米国が継続的に支援していることも強調した。 |
| Spotlight: Support for Ukraine | スポットライト ウクライナへの支援 |
| The defense industrial base must continue to meet present demands, while at the same time remaining capable of adapting to future conflicts. | 国防産業基盤は、現在の需要に応え続けなければならないが、同時に将来の紛争にも適応できる能力を維持しなければならない。 |
| "This arsenal of democracy helped win both world wars and the Cold War," Taylor-Kale said. "And long into the future, it can and must provide that same enduring advantage in support of integrated deterrence." | 「この民主主義の武器庫は、両世界大戦と冷戦の勝利に貢献した。「そして、将来にわたって、統合抑止を支援するために、同じような永続的な優位性を提供することができ、また提供しなければならない。 |
| The strategy focuses on four key areas critical to building a modernized defense industrial ecosystem over the next three to five years. Those areas include resilient supply chains, workforce readiness flexible acquisition and economic deterrence. | この戦略は、今後3年から5年の間に近代化された防衛産業エコシステムを構築するために重要な4つの主要分野に焦点を当てている。これらの分野には、弾力性のあるサプライチェーン、労働力の即応性、柔軟な取得、経済的抑止力が含まれる。 |
| The strategy calls for several actions to achieve resilient supply chains, including establishing public-private partnerships, risk-sharing mechanisms and technology. These are sharing structures aimed at incentivizing industry to improve resilience and invest in extra capacity. | 戦略では、弾力性のあるサプライチェーンを実現するために、官民パートナーシップの確立、リスク共有の仕組み、技術の確立など、いくつかの行動を求めている。これらは、産業界がレジリエンスを向上させ、余剰能力に投資するインセンティブを与えることを目的とした共有構造である。 |
| Spotlight: Science & Tech | スポットライト 科学技術 |
| The NDIS also calls for increasing stockpiles of strategic and critical systems to decrease near-term risk, diversifying the defense industrial base supplier base, expanding production methods, and addressing evolving cyber threats to the supply chain, among other actions. | NDISはまた、目先のリスクを減らすために戦略的で重要なシステムの備蓄を増やすこと、防衛産業基盤のサプライヤーベースを多様化すること、生産方法を拡大すること、サプライチェーンに対する進化するサイバー脅威に対処することなども求めている。 |
| In terms of workforce development, the strategy aims to develop a "sufficiently skilled and staffed workforce that is diverse and representative of America." It calls for investments in skill development programs and advanced manufacturing workforce pipelines and the expansion of recruitment efforts for nontraditional communities, among other actions. | 労働力開発の面では、「多様性に富み、米国を代表する、十分な技能を備えた労働力」を育成することを目標としている。この戦略では、技能開発プログラムや高度製造業の人材パイプラインへの投資、非伝統的なコミュニティへの採用活動の拡大などを求めている。 |
| The strategy also seeks to develop flexible acquisition strategies by emphasizing interoperability with key partners and paying consideration to exportability during the system design phase. The NDIS also calls for the prioritization of commercial, off-the-shelf acquisition where applicable to drive innovation and expand the defense supplier base. | 同戦略はまた、主要パートナーとの相互運用性を重視し、システム設計段階での輸出可能性に配慮することで、柔軟な取得戦略の策定を目指している。NDISはまた、技術革新を推進し、防衛サプライヤーの基盤を拡大するために、該当する場合には商業的な既製品の取得を優先することを求めている。 |
| Additionally, the NDIS calls for strengthening economic security agreements and creating new mechanisms for sharing technology with allies in order to achieve economic deterrence. | さらにNDISは、経済的抑止力を達成するために、経済安全保障協定を強化し、同盟国と技術を共有するための新たなメカニズムを構築することを求めている。 |
| Spotlight: Engineering in the DOD | スポットライト DODにおけるエンジニアリング |
| Defense officials said the strategy was far more than an "aspirational document," noting that the department is finalizing its implementation plan, which will detail measurable actions and metrics to gauge progress on the goals. | 国防総省関係者は、この戦略は「願望文書」をはるかに超えるものだと述べ、国防総省は現在、目標の進捗状況を測るための測定可能な行動や評価基準を詳述した実施計画を最終的に策定中だと指摘した。 |
| "The [implementation] plan is going to focus on actualizing the four strategic priorities laid out in the strategy, along with more than two dozen discrete, specific actions and associated outcomes and illustrative outputs that we detailed in the plan," said Halimah Najieb-Locke, acting deputy assistant secretary of defense for industrial base resilience. | 「この(実施)計画は、戦略で示された4つの戦略的優先事項の実現に焦点を当てるもので、20以上の個別具体的な行動と、計画に詳述した関連する成果や例示的なアウトプットも含まれる」と、ハリマ・ナジエブ=ロック国防次官補代理(産業基盤の強靭性担当)は述べた。 |
| An unclassified overview of the implementation plan is slated for publication in February with the full classified version to follow in March, Najieb-Locke said. | ナジェブ=ロック副次官によると、実施計画の非機密版は2月に公表され、完全な機密版は3月に公表される予定だという。 |
| Officials said the strategy is the product of months of engagement from stakeholders from across industry and government, which began at the direction of Deputy Defense Secretary Kathleen Hicks in March 2023. | この戦略は、2023年3月にキャスリーン・ヒックス国防副長官の指示で始まった、産業界と政府の利害関係者の数ヶ月にわたる関与の成果であると、政府関係者は述べた。 |
| The document also reflects President Joe Biden's broader efforts to shore up domestic manufacturing and critical supply chains in the U.S. | この文書はまた、米国内の製造業と重要なサプライチェーンを強化するという、ジョー・バイデン大統領の広範な取り組みも反映している。 |
| "The department's most senior leaders directed and guided development of this first ever NDIS, a part of the effort to reenergize U.S. manufacturing and build the kind of modernized defense industrial ecosystem we need to enable our national defense strategy and to meet the global challenges our nation and our allies will confront," Taylor-Kale said. | 「国防総省の最高幹部は、この史上初のNDISの開発を指揮・指導した。これは、米国の製造業を再活性化し、わが国の国防戦略を可能にし、わが国と同盟国が直面するグローバルな課題に対応するために必要な、近代化された防衛産業エコシステムを構築するための努力の一環である。 |
| "We can no longer afford to wait," she said. "The time for action has come, and we are starting it with this strategy." | 「もはや待つ余裕はない。「今こそ行動を起こすべき時であり、我々はこの戦略でそれを開始する」と語った。 |
・2024.01.12 The National Defense Industrial Strategy (NDIS) Enabling a Modernized Defense Industrial Ecosystem
ファクトシート
・[PDF] FACT Sheet
| Fact Sheet: National Defense Industrial Strategy | ファクトシート 国防産業戦略 |
| The 2022 National Defense Strategy (NDS) states that the Department of Defense will prioritize coordinated efforts with the full range of domestic and international partners in the defense ecosystem to fortify the defense industrial base, our logistical systems, and relevant global supply chains against subversion, compromise, and theft. | 2022年国家防衛戦略(NDS)は、国防省が防衛エコシステムにおける国内外のあらゆるパートナーとの協調的な取り組みを優先し、国防産業基盤、後方支援システム、関連するグローバルサプライチェーンを破壊、危殆化、盗難から強化すると述べている。 |
| The National Defense Industrial Strategy (NDIS) offers a strategic vision to coordinate and prioritize actions to build a modernized defense industrial ecosystem that is fully aligned with the NDS. It also calls for sustained collaboration and cooperation between the entire U.S. | 国防産業戦略(NDIS)は、NDSと完全に整合した近代化された国防産業エコシステムを構築するための行動を調整し、優先順位をつけるための戦略的ビジョンを提供する。また、米国政府全体、民間企業、そしてわが国の全軍との持続的な協力と協調を呼びかけている。 |
| government, private industry, and our Allies and partners abroad. | また、米国政府全体、民間企業、そして海外の同盟国やパートナーとの持続的な協力と協調も求めている。 |
| The NDIS lays out four long-term strategic priorities to serve as guiding beacons for industrial action and resource prioritization in support of the development of this modernized defense industrial ecosystem. | NDISは、この近代化された防衛産業エコシステムの発展を支援するための産業活動と資源優先順位の指針となる4つの長期的戦略優先事項を示している。 |
| 1) Resilient supply chains that can securely produce the products, services, and technologies needed now and in the future at speed, scale, and cost. | 1) 現在、そして将来必要とされる製品、サービス、技術を、スピード、規模、コストで安全に生産できるレジリエンとなサプライチェーン。 |
| a) To address this priority, the DoD will incentivize industry to improve resilience by investing in extra capacity; manage inventory and stockpile planning to decrease near term risk; continue and expand support for domestic production; drive investment in the organic industrial base and production accelerators; diversify the supplier base and invest in new production methods; leverage data analytics to improve sub-tier visibility to identify and minimize strategic supply chain risks and to manage disruptions proactively; engage allies and partners to expand global defense production and increase supply chain resilience; and improve the Foreign Military Sales process. | a) この優先事項に対処するため、国防総省は、余剰生産能力への投資によるレジリエンスの向上、短期的なリスクを低減するための在庫・備蓄計画の管理、国内生産への支援の継続・拡大、有機的産業基盤と生産促進装置への投資の促進、サプライヤー基盤の多様化と新たな生産方式への投資、戦略的サプライチェーンリスクを特定・最小化し、混乱に先手を打って対処するための下層の可視性向上のためのデータ分析の活用、グローバルな防衛生産の拡大とサプライチェーンのレジリエンスの向上のための同盟国・パートナーの関与、対外軍事販売プロセスの改善など、産業界にインセンティブを与える。 |
| b) The risks of not achieving resilient supply chains include supply and materiel shortfalls; diminished surge capacity; supply chain vulnerability; and falling behind pacing challenges identified in the NDS. | b) レジリエンとなサプライチェーンを達成できないリスクには、供給と物資の不足、サージ能力の低下、サプライチェーンの脆弱性、NDSで特定されたペース配分の課題への遅れが含まれる。 |
| 2) Workforce readiness will provide for a sufficiently skilled, and staffed workforce that is diverse and representative of America. | 2) 労働力の即応性は、十分に熟練した、多様で米国を代表する労働力を提供する。 |
| a) To address this priority, DoD will work to prepare the workforce for future technological innovation; continue targeting critical skill sets in science, technology, engineering, and math; increase access to apprenticeship and internship programs; and reduce stigmatization of industrial careers while expanding recruitment of non-traditional communities. | a) この優先事項に対処するため、国防総省は、将来の技術革新に備えた労働力の準備に取り組み、科学、技術、工学、数学における重要なスキルセットを引き続き対象とし、見習い制度やインターンシップ・プログラムへのアクセスを向上させ、非伝統的コミュニティの採用を拡大しながら、産業キャリアの汚名を減らす。 |
| b) Insufficient workforce readiness could lead to the inability to successfully onshore critical manufacturing; the inability to compete globally; reduced productivity throughout the full supply chain; and limited innovation. | b) 労働力の準備態勢が不十分な場合、重要な製造業のオンショアを成功させることができなくなり、国際競争に打ち勝つことができなくなり、サプライチェーン全体の生産性が低下し、技術革新が制限される可能性がある。 |
| 3) Flexible acquisition will lead to the development of strategies that strive for dynamic capabilities while balancing efficiency, maintainability, customization and standardization in defense platforms and support systems. Flexible acquisition strategies would result in reduced development times, reduced costs, and increased scalability. | 3) 柔軟な調達は、防衛プラットフォームと支援システムにおいて、効率性、保守性、カスタマイゼーション、標準化のバランスをとりながら、ダイナミックな能力を追求する戦略の開発につながる。柔軟な調達戦略は、開発期間の短縮、コストの削減、拡張性の向上をもたらす。 |
| a) To address this priority, DoD will work to broaden platform standards and interoperability; strengthen requirements to curb “scope creep;” prioritize off-the-shelf acquisition where applicable and reasonable; increase DoD access to intellectual property and data rights to enhance acquisition and sustainment; consider greater use and policy reform of contracting strategies; continue to support acquisition reform; and update industrial mobilization authorities and planning to ensure preparedness. | a) この優先事項に対処するため、国防総省は、プラットフォームの標準化と相互運用性の拡大、「スコープクリープ」を抑制するための要件の強化、適用可能かつ合理的な場合には既製品の調達を優先、調達と維持を強化するための知的財産権とデータ権への国防総省のアクセスを拡大、契約戦略の利用拡大と政策改革を検討、調達改革の支援を継続、産業動員権限と計画を更新し、準備態勢を確保する。 |
| b) Flexible acquisition planning will allow the DoD to work with a broader set of industry partners and balance the tension between the need for customization and adopting, where appropriate, industry standards. While some level of customization is necessary to meet specific mission requirements and stay ahead of potential adversaries, there are risks associated with excessive customization that hinder the development of a modern industrial ecosystem. Thus, COTS approaches versus customized systems must be balanced to meet warfighter requirements at speed and scale. Failure to balance these risks strategically can significantly hinder the delivery of critical capabilities. Other risks of failure include limited scale; high costs and lengthy development times; technology obsolescence; diminished industrial base resilience; sustainment and logistics challenges; reduced operational effectiveness; and increased technological risk. | b) 柔軟な調達計画により、国防総省はより広範な業界パートナーと協力し、カスタマイズの必要性と、適切な場合には業界標準の採用との間の緊張のバランスをとることができる。特定の任務要件を満たし、潜在的な敵対勢力の一歩先を行くためには、ある程度のカスタマイズが必要であるが、過度のカスタマイズには、近代的な産業エコシステムの発展を妨げるリスクがある。従って、COTS アプローチとカスタマイズ・システムは、迅速かつ大規模に戦闘員の要求を満たすためにバランスを取る必要がある。これらのリスクを戦略的にバランスさせることに失敗すると、重要な能力の提供に大きな支障をきたす可能性がある。その他の失敗リスクとしては、規模の限定、高コストと開発期間の長期化、技術の陳腐化、産業基盤の回復力の低下、維持とロジスティクスの課題、作戦効果の低下、技術的リスクの増大などがある。 |
| 4) Economic deterrence will promote fair and effective market mechanisms that support a resilient defense industrial ecosystem among the U.S. and close international allies and partners and economic security and integrated deterrence. As a result of effective economic deterrence, fear of materially reduced access to U.S. markets, technologies, and innovations will sow doubt in the mind of potential aggressors. | 4) 経済的抑止は、米国と緊密な国際同盟国やパートナーの間で、レジリエンとな防衛産業エコシステムを支え、経済安全保障と統合抑止を支える公正で効果的な市場メカニズムを促進する。効果的な経済的抑止の結果、米国市場、技術、革新へのアクセスが実質的に減少することへの恐怖が、潜在的な侵略者の心に疑念を植え付ける。 |
| a) To address this priority, DoD will work to strengthen economic security agreements; enable international interoperability standards through active participation in standardssetting bodies; fortify alliances to share science and technology; strengthen enforcement against adversarial ownership and against cyberattacks; and strengthen prohibited sources policies to protect the DIB from adversarial intrusion. | a) この優先事項に対処するため、国防総省は、経済安全保障協定の強化、標準化団体への積極的な参加による国際的な相互運用性標準の実現、科学技術を共有するための同盟関係の強化、敵対的な所有権に対する取締りの強化、サイバー攻撃に対する取締りの強化、敵対的な侵入から国防総省を守るための禁止情報源政策の強化に取り組む。 |
| b) Failing to deter adversarial entities could generate critical economic, supply chain, and infrastructure vulnerabilities; increased costs and reduced defense budgets; a weakened industrial ecosystem; intellectual property theft and adversarial capital IP control; degraded technological edge, innovation, and quality; and eventually lead to the loss of trust and reputation with international partners. | b) 敵対勢力の抑止に失敗すれば、重要な経済、サプライチェーン、インフラストラクチャーの脆弱性、コストの増大と防衛予算の削減、産業エコシステムの弱体化、知的財産の窃盗と敵対資本による知的財産の支配、技術的な優位性、革新性、品質の低下、そして最終的には国際的なパートナーとの信頼と評判の失墜につながる可能性がある。 |
内容確認...
・[PDF] NDIS
・[DOCX] 仮訳
目次...
| Foreword from the Deputy Secretary of Defense | 国防副長官からの序文 |
| Table of Contents | 目次 |
| 1 Introduction | 1 はじめに |
| 1.1 Strategic Framework | 1.1 戦略的枠組み |
| 1.1.1 Priorities | 1.1.1 優先順位 |
| 1.1.2 Challenges | 1.1.2 課題 |
| 1.1.3 Approach | 1.1.3 アプローチ |
| 2 Priorities | 2 優先順位 |
| 2.1 Resilient Supply Chains | 2.1 レジリエントなサプライチェーン |
| 2.1.1 Summary | 2.1.1 まとめ |
| 2.1.2 Actions | 2.1.2 行動 |
| 2.1.2.1 Incentivize Industry to Improve Resiliency by Investing in Extra Capacity | 2.1.2.1 余剰設備への投資により、産業界に回復力向上のインセンティブを与える |
| 2.1.2.2 Manage Inventory and Stockpile Planning to Decrease Near-Term Risk | 2.1.2.2 当面のリスクを低減するための在庫管理と備蓄計画 |
| 2.1.2.3 Continue and Expand Support for Domestic Production | 2.1.2.3 国内生産への支援を継続・拡大する |
| 2.1.2.4 Diversify Supplier Base and Invest in New Production Methods | 2.1.2.4 サプライヤーの多様化と新しい生産方式への投資 |
| 2.1.2.5 Leverage Data Analytics to Improve Sub-Tier Visibility to Identify and Minimize Strategic Supply Chain Risks and to Manage Disruptions Proactively | 2.1.2.5 データ分析を活用してサブティアの可視性を向上させ、戦略的サプライチェーンリスクを特定・最小化し、混乱をプロアクティブに管理する |
| 2.1.2.6 Engage Allies and Partners to Expand Global Defense Production and Increase Supply Chain Resilience | 2.1.2.6 世界の防衛生産を拡大し、サプライチェーンの回復力を高めるために、同盟国やパートナーを巻き込む |
| 2.1.2.7 Improve the Foreign Military Sales (FMS) Process | 2.1.2.7 対外軍事販売(FMS)プロセスの改善 |
| 2.1.2.8 Enhance Industrial Cybersecurity | 2.1.2.8 産業用サイバーセキュリティの強化 |
| 2.1.3 Illustrative Outcomes and Outputs | 2.1.3 図解 成果とアウトプット |
| 2.1.4 Risks of Not Achieving | 2.1.4 達成できない場合のリスク |
| 2.2 Workforce Readiness | 2.2 労働力の準備 |
| 2.2.1 Summary | 2.2.1 まとめ |
| 2.2.2 Actions | 2.2.2 アクション |
| 2.2.2.1 Prepare Workforce for Future Technological Innovation | 2.2.2.1 将来の技術革新に備えた労働力の準備 |
| 2.2.2.2 Continue Targeting Defense-Critical Skill Sets in Manufacturing and STEM | 2.2.2.2 製造業とSTEMにおける防衛上重要なスキルセットを引き続きターゲットとする |
| 2.2.2.3 Increase Access to Apprenticeship and Internship Programs | 2.2.2.3 実習・インターンシップ・プログラムへのアクセス向上 |
| 2.2.2.4 Destigmatize Industrial Careers | 2.2.2.4 産業界でのキャリアに汚名を着せない |
| 2.2.2.5 Expand Recruitment of Non-Traditional Communities | 2.2.2.5 非伝統的コミュニティの採用を拡大する |
| 2.2.3 Illustrative Outcomes and Outputs | 2.2.3 図解 成果とアウトプット |
| 2.2.4 Risks of Not Achieving | 2.2.4 達成できないリスク |
| 2.3 Flexible Acquisition | 2.3 柔軟な調達 |
| 2.3.1 Summary | 2.3.1 まとめ |
| 2.3.2 Actions | 2.3.2 行動 |
| 2.3.2.1 Broaden Platform Standards and Interoperability | 2.3.2.1 プラットフォームの標準化と相互運用性の拡大 |
| 2.3.2.2 Strengthen Requirements Process to Curb Scope Creep | 2.3.2.2 スコープ・クリープを抑制するための要求プロセスの強化 |
| 2.3.2.3 Prioritize Off-the-Shelf Acquisition Where Applicable and Reasonable | 2.3.2.3 適用可能かつ合理的な場合、既製品の購入を優先する |
| 2.3.2.4 Increase Access to Intellectual Property (IP) and Data Rights to Enhance Acquisition and Sustainment | 2.3.2.4 知的財産(IP)およびデータの権利へのアクセスを増加させ、調達と維持を強化する。 |
| 2.3.2.5 Consider Greater Use and Policy Reform of Contracting Strategies | 2.3.2.5 契約戦略の一層の活用と政策改革を検討する |
| 2.3.2.6 Continue to Support Acquisition Reform | 2.3.2.6 調達改革を引き続き支援する |
| 2.3.2.7 Update Industrial Mobilization Authorities and Planning to Ensure Preparedness | 2.3.2.7 産業動員権限と計画を更新し、準備態勢を確保する |
| 2.3.3 Illustrative Outcomes and Outputs | 2.3.3 図解 成果とアウトプット |
| 2.3.4 Risks of Not Achieving | 2.3.4 達成できない場合のリスク |
| 2.4 Economic Deterrence | 2.4 経済的抑止力 |
| 2.4.1 Summary | 2.4.1 まとめ |
| 2.4.2 Actions | 2.4.2 アクション |
| 2.4.2.1 Strengthen Economic Security Agreements | 2.4.2.1 経済安全保障協定の強化 |
| 2.4.2.2 Enable International Interoperability Standards through Active Participation in Standards Setting Bodies | 2.4.2.2 標準化団体への積極的な参加を通じて国際的な相互運用性標準を可能にする |
| 2.4.2.3 Fortify Alliances to Share Science and Technology | 2.4.2.3 科学技術を共有するために提携を強化する |
| 2.4.2.4 Strengthen Enforcement Against Adversarial Ownership and Protect Against Cyber Attacks | 2.4.2.4 敵対的所有権に対する執行を強化し、サイバー攻撃から保護する |
| 2.4.2.5 Strengthen Prohibited Sources Policy | 2.4.2.5 禁止ソース・ポリシーの強化 |
| 2.4.3 Illustrative Outcomes and Outputs | 2.4.3 図解 成果とアウトプット |
| 2.4.4 Risks of Not Achieving | 2.4.4 達成できない場合のリスク |
| 3 Assessment and Reporting | 3 評価と報告 |
| 4 Conclusion | 4 結論 |
| 5 Glossary of Terms | 5 用語集 |
(2023.02.13 追記)
・2024.02.09 [PDF] 「米国国家防衛産業戦略」を読み解く
こんにちは、丸山満彦です。
ENISAが、EUデータ空間における個人データ保護エンジニアリングについての報告書を公表していますね。。。
欧州データ戦略に導入され、データ・ガバナンス法(DGA)の中でさらに詳しく説明されている新しい概念である「Common European data spaces (EU data spaces) 、欧州共通データ空間(EUデータ空間)」における個人データ保護に関する設計原則を整理し、医薬品領域で想定されるEUデータ空間の2つのユースケースを通して、個人データ保護をどのように設計するかを示すものとのことです。。。
● ENISA
・2024.01.26 Engineering Personal Data Protection in EU Data Spaces
| Engineering Personal Data Protection in EU Data Spaces | EUデータ空間における個人データ保護エンジニアリング |
| Common European data spaces (EU data spaces) are a novel concept introduced in the European strategy for data and elaborated further within the Data Governance Act (DGA). This report attempts to contextualise the main design principles regarding protection of personal data and demonstrate how to engineer personal data protection through two use cases of an envisioned EU data space in the pharmaceutical domain. | 欧州共通データ空間(EUデータ空間)は、データに関する欧州戦略で導入され、データガバナンス法(DGA)の中でさらに精緻化された新しい概念である。本報告書では、個人データ保護に関する主な設計原則を説明し、医薬品領域で想定されるEUデータ空間の2つのユースケースを通して、個人データ保護をどのように設計するかを示す。 |
・[PDF]
・[DOCX] 仮訳
エグゼクティブサマリー...
| EXECUTIVE SUMMARY | 要旨 |
| The recent EU legislative initiatives promoting data sharing are sectoral and cross-sectoral instruments that aim to make data available by regulating the reuse of publicly and privately held data, including personal data. They also facilitate data sharing by creating of novel intermediaries and sharing environments where the parties involved can pool data and facilities in a trusted and secure way. | データ共有を促進する最近のEUの法的イニシアチブは、個人データを含む公的・私的に保有されるデータの再利用を規制することで、データを利用可能にすることを目的とした分野別・分野横断的な手段である。また、関係者が信頼できるセキュアな方法でデータや施設をプールできるような、斬新な仲介業者や共有環境を構築することで、データ共有を促進している。 |
| Common European data spaces (EU data spaces) are a novel concept introduced in the European strategy for data and elaborated further within the Data Governance Act (DGA). It is envisioned that they will facilitate innovation, economic growth and digital transformation and revolve around creating a framework for data sharing that respects privacy, security and other applicable regulatory considerations while promoting cross-sector collaboration and interoperability. | 欧州共通データ空間(EUデータ空間)は、欧州データ戦略に導入され、データ・ガバナンス法(DGA)の中でさらに詳しく説明されている新しい概念である。EUデータ空間は、イノベーション、経済成長、デジタルトランスフォーメーションを促進し、セクターを超えた協力と相互運用性を促進しながら、プライバシー・セキュリティやその他の適用される規制を尊重するデータ共有の枠組みを構築することを中心に展開されることが想定されている。 |
| This report attempts to contextualise the main design principles regarding protection of personal data and demonstrate how to engineer personal data protection through two use cases of an envisioned EU data space in the pharmaceutical domain. | 本報告書では、個人データ保護に関する主な設計原則を整理し、医薬品領域で想定されるEUデータ空間の2つのユースケースを通して、個人データ保護をどのように設計するかを示す。 |
| Despite the potential of the EU data spaces, there are still considerations regarding appropriate technical and organisational measures and how to engineer them into practice, both from a data protection and from a cybersecurity point of view. Even if there are already a good number of privacy enhancing technologies that can support us in meeting specific data protection goals, we should not neglect the fact that we are called to address new processing operations, where the roles and responsibilities are not always clearly defined. | EUデータ空間の可能性にもかかわらず、データ保護の観点からもサイバーセキュリティの観点からも、適切な技術的・組織的対策や、それをどのように実践していくかという点については、まだ検討すべき点がある。具体的なデータ保護目標を達成するのに役立つプライバ シー向上技術がすでに数多く存在するとしても、役割と責任が必ずしも明確に定義されていない新たな処理 業務への対応が求められているという事実を軽視すべきではない。 |
目次...
| 1. INTRODUCTION | 1.序文 |
| 1.1 DATA DRIVEN INNOVATION | 1.1 データ主導のイノベーション |
| 1.2 COMMON EUROPEAN DATA SPACES | 1.2 欧州共通のデータ空間 |
| 1.3 DESIGN PRICNIPLES OF EU DATA SPACES | 1.3 EUデータ空間のデザイン・プライオリティ |
| 1.4 INTEROPERABILITY AT THE CORE OF EU DATA SPACES | 1.4 EUデータ空間の核となる相互運用性 |
| 1.5 SCOPE AND OBJECTIVES | 1.5 スコープと目標 |
| 1.6 STRUCTURE OF THE DOCUMENT | 1.6 文書の構成 |
| 2. DATA PROTECTION CONSIDERATIONS IN EU DATA SPACES | 2. EUデータ空間におけるデータ防御の考慮事項 |
| 2.1 TERMINOLOGY AND ROLES ANALYSIS | 2.1 用語と役割の分析 |
| 2.2 INPUT PRIVACY AND OUTPUT PRIVACY PROBLEMS | 2.2 入力プライバシーと出力プライバシーの問題 |
| 2.3 THE ROLE OF DATA PROTECTION ENGINEERING | 2.3 データ保護エンジニアリングの役割 |
| 2.4 DATA PROTECTION IMPACT ASSESSMENTS IN DATA SPACES | 2.4 データ空間におけるデータ保護の影響評価 |
| 2.5 MAIN ACCOUNTABILITY BUILDING BLOCKS | 2.5 主要な説明責任構成要素 |
| 2.6 EFFICIENT EU DATA SPACES THROUGH SAFEGUARDS AND TRUSTED INTERMEDIARIES | 2.6 セーフガードと信頼できる仲介者による効率的なEUデータ空間 |
| 3. HEALTH - PHARMACEUTICAL USE CASES | 3.健康 - 医薬品の使用例 |
| 3.1 BACKGROUND | 3.1 背景 |
| 3.2 PROBLEM(S) DEFINITION | 3.2 問題の定義 |
| 3.3 USE CASE - AVAILABILITY OF PHARMACEUTICAL PRODUCTS IN THE MARKET | 3.3 ユースケース - 市場における医薬品の入手可能性 |
| 3.3.1 Technologies to be used | 3.3.1 使用する技術 |
| 3.3.2 Considerations | 3.3.2 考慮事項 |
| 3.4 USE CASE - RESEARCH AND ANALYSIS ON THE EFFICIENCY OF PHARMACEUTICAL PRODUCTS | 3.4 ユースケース - 医薬品の効率に関する調査と分析 |
| 3.4.1 Technologies to be used | 3.4.1 使用する技術 |
| 3.4.2 Considerations | 3.4.2 考慮事項 |
| 4. CONCLUSIONS | 4.結論 |
| 5. REFERENCES | 5.参考文献 |
こんにちは、丸山満彦です。
ビッグモーター事案に関連して、金融庁が損害保険ジャパン及びSOMPOホールディングスに対する業務改善命令をだしていますね。。。
● 金融庁
・2024.01.25 損害保険ジャパン及びSOMPOホールディングスに対する行政処分について
気になった記述...
BM社による不正請求はその悪質性から、損害保険業界全体の信頼をも失墜させかねない極めて重大かつ影響力のある事案であり、損保ジャパンのBM社に対する管理・けん制態勢が無効化していた実態は、BM社に不正行為を惹起させる「土壌」(不正行為等を行い得る「機会」の存在)を生じさせるとともに、結果としてBM社の不正請求を助長し、顧客被害の拡大につながったことを考えると、損保ジャパンのBM社に対する一連の対応には重大な問題が認められると言わざるを得ない。
この処分をうけて...
● SOMPOホールディングス
・2024.01.25 [PDF] 金融庁による行政処分(業務改善命令)について [downloaded]
・2024.01.26 [PDF] 金融庁による行政処分(業務改善命令)の概要と再発防止の方向性 [downloaded]
こんにちは、丸山満彦です。
英国の製品セキュリティ・通信インフラ制度のウェブページの紹介です。。。製品セキュリティ・通信インフラ法 (Product Security and Telecommunications Infrastructure Act 2022; PSTI Act 2022) や解説などもありますね。。。。2024年4月29日に施行されますね。。。
EUもサイバーレジリエンス法が決まりそうだし、米国も大統領令でIoTセキュリティの自主的な認証制度(サイバートラスト・マーク)を始めますし、日本も経済産業省でIoTセキュリティの制度についての検討が進んでいますし。。。
先陣を切って英国からですかね。。。
● GOV.UK
2024.01.26にアップデートされているようです。。。
・2024.01.26 The UK Product Security and Telecommunications Infrastructure (Product Security) regime
| The UK Product Security and Telecommunications Infrastructure (Product Security) regime | 英国の製品セキュリティおよび電気通信インフラ(製品セキュリティ)制度 |
| The UK’s consumer connectable product security regime comes into effect on 29 April 2024. Businesses in the supply chains of these products need to be compliant with the legislation from that date. | 英国の消費者向け接続可能製品のセキュリティ制度は、2024年4月29日に開始する。これらの製品のサプライチェーンに含まれる企業は、この日から法令に準拠する必要がある。 |
| From: | 以下より: |
| Department for Science, Innovation and Technology and Viscount Camrose | 科学技術革新省とカムローズ子爵 |
| Published | 発行 |
| 29-Apr-23 | 2023年4月29日 |
| Last updated | 最終更新日 |
| Documents | ドキュメント |
| > | 2022年製品安全および電気通信インフラ法 - その1 |
| 2022年製品安全および電気通信インフラ法に関する説明文書 | |
| 製品セキュリティおよび電気通信インフラ(関連接続可能製品に対するセキュリティ要件)規則2023 | |
| 製品セキュリティおよび電気通信インフラ(関連する接続可能な製品に対するセキュリティ要件)規則2023に対する説明文書 | |
| ETSI EN 303 645:消費者向けモノのインターネットのサイバーセキュリティ: ベースライン要件 | |
| Details | 詳細 |
| The UK’s consumer connectable product security regime comes into effect on 29 April 2024. | 英国の消費者向け接続可能製品のセキュリティ体制は、2024年4月29日に施行される。 |
| From that date, the law will require manufacturers of UK consumer connectable products (or ‘smart’ products) to comply with the relevant obligations set out in the Act, which include ensuring they and their products meet the relevant minimum security requirements. | この法律により、英国の消費者向け接続可能製品(または「スマート」製品)の製造事業者は、同法に定められた関連義務を遵守することが義務付けられる。 |
| The regime comprises of two pieces of legislation: | この制度は2つの法律で構成されている: |
| ・Part 1 of the Product Security and Telecommunications Infrastructure (PSTI) Act 2022; and | ・2022年製品セキュリティおよび電気通信インフラ(PSTI)法第1部、および |
| ・The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023. | ・製品セキュリティおよび電気通信インフラストラクチャー(関連接続可能製品のセキュリティ要件)規則2023。 |
| The PSTI Act received Royal Assent in December 2022. The government published a full draft of the PSTI (Security Requirements for Relevant Connectable Products) Regulations in April 2023. These regulations were signed into law on 14 September 2023. This guidance page highlights the key provisions businesses should consider in seeking to comply with the regime. | PSTI法は2022年12月に勅許を得た。政府は2023年4月にPSTI(関連接続可能製品のセキュリティ要件)規則の全ドラフトを公表した。これらの規則は2023年9月14日に署名された。本ガイダンスのページでは、企業が本規制に準拠するために考慮すべき主要な条項を紹介する。 |
| Commencement of the regime | 制度の開始 |
| Regulation 3 of The Product Security and Telecommunications Infrastructure Act 2022 (Commencement No. 2) Regulations 2023 provides that all parts of Part 1 of the Act not already in force come into force on 29 April 2024. | 製品セキュリティ・電気通信インフラ法2022 (Commencement No. 2) Regulations 2023の第3規則は、同法第1部のうちまだ施行されていないすべての部分が2024年4月29日に施行されることを規定している。 |
| Regulation 1 of the PSTI (Security Requirements for Relevant Connectable Products) Regulations 2023 provides that those Regulations come into force on 29 April 2024. | PSTI(関連接続製品のセキュリティ要件)規則2023の規則1は、これらの規則が2024年4月29日に施行されることを規定している。 |
| Persons subject to duties under the regime | 本制度に基づく義務の対象者 |
| The economic actors to which the duties of the product security regime apply (“relevant persons”) are the manufacturers, importers, and distributors of relevant connectable products. | 製品セキュリティ制度の義務が適用される経済主体(「重要な製品」)は、関連接続可能製品の製造事業者、輸入事業者、頒布事業者である。 |
| Section 7 of the Act provides definitions of these persons in relation to a product. | 同法第7条は、製品に関連するこれらの者の定義を定めている。 |
| Where a manufacturer established abroad authorises a person in the United Kingdom, with the agreement of that person, to perform certain duties on their behalf, section 51 sets out that the authorised representative must comply with those duties, while stipulating that this does not affect the manufacturer’s liability for a failure to comply with a duty. | 外国に設立された製造事業者が、その者の同意を得て、英国にいる者に一定の義務を代行させる場合、第51条は、委任された代表者がその義務を遵守しなければならないことを定める一方、このことは、義務を遵守しなかった場合の製造事業者の責任には影響しないと規定している。 |
| Duties of relevant persons | 関係者の義務 |
| Chapter 2 of the Act sets out the duties of relevant persons. | 同法第2章は、関係者の義務を定めている。 |
| Additionally, where a manufacturer has appointed an “authorised representative” as defined in section 51(2) of the act, section 13 of this chapter sets out duties that must be complied with by that authorised representative. | さらに、製造事業者が法第51条第2項に定義される「公認代表者」を任命している場合、本章第13項は、当該公認代表者が遵守すべき義務を定めている。 |
| Certain duties under the regime require a relevant person to consider provisions of the Regulations to discharge those duties: | 本制度に基づく特定の義務は、関連者がその義務を果たすために規則の規定を考慮することを求めている: |
| ・Regulation 3 provides that the security requirements specified in schedule 1 to the Regulations apply to manufacturers of relevant connectable products. | ・規則3は、関連する接続可能製品の製造事業者に対し、規則別表1に定めるセキュリティ要件が適用されることを規定している。 |
| ・Regulation 7 provides that the information specified in schedule 4 to the regulations must be included in the statement of compliance. Manufacturers must produce a statement of compliance that includes all the information specified in schedule 4 and ensure that it accompanies the product to make it available. | ・規則7は、規則のスケジュール4に規定された情報を適合声明書に含めなければならないことを規定している。製造事業者は、スケジュール4に規定されたすべての情報を含む適合性確認書を作成し、製品に添付して利用できるようにしなければならない。 |
| ・Sections 15 and 22 of the PSTI Act further set out that importers and distributors respectively also have duties placed upon them to not make available a product unless it is accompanied by a statement of compliance. | ・PSTI法第15条と第22条はさらに、輸入事業者と頒布事業者はそれぞれ、適合説明書が添付されない限り、製品を入手可能な状態にしない義務を負うと定めている。 |
| Additionally, regulations 8 and 9 set out the requirements for a manufacturer and an importer respectively to retain a copy of the statement of compliance. | さらに、規則第8条および第9条は、製造事業者および輸入事業者がそれぞれ適合宣言書の写しを保管する要件を定めている。 |
| Relevant connectable products | 関連する接続可能製品 |
| The conditions under which a relevant person is subject to a specific duty are set out in the section of the Act where that duty is provided for. Where these conditions, or the duty itself, relates to a “relevant connectable product”, section 4 of the Act provides for the definition of this term. A product is a relevant connectable product if it is an internet-connectable product or a network-connectable product, and not an excepted product. | 関連者が特定の関税を課される条件は、当該関税が規定されている法律の条文に定められている。これらの条件または義務そのものが「関連する接続可能な製品」に関するものである場合、法第4条にこの用語の定義が規定されている。製品がインターネット接続可能な製品またはネットワーク接続可能な製品であり、例外製品でない場合、製品は関連接続可能製品である。 |
| Economic actors seeking to determine whether a product is a “relevant connectable product” should therefore review the definitions of “internet-connectable product” and “network-connectable product” provided for in section 5 of the Act, as well as the products specified as excepted products in schedule 3 to the Regulations. | したがって、ある製品が「関連する接続可能な製品」であるかどうかを判断しようとする経済主体は、同法第5条に規定されている「インターネット接続可能な製品」および「ネットワーク接続可能な製品」の定義、ならびに同規則のスケジュール3で除外製品として指定されている製品を確認する必要がある。 |
| The Security Requirements | セキュリティ要件 |
| The security requirements are actions that relevant businesses in the supply chain must take, or requirements that a product must meet, to address a security problem or eliminate a potential security vulnerability. | セキュリティ要件とは、セキュリティ上の問題に対処し、潜在的なセキュリティの脆弱性を排除するために、サプライチェーンの関連事業者が講じなければならない措置、または製品が満たさなければならない要件である。 |
| Schedule 1 to the 2023 Regulations sets out the specific requirements that must be complied with in relation to relevant connectable products. | 2023年規則の別表1には、関連する接続可能な製品に関して遵守しなければならない具体的な要件が定められている。 |
| 1. Passwords | 1. パスワード |
| Passwords must be unique per product; or capable of being defined by the user of the product. | パスワードは、製品ごとに一意であるか、製品のユーザーが定義できるものでなければならない。 |
| Paragraph 1(3) of schedule 1 to the Regulations provides further requirements that relate to passwords which are unique per product. They must not be based on incremental counters; based on or derived from publicly available information; based on or derived from unique product identifiers, such as a serial number unless this is done using an encryption method, or keyed hashing algorithm, that is accepted as part of good industry practice; or otherwise easily guessable. | 規則別表1の第1項(3)は、製品ごとに一意であるパスワードに関する更なる要件を規定している。パスワードは、インクリメンタルカウンタに基づくもの、一般に入手可能な情報に基づくもの、一般に入手可能な情報に由来するもの、業界の適正な慣行の一部として認められている暗号化方法または鍵付きハッシュアルゴリズムを使用しない限り、シリアル番号などの一意の製品識別子に基づくもの、またはそれらに由来するものであってはならない、その他容易に推測可能なものであってはならない。 |
| 2. Information on how to report security issues | 2. セキュリティ問題の報告方法に関する情報 |
| The manufacturer must provide information on how to report to them security issues about their product. The manufacturer must also provide information on the timescales within which an acknowledgment of the receipt of the report and status updates until the resolution of the reported security issues can be expected by person making the report. | 製造事業者は、製品に関するセキュリティ上の問題を報告する方法に関する情報を提供しなければならない。また、製造事業者は、報告者が報告を受領したことの確認と、報告されたセキュリ ティ問題の解決までの状況更新を期待できる期間に関する情報を提供しなければならない。 |
| This information should be made available without prior request in English, free of charge. It should also be accessible, clear and transparent. | この情報は、事前の要請なしに、英語で、無料で提供されなければならない。また、アクセスしやすく、明瞭で透明性のあるものでなければならない。 |
| 3. Information on minimum security update periods | 3. 最低セキュリティ更新期間に関する情報 |
| Information on minimum security update periods must be published and made available to the consumer in a clear accessible and transparent manner. This must be the minimum length of time security updates will be provided along with an end date. | 最低セキュリティ更新期間に関する情報は、明確でアクセス可能かつ透明性のある方法で公表され、消費者が入手できるようにされなければならない。この情報には、セキュリティ更新が提供される最短期間と、その終了日が記載されていなければならない。 |
| This information should be available without prior request in English, free of charge and in a such a way that is understandable for a reader without prior technical knowledge. | この情報は、事前の要請なしに、英語で、無償で、専門知識のない読者にも理解できるように提供されなければならない。 |
| Enforcement | 施行 |
| The Office for Product Safety and Standards (OPSS) will be responsible for enforcing the PSTI Act 2022 and the 2023 Regulations from 29 April 2024, acting under an MoU with DSIT. | 製品安全基準局(OPSS)は、DSITとのMoUに基づき、2022年4月29日からPSTI法および2023年規則の施行に責任を負う。 |
| OPSS is part of the Department for Business and Trade and already enforce the UK’s existing product safety regulations | OPSSは商務貿易省の一部であり、すでに英国の既存の製品安全規制を執行している。 |
| OPSS will utilise existing processes and relationships to enforce the UK product security regime in a robust and risk-based manner and take appropriate and proportionate action against businesses that fail to comply with their obligations. | OPSSは既存のプロセスと関係を活用し、英国の製品安全規制を強固かつリスクベースで実施し、義務を遵守しない企業に対して適切かつ相応の措置を講じる。 |
| Please visit the OPSS web page for further information on OPSS’s enforcement activity and how to work with the enforcing authority. | OPSSの取締り活動および取締り当局との協力方法に関する詳細は、OPSSのウェブページを参照されたい。 |
| Resources | リソース |
| OPSS and DSIT will continue to provide support to industry as the regime progresses. Please continue to check these web pages for updates - you can sign up to alerts for this page here. | OPSSとDSITは、制度が進展するにつれ、産業界にサポートを提供し続ける。引き続き、これらのウェブページの最新情報をチェックしていただきたい。 |
| The resources below provide information to support compliance with the PSTI Product Security regime. | 以下のリソースは、PSTI製品セキュリティ体制への準拠をサポートする情報を提供する。 |
| ETSI standards and supporting guidance | ETSI標準とサポートガイダンス |
| ETSI EN 303 645 | ETSI EN 303 645 |
| ETSI Technical Specification 103 645 | ETSI 技術仕様 103 645 |
| ETSI Implementation Guide 103 621 | ETSI 実施ガイド 103 621 |
| ETSI Assessment Specification 103 701 | ETSI 評価仕様書 103 701 |
| Quick guides and webinars | クイックガイドとウェビナー |
| iotsecurityfoundation.org/consumer-iot/ | iotsecurityfoundation.org/consumer-iot/ |
Published 29 April 2023 |
2023年4月29日発行 |
| Last updated 26 January 2024 + show all updates | 最終更新 2024年1月26日 + すべての更新を表示する |
| 26-Jan-24 | 2024年1月26日 |
| The product security law comes into effect on 29 April 2024. We have updated the guidance to help ensure businesses understand the requirements and the need to comply with the legislation from that date. This guidance builds on the wide range of communications with industry over the past few years explaining the security requirements for 'smart' / connectable products. | 製品セキュリティ法は2024年4月29日に施行される。私たちは、企業がこの日以降の要件と法令遵守の必要性を確実に理解できるよう、ガイダンスを更新した。このガイダンスは、「スマート」/接続可能な製品のセキュリティ要件について説明する、過去数年間の業界との幅広いコミュニケーションに基づいている。 |
| 31-Oct-23 | 2023年10月31日 |
| These regulations were signed into law on 14 September 2023. The consumer connectable product security regime will enter into effect on 29 April 2024. | これらの規制は2023年9月14日に署名された。消費者向け接続可能製品のセキュリティ体制は2024年4月29日に発効する。 |
| 30-Aug-23 | 2023年08月30日 |
| Added link to the updates draft Regulations published in July 2023. These will be debated when Parliamentary time allows. | 2023年7月に公表された規則草案へのリンクを追加した。これらは議会の時間が許せば審議される。 |
| 29-Apr-23 | 2023年04月29日 |
| First published. | 初稿 |
参考
● まるちゃんの情報セキュリティ気まぐれ日記
PSTI関係...
・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)
・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06
・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表
・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24
日本の動きについては...
・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ
・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会
米国のサイバーセキュリティラベル
・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表
・2023.05.10 米国 ホワイトハウス 重要新興技術に関する国家標準化戦略を発表 (2023.05.04)
・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)
・2023.03.04 米国 国家サイバーセキュリティ戦略を発表
・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル
・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。
・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準
・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準
・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集
EUのサイバーセキュリティ
・2024.01.17 欧州 2023年12月20日に欧州議会に送致されたサイバーレジリエンス法案 (Cyber Resilience Act)
・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意
・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設
・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開
・2023.01.29 欧州 サイバーレジリエンス法案に対するポジションペーパー by 欧州消費者機構
・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...
・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)
・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品
・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与
・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。
こんにちは、丸山満彦です。
AIシステムの「使用」に関するガイダンスとして、オーストラリア、米国、英国、カナダ、ニュージランドとともに作成した「AI使用に関する国際ガイダンス (Engaging with Artificial Intelligence(AI)) について、11カ国が署名をしたようですね。。。
オーストラリア
● Australia signals Derectorate; ASD
・2024.01.24 Engaging with Artificial Intelligence (AI)
・[PDF]
参加団体
| 米国 | ・サイバーセキュリティ・インフラストラクチャー安全保障庁(CISA)』 ・米国連邦捜査局(FBI) ・国家安全保障局(NSA) |
| 英国 | ・国家サイバーセキュリティセンター (NCSC-UK) |
| カナダ | ・サイバーセキュリティセンター (CCCS) |
| 豪州 | ・通信電子局(ASD) ・豪州サイバーセキュリティセンター(ACSC) |
| ニュージーランド | ・国家サイバーセキュリティセンター (NCSC-NZ) |
| ドイツ | ・連邦情報セキュリティ庁 (BSI) |
| イスラエル | ・国家サイバー総局 (INCD) |
| 日本 | ・内閣サイバーセキュリティセンター (NISC) ・日本内閣府科学技術・イノベーション推進事務局 |
| ノルウェー | ・国家サイバーセキュリティセンター (NCSC-NO) |
| シンガポール | ・サイバーセキュリティ庁 (CSA) |
| スウェーデン | ・国家サイバーセキュリティセンター |
日本
● 内閣府
・2024.01.24 AI使用に関する国際ガイダンスへの共同署名について
内容について、次のように説明していますね。。。
(1)本文:AIシステムに対する脅威を6つ列挙の上、これに対する12の緩和策を注意喚起するもの。
(ア)導入
この文書はAIシステムを安全に「使用」するガイダンスを提供。なお、安全なAIシステムの「開発」については、(英米が主導した)文書”Guidelines for Secure AI System Development”を参照願いたい。
(イ)AIとは
機械学習、自然言語プロセス、生成AIを説明し、AIが意図的又は過失で被害をもたらすリスクがあり、リスク管理の必要性を強調。
(ウ)AIに関する課題
脅威として、①データポイズニング、②インプット改ざん攻撃(プロンプトインジェクション・敵対的サンプル)、③生成AIハルシネーション、④プライバシー・知的財産に関する懸念、⑤モデル窃取攻撃・学習データ漏えい、⑥匿名化データの再特定を列挙。
(エ)緩和策
AIシステムに関し、それぞれ、①サイバーセキュリティ枠組みの実施、②プライバシー・データ保護義務への影響評価、③多要素認証の実装、④特権アクセスの管理、⑤バックアップ、⑥試行、⑦サプライチェーンを含むセキュアバイデザイン確保、⑧限界や制限の理解、⑨関係スタッフの能力・資格、⑩検査・ヘルスチェック、⑪ログ監視、⑫インシデント対応を列挙。
(2)参考文献:各国のサイバーセキュリティ枠組み、AIセキュリティに関する文書を列挙。(例えば、広島AIプロセス包括的政策枠組みや、米国NISTのCybersecurity Framework, AI Risk Management Framework等。)
6つの脅威
①データポイズニング、
②インプット改ざん攻撃(プロンプトインジェクション・敵対的サンプル)、
③生成AIハルシネーション、
④プライバシー・知的財産に関する懸念、
⑤モデル窃取攻撃・学習データ漏えい、
⑥匿名化データの再特定
12の緩和策
①サイバーセキュリティ枠組みの実施、
②プライバシー・データ保護義務への影響評価、
③多要素認証の実装、
④特権アクセスの管理、
⑤バックアップ、
⑥試行、
⑦サプライチェーンを含むセキュアバイデザイン確保、
⑧限界や制限の理解、
⑨関係スタッフの能力・資格、
⑩検査・ヘルスチェック、
⑪ログ監視、
⑫インシデント対応
仮訳
・[PDF]
セキュア開発についてのガイドは
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.11.28 米国 CISA 英国 NCSC 安全なAIシステム開発のための共同ガイドライン
を参考に...
こんにちは、丸山満彦です。
差別的な取り扱いにならないようにするにはどうするか?ということも含めて、保険会社がAIを利用する際に検討すべきこと、という感じですかね。。。
日本でも応用できる考え方ですよね。。。
● New York States - Department of Financial Services; DFS
プレス
・2024.01.17
| DFS Superintendent Adrienne A. Harris Proposes Artificial Intelligence Guidance to Combat Discrimination | DFSのAdrienne A. Harris監督官が識別的差別に対抗するための人工知能ガイダンスを提案した。 |
| Circular Letter Applies to All Insurers Authorized to Write Insurance in New York State | 通達はニューヨーク州で保険認可を受けたすべての保険会社に適用される。 |
| Today Superintendent of Financial Services Adrienne A. Harris issued for public comment a proposed circular letter addressing the use of artificial intelligence by licensed insurers. | 本日、アドリアン・ハリス金融サービス長官は、認可を受けた保険会社による人工知能の使用に関する通達案を発表し、パブリック・コメントを求めた。 |
| “Technological advances that allow for greater efficiency in underwriting and pricing should never come at the expense of consumer protection,” said Superintendent Harris. “DFS has a responsibility to ensure that the use of AI in insurance will be conducted in a way that does not replicate or expand existing systemic biases that have historically led to unlawful or unfair discrimination.” | 「引受や価格設定の効率化を可能にする技術の進歩は、決して消費者保護を犠牲にしてはならない。「DFSは、保険におけるAIの利用が、歴史的に違法または不当な識別的差別につながってきた既存の制度的バイアスを複製または拡大しない方法で行われることを保証する責任がある。 |
| The circular letter outlines DFS’s expectations for how insurers develop and manage the integration of external consumer data and information sources (“ECDIS”), artificial intelligence systems (“AIS”), and other predictive models to mitigate potential harm to consumers. Insurers are expected to: | 通達では、保険会社が消費者の潜在的な損害を軽減するために、外部の消費者データや情報源(「ECDIS」)、人工知能システム(「AIS」)、その他の予測モデルの統合をどのように開発・管理するかについて、DFSの期待を概説している。保険会社は以下を行うことが期待される: |
| ・analyze ECDIS and AIS for unfair and unlawful discrimination; | ・ECDISとAISを分析し、不当かつ違法な識別的差別がないか確認する; |
| ・demonstrate the actuarial validity of ECDIS and AIS; | ・ECDISとAISの保険数理上の妥当性を実証する; |
| ・maintain a corporate governance framework that provides appropriate oversight of the insurer’s use of ECDIS and AIS; and | ・保険者によるECDISとAISの利用を適切に監督するコーポレート・ガバナンスの枠組みを維持する。 |
| ・maintain appropriate transparency, risk management, and internal controls. | ・適切な透明性、リスクマネジメント、内部統制を維持する。 |
| DFS recognizes that AIS and ECDIS can simplify underwriting and pricing and potentially make them more accurate. However, the self-learning behavior of AIS may also increase the risks of unfair or unlawful discrimination in violation of the Insurance Law, which may disproportionately impact vulnerable communities or otherwise undermine the New York insurance market. | DFSは、AISとECDISが引受と価格設定を簡素化し、より正確なものにする可能性があることを認識している。しかし、AISの自己学習行動は、保険法に違反する不当または違法な識別的差別のリスクを増大させる可能性もあり、脆弱性のある地域社会に不釣り合いな影響を与えたり、ニューヨークの保険市場を弱体化させる可能性がある。 |
| Today’s announcement builds upon Governor Hochul’s first-ever statewide policy governing AI and commitment to making New York a leader in cutting-edge technology development and use. | 本日の発表は、ホーチュル政府ガバナーによるAIに関する初の州全体の政策と、ニューヨークを最先端技術の開発と利用におけるリーダーにするというコミットメントに基づくものである。 |
| DFS is soliciting comments from the industry and the public on today’s proposed circular letter until March 17, 2024. A copy of the circular letter is available on the DFS website. | DFSは本日の通達案について、2024年3月17日まで業界および一般からの意見を募集している。 通達のコピーはDFSのウェブサイトで入手できる。 |
通達案
・2024.01.17 Proposed Insurance Circular Letter
| Proposed Insurance Circular Letter | 保険通達案について |
| 17-Jan-24 | 1月17日-24日 |
| TO: All Insurers Authorized to Write Insurance in New York State, Licensed Fraternal Benefit Societies, and the New York State Insurance Fund | 宛先 ニューヨーク州で保険認可を受けたすべての保険会社、認可を受けた友愛団体、ニューヨーク州保険基金 |
| RE: Use of Artificial Intelligence Systems and External Consumer Data and Information Sources in Insurance Underwriting and Pricing | RE: 保険引受および価格設定における人工知能システムおよび外部の消費者データ・情報源の利用 |
| STATUTORY AND REGULATORY REFERENCES: N.Y. Ins. Law §§ 308, 309, 1501, 1503, 1604, 1702, 1717, 2303, 3221, 3425, 3426, 4224, and 4305, and Articles 24 and 26; 11 NYCRR 82; 11 NYCRR 89; 11 NYCRR 90; 11 NYCRR 243 | 法令および規制の参考文献 ニューヨーク州保険法第 308 条、第 309 条、第 1501 条、第 1503 条、第 1604 条、第 1702 条、第 1717 条、第 2303 条、第 3221 条、第 3425 条、第 3426 条、第 4224 条、第 4305 条、第 24 条、第 26 条、第 11 NYCRR 第 82 条、第 11 NYCRR 第 89 条、第 11 NYCRR 第 90 条、第 11 NYCRR 第 243 条。 |
| I. Purpose and Background | I. 目的と背景 |
| 1. The New York State Department of Financial Services (“Department”) is committed to innovation and the responsible use of technology to improve financial access and contribute to the safety and stability of insurance markets. The Department expects that insurers use of emerging technologies such as artificial intelligence will be conducted in a manner that complies with all applicable federal and state laws, rules, and regulations. | 1. ニューヨーク州金融サービス局(以下 "局")は、金融アクセスを改善し、保険市場の安全性と安定性に貢献するため、技術革新と責任ある技術利用に取り組んでいる。同局は、保険会社が人工知能のような新たなテクノロジーを利用する際には、適用されるすべての連邦法および州法、規則、規制を遵守することを期待している。 |
| 2. The use of external consumer data and information sources (“ECDIS”) and artificial intelligence systems (“AIS”) can both benefit insurers and consumers alike by simplifying and expediting insurance underwriting and pricing processes, and potentially result in more accurate underwriting and pricing of insurance. At the same time, ECDIS may reflect systemic biases and its use can reinforce and exacerbate inequality. This raises significant concerns about the potential for unfair adverse effects or discriminatory decision-making. ECDIS may also have variable accuracy and reliability and may come from entities that are not subject to regulatory oversight and consumer protections. Furthermore, the self-learning behavior of AIS increases the risks of inaccurate, arbitrary, capricious, or unfairly discriminatory outcomes that may disproportionately affect vulnerable communities and individuals or otherwise undermine the insurance marketplace in New York. | 2. 外部消費者データ・情報源(ECDIS)や人工知能システム(AIS)の利用は、保険の引受・価格決定プロセスを簡素化・迅速化することにより、保険会社と消費者の双方に利益をもたらし、より正確な保険の引受・価格決定をもたらす可能性がある。同時に、ECDISはシステム的なバイアスを反映する可能性があり、その使用は不平等を強化し、悪化させる可能性がある。このことは、不当な悪影響や差別的な意思決定の可能性について重大な懸念を生じさせる。ECDISはまた、精度や信頼性にばらつきがあり、規制監督や消費者保護の対象とならない事業体から提供されている可能性もある。さらに、AIS の自己学習行動は、不正確、恣意的、気まぐれ、不当な差別的結果のリスクを増大させ、脆弱な地域社会と個人に不釣り合いな影響を与えたり、ニューヨークの保険市場を弱体化させる可能性がある。 |
| 3. Therefore, it is critical that insurers who utilize such technologies establish a proper governance and risk management framework to mitigate the potential harm to consumers and comply with all relevant legal obligations. The purpose of this circular letter (“Circular Letter”) is to identify DFS’s expectations that all insurers authorized to write insurance in New York State, licensed fraternal benefit societies, and the New York State Insurance Fund (collectively, “insurers”) develop and manage their use of ECDIS, artificial intelligence systems, and other predictive models in underwriting and pricing insurance policies and annuity contracts. | 3. したがって、このようなテクノロジーを利用する保険会社は、消費者への潜在的な損害を軽減し、関連するすべての法的義務を遵守するために、適切なガバナンスとリスクマネジメントの枠組みを確立することが極めて重要である。本通達の目的は、ニューヨーク州において保険契約を認可されたすべての保険会社、認可された友愛団体、およびニューヨーク州保険基金(以下、「保険会社」と総称する)が、保険契約および年金契約の引受けと価格決定において、ECDIS、人工知能システム、およびその他の予測モデルの利用を開発し、管理することをDFSが期待することを明らかにすることである。 |
| 4. For purposes of this Circular Letter, AIS means any machine-based system designed to perform functions normally associated with human intelligence, such as reasoning, learning, and self-improvement, that is used – in whole or in part – to supplement traditional medical, property or casualty underwriting or pricing, as a proxy for traditional medical, property or casualty underwriting or pricing, or to establish “lifestyle indicators” that may contribute to an underwriting or pricing assessment of an applicant for insurance coverage. | 4. 本通達において、AIS とは、推論、学習、自己改善など、通常人間の知能に関連する機能を実行するよう設計された機械ベースのシステムであって、従来の医療、損害、傷害の引受やプライシングを補完するため、従来の医療、損害、傷害の引受やプライシングの代理として、あるいは保険加入申込者の引受やプライシングの評価に資する可能性のある「ライフスタイル指標」を設定するために、全体的あるいは部分的に使用されるものをいう。 |
| 5. For purposes of this Circular Letter, ECDIS includes data or information used – in whole or in part – to supplement traditional medical, property or casualty underwriting or pricing, as a proxy for traditional medical, property or casualty underwriting or pricing, or to establish “lifestyle indicators” that may contribute to an underwriting or pricing assessment of an applicant for insurance coverage. For the purposes of this Circular Letter, ECDIS does not include an MIB Group, Inc. member information exchangeservice, a motor vehicle report, or a criminal history search. An insurer conducting a criminal history search for insurance underwriting and pricing purposes must comply with Executive Law § 296(16). See e.g., Insurance Circular Letter No. 13 (2022). | 5. 本通達の目的上、ECDIS には、従来の医療、財物、または傷害保険の引受けまたは価格設定を補完するため、従来の医療、財物、または傷害保険の引受けまたは価格設定の代理として、あるいは保険加入申請者の引受けまたは価格設定の評価に資する可能性のある「ライフスタイル指標」を設定するために、全部または一部使用されるデータまたは情報が含まれる。本通達では、ECDIS には MIB Group, Inc.の会員情報交換サービス、自動車事故報告書、犯罪歴調 査は含まれない。保険引受および価格設定の目的で犯罪履歴調査を行う保険会社は、行政法第 296 条(16)に従わなければならない。例えば、保険通達書簡第13号(2022年)を参照のこと。 |
| 6. An insurer may deploy ECDIS and AIS in a variety of ways throughout the underwriting and pricing process. The Department recognizes there is no one-size-fits-all approach to managing data and decisioning systems. Therefore, insurers should take an approach to developing and managing their use of ECDIS and AIS that is reasonable and appropriate to each insurer’s business model and the overall complexity and materiality of the risks inherent in using ECDIS and AIS. | 6. 保険会社は、保険引受と価格決定プロセスを通じて、様々な方法で ECDIS と AIS を配備することができる。保険局は、データと意思決定システムを管理する上で、万能なアプローチはないと認識している。従って、保険者は、ECDIS と AIS の利用を発展させ、マネジメントするために、各保険者のビジネ スモデルと、ECDIS と AIS の利用に内在するリスクの全体的な複雑さと重要性に対して、合理的で適切なアプロ ーチを取るべきである。 |
| 7. This Circular Letter is not intended to provide an exhaustive list of potential issues that could arise from the use of ECDIS or AIS and is not intended to suggest that an insurer’s due diligence in assessing ECDIS or AIS should be limited to the concerns enumerated below. This Circular Letter also is not intended to address phases of the insurance product lifecycle other than underwriting and pricing. | 7. 本通達は、ECDIS や AIS の使用から生じる可能性のある問題を網羅的にプロバイダとして提供 することを意図したものではなく、また、ECDIS や AIS を評価する際の保険者のデューディリ ジェンスが、以下に列挙する懸念事項に限定されるべきことを示唆するものでもない。また、本通達は、保険商品のライフサイクルのうち、引受と価格設定以外の段階について言及することを意図したものでもない。 |
| 8. The Department may audit and examine an insurer’s use of ECDIS and AIS, including within the scope of regular or targeted examinations pursuant to New York Insurance Law (“Insurance Law”) § 309, or a request for special report pursuant to Insurance Law § 308. | 8. 保険局は、ニューヨーク保険法(「保険法」)第 309 条に従った定期的な、あるいは的を絞った審査の範囲内 で、あるいは保険法第 308 条に従った特別報告の要請の範囲内で、保険会社の ECDIS と AIS の使用を監査し、調査することができる。 |
| II. Fairness Principles | II. 公正原則 |
| 9. An insurer should not use ECDIS or AIS for underwriting or pricing purposes unless the insurer can establish that the data source or model, as applicable, does not use and is not based in any way on any class protected pursuant to Insurance Law Article 26. Moreover, an insurer should not use ECDIS or AIS for underwriting or pricing purposes if such use would result in or permit any unfair discrimination or otherwise violate the Insurance Law or any regulations promulgated thereunder. | 9. 保険者は、適用法に従って、そのデータソースやモデルが、保険法第26条に従って保護され ているいかなる階級も使用しておらず、いかなる形でもそれに基づいていないことを証明できな い限り、引受や価格設定の目的でECDISやAISを使用すべきではない。さらに、保険者は、ECDIS や AIS を引受や価格設定の目的で使用することが、不公正な差別をもたらすか、許 容するか、あるいは保険法やその下で公布された規制に違反する場合は、使用すべきではない。 |
| A. Data Actuarial Validity | A. データの数理的妥当性 |
| 10. As with any other variables employed in underwriting and pricing, insurers should be able to demonstrate that the ECDIS are supported by generally accepted actuarial standards of practice and are based on actual or reasonably anticipated experience, including, but not limited to, statistical studies, predictive modeling, and risk assessments. The underlying analyses should demonstrate a clear, empirical, statistically significant, rational, and not unfairly discriminatory relationship between the variables used and the relevant risk of the insured. | 10. 保険会社は、保険引受や料率設定に用いられる他の変数と同様に、ECDIS が一般に認められた保険数理実務の標準によって裏付けられ、統計的研究、予測モデリング、リスクアセスメントを含むが、これらに限定されない、実際または合理的に予測される経験に基づくものであることを証明できなければならない。基礎となる分析は、使用される変数と被保険者の関連リスクとの間に、明確で、経験的で、統計的に有意で、合理的で、不当に差別的でない関係があることを実証するものでなければならない。 |
| 11. Proxy Assessment. Insurers must be able to demonstrate that the ECDIS employed for underwriting and pricing are not prohibited by the Insurance Law or regulations promulgated thereunder and should be able to demonstrate that they do not serve as a proxy for any protected classes that may result in unfair or unlawful discrimination. | 11. 代理査定。保険者は、保険引受とプライシングのために採用された ECDIS が、保険法またはそれに基づき公布された規制によって禁止されていないことを証明できなければならず、また、不当または違法な識別をもたらす可能性のある保護階級の代理人として機能しないことを証明できなければならない。 |
| B. Unfair and Unlawful Discrimination | B. 不当・違法な差別 |
| 12. State and federal law prohibits insurers from unlawfully discriminating against certain protected classes of individuals and from engaging in unfair discrimination, including the ability of insurers to underwrite based on certain criteria.1 An insurer should not use ECDIS or AIS in underwriting or pricing unless the insurer has determined that the ECDIS or AIS does not collect or use criteria that would constitute unfair or unlawful discrimination or an unfair trade practice. | 12.州法および連邦法は、保険会社が特定の保護対象者を違法に差別すること、また、保険会社が特定の基準に基づいて引受を行うことを含め、不公正な差別を行うことを禁じている[1] 。保険者は、ECDIS やAIS が不当・不法な差別や不公正な取引慣行となるような基準を収集・使用していないと判断しない限り、ECDIS やAIS を引受けやプライシングに使用してはならない。 |
| 13. When using ECDIS or AIS as part of their insurance business, insurers are responsible for complying with these anti-discrimination laws irrespective of whether they themselves are collecting data and directly underwriting consumers, or relying on ECDIS or AIS of external vendors that are intended to be partial or full substitutes for direct underwriting or pricing. An insurer may not use ECDIS or AIS to collect or use information that the insurer would otherwise be prohibited from collecting or using directly. An insurer may not rely solely on a vendor’s claim of non-discrimination or a proprietary third-party process to determine compliance with anti-discrimination laws. The responsibility to comply with anti-discrimination laws remains with the insurer at all times. | 13. 保険業務の一環として ECDIS や AIS を使用する場合、保険者自身がデータを収集し、直接消費者の引受けを行うか、直接引受けや価格設定の一部または全部の代替となることを意図した外部業者の ECDIS や AIS に依存するかにかかわらず、保険者はこれらの識別的差別禁止法を遵守する責任がある。保険者は、ECDIS や AIS を使って、保険者が直接収集・利用することを禁じられている情報を収集・利用してはならない。保険者は、差別禁止法の遵守を判断するために、識別的でないというベンダーの主張 や、独自のサードパーティ・プロセスだけに頼ってはならない。識別的差別禁止法を遵守する責任は、常に保険者にある。 |
| 14. An insurer should not use ECDIS or AIS in underwriting or pricing unless the insurer can establish through a comprehensive assessment that the underwriting or pricing guidelines are not unfairly or unlawfully discriminatory in violation of the Insurance Law. A comprehensive assessment of whether an underwriting or pricing guideline derived from ECDIS or AIS unfairly discriminates between similarly situated individuals or unlawfully discriminates against a protected class should, at a minimum, include the following steps: | 14. 保険者は、包括的な評価を通じて、引受または価格設定ガイドラインが保険法に違反する不当または違法な差別的行為でないことを立証できない限り、引受または価格設定においてECDISまたはAISを使用すべきではない。ECDIS または AIS に由来する引受または価格設定ガイドラインが、同様の立場にある個人間 で不当な差別を行うか、または保護されるべき階級に対して違法な差別を行うかどうかの包括的な評 価は、少なくとも以下のステップを含むべきである: |
| i. assessing whether the use of ECDIS or AIS produces disproportionate adverse effects in underwriting and/or pricing on similarly situated insureds, or insureds of a protected class. If there is no prima facie showing of a disproportionate adverse effect, then the insurer may conclude its evaluation. | i. ECDIS または AIS の使用が、引受けおよび/または価格設定において、同様の立場にある被保険 者、あるいは保護された階級の被保険者に不釣り合いな悪影響を及ぼすかどうかを評価すること。不釣り合いな悪影響の疎明がない場合、保険者は評価を終了することができる。 |
| ii. if there is prima facie showing of such a disproportionate adverse effect, further assessing whether there is a legitimate, lawful, and fair explanation or rationale for the differential effect on similarly situated insureds. If no legitimate, lawful, and fair explanation or rationale can account for the differential effect on similarly situated insureds, the insurer should modify its use of such ECDIS or AIS and evaluate the modified use of ECDIS or AIS. | ii. そのような不釣り合いな悪影響の一応の証明がある場合は、さらに、同様の立場にある被保険者に対する差別的な影響について、合法的、適法かつ公正な説明や根拠があるかどうかを評価する。合法的、適法かつ公正な説明や理論的根拠がない場合、保険者はECDISやAISの使用を修正し、修正されたECDISやAISの使用を評価しなければならない。 |
| iii. if a legitimate, lawful, and fair explanation or rationale can account for the differential effect, further conducting and appropriately documenting a search and analysis for a less discriminatory alternative variable(s) or methodology that would reasonably meet the insurer’s legitimate business needs. If a less discriminatory alternative exists, the insurer should modify its use of ECDIS or AIS accordingly. | iii. 合法的、合法的、かつ公正な説明や根拠で差別的影響を説明できる場合、保険者の合法的なビジネス・ニーズを合理的に満たすような、より差別的でない代替変数や手法の検索と分析をさらに実施し、適切に文書化する。より差別的でない代替手段が存在する場合、保険者はそれに従ってECDISまたはAISの使用を修正すべきである。 |
| C. Analyzing for Unfair or Unlawful Discrimination | C. 不当または違法な差別の分析 |
| 15. Documentation. An insurer should appropriately document the processes and reasoning behind its testing methodologies and analysis for unfair or unlawful discrimination commensurate with the insurer’s use of ECDIS and AIS and the complexity and materiality of such ECDIS and AIS. An insurer should be prepared to make such documentation available to the Department upon request. | 15. 文書化 保険者は、ECDIS や AIS の使用状況、ECDIS や AIS の複雑さ、重要性に見合った、不当または違法な 差別のテスト方法と分析のプロセスと理由を適切に文書化すべきである。保険者は、要請があれば、そのような文書を保険局に提供する用意がなければならない。 |
| 16. Frequency of Testing. Unfair or unlawful discrimination testing, and analysis should be administered prior to putting AIS into production and on a regular cadence thereafter, as well as whenever material updates or changes are made to either the ECDIS or AIS. | 16. 試験の頻度。不当または違法な識別的試験および分析は、ECDIS または AIS のいずれかに重要な更新または変更が加えられるたびに、AIS を本番稼動させる前、およびその後も定期的に実施されなければならない。 |
| 17. Quantitative Assessment. Insurers are encouraged to use multiple statistical metrics in evaluating data and model outputs to ensure a comprehensive understanding and assessment. Such metrics may include, among others: | 17. 定量的評価。保険者は、包括的な理解と評価を確実にするため、データ及びモデルの出力を評価する際に、 複数の統計的指標を使用することが推奨される。このような指標には、特に以下のものが含まれる: |
| i. Adverse Impact Ratio: Analyzing the rates of favorable outcomes between protected classes and control groups to identify any disparities. | i. 悪影響を及ぼす比率: i. Adverse Impact Ratio(逆影響率):保護されたクラスと対照群との間の好ましい結果の割合を分析し、格差を特定する。 |
| ii. Denials Odds Ratios: Computing the odds of adverse decisions for protected classes compared to control groups. | ii. 拒否のオッズ比: 被保護階級が不利な決定を受ける確率を対照群と比較して計算する。 |
| iii. Marginal Effects: Assessing the effect of a marginal change in a predictive variable on the likelihood of unfavorable outcomes, particularly for members of protected classes. | iii. 限界効果: 予測変数のわずかな変化が、特に保護対象集団の構成員にとって不利な結果をもたらす可能性に及ぼす影響を評価すること。 |
| iV. Standardized Mean Differences: Measuring the difference in average outcomes between protected classes and control groups. | iV. 標準化平均差: 保護対象群と対照群の間の平均結果の差を測定する。 |
| v. Z-tests and T-tests: Conducting statistical tests to ascertain whether differences in outcomes between protected classes and control groups are statistically significant. | v. Z検定とT検定: 統計的検定を実施し、被保護層と対照群間の結果の差が統計的に有意であるかどうかを確認する。 |
| vi. Drivers of Disparity: Identifying variables in AIS that cause differences in outcomes for protected classes relative to control groups. These drivers can be quantitatively computed or estimated using various methods, such as sensitivity analysis, Shapley values, regression coefficients, or other suitable explanatory techniques. | vi. 格差の要因: AISにおいて、対照群に対する被保護者層の結果の差異を引き起こす変数を識別する。これらの要因は、感度分析、シャプレー値、回帰係数、その他の適切な説明技法など、様々な方法を用いて定量的に計算または推定することができる。 |
| 18. Qualitative Assessment. In addition to quantitative analysis, insurers’ comprehensive assessment should include a qualitative assessment of unfair or unlawful discrimination. This includes being able to explain, at all times, how the insurer’s AIS operates and to articulate the intuitive logical relationship between ECDIS and other model variables with an insured or potential insured individual’s risk. | 18. 定性的な評価 定量的分析に加え、保険会社の包括的評価には、不当または不法な差別の質的評価を含めるべきである。これには、保険者のAISがどのように機能するかを常に説明できること、ECDISや他のモデル変数と被保険者又は潜在的被保険者のリスクとの間の直感的な論理的関係を明確に説明できることが含まれる。 |
| III. Governance and Risk Management | III. ガバナンスとリスクマネジメント |
| 19. 11 NYCRR § 90.2 requires an insurer to have a corporate governance framework that is appropriate for the nature, scale, and complexity of the insurer.2 11 NYCRR § 90.1(c) defines “corporate governance framework” as “the structures, processes, information, and relationships used for the oversight, direction, control, and management of an insurer or system and for ensuring compliance with legal and regulatory requirements.” An insurer should have a corporate governance framework that provides appropriate oversight of the insurer’s use of ECDIS and AIS to ensure compliance with the Insurance Law and regulations promulgated thereunder. | 19. 11NYCRR§90.2は、保険者に、保険者の性質、規模、複雑性に見合ったコーポレート・ガバナンスの枠組みを持つことを求めている[2]。11NYCRR§90.1(c)は、"コーポレート・ガバナンスの枠組み "を "保険者またはシステムの監督、指示、管理、マネジメントのために使われ、法律上、規制上の要件を確実に遵守するための構造、プロセス、情報、関係 "と定義している。保険者は、保険法およびその下で公布された規制の遵守を確保するため、保険者によるECDISおよびAISの利用を適切に監督するコーポレート・ガバナンスの枠組みを持つべきである。 |
| A. Board and Senior Management Oversight | A. 取締役会と上級管理職の監督 |
| 20. The role of an insurer’s board of directors, or other governing body, is to provide oversight of the insurer’s activities, including providing for an effective governance framework to carry out the board’s or other governing body’s strategic vision and monitor the entity’s risk appetite. | 20. 保険会社の取締役会またはその他のガバナンス団体の役割は、取締役会またはその他のガバナンス 団体の戦略的ビジョンを実行し、事業体のリスク選好度を監視するための効果的なガバナンスの枠組 みを提供することを含め、保険会社の活動を監督することである。 |
| 21. The board of directors, or other governing body, may delegate specific duties and authorities for overseeing an insurer’s activities, including development and management of ECDIS and AIS, to board or other governing body committees and senior management. When delegating specific duties and authorities, an insurer should ensure appropriate lines of reporting are in place, along with regular, quality reporting to meet the board’s or other governing body’s information needs. This should include all timely and relevant facts for a board or other governing body to understand the material activities and risks associated with the insurer’s use of ECDIS and AIS. | 21. 取締役会または他の統治機関は、ECDIS と AIS の開発・管理を含め、保険者の活動を監督す るための特定の任務と権限を、取締役会または他の統治機関の委員会および上級管理職に委譲 することができる。特定の任務と権限を委譲する場合、認可 団体は、理事会または他の統治機関の情報ニーズを満たすため、定期的で質の高い 報告とともに、適切な報告系統を確保すべきである。これには、理事会または他の統治機関が、保険者のECDISやAISの使用に関連する重要な活動やリスクを理解するための、すべての適時かつ関連する事実を含めるべきである。 |
| 22. Senior management is responsible for day-to-day implementation of the insurer’s development and management of ECDIS and AIS, consistent with the board’s or other governing body’s strategic vision and risk appetite. This includes establishing adequate policies and procedures, assigning competent staff, overseeing model risk management, ensuring effective challenge and independent risk assessment, reviewing internal audit findings, and taking prompt remedial action when necessary. | 22. シニア・マネジメントは、取締役会または他の統治機関の戦略的ビジョンとリスク選好 に合致した、保険者によるECDISとAISの開発とマネジメントの日々の実施に責任を負う。これには、適切な方針と手続の確立、有能なスタッフの配置、モデル・リスク・ マネジメントの監督、効果的なチャレンジと独立したリスク・アセスメントの確保、内部 監査の結果のレビュー、必要な場合の迅速な改善措置などが含まれる。 |
| 23. In carrying out their duties to provide for effective implementation of the insurer’s use of ECDIS and AIS, senior management should ensure all relevant operation areas are appropriately engaged, such as through a cross-functional management committee with representatives from key function areas, including legal, compliance, risk management, product development, underwriting, actuarial, and data science, as appropriate. | 23. 保険会社がECDISとAISの利用を効果的に実施するための機能を果たすにあたり、シ ニアマネジメントは、法務、コンプライアンス、リスクマネジメント、商品開発、保険引受、 保険数理、データサイエンスなど、主要な機能分野の代表者を適宜集めた部門横断的な マネジメント委員会などを通じて、すべての関連業務分野が適切に関与していることを確認す べきである。 |
| B. Policies, Procedures, and Documentation | B. 方針、手続き、文書化 |
| 24. Insurers that use ECDIS or AIS should formalize their development and management of ECDIS and AIS in written policies and procedures consistent with this Circular Letter. | 24. ECDIS や AIS を使用する保険者は、ECDIS や AIS の開発及び管理を、本サーキュラーレターと整合 性のある、文書化された方針及び手順で正式に行うべきである。 |
| 25. An insurer’s board of directors, or other governing body, or senior management through delegated authority, should review and approve the insurer’s ECDIS and AIS-related policies and procedures at least annually to ensure that they are kept current with changes in the insurer’s use of ECDIS and AIS and best practices in the industry. | 25. 保険者の取締役会、もしくはその他のガバナンス団体、または委任された権限を持つ上級管理職は、 保険者のECDISやAIS関連の方針と手続きを少なくとも年1回見直し、承認し、保険者の ECDISやAISの使用における変化や、業界におけるベストプラクティスを常に最新のものにしておくべきである。 |
| 26. Policies and procedures should include clearly defined roles and responsibilities, as well as monitoring and reporting requirements to senior management. | 26. 方針と手続きには、明確に定義された役割と責任、及びモニタリングとシニアマネジメントへの報告要件が含まれていなければならない。 |
| 27. Policies and procedures should include training for relevant personnel on the responsible and lawful use of ECDIS and AIS, appropriately tailored to staff responsibilities. Additionally, the training program should include prompt training for new staff and a regular cadence for training thereafter, as well as accountability for completing training in a timely manner. | 27. 方針及び手続きは、ECDIS 及び AIS の責任ある合法的な使用に関する、職員の責任に適 切に合わせた関連職員のための訓練を含むべきである。さらに、訓練プログラムには、新入職員に対する迅速な訓練と、その後の定期的な訓練、及び適時 に訓練を完了するための説明責任を含むべきである。 |
| 28. Insurers should maintain comprehensive documentation for their use of all AIS, including all ECDIS relied upon for such AIS, whether developed internally or supplied by third parties consistent with 11 NYCRR 243, and be prepared to make such documentation available to the Department upon request. Such documentation may include: | 28. 保険会社は、社内で開発されたものであれ、サードパーティから提供されたものであれ、11 NYCRR 243に準拠したECDISを含む、すべてのAISの使用に関する包括的な文書を保持し、要請があった場合には、当該文書を同局に提供できるよう準備しなければならない。当該文書には以下が含まれる: |
| i. a description of the process for identifying and assessing operational, financial, and compliance risks associated with an insurer’s use of ECDIS and AIS and associated internal controls designed to mitigate such identified risks; | i. 保険会社がECDISやAISを使用することに関連する、業務上、財務上、コンプライ アンス上のリスクを特定し、アセスメントするプロセス、及び、特定されたリ スクを軽減するために設計された内部統制の説明; |
| ii. an up-to-date inventory of all AIS implemented for use, under development for implementation, or recently retired; | ii. 使用のために導入された、導入のために開発中である、または最近廃止された全ての AIS の最新のインベントリ; |
| iii. a description of how each AIS operates, including any ECDIS or other inputs and their sources, the purpose and products for which the AIS is designed, actual or expected usage, any restrictions on use, and any potential risks and appropriate safeguards; | iii. ECDIS またはその他の入力とその情報源、AIS が設計された目的と製品、実際のまたは予想される 使用、使用に関する制限、潜在的リスクと適切な保護措置を含む、各 AIS の作動方法の記述; |
| iv. a description of the process for tracking changes of an insurer’s use of ECDIS and AIS over time, including documented explanation of any changes, associated rationale for such changes, and parties responsible for the approval of such changes; | iv. 変更の文書化された説明、当該変更に関連する根拠、及び当該変更の承認に責任を負う者 を含む、保険者による ECDIS 及び AIS の使用の経時的な変更を追跡するプロセスの記述; |
| v. a description of the process for monitoring ECDIS and AIS usage and performance, including a list of any previous exceptions to policy and reporting; | v. ECDISとAISの使用と性能を監視するプロセスの説明。過去の方針と報告に対する例外のリストを含む; |
| vi. a description of testing conducted to periodically assess the output of AIS models, including drift that may result from the use of machine learning or other automated updates; and | vi. 機械学習またはその他の自動更新の使用から生じる可能性のあるドリフトを含め、AIS モデルの出力を 定期的に評価するために実施されるテストの説明。 |
| vii. a description of data lifecycle management process, including ECDIS acquisition, storage, usage and sharing, archival, and destruction. | vii. ECDIS の取得、保管、使用及び共有、保存及び破棄を含む、データライフサイクル管理プロセスの記 述。 |
| 29. Insurers must be prepared to respond to consumer complaints and inquiries about the use of AIS and ECDIS by implementing procedures to receive and address such complaints. Insurers must maintain any records of complaints regarding AIS or ECDIS in accordance with 11 NYCRR 243 and be prepared to make such records available to the Department upon request. | 29. 保険者は、AIS や ECDIS の使用に関する消費者からの苦情や問い合わせに対応するため、苦情を受 け取り、対応する手順を実施しなければならない。保険者は、AISやECDISに関する苦情の記録を11 NYCRR 243に従って保持し、要請があれば、そのような記録を保険局に提供する用意がなければならない。 |
| C. Risk Management and Internal Controls | C. リスクマネジメントと内部統制 |
| 30. Insurers should manage the relevant risks at each stage of the AIS life cycle and should consider risk from individual AIS models and in the aggregate. Insurers may choose to manage the risks of AIS within an existing enterprise risk management function, as required by the Insurance Law, or separately as part of an independent program.3 | 30. 保険者は、AIS のライフサイクルの各段階において、関連するリスクを管理すべきであ り、個々の AIS モデルと全体からリスクを検討すべきである。保険者は、保険法で義務付けられているように、既存のエ ンタープライズ・リスクマネジメント機能の中でAIS のリスクを管 理することも、独立したプログラムの一部として個別に管理す ることもできる[3]。 |
| 31. Insurers should include standards for model development, implementation, use, and validation, and promote independent review and effective challenge to risk analysis, validation, testing, development, and other processes related to an insurer’s ECDIS and AIS development and risk management. | 31. 保険者はモデルの開発、導入、使用、検証に関する標準を含むべきであり、保険者のECDISとAISの開発とリスクマネジメントに関するリスク分析、検証、テスト、開発、その他のプロセスに対する独立したレビューと効果的なチャレンジを促進すべきである。 |
| 32. Insurers should have competent and qualified personnel to execute and oversee AIS risk management with clearly defined roles and responsibilities, and appropriate means of accountability. | 32. 保険者は、役割と責任を明確に定義し、適切なアカウンタビリティの手段をもって、AISリスクマネ ジメントを実行し、監督する有能で資格のある要員を持つべきである。 |
| 33. 11 NYCRR § 89.16 requires an insurer to have an internal audit function to provide general and specific audits, reviews, and tests necessary to protect assets, evaluate control effectiveness and efficiency, and evaluate compliance with policies and regulations. Insurers should ensure the internal audit function is appropriately engaged with the insurer’s use of ECDIS and AIS consistent with the financial, operational, and compliance risk. Such auditing should assess the overall effectiveness of the AIS and ECDIS risk management framework, which may include: | 33. 11 NYCRR §89.16は、資産を保護し、コントロールの有効性と効率性を評価し、方針と規制の遵守を評価するために必要な全般的及び特定の監査、レビュー、テストを行う内部監査機能を持つことを保険者に求めている。保険者は、内部監査機能が、財務上、業務上、コンプライアンス上のリスクと整合性を保ちながら、保険者のECDISとAISの利用に適切に関与していることを確認すべきである。このような監査は、AIS と ECDIS のリスクマネジメントの枠組みの全体的な有効性を評価すべきであ り、これには以下が含まれる: |
| i. verifying that acceptable policies and procedures are in place and are appropriately adhered to; | i. 受け入れ可能な方針及び手順が整備され、適切に遵守されていることを検証する; |
| ii. verifying records of AIS use and validation to test whether validations are performed in a timely manner and AIS models are subject to controls that appropriately account for any weaknesses in validation activities; | ii. AIS の使用及び検証の記録を検証し、検証が適時に実施され、AIS モデルが検証活 動の弱点を適切に考慮した制御の対象となっているかどうかを検証する; |
| iii. assessing the accuracy and completeness of AIS documentation and adherence to documentation standards, including risk reporting; | iii. リスク報告を含め、AISの文書化の正確性と完全性、および文書化標準の遵守を評価する; |
| iv. evaluating the processes for establishing and monitoring internal controls, such as limits on AIS usage; | iv.AISの使用限度など、内部統制の確立とモニタリングのプロセスを評価する; |
| v. assessing supporting operational systems and evaluating the accuracy, reliability, and integrity of ECDIS and other data used by AIS; | v. 支援業務システムを評価し、AIS が使用する ECDIS 及びその他のデータの正確性、信頼 性、完全性を評価すること; |
| vi. assessing potential biases in the ECDIS or other data that may result in unfair or unlawful discrimination against insureds or potential insureds; and | vi. 被保険者または潜在的被保険者に対する不当または不法な識別をもたらす可能性のある、ECDIS またはその他のデータの潜在的なバイアスを評価すること。 |
| vii. assessing whether there is sufficient reporting to the board or other governing body and senior management to evaluate whether management is operating within the insurer’s risk appetite and limits for model risk. | vii. 経営陣が保険会社のリスク選好度とモデル・リスクの限度額の範囲内で運営されて いるかどうかを評価するために、取締役会その他のガバナンス団体とシニア・マネジメ ントに対して十分な報告が行われているかどうかを評価すること。 |
| D. Third-Party Vendors | D. サードパーティ・ベンダー |
| 34. Insurers retain responsibility for understanding any tools, EDCIS, or AIS used in underwriting and pricing for insurance that were developed or deployed by third-party vendors and ensuring such tools, EDCIS, or AIS comply with all applicable laws, rules, and regulations. | 34. 保険者は、保険の引受けとプライシングに使用されるツール、EDCIS、AIS がサードパーティによって開発され、または導入されたものであることを理解し、そのようなツール、EDCIS、AIS が適用される全ての法、規則、規制に準拠していることを確認する責任を負う。 |
| 35. To ensure appropriate oversight of third-party vendors, insurers should develop written standards, policies, procedures, and protocols for the acquisition, use of, or reliance on ECDIS and AIS developed or deployed by a third-party vendor. Additionally, insurers should put in place procedures for reporting any incorrect information to third-party vendors for further investigation and update, as necessary. Further, insurers should develop procedures to remediate and eliminate incorrect information from their AIS that the insurer has identified or has been reported to a third-party. | 35. サードパーティーの適切な監督を確保するため、保険者は、サードパーティーが開 発・配備したECDISやAISの取得、使用、依存について、文書化された標準、方針、手 順、プロトコルを策定すべきである。さらに、保険者は、誤った情報をサードパーティに報告し、必要に応じ、さらなる調査や更新を求める手続きを設けるべきである。さらに、保険者は、保険者が識別した、あるいはサードパーティに報告されたAISの不正確な情報を修正し、排除するための手順を策定すべきである。 |
| IV. Transparency | IV. 透明性 |
| E. Disclosure and Notice | E. 情報開示と通知 |
| 36. As discussed in Circular Letter No. 1 (2019), transparency is an important consideration in the use of ECDIS to underwrite and price insurance. Insurance Law sections 3425 and 3426 provide that non-commercial and certain commercial property and casualty policies may not be cancelled, nonrenewed, or conditionally renewed unless the specific ground or reason is provided in writing to the insured. Additionally, Insurance Law sections 4224(a)(2) and (b)(2) provide that no life or accident and health insurer doing business in this state shall refuse to insure, refuse to continue to insure, or limit the amount, extent, or kind of coverage available to an individual, or charge a different rate for the same coverage solely because of the physical or mental disability, impairment or disease, or prior history thereof, of the insured or potential insured, except where the refusal, limitation, or rate differential is permitted by law or regulation and is based on sound actuarial principles or is related to actual or reasonably anticipated experience, in which case the insurer must notify the insured or potential insured of the right to receive, or to designate a medical professional to receive, the specific reason or reasons for such refusal, limitation, or rate differential. Further, the failure to adequately disclose to the insured or potential insured any other specific reason or reasons for refusal, limitation, or rate differential may be deemed to be an unfair or deceptive act and practice in the conduct of the business of insurance and may be deemed to be a trade practice constituting a determined violation, as defined in Insurance Law section 2402(c), and in such case may be a violation of Insurance Law section 2403. | 36. 通達書簡第 1 号(2019 年)で述べたように、透明性は、保険の引受けと価格決定における ECDIS の利用において重要な考慮事項である。保険法第3425条および第3426条は、具体的な根拠や理由が被保険者に書面で提供されない限り、非商業用および特定の商業用損害保険契約を解約、不更新、条件付き更新してはならないと規定している。さらに、保険法第4224条(a)(2)および(b)(2)は、本州で事業を行う生命保険会社または傷害保険会社および医療保険会社は、被保険者または被保険者となる可能性のある者の身体的または精神的な障害、障害、疾病、またはその既往歴のみを理由として、保険を拒否したり、保険の継続を拒否したり、個人が利用できる保険の金額、範囲、種類を制限したり、同じ保険に対して異なる料金を請求したりしてはならないと定めている、 ただし、その拒否、制限、料率差が法律や規則で認められており、健全な保険数理原則に基づいている場合、または実際の経験や合理的に予想される経験に関連している場合はこの限りではない。この場合、保険者は被保険者または被保険者となる可能性のある者に、そのような拒否、制限、または料率差の具体的な理由を受け取る権利、または受け取る医療専門家を指定する権利を通知しなければならない。さらに、被保険者または被保険者となる可能性のある者に対し、拒否、制限、または料率差のその他の具体的な理由または理由を適切に開示しなかった場合は、保険業務の遂行における不公正または欺瞞的な行為および慣行とみなされる可能性があり、保険法第2402条(c)に定義される、決定された違反を構成する取引慣行とみなされる可能性があり、その場合は保険法第2403条の違反となる可能性がある。 |
| 37. Where an insurer is using ECDIS or AIS, the reason or reasons provided to the insured or potential insured, or a medical professional designee, should include details about all information upon which the insurer based any declination, limitation, rate differential, or other adverse underwriting decision, including the specific source of the information upon which the insurer based its adverse underwriting or pricing decision. | 37. 保険者がECDISまたはAISを使用している場合、被保険者もしくは被保険者となりうる者、または医療専門家が指名した者に提供される理由には、保険者が引受辞退、制限、料率差、またはその他の不利な引受判断の根拠としたすべての情報についての詳細が含まれていなければならない(保険者が不利な引受判断または価格決定の根拠とした具体的な情報源を含む)。 |
| 38. The notice should disclose to the insured or potential insured, or a medical professional designee, (i) whether the insurer uses AIS in its underwriting or pricing process, (ii) whether the insurer uses data about the person obtained from external vendors, and (iii) that such person has the right to request information about the specific data that resulted in the underwriting or pricing decision, including contact information for making such request. | 38. (i)保険者が引受または料率決定プロセスにおいてAISを使用しているかどうか、(ii)保険者が外部業者から入手した個人に関するデータを使用しているかどうか、(iii)当該個人は、引受または料率決定の根拠となった具体的なデータに関する情報を請求する権利を有していること(その請求のための連絡先を含む)。 |
| 39. An insurer may not rely on the proprietary nature of a third-party vendor’s algorithmic processes to justify the lack of specificity related to an adverse underwriting or pricing action. | 39. 保険者は、不利な引受または価格決定に関する具体性の欠如を正当化するために、サードパーティ のアルゴリズム・プロセスの独自性に依拠してはならない。 |
| 40. The failure to adequately disclose the material elements of an AIS, and the external data sources upon which it relies, to a consumer may constitute an unfair trade practice under Insurance Law Article 24. | 40. AISの重要な要素、およびAISが依拠する外部データ・ソースを消費者に適切に開示しないことは、保険法第24条に基づき、不公正な取引方法を構成する可能性がある。 |
| F. Clarification of Insurance Circular Letter No. 1 (2019) | F. 保険通達第1号(2019年)の明確化 |
| 41. The Department has received requests from life insurers to clarify the statement in the consumer disclosure/transparency section of Circular Letter No. 1 (2019) that states that [a]n adverse underwriting decision would include the inability of the applicant to utilize an expedited, accelerated, or algorithmic underwriting process in lieu of traditional medical underwriting.” This language only addresses disclosure. It does not address any other implications of an adverse underwriting decision. | 41. 通達No.1(2019)の消費者向け情報開示/透明性セクションにある「[a]引受不利決定には、従来の医学的引受の代わりに迅速引受、加速引受、アルゴリズム引受プロセスを利用できないことも含まれる」という文言を明確にするよう、生命保険会社から要請を受けている。この文言は情報開示にのみ言及している。不利な引受決定が意味するその他のことについては触れていない。 |
| 42. Except as discussed in paragraph 43 below, any objective threshold criteria for using the accelerated process (e.g., only available for certain ages or coverage amounts) should be disclosed prior to application. Failure to disclose such criteria at the outset could raise concerns about misleading advertising or unfair trade practices (e.g., promises of an accelerated underwriting opportunity for which the consumer could never qualify; promises of an accelerated underwriting opportunity for which very few, if any, consumers would qualify). Where the applicant is being rejected from the process because the applicant does not meet objective threshold criteria to use the process, the applicant should be told which objective criteria were not met. | 42. 以下の第 43 項で議論する場合を除き、早期プロセスを利用するための客観的な閾値基準(例 えば、特定の年齢や保障額に対してのみ利用可能)は、申込み前に開示されるべきである。このような基準を最初に開示しない場合、誤解を招くような広告や不公正な取引慣行(例 えば、消費者が決して適格となり得ないような早期引受機会の約束、適格となる消費者がいたとしてもごくわず かである早期引受機会の約束)に関する懸念が生じる可能性がある。申請者がプロセスを利用するための客観的な閾値基準を満たさないためにプロセスから拒絶される場 合、申請者は、どの客観的基準が満たされなかったかを知らされるべきである。 |
| 43. It is common for insurers to set different levels of underwriting review based on objective criteria, such as age or the amount of coverage requested. These are often internal proprietary guidelines and applicants are not made aware of the existence of these internal standards. The language in Circular Letter No. 1 (2019) does not require that the applicant be given disclosure about internal underwriting guidelines where the applicant was never aware of the existence of these internal standards and therefore had no expectation that they would undergo anything other than full traditional underwriting. | 43. 保険会社が、年齢や希望保険金額などの客観的基準に基づいて、引受審査のレベルを異 なるように設定することはよくあることである。これらは社内独自のガイドラインであることが多く、申請者はこうした社内標準の存在を知らされていない。通達No.1 (2019)の文言は、申請者がこうした社内標準の存在を知らず、従って従来の完全な引受審査以外を受けることを期待していなかった場合、申請者に社内引受ガイドラインについて開示することを要求していない。 |
| 44. Except as discussed in paragraph 43 above, if the accelerated process determines that an applicant will not be approved for insurance under the accelerated process and can only obtain insurance by submitting to the traditional underwriting process, the applicant has the right to know why. As noted in Circular Letter No. 1 (2019), the accuracy and reliability of external data sources can vary greatly, and many external data sources are entities that are not subject to regulatory oversight and consumer protections. If an applicant will not be approved for insurance under the accelerated process based on data that is incorrect, the applicant needs a mechanism for identifying the incorrect data. The insurer must provide a notice to the applicant, where required by Insurance Law § 4224(a)(2) as discussed above, that the applicant has the right to receive, or designate a medical professional to receive, the details relating to the reasons for that decision. The insurer should include in the notice contact information for the applicant to exercise this right. This notice needs to be provided at the time the applicant is notified that the application cannot be processed under the accelerated process. | 44. 上記第 43 項で述べた場合を除き、早期審査プロセスにおいて、申請者が早期審査プロセスでは保 険を承認されず、従来の引受プロセスを受けることによってのみ保険に加入できると判断された場合、 申請者はその理由を知る権利がある。通達レターNo.1(2019)にあるように、外部データソースの正確性と信頼性は大きく異なる可能性があり、外部データソースの多くは規制監督や消費者保護の対象ではない事業体である。申請者が不正確なデータに基づいて加速プロセスで保険が承認されない場合、申請者は不正確なデータを特定する仕組みが必要である。保険者は、前述の保険法第4224条(a)(2)で義務付けられている場合、申請者がその決定の理由に関する詳細を受け取る権利があること、または受け取る医療専門家を指定する権利があることを、申請者に通知しなければならない。保険者は、申請者がこの権利を行使するための連絡先を通知に含めるべきである。この通知は、申請者が早期手続きの下で申請を処理できないことを通知された時点で提供される必要がある。 |
| i. The notice should disclose to the applicant that the insurer’s accelerated underwriting process uses data about the applicant obtained from external vendors, that the applicant has the right to request information about the specific data that resulted in the applicant not qualifying for the accelerated process and contact information for making such request. It is permissible for an insurer to also provide the reason in the initial notice. | i. 通知には、保険会社の早期引受プロセスでは、外部業者から入手した申込者に関するデータを使用していること、申込者が早期プロセスを受けられない結果となった特定のデータに関する情報を請求する権利があること、およびそのような請求を行うための連絡先情報を開示すべきである。保険者が最初の通知でその理由を提示することも許される。 |
| 45. In some instances, an insurer may need additional information or clarification from the applicant about a specific data item obtained from a data vendor during the accelerated process in order to process the application under the accelerated process but would not otherwise be moving the applicant to full traditional underwriting. Such limited request would not trigger the notice requirement. If after obtaining the additional information or clarification it is determined that the applicant must go through the full traditional underwriting process, then, at that point, the notice requirement would be triggered. | 45. 場合によっては、保険者は、早期審査の下で申請書を処理するために、早期審査中にデータベンダーから入手した特定のデータ項目について、申請者から追加的な情報や説明を必要とすることがあるが、そうでなければ申請者を従来の完全な引受に移行させることはない。このような限定的な要請は、通知要件を発動しない。追加情報や説明を得た後、申請者が従来の完全な引受プロセスを経なければならないと判断された場合、その時点で通知要件が発動されることになる。 |
| 46. In some instances, an applicant may be randomly moved to the traditional underwriting process for purposes of testing the results of the accelerated process against the results of the traditional process. In such as case, the disclosure should not give the impression that removal from the process was due to the applicant’s medical or other underwriting criteria. | 46. 場合によっては、早期審査の結果を従来の審査の結果と比較するために、無作為に従来の引 受審査に移行することがある。このような場合、情報開示は、プロセスからの除外が申請者の医学的またはその他の引受基準によるものであるかのような印象を与えるべきでない。 |
| V. Feedback Request | V. フィードバックの要請 |
| The Department is requesting feedback on all aspects of this Circular Letter. Interested parties are encouraged to provide feedback on the proposed guidance by March 17, 2024. Comments should be submitted to [mail]. Please use “Proposed Circular on the use of AI and ECDIS in Insurance Underwriting and Pricing” in the subject line. Comments may be subject to public inspection and should not include any sensitive or confidential information. The Department looks forward to reviewing and considering feedback on this proposed Circular Letter. | 当協会は、本通達のあらゆる側面について意見を求めている。関係者は、2024 年 3 月 17 日までに、提案されたガイダンスについて意見を提出することが望まれる。意見は [mail] 宛に提出されたい。件名は "Proposed Circular on the use of AI and ECDIS in Insurance Underwriting and Pricing "としてほしい。意見は一般に公開される可能性があり、機密情報や秘密情報を含めないこと。同省は、この通達案に対する意見を検討することを楽しみにしている。 |
| 1 E.g., Insurance Law Article 26 and §§ 4224(a)–(b), 3221(q)(3) and 4305(k)(3), Executive Law, General Business Law, and federal Civil Rights Act. See also Insurance Law § 2303 prohibiting unfairly discriminatory rates for property and casualty insurance coverage. | [1] 例:保険法第 26 条、第 4224 条(a)-(b)、第 3221 条(q)(3)、第 4305 条(k)(3)、行政法、一般事業法、連邦公民権法。損害保険に対する不当な差別的料率を禁止する保険法第 2303 条も参照のこと。 |
| 2 Section 90.2 permits an insurer to satisfy this section if it is a member of a system and the system has a corporate governance framework. | [2] 第90.2条は、保険者がシステムのメンバーであり、システムがコーポレート・ガバナンスの枠組みを有している場合、この条項を満たすことを認めている。 |
| 3 See Insurance Law §§ 1501, 1503(b), 1604(b), 1702, 1717(b). See also 11 NYCRR § 82. | [3] 保険法第1501条、第1503条(b)、第1604条(b)、第1702条、第1717条(b)を参照のこと。11 NYCRR第82条も参照のこと。 |
こんにちは、丸山満彦です。
テックは西海岸とボストンだけじゃないよ。。。という感じですかね。。。ニューヨーク州がニューヨークをAIの中心地にしようとしているのでしょうかね。。。4億ドル(600億円)を注ぎ込むようです。。。州の単位でこれだけの金額なので、すごいですね。。。
知事のリーダーシップですかね。。。
こんにちは、丸山満彦です。
NISTがプライバシーフレームワークの改定作業にはいるようですね。。。
● NIST - Cybersecurity Insights
・2024.01.25 New Year, New Initiatives for the NIST Privacy Framework!
| New Year, New Initiatives for the NIST Privacy Framework! | 新年、NISTプライバシーフレームワークの新たな取り組み! |
| It’s been four years since the release of The NIST Privacy Framework: A Tool for Improving Privacy Through Enterprise Risk Management, Version 1.0. Since then, many organizations have found it highly valuable for building or improving their privacy programs. We’ve also been able to add a variety of resources to support its implementation. | NISTプライバシーフレームワークの発表から4年が経過した: エンタープライズ・リスクマネジメントを通じてプライバシーを改善するためのツール」バージョン1.0がリリースされてから4年が経過した。以来、多くの組織がプライバシー・プログラムの構築や改善に大いに役立てている。我々はまた、その実施を支援するための様々なリソースを追加することができた。 |
| We’re proud of how much has been accomplished in just a few short years, but we’re not resting on our laurels. As another, more famous, Dylan once said, “the times they are a-changin’.” For example, the past year has seen the release of the NIST AI Risk Management Framework (AI RMF) and the start of an update to NIST Cybersecurity Framework (CSF), Version 2.0. In light of these and other developments in information technology, our stakeholders have expressed a desire for a Privacy Framework update as well as more help with how to use NIST frameworks and resources in privacy, cybersecurity, Artificial Intelligence (AI), and Internet of Things (IoT) together. | 私たちは、わずか数年の間に多くのことを達成できたことを誇りに思っているが、その栄誉に安住しているわけではない。もっと有名なディランがかつて言ったように、"the times they are a changin'"(時代は変わりつつある)のだ。例えば、昨年はNIST AIリスクマネジメントフレームワーク(AI RMF)がリリースされ、NISTサイバーセキュリティフレームワーク(CSF)バージョン2.0の更新が始まった。これらやその他の情報技術の進展を踏まえて、我々の利害関係者からは、プライバシーフレームワークの更新や、プライバシー、サイバーセキュリティ、人工知能(AI)、モノのインターネット(IoT)におけるNISTのフレームワークやリソースの併用方法に関するより多くの支援を望む声が上がっている。 |
| NIST Privacy Framework 1.1 | NISTプライバシーフレームワーク1.1 |
| The Privacy Framework is a “living” tool meant to evolve to meet stakeholder needs, and the time has come to update to Version 1.1. The initial version was modeled upon the CSF so that the two frameworks could be used together more easily. We want to maintain the connection by making appropriate adjustments based on CSF 2.0 changes. In addition, stakeholders have had a few years to use the Privacy Framework and have identified areas where targeted improvements can be made. This year, we intend to implement a modest update to the Privacy Framework to support realignment with CSF 2.0, facilitate ease and effectiveness of use, and ensure the tool is responsive to current privacy risk management needs. | プライバシーフレームワークは、ステークホルダーのニーズに合わせて進化することを意図した「生きた」ツールであり、バージョン1.1に更新する時が来た。初期バージョンは、2つのフレームワークをより簡単に併用できるように、CSFをモデルとしていた。CSF2.0の変更点に基づいて適切な調整を行うことで、このつながりを維持したい。さらに、関係者はプライバシー・フレームワークを数年間使用し、目標とする改善が可能な領域を特定した。今年、我々は、CSF 2.0 との再調整を支援し、使いやすさと有効性を促進し、現在のプライバシーリスク マネジメントのニーズに対応したツールであることを確実にするために、プライバシーフレームワー クのささやかな更新を実施する予定である。 |
| Joint NIST Frameworks Profile for Data Governance | データガバナンスのためのNISTフレームワークプロファイルの統合 |
| As noted above, we recognize that there is a desire for more support in using the NIST frameworks and resources together. In talking with stakeholders, we realized that data governance is the starting point for many organizations seeking to glean the benefits of data processing while managing privacy, cybersecurity, AI, and IoT risks. Then the light bulb went off that a joint Profile for data governance could be a way to effectively demonstrate complementary use of NIST frameworks and resources. This Profile could take many forms, such as a flow chart or a crosswalk among various NIST Framework Subcategories. We plan to leverage the Privacy Framework 1.1 update process to develop the Profile as many of the same stakeholders will be involved. Ultimately, we want to hear from you if you like this idea and what this resource should look like. | 上述したように、我々は、NIST のフレームワークとリソースを一緒に使用する際に、より多くのサポー トを望む声があることを認識している。関係者と話をする中で、データ・ガバナンスは、プライバシー、サイバーセキュリティ、AI、IoTのリスクをマネジメントしながらデータ処理のメリットを得ようとする多くの組織にとって出発点であることに気づいた。そして、データガバナンスのための共同プロファイルは、NISTのフレームワークとリソースの補完的な利用を効果的に実証する方法となり得るということに気がついた。このプロファイルは、フローチャートや様々なNISTフレームワークのサブカテゴリー間のクロスウォークなど、様々な形を取ることができる。我々は、プライバシーフレームワーク1.1の更新プロセスを活用してプロファイルを開発する予定である。最終的には、このアイデアが気に入ったかどうか、このリソースがどのようなものであるべきかについて、皆様のご意見を伺いたい。 |
| Next Steps | 次のステップ |
| We hope you’ll contribute your expertise to these endeavors through the numerous opportunities to get involved as outlined in this milestone timeline: | 私たちは、このマイルストーンのタイムラインに記載されているように、多くの参加機会を通じて、あなたの専門知識をこれらの取り組みに提供してくださることを願っている: |
● 参考
・Privacy Framework Perspectives and Success Stories
現状...プライバシーフレームワーク Ver.1.0
・[PDF] 2020.01.16 NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT, VERSION 1.0
AIリスクマネジメントフレームワーク
・2023.01.26 AI Risk Management Framework (AI RMF 1.0)
・[PDF]
・AI RMF Roadmap, AI RMF Crosswalk,
サイバーセキュリティフレームワーク
・Cybersecurity Fremework 2.0 案 [PDF]
● まるちゃんの情報セキュリティ気まぐれ日記
プライバシーフレームワーク...
・2020.01.21 NIST Releases Version 1.0 of Privacy Framework
AIリスクマネジメントフレームワーク
・2023.01.27 NIST AIリスクフレームワーク
サイバーセキュリティフレームワーク
・2023.08.11 米国 NIST サイバーセキュリティフレームワーク 2.0案
こんにちは、丸山満彦です。
米国のNISTのブログで、連合学習におけるプライバシー攻撃についての記事がありますね。。。
一箇所に全てのデータを中央に集めて学習させようとすると、データが集中しプライバシー上の問題につながることがあり得る。そこで、中央から部分的に訓練されたモデルのコピーを各参加組織に送信し、データの代わりにモデルの更新を収集することにより、一箇所のデータを集めず学習させることができるため、プライバシー上の懸念も緩和させることになる。
ということで、連合学習というのは、プライバシー問題を緩和する技術(いわゆるPET)として注目をあつめているわけですが、それでもやはりプライバシー上の問題は残りますよ。。。という注意喚起ですかね。。。
連合学習におけるプライバシー攻撃は、次の2つに分類できるようです。
なかなか興味深い内容ですね。。。
このブログは昨年12月に始まったシリーズもので、次回は、「連合学習における参加エンティティ間のデータ分配」の課題についてだそうです。楽しみですね。。。
● NIST - Cybersecurity Insights
・2024.01.24 Privacy Attacks in Federated Learning
| Privacy Attacks in Federated Learning | 連合学習におけるプライバシー攻撃 |
| This post is part of a series on privacy-preserving federated learning. The series is a collaboration between NIST and the UK government’s Centre for Data Ethics and Innovation. Learn more and read all the posts published to date at NIST’s Privacy Engineering Collaboration Space or the CDEI blog. | この投稿は、プライバシーを保護する連合学習に関するシリーズの一部である。このシリーズは、NISTと英国政府のCentre for Data Ethics and Innovationとのコラボレーションである。NISTのプライバシー・エンジニアリング・コラボレーション・スペースまたはCDEIのブログで、より詳しく、これまでに発表された全ての投稿を読むことができる。 |
| Our first post in the series introduced the concept of federated learning—an approach for training AI models on distributed data by sharing model updates instead of training data. At first glance, federated learning seems to be a perfect fit for privacy since it completely avoids sharing data. | このシリーズの最初の投稿では、連合学習の概念を紹介した。連合学習とは、訓練データの代わりにモデルの更新を共有することで、分散データ上でAIモデルを訓練するアプローチである。一見すると、連合学習はデータの共有を完全に回避するため、プライバシーに完璧に適合しているように見える。 |
| However, recent work on privacy attacks has shown that it’s possible to extract a surprising amount of information about the training data, even when federated learning is used. These techniques fall into two major categories: attacks that target the model updates shared during training, and attacks that extract data from the AI model after training has finished. | しかし、プライバシー攻撃に関する最近の研究は、連合学習が使用されている場合でも、学習データに関する驚くほど多くの情報を抽出できることを示している。これらの技術は大きく2つのカテゴリーに分類される:学習中に共有されるモデルの更新をターゲットとする攻撃と、学習終了後にAIモデルからデータを抽出する攻撃だ。 |
| This post summarizes known attacks and provides recent examples from the research literature. The primary goal of the UK-US PETs Prize Challenges was to develop practical defenses that augment federated learning frameworks to prevent these attacks; future posts in this series will describe these defenses in detail. | この投稿では、既知の攻撃を要約し、研究文献から最近の例を紹介する。UK-US PETs Prize Challengesの主な目標は、これらの攻撃を防ぐために連合学習フレームワークを補強する実用的な防御策を開発することである。 |
| Attacks on Model Updates | モデル更新に対する攻撃 |
| In federated learning, each participant submits model updates instead of raw training data during the training process. In our example from the last post - in which a consortium of banks wants to train an AI model to detect fraudulent transactions - the model updates may consist of updates to the model’s parameters (the components of the model that control how its predictions are made) rather than raw data about financial transactions. At first glance, the model updates may appear to convey no information about financial transactions. | 連合学習では、各参加者は学習プロセスにおいて、生の学習データの代わりにモデルのアップデートを提出する。前回の記事で紹介した例(銀行のコンソーシアムが不正取引を検知するAIモデルを学習させようとする場合)では、モデルの更新は、金融取引に関する生のデータではなく、モデルのパラメータ(予測がどのように行われるかを制御するモデルの構成要素)の更新で構成される可能性がある。一見すると、モデルの更新は金融取引に関する情報を伝えていないように見えるかもしれない。 |
 |
|
| Figure 1: Data extracted from model updates by the attack developed by Hitaj et al. The top row contains original training data; the bottom row contains data extracted from model updates. Credit: Hitaj et al. | 図1:Hitajらが開発した攻撃によってモデル更新から抽出されたデータ。上段はオリジナルのトレーニングデータ、下段はモデル更新から抽出されたデータである。出典:Hitaj et al. |
| Credit: NIST | 出典:NIST |
| However, recent research has demonstrated that it’s often possible to extract raw training data from model updates. One early example came from the work of Hitaj et al., who showed that it was possible to train a second AI model to reconstruct training data based on model updates. One example of their results appears in Figure 1: the top row contains training data used to train a model that recognizes handwritten digits, and the bottom row contains data extracted from model updates by their attack. | しかし、最近の研究では、モデル更新から生のトレーニングデータを抽出できる場合が多いことが実証されている。Hitajらは、モデルの更新に基づいて訓練データを再構築するために、2番目のAIモデルを訓練することが可能であることを示した。上段は手書き数字を認識するモデルの学習に使用された学習データで、下段は彼らの攻撃によってモデル更新から抽出されたデータである。 |
 |
|
| Figure 2: Data extracted from model updates by the attack developed by Zhu et al. Each row corresponds to a different training dataset and AI model. Each column shows data extracted from model updates during training; columns with higher values for “Iters” represent data extracted later in the training process. Credit: Zhu et al. | 図2:Zhuらが開発した攻撃によってモデル更新から抽出されたデータ。各行は異なるトレーニングデータセットとAIモデルに対応している。Iters」の値が高い列は、学習プロセスの後半に抽出されたデータである。Credit: Zhu et al. |
| Credit: NIST | 出典: NIST |
| Later work by Zhu et al. suggests that this kind of attack is possible for many different kinds of models and their corresponding model updates. Figure 2 contains examples from four different AI models, showing that the attack is able to extract nearly-perfect approximations of the original training data from the model updates. | Zhuらによる後の研究によると、この種の攻撃は多くの異なる種類のモデルとそれに対応するモデル更新で可能であることが示唆されている。図2には、4つの異なるAIモデルの例が示されている。この攻撃は、モデル更新から元の訓練データのほぼ完全な近似値を抽出できることを示している。 |
| How to fix it! | 修正方法 |
| Attacks on model updates suggest that federated learning alone is not a complete solution for protecting privacy during the training process. Many defenses against such attacks focus on protecting the model updates during training, so that the organization that aggregates the model updates does not have access to individual updates. | モデル更新に対する防御は、連合学習モデルだけでは学習プロセス中のプライバシーを保護する完全な解決策にはならないことを示唆している。このような攻撃に対する防御の多くは、モデル更新を集約する組織が個々の更新にアクセスできないように、トレーニング中のモデル更新を保護することに焦点を当てている。 |
| Privacy-enhancing technologies that protect the model updates during training are often said to provide input privacy - they prevent the adversary from learning anything about the inputs (i.e. the model updates) to the system. Many approaches for input privacy, including approaches used in the UK-US PETs Prize Challenges, rely on creative applications of cryptography. We’ll highlight several of these solutions throughout this blog series. | トレーニング中のモデル・アップデートを保護するプライバシー保護強化技術は、しばしば入力プライバシーを提供すると言われる。入力プライバシーのための多くのアプローチは、英米PETs賞チャレンジで使用されたアプローチを含め、暗号の創造的な応用に依存している。このブログシリーズを通して、これらの解決策をいくつか紹介する。 |
| Attacks on Trained Models | 学習済みモデルへの攻撃 |
| The second major class of attacks target the trained AI model after training has finished. The model is the output of the training process, and often consists of model parameters that control the model’s predictions. This class of attacks attempts to reconstruct the training data from the model’s parameters, without any of the additional information available during the training process. This may sound like a more difficult challenge, but recent research has demonstrated that such attacks are feasible. | 2つ目の主要な攻撃は、学習が終了した後の学習済みAIモデルを標的とするものである。モデルは訓練プロセスの出力であり、多くの場合、モデルの予測を制御するモデル・パラメーターで構成されている。このクラスの攻撃は、モデルのパラメータから訓練データを再構築しようとするもので、訓練プロセス中に利用可能な追加情報は一切ない。これはより困難な挑戦に聞こえるかもしれないが、最近の研究では、このような攻撃が実現可能であることが実証されている。 |
 |
|
| Figure 3: Training data extracted from a trained AI model using the attack developed by Haim et al. The top portion of the figure (a) shows extracted data; the bottom portion (b) shows corresponding images from the original training data. Credit: Haim et al. | 図3:Haimらが開発した攻撃を使って学習済みAIモデルから抽出された学習データ。図の上部(a)は抽出されたデータを示し、下部(b)は元の学習データから対応する画像を示す。Credit: Haim et al. |
| Credit: NIST | 出典: NIST |
| AI models based on deep learning are particularly susceptible to the extraction of training data from trained models because deep neural networks seem to memorize their training data in many cases. Researchers are still unsure about why this memorization happens, or whether it is strictly necessary to train effective AI models. From a privacy perspective, however, this kind of memorization is a significant problem. Recent work by Haim et al. demonstrated the feasibility of extracting training data from an AI model trained to recognize objects in images; an example appears in Figure 3. | ディープラーニングに基づくAIモデルは、学習済みモデルからの学習データ抽出の影響を特に受けやすい。なぜなら、ディープニューラルネットワークは多くの場合、学習データを記憶しているように見えるからだ。研究者たちは、なぜこのような暗記が起こるのか、あるいは効果的なAIモデルを訓練するために厳密に必要なのかについて、まだよく分かっていない。しかし、プライバシーの観点からは、この種の記憶化は重大な問題である。Haimらによる最近の研究では、画像内の物体を認識するように訓練されたAIモデルから訓練データを抽出することが可能であることが実証された。 |
 |
|
| Figure 4: Training data extracted from a diffusion model using the attack developed by Carlini et al. Diffusion models are designed for generating images; one popular example is OpenAI’s DALL-E. Credit: Carlini et al. | 図4:Carliniらによって開発された攻撃を使って拡散モデルから抽出された学習データ。拡散モデルは画像を生成するように設計されており、よく使われる例としてはOpenAIのDALL-Eがある。出典:Carlini et al. |
| Credit: NIST | 出典:NIST |
 |
|
| Figure 5: Training data extracted from a large language model (LLM) using the attack developed by Carlini et al. This example is from GPT-2, the predecessor of ChatGPT. Credit: Carlini et al. | 図5:Carliniらによって開発された攻撃を使って大規模言語モデル(LLM)から抽出されたトレーニングデータ。Credit: Carlini et al. |
| Credit: NIST | 出典: NIST |
| The challenge of memorized training data seems to be even worse for larger, more complex models - including popular large language models (LLMs) like ChatGPT and image generation models like DALL-E. Figure 4 shows an example of extracting training data from an image generation model using an attack developed by Carlini et al.; Figure 5 shows an example of extracting training data from a large language model using an attack by Carlini et al. | ChatGPTのような一般的な大規模言語モデル(LLM)やDALL-Eのような画像生成モデルを含む、より大規模で複雑なモデルでは、記憶された学習データの課題はさらに悪化するようだ。図4は、Carliniらが開発した攻撃を使って画像生成モデルから学習データを抽出した例であり、図5は、Carliniらの攻撃を使って大規模言語モデルから学習データを抽出した例である。 |
| How to fix it! | 修正方法 |
| Attacks on trained models show that trained models are vulnerable, even when the training process is completely protected. Defenses against such attacks focus on controlling the information content of the trained model itself, to prevent it from revealing too much about the training data. | 学習済みモデルに対する攻撃は、学習プロセスが完全に保護されている場合でも、学習済みモデルが脆弱であることを示している。このような攻撃に対する防御策は、学習モデル自体の情報量を制御し、学習データについてあまり多くのことを明らかにしないようにすることに重点を置いている。 |
| Privacy-enhancing technologies that protect the trained model are often said to provide output privacy - they prevent the adversary from learning anything about the training data from the system’s outputs (i.e. the trained model). The most comprehensive approach for ensuring output privacy is called differential privacy, and is the subject of a previous NIST blog series and new draft guidelines. Many of the solutions developed in the UK-US PETs Prize Challenges leverage differential privacy to defend against attacks on the trained model, which we’ll highlight later in this blog series. | 学習済みモデルを保護するプライバシー向上技術は、しばしば出力プライバシーを提供すると言われ、敵対者がシステムの出力(すなわち学習済みモデル)から学習データについて何も知ることができないようにする。出力プライバシーを確保するための最も包括的なアプローチは差分プライバシーと呼ばれ、以前のNISTブログシリーズや新しいドラフトガイドラインの主題となっている。UK-US PETs Prize Challengesで開発されたソリューションの多くは、差分プライバシーを活用して学習済みモデルに対する攻撃を防御するもので、このブログシリーズの後半で紹介する。 |
参考
・2023.12.07 The UK-US Blog Series on Privacy-Preserving Federated Learning: Introduction
こんにちは、丸山満彦です。
国土交通省が20203.07.13に「コンテナターミナルにおける情報セキュリティ対策等検討委員会」の第1回を開催しましたが、その報告書が公表されていますね...
セキュリティ系では、岩井さんや北尾さんが委員として参加していましたね...
● 国土交通省 - コンテナターミナルにおける情報セキュリティ対策等検討委員会
・[PDF] 取りまとめ 名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策及び情報セキュリティ対策等の推進のための制度的措置について
・[PDF] 取りまとめ 名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策及び情報セキュリティ対策等の推進のための制度的措置について 概要
● 国土交通省 - コンテナターミナルにおける情報セキュリティ対策等検討委員会
・2023.07.31 第1回コンテナターミナルにおける情報セキュリティ対策等検討委員会
議事次第
資料1 コンテナターミナルにおける情報セキュリティ対策等検討委員会スケジュール
資料2 名古屋港運協会説明資料(非公表)
資料3 経済安全保障政策及びサイバーセキュリティ政策に関連する制度の概要
・議事概要
・2023.09.29 第2回コンテナターミナルにおける情報セキュリティ対策等検討委員会
議事次第
資料1-1 主要港のコンテナターミナルにおけるターミナルオペレーションシステム(TOS)の導入状況等
資料1-2 中間取りまとめ[1] 名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について(案)概要
資料1-3 中間取りまとめ[1] 名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について(案)
資料2-1 コンテナターミナルの機能提供に必要なシステムについて
資料2-2 港湾荷役に用いられている標準的なシステムについて
資料2-3 サイバーセキュリティ基本法の概要
資料2-4 経済安全保障推進法(基幹インフラの安定的な提供の確保関係)の概要
資料2-5 中間取りまとめ[1]に掲げた対策等の現行制度における位置づけ
・議事概要
・中間取りまとめ[1] 名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について
・中間取りまとめ[1] 名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について 概要
・2023.11.30 第3回コンテナターミナルにおける情報セキュリティ対策等検討委員会(令和5年11月30日開催)
議事次第
資料1-1 港湾におけるサイバーセキュリティ対策の強化(令和5年度補正予算)
資料1-2 コンテナターミナルにおける情報セキュリティ対策説明会
資料2-1 中間取りまとめ[2] 名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策及び情報セキュリティ対策等の推進のための制度的措置について(案)概要
資料2-2 中間取りまとめ[2]に位置づける情報セキュリティ対策等の推進のための制度的措置(案)
資料2-3 中間取りまとめ[2] 名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策及び情報セキュリティ対策等の推進のための制度的措置について(案)
・議事概要
・中間取りまとめ[2] 名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策及び情報セキュリティ対策等の推進のための制度的措置について
・2024.01.24 第4回コンテナターミナルにおける情報セキュリティ対策等検討委員会
議事次第
資料1-1 本事案の追加調査を踏まえた提言(非公表)
資料1-2 NUTSシステム障害に関するセキュリティ対策(非公表)
資料2-1 コンテナターミナルにおける情報セキュリティ対策説明会
資料2-2 港湾におけるサイバーセキュリティ対策の強化(予算、定員)
資料2-3 港湾運送事業法に基づく措置について
資料2-4 サイバーセキュリティ基本法に基づく措置について
資料3-1 経済安全保障の観点からの措置について
資料3-2 特定社会基盤役務の安定的な提供の確保に関する制度について
資料4-1 取りまとめ「名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策及び情報セキュリティ対策等の推進のための制度的措置について(案)」概要
資料4-2 取りまとめ「名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策及び情報セキュリティ対策等の推進のための制度的措置について(案)」
・議事概要
・取りまとめ 名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策及び情報セキュリティ対策等の推進のための制度的措置について
・取りまとめ 名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策及び情報セキュリティ対策等の推進のための制度的措置について 概要
こんにちは、丸山満彦です。
米国連邦取引委員会 生成的AIへの投資とパートナーシップに関する調査をアルファベット、アマゾン、マイクロソフト、アンソロピックPBC、OpenAIに対して開始しましたね。。。
すでに寡占状態のクラウド事業者とこれからの発展が期待される生成的AI分野の寡占に関する問題なのでしょうかね。。。
● Federal Trade Commission; FTC
・2024.01.25 FTC Launches Inquiry into Generative AI Investments and Partnerships
| FTC Launches Inquiry into Generative AI Investments and Partnerships | FTCが生成的AIへの投資とパートナーシップに関する調査を開始 |
| Agency Issues 6(b) Orders to Alphabet, Inc., Amazon.com, Inc., Anthropic PBC, Microsoft Corp., and OpenAI, Inc. | アルファベット、アマゾン・ドット・コム、アンソロピックPBC、マイクロソフト、オープンAIに6(b)命令を下す |
| The Federal Trade Commission announced today that it issued orders to five companies requiring them to provide information regarding recent investments and partnerships involving generative AI companies and major cloud service providers. | 米連邦取引委員会は本日、5社に対し、生成的AI企業と大手クラウドサービス・プロバイダーが関与する最近の投資や提携に関する情報提供を求める命令を出したと発表した。 |
| The agency’s 6(b) inquiry will scrutinize corporate partnerships and investments with AI providers to build a better internal understanding of these relationships and their impact on the competitive landscape. The compulsory orders were sent to Alphabet, Inc., Amazon.com, Inc., Anthropic PBC, Microsoft Corp., and OpenAI, Inc. | 同委員会の6(b)調査は、企業のAIプロバイダーとの提携や投資を精査し、こうした関係や競争環境に与える影響について、より良い内部理解を構築することを目的としている。 強制命令は、アルファベット社、アマゾン・ドット・コム社、アンソロピックPBC社、マイクロソフト社、OpenAI社に送られた。 |
| “History shows that new technologies can create new markets and healthy competition. As companies race to develop and monetize AI, we must guard against tactics that foreclose this opportunity, “said FTC Chair Lina M. Khan. “Our study will shed light on whether investments and partnerships pursued by dominant companies risk distorting innovation and undermining fair competition." | 「歴史は、新しい技術が新しい市場と健全な競争を生み出すことを示している。FTCのリナ・M・カーン委員長は、「企業がAIを開発し、収益化しようと競争する中、我々はこの機会を閉ざすような戦術を警戒しなければならない。「我々の調査は、支配的な企業が追求する投資や提携がイノベーションを歪め、公正な競争を損なう危険性がないかどうかを明らかにするものである。 |
| The FTC issued its orders under Section 6(b) of the FTC Act, which authorizes the Commission to conduct studies that allow enforcers to gain a deeper understanding of market trends and business practices. Findings stemming from such orders can help inform future Commission actions. | FTCは、FTC法第6条(b)に基づいて命令を出した。この命令は、市場動向や商慣行についてより深い理解を得るための調査を実施する権限をFTCに与えている。このような命令から得られた知見は、今後の取引委員会の対応に役立つ。 |
| Companies are deploying a range of strategies in developing and using AI, including pursuing partnerships and direct investments with AI developers to get access to key technologies and inputs needed for AI development. The orders issued today were sent to companies involved in three separate multi-billion-dollar investments: Microsoft and OpenAI, Amazon and Anthropic, and Google and Anthropic. The FTC’s inquiry will help the agency deepen enforcers understanding of the investments and partnerships formed between generative AI developers and cloud service providers. | 企業は、AIの開発に必要な主要技術やインプットを入手するために、AI開発企業との提携や直接投資を進めるなど、AIの開発・利用においてさまざまな戦略を展開している。本日発表された命令は、3つの別々の数十億ドル規模の投資に関わる企業に送られた: マイクロソフトとOpenAI、アマゾンとAnthropic、グーグルとAnthropicである。FTCの調査は、生成的AI開発者とクラウドサービス・プロバイダーとの間に形成された投資とパートナーシップに関する執行官の理解を深めるのに役立つだろう。 |
| The FTC is seeking information specifically related to: | FTCは特に以下の情報を求めている: |
| ・Information regarding a specific investment or partnership, including agreements and the strategic rationale of an investment/partnership. | ・具体的な投資や提携に関する情報(契約や投資・提携の戦略的根拠を含む)。 |
| ・The practical implications of a specific partnership or investment, including decisions around new product releases, governance or oversight rights, and the topic of regular meetings. | ・新製品のリリース、ガバナンスや監督権、定期的な会議のテーマに関する決定を含む、特定のパートナーシップや投資の実際的な意味合い。 |
| ・Analysis of the transactions’ competitive impact, including information related to market share, competition, competitors, markets, potential for sales growth, or expansion into product or geographic markets. | ・市場シェア、競合、競合他社、市場、売上増加の可能性、製品または地理的市場への拡大に関する情報を含む、取引の競争上の影響の分析。 |
| ・Competition for AI inputs and resources, including the competitive dynamics regarding key products and services needed for generative AI. | ・生成的AIに必要な主要製品やサービスに関する競争力学を含む、AIインプットやリソースの競合。 |
| ・Information provided to any other government entity, including foreign government entities, in connection with any investigation, request for information, or other inquiry related to these topics. | ・これらのトピックに関連する調査、情報提供要請、その他の照会に関連して、外国政府機関を含むその他の政府機関に提供された情報。 |
| The companies will have 45 days from the date they receive the order to respond. | 各社は命令を受けた日から45日以内に回答する必要がある。 |
| The Commission voted 3-0 to issue the Section 6(b) orders and conduct the study of AI investments and partnerships. | 取引委員会は、第6(b)項命令を出し、AI投資およびパートナーシップに関する調査を実施することを3対0で決定した。 |
・[PDF] 命令
こんにちは、丸山満彦です。
Appleが、EUにおけるiOS、Safari、App Storeの変更を昨日発表していますね。。。
なかなか興味深い...
● Apple
・2024.01.25 Apple announces changes to iOS, Safari, and the App Store in the European Union
一部...
| Changes to iOS | iOSの変更 |
| In the EU, Apple is making a number of changes to iOS to comply with the DMA. For developers, those changes include new options for distributing apps. The coming changes to iOS in the EU include: | EUでは、アップルはDMAに準拠するためにiOSに多くの変更を加えている。デベロッパーにとって、これらの変更にはアプリを配布するための新しいオプションが含まれる。EUにおけるiOSの今後の変更には以下が含まれる: |
| ・New options for distributing iOS apps from alternative app marketplaces — including new APIs and tools that enable developers to offer their iOS apps for download from alternative app marketplaces. | ・代替アプリマーケットプレイスからiOSアプリを配布するための新しいオプション - 開発者が代替アプリマーケットプレイスからiOSアプリをダウンロードできるようにする新しいAPIとツールを含む。 |
| ・New framework and APIs for creating alternative app marketplaces — enabling marketplace developers to install apps and manage updates on behalf of other developers from their dedicated marketplace app. | ・代替アプリマーケットプレイスを作成するための新しいフレームワークとAPI - マーケットプレイス開発者は、専用のマーケットプレイスアプリから他の開発者に代わってアプリをインストールし、アップデートを管理することができる。 |
| ・New frameworks and APIs for alternative browser engines — enabling developers to use browser engines, other than WebKit, for browser apps and apps with in-app browsing experiences. | ・代替ブラウザエンジン用の新しいフレームワークとAPI - ブラウザアプリやアプリ内ブラウジング体験のあるアプリで、開発者がWebKit以外のブラウザエンジンを使用できるようにする。 |
| ・Interoperability request form — where developers can submit additional requests for interoperability with iPhone and iOS hardware and software features. | ・相互運用性リクエストフォーム - 開発者は、iPhoneおよびiOSのハードウェアおよびソフトウェア機能との相互運用性に関する追加リクエストを提出できる。 |
| As announced by the European Commission, Apple is also sharing DMA-compliant changes impacting contactless payments. That includes new APIs enabling developers to use NFC technology in their banking and wallet apps throughout the European Economic Area. And in the EU, Apple is introducing new controls that allow users to select a third-party contactless payment app — or an alternative app marketplace — as their default. | 欧州委員会が発表したように、アップルは非接触型決済に影響するDMA準拠の変更も共有している。これには、開発者が欧州経済領域内の銀行や財布アプリでNFC技術を使用できるようにする新しいAPIが含まれる。そしてEUでは、アップルは、ユーザーがサードパーティの非接触決済アプリ(または代替アプリマーケット)をデフォルトとして選択できるようにする新しいコントロールを導入している。 |
| Inevitably, the new options for developers’ EU apps create new risks to Apple users and their devices. Apple can’t eliminate those risks, but within the DMA’s constraints, the company will take steps to reduce them. These safeguards will be in place when users download iOS 17.4 or later, beginning in March, and include: | 必然的に、デベロッパーのEUアプリに対する新しい選択肢は、アップルのユーザーとそのデバイスに新たなリスクをもたらす。アップルはこうしたリスクを排除することはできないが、DMAの制約の範囲内で、リスクを軽減するための措置を講じる。これらの保護措置は、ユーザーが3月からiOS 17.4以降をダウンロードする際に実施され、以下を含む: |
| ・Notarization for iOS apps — a baseline review that applies to all apps, regardless of their distribution channel, focused on platform integrity and protecting users. Notarization involves a combination of automated checks and human review. | ・iOSアプリの公証 - プラットフォームの完全性とユーザー保護に焦点を当てた、配布チャネルに関係なくすべてのアプリに適用される基本審査。公証には、自動チェックと人間によるレビューの組み合わせが含まれる。 |
| ・App installation sheets — that use information from the Notarization process to provide at-a-glance descriptions of apps and their functionality before download, including the developer, screenshots, and other essential information. | ・アプリインストールシート - Notarizationプロセスで得られた情報を使用し、開発者、スクリーンショット、その他の重要な情報を含む、ダウンロード前のアプリとその機能の一目でわかる説明を提供する。 |
| ・Authorization for marketplace developers — to ensure marketplace developers commit to ongoing requirements that help protect users and developers. | ・マーケットプレイス開発者の認証 - ユーザーと開発者の保護に役立つ継続的な要件にマーケットプレイス開発者がコミットすることを保証する。 |
| ・Additional malware protections — that prevent iOS apps from launching if they’re found to contain malware after being installed to a user’s device. | ・追加のマルウェア保護 - ユーザのデバイスにインストールされた後にマルウェアが含まれていることが判明した場合、iOSアプリが起動しないようにする。 |
| These protections — including Notarization for iOS apps, and authorization for marketplace developers — help reduce some of the privacy and security risks to iOS users in the EU. That includes threats like malware or malicious code, and risks of installing apps that misrepresent their functionality or the responsible developer. | iOSアプリの公証、マーケットプレイス開発者の認証など、これらの保護は、EUのiOSユーザーに対するプライバシーとセキュリティのリスクを軽減するのに役立つ。これには、マルウェアや悪意のあるコードのような脅威や、機能や責任ある開発者を偽っているアプリをインストールするリスクなどが含まれる。 |
| However, Apple has less ability to address other risks — including apps that contain scams, fraud, and abuse, or that expose users to illicit, objectionable, or harmful content. In addition, apps that use alternative browser engines — other than Apple’s WebKit — may negatively affect the user experience, including impacts to system performance and battery life. | しかしアップルには、詐欺、詐欺、不正利用を含むアプリや、不正、好ましくない、有害なコンテンツにユーザーをさらすアプリなど、その他のリスクに対処する能力はあまりない。さらに、アップルのWebKit以外の代替ブラウザエンジンを使用するアプリは、システムパフォーマンスやバッテリー寿命への影響など、ユーザーエクスペリエンスに悪影響を及ぼす可能性がある。 |
| Within the DMA’s constraints, Apple is committed to protecting the privacy, security, and quality of the iOS user experience in the EU as much as possible. For instance, App Tracking Transparency will continue to work with apps distributed outside of the App Store — asking a user’s permission before a developer tracks their data across apps or websites. However, the DMA’s requirements mean that App Store features — including Family Purchase Sharing and Ask to Buy — will not be compatible with apps downloaded from outside of the App Store. | DMAの制約の中で、AppleはEUにおけるiOSのユーザーエクスペリエンスのプライバシー、セキュリティ、品質を可能な限り保護することを約束する。例えば、App Tracking Transparencyは引き続きApp Store以外で配布されるアプリで機能し、開発者がアプリやウェブサイト全体でユーザーのデータを追跡する前にユーザーの許可を求める。しかし、DMAの要件は、ファミリー購入共有やAsk to Buyを含むApp Storeの機能が、App Store以外からダウンロードされたアプリには対応しないことを意味する。 |
| When these changes come into effect in March, Apple will share more detailed resources explaining the options available to users — including best practices for protecting their privacy and security. | これらの変更が3月に施行される際には、Appleは、プライバシーとセキュリティを保護するためのベストプラクティスなど、ユーザーが利用できる選択肢について説明したより詳細なリソースを共有する予定である。 |
| Changes to Safari | Safariの変更 |
| Today, iOS users already have the ability to set a third-party web browser — other than Safari — as their default. Reflecting the DMA’s requirements, Apple is also introducing a new choice screen that will surface when users first open Safari in iOS 17.4 or later. That screen will prompt EU users to choose a default browser from a list of options. | 現在、iOSユーザーは、Safari以外のサードパーティ製ウェブブラウザをデフォルトに設定することができる。DMAの要求を反映し、アップルはiOS 17.4以降でユーザーが初めてSafariを開いたときに表示される新しい選択画面も導入する。この画面は、EUユーザーに対し、選択肢の中からデフォルトのブラウザを選択するよう促すものだ。 |
| This change is a result of the DMA’s requirements, and means that EU users will be confronted with a list of default browsers before they have the opportunity to understand the options available to them. The screen also interrupts EU users’ experience the first time they open Safari intending to navigate to a webpage. | この変更はDMAの要求によるもので、EU圏のユーザーが利用可能な選択肢を理解する前にデフォルトブラウザのリストを突きつけられることを意味する。この画面はまた、EU圏のユーザーがウェブページに移動しようとSafariを初めて開いたときの体験を中断させる。 |
| Changes to the App Store | App Storeの変更 |
| On the App Store, Apple is sharing a number of changes for developers with apps in the EU, affecting apps across Apple’s operating systems — including iOS, iPadOS, macOS, watchOS, and tvOS. The changes also include new disclosures informing EU users of the risks associated with using alternatives to the App Store’s secure payment processing. | アップルはApp Storeにおいて、EU圏内でアプリを開発する開発者向けに多くの変更を共有しており、iOS、iPadOS、macOS、watchOS、tvOSを含むアップルのオペレーティングシステム全体のアプリに影響を与える。この変更には、App Storeのセキュアな決済処理に代わるものを使用する際のリスクについてEUのユーザーに通知する新しい開示も含まれている。 |
| For developers, those changes include: | 開発者向けには、以下の変更が含まれる: |
| ・New options for using payment service providers (PSPs) — within a developer’s app to process payments for digital goods and services. | ・デベロッパのアプリ内で決済サービスプロバイダ(PSP)を利用し、デジタル商品およびサービスの決済を処理するための新しいオプション。 |
| ・New options for processing payments via link-out — where users can complete a transaction for digital goods and services on the developer’s external website. Developers can also inform EU users of promotions, discounts, and other deals available outside of their apps. | ・リンクアウトによる支払い処理の新たな選択肢 - ユーザーがデベロッパーの外部ウェブサイトでデジタル商品やサービスの取引を完了できる。デベロッパーはまた、アプリの外で利用可能なプロモーション、割引、その他のお得な情報をEUユーザーに知らせることができる。 |
| ・Business planning tools — for developers to estimate fees and understand metrics associated with Apple’s new business terms for apps in the EU. | ・ビジネスプランニングツール - デベロッパが料金を見積もり、AppleのEUにおけるアプリの新しいビジネス条件に関連する指標を理解するためのもの。 |
| The changes also include new steps to protect and inform EU users, including: | 今回の変更には、EUユーザーを保護し、情報を提供するための以下のような新たな措置も含まれる: |
| ・App Store product page labels — that inform users when an app they’re downloading uses alternative payment processing. | ・App Storeの製品ページのラベル - ダウンロードしようとしているアプリが代替の支払処理を使用している場合に、ユーザに通知する。 |
| ・In-app disclosure sheets — that let users know when they are no longer transacting with Apple, and when a developer is directing them to transact using an alternative payment processor. | ・アプリ内開示シート - アップルとの取引が終了した場合、およびデベロッパが代替支払処理機関を使用して取引を行うようユーザに指示している場合に、ユーザに通知する。 |
| ・New App Review processes — to verify that developers accurately communicate information about transactions that use alternative payment processors. | ・新しいApp Reviewプロセス - デベロッパが代替支払処理業者を使用する取引に関する情報を正確に伝えていることを確認する。 |
| ・Expanded data portability on Apple’s Data & Privacy site — where EU users can retrieve new data about their usage of the App Store and export it to an authorized third party. | ・AppleのData & Privacyサイトにおけるデータポータビリティの拡大 - EUユーザは、App Storeの利用に関する新しいデータを取得し、認定された第三者にエクスポートすることができる。 |
| For apps that use alternative payment processing, Apple will not be able to issue refunds, and will have less ability to support customers encountering issues, scams, or fraud. Helpful App Store features — like Report a Problem, Family Sharing, and Ask to Buy — will also not reflect these transactions. Users may have to share their payment information with additional parties, creating more opportunities for bad actors to steal sensitive financial information. And on the App Store, users’ purchase history and subscription management will only reflect transactions made using the App Store’s In-App Purchase system. | Appleは、代替決済手段を使用するアプリについては返金を行うことができず、問題や詐欺、詐欺に遭遇した顧客をサポートする能力も低下する。問題の報告、ファミリー共有、購入依頼など、App Storeの便利な機能も、これらの取引には反映されない。ユーザーは支払い情報をさらに多くの相手と共有しなければならなくなる可能性があり、悪質な業者が機密性の高い金融情報を盗む機会が増える。また、App Storeでは、ユーザーの購入履歴と定期購入管理には、App StoreのIn-App Purchaseシステムを使用して行われた取引のみが反映される。 |
こんにちは、丸山満彦です。
世界経済フォーラム (WEF)がAIガバナンス・アライアンス ブリーフィングペーパー3部作を公表していますね。。。IBMが取りまとめたようです。。。
という感じでしょうかね。。。
マルチホルダーアプローチで、リスクアセスメントをし、必要な対策をとりながら進めていくのが良いのでしょうね。。。
● World Economic Forum - Whitepaper
・20214.01.18 AI Governance Alliance: Briefing Paper Series
| AI Governance Alliance: Briefing Paper Series | AIガバナンス・アライアンス ブリーフィングペーパーシリーズ |
| In an era marked by rapid technological transformation, this briefing paper series stands as a pivotal point of reference, guiding responsible transformation with artificial intelligence (AI). | 急速な技術革新の時代において、このブリーフィングペーパーシリーズは、人工知能(AI)による責任ある変革を導く、極めて重要な参考資料となる。 |
| This collaborative effort brings together over 250 members from more than 200 organizations. Structured around three core working groups (Safe Systems and Technologies, Responsible Applications and Transformation, and Resilient Governance and Regulation), the AI Governance Alliance addresses AI’s multifaceted challenges and opportunities. | この共同作業には、200を超える組織から250を超えるメンバーが参加している。AIガバナンス・アライアンスは、3つのコア・ワーキンググループ(安全なシステムとテクノロジー、責任ある応用と変革、レジリエンス・ガバナンスと規制)を中心に構成され、AIの多面的な課題と機会に取り組んでいる。 |
| This briefing paper series, representing collective insights, establishes foundational focus areas for steering AI's development, adoption and governance. The alliance serves as a beacon of multistakeholder collaboration, guiding decision-makers towards an AI future that upholds human values and enhances societal progress. | このブリーフィング・ペーパー・シリーズは、AIの開発、導入、ガバナンスを舵取りするための代表的な重点分野を定めるものである。本アライアンスは、マルチステークホルダー協働の道標として、意思決定者を人間の価値を守り、社会の進歩を促進するAIの未来へと導く。 |
| Paper 1 – Presidio AI Framework: Towards Safe Generative AI Models | ペーパー1 - 要塞AIフレームワーク: 安全な生成的AIモデルに向けて |
| This paper navigates the complex rise of generative AI, emphasizing the balance between innovation, safety and ethics. It introduces a comprehensive framework centred on an expanded AI life cycle, robust risk guardrails and a shift-left methodology for early safety integration. Advocating for multistakeholder collaboration, the framework promotes shared responsibility and proactive risk management. | 本レポートでは、生成的AIの複雑な台頭を先導し、イノベーション、安全性、倫理のバランスを強調する。拡張されたAIライフサイクル、強固なリスクガードレール、早期安全統合のためのシフト・レフト手法を中心とした包括的なフレームワークを紹介する。マルチステークホルダーによる協働を提唱するこのフレームワークは、責任の共有と積極的なリスクマネジメントを促進する。 |
| This foundational paper by the AI Governance Alliance sets the stage for ongoing efforts to ensure ethical and responsible AI development, advocating for a future where innovation is coupled with stringent safety measures. | AIガバナンス・アライアンスによるこの基礎的なペーパーは、倫理的で責任あるAI開発を確保するための継続的な取り組みの段階を設定し、イノベーションが厳格な安全対策と組み合わされる未来を提唱している。 |
| Read the full report here. | 報告書全文はこちら |
| Paper 2 – Unlocking Value from Generative AI: Guidance for Responsible Transformation | ペーパー2「生成的AIから価値を引き出す:責任ある変革のためのガイダンス |
| This paper examines the disruptive potential of generative AI and the imperative for leaders to adopt a use-case-based approach for its deployment. It guides organizations to assess use cases for business impact, operational readiness and investment strategy, and to balance benefits against potential workforce impact and downstream implications. | このペーパーでは、生成的AIの破壊的な可能性と、その展開のためにリーダーがユースケースに基づいたアプローチを採用する必要性について検証している。ビジネスへの影響、運用準備、投資戦略についてユースケースを評価し、潜在的な労働力への影響や下流への影響と利益のバランスを取るよう、組織を導く。 |
| Emphasizing a multistakeholder approach, the paper advocates for responsible scaling strategies like transparent governance and value-based change management. This paper equips leaders with insights to responsibly harness generative AI’s benefits while preparing for its evolving future. | マルチステークホルダー・アプローチを重視し、透明性のあるガバナンスや価値に基づく変更管理など、責任あるスケーリング戦略を提唱している。本レポートは、進化する未来に備えつつ、生成的AIの利点を責任を持って活用するための洞察をリーダーに提供する。 |
| Read the full report here. | 報告書全文はこちら |
| Paper 3 – Generative AI Governance: Shaping a Collective Global Future | ペーパー3「生成的AIガバナンス: グローバルな未来を形成する |
| This paper navigates the complexities of AI governance amidst rapid technological and societal changes. It compares national responses, focusing on governance approaches and regulatory instruments. The paper highlights key debates in generative AI, including risk prioritization and access spectrum, and advocates for international cooperation to prevent governance fragmentation. It emphasizes the need for equitable access and inclusion, especially for the Global South. | 本レポートでは、急速な技術と社会の変化の中で、AIガバナンスの複雑さを先導する。ガバナンスのアプローチと規制手段に焦点を当て、各国の対応を比較する。リスクの優先順位付けやアクセス・スペクトラムなど、生成的AIにおける重要な議論に焦点を当て、ガバナンスの分断を防ぐための国際協力を提唱している。特に「グローバルサウス」において、公平なアクセスとインクルージョンが必要であることを強調している。 |
| This briefing paper informs stakeholders in AI governance and regulation and lays the groundwork for the World Economic Forum’s AI Governance Alliance’s future initiatives on resilient and inclusive governance. | このブリーフィング・ペーパーは、AIガバナンスと規制の関係者に情報を提供し、世界経済フォーラムのAIガバナンス・アライアンスがレジリエンスとインクルーシブ・ガバナンスに関して今後取り組むための土台を築くものである。 |
| Read the full report here. | 報告書全文はこちら |
・[PDF] Paper 1 – Presidio AI Framework: Towards Safe Generative AI Models
目次..
| Exective Summary | 要旨 |
| 1 Introducing the Presidio AI Framework | 1 要塞AIフレームワークの紹介 |
| 2 Expanded AI life cycle | 2 拡張AIのライフサイクル |
| 3 Guardrails across the expanded AI life cycle | 3 拡張AIライフサイクル全体のガードレール |
| 3.1 Foundation model building phase | 3.1 基礎モデル構築段階 |
| 3.2 Foundation model release phase | 3.2 基礎モデルのリリース段階 |
| 3.3 Model adaptation phase | 3.3 モデルの適応段階 |
| 4 Shifting left for optimized risk mitigation | 4 最適化されたリスク低減のためのシフト |
| Conclusion | 結論 |
エグゼクティブサマリー
| Executive summary | 要旨 |
| The Presidio AI Framework addresses generative AI risks by promoting safety, ethics, and innovation with early guardrails. | 要塞AIフレームワークは、早期のガードレールによって安全性、倫理、イノベーションを促進することで、生成的AIのリスクに対処する。 |
| The rise of generative AI presents significant opportunities for positive societal transformations. At the same time, generative AI models add new dimensions to AI risk management, encompassing various risks such as hallucinations, misuse, lack of traceability and harmful output. Therefore, it is essential to balance safety, ethics and innovation. | 生成的AIの台頭は、社会をポジティブに変革する大きな機会をもたらす。同時に、生成的AIモデルはAIのリスクマネジメントに新たな次元を追加し、幻覚、誤用、トレーサビリティの欠如、有害な出力などの様々なリスクを包含する。したがって、安全性、倫理、イノベーションのバランスを取ることが不可欠である。 |
| This briefing paper identifies a list of challenges to achieving this balance in practice, such as lack of a cohesive view of the generative AI model life cycle and ambiguity in terms of the deployment and perceived effectiveness of varying safety guardrails throughout the life cycle. Amid these challenges, there are significant opportunities, including greater standardization through shared terminology and best practices, facilitating a common understanding of the effectiveness of various risk mitigation strategies. | このブリーフィング・ペーパーでは、生成的AIモデルのライフサイクルに関するまとまった見解の欠如や、ライフサイクル全体を通して様々な安全ガードレールの展開や認識される有効性の曖昧さなど、実際にこのバランスを達成するための課題を挙げている。このような課題がある一方で、用語やベストプラクティスを共有することで標準化を進め、様々なリスク軽減戦略の有効性を共通理解するなどの大きなチャンスもある。 |
| This briefing paper presents the Presidio AI Framework, which provides a structured approach to the safe development, deployment and use of generative AI. In doing so, the framework highlights gaps and opportunities in addressing safety concerns, viewed from the perspective of four primary actors: AI model creators, AI model adapters, AI model users, and AI application users. Shared responsibility, early risk identification and proactive risk management through the implementation of appropriate guardrails are emphasized throughout. | 本ブリーフィングペーパーでは、生成的AIの安全な開発、展開、使用への構造的アプローチを提供する要塞AIフレームワークを紹介する。このフレームワークでは、4つの主要なアクターの視点から、安全性に関する懸念に対処するためのギャップと機会を明らかにしている: AIモデル作成者、AIモデル適応者、AIモデル利用者、AIアプリケーション利用者である。責任の共有、早期のリスク特定、適切なガードレールの導入による積極的なリスクマネジメントが全体を通して強調されている。 |
| The Presidio AI Framework consists of three core components: | 要塞AIフレームワークは、3つのコア・コンポーネントで構成されている: |
| 1. Expanded AI life cycle: This element of the framework establishes a comprehensive end-toend view of the generative AI life cycle, signifying varying actors and levels of responsibility at each stage. | 1. 拡張AIライフサイクル: このフレームワークの要素は、生成的AIライフサイクルの包括的なエンドツーエンドのビューを確立し、各段階における様々なアクターと責任レベルを示す。 |
| 2. Expanded risk guardrails: The framework details robust guardrails to be considered at different steps of the generative AI life cycle, emphasizing prevention rather than mitigation. | 2. 拡張されたリスクガードレール: このフレームワークでは、生成的AIのライフサイクルのさまざまな段階で考慮すべき強固なガードレールを詳述し、低減よりも予防を重視している。 |
| 3. Shift-left methodology: This methodology proposes the implementation of guardrails at the earliest stage possible in the generative AI life cycle. While shift-left is a well-established concept in software engineering, its application in the context of generative AI presents a unique opportunity to promote more widespread adoption. | 3. シフト・レフトの方法論: この方法論は、生成的AIのライフサイクルの可能な限り早い段階でのガードレールの実装を提案する。シフト・レフトはソフトウェア工学において確立された概念であるが、生成的AIの文脈に適用することで、より広範な採用を促進するまたとない機会を提供する。 |
| In conclusion, the paper emphasizes the need for greater multistakeholder collaboration between industry stakeholders, policy-makers and organizations. The Presidio AI Framework promotes shared responsibility, early risk identification and proactive risk management in generative AI development, using guardrails to ensure ethical and responsible deployment. The paper lays the foundation for ongoing safety-related work of the AI Governance Alliance and the Safe Systems and Technologies working group. Future work will expand on the core concepts and components introduced in this paper, including the provision of a more exhaustive list of known and novel guardrails, along with a checklist to operationalize the framework across the generative AI life cycle. | 結論として、本レポートでは、産業界の利害関係者、政策立案者、組織間のマルチステークホルダー協働を強化する必要性を強調している。Presidio AI Frameworkは、生成的AI開発における責任の共有、早期のリスク特定、積極的なリスクマネジメントを促進し、倫理的で責任ある展開を保証するガードレールを使用する。このペーパーは、AIガバナンス・アライアンスと安全システム・技術作業部会が現在進めている安全関連の作業の基礎を築くものである。今後の作業では、生成的AIのライフサイクル全体にわたってフレームワークを運用するためのチェックリストとともに、既知および新規のガードレールのより包括的なリストを提供するなど、本レポートで紹介した中核概念と構成要素を発展させる予定である。 |
図2:要塞AIフレームワークのAIライフサイクルへの拡大
・[PDF] Paper 2 – Unlocking Value from Generative AI: Guidance for Responsible Transformation
目次...
| Executive summary | 要旨 |
| Introduction | 序文 |
| 1 New opportunities with generative AI | 1 生成的AIがもたらす新たな機会 |
| 2 Assessing use cases for adoption | 2 採用のためのユースケースの評価 |
| 2.1 Evaluation gate: business impact | 2.1 評価ゲート:ビジネスインパクト |
| 2.2 Evaluation gate: operational readiness | 2.2 評価ゲート:運用準備 |
| 2.3 Evaluation gate: investment strategy | 2.3 評価ゲート:投資戦略 |
| 3 Responsible transformation | 3 責任ある変革 |
| 3.1 The case for responsible transformation | 3.1 責任ある変革のケース |
| 3.2 Addressing accountability: defined governance for immediate and downstream outcomes | 3.2 説明責任への対応:直接的および下流的な成果に対するガバナンスの明確化 |
| 3.3 Addressing trust: enabling transparency through communication | 3.3 信頼への対応:コミュニケーションを通じて透明性を確保する |
| 3.4 Addressing challenges to scale: diverse and agile operations structures | 3.4 規模拡大の課題への対応:多様で機敏なオペレーション体制 |
| 3.5 Addressing human impact: value-based change management | 3.5 人的影響への対応:価値に基づくチェンジ・マネジメント |
| Conclusion | 結論 |
エグゼクティブサマリー...
| Executive summary | 要旨 |
| Organizations should emphasize responsible transformation with generative AI to build a sustainable future. | 持続可能な未来を築くために、組織は生成的AIによる責任ある変革を重視すべきである。 |
| Generative AI entered the popular domain with the launch of OpenAI’s ChatGPT in November 2022, igniting global fascination surrounding its capabilities and potential for transformative impact. As generative AI’s technical maturity accelerates, its adoption by organizations seeking to capitalize on its potential is maturing at pace while also swiftly disrupting business and society and forcing leaders to rethink their strategies in real time. This paper addresses the impact of generative AI on industry and introduces best practices for responsible transformation. | 生成的AIは、2022年11月のOpenAIのChatGPTの発表で一般的な領域に入り、その能力と変革的インパクトの可能性をめぐる世界的な魅力に火をつけた。生成的AIの技術的成熟が加速するにつれ、その可能性を活かそうとする組織による採用も急速に成熟しつつあり、同時にビジネスや社会を急速に破壊し、リーダーたちはリアルタイムで戦略の見直しを迫られている。本レポートでは、生成的AIが産業に与える影響を取り上げ、責任ある変革のためのベストプラクティスを紹介する。 |
| Leaders have realized new generative AI opportunities for their organizations, from streamlining enterprise processes to supporting artists in reimagining furniture design or even aiding nations in addressing global climate challenges. From the public to the private sector, organizations are witnessing generative AI’s ability to enhance enterprise productivity, create net new products or services, and redefine industries and societies. In adopting generative AI, leaders report a shift towards a use-case-based approach, focusing on evaluating and prioritizing use cases and structures that enable the successful deployment of generative AI technologies and compound value generation. | リーダーたちは、エンタープライズ・プロセスの合理化から、家具デザインの再構築におけるアーティストの支援、さらには世界的な気候変動問題への対処における国家の支援に至るまで、組織にとっての新たな生成的AIの可能性に気づいている。公共部門から民間部門まで、組織は生成的AIがエンタープライズの生産性を向上させ、新しい製品やサービスを生み出し、産業や社会を再定義する能力を目の当たりにしている。生成的AIを採用するにあたり、リーダーたちは、生成的AI技術の展開を成功させ、複合的な価値生成を可能にするユースケースと構造の評価と優先順位付けに焦点を当てた、ユースケース・ベースのアプローチへのシフトを報告している。 |
| Organizations should evaluate potential use cases across the following domains: business impact, organisational readiness and investment strategy. | 組織は、ビジネスへの影響、組織の準備、投資戦略といった領域にわたって、潜在的なユースケースを評価する必要がある。 |
| – Strategic alignment with the organization’s goals, revenue and cost implications, and impact on resources are key factors when leaders prioritize use cases based on their potential for business impact. | ・組織の目標との戦略的整合性、収益とコストへの影響、リソースへの影響は、ビジネスインパクトの可能性に基づいてリーダーがユースケースに優先順位をつける際の重要な要素である。 |
| – The requisite technical talent and infrastructure, the ability to track data and model lineage, and the governance structure to manage risk are considerations when leaders evaluate use cases against their operational readiness. | ・必要な技術的人材とインフラ、データとモデルの系譜を追跡する能力、リスクを管理するガバナンス構造は、リーダーがユースケースを運用準備性と照らし合わせて評価する際の考慮事項である。 |
| – Balancing upfront development cost with reusability potential, projected time to value and an increasingly complex regulatory environment are criteria when leaders select use cases in alignment with an organization’s investment strategy. | ・先行開発コストと再利用の可能性とのバランス、予測される価値実現までの時間、複雑化する規制環境は、リーダーが組織の投資戦略に沿ってユースケースを選択する際の基準である。 |
| Following use case selection, organizations weigh benefits against downstream impacts such as impact to the workforce, sustainability or inherent technology risk such as hallucinations. A multistakeholder approach helps leaders to mitigate risk and scale responsibly. | ユースケースを選択した後、組織は、労働力への影響、持続可能性、幻覚などの技術固有のリスクなど、下流への影響と利益を比較検討する。マルチステークホルダーアプローチは、リーダーがリスクを低減し、責任を持って規模を拡大するのに役立つ。 |
| – Multistakeholder governance with distributed ownership is central to addressing accountability. | ・オーナーシップを分散させたマルチステークホルダー・ガバナンスは、アカウンタビリティに対処する上で中心的な役割を果たす。 |
| – Communications teams that shape a cohesive narrative are essential to addressing trust through transparency. | ・まとまりのある物語を形成するコミュニケーション・チームは、透明性を通じて信頼に応えるために不可欠である。 |
| – Operational structures that roadmap and cascade use cases to extract, realize, replicate and amplify value across the entire organization are key to addressing challenges to scale. | ・組織全体で価値を抽出し、実現し、複製し、増幅するためのユースケースをロードマップ化し、カスケード化する運営体制は、規模拡大の課題に対処するための鍵となる。 |
| – Value-based change management is critical to addressing human impact and ensuring the workforce remains engaged and upskilled. | ・価値ベースのチェンジマネジメントは、人的影響に対処し、従業員のエンゲージメントとスキルアップを維持するために不可欠である。 |
| The findings in this briefing paper provide leaders with insights on how to realise the benefits of generative AI while mitigating its downstream impacts. Future publications will build on these recommendations for responsible transformation as generative AI becomes increasingly able to mimic human skills and reasoning, and technology advances in pursuit of artificial general intelligence.. | このブリーフィング・ペーパーで得られた知見は、生成的AIがもたらす利益を実現する一方で、その下流への影響を低減する方法についての洞察をリーダーに提供するものである。今後の出版物では、生成的AIが人間のスキルや推論をますます模倣できるようになり、人工知能を追求する技術が進歩するにつれて、責任ある変革のためのこれらの提言をベースにしていく予定である。 |
・[PDF] Paper 3 – Generative AI Governance: Shaping a Collective Global Future
目次..
| Executive summary | 要旨 |
| Introduction | 序文 |
| 1 Global developments in AI governance | 1 AIガバナンスの世界的発展 |
| 1.1 Evolving AI governance tensions | 1.1 AIガバナンスの緊張の高まり |
| 2 International cooperation and jurisdictional interoperability | 2 国際協力と管轄権の相互運用性 |
| 2.1 International coordination and collaboration | 2.1 国際協調と協力 |
| 2.2 Compatible AI standards | 2.2 互換性のあるAI標準 |
| 2.3 Flexible regulatory mechanisms | 2.3 柔軟な規制メカニズム |
| 3 Enabling equitable access and inclusive global AI governance | 3 衡平なアクセスと包括的なグローバルAIガバナンスの実現 |
| 3.1 Structural limitations and power imbalances | 3.1 構造的制約と力の不均衡 |
| 3.2 Inclusion of the Global South in AI governance | 3.2 AIガバナンスにおける「南半球」の包摂 |
| Conclusion | 結論 |
エグゼクティブサマリー
| Executive summary | 要旨 |
| Shaping a prosperous and equitable global future with AI depends on international cooperation, jurisdictional interoperability and inclusive governance. | AIによって豊かで公平な世界の未来を形作るには、国際協力、管轄権の相互運用性、包括的ガバナンスが不可欠である。 |
| The global landscape for artificial intelligence (AI) governance is complex and rapidly evolving, given the speed and breadth of technological advancements, as well as social, economic and political influences. This paper examines various national governance responses to AI around the world and identifies two areas of comparison: | 人工知能(AI)ガバナンスの世界的な状況は、社会的、経済的、政治的影響だけでなく、技術的進歩のスピードと幅を考えると、複雑かつ急速に進化している。本レポートでは、世界のAIに対する各国のガバナンスの対応を検証し、比較すべき2つの分野を特定する: |
| 1. Governance approach: AI governance may be focused on risk, rules, principles or outcomes; and whether or not a national AI strategy has been outlined. | 1. ガバナンスのアプローチ: AIガバナンスは、リスク、ルール、原則、成果のいずれに重点を置くか、また、国家AI戦略の概要の有無に重点を置く。 |
| 2. Regulatory instruments: AI governance may be based on existing regulations and authorities or on the development of new regulatory instruments. | 2. 規制手段: AIガバナンスは、既存の規制や認可に基づく場合もあれば、新たな規制手段の開発に基づく場合もある。 |
| Lending to the complexity of AI governance, the arrival of generative AI raises several governance debates, two of which are highlighted in this paper: | 生成的AIの登場は、AIガバナンスの複雑さを助長し、いくつかのガバナンス論議を引き起こしているが、本レポートではそのうちの2つを取り上げる: |
| . How to prioritize addressing current harms and potential risks of AI. | 1. AIの現在の危害と潜在的リスクに対処する優先順位をどうつけるか。 |
| 2. How governance should consider AI technologies on a spectrum of open-to-closed access. | 2. ガバナンスはどのようにAI技術をオープンからクローズドまで考慮すべきか。 |
| International cooperation is critical for preventing a fracturing of the global AI governance environment into non-interoperable spheres with prohibitive complexity and compliance costs. Promoting international cooperation and jurisdictional interoperability requires: | 国際協力は、グローバルなAIガバナンス環境が、法外な複雑さとコンプライアンス・コストを伴う相互運用不可能な領域へと分断されるのを防ぐために不可欠である。国際協力と管轄権の相互運用性を促進するためには、以下が必要である: |
| – International coordination: To ensure legitimacy for governance approaches, a multistakeholder approach is needed that embraces perspectives from government, civil society, academia, industry and impacted communities and is grounded in collaborative assessments of the socioeconomic impacts of AI. | ・国際協調: ガバナンス・アプローチの正当性を確保するためには、政府、市民社会、学界、産業界、および影響を受けるコミュニティからの視点を包含し、AIの社会経済的影響の共同評価に基礎を置く、マルチステークホルダー・アプローチが必要である。 |
| – Compatible standards: To prevent substantial divergence in standards, relevant national bodies should increase compatibility efforts and collaborate with international standardization programmes. For international standards to be widely adopted, they must reflect global participation and representation. | ・互換性のある標準: 標準の実質的な乖離を防ぐため、関連する国内団体は互換性を高める努力をし、国際標準化プログラムと協力すべきである。国際標準が広く採用されるためには、グローバルな参加と代表が反映されていなければならない。 |
| – Flexible regulatory mechanisms: To keep pace with AI’s fast-evolving capabilities, investment in innovation and governance frameworks should be agile and adaptable. | ・柔軟な規制メカニズム: 日進月歩で進化するAIの能力に対応するため、イノベーションへの投資とガバナンスの枠組みは機敏かつ適応可能でなければならない。 |
| Equitable access and inclusion of the Global South in all stages of AI development, deployment and governance is critical for innovation and for realizing the technology’s socioeconomic benefits and mitigating harms globally. | AIの開発、展開、ガバナンスのすべてのステージにおいて、グローバル・サウスが公平にアクセスし、インクルージョンすることは、イノベーションにとって、また、この技術がもたらす社会経済的便益を実現し、世界的な危害を軽減するために極めて重要である。 |
| – Access to AI: Access to AI innovations can empower jurisdictions to make progress on economic growth and development goals. Genuine access relies on overcoming structural inequalities that lead to power imbalances for the Global South, including in infrastructure, data, talent and governance. | ・AIへのアクセス:AIイノベーションへのアクセスは、経済成長と開発目標の達成を可能にする。真のアクセスは、インフラ、データ、人材、ガバナンスを含め、グローバル・サウスにとって力の不均衡につながる構造的不平等を克服することに依存する。 |
| – Inclusion in AI: To adequately address unique regional concerns and prevent a relegation of developing economies to mere endpoints in the AI value chain, there must be a reimagining of roles that ensure Global South actors can engage in AI innovation and governance. | ・AIにおけるインクルージョン:地域特有の懸念に適切に対処し、発展途上経済がAIのバリューチェーンにおける単なる終点に追いやられるのを防ぐためには、グローバル・サウス地域のアクターがAIのイノベーションとガバナンスに関与できるよう、役割の再構築が必要である。 |
| The findings of this briefing paper are intended to inform actions by the different actors involved in AI governance and regulation. These findings will also serve as a basis for future work of the World Economic Forum and its AI Governance Alliance that will raise critical considerations for resilient governance and regulation, including international cooperation, interoperability, access and inclusion | 本ブリーフィング・ペーパーの知見は、AIのガバナンスと規制に携わる様々な関係者の行動に役立つことを意図している。また、これらの知見は、世界経済フォーラムとそのAIガバナンス・アライアンスが、国際協力、相互運用性、アクセス、インクルージョンなど、レジリエンス・ガバナンスと規制のための重要な検討事項を提起する今後の作業の基礎となる。 |
こんにちは、丸山満彦です。
米国 サイバーセキュリティ・インフラセキュリティ庁 (CISA) 、連邦捜査局 (FBI) 、環境保護庁 (EPA) が、上下水道システム部門向けインシデント対応ガイドを公表していますね。。。
● CISA
・2024.01.18 CISA, FBI and EPA Release Incident Response Guide for Water and Wastewater Systems Sector
| CISA, FBI and EPA Release Incident Response Guide for Water and Wastewater Systems Sector | CISA、FBI、EPAが上下水道システム部門向けのインシデント対応ガイドを発表 |
| CRITICAL INFRASTRUCTURE SECURITY AND RESILIENCE, CYBERSECURITY BEST PRACTICES | 重要インフラのセキュリティとレジリエンス、サイバーセキュリティのベストプラクティス |
| With WWS Sector contributions, guide provides recommended actions and available resources throughout cyber incident response lifecycle | WWSセクターの貢献により、ガイドはサイバーインシデント対応のライフサイクルを通じて推奨される行動と利用可能なリソースを提供する。 |
| WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), and Environmental Protection Agency (EPA) published a guide today to assist owners and operators in the Water and Wastewater Systems (WWS) Sector with best practices for cyber incident response and information about federal roles, resources and responsibilities for each stage of the response lifecycle. Technical expertise is not required to understand and use this guide. | ワシントン - サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、環境保護庁(EPA)は本日、上下水道システム(WWS)セクターの所有者および運営者を支援するため、サイバーインシデント対応のベストプラクティス、および対応ライフサイクルの各段階における連邦政府の役割、資源、責任に関する情報をまとめたガイドを発表した。このガイドを理解し利用するために、専門的な知識は必要ない。 |
| Developed in collaboration with over 25 WWS Sector industry, nonprofit, and state/local government partners, this resource covers the four stages of the incident response lifecycle: | 25以上のWWSセクターの産業界、非営利団体、および州/地方政府のパートナーとの協力により開発されたこのリソースは、インシデント対応ライフサイクルの4つの段階をカバーしている: |
| 1. Preparation: WWS Sector organizations should have an incident response plan in place, implement available services and resources to raise their cyber baseline, and engage with the WWS Sector cyber community. | 1. 準備: WWSセクターの組織は、インシデント対応計画を策定し、利用可能なサービスやリソースを導入し、サイ バーベースラインを向上させ、WWSセクターのサイバーコミュニティと連携すべきである。 |
| 2. Detection and analysis: Accurate and timely reporting and rapid collective analysis are essential to understand the full scope and impact of a cyber incident. The guidance provides information on validating an incident, reporting levels, and available technical analysis and support. | 2. 検知と分析: サイバーインシデントの全容と影響を理解するためには、正確でタイムリーな報告と迅速な集団分析が不可欠である。ガイダンスは、インシデントの検証、報告レベル、利用可能な技術分析と支援に関する情報を提供する。 |
| 3. Containment, eradication, and recovery: While WWS Sector utilities are conducting their incident response plan, federal partners are focusing on coordinated messaging and information sharing, and remediation and mitigation assistance. | 3. 封じ込め、根絶、回復:WWSセクターの公益事業者がインシデント対応計画を実施している間、連邦政府のパートナーは、調整されたメッセージングと情報共有、および修復と低減支援に焦点を当てている。 |
| 4. Post-incident activities. Evidence retention, using collected incident data, and lessons learned are the overarching elements for a proper analysis of both the incident and how responders handled it. | 4. インシデント発生後の活動:証拠の保持、収集したインシデントデータの活用、教訓は、インシデントと対応者がどのようにそれに対処したかを適切に分析するための包括的な要素である。 |
| “The Water and Wastewater Systems sector is under constant threat from malicious cyber actors. This timely and actionable guidance reflects an outstanding partnership between industry, nonprofit, and government partners that came together with EPA, FBI and CISA to support this essential sector. We encourage every WWS entity to review this joint guide and implement its recommended actions,” said CISA Executive Assistant Director for Cybersecurity, Eric Goldstein. “In the new year, CISA will continue to focus on taking every action possible to support ‘target-rich, cyber-poor’ entities like WWS utilities by providing actionable resources and encouraging all organizations to report cyber incidents. Our regional team members across the country will continue to engage with WWS partners to provide access to CISA’s voluntary services, such as enrollment in our Vulnerability Scanning, and serve as a resource for continued improvement.” | 「上下水道システム部門は、悪意のあるサイバー行為者の絶え間ない脅威にさらされている。このタイムリーで実行可能なガイダンスは、EPA、FBI、CISAがこの不可欠なセクターを支援するために協力した、業界、非営利団体、政府のパートナー間の優れたパートナーシップを反映している。我々は、すべてのWWS事業体がこの共同指針を検討し、その推奨される行動を実行することを奨励する」と、CISAサイバーセキュリティ担当エリック・ゴールドスタイン事務局長補佐は述べた。新年、CISAはWWS公益事業体のような "標的が多く、サイバーに乏しい "事業体を支援するため、実行可能なリソースをプロバイダとして提供し、すべての組織にサイバーインシデントの報告を促すことで、可能な限りの行動をとることに引き続き注力していく。全国の我々の地域チームメンバーは、脆弱性スキャニングへの登録などCISAの自主サービスへのアクセスを提供し、継続的改善のためのリソースとして機能するために、WWSパートナーと関わり続ける。" |
| "The Water and Wastewater Systems Sector is a vital part of our critical infrastructure, and the FBI will continue to combat cyber actors who threaten it,” said Assistant Director Bryan Vorndran of the FBI’s Cyber Division. “A key part of our cyber strategy is building strong partnerships and sharing threat information with the owners and operators of critical infrastructure before they are hit with an attack.” | 「上下水道システム部門は重要インフラの重要な一部であり、FBIはそれを脅かすサイバー行為者と戦い続ける」とFBIサイバー部門のブライアン・ボルドラン副部長補は述べた。「我々のサイバー戦略の重要な部分は、重要インフラの所有者や運営者が攻撃を受ける前に、強力なパートナーシップを構築し、脅威情報を共有することである。 |
| “Cyber threats to the water sector represent a real and urgent risk to safe drinking water and wastewater services that our nation relies on. The incident response guide assists utilities with approaches for collaboration with federal entities on lowering cyber risk in our nation’s drinking water and wastewater systems,” said EPA Assistant Administrator for Water, Radhika Fox. “EPA is committed to working with our federal, state, and water sector partners to increase the sector’s resilience and improve cyber-resilience practices.” | 「水道セクターに対するサイバー脅威は、わが国が依存している安全な飲料水と下水サービスに対する現実的かつ緊急のリスクである。インシデント対応ガイドは、わが国の飲料水および廃水システムにおけるサイバーリ スクの低減に関する連邦事業体との協力のためのアプローチを事業者に提供するものである。「EPA は、連邦、州、および水部門のパートナーと協力して、水部門のレジリエンスを向上させ、サイ バーレジリエンス慣行を改善することを約束する。 |
| All WWS utilities are encouraged to use this incident response guide to augment their incident response planning and collaboration with federal partners and the WWS before, during, and following a cyber incident. Familiarity with this guide will better prepare WWS utilities to respond to—and recover from—a cyber incident. | すべてのWWS公益事業者は、サイバーインシデントの発生前、発生中、発生後に、インシデント対応計画や連邦パートナーおよびWWSとの協力を強化するために、本インシデント対応ガイドを使用することが推奨される。このガイドに精通することは、WWS公益事業者がサイバーインシデントに対応し、そこから回復するためのより良い準備となるだろう。 |
・2024.01.18 Water and Wastewater Sector - Incident Response Guide
| Water and Wastewater Sector - Incident Response Guide | 上下水道セクター - インシデント対応ガイド |
| Cyber Incident Response Guide for the Water and Wastewater Sector | 上下水道セクターのためのサイバーインシデント対応ガイド |
| WWS SECTOR TOOLS, INFORMATION, AND RESOURCES | 上下水道部門のツール、情報、リソース |
| >RELATED TOPICS: | 関連トピック |
| PARTNERSHIPS AND COLLABORATION | パートナーシップと協力 |
| With contributions from 25+ Water and Wastewater (WWS) Sector organizations spanning private industry, nonprofit, and government this joint guide, co-sealed by CISA, FBI, and EPA provides incident response best practices and information on federal resources. | 民間企業、非営利団体、政府にまたがる25以上の上下水道(WWS)セクター組織からの寄稿により、CISA、FBI、EPAが共同発行したこの共同ガイドは、インシデント対応のベストプラクティスと連邦政府のリソースに関する情報を提供する。 |
| The WWS Sector has been impacted by various cyber events, including unauthorized access, and ransomware. Continued compromises or failures of the WWS Sector could cause cascading impacts across critical infrastructure. The guide outlines how water utility owners and operators can expect to work with federal partners as they prepare for, respond to, and mitigate the impact of a cyber incident. | WWS セクターは、不正アクセスやランサムウェアを含む様々なサイバー事象の影響を受けてきた。WWSセクターの継続的な侵害や障害は、重要インフラ全体に連鎖的な影響を引き起こす可能性がある。本ガイドは、水道事業者がサイバーインシデントに備え、対応し、その影響を軽減するために、連邦政府のパートナーとどのように協力することが期待されるかを概説している。 |
| This guide aims to enhance WWS Sector cybersecurity by: | このガイドは、WWSセクターのサイバーセキュリティを強化することを目的としている: |
| 1. Establishing clear guidance for reporting cyber incidents, | 1. サイバーインシデントを報告するための明確な指針を確立する、 |
| 2. Connecting utilities with available cybersecurity resources, services, and no-cost trainings, | 2. 利用可能なサイバーセキュリティ・リソース、サービス、および無償のトレーニングを公益事業者に提供する、 |
| 3. Empowering utilities to build a strong cybersecurity baseline to improve cyber resilience and cyber hygiene, and | 3. 公益事業者がサイバーセキュリティの基本方針を確立し、サイバーレジリエンスとサイバー衛生を改善する。 |
| 4. Encouraging utilities to integrate into their local cyber communities. | 4. ユーティリティ企業が地域のサイバー・コミュニティに統合することを奨励する。 |
・[PDF]
・[DOCX] 仮訳
目次...
| Executive Summary | エグゼクティブ・サマリー |
| Acknowledgments | 謝辞 |
| Disclaimer | 免責事項 |
| Table of Contents | 目次 |
| Purpose | 目的 |
| Scope | 適用範囲 |
| Audience | 想定読者 |
| Threat Background | 脅威の背景 |
| Collective Response | 集団的対応 |
| 1. Key Federal Partners | 1. 連邦政府の主要パートナー |
| 1.1. Information Sharing | 1.1. 情報共有 |
| 2. Incident Response Process | 2. インシデント対応プロセス |
| 2.1. Preparation | 2.1. 準備 |
| 2.1.1. Building An Organizational-Level Incident Response Plan | 2.1.1. 組織レベルのインシデント対応計画の構築 |
| 2.1.2. Raising the Cyber Baseline | 2.1.2. サイバー・ベースラインを引き上げる |
| 2.1.3. Building the Water and Wastewater Sector Cyber Community | 2.1.3. 上下水道セクターサイバーコミュニティの構築 |
| 2.2. Detection & Analysis | 2.2. 検知と分析 |
| 2.2.1. Validate | 2.2.1. 検証する |
| 2.2.2. Report | 2.2.2. レポート |
| 2.2.3. CISA Technical Analysis and Support | 2.2.3. CISA テクニカル分析とサポート |
| 2.2.4. FBI Technical Analysis and Support | 2.2.4. FBIの技術分析とサポート |
| 2.3. Containment, Eradication, and Recovery | 2.3. 封じ込め、根絶、回復 |
| 2.3.1. Coordinated Messaging and Information Sharing | 2.3.1. 連携したメッセージングと情報共有 |
| 2.3.2. Remediation and Mitigation Assistance | 2.3.2. 修復および低減支援 |
| 2.4. Post-Incident Activity | 2.4. インシデント後の活動 |
| 2.4.1. Evidence Retention | 2.4.1. 証拠の保持 |
| 2.4.2. Using Collected Incident Data | 2.4.2. 収集したインシデントデータを使用する |
| 2.4.3. Lessons Learned | 2.4.3. 教訓 |
| Annex I: A More Advanced Collective Response | 附属書I:より高度な集団的対応 |
| A. Collective Analysis | A. 集団分析 |
| B. Collective Response | B. 集団的対応 |
| C. Post-Incident Collective Activities | C. インシデント後の集団活動 |
| Annex II: Preparation Resources | 附属書II:準備のためのリソース |
| A. Building an Organizational-Level IR Plan: | A. 組織レベルのIR計画を構築する: |
| B. Resources to Raise the Cyber Baseline: | B. サイバー・ベースラインを引き上げるためのリソース: |
| C. Building the Water Cyber Community | C. 水サイバー・コミュニティの構築 |
こんにちは、丸山満彦です。
米国のCISAが、重要インフラ所有者・運用者向け 中国製ドローン (Unmanned Aircraft Systems; UAS) に関するサイバーセキュリティ・ガイダンスを公表していますね。。。日本でもこれから、ますますドローンが利用されていくことになるとは思います。経済産業省が 2022.03.31 [PDF] 無人航空機_サイバーセキュリティガイドライン_Ver1.0 を作っていますね。。。安全保障に影響がありそうな部分については、こういうガイダンスを利用する必要がありそうですね。。。
の合わせて23項目...
● CISA
・2024.01.17 Release Cybersecurity Guidance on Chinese-Manufactured UAS for Critical Infrastructure Owners and Operators
| Release Cybersecurity Guidance on Chinese-Manufactured UAS for Critical Infrastructure Owners and Operators | 中国製UASに関するサイバーセキュリティ・ガイダンスを重要インフラ所有者・運用者向けに発表 |
| RELATED TOPICS: | 関連トピック |
| UNMANNED AIRCRAFT SYSTEMS, CYBERSECURITY BEST PRACTICES, PHYSICAL SECURITY | 無人航空機システム、サイバーセキュリティのベストプラクティス、物理的セキュリティ |
| WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Bureau of Investigation (FBI) released, Cybersecurity Guidance: Chinese-Manufactured Unmanned Aircraft Systems (UAS), to raise awareness of the threats posed by Chinese-manufactured UAS and to provide critical infrastructure and state, local, tribal, and territorial (SLTT) partners with recommended cybersecurity safeguards to reduce the risk to networks and sensitive information. | ワシントン:本日、サイバーセキュリティ・インフラセキュリティ庁(CISA)と連邦捜査局(FBI)は、「サイバーセキュリティ・ガイダンス」を発表した: 中国製無人航空機システム(UAS)がもたらす脅威に対する認識を高め、ネットワークと機密情報へのリスクを軽減するための推奨サイバーセキュリティ安全対策を重要インフラと州・地方・部族・準州(SLTT)のパートナーに提供するためである。 |
| The People’s Republic of China (PRC) has enacted laws that provide the government with expanded legal grounds for accessing and controlling data held by firms in China. The use of Chinese-manufactured UAS in critical infrastructure operations risks exposing sensitive information to PRC authorities. This guidance outlines the potential vulnerabilities to networks and sensitive information when operated without the proper cybersecurity protocols and the potential consequences that could result. | 中華人民共和国(PRC)は、政府が中国国内の企業が保有するデータにアクセスし管理する法的根拠を拡大する法律を制定した。重要インフラの運用に中国製のUASを使用することは、機密情報を中国当局に暴露するリスクになる。このガイダンスは、適切なサイバーセキュリティ・プロトコルがない状態で運用された場合のネットワークや機密情報に対する潜在的脆弱性と、その結果もたらされる可能性のある結果を概説している。 |
| “Our nation’s critical infrastructure sectors, such as energy, chemical and communications, are increasingly relying on UAS for various missions that ultimately reduce operating costs and improve staff safety. However, the use of Chinese-manufactured UAS risks exposing sensitive information that jeopardizes U.S. national security, economic security, and public health and safety,” said CISA Executive Assistant Director for Infrastructure Security, Dr. David Mussington. “With our FBI partners, CISA continues to call urgent attention to China’s aggressive cyber operations to steal intellectual property and sensitive data from organizations. We encourage any organization procuring and operating UAS to review the guidance and take action to mitigate risk. We must work together to ensure the security and resilience of our critical infrastructure.” | 「エネルギー、化学、コミュニケーションなど、わが国の重要インフラ部門は、最終的に運用コストを削減し、スタッフの安全性を改善するさまざまな任務のために、ますますUASに依存している。しかし、中国製造のUASの使用は、米国の国家安全保障、経済安全保障、公衆衛生と安全を危険にさらす機密情報を暴露するリスクがある。「CISAはFBIのパートナーとともに、組織から知的財産や機密データを盗む中国の積極的なサイバー作戦に引き続き緊急の注意を喚起する。我々は、UASを調達し運用するすべての組織がガイダンスを確認し、リスクを低減するための行動をとることを奨励する。我々は、重要インフラのセキュリティとレジリエンスを確保するために協力しなければならない。 |
| “Without mitigations in place, the widespread deployment of Chinese-manufactured UAS in our nation’s key sectors is a national security concern, and it carries the risk of unauthorized access to systems and data,” said Assistant Director of the FBI’s Cyber Division, Bryan A. Vorndran. “The FBI and our CISA partners have issued UAS guidance in order to help safeguard our critical infrastructure and reduce the risk for all of us.” | FBIサイバー課のブライアン・A・ボーンドラン課長補佐は、「低減措置が講じられなければ、中国製造のUASがわが国の重要部門に広く配備されることは国家安全保障上の懸念であり、システムやデータへの不正アクセスのリスクを伴う」と述べた。「FBIとCISAパートナーは、重要インフラを保護し、我々全員のリスクを軽減するために、UASガイダンスを発表した。 |
| Critical infrastructure organizations are encouraged to operate UAS that are secure-by-design and manufactured by U.S. companies. This guidance offers cybersecurity recommendations that organizations should consider as part of their UAS program, policies, and procedures. | 重要インフラ組織は、セキュア・バイ・デザインで米国企業によって製造されたUASを運用することが奨励されている。このガイダンスは、組織がUASプログラム、方針、手順の一部として考慮すべきサイバーセキュリティの推奨事項を提示している。 |
・2024.01.17 Cybersecurity Guidance: Chinese-Manufactured UAS
| Cybersecurity Guidance: Chinese-Manufactured UAS | サイバーセキュリティ・ガイダンス: 中国製UAS |
| Cybersecurity Guidance: Chinese-Manufactured UAS is a Cybersecurity and Infrastructure Security Agency (CISA) and Federal Bureau of Investigation (FBI) resource that raises awareness on the threats posed by Chinese-manufactured UAS and provides UAS cybersecurity recommendations that reduce risks to networks and sensitive information. | サイバーセキュリティ・ガイダンス: 中国製UASは、サイバーセキュリティ・インフラセキュリティ庁(CISA)と連邦捜査局(FBI)のリソースであり、中国製UASがもたらす脅威に関する認識を高め、ネットワークと機密情報に対するリスクを低減するUASサイバーセキュリティの推奨事項を提供する。 |
| This guidance also provides additional resources to augment an organization’s preparedness, response, and resilience. | このガイダンスは、組織の準備、対応、レジリエンスを強化するための追加リソースも提供している。 |
・[PDF]
| CYBERSECURITY GUIDANCE: CHINESE-MANUFACTURED UAS | サイバーセキュリティ・ガイダンス:中国製UAS |
| OVERVIEW | 概要 |
| Chinese-manufactured unmanned aircraft systems (UAS), more commonly referred to as drones, continue to pose a significant risk to critical infrastructure and U.S. national security. While any UAS could have vulnerabilities that enable data theft or facilitate network compromises, the People’s Republic of China (PRC) has enacted laws that provide the government with expanded legal grounds for accessing and controlling data held by firms in China. The use of Chinese-manufactured UAS requires careful consideration and potential mitigation to reduce risk to networks and sensitive information. The Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Bureau of Investigation (FBI) encourage U.S. critical infrastructure owners and operators to procure UAS that follow secure-by- design principles, including those manufactured by U.S. companies. CISA and FBI further recommend following principles and implementing cybersecurity recommendations listed in this guidance to any organization procuring and operating UAS. | インフラ安全保障局(CISA)と連邦捜査局(FBI)は、米国の重要インフラの所有者および運用者に対し、米国企業による製造事業者も含め、セキュア設計の原則に従ったUASを調達するよう奨励している。CISAとFBIはさらに、中国製の無人航空機システム(UAS、一般にドローンと呼ばれる)は、重要インフラと米国の国家安全保障に重大なリスクをもたらし続けているため、原則に従い、サイバーセキュリティを導入することを推奨している。どのようなUASにも、データの窃取を可能にする脆弱性や、UASを調達・運用するあらゆる組織に対する本ガイダンスに記載された表彰事項が存在する可能性がある。ネットワークの侵害を容易にする一方で、中華人民共和国(PRC)は、政府が中国国内の企業が保有するデータにアクセスし、管理する法的根拠を拡大する法律を制定した。中国製造のUASを使用するには、ネットワークと機密情報へのリスクを低減するための慎重な検討と潜在的な低減が必要である。サイバーセキュリティと |
| THREAT | 脅威 |
| The White House’s 2023 National Cybersecurity Strategy and the Annual Threat Assessment from the Office of the Director of National Intelligence both recognize the PRC as the most advanced, active, and persistent cyber threat to the United States. Their analysis describes how the PRC expanded cyber operations to challenge the global order and U.S. interests. Central to this strategy is the acquisition and collection of data - which the PRC views as a strategic resource and growing arena of geopolitical competition.1 | ホワイトハウスの「2023年国家サイバーセキュリティ戦略」と国家情報長官室の「年次脅威評価」は、いずれもPRCを米国にとって最も高度で活発かつ持続的なサイバー脅威と認識している。これらの分析では、PRCがどのようにサイバー作戦を拡大し、世界秩序と米国の利益に挑戦しているかが述べられている。この戦略の中心はデータの取得と収集であり、PRCはこれを戦略的資源と見なし、地政学的競争の舞台として拡大している1。 |
| Since 2015, the PRC has passed or updated comprehensive national security, cybersecurity, and data privacy laws and regulations, expanding their oversight of domestic and foreign companies operating within China.2 One of these laws, the PRC’s 2017 National Intelligence Law, compels Chinese companies to cooperate with state intelligence services, including providing access to data collected within China and around the world. This includes prominent Chinese-owned UAS manufacturers that the Department of Defense has identified as “Chinese military companies” operating within the United States.3 The 2021 Data Security Law expands the PRC’s access to and control of companies and data within China and imposes strict penalties on China-based businesses for non-compliance.4 The data collected by such companies is essential to the PRC’s Military-Civil Fusion strategy, which seeks to gain a strategic advantage over the United States by facilitating access to advanced technologies and expertise.5 The 2021 Cyber Vulnerability Reporting Law requires Chinese-based companies to disclose cyber vulnerabilities found in their systems or software to PRC authorities prior to any public disclosure or sharing overseas. This may provide PRC authorities the opportunity to exploit system flaws before cyber vulnerabilities are publicly known.6 | 2015年以降、中国は包括的な国家安全保障、サイバーセキュリティ、データ・プライバシーに関する法律や規制を可決・更新し、中国国内で事業を展開する国内外の企業に対する監視を拡大している。2 これらの法律の1つである中国の2017年国家情報法は、中国国内および世界中で収集されたデータへのアクセスを提供するなど、中国企業に国家情報サービスへの協力を義務付けている。これには、国防省が米国内で活動する「中国軍需企業」と認定した中国資本の著名なUAS製造者も含まれる3。2021年データセキュリティ法は、中国国内の企業やデータに対するPRCのアクセスと管理を拡大し、違反した場合には中国に拠点を置く企業に厳しい罰則を課すものである4。このような企業が収集するデータは、高度な技術や専門知識へのアクセスを容易にすることで米国に対する戦略的優位を得ようとする中国の軍民融合戦略にとって不可欠である5。2021年サイバー脆弱性報告法は、中国に拠点を置く企業に対し、自社のシステムやソフトウェアに発見されたサイバー脆弱性を、海外での公開や共有に先立ち、中国当局に開示するよう求めている。これは、サイバー脆弱性が公に知られる前に、中国当局がシステムの欠陥を悪用する機会を提供する可能性がある6。 |
| The use of Chinese-manufactured UAS in critical infrastructure operations risks exposing sensitive information to PRC authorities, jeopardizing U.S. national security, economic security, and public health and safety. | 重要インフラの運用に中国製造のUASを使用することは、中国当局に機密情報を暴露し、米国の国家安全保障、経済的安全保障、公衆の健康と安全を危険にさらすリスクがある。 |
| VULNERABILITIES | 脆弱性 |
| UAS are information and communications technology (ICT) devices capable of receiving and transmitting data.7 Each point of connection is a potential target that could be exploited to compromise sensitive information.8 Avenues of potential compromise include | UASはデータの受信と送信が可能な情報通信技術(ICT)機器である7 。各接続ポイントは、機密情報を侵害するために悪用される可能性のある潜在的な標的である8 。 |
| Data Transfer and Collection: UAS devices controlled by smartphones and other internet-connected devices provide a path for UAS data egress and storage, allowing for intelligence gathering on U.S. critical infrastructure. | データの転送と収集: データ転送と収集:スマートフォンやその他のインターネット接続機器によって制御されるUASデバイスは、UASデータの送信と保存の経路を提供し、米国の重要インフラに関する情報収集を可能にする。 |
| Patching and Firmware Updates: While ensuring that network-connected devices are up to date with the latest patches and firmware is critical for the secure operation of any ICT device, updates controlled by Chinese entities could introduce unknown data collection and transmission capabilities without the user’s awareness. That data might be accessed by the PRC through legal authorities. | パッチとファームウェアの更新: ネットワークに接続されたデバイスが最新のパッチとファームウェアに更新されていることを確認することは、あらゆるICTデバイスの安全な運用にとって極めて重要であるが、中国の事業体が管理するアップデートは、ユーザーが気づかないうちに未知のデータ収集・送信機能を導入する可能性がある。そのデータは、法的認可を通じて中国によってアクセスされる可能性がある。 |
| Broader Surface for Data Collection: As UAS and their peripheral devices such as docking stations are incorporated into a network, the potential for data collection and transmission of a broader type—for example, sensitive imagery, surveying data, facility layouts—increases. This new type of data collection can allow foreign adversaries like the PRC access to previously inaccessible intelligence. | データ収集の対象が広がる: UASやドッキングステーションなどの周辺機器がネットワークに組み込まれるにつれ、より広範な種類のデータ収集・送信の可能性が高まる。例えば、機密画像、測量データ、施設レイアウトなどである。この新しいタイプのデータ収集は、中国のような外国の敵対勢力に、以前はアクセスできなかったインテリジェンスへのアクセスを可能にする可能性がある。 |
| CONSEQUENCE | 結果 |
| The PRC’s collection of sensitive information and potential network access obtained from Chinese-manufactured UAS may result in significant consequences to critical infrastructure security and resilience. Acquisition of such data or network access has the potential to advance the PRC’s strategic objectives and negatively affect U.S. economic and national security by: | 中国が中国製のUASから機密情報を収集し、ネットワークにアクセスする可能性は、重要インフラのセキュリティとレジリエンスに重大な結果をもたらす可能性がある。そのようなデータやネットワークへのアクセスの取得は、中国の戦略的目標を促進し、以下のような形で米国の経済および国家安全保障に悪影響を及ぼす可能性がある: |
| • Exposing intellectual property to Chinese companies and jeopardizing an organization’s competitive advantage. | ・知的財産を中国企業に公開し、組織の競争優位性を危うくする。 |
| • Providing enhanced details of critical infrastructure operations and vulnerabilities increasing the PRC’s capability to disrupt critical services. | ・重要インフラの運用や脆弱性の詳細をプロバイダに提供することで、中国が重要なサービスを妨害する能力を高める。 |
| • Compromising cybersecurity and physical security controls leading to potential physical effects such as theft or sabotage of critical assets. | ・サイバーセキュリティや物理的なセキュリティ管理を侵害し、重要資産の窃盗や妨害行為などの物理的な影響を引き起こす可能性がある。 |
| • Exposing network access details that enhance the PRC’s capability to conduct cyber-attacks on critical infrastructure. | ・重要インフラに対するサイバー攻撃の能力を高めるようなネットワークアクセスの詳細を暴露する。 |
| MITIGATION | 低減 |
| Public and private sector organizations using UAS to collect sensitive or national security information are encouraged to procure, or transition to, secure-by-design systems. This recommendation is emphasized for the federal government in Executive Order 13981 – Protecting the United States from Certain UAS where departments and agencies are required to have a plan that addresses risk from UAS manufactured by a foreign adversary.9 Organizations can consult the Department of Defense’s Blue UAS Cleared List to identify UAS compliant with federal cybersecurity policies.10 | 機密情報または国家安全保障情報を収集するためにUASを使用する官民組織は、セキュア・バイ・デザインのシステムを調達するか、それに移行することが奨励される。この勧告は、大統領令 13981「特定の UAS から米国を守る」において連邦政府に対して強調されており、各省庁は外国の敵対者によって製造された UAS からのリスクに対処する計画を持つことが義務付けられている9 。 |
| Organizations procuring or operating UAS are encouraged to adopt the proven security recommendations such as those provided on the next page to further enhance their cybersecurity posture. | UASを調達または運用する組織は、サイバーセキュリティ態勢をさらに強化するために、次ページに示すような実績のあるセキュリティ勧告を採用することが推奨される。 |
| UAS CYBERSECURITY RECOMMENDATIONS: | UAS サイバーセキュリティの推奨事項 |
| PLAN/DESIGN | 計画/設計 |
| Ensure secure, organization-wide development of the goals, policies, and procedures for the UAS program. | UASプログラムの目標、方針、手順を組織全体で確実に策定する。 |
| • Incorporate UAS and its components into an organizational cybersecurity framework for Internet of Things (IoT) devices, subjecting them to the same level of protection and monitoring as other organizational ICT devices.11 | ・UASとそのコンポーネントをモノのインターネット(IoT)デバイスのための組織のサイバーセキュリティフレームワークに組み込み、他の組織のICTデバイスと同レベルの防御と監視の対象とする11。 |
| • Isolate, air gap, or segment networks to prevent any potential malware or breach from spreading to the enterprise network. | ・潜在的なマルウェアや侵害がエンタープライズ・ネットワークに広がるのを防ぐために、ネットワークを分離、エアギャップ、またはセグメント化する。 |
| Examples of this include setting up separate networks, virtual local area networks (VLANs), or virtual private networks (VPNs).12 This minimizes the organizational impact from potential cyberattacks. | この例としては、個別のネットワーク、仮想ローカル・エリア・ネットワーク(VLAN)、または仮想プライ ベート・ネットワーク(VPN)を設定することが挙げられる12 。 |
| • Implement a Zero Trust (ZT) framework for the UAS fleet.13 | ・UASフリートに対してゼロ・トラスト(ZT)フレームワークを導入する13。 |
| ZT architecture ensures all network access and transactions are continuously verified and authenticated, minimizing | ZTアーキテクチャは、すべてのネットワークアクセスとトランザクションが継続的に検証され、本人認証されることを保証する。 |
| unauthorized access and shrinking the overall attack surface. | ZT アーキテクチャは、すべてのネットワーク・アクセスおよびトランザクションが継続的に検証され、 認証されることを保証し、不正アクセスを最小限に抑え、全体的な攻撃対象領域を縮小する。 |
| • Implement phishing-resistant multifactor authentication methods to secure organizational accounts and data.14 | ・フィッシングに耐性のある多要素認証方法を導入し、組織のアカウントとデータを保護する14 。 |
| • Consider integrating cybersecurity and physical security functions across the organization to achieve a unified approach to risk management.15 | ・組織全体でサイバーセキュリティと物理セキュリティの機能を統合し、リスクマネジメントへの統一的なアプローチを実現することを検討する15。 |
| PROCURE | 調達 |
| Identify and select the UAS platforms that best meet the operational and security requirements of the organization. | 組織の運用要件とセキュリティ要件に最も適合するUASプラットフォームを識別し、選択する。 |
| • Procure UAS that follows secure-by-design principles to proactively address vulnerabilities and emerging threats.16 | ・脆弱性と新たな脅威に積極的に対処するために、セキュア・バイ・デザインの原則に従ったUASを調達する16。 |
| • Understand where UAS are manufactured and to what laws the manufacturer is subject to clarify security standards and assess supply chain risk. | ・セキュリティ標準を明確にし、サプライ・チェーンのリスクを評価するために、UASがどこで製造され、製造事業者がどのような法律の適用を受けているかを理解する。 |
| • Review the privacy policy for the chosen UAS, including how and where data will be stored and shared. This is essential for the maintenance of data privacy and security. | ・選択したUASのプライバシー・ポリシー(データがどこでどのように保存され共有されるかを含む)を確認する。これはデータ・プライバシーとセキュリティの保守に不可欠である。 |
| • Implement a Supply Chain Risk Management (SCRM) Program for ICT devices to ensure the integrity, security, and reliability of the UAS lifecycle.17 | ・ICT機器のサプライチェーンリスクマネジメント(SCRM)プログラムを実施し、UASのライフサイクルの完全性、安全性、信頼性を確保する17。 |
| • Ensure critical UAS information and communication components undergo a software bill of materials (SBOM) and hardware bill of materials (HBOM) review and consider implementation of long-term SBOM and HBOM management.18, 19 This minimizes inherent supply chain risks and promotes the resilience of the UAS ecosystem. | ・重要なUASの情報通信部品は、ソフトウェア部品表(SBOM)とハードウェア部品表(HBOM)のレビューを受けるようにし、長期的なSBOMとHBOM管理の実施を検討する18、 19。これにより、固有のサプライチェーンリスクを最小化し、UASエコシステムのレジリエンスを促進する。 |
| MAINTAIN | 維持 |
| Perform regular updates, analysis, and training in accordance with the organization’s plans and procedures. | 組織の計画と手順に従い、定期的な更新、分析、訓練を実施する。 |
| • Manage the UAS program in accordance with an informatio technology (IT) asset framework to ensure proper tracking, monitoring, control, compliance, security controls, and risk management.20 | ・情報技術(IT)資産フレームワークに従ってUASプログラムを管理し、適切な追跡、監視、管理、コンプラ イアンス、セキュリティ管理、リスクマネジメントを確保する20 。 |
| • Implement a vulnerability management program to identify, prioritize, acquire, verify, and install firmware patches and updates. This program addresses emerging vulnerabilities and ensures timely application of necessary security fixes.21 | ・ファームウェア・パッチおよびアップデートを識別し、優先順位を付け、取得し、検証し、 インストールする脆弱性管理プログラムを実施する。このプログラムは、新たな脆弱性に対処し、必要なセキュ リティ修正をタイムリーに適用することを保証するものである21 。 |
| • Implement a configuration and change management program to maintain adequate security measures and operational capabilities.22 | ・適切なセキュリティ対策と運用能力を維持するために、コンフィギュレーションと 変更の管理プログラムを実施する22 。 |
| • Ensure firmware patches and updates are obtained exclusively from the UAS manufacturer or trusted third-party to minimize the risk of system compromise. | ・システム侵害のリスクを最小化するために、ファームウェア・パッチ及びアップデートは、UAS製造事業者又は信頼できるサード・パーティからのみ入手するようにする。 |
| • Consider the use of a sandbox or standalone terminal for the download and security verification of firmware patches and updates. This provides an isolated environment to verify the file integrity and mitigate any concerns before introducing it to the UAS.23 | ・ファームウェア・パッチとアップデートのダウンロードとセキュリティ検証のために、サンドボッ クスまたはスタンドアロン端末の使用を検討すること。これは、UAS に導入する前に、ファイルの完全性を検証し、あらゆる懸念を軽減するための、隔離された環境を提供する23。 |
| • Perform periodic log analysis and compliance checks to determine if any anomalies exist, allowing for timely identification of unauthorized access attempts. | ・定期的なログ分析とコンプライアンス・チェックを実施し、異常の有無を判断し、不正アク セスの試みをタイムリーに特定できるようにする。 |
| • Implement an information technology security education and training awareness schedule focused on current threats and best practices. An effective training program allows UAS operators to identify and mitigate risks and respond effectively to emerging cybersecurity threats.24 | ・現在の脅威とベスト・プラクティスに焦点を当てた情報技術セキュリティ教育およびトレーニングの意識向上スケジュールを実施する。効果的な訓練プログラムにより、UAS 運用者はリスクを特定、低減し、新たなサイバーセキュリティの脅威に効果的に対応できるようになる24。 |
| OPERATE | 運用 |
| Ensure proper operational and security policies are followed during operational usage. | 運用中に適切な運用およびセキュリティ・ポリシーが遵守されていることを確認する。 |
| • Verify current software and firmware versions are installed prior to operational use to minimize emerging threats and vulnerabilities. | ・新たな脅威と脆弱性を最小化するために、運用使用前に最新のソフトウェアとファームウェアのバージョンがインストールされていることを確認する。 |
| • Maintain robust data-at-rest and data-in-transit procedures for encryption and storage to ensure the confidentiality and integrity of data collected via UAS.25 | ・UASを通じて収集されたデータの機密性と完全性を確保するために、暗号化と保存のための強固なデータ静止時およびデータ転送時の手順を維持する25。 |
| • Delete collected data from the UAS to include imagery, Global Positioning System (GPS) history, and flight telemetry data after data has been transferred and stored. | ・UASから収集されたデータ(画像、全地球測位システム(GPS)履歴、飛行テレメトリ・データを含む)は、データが転送・保存された後に削除する。 |
| • Remove and secure portable storage such as secure digital (SD) cards from the UAS prior to storage to prevent unauthorized access. | ・セキュア・デジタル(SD)カードなどの可搬記憶媒体は、保管前にUASから取り外して安全な状態にし、不正アクセスを防止する。 |
| • Maintain a secure connection with the drone during operations by using a virtual private network (VPN) or other encryption method to protect the confidentiality and integrity of communication pathways. | ・バーチャル・プライベート・ネットワーク(VPN)または通信経路の機密性と完全性を保護するその他の暗号化方法を使用することにより、運用中、ドローンとの安全な接続を維持すること。 |
| • Do not broadcast or live stream to the internet to prevent the unauthorized acquisition of real-time sensitive data. | ・リアルタイムの機密データの不正取得を防ぐため、インターネットへのブロードキャストやライブストリーミングを行わないこと。 |
参考文献...
・Unmanned Aircraft Systems: cisa.gov/topics/physical-security/unmanned-aircraft-systems
・Secure Your Drone: Privacy and Data Protection Guidance: cisa.gov/resources-tools/resources/secure-your-drone-privacy-and-data-protection-guidance
・Cybersecurity Best Practices for Operating Commercial Unmanned Aircraft Systems (UASs): cisa.gov/resources-tools/resources/cybersecurity-best-practices-operating-commercial-unmanned-aircraft
・NIST IT Asset Management: csrc.nist.gov/publications/detail/sp/1800-5/final
・Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations: csrc.nist.gov/publications/detail/sp/800-171/rev-2/final
・CISA Vulnerability Scanning: cisa.gov/resources-tools/services/cisa-vulnerability-scanning
・Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171: csrc.nist.gov/publications/detail/sp/800-172/final
・Zero Trust Architecture: csrc.nist.gov/publications/detail/sp/800-207/final
・China Cyber Threat Overview and Advisories: cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/china
・Homeland Security Information Network (HSIN): dhs.gov/homeland-security-information-network-hsin
・Domestic Security Alliance Council (DSAC): dsac.gov/
・Defense Innovation Unit (DIU): diu.mil/blue-uas-cleared-list
脚注...
● まるちゃんの情報セキュリティ気まぐれ日記
米国
・2023.02.02 米国 MITRE ドローンの利点、安全性、社会的受容性を評価するための包括的なアプローチ
・2022.04.26 米国 White House ドローン対策国家計画
その他...
・2022.06.23 一般社団法人セキュアドローン協議会 ドローンセキュリティガイド 第3版 (2022.06.16)
・2022.04.14 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)
こんにちは、丸山満彦です。
IPAが「情報セキュリティ10大脅威 2024」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。
ランサムウェアの脅威はこの4年間トップですね。。。サプライチェーン攻撃もこのところ上位で、この3年間で上昇していますね。。。標的型攻撃による情報漏洩については、4−7年前は連続トップでしたが、このところは2, 3位となっていましたが、今年は4位。
個人については、今年から順序付けせずに、あいうえお順...
ちなみに、組織にとっての情報セキュリティなので、サイバー空間を利用した脅威である、「偽情報等による〜」みたいなものは入っていないのかもしれませんね。。。ただ、個人の脅威にはいっている「偽警告によるインターネット詐欺」は、「偽情報による〜」ということのような気もする。。。
● IPA
プレス発表
・2024.01.24 プレス発表 「情報セキュリティ10大脅威 2024」を決定
・2024.01.24 情報セキュリティ10大脅威 2024
| 個人(五十音順) | 2024 | 組織 | 2023 | |
| インターネット上のサービスからの個人情報の窃取 | * | 1位 | ランサムウェアによる被害 | 1位 |
| インターネット上のサービスへの不正ログイン | * | 2位 | サプライチェーンの弱点を悪用した攻撃 | 2位 |
| クレジットカード情報の不正利用 | * | 3位 | 内部不正による情報漏えい等の被害 | 4位 |
| スマホ決済の不正利用 | * | 4位 | 標的型攻撃による機密情報の窃取 | 3位 |
| 偽警告によるインターネット詐欺 | * | 5位 | 修正前の公開前を狙う攻撃(ゼロデイ攻撃) | 6位 |
| ネット上の誹謗・中傷・デマ | * | 6位 | 不注意による情報漏えい等の被害 | 9位 |
| フィッシングによる個人情報等の詐取 | * | 7位 | 脆弱性対策情報の公開に伴う悪用増加 | 8位 |
| 不正アプリによるスマートフォン利用者への被害 | * | 8位 | ビジネスメール詐欺による金銭被害 | 7位 |
| メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | * | 9位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 5位 |
| ワンクリック請求等の不当請求による金銭被害 | * | 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | 10位 |
過去から(組織向け)...
| 2022 | 個人 | 2023 | 組織 | 2022 |
| 1位 | フィッシングによる個人情報等の詐取 | 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | ネット上の誹謗・中傷・デマ | 2位 | サプライチェーンの弱点を悪用した攻撃 | 3位 |
| 3位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 3位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 4位 | クレジットカード情報の不正利用 | 4位 | 内部不正による情報漏えい | 5位 |
| 5位 | スマホ決済の不正利用 | 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4位 |
| 7位 | 不正アプリによるスマートフォン利用者への被害 | 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7位 |
| 6位 | 偽警告によるインターネット詐欺 | 7位 | ビジネスメール詐欺による金銭被害 | 8位 |
| 8位 | インターネット上のサービスからの個人情報の窃取 | 8位 | 脆弱性対策情報の公開に伴う悪用増加 | 6位 |
| 10位 | インターネット上のサービスへの不正ログイン | 9位 | 不注意による情報漏えい等の被害 | 10位 |
| New | ワンクリック請求等の不当請求による金銭被害 | 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | New |
| 2021 | 個人 | 2022 | 組織 | 2021 |
| 2位 | フィッシングによる個人情報等の詐取 | 1位 | ランサムウェアによる被害 | 1位 |
| 3位 | ネット上の誹謗・中傷・デマ | 2位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 4位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 3位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
| 5位 | クレジットカード情報の不正利用 | 4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 3位 |
| 1位 | スマホ決済の不正利用 | 5位 | 内部不正による情報漏えい | 6位 |
| 8位 | 偽警告によるインターネット詐欺 | 6位 | 脆弱性対策情報の公開に伴う悪用増加 | 10位 |
| 9位 | 不正アプリによるスマートフォン利用者への被害 | 7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | New |
| 7位 | インターネット上のサービスからの個人情報の窃取 | 8位 | ビジネスメール詐欺による金銭被害 | 5位 |
| 6位 | インターネットバンキングの不正利用 | 9位 | 予期せぬIT基盤の障害に伴う業務停止 | 7位 |
| 10位 | インターネット上のサービスへの不正ログイン | 10位 | 不注意による情報漏えい等の被害 | 9位 |
| 2020 | 個人 | 2021 | 組織 | 2020 |
| 1位 | スマホ決済の不正利用 | 1位 | ランサムウェアによる被害 | 5位 |
| 2位 | フィッシングによる個人情報等の詐取 | 2位 | 標的型攻撃による機密情報の窃取 | 1位 |
| 7位 | ネット上の誹謗・中傷・デマ | 3位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | NEW |
| 5位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 4位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
| 3位 | クレジットカード情報の不正利用 | 5位 | ビジネスメール詐欺による金銭被害 | 3位 |
| 4位 | インターネットバンキングの不正利用 | 6位 | 内部不正による情報漏えい | 2位 |
| 10位 | インターネット上のサービスからの個人情報の窃取 | 7位 | 予期せぬIT基盤の障害に伴う業務停止 | 6位 |
| 9位 | 偽警告によるインターネット詐欺 | 8位 | インターネット上のサービスへの不正ログイン | 16位 |
| 6位 | 不正アプリによるスマートフォン利用者への被害 | 9位 | 不注意による情報漏えい等の被害 | 7位 |
| 8位 | インターネット上のサービスへの不正ログイン | 10位 | 脆弱性対策情報の公開に伴う悪用増加 | 14位 |
| 2019 | 個人 | 2020 | 組織 | 2019 |
| NEW | スマホ決済の不正利用 | 1位 | 標的型攻撃による機密情報の窃取 | 1位 |
| 2位 | フィッシングによる個人情報の詐取 | 2位 | 内部不正による情報漏えい | 5位 |
| 1位 | クレジットカード情報の不正利用 | 3位 | ビジネスメール詐欺による金銭被害 | 2位 |
| 7位 | インターネットバンキングの不正利用 | 4位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
| 4位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 5位 | ランサムウェアによる被害 | 3位 |
| 3位 | 不正アプリによるスマートフォン利用者への被害 | 6位 | 予期せぬIT基盤の障害に伴う業務停止 | 16位 |
| 5位 | ネット上の誹謗・中傷・デマ | 7位 | 不注意による情報漏えい(規則は遵守) | 10位 |
| 8位 | インターネット上のサービスへの不正ログイン | 8位 | インターネット上のサービスからの個人情報の窃取 | 7位 |
| 6位 | 偽警告によるインターネット詐欺 | 9位 | IoT機器の不正利用 | 8位 |
| 12位 | インターネット上のサービスからの個人情報の窃取 | 10位 | サービス妨害攻撃によるサービスの停止 | 6位 |
| 2018 | 個人 | 2019 | 組織 | 2018 |
| 1位 | クレジットカード情報の不正利用 | 1位 | 標的型攻撃による被害 | 1位 |
| 1位 | フィッシングによる個人情報等の詐取 | 2位 | ビジネスメール詐欺による被害 | 3位 |
| 4位 | 不正アプリによるスマートフォン利用者への被害 | 3位 | ランサムウェアによる被害 | 2位 |
| NEW | メール等を使った脅迫・詐欺の手口による金銭要求 | 4位 | サプライチェーンの弱点を悪用した攻撃の高まり | NEW |
| 3位 | ネット上の誹謗・中傷・デマ | 5位 | 内部不正による情報漏えい | 8位 |
| 10位 | 偽警告によるインターネット詐欺 | 6位 | サービス妨害攻撃によるサービスの停止 | 9位 |
| 1位 | インターネットバンキングの不正利用 | 7位 | インターネットサービスからの個人情報の窃取 | 6位 |
| 5位 | インターネットサービスへの不正ログイン | 8位 | IoT機器の脆弱性の顕在化 | 7位 |
| 2位 | ランサムウェアによる被害 | 9位 | 脆弱性対策情報の公開に伴う悪用増加 | 4位 |
| 9位 | IoT 機器の不適切な管理 | 10位 | 不注意による情報漏えい | 12位 |
| 2017 | 個人 | 2018 | 組織 | 2017 |
| 1位 | インターネットバンキングやクレジットカード情報等の不正利用 | 1位 | 標的型攻撃による被害 | 1位 |
| 2位 | ランサムウェアによる被害 | 2位 | ランサムウェアによる被害 | 2位 |
| 7位 | ネット上の誹謗・中傷 | 3位 | ビジネスメール詐欺による被害 | NEW |
| 3位 | スマートフォンやスマートフォンアプリを狙った攻撃 | 4位 | 脆弱性対策情報の公開に伴う悪用増加 | NEW |
| 4位 | ウェブサービスへの不正ログイン | 5位 | 脅威に対応するためのセキュリティ人材の不足 | NEW |
| 6位 | ウェブサービスからの個人情報の窃取 | 6位 | ウェブサービスからの個人情報の窃取 | 3位 |
| 8位 | 情報モラル欠如に伴う犯罪の低年齢化 | 7位 | IoT機器の脆弱性の顕在化 | 8位 |
| 5位 | ワンクリック請求等の不当請求 | 8位 | 内部不正による情報漏えい | 5位 |
| 10位 | IoT機器の不適切な管理 | 9位 | サービス妨害攻撃によるサービスの停止 | 4位 |
| NEW | 偽警告によるインターネット詐欺 | 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | 9位 |
| 2016 | 個人 | 2017 | 組織 | 2016 |
| 1位 | インターネットバンキングやクレジットカード情報の不正利用 | 1位 | 標的型攻撃による情報流出 | 1位 |
| 2位 | ランサムウェアによる被害 | 2位 | ランサムウェアによる被害 | 7位 |
| 3位 | スマートフォンやスマートフォンアプリを狙った攻撃 | 3位 | ウェブサービスからの個人情報の窃取 | 3位 |
| 5位 | ウェブサービスへの不正ログイン | 4位 | サービス妨害攻撃によるサービスの停止 | 4位 |
| 4位 | ワンクリック請求等の不当請求 | 5位 | 内部不正による情報漏えいとそれに伴う業務停止 | 2位 |
| 7位 | ウェブサービスからの個人情報の窃取 | 6位 | ウェブサイトの改ざん | 5位 |
| 6位 | ネット上の誹謗・中傷 | 7位 | ウェブサービスへの不正ログイン | 9位 |
| 8位 | 情報モラル欠如に伴う犯罪の低年齢化 | 8位 | IoT機器の脆弱性の顕在化 | NEW |
| 10位 | インターネット上のサービスを悪用した攻撃 | 9位 | 攻撃のビジネス化(アンダーグラウンドサービス) | NEW |
| NEW | IoT機器の不適切な管理 | 10位 | インターネットバンキングやクレジットカード情報の不正利用 | 8位 |
| 個人(カッコ内は総合順位) | 2016 | 組織(カッコ内は総合順位) |
| インターネットバンキングやクレジットカード情報の不正利用(1位) | 1位 | 標的型攻撃による情報流出(2位) |
| ランサムウェアを使った詐欺・恐喝(3位) | 2位 | 内部不正による情報漏えいとそれに伴う業務停止(8位) |
| 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) | 3位 | ウェブサービスからの個人情報の窃取(4位) |
| 巧妙・悪質化するワンクリック請求(9位) | 4位 | サービス妨害攻撃によるサービスの停止(-) |
| ウェブサービスへの不正ログイン(5位) | 5位 | ウェブサイトの改ざん(6位) |
| 匿名によるネット上の誹謗・中傷(-) | 6位 | 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(10位) |
| ウェブサービスからの個人情報の窃取(4位) | 7位 | ランサムウェアを使った詐欺・恐喝(3位) |
| 情報モラル不足に伴う犯罪の低年齢化(-) | 8位 | インターネットバンキングやクレジットカード情報の不正利用(1位) |
| 職業倫理欠如による不適切な情報公開(-) | 9位 | ウェブサービスへの不正ログイン(5位) |
| インターネットの広告機能を悪用した攻撃(-) | 10位 | 過失による情報漏えい(-) |
| 2015 | ||
| 1 | インターネットバンキングやクレジットカード情報の不正利用 | ~個人口座だけではなく法人口座もターゲットに~ |
| 2 | 内部不正による情報漏えい | ~内部不正が事業に多大な悪影響を及ぼす~ |
| 3 | 標的型攻撃による諜報活動 | ~標的組織への侵入手口が巧妙化~ |
| 4 | ウェブサービスへの不正ログイン | ~利用者は適切なパスワード管理を~ |
| 5 | ウェブサービスからの顧客情報の窃取 | ~脆弱性や設定の不備を突かれ顧客情報が盗まれる~ |
| 6 | ハッカー集団によるサイバーテロ | ~破壊活動や内部情報の暴露を目的としたサイバー攻撃~ |
| 7 | ウェブサイトの改ざん | ~知らぬ間に、ウイルス感染サイトに仕立てられる~ |
| 8 | インターネット基盤技術を悪用した攻撃 | ~インターネット事業者は厳重な警戒を~ |
| 9 | 脆弱性公表に伴う攻撃 | ~求められる迅速な脆弱性対策~ |
| 10 | 悪意のあるスマートフォンアプリ | ~アプリのインストールで友人に被害が及ぶことも~ |
| 2014 | ||
| 1 | 標的型メールを用いた組織へのスパイ・諜報活動 サイバー空間(領域)問題 | |
| 2 | 不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃 | |
| 3 | ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃 | |
| 4 | ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃 | |
| 5 | オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃 | |
| 6 | 悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃 | |
| 7 | SNS への軽率な情報公開 インターネットモラル | |
| 8 | 紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント | |
| 9 | ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃 | |
| 10 | サービス妨害 ウイルス・ハッキングによるサイバー攻撃 | |
| 2013 | ||
| 1 | クライアントソフトの脆弱性を突いた攻撃 | |
| 2 | 標的型諜報攻撃 | |
| 3 | スマートデバイスを狙った悪意あるアプリの横行 | |
| 4 | ウイルスを使った遠隔操作 | |
| 5 | 金銭窃取を目的としたウイルスの横行 | |
| 6 | 予期せぬ業務停止 | |
| 7 | ウェブサイトを狙った攻撃 | |
| 8 | パスワード流出の脅威 | |
| 9 | 内部犯行 | |
| 10 | フィッシング詐欺 | |
| 2012 | ||
| 1 | 機密情報が盗まれる!?新しいタイプの攻撃 | ~情報窃取を目的とする標的型の諜報攻撃(APT)~ |
| 2 | 予測不能の災害発生!引き起こされた業務停止 | ~自然災害や人為的災害による IT システムの故障、業務データの消失~ |
| 3 | 特定できぬ、共通思想集団による攻撃 | ~社会変革をめざす共通的な思想を持つ集団による暴露・妨害攻撃~ |
| 4 | 今もどこかで…更新忘れのクライアントソフトを狙った攻撃 | ~標的型攻撃にも悪用されるクライアントソフトの脆弱性~ |
| 5 | 止まらない!ウェブサイトを狙った攻撃 | ~狙われ続けるウェブサイトの脆弱性~ |
| 6 | 続々発覚、スマートフォンやタブレットを狙った攻撃 | ~狙われる小さなパソコン-スマートデバイス~ |
| 7 | 大丈夫!?電子証明書に思わぬ落し穴 | ~電子証明書の管理不備により、引き起こされた問題~ |
| 8 | 身近に潜む魔の手・・・あなたの職場は大丈夫? | ~組織内部・関係者による業務妨害や情報漏えい~ |
| 9 | 危ない!アカウントの使いまわしが被害を拡大! | ~アカウント情報の管理不備が原因で発生するなりすまし被害~ |
| 10 | 利用者情報の不適切な取扱いによる信用失墜 | ~利用者との結びつきが強い情報(利用者情報)の取扱いに関する問題~ |
| 2011 | ||
| 1 | 「人」が起こしてしまう情報漏えい | |
| 2 | 止まらない!ウェブサイトを経由した攻撃 | |
| 3 | 定番ソフトウェアの脆弱性を狙った攻撃 | |
| 4 | 狙われだしたスマートフォン | |
| 5 | 複数の攻撃を組み合わせた新しいタイプの攻撃 | |
| 6 | セキュリティ対策丌備がもたらすトラブル | |
| 7 | 携帯電話向けウェブサイトのセキュリティ | |
| 8 | 攻撃に気づけない標的型攻撃 | |
| 9 | クラウド・コンピューティングのセキュリティ | |
| 10 | ミニブログサービスや SNS の利用者を狙った攻撃 | |
| 2010 | ||
| 1 | 変化を続けるウェブサイト改ざんの手口 | |
| 2 | アップデートしていないクライアントソフト | |
| 3 | 悪質なウイルスやボットの多目的化 | |
| 4 | 対策をしていないサーバ製品の脆弱性 | |
| 5 | あわせて事後対応を!情報漏えい事件 | |
| 6 | 被害に気づけない標的型攻撃 | |
| 7 | 深刻なDDoS攻撃 | |
| 8 | 正規のアカウントを悪用される脅威 | |
| 9 | クラウド・コンピューティングのセキュリティ問題 | |
| 10 | インターネットインフラを支えるプロトコルの脆弱性 | |
| 2009 | ||
| ■組織への脅威 | ||
| 1 | DNS キャッシュポイズニングの脅威 | |
| 2 | 巧妙化する標的型攻撃 | |
| 3 | 恒常化する情報漏えい | |
| ■利用者への脅威 | ||
| 1 | 多様化するウイルスやボットの感染経路 | |
| 2 | 脆弱な無線 LAN 暗号方式における脅威 | |
| 3 | 減らないスパムメール | |
| 4 | ユーザ ID とパスワードの使いまわしによる危険性 | |
| ■システム管理者・開発者への脅威 | ||
| 1 | 正規のウェブサイトを経由した攻撃の猛威 | |
| 2 | 誘導型攻撃の顕在化 | |
| 3 | 組込み製品に潜む脆弱性 | |
| 2008 | ||
| 1 | 高まる「誘導型」攻撃の脅威 | |
| 2 | ウェブサイトを狙った攻撃の広まり | |
| 3 | 恒常化する情報漏えい | |
| 4 | 巧妙化する標的型攻撃 | |
| 5 | 信用できなくなった正規サイト | |
| 6 | 検知されにくいボット、潜在化するコンピュータウイルス | |
| 7 | 検索エンジンからマルウェア配信サイトに誘導 | |
| 8 | 国内製品の脆弱性が頻発 | |
| 9 | 減らないスパムメール | |
| 10 | 組み込み製品の脆弱性の増加 | |
| 2007 | ||
| 1 | 漏えい情報のWinnyによる止まらない流通 | |
| 2 | 表面化しづらい標的型(スピア型)攻撃 | |
| 3 | 悪質化・潜在化するボット | |
| 4 | 深刻化するゼロデイ攻撃 | |
| 5 | ますます多様化するフィッシング詐欺 | |
| 6 | 増え続けるスパムメール | |
| 7 | 減らない情報漏えい | |
| 8 | 狙われ続ける安易なパスワード | |
| 9 | 攻撃が急増するSQLインジェクション | |
| 10 | 不適切な設定のDNSサーバを狙う攻撃の発生 | |
| 2006 | ||
| 1 | 事件化するSQLインジェクション | |
| 2 | Winnyを通じたウイルス感染による情報漏えいの多発 | |
| 3 | 音楽CDに格納された「ルートキットに類似した機能」の事件化 | |
| 4 | 悪質化するフィッシング詐欺 | |
| 5 | 巧妙化するスパイウェア | |
| 6 | 流行が続くボット | |
| 7 | ウェブサイトを狙うCSRFの流行 | |
| 8 | 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性 | |
| 9 | セキュリティ製品の持つ脆弱性 | |
| 10 | ゼロデイ攻撃 | |
| 2004 | ||
| 1 | ボット(botnet)の脅威 | |
| 2 | 変化し続けるコンピュータウイルスの脅威 | |
| 3 | フィッシング詐欺の脅威 | |
| 4 | サーバからの情報漏えいの脅威 | |
| 5 | 複数製品にまたがる脅威の増加 | |
| 6 | ウェブサイトの改ざんの脅威 | |
● まるちゃんの情報セキュリティ気まぐれ日記
こんにちは、丸山満彦です。
米国の連邦取引委員会が、プライバシーおよびデータ・セキュリティの法執行に関する協力強化のための多国間協定に署名をしていますね。。。
● Federal Trade Commission; FTC
・2024.01.17 FTC Signs on to Multilateral Arrangement to Bolster Cooperation on Privacy and Data Security Enforcement
| FTC Signs on to Multilateral Arrangement to Bolster Cooperation on Privacy and Data Security Enforcement | 米連邦取引委員会(FTC)、プライバシーおよびデータ・セキュリティの法執行に関する協力強化のための多国間協定に署名 |
| The Federal Trade Commission has agreed to participate in an international multilateral arrangement that will enable the agency to cooperate, provide assistance with investigations and share information with other privacy authorities around the world that participate in the program. | 米連邦取引委員会(FTC)は、国際的な多国間協定に参加することに合意した。この協定により、FTCは、同プログラムに参加する世界中のプライバシー当局と協力し、調査への支援を提供し、情報を共有することが可能になる。 |
| The FTC’s participation in the Global Cooperation Arrangement for Privacy Enforcement (Global CAPE) ensures the agency can keep pace with the increasingly global nature of commerce. The FTC’s participation in the nonbinding Global CAPE will help the agency to cooperate with other members of the organization on privacy and data security related law enforcement issues without having to negotiate a separate memorandum of understanding with each participant. | FTCがプライバシーの法執行のためのグローバルな協定 (Global CAPE)に参加することで、ますますグローバル化する商取引に対応することができる。FTCが拘束力のないGlobal CAPEに参加することで、FTCはプライバシーおよびデータ・セキュリティ関連の法執行問題について、各参加者と個別に覚書を取り交わすことなく、組織の他のメンバーと協力することができる。 |
| Global CAPE was created to supplement the Asian Pacific Economic Cooperation Cross-border Privacy Rules (APEC CBPR), which also facilitates cooperation and assistance in privacy and data security investigations among APEC’s Asian Pacific countries. The new arrangement will allow for participation by countries outside the Asia Pacific area. | Global CAPEは、アジア太平洋経済協力の国境を越えたプライバシー規則(APEC CBPR)を補完するために創設されたもので、APECのアジア太平洋諸国間のプライバシーとデータ・セキュリティの調査における協力と支援も促進している。この新しい取り決めにより、アジア太平洋地域以外の国も参加できるようになる。 |
| The Commission voted 3-0 to authorize staff to participate in the Global CAPE. | 同委員会は、グローバルCAPEへの参加を職員に認可することを3対0で決定した。 |
・[PDF] Global Cooperation Arrangement for Privacy Enforcement
・[DOCX] 仮訳
こんにちは、丸山満彦です。
英国の情報コミッショナー事務局 (Information Commissioner's Office; ICO) が生成的AIとプライバシーに関する論点についての意見募集を始めていますね。。。第1弾は、ウェブから学習データを収集する際に個人情報が含まれうるわけですが、それは法的にはどういうことか???
● U.K. Information Commissioner's Office; ICO
・2024.01.15 ICO consultation series on generative AI and data protection
生成的AIは新しい技術でもあり、そのメリットを享受するために社会に実装する際に、既存の法制度等との適合等を考える必要があるわけですが、検討すべき項目として、
ということがあるとしていますね。。。
今回は、「生成AIモデルを訓練するためのウェブスクレイピングの合法的根拠」についてのICOの考え方と、それに対する意見募集が行われていますね。。。
ICOの考え方については、、、
・2024.01.15 Generative AI first call for evidence: The lawful basis for web scraping to train generative AI models
| Generative AI first call for evidence: The lawful basis for web scraping to train generative AI models | 生成的AI最初の証拠募集: 生成的AIモデルを訓練するためのウェブスクレイピングの合法的基礎 |
| The background | 背景 |
| Collecting training data as part of the first stage of the generative AI lifecycle | 生成的AIライフサイクルの最初の段階としての訓練データの収集 |
| Developing a generative AI model involves several stages. The first steps are collecting and pre-processing the training data. The data is then used to train the base model. The base model is then fine-tuned for deployment in a specific context and its performance is evaluated. Regular feedback is provided for model improvement post-deployment. | 生成的AIモデルの開発にはいくつかの段階がある。最初の段階は、学習データの収集と事前学習である。次に、このデータを使ってベースモデルを訓練する。その後、ベースモデルは特定のコンテキストに展開するために微調整され、そのパフォーマンスが評価される。展開後のモデル改善のために、定期的なフィードバックが提供される。 |
| Figure 1: An indicative model development lifecycle. Some of the later steps may be interchangeable and iterative depending on the context. | 図1:モデル開発のライフサイクルを示す。この後のステップの一部は、文脈によって入れ替わったり、反復したりすることができる。 |
 |
|
| Training data for generative AI: what is it and where does it come from? | 生成的AIのための学習データ:それは何であり、どこから来るのか? |
| Most developers of generative AI rely on publicly accessible sources for their training data. Developers either collect training data directly through web scraping, indirectly from another organisation that have web-scraped data themselves, or by a mix of both approaches. In either approach, developers need to ensure the collection of the personal data they process to train models complies with data protection. | 生成的AIの開発者のほとんどは、学習データを一般にアクセス可能なソースに頼っている。開発者は、ウェブスクレイピングによって直接学習データを収集するか、ウェブスクレイピングしたデータを持つ他の組織から間接的に収集するか、あるいは両方のアプローチをミックスして収集する。いずれのアプローチにおいても、開発者はモデルを訓練するために処理する個人データの収集がデータ保護に準拠していることを確認する必要がある。 |
| What is web scraping? | ウェブスクレイピングとは何か? |
| Web scraping involves the use of automated software to ‘crawl’ web pages, gather, copy and/or extract information from those pages, and store that information (e.g. in a database) for further use. The information can be anything on a website – images, videos, text, contact details, etc. | ウェブスクレイピングとは、自動化されたソフトウェアを使用してウェブページを「クロール」し、それらのページから情報を収集、コピー、および/または抽出し、さらに使用するためにその情報を(データベースなどに)保存することである。情報とは、画像、動画、テキスト、連絡先など、ウェブサイト上のあらゆるものである。 |
| Information scraped from internet environments such as blogs, social media, forum discussions, product reviews and personal websites contains personal data that individuals have placed there. It is important to note the internet also contains information that was not placed there by the person to whom it relates (eg discussion forums, leaked information etc). | ブログ、ソーシャルメディア、フォーラムでの議論、製品レビュー、個人ウェブサイトなどのインターネット環境からスクレイピングされた情報には、個人がそこに置いた個人データが含まれている。インターネットには、その情報に関連する人物がそこに置いていない情報も含まれていることに注意することが重要である(例:ディスカッション・フォーラム、リーク情報など)。 |
| What are the possible lawful bases for collecting training data? | トレーニングデータ収集の合法的根拠にはどのようなものがあるか? |
| As part of complying with the lawfulness principle of data protection, developers need to ensure their processing: | データ保護の合法性原則を遵守する一環として、開発者はその処理を確実にする必要がある: |
| (a) is not in breach of any laws; and | (a) いかなる法律にも違反していない。 |
| (b) has a valid lawful basis under UK GDPR. | (b) 英国GDPRに基づく有効な合法的根拠がある。 |
| The first aspect (a) will not be met if the scraping of personal data infringes other legislation outside of data protection such as intellectual property or contract law. | 個人データのスクレイピングが、知的財産権や契約法など、データ保護以外の他の法律を侵害する場合、最初の側面(a)は満たされない。 |
| To address point (b) and determine a lawful basis, generative AI developers need to consider the six lawful bases set out in Article 6(1) UK GDPR. Based on current practices, five of the six lawful bases are unlikely to be available for training generative AI on web-scraped data. | (b)の点に対処し、合法的根拠を決定するために、生成的AI開発者は英国GDPR第6条(1)に規定されている6つの合法的根拠を検討する必要がある。現在の慣行に基づけば、6つの合法的根拠のうち5つは、ウェブスクレイピングされたデータで生成的AIを訓練する際に利用できる可能性は低い。 |
| For this reason, this call for evidence focuses on the legitimate interests lawful basis (Article 6(1)(f) of the UK GDPR), which may apply in some circumstances. To meet the legitimate interests basis, the controller must pass the ‘three-part’ test 1 and demonstrate that: | このため、今回の証拠募集では、状況によっては適用される可能性のある正当な利益の根拠(英国GDPR第6条1項(f))に焦点を当てる。正当な利益の根拠を満たすには、コントローラーは「3つのテスト」1に合格し、以下を実証しなければならない: |
| 1. the purpose of the processing is legitimate; | 1.処理の目的が正当である; |
| 2. the processing is necessary for that purpose; and | 2.処理がその目的のために必要である。 |
| 3. the individual’s interests do not override the interest being pursued. | 3.個人の利益は、追求される利益に優先しない。 |
| In more detail – ICO guidance on legitimate interest: | 詳しくは、正当な利益に関するICOのガイダンスを参照のこと: |
| Legitimate interests | 正当な利益 |
| Our analysis | 我々の分析 |
| Is legitimate interests a valid lawful basis for training generative AI models on web-scraped data? | 正当な利益は、ウェブスクレイピングされたデータで生成的AIモデルをトレーニングするための有効な合法的根拠となるか? |
| Legitimate interests can be a valid lawful basis for training generative AI models on web-scraped data, but only when the model’s developer can ensure they pass the three-part test. In order to do that they can undertake a variety of actions, which we will explore below. | 正当な利益は、ウェブスクレイピングされたデータで生成的AIモデルを訓練するための有効な合法的根拠となり得るが、モデルの開発者が3つのテストに合格することを保証できる場合に限られる。そのために、開発者は様々な行動をとることができる。 |
| Purpose test: is there a valid interest? | 目的テスト:有効な関心はあるか? |
| As controllers for the generative AI model training, developers need to identify a legitimate interest for processing the web-scraped personal data in the first place. Despite the many potential downstream uses of a model, they need to frame the interest in a specific, rather than open-ended way, based on what information they can have access to at the time of collecting the training data. | 生成的AIモデル学習のコントローラーとして、開発者はそもそもウェブスクレイピングされた個人データを処理する正当な利益を特定する必要がある。モデルの下流での使用には多くの可能性があるにもかかわらず、開発者は、トレーニングデータの収集時にアクセス可能な情報に基づき、自由形式ではなく、具体的な方法で利益を設定する必要がある。 |
| The developer’s interest could be the business interest in developing a model and deploying it for commercial gain, either on their own platform or bringing it into the market for third parties to procure. There may also be wider societal interests related to the applications that the models could potentially power – but in order to rely on these the developer must be able to evidence the model’s specific purpose and use. | 開発者の関心とは、モデルを開発し、商業的利益を得るために、自社のプラットフォームで、あるいはサードパーティが調達できるように市場に導入することである。また、モデルが潜在的に力を発揮しうるアプリケーションに関連する、より広範な社会的利益もありうる。しかし、これらに依拠するためには、開発者はモデルの特定の目的と用途を証明できなければならない。 |
| The key question is this: if you don’t know what your model is going to be used for, how can you ensure its downstream use will respect data protection and people’s rights and freedoms? | 重要なのは次のような点である。もし自分のモデルが何に使われるのかわからないのであれば、その川下での利用がデータ保護と人々の権利と自由を尊重するものであることをどうやって保証できるのか? |
| Developers who rely on broad societal interests need to ensure that those interests are actually being realised rather than assumed, by applying appropriate controls and monitoring measures on the use of the generative AI models they build on web-scraped data. | 広範な社会的利益に依存する開発者は、ウェブスクレイピングされたデータに基づいて構築された生成的AIモデルの使用に適切なコントロールと監視手段を適用することで、それらの利益が仮定されたものではなく、実際に実現されていることを保証する必要がある。 |
| Necessity test: is web scraping necessary given the purpose? | 必要性テスト:ウェブスクレイピングは目的から見て必要か? |
| The necessity test is a factual assessment that asks whether the processing is necessary to achieve the interest identified in the purpose test. The ICO’s understanding is that currently, most generative AI training is only possible using the volume of data obtained though large-scale scraping. | 必要性テストは、目的テストで特定された利益を達成するために処理が必要かどうかを問う事実評価である。ICOの理解では、現在、ほとんどの生成的AIのトレーニングは、大規模なスクレイピングによって得られる大量のデータを用いてのみ可能である。 |
| Even though future technological developments may provide novel solutions and alternatives, currently there is little evidence that generative AI could be developed with smaller, proprietary databases. We welcome views on this point. | 将来の技術開発が斬新な解決策や代替策を提供する可能性があるとしても、現在のところ、生成的AIが小規模な独自のデータベースを用いて開発できるという証拠はほとんどない。この点に関する意見を歓迎する。 |
| Balancing test: do individuals’ rights override the interest of the generative AI developer? | バランステスト:個人の権利は生成的AI開発者の利益に優先するか? |
| If a controller has established there is a legitimate purpose is using web-scraped data for generative AI training, and the processing is necessary for that purpose, the final step is to assess the impact on individuals and identify whether the interests, rights and freedoms of those individuals override those pursued by the controller or third parties. | コントローラーが、生成的AIのトレーニングのためにウェブスクレイピングされたデータを使用することに正当な目的があり、その目的のために処理が必要であることを立証した場合、最後のステップは、個人への影響を評価し、それらの個人の利益、権利、自由が、コントローラーまたはサードパーティが追求するものに優先するかどうかを特定することである。 |
| Collecting data though web-scraping is an ‘invisible processing’ activity, where people are not aware their personal data is being processed in this way. This means people may lose control over how and what organisations process their personal data or become unable to exercise the information rights granted by UK data protection law. Invisible processing and AI related processing are both seen as high-risk activities that require a DPIA under ICO guidance.2 | ウェブスクレイピングによるデータ収集は「目に見えない処理」であり、人々は自分の個人データがこのように処理されていることに気づかない。つまり、人々はどの組織がどのように個人データを処理しているのかコントロールできなくなったり、英国のデータ保護法で認められている情報の権利を行使できなくなったりする可能性がある。目に見えない処理とAIに関連する処理は、ICOのガイダンスのもと、DPIAを必要とする高リスクの活動とみなされている2。 |
| How do individuals’ interests play out in the balancing test? | 個人の利益はどのようにバランステストに反映されるのか? |
| There is a growing literature on the risks and harms of generative AI models. 3, 4 Individuals whose data is scraped for generative AI development can experience harm, either related to the collection of the training data or because of the use of the generative AI model. These harms can manifest in two ways: | 生成的AIモデルのリスクと有害性に関する文献は増えている3, 4。3, 4 生成的AI開発のためにデータをスクレイピングされた個人は、学習データの収集に関連して、あるいは生成的AIモデルの使用のために、被害を経験する可能性がある。これらの危害は2つの方法で現れる可能性がある: |
| Upstream risks and harms: For example, people may lose of control over their personal data, 5 as they are not informed of its processing and therefore are prevented from exercising their information rights or evaluate the impact of that processing on them, including its fairness. | 上流リスクと危害: 例えば、人々は自分の個人データに対するコントロールを失う可能性がある。5 というのも、人々はその処理について知らされていないため、情報の権利を行使したり、その処理の公正さを含む自分への影響を評価したりすることができないからである。 |
| Downstream risks and harms: For example, generative AI models can be used to generate inaccurate information about people 6 resulting in distress 7 , 8 or reputational harm, be used by hackers 9 deploying social engineering tactics to generate phishing emails 10 tailored to individuals or undertake other adversarial attacks 11. | 下流のリスクと危害: 例えば、生成的AIモデルは、人々に関する不正確な情報を生成するために使用され、その結果、苦痛7、8や風評被害をもたらしたり、ソーシャル・エンジニアリング戦術を展開するハッカー9に使用され、個人に合わせたフィッシング・メール10を生成したり、その他の敵対的攻撃11を行ったりする可能性がある。 |
| Further reading | さらに読む |
| What are the individual’s ‘interests, rights and freedoms’? | 個人の「利益、権利、自由」とは何か? |
| What is the importance of reasonable expectations? | 合理的な期待の重要性とは何か? |
| Risk mitigations to consider in the balancing test | バランステストにおいて考慮すべきリスク低減 |
| There are a number of considerations that may help generative AI developers pass the third part of the legitimate interests test, relevant to both the development and deployment of a model. | 生成的AI開発者が正当な利益テストの3番目の部分をパスするのに役立つかもしれない考慮事項が、モデルの開発と展開の両方に関連していくつかある。 |
| The extent to which generative AI developers can mitigate downstream harms during deployment depends on the way in which the models are put into the market. | 生成的AI開発者が展開中に下流の損害をどの程度軽減できるかは、モデルが市場に投入される方法に依存する。 |
| Generative AI models deployed by the initial developer | 最初の開発者によって導入された生成的AIモデル |
| Where a generative AI model developer deploys the model on its own platform, the expectation is they can exercise complete control over how the generative AI model is used. If the developer relies on the public interest of the wider society for the first part of the test, in order to pass the entire test they should still be able to: | 生成的AIモデルの開発者が自身のプラットフォーム上にモデルを展開する場合、生成的AIモデルがどのように使用されるかを完全にコントロールできることが期待される。もし開発者がテストの最初の部分でより広い社会の公益に依存していたとしても、テスト全体に合格するためには、開発者は以下のことができるはずである: |
| control and evidence whether the generative AI model is actually used for the stated wider societal benefit; | 生成的AIモデルが、より広い社会の利益のために実際に使用されるかどうかをコントロールし、証明する; |
| assess risks to individuals (both in advance during generative AI development and as part of ongoing monitoring post-deployment); and | 個人に対するリスクアセスメント(生成的AI開発中、および導入後の継続的モニタリングの一環として)。 |
| implement technical and organisational measures to mitigate risks to individuals. | 個人に対するリスクを低減するための技術的・組織的措置を実施すること。 |
| Generative AI models deployed by a third-party (not the initial developer), through an API | (最初の開発者ではない)サードパーティによりAPIを通じて展開された生成的AIモデル |
| Another route to generative AI model deployment is for the developer to make the model available via an API to a third-party. In this context, the third party does not have their own copy of the underlying generative AI model but can query it through the API, feeding into it their own data. This is sometimes referred to as a ‘closed-source’ approach. | 生成的AIモデル展開のもう一つのルートは、開発者がAPIを通じてサードパーティにモデルを提供することである。この場合、サードパーティは基盤となる生成的AIモデルの独自のコピーを持たないが、APIを通じてクエリーを実行し、独自のデータを投入することができる。これは「クローズド・ソース」アプローチと呼ばれることもある。 |
| In this case, the initial generative AI developer can seek to ensure that the third party’s deployment is in line with the legitimate interest identified at the generative AI training phase, by implementing technical (eg output filters, etc) and organisational controls over that specific deployment. | この場合、最初の生成的AI開発者は、サードパーティの展開が、生成的AIのトレーニング段階で特定された正当な利益に沿ったものであることを、その特定の展開に対して技術的(例えば出力フィルタなど)および組織的な管理を実施することで保証しようとすることができる。 |
| For example, API access can be used to limit queries (preventing those likely to result in risks or harms to individuals) and to monitor the use of the model. Contractual restrictions and measures could also be used to support this, with the developer legally limiting the ways in which the generative AI model can be used by its customers. We are interested in hearing more about mitigation measures and how their efficacy is evaluated and documented. | 例えば、APIアクセスは、クエリーアクセスの制限(個人へのリスクや危害をもたらす可能性の高いクエリーの防止)やモデルの使用の監視に使用することができる。契約上の制限や措置も、これをサポートするために使用することができ、開発者は生成的AIモデルがその顧客によって使用される方法を法的に制限することができる。我々は、低減策と、その有効性がどのように評価され文書化されるかについて、より多くの情報を得たいと考えている。 |
| Generative AI models provided to third parties | 生成的AIモデルのサードパーティへの提供 |
| If copies or extensive details (eg model weights, starting code, etc) of the underlying generative AI models are made available by the initial developer to third parties, developers are expected to have much less control over how the model will be used downstream. In these cases (sometimes referred to as an ‘open-source’ approach), customers typically run their own instance of the generative AI model. | 基礎となる生成的AIモデルのコピーまたは広範な詳細(モデルの重み、開始コードなど)が、最初の開発者によってサードパーティに提供される場合、開発者はモデルが下流でどのように使用されるかについて、あまりコントロールできないと予想される。このような場合(「オープンソース」アプローチと呼ばれることもある)、顧客は通常、生成的AIモデルの独自のインスタンスを実行する。 |
| Where the generative AI model has the capacity to be implemented in unlimited variety of downstream applications, its initial developers may not be able to restrict or monitor how the model is used and therefore its impact. This means they may have no way of knowing whether the potential broad societal interest identified at the initial training stage is being realised in practice. Additionally, where the third-party’s use of the model is unrestricted, articulating clearly and with precision the broad societal interest of developing the initial model could become extremely difficult, as the developer may not meaningfully know or monitor how the model will be used. | 生成的AIモデルが無制限に様々な下流アプリケーションに展開できる能力を持つ場合、その最初の開発者は、モデルがどのように使用され、その結果どのような影響を与えるかを制限したり監視したりすることができない可能性がある。このことは、最初の訓練段階で特定された潜在的な広範な社会的関心が、実際に実現されているかどうかを知る方法がない可能性があることを意味する。加えて、サードパーティによるモデルの利用が制限されない場合、 開発者はモデルがどのように利用されるかを有意義に知ることも監視す ることもできないため、最初のモデルを開発することによる広範な社会的利益を 明確かつ正確に表現することが極めて困難になる可能性がある。 |
| Contractual controls may mitigate this risk, though the developer would also need to evidence that any such controls are being complied with in practice" | 契約による管理はこのリスクを軽減するかもしれないが、開発者は、そのような管理が実 際に遵守されていることを証明する必要もある。 |
| Conclusion | 結論 |
| Training generative AI models on web scraped data can be feasible if generative AI developers take their legal obligations seriously and can evidence and demonstrate this in practice. | 生成的AI開発者が法的義務を真摯に受け止め、それを実際に証明することができれば、ウェブスクレイピングされたデータで生成的AIモデルをトレーニングすることは実現可能である。 |
| Key to this is the effective consideration of the legitimate interest test. Developers using web scraped data to train generative AI models need to be able to: | その鍵となるのは、合法的利益テストを効果的に考慮することである。生成的AIモデルの学習にウェブスクレイプデータを使用する開発者は、以下のことができる必要がある: |
| ・Evidence and identify a valid and clear interest. | ・有効かつ明確な利益を証明し、特定する。 |
| ・Consider the balancing test particularly carefully when they do not or cannot exercise meaningful control over the use of the model. | ・モデルの使用について意味のあるコントロールを行わない、または行えない場合は、特にバランステストを慎重に検討する。 |
| ・Demonstrate how the interest they have identified will be realised, and how the risks to individuals will be meaningfully mitigated, including their access to their information rights. | ・特定した利益がどのように実現されるのか、また、個人の情報権利へのアクセスを含め、個人に対するリスクがどのように有意義に低減されるのかを実証する。 |
1 What is the legitimate interests basis?
2 Examples of processing ‘likely to result in high risk’
3 Evaluating social and ethical risks from generative AI - Google DeepMind
5 OpenAI, Google, and Meta used your data to build their AI systems - Vox
6 Six Risks Of Generative AI (forbes.com)
9 AI: a new tool for cyber attackers — or defenders? - ft.com
10 ChatGPT tool could be abused by scammers and hackers - BBC News
こんにちは、丸山満彦です。
ドイツの連邦情報セキュリティー局 (Bundesamt für Sicherheit in der Informationstechnik; BSI) が、強化学習のセキュリティ概要という簡単な報告書を公表していますね。。。
AIのセキュリティというのは最近よく見るようになりましたが、強化学習にしぼった(^^)のは、珍しいかなぁと思いました。。。そして、なんとドイツ語ではなく英語の報告書です(^^)
● Bundesamt für Sicherheit in der Informationstechnik; BSI
・2024.01.16 Neues Whitepaper 'Reinforcement Learning Security in a Nutshell' veröffentlicht
・[PDF] Reinforcement Learning Security in a Nutshell
目次...
| Reinforcement Learning Security in a Nutshell | 強化学習のセキュリティ概要 |
| Table of Contents | 目次 |
| 1 Introduction | 1 序文 |
| 1.1 Concept of Reinforcement Learning | 1.1 強化学習の概念 |
| 1.2 Outline | 1.2 概要 |
| 2 Importance of Classical IT Security | 2 古典的ITセキュリティの重要性 |
| 3 Reward Minimization Attacks | 3 報酬最小化攻撃 |
| 3.1 Robustness | 3.1 堅牢性 |
| 3.2 Attacks at Training Time | 3.2 訓練時の攻撃 |
| 3.3 Attacks at Deployment | 3.3 配備時の攻撃 |
| 3.4 Defences | 3.4 防御 |
| 4 Policy Injection | 4 ポリシー・インジェクション |
| 4.1 Attacks at Training Time | 4.1 トレーニング時の攻撃 |
| 4.2 Attacks at Deployment | 4.2 展開時の攻撃 |
| 4.3 Defences | 4.3 防御 |
| 5 Privacy Attacks | 5 プライバシー攻撃 |
| 5.1 Attacks at Deployment | 5.1 配備時の攻撃 |
| 5.2 Defences | 5.2 防御 |
| 6 Conclusion | 6 まとめ |
| Bibliography | 参考文献 |
本文...
| 1 Introduction | 1 序文 |
| In this whitepaper, we give a compact overview of possible attacks on Reinforcement Learning systems as well as corresponding defences. The document is targeted at developers of artificial intelligence systems and experts assessing the security of such systems, especially those focused on Reinforcement Learning. Its goal is to sensitize for possible attack vectors and to present possible defences, without going into too much technical detail. The document can be used as a substantive basis for a risk analysis. | このホワイトペーパーでは、強化学習システムに対する攻撃の可能性と、それに対応する防御策をコンパクトに概観する。この文書は、人工知能システムの開発者と、そのようなシステム、特に強化学習に焦点を当てたシステムのセキュリティを評価する専門家を対象としている。このドキュメントの目的は、可能性のある攻撃ベクトルに対して注意を喚起し、可能性のある防御策を提示することである。この文書は、リスク分析の実質的な基礎として使用することができる。 |
| 1.1 Concept of Reinforcement Learning | 1.1 強化学習の概念 |
| Reinforcement Learning is, like Supervised and Unsupervised Learning, a popular technique in Machine Learning. It can be interpreted as a sort of feedback loop between an acting agent and its environment. This is typically modeled as a fully or partially observable Markov Decision Process. Such a process is defined by a state space 𝑆 containing all possible states of the system, an action space 𝐴 containing every action, a transition function 𝑃, which can be probabilistic and describes how a state changes under a given action, and finally a reward function 𝑅, defining the rewards for state-action pairs. In this document, we will sometimes denote the agent as the model, while system means the complete feedback loop. | 強化学習は教師あり学習や教師なし学習と同様、機械学習でよく使われる手法である。強化学習は、行動するエージェントとその環境との間の一種のフィードバック・ループと解釈することができる。これは通常、完全または部分的に観測可能なマルコフ決定過程としてモデル化される。このようなプロセスは、システムのすべての可能な状態を含む状態空間𝑆、すべてのアクションを含むアクション空間𝐴、確率的であることができ、与えられたアクションの下で状態がどのように変化するかを記述する遷移関数𝑃、そして最後に、状態とアクションのペアの報酬を定義する報酬関数𝑅によって定義される。本書では、エージェントをモデル、システムを完全なフィードバックループと呼ぶ。 |
| In image 1, this feedback loop is schematically pictured, with the transition function P, the reward function R and π denominating the agent’s policy (the dashed line denotes a jump in time, see index of the states and rewards). The goal of Reinforcement Learning is to find a policy, that performs optimally, or close to optimally, in this environment. This means maximizing the return, which is usually a weighted sum of all rewards ∑𝑡 𝛾𝑡𝑟𝑡, with rewards 𝑟 and weights 𝛾. Implied in this is the fact, that Reinforcement Learning learns strategies that have temporal cohesion, contrary to typical classifiers. Famous applications include chess engines, robotics or autonomous driving. | イメージ1では、このフィードバックループを、遷移関数P、報酬関数R、エージェントのポリシーを表すπで模式的に描いている(破線は時間ジャンプを表し、状態と報酬のインデックスを参照)。強化学習のゴールは、この環境で最適な、あるいは最適に近いパフォーマンスをするポリシーを見つけることである。これは、通常、報酬ᵅと重み𝑡を持つすべての報酬∑𝑡の重み付き合計であるリターンを最大化することを意味する。このことは、強化学習が、典型的な分類器とは逆に、時間的なまとまりを持つ戦略を学習するという事実を暗示している。有名な応用例としては、チェスのエンジン、ロボット工学、自律走行などがある。 |
| 1: Reinforcement Learning Scheme | 1: 強化学習スキーム |
| Security for Reinforcment Learning has, of course, an overlap with general AI security. Many concepts are similar and some of the general attacks also apply to Reinforcement Learning systems. While this document is intended to be self contained, for a more detailed and thourough understanding it is advisable to also read an overview on general AI specific attacks and defences, which is for example given in the detailed publication of BSI (BSI, 2022) or the more concise publication (BSI, 2023). | 強化学習のセキュリティは、もちろん一般的なAIのセキュリティと重なる部分がある。多くの概念は類似しており、一般的な攻撃のいくつかは強化学習システムにも当てはまる。本書は自己完結を意図しているが、より詳細かつ徹底的な理解のためには、例えばBSIの詳細な出版物(BSI、2022)や、より簡潔な出版物(BSI、2023)に記載されている、一般的なAI特有の攻撃と防御に関する概要も読むことが望ましい。 |
| 1.2 Outline | 1.2 概要 |
| In the following, we categorize three different types of attacks, which are defined by the goal an attacker aims to reach. | 以下では、攻撃者が到達しようとする目標によって定義される3つの異なるタイプの攻撃を分類する。 |
| • Attacks to minimize the return. These attacks aim to decrease the performance, which is measured by the return, and thereby the usefulness of the system. | ・リターンを最小化する攻撃。これらの攻撃は,リターンによって測定されるパフォーマンスを低下させること,ひいてはシステムの有用性を低下させることを目的としている。 |
| • Policy injection attacks, in contrast, do not care as much about the return but rather aim to make the agent follow a specific policy. A relaxed form of this attack is given, when the attacker just aims for the system to reach a specific state. | ・対照的に,ポリシーインジェクション攻撃は,リターンをあまり気にせず,むしろエージェントを特定のポリシーに従わせることを目的とする。攻撃者が単にシステムが特定の状態に到達することを目的とする場合,この攻撃の緩やかな形が与えられる。 |
| • Attacks that try to extract information from the system. On the one hand, this can be critical data that is used in the training, like e.g. in healthcare applications. On the other hand, the models themselves might get copied, which can hold economical value. | ・システムから情報を抽出しようとする攻撃。一方では,例えばヘルスケアアプリケーションのように,トレーニングに使用される重要なデータである可能性がある。一方では,モデル自体がコピーされる可能性があり,経済的な価値を持つこともある。 |
| For each of these attack types, we present possible defences. | これらの攻撃の種類ごとに、可能な防御策を示す。 |
| Note, that there is no guarantee that the presented defences work against every possible attack and are suited for every possible situation. The document merely provides a broad overview about some of the possibilities, and special care has to be taken when applying these suggestions in a real world application. The document is intended as a basis to start thinking about security risks of Reinforcement Learning and mitigate them. It is important to stress, that the application of defences might have negative consequences on the performance of the agent and hence careful trade offs have to be made. | 提示された防御策が、起こりうるすべての攻撃に対して有効であり、起こりうるすべての状況に適しているという保証はないことに注意されたい。この文書は、単に可能性のいくつかについて大まかな概要を提供するものであり、これらの提案を実世界のアプリケーションに適用する際には、特別な注意を払う必要がある。この文書は、強化学習のセキュリティリスクについて考え始め、それらを低減するための基礎として意図されている。防御を適用することは、エージェントのパフォーマンスに否定的な結果をもたらす可能性があり、したがって、慎重なトレードオフが必要であることを強調することが重要である。 |
| To get a deeper understanding of this important topic, we advise the reader to read further into the relevant literature. Surveys about security in Reinforcement Learning, such as for example (Demontis, et al., 2022) or (Lei, et al., 2023), serve as an additional starting point and give more technical details on certain topics. Note, that this is an actively researched field, and new findings are frequent. | この重要なトピックをより深く理解するために、読者には関連する文献をさらに読むことを勧める。例えば(Demontis、et al.、2022)や(Lei、et al.、2023)のような強化学習におけるセキュリティに関するサーベイは、追加の出発点として役立ち、特定のトピックについてより技術的な詳細を与えてくれる。これは活発に研究されている分野であり、新しい発見が頻繁にあることに留意されたい。 |
| 2 Importance of Classical IT Security | 2 古典的ITセキュリティの重要性 |
| Reinforcement Learning has some unique attack angles that we will present in this guide. However, Reinforcement Learning agents are by design always embedded into a larger IT system. At the very least, it possesses an interface with the environment. Typically, a Reinforcement Learning system includes | 強化学習には、このガイドで紹介するいくつかのユニークな攻撃方法がある。しかし、強化学習エージェントは、設計上、常に大きなITシステムに組み込まれている。少なくとも、環境とのインターフェースを持っている。通常、強化学習システムには以下が含まれる。 |
| • the action interface between the agent and the environment, i.e. the output of the agent is sent as the input for the environment, | ・エージェントと環境の間のアクションインターフェース、つまり、エージェントの出力が環境の入力として送られる |
| • the state interface , i.e. an output of the environment is sent as an input for the agent, and • the reward interface, also an output of the environment that is sent as an input for the agent. | ・状態インターフェイス,つまり環境の出力がエージェントの入力として送られる,そして報酬インターフェイス,これも環境の出力がエージェントの入力として送られる。 |
| Because of this, a holistic security approach is essential, and classical IT security is an important factor in the security of AI systems that can provide an additional layer of defence. | このため、全体的なセキュリティ・アプローチが不可欠であり、古典的なITセキュリティは、AIシステムのセキュリティにおいて、追加の防御層を提供できる重要な要素である。 |
| Especially important is the security of the aforementioned interfaces, which needs to be taken into account when analysing the overall security of a Reinforcement Learning system. This can prevent e.g. man-in-themiddle attacks by denying access to unauthorized users. Changes in the in- and output of the AI agent can be fatal, so firewalls, strict user management and physical access management can be an important part of the security measures. | 特に重要なのは、前述の輸入事業者のセキュリティであり、強化学習システムの全体的なセキュリティを分析する際に考慮する必要がある。これは、権限のないユーザーのアクセスを拒否することで、例えば中間者攻撃を防ぐことができる。AIエージェントのインプットとアウトプットの変更は致命的となりうるので、ファイアウォール、厳格なユーザー管理、物理的なアクセス管理は、セキュリティ対策の重要な一部となりうる。 |
| These measures are also useful techniques against privacy attacks. A sophisticated defence against attacks to extract the model by making queries is useless, if an attacker can get access to the model data and copy them from the hardware. Good documentation and the logging of system operations to check for anomalies in usage or system behaviour are useful security measure, too. An emergency plan in case of an attack or corruption of data should be in place. | これらの対策は、プライバシー攻撃に対する有効なテクニックでもある。クエリーアクセスによってモデルを抽出する攻撃に対する高度な防御も、攻撃者がモデルデータにアクセスしてハードウェアからコピーすることができれば意味がない。使用状況やシステムの動作に異常がないかチェックするための、適切な文書化とシステム操作のロギングも、有用なセキュリティ対策である。攻撃やデータの破損が発生した場合の緊急対策も講じておく必要がある。 |
| In addition, public models can contain backdoors or other intrinsic security risks, so one needs to be cautious when using pretrained models. This also applies for training environments or reward functions, which are used in training. | さらに、公開モデルにはバックドアやその他の本質的なセキュリティリスクが含まれている可能性があるため、事前学習済みモデルの使用には注意が必要である。これは、トレーニング環境や、トレーニングに使用される報酬機能にも当てはまる。 |
| Overall, classical IT security is a wide field, adresses many topics and we will not go into detail here. In the IT-Grundschutz (BSI, 2022) there can be found in-depth recommendations by the BSI. Often, AI systems are embedded in a cloud environment, which then also makes measures of Cloud security important. Similar to classical IT security, the BSI provides guidelines for Cloud security (BSI, 2020), and even specifically tailored for AI (BSI, 2021). | 全体として、古典的なITセキュリティは広い分野であり、多くのトピックを扱っているため、ここでは詳細には触れない。IT-Grundschutz(BSI、2022年)には、BSIによる詳細な勧告がある。多くの場合、AIシステムはクラウド環境に組み込まれるため、クラウドセキュリティ対策も重要になる。従来のITセキュリティと同様に、BSIはクラウドセキュリティのガイドラインをプロバイダとして提供しており(BSI、2020)、特にAI向けにカスタマイズされている(BSI、2021)。 |
| 3 Reward Minimization Attacks | 3 報酬最小化攻撃 |
| The first class of attacks we want to look at are attacks that aim at causing a poor agent performance. Thus, they may in practice be considered as attacks on the availability of the system, as it is not usable when minimizing the return. | 最初の攻撃は、エージェントのパフォーマンスを低下させることを目的とした攻撃である。したがって、実際には、報酬を最小化する際にシステムが使用できないため、システムの可用性に対する攻撃とみなすことができる。 |
| Some examples of such attacks are: | そのような攻撃の例をいくつか挙げる: |
| • A Reinforcement Learning agent is used to manage cybersecurity tools. During training, the reward is large when an intrusion is defended. By minimizing the rewards, an attacker can influence the agent such that the system allows intrusion. | ・強化学習エージェントがサイバーセキュリティツールの管理に使われる。訓練中,侵入を防御したときの報酬は大きい。報酬を最小化することで,攻撃者はシステムが侵入を許すようにエージェントに影響を与えることができる。 |
| • An autonomous robot is controlled by Reinforcement Learning. The reward is coupled to desirable behaviour, such as staying on the correct path or doing planned procedures. By changing the camera inputs of the robot, a fatal misbehaviour is provoked that can destroy the robot and damage the surroundings. This trajectory of states has, of course, an overall low return. | ・自律ロボットは強化学習によって制御される。報酬は,正しい経路に留まるとか,計画された手順を実行するといった望ましい行動と結びついている。ロボットのカメラ入力を変更することで,ロボットを破壊し周囲に損害を与える致命的な誤動作が誘発される。このような状態の軌跡は,もちろん全体的にリターンが少ない。 |
| Closely related to this type of attack is the notion of robustness, which we will briefly explain in the following subsection. Afterwards, we provide an overview of the attacks separated by the life cycle phase they happen at, i.e. if the attacks occur during training phase or operation. Lastly, we outline possible defences. The subsequent chapters follow a similar structure. | この種の攻撃と密接に関連するのが堅牢ネス(頑健性)という概念である。その後に、攻撃が発生するライフサイクルのフェーズ、つまりトレーニング中か運用中かに分けて、攻撃の概要を説明する。最後に、可能な防御策を概説する。以降の章も同様の構成に従う。 |
| 3.1 Robustness | 3.1 堅牢性 |
| Robustness is a broad concept that occurs, for example, in control theory. It describes how well a system performs under unexpected circumstances. Classically, it is used to describe how a model reacts to general errors and measurement uncertainties. These are naturally occuring phenomena, but it is easy to see how this concept can also be useful in the context of cybersecurity. A system that is robust against natural phenomena is probably more robust against tampering from an attacker than a model that is not robust against these phenomena. | 堅牢性は、例えば制御理論に見られるような幅広い概念である。予期せぬ状況下でシステムがどの程度うまく機能するかを表す。古典的には、一般的な誤差や計測の不確実性に対してモデルがどのように反応するかを説明するために使われる。これらは自然に発生する現象であるが、この概念がサイバーセキュリティの文脈でも有用であることは容易に理解できる。自然現象に対して堅牢なシステムは、おそらく攻撃者からの改ざんに対して、これらの現象に対して堅牢でないモデルよりも堅牢である。 |
| As we will see in section 3.4, most defence mechanisms against reward minimization aim to increase the robustness of the Reinforcement Learning model. However, a drawback of robustness is that it typically comes with a price. A model that produces an optimal return in training is usually not robust and increasing robustness often leads to suboptimal performances. | セクション3.4で見るように、報酬最小化に対するほとんどの防御メカニズムは、強化学習モデルの頑健性を高めることを目的としている。しかし、堅牢性の欠点は、一般的に代償を伴うことである。訓練で最適なリターンを生み出すモデルは通常堅牢ではなく、堅牢性を高めるとしばしば最適以下のパフォーマンスになる。 |
| In the following, only an intuitive understanding of robustness is required. For a more detailed definition and a method to estimate robustness, which can be useful to find weaknesses of the model, we refer the reader to (Korkmaz, et al., 2023). The source focuses on Deep Reinforcement Learning, i.e. Reinforcement Learning that uses Deep Neural Networks, which are one of the most important types of Reinforcement Learning. | 以下では、堅牢性の直感的な理解のみを必要とする。より詳細な定義と、モデルの弱点を見つけるのに有用な堅牢ネスの推定方法については、(Korkmaz、et al.、2023)を参照されたい。この情報源は、ディープ強化学習、すなわち、強化学習の最も重要なタイプの一つであるディープ・ニューラル・ネットワークを用いた強化学習に焦点を当てている。 |
| 3.2 Attacks at Training Time | 3.2 訓練時の攻撃 |
| Attacks at training time focus on changing some value of the Markov Decision Process to sabotage the training. Due to the nature of the process, changing any value, e.g. the action or the communicated state, can cascade through the feedback loop and have a profound influence. Typical attack vectors are: | 訓練時の攻撃は、マルコフ決定過程の何らかの値を変更し、訓練を妨害することに焦点を当てる。マルコフ決定過程の性質上、アクションやコミュニケーション状態など、どの値を変更してもフィードバックループに連鎖し、大きな影響を与える。典型的な攻撃ベクトルは以下の通りである: |
| • Changing the reward function by direct access is the most obvious attack. For example, just changing the sign of the reward function typically leads to a considerably worse policy. | ・ 直接アクセスによって報酬機能を変更することは、最も明白な攻撃である。例えば、報酬関数の符号を変えるだけで、通常はかなり悪いポリシーになる。 |
| • Changing the actions or the observed states might also lead to a worse performance. In order to explicitly minimize the rewards, white box knowledge of the system is beneficial. However, even without detailed knowledge, attackers might achieve a decrease in return. | ・行動や観測された状態を変更することも,パフォーマンスの悪化につながる可能性がある。報酬を明示的に最小化するためには,システムのホワイトボックス知識が有益である。しかし,詳細な知識がなくても,攻撃者はリターンの減少を達成できるかもしれない。 |
| • If the attacker has access to the training environment, a change in the transition function can lead to similar effects as outlined before. | ・攻撃者がトレーニング環境にアクセスできる場合,遷移関数を変更することで,先に概説したのと同様の効果が得られる。 |
| A potential method an attacker might use to implement the aforementioned changes involves an adversarial agent during training to sabotage the system. | 攻撃者が前述の変更を実行するために使用する可能性のある方法として、訓練中に敵対的なエージェントがシステムを妨害することがある。 |
| 3.3 Attacks at Deployment | 3.3 展開時の攻撃 |
| Since training is sometimes performed in a secure or isolated setup, the attack surface during deployment might be larger. | 訓練は安全な、あるいは隔離された環境で行われることがあるため、配備時の攻撃対象は より大きくなる可能性がある。 |
| In this phase, the attacker needs to overrule or trick an existing policy. This can be done, similar to the methods seen in the last subsection, by altering or influencing the actions, the observed states or the transition probabilities. The rewards do not play a role in the operation phase anymore, as they are only used to train the Reinforcement Learning model. | この段階では、攻撃者は既存のポリシーを覆すか、騙す必要がある。これは、最後のサブセクションで見た方法と同様に、アクション、観測された状態、または遷移確率を変更または影響を与えることによって行うことができる。報酬は強化学習モデルの学習に使われるだけなので、操作フェーズではもう役割を果たさない。 |
| The attacks in this category are typically a type of adversarial attack. Adversarial attacks, generally speaking, aim to change the output of the AI agent by changing the input, see (BSI, 2023). Often, the change is unnoticeable to the human eye, e.g. in the form of a slight noise. As in other artificial intelligence models, gradient methods can often be used to find adversarial examples, see e.g. (Evasion attacks against machine learning at test time, ECML PKDD, 2013), (Adversarial Attacks on Neural Network Policies, 2017) or (Characterizing Attacks on Deep Reinforcement Learning, 2022). | このカテゴリーの攻撃は、典型的には敵対的攻撃の一種である。敵対的攻撃は、一般的に言って、入力を変更することによってAIエージェントの出力を変更することを目的としている。多くの場合、その変化は人間の目には気づかれない、例えばわずかなノイズのような形である。他の人工知能モデルと同様に、勾配法はしばしば敵対的なサンプルを見つけるために使用することができる。例えば、(Evasion attacks against machine learning at test time、ECML PKDD、2013)、(Adversarial Attacks on Neural Network Policies、2017)、または(Characterizing Attacks on Deep Reinforcement Learning、2022)を参照。 |
| In the case of white box knowledge, the attacker has direct access to the gradient of the agent. It is however often possible, even with black box knowledge only, to approximate the gradient, e.g. with the use of a socalled shadow model, that imitates the deployed model (Chen, et al., 2020). | ホワイトボックス知識の場合、攻撃者はエージェントの勾配に直接アクセスできる。しかし、ブラックボックスの知識しかない場合でも、展開されたモデルを模倣したいわゆるシャドーモデルを使用するなどして、勾配を近似することが可能な場合が多い(Chen、et al.) |
| 3.4 Defences | 3.4 防御策 |
| The following defensive measures might be used against such attacks: | このような攻撃に対して、以下のような防御策が考えられる: |
| • Attack detection allows a user to fend off an attack, or at least prevent a model from doing harm by shutting it off. For this, the time continous nature of Reinforcement Learning can be used. As there is often temporal cohesion, the next state can, to some degree, be predicted from the history. This is especially true for any type of state that can be interpreted as ‚visual‘, e.g. provided by a camera. If the observed state is, in some appropriate sense, too far away from the expected one, an attack might be assumed. If an attack or unusual situation is detected in this way, one possible reaction is to switch the actual observation with the predicted state. Such an approach might increase the effort for an attacker, which is forced to alter the relevant history of the states. This is shown e.g. in (Tekgul, et al., 2021), (Xiong, et al., 2022) | ・攻撃検知により、ユーザーは攻撃をかわすことができ、少なくともモデルを停止させることで、危害を加えることを防ぐことができる。これには、強化学習の時間的連続性を利用することができる。多くの場合、時間的な結合があるため、履歴から次の状態をある程度予測することができる。これは、例えばカメラによってプロバイダから提供されるような、「視覚的」と解釈できるタイプの状態には特に当てはまる。観測された状態が、ある適切な意味において、予想された状態から離れすぎている場合、攻撃が想定されるかもしれない。このようにして攻撃や異常事態が検知された場合、考えられる一つの反応は、実際の観測を予測された状態に切り替えることである。このようなアプローチは、状態の関連履歴を変更せざるを得ない攻撃者の労力を増大させるかもしれない。これは例えば、(Tekgul、et al.、2021)や(Xiong、et al.、2022)に示されている。 |
| • One of the most prevalent methods to defend against such attacks is to make the model more robust by adversarial training. For this purpose, the aforementioned attacks during training time can be intentionally deployed in a controlled manner, see e.g. (Robust Deep Reinforcement Learning with Adversarial Attacks, 2018) | ・このような攻撃を防御する最も一般的な方法の一つは、敵対的訓練によってモデルをより頑健にすることである。この目的のために、訓練時間中の前述の攻撃を制御された方法で意図的に展開することができる、例えば(Robust Deep Reinforcement Learning with Adversarial Attacks、2018)を参照されたい。 |
| • Besides adversarial training, methods of robust optimization can help to create more robust policies, as can be seen in e.g. (Wang, 2022). With this ansatz, instead of searching for the policy that creates the greatest return, one looks at the worst case under an attack and chooses the policy that performs best in that situation. Therefore, one can effectively cap the damage. | ・敵対的な学習以外にも,堅牢最適化の手法は,より堅牢なポリシーの作成に役立つ。このアナタツでは,最大のリターンを生み出すポリシーを探索する代わりに,攻撃下での最悪のケースに注目し,その状況で最高のパフォーマンスを発揮するポリシーを選択する。したがって,効果的に損害に上限を設けることができる。 |
| To effectively use the last two methods, one needs to define a suitable search range. That is, a maximal effort one expects the attacker to put into the attack, as well as a minimal deviation that is interesting. The importance of this is e.g. apparent in attacks on the states. There, one would search the whole state space for worst cases if no maximal effort is defined. If no minimal threshold is chosen, attacks are detected when the observed state is just barely different from the predicted state. | 最後の2つの方法を効果的に使うには、適切な探索範囲を定義する必要がある。つまり、攻撃者が攻撃に費やすと予想される最大の努力と、興味深い最小の偏差である。このことの重要性は、例えば状態に対する攻撃で明らかである。そこでは、最大限の努力が定義されていない場合、最悪のケースについて状態空間全体を探索することになる。最小の閾値が選択されない場合、攻撃は、観測された状態が予測された状態とぎりぎり異なるときに検知される。 |
| All of the described methods increase robustness but typically decrease optimal performance. An analysis of this trade off is necessary to find the acceptable amount of optimality with highest possible robustness. | 説明した方法はすべて堅牢性を高めるが、一般的に最適性能を低下させる。このトレードオフの分析は、可能な限り高い堅牢性を持つ最適性の許容量を見つけるために必要である。 |
| 4 Policy Injection | 4 ポリシー・インジェクション |
| Policy injection attacks aim to implement a specific given policy. We also consider a weaker form of policy injection, where the attacker does not want to inject a completely new policy, but rather just aims for the system to reach a specific state. | ポリシー・インジェクション攻撃は、特定の与えられたポリシーを実行することを目的とする。また、攻撃者が完全に新しいポリシーを注入するのではなく、システムが特定の状態に到達することだけを目的とする、より弱い形のポリシー注入も考える。 |
| Policy injections differ from the attacks in the previous section, because they do not necessarily imply minimization of return. One could argue that reward minimization is a form of policy injection, implementing the policy for reward minimization. However, since the used attacks tend to differ, we separate the two attack classes. | ポリシー・インジェクションは前節の攻撃とは異なり、必ずしもリターンの最小化を意味しない。報酬の最小化はポリシー注入の一形態であり、報酬最小化のためのポリシーを実装している、と主張することもできる。しかし、使用される攻撃は異なる傾向があるので、2つの攻撃クラスを分離する。 |
| Examples for this type of attack are: | この種の攻撃の例としては、以下のようなものがある: |
| • An autonomous driving system that is based on Reinforcement Learning is working correctly in most cases, and hence no problem is noticed. Then in deployment, the agent is presented with a traffic sign that has a sticker on it. This sticker was malevolently introduced in the training as a trigger, and the agent reacts to it by leaving the road and crashing the car. | ・強化学習に基づく自律走行システムは,ほとんどの場合正しく動作しており,したがって問題はない。しかし配備中に,エージェントはステッカーが貼られた交通標識を提示される。このステッカーは訓練でトリガーとして悪意を持って導入されたもので,エージェントはそれに反応して道路から離れ,車を衝突させる。 |
| • A Reinforcement Learning agent is set up to manage a production line. By altering the states, an attacker changes the policy. The policy still reaches the goal, but the costs are increased, maybe by higher energy consumption. | ・強化学習エージェントは,生産ラインを管理するように設定されている。状態を変更することで,攻撃者はポリシーを変更する。ポリシーはゴールに到達するが,エネルギー消費が増えるなど,コストが増加する。 |
| 4.1 Attacks at Training Time | 4.1 トレーニング時の攻撃 |
| In order to make the agent follow a specific policy at operation time, a backdoor approach can be taken: In the training, the attacker tries to place a trigger, which the agent learns. If the agent is presented with the trigger during operation, it will follow the specified policy. | 操作時にエージェントを特定のポリシーに従わせるために、バックドアアプローチを取ることができる: トレーニングにおいて、攻撃者はエージェントが学習するトリガーを設置しようとする。もしエージェントが動作中にトリガーを提示されれば、指定されたポリシーに従うようになる。 |
| • One way to implement such a backdoor is via Reward Hacking, i.e. changing the reward function in the training phase. In contrast to reward minimization, a deeper knowledge of the state and action space is necessary to create a specific policy. If the attacker only aims at reaching a specific state, raising the reward for actions reaching this state can already be enough. | ・このようなバックドアを実装する1つの方法は,報酬ハッキング,すなわち訓練段階で報酬機能を変更することである。報酬の最小化とは対照的に,特定のポリシーを作成するためには,状態と行動空間に関するより深い知識が必要となる。攻撃者が特定の状態に到達することだけを目的とするのであれば,その状態に到達する行動に対する報酬を上げれば十分である。 |
| • One can also force the agent to learn a specific policy by changing state observations, actions or transition probabilities. This however requires a deep understanding of the dependencies between these values and their interdependencies. This is in general only possible with full white box knowledge of the system. Therefore, these attacks are not as easy to carry out as backdoor attacks with Reward Hacking. | ・また,状態観測,行動,または遷移確率を変更することで,エージェントに特定のポリシーを学習させることもできる。しかし,そのためには,これらの値間の依存関係や相互依存関係を深く理解する必要がある。これは一般に,システムの完全なホワイトボックス知識がなければ不可能である。従って,これらの攻撃は,報酬ハッキングによるバックドア攻撃ほど簡単には実行できない。 |
| 4.2 Attacks at Deployment | 4.2 展開時の攻撃 |
| What makes attacks at deployment difficult is the existence of an already established policy that needs to be, in some way, overruled. | 配備時の攻撃を難しくしているのは、何らかの方法で覆す必要のある、すでに確立されたポリシーが存在することである。 |
| • If the attacker can set the actions, the injection of a policy is trivial. Therefore, this needs to be prevented by classical IT security measures, like access control. | ・攻撃者がアクションを設定できれば,ポリシーの注入は些細なことだ。したがって,これはアクセス制御のような古典的なITセキュリティ対策によって防ぐ必要がある。 |
| • If the attacker can only slightly change the actions, but not set them freely, a policy injection attack is still possible. For this, white box knowledge, in particular about how the action is influencing the environment and thereby the states and through that the agent, is necessary. This is shown in (Provably Efficient Black-Box Action Poisoning Attacks Against Reinforcement Learning, 2021). | ・攻撃者がアクションを少し変更できるだけで、自由に設定できない場合、ポリシー注入攻撃はまだ可能である。このためには、ホワイトボックス知識、特にアクションがどのように環境に影響を与え、それによって状態、そしてそれを通してエージェントに影響を与えるかについての知識が必要である。これは(Provably Efficient Black-Box Action Poisoning Attacks Against Reinforcement Learning、2021)で示されている。 |
| • The same holds, if the attacker is able to change the state observations or the transition probabilities. To get knowledge about the deployed policy, the ansatz of a shadow model can also be used in this sort of attacks. | ・攻撃者が状態観測や遷移確率を変更できる場合も同様である。展開されたポリシーに関する知識を得るために,シャドーモデルのansatzもこの種の攻撃に利用できる。 |
| If we look at the somewhat weaker attack that aims to reach at a certain state, then the attacker can get by with black box knowledge more often. If there is some sort of predictability in the system, or if the attacker can change the transition probabilities, the system might be tricked into reaching the goal state of the | ある状態に到達することを目的とした、やや弱い攻撃を見てみると、攻撃者はブラックボックスの知識でやり過ごせることが多い。もしシステムにある種の予測可能性があれば、あるいは攻撃者が遷移確率を変えることができれば、システムを騙して目標の状態に到達させることができるかもしれない。 |
| attacker. This type of attack is sometimes called ‚Enchanting Attack‘ (Tactics of Adversarial Attack on Deep Reinforcement Learning Agents, 2017). | 攻撃者の目標状態に到達するようにシステムをだますかもしれない。この種の攻撃は「魅惑攻撃」と呼ばれることがある(Tactics of Adversarial Attack on Deep Reinforcement Learning Agents、2017)。 |
| 4.3 Defences | 4.3 防御 |
| The defence mechanisms we saw in the previous section increasing the robustness of the system can also help against the presented policy injection attacks during deployment. | 前節で見たシステムの堅牢性を高める防御メカニズムは、デプロイ時に提示されたポリシー・インジェクション攻撃に対しても役立つ。 |
| Against backdoor attacks, we will present some more specific defences here. | バックドア攻撃に対して、ここではより具体的な防御策をいくつか紹介する。 |
| • One possibility is to use a projection method. There, the basic assumption is that the triggers, which are special states, are usually placed outside of common states, so they are not detected easily. If that is the case, one can create a subspace from a clean collection of common states, that by assumption do not contain a trigger, and project observations on this subspace, eliminitating the trigger in the process (Provable Defense against Backdoor Policies in Reinforcement Learning, NeurIPS, 2022). | ・一つの可能性は、投影法を使うことである。そこでは、特殊な状態であるトリガーは通常、一般的な状態の外側に配置されるため、容易に検知されないという基本的な前提がある。もしそうであれば、トリガーを含まない前提で、共通状態のクリーンなコレクションから部分空間を作成し、この部分空間にオブザベーションを投影し、その過程でトリガーを排除することができる(Provable Defense against Backdoor Policies in Reinforcement Learning、NeurIPS、2022)。 |
| This also works with high-dimensional state spaces, but the sample complexity grows. | これは高次元の状態空間でも機能するが、サンプルの複雑さが増大する。 |
| • There have also been methods proposed, that try to detect the triggers. In (Backdoor Detection and Mitigation in Competitive Reinforcement Learning, 2023), an agent is trained to look for states that lead to a drop in the return of the Reinforcement Learning system. If such states are detected, a backdoor is assumed. Then, an unlearning step might be possible to sanitize the system. This uses the observation that often states near the trigger also lead to drops in the return. Alternatively, if this is not possible or if one is unsure if every backdoor is detected, the system can be replaced with a new one, trained on clean data. | ・また、トリガーを検知しようとする手法も提案されている。(Backdoor Detection and Mitigation in Competitive Reinforcement Learning、2023)では、強化学習システムのリターンが低下する状態を探すようにエージェントが訓練される。そのような状態が検知された場合、バックドアが想定される。そして、システムをサニタイズするために、学習解除ステップが可能かもしれない。これは、しばしばトリガーに近い状態もリターンの低下につながるという観察を利用する。あるいは、これが不可能な場合、あるいはすべてのバックドアが検知されるかどうか確信が持てない場合、システムをクリーンなデータで学習させた新しいものに置き換えることもできる。 |
| 5 Privacy Attacks | 5 プライバシー攻撃 |
| Privacy attacks are very different in nature to the previously described attacks. They do not disturb the functionality of the system, but rather want to extract some sort of information from the Reinforcement Learning system. This can be e.g. information about the reward function, about the training environment or the policy itself. Often, this information is critical, especially protected or of economical interest. It is therefore important to protect the system from leaking information to others. Examples for information leaks are: | プライバシー攻撃は、先に述べた攻撃とは性質が大きく異なる。それらはシステムの機能を妨害するのではなく、むしろ強化学習システムから何らかの情報を抽出しようとする。例えば、報酬機能に関する情報、学習環境に関する情報、あるいは方針そのものに関する情報である。多くの場合、この情報は重要であり、特に保護されているか、経済的な関心がある。したがって、システムが他者に情報を漏らさないように保護することが重要である。情報漏洩の例としては、以下のようなものがある: |
| • A Reinforcement Learning agent is used to assist in medical diagnosis. It was trained on data from real patients. This data is highly sensitive, and an attacker could try to reconstruct patient information through querying the system. | ・強化学習エージェントは,医療診断を支援するために使用される。このエージェントは実際の患者からのデータで訓練されている。このデータは非常に機密性が高く,攻撃者はシステムに問い合わせることで患者情報を再構築しようとする可能性がある。 |
| • The navigation of a robot is done via Reinforcement Learning. It was trained in a special parcour, which was built after extensive and costly testing. An attacker might extract a map of this training ground from the behaviour of the robot. | ・ロボットのナビゲーションは強化学習によって行われる。ロボットのナビゲーションは,強化学習によって行われる。強化学習は,大規模かつ高価なテストを経て構築された特別なパルクールで行われる。攻撃者はロボットの行動からこの訓練場の地図を抽出するかもしれない。 |
| • An agent was trained to perform on a very high level, so it is the best on the market. A competitor queries the model and by imitating it gets a good model with low effort. | ・エージェントは非常に高いレベルで動作するように訓練されているので,市場で最高である。競合はそのモデルを照会し,それを模倣することで,少ない労力で優れたモデルを手に入れる。 |
| 5.1 Attacks at Deployment | 5.1 展開時の攻撃 |
| We only present attacks during deployment, as during training time, classical IT security is most relevant, and there are no Reinforcement Learning specific attacks during training we know of. At deployment phase, the system has gathered all the information during training and has become vulnerable to extraction. | トレーニング中は、古典的なITセキュリティが最も重要であり、トレーニング中に強化学習特有の攻撃は存在しない。デプロイメント段階では、システムはトレーニング中にすべての情報を収集し、抽出に対して脆弱性を持つようになる。 |
| • In the previous sections, a possible use of a stolen policy has been shown. There, a shadow model that imitates the true model has been used to get gradients or other information in a black box setting. A way to get this shadow model is via imitation learning (Chen, et al., 2020). Here, the attacker trains a model on queries or observations of the target system, with the goal to act the same. This works better, if the basic architecture of the target is known, but can also be done with black box knowledge. | ・前のセクションで,盗まれたポリシーの使用可能性が示された。そこでは,真のモデルを模倣したシャドーモデルが,ブラックボックス設定で勾配やその他の情報を得るために使用されている。このシャドーモデルを得る方法として,模倣学習がある(Chen、et al.) ここで攻撃者は,ターゲットシステムのクエリや観察に基づいてモデルを訓練し,同じ動作をすることを目標とする。これは攻撃対象の基本的なアーキテクチャーがわかっている場合に有効だが,ブラックボックス的な知識でも可能である。 |
| • If the attacker has knowledge about the reward function and the state and action space, the reconstruction of the transition probabilities is possible. This means, it is possible to extract information about the training environment. In (How You Act Tells a Lot: Privacy-Leaking Attack on Deep Reinforcement Learning, AAMAS, 2019) an actual map of the training room a robot was trained in was reconstructed. | ・攻撃者が報酬機能と状態・行動空間に関する知識を持っていれば、遷移確率の再構築が可能である。つまり、訓練環境に関する情報を抽出することが可能である。How You Act Tells a Lot: Privacy-Leaking Attack on Deep Reinforcement Learning、AAMAS、2019)では、ロボットが訓練された訓練室の実際の地図が再構築された。 |
| • Attacks on the reward function can also leak important information and should not be ignored. Even when the policy is trained in a privacy-preserving manner, the reward function might still be vulnerable. (Prakash, et al., 2021) show, how this can be done with an inverse Reinforcement Learning approach. There, based on the optimal policy, the reward function is reconstructed with linear programming, i.e. one finds what reward function leads most likely to the policy at hand. Note that inverse Reinforcement Learning presents a whole class of methods, and other methods in addition to linear programming exist. | ・報酬機能への攻撃も重要な情報を漏らす可能性があり、無視できない。ポリシーがプライバシーを守る方法でトレーニングされたとしても、報酬関数は脆弱性を持つ可能性がある。(Prakash, et al., 2021) 逆強化学習アプローチで、これがどのようにできるかを示す。そこでは、最適な方針に基づいて、報酬関数が線形計画法で再構築される、 すなわち、どのような報酬関数が手元の政策に最も近いかを見つける。逆強化学習は,一群の方法を提示し,線形計画法以外の方法も存在することに注意されたい. |
| 5.2 Defences | 5.2 防衛 |
| The general concept of the typical defence mechanisms discussed in literature is built on Differential Privacy (Differential Privacy, ICALP, 2006). Formulaic, for a stochastic mechanism M and any two training sets U, U‘ that only differ in one data point, this is written as | 文献で議論されている典型的な防御メカニズムの一般的概念は、差分プライバシー(Differential Privacy、ICALP、2006)に基づいて構築されている。数式で説明すると、確率的メカニズムMと、1つのデータポイントだけが異なる2つの学習セットU、U'に対して、これは次のように書かれる。 |
| 𝑃[𝑀(𝑈)] ≤ 𝑒𝜖𝑃[𝑀(𝑈′)] + 𝛿 | 𝑃[𝑀(𝑈)] ≤ 𝑒𝜖𝑃[𝑀(𝑈′)] + 𝛿 |
| for some non-negative parameters 𝜖, 𝛿. 𝑃 denotes here the probabilities of different results of the mechanism, not the transition function. For smaller 𝜖 and 𝛿 it gets harder to tell what dataset the mechanism M was applied to. | は、非負のパラメータ 𝜖、𝛿 に対応する。ここで ↪Lu_1D443 は、遷移関数ではなく、メカニズムの異なる結果の確率を表す。𝜖とǿが小さくなると、メカニズムMがどのデータセットに適用されたかを見分けるのが難しくなる。 |
| Differential Privacy is typically implemented by adding stochastic noise to different values. These values can include: | 差分プライバシーは通常、異なる値に確率的ノイズを加えることで実装される。これらの値には以下が含まれる: |
| • network parameters, | ・ネットワーク・パラメータ |
| • rewards, | ・報酬 |
| • value functions, | ・値機能、 |
| • loss function, | ・損失関数、 |
| • training observations or | ・学習オブザベーション |
| • transition probabilities. | ・遷移確率である。 |
| In order to apply the noise at every time step, a suitable stochastic process with fitting parameters must be chosen. Adding the noise makes it unclear, if information one extracted is a real datapoint or one added through noise, thereby protecting the real data. | 時間ステップごとにノイズを適用するためには、適切な確率過程とそれに適合するパラメータを選択しなければならない。ノイズを加えることで、抽出された情報が実際のデータポイントなのか、ノイズによって追加されたものなのかを不明確にし、実際のデータを保護する。 |
| The drawback of this approach is, that it adds a computational overhead and can slow down the training and can make it computationally harder. Furthermore, if unique datapoints are important, this approach can lower the quality of the agent. Moreover, finetuning of hyperparameters, in particular the size of noise, can be challenging. | このアプローチの欠点は、計算オーバーヘッドが追加され、トレーニングが遅くなり、計算が難しくなることである。さらに、ユニークなデータポイントが重要な場合、このアプローチはエージェントの質を低下させる可能性がある。さらに、ハイパーパラメータ、特にノイズの大きさの微調整は困難である。 |
| Of course, classical IT security is especially important for privacy attacks. If an attacker is able to gain access to the model data or the training environment, no extraction algorithm is necessary and the attacker can directly pull the information from the system. | もちろん、古典的なITセキュリティはプライバシー攻撃に対して特に重要である。攻撃者がモデルデータや訓練環境にアクセスすることができれば、抽出アルゴリズムは必要なく、攻撃者はシステムから直接情報を引き出すことができる。 |
| 6 Conclusion | 6 結論 |
| Reinforcement Learning has some specific vulnerabilities that we presented here. We categorized them into three attack classes and presented possible defences. Note, that we do not claim to be comprehensive. All defences can help mitigate attacks, but they do not guarantee complete security. Furthermore, they do affect the performance of the model. The defence mechanisms may lead to suboptimal policies, a trade off users should be aware of. Effects like that should be carefully assessed in a risk reward analysis. That the performance can decrease when using defence mechanisms becomes apparent, when we see that some of the defences can also be used as intentionally placed attacks during training. | 強化学習には、ここで紹介したような特有の脆弱性がある。我々はそれらを3つの攻撃クラスに分類し、可能な防御策を示した。なお、我々は包括的であると主張しているわけではない。すべての防御策は攻撃を軽減するのに役立つが、完全なセキュリティを保証するものではない。さらに、これらはモデルの性能に影響を与える。防御メカニズムは、最適でないポリシーを導くかもしれない。このような影響は、リスク報酬分析において注意深く評価されるべきである。防御メカニズムを使用するとパフォーマンスが低下する可能性があることは、トレーニング中に防御の一部が意図的に配置された攻撃として使用される可能性があることを見れば明らかである。 |
| Additionally, the defence strategies often introduce additional computation time and effort, which should be included in the considerations. | 加えて、防御戦略はしばしば追加の計算時間と労力をもたらすので、それも考慮しなければならない。 |
| As some applications for Reinforcement Learning are critical, attacks can present substantial dangers to the privacy of protected data as well as to the integrity and availability in crucial sectors, e.g. autonomous driving or health applications. Hence, defence mechanisms should often not be neglected, and the drawbacks can be well worth. | 強化学習のいくつかのアプリケーションは重要であるため、攻撃は、保護されたデータのプライバシーだけでなく、例えば自律走行や健康アプリケーションのような重要な分野での完全性と可用性に大きな危険をもたらす可能性がある。したがって、防御メカニズムはしばしば無視されるべきではなく、その欠点は十分に価値がある。 |
こんにちは、丸山満彦です。
NISTが、NIST SP 800-55 第1巻(初期ドラフト) 情報セキュリティのための測定ガイド:
の改訂版の初期ドラフトを公開し、意見募集をしていますね。。。
リスクアセスメントについては、リスクマネジメントの一環として、金融のリスクも併せて勉強していたことはあるのですが、情報セキュリティ分野に信用リスクのような定量的なリスク分析を持ち込むのは難しいと思い、一旦横においていたのですが...ゆるい定量リスクということであれば、直感的なリスクよりも、すこしはましだろうとは思っているので、これを機会に勉強をしておこうかな。。。
第1巻 - 措置の識別と選択
第2巻 - 情報セキュリティ測定プログラムの策定
● NIST - ITL
・[PDF] SP.800-55v1.ipd
目次...
| 1. Introduction | 1. 序文 |
| 1.1. Purpose and Scope | 1.1. 目的と範囲 |
| 1.2. Relationship to Other NIST Publications | 1.2. 他のNIST出版物との関係 |
| 1.3. Document Organization | 1.3. 文書の構成 |
| 1.4. Document Terminology | 1.4. 文書の用語 |
| 2. Fundamentals | 2. 基礎知識 |
| 2.1. Types of Assessment | 2.1. アセスメントの種類 |
| 2.2. Benefits of Using Measures | 2.2. メジャーを使用する利点 |
| 2.3. Measurement and Quantitative Assessment | 2.3. 測定と定量的評価 |
| 2.4. Measurement Considerations | 2.4. 測定に関する考慮事項 |
| 2.4.1. Measures Documentation | 2.4.1. 対策の文書化 |
| 2.4.2. Data Management | 2.4.2. データ管理 |
| 2.4.3. Data Quality | 2.4.3. データの質 |
| 2.4.4. Uncertainty and Errors | 2.4.4. 不確実性とエラー |
| 2.5. Metrics | 2.5. 指標 |
| 3. Selecting and Prioritizing Measures | 3. 尺度の選択と優先順位付け |
| 3.1. Identification and Definition | 3.1. 識別と定義 |
| 3.2. Types of Measures | 3.2. 対策の種類 |
| 3.2.1. Implementation Measures | 3.2.1. 実施対策 |
| 3.2.2. Effectiveness Measures | 3.2.2. 効果測定 |
| 3.2.3. Efficiency Measures | 3.2.3. 効率対策 |
| 3.2.4. Impact Measures | 3.2.4. インパクト対策 |
| 3.2.5. Comparing Measures and Assessment Results | 3.2.5. 対策と評価結果の比較 |
| 3.3. Prioritizing Measures | 3.3. 対策の優先順位付け |
| 3.3.1. Likelihood and Impact Modeling | 3.3.1. 可能性と影響のモデリング |
| 3.3.2. Weighing Scale | 3.3.2. 計量尺度 |
| 3.4. Evaluating Methods for Supporting Continuous Improvement | 3.4. 継続的改善を支援する方法の評価 |
| References | 参考文献 |
| Appendix A. Glossary | 附属書A. 用語集 |
| Appendix B. Data Analysis Dictionary | 附属書B. データ分析辞典 |
| B.1. Bayesian Methodology | B.1. ベイズの方法論 |
| B.2. Classical Data Analysis | B.2. 古典的データ分析 |
| B.3. Exploratory Data Analysis | B.3. 探索的データ分析 |
| Appendix C. Modeling Impact and Likelihood | 附属書C.影響と尤度のモデル化 |
| C.1. Bayesian Methodology | C.1. ベイズ法 |
| C.2. Monte Carlo Methodology | C.2. モンテカルロ法 |
| C.3. Time Series Analysis | C.3. 時系列分析 |
| C.4. Value at Risk | C.4. バリュー・アット・リスク |
| Appendix D. Change Log | 附属書D. 変更記録 |
・[PDF] SP.800-55v2.ipd
目次...
| 1. Introduction | 1. 序文 |
| 1.1. Purpose and Scope | 1.1. 目的と範囲 |
| 1.2. Relationship to Other Publications | 1.2. 他の出版物との関係 |
| 1.3. Document Organization | 1.3. 文書の構成 |
| 1.4. Document Terminology | 1.4. 文書の用語 |
| 2. Fundamentals | 2. 基礎知識 |
| 2.1. Measurement Program Benefits | 2.1. 測定プログラムの利点 |
| 2.2. Program Scope | 2.2. プログラムの範囲 |
| 2.3. Foundations for a Successful Information Security Measurement Program | 2.3. 情報セキュリティ測定プログラムを成功させるための基盤 |
| 2.4. Roles and Responsibilities | 2.4. 役割と責任 |
| 2.5. Programmatic Value of Metrics | 2.5. 測定基準のプログラム上の価値 |
| 2.6. Aggregation and Communication | 2.6. 集計とコミュニケーション |
| 2.7. Measurement Program Considerations | 2.7. 測定プログラムに関する考察 |
| 2.7.1. Organizational Considerations | 2.7.1. 組織上の考慮事項 |
| 2.7.2. Manageability | 2.7.2. 管理可能性 |
| 2.7.3. Data Management Concerns | 2.7.3. データ管理に関する懸念 |
| 3. Information Security Measurement Program | 3. 情報セキュリティ測定プログラム |
| 3.1. Evaluation and Definition of the Existing Security Program | 3.1. 既存のセキュリティ・プログラムの評価と定義 |
| 3.1.1. Gathering Stakeholder Input | 3.1.1. 利害関係者の意見の収集 |
| 3.1.2. Goals and Objectives | 3.1.2. 目標と目的 |
| 3.1.3. Information Security Policies, Procedures, and Guidelines | 3.1.3. 情報セキュリティ方針、手順、ガイドライン |
| 3.1.4. Evaluating Current Implementation | 3.1.4. 現在の実施状況の評価 |
| 3.2. Identify and Prioritize Measures | 3.2. 対策の識別と優先順位付け |
| 3.3. Identify and Prioritize Measures | 3.3. 対策の識別と優先順位付け |
| 3.3.1. Identify and Prioritize Measures | 3.3.1. 対策の識別と優先順位付け |
| 3.3.2. Identify Corrective Actions | 3.3.2. 是正措置の識別 |
| 3.3.3. Apply Corrective Actions | 3.3.3. 是正措置の適用 |
| References | 参考文献 |
| Appendix A. Glossary | 附属書A. 用語集 |
| Appendix B. Change Log | 附属書 B. 変更記録 |
Fig. 2. Information security measurement program workflow
こんにちは、丸山満彦です。
Atlantic Councilの世界予測についての紹介です。Atlantic Council [wikipedia]は米国のThink tankですが、英国政府からの寄付金も多いようです...あとFacebook...
Atlantic Councilによる300名の有識者への質問の結果です。。。約6割が米国人、中国人もロシア人も1人。日本人は0。
・2024.01.17 Global Foresight 2024
完全な調査結果...
・2024.01.12 The Global Foresight 2024 survey: Full results
10のテーマに分けた分析...
・2024.01.12 Welcome to 2034: What the world could look like in ten years, according to nearly 300 experts
専門家が指摘するあまり注目されていないが、6つの注目すべき項目(6匹のユキヒョウ)...
・2024.01.17 Six ‘snow leopards’ to watch for in 2024
2024年のトップリスク・機会
・2024.01.17 The top risks and opportunities for 2024
(1)可能性は高くない <-> (5) 可能性が高い...
過去の記事も含めて...
| トップページ... | 2022 | 2023 | 2024 |
| 全項目 | ● | ||
| 10年後 | ● | ● | ● |
| 6匹のユキヒョウ | ● | ● | ● |
| トップリスク・機会 | ● | ● | ● |
6匹のユキヒョウの意訳...
| 2022 | 2023 | 2024 |
| 気候変動対策の真のリーダーは都市 | アルゴリズム規制の強化 | 南極(資源、地政学的価値) |
| 遺伝子操作による無害な蚊 | 先進偉業の中国からの撤退 | 航路(海の安全、川の水位低下) |
| イノベーションの世界的拡大 | バッテリー革命による電気自動車の普及 | 超白色ペンキによる熱反射 |
| 人工肉 | プラットフォーム企業労働者の労働運動 | 長距離精密兵器の拡散 |
| 環境保護主義の台頭 | 地球工学(改造) | 太平洋の島国の地政学的重要性 |
| 飢餓が引き起こす紛争 | 日韓の和解によるインド太平洋地域の変化 | 淡水化技術の進歩 |
こんにちは、丸山満彦です。
欧州のEDPBが、個人データ処理のセキュリティとデータ侵害通知に関するワンストップショップ事例概要を公表していますね。。。いろいろと参考になるかもしれませんが、具体的な事例にあたると言語が... 欧州だから(^^)...
ちなみにGDPRの条文...
● GDPR
・Art. 32 Security of processing
・Art. 33 Notification of a personal data breach to the supervisory authority
・Art. 34 Communication of a personal data breach to the data subject
● European Data Protection Board; EDPB
・2024.01.18 EDPB publishes OSS case digest on Security of Processing and Data Breach Notification
| EDPB publishes OSS case digest on Security of Processing and Data Breach Notification | EDPB、処理のセキュリティとデータ侵害通知に関するOSS事例概要を公表 |
| The EDPB has published a thematic one-stop-shop case digest on Security of Processing (Art. 32 GDPR) and Data Breach Notification (Art. 33 & 34 GDPR). | EDPBは、データ処理のセキュリティ(GDPR第32条)およびデータ侵害通知(GDPR第33条および第34条)に関するテーマ別のワンストップショップ事例概要を公表した。 |
| Since the entry into force of the GDPR, data protection authorities (DPAs) have closely cooperated to adopt a growing number of one-stop-shop decisions on data security and data breaches. | GDPRの発効以来、データ保護当局(DPA)は緊密に協力し、データセキュリティとデータ侵害に関するワンストップショップの決定が増え続けている。 |
| The case digest offers valuable insights on how DPAs have interpreted and applied GDPR provisions in diverse scenarios, such as hacking, ransomware, or accidental data disclosure. | 事例概要は、ハッキング、ランサムウェア、偶発的なデータ開示など、多様なシナリオにおいて、DPAがGDPRの規定をどのように解釈し、適用してきたかについての貴重な洞察を提供する。 |
| Case handlers working within DPAs now have a rich pool of analyses of security incidents, along with the corresponding security measures found to be appropriate or not in the specific context. | DPAのケース担当者は、セキュリティインシデントに関する豊富な分析結果を、特定の状況において適切または不適切と判断された対応するセキュリティ対策とともに入手することができる。 |
| The summary and analysis of these decisions are useful for organisations (both controllers and processors) when assessing whether their security measures are appropriate, both before and following a data breach. | これらの判断の要約と分析は、組織(データ管理者と処理者の両方)にとって、データ侵害の前と後の両方において、自社のセキュリティ対策が適切かどうかを評価する際に有用である。 |
| This is the second instalment of the EDPB’s case digests, which look at a selection of one-stop-shop decisions taken from the EDPB’s public register. The one-stop-shop case digest are produced within the framework of the EDPB Support Pool of Experts, a strategic initiative that helps DPAs increase their capacity to supervise and enforce. | この概要は、EDPBの公開登録から抜粋したワン・ストップ・ショップ判決を取り上げるもので、EDPBのケース・ダイジェストの第2弾である。ワンストップショップのケースダイジェストは、EDPBサポート専門家集団の枠組みの中で作成されており、DPAの監督・執行能力の向上を支援する戦略的イニシアチブである。 |
・2024.01.18 One-Stop-Shop case digest on Security of Processing and Data Breach Notification
こんにちは、丸山満彦です。
AI戦略会議の「[PDF]AIに関する暫定的な論点整理」(2023.05.26) による検討を踏まえ、経済産業省「AI事業者ガイドライン検討会」、総務省「AIネットワーク社会推進会議」を開催し、両会議での検討を踏まえ「AI事業者ガイドライン案」ができたようですね。。。
内容については、昨年末に私のブログ(2023.12.23 総務省 経済産業省 AI事業者ガイドライン案)で紹介していますので、それをみれば目次的なことは大体わかるかもです。。。
欧州、中国は法制度により、米国は大統領令に基づく政府調達を通じてAIを規制しようとしていますが、日本はガイドラインでソフトに行く感じですかね。。。それぞれ、お国柄ですかね。。。
米国の主要AI製造者のCEOは欧州が規制をするのであれば、グローバルに展開する以上、それに従う必要があるので、自国で規制がなくても規制があるのと同じなので、米国でも法規制すべき、、、という意見をいっていたように思います。
マーケットが国際化している以上、国益を含む、あるべき国の姿を実現するための規制というのは、もはや外交手段の一つとなっているわけですよね。。。日本のAI事業者がグローバルに活躍しやすいようにするということも含めた、日本の国益にとって、どのような制度にすべきか?ということを本質的に議論をしないといけないのだろうと思います。そのために、日本は何を目指しているの?、どのような価値観を重要視しているの?ということについての、少なくとも国民的なコンセンサスがないと、そういうのを作りにくいのだろうと思います。。。(どんな優秀な学者や実務家を集めても...)
ということを考えると、欧州、中国が法制度に踏み切っているのは、欧州の価値観や、中国(習近平政権)が目指している姿が明確でコンセンサスがとられていることになっているからとも考えられますね。。。
しかし、規制が外交手段になるのであれば、国の目指す方向や価値観というのが明確になっていない国というのは、衰退していく可能性が高いのかもしれませんね。。。(企業でもそうかも知れませんが...)
雑談が長くなりましたが(^^)...
● E-Gov パブリックコメント募集中
・2024.01.20 「AI事業者ガイドライン案」に関する意見募集
・[PDF] 「AI事業者ガイドライン案」本編
・[PDF] 「AI事業者ガイドライン案」別添
● 経済産業省
・2024.01.19 「AI事業者ガイドライン案」の意見公募手続(パブリックコメント)を開始します
・・関連リンク
・審議会・研究会 - ものづくり/情報/流通・サービス - AI事業者ガイドライン検討会 - AI事業者ガイドライン案
・資料
・・[PDF] 「AI事業者ガイドライン案」本編
・・[PDF] 「AI事業者ガイドライン案」別添
・参考資料
・・[PDF] 「AI事業者ガイドライン案」(概要)
・・[PDF] Draft AI Guidelines for Business
・・[PDF] Draft AI Guidelines for Business - Appendices
・・[PDF] Outline of Draft AI Guidelines for Business
● 総務省
・2024.01.19 「AI事業者ガイドライン案」に関する意見募集
・・[PDF] 「AI事業者ガイドライン案」本編(別紙1)
・・[PDF] 「AI事業者ガイドライン案」別添(別紙2)
参考
・2023.12.22 自由民主党 AI の安全性確保と活用促進に関する緊急提言 (2023.12.14)
・2023.12.21 経済産業省 AI事業者ガイドライン検討会
・2022.01.29 経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1
・2021.07.11 経済産業省 意見募集 AI原則実践のためのガバナンス・ガイドライン Ver1.0
価値観に関しては、このあたりも...
・2024.01.07 価値観の普及(輸出ではなく...)
こんにちは、丸山満彦です。
EDPBがGPDRが施行されてから5年を迎えるということで、各組織に設置されることになったデータ保護責任者 (Data Protection Officer; DPO) の能力が十分か等の状況について調査をしていますね。。。
次のような課題があると認識したようですね。。。
環境は違いますが、日本でも同じ項目で調査をしてみても面白いかもしれませんね。。。
● European Data Protection Board; EDPB
・2024.01.17 EDPB identifies areas of improvement to promote the role and recognition of DPOs
| EDPB identifies areas of improvement to promote the role and recognition of DPOs | EDPB、DPOの役割と認知を促進するための改善点を特定 |
| Brussels, 17 January - During its latest plenary, the EDPB adopted a report on the findings of its second coordinated enforcement action, which focused on the designation and position of Data Protection Officers (DPOs). The report is the result of an EU-wide coordinated investigation and lists the obstacles currently faced by DPOs, along with a series of recommendations to further strengthen their role. | ブリュッセル、1月17日 - EDPBは最新の本会議で、データ保護責任者(DPO)の指名と地位に焦点を当てた第2回協調執行行動の調査結果に関する報告書を採択した。この報告書は、EU全域を対象とした協調調査の結果であり、DPOが現在直面している障害と、その役割をさらに強化するための一連の勧告が記載されている。 |
| Anu Talus, EDPB Chair said: “The Coordinated Enforcement Framework (CEF) enables data protection authorities (DPAs) to cooperate more closely on selected topics in order to achieve better efficiency and more consistency. DPOs play an important part in contributing to compliance with data protection law and promoting effective protection of data subject rights. Through the CEF, DPAs investigated whether DPOs have the means to fulfil their tasks, as required by the GDPR. The report provides an analysis of the challenges faced by DPOs, along with points of attention and recommendations to address these challenges.” | EDPBのアヌ・タルス委員長は次のように述べた: 「調整された執行枠組み(CEF)により、データ保護当局(DPA)は、より良い効率性と一貫性を達成するために、特定のテーマについてより緊密に協力することができる。DPOは、データ保護法の遵守に貢献し、データ主体の権利の効果的な保護を促進する上で重要な役割を果たしている。CEFを通じて、DPAはDPOがGDPRで要求される任務を遂行する手段を有しているかどうかを調査した。報告書は、DPOが直面する課題の分析と、これらの課題に対処するための注意点および推奨事項を示している。" |
| In the course of 2023, 25 DPAs across the European Economic Area (EEA) (including the EDPS) launched coordinated investigations into this topic. Various organisations, as well as DPOs were contacted across the EEA, covering a wide range of sectors (both public and private entities), and more than 17,000 replies were received and analysed. Extensive data was collected offering valuable insights into the profile, position and work of DPOs 5 years after the entry into application of the GDPR. | 2023年の過程で、欧州経済領域(EEA)全域の25のDPA(EDPSを含む)がこのテーマについて協調調査を開始した。DPOだけでなく、さまざまな組織がEEA全域で、幅広い分野(公共事業体、民間事業体の両方)にわたって接触し、17,000件以上の回答が寄せられ、分析された。GDPRの適用開始から5年後のDPOのプロフィール、立場、仕事について貴重な洞察を提供する広範なデータが収集された。 |
| Despite some concerns and challenges faced by some DPOs (such as the lack of designation of a DPO, even if mandatory; insufficient resources or expert knowledge for the DPO; DPOs not being fully entrusted with the tasks required under data protection law; lack of independence or of reporting to the highest management), the results are encouraging. The majority of the DPOs interrogated declare that they have the necessary skills and knowledge to do their work and receive regular trainings; they have clearly defined tasks in line with the GDPR and do not receive instructions on how to exercise their duties. In addition, they indicate that they are consulted in most cases, and provided with sufficient information to fulfil their tasks, and their opinions are followed quite well. Moreover, most consider that they have the means to do their job. However, there are still too many DPOs who are not in such a position. | 一部のDPOが直面している懸念や課題(DPOの指定が必須であるにもかかわらず指定されていない、DPOのためのリソースや専門知識が不十分、DPOがデータ保護法で要求される業務を十分に任されていない、独立性や最高経営層への報告が不足しているなど)があるにもかかわらず、結果は勇気づけられるものであった。質問したDPOの大半は、業務に必要なスキルや知識を持ち、定期的な研修を受けていること、GDPRに沿った業務が明確に定義されていること、職務の遂行方法について指示を受けていないことを表明している。また、ほとんどの場合、相談を受け、業務を遂行するのに十分な情報がプロバイダから提供され、その意見にはかなり従っていると回答している。また、ほとんどの場合、職務を遂行するための手段を備えていると考えている。しかし、そのような立場にないDPOもまだまだ多い。 |
| In order to address the challenges identified, the report lists some recommendations for organisations, DPOs and DPAs to strengthen DPOs’ independence and to guarantee that they have the necessary resources to carry out their tasks. Among others, the report encourages DPAs to carry out more awareness-raising activities, information and enforcement actions. The report also encourages organisations to ensure that DPOs have sufficient opportunities, time and resources to refresh their knowledge and learn about the latest developments. | 指摘された課題に対処するため、報告書は、DPOの独立性を強化し、任務遂行に必要な資源を保証するために、組織、DPO、DPAに対するいくつかの勧告を挙げている。なかでも報告書は、DPAに対し、啓発活動や情報提供、強制執行を強化するよう促している。報告書はまた、DPOが知識を新たにし、最新の動向を学ぶための十分な機会、時間、資源を確保するよう組織に奨励している。 |
| The report is accompanied by two appendices: the statistics gathered during this action and the national reports of each participating DPA. | 報告書には2つの附属書が付されている。この行動で収集された統計と、各参加DPAの国内報告書である。 |
| The CEF is a key action of the EDPB under its 2021-2023 Strategy, aimed at streamlining enforcement and cooperation among DPAs. The CEF 2024 action will be on the implementation of the right of access by data controllers. | CEFは、EDPBの2021-2023年戦略における重要な活動であり、DPA間の執行と協力の合理化を目的としている。CEFの2024年アクションは、データ管理者によるアクセス権の実施に関するものである。 |
・2023.01.17 Coordinated Enforcement Action, Designation and Position of Data Protection Officers
・[PDF] Designation and Position of Data Protection Officers
エグゼクティブサマリー...
| EXECUTIVE SUMMARY | 要旨 |
| In October 2020, the European Data Protection Board (EDPB) decided to set up a Coordinated Enforcement Framework (CEF) with a view to streamlining enforcement and cooperation among supervisory authorities, consistently with the EDPB 2021-2023 Strategy. A first CEF was conducted in 2021 on the Use of Cloud Services by Public Bodies. | 2020年10月、欧州データ保護委員会(EDPB)は、EDPB 2021-2023年戦略と整合的に、執行と監督当局間の協力を合理化する観点から、調整執行枠組み(CEF)を設置することを決定した。最初のCEFは2021年に公共団体によるクラウドサービスの利用について実施された。 |
| For the second CEF, the EDPB selected in September 2022 'the Designation and Position of Data Protection Officers' for its 2023 Coordinated Enforcement Action. | 第2次CEFでは、EDPBは2022年9月に「データ保護オフィサーの任命と防御」を2023年の協調執行行動として選択した。 |
| Throughout 2023, 25 supervisory authorities ('SAs') across the EEA launched coordinated investigations into the role of Data Protection Officers ('DPOs'). The CEF was implemented at national level in one or several of the following ways: (1) fact-finding exercise, (2) questionnaire to identify if a formal investigation is warranted, and/or (3) commencement of a formal enforcement investigation, or follow-up of ongoing formal investigations. | 2023年を通じて、EEA全域の25の監督当局(SA)がデータ保護責任者(DPO)の役割について協調調査を開始した。CEFは、(1)実態調査、(2)正式な調査が必要かどうかを確認するためのアンケート、(3)正式な強制捜査の開始、または進行中の正式捜査のフォローアップ、のいずれか、または複数の方法で各国レベルで実施された。 |
| Between November 2022 and February 2023, these supervisory authorities discussed the aims and the means of their actions in the context of the CEF. In this context, the SAs drafted a questionnaire in a neutral way so that it would be possible for either the controller/processor or the PO to fill it in. | 2022年11月から2023年2月にかけて、これらの監督当局は、CEFの文脈における行動の目的と手段について協議した。この文脈で、監督機関は、管理者/処理者またはPOのいずれもが記入できるように、中立的な方法で質問票をドラフトした。 |
| While doing this, they ensured that it would be possible for SAs to adjust the questionnaire or to draft their own, based on (or inspired by) the commonly drafted questionnaire. The present report aggregates the findings of all the supervisory authorities participating in the CEF. Particular attention is paid to challenges identified by supervisory authorities and/or respondents during the CEF action. | その一方で、SAが一般的に作成された質問票を基に(あるいはそれに触発されて)、質問票を調整したり、独自の質問票を作成したりすることも可能であることを確認した。本報告書は、CEFに参加したすべての監督当局の調査結果を集約したものである。特に、CEFの活動中に監督当局および/または回答者によって特定された課題に注目している。 |
| These include issues such as insufficient resources allocated to DPOs, insufficient expert knowledge and training of DPOs and risks of conflicts of interests. | これには、DPOに割り当てられるリソースの不足、DPOの専門的知識やトレーニングの不足、利益相反のリスクなどの問題が含まれる。 |
| This report provides, among other things, a list of recommendations that organisations, DPOs and/or SAs may take into account to address the challenges identified, without prejudice to the provisions of the GDPR/EUDPR and the powers of supervisory authorities. | 本報告書は、特に、GDPR/EUDPRの規定および監督当局の権限を損なうことなく、特定された課題に対処するために、プロバイダ、DPOおよび/またはSAが考慮すべき勧告のリストを提供する。 |
| List of recommendations / Points of attention | 推奨事項/留意事項のリスト |
| Absence of designation of a DPO, even if mandatory | DPOの指定が必須であるにもかかわらず、指定されていない。 |
| ◦ More initiatives by SAs could raise awareness among organisations regarding their obligation to designate a DPO, including as to whether or not a DPO is actually required. Further guidance from SAs on the applicable requirements to designate a DPO, further awareness campaigns to promote existing guidance on this topic and enforcement actions can be part of the solution to educate controllers and processors. | ◦ DPOが実際に必要かどうかも含め、DPOを指定する義務について、SAがさらにイニシアチブをとることで、組織間の認識を高めることができる。DPOを指定するために適用される要件に関するSAからのさらなるガイダンス、このトピックに関する既存のガイダンスを促進するためのさらなる啓発キャンペーン、および強制措置は、コントローラとプロセッサーを教育するための解決策の一部となり得る。 |
| Insufficient resources allocated to the DPO | ◦ DPOに割り当てられるリソースが不十分である。 |
| ◦ More initiatives and actions by SAs could incentivise organisations management to dedicate more resources to DPOs and their team. | ◦ DPOとそのチームにもっと多くのリソースを割くよう、SAがもっとイニシアチブを発揮し、行動することで、組織の経営陣のインセンティブを高めることができる。 |
| ◦ At all times, controllers and processors must be performing an appropriate, case-by-case analysis of what resources a DPO needs. We recommend that controllers take this obligation seriously and are ready to show their work. | ◦ コントローラーとプロセッサーは常に、DPOに必要なリソースをケースバイケースで適切に分析しなければならない。管理者はこの義務を真摯に受け止め、その仕事ぶりを示す用意があることを推奨する。 |
| ◦ Controllers and processors must carefully verify that the DPO has sufficient resources to properly exercise their functions. In some cases when employing an external DPO, this may require controllers and processors to verify how many clients that DPO has, to ensure that they have sufficient time and capacity to fulfil the relevant GDPR obligations. | ◦ コントローラーおよびプロセッサーは、DPOがその機能を適切に行使するための十分なリソースを有していることを慎重に確認しなければならない。外部のDPOを雇用する場合、場合によっては、管理者及び処理者は、DPOがGDPRの関連義務を果たすのに十分な時間と能力を有していることを確認するため、そのDPOが何人の顧客を有しているかを確認する必要がある。 |
| ◦ Further guidance from SAs as well as additional training materials could help DPOs to navigate complex issues and save time. | ◦ DPOが複雑な問題に対処し、時間を節約するためには、SAからのさらなるガイダンスや追加の研修資料が役立つ可能性がある。 |
| Insufficient expert knowledge and training of the DPO | DPOの専門的知識とトレーニングが不十分である。 |
| ◦ SAs and/or the EDPB could provide further guidance and training sessions for DPOs. These trainings (and the amount of trainings necessary) can be customised according to the specific needs of each Member State. | ◦ SAおよび/またはEDPBは、DPOに対してさらなるガイダンスやトレーニングセッションを提供することができる。これらの研修(および必要な研修の量)は、各加盟国の特定のニーズに応じてカスタマイズすることができる。 |
| ◦ Controllers and processors should ensure that they are documenting their organisations' knowledge and training needs and progress. This can also be important to ensure compliance with Articles 24 and 5(2) GDPR, and Articles 26 and 4(2) EUDPR. | ◦ 管理者及び処理者は、組織の知識及び研修のニーズと進捗状況を文書化することを確保すべきである。これは、GDPR第24条及び第5条2項、並びにEUDPR第26条及び第4条2項の遵守を確保するためにも重要である。 |
| ◦ Controllers and processors should ensure that DPOs are given sufficient opportunities, time and resources to refresh their knowledge and learn about the latest developments, including, if it is relevant to their activities, on new EU digital- and Al-related legislation. | ◦ 管理者及び処理者は、DPOが知識を更新し、最新の動向を学ぶための十分な機会、時間及びリソースを与えられるようにすべきである。 |
| ◦ Increased use of certification mechanisms and initiatives where relevant. | ◦ 関連する場合には、認証メカニズムやイニシアチブの利用を増やす。 |
| ◦ Increased cooperation from stakeholders with universities and market-led training courses. | ◦ 関係者による大学や市場主導の研修コースへの協力の増加。 |
| DPOs not being fully or explicitly entrusted with the tasks required under the GDPR/EUDPR | DPOは、GDPR/EUDPRの下で要求される業務を完全または明確に委託されていない。 |
| ◦ More initiatives and actions by SAs could incentivise controllers and processors to maintain a proper separation between, on the one hand, the controller/processor obligations and, on the other, the DPO's own obligations and duties as set out under the GDPR/EUDPR. | ◦ SAによるより多くの取り組みや行動が、一方では管理者/処理者の義務、他方ではGDPR/EUDPRに規定されたDPO自身の義務や責務との適切な分離を維持するよう、管理者や処理者のインセンティブとなりうる。 |
| ◦ Controllers should make sure to promote the role of their DPO internally. | ◦ 管理者は、DPOの役割を社内に浸透させるべきである。 |
| ◦ Controllers should work together with their DPOs to build up their roles in an appropriately comprehensive and independent way. | ◦ 管理者はDPOと協力し、適切な包括的かつ独立した方法でDPOの役割を構築すべきである。 |
| ◦ SAs could include DPOs and/or their opinions in a structural fashion into the SA's processes when contacting a controller and/or processor, which will help to enable and promote DPOs in their roles. | ◦ SAは、管理者および/または処理者にコンタクトする際、DPOおよび/またはその意見をSAのプロセスに構造的に含めることができ、これはDPOの役割を可能にし、促進するのに役立つ。 |
| ◦ All stakeholders should promote the role of the DPO within organisations to ensure that the DO is seen as necessary and given effective support by the controller (processor) in accordance with the GDPR/EUDPR. | ◦ すべての利害関係者は、GDPR/EUDPR に従って、DO が必要であるとみなされ、管理者(処理者)から効果的な支援が与えられるよう、組織内で DPO の役割を推進すべきである。 |
| ◦ SAs can support and encourage initiatives to protect and enhance a DO's independence regardless of the form of the contract under which they perform their function, so that DPOs feel safe to fulfil all aspects of their role. | ◦ SAは、DPOが安心してその役割のあらゆる側面を果たすことができるように、DOがその機能を果たす契約の形態にかかわらず、DOの独立性を保護し強化するためのイニシアチブを支援し奨励することができる。 |
| ◦ Controllers and processors should ensure that they are actively reviewing and (where necessary) improving the DPO's involvement within the organisation. Such review may, among other things, consider the Guidelines on DPOs, an annual report of the DPO's activities, and general good practices. | ◦ 管理者および処理者は、組織内におけるDPOの関与を積極的に見直し、(必要な 場合には)改善していることを確認すべきである。このような見直しは、とりわけ、DPOに関するガイドライン、DPOの活動に関する年次報告書、および一般的なグッドプラクティスを考慮することができる。 |
| Conflict of interests and lack of independence of the DPO | DPOの利益相反および独立性の欠如 |
| ◦ SAs recall that the term 'conflict of interests was already clarified in the Guidelines on DPOs and more recently by the Court of Justice in its X-Fab Dresden Judgment. Despite this, the results of the CEF action showed risks of possible conflicts of interests. Based on this, the Guidelines on DPOs should be developed further, also taking into account the new roles taken on by DPOs in certain organisations under the new pieces of EU legislation in the digital field. | ◦ SAは、「利益相反」という用語がすでにDPOsに関するガイドラインで明確化されており、さらに最近では、X-Fabドレスデン判決において司法裁判所が明確化していることを想起する。にもかかわらず、CEFの行動結果は利益相反のリスクを示していた。これに基づき、DPOに関するガイドラインは、デジタル分野におけるEUの新しい法律の下で、特定の組織においてDPOが担う新たな役割も考慮に入れながら、さらに発展させるべきである。 |
| ◦ More initiatives and actions by SAs could verify that controllers and processors have appropriate safeguards in their procedures to ensure that the DPO is not responsible for carrying out tasks that lead to a conflict of interests. | ◦ DPOが利益相反につながる業務を遂行する責任を負わないことを保証するための適切なセーフガードを、管理者と処理者がその手続において有していることを、SAがより多くのイニシアティブと行動によって検証することができる。 |
| ◦ More awareness-raising activities, information and enforcement actions on the independence of the DPO could be envisaged (including on the prohibition on penalising and dismissing DPOs for performing their DPOs tasks), either by SAs or internally by organisations themselves. | ◦ DPOの独立性に関する啓発活動、情報提供、実施措置(DPOの業務遂行を理由とするDPOへの罰則や解雇の禁止を含む)を、SAまたは組織内部でさらに強化することが考えられる。 |
| ◦ Organisations and DPOs could formalise the DPO duties and conditions for performing the DPO's duties in an 'engagement letter'. | ◦ 組織とDPOは、「エンゲージメント・レター」において、DPOの義務およびDPOの任務遂行の条件を正式に定めることができる。 |
| ◦ DPOs should be able to collect evidence in the event of interferences with their independence. | ◦ DPOは、その独立性が阻害された場合に証拠を収集できるようにすべきである。 |
| Lack of reporting by the DPO to the organisations highest management level | DPOによる組織の最高経営層への報告の欠如 |
| ◦ The legal obligation to have the DPO report to the organisation's highest management level may benefit from further guidance to help controllers and processors implement it in practice. SAs could encourage the drafting and adoption of industry standards, internal data protection policies and best practices to better define the conditions, frequency, content and effectiveness of the direct reporting of the DPO to the highest management level. | ◦ DPOを組織の最高経営層に報告させる法的義務は、管理者及び処理者が実際に実施する上で、さらなるガイダンスが必要である。SAは、DPOの最高経営レベルへの直接報告の条件、頻度、内容、有効性をより明確にするため、業界標準、内部データ保護方針、ベストプラクティスのドラフト作成と採用を奨励することができる。 |
| ◦ SAs/the EDPB could adopt 'best practise'-based recommendations or/and a template for DPO reporting (e.g. for at least annual reporting), setting out modular and adaptable content to take into account the specificities of the organisations and the industry. | ◦ SA/EDPBは、「ベストプラクティス」に基づく勧告、または(少なくとも年次報告な ど)DPO報告のテンプレートを採用することができる。 |
| ◦ SAs could initiate more actions and initiatives with respect to the direct access of the DPO to top management, which is an important guarantee of the independence of the DPO | ◦ SAは、DPOの独立性を保証する重要な要素である、DPOの経営トップへの直接アクセスに関して、より多くの行動やイニシアティブを開始することができる。 |
| Further guidance from supervisory authorities | 監督当局からのさらなるガイダンス |
| ◦ In addition to the existing guidance at national and EEA levels, further guidance could help empower DPOs and address some of the challenges identified above. | ◦ 国内およびEEAレベルでの既存のガイダンスに加え、さらなるガイダンスがあれば、DPOに権限を与え、上記で確認された課題のいくつかに対処することができる。 |
| ◦ In particular and as mentioned above, the Guidelines on DPOs should be developed further based on the survey results. | ◦ 特に、前述の通り、DPOに関するガイドラインは、調査結果に基づいてさらに発展させるべきである。 |
| Some of the actions undertaken by supervisory authorities in the CEF are still ongoing at national level, especially when formal investigations were launched. Accordingly, this document does not constitute a definitive statement of the actions carried out within the CEF and the purpose of this report is not to conclude on the measures to be adopted but to reflect on the actions undertaken by competent supervisory authorities and identify the possible points of attention. It may need to be updated in the course of 2024 to take into account the progress of the procedures which have not yet been completed to date and given the issues identified, if the Guidelines on Data Protection Officers are further developed by the EDPB. | CEFにおいて監督当局が実施した措置の中には、特に正式な調査が開始された場合など、国レベルで現在も進行中のものもある。したがって、本書はCEF内で実施された措置の確定的な記述ではなく、また本報告書の目的は、採用すべき措置について結論を出すことではなく、所轄の監督当局が実施した措置を振り返り、注意すべき可能性のある点を特定することである。EDPBがデータ保護オフィサーに関するガイドラインをさらに発展させる場合には、現在までに完了していない手続きの進捗状況を考慮し、また識別された問題点を考慮するために、2024年中に本報告書を更新する必要があるかもしれない。 |
目次...
| 1 INTRODUCTION | 1 序文 |
| 2 BACKGROUND AND METHODOLOGY | 2 背景と方法論 |
| 2.1 Legal background | 2.1 法的背景 |
| 2.2 Methodology | 2.2 方法論 |
| 3 SURVEY FINDINGS | 3 調査結果 |
| 3.1 The DPO in the organisation | 3.1 組織におけるDPO |
| 3.2 The DPOs profile | 3.2 DPOのプロフィール |
| 4 CHALLENGES IDENTIFIED DURING THE CEF ACTION AND RECOMMENDATIONS / POINTS OF ATTENTION | 4 CF活動中に識別された課題と提言/留意点 |
| 4.1 Absence of designation of a DPO even if mandatory | 4.1 DPOの指定が必須であるにもかかわらず、指定されていない。 |
| 4.2 Insufficient resources allocated to DPOs | 4.2 DPOに割り当てられるリソースが不十分である。 |
| 4.3 Insufficient expert knowledge and training of DPOs | 4.3 DPOの専門的知識と訓練が不十分である。 |
| 4.4 DPOs not being fully or explicitly entrusted with the tasks required under the GDPR | 4.4 DPOがGDPRの下で要求される業務を完全または明示的に委ねられていない |
| 4.4.1 DPOs not being given key roles as required under the GDPR | 4.4.1 GDPRで求められる重要な役割がDPOに与えられていない |
| 4.4.2 Lack of systematic involvement of the DPO within organisations | 4.4.2 組織内におけるDPOの組織的関与の欠如 |
| 4.5 Conflict of interests and lack of independence of the DPO | 4.5 DPOの利益相反と独立性の欠如 |
| 4.5.1 Conflict of interests due to conflicting roles or tasks | 4.5.1 相反する役割や業務による利益の相反 |
| 4.5.2 Lack of independence due to instructions received by DPOs or contractual or budgetary setup | 4.5.2 DPOが受ける指示、または契約上もしくは予算上の設定による独立性の欠如 |
| 4.6 Lack of reporting by the DPO to the organisations’ highest management level | 4.6 DPOによる組織の最高経営層への報告の欠如 |
| 4.7 Further guidance from SAs | 4.7 SAからのさらなるガイダンス |
| 4.8 Conclusion on the levels of awareness and compliance | 4.8 意識レベルとコンプライアンスに関する結論 |
| 5 ACTIONS TAKEN BY SAS | 5 SAによる措置 |
| 5.1 Enforcement actions | 5.1 強制措置 |
| 5.2 Guidelines | 5.2 ガイドライン |
| 5.3 Conferences and trainings | 5.3 会議および研修 |
| 5.4 Study and research | 5.4 研究と調査 |
| 5.5 Other forms of support | 5.5 その他の支援 |
| 6 CONCLUSION | 6 結論 |
こんにちは、丸山満彦です。
損害保険ジャパン株式会社におけるビッグモーター社(株式会社ビッグモーター、株式会社ビーエムホールディングス、株式会社ビーエムハナテンの3社をいいます)による不適切な自動車保険金請求に関する社外調査委員会の調査報告書が公表されていますね。。
概要版から
3 調査目的
① 損害保険ジャパン株式会社(SJ)においては、BM【1】よる不正請求の疑いを認識したにもかかわらず、追加調査を実施することもなく、一旦停止していた BM への入庫紹介(DRS)を再開させた経営判断の在り方
② SJ からの出向者が BM による不正請求に関与していた疑いの有無
③ 親会社である SOMPO ホールディングス株式会社(SHD)のグループガバナンスの在り方
原因分析...
1 人的要因
⑴ 損害保険制度の社会的使命に対する自覚が乏しかったこと
⑵ 当社都合・代理店対応に重きを置く余り、真の顧客利益を重視し得なかったこと
⑶ リスク認識及び危機対応の前提としての想像力の乏しさ
⑷ 経営層と現場役職員との意識の著しい乖離
⑸ 役職員に見られる主体性の乏しさ(縦割り思考、他責思考)
2 制度的要因
⑴ 内部統制システムの不備及びコンプライアンス体制の機能不全
⑵ 営業部門の偏重と保サ部門の相対的弱体化により DRS の適正運用ができなかった
⑶ 背景事情
ア トップライン、マーケットシェアの偏重
イ 整備工場と保険代理店の兼業
ウ 生産性向上の歪み
⑷ SJ と SHD 間の適時・適切な意思疎通(報告連絡態勢)の不足によるグループガバナンスの実効性阻害
ということのようですね。。。
縮小していくマーケットで、各社生き残りをかけている状況では、どうしても過当競争状態が続きますよね。。。そして、それほど製品、サービスが他社差別化できていない、、、という状況では、
シェア重視、トップライン重視の評価になりがちですよね。。。
ということで、ビジネスをどうするのか?というところから踏み込まないと、このような不祥事は再発するかもしれませんね。。。
なお、調査報告書に関連して、山口先生のブログ、ビジネス法務の部屋の次の記事は興味深いです。。。
・2024.01.17 裁判例に学ぶ-不祥事発生時における調査委員会報告書の「光と影」
・2024.01.16 ビッグモーター事件-SOMPOホールディングスの「親会社監督責任」とは?
● SOMPOホールディングス
プレス...
・2025.01.016 [PDF] ビッグモーター社による不正事案に関する社外調査委員会の調査報告書受領について [downloaded]
報告書...
・ 【社外調査報告およびニュースリリース一覧】ビッグモーター社による不適切な自動車保険金請求への当社グループの対応
報告書...
・2024.01.16 [PDF] 【概要版】社外調査委員会の調査報告書 [downloaded]
・2024.01.16 [PDF] 【全文】社外調査委員会の調査報告書 [downloaded]
昨年10月に公表された中間報告書...
・2023.10.10 [PDF] 【参考】社外調査委員会の中間報告書 [downloaded]
● 損害保険ジャパン
・【一覧】ビッグモーター社による不適切な自動車保険金請求に関する当社対応
・【ニュースリリース一覧】ビッグモーター社による不適切な自動車保険金請求への当社対応
ビッグモーターの調査報告書...
● ビッグモーター
・2023.07.18 当社板金部門における不適切な請求問題に関するお詫びとご報告
・[PDF] 調査報告書 [downloaded]
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.01.03 金融庁 カルテル 大手損害保険会社に対する行政処分 (2023.12.26) +ビッグモーター案件
・2023.07.27 ビッグモーター 特別調査委員会 調査報告書
不払い問題の時...
・2005.09.19 損保不払い14社で50億円超す でも構造的な問題ではない
こんにちは、丸山満彦です。
国土安全保障サイバー安全審査会 (Cyber Safety Review Board; CSRB) は、国家運輸安全委員会 (National Transportation Safety Board; NTSB) [wiki] をモデルとして2021年のEO14028に基づいて設置された審査会ですね。。。第1回報告書は、Log4jに関する報告で、第2回報告書は2023年8月発表された「Lapsus$」に関する報告...をしています。。。第3回は、クラウドセキュリティ...
さて、この審査会の活動について米国上院国土安全保障・政府問題委員会で公聴会が開催され、委員会の様子や証言した資料が公表されていますね。。。
さて、証言の資料を読んでいて気づくことは、
成功の鍵の重要なことは
・運営の透明性
ということですかね。。。
・委員選定(独立性なども含めて)
・重要インシデントの選定(基準に従って行う)
・扱う情報は非機密情報(機密情報であれば、機密解除をする)
メンバーについては、常設のスタッフが必要という意見ですね。。。それに非常勤のメンバーを合わせるという感じですね。。。
日本でもサイバー事故調査委員会の議論があったと思いますが(今はどうなったか、しりませんが、、、)、もし、サイバー事故調査委員会を設置するのであれば、この公聴会の意見は非常に参考になると思います。
● U.S. Senate Committee on Homeland Security & Governmental Affairs
・2023.01.18 VIDEO: PETERS CONVENES HEARING TO EXAMINE THE CYBER SAFETY REVIEW BOARD’S STRUCTURE AND CAPABILITIES
内容については、こちらで確認できます。。。
・2023.01.18 THE CYBER SAFETY REVIEW BOARD: EXPECTATIONS, OUTCOMES, AND ENDURING QUESTIONS
証言者
・TARAH M. WHEELER
Chief Executive Officer
Red Queen Dynamics
・JOHN MILLER
Senior Vice President of Policy, Trust, Data, and Technology and General Counsel
Information Technology Industry Council
・TREY HERR, PH.D.
Director Cyber Statecraft Initiative
Atlantic Council
3つの文書の仮訳
・[DOCX] 仮訳
● ITI
・2024.01.17 ITI Testifies Before the U.S. Senate on Public-Private Cybersecurity Partnerships
| ITI Testifies Before the U.S. Senate on Public-Private Cybersecurity Partnerships | ITI、官民サイバーセキュリティ・パートナーシップについて米上院で証言 |
| WASHINGTON – In testimony before the U.S. Senate Committee on Homeland Security and Government Affairs today, global tech trade association ITI’s Senior Vice President of Policy and General Counsel John Miller highlighted the importance of public-private partnerships and collaboration in the United States to meet shared cybersecurity challenges. Miller’s testimony focused on the Cyber Safety Review Board (CSRB) and its unique and valuable role in improving the overall U.S. cybersecurity ecosystem. | ワシントン - 世界的なハイテク業界団体であるITIのジョン・ミラー上級副社長(政策・法務担当)は本日、米上院国土安全保障・政府委員会での証言で、サイバーセキュリティの課題を共有するための米国における官民パートナーシップと協力の重要性を強調した。ミラーの証言は、サイバー安全審査会(CSRB)と、米国のサイバーセキュリティ・エコシステム全体の改善におけるそのユニークで貴重な役割に焦点を当てた。 |
| Miller shared recommendations with Senators to help realize the vision and the promise of the CSRB, including getting its structure and governance right, the processes for selecting board membership and which incidents it investigates, and ensuring appropriate confidentiality and use of information provided during the Board’s investigations. | ミラーは、CSRBのビジョンと将来性を実現するための提言として、CSRBの構造とガバナンスを正しくすること、理事会メンバーの選出プロセスやどのインシデントを調査するのか、理事会の調査中に提供される情報の適切な機密保持と利用を確保することなどを、上院議員と共有した。 |
| “The Cyber Safety Review Board can play a valuable and complementary role in the existing public-private cybersecurity ecosystem if it is structured and scoped to investigate specific, significant cybersecurity incidents to create an authoritative record of what actually happened, and to provide useful analyses of the incidents - including actionable recommendations geared toward helping all stakeholders avoid the recurrence of similar incidents in the future,” Miller testified. | 「サイバーセキュリティ安全審査会は、特定の重大なサイバーセキュリティインシデントを調査し、実際に何が起きたのかについて権威ある記録を作成し、インシデントについて有益な分析(すべての利害関係者が将来同様のインシデントの再発を回避するための実用的な勧告を含む)を提供するような構造と規模であれば、既存の官民のサイバーセキュリティエコシステムにおいて、価値ある補完的な役割を果たすことができる」とミラーは証言した。 |
● まるちゃんの情報セキュリティ気まぐれ日記
サイバー安全審査会...
・2023.08.12 米国 国土安全保障省サイバー安全審査会 第3回の調査はクラウドセキュリティの予定
・2023.03.04 米国 国家サイバーセキュリティ戦略を発表
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
こんにちは、丸山満彦です。
米国の連邦取引委員会が、児童オンラインプライバシー保護規則の改正案について意見募集をしていますね。。。
・2024.01.11 Children's Online Privacy Protection Rule
変更ポイントは、背景の部分を読んでもらうと大体わかります。。。
具体的な変更については、「PART 312—CHILDREN'S ONLINE PRIVACY PROTECTION RULE」以下に記載があります。。。
日本でも個人情報保護法の見直しの検討が進んでいますが、おそらく日本でも子ども(児童)に対する保護についても議論がされるものと思われますので、参考になるかもですね。。。
内容とは関係ないですが、この改正による企業側の対応でどのくらいの社会的コストがかかるについて、「VI. ペーパーワーク削減法 」の部分で分析をしています。。。確か、英国でも同様のことをしていたと思います。。。
また、「VII. 規制柔軟性法」の部分では、この改正が零細企業に過大な負担をかけないことが説明されています。。。
日本でもこういう分析を義務付ければ良いのにね。。。
| Children's Online Privacy Protection Rule | 児童オンラインプライバシー保護規則 |
| AGENCY: | 政府機関 |
| Federal Trade Commission. | 連邦取引委員会 |
| ACTION: | 措置 |
| Notice of proposed rulemaking. | 規則制定案の通知 |
| SUMMARY: | 要旨 |
| The Commission proposes to amend the Children's Online Privacy Protection Rule, consistent with the requirements of the Children's Online Privacy Protection Act. The proposed modifications are intended to respond to changes in technology and online practices, and where appropriate, to clarify and streamline the Rule. The proposed modifications, which are based on the FTC's review of public comments and its enforcement experience, are intended to clarify the scope of the Rule and/or strengthen its protection of personal information collected from children. | 米国連邦取引委員会は、児童オンライン・プライバシー保護法の要件に基づき、児童オンライン・プライバシー保護規則を改正することを提案する。提案されている修正は、技術およびオンライン慣行の変化に対応し、必要に応じて規則を明確化および合理化することを目的としている。今回の修正案は、FTCによるパブリックコメントの検討および施行経験に基づくものであり、規則の範囲を明確にし、および/または児童から収集した個人情報の保護を強化することを意図している。 |
補足情報...
全体像...
| I. Background | I. 背景 |
| II. Comments on Expanding the COPPA Rule's Coverage | II. COPPA規則の適用範囲拡大に関する意見 |
| A. Amending the Definition of “Website or Online Service Directed to Children” | A. 児童向けウェブサイトまたはオンラインサービス」の定義の修正 |
| B. Changing the COPPA Rule's “Actual Knowledge” Standard | B. COPPA規則の「実際に知っている」標準の変更 |
| III. Comments on the Rebuttable Presumption | III. 反証可能推定に関する意見 |
| IV. Proposed Modifications to the Rule | IV. 規則の修正案 |
| A. Definitions (16 CFR 312.2) | A. 定義(16 CFR 312.2) |
| 1. Online Contact Information | 1. オンライン連絡先情報 |
| 2. Personal Information | 2. 個人情報 |
| a. Biometric Data | a. 生体データ |
| b. Inferred and Other Data | b. 推測されるデータおよびその他のデータ |
| c. Persistent Identifiers | c. 永続的識別情報 |
| 3. School and School-Authorized Education Purpose | 3. 学校および学校認可の教育目的 |
| 4. Support for the Internal Operations of the Website or Online Service | 4. ウェブサイトまたはオンラインサービスの内部運営の支援 |
| 5. Website or Online Service Directed to Children | 5. 児童向けのウェブサイトまたはオンラインサービス |
| a. Multi-Factor Test | a. 多要素テスト |
| b. Operators Collecting Personal Information From Other Websites and Online Services Directed to Children | b. 児童向けの他のウェブサイトおよびオンラインサービスから個人情報を収集する事業者 |
| c. Mixed Audience | c. 混合視聴者 |
| B. Notice (16 CFR 312.4) | B. 通知(16 CFR 312.4) |
| 1. Direct Notice to the Parent (Paragraph (b)) | 1. 親への直接通知(パラグラフ(b) |
| 2. Content of the Direct Notice (Paragraph (c)) | 2. 直接通知の内容(パラグラフ(c) |
| 3. Notice on the Website or Online Service (Paragraph (d)) | 3. ウェブサイトまたはオンラインサービスにおける通知(パラグラフ(d) |
| 4. Additional Notice on the Website or Online Service Where an Operator Has Collected Personal Information Under § 312.5(c)(10) (New Paragraph § 312.4(e)) | 4. 事業者が312.5条(c)(10)に基づき個人情報を収集したウェブサイトまたはオンラインサービスにおける追加通知(新段落312.4条(e) |
| C. Parental Consent (16 CFR 312.5) | C. 保護者の同意(16 CFR 312.5) |
| 1. General Requirements (Paragraph (a)) | 1. 一般要件(パラグラフ(a) |
| 2. Methods for Verifiable Parental Consent (Paragraph (b)) | 2. 確認可能な親の同意の方法(パラグラフ(b) |
| 3. Exceptions to Prior Parental Consent (Paragraph (c)) | 3. 親の事前同意の例外(第(c)項) |
| a. School Authorization Exception | a. 学校認可の例外 |
| i. Whether To Include a School Authorization Exception in the Rule | i. 学校認可の例外を規則に含めるかどうか |
| ii. Permitted Use of Data Collected Through the School Authorization Exception | ii. 学校認可の例外を通じて収集されたデータの許可された使用 |
| iii. Who at the school should provide authorization? | iii. 学校の誰が認可を行うべきか? |
| iv. Notice to Parents | iv. 保護者への通知 |
| b. Audio File Exception | b. 音声ファイルの例外 |
| c. Other Exceptions | c. その他の例外 |
| D. Right To Review Personal Information Provided by a Child (16 CFR 312.6) | D. 児童がプロバイダから提供された個人情報を確認する権利(16 CFR 312.6) |
| E. Prohibition Against Conditioning a Child's Participation on Collection of Personal Information (16 CFR 312.7) | E. 個人情報の収集に児童の参加を条件付けることの禁止(16 CFR 312.7) |
| F. Confidentiality, Security, and Integrity of Personal Information Collected From Children (16 CFR 312.8) | F. 児童から収集した個人情報の機密性、安全性、完全性(16 CFR 312.8) |
| G. Data Retention and Deletion Requirements (16 CFR 312.10) | G. データ保持および削除要件(16 CFR 312.10) |
| H. Safe Harbor (16 CFR 312.11) | H. セーフハーバー(16 CFR 312.11) |
| 1. Criteria for Approval of Self-Regulatory Program Guidelines (§ 312.11(b)) | 1. 自主規制プログラムガイドラインの承認基準(§312.11(b) |
| 2. Reporting and Recordkeeping Requirements (§ 312.11(d) and § 312.11(f)) | 2. 報告および記録の要件(§312.11(d)および§312.11(f) |
| 3. Revocation of Approval of Self-Regulatory Program Guidelines (Current § 312.11(f), Proposed To Be Renumbered as § 312.11(g)) | 3. 自主規制プログラムガイドラインの承認の取り消し(現行§312.11(f)、§312.11(g)への改称提案) |
| I. Voluntary Commission Approval Processes (16 CFR 312.12) | I. 自主的な委員会の承認プロセス(16 CFR 312.12) |
| V. Request for Comment | V. 意見要求 |
| VI. Paperwork Reduction Act | VI. ペーパーワーク削減法 |
| A. Number of Respondents | A. 対応者の数 |
| B. Recordkeeping Hours | B. 記録時間 |
| C. Disclosure Hours | C. 開示時間 |
| 1. New Operators' Disclosure Burden | 1. 新規事業者の情報開示負担 |
| 2. Existing Operators' Disclosure Burden | 2. 既存事業者の開示負担 |
| D. Reporting Hours | D. 報告時間 |
| E. Labor Costs | E. 人件費 |
| 1. Disclosure | 1. 情報開示 |
| a. New Operators | a. 新規オペレーター |
| b. Existing Operators | b. 既存のオペレーター |
| 2. Reporting | 2. 報告 |
| F. Non-Labor/Capital Costs | F. 人件費以外の費用 |
| VII. Regulatory Flexibility Act | VII. 規制柔軟性法 |
| A. Reasons for the Proposed Rule | A. 規則案の理由 |
| B. Statement of Objectives and Legal Basis | B. 目的および法的根拠の記述 |
| C. Description and Estimated Number of Small Entities to Which the Rule Will Apply |
C. 規則が適用される小規模事業体の説明と推定数 |
| D. Projected Reporting, Recordkeeping, and Other Compliance Requirements | D. 報告、記録、およびその他の遵守要件の予測 |
| E. Identification of Duplicative, Overlapping, or Conflicting Federal Rules | E. 重複、重複、または矛盾する連邦規則の特定 |
| F. Discussion of Significant Alternatives | F. 重要な代替案の検討 |
| VIII. Communications by Outside Parties to the Commissioners or Their Advisors | VIII. 外部関係者による委員会またはそのアドバイザーへのコミュニケーション |
| IX. Questions for the Proposed Revisions to the Rule | IX. 規則改正案に対する質問事項 |
まずは、I. 背景から...
| I. Background | I. 背景 |
| Congress enacted the Children's Online Privacy Protection Act (“COPPA” or “COPPA statute”), 15 U.S.C. 6501 et seq., in 1998. The COPPA statute directed the Federal Trade Commission (“Commission” or “FTC”) to promulgate regulations implementing COPPA's requirements. On November 3, 1999, the Commission issued its Children's Online Privacy Protection Rule, 16 CFR part 312 (“COPPA Rule” or “Rule”), which became effective on April 21, 2000.[1] Section 6506 of the COPPA statute and § 312.11 of the initial Rule required that the Commission initiate a review no later than five years after the initial Rule's effective date to evaluate the Rule's implementation. The Commission commenced this mandatory review on April 21, 2005.[2] After receiving and considering extensive public comment, the Commission determined in March 2006 to retain the COPPA Rule without change.[3] In 2010, the Commission once again undertook a review of the COPPA Rule to determine whether the Rule was keeping pace with changing technology. After notice and comment, the Commission issued final amendments to the Rule, which became effective on July 1, 2013 (“2013 Amendments”)).[4] | 連邦議会は1998年にChildren's Online Privacy Protection Act(「COPPA」または「COPPA法」)(15 U.S.C. 6501 et seq.)を制定した。COPPA法は、連邦取引委員会(「委員会」または「FTC」)にCOPPAの要件を実施する規制を公布するよう指示した。1999年11月3日、委員会は、16 CFR part 312「Children's Online Privacy Protection Rule」(「COPPA規則」または「規則」)を発表し、2000年4月21日に発効した[1]。COPPA法の第6506条および最初の規則の第312.11条は、規則の実施を評価するために、最初の規則の発効日から5年以内にレビューを開始するよう委員会に義務付けた。委員会は、2005年4月21日にこの強制的な見直しを開始した[2]。広範なパブリックコメントを受け、検討した結果、委員会は2006年3月にCOPPA規則を変更せずに維持することを決定した[3]。2010年、委員会は、COPPA規則が技術の変化に対応しているかどうかを判断するために、再度COPPA規則の見直しを行った。通知とコメントの後、委員会は規則の最終改正を発表し、2013年7月1日に発効した(「2013年改正」)[4]。 |
| The COPPA Rule imposes certain requirements on operators of websites [5] or online services directed to children under 13 years of age, and on operators of websites or online services that have actual knowledge that they are collecting personal information online from a child under 13 years of age (collectively, “operators”). The Rule requires that operators provide notice to parents and obtain verifiable parental consent before collecting, using, or disclosing personal information from children under 13 years of age.[6] Additionally, the Rule requires that operators must provide parents the opportunity to review the types or categories of personal information collected from their child, the opportunity to delete the collected information, and the opportunity to prevent further use or future collection of personal information from their child.[7] The Rule also requires operators to keep personal information they collect from children secure, including by imposing retention and deletion requirements, and prohibits them from conditioning children's participation in activities on the collection of more personal information than is reasonably necessary to participate in such activities.[8] The Rule contains a “safe harbor” provision enabling industry groups or others to submit to the Commission for approval self-regulatory guidelines that would implement the Rule's protections.[9] | COPPA規則は、13歳未満の児童に向けたウェブサイト[5]またはオンラインサービスの運営者、および13歳未満の児童からオンラインで個人情報を収集していることを実際に知っているウェブサイトまたはオンラインサービスの運営者(以下、総称して「運営者」)に一定の要件を課している。同規則は、13歳未満の児童から個人情報を収集、使用、開示する前に、事業者が保護者に通知し、検証可能な保護者の同意を得ることを求めている[6]。さらに、同規則は、事業者が保護者に対し、児童から収集した個人情報の種類またはカテゴリーを確認する機会、収集した情報を削除する機会、および児童からの個人情報のさらなる使用または将来の収集を防止する機会を提供しなければならないことを求めている[7]。また、同規則は、事業者に対して、保管および削除の要件を課すなどして、児童から収集した個人情報を安全に保管することを求めており、児童の活動への参加を、当該活動への参加に合理的に必要な以上の個人情報の収集に条件付けることを禁止している[8]。同規則には「セーフハーバー」規定があり、業界団体などが同規則の保護を実施する自主規制ガイドラインを委員会に提出し、承認を得ることができる[9]。 |
| The 2013 Amendments [10] revised the COPPA Rule to address changes in the way children use and access the internet, including through the increased use of mobile devices and social networking. In particular, the 2013 Amendments: | 2013年の改正[10]では、モバイル機器やソーシャルネットワーキングの利用増加など、児童のインターネット利用・アクセス方法の変化に対応するため、COPPA規則を改正した。特に、2013年改正では |
| ・Modified the definition of “operator” to make clear that the Rule covers an operator of a child-directed website or online service that integrates outside services—such as plug-ins or advertising networks—that collect personal information from the website's or online service's visitors, and expanded the definition of “website or online service directed to children” to clarify that those outside services are subject to the Rule where they have actual knowledge that they are collecting personal information directly from users of a child-directed website or online service; | ・「運営者」の定義を変更し、ウェブサイトやオンラインサービスの訪問者から個人情報を収集するプラグインや広告ネットワークなどの外部サービスを統合する児童向けウェブサイトまたはオンラインサービスの運営者が規則の対象となることを明確にした。また、「児童向けウェブサイトまたはオンラインサービス」の定義を拡大し、これらの外部サービスが児童向けウェブサイトまたはオンラインサービスの利用者から直接個人情報を収集していることを実際に知っている場合、規則の対象となることを明確にした; |
| ・Permitted a subset of child-directed websites or online services that do not target children as their primary audience to differentiate among users, requiring them to comply with the Rule's obligations only as to users who identify as under the age of 13; | ・児童を主な対象としていない児童向けウェブサイトまたはオンラインサービスのサブセットに対し、利用者を区別することを許可し、13歳未満であることを確認した利用者に対してのみ規則の義務を遵守することを義務付けた; |
| ・Expanded the definition of “personal information” to include geolocation information; photos, videos and audio files containing a child's image or voice; and persistent identifiers that can be used to recognize a user over time and across different websites or online services; | ・個人を特定できる情報」の定義を拡大し、地理的位置情報、児童の画像や音声を含む写真、ビデオ、音声ファイル、および長期的かつ異なるウェブサイトやオンラインサービス間でユーザーを認識するために使用できる永続的識別子を含める; |
| ・Streamlined the direct notice requirements to ensure that key information is presented to parents in a succinct “just-in-time” notice; | ・重要な情報が簡潔な「ジャストインタイム」通知で保護者に提示されるよう、直接通知の要件を合理化した; |
| ・Expanded the non-exhaustive list of acceptable methods for obtaining prior verifiable parental consent; | ・事前に検証可能な保護者の同意を得るための許容可能な方法の非網羅的リストを拡大した; |
| • Created three new exceptions to the Rule's notice and consent requirements, including for the use of persistent identifiers for the support for the internal operations of a website or online service; | - ウェブサイトやオンラインサービスの内部運営をサポートするための永続的識別子の使用を含め、規則の通知と同意の要件に3つの新しい例外を設けた; |
| ・Strengthened data security protections by requiring operators to take reasonable steps to release children's personal information only to service providers and third parties who are capable of maintaining the confidentiality, security, and integrity of such information, and required reasonable data retention and deletion procedures; and | ・児童の個人情報を、当該情報の機密性、安全性、完全性を維持できるサービスプロバイダーおよびサードパーティにのみ開示するための合理的な措置を講じることを事業者に義務付けるとともに、合理的なデータ保持および削除手順を義務付けることにより、データセキュリティ保護を強化した。 |
| • Strengthened the Commission's oversight of self-regulatory safe harbor programs.[11] | - 自主規制のセーフハーバープログラムに対する委員会の監督を強化した[11]。 |
| On July 25, 2019, the FTC announced in the Federal Register that it was again undertaking a review of the COPPA Rule, noting that questions had arisen about the Rule's application to the educational technology (“ed tech”) sector, voice-enabled connected devices, and general audience platforms that host third-party child-directed content (“2019 Rule Review Initiation”).[12] The Commission sought public comment on these and other issues in its 2019 Rule Review Initiation. In addition to its standard regulatory review questions to determine whether the Commission should retain, eliminate, or modify the COPPA Rule, the Commission asked whether the 2013 Amendments have resulted in stronger protections for children and whether the revisions have had any negative consequences. The Commission also posed specific questions about the Rule's provisions, including the Rule's definitions, notice and consent requirements, access and deletion rights, security requirements, and safe harbor provisions. | 2019年7月25日、FTCは連邦官報で、教育技術(「ed tech」)分野、音声対応コネクテッドデバイス、サードパーティが児童向けコンテンツをホストする一般視聴者向けプラットフォームへの規則の適用について疑問が生じていることを指摘し、COPPA規則の見直しを再び行うと発表した(「2019 Rule Review Initiation」)[12委員会は、2019年規則見直しの開始において、これらおよびその他の問題についてパブリックコメントを求めた。委員会は、COPPA規則を維持すべきか、廃止すべきか、または修正すべきかを判断するための標準的な規制見直しの質問に加えて、2013年の改正が児童の保護を強化する結果になったかどうか、また改正が悪影響を及ぼしたかどうかを尋ねた。また、委員会は、規則の定義、通知と同意の要件、アクセスと削除の権利、セキュリティ要件、セーフハーバー規定など、規則の規定に関する具体的な質問も行った。 |
| During the comment period, the Commission held a public workshop on October 7, 2019, to discuss in detail several of the areas where it sought public comment (“COPPA Workshop”).[13] Specific discussion included such topics as application of the COPPA Rule to the ed tech sector, how the development of new technologies and business models have affected children's privacy, and whether the 2013 Amendments have worked as intended. | 意見募集期間中、委員会は2019年10月7日に公開ワークショップを開催し、パブリックコメントを求めたいくつかの分野について詳細に議論した(「COPPAワークショップ」)[13]。 具体的な議論には、COPPA規則のEd Tech分野への適用、新しい技術やビジネスモデルの発展が児童のプライバシーにどのような影響を与えたか、2013年改正が意図したとおりに機能したかどうかなどのトピックが含まれた。 |
| In response to the 2019 Rule Review Initiation, the Commission received more than 175,000 comments from various stakeholders, including industry representatives, video content creators, consumer advocacy groups, academics, technologists, FTC-approved COPPA Safe Harbor programs, members of Congress, and individual members of the public. While many of these comments expressed overall support for COPPA,[14] the comments identified a number of areas where the Commission could provide additional clarification or guidance about the COPPA Rule's requirements. The comments also proposed a number of potential changes to the Rule. | 2019年の規則見直し開始を受けて、委員会は業界代表者、動画コンテンツ制作者、消費者擁護団体、学者、技術者、FTCが承認したCOPPAセーフハーバープログラム、連邦議会議員、一般市民など、さまざまな関係者から17万5000件以上の意見を受け取った。これらの意見の多くはCOPPAに対する全体的な支持を表明していたが[14]、COPPA規則の要件について委員会が追加的な明確化またはガイダンスを提供できる多くの分野が特定された。また、これらのコメントは、規則に対する多くの潜在的な変更を提案した。 |
| Following consideration of the submitted public comments, viewpoints expressed during the COPPA Workshop, and the Commission's experience enforcing the Rule, the Commission proposes modifying most provisions of the Rule. Part II of this notice of proposed rulemaking (“NPRM”) discusses commenters' calls to expand the COPPA Rule's coverage by amending the definition of “website or online service directed to children” or by changing the Rule's actual knowledge standard. Part III of this NPRM discusses commenters' viewpoints on whether the Commission should permit general audience platforms that allow third parties to upload content to the platform to rebut the presumption that all users of uploaded child-directed content are children. Part IV addresses the Commission's proposed modifications to the Rule. Parts V–X provide information about requests for comment, the Paperwork Reduction Act, the Regulatory Flexibility Act, communications by outside parties to the Commissioners or their advisors, questions for the proposed revisions to the Rule, a list of subjects in the Rule, and the amended text of the Rule. | 提出されたパブリックコメント、COPPAワークショップで表明された見解、および委員会の規則の施行経験を考慮した結果、委員会は規則のほとんどの条項を修正することを提案する。本通知の第2部では、「児童に向けたウェブサイトまたはオンラインサービス」の定義を修正すること、または規則の標準を変更することにより、COPPA規則の適用範囲を拡大することを求める意見について述べる。本NPRMの第3部では、サードパーティにコンテンツのアップロードを許可している一般視聴者向けプラットフォームに対し、アップロードされた児童向けコンテンツの利用者はすべて児童であるという推定を覆すことを、委員会が許可すべきかどうかについてのコメント提出者の見解について論じている。第IV部では、委員会が提案する規則の修正について述べる。第V部から第X部では、意見要求、ペーパーワーク削減法、規制柔軟性法、委員会またはそのアドバイザーに対する外部当事者によるコミュニケーション、規則の修正案に対する質問、規則の主題リスト、および規則の修正文に関する情報を提供する。 |
・II. COPPA規則の適用範囲拡大に関する意見...
A. 「児童向けウェブサイトまたはオンラインサービス」の定義の修正
B. COPPA規則の「実際に知っている」標準の変更
| II. Comments on Expanding the COPPA Rule's Coverage | II. COPPA規則の適用範囲拡大に関する意見 |
| As part of its 2019 Rule Review Initiation, the Commission requested comment on questions regarding whether the Commission should revise the definition of “website or online service directed to children.” In response, the Commission received various comments regarding expanding the COPPA Rule's coverage by either amending the definition of “website or online service directed to children” or by changing the Rule's actual knowledge standard. This Part includes discussion of comments advocating for and against such expansions. | 2019年規則見直し開始の一環として、委員会は、委員会が "児童に向けたウェブサイトまたはオンラインサービス "の定義を改定すべきかどうかに関する質問に対する意見を要求した。これに対し、委員会は、「児童に向けられたウェブサイトまたはオンラインサービス」の定義を修正するか、または規則の実際の知識標準を変更することにより、COPPA規則の適用範囲を拡大することに関する様々なコメントを受け取った。本パートでは、このような適用範囲の拡大を支持する意見と反対する意見について説明する。 |
| A. Amending the Definition of “Website or Online Service Directed to Children” | A. 「児童向けウェブサイトまたはオンラインサービス」の定義の修正 |
| In its 2019 Rule Review Initiation, the Commission asked for comment on various aspects of the Rule's definition of “website or online service directed to children.” Among other questions, the Commission asked whether it should amend the definition to address websites and online services that do not include traditionally child-oriented activities but still have large numbers of child users.[15] | 2019年規則見直し開始において、委員会は、規則の「児童向けウェブサイトまたはオンラインサービス」の定義の様々な側面について意見を求めた。中でも、委員会は、伝統的に児童向けの活動を含まないが、それでも多数の児童ユーザーを抱えるウェブサイトやオンラインサービスに対応するために、定義を修正すべきかどうかを尋ねている[15]。 |
| Some commenters argued that the definition of “website or online service directed to children” should be modified to include sites and services with large numbers of children, those with a certain percentage of child users, or those that include child-attractive content.[16] For example, FTC-approved COPPA Safe Harbor program PRIVO asserted that general audience services with large numbers of children should be required to comply with COPPA, noting that “[s]ervices not targeted to children that have large numbers of children must be addressed as it can result in online harm to the child due to inherent privacy and safety risks.” [17] PRIVO further argued that the Commission should define thresholds for the number of child users at which COPPA's protections must be provided.[18] Similarly, Common Sense Media encouraged the Commission to interpret the definition of “website or online service directed to children” to include “sites and services that attract, or are likely to be accessed by, disproportionate numbers of children.” [19] | 一部のコメント提出者は、「児童向けウェブサイトまたはオンラインサービス」の定義を修正し、多数の児童が利用するサイトやサービス、一定の割合で児童が利用するサイトやサービス、または児童に魅力的なコンテンツを含むサイトやサービスを含めるべきだと主張した。 [例えば、FTCが承認したCOPPAセーフハーバープログラムであるPRIVOは、"多数の児童がいる児童を対象としていないサービスは、内在するプライバシーと安全のリスクにより、児童にオンライン上の危害をもたらす可能性があるため、対処しなければならない "と指摘し、多数の児童がいる一般視聴者向けサービスにもCOPPAの遵守を求めるべきであると主張した[16]。 [17]保護はさらに、委員会がCOPPAの保護を提供しなければならない児童のユーザー数のしきい値を定義すべきだと主張した[18]。同様に、コモン・センス・メディアは、「児童を対象としたウェブサイトまたはオンラインサービス」の定義に、「不釣り合いな数の児童がアクセスする、またはアクセスする可能性のあるサイトやサービス」を含めるように解釈するよう委員会に促した。 [19] |
| However, other commenters opposed expanding the definition of “website or online service directed to children” in such ways.[20] For example, The Toy Association opposed the adoption of a numerical or percentage audience threshold as a determinative factor in identifying child-directed websites or online services.[21] Similarly, panelists during the COPPA Workshop noted that “[a]ttractive to children is very different from targeted to children,” [22] and that COPPA's statutory language is “child-directed” and not “child-attractive.” [23] Commenters raised additional concerns with expanding the definition to include sites and services that do not include child-oriented activities but have large numbers of children, including because such a change would be inconsistent with the statute,[24] decrease online offerings for children,[25] be unduly burdensome to operators of non-child-directed websites or online services,[26] and lead to regulatory uncertainty.[27] Some commenters also noted that this amendment would be unnecessary since the definition already includes “competent and reliable empirical evidence regarding audience composition” as a factor to consider in determining whether a site or service is directed to children.[28] | しかし、他のコメント提出者は、そのような方法で「児童に向けられたウェブサイトまたはオンラインサービス」の定義を拡大することに反対した[20]。例えば、The Toy Associationは、児童に向けられたウェブサイトまたはオンラインサービスを特定する決定要因として、数値またはパーセンテージの視聴者閾値を採用することに反対した[21]。同様に、COPPAワークショップのパネリストは、「児童にとって魅力的であることは、児童をターゲットにしたものとは全く異なる」[22]と指摘し、COPPAの法定文言は「児童に向けられた」ものであり、「児童に魅力的な」ものではないと指摘した[23]。 [このような変更は法令と矛盾し[24]、児童向けのオンラインサービスを減少させ[25]、児童向けでないウェブサイトやオンラインサービスの運営者に不当に負担をかけ[26]、規制の不確実性につながるためである。 [27]また、サイトやサービスが児童向けかどうかを判断する際に考慮すべき要素として、定義に「視聴者構成に関する有能かつ信頼できる経験的証拠」が既に含まれているため、この改正は不要であると指摘する意見もあった[28]。 |
| During the Rule review that resulted in the 2013 Amendments, the Commission considered amending the definition of “website or online service directed to children” to cover sites or services that “[b]ased on the overall content of the website or online service, [are] likely to attract an audience that includes a disproportionately large percentage of children under age 13 as compared to the percentage of such children in the general population. . . .” [29] In response, the Commission received numerous comments raising concerns that such a standard was vague, potentially unconstitutional, and unduly expansive, and could lead to widespread age-screening and more intensive age verification across all websites and online services.[30] In ultimately declining to adopt this standard, the Commission stated it did not intend to expand the reach of the Rule to include additional sites and services. | 2013年の改正につながった規則見直しの中で、委員会は、「ウェブサイトまたはオンラインサービスの全体的なコンテンツに基づき、一般人口におけるそのような児童の割合と比較して、不釣り合いに大きな割合の13歳未満の児童を含む視聴者を惹きつける可能性が高い」サイトまたはサービスを対象とするよう、「児童向けのウェブサイトまたはオンラインサービス」の定義を修正することを検討した。. . ." [29]これに対し、委員会は、このような標準は曖昧で、違憲の可能性があり、不当に拡大解釈されており、すべてのウェブサイトやオンラインサービスにおいて、年齢審査やより集中的な年齢確認が広まる可能性があるとの懸念を示す多数のコメントを受け取った[30]。最終的にこの標準の採用を断念するにあたり、委員会は、追加的なサイトやサービスにまで規則の適用範囲を拡大するつもりはないと述べた。 |
| The Commission again declines to modify the Rule in this manner. The definition of “website or online service directed to children” includes a number of factors the Commission will consider in determining whether a particular website or online service is child-directed, including consideration of “competent and reliable empirical evidence regarding audience composition.” Because the Commission already considers the demographics of a website's or online service's user base in its determination, the Commission does not believe it is necessary to modify the definition. | 委員会は、このような形で規則を修正することを再度拒否する。児童向けウェブサイトまたはオンラインサービス」の定義には、特定のウェブサイトまたはオンラインサービスが児童向けかどうかを判断する際に、委員会が考慮する多くの要素が含まれており、その中には「視聴者構成に関する有能で信頼できる実証的証拠」の考慮も含まれている。委員会は、その判断において、ウェブサイトまたはオンラインサービスの利用者層をすでに考慮しているため、定義を変更する必要はないと考えている。 |
| Similarly, the Commission also previously considered amending the Rule to set forth that websites and online services with a specified percentage of child users would be considered directed to children. As part of the Rule review that led to the 2013 Amendments, the Institute for Public Representation recommended that the Commission amend the Rule so that a website per se should be deemed “directed to children” if audience demographics show that 20% or more of its visitors are children under age 13.[31] The Commission determined not to adopt this as a per se legal standard, in part because the Commission noted that the definition of “website or online service directed to children” already positions the Commission to consider empirical evidence of the number of child users on a site. | 同様に、委員会は以前にも、児童の利用者が一定の割合を占めるウェブサイトやオンラインサービスを児童向けとみなすことを規定する規則の改正を検討したことがある。2013年の改正につながった規則見直しの一環として、Institute for Public Representationは、視聴者の人口統計から、そのウェブサイトの訪問者の20%以上が13歳未満の児童である場合、そのウェブサイト自体を「児童向け」とみなすよう、規則を改正するよう委員会に勧告した[31]。委員会は、「児童向けウェブサイトまたはオンラインサービス」の定義が、サイトにおける児童の利用者数に関する経験的証拠を考慮するよう、すでに委員会に位置づけていることを指摘したこともあり、これをそれ自体の法的標準として採用しないことを決定した。 |
| While the Commission continues to believe that there are good reasons not to ground COPPA liability simply on an assessment of the percentage of a site's or service's audience that is under 13, the Commission would like to obtain additional comment on whether it should provide an exemption under which an operator's site or service would not be deemed child-directed if the operator undertakes an analysis of the site's or service's audience composition and determines that no more than a specific percentage of its users are likely to be children under 13. In particular, the Commission seeks comment on (1) whether the Rule should provide an exemption or other incentive to encourage operators to conduct an analysis of their sites' or services' user bases; (2) what the reliable means are by which operators can determine the likely ages of a site's or service's users; (3) whether and how the COPPA Rule should identify such means; (4) what the appropriate percentage of users should be to qualify for this potential exemption; [32] and (5) whether such an exemption would be inconsistent with the COPPA Rule's multi-factor test for determining whether a website or online service, or a portion thereof, is directed to children. | 委員会は、サイトまたはサービスの利用者のうち、13歳未満の利用者が占める割合を評価するだけで、COPPAの法的責任を根拠づけるべきでない十分な理由があると引き続き考えているが、委員会は、運営者がサイトまたはサービスの利用者構成の分析を行い、利用者のうち13歳未満の児童が占める割合が特定の割合以下であると判断した場合、その運営者のサイトまたはサービスは児童向けとはみなされないという免除規定を設けるべきかどうかについて、追加的なコメントを得たいと考えている。特に、委員会は、(1)事業者がサイトまたはサービスの利用者基盤の分析を行うことを奨励するために、規則が免除またはその他のインセンティブを提供すべきかどうか、(2)事業者がサイトまたはサービスの利用者の年齢を判断するための信頼できる手段は何か、について意見を求めている; (3) COPPA規則がそのような手段を特定すべきかどうか、またどのように特定すべきか、(4) この潜在的な免除の対象となるユーザーの適切な割合はどの程度である[32]か、(5) そのような免除が、ウェブサイトまたはオンラインサービス、またはその一部が児童に向けられているかどうかを判断するためのCOPPA規則の多要素テストと矛盾するかどうか。 |
| B. Changing the COPPA Rule's “Actual Knowledge” Standard | B. COPPA規則の「実際に知っている」標準の変更 |
| In responding to the Commission's request for comment on the definition of “website or online service directed to children,” a number of commenters recommended that the Commission revise COPPA's actual knowledge standard by moving to a constructive knowledge standard.[33] Namely, these commenters sought to bring within COPPA's jurisdiction those operators that have reason to know they may be collecting information from a child and those operators that willfully avoid gaining actual knowledge that they are collecting information from a child. Common Sense Media, for example, encouraged the Commission to broaden its view of “actual knowledge” to prevent the “willful disregard that children's personal[ ] information is being collected.” [34] Other commenters, referencing the California Consumer Privacy Act, similarly recommended that COPPA's actual knowledge standard should cover operators of general audience sites and services that ignore or willfully disregard the age of their users.[35] Children's privacy advocate 5Rights Foundation further recommended that the Commission should consider current and historic audience composition evidence of both the specific service and similar services in determining whether an operator has met the actual knowledge standard.[36] | 「児童に向けたウェブサイトまたはオンラインサービス」の定義に関する委員会の意見要求に対し、多くの意見提出者は、推定的知識基準に移行することにより、COPPAの実際の知識基準を改訂することを推奨した[33]。すなわち、これらのコメント提出者は、児童から情報を収集している可能性があることを知る理由がある事業者と、児童から情報を収集していることを実際に知ることを故意に回避している事業者をCOPPAの管轄範囲に入れることを求めた。例えば、コモン・センス・メディアは、「児童の個人情報が収集されていることを故意に無視する」ことを防ぐために、「実際に知っている」という見方を拡大するよう委員会に促した。 [34] カリフォルニア州消費者プライバシー法(California Consumer Privacy Act)を参照した他のコメント提出者も同様に、COPPAの「実際に知っている」標準は、利用者の年齢を無視したり故意に無視したりする一般視聴者向けサイトやサービスの運営者を対象とすべきであると提言した[35]。児童のプライバシーを擁護する5Rights Foundationはさらに、委員会は、運営者が実際の知識基準を満たしたかどうかを判断する際に、特定のサービスと類似のサービスの両方について、現在および過去の視聴者構成の証拠を考慮すべきであると勧告した[36]。 |
| A number of industry commenters opposed the Commission adopting a constructive knowledge standard. Several of these commenters pointed to the COPPA statute's language [37] and argued that the Commission lacks authority to change the actual knowledge standard.[38] Others asserted that a constructive knowledge standard would result in operators collecting additional data from all users, including children, and might lead to a reduction in available online content because operators may decide to withdraw content intended for teenagers and young adults to avoid the risk of interacting with children.[39] Additionally, the Association of National Advertisers stated that a constructive knowledge standard would conflict with the Commission's long-established position that operators are not obligated to investigate the age of their users [40] and would increase uncertainty about companies' potential COPPA obligations.[41] Similarly, Engine, a non-profit policy organization, noted that moving from the “bright-line” standard of actual knowledge to a less clear constructive knowledge standard could disproportionately burden small companies and start-ups.[42] | 多くの業界関係者は、委員会が推定的知識基準を採用することに反対した。そのうちの何人かは、COPPA法の文言[37]を指摘し、委員会には実際の知識基準を変更する認可がないと主張した[38]。 また、構成的知識基準は、事業者が児童を含むすべての利用者から追加的なデータを収集することになり、利用可能なオンラインコンテンツの減少につながる可能性があると主張する者もいた。というのも、事業者は、児童たちとの交流のリスクを避けるために、ティーンエイジャーや若年成人向けのコンテンツを取りやめることを決定するかもしれないからである[39]。さらに、全米広告主協会は、構成的知識標準は、事業者は利用者の年齢を調査する義務はないという委員会の長年確立された立場と対立し[40]、企業の潜在的なCOPPA義務に関する不確実性を増大させると述べている[41]。同様に、非営利の政策団体であるEngineは、実際の知識という「明瞭な」標準から、より明確でない構成的な知識の標準に移行することは、小規模な企業や新興企業に不釣り合いな負担を強いる可能性があると指摘した[42]。 |
| The Commission declines to change the Rule to bring operators of general audience sites and services under COPPA's jurisdiction based on constructive knowledge. As the Commission noted in 2011, Congress has already rejected a constructive knowledge approach with respect to COPPA. Specifically, the legislative history indicates that Congress originally drafted COPPA to apply to operators that “knowingly” collect personal information from children, a standard which would include actual, implied, or constructive knowledge.[43] After consideration of witness testimony, however, Congress modified the knowledge standard in the final legislation to require “actual knowledge.” [44] This deliberate decision to reject the more expansive approach makes clear that Congress did not intend for the “actual knowledge” standard to be read to include the concept of constructive knowledge. The Commission rejected calls for a move to a lesser knowledge standard for general audience operators while considering the 2013 Amendments,[45] and the Commission again declines to do so.[46] | 委員会は、一般視聴者向けのサイトやサービスの運営者を、推定的知識に基づいてCOPPAの管轄下に置くために規則を変更することを拒否する。2011年に委員会が指摘したように、COPPAに関して、議会はすでに推定的知識アプローチを否定している。具体的には、立法経緯によると、議会は当初、COPPAを「故意に」児童から個人情報を収集する事業者に適用するようドラフトしており、この標準には実際の知識、黙示的な知識、または推定的な知識が含まれる[43]。しかし、目撃者の証言を考慮した後、議会は最終法案で知識標準を修正し、「実際の知識」を要求した。 [44] より拡大的なアプローチを拒否するというこの意図的な決定により、議会は「実際の知識」標準が構成的知識の概念を含むように読まれることを意図していなかったことが明らかになった。委員会は、2013年の改正を検討している間、一般的な視聴者である事業者について、より緩やかな知識標準への移行を求める声を拒否しており[45]、委員会は今回もこれを拒否している[46]。 |
・III. 反証可能推定に関する意見...
| III. Comments on the Rebuttable Presumption | III. 反証可能推定に関する意見 |
| Operators of websites or online services directed to children that collect personal information from their users must comply with COPPA regardless of whether they have actual knowledge that a particular user is, in fact, a child. Accordingly, as a practical matter, operators of child-directed sites and services must presume that all users are children.[47] | 利用者から個人情報を収集する児童向けのウェブサイトまたはオンラインサービスの運営者は、特定の利用者が実際に児童であることを実際に知っているかどうかにかかわらず、COPPAを遵守しなければならない。したがって、実際問題として、児童向けのサイトやサービスの運営者は、すべてのユーザーが児童であると推定しなければならない[47]。 |
| Through the 2013 Amendments, the Commission extended COPPA liability to operators that have actual knowledge they are collecting personal information directly from the users of another website or online service that is child-directed.[48] Under the Rule, such an operator “has effectively adopted that child-directed content as its own and that portion of its service may appropriately be deemed to be directed to children.” [49] | 2013年の改正を通じて、委員会は、児童向けである別のウェブサイトまたはオンラインサービスのユーザーから直接個人情報を収集していることを実際に知っている運営者にCOPPAの責任を拡大した[48]。規則の下では、そのような運営者は「その児童向けコンテンツを事実上自社のものとして採用したことになり、そのサービスのその部分は適切に児童向けとみなされる可能性がある」[49]。 |
| The Commission sought comments in its 2019 Rule Review Initiation on whether it should permit general audience platforms that allow third parties to upload content to the platform to rebut the presumption that all users of uploaded child-directed content are in fact children. In seeking comment on this issue, the Commission stated that absent actual knowledge that the uploaded content is child-directed, the platform operator is not responsible for complying with the Rule. Therefore, the FTC noted that the platform operator may have an incentive to avoid gaining knowledge about the nature of the uploaded content.[50] The Commission asked whether allowing general audience platform operators to rebut this presumption, thereby allowing them to treat users under age 13 differently from older users, would incentivize platform operators to take affirmative steps to identify child-directed content and treat users of that content in accordance with the Rule. The Commission also asked about the types of steps platforms could take to overcome the presumption that all users of child-directed content are children. | 委員会は、2019年の規則見直し開始において、サードパーティがプラットフォームにコンテンツをアップロードすることを許可している一般視聴者向けプラットフォームが、アップロードされた児童向けコンテンツのすべてのユーザーが実際には児童であるという推定を覆すことを許可すべきかどうかについて意見を求めた。この問題に関する意見を求める中で、委員会は、アップロードされたコンテンツが児童向けであることを実際に知らなければ、プラットフォーム運営者は規則を遵守する責任を負わないと述べた。したがって、FTCは、プラットフォーム運営者がアップロードされたコンテンツの性質について知識を得ることを避けるインセンティブが働く可能性があると指摘した[50]。委員会は、一般視聴者向けのプラットフォーム運営者にこの推定を覆すことを認めることで、13歳未満のユーザーをそれ以上の年齢のユーザーと異なる扱いをすることができるようになり、プラットフォーム運営者が児童向けコンテンツを特定するための積極的な措置を講じ、そのコンテンツのユーザーを規則に従って扱うインセンティブが働くかどうかを質問した。委員会はまた、児童向けコンテンツの利用者はすべて児童であるという推定を覆すために、プラットフォームが取りうる措置の種類についても質問した。 |
| Relying on a variety of arguments, many consumer and privacy advocates opposed the notion of modifying the Rule to allow operators of general audience platforms to rebut the presumption that users of child-directed content uploaded to the platform by third parties are children. For example, a coalition of consumer organizations argued against allowing general audience platforms to rebut the presumption, pointing to the fact that families often share devices, accounts, and apps and that, as a result, many children likely access child-directed content while logged into a parent's account. Because of this, they argued that if the FTC modifies the presumption, “it would lead to widespread mislabeling of children as adults and large numbers of under-protected children.” [51] Other commenters echoed the concern that because users in a household may share devices that are persistently signed in, operators may incorrectly determine that a user is an adult.[52] | 多くの消費者団体やプライバシー擁護団体は、さまざまな論拠に基づいて、一般視聴者向けプラットフォームの運営者が、第三者によってプラットフォームにアップロードされた児童向けコンテンツの利用者が児童であるという推定を覆すことができるよう、規則を修正するという考え方に反対した。例えば、消費者団体の連合は、一般視聴者向けプラットフォームが推定を覆すことを認めることに反対し、家族でデバイス、アカウント、アプリを共有することが多く、その結果、多くの児童が親のアカウントにログインした状態で児童向けコンテンツにアクセスしている可能性が高いという事実を指摘した。このため、FTCがこの推定を修正すれば、「児童を大人と誤認させることが広まり、保護が不十分な児童が大量に発生することになる」と主張した。 [51]他の意見提出者は、世帯内のユーザが持続的にサインインしているデバイスを共有する可能性があるため、オペレータがユーザを大人であると誤って判断する可能性があるという懸念を表明した[52]。 |
| Another commenter, while acknowledging the “perverse incentive” operators have to avoid gaining actual knowledge, raised concern about operators' ability to effectively establish which of their users are children.[53] The commenter argued that, until operators are transparent about methods used to determine which users are children and such methods are deemed effective, permitting operators to rebut the presumption may result in children being treated as adults.[54] | 別の意見提出者は、事業者が実際の知識を得ることを回避する「逆インセンティブ」を認める一方で、事業者がどのユーザが児童であるかを効果的に立証する能力について懸念を示した[53]。この意見提出者は、事業者がどのユーザが児童であるかを判断するために使用される方法について透明性を確保し、そのような方法が効果的であるとみなされるまでは、事業者が推定を覆すことを許可することは、児童を大人として扱う結果になりかねないと主張した[54]。 |
| One commenter argued that, “in the vast majority of cases,” users of child-directed content are, in fact, children.[55] This commenter further stated that allowing operators to rebut the presumption would prioritize allowing companies to engage in targeted advertising over ensuring that general audience platforms comply with COPPA.[56] Another commenter noted that, despite the alleged existence of subcultures of adult viewership of kids' content, the adult viewership of such content is likely very small.[57] The commenter further argued that protecting those adults' right to receive personalized advertising does not outweigh the risk of collecting personal data from children and tracking them online.[58] | ある意見提出者は、「大半の場合」、児童向けコンテンツの利用者は実際には児童であると主張した[55]。この意見提出者はさらに、事業者が推定を覆すことを認めることは、一般視聴者向けプラットフォームがCOPPAを遵守することを保証することよりも、企業がターゲット広告に従事することを優先することになると述べた[56]。 [56]別の意見提出者は、児童向けコンテンツの成人視聴者のサブカルチャーの存在が疑われているにもかかわらず、そのようなコンテンツの成人視聴者は非常に少ない可能性が高いと指摘した[57]。 この意見提出者はさらに、パーソナライズされた広告を受け取るそれらの成人の権利を保護することは、児童から個人データを収集し、オンラインで追跡するリスクを上回るものではないと主張した[58]。 |
| A number of State Attorneys General argued that modifying the Rule to allow rebuttal is unlikely to incentivize platforms to identify and police child-directed content.[59] These commenters claimed that, even with the ability to rebut the presumption, platforms would have a greater incentive not to know about the presence of child-directed content because this would allow them to collect data for targeted ads from all users.[60] Additionally, an FTC-approved COPPA Safe Harbor program argued that allowing rebuttal would “be complex and unfairly benefit large tech companies who may be the only companies with the wherewithal, rich customer data, and back-end infrastructure to meet the criteria for rebuttal.” [61] | 多くの州検事総長は、反証を認めるように規則を修正することは、プラットフォームが児童向けコンテンツを特定し、取り締まる動機付けになりそうもないと主張した[59]。これらの意見提出者は、推定を反証する能力があったとしても、プラットフォームは、すべてのユーザーからターゲット広告のためのデータを収集できるようになるため、児童向けコンテンツの存在を知らない方がより大きな動機付けになると主張した。 60]さらに、FTCが承認したCOPPAセーフハーバープログラムは、反証を認めることは「複雑であり、反証の基準を満たすだけの資力、豊富な顧客データ、バックエンドのインフラを持つ唯一の企業である可能性がある大手のハイテク企業に不当に利益をもたらす」と主張した[61]。 [61] |
| On the other hand, a number of industry commenters supported allowing general audience platforms to rebut the presumption that all users of child-directed content are necessarily children. Google argued that rebuttal “with the appropriate safeguards, would allow those users to benefit from social engagement with the content and would allow content creators to benefit from increased monetization options, supporting continued investment in such content.” [62] Without the ability to rebut the presumption, Google argued that platforms must degrade adults' user experience, including by preventing interactivity with other adults. Google also distinguished general audience platforms with third-party content from “static” child-directed websites intended for a single audience, noting that such platforms “have significant adult user bases that engage with traditionally child-directed content.” [63] | 一方、多くの業界関係者は、児童向けコンテンツのすべてのユーザーが必ずしも児童であるという推定に対して、一般視聴者向けプラットフォームが反証できるようにすることを支持した。グーグルは、「適切な保護措置を講じることで、これらのユーザーがコンテンツとの社会的エンゲージメントから利益を得ることができ、コンテンツ制作者が収益化の選択肢を増やすことで利益を得ることができ、そのようなコンテンツへの継続的な投資を支援することができる」と反論した [62] 。 [62] 推定を覆す能力がなければ、グーグルは、プラットフォームは、他の成人との双方向性を妨げることを含め、成人のユーザーエクスペリエンスを低下させなければならないと主張した。グーグルはまた、サードパーティ・コンテンツを有する一般視聴者向けプラットフォームと、単一の視聴者を対象とした「静的な」児童向けウェブサイトとを区別し、そのようなプラットフォームは「伝統的に児童向けコンテンツに関与する重要な成人ユーザベースを持っている」と指摘した。 [63] |
| Other commenters made similar arguments. One trade association stated that some general audience platforms “have significant adult user bases” and feature child-directed content that may appeal to users of varying ages, such as crafting or science education content.[64] It claimed that the audience presumption harms adult users of child-directed content by denying them the ability “to find community, learn, and discover new content.” [65] Another trade association noted that adults might want “to interact with child-directed content for a variety of reasons, including nostalgia or to find content suitable for their children or students.” [66] | 他の意見提出者も同様の主張を行った。ある業界団体は、いくつかの一般視聴者向けプラットフォームは「かなりの成人ユーザーベースを持っている」と述べ、工作や科学教育コンテンツなど、様々な年齢のユーザーにアピールする可能性のある児童向けコンテンツを特徴としている[64]と述べた。それは、視聴者推定が、児童向けコンテンツの成人ユーザーから「コミュニティを見つけ、学び、新しいコンテンツを発見する」能力を否定することによって害を及ぼすと主張した。 65]別の業界団体は、大人が「懐かしさを感じたり、自分の子どもや生徒に適したコンテンツを見つけたりするためなど、様々な理由で児童向けコンテンツと交流したい」と思うかもしれないと指摘した[66]。 [66] |
| A majority of the commenters that support modifying the Rule to permit rebuttal also recommended against the Commission proscribing specific means by which a general audience platform could rebut the presumption, calling instead for a flexible, standards-based approach that would allow platforms to employ a variety of measures to overcome the presumption. For example, citing “advancements in technology and age-screening,” one trade association recommended allowing rebuttal through reliance on a neutral age gate combined with additional steps to confirm identity, such as re-entry of a password.[67] The commenter also suggested that the Commission allow industry to explore alternative methods such as fingerprint, voiceprint, or device PIN.[68] Other commenters recommended similar flexibility in approach.[69] | 反論を許可するよう規則を修正することを支持する意見提出者の大多数も、委員会が一般視聴者向けプラットフォームが推定を覆すことができる特定の手段を規定することに反対し、代わりにプラットフォームが推定を覆すために様々な手段を採用できるようにする柔軟で標準ベースのアプローチを推奨している。例えば、ある業界団体は、「テクノロジーと年齢審査の進歩」を引き合いに出し、パスワードの再入力などの本人確認のための追加ステップと組み合わせた中立的な年齢ゲートへの依存による反証を認めることを推奨した[67]。この意見提出者はまた、委員会が業界に対し、指紋、声紋、またはデバイスのPIN[68]などの代替手段を検討することを認めるよう提案した。 |
| Many of the comments supporting rebuttal of the presumption also argued against tying rebuttal to a requirement that the platform investigate and identify child-directed content on the platform. These commenters asserted that such a requirement would change the Rule's actual knowledge standard to a constructive knowledge standard, which would “contravene [c]ongressional intent” [70] and impose an unreasonable burden on platforms that would chill investment into the production of child-directed content.[71] One commenter cautioned that requiring the platform operators to identify whether uploaded content is child-directed could raise First Amendment concerns.[72] | 推定の反証を支持する意見の多くは、反証をプラットフォーム上の児童向けコンテンツを調査し識別するという要件に結びつけることにも反対していた。これらの意見提出者は、このような要件は規則の実際の知識標準を構成的知識標準に変更するものであり、「議会の意図に反する」[70]と主張し、プラットフォームに不合理な負担を課すことになり、児童向けコンテンツの制作への投資を冷え込ませることになると主張した[71]。ある意見提出者は、アップロードされたコンテンツが児童向けかどうかを識別することをプラットフォーム運営者に要求することは、憲法修正第1条の懸念を生じさせる可能性があると警告した[72]。 |
| After reviewing the submitted comments, the Commission does not propose modifying the Rule to permit general audience platforms to rebut the presumption that all users of child-directed content are children. The Commission finds persuasive the concerns raised in the comments about the practicality of allowing operators of such platforms to rebut this presumption. In particular, the Commission believes that the reality of parents and children sharing devices, along with account holders remaining perpetually logged into their accounts, could make it difficult for an operator to distinguish reliably between those users who are children and those who are not. | 提出された意見を検討した結果、委員会は、児童向けコンテンツの利用者はすべて児童であるという推定を覆すことを一般視聴者向けプラットフォームに許可するよう、規則を修正することを提案しない。委員会は、このようなプラットフォームの運営者にこの推定を覆すことを認めることの現実性について意見で提起された懸念に説得力があると判断する。特に、親と児童がデバイスを共有している現実や、アカウント所有者がアカウントにログインしたままであることが、運営者が児童であるユーザーとそうでないユーザーを確実に区別することを困難にする可能性があると、委員会は考えている。 |
| The Commission recognizes that allowing platforms to rebut the presumption would permit additional forms of monetization and, in some instances, provide additional functionality and convenience for adults interacting with child-directed content. Such benefits, however, simply do not outweigh the important goal of protecting children's privacy. Moreover, as set forth in the Commission's 2019 Rule Review Initiation, the reason for considering whether to allow platforms to rebut the audience presumption was to create an incentive for them to “identify and police child-directed content uploaded by others.” [73] Many commenters supporting the addition of this rebuttal expressed strong opposition to such a duty, thereby undercutting the rationale for modifying the Rule. | 委員会は、プラットフォームがこの推定を覆すことを認めれば、新たな形の収益化が可能になり、場合によっては、児童向けコンテンツに接する成人に新たな機能と利便性を提供できることを認識している。しかし、そのような利点は、児童のプライバシーを保護するという重要な目標を上回るものではない。さらに、委員会の2019年規則見直し開始で示されたように、プラットフォームが視聴者推定を覆すことを認めるかどうかを検討する理由は、プラットフォームが「他者によってアップロードされた児童向けコンテンツを特定し、取り締まる」インセンティブを生み出すためであった。 [73] この反証の追加を支持する多くの意見提出者は、そのような義務に強い反対を表明し、それによって規則を修正する根拠が損なわれた。 |
| Finally, through its recognition of the “mixed audience” category of websites and online services, the Commission essentially allows operators to rebut the presumption as to the users of a subset of child-directed sites and services that do not target children as their primary audience. For example, where third-party content on a platform is child-directed under the Rule's multi-factor test but the platform does not target children as its primary audience, the operator can request age information and provide COPPA protections only to those users who are under 13. The Commission believes the mixed audience category affords operators an appropriate degree of flexibility.[74] | 最後に、ウェブサイトやオンラインサービスの「混合視聴者」カテゴリーを認めたことで、委員会は実質的に、児童を主たる視聴対象としていない児童向けサイトやサービスのサブセットの利用者について、事業者が推定を覆すことを認めている。例えば、あるプラットフォーム上のサードパーティーのコンテンツが、規則の多要素テストでは児童向けであるが、そのプラットフォームが児童を主な対象としていない場合、運営者は年齢情報を要求し、13歳未満のユーザーにのみCOPPA保護を提供することができる。委員会は、混合視聴者カテゴリーが事業者に適切な程度の柔軟性を与えると考えている[74]。 |
・IV. 規則案...
| IV. Proposed Modifications to the Rule | IV. 規則の修正案 |
| As discussed in Part I, comments reflect overall support for COPPA and a recognition that it is an important and helpful tool for protecting children's online privacy. Additionally, many comments indicate support for the 2013 Amendments.[75] | 第1部で述べたように、意見は、COPPAに対する全体的な支持と、COPPAが児童のオンラインプライバシーを保護するための重要かつ有用なツールであるという認識を反映している。さらに、多くの意見は2013年改正を支持していることを示している[75]。 |
| Despite this overall support, the Commission believes it is appropriate to modify a number of the Rule's provisions in light of the record developed through the 2019 Rule Review Initiation—including the COPPA Workshop and the large number of public comments received—as well as the FTC's two decades of experience enforcing the Rule. The Commission intends these modifications to update certain aspects of the Rule, taking into account technological and other relevant developments, and to provide additional clarity to operators on the Rule's existing requirements. Specifically, the Commission proposes modifying most provisions of the Rule, namely the following areas: Definitions; Notice; Parental Consent; Parental Right to Review; Confidentiality, Security, and Integrity of Children's Personal Information; Data Retention and Deletion; and Safe Harbor Programs. In addition, the Commission proposes minor modifications to the sections on Scope of Regulations and Voluntary Commission Approval Processes to address technical corrections. | このような全体的な支持にもかかわらず、委員会は、COPPAワークショップや寄せられた多数のパブリック意見など、2019年の規則見直し開始を通じて作成された記録や、FTCの20年にわたる規則執行の経験に照らして、規則の多くの条項を修正することが適切であると考えている。委員会は、技術的およびその他の関連する発展を考慮して規則の特定の側面を更新し、規則の既存の要件について事業者にさらなる明確性を提供するために、これらの修正を意図している。具体的には、委員会は、同規則のほとんどの条項、すなわち以下の分野を修正することを提案している: すなわち、「定義」、「通知」、「保護者の同意」、「保護者の確認権」、「児童の個人情報の機密性、セキュリティおよび完全性」、「データの保持および削除」、「セーフハーバー・プログラム」である。さらに、委員会は、技術的な修正に対応するため、「規則の範囲」および「委員会の自主的な承認プロセス」のセクションに若干の修正を提案する。 |
| Additionally, the Commission proposes some revisions to the Rule to address spelling, grammatical, and punctuation issues. For example, as noted above, the Commission proposes to modify § 312.1 regarding the scope of regulations, specifically to change the location of commas. Similarly, the Commission proposes amending the Rule to change the term “Web site” to “website” throughout the Rule, including in various definitions that use this term. This construction aligns with the COPPA statute's use of the term, as well as how that term is currently used in today's marketplace. This NPRM incorporates this proposed change in all instances in which the term “Web site” is used. The Commission does not intend for these proposed modifications to alter existing obligations or create new obligations under the Rule. | さらに、委員会は、スペル、文法、句読点の問題に対処するため、規則の修正を提案する。例えば、上述の通り、委員会は、規則の範囲に関する312.1条を修正することを提案し、特にコンマの位置を変更することを提案する。同様に、委員会は、この用語を使用する様々な定義を含め、規則全体を通じて「Webサイト」という用語を「Webサイト」に変更するために規則を修正することを提案している。この構成は、COPPA法がこの用語を使用していること、およびこの用語が現在の市場でどのように使用されているかに沿ったものである。本NPRMは、「ウェブサイト」という用語が使用されているすべての事例において、この変更案を取り入れる。委員会は、これらの修正案が既存の義務を変更したり、規則の下で新たな義務を生じさせたりすることを意図していない。 |
| A. Definitions (16 CFR 312.2) | A. 定義(16 CFR 312.2) |
| The Commission proposes to modify a number of the Rule's definitions in order to update the Rule's coverage and functionality and, in certain areas, to provide greater clarity regarding the Rule's intended application. The Commission proposes modifications to the definitions of “online contact information” and “personal information.” The Commission also proposes modifications to the definition of “website or online service directed to children,” including by adding a stand-alone definition for “mixed audience website or online service.” Additionally, the Commission proposes adding definitions for “school” and “school-authorized education purpose.” These two new definitions relate to the Rule's proposed new parental consent exception—a codification of longstanding Commission guidance by which operators rely on school authorization to collect personal information in limited circumstances rather than on parental consent. Finally, the Commission proposes modifications to the second paragraph of the definition of “support for the internal operations of the website or online service.” | 委員会は、規則の適用範囲と機能を更新し、特定の分野においては規則の意図する適用をより明確にするために、規則の定義をいくつか修正することを提案する。委員会は、「オンライン連絡先情報」および「個人情報」の定義の修正を提案している。また、委員会は、「混在視聴者向けウェブサイトまたはオンラインサービス」の独立した定義を追加するなど、「児童向けウェブサイトまたはオンラインサービス」の定義の修正も提案している。さらに、委員会は、"学校 "および "学校が認可した教育目的 "の定義の追加を提案している。これら2つの新たな定義は、同規則が新たに提案する保護者の同意の例外に関連するものである。これは、事業者が個人情報を収集する際、保護者の同意ではなく、限定された状況において学校の認可に頼るという、委員会の長年の指針を成文化したものである。最後に、委員会は、"ウェブサイトまたはオンラインサービスの内部運営のサポート "の定義の第2段落の修正を提案している。 |
| 1. Online Contact Information | 1. オンライン連絡先情報 |
| Section 312.2 of the Rule defines “online contact information” as “an email address or any other substantially similar identifier that permits direct contact with a person online, including but not limited to, an instant messaging user identifier, a voice over internet protocol (VOIP) identifier, or a video chat user identifier.” Online contact information is considered “personal information” under the Rule. Under certain parental consent exceptions, the Rule permits operators to collect online contact information from a child for certain purposes, such as initiating the process of obtaining verifiable parental consent, without first obtaining verifiable parental consent. | 規則第312.2条は、「オンライン連絡先情報」を、「電子メールアドレス、またはインスタントメッセージのユーザー識別子、VOIP(Voice Over Internet Protocol)識別子、ビデオチャットのユーザー識別子などを含むがこれらに限定されない、オンライン上で個人と直接接触できるその他の実質的に類似した特定できる情報」と定義している。オンライン上の連絡先情報は、この規則では「個人情報」とみなされる。特定の親権者の同意に関する例外の下で、本規則は、事業者が、検証可能な親権者の同意を最初に得ることなく、検証可能な親権者の同意を得るプロセスを開始するなどの特定の目的のために、児童からオンライン連絡先情報を収集することを認めている。 |
| To improve the Rule's functionality, the Commission proposes amending this definition by adding “an identifier such as a mobile telephone number provided the operator uses it only to send a text message” to the non-exhaustive list of identifiers that constitute “online contact information.” As discussed later in this Part, this modification would allow operators to collect and use a parent's or child's mobile phone number in certain circumstances, including in connection with obtaining parental consent through a text message. | 同規則の機能を改善するため、委員会は、"オンライン連絡先情報 "を構成する識別子の非網羅的リストに、「携帯電話番号のような識別子(ただし、事業者がテキストメッセージを送信するためにのみ使用するもの)」を追加することにより、この定義を修正することを提案する。本編で後述するように、この修正により、事業者は、テキストメッセージを通じて親の同意を得る場合など、特定の状況において、親または児童の携帯電話番号を収集し、使用することができるようになる。 |
| Although the Commission did not raise the issue of adding mobile telephone numbers to the online contact information definition in its 2019 Rule Review Initiation, some commenters supported such a modification in discussing the Rule's parental consent requirement.[76] One commenter noted that parents increasingly rely on telephone and cloud-based text messaging services,[77] and another similarly noted that permitting parents to utilize text messages to provide consent would be more in sync with current technology and parental expectations.[78] Commenters also stated that mobile communication mechanisms are more likely to result in operators reaching parents for the desired purpose of providing notice and obtaining consent, and that sending a text message may be one of the most direct and easily verifiable methods of contacting a parent.[79] Further, one commenter posited that the chance of a child submitting his or her own mobile number in order to circumvent a valid consent mechanism is no greater than, for instance, a child submitting his or her own email address.[80] | 委員会は、2019年の規則見直し開始において、オンライン連絡先情報の定義に携帯電話番号を追加する問題を提起しなかったが、一部の意見提供者は、規則の保護者の同意要件について議論する中で、このような修正を支持した[76]。 ある意見提供者は、保護者が電話やクラウドベースのテキストメッセージングサービスにますます依存するようになっていると指摘し[77]、別の意見提供者も同様に、保護者がテキストメッセージを利用して同意を提供することを認めることは、現在の技術や保護者の期待により合致していると指摘した[78]。 [78]また、ある意見提供者は、モバイル通信の仕組みは、通知を提供し同意を得るという望ましい目的のために、事業者が親に到達する可能性が高く、テキストメッセージを送信することは、親に連絡する最も直接的で容易に確認可能な方法の1つであると述べている[79]。さらに、ある意見提供者は、有効な同意の仕組みを回避するために、児童が自分の携帯電話番号を提出する可能性は、例えば、児童が自分の電子メールアドレスを提出する可能性よりも高くないと仮定している[80]。 |
| The Commission agrees that permitting parents to provide consent via text message would offer them significant convenience and utility. The Commission also recognizes that consumers are likely accustomed to using mobile telephone numbers for account creation or log-in purposes. For these reasons, the Commission is persuaded that operators should be able to collect parents' mobile telephone numbers as a method to obtain consent from the parent. Therefore, the Commission proposes adding mobile telephone numbers to the definition of “online contact information.” | 委員会は、保護者がテキストメッセージで同意を提供することを許可することが、保護者に大きな利便性と有用性を提供することに同意する。また、消費者がアカウント作成やログインの目的で携帯電話番号を使用することに慣れている可能性が高いことも認識している。このような理由から、委員会は、親からの同意を得る方法として、事業者が親の携帯電話番号を収集できるようにすべきであると確信している。したがって、委員会は、"オンライン連絡先情報 "の定義に携帯電話番号を追加することを提案する。 |
| Modifying the definition in this way, however, will also enable operators to collect and use a child's mobile telephone number to communicate with the child, including—under various parental consent exceptions—prior to the operator obtaining parental consent.[81] The Commission does not seek to allow operators to use children's mobile telephone numbers to call them prior to the operator obtaining parental consent. Therefore, the Commission proposes including the qualifier “provided the operator uses it only to send a text message” to ensure that operators cannot call the child using the mobile telephone number, unless and until the operator seeks and obtains a parent's verifiable parental consent to do so.[82] | しかし、このように定義を変更することで、事業者が親の同意を得る前に、さまざまな親の同意の例外を含めて、事業者が児童の携帯電話番号を収集し、使用して児童と連絡を取ることも可能になる[81]。したがって、委員会は、事業者が携帯電話番号を使って児童に電話をかけることができないようにするために、「事業者がそれをテキストメッセージの送信にのみ使用することを条件とする」という修飾語を含めることを提案する[82]。 |
| This proposed modification is a departure from the position the Commission previously took when it declined to include mobile telephone numbers within the definition of “online contact information.” In discussing the 2013 Amendments, the Commission stated that the COPPA statute did not contemplate adding mobile telephone numbers as a form of online contact information, and therefore it determined not to include mobile telephone numbers within the definition.[83] However, the Commission also stated at that time that the list of identifiers constituting online contact information was non-exhaustive and would encompass other substantially similar identifiers that permit direct contact with a person online.[84] As part of the 2013 Amendments, the Commission revised the definition to include examples of such identifiers, and the Commission now believes that adding mobile telephone numbers to this list is appropriate. | この修正案は、委員会が以前、"オンライン連絡先情報 "の定義に携帯電話番号を含めることを拒否した時の立場からの変更である。2013年の改正について議論した際、委員会は、COPPA法は携帯電話番号をオンライン連絡先情報の一形態として追加することを想定していないため、定義に携帯電話番号を含めないことを決定したと述べた[83]。しかし、委員会は当時、オンライン接触情報を構成する識別子のリストは非網羅的であり、オンライン上で個人との直接接触を可能にする他の実質的に類似した識別子を包含するとも述べていた[84]。2013年の改正の一環として、委員会は、そのような識別子の例を含めるように定義を修正し、現在では、このリストに携帯電話番号を追加することが適切であると考えている。 |
| Specifically, consumers today widely use over-the-top messaging platforms, which are platforms that utilize the internet instead of a carrier's mobile network to exchange messages. These platforms include Wi-Fi messaging applications, voice over internet protocol applications that have messaging features, and other messaging applications. Because a consumer's mobile telephone number is often used as the unique identifier through which a consumer can exchange messages through these over-the- top platforms, mobile telephone numbers permit direct contact with a person online, thereby meeting the statutory requirements for this definition.[85] | 具体的には、今日、消費者はオーバー・ザ・トップのメッセージング・プラットフォームを広く利用しており、これは、通信事業者のモバイルネットワークの代わりにインターネットを利用してメッセージを交換するプラットフォームである。これらのプラットフォームには、Wi-Fiメッセージング・アプリケーション、メッセージング機能を持つボイス・オーバー・インターネット・プロトコル・アプリケーション、その他のメッセージング・アプリケーションが含まれる。消費者の携帯電話番号は、消費者がこれらのオーバー・ザ・トップ・プラットフォームを通じてメッセージを交換できる一意の識別子として使用されることが多いため、携帯電話番号はオンライン上で個人と直接接触することを可能にし、それによってこの定義の法定要件を満たすことになる[85]。 |
| When the Commission enacted the 2013 Amendments, the use of over-the-top messaging platforms was more nascent and growing in adoption. Today, the prevalent and widespread adoption of such messaging platforms allows consumers to use these platforms as their primary form of text messaging. Therefore, the Commission finds it appropriate to propose amending the definition of “online contact information” to include “an identifier such as a mobile telephone number provided the operator uses it only to send a text message.” The Commission welcomes comment on this proposed modification. In particular, the Commission is interested in understanding whether allowing operators to contact parents through a text message to obtain verifiable parental consent presents security risks to the recipient of the text message, especially if the parent would need to click on a link provided in the text message. | 委員会が2013年改正を制定した当時、Over-the-topメッセージング・プラットフォームの利用はより初期段階であり、導入が拡大していた。今日、このようなメッセージング・プラットフォームが普及し、広く採用されているため、消費者はこのようなプラットフォームをテキスト・メッセージングの主要な形態として使用することができる。したがって、委員会は、「オンライン連絡先情報」の定義を修正し、「携帯電話番号などの識別子を、事業者がテキストメッセージの送信にのみ使用する場合」に含めることを提案することが適切であると判断した。委員会は、この修正案に対する意見を歓迎する。特に、検証可能な保護者の同意を得るために、事業者がテキストメッセージを通じて保護者に連絡することを認めることが、テキストメッセージの取得者にセキュリティリスクをもたらすかどうか、特に保護者がテキストメッセージに記載されたリンクをクリックする必要がある場合について理解することに、委員会は関心を抱いている。 |
| 2. Personal Information | 2. 個人情報 |
| The COPPA statute defines “personal information” as individually identifiable information about an individual collected online, including, for example, a first and last name, an email address, or a Social Security number.[86] The COPPA statute also includes within the definition “any other identifier that the Commission determines permits the physical or online contacting of a specific individual.” [87] | COPPA法は、「個人情報」をオンラインで収集された個人を特定できる情報と定義しており、例えば、姓名、電子メールアドレス、社会保障番号などが含まれる[86]。COPPA法はまた、「特定の個人と物理的またはオンラインで接触できると委員会が判断するその他の識別子」も定義に含めている[87]。 [87] |
| a. Biometric Data | a. 生体データ |
| The Commission proposes using its statutory authority to expand the Rule's coverage by modifying the Rule's definition of “personal information” to include “[a] biometric identifier that can be used for the automated or semi-automated recognition of an individual, including fingerprints or handprints; retina and iris patterns; genetic data, including a DNA sequence; or data derived from voice data, gait data, or facial data.” [88] The Commission believes this proposed modification is necessary to ensure that the Rule is keeping pace with technological developments that facilitate increasingly sophisticated means of identification. | 委員会は、その法的権限を使用して、規則の「個人情報」の定義を修正し、「指紋または手形、網膜および虹彩パターン、DNA配列を含む遺伝子データ、または音声データ、歩行データ、または顔データから得られるデータを含む、個人の自動化または半自動化された認識に使用できる生体識別データ」を含めることにより、規則の適用範囲を拡大することを提案している。 [88] 委員会は、この修正案は、ますます高度化する本人確認手段を促進する技術の発展に規則が対応できるようにするために必要であると考えている。 |
| The majority of comments addressing the question of whether to expand the Rule's definition of “personal information” supported the addition of biometric data.[89] These commenters asserted that different types of biometric data can be used to contact specific individuals. For example, a coalition of consumer groups recommended adding biometric data, including genetic data, fingerprints, and retinal patterns, to the Rule's enumerated list of “personal information.” [90] These commenters cited consumer products' current use of biometrics to identify and authenticate users through such mechanisms as fingerprints and face scans.[91] They also noted that while some types of personal information may be altered to protect privacy, biometric data collected today may be used to identify and contact specific children for the rest of their lives.[92] Several other commenters also argued that the permanent and unalterable nature of biometric data makes it particularly sensitive.[93] Additional commenters noted that many states have expanded the definition of personally identifiable information to include biometric data as have other federal laws and regulations, such as the Department of Education's Family Educational Rights and Privacy Act (“FERPA”) Regulations, 34 CFR 99.3.[94] | 規則の「個人情報」の定義を拡大するかどうかの問題を取り上げた意見の大半は、生体データの追加を支持した[89]。これらの意見提出者は、異なる種類の生体データを特定の個人との接触に使用できると主張した。例えば、消費者団体の連合は、生体データ(遺伝子データ、指紋、網膜パターンを含む)を規則の「個人情報」の列挙リストに追加することを推奨した。 [90] これらの意見提出者は、指紋や顔スキャンなどのメカニズムを通じてユーザーを識別し本人認証するために、消費者製品が現在バイオメトリクスを使用していることを挙げている[91]。また、プライバシーを保護するために個人情報の種類によっては改ざんされる可能性がある一方で、今日収集された生体データは、特定の児童を特定し、その児童に生涯にわたって接触するために使用される可能性があるとも指摘している[92]。また、他の数名の意見提出者は、生体データの永続的で変更不可能な性質が、それを特にセンシティブなものにしていると主張した[93]。追加の意見提出者は、多くの州が個人を特定できる情報の定義を拡大し、教育省のFamily Educational Rights and Privacy Act(「FERPA」)規則、34 CFR 99.3[94]のような他の連邦法や規則と同様に、バイオメトリクスデータを含むようにしたと指摘した。 |
| A small number of commenters urged the Commission to proceed cautiously with respect to adding biometric data to the Rule's personal information definition. These commenters suggested that such an expansion could stifle innovation [95] or questioned whether biometric data allows the physical or online contacting of a specific individual.[96] Some commenters also recommended that, if the Commission does define biometric data as personal information, it should consider appropriate exceptions, for example, where the data enhances the security of a child-directed service [97] or the operator promptly deletes the data.[98] | 少数の意見提出者は、規則の個人情報の定義に生体データを追加することに関して、慎重に進めるよう委員会に求めた。これらの意見提出者は、このような拡大はイノベーションを阻害する可能性があると示唆したり[95]、生体データによって特定の個人と物理的またはオンライン上で接触できるようになるかどうかを疑問視したりした[96]。また、一部の意見提出者は、委員会が生体データを個人情報と定義する場合、例えば、データが児童向けサービスのセキュリティを強化する場合[97]、または事業者がデータを速やかに削除する場合[98]など、適切な例外を検討すべきであると勧告した。 |
| The Commission believes that, as with a photograph, video, or audio file containing a child's image or voice, biometric data is inherently personal in nature. Indeed, the Commission agrees with the many commenters [99] who argued that the personal, permanent, and unique nature of biometric data makes it sensitive, and the Commission believes that the privacy interest in protecting such data is a strong one. | 委員会は、児童の画像や音声を含む写真、ビデオ、音声ファイルと同様に、生体データは本質的に個人データであると考える。実際、委員会は、生体データが個人的、永続的、かつユニークな性質を持っているため、敏感であると主張した多くの意見[99]に同意しており、委員会は、そのようなデータを保護するプライバシー上の利益は強いものであると確信している。 |
| And, as with some facial and voice recognition technologies, the Commission believes that biometric recognition systems are sufficiently sophisticated to permit the use of identifiers such as fingerprints and handprints; retina and iris patterns; genetic data, including a DNA sequence; and data derived from voice data, gait data, or facial data to identify and contact a specific individual either physically or online. | また、一部の顔認識技術や音声認識技術と同様に、生体認識システムは、指紋や手形などの識別データ、網膜や虹彩のパターン、DNA配列を含む遺伝子データ、音声データ、歩行データ、顔データから得られるデータを、物理的またはオンラインで特定の個人を識別し、接触するために使用することを可能にするほど、十分に洗練されていると委員会は考えている。 |
| The Commission notes that the specific biometric identifiers that it proposes adding to the Rule's personal information definition are examples and not an exhaustive list. The Commission welcomes further comment on this proposed modification, including whether it should consider additional biometric identifier examples and whether there are appropriate exceptions to any of the Rule's requirements that it should consider applying to biometric data, such as exceptions for biometric data that has been promptly deleted. | 委員会は、規則の個人情報の定義に追加することを提案している特定のバイオメトリクス識別情報は一例であり、網羅的なリストではないことに留意する。委員会は、追加の生体識別子の例を検討すべきかどうか、また、速やかに削除された生体データに対する例外など、生体データに適用することを検討すべき規則の要件に適切な例外があるかどうかを含め、この修正案についてさらなる意見を歓迎する。 |
| b. Inferred and Other Data | b. 推測されるデータおよびその他のデータ |
| In addition to biometric data, the Commission also asked for comment on whether it should expand the Rule's definition of “personal information” to include data that is inferred about, but not directly collected from, children, or other data that serves as a proxy for “personal information.” Several commenters recommended such an expansion.[100] For example, one commenter stated that inferred data, including predictive behavior, is often incredibly sensitive and that even when it is supplied in the aggregate, can be easily re-identified.[101] The commenter also noted that certain State laws include inferred data in their definitions of personally identifiable information.[102] Another pointed to the ability of analysts to infer personal information that the Rule covers, such as an individual's geolocation, from data that currently falls outside the Rule's scope.[103] | 生体データに加えて、委員会は、規則の「個人情報」の定義を拡大し、児童から直接収集されたものではないが、児童について推測されるデータ、または「個人情報」の代理となるその他のデータを含めるべきかどうかについても意見を求めた。このような拡大を推奨する意見も複数あった[100]。例えば、ある意見提出者は、予測行動を含む推論データは、しばしば信じられないほど機密性が高く、集計して提供されたとしても、容易に再識別される可能性があると述べている[101]。また、この意見提出者は、特定の州法が個人を特定できる情報の定義に推論データを含んでいることを指摘している[102]。別の者は、アナリストが、現在規則の適用範囲外となっているデータから、個人の地理的位置情報など、規則が対象とする個人情報を推論する能力を指摘している[103]。 |
| Commenters opposed to including inferred data stated that such an expansion would not be in accordance with the COPPA statute, which covers data collected “from” a child.[104] Some commenters opposed to the inclusion of inferred data argued that inferred data does not permit the physical or online contacting of the child.[105] Some commenters also expressed concern that adding inferred data would create ambiguity and hamper companies' abilities to provide websites and online services to children, would stifle new products and services, and may prohibit the practice of contextual advertising.[106] | 推論データを含めることに反対する意見提出者は、そのような拡大は、「児童から」収集されたデータを対象とするCOPPA法令に準拠しないと述べた[104]。推論データを含めることに反対する意見提出者の中には、推論データは児童の物理的またはオンライン上の接触を許可するものではないと主張する者もいた[105]。 また、推論データを追加することは曖昧さを生み、企業が児童にウェブサイトやオンラインサービスを提供する能力を妨げ、新しい製品やサービスを阻害し、文脈広告の実践を禁止する可能性があると懸念を表明する意見提出者もいた[106]。 |
| The Commission has decided not to propose including inferred data or data that may serve as a proxy for “personal information” within the definition. As several commenters correctly note, the COPPA statute expressly pertains to the collection of personal information from a child.[107] Therefore, to the extent data is collected from a source other than the child, such information is outside the scope of the COPPA statute and such an expansion would exceed the Commission's authority. Inferred data or data that may serve as a proxy for “personal information” could fall within COPPA's scope, however, if it is combined with additional data that would meet the Rule's current definition of “personal information.” In such a case, the existing “catch-all” provision of that definition would apply.[108] | 委員会は、「個人情報」の代用となりうる推論データやデータを定義に含めることを提案しないことを決定した。複数の意見者が正しく指摘しているように、COPPA法は、明示的に児童からの個人情報の収集に関連している[107]。したがって、児童以外の情報源からデータが収集される限り、そのような情報はCOPPA法の範囲外であり、そのような拡大は委員会の権限を超えることになる。しかし、推測されるデータまたは「個人情報」の代理となる可能性のあるデータが、規則の現行の「個人情報」の定義を満たす追加データと組み合わされる場合は、COPPAの範囲に入る可能性がある。そのような場合、同定義の既存の「キャッチオール」規定が適用される[108]。 |
| c. Persistent Identifiers | c. 永続的識別情報 |
| In 2013, the Commission used its authority under 15 U.S.C. 6501(8)(F) to modify the Rule's definition of “personal information” to include persistent identifiers that can be used to recognize a user over time and across different websites or online services. Prior to that change, the Rule covered persistent identifiers only when they were combined with certain types of identifying information.[109] As part of the 2019 Rule Review Initiation, the Commission asked for comment on whether this modification has resulted in stronger privacy protections for children. The Commission also asked whether the modification has had any negative consequences. | 2013年、委員会は、15 U.S.C. 6501(8)(F)に基づく認可を利用して、同規則の「個人情報」の定義を変更し、長期間にわたり、異なるウェブサイトまたはオンラインサービス間でユーザーを認識するために使用できる永続的識別子を含めるようにした。この変更以前は、規則が永続的識別子を対象としていたのは、永続的識別子が特定の種類の識別情報と組み合わされた場合に限られていた[109]。2019年規則見直し開始の一環として、委員会は、この変更が児童のプライバシー保護の強化につながったかどうかについて意見を求めた。委員会はまた、この修正が悪影響を及ぼしたかどうかも尋ねた。 |
| A number of commenters, citing a variety of reasons, argued that the amendment to include “stand-alone” persistent identifiers as personal information was incorrect or had caused harm. Several commenters claimed that persistent identifiers alone do not allow for the physical or online contacting of a child, and thus should not be included unless linked to other forms of personal information.[110] Commenters also argued that the persistent identifier modification harmed both operators and children. Specifically, some commenters pointed to operators' lost revenue from targeted advertising, which requires collection of persistent identifiers, and the resulting reduction of available child-appropriate content online due to operators' inability to monetize such content.[111] One commenter stated that while the 2013 modification “served the widely held goal of excluding children from interest-based advertising,” it created uncertainty for operators' use of data for internal operations.[112] The commenter suggested that the Commission consider exempting persistent identifiers used for internal operations from the Rule's deletion requirements.[113] | さまざまな理由を挙げて、「単体の」永続的識別子を個人情報に含めるという改正は誤りである、または弊害をもたらすと主張する意見が多数あった。複数の意見者は、永続的識別 子だけでは、児童の物理的またはオンライン上の接触ができないため、他の形態の個人 情報とリンクしていない限り、含めるべきでないと主張した[110]。また、意見提出者は、永続的識別子の修正は、事業者と児童の双方に害を及ぼすと主張した。具体的には、永続的識別子を収集する必要があるターゲティング広告から事業者が収入を失うこと、及びそのようなコンテンツを事業者が収益化できないために、結果としてオンラインで利用可能な児童に適切なコンテンツが減少することを指摘する意見もあった[111]。ある意見提出者は、2013年の修正は、「興味関心に基づく広告から児童を排除するという広く受け入れられている目標を達成した」一方で、事業者が内部業務のためにデータを使用することに不確実性を生じさせたと述べている[112]。この意見提供者は、委員会に対し、内部業務に使用される永続的識別子を規則の削除要件から除外することを検討するよう提案した[113]。 |
| In contrast, other commenters expressed strong support for the 2013 persistent identifier modification. For example, while acknowledging that it took time for the digital advertising industry to adapt to the new definition, one commenter described the 2013 modification as “wholly positive.” [114] The commenter also noted that the change recognized that unique technical identifiers might be just as personal as traditional identifiers such as name or address when used to contact, track, or profile users.[115] The commenter stated that this change “laid the groundwork for many countries adopting this expanded definition of personal information in their updated privacy laws.” [116] | 対照的に、他の意見提出者は、2013年の永続的識別子の修正を強く支持している。例えば、デジタル広告業界が新しい定義に適応するのに時間がかかったことを認めつつも、ある意見提供者は、2013年の修正を「全面的に肯定的」であると評している[114]。 [また、その意見提供者は、一意の技術的識別子が、ユーザとの接触、追跡、またはプロファイリングに使用される場合、氏名や住所などの従来の識別子と同様に個人を特定できる可能性があることを、この変更が認識したとも述べている[115]。この意見提供者は、この変更が「多くの国がプライバシー法の更新において、この拡大された個人情報の定義を採用するための基礎を築いた」と述べている。 [116] |
| After reviewing the comments relevant to this issue, the Commission has decided to retain the 2013 modification including stand-alone persistent identifiers as “personal information.” The Commission is not persuaded by the argument that persistent identifiers must be associated with other individually identifiable information to permit the physical or online contacting of a specific individual. The Commission specifically addressed, and rejected, this argument during its discussion of the 2013 Amendments. There, the Commission rejected the claim that persistent identifiers only permit contact with a device. Instead, the Commission pointed to the reality that at any given moment a specific individual is using that device, noting that this reality underlies the very premise behind behavioral advertising.[117] The Commission also reasoned that while multiple people in a single home often use the same phone number, home address, and email address, Congress nevertheless defined these identifiers as “individually identifiable information” in the COPPA statute.[118] The adoption of similar approaches in other legal regimes enacted since the 2013 Amendments further supports the Commission's position.[119] | この問題に関連する意見を検討した結果、委員会は、単体の持続的識別子を "個人情報 "に含める2013年の修正を維持することを決定した。委員会は、特定の個人と物理的またはオンライン上で接触することを可能にするためには、永続的識別子が他の個人識別可能な情報と関連付けられていなければならないという主張には説得力がない。委員会は、2013年改正案の議論の中で、この議論に特に言及し、これを退けた。そこでは、委員会は、永続的識別子はデバイスとの接触のみを可能にするという主張を否定した。その代わりに、委員会は、任意の瞬間において特定の個人がそのデバイスを使用しているという現実を指摘し、この現実が行動ターゲティング広告の背後にある前提そのものを支えていると指摘した[117]。また、委員会は、1つの家庭で複数の人が同じ電話番号、自宅住所、電子メールアドレスを使用することはよくあるが、それでも議会はCOPPA法においてこれらの識別子を「個人を特定できる情報」と定義していると推論した[118]。2013年改正以降に制定された他の法体系においても同様のアプローチが採用されていることは、委員会の立場をさらに裏付けるものである[119]。 |
| Nor does the Commission find compelling the argument that the 2013 persistent identifier modification has caused harm by hindering the ability of operators to monetize online content through targeted advertising. One of the stated goals of including persistent identifiers within the definition of “personal information” was to prevent the collection of personal information from children for behavioral advertising without parental consent.[120] After reviewing the comments, the Commission has determined that the privacy benefits of such an approach outweigh the potential harm, including the purported harm created by requiring operators to provide notice and seek verifiable parental consent in order to contact children through targeted advertising.[121] | また、2013年の永続的識別子の修正が、ターゲット広告を通じてオンラインコンテンツを収益化する事業者の能力を阻害することによって害をもたらしたという議論についても、委員会は説得力を持たない。永続的識別子を「個人情報」の定義に含めることの目的のひとつは、親の同意なしに行動ターゲティング広告のために児童から個人情報を収集することを防止することであった[120]。意見を検討した結果、委員会は、このようなアプローチのプライバシー上の利点が、ターゲティング広告を通じて児童と接触するために、事業者に通知を提供し、検証可能な親の同意を求めることを義務付けることによって生じるとされる弊害を含め、潜在的な弊害を上回ると判断した[121]。 |
| Moreover, it bears noting, as the Commission did in 2013, that the expansion of the personal information definition was coupled with a newly created exception that allows operators to collect persistent identifiers from children to provide support for the internal operations of the website or online service without providing notice or obtaining parental consent. One of these purposes is serving contextual advertising, which provides operators another avenue for monetizing online content. The Commission continues to believe that it struck the proper balance in 2013 when it expanded the personal information definition while also creating a new exception to the Rule's requirements. | さらに、2013年に委員会が行ったように、個人を特定できる情報の定義の拡大が、ウェブサイトまたはオンラインサービスの内部運営をサポートするために、通知や保護者の同意を得ることなく、事業者が児童から永続的識別情報を収集することを可能にする、新たに創設された例外と組み合わされていることは注目に値する。こうした目的の一つは、オンラインコンテンツを収益化するための新たな手段をプロバイダに提供する、コンテクスト広告の配信である。委員会は、2013年に個人情報の定義を拡大すると同時に、規則の要件に新たな例外を設けたことで、適切なバランスを取ることができたと引き続き考えている。 |
| 3. School and School-Authorized Education Purpose | 3. 学校および学校認可の教育目的 |
| As discussed in Part IV.C.3.a., the Commission proposes codifying current guidance on ed tech [122] by adding an exception for parental consent in certain, limited situations in which a school authorizes an operator to collect personal information from a child. The Commission also proposes adding definitions for “school” and “school-authorized education purpose,” terms that are incorporated into the functioning of the proposed exception and necessary to cabin its scope. Part IV.C.3.a. provides further discussion about these definitions. | パートIV.C.3.a.で述べたように、委員会は、学校が事業者に児童から個人情報を収集することを認可する特定の限定された状況において、保護者の同意の例外を追加することにより、EDテック[122]に関する現行の指針を成文化することを提案している。また、委員会は、「学校」および「学校が認可した教育目的」の定義を追加することを提案している。この用語は、提案されている例外の機能に組み込まれており、その範囲を拡大するために必要なものである。パートIV.C.3.a.では、これらの定義についてさらに詳しく説明する。 |
| 4. Support for the Internal Operations of the Website or Online Service | 4. ウェブサイトまたはオンラインサービスの内部運営の支援 |
| As discussed in Part IV.A.2.c., the 2013 Amendments expanded the definition of “personal information” to include stand-alone persistent identifiers “that can be used to recognize a user over time and across different websites or online services.” [123] The 2013 Amendments balanced this expansion by creating an exception to the Rule's notice and consent requirements for operators that collect a persistent identifier for the “sole purpose of providing support for the internal operations of the website or online service.” [124] The Rule defines “support for the internal operations of the website or online service” to include a number of specified activities and provides that the information collected to perform those activities cannot be used or disclosed “to contact a specific individual, including through behavioral advertising, to amass a profile on a specific individual, or for any other purpose.” [125] | パートIV.A.2.c.で議論したように、2013年改正は、「個人情報」の定義を拡大し、「長期的かつ異なるウェブサイトまたはオンラインサービス間でユーザーを認識するために使用できる」スタンドアロン永続的識別子を含めるようにした。 [123] 2013年改正は、「ウェブサイトまたはオンラインサービスの内部運用のサポートを提供することのみを目的」として永続的識別子を収集する事業者に対して、規則の通知および同意要件に対する例外を設けることで、この拡大とのバランスをとっている。 [124] 規則は、「ウェブサイトまたはオンラインサービスの内部運用のサポート」を定義し、多くの特定の活動を含み、これらの活動を実行するために収集された情報を「行動広告を含む特定の個人への接触、特定の個人に関するプロファイルの蓄積、またはその他の目的で」使用または開示することはできないと規定している。 [125] |
| A variety of commenters recommended modifying the definition of “support for the internal operations of the website or online service.” Multiple consumer and privacy advocates, academics, and one advertising platform called for the Commission to define “support for the internal operations” narrowly and thereby restrict the exception's use.[126] For example, a coalition of consumer groups argued that the current definition is overly broad, too vague, and allows operators to avoid or minimize their COPPA obligations.[127] These commenters cited the lack of clarity between data collection for permissible content personalization versus collection for impermissible behavioral advertising.[128] To prevent operators from applying the exception too broadly, the coalition recommended a number of modifications to the definition, including limiting “personalization” to user-driven actions and to exclude methods designed to maximize user engagement.[129] | 様々な意見提出者が、"ウェブサイトまたはオンラインサービスの内部運営のサポート "の定義を修正することを推奨した。複数の消費者団体、プライバシー擁護団体、学者、ある広告プラットフォームは、委員会が「内部運営のサポート」を狭く定義し、それによって例外の使用を制限するよう求めた[126]。例えば、消費者団体の連合は、現行の定義は広範で曖昧すぎるため、事業者がCOPPAの義務を回避または最小化することを可能にしていると主張した。 [127]これらの意見提出者は、許容されるコンテンツパーソナライゼーションのためのデータ収集と、許容されない行動広告のためのデータ収集との間に明確性がないことを挙げている[128]。事業者が例外を広範に適用することを防ぐため、同連合は、「パーソナライゼーション」をユーザー主導の行動に限定し、ユーザーエンゲージメントを最大化するために設計された方法を除外するなど、定義に多くの修正を加えることを推奨した[129]。 |
| Several commenters specifically recommended that the Commission exclude the practice of “ad attribution”—which allows the advertiser to associate a consumer's action with a particular ad—from the support for the internal operations definition.[130] A group of State Attorneys General argued that ad attribution is unrelated to the activities enumerated in the definition and that the practice “necessarily involves `recogniz[ing] a user over time and across different [websites] or online services.' ” [131] Another commenter argued that companies should not be able to track children across online services to determine which ads are effective because the harm to privacy outweighs the practice's negligible benefit.[132] | 何人かの意見提出者は、委員会に対し、「広告アトリビューション」(広告主が消費者の行動を特定の広告と関連付けることを可能にする)の慣行を、内部業務の定義のサポートから除外することを特に推奨した[130]。州検事総長のグループは、広告の帰属は定義に列挙された活動とは無関係であり、この慣行は「必然的に、時間をかけて、異なる(ウェブサイト)またはオンラインサービスにわたってユーザーを認識することを含む」と主張した。 " [131] 別の意見提出者は、プライバシーへの害がこの慣行のごくわずかな利益を上回るため、企業は、どの広告が効果的であるかを判断するために、オンラインサービスを横断して児童を追跡すべきではないと主張した[132]。 |
| In contrast, many industry commenters recommended that the Commission expand the list of activities that fall under the support for the internal operations definition. With respect to ad attribution, these commenters generally cited the practical need of websites and online services that monetize through advertising to evaluate the effectiveness of ad campaigns or to measure conversion in order to calculate compensation for advertising partners.[133] Some commenters characterized the practice as common and expected, and they argued that reducing the ability to monetize would result in the development of fewer apps and online experiences for children.[134] | 対照的に、多くの業界意見提供者は、内部業務の支援定義に該当する活動のリストを拡大するよう委員会に提案した。広告のアトリビューションに関して、これらの意見提出者は一般的に、広告を通じて収益を得ているウェブサイトやオンラインサービスが、広告パートナーに対する報酬を計算するために、広告キャンペーンの効果を評価したり、コンバージョンを測定したりする現実的な必要性を挙げている[133]。一部の意見提出者は、この慣行は一般的で期待されるものであるとし、収益化の能力を低下させることは、児童向けのアプリやオンライン体験の開発を減少させる結果になると主張している[134]。 |
| Several commenters stated that ad attribution already falls within the definition but supported a Rule modification to make this clear.[135] One argued that the definition's prohibition on the collection of persistent identifiers for behavioral advertising “serves as a safeguard to assure that [attribution] is appropriately limited.” [136] | 複数の意見提出者は、広告のアトリビューションは既に定義に含まれると述べているが、これを明確にするためのルール修正を支持している[135]。ある意見提出者は、行動ターゲティング広告のための永続的識別子の収集に関する定義の禁止は、「(アトリビューションが)適切に制限されることを保証するセーフガードとして機能する」と主張している[136]。 [136] |
| Commenters also recommended that a number of other practices should fall within the definition of “support for the internal operations of the website or online service.” These include additional ad measuring techniques,[137] different types of personalization activities,[138] product improvement,[139] and fraud detection.[140] | 意見提出者はまた、他の多くの慣行が "ウェブサイトまたはオンラインサービスの内部運用のサポート "の定義に含まれるべきであると提言した。これらには、追加の広告測定技術[137]、異なるタイプのパーソナライゼーション活動[138]、製品改善[139]、不正検知[140]が含まれる。 |
| By expanding the definition of “personal information” to include stand-alone persistent identifiers, while at the same time creating an exception that allowed operators to collect such identifiers without providing notice and obtaining consent for a set of prescribed internal operations, the Commission struck an important balance between privacy and practicality in the 2013 Amendments.[141] After careful consideration of the comments that addressed the Rule's support for the internal operations definition, the Commission does not believe that significant modifications to either narrow or expand the definition are necessary. | 「個人情報」の定義を拡大し、単体の永続的識別子を含めると同時に、事業者が一連の所定の内部業務について通知や同意を得ることなく、そのような識別子を収集することを認める例外を設けることにより、委員会は2013年の改正において、プライバシーと実用性の間で重要なバランスを取った[141]。内部業務の定義に対する規則の支持を取り上げた意見を慎重に検討した結果、委員会は、定義を狭めたり拡大したりする大幅な修正は必要ないと考えている。 |
| With respect to ad attribution, which generated significant commentary, the Commission believes the practice currently falls within the support for the internal operations definition. When it amended the definition in 2013, the Commission declined to enumerate certain categories of uses, including payment and delivery functions, optimization, and statistical reporting, in the Rule, stating that the definitional language sufficiently covered such functions as activities necessary to “ `maintain or analyze' the functions” of the website or service.[142] The Commission believes that ad attribution, where a persistent identifier is used to determine whether a particular advertisement led a user to take a particular action, falls within various categories, such as the concept of “payment and delivery functions” and “optimization and statistical reporting.” When used as a tool against click fraud, ad attribution also falls within the category of “protecting against fraud or theft,” an activity that served as a basis for the Commission's creation of the support for the internal operations exception.[143] That said, as the definition makes clear, the Commission would not treat ad attribution as support for the internal operations of the website or online service if the information collected to perform the activity is used or disclosed “to contact a specific individual, including through behavioral advertising, to amass a profile on a specific individual, or for any other purpose.” [144] | 重要な意見が寄せられた広告のアトリビューションに関して、委員会は、この慣行が現在、内部業務の定義の支持範囲に含まれると考えている。2013年に定義を改正した際、委員会は、支払い・配信機能、最適化、統計報告を含む特定のカテゴリーの利用を規則で列挙することを断念し、定義の文言は、ウェブサイトまたはサービスの「機能の「維持または分析」に必要な活動として、そのような機能を十分にカバーしているとしている[142]。委員会は、特定の広告がユーザーに特定の行動を起こさせたかどうかを判断するために永続的識別子を使用する広告アトリビューションは、"支払い・配信機能 "や "最適化・統計報告 "の概念など、さまざまなカテゴリーに該当すると考えている。クリック詐欺に対抗するツールとして使用される場合、広告アトリビューションは、委員会が内部業務のサポート例外を創設した根拠となった活動である「詐欺または窃盗からの保護」のカテゴリーにも該当する[143]。 とはいえ、定義が明確にしているように、活動を実行するために収集された情報が「行動広告を含む特定の個人への接触、特定の個人に関するプロファイルの蓄積、またはその他の目的」のために使用または開示される場合、委員会は広告アトリビューションをウェブサイトまたはオンラインサービスの内部業務のサポートとして扱わないだろう。 [144] |
| The definition's use restriction is an important safeguard to help ensure that operators do not misuse the exception that allows them to collect a persistent identifier in order to provide support for the internal operations without providing notice and obtaining consent.[145] The Commission appreciates the concerns expressed by some commenters that there is a lack of clarity in how operators implement the support for the internal operations exception and that certain operators may not comply with the use restriction. To increase transparency and to help ensure that operators follow the use restriction, the Commission proposes modifying the online notice requirements in § 312.4(d) to require any operator using the support for the internal operations exception to specifically identify the practices for which the operator has collected a persistent identifier and the means the operator uses to comply with the definition's use restriction.[146] | この定義の使用制限は、事業者が、通知や同意を得ることなく内部運用のサポートを提供するために、永続的識別子を収集することを認める例外を悪用しないようにするための重要な保護措置である[145]。委員会は、事業者が内部運用のサポートをどのように実施するのかが明確でなく、特定の事業者が使用制限に従わない可能性があるという、一部の意見提供者から表明された懸念を高く評価する。透明性を高め、事業者が使用制限に従うことを確実にするために、委員会は、§312.4(d)のオンライン通知要件を修正し、内部運用の例外のサポートを使用する事業者に対して、事業者が永続的識別子を収集した慣行と、事業者が定義の使用制限を遵守するために使用する手段を具体的に特定することを義務付けることを提案する[146]。 |
| With respect to the other proposed additions, the Commission does not believe additional enumerated activities are necessary. Other proposed additions—such as personalization, product improvement, and fraud prevention—are already covered.[147] As the Commission noted in developing the 2013 Amendments, the Commission is cognizant that future technical innovation may result in additional activities that websites or online services find necessary to support their internal operations.[148] Therefore, the Commission reminds interested parties that they may utilize the process permitted under § 312.12(b) of the Rule, which allows parties to request Commission approval of additional activities to be included within the support for the internal operations definition based on a detailed justification and an analysis of the activities' potential effects on children's online privacy. | その他の追加案に関して、委員会は、列挙された追加的な活動は必要ないと考えている。他の追加案(パーソナライゼーション、製品改善、詐欺防止など)は、すでにカバーされている[147]。委員会が2013年改正案の策定時に指摘したように、委員会は、将来の技術革新により、ウェブサイトまたはオンラインサービスがその内部運営をサポートするために必要と考える活動が追加される可能性があることを認識している[148]。したがって、委員会は、利害関係者に対し、規則の312.12条(b)で認められているプロセスを利用することができることを喚起する。このプロセスでは、利害関係者は、詳細な正当化理由と、その活動が児童のオンラインプライバシーに及ぼす潜在的影響の分析に基づいて、内部業務の支援の定義に含める追加の活動について、委員会の承認を求めることができる。 |
| Although the Commission does not find it necessary to modify the definition's enumerated activities, it does propose modifications to the definition's use restriction. Currently, the use restriction applies to each of the seven enumerated activities in the definition, and it states that information collected for those enumerated activities may not be used or disclosed to contact a specific individual, including through behavioral advertising, to amass a profile on a specific individual, or for any other purpose.[149] However, certain of these activities likely necessarily require an operator to contact an individual, for example in order to “[f]ulfill a request of a child as permitted by §§ 312.5(c)(3) and (4).” [150] Therefore, the Commission proposes clarifying language to indicate that the information collected for these enumerated activities may be used or disclosed to carry out the activities permitted under the support for the internal operations exception. | 委員会は、定義に列挙された活動を修正する必要はないと考えているが、定義の使用制限については修正を提案している。現在、利用制限は、定義に列挙された7つの活動のそれぞれに適用され、これらの列挙された活動のために収集された情報を、行動広告を含む特定の個人への接触、特定の個人に関するプロファイルの蓄積、またはその他の目的のために使用または開示してはならないとされている[149]。しかし、これらの活動の中には、例えば「第312.5条(c)(3)および(4)で認められている児童の要求を満たす」ために、事業者が個人と接触する必要があるものもある。 [150] したがって、委員会は、これらの列挙された活動のために収集された情報は、内部業務支援例外の下で許可された活動を実施するために使用または開示される可能性があることを示す明確な表現を提案する。 |
| In addition, the Commission proposes expanding its non-exhaustive list of use restrictions. The Commission agrees with commenters who argued that the support for the internal operations exception should not be used to allow operators to maximize children's engagement without verifiable parental consent. Therefore, the Commission proposes prohibiting operators that use this exception from using or disclosing personal information in connection with processes, including machine learning processes, that encourage or prompt use of a website or online service. This proposed addition prohibits operators from using or disclosing persistent identifiers to optimize user attention or maximize user engagement with the website or online service, including by sending notifications to prompt the child to engage with the site or service, without verifiable parental consent. | さらに、委員会は、使用制限の非網羅的リストを拡大することを提案する。委員会は、検証可能な保護者の同意なしに、事業者が児童の関与を最大化することを認めるために、内部業務支援例外を使用すべきではないという意見に同意する。そのため、委員会は、この例外を利用する事業者が、ウェブサイトまたはオンラインサービスの利用を奨励または促す機械学習プロセスを含むプロセスに関連して、個人情報を使用または開示することを禁止することを提案する。この追加案では、事業者が、検証可能な親の同意なしに、児童のサイトやサービスへの関与を促す通知を送るなどして、ユーザーの関心を最適化したり、ウェブサイトやオンラインサービスへのユーザーの関与を最大化したりするために、永続的識別子を使用または開示することを禁止している。 |
| The Commission welcomes comment on whether there are other engagement techniques the Rule should address. The Commission also welcomes comment on whether and how the Rule should differentiate between techniques used solely to promote a child's engagement with the website or online service and those techniques that provide other functions, such as to personalize the child's experience on the website or online service. | 委員会は、規則が扱うべき他のエンゲージメント手法があるかどうかについての意見を歓迎する。また、委員会は、規則が、ウェブサイトまたはオンラインサービスへの児童の関与を促進するためだけに使用される手法と、ウェブサイトまたはオンラインサービスにおける児童の体験をパーソナライズするなどの他の機能を提供する手法とを区別すべきかどうか、またどのように区別すべきかについての意見も歓迎する。 |
| 5. Website or Online Service Directed to Children | 5. 児童向けのウェブサイトまたはオンラインサービス |
| The Commission proposes a number of changes to the definition of “website or online service directed to children.” Overall, the Commission does not intend these proposed changes to alter the definition substantively; rather, the changes will provide additional insight into and clarity regarding how the Commission currently interprets and applies the definition. | 委員会は、「児童向けウェブサイトまたはオンラインサービス」の定義に多くの変更を提案している。全体として、委員会は、これらの変更案が定義を実質的に変更することを意図しているわけではない。むしろ、この変更により、委員会が現在どのように定義を解釈し、適用しているかについて、さらに理解を深め、明確にすることができる。 |
| a. Multi-Factor Test | a. 多要素テスト |
| The first paragraph of the definition sets forth a list of factors the Commission will consider in determining whether a particular website or online service is child-directed. The Commission received a significant number of comments regarding the Rule's multi-factor test. Several industry commenters encouraged the FTC to continue relying on a multi-factor test to determine whether a site or service is directed to children, balancing both context ( e.g., intent to target children, promoted to children, and empirical evidence of audience) and content ( e.g., subject matter, animation, and child-oriented activities) factors.[151] These commenters discouraged the FTC from relying on a single factor taken alone, arguing that a multi-factor evaluation allows flexibility and takes into account that some factors may be more or less indicative than others.[152] | 定義の第1段落では、特定のウェブサイトまたはオンラインサービスが児童向けかどうかを判断する際に、委員会が考慮する要素のリストを定めている。同規則の多要素テストに関して、委員会は多数の意見を受け取った。複数の業界関係者は、FTCに対し、サイトまたはサービスが児童向けであるかどうかを判断するために、引き続き多要素テストに依拠し、コンテクスト(例えば、児童を対象とする意図、児童向けに宣伝されていること、視聴者に関する経験的証拠)とコンテンツ(例えば、主題、アニメーション、児童向けの活動)の両要素のバランスをとるよう奨励した[151]。これらの意見提出者は、FTCが単一の要素のみに依拠することを戒め、多要素評価によって柔軟性が確保され、いくつかの要素が他の要素よりも示唆的である場合もあれば、そうでない場合もあることを考慮に入れていると主張した[152]。 |
| At the same time, commenters also recommended that the Commission reevaluate the test's existing factors, claiming that some are outdated and no longer seem indicative of child-directed websites or online services. For example, several industry members noted that content styles such as animation are not necessarily determinative of whether a service is child-directed.[153] In addition, several industry members recommended that the FTC consider giving more weight to particular factors when determining whether a website or online service is directed to children or that it create a sliding scale for existing factors to provide more guidance for operators.[154] For example, a number of commenters recommended that the Commission weigh more heavily operators' intended audience as opposed to empirical evidence of audience composition.[155] | 同時に、意見提出者は、いくつかの要素は時代遅れであり、もはや児童向けのウェブサイトやオンラインサービスを示すものではないと主張し、テストの既存の要素を再評価するようFTCに勧告した[153]。例えば、複数の業界関係者は、アニメーションのようなコンテンツのスタイルは、必ずしもサービスが児童向けかどうかを決定するものではないと指摘している[153]。さらに、複数の業界関係者は、FTCに対し、ウェブサイトやオンライン・サービスが児童向けか否かを判断する際に、特定の要素をより重視することを検討すること、あるいは、既存の要素についてスライド・スケールを設け、事業者により多くのガイダンスを提供することを提言した[154]。例えば、多くの意見提出者は、視聴者構成に関する経験的証拠とは対照的に、事業者の意図する視聴者をより重視するよう提言している[155]。 |
| Several FTC-approved COPPA Safe Harbor programs suggested adding new factors to the Rule to help guide operators, including by adding an operator's self-categorization to third parties. One such program, for example, recommended considering marketing materials directed to third-party partners or advertisers, claiming that such materials can provide insights on the operator's target and users.[156] Another supported consideration of “whether an operator self-categorizes its website or online service as child-directed on third[-]party platforms.” [157] A third FTC-approved COPPA Safe Harbor program recommended requiring operators to periodically analyze the demographics of their audience or users and to consider consumer inquiries and complaints.[158] | FTCが承認したCOPPAセーフハーバープログラムのいくつかは、サードパーティに対する事業者の自己分類を追加するなど、事業者の指針となる新たな要素を規則に追加することを提案した。例えば、そのようなプログラムの1つは、サードパーティのパートナーや広告主に向けたマーケティング資料を考慮することを推奨し、そのような資料は事業者のターゲットやユーザーに関する洞察を提供することができるとしている[156]。また別のプログラムは、「事業者がサードパーティのプラットフォームにおいて、そのウェブサイトまたはオンラインサービスを児童向けと自己分類しているかどうか」を考慮することを支持している。 [157]FTCが承認した3つ目のCOPPAセーフハーバープログラムは、事業者に対して、視聴者やユーザーの人口統計を定期的に分析し、消費者からの問い合わせや苦情を考慮するよう求めることを推奨している[158]。 |
| Some commenters cautioned against relying on an operator's internal rating system or a third party's rating system as a factor.[159] One such commenter argued that relying on operators' internal rating systems would potentially punish those that engage in good faith, responsible review activities and might violate section 230 of the Communications Decency Act.[160] The commenter also argued that a third party's ratings do not constitute competent and empirical evidence regarding audience composition or evidence regarding the intended audience, and further argued that relying on such ratings increases an operator's risk of unexpected liability, particularly if the rating system may have been developed for a purpose unrelated to the COPPA Rule's factors.[161] | 事業者の内部レーティングシステムやサードパーティーのレーティングシステムを要素として依拠することに注意を促す意見もあった[159]。そのような意見の一人は、事業者の内部レーティングシステムに依拠することは、善意で責任あるレビュー活動を行う事業者を罰する可能性があり、コミュニケーション良識法230条に違反する可能性があると主張した[160]。 [160] また、この意見提出者は、サードパーティによるレーティングは、視聴者構成に関する有能かつ実証的な証拠や、意図された視聴者に関する証拠にはならないと主張し、さらに、このようなレーティングに依存することは、特にレーティングシステムがCOPPA規則の要素とは無関係な目的で開発された可能性がある場合、事業者の予期せぬ法的責任のリスクを高めると主張した[161]。 |
| The Commission continues to believe that the Rule's multi-factor test, which applies a “totality of the circumstances” standard, is the most practical and effective means for determining whether a website or online service is directed to children. The determination of whether a given site or service is child-directed is necessarily fact-based and requires flexibility as individual factors may be more or less relevant depending on the context. Moreover, a requirement that the Commission, in all cases, weigh more heavily certain factors could unduly hamper the Commission's law enforcement efforts. For example, it is not hard to envision operators circumventing the Rule by claiming an “intended” adult audience despite the attributes and overall look and feel of the site or service appearing to be directed to children.[162] Additionally, a rigid approach that prioritizes specific factors is unlikely to be nimble enough to address a site or service that changes its characteristics over time. | 委員会は、「状況の総合」標準を適用する規則の多要素テストが、ウェブサイトまたはオンラインサービスが児童に向けられたものであるかどうかを判断するための最も実用的かつ効果的な手段であると引き続き考えている。あるサイトやサービスが児童向けかどうかの判断は、必然的に事実に基づくものであり、個々の要素が状況によって関連性が高くなったり低くなったりするため、柔軟性が求められる。さらに、すべての場合において、委員会が特定の要素をより重視するよう要求することは、委員会の法執行努力を不当に妨げることになりかねない。例えば、サイトやサービスの属性や全体的なルック・アンド・フィールが児童向けであるように見えるにもかかわらず、「意図された」成人向けであると主張することで、規則を回避する事業者を想定することは難しくない[162]。さらに、特定の要素に優先順位をつける厳格なアプローチは、時とともに特性が変化するサイトやサービスに対処するのに十分な機動性を持ちにくい。 |
| The Commission does not propose eliminating any of the existing factors or modifying how it applies the multi-factor test.[163] However, the Commission proposes modifications to clarify the evidence the Commission will consider regarding audience composition and intended audience. | 委員会は、既存の要素を廃止したり、多要素テストの適用方法を修正したりすることは提案していない[163]。しかし。委員会は、視聴者の構成と意図する視聴者に関して、委員会が考慮する証拠を明確にするための修正を提案している。 |
| Specifically, the Commission proposes adding a non-exhaustive list of examples of evidence the Commission will consider in analyzing audience composition and intended audience. The Commission agrees with those commenters that argued that an operator's marketing materials and own representations about the nature of its site or service are relevant. Such materials and representations can provide insight into the operator's understanding of its intended or actual audience and are thus relevant to the Commission's analysis. Additionally, the Commission believes that other factors can help elucidate the intended or actual audience of a site or service, including user or third-party reviews and the age of users on similar websites or services. Therefore, the Commission proposes adding “marketing or promotional materials or plans, representations to consumers or to third parties, reviews by users or third parties, and the age of users on similar websites or services” as examples of evidence the Commission will consider. Because many of these examples can provide evidence as to both audience composition and intended audience, the Commission also proposes a technical fix to remove the comma between “competent and reliable empirical evidence regarding audience composition” and “evidence regarding the intended audience.” | 具体的には、委員会は、視聴者の構成と意図する視聴者の分析において委員会が考慮する証拠の例を非網羅的に追加することを提案する。委員会は、事業者のマーケティング資料やサイトまたはサービスの性質に関する自らの表明が関連性があると主張する意見に同意する。このような資料や表現は、事業者が意図するまたは実際の視聴者について理解していることを示すものであり、委員会の分析に関連するものである。さらに、委員会は、ユーザーまたはサードパーティによるレビューや、類似のウェブサイトまたはサービスにおけるユーザーの年齢など、他の要因もサイトまたはサービスの意図するまたは実際の利用者を明らかにするのに役立つと考えている。したがって、委員会は、「マーケティングまたは販売促進用の資料または計画、消費者またはサードパーティに対する表明、ユーザーまたはサードパーティによるレビュー、類似のウェブサイトまたはサービスにおけるユーザーの年齢」を、委員会が考慮する証拠の例として追加することを提案する。これらの例の多くは、視聴者構成と意図する視聴者の両方に関する証拠を提供できるため、委員会は、"視聴者構成に関する有能で信頼できる経験的証拠 "と "意図する視聴者に関する証拠 "の間のコンマを削除する技術的修正も提案している。 |
| b. Operators Collecting Personal Information From Other Websites and Online Services Directed to Children | b. 児童向けの他のウェブサイトおよびオンラインサービスから個人情報を収集する事業者 |
| The second paragraph of the definition of “website or online service directed to children” states “[a] website or online service shall be deemed directed to children when it has actual knowledge that it is collecting personal information directly from users of another website or online service directed to children.” [164] The Commission added this language in 2013, along with parallel changes to the definition of “operator,” in order “to allocate and clarify the responsibilities under COPPA” of third parties that collect information from users of child-directed sites and services.[165] The changes clarified that the child-directed content provider is strictly liable when a third party collects personal information through its site or service, while the third party is liable only if it had actual knowledge that the site or service from which it was collecting personal information was child-directed.[166] | 児童を対象としたウェブサイトまたはオンラインサービス」の定義の第2段落には、「児童を対象とした他のウェブサイトまたはオンラインサービスの利用者から直接個人情報を収集していることを実際に知っている場合、そのウェブサイトまたはオンラインサービスは児童を対象としたものとみなされる」と記載されている。 [164] 委員会は2013年、児童向けサイトやサービスの利用者から情報を収集する第三者の「COPPAに基づく責任を割り当て、明確にする」ために、「運営者」の定義に並行してこの文言を追加した[165]。この変更により、第三者がそのサイトやサービスを通じて個人情報を収集する場合、児童向けコンテンツのプロバイダは厳格な責任を負うが、第三者は、個人情報を収集しているサイトやサービスが児童向けであることを実際に知っていた場合にのみ責任を負うことが明確になった[166]。 |
| Because the second paragraph of this definition specifies that the operator must have actual knowledge that it is collecting personal information “directly” from users of another site or service, the Commission is concerned that entities with actual knowledge that they receive large amounts of children's data from another site or service that is directed to children, without collecting it directly from the users of such site or service, may avoid COPPA's requirements. For example, the online advertising ecosystem involves ad exchanges that receive data from an ad network that has collected information from users of a child-directed site or service. In the same spirit of avoiding a loophole that led the Commission to amend the Rule in 2013, the Commission proposes modifying the current language by deleting the word “directly.” The Commission did not seek comment in the 2019 Rule Review Initiation on this aspect of the Rule's definition of “website or online service directed to children” and therefore welcomes comment on this proposed modification. | この定義の第2段落では、事業者が他のサイトやサービスの利用者から「直接」個人情報を収集していることを実際に知っている必要があると規定されているため、委員会は、児童向けの他のサイトやサービスから、そのようなサイトやサービスの利用者から直接収集することなく、大量の児童のデータを受け取っていることを実際に知っている事業体が、COPPAの要件を回避することを懸念している。例えば、オンライン広告のエコシステムには、児童向けのサイトやサービスの利用者から情報を収集した広告ネットワークからデータを受け取るアドエクスチェンジが含まれる。2013年に委員会が規則を改正するきっかけとなった抜け穴を避けるという同じ精神に基づき、委員会は、"directly "という単語を削除することで、現行の文言を修正することを提案する。委員会は、2019年規則見直し開始において、規則の「児童向けウェブサイトまたはオンラインサービス」の定義のこの点に関する意見を求めていないため、この修正案に関する意見を歓迎する。 |
| c. Mixed Audience | c. 混合視聴者 |
| The 2013 Amendments established a distinction between child-directed sites and services that target children as a “primary audience” and those for which children are one of multiple audiences—so called “mixed audience” sites or services. Specifically, the Rule provides that a website or online service that meets the multi-factor test for being child-directed “but that does not target children as its primary audience, shall not be deemed directed to children” so long as the operator first collects age information and then prevents the collection, use, or disclosure of information from users who identify as younger than 13 before providing notice and obtaining verifiable parental consent.[167] This allows operators of mixed audience sites or services to use an age-screen and apply COPPA protections only to those users who are under 13. | 2013年の改正では、児童を「主たる視聴者」とする児童向けサイトおよびサービスと、児童が複数の対象者の一人である、いわゆる「混合視聴者」と呼ばれるサイトおよびサービスとの区別が設けられた。具体的には、運営者がまず年齢情報を収集し、13歳未満であることを確認したユーザーからの情報の収集、使用、開示を防止した上で、通知を提供し、検証可能な保護者の同意を得る限り、「児童向けであるが、児童を主たる対象としていない」という多要素テストを満たすウェブサイトまたはオンラインサービスは、児童向けとはみなされないと規定している[167]。これにより、混合視聴者のサイトまたはサービスの運営者は、年齢スクリーンを使用し、13歳未満のユーザーにのみCOPPA保護を適用することができる。 |
| Although there appears to be general support for the mixed audience classification, a number of commenters cited confusion regarding its application and called on the Commission to provide additional clarity on where to draw the line between general audience, primarily child-directed, and mixed audience categories of sites and services.[168] One commenter noted that the mixed audience definition is confusing and the language “shall not be deemed directed to children” suggests that such sites or services are not within the definition of child-directed websites or online services.[169] Others recommended the Commission use a specific threshold for making the determination or provide additional guidance based on the Rule's multi-factor test.[170] | 混合視聴者の分類には一般的な支持があるように見えるが、多くの意見提供者は、その適用に関する混乱を挙げ、サイトやサービスの一般視聴者、主に児童向け、および混合視聴者の分類の間の線引きをどこで行うかについて、さらに明確にするよう委員会に求めた。 [168] ある意見提供者は、混在視聴者の定義が紛らわしいと指摘し、「児童向けとはみなされないものとする」という文言は、そのようなサイトやサービスが児童向けウェブサイトやオンラインサービスの定義に含まれないことを示唆しているとした[169]。 |
| Commenters also questioned the effectiveness of age screening, with some arguing that children have been conditioned to lie about their age in order to circumvent age gates.[171] Others expressed support for the current approach,[172] and some warned against specifying proscriptive methods for age screening, as it could prevent companies from innovating new methods.[173] | また、年齢制限を回避するために、児童が年齢について嘘をつくように仕向けられていると主張する意見もあり、年齢スクリーニングの有効性に疑問を呈する意見もあった[171]。また、現行のアプローチを支持する意見もあり[172]、年齢スクリーニングのための規定的な方法を特定することは、企業の新たな方法の革新を妨げる可能性があるとして、警告する意見もあった[173]。 |
| Through the 2013 Amendments, the Commission intended mixed audience sites and services to be a subset of the “child-directed” category of websites or online services to which COPPA applies. A website or online service falls under the mixed audience designation if it: (1) meets the Rule's multi-factor test for being child-directed; and (2) does not target children as its primary audience. Unlike other child-directed sites and services, mixed audience sites and services may collect age information and need only apply COPPA's protections to those users who identify as under 13. An operator falling under this mixed audience designation may not collect personal information from any visitor until it collects age information from the visitor. To the extent the visitor identifies themselves as under age 13, the operator must provide notice and obtain verifiable parental consent before collecting, using, and disclosing personal information from the visitor.[174] | 2013年の改正を通じて、委員会は、混合視聴者のサイトとサービスを、COPPAが適用されるウェブサイトまたはオンラインサービスの「Child-directed」カテゴリーのサブセットとすることを意図した。ウェブサイトまたはオンラインサービスは、(1)児童向けであることに関する規則の多要素テストを満たし、(2)児童を主な対象としていない場合、混合視聴者の指定に該当する。他の児童向けサイトやサービスとは異なり、混合視聴者向けサイトやサービスは年齢情報を収集することができ、13歳未満と識別される利用者にのみCOPPAの保護を適用する必要がある。この混合視聴者の指定に該当する運営者は、ビジターから年齢情報を収集するまで、いかなるビジターからも個人情報を収集することはできない。訪問者が13歳未満であることを特定できる範囲において、事業者は、訪問者から個人情報を収集、使用、開示する前に、通知を提供し、検証可能な親の同意を得なければならない[174]。 |
| To make its position clearer, the Commission proposes adding to the Rule a separate, stand-alone definition for “mixed audience website or online service.” This definition provides that a mixed audience site or service is one that meets the criteria of the Rule's multi-factor test but does not target children as the primary audience.[175] | 委員会は、その立場をより明確にするため、「視聴者が混在するウェブサイトまたはオンラインサービス」の独立した定義を規則に追加することを提案している。この定義では、混合視聴者のサイトまたはサービスとは、規則の多要素テストの基準を満たすが、主たる視聴者として児童を対象としていないサイトまたはサービスであると規定している[175]。 |
| The proposed definition also provides additional clarity on the means by which an operator of a mixed audience site or service can determine whether a user is a child. First, the Commission agrees with the comments that recommend it allow operators flexibility in determining whether a user is a child. To that end, the proposed definition allows operators to collect age information or use “another means that is reasonably calculated, in light of available technology, to determine whether the visitor is a child,” reflecting a standard used elsewhere in the Rule.[176] Although currently collecting age information may be the most practical means for determining that a user is a child, the proposed definition allows operators to innovate and develop additional mechanisms that do not rely on a user's self-declaration.[177] | 提案されている定義はまた、混合視聴者向けサイトまたはサービスの運営者が、利用者が児童であるかどうかを判断する手段をさらに明確にするものである。第一に、委員会は、利用者が児童であるかどうかを判断する際に、運営者が柔軟に対応できるようにすることを推奨する意見に同意する。そのため、提案されている定義では、運営者が年齢情報を収集するか、または「利用可能な技術に照らして、閲覧者が児童であるかどうかを判断するために合理的に計算される別の手段」を使用することを認めており、これは規則の他の箇所で使用されている標準[176]を反映している。現在、年齢情報を収集することは、利用者が児童であることを判断するための最も現実的な手段であるかもしれないが、提案されている定義では、運営者が革新し、利用者の自己申告に依存しない追加のメカニズムを開発することを認めている[177]。 |
| Additionally, consistent with long-standing staff guidance,[178] the proposed mixed audience definition specifically requires that the means used for determining whether a visitor is a child “be done in a neutral manner that does not default to a set age or encourage visitors to falsify age information.” This, for instance, would prevent operators from suggesting to users that certain features will not be available for users who identify as younger than 13. | さらに、長年にわたるスタッフのガイダンス[178]と一致するように、提案されている混合視聴者の定義は、訪問者が児童であるかどうかを判断するために使用される手段が、「設定された年齢をデフォルトとしたり、年齢情報を偽ったりすることを訪問者に促したりしない中立的な方法で行われる」ことを特に求めている。例えば、13歳未満と識別されたユーザーには特定の機能が利用できないことを運営者がユーザーに示唆することを防ぐことができる。 |
| To further clarify the obligations of an operator of a mixed audience site or service, the Commission also proposes amending paragraph (3) of the definition of “website or online service directed to children” by stating that such operators shall not be deemed directed to children with regard to any visitor not identified as under 13. | また、視聴者層が混在するサイトやサービスの運営者の義務をさらに明確にするため、委員会は、「児童向けウェブサイトまたはオンラインサービス」の定義の(3)項を改正し、13歳未満と識別されない訪問者については、児童向けとはみなされないとすることも提案している。 |
| B. Notice (16 CFR 312.4) | B. 通知(16 CFR 312.4) |
| The Commission proposes a number of modifications to the Rule's direct notice and online notice provisions. | 委員会は、同規則の直接通知およびオンライン通知の規定に対して、多くの修正を提案している。 |
| 1. Direct Notice to the Parent (Paragraph (b)) | 1. 親への直接通知(パラグラフ(b) |
| Section 312.4(b) requires operators to make reasonable efforts to ensure that parents receive direct notice of an operator's practices with respect to the collection, use, or disclosure of children's information. The Commission proposes adding references to “school” in § 312.4(b) to cover the situation in which an operator relies on authorization from a school to collect information from a child and provides the direct notice to the school rather than to the child's parent. As discussed in Part IV.C.3.a., the Commission is proposing to add an exception to the Rule's parental consent requirement where an operator, in limited contexts, obtains authorization from a school to collect a child's personal information. For purposes of authorization, “school” includes individual schools as well as local educational agencies and State educational agencies, as those terms are defined under Federal law.[179] | 312.4(b)項は、事業者に対して、児童情報の収集、使用、開示に関する事業者の慣行について、保護者が直接通知を受けられるよう合理的な努力をすることを求めている。委員会は、事業者が児童の情報を収集するために学校からの認可を信頼し、児童の親ではなく学校に直接通知を提供する状況をカバーするために、312.4条(b)に「学校」への参照を追加することを提案する。パートIV.C.3.a.で述べたように、委員会は、事業者が限られた状況において、児童の個人情報を収集するために学校から認可を得る場合、規則の保護者の同意要件に例外を追加することを提案している。認可の目的上、「学校」には、個々の学校だけでなく、連邦法で定義されているように、地域の教育機関および州の教育機関も含まれる[179]。 |
| Just as notice is necessary for a parent to provide informed and meaningful consent, a school must also obtain information about an operator's data collection and use practices before authorizing collection. Therefore, as part of the proposed school authorization exception, an operator must make reasonable efforts to ensure that the school receives the notice that the operator would otherwise provide to a child's parent. | 保護者が十分な情報を得た上で有意義な同意を提供するために通知が必要であるのと同様に、学校もまた、収集を認可する前に、事業者のデータ収集・利用慣行に関する情報を入手しなければならない。したがって、提案されている学校認可の例外の一部として、事業者は、事業者が児童の親に提供するはずの通知を学校が確実に受け取れるよう、合理的な努力を払わなければならない。 |
| 2. Content of the Direct Notice (Paragraph (c)) | 2. 直接通知の内容(パラグラフ(c) |
| Section 312.4(c) details the content of the direct notice required where an operator avails itself of one of the Rule's exceptions to prior parental consent set forth in § 312.5(c)(1)–(8). The Commission proposes several modifications to § 312.4(c). The first is to delete the reference to “parent” in the § 312.4(c) heading. This modification is to accommodate the proposed new § 312.4(c)(5), which specifies the content of the direct notice where an operator relies on school authorization to collect personal information. | 312.4(c)項では、312.5(c)(1)~(8)項に規定されている親の事前同意に関する規則の例外のいずれかを事業者が利用する場合に必要となる直接通知の内容について詳述している。委員会は、312.4条(c)にいくつかの修正を提案する。第一は、§312.4(c)の見出しにある「親」への言及を削除することである。この修正は、事業者が個人情報を収集するために学校の認可に頼る場合の直接通知の内容を規定する、提案されている新しい§312.4(c)(5)に対応するためである。 |
| Next, the Commission proposes modifying language in § 312.4(c)(1) and a number of its paragraphs. As currently drafted, this section sets forth the required content of direct notice when an operator collects personal information in order to initiate parental consent under the parental consent exception listed in § 312.5(c)(1). The Commission proposes revising the heading of § 312.4(c)(1) by adding the phrase “for purposes of obtaining consent, including . . .” after “[c]ontent of the direct notice to the parent” and before “under § 312.5(c)(1).” This change would clarify that this direct notice requirement applies to all instances in which the operator provides direct notice to a parent for the purposes of obtaining consent, including under § 312.5(c)(1). | 次に、委員会は、312.4条(c)(1)およびその段落の文言を修正することを提案する。現在ドラフトされているように、このセクションは、§312.5(c)(1)に記載されている保護者の同意の例外に基づき、保護者の同意を得るために事業者が個人情報を収集する場合に求められる直接通知の内容を定めている。委員会は、§312.4(c)(1)の見出しを修正し、「親への直接通知の内容」の後、「§312.5(c)(1)に基づく」の前に、「...を含む同意を得る目的で」という文言を追加することを提案する。この変更により、この直接通知の要件は、§312.5(c)(1)に基づく場合を含め、同意を得る目的で事業者が親に直接通知を行うすべての場合に適用されることが明確になる。 |
| In its current form, § 312.4(c)(1) presumes that an operator has collected a parent's online contact information and, potentially, the name of the child or parent. However, operators are free to use other means to initiate parental consent, including those that do not require collecting online contact information. For example, an operator could use an in-app pop-up message that directs the child to hand a device to the parent and then instructs a parent to call a toll-free number. The modification is intended to clarify that even where the operator does not collect personal information to initiate consent under § 312.5(c)(1), it still must provide the relevant aspects of the § 312.4(c)(1) direct notice to the parent. | 現行の形では、§312.4(c)(1)は、事業者が親のオンライン連絡先情報と、可能性として、児童または親の名前を収集したことを前提としている。しかし、事業者は、オンライン連絡先情報の収集を必要としないものを含め、保護者の同意を得るために他の手段を自由に使用することができる。例えば、親に端末を渡すよう児童に指示し、その後フリーダイヤルに電話するよう親に指示するアプリ内ポップアップメッセージを使用することができる。この変更は、事業者が§312.5(c)(1)に基づく同意を開始するために個人情報を収集しない場合でも、§312.4(c)(1)の関連する部分を親に直接通知しなければならないことを明確にすることを意図している。 |
| Because the Commission's proposed changes to § 312.4(c)(1) would expand the scope of when an operator must provide this direct notice, the Commission proposes modifications to indicate that §§ 312.4(c)(1)(i) and newly-numbered 312.4(c)(1)(vii) may not be applicable in all instances.[180] Additionally, because §§ 312.4(c)(1)(i) and newly-numbered 312.4(c)(1)(vii) apply to scenarios in which an operator is obtaining parental consent under the parental consent exception provided in § 312.5(c)(1), the Commission proposes making minor modifications to those sections to align language with that exception. Specifically, that exception permits operators to collect a child's name or online contact information prior to obtaining parental consent, and the proposed notice would require the operator to indicate when it has collected a child's name or online contact information. | 委員会が提案する§312.4(c)(1)の変更は、事業者がこの直接通知を提供しなければならない場合の範囲を拡大するため、委員会は、§312.4(c)(1)(i)および新たに番号付けされた312.4(c)(1)(vii)がすべての場合に適用されるとは限らないことを示す修正を提案する[180]。 4(c)(1)(i)および新たに番号付けされた312.4(c)(1)(vii)は、第312.5条(c)(1)に規定された親の同意の例外に基づき、事業者が親の同意を取得するシナリオに適用されるため、委員会は、その例外と文言を合わせるために、これらのセクションに若干の修正を加えることを提案する。具体的には、この例外は、事業者が保護者の同意を得る前に、児童の氏名またはオンライン連絡先情報を収集することを認めており、提案されている通知は、事業者が児童の氏名またはオンライン連絡先情報を収集した場合に、その旨を表示することを義務付けるものである。 |
| The Commission also proposes adding a new paragraph (iv) to require that operators sharing personal information with third parties identify the third parties as well as the purposes for such sharing, should the parent provide consent. This new paragraph (iv) will also require the operator to state that the parent can consent to the collection and use of the child's information without consenting to the disclosure of such information, except where such disclosure is integral to the nature of the website or online service.[181] For example, such disclosure could be integral if the website or online service is an online messaging forum through which children necessarily have to disclose their personal information, such as online contact information, to other users on that forum. The Commission believes that this information will enhance parents' ability to make an informed decision about whether to consent to the collection of their child's personal information. In order to minimize the burden on operators, and to maintain the goal of providing parents with a clear and concise direct notice, the proposed modification allows operators to disclose the categories of third parties with which the operator shares data rather than identifying each individual entity. The Commission welcomes further comment on whether information regarding the identities or categories of third parties with which an operator shares information is most appropriately placed in the direct notice to parents required under § 312.4(c) or in the online notice required under § 312.4(d). | また、委員会は、個人情報をサードパーティと共有する事業者に対し、保護者の同意がある場合には、当該サードパーティを特定するとともに、その目的を明示することを義務付けるため、新しいパラグラフ(iv)を追加することも提案している。この新しいパラグラフ(iv)はまた、ウェブサイトまたはオンラインサービスの性質上、開示が不可欠である場合を除き、親が当該情報の開示に同意することなく、児童の情報の収集および利用に同意できることを明記することを事業者に義務付ける[181]。例えば、ウェブサイトまたはオンラインサービスがオンラインのメッセージング・フォーラムであり、児童が必然的にオンライン連絡先情報などの個人情報をそのフォーラムの他のユーザーに開示しなければならない場合、このような開示は不可欠となり得る。委員会は、このような情報開示により、保護者が児童の個人情報の収集に同意するかどうかについて、十分な情報を得た上で判断する能力が高まると考えている。事業者の負担を最小限に抑え、明確かつ簡潔な直接通知を保護者に提供するという目標を維持するため、今回の修正案では、事業者が個々の事業体を特定するのではなく、データを共有するサードパーティーのカテゴリーを開示することを認めている。委員会は、事業者が情報を共有する第三者の身元またはカテゴリーに関する情報を、312.4条(c)に基づき義務付けられている保護者への直接通知に記載するのが最も適切か、または312.4条(d)に基づき義務付けられているオンライン通知に記載するのが最も適切かについて、さらなる意見を歓迎する。 |
| Additionally, the Commission proposes a number of clarifying changes. First, the Commission proposes clarifying that the information at issue in the first clause of § 312.4(c)(1)(ii) is “personal information.” [182] Second, in § 312.4(c)(1)(iii), the Commission proposes clarifying that the direct notice must include how the operator intends to use the personal information collected from the child. For example, to the extent an operator uses personal information collected from a child to encourage or prompt use of the operator's website or online service such as through a push notification, such use must be explicitly stated in the direct notice. Additionally, the Commission further proposes to change the current use of “or” to “and” to indicate that the operator must provide all information listed in § 312.4(c)(1)(iii). Lastly, the Commission also proposes removing the term “additional” from § 312.4(c)(1)(iii) because this paragraph no longer applies solely to instances in which the operator collects the parent's or child's name or online contact information. | さらに、委員会は、いくつかの明確な変更を提案している。第一に、委員会は、312.4条(c)(1)(ii)の最初の条項で問題となっている情報が「個人情報」であることを明確にすることを提案する。 [182] 第二に、§312.4(c)(1)(iii)において、委員会は、直接通知には、事業者が児童から収集した個人情報をどのように使用する予定であるかを含めなければならないことを明確にすることを提案する。例えば、事業者が、プッシュ通知などを通じて、事業者のウェブサイトまたはオンラインサービスの利用を奨励または促すために、児童から収集した個人情報を利用する場合、そのような利用は、直接通知に明示されなければならない。さらに、委員会は、事業者が312.4条(c)(1)(iii)に記載されているすべての情報を提供しなければならないことを示すために、現行の「または」を「および」に変更することを提案する。最後に、委員会は、事業者が親または子の氏名またはオンライン連絡先情報を収集する場合にのみこの段落が適用されなくなったため、§312.4(c)(1)(iii)から「追加」という用語を削除することも提案する。 |
| In addition to the proposed modifications to § 312.4(c)(1), the Commission proposes adding § 312.4(c)(5) to identify the content of the direct notice an operator must provide when seeking to obtain school authorization to collect personal information.[183] While tailored to the school context, the requirements in this new provision generally track the proposed modifications to § 312.4(c)(1).[184] | 312.4(c)(1)の修正案に加え、委員会は、個人情報を収集するために学校の認可を得ようとする場合に事業者が提供しなければならない直接通知の内容を特定するために、312.4(c)(5)を追加することを提案する[183]。この新しい規定の要件は、学校の状況に合わせたものではあるが、312.4(c)(1)の修正案に概ね沿ったものである[184]。 |
| 3. Notice on the Website or Online Service (Paragraph (d)) | 3. ウェブサイトまたはオンラインサービスにおける通知(パラグラフ(d) |
| The Commission proposes two additions to the Rule's online notice requirement. These additions pertain to an operator's use of the exception for prior parental consent set forth in § 312.5(c)(7) and the proposed exception set forth in new proposed § 312.5(c)(9).[185] The Commission also proposes certain modifications to the Rule's existing online notice requirements. | 委員会は、規則のオンライン通知要件に2つの追加を提案している。これらの追加は、第312.5条(c)(7)に規定されている事前の親の同意に関する例外と、新たに提案されている第312.5条(c)(9)に規定されている例外案の事業者の使用に関するものである[185]。また、委員会は、規則の既存のオンライン通知要件に一定の修正を提案する。 |
| First, the Commission proposes adding a new paragraph, § 312.4(d)(3), which would require operators that collect a persistent identifier under the support for the internal operations exception in § 312.5(c)(7) to specify the particular internal operation(s) for which the operator has collected the persistent identifier and describe the means it uses to ensure that it does not use or disclose the persistent identifier to contact a specific individual, including through behavioral advertising, to amass a profile on a specific individual, in connection with processes that encourage or prompt use of a website or online service, or for any other purpose, except as permitted by the support for the internal operations exception.[186] | まず、委員会は、312.4条(d)(3)という新たな段落を追加することを提案しており、この段落は、312.5条(c)(7)の内部運用のサポート例外の下で永続的識別子を収集する事業者に義務付けるものである。 5(c)(7)では、事業者が永続的識別子を収集した特定の内部運用を特定し、内部運用のサポート例外によって許可される場合を除き、行動広告を含む特定の個人への接触、特定の個人に関するプロファイルの蓄積、ウェブサイトまたはオンラインサービスの利用を奨励または促進するプロセスとの関連、またはその他の目的のために、永続的識別子を使用または開示しないことを保証するために使用する手段を記述することを求める[186]。 |
| Currently, an operator that collects a persistent identifier pursuant to § 312.5(c)(7) is not required to provide notice of the collection. The Commission finds merit in the concerns expressed by some commenters about a lack of transparency in how operators implement the support for the internal operations exception and the extent to which they comply with the exception's restrictions.[187] The Commission believes that the proposed disclosure requirements will provide additional clarity into the use of § 312.5(c)(7), will enhance operator accountability, and will function as an important tool for monitoring COPPA compliance. | 現在、§312.5(c)(7)に従って永続的識別子を収集する事業者は、収集の通知を行う必要はない。委員会は、事業者が内部運用の例外のサポートをどのように実施し、どの程度例外の制限を遵守しているのかについて透明性が欠如しているという、一部の意見者から表明された懸念にメリットを見出す[187]。委員会は、提案されている開示要件が、§312.5(c)(7)の使用にさらなる明確性を与え、事業者の説明責任を強化し、COPPA遵守を監視するための重要なツールとして機能すると考えている。 |
| Second, as discussed in Part IV.C.3.b., the Commission proposes a new parental consent exception, codifying its law enforcement policy statement regarding the collection of audio files.[188] Consistent with this codification, the Commission also proposes a new § 312.4(d)(4) requiring that an operator that collects audio files pursuant to the new § 312.5(c)(9) exception describe how the operator uses the audio files and to represent that it deletes such files immediately after responding to the request for which the files were collected. | 第2に、パートIV.C.3.b.で説明したように、委員会は、音声ファイルの収集に関する法執行政策声明を成文化した、新しい保護者の同意による例外を提案している[188]。この成文化に対応して、委員会は、新しい§312.4(d)(4)を提案し、新しい§312.5(c)(9)の例外に従って音声ファイルを収集する事業者に対して、事業者が音声ファイルをどのように使用するかを説明し、ファイルが収集された要求に対応した後、そのようなファイルを直ちに削除することを代表者に示すことを求めている。 |
| The Commission also proposes a number of other modifications to the Rule's online notice requirements. Specifically, the Commission proposes modifying § 312.4(d)(2) to require additional information regarding operators' disclosure practices and operators' retention policies.[189] As discussed earlier, the Commission believes that this information will enhance parents' ability to make an informed decision about whether to consent to the collection of their child's personal information. The Commission notes that the COPPA Rule's online notice provision requires that operators describe how they use personal information collected from children.[190] For example, to the extent an operator uses personal information collected from a child to encourage or prompt use of the operator's website or online service such as through a push notification, such use must be explicitly stated in the online notice. The Commission also proposes adding “if applicable” to current § 312.4(d)(3) (which would be redesignated as § 312.4(d)(5)) in order to acknowledge that there may be situations in which a parent cannot review or delete the child's personal information.[191] | 委員会はまた、規則のオンライン通知要件について、その他多くの修正を提案している。具体的には、委員会は、運営者の開示慣行および運営者の保持方針に関する追加情報を要求するために、312.4条(d)(2)を修正することを提案している[189]。先に述べたように、委員会は、この情報により、保護者が児童の個人情報の収集に同意するかどうかについて、十分な情報を得た上で判断する能力が高まると考えている。委員会は、COPPA規則のオンライン通知規定が、事業者が児童から収集した個人情報をどのように利用するかを説明することを求めていることに留意する[190]。例えば、事業者がプッシュ通知などを通じて、事業者のウェブサイトまたはオンラインサービスの利用を奨励または促すために児童から収集した個人情報を利用する場合、そのような利用はオンライン通知に明示されなければならない。また、委員会は、親が児童の個人情報を確認または削除できない場合があることを認めるため、現行の312.4条(d)(3)(312.4条(d)(5)として再指定される)に「該当する場合」を追加することを提案している[191]。 |
| Lastly, the Commission proposes to delete the reference to “parent” in the § 312.4(d) introductory text. This proposal is to align with the Commission's new proposed direct notice requirement to accommodate the proposed new school authorization exception found in § 312.5(c)(10). | 最後に、委員会は、§312.4(d)の序文における「親」への言及を削除することを提案する。この提案は、§312.5(c)(10)にある学校認可の例外案に対応するために、委員会が新たに提案する直接通知要件と整合させるためである。 |
| 4. Additional Notice on the Website or Online Service Where an Operator Has Collected Personal Information Under § 312.5(c)(10) (New Paragraph § 312.4(e)) | 4. 事業者が312.5条(c)(10)に基づき個人情報を収集したウェブサイトまたはオンラインサービスにおける追加通知(新段落312.4条(e) |
| The Commission also proposes adding a separate online notice provision applicable to operators that obtain school authorization to collect personal information from children pursuant to the proposed exception set forth in § 312.5(c)(10). These disclosures are in addition to the requirements of § 312.4(d). The Commission believes these proposed disclosures will convey important information to parents regarding the limitations on an operator's use and disclosure of personal information collected under the school authorization exception, and the school's ability to review that information and request the deletion of such information.[192] | また、委員会は、312.5条(c)(10)に規定される例外案に従って、児童から個人情報を収集する認可を学校から得ている事業者に適用されるオンライン上の通知規定を別途追加することを提案する。これらの開示は、312.4条(d)の要件に追加されるものである。委員会は、これらの開示案が、学校認可の例外の下で収集された個人情報の事業者による使用と開示の制限、およびその情報を確認し、そのような情報の削除を要求する学校の能力に関する重要な情報を保護者に伝えると考える[192]。 |
| C. Parental Consent (16 CFR 312.5) | C. 保護者の同意(16 CFR 312.5) |
| The verifiable parental consent requirement, in combination with the notice provisions, is a fundamental component of the COPPA Rule's ability to protect children's privacy. The Rule requires operators to obtain verifiable parental consent before they collect, use, or disclose a child's personal information.[193] Operators must make “reasonable efforts to obtain verifiable parental consent” and any parental consent method “must be reasonably calculated, in light of available technology, to ensure that the person providing consent is the child's parent.” [194] Although the Rule sets forth a non-exhaustive list of methods that the Commission has recognized as meeting this standard, the Commission encourages operators to develop their own consent mechanisms provided they meet the “reasonably calculated standard” required by § 312.5(b)(1). In addition to the enumerated consent mechanisms listed in § 312.5(b)(2), § 312.5(c) provides several exceptions pursuant to which an operator may collect limited personal information without first obtaining parental consent and, in some cases, without providing notice. | 確認可能な保護者の同意要件は、通知規定と組み合わせて、COPPA規則が児童のプライバシーを保護する能力の基本的な要素である。同規則は、事業者が児童の個人情報を収集、使用、開示する前に、確認可能な親の同意を得ることを求めている[193]。事業者は「確認可能な親の同意を得るための合理的な努力」をしなければならず、親の同意の方法は「利用可能な技術に照らして、同意を提供する人が児童の親であることを確実にするために合理的に計算されたものでなければならない」[194]。 [194] 規則は、委員会がこの標準を満たすと認めた方法の非網羅的リストを定めているが、委員会は、第312.5条(b)(1)が要求する「合理的に計算された標準」を満たすことを条件に、事業者が独自の同意メカニズムを開発することを奨励している。312.5条(b)(2)に列挙された同意の仕組みに加えて、312.5条(c)は、事業者が最初に保護者の同意を得ることなく、場合によっては通知を提供することなく、限定的な個人情報を収集できるいくつかの例外を規定している。 |
| The Commission requested comment in its 2019 Rule Review Initiation on the efficacy of the Rule's consent requirements, including whether the Commission should add to the list of approved methods and whether there are ways to encourage the development of new consent methods. The Commission also requested comment on whether the Commission should consider additional exceptions to the consent requirement, including with respect to the collection of audio files containing a child's voice and in the educational context where a school authorizes the operator to collect personal information. | 委員会は、2019年規則見直し開始において、承認された方法のリストに追加すべきかどうか、新たな同意方法の開発を奨励する方法があるかどうかなど、規則の同意要件の有効性について意見を求めた。また、委員会は、児童の声を含む音声ファイルの収集や、学校が個人情報の収集を事業者に認可している教育的な状況など、同意要件に対する追加の例外を検討すべきかどうかについても意見を求めた。 |
| The Commission proposes modifying the Rule's consent requirements in a number of ways. First, the Commission proposes requiring the operator to obtain separate verifiable parental consent before disclosing personal information collected from a child. The Commission also proposes modifying the consent method set forth in § 312.5(b)(2)(ii) and incorporating into the Rule two previously approved consent mechanisms submitted through the § 312.12(a) voluntary process. Lastly, the Commission proposes modifying the parental consent exceptions set forth in § 312.5(c)(4), (6), and (7) and adding exceptions for where an operator relies on school authorization and for the collection of audio files that contain a child's voice. | 委員会は、規則の同意要件をいくつかの方法で修正することを提案する。第一に、委員会は、児童から収集した個人情報を開示する前に、事業者が検証可能な保護者の同意を別途得ることを義務付けることを提案する。また、委員会は、312.5条(b)(2)(ii)に規定されている同意方法を修正し、312.12条(a)の任意プロセスを通じて提出された、以前に承認された2つの同意メカニズムを規則に組み込むことを提案する。最後に、委員会は、312.5条(c)(4)、(6)および(7)に規定されている保護者の同意の例外を修正し、事業者が学校の認可に頼る場合、および児童の声を含む音声ファイルの収集に関する例外を追加することを提案する。 |
| 1. General Requirements (Paragraph (a)) | 1. 一般要件(パラグラフ(a) |
| Section 312.5(a)(1) provides that an operator must obtain verifiable parental consent before collecting, using, or disclosing personal information from a child. While the Commission does not propose modifications to this paragraph, it seeks to make a clarification. This requirement applies to any feature on a website or online service through which an operator collects personal information from a child. For example, if an operator institutes a feature that prompts or enables a child to communicate with a chatbot or other similar computer program that simulates conversation, the operator must obtain verifiable parental consent before collecting any personal information from a child through that feature. While the Commission is not proposing modifications to this paragraph, it welcomes comment on it. | 第312.5条(a)(1)では、事業者は、児童の個人情報を収集、使用、開示する前に、確認可能な保護者の同意を得なければならないと規定している。委員会は、この段落の修正を提案するものではないが、明確化を求めている。この要件は、ウェブサイトまたはオンラインサービスにおいて、運営者が児童から個人情報を収集するあらゆる機能に適用される。例えば、運営者が、チャットボットまたは会話をシミュレートする他の類似のコンピューター・プログラムとのコミュニケーションを児童に促したり、可能にしたりする機能を機構に組み込む場合、運営者は、その機能を通じて児童から個人情報を収集する前に、確認可能な保護者の同意を得なければならない。委員会は、この段落の修正を提案するものではないが、この段落に関する意見を歓迎する。 |
| Section 312.5(a)(2) currently states that “[a]n operator must give the parent the option to consent to the collection and use of the child's information without consenting to disclosure of his or her personal information to third parties.” The Commission proposes bolstering this requirement by adding that operators must obtain separate verifiable parental consent for disclosures of a child's personal information, unless such disclosures are integral to the nature of the website or online service.[195] Under the proposed language, operators required to obtain separate verifiable parental consent for disclosures may not condition access to the website or online service on such consent. | 312.5条(a)(2)は現在、「事業者は、児童の個人情報をサードパーティに開示することに同意することなく、児童の情報の収集と利用に同意する選択肢を親に与えなければならない」と定めている。委員会は、この要件を強化するため、ウェブサイトやオンラインサービスの性質上、児童の個人情報の開示が不可欠である場合を除き、事業者は、児童の個人情報の開示について、検証可能な親の同意を別途得なければならない[195]と追加することを提案している。提案されている文言では、開示について検証可能な親の同意を別途得る必要がある事業者は、そのような同意をウェブサイトやオンラインサービスへのアクセスの条件にしてはならない。 |
| In the preamble of the 1999 initial COPPA Rule, the Commission noted that “disclosures to third parties are among the most sensitive and potentially risky uses of children's personal information. This is especially true in light of the fact that children lose even the protections of [COPPA] once their information is disclosed to third parties.” [196] The Commission remains concerned about the disclosure of personal information collected from children. Indeed, one commenter noted that “[c]hildren today face surveillance unlike any other generation—their every movement online and off can be tracked by potentially dozens of different companies and organizations.” [197] | 1999年に制定されたCOPPA規則の前文で、委員会は「サードパーティへの開示は、児童の個人情報の用途の中でも最もデリケートで、潜在的にリスクの高いものである。これは、児童たちの情報が第三者に開示されると、(COPPAの)保護さえも失うという事実に照らして、特に真実である。 [196] 委員会は、児童から収集した個人情報の開示について、依然として懸念を抱いている。実際、ある意見提供者は、「今日の児童たちは、他の世代とは異なり、オンライン上でもオフラインでも、その一挙手一投足が監視されている。 児童たちのあらゆる行動は、何十もの異なる企業や組織によって追跡される可能性がある」と述べている。 [197] |
| The Commission believes that information sharing is a pervasive practice. Therefore, the Commission finds it appropriate to provide parents with greater control over the disclosure of their children's information by clarifying that § 312.5(a)(2) requires operators to obtain separate verifiable parental consent for disclosures. This includes disclosure of persistent identifiers for targeted advertising purposes, as well as disclosure of other personal information for marketing or other purposes. The Commission did not seek comment on this particular aspect of the Rule's verifiable parental consent requirements in the 2019 Rule Review Initiation and welcomes comment on this proposed modification. | 委員会は、情報共有は広く浸透している慣行であると考えている。したがって、委員会は、§312.5(a)(2)が、開示について検証可能な親の同意を別途得ることを事業者に義務付けることを明確にすることにより、児童の情報の開示について、より大きなコントロールを親に与えることが適切であると考える。これには、ターゲット広告目的の永続的識別情報の開示や、マーケティングまたはその他の目的のためのその他の個人情報の開示が含まれる。委員会は、2019年規則見直し開始において、規則の検証可能な保護者の同意要件のこの特定の側面に関する意見を求めておらず、この修正案に関する意見を歓迎する。 |
| 2. Methods for Verifiable Parental Consent (Paragraph (b)) | 2. 確認可能な親の同意の方法(パラグラフ(b) |
| The Commission received numerous comments related to the methods by which operators can obtain parental consent. Many commenters criticized particular approved parental consent methods. Some characterized the methods as outdated or counterintuitive.[198] Others complained that the methods failed to serve unbanked or low-income families who may lack access to the means to provide consent, such as a credit card.[199] Some commenters suggested that the use of credit card data and government-issued IDs are too privacy-invasive,[200] while one advocate claimed that the current methods are better indicators of adulthood than parenthood.[201] | 委員会は、事業者が親の同意を得るための方法について、多数の意見を受け取った。多くの意見者は、承認された特定の親権者の同意方法を批判した。中には、その方法が時代遅れであるとか、直感に反しているといった意見もあった[198]。また、その方法は、クレジットカードのような同意を提供する手段を利用できない可能性のある、銀行口座を持たない家庭や低所得の家庭にサービスを提供できていないと不満を述べる者もいた[199]。また、クレジットカードのデータや政府発行のIDの使用はプライバシーに侵しすぎるという意見もあり[200]、一方で、現在の方法は親であることよりも成人であることの指標として優れていると主張する擁護者もいた[201]。 |
| Commenters also expressed concern that the current methods include too much friction, resulting in significant drop-off during the consent process. Commenters noted that this friction discourages operators from creating services that target children or creates an incentive to limit their collection of personal information to avoid triggering COPPA.[202] Consistent with this view, the Network Advertising Initiative stated that “[r]ecognizing that verifiable parental consent mechanisms are challenging and expensive to implement, and result in considerable drop-off, the practical reality is that most ad-tech companies simply seek to avoid advertising to children altogether.” [203] Other commenters warned that cumbersome consent methods can drive children to general audience sites, which may have fewer digital safety and privacy protections in place.[204] | 意見提出者はまた、現行の方法は摩擦が多すぎるため、同意のプロセス中に著しい脱落が生じるという懸念を表明した。このような摩擦は、事業者が児童をターゲットにしたサービスを作る意欲を削いだり、COPPAのトリガーを回避するために個人情報の収集を制限するインセンティブを生み出すと意見した[202]。この見解と一致するように、Network Advertising Initiativeは、「検証可能な保護者の同意メカニズムは、実装が困難でコストがかかり、かなりのドロップオフをもたらすことを認識し、現実的な現実は、ほとんどのアドテク企業が児童への広告を完全に避けようとするだけである」と述べた。 [203]他の意見提出者は、煩雑な同意方法は、デジタル・セーフティとプライバシー保護がより少ない可能性のある一般視聴者向けサイトに児童を誘導する可能性があると警告している[204]。 |
| Some commenters suggested modifying existing consent methods or adding new ones. For example, several recommended that the Commission eliminate the need for a monetary transaction when an operator obtains consent through a credit or debit card or an online payment system where the system provides notification of transactions that do not involve a charge.[205] Some recommended modifying the Rule to allow for the use of text messages to obtain consent. Those commenters noted that text messages are a common alternative to email for verification purposes and argued that text message-based consent is no weaker than consent initiated through the collection of an email address.[206] | 既存の同意方法を修正したり、新しい同意方法を追加したりすることを提案する意見もあった。たとえば、事業者がクレジットカードやデビットカード、またはシステムが課金を伴わない取引の通知を提供するオンライン決済システムを通じて同意を取得する場合、金銭的な取引の必要性を排除するよう委員会に提案する意見もあった[205]。また、同意を取得するためにテキストメッセージを使用できるように規則を修正するよう提案する意見もあった。これらの意見提出者は、テキスト・メッセージは検証目的の電子メールに代わる一般的な手段であると指摘し、テキスト・メッセージに基づく同意は、電子メールアドレスの収集を通じて開始される同意より弱いものではないと主張した[206]。 |
| Other commenters called for the Commission to add to the list of approved consent methods. They recommended allowing the use of fingerprint or facial recognition technologies that already exist in parents' mobile devices,[207] voice recognition technology currently used in the online banking context,[208] and a variety of other technologies and tools.[209] | 他の意見提出者は、委員会が承認された同意方法のリストに追加することを求めた。彼らは、保護者の携帯端末に既に存在する指紋や顔認識技術[207]、オンラインバンキングの文脈で現在使用されている音声認識技術[208]、その他様々な技術やツールの使用を認めることを推奨した[209]。 |
| Several commenters recommended that the Commission encourage platforms to participate in the parental consent process.[210] One suggested that platforms could provide notifications to the consenting parent about the intended collection, use, or disclosure of the child's personal information.[211] Another suggested that parents would be more likely to engage with platforms than to provide consent on a service-by-service basis.[212] | 何人かの意見提出者は、委員会がプラットフォームに対して、親の同意プロセスへの参加を奨励することを推奨した[210]。ある者は、児童の個人情報の収集、使用、開示の意図について、同意した親にプロバイダが通知を提供することを提案した[211]。また、別の者は、サービスごとに同意を提供するよりも、保護者がプラットフォームと関わる可能性の方が高いだろうと提案した[212]。 |
| Commenters also recommended different procedural steps the Commission could undertake. These include such things as the Commission using its authority to conduct studies on the costs and benefits of different consent methods,[213] streamlining the Rule's current 120-day comment period on applications for new parental consent methods,[214] and convening stakeholder meetings to explore effective solutions.[215] | 意見提出者はまた、委員会が行うことができるさまざまな手続き上のステップを推奨した。これらには、委員会がその認可を利用してさまざまな同意方法のコストと便益に関する調査を実施すること[213]、新たな保護者の同意方法の申請に関する規則の現行の120日間の意見期間を合理化すること[214]、効果的な解決策を検討するための関係者会議を開催すること[215]などが含まれる。 |
| After reviewing these comments, the Commission continues to believe that the Rule's current approach to verifiable parental consent is appropriate and sound. With respect to the more general concerns that COPPA's consent methods create “friction,” the Commission stresses that COPPA requires a balance between facilitating consent mechanisms that are not prohibitively difficult for operators or parents, while also ensuring that it is a parent granting informed consent, rather than a child circumventing the process. In response to commenters indicating that this friction has discouraged operators from creating services or caused operators to change their practices, the Commission welcomes the development of methods that prove less cumbersome for operators while still meeting COPPA's statutory requirements. | これらの意見を検討した結果、委員会は、検証可能な保護者の同意に対する規則の現在のアプローチは適切かつ健全であると引き続き考えている。COPPAの同意方法が「摩擦」を生むという、より一般的な懸念に関して、委員会は、COPPAが、事業者や親にとって法外に困難ではない同意の仕組みを促進する一方で、児童がプロセスを回避するのではなく、親が十分な情報を得た上で同意を与えることを保証することの間でバランスをとることを求めていることを強調する。このような摩擦が事業者のサービス創作意欲を削いだり、事業者の慣行を変更させたりしているとの意見に対し、委員会は、COPPAの法定要件を満たしつつも、事業者にとって煩雑でないことを証明する方法の開発を歓迎する。 |
| As to the more specific criticisms of the approved consent mechanisms set forth in the Rule, the Commission notes that operators are not obligated to use any of those methods.[216] Rather, operators are free to develop and use any method that meets the standard contained in § 312.5(b)(1) and to tailor their approach to their own individual situation. | 規則で承認された同意の仕組みに対するより具体的な批判については、委員会は、事業者がこれらの方法のいずれかを使用する義務はないことに留意する[216]。むしろ、事業者は、312.5条(b)(1)に含まれる標準を満たす方法を自由に開発し使用することができ、また、個々の状況に合わせてアプローチを調整することができる。 |
| While it is possible that some of the suggested methods could meet the § 312.5(b)(1) requirement, the Commission does not believe the comments contain sufficient detail or context for it to propose adding these additional consent methods at this time. The Commission welcomes further explanation detailing the necessity and practicality of any recommended new consent method, including how it would satisfy the Rule's requirements. This could come in the form of additional comments or through the voluntary approval process provided in § 312.12(a) of the Rule. | 提案された方法の一部が§312.5(b)(1)の要件を満たす可能性はあるが、委員会は、現時点でこれらの同意方法の追加を提案するのに十分な詳細や背景が、意見には含まれていないと考えている。委員会は、推奨される新たな同意方法の必要性と実用性について、それがどのように規則の要件を満たすかを含め、さらなる説明を歓迎する。これは、追加意見の形で、または規則第312.12条(a)に規定されている任意承認プロセスを通じて行うことができる。 |
| At the same time, the Commission agrees that platforms could play an important role in the consent process, and the Commission has long recognized the potential of a platform-based common consent mechanism.[217] The Commission would also welcome further information on the role that platforms could play in facilitating the obtaining of parental consent. In particular, the Commission would be interested in any potential benefits platform-based consent mechanisms would create for operators and parents and what specific steps the Commission could take to encourage development of such mechanisms. | 同時に、委員会は、プラットフォームが同意プロセスにおいて重要な役割を果たし得ることに同意しており、委員会は、以前からプラットフォームを基盤とした共通の同意メカニズムの可能性を認識している[217]。また、委員会は、保護者の同意の取得を促進する上でプラットフォームが果たしうる役割について、さらなる情報を歓迎する。特に、プラットフォームベースの同意メカニズムが事業者と保護者にもたらす潜在的なメリットや、そのようなメカニズムの開発を奨励するために委員会が取り得る具体的な措置について、委員会は関心を抱いている。 |
| The Commission also agrees with the recommendation that it modify the Rule to eliminate the monetary transaction requirement when an operator obtains consent through a parent's use of a credit card, debit card, or an online payment system. As one commenter noted, many of these payment mechanisms provide a means for the account holder to receive notification of every transaction, even those that cost no money, such as a free mobile app download.[218] In addition, many operators offer their apps or other online services at no charge. Requiring such operators to charge the parent a fee when seeking consent undercuts their ability to offer the service at no cost. Further, the Commission understands that some consumers might be hesitant to complete consent processes when they will incur even a nominal monetary charge. | また、委員会は、事業者がクレジットカード、デビットカード、オンライン決済システムを利用して親の同意を得る場合、金銭的な取引要件を撤廃するよう規則を修正するという勧告にも同意する。ある意見提供者が指摘したように、これらの支払メカニズムの多くは、無料のモバイルアプリのダウンロードのような金銭のかからないものであっても、アカウント保有者がすべての取引の通知を受け取る手段を提供している[218]。そのような事業者が同意を求める際に親に手数料を請求することは、無料でサービスを提供する能力を損なうことになる。さらに、わずかな金額であっても手数料が発生するとなれば、同意手続きを行うことをためらう消費者がいることも、委員会は理解している。 |
| In proposing this modification, the Commission notes that it had previously determined that a monetary transaction was necessary for this form of consent.[219] At that time, the Commission reasoned that requiring a monetary transaction would increase the method's reliability because the parent would receive a record of the transaction. This would provide the parent notice of purported consent, which, if improperly given, the parent could then withdraw. Because § 312.5(b)(2)(ii), as proposed to be modified, would still require notice of a discrete transaction, even where there is no monetary charge, the Commission believes this indicia of reliability is preserved. Where a payment system cannot provide notice absent a monetary charge, an operator will not be able to obtain consent through this method. | この変更を提案するにあたり、委員会は、以前、この形式の同意には金銭取引が必要であると決定していたことを指摘している[219]。当時、委員会は、金銭的な取引が必要であれば、親が取引の記録を受け取ることになるため、この方法の信頼性が高まると考えていた。これによって、親は、不適切な同意がなされた場合、それを撤回することができる。修正提案された312.5条(b)(2)(ii)は、金銭的請求がない場合でも、個別の取引に関する通知を要求しているため、委員会は、この信頼性の指標は維持されると考えている。支払システムが、金銭的請求がない場合に通知を提供できない場合、事業者はこの方法で同意を得ることはできない。 |
| The Commission also agrees with the recommendation to modify the Rule to allow the use of text messages to obtain consent. As discussed in Part IV.A.1., the Commission believes this is achieved through its proposed modification to the “online contact information” definition.[220] Therefore, the Commission does not propose modifying § 312.5(b)(2)(ii) to address this recommendation. | 委員会はまた、同意の取得にテキストメッセージを使用できるように規則を修正するという勧告にも同意する。パートIV.A.1.で説明したように、委員会は、「オンライン連絡先情報」の定義の修正案により、これが達成されると考えている[220]。したがって、委員会は、この勧告に対応するために、312.5条(b)(2)(ii)の修正を提案しない。 |
| In addition to the modification to § 312.5(b)(2)(ii), the Commission also proposes adding two parental consent methods to § 312.5(b). These methods are knowledge-based authentication and the use of facial recognition technology. The Commission approved both methods pursuant to the § 312.12(a) process created from the 2013 Amendments.[221] | 312.5条(b)(2)(ii)の修正に加えて、委員会は、312.5条(b)に2つの親権者の同意方法を追加することも提案する。これらの方法は、知識ベース認証と顔認識技術の使用である。委員会は、2013年改正から創設された312.12条(a)のプロセスに従って、両方の方法を承認した[221]。 |
| 3. Exceptions to Prior Parental Consent (Paragraph (c)) | 3. 親の事前同意の例外(第(c)項) |
| The Commission also received numerous comments regarding possible additional exceptions to the Rule's parental consent requirement. The majority of the commenters addressing this issue focused on whether the Commission should allow schools to authorize data collection, use, and disclosure in certain circumstances rather than requiring ed tech operators to obtain parental consent. A smaller number of commenters addressed whether the Commission should codify in the Rule its existing enforcement policy statement regarding the collection of audio files. In addition, several commenters recommended that the Commission expand the Rule's current one-time use exception. | 委員会はまた、規則の親権者の同意要件に対する追加的な例外の可能性について、多数の意見を受け取った。この問題を取り上げた意見提出者の大半は、エドテック事業者に保護者の同意を得ることを義務付けるのではなく、特定の状況において学校がデータの収集、使用、開示を認可することを委員会が認めるべきかどうかに焦点を当てたものであった。少数の意見提出者は、委員会が音声ファイルの収集に関する既存の施行方針声明を規則に成文化すべきかどうかを取り上げた。さらに、何人かの意見提出者は、委員会に対し、同規則の現行の1回限りの使用の例外を拡大するよう勧告した。 |
| The Commission proposes creating exceptions for where an operator relies on school authorization and for the collection of audio files that contain a child's voice. The Commission also proposes a modification to § 312.5(c)(7), which relates to the support for the internal operations exception, to align with proposed new requirements.[222] Additionally, Commission proposes a modification to § 312.5(c)(4) to exclude from this exception the use of push notifications to encourage or prompt use of a website or online service. Finally, the Commission proposes technical modifications to § 312.5(c)(6). At this time, the Commission does not propose expanding the Rule's current one-time use exception. | 委員会は、事業者が学校の認可に頼る場合、および児童の声を含む音声ファイルの収集に関する例外を設けることを提案している。また、委員会は、提案されている新しい要件に合わせるため、内部業務のサポート例外に関連する312.5条(c)(7)の修正を提案する[222]。さらに、委員会は、ウェブサイトまたはオンラインサービスの利用を奨励または促すためのプッシュ通知の使用をこの例外から除外するため、312.5条(c)(4)の修正を提案する。最後に、委員会は、312.5条(c)(6)の技術的修正を提案する。現時点では、委員会は、現行の規則の1回限りの使用の例外を拡大することを提案しない。 |
| a. School Authorization Exception | a. 学校認可の例外 |
| In response to the Commission's initial proposed COPPA Rule in 1999, stakeholders expressed concern about how the Rule would apply to the use of websites and online services in schools. Some of these commenters claimed that requiring parental consent to collect students' information could interfere with classroom activities.[223] In response, the Commission noted in the final Rule's preamble “that the Rule does not preclude schools from acting as intermediaries between operators and parents in the notice and consent process, or from serving as the parents' agent in the process.” [224] It further stated, “where an operator is authorized by a school to collect personal information from children, after providing notice to the school of the operator's collection, use, and disclosure practices, the operator can presume that the school's authorization is based on the school's having obtained the parent's consent.” [225] Since that time, Commission staff has provided additional guidance on this issue through its “Complying with COPPA: Frequently Asked Questions” document (“COPPA FAQs”), which specifies that an operator may rely on school consent when it collects a child's personal information provided the operator uses the information for an educational purpose and for “no other commercial purpose.” [226] The Commission has since issued a policy statement on COPPA's application to ed tech providers, similarly noting that operators of ed tech that collect personal information pursuant to school authorization are prohibited from using such information for any commercial purpose, including marketing, advertising, or other commercial purposes unrelated to the provision of the school-requested online service.[227] | 1999年に委員会が最初に提案したCOPPA規則に対して、関係者は、この規則が学校でのウェブサイトやオンラインサービスの利用にどのように適用されるかについて懸念を表明した。このような意見の中には、生徒の情報を収集するために保護者の同意を必要とすることは、授業の妨げになると主張するものもあった[223]。これに対し、委員会は最終規則の前文で、「この規則は、通知と同意のプロセスにおいて、学校が事業者と保護者の仲介役を務めること、またはそのプロセスにおいて保護者の代理人を務めることを妨げるものではない」と述べている[224]。 [224]さらに、「事業者が、事業者の収集、利用、開示の慣行について学校に通知した後、学校から児童から個人情報を収集する認可を受けた場合、事業者は、学校の認可が、学校が親の同意を得たことに基づいていると推定することができる」と述べている。 [225]それ以来、委員会のスタッフは、"Complying with COPPA: 同文書では、事業者が児童の個人情報を収集する場合、その情報を教育目的に使用し、「その他の商業目的には使用しない」ことを条件に、学校の同意に頼ることができると明記している。 [226]。その後、委員会は、教育技術プロバイダへのCOPPAの適用に関する政策声明を発表し、同様に、学校の認可に従って個人情報を収集する教育技術プロバイダは、マーケティング、広告、または学校が要求するオンラインサービスの提供とは無関係なその他の商業目的を含む、いかなる商業目的にもかかる情報を使用することを禁じられていると指摘している[227]。 |
| In recent years there has been a significant expansion of ed tech used in both classrooms and in the home.[228] This expansion, in the form of students' increased access to school-issued computers and online learning curricula, raised questions about ed tech providers' compliance with the Rule as well as calls for additional guidance on how COPPA applies in the school context. Stakeholders also questioned how COPPA obligations relate to those operators subject to FERPA, the federal law that protects the privacy of “education records,” and its implementing regulations.[229] | 近年、教室と家庭の両方で使用されるEd Techが大幅に拡大している[228]。この拡大は、生徒が学校支給のコンピュータやオンライン学習カリキュラムにアクセスする機会を増やすという形で、Ed Techプロバイダの規則遵守について疑問を呈し、COPPAが学校の文脈でどのように適用されるかについての追加ガイダンスを求める声を上げた。関係者はまた、COPPAの義務が、「教育記録」のプライバシーを保護する連邦法であるFERPAとその施行規則の対象となる事業者にどのように関係するのかについても疑問を呈した[229]。 |
| In 2017, the FTC and the Department of Education hosted a workshop on student privacy and ed tech to explore these questions.[230] Through the discussions at the workshop, the Commission gathered information that helped inform the questions posed in the 2019 Rule Review Initiation regarding the application of the COPPA Rule to the education context. The Commission asked whether it should modify the Rule to add an exception to the parental consent requirement where the school provides authorization and, if so, whether the exception should mirror the requirements of FERPA's “school official exception.” [231] The Commission also asked for comment on various aspects of a school authorization exception, including how student data could be used, who at the school should be able to provide consent, and notice to parents.[232] | 2017年、FTCと教育省は、このような疑問を探るために、学生のプライバシーとEd Techに関するワークショップを開催した[230]。ワークショップでの議論を通じて、委員会は、教育文脈へのCOPPA規則の適用に関して、2019年の規則見直し開始で提起された質問に役立つ情報を収集した。委員会は、学校が認可を提供する場合、保護者の同意要件に例外を追加するために規則を修正すべきかどうか、もしそうであれば、その例外はFERPAの「学校関係者の例外」の要件を反映すべきかどうかを尋ねた。 [231]また、委員会は、生徒データの利用方法、学校の誰が同意を提供できるか、保護者への通知など、学校による認可の例外の様々な側面について意見を求めた[232]。 |
| i. Whether To Include a School Authorization Exception in the Rule | i. 学校認可の例外を規則に含めるかどうか |
| Numerous commenters representing industry and schools, along with some consumer groups, expressed support for codifying a school authorization exception in the Rule so long as such exception is consistent with FERPA and its implementing regulations. That is, where there is a legitimate educational interest to collect the child's data, the school maintains direct control of the data, and the operator uses the data only as permitted by the school and complies with disclosure limits.[233] | 業界および学校を代表する多数の意見者および一部の消費者団体は、FERPAおよびその施行規則に沿った例外である限り、学校認可の例外を規則に成文化することを支持すると表明した。すなわち、児童のデータを収集する正当な教育的利益があり、学校がデータの直接管理者を維持し、事業者が学校によって許可された場合にのみデータを使用し、開示制限を遵守する場合である[233]。 |
| In supporting such an exception, several of these commenters raised concerns that requiring schools to obtain consent from parents would be burdensome and costly for schools.[234] These commenters claimed that the burden would include obtaining parental consent as well as providing curriculum to students whose parents did not consent to the use of the ed tech program.[235] | このような例外を支持する中で、これらの意見のうちの何人かは、保護者の同意を得ることを学校に義務付けることは、学校にとって負担とコストがかかるという懸念を提起した[234]。これらの意見提出者は、その負担には、保護者の同意を得ることと、保護者がEDプログラムの使用に同意していない生徒にカリキュラムをプロバイダとして提供することが含まれると主張した[235]。 |
| Commenters also raised concerns about requiring ed tech providers to obtain verifiable parental consent from parents. For example, commenters expressed concern that requiring operators to obtain parental consent would require operators to collect additional personal information from parents, much of which is not necessary to provide the educational service, which contradicts data minimization principles.[236] One commenter argued that requiring parents to consent would lead to “consent fatigue,” [237] while another commenter explained that operators often do not have a direct touchpoint with parents that could facilitate the consent process.[238] | また、意見提出者は、プロバイダが保護者から確認可能な保護者の同意を得ることを義務付けることについても懸念を示した。例えば、意見提出者は、保護者の同意を得ることをプロバイダに義務付けることは、教育サービスを提供するために必要でない多くの個人情報を保護者から追加で収集することになり、データ最小化の原則に反すると懸念を表明した[236]。ある意見提出者は、保護者の同意を義務付けることは「同意疲れ」[237]につながると主張し、別の意見提出者は、同意のプロセスを促進できるような保護者との直接的な接点を持っていないことが多いと説明した[238]。 |
| The Illinois Council of School Attorneys argued that schools are often in a better position than parents to evaluate ed tech products.[239] They also pointed to privacy protections in the FERPA school official exception including the requirement that the school maintain direct control of the data and the operator use the data for only limited, authorized purposes.[240] Finally, in supporting a school authorization exception, some commenters stated that numerous operators have built up their consent process in reliance on the Commission's existing guidance indicating that COPPA permits schools to provide consent for educational purposes.[241] | Illinois Council of School Attorneys(イリノイ州学校弁護士協議会)は、学校は保護者よりもエドテック製品を評価しやすい立場にあることが多いと主張した[239]。また、学校がデータを直接管理し、事業者が限定された認可された目的のみにデータを使用するという要件を含む、FERPAの学校関係者例外におけるプライバシー保護を指摘した[240]。最後に、学校認可例外を支持する意見者の中には、COPPAが教育目的のために学校に同意を提供することを認めていることを示す委員会の既存のガイダンスに依拠して、多くの事業者が同意プロセスを構築していると述べた者もいた[241]。 |
| However, not all commenters supported a school authorization exception, with several consumer groups, parent organizations, and government representatives raising various concerns.[242] For example, a coalition of consumer groups argued that a COPPA exception aligned with FERPA would not adequately protect children because FERPA fails to provide a clear standard for when a party has a “legitimate educational interest” as required by the school official exception. The coalition also claimed that schools fail to adequately inform parents about the use of FERPA's school official exception and that most schools are ill-equipped to properly vet the privacy and security practices of ed tech services.[243] Another advocacy organization cited statistics purportedly showing that schools do not comply with the school official exception.[244] | しかし、すべての意見提出者が学校認可例外を支持したわけではなく、いくつかの消費者団体、保護者団体、政府代表者がさまざまな懸念を表明した[242]。 たとえば、消費者団体の連合は、FERPAが学校関係者例外で必要とされる「正当な教育的利益」を当事者が有する場合の明確な標準を提供していないため、FERPAに沿ったCOPPA例外では児童を適切に保護できないと主張した。同連合はまた、学校はFERPAの学校関係者例外の使用について保護者に十分な情報を提供しておらず、ほとんどの学校はエドテック・サービスのプライバシーとセキュリティの実践を適切に審査する能力を備えていないと主張している[243]。別の擁護団体は、学校が学校関係者例外を遵守していないことを示すとされる統計を引用している[244]。 |
| A number of individual parents also opposed the exception. These individuals emphasized that parents should retain the ability afforded to them under COPPA to provide consent to collect, use, and share their children's data.[245] One parent noted that over 400 ed tech providers had access to her child's data, and that she is unable to understand what information was shared with each provider.[246] These parents noted that school districts should not be able to provide consent to ed tech providers on their behalf,[247] and further noted that including such an exception would weaken COPPA rather than strengthen it.[248] | また、多くの保護者個人も例外に反対した。これらの個人は、COPPAの下で保護者に与えられている、児童のデータを収集、使用、共有することに同意を提供する能力を保持すべきだと強調した[245]。ある保護者は、400以上の教育技術プロバイダが自分の児童のデータにアクセスし、各プロバイダとどのような情報が共有されたのか理解できないと指摘した[246]。これらの保護者は、学区が自分たちに代わってエドテックプロバイダに同意を提供すべきではないと指摘し[247]、さらにそのような例外を含めることはCOPPAを強化するどころか弱めることになると指摘した[248]。 |
| Another concern raised was that such an exception could ultimately swallow the Rule.[249] For instance, in a joint comment of multiple State Attorneys General, the Attorneys General cited the incredible growth in ed tech and noted the technologies are not cabined to the classroom but are often encouraged to be used by students at home, and sometimes for non-educational purposes. The Attorneys General argued that, because the use of ed tech is often mandatory for students, an exception to COPPA's parental consent requirement would force parents to choose between education and their children's online privacy.[250] | 例えば、複数の州の検事総長の共同意見において、検事総長はエドテックの驚異的な成長を挙げ、その技術は教室に限定されるものではなく、しばしば生徒が家庭で、時には教育以外の目的で使用することが奨励されていると指摘した[249]。検事総長は、Ed Techの使用は生徒にとって必須であることが多いため、COPPAの保護者の同意要件の例外は、保護者に教育と児童のオンラインプライバシーのどちらかを選択することを強いることになると主張した[250]。 |
| While opposing a school authorization exception, the Parent Coalition for Student Privacy argued that if the Commission decides to create one, its applicability should be limited in scope. Specifically, the Coalition argued that schools should not be able to consent to the collection of particularly sensitive data, such as medical or geolocation information.[251] | Parent Coalition for Student Privacyは、学校認可の例外に反対する一方で、委員会が例外を設けることを決定した場合、その適用範囲は限定されるべきであると主張した。具体的には、同連合は、医療情報や地理位置情報のような特にセンシティブなデータの収集に学校が同意できるようにすべきではないと主張した[251]。 |
| After careful consideration of the comments, the Commission proposes codifying in the Rule its long-standing guidance that schools, State educational agencies, and local educational agencies may authorize the collection of personal information from students younger than 13 in very limited circumstances; specifically, where the data is used for a school-authorized education purpose and no other commercial purpose.[252] | 意見を慎重に検討した結果、委員会は、学校、州教育機関、および地方教育機関が13歳未満の生徒の個人情報の収集を認可できるのは、非常に限定された状況においてであり、具体的には、そのデータが学校によって認可された教育目的のために使用され、それ以外の商業的な目的がない場合である、という長年のガイダンスを規則に成文化することを提案している[252]。 |
| When a child goes to school, schools have the ability to act in loco parentis under certain circumstances. This is particularly the case when schools are selecting the means through which the schools and school districts can achieve their educational purposes, such as when deciding which educational technologies to use in their classrooms. The Commission finds compelling the concern that requiring parental consent in the educational context would impose an undue burden on ed tech providers and educators alike. As an initial matter, many ed tech providers have relied upon and structured their consent mechanisms based on the Commission's existing guidance. Requiring providers to reconfigure their systems to obtain parental consent directly from parents would undoubtedly create logistical problems that could increase costs and potentially dissuade some ed tech providers from offering their services to schools.[253] | 児童が学校に通う場合、一定の状況下では、学校は親代わりとして行動することができる。特に、学校と学区が教育目的を達成するための手段を学校が選択する場合、例えば、教室で使用する教育技術を決定する場合などである。委員会は、教育的文脈で保護者の同意を義務付けることは、エドテックのプロバイダや教育者に過度の負担を課すことになるという懸念に説得力を見出す。まず第一に、多くの教育技術プロバイダは、委員会の「保護者の同意」に基づき、同意の仕組みを構築している。 の仕組みを構築してきた。保護者から直接保護者の同意を得るためにプロバイダにシステムの再設定を要求することは、間違いなく物流上の問題を引き起こし、コストを増加させ、一部のエドテック・プロバイダーが学校へのサービス提供を思いとどまる可能性がある[253]。 |
| The need for parental consent is also likely to interfere with educators' curriculum decisions. As a practical matter, obtaining consent from the parents of every student in a class often will be challenging, in many cases for reasons unrelated to privacy concerns. In situations where some number of parents in a class decline to consent to their children's use of ed tech, schools would face the prospect of foregoing particular services for the entire class or developing a separate mechanism for those students whose parents do not consent. Because the proposed school authorization exception restricts an operator's use of children's data to a school-authorized education purpose and precludes use for commercial purposes such as targeted advertising, it may ultimately be more privacy-protective than requiring ed tech providers to obtain consent from parents. | また、保護者の同意の必要性は、教育者のカリキュラム決定の妨げになる可能性も高い。現実的な問題として、クラスの生徒全員の保護者から同意を得ることは、多くの場合、プライバシーの問題とは無関係な理由で、困難であることが多い。クラス内の何人かの保護者が、児童たちのEDテック利用への同意を拒否した場合、学校は、クラス全体に対する特定のサービスを見送るか、保護者が同意しない生徒のために別の仕組みを開発することになる。学校認可例外案は、事業者による児童のデータ利用を学校が認可した教育目的に限定し、ターゲット広告のような商業目的での利用を排除しているため、結局のところ、EDテックプロバイダに保護者からの同意を求めるよりもプライバシー保護につながる可能性がある。 |
| Finally, the proposed school authorization exception requires that the ed tech provider and the school have in place a written agreement setting forth the exception's requirements.[254] This includes identifying who from the school may provide consent and attesting that such individual has the authority to provide consent; the limitations on the use and disclosure of student data; the school's control over the use, disclosure, and maintenance of the data; and the operator's data retention policy. Accordingly, the proposed exception incorporates the privacy protections contained in the FERPA school official exception. This exception also builds on FERPA's protections by incorporating the Commission's existing prohibition on the use of student data for non-educational commercial purposes. | 最後に、提案されている学校認可の例外は、ITプロバイダと学校が、例外の要件を定めた書面による合意をすることを求めている[254]。これには、学校の誰が同意を提供できるかを特定し、その個人が同意を提供する権限を有することを証明すること、生徒データの使用と開示の制限、データの使用、開示、保守に対する学校の管理、事業者のデータ保持方針が含まれる。従って、この例外案は、FERPAの学校関係者の例外に含まれるプライバシー保護を組み込んでいる。また、この例外は、教育目的以外の商業目的での学生データの使用に関する委員会の既存の禁止事項を取り入れることにより、FERPAの保護を強化するものである。 |
| ii. Permitted Use of Data Collected Through the School Authorization Exception | ii. 学校認可の例外を通じて収集されたデータの許可された使用 |
| Existing staff guidance indicates that, where the school authorizes data collection, an operator may only use children's data for an educational purpose and for no other commercial purpose.[255] However, there has been confusion around the parameters of what constitutes an “educational purpose” as opposed to a “commercial purpose.” [256] Many of the commenters that support a school authorization exception to parental consent called on the Commission to clarify the permissible uses of data collected under such an exception.[257] In an effort to seek further clarity, commenters suggested specific uses that the Commission should explicitly allow or exclude under the exception.[258] | 既存の職員ガイダンスによると、学校がデータ収集を認可している場合、事業者は児童のデータを教育目的のみに使用することができ、それ以外の商業目的には使用できない[255]。しかし、何が「営利目的」ではなく「教育目的」を構成するのかというパラメータについては混乱がある。 [256] 保護者の同意に対する学校認可の例外を支持する意見提出者の多くは、そのような例外の下で収集されたデータの許容される用途を明確にするよう委員会に求めた[257]。さらなる明確化を求める努力として、意見提出者は、委員会が例外の下で明示的に許可または除外すべき具体的な用途を提案した[258]。 |
| Among these commenters, there was general agreement that the exception should not permit ed tech providers to use student data for marketing purposes, such as serving personalized advertisements.[259] The comments reflected less consensus on the question of whether to allow operators to engage in product improvement or development. Some commenters favored allowing product improvement or development under limited circumstances. For example, Lego recommended that the exception allow operators to use aggregated or anonymized data to improve existing products or develop new products that would benefit students.[260] The 5Rights Foundation similarly noted that, if the Commission were to allow operators to use student data to improve products, the student information must be “de-identified and de-identifiable,” cannot be shared with third parties, and must be limited to use for improving educational products only.[261] | これらの意見提出者の間では、個別化された広告の配信など、マーケティング目的で生徒データを利用することを教育機関プロバイダが例外的に認めるべきでないという点で、概ね意見が一致していた[259]。一部の意見提出者は、限定された状況下での製品の改良または開発を認めることに賛成した。例えば、レゴ社は、既存の製品を改善したり、学生のためになる新製品を開発したりするために、事業者が集計または匿名化されたデータを使用することを例外的に認めることを推奨した[260]。5Rights Foundationも同様に、委員会が製品を改善するために事業者が学生データを使用することを認める場合、学生情報は「非識別および非特定」でなければならず、サードパーティと共有することはできず、教育製品の改善のみに使用するよう制限されなければならないと指摘した[261]。 |
| In contrast, some commenters strongly opposed allowing product improvement absent verifiable parental consent. For example, EPIC argued that product improvement would allow ed tech vendors “to create virtual laboratories in schools to study child behavior and further develop commercial products for profit, unbeknownst to parents.” [262] Others raised similar objections,[263] including parents who stated that the Commission should prohibit the use of student data to improve or develop new products or services.[264] | 対照的に、保護者の同意が確認できない場合、製品の改善を許可することに強く反対する意見もあった。例えば、EPICは、製品改善によって、「保護者に知られることなく、児童の行動を研究し、利益を得るために商業製品をさらに開発するためのバーチャルな研究室を学校に作ることができる」と主張した。 [262] その他にも、同様の反対意見[263]を挙げる保護者がおり、その中には、委員会は、新製品や新サービスを改善したり開発したりするために、生徒のデータを使用することを禁止すべきだと述べる保護者もいた[264]。 |
| In discussing the appropriate use of student data, several commenters suggested that the Commission adopt an approach similar to the treatment of activities that fall under the COPPA Rule's definition of “support for the internal operations of the website or online service.” This approach would allow ed tech providers to use student data for “analytics, content personalization, and product development, maintenance, and improvement uses that benefit students and schools” but not for activities such as personalized marketing.[265] | 生徒データの適切な使用について議論する中で、複数の意見提出者は、COPPA規則の "ウェブサイトまたはオンラインサービスの内部運営のサポート "の定義に該当する活動の扱いと同様のアプローチを委員会が採用することを提案した。このアプローチでは、ITプロバイダが「分析、コンテンツのパーソナライゼーション、生徒や学校に利益をもたらす製品開発、保守、改善」のために生徒データを使用することは認めるが、パーソナライズされたマーケティングのような活動には使用しないことになる[265]。 |
| The Commission believes that it should tailor the proposed school exception narrowly while ensuring its practicality for schools and operators. The Commission agrees with the commenters asserting that the use or disclosure of student data for marketing purposes should fall outside the school authorization exception. Indeed, this view is consistent with staff's guidance that schools can consent to the collection of student data for educational purposes but not for other commercial purposes, such as marketing and advertising.[266] | 委員会は、学校と事業者にとっての実用性を確保しつつ、提案されている学校の例外を狭く調整すべきであると考えている。委員会は、マーケティング目的での学生データの使用や開示は、学校認可の例外から外れるべきであると主張する意見に同意する。実際、この見解は、学校は教育目的の生徒データ収集には同意できるが、マーケティングや広告などの他の商業目的には同意できないというスタッフのガイダンスと一致している[266]。 |
| The Commission also agrees with those commenters recommending that the school authorization exception should allow operators to engage in limited product improvement and development, provided certain safeguards are in place. The Commission believes that allowing providers to make ongoing improvements to the educational services the school has authorized benefits students and educators, and that user data may be necessary to identify and remedy a problem or “bug” in a product or service. Therefore, in contrast to general marketing, product improvement and development can be viewed as part of providing an educational purpose rather than engaging in an unrelated commercial practice. | 委員会はまた、学校認可の例外は、一定の保護措置が講じられることを条件に、事業者が限定的な製品改善・開発に従事することを認めるべきであるという意見に同意する。委員会は、プロバイダが、学校が認可した教育サービスに対して継続的な改善を行うことを認めることは、生徒と教育者にとって有益であり、また、ユーザーデータは、製品やサービスの問題や「バグ」を特定し、改善するために必要であると考える。したがって、一般的なマーケティングとは対照的に、製品の改善と開発は、無関係な商業行為に従事するのではなく、教育目的の提供の一部とみなすことができる。 |
| That said, the Commission is mindful of the concerns that allowing such uses, particularly product development, could open the door to ed tech providers exploiting the exception. To address these concerns, the Commission proposes that the Rule's definition of a “school-authorized education purpose” include product improvement and development (as well as other uses related to the operation of the product, including maintaining, supporting, or diagnosing the service), provided the use is directly related to the service the school authorized. This would permit operators to improve the service, for example by fixing bugs or adding new features, or develop a new version of the service. An operator may not use the information it collected from one educational service to develop or improve a different service. | とはいえ、委員会は、このような利用、特に製品開発を認めると、ITプロバイダが例外を悪用する可能性があるという懸念に留意している。こうした懸念に対処するため、委員会は、規則における「学校が認可した教育目的」の定義に、学校が認可したサービスに直接関連する使用であれば、製品の改良・開発(サービスの保守、サポート、診断など、製品の運用に関連するその他の使用も含む)を含めることを提案している。この場合、運営者は、例えばバグの修正や新機能の追加など、サービスの改善や新バージョンの開発を行うことができる。事業者は、ある教育サービスから収集した情報を、別のサービスの開発や改善に使用することはできない。 |
| The Commission believes that limiting product improvement and development in this way will allow ed tech providers to provide better services while helping to safeguard against the use of student data for non-educational purposes. We also believe that this proposed approach is consistent with the requirement under FERPA's school official exception that a school have a “legitimate educational interest” to share personal information without parental consent. | 委員会は、このように製品の改善や開発を制限することで、教育以外の目的で生徒のデータが使用されないよう保護しつつ、教育技術プロバイダがより良いサービスを提供できるようになると考えている。また、この提案された方法は、FERPAの学校関係者例外規定が定める、保護者の同意なしに個人情報を共有するための「正当な教育的利益」を学校が有するという要件とも一致すると考える。 |
| The Commission does not agree with the commenters that recommended aligning the permissible uses of data collected under the school authorization exception with the Rule's support for the internal operations exception. The two exceptions serve different purposes, and the activities within the support for the internal operations definition are generally unnecessary for and unrelated to the provision of an educational purpose.[267] | 委員会は、学校認可例外の下で収集されたデータの許容される用途を、規則による内部業務例外のサポートと整合させることを推奨した意見提供者の意見には同意しない。この2つの例外は異なる目的を果たすものであり、一般規定における内部業務の支援は、一般的に教育目的の提供には不要であり、教育目的の提供とは無関係である[267]。 |
| As an additional protection, the proposed school authorization exception would require operators to have a written agreement with the school setting forth the exception's requirements. This written agreement must specify that the ed tech provider's use and disclosure of the data collected under the exception is limited to a school-authorized education purpose as defined in the Rule and for no other purpose. As an extra safeguard to help ensure that ed tech providers are using student data appropriately and to align the exception with FERPA, the required written agreement must specify that the school will have direct control over the provider's use, disclosure, and maintenance of the personal information under the exception. The agreement must also include the operator's data retention policy with respect to personal information collected from children under the school authorization exception. | 追加的な保護として、提案されている学校認可の例外は、事業者が学校と例外の要件を定めた書面による合意を結ぶことを義務付けるものである。この書面による合意は、例外の下で収集されたデータのプロバイダによる使用と開示が、規則で定義された学校認可の教育目的に限定され、それ以外の目的には使用されないことを明記しなければならない。EDテックプロバイダーが生徒データを適切に使用していることを確認し、例外をFERPAと整合させるための特別な保護措置として、要求される書面による合意には、学校がプロバイダーによる例外の下での個人情報の使用、開示、保守を直接管理することを明記しなければならない。合意書には、学校認可の例外の下で児童から収集された個人情報に関する事業者のデータ保持方針も含まれなければならない。 |
| iii. Who at the school should provide authorization? | iii. 学校の誰が認可を行うべきか? |
| In response to the question of who should be able to provide authorization for data collection under the school authorization exception, a wide variety of commenters, including industry, FTC-approved COPPA Safe Harbor programs, school personnel, and the Oregon Attorney General, called for flexibility.[268] For example, while the Illinois Council of School Attorneys recommended against specifying who can provide authorization, it stated that if the Commission decides to do so, it should use general, flexible terminology such as “employees designated by the school's administration or governing board” to describe individuals who may provide authorization.[269] The Oregon Attorney General called for flexibility and urged the Commission to be mindful that schools and districts obtain and implement ed tech in different ways.[270] Another commenter, kidSAFE, recommended the Commission permit consent from an adult outside the school environment, including coaches or tutors.[271] | 学校による認可の例外に基づくデータ収集について、誰が認可を提供できるかという質問に対しては、業界、FTCが承認したCOPPAセーフハーバープログラム、学校関係者、オレゴン州検事総長など、さまざまな意見提出者が柔軟性を求めた[268]。例えば、イリノイ州学校弁護士協議会は、認可を提供できる者を特定することに反対するよう勧告したが、委員会がそれを決定する場合は、認可を提供できる個人を表すために、「学校の管理または運営委員会が指定した従業員」など、一般的で柔軟な用語を使用すべきであると述べた[269]。 [269] オレゴン州司法長官は、柔軟性を求め、学校や地区がさまざまな方法でエドテックを入手し、実施していることに留意するよう委員会に求めた[270] 。別の意見提出者であるkidSAFEは、コーチや家庭教師など、学校環境外の成人の同意を認めるよう委員会に提言した[271]。 |
| Other commenters supported a more prescriptive approach,[272] with some recommending that the Rule not allow teachers to provide consent.[273] One commenter stated that few teachers are in a position to evaluate which ed tech services are trustworthy, adding that allowing individual teachers to make these decisions prevents school administrators from knowing what products are being used in the classroom.[274] Another recommended requiring that, if schools are allowed to provide consent on behalf of parents, the school or district must have clear and uniform policies for adopting ed tech led by a team of qualified education research, curriculum, and privacy, and technology experts.[275] Similarly, Lego recommended that only duly authorized individuals, such as IT administrators, data protection officers, or chief IT officers, provide consent through a contract with the ed tech provider.[276] | 他の意見提出者は、より規定的なアプローチを支持しており[272]、規則が教師による同意の提供を認めないことを推奨する意見もあった[273]。ある意見提出者は、どのエドテック・サービスが信頼できるかを評価できる立場にある教師はほとんどいないと述べ、教師個人にこれらの決定をさせることは、学校管理者が教室でどのような製品が使用されているかを知ることを妨げると付け加えた[274]。また、学校が保護者に代わって同意を提供することを認める場合、学校または地区は、資格を有する教育研究チームによって主導されるエドテックの採用に関する明確で統一された方針を持たなければならないことを要求することを提言した[274]、 275]。同様に、レゴ社は、IT管理者、データ防御責任者、IT最高責任者など、正式に認可された個人のみが、エドテック・プロバイダとの契約を通じて同意を提供することを推奨している[276]。 |
| Because the Commission believes it is important to accommodate the different ways schools obtain and implement ed tech, the Commission agrees with the commenters that called for flexibility rather than a “one size fits all” approach. At the same time, the Commission recognizes the need for measures to prevent the situation in which a school is unaware of the ed tech services their teachers have consented to on an ad hoc basis. Indeed, staff guidance has previously recommended that consent for ed tech to collect personal information comes from the schools or school districts rather than from individual teachers.[277] To balance the need for flexibility with the need for oversight and accountability, the Commission proposes that the written agreement between the ed tech provider and the school, which the new § 312.5(c)(10) exception would require, identify the name and title of the person providing consent and specify that the school has authorized the person to provide such consent. | 委員会は、学校がさまざまな方法で教育技術を入手し、導入することに対応することが重要であると考えているため、「一律」ではなく、柔軟性を求める意見に同意する。同時に委員会は、教師がその場限りで同意したエドテックサービスを学校が知らないという事態を防ぐ措置の必要性も認識している。実際、職員のガイダンスでは、エドテックによる個人情報収集の同意は、教師個人からではなく、学校または学区から得ることを以前から推奨している[277]。柔軟性の必要性と監視および説明責任の必要性のバランスを取るために、委員会は、新しい§312.5(c)(10)の例外規定が要求する、エドテックプロバイダと学校との間の書面による合意には、同意を提供する人の名前と役職を明記し、学校がそのような同意を提供することをその人に認可したことを明記することを提案している。 |
| iv. Notice to Parents | iv. 保護者への通知 |
| Many of the commenters supporting a school consent exception recommended that parents receive notice of the ed tech providers the school authorized to collect children's data.[278] Some commenters suggested that the notice to parents come from schools, recommending that the notice be similar to the FERPA annual notification requirement [279] or that schools make information about ed tech providers' information practices available to parents in a public place such as the school district's website.[280] | 学校による同意の例外を支持する意見提出者の多くは、学校が児童のデータ収集を認可したエドテック・プロバイダについて保護者が通知を受けることを推奨していた[278]。保護者への通知を学校から行うことを提案する意見もあり、その通知はFERPAの年次通知要件と同様のものにすること[279]、あるいは学校が学区のウェブサイトなど公共の場でエドテック・プロバイダの情報慣行に関する情報を保護者に公開することを推奨している[280]。 |
| Other commenters raised concerns about the Commission imposing obligations on schools through the Rule. For example, the Oregon Attorney General expressed concern that allowing an operator to shift notice obligations to schools would potentially shield operators from liability.[281] Instead, the Oregon Attorney General recommended that the Commission require the operator to “provide notice of its information practices in a manner that is easily accessible to all parents . . . and to inform the school on where parents may find such notice of information practices.” [282] Similarly, the Parent Coalition for Student Privacy recommended that, if the Commission creates an exception for school authorization, it require ed tech providers to dedicate space on their website for notices about the exception and explain how the data will be strictly used for educational purposes and state which third parties can access the data.[283] | 他の意見提出者は、委員会が規則を通じて学校に義務を課すことについて懸念を示している。例えば、オレゴン州司法長官は、プロバイダが通知義務を学校に転嫁することを認めると、プロバイダが法的責任を免れる可能性があるとの懸念を表明した[281]。その代わりに、オレゴン州司法長官は、委員会がプロバイダに対して、「すべての保護者が容易にアクセスできる方法で、その情報慣行に関する通知を提供すること、および保護者がそのような情報慣行に関する通知をどこで見つけることができるかを学校に知らせること」を求めるよう勧告した[282]。 [282] 同様に、生徒のプライバシーのための保護者連合(Parent Coalition for Student Privacy)は、委員会が学校認可の例外を設ける場合、エドテック・プロバイダに対し、そのウェブサイトに例外に関する通知のためのスペースを確保し、データが教育目的のためにどのように厳密に使用されるかを説明し、どのサードパーティがデータにアクセスできるかを明記するよう求めることを提言した[283]。 |
| The Commission agrees that notice is an important aspect of the proposed school authorization exception. At the same time the Commission agrees with commenters who raised concerns about imposing burdens on schools that may not have sufficient resources to undertake an additional administrative responsibility.[284] To promote transparency without burdening schools, the Commission proposes requiring operators to provide notice. Namely, the Commission's proposed addition of § 312.4(e), discussed earlier in Part IV.B.4., would require an operator that collects personal information from a child under the school authorization exception to include an additional notice on its website or online service noting that: (1) the operator has obtained authorization from a school to collect a child's personal information; (2) that the operator will use and disclose the information for a school-authorized education purpose and no other purpose; and (3) that the school may review information collected from a child and request deletion of such information.[285] | 委員会は、通知が学校認可の例外案の重要な側面であることに同意する。同時に、委員会は、新たな管理責任を負うだけの十分な資源を持たない学校に負担を課すことに懸念を示した意見[284]に同意する。学校に負担をかけずに透明性を促進するために、委員会は、プロバイダに通知を提供することを義務付けることを提案する。すなわち、第IV.B.4.で前述した、委員会が提案する第312.4条(e)の追加により、学校認可の例外の下で児童から個人情報を収集する事業者は、そのウェブサイトまたはオンラインサービスに、以下のことを明記した追加の通知を含めることが義務付けられる: (1)事業者は、児童の個人情報を収集する認可を学校から得ていること、(2)事業者は、学校で認可された教育目的のために情報を使用し、開示するのであって、それ以外の目的には使用しないこと、(3)学校は、児童から収集した情報を確認し、当該情報の削除を要求できること[285]。 |
| b. Audio File Exception | b. 音声ファイルの例外 |
| In 2013, the Commission expanded the Rule's definition of “personal information” to include “[a] photograph, video, or audio file where such file contains a child's image or voice.” [286] Since that time there has been a dramatic increase in the popularity of internet-connected “home assistants” and other devices that are voice activated and controlled. This led to inquiries from stakeholders about the Rule's applicability to the collection of audio files containing a child's voice where an operator converts the audio to text and then deletes the audio file. While the Commission determined that the Rule applies to such collection, it recognized the value of using verbal commands to perform search and other functions on internet-connected devices, especially for children who have not yet learned to write or those with disabilities. Accordingly, in 2017, the Commission issued an enforcement policy statement indicating that it would not take action against an operator who, without obtaining parental consent, collects a child's voice recording, provided the operator only uses the audio file as a replacement for written words, such as to effectuate an instruction or request, and the operator retains the recording only for a brief period.[287] | 2013年、委員会は、規則の「個人情報」の定義を拡大し、「写真、ビデオ、または音声ファイルであって、当該ファイルに児童の画像または音声が含まれているもの」を含めることとした[286]。 [286]それ以来、インターネットに接続された「ホームアシスタント」や、音声で起動・制御されるその他の機器の人気が飛躍的に高まっている。このため、オペレーターが音声をテキストに変換し、その後音声ファイルを削除するような、児童の声を含む音声ファイルの収集に対する規則の適用性について、関係者から問い合わせがあった。委員会は、このような収集にも同規則が適用されると判断する一方で、インターネットに接続された機器で検索やその他の機能を実行する際に、特に文字をまだ学んでいない児童や障害のある児童にとって、口頭での命令を使用することの価値を認識した。したがって、2017年、委員会は、保護者の同意を得ることなく、児童の音声記録を収集するプロバイダに対して措置を講じないことを示す執行方針声明を発表した。 |
| In the 2019 Rule Review Initiation, the Commission asked whether it should modify the Rule to include a parental consent exception based on the enforcement policy statement. The Commission also asked whether such an exception should allow an operator to use de-identified audio files for product improvement and, if so, how long an operator could retain such data. Additionally, the Commission asked whether de-identification of audio files is effective at preventing re-identification. | 2019年規則見直しの開始において、委員会は、施行方針声明に基づく親の同意の例外を含めるよう規則を修正すべきかどうかを尋ねている。委員会はまた、このような例外は、事業者が製品改善のために識別解除された音声ファイルを使用することを認めるべきかどうか、認めるとすれば、事業者はそのようなデータをどのくらいの期間保持できるかについても質問した。さらに、委員会は、音声ファイルの非識別化が再識別化の防止に有効であるかどうかについても質問した。 |
| The vast majority of commenters that addressed the issue recommended the Commission modify the Rule to include a parental consent exception for audio files based on the existing enforcement policy statement.[288] Some of these commenters supported the narrow confines of the current enforcement statement, which requires the collected audio file to serve solely as a replacement for written words and be maintained only until completion of that purpose.[289] A number of other commenters, however, recommended that the Commission adopt a more expansive audio exception. For example, Google noted that many voice actions for internet-connected devices are not a replacement for written words. Because of this, Google recommended that the Commission include an expanded exception that “covers voice data used to perform a task or engage with a device, as well as to replace written words.” [290] Others made similar recommendations.[291] | この問題を取り上げた意見提出者の大多数は、委員会に対し、既存の施行方針声明に基づき、音声ファイルに保護者の同意の例外を含めるよう規則を修正することを推奨した[288]。これらの意見提出者の中には、収集された音声ファイルが文字による代替としての役割のみを果たし、その目的が完了するまで保持されることを要求する、現行の施行方針の狭い範囲を支持する者もいた[289]。しかし、他の多くの意見提出者は、委員会がより広範な音声例外を採用することを推奨した。例えば、グーグルは、インターネットに接続された機器の音声アクションの多くは、書き言葉の代わりにはならないと指摘した。このため、グーグルは、「タスクの実行やデバイスとの連携に使用される音声データだけでなく、書き言葉の代わりにも使用される音声データも対象とする」拡大例外を委員会に含めるよう勧告した。 [290]。他の企業も同様の勧告を行っている[291]。 |
| Several commenters argued that where an operator de-identifies the audio file, the exception should allow it to engage in product improvement as well as internal operations such as improving functionality and personalization.[292] Only a few of these commenters discussed the means by which an operator could effectively de-identify audio files. One suggested using the approach set forth in a White House draft privacy law, which would require the operator to alter the data to prevent it from being linked to a specific individual, to commit not to re-identify the data, and to require third-party recipients to similarly commit not to re-identify the data.[293] Another commenter suggested the operator could de-link the audio file from a user's account or device identifier.[294] | 複数の意見提出者は、事業者が音声ファイルを識別解除する場合、例外は、機能改善やパーソナライゼーションなどの内部業務だけでなく、製品改善にも従事することを認めるべきであると主張した[292]。これらの意見提出者のうち、事業者が音声ファイルを効果的に識別解除できる手段について議論した者はわずかであった。そのうちの一人は、ホワイトハウスのプライバシー法の草案に示されているアプローチを使用することを提案した。この草案では、事業者は、特定の個人にリンクされないようにデータを変更すること、データを再識別しないことを約束すること、およびサードパーティの取得者にも同様にデータを再識別しないことを約束することを要求する[293]。 |
| The Commission received a small number of comments that opposed adding a consent exception for audio files to the Rule. Arguing against an exception, a group of State Attorneys General characterized recordings of children's voices as biometric data and stated that, as such, they are “individually-identifying and immutable.” [295] These commenters also questioned whether operators could effectively and consistently de-identify audio files, pointing to numerous instances in which anonymized data had been re-identified.[296] A coalition of consumer groups argued that the Commission's existing enforcement statement, as structured, effectively protects children's privacy and there is no need to amend the Rule to add an exception.[297] The commenters also stated that if the Commission does add an exception to the Rule, the exception should not permit operators to retain or use collected audio files for product improvement even if the files are de-identified.[298] | 委員会は、音声ファイルに関する同意の例外を規則に追加することに反対する少数の意見を受け取った。例外に反対する州検事総長のグループは、児童の声の録音を生体データとみなし、そのようなデータは「個人を識別し、不変である」と述べた [295] 。 これらの意見提出者はまた、匿名化されたデータが再識別された数多くの事例を指摘し、事業者が効果的かつ一貫して音声ファイルの識別を解除できるかどうかについても疑問を呈した[296]。消費者団体の連合は、委員会の現行の執行声明は、構造上、児童のプライバシーを効果的に保護しており、例外を追加するために規則を改正する必要はないと主張した[297]。また、意見提出者は、委員会が規則に例外を追加する場合、その例外は、ファイルが識別解除されたとしても、収集した音声ファイルを製品改善のために保持または使用することを事業者に許可すべきではないと述べている[298]。 |
| Based on the comments overall, the Commission proposes codifying the audio file enforcement statement as an exception to the Rule's parental consent requirement, with one modification. The Commission believes the calls to expand the exception to also include audio files used to perform a task or to engage with a device have merit. Limiting the proposed exception to circumstances in which the voice data replaces written words would be overly restrictive and unnecessarily prevent its application to a variety of internet-connected services that do not involve written commands. Further, because the proposed exception requires the operator to delete the collected audio file as soon as the command or engagement is completed, this expansion will not create additional risk to children's privacy. Additionally, to the extent an operator collects personal information beyond the audio file—such as a transcript of the audio file in combination with other personal information—the operator could not utilize the audio file exception and would have to afford COPPA's protections to that information. | 全体的な意見に基づき、委員会は、1つの修正を加えた上で、音声ファイル施行声明を規則の保護者の同意要件の例外として成文化することを提案する。委員会は、タスクの実行またはデバイスとの連携に使用される音声ファイルも例外に含めるよう求める意見にはメリットがあると考えている。提案されている例外規定を、音声データが文字に置き換わる状況に限定することは、過度に制限的であり、文字による命令を伴わないさまざまなインターネット接続サービスへの適用を不必要に妨げることになる。さらに、提案されている例外は、コマンドまたはエンゲージメントが完了次第、収集された音声ファイルを削除することをオペレータに要求しているため、この拡張は、児童のプライバシーに新たなリスクを生じさせることはない。さらに、事業者が音声ファイル以外の個人情報、例えば音声ファイルのトランスクリプトと他の個人情報を組み合わせて収集する場合、事業者は音声ファイルの例外を利用できず、その情報に対してCOPPAの保護を与えなければならない。 |
| The Commission, however, does not agree that the exception should allow operators to retain the audio files or to use them for other purposes such as product improvement and internal operations, even if the operator has taken steps to de-identify the data. The Commission agrees that a recording of a child's voice is particularly sensitive given that, like other biometric data, it is personal and unique. Consequently, the privacy risk created by such data potentially falling into the wrong hands and being re-identified exceeds the benefit of allowing broader use. This is especially the case where parents are not provided direct notice or provided the opportunity to consent to such practices. | しかし委員会は、たとえ事業者がデータの識別を解除する措置を講じたとしても、例外的に事業者が音声ファイルを保持したり、製品の改善や内部業務など他の目的に使用したりすることを認めるべきだということには同意しない。委員会は、児童の声の録音が、他の生体データと同様、個人的かつ固有のデータであることから、特にセンシティブであることに同意する。したがって、そのようなデータが悪人の手に渡り、再識別される可能性によって生じるプライバシー・リスクは、より広範な利用を認めることの利点を上回る。これは特に、保護者に直接的な通知や、そのような行為に同意する機会が提供されない場合である。 |
| c. Other Exceptions | c. その他の例外 |
| The Commission also proposes adding language to the support for the internal operations exception, § 312.5(c)(7), to address the new online notice requirement the Commission proposes.[299] This proposal indicates that an operator that collects information under the support for the internal operations exception must provide information in its online notice regarding its use of the exception. The Commission also proposes technical fixes to § 312.5(c)(6) for clarity purposes. Namely, the Commission proposes changing § 312.5(c)(6)(i) from “protect the security or integrity of its website or online service” to “protect the security or integrity of the website or online service” (emphasis added). The Commission also proposes removing “be” in § 312.5(c)(6)(iv) to fix a typographical issue. | 委員会はまた、委員会が提案する新たなオンライン通知要件に対応するため、内部業務のサポート例外、§312.5(c)(7)に文言を追加することを提案する[299]。この提案は、内部業務のサポート例外の下で情報を収集するプロバイダは、例外の使用に関する情報をオンライン通知で提供しなければならないことを示すものである。また、委員会は、分かりやすくするために、§312.5(c)(6)の技術的修正も提案している。すなわち、委員会は、312.5条(c)(6)(i)を「ウェブサイトまたはオンラインサービスのセキュリティまたは完全性を保護する」から「ウェブサイトまたはオンラインサービスのセキュリティまたは完全性を保護する」に変更することを提案する(強調)。また、委員会は、誤字の問題を修正するため、312.5条(c)(6)(iv)の「be」を削除することも提案する。 |
| In addition, the Commission proposes to modify § 312.5(c)(4) to prohibit operators from utilizing this exception to encourage or prompt use of a website or online service. This proposed addition prohibits operators from using online contact information to optimize user attention or maximize user engagement with the website or online service, including by sending push notifications, without first obtaining verifiable parental consent.[300] | さらに、委員会は、事業者がウェブサイトまたはオンラインサービスの利用を奨励または促すためにこの例外を利用することを禁止するために、312.5条(c)(4)を修正することを提案する。この追加案では、事業者が、検証可能な保護者の同意を最初に得ることなく、プッシュ通知の送信を含め、オンライン連絡先情報を使用して、ユーザーの関心を最適化したり、ウェブサイトまたはオンラインサービスへのユーザーの関与を最大化したりすることを禁止している[300]。 |
| Additionally, several commenters recommended that the Commission expand the Rule's current one-time use exception, § 312.5(c)(3).[301] Specifically, multiple commenters noted that the Commission should expand the types of information collected under this exception to include telephone numbers.[302] A commenter also requested the Commission expand this exception to permit multiple contacts with a child without providing notice and an opportunity to opt out, as required by the multiple contact exception.[303] | さらに、複数の意見提出者は、委員会に対し、規則の現行の1回限りの使用の例外である§312.5(c)(3)を拡大するよう勧告した[301]。具体的には、複数の意見提出者は、委員会はこの例外の下で収集される情報の種類を拡大し、電話番号を含めるべきであると指摘した[302]。また、ある意見提出者は、委員会に対し、この例外を拡大し、複数回の接触の例外で要求されているように、通知とオプトアウトの機会を提供することなく、児童との複数回の接触を許可するよう要求した[303]。 |
| As explained earlier in the discussion regarding the definition of “online contact information,” the Commission proposes modifying this definition to include a mobile telephone number, provided the operator uses it only to send a text message and not for voice communication, unless and until the operator has obtained the parent's verifiable parental consent.[304] The Commission believes that the proposed revision to the definition of “online contact information” addresses commenters' recommendations to permit the use of mobile telephone numbers to contact children under the one-time use exception. However, the Commission stresses that under the proposed definition of “online contact information,” operators using a child's mobile telephone number under this exception may only text the child and may not call the child. | 先に「オンライン連絡先情報」の定義に関する議論で説明したように、委員会は、事業者が親の確認可能な親権者の同意を得ない限り、また得るまでは、事業者がテキストメッセージの送信にのみ使用し、音声通信には使用しないという条件で、携帯電話番号を含めるようにこの定義を修正することを提案する[304]。 委員会は、「オンライン連絡先情報」の定義の修正案が、1回限りの使用の例外の下で、携帯電話番号を使用して児童に連絡することを認めるという意見提出者の提案に対応するものであると考えている。しかし、委員会は、提案されている「オンライン連絡先情報」の定義の下では、この例外の下で児童の携帯電話番号を使用する事業者は、児童にテキストを送信することのみが可能であり、児童に電話をかけることはできないと強調している。 |
| Further, the Commission is not persuaded by commenters suggesting that it should expand this exception to permit multiple contacts with a child without offering parents notice and the opportunity to opt out. The COPPA statute envisioned the scenario in which an operator would have to contact a child more than once to respond to a specific request, and Congress included notice and opt-out requirements in association with such scenario.[305] This scenario was codified in the COPPA Rule under the multiple contact exception, § 312.5(c)(4). Commenters' recommendation essentially asks the Commission to remove the multiple contact exception's notice and consent requirements. However, the Commission believes these elements are required by the COPPA statute, and therefore it does not propose such modifications. | さらに、委員会は、この例外を拡大し、保護者への通知やオプトアウトの機会を提供することなく、児童との複数回の接触を認めるべきだという意見には説得力がない。COPPA法は、特定の要求に対応するために事業者が児童に複数回接触しなければならないシナリオを想定しており、議会はそのようなシナリオに関連して通知とオプトアウトの要件を盛り込んだ[305]。このシナリオは、COPPA規則において複数回接触例外§312.5(c)(4)の下で成文化された。意見提出者の提案は、基本的に、委員会に対し、複数接触例外の通知と同意の要件を削除するよう求めている。しかし、委員会は、これらの要素がCOPPAの法令で求められていると考えているため、そのような修正を提案しない。 |
| D. Right To Review Personal Information Provided by a Child (16 CFR 312.6) | D. 児童がプロバイダから提供された個人情報を確認する権利(16 CFR 312.6) |
| The Commission proposes a new paragraph related to the Commission's proposed school authorization exception.[306] Specifically, the Commission proposes requiring operators utilizing such exception to provide schools with the rights operators currently provide parents under § 312.6(a), namely the right to review personal information collected from a child, refuse to permit operators' further use or future online collection of personal information, and to direct operators to delete such information. Under this proposal, operators utilizing the school authorization exception would not be required to provide such rights to parents for information collected under the exception. | 委員会は、委員会が提案する学校認可の例外に関連する新しいパラグラフを提案する[306]。具体的には、委員会は、この例外を利用する事業者に対して、事業者が現在312.6条(a)に基づいて保護者に提供している権利、すなわち、児童から収集した個人情報を確認する権利、事業者による個人情報のさらなる使用または今後のオンライン収集を拒否する権利、および事業者にそのような情報の削除を指示する権利を学校に提供することを義務付けることを提案する。本提案では、学校認可の例外を利用する事業者は、例外の下で収集された情報について、保護者にそのような権利を提供する必要はない。 |
| Requiring operators to fulfill requests, such as deletion requests, from each parent could result in schools having to provide different services to different children or forego particular services for the entire class based on the request of an individual parent. To reduce this burden, the Commission proposes this modification. The Commission also proposes deleting the reference to “parent” in the § 312.6 heading to account for this modification. | 保護者一人一人からの削除要求などの要求に対応することを事業者に義務づけると、個々の保護者の要求に基づいて、学校が児童ごとに異なるサービスを提供したり、クラス全体の特定のサービスを見送ったりしなければならなくなる可能性がある。このような負担を軽減するため、委員会はこの変更を提案する。また、委員会は、この修正を考慮し、312.6条の見出しにある「保護者」への言及を削除することも提案する。 |
| E. Prohibition Against Conditioning a Child's Participation on Collection of Personal Information (16 CFR 312.7) | E. 個人情報の収集に児童の参加を条件付けることの禁止(16 CFR 312.7) |
| Section 312.7 of the Rule provides that an operator is prohibited from conditioning a child's participation in a game, the offering of a prize, or another activity on the child's disclosing more personal information than is reasonably necessary to participate in such activity. | 規則第312.7条は、プロバイダが、ゲーム、賞品の提供、またはその他の活動への児童の参加を、当該活動への参加に合理的に必要な以上の個人情報の開示を条件とすることを禁止している。 |
| The Commission notes that this provision serves as an outright prohibition on collecting more personal information than is reasonably necessary for a child to participate in a game, offering of a prize, or another activity. Therefore, operators may not collect more information than is reasonably necessary for such participation, even if the operator obtains consent for the collection of information that goes beyond what is reasonably necessary. | 委員会は、この規定が、ゲーム、賞品の提供、またはその他の活動に参加するために児童が合理的に必要とする以上の個人情報を収集することを全面的に禁止するものであることに留意する。したがって、事業者は、たとえ事業者が合理的に必要な範囲を超える情報の収集について同意を得たとしても、そのような参加に合理的に必要な範囲を超える情報を収集してはならない。 |
| With respect to the scope of § 312.7, the Commission is considering adding new language to address the meaning of “activity,” as that term is used in § 312.7. Specifically, the Commission is considering including language in § 312.7 to provide that an “activity” means “any activity offered by a website or online service, whether that activity is a subset or component of the website or online service or is the entirety of the website or online service.” It welcomes comment on whether this language is consistent with the COPPA statute's text and purpose, and it also welcomes comment on whether this change is necessary given the breadth of the plain meaning of the term “activity.” | 312.7条の適用範囲に関して、委員会は、312.7条で使用されている「活動」の意味に対処するために、新たな文言を追加することを検討している。具体的には、委員会は、312.7条に「活動」とは「ウェブサイトまたはオンラインサービスによって提供されるあらゆる活動であり、その活動がウェブサイトまたはオンラインサービスのサブセットまたは構成要素であるか、ウェブサイトまたはオンラインサービスの全体であるかを問わない」と規定する文言を含めることを検討している。この文言がCOPPA法の条文と趣旨に合致しているかどうか、また "活動 "という用語の平易な意味の広さを考慮した場合、この変更が必要かどうかについての意見を歓迎する。 |
| F. Confidentiality, Security, and Integrity of Personal Information Collected From Children (16 CFR 312.8) | F. 児童から収集した個人情報の機密性、安全性、完全性(16 CFR 312.8) |
| Section 312.8 of the Rule provides: | 規則第312.8条は次のようにプロバイダを規定している: |
| The operator must establish and maintain reasonable procedures to protect the confidentiality, security, and integrity of personal information from children. The operator must also take reasonable steps to release children's personal information only to service providers and third parties who are capable of maintaining the confidentiality, security, and integrity of such information, and who provide assurances that they will maintain the information in such a manner. | 事業者は、児童からの個人情報の機密性、安全性、および完全性を保護するための合理的な手順を確立し、維持しなければならない。また、事業者は、児童の個人情報を、当該情報の機密性、安全性、完全性を維持する能力を有し、当該情報をそのように維持する保証を提供するサービスプロバイダーおよびサードパーティにのみ開示するための合理的な措置を講じなければならない。 |
| In the 2019 Rule Review Initiation, the Commission asked whether operators have implemented sufficient safeguards to protect the personal information they collect from children. The Commission also asked whether the requirements of § 312.8 are adequate and whether the Rule should include more specific data security requirements. | 2019年規則見直し開始において、委員会は、事業者が児童から収集した個人情報を保護するために十分な保護措置を講じているかどうかを尋ねた。また、委員会は、312.8条の要件が適切かどうか、規則により具体的なデータセキュリティ要件を含めるべきかどうかについても質問した。 |
| Many commenters asked the Commission to clarify or strengthen operators' obligations under this section. For example, a coalition of consumer groups criticized the Commission for not promulgating clear data security regulations as directed by the COPPA statute.[307] These commenters recommended that the Commission elaborate on the meaning of “reasonable procedures to protect the confidentiality, security, and integrity” of children's information.[308] Similarly, an FTC-approved COPPA Safe Harbor program recommended that the Commission provide detailed guidance about minimum standards for what constitutes “reasonable procedures,” to help guide operators and FTC-approved COPPA Safe Harbor programs tasked with ensuring that companies are compliant with the Rule.[309] | 多くの意見提出者は、本条項における事業者の義務を明確化または強化するよう委員会に求めた。例えば、消費者団体の連合は、委員会がCOPPA法の指示通りに明確なデータセキュリティ規制を公布していないと批判した[307]。これらの意見提出者は、委員会に対し、児童の情報の「機密性、安全性、完全性を保護するための合理的な手順」の意味を詳しく説明するよう勧告した[308]。 [308] 同様に、FTC承認のCOPPAセーフハーバー・プログラムは、企業が規則を遵守していることを確認することを任務とする事業者およびFTC承認のCOPPAセーフハーバー・プログラムの指針となるよう、「合理的な手続き」を構成するものの最低標準について詳細なガイダンスを提供するよう委員会に勧告した[309]。 |
| Some commenters argued that recent data breaches in all industries demonstrate the need for stricter data security requirements for children's personal information.[310] Other commenters expressed a more narrow concern that the evolving online landscape in schools, combined with an increase in data breaches and ransomware attacks, suggests the need for stricter data security requirements for children's personal information generally.[311] In contrast, a small number of commenters opined that operators are adequately protecting children's personal information. For example, the Internet Association stated that the increase in well-publicized breaches has heightened operators' awareness of their obligations and encouraged them to safeguard personal data.[312] | 一部の意見者は、あらゆる業界における最近のデータ漏えい事件は、児童の個人情報に対するより厳格なデータセキュリティ要件の必要性を示していると主張した[310]。他の意見者は、データ漏えいやランサムウェア攻撃の増加と相まって、学校におけるオンラインの状況が進化していることから、一般的に児童の個人情報に対するより厳格なデータセキュリティ要件の必要性が示唆されるという、より狭い範囲の懸念を表明した[311]。対照的に、少数の意見者は、事業者が児童の個人情報を適切に保護していると意見した。例えば、インターネット協会は、よく報道される個人データ漏えいの増加により、事業者の義務に対する意識が高まり、個人データを保護するよう促されたと述べている[312]。 |
| Commenters on both sides—those who believe operators are adequately protecting children's personal information and those who believe operators need to do more—recommended against adding prescriptive data security requirements or risk management controls in the Rule. These commenters expressed concern that such measures could become quickly outdated. For example, the Internet Association and The Toy Association expressed concerns that specific, detailed security requirements and risk management controls might prevent operators from keeping pace with evolving technology and security threats.[313] The internet Association opined that the Rule's flexibility permits operators to develop privacy and security risk management frameworks that are tailored to their activities and users, and that also keep pace with technology, evolving security threats, and varying security risks.[314] FTC-approved COPPA Safe Harbor program kidSAFE and a technology trade association recommended that the Commission keep the “broad and flexible” standard in § 312.8 for similar reasons.[315] A group of State Attorneys General also supported a flexible approach.[316] These commenters urged the Commission to proceed cautiously and make clear that any additional data security requirements within the Rule are simply illustrative examples of what constitutes “reasonable procedures” rather than an exhaustive list.[317] Such an approach, they argued, would encourage operators to consistently monitor and update security protocols that evolve with “rapid advances in technology and the enterprising nature of cybercriminals.” [318] | 事業者が児童の個人情報を適切に保護していると考える意見と、もっと保護する必要があると考える意見の双方から、規則に規定的なデータセキュリティ要件やリスクマネジメントを追加することに反対する意見が出された。これらの意見者は、そのような対策がすぐに時代遅れになることを懸念している。例えば、インターネット協会(Internet Association)と玩具協会(The Toy Association)は、具体的で詳細なセキュリティ要件やリスクマネジメント管理によって、事業者が進化する技術やセキュリティ脅威に対応できなくなるのではないかという懸念を表明した[313]。インターネット協会は、同規則の柔軟性により、事業者はその活動や利用者に合わせたプライバシー及びセキュリティリスク・マネジメントの枠組みを構築することができ、また技術や進化するセキュリティ脅威、様々なセキュリティリスクに対応することができるとの見解を示した[314]。FTCが承認したCOPPAセーフハーバープログラムのkidSAFEと技術業界団体は、同様の理由から、委員会が§312.8の「広範かつ柔軟な」標準を維持するよう勧告した[315]。州検事総長のグループも柔軟なアプローチを支持した[316]。これらの意見提出者は、委員会に対し、規則内で追加されるデータセキュリティ要件は、網羅的なリストではなく、「合理的な手続き」を構成するものの単なる例示であることを明確にし、慎重に進めるよう求めた[317]。このようなアプローチは、「テクノロジーの急速な進歩とサイバー犯罪者のエンタープライズな性質」によって進化するセキュリティ・プロトコルを一貫して監視し、更新することを事業者に促すものである、と彼らは主張した。 [318] |
| kidSAFE also encouraged the Commission to consider the varying levels of resources and bargaining power that different operators hold. kidSAFE claimed that smaller companies often lack the resources to invest in their own data security measures or the bargaining power to obtain security assurances from the third-party service providers they use.[319] An individual commenter expressed similar concerns that additional data security requirements might further burden small businesses, which already may not be in a position to determine whether service providers are capable of the Rule's existing security requirements.[320] | kidSAFEはまた、事業者によって保有するリソースや交渉力のレベルが異なることを考慮するよう委員会に促した。kidSAFEは、中小企業には独自のデータセキュリティ対策に投資するリソースや、利用しているサードパーティ・サービス・プロバイダからセキュリティ保証を得る交渉力がないことが多いと主張した[319]。個人の意見提出者も、データセキュリティ要件の追加により、サービス・プロバイダが規則の既存のセキュリティ要件を満たしているかどうかを判断する立場にすでにない中小企業に、さらに負担がかかる可能性があると同様の懸念を表明した[320]。 |
| In enacting COPPA, Congress recognized the need for heightened protections for children's personal information, and the Commission has long recognized a similar need.[321] The Commission agrees that the proliferation of data breaches in all industries, including schools, supports strong and effective data security requirements, especially for particularly sensitive information like children's data. The Commission also agrees that operators would benefit from additional clarity and detail regarding the Rule's security requirements set forth in § 312.8. | COPPAの制定において、議会は児童の個人情報に対する保護を強化する必要性を認識し、委員会も同様の必要性を長い間認識してきた[321]。委員会は、学校を含むあらゆる業界でデータ漏洩が多発していることが、特に児童のデータのような特にセンシティブな情報に対して、強力かつ効果的なデータセキュリティ要件を支持することに同意する。委員会はまた、312.8条に規定されている規則のセキュリティ要件について、さらに明確かつ詳細にすることが事業者にとって有益であることにも同意する。 |
| For these reasons, the Commission proposes modifications to the Rule's security requirements. Specifically, the Commission proposes to split the operator's requirements in § 312.8 into discrete paragraphs and provide further guidance as to steps operators can take to comply with each requirement. The second paragraph will provide more guidance on the “reasonable procedures” that an operator must establish and maintain under newly-numbered § 312.8(a) to protect the confidentiality, security, and integrity of personal information from children. The third paragraph will address the “reasonable steps” an operator should take to release children's personal information only to those capable of protecting such and who provide written assurances to protect the information. | このような理由から、委員会は規則のセキュリティ要件の修正を提案する。具体的には、委員会は、312.8条の事業者の要件を個別の段落に分割し、各要件を遵守するために事業者が講じることができる手順について、さらなるガイダンスを提供することを提案する。第2段落では、児童からの個人情報の機密性、安全性、および完全性を保護するために、新たに番号付けされた第312.8条(a)に基づき、事業者が確立および維持しなければならない「合理的な手続き」に関するガイダンスを提供する。第3段落では、事業者が児童の個人情報を、当該情報を保護する能力があり、かつ当該情報を保護する旨の書面による保証を提供した者のみに開示するために取るべき「合理的な手順」を取り上げる。 |
| First, the Commission proposes modifying § 312.8 to specify that operators must, at minimum, establish, implement, and maintain a written comprehensive security program that contains safeguards that are appropriate to the sensitivity of children's information and to the operator's size, complexity, and nature and scope of activities. This requirement is modeled on the Commission's original Safeguards Rule implemented under the Gramm-Leach-Bliley Act (“GLBA”), which provides heightened protections for financial institutions' customer data.[322] | まず、委員会は、第312.8条を修正し、事業者は少なくとも、児童情報の機密性、事業者の規模、複雑性、活動の性質および範囲に適した保護措置を含む、書面による包括的セキュリティプログラムを策定、実施、維持しなければならないことを明記することを提案する。この要件は、金融機関の顧客データに対する保護を強化するグラム・リーチ・ブライリー法(「GLBA」)の下で実施された、委員会独自のセーフガード規則をモデルとしている[322]。 |
| To provide additional guidance, the proposed § 312.8 security program must contain a number of specific elements including designating an employee to coordinate the information security program; identifying and, at least annually, performing additional assessments to identify risks to the confidentiality, security, and integrity of personal information collected from children; designing, implementing, and maintaining safeguards to control any identified risks, as well as testing and monitoring the effectiveness of such safeguards; and, at least annually, evaluating and modifying the information security program. | さらなるガイダンスを提供するため、提案されている§312.8セキュリティ・プログラムには、情報セキュリティ・プログラムを調整する従業員を指名すること、児童から収集した個人情報の機密性、安全性、完全性に対するリスクを特定し、少なくとも年1回、追加評価を実施すること、特定されたリスクを制御するための保護措置を設計、実施、維持するとともに、かかる保護措置の有効性をテストし、監視すること、少なくとも年1回、情報セキュリティ・プログラムを評価し、修正することを含む、多くの具体的な要素が含まれていなければならない。 |
| The Commission believes that these modifications are appropriate for several reasons. First, this approach provides additional guidance to operators and FTC-approved COPPA Safe Harbor programs, while also maintaining the Rule's flexibility by allowing for technological advancements and taking into account an operator's size, complexity, and the nature and scope of its activities. It is also consistent with prior Commission COPPA and data security decisions and guidance.[323] | 委員会は、このような修正はいくつかの理由から適切であると考えている。第一に、このアプローチは、事業者およびFTCが承認したCOPPAセーフハーバー・プログラムにさらなるガイダンスを提供すると同時に、技術の進歩を許容し、事業者の規模、複雑さ、およびその活動の性質と範囲を考慮することによって、規則の柔軟性を維持する。また、委員会の過去のCOPPAおよびデータセキュリティに関する決定および指針とも整合している[323]。 |
| In addition to the proposed written data security program, the Commission also proposes adding language to § 312.8 to clarify that operators that release personal information to third parties or other operators must obtain written assurances that the recipients will employ reasonable measures to maintain the confidentiality, security, and integrity of the information. In 2013, when the Commission amended § 312.8 to require operators to “take reasonable steps to release children's personal information only to service providers and third parties who are capable of maintaining the confidentiality, security and integrity of such information, and who provide assurances that they will maintain the information in such a manner,” the Commission envisioned that operators would obtain assurances “by contract or otherwise.” [324] The Commission based this requirement on a similar obligation of financial institutions under the GLBA, which requires entities to “requir[e] your service providers by contract to implement and maintain such safeguards” (emphasis added).[325] While the Commission expanded on the GLBA's provision to allow operators to obtain assurances by contract “or otherwise,” the Commission did not intend to allow operators to rely on verbal assurances alone. Rather, the Commission envisioned other written assurances for which there is tangible evidence, such as a written email or a service provider's written terms and conditions. | 提案されている書面によるデータセキュリティプログラムに加えて、委員会は、個人情報をサードパーティまたは他の事業者に公開する事業者は、取得者が情報の機密性、安全性、および完全性を維持するための合理的な手段を採用するという書面による保証を取得しなければならないことを明確にするために、312.8条に文言を追加することも提案している。2013年、委員会は第312.8条を改正し、事業者に「児童の個人情報を、そのような情報の機密性、安全性、完全性を維持する能力があり、そのような方法で情報を維持するという保証を提供するサービスプロバイダーおよびサードパーティにのみ開示するための合理的な措置を講じる」ことを義務付けた際、委員会は事業者が「契約またはその他の方法で」保証を得ることを想定していた。 [324] 委員会は、GLBAの下での金融機関の同様の義務に基づき、事業体に対して「契約によって、そのような保護措置を実施し、維持することをプロバイダに要求する」(強調)ことを求めている[325]。委員会は、GLBAの規定を拡大し、事業者が「契約またはその他の方法」によって保証を得ることを認めたが、委員会は、事業者が口頭による保証だけに頼ることを認めるつもりはなかった。むしろ、委員会は、書面による電子メールやプロバイダの書面による契約条件など、目に見える証拠がある他の書面による保証を想定していた。 |
| Accordingly, the Commission proposes inserting “written” to clarify that the assurances operators must obtain from other operators, service providers, and third parties to whom the operator releases children's personal information, or who collect such on the operator's behalf, must be in writing. As similarly noted in the Rule review that led to the 2013 Amendments,[326] this provision is intended to address security issues surrounding business-to-business releases of data. The Commission did not seek specific comment on this aspect of the Rule's security requirements and therefore welcomes comment on this proposed modification. | したがって、委員会は、事業者が他の事業者、サービスプロバイダー、および事業者が児童の個人情報を提供する、あるいは事業者に代わって児童の個人情報を収集するサードパーティから取得しなければならない保証は、書面によるものでなければならないことを明確にするために、「書面による」を挿入することを提案する。2013年の改正につながった規則の見直し[326]で同様に指摘されたように、この規定は、企業間のデータ公開にまつわるセキュリティ問題に対処することを意図している。委員会は、規則のセキュリティ要件のこの側面に関する具体的な意見を求めていないため、この修正案に関する意見を歓迎する。 |
| G. Data Retention and Deletion Requirements (16 CFR 312.10) | G. データ保持および削除要件(16 CFR 312.10) |
| Section 312.10 of the Rule currently states that “an operator of a website or online service shall retain personal information collected online from a child for only as long as is reasonably necessary to fulfill the purpose for which the information was collected.” This section further states that “the operator must delete such information using reasonable measures to protect against unauthorized access to, or use of, the information in connection with its deletion.” | 現在、同規則の312.10項では、「ウェブサイトまたはオンラインサービスの運営者は、児童からオンラインで収集した個人情報を、その情報を収集した目的を果たすために合理的に必要な期間のみ保持しなければならない」と定めている。この条項はさらに、"運営者は、その削除に関連して、情報への不正アクセスや情報の利用から保護するための合理的な手段を用いて、そのような情報を削除しなければならない "と定めている。 |
| In 2013, the Commission amended the Rule to add the data retention and deletion requirements of § 312.10 pursuant to its 15 U.S.C. 6502(b)(1)(D) authority to establish regulations requiring operators to establish and maintain reasonable procedures to protect the confidentiality, security, and integrity of personal information collected from children. At that time, the Commission explained that timely deletion of data is an integral part of a reasonable data security strategy, referencing the Institute for Public Representation's comment that without such “operators have no incentive to eliminate children's personal information and may retain it indefinitely.” [327] The Commission, however, rejected requests to specify a finite timeframe in which companies must delete data, instead deciding to choose “the phrases `for only as long as is reasonably necessary' and `reasonable measures' to avoid the very rigidity about which commenters opposing this provision complain.” [328] | 2013年、委員会は規則を改正し、15 U.S.C. 6502(b)(1)(D)の認可に基づき、児童から収集した個人情報の機密性、セキュリティ、完全性を保護するための合理的な手順を確立し、維持することを事業者に義務付ける規則を制定するため、312.10条のデータ保持および削除要件を追加した。その際、委員会は、データを適時に削除することは、合理的なデータセキュリティ戦略の不可欠な要素であると説明し、そのようなことがなければ、「事業者は、児童の個人情報を削除するインセンティブがなく、無期限に保持する可能性がある」というInstitute for Public Representationの意見を参照した。 [327] しかしながら、委員会は、企業がデータを削除しなければならない期限を指定する要求を拒否し、代わりに「合理的に必要な期間のみ」と「合理的な措置」という表現を選択することで、この規定に反対する意見者が不満としている厳格さを回避することにした。 [328] |
| Although the Commission did not specifically seek comment on data deletion in its 2019 Rule Review Initiation, many of the commenters that recommended the Commission provide more guidance on the § 312.8 requirements also suggested that the Commission clarify operators' obligations under § 312.10. These commenters expressed concern that, without specific time limits on data retention, operators could read the Rule to allow indefinite retention of children's personal information. For example, a group of State Attorneys General asked the Commission to modify the Rule to require operators or others maintaining children's data to serve contextual ads to delete such information immediately at the end of a user's session.[329] Many consumer groups and individual commenters also opined that an increase in school data breaches and ransomware attacks indicates a need for stronger data deletion requirements within the Rule generally.[330] A few commenters asked specifically for data retention limits for personal information stored within the education system or by ed tech providers.[331] Similarly, a non-profit privacy organization requested that the Commission make it clear that operators cannot retain student data indefinitely.[332] | 委員会は、2019年規則見直し開始においてデータ削除に関する意見を特に求めてはいなかったが、委員会が312.8条の要件についてより多くの指針を提供するよう勧告した意見提出者の多くは、委員会が312.10条に基づく事業者の義務を明確にすることも提案した。これらの意見提出者は、データ保持に具体的な期限を設けなければ、事業者がこの規則を読んで、児童の個人情報を無期限に保持することが可能になるとの懸念を表明した。たとえば、州検事総長のグループは、コンテクスト広告を提供するために児童のデータを保持する事業者またはその他の者に対して、ユーザーのセッションが終了した時点で当該情報を直ちに削除することを義務付けるよう、規則を修正するよう委員会に要請した[329]。また、多くの消費者団体や個人の意見提出者は、学校でのデータ漏洩やランサムウェア攻撃の増加は、一般的に規則におけるデータ削除要件の強化の必要性を示しているとの見解を示している[330]。少数の意見提出者は、教育システム内または教育技術プロバイダによって保存された個人情報のデータ保持制限を特に求めていた[331]。同様に、ある非営利のプライバシー団体は、委員会に対し、事業者が生徒のデータを無期限に保持することはできないことを明確にするよう要請した[332]。 |
| Section 312.10 prohibits operators from retaining children's personal information indefinitely. The Commission framed the prohibition on data retention to permit enough flexibility to allow operators to retain data only for specified, necessary business needs. | 第312.10条は、事業者が児童の個人情報を無期限に保持することを禁止している。委員会は、事業者が特定された必要な業務上の必要性のためにのみデータを保持できるよう、十分な柔軟性を持たせるためにデータ保持の禁止を規定した。 |
| Given the misunderstanding identified by the consumer groups, the Commission now proposes to modify this section to state more explicitly operators' duties with regard to the retention of personal information collected from children. Specifically, the Commission proposes clarifying that operators may retain personal information for only as long as is reasonably necessary for the specific purpose for which it was collected, and not for any secondary purpose. For example, if an operator collects an email address from a child for account creation purposes, the operator could not then use that email address for marketing purposes without first obtaining verifiable parental consent to use that information for that specific purpose. Additionally, the operator must delete the information when such information is no longer reasonably necessary for the purpose for which it was collected.[333] In any event, personal information collected from a child may not be retained indefinitely. | 消費者団体の指摘した誤解を考慮し、委員会は現在、このセクションを修正し、児童から収集した個人情報の保持に関する事業者の義務をより明確に規定することを提案している。具体的には、委員会は、事業者が個人情報を保持できるのは、それが収集された特定の目的のために合理的に必要な期間のみであり、二次的な目的のためには保持できないことを明確にすることを提案する。例えば、ある事業者がアカウント作成目的で児童から電子メールアドレスを収集した場合、その事業者は、その特定の目的のために情報を使用することについて、検証可能な保護者の同意を最初に得ることなく、その電子メールアドレスをマーケティング目的で使用することはできない。さらに、事業者は、そのような情報が収集された目的のために合理的に必要でなくなった場合、その情報を削除しなければならない[333]。いずれにせよ、児童から収集した個人情報を無期限に保持することはできない。 |
| The Commission also proposes requiring an operator to, at least, establish and maintain a written data retention policy specifying its business need for retaining children's personal information and its timeframe for deleting it, precluding indefinite retention. | また、委員会は、事業者に対して、少なくとも、児童の個人情報を保持する業務上の必要性と、その情報を削除する期限を明記した書面によるデータ保持方針を定め、維持することを義務付け、無期限の保持を排除することを提案している。 |
| These proposed modifications are intended to reinforce section 312.7's data minimization requirements, which prohibit an operator from conditioning a child's participation in a game, the offering of a prize, or another activity on the child's disclosing more personal information than is reasonably necessary to participate in such activity.[334] Namely, these proposed modifications require that an operator must have a specific business need for retaining information collected from children, and may retain such information for only so long as is reasonably necessary for the specific purpose for which it was collected, and not for any secondary purpose. The modifications also preclude operators from retaining such information indefinitely. The Commission welcomes comment on its proposed modification to this section. | これらの修正案は、第312.7条のデータ最小化要件を強化することを意図している。この要件は、ゲーム、賞品の提供、またはその他の活動への児童の参加を条件として、当該活動への参加に合理的に必要な以上の個人情報を児童が開示することを事業者が禁止するものである[334]。すなわち、これらの修正案は、事業者が児童から収集した情報を保持する特定の業務上の必要性を持たなければならないこと、およびそのような情報を、それが収集された特定の目的のために合理的に必要な期間のみ保持することができ、二次的な目的のために保持することはできないことを求めている。また、この修正は、事業者がこのような情報を無期限に保持することを妨げるものでもある。委員会は、本項の修正案について意見を歓迎する。 |
| H. Safe Harbor (16 CFR 312.11) | H. セーフハーバー(16 CFR 312.11) |
| The 2019 Rule Review Initiation posed a number of questions related to the Rule's safe harbor program provision, including: whether it has been effective in enhancing compliance with the Rule; whether the Commission should modify the criteria currently enumerated in § 312.11(b) for approval of FTC-approved COPPA Safe Harbor programs; whether the Commission should clarify or modify § 312.11(g) with respect to the Commission's discretion to initiate an investigation or bring an enforcement action against an operator participating in an FTC-approved COPPA Safe Harbor program; whether the Commission should consider changes to the safe harbor monitoring process, including to promote greater transparency; and whether the Rule should include factors for the Commission to consider in revoking approval for an FTC-approved COPPA Safe Harbor program. | 2019年規則見直し開始では、規則のセーフハーバープログラム規定に関連する多くの質問が投げかけられたが、これには、規則の遵守を強化する上で効果的であったかどうか、FTCが承認したCOPPAセーフハーバープログラムの承認について、委員会は現在312.11条(b)に列挙されている基準を修正すべきかどうか、委員会は312.11条(g)を明確化または修正すべきかどうかなどが含まれる。 11(g)に、FTCが承認したCOPPAセーフハーバープログラムに参加している事業者に対して調査を開始したり、強制措置を講じたりする委員会の裁量を明確化または修正すべきかどうか、委員会は、透明性の向上を促進することを含め、セーフハーバー監視プロセスの変更を検討すべきかどうか、規則には、委員会がFTCが承認したCOPPAセーフハーバープログラムの承認を取り消す際に考慮すべき要素を含めるべきかどうか。 |
| A number of commenters expressed support for the Rule's safe harbor program.[335] At the same time, however, multiple commenters recommended that the Commission enhance oversight of, and transparency regarding, the safe harbor program by modifying the criteria for the Commission's approval of FTC-approved COPPA Safe Harbor programs' guidelines and the Rule's requirements for FTC-approved COPPA Safe Harbor programs to submit reports to the Commission and retain records.[336] While the Commission continues to believe that FTC-approved COPPA Safe Harbor programs serve an important function in helping companies comply with COPPA, it finds merit in the recommendations for enhanced oversight and transparency. Accordingly, the Commission proposes revisions to § 312.11 of the Rule as set forth in this part of the preamble, which it believes will further strengthen the COPPA Rule's safe harbor program. | 多くの意見提出者は、規則のセーフハーバープログラムへの支持を表明した[335]。しかし同時に、複数の意見提出者は、FTCが承認したCOPPAセーフハーバープログラムのガイドラインを委員会が承認するための基準や、FTCが承認したCOPPAセーフハーバープログラムが委員会に報告書を提出し、記録を保持するための規則の要件を修正することによって、セーフハーバープログラムに関する監視と透明性を強化することを委員会に提案した[336]。委員会は、FTCが承認したCOPPAセーフハーバープログラムが、企業のCOPPA遵守を支援する上で重要な機能を果たすと引き続き考えているが、監視と透明性の強化に関する提言にメリットを見出している。したがって、委員会は、COPPA規則のセーフハーバープログラムをさらに強化することができると考え、前文のこの部分に記載されているように、規則第312.11条の改定を提案する。 |
| 1. Criteria for Approval of Self-Regulatory Program Guidelines (§ 312.11(b)) | 1. 自主規制プログラムガイドラインの承認基準(§312.11(b) |
| Paragraph 312.11(b) of the Rule requires that FTC-approved COPPA Safe Harbor programs demonstrate that they meet certain performance standards, specifically: (1) requirements to ensure operators subject to the self-regulatory program guidelines (“subject operators”) provide substantially the same or greater protections for children as those contained in §§ 312.2 through 312.8 and 312.10; (2) an effective, mandatory mechanism for the independent assessment of subject operators' compliance with the FTC-approved COPPA Safe Harbor program's guidelines; and (3) disciplinary actions for subject operators' non-compliance with self-regulatory program guidelines. | 規則第312.11条(b)は、FTCが承認したCOPPAセーフハーバープログラムが一定の標準を満たしていることを証明することを特に次のように求めている: (1) 自己規制プログラムガイドラインの対象となるプロバイダ(「対象事業者」)が、第312.2条~第312.8条および第312.10条に含まれるものと実質的に同等以上の保護を児童に提供することを保証するための要件; (2) 対象事業者がFTC承認のCOPPAセーフハーバープログラムのガイドラインを遵守しているかどうかを独自に評価するための、効果的で義務的な仕組み。(3) 対象事業者が自主規制プログラムのガイドラインを遵守していない場合の懲戒処分。 |
| Several commenters recommended that the Commission provide additional clarity regarding the criteria the Commission applies when determining whether to approve an FTC-approved COPPA Safe Harbor program's self-regulatory guidelines. One FTC-approved COPPA Safe Harbor program suggested that the Commission consider publishing a standard set of program requirements, assessment questionnaires, and technical tests for all FTC-approved COPPA Safe Harbor programs to utilize with their subject operators.[337] Another recommended that the FTC consider enumerating minimum operating standards for FTC-approved COPPA Safe Harbor programs, including how often they monitor subject operators' sites and communicate with subject operators.[338] Another commenter recommended that the Commission should require FTC-approved COPPA Safe Harbor programs to apply a duty of care to promote principles behind COPPA when they conduct safe harbor program audits and certifications.[339] | 複数のプロバイダは、FTCが承認したCOPPAセーフハーバープログラムの自主規制ガイドラインを承認するかどうかを決定する際に、委員会が適用する基準をさらに明確にすることを推奨した。あるFTC承認COPPAセーフハーバー・プログラムは、すべてのFTC承認COPPAセーフハーバー・プログラムが対象事業者と利用するためのプログラム要件、評価アンケート、および技術テストの標準セットを公表することを検討するよう、委員会に提案した。 [337]また別の意見者は、FTCが承認したCOPPAセーフハーバープログラムについて、対象事業者のサイトを監視する頻度や対象事業者とのコミュニケーションの頻度など、最低限の運営基準を列挙することを検討すべきであると提言した[338]。さらに別の意見者は、FTCが承認したCOPPAセーフハーバープログラムがセーフハーバープログラムの監査と認証を行う際には、COPPAの背景にある原則を促進するための注意義務を適用するよう求めるべきであると提言した[339]。 |
| The Commission finds merit in the overall call for additional clarity regarding its criteria for approving FTC-approved COPPA Safe Harbor programs' self-regulatory guidelines. As discussed previously, the Commission proposes changes to the Rule's security requirements.[340] These proposed modifications provide additional guidance on the “reasonable procedures” that an operator must establish and maintain to protect the confidentiality, security, and integrity of personal information from children. FTC-approved COPPA Safe Harbor programs can utilize that guidance in determining whether subject operators meet the Rule's § 312.8 requirements. | 委員会は、FTCが承認したCOPPAセーフハーバープログラムの自主規制ガイドラインを承認する基準について、さらに明確にすることを求める全体的な要求にメリットを見出す。先に述べたように、委員会は規則のセキュリティ要件[340]の変更を提案している。これらの修正案は、事業者が児童の個人情報の機密性、安全性、完全性を保護するために確立し、維持しなければならない「合理的な手順」に関する追加ガイダンスを提供するものである。FTCが承認したCOPPAセーフハーバープログラムは、対象事業者が規則の§312.8要件を満たしているかどうかを判断する際に、当該指針を利用することができる。 |
| Further, in parallel with the proposed changes to § 312.8 discussed in Part IV.F., the Commission proposes to revise § 312.11(b)(2) to state explicitly that an FTC-approved COPPA Safe Harbor program's assessments of subject operators must include comprehensive reviews of both the subject operators' privacy and security policies, practices, and representations. The Commission does not propose any revisions to § 312.11(b)(1). | さらに、パートIV.F.で述べた§312.8の変更案と並行して、委員会は、§312.11(b)(2)を改訂し、FTC承認COPPAセーフハーバープログラムによる対象事業者の評価には、対象事業者のプライバシーおよびセキュリティの方針、慣行、および表明の両方の包括的なレビューが含まれなければならないことを明示することを提案する。委員会は、312.11条(b)(1)の改訂を提案しない。 |
| 2. Reporting and Recordkeeping Requirements (§ 312.11(d) and § 312.11(f)) | 2. 報告および記録の要件(§312.11(d)および§312.11(f) |
| Section 312.11(d) of the Rule sets forth requirements for FTC-approved COPPA Safe Harbor programs to, among other things, submit annual reports to the Commission and maintain for not less than three years, and make available to the Commission upon request, consumer complaints alleging that subject operators violated an FTC-approved COPPA Safe Harbor program's guidelines, records of disciplinary actions taken against subject operators, and results of the FTC-approved COPPA Safe Harbor program's § 312.11(b)(2) assessments. | 規則第312.11条(d)は、FTC承認COPPAセーフハーバープログラムに対して、特に、年次報告書を委員会に提出し、対象事業者がFTC承認COPPAセーフハーバープログラムのガイドラインに違反したと主張する消費者からの苦情、対象事業者に対する懲戒処分の記録、およびFTC承認COPPAセーフハーバープログラムの第312.11条(b)(2)評価の結果を3年以上維持し、要求に応じて委員会が入手できるようにする要件を定めている。 |
| Several commenters recommended that the Commission modify the reporting and recordkeeping requirements in order to strengthen the Commission's oversight of FTC-approved COPPA Safe Harbor programs and to make that oversight more transparent. One commenter recommended that the Commission require FTC-approved COPPA Safe Harbor programs to submit more detailed and frequent reports.[341] Another suggested that the Rule should require such programs to demonstrate on a periodic basis that they are regularly assessing and updating their programs to comply with COPPA.[342] | 複数の意見者は、FTCが承認したCOPPAセーフハーバープログラムに対する委員会の監視を強化し、その監視の透明性を高めるために、委員会が報告および記録の要件を修正することを推奨した。ある意見提出者は、FTCが承認したCOPPAセーフハーバープログラムに対し、より詳細かつ頻繁な報告書の提出を求めるよう委員会に提案した[341]。また別の意見提出者は、このようなプログラムに対し、COPPAに準拠するよう定期的に評価し、プログラムを更新していることを定期的に証明するよう規則に求めるべきであると提案した[342]。 |
| The Commission agrees with commenters' general recommendation to enhance FTC-approved COPPA Safe Harbor programs' reporting requirements in order to strengthen oversight. Accordingly, the Commission proposes revising § 312.11(d)(1) to require the following additions to the FTC-approved COPPA Safe Harbor programs' annual reports. | 委員会は、監視を強化するために、FTCが承認したCOPPAセーフハーバープログラムの報告要件を強化するという意見提出者の一般的な提案に同意する。したがって、委員会は、§312.11(d)(1)を改訂し、FTC承認COPPAセーフハーバープログラムの年次報告書に以下の追加を義務付けることを提案する。 |
| First, the Commission proposes requiring FTC-approved COPPA Safe Harbor programs to identify each subject operator and all approved websites or online services in the program, as well as all subject operators that have left the program.[343] The proposed revision further requires an FTC-approved COPPA Safe Harbor program to provide: a narrative description of the program's business model, including whether it provides additional services to subject operators, such as training; copies of each consumer complaint related to each subject operator's violation of an FTC-approved COPPA Safe Harbor program's guidelines; and a description of the process for determining whether a subject operator is subject to discipline (in addition to the existing requirement to describe any disciplinary action that the FTC-approved COPPA Safe Harbor program took against any subject operator). These proposed changes will enhance the Commission's ability to oversee FTC-approved COPPA Safe Harbor programs. | まず、委員会は、FTCが承認したCOPPAセーフハーバー・プログラムに対し、各対象事業者、プログラム内で承認されたすべてのウェブサイトまたはオンラインサービス、およびプログラムから離脱したすべての対象事業者を特定することを義務付けることを提案している[343]。本改訂案はさらに、FTCが承認したCOPPAセーフハーバープログラムに対し、以下を提供することを求めている:対象事業者にトレーニングなどの追加サービスを提供しているかどうかを含む、プログラムのビジネスモデルの説明; FTC承認COPPAセーフハーバー・プログラムのガイドラインに対する各対象事業者の違反に関連する各消費者からの苦情のコピー、および対象事業者が懲戒処分の対象となるかどうかを決定するプロセスの説明(FTC承認COPPAセーフハーバー・プログラムが対象事業者に対して行った懲戒処分の説明という従来の要件に加えて)。これらの変更案は、FTC承認のCOPPAセーフハーバープログラムを監督する委員会の能力を強化するものである。 |
| Additionally, one FTC-approved COPPA Safe Harbor program recommended that the Commission consider conducting audits of each FTC-approved COPPA Safe Harbor program and publishing an audit checklist after completing each audit.[344] Relatedly, another commenter suggested that the Rule should require FTC-approved COPPA Safe Harbor programs to demonstrate on a periodic basis that they are regularly assessing and updating their programs to comply with COPPA.[345] | さらに、あるFTC承認COPPAセーフハーバープログラムは、委員会が各FTC承認COPPAセーフハーバープログラムの監査を実施し、各監査終了後に監査チェックリストを公表することを検討するよう提言した[344]。これに関連して、別の意見提供者は、FTC承認COPPAセーフハーバープログラムがCOPPAを遵守するためにプログラムを定期的に評価し、更新していることを定期的に証明するよう規則に義務付けるべきであると提言した[345]。 |
| The Commission agrees that, in addition to its current oversight of FTC-approved COPPA Safe Harbor programs, including review of the FTC-approved COPPA Safe Harbor programs' annual reports discussed in this part of the preamble, regular audits of FTC-approved COPPA Safe Harbor programs' technological capabilities and mechanisms for assessing subject operators' fitness for maintaining membership could further strengthen oversight. To that end, the Commission proposes to add a new § 312.11(f) requiring FTC-approved COPPA Safe Harbor programs to submit triennial reports that provide details about those issues.[346] | 委員会は、この前文で説明したFTC承認COPPAセーフハーバープログラムの年次報告書のレビューなど、FTC承認COPPAセーフハーバープログラムに対する現在の監視に加え、FTC承認COPPAセーフハーバープログラムの技術的能力および対象事業者の会員資格維持の適性を評価する仕組みを定期的に監査することで、監視をさらに強化できることに同意する。そのため、委員会は、FTCが承認したCOPPAセーフハーバープログラムに、これらの問題の詳細を提供する3年ごとの報告書の提出を義務付ける新しい§312.11(f)を追加することを提案する[346]。 |
| In terms of transparency, several commenters recommended that the Commission require programs to publish lists of their certified members.[347] One FTC-approved COPPA Safe Harbor program, however, posited that public disclosure of membership lists would lead to the “poaching” of safe harbor members and recommended that the Rule require safe harbors instead to provide service-level certification information to the FTC confidentially.[348] Another disagreed that public disclosure of membership lists would lead to the stealing of members, stating that it has always publicly disclosed the products it has certified.[349] A coalition of consumer groups supported greater transparency and argued that FTC-approved COPPA Safe Harbor programs' current practices with respect to whether and where subject operators display membership seals makes it difficult for parents and others to determine whether websites or online services are participants of an FTC-approved COPPA Safe Harbor program.[350] | 透明性の観点から、複数の意見提出者は、委員会が認定会員のリストを公表するようプログラムに義務付けることを推奨した[347]。しかし、あるFTC承認のCOPPAセーフハーバー・プログラムは、会員リストの公開はセーフハーバー会員の「密猟」につながるとし、代わりにサービスレベル認証情報を内密にFTCに提供するようセーフハーバーに義務付けることを規則に提案した[348]。 別の加盟国は、会員リストの公開が会員の窃盗につながることに反対し、自社が認証した製品は常に公開していると述べた[349]。消費者団体の連合は透明性の向上を支持し、FTCが承認したCOPPAセーフハーバープログラムが、対象事業者が会員シールを表示するかどうか、またどこに表示するかに関して現在行っていることは、保護者などがウェブサイトやオンラインサービスがFTCが承認したCOPPAセーフハーバープログラムの参加者であるかどうかを判断することを困難にしていると主張した[350]。 |
| The Commission proposes requiring that FTC-approved COPPA Safe Harbor programs publish lists of their subject operators. While the Commission understands certain commenters' concerns that the publication of such a list could result in the loss of subject operators to other FTC-approved COPPA Safe Harbor programs, the Commission believes that such concerns are outweighed by the benefits created by increasing transparency around FTC-approved COPPA Safe Harbor programs. Therefore, the Commission proposes adding this requirement as new paragraph § 312.11(d)(4). | 委員会は、FTC承認のCOPPAセーフハーバープログラムが、その対象事業者のリストを公表することを義務付けることを提案する。委員会は、このようなリストの公開により、対象事業者が他のFTC承認COPPAセーフハーバープログラムに流出する可能性があるという特定の意見提出者の懸念を理解しているが、委員会は、FTC承認COPPAセーフハーバープログラムの透明性を高めることによってもたらされる利益に比べれば、そのような懸念は凌駕されると考えている。したがって、委員会は、この要件を新しい段落§312.11(d)(4)として追加することを提案する。 |
| 3. Revocation of Approval of Self-Regulatory Program Guidelines (Current § 312.11(f), Proposed To Be Renumbered as § 312.11(g)) | 3. 自主規制プログラムガイドラインの承認の取り消し(現行§312.11(f)、§312.11(g)への改称提案) |
| Current § 312.11(f), which the Commission proposes to renumber as § 312.11(g) in light of the new proposed § 312.11(f), reserves the Commission's right to revoke the approval of any FTC-approved COPPA Safe Harbor program whose guidelines or implementation of guidelines do not meet the requirements set forth in the Rule. In addition, current § 312.11(f) requires FTC-approved COPPA Safe Harbor programs that the Commission had approved before the Commission amended the Rule in 2013 to submit by March 1, 2013 proposed modifications to bring their guidelines into compliance with the 2013 Rule amendments. | 現行§312.11(f)は、新たに提案された§312.11(f)に照らして、§312.11(g)に改名することを提案しているが、ガイドラインまたはガイドラインの実施が規則に規定された要件を満たしていないFTC承認COPPAセーフハーバープログラムの承認を取り消す権利を委員会に留保している。さらに、現行の§312.11(f)は、2013年に委員会が規則を改正する前に委員会が承認したFTC承認COPPAセーフハーバープログラムに対し、2013年3月1日までにガイドラインを2013年の規則改正に準拠させるための修正案を提出するよう求めている。 |
| Because the March 1, 2013 deadline has passed and is no longer relevant, the Commission proposes to strike from renumbered § 312.11(g) the requirement that FTC-approved COPPA Safe Harbor programs submit proposed modifications to their guidelines. If the Commission proceeds to modify the Rule as discussed in this notice, the Commission will provide an appropriate deadline for safe harbor programs to submit proposed modifications to bring their guidelines into compliance with such amendments. | 2013年3月1日の期限は過ぎ、もはや関連性がないため、委員会は、FTCが承認したCOPPAセーフハーバープログラムがガイドラインの修正案を提出するという要件を、変更後の§312.11(g)から削除することを提案する。委員会が本通知で議論されているように規則の修正を進める場合、委員会は、セーフハーバープログラムがガイドラインを当該修正に準拠させるための修正案を提出するための適切な期限を設ける。 |
| I. Voluntary Commission Approval Processes (16 CFR 312.12) | I. 自主的な委員会の承認プロセス(16 CFR 312.12) |
| The Commission also proposes making a few technical edits in § 312.12(b) to ensure that each reference to the support for the internal operations of the website or online service is consistent with the COPPA statute's use of the phrase “support for the internal operations of the [website] or online service.” [351] | 委員会はまた、ウェブサイトまたはオンラインサービスの内部運営のサポートに関する各参照が、COPPA法令が使用する"[ウェブサイト]またはオンラインサービスの内部運営のサポート "という表現と一致するように、312.12条(b)に技術的な編集を加えることを提案する。 [351] |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.01.19 米国 FTCのブログ プライバシー関連(DNA、データブローカー、子供のプライバシー)
こんにちは、丸山満彦です。
米国では連邦レベルのプライバシー法がなく、連邦レベルでプライバシーを統括的に取り扱う省庁はないのですが、消費者のプライバシーについては、連邦取引委員会 (Federal Trade Commission; FTC) が積極的に対応をしていますね。。。そして、ブログでの情報提供も活発です。
ということで、2024年にはいってから、プライバシーに関連する話題がすでに3つあり、個人情報保護法の見直しに関わっている日本にとっても参考になることがあるかもしれませんね。。。
子供のプライバシーについては規則案についての意見募集がされていますので、別途書きますね。。。
● U.S. Federal Trade Commission; FTC - Bussiness Blog
まずは、DNA関係...
・2024.01.05 The DNA of privacy and the privacy of DNA
| he DNA of privacy and the privacy of DNA |
プライバシーのDNAとDNAのプライバシー |
| Companies selling genetic testing products tout the benefits of DNA-based insights – learning more about health, lineage, family tree – so that consumers can seek medical attention, customize their diet or exercise regimen, find long-lost relatives, or understand more about their background. But for consumers to realize benefits from DNA-based products or services, consumers need to be able to trust their accuracy – and trust that the company’s practices related to the DNA of privacy (data minimization, purpose limitations, retention limits, etc.) will protect the privacy of their DNA. Here are some lessons on privacy, data security, truth in advertising, and artificial intelligence (AI) drawn from a trio of FTC enforcement actions involving sellers of genetic testing products: CRI Genetics, 1Health/Vitagene, and Genelink. | 遺伝子検査製品を販売する企業は、消費者が医療を求めたり、食事や運動療法をカスタマイズしたり、長い間行方不明だった親族を見つけたり、自分の生い立ちをより深く理解したりできるように、健康や家系、家系図について詳しく知るというDNAに基づく洞察の利点を宣伝している。しかし、消費者がDNAに基づく製品やサービスから利益を得るためには、消費者がその正確性を信頼できるようになる必要がある。また、プライバシー(データの最小化、目的の制限、保持の制限など)のDNAに関連する企業の慣行がDNAのプライバシーを保護することを信頼できるようになる必要がある。遺伝子検査製品の販売業者が関与した3件のFTC強制措置から、プライバシー、データセキュリティ、広告の真実性、人工知能(AI)に関する教訓をいくつか紹介しよう: CRI Genetics、1Health/Vitagene、Genelinkである。 |
| Protecting biometric information – including genetic data – is a top FTC priority. Since announcing its Biometric Policy Statement in May 2023, the FTC has settled actions against two sellers of direct-to-consumer DNA testing kits. Why are these cases so important? Genetic data reveals sensitive information not only about consumers’ health, characteristics, and ancestry, but also about their families. While some other data types can be stripped of identifying characteristics, that’s not necessarily the case when it comes to genetic information. Where the sensitivity of the data is high, so too is the risk of harm, particularly in this era of increasing biometric surveillance. The FTC’s actions in Amazon/Alexa and Ring to protect voice recordings and videos further illustrate this point. To stay on the right side of the law, heed the lessons from these cases. | 遺伝子データを含む生体情報の保護は、FTCの最優先事項である。2023年5月にバイオメトリクス政策声明を発表して以来、FTCは消費者向けDNA検査キットの直接販売業者2社に対する訴訟を解決した。なぜこのような事例が重要なのか?遺伝子データは、消費者の健康状態、特徴、家系だけでなく、その家族に関するセンシティブな情報を明らかにする。他のデータタイプの中には、識別特性を取り除くことができるものもあるが、遺伝子情報に関しては必ずしもそうではない。データの機密性が高ければ高いほど、特にバイオメトリクス監視が強化されるこの時代においては、危害のリスクも高くなる。アマゾン/アレクサとリングにおけるFTCの音声記録とビデオの保護に関する措置は、この点をさらに明確に示している。法の正しい側であり続けるために、これらの事例から得た教訓に耳を傾けよう。 |
| Secure genetic data. In both 1Health/Vitagene (consumers may know the company as Vitagene) and Genelink, the FTC charged that sellers of genetic-based products had subpar data security. The FTC’s Vitagene complaint alleges that the company didn’t inventory its genetic data, so it wasn’t even aware that it had stored some of it in a cloud storage “bucket” accessible to the public. In addition, the company allegedly didn’t use access controls, didn’t encrypt that publicly accessible data, didn’t log or monitor access to it, and didn’t remedy the problem even after receiving credible warnings. Genelink preceded Vitagene by about nine years – and yet there are eerie similarities. According to the Genelink complaint, the company maintained sensitive data in clear text, failed to limit employee and contractor access to sensitive data, failed to assess the risks to that data, and didn’t include terms in the contract to require contractors to use safeguards and to allow Genelink to oversee their practices. The data practices described in both complaints are shoddy for any data, but especially for sensitive genetic information, where the risk of harm to consumers from exposure of that data is high. If you collect or store genetic data, you’re on notice that the FTC expects security in line with the sensitivity of the data. | 遺伝子データを保護する。1Health/Vitagene(消費者は同社をVitageneとして知っているかもしれない)とGenelinkの両事件において、FTCは遺伝子に基づく製品の販売者が不十分なデータセキュリティを持っていたことを告発した。FTCの申し立てによると、Vitagene社は自社の遺伝子データをインベントリー化していなかったため、その一部を一般にアクセス可能なクラウドストレージの「バケツ」に保存していたことすら知らなかったという。さらに、同社はアクセス制御を使わず、一般にアクセス可能なデータを暗号化せず、アクセスログも監視もせず、信頼できる警告を受けても問題を改善しなかったとされている。ジェネリンク社はVitagene社より約9年前に設立されたが、不気味な共通点がある。ジェネリンク社の訴状によると、同社は機密データをクリアテキストで管理し、機密データへの従業員や請負業者のアクセスを制限せず、そのデータに対するリスクを評価せず、請負業者にセーフガードの使用を義務づけ、ジェネリンク社がその慣行を監督できるようにする条項を契約に盛り込まなかった。両訴訟で述べられているデータ管理は、どのようなデータに対しても粗雑なものであるが、特に機密性の高い遺伝情報に対しては、そのデータの暴露によって消費者に危害が及ぶリスクが高い。もしあなたが遺伝子情報を収集・保存しているのであれば、FTCはそのデータの機密性に見合ったセキュリティーを期待している。 |
| Secure customer accounts. Securing genetic data doesn’t just mean good network security (although that’s a must). It also means securing customer accounts through which a bad actor could access genetic data or other personal information. The more sensitive the data, the more valuable it may be to bad actors – which means customer accounts are likely targets for hackers. The Ring matter illustrates that point. According to the complaint, the home security camera company failed to take reasonable steps to secure customer accounts against common hacking techniques, including credential-stuffing attacks. (Credential stuffing involves the use of credentials, such as usernames and passwords, obtained from one breached account to gain access to a consumer’s other accounts.) The complaint alleges that Ring only used half-measures to prevent these attacks. For example, Ring made multi-factor authentication available to consumers, but didn’t require them to use it – even though customer accounts were the gateway to highly sensitive information like stored videos and live streams of consumers in private spaces of their homes. If your customer accounts offer data thieves a similar gateway to sensitive data (for example, results from genetic testing), learn from the Ring case and properly secure those accounts. | 顧客アカウントを保護する。遺伝子データの保護は、優れたネットワーク・セキュリティだけを意味しない(それは必須だが)。悪意ある者が遺伝子データやその他の個人情報にアクセスする可能性のある顧客アカウントを保護することも意味する。機密性の高いデータであればあるほど、悪意ある行為者にとってその価値は高くなる。つまり、顧客アカウントはハッカーの標的になりやすいのだ。リングの件はその点をよく表している。訴状によると、このホームセキュリティカメラ会社は、クレデンシャル・スタッフィング攻撃を含む一般的なハッキング手法に対して顧客アカウントを保護する合理的な措置を講じなかった。(クレデンシャル・スタッフィングとは、消費者の他のアカウントにアクセスするために、ある侵害されたアカウントから入手したユーザー名やパスワードなどのクレデンシャルを使用することである)。訴状では、Ring社はこれらの攻撃を防ぐために中途半端な対策しか講じていなかったとしている。例えば、Ring社は多要素認証を利用できるようにしたが、その利用を義務付けていなかった。顧客アカウントは、保存されたビデオや自宅のプライベート空間における消費者のライブストリームなど、機密性の高い情報への入り口であったにもかかわらず。顧客アカウントが、保存されたビデオや消費者の自宅のプライベートな空間でのライブストリームなど、機密性の高い情報への入り口であったにもかかわらずである。もし自社の顧客アカウントが、データ窃盗犯にとって機密性の高いデータ(例えば、遺伝子検査の結果)への同様の入り口となるのであれば、リング社の事例から学び、それらのアカウントを適切に保護すべきである。 |
| Don’t oversell: Can you support your accuracy claims about genetic testing? Be careful not to exaggerate your claims about your genetic testing product. There’s a line between puffery and deception that you don’t want to cross. According to the CRI Genetics complaint, the company – among other things – overstated the accuracy of their test results (“accuracy greater than 99.9%”) and falsified reviews. Here’s the truth about DNA testing for ancestry: Companies estimate consumers’ ancestry by comparing consumers’ DNA with the companies’ proprietary DNA reference data. Their algorithms “predict” consumers’ ancestry, with varying margins of error. DNA testing for ancestry is, therefore – at best – an estimation of ancestry, not a precise science. The Genelink complaint alleges that the company claimed their genetically customized nutritional supplements could treat diabetes, heart disease, arthritis, insomnia, and other health conditions – all without scientific support. When making claims about the accuracy of genetic testing or the purported benefits of DNA-related products, stick with reliable science. If you don’t have a reasonable basis to support your claim, don’t make it in the first place. | 過剰な売り込みは禁物だ: 遺伝子検査の精度を裏付けることができるか?遺伝子検査製品に関する主張を誇張しないように注意すること。誇大広告と欺瞞の間には、越えてはならない一線がある。CRIジェネティクスの訴状によると、同社はとりわけ、検査結果の正確さを誇張し(「99.9%以上の正確さ」)、レビューを改ざんした。先祖のDNA検査についての真実はこうだ: 各社は、消費者のDNAを各社独自のDNA参照データと比較することによって、消費者の先祖を推定する。各社のアルゴリズムは、消費者の先祖を「予測」するが、その誤差はさまざまである。したがって、先祖のDNA鑑定は、せいぜい先祖の推定であって、正確な科学ではない。ジェネリンク社の訴状によると、同社は遺伝子レベルでカスタマイズした栄養補助食品で糖尿病、心臓病、関節炎、不眠症、その他の健康状態を治療できると主張しているが、これらはすべて科学的裏付けがない。遺伝子検査の正確性やDNA関連製品の効能について主張する場合は、信頼できる科学にこだわること。主張を裏付ける合理的な根拠がないのであれば、最初から主張しないことだ。 |
| The FTC is watching how companies use – and claim to use – Artificial Intelligence. DNA algorithms are no exception. It’s no secret that the FTC is focused on making sure that consumers can enjoy the benefits of AI without suffering substantial harms like bias, privacy invasions (Amazon/Alexa and Ring), or questionable accuracy (WealthPress, DK Automation, Automators AI). That holds true when it comes to “DNA algorithms.” In the CRI Genetics matter, the FTC alleged that the “patented DNA algorithm” the company touted in its ads was not in fact patented and didn’t generate the highly accurate results the company claimed. In this age of AI, some companies may be tempted to use loose talk about AI and algorithms, perhaps as a means of conveying technological sophistication. Watch out. If you’re promoting your AI or algorithm, make sure your claims don’t deceive or otherwise harm consumers. | FTCは、企業がどのように人工知能を使用するか、また使用すると主張するかを注視している。DNAアルゴリズムも例外ではない。FTCが、偏見やプライバシーの侵害(Amazon/Alexa、Ring)、疑わしい正確性(WealthPress、DK Automation、Automators AI)といった実質的な損害を被ることなく、消費者がAIの恩恵を享受できるようにすることに注力しているのは周知の通りだ。それは "DNAアルゴリズム "に関しても当てはまる。CRIジェネティクスの件では、FTCは、同社が広告で宣伝していた「特許取得済みのDNAアルゴリズム」が実際には特許を取得しておらず、同社が主張するような高精度の結果を生成していなかったと主張した。このAIの時代において、一部の企業はAIやアルゴリズムについて、おそらく技術的な洗練を伝える手段として、緩い話を使いたくなるかもしれない。気をつけよう。AIやアルゴリズムを宣伝するのであれば、その主張が消費者を欺いたり、損害を与えたりしないように気をつけよう。 |
| The FTC has a strong track record of challenging deceptive or unfair dark patterns, including when it comes to obtaining “consent” for the use and disclosure of genetic data. Recent enforcement actions like Amazon/Prime, Publishers Clearinghouse, and Vonage demonstrate the high priority the FTC places on challenging allegedly illegal dark patterns – manipulative designs that coerce consumers into decisions they wouldn’t knowingly agree to make. The CRI Genetics matter reinforces this point. According to the complaint, the company used dark patterns – confusing pop-ups and directions, bogus “rewards,” claimed urgency – to push consumers into buying more. In the ongoing battle against illegal dark patterns, the orders in both CRI Genetics and Vitagene require the companies to obtain “affirmative express consent” – consent that precludes the use of dark patterns – for future uses or disclosures of genetic data. Companies are on notice that they shouldn’t be using dark patterns to get consent. | FTCは、遺伝子データの使用と開示に関する「同意」の取得を含め、欺瞞的または不公正な暗黒パターンに異議を申し立ててきた強力な実績がある。Amazon/Prime、Publishers Clearinghouse、Vonageのような最近の強制措置は、FTCが違法とされるダーク・パターン(消費者が故意に同意しないような意思決定を強要する操作的なデザイン)に挑戦することに高い優先順位を置いていることを示している。CRIジェネティックスの件は、この点を補強している。訴状によると、同社は消費者をさらに購入させるために、混乱させるようなポップアップや案内、偽の「報酬」、主張する緊急性など、ダークパターンを使用していた。違法なダークパターンとの戦いが続く中、CRIジェネティクス社とVitagene社の両社に対する命令では、遺伝子データの今後の使用や開示について、「肯定的明示的同意」(ダークパターンの使用を排除する同意)を得るよう求めている。企業は、同意を得るためにダークパターンを使うべきではないことを知らされている。 |
| Don’t commit a foul when changing the rules of the game. The Vitagene order includes that “affirmative express consent” requirement because the company had allegedly changed its terms on a key issue – but the company didn’t get real consent from consumers for this material retroactive change. According to the complaint, changing the rules of the game in the privacy policy was unfair, even though the company hadn’t yet implemented the change. The bottom line is that consumers should know what to expect from your data practices. A bait-and-switch approach to collecting personal information (especially genetic data) doesn’t fit with the FTC Act’s requirements. | ゲームのルールを変えるときに反則を犯してはならない。Vitagene社の命令には、同社が重要な問題に関して規約を変更したとされるため、その「肯定的明示的同意」要件が含まれている-しかし、同社はこの重大な遡及的変更について消費者から真の同意を得ていない。訴状によると、プライバシーポリシーでゲームのルールを変更することは、同社がまだその変更を実施していなかったにもかかわらず、不公正であったという。要するに、消費者は貴社のデータ慣行に何を期待すべきかを知るべきだということだ。個人情報(特に遺伝子データ)を収集するためのおとり商法的なアプローチは、FTC法の要件に適合しない。 |
| Nothing but the truth. According to the FTC’s complaint in Vitagene, the company made detailed privacy promises – for example, about how it stored genetic data and destroyed genetic samples – but didn’t deliver on those promises. The company made these promises prominently (a good thing!), including on a page dedicated to genetic privacy. But, according to the complaint, rather than storing genetic data without identifying information, it stored results with names and other personal information. When the time came to delete genetic data, the company couldn’t delete it because they didn’t even know where some of it was stored – meaning that they broke that promise, too. And the company failed to have a process in place – through contractual obligations, in particular – to ensure that third-party labs destroyed genetic samples after testing. The upshot: If you’re selling genetic testing products (or any product, for that matter), you owe consumers nothing less than the truth. | 真実以外の何ものでもない。Vitagene社におけるFTCの訴状によると、同社は、例えば、遺伝子データの保存方法や遺伝子サンプルの破棄方法など、詳細なプライバシーに関する約束をしたが、その約束を履行しなかった。 同社は、遺伝子のプライバシーに特化したページを含め、これらの約束を目立つようにした(良いことだ!)。しかし、訴状によると、同社は遺伝子データを識別情報なしで保存するのではなく、名前やその他の個人情報とともに保存していた。遺伝子データを削除する時期が来ても、同社はその一部がどこに保存されているのかさえ知らなかったため、削除することができなかった。また、同社は、特に契約上の義務を通じて、サードパーティの研究所が検査後に遺伝子サンプルを確実に破棄するためのプロセスを整備していなかった。結論はこうだ: もしあなたが遺伝子検査製品(あるいはどのような製品であれ)を販売しているのであれば、消費者に対して真実以外の何ものでもない。 |
| The consequences for ignoring these warnings can be significant. In both recent genetic testing matters, the companies ended up paying substantial financial settlements, either as civil penalties under California state law (CRI Genetics) or for consumers redress (Vitagene). Furthermore, the orders in both cases required the companies to delete or destroy certain valuable biometric data or materials. These remedies were on top of other order provisions, such as prohibitions on misrepresentations, required notice to consumers of the FTC’s action, mandates to obtain affirmative express consent for the future use or disclosure of genetic data, and a mandated security program with independent assessments. It’s clear that the consequences of non-compliance with the FTC Act and other laws can be significant. Your best bet is to stay on the right side of the law by following these lessons. | これらの警告を無視した場合の結果は重大である。最近の遺伝子検査に関する両事件において、企業はカリフォルニア州法に基づく民事罰(CRIジェネティクス社)、あるいは消費者の救済(Vitagene社)として、多額の金銭的和解金を支払うことになった。さらに、両事件の命令は、企業に対し、特定の貴重なバイオメトリック・データや資料を削除または破棄することを要求した。これらの救済措置は、不当表示の禁止、FTCの措置に関する消費者への通知の義務付け、遺伝子データの将来的な使用または開示に関する肯定的な明示的同意の取得の義務付け、独立機関による評価を伴うセキュリティプログラムの義務付けなど、他の命令規定に加えて行われた。FTC法やその他の法律を遵守しなかった場合の結果が重大なものになることは明らかである。最善の策は、これらの教訓に従って法の正しい側にとどまることである。 |
つぎにデータブローカ...
| What goes on in the shadows: FTC action against data broker sheds light on unfair and deceptive sale of consumer location data< | 影で何が起こっているのか: データ・ブローカーに対するFTCの措置は、消費者の位置情報の不公正で欺瞞的な販売に光を当てるものである。 |
| SCENE: A crowded city or a dark street. (Cue ominous music) | シーン:混雑した街や暗い通り。(不吉な音楽が流れる) |
| ACTION: The camera focuses on the protagonist as they make their way to a location – maybe it’s a place of worship, a doctor’s office, or a reproductive health clinic. They think they’re alone, but what they don’t know is that they’re being tailed. What’s more, highly personal information regarding their whereabouts will be shared with third parties, all without their knowledge or consent. | アクション:カメラは主人公に焦点を合わせ、ある場所(礼拝所、医院、生殖医療クリニックなど)に向かう。彼らは自分たちだけだと思っているが、尾行されていることを知らない。しかも、彼らの居場所に関する極めて個人的な情報が、彼らの知らないところで、あるいは同意なしに第三者と共有されるのだ。 |
| A private eye novel? A detective thriller on a streaming service? No. According to a proposed settlement announced by the FTC, it was all in a day’s work for data broker X-Mode Social, which has billed itself as the “2nd largest US location data company.” The FTC says X-Mode and its corporate successor Outlogic, LLC sold consumers’ raw location data without their informed consent and without placing effective limits on how X-Mode’s customers used the sensitive information it bought from X-Mode. | 私立探偵小説?ストリーミングサービスの探偵スリラー?いや、FTCが発表した和解案によると、データブローカーであるX-Mode Socialは、自らを "米国第2位の位置情報データ会社 "と称している。FTCによると、X-Modeとその後継企業であるOutlogic, LLCは、消費者の生の位置情報データを、消費者のインフォームド・コンセントなしに、またX-Modeの顧客がX-Modeから購入した機密情報をどのように使用するかに効果的な制限を設けることなく販売していたという。 |
| Data broker X-Mode collected precise consumer geolocation data from a wide variety of sources: third-party apps with X-Mode’s software development kit (SDK) built in, its own mobile apps, and information it bought from other data brokers and aggregators. The company then compiled consumers’ location data and sold it to hundreds of clients for advertising, brand analytics, and other marketing purposes. According to the complaint, the company also sold it to private government contractors. The FTC says this was done without consumers’ informed consent and without disclosing all of the purposes for which consumers’ data would be used. And it’s the reality of the data broker industry that, in many cases, consumers had no idea who X-Mode is or that they were X-Mode’s “product.” | データブローカーのX-Modeは、X-Modeのソフトウェア開発キット(SDK)が組み込まれたサードパーティーのアプリ、自社のモバイルアプリ、他のデータブローカーやアグリゲーターから購入した情報など、さまざまなソースから消費者の正確な位置情報を収集した。同社はその後、消費者の位置情報をまとめ、広告、ブランド分析、その他のマーケティング目的で数百のクライアントに販売した。訴状によると、同社はそれを民間の政府請負業者にも販売していた。FTCによると、これは消費者のインフォームド・コンセントなしに、また消費者のデータが使用されるすべての目的を開示することなく行われたという。そして、多くの場合、消費者はエックスモードが誰なのか、あるいは自分がエックスモードの "商品 "であることを知らなかったというのが、データ・ブローカー業界の現実である。 |
| How personal was the data X-Mode compiled and sold? It wasn’t an anonymous aggregation of zeroes and ones. According to the FTC, the data X-Mode sold was capable of matching an individual consumer’s mobile device with the exact locations they visited. (In fact, some companies offer services to match that data to individual consumers.) How targeted was the information? X-Mode advertised that its location data “is 70% accurate within 20 meters or less.” And how vast was the data set X-Mode collected? According to the complaint, “Through its own apps, partner apps, and other data brokers, X-Mode daily has ingested over 10 billion location data points from all over the world.” | X-Modeが集計し、販売したデータはどの程度個人的なものだったのだろうか?それは、匿名の0と1の集合体ではなかった。FTCによると、X-Modeが販売したデータは、消費者個人のモバイル・デバイスと、彼らが訪問した正確な場所を照合することが可能だったという。(実際、そのデータと個々の消費者を照合するサービスを提供している企業もある)。X-Modeの位置情報はどの程度的を絞っていたのだろうか?X-Modeは、その位置情報は「20メートル以内の精度が70%」と宣伝していた。X-Modeが収集したデータセットはどれほど膨大なものだったのか?訴状によると、「自社アプリ、パートナーアプリ、その他のデータブローカーを通じて、X-Modeは毎日世界中から100億以上の位置情報データを収集している」という。 |
| The FTC says that until May 2023, the company didn’t have policies in place to remove sensitive locations from the raw location data it sold. In addition, the company didn’t implement appropriate safeguards for how its clients used that data, putting consumers’ sensitive personal information at risk. The complaint also alleges the company failed to employ necessary technical safeguards and oversight to ensure that it honored requests by some Android users to opt out of tracking and personalized ads. | FTCによれば、同社は2023年5月まで、販売した生の位置情報データから機密性の高い位置情報を削除するポリシーを持っていなかったという。さらに、同社はクライアントがそのデータをどのように使用するかについて適切な保護措置を講じておらず、消費者の機密個人情報を危険にさらしていた。さらに同社は、トラッキングやパーソナライズされた広告のオプトアウトを求める一部のアンドロイド・ユーザーの要求に応じるために、必要な技術的セーフガードや監督を怠っていたとしている。 |
| The complaint describes the kinds of threats to consumers’ privacy posed by X-Mode’s conduct. For example, “[T]he location data could be used to track consumers who have visited women’s reproductive health clinics and as a result, may have had or contemplated sensitive medical procedures such as an abortion or in vitro fertilization. Using the data X-Mode has made available, it is possible for third parties to target consumers visiting such healthcare facilities and trace that mobile device to a single-family residence.” | 訴状では、エックスモードの行為が消費者のプライバシーにもたらす脅威の種類を説明している。例えば、「位置情報は、女性のリプロダクティブ・ヘルス・クリニックを訪れた消費者を追跡するために使用される可能性があり、その結果、中絶や体外受精などのデリケートな医療処置を受けた、または考えている可能性がある。X-Modeが利用可能にしたデータを使えば、第三者がそのような医療施設を訪れた消費者をターゲットにし、そのモバイル・デバイスを一戸建ての住宅まで追跡することが可能になる」。 |
| Furthermore, X-Mode has used consumers’ geolocation data to create catalogs of people with shared characteristics and has even created custom lists for clients. For example, X-Mode had a contract with a private clinical research company to provide information about consumers who had visited certain medical offices in the Columbus, Ohio area – data the company wanted for marketing purposes. | さらに、エックスモードは消費者のジオロケーションデータを利用して、共通の特徴を持つ人々のカタログを作成し、クライアントのためにカスタムリストを作成したこともある。たとえば、X-Modeは民間の臨床研究会社と契約し、オハイオ州コロンバス地域の特定の医療機関を受診した消費者に関する情報を提供していた。 |
| The seven-count complaint charges X-Mode/Outlogic with multiple instances of unfair or deceptive conduct, in violation of the FTC Act. To settle the case, the company has agreed to make major changes to how it does business going forward. Among other things, the proposed order puts substantial limits on sharing certain sensitive location data and requires the company to develop a comprehensive sensitive location data program to prevent the use and sale of consumers’ sensitive location data. X-Mode/Outlogic also must take steps to prevent clients from associating consumers with locations that provide services to LGBTQ+ individuals or with locations of public gatherings like marches or protests. In addition, the company must take effective steps to see to it that clients don’t use their location data to determine the identity or location of a specific individual’s home. And even for location data that may not reveal visits to sensitive locations, X-Mode/Outlogic must ensure consumers provide informed consent before it uses that data. Finally, X-Mode/Outlogic must delete or render non-sensitive the historical data it collected from its own apps or SDK and must tell its customers about the FTC’s requirement that such data should be deleted or rendered non-sensitive. | 7つの訴因からなる訴状は、X-Mode/Outlogic社をFTC法に違反する複数の不公正または欺瞞的行為で告発している。この訴訟を解決するため、同社は今後のビジネス方法を大幅に変更することに同意した。特に、今回の命令案では、特定の機密位置情報の共有に大幅な制限を設け、消費者の機密位置情報の使用と販売を防止するための包括的な機密位置情報プログラムの開発を同社に要求している。また、X-Mode/Outlogic社は、LGBTQ+の人々にサービスを提供する場所や、行進や抗議活動のような公共の集まりの場所と消費者が関連付けられることを防ぐための措置を講じなければならない。さらに同社は、クライアントが特定の個人の身元や自宅の場所を特定するために位置情報を使用しないよう、効果的な措置を講じなければならない。また、機密性の高い場所への訪問を明らかにしない位置情報データであっても、X-Mode/Outlogicは、そのデータを使用する前に、消費者がインフォームド・コンセントを提供することを保証しなければならない。最後に、X-Mode/Outlogicは、自社のアプリやSDKから収集した履歴データを削除するか、非機微なものにしなければならず、そのようなデータは削除するか、非機微なものにすべきであるというFTCの要求について顧客に伝えなければならない。 |
| Another noteworthy aspect of the proposed settlement: X-Mode/Outlogic must give consumers an easy way to withdraw their consent for the collection and use of their location data, to require the deletion of any location data that was previously collected, and to request the identity of any individual and business to whom their personal data has been sold or shared. Once the proposed settlement is published in the Federal Register, the FTC will accept public comments for 30 days. | 和解案でもう一つ注目すべき点がある: X-Mode/Outlogicは、位置情報の収集と使用に関する同意を撤回する簡単な方法を消費者に提供し、過去に収集された位置情報の削除を要求し、個人データが販売または共有された個人や企業の身元を要求しなければならない。和解案が連邦官報に掲載されると、FTCは30日間パブリックコメントを受け付ける。 |
| The FTC’s action is this case suggests three fundamental principles about the privacy of consumers’ location data. | 今回のFTCの行動は、消費者の位置情報のプライバシーに関する3つの基本原則を示唆している。 |
| The status quo is a “no go” when it comes to the collection and sale of consumer location information. Many companies have made a practice of suctioning up every available piece of location data and compiling mountains of highly sensitive information without consumers’ consent. What some businesses haven’t grasped – including some data brokers who operate behind the scenes and in the shadows – is that consumers’ personal information isn’t just another “raw material” for companies to exploit commercially. That’s especially true for location data. Just because your business has access to location information doesn’t mean you’re free to use it any way you choose. | 消費者の位置情報の収集と販売に関しては、現状は「ノー・ゴー」である。多くの企業は、消費者の同意なしに、利用可能なあらゆる位置情報を吸い上げ、機密性の高い情報を山のようにまとめることを実践してきた。陰で暗躍するデータブローカーを含め、一部の企業が把握していないのは、消費者の個人情報は企業が商業的に利用するための単なる「原材料」ではないということだ。位置情報については特にそうだ。企業が位置情報にアクセスできるからといって、それをどのように使おうと自由というわけではない。 |
| Contract clauses about data use are a start, but they’re not enough. According to the complaint, in some instances, X-Mode’s contracts with clients included clauses that at least facially appeared to put limits on third parties’ use of data – but words on a piece of paper aren’t enough. When the stakes are so high, privacy-conscious companies can’t just talk the talk. They need to take steps to ensure compliance. | データ利用に関する契約条項は手始めにはなるが、それだけでは不十分である。訴状によると、X-Modeの顧客との契約には、少なくとも表面的には第三者によるデータ利用に制限を設けるように見える条項が含まれている場合がある。しかし、紙に書かれた言葉だけでは十分ではない。利害が非常に大きくなるとき、プライバシーに配慮する企業は口先だけでは済まされない。コンプライアンスを確保するための措置を講じる必要がある。 |
| Because the unauthorized and illegal trafficking in location data is a key concern for consumers and the FTC, it should matter to your company. Whose responsibility is it to ensure that consumers have consented to the collection and sharing of their location information? Savvy businesses assume it’s theirs. That legal obligation is a two-way street. Information about particularly sensitive locations, like where people worship or seek medical help, shouldn’t be used at all. And don’t sell other location data – and don’t buy it – without proof of informed consumer consent. Although every participant in the location data marketplace is responsible for complying with the law, the FTC’s action in this case sends a specific message to location data brokers to re-evaluate their practices for legal compliance. | 位置情報の不正かつ違法な売買は、消費者やFTCにとって重要な懸念事項であるため、貴社にとっても重要な問題であるはずだ。 消費者が位置情報の収集と共有に同意していることを確認する責任は誰にあるのだろうか?賢明な企業は、それが自社の責任だと考えている。その法的義務は双方向のものだ。人々が礼拝をする場所や医療を受ける場所など、特にセンシティブな場所に関する情報は、一切使用すべきではない。また、インフォームドコンセントを受けた消費者の証明なしに、他の位置情報を販売したり、購入したりしてはならない。位置情報市場のすべての参加者は法律を遵守する責任があるが、今回のFTCの措置は、位置情報データブローカーに対して、法律遵守のためにその慣行を再評価するよう具体的なメッセージを送っている。 |
つぎは子供のプライバシー...
これは、規則の改定案もあるので、別に書きますね。。。
・2024.01.11 FTC is taking another look at COPPA and kids’ online privacy – and we want your insights
| FTC is taking another look at COPPA and kids’ online privacy – and we want your insights | FTCはCOPPAと子供のオンライン・プライバシーを再検討している。 |
| The FTC announced proposed revisions to the Children’s Online Privacy Protection Act (COPPA) Rule on December 20, 2023. The online portal to file public comments is now open and the FTC welcomes your feedback by the March 11, 2024, deadline. | FTCは2023年12月20日、児童オンラインプライバシー保護法(COPPA)規則の改定案を発表した。現在、パブリックコメントを提出するためのオンラインポータルが開設されており、FTCは2024年3月11日の期限までに意見を提出することを歓迎している。 |
| You’ll want to read the Notice of Proposed Rulemaking to see what’s on the table. Some of the suggested updates address changes in technology, such as limiting push notifications to kids. Others aim to clarify and streamline the COPPA Rule and strengthen data security. And still others are designed to strengthen how children’s personal information is protected online with an aim to ensure that parents – not companies – are in charge. For example, the proposal would require targeted advertising to kids to be off by default. | 提案された規則がどのようなものであるかは、提案された規則作成の通知を読んでいただきたい。提案されている更新案の中には、プッシュ通知を子供に限定するなど、テクノロジーの変化に対応するものもある。また、COPPA規則の明確化と合理化、データセキュリティの強化を目指すものもある。また、企業ではなく保護者が主導権を握ることを目的に、子どもの個人情報をオンラインで保護する方法を強化するものもある。例えば、この提案では、子供向けのターゲット広告はデフォルトでオフにすることを義務付けている。 |
| It's easy to let your voice be heard. Consider the questions asked in the Notice, read the proposed revisions to the COPPA Rule, and file a comment online through Regulations.gov. Simply click the SUBMIT A FORMAL COMMENT button and start typing. | あなたの声を届けるのは簡単だ。通知で問われている質問を検討し、COPPA規則の改定案を読み、Regulations.govを通じてオンラインで意見を提出する。SUBMIT A FORMAL COMMENT」ボタンをクリックして入力を始めるだけだ。 |
| Don’t be put off by the word “formal.” Of course, we welcome submissions from researchers, academics, and businesses of any size, but comments don’t need to have footnotes or charts ‘n’ graphs. A critically important part of the public comment process is to listen to the practical perspectives of parents who deal with COPPA regularly. Let us know where you stand on the FTC’s proposal to strengthen the COPPA Rule. | 形式的 という言葉に気後れしないでほしい。もちろん、研究者、学者、企業など、規模の大小を問わず提出を歓迎するが、コメントには脚注や図表は必要ない。パブリックコメントのプロセスで決定的に重要なのは、COPPAを日常的に扱っている保護者の実践的な視点に耳を傾けることである。FTCのCOPPAルール強化案について、あなたの立場を教えてほしい。 |
| File your public comment by March 11, 2024. | 2024年3月11日までにパブリックコメントを提出すること。 |
こんにちは、丸山満彦です。
日本経団連と、英国国家サイバー諮問委員会 (National Cyber Advisory Board; NCAB) が国際的な官民連携を進めるために、覚書に締結したようですね。。。
英国は、金融庁のJapan Fintech Week 2024にも協力していますし、昨年から日本との関係強化に積極的のように見えますね。。。
なお、外務省の英国に関するウェブページはこちらです。。。
さて、経団連の覚書の件ですが、こちらです。。。
同じ考え方の国同士なので、協力しましょうということですかね。。。
規制等の調和の話もありますね。。。
そういえば、昔、今のISMS制度を立ち上げた時のメンバーの1人なのですが、
当時の国の認定を廃止して民間に移そう、、、という流れの中で、経済産業省認定の安全対策事業者認定制度を廃止することが決まり、その受け皿を考えることになったのですが、その際に、私は当時の英国で始まったばかりの情報セキュリティマネジメントシステム認証(いわば、情報セキュリティ版ISOQ9001)を強くおして、いろいろな反対を押し切って、BS7799という英国標準をベースにした認証制度をつくったわけですが、結果的にBS7799は国際標準になり、当時は日本が一番認証取得が多い国になっていましたようね。。。
その時に、英国標準をそのまま使うのは日本としてはどうか?という話になり、ほぼ翻訳(一部日本風にアレンジして)、ISMSの規格としてつくったんですよね。。。懐かしい話ですね。。。
あっ、この覚書の日本側のSignerは遠藤さんですね。。。
● 日本経済団体連合会
・[PDF]
日本語仮訳...
・2024.01.17 サイバー分野における官民連携に関するNCABと経団連の協力覚書
・[PDF]
| Memorandum of Cooperation between the National Cyber Advisory Board of the United Kingdom and Keidanren on Public-Private Partnerships in Cyber | サイバー分野における官民連携に関するNCABと経団連の協力覚書 |
| The National Cyber Advisory Board of the United Kingdom and Keidanren (Japan Business Federation) (hereinafter referred to individually as a "Participant" and collectively as the "Participants"); | 英国国家サイバー諮問委員会(NCAB:National Cyber Advisory Board)と経団連は、以下の内容について合意した。 |
| Recognising the centrality of a "whole of system" approach and public-private partnership for an inclusive and engaged national and international dialogue on cyber; | サイバー分野に関する包括的かつ積極的に関与する、国内および国際的な対話のための官民連携の重要性を認識する。 |
| Committing to a cyberspace that is free, fair, and secure, adheres with international law, maximises opportunities for economic growth and realises Society 5.0 for UN Sustainable Development Goals and Data Free Flow with Trust; | 自由、公正かつ安全で、国際法を遵守し、経済成長の機会を最大化し、Society 5.0 for SDGsとDFFT(信頼性のある自由なデータ流通)を実現するサイバー空間にコミットする。 |
| Seeking to ensure a Free and Open Indo-Pacific; build on the enhanced global strategic partnership between the UK and Japan as outlined in the Hiroshima Accord: an Enhanced Japan-UK Global Strategic Partnership; and deliver on the UK-Japan Cyber Partnership and the Memorandum of cooperation on people-to-people exchanges; | 自由で開かれたインド太平洋(FOIP)を確保:「強化された日英のグローバルな戦略的パートナーシップに関する広島アコード」を基礎とし、日英サイバーパートナーシップおよび人的交流に関する協力覚書の実現を目指す。 |
| Have reached the following recognition. | |
| Paragraph 1 | 第1項 |
| Purpose | 目的 |
| The purpose of this Memorandum of Cooperation (hereinafter referred to as the "MoC") is to deepen public-private partnerships in cyber between the UK and Japan. | この協力覚書(以下、MoC)の目的は、日英間のサイバー分野における官民連携を深化させることである。 |
| Paragraph 2 | 第2項 |
| Areas of cooperation | 協力分野 |
| 1. Participants will cooperate in the following areas: | 両者は以下の分野で協力する: |
| 2. Building on the first "Japan-UK Cyber Partnership Mission" held in January 2024, convene regular engagements to deepen the Participants collaboration, share updates on national approaches and discuss current and emerging trends in cyberspace. | 2024年1月に実施された第1回「日英サイバー協力ミッション」を踏まえ、両者の協力関係を深めつつ、各国の取組みに関する最新情報を共有し、サイバー空間における現状および新たな動向について議論するために、定期的に会合を開催する。 |
| 3. Develop and improve board of directors awareness on the need for cyber resilience, including supply chain protection. | サプライチェーン防護を含む、サイバーレジリエンスの必要性に関する経営層の認識を向上させる。 |
| 4. Identify solutions to the cyber skills shortage with a focus on professionalisation, best practice recruitment and targeted training support for entry level talent. | 専門化、ベストプラクティスの採用、入門レベルに焦点を当てた人材育成等を通じて、サイバースキル不足に対する解決策を見出す。 |
| 5. Strengthen public-private collaboration on cyber resilience in context of future crises or conflicts. | 将来の危機や紛争に備えたサイバーレジリエンスに関する官民連携を強化する。 |
| 6. Foster the growth of sustainable, innovative and internationally competitive cyber and information security sectors, harnessing quality products and services to meet the needs of government and the wider economy. | 持続可能で革新的、かつ国際競争力のあるサイバーセキュリティ・情報セキュリティ分野の成長を促進し、質の高い製品とサービスを活用して政府ならびに広範な経済のニーズに応える。 |
| 7. Build a broader understanding of the threat posed by the irresponsible proliferation and use of advanced commercial cyber capabilities. | 高度で営利的なサイバー能力が無責任に広がり使用されることによってもたらされる脅威について、より広範な理解を醸成する。 |
| 8. Discuss current and anticipated cyber regulation, balancing the need for safety and innovation. Where possible, assist in realising harmonisation of regulation and standards to generate cross-border value creation. | 安全性とイノベーションのバランスを取りながら、現状や今後予想されるサイバー規制について議論する。国境を越えた価値を創造するための規制や標準・規格の調和の実現を支援する。 |
| 9. Where practicable, expand cooperation to include like-minded organisations with shared values. | 価値観を共有する同志国・地域の機関を包含するための協力を拡充する。 |
| Paragraph 3 | 第3項 |
| Implementation and Governance | 実行と統制 |
| 1. The Participants intend to implement the MoC through existing channels of engagement, bringing in relevant senior officials and experts as needed and where relevant. | 1. 両者は、必要に応じて関係する高官や専門家を招き、本MoCを実施する。 |
| 2. The Participants will oversee the implementation of the MoC using relevant channels, including public and private engagements. | 2. 両者は、官民の枠組みを利用して、本MoCの実施を監督する。 |
| 3. Any dispute arising out of the implementation of this MoC will be settled amicably through consultation between the Participants. | 3. 本MoCに起因する紛争は、両者の協議を通じて友好的に解決する。 |
| Paragraph 4 | 第4項 |
| Commencement, Duration, Modification and Discontinuation | 開始、期間、変更および中止 |
| 1. This MoC is not legally binding and does not give rise to any rights or obligations under domestic or international law, nor does it preclude any new areas of cooperation as identified by the Participants. | 1. 本MoCは法的拘束力を持たず、国内法または国際法上の権利・義務を生じさせるものではない。また、両者が新たな協力分野を設定することを排除するものでもない。 |
| 2. This MoC will commence on the date of its signature by the Participants. Each Participant may discontinue this MoC by giving written notice to the other Participant of the intention to discontinue three (3) months in advance. | 2. 本MoCは、両者が署名した日に効力が発生する。本MoCを破棄したい場合は、3か月前にその意向をもう一方に書面で通知することで破棄できる。 |
| 3. This MoC may be modified at any time in writing by mutual consent of the Participants. Such modification will commence on the date mutually determined by the Participants and form an integral part of this MoC. | 3. 本MoCは、両者の合意により、いつでも書面により変更できる。かかる変更は、両者が決定した日に効力が発生する。 |
| 4. The discontinuation of this MoC will not affect the ongoing collaboration activities unless otherwise decided by the Participants. | 4. 本MoCを破棄することは、両者が特段の決定をしない限り、継続中の協力活動に影響を与えない。 |
| The foregoing represents the recognitions reached between the National Cyber Advisory Board of the United Kingdom and Keidanren (Japan Business Federation) on the matters referred to therein. | 上記は、NCABと経団連の双方で言及した事項に関する合意を示すものである。 |
| Signed in London, United Kingdom on 17 January 2024, in two originals in English, both copies having equal value. | 本MoCは2024年1月17日に編纂され、英国ロンドンにて2本の正本に署名された。英文、和文ともに同じ価値を有する。 |
| ENDO Nobuhiro | 経団連 副会長 |
| Vice Chair, Keidanren | サイバーセキュリティ委員長 |
| Chair, Committee on Cyber Security, | 遠藤 信博 |
| Keidanren | |
| The Rt Hon Oliver Dowden CBE MP | 副首相/ランカスターハウス公領大臣 |
| Deputy Prime Minister | NCAB共同代表 |
| and Chancellor of the Duchy of Lancaster | オリバー・ダウデン |
| Co-Chair, The National Cyber Advisory Board | |
| Sharon Barber | ロイズ・バンキング・グループCIO |
| Chief Information Officer, Lloyds Banking Group | NCAB共同代表 |
| Co-Chair, The National Cyber Advisory Board | シャロン・バーバー |
こんにちは、丸山満彦です。
金融庁が、コーポレートガバナンス改革に向けた取組みに関するウェブページを開設していますね。。。
関連する文書が一つにまとまって見やすくなりました。。。
● 金融庁
・コード・ガイドライン
・・[PDF] スチュワードシップ・コード
(参考)スチュワードシップ・コードの受入れを表明した機関投資家のリストの公表について
・・[PDF] コーポレートガバナンス・コード(東京証券取引所)
・・[PDF] 投資家と企業の対話ガイドライン
コーポレートガバナンス改革の実質化に向けたアクション・プログラム
コーポレートガバナンス改革の実質化に向けたアクション・プログラム
関連施策
スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議等
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.06.13 金融庁 「コーポレートガバナンス・コードと投資家と企業の対話ガイドラインの改訂について」の公表について
・2021.04.05 コーポレートガバナンス・コード改訂(案)
・2021.03.30 英国 意見募集 監査とコーポレートガバナンスに対する信頼の回復:改革に対する提案 at 2021.03.18
こんにちは、丸山満彦です。
2023.11に欧州理事会と欧州議会で合意されたサイバーレジリエンス法案が、欧州議会での投票に向けて手続きを開始しましたね。。。
もともとの、委員会の原案と議会案は見ていたのでが、今回変更箇所が多かったので確認は必要かもですね。。。
欧州議会で投票にかけられることになった法案...
⚫︎ Council of the European Union
・[DOCX] 仮訳
法案の目次的なもの...
| CHAPTER I | GENERAL PROVISIONS | 第1章 | 一般規定 |
| Article 1 | Subject matter | 第1条 | 主題 |
| Article 2 | Scope | 第2条 | 適用範囲 |
| Article 3 | Definitions | 第3条 | 定義 |
| Article 4 | Free movement | 第4条 | 自由移動 |
| Article 4a | Procurement or use of products with digital elements | 第4a条 | デジタル要素を含む製品の調達又は使用 |
| Article 5 | Requirements for products with digital elements | 第5条 | デジタル要素を含む製品の要件 |
| Article 6 | Important products with digital elements | 第6条 | デジタル要素を含む重要な製品 |
| Article 6a | Critical products with digital elements | 第6a条 | デジタル要素を含むクリティカルな製品 |
| Article 6b | Stakeholder consultation | 第6b条 | ステークホルダーとの協議 |
| Article 6c | Enhancing skills in a cyber resilient digital environment | 第6c条 | サイバーレジリエンス・デジタル環境におけるスキルの向上 |
| Article 7 | General product safety | 第7条 | 一般的な製品の安全性 |
| Article 8 | High-risk AI systems | 第8条 | リスクの高いAIシステム |
| CHAPTER II | OBLIGATIONS OF ECONOMIC OPERATORS AND PROVISONS IN RELATION TO FREE AND OPEN-SOURCE SOFTWARE | 第2章 | 経済的事業者の義務及びフリーソフトウェアとオープンソースソフトウェアに関する義務 |
| Article 10 | Obligations of manufacturers | 第10条 | 製造事業者の義務 |
| Article 11 | Reporting obligations of manufacturers | 第11条 | 製造事業者の報告義務 |
| Article 11a | Voluntary reporting | 第11a条 | 自主報告 |
| Article 11b | Establishment of a single reporting platform | 第11b条 | 単一報告プラットフォームの確立 |
| Article 11c | Other provisions related to reporting | 第11c条 | 報告に関するその他の規定 |
| Article 12 | Authorised representatives | 第12条 | 指定代理人 |
| Article 13 | Obligations of importers | 第13条 | 輸入事業者の義務 |
| Article 14 | Obligations of distributors | 第14条 | 頒布事業者の義務 |
| Article 15 | Cases in which obligations of manufacturers apply to importers and distributors | 第15条 | 製造事業者の義務が輸入事業者や頒布事業者にも適用されるケース |
| Article 16 | Other cases in which obligations of manufacturers apply | 第16条 | 製造事業者の義務が適用されるその他のケース |
| Article 17 | Identification of economic operators | 第17条 | 経済的事業者の特定 |
| Article 17a | Obligations of open-source software stewards | 第17a条 | オープンソースソフトウェアのスチュワードの義務 |
| Article 17b | Security attestation of free and open-source software | 第17条b | フリー・オープンソースソフトウェアのセキュリティ認証 |
| Article 17c | Guidance | 第17c条 | ガイダンス |
| CHAPTER III | Conformity of the product with digital elements | 第3章 | デジタル要素を含む製品の適合性 |
| Article 18 | Presumption of conformity | 第18条 | 適合性の推定 |
| Article 20 | EU declaration of conformity | 第20条 | EU適合宣言 |
| Article 21 | General principles of the CE marking | 第21条 | CEマークの一般原則 |
| Article 22 | Rules and conditions for affixing the CE marking | 第22条 | CEマークの貼付に関する規定及び条件 |
| Article 23 | Technical documentation | 第23条 | 技術文書 |
| Article 24 | Conformity assessment procedures for products with digital elements | 第24条 | デジタル要素を含む製品の適合性評価手順 |
| Article 24a | Support measures for micro, small and medium-sized enterprises, including start-ups | 第24a条 | 新興企業を含む零細・中小企業への支援措置 |
| Article 24b | Mutual recognition agreements | 第24条b | 相互承認協定 |
| CHAPTER IV | NOTIFICATION OF CONFORMITY ASSESSMENT BODIES | 第4章 | 適合性評価機関の認定 |
| Article 25 | Notification | 第25条 | 認定 |
| Article 26 | Notifying authorities | 第26条 | 認定機関 |
| Article 27 | Requirements relating to notifying authorities | 第27条 | 認定機関に関する要件 |
| Article 28 | Information obligation on notifying authorities | 第28条 | 認定機関への情報提供義務 |
| Article 29 | Requirements relating to notified bodies | 第29条 | 被認定団体に関する要件 |
| Article 30 | Presumption of conformity of notified bodies | 第30条 | 被認定団体の適合性の推定 |
| Article 31 | Subsidiaries of and subcontracting by notified bodies | 第31条 | 被認定団体の子会社及び再委託 |
| Article 32 | Application for notification | 第32条 | 認定申請 |
| Article 33 | Notification procedure | 第33条 | 認定手順 |
| Article 34 | Identification numbers and lists of notified bodies | 第34条 | 被認定団体の識別番号とリスト |
| Article 35 | Changes to notifications | 第35条 | 認定の変更 |
| Article 36 | Challenge of the competence of notified bodies | 第36条 | 被認定団体の能力についての異議申し立て |
| Article 37 | Operational obligations of notified bodies | 第37条 | 被認定団体の運営義務 |
| Article 37a | Appeal against decisions of notified bodies | 第37a条 | 被認定団体の決定に対する不服審判 |
| Article 38 | Information obligation on notified bodies | 第38条 | 被認定団体の情報義務 |
| Article 39 | Exchange of experience | 第39条 | 経験交流 |
| Article 40 | Coordination of notified bodies | 第40条 | 被認定団体の調整 |
| CHAPTER V | MARKET SURVEILLANCE AND ENFORCEMENT | 第5章 | 市場の監視と執行 |
| Article 41 | Market surveillance and control of products with digital elements in the Union market | 第41条 | EU市場におけるデジタル要素を含む製品の市場監視と管理 |
| Article 42 | Access to data and documentation | 第42条 | データ及び文書へのアクセス |
| Article 43 | Procedure at national level concerning products with digital elements presenting a significant cybersecurity risk | 第43条 | 重大なサイバーセキュリティリスクをもたらすデジタル要素を含む製品に関する国レベルの手順 |
| Article 44 | Union safeguard procedure | 第44条 | EUセーフガード手続き |
| Article 45 | Procedure at EU level concerning products with digital elements presenting a significant cybersecurity risk | 第45条 | 重大なサイバーセキュリティリスクをもたらすデジタル要素を含む製品に関するEUレベルでの手続き |
| Article 46 | Compliant products with digital elements which present a significant cybersecurity risk | 第46条 | 重大なサイバーセキュリティリスクをもたらすデジタル要素を含む準拠製品 |
| Article 47 | Formal non-compliance | 第47条 | 正式なコンプライアンス違反 |
| Article 48 | Joint activities of market surveillance authorities | 第48条 | 市場監視当局の共同活動 |
| Article 49 | Sweeps | 第49条 | スイープ |
| CHAPTER VI | DELEGATED POWERS AND COMMITTEE PROCEDURE | 第6章 | 権限委譲と委員会手続き |
| Article 50 | Exercise of the delegation | 第50条 | 委任の行使 |
| Article 51 | Committee procedure | 第51条 | 委員会の手続き |
| CHAPTER VII | CONFIDENTIALITY AND PENALTIES | 第7章 | 守秘義務と罰則 |
| Article 52 | Confidentiality | 第52条 | 守秘義務 |
| Article 53 | Penalties | 第53条 | 罰則 |
| CHAPTER VIII | TRANSITIONAL AND FINAL PROVISIONS | 第8章 | 経過措置と最終規定 |
| Article 54 | Amendment to Regulation (EU) 2019/1020 | 第54条 | 規則(EU)2019/1020の改正 |
| Article 54a | Representative actions | 第54a条 | 代表者訴訟 |
| Article 54b | Amendment to Directive (EU) 2020/1828 | 第54条b | 指令(EU)2020/1828の改正 |
| Article 54c | Amendment to Regulation (EU) 168/2013 | 第54c条 | 規則(EU)168/2013の改正 |
| Article 55 | Transitional provisions | 第55条 | 経過措置 |
| Article 56 | Evaluation and review | 第56条 | 評価と見直し |
| Article 57 | Entry into force and application | 第57条 | 発効と適用 |
| Annex I | ESSENTIAL CYBERSECURITY REQUIREMENTS | 附属書I | サイバーセキュリティの必須要件 |
| Part I | Security requirements relating to the properties of products with digital elements | パート I | デジタル要素を持つ製品の特性に関するセキュリティ要件 |
| Part II | Vulnerability handling requirements | パート II | 脆弱性ハンドリング要件 |
| Annex II | INFORMATION AND INSTRUCTIONS TO THE USER | 附属書II | 利用者への情報と指示 |
| Annex III | IMPORTANT PRODUCTS WITH DIGITAL ELEMENTS | 附属書III | デジタル要素を含む重要な製品 |
| Annex IIIa | CRITICAL PRODUCTS WITH DIGITAL ELEMENTS | 附属書 IIIa | デジタル要素を含むクリティカルな製品 |
| Annex IV | EU DECLARATION OF CONFORMITY | 附属書IV | EU適合宣言書 |
| Annex IVa | SIMPLIFIED EU DECLARATION OF CONFORMITY | 附属書IVa | 簡易EU適合宣言書 |
| Annex V | CONTENTS OF THE TECHNICAL DOCUMENTATION | 附属書V | 技術文書の内容 |
| Annex VI | CONFORMITY ASSESSMENT PROCEDURES | 附属書VI | 適合性評価手続き |
| Part I | Conformity Assessment procedure based on internal control (based on Module A) | パート I | 内部統制に基づく適合性評価手順(モジュール A に基づく |
| Part II | EU-type examination (based on Module B) | パートII | EU型式審査(モジュールBに基づく) |
| Part III | Conformity to type based on internal production control (based on Module C) | パート III | 内部生産管理に基づく型式への適合(モジュール C に基づく) |
| Part IV | Conformity based on full quality assurance (based on Module H) | パート IV | 完全な品質保証に基づく適合(モジュール H に基づく) |
この後、欧州議会と欧州理事会で承認されれば、成立しますね。。。
ちなみに欧州の立法手続きについては、こちらのウェブページを...
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意
・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...
こんにちは、丸山満彦です。
日本のフィンテックの魅力を世界に発信し、フィンテックの更なる発展に向けたビジネス機会を創出するため、「Japan Fintech Week 2024」を3月4日(月)~8日(金)をコアウィークとし、 3月3日〜15日に開催するそうです。
今年で8回目となる金融庁主催の「FIN/SUM 2024」をコアウィーク に実施し、その前後にさまざまなイベントを合わせる感じですね。。。
金融(預金・借入、決済、証券・債券、保険、派生サービス等)はもともと情報の産業なので、コンピュータとの相性は非常によいですよね。。。大量データを正確に止めないということで、当時の最新技術であった汎用機で業務をこなしていたわけですが、技術革新に従って新しい技術(例えば、Open系システム)でもできるようになり、中央集権的な業務から、個別最適化したシステムに分散できるようになり、携帯端末の発展とともに個人と直接繋げられるようになったという感じですかね。。。
個人的には、AIに任せたら、好みのリスク選好に応じて資産の最適運用をしてくれるようなものがあれば、楽だと思っています(^^)。今まで企業を中心として、業務(資産運用等)の最適化をしていたものを、個人を中心として、資産運用等をAI等を使って最適化するような感じ。。。
企業側のアルゴリズム対個人側のアルゴリズムみたいな感じ...
でも、みんながそんなことを始めたら、システミックリスクが大きくなりますかね (^^)
そういえば、最近日本にいろいろと売り込みを強めているUKのコーナーもあるようですね。
● 金融庁
開始日順にならべるとこんな感じです。。。
| 開催日 | イベント |
| 3.03-06 | BGIN Block 10 |
| 3.04-08 | Japan Fintech Festival 2024 |
| 3.04-08 | 4F(FINOPITCHその他.) |
| 3.05-08 | FIN/SUM 2024 |
| 3.05 | Embedded Finance by sunabar |
| 3.05-08 | 第2回金融データ活用チャレンジ |
| 3.05-08 | UK Fintech Mission |
| 3.07-08 | DeFi Retreat 24 APAC |
| 3.08 | Fintech Future @British Embassy |
| 3.12 | ITC Japan in collaboration with Plug and Play |
| 3.14-15 | デジタルバンキング展2024 |
こんにちは、丸山満彦です。
2024.01.10に米国下院議員(Ted W. Lieu(D)、Zach Nunn(R)、Don Beyer(D)、Marcus Molinaro(R))が、NISTが開発した人工知能リスク管理フレームワーク(AI-RMF)の利用を連邦政府機関に義務付ける法案を提出したようですね。。。
・2024.0.12 New Bill Alert: Protecting Your Data
・2023.12.22 Beyer, Eshoo Introduce Landmark AI Regulation Bill
法案の
説明はこちら
・[PDF] Federal Artificial Intelligence Risk Management Act
全文はこちら
・[PDF] Federal Artificial Intelligence Risk Management Act
HTMLにしてみました。。。
・[HTML]
で、ガイドラインのつもりでつくったら、強制力をもたされようとしているNIST AI-RMFはこちら。。。
● NIST - ITL - AI-RMF
・[PDF] AI Risk Management Framework (AI RMF 1.0)
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.01.27 NIST AIリスクフレームワーク
・・[DOCX] 仮訳
こんにちは、丸山満彦です。
AppleがApple Vison Proを市場投入しましたが、ヘッドセットの取り扱いがよりよくなり、デザインがさらにスマートになれば、特定領域(医療分野、災害等のシミュレーション、エンターテイメント等)の分野では普及が広がる可能性がありますね。。。
映画の世界が現実に近づくにつれ、映画で起こっていたような事件も現実に起こる可能性もあり、NISTが没入型技術についてのサイバーセキュリティとプライバシーに関するイニシアティブを立ち上げるようですね。
・手術中にデバイスを起点にシステムが急にとまっても嫌ですし、
・見ている画像と個人の心拍数や血圧等を測定されて分析されるというのも気持ちが良いものではないかもしれません。
ケース等を想定しながら、リスクの識別と評価というをこれからしていくということになるのでしょうね。。。
これは興味深い取り組みで、日本も連携して取り組んだ方がよいと思います。(ゲーム業界とかは関係するのかなぁ。。。)
もちろん、健康面とか、精神面とかの懸念もあるんですけどね。。。
● NIST - ITL - Blog
こんにちは、丸山満彦です。
NISTのSP800-100 報セキュリティハンドブック: 管理者のためのガイドというのは、あまりというか、今まで全く見たことがなかったように思います。。。
2006年10月に制定されていることから、このブログが始まった後ということなのですが、このブログでも取り上げたことはなかったようですね。。。制定されてから、いろいろなガイド、フレームワークが発行されているので、それらとの整合性を図ることが今回の意図のようです。。。
これを機にちょっとみてみたのですが、
というかんじですね。。
● NIST - ITL
| NIST SP 800-100 Rev. 1 (Initial Preliminary Draft) PRE-DRAFT Call for Comments | Information Security Handbook: A Guide for Managers | NIST SP 800-100 Rev.1(初期予備草案) PRE-DRAFT コメント募集|情報セキュリティハンドブック: 管理者のためのガイド |
| Announcement | 発表 |
| Summary | 概要 |
| NIST plans to update Special Publication (SP) 800-100, Information Security Handbook: A Guide for Managers, and is issuing this Pre-Draft Call for Comments to solicit feedback from users. The public is invited to provide input by February 23, 2024. | NISTは、特別刊行物(SP)800-100「情報セキュリティハンドブック:管理者のための手引き」の更新を計画しており、利用者からの意見を求めるために、この「意見募集(Pre-Draft Call for Comments)」を発行する。2024年2月23日までに意見を提出するよう求められている。 |
| Details | 詳細 |
| Since SP 800-100 was published in October of 2006, NIST has developed new frameworks for cybersecurity and risk management and released major updates to critical resources and references. This revision would focus the document’s scope for the intended audience and ensure alignment with other NIST guidance. Before revising, NIST would like to invite users and stakeholders to suggest changes that would improve the document’s effectiveness, relevance, and general use with regard to cybersecurity governance and the intersections between various organizational roles and information security. | 2006年10月にSP 800-100が発行されて以来、NISTはサイバーセキュリティとリスク管理のための新しいフレームワークを開発し、重要なリソースや参考文献の大幅な更新を発表してきた。今回の改訂は、意図する対象者に向けて文書の範囲を絞り込み、他のNISTガイダンスとの整合性を確保するものである。改訂に先立ち、NISTは、サイバーセキュリティ・ガバナンスと様々な組織の役割と情報セキュリティとの相互関係に関して、この文書の有効性、妥当性、一般的な利用を改善するような変更を提案するよう、ユーザと利害関係者に呼びかけたい。 |
| NIST welcomes feedback and input on any aspect of SP 800-100 and additionally proposes a list of non-exhaustive questions and topics for consideration: | NIST は、SP 800-100 のあらゆる側面に関するフィードバックとインプットを歓迎し、さらに、検討のための非網羅的な質問とトピックのリストを提案する: |
| ・What role do you fill in your organization? | ・あなたの組織ではどのような役割を担っているか。 |
| ・How have you used or referenced SP 800-100? | ・SP 800-100 をどのように使用または参照したか? |
| ・What specific topics in SP 800-100 are most useful to you? | ・SP 800-100 のどのトピックが最も有用か? |
| ・What challenges have you faced in applying the guidance in SP 800-100? | ・SP 800-100 のガイダンスを適用するにあたり、どのような課題に直面したか? |
| ・Is the document’s current level of specificity appropriate, too detailed, or too general? If the level of specificity is not appropriate, why? | ・文書の現在の具体性のレベルは適切か、詳細すぎるか、一般的すぎるか。具体性のレベルが適切でない場合、その理由は何か。 |
| ・How can NIST improve the alignment between SP 800-100 and other frameworks and publications? | ・NIST は、SP 800-100 と他のフレームワークや出版物との間の整合性をどのように改善できるか。 |
| ・What new cybersecurity capabilities, challenges, or topics should be addressed? | ・どのような新しいサイバーセキュリティ能力、課題、またはトピックを取り上げるべきか? |
| ・What current topics or sections in the document are out of scope, no longer relevant, or better addressed elsewhere? | ・文書内のどのような現在のトピックやセクションが範囲外であるか、もはや適切でないか、他の場所で扱う方がよいか。 |
| ・Are there other substantive suggestions that would improve the document? | ・その他、文書を改善するための実質的な提案はあるか。 |
| ・Specific topics to consider for revision or improvement: | ・改訂や改善を検討すべき具体的なトピック |
| ・・Cybersecurity governance | ・・サイバーセキュリティガバナンス |
| ・・Role of information security in the software development life cycle (e.g., agile development) | ・・ソフトウエア開発ライフサイクルにおける情報セキュリティの役割 (アジャイル開発など) |
| ・・Contingency planning and the intersection of roles across organizations | ・・コンティンジェンシープランニング(緊急時対応計画)及び組織横断的な役割分担 |
| ・・Risk management | ・・リスクマネジメント |
| ・・・Enterprise risk management | ・・・エンタープライズリスクマネジメント |
| ・・・Supply chain risk management and acquisitions | ・・・サプライチェーンのリスク管理と買収 |
| ・・・Metrics development and cybersecurity scorecard | ・・・評価指標の策定とサイバーセキュリティスコアカード |
| ・・System authorizations | ・・システムの認可 |
| ・・Relationship between privacy and information security programs | ・・プライバシー・プログラムと情報セキュリティ・プログラムの関係 |
| The comment period is open through February 23, 2024. Please submit comments to sp800-100-comments@nist.gov with "Comments on Information Security Handbook: A Guide for Managers” in the subject field. We encourage you to use this comment template. | 意見募集期間は2024年2月23日までである。sp800-100-comments@nist.gov、件名に「Comments on Information Security Handbook: 件名に "A Guide for Managers"(管理者のための手引書)と記入の上、提出のこと。このコメントテンプレートを使用することを推奨する。 |
| Abstract | 概要 |
This Information Security Handbook provides a broad overview of information security program elements to assist managers in understanding how to establish and implement an information security program. Typically, the organization looks to the program for overall responsibility to ensure the selection and implementation of appropriate security controls and to demonstrate the effectiveness of satisfying their stated security requirements. The topics within this document were selected based on the laws and regulations relevant to information security, including the Clinger-Cohen Act of 1996, the Federal Information Security Management Act (FISMA) of 2002, and Office of Management and Budget (OMB) Circular A-130. The material in this handbook can be referenced for general information on a particular topic or can be used in the decision making process for developing an information security program. National Institute of Standards and Technology (NIST) Interagency Report (IR) 7298, Glossary of Key Information Security Terms, provides a summary glossary for the basic security terms used throughout this document. While reading this handbook, please consider that the guidance is not specific to a particular agency. Agencies should tailor this guidance according to their security posture and business requirements. |
この「情報セキュリティハンドブック」は、管理者が情報セキュリティプログラムを確立し、実施する方法を理解するのを支援するために、情報セキュリティプログラムの要素の幅広い概要を提供する。通常、組織は、適切なセキュリティ管理策の選択と実装を確実にし、規定のセキュリティ要件を満たす有効性を実証するために、プログラムに全体的な責任を求める。本書内のトピックは、1996年のクリンガー・コーエン法、2002年の連邦情報セキュ リティ管理法(FISMA)、管理予算局(OMB)サーキュラーA-130など、情報セキュリ ティに関連する法律や規則に基づいて選択されている。このハンドブックの資料は、特定のトピックに関する一般的な情報を得るために参照することも、情報セキュリティ・プログラムを策定するための意思決定プロセスで使用することもできる。米国国立標準技術研究所(NIST)の省庁間報告書(IR)7298「主要情報セキュリティ用語集(Glossary of Key Information Security Terms)」は、本書を通して使用される基本的なセキュリティ用語の要約を提供している。このハンドブックを読む際には、ガイダンスは特定の機関に特化したものではないことを考慮されたい。各機関は、自機関のセキュリティ態勢とビジネス要件に応じて、この手引きを調整すべきである。 |
ちなみに、2006年10月に公表された現在のSP800-100はこちら...
・[PDF] SP800-100 Information Security Handbook: A Guide for Managers
・[DOCX] 仮訳
目次...
| Table of Contents | 目次 |
| 1. Introduction | 1.序文 |
| 1.1 Purpose and Applicability | 1.1目的と適用範囲 |
| 1.2 Relationship to Existing Guidance | 1.2既存のガイダンスとの関係 |
| 1.3 Audience | 1.3 観客 |
| 2. Information Security Governance | 2.情報セキュリティガバナンス |
| 2.1 Information Security Governance Requirements | 2.1 情報セキュリティガバナンスの要件 |
| 2.2 Information Security Governance Components | 2.2 情報セキュリティガバナンスの構成要素 |
| 2.2.1 Information Security Strategic Planning | 2.2.1 情報セキュリティ戦略計画 |
| 2.2.2 Information Security Governance Structures | 2.2.2 情報セキュリティガバナンス体制 |
| 2.2.3 Key Governance Roles and Responsibilities | 2.2.3 主なガバナンスの役割と責任 |
| 2.2.3.1 Agency Head | 2.2.3.1 機関代表 |
| 2.2.3.2 Chief Information Officer | 2.2.3.2 最高情報責任者 |
| 2.2.3.3 Senior Agency Information Security Officer | 2.2.3.3 上級機関情報セキュリティ責任者 |
| 2.2.3.4 Chief Enterprise Architect | 2.2.3.4 チーフ・エンタープライズ・アーキテクト |
| 2.2.3.5 Related Roles | 2.2.3.5 関連する役割 |
| 2.2.4 Federal Enterprise Architecture (FEA) | 2.2.4 連邦エンタープライズ・アーキテクチャ(FEA) |
| 2.2.5 Information Security Policy and Guidance | 2.2.5 情報セキュリティ方針とガイダンス |
| 2.2.6 Ongoing Monitoring | 2.2.6 継続的モニタリング |
| 2.3 Information Security Governance Challenges and Keys to Success | 2.3 情報セキュリティガバナンスの課題と成功の鍵 |
| 3. System Development Life Cycle | 3.システム開発ライフサイクル |
| 3.1 Initiation Phase | 3.1 開始段階 |
| 3.2 Development/Acquisition Phase | 3.2 開発/購買段階 |
| 3.3 Implementation Phase | 3.3 実施段階 |
| 3.4 Operations/Maintenance Phase | 3.4 運用/保守段階 |
| 3.5 Disposal Phase | 3.5 廃棄段階 |
| 3.6 Security Activities within the SDLC | 3.6 SDLC におけるセキュリティ活動 |
| 4. Awareness and Training | 4.意識向上およびトレーニング |
| 4.1 Awareness and Training Policy | 4.1 意識向上およびトレーニング方針 |
| 4.2 Components: Awareness, Training, Education, and Certification | 4.2 構成要素:意識向上、トレーニング、教育および認証 |
| 4.2.1 Awareness | 4.2.1 認知度 |
| 4.2.2 Training | 4.2.2 トレーニング |
| 4.2.3 Education | 4.2.3 教育 |
| 4.2.4 Certification | 4.2.4 認証 |
| 4.3 Designing, Developing, and Implementing an Awareness and Training Program | 4.3 意識向上およびトレーニング・プログラムの設計、開発、実施 |
| 4.3.1 Designing an Awareness and Training Program | 4.3.1 意識向上およびトレーニング・プログラムの設計 |
| 4.3.2 Developing an Awareness and Training Program | 4.3.2 意識向上およびトレーニング・プログラムの開発 |
| 4.3.3 Implementing an Awareness and Training Program | 4.3.3 意識向上およびトレーニング・プログラムの実施 |
| 4.4 Post-Implementation | 4.4 実施後 |
| 4.4.1 Monitoring Compliance | 4.4.1 コンプライアンスのモニタリング |
| 4.4.2 Evaluation and Feedback | 4.4.2 評価とフィードバック |
| 4.5 Managing Change | 4.5 変化を管理する |
| 4.6 Program Success Indicators | 4.6 プログラムの成功指標 |
| 5. Capital Planning and Investment Control | 5.資本計画と投資管理 |
| 5.1 Legislative Overview | 5.1 法制の概要 |
| 5.2 Integrating Information Security into the CPIC Process | 5.2情報セキュリティをCPICプロセスに組み込む |
| 5.3 Capital Planning and Investment Control Roles and Responsibilities | 5.3 資本計画と投資管理の役割と対応責任 |
| 5.4 Identify Baseline | 5.4 ベースラインの識別 |
| 5.5 Identify Prioritization Criteria | 5.5 優先順位付けの基準を特定する |
| 5.6 Conduct System- and Enterprise-Level Prioritization | 5.6 システムレベルおよびエンタープライズレベルの優先順位付けの実施 |
| 5.7 Develop Supporting Materials | 5.7 サポート資料を作成する |
| 5.8 IRB and Portfolio Management | 5.8 IRBとポートフォリオ管理 |
| 5.9 Exhibits 53 and 300 and Program Management | 5.9 別紙53および300とプログラム・マネジメント |
| 6. Interconnecting Systems | 6.相互接続システム |
| 6.1 Managing System Interconnections | 6.1 システムの相互接続を管理する |
| 6.2 Life-Cycle Management Approach | 6.2 ライフサイクル・マネジメントのアプローチ |
| 6.2.1 Phase 1: Planning the Interconnection | 6.2.1 フェーズ1:相互接続の計画 |
| 6.2.2 Phase 2: Establishing the Interconnection | 6.2.2 フェーズ2:相互接続の確立 |
| 6.2.3 Phase 3: Maintaining the Interconnection | 6.2.3 フェーズ 3:相互接続の維持 |
| 6.2.4 Phase 4: Disconnecting the Interconnection | 6.2.4 フェーズ4:相互接続の切断 |
| 6.3 Terminating Interconnection | 6.3 相互接続の終了 |
| 6.3.1 Emergency Disconnection | 6.3.1 緊急遮断 |
| 6.3.2 Restoration of Interconnection | 6.3.2 相互接続の回復 |
| 7. Performance Measures | 7.パフォーマンス対策 |
| 7.1 Metric Types | 7.1 メトリックタイプ |
| 7.2 Metrics Development and Implementation Approach | 7.2 メトリクスの開発と実施アプローチ |
| 7.3 Metrics Development Process | 7.3 メトリクス開発プロセス |
| 7.4 Metrics Program Implementation | 7.4 メトリクス・プログラムの実施 |
| 7.4.1 Prepare for Data Collection | 7.4.1 データ収集の準備 |
| 7.4.2 Collect Data and Analyze Results | 7.4.2 データの収集と結果の分析 |
| 7.4.3 Identify Corrective Actions | 7.4.3 是正措置の識別 |
| 7.4.4 Develop Business Case and Obtain Resources | 7.4.4 ビジネスケースの作成とリソースの確保 |
| 7.4.5 Apply Corrective Actions | 7.4.5 是正処置を適用する |
| 8. Security Planning | 8.セキュリティ計画 |
| 8.1 Major Applications, General Support Systems, and Minor Applications | 8.1 主要アプリケーション、総合サポートシステム、マイナーアプリケーション |
| 8.2 Security Planning Roles and Responsibilities | 8.2 セキュリティ計画の役割と対応計画 |
| 8.2.1 Chief Information Officer | 8.2.1 最高情報責任者 |
| 8.2.2 Information System Owner | 8.2.2 情報システム・オーナー |
| 8.2.3 Information Owner | 8.2.3 情報所有者 |
| 8.2.4 Senior Agency Information Security Officer | 8.2.4 上級機関情報セキュリティ責任者 |
| 8.2.5 Information System Security Officer | 8.2.5 情報システムセキュリティオフィサー |
| 8.3 Rules of Behavior | 8.3 行動規則 |
| 8.4 System Security Plan Approval | 8.4 システム・セキュリティ計画の承認 |
| 8.4.1 System Boundary Analysis and Security Controls | 8.4.1 システム境界分析とセキュリティ制御 |
| 8.4.2 Security Controls | 8.4.2 セキュリティ・コントロール |
| 8.4.3 Scoping Guidance | 8.4.3 スコーピング・ガイダンス |
| 8.4.4 Compensating Controls | 8.4.4 補償コントロール |
| 8.4.5 Common Security Controls | 8.4.5 共通のセキュリティ・コントロール |
| 8.5 Security Control Selection | 8.5 セキュリティ・コントロールの選択 |
| 8.6 Completion and Approval Dates | 8.6 完成日と承認日 |
| 8.7 Ongoing System Security Plan Maintenance | 8.7 継続的なシステム・セキュリティ計画の保守 |
| 9. Information Technology Contingency Planning | 9.情報技術緊急時対応計画 |
| 9.1 Step 1: Develop Contingency Planning Policy Statement | 9.1 ステップ1:コンティンジェンシー・プランニング方針声明の策定 |
| 9.2 Step 2: Conduct Business Impact Analysis | 9.2 ステップ2:ビジネスインパクト分析の実施 |
| 9.3 Step 3: Identify Preventive Controls | 9.3 ステップ3:予防的管理策の識別 |
| 9.4 Step 4: Develop Recovery Strategies | 9.4 ステップ4:復旧戦略の策定 |
| 9.5 Step 5: Develop IT Contingency Plan | 9.5 ステップ5:ITコンティンジェンシープランを策定する |
| 9.6 Step 6: Plan Testing, Training, and Exercises | 9.6 ステップ6:テスト、訓練、演習を計画する |
| 9.7 Step 7: Plan Maintenance | 9.7 ステップ7:プラン保守 |
| 10. Risk Management | 10.リスクマネジメント |
| 10.1 Risk Assessment | 10.1 リスクアセスメント |
| 10.1.1 Step 1 – System Characterization | 10.1.1 ステップ1 - システムの特性評価 |
| 10.1.2 Step 2 – Threat Identification | 10.1.2 ステップ2 - 脅威の特定 |
| 10.1.3 Step 3 – Vulnerability Identification | 10.1.3 ステップ3 - 脆弱性の特定 |
| 10.1.4 Step 4 – Risk Analysis | 10.1.4 ステップ4 - リスク分析 |
| 10.1.4.1 Control Analysis | 10.1.4.1 コントロール分析 |
| 10.1.4.2 Likelihood Determination | 10.1.4.2 尤度の決定 |
| 10.1.4.3 Impact Analysis | 10.1.4.3 影響分析 |
| 10.1.4.4 Risk Determination | 10.1.4.4 リスクの判定 |
| 10.1.5 Step 5 – Control Recommendations | 10.1.5 ステップ5 - 管理勧告 |
| 10.1.6 Step 6 – Results Documentation | 10.1.6 ステップ 6 - 結果の文書化 |
| 10.2 Risk Mitigation | 10.2 リスク低減 |
| 10.3 Evaluation and Assessment | 10.3 評価と査定 |
| 11. Certification, Accreditation, and Security Assessments | 11.認証、認定、セキュリティ評価 |
| 11.1 Certification, Accreditation, and Security Assessments Roles and Responsibilities | 11.1 認証、認定、およびセキュリティ評価の役割と責任 |
| 11.1.1 Chief Information Officer | 11.1.1 最高情報責任者 |
| 11.1.2 Authorizing Official | 11.1.2 認可権限者 |
| 11.1.3 Senior Agency Information Security Officer | 11.1.3 上級機関情報セキュリティ責任者 |
| 11.1.4 Information System Owner | 11.1.4 情報システム・オーナー |
| 11.1.5 Information Owner | 11.1.5 情報所有者 |
| 11.1.6 Information System Security Officer | 11.1.6 情報システムセキュリティオフィサー |
| 11.1.7 Certification Agent | 11.1.7 認証エージェント |
| 11.1.8 User Representatives | 11.1.8 ユーザー代表者 |
| 11.2 Delegation of Roles | 11.2 役割の委譲 |
| 11.3 The Security Certification and Accreditation Process | 11.3 セキュリティ認証と認定のプロセス |
| 11.4 Security Certification Documentation | 11.4 セキュリティ認証文書 |
| 11.5 Accreditation Decisions | 11.5 認定決定 |
| 11.6 Continuous Monitoring | 11.6 継続的モニタリング |
| 11.7 Program Assessments | 11.7 プログラム評価 |
| 12. Security Services and Products Acquisition | 12.セキュリティ・サービスおよび製品の取得 |
| 12.1 Information Security Services Life Cycle | 12.1情報セキュリティサービスのライフサイクル |
| 12.2 Selecting Information Security Services | 12.2 情報セキュリティサービスの選択 |
| 12.2.1 Selecting Information Security Services Management Tools | 12.2.1 情報セキュリティサービス管理ツールの選択 |
| 12.2.2 Information Security Services Issues | 12.2.2 情報セキュリティ・サービスの課題 |
| 12.2.3 General Considerations for Information Security Services | 12.2.3 情報セキュリティサービスに関する一般的な考慮事項 |
| 12.3 Selecting Information Security Products | 12.3 情報セキュリティ製品の選択 |
| 12.4 Security Checklists for IT Products | 12.4 IT製品のセキュリティ・チェックリスト |
| 12.5 Organizational Conflict of Interest | 12.5 組織の利益相反 |
| 13. Incident Response | 13.インシデント対応 |
| 13.1 Preparation | 13.1 準備 |
| 13.1.1 Preparing for Incident Response | 13.1.1 インシデント対応の準備 |
| 13.1.2 Preparing to Collect Incident Data | 13.1.2 インシデントデータ収集の準備 |
| 13.1.3 Preventing Incidents | 13.1.3 インシデントを防ぐ |
| 13.2 Detection and Analysis | 13.2 検出と分析 |
| 13.3 Containment, Eradication, and Recovery | 13.3 封じ込め、根絶、回復 |
| 13.4 Post-Incident Activity | 13.4 インシデント後の活動 |
| 14. Configuration Management | 14.コンフィギュレーション管理 |
| 14.1 Configuration Management in the System Development Life Cycle | 14.1 システム開発ライフサイクルにおける構成管理 |
| 14.2 Configuration Management Roles and Responsibilities | 14.2 構成管理の役割と責任 |
| 14.3 Configuration Management Process | 14.3 コンフィギュレーション管理プロセス |
| Appendix A – Acronyms List | 附属書A - 略語リスト |
| Appendix B – Frequently Asked Questions | 附属書B - よくある質問 |
こんにちは、丸山満彦です。
先端の研究開発をするためには、世界各国から幅広く優秀な人材を集めることが重要ですが、一方そうすると、重要な研究情報が盗まれる可能性も高まりますよね。
そのバランスをどうとるのか、これはこれからの日本にとっても重要な課題だろうと思います。。。まさか、純日本人だけで先端研究はできないし、日本で先端研究をしなければ、優秀な日本人はもっと海外に流出してしまうし、、、
ということで、このGAOの報告書は参考になるかもしれませんね。。。
● U.S. Government Accountability Office
| National Institute of Standards and Technology:Strengthening Disclosure Requirements and Assessing Training Could Improve Research Security | 国立標準技術研究所:情報開示要件の強化と訓練の評価により、研究セキュリティを改善できる可能性がある。 |
| GAO-24-106074 | GAO-24-106074 |
| Fast Facts | 速報 |
| Some foreign governments try to acquire U.S. research and technology dishonestly. Protecting federally funded research from such threats is critical. | 外国政府の中には、米国の研究や技術を不正に取得しようとするものがある。連邦政府が資金提供した研究をそのような脅威から保護することは極めて重要である。 |
| The National Institute of Standards and Technology collaborates with foreign and domestic researchers—requiring them to disclose potential conflicts of interest. But NIST doesn't require domestic researchers to disclose as much information as foreign nationals. NIST needs to ensure it can identify research security risks posed by all researchers. | 国立標準技術研究所は国内外の研究者と共同研究を行っており、潜在的な利益相反を開示するよう求めている。しかし、NISTは国内の研究者に対して、外国人ほど多くの情報を開示することを求めていない。NISTは、すべての研究者がもたらす研究セキュリティリスクを確実に特定できるようにする必要がある。 |
| In addition, NIST doesn't evaluate whether staff training on security policies and practices is effective. | さらにNISTは、セキュリティの方針と実施方法に関する職員研修が効果的であるかどうかを評価していない。 |
| We recommended that NIST address these issues. | 我々は、NISTがこれらの問題に対処するよう勧告した。 |
| Summary of NIST’s Process for Reviewing and Hosting Foreign National Associates | 外国籍研究者の審査と受け入れに関するNISTのプロセスの概要 |
 |
|
| Highlights | ハイライト |
| What GAO Found | GAOが発見したこと |
| Researchers employed at the National Institute of Standards and Technology (NIST) collaborate on research projects with about 2,500 domestic and foreign national researchers (known as “associates”) each year. The agency also awards grants and cooperative agreements under which extramural (i.e., external) researchers carry out research. While such collaborations are intended to benefit NIST, they may pose security risks. NIST has taken steps to help ensure research security by requiring researchers to disclose information that can help it determine whether they have potential conflicts of interest or commitment. | 国立標準技術研究所(NIST)の研究者は、毎年約2500人の国内外の研究者(「アソシエイト」と呼ばれる)と共同研究を行っている。同機関はまた、学外(すなわち外部)の研究者が研究を実施するための助成金や協力協定も授与している。このような共同研究はNISTに利益をもたらすことを目的としているが、セキュリティリスクをもたらす可能性もある。NISTは、潜在的な利益相反やコミットメントがあるかどうかを判断するのに役立つ情報を開示するよう研究者に義務付けることで、研究のセキュリティを確保するための措置を講じている。 |
| However, at the time of our review, NIST had not fully implemented federal disclosure requirements as the agency was waiting for the Office of Science and Technology Policy (OSTP) to issue government-wide guidance in two areas: | しかし、我々のレビュー時点では、NISTは米国科学技術政策局(OSTP)が2つの分野で政府全体のガイダンスを発行するのを待っていたため、連邦政府の開示要件を完全には実施していなかった: |
| uniform disclosure forms for extramural researchers, and | 学外研究者のための統一された開示フォーム、および |
| guidelines on foreign talent recruitment programs, which seek to recruit researchers—sometimes with malign intent. | 外国人材リクルートプログラムに関するガイドラインである。 |
| According to NIST officials, OSTP's delays in issuing the forms and guidelines have delayed NIST's collection of certain disclosures. Without these disclosures, NIST is missing key information—such as domestic researchers' participation in foreign talent recruitment programs—that could help it address research security risks. | NISTの職員によると、OSTPがフォームとガイドラインの発行を遅らせたために、NISTが特定の情報開示を収集するのが遅れたという。これらの情報開示がなければ、NISTは、国内研究者の外国人人材リクルートプログラムへの参加など、研究セキュリティリスクへの対処に役立つ重要な情報を見逃していることになる。 |
| Separately, NIST requires fewer disclosures from domestic associates than from foreign national associates. Officials said the agency primarily focuses on risks posed by foreign national associates and by certain countries of concern. However, domestic researchers can also have concerning affiliations with foreign entities. By not requiring domestic associates to disclose the same information as foreign national associates, NIST is missing opportunities to assess and mitigate risks. | これとは別に、NISTは外国籍の研究者よりも国内の研究者に開示を求めている件数が少ない。関係者によると、NISTは主に外国人研究者や特定の懸念国がもたらすリスクに焦点を当てているという。しかし、国内の研究者も外国の事業体と関係を持つことがある。NISTは、国内の関連機関に外国の関連機関と同じ情報の開示を求めないことで、リスクをアセスメントし、軽減する機会を逃している。 |
| Information That NIST Requires Associates to Disclose | NISTが共同研究者に開示を求める情報 |
 |
|
| NIST and Commerce also help ensure research security by training researchers. The training program generally aligns with most selected leading training practices. However, because they do not evaluate the program's effectiveness, the agencies are limited in their ability to identify opportunities for improvement. For example, NIST employees told GAO that NIST could provide more examples of risks that employees may encounter. Collecting and analyzing such feedback could help strengthen the agency's training and improve research security. | NISTと商務部はまた、研究者を訓練することによって、研究のセキュリティ確保を支援している。この研修プログラムは、一般的に、最も選択された主要な研修慣行と一致している。しかし、両機関はプログラムの有効性を評価していないため、改善の機会を特定する能力に限界がある。例えば、NISTの職員はGAOに対し、NISTは職員が遭遇する可能性のあるリスクの例をもっと提供することができると述べた。このようなフィードバックを収集・分析することは、同機関の訓練を強化し、研究セキュリティを改善するのに役立つ可能性がある。 |
| Why GAO Did This Study | GAOがこの調査を行った理由 |
| Countries of concern pose security risks to U.S. research and innovation. Such countries have sought to access information through collaborative research efforts. NIST employees regularly collaborate with outside researchers from academia or private-sector companies. The Research and Development, Competition, and Innovation Act includes a provision for GAO to review NIST's research security program. | 懸念国は米国の研究とイノベーションにセキュリティリスクをもたらす。そのような国々は、共同研究を通じて情報にアクセスしようとしている。NISTの職員は、学界や民間企業の外部研究者と定期的に共同研究を行っている。研究開発・競争・イノベーション法には、GAOがNISTの研究セキュリティプログラムをレビューする条項が含まれている。 |
| This report examines, among other things, NIST's efforts to (1) meet federal disclosure requirements for intramural and extramural researchers, (2) collect and review disclosures from foreign national associates and domestic associates, and (3) align its security training with selected leading training practices. | 本報告書では、特に、(1)学内外の研究者に対する連邦政府の情報開示要件を満たすこと、(2)外国籍の共同研究者および国内の共同研究者からの情報開示を収集し、レビューすること、(3)セキュリティ訓練を厳選された先進的な訓練慣行と整合させること、に対するNISTの取り組みについて調査している。 |
| GAO reviewed NIST's information and available data on identified risks, research security policies, and procedures, and interviewed agency officials. GAO also compared NIST's policies and practices against selected federal requirements and leading practices on training. | GAOは、特定されたリスク、研究セキュリティ方針、手順に関するNISTの情報と入手可能なデータを検討し、NIST職員にインタビューを行った。GAOはまた、NISTの方針と実務を、選択された連邦政府の要件および訓練に関する先進的な実務と比較した。 |
| Recommendations | 勧告 |
| GAO is making three recommendations: one to OSTP on issuing timely research security guidance; and two to NIST on strengthening disclosure requirements for domestic associates and evaluating its training program. OSTP and NIST agreed with the recommendations. | 一つはOSTPに対し、タイムリーな研究セキュリティガイダンスの発行について、二つはNISTに対し、国内関係者に対する情報開示要件の強化と研修プログラムの評価についてである。OSTPとNISTは勧告に同意した。 |
| Recommendations for Executive Action | 長官等に関する勧告 |
| Agency Affected / Recommendation | 影響を受ける機関/勧告 |
| Office of Science and Technology Policy | 米国科学技術政策局 |
| The Director of OSTP should expedite the development and issuance of guidelines on foreign talent recruitment programs as required by section 10631 of the CHIPS and Science Act of 2022. (Recommendation 1) | OSTP長官は、2022年CHIPSおよび科学法の第10631条が要求する外国人材採用プログラムに関するガイドラインの作成と発行を迅速に行うべきである。(勧告1) |
| National Institute of Standards and Technology | 国立標準技術研究所 |
| The Director of NIST should, consistent with applicable statutes and regulations, collect and review disclosures from domestic associates—including information on positions and appointments, current and pending research support, and participation in foreign talent recruitment programs—and require updates to these disclosures, as appropriate. (Recommendation 2) | NISTの所長は、適用される法令と規則に従い、役職や任命、現在および申請中の研究支援、外国人材採用プログラムへの参加に関する情報を含め、国内の関連機関から情報開示を収集・見直し、必要に応じてこれらの情報開示の更新を求めるべきである。(勧告2) |
| National Institute of Standards and Technology | 国立標準技術研究所 |
| The Director of NIST should, in coordination with the Secretary of Commerce as appropriate, evaluate the effectiveness of research security training courses for NIST staff. For example, this could include collecting and analyzing employee feedback. (Recommendation 3) | NIST 長官は、適宜商務長官と連携して、NIST 職員を対象とした研究セキュリティ研修コースの有効性を評価すべきである。例えば、従業員からのフィードバックの収集・分析などが考えられる。(勧告 3) |
・[PDF] Full Report
・[DOCX] 仮訳
・[PDF] Highlights
ブログ
・2023.12.20 外国の窃盗からアメリカの研究を守る
| Protecting American Research from Foreign Theft | 外国の窃盗から米国の研究を保護する |
| The United States is a global leader in science and technology. Part of our strength comes from the open exchange of ideas and collaboration among researchers, including across international borders. But some foreign governments are exploiting that openness to acquire U.S. research and technology, both legally and illegally. | 米国は科学技術の世界的リーダーである。その強さの一端は、国境を越えたオープンな意見交換と研究者間の協力にある。しかし、一部の外国政府は、その開放性を悪用し、合法・非合法を問わず、米国の研究・技術を取得しようとしている。 |
| One of many potential targets is the National Institute of Standards and Technology (NIST), which employs about 1,400 researchers. NIST works on emerging technologies—such as quantum computing and 5G—that could have significant economic and national security implications. | 潜在的な標的のひとつが、約1400人の研究者を抱える国立標準技術研究所(NIST)である。NISTは量子コンピューティングや5Gなど、経済や国家安全保障に重大な影響を及ぼす可能性のある新技術に取り組んでいる。 |
| Today’s WatchBlog post looks at our new report on NIST’s efforts to ensure research security. | 本日のWatchBlogでは、研究の安全性を確保するためのNISTの取り組みに関する新しいレポートを紹介する。 |
| What’s the threat? | 脅威とは何か? |
| NIST, like many research institutions, enhances its work by collaborating with outside researchers. These collaborations pave the way for new technologies, medical treatments, and better infrastructure. But this success also comes with risks of theft by foreign competitors. | NISTは、多くの研究機構と同様、外部の研究者と協力することでその研究を強化している。こうした共同研究は、新しい技術や医療、より優れたインフラへの道を開く。しかし、この成功には外国の競争相手による盗用のリスクも伴う。 |
| Foreign adversaries, whose conduct harms U.S. national security or foreign policy, have tried to use collaborative research efforts to access sensitive information. They might try to send researchers to NIST sites to access unpublished research or might try to recruit NIST staff to gain sensitive information. These countries can also request NIST’s measurement services for their own military or commercial benefit, such as by asking NIST to calibrate scientific instruments. | 米国の国家安全保障や外交政策に害を及ぼす外国の敵対者は、機密情報にアクセスするために共同研究の努力を利用しようとしてきた。未発表の研究にアクセスするためにNISTの拠点に研究者を送り込もうとしたり、機密情報を得るためにNISTのスタッフをリクルートしようとするかもしれない。これらの国はまた、自国の軍事的または商業的利益のために、NISTに科学機器の校正を依頼するなど、NISTの測定サービスを要求することもある。 |
| NIST efforts to safeguard American research | 米国の研究を保護するためのNISTの取り組み |
| NIST has several safeguards in place to prevent an adversary from obtaining sensitive research information. An important one is to assess all potential collaborations with foreign adversaries. For example, NIST receives requests from countries to meet either virtually or by sending NIST staff abroad. If there are concerns about a requesting country’s motives, NIST may decline the collaboration. One such rejection came in fiscal year 2022, when a Chinese institute requested NIST’s assistance in calibrating a scientific tool. NIST rejected this request because the tool had potential military applications. | NISTは、敵対者が機密研究情報を入手するのを防ぐために、いくつかの安全策を講じている。重要なものは、外国の敵対勢力との潜在的な協力関係をすべて評価することである。例えば、NISTは各国から、バーチャルに、あるいはNISTのスタッフを海外に派遣して、会合を開く要請を受ける。要請した国の動機に懸念がある場合、NISTは協力を断ることがある。2022会計年度には、中国の機構から科学ツールの校正に関するNISTの支援が要請された。NISTがこの要請を拒否したのは、そのツールが軍事的に応用される可能性があったからである。 |
| Another safeguard NIST uses is to look into the backgrounds of researchers who collaborate in person at NIST facilities. These researchers are not NIST employees and are referred to as either domestic associates or foreign national associates, depending on their citizenship. On average, NIST researchers collaborate with about 1,700 domestic associates and 800 foreign associates each year. | NISTが採用しているもう一つのセーフガードは、NISTの施設で直接共同研究を行う研究者の経歴を調べることである。これらの研究者はNISTの職員ではなく、国籍に応じて国内アソシエイトまたは外国人アソシエイトと呼ばれる。平均して、NISTの研究者は毎年約1,700人の国内アソシエイトと、800人の外国人アソシエイトと共同研究を行っている。 |
| NIST requires foreign associates to disclose information—such as their employment, affiliations, and sources of funding. This information can help reveal a security concern if, for example, an associate has been employed or supported by a U.S. adversary. | NISTは外国籍のアソシエイトに対し、雇用、所属、資金源などの情報の開示を義務付けている。この情報は、例えばある共同研究者が米国の敵対勢力に雇用されていたり、支援を受けていたりする場合、安全保障上の懸念を明らかにするのに役立つ。 |
| But threats to U.S. research aren’t just coming from foreign associates. American researchers can also be a threat. For example, a former Harvard chemistry professor who had received $18 million in federal research funding was convicted in December 2021 of crimes related to lying to U.S. authorities about his foreign involvement and income. He had a research contract with China’s Thousand Talents program—a “foreign talent recruitment program” that paid him a salary and funded his research—but denied the affiliation to authorities. | しかし、米国の研究に対する脅威は、外国人研究者からのものだけではない。米国人研究者も脅威となりうる。例えば、連邦政府から1,800万ドルの研究資金を得ていたハーバード大学の元化学教授は、2021年12月、米国当局に外国での関与や収入について嘘をついたとして有罪判決を受けた。彼は中国のサウザンド・タレント・プログラム(「外国人人材リクルート・プログラム」)と研究契約を結び、給与と研究資金を受け取っていたが、当局にはその認可を否定していた。 |
| This example did not involve NIST, but NIST’s domestic associates may similarly find themselves influenced by foreign interests. And in our report we found that NIST requires fewer disclosures from domestic associates. For example, it does not require domestic associates to disclose participation in a foreign talent recruitment program. Officials told us NIST primarily focuses on risks posed by foreign national associates and by certain adversaries. | この例はNISTが関与したものではないが、NISTの国内関係者も同様に外国の影響を受けている可能性がある。また、我々の報告書では、NISTが国内の関係者に要求している情報開示は少ないことがわかった。例えば、NISTは、外国人人材採用プログラムへの参加を開示することを国内関係者に要求していない。関係者によると、NISTは主に外国籍の関係者や特定の敵対者によってもたらされるリスクに焦点を当てているという。 |
| In addition, NIST hasn’t been able to implement certain disclosure requirements because the White House Office of Science and Technology Policy (OSTP) has not released the needed guidance. Specifically, OSTP had not issued guidance on foreign talent recruitment programs. Without these guidelines, NIST can’t develop its own policy, as required by law. | さらに、ホワイトハウスの米国科学技術政策局(OSTP)が必要なガイダンスを発表していないため、NISTは特定の開示要件を実施できていない。具体的には、OSTPは外国人人材採用プログラムに関するガイダンスを発表していなかった。これらの指針がなければ、NISTは法律で義務付けられている独自の方針を策定することができない。 |
| What more should be done? | これ以上何をすべきか? |
| NIST is missing critical information that could help respond to the risk of research being divulged to foreign entities. So, we recommended that NIST strengthen disclosure requirements for domestic associates. We also recommended that OSTP expedite its guidelines on foreign talent recruitment programs to help NIST better assess research security risks. | NISTには、研究が外国事業体に漏洩するリスクに対応するための重要な情報が欠けている。そこで我々は、NISTが国内の関連機関に対する開示要件を強化するよう勧告した。また、NISTが研究セキュリティリスクをより適切に評価できるよう、OSTPが外国人材採用プログラムに関するガイドラインを早急に作成することも勧告した。 |
| Learn more about NIST’s efforts to protect U.S. research from foreign threats by reading our new report. | 外国の脅威から米国の研究を守るためのNISTの取り組みについては、新しい報告書をご覧いただきたい。 |
こんにちは、丸山満彦です。
世界経済フォーラム (WEF)が世界のサイバーセキュリティ概況 2024を公表していましたね。。。調査は毎年アクセンチュアがおこなっていますね。。。
一昨年がレジリエンスを、昨年は地政学リスク・サプライチェーンを中心に置いていましたが、今年は格差 (inequity) と新興技術 (Emerging technologie) ですかね。。。
確かにサイバーセキュリティ対策が進んでいる組織とそうでない組織の能力差は拡大しているように思いますね。。。その背景は、やはり「予算規模」と「規模の経済」というのがあると思います。
大きな組織は、
・規模の経済のおかげで、特に技術的なセキュリティ対策で効率的に実装ができる。
・大きな規模の投資ができる。
というのがあるでしょうね。。。
規模の経済を考えると、中小企業はXaaSといったクラウド型のサービスを利用するしかなくなるでしょうね。。。そうすると、国のサイバーセキュリティ政策として、産業育成も含めるのであれば、XaaS型のセキュリティサービスを普及できるような方針がよいのかもしれませんね。。。そうすれば、中小企業のサイバーセキュリティ対処能力も上がり(もちろん、運用面とかあるので完全にというわけではないですが)、国全体のセキュリティ対応能力も上がり、うまく輸出できれば産業政策的にもよいですよね。。。
● World Economic Forum - Whitepaper
・2024.01.11 Global Cybersecurity Outlook 2024
・[PDF] Global Cybersecurity Outlook 2024
目次...
| Foreword | まえがき |
| Executive summary | 要旨 |
| 1 Understanding global cyber inequity | 1 世界のサイバー格差を理解する |
| 1.1 The state of cyber inequity | 1.1 サイバー格差の現状 |
| 1.2 Core drivers of cyber inequity | 1.2 サイバー格差の中核的要因 |
| 2 A world in geopolitical and technological transition | 2 地政学的・技術的転換期にある世界 |
| 2.1 Geopolitical tensions and cyber | 2.1 地政学的緊張とサイバー |
| 2.2 New technology, same fear | 2.2 新しい技術、同じ恐怖 |
| 3 In the thick of the cyber-skills shortage | 3 サイバー・スキル不足の渦中にある |
| 3.1 The skills gap | 3.1 スキル・ギャップ |
| 4 Cyber resilience for a new era | 4 新時代のサイバーレジリエンス |
| 4.1 Marrying legacy concerns with new risks | 4.1 レガシーな懸念と新たなリスクの融合 |
| 4.2 Emerging technologies and the state of resilience | 4.2 新興テクノロジーとレジリエンスの現状 |
| 4.3 Cybercrime and the state of resilience | 4.3 サイバー犯罪とレジリエンスの現状 |
| 4.4 Business leadership and the state of resilience | 4.4 ビジネスリーダーシップとレジリエンスの現状 |
| 4.5 Governance and the state of resilience | 4.5 ガバナンスとレジリエンスの現状 |
| 4.6 Ecosystem resilience | 4.6 エコシステムのレジリエンス |
| 5 Building a better cyber ecosystem | 5 より良いサイバーエコシステムの構築 |
| 5.1 Are cyber collaborations stalling or continuing to mature? | 5.1 サイバー協力は失速しているのか、それとも成熟し続けているのか? |
| 5.2 Effective regulation lifts all boats | 5.2 効果的な規制はすべての船を持ち上げる |
| 5.3 The role of insurance | 5.3 保険の役割 |
| 5.4 Understanding cyber resilience in the supply chain | 5.4 サプライチェーンにおけるサイバーレジリエンスを理解する |
| Conclusion | 結論 |
| Appendix: Methodology | 附属書 方法論 |
| Contributors | 協力者 |
| Endnotes | 巻末資料 |
エグゼエクティブサマリー
| Executive summary | 要旨 |
| Looming cyber inequity amid a rapidly evolving tech landscape emphasizes the need for even greater public-private cooperation. | 急速に進化するハイテク状況の中で、サイバー格差が迫りつつあることは、官民協力の一層の必要性を強調している。 |
| In 2023 the world faced a polarized geopolitical order, multiple armed conflicts, both scepticism and fervour about the implications of future technologies, and global economic uncertainty. Amid this complex landscape, the cybersecurity economy1 grew exponentially faster than the overall global economy, and outpaced growth in the tech sector.2 However, many organizations and countries experienced that growth in exceptionally different ways. | 2023 年、世界は二極化した地政学的秩序、複数の武力紛争、未来技術の意味合いに対する懐疑と熱狂の両方、そして世界経済の不確実性に直面していた。このような複雑な状況の中で、サイバーセキュリティ経済[1] は世界経済全体よりも指数関数的に速く成長し、ハイテク部門の成長を上回った[2] 。しかし、多くの組織や国が、その成長を極めて異なる方法で経験した。 |
| A stark divide between cyber-resilient organizations and those that are struggling has emerged. This clear divergence in cyber equity is exacerbated by the contours of the threat landscape, macroeconomic trends, industry regulation and early adoption of paradigm-shifting technology by some organizations. Other clear barriers, including the rising cost of access to innovative cyber services, tools, skills and expertise, continue to influence the ability of the global ecosystem to build a more secure cyberspace in the face of myriad transitions. | サイバーレジリエンスに強い組織と苦戦を強いられている組織との間には、歴然とした隔たりが生じている。このようなサイバー衡平性における明確な乖離は、サイバー脅威の状況、マクロ経済の動向、業界の規制、一部の組織によるパラダイムシフト技術の早期導入などによって悪化している。革新的なサイバーサービス、ツール、スキル、専門知識へのアクセスコストの上昇など、その他の明確な障壁は、無数の変遷に直面するグローバルエコシステムが、より安全なサイバー空間を構築する能力に影響を与え続けている。 |
| These factors are also ever-present in the accelerated disappearance of a healthy “middle grouping” of organizations (i.e. those that maintain minimum standards of cyber resilience only). Despite this divide, many organizations indicate clear progress in certain aspects of their cyber capability. This year’s outlook also finds cause for optimism, especially when considering the relationship between cyber and business executives. | これらの要因は、健全な「中間グループ」(すなわち、サイバーレジリエンスの最低基準のみを維持する組織)の消滅が加速していることにも、常に現れている。このような格差があるにもかかわらず、多くの組織が、サイバー能力の特定の側面において明らかな進歩を示している。今年のアウトルックでも、特にサイバーとビジネスエグゼクティブの関係を考慮すると、楽観的な見方ができる。 |
| These are the major findings from this year’s Global Cybersecurity Outlook and the key cyber trends that executives will need to navigate in 2024: | 以下は、今年の世界のサイバーセキュリティ概況から得られた主な知見であり、2024年に経営幹部がナビゲートする必要のある主要なサイバー・トレンドである: |
| There is growing cyber inequity between organizations that are cyber resilient and those that are not. | サイバーレジリエンスが高い組織とそうでない組織との間で、サイバー上の格差が拡大している。 |
| In parallel, the population of organizations that maintain a minimum level of cyber resilience is disappearing. Small and medium enterprises (SMEs),3 despite making up the majority of many country’s ecosystems, are being disproportionately affected by this disparity. | これと並行して、最低レベルのサイバーレジリエンスを維持している組織の集団は消滅しつつある。中小企業(SME)[3] は、多くの国のエコシステムの大半を占めているにもかかわらず、この格差の影響を不釣り合いに受けている。 |
| – The number of organizations that maintain minimum viable cyber resilience is down 30%. While large organizations demonstrated remarkable gains in cyber resilience, SMEs showed a significant decline. | ・最低限実行可能なサイバーレジリエンスを維持している組織の数は、30%減少している。大企業がサイバーレジリエンスにおいて顕著な向上を示した一方で、中小企業は大幅な低下を示した。 |
| – More than twice as many SMEs as the largest organizations say they lack the cyber resilience to meet their critical operational requirements. | ・大企業の2倍以上の中小企業が、重要な業務要件を満たすためのサイバーレジリエンスが不足していると回答している。 |
| – 90% of the 120 executives surveyed at the World Economic Forum’s Annual Meeting on Cybersecurity said that urgent action is required to address this growing cyber inequity. | ・世界経済フォーラムのサイバーセキュリティ年次総会で調査された120人の経営幹部の90%が、この拡大するサイバー格差に対処するために緊急の行動が必要であると回答した。 |
| Emerging technology will exacerbate long-standing challenges related to cyber resilience. | 新興テクノロジーは、サイバーレジリエンスに関する長年の課題を悪化させるだろう。 |
| This will in turn accelerate the divide between the most capable and the least capable organizations. | その結果、最も能力のある組織と最も能力のない組織との間の格差が加速することになる。 |
| – As organizations race to adopt new technologies, such as generative artificial intelligence (AI), a basic understanding is needed of the immediate, mid-term and long-term implications of these technologies for their cyber-resilience posture. | ・組織が生成的人工知能 (AI) などの新技術の導入競争を繰り広げる中で、これらの技術が組織のサイバーレジリエンス態勢に及ぼす直接的、中期的、長期的な影響について、基本的な理解が必要とされている。 |
| – Fewer than one in 10 respondents believe that in the next two years generative AI will give the advantage to defenders over attackers. | ・今後2年間で、生成的AIが攻撃者よりも防御者に有利になると考えている回答者は10人に1人以下である。 |
| – Approximately half of executives say that advances in adversarial capabilities (phishing, malware, deepfakes) present the most concerning impact of generative AI on cyber. | ・エグゼクティブの約半数は、敵対的能力(フィッシング、マルウェア、ディープフェイク)の進歩が、生成的AIがサイバーに与える影響を最も懸念していると回答している。 |
| The cyber-skills and talent shortage continues to widen at an alarming rate. | サイバースキルと人材不足は憂慮すべき速度で拡大し続けている。 |
| – Half of the smallest organizations by revenue say they either do not have or are unsure as to whether they have the skills they need to meet their cyber objectives. | ・売上規模が最も小さい組織の半数は、サイバー目標を達成するために必要なスキルを有していないか、有しているかどうかわからないと回答している。 |
| – Only 15% of all organizations are optimistic that cyber skills and education will significantly improve in the next two years. | ・今後2年間でサイバー・スキルと教育が大幅に改善されると楽観視している組織は、全体のわずか15%に過ぎない。 |
| – 52% of public organizations state that a lack of resources and skills is their biggest challenge when designing for cyber resilience. | ・公共組織の52%は、リソースとスキルの不足が、サイバーレジリエンスを設計する際の最大の課題であると述べている。 |
| Alignment between cyber and business is becoming more common. | サイバーとビジネスの連携は一般的になりつつある。 |
| Organizations (including both business and cyber leaders)4 must continue to invest in and maintain an awareness of essential security fundamentals. | 組織(ビジネスとサイバーの両方のリーダーを含む)4 は、セキュリティの基本的な要素に対す る投資を継続し、その意識を維持する必要がある。 |
| – 29% of organizations reported that they had been materially affected by a cyber incident in the past 12 months. | ・組織の 29%が、過去 12 カ月にサイバーインシデントによる重大な影響を受けたと回答している。 |
| – The largest organizations say that the highest barrier to cyber resilience is transforming legacy technology and processes. | ・最大手の組織は、サイバーレジリエンスを阻む最大の障壁は、レガシー技術とプロセスの変革であると述べている。 |
| – There is a clear link between cyber resilience and CEO engagement. This year, 93% of respondents that consider their organizations to be leaders and innovators in cyber resilience trust their CEO to speak externally about their cyber risk. Of organizations that are not cyber resilient, only 23% trust their CEO’s ability to speak about their cyber risk. | ・サイバーレジリエンスと最高経営責任者(CEO)のエンゲージメントには明確な関係がある。今年、自組織がサイバーレジリエンスのリーダーでありイノベーターであると考えている回答者の93%が、CEOがサイバーリスクについて対外的に発言することを信頼している。サイバーレジリエンスが低い組織では、サイバーリスクについてCEOが発言することを信頼しているのはわずか23%であった。 |
| Cyber ecosystem risk is becoming more problematic. | サイバーエコシステムのリスクはより問題になっている。 |
| For any organization, the partners in its ecosystem are both the greatest asset and the biggest hindrance to a secure, resilient and trustworthy digital future. | どのような組織にとっても、エコシステム内のパートナーは、安全でレジリエンスが高く、信頼できるデジタルの未来にとって最大の資産であると同時に、最大の障害でもある。 |
| – 41% of the organizations that suffered a material incident in the past 12 months say it was caused by a third party. | ・過去12ヶ月間に重大なインシデントに見舞われた組織の41%は、その原因がサードパーティにあると回答している。 |
| – 54% of organizations have an insufficient understanding of cyber vulnerabilities in their supply chain. Even 64% of executives who believe that their organization’s cyber resilience meets its minimum requirements to operate say they still have an inadequate understanding of their supply-chain cyber vulnerabilities. | ・54%の組織が、サプライチェーンにおけるサイバー脆弱性を十分に理解していない。自組織のサイバーレジリエンスが事業運営に最低限必要な要件を満たしていると考えている経営幹部の64%でさえ、サプライチェーンのサイバー脆弱性に対する理解がまだ不十分であると回答している。 |
| – 60% of executives agree that cyber and privacy regulations effectively reduce risk in their organization’s ecosystem – up 21% since 2022. | ・サイバー規制とプライバシー規制が組織のエコシステムにおけるリスクを効果的に削減することに同意する経営幹部は60%で、2022年以降21%増加している。 |
プレス...
・2024.01.11 These are the cyber trends leaders will need to navigate in 2024
| These are the cyber trends leaders will need to navigate in 2024 | これらは、2024年にリーダーがナビゲートする必要のあるサイバー・トレンドである。 |
| ・The World Economic Forum's Global Cybersecurity Outlook 2024 explores the multifaceted challenges facing leaders as they look to build cyber-resilience in their organizations. | ・世界経済フォーラムの「世界のサイバーセキュリティ概況 2024」は、組織におけるサイバーレジリエンスの構築を目指すリーダーが直面する多面的な課題を探っている。 |
| ・From skills shortages to the rise of generative AI, the report identifies the opportunities and the hurdles new technologies bring. | ・スキル不足から生成的AIの台頭まで、本レポートは新たなテクノロジーがもたらす機会とハードルを明らかにしている。 |
| ・Cybersecurity and resilience will be a key topic of the Forum's Annual Meeting in Davos 2024. | ・サイバーセキュリティとレジリエンスは、2024年にダボスで開催される同フォーラム年次総会の主要トピックとなる。 |
| A significant divide is growing between cyber-resilient organizations and those that have yet to put adequate measures in place, according to the latest World Economic Forum Global Cybersecurity Outlook. | 最新の世界経済フォーラム・世界のサイバーセキュリティ概況によると、サイバーレジリエンスに強い組織と、まだ十分な対策が講じられていない組織との間には、大きな隔たりが生じている。 |
| Faced with a range of challenges, hurdles and threats, organizations face a 'myriad' of transitions. There are causes for optimism, though, with cyber-resilience increasingly on leaders' agendas. | さまざまな課題、ハードル、脅威に直面している組織は、「無数の」移行に直面している。しかし、サイバーレジリエンスがますますリーダーたちの課題になってきており、楽観的な見方もできる。 |
| “As the cyber realm evolves in response to emerging technologies and shifting geopolitical and economic trends, so do the challenges that threaten our digital world,” said Jeremy Jurgens, Managing Director, World Economic Forum. “We urgently need coordinated action by key public-private stakeholders if we are to collectively address these complex, ever-evolving threats and build a secure digital future for all.” | 世界経済フォーラムのマネージング・ディレクターであるジェレミー・ユルゲンスは、次のように述べている。「サイバー領域が、新たなテクノロジーや地政学的・経済的トレンドの変化に応じて進化するにつれ、デジタル世界を脅かす課題も進化している。「これらの複雑で進化し続ける脅威に集団で対処し、すべての人にとって安全なデジタルの未来を築くためには、官民の主要な利害関係者による協調行動が緊急に必要である。」 |
| Here are the key findings of this year's report. | 以下は、今年の報告書の主な調査結果である。 |
| The rise of cyber inequity | サイバー格差の台頭 |
| The divide between cyber-resilient organizations and those that aren't is highlighted by the lack of a "middle-grouping" – those with basic cybersecurity protocols in place – the report says. | サイバーレジリエンスのある組織とそうでない組織との間の格差は、基本的なサイバーセキュリティ・プロトコルが整備されている「中間グループ」の欠如によって浮き彫りになっている、と報告書は述べている。 |
| It notes that small and medium enterprises, which make up a significant proportion of many countries' economies, are disproportionately affected. | 多くの国の経済で大きな割合を占める中小企業が、不釣り合いな影響を受けていることを指摘している。 |
| Indeed, 90% of executives surveyed at our Annual Meeting of Cybersecurity in November 2023 said urgent action was needed to address this growing inequity. | 実際、2023年11月に開催されたサイバーセキュリティ年次総会で行われた調査では、90%の経営幹部が、この拡大する格差に対処するために早急な対策が必要であると回答している。 |
| 31% | 31% |
| Drop in organizations reporting a minimum cyber resilience since 2022. | 2022年以降、最低限のサイバーレジリエンスを報告する組織が減少している。 |
| 25% | 25% |
| Just a quarter of small organizations have cyber insurance. | 小規模組織のわずか4分の1しかサイバー保険に加入していない。 |
 |
|
| Cyber inequity is growing. Image: World Economic Forum | サイバー格差が拡大している。画像 世界経済フォーラム |
| The risks associated with emerging technologies | 新興テクノロジーに伴うリスク |
| The rise of new and emerging technologies will also exacerbate existing challenges. Organizations must develop a better understanding of the impact of the new technologies they adopt, such as generative AI, from the perspective of cyber-resilience, the report warns. | 新たな新興テクノロジーの台頭も、既存の課題を悪化させるだろう。組織は、生成的AIなど、採用する新技術の影響を、サイバーレジリエンスの観点からより深く理解する必要がある、と報告書は警告している。 |
| Concerns around generative AI include its ability to enhance cyber adversaries' existing activities, such as phishing and the spreading of misinformation. | 生成的AIに関する懸念には、フィッシングや誤情報の拡散など、サイバー敵対者の既存の活動を強化する能力が含まれる。 |
| 56% | 56% |
| Leaders who believe gen AI will advantage cyberattackers over defenders in the next two years. | 今後2年間で、生成的AIが防御側よりもサイバー攻撃側に有利に働くと考えるリーダー。 |
| 7% | 7% |
| Forecast impact of Gen AI on global GDP over a 10-year period. | 生成的AIが10年間に世界のGDPに与える影響を予測。 |
 |
|
| Generative AI poses considerable risks for cyber resilience. Image: World Economic Forum | 生成的AIはサイバーレジリエンスにかなりのリスクをもたらす。画像 世界経済フォーラム |
| The widening cyber skills and talent shortage | 拡大するサイバー・スキルと人材不足 |
| Attracting and retaining cybersecurity talent is vital, but there is already a shortage of available professionals – as well as the lack of a robust talent pipeline – the report points out. | サイバーセキュリティの人材を惹きつけ、確保することは極めて重要であるが、利用可能な専門家はすでに不足しており、また強固な人材パイプラインの欠如も指摘されている。 |
| Emerging technologies are only set to increase this demand, with the number of leaders reporting shortages of skilled staff to respond to cyber incidents increasing year-on-year, rising from 6% in 2022 to 20% this year. | サイバーインシデントに対応する熟練スタッフの不足を報告するリーダーの数は年々増加しており、2022年の6%から今年は20%に増加している。 |
| 52% | 52% |
| Public organizations reporting skills and resourcing is their biggest cyber resilience challenge. | 公的機関は、スキルと人材確保が最大のサイバーレジリエンスの課題であると報告している。 |
| 15% | 15% |
| Organizations that are confident cyber skills and education will improve in the next two years. | 今後2年間で、サイバーに関するスキルと教育が改善されると確信している組織。 |
 |
|
| Skill gaps are a big challenge for organizations with regards to their cyber resilience. Image: World Economic Forum | スキルギャップは、組織のサイバーレジリエンスに関する大きな課題である。画像 世界経済フォーラム |
| Increasing recognition of cyber resilience in organizational risk management | 組織のリスクマネジメントにおけるサイバーレジリエンスの認識が高まる |
| Security executives have expressed increased concern about the level of cyber resilience in their business in this year's report. | 今年のレポートでは、セキュリティ担当幹部が、自社のビジネスにおけるサイバーレジリエンスのレベルに対する懸念を強めていることが示された。 |
| And, the growing awareness of cyber-risk and cybercrime among business executives has led to increased concern about their organization's ability to be cyber resilient. | また、企業幹部の間でサイバーリスクやサイバー犯罪に対する認識が高まっていることから、組織のサイバーレジリエンス能力に対する懸念が高まっている。 |
| Business and cyber leaders must continue to invest in and build awareness of security fundamentals, the report stresses. | ビジネスとサイバーのリーダーは、セキュリティの基本に投資し、その意識を高め続けなければならない、と報告書は強調している。 |
| 45% | 45% |
| leaders who say operational disruptions is their biggest concern. | リーダーは、業務上の混乱が最大の懸念事項であると回答している。 |
| 29% | 29% |
| Organizations reporting a material impact cyber incident in the previous 12 months. | 過去12カ月間に重大な影響を及ぼすサイバーインシデントが発生したと報告した組織。 |
 |
|
| Cyber resilience is increasingly becoming recognised as an important aspect of organizational risk management. Image: World Economic Forum | サイバーレジリエンスは、組織のリスクマネジメントの重要な側面として認識されつつある。画像 世界経済フォーラム |
| Cyber ecosystem risk is becoming more problematic | サイバーエコシステムリスクがより問題化している |
| While significant cyber-risk remains among third parties and within supply chains, collaboration between organizations can create opportunities to build resilience, the report says. | サードパーティ間やサプライチェーン内に大きなサイバーリスクが残る一方で、組織間のコラボレーションはレジリエンスを構築する機会を生み出すことができる、と報告書は述べている。 |
| These partnerships are both an organization's "greatest asset and biggest hindrance to secure, resilient and trustworthy digital future". | こうしたパートナーシップは、組織にとって「安全でレジリエンスが高く、信頼できるデジタルの未来を実現するための最大の資産であると同時に、最大の障害」でもある。 |
| Understanding supply chain risks and those from third-party relationships is essential for organizations to increase their cyber-resilience, it warns. | 組織がサイバーレジリエンスを高めるためには、サプライチェーンのリスクとサードパーティとの関係から生じるリスクを理解することが不可欠である、と同レポートは警告している。 |
| 51% | 51% |
| Leaders who say supply chain partners have not asked them for proof of their cybersecurity posture. | サプライチェーン・パートナーからサイバーセキュリティ態勢の証明を求められていないと回答したリーダー。 |
| 41% | 41% |
| Organizations who suffered a material incident in the previous 12 months say a third party caused it. | 過去12ヶ月間に重大なインシデントに見舞われた組織は、サードパーティがその原因を作ったと回答している。 |
 |
|
| Organizations need to analyse their cyber ecosystem risk. Image: World Economic Forum | 企業はサイバーエコシステムのリスクを分析する必要がある。画像 世界経済フォーラム |
| Building cyber resilience | サイバーレジリエンスの構築 |
| The growing gap in cyber resilience is being driven by the ability to cultivate best practices, attracting the right talent and the cost of the correct tools and services, according to the report. | 報告書によると、サイバーレジリエンスにおける格差の拡大は、ベストプラクティスを育成する能力、適切な人材の確保、適切なツールやサービスのコストによってもたらされている。 |
| This inequity means some organizations will win and some will lose out. However, there are reasons to be optimistic, the report stresses. The fundamentals that cyber professionals have put in place are working. | この格差は、一部の組織が勝利し、一部の組織が敗北することを意味する。しかし、楽観できる理由もあると報告書は強調している。サイバー専門家が導入した基本は機能している。 |
| However, there needs to be a concerted effort to change the current trajectory. | しかし、現在の軌道を変えるための協調的な努力が必要である。 |
| “No country or organization is spared from cybercrime, yet many are direly underequipped to effectively face the threats, and we cannot have effective global response mechanisms without closing the capacity gap,” said Jürgen Stock, Secretary General, INTERPOL. | INTERPOL事務局長のユルゲン・ストックは次のように述べている。「どの国や組織もサイバー犯罪から免れることはできないが、その多くは脅威に効果的に対処するための能力が著しく不足しており、この能力差を埋めることなしに、効果的なグローバル対応メカニズムを構築することはできない。」 |
| “It is crucial that key stakeholders work collaboratively towards immediate, strategic actions that can help ensure a more secure and resilient global cyberspace." | 「主要な利害関係者が、より安全でレジリエンスに優れたグローバルなサイバー空間を確保するために、早急かつ戦略的な行動に向けて協働することが極めて重要である。 |
| Cyber resilience at Davos | ダボス会議でのサイバーレジリエンス |
| Cybersecurity and resilience will be on the agenda at our Annual Meeting in Davos from 15-19 January. Find out more about the meeting here and follow events via the website and across our social media channels. | 1月15日から19日までダボスで開催される年次総会では、サイバーセキュリティとレジリエンスが議題となる。ダボス会議の詳細については、こちらをご覧いただきたい。また、ダボス会議のウェブサイトやソーシャルメディア・チャンネルでイベントをフォローしていただきたい。 |
| Have you read? | もうお読みになっただろうか? |
| Davos 2024: Who's coming and what to expect | ダボス会議2024: ダボス会議とその先: |
| Davos and beyond: A timeline of the highlights | ダボス会議とその後 ダボス会議のハイライト |
過去分...
| 19 | 2024 | 2024.01.11 | Web | Home | |
| 18 | 2023 | 2023.01.11 | Web | Home | |
| 17 | 2022 | 2022.01.11 | Web | Press | |
| 16 | 2021 | 2021.01.19 | Web | Press | |
| 15 | 2020 | 2020.01.15 | Web | Press | |
| 14 | 2019 | 2019.01.15 | Web | Press | |
| 13 | 2018 | 2018.01.17 | Web | Press | |
| 12 | 2017 | 2017.01.11 | Web | Press | |
| 11 | 2016 | 2016.01.14 | Web | Press | |
| 10 | 2015 | 2015.01.09 | Web | Press | |
| 9 | 2014 | 2014.01.12 | Web | Press | |
| 8 | 2013 | 2012.10.30 | Web | Press | |
| 7 | 2012 | 2012.01.05 | Web | Press | |
| 6 | 2011 | 2011.09.27 | Web | Press | |
| 5 | 2010 | 2010.01.04 | Web | Press | |
| 4 | 2009 | ||||
| 3 | 2008 | ||||
| 2 | 2007 | ||||
| 1 | 2006 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.03.09 世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2023 (2023.01.18)
・2022.01.20 世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2022
Global Risks Report
・2024.01.12 世界経済フォーラム (WEF) The Global Risks Report 2024 19th Edition グローバルリスク報告書2024
・2023.01.12 世界経済フォーラム (WEF) The Glo bal Risks Report 2023 18th Edition グローバルリスク報告書2023
・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機
・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである
こんにちは、丸山満彦です。
今年もグローバルリスク報告書が、ダボス会議を前に公表されていますね。。。
ちなみに、この調査は2023年9月−10月に実施されているので、その後の大きな事案についての影響は反映されていないかもしれませんね。。。
ということも踏まえて、昨年、一昨年と短期のリスク(今後2年間に重要となるであろうリスク)で比較すると...
ちなみに現在のリスクでいうと、、、
● World Economic Forum
・2024.01.11 Global Risks Report 2024
・[PDF] Global Risks Report 2024 19th Edition
目次...
| Preface | 序文 |
| Overview of methodology | 方法論の概要 |
| Key findings | 主な調査結果 |
| Chapter 1: Global Risks 2024: At a turning point | 第1章 2024年の世界リスク: 転換期を迎えて |
| 1.1 The world in 2024 | 1.1 2024年の世界 |
| 1.2 The path to 2026 | 1.2 2026年への道 |
| 1.3 False information | 1.3 偽情報 |
| 1.4 Rise in conflict | 1.4 紛争の増加 |
| 1.5 Economic uncertainty | 1.5 経済の不確実性 |
| 1.6 Looking ahead | 1.6 将来を展望する |
| Endnotes | 巻末資料 |
| Chapter 2: Global Risks 2034: Over the limit | 第2章 2034年の世界リスク:限界を超える |
| 2.1 The world in 2034 | 2.1 2034年の世界 |
| 2.2 Structural forces | 2.2 構造的な力 |
| 2.3 A 3°C world | 2.3 3℃の世界 |
| 2.4 AI in charge | 2.4 AIが支配する |
| 2.5 The end of development? | 2.5 開発の終焉? |
| 2.6 Crime wave | 2.6 犯罪の波 |
| 2.7 Preparing for the decade ahead | 2.7 今後10年に備える |
| Endnotes | 巻末資料 |
| Chapter 3: Responding to global risks | 第3章 グローバルリスクへの対応 |
| 3.1 Localized strategies | 3.1 地域に根ざした戦略 |
| 3.2 Breakthrough endeavors | 3.2 画期的な試み |
| 3.3 Collective actions | 3.3 集団行動 |
| 3.4 Cross-border coordination | 3.4 国境を越えた協調 |
| 3.5 Conclusion | 3.5 おわりに |
| Endnotes | 巻末資料 |
| Appendix A: Definitions and Global Risks List | 附属書A:定義とグローバルリスクリスト |
| Appendix B: Global Risks Perception Survey 2023-2024 | 附属書B:グローバル・リスクに関する意識調査 2023-2024 |
| Appendix C: Executive Opinion Survey: National Risk Perceptions | 附属書C:経営者意識調査: 各国のリスク認識 |
| Appendix D: Risk governance | 附属書D: リスクガバナンス |
| Partner Institutes | パートナー機構 |
| Acknowledgements | 謝辞 |
Key Findings...
| Key findings | 主な調査結果 |
| The Global Risks Report 2024 presents the findings of the Global Risks Perception Survey (GRPS), which captures insights from nearly 1,500 global experts. The report analyses global risks through three time frames to support decision-makers in balancing current crises and longer-term priorities. Chapter 1 explores the most severe current risks, and those ranked highest by survey respondents, over a two-year period, analysing in depth the three risks that have rapidly accelerated into the top 10 rankings over the two-year horizon. Chapter 2 focuses on the top risks emerging over the next decade against a backdrop of geostrategic, climate, technological and demographic shifts, diving deeper into four specific risk outlooks. The report concludes by considering approaches for addressing complex and non-linear aspects of global risks during this period of global fragmentation. Below are the key findings of the report. | グローバル・リスク・レポート2024』は、グローバル・リスク認識調査(GRPS)の結果をまとめたものである。本レポートは、意思決定者が現在の危機と長期的な優先事項のバランスを取れるよう、3つの時間軸で世界のリスクを分析している。第1章では、現在の最も深刻なリスク、および調査回答者が最も高く評価したリスクを2年間にわたり調査し、2年間で急速にランキングトップ10入りを果たした3つのリスクを詳細に分析している。第2章では、地政学的、気候的、技術的、人口統計学的なシフトを背景に、今後10年間に顕在化するリスクの上位に焦点を当て、4つの具体的なリスク見通しについて深く掘り下げている。本レポートは、世界的な分断が進む中、グローバル・リスクの複雑かつ非直線的な側面に対処するためのアプローチを検討することで締めくくられている。以下は、本レポートの主な調査結果である。 |
| A deteriorating global outlook | 悪化する世界的見通し |
| Looking back at the events of 2023, plenty of developments captured the attention of people around the world – while others received minimal scrutiny. Vulnerable populations grappled with lethal conflicts, from Sudan to Gaza and Israel, alongside record-breaking heat conditions, drought, wildfires and flooding. Societal discontent was palpable in many countries, with news cycles dominated by polarization, violent protests, riots and strikes. | 2023年の出来事を振り返ってみると、多くの出来事が世界中の人々の注目を集めたが、一方でほとんど注目されなかった出来事もあった。脆弱性を抱える人々は、記録的な暑さ、干ばつ、山火事、洪水に加え、スーダンからガザ、イスラエルに至るまで、致命的な紛争に直面した。社会の不満は多くの国で顕著であり、偏向、暴力的な抗議行動、暴動、ストライキがニュースを席巻した。 |
| Although globally destabilizing consequences – such as those seen at the initial outbreak of the Russia-Ukraine war or the COVID-19 pandemic – were largely avoided, the longer-term outlook for these developments could bring further global shocks. | ロシア・ウクライナ戦争やCOVID-19パンデミックの勃発時に見られたような、世界的に不安定化するような事態はほぼ回避されたものの、こうした事態の長期的な見通しは、さらなる世界的な衝撃をもたらす可能性がある。 |
| As we enter 2024, 2023-2024 GRPS results highlight a predominantly negative outlook for the world over the next two years that is expected to worsen over the next decade (Figure A). Surveyed in September 2023, the majority of respondents (54%) anticipate some instability and a moderate risk of global catastrophes, while another 30% expect even more turbulent conditions. The outlook is markedly more negative over the 10-year time horizon, with nearly two-thirds of respondents expecting a stormy or turbulent outlook. | 2024年に入り、2023-2024年GRPSの結果は、今後2年間の世界の見通しが圧倒的にネガティブであることを浮き彫りにし、それは今後10年間で悪化すると予想される(図A)。2023年9月に実施した調査では、回答者の過半数(54%)が何らかの不安定性と世界的な大災害の中程度のリスクを予想しており、さらに30%はさらに激動する状況を予想している。10年後の見通しでは、回答者の3分の2近くが荒天または激動を予想しており、見通しは著しくネガティブである。 |
| In this year’s report, we contextualize our analysis through four structural forces that will shape the materialization and management of global risks over the next decade. These are longer-term shifts in the arrangement of and relationship between four systemic elements of the global landscape: | 今年のレポートでは、今後10年間のグローバル・リスクの顕在化とマネジメントを形作るであろう4つの構造的な力を通して分析を行った。これらは、世界情勢を構成する4つのシステマティックな要素の配置や関係性における、より長期的なシフトである: |
| – Trajectories relating to global warming and related consequences to Earth systems (Climate change). | - 地球温暖化とそれに関連する地球システムへの影響に関する軌道(気候変動)。 |
| – Changes in the size, growth and structure of populations around the world (Demographic bifurcation). | - 世界中の人口の規模、成長、構造の変化(人口分断)。 |
| – Developmental pathways for frontier technologies (Technological acceleration). | - フロンティア技術の発展経路(技術加速)。 |
| – Material evolution in the concentration and sources of geopolitical power (Geostrategic shifts). | - 地政学的パワーの集中と源泉における物質的進化(地政学的シフト)。 |
| A new set of global conditions is taking shape across each of these domains and these transitions will be characterized by uncertainty and volatility. As societies seek to adapt to these changing forces, their capacity to prepare for and respond to global risks will be affected. | これらの各領域で新たな世界情勢が形成されつつあり、これらの移行は不確実性と変動性を特徴とする。社会がこうした変化する力への適応を模索するにつれて、グローバル・リスクへの備えと対応の能力が影響を受けることになる。 |
| FIGURE A Short and long-term global outlook | 図A 短期および長期の世界的見通し |
| "Which of the following best characterizes your outlook for the world over the following time periods?" | 以下の期間における世界の見通しについて、最も適切なものはどれか? |
 |
|
| Environmental risks could hit the point of no return | 環境リスクは戻れないポイントに達する可能性がある |
| Environmental risks continue to dominate the risks landscape over all three time frames. Two-thirds of GRPS respondents rank Extreme weather as the top risk most likely to present a material crisis on a global scale in 2024 (Figure B), with the warming phase of the El Niño-Southern Oscillation (ENSO) cycle projected to intensify and persist until May this year. It is also seen as the second-most severe risk over the two-year time frame and similar to last year’s rankings, nearly all environmental risks feature among the top 10 over the longer term (Figure C). | 環境リスクは、3つの時間軸すべてにおいて、引き続きリスク展望を支配している。GRPSの回答者の3分の2が、2024年に世界規模で重大な危機をもたらす可能性が最も高いリスクとして「異常気象」を挙げており(図B)、エルニーニョ・南方振動(ENSO)周期の温暖化局面が激化し、今年5月まで持続すると予測されている。また、エルニーニョは、2年間の期間で2番目に深刻なリスクと見られており、昨年のランキングと同様、長期的にはほぼすべての環境リスクがトップ10に入る(図C)。 |
| However, GRPS respondents disagree about the urgency of environmental risks, in particular Biodiversity loss and ecosystem collapse and Critical change to Earth systems. Younger respondents tend to rank these risks far more highly over the two-year period compared to older age groups, with both risks featuring in their top 10 rankings in the short term. The private sector highlights these risks as top concerns over the longer term, in contrast to respondents from civil society or government who prioritize these risks over shorter time frames. This dissonance in perceptions of urgency among key decision-makers implies sub-optimal alignment and decision-making, heightening the risk of missing key moments of intervention, which would result in long-term changes to planetary systems. | しかし、GRPSの回答者は、環境リスク、特に生物多様性の損失と生態系の崩壊、地球システムの危機的変化の緊急性については意見が分かれている。若年層の回答者は、高年齢層と比較して、2年間にわたりこれらのリスクをはるかに高く評価する傾向があり、短期的には両リスクともトップ10にランクインしている。民間部門は、これらのリスクを長期的な最重要課題として取り上げているが、これとは対照的に、市民社会や政府の回答者は、これらのリスクを短期的なものから優先している。主要な意思決定者の緊急性に対するこのような認識の不一致は、最適な連携と意思決定がなされていないことを意味し、惑星システムに長期的な変化をもたらすような重要な介入のタイミングを逃すリスクを高めている。 |
| Chapter 2.3: A 3°C world explores the consequences of passing at least one “climate tipping point” within the next decade. Recent research suggests that the threshold for triggering long-term, potentially irreversible and selfperpetuating changes to select planetary systems is likely to be passed at or before 1.5°C of global warming, which is currently anticipated to be reached by the early 2030s. Many economies will remain largely unprepared for “non-linear” impacts: the potential triggering of a nexus of several related socioenvironmental risks has the potential to speed up climate change, through the release of carbon emissions, and amplify related impacts, threatening climate-vulnerable populations. The collective ability of societies to adapt could be overwhelmed, considering the sheer scale of potential impacts and infrastructure investment requirements, leaving some communities and countries unable to absorb both the acute and chronic effects of rapid climate change. | 第2.3章:3℃の世界では、今後10年以内に少なくとも1つの「気候の転換点」を通過した場合の結果を探る。最近の研究によると、一部の惑星系に長期的かつ不可逆的で自己増殖的な変化を引き起こす閾値は、地球温暖化1.5℃か、それ以前に通過する可能性が高い。多くの経済は、「非線形」の影響に対する備えをほとんどしていないままであろう。関連するいくつかの社会環境リスクの連鎖を引き起こす可能性は、炭素排出の放出を通じて気候変動を加速させ、関連する影響を増幅させ、気候変動に脆弱な人々を脅かす可能性がある。潜在的な影響と必要なインフラ投資の規模の大きさを考慮すると、社会の集団的な適応能力は圧倒される可能性があり、一部の地域社会や国は、急激な気候変動の急性・慢性両方の影響を吸収できないままとなる。 |
| As polarization grows and technological risks remain unchecked, ‘truth’ will come under pressure | 二極化が進み、技術的リスクが抑制されないままであるため、「真実」は圧力を受けることになる。 |
| Societal polarization features among the top three risks over both the current and two-year time horizons, ranking #9 over the longer term. In addition, Societal polarization and Economic downturn are seen as the most interconnected – and therefore influential – risks in the global risks network (Figure D), as drivers and possible consequences of numerous risks. | 社会の分極化は、現在と2年後の両時点でトップ3に入り、長期的には9位にランクインしている。加えて、社会的二極化と景気後退は、グローバル・リスク・ネットワーク(図D)において、多くのリスクを誘発し、その結果として起こりうるものとして、最も相互に関連し合い、したがって影響力のあるリスクと見なされている。 |
| FIGURE B Current risk landscape | 図B 現在のリスク状況 |
| Please select up to five risks that you believe are most likely to present a material crisis on a global scale in 2024." | 2024年に世界規模で重大な危機をもたらす可能性が最も高いと思われるリスクを5つまで選んでください。 |
 |
|
| FIGURE C Global risks ranked by severity over the short and long term | 図C 短期的および長期的な重大度によってランク付けされたグローバル・リスク |
| "Please estimate the likely impact (severity) of the following risks over a 2-year and 10-year period." | 「以下のリスクについて、2年後と10年後にどのような影響(深刻度)を受ける可能性があるかを推定してくださ い。 |
 |
|
| Emerging as the most severe global risk anticipated over the next two years, foreign and domestic actors alike will leverage Misinformation and disinformation to further widen societal and political divides (Chapter 1.3: False information). As close to three billion people are expected to head to the electoral polls across several economies – including Bangladesh, India, Indonesia, Mexico, Pakistan, the United Kingdom and the United States – over the next two years, the widespread use of misinformation and disinformation, and tools to disseminate it, may undermine the legitimacy of newly elected governments. Resulting unrest could range from violent protests and hate crimes to civil confrontation and terrorism. | 今後2年間に予想される最も深刻なグローバル・リスクとして浮上するのは、国内外の関係者が誤情報と偽情報を活用し、社会的・政治的分断をさらに広げることである(第1.3章:偽情報)。今後2年間で、バングラデシュ、インド、インドネシア、メキシコ、パキスタン、英国、米国など、いくつかの経済圏で30億人近くが選挙投票に向かうと予想される中、誤報や偽情報の広範な利用やそれを広めるツールが、新たに選出された政府の正統性を損なう可能性がある。その結果、暴力的な抗議行動やヘイトクライムから、市民的対立やテロに至るまで、さまざまな不安が生じる可能性がある。 |
| Beyond elections, perceptions of reality are likely to also become more polarized, infiltrating the public discourse on issues ranging from public health to social justice. However, as truth is undermined, the risk of domestic propaganda and censorship will also rise in turn. In response to mis- and disinformation, governments could be increasingly empowered to control information based on what they determine to be “true”. Freedoms relating to the internet, press and access to wider sources of information that are already in decline risk descending into broader repression of information flows across a wider set of countries. | 選挙にとどまらず、現実に対する認識も二極化し、公衆衛生から社会正義に至るまで、さまざまな問題についての言論が浸透する可能性がある。しかし、真実が損なわれるにつれ、国内でのプロパガンダや検閲のリスクも高まるだろう。誤報や偽情報に対応するため、政府は「真実」と判断する内容に基づいて情報を統制する権限をますます強める可能性がある。インターネット、報道、より広範な情報源へのアクセスに関する自由は、すでに低下しつつあるが、より広範な国々で、情報の流れに対するより広範な抑圧に陥るリスクがある。 |
| Economic strains on low- and middle-income people – and countries – are set to grow | 低・中所得層の人々、そして国々に対する経済的な負担はますます大きくなる。 |
| The Cost-of-living crisis remains a major concern in the outlook for 2024 (Figure B). The economic risks of Inflation (#7) and Economic downturn (#9) are also notable new entrants to the top 10 risk rankings over the two-year period (Figure C). Although a “softer landing” appears to be prevailing for now, the near-term outlook remains highly uncertain. There are multiple sources of continued supply-side price pressures looming over the next two years, from El Niño conditions to the potential escalation of live conflicts. And if interest rates remain relatively high for longer, small- and mediumsized enterprises and heavily indebted countries will be particularly exposed to debt distress (Chapter 1.5: Economic uncertainty). | 生活費の危機は、2024年の見通しでも依然として大きな懸念事項である(図B)。インフレ」(7位)と「景気後退」(9位)という経済リスクも、この2年間で新たにトップ10入りした注目すべきリスクである(図C)。今のところ「ソフトランディング」が優勢に見えるが、短期的な見通しは依然として極めて不透明である。今後2年間は、エルニーニョ現象から紛争激化の可能性まで、供給サイドからの価格圧力が続く可能性が複数ある。また、金利が相対的に高い状態が長く続けば、中小エ ンタープライズや重債務国は特に債務苦にさらされることになる(「1.5章 経済の不確実性」)。 |
| Economic uncertainty will weigh heavily across most markets, but capital will be the costliest for the most vulnerable countries. Climate-vulnerable or conflictprone countries stand to be increasingly locked out of much-needed digital and physical infrastructure, trade and green investments and related economic opportunities. As the adaptive capacities of these fragile states erodes further, related societal and environmental impacts are amplified. | 経済の不確実性は、ほとんどの市場で重くのしかかるが、最も脆弱性の高い国々にとっては、資本コストが最も高くなる。気候変動の影響を受けやすい国や紛争の影響を受けやすい国は、必要とされるデジタルインフラや物理的インフラ、貿易、グリーン投資、関連する経済機会からますます締め出されることになる。このような脆弱な国家の適応能力がさらに損なわれれば、関連する社会的・環境的影響は増幅される。 |
| Similarly, the convergence of technological advances and geopolitical dynamics will likely create a new set of winners and losers across advanced and developing economies alike (Chapter 2.4: AI in charge). If commercial incentives and geopolitical imperatives, rather than public interest, remain the primary drivers of the development of artificial intelligence (AI) and other frontier technologies, the digital gap between high- and low-income countries will drive a stark disparity in the distribution of related benefits – and risks. Vulnerable countries and communities would be left further behind, digitally isolated from turbocharged AI breakthroughs impacting economic productivity, finance, climate, education and healthcare, as well as related job creation. | 同様に、技術の進歩と地政学的ダイナミクスの融合は、先進国、途上国を問わず、新たな勝者と敗者を生み出す可能性が高い(第2.4章:AI担当)。人工知能(AI)やその他のフロンティア・テクノロジーの開発において、公共の利益よりもむしろ、商業的インセンティブや地政学的な要請が主要な原動力のままであれば、高所得国と低所得国の間のデジタル格差によって、関連する利益(そしてリスク)の分配に著しい格差が生じるだろう。脆弱性のある国やコミュニティは、経済生産性、金融、気候、教育、ヘルスケア、そして関連する雇用創出に影響を与える、AIによるターボチャージャーによるブレークスルーからデジタル的に隔離され、さらに取り残されることになるだろう。 |
| FIGURE D Global risks landscape: an interconnections map | 図D グローバルなリスク展望:相互関連マップ |
 |
|
| Over the longer term, developmental progress and living standards are at risk. Economic, environmental and technological trends are likely to entrench existing challenges around labour and social mobility, blocking individuals from income and skilling opportunities, and therefore the ability to improve economic status (Chapter 2.5: End of development?). Lack of economic opportunity is a top 10 risk over the two-year period, but is seemingly less of a concern for global decision-makers over the longer-term horizon, dropping to #11 (Figure E). High rates of job churn – both job creation and destruction – have the potential to result in deeply bifurcated labour markets between and within developed and developing economies. While the productivity benefits of these economic transitions should not be underestimated, manufacturing- or services-led export growth might no longer offer traditional pathways to greater prosperity for developing countries. | 長期的には、発展の進展と生活標準がリスクにさらされている。経済的、環境的、技術的なトレンドは、労働と社会的流動性をめぐる既存の課題を深刻化させる可能性が高く、個人が所得や技能習得の機会から妨げられ、その結果、経済的地位を向上させる能力が失われる(第2.5章:開発の終焉?) 経済的機会の欠如は、2年間のリスクとしてはトップ10に入るが、長期的な視野に立てば、グローバルな意思決定者にとっての懸念事項ではなくなり、11位に落ちるようである(図E)。高い雇用変動率(雇用の創出と破壊の両方)は、先進国と発展途上国の間、または先進国と発展途上国の中で、労働市場を深く二分する可能性がある。こうした経済移行がもたらす生産性の便益を過小評価すべきではないが、製造業やサービス業主導の輸出成長は、もはや発展途上国にとって、より大きな繁栄への伝統的な道筋を提供しないかもしれない。 |
| The narrowing of individual pathways to stable livelihoods would also impact metrics of human development – from poverty to access to education and healthcare. Marked changes in the social contract as intergenerational mobility declines would radically reshape societal and political dynamics in both advanced and developing economies. | 安定した生活への個々の道筋が狭まることは、貧困から教育や医療へのアクセスに至るまで、人間開発の指標にも影響を与えるだろう。世代間の流動性が低下し、社会契約に著しい変化が生じれば、先進国・途上国双方の社会的・政治的ダイナミクスが根本的に再構築されるだろう。 |
| Simmering geopolitical tensions combined with technology will drive new security risks | 地政学的緊張の高まりとテクノロジーの融合が新たな安全保障リスクを生む |
| As both a product and driver of state fragility, Interstate armed conflict is a new entrant into the top risk rankings over the two-year horizon (Figure C). As the focus of major powers becomes stretched across multiple fronts, conflict contagion is a key concern (Chapter 1.4: Rise in conflict). There are several frozen conflicts at risk of heating up in the near term, due to spillover threats or growing state fragility. | 国家の脆弱性の産物であると同時に推進要因でもある国家間の武力紛争は、2年後のリスクランキングの上位に新たにランクインする(図C)。大国の焦点が複数の戦線にまたがるようになると、紛争の伝染が重要な懸念となる(第1.4章 紛争の増加)。波及的な脅威や国家の脆弱性の増大により、当面、いくつかの凍結された紛争が加熱するリスクがある。 |
| This becomes an even more worrying risk in the context of recent technological advances. In the absence of concerted collaboration, a globally fragmented approach to regulating frontier technologies is unlikely to prevent the spread of its most dangerous capabilities and, in fact, may encourage proliferation (Chapter 2.4: AI in charge). Over the longer-term, technological advances, including in generative AI, will enable a range of non-state and state actors to access a superhuman breadth of knowledge to conceptualize and develop new tools of disruption and conflict, from malware to biological weapons. | このリスクは、近年の技術進歩の中で、さらに憂慮すべきものとなっている。協調がなければ、フロンティア技術を規制するための世界的に分断されたアプローチでは、最も危険な能力の拡散を防ぐことは難しく、むしろ拡散を助長しかねない(第2.4章:AI担当)。長期的には、生成的AIを含む技術の進歩により、さまざまな非国家・国家主体が、マルウェアから生物兵器に至るまで、混乱や紛争を引き起こす新たな手段を構想・開発するための超人的な知識の幅にアクセスできるようになるだろう。 |
| In this environment, the lines between the state, organized crime, private militia and terrorist groups would blur further. A broad set of non-state actors will capitalize on weakened systems, cementing the cycle between conflict, fragility, corruption and crime. Illicit economic activity (#31) is one of the lowest-ranked risks over the 10-year period but is seen to be triggered by a number of the top-ranked risks over the two- and 10-year horizons (Figure D). Economic hardship – combined with technological advances, resource stress and conflict – is likely to push more people towards crime, militarization or radicalization and contribute to the globalization of organized crime in targets and operations (Chapter 2.6: Crime wave). | このような環境では、国家、組織犯罪、民兵、テロ集団の境界線はさらに曖昧になるだろう。広範な非国家主体が弱体化したシステムを利用し、紛争、脆弱性、腐敗、犯罪のサイクルを強固なものにするだろう。不正な経済活動(31位)は、10年間では最も低いランクにあるリスクのひとつだが、2年後、10年後を見通すと、上位にランクされる多くのリスクによって引き起こされると考えられる(図D)。経済的苦境は、技術の進歩、資源ストレス、紛争と相まって、より多くの人々を犯罪、軍事化、急進化へと向かわせ、標的や活動において組織犯罪のグローバル化に寄与すると考えられる(第2.6章 犯罪の波)。 |
| The growing internationalization of conflicts by a wider set of powers could lead to deadlier, prolonged warfare and overwhelming humanitarian crises. With multiple states engaged in proxy, and perhaps even direct warfare, the incentives to condense decision time through the integration of AI will grow. The creep of machine intelligence into conflict decision-making – to autonomously select targets and determine objectives – would significantly raise the risk of accidental or intentional escalation over the next decade. | より広範な勢力による紛争の国際化の進展は、より殺伐とした、長期化する戦争と圧倒的な人道危機をもたらす可能性がある。複数の国家が代理戦争、そしておそらくは直接戦争に関与することで、AIの統合によって意思決定時間を短縮するインセンティブが高まるだろう。紛争における意思決定(自律的に標的を選定し、目的を決定する)に機械知能が入り込むことは、今後10年間で、偶発的または意図的なエスカレーションのリスクを著しく高めるだろう。 |
| Ideological and geoeconomic divides will disrupt the future of governance | イデオロギー的・地理経済的対立が将来のガバナンスを混乱させる |
| A deeper divide on the international stage between multiple poles of power and between the Global North and South would paralyze international governance mechanisms and divert the attention and resources of major powers away from urgent global risks. | 国際舞台における権力の多極間および北と南の間の溝が深まれば、国際ガバナンス・メカニズムは麻痺し、大国の関心と資源は緊急のグローバル・リスクから遠ざかるだろう。 |
| Asked about the global political outlook for cooperation on risks over the next decade, twothirds of GRPS respondents feel that we will face a multipolar or fragmented order in which middle and great powers contest, set and enforce regional rules and norms. Over the next decade, as dissatisfaction with the continued dominance of the Global North grows, an evolving set of states will seek a more pivotal influence on the global stage across multiple domains, asserting their power in military, technological and economic terms. | GRPSの回答者の3分の2は、今後10年間のリスクに対する協力に関する世界政治の見通しについて質問され、中堅国や大国が地域的なルールや規範を争ったり、設定したり、実施したりする多極的あるいは断片的な秩序に直面すると感じている。今後10年間、北半球の支配が続くことへの不満が高まるにつれ、進化する国家群が、軍事的、技術的、経済的に自らの力を主張しながら、複数の領域にわたってグローバルな舞台でより極めて重要な影響力を求めるようになるだろう。 |
| As states in the Global South bear the brunt of a changing climate, the aftereffects of pandemicera crises and geoeconomic rifts between major powers, growing alignment and political alliances within this historically disparate group of countries could increasingly shape security dynamics, including implications for high-stakes hotspots: the Russia-Ukraine war, the Middle East conflict and tensions over Taiwan (Chapter 1.4: Rise in conflict). Coordinated efforts to isolate “rogue” states are likely to be increasingly futile, while international governance and peacekeeping efforts shown to be ineffective at “policing” conflict could be sidelined. | グローバル・サウスの国々が気候変動の影響を受け、パンデミック危機の後遺症や大国間の地政学的な亀裂に見舞われる中、この歴史的に異質な国のグループ内での連携と政治的同盟の高まりは、ロシア・ウクライナ戦争、中東紛争、台湾をめぐる緊張など、利害関係の大きいホットスポットへの影響も含め、安全保障のダイナミクスをますます形作る可能性がある(第1.4章 紛争の勃発)。ならず者」国家を孤立させるための協調的な努力はますます無益になる可能性が高く、一方、紛争を「取り締まる」効果がないことが明らかになった国際ガバナンスや平和維持の努力は傍観される可能性がある。 |
| The shifting balance of influence in global affairs is particularly evident in the internationalization of conflicts – where pivotal powers will increasingly lend support and resources to garner political allies – but will also shape the longer-term trajectory and management of global risks more broadly. For example, access to highly concentrated tech stacks will become an even more critical component of soft power for major powers to cement their influence. However, other countries with competitive advantages in upstream value chains – from critical minerals to high-value IP and capital – will likely leverage these economic assets to obtain access to advanced technologies, leading to novel power dynamics. | 世界情勢における影響力のバランスの変化は、特に紛争の国際化(枢軸国が政治的同盟者を獲得するために支援や資源を提供する傾向が強まる)において顕著であるが、それだけでなく、より広範なグローバル・リスクの長期的な軌道とマネジメントを形作ることになる。例えば、大国がその影響力を強固なものにするためには、高度に集積された技術スタックへのアクセスがソフトパワーの重要な要素となる。しかし、重要な鉱物から高価値の知的財産や資本に至るまで、上流のバリューチェーンで競争上の優位性を持つ他の国々は、こうした経済資産を活用して先端技術へのアクセスを獲得し、新たなパワー・ダイナミクスをもたらす可能性が高い。 |
| Opportunities for action to address global risks in a fragmented world | 分断化された世界におけるグローバルリスクに対処するための行動機会 |
| Cooperation will come under pressure in this fragmented, in-flux world. However there remain key opportunities for action that can be taken locally or internationally, individually or collaboratively – that can significantly reduce the impact of global risks. | 分断化され、流動化した世界では、協力は圧力にさらされるだろう。しかし、グローバル・リスクの影響を大幅に軽減できるような、地域的または国際的、個別的または協調的な行動をとることができる重要な機会が残されている。 |
| Localized strategies leveraging investment and regulation can reduce the impact of those inevitable risks that we can prepare for, and both the public and private sector can play a key role to extend these benefits to all. Single breakthrough endeavors, grown through efforts to prioritize the future and focus on research and development, can similarly help make the world a safer place. The collective actions of individual citizens, companies and countries may seem insignificant on their own, but at critical mass they can move the needle on global risk reduction. Finally, even in a world that is increasingly fragmented, cross-border collaboration at scale remains critical for risks that are decisive for human security and prosperity. | 投資と規制を活用した地域密着型の戦略は、私たちが備えることのできる避けられないリスクの影響を軽減することができ、官民両セクターは、こうした恩恵をすべての人に広げるために重要な役割を果たすことができる。未来を優先し、研究開発に注力する努力によって成長する、単一の画期的な試みも同様に、世界をより安全な場所にするのに役立つ。個々の市民、企業、国の集団的な行動は、それ単体では取るに足らないように見えるかもしれないが、臨界量に達すれば、世界的なリスク削減の針を動かすことができる。最後に、分断化が進む世界であっても、人間の安全保障と繁栄にとって決定的なリスクに対しては、国境を越えた大規模な協力が不可欠であることに変わりはない。 |
| The next decade will usher in a period of significant change, stretching our adaptive capacity to the limit. A multiplicity of entirely different futures is conceivable over this time frame, and a more positive path can be shaped through our actions to address global risks today. | 次の10年は大きな変化の時代を迎え、私たちの適応能力は限界まで伸びるだろう。この期間には、まったく異なるさまざまな未来が考えられるが、今日のグローバル・リスクに対処するための行動を通じて、より前向きな道を切り開くことができる。 |
| FIGURE E Global risks ranked by severity | 図E グローバル・リスクの深刻度ランキング |
| "Please estimate the likely impact (severity) of the following risks over a 2-year and 10-year period." | 以下のリスクについて、2年後と10年後に起こりうる影響(深刻度)を推定してほしい。 |
 |
|
| 19 | 2024 | 2024.01.11 | Web | Home | |
| 18 | 2023 | 2023.01.11 | Web | Home | |
| 17 | 2022 | 2022.01.11 | Web | Press | |
| 16 | 2021 | 2021.01.19 | Web | Press | |
| 15 | 2020 | 2020.01.15 | Web | Press | |
| 14 | 2019 | 2019.01.15 | Web | Press | |
| 13 | 2018 | 2018.01.17 | Web | Press | |
| 12 | 2017 | 2017.01.11 | Web | Press | |
| 11 | 2016 | 2016.01.14 | Web | Press | |
| 10 | 2015 | 2015.01.09 | Web | Press | |
| 9 | 2014 | 2014.01.12 | Web | Press | |
| 8 | 2013 | 2012.10.30 | Web | Press | |
| 7 | 2012 | 2012.01.05 | Web | Press | |
| 6 | 2011 | 2011.09.27 | Web | Press | |
| 5 | 2010 | 2010.01.04 | Web | Press | |
| 4 | 2009 | ||||
| 3 | 2008 | ||||
| 2 | 2007 | ||||
| 1 | 2006 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.01.12 世界経済フォーラム (WEF) The Global Risks Report 2023 18th Edition グローバルリスク報告書2023
・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機
・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである
こんにちは、丸山満彦です。
Information Technology Industry Council (ITI) [wikipedia]、日本語で言えば、IT産業協議会ですかね、、、が、AI生成コンテンツの真正性確認 (authentication) についての政策提言を公表していますが、興味深いです。
中国ではAIが生成したものについてはAIのアルゴリズムの登録制をした上で、AIが生成したコンテンツはAIが生成したとわかるようにすることが法制化されているようですが、欧米、日本等はどうしますかね。。。
この報告書でもいっていますが、100%解決する方法はない。。。なので、社会的コストをどこまでかけないといけないのか?ということだと思うのですが、AI生成コンテンツがふえていくと社会的な負の影響も大きくなってきて、それなりの規制が必要となってくるような気もします。
そうすると、最終的には中国の方式になっていくような気もしたりしますね。。。AI生成コンテンツが民主主義の根幹にかかわりえるということが課題なのだろうと思います。。。
日本の産業界もこういうのをもっと出せばよいのにね。。。日本だとJEITAですかね。。。
● Information Technology Industry Council (ITI)
・2023.01.04 ITI’s New Guide Outlines AI Content Authentication Tools and Policy Approaches
| ITI’s New Guide Outlines AI Content Authentication Tools and Policy Approaches | ITI、AIコンテンツの真正性確認ツールと政策アプローチをまとめた新ガイドを発表 |
| WASHINGTON – As part of its AI Futures Initiative, global tech trade association ITI unveiled a new guide for global policymakers aiming to address the pressing need to authenticate AI-generated content, including chatbots, image, and audio generators. ITI’s analysis explores different kinds of authentication techniques – such as watermarking, provenance, metadata auditing, and human authentication and emphasizes that a combination of methods will be the most effective way to validate and authenticate AI-generated content. ITI also highlights the important role that consensus standards will play in advancing AI authentication. | ワシントン - 世界的なハイテク業界団体であるITIは、AI Futures Initiativeの一環として、チャットボット、画像、音声などのAI生成コンテンツを真正性確認する差し迫った必要性に対処することを目的とした、世界の政策立案者向けの新しいガイドを発表した。ITIの分析では、電子透かし、実証、メタデータ監査、真正性確認など、さまざまな種類の真正性確認技術を調査し、AI生成コンテンツを検証・真正性確認には、複数の方法を組み合わせることが最も効果的であると強調している。また、ITI は、AI 真正性確認の推進において、コンセンサス標準が果たす重要な役割にも注目している。 |
| AI authentication techniques aim to increase transparency, minimize risks, and boost trust in generative AI broadly and across the AI value chain, and help increase trust in the information used by businesses, media, and consumers. | AI真正性確認技術は、透明性を高め、リスクを最小化し、生成的AIを広く、AIのバリューチェーン全体で信頼し、企業、メディア、消費者が使用する情報の信頼性を高めることを目的としている。 |
| “AI continues to dominate policy conversations around the world. As AI-generated content grows in its sophistication and adoption, there is a sense of urgency to leverage the transformative technology for social benefit and to minimize the harms that could come from its use, including the spread of mis- and dis-information,” said ITI Senior Vice President of Policy and General Counsel John Miller. “ITI’s new policy guide outlines the risks associated with AI-generated content, the authentication techniques and tools available to help address them, and considerations relevant for policy development. We look forward to continued collaboration with global governments as they develop their AI policies and seek to increase their understanding of the ever-evolving AI landscape.” | 「AIは、世界中で政策的な話題の中心を占め続けている。AIが生成するコンテンツが洗練され、その普及が進むにつれて、この変革的技術を社会的利益のために活用し、誤った情報や偽情報の拡散など、その使用から生じる可能性のある危害を最小限に抑えることへの危機感が高まっている」と、ITIの政策担当上級副社長兼法律顧問のジョン・ミラーは述べた。「ITIの新しいポリシーガイドは、AI生成的コンテンツに関連するリスク、それに対処するために利用可能な真正性確認技術やツール、ポリシー策定に関連する考慮事項について概説している。世界の政府がAI政策を策定し、進化し続けるAIの状況について理解を深めようとしている中、引き続き協力していきたい。」 |
| In its guide, ITI encourages policymakers to: | ITIはこのガイドの中で、政策立案者に以下のことを奨励している: |
| ・Avoid overly prescriptive approaches that mandate one technique over another as such approaches risk over indexing on one tool and missing the benefits another might provide; | ・このようなアプローチは、1つのツールに過度に依存し、他のツールが提供する可能性のあるメリットを見逃してしまうリスクがあるため、1つの技術を他の技術よりも強制するような過度に規定的なアプローチは避けること; |
| ・Invest more robustly in AI authentication technique research and development; | ・AI 真正性確認技術の研究開発により積極的に投資する; |
| ・Promote consumer transparency and awareness around AI-generated content, with a particular emphasis on education; | ・特に教育に重点を置き、AI生成コンテンツに関する消費者の透明性と認識を促進する; |
| ・Leverage public-private partnerships to understand the limitations and benefits of various authentication techniques; | ・官民パートナーシップを活用し、様々な真正性確認技術の限界と利点を理解する; |
| ・Ensure AI itself plays a role in detecting AI-generated content; and | ・AI自身がAI生成コンテンツの検知に役割を果たすようにする。 |
| ・Invest in the development of clear standards for AI authentication to promote consistency and collaboration across techniques. | ・AI真正性確認のための明確な標準の開発に投資し、技術間の一貫性と連携を促進する。 |
・[PDF] Authenticating AI-Generated Content - Exploring Risks, Techniques & Policy Recommendations
| Authenticating AI-Generated Content | AI生成コンテンツの真正性確認 |
| Exploring Risks, Techniques & Policy Recommendations | リスク、テクニック、政策提言を探る |
| Jan-2024 | 2024年1月 |
| Background | 背景 |
| Since the rapid popularization of artificial intelligence (AI) chatbots like ChatGPT and image generators like Stable Diffusion, generative AI* has become a global phenomenon. ChatGPT itself, created by OpenAI, became the fastest-growing consumer application in history after reaching over 100 million monthly active users in just two months.1 While chatbots have captured much of the public attention focused on generative AI, there are many forms2 of AI-generated content. | ChatGPTのような人工知能(AI)チャットボットやStable Diffusionのような画像生成ツールが急速に普及して以来、生成的AI*は世界的な現象となっている。OpenAIによって作成されたChatGPT自体は、わずか2ヶ月で月間アクティブユーザー数が1億人を超え、史上最も急成長したコンシューマー向けアプリケーションとなった1。チャットボットが生成的AIに注目する世間の注目を集めた一方で、AI生成コンテンツには多くの形態2がある。 |
| Many of these AI applications offer new advantages, particularly for accessibility and to augment human creativity.3 While AI-generated content is not new, its growing sophistication and adoption — and the response from the general public, industry, and governments — has cultivated a sense of urgency to leverage the technology for social benefit and to minimize the harms that could come from its use. | これらのAIアプリケーションの多くは、特にアクセシビリティや人間の創造性を補強するという新たな利点を提供している3。AI生成コンテンツは新しいものではないが、その高度化と採用の拡大、そして一般市民、産業界、政府からの反応によって、この技術を社会的利益のために活用し、その使用から生じる可能性のある弊害を最小限に抑えることへの危機感が培われている。 |
| This paper examines some of these benefits and risks, offers potential solutions for authenticating AI-generated content, and provides policy recommendations for advancing best practice. | 本稿では、これらのメリットとリスクを検証し、AI生成コンテンツの真正性確認のための潜在的解決策を提示し、ベストプラクティスを推進するための政策提言を行う。 |
| What is AI-Generated Content? | AI生成コンテンツとは何か? |
| Broadly, AI-generated content can refer to any kind of content or media (text, images, video, audio, sometimes multimodal , or a combination of mediums) that has been wholly or partially created with use of generative AI/ML techniques, like natural language processing (NLP) and/or computer vision . Examples of generative AI systems and AI-generated content include: | 大まかに言えば、AI生成コンテンツとは、自然言語処理(NLP)やコンピュータビジョンのような生成的AI/ML技術を用いて全体的または部分的に作成されたあらゆる種類のコンテンツやメディア(テキスト、画像、動画、音声、場合によってはマルチモーダル、またはそれらの組み合わせ)を指す。生成的AIシステムやAI生成コンテンツの例としては、以下のようなものがある: |
| 1. Image generators which leverage text to image generation: DALL-E (OpenAI), Midjourney, Stable Diffusion (StabilityAI) | 1. テキストから画像を生成する画像ジェネレーター: DALL-E(OpenAI)、Midjourney、Stable Diffusion(StabilityAI)。 |
| 2. Chatbots that generate conversational text: ChatGPT (OpenAI), Claude (Anthropic), Gemini (Google) | 2. 会話文を生成するチャットボット: ChatGPT(OpenAI)、Claude(Anthropic)、Gemini(Google) |
| 3. AI-generated audio and voice recordings, like musical samples, voice imitation technology, and audio tags to describe content for people with visual impairments | 3. AI生成音声・音声記録:音楽サンプル、音声模倣技術、視覚障害者のためのコンテンツ説明用音声タグなど。 |
| 4. AI-generated video and video recordings, like video samples of lip-sync with audio dub overs, video re-ordering, video imitation, deep fake videos | 4. AI生成ビデオ・ビデオ録画:例えば、リップシンクのビデオサンプルと音声のダブり、ビデオの並べ替え、ビデオの模倣、ディープフェイクビデオなど。 |
| 5. Multimodal generation – combination of image, audio, video generated completed by AI (e.g., Noonoouri) | 5. マルチモーダル生成:AIによって完成された画像、音声、映像の組み合わせ(例:Noonoouri)。 |
| What is AI Authentication? | AI真正性確認とは何か? |
| Authentication is a well-known practice in computing and cybersecurity, which involves “verifying the iden- tity of a user, process, or device”4 — and in this case — data, models, and outputs. AI authentication refers to determining when content is AI-generated, or otherwise verifying the validity or provenance of layers of the AI value chain,5 leveraging authentication mechanisms like cryptographic methods and human verification. | 真正性確認は、コンピューティングやサイバーセキュリティではよく知られた慣行であり、「ユーザー、プロセス、デバイスの同一性を検証する」4、この場合はデータ、モデル、出力を含む。AI真正性確認とは、コンテンツがAI生成であることを判断すること、またはAIバリューチェーンのレイヤーの妥当性や出所を検証することを指す5。 |
| AI authentication is a new and emerging field. While there are a variety of techniques that can be used to authenticate AI, this guide explores the most robust techniques currently in development, including watermarking, provenance tracking, metadata auditing, and human authentication. Some of these techniques overlap along the AI value chain or leverage similar processes. One instance of this is labeling, a process used in a variety of techniques like watermarking, provenance and metadata auditing but each with different methods — resulting in distinct forms of labeling solutions across distinct AI authentication techniques. This dynamic and other techniques will be explored later in the report. | AI 真正性確認は、新しく出現した分野である。AI を真正性確認するために使用できる様々な技法があるが、本ガイドでは、電子透かし、出所追跡、メタデータ監査、真正性確認など、現在開発中の最も堅牢な技法について検討する。これらの技術の中には、AIのバリューチェーンに沿って重複するものや、類似のプロセスを活用するものもある。その一例がラベリングであり、電子透かし、出所追跡、メタデータ監査といった様々な技術で使用されるプロセスであるが、それぞれ手法が異なるため、異なるAI真正性確認技術間で異なる形式のラベリングソリューションが生じる。このダイナミックな手法やその他の手法については、本報告書の後半で検討する。 |
| Importantly, a combination of these methods will be the most effective way to validate and authenticate AI-generated content. However, because of the emerging nature of these techniques, as well as the dynamic nature of AI- generated content, it is unlikely that one solution alone — technical or manual, involving human intervention — will fully address the risks posed by AI-generated content. | 重要なことは、これらの手法を組み合わせることが、AI生成コンテンツを検証・真正性確認する最も効果的な方法であるということである。しかし、これらの技法は新たな性質を持っており、またAI生成コンテンツの動的な性質もあるため、技術的なものであれ、人間の介入を伴う手動的なものであれ、1つの解決策だけでAI生成コンテンツがもたらすリスクに完全に対処できる可能性は低い。 |
| Risks from AI-Generated Content & Value Proposition of AI Authentication Techniques | AI生成コンテンツによるリスクとAI真正性確認技術の価値提案 |
| As is the case with most AI capabilities, generative AI and AI-generated content can create distinct benefits and risks. Many of the risks associated with AI-generated content — like mis- and disinformation6 — are not new and have been observed and well-documented as problems with human-generated content on social and traditional media.7 | ほとんどのAI機能がそうであるように、生成的AIとAI生成コンテンツは、明確なメリットとリスクを生み出す可能性がある。AI生成コンテンツに関連するリスク(誤報や偽情報など6)の多くは目新しいものではなく、ソーシャル・メディアや従来のメディアにおける人間が生成したコンテンツの問題として観察され、十分に文書化されている7。 |
| Risks from AI-Generated Content | AI生成コンテンツのリスク |
| While misinformation and disinformation are often used interchangeably, they are not the same thing. It is important to distinguish between the two so that implications regarding intent or accountability are clear. | 誤情報と偽情報はしばしば同じ意味で使われるが、同じものではない。意図や説明責任に関する意味を明確にするために、両者を区別することが重要である。 |
| Misinformation | 誤情報 |
| Misinformation refers to false, misleading, inaccurate or out of context information shared without an intent to deceive. Examples include: | 誤情報とは、欺く意図なしに共有された、虚偽、誤解を招く、不正確、または文脈を逸脱した情報を指す。例えば、以下のようなものがある: |
| • Rumors | ・うわさ |
| • Satire and parody (where the reader may not understand the joke or underlying message) | ・風刺やパロディ(読者が冗談や根本的なメッセージを理解できない場合) |
| • Misleading information such as comments or opinions presented as facts | ・事実として提示されたコメントや意見など誤解を招く情報 |
| • False connections or information with false content, like factually accurate content shared in an irrelevant setting (i.e. when headlines, visuals or captions do not support the content) | ・虚偽のつながり、または虚偽の内容を含む情報:例えば、事実上正確な内容が無関係な設定で共有されている場合(見出し、ビジュアル、キャプションが内容を裏付けていない場合など)。 |
| • Sponsored content, when the reader or consumer is not able to distinguish factual or substantive content from an advertisement | ・スポンサード・コンテンツ:読者や消費者が事実や実質的なコンテンツと広告を区別できない場合。 |
| • Errors in reporting or sharing of content8 | ・コンテンツの報告や共有における誤り8 |
| Disinformation | 偽情報 |
| Disinformation is false information that is shared with the intent to deliberately mislead, deceive, or cause harm. Examples include: | 偽情報とは、故意に誤解させたり、欺いたり、危害を与えたりする意図で共有される虚偽の情報のことである。例えば、以下のようなものがある: |
| • Propoganda | ・プロパガンダ |
| • Hoaxes | ・デマ |
| • Fabricated or completely false content | ・捏造または完全に虚偽の内容 |
| • Manipulated content, which has been purposefully distorted or changed from its initial form | ・意図的にゆがめられたり、最初の形から変更されたりした、操作されたコンテンツ |
| • Imposter content: the impersonation of real or credible sources | ・偽者コンテンツ:本物や信頼できる情報源になりすますこと |
| Generative AI’s capability to produce content at scale introduces new concerns for the spread of mis- and disinformation, which can contaminate or harm the integrity of the AI value chain, creating issues for consumers, and undermining trust in the technology ecosystem. Understanding the way in which generative AI presents risks related to mis- and disinformation requires a nuanced analysis, as generative AI can create or perpetuate mis-and disinformation in several ways through both the inputs and outputs of generative AI systems: | 生成的AIが大規模にコンテンツを生成する能力は、偽情報や偽情報の拡散という新たな懸念をもたらし、AIのバリューチェーンの整合性を汚染したり傷つけたりする可能性がある。生成的AIは、生成的AIシステムのインプットとアウトプットの両方を通じて、いくつかの方法で誤報や偽情報を生み出したり、永続させたりする可能性があるため、生成的AIが誤報や偽情報に関連するリスクをもたらす方法を理解するには、ニュアンスに富んだ分析が必要である: |
| Inputs (i.e., data, datasets, underlying models, or model weights): | 入力(すなわち、データ、データセット、基礎となるモデル、またはモデルの重み): |
| • Inappropriate or under/over representative data: Data unintentionally trained on misinformation can create wrong or inaccurate responses. Data trained on disinformation can create intentionally false outputs or encourage a model to come up with more extreme false embellishments. | ・不適切または過少/過大な代表データ: 誤情報に基づいて意図せず訓練されたデータは、間違った、あるいは不正確な回答を生み出す可能性がある。偽情報に基づいて訓練されたデータは、意図的に誤った出力を作成したり、モデルがより極端な偽の装飾を思いつくよう促したりする可能性がある。 |
| • Data poisoning: Whereby humans inject false or wrong data to skew a model in a way that affects the accuracy and legitimacy of its output, sometimes as a means to promote various mis- and disinformation campaigns. Data poisoning can be done with both training data and on inferencing data. Poisoning can also occur by manipulating the order in which training data is presented. | ・データ・ポイズニング:偽情報や偽情報キャンペーンを促進するために人間が偽データや間違ったデータを注入し、モデルの出力の正確性や正当性に影響を与えるような歪みを与える。データ・ポイズニングは学習データと推論データの両方で行われる可能性がある。データ・ポイズニングは訓練データの提示順序を操作することによっても起こりうる。 |
| • Data evasion: Whereby a model is fed an adversarial example — a carefully manipulated input that looks and feels exactly the same as its untampered copy — to cause the model to misclassify the data or intentionally fail during inference. | ・データ回避: モデルに敵対的なサンプル(改ざんされていないコピーとまったく同じように見え、同じように感じられるように注意深く操作された入力)を与えることで、モデルのデータ分類を誤らせたり、推論中に意図的に失敗させたりする。 |
| Outputs (i.e., a photo, video, sound bite): | 出力(写真、ビデオ、音声など): |
| • Hallucination: Sometimes dubbed “hallucinations,” AI systems can produce outputs or responses based on misinformation.9 These hallucinations can range from models trying to fill in gaps of knowledge they do not have with false or irrelevant context, to leveraging information that is erroneous. | ・幻覚: 「幻覚」と呼ばれることもあるが、AIシステムは誤情報に基づいて出力や応答を生成する可能性がある9。こうした幻覚はモデルが持っていない知識のギャップを誤った文脈や無関係な文脈で埋めようとするものから、誤った情報を活用するものまで様々である。 |
| • Deepfakes: Mis- and disinformation can also be spread through the human creation of deepfakes or other purposefully manipulated or altered content. Deepfakes are especially concerning as a tool to spread election disinformation and have already been used to manipulate footage or commentary of candidates.10 | ・ディープフェイク:誤情報や偽情報は、ディープフェイクやその他の意図的に操作または変更されたコンテンツを人間が作成することによっても広まる可能性がある。ディープフェイクは選挙の偽情報を広めるツールとして特に問題であり、候補者の映像やコメントを操作するためにすでに使用されている10。 |
| • False or human-generated content that is spread or adapted by AI: Just as AI can create false or misleading content, so can malicious human actors. If not properly labeled or moderated in a way machines can understand, AI can spread fake content generated by humans. | ・AIによって拡散または脚色された偽の、または人間が生成的なコンテンツ: AIが虚偽または誤解を招くコンテンツを作成できるのと同様に、悪意のある人間の行為者も作成できる。機械が理解できるような適切なラベル付けやモデレートが行われなければ、AIは人間が生成した偽のコンテンツを拡散する可能性がある。 |
| Malicious generative AI tools can be used by bad actors to generate content intended to manipulate individuals in consumer scams. For example, generative AI has been used to place scam calls affecting parents and the elderly. AI scam calls provoking elder fraud cases have risen with the increase of voice alteration techniques used to mimic the voices of trusted loved ones in an attempt to get a ransom or personal and/or banking information.11 These new and sophisticated threats created by malicious actors negatively impact consumer protection by expanding the threat landscape. This can lead to an overall decrease in trust in the technology value chain. | 悪意のある生成的AIツールは、消費者詐欺で個人を操作することを意図したコンテンツを生成するために、悪意のある行為者によって使用される可能性がある。例えば、生成的AIは、親や高齢者に影響を与える詐欺電話をかけるために使われてきた。高齢者詐欺を誘発するAI詐欺電話は、身代金や個人情報および/または銀行情報を得ようとして、信頼できる大切な人の声を模倣するために使用される音声改変技術の増加とともに増加している11。悪意のある行為者が作り出すこのような新しく洗練された脅威は、脅威の状況を拡大することで消費者保護に悪影響を及ぼす。これは、テクノロジー・バリュー・チェーンに対する全体的な信頼の低下につながりかねない。 |
| AI-generated content, like traditional AI applications, can also perpetuate bias and discriminatory misrepresentations. Traditional AI applications in some contexts preserve or exacerbate societal bias in much the same way as AI-generated content can reproduce or create themes or mischaracterizations of underrepresented or marginalized groups.12 AI algorithms are only as good as the information that is available to train them, and sometimes may be trained on content which is satirical or used to promote hateful stereotypes of individuals from historically marginalized groups in a way that AI models do not understand. This can result in AI-generated content that is inaccurate or includes unfair representations of marginalized people or cultures. Issues of bias and discrimination often arise from the training data or how the model was reinforced to understand data inputs. | AI生成コンテンツは、従来のAIアプリケーションと同様に、バイアスや差別的な虚偽表示を永続させる可能性もある。ある文脈における従来のAIアプリケーションは、AIが生成するコンテンツが十分に代表されていない、あるいは社会から疎外されているグループのテーマや誤った特徴を再現したり、作り出したりするのと同じように、社会的バイアスを維持したり、悪化させたりする12。AIのアルゴリズムは、それを訓練するために利用可能な情報と同程度にしか優れておらず、時には風刺的であったり、歴史的に疎外されてきたグループの個人に対する憎悪的なステレオタイプを促進するために使用されたりするコンテンツを、AIモデルが理解できない方法で訓練することがある。その結果、AI生成のコンテンツを不正確なものにしたり、社会から疎外された人々や文化を不当に表現したりする可能性がある。バイアスや識別的な問題は、多くの場合、学習データや、データ入力を理解するためにモデルがどのように強化されたかに起因する。 |
| Harm Reduction Through AI Authentication | AI真正性確認による被害削減 |
| To promote transparency and awareness, of AI-generated content, AI authentication techniques aim to minimize these risks and their impacts. AI authentication techniques can apply to different parts of the AI value chain, from data inputs to the model, to the application, and even to the output itself. Authentication techniques boost trust in the AI value chain, including between businesses, among consumers, and across the information ecosystem — among journalists, traditional media, and other information access points. Content verification can improve trust in generative AI and allow for healthier engagement and digital experiences online. Importantly, the earlier in the AI development lifecycle authentication happens, the more helpful it is to a broader range of stakeholders. This is particularly true in instances with direct consumer or societal harm, such as fraud and election-related misinformation. | AI生成コンテンツの透明性と認知を促進するために、AI真正性確認技術はこれらのリスクとその影響を最小化することを目的としている。AI真正性確認技術は、データ入力からモデル、アプリケーション、さらには出力そのものに至るまで、AIバリューチェーンのさまざまな部分に適用することができる。真正性確認技術は、企業間、消費者間、情報エコシステム全体(ジャーナリスト、伝統的メディア、その他の情報アクセスポイント間)を含め、AIバリューチェーンにおける信頼を高める。コンテンツの検証は、生成的AIに対する信頼を向上させ、より健全なエンゲージメントとオンラインでのデジタル体験を可能にする。重要なことは、AI開発ライフサイクルの早い段階で真正性確認が行われれば行われるほど、より幅広いステークホルダーにとって有益になるということだ。これは、詐欺や選挙関連の誤情報など、消費者や社会に直接的な害を及ぼす事例において特に当てはまる。 |
| Below is a graphic that illustrates different components of the AI value chain, including areas where authentication techniques may be able to be incorporated. | 以下は、AIのバリュー・チェーンのさまざまな構成要素を示す図であり、真正性確認技術を組み込むことが可能な分野も含まれている。 |
 |
|
| While AI authentication can help build trust in AI-generated content and the technology ecosystem, AI authentication is still a very new field, requiring investment and implementation from government and industry. Additionally, it will require input from and engagement with consumers to promote education and awareness regarding risks and the consumer-facing authentication techniques discussed in this paper, such as visible watermarking (discussed further below). Similar approaches to boosting awareness have become common practice in cybersecurity, where techniques like two factor authentication and/or HTTPS browsing are now better understood by consumers as security best practices. | AI真正性確認は、AI生成コンテンツとテクノロジー・エコシステムに対する信頼構築に役立つが、AI真正性確認はまだ非常に新しい分野であり、政府と産業界による投資と実装が必要である。さらに、リスクや、可視電子透かし(後述)など本稿で取り上げた消費者向けの真正性確認技法に関する教育や認識を促進するために、消費者からの意見や消費者との関わりも必要となる。二要素真正性確認や HTTPS ブラウジングのような技法は、セキュリティのベストプラクティスとして消費者に理解されている。 |
| Survey of AI Authentication Techniques | AI真正性確認技術の調査 |
| AI authentication techniques vary in utility and ease of implementation across the AI value chain, depending on the application and use context. Below we highlight four techniques that have made headway in research and use, detailing an overview of each technique, key uses and best practices, limitations, and applicable tradeoffs. | AI真正性確認技法は、アプリケーションや使用状況に応じて、AIのバリュー・チェーン全体にわたって、その有用性や実装の容易さが異なる。以下では、研究と使用において前進した 4 つの技法に焦点を当て、各技法の概要、主な使用方法とベスト・プラクティス、限界、適用可能なトレードオフについて詳述する。 |
| Provenance Generation and Tracking | 出所 (provenance) の生成と追跡 |
| Provenance, or provenance tracking, is a common technique for AI authentication that allows for the tracing of the history and quality of a dataset. Digital content provenance in particular references the verifiable chronology of the origin and history of that content, such as an image, video, audio recording, or electronic document.13 Generally, provenance includes the origins of a dataset, any changes that have been made to alter that dataset, and other relevant details needed to ensure the integrity of the dataset and data within it. Provenance can be accomplished in a variety of ways, including embedding a signature on the metadata of the dataset which is being used to train an AI model. Each level of the data set can have a signature or content credential to ensure that the data the product used has not been tampered with. This helps to demonstrate that the training data is not compromised before it is fed into larger models, and to validate whether content has been created by an AI model trained on such data. For AI-generated content, provenance can refer to signals embedded in the dataset used to create the content as well as content provenance: the content’s source and history, and modifications to the content subsequent to its creation. | 出所、または出所の追跡は、データセットの履歴と品質を追跡することを可能にするAI真正性確認のための一般的な手法である。一般的に、出所には、データセットの起源、データセットを変更するために行われた変更、データセットとその中 のデータの完全性を保証するために必要なその他の関連する詳細が含まれる。出所は、AIモデルの学習に使用されるデータセットのメタデータに署名を埋め込むなど、様々な方法で達成することができる。データセットの各レベルは、使用されたデータが改ざんされていないことを保証するために、署名またはコンテンツ真正性確認を持つことができる。これは、トレーニングデータがより大きなモデルに投入される前に改ざんされていないことを証明し、そのようなデータでトレーニングされたAIモデルによってコンテンツが作成されたかどうかを検証するのに役立つ。AI生成コンテンツでは、コンテンツの出所や履歴、作成後のコンテンツの変更など、コンテンツの出所だけでなく、コンテンツ作成に使用されたデータセットに埋め込まれたシグナルを指すこともある。 |
| Like watermarking, content provenance has been a primary focus of leading industry groups focused on authentication of AI generated, synthetic, or manipulated images. In 2007, the Joint Photographic Experts Group (JPEG), a joint committee formed by international standardization organizations ISO/IEC JTC 1/SC 29 and ITU-T Study Group 16, published the international standard “Secure JPEG 2000,” which provides a syntax for security services such as source authentication and integrity verification to be applied to JPEG 2000 coded image data.14 In 2020, JPEG began an exploration on “Fake Media” that resulted in a call for proposals for a standard that can facilitate the secure and reliable annotation of media asset creation and modifications, and intends to address use cases that are in good faith as well as those with malicious intent.15 JPEG received six different proposals from the Coalition for Content Provenance & Authenticity (C2PA), Huawei, Sony, Vrije Universiteit Brussel/imec, UPC, and Newcastle University, the majority of which are expressly based on provenance information, and JPEG continues to work on developing a new standard to combine the best elements of each proposal.16 | 電子透かしと同様に、コンテンツの出所は、AIが生成した、合成した、または操作した画像の真正性確認に焦点を当てた主要な業界団体の主要な焦点となっている。2007年、国際標準化団体ISO/IEC JTC 1/SC 29とITU-T Study Group 16の合同委員会であるJPEG(Joint Photographic Experts Group)は、JPEG 2000符号化画像データに適用されるソース認証や完全性検証などのセキュリティ・サービスのシンタックスを提供する国際標準「Secure JPEG 2000」を発表した14。2020年、JPEGは「フェイクメディア」に関する調査を開始し、その結果、メディアアセットの作成と変更に関する安全で信頼性の高い注釈を容易にすることができる標準の提案募集を行い、悪意のあるものだけでなく善意のユースケースにも対応することを意図した15。JPEGは、Coalition for Content Provenance & Authenticity(C2PA)、Huawei、ソニー、Vrije Universiteit Brussel/imec、UPC、およびニューカッスル大学から6つの異なる提案を受け取ったが、その大半は出所情報に明示的に基づくものであり、JPEGは各提案の最良の要素を組み合わせた新規格の開発に引き続き取り組んでいる16。 |
| Likewise, C2PA, which includes corporations of all sizes, leading journalism entities, not-for-profits, and academics, was formed in 2021 to address concerns related to misleading information and to develop technical standards for content provenance, called Content Credentials.17 The C2PA’s voluntary, open standard, or specification, works with visual, video and audio content by binding provenance information to a piece of media at its point of creation or when it is altered and attaches to the content with Content Credentials, which is a combination of secure metadata and watermarking.18 | 同様に、あらゆる規模の企業、主要なジャーナリズム事業体、非営利団体、および学者が参加する C2PA は、誤解を招く情報に関連する懸念に対処し、コンテンツ認証17 と呼ばれるコンテンツの出所に関する技術標準を策定するために、2021 年に設立された。C2PA の自主的でオープンな標準(仕様)は、映像、動画、音声コンテンツに対応し、メディアの作成時点または変更時点で出所情報をコンテンツにバインドし、安全なメタデータと電子透かしを 組み合わせたコンテンツ認証をコンテンツに添付する18 。 |
| At the point of media creation, the accompanying metadata or provenance information about the origins, creator, and other relevant information is attached through Content Credentials and affirmed by the media publisher or creator with a digital signature. The provenance information, signature, and media are then bound together and cryptographically sealed into a tamper-proof “manifest” that is tied to the piece of content forever. Each time the media is edited, a new, resealed manifest is created and resealed, which then accompanies the newly created media, preserving its history. These steps are visualized in the graphics below.19 | メディアが作成される時点で、付随するメタデータまたは出所、作成者、その他の関連情報に関する出所情報は、コンテンツ認証によって添付され、メディアの発行者または作成者によって電子署名で確認される。その後、出所情報、署名、メディアは結合され、暗号化されて改ざん防止された「マニフェスト」に封印され、コンテンツの一部と永遠に結び付けられる。メディアが編集されるたびに、新しい再封印されたマニフェストが作成され、新たに作成されたメディアに付随して再封印され、その履歴が保存される。これらの手順は、以下の図に示されている19。 |
 |
|
| As discussed in more depth later in this paper, attaching provenance to the metadata of digital content allows anyone engaging with that piece of content to understand how, when, and by whom that digital content was altered. This focus on transparency helps to foster confidence for any person, business, or government agency engaging with a piece of digital content thereby helping to engender trust in the entire content value chain, particularly AI-generated content, and allowing for consideration of the authenticity of any piece of digital content. Examples of deployment of the C2PA Content Credential technology at scale include Leica Cameras with digital photos, inclusion in various Microsoft products, such as the Bing search engine, and Adobe Firefly, Photoshop, Lightroom, and Stock. | 本稿で後述するように、デジタル・コンテンツのメタデータに出所を示すことで、そのコンテンツに関わる誰もが、そのデジタル・コンテンツがいつ、誰によって、どのように改変されたかを理解できるようになる。このように透明性を重視することで、デジタルコンテンツに関わるすべての人、企業、政府機関の信頼を醸成し、コンテンツバリューチェーン全体、特にAI生成コンテンツに対する信頼を醸成し、あらゆるデジタルコンテンツの真正性確認の検討を可能にする。C2PAコンテンツ認証技術の大規模展開の例としては、デジタル写真のライカカメラ、Bing検索エンジンなどのマイクロソフト製品、Adobe Firefly、Photoshop、Lightroom、Stockなどがある。 |
| As mentioned above, the C2PA also introduced Content Credential iconography with a unique symbol to promote tagging and transparency around AI-generated content. The icon, a small “CR”, which stands for Content Credentials, will be included with the metadata of any content to clarify who owns and created the data, including regarding the AI tool used to make it. This recognizable icon or symbol will be useful to developers but also to general consumers, who will be able to hover over the recognizable mark embedded in the image to glean information about its source.20 | 前述の通り、C2PAはまた、AI生成コンテンツのタグ付けと透明性を促進するため、ユニークなシンボルによるコンテンツ認証のアイコンを導入した。このアイコンは、コンテンツ認証を意味する小さな "CR "で、コンテンツのメタデータに含まれ、データの所有者や作成者(作成に使用されたAIツールを含む)を明確にする。この認識可能なアイコンやシンボルは、開発者だけでなく、一般消費者にとっても有用で、画像に埋め込まれた認識可能なマークにカーソルを合わせると、その出典に関する情報を得ることができるようになる20。 |
| Key Uses and Best Practices | 主な用途とベストプラクティス |
| 1. [Content]provenance should happen at multiple levels of the AI value chain — at the data level, in the metadata and dataset itself, as well as on the model output. | 1. [コンテンツ] の出所は、データ・レベル、メタデータやデータセット自体、モデル出力など、AIのバリュー・チェーンの複数のレベルで行われるべきである。 |
| 2. The amount of detail that is provided as part of the provenance information should be tied to the use case. While including more detail can provide more visibility into the provenance of the content, in some use cases such information can create significant privacy concerns and may conflict with data minimization efforts. Provenance information in general should never include personal data or data that could be used to identify a person when combined with other data sets (for example location or time data) without the express affirmative consent of the user, and should be limited to the minimum amount of data required for the specific attestation and use case. If provenance information is visible on the output or content itself, closely tailoring the provenance information to the use case could also reduce the information that must be displayed and make it easier for a broader audience to understand the history of the content. | 2. 出所情報の一部として提供される詳細の量は、ユースケースと関連付けられるべきである。より詳細な情報を提供することで、 コンテンツの出所をより明確にすることができるが、ユースケースによっては、そのような情報は重大なプライバシー上の懸念を引き起こし、データ・ミニマム化の取り組みと相反す る可能性がある。一般に、出所情報は、ユーザーの明示的な同意なしに、個人データまたは他のデータセット(例えば、位置情報や時刻情報)と組み合わせたときに個人を特定できるようなデータを含んではならず、特定の証明およびユースケースに必要な最小限のデータ量に制限されるべきである。証明情報が出力やコンテンツ自体に表示される場合、証明情報をユースケースに密接に合わせ ることで、表示しなければならない情報を減らし、より多くの利用者がコンテンツの履歴を理解しやすくすることもできる。 |
| 3. Collaborative approaches to content provenance can help to ensure that the industry is developing best practices together to promote interoperability and that they are unified in their approach. | 3. コンテンツ出所に対する共同アプローチは、相互運用性を促進するために業界が共にベスト・プラクティスを開発し、そのアプローチを統一することに役立つ。 |
| Limitations and Trade-offs | 限界とトレードオフ |
| • Insufficient to mitigate all harms. Though provenance can be used to authenticate that a dataset was not tampered with and/or whether it has been used to train an AI model generating con- tent, neither provenance nor watermarking will help reduce bias in the model or dataset inputs if in fact the model or data inputs are biased or are not representative. Analysis of the data itself to ensure its integrity should be incorporated to mitigate this trade-off. While provenance tracking can also help to establish information about the origin and history of a piece of content, it cannot independently prove that the content is truthful. | ・すべての弊害を軽減するには不十分である。データセットが改ざんされていないこと、および/または生成的AIモデルのトレーニングに使用されていることを認証するために、証明書を使用することはできるが、モデルやデータセットの入力にバイアスがかかっていたり、代表者がいなかったりする場合、証明書も電子透かしも、モデルやデータセットの入力のバイアスを軽減する役には立たない。このトレードオフを軽減するために、データの完全性を保証するためのデータ自体の分析を取り入れるべきである。出所追跡は、コンテンツの出所と履歴に関する情報を確立するのにも役立つが、コンテンツが真実であることを独立に証明することはできない。 |
| • Effective only if the vast majority of a content category has provenance data. In order to be effective at detecting synthetic content, a consumer must be able to assume that either (i) every generative AI model attaches provenance data to synthetic content, such that any content without “synthetic” provenance data can be presumed to be authentic, or (ii) every image or document capture device attaches provenance data to authentic content, such that any content without “authentic” provenance data can be presumed to be synthetic. This is only possible in an eco- system with an extremely high adoption rate. | ・コンテンツカテゴリの大半が出所データを持つ場合にのみ有効である。合成コンテンツの検知に効果的であるためには、消費者は、(i)すべての生成的AIモデルが合成コンテンツに出所データを添付し、「合成」出所データのないコンテンツは真正性確認されたものであると推定できる、または、(ii)すべての画像や文書のキャプチャデバイスが真正コンテンツに出所データを添付し、「真正」出所データのないコンテンツは合成されたものであると推定できる、と仮定できなければならない。これは、導入率が極めて高いエコシステムにおいてのみ可能である。 |
| • Multiple potential points of failure. A single weak link in the provenance chain could allow a malicious actor to alter data or insert changes without detection or insert fake attestations to sow doubt in the content. The more widespread the adoption must be, the greater the risk there is that a weak link is created. | ・複数の潜在的な障害点。出所の連鎖における脆弱なリンクが一つでもあれば、悪意のある行為者が検知されずにデータを改ざんしたり、変更を加えたり、偽の証明を挿入してコンテンツに疑念を抱かせることができる。普及が進めば進むほど、弱いリンクが作られるリスクは高まる。 |
| • Software vs hardware implementations. Content provenance standards that rely or allow for soft- ware-only attestors at some (or all) points in the provenance chain are vulnerable to manipulation by privileged processes/actors that could allow malicious actors to manipulate these attestors into signing false attestations. Hardware based attestation may be significantly more resistant to such attacks. | ・ソフトウェアとハードウェアの実装。証明の連鎖の一部(またはすべて)の時点でソフトウエアのみの証明者に依存する、またはそれを許容するコンテンツ証明標準は、悪意のある行為者がこれらの証明者を操作して偽の証明に署名させる可能性のある特権プロセス/行為者による操作に対して脆弱性がある。ハードウェアベースの証明は、このような攻撃に対する耐性が大幅に向上する可能性がある。 |
| Watermarking | 電子透かし |
| Watermarking is a technique that involves embedding a signal in a piece of text or an image with information. It can be visually apparent, such as an overlay showing information about its source or creator, or to identify whether it was AI-generated. Conventional examples of watermarking include a stamp on text output (i.e. a “DRAFT” or “Not for Release” stamp on a Word Document or an embargoed press release), or photo (for example, Getty images21). | 電子透かしは、テキストや画像に情報を埋め込む技術である。これは、ソースや作成者に関する情報を示すオーバーレイのように視覚的に明らかにすることもできるし、AI生成的かどうかを識別することもできる。電子透かしの従来の例としては、テキスト出力にスタンプを押したり(Word文書や非公開のプレスリリースに「ドラフト」や「Not for Release」のスタンプを押すなど)、写真にスタンプを押したり(Getty images21など)する。 |
| Alternatively, a watermark can be invisible or im- perceptible. Invisible or imperceptible watermarks are a small amount of data embedded in the pixels of an image. Sometimes watermarking is also used to describe metadata, which is information in a special segment of a file that is part of an image but not embedded in its pixels. This data can be bound to the pixels via cryptographic hash, and digitally signed to provide assurance that no manipulation has occurred after creation or signed modification. | あるいは、電子透かしは不可視または知覚できないものとすることもできる。電子透かしは、画像のピクセルに埋め込まれた少量のデータである。電子透かしはまた、メタデータを説明するために使われることもある。メタデータとは、画像の一部ではあるがピクセルには埋め込まれていない、ファイルの特別なセグメントにある情報のことである。このデータは、暗号ハッシュによってピクセルにバインドされ、デジタル署名されることで、作成後または署名された変更後に操作が行われていないことを保証することができる。 |
| Watermarking is unique among techniques in the sense that depending on the underlying tool used, it can create a level of transparency for a broad range of users allowing consumers and end users (in addition to developers) to know that a piece of content (image or text) was generated using AI. Some emerging examples of watermark- ing AI-generated content are described below. | 電子透かしは、使用される基礎的なツールによって、(開発者だけでなく)消費者やエンドユーザーが、コンテンツ(画像やテキスト)の一部がAIを使用して生成されたことを知ることができるように、幅広いユーザーに対して透明性のレベルを作成できるという意味で、技術の中でもユニークなものである。AIで生成されたコンテンツに電子透かしを施す新たな例を以下にいくつか紹介する。 |
| Watermarking AI-generated content is a ripe field of research in the AI community and among large tech companies seeking to provide consumers and governments with information flagging AI-generated content. Watermarking is perhaps the most dis- cussed approach and viewed as an evolving industry best practice. A number of coalitions involving the tech industry, in collaboration with partners from media and journalism, have formed to examine watermarking and other authentication techniques. For example, the Partnership on AI’s synthetic media framework is a collaboration between 50 different companies working together to responsibly develop, create, and share AI-generated content.22 Leading AI labs in the Frontier Model Forum will likely also share best practices and techniques for watermarking.23 | AI生成コンテンツに電子透かしを入れることは、AIコミュニティや、消費者や政府にAI生成コンテンツであることを示す情報を提供しようとする大手ハイテク企業の間で、研究が熟している分野である。電子透かしは、おそらく最も議論されているアプローチであり、進化する業界のベストプラクティスと見なされている。電子透かしやその他の認証技術を検討するために、メディアやジャーナリズムのパートナーとの協力のもと、テック業界を含む多くの連合が結成されている。例えば、Partnership on AIの合成メディアフレームワークは、AI生成コンテンツを責任を持って開発、作成、共有するために50の異なる企業が協力している22。 |
| Individual organizations are likewise experimenting with AI watermarking techniques. SynthID, a solution developed by Google Deepmind and Google Cloud, labels metadata of AI-generated content created with Google’s developer platform, Vertex.24 OpenAI’s ChatGPT is considering the use of watermarks in the text that it generates.25 Meta is exploring Stable Signature, which is a method for watermarking images created with open source AI.26 | 個々の組織も同様に、AIの電子透かし技術を試している。Google DeepmindとGoogle Cloudが開発したソリューションSynthIDは、Googleの開発者向けプラットフォームVertexで作成されたAI生成的コンテンツのメタデータにラベルを付ける24。OpenAIのChatGPTは、生成的なテキストに電子透かしを使用することを検討している25。Metaは、オープンソースAIで作成された画像に電子透かしを入れる手法であるStable Signatureを模索している26。 |
| Key Uses and Best Practices | 主な用途とベストプラクティス |
| 1. Steganography is a technique which hides a watermark or content information file inside a primary media file. One of the more common types of steganography involve embedding this hidden or secret information in the Least Significant Bit of a media file, which is done by slightly modifying or adding additional information to bytes (or bits on those bytes) of data within pixels in a media file.27 | 1. 電子迷彩は、電子透かしやコンテンツ情報ファイルを主要メディアファイル内に隠す技法である。電子迷彩の一般的なタイプの1つは、メディアファイルの最下位ビットにこの隠された、または秘密の情報を埋め込むことを含み、これはメディアファイルのピクセル内のデータのバイト(またはそれらのバイト上のビット)にわずかに変更または追加情報を追加することによって行われる27。 |
| This ensures that the watermark and relevant verification information is not visible to the eye to maintain the usability of the image and/or text itself. Steganography is often conflated with cryptography. While the techniques are similar, cryptography involves changing or scrambling information into ciphertext, which can only be unscrambled with a decryption key. Steganography involves hiding or concealing information in a way that is not readily apparent, without needing to decrypt it. Since steganography requires careful application involving specificity at the bit, byte, pixel and file level, this approach requires robust industry collaboration to be successful. | これにより、電子透かしと関連する検証情報が目に見えないようにし、画像やテキスト自体の使いやすさを維持する。電子迷彩はしばしば暗号と混同される。技術は似ているが、暗号は情報を暗号文に変えるかスクランブルすることであり、そのスクランブルは復号キーがないと解けない。電子迷彩ーは、情報を解読する必要なく、容易にわからない方法で隠したり隠したりする。電子迷彩は、ビット、バイト、ピクセル、ファイルレベルでの特異性を含む慎重な適用を必要とするため、このアプローチを成功させるには、強固な業界協力が必要である。 |
| 2. Invisible forensic watermarking can be used on video and image content by creating and encoding a unique mark into a video file that acts as a unique identifier of the recipient or consumer of the content. Should a piece of video content be AI-generated, the mark in the video file would allow owners of the content to track its spread. Like with steganography, invisible forensic watermarking promotes content use as the marked content is accompanied with verification. This is a very popular tool used in the entertainment industry for tracking copyrighted productions and videos and to prevent unauthorized pirating or distribution.28 | 2. 目に見えないフォレンジック電子透かしは、コンテンツの取得者や消費者の一意的な識別子として機能する一意的なマークを動画ファイルに作成・符号化することで、動画や画像コンテンツに使用することができる。ビデオコンテンツの一部がAI生成的である場合、ビデオファイル内のマークは、コンテンツの所有者がその拡散を追跡することを可能にする。電子迷彩と同様、目に見えないフォレンジック電子透かしは、マークされたコンテンツが検証を伴うため、コンテンツの利用を促進する。これは、著作権で保護された作品やビデオを追跡し、無許可の海賊版や配布を防ぐために、エンターテインメント業界で非常によく使われているツールである28。 |
| 3. Dataset watermarking can be used to track and verify input and training data that | 3. データセットの電子透かしは、モデル開発に使用される入力データや学習データの追跡と検証に使用できる。 |
| will be used for model development by tracing the dataset back to its original owner or creator. Watermarks are typically embedded into a subset of a dataset during a model training process, and distributed to ensure they remain even when filter- ing or reorganizing the data (and so that they can’t be easily removed). Watermarks in datasets help organizations track dataset ownership and prove- nance and can be used for ML model verification.29 | データセットの電子透かしは、モデル開発に使用される入力データや学習データを追跡・検証するために使用することができる。電子透かしは通常、モデルの学習過程でデータセットのサブセットに埋め込まれ、データのフィルタリングや再編成の際にも確実に残るように(そして簡単に削除できないように)配布される。データセットに電子透かしを入れることで、組織はデータセットの所有権と証明力を追跡することができ、MLモデルの検証に利用することができる29。 |
| 4. Model watermarking can be used to track and verify ownership of an AI model or otherwise track its usage by embedding information within the model parameters or structure of the model itself. This technique primarily addresses concerns related to unauthorized use, distribution, or modification of a model.30 | 4. モデルの電子透かしは、AIモデルの所有権を追跡・検証したり、モデル自体のパラメータや構造内に情報を埋め込むことで、その使用状況を追跡したりするために使用することができる。この技術は主に、モデルの不正使用、配布、改変に関する懸念に対処するものである30。 |
| 5. Differential watermarking combines various watermarking techniques by targeting them at different elements (data, metadata, content) of either inputs or outputs and ensuring each has a unique signal. A benefit of using differential watermarking is that it allows | 5. 差分電子透かしは、入力または出力の異なる要素(データ、メタデータ、コンテン ツ)を対象とし、それぞれが固有の信号を持つようにすることで、様々な電子透かし技 術を組み合わせたものである。電子透かしを使用する利点は、以下のことが可能になることである。 |
| AI systems to cite the sources of factual text more accurately through the watermark itself, as it facilitates the direct sourcing of content. This is achieved by embedding the watermarks in the output and in the metadata as well.31 | AIシステムは、電子透かし自体を通じて、事実のテキストの出典をより正確に引用することができる。これは、出力とメタデータにも電子透かしを埋め込むことで実現される31。 |
| Limitations and Trade-offs | 限界とトレードオフ |
| • Watermarks can validate elements of the AI value chain to the extent that humans know that they are real. Watermarks can be placed on AI-generated content and data, but do not prevent the spread of false information if the AI-generated content is in fact fake or if it relies on bad data (but is watermarked nonetheless). | ・電子透かしは、AIバリューチェーンの要素が本物であることを人間が認識できる範囲で検証することができる。電子透かしはAI生成コンテンツやデータに入れることができるが、AI生成コンテンツが実際には偽物であったり、(電子透かしが入っているにもかかわらず)悪質なデータに依存している場合には、偽情報の拡散を防ぐことはできない。 |
| • Visible watermarks on image content can be easily cropped out or removed with AI- enabled watermark removers, diminishing the value of a perceptible watermark. Additional- ly, watermarks can be “mimicked” on images, leading to the spread of false information that may lead others to think it is legitimate. | ・画像コンテンツ上の目に見える電子透かしは、AIを利用した電子透かし除去機能によって簡単に切り取られたり除去されたりするため、知覚可能な電子透かしの価値は低下する。さらに、電子透かしは画像上で「模倣」される可能性があり、他の人に正規のものだと思わせる偽情報の拡散につながる。 |
| • Invisible watermarks on images are easier to remove than invisible watermarks on other types of content. For images, the invisible watermark is usually embedded into pixel bytes and bits of the image, so if the format of the file changes or is altered through a screen- shot or other image format conversion, the invisible watermark is no longer effective.32 | ・画像上の不可視電子透かしは、他のタイプのコンテンツ上の不可視電子透かしよりも除去が容易である。画像の場合、電子透かしは通常、画像のピクセルバイトやビットに埋め込まれているため、ファイルのフォーマットが変更されたり、スクリーンショットやその他の画像フォーマットの変換によって変更されたりすると、電子透かしは効力を失う32。 |
| • Invisible or embedded watermarks created through labeling or adding additional information to a piece of content’s metadata can create noise, generally unnecessary information in a dataset which neces- sitates greater amounts of storage space. This can sometimes make it harder to download and access certain types of content, particularly with low- latency bandwidth or a system that does not have strong working memory or abundant storage.33 | ・コンテンツのメタデータにラベリングや追加情報を追加することによって作成された不可視の電子透かしや埋め込まれた電子透かしは、データセットにノイズ、一般的には不必要な情報を生じさせる可能性がある。このため、特に低遅延の帯域幅や、強力なワーキングメモリや豊富なストレージを持たないシステムでは、ある種のコンテンツのダウンロードやアクセスが困難になることがある33。 |
| • Visible watermarks on fluid content like video are much harder to remove. However, this type of watermark can be distracting and make content consumption less appealing as it is visible to consumers of the content. Required watermarks can also distract from the primary content, particularly in advertising and marketing purposes where, for example, a business wants to generate an image or icon of a product to share in a campaign. | ・ビデオのような流動的なコンテンツに施された目に見える電子透かしは、除去するのがより困難である。しかし、この種の電子透かしは、コンテンツの消費者に見えるため、気が散り、コンテンツの消費を魅力的でなくする可能性がある。また、電子透かしが必要な場合、特に広告やマーケティング目的では、例えば企業がキャンペーンで共有する製品の画像やアイコンを生成したい場合、主要なコンテンツから注意をそらす可能性がある。 |
| Figure 1: AI Authentication Along the AI Value Chain | 図1:AIバリューチェーンに沿った真正性確認 |
 |
|
| Human Authentication | 人間による真正性確認 |
| Sometimes referred to in AI discussions as “human in the loop,” human authentication requires human involvement to verify whether content has been AI-generated at or across certain points of the AI value chain. A straightforward example is requiring human validation of content that has been flagged as potentially AI-generated. Human authentication can be used in a broad range of contexts, to validate model inputs (datasets or metadata) or outputs (content). | AIの議論では「Human in the Loop」と呼ばれることもある真正性確認は、AIバリューチェーンの特定のポイントにおいて、あるいはポイント全体にわたって、コンテンツがAI生成的かどうかを検証するために人間の関与を必要とする。わかりやすい例としては、AI生成の可能性があるとしてフラグが立てられたコンテンツについて、人間による検証を要求することである。真正性確認は、モデルの入力(データセットまたはメタデータ)または出力(コンテンツ)を検証するために、幅広いコンテキストで使用することができる。 |
| Human authentication is useful and already part of the AI value chain: generally, cleaning and labeling datasets or inserting credentials into metadata is a highly manual process requiring human oversight. While automation in the context of data mapping and governance is becoming more robust, labeling datasets, assessing outputs, validating models, and performing reinforcement learning with human feedback (RLHF) are all still very manual processes requiring human skill and involvement. Human intervention, including the involvement of diverse human perspectives in AI development generally, is a widely accepted mechanism to prevent issues like bias and real-world harm – and to improve product accessibility and use. | 人間による真正性確認は有用であり、すでにAIのバリューチェーンの一部となっている。一般的に、データセットのクリーニングやラベル付け、あるいはメタデータへの認証情報の挿入は、人間の監視を必要とする高度に手作業的なプロセスである。データマッピングとガバナンスの文脈における自動化はより強固になりつつあるが、データセットのラベリング、アウトプットの評価、モデルの検証、人間のフィードバックを伴う強化学習(RLHF)の実行はすべて、依然として人間のスキルと関与を必要とする非常に手作業的なプロセスである。AI開発における多様な人間の視点を含む人間の介入は、バイアスや実世界での危害などの問題を防止し、製品のアクセシビリティと利用を改善するために、広く受け入れられているメカニズムである。 |
| Key Uses and Best Practices | 主な用途とベストプラクティス |
| 1. Involves diverse groups of people in the authentication process. A variety of people from a range of backgrounds and subject matter areas will improve the quality of human authentication processes. Some people will spot things others will not. | 1. 真正性確認プロセスに多様なグループを関与させる。さまざまな経歴や専門分野の多様な人々が参加することで、真正性確認プロセスの品質が 向上する。ある人は、他の人が気づかないことを発見する。 |
| 2. “Selective intervention,”bywhichhuman authentication is used only in essential parts of the AI authentication process, to ensure that human intervention is targeted and focused so as to maximize human resources. | 2. 「選択的介入」(Selective intervention)とは、AI真正性確認プロセスの重要な部分のみに真正性確認を使用することで、人的資源を最大限に活用できるよう、人的介入に的を絞り、集中させることである。 |
| Limitations and Trade-offs | 限界とトレードオフ |
| • Human authentication and review is an inherently manual process. Human intervention may slow or delay authentication of AI-generated content. Despite this dynamic, human intervention is generally regarded as one of the most effective ways to minimize the unintended risks related to AI. | ・真正性確認と審査は、本質的に手動プロセスである。人間の介入は、AI生成コンテンツの認証を遅らせたり、遅延させたりする可能性がある。このダイナミックさにもかかわらず、人間の介入は一般に、AI に関連する予期せぬリスクを最小化する最も効果的な方法の 1 つと見なされている。 |
| • Human authentication may not be reliable in instances where AI is purposely leveraged to deceive humans. | ・人間を欺くために AI が意図的に活用された場合、真正性確認は信頼できないかもしれない。 |
| • Humans possess inherent and implicit bias which will impact any kind of human-involved process. Human intervention will not fix the presence of inherent or implicit biases and will certainly not be consistent across an organization. | ・人間には固有の暗黙のバイアスがあり、それが人間が関与するあらゆる種類のプロセスに影響を与える。人間が介入しても、固有のバイアスや暗黙のバイアスの存在を修正することはできないし、組織全体で一貫性が保たれるわけでもない。 |
| Other Techniques of Note | その他の注目すべき技術 |
| Many techniques are emerging to authenticate AI-generated content, but not all have reached a level of robustness or attention comparable to the techniques discussed above. The techniques below have been proposed to help authenticate AI-generated content, but further research and interrogation is needed to determine their effectiveness. | AI生成コンテンツを認証するための技術は数多く登場しているが、そのすべてが上述の技 術に匹敵する堅牢性や注目度に達しているわけではない。以下に挙げる技法は、AI生成コンテンツの認証に役立つものとして提案されているが、その有効性を判断するためには、さらなる研究と検証が必要である。 |
| 1. Distributed Ledger Tech/Blockchain Technology: Provides tamper-resistant data storage and verification, making it difficult to alter data once it’s recorded on the blockchain. As this technique leverages blockchain technology, it requires individuals to fully comprehend it and have access to the technology, making it a less effective tool. In addition to this barrier to entry, the same sort of metadata tracking can be done via technological mediums that don’t require blockchain. Lastly, this technique also does not protect against bias in the data, and due to the anonymous nature of blockchain technology, the identity of who alters the ledger could be difficult to track.34 | 1. 分散型台帳技術/ブロックチェーン技術: 耐改ざん性のあるデータ保存と検証をプロバイダが提供し、一度ブロックチェーンに記録されたデータを改ざんすることを困難にする。この技術はブロックチェーン技術を活用するため、個人がその技術を十分に理解し、アクセスする必要があり、効果的なツールとは言い難い。この参入障壁に加え、同じようなメタデータの追跡は、ブロックチェーンを必要としない技術媒体でも可能だ。最後に、この技術もデータのバイアスを防ぐことはできず、ブロックチェーン技術の匿名性により、台帳を改ざんした人物の身元を追跡することは難しい可能性がある34。 |
| 2. Statistical detection: A method of identifying statistical anomalies in the distribution of pixels, speech frequencies, etc. that correlate to artificially generated content. Statistical detection is difficult to implement because it requires a baseline of “normal” frequencies which is arbitrary in nature. Statistical detection carries a higher rate of false negatives (of AI-generated content), making it less ideal as a method of use for authentication purposes.35 | 2. 統計検知: 人為的に生成されたコンテンツに関連する、ピクセルや音声の周波数などの分布における統計的な異常を特定する方法。統計的検知は、本来恣意的である「正常な」周波数の基準値を必要とするため、実装が困難である。統計的検知は、(AI生成コンテンツの)偽陰性の割合が高く、認証目的での使用方法としては理想的ではない。 |
| 3. Behavioral analysis: A technique that looks for natural patterns of imperfection, rhythm, cadence, or other typical behaviors in language or image generation to differentiate human output from AI output. Though it is similar to human authentication and can certainly be used as a type of human authentication, it is narrower in scope. Automating a behavioral analysis process would require enough — i.e., massive volumes — of training data for an AI tool to decide if the image or language content was artificially created. The technology has not yet matured enough to make these determinations independently. | 3. 行動分析: 行動分析:言語や画像の生成において、不完全さ、リズム、拍子、その他の典型的な行動の自然なパターンを探し、人間の出力とAIの出力を区別する手法。真正性確認に似ており、一種の人間認証として利用できることは確かだが、その範囲は狭い。行動分析プロセスを自動化するには、AIツールが画像や言語コンテンツが人為的に作成されたものかどうかを判断するのに十分な、つまり膨大な量の学習データが必要になる。このような判断を独自に行えるほど、技術はまだ成熟していない。 |
| 4. Turing testing: A method to challenge AI-generated content or verification agents with CAPTCHA-style tests or open-ended questions a human would easily answer but an AI may struggle to solve. Turing testing is said to be a thing of the past be- cause many AI algorithms can be trained to pass these confined or narrow tests.36 | 4. チューリングテスト: AI生成コンテンツや検証エージェントに、CAPTCHA形式のテストや、人間なら簡単に答えられるがAIには難しいオープンエンドの質問を課す方法。チューリング・テストは過去のものになったと言われているが、その理由は、多くのAIアルゴリズムが、こうした限定されたテストや狭いテストに合格するように訓練できるからである36。 |
| 5. Leveraging AI to detect AI-generated content: At the same time that generative AI can contribute to misinformation, AI can also help to com- bat misinformation. Indeed, AI tools can help to assess the trustworthiness of digital con- tent. Companies are in the process of building software and programs that analyze things like form and content.37 However, more research and development is needed to hone these tools and improve their accuracy in detecting deepfake and other AI-generated images. | 5. AIを活用したAI生成コンテンツ検知: 生成的AIが誤情報を助長する可能性があると同時に、AIは誤情報の防止にも役立つ。実際、AIツールはデジタル・コンテンツの信頼性を評価するのに役立つ。しかし、こうしたツールに磨きをかけ、ディープフェイクやその他のAIが生成した画像を検知する精度を改善するには、さらなる研究開発が必要である。 |
| Policy / Best Practice Recommendations | 政策/ベストプラクティスの提言 |
| Authenticating AI content is a newly emerging field — ripe for innovation and the development and adoption of best practices. In line with our 2021 Global AI Policy Recommendations38 and Policy Guide for Understanding Foundation Models & the AI Value Chain published earlier this year,39 ITI recommends that as governments consider AI regulation, they first scope and understand specific harms, keeping the impact on innovation top of mind. As policymakers contemplate the development of regulation and guidelines regarding AI-generated content and authentication, we offer the following considerations: | AI生成コンテンツの真正性確認は、イノベーションとベスト・プラクティスの開発・採用の機が 熟した新興分野である。ITIは、政府がAI規制を検討する際には、イノベーションへの影響を念頭に置きながら、まず具体的な危害の範囲を特定し理解することを推奨する。政策立案者がAI生成コンテンツや真正性確認に関する規制やガイドラインの策定を検討するにあたり、以下の点を考慮することを提案する: |
| 1. Enable and allow innovation in AI authentication to grow and thrive. | 1. AI真正性確認のイノベーションを可能にし、成長させる。 |
| Policymakers should be careful not to be overly prescriptive in establishing regulation in this area because state-of-the-art technology for verification and authentication of AI content is still being developed and studied, and some authentication systems are only beginning to be deployed at scale. While AI authentication techniques offer promising solutions to verify and assure content, more research and investment are needed in this area before a definitive recommendation can be made as to the type of authentication that should take place. It may be the case that multiple types of authentication are appropriate for a given output. For example, the C2PA Coalition supports both watermarking and content credentials to include content provenance to engender public trust in digital content in the age of ubiquitous AI. Any approach to oversight or control in this domain has the potential to become quickly outdated, especially as authentication techniques will continue to evolve alongside the technology itself. | 政策立案者は、AIコンテンツの検証・認証のための最先端技術はまだ開発・研究中であり、認証システムの中には大規模な展開が始まったばかりのものもあるため、この分野の規制を確立する際に過度に杓子定規にならないよう注意すべきである。AI 認証技術は、コンテンツを検証し保証するための有望な解決策を提供するものではあるが、 どのような認証が行われるべきかについて明確な勧告を行う前に、この分野でのさらなる 研究と投資が必要である。ある出力には、複数の種類の認証が適切である場合もある。たとえば、C2PA 連合は、ユビキタス AI 時代にデジタル・コンテンツに対する社会的信用を高めるために、電子透かしと、コン テンツの出所を含むコンテンツ認証の両方を支持している。この領域における監督や管理に対するいかなるアプローチも、特に認証技 術が技術そのものとともに進化し続けるため、すぐに時代遅れになる可能性がある。 |
| 2. Promote consumer transparency and awareness around AI-generated content. | 2. AI生成コンテンツに関する消費者の透明性と認識を促進する。 |
| While industry is in the process of developing solutions for AI authentication, no one technical fix will be a silver bullet. Consistent with our AI Transparency Policy Principles,40 we believe that consumers should understand when a piece of content is AI-generated, and also be familiar with the tools provided to them to do so. More broadly, users should be informed of the capabilities of the AI system, including what it can and cannot do. Governments should likewise support guidance and programs to consumers to spread consumer literacy and boost the public’s ability to determine when content is AI-generated. | 産業界はAI真正性確認のソリューションを開発中であるが、どの技術的解決策も特効薬にはならない。我々の「AI透明性政策原則」40 に沿って、消費者はコンテンツがAI生成的であることを理解すべきであり、そのために提供されるツールについても熟知すべきであると考える。より広く言えば、ユーザーはAIシステムに何ができて何ができないかを含め、AIシステムの能力について知らされているべきである。政府は同様に、消費者リテラシーを普及させ、コンテンツがAIによって生成されたものであるかどうかを判断する能力を高めるために、消費者に対するガイダンスやプログラムを支援すべきである。 |
| 3. Leverage public-private partnerships to understand both the opportunities and limitations of various authentication techniques. | 3. 官民パートナーシップを活用して、さまざまな真正性確認技術の機会と限界の両方を理解する。 |
| Public-private partnership and collaboration remains important to ensure that policymakers better understand the state-of-play of AI authentication tooling. Demonstrating the progress and limitations of various authentication methods will help inform policymakers as they consider relevant policy tools and interventions in this area, and boost trust in and collaboration among the public and private sectors. | 政策立案者が AI 真正性確認ツールの現状をよりよく理解できるようにするためには、官民パートナ ーシップと協力が引き続き重要である。さまざまな真正性確認手法の進展と限界を示すことは、政策立案者がこの分野に関連する政策ツールや介入策を検討する際の情報提供に役立ち、官民の信頼と協力を高める。 |
| 4. Recognize that AI authentication is a shared responsibility. | 4. AI 真正性確認は共有責任であることを認識する。 |
| Collaboration across industry and with other stakeholders like government bodies and academic researchers will be key to success in this area. Government-backed studies and stakeholder engagement via multistakeholder processes or working groups in collaboration with affected communities and the technical ecosystem is a helpful approach to advancing these techniques. | この分野での成功の鍵は、産業界全体、および政府団体や学術研究者など他のステークホル ダーとのガバナンスにある。政府が支援する研究や、影響を受けるコミュニティや技術エコシステムと連携したマルチス テークホルダープロセスやワーキンググループを通じた利害関係者の参画は、これらの技 術の進歩に役立つアプローチである。 |
| 5. Foster interoperability and collaboration across AI authentication techniques. | 5. AI真正性確認技術の相互運用性と連携を促進する。 |
| One technique alone will not be enough to ensure that a piece of content has or has not been created by AI. Policymakers should ensure any regulatory approach takes into account the variety of techniques needed for effective content authentication. Similar to the zero-trust model in cybersecurity, there should be a mixed-method approach to AI authentication utilizing the techniques discussed above. | あるコンテンツがAIによって作成されたものであるか否かを確認するには、1つの技法だけでは不十分である。政策立案者は、効果的な真正性確認に必要な多様な技術を考慮した規制アプローチを確保すべきである。サイバーセキュリティにおけるゼロ・トラスト・モデルと同様に、AI真正性確認には、上述した技法を活用した混合手法のアプローチが必要である。 |
| 6. Incent and augment humans in the loop. | 6. 人間をループに組み込み、増強する。 |
| Human authentication is essential to minimizing the potential negative impacts of AI tools and content, particularly when it comes to unintended risks. Policy and research should explore how human authentica- tion can be augmented at the data, model, and output levels as described (including with the help of AI). | 真正性確認は、特に意図しないリスクに関して、AIツールやコンテンツの潜在的な悪影響を最小限に抑えるために不可欠である。政策と研究は、(AIの助けを借りることも含め)データ、モデル、出力の各レベルで、人間の真正性確認をどのように強化できるかを探るべきである。 |
| 7. Invest in the development of clear, voluntary industry consensus standards for AI Authentication. | 7. AI 真正性確認に関する明確な自主的業界コンセンサス標準の策定に投資する。 |
| While industry is working on the development of standards and regimes to watermark and apply provenance to and authenticate AI content, involvement from voluntary technical standards organizations, like the International Standards Organization (ISO) and experts from bodies like NIST to help develop and test best practices will help promote consistency, interoperability, and collaboration across techniques. | 産業界は、AI コンテンツに電子透かしを施し、実証を適用し、真正性確認を行うための標準や体制の開発に取り組んでいるが、国際標準化機構(ISO)のような自主的な技術標準化団体や、NIST のような団体の専門家が関与し、ベストプラクティスの開発とテストを支援することは、技術間の一貫性、相互運用性、協力の促進に役立つ。 |
| Glossary | 用語解説 |
| Authentication: “An act, process, or method of showing something to be real, true, or genuine”41 and in the case of AI, data, models, and outputs, the act of verifying or confirming the authenticity of content generated by AI models. | 真正性確認: 「AI、データ、モデル、アウトプットの場合、AIモデルによって生成されたコンテンツの真正性を検証または確認する行為。 |
| Computer Vision: A field of computer science that enables computers to identify and understand various objects and features in images and videos. | コンピュータ・ビジョン: コンピュータ・サイエンスの一分野で、コンピュータが画像や映像の様々な対象や特徴を識別・理解することを可能にする。 |
| Content File: A digital file or set of files accompanying a piece of content or media which includes the content itself, metadata, and any other relevant content. | コンテンツ・ファイル(Content File):コンテンツやメディアに付随するデジタル・ファイルまたはファイル・セットで、コンテンツ自体、メタデータ、その他の関連コンテンツを含む。 |
| Content Provenance: The chronology of ownership, custody, or location of a piece of content. | コンテンツ出所(Content Provenance):コンテンツの証明: コンテンツの所有者、保管者、所在地の年表。 |
| Data Poisoning: Method used to manipulate or distort datasets and AI models by inserting corrupted information or data into the model training process. If performed maliciously, objectives of data poisoning are primarily to trick models to bias their outputs. | データ・ポイズニング(Data Poisoning):データへの毒物混入: モデルの学習プロセスに破損した情報やデータを挿入することで、データセットやAIモデルを操作したり歪めたりするために使用される手法。悪意を持って行われる場合、データ・ポイズニングの目的は主にモデルを騙してその出力にバイアスをかけることである。 |
| Deepfakes: The result of distorting or manipulating AI models or data to generate convincing image, audio, or video content that appears real but is in fact misrepresentative or false. | ディープフェイク: AIモデルやデータを歪めたり操作したりすることで、一見本物のように見えるが、実際には虚偽である説得力のある画像、音声、動画コンテンツを生成すること。 |
| Disinformation: False information that is spread with the intent to mislead individuals into believing it is true. | 偽情報: 個人を真実だと誤解させる目的で流される偽情報。 |
| Generative AI: A type of artificial intelligence that can create or produce different types of content, including text, imagery, audio, and synthetic data based on patterns and predictions in the data. | 生成的AI:データのパターンや予測に基づいて、テキスト、画像、音声、合成データなど、さまざまなタイプのコンテンツを作成または生成できる人工知能の一種。 |
| Hallucination: When an AI model generates false or misleading information but presents it as if it were a fact and/or truthful. | 幻覚: AIモデルが虚偽または誤解を招くような情報を生成するにもかかわらず、あたかもそれが事実であり真実であるかのように提示すること。 |
| Hash or Hash Value: A numeric or alphanumeric value or sequence of a fixed length that uniquely identifies data. | ハッシュまたはハッシュ値: データを一意に識別するための固定長の数値または英数字の値またはシーケンス。 |
| Human-in-the-loop: The dynamic that describes the utilization or involvement of humans at any stage of the AI development or authentication process. | ヒューマン・イン・ザ・ループ(Human-in-the-loop): AIの開発または真正性確認プロセスのどの段階においても、人間が利用または関与することを表す動的なもの。 |
| Labeling: A process used across a number of AI authentication techniques which involves sharing relevant context along with a piece of content or information, often in the form of a sticker, explanation, or tag embedded alongside the content. | ラベリング: 多くのAI真正性確認技術で使用されるプロセスで、コンテンツや情報の一部と関連するコンテキストを共有することを含み、多くの場合、ステッカー、説明、タグの形でコンテンツと一緒に埋め込まれる。 |
| Large Language Model (LLM): LLMs are a type of foundation model that can generate text after being trained on massive amounts of unlabeled, textual data. | 大規模言語モデル(LLM): LLMは基礎モデルの一種であり、ラベル付けされていない大量のテキストデータに対して学習させた後、テキストを生成することができる。 |
| Misinformation: False information that is spread without the intent to mislead individuals into believing it is true. | 誤情報: 個人を真実だと誤解させる意図なしに流布される誤った情報。 |
| Multimodal content: Content that uses different mediums, i.e., a combination of text, audio, and video. | マルチモーダルコンテンツ: テキスト、音声、動画の組み合わせなど、異なる媒体を使用するコンテンツ。 |
| Natural Language Processing: An interdisciplinary subfield of artificial intelligence and linguistics that provides computers the ability to comprehend text and speech. | 自然言語処理: 人工知能と言語学の学際的なサブフィールドで、テキストや音声を理解する能力をコンピュータに提供する。 |
| Noise: Unnecessary, excessive, or meaningless information in a piece of data or dataset, which necessitates greater amounts of storage and parsing, sometimes convoluting a dataset. | 雑音: データやデータセットに含まれる不要な情報、過剰な情報、無意味な情報のことで、より大量の保存や解析が必要となり、時にはデータセットを複雑にしてしまう。 |
| Reinforcement Learning with Human Feedback (RLHF): Process in machine learning training that involves “rewarding” a model when it performs well or as desired to optimize the model. RLHF can be highly contextual depending on the organization and model. | 人間のフィードバックによる強化学習(RLHF): 機械学習の学習プロセスで、モデルがうまく機能したとき、またはモデルを最適化するために必要な「報酬」を与えることを含む。RLHFは、組織やモデルによって、非常に文脈的である。 |
| Parameter: A variable in an AI model, the impact of which can be adjusted during training to influence how new input data is transformed or analyzed into output. | パラメータ: AIモデルの変数で、新しい入力データがどのように変換され、どのように分析されて出力されるかに影響を与えるため、トレーニング中にその影響を調整することができる。 |
| Provenance: The chronology of ownership, changes / manipulation, and location of an object or thing. | 出所: ある物や事物の所有権、変更・操作、所在の年表。 |
| Sidecar File: Files that accompany a content or source file which store metadata that is not supported by the format of a content or source file. | サイドカーファイル(Sidecar File):コンテンツファイルやソースファイルに付随するファイルで、コンテンツファイルやソースファイルのフォーマットではサポートされていないメタデータを格納する。 |
| Watermark: A technique used to embed or attach a signal or information in a piece of content to identify its validity or source. | 電子透かし: コンテンツの有効性や出典を識別するために、コンテンツに信号や情報を埋め込んだり添付したりする技術。 |
リファレンス先の内容も大変参考になるので...
References
1 Smith,J.(2023,February1). ChatGPT sets record as fastest-growing user base: Analyst note. Reuters. https://www.reuters.com/technology/chatgpt-sets-record-fastest-growing-user-base-analyst-note-2023-02-01/
2 NVIDIA.(n.d.).Generative AI. NVIDIA. Retrieved 13 December 2023, from https://www.nvidia.com/en-us/glossary/data-science/generative-ai/
3 For example, AI-generated content can be used to create alternative text (alttext) to label any non-text content. See: https://learn.microsoft.com/en-us/azure/ai-services/computer-vision/use-case-alt-text
4 National Institute of Standards and Technology. (n.d.). Authentication. NIST Computer Security Resource Center. Retrieved 13 December 2023, from https://csrc.nist.gov/glossary/term/authentication
5 See page5 of our report on Understanding Foundation Models & The AI Value Chain: https://www.itic.org/documents/artificial-intelligence/ITI_AIPolicyPrinciples_080323.pdf
6 Mis-anddis-information is referred to as false information that could be consequential or inconsequential.
7 Misinformation Integrity Institute Report. The New York Times. (2022, October 13) https://www.nytimes.com/2022/10/13/technology/misinformation-integrity-institute-report.html
8 UNHCR Fact Sheet on types of misinformation and disinformation: https://www.unhcr.org/innovation/wp-content/uploads/2022/02/Factsheet-4.pdf
9 Techopedia.(n.d.).AI Hallucination.Techopedia. Retrieved 30 November 2023, from https://www.techopedia.com/definition/ ai-hallucination#:~:text=An%20AI%20hallucination%20is%20where,outputs%20from%20large%20language%20models
10 Swenson, Ali. (2023, August). FEC Warns of Potential for AI-Generated 'Deepfakes' in Election 2024. AP News. https://apnews.com/article/fec- artificial-intelligence-deepfakes-election-2024-95399e640bd1e41182f6c631717cc826
11 National Institutes of Health (NIH). (2023, December). Beware of Virtual Kidnapping Ransom Scam. Retrieved from https://ors.od.nih.gov/News/ Pages/Beware-of-Virtual-Kidnapping-Ransom-Scam.aspx; Dudha, A. (2023, June 18). Scammers can easily use voice-cloning AI to con family members: expert. CBC News. Retrieved from https://www.cbc.ca/news/canada/saskatoon/fraudsters-likely-using-ai-to-scam-seniors-1.6879807
12 Qadri, R., Shelby, R., Bennett, C. L., & Denton, E. (2023, June 12). AI's regimes of representation: A community-centered study of text-to- image models in South Asia. Proceedings of the ACM Conference on Human Factors in Computing Systems, 1–16. [https://dl.acm.org/doi/abs/10.1145/3593013.3594016].
13 See S. 2559 - Deepfake Task Force Act, definition of digital content provenance.
14 International Organization for Standardization. (n.d.). Artificial Intelligence: AI/TS 37382 – Requirements for trustworthy AI. ISO. https://www.iso.org/standard/37382.html
15 Joint Photographic Experts Group (JPEG). (n.d.). JPEG Fake Media. Retrieved from https://jpeg.org/jpegfakemedia/
16 Joint Photographic Experts Group (JPEG). (2022, December 11). JPEG initiates specification on fake media based on responses to its call for proposals. Retrieved from https://jpeg.org/items/20221211_press.html
17 Joint Development Foundation. (n.d.). Coalition for Content Provenance and Authenticity. Retrieved from https://c2pa.org/.
18 Ibid.
19 See C2PA technical specification here: https://c2pa.org/specifications/specifications/1.0/specs/C2PA_Specification.html.
20 Joint Development Foundation, Coalition for Content Provenance and Authenticity (C2PA). (n.d.). Introducing Official Content Credentials Icon. Retrieved from https://c2pa.org/post/contentcredentials/.
21 Getty Images. (2023, December 12). Getty Images launches innovative new watermark to combat image misuse. PR Newswire. https://www.prnewswire.com/news-releases/getty-images-launches-innovative-new-watermark-153637795.html.
22 See the Partnership on AI’s Synthetic Media Framework here: https://syntheticmedia.partnershiponai.org/
23 See more information about the Frontier Model Forum here: https://frontiermodelforum.org/
24 Google DeepMind. (2023, August 29). Identifying AI-generated images with SynthID. Retrieved from https://deepmind.google/discover/blog/identifying-ai-generated-images-with-synthid/.
25The New York Times. (2023, February 17). Can AI tell if text is real or fake? The race is on. Retrieved from https://www.nytimes.com/interactive/2023/02/17/business/ai-text-detection.html.
26 Meta AI. (2023, October 26). Stable Signature: A new method for watermarking images created by open source generative AI. Retrieved from https://ai.meta.com/blog/stable-signature-watermarking-generative-ai/.
27 V. Verma, Poonam and R. Chawla, "An enhanced Least Significant Bit steganography method using midpoint circle approach," 2014 International Conference on Communication and Signal Processing, Melmaruvathur, India, 2014, pp. 105-108, doi: 10.1109/ICCSP.2014.6949808.
28 Moxion. (n.d.). Forensic Watermarking. Retrieved from https://help.moxion.io/article/121-forensic-watermarking#:~:text=Forensic%20 watermarking%20is%20a%20security,the%20specific%20user%20viewing%20it: https://help.moxion.io/article/121-forensic-watermarking#:~:text=Forensic%20watermarking%20is%20a%20security,the%20specific%20user%20viewing%20it.
29 Wang, K., Liu, Y., & Zhang, X. (2022, February 16). On the effectiveness of dataset watermarking in adversarial settings. arXiv preprint arXiv:2202.12506.
30 Boenisch, F. (2021). A Systematic Review on Model Watermarking for Neural Networks. Frontiers in Big Data, 4:729663. https://doi.org/10.3389/fdata.2021.729663
31 Wiggers, K. (10 December 2022). OpenAI’s attempts to watermark AI text hit limits. TechCrunch. Retrieved from: https://techcrunch.com/2022/12/10/openais-attempts-to-watermark-ai-text-hit-limits/
32 Emmons, L. (20 December 2021). Invisible Watermarks: Are They Worth It? LightRocket. Retrieved from: https://www.lightrocket.com/blog/invisible-watermarks-are-they-worth-it
33 Nanjundan, P., & George, J. P. (2022). Text Watermark Analysis – Concept, Technique, and Applications. In J. Sen & J. Mayer (Eds.), Information Security and Privacy in the Digital World - Some Selected Topics. IntechOpen. DOI: 10.5772/intechopen.106914
34 Finance Strategists. (7 September 2023). Blockchain and AI. Finance Strategists. Retrieved from: https://www.financestrategists.com/wealth-management/blockchain/blockchain-and-ai/; also see Futureworks.news. (n.d.). Blockchain-Based Digital Identity: Benefits, Risks, and Implementation Challenges. Retrieved from https://future.works/blockchain-based-digital-identity-benefits-risks-and-implementation-challenges
35 PromptEngineering. (n.d.). The Truth About AI Detectors: More Harm Than Good? PromptEngineering. https://promptengineering.org/the-truth-about-ai-detectors-more-harm-than-good/
36 Beiever, C. (25 July 2023). ChatGPT broke the Turing test — the race is on for new ways to assess AI. Nature. Retrieved from: https://www.nature.com/articles/d41586-023-02361-7
37 European Commission. (2021 July 7). Can artificial intelligence help end fake news? Research and Innovation. Retrieved from https://ec.europa.eu/research-and-innovation/en/horizon-magazine/can-artificial-intelligence-help-end-fake-news
38 Information Technology Industry Council. (2021 March). ITI’s Global AI Policy Recommendations. Retrieved from: https://www.itic.org/documents/artificial-intelligence/ITI_GlobalAIPrinciples_032321_v3.pdf
39 Information Technology Industry Council. (2023 August). Understanding Foundation Models & the AI Value Chain: ITI’s Comprehensive Policy Guide. Retrieved from: https://www.itic.org/documents/artificial-intelligence/ITI_AIPolicyPrinciples_080323.pdf
40 Information Technology Industry Council. (2022 September). ITI Policy Principles for Enabling Transparency of AI Systems. Retrieved from: https:// www.itic.org/documents/artificial-intelligence/ITIsPolicyPrinciplesforEnablingTransparencyofAISystems2022.pdf
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.12.23 総務省 経済産業省 AI事業者ガイドライン案
・2023.12.22 自由民主党 AI の安全性確保と活用促進に関する緊急提言 (2023.12.14)
・2023.12.21 経済産業省 AI事業者ガイドライン検討会
・2022.01.29 経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1
・2021.07.11 経済産業省 意見募集 AI原則実践のためのガバナンス・ガイドライン Ver1.0
こんにちは、丸山満彦です。
備忘録...
AI、サイバーや、太平洋島嶼国の話もあったようですね。。。
実務的な話があったのですかね。。。
● U.S. Department of State
・2023.01.06 Joint Statement on the Trilateral United States-Japan-Republic of Korea Indo-Pacific Dialogue
● 外務省
・2023.01.06 [PDF] JOINT PRESS RELEASE ON THE TRILATERAL UNITED STATES – JAPAN – REPUBLIC OF KOREA INDO-PACIFIC DIALOGUE
こんにちは、丸山満彦です。
MITREがサイバーレジリエンス・フレームワークとサイバー・サバイバビリティ属性 (CSA) のマッピング表を公表していますね。。。具体的には、国防総省のサイバー・サバイバビリティ推奨実施ガイド (Department of Defense-issued Cyber Survivability Endorsement Implementation Guide; CSEIG) からNIST SP800-53の管理策 (controls) へのマッピング表ですね。。。
資料は2022年9月ですね。。。
● MITRE
・2023.01.05 Cyber Resiliency Framework and Cyber Survivability Attributes
| Cyber Resiliency Framework and Cyber Survivability Attributes | サイバーレジリエンス・フレームワークとサイバー・サバイバビリティ属性 |
| This report provides an initial mapping of cyber resiliency constructs – cyber resiliency design principles, techniques, implementation approaches, and controls to the Cyber Survivability Attributes (CSAs) defined by the Cyber Survivability Endorsement Implementation Guide – to identify controls which support specific CSAs. | 本報告書は、特定の CSA をサポートする管理策を特定するために、サイバー・サバイバビリティ設計原則、技 術、実装アプローチ、管理策と、サイバー・サバイバビリティ推奨実装ガイドで定義されたサイバー・サバイバビリティ属性(CSAs)との初期的なマッピングを提供する。 |
| The Department of Defense-issued Cyber Survivability Endorsement Implementation Guide (CSEIG) directs that weapon systems and defense critical infrastructure systems demonstrate "the ability to prevent, mitigate, recover from, and adapt to adverse cyber events that could impact mission-related functions by applying a risk-managed approach to achieve and maintain an operationally relevant risk posture, throughout the system lifecycle for such systems." Cyber Survivability Attributes (CSAs) must be selected and tailored to the system in its operational and threat environment, so that the system can be demonstrated to provide adequate survivability. Simultaneously, DoD systems must be demonstrated to provide adequate cybersecurity via the National Institute of Standards and Technology (NIST) Risk Management Framework (RMF). To apply the RMF, systems engineers for such systems need to select controls from NIST SP (Special Publication) 800-53 Numerous controls in NIST SP 800-53 Rev. 5 have been identified as supporting cyber resiliency, as defined in NIST SP 800-160 Vol. 2: "the ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on systems that use or are enabled by cyber resources." Despite differences in scope, cyber survivability aligns closely with cyber resiliency. Therefore, cyber resiliency controls are a logical starting point for identifying controls which support cyber survivability. | 国防総省発行のサイバー・サバイバビリティ推奨実施ガイド(CSEIG)は、兵器システムおよび国防重要インフラシステムに対し、「そのようなシステムのシステム・ライフサイクル全体を通じて、運用上適切なリスク・ポスチャを達成し維持するためにリスクマネジメントされたアプローチを適用することにより、ミッション関連機能に影響を与える可能性のある有害なサイバー事象を防止、軽減、回復、適応する能力」を実証するよう指示している。サイバー生存性属性(CSAs)は、システムが適切な生存性を提供できることを実証できるように、運用環境および脅威環境において、選択され、システムに合わせて調整されなければならない。同時に、国防総省のシステムは、国立標準技術研究所(NIST)のリスクマネジメントフレームワーク(RMF)を通じて、適切なサイバーセキュリティを提供できることを実証しなければならない。RMFを適用するために、そのようなシステムのシステムエンジニアは、NIST SP(特別刊行物)800-53から管理策を選択する必要がある。NIST SP 800-53 Rev.5の多数の管理策は、NIST SP 800-160 Vol.2で定義されているように、サイバーレジリエンスをサポートするものとして識別されている。範囲は異なるものの、サイバー・サバイバビリティはサイバー・レジリエンスと密接に連携している。したがって、サイバーサバイバビリティをサポートする管理策を特定する上で、サイバーレジリエンスの管理策は論理的な出発点となる。 |
・[PDF]
ちなみに。。。CSA...
| CSA 01 | Control Access | System shall only allow identified, authenticated, and authorized persons and non-person entities (including all assigned cyber defenders and their tools) access or interconnection to system or sub-system elements. The capability shall enforce a validation mechanism to protect the C, I, A [confidentiality, integrity, and availability] of system resources (e.g., memory, files, interfaces, logical networks). The system shall employ anti-tamper measures that include features for protection of critical system components, information technologies, and maintenance of technology/program protection. Physical access to the system shall also be controlled. [1], [2] | アクセス制御 | システムは、識別され、認証され、認可された本人および非本人事業体(割り当てられたすべてのサイ バー防御者およびそのツールを含む)のみが、システムまたはサブシステム要素にアクセスまたは相互接続で きるようにする。能力は、システム・リソース(メモリ、ファイル、インタフェース、論理ネットワークなど)の C、I、A[機密性、完全性、可用性]を保護するための検証メカニズムを強制するものとする。システムは、重要なシステム・コンポーネント、情報技術、技術/プログラム保護の保守を保護するための機能を含む改ざん防止策を採用するものとする。システムへの物理的なアクセスも管理されなければならない。[1], [2] |
| CSA 02 | Reduce System’s Cyber Detectability | System survivability requires that signaling and communications (both wired and wireless) implemented by the system (or state “supported by system/capability”) shall minimize the ability of an adversary to monitor and/or target system and/or supported DoD weapon systems through its emanations, which may include deception. [1], [2], and [10] | システムのサイバー検知の低減 | システム・サバイバビリティは、システム(または「システム/能力によってサポートされる」状態)によって 実装されるシグナリング及びコミュニケーション(有線及び無線の両方)が、敵対者が欺瞞を含 むその発散によってシステム及び/またはサポートされる国防総省の兵器システムを監視及び/または標的 とする能力を最小化することを必要とする。[1]、[2]、[10]のとおりである。 |
| CSA-03 | Secure Transmissions and Communications | System shall ensure all transmissions and communications of data ‘in transit’ are protected commensurate with its confidentiality and integrity requirements. System shall only use NSA-certified cryptographic devices. [1] [2] 16 [10] adds: System shall prevent unauthorized transmissions and communications, including attempted data exfiltration, from the system to an unauthorized person or non-person entity. | 安全な伝送とコミュニケーション | システムは、「転送中」のデータのすべての送信およびコミュニケーションが、その機密性および完全性の要件に見合うように保護されていることを保証するものとする。システムは、NSA 認定の暗号化デバイスのみを使用するものとする。[1] [2] 16 [10] を追加する: システムは、システムから無許可の個人または個人以外の事業体への、データ流出の試みを含む無許可の送 信およびコミュニケーションを防止するものとする。 |
| CSA-04 | Protect System’s Information from Exploitation | System shall ensure all data ‘at rest’ is protected commensurate with its confidentiality and integrity requirements. System shall prevent unauthorized access, use, modification, and transfer/removal of data, including attempted exfiltration, from the system to unauthorized person and non-person entities throughout the system’s lifecycle (including development). [1], [2] | システム情報の悪用からの防御 | システムは、「静止」状態にあるすべてのデータが、その機密性及び完全性の要件に相応して保護されていることを保証しなければならない。システムは、システムのライフサイクル(開発を含む)を通じて、システムから無許可の個人または個人以外の事業体への不正アクセス、不正使用、不正変更、およびデータの転送/削除(流出の試みを含む)を防止しなければならない。[1], [2] |
| Note that [10] did not mention integrity requirements. Note also that Deception supports, but is not required for, Control Visibility and Use and Change and Disrupt Attack Surfaces. One Deception approach that should be considered for CSA-04 is Disinformation with control SC30(4) Concealment and Misdirection | Misleading Information. | なお、[10]では完全性の要件については触れていない。また、欺瞞は、可視性と使用の制御、攻撃サーフェスの変更と破壊をサポートするが、必須ではないことにも注意すること。CSA-04 で考慮すべき欺瞞のアプローチの一つは、SC30(4) 誤解を招く情報の隠蔽と不正流用である。 | |||
| CSA-05 | Partition and Ensure Critical Functions at Mission Completion Performance Levels | System partitioning shall implement technical/logical mitigations including logical and physical segmentation. The system shall be able to maintain mission critical functions at minimum performance thresholds identified within the system’s CONOPS [Concept of Operations]. Compromise of non-critical functions shall not significantly impact system mission capability. [1], [2], and [10] | ミッション完了時のパフォーマンスレベルで重要機能をパーティション化し、確保する | システムのパーティショニングは、論理的および物理的なセグメンテーションを含む、技術的/論理的な軽減策を実施すること。システムは、システムの CONOPS [運用概念]内で識別される最小限の性能閾値で、ミッション・クリティカルな機能を維持できなければならない。非重要機能の妥協は、システムのミッション能力に重大な影響を与えないものとする。[1]、[2]、[10]を参照のこと。 |
| CSA-06 | Minimize and Harden Attack Surfaces | System shall automatically disable all unauthorized ports, protocols, and services (PPS), including access points, by default. Any deviations from PPS baselines shall be approved and documented by a management board. System shall support automated monitoring and logging of system attack surface and associated cyber-events. Any removable media use must be approved, documented and strictly monitored. [1], [2], and [10] | 攻撃サーフェスの最小化と強化 | システムは、アクセス・ポイントを含むすべての未承認ポート、プロトコル、サービス(PPS) をデフォルトで自動的に無効にすること。PPS のベースラインからの逸脱は、管理委員会によって承認され、文書化されるものとする。システムは、システム攻撃対象および関連するサイバー・イベントの自動監視およびロギングをサ ポートするものとする。リムーバブル・メディアの使用は、承認され、文書化され、厳重に監視されなければならない。[1]、[2]、[10]のとおりとする。 |
| CSA-07 | Baseline & Monitor Systems and Detect Anomalies | System shall implement and maintain a cyber survivability configuration baseline for its GOTS/COTS HW, SW, FW and open source modules, by version number to ensure an operationally acceptable cyber risk posture 24/7 (note: drives CDRLs). System shall monitor, detect and report system health status and anomalies indicative of cyber events, based on its current adversary cyber threat intelligence, CONOPS, and Mission Relevant Cyber Terrain (MRT-C). Applicable report detail shall be provided to users, system operators and assigned cyber defenders (e.g., system shall report 31 anomalies such as configuration changes, cyber-related event indicators, slowed processing, or loss of functionality within T = (# of seconds/minutes [specified by sponsor]). [1], [2], and [10] The amount of data available for monitoring may be overwhelming, complicating the task of identifying critical information. One way of reducing the amount of data without impacting mission is to focus the mission requirements on common critical assets and the impacts of these assets on missions. | システムのベースラインと監視、および異常の検知 | システムは、GOTS/COTS の HW、SW、FW、およびオープン・ソース・モジュールについて、24 時間 365 日運用上許容可能なサイバー・リスク態勢を確保するために、バージョン番号別にサイバー・サバイバビリティ・コンフィギュレーション・ベースラインを実装し、維持するものとする(注:CDRL を駆動する)。システムは、現在の敵のサイバー脅威情報、CONOPS、MRT-C(Mission Relevant Cyber Terrain)に基づいて、システムの健全性状態およびサイバーイベントを示す異常を監視、検知、報告すること。該当するレポートの詳細は、ユーザ、システム運用者、および割り当てられたサイバー防御担当者に提供されるものとする(例えば、システムは T = (秒/分[プロバイダによって指定される]数)以内に、設定変更、サイバー関連イベントインジケータ、処理速度低下、機能喪失などの 31 の異常を報告しなければならない)。[監視に利用可能なデータ量は膨大であり、重要な情報を識別する作業を複雑にしている。ミッションに影響を与えずにデータ量を削減する方法の1 つは、ミッション要件を共通の重要資産と、これらの資産がミッションに与える影響に絞ることである。 |
| CSA-08 | Manage System Performance and Enable Cyberspace Defense | If anomalies are detected and/or cyber-events degrade system capability, the system shall be sufficiently resilient to mitigate cyber-related event effects through orderly, structured and prioritized system responses, in order to ensure minimum mission functionality requirements [system functionality threshold specified by sponsor] to complete the current mission or return for recovery. The system shall enable assigned cyber defenders to impose effects on adversaries to counter their operations and objectives. Alternatively, the mission commander shall be able to selectively disconnect/disable subsystems that are not critical as well as isolate the system from integrated platform systems and/or the Department of Defense Information Network (DoDIN). [1], [2], and [10] | システムのパフォーマンスを管理し、サイバー空間での防衛を可能にする | 異常が検知された場合、および/またはサイ バーイベントがシステム能力を低下させた場合、シス テムは、現在のミッションを完了するか、または回 復のために帰還するために最低限必要なミッション機能 [スポン サーが指定するシステム機能閾値]を確保するため に、秩序ある構造化された優先順位付けされたシ ステム対応を通じて、サイバー関連イベントの 影響を軽減する十分なレジリエンシーを持たなけれ ばならない。このシステムにより、指定されたサイバー防衛隊員は、敵対勢力の作戦と目的に対抗する効果を敵対勢力に与えることができるようになる。あるいは、ミッション指揮官は、統合プラットフォーム・システムおよび/または国防総省情報ネットワーク(DoDIN)からシステムを切り離すだけでなく、重要でないサブシステムを選択的に切断/無効化できるようにしなければならない。[1]、[2]、[10]のとおりである。 |
| CSA-09 | Recover System Capabilities | After a cyber-event, the system shall be capable of being restored to a known good configuration from a trusted source; at a minimum, restored to partial mission capability, between mission cycles or within xx hours [specified by sponsor], to fight another day. System recovery shall prioritize cyber operational resiliency functions [specified by sponsor]. [1], [2], and [10] | システム能力の回復 | サイバー事象の後、システムは信頼できる情報源から既知の良好な構成に復旧できるものとする。最低でも、ミッション・サイクルの間、またはxx時間以内[スポンサーが指定]に部分的なミッション能力に復旧し、別の日に戦えるようにする。システム復旧は、[スポンサーが指定する]サイバー運用レジリエンス機能を優先するものとする。[1]、[2]、[10]のとおりである。 |
| CSA-10 | Actively Manage System’s Configurations to Achieve and Maintain an Operationallyrelevant Cyber Risk Posture | Throughout a system’s lifecycle and within one standard mission cycle of xx hours [specified by sponsor] of identification of a drop in cyber risk posture below its commensurate CSRC level, the system shall have a configuration management process supported by automated capabilities and technology refresh options, to achieve and continuously maintain an objectively assessed and operationally-relevant risk posture. The process shall include inputs from operators, defenders and intel analysts to continuously assess changes in adversary threat and include a machine readable Bill of Materials (BOM) of the system’s GOTS/COTS HW, SW, FW and open source modules for a supply chain risk assessment prior to each milestone decision and supported release. The process shall determine the sufficiency of system cyber survivability and support a DevOps framework to prioritize vulnerability mitigation and remediation in the system and connected infrastructure with greatest mission risks. (note: drives CDRLs). [1] [2] 5 | システムの構成を積極的に管理し、運用に適したサイバーリスク体制を実現・維持する | システムのライフサイクル全体を通じて、また、サイバーリスク態勢が相応の CSRC レベルを下回ったことが確認されてから標準ミッションサイクルの 1 サイクルである xx 時間[スポン サーが指定]以内に、システムは、客観的にアセスメントされた運用に関連するリスク態勢を達成し、継続的に維持するために、自動化された機能および技術更新オプションによってサポートされる構成マネジメントプロセスを持たなければならない。このプロセスには、敵の脅威の変化を継続的に評価するため、運用者、防衛者、情報アナリストからのインプットが含まれ、各マイルストーンの決定とサポートされるリリースの前に、サプライ・チェーンのリスク・アセスメントのため、システムの GOTS/COTS HW、SW、FW、オープン・ソース・モジュールの機械可読部品表(BOM)が含まれるものとする。このプロセスでは、システムのサイバー・サバイバビリティの十分性を判断し、DevOps のフレームワークをサポートすることで、最もミッション・リスクの高いシステムと接続インフラにおける脆弱性低減と修復の優先順位を決定する。(注:ドライブ CDRLs)。[1] [2] 5 |
参考...
[1] Joint Staff/J6, Cyber Survivability Endorsement (CSE) Implementation Guide, Version 3.0 (cleared for public release), Joint Staff J6, Deputy Director for Information Warfare Requirements Division, July 2022.
・2022.07 [PDF] Cyber Survivability Endorsement (CSE) Implementation Guid Ver 3.0
[2] S. Pitcher and T. Andress, "Cyber Survivability for Future and Legacy DoD Weapon Systems," 10 June 2021. [Online]. Available: https://www.ndia.org/- /media/sites/ndia/divisions/systems-engineering/se---june-2021-meeting/cse-support-tofuture-and-legacy-dod-systems-10-jun-2021-for-ndia.ashx.
・2021.06.10 [PDF]
[10] S. Pitcher, "New DoD approaches on the Cyber Survivability of Weapon Systems," 25
March 2019. [Online]. Available: http://www.itea.org/wp-content/uploads/2019/03/PitcherSteve.pdf. [Accessed 19 August 2020].
・2019.03.25 [PDF]
こんにちは、丸山満彦です。
昨年の仕事がまだ終わっていないです。。。
EUのサイバーセキュリティ戦略によるものなのですが、欧州連合の機構、団体、事務所および機関におけるサイバーセキュリティの高い共通レベルのための措置が規定されました。。。CERT-EU等の位置付けもより明確になりますね。。。
すなわち、EUの機関、団体、事務所、機関から指名されたメンバーからなる機関間サイバーセキュリティ委員会(Interinstitutional Cybersecurity Board; IICB)設置され、EUの機関、団体、事務所、機関のためのサイバーセキュリティ・サービスとなりますね。。。そして、ENISAとの協力もより明確になりますね。。
規則はこちら...
● EUR-Lex
・[HTML]
・[PDF]
CERT-EUのブログ...
● CERT-EU - Blog
・2023.01.08 Harder Better Faster Stronger
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.03.24 欧州委員会 欧州議会、機関等のサイバーセキュリティを強化する規則案
・2021.10.25 欧州連合理事会が「大規模サイバーセキュリティ事件・危機へのEU協調対応を補完する共同サイバーユニット構想の可能性を探るための理事会結論案 」を承認
・2021.06.26 欧州委員会 合同サイバーユニットを提案
その他...
・2023.05.15 欧州 CERT-EU 生成的AIの潜在的な影響とリスク
・2023.02.17 欧州 ENISAとCERT-EUが共同で「脅威アクターによる持続的な活動」を公表
・2022.04.01 欧州検査院 特別報告書:EUの機構・団体・機関のサイバーセキュリティ : 全体的な準備のレベルは脅威に見合っていない
・2022.02.24 ENISA CSIRT成熟度フレームワークの改訂
・2022.02.15 ENISAとCERT-EU EUのすべての官民組織が最低限実施すべきサイバーセキュリティのベストプラクティス14項目
こんにちは、丸山満彦です。
米国の国家安全保障局 (NSA) がSBOM管理のための推奨事項を更新していますね。。。
● Nationatl Security Agency; NSA / Central Security Service
・2024.01.04 CSI: Recommendations for Software Bill of Materials (SBOM) Management (Jan 2024 Update)
・[DOCX] 仮訳
SBOMというよりも、Cybersecurity Supply Chain Risk Management (C-SCRM) の重要性を説いている感じですね。。。
エグゼクティブサマリー...
| Executive summary | 要旨 |
| The dramatic increase in cyber compromises over the past five years, specifically of software supply chains, prompted intense scrutiny of measures to strengthen the resilience of supply chains for software used throughout government and critical infrastructure. Several policies and working groups at multiple levels within the U.S. Government focus on this need to ensure the authenticity, integrity, and trustworthiness of software products. The office of the National Manager for National Security Systems (NSS), working in collaboration with other NSA organizations, researched and tested tools that manage Software Bills of Materials (SBOMs) as part of a Cybersecurity Supply Chain Risk Management (C-SCRM) strategy. This guidance includes important recommendations for SBOM management tool functionality derived from the research and evaluation of various SBOM management tools. | 過去 5 年間、特にソフトウェアのサプライチェーンにおけるサイバー侵害が劇的に増加したことから、 政府や重要インフラで使用されるソフトウェアのサプライチェーンのレジリエンスを強化するための対策について、 激しい精査が行われるようになった。米国政府内の複数のレベルで、ソフトウェア製品の本人認証、完全性、信頼性を確保する必要性に焦点を当てた政策や作業部会がいくつか存在する。国家安全保障システム(NSS)担当国家マネジャーのオフィスは、NSA の他の組織と協力して、サイバーセキュリティ・サプライチェーン・リスクマネジメント(C-SCRM)戦略の一環として、ソフトウェア部品表(SBOM)を管理するツールを研究し、テストした。本ガイダンスには、様々な SBOM 管理ツールの研究と評価から得られた SBOM 管理ツールの機能に関する重要な推奨事項が含まれている。 |
| Fundamental to C-SCRM is leveraging a ‘list of [software] ingredients’ to understand and mitigate the cyber risks that software can pose to a user organization. SBOMs and SBOM management tools bridge this gap to support an improved cybersecurity posture. Specifically, users should leverage SBOMs, as part of a cybersecurity tool suite, to make: | C-SCRMの基本は、「(ソフトウェアの)成分リスト」を活用して、ソフトウェアがユーザー組織にもたらす可能性のあるサイバーリスクを理解し、軽減することである。SBOM と SBOM 管理ツールは、このギャップを埋め、サイバーセキュリティ態勢の改善を支援する。具体的には、ユーザはサイバーセキュリティ・ツール群の一部として SBOM を活用して、次のことを行うべきである: |
| • Risk Management decisions about acquiring and deploying software, | • ソフトウェアの取得と展開に関するリスクマネジメントの決定、 |
| • Vulnerability Management decisions about software deployment and ongoing operations, and | • ソフトウエアの展開と継続的な運用に関する脆弱性管理の決定、および |
| • Incident Management decisions to detect and respond to new software vulnerabilities during vital operations. | • 重要な業務中に新たなソフトウェアの脆弱性を検知し対応するためのインシデント管理の決定。 |
| This guidance can enable NSS software application owners and users to determine an appropriate management toolset that leverages SBOMs to achieve these tasks. | このガイダンスは、NSSソフトウェアアプリケーションの所有者とユーザーが、これらのタスクを達成するためにSBOMを活用する適切な管理ツールセットを決定することを可能にする。 |
目次...
| Contents | 目次 |
| Executive summary | 要旨 |
| Introduction | 序文 |
| Purpose and background | 目的と背景 |
| Recommendations | 推奨事項 |
| General recommendations for software suppliers | ソフトウェア・サプライヤーへの一般的な推奨事項 |
| General recommendations for software consumers | ソフトウェア利用者に対する一般的な推奨事項 |
| Specific guidance for NSS | NSSのための具体的なガイダンス |
| Best practices | ベストプラクティス |
| Recommended tool functionality | 推奨ツールの機能 |
| SBOM input | SBOM入力 |
| SBOM output | SBOM出力 |
| Generating SBOMs | SBOMの生成 |
| SBOM component handling | SBOMコンポーネントの取り扱い |
| Validation of SBOM and SBOM component integrity | SBOMおよびSBOMコンポーネントの完全性の検証 |
| Vulnerability tracking and analysis | 脆弱性の追跡と分析 |
| Distinguishing identified vs. exploitable vulnerabilities | 識別された脆弱性と悪用可能な脆弱性の区別 |
| User interface | ユーザーインターフェース |
| Output forms and methods | 出力形式と方法 |
| SBOM versioning and configuration management support | SBOMのバージョニングと構成管理のサポート |
| Integration and workflow with other systems | 他のシステムとの統合とワークフロー |
| Supporting access to data sources | データソースへのアクセスをサポートする |
| Scalable architecture | スケーラブルなアーキテクチャ |
| SBOM tool setup and configuration | SBOMツールのセットアップと構成 |
| Works cited | 引用文献 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項
・2023.11.09 米国 CISA 脆弱性悪用可能性交換情報の発行時期
・2023.10.18 Five Eyes、ドイツ、オランダ、ノルウェー、韓国、イスラエル、日本、シンガポール、チェコ他 セキュア・バイ・デザイン原則の改訂
・2023.09.26 米国 CISA サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)
・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ
・2023.09.01 NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略
・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)
・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引
・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画
・2023.07.07 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集
・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)
・2023.04.25 米国 CISA SBOM関連の二文書
・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)
・2023.03.04 米国 国家サイバーセキュリティ戦略を発表
・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)
・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...
・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践
・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善
・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表
・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践
・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在
・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証
・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践
・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス
・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理
・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15
・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)
・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)
・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...
・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践
・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。
こんにちは、丸山満彦です。
各国代表者が新年の挨拶をする場合があります。岸田総理も年頭所感を公表していますね。。。
日本の場合は、経済の好転(賃上げはもう少し必要ですが...)をアピールし、バブル崩壊後の縮小傾向からの復活を仕上げる。。。という感じで始まっていますが、可処分所得があがった実感を多くの国民がもてる状況になるかどうかが重要なポイントなんでしょうね。。。(今のフェーズでは、物価高が先の状況ですから、賃上げと減税?の実感が高まるフェーズが成功するか。。。)
外交面では、国際的な欧州、中東における国際的な緊張が東アジアに及ぶ懸念を示しつつ、2024年が米国大統領選挙、欧州やアジア(EU議会選挙、 台湾を含むのでしょう)でも重要な選挙の年として注意しなければならないと言っていますね。。。日本は選挙もした方が良いのかもしれませんが、選挙をされる側の都合もあるかもしれません。。。
政治資金問題は触れないわけにはいかないので、最後に軽く?触れていますね。。。金で大臣の椅子を買うというのは私が子供の頃の話でしたが、ひょっとしたら今もそうなのかもしれません。。。
● 日本
・2024.01.01 岸田内閣総理大臣 令和6年 年頭所感
● 中国
| 国家主席习近平发表二〇二四年新年贺词 | 習近平主席による2024年の年頭挨拶 |
● オーストラリア
| New year's message - 2024 | 新年挨拶 2024 |
● シンガポール
| 2024 New Year Message by PM Lee Hsien Loong | リー・シェンロン首相による2023年新年のメッセージ |
● インド
| PM wishes everyone a splendid 2024 | 首相、2024年が素晴らしい年になるよう祈る |
● ロシア
| New Year Address to the Nation |
国民への年頭挨拶 |
● ドイツ
| Neujahrsansprache von Bundeskanzler Scholz: | 連邦首相の年頭挨拶:逆風でもうまくやっていける |
● フランス
| VŒUX DU PRESIDENT DE LA REPUBLIQUE AUX FRANÇAIS. | 共和国大統領からフランス国民への挨拶 |
● 英国(スコットランド)
| New Year mesage from Scottish Secretary | スコティッシュ・セクレタリーからの新年のメッセージ |
● 米国 (instagram)
・2023年の振り返り...
● カナダ
| Statement by the Prime Minister to mark the New Year | 新年を迎えての総理大臣の声明 |
● まるちゃんの情報セキュリティきまぐれ日記
・2023.01.03 各国代表の新年の挨拶 2023年
・2022.02.04 バイデン大統領夫妻の旧正月に寄せたメッセージ. - 米国が競争しているのは、中国ではなく中国共産党政府なんでしょうね。。。
・2022.01.02 各国代表の新年の挨拶 2022年
こんにちは、丸山満彦です。
中国の新暦の新年前後の習近平国家主席との挨拶関係...
米国、北朝鮮、ロシア...
● 外交部
| 2024.01.01 | 中美两国领导人互致贺信庆祝两国建交45周年 | 中米両国首脳が国交樹立45周年を記念して祝賀の書簡を交わす。 |
| 2024.01.01 | 中朝两党两国最高领导人互致新年贺电宣布启动“中朝友好年” | 中国と北朝鮮のトップが新年の挨拶を交わし、「中朝友好年」の開始を発表した。 |
| 2023.12.31 | 国家主席习近平发表二〇二四年新年贺词 | 習近平主席による2024年の年頭挨拶 |
| 2023.12.31 | 中俄两国元首互致新年贺电 中俄两国总理互致新年贺电 | 中国とロシアの国家元首が新年の挨拶を交わす。 |
日本で新年早々いろいろと事件が発生していますが、世界的にもですよね。。。
ロシアによるウクライナへの空爆(北朝鮮製の弾道ミサイルも使用?)、米国では小学校での銃の乱射事件があり、イランでは爆弾テロがあり、インドネシアの鉄道事故、紅海でのイエメン武装集団による商船への攻撃...
中国政府もイラン(習近平国家主席名)、日本(李強首相名)に弔意を表しています。。。
● 外交部
| 2024.01.04 | 习近平就伊朗发生严重恐怖袭击事件向伊朗总统莱希致慰问电 | 習近平、イランでの深刻なテロ攻撃についてイランのリーヒ大統領に哀悼のメッセージを送る |
| 2024.01.03 | 李强就日本石川县地震向日本首相岸田文雄致慰问电 | 李強が岸田文雄首相に日本の石川県沖地震について哀悼のメッセージを送る |
こんにちは、丸山満彦です。
プライバシー、AI、セキュリティ、会計、監査等を中心として、国際機関や各国の安全や保証に関する法令、標準、基準等をみていて思うのですが、法令や標準などは各国の価値観が色濃く反映されますよね。。。価値観を具体化させるために法令等があるわけですから当たり前なんですが。。。
組織の活動がグローバルに展開しており、例えばグローバル企業ではその企業の一部がいろいろな国にかかっているので、そこでそれぞれの対応が求められることになります。すべての国の法令が同じであれば問題ないのですが、そうではないので、企業の一部で個別対応が必要となってきます。さらに、域外適用の問題もあり、その状況が複雑になってきています。。。
自国の企業の活動を発展させるためには、自国の価値観に基づいてできた法令と同じ法令が、他国でも制定されれば、活動しやすいことになりますね。。。(自分が育った価値観で他国でもビジネスができるんですから。。。)
グローバル企業としては、当然に法令が各国でそろっている、できれば自国の法令と同じ法令が他国でも制定されれば、より発展しやすいということになります。そうすると、国としてすべきは自国の法令と同じ法令を他国にもつくってもらうようにすることですよね。。。
でも、他国が自国と違う価値観であれば、当然同じ法令にはならないわけです。(目指している価値観が違うのに、その価値観を実現する手段が同じになるわけがない。。。同じように見えても。。。)
となると、国としてすべきことは、価値観の世界への普及ですよね。。。これは、欧州においては、キリスト教の普及ということで昔からやっていることかもしれません。一方、日本があまりしてきていないことなのかもしれませんね(第二次世界大戦の時にしようとしていたかもしれませんが)。。。
ただ、価値観は時間(歴史、時には黒い歴史)により醸成されてきているものなので、簡単には変えることはできませんよね。。。
それでも、日本を成長させようというのであれば、世界の価値観に合わせていくのと同様に、日本の価値観をスマートに世界に普及していくことが重要なのかもしれません。あくまでも、「スマート」に...
なんで、こんなことを考えているかというと、最初の文書と関係するのですが、欧州のAI法(2022.11.25EU理事会案)が、EU Valuesというのを強調しているからです。この価値観を実現するための法律なので、この価値観が一致していれば、法令は自動的に一致していくわけです。。。もちろん、ここで言葉にしていることだけが価値観ではないので、行間についても重要なわけですが。。。
ちなみにEUの価値観
| The EU values | EUの価値観 |
| The EU values are common to the EU countries in a society in which inclusion, tolerance, justice, solidarity and non-discrimination prevail. These values are an integral part of our European way of life: | EUの価値観は、包摂、寛容、正義、連帯、無差別が支配する社会におけるEU諸国に共通するものである。これらの価値観は、欧州の生活様式に不可欠なものである: |
| Human dignity | 人間の尊厳 |
| Human dignity is inviolable. It must be respected, protected and constitutes the real basis of fundamental rights. | 人間の尊厳は侵すことのできないものである。それは尊重され、保護されなければならず、基本的権利の真の基礎を構成する。 |
| Freedom | 自由 |
| Freedom of movement gives citizens the right to move and reside freely within the Union. Individual freedoms such as respect for private life, freedom of thought, religion, assembly, expression and information are protected by the EU Charter of Fundamental Rights. | 移動の自由は、国民に欧州連合内で自由に移動し居住する権利を与える。私生活の尊重、思想、宗教、集会、表現、情報の自由といった個人の自由は、EU基本権憲章によって保護されている。 |
| Democracy | 民主主義 |
| The functioning of the EU is founded on representative democracy. Being a European citizen also means enjoying political rights. Every adult EU citizen has the right to stand as a candidate and to vote in elections to the European Parliament. EU citizens have the right to stand as candidate and to vote in their country of residence, or in their country of origin. | EUの機能は代表民主主義に基づいている。欧州市民であることは、政治的権利を享受することでもある。成人のEU市民はすべて、欧州議会の選挙において候補者として立候補し、投票する権利を有する。EU市民は、居住国または出身国において候補者として立候補し、投票する権利を有する。 |
| Equality | 平等 |
| Equality is about equal rights for all citizens before the law. The principle of equality between women and men underpins all European policies and is the basis for European integration. It applies in all areas. The principle of equal pay for equal work became part of the Treaty of Rome in 1957. Although inequalities still exist, the EU has made significant progress. | 平等とは、法の下でのすべての市民の平等な権利のことである。男女平等の原則は、欧州のすべての政策を支え、欧州統合の基礎となっている。これはあらゆる分野に適用される。同一労働同一賃金の原則は、1957年にローマ条約の一部となった。不平等は依然として存在するが、EUは大きな進歩を遂げている。 |
| Rule of law | 法の支配 |
| The EU is based on the rule of law. Everything the EU does is founded on treaties, voluntarily and democratically agreed by its EU countries. Law and justice are upheld by an independent judiciary. The EU countries gave final jurisdiction to the European Court of Justice which judgements have to be respected by all. | EUは法の支配に基づいている。EUが行うことはすべて、EU諸国が自主的かつ民主的に合意した条約に基づいている。法と正義は、独立した司法機関によって守られている。EU諸国は欧州司法裁判所に最終的な管轄権を与え、その判決はすべての国民に尊重されなければならない。 |
| Human rights | 人権 |
| Human rights are protected by the EU Charter of Fundamental Rights. These cover the right to be free from discrimination on the basis of sex, racial or ethnic origin, religion or belief, disability, age or sexual orientation, the right to the protection of your personal data, and or the right to get access to justice. | 人権はEU基本権憲章によって守られている。その中には、性別、人種・民族的出身、宗教・信条、障害、年齢、性的指向による差別を受けない権利、個人情報の保護を受ける権利、司法へのアクセスを得る権利などが含まれている。 |
これを見ていると、キリスト教の普及があって、王権神授説に基づく絶対王政の時代があって、イギリス革命、フランス革命等で民主化、自由、法治政治が明確になり、ナチスの台頭により平等、人権の重要性が取り上げられたのではないかと思うんですよね。。。
こんにちは、丸山満彦です。
個人情報保護委員会が個人情報保護法の3年ごと見直しに関する意見を各種団体等から徴収中ですね。。。
個人情報保護法の最初の経産省ガイドを作っていた時から比べると、個人情報保護法の運用もこなれてきた反面、
というのが諸外国も含めて生じていて、
組織の活動がグローバル化が進む中で、社会変化に伴う各国制度の改訂においても、各国との調整が必要になってきている状況だろうと思います。
個人的には、法令の見直しという点では、
というのが必要かと思っていて、
さらにガイドライン及びFAQにおいて
そして、政策的には
というのが必要なのではないかと思っています。。。(みなさんの考えていることとそんなにずれていないと思いますが...)
さて、各種団体からの意見...
・2023.12.21 電子情報技術産業協会 (JEITA)
・2023.12.21 全国商工会連合会
・2023.12.15 新経済連盟
・2023.12.15 日本IT団体連盟
・2023.12.06 欧州ビジネス協会
・2023.11.29 一般社団法人日本情報経済社会推進協会
個人情報保護委員会の課題???
・2023.11.15 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討
そのための各国の状況把握???
・2023.11.15 個人情報保護に係る主要課題に関する海外・国内動向調査 概要資料
| 2023.12.21 | 第266回個人情報保護委員会 |
| 資料1―1 | 個人情報保護法の3年ごと見直しに関する意見(電子情報技術産業協会) |
| 資料1―2 | ヒアリング資料(全国商工会連合会) |
| 2023.12.20 | 第265回個人情報保護委員会 |
| 資料1―1 | ACCJ Comments for the Personal Information Protection Commission Public Hearing(在米国商工会議所) |
| 資料1―2 | 公開ヒアリングに向けたACCJ意見(在米国商工会議所) |
| 2023.12.15 | 第264回個人情報保護委員会 |
| 資料1―1 | 個人情報保護法の見直しについて(新経済連盟) |
| 資料1―2 | 個人情報保護法見直しに関する意見(日本IT団体連盟) |
| 議事概要 | |
| 2023.12.06 | 第263回個人情報保護委員会 |
| 資料2 | 個人情報保護法に関する欧州企業の代表的な課題(欧州ビジネス協会) |
| 議事概要 | |
| 2023.11.29 | 第262回個人情報保護委員会 |
| 資料1 | ヒアリング資料(一般社団法人日本情報経済社会推進協会) |
| 議事概要 | |
| 2023.11.15 | 第261回個人情報保護委員会 |
| 資料2-1 | 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討 |
| 資料2-2 | 個人情報保護に係る主要課題に関する海外・国内動向調査 概要資料 |
| 議事概要 | |
| 議事録 |
こんにちは、丸山満彦です。
NISTがAIに対する攻撃と緩和策の分類と用語についての報告書を公表していますね。。。2023年の3月にドラフトを公表し、意見募集をしていたものです。。。
AIとセキュリティ・プライバシーの接点という感じですかね。。。
2020年のサイバー犯罪に関する白浜シンポジウムで私が発表した内容の一部を精緻にしたような感じかもです。。。
● NIST - ITL
・2024.01.04 NIST AI 100-2 E2023 Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations
| NIST AI 100-2 E2023 Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations | NIST AI 100-2 E2023 敵対的機械学習: 攻撃と緩和策の分類と用語 |
| Abstract | 概要 |
| This NIST Trustworthy and Responsible AI report develops a taxonomy of concepts and defines terminology in the field of adversarial machine learning (AML). The taxonomy is built on surveying the AML literature and is arranged in a conceptual hierarchy that includes key types of ML methods and lifecycle stages of attack, attacker goals and objectives, and attacker capabilities and knowledge of the learning process. The report also provides corresponding methods for mitigating and managing the consequences of attacks and points out relevant open challenges to take into account in the lifecycle of AI systems. The terminology used in the report is consistent with the literature on AML and is complemented by a glossary that defines key terms associated with the security of AI systems and is intended to assist non-expert readers. Taken together, the taxonomy and terminology are meant to inform other standards and future practice guides for assessing and managing the security of AI systems, by establishing a common language and understanding of the rapidly developing AML landscape. | このNIST Trustworthy and Responsible AI報告書は、敵対的機械学習(AML)の分野における概念の分類法を作成し、用語を定義している。この分類法は、AMLに関する文献の調査に基づいて構築されており、主要なタイプのML手法と攻撃のライフサイクル段階、攻撃者の目標と目的、攻撃者の能力と学習プロセスに関する知識を含む概念階層に整理されている。また、攻撃の結果を緩和・管理するための対応策を示し、AIシステムのライフサイクルで考慮すべき関連する未解決の課題を指摘している。本報告書で使用されている用語は、AMLに関する文献と一致しており、AIシステムのセキュリティに関連する主要な用語を定義した用語集によって補完されている。この分類法と用語集は、急速に発展しているAMLの状況について共通の言語と理解を確立することで、AIシステムのセキュリティを評価・管理するための他の基準や将来の実践ガイドに情報を提供することを目的としている。 |
・[PDF] NIST.AI.100-2e2023
・[DOCX] 仮訳
目次...
| Executive Summary | エグゼクティブ・サマリー |
| 1. Introduction | 1. 序文 |
| 2. Predictive AI Taxonomy | 2. 予測AI分類法 |
| 2.1. Attack Classification | 2.1. 攻撃の分類 |
| 2.1.1. Stages of Learning | 2.1.1. 学習の段階 |
| 2.1.2. Attacker Goals and Objectives | 2.1.2. 攻撃者の目標と目的 |
| 2.1.3. Attacker Capabilities | 2.1.3. 攻撃者の能力 |
| 2.1.4. Attacker Knowledge | 2.1.4. 攻撃者の知識 |
| 2.1.5. Data Modality . | 2.1.5. データのモダリティ |
| 2.2. Evasion Attacks and Mitigations | 2.2. 回避攻撃と緩和策 |
| 2.2.1. White-Box Evasion Attacks | 2.2.1. ホワイトボックス回避攻撃 |
| 2.2.2. Black-Box Evasion Attacks | 2.2.2. ブラックボックス回避攻撃 |
| 2.2.3. Transferability of Attacks | 2.2.3. 攻撃の移譲性 |
| 2.2.4. Mitigations | 2.2.4. 緩和策 |
| 2.3. Poisoning Attacks and Mitigations | 2.3. ポイズニング攻撃と緩和策 |
| 2.3.1. Availability Poisoning . | 2.3.1. アベイラビリティ・ポイズニング |
| 2.3.2. Targeted Poisoning | 2.3.2. 標的型ポイズニング攻撃 |
| 2.3.3. Backdoor Poisoning | 2.3.3. バックドア・ポイズニング攻撃 |
| 2.3.4. Model Poisoning . | 2.3.4. モデル・ポイズニング |
| 2.4. Privacy Attacks | 2.4. プライバシー攻撃 |
| 2.4.1. Data Reconstruction | 2.4.1. データ最構築 |
| 2.4.2. Membership Inference | 2.4.2. メンバーシップ推論 |
| 2.4.3. Model Extraction . | 2.4.3. モデル抽出 |
| 2.4.4. Property Inference | 2.4.4. 特性推論 |
| 2.4.5. Mitigations | 2.4.5. 緩和策 |
| 3. Generative AI Taxonomy | 3. 生成的AI分類法 |
| 3.1. Attack Classification | 3.1. 攻撃の分類 |
| 3.1.1. GenAI Stages of Learning | 3.1.1. GenAIの学習段階 |
| 3.1.2. Attacker Goals and Objectives | 3.1.2. 攻撃者の目標と目的 |
| 3.1.3. Attacker Capabilities | 3.1.3. 攻撃者の能力 |
| 3.2. AI Supply Chain Attacks and Mitigations | 3.2. AIサプライチェーン攻撃と緩和策策 |
| 3.2.1. Deserialization Vulnerability | 3.2.1. デシリアライズ脆弱性 |
| 3.2.2. Poisoning Attacks | 3.2.2. ポイズニング攻撃 |
| 3.2.3. Mitigations | 3.2.3. 緩和策 |
| 3.3. Direct Prompt Injection Attacks and Mitigations | 3.3. 直接的プロンプト・インジェクション攻撃と緩和策 |
| 3.3.1. Data Extraction | 3.3.1. データ抽出 |
| 3.3.2. Mitigations | 3.3.2. 緩和策 |
| 3.4. Indirect Prompt Injection Attacks and Mitigations | 3.4. 間接的プロンプト・インジェクション攻撃と緩和策 |
| 3.4.1. Availability Violations . | 3.4.1. 可用性違反 |
| 3.4.2. Integrity Violations . | 3.4.2. 完全性違反 |
| 3.4.3. Privacy Compromises . | 3.4.3. プライバシー侵害 |
| 3.4.4. Abuse Violations . | 3.4.4. 乱用違反 |
| 3.4.5. Mitigations | 3.4.5. 緩和策 |
| 4. Discussion and Remaining Challenges | 4. 議論と残された課題 |
| 4.1. The Scale Challenge | 4.1. 規模の課題 |
| 4.2. Theoretical Limitations on Adversarial Robustness . | 4.2. 敵対的堅牢性の理論的限界 |
| 4.3. The Open vs. Closed Model Dilemma | 4.3. オープンとクローズのジレンマ |
| 4.4. Supply chain challenges . | 4.4. サプライチェーンの課題 |
| 4.5. Tradeofs Between the Attributes of Trustworthy AI . | 4.5. 信頼できるAIの属性間のトレードオフ |
| 4.6. Multimodal Models: Are They More Robust? | 4.6. マルチモーダルモデル:より頑健か? |
| 4.7. Quantized models | 4.7. 量子化モデル |
| References | 参考文献 |
| Appendix: Glossary | 附属書:用語集 |
AIの用語については国際標準では、ISO/IEC 22989:2022 Information technology Artificial intelligence: Artificial intelligence concepts and terminology
があります。。。
日本では、JIS X22989 情報技術-人工知能-人工知能の概念及び用語
です。
● 経済産業省
・2023.08.21 日本産業規格(JIS)を制定・改正しました(2023年8月分)
JISは登録すれば閲覧は可能です。。。
● 日本産業標準調査会
登録した上で、ここで、X22989と入力すれば該当ページに飛び、PDFの閲覧ができます。。。
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.03.11 NIST ホワイトペーパー NIST AI 100-2e2023(ドラフト)敵対的機械学習:攻撃と緩和策の分類と用語集
・2020.10.25『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料
機械学習、深層学習をはじめとするいわゆる人工知能技術(AI)の社会での実装が進んできています。サイバーリスクの防御の面でも機械学習、深層学習を活用したサイバー防御製品やサービスが広がってきています。サイバーリスク管理にAIがどのように活用できるのか、人間とのかかわりはどうすべきか、そしてAIを活用したサイバー攻撃、AIに対するサイバー攻撃といったことにも触れていきながら、これからの課題を考えていきたいと思います。
・[PDF] スマートサイバー AI活用時代のサイバーリスク管理(配布用)
こんにちは、丸山満彦です。
個人情報保護委員会が、
・クラウドサービス提供事業者による漏えい等報告の代行報告に関し、「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」を更新し、
・漏えい等報告書の記載例「⑤(クラウド事業者による代行報告事例)」を追加
していますね。。。
例えば、SaaS事業者で漏えい事案が発生し、SaaS利用者が個人情報漏えいについて個人情報保護委員会に報告をすることが必要な場合、SaaS利用者が、発覚の経緯・発覚後の事実経過を報告する必要が生じるが、その報告の内容については、該当するSaaS利用者がすべて同一内容をSaaS事業者に聞かなければならないことになるため、本来SaaS利用者がすべき報告を、SaaS事業者がSaaS利用者に代わって実施することを認めることを明確にするとともに、その場合の報告書の記載例を公表しているのだろうと思います。
「社労務」の事案があってのことだとは思われます。。。情報漏えいの恐れがある企業が約3,400であったので、個別に対応した場合の社会全体の事務作業量は膨大になってしまいますよね。。。(特に、受け付ける側の個人情報保護委員会...)
クラウドサービス提供事業者が漏えい等の代行報告をすることは、両者+個人情報保護委員会にとって合理的な場合が多いと思いますが、これ利用約款への記載ってどうするんでしょうかね。。。
● 個人情報保護委員会
・2023.12.27 クラウドサービス提供事業者による漏えい等報告の代行報告に関し、「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」を更新しました
・[PDF] Q&Aの追加・更新(令和5年12月)
1 ガイドライン(通則編)
1-6 個人データの漏えい等の報告等(法第 26 条関係)(令和3年9月追加)
(報告義務の主体)
Q6-19 クラウドサービス提供事業者が、個人データを取り扱わないこととなってい る場合(Q7-53 参照)において、報告対象となる個人データの漏えい等が発生した ときには、クラウドサービスを利用する事業者とクラウドサービス提供事業者はそれ ぞれ報告義務を負いますか。
A6-19 クラウドサービス提供事業者が、個人データを取り扱わないこととなっている 場合において、報告対象となる個人データの漏えい等が発生したときには、クラウドサー ビスを利用する事業者が報告義務を負います。この場合、クラウドサービスを利用する事業者としては、自らが負う報告義務に基づく報告を、クラウドサービス提供事業者に代行させることができます。また、クラウドサービス提供事業者は、法第 26 条第1項の報告 義務を負いませんが、クラウドサービスを利用する事業者が安全管理措置義務及び同項の報告義務を負っていることを踏まえて、契約等に基づいてクラウドサービスを利用する事業者に対して通知する等、適切な対応を行うことが求められます。
(令和5年 12 月更新)
・2023.12.27 漏えい等報告書の記載例「⑤(クラウド事業者による代行報告事例)」を追加しました。
・[PDF] ⑤(クラウド事業者による代行報告事例)
参考:個人情報保護法 第26条
(漏えい等の報告等)第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.01.04 クラウドサービス利用前提社会 社労務 ランサムウェア被害における公表関係... (2023.06.05 - 2023.11.18)
・2021.02.17 クラウドは竹 クラウド集中リスク
こういう視点も...
・2021.02.19 除草剤をまけば強い植物だけが生き残る
こんにちは、丸山満彦です。
いまごろ???という声もあるとは思いますが、今頃です(^^)...
エムケイシステムの「社労務」というSaaSがランサムウェアに感染した件です。JNSAのセキュリティ十大ニュース2023には選ばれていなかったのですが、クラウド前提の社会に今後ますますなっていくことを踏まえると、いろいろと考えさせられる事件であったと思います。
社会的な影響を考えると、事業規模というよりも、「提供しているサービスの社会的な影響度」✖️「利用率(シェア)」というのも、重要な指標なのだろうと思います。
例えば、上場企業約4000社の1%(40社)が同じ会計システムを利用していて、そのシステムがシステム障害、ランサムウェア感染等で1ヶ月システムが停止し、決算発表が1ヶ月遅れても、問題ではありますが、それほどではないかもしれませんが、25%(1000社)の決算が1ヶ月おくれるというのは、社会的な影響はありそうな気がします(日本の株式市場は市場として大丈夫かという意味で)。
クラウド事業者はネットワーク効果を利用するために、規模の拡大、シェアの拡大を目指すと思われますが、「提供しているサービスの社会的な影響度」✖️「利用率(シェア)」が一定以上になると、重要社会インフラとして、なんらかの規制がかかるようにするというのも社会全体が安全、安心になるための工夫かもしれませんね。。。
社会的な影響に応じた社会的な責任というのが、市場原理、規制によって自律的に機能するような状態にしておくということは重要だと思いますが、クラウドの発展により市場原理以外の仕組みというのも重要となってくるように思います。。。EUの場合は、デジタルサービス法 (DSA) や、デジタル市場法 (DMA) として始まっているのだろうと思います。。。
社労務についてのエムケイシステムの発表から...
第二四半期までに、固定資産除却損として1.2億円、システム障害対応費用として1.2億円、合わせて2.5億円を特別損失として計上していますね。。。
● エムケイシステム
今年度の四半期報告書から...
| 第1四半期 | 第2四半期 |
| 第2 【事業の状況】 | 第2 【事業の状況】 |
| 2 【経営者による財政状態、経営成績及びキャッシュ・フローの状況の分析】 | 2 【経営者による財政状態、経営成績及びキャッシュ・フローの状況の分析】 |
| (1) 業績の状況 | (1) 業績の状況 |
| このような状況の中、当社は、2023年6月6日付「第三者によるランサムウェア感染被害のお知らせ」にて公表しました通り、当社サービスを提供しているデータセンター上のサーバーがランサムウェアによる第三者からの不正アクセスを受けました。結果としてシステムが停止し、正常にサービスを提供できない状況となったことから、影響を受けた対象ユーザー様に対する6月ご利用分について請求を停止することとなりました。 | このような状況の中、当社は、2023年6月6日付「第三者によるランサムウェア感染被害のお知らせ」にて公表しました通り、当社サービスを提供しているデータセンター上のサーバーがランサムウェアによる第三者からの不正アクセスを受けました。結果としてシステムが停止し、正常にサービスを提供できない状況となったことから、影響を受けた対象ユーザー様に対する6月ご利用分及び7月ご利用分の一部について請求を停止することとなりました。 |
| またシステムの復旧に当たり、新たにクラウド基盤でのサービスを提供することとなったため、ランサムウェアに感染したデータセンター内のサーバーの撤去を予定しております。更にシステム復旧及びサービス再開に当たり外部専門機関への調査委託費用、インフラ設備の再構築費用、セキュリティ強化のための費用などが発生しました。これに伴い、当第1四半期連結累計期間において固定資産除却損として125,934千円、システム障害対応費用として103,780千円を特別損失として計上いたしました。 | またシステムの復旧に当たり、新たにクラウド基盤でのサービスを提供することとなったため、ランサムウェアに感染したデータセンター内のサーバーを撤去いたしました。更にシステム復旧及びサービス再開に当たり外部専門機関への調査委託費用、インフラ設備の再構築費用、セキュリティ強化のための費用などが発生しました。これに伴い、当第2四半期連結累計期間において固定資産除却損として125,934千円、システム障害対応費用として125,275千円を特別損失として計上いたしました。 |
| その結果、当第1四半期連結累計期間における業績は売上高509,123千円(前年同四半期比18.5%減)、売上総利益114,592千円(前年同四半期比60.9%減)、営業損失167,499千円(前年同四半期は6,481千円の営業損失)、経常損失165,593千円(前年同四半期は4,231千円の経常損失)、親会社株主に帰属する四半期純損失412,564千円(前年同四半期は17,043千円の親会社株主に帰属する四半期純損失)となりました。また、当社グループが重要な経営指標と考える自己資本利益率(ROE)は、連結ベースで△31.9%(前年同四半期比30.7ポイント減少)、当社単体では△25.9%(前年同四半期は1.1%)となりました。 | その結果、当第2四半期連結累計期間における業績は売上高1,117,759千円(前年同四半期比16.3%減)、売上総利益233,083千円(前年同四半期比63.3%減)、営業損失342,035千円(前年同四半期は40,063千円の営業利益)、経常損失345,050千円(前年同四半期は44,228千円の経常利益)、親会社株主に帰属する四半期純損失595,413千円(前年同四半期は16,877千円の親会社株主に帰属する四半期純利益)となりました。また、当社グループが重要な経営指標と考える自己資本利益率(ROE)は、連結ベースで△49.6%(前年同四半期は1.2%)、当社単体では△40.5%(前年同四半期は3.7%)となりました。 |
| 各セグメントの業績は、次のとおりであります。 | 各セグメントの業績は、次のとおりであります。 |
| (社労夢事業) | (社労夢事業) |
| 社労夢事業は、社会保険労務士事務所、労働保険事務組合及び一般法人における、社会保険、労働保険、給与計算等の手続きをサポートする業務支援ソフトウエアを提供しております。主力製品である社労夢(Shalom)シリーズをはじめ、マイナンバー管理システムの「マイナボックス」、WEB年末調整システム「eNEN」などのクラウドサービスで主に構成されます。 | 社労夢事業は、社会保険労務士事務所、労働保険事務組合及び一般法人における、社会保険、労働保険、給与計算等の手続きをサポートする業務支援ソフトウエアを提供しております。主力製品である社労夢(Shalom)シリーズをはじめ、マイナンバー管理システムの「マイナボックス」、WEB年末調整システム「eNEN」などのクラウドサービスで主に構成されます。 |
| 働き方改革やテレワーク推進のための業務効率化の必要性を背景に、主要顧客である社会保険労務士市場のみでなく、一般法人市場においてもシステム導入意欲が高まっている一方で、競合による新規参入が散見され、価格面も含め競争の激化が予想されます。 | 働き方改革やテレワーク推進のための業務効率化の必要性を背景に、主要顧客である社会保険労務士市場のみでなく、一般法人市場においてもシステム導入意欲が高まっている一方で、競合による新規参入が散見され、価格面も含め競争の激化が予想されます。 |
| 社労夢事業では、前述しております通り、サービスを提供しているデータセンター上のサーバーがランサムウェアによる第三者からの不正アクセスを受け、当社サービスの対象である約3,400 ユーザーの大半に対して正常にサービスを提供できない状況となりました。本事案を受け、影響を受けた対象ユーザー様に対する6月ご利用分についての請求停止を行いましたため、売上高が減少しております。 | 社労夢事業では、前述しております通り、サービスを提供しているデータセンター上のサーバーがランサムウェアによる第三者からの不正アクセスを受け、当社サービスの対象である約3,400 ユーザーの大半に対して正常にサービスを提供できない状況となりました。本事案を受け、影響を受けた対象ユーザー様に対する6月ご利用分及び7月ご利用分の一部についての請求停止を行いましたため、売上高が減少しております。 |
| 売上高の内訳としましては、クラウドサービス売上高が361,562千円(前年同四半期比29.0%減)となり、その内、ストック収益であるASPサービス売上高が347,132千円(前年同四半期比28.2%減)、システム構築サービス売上高が14,430千円(前年同四半期比44.0%減)となりました。システム商品販売売上高は20,639千円(前年同四半期比0.7%減)となりました。 | 売上高の内訳としましては、クラウドサービス売上高が797,848千円(前年同四半期比24.7%減)となり、その内、ストック収益であるASPサービス売上高が763,907千円(前年同四半期比22.5%減)、システム構築サービス売上高が33,941千円(前年同四半期比54.5%減)となりました。システム商品販売売上高は40,150千円(前年同四半期比9.1%減)となりました。 |
| また、上記理由により売上高が減少したことで、売上総利益、営業利益共に前年同四半期に比べ大幅に減少する結果となりました。 | 上記理由により売上高が減少したことに加え、新たなシステム基盤として構築したクラウドサービスの運用コストが想定以上にかかったことから売上原価が増加し、売上総利益、営業利益共に前年同四半期に比べ大幅に減少する結果となりました。 |
| 以上の結果、社労夢事業の売上高は387,076千円(前年同四半期比27.4%減)となり、売上総利益は89,357千円(前年同四半期比67.8%減)、営業損失は144,972千円(前年同四半期は21,950千円の営業利益)となりました。当社グループで重要な経営指標としている売上高に対する営業利益の比率は△37.5%(前年同四半期は4.1%)となりました。 | 以上の結果、社労夢事業の売上高は845,176千円(前年同四半期比24.1%減)となり、売上総利益は163,195千円(前年同四半期比72.0%減)、営業損失は318,600千円(前年同四半期は73,911千円の営業利益)となりました。当社グループで重要な経営指標としている売上高に対する営業利益の比率は△37.7%(前年同四半期は6.6%)となりました。 |
| (2) キャッシュ・フローの状況 | |
| 当第2四半期連結累計期間における現金及び現金同等物(以下「資金」という)は、前連結会計年度末と比較し117,272千円増加し、726,608千円となりました。当第2四半期連結累計期間における各キャッシュ・フローの状況とそれらの要因は次のとおりであります。 | |
| (営業活動によるキャッシュ・フロー) | |
| 営業活動により使用した資金は407,710千円(前年同四半期は245,293千円の獲得)となりました。主な増加要因は、減価償却費177,620千円、未払金の増加59,779千円、主な減少要因は、税金等調整前四半期純損失596,260千円、仕入債務の減少40,630千円などによるものであります。 | |
| 営業活動により使用した資金は407,710千円(前年同四半期は245,293千円の獲得)となりました。主な増加要因は、減価償却費177,620千円、未払金の増加59,779千円、主な減少要因は、税金等調整前四半期純損失596,260千円、仕入債務の減少40,630千円などによるものであります。 | |
| (投資活動によるキャッシュ・フロー) | |
| 投資活動により使用した資金は146,183千円(前年同四半期は284,420千円の使用)となりました。主な減少要因は、無形固定資産の取得による支出119,243千円、有形固定資産の取得による支出34,015千円などによるものであります。 | |
| 投資活動により使用した資金は146,183千円(前年同四半期は284,420千円の使用)となりました。主な減少要因は、無形固定資産の取得による支出119,243千円、有形固定資産の取得による支出34,015千円などによるものであります。 | |
| (財務活動によるキャッシュ・フロー) | |
| 財務活動により獲得した資金は671,166千円(前年同四半期は176,650千円の獲得)となりました。主な増加要因は、長期借入れによる収入700,000千円、短期借入金の増加100,000千円、主な減少要因は長期借入金の返済による支出85,592千円、配当金の支払額43,241千円などによるものであります。 |
有価証券報告書における後発事象...
2023年6月5日に、データセンター内の当社サーバーがランサムウェアによる第三者からの不正アクセスを受けました。
現在、外部専門家や関係機関と連携の上、侵入経路の特定や情報流出の有無の確認などの調査を実施しており、システム復旧とサービス再開に向けて作業を進めております。
なお、翌事業年度の業績への影響については現在精査中です。今後、業績に大きな影響が見込まれる場合は、速やかに開示します。
● まるちゃんの情報セキュリティ気まぐれ日記
こういう視点も...
・2021.02.19 除草剤をまけば強い植物だけが生き残る
こんにちは、丸山満彦です。
金融庁が、大手損害保険会社4社(あいおいニッセイ同和損害保険株式会社、損害保険ジャパン株式会社)、東京海上日動火災保険株式会社、三井住友海上火災保険株式会社)に対し、下記のとおり業務改善命令をだしていましたね。。。
金融庁の発表でも触れられている2005年の不払い問題ですが、その時に損保協会の会長が、14社で、13万件以上、50億円以上の不払い問題があったが、一つ一つの事案の積み重ねであって、構造的な問題ではないと発表していましたが、そういう認識であったからこそ、、、という感じがしないわけでもないですね。。。ビッグモーターの事件もありましたし、損害保険業界自体の改善が必要なのかもしれませんね・・・
金融庁の公表文書に背景などの金融庁の分析も書かれています。。。
業務改善命令...
1.業務の健全かつ適切な運営を確保するため、以下を実施すること。
① 今回の処分を踏まえた経営責任の所在の明確化② 私的独占の禁止及び公正取引の確保に関する法律(昭和22年法律第54号。以下「独占禁止法」という。)に抵触すると考えられる事案、同法の趣旨に照らして不適切な行為があった事案について、更なる事案の特定、調査等③ 共同保険を含む企業保険分野における適正な競争実施のための環境整備に向けた方策の検討、実施④ 適正な営業推進態勢及び保険引受管理態勢の確立(独占禁止法等の法令の趣旨に照らし、不適切な行為のインセンティブとならない営業目標の策定やリスクに応じ適正な保険料を提示できる営業活動を実現するための方策の策定を含む)⑤ 独占禁止法等を遵守するための適切な法令等遵守態勢の確立(営業担当者をはじめとする社内関係者及び代理店に対する十分な教育や適切な監督態勢の構築を含む)⑥ コンプライアンス・顧客保護を重視する健全な組織風土の醸成(独占禁止法等の重要な法令遵守よりも自社の都合を優先する企業文化の是正策を含む)⑦ 上記を着実に実行し、定着を図るための経営管理(ガバナンス)態勢の抜本的な強化
2.上記1.(②を除く)に係る業務の改善計画を、それぞれの事項について具体的な方策を立て、可能なものには数値目標を設定した上で、令和6年2月29日(木)までに提出し、ただちに実行すること。2月29日(木)の提出に先んじて、中間的な検討状況を1月31日(水)までに報告すること。当該計画の実施完了までの間、3か月毎の進捗及び改善状況を翌月15日までに報告すること(初回報告基準日を令和6年5月末とする)。
3.上記1.②の調査結果等について、令和6年2月29日(木)までに報告すること。
● 金融庁
・2023.12.26 大手損害保険会社に対する行政処分について
・[PDF] (別紙)大手損害保険会社の保険料調整行為等に係る調査結果について
今回の件についてのプレス...
● 損害保険ジャパン
今回の件ではないですが、ビッグモーター関係...
● あいおいニッセイ同和損保
● 損害保険ジャパン
・【一覧】ビッグモーター社による不適切な自動車保険金請求に関する当社対応
・【ニュースリリース一覧】ビッグモーター社による不適切な自動車保険金請求への当社対応
● 東京海上日動
・「ビッグモーターグループの不適切な保険金請求」に関する当社の対応について
● 三井住友海上火災保険
・2023.12.01 ビッグモーター社による不正な保険金請求に関する調査委員会の報告書公表について
・[PDF] 調査報告書 [downloaded]
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.07.27 ビッグモーター 特別調査委員会 調査報告書
不払い問題の時...
・2005.09.19 損保不払い14社で50億円超す でも構造的な問題ではない
こんにちは、丸山満彦です。
米国国防総省がサイバーセキュリティ成熟度認証規則案 (CMMC 2.0) に対する意見募集すると発表していますね。。。すでにいくつかのコメントが掲載されていますね。。。
また、この規則案と同時に、
・8つのCMMC文書
についても意見募集をしています。。。
CMMCのウェブページはこちら。。。
米国は軍事的な防衛といえば、軍隊だけでなく、装備品をつくる産業全体、輸送を担う輸送業界、開発機関等も含めて考えますから、こういう考え方は昔からありますよね。。。効率的な手法をめぐって混乱したところはありますが。。。
まずは、国防総省のプレスから。。。
・2023.12.26 Cybersecurity Maturity Model Certification Program Proposed Rule Published
| Cybersecurity Maturity Model Certification Program Proposed Rule Published | サイバーセキュリティ成熟度モデル認証プログラムの規則案が公表される |
| Today, the Department of Defense publishes for a 60-day comment period a proposed rule for the Cybersecurity Maturity Model Certification (CMMC) program at [web] | 本日、国防総省は、サイバーセキュリティ成熟度モデル認証(CMMC)プログラムに関する規則案を、[web] で、60日間の意見募集期間として公表した。 |
| CMMC is designed to ensure that defense contractors and subcontractors are compliant with existing information protection requirements for federal contract information (FCI) and controlled unclassified information (CUI) and are protecting that sensitive unclassified information at a level commensurate with the risk from cybersecurity threats, including advanced persistent threats. | CMMCは、防衛請負事業者および下請事業者が、連邦契約情報(FCI)および管理された未分類の情報(CUI)に対する既存の情報保護要件を遵守し、高度持続的脅威を含むサイバーセキュリティの脅威からのリスクに見合ったレベルで機密の未分類の情報を保護していることを確認するために設計されている。 |
| The proposed rule published today revises certain aspects of the program to address public concerns in response to DoD's initial vision for the CMMC 1.0 program, as originally published on Sep. 29, 2020. With its streamlined requirements, the CMMC program now provides for: | 本日公表された規則案は、2020年9月29日に公表されたCMMC 1.0プログラムに関するDoDの初期ビジョンに対応するため、一般市民の懸念に対処するためにプログラムの特定の側面を改訂するものである。その合理化された要件により、CMMCプログラムは現在、以下を規定している: |
| ・Simplified compliance by allowing self-assessment for some requirements | ・いくつかの要件について自己評価を可能にすることによるコンプライアンスの簡素化 |
| ・Priorities for protecting DoD information | ・国防総省の情報保護の優先順位 |
| ・Reinforced cooperation between the DoD and industry in addressing evolving cyber threats | ・進化するサイバー脅威への対応における国防総省と産業界の協力関係の強化 |
| As discussed in the proposed rule, CMMC requires cybersecurity assessment at only three levels, starting with basic safeguarding of FCI at CMMC Level 1. | 規則案で議論されているように、CMMCは、CMMCレベル1のFCIの基本的な保護から始めて、わずか3つのレベルでのサイバーセキュリティ評価を要求している。 |
| General protection of CUI will require assessment at CMMC Level 2, and a higher level of protection against risk from advanced persistent threats will require assessment at CMMC Level 3. This rule also adds flexibility by allowing for limited use of Plans of Action and Milestones and a government waiver request process. DoD estimates overall program costs will be reduced by allowing for self-assessments for Level 1 and some Level 2 assessments and minimizing cost to industry for Level 3 assessments by having Government assessors from Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) conduct these assessments. | CUIの一般的な保護にはCMMCレベル2での評価が必要となり、高度な持続的脅威からのリスクに対するより高いレベルの保護にはCMMCレベル3での評価が必要となる。 この規則はまた、行動計画およびマイルストーンの限定的な使用と、政府による権利放棄要求プロセスを許可することにより、柔軟性を追加している。 DoDは、レベル1とレベル2の一部の評価について自己評価を認め、国防産業基盤サイバーセキュリティ評価センター(DIBCAC)の政府評価者がこれらの評価を実施することにより、レベル3の評価について産業界へのコストを最小限に抑えることで、プログラム全体のコストが削減されると見積もっている。 |
| Additionally, CMMC aligns directly with the cybersecurity requirements described in National Institute of Standards and Technology (NIST) Special Publications 800-171 and 800-172. | さらに、CMMCは、米国標準技術局(NIST)の特別出版物800-171および800-172に記載されているサイバーセキュリティ要件と直接整合している。 |
| Concurrent for comment with the CMMC proposed rule, DoD is also requesting comment on eight CMMC guidance documents, which can be accessed at [web], and several new information collections, which are available at [web]. More information on the overall CMMC program can be found at [web]. |
CMMC規則案と同時に、DoDは8つのCMMCガイダンス文書[web]、およびいくつかの新しい情報集[web]についてもコメントを求めている。 CMMCプログラム全体に関する詳細は、[web]. |
| A follow-on Defense Federal Acquisition Regulation Supplement (DFARS) rule for CMMC will be provided for public comment in 2024. The existing 48 Code of Federal Regulations (CFR) Rule will be modified to align with the 32 CFR rule for CMMC. More information on the timing of the proposed DFARS rule can be found at [web]. | CMMCに関する国防連邦調達規則補遺(DFARS)規則は、2024年にパブリックコメントのために提供される予定である。既存の連邦規則48章(CFR)規則は、CMMCのための32CFR規則と整合するように修正される。 DFARS規則の提案時期に関する詳細は、[web]。 |
| CMMC 1.0 was published as an interim DFARS rule (2019-D041): Assessing Contractor Implementation of Cybersecurity Requirements, which can be found at [web]. | CMMC 1.0は暫定DFARS規則(2019-D041)として公表された: 請負業者のサイバーセキュリティ要件の実施評価(Assessing Contractor Implementation of Cybersecurity Requirements)」は[web] 。 |
| The DoD CMMC program is now fully defined by the current rulemaking in the 32 CFR regulatory process. | DoDのCMMCプログラムは現在、32 CFRの規制プロセスにおける現行の規則制定によって完全に定義されている。 |
● U.S. Department of Defense - Chief Information Officer
・2023.12.26 CMMC PROGRAM PROPOSED RULE PUBLISHED - PUBLIC COMMENT PERIOD BEGINS
具体的な規則案等については、Regulations.Govのウェブページから。。。
まずは規則案から... (OS-0063)
・2023.12.26 Cybersecurity Maturity Model Certification (CMMC) Program
規則案
・Cybersecurity Maturity Model Certification Program。
ウェブページで読んだ方が読みやすいですが。。。
・[PDF]
「要約」と「本規則が提案するCMMC 2.0の概要」だけ仮対訳...
| Cybersecurity Maturity Model Certification Program | サイバーセキュリティ成熟度モデル認証プログラム |
| Summary | 概要 |
| DoD is proposing to establish requirements for a comprehensive and scalable assessment mechanism to ensure defense contractors and subcontractors have, as part of the Cybersecurity Maturity Model Certification (CMMC) Program , implemented required security measures to expand application of existing security requirements for Federal Contract Information (FCI) and add new Controlled Unclassified Information (CUI) security requirements for certain priority programs. DoD currently requires covered defense contractors and subcontractors to implement the security protections set forth in the National Institute of Standards and Technology (NIST) Special Publication (SP) 800–171 Rev 2 to provide adequate security for sensitive unclassified DoD information that is processed, stored, or transmitted on contractor information systems and to document their implementation status, including any plans of action for any NIST SP 800–171 Rev 2 requirement not yet implemented, in a System Security Plan (SSP). The CMMC Program provides the Department the mechanism needed to verify that a defense contractor or subcontractor has implemented the security requirements at each CMMC Level and is maintaining that status across the contract period of performance, as required. | 国防総省は、サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの一環として、国防請負事業者および下請事業者が、連邦契約情報(FCI)に対する既存のセキュリティ要件の適用を拡大し、特定の優先プログラムに対する管理対象未分類情報(CUI)セキュリティ要件を新たに追加するために、必要なセキュリティ対策を実施していることを確認するための包括的かつスケーラブルな評価メカニズムの要件を確立することを提案している。DoDは現在、対象となる防衛請負事業者および下請事業者に対し、請負事業者の情報システムで処理、保存、または送信される機密のDoD非分類情報に対して適切なセキュリティを提供するため、米国標準技術研究所(NIST)特別刊行物(SP)800-171 Rev 2に規定されたセキュリティ保護を実装し、NIST SP 800-171 Rev 2の未実装要件に対する措置計画を含め、その実装状況をシステム・セキュリティ計画(SSP)に文書化することを求めている。CMMCプログラムは、防衛省の請負事業者または下請事業者が各CMMCレベルのセキュリティ要件を実装しており、要求に従って契約履行期間を通じてその状態を維持していることを検証するために必要なメカニズムを提供する。 |
| ... | ... |
| CMMC 2.0 Overview as Proposed by This Rule | 本規則が提案するCMMC 2.0の概要 |
| Current Requirements for Defense Contractors and Subcontractors | 国防契約者および下請事業者に対する現行の要件 |
| Currently, federal contracts (including defense contracts) involving the transfer of FCI to a non-Government organization follow the requirements specified in FAR clause 52.204–21, Basic Safeguarding of Covered Contractor Information Systems . (5) FAR clause 52.204–21 requires compliance with 15 security requirements, FAR 52.204–21(b)(1), items (i) through (xv). These requirements are elementary for any entity wishing to achieve basic cybersecurity. | 現在、FCIの非政府組織への移転を伴う連邦契約(防衛契約を含む)は、FAR条項52.204-21「対象請負事業者情報システムの基本的保護」に規定された要件に従っている。(5) FAR条項52.204-21は、FAR 52.204-21(b)(1)の項目(i)から(xv)までの15のセキュリティ要件に従うことを要求している。これらの要件は、基本的なサイバーセキュリティを達成しようとするあらゆる企業にとって初歩的なものである。 |
| Defense contracts involving the transfer of CUI to a non-Government organization may include applicable requirements of DFARS clause 252.204–7012, Safeguarding Covered Defense Information and Cyber Incident Reporting . (6) The DFARS clause 252.204–7012 requires defense contractors to provide adequate security on all covered contractor information systems by implementing the 110 security requirements specified in the National Institute of Standards and Technology (NIST) Special Publication (SP) 800–171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations. The DFARS clause 252.204–7012 includes additional requirements; for example, defense contractors must meet Federal Risk and Authorization Management Program (FedRAMP) standards by confirming that their Cloud Service Providers (CSP) have achieved the FedRAMP Baseline Moderate or Equivalent standard. The DFARS clause 252.204–7012 also requires defense contractors to flow down all the requirements to their subcontractors. | CUIの非政府組織への移転を伴う防衛契約は、DFARS条項252.204-7012「対象となる防衛情報の保護およびサイバーインシデント報告」の該当する要件を含むことができる。 (6) DFARS条項252.204-7012は、防衛請負事業者に対し、米国国立標準技術研究所(NIST)特別刊行物(SP)800-171「連邦政府以外のシステムおよび組織における管理された未分類情報の保護」に指定された110のセキュリティ要件を実施することにより、すべての対象となる請負事業者の情報システムに適切なセキュリティを提供することを要求する。DFARS条項252.204-7012には、追加要件が含まれている。例えば、防衛請負事業者は、クラウド・サービス・プロバイダー(CSP)がFedRAMP Baseline ModerateまたはEquivalent標準を達成していることを確認することにより、Federal Risk and Authorization Management Program(FedRAMP)標準を満たさなければならない。DFARS条項252.204-7012はまた、防衛請負事業者に対し、すべての要件を下請事業者にフローダウンするよう求めている。 |
| Currently, to comply with DFARS clause 252.204–7012, contractors are required to develop a System Security Plan (SSP) (7) detailing the policies and procedures their organization has in place to comply with NIST SP 800–171. The SSP serves as a foundational document for the required NIST SP 800–171 self-assessment. Self-assessment scores, as referenced in DFARS clause 252.204–7020, must be submitted in the DoD's Supplier Performance Risk System (SPRS). (8) The highest score is 110, meaning all 110 NIST SP 800–171 security requirements have been fully implemented. If a contractor's SPRS score is less than 110, indicating security gaps exist, then the contractor must create a Plan of Action (POA) (9) identifying security tasks that still need to be accomplished. In essence, an SSP describes the cybersecurity plan the contractor has in place to protect CUI. The SSP needs to go through each NIST SP 800–171 security requirement and explain how the requirement is implemented, monitored, and enforced. This can be through policy, technology, or a combination of both. The SSP will also outline the roles and responsibilities of security personnel to ensure that CUI is appropriately protected. | 現在、DFARS条項252.204-7012に準拠するために、請負事業者は、NIST SP 800-171に準拠するために組織が実施している方針と手順を詳述したシステム・セキュリティ・プラン(SSP)(7)を策定することが要求されている。SSP は、要求される NIST SP 800-171 自己評価の基礎文書となる。DFARS 第 252.204-7020 項で言及されている自己評価スコアは、DoD のサプライヤー・パフォーマンス・リスク・システム(SPRS)に提出されなければならない。(8) 最高得点は 110 点であり、これは 110 の NIST SP 800-171 セキュリティ要件がすべて完全に実施されていることを意味する。請負事業者の SPRS スコアが 110 未満であり、セキュリティ・ギャップが存在することを示す場合、請負事業者は、まだ達成する必要があるセキュリティ・タスクを特定する行動計画(POA)(9) を作成しなければならない。要するに、SSP は、請負事業者が CUI を保護するために実施しているサイバーセキュリティ計画を記述するものである。SSP は、NIST SP 800-171 の各セキュリティ要件を確認し、要件がどのように実装、監視、および実施されるかを説明する必要がある。これは、ポリシー、技術、またはその両方の組み合わせによるものである。SSPはまた、CUIが適切に保護されることを保証するために、セキュリティ要員の役割と責任を概説する。 |
| In November 2020, the DoD released its DFARS Interim Rule, the Defense Federal Acquisition Regulation Supplement: Assessing Contractor Implementation of Cybersecurity Requirements. (10) The goal of this rule was to increase compliance with its cybersecurity regulations and improve security throughout the DIB. This rule introduced three new clauses—DFARS clause 252.204–7019, DFARS clause 252.204–7020, and DFARS clause 252.204–7021. | 2020年11月、DoDはDFARS暫定規則「国防連邦調達規則補足」を発表した: 請負事業者によるサイバーセキュリティ要件の実施を評価する。(10) この規則の目的は、サイバーセキュリティ規制の遵守を高め、DIB 全体のセキュリティを向上させることであった。この規則では、DFARS 第 252.204-7019 項、DFARS 第 252.204-7020 項、および DFARS 第 252.204-7021 項の 3 つの新しい条項が導入された。 |
| • DFARS clause 252.204–7019 strengthens DFARS clause 252.204–7012 by requiring contractors to conduct a NIST SP 800–171 self-assessment according to NIST SP 800–171 DoD Assessment Methodology. (11) Self-assessment scores must be reported to the Department via SPRS. SPRS scores must be submitted by the time of contract award and not be more than three years old. | - DFARS条項252.204-7019は、DFARS条項252.204-7012を強化し、請負事業者がNIST SP 800-171 DoD評価方法論に従ってNIST SP 800-171自己評価を実施することを要求している。(11) 自己評価スコアは、SPRS を介して省に報告されなければならない。SPRS スコアは契約締結時までに提出されなければならず、3 年以上経過していないこと。 |
| DFARS clause 252.204–7020 notifies contractors that DoD reserves the right to conduct a higher-level assessment of contractors' cybersecurity compliance, and contractors must give DoD assessors full access to their facilities, systems, and personnel. Further, DFARS clause 252.204–7020 strengthens DFARS clause 252.204–7012's flow down requirements by holding contractors responsible for confirming their subcontractors have SPRS scores on file prior to awarding them contracts. | DFARS条項252.204-7020は、DoDが請負事業者のサイバーセキュリティ遵守についてより高いレベルの評価を実施する権利を留保することを請負事業者に通知し、請負事業者はDoDの評価者が施設、システム、人員に完全にアクセスできるようにしなければならない。さらに、DFARS条項252.204-7020は、DFARS条項252.204-7012のフローダウン要件を強化し、下請事業者に契約を発注する前に、下請事業者がSPRSスコアを保持していることを確認する責任を請負事業者に課している。 |
| DFARS clause 252.204–7021 paves the way for rollout of the CMMC Program. Once CMMC is implemented, DFARS clause 252.204–7021 requires contractors to achieve the CMMC level required in the DoD contract. DFARS clause 252.204–7021 also stipulates contractors will be responsible for flowing down the CMMC requirements to their subcontractors. | DFARS条項252.204-7021は、CMMCプログラムの展開に道を開くものである。CMMCが実施されると、DFARS条項252.204-7021は、請負事業者がDoD契約で要求されるCMMCレベルを達成することを要求する。また、DFARS条項252.204-7021は、請負事業者が下請事業者にCMMC要件をフローダウンする責任を負うと規定している。 |
| Additional Requirements for Defense Contractors and Subcontractors Discussed in This Proposed Rule | 本規則案で議論されている国防請負事業者および下請事業者に対する追加要件 |
| A key difference between the DFARS 252.204–7012 and CMMC Level 2 requirements is that compliance with NIST SP 800–171 under DFARS 252.204–7012 has not been consistently verified. Under CMMC, compliance will be checked by independent third-party assessors certified by DoD. | DFARS 252.204-7012とCMMCレベル2要件の主な違いは、DFARS 252.204-7012におけるNIST SP 800-171への準拠が一貫して検証されていないことである。CMMCの下では、準拠はDoDによって認定された独立した第三者評価者によってチェックされる。 |
| When this 32 CFR CMMC Program rule is finalized, solicitations for defense contracts involving the processing, storing, or transmitting of FCI or CUI on a non-Federal system will, in most cases, have a CMMC level and assessment type requirement a contractor must meet to be eligible for a contract award. CMMC-related contractual processes will be addressed in DoD's DFARS Case 2019–D041, Assessing Contractor Implementation of Cybersecurity Requirements, which will be proposed by the Department in a separate rulemaking. (12) | この32 CFR CMMCプログラム規則が最終化されると、FCIまたはCUIを非連邦システム上で処理、保管、または送信することに関わる防衛契約の勧誘は、ほとんどの場合、契約者が契約締結の資格を得るために満たさなければならないCMMCレベルおよび評価タイプの要件を持つことになる。CMMC関連の契約プロセスは、DoDのDFARSケース2019-D041「サイバーセキュリティ要件の請負事業者実施の評価」で扱われる予定であり、これは別の規則制定で同省が提案する予定である。(12) |
| This rule establishes the CMMC Program and defines requirements both in general and based on the specific CMMC level and assessment type required by the contract and applicable subcontract. Each CMMC level and assessment type is described. | 本規則は、CMMCプログラムを確立し、一般的な要件と、契約および該当する下請契約によって要求される特定のCMMCレベルおよび評価タイプに基づく要件の両方を定義する。各CMMCレベルおよび評価タイプについて説明する。 |
| 1. Contracts or Subcontracts With a CMMC Level 1 Self-Assessment Requirement | 1. CMMCレベル1の自己評価要件がある契約または下請契約 |
| a. Security Requirements | a. セキュリティ要件 |
| For CMMC Level 1, contractors and applicable subcontractors are already required to implement the 15 security requirements currently required by the FAR clause 52.204–21. | CMMCレベル1の場合、請負事業者および該当する下請事業者は、FAR条項52.204-21で現在要求されている15のセキュリティ要件を実施することが既に要求されている。 |
| b. Assessment Requirements (New) | b. 評価要件(新規) |
| At Level 1, CMMC adds a requirement for contractors and applicable subcontractors to verify through self-assessment that all applicable security requirements outlined in FAR clause 52.204–21 have been implemented. This self-assessment must be performed annually and the results must be entered electronically in the Supplier Performance Risk System (SPRS) (see § 170.15 for details on CMMC Level 1 Self-Assessment requirements and procedures, and specifically § 170.15(a)(1)(i) for the information collection). | レベル1では、請負事業者および該当する下請事業者は、FAR条項52.204-21に概説されているすべての該当するセキュリティ要求事項が実施されていることを自己評価により確認する要求事項が追加される。この自己評価は毎年実施され、その結果はサプライヤー・パフォーマンス・リスク・システム(SPRS)に電子的に入力されなければならない(CMMCレベル1の自己評価要件と手順の詳細については§170.15を参照、特に情報収集については§170.15(a)(1)(i)を参照)。 |
| c. Affirmation Requirements (New) | c. 確認要件(新規) |
| A senior official from the prime contractor and any applicable subcontractor will be required to annually affirm continuing compliance with the specified security requirements. Affirmations are entered electronically in SPRS (see § 170.22 for details on Affirmation requirements and procedures). | 請負事業者及び該当する下請事業者の上級職員は、毎年、指定されたセキュリティ要求事項の継続的な遵守を確認することが要求される。確約はSPRSに電子的に入力される(確約の要件及び手順の詳細については、§170.22を参照のこと)。 |
| 2. Contracts or Subcontracts With a CMMC Level 2 Self-Assessment Requirement | 2. CMMCレベル2の自己評価要件がある契約又は下請契約 |
| a. Security Requirements | a. セキュリティ要件 |
| For CMMC Level 2, contractors and applicable subcontractors are already required to implement the 110 security requirements currently required by the DFARS clause 252.204–7012, which are aligned with NIST SP 800–171 Rev 2. | CMMCレベル2の場合、請負事業者および該当する下請事業者は、現在DFARS条項252.204-7012で要求されている110のセキュリティ要件を実施することが既に要求されており、これはNIST SP 800-171 Rev 2に沿ったものである。 |
| b. Assessment Requirements (New) | b. 評価要件(新規) |
| At Level 2, CMMC adds a requirement for contractors and applicable subcontractors to verify that all applicable security requirements outlined in NIST SP 800–171 Rev 2 and required via DFARS clause 252.204–7012 have been implemented. As determined by DoD, program contracts will include either a CMMC Level 2 Self-Assessment requirement or a CMMC Level 2 Certification Assessment requirement to verify a contractor's implementation of the CMMC Level 2 security requirements. Selected requirements are allowed to have a Plan of Action and Milestones (POA&M) that must be closed out within 180 days of the assessment (see § 170.21 for details on POA&M). This self-assessment must be performed on a triennial basis and the results must be entered electronically in SPRS (see § 170.16 for details on CMMC Level 2 Self-Assessment requirements and procedures, and specifically § 170.16(a)(1)(i) for information collection). | レベル2において、CMMCは、請負事業者及び該当する下請事業者に対し、NIST SP 800-171 Rev 2に概説され、DFARS条項252.204-7012を通じて要求される該当するすべてのセキュリティ要件が実施されていることを検証する要件を追加する。DoDの決定により、プログラム契約は、CMMCレベル2セキュリティ要件の請負事業者の実装を検証するために、CMMCレベル2自己評価要件またはCMMCレベル2認証評価要件のいずれかを含む。選択された要求事項には、評価後 180 日以内に終了しなければならな い行動計画及びマイルストーン(POA&M)を設けることが認められている(POA&M の詳細については、§170.21 を参照のこと)。この自己評価は3年毎に実施され、その結果はSPRSに電子的に入力されなければならない(CMMCレベル2自己評価の要求事項及び手順の詳細については§170.16を参照し、特に情報収集については§170.16(a)(1)(i)を参照)。 |
| c. Affirmation Requirements (New) | c. 確認要件(新規) |
| A senior official from the prime contractor and any applicable subcontractor will be required to affirm continuing compliance with the specified security requirements after every assessment, including POA&M closeout, and annually thereafter. Affirmations are entered electronically in SPRS (see § 170.22 for details on Affirmation requirements and procedures). | 請負事業者及び該当する下請事業者の上級職員は、POA&M のクローズアウトを含む毎回の評価後、及びその後毎年、指定されたセキュリ ティ要件への継続的な遵守を確認することが要求される。確約は SPRS に電子的に入力される(確約の要件と手順の詳細については、§170.22 を参照)。 |
| 3. Contracts or Subcontracts With a CMMC Level 2 Certification Assessment Requirement | 3. CMMCレベル2認証審査要件のある契約又は下請契約 |
| a. Security Requirements | a. セキュリティ要件 |
| For CMMC Level 2 Certification Assessment, contractors and applicable subcontractors are already required to implement the security requirements currently required by the DFARS clause 252.204–7012, which are aligned with NIST SP 800–171 Rev 2. | CMMCレベル2認証評価では、請負事業者および該当する下請事業者は、NIST SP 800-171 Rev 2に沿ったDFARS条項252.204-7012で現在要求されているセキュリティ要件を実施することが既に要求されている。 |
| b. Assessment Requirements (New) | b. 評価要件(新規) |
| At Level 2, CMMC adds a requirement for contractors and applicable subcontractors to verify that all applicable security requirements outlined in NIST SP 800–171 Rev 2 and required via DFARS clause 252.204–7012 have been implemented. As determined by DoD, program contracts will include either a CMMC Level 2 Self-Assessment requirement or a CMMC Level 2 Certification Assessment requirement to verify a contractor's implementation of the CMMC Level 2 security requirements. Selected requirements are allowed to have a POA&M that must be closed out within 180 days of the assessment (see § 170.21 for details on POA&M). The final certification will have up to a three-year duration. The third-party assessment organization will enter the assessment information electronically into the CMMC Enterprise Mission Assurance Support Service (eMASS), that will electronically transmit the assessment results into SPRS (see § 170.17 for details on CMMC Level 2 Certification Assessment requirements and procedures, and specifically § 170.17(a)(1)(i) for information collection). | レベル2において、CMMCは、請負事業者及び該当する下請事業者に対し、NIST SP 800-171 Rev 2に概説され、DFARS条項252.204-7012を通じて要求される該当するすべてのセキュリティ要件が実施されていることを検証する要件を追加する。DoDの決定により、プログラム契約は、CMMCレベル2自己評価要件またはCMMCレベル2認証評価要件のいずれかを含み、請負事業者がCMMCレベル2セキュリティ要件を実装していることを検証する。選択された要件には、評価後 180 日以内に終了しなければならない POA&M を設けることができる(POA&M の詳細については、§170.21 を参照のこと)。最終認証の有効期間は最長3年間である。第三者評価機関は、評価情報をCMMCエンタープライズ・ミッション保証支援サービス(eMASS)に電子的に入力し、評価結果をSPRSに電子的に送信する(CMMCレベル2認証評価の要求事項及び手順の詳細については§170.17を参照、特に情報収集については§170.17(a)(1)(i)を参照)。 |
| c. Affirmation Requirements (New) | c. 確認要件(新規) |
| A senior official from the prime contractor and any applicable subcontractor will be required to affirm continuing compliance with the specified security requirements after every assessment, including POA&M closeout, and annually thereafter. Affirmations are entered electronically in SPRS (see § 170.22 for details on Affirmation requirements, procedures, and information collection). | 請負事業者及び該当する下請事業者の上級職員は、POA&M のクローズアウトを含む毎回の評 価後、及びその後毎年、指定されたセキュリティ要件に継続して適合していることを確 認することが要求される。確約は SPRS に電子的に入力される(確約の要件、手順及び情報収集の詳細については、§170.22 を参照)。 |
| 4. Contracts or Subcontracts With a CMMC Level 3 Certification Assessment Requirement | 4. CMMCレベル3認定審査要件のある契約または下請契約 |
| a. Security Requirements (New) | a. セキュリティ要件(新規) |
| For CMMC Level 3, when CMMC becomes a final rule, contractors and applicable subcontractors will be required to implement the 24 selected security requirements from NIST SP 800–172, as detailed in table 1 to § 170.14(c)(4). CMMC Level 2 is a prerequisite for CMMC Level 3. | CMMCレベル3の場合、CMMCが最終規則になると、請負事業者及び該当する下請事業者は、§170.14(c)(4)の表1に詳述されているように、NIST SP 800-172から選択された24のセキュリティ要求事項を実施することが要求される。CMMCレベル2は、CMMCレベル3の前提条件である。 |
| b. Assessment Requirements (New) | b. 評価要件(新規) |
| At Level 3, CMMC adds a requirement for contractors and applicable subcontractors to verify through DoD assessment and receive certification that all applicable CMMC Level 3 security requirements from NIST SP 800–172 have been implemented. Selected requirements are allowed to have a POA&M that must be closed out within 180 days of the assessment (see § 170.21 for details on POA&Ms). The final certification will be valid for up to three years. The DoD assessor will enter the assessment information electronically into the eMASS, that will electronically transmit the assessment results into SPRS (see § 170.18 for details on CMMC Level 3 Certification Assessment requirements and procedures, and specifically § 170.18(a)(1)(i) for information collection). | レベル3では、請負事業者及び該当する下請事業者に対して、DoD評価を通じて、NIST SP 800-172から該当するCMMCレベル3のセキュリティ要求事項がすべて実施されていることを検証し、認証を受けるという要求事項が追加される。選択された要件は、評価から180日以内に終了しなければならないPOA&Mを持つことが認められている(POA&Mの詳細については、§170.21を参照のこと)。最終認証は最長3年間有効である。国防総省の評価者は、評価情報を電子的に eMASS に入力し、eMASS は評価結果を電子的に SPRS に送信する(CMMC レベル 3 認証評価の要件および手順の詳細については第 170.18 条を、特に情報収集については第 170.18 条(a)(1)(i)を参照のこと)。 |
| c. Affirmation Requirements (New) | c. 確認要件(新規) |
| A senior official from the prime contractor and any applicable subcontractor will be required to affirm continuing compliance with the specified security requirements after every assessment, including POA&M closeout, and annually thereafter. Affirmations are entered electronically in SPRS (see § 170.22 for details on Affirmation requirements, procedures, and information collection). | 請負事業者及び該当する下請事業者の上級職員は、POA&M のクローズアウトを含む毎回の評 価後、及びその後毎年、指定されたセキュリティ要件に継続して適合していることを確 認することが要求される。確約は SPRS に電子的に入力される(確約の要件、手順及び情報収集の詳細については、§170.22 を参照)。 |
規則部分
・[PDF] RIA_32CFR_CMMC
根拠参考文書部分
・[PDF] IRFA_32CFR_CMMC
次にガイダンス文書... (OS-0096)
・202.12.26 Cybersecurity Maturity Model Certification Guidance Documents
・Guidance: Cybersecurity Maturity Model Certification Program
| Guidance: Cybersecurity Maturity Model Certification Program | ガイダンス サイバーセキュリティ成熟度モデル認証プログラム |
| Summary | 概要 |
| The Department of Defense announces the availability of eight guidance documents for the CMMC Program. These documents provide additional guidance for the CMMC model, assessments, scoring, and hashing. | 国防総省は、CMMC プログラムに関する 8 つのガイダンス文書を公表する。これらの文書は、CMMC モデル、評価、スコアリング、およびハッシュに関する追加ガイダンスを提供する。 |
| ... | ... |
| Supplementary Information | 補足情報 |
| CMMC Model Overview | CMMCモデルの概要 |
| DoD–CIO–00001 (ZRIN 0790–ZA17) | DoD-CIO-00001 (ZRIN 0790-ZA17) |
| This document focuses on the CMMC Model as set forth in 32 CFR 170.14 of the CMMC Program proposed rule (See docket DoD–2023–OS–0063 on Regulations.gov ). The model incorporates the security requirements from: (1) FAR 52.204–21, Basic Safeguarding of Covered Contractor Information Systems, (2) NIST SP 800–171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations, and (3) a selected set of the requirements from NIST SP 800–172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800–171. The CMMC Program is designed to provide increased assurance to the DoD that defense contractors and subcontractors are compliant with information protection requirements for Federal Contract Information (FCI) and Controlled Unclassified Information (CUI) and are protecting such information at a level commensurate with risk from cybersecurity threats, including Advanced Persistent Threats (APTs). | この文書は、CMMC プログラム提案規則(Regulations.gov のドケット DoD-2023-OS-0063 を参照)の 32 CFR 170.14 に規定されている CMMC モデルに焦点を当てている。このモデルには、(1) FAR 52.204-21「対象となる請負事業者の情報システムの基本的な保護」、(2) NIST SP 800-171「連邦政府以外のシステムおよび組織における管理された非分類情報の保護」、(3) NIST SP 800-172「管理された非分類情報の保護のための強化されたセキュリティ要件」から選択された要件が組み込まれている: NIST Special Publication 800-171の補足である。CMMCプログラムは、国防総省の請負事業者および下請事業者が、連邦契約情報(FCI)および管理された未分類情報(CUI)に対する情報保護要件を遵守し、高度持続的脅威(APT)を含むサイバーセキュリティの脅威からのリスクに見合ったレベルでそのような情報を保護しているという保証を国防総省に提供するために設計されている。 |
| CMMC Assessment Guide—Level 1 | CMMC評価ガイド-レベル1 |
| DoD–CIO–00002 (ZRIN 0790–ZA18) | DoD-CIO-00002 (ZRIN 0790-ZA18) |
| This document provides guidance in the preparation for and execution of a Level 1 Self-Assessment under the CMMC Program as set forth in 32 CFR 170.15. CMMC Level 1 focuses on the protection of FCI, which is defined in 32 CFR 170.4 and 48 CFR 4.1901 as: | 本文書は、32 CFR 170.15 に規定される CMMC プログラムにおけるレベル 1 自己評価の準備と実行のガイダンスを提供する。CMMCレベル1は、32 CFR 170.4及び48 CFR 4.1901に定義されるFCIの保護に重点を置く: |
| Federal contract information means information, not intended for public release, that is provided by or generated for the Government under a contract to develop or deliver a product or service to the Government, but not including information provided by the Government to the public (such as on public websites) or simple transactional information, such as necessary to process payments. | 連邦契約情報とは、政府に対する製品またはサービスを開発または提供する契約に基づき、政府によって提供される、または政府のために生成される、一般公開を意図しない情報を意味するが、政府によって一般に提供される情報(公開ウェブサイトなど)や、支払処理に必要な単純な取引情報などは含まれない。 |
| CMMC Level 1 is comprised of the 15 basic safeguarding requirements specified in Federal Acquisition Regulation (FAR) Clause 52.204–21. | CMMCレベル1は、連邦調達規則(FAR)条項52.204-21に規定される15の基本的な保護要件で構成される。 |
| CMMC Assessment Guide—Level 2 | CMMC評価ガイド-レベル2 |
| DoD–CIO–00003 (ZRIN 0790–ZA19) | DoD-CIO-00003 (ZRIN 0790-ZA19) |
| This document provides guidance in the preparation for and execution of a Level 2 Self-Assessment or Level 2 Certification Assessment under the CMMC Program as set forth 32 CFR 170.16 and 170.17 respectively. An Assessment as defined in 32 CFR 170.4 means: | 本文書は、32 CFR 170.16及び170.17に規定されるCMMCプログラムに基づくレベル2自己評価又はレベル2認証評価の準備及び実施に関するガイダンスを提供する。評価とは、32 CFR 170.4に定義される: |
| The testing or evaluation of security controls to determine the extent to which the controls are implemented correctly, operating as intended, and producing the desired outcome with respect to meeting the security requirements for an information system or organization as defined in 32 CFR 170.15 to 32 CFR 170.18. For CMMC Level 2 there are two types of assessments: | 32CFR170.15から32CFR170.18に定義される情報システムまたは組織のセキュリティ要求事項を満たすために、セキュリティ管理策がどの程度正しく実施され、意図されたとおりに運用され、望ましい結果を生み出しているかを判断するための、セキュリティ管理策の試験または評価。CMMCレベル2には、2種類の評価がある: |
| • A Self-Assessment is the term for the activity performed by an entity to evaluate its own CMMC Level, as applied to Level 1 and some Level 2. | - 自己評価(Self-Assessment)とは、レベル1及びレベル2に適用される、組織が自らのCMMCレベルを評価するために行う活動を指す。 |
| • A CMMC Level 2 Certification Assessment is the term for the activity performed by a Certified Third-Party Assessment Organization (C3PAO) to evaluate the CMMC Level of an OSC. | - CMMCレベル2認証審査とは、認証された第三者審査機関(C3PAO)がOSCのCMMCレベルを評価するために行う審査をいう。 |
| 32 CFR 170.16(b) describes contract or subcontract eligibility for any contract with a CMMC Level 2 Self-Assessment requirement, and 32 CFR 170.17(b) describes contract or subcontract eligibility for any contract with a CMMC Level 2 Certification Assessment requirement. Level 2 Certification Assessment requires the OSA achieve either a Level 2 Conditional Certification Assessment or a Level 2 Final Certification Assessment, as described in 32 CFR 170.4, obtained through an assessment by an accredited Certified Third-Party Assessment Organization (C3PAO). | 32 CFR 170.16(b)は、CMMCレベル2自己評価要件がある契約の契約または下請契約の適格性を記述し、32 CFR 170.17(b)は、CMMCレベル2認証評価要件がある契約の契約または下請契約の適格性を記述する。レベル2認定審査では、OSAは、認定された認定第三者審査機関(C3PAO)による審査を通じて、32 CFR 170.4に記載されているように、レベル2条件付認定審査またはレベル2最終認定審査のいずれかを達成する必要がある。 |
| CMMC Assessment Guide—Level 3 | CMMC 評価ガイド-レベル 3 |
| DoD–CIO–00004 (ZRIN 0790–ZA20) | DoD-CIO-00004 (ZRIN 0790-ZA20) |
| This document provides guidance in the preparation for and execution of a Level 3 Certification Assessment under the CMMC Program as set forth in 32 CFR 170.18. Certification at each CMMC level occurs independently. An Assessment as defined in 32 CFR 170.4 means: | 本文書は、32 CFR 170.18 に規定される CMMC プログラムにおけるレベル 3 認証審査の準備及び実施に関す る指針を提供する。各 CMMC レベルにおける認証は、独立して行われる。評価とは、32 CFR 170.4に定義される: |
| The testing or evaluation of security controls to determine the extent to which the controls are implemented correctly, operating as intended, and producing the desired outcome with respect to meeting the security requirements for an information system, or organization as defined in 32 CFR 170.15 to 32 CFR 170.18. | 32 CFR 170.15から32 CFR 170.18に定義される情報システムまたは組織のセキュリティ要件を満たすために、セキュリティ管理策がどの程度正しく実装され、意図されたとおりに運用され、望ましい結果を生み出しているかを判断するための、セキュリティ管理策の試験または評価。 |
| A CMMC Level 3 Certification Assessment as defined in 32 CFR 170.4 is the term for the activity performed by the Department of Defense to evaluate the CMMC Level of an OSC. For CMMC Level 3, assessments are performed exclusively by the DoD. | 32 CFR 170.4 に定義される CMMC レベル 3 認証審査とは、OSC の CMMC レベルを評価するために国防総省が実施する活動を指す。CMMCレベル3の場合、審査は国防総省のみが行う。 |
| An OSC seeking a CMMC Level 3 Certification Assessment must have first received a CMMC Level 2 Final Certification Assessment, as set forth in 32 CFR 170.18, for all applicable information systems within the CMMC Assessment Scope, and the OSC must implement the Level 3 requirements specified in 32 CFR 170.14(c)(4). This is followed by the CMMC Level 3 assessment conducted by the DoD. | CMMC レベル 3 の認定審査を受けようとする OSC は、まず、32 CFR 170.18 に規定される CMMC レベル 2 の最終認定審査を CMMC 審査範囲内の該当する全ての情報システムに関して受けていなければならず、OSC は 32 CFR 170.14(c)(4) に規定されるレベル 3 の要件を実施しなければならない。これに続いて、DoD が CMMC レベル 3 評価を実施する。 |
| OSCs may also use this guide to perform CMMC Level 3 self-assessment (for example, in preparation for an annual affirmation); however, they are not eligible to submit results from a self-assessment in support of a CMMC Level 3 Certification Assessment. Only the results from an assessment by the DoD are considered for award of a CMMC Level 3 Certification Assessment. Level 3 reporting and affirmation requirements can be found in 32 CFR 170.18 and 32 CFR 170.22. | OSC は、CMMC レベル 3 の自己評価を実施するために本ガイドラインを使用することもできる(例えば、年次確認の準備のため)。しかし、OSC は、CMMC レベル 3 認証審査のサポートとして自己評価の結果を提出する資格はない。CMMCレベル3認証評価の授与には、国防総省による評価の結果のみが考慮される。レベル3の報告及び確認の要件は、32 CFR 170.18及び32 CFR 170.22に記載されている。 |
| CMMC Scoping Guide—Level 1 | CMMC適用範囲ガイド-レベル1 |
| DoD–CIO–00005 (ZRIN 0790–ZA21) | DoD-CIO-00005 (ZRIN 0790-ZA21) |
| This document provides scoping guidance for Level 1 of CMMC as set forth in 32 CFR 170.19. Prior to a Level 1 CMMC Self-Assessment the OSA must specify the CMMC Assessment Scope. The CMMC Assessment Scope defines which assets within the OSA's environment will be assessed and the details of the self-assessment. | この文書は、32 CFR 170.19に規定されるCMMCのレベル1のための適用範囲ガイダンスを提供する。レベル1のCMMC自己評価に先立ち、OSAはCMMC評価範囲を指定しなければならない。CMMC評価範囲は、OSAの環境内のどの資産を評価し、自己評価の詳細を定義する。 |
| This guide is intended for OSAs that will be conducting a CMMC Level 1 self-assessment and the professionals or companies that will support them in those efforts. | 本ガイドは、CMMC レベル 1 の自己評価を実施する OSA と、その取り組みを支援する専門家または企業を対象としている。 |
| CMMC Scoping Guide—Level 2 | CMMC適用範囲ガイド-レベル2 |
| DoD–CIO–00006 (ZRIN 0790–ZA22) | DoD-CIO-00006 (ZRIN 0790-ZA22) |
| This document provides scoping guidance for Level 2 of CMMC as set forth in 32 CFR 170.19. Prior to a Level 2 Self-Assessment or Level 2 Certification Assessment, the OSA must specify the CMMC Assessment Scope. The CMMC Assessment Scope defines which assets within the OSA's environment will be assessed and the details of the assessment. | この文書は、32 CFR 170.19に規定されるCMMCのレベル2のための適用範囲ガイダンスを提供する。レベル 2 自己評価またはレベル 2 認証評価の前に、OSA は CMMC 評価範囲を指定しなければならない。CMMC評価範囲は、OSAの環境内のどの資産を評価し、評価の詳細を定義する。 |
| This guide is intended for OSAs that will be conducting a CMMC Level 2 Self-Assessment in accordance with 32 CFR 170.16, OSCs that will be obtaining a CMMC Level 2 Certification Assessment in accordance with 32 CFR 170.17, and the professionals or companies that will support them in those efforts. OSCs are a subset of OSAs as all organizations will participate in an assessment, but self-assessment cannot result in certification. | 本ガイドブックは、32 CFR 170.16に従ってCMMCレベル2自己評価を実施するOSA、32 CFR 170.17に従ってCMMCレベル2認証評価を取得するOSC、及びそれらの取り組みを支援する専門家又は企業を対象としている。OSCはOSAのサブセットであり、全ての組織が審査に参加するが、自己審査では認証は得られない。 |
| CMMC Scoping Guide—Level 3 | CMMC適用範囲ガイド-レベル3 |
| DoD–CIO–00007 (ZRIN 0790–ZA23) | DoD-CIO-00007 (ZRIN 0790-ZA23) |
| This document provides scoping guidance for Level 3 of CMMC as set forth in 32 CFR 170.19. Prior to conducting a CMMC assessment, the Level 3 CMMC Assessment Scope must be defined as set forth in 32 CFR 170.19(d). The CMMC Assessment Scope defines which assets within the OSC's environment will be assessed and the details of the assessment. | 本文書は、32 CFR 170.19に規定されるCMMCのレベル3に関する適用範囲・ガイダンスを提供する。CMMC評価を実施する前に、32 CFR 170.19(d)に定めるように、レベル3のCMMC評価範囲を定義しなければならない。CMMC 評価範囲は、OSC の環境内のどの資産を評価し、評価の詳細を定義する。 |
| When seeking a Level 3 Certification, the OSC must have a CMMC Level 2 Final Certification Assessment for the same scope as the Level 3 assessment. Any Level 2 Plan of Action and Milestones (POA&M as set forth in 32 CFR 170.4) items must be closed prior to the initiation of the CMMC Level 3 assessment. The CMMC Level 3 CMMC Assessment Scope may be a subset of the Level 2 CMMC Assessment Scope ( e.g., a Level 3 data enclave with greater restrictions and protections within the Level 2 data enclave). | レベル 3 認証を求める場合、OSC は、レベル 3 審査と同じ範囲について、CMMC レベル 2 最終審査を受けなければならない。レベル 2 の行動計画及びマイルストーン(32 CFR 170.4 に定める POA&M)項目は、CMMC レベル 3 審査の開始前に終了していなければならない。CMMC レベル 3 の CMMC 評価範囲は、レベル 2 の CMMC 評価範囲のサブセットであってもよい(例えば、レベル 2 のデータ囲い込みの中に、より大きな制限と保護を持つレベル 3 のデータ囲い込み)。 |
| This guide is intended for OSCs that will be obtaining a CMMC Level 3 assessment and the professionals or companies that will support them in those efforts. | 本ガイドラインは、CMMC レベル 3 評価を取得する OSC およびその取り組みをサポートする専門家または企業を対象としている。 |
| CMMC Hashing Guide | CMMCハッシングガイド |
| DoD–CIO–00008 (ZRIN 0790–ZA24) | DoD-CIO-00008 (ZRIN 0790-ZA24) |
| This guide assumes that the reader has a basic understanding of command line tools and scripting. During the performance of a CMMC assessment, the assessment team will collect objective evidence using a combination of three assessment methods: | このガイドは、読者がコマンドラインツールとスクリプトの基本的な理解を持っていることを前提としている。CMMC 評価の実施中、評価チームは 3 つの評価方法を組み合わせて客観的な証拠を収集する: |
| ・examination of artifacts, | ・成果物の調査 |
| ・affirmations through interviews, and | ・インタビューによる確認、および |
| ・observations of actions. | ・行動の観察。 |
| Because these OSA artifacts may be proprietary, the assessment team will not take OSA artifacts offsite at the conclusion of the assessment. For the protection of all stakeholders, the OSA must retain the artifacts. This guide describes how to provide a cryptographic reference (or hash) for each artifact used in the assessment as discussed in 32 CFR 170.17 and 170.18. | これらのOSAの成果物は専有物である可能性があるため、評価チームは評価終了時にOSAの成果物を持ち出さない。すべての利害関係者の保護のため、OSA は成果物を保持しなければならない。このガイドでは、32 CFR 170.17及び170.18で議論されているように、評価で使用される各成果物に暗号参照(またはハッシュ)を提供する方法を説明する。 |
8つのガイダンス...
・[DOCX]
2. CMMC_Assessment_Guide_Level1
・[DOCX]
3. CMMC_Assessment_Guide_Level2
・[PDFDOCX]
4. CMMC_Assessment_Guide_Level3
・[DOCX]
・[DOCX]
・[DOCX]
・[DOCX]
・[DOCX]
最後に、情報要求... (OS-0097)
・2023.12.26 Cybersecurity Maturity Model Certification PRA Submission for Title 32 CFR Rule
・1Draft_SSA_PRA_32CFR_CMMCProgram
・[DOCX]
附属文書
・・[XSLX] CMMC L3_PreAssessment_Template_Mock-up
・・[XSLX] CMMC_PreAssessment_Template_Edits20220906
・・[XSLX] CMMC L3_AssessmentResults_Mock-up
・・[XSLX] CMMC_AssessmentResults_Template_Edits20220906
・・[DOCX] CMMC_Hashing_Guide
・2Draft_SSA_PRA_32CFR_CMMCeMASS
・[DOCX]
附属文書
・・[PDF] eMASS_CMMC_C3PAO_User_Job_Aid
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護
・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集
・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価
・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0
・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開
・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価
・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン
・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています
・2020.09.24 NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations
・2020.08.01 NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations
・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0
少し前...
・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations
・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog
・2010.05.10 NIST SP800-53関係の情報
こんにちは、丸山満彦です。
2024年の元日から能登半島を中心に地震があり、震度7を観測したところもあるようで人的な被害で50名以上の方が犠牲になられたようです。さらに、救援に向かう海上保安庁の飛行機が羽田空港で着陸した直後のJALと衝突し、海上保安庁の救助隊の方5名が犠牲になられたとのこと。皆様のご冥福をお祈りします。また、避難されている方が1日も早く、普段の生活にもどれるようにと思います。
阪神大震災の時もそうでしたが、冬で、寒さが応えましたので、早い復旧をと思います。
一方、XをはじめとするSNSで、広告収入稼ぎと思われる偽情報の投稿も拡散しているようで、SNS事業者に対する、アフェリエイトによる広告収入を稼ぐための投稿に対する規制というのも必要となってくるように思います。
[wikipedia]より
こんにちは、丸山満彦です。
2023年もおわったので、、、脆弱性についての理解をしておこうと思い、CVEのデータをダウンロードして、少しデータを整理したので、最新性や正確性が欠ける部分があるかもしれませんが、参考になれば、、、
(米国のCVEのレガシーフォーマットは、2024年前半に段階的に廃止される予定。 CVE JSON 5.0 formatではこれからも入手可能です...)
1999年からCVEに登録されていたデータ数は、299,508行でしたが、1つのデータが2行にまたがっているのが2データあったので、実際のデータ数は299,506行となりました。。。
そして、そのうち、番号だけが予約的に割り当てられていたもの?(** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.)を除くと、249,704行になりました。
で、さらに、Rejectされたものを除くと、235,975が1999年から2023年末までにCVEに拒否されていないリストの数となりました。
それを年ごと(CVEのIDの年号)にあらわしたものが、これになります。。。
登録する習慣という問題もあるでしょうが、ソフトウェア等が増加するので、登録される脆弱性も増えていきますね。。。自動化して対応をしていかないといけませんね。。。
拒否されていないCVEの年ごとの数
| 年 | 拒否されていない脆弱性 |
| 1999 | 1,540 |
| 2000 | 1,237 |
| 2001 | 1,554 |
| 2002 | 2,400 |
| 2003 | 1,553 |
| 2004 | 2,716 |
| 2005 | 4,760 |
| 2006 | 7,107 |
| 2007 | 6,645 |
| 2008 | 7,153 |
| 2009 | 5,032 |
| 2010 | 5,180 |
| 2011 | 5,088 |
| 2012 | 6,288 |
| 2013 | 6,920 |
| 2014 | 9,496 |
| 2015 | 9,034 |
| 2016 | 10,082 |
| 2017 | 17,216 |
| 2018 | 20,299 |
| 2019 | 17,469 |
| 2020 | 18,814 |
| 2021 | 21,287 |
| 2022 | 23,661 |
| 2023 | 23,444 |
| 総計 | 235,975 |
ダウンロードをしたサイトは、
⚫︎ CVE - CVE List Downloads
| 種類: | CSV |
| サイズ: | 191,002,512 バイト |
| 作成日: | 2024年1月1日 月曜日 8:03 |
| 変更日 | 2024年1月1日 月曜日 8:05 |
| 入手先: | https://www.cve.org/ |
| https://cve.mitre.org/data/downloads/allitems.csv | |
| Lines | 299,058 |
| invalid date | 2 |
| Valid date | 299,056 |
| A | B | C=A-B | D | E=C-D | |
| 年 | 全て | 予約だけされた番号 | 実際にアサインされた脆弱性 | 拒否された脆弱性 | 拒否されていない脆弱性 |
| 1999 | 1,579 | 1,579 | 39 | 1,540 | |
| 2000 | 1,243 | 1,243 | 6 | 1,237 | |
| 2001 | 1,573 | 1,573 | 19 | 1,554 | |
| 2002 | 2,436 | 2,436 | 36 | 2,400 | |
| 2003 | 1,603 | 1,603 | 50 | 1,553 | |
| 2004 | 2,779 | 2,779 | 63 | 2,716 | |
| 2005 | 4,901 | 4,901 | 141 | 4,760 | |
| 2006 | 7,256 | 7,256 | 149 | 7,107 | |
| 2007 | 6,767 | 6,767 | 122 | 6,645 | |
| 2008 | 7,325 | 7,325 | 172 | 7,153 | |
| 2009 | 5,164 | 5,164 | 132 | 5,032 | |
| 2010 | 5,350 | 5,350 | 170 | 5,180 | |
| 2011 | 5,340 | 5,340 | 252 | 5,088 | |
| 2012 | 6,739 | 6,739 | 451 | 6,288 | |
| 2013 | 7,525 | 7,525 | 605 | 6,920 | |
| 2014 | 10,562 | 492 | 10,070 | 574 | 9,496 |
| 2015 | 9,704 | 2 | 9,702 | 668 | 9,034 |
| 2016 | 11,365 | 5 | 11,360 | 1,278 | 10,082 |
| 2017 | 19,573 | 24 | 19,549 | 2,333 | 17,216 |
| 2018 | 21,928 | 15 | 21,913 | 1,614 | 20,299 |
| 2019 | 21,563 | 2,629 | 18,934 | 1,465 | 17,469 |
| 2020 | 31,339 | 10,918 | 20,421 | 1,607 | 18,814 |
| 2021 | 30,722 | 8,725 | 21,997 | 710 | 21,287 |
| 2022 | 33,475 | 9,013 | 24,462 | 801 | 23,661 |
| 2023 | 39,394 | 15,680 | 23,714 | 270 | 23,444 |
| 2024 | 1,851 | 1,849 | 2 | 2 | |
| 総計 | 299,056 | 49,352 | 249,704 | 13,729 | 235,975 |
こんにちは、丸山満彦です。
新年のあけましておめでとうございます。
旧年中はお世話になりました。今年もよろしくお願いします。
穏やかな年となることを願っています。。。
皆様にとって良い年となりますように。。。
望んでいるのであれば、飛躍の年となりますように。。。
今年の絵は少しこれまでとは違ったものにしました。。。
今年は辰年なので、龍の図をいれています。これは私が学生時代に出会った京都相国寺の法堂の天井にある蟠龍図です。
相国寺 [wikipedia]は、臨済宗相国寺派大本山の寺です。山号を萬年山(万年山)と称し、正式名称は、萬年山相國承天禅寺です。本尊は釈迦如来、開基は足利義満、開山は夢窓疎石です。「相国」とは国をたすける、治めるという意味のようです。中国からきた名称で、日本でも左大臣の位を相国と呼んでいましたよね。相国寺を創建した義満は当時は左大臣で、相国であることから、義満の寺は相国寺と名付けられたようです。場所は、同志社大学の近くにあります。
相国寺の名前を知らない人でも、金閣寺(鹿苑寺)と銀閣寺(慈照寺)は知っていると思います。金閣寺と銀閣寺は、相国寺の山外塔頭です。つまり、金閣寺と銀閣寺は相国寺の一部といってもよいと思います。
また、江戸時代の絵師である伊藤若冲にゆかりの寺で、若冲を通じて知っている方も多いかもしれません。明治時代の廃仏毀釈の影響で困窮したが、伊藤若冲の絵を天皇家に売り、そのお金で寺を維持したようです。応仁の乱と廃仏毀釈は、文化の破壊という意味では、中国の文化大革命に匹敵するのではないかと思っています。といっても、敷地の多くは失われ、中学、高校、大学(同志社)になりました。同志社の近くに相国寺があると上で紹介しましたが、正確には相国寺の敷地を召し上げて同志社ができたという感じですかね。。。
開基が時の将軍の義満ですから開山当時は相当大きな寺だったようです。創建当時は144万坪、今は4万坪だそうです。。。 また、開山当時(1399年)、高さ100メートルを超える七重塔があったそうですね。今の最大が東寺の55メートルですからその倍の高さです。。。開山の4年後の1403年に落雷で火災となり焼失したようです。
さて、法堂の蟠龍図ですが、学生時代にこの法堂の蟠龍図を見て感動したことを思い出し、この図柄を選びました。その時、京都の龍の天板巡りをしていました。。。禅寺では、勉強をするためのいわば教室として、法堂があり、その法堂の天板には龍がよく描かれています。
機会があれば、ぜひ訪れてください。法堂は通常非公開になっていることが多いので、特別拝観の時とかを調べていくのがよいと思います。外から見えるものもありますが。。。
京都の主要な禅寺と龍ですが。。。次のようになります。。。
| ウェブ | wiki | 龍 | 絵師 | 年 | |
| 別格 | 南禅寺 | ⚫︎ | 蟠龍 | 今尾景年 | 1909 |
| 第一位 | 天龍寺 | ⚫︎ | 雲龍 | 加山又造 | 1997 |
| 第二位 | 相国寺 | ⚫︎ | 蟠龍 | 狩野光信 | 1605 |
| 第三位 | 建仁寺 | ⚫︎ | 双龍 | 小泉淳作 | 2002 |
| 第四位 | 東福寺 | ⚫︎ | 蒼龍 | 堂本印象 | 1933 |
| 第五位 | 万寿寺 | ⚫︎ | |||
| 大徳寺 | ⚫︎ | 雲龍 | 狩野探幽 | 1636 | |
| 妙心寺 | ⚫︎ | 雲龍 | 狩野探幽 | 1657 |
ちなみに、蟠龍(ばんりゅう)の意味ですが、とぐろを巻いている龍のことです。。。
これから飛龍となって活躍をしていこうという人は、蟠龍のような姿をしているのかもしれませんね。。。そのときに、重要なことは、いずれ亢龍となるということです。その全体を理解しておくことも重要なのかもしれません。
● まるちゃんの情報セキュリティきまぐれ日記
・2023.01.01 あけましておめでとうございます 2023
・2022.01.01 あけましておめでとうございます 2022
・2021.01.01 あけましておめでとうございます 2021
ちょっとあきまして...
・2013.01.01 明けまして、おめでとうございます 2013
・2012.01.01 明けまして、おめでとうございます 2012
・2011.01.01 明けまして、おめでとうございます 2011
・2010.01.01 明けまして、おめでとうございます 2010
・2009.01.01 明けまして、おめでとうございます 2009
・2008.01.01 明けまして、おめでとうございます 2008
・2007.01.01 明けまして、おめでとうございます 2007
・2006.01.01 あけまして、おめでとうございます。
Folks, Happy New Year!
Ready for all of the progress that 2024 will bring.
Together, we've shown the world the power of American possibilities. And we're not finished yet.
One more great year in the books.
Recent Comments