米国 CISA 意見募集 2022年重要インフラ向けサイバーインシデント報告法(CIRCIA) の規則案を公表
こんにちは、丸山満彦です。
2022年重要インフラ向けサイバーインシデント報告法の規則案が公表されました...
2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)は、ランサムウェアの身代金を払ったら報告しろっという内容を含む法律ですね...
● CISA
CISA Marks Important Milestone in Addressing Cyber Incidents; Seeks Input on CIRCIA Notice of Proposed Rulemaking | CISAはサイバーインシデントへの対応において重要なマイルストーンとなるを置いた: CIRCIA規則案公示に関する意見募集 |
WASHINGTON – Today, the Federal Register posted for public inspection the Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA) Notice of Proposed Rulemaking (NPRM), which CISA was required to develop by the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). This marks a major step in bolstering America’s cybersecurity. | ワシントン発-本日、連邦官報は、国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA)が、2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)によりCISAに策定を義務付けられていた規則策定提案公告(NPRM)を一般公開した。これはアメリカのサイバーセキュリティを強化する大きな一歩となる。 |
Implementation of CIRCIA will improve CISA’s ability to use cybersecurity incident and ransomware payment information reported to the agency to identify patterns in real-time, fill critical information gaps, rapidly deploy resources to help entities that are suffering from cyber attacks, and inform others who would be potentially affected. When information about cyber incidents is shared quickly, CISA can use this information to render assistance and provide warning to prevent other organizations from falling victim to a similar incident. This information is also critical to identifying trends that can help efforts to protect the homeland. The NPRM will soon formally publish in the Federal Register, following which the public will have 60 days to submit written comments to inform the direction and substance of the Final Rule. | CIRCIAの改善は、CISAに報告されたサイバーセキュリティインシデントとランサムウェアの支払い情報を利用して、リアルタイムでパターンを特定し、重要な情報のギャップを埋め、サイバー攻撃を受けている事業体を支援するためにリソースを迅速に配置し、影響を受ける可能性のある他の事業者に情報を提供するCISAの能力を向上させる。サイバーインシデントに関する情報が迅速に共有されれば、CISAはこの情報を利用して支援を提供し、他の組織が同様のインシデントの犠牲にならないよう警告を発することができる。また、この情報は、国土を守る取り組みに役立つ傾向を特定するためにも重要である。NPRMは間もなく連邦官報に正式に掲載され、その後一般市民は60日以内に最終規則の方向性と内容を決定するための意見書を提出することができる。 |
“Cyber incident reports submitted to us through CIRCIA will enable us to better protect our nation’s critical infrastructure,” said Secretary of Homeland Security Alejandro N. Mayorkas. “CIRCIA enhances our ability to spot trends, render assistance to victims of cyber incidents, and quickly share information with other potential victims, driving cyber risk reduction across all critical infrastructure sectors. The proposed rule is the result of collaboration with public and private stakeholders, and DHS welcomes feedback during the public comment period on the direction and substance of the final rule.” | アレハンドロ・N・マヨルカス国土安全保障長官は次のように述べた。「CIRCIAを通じて提出されたサイバーインシデント報告書により、わが国の重要インフラをよりよく保護することができるようになる。 CIRCIAは、傾向を把握し、サイバーインシデントの被害者に支援を提供し、他の潜在的な被害者と情報を迅速に共有する能力を強化し、すべての重要インフラ部門にわたってサイバーリスク削減を推進する。この規則案は、官民の利害関係者との協力の結果であり、DHSは、最終規則の方向性と内容に関するパブリック・コメント期間中のフィードバックを歓迎する。」 |
"CIRCIA is a game changer for the whole cybersecurity community, including everyone invested in protecting our nation’s critical infrastructure,” said CISA Director Jen Easterly. “It will allow us to better understand the threats we face, spot adversary campaigns earlier, and take more coordinated action with our public and private sector partners in response to cyber threats. We look forward to additional feedback from the critical infrastructure community as we move towards developing the Final Rule." | CISAのディレクターのジェン・イーストリーは次のように述べた。「CIRCIAは、わが国の重要インフラの保護に投資するすべての人を含むサイバーセキュリティ・コミュニティ全体にとって、ゲームチェンジャーである。私たちが直面する脅威をよりよく理解し、敵のキャンペーンをより早く察知し、サイバー脅威に対して官民のパートナーとより協調した行動をとることができるようになる。最終規則の策定に向けて、重要インフラコミュニティからのさらなるフィードバックを期待している。」 |
Since September 2022, CISA has solicited input from public and private sector stakeholders, including the critical infrastructure community, as the agency developed the NPRM, and this open comment period is another opportunity for stakeholders to submit written comments on the NPRM. The NPRM contains proposed regulations for cyber incident and ransom payment reporting, as well as other aspects of the CIRCIA regulatory program. Implementation of CIRCIA enables CISA to develop insight into the cyber threat landscape to drive cyber risk reduction across the nation and to provide early warning to entities who may be at risk of targeting. The comments CISA received through the Request for Information (RFI) and listening sessions over the past year helped shape this NPRM. In turn, robust input on the NPRM will support our ability to implement CIRCIA to drive national cyber risk reduction. | 2022年9月以来、CISAはNPRMの策定にあたり、重要インフラ・コミュニティを含む官民の利害関係者から意見を募っており、今回の意見公募期間も、利害関係者がNPRMに対する意見書を提出する機会となる。NPRM は、サイバーインシデントおよび身代金支払報告に関する規制案、ならびに CIRCIA 規制プログラムのその他の側面を含んでいる。CIRCIAの実施により、CISAはサイバー脅威の状況についての洞察を深め、全国的なサイバーリスクの低減を推進し、標的となるリスクのある事業体に対して早期に警告を発することができる。CISAが過去1年間に情報要求(RFI)およびリスニング・セッションを通じて受け取った意見は、このNPRMの形成に役立った。その結果、NPRM に対する積極的な意見は、国家的なサイバー・リスク削減を推進する CIRCIA の実施能力を支援することになる。 |
Visit cisa.gov/CIRCIA to learn more. | 詳細は cisa.gov/CIRCIA を参照されたい。 |
・2024.03.27 Cyber Incident Reporting for Critical Infrastructure Act
目次...
TABLE OF CONTENTS | 目次 |
I. PUBLIC PARTICIPATION | I. 市民参加 |
II. EXECUTIVE SUMMARY | II. 要旨 |
A. PURPOSE AND SUMMARY OF THE REGULATORY ACTION | A. 規制措置の目的と概要 |
B. SUMMARY OF COSTS AND BENEFITS | B. 費用と便益の概要 |
III. BACKGROUND AND PURPOSE | III. 背景と目的 |
A. LEGAL AUTHORITY | A. 法的認可 |
B. CURRENT CYBER INCIDENT REPORTING LANDSCAPE | B. 現在のサイバーインシデント報告状況 |
C. PURPOSE OF REGULATION | C. 規制の目的 |
i. Purposes of the CIRCIA Regulation | i. CIRCIA規則の目的 |
ii. How the Regulatory Purpose of CIRCIA Influenced the Design of the Proposed CIRCIA Regulation | ii. CIRCIAの規制目的が提案されたCIRCIA規制の設計にどのような影響を与えたか。 |
D. HARMONIZATION EFFORTS | D. ハーモナイゼーションの取り組み |
E. INFORMATION SHARING REQUIRED BY CIRCIA | E. CIRCIAが求める情報共有 |
F. SUMMARY OF STAKEHOLDER COMMENTS | F. 利害関係者のコメントの要約 |
i. General Comments | i. 一般的コメント |
ii. Comments on the Definition of Covered Entity | ii. 対象事業体の定義に関するコメント |
iii. Comments on the Definition of Covered Cyber Incident and Substantial Cyber Incident | iii. 対象となるサイバーインシデント及び実質的なサイバーインシデントの定義に関する意見 |
iv. Comments on Other Definitions | iv. その他の定義に関する意見 |
v. Comments on Criteria for Determining whether the Domain Name System Exception Applies | v. ドメインネームシステムの例外が適用されるかどうかの判断基準に関する意見 |
vi. Comments on Manner and Form of Reporting, Content of Reports, and Reporting Procedures | vi. 報告の方法・形式、報告内容、報告手順に関する意見 |
vii. Comments on the Deadlines for Submission of CIRCIA Reports | vii. CIRCIA 報告書の提出期限に関する意見 |
viii. Comments on Third-Party Submitters | viii. サードパーティ提出者に関する意見 |
ix. Comments on Data and Records Preservation Requirements | ix. データおよび記録の保存要件に関するコメント |
x. Comments on Other Existing Cyber Incident Reporting Requirements and the Substantially Similar Reporting Exception | x. その他の既存のサイバーインシデント報告要件および実質的に類似した報告例外に関する意見 |
xi. Comments on Noncompliance and Enforcement | xi. コンプライアンス違反と執行に関する意見 |
xii. Comments on Treatment and Restrictions on Use of CIRCIA Reports | xii. CIRCIA 報告書の取り扱いと使用制限に関するコメント |
IV. DISCUSSION OF PROPOSED RULE | IV. 規則案の検討 |
A. DEFINITIONS | A. 定義 |
i. Covered Entity | i. 対象事業体 |
ii. Cyber Incident, Covered Cyber Incident, and Substantial Cyber Incident | ii. サイバーインシデント、対象サイバーインシデント、実質的サイバーインシデント |
iii. CIRCIA Reports | iii. CIRCIAレポート |
iv. Other Definitions | iv. その他の定義 |
v. Request for Comments on Proposed Definitions | v. 定義案に関する意見要求 |
B. APPLICABILITY | B. 適用範囲 |
i. Interpreting the CIRCIA Statutory Definition of Covered Entity | i. CIRCIAの対象事業体の法定定義の解釈 |
ii. Determining if an Entity is in a Critical Infrastructure Sector | ii. 事業体が重要インフラ部門に属するかどうかの判断 |
iii. Clear Description of the Types of Entities that Constitute Covered Entities Based on Statutory Factors | iii. 法定要因に基づく、対象事業体を構成する事業体の種類の明確な説明 |
iv. Explanation of Specific Proposed Applicability Criteria | iv. 具体的な適用基準案の説明 |
v. Other Approaches Considered to Describe Covered Entity | v. 対象事業体を説明するために検討された他のアプローチ |
vi. Request for Comments on Applicability Section | vi. 適用セクションに関する意見要求 |
C. REQUIRED REPORTING ON COVERED CYBER INCIDENTS AND RANSOM PAYMENTS | C. 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務 |
i. Overview of Reporting Requirements | i. 報告要件の概要 |
ii. Reporting of Single Incidents Impacting Multiple Covered Entities | ii. 複数の対象事業体に影響を与える単一インシデントの報告 |
D. EXCEPTIONS TO REQUIRED REPORTING ON COVERED CYBER INCIDENTS AND RANSOM PAYMENTS | D. 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務の例外 |
i. Substantially Similar Reporting Exception | i. 実質的に類似した報告の例外 |
ii. Domain Name System (DNS) Exception | ii. ドメインネームシステム(DNS)の例外 |
iii. Exception for Federal Agencies Subject to Federal Information Security Modernization Act Reporting Requirements | iii. 連邦情報セキュリティ近代化法(Federal Information Security Modernization Act)報告要件の対象となる連邦機関の例外 |
E. MANNER, FORM, AND CONTENT OF REPORTS | E. 報告の方法、形式および内容 |
i. Manner of Reporting | i. 報告の方法 |
ii. Form for Reporting | ii. 報告の書式 |
iii. Content of Reports | iii. 報告の内容 |
iv. Timing of Submission of CIRCIA Reports | iv. CIRCIA報告書の提出時期 |
v. Report Submission Procedures | v. 報告書提出手順 |
vi. Request for Comments on Proposed Manner, Form, and Content of Reports | vi. 報告書の様式、内容に関する意見要求 |
F. DATA AND RECORDS PRESERVATION REQUIREMENTS | F. データおよび記録の保存要件 |
i. Types of Data That Must be Preserved | i. 保存されなければならないデータの種類 |
ii. Required Preservation Period | ii. 必要な保存期間 |
iii. Data Preservation Procedural Requirements | iii. データ保存の手続き要件 |
iv. Request for Comments on Proposed Data Preservation Requirements | iv. データ保全要件案に関する意見要求 |
G. ENFORCEMENT | G. 実施 |
i. Overview | i. 概要 |
ii. Request for Information | ii. 情報提供の要請 |
iii. Subpoena | iii. 召喚状 |
iv. Service of an RFI, Subpoena, or Notice of Withdrawal | iv. RFI、召喚状、または撤回通知の送達 |
v. Enforcement of Subpoenas | v. 召喚状の執行 |
vi. Acquisition, Suspension, and Debarment Enforcement Procedures | vi. 取得、一時停止、および資格剥奪の執行手続き |
vii. Penalty for False Statements and Representations | vii. 虚偽の陳述および表明に対する罰則 |
viii. Request for Comments on Proposed Enforcement | viii. 施行案に関する意見要求 |
H. PROTECTIONS | H. 防御 |
i. Treatment of Information and Restrictions on Use | i. 情報の取り扱いと使用制限 |
ii. Protection of Privacy and Civil Liberties | ii. プライバシーと自由の防御 |
iii. Digital Security | iii. デジタル・セキュリティ |
iv. Request for Comments on Proposed Protections | iv. 防御案に対する意見要求 |
I. SEVERABILITY | I. 可逆性 |
V. STATUTORY AND REGULATORY ANALYSES | V. 法規制に関する分析 |
A. REGULATORY PLANNING AND REVIEW | A. 規制の計画と見直し |
i. Number of Reports | i. 報告書の数 |
ii. Industry Cost | ii. 業界コスト |
iii. Government Cost | iii. 政府コスト |
iv. Combined Costs | iv. 複合コスト |
v. Benefits | v. 利益 |
vi. Accounting Statement | vi. 会計計算書 |
vii. Alternatives | vii. 代替案 |
B. SMALL ENTITIES | B. 小規模事業体 |
C. ASSISTANCE FOR SMALL ENTITIES | C. 小規模事業体に対する支援 |
D. COLLECTION OF INFORMATION | D. 情報収集 |
E. FEDERALISM | E. 連邦主義 |
F. UNFUNDED MANDATES REFORM ACT | F. 義務不履行改革法 |
G. TAKING OF PRIVATE PROPERTY | G. 私有財産の収奪 |
H. CIVIL JUSTICE REFORM | H. 民事司法改革 |
I. PROTECTION OF CHILDREN | I. 子どもの保護 |
J. INDIAN TRIBAL GOVERNMENTS | J. インディアン部族政府 |
K. ENERGY EFFECTS | K. エネルギーへの影響 |
L. TECHNICAL STANDARDS | L. 技術標準 |
M. NATIONAL ENVIRONMENTAL POLICY ACT | M. 国家環境政策法 |
VI. PROPOSED REGULATION | VI. 規制案 |
規則案...
VI. Proposed Regulation | VI. 規則案 |
List of Subjects in 6 CFR Part 226 | 6 CFR Part 226の対象リスト |
Computer Technology, Critical Infrastructure, Cybersecurity, Internet, Reporting and Recordkeeping Requirements. | コンピュータ技術、重要インフラ、サイバーセキュリティ、インターネット、報告および記録要件。 |
For the reasons stated in the preamble, and under the authority of 6 U.S.C. 681 through 681e and 6 U.S.C. 681g, the Department of Homeland Security proposes to add chapter II, consisting of part 226 to title 6 of the Code of Regulations to read as follows: | 前文に記載された理由により、また合衆国法律集第 6 編第 681 条から第 681e 条および第 6 編第 681 条第 681g 条の認可に基づき、国土安全保障省は、規則集第 6 編第 226 部からなる第 II 章を以下のように追加することを提案する: |
CHAPTER II--DEPARTMENT OF HOMELAND SECURITY, CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY | 第 II 章--国土安全保障省、サイバーセキュリティ・インフラセキュリティ庁 |
PART 226—COVERED CYBER INCIDENT AND RANSOM PAYMENT REPORTING | 第 226 部:対象となるサイバーインシデントおよび身代金支払報告 |
Sec. | セクション |
226.1 Definitions. | 226.1 定義 |
226.2 Applicability. | 226.2 適用可能性 |
226.3 Required reporting on covered cyber incidents and ransom payments. | 226.3 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務 |
226.4 Exceptions to required reporting on covered cyber incidents and ransom payments. | 226.4 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務の例外 |
226.5 CIRCIA Report submission deadlines. | 226.5 CIRCIA 報告書の提出期限 |
226.6 Required manner and form of CIRCIA Reports. | 226.6 CIRCIA 報告書の要求される方法および形式 |
226.7 Required information for CIRCIA Reports. | 226.7 CIRCIA 報告書に必要な情報 |
226.8 Required information for Covered Cyber Incident Reports. | 226.8 対象サイバーインシデント報告書に必要な情報 |
226.9 Required information for Ransom Payment Reports. | 226.9 身代金支払報告書に必要な情報 |
226.10 Required information for Joint Covered Cyber Incident and Ransom Payment Reports. | 226.10 合同対象サイバーインシデントおよび身代金支払報告書に必要な情報 |
226.11 Required information for Supplemental Reports. | 226.11 補足報告に必要な情報。 |
226.12 Third party reporting procedures and requirements. | 226.12 サードパーティ報告手順および要件 |
226.13 Data and records preservation requirements. | 226.13 データおよび記録の保存要件 |
226.14 Request for information and subpoena procedures. | 226.14 情報要求および召喚手続き |
226.15 Civil enforcement of subpoenas. | 226.15 召喚状の民事執行 |
226.16 Referral to the Department of Homeland Security Suspension and Debarment Official. | 226.16 国土安全保障省の資格停止および資格剥奪担当官への照会 |
226.17 Referral to Cognizant Contracting Official or Attorney General. | 226.17 担当の契約担当官または司法長官への照会 |
226.18 Treatment of information and restrictions on use. | 226.18 情報の取り扱いと使用制限 |
226.19 Procedures for protecting privacy and civil liberties. | 226.19 プライバシーおよび市民的自由を保護するための防御措置。 |
226.20 Other procedural measures. | 226.20 その他の手続き上の措置 |
AUTHORITY: 6 U.S.C. 681 – 681e, 6 U.S.C. 681g; Sections 2240-2244 and 2246 of the Homeland Security Act of 2002, Pub. L. 107–296, 116 Stat. 2135, as amended by Pub. L. 117-103 and Pub. L. 117-263 (Dec. 23, 2022). | 認可:6 U.S.C. 681~681e、6 U.S.C. 681g、2002 年国土安全保障法(Homeland Security Act of 2002, Pub. L.107-296、116 Stat. L.117-103およびPub. L.117-263(2022年12月23日)により改正された。 |
§ 226.1 Definitions. | § 226.1 定義 |
For the purposes of this part: | 本編における定義: |
CIRCIA means the Cyber Incident Reporting for Critical Infrastructure Act of 2022, as amended, in 6 U.S.C. 681 – 681g. |
CIRCIAとは、6 U.S.C.681~681gにある、改正された2022年重要インフラ法を意味する。 |
CIRCIA Agreement means an agreement between CISA and another Federal agency that meets the requirements of § 226.4(a)(2), has not expired or been terminated, and, when publicly posted by CISA in accordance with § 226.4(a)(5), indicates the availability of a substantially similar reporting exception for use by a covered entity. | CIRCIA 合意とは、226.4 条(a)(2)の要件を満たし、失効または終了しておらず、226.4 条(a)(5)に従って CISA が公示する場合、対象事業体が実質的に同様の報告例外を利用できることを示す、CISA と他の連邦機関との間の合意をいう。 |
CIRCIA Report means a Covered Cyber Incident Report, Ransom Payment Report, Joint Covered Cyber Incident and Ransom Payment Report, or Supplemental Report, as defined under this part. | CIRCIA 報告書とは、本編に基づき定義されるとおり、対象サイバーインシデント報告書、身代金支払 報告書、共同対象サイバーインシデント及び身代金支払報告書、又は補足報告書をいう。 |
Cloud service provider means an entity offering products or services related to cloud computing, as defined by the National Institute of Standards and Technology in Nat’l Inst. of Standards & Tech., NIST Special Publication 800-145, and any amendatory or superseding document relating thereto. | クラウドサービスプロバイダとは、国立標準技術研究所の NIST 特別刊行物(NIST 特別刊行物 800-145)、およびこれに関連する修正文書または優先文書によって定義される、クラウドコンピューティングに関連する製品またはサービスを提供する事業体をいう。 |
Covered cyber incident means a substantial cyber incident experienced by a covered entity. | 対象サイバーインシデントとは、対象事業体が経験した実質的なサイバーインシデントをいう。 |
Covered Cyber Incident Report means a submission made by a covered entity or a third party on behalf of a covered entity to report a covered cyber incident as required by this part. A Covered Cyber Incident Report also includes any responses to optional questions and additional information voluntarily submitted as part of a Covered Cyber Incident Report. | 対象サイバーインシデント報告とは、対象事業体または対象事業体を代行するサードパーティが、本部の定めるところに従い、対象サイバーインシデントを報告するために提出するものをいう。対象サイバーインシデント報告には、任意の質問に対する回答および対象サイバーインシデント報告の一部として自主的に提出された追加情報も含まれる。 |
Covered entity means an entity that meets the criteria set forth in § 226.2 of this part. | 対象事業体とは、本編第 226.2 条に定める基準を満たす事業体をいう。 |
Cyber incident means an occurrence that actually jeopardizes, without lawful authority, the integrity, confidentiality, or availability of information on an information system; or actually jeopardizes, without lawful authority, an information system. | サイバーインシデントとは、合法的な権限なしに、情報システム上の情報の完全性、機密性、または可用性を実際に危険にさらす、または合法的な権限なしに、情報システムを実際に危険にさらす事象をいう。 |
Cybersecurity and Infrastructure Security Agency or CISA means the Cybersecurity and Infrastructure Security Agency as established under section 2202 of the Homeland Security Act of 2002 (6 U.S.C. 652), as amended by the Cybersecurity and Infrastructure Security Agency Act of 2018 and subsequent laws, or any successor organization. | サイバーセキュリティ・インフラセキュリティ庁または CISA とは、2002 年国土安全保障法(6 U.S.C. 652)第 2202 条に基づき設立されたサイバーセキュリティ・インフラセキュリティ庁、2018 年サイバーセキュリティ・インフラセキュリティ庁法およびその後の法律により改正されたサイバーセキュリティ・インフラセキュリティ庁、またはその後継組織をいう。 |
Cybersecurity threat means an action, not protected by the First Amendment to the Constitution of the United States, on or through an information system that may result in an unauthorized effort to adversely impact the security, availability, confidentiality, or integrity of an information system or information that is stored on, processed by, or transiting an information system. This term does not include any action that solely involves a violation of a consumer term of service or a consumer licensing agreement. | サイバーセキュリティ上の脅威とは、情報システム上で、または情報システムを通じて、米国憲法修正第1条によって保護されない行為であって、情報システム、または情報システムに保存され、情報システムによって処理され、または情報システムを通過する情報のセキュリティ、可用性、機密性、または完全性に悪影響を及ぼす不正な努力をもたらす可能性のある行為をいう。この用語には、消費者向けサービス条件または消費者向けライセンス契約の違反のみを伴う行為は含まれない。 |
Director means the Director of CISA, any successors to that position within the Department of Homeland Security, or any designee. | 長官とは、CISA長官、国土安全保障省内の同職の後継者、または被指名人をいう。 |
Information system means a discrete set of information resources organized for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information, including, but not limited to, operational technology systems such as industrial control systems, supervisory control and data acquisition systems, distributed control systems, and programmable logic controllers. | 情報システムとは、情報の収集、処理、保守、使用、共有、普及または処分のために組織された情報リソースの個別の集合をいい、産業制御システム、監視制御およびデータ収集システム、分散制御システム、プログラマブル・ロジック・コントローラなどの運用技術システムを含むが、これらに限定されない。 |
Joint Covered Cyber Incident and Ransom Payment Report means a submission made by a covered entity or a third party on behalf of a covered entity to simultaneously report both a covered cyber incident and ransom payment related to the covered cyber incident being reported, as required by this part. A Joint Covered Cyber Incident and Ransom Payment Report also includes any responses to optional questions and additional information voluntarily submitted as part of the report. | 共同対象サイバーインシデントおよび身代金支払報告書とは、本編で義務付けられているとおり、対象事業体または対象事業体を代行するサードパーティが、報告される対象サイバーインシデントに関連する対象サイバーインシデントおよび身代金支払の両方を同時に報告するために提出するものをいう。対象となるサイバーインシデントおよび身代金支払の共同報告には、任意の質問に対する回答および報告の一部として任意に提出された追加情報も含まれる。 |
Managed service provider means an entity that delivers services, such as network, application, infrastructure, or security services, via ongoing and regular support and active administration on the premises of a customer, in the data center of the entity, such as hosting, or in a third-party data center. | マネージド・サービス・プロバイダとは、顧客の構内、ホスティングなどの事業体のデータセンター、またはサードパーティ・データセンターにおいて、継続的かつ定期的なサポートおよび能動的な管理を通じて、ネットワーク、アプリケーション、インフラストラクチャ、またはセキュリティサービスなどのサービスを提供する事業体をいう。 |
Personal information means information that identifies a specific individual or nonpublic information associated with an identified or identifiable individual. Examples of personal information include, but are not limited to, photographs, names, home addresses, direct telephone numbers, social security numbers, medical information, personal financial information, contents of personal communications, and personal web browsing history. | 個人を特定できる情報とは、特定の個人を識別する情報、または識別された個人もしくは識別できる個人に関連する非公開情報をいう。個人情報の例としては、写真、氏名、自宅住所、直通電話番号、社会保障番号、医療情報、個人財務情報、個人コミュニケーションの内容、個人のウェブ閲覧履歴などが挙げられるが、これらに限定されない。 |
Ransom payment means the transmission of any money or other property or asset, including virtual currency, or any portion thereof, which has at any time been delivered as ransom in connection with a ransomware attack. | 身代金の支払いとは、ランサムウェア攻撃に関連して身代金として引き渡された、仮想通貨を含む金銭その他の財産または資産、またはその一部の送信をいう。 |
Ransom Payment Report means a submission made by a covered entity or a third party on behalf of a covered entity to report a ransom payment as required by this part. A Ransom Payment Report also includes any responses to optional questions and additional information voluntarily submitted as part of a Ransom Payment Report. | 身代金支払報告とは、本編の定めるところに従い、対象事業体または対象事業体に代わってサードパーティが身代金支払を報告するために提出するものをいう。身代金支払報告には、任意の質問に対する回答および身代金支払報告の一部として任意 に提出された追加情報も含まれる。 |
Ransomware attack means an occurrence that actually or imminently jeopardizes, without lawful authority, the integrity, confidentiality, or availability of information on an information system, or that actually or imminently jeopardizes, without lawful authority, an information system that involves, but need not be limited to, the following: | ランサムウェア攻撃とは、情報システム上の情報の完全性、機密性、または可用性を、合法的な 権限なく、実際に、または差し迫った形で危険にさらす、または情報システムを、合法的な 権限なく、実際に、または差し迫った形で危険にさらすような発生を意味するが、これらに 限定される必要はない: |
(1) The use or the threat of use of: | (1)以下の使用または使用の脅威: |
(i) Unauthorized or malicious code on an information system; or | (i) 情報システム上で不正または悪意のあるコードを使用すること。 |
(ii) Another digital mechanism such as a denial-of-service attack; | (ii) サービス妨害(DoS)攻撃などの別のデジタル・メカニズム; |
(2) To interrupt or disrupt the operations of an information system or compromise the confidentiality, availability, or integrity of electronic data stored on, processed by, or transiting an information system; and | (2) 情報システムの運用を妨害もしくは混乱させること、または情報システムに保存され、情報システムによって処理され、もしくは情報システムを通過する電子データの機密性、可用性、もしくは完全性を侵害すること。 |
(3) To extort a ransom payment. | (3) 身代金の支払いを強要すること。 |
(4) Exclusion. A ransomware attack does not include any event where the demand for a ransom payment is: | (4) 除外。ランサムウェア攻撃には、身代金の支払要求が以下のような事象は含まれない: |
(i) Not genuine; or | (i) 真正でない。 |
(ii) Made in good faith by an entity in response to a specific request by the owner or operator of the information system. | (ii) 情報システムの所有者または運営者による特定の要求に応じて、事業体によって誠実に行われた。 |
State, Local, Tribal, or Territorial Government entity or SLTT Government entity means an organized domestic entity which, in addition to having governmental character, has sufficient discretion in the management of its own affairs to distinguish it as separate from the administrative structure of any other governmental unit, and which is one of the following or a subdivision thereof: | 州、地方、部族、または準州政府事業体(State, Local, Tribal, or Territorial Government entity)またはSLTT政府事業体(SLTT Government entity)とは、政府としての性格を有することに加え、他のいかなる政府単位の行政機構とも区別されるように、自らの事務の管理において十分な裁量権を有する組織化された国内事業体を意味し、以下のいずれかまたはその下位区分である: |
(1) A State of the United States, the District of Columbia, the Commonwealth of Puerto Rico, the Virgin Islands, Guam, American Samoa, the Commonwealth of the Northern Mariana Islands, and any possession of the United States; | (1) 米国の州、コロンビア特別区、プエルトリコ連邦、バージン諸島、グアム、米領サモア、北マリアナ諸島連邦、および米国の属領; |
(2) A county, municipality, city, town, township, local public authority, school district, special district, intrastate district, council of governments, regardless of whether the council of governments is incorporated as a nonprofit corporation under State law, regional or interstate government entity, or agency or instrumentality of a Local government; | (2) 郡、自治体、市、町、郷、地方公共団体、学区、特別区、州内地区、自治体評議会(自治体評議会が州法に基づく非営利法人として法人化されているか否かを問わない)、地域政府または州間政府事業体、または地方政府の機関または組織; |
(3) An Indian tribe, band, nation, or other organized group or community, or other organized group or community, including any Alaska Native village or regional or village corporation as defined in or established pursuant to 43 U.S.C. 1601 et seq., which is recognized as eligible for the special programs and services provided by the United States to Indians because of their status as Indians; and | (3) インディアンの部族、バンド、国民、その他の組織化された集団または共同体、あるいは 43 U.S.C.1601.他に従って定義または設立されたアラスカ先住民の村、地域または村社会を含むその他の組織化された集団または共同体であって、インディア ンであることを理由に米国がインディアンに提供する特別なプログラムやサービスを受ける資格があると認 められているもの。 |
(4) A rural community, unincorporated town or village, or other public entity. | (4) 農村コミュニティ、法人化されていない町村、またはその他の事業体。 |
Substantial cyber incident means a cyber incident that leads to any of the following: | 実質的なサイバーインシデントとは、以下のいずれかにつながるサイバーインシデントをいう: |
(1) A substantial loss of confidentiality, integrity or availability of a covered entity’s information system or network; | (1) 対象事業体の情報システムまたはネットワークの機密性、完全性または可用性の重大な損失; |
(2) A serious impact on the safety and resiliency of a covered entity’s operational systems and processes; | (2) 対象事業体の業務システムおよびプロセスの安全性およびレジリエンスに対する重大な影響; |
(3) A disruption of a covered entity’s ability to engage in business or industrial operations, or deliver goods or services; | (3) 対象事業体の事業活動もしくは産業活動、または商品もしくはサービスの提供能力の中断; |
(4) Unauthorized access to a covered entity’s information system or network, or any nonpublic information contained therein, that is facilitated through or caused by a: | (4) 対象事業体の情報システムおよびネットワーク、またはそこに含まれる非公開情報への不正アクセ スであって、以下を通じて容易になったもの、または以下に起因するもの: |
(i) Compromise of a cloud service provider, managed service provider, or other third-party data hosting provider; or | (i) クラウドサービス・プロバイダ、マネージドサービス・プロバイダ、またはその他のサードパーティ・データ・ホスティング・プロバイダの危殆化。 |
(ii) Supply chain compromise. | (ii) サプライチェーンの侵害 |
(5) A “substantial cyber incident” resulting in the impacts listed in paragraphs (1) through (3) in this definition includes any cyber incident regardless of cause, including, but not limited to, any of the above incidents caused by a compromise of a cloud service provider, managed service provider, or other third-party data hosting provider; a supply chain compromise; a denial-of-service attack; a ransomware attack; or exploitation of a zero-day vulnerability. | (5) 本定義の第(1)項から第(3)項までに列挙される影響をもたらす「実質的なサイバーインシデント」には、クラウドサービス・プロバイダ、マネージドサービス・プロバイダ、またはその他のサードパーティデータホスティングプロバイダの危殆化、サプライチェーンの危殆化、サービス妨害攻撃、ランサムウェア攻撃、またはゼロデイ脆弱性の悪用によって引き起こされる上記のインシデントを含むが、これらに限定されない、原因の如何を問わないあらゆるサイバーインシデントが含まれる。 |
(6) The term “substantial cyber incident” does not include: | (6) 「実質的なサイバーインシデント」という用語には、以下は含まれない: |
(i) Any lawfully authorized activity of a United States Government entity or SLTT Government entity, including activities undertaken pursuant to a warrant or other judicial process; | (i) 米国政府事業体またはSLTT政府事業体の合法的に認可された活動(令状またはその他の司法手続に従って行われる活動を含む); |
(ii) Any event where the cyber incident is perpetrated in good faith by an entity in response to a specific request by the owner or operator of the information system; or | (ii) サイバー・インシデントが、情報システムの所有者または運営者による特定の要請に応じて、事業体によって誠実に実行された場合。 |
(iii) The threat of disruption as extortion, as described in 6 U.S.C. 650(22). | (iii) 6 U.S.C.650(22)に記載されているように、恐喝として破壊の恐れがある場合。 |
Supplemental report means a submission made by a covered entity or a third party on behalf of a covered entity to update or supplement a previously submitted Covered Cyber Incident Report or to report a ransom payment made by the covered entity after submitting a Covered Cyber Incident Report as required by this part. A supplemental report also includes any responses to optional questions and additional information voluntarily submitted as part of a supplemental report. | 補足報告とは、対象事業体または対象事業体に代わって第三者が、以前に提出された対象サイ バーインシデント報告書を更新または補足するために、または本編の定めるところに従って対象サイ バーインシデント報告書を提出した後に対象事業体が行った身代金の支払いを報告するために提出するものをいう。補足報告には、任意の質問に対する回答および補足報告の一部として自主的に提出された追加情報も含まれる。 |
Supply chain compromise means a cyber incident within the supply chain of an information system that an adversary can leverage, or does leverage, to jeopardize the confidentiality, integrity, or availability of the information system or the information the system processes, stores, or transmits, and can occur at any point during the life cycle. | サプライチェーンの危殆化とは、情報システムのサプライチェーン内において、敵対者が情報シス テムまたはシステムが処理、保存、送信する情報の機密性、完全性、または可用性を危うくする ために利用することができる、または利用するサイバーインシデントを意味し、ライフサイクル のどの時点においても発生する可能性がある。 |
Virtual currency means the digital representation of value that functions as a medium of exchange, a unit of account, or a store of value. Virtual currency includes a form of value that substitutes for currency or funds. | 仮想通貨とは、交換媒体、勘定単位、または価値の保管庫として機能する価値のデジタル表現を意味する。仮想通貨には、通貨または資金の代わりとなる価値の形態も含まれる。 |
§ 226.2 Applicability. | § 226.2 適用可能性 |
This part applies to an entity in a critical infrastructure sector that either: | 本編は、以下のいずれかに該当する重要インフラ部門の事業体に適用される: |
(a) Exceeds the small business size standard. Exceeds the small business size standard specified by the applicable North American Industry Classification System Code in the U.S. Small Business Administration’s Small Business Size Regulations as set forth in 13 CFR part 121; or | (a) 中小企業標準を超える。13 CFR part 121 に規定される米国中小企業局の中小企業規 則(Small Business Size Regulations)の該当する北米産業分類システムコードによって指定される中小企業規格を超える。 |
(b) Meets a sector-based criterion. Meets one or more of the sector-based criteria provided below, regardless of the specific critical infrastructure sector of which the entity considers itself to be part: | (b) 業種別基準を満たす。事業体が属する特定の重要インフラ部門にかかわらず、以下に示す部門別基準を1つ以上満たしている: |
(1) Owns or operates a covered chemical facility. The entity owns or operates a covered chemical facility subject to the Chemical Facility Anti-Terrorism Standards pursuant to 6 CFR part 27; | (1) 対象となる化学施設を所有または運営している。事業体は、6 CFRパート27に従った化学施設テロ対策標準の対象となる化学施設を所有または運営している; |
(2) Provides wire or radio communications service. The entity provides communications services by wire or radio communications, as defined in 47 U.S.C. 153(40), 153(59), to the public, businesses, or government, as well as one-way services and two-way services, including but not limited to: | (2) 有線または無線によるコミュニケーションサービスをプロバイダとして提供する。事業体は、47 U.S.C. 153(40)、153(59)に定義される有線または無線通信によるコミュニケーション・サービスを、一般市民、企業、または政府に対して、一方向サービスおよび双方向サービスとして提供する: |
(i) Radio and television broadcasters; | (i) ラジオ・テレビ放送事業者; |
(ii) Cable television operators; | (ii) ケーブルテレビ事業者 |
(iii) Satellite operators; | (iii) 衛星通信事業者 |
(iv) Telecommunications carriers; | (iv) 電気通信事業者 |
(v) Submarine cable licensees required to report outages to the Federal | (v) 47 CFR 4.15に基づき、連邦通信委員会に停電を報告する必要がある海底ケーブル免許事業者。 |
Communications Commission under 47 CFR 4.15; | (v) 47 CFR 4.15に基づき連邦コミュニケーション委員会に停電を報告する必要がある海底ケーブル免許業者; |
(vi) Fixed and mobile wireless service providers; | (vi) 固定および移動無線サービスプロバイダ; |
(vii) Voice over Internet Protocol providers; or | (vii) ボイス・オーバー・インターネット・プロトコル・プロバイダ。 |
(viii) Internet service providers; | (viii) インターネット・サービス・プロバイダ; |
(3) Owns or operates critical manufacturing sector infrastructure. The entity owns or has business operations that engage in one or more of the following categories of manufacturing: | (3) 重要な製造部門のインフラを所有または運営している。事業体は、以下のカテゴリーの1つ以上に従事する製造業を所有または事業展開している: |
(i) Primary metal manufacturing; | (i) 一次金属製造業; |
(ii) Machinery manufacturing; | (ii) 機械製造; |
(iii) Electrical equipment, appliance, and component manufacturing; or | (iii) 電気機器、器具、部品製造業;または |
(iv) Transportation equipment manufacturing; | (iv) 輸送機器製造; |
(4) Provides operationally critical support to the Department of Defense or processes, stores, or transmits covered defense information. The entity is a contractor or subcontractor required to report cyber incidents to the Department of Defense pursuant to the definitions and requirements of the Defense Federal Acquisition Regulation Supplement 48 CFR 252.204-7012; |
(4) 国防総省に運用上重要な支援を提供する、または対象となる国防情報を処理、保管、伝送する。事業体は、国防連邦調達規則補遺 48 CFR 252.204-7012 の定義および要件に従って、サイバーインシデントを国防総省に報告する必要がある請負業者または下請業者である; |
(5) Performs an emergency service or function. The entity provides one or more of the following emergency services or functions to a population equal to or greater than 50,000 individuals: | (5) 緊急サービスまたは機能を実行する。事業体は、50,000 人以上の人口に対し、以下の緊急サービスまたは機能の 1 つ以上を提供する: |
(i) Law enforcement; | (i) 法執行; |
(ii) Fire and rescue services; | (ii) 消防および救助サービス; |
(iii) Emergency medical services; | (iii) 緊急医療サービス |
(iv) Emergency management; or | (iv) 緊急事態管理 |
(v) Public works that contribute to public health and safety; | (v) 公共衛生および安全に寄与する公共事業; |
(6) Bulk electric and distribution system entities. The entity is required to report cybersecurity incidents under the North American Electric Reliability Corporation Critical Infrastructure Protection Reliability Standards or required to file an Electric Emergency Incident and Disturbance Report OE-417 form, or any successor form, to the Department of Energy; | (6) バルク電気および配電系統事業体。事業体は、北米電気信頼性委員会の重要インフラ保護信頼性基準に基づきサイバーセキュリティインシデントを報告する必要があるか、または電気緊急インシデントおよび妨害行為報告書OE-417フォーム、またはその後継フォームをエネルギー省に提出する必要がある; |
(7) Owns or operates financial services sector infrastructure. The entity owns or operates any legal entity that qualifies as one or more of the following financial services entities: | (7) 金融サービス部門のインフラを所有または運営している。事業体は、以下の1つ以上の金融サービス事業体に該当する法人を所有または運営している: |
(i) A banking or other organization regulated by: | (i) 以下の規制を受ける銀行またはその他の組織: |
(A) The Office of the Comptroller of the Currency under 12 CFR parts 30 and 53, which includes all national banks, Federal savings associations, and Federal branches and agencies of foreign banks; | (A) 通貨監督庁(Office of the Comptroller of the Currency)12 CFR 第 30 部および第 53 部に基づき規制される銀行またはその他の組織; |
(B) The Federal Reserve Board under: | (B) 以下の連邦準備制度理事会: |
(1) 12 CFR parts 208, 211, 225, or 234, which includes all U.S. bank holding companies, savings and loans holding companies, state member banks, the U.S. operations of foreign banking organizations, Edge and agreement corporations, and certain designated financial market utilities; or | (1) 12 CFR 第 208 部、第 211 部、第 225 部、または第 234 部に基づく連邦準備制度理事会。これには、全ての米国銀行持株会社、貯蓄貸付持株会社、加盟国銀行、外国銀行組織の米国事業、エッジ・アンド・アグリーメント・コーポレーション、および特定の指定金融市場公益事業が含まれる。 |
(2) 12 U.S.C. 248(j), which includes the Federal Reserve Banks; | (2) 12 U.S.C. 248(j)(連邦準備銀行を含む; |
(C) The Federal Deposit Insurance Corporation under 12 CFR part 304, which includes all insured state nonmember banks, insured state-licensed branches of foreign banks, and insured State savings associations; | (C)連邦預金保険公社は、12 CFR part 304 に基づき、すべての被保険州非加盟銀行、外国銀行の被保険州認可支店、および被保険州貯蓄組合を含む; |
(ii) A Federally insured credit union regulated by the National Credit Union Administration under 12 CFR part 748; | (ii) 12 CFR part 748 に基づき全米信用組合管理局によって規制されている連邦政府被保険信用組合; |
(iii) A designated contract market, swap execution facility, derivatives clearing organization, or swap data repository regulated by the Commodity Futures Trading Commission under 17 CFR parts 37, 38, 39, and 49; | (iii) 17 CFR part 37, 38, 39, 49 に基づき商品先物取引委員会が規制する指定契約市場、スワップ執行機 関、デリバティブ清算機関、またはスワップデータリポジトリ; |
(iv) A futures commission merchant or swap dealer regulated by the Commodity Futures Trading Commission under 17 CFR parts 1 and 23; | (iv) 17 CFR 第 1 部及び第 23 部に基づき商品先物取引委員会が規制する先物取引業者又はスワップ・ディーラー; |
(v) A systems compliance and integrity entity, security-based swap dealer, or security-based swap data repository regulated by the Securities and Exchange Commission under Regulation Systems Compliance and Integrity or Regulation Security-Based Swap Regulatory Regime, 17 CFR part 242; | (v) 証券取引委員会により、17CFR part 242「システム・コンプライアンス及び完全性規制」または「セキュリテ ィ・ベース・スワップ規制」に基づき規制されているシステム・コンプライアンス及び完全性事 業体、セキュリティ・ベース・スワップ・ディーラー、またはセキュリティ・ベース・スワップ・ データ保管所; |
(vi) A money services business as defined in 31 CFR 1010.100(ff); or | (vi) 31 CFR 1010.100(ff)に定義されるマネーサービス事業。 |
(vii) Fannie Mae and Freddie Mac as defined in 12 CFR 1201.1; | (vii) 12 CFR 1201.1 に定義されるファニーメイおよびフレディマック; |
(8) Qualifies as a State, local, Tribal, or territorial government entity. The entity is a State, local, Tribal, or territorial government entity for a jurisdiction with a population equal to or greater than 50,000 individuals; | (8) 州、地方、部族、または準州の政府事業体に該当する。事業体は、人口 50,000 人以上の管轄区域の州、地方、部族、または準州の政府機関である; |
(9) Qualifies as an education facility. The entity qualifies as any of the following types of education facilities: | (9) 教育施設である。事業体は、以下の種類の教育施設のいずれかに該当する: |
(i) A local educational agency, educational service agency, or state educational agency, as defined under 20 U.S.C. 7801, with a student population equal to or greater than 1,000 students; or | (i) 学生数が1,000人以上の、U.S.C.第7801条に基づいて定義される地方教育機関、教育サー ビス機関、または州教育機関。 |
(ii) An institute of higher education that receives funding under Title IV of the Higher Education Act, 20 U.S.C. 1001 et seq., as amended; | (ii) 高等教育法 Title IV(合衆国法典第 20 編第 1001 条ほか、改正されたもの)に基づき資金援助 を受ける高等教育機関; |
(10) Involved with information and communications technology to support elections processes. The entity manufactures, sells, or provides managed services for information and communications technology specifically used to support election processes or report and display results on behalf of State, Local, Tribal, or Territorial governments, including but not limited to: | (10) 選挙プロセスを支援するための情報通信技術に関与している。事業体は、州、地方、部族、または準州政府に代わって、選挙プロセスを支援するため、または結果を報告・表示するために特別に使用される情報通信技術を製造、販売、またはマネージドサービス・プロバイダーとして提供している: |
(i) Voter registration databases; | (i) 有権者登録データベース; |
(ii) Voting systems; and | (ii) 投票システム |
(iii) Information and communication technologies used to report, display, validate, or finalize election results; | (iii) 選挙結果の報告、表示、検証、確定に使用される情報通信技術; |
(11) Provides essential public health-related services. The entity provides one or more of the following essential public health-related services: | (11) 必要不可欠な公衆衛生関連サービスをプロバイダとして提供する。事業体は、以下の一つ以上の必須公衆衛生関連サービスを提供する: |
(i) Owns or operates a hospital, as defined by 42 U.S.C. 1395x(e), with 100 or more beds, or a critical access hospital, as defined by 42 U.S.C. 1395x(mm)(1); | (i) 42 U.S.C.1395x(e)に定義される、100 床以上の病院、または 42 U.S.C.1395x(mm)(1)に定義される重要アクセス病院を所有または運営する; |
(ii) Manufactures drugs listed in appendix A of the Essential Medicines Supply Chain and Manufacturing Resilience Assessment developed pursuant to section 3 of E.O. 14017; or |
(ii) E.O. 14017 の第 3 項に従って作成された必須医薬品サプライチェーンおよび製造レジリエンス・アセスメントの付録 A に記載されている医薬品を製造している。 |
(iii) Manufactures a Class II or Class III device as defined by 21 U.S.C. 360c; | (iii) 21 U.S.C. 360c で定義されるクラスⅡまたはクラスⅢの機器を製造する; |
(12) Information technology entities. The entity meets one or more of the following criteria: | (12) 情報技術事業体。事業体は、以下の基準の 1 つ以上を満たす: |
(i) Knowingly provides or supports information technology hardware, software, systems, or services to the Federal government; | (i) 情報技術のハードウェア、ソフトウェア、システム、またはサービスを、連邦政府 に故意にプロバイダまたはサポートする; |
(ii) Has developed and continues to sell, license, or maintain any software that has, or has direct software dependencies upon, one or more components with at least one of these attributes: | (ii)以下の属性の少なくとも1つを持つ1つまたは複数のコンポーネントを持つ、またはそれに直接依存するソフトウェアを開発し、販売、ライセンス供与、または保守を継続している: |
(A) Is designed to run with elevated privilege or manage privileges; | (A) 昇格した特権で実行されるか、特権を管理するように設計されている; |
(B) Has direct or privileged access to networking or computing resources; | (B) ネットワークまたはコンピューティングリソースに直接または特権的にアクセスする; |
(C) Is designed to control access to data or operational technology; | (C) データまたは運用技術へのアクセスを制御するように設計されている; |
(D) Performs a function critical to trust; or | (D) 信頼に不可欠な機能を実行する。 |
(E) Operates outside of normal trust boundaries with privileged access; | (E) 特権アクセスにより、通常の信頼境界の外で運用される; |
(iii) Is an original equipment manufacturer, vendor, or integrator of operational technology hardware or software components; | (iii) 運用技術のハードウェアまたはソフトウェア・コンポーネントの製造事業者、ベンダー、またはインテグレーターである; |
(iv) Performs functions related to domain name operations; | (iv) ドメイン名の運用に関連する機能を実行する; |
(13) Owns or operates a commercial nuclear power reactor or fuel cycle Facility. The entity owns or operates a commercial nuclear power reactor or fuel cycle facility licensed to operate under the regulations of the Nuclear Regulatory Commission, 10 CFR chapter I; | (13) 商業用原子炉または燃料サイクル施設を所有または運営している。事業体は、原子力規制委員会の規制(10CFR第I章)に基づ いて操業することを許可された商業用原子炉または燃料サイクル施設を所有または操業する; |
(14) Transportation system entities. The entity is required by the Transportation Security Administration to report cyber incidents or otherwise qualifies as one or more of the following transportation system entities: | (14) 輸送システム事業体。事業体は、運輸保安局からサイバーインシデントの報告を求められているか、そうでなければ以下の運輸システム事業体の一つ以上に該当する: |
(i) A freight railroad carrier identified in 49 CFR 1580.1(a)(1), (4), or (5); | (i) 49 CFR 1580.1(a)(1)、(4)または(5)で識別される貨物鉄道事業者; |
(ii) A public transportation agency or passenger railroad carrier identified in 49 CFR 1582.1(a)(1)-(4); | (ii) 49 CFR 1582.1(a)(1)~(4)で識別される公共交通機関または旅客鉄道事業者; |
(iii) An over-the-road bus operator identified in 49 CFR 1584.1; | (iii) 49 CFR 1584.1 で特定される道路バス事業者; |
(iv) A pipeline facility or system owner or operator identified in 49 CFR 1586.101; | (iv) 49 CFR 1586.101で特定されるパイプライン施設またはシステムの所有者または運営者; |
(v) An aircraft operator regulated under 49 CFR part 1544; | (v) 49 CFR パート 1544 に基づき規制される航空機運航者; |
(vi) An indirect air carrier regulated under 49 CFR part 1548; | (vi) 49 CFR part 1548 に基づき規制される間接航空運送事業者; |
(vii) An airport operator regulated under 49 CFR part 1542; or | (vii) 49 CFR part 1542 に基づき規制される空港運営者。 |
(viii) A Certified Cargo Screening Facility regulated under 49 CFR part 1549; | (viii) 49 CFR part 1549 に基づき規制される認定貨物スクリーニング施設; |
(15) Subject to regulation under the Maritime Transportation Security Act. The entity owns or operates a vessel, facility, or outer continental shelf facility subject to 33 CFR parts 104, 105, or 106; or | (15) 海上輸送安全法に基づく規制対象。事業体は、33 CFR part 104、105、または 106 の対象となる船舶、施設、または大陸棚外施設を所有または運営する。 |
(16) Owns or operates a qualifying community water system or publicly owned treatment works. The entity owns or operates a community water system, as defined in 42 U.S.C. 300f(15), or a publicly owned treatment works, as defined in 40 CFR 403.3(q), for a population greater than 3,300 people. | (16) 適格な地域水道システムまたは公営の処理施設を所有または運営している。事業体は、42 U.S.C. 300f(15)に定義される地域水道、または 40 CFR 403.3(q)に定義される公有処理施設を、3,300 人以上の人口のために所有または運営している。 |
§ 226.3 Required reporting on covered cyber incidents and ransom payments. | § 226.3 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務 |
(a) Covered cyber incident. A covered entity that experiences a covered cyber incident must report the covered cyber incident to CISA in accordance with this part. | (a) 対象サイバーインシデント。対象サイバーインシデントを経験した対象事業体は、本編に従い、対象サイバーインシデントを CISA に報告しなければならない。 |
(b) Ransom payment. A covered entity that makes a ransom payment, or has another entity make a ransom payment on the covered entity’s behalf, as the result of a ransomware attack against the covered entity must report the ransom payment to CISA in accordance with this part. This reporting requirement applies to a covered entity even if the ransomware attack that resulted in a ransom payment is not a covered cyber incident subject to the reporting requirements of this part. If a covered entity makes a ransom payment that relates to a covered cyber incident that was previously reported in accordance with paragraph (a) of this section, the covered entity must instead submit a supplemental report in accordance with paragraph (d)(1)(ii) of this section. | (b) 身代金の支払い。対象事業体に対するランサムウェア攻撃の結果として、身代金の支払いを行う、または対象事業体に代わ って他の事業体に身代金の支払いを行わせる対象事業体は、本編に従い、身代金の支払いを CISA に報告しなければならない。この報告要件は、身代金支払の原因となったランサムウェア攻撃が、本編の報告要件の対象となる対象サイバーインシデントでない場合であっても、対象事業体に適用される。対象事業体が、本項の(a)項に従って以前に報告された対象サイバーインシデントに関連する身代金の支払いを行った場合、対象事業体は代わりに、本項の(d)(1)(ii)項に従って補足報告を提出しなければならない。 |
(c) Covered cyber incident and ransom payment. A covered entity that experiences a covered cyber incident and makes a ransom payment, or has another entity make a ransom payment on the covered entity’s behalf, that is related to that covered cyber incident may report both events to CISA in a Joint Covered Cyber Incident and Ransom Payment Report in accordance with this part. If a covered entity, or a third party acting on the covered entity’s behalf, submits a Joint Covered Cyber Incident and Ransom Payment Report in accordance with this part, the covered entity is not required to also submit reports pursuant to paragraph (a) and (b) of this section. | (c) 対象となるサイバーインシデントおよび身代金の支払い。対象となるサイバーインシデントを経験し、身代金の支払いを行った、または対象となるサイバーインシデントに関連する身代金の支払いを他の事業体に代行させた対象事業体は、本編に従い、対象となるサイバーインシデントおよび身代金支払い共同報告書において、両方の事象を CISA に報告することができる。対象事業体または対象事業体の代理を務めるサードパーティが、本編に従って共同対象サイ バーインシデントおよび身代金支払報告書を提出する場合、対象事業体は、本項(a)および(b)に従った報告書も提出する必要はない。 |
(d) Supplemental Reports--(1) Required Supplemental Reports. A covered entity must promptly submit Supplemental Reports to CISA about a previously reported covered cyber incident in accordance with this part unless and until such date that the covered entity notifies CISA that the covered cyber incident at issue has concluded and has been fully mitigated and resolved. Supplemental Reports must be promptly submitted by the covered entity if: | (d) 補足報告書--(1) 必須の補足報告書。対象事業体は、対象事業体が問題の対象サイバーインシデントが終結し、完全に低減され解決されたと CISA に通知しない限り、またその日まで、本編に従い、以前に報告された対象サイバーインシデントに関する補足報告を CISA に速やかに提出しなければならない。以下の場合、対象事業体は速やかに補足報告書を提出しなければならない: |
(i) Substantial new or different information becomes available. Substantial new or different information includes but is not limited to any information that the covered entity was required to provide as part of a Covered Cyber Incident Report but did not have at the time of submission; or | (i) 実質的に新しいまたは異なる情報が入手可能となった場合。実質的に新しいまたは異なる情報には、対象事業体が対象サイバーインシデント報告書の一部 として提供することを義務付けられていたが、提出時に持っていなかった情報が含まれるが、こ れらに限定されない。 |
(ii) The covered entity makes a ransom payment, or has another entity make a ransom payment on the covered entity’s behalf, that relates to a covered cyber incident that was previously reported in accordance with paragraph (a) of this section. | (ii) 対象事業体が、本項の(a)項に従って以前に報告された対象サイバーインシデントに関連して、身代金の支払いを行うか、または対象事業体に代わって他の事業体に身代金の支払いを行わせる。 |
(2) Optional notification that a covered cyber incident has concluded. A covered entity may submit a Supplemental Report to inform CISA that a covered cyber incident previously reported in accordance with paragraph (a) of this section has concluded and been fully mitigated and resolved. | (2) 対象となるサイバーインシデントが終了したことの任意の通知。対象事業体は、本項の(a)項に従って以前に報告された対象サイバーインシデントが終結し、完全に低減され解決されたことを CISA に通知するために、補足報告を提出することができる。 |
§ 226.4 Exceptions to required reporting on covered cyber incidents and ransom payments. | § 226.4 対象のサイバーインシデント及び身代金の支払いに関する報告義務の例外 |
(a) Substantially similar reporting exception--(1) In general. A covered entity that reports a covered cyber incident, ransom payment, or information that must be submitted to CISA in a supplemental report to another Federal agency pursuant to the terms of a CIRCIA Agreement will satisfy the covered entity’s reporting obligations under § 226.3. A covered entity is responsible for confirming that a CIRCIA Agreement is applicable to the covered entity and the specific reporting obligation it seeks to satisfy under this part, and therefore, qualifies for this exemption. | (a) 実質的に類似した報告の例外--(1) 一般的に。対象となるサイバーインシデント、身代金の支払い、またはCIRCIA協定の条件に従って他の連邦機関への補足報告でCISAに提出しなければならない情報を報告する対象事業体は、226.3条に基づく対象事業体の報告義務を満たす。対象事業体は、CIRCIA合意が対象事業体に適用され、本編に基づき充足しようとする特定の報告義務に適用され、したがって本免除の対象となることを確認する責任を負う。 |
(2) CIRCIA Agreement requirements. A CIRCIA Agreement may be entered into and maintained by CISA and another Federal agency in circumstances where CISA has determined the following: | (2) CIRCIA協定の要件。CISAが以下のように判断した場合、CISAと他の連邦機関によりCIRCIA合意が締結され、維持されることがある: |
(i) A law, regulation, or contract exists that requires one or more covered entities to report covered cyber incidents or ransom payments to the other Federal agency; | (i) 1つ以上の対象事業体が、対象となるサイバー・インシデントまたは身代金の支払いを他の連邦機 関に報告することを要求する法律、規制、または契約が存在する; |
(ii) The required information that a covered entity must submit to the other Federal agency pursuant to a legal, regulatory, or contractual reporting requirement is substantially similar information to that which a covered entity is required to include in a CIRCIA Report as specified in §§ 226.7 through 226.11, as applicable; | (ii) 法律、規制、または契約上の報告要件に従って、対象事業体が他の連邦機関に提出しなければならな い必要な情報が、該当する場合、第 226.7 条から第 226.11 条に規定される CIRCIA 報告書に対象事 業体が記載することを義務付けられている情報と実質的に類似している; |
(iii) The applicable law, regulation, or contract requires covered entities to report covered cyber incidents or ransom payments to the other Federal agency within a substantially similar timeframe to those for CIRCIA Reports specified in § 226.5; and | (iii) 適用法、規制、または契約により、対象事業体は、226.5 条に規定される CIRCIA 報告書と実質的に同様の期間内に、対象となるサイバーインシデントまたは身代金の支払いを他の連邦機関に報告することが義務付けられている。 |
(iv) CISA and the other Federal agency have an information sharing mechanism in place. | (iv) CISA と他の連邦機関は、情報共有の仕組みを有している。 |
(3) Substantially similar information determination. CISA retains discretion to determine what constitutes substantially similar information for the purposes of this part. In general, in making this determination, CISA will consider whether the specific fields of information reported by the covered entity to another Federal agency are functionally equivalent to the fields of information required to be reported in CIRCIA Reports under §§ 226.7 through 226.11, as applicable. | (3) 実質的に類似した情報の判断。CISAは、本編の目的上、何が実質的に類似した情報を構成するかを決定する裁量権を保持する。一般に、CISAは、この判定を行うにあたり、対象事業体が他の連邦機関に報告する特定の情報分野が、該当する場合、§226.7から§226.11に基づきCIRCIAレポートで報告することが要求される情報分野と機能的に同等であるかどうかを考慮する。 |
(4) Substantially similar timeframe. Reporting in a substantially similar timeframe means that a covered entity is required to report covered cyber incidents, ransom payments, or supplemental reports to another Federal agency in a timeframe that enables the report to be shared by the Federal agency with CISA by the applicable reporting deadline specified for each type of CIRCIA Report under § 226.5. | (4) 実質的に同様のタイムフレーム。実質的に類似した時間枠での報告とは、対象事業体が、226.5 条に基づき、CIRCIA 報告書の種類ごとに指定された該当する報告期限までに、連邦機関が CISA と報告書を共有できる時間枠で、対象となるサイバーインシデント、身代金の支払い、または補足的な報告書を他の連邦機関に報告することが求められることをいう。 |
(5) Public posting of CIRCIA Agreements. CISA will maintain an accurate catalog of all CIRCIA Agreements on a public-facing website and will make CIRCIA Agreements publicly available, to the maximum extent practicable. An agreement will be considered a CIRCIA Agreement for the purposes of this section when CISA publishes public notice concerning the agreement on such website and until notice of termination or expiration has been posted as required under § 226.4(a)(6). | (5) CIRCIA 協定の公開。CISA は、全ての CIRCIA Agreements の正確なカタログを公開ウェブサイト上に維持し、CIRCIA Agreements を可能な限り公開する。CISA が当該ウェブサイトに当該契約に関する公告を掲載した時点、及び§226.4(a)(6)に基づき要求される終了または失効通知が掲載されるまでは、当該契約は本条項において CIRCIA 契約とみなされる。 |
(6) Termination or expiration of a CIRCIA Agreement. CISA may terminate a CIRCIA Agreement at any time. CISA will provide notice of the termination or expiration of CIRCIA Agreements on the public-facing website where the catalog of CIRCIA Agreements is maintained. | (6) CIRCIA 協定の終了又は失効。CISA はいつでも CIRCIA 協定を終了することができる。CISA は、CIRCIA 協定のカタログが維持されている一般向けウェブサイト上で、CIRCIA 協定の終了または失効を通知する。 |
(7) Continuing supplemental reporting requirement. Covered entities remain subject to the supplemental reporting requirements specified under § 226.3(d), unless the covered entity submits the required information to another Federal agency pursuant to the terms of a CIRCIA Agreement. | (7) 補足報告要件の継続。対象事業体が、CIRCIA 協定の条件に従って他の連邦機関に必要な情報を提出しない限り、対象事 業体は、引き続き§226.3(d)に定める補足報告要件の対象となる。 |
(8) Communications with CISA. Nothing in this section prevents or otherwise restricts CISA from contacting any entity that submits information to another Federal agency, nor is any entity prevented from communicating with, or submitting a CIRCIA Report to, CISA. | (8) CISAとのコミュニケーション。本節のいかなる規定も、CISAが他の連邦機関に情報を提出する事業体とコミュニケーションすることを妨げるものではなく、また、事業体がCISAとコミュニケーションすること、またはCISAにCIRCIA報告書を提出することを妨げるものではない。 |
(b) Domain Name System exception. The following entities, to the degree that they are considered a covered entity under § 226.2, are exempt from the reporting requirements in this part: | (b) ドメインネームシステムの例外。以下の事業体は、226.2 条に基づき対象事業体とみなされる限りにおいて、本編の報告義務を免除される: |
(1) The Internet Corporation for Assigned Names and Numbers; | (1) ICANN: The Internet Corporation for Assigned Names and Numbers; |
(2) The American Registry for Internet Numbers; | (2) 米国インターネット番号登録局; |
(3) Any affiliates controlled by the covered entities listed in paragraphs (b)(1) and (2) of this section; and |
(3) 本項第(b)(1)および(2)に記載される対象事業体が管理する関連会社。 |
(4) The root server operator function of a covered entity that has been recognized by the Internet Corporation for Assigned Names and Numbers as responsible for operating one of the root identities and has agreed to follow the service expectations established by the Internet Corporation for Assigned Names and Numbers and its Root Server System Advisory Committee. | (4) ICANNによってルートアイデンティティの1つを運用する責任があると認められ、ICANNおよびそのルートサーバシステム諮問委員会によって確立されたサービス期待に従うことに同意した対象事業体のルートサーバ運用者機能。 |
(c) FISMA report exception. Federal agencies that are required by the Federal Information Security Modernization Act, 44 U.S.C. 3551 et seq., to report incidents to CISA are exempt from reporting those incidents as covered cyber incidents under this part. | (c) FISMA報告書の例外。連邦情報セキュリティ近代化法(44 U.S.C. 3551 et seq.)によりインシデントを CISA に報告することが義務付けられている連邦機関は、当該インシデントを本編の対象サイバーインシデントとして報告することを免除される。 |
§ 226.5 CIRCIA Report submission deadlines. | § 226.5 CIRCIA 報告書の提出期限 |
Covered entities must submit CIRCIA Reports in accordance with the submission deadlines specified in this section. | 対象事業体は、本項に定める提出期限に従い、CIRCIA 報告書を提出しなければならない。 |
(a) Covered Cyber Incident Report deadline. A covered entity must submit a Covered Cyber Incident Report to CISA no later than 72 hours after the covered entity reasonably believes the covered cyber incident has occurred. | (a) 対象サイバーインシデント報告書の期限。対象事業体は、対象サイバーインシデントが発生したと合理的に考えてから 72 時間以内に、対象サイ バーインシデント報告書を CISA に提出しなければならない。 |
(b) Ransom Payment Report deadline. A covered entity must submit a Ransom Payment Report to CISA no later than 24 hours after the ransom payment has been disbursed. | (b) 身代金支払報告期限。対象事業体は、身代金支払が行われた後 24 時間以内に、身代金支払報告書を CISA に提出しなければならない。 |
(c) Joint Covered Cyber Incident and Ransom Payment Report deadline. A covered entity that experiences a covered cyber incident and makes a ransom payment within 72 hours after the covered entity reasonably believes a covered cyber incident has occurred may submit a Joint Covered Cyber Incident and Ransom Payment Report to CISA no later than 72 hours after the covered entity reasonably believes the covered cyber incident has occurred. | (c) 合同の対象サイバーインシデントおよび身代金支払報告期限。対象事業体が対象サイバーインシデントが発生したと合理的に考えてから 72 時間以内に、対象サイ バーインシデントを経験し、身代金の支払いを行う対象事業体は、対象事業体が対象サイバーインシデ ントが発生したと合理的に考えてから 72 時間以内に、対象サイバーインシデント及び身代金支払い共同 報告書を CISA に提出することができる。 |
(d) Supplemental Report Deadline. A covered entity must promptly submit supplemental reports to CISA. If a covered entity submits a supplemental report on a ransom payment made after the covered entity submitted a Covered Cyber Incident Report, as required by § 226.3(d)(1)(ii), the covered entity must submit the Supplemental Report to CISA no later than 24 hours after the ransom payment has been disbursed. | (d) 補足報告期限。対象事業体は、速やかに CISA に補足報告を提出しなければならない。対象事業体が226.3(d)(1)(ii)により義務付けられている対象サイバーインシデント報告書を提出した後に行われた身代金の支払いについて補足報告を提出する場合、対象事業体は、身代金の支払いが行われた後24時間以内に補足報告書をCISAに提出しなければならない。 |
§ 226.6 Required manner and form of CIRCIA Reports. | § 226.6 CIRCIA 報告書の要求される方法および形式 |
A covered entity must submit CIRCIA Reports to CISA through the web-based CIRCIA Incident Reporting Form available on CISA’s website or in any other manner and form of reporting approved by the Director. | 対象事業体は、CISAのウェブサイトで入手可能なウェブベースのCIRCIAインシデント報告書を通じて、又は所長が承認したその他の報告の方法及び形態で、CISAにCIRCIA報告書を提出しなければならない。 |
§ 226.7 Required information for CIRCIA Reports. | § 226.7 CIRCIA 報告書に必要な情報 |
A covered entity must provide the following information in all CIRCIA Reports to the extent such information is available and applicable to the event reported: | 対象事業体は、すべての CIRCIA 報告書において、報告された事象に該当する情報が入手可能な限り、 以下の情報を提供しなければならない: |
(a) Identification of the type of CIRCIA Report submitted by the covered entity; | (a) 対象事業体が提出した CIRCIA 報告書の種類の特定; |
(b) Information relevant to establishing the covered entity’s identity, including the covered entity’s: | (a) 対象事業体により提出された CIRCIA 報告書の種類の特定: |
(1) Full legal name; | (1) 正式名称; |
(2) State of incorporation or formation; | (2) 法人設立または結成の州; |
(3) Affiliated trade names; | (3) 関連商号 |
(4) Organizational entity type; | (4) 組織事業体の種類; |
(5) Physical address; | (5) 物理的住所 |
(6) Website; | (6) ウェブサイト |
(7) Internal incident tracking number for the reported event; | (7) 報告された事象の社内インシデント追跡番号; |
(8) Applicable business numerical identifiers; | (8) 該当する事業者識別番号; |
(9) Name of the parent company or organization, if applicable; and | (9) 親会社または組織の名称(該当する場合)。 |
(10) The critical infrastructure sector or sectors in which the covered entity considers itself to be included; | (10) 対象事業体が含まれると考える重要インフラ部門またはセクター; |
(c) Contact information, including the full name, email address, telephone number, and title for: | (c) 以下の氏名、電子メールアドレス、電話番号、役職を含む連絡先情報: |
(1) The individual submitting the CIRCIA Report on behalf of the covered entity; | (1) 対象事業体を代表して CIRCIA 報告書を提出する者; |
(2) A point of contact for the covered entity if the covered entity uses a third party to submit the CIRCIA Report or would like to designate a preferred point of contact that is different from the individual submitting the report; and | (2) 対象事業体が CIRCIA 報告書の提出にサードパーティを使用する場合、または報告書提出者 と異なる優先連絡先を指定したい場合は、対象事業体の連絡先。 |
(3) A registered agent for the covered entity, if neither the individual submitting the CIRCIA Report, nor the designated preferred point of contact are a registered agent for the covered entity; and | (3) CIRCIA 報告書を提出する個人または指定された優先連絡先のいずれも対象事業体の登録 代理人でない場合は、対象事業体の登録代理人。 |
(d) If a covered entity uses a third party to submit a CIRCIA Report on the covered entity’s behalf, an attestation that the third party is expressly authorized by the covered entity to submit the CIRCIA Report on the covered entity’s behalf. | (d) 対象事業体が、対象事業体に代わって CIRCIA 報告書を提出するためにサードパーティを使 用する場合、当該サードパーティが、対象事業体に代わって CIRCIA 報告書を提出するこ とを対象事業体から明示的に認可されている旨の宣誓書。 |
§ 226.8 Required information for Covered Cyber Incident Reports. | § 226.8 対象サイバーインシデント報告書に必要な情報 |
A covered entity must provide all the information identified in § 226.7 and the following information in a Covered Cyber Incident Report, to the extent such information is available and applicable to the covered cyber incident: | 対象事業体は、226.7 条で特定されるすべての情報および以下の情報を、当該情報が入手可能であり、対象サイ バーインシデントに該当する限り、対象サイバーインシデント報告書に提供しなければならない: |
(a) A description of the covered cyber incident, including but not limited to: | (a) 対象となるサイバーインシデントの説明(以下を含むが、これに限定されない: |
(1) Identification and description of the function of the affected networks, devices, and/or information systems that were, or are reasonably believed to have been, affected by the covered cyber incident, including but not limited to: | (1) 対象となるサイバーインシデントにより影響を受けた、または受けたと合理的に考えられるネットワーク、デバイス、および/または情報システムの機能の特定および説明: |
(i) Technical details and physical locations of such networks, devices, and/or information systems; and | (i) 当該ネットワーク、デバイス、および/または情報システムの技術的な詳細および物理的な場所。 |
(ii) Whether any such information system, network, and/or device supports any elements of the intelligence community or contains information that has been determined by the United States Government pursuant to an Executive Order or statute to require protection against unauthorized disclosure for reasons of national defense or foreign relations, or any restricted data, as defined in 42 U.S.C. 2014(y); | (ii)当該情報システム、ネットワーク、および/またはデバイスが、インテリジェンス・コミュニティの要素をサポートしているかどうか、または大統領令もしくは法令に従って米国政府が国防もしくは外交関係を理由に不正な開示から保護する必要があると決定した情報、または合衆国法典第42編2014(y)に定義される制限データを含んでいるかどうか; |
(2) A description of any unauthorized access, regardless of whether the covered cyber incident involved an attributed or unattributed cyber intrusion, identification of any informational impacts or information compromise, and any network location where activity was observed; | (2) 対象となるサイバーインシデントが帰属するサイバー侵入であるか帰属しないサイバー侵入であるかにかかわらず、不正アクセスの説明、情報への影響または情報漏洩の特定、および活動が観察されたネットワークの場所; |
(3) Dates pertaining to the covered cyber incident, including but not limited to: | (3) 対象となるサイバーインシデントに関連する日付: |
(i) The date the covered cyber incident was detected; | (i) 対象のサイバーインシデントが検知された日; |
(ii) The date the covered cyber incident began; | (ii) 対象のサイバーインシデントが開始した日; |
(iii) If fully mitigated and resolved at the time of reporting, the date the covered cyber incident ended; | (iii) 報告時に完全に低減され解決されている場合は、対象となるサイバーインシデントが終了した日; |
(iv) The timeline of compromised system communications with other systems; and | (iv) 侵害されたシステムの他のシステムとのコミュニケーションのタイムライン。 |
(v) For covered cyber incidents involving unauthorized access, the suspected duration of the unauthorized access prior to detection and reporting; and | (v) 不正アクセスを伴う対象サイバーインシデントについては、検知および報告前の不正アクセスの疑い期間。 |
(4) The impact of the covered cyber incident on the covered entity’s operations, such as information related to the level of operational impact and direct economic impacts to operations; any specific or suspected physical or informational impacts; and information to enable CISA’s assessment of any known impacts to national security or public health and safety; | (4) 業務上の影響のレベル及び業務への直接的な経済的影響に関連する情報など、対象事業体の業務に対す る対象サイバーインシデントの影響、具体的な又は疑われる物理的又は情報的な影響、並びに国家安全保障又は公衆衛生 及び安全に対する既知の影響の CISA による評価を可能にする情報; |
(b) The category or categories of any information that was, or is reasonably believed to have been, accessed or acquired by an unauthorized person or persons; | (b) 許可されていない者によりアクセス又は取得された、又はされたと合理的に考えられる情報のカテゴリー; |
(c) A description of any vulnerabilities exploited, including but not limited to the specific products or technologies and versions of the products or technologies in which the vulnerabilities were found; | (c) 脆弱性が悪用された場合の説明(脆弱性が発見された特定の製品または技術、製品または技術のバージョンを含むが、これらに限定されない); |
(d) A description of the covered entity’s security defenses in place, including but not limited to any controls or measures that resulted in the detection or mitigation of the incident; | (d)インシデントの検知又は低減につながった管理又は防御策を含むが、これに限定されな い、対象事業体の実施中のセキュリティ防御策の記述; |
(e) A description of the type of incident and the tactics, techniques, and procedures used to perpetrate the covered cyber incident, including but not limited to any tactics, techniques, and procedures used to gain initial access to the covered entity’s information systems, escalate privileges, or move laterally, if applicable; | (e)インシデントの種類、及び対象事業体の情報システムへの最初のアクセス、権限の昇格、又は横 断的な移動に使用された戦術、技術、及び手順を含むがこれらに限定されない、対象サイ バーインシデントを実行するために使用された戦術、技術、及び手順の説明(該当する場合); |
(f) Any indicators of compromise, including but not limited to those listed in§ 226.13(b)(1)(ii), observed in connection with the covered cyber incident; | (f) 226.13(b)(1)(ii)に列挙されているものを含むがこれに限定されない、対象となるサイ バーインシデントに関連して観察された危殆化の指標; |
(g) A description and, if possessed by the covered entity, a copy or samples of any malicious software the covered entity believes is connected with the covered cyber incident; | (g) 対象事業体が保有している場合、対象サイバーインシデントに関連していると考えられる悪意のあるソフトウエアの説明及びコピー又はサンプル; |
(h) Any identifying information, including but not limited to all available contact information, for each actor reasonably believed by the covered entity to be responsible for the covered cyber incident; | (h) 対象となるサイバーインシデントに責任があると対象事業体が合理的に考える各関係者の、利用可能なすべての連絡先情報を含むがこれに限定されない識別情報; |
(i) A description of any mitigation and response activities taken by the covered entity in response to the covered cyber incident, including but not limited to: | (i) 対象となるサイバーインシデントに対応して対象事業体が行った低減及び対応活動の説明: |
(1) Identification of the current phase of the covered entity’s incident response efforts at the time of reporting; | (1) 報告時における対象事業体のインシデント対応活動の現在の段階の特定; |
(2) The covered entity’s assessment of the effectiveness of response efforts in mitigating and responding to the covered cyber incident; | (2) 対象サイバーインシデントの低減および対応における対応努力の有効性に関する対象事業体の評価; |
(3) Identification of any law enforcement agency that is engaged in responding to the covered cyber incident, including but not limited to information about any specific law enforcement official or point of contact, notifications received from law enforcement, and any law enforcement agency that the covered entity otherwise believes may be involved in investigating the covered cyber incident; and | (3) 対象のサイバーインシデントへの対応に従事している法執行機関の特定(特定の法執行機関の職員または連絡先、法執行機関から受領した通知、および対象事業体がその他の方法で対象サイバーインシデントの調査に関与していると考える法執行機関に関する情報を含むが、これらに限定されない)。 |
(4) Whether the covered entity requested assistance from another entity in responding to the covered cyber incident and, if so, the identity of each entity and a description of the type of assistance requested or received from each entity; | (4) 対象事業体が、対象となるサイバーインシデントへの対応において、他の事業体に支援を要請したかどうか、要請した場合は、各事業体の身元、および各事業体に要請または受領した支援の種類の説明; |
(j) Any other data or information as required by the web-based CIRCIA Incident Reporting Form or any other manner and form of reporting authorized under § 226.6. | (j) ウェブベースのCIRCIAインシデント報告書、または§226.6に基づき認可されたその他の報告の方法および形式により要求されるその他のデータまたは情報。 |
§ 226.9 Required information for Ransom Payment Reports. | § 226.9 身代金支払報告書に必要な情報 |
A covered entity must provide all the information identified in § 226.7 and the following information in a Ransom Payment Report, to the extent such information is available and applicable to the ransom payment: | 対象事業体は、身代金支払報告書において、身代金支払に該当する情報が入手可能である限り、第 226.7 条で特定されるすべての情報および以下の情報を提供しなければならない: |
(a) A description of the ransomware attack, including but not limited to: | (a) ランサムウェア攻撃の説明(以下を含むが、これに限定されない): |
(1) Identification and description of the function of the affected networks, devices, and/or information systems that were, or are reasonably believed to have been, affected by the ransomware attack, including but not limited to: | (1) ランサムウェア攻撃により影響を受けた、または受けたと合理的に考えられるネットワーク、デバイス、および/または情報システムの機能の特定および説明: |
(i) Technical details and physical locations of such networks, devices, and/or information systems; and | (i) 当該ネットワーク、デバイス、および/または情報システムの技術的詳細および物理的な場所。 |
(ii) Whether any such information system, network, and/or device supports any elements of the intelligence community or contains information that has been determined by the United States Government pursuant to an Executive Order or statute to require protection against unauthorized disclosure for reasons of national defense or foreign relations, or any restricted data, as defined in 42 U.S.C. 2014(y); | (ii) そのような情報システム、ネットワーク、および/またはデバイスが、インテリジェンス・コミュニティの要素をサポートしているかどうか、または大統領令もしくは法令に従って米国政府が国防もしくは外交関係を理由に不正な開示から保護する必要があると決定した情報、または合衆国法典第42編2014(y)に定義されるような制限されたデータを含んでいるかどうか; |
(2) A description of any unauthorized access, regardless of whether the ransomware attack involved an attributed or unattributed cyber intrusion, identification of any informational impacts or information compromise, and any network location where activity was observed; | (2) ランサムウェア攻撃が帰属するサイバー侵入であるか帰属しないサイバー侵入であるかにかかわらず、不正アクセスの説明、情報への影響または情報漏洩の特定、および活動が観察されたネットワークの場所; |
(3) Dates pertaining to the ransomware attack, including but not limited to: | (3) ランサムウェア攻撃に関連する日付: |
(i) The date the ransomware attack was detected; | (i) ランサムウェア攻撃が検知された日付; |
(ii) The date the ransomware attack began; | (ii) ランサムウェア攻撃の開始日; |
(iii) If fully mitigated and resolved at the time of reporting, the date the ransomware attack ended; | (iii) 報告時に完全に低減され解決されている場合は、ランサムウェア攻撃が終了した日; |
(iv) The timeline of compromised system communications with other systems; and | (iv) 侵害されたシステムの他のシステムとのコミュニケーションのタイムライン。 |
(v) For ransomware attacks involving unauthorized access, the suspected duration of the unauthorized access prior to detection and reporting; and | (v) 不正アクセスを伴うランサムウェア攻撃については、検知および報告前の不正アクセスの疑い期間。 |
(4) The impact of the ransomware attack on the covered entity’s operations, such as information related to the level of operational impact and direct economic impacts to operations; any specific or suspected physical or informational impacts; and any known or suspected impacts to national security or public health and safety; | (4) 対象事業体の業務に対するランサムウェア攻撃の影響。例えば、業務上の影響のレベルおよび業務に対する直接的な経済的影響、物理的または情報的な影響、および国家安全保障または公衆衛生および安全に対する既知のまたは疑われる影響に関連する情報など; |
(b) A description of any vulnerabilities exploited, including but not limited to the specific products or technologies and versions of the products or technologies in which the vulnerabilities were found; | (b) 悪用された脆弱性の説明。脆弱性が発見された特定の製品または技術、製品または技術のバージョンを含むが、これらに限定されない; |
(c) A description of the covered entity’s security defenses in place, including but not limited to any controls or measures that resulted in the detection or mitigation of the ransomware attack; | (c)ランサムウェア攻撃の検知または低減につながった管理または対策を含むがこれに限定されない、対象事業体のセキュリティ防御策の説明; |
(d) A description of the tactics, techniques, and procedures used to perpetrate the ransomware attack, including but not limited to any tactics, techniques, and procedures used to gain initial access to the covered entity’s information systems, escalate privileges, or move laterally, if applicable; | (d)ランサムウェア攻撃を実行するために使用された戦術、技法および手順(該当する場合、対象事業体の情報システムへの初期アクセス、権限の昇格、または横移動に使用された戦術、技法および手順を含むが、これらに限定されない)の説明; |
(e) Any indicators of compromise the covered entity believes are connected with the ransomware attack, including, but not limited to, those listed in section | (e)ランサムウェア攻撃に関連していると対象事業体が考える危殆化の指標。 |
226.13(b)(1)(ii), observed in connection with the ransomware attack; | 226.13(b)(1)(ii)に記載されているものを含むが、これに限定されない; |
(f) A description and, if possessed by the covered entity, a copy or sample of any malicious software the covered entity believes is connected with the ransomware attack; (g) Any identifying information, including but not limited to all available contact information, for each actor reasonably believed by the covered entity to be responsible for the ransomware attack; | (f) 対象事業体が保有している場合、ランサムウェア攻撃に関連していると対象事業体が考える悪意あるソフトウエアの説明およびコピーまたはサンプル (g) 対象事業体がランサムウェア攻撃に関与していると合理的に考える各関係者の識別情報(すべての可用性連絡先情報を含むが、これに限定されない); |
(h) The date of the ransom payment; | (h) 身代金の支払日; |
(i) The amount and type of assets used in the ransom payment; | (i) 身代金の支払いに使用された資産の金額および種類; |
(j) The ransom payment demand, including but not limited to the type and amount of virtual currency, currency, security, commodity, or other form of payment requested; | (j) 身代金の支払要求(要求された仮想通貨、通貨、証券、商品またはその他の支払形態の種類および金額を含むが、これらに限定されない); |
(k) The ransom payment instructions, including but not limited to information regarding how to transmit the ransom payment; the virtual currency or physical address where the ransom payment was requested to be sent; any identifying information about the ransom payment recipient; and information related to the completed payment, including any transaction identifier or hash; | (k) 身代金支払の指示(身代金支払の送信方法に関する情報を含むがこれに限定されない)、身代金支払の送信が要求された仮想通貨または物理的住所、身代金支払の取得者に関する識別情報、および完了した支払に関する情報(取引識別子またはハッシュを含むがこれに限定されない); |
(l) Outcomes associated with making the ransom payment, including but not limited to whether any exfiltrated data was returned or a decryption capability was provided to the covered entity, and if so, whether the decryption capability was successfully used by the covered entity; | (l) 身代金支払いに関連する成果。これには、流出したデータが返却されたか、または対象事業体に復号化機能が提供されたかどうか、および提供された場合、対象事業体によって復号化機能が正常に使用されたかどうかが含まれるが、これらに限定されない; |
(m) A description of any mitigation and response activities taken by the covered entity in response to the ransomware attack, including but not limited to: | (m)ランサムウェア攻撃に対応して対象事業体が行った低減および対応活動の説明: |
(1) Identification of the current phase of the covered entity’s incident response efforts at the time of reporting; | (1) 報告時における対象事業体のインシデント対応活動の現在の段階の特定; |
(2) The covered entity’s assessment of the effectiveness of response efforts in mitigating and responding to the ransomware attack; | (2) ランサムウェア攻撃の低減および対応における対応努力の有効性に関する対象事業体の評価; |
(3) Identification of any law enforcement agency that is engaged in responding to the ransomware attack, including but not limited to information about any specific law enforcement official or point of contact, notifications received from law enforcement, and any law enforcement agency that the covered entity otherwise believes may be involved in investigating the ransomware attack; and | (3) ランサムウェア攻撃への対応に従事している法執行機関の特定(特定の法執行機関の職員または連絡先、法執行機関から受領した通知、およびランサムウェア攻撃の調査に関与している可能性があると対象事業体が別途考える法執行機関に関する情報を含むが、これらに限定されない)。 |
(4) Whether the covered entity requested assistance from another entity in responding to the ransomware attack or making the ransom payment and, if so, the identity of such entity or entities and a description of the type of assistance received from each entity; | (4) 対象事業体が、ランサムウェア攻撃への対応または身代金の支払いにおいて、他の事業体に支援を要請したかどうか、要請した場合には、当該事業体の身元、および各事業体から受けた支援の種類の説明; |
(n) Any other data or information as required by the web-based CIRCIA Incident Reporting Form or any other manner and form of reporting authorized under § 226.6. | (n) ウェブベースの CIRCIA インシデント報告書、または第 226.6 条に基づき認可されたその他の報告の方法および形式により要求されるその他のデータまたは情報。 |
§ 226.10 Required information for Joint Covered Cyber Incident and Ransom Payment Reports. | § 226.10.共同対象サイバーインシデントおよび身代金支払報告に必要な情報。 |
A covered entity must provide all the information identified in §§ 226.7, 226.8, and 226.9 in a Joint Covered Cyber Incident and Ransom Payment Report to the extent such information is available and applicable to the reported covered cyber incident and ransom payment. | 対象事業体は、226.7 条、226.8 条及び 226.9 条で識別されるすべての情報を、報告された対象サイ バーインシデント及び身代金支払いに適用可能な範囲で、共同対象サイバーインシデント及び身代金支払報告書に提供しなければならない。 |
§ 226.11 Required information for Supplemental Reports. | § 226.11 補足報告に必要な情報 |
(a) In general. A covered entity must include all of the information identified as required in § 226.7 and the following information in any Supplemental Report: | (a) 一般的に。対象事業体は、§ 226.7 で要求されている全ての情報、及び以下の情報を補足報告に含めなければならない: |
(1) The case identification number provided by CISA for the associated Covered Cyber Incident Report or Joint Covered Cyber Incident and Ransom Payment Report; | (1) 関連する対象サイバーインシデント報告書または共同対象サイバーインシデント及び身代金支払報告書について CISA が提供するケース識別番号; |
(2) The reason for filing the Supplemental Report; | (2) 補足報告を提出した理由; |
(3) Any substantial new or different information available about the covered cyber incident, including but not limited to information the covered entity was required to provide as part of a Covered Cyber Incident Report but did not have at the time of submission and information required under § 226.9 if the covered entity or another entity on the covered entity’s behalf has made a ransom payment after submitting a Covered Cyber Incident Report; and | (3) 対象事業体が、対象サイバーインシデント報告書の一部として提供することが要求されていたが、提出時には持っていなかった情報、及び対象事業体又は対象事業体に代わって身代金の支払いを行った事業体が対象サイバーインシデント報告書を提出した後に身代金の支払いを行った場合に第226.9条に基づき要求される情報を含むが、これらに限定されない、対象サイバーインシデントに関して入手可能な実質的に新しい又は異なる情報。 |
(4) Any other data or information required by the web-based CIRCIA Incident Reporting Form or any other manner and form of reporting authorized under § 226.6. | (4) ウェブベースの CIRCIA インシデント報告書、または第 226.6 条に基づき認可された報告 の他の方法および形式により要求されるその他のデータまたは情報。 |
(b) Required information for a Supplemental Report providing notice of a ransom payment made following submission of a Covered Cyber Incident Report. When a covered entity submits a Supplemental Report to notify CISA that the covered entity has made a ransom payment after submitting a related Covered Cyber Incident Report, the supplemental report must include the information required in § 226.9. | (b) 対象サイバーインシデント報告書の提出後に行われた身代金支払の通知を提供する補足報 告に必要な情報。対象事業体が、関連する対象サイバーインシデント報告書の提出後に身代金の支払いを行ったことを CISA に通知するために補足報告書を提出する場合、補足報告書には第 226.9 条で要求される情報が含まれていなければならない。 |
(c) Optional information to provide notification that a covered cyber incident has concluded. Covered entities that choose to submit a notification to CISA that a covered cyber incident has concluded and has been fully mitigated and resolved may submit optional information related to the conclusion of the covered cyber incident. | (c) 対象サイバーインシデントが終了したことを通知するためのオプション情報。対象となるサイバーインシデントが終結し、完全に低減及び解決された旨の通知を CISA に提出することを選択した対象事業体は、対象となるサイバーインシデントの終結に関連するオプション情報を提出することができる。 |
§ 226.12 Third party reporting procedures and requirements. | § 226.12 サードパーティ報告手順および要件 |
(a) General. A covered entity may expressly authorize a third party to submit a | (a) 一般。対象事業体は、第三者が対象事業体に関する CIRCIA 報告書を提出することを明示的に認可することができる。 |
CIRCIA Report on the covered entity’s behalf to satisfy the covered entity’s reporting obligations under § 226.3. The covered entity remains responsible for ensuring compliance with its reporting obligations under this part even when the covered entity has authorized a third party to submit a CIRCIA Report on the covered entity’s behalf. | 対象事業体は、226.3 条に基づく対象事業体の報告義務を満たすために、対象事業体に代わって CIRCIA 報告書を提出する権限を明示的に付与することができる。対象事業体は、対象事業体に代わって第三者が CIRCIA 報告書を提出することを認可した場 合でも、本編に基づく報告義務の遵守を確保する責任を負う。 |
(b) Procedures for third party submission of CIRCIA Reports. CIRCIA Reports submitted by third parties must comply with the reporting requirements and procedures for covered entities set forth in this part. | (b) 第三者による CIRCIA 報告書の提出手順。サードパーティが提出する CIRCIA 報告書は、本編に定める対象事業体の報告要件および手順に従わなければならない。 |
(c) Confirmation of express authorization required. For the purposes of compliance with the covered entity’s reporting obligations under this part, upon submission of a CIRCIA Report, a third party must confirm that the covered entity expressly authorized the third party to file the CIRCIA Report on the covered entity’s behalf. CIRCIA Reports submitted by a third party without an attestation from the third party that the third party has the express authorization of a covered entity to submit a report on the covered entity’s behalf will not be considered by CISA for the purposes of compliance of the covered entity’s reporting obligations under this part. | (c) 求められる明示的認可の確認。本編に基づく対象事業体の報告義務を遵守するため、CIRCIA 報告書を提出する際、第三者は、 対象事業体が、対象事業体に代わって CIRCIA 報告書を提出することを当該第三者に明示的 に認可したことを確認しなければならない。サードパーティが、対象事業体に代わって報告書を提出することを対象事業体から明示的に認可されていることをサードパーティが証明することなく提出したCIRCIA報告書は、本編に基づく対象事業体の報告義務の遵守を目的として、CISAにより考慮されない。 |
(d) Third party ransom payments and responsibility to advise a covered entity. A third party that makes a ransom payment on behalf of a covered entity impacted by a ransomware attack is not required to submit a Ransom Payment Report on behalf of itself for the ransom payment. When a third party knowingly makes a ransom payment on behalf of a covered entity, the third party must advise the covered entity of its obligations to submit a Ransom Payment Report under this part. | (d) 第三者による身代金の支払いと対象事業体への助言責任。ランサムウェア攻撃の影響を受けた対象事業体に代わって身代金支払いを行う第三者は、身代金支払いについて、自らに代わって身代金支払い報告書を提出する必要はない。第三者が、対象事業体に代わって故意に身代金の支払いを行う場合、当該第三者は、対象事業体に対し、本項に基づく身代金支払い報告書の提出義務を通知しなければならない。 |
§ 226.13 Data and records preservation requirements. | § 226.13 データおよび記録の保存要件 |
(a) Applicability. (1) A covered entity that is required to submit a CIRCIA Report under § 226.3 or experiences a covered cyber incident or makes a ransom payment but is exempt from submitting a CIRCIA Report pursuant to § 226.4(a) is required to preserve data and records related to the covered cyber incident or ransom payment in accordance with this section. | (a) 適用可能性。(1) 第 226.3 項に基づき CIRCIA 報告書の提出が義務付けられている、または対象となるサイバーインシデントを経験した、もしくは身代金支払いを行ったが第 226.4 項(a)に基づき CIRCIA 報告書の提出が免除されている対象事業体は、本項に基づき、対象となるサイバーインシデントまたは身代金支払いに関連するデータおよび記録を保存する必要がある。 |
(2) A covered entity maintains responsibility for compliance with the preservation requirements in this section regardless of whether the covered entity submitted a CIRCIA Report or a third party submitted the CIRCIA Report on the covered entity’s behalf. | (2) 対象事業体は、対象事業体が CIRCIA 報告書を提出したか、対象事業体に代わってサードパーティが CIRCIA 報告書を提出したかにかかわらず、本節の保存要件を遵守する責任を負う。 |
(b) Covered data and records. (1) A covered entity must preserve the following data and records: | (b) 対象データおよび記録。(1) 対象事業体は、以下のデータおよび記録を保存しなければならない: |
(i) Communications with any threat actor, including copies of actual correspondence, including but not limited to emails, texts, instant or direct messages, voice recordings, or letters; notes taken during any interactions; and relevant information on the communication facilities used, such as email or Tor site; | (i) 脅威行為者とのコミュニケーション(電子メール、テキスト、インスタントメッセージ、ダイレクトメッ セージ、音声記録、書簡を含むがこれらに限定されない)、対話中に取られたメモ、および電子メールや Tor サイトなど使用された通信設備に関する関連情報; |
(ii) Indicators of compromise, including but not limited to suspicious network traffic; suspicious files or registry entries; suspicious emails; unusual system logins; unauthorized accounts created, including usernames, passwords, and date/time stamps and time zones for activity associated with such accounts; and copies or samples of any malicious software; | (ii)不審なネットワークトラフィック、不審なファイルまたはレジストリエントリ、不審な電子メール、異常なシステムログイン、ユーザー名、パスワード、当該アカウントに関連するアクティビティの日付/タイムスタンプおよびタイムゾーンを含むがこれらに限定されない不正アカウントの作成、および悪意のあるソフトウェアのコピーまたはサンプルを含むがこれらに限定されない侵害の指標; |
(iii) Relevant log entries, including but not limited to, Domain Name System, firewall, egress, packet capture file, NetFlow, Security Information and Event Management/Security Information Management, database, Intrusion Prevention System/Intrusion Detection System, endpoint, Active Directory, server, web, Virtual Private Network, Remote Desktop Protocol, and Window Event; | (iii) ドメインネームシステム、ファイアウォール、イグジット、パケットキャプチャファイル、NetFlow、セキュリティ情報とイベント管理/セキュリティ情報管理、データベース、侵入防御システム/侵入検知システム、エンドポイント、Active Directory、サーバー、ウェブ、仮想プライベートネットワーク、リモートデスクトッププロトコル、ウィンドウイベントを含むがこれらに限定されない関連ログエントリ; |
(iv) Relevant forensic artifacts, including but not limited to live memory captures; forensic images; and preservation of hosts pertinent to the incident; | (iv) ライブメモリキャプチャ、フォレンジック画像、インシデントに関連するホストの保存を含むがこれらに限定されない、関連するフォレンジック成果物; |
(v) Network data, including but not limited to NetFlow or packet capture file, and network information or traffic related to the incident, including the Internet Protocol addresses associated with the malicious cyber activity and any known corresponding dates, timestamps, and time zones; | (v) ネットワークデータ(NetFlowまたはパケットキャプチャファイルを含むがこれに限定されない)、およびインシデントに関連するネットワーク情報またはトラフィック(悪意のあるサイバー活動に関連するインターネットプロトコルアドレス、および対応する既知の日付、タイムスタンプ、タイムゾーンを含む); |
(vi) Data and information that may help identify how a threat actor compromised or potentially compromised an information system, including but not limited to information indicating or identifying how one or more threat actors initially obtained access to a network or information system and the methods such actors employed during the incident; | (vi) 脅威行為者がどのようにして情報システムに侵入したのか、または侵入した可能性があるのかを特定するのに役立つデータおよび情報。これには、一人または複数の脅威行為者が最初にどのようにしてネットワークと情報システムにアクセスしたのか、およびインシデント中にそのような行為者がどのような方法を用いたのかを示す情報または特定する情報が含まれるが、これらに限定されない; |
(vii) System information that may help identify exploited vulnerabilities, including but not limited to operating systems, version numbers, patch levels, and configuration settings; | (vii) オペレーティング・システム、バージョン番号、パッチ・レベル、構成設定を含むがこれらに限定されない、悪用された脆弱性の特定に役立つシステム情報; |
(viii) Information about exfiltrated data, including but not limited to file names and extensions; the amount of data exfiltration by byte value; category of data exfiltrated, including but not limited to, classified, proprietary, financial, or personal information; and evidence of exfiltration, including but not limited to relevant logs and screenshots of exfiltrated data sent from the threat actor; | (viii) ファイル名および拡張子、バイト値ごとのデータ流出量、機密情報、専有情報、財務情報、個人情報など(ただしこれらに限定されない)流出したデータのカテゴリー、脅威行為者から送信された関連ログおよび流出したデータのスクリーンショットなど(ただしこれらに限定されない)流出の証拠を含む(ただしこれらに限定されない)流出したデータに関する情報; |
(ix) All data or records related to the disbursement or payment of any ransom payment, including but not limited to pertinent records from financial accounts associated with the ransom payment; and | (ix) 身代金の支払いに関連する金融口座の関連記録を含むがこれに限定されない、身代金 の支払いまたは支払いに関連するすべてのデータまたは記録。 |
(x) Any forensic or other reports concerning the incident, whether internal or prepared for the covered entity by a cybersecurity company or other third-party vendor. | (x) インシデントに関するフォレンジック報告書またはその他の報告書(社内のものであるか、サイバーセキュリティ会社またはその他のサードパーティが対象事業体のために作成したものであるかを問わない)。 |
(2) A covered entity is not required to create any data or records it does not already have in its possession based on this requirement. | (2) 対象事業体は、この要件に基づき、既に保有していないデータまたは記録を作成する必要はない。 |
(c) Required preservation period. Covered entities must preserve all data and records identified in paragraph (b) of this section: | (c) 必要とされる保存期間。対象事業体は、本項(b)に識別されるすべてのデータおよび記録を保存しなければならない: |
(1) Beginning on the earliest of the following dates: | (1) 以下の日付のうち最も早い日から開始する: |
(i) The date upon which the covered entity establishes a reasonable belief that a covered cyber incident occurred; or | (i) 対象事業体が、対象となるサイバーインシデントが発生したと合理的に判断した日。 |
(ii) The date upon which a ransom payment was disbursed; and | (ii) 身代金の支払いが行われた日。 |
(2) For no less than two years from the submission of the most recently required CIRCIA Report submitted pursuant to § 226.3, or from the date such submission would have been required but for the exception pursuant to § 226.4(a). | (2) 第 226.3 条に従って提出された直近に要求された CIRCIA 報告書の提出から、または第 226.4 条(a)に従った例外がなければ当該提出が要求されたであろう日から、2 年以上。 |
(d) Original data or record format. Covered entities must preserve data and records set forth in paragraph (b) of this section in their original format or form whether the data or records are generated automatically or manually, internally or received from outside sources by the covered entity, and regardless of the following: | (d) 元のデータまたは記録形式。対象事業体は、本項(b)に定めるデータ及び記録を、当該データ又は記録が自動的又は手動で生成されたものであるか、内部で生成されたものであるか、対象事業体が外部から受領したものであるかを問わず、また、以下のいずれであるかを問わず、元の形式又は形態で保存しなければならない: |
(1) Form or format, including hard copy records and electronic records; | (1) ハードコピー記録および電子記録を含む形式またはフォーマット; |
(2) Where the information is stored, located, or maintained without regard to the physical location of the information, including stored in databases or cloud storage, on network servers, computers, other wireless devices, or by a third-party on behalf of the covered entity; and | (2) データベースまたはクラウドストレージ、ネットワークサーバー、コンピュータ、その他の無線デバイス、または対象事業体に代わってサードパーティが保管するなど、情報の物理的な場所を問わず、情報が保管、配置、または維持されている場所。 |
(3) Whether the information is in active use or archived. | (3) 情報が現在使用中であるか、保管されているか。 |
(e) Storage, protection, and allowable use of data and records. (1) A covered entity may select its own storage methods, electronic or non-electronic, and procedures to maintain the data and records that must be preserved under this section. | (e) データ及び記録の保管、保護、及び許容される使用。(1) 対象事業体は、本項に基づき保存しなければならないデータ及び記録を維持するために、電子的又は非電子的な保存方法及び手順を自ら選択することができる。 |
(2) Data and records must be readily accessible, retrievable, and capable of being lawfully shared by the covered entity, including in response to a lawful government request. | (2) データおよび記録は、容易にアクセスでき、検索可能であり、かつ、政府の合法的な要請に応じる場合を含め、対象事業体が合法的に共有できるものでなければならない。 |
(3) A covered entity must use reasonable safeguards to protect data and records against unauthorized access or disclosure, deterioration, deletion, destruction, and alteration. | (3) 対象事業体は、不正なアクセスまたは開示、劣化、削除、破壊、および改ざんからデータおよび 記録を保護するために、合理的な保護措置を講じなければならない。 |
§ 226.14 Request for information and subpoena procedures. | § 226.14 情報要求および召喚手続き |
(a) In general. This section applies to covered entities, except a covered entity that qualifies as a State, Local, Tribal, or Territorial Government entity as defined in § 226.1. | (a) 一般的に。本条項は、226.1 条に定義される州、地方、部族、または準州の政府機関として適格である対象事業体を除 き、対象事業体に適用される。 |
(b) Use of authorities. When determining whether to exercise the authorities in this section, the Director or designee will take into consideration: | (b) 認可の使用。本項の権限を行使するかどうかを決定する際、局長または被指名人は、以下を考慮する: |
(1) The complexity in determining if a covered cyber incident has occurred; and | (1) 対象となるサイバーインシデントが発生したかどうかを判断する際の複雑さ。 |
(2) The covered entity’s prior interaction with CISA or the covered entity’s awareness of CISA’s policies and procedures for reporting covered cyber incidents and ransom payments. | (2) 対象事業体と CISA との事前のやりとり、または対象サイバーインシデントおよび身代金支払の 報告に関する CISA の方針および手続に対する対象事業体の認識。 |
(c) Request for information--(1) Issuance of request. The Director may issue a request for information to a covered entity if there is reason to believe that the entity experienced a covered cyber incident or made a ransom payment but failed to report the incident or payment in accordance with § 226.3. Reason to believe that a covered entity failed to submit a CIRCIA Report in accordance with § 226.3 may be based upon public reporting or other information in possession of the Federal Government, which includes but is not limited to analysis performed by CISA. A request for information will be served on a covered entity in accordance with the procedures in paragraph (e) of this section. | (c) 情報提供要請--(1) 要請の発行。局長(Director)は、対象事業体が対象となるサイバーインシデントを経験し又は身代金支払いを行ったが、226.3条に従ってインシデント又は支払いの報告を行わなかったと信じるに足る理由がある場合、対象事業体に対して情報提供要請を行うことができる。対象事業体が226.3条に従ったCIRCIA報告書を提出しなかったと信じる理由は、公的報告または連邦政府が保有するその他の情報(CISAが行った分析を含むがこれに限定されない)に基づくことができる。情報提供の要請は、本条(e)項の手続に従い、対象事業体に送達される。 |
(2) Form and contents of the request. At a minimum, a request for information must include: | (2) 要請の形式および内容。最低限、情報提供要請には以下が含まれなければならない: |
(i) The name and address of the covered entity; | (i) 対象事業体の名称及び住所; |
(ii) A summary of the facts that have led CISA to believe that the covered entity has failed to submit a required CIRCIA Report in accordance with § 226.3. This summary is subject to the nondisclosure provision in paragraph (f) of this section; | (ii) 対象事業体が第 226.3 条に従って要求される CIRCIA 報告書を提出しなかったと CISA が考えるに至った事実の概要。この概要は、本項(f)の非開示規定の対象となる; |
(iii) A description of the information requested from the covered entity. The Director, in his or her discretion, may decide the scope and nature of information necessary for CISA to confirm whether a covered cyber incident or ransom payment occurred. Requested information may include electronically stored information, documents, reports, verbal or written responses, records, accounts, images, data, data compilations, and tangible items; | (iii) 対象事業体に要求された情報の説明。局長は、その裁量で、対象となるサイバーインシデントまたは身代金支払いが発生したかどうかを CISA が確認するために必要な情報の範囲および性質を決定することができる。要求される情報には、電子的に保存された情報、文書、報告書、口頭または書面による回答、記録、口座、画像、データ、データ編集物、および有形物が含まれる; |
(iv) A date by which the covered entity must reply to the request for information; and | (iv) 対象事業体が情報要求に回答しなければならない期日。 |
(v) The manner and format in which the covered entity must provide all information requested to CISA. | (v) 対象事業体が要求された全ての情報をCISAに提供しなければならない方法及び形式。 |
(3) Response to request for information. A covered entity must reply in the manner and format, and by the deadline, specified by the Director. If the covered entity does not respond by the date specified in paragraph (c)(2)(iv) of this section or the Director determines that the covered entity’s response is inadequate, the Director, in his or her discretion, may request additional information from the covered entity to confirm whether a covered cyber incident or ransom payment occurred, or the Director may issue a subpoena to compel information from the covered entity pursuant to paragraph (d) of this section. | (3) 情報要求に対する回答。対象事業体は、長官が指定する方法及び形式で、期限までに回答しなければならない。対象事業体が本項(c)(2)(iv)で指定された期日までに回答しない場合、または所長が対象事業体の回答が不十分であると判断した場合、所長は、その裁量により、対象サイバーインシデントまたは身代金支払いが発生したかどうかを確認するために、対象事業体に追加情報を要求することができ、または所長は、本項(d)に従い、対象事業体に情報を強制するための召喚状を発行することができる。 |
(4) Treatment of information received. Information provided to CISA by a covered entity in a reply to a request for information under this section will be treated in accordance with §§ 226.18 and 226.19. | (4) 受領した情報の扱い。本項に基づく情報要求に対する回答として対象事業体から CISA に提供された情報は、第 226.18 条及び第 226.19 条に従って取り扱われる。 |
(5) Unavailability of Appeal. A request for information is not a final agency action within the meaning of 5 U.S.C. 704 and cannot be appealed. | (5) 不服申立ての不能。情報提供の要請は、合衆国法律集第 5 編第 704 条の意味における最終的な機関決定ではなく、上訴できない。 |
(d) Subpoena--(1) Issuance of subpoena. The Director may issue a subpoena to compel disclosure of information from a covered entity if the entity fails to reply by the date specified in paragraph (c)(2)(iv) of this section or provides an inadequate response, to a request for information. The authority to issue a subpoena is a nondelegable authority. A subpoena will be served on a covered entity in accordance with the procedures in paragraph (e) of this section. | (d) 召喚--(1) 召喚状の発行。事業体が本項(c)(2)(iv)で指定された期日までに回答しなかった場合、または不十分な回答をした場合、所長は、対象事業体からの情報開示を強制するために召喚状を発行することができる。召喚状を発行する認可は、委譲不可能な権限である。召喚状は、本項(e)の手続に従い、対象事業体に送達される。 |
(2) Timing of subpoena. A subpoena to compel disclosure of information from a covered entity may be issued no earlier than 72 hours after the date of service of the request for information. | (2) 召喚の時期。対象事業体からの情報開示を強制する召喚状は、情報要求の送達日から 72 時間以内に発 行することができる。 |
(3) Form and contents of subpoena. At a minimum, a subpoena must include: | (3) 召喚状の形式および内容。最低限、召喚状には以下が含まれなければならない: |
(i) The name and address of the covered entity; | (i) 対象事業体の名称及び住所; |
(ii) An explanation of the basis for issuance of the subpoena and a copy of the request for information previously issued to the covered entity, subject to the nondisclosure provision in paragraph (f) of this section; | (ii) 本項(f)の非開示規定に従うことを条件として、召喚状発行の根拠の説明及び対象事業体に対して以前に発行された情報提供要請の写し; |
(iii) A description of the information that the covered entity is required to produce. The Director, in his or her discretion, may determine the scope and nature of information necessary to determine whether a covered cyber incident or ransom payment occurred, obtain the information required to be reported under § 226.3, and to assess the potential impacts to national security, economic security, or public health and safety. Subpoenaed information may include electronically stored information, documents, reports, verbal or written responses, records, accounts, images, data, data compilations, and tangible items; | (iii) 対象事業体が提出を求められる情報の説明。局長は、その裁量において、対象となるサイバーインシデントまたは身代金の支払いが発生したかどうかを判断し、226.3条に基づき報告することが求められる情報を入手し、国家安全保障、経済安全保障、または公衆の健康と安全に対する潜在的な影響を評価するために必要な情報の範囲および性質を決定することができる。召喚される情報には、電子的に保存された情報、文書、報告書、口頭または書面による回答、記録、口座、画像、データ、データ編集物、および有形物が含まれる; |
(iv) A date by which the covered entity must reply; and | (iv) 対象事業体が回答しなければならない期日。 |
(v) The manner and format in which the covered entity must provide all information requested to CISA. | (v) 対象事業体が要求された全ての情報をCISAに提供しなければならない方法及び形式。 |
(4) Reply to the Subpoena. A covered entity must reply in the manner and format, and by the deadline, specified by the Director. If the Director determines that the information received from the covered entity is inadequate to determine whether a covered cyber incident or ransom payment occurred, does not satisfy the reporting requirements under § 226.3, or is inadequate to assess the potential impacts to national security, economic security, or public health and safety, the Director may request or subpoena additional information from the covered entity or request civil enforcement of a subpoena pursuant to § 226.15. |
(4) 召喚状に対する回答。対象事業体は、局長が指定する方法および様式で、期限までに回答しなければならない。監督官が、対象事業体から受領した情報が、対象となるサイバーインシデントまたは身代金の支払いが発生したかどうかを判断するのに不十分である、226.3条に基づく報告要件を満たしていない、または国家安全保障、経済安全保障、または公衆の健康と安全に対する潜在的な影響を評価するのに不十分であると判断した場合、監督官は、226.15条に従って、対象事業体に追加情報を要求または召喚するか、召喚の民事執行を要求することができる。 |
(5) Authentication requirement for electronic subpoenas. Subpoenas issued electronically must be authenticated with a cryptographic digital signature of an authorized representative of CISA or with a comparable successor technology that demonstrates the subpoena was issued by CISA and has not been altered or modified since issuance. Electronic subpoenas that are not authenticated pursuant to this subparagraph are invalid. | (5) 電子召喚状の本人認証要件。電子的に発行された召喚状は、CISAの認可を受けた代表者の暗号デジタル署名、または召喚状がCISAによって発行され、発行後に変更または修正されていないことを証明する同等の後継技術で認証されなければならない。本号に従って認証されない電子召喚状は無効である。 |
(6) Treatment of information received in response to a subpoena--(i) In general. Information obtained by subpoena is not subject to the information treatment requirements and restrictions imposed within § 226.18 and privacy and procedures for protecting privacy and civil liberties in § 226.19; and | (6) 召喚に応じて受領した情報の扱い--(i) 一般的に。召喚状によって入手された情報は、226.18 条で課された情報防御の要件および制限、ならびに 226.19 条のプライバシーおよび市民的自由の保護のためのプライバシーおよび手続きの対象とはならない。 |
(ii) Provision of certain information for criminal prosecution and regulatory enforcement proceedings. The Director may provide information submitted in response to a subpoena to the Attorney General or the head of a Federal regulatory agency if the Director determines that the facts relating to the cyber incident or ransom payment may constitute grounds for criminal prosecution or regulatory enforcement action. The Director may consult with the Attorney General or the head of the appropriate Federal regulatory agency when making any such determination. Information provided by CISA under this paragraph (d)(6)(ii) may be used by the Attorney General or the head of a Federal regulatory agency for criminal prosecution or a regulatory enforcement action. Any decision by the Director to exercise this authority does not constitute final agency action within the meaning of 5 U.S.C. 704 and cannot be appealed. | (ii) 刑事訴追および規制執行手続きのための特定の情報の提供。局長は、サイバーインシデントまたは身代金支払いに関連する事実が刑事訴追または規制執行措置の根拠となり得ると判断した場合、召喚に応じて提出された情報を司法長官または連邦規制機関の長に提供することができる。長官は、そのような判断を下す際に、司法長官または該当する連邦規制機関の長と協議することができる。本項(d)(6)(ii)に基づきCISAが提供した情報は、司法長官または連邦規制機関の長が刑事訴追または規制執行措置のために使用することができる。この認可を行使する長官による決定は、合衆国法律集(U.S.C.)5.704の意味における最終的な機関決定を構成せず、上訴できない。 |
(7) Withdrawal and appeals of subpoena issuance--(i) In general. CISA, in its discretion, may withdraw a subpoena that is issued to a covered entity. Notice of withdrawal of a subpoena will be served on a covered entity in accordance with the procedures in paragraph (e) of this section. | (7) 召喚状発行の撤回及び上訴--(i) 一般的に。CISAは、その裁量により、対象事業体に対して発行された召喚状を撤回することができる。召喚状取下げの通知は、本項(e)の手続きに従い対象事業体に送達される。 |
(ii) Appeals of subpoena issuance. A covered entity may appeal the issuance of a subpoena through a written request that the Director withdraw it. A covered entity, or a representative on behalf of the covered entity, must file a Notice of Appeal within seven | (ii) 召喚状発行に対する不服申立。対象事業体は、局長が召喚状を撤回するよう書面で要請することにより、召喚状の発 行に不服を申し立てることができる。対象事業体または対象事業体を代表する代表者は、召喚状の送達後 7 暦日以内に異議申立書を提出しなければならない。 |
(7) calendar days after service of the subpoena. All Notices of Appeal must include: | (7)暦日以内に提出しなければならない。すべての異議告知には、以下が含まれなければならない: |
(A) The name of the covered entity; | (A) 対象事業体の名称; |
(B) The date of subpoena issuance; | (B) 召喚状が発行された日付; |
(C) A clear request that the Director withdraw the subpoena; | (C) ディレクターが召喚状を撤回することを求める明確な要求; |
(D) The covered entity’s rationale for requesting a withdrawal of the subpoena; and | (D) 召喚状の撤回を要請する事業体の根拠。 |
(E) Any additional information that the covered entity would like the Director to consider as part of the covered entity’s appeal. | (E)対象事業体が、対象事業体の不服申立ての一部として、院長に考慮することを望む追加情報。 |
(iii) Director’s final decision. Following receipt of a Notice of Appeal, the Director will issue a final decision and serve it upon the covered entity. A final decision made by the Director constitutes final agency action. If the Director’s final decision is to withdraw the subpoena, a notice of withdrawal of a subpoena will be served on the covered entity in accordance with the procedures in § 226.14(e). | (iii) 院長の最終決定。不服申立通知の受領後、院長は最終決定を下し、対象事業体に送達する。局長による最終決定は、最終的な機関決定を構成する。局長の最終決定が召喚状の取り下げである場合、召喚状の取り下げ通知は、226.14条(e)の手続きに従って対象事業体に送達される。 |
(e) Service--(1) covered entity point of contact. A request for information, subpoena, or notice of withdrawal of a subpoena may be served by delivery on an officer, managing or general agent, or any other agent authorized by appointment or law to receive service of process on behalf of the covered entity. | (e) サービス--(1) 対象事業体の連絡先。情報提供の要請、召喚状、又は召喚状の撤回通知は、対象事業体のために送達を受 け取る権限を任命又は法律により付与された役員、経営代理人又は一般代理人、又はその他の 代理人に送達することができる。 |
(2) Method of service. Service of a request for information, subpoena, or notice of withdrawal of a subpoena will be served on a covered entity through a reasonable electronic or non-electronic attempt that demonstrates receipt, such as certified mail with return receipt, express commercial courier delivery, or electronically. | (2) 送達方法。情報提供要請、召喚状、または召喚状の撤回通知の送達は、配達証明付配達証明郵便、速達商 業宅配便、または電子的方法など、受領を証明する合理的な電子的または非電子的方法によ り、対象事業体に送達される。 |
(3) Date of service. The date of service of any request for information, subpoena, or notice of withdrawal of a subpoena shall be the date on which the document is mailed, electronically transmitted, or delivered in person, whichever is applicable. | (3) 送達日。情報要求、召喚状、または召喚状の撤回通知の送達日は、文書が郵送された日、電子的に送信された日、または直接交付された日のいずれか該当する日とする。 |
(f) Nondisclosure of certain information. In connection with the procedures in this section, CISA will not disclose classified information as defined in Section 1.1(d) of E.O. 12968 and reserves the right to not disclose any other information or material that is protected from disclosure under law or policy. | (f) 特定の情報の非開示。本セクションの手続きに関連して、CISAは、E.O.12968のセクション1.1(d)に定義される機密情報を開示せず、また、法律または政策により開示から保護されるその他の情報または資料を開示しない権利を留保する。 |
§ 226.15 Civil enforcement of subpoenas. | § 226.15 召喚状の民事執行 |
(a) In general. If a covered entity fails to comply with a subpoena issued pursuant to § 226.14(d), the Director may refer the matter to the Attorney General to bring a civil action to enforce the subpoena in any United States District Court for the judicial district in which the covered entity resides, is found, or does business. | (a) 一般的に。対象事業体が§226.14(d)に従って発布された召喚令状に従わない場合、局長は、対象事業体が居住し、所在し、または事業を行っている司法地区の米国連邦地方裁判所において召喚令状を執行する民事訴訟を提起するために、司法長官に事案を照会することができる。 |
(b) Contempt. A United States District Court may order compliance with the subpoena and punish failure to obey a subpoena as a contempt of court. | (b) 法廷侮辱罪。米国地方裁判所は、召喚状の遵守を命じ、召喚状に従わない場合は法廷侮辱罪として処罰することができる。 |
(c) Classified and protected information. In any review of an action taken under § 226.14, if the action was based on classified or protected information as described in § 226.14(f), such information may be submitted to the reviewing court ex parte and in camera. This paragraph does not confer or imply any right to review in any tribunal, judicial or otherwise. | (c) 機密情報および保護情報。226.14条に基づき行われた措置の審査において、当該措置が226.14条(f)に記載される機密情報または保護情報に基づくものであった場合、当該情報は、審査裁判所に一方的かつ非公開で提出することができる。この段落は、司法、その他を問わず、いかなる法廷における再審査の権利を付与するものでも示唆するものでもない。 |
§ 226.16 Referral to the Department of Homeland Security Suspension and Debarment Official. | § 226.16 国土安全保障省の資格停止および資格剥奪担当省への照会 |
The Director must refer all circumstances concerning a covered entity’s noncompliance that may warrant suspension and debarment action to the Department of Homeland Security Suspension and Debarment Official. | 局長は、一時停止および資格剥奪措置が正当化される可能性のある、対象事業体の不遵守に関す るすべての状況を、国土安全保障省の一時停止および資格剥奪担当省に照会しなければならない。 |
§ 226.17 Referral to Cognizant Contracting Official or Attorney General. | § 226.17 契約担当官または司法長官への照会 |
The Director may refer information concerning a covered entity’s noncompliance with the reporting requirements in this part that pertain to performance under a federal procurement contract to the cognizant contracting official or the Attorney General for civil or criminal enforcement. | 局長は、連邦調達契約の履行に関連する、本編の報告要件に対する対象事業体の不遵守に関す る情報を、民事上又は刑事上の執行のため、管轄の契約担当官又は司法長官に照会することができる。 |
§ 226.18 Treatment of information and restrictions on use. | § 226.18 情報の取扱い及び使用制限 |
(a) In general. The protections and restrictions on use enumerated in this section apply to CIRCIA Reports and information included in such reports where specified in this section, as well as to all responses provided to requests for information issued under § 226.14(c). This section does not apply to information and reports submitted in response to a subpoena issued under § 226.14(d) or following Federal government action under §§ 226.15-226.17. | (a) 一般的に。本条に列挙された防御および使用制限は、226.14 条(c)に基づき発行された情報要求に対して提供されたすべての回答と同様に、CIRCIA 報告書および本条に規定された当該報告書に含まれる情報に適用される。本条は、226.14条(d)に基づき、または226.15条から226.17条に基づく政府の措置に基づき、召喚に応じて提出された情報および報告書には適用されない。 |
(b) Treatment of information--(1) Designation as commercial, financial, and proprietary information. A covered entity must clearly designate with appropriate markings at the time of submission a CIRCIA Report, a response provided to a request for information issued under § 226.14(c), or any portion of a CIRCIA Report or a response provided to a request for information issued under § 226.14(c) that it considers to be commercial, financial, and proprietary information. CIRCIA Reports, responses provided to a request for information issued under § 226.14(c), or designated portions thereof, will be treated as commercial, financial, and proprietary information of the covered entity upon designation as such by a covered entity. | (b) 情報の扱い--(1) 商業情報、財務情報、専有情報としての指定。対象事業体は、CIRCIA 報告書、226.14 条(c)に基づき発行された情報要求に提供された回答、または CIRCIA 報告書もしくは 226.14条(c)に基づき発行された情報要求に提供された回答のうち、商業情報、財務情報、専有情報であるとみなされる部分を、提出時に適切な表示で明確に指定しなければならない。CIRCIA 報告書、226.14 条(c)に基づき発行された情報要求に提供された回答、またはその指定された部分は、対象事業体によりそのように指定された場合、対象事業体の商業的、財務的、専有情報として扱われる。 |
(2) Exemption from disclosure under the Freedom of Information Act. CIRCIA Reports submitted pursuant to this part and responses provided to requests for information issued under § 226.14(c) are exempt from disclosure under the Freedom of Information Act, 5 U.S.C. 552(b)(3), and under any State, Local, or Tribal government freedom of information law, open government law, open meetings law, open records law, sunshine law, or similar law requiring disclosure of information or records. If CISA receives a request under the Freedom of Information Act to which a CIRCIA Report, response to a request for information under § 226.14(c), or information contained therein is responsive, CISA will apply all applicable exemptions from disclosure, consistent with 6 CFR part 5. | (2) 情報公開法に基づく開示の免除。本編に従って提出された CIRCIA 報告書、および第 226.14 条(c)に基づき発行された情報要求に対するプロバイダ の回答は、情報公開法(5 U.S.C. 552(b)(3))、および州、地方、または部族政府の情報公開法、公開政府法、公開会議法、公開記録法、日照 法、または情報もしくは記録の開示を要求する類似の法律に基づき、開示が免除される。CISAが、CIRCIA報告書、§226.14(c)に基づく情報要求に対する回答、又はそこに含まれる情報が応 答する情報公開法に基づく要求を受けた場合、CISAは、6CFRパート5に従い、適用されるすべての開示免除を適 用する。 |
(3) No Waiver of Privilege. A covered entity does not waive any applicable privilege or protection provided by law, including trade secret protection, as a consequence of submitting a CIRCIA Report under this part or a response to a request for information issued under § 226.14(c). | (3) 特権を放棄しない。対象事業体は、本編に基づく CIRCIA 報告書の提出又は第 226.14 条(c)に基づき発行された情 報要求に対する回答により、企業秘密保護を含む適用法上の特権又は保護を放棄しない。 |
(4) Ex parte communications waiver. CIRCIA Reports submitted pursuant to this part and responses provided to requests for information issued under § 226.14(c) are not subject to the rules or procedures of any Federal agency or department or any judicial doctrine regarding ex parte communications with a decision-making official. | (4) 一方的コミュニケーションの放棄。本編に基づき提出された CIRCIA 報告書、および第 226.14(c)条に基づき発行された情報要求に対するプロバイダは、連邦政府機関や省庁の規則や手続き、あるいは意思決定担当者との一方的なコミュニケーションに関する司法教義の適用を受けない。 |
(c) Restrictions on use--(1) Prohibition on use in regulatory actions. Federal, State, Local, and Tribal Government entities are prohibited from using information obtained solely through a CIRCIA Report submitted under this part or a response to a request for information issued under § 226.14(c) to regulate, including through an enforcement proceeding, the activities of the covered entity or the entity that made a ransom payment on the covered entity’s behalf, except: | (c) 使用の制限--(1) 規制措置における使用の禁止。連邦、州、地方、および部族政府機関は、本編に基づき提出された CIRCIA 報告書、または第 226.14 条(c)に基づき発行された情報要求に対する回答書を通じてのみ入手した情報を、対象事業体または対象事業体に代わって身代金支払を行った事業体の活動を、強制手続を通じた場合を含め、規制するために使用することは禁止されている: |
(i) If the Federal, State, Local, or Tribal Government entity expressly allows the entity to meet its regulatory reporting obligations through submission of reports to CISA; or | (i) 連邦政府、州政府、地方政府、又は部族政府機関が、CISAへの報告書の提出を通じて事業体が規制 報告義務を果たすことを明示的に認めている場合。 |
(ii) Consistent with Federal or State regulatory authority specifically relating to the prevention and mitigation of cybersecurity threats to information systems, a CIRCIA Report or response to a request for information issued under § 226.14(c) may inform the development or implementation of regulations relating to such systems. | (ii) 情報システムに対するサイバーセキュリティの脅威の防止及び軽減に特に関連する連邦又は州 の認可に基づき、CIRCIA 報告書又は第 226.14 条(c)に基づき発行された情報要求に対する回答が、当該シス テムに関連する規制の策定又は実施に情報を提供する場合がある。 |
(2) Liability protection--(i) No cause of action. No cause of action shall lie or be maintained in any court by any person or entity for the submission of a CIRCIA Report or a response to a request for information issued under § 226.14(c) and must be promptly dismissed by the court. This liability protection only applies to or affects litigation that is solely based on the submission of a CIRCIA Report or a response provided to a request for information issued under § 226.14(c). | (2) 責任の保護--(i) 訴因はない。CIRCIA 報告書の提出または第 226.14(c)節に基づき発行された情報要求に対する回答を理由として、いかなる個人または事業体も、いかなる裁判所においても訴因を有し、または維持することはできず、裁判所により速やかに却下されなければならない。この防御は、CIRCIA 報告書の提出、または§226.14(c)に基づき発行された情報要求に対する回答書のプロバイダのみに基づく訴訟にのみ適用される。 |
(ii) Evidentiary and discovery bar for reports. CIRCIA Reports submitted under this part, responses provided to requests for information issued under § 226.14(c), or any communication, document, material, or other record, created for the sole purpose of preparing, drafting, or submitting CIRCIA Reports or responses to requests for information issued under § 226.14(c), may not be received in evidence, subject to discovery, or otherwise used in any trial, hearing, or other proceeding in or before any court, regulatory body, or other authority of the United States, a State, or a political subdivision thereof. This bar does not create a defense to discovery or otherwise affect the discovery of any communication, document, material, or other record not created for the sole purpose of preparing, drafting, or submitting a CIRCIA Report under this part or a response to a request for information issued under § 226.14(c). | (ii) 報告書の証拠開示および証拠開示の禁止。本条に基づき提出された CIRCIA 報告書、226.14 条(c)に基づき発行された情報要求に対する回答、または CIRCIA 報告書もしくは 226.14条(c)に基づき発行された情報要求に対する回答を作成、ドラフト、提出することのみを目的として作成されたコミュニケーション、文書、資料、その他の記録は、米国、州、またはその政治的小部門の裁判所、規制団体、その他の当局における、またはそれらに対する裁判、聴聞会、その他の手続において、証拠として受理されたり、証拠開示の対象とされたり、その他の方法で使用されたりすることはできない。この禁止は、本項に基づく CIRCIA 報告書の作成、ドラフト、提出、または第 226.14 条(c)に基づき発行された情報要求に対する回答のみを目的として作成されたものでないコミュニケーション、文書、資料、またはその他の記録の証拠開示に対する抗弁を生じさせたり、または証拠開示に影響を及ぼすものではない。 |
(iii) Exception. The liability protection provided in paragraph (c)(2)(i) of this section does not apply to an action taken by the Federal government pursuant to § 226.15. | (iii) 例外。本条第(c)項(2)(i)に定める防御は、226.15 条に基づき連邦政府によって行われる措置には適用されない。 |
(3) Limitations on authorized uses. Information provided to CISA in a CIRCIA Report or in a response to a request for information issued under § 226.14(c) may be disclosed to, retained by, and used by any Federal agency or department, component, officer, employee, or agent of the Federal Government, consistent with otherwise applicable provisions of Federal law, solely for the following purposes: | (3) 認可用途の制限。CIRCIA 報告書において、または第 226.14(c)条に基づき発行された情報要求に対する回答書において CISA に提供された情報は、連邦法のその他の適用法に基づき、連邦政府 のいかなる機関もしくは部局、構成機関、役員、職員、または代理人に対しても、以下の目的のためにのみ開示、保 管、使用することができる: |
(i) A cybersecurity purpose; | (i) サイバーセキュリティ目的; |
(ii) The purpose of identifying a cybersecurity threat, including the source of the cybersecurity threat, or a security vulnerability; | (ii) サイバーセキュリティの脅威(サイバーセキュリティの脅威の発生源を含む)またはセキュリティの脆弱性を識別する目的; |
(iii) The purpose of responding to, or otherwise preventing or mitigating, a specific threat of: | (iii) 特定の脅威への対応、または予防もしくは低減を目的とする: |
(A) Death; | (A) 死亡; |
(B) Serious bodily harm; or | (B) 重大な身体的危害、または |
(C) Serious economic harm; | (C) 深刻な経済的被害; |
(iv) The purpose of responding to, investigating, prosecuting, or otherwise preventing or mitigating a serious threat to a minor, including sexual exploitation and threats to physical safety; or | (iv) 未成年者に対する重大な脅威(性的搾取、身体の安全に対する脅威を含む)に対応、調査、訴追、またはその他の方法で防止もしくは軽減する目的。 |
(v) The purpose of preventing, investigating, disrupting, or prosecuting an offense: | (v) 犯罪を防止、調査、妨害、起訴する目的: |
(A) Arising out of events required to be reported in accordance with § 226.3; | (A) 第 226.3 項に従って報告することが義務付けられている事象に起因する; |
(B) Described in 18 U.S.C. 1028 through 1030 relating to fraud and identity theft; | (B) 詐欺および ID 窃盗に関する合衆国法律集第 18 編第 1028 条から第 1030 条に記述されているもの; |
(C) Described in 18 U.S.C. chapter 37 relating to espionage and censorship; or | (C) スパイ活動および検閲に関する合衆国法律集第 18 編第 37 章に記述されているもの。 |
(D) Described in 18 U.S.C. 90 relating to protection of trade secrets. | (D) 企業秘密の保護に関する合衆国法律集第 18 編第 90 章に記述されているもの。 |
§ 226.19 Procedures for protecting privacy and civil liberties. | § 226.19 プライバシーおよび市民の自由を保護するための防御手順 |
(a) In general. The use of personal information received in CIRCIA Reports and in responses provided to requests for information issued under § 226.14(c) is subject to the procedures described in this section for protecting privacy and civil liberties. CISA will ensure that privacy controls and safeguards are in place at the point of receipt, retention, use, and dissemination of a CIRCIA Report. The requirements in this section do not apply to personal information submitted in response to a subpoena issued under § 226.14(d) or following Federal government action under §§ 226.15 through 226.17. | (a) 一般的に。CIRCIA レポートで受領した個人情報及び§226.14(c)に基づき発行された情報要求に対する回答で受領した個人情報の 使用は、プライバシー及び市民の自由を保護するために本条に記載された手続きに従う。CISA は、CIRCIA 報告書の受領、保管、使用、配布の時点でプライバシー管理と保護措置が実施されていることを保証する。本条項の要件は、226.14条(d)に基づき発行された召喚状に応じて、又は226.15条から226.17条に基づく政府の措置を受けて提出された個人情報には適用されない。 |
(b) Instructions for submitting personal information. A covered entity should only include the personal information requested by CISA in the web-based CIRCIA Incident Reporting Form or in the request for information and should exclude unnecessary personal information from CIRCIA Reports and responses to requests for information issued under § 226.14(c). | (b) 個人情報の提出に関する指示。対象事業体は、CISA が要求した個人情報のみをウェブベースの CIRCIA インシデント報告書又は情報要求に含めるべきであり、CIRCIA 報告書及び第 226.14条(c)に基づき発行された情報要求に対する回答からは不要な個人情報を除外すべきである。 |
(c) Assessment of personal information. CISA will review each CIRCIA Report and response to request for information issued under § 226.14(c) to determine if the report contains personal information other than the information requested by CISA and whether the personal information is directly related to a cybersecurity threat. Personal information directly related to a cybersecurity threat includes personal information that is necessary to detect, prevent, or mitigate a cybersecurity threat. | (c) 個人情報の評価 CISA は、226.14(c)に基づき発行された各 CIRCIA 報告書及び情報要求に対する回答書をレビューし、報告書に CISA が要求した情報以外の個人情報が含まれているかどうか、及び当該個人情報がサイバーセキュリティ上の脅威に直接関連しているかどうかを判断する。サイバーセキュリティの脅威に直接関連する個人情報には、サイバーセキュリティの脅威を検 出、防止又は軽減するために必要な個人情報が含まれる。 |
(1) If CISA determines the personal information is not directly related to a cybersecurity threat, nor necessary for contacting a covered entity or report submitter, CISA will delete the personal information from the CIRCIA Report or response to request for information. covered entity or report submitter contact information, including information of third parties submitting on behalf of an entity, will be safeguarded when retained and anonymized prior to sharing the report outside of the federal government unless CISA receives the consent of the individual for sharing personal information and the personal information can be shared without revealing the identity of the covered entity. | (1)CISAが、個人情報がサイバーセキュリティの脅威に直接関係せず、対象事業体または報告書提出者と の連絡にも必要でないと判断した場合、CISAはCIRCIA報告書または情報要求に対する回答から当該個 人情報を削除する。対象事業体または報告書提出者の連絡先情報は、事業体に代わって提出するサードパーティ の情報を含め、CISAが個人情報の共有について本人の同意を受け、対象事業体の身元を明らかにすることな く個人情報を共有できる場合を除き、連邦政府外で報告書を共有する前に保持され匿名化された状態で保護さ れる。 |
(2) If the personal information is determined to be directly related to a cybersecurity threat, CISA will retain the personal information and may share it consistent with § 226.18 of this part and the guidance described in paragraph (d) of this section. | (2) 個人情報がサイバーセキュリティの脅威に直接関連すると判断された場合、CISAは個人情報を保持 し、本編第226.18条及び本項(d)に記載されるガイダンスに従って共有することができる。 |
(d) Privacy and civil liberties guidance. CISA will develop and make publicly available guidance relating to privacy and civil liberties to address the retention, use, and dissemination of personal information contained in Covered Cyber Incident Reports and Ransom Payment Reports by CISA. The guidance shall be consistent with the need to protect personal information from unauthorized use or disclosure, and to mitigate cybersecurity threats. | (d) プライバシー及び市民的自由のガイダンス。CISA は、CISA による対象サイバーインシデント報告書および身代金支払報告書に含まれる個人情報の保 持、使用、および配布に対処するため、プライバシーおよび市民的自由に関する指針を策定し、公 開する。ガイダンスは、個人情報を不正使用または不正開示から保護し、サイバーセキュリティの脅威を低減する必要性に合致したものでなければならない。 |
(1) One year after the publication of the guidance, CISA will review the effectiveness of the guidance to ensure that it appropriately governs the retention, use, and dissemination of personal information pursuant to this part and will perform subsequent reviews periodically. | (1) ガイダンスの公表から1年後、CISAは、ガイダンスが本編に従った個人情報の保持、使用及び普及を適切に ガバナンスしていることを確認するため、ガイダンスの有効性をレビューし、その後も定期的にレ ビューを実施する。 |
(2) The Chief Privacy Officer of CISA will complete an initial review of CISA’s compliance with the privacy and civil liberties guidance approximately one year after the effective date of this part and subsequent periodic reviews not less frequently than every three years. | (2) CISAのチーフ・プライバシー・オフィサーは、本編の発効日から約1年後にCISAのプライバシー及び市民的自由のガイダンスへの準拠の初期レビューを完了し、その後3年ごとを下回らない頻度で定期レビューを実施する。 |
§ 226.20 Other procedural measures. | § 226.20 その他の手続き上の措置 |
(a) Penalty for false statements and representations. Any person that knowingly and willfully makes a materially false or fraudulent statement or representation in connection with, or within, a CIRCIA Report, response to a request for information, or response to an administrative subpoena is subject to the penalties under 18 U.S.C. 1001. (b) Severability. CISA intends the various provisions of this part to be severable from each other to the extent practicable, such that if a court of competent jurisdiction were to vacate or enjoin any one provision, the other provisions are intended to remain in effect unless they are dependent upon the vacated or enjoined provision. | (a) 虚偽の陳述および表明に対する罰則。意図的かつ故意に、CIRCIA 報告書、情報要求に対する回答、または行政召喚に対する回答に 関連して、またはその中で、重大な虚偽または詐欺的な陳述または表明を行った者は、合衆国法律集第 18 編第 1001 条に基づく罰則の対象となる。(b) 分離可能性。CISA は、本編の各条項を、実務上可能な範囲で互いに分離可能なものとすることを意図しており、管轄権を有 する裁判所がいずれかの条項を破棄または差し止めた場合でも、他の条項は、破棄または差し止められた条項 に依存しない限り、効力を維持することを意図している。 |
______________________ | ______________________ |
Jennie M. Easterly, | ジェニー・M・イースタリー |
Director, | 所長 |
Cybersecurity and Infrastructure Security Agency, Department of Homeland Security. | 国土安全保障省サイバーセキュリティ・インフラセキュリティ庁長官 ジェニー・M・イースターリー。 |
[FR Doc. 2024-06526 Filed: 3/27/2024 8:45 am; Publication Date: 4/4/2024] | [FR Doc. 2024-06526 Filed: 3/27/2024 8:45 am; Publication Date: 4/4/2024]. |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択
・2022.09.14 米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集 (2022.09.09)
・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...
« 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0 | Main | 米国 連邦政府機関の人工知能利用におけるガバナンス、イノベーション、リスク管理を推進するためのOMBの方針 »
Comments