こんにちは、丸山満彦です。
5月27日月曜日から6月2日日曜日までは、「個人情報を考える週間」ですね...
委員長の藤原先生の写真、若いですね...(^^)
● 個人情報保議委員会
・2024.05.27 令和6年度「個人情報を考える週間」について
・[PDF] 令和6年度「個人情報を考える週間」
ウェブページ...
目次...
過去の取り組み...
こんにちは、丸山満彦です。
Appleが、来春の後半より、Appleウォレットにマイナンバーカードを追加して、対面またはiOSのアプリ上で安全に提示できるようになるとアナウンスしていますね...
アンドロイド端末はすでに開始されています(デジタル庁)ので、2年遅れということになるのでしょうが、日本のスマフォシェア割合(KANTAR)は、アンドロイド:アイフォン=6:4くらいです。。。米国は5:5なんですね。。。
スマホで完結というのが便利なんですよね...
● Apple Japan
・2024.05.30 Apple、日本でのAppleウォレットの身分証明書機能の展開を発表、米国外で初
Appleは、日本のデジタル庁と協力し、来春の後半から日本に住むみなさんがAppleウォレットでマイナンバーカードを利用できるよう準備を進めています。Appleウォレットの身分証明書機能を米国外で展開するのは日本が初となります。この機能によって日本に住むみなさんは、iPhoneのAppleウォレットにマイナンバーカードをシームレスに追加し、物理的なカードと同じようにコンビニエンスストアで公的な証明書等を発行したり、「マイナポータル」iOSアプリにアクセスしてオンラインの行政サービスを受けるなど、常にiPhoneのセキュリティ、利便性とともに、安全に利用できるようになります。
...
Appleウォレットの身分証明書は、モバイルデバイスで身分証明書や運転免許証を提示する際の消費者のプライバシー保護について明確なガイドラインを定めているISO 18013-5シリーズとISO 23220シリーズの規格に対応しています。
こんにちは、丸山満彦です。
米国NISTが、AIの社会技術試験・評価を推進する新プログラム「AIのリスクと影響の評価 (ARIA)」を開始したと公表していますね... Ver. 0.1 (^^)
昨年の10月30日のAI大統領令がでて、連邦政府はいろいろと進んでいますね。。。まぁPresidentの命令ですからね...
ロードマップ...
● NIST
・2024.05.28 NIST Launches ARIA, a New Program to Advance Sociotechnical Testing and Evaluation for AI
| NIST Launches ARIA, a New Program to Advance Sociotechnical Testing and Evaluation for AI | NIST、AIの社会技術試験と評価を推進する新プログラム「ARIA」を開始 |
| ・NIST’s new Assessing Risks and Impacts of AI (ARIA) program will assess the societal risks and impacts of artificial intelligence systems (i.e., what happens when people interact with AI regularly in realistic settings). | NISTの新しいアセスメント・プログラム(ARIA:Assessing Risks and Impacts of AI)は、人工知能システムの社会的リスクと影響(すなわち、現実的な環境で人々がAIと定期的に相互作用した場合に何が起こるか)を評価する。 |
| ・The program will help develop ways to quantify how a system functions within societal contexts once it is deployed. | このプログラムは、システムが社会的文脈の中でどのように機能するかを定量化する方法の開発を支援する。 |
| ・ARIA’s results will support the U.S. AI Safety Institute’s testing to help build the foundation for trustworthy AI systems. | ARIAの成果は、米国AI安全研究所のテストを支援し、信頼できるAIシステムの基盤構築を支援する。 |
| The National Institute of Standards and Technology (NIST) is launching a new testing, evaluation, validation and verification (TEVV) program intended to help improve understanding of artificial intelligence’s capabilities and impacts. | 国立標準技術研究所(NIST)は、人工知能の能力と影響に関する理解を深めることを目的とした新しい試験・評価・検証(TEVV)プログラムを開始する。 |
| Assessing Risks and Impacts of AI (ARIA) aims to help organizations and individuals determine whether a given AI technology will be valid, reliable, safe, secure, private and fair once deployed. The program comes shortly after several recent announcements by NIST around the 180-day mark of the Executive Order on trustworthy AI and the U.S. AI Safety Institute’s unveiling of its strategic vision and international safety network. | AIのリスクと影響のアセスメント(ARIA)は、あるAI技術が導入された後、有効で、信頼性があり、安全で、プライバシーが守られ、公正であるかどうかを、組織や個人が判断できるようにすることを目的としている。このプログラムは、信頼できるAIに関する大統領令の180日という節目にNISTが最近発表したいくつかの発表や、米国AI安全研究所が戦略的ビジョンと国際安全ネットワークを発表した直後に実施される。 |
| “In order to fully understand the impacts AI is having and will have on our society, we need to test how AI functions in realistic scenarios — and that’s exactly what we’re doing with this program,” said U.S. Commerce Secretary Gina Raimondo. “With the ARIA program, and other efforts to support Commerce’s responsibilities under President Biden’s Executive Order on AI, NIST and the U.S. AI Safety Institute are pulling every lever when it comes to mitigating the risks and maximizing the benefits of AI.” | 「AIが我々の社会に及ぼす影響、また今後及ぼすであろう影響を完全に理解するためには、現実的なシナリオでAIがどのように機能するかをテストする必要がある。「ARIAプログラムや、バイデン大統領のAIに関する大統領令に基づく商務省の責務を支援するその他の取り組みにより、NISTと米国AI安全研究所は、AIのリスクを軽減し、利益を最大化するために、あらゆる手段を講じている。 |
| “The ARIA program is designed to meet real-world needs as the use of AI technology grows,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. “This new effort will support the U.S. AI Safety Institute, expand NIST’s already broad engagement with the research community, and help establish reliable methods for testing and evaluating AI’s functionality in the real world.” | 「標準技術担当商務次官兼NIST長官のローリー・E・ロカシオ氏は、「ARIAプログラムは、AI技術の利用が拡大する中、現実世界のニーズに応えるように設計されている。「この新たな取り組みは、米国AI安全研究所を支援し、NISTの研究コミュニティとの既に幅広い関わりを拡大し、現実世界におけるAIの機能を試験・評価するための信頼できる機構の確立を支援するものである。 |
| ARIA expands on the AI Risk Management Framework, which NIST released in January 2023, and helps to operationalize the framework’s risk measurement function, which recommends that quantitative and qualitative techniques be used to analyze and monitor AI risk and impacts. ARIA will help assess those risks and impacts by developing a new set of methodologies and metrics for quantifying how well a system maintains safe functionality within societal contexts. | ARIAは、NISTが2023年1月に発表したAIリスクマネジメントフレームワークを拡張し、AIリスクと影響を分析・監視するために定量的・定性的手法を用いることを推奨する同フレームワークのリスク測定機能の運用化を支援する。ARIAは、社会的文脈の中でシステムがどの程度安全な機能を維持できるかを定量化するための新しい一連の方法論と評価基準を開発することで、こうしたリスクと影響の評価を支援する。 |
| “Measuring impacts is about more than how well a model functions in a laboratory setting,” said Reva Schwartz, NIST Information Technology Lab’s ARIA program lead. “ARIA will consider AI beyond the model and assess systems in context, including what happens when people interact with AI technology in realistic settings under regular use. This gives a broader, more holistic view of the net effects of these technologies.” | NIST情報技術研究所のARIAプログラムリーダーであるレバ・シュワルツ氏は、次のように述べている。「影響を測定することは、実験室でモデルがどれだけうまく機能するかということ以上のことである。ARIAは、モデルを超えてAIを考慮し、現実的な環境において人々がAIテクノロジーと相互作用したときに何が起こるかを含む、コンテクストにおけるシステムを評価する。これにより、これらの技術の正味の効果について、より広範で全体的な見解が得られる。」 |
| The results of ARIA will support and inform NIST’s collective efforts, including through the U.S. AI Safety Institute, to build the foundation for safe, secure and trustworthy AI systems. | ARIAの結果は、安全、安心、信頼できるAIシステムの基盤を構築するため、米国AI安全研究所を含むNISTの総合的な取り組みを支援し、情報を提供する。 |
・Assessing Risks and Impacts of AI
| Assessing Risks and Impacts of AI | AIのリスクと影響をアセスメントする |
| A compelling set of scenarios will aim to explore risks and related impacts across three levels of testing: model testing, red-teaming, and field testing. | 魅力的な一連のシナリオは、モデルテスト、レッドチーム、フィールドテストという3つのレベルのテストを通じて、リスクと関連する影響を探ることを目的としている。 |
| AI Challenge Problem Overview | AIチャレンジ問題の概要 |
| The latest in a portfolio of evaluations managed by the NIST Information Technology Laboratory – ARIA will assess models and systems submitted by technology developers from around the world. ARIA is an evaluation environment which is sector and task agnostic. | NIST情報技術研究所が管理する評価ポートフォリオの最新版であるARIAは、世界中の技術開発者から提出されたモデルやシステムを評価する。ARIAは分野や課題にとらわれない評価環境である。 |
| ARIA will support three evaluation levels: model testing, red-teaming, and field testing. ARIA is unique in that it will move beyond an emphasis on system performance and accuracy and produce measurements on technical and societal robustness. | ARIAは、モデルテスト、レッドチーム、フィールドテストの3つの評価レベルをサポートする。ARIAがユニークなのは、システムの性能と精度に重点を置くだけでなく、技術的・社会的な堅牢性を測定する点である。 |
| The program will result in guidelines, tools, methodologies, and metrics that organizations can use for evaluating the safety of their systems as part of their governance and decision-making processes to design, develop, release or use AI technology. ARIA will inform the work of the U.S. AI Safety Institute at NIST. | このプログラムは、AI技術を設計、開発、リリース、使用するためのガバナンスと意思決定プロセスの一環として、組織がシステムの安全性を評価するために使用できるガイドライン、ツール、方法論、測定基準をもたらす。ARIAは、NISTの米国AI安全性研究所の活動を支援する。 |
| ARIA 0.1 | ARIA 0.1 |
| The initial evaluation (ARIA 0.1) will be conducted as a pilot effort to fully exercise the NIST ARIA test environment. ARIA 0.1 will focus on risks and impacts associated with large language models (LLMs). Future iterations of ARIA may consider other types of generative AI technologies such as text-to-image models, or other forms of AI such as recommender systems or decision support tools. A compelling and exploratory set of tasks will aim to elicit pre-specified (and non-specified) risks and impacts across three levels of testing: model testing, red-teaming, and field testing. | 初期評価(ARIA 0.1)は、NISTのARIAテスト環境を十分に活用するための試験的取り組みとして実施される。ARIA 0.1は、大規模言語モデル(LLM)に関連するリスクと影響に焦点を当てる。ARIAの将来の反復では、テキストから画像へのモデルなどの他のタイプの生成的AI技術や、推奨システムや意思決定支援ツールなどの他の形態のAIを検討する可能性がある。魅力的で探索的な一連のタスクは、モデルテスト、レッドチーム、フィールドテストの3つのレベルのテストを通じて、事前に指定された(そして指定されていない)リスクと影響を引き出すことを目的としている。 |
Learn more
・[PDF] ARIA_MoreInfo
| AI Evaluations: Assessing Risks and Impacts of AI | AIの評価 AIのリスクと影響をアセスメントする |
| For Release May 9, 2024 | 2024年5月9日リリース |
| Overview | 概要 |
| ARIA (Assessing Risks and Impacts of AI) is a NIST evaluation program to advance measurement science for safe and trustworthy AI. Launched in spring 2024, ARIA aims to: | ARIA(Assessing Risks and Impacts of AI)は、安全で信頼できるAIのための計測科学を推進するNISTの評価プログラムである。2024年春に開始されたARIAの目的は以下の通りである: |
| • address gaps in AI evaluation that make it difficult to generalize AI functionality to the real world | ・AIの機能を実世界に一般化することを困難にしているAI評価のギャップに対処する。 |
| • improve understanding of AI's impacts to individuals and society, and | ・AIが個人や社会に与える影響の理解を改善する。 |
| • provide participating organizations with crucial information about whether AI systems will be valid, reliable, safe, secure, private or fair once deployed. | ・AIシステムの有効性,信頼性,安全性,セキュリティ,プライベート性,公平性についての重要な情報を提供する。 |
| NIST will engage the public through evaluations and related activities in a variety of domains under the ARIA umbrella. ARIA evaluations will include model testing, red-teaming, and field testing. Tasks and related activities will be customized for each evaluation. | NISTは、ARIA傘下の様々な領域における評価や関連活動を通じて、一般市民の参加を促す。ARIA評価には、モデルテスト、レッドチーム、フィールドテストが含まれる。 タスクおよび関連活動は、各評価ごとにカスタマイズされる。 |
| Models and systems made available to NIST will be evaluated on ARIA tasks using a suite of metrics focused on technical and societal robustness; these new metrics will be developed in collaborative engagement with the ARIA participant community. | NISTに提供されるモデルやシステムは、技術的および社会的な堅牢性に焦点を当てた一連の評価基準を用いてARIAタスクで評価される。 |
| Expected program outcomes include scalable guidelines, tools, methodologies, and metrics for organizations to use for evaluating the safety of their AI systems in their specific use cases, and as part of their governance and decision making processes to design, develop, release or use AI technology. | 期待されるプログラムの成果には、特定のユースケースにおけるAIシステムの安全性を評価するために、またAI技術を設計、開発、リリース、使用するためのガバナンスや意思決定プロセスの一部として、組織が使用できるスケーラブルなガイドライン、ツール、方法論、メトリクスが含まれる。 |
| ARIA 0.1 Pilot Evaluation | ARIA 0.1パイロット評価 |
| The initial evaluation (ARIA 0.1) will be conducted as a pilot effort to fully exercise the NIST ARIA test environment. ARIA 0.1 will focus on risks and impacts associated with large language models (LLMs). Future iterations of ARIA may consider other types of generative AI technologies such as text-to-image models, or other forms of AI such as recommender systems or decision support tools. | 初期評価(ARIA 0.1)は、NIST ARIAテスト環境を十分に活用するための試験的取り組みとして実施される。 ARIA 0.1は、大規模言語モデル(LLM)に関連するリスクと影響に焦点を当てる。ARIAの将来の反復では、テキストから画像へのモデルのような他のタイプの生成的AI技術や、推薦システムや意思決定支援ツールのような他の形態のAIを検討する可能性がある。 |
| View the ARIA 0.1 Pilot Evaluation Plan at [PDF] |
ARIA 0.1パイロット評価計画を[PDF]で見る。 |
| Those interested in learning more about ARIA can join the ARIA email distribution list by signing-up at https://ai-challenges.nist.gov/aria or emailing aria-inquires@nist.gov. | ARIAについてもっと知りたい方は、https://ai-challenges.nist.gov/aria にサインアップするか、aria-inquires@nist.gov に電子メールを送ることで、ARIA電子メール配信リストに参加することができる。 |
| ARIA Evaluation Levels | ARIAの評価レベル |
| ARIA will incorporate societal impacts alongside functional testing of the system. Estimating a given technology’s impact in society requires a better understanding of what individuals and the broader society can and will do with – or how they adapt and react to – an AI model or system functionality. To this end, NIST will establish three measurement and evaluation levels for a more comprehensive approach. These are introduced below. | ARIAは、システムの機能テストと並行して、社会的影響を組み込む。ある技術が社会に与える影響を推定するには、個人やより広範な社会がAIモデルやシステム機能を使って何ができるのか、何をするのか、あるいはどのように適応し反応するのかをよりよく理解する必要がある。このため、NISTは、より包括的なアプローチのために、3つの測定・評価レベルを設定する。これらを以下に紹介する。 |
| 1. Model testing to examine the AI model or system components’ functionality and capabilities. | 1. AIモデルまたはシステムコンポーネントの機能と能力を検証するモデルテスト。 |
| Model testing is the most common practice for evaluating the models and datasets underlying AI technology. Typical model testing involves comparing system outputs to expected or known outcomes (sometimes referred to as ground-truth) to determine how well the model can perform a given set of tasks. Demonstrating whether the model functions on these tasks as designed can shed light on how helpful or harmful the technology may be once deployed. This type of testing is easier to scale than red-teaming or field-testing but has limitations. Particularly when performed in laboratory settings, model testing cannot account for what humans expect from or how they interact with AI technology or make sense of AI-generated output. For estimating societal impact, static benchmark datasets serve only as loose proxies for dynamic human interactive behavior. These limitations make it difficult to understand or anticipate impacts once a model or system is deployed. | モデルテストは、AI技術の基礎となるモデルやデータセットを評価するための最も一般的な手法である。典型的なモデル・テストでは、システムの出力を期待される結果または既知の結果(グランド・トゥルースと呼ばれることもある)と比較し、モデルが与えられた一連のタスクをどの程度実行できるかを判断する。モデルがこれらのタスクで設計通りに機能するかどうかを実証することで、その技術が導入された後にどの程度役に立つか、あるいは有害かを明らかにすることができる。この種のテストは、レッドチームやフィールドテストよりも規模を拡大しやすいが、限界もある。特に実験室で実施する場合、モデルテストでは、人間がAI技術に何を期待し、どのようにAIと相互作用し、AIが生成的な出力を理解するのかを説明することができない。社会的インパクトを推定するためには、静的なベンチマークデータセットは、人間の動的な相互作用行動の緩やかな代理としてしか機能しない。これらの限界は、モデルやシステムが導入された後の影響を理解したり予測したりすることを難しくしている。 |
| 2. Red-teaming to identify potential adverse outcomes of the AI model or system and how they could occur, and to stress test model safeguards. | 2. レッドチームによる、AIモデルやシステムの潜在的な悪影響と、それがどのように発生しうるかを特定し、モデルのセーフガードをストレステストする。 |
| For AI, red-teaming is a structured testing effort to find flaws and vulnerabilities in an AI system such as false, toxic, or discriminatory outputs in an AI system. Red teaming can be performed before or after AI models or systems are made available to the broader public. Complementary groups with diverse expertise can elicit different types of harms in AI red-teaming activities. Experts can emulate malicious behavior and surface narrow or targeted harms. Members of the general public can help to gather data en-masse for identifying systemic or diffuse harms. Red-teaming results can lead to remedies for harmful model functionality. However – similar to model testing – red-teaming cannot provide direct insights about whether such functionality is realized when people interact with AI systems in regular use. | AIの場合、レッドチームとは、AIシステムの虚偽、有害、差別的な出力など、AIシステムの欠陥や脆弱性を見つけるための構造化されたテストの取り組みである。レッドチームは、AIモデルやシステムが広く一般に公開される前でも後でも実施できる。多様な専門知識を持つ相補的なグループは、AIのレッドチーム活動において異なるタイプの危害を引き出すことができる。専門家は、悪意のある行動をエミュレートし、狭い範囲や標的を絞った危害を表面化させることができる。一般市民は、組織的または拡散的な危害を特定するために、大量のデータ収集に協力することができる。レッドチームの結果は、有害なモデル機能の改善策につながる可能性がある。しかし、モデルテストと同様に、レッドチームでは、人々がAIシステムを通常使用する際に、そのような機能が実現されているかどうかについての直接的な洞察を得ることはできない。 |
| 3. Large-scale field testing to help reveal how the public consumes and makes sense of AI-generated information in their regular interactions with technology, including subsequent actions and effects. | 3. 大規模なフィールドテストは、その後の行動や効果を含め、一般大衆がテクノロジーとの日常的な相互作用の中で、どのようにAI生成的情報を消費し、理解するかを明らかにするのに役立つ。 |
| ARIA field testing may entail several thousands of human participants interacting with AI applications in realistic settings across multiple sessions under test or control conditions. This approach will enable evaluation of AI’s negative and positive impacts in the systems’ native context of use from a human perspective and enhance understanding of AI capabilities and impacts in postdeployment contexts. ARIA’s field testing is designed to help reveal what happens in people’s regular interactions with technology. When conducted alongside model testing and red-teaming, results from the large number of human interactions in field testing can reveal: | ARIAのフィールドテストでは、数千人の人間の参加者が、テストまたはコントロールの条件下で、複数のセッションにわたって、現実的な設定でAIアプリケーションと相互作用する。このアプローチにより、システム本来の使用状況におけるAIのネガティブな影響とポジティブな影響を人間の視点から評価し、配備後の状況におけるAIの能力と影響についての理解を深めることができる。ARIAのフィールドテストは、人々がテクノロジーと日常的に接する際に何が起きているかを明らかにすることを目的としている。モデルテストやレッドチームと並行して実施することで、フィールドテストにおける多数の人間とのインタラクションの結果を明らかにすることができる: |
| ● types of content and model functionality individuals were actually exposed to when interacting with the system; | ・システムとのインタラクションにおいて、個人が実際に接触したコンテンツやモデルの機能の種類; |
| ● whether, how often, and for whom the interaction contributed to a positive or negative impact; | ・そのインタラクションが、誰にとって、どのような頻度で、プラスに作用したのか、あるいはマイナスに作用したのか; |
| ARIA Metrics | ARIAメトリクス |
| Starting with the ARIA 0.1 pilot, evaluation output from all three levels will be annotated by professional assessors. Submitted models and systems will be evaluated using a suite of metrics focused on technical and societal robustness. Metrics will be developed in collaborative engagement with the ARIA research and participant community. | ARIA 0.1パイロット版から、3つのレベルすべてからの評価出力は、専門の評価者によって注釈が付けられる。提出されたモデルやシステムは、技術的および社会的な堅牢性に焦点を当てた一連の評価基準を用いて評価される。評価指標は、ARIAの研究および参加者コミュニティとの共同作業により開発される。 |
| NIST will also run a mini challenge within ARIA for additional development and refinement of societal impact metrics. NIST will provide output data from all three evaluation levels after the completion of the ARIA 0.1 pilot for the challenge, so the broader measurement community can: | NISTはまた、ARIA内でミニチャレンジを実施し、社会的影響評価指標のさらなる開発と改良を行う。NISTは、ARIA 0.1パイロットが完了した後、3つの評価レベルすべてから出力データを提供する: |
| ● pursue valid and generalizable societal impact metrics for the field of AI safety and trustworthiness; | ・AIの安全性と信頼性の分野において、有効で一般化可能な社会的影響評価指標を追求する; |
| ● inform other AI safety evaluation efforts; and | ・他のAIの安全性評価の取り組みに情報を提供する。 |
| ● establish a diverse measurement community that brings new perspectives to the development of innovative metrics in the field of safe and trustworthy AI. | ・安全で信頼できるAIの分野における革新的な測定基準の開発に新たな視点をもたらす多様な測定コミュニティを確立する。 |
● Assessing Risks and Impacts of AI
・2024.05.21 [PDF] ARIA 0.1 Draft Evaluation Plan
・[PDF] ARIA FAQ
仮対訳...
| Frequently Asked Questions about NIST’s ARIA Program (Assessing Risks and Impacts of AI) For Release May 9, 2024 | NISTのARIAプログラム(AIのリスクと影響のアセスメント)に関するよくある質問 2024年5月9日リリース予定 |
| 1. How does ARIA fit in with NIST's other evaluation programs? | 1. ARIAはNISTの他の評価プログラムとどのような関係にあるのか? |
| As the Nation’s oldest measurement laboratory, NIST routinely employs evaluation-driven research to advance measurement science, inform and accelerate the development of emerging technologies, and drive innovation. ARIA (Assessing Risks and Impacts of AI) is a research effort to assist AI evaluators in improving their assessment methods. ARIA evaluations will fill in measurement gaps related to how technology integrates with society and creates impacts. | 米国最古の計測研究所であるNISTは、計測科学を発展させ、新技術の開発に情報を提供し、その開発を加速させ、イノベーションを推進するために、評価主導の研究を日常的に採用している。ARIA(Assessing Risks and Impacts of AI)は、AI評価者の評価方法の改善を支援するための研究活動である。ARIAの評価は、技術がどのように社会と融合し、影響を生み出すかに関する測定のギャップを埋めるものである。 |
| 2. How does ARIA connect to the US AI Safety Institute and consortium? | 2. ARIAと米国AI安全性研究所やコンソーシアムとの関係は? |
| ARIA is a new internal NIST effort to develop a testing environment for advancing measurement science in Trustworthy AI. The ARIA effort will inform the work of the U.S. AI Safety Institute and over time, the U.S. AI Safety Institute Consortium may assist in enhancing and producing ARIAstyle evaluations at scale, useful for all industries. | ARIAは、Trustworthy AIにおける計測科学を発展させるための試験環境を開発するNIST内部の新しい取り組みである。ARIAの取り組みは、米国AI安全性研究所の活動に影響を与え、やがて、米国AI安全性研究所コンソーシアムは、すべての機構に有用なARIAスタイルの評価を強化し、大規模に生産することを支援する可能性がある。 |
| 3. Does ARIA fulfill one of NIST's assignments in the October 2023 AI Executive Order? | 3. ARIAは、2023年10月のAI大統領令におけるNISTの任務の一つを果たしているか? |
| Yes. ARIA is one of several NIST evaluation initiatives that partially addresses NIST’s assignment under Section 4.1 (a)(i)(C) of the President’s Executive Order on Safe, Secure, and Trustworthy Artificial Intelligence (14110) to launch an initiative to create guidance and benchmarks for evaluating and auditing AI capabilities. | そうである。ARIAは、安全、安心、信頼できる人工知能に関する大統領令(14110)の第4.1節(a)(i)(C)に基づき、AI能力を評価・監査するためのガイダンスとベンチマークを作成するイニシアチブを立ち上げるというNISTの課題に部分的に対応するNISTの評価イニシアチブの1つである。 |
| 4. Does NIST select which systems to test? | 4. NISTはテストするシステムを選定するのか? |
| No. For decades, NIST’s Information Technology Laboratory (ITL) has been conducting evaluation-driven research of algorithms and other system components in technology fields such as biometrics, multimedia, and information retrieval. As a neutral party, NIST does not select which systems to test, conduct product testing, or test any technology that has not been submitted by the owning entity. ITL evaluations remain open to any researcher, team, or interested party who finds it of interest, are able to submit their technology applications for measurement, and can comply with the evaluation rules. | NISTの情報技術研究所(ITL)は何十年もの間、バイオメトリクス、マルチメディア、情報検索などの技術分野において、アルゴリズムやその他のシステム・コンポーネントの評価主導型研究を実施してきた。中立的な立場であるNISTは、どのシステムをテストするかを選択したり、製品テストを実施したり、事業体から提出されていない技術をテストしたりすることはない。ITL評価には、研究者、チーム、利害関係者など、関心を持ち、測定のための技術アプリケーションを提出でき、評価規則を遵守できる者であれば誰でも参加できる。 |
| NIST-run evaluations are designed to be widely accessible and utilize a set of common tasks, data, metrics, and measurement methods to reduce the total overhead necessary to conduct research, assess current state of the art, and identify the most promising research directions. For more information about NIST AI technology evaluations, see | NISTが実施する評価は、広くアクセスできるように設計されており、研究を実施するために必要なオーバーヘッドを削減し、技術の現状を評価し、最も有望な研究の方向性を特定するために、一連の共通タスク、データ、メトリクス、測定方法を利用する。NISTのAI技術評価の詳細については、以下を参照のこと。 |
| [web] |
[web] |
| 5. Is NIST evaluating models or approaches in ARIA? | 5. NISTはARIAのモデルやアプローチを評価しているのか? |
| Both. The first ARIA activities will focus on risks and impacts associated with large language models (LLM), including the use of AI agents. The risks and impacts of LLMs will be evaluated across three levels – model testing, red-teaming, and field testing. | 両方である。最初のARIA活動は、AIエージェントの使用を含む大規模言語モデル(LLM)に関連するリスクと影響に焦点を当てる。LLMのリスクと影響は、モデルテスト、レッドチーム、フィールドテストの3つのレベルで評価される。 |
| As an evaluation of safe and trustworthy AI, submitting organizations will be required to provide documentation about their models, approaches, mitigations, and guardrails, along with information about their governance processes. In future evaluations, documentation requirements may be expanded and constitute part of the final score. | 安全で信頼できるAIの評価として、プロバイダは、ガバナンス・プロセスに関する情報とともに、モデル、アプローチ、低減、ガードレールに関する文書を提出することが求められる。将来の評価では、文書化要件は拡大され、最終スコアの一部を構成する可能性がある。 |
| 6. Will all ARIA evaluations be limited to generative AI? | 6. すべてのARIA評価は生成的AIに限定されるのか? |
| While the first set of ARIA activities will focus on risks related to the generative AI technology of LLMs, the ARIA evaluation environment is flexible and future iterations will broaden beyond generative AI. ARIA participant community and other researchers can provide input on future evaluation topics, domains, and technologies. For example, subsequent ARIA evaluations may consider other generative AI technologies such as text-to-image models, or other forms of AI such as recommender systems or decision support tools. | ARIAの最初の活動では、LLMの生成的AI技術に関連するリスクに焦点を当てるが、ARIAの評価環境は柔軟であり、将来的には生成的AI以外にも拡大する。ARIAの参加者コミュニティや他の研究者は、将来の評価テーマ、ドメイン、技術について意見を提供することができる。例えば、今後のARIA評価では、テキストから画像へのモデルのような他の生成的AI技術や、レコメンダー・システムや意思決定支援ツールのような他の形態のAIが検討されるかもしれない。 |
| 7. What metrics will NIST use in the ARIA evaluation? | 7. NISTはARIA評価にどのような評価指標を用いるのか? |
| ARIA will originate a suite of qualitative, quantitative, and mixed methods to measure risks, impacts, trustworthy characteristics, and technical and societal robustness of models within the specified context of use. NIST will develop these metrics in close collaboration with ARIA participants. Selected ARIA evaluation output data will be made available as a rich corpus for research purposes, including the development of novel metrics for use in ARIA. | ARIAは、リスク、影響、信頼できる特性、特定された使用状況におけるモデルの技術的・社会的頑健性を測定するために、一連の定性的、定量的、混合的な手法を開発する。NISTは、ARIA参加者と緊密に協力してこれらの評価指標を開発する。選択されたARIA評価出力データは、ARIAで使用するための新しい評価指標の開発を含む研究目的のために、豊富なコーパスとして利用できるようにする。 |
| 8. Why would vendors participate in ARIA? | 8. なぜベンダーはARIAに参加するのか? |
| NIST evaluations provide all participants with the opportunity to obtain vital information about their submitted technology components, make adjustments based on what they learned, and resubmit for further testing. While many organizations evaluate their technology internally, involvement in NIST evaluations allows all participants to determine what is working with their models, often in comparison to other organizations on the same tests, with the same data, and under the same conditions. While the ARIA evaluations are open to all who wish to participate, the evaluation cycle typically concludes with a participant-only workshop to discuss information about new and promising approaches that may assist submitters’ understanding about how they might improve their models. Teams participating in ARIA can expect to glean information during testing and the workshop(s) that will help deliver safe and trustworthy AI. | NISTの評価は、すべての参加者に、提出した技術コンポーネントに関する重要な情報を入手し、学んだことに基づいて調整を行い、さらなるテストのために再提出を行う機会を提供する。多くの組織が内部で技術を評価しているが、NISTの評価に参加することで、すべての参加者が、同じテスト、同じデータ、同じ条件下で、他の組織と比較しながら、自分たちのモデルで何がうまくいっているかを判断することができる。ARIAの評価は、参加を希望するすべての人に開かれているが、評価サイクルは通常、参加者限定のワークショップで締めくくられ、モデルの改善方法について提出者の理解を助けるような、新しい有望なアプローチに関する情報を議論する。ARIAに参加するチームは、テストやワークショップを通じて、安全で信頼できるAIの提供に役立つ情報を得ることができる。 |
| 9. Will results be made public? Are results anonymous? | 9. 結果は公開されるのか?結果は匿名か? |
| NIST evaluation results are made publicly available. The level of information to be made public is predetermined for each evaluation. ARIA participants may decide to anonymize their submissions so that each team only knows how they performed in comparison to others. Even when results are not tied to a particular participating organization, the public will have access to the specific results of all technologies which have been evaluated. That information is valuable in gaining an understanding of how these technologies perform in a real-world context. | NISTの評価結果は公開される。公開される情報のレベルは、評価ごとにあらかじめ決められている。ARIAの参加者は、各チームが他のチームと比較してどのような結果を出したかだけを知ることができるように、提出書類の匿名化を決定することができる。結果が特定の参加団体と結びつけられていない場合でも、一般市民は評価されたすべての技術の具体的な結果にアクセスすることができる。その情報は、これらの技術が現実の世界でどのように機能するかを理解する上で貴重である。 |
● Trustworthy & Responsible AI Resource Center
・[PDF] AI Risk Management Framework (RMF)
・・[DOCX] 仮訳
・[PDF] AI RMF Playbook
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令
・2023.01.27 NIST AIリスクフレームワーク
・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック
・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)
こんにちは、丸山満彦です。
空港会社が空港での乗客の流れを合理的にするための顔認識技術の利用に関する意見書をEDPBが採択し、公表していますね...
完全性と機密性の原則、設計とデフォルトによるデータ保護、および処理のセキュリティに適合する唯一の保管ソリューションは、生体データが本人の手元に保管されるか、中央データベースに保管されるが、暗号鍵は本人の手元にのみ保管されるソリューションである
という感じの様ですね..
ちなみに、今回の意見書は、安全保障目的、国境管理、法執行利用は対象外です...
● European Data Protection Board; EDPB
・2024.05.24 Facial recognition at airports: individuals should have maximum control over biometric data
| Facial recognition at airports: individuals should have maximum control over biometric data | 空港での顔認識:個人は生体データを最大限に管理すべきである |
| Brussels, 24 May - During its latest plenary, the EDPB adopted an Opinion on the use of facial recognition technologies by airport operators and airline companies to streamline the passenger flow at airports*. This Article 64(2) Opinion, following a request from the French Data Protection Authority, addresses a matter of general application and produces effects in more than one Member State . | ブリュッセル、5月24日 - EDPBは最新の本会議において、空港における乗客の流れを合理化するための空港運営会社および航空会社による顔認識技術の利用に関する意見書を採択した*。この第64条2項に関する意見は、フランスのデータ保護局からの要請を受けたもので、一般的な適用事項を扱い、複数の加盟国に影響を及ぼすものである。 |
| EDPB Chair Anu Talus said: “More and more airport operators and airline companies around the world are piloting facial recognition systems allowing passengers to go more easily through the various checkpoints. It is important to be aware that biometric data are particularly sensitive and that their processing can create significant risks for individuals. Facial recognition technology can lead to false negatives, bias and discrimination. Misuse of biometric data can also have grave consequences, such as identity fraud or impersonation. Therefore, we urge airline companies and airport operators to opt for less intrusive ways to streamline passenger flows, when possible. In the view of the EDPB, individuals should have maximum control over their own biometric data.” | EDPBのアヌ・タルス委員長は次のように述べた: 「世界中のますます多くの空港運営会社や航空会社が、乗客が様々なチェックポイントをより簡単に通過できるよう、顔認識システムを試験的に導入している。生体データは特にセンシティブであり、その処理は個人にとって重大なリスクになりうることを認識することが重要である。顔認識技術は、誤認識やバイアス、識別的な問題を引き起こす可能性がある。生体データの悪用は、ID詐欺やなりすましといった重大な結果をもたらす可能性もある。したがって、我々は航空会社や空港運営者に対し、乗客の流れを合理化するため、可能な限り、より侵入的でない方法を選択するよう求める。EDPBの見解では、個人は自身の生体データを最大限に管理すべきである。」 |
| The Opinion analyses the compatibility of the processing with the storage limitation principle (Article 5(1)(e) GDPR), the integrity and confidentiality principle (Article 5(1)((f)) GDPR, data protection by design and default (Article 25 GDPR) and security of processing (Article 32 GPDR). Compliance with other GDPR provisions including regarding the lawfulness of the processing are not in scope of this Opinion.** | 意見書は、保存制限原則(GDPR第5条1項(e))、完全性・機密性原則(GDPR第5条1項(f))、設計によるデータ保護、およびデータ保護と処理の適合性を分析している。GDPR)、設計およびデフォルトによるデータ保護(GDPR第25条)、および処理のセキュリティ(GPDR第32条)との適合性である。処理の合法性を含む他のGDPR条項の遵守は、本意見書の対象外である**。 |
| There is no uniform legal requirement in the EU for airport operators and airline companies to verify that the name on the passenger’s boarding pass matches the name on their identity document, and this may be subject to national laws. Therefore, where no verification of the passengers’ identity with an official identity document is required, no such verification with the use of biometrics should be performed, as this would result in an excessive processing of data. | 乗客の搭乗券に記載された氏名が身分証明書に記載された氏名と一致するかどうかを空港運営者や航空会社が確認するための統一的な法的要件はEUにはなく、これは国内法に従う可能性がある。したがって、公的 ID 文書による乗客の身元検証を必要としない場合、生体データを使用した検証は、過剰なデータ処理につながるため、これを行うべきではない。 |
| In its Opinion, the EDPB considered the compliance of processing of passengers’ biometric data with four different types of storage solutions, ranging from ones that store the biometric data only in the hands of the individual to those which rely on centralised a storage architecture with different modalities. In all cases, only the biometric data of passengers who actively enrol and consent to participate should be processed. | EDPB は、その意見書の中で、生体データを本人の手にのみ保管するものから、異なる様式を持つ集中型保管アーキテクチャーに依存するものまで、4 種類の保管ソリューションによる乗客の生体データ処理のコンプライアンスを検討した。いずれの場合も、積極的に登録し、参加に同意した乗客の生体データのみが処理されるべきである。 |
| The EDPB found that the only storage solutions which could be compatible with the integrity and confidentiality principle, data protection by design and default and security of processing, are the solutions whereby the biometric data is stored in the hands of the individual or in a central database but with the encryption key solely in their hands. These storage solutions, if implemented with a list of recommended minimum safeguards, are the only modalities which adequately counterbalance the intrusiveness of the processing by offering individuals the greatest control. | EDPBは、完全性と機密性の原則、設計とデフォルトによるデータ保護、および処理のセキュリティに適合する唯一の保管ソリューションは、生体データが本人の手元に保管されるか、中央データベースに保管されるが、暗号化キーは本人の手元にのみ保管されるソリューションであることを発見した。これらの保管方法は、推奨される最低限の保護措置のリストとともに実施される場合、個人に最大のコントロールを提供することによって、処理の侵入性を適切に相殺する唯一の方法である。 |
| The EDPB found that the solutions based on the storage in a centralised database either within the airport or in the cloud, without the encryption keys in the hands of the individual, cannot be compatible with the requirements of data protection by design and default and, if the controller limits themselves to the measures described in the scenarios analysed, would not comply with the requirements of security of processing. | EDPBは、空港内またはクラウド上の集中化されたデータベースへの保存に基づくソリューションは、暗号化キーが個人の手元にない場合、デザインおよびデフォルトによるデータ保護の要件に適合せず、管理者が分析されたシナリオに記載された措置に限定した場合、処理のセキュリティ要件に適合しないことに気づいた。 |
| Regarding the principle of storage limitation, controllers need to ensure they have a sufficient justification for the envisaged retention period and limit it to what is necessary for the proposed purpose. | 保存制限の原則については、管理者は、想定される保存期間について十分な正当性を確保し、提案された目的に必要な期間に制限する必要がある。 |
| Next, a report was adopted by the DPAs on the work of the ChatGPT taskforce. This taskforce was created by the EDPB to promote cooperation between DPAs investigating the chatbot developed by OpenAI. | 次に、ChatGPTタスクフォースの作業に関する報告書が採択された。このタスクフォースは、OpenAIによって開発されたチャットボットを調査するDPA間の協力を促進するためにEDPBによって創設された。 |
| The report provides preliminary views on certain aspects discussed between DPAs and does not prejudge the analysis that will be made by each DPA in their respective, ongoing investigation***. | この報告書は、DPA間で議論された特定の側面に関する予備的見解を提供するものであり、各DPAがそれぞれ進行中の調査***で行う分析を予断するものではない。 |
| It analyses several aspects concerning common interpretation of the applicable GDPR provisions relevant for the various ongoing investigations, such as: | 本報告書は、現在進行中の様々な調査に関連するGDPR規定の共通解釈に関するいくつかの側面を分析している: |
| ・lawfulness of collecting training data (“web scraping”), as well as processing of data for input, output and training of ChatGPT. | ・トレーニングデータの収集(「ウェブスクレイピング」)の違法性、およびChatGPTの入力、出力、トレーニングのためのデータ処理。 |
| ・fairness: ensuring compliance with the GDPR is a responsibility of OpenAI and not of the data subjects, even when individuals input personal data. | ・公平性:GDPRの遵守はOpenAIの責任であり、個人が個人データを入力する場合であってもデータ主体の責任ではない。 |
| ・transparency and data accuracy: the controller should provide proper information on the probabilistic nature of ChatGPT’s output and refer explicitly to the fact that the generated text may be biased or made up. | ・透明性とデータの正確性:データ管理者は、ChatGPTの出力の確率的性質について適切な情報を提供し、生成されたテキストがバイアスやでっち上げである可能性があることに明示的に言及すべきである。 |
| ・The report points out that it is imperative that data subjects can exercise their rights effectively. | ・報告書は、データ主体がその権利を効果的に行使できることが不可欠であると指摘している。 |
| Taskforce members also developed a common questionnaire as a possible basis for their exchanges with Open AI, which is published as an annex to the report. | また、タスクフォースメンバーは、Open AIとの意見交換の基礎となりうる共通の質問票を作成し、報告書の付属文書として公表した。 |
| Furthermore, the EDPB decided to develop guidelines on Generative AI, focusing as a first step on data scraping in the context of AI training. | さらに、EDPBは、生成的AIに関するガイドラインを作成することを決定し、その第一歩として、AIトレーニングの文脈におけるデータスクレイピングに焦点を当てた。 |
| Finally, the EDPB adopted a statement on the Commission's "Financial data access and payments package" (which includes the proposals for the Regulation on the framework for Financial Data Access (FIDA), on the Payments Service Regulation (PSR) and on the Payment Services Directive 3 (PSD3)). | 最後に、EDPBは欧州委員会の「金融データアクセスと決済パッケージ」(金融データアクセスの枠組みに関する規則(FIDA)、決済サービス規則(PSR)、決済サービス指令3(PSD3)に関する提案を含む)に関する声明を採択した。 |
| The EDPB takes note of the European Parliament’s reports on the FIDA and PSR proposals, but considers that, with regard to the prevention and detection of fraudulent transactions, additional data protection safeguards should be included in the transaction monitoring mechanism of the PSR Proposal. It is important to ensure that the level of interference with the fundamental right to the protection of personal data of persons concerned is necessary and proportionate to the objective of preventing payment fraud. | EDPBは、FIDAおよびPSR提案に関する欧州議会の報告書に留意しつつも、不正取引の防止・検知に関しては、PSR提案の取引監視メカニズムにデータ保護のための追加的な保護措置を盛り込むべきであると考える。関係者の個人データ保護の基本的権利に対する干渉のレベルが、決済詐欺を防止するという目的に対して必要かつ比例的であることを確認することが重要である。 |
| Note to editors: | 編集者注記 |
| * The Opinion has a limited scope and does not examine the use of facial recognition in general and in particular it does not cover the use of facial recognition for security purposes, border control or by law enforcement agencies. | * 本意見書の対象範囲は限定的であり、顔認識の利用全般を検討するものではなく、特に、安全保障目的、国境管理、法執行機関による顔認識の利用は対象としていない。 |
| ** In the request, it is assumed that the processing would be based on each passenger’s consent. However, based on the limited scope of the request, the Opinion does not examine the legal basis and in particular the validity of consent for such processing. | ** 要望書では、処理は各乗客の同意に基づいて行われると想定されている。しかし、要請の範囲が限定的であることから、本意見書ではそのような処理に関する法的根拠、特に同意の有効性については検討していない。 |
| ***Until 15 February 2024, OpenAI did not have an establishment in the EU, therefore the one-stop-shop mechanism (OSS) did not apply and each DPA is competent regarding potential infringements that were committed and ended prior to that date. National investigations concerning potential infringements committed prior to February 2024 will continue to be discussed in the taskforce. For infringements continuing or occurring after February 2024, the OSS mechanism applies. | ***2024年2月15日までは、OpenAIはEU域内に拠点を持たなかったため、ワンストップショップメカニズム(OSS)は適用されず、それ以前に行われ、終了した違反の可能性については、各DPAが権限を有する。2024年2月以前に行われた潜在的侵害に関する国内調査は、引き続きタスクフォースで議論される。2024年2月以降に継続または発生した侵害については、OSSメカニズムが適用される。 |
・2024.05.24 [PDF] Opinion 11/2024 on the use of facial recognition to streamline airport passengers’ flow (compatibility with Articles 5(1)(e) and(f), 25 and 32 GDPR
エグゼクティブサマリー...
| Executive summary | エグゼクティブサマリー |
| The French Supervisory Authority requested the European Data Protection Board to issue an opinion on the use of facial recognition technology by airport operators and airline companies for biometricenabled authentication or identification of passengers to streamline the passenger flow at airports. | フランス監督当局は欧州データ保護委員会に対し、空港での乗客の流れを合理化するために、空港運営会社や航空会社が乗客の生体認証や本人確認のために顔認識技術を使用することについて意見を出すよう要請した。 |
| As a preliminary remark, the Board recalls that the use of biometric data and in particular facial recognition technology entails heightened risks to data subjects’ rights and freedoms. It concerns processing of biometric data which is granted special protection under Article 9 GDPR. Before using such technologies, even if they were to be considered particularly effective, controllers should assess the impact on data subjects’ fundamental rights and freedoms and consider whether less intrusive means may achieve their legitimate purpose of the processing. | 予備的発言として、理事会は、生体データ、特に顔認識技術の使用は、データ主体の権利と自由に対するリスクの高まりを伴うことを想起する。これは、GDPR第9条で特別な保護が認められている生体データの処理に関するものである。そのような技術を使用する前に、たとえそれが特に効果的であると考えられるとしても、データ管理者はデータ主体者の基本的権利と自由への影響をアセスメントし、より侵入的でない手段で処理の正当な目的を達成できるかどうかを検討すべきである。 |
| The scope of this Opinion, as per the request, is limited to the compatibility of the processing with Article 5(1)(e) and (f), and Articles 25 and 32 GPDR for the specific purpose of streamlining the passenger flow at airports at four specific checkpoints, namely at security checkpoints, baggage dropoff, boarding and access to passenger lounge. This Opinion does not include a full and complete analysis on the compliance with the GDPR by the relevant controller(s) in each case, as well as their processor(s), if applicable. Therefore, this Opinion is without prejudice to a case-by-case legal and technical analysis based on a controller’s specific envisaged processing and circumstances. Moreover, the analysis of the applicable legal basis is not within the scope of the questions submitted to the Board in the request and as a result, the validity of consent for such processing, in accordance with Articles 6, 7 and 9 GDPR, is not examined in this Opinion. Furthermore, the present Opinion is without prejudice to the restrictions on the use of biometric data laid down under Member State law. | 本意見書の範囲は、要請に従い、空港における4つの特定のチェックポイント、すなわち保安検査場、手荷物預け入れ場、搭乗場および乗客ラウンジへのアクセスにおける乗客の流れを合理化するという特定の目的のために、第5条(1)(e)および(f)、ならびにGPDR第25条および第32条に適合する処理に限定される。本意見書には、各事案における関連する管理者(複数可)および該当する場合はその処理者(複数可)によるGDPRの遵守に関する完全かつ完全な分析は含まれていない。したがって、本意見書は、管理者の具体的に想定される処理および状況に基づくケースバイケースの法的および技術的分析を妨げるものではない。さらに、適用される法的根拠の分析は、要請において理事会に提出された質問の範囲内ではなく、その結果、GDPR第6条、第7条および第9条に基づく当該処理に対する同意の有効性は、本意見書では検討されない。さらに、本意見書は、加盟国の法律で定められた生体データの使用に関する制限を妨げるものではない。 |
| In this Opinion, the Board assesses the compliance of the processing with the above mentioned GDPR provisions in the context of four specific scenarios. | 本意見書において、理事会は、4つの具体的なシナリオに即して、上記のGDPR規定への処理の準拠をアセスメントしている。 |
| The first scenario involves the storage of an enrolled biometric template in the hands of the individual, for example, on their individual device, under their sole control in order to authenticate (1:1 comparison) the passenger as they proceed through the above mentioned airport checkpoints. | 第 1 のシナリオは、上記の空港のチェックポイントを通過する乗客を認証(1:1比較)するために、登録されたバイオメトリック・テンプレートを、例えば、個人のデバイスに、個人の管理下で、個人の手に保存することである。 |
| The Board concludes that the measures chosen could be considered to have met the necessity principle if the controller can demonstrate that there are no less intrusive alternative solutions that could achieve the same objective as effectively. In addition, the intrusiveness of the processing can be counterbalanced by the active involvement of the passengers as their biometric template is stored in their hands only, for example, on their individual device, under their sole control and their data is deleted shortly after the matching is completed. On this basis, the Board concludes that the processing envisaged in the first scenario could be considered in principle compatible with Articles 5(1)(f), 25 and 32 GDPR subject to the implementation of appropriate safeguards. | 理事会は、管理者が同じ目的を効果的に達成できる、より侵入性の低い代替手段がないことを証明できる場合、選択された手段は必要性の原則を満たしていると考えられると結論付けた。加えて、生体データが乗客の手元のみに保存され、例えば、乗客の個人所有のデバイスに保存され、乗客が単独で管理し、生体データは照合が完了した直後に削除されるため、処理の侵入性は乗客の積極的な関与によって相殺される。これに基づき、理事会は、最初のシナリオで想定される処理は、適切な保護措置の実施を条件として、原則的にGDPR第5条1項(f)、第25条および第32条に適合すると考えられると結論付けた。 |
| The Board has identified safeguards which as a minimum should be implemented for a solution similar to the first scenario. | 理事会は、最初のシナリオと同様の解決策を講じるために最低限実施すべきセーフガードを特定した。 |
| The second scenario involves the centralised storage, within the airport, of an enrolled biometric template in an encrypted form with a key/ secret solely in the passenger’s hands. This enables passenger authentication (1:1 comparison) as they proceed through the above mentioned airport checkpoints. The enrolment is valid for a given period, which, for example, could be up to one year after the last flight was taken up to the passport expiry date. | 第 2 のシナリオは、空港内で、登録されたバイオメトリック・テンプレートを、暗号化された形 で、鍵/秘密とともに、乗客の手元のみに集中保管することである。これにより、上記の空港のチェックポイントを通過する際の乗客認証(1対1の比較)が可能になる。登録は所定の期間有効であり、例えば、最後のフライトからパスポートの有効期限まで1年間有効である。 |
| The Board concludes that the processing could be considered to have met the necessity principle if the controller can demonstrate that there are no less intrusive alternative solutions that could achieve the same objective as effectively. Moreover, the intrusiveness of the processing can be counterbalanced by the active involvement of the passenger as they hold under their sole control the key/ secret to their encrypted biometric data. Assuming the controller implements appropriate safeguards, security risks from using a centralised database in this scenario could be mitigated and the negative impact on the data subjects’ fundamental rights and freedoms could be considered proportional to the anticipated benefit. Regarding the principle of storage limitation, no information has been provided to the Board to substantiate the long storage period. In order to achieve compatibility with Article 5(1)(e) GDPR in this scenario, the controllers should be able to justify why the envisaged retention period is necessary for the purpose in specific cases. The Board recommends that controllers envisage the shortest possible storage period while offering passengers the option to set their preferred storage period. On this basis, the Board concludes that the processing envisaged in scenario 2 could be considered in principle compatible with Articles 5(1)(e), 5(1)(f), 25 and 32 GDPR, subject to the implementation of appropriate safeguards. | 理事会は、管理者が、同じ目的を効果的に達成できる、より侵入性の低い代替手段がないことを証明できる場合、その処理は必要性の原則を満たしていると考えられると結論付けた。さらに、暗号化された生体データの鍵/秘密を乗客が単独で管理しているため、乗客の積極的な関与によって、処理の侵入性が相殺される可能性がある。管理者が適切な保護措置を講じることを前提にすれば、このシナリオで集中化されたデータベースを使用することによるセキュリティリスクは低減され、データ主体の基本的権利および自由に対する負の影響は、予想される利益に比例すると考えられる。保存制限の原則に関して、長期間の保存期間を立証する情報は理事会に提供されていない。このシナリオにおいてGDPR第5条1項(e)との適合性を達成するためには、管理者は、具体的なケースにおいて、想定される保存期間が目的上必要である理由を正当化できるようにすべきである。理事会は、管理者が可能な限り短い保存期間を想定する一方で、利用者が希望する保存期間を設定できるオプションを提供することを推奨する。これに基づき、審査会は、シナリオ2で想定される処理は、適切な保護措置の実施を条件として、原則としてGDPR第5条1項(e)、5条1項(f)、25条および32条に適合すると考えられると結論付けた。 |
| The Board has identified safeguards which as a minimum should be implemented for a solution similar to the second scenario. | 理事会は、第 2 のシナリオと同様の解決策を講じるために最低限実施すべきセーフガードを特定した。 |
| The third scenario involves the centralised storage of an enrolled biometric template in an encrypted form within the airport under the airport operator’s control. This enables passenger identification (1:N comparison), as they proceed through the above mentioned airport checkpoints. The storage period in this scenario is typically 48 hours and the data is deleted once the plane has taken off. | 第 3 のシナリオは、空港運営者の管理下で、登録されたバイオメトリック・テンプレートを暗号化 された形で空港内に集中保管することである。これにより、上記の空港のチェックポイントを通過する際の乗客識別(1:N比較)が可能になる。このシナリオでの保存期間は通常48時間で、飛行機が離陸するとデータは削除される。 |
| As the storage of the ID and biometric data is in a central database, if the confidentiality of the database is compromised, it may subsequently entail access to the whole set of data and could enable unauthorised or unlawful identification of passengers in other environments. The centralised storage architecture under the control of the airport operator also leads to the passenger losing control of their data to a greater extent. The Board considers that a similar result to streamlining the passenger flow at airports can be achieved in a less intrusive manner and the negative impact on the data subjects’ fundamental rights and freedoms that would result from a data breach in a centralised database of biometric data seems to outweigh the anticipated benefit resulting from the processing. Therefore, the processing cannot meet the necessity and proportionality principles. On this basis, the Board concludes that the processing envisaged in the third scenario cannot be compatible with Article 25 GDPR. Also, it would not comply with Articles 5(1)(f) and 32 GDPR if a controller would limit themselves to the measures as described in this scenario. | IDおよび生体データの保存は中央データベースにあるため、データベースの機密性が 損なわれると、その後にデータ一式にアクセスすることになり、他の環境でも乗客の無許可または不法な識別が可能になる可能性がある。また、空港運営者の管理下にある一元化された保管構造は、乗客が自分のデータをより大きく管理できなくなることにもつながる。審査委員会は、空港における乗客の流れを合理化することと同様の結果を、より侵入的でない方法で達成することが可能であり、生体データの一元化されたデータベースにおけるデータ漏洩から生じるデータ主体の基本的権利および自由への悪影響は、処理から生じる予想される利益を上回ると考える。したがって、この処理は必要性および比例原則を満たすことはできない。これに基づき、理事会は、第3のシナリオで想定される処理はGDPR第25条に適合しないと結論付けた。また、管理者がこのシナリオに記載されているような措置に限定する場合、GDPR第5条1項(f)および第32条に適合しない。 |
| The fourth scenario involves the centralised storage of an enrolled biometric template in an encrypted form in the cloud under the control of the airline company or its cloud service provider. This enables passenger identification (1:N comparison) as they proceed through the above mentioned airport checkpoints. The storage period in this scenario can potentially be for as long as the customer holds an account with the airline company. | 第4のシナリオは、航空会社またはそのクラウドサービスプロバイダの管理下で、登録されたバイオメトリックテンプレートを暗号化された形でクラウドに集中保管することである。これにより、上記の空港のチェックポイントを通過する際の乗客の識別(1:N比較)が可能になる。このシナリオにおける保存期間は、顧客が航空会社のアカウントを保持している限り、潜在的に長くなり得る。 |
| As the storage of the ID and biometric data is in a central database in the cloud, multiple entities could have access to such data, including possibly non-EEA providers. The passenger’s data is decrypted when in use and the keys are under the control of the airline company or its processors, which could increase the security exposure surface. Such centralised storage architecture also leads to the passenger losing control of their data to a greater extent. The data could also be stored for a significant period of time, which exposes the data to higher risks of a security breach and seems to go beyond what is strictly necessary and proportionate for the purposes of processing, unless further apparent measures are taken to mitigate the risks to individuals. | IDおよび生体データの保存はクラウド上の中央データベースにあるため、複数の事業 体がそのようなデータにアクセスできる可能性があり、これにはおそらくEEA以外のプロバイダも 含まれる。乗客のデータは使用時に復号化され、鍵は航空会社またはそのデータ処理者の管理下に置かれる。また、このような一元化されたストレージ・アーキテクチャは、乗客が自分のデータをより大きく管理できなくなることにもつながる。また、データはかなりの期間保存される可能性があるため、個人へのリスクを軽減するためにさらに明白な措置が取られない限り、データはセキュリティ侵害の高いリスクにさらされ、処理目的のために厳密に必要かつ適切な範囲を超えるように思われる。 |
| The Board considers that a similar result to streamlining the passenger flow at airports can be achieved in a less intrusive manner and the negative impact on the data subjects’ fundamental rights and freedoms that could result from a data breach in a centralised database of biometric data seems to outweigh the anticipated benefit resulting from the processing. Therefore, the processing cannot meet the necessity and proportionality principles. On this basis, the Board concludes that the processing envisaged in the fourth scenario cannot be compatible with Article 25 GDPR. Also, it would not comply with Article 5(1)(e) GDPR based on the information available to the Board and would not comply with Articles 5(1)(f) and 32 GDPR if a controller would limit themselves to the measures as described in this scenario. | 理事会は、空港における乗客の流れを合理化することと同様の結果を、より侵入的でない方法で達成することが可能であり、生体データの一元化されたデータベースにおけるデータ漏洩から生じうるデータ主体の基本的権利および自由への悪影響は、処理から生じる予想される利益を上回ると考える。したがって、この処理は必要性および比例原則を満たすことはできない。これに基づき、理事会は、第4のシナリオで想定される処理はGDPR第25条に適合しないと結論付けた。また、理事会が入手可能な情報に基づくと、GDPR第5条1項(e)に適合せず、管理者がこのシナリオに記載されているような措置に限定する場合、GDPR第5条1項(f)および第32条にも適合しない。 |
目次...
| 1 INTRODUCTION | 1.序文 |
| 1.1 Summary of facts | 1.1 事実の概要 |
| 1.2 Admissibility of the request for an Article 64(2) GDPR Opinion | 1.2 GDPR第64条2項意見書の請求の可否 |
| 2 SCOPE AND CONTEXT OF THE OPINION | 2.意見の範囲と背景 |
| 2.1 Scope of the Opinion | 2.1 意見の範囲 |
| 2.2 Key notions | 2.2.主要な概念 |
| 3 On the merits of the request | 3.要求の是非について |
| 3.1 General observations | 3.1.一般的な見解 |
| 3.2 On compatibility with Article 5(1)(e) and (f), Articles 25 and 32 GDPR | 3.2 第5条1項(e)および(f)、GDPR第25条および第32条との整合性について |
| 3.2.1 Scenario 1: storage of enrolled biometric template only in the hands of the individual, for authentication | 3.2.1 シナリオ 1: 認証のために、登録されたバイオメトリック・テンプレートを本人の手にのみ保管する。 |
| 3.2.2 Scenario 2: centralised storage of enrolled biometric template in an encrypted form within the airport and with a key/ secret solely in the passengers’ hands, for authentication | 3.2.2 シナリオ 2:登録されたバイオメトリック・テンプレートを、認証のために、暗号化された形 で、空港内に集中保管し、鍵/秘密は乗客の手にのみ保管する。 |
| 3.2.3 Centralised storage of the enrolled biometric templates for identification | 3.2.3 登録された識別用バイオメトリック・テンプレートの集中保管 |
| 3.2.3.1 Scenario 3.1: centralised storage in a database within the airport, under the control of the airport operator | 3.2.3.1 シナリオ3.1:空港運営者の管理下で、空港内のデータベースに集中保管する。 |
| 3.2.3.2 Scenario 3.2: centralised storage in a cloud, under the control of the airline company | 3.2.3.2 シナリオ3.2:航空会社の管理下にあるクラウドへの集中保管 |
| 4 CONCLUSIONS | 4.結論 |
言い出しっぺのフランス...
● CNIL
● まるちゃんの情報セキュリティ気まぐれ日記
顔認識等...
・2023.12.12 英国 議会 司法・内務委員会 警察によるライブ顔認識(LFR)の使用に関する短期調査
・2023.10.16 カナダ プライバシーコミッショナー 意見募集 バイオメトリクス指針案 (2023.10.11)
・2023.08.22 中国 TC260 国家標準「機微な個人情報の処理に関するセキュリティ要件」公開草案 (2023.08.09)
・2022.12.09 世界経済フォーラム (WEF) 顔認識の責任ある制限のためのポリシーフレームワーク ユースケース:法執行機関の捜査 9つの原則 (2022.11)
・2022.07.12 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)
・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた
・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」
・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解
・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)
・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります
・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置
・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05
・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究
・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)
・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知
・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」
・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法
・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13
・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知
・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30
・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23
・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表
・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性
・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09
・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」
・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03
・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。
・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス
・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス
・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請
・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表
・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念
・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」
・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)
・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。
・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。
・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています
・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。
・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね
・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。
・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。
・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表
・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。
・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。
・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録
・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22
・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)
・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。
・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない
・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定
・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題
・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION
・2020.02.17 遠くからでもわかる顔認識システム!
ぐっと遡って、2000年代
・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)
・2005.08.11 外務省 IC旅券調査研究報告書
・2005.02.04 監視社会と信頼関係
こんにちは、丸山満彦です。
EDPBがChatGPTタスクフォースによる作業報告書が公表されています。途中経過ということですかね...
やはり、個人データの取り扱いについて、EUはきっちりやるわけですから、訓練の仕方はちゃんとしないといけないということに、なりますかね...
● European Data Protection Board; EDPB
・[PDF] Report of the work undertaken by the ChatGPT Taskforce
目次...
| 1 Background | 1 背景 |
| 2 ONGOING INVESTIGATIONS | 2 現在進行中の調査 |
| 3 PRELIMINARY VIEWS | 3 予備的見解 |
| 3.1 Lawfulness | 3.1 合法性 |
| 3.1.1 Collection of training data, pre-processing of the data and training | 3.1.1 トレーニングデータの収集、データの事前処理、トレーニング |
| 3.1.2 ChatGPT input, output and training | 3.1.2 ChatGPTの入力、出力、トレーニング |
| 3.2 Fairness | 3.2 公平性 |
| 3.3 Transparency and information obligations | 3.3 透明性と情報義務 |
| 3.4 Data Accuracy | 3.4 データの正確性 |
| 3.5 Rights of the data subject | 3.5 データ主体者の権利 |
| 4 ANNEX (QUESTIONNAIRE) | 4 附属書(アンケート用紙) |
● まるちゃんの情報セキュリティ気まぐれ日記
プライバシー関係
・2023.08.23 個人情報保護委員会 生成AIサービスの利用に関する注意喚起 -個人情報がAIの学習データとして利用されていませんか?-
・2023.06.01 生成的AIとプライバシー当局(カナダ ニュージーランド)
・2023.05.18 フランス CNIL 人工知能に対する行動計画
・2023.05.04 イタリア データ保護庁 ChatGPTが復活... (2023.04.28)
・2023.04.14 EDPB Metaによる米国への個人データ転送に関する紛争解決、Chat GPTに関するタスクフォースを設置
・2023.04.14 イタリア データ保護庁 ChatGPT復活へ... 4月30日までに改善できれば...
・2023.04.14 スペイン ChatGPTを運営するOpenAI社に対して職権で調査手続きを開始
・2023.04.10 イタリア データ保護庁委員とOpenAI社CEOが会談
・2023.04.02 イタリア データ保護庁がOpenAI社にプライバシー規制を遵守するまでChatGPTがイタリア人ユーザのデータ処理の制限を直ちに命じた...
AIと倫理、犯罪...
・2023.07.13 欧州委員会 Web4.0と仮想世界に関するEUのイニシアチブ: 次の技術的転換期を先取りする
・2023.07.14 中国 国家サイバースペース管理局他 生成型AIサービス管理暫定弁法 施行は2023.08.15
・2023.07.14 OECD 人工知能における規制のサンドボックス
・2023.07.22 米国 ホワイトハウス 7つの米国AI企業が、バイデン政権とした3つの分野の8つの約束
・2023.06.05 オーストラリア 責任あるAIについての意見募集
・2023.05.19 ドイツ BSI 大規模AI言語モデル - 産業界と公的機関の可能性とリスク (2023.05.10)
・2023.05.15 欧州 CERT-EU 生成的AIの潜在的な影響とリスク
・2023.05.08 米国 ホワイトハウス 「米国人の権利と安全を守る責任あるAIイノベーションを推進する新たな行動」 (2023.05.04)
・2023.05.06 米国 連邦取引委員会 AIと消費者の信頼の工学 (It’s cool to use the computer. Don’t let the computer use you. by Prince in 1999)
・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。
・2023.04.14 生命未来研究所 AIの研究はちょっと一休みしたらどうか? 2023.04.12
・2023.04.06 OpenAI ブログ AIの安全への取り組み
・2023.04.05 英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...
・2023.04.03 欧州 EU外交部 人工知能時代に事実を正しく伝えるために
・2023.03.30 欧州 ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項
大学...
・2023.04.22 東北大学、東京工業大学の生成的AI利用の留意事項
・2023.04.20 大阪大学 生成AI(Generative AI)の利用について
・2023.04.06 東京大学 生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について
こんにちは、丸山満彦です。
韓国の個人情報保護委員会が、㈱カカオに課徴金151億4,196万ウォン、罰金780万ウォン(合わせて17.5億円)を課したと公表していますね...
ハッキングを受けた被害者でもあるわけですが、結果的に個人データを漏えいさせてしまったということもありますしね...
どの国も課徴金が増えていく傾向なんですかね...
● 개인정보위
・2024.05.23 개인정보위, ㈜카카오에 과징금 151억 원, 과태료 780만 원 부과
| 개인정보위, ㈜카카오에 과징금 151억 원, 과태료 780만 원 부과 | 個人情報委員会、㈱カカオに課徴金151億ウォン、罰金780万ウォンを課す |
| - 지난해 발생한 오픈채팅 이용자 개인정보 유출사고 관련 | ・昨年発生したオープンチャット利用者の個人情報流出事故に関連して |
| - 안전조치 의무위반 및 유출 신고·피해자 통지 소홀 등에 대해 제재, 시정명령과 결과 공표도 함께 처분 | ・安全措置義務違反及び流出申告・被害者通知の不履行などに対する制裁,是正命令と結果公表も併せて処分 |
| 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 5월 22일(수) 제9회 전체회의를 열고, 개인정보보호 법규를 위반한 ㈜카카오에 대해 151억 4,196만 원의 과징금과 780만 원의 과태료를 부과하고, 시정명령과 처분결과를 공표하기로 의결하였다. | 個人情報保護委員会(委員長コ・ハクス、以下「個人情報委員会」)は5月22日(水)、第9回全体会議を開き、個人情報保護法規に違反した㈱カカオに対して151億4,196万ウォンの課徴金と780万ウォンの罰金を課し、是正命令と処分結果を公表することを議決した。 |
| 개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사하였다. | 個人情報委員会は昨年3月、カカオトークのオープンチャット利用者の個人情報が違法取引されているというマスコミ報道に基づき、個人情報保護法違反の有無を調査した。 |
| 조사 결과, 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 획득했고, 카카오톡의 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보하였으며, 이들 정보를 ‘회원일련번호’를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인되었다. | 調査の結果、ハッカーはオープンチャット室の脆弱性を利用してオープンチャット室の参加者情報を取得し、カカオトークの友達追加機能と違法プログラムなどを利用して利用者情報を確保し、これらの情報を「会員シリアル番号」を基準に結合して個人情報ファイルを生成、販売したことが確認された。 |
| < 개인정보 유출 과정 > | < 個人情報流出の過程 > |
| 개인정보위는 ㈜카카오가 카카오톡 서비스를 제공하는 과정에서 다음과 같은 위반 사실을 확인하였다. | 個人情報委員会は、㈱カカオがカカオトークサービスを提供する過程で、次のような違反事実を確認した。 |
| < 안전조치의무 위반 > | < 安全措置義務違反 > |
| 먼저, ㈜카카오는 익명채팅이라고 홍보하며 오픈채팅 서비스를 운영하였는데, 일반채팅과 오픈채팅을 이용하는 이용자를 동일한 회원일련번호로 식별할 수 있게 이용자 식별체계를 구현하였다. 다만, 오픈채팅 참여자는 오픈채팅방 정보(오픈채팅방 ID)와 회원일련번호로 구성한 임시ID를 메시지 송수신시 사용하였다. | まず、(株)カカオは匿名チャットと広報してオープンチャットサービスを運営したが、一般チャットとオープンチャットを利用する利用者を同一の会員シリアル番号で識別できるように利用者識別体系を実装した。ただし、オープンチャット参加者は、オープンチャットルーム情報(オープンチャットルームID)と会員シリアル番号で構成した仮IDをメッセージの送受信時に使用した。 |
| ’20. 8월 이전에 생성된 오픈채팅방은 참여자의 임시ID를 암호화하지 않아, 임시ID에서 회원일련번호를 쉽게 확인할 수 있었다. | '20.8月以前に生成されたオープンチャットルームは、参加者の仮IDを暗号化せず、仮IDから会員シリアル番号を簡単に確認することができた。 |
| 또, ’20. 8월 이후에 생성된 오픈채팅방은 임시ID를 암호화하였지만, 오픈채팅방 게시판에 암호화된 임시ID를 입력하면 암호화를 해제하고 평문으로 임시ID를 노출하는 취약점이 있어, 참여자의 암호화된 임시ID도 쉽게 회원일련번호를 확인할 수 있었다. | また、'20年8月以降に生成されたオープンチャットルームは、一時IDを暗号化したが、オープンチャットルーム掲示板に暗号化された一時IDを入力すると、暗号化を解除して平文で一時IDを公開する脆弱性があり、参加者の暗号化された一時IDも簡単に会員シリアル番号を確認することができた。 |
| 이와 같이, ㈜카카오는 카카오톡 서비스 설계‧운영 과정에서 회원일련번호와 임시ID가 연계되어 오픈채팅의 익명성이 훼손 또는 개인정보 노출될 가능성이 있음에도 그에 대한 검토와 개선 조치를 소홀히 한 것이다. 마찬가지로, 오픈채팅방 게시판에 있던 보안 취약점에 대한 점검과 개선조치를 소홀히 하였다. | このように、(株)カカオは、カカオトークサービスの設計・運営過程で会員シリアル番号と仮IDが連携され、オープンチャットの匿名性が損なわれたり、個人情報が公開される可能性があるにもかかわらず、それに対する検討と改善措置を怠ったのである。同様に、オープンチャット掲示板にあったセキュリティの脆弱性に対する点検と改善措置を怠った。 |
| 회원일련번호 연계에 따른 익명성 훼손을 방지하려면 오픈채팅 이용자는 일반채팅과 다른 식별체계로 구성하거나, 임시ID를 암호화해 회원일련번호가 노출되지 않도록 하는 방법 등이 가능하다. ㈜카카오는 지난해 사고 발생 이후 모든 오픈채팅방 참여자의 임시ID를 암호화하였다. | 会員シリアル番号連携による匿名性毀損を防止するには、オープンチャット利用者は、一般チャットと異なる識別体系で構成したり、一時IDを暗号化して会員シリアル番号が露出されないようにする方法などが可能である。カカオ(株)は昨年の事故発生後、すべてのオープンチャット参加者の一時IDを暗号化した。 |
| 또, 카카오톡 전송방식을 분석한 공개된 API를 이용하면 이용자 정보 추출 등이 가능하다는 지적이 개발자 커뮤니티 등에 공개되어 왔음에도 불구하고, ㈜카카오는 관련 내용이 카카오톡 서비스에 비치는 영향, 개인정보 유출 등 피해 가능성에 대한 검토와 개선 조치도 미흡하였다. | また、カカオトークの送信方式を分析した公開されたAPIを利用すれば、利用者情報の抽出などが可能だという指摘が開発者コミュニティなどに公開されてきたにもかかわらず、㈱カカオは、関連内容がカカオトークサービスに及ぼす影響、個人情報流出などの被害の可能性に対する検討と改善措置も不十分だった。 |
| 오픈채팅 서비스 설계‧구현 과정에서의 과실과 카카오톡 전송방식을 분석해서 만든 해킹 프로그램을 이용한 악성행위에 대한 대응조치 미흡 등으로 인해서 ㈜카카오가 처리 중인 개인정보가 해커에게 공개‧유출되었고, 따라서 ㈜카카오는 개인정보 보호법의 안전조치 의무를 위반하였다. | オープンチャットサービスの設計・実装過程での過失と、カカオトークの送信方式を分析して作ったハッキングプログラムを利用した悪質行為に対する対応措置の不十分などにより、㈱カカオが処理中の個人情報がハッカーに公開・流出され、したがって、㈱カカオは個人情報保護法の安全措置義務に違反した。 |
| < 유출 신고·통지 의무 위반 > | <流出申告・通知義務違反 > |
| 또한, ㈜카카오는 ’23. 3월 언론보도 및 개인정보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보 보호법을 위반하였다. | また、(株)カカオは、'23年3月のマスコミ報道及び個人情報委員会の調査過程で、カカオトークのオープンチャットルーム利用者の個人情報が流出されているという事実を認識したにもかかわらず、流出申告と利用者対象の流出通知を行わず、個人情報保護法に違反した。 |
| 개인정보위는 이용자 개인정보가 유출된 ㈜카카오에 대해 안전조치의무 위반으로 과징금을 부과하고, 유출 신고·통지의무 위반 등에 대해서는 과태료를 부과하기로 결정하였다. | 個人情報委員会は、利用者の個人情報が流出した㈱カカオに対し、安全措置義務違反で課徴金を課し、流出申告・通知義務違反などに対しては過料を課すことを決定した。 |
| 또, ㈜카카오에 이용자 대상 유출 통지를 할 것을 시정명령하는 동시에, 개인정보위 홈페이지에 처분 결과를 공표하기로 결정하였다. | また、(株)カカオに利用者対象の流出通知をすることを是正命令すると同時に、個人情報委員会のホームページに処分結果を公表することを決定した。 |
| 이번 처분을 계기로 카카오톡과 같이 대다수 국민이 이용하는 서비스의 경우 보안 취약점을 상시적으로 점검‧개선하는 한편 설계‧개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대해서도 지속적인 점검과 노력이 필수적이라는 인식이 자리잡기를 기대한다고 개인정보위는 밝혔다. | 今回の処分をきっかけに、カカオトークのように大多数の国民が利用するサービスの場合、セキュリティの脆弱性を常時点検・改善する一方、設計・開発過程で発生する可能性のある個人情報侵害の可能性についても、持続的な点検と努力が必須であるという認識が定着することを期待すると個人情報委員会は明らかにした。 |
・2024.05.23 [PDF] 240523 (석간) 개인정보위, ㈜카카오에 과징금 151억 원, 과태료 780만 원 부과(조사2과) FN
こんにちは、丸山満彦です。
製品セキュリティについて、CCの普及がコスト面も含めて難しい中、フランスはCSPN(Certification de Sécurité de Premier Niveau)[wikipedia] を実施し、ドイツは、BSZ (Beschleunigte Sicherheitszertifizierung)を実施し、相互認証を行なっていますが、今回その相互承認協定を延長したとフランス、ドイツ両政府が発表していますね...
二つの国は仲良し(^^)
まずは、フランス...
● Agence nationale de la sécurité des systèmes d'information (ANSSI)
・2024.05.24 Renouvellement de l’accord de reconnaissance mutuelle CSPN-BSZ entre l’ANSSI et le BSI
| Renouvellement de l’accord de reconnaissance mutuelle CSPN-BSZ entre l’ANSSI et le BSI | ANSSIとBSIのCSPN-BSZ相互認証協定が更新される |
| Le 15 mai 2024, Vincent Strubel, directeur général de l’ANSSI et son homologue allemande du BSI, Claudia Plattner ont approuvé et signé en personne la nouvelle version de l’accord de reconnaissance mutuelle des certificats de sécurité pour les schémas CSPN et BSZ | 2024年5月15日、ANSSIのヴァンサン・シュトルーベル事務局長とBSIのクラウディア・プラットナー・ドイツ代表は、CSPNとBSZスキームのセキュリティ証明書の相互承認協定の新バージョンを承認し、署名した。 |
| Initialement signé en juin 2022, l’accord de reconnaissance mutuelle CSPN-BSZ permet la reconnaissance réciproque des certificats de sécurité de ce type entre la France et l'Allemagne, évitant ainsi la duplication des évaluations. Cet accord prévoit également la coopération technique entre les deux agences afin de favoriser l’harmonisation des pratiques dans le but de permettre de réduire au maximum les exceptions à cet accord. | 2022年6月に調印されたCSPN-BSZ相互認証協定は、フランスとドイツの間でこの種のセキュリティ認証の相互認証を可能にし、審査の重複を回避する。また、この協定は、協定に対する例外を最小限に抑えることを目的として、実務の調和を促進するための両機関間の技術協力についても定めている。 |
| En s’appuyant désormais sur la norme européenne FiTCEM (Fixed Time Cybersecurity Evaluation Methodology for ICT products, EN 17640) récemment adoptée, la nouvelle version de l’accord représente une nouvelle étape vers l'harmonisation globale des schémas de certification de ce type. Ce renouvellement s’inscrit dans l’optique de la création à terme d’un schéma de certification européen tel que prévu par le Cybersecurity Act, | 最近採択された欧州規格FiTCEM(Fixed Time Cybersecurity Evaluation Methodology for ICT products, EN 17640)に基づく新バージョンの協定は、この種の認証制度の世界的調和に向けたさらなる一歩となる。この更新は、サイバーセキュリティ法で想定されている欧州の認証スキームの最終的な創設に沿ったものである、 |
| Aucun accord semblable n’existe avec un autre partenaire de l’Agence, c’est pourquoi la signature de son renouvellement illustre la solidité de la coopération entre l’ANSSI et le BSI, ainsi que le niveau de confiance élevé entre les deux partenaires en matière de certification. | ANSSIの他のパートナーとの間には同様の協定は存在しないため、今回の更新の調印は、ANSSIとBSIの協力関係の強さと、認証に関する2つのパートナー間の高い信頼性を示している。 |
次に、ドイツ...
● Bundesamt für Sicherheit in der Informationstechnik; BSI
・2024.05.24 BSI und ANSSI verlängern Abkommen zur Anerkennung von IT-Sicherheitszertifikaten
| BSI und ANSSI verlängern Abkommen zur Anerkennung von IT-Sicherheitszertifikaten | BSIとANSSIがITセキュリティ証明書の承認に関する合意を拡大 |
| Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, und der Generaldirektor der Agence nationale de la sécurité des systèmes d'information (ANSSI), Vincent Strubel, haben am 15. Mai 2024 ein überarbeitetes Abkommen zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten für die Programme CSPN (Certification de Sécurité de Premier Niveau) und BSZ (Beschleunigte Sicherheitszertifizierung) unterzeichnet. Das Abkommen basiert auf der europäischen Norm EN 17640 "Zeitlich festgelegte Cybersicherheitsevaluationsmethodologie für IKT-Produkte" (FiT CEM). Diese neue Grundlage des Abkommens eröffnet Möglichkeiten der weiteren europäischen Harmonisierung unter anderem im Rahmen oder als Ergänzung eines europäischen Zertifizierungsschemas unter dem Cyber Security Act (CSA). | 連邦情報セキュリティー局(BSI)のクラウディア・プラットナー総裁と国家情報セキュリティー局(ANSSI)のヴァンサン・シュトルーベル局長は、2024年5月15日、CSPN(Certification de Sécurité de Premier Niveau)およびBSZ(Accelerated Security Certification)プログラムにおけるITセキュリティー証明書の相互承認に関する改定協定に署名した。この協定は、欧州規格EN 17640「ICT製品の時間ベースのサイバーセキュリティ評価方法」(FiT CEM)に基づいている。この協定の新たな基盤は、サイバーセキュリティ法(CSA)に基づく欧州認証スキームの一部または追加を含め、さらなる欧州調和の機会を開くものである。 |
| Es gilt weiterhin, dass bereits gültige sowie zukünftig erteilte Zertifikate in beiden Programmen als gleichwertig anerkannt werden. Neu ist ein gemeinsames Logo, das auf die Anerkennung verweist und fortan auf den Zertifikaten und in den Zertifizierungsberichten enthalten ist. So können potentielle Produktnutzerinnen und -nutzer einfacher erkennen, dass eine Zertifizierung unter das Anerkennungsabkommen fällt. | すでに有効な証明書も、今後発行される証明書も、両制度において同等と認められ続ける。新たな特徴として、認証を示す共同ロゴがあり、今後、認証書と認証報告書に記載される。これにより、潜在的な製品ユーザーは、認証が認証協定の対象であることを容易に認識できるようになる。 |
| Die Verlängerung des Anerkennungsabkommens ist ein weiterer Beleg für die dauerhaft gute und enge Zusammenarbeit zwischen ANSSI und BSI. Durch das Abkommen und die dort verankerten gemeinsamen technischen "Application Notes" wird die neue Evaluierungsmethodologie der FiT CEM im Sinne der beiden Nationen ausgestaltet und mit Leben gefüllt. Das schafft praxiserprobte Blaupausen für eine zukünftige europäische Harmonisierung. | 承認協定の延長は、ANSSIとBSIの良好かつ緊密な協力関係が続いていることのさらなる証明である。この協定とそれに基づく共同テクニカル・アプリケーション・ノートを通じて、FiT CEMの新しい評価方法が開発され、両国の精神が息づいている。これにより、将来の欧州におけるハーモナイゼーションのための、試行錯誤の青写真が描かれる。 |
新しいロゴ...
こんにちは、丸山満彦です。
2024.04.19にMITREが、研究開発ネットワークが外国のサイバー攻撃者に侵入されていたと公表しましたが、その調査が一段落したと公表していますね...
概要については、3回にわけてブログに掲載されています...
今回のこの事件の侵入方法ですが、、、
Ivanti Connect Secureのゼロデイ脆弱性2つを使い、仮想プライベートネットワーク(VPN)の1つを悪用し、セッションハイジャックを使って多要素認証をすり抜け、侵入しているようです...その後、永続性を確保したようです。
おそらく高度な攻撃だったのでしょうね...だんだんと匠の世界にはいっていきますね...
しかし、ブログを使って攻撃手法等を公開しているところは、内閣官房の対応と違いますよね。。。こういう攻撃手法をしてきているから、みんな気をつけろよ。。。って話ですよね。。。
ぜひブログ3部作を読んでみてくださいませ...
クリアランスとかも含めて、こういう姿勢の違いがあるから、ちょっと気になるんですよね...
さて、まずは、プレスから...
● MITRE
・2024.05.24 MITRE Concludes Its Internal Cyber-Attack Investigation
| MITRE Concludes Its Internal Cyber-Attack Investigation | MITRE、サイバー攻撃に関する内部調査を終了 |
| In April, MITRE disclosed that its research collaboration network known as NERVE was hacked by a Chinese nation-state adversary. After collaboration with law enforcement and CrowdStrike, a cyber forensics provider, MITRE has concluded its internal investigation of the incident involving two Ivanti Connect Secure zero-day vulnerabilities that bypassed our multi-factor authentication. The adversary maneuvers within the network and the VMware infrastructure are explained in a three-part series of technical blogs that you can read here. | 4月、MITREはNERVEとして知られる研究協力ネットワークが中国の国家的敵対者によってハッキングされたことを公表した。法執行機関およびサイバー・フォレンジック・プロバイダーであるCrowdStrikeとの協力の後、MITREは、当社の多要素認証をバイパスする2つのIvanti Connect Secureのゼロデイ脆弱性に関わる事件の内部調査を終了した。ネットワークおよびVMwareインフラストラクチャ内での敵の作戦については、3部構成の技術ブログで説明されており、こちらで読むことができる。 |
| “We quickly disclosed the incident and what facts we knew at the time to our government sponsors, trustees, and law enforcement, as well as our employees and the cyber community,” said Jason Providakes, MITRE, president and CEO. “As a company that operates in the public interest, this timely and transparent response to the cyber-attack and sharing our learnings will enable organizations in the public and private sectors to help deter future attacks.” | 「MITREの社長兼最高経営責任者(CEO)のジェイソン・プロビデイクス(Jason Providakes)氏は、次のように述べている。「私たちは、このインシデントと、その時点でわかっていた事実を、政府のスポンサー、評議員、法執行機関、そして私たちの従業員やサイバー・コミュニティに迅速に開示しました。公共の利益のために活動する企業として、サイバー攻撃に対するこのタイムリーで透明性のある対応と、われわれの学びを共有することで、官民の組織は将来の攻撃を抑止することができるようになる」 |
| While the investigation has concluded, MITRE will continue to share any new relevant information that becomes available and support the ongoing federal law enforcement investigation of the incident. | 調査は終了したが、MITREは引き続き、入手可能になった新たな関連情報を共有し、現在進行中の連邦法執行機関による事件の捜査を支援する。 |
| “As adversaries continue to evolve their tactics and techniques, it is imperative for organizations to remain vigilant and adaptive in defending against cyber threats,” said Charles Clancy, MITRE, senior vice president and chief technology officer. “We continue to evolve our cybersecurity frameworks and share with the cyber community. By understanding and countering their new adversary behaviors, we can bolster our defenses and safeguard critical assets against future intrusions.” | 「MITREのチャールズ・クランシー上級副社長兼最高技術責任者(CTO)は、「敵が戦術や技術を進化させ続ける中、組織がサイバー脅威から身を守るためには、警戒と適応を怠らないことが不可欠だ。「我々はサイバーセキュリティのフレームワークを進化させ、サイバーコミュニティと共有し続けている。新たな敵の行動を理解し、それに対抗することで、私たちは防御を強化し、将来の侵入から重要な資産を守ることができる。 |
技術がわかる方は、このブログ3部もぜひ...
作時間軸にそって...
・2024.04.20 Advanced Cyber Threats Impact Even the Most Prepared
・2024.05.03 Technical Deep Dive: Understanding the Anatomy of a Cyber Intrusion
・2024.05.24 Infiltrating Defenses: Abusing VMware in MITRE’s Cyber Intrusion
● まるちゃんの情報セキュリティ気まぐれ日記
事件発生時のブログ...
・2024.04.21 米国 MITERの研究開発ネットワークが外国のサイバー攻撃者に侵入されていたようですね(私たちだって侵入を許してしまうくらいですから、みなさんも...)
内閣官房のメールシステムが侵入を受けてデータが漏えいした件...
・2023.08.18 内閣官房 内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について(2023.08.04)
こんにちは、丸山満彦です。
中国の国家情報セキュリティ標準化技術委員会 (TC260) が「生成的人工知能サービスのセキュリティに関する基本要件」の草案を公表し、意見募集をしていますね。。。
内容はこんな感じ...
・2024.05.23 关于国家标准《网络安全技术 生成式人工智能服务安全基本要求》征求意见稿征求意见的通知
・[PDF] 网络安全技术 生成式人工智能服务安全基本要求-标准文本
説明...
・[PDF] 网络安全技术 生成式人工智能服务安全基本要求-编制说明
対訳... ↓ ↓ ↓
こんにちは、丸山満彦です。
中国の国家情報セキュリティ標準化技術委員会 (TC260) が「ネットワークセキュリティ技術ソフトウェア部品表データフォーマット」の草案を公表し、意見募集をしていますね。。。
中国もSBOMですね...
・2024.05.16 关于国家标准《网络安全技术 软件物料清单数据格式》征求意见稿征求意见的通知
意見募集案...
・[DOCX] 网络安全技术 软件物料清单数据格式-标准文本
・2024.05.16 网络安全技术 软件物料清单数据格式-编制说明
こんにちは、丸山満彦です。
米国の国家安全保障局が、アプリケーションとワークロードのピラーを通してゼロトラストの成熟度を高めるためのガイドを公表していますね...
ゼロトラストアーキテクチャには、7つのピラー、
| USER | ユーザー |
| DEVICE | デバイス |
| APPLICATION & WORKLOAD | アプリケーションとワークロード |
| DATA | データ |
| NETWORK & ENVIRONMENT | ネットワークと環境 |
| AUTOMATION & ORCHESTRATION | 自動化とオーケストレーション |
| VISIBLITY & ANALITICS | 可視性と分析 |
が、ありますが、
今回のテーマは、APPLICATION & WORKLOAD です...
● National Security Agency/Central Security Service
・2024.05.22 [PDF] CSI: Advancing Zero Trust Maturity Throughout the Application and Workload Pillar
エグゼクティブサマリー...
| Executive summary | エグゼクティブサマリー |
| In the current digital landscape where malware and emerging online threats continue to evolve and become more sophisticated, it is imperative that organizations prioritize cybersecurity as essential to their operations. Information Technology (IT) professionals are keenly aware of the security challenges facing applications, but workloads are every bit as important to consider in this domain. | マルウェアや新たなオンラインの脅威が進化を続け、より巧妙になっている現在のデジタル環境では、組織がサイバーセキュリティを業務に不可欠なものとして優先させることが不可欠である。情報技術(IT)の専門家は、アプリケーションが直面するセキュリティ上の課題を強く認識しているが、この領域で考慮すべきは、ワークロードも同様に重要である。 |
| Workloads represent computational tasks, which encompass multiple programs or applications performing those tasks by utilizing computing, data, networking, and storage resources. Workloads evolve over their lifecycle through mission development, test, and production scenarios. “A workload is an expression of an ongoing effort of an application AND what is being requested of it … Applications tend to shape the characteristics of the workload itself by how it processes the data, or the software limits inherent to the solution.” [1] Workloads can be comprised of services across multiple clouds, with application programming interfaces (APIs) connecting to third parties and sensitive databases that require different levels of access. To navigate the complexities of managing workloads across computing environments and workflows, organizations are turning to advanced tools such as backend APIs, workload automation software, artificial intelligence (AI) predictive analytics, and cloud management platforms. [2] | ワークロードは、コンピューティング、データ、ネットワーキング、およびストレージリソースを利用することで、それらのタスクを実行する複数のプログラムやアプリケーションを包含する計算タスクを表す。ワークロードは、ミッションの開発、テスト、および実稼働シナリオを通じて、そのライフサイクルの中で進化する。「ワークロードは、アプリケーションの継続的な努力の表現であり、アプリケーションに要求されるものである...アプリケーションは、データをどのように処理するか、またはソリューションに固有のソフトウェアの制限によって、ワークロード自体の特性を形成する傾向がある。[ワークロードは複数のクラウドにまたがるサービスで構成され、アプリケーション・プログラミング・インターフェース(API)はサードパーティに接続し、機密性の高いデータベースは異なるレベルのアクセスを必要とする。コンピューティング環境とワークフローにまたがるワークロードの複雑な管理をナビゲートするために、組織はバックエンドAPI、ワークロード自動化ソフトウェア、人工知能(AI)予測分析、クラウド管理プラットフォームなどの高度なツールに目を向けている。[2] |
| These tools enable organizations to achieve their mission of interconnectedness, scalability, and usability by interacting with and exchanging data. This exchange of data creates opportunities for malicious actors to target business applications and workloads, as well as the methods used to safeguard them, leading to security challenges. | これらのツールは、データとの相互作用やデータ交換によって、相互接続性、拡張性、ユーザビリティという組織の使命を達成することを可能にする。このようなデータ交換は、悪意のある行為者がビジネス・アプリケーションやワークロード、またそれらを保護するために使用される方法を標的にする機会を生み出し、セキュリティ上の課題につながる。 |
| This cybersecurity information sheet (CSI) provides recommendations for achieving progressive levels of application and workload pillar capabilities and further discusses how these capabilities integrate into a comprehensive Zero Trust (ZT) framework. [3] National Security System (NSS), Department of Defense (DoD), and Defense Industrial Base (DIB) owners should use this and other guidance to develop concrete steps for maturing their application and workload security. | このサイバーセキュリティ情報シート(CSI)は、アプリケーションとワークロードのピラーとなる能力の漸進的なレベルを達成するための推奨事項を提供し、さらにこれらの能力が包括的なゼロトラスト(ZT)フレームワークにどのように統合されるかについて論じている。[国家安全保障システム(NSS)、国防総省(DoD)、防衛産業基盤(DIB)の所有者は、アプリケーションとワークロードのセキュリティを成熟させるための具体的なステップを開発するために、このガイダンスと他のガイダンスを使用すべきである。 |
7つのピラー...
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.04.15 米国 NSA データ・ピラー全体でゼロトラストの成熟度を進める (2024.04.09)
・2024.03.08 米国 NSA ネットワークと環境のピラーでゼロトラストの成熟度を進める (2024.03.05)
こんにちは、丸山満彦です。
アマゾンが「AWSにおける経済安全保障推進法に関する考慮事項(日本語)」を公表していると、ブログで紹介していますね...松本照吾さんの記事ですね...少し、紹介が遅れました...
AWSは本制度の対象となる基幹インフラ自体を担う事業者ではなく、また特定重要設備をサービスとして提供する事業者ではありません。しかし、こうした社会的な機能維持の責任をもつお客様が、その構成設備の一部としてAWSの様々なサービスを利用されることが想定されます。
ということで、このホワイトペーパーを作っている様ですね...
なんと言いますか、一歩先をいっている感があります...
● AWS - Amazon Web Services ブログ
・2024.05.18 「AWSにおける経済安全保障推進法に関する考慮事項」ホワイトペーパーが発行されました。
・[PDF] AWSにおける経済安全保障推進法に関する考慮事項
あっ、紙がレターサイズですね...
目次...
1 対象読者
2 経済安全保障推進法の概要
3 クラウドサービスの利用における留意事項
4 Amazon Web Services のシステムの概要
5 AWS における経済安全保障推進法への対応
1. お客様が実施すべき事項
2. 「導入等計画書」「4.構成設備に関する事項」
3. 「導入等計画書」「5.特定重要設備の導入にあたって特定社会基盤事業者が講ずる特定妨害行為を防止するための措置に係る事項」に関する考慮事項(共通項目)
4. その他規制業種毎の個別要求項目
Document Revisions
いろいろと参考になりますね..
こんにちは、丸山満彦です。
米国のNISTのサイバー&プライバシー分野の年次報告です...
予算獲得のためかもしれませんが...年度(2022.10.01-2023.09.30) の出来事を振り返る上で参考になりますね。。。もう少し早くだせばよいのにね...
● NIST - ITL
・2024.05.20 SP800-229 Fiscal Year 2023 Cybersecurity and Privacy Annual Report
| NIST SP 800-229 Fiscal Year 2023 Cybersecurity and Privacy Annual Report | NIST SP 800-229 2023会計年度サイバーセキュリティ・プライバシー年次報告書 |
| Abstract | 概要 |
| During Fiscal Year 2023 (FY 2023) – from October 1, 2022, through September 30, 2023 –the NIST Information Technology Laboratory (ITL) Cybersecurity and Privacy Program successfully responded to numerous challenges and opportunities in security and privacy. This Annual Report highlights the FY 2023 research activities for the ITL Cybersecurity and Privacy Program, including the ongoing participation and development of international standards; research and practical applications in several key priority areas (e.g., Post Quantum Cryptography, updating the NIST Cybersecurity Framework (CSF 2.0) and some new CSF profiles); accomplishments in the area of improving software and supply chain cybersecurity; IoT cybersecurity guidelines work; National Cybersecurity Center of Excellence (NCCoE) projects, and setting up a new comment site for NIST’s Risk Management Framework work; release of a Phish scale; progress in the Identity and Access Management program; Strategic and Emerging Research Initiatives (SERI) for autonomous vehicles. | 2023会計年度(2022年10月1日から2023年9月30日まで)において、NIST情報技術研究所(ITL)のサイバーセキュリティ・プライバシープログラムは、セキュリティとプライバシーに関する多くの課題と機会に成功裏に対応した。本年次報告書では、ITLサイバーセキュリティ・プライバシープログラムの2023年度の研究活動に焦点を当て、国際標準への継続的な参加と開発、いくつかの主要優先分野(例.ポスト量子暗号、NISTサイバーセキュリティ・フレームワーク(CSF 2.0)の更新といくつかの新しいCSFプロファイル)、ソフトウェアとサプライチェーンのサイバーセキュリティの改善分野における成果、IoTサイバーセキュリティ・ガイドラインの作業、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)プロジェクト、NISTのリスクマネジメント・フレームワーク作業に対する新しいコメントサイトの立ち上げ、フィッシュ・スケールのリリース、アイデンティティとアクセス・マネジメント・プログラムの進捗、自律走行車のための戦略的・新興研究イニシアチブ(SERI)などである。 |
・[PDF] NIST.SP.800-229
目次
| Cryptography | 暗号 |
| Education, Training & Workforce Development | 教育、トレーニング、人材開発 |
| Emerging Technologies | 新興技術 |
| Human-Centered Cybersecurity | 人間中心のサイバーセキュリティ |
| Identity & Access Management | アイデンティティとアクセス管理 |
| Privacy | プライバシー |
| Risk Management | リスクマネジメント |
| Trustworthy Networks & Platforms | 信頼できるネットワークとプラットフォーム |
| NIST National Cybersecurity Center of Excellence | NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス |
ちなみに過去分も含めて...
| 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 |
| SP 800-229 | SP 800-225 | SP 800-220 | SP 800-214 | SP 800-211 | SP 800-206 | SP 800-203 |
| 暗号 | 暗号 | 暗号の標準と検証 | サイバーセキュリティの啓発と教育 | サイバーセキュリティとプライバシーの標準化の進化 | サイバーセキュリティとプライバシー基準の推進 | 国際ITセキュリティ標準へのITLの関与 |
| 教育、トレーニング、人材開発 | 教育、トレーニング、人材開発 | サイバーセキュリティの測定 | アイデンティティとアクセス管理 | リスク管理の強化 | リスクマネジメントの強化 | リスク管理 |
| 新興技術 | アイデンティティとアクセス管理 | 教育と労働力 | 測定基準と測定 | 暗号標準と検証の強化 | 暗号の標準と検証の強化 | バイオメトリクス標準と関連する適合性評価試験ツール |
| 人間中心のサイバーセキュリティ | プライバシー | アイデンティティとアクセス管理 | リスクマネジメント | 先端サイバーセキュリティ研究・応用開発 | サイバーセキュリティの研究・応用開発の推進 | サイバーセキュリティアプリケーション |
| アイデンティティとアクセス管理 | リスクマネジメントと計測 | プライバシーエンジニアリング | プライバシーエンジニアリング | サイバーセキュリティについての意識向上、トレーニング、教育、人材育成 | サイバーセキュリティの意識向上、トレーニング、教育、人材開発 | ソフトウェアの保証と品質 |
| プライバシー | 信頼できるネットワークとプラットフォーム | リスクマネジメント | 新規技術 | アイデンティティとアクセス管理の強化 | アイデンティティとアクセス管理の強化 | 連邦サイバーセキュリティ調査研究 |
| リスクマネジメント | 利用可能なサイバーセキュリティ | 信頼できるネットワーク | 暗号の標準化と検証 | 通信・インフラ保護の強化 | 必インフラストラクチャの保護強化 | コンピュータ・フォレンジック |
| 信頼できるネットワークとプラットフォーム | 信頼できるプラットフォーム | 信頼性の高いネットワーク | 新技術の確保 | 新規技術の保護 | サイバーセキュリティに関する知識・訓練・教育・アウトリーチ | |
| NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス | 信頼性の高いプラットフォーム | セキュリティテストと測定ツールの進化 | セキュリティのテストと測定ツールの推進 | 暗号標準化プログラム | ||
| バリデーションプログラム | ||||||
| ID ・アクセス管理 | ||||||
| 新規技術の研究 | ||||||
| ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE) | ||||||
| インターネットインフラ保護 | ||||||
| 高度なセキュリティ試験と測定 | ||||||
| 技術的な安全性の指標 | ||||||
| 利便性とセキュリティ |
本文...
| CRYPTOGRAPHY | 暗号 |
| Cryptography is foundational to our security and data protection needs. The standards, guidelines, recommendations, and tools provided by NIST’s Cryptography priority area enable trustworthy assurance of integrity and confidentiality in all types of information and technology – now and in the future. | 暗号は、我々のセキュリティとデータ保護のニーズの基礎となるものである。NISTの暗号技術優先分野によって提供される標準、ガイドライン、勧告、およびツールは、現在および将来のあらゆる種類の情報と技術における完全性と機密性の信頼できる保証を可能にする。 |
| Major Accomplishments in FY 2023: | 2023年度の主な成果 |
| • The Post-Quantum Cryptography (PQC) team hosted the Fourth PQC Standardization Conference in November 2022. In response to the Call for Additional Signatures, 40 candidate algorithms were submitted, and the first three draft PQC standards were released for public comment. | ・耐量子暗号(PQC)チームは、2022 年 11 月に第 4 回 PQC 標準化会議を開催した。追加署名の募集に対し、40のアルゴリズム候補が提出され、最初の3つのPQC標準ドラフトがパブリックコメントのために公開された。 |
| • The Lightweight Cryptography team announced the decision to standardize the Ascon family for lightweight cryptography applications and published IR 8454, Status Report on the Final Round of the NIST Lightweight Cryptography Standardization Process, which describes the selection process. The team also hosted the Sixth Lightweight Cryptography Workshop. | ・軽量暗号化チームは、軽量暗号アプリケーション向けに Ascon ファミリの標準化を決定したことを発表し、その選定プロセスを説明した IR 8454「NIST 軽量暗号化標準化プロセスの最終ラウンドに関する状況報告」を公表した。また、第6回軽量暗号ワークショップを主催した。 |
| • The Multi-Party Threshold Cryptography (MPTC) and Privacy-Enhancing Cryptography (PEC) projects jointly released the initial public draft of IR 8214C, NIST First Call for Multi-Party Threshold Schemes (MPTS). The document’s scope includes advanced techniques, such as fully homomorphic encryption, zero-knowledge proofs, and the building blocks of secure multi-party computation. As part of an effort to obtain public comments, NIST hosted the MPTS 2023 workshop and three events of the Special Topics on Privacy and Public Auditability (STPPA). | ・マルチパーティー閾値暗号(MPTC)プロジェクトと プライバシー強化暗号方式(PEC)プロジェクトは共同で、IR 8214C「NIST マルチパーティ閾値スキームの初募集(MPTS)」の初公開ドラフトを公開した。この文書の範囲には、準同型暗号、ゼロ知識証明、安全なマルチパーティ計算の構成要素などの高度な技術が含まれる。パブリックコメントを得るための取り組みの一環として、NISTはMPTS 2023ワークショップと、プライバシーと公開監査可能性に関する特別刊行物(STPPA)の3つのイベントを開催した。 |
| • NIST’s Crypto Publication Review Board completed seven publication reviews, and five reviews are in progress to update and modernize the portfolio of cryptographic standards. | ・NISTの暗号出版審査委員会は7件の出版審査を完了し、5件の審査が暗号標準のポートフォリオの更新と近代化のために進行中である。 |
| EDUCATION, TRAINING & WORKFORCE | 教育、訓練、労働力 |
| Energizing, promoting, and coordinating the workforce are key priorities for NIST. The National | 労働力の活性化、促進、調整はNISTの重要な優先事項である。サイバーセキュリティ教育のための国家イニシアティブ |
| Initiative for Cybersecurity Education (NICE) team supports a robust community that works together to advance an integrated ecosystem of cybersecurity education, training, and workforce development. | サイバーセキュリティ教育イニシアティブ(NICE)チームは、サイバーセキュリティ教育、訓練、人材育成の統合されたエコシステムを推進するために協力する強固なコミュニティを支援している。 |
| Major Accomplishments in FY 2023: | 2023年度の主な成果 |
| • On December 5, 2022, the NICE Workforce Framework for Cybersecurity (NICE Framework) K12 FAQ was released at the NICE K12 Cybersecurity Education Conference in St. Louis, MO. | ・2022年12月5日、ミズーリ州セントルイスで開催されたNICE K12サイバーセキュリティ教育会議において、NICE Workforce Framework for Cybersecurity(NICEフレームワーク)K12 FAQが発表された。 |
| • The NICE Framework continued to be updated throughout FY 2023, including calls for comments on updated materials. IR 8355, NICE Framework Competencies Areas: Preparing a Job-Ready Cybersecurity Workforce, was published on June 1, 2023. | ・NICEフレームワークは2023年度を通じて更新され続け、更新された資料に対するコメント募集も行われた。IR 8355、NICE フレームワークのコンピテンシー領域: 職に適したサイバーセキュリティ人材の準備」は 2023 年 6 月 1 日に公表された。 |
| • Diversity, equity, inclusion, and accessibility (DEIA) in the cybersecurity workforce and education were key efforts in 2023. NICE released a DEIA resource page and launched a new Diversity and Inclusion Community of Interest. | ・サイバーセキュリティ人材と教育における多様性、公平性、包括性、アクセシビリティ(DEIA)は 2023 年の主要な取り組みであった。NICE は、DEIA リソースページを公開し、新しい Diversity and Inclusion Community of Interest を立ち上げた。 |
| • The Small Business Cybersecurity Corner launched a new Community of Interest with the National Cybersecurity Center of Excellence (NCCoE) and participated in various events throughout the year to showcase and share resources. | ・中小企業サイバーセキュリティ・コーナーは、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)と新しい関心コミュニティを立ち上げ、年間を通じてさまざまなイベントに参加し、リソースを紹介・共有した。 |
| • NIST has continued to bring the community together throughout the year with the Federal Information Security Educators (FISSEA) Forums, NICE Webinars Series, and Cybersecurity Career Week and by supporting other events through cooperative agreements, such as the NICE Conference, NICE K12 Conference, and the US Cyber Games. | ・NISTは、連邦情報セキュリティ教育者(FISSEA)フォーラム、NICEウェビナー・シリーズ、サイバーセキュリティ・キャリア・ウィーク、また、NICEカンファレンス、NICE K12カンファレンス、USサイバーゲームなどの協力協定を通じたその他のイベントの支援を通じて、年間を通じてコミュニティをまとめ続けてきた。 |
| EMERGING TECHNOLOGIES | 新興技術 |
| The rapid evolution of technology brings both extraordinary opportunities and unavoidable challenges. At NIST, our cybersecurity researchers study these emerging technologies to understand their security and privacy capabilities, vulnerabilities, configurations, and overall structures in order to develop standards, guidelines, and references for improving their approaches to cybersecurity before they are deployed. | 技術の急速な進化は、並外れた機会と避けられない課題の両方をもたらす。NIST では、サイバーセキュリティの研究者がこれらの新技術を研究し、セキュリティやプライバシーの能力、脆弱性、構成、全体的な構造を理解することで、それらが展開される前にサイバーセキュリティへのアプローチを改善するための標準、ガイドライン、リファレンスを開発している。 |
| Major Accomplishments in FY 2023: | 2023 年度の主な成果 |
| Cybersecurity projects in Strategic and Emerging Research Initiatives (SERI) for Autonomous Vehicles (AV) included the following: | 自律走行車(AV)の戦略的新興研究イニシアティブ(SERI)におけるサイバーセキュリティ・プロジェクトには、以下のものが含まれる: |
| • A workshop on Standards and Performance Metrics for On-Road Automated Vehicles was held to solicit stakeholder feedback on the challenges and opportunities in developing standards and performance metrics for this complex interdisciplinary field. | ・路上自動運転車の標準と性能評価指標に関するワークショップを開催し、この複雑な学際的分野の標準と性能評価指標を開発する上での課題と機会について関係者の意見を求めた。 |
| • The NIST AV Community of Interest (COI) has over 300 participants and continues to serve as a communications channel for NIST activities in the automotive industry. | ・NIST AVコミュニティ・オブ・インタレスト(COI)には300人以上が参加し、自動車業界におけるNISTの活動のコミュニケーションチャネルとしての役割を果たし続けている。 |
| • The Capabilities of Dioptra — an experimental testbed for machine learning algorithms — continued to expand. | ・機械学習アルゴリズムの実験的テストベッドであるDioptraの機能は引き続き拡大した。 |
| • NIST built a SERI prototype that measures the sensitivity of uncertainty estimation in computer vision models for autonomous driving. | ・NIST は、自律走行用のコンピュータビジョンモデルにおける不確実性推定の感度を測定する SERI プロトタイプを構築した。 |
| • Project researchers collaborated with external partners with appropriate datasets and computational resources. | ・プロジェクトの研究者は、適切なデータセットや計算資源を持つ外部パートナーと協力した。 |
| In March 2023, the Adversarial Artificial Intelligence (AI) team released the initial public draft of | 2023年3月、敵対的人工知能(AI)チームは、「AI 100-2 E2023」の初期公開ドラフトを発表した。 |
| AI 100-2 E2023, Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations, for public comment. Leading experts in the industry were invited to assist with adjudicating the public feedback to prepare a final AI 100-2 document, which is slated to be published in early 2024. | AI 100-2 E2023、敵対的機械学習: 攻撃と低減の分類法と用語」を公開し、パブリック・コメントを求めた。最終的なAI 100-2は2024年度初頭に発行される予定である。 |
| HUMAN-CENTERED CYBERSECURITY | 人間中心のサイバーセキュリティ |
| The mission of the Human-Centered Cybersecurity priority area is to “champion the human in cybersecurity.” Through research and other human-centered projects, the program team seeks to better understand and improve people’s cybersecurity interactions, empowering them to be active, informed participants in cybersecurity. | 人間中心のサイバーセキュリティ」優先分野の使命は、「サイバーセキュリティにおける人間の支持」である。研究およびその他の人間中心のプロジェクトを通じて、プログラム・チームは人々のサイバーセキュリティへの関わりをよりよく理解し改善することで、人々がサイバーセキュリティに積極的に参加し、情報を得られるようにすることを目指している。 |
| Major Accomplishments in FY 2023: | 2023年度の主な成果 |
| • An interview study of parent-child pairs shed light on how parents can best support their children’s online privacy, security, and safety. The research insights are informing NIST’s participation and contribution to the interagency Task Force on Kids Online Health and Safety. | ・親子ペアを対象としたインタビュー調査により、親が子どものオンラインプライバシー、セキュリティ、安全をどのようにサポートするのが最善であるかが明らかになった。この研究結果は、NISTの「子供のオンラインにおける健康と安全に関する省庁間タスクフォース」への参加と貢献につながっている。 |
| • The phishing project team was awarded a U.S. Department of Commerce Gold Medal for creating the Phish Scale — a revolutionary tool to rate socially engineered email attacks to strengthen an organization’s security posture. The scale has been adopted by security training coordinators in public- and private-sector organizations, both domestically and internationally. | ・フィッシング・プロジェクト・チームは、組織のセキュリティ態勢を強化するために、社会的に操作された電子メール攻撃を評価する画期的なツールである「フィッシング・スケール」を作成し、米国商務省から金メダルを授与された。この尺度は、国内外の公的機関や民間企業のセキュリティ・トレーニング・コーディネーターに採用されている。 |
| • A role-based training study provided insights into the approaches and challenges faced by federal organizations when implementing cybersecurity training activities. The research resulted in the development of recommendations and resources to assist organizations in improving their role-based training activities. | ・役割に基づく研修の研究により、連邦組織がサイバーセキュリティ研修活動を実施する際に直面するアプローチと課題についての洞察が得られた。この調査の結果、組織が役割ベースの訓練活動を改善するのを支援するための推奨事項やリソースが作成された。 |
| • A widely distributed article and handout titled, “Users Are Not Stupid: Six Cybersecurity Pitfalls Overturned,” provided cybersecurity practitioners with evidence-based recommendations on how they can consider the human element in their work. | ・「ユーザはバカではない: サイバーセキュリティに潜む6つの落とし穴」と題する記事と配布資料を広く配布し、サイバーセキュリティの実務者に、業務において人間の要素を考慮する方法について、エビデンスに基づく推奨事項を提供した。 |
| IDENTITY AND ACCESS MANAGEMENT | アイデンティティとアクセス管理 |
| Identity and access management (IAM) is the cornerstone of data protection, privacy, and security. NIST’s IAM priority area provides the research, guidance, and technology transition activities to help ensure that the right humans, devices, data, and processes have the right access to the right resources at the right time. | アイデンティティとアクセス管理(IAM)は、データ保護、プライバシー、セキュリティの要である。NISTのIAM優先分野は、適切な人間、デバイス、データ、プロセスが適切なリソースに適切なタイミングでアクセスできるようにするための研究、ガイダンス、技術移行活動を提供する。 |
| Major Accomplishments in FY 2023: | 2023 年度の主な成果 |
| • NIST published draft revisions of all four volumes of SP 800-63-4, Digital Identity Guidelines, to advance modern digital identity controls. | ・NIST は、最新のデジタル ID 管理を推進するため、SP 800-63-4「デジタル ID ガイドライン」全 4 巻の改訂ドラフトを公表した。 |
| • NIST’s Identity and Access Management (IAM) team published draft SP 800-157-1, Guidelines for Derived Personal Identification Verification (PIV) Credentials, which features expanded authenticators, and draft SP 800-217, Guidelines for PIV Federation, which advances interoperable identity in the federal enterprise. | ・NIST の ID およびアクセス管理(IAM)チームは、認証の拡張を特徴とするドラフト SP 800-157-1「派生する個人識別検証 (PIV) クレデンシャルのガイドライン」およびドラフト SP 800-217「PIVフェデレーションガイドライン」を発表した。 |
| • Two Face Analysis Technology Evaluation (FATE) reports were published: NIST IR 8485, Part 11: Face Image Quality Vector Assessment: Specific Image Defect Detection, focused on face image quality and the detection of specific image defects that negatively impact matching accuracy, and NIST IR 8491, Part 10: Performance of Passive, Software-based Presentation Attack Detection (PAD) Algorithms, focused on PAD, which detects fake face images. | ・2 つの顔分析技術評価(FATE)レポートが発行された: NIST IR 8485「Part 11:顔画像品質ベクトル・アセスメント:特定の画像欠陥検知)」は、顔画像の品質と、照合精度に悪影響を及ぼす特定の画像欠陥の検知に焦点を当てたものであり、NIST IR 8491「Part 10: 受動的、ソフトウェアベースのプレゼンテーション攻撃検知(PAD)アルゴリズ ムの性能)」は、偽の顔画像を検知する PAD に焦点を当てたものである。 |
| • NIST developed a secure federated data-sharing system (SFDS), which is now in advanced prototype form. | ・NISTは、安全なデータ共有システム(SFDS)を開発し、これは現在、高度なプロトタイプの形になっている。 |
| • NIST’s IAM team published SP 800-207A, A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Location Environments. | ・NISTのIAMチームは、SP 800-207A「多拠点環境におけるクラウドネイティブアプリケーションのアクセス管理のためのゼロトラストアーキテクチャモデル」を発表した。 |
| • A draft IAM Roadmap that highlights programmatic and strategic priorities was released to help prioritize and strategically align identity projects. | ・アイデンティティ・プロジェクトの優先順位付けと戦略的な調整を支援するため、プログラム上および戦略上の優先事項を強調した IAM ロードマップのドラフトが発表された。 |
| • NIST’s IAM team contributed to the development of the Mobile Drivers’ License Application standard (ISO/IEC 18013-7) and developed a reference implementation for the standard to facilitate testing and the certification of products. | ・NIST の IAM チームは、モバイル運転免許証アプリケーション標準(ISO/IEC 18013-7)の開発に貢献し、テストと製品の認証を容易にするために標準の参照実装を開発した。 |
| PRIVACY | プライバシー |
| Privacy is integral to the trust that supports the growth of the digital economy and improves our quality of life. NIST has prioritized privacy engineering to support measurement science and system engineering principles through frameworks, risk models, and guidance that protect privacy and civil liberties. | プライバシーは、デジタル経済の成長を支え、私たちの生活の質を改善する信頼に不可欠である。NISTは、プライバシーと市民的自由を保護するフレームワーク、リスクモデル、ガイダンスを通じて、計測科学とシステム工学の原則をサポートするプライバシー工学を優先してきた。 |
| Major Accomplishments in FY 2023: | 2023年度の主な成果 |
| • The NIST Privacy Workforce Public Working Group has nearly completed the first draft of the Privacy Workforce Taxonomy and created more than 700 task, knowledge, and skill statements thus far. | ・NIST プライバシー・ワークフォース公開ワーキンググループは、プライバシー人材分類法の最初のドラフトをほぼ完成させ、これまでに700以上のタスク、知識、スキルのステートメントを作成した。 |
| • Co-sponsored by NIST, the U.S. partnered with the U.K.’s Center for Data Ethics and Innovation and completed the Privacy-Enhancing Technologies Prize Challenge to advance privacy-preserving federated learning. | ・NISTの共催により、米国は英国のデータ倫理・イノベーションセンターと提携し、プライバシーを保護する連合学習を推進するためのプライバシー強化技術賞チャレンジを完了した。 |
| • NIST’s Privacy Engineering Program (PEP) continues to collaborate with other NIST programs, including the NCCoE, the Cryptography Technology Group, and the Risk Management Framework program. NIST leadership with external organizations is ongoing, including co-chairing the | ・NISTのプライバシー・エンジニアリング・プログラム(PEP)は、NCCoE、暗号技術グループ、リスクマネジメント・フレームワーク・プログラムなど、NISTの他のプログラムとの協力を続けている。の共同議長を務めるなど、外部組織との NIST のリーダーシップは継続中である。 |
| Networking and Information Technology Research & Development (NITRD) Privacy Research & Development Interagency Working Group and Coalition for Health AI Privacy and Security Working Group. | ネットワークと情報技術の研究開発 (NITRD) プライバシー研究開発省庁間ワーキンググループ や 健康AIプライバシー・セキュリティ作業部会 の共同議長を務めるなど、外部組織とのリーダーシップも継続している。 |
| RISK MANAGEMENT | リスクマネジメント |
| Organizations must balance an evolving cybersecurity and privacy threat landscape with the need to fulfill mission and business requirements — an effort that increasingly calls for a | 組織は、進化するサイバーセキュリティとプライバシーの脅威の状況と、ミッションとビジネス要件を満たす必要性とのバランスを取らなければならない。 |
| collaborative approach to managing risks. Risk management is integrated into NIST standards and guidelines to help organizations understand, measure, manage, and reduce cybersecurity and privacy risks in a larger context. | リスクマネジメントに対する協調的アプローチがますます求められるようになっている。リスクマネジメントは、組織がサイバーセキュリティとプライバシーのリスクをより大きな文脈で理解、測定、管理、低減できるよう、NIST の標準とガイドラインに統合されている。 |
| Major Accomplishments in FY 2023: | 2023年度の主な成果 |
| • NIST continued the Journey to Cybersecurity Framework (CSF) 2.0 by releasing a CSF 2.0 Concept Paper, publishing a discussion draft of the CSF 2.0 Core, and issuing a draft CSF 2.0 with Core Implementation examples. Additionally, NIST published an analysis of comments received on each draft and hosted two hybrid workshops (1st workshop & 2nd workshop). | ・NIST は、CSF 2.0 コンセプト・ペーパーの公表、CSF 2.0 コアのディスカッション・ドラフトの公表、コアの実装例を含む CSF 2.0 ドラフトの公表により、サイバーセキュリティ・フレームワーク(CSF)2.0 への旅を継続した。さらに、NIST は、各ドラフトに寄せられたコメントの分析を公表し、2 回のハイブリッド・ ワークショップ(第 1 回ワークショップと第 2 回ワークショップ)を開催した。 |
| • NIST continued to lead and support community engagement on cybersecurity supply chain risk management through the Software and Supply Chain Assurance (SSCA) Forum, support the Federal Acquisition Security Council, and refine supply-chain guidance in SP 800-161 Revision 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations. | ・NIST は引き続き、ソフトウェア・サプライチェーン保証(SSCA)フォーラム を通じて、サイバーセキュリティ・サプライチェーン・リスクマネジメントに関するコミュニティ参画を主導・支援し、連邦調達安全委員会l を支援し、SP 800-161 改訂 1「システムと組織のためのサイバーセキュリティ サプライチェーンリスクマネジメントの実務」におけるサプライチェーンガイダンスを改良した。 |
| • NIST issued a working draft of the SP 800-55 Rev. 2, Performance Measurement Guide for Information Security for community discussion and feedback and hosted a cybersecurity measurement workshop on the current state of cybersecurity performance measurement, needs, and path forward. | ・NIST は、コミュニティの議論とフィードバックのために、SP 800-55 改訂 2 版「情報セキュリティのためのパフォーマンス測定ガイド」の作業ドラフトを発行し、サイバーセキュリティのパフォーマンス測定の現状、ニーズ、今後の進め方に関するサイバーセキュリティ測定ワークショップを開催した。 |
| • NIST initiated updates to the Protecting Controlled Unclassified Information (CUI) Series, issued a pre-call for comment, released an initial public draft of SP 800-171r3, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations, and hosted a webinar to provide an overview of the draft. | ・NIST は「管理対象非機密情報(CUI)の防御」シリーズの更新を開始し、コメントの事前募集を行い、SP 800-171r3「非連邦システムおよび組織における管理対象非機密情報の保護」の初期公開ドラフトを公表し、ドラフトの概要を説明するウェビナーを開催した。 |
| • NIST launched the Cybersecurity & Privacy Reference Tool (CPRT) — an online application that provides NIST guidance and frameworks in a consistent format for reference data and allows users to understand the relationships between NIST resources. | ・NISTは、サイバーセキュリティ&プライバシー・リファレンス・ツール(CPRT)を立ち上げた。このオンライン・アプリケーションは、NISTのガイダンスとフレームワークを一貫したフォーマットでリファレンス・データとしてプロバイダするもので、ユーザはNISTのリソース間の関係を理解することができる。 |
| • NIST continued the development of the Open Security Controls Assessment Language (OSCAL) — a set of eXtensible Markup Language (XML), JavaScript Object Notation (JSON), and Ain’t Mark-up Language (YAML) formats that provide machine-readable representations of security and privacy information relative to the implementation, assessment, and continuous monitoring of systems. NIST SP 800-53, SP 800-53A, and SP 800-53B are available in OSCAL format, and programs such as FedRAMP are leveraging OSCAL. | ・NIST は、システムの実装、アセスメント、継続的なモニタリングに関連するセキュリティとプライバシーの情報を機械可読で表現する、XML(eXtensible Markup Language)、JSON(JavaScript Object Notation)、YAML(Ain't Mark-up Language)形式のセットである、OSCAL(オープン・セキュリティ・コントロール・アセスメント言語)の開発を継続した。NIST SP 800-53、SP 800-53A、SP 800-53BはOSCALフォーマットで利用可能であり、FedRAMPなどのプログラムはOSCALを活用している。 |
| TRUSTWORTHY NETWORKS AND PLATFORMS | 信頼できるネットワークとプラットフォーム |
| Each of us relies on the hardware, software, and networks that form the fabric of our digital | 私たち一人ひとりが、デジタル・エコシステムの基盤となるハードウェア、ソフトウェア、ネットワークに依存している。 |
| ecosystems. NIST’s trustworthy networks and trustworthy platforms priority areas support research and practical implementation guidance to ensure secure, reliable, and resilient technology across industry sectors. | に依存している。NISTの信頼できるネットワークと信頼できるプラットフォームの優先分野は、産業部門全体で安全で信頼でき、レジリエンスに優れた技術を確保するための研究と実践的な実装ガイダンスを支援している。 |
| Major Accomplishments in FY 2023: | 2023年度の主な成果 |
| • NIST published a practice guide for SP 1800-34, Validating the Integrity of Computing Devices, to mitigate cyber supply chain risks, such as counterfeiting, tampering, and the insertion of unexpected firmware. The practice guide demonstrates how organizations can verify that the internal components of the computing devices they acquire (e.g., laptops, servers) are genuine and have not been tampered with. | ・NIST は、偽造、改ざん、予期せぬファームウェアの挿入などのサイバー・サプライチェーン・リスクを軽減するため、SP 1800-34「コンピューティング・デバイスの完全性の検証のプラクティス・ガイドを発行した。このプラクティス・ガイドは、組織が入手したコンピューティング・デバイス(例えば、ラップトップ、サーバー)の内部コンポーネントが本物であり、改ざんされていないことを検証する方法を示している。 |
| • Trust in endpoint devices can be achieved by following SP 800-124r2, Guidelines for Managing the Security of Mobile Devices in the Enterprise, and SP 800-219r1, Automated Secure | ・エンドポイントデバイスの信頼は、SP 800-124r2「エンタープライズにおけるモバイルデバイスのセキュリティ管理のためのガイドライン」およびSP 800-219r1「自動化されたセキュアな構成ガイダンス」に従うことで達成できる。 |
| Configuration Guidance from the macOS Security Compliance Project (mSCP), to secure devices and operating systems throughout their life cycles and support zero trust policy, as demonstrated in the NIST NCCoE Zero Trust Architecture (ZTA) project. | macOSセキュリティ・コンプライアンス・プロジェクト (mSCP)の自動化された安全な設定ガイダンスに従うことで、デバイスとオペレーティング・システムのライフサイクル全体を保護し、NIST NCCoE Zero Trust Architecture (ZTA)プロジェクトで実証されているように、ゼロトラスト・ポリシーをサポートすることができる。 |
| • As part of an ongoing study of forensic science, NIST published IR 8354, Digital Investigation Techniques: A NIST Scientific Foundation Review. | ・フォレンジック科学に関する継続的な研究の一環として、NISTはIR 8354「デジタル調査技術」を発表した: A NIST Scientific Foundation Review)を発表した。 |
| NIST NATIONAL CYBERSECURITY CENTER OF EXCELLENCE (NCCOE) | NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCOE) |
| Mission Statement: | ミッション・ステートメント |
| "The NCCoE brings together experts from industry, government, and academia to address the real-world needs of securing complex IT systems and protecting the Nation’s critical infrastructure.“ | 「NCCoE は産官学の専門家を結集し、複雑な IT システムの安全確保と国家の重要インフラの保護という現実のニーズに取り組む。 |
| Major Accomplishments in FY 2023: | 2023年度の主な成果 |
| • Produced actionable, standards-based guidance. In FY 2023, the NCCoE released 42 publications. These consisted of draft and final versions of NIST 1800 Series Special Publications, NIST Interagency Reports, and short-form guides on a wide range of topics, such as hybrid satellite networks, mobile device security, Internet of Things (IoT), zero trust architecture, genomic data, and more. View our publications here. | ・標準に基づく実用的なガイダンスを作成した。2023 年度、NCCoE は 42 の出版物を発表した。これらは、ハイブリッド衛星ネットワーク、モバイルデバイスセキュリティ、モノのインターネット(IoT)、ゼロトラストアーキテクチャ、ゲノムデータなど、幅広いトピックに関するNIST 1800シリーズ特別刊行物、NIST省庁間報告書、短編ガイドのドラフト版および最終版で構成されている。出版物はこちらから。 |
| • Renewed partnership with federal, state, and county governments. In March 2023, NIST, the Maryland Department of Commerce, and Montgomery County signed a five-year agreement to extend their partnership in support of the NCCoE. According to a press release issued by NIST, “One goal of the renewed partnership agreement is to better address the needs of companies and institutions in the state and county, with a particular focus on small business.” | ・連邦政府、州政府、郡政府とのパートナーシップを刷新。2023年3月、NIST、メリーランド州商務省、モンゴメリー郡は、NCCoEを支援するパートナーシップを延長する5年契約を締結した。NISTが発表したプレスリリースによると、"パートナーシップ協定の更新の1つの目標は、州および郡の企業や機構のニーズによりよく対応することであり、特に中小企業に重点を置いている"。 |
| • Launched Cybersecurity Connections. NCCoE introduced the Cybersecurity Connections Initiative in March 2023. This initiative offers the regional small business community opportunities to engage with experts at the NCCoE to learn about our work and areas of collaboration. In June 2023, NCCoE hosted its first Cybersecurity Connections event, which focused on mitigating and managing cyber risks in the water and wastewater sector. | ・サイバーセキュリティ・コネクションズを立ち上げた。NCCoEは2023年3月にサイバーセキュリティ・コネクション・イニシアチブを導入した。このイニシアチブは、地域の中小企業コミュニティにNCCoEの専門家と交流する機会を提供し、NCCoEの業務や協力分野について学ぶものである。2023年6月、NCCoEは初のサイバーセキュリティ・コネクション・イベントを開催し、上下水道セクターにおけるサイバーリスクの低減とマネジメントに焦点を当てた。 |
| • Appointed a new director. On July 31, 2023, Cherilyn Pascoe began her tenure as the new director of the NCCoE. | ・新局長を任命 2023年7月31日、シェリリン・パスコがNCCoEの新ディレクターとして就任した。 |
 |
2023年度NCCoEデジタルフットプリント-数字で見る。この図は、2023年度中のNCCoEユーザーウェブサイトのトラフィックとサブスクリプションの増加を強調したものである。NCCoEは、出版物の総ダウンロード数、プロジェクトや研究トピックへの登録数、ウェブサイトのセッション数とページビュー数において、大幅な増加を記録した。 |
| This graphic highlights the increases in NCCoE user website traffic and subscriptions during FY 2023. NCCoE recorded significant increases in total publication downloads, subscriptions to projects and research topics, and website sessions and pageviews. | この図は、2023年度のNCCoEユーザーウェブサイトのトラフィックと購読数の増加を示している。NCCoEは、出版物の総ダウンロード数、プロジェクトおよび研究トピックへの購読数、ウェブサイトのセッションおよびページビューの大幅な増加を記録した。 |
| In FY 2023, the NCCoE also focused on: | 2023 年度、NCCoE は以下にも重点を置いた: |
| • Expanding collaborative relationships. The NCCoE forms long-term collaborative relationships with key stakeholders, primarily through signing Cooperative Research and Development Agreements (CRADAs) with various organizations and Interagency Agreements (IAAs) with government agencies. The NCCoE signed 37 CRADAs this year with 28 tech companies, two government organizations, and two non-profits. The NCCoE also held IIAAs with the Departments of Energy, State, Transportation, and the U.S. Space Force. NCCoE also engages frequently with subject-matter experts and business professionals through our free and publicly available Communities of Interest (COIs). This year, we hosted 29 COIs across sectors and technologies, including a newly launched Small Business COI, to share insights, expertise, and perspectives to guide and increase awareness of our work. | ・協力関係の拡大。NCCoEは、主に様々な組織との研究開発協力協定(CRADA)や政府機関との省庁間協定(IAA)の締結を通じて、主要なステークホルダーと長期的な協力関係を形成している。NCCoEは今年、28のハイテク企業、2つの政府機関、2つの非営利団体と37のCRADAを締結した。NCCoEはまた、エネルギー省、国務省、運輸省、米宇宙軍ともIIAAを締結した。NCCoEはまた、無料で一般公開されているCOI(Communities of Interest)を通じて、専門家やビジネス・プロフェッショナルとも頻繁に交流している。本年度は、新たに発足した中小企業COIを含め、セクターや技術を超えて29のCOIを主催し、洞察、専門知識、視点を共有することで、NCCoEの活動の指針を示し、認知度を高めた。 |
| • Increasing public awareness and understanding. The NCCoE held 22 events and webinars in FY 2023. We also expanded our video series to provide an inside look at the NCCoE, as well as our healthcare, mobile device, and supply chain assurance labs. | ・一般の人々の認識と理解を高める。NCCoEは、2023年度に22のイベントとウェビナーを開催した。また、NCCoEやヘルスケア、モバイル機器、サプライチェーン保証ラボの内部を紹介するビデオシリーズを拡充した。 |
| • Enhancing academic outreach and engagement. The NCCoE continued its summer internship program for the thirteenth straight year by hosting twelve undergraduate and two graduate students who worked on a variety of projects. This was also the first year that the NCCoE participated in NIST’s Summer Institute, which helps provide middle school teachers with cybersecurity resources and tools to shape their curricula. | ・アカデミックなアウトリーチとエンゲージメントを強化する。NCCoEは13年連続でサマー・インターンシップ・プログラムを実施し、12名の大学生と2名の大学院生を受け入れて様々なプロジェクトに取り組んだ。また、NCCoE は今年初めて NIST のサマー・インスティテュートに参加した。このサマー・インスティテュートは、 中学校の教員にサイバーセキュリティに関するリソースやツールを提供し、カリキュラムの策定を支援するものである。 |
| • Progressing the Cryptographic Module Validation Program (CMVP) project. This year, the NCCoE organized an effective governing structure for the community of collaborators to the automation of the CMVP project. NCCoE also published draft SP 1800-40A, Automation of the NIST Cryptographic Module Validation Program, which aims to shorten the validation cycle of cryptographic modules for compliance with security standards, while maintaining and improving assurance levels. The team also successfully demonstrated the Phase I prototype at the International Crypto Module Conference (ICMC) 2023. | ・暗号モジュール検証プログラム(CMVP)プロジェクトの進行。今年、NCCoE は CMVP プロジェクトの自動化に向けた協力者コミュニティのための効果的なガバナンス構造を組織した。NCCoE はまた、SP 1800-40A 「Automation of the NIST Cryptographic Module Validation Program」(NIST 暗号モジュール検証プログラムの自動化)のドラフトを公表した。これは、セキュリティ標準に準拠する暗号モジュールの検証サイクルを短縮し、保証レベルを維持・改善することを目的としている。同チームはまた、国際暗号モジュール会議(ICMC)2023でフェーズIプロトタイプのデモを成功させた。 |
| OPPORTUNITIES TO ENGAGE WITH NIST ON CYBERSECURITY AND PRIVACY | サイバーセキュリティとプライバシーに関してNISTと関わる機会 |
| Collaborators and researchers are the driving force behind NIST’s programs. NIST depends on developers, providers, and everyday users of cybersecurity and privacy technologies and information to guide our priorities. | 共同研究者と研究者はNISTのプログラムを支える原動力である。NISTは、サイバーセキュリティとプライバシーの技術や情報の開発者、プロバイダ、そして日常的な利用者に依存して、優先順位を決定している。 |
| • Details on engaging with NIST on cybersecurity and privacy are available here. | ・サイバーセキュリティとプライバシーに関するNISTとの関わりについての詳細は、こちらをご覧いただきたい。 |
| • Many NIST projects are supported by guest researchers, both foreign and domestic. | ・NISTのプロジェクトの多くは、国内外のゲスト研究者によって支えられている。 |
| • The Pathways Program supports federal internships for students and recent graduates. | ・Pathwaysプログラムは、学生や新卒者を対象とした連邦政府のインターンシップを支援している。 |
| • NIST funds industrial and academic research in several ways: | ・NISTはいくつかの方法で産業界や学術界の研究に資金を提供している: |
| • The Small Business Innovation Research Program (SBIR) funds research and development proposals. | ・中小企業技術革新研究プログラム(SBIR)は、研究開発提案に資金を提供する。 |
| • NIST offers grants to encourage work in the fields of precision measurement, fire research, and materials science. For general information on NIST’s grant programs, please contact Mr. Christopher Hunton via grants@nist.gov. | ・NISTは、精密測定、火災研究、材料科学の分野での研究を奨励する助成金を提供している。NISTの助成金プログラムに関する一般的な情報については、クリストファー・ハントン氏(grants@nist.gov)までお問い合わせいただきたい。 |
| • The Information Technology Laboratory (ITL) Speakers Bureau enables engagement with universities and colleges to raise student and faculty awareness about the exciting work going on at NIST and motivate them to consider pursuing opportunities to work with ITL. | ・情報技術研究所(ITL)のスピーカー・ビューローは、大学やカレッジとの連携を可能にし、NISTで行われているエキサイティングな仕事について学生や教員の認識を高め、ITLで働く機会を求める動機付けを行う。 |
| • More information about our research, projects, publications, and events can be found on the NIST Computer Security Resource Center (CSRC) website. | ・NISTの研究、プロジェクト、出版物、イベントに関する詳細は、NISTコンピュータ・セキュリティ・リソース・センター(CSRC)のウェブサイトを参照のこと。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.06.09 NIST SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書 (2023.05.30)
・2022.10.02 NIST SP 800-220 2021年度サイバーセキュリティ・プライバシー年次報告書 (2022.09.26)
・2021.10.01 NIST SP 800-214 2020年度サイバーセキュリティ・プライバシー年次報告書
・2020.08.26 NIST/ITLのサイバーセキュリティプログラム年次報告書2019
・2020.03.15 NIST SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program
こんにちは、丸山満彦です。
岸田総理が、AIソウル・サミット首脳セッションにオンラインで参加したようですね...
● 外務省
・ 2024.05.21 岸田総理大臣のAIソウル・サミット首脳セッションへの参加(ビデオメッセージ)
| AIソウル・サミット 首脳セッション岸田総理発言(ビデオメッセージ)令和6年5月21日 | AI Seoul Summit Leaders’ Session Video Message by KISHIDA Fumio, Prime Minister of Japan (May 21, 2024) |
| 1 冒頭 | 1. Introduction |
| 今回のサミットを主催頂いた、尹大統領及びスナク首相のイニシアチブに感謝いたします。 | I would like to thank President Yoon and Prime Minister Sunak for your initiative in hosting the AI Seoul Summit. |
| 本日は残念ながら、リアルタイムでの参加が叶いませんが、この重要な会議に一言ご挨拶申し上げたく、参加させていただきます。 | It is my regret that I am unable to participate in today’s session in real time. I nonetheless would like to join you in this important meeting to offer my views. |
| 2 安全、安心で信頼できるAIの実現に向けて | 2. To achieve safe, secure, and trustworthy AI |
| AIで得られる革新的な機会を最大化するためには、偽(にせ)情報等のAIのリスクを軽減し、「安全、安心で信頼できるAI」を実現するための国際ガバナンスの形成が急務です。 | In order to maximize the innovative opportunities brought by AI, there is an urgent need to establish international governance to mitigate its risks, such as the risk of disinformation, and to achieve safe, secure, and trustworthy AI. |
| 昨年、日本が議長国を務める中、G7で立ち上げた「広島AIプロセス」では、国際指針や行動規範を策定し、具体的なリスク低減に取り組んで来ています。これらの「広島AIプロセス」の成果の土台の上に、私は先日、OECD閣僚理事会に出席して、本日ご参加の各国を含む49カ国・地域の参加を得て、「広島AIプロセス フレンズグループ」を立ち上げました。G7を越える多くの国々の仲間と、「安全、安心で信頼できるAI」の実現に向けた取組を進めていきます。 | Last year, under Japan’s Presidency, the G7 launched the Hiroshima AI Process, which led to the development of the International Guiding Principles as well as the Code of Conduct, contributing to the reduction in the specific risks posed by AI. Building on these outcomes of the Hiroshima AI Process, I attended the OECD Ministerial Council Meeting earlier this month and kicked off the Hiroshima AI Process Friends Group, with the participation of 49 countries and regions, including all those who are represented here in today’s session. Together with those countries beyond the G7, we will advance initiatives towards achieving safe, secure, and trustworthy AI. |
| 本サミットの取組は、「広島AIプロセス」と相互補完的です。AIの安全性に関する国際的な議論を深めることは、AI開発企業等による国際行動規範の履行を促すためにも不可欠です。 | The initiatives under the AI Seoul Summit and the Hiroshima AI Process are complementary to one another. Deepening international discussions on AI safety is essential to promote the implementation of the International Code of Conduct by organizations developing AI systems. |
| 日本国内では、「広島AIプロセス」の成果も踏まえ、「AI事業者ガイドライン」を先月公表しました。幅広い事業者がリスクに応じて、AIを活用できるよう、取組を後押ししていきます。 | Turning to domestic initiatives, reflecting the results of the Hiroshima AI Process, the Government of Japan released the AI Guidelines for Business last month. We will encourage efforts to ensure that a wide range of businesses can utilize AI while addressing the associated risks. |
| また、AIの安全性評価について、本年2月、「AIセーフティ・インスティテュート」を設立しました。国際的なパートナーと緊密に連携して、相互運用可能な安全性評価手法の確立に向け、取り組んでいきます。 | On AI safety evaluation, Japan established the AI Safety Institute (AISI) this February. We will work closely with our international partners towards establishing interoperable safety evaluation methodologies. |
| 3 結語 | 3. Conclusion |
| あらためて、日本として、本サミットの趣旨に賛同し、AIをめぐる国際的な議論に貢献していくことをお約束します。最後に、今回のサミットの盛会と、実りある議論と成果の達成をお祈り申し上げます。ご清聴ありがとうございました。 | Once again, Japan supports the objectives of the AI Seoul Summit and commits itself to further contributing to the international discussions on AI. I would like to offer my best wishes for a successful Summit meeting and for fruitful discussions and achievements. Thank you very much for your kind attention. |
・「安全、革新的で包摂的なAIのためのソウル宣言」及び付録(「AI安全性の科学に関する国際協力に向けたソウル意図表明」)
| SEOUL DECLARATION FOR SAFE, INNOVATIVE AND INCLUSIVE AI BY PARTICIPANTS ATTENDING THE LEADERS' SESSION OF THE Al SEOUL SUMMIT, 21st MAY 2024 | 2024年5月21日のAIソウル・サミット首脳セッション出席国による安全、革新的で包摂的なAIのためのソウル宣言 |
| 1. We, world leaders representing Australia, Canada, the European Union, France, Germany, Italy, Japan, the Republic of Korea, the Republic of Singapore, the United Kingdom, and the United States of America, gathered at the AI Seoul Summit on 21st May 2024, affirm our common dedication to fostering international cooperation and dialogue on artificial intelligence (Al) in the face of its unprecedented advancements and the impact on our economies and societies. | 1. 我々、オーストラリア、カナダ、欧州連合、フランス、ドイツ、イタリア、日本、韓国、シンガポール、英国及び米国を代表する世界の首脳は、2024年5月21日のAIソウル・サミットに集い、AIの前例のない進展と我々の経済及び社会への影響に直面し、AIに関する国際協力及び対話の促進に向けて共に取り組むことを確認する。 |
| 2. Building on the work laid out at the Al Safety Summit held at Bletchley Park in the United Kingdom on November 2023, we recognize that Al safety, innovation, and inclusivity are interrelated goals and that it is important to encompass these priorities in international discussions on Al governance to address the broad spectrum of opportunities and challenges that the design, development, deployment, and use of Al presents and may present. | 2. 2023年11月に英国のブレッチリー・パークで開催されたAI安全性サミットにおける作業を踏まえ、我々は、AIの安全性、革新性及び包摂性は相互に関連する目標であること、及び、AIの設計、開発、導入及び利用がもたらす、あるいはもたらす可能性のある幅広い機会と課題に対処するために、AIガバナンスに関する国際的な議論におけるこれらの優先事項を包含することが重要であることを認識する。 |
| 3. We recognize the importance of interoperability between AI governance frameworks in line with a risk-based approach to maximize the benefits and address the broad range of risks from AI, to ensure the safe, secure, and trustworthy design, development, deployment, and use of Al. We continue to focus on supporting the operationalisation of the Hiroshima Process International Code of Conduct for Organizations Developing Advanced AI Systems. We recognize the particular responsibility of organizations developing and deploying frontier Al, and, in this regard, note the Frontier AI Safety Commitments. | 3. 我々は、AIの安全、安心で信頼できる設計、開発、導入及び利用を確保するために、便益を最大化し、AIによる広範なリスクに対処するためのリスクベースのアプローチに沿った、AIガバナンス枠組間の相互運用可能性の重要性を認識する。我々は、高度なAIシステムを開発する組織向けの広島プロセス国際行動規範の運用を支援することに引き続き集中する。我々は、最先端AIを開発し導入する組織の特別な責任を認識し、この観点から、最先端AI安全性コミットメントに留意する。 |
| 4. We support existing and ongoing efforts of the participants to this Declaration to create or expand Al safety institutes, research programmes and/or other relevant institutions including supervisory bodies, and we strive to promote cooperation on safety research and to share best practices by nurturing networks between these organizations. In this regard, we welcome the Seoul Statement of Intent toward International Cooperation on Al Safety Science, which is annexed to this Declaration. | 4. 我々は、AIセーフティ・インスティテュート、研究プログラム及び/又は監督機関を含むその他の関連組織を創設又は拡大するための、この宣言への参加国による既存かつ継続中の努力を支持し、我々は、これらの組織間のネットワークを育成することにより安全性研究に関する協力を促進し、ベストプラクティスを共有するよう努める。この観点から、我々は、この宣言に添付する「AI安全性の科学に関する国際協力に向けたソウル意図表明」を歓迎する。 |
| 5. We call for enhanced international cooperation to advance Al safety, innovation and inclusivity to harness human-centric Al to address the world's greatest challenges, to protect and promote democratic values, the rule of law and human rights, fundamental freedoms and privacy, to bridge Al and digital divides between and within countries, thereby contributing to the advancement of human well-being, and to support practical applications of Al including to advance the UN Sustainable Development Goals. | 5. 我々は、世界最大の諸課題に対処するために人間中心のAIを活用し、民主主義的価値、法の支配、人権、基本的自由及びプライバシーを保護及び促進し、各国間及び各国内でのAIとデジタル格差を埋め、それにより人間の幸福の前進に寄与し、並びに、国連持続可能な開発目標の前進のためのものを含むAIの実践的な適用を支援するため、AIの安全性、革新性及び包摂性を前進させるための国際協力の強化を求める。 |
| 6. We advocate for policy and governance frameworks, including risk-based approaches, that foster safe, innovative and inclusive Al ecosystems. Frameworks should facilitate a virtuous cycle between human creativity and the development and use of Al, promote socio-cultural, linguistic, and gender diversity, and promote environmentally sustainable development and use of technology and infrastructure throughout the life-cycle of commercially and publicly available AI systems. | 6. 我々は、安全、革新的で包摂的なAIエコシステムを促進する、リスクベースのアプローチを含む政策及びガバナンス枠組を主張する。枠組は、人間の創造性とAIの開発及び利用との間の好循環を促進し、社会文化的、言語的及びジェンダー多様性を促進し、商業的及び公的に利用可能なAIシステムのライフサイクルを通じて、技術及びインフラの環境的に持続可能な開発及び利用を促進すべきである。 |
| 7. We affirm the importance of active multi-stakeholder collaboration, including governments, the private sector, academia, and civil society to cultivate safe, innovative and inclusive Al ecosystems, and the importance of cross-border and cross-disciplinary collaboration. Recognizing that all states will be affected by the benefits and risks of AI, we will actively include a wide range of international stakeholders in conversations around AI governance. | 7. 我々は、安全、革新的で包摂的なAIエコシステムを育むために、政府、民間セクター、学術界及び市民社会を含むマルチ・ステークホルダーによる積極的な協力の重要性、及び、国境を越え、かつ学際的な協力の重要性を確認する。あらゆる国がAIの便益及びリスクによる影響を受けることを認識しつつ、我々は、AIガバナンスを取り巻く議論に幅広い国際的なステークホルダーを積極的に含めていく。 |
| 8. We aim to strengthen international cooperation on Al governance through engagement with other international initiatives at the UN and its bodies, G7, G20, the Organization for Economic Co-operation and Development (OECD), the Council of Europe, and the Global Partnership on AI (GPAI). In this light, we acknowledge the Hiroshima AI Process Friends Group, welcome the recently updated OECD AI principles, and the recent adoption by consensus of the United Nations General Assembly resolution "Seizing the opportunities of safe, secure and trustworthy artificial intelligence systems for sustainable development" that solidified the global understanding on the need for safeguards for Al systems and the imperative to develop, deploy, and use Al for good, and welcome discussions on the Global Digital Compact in advance of the Summit of the Future in September 2024 and look forward to the final report of the UN Secretary-General’s High-level Advisory Body on AI (HLAB). | 8. 我々は、国連及びその関連機関、G7、G20、経済協力開発機構(OECD)、欧州評議会及びGlobal Partnership on AI(GPAI)における、その他の国際的取組への関与を通じて、AIガバナンスに関する国際協力を強化することを目指す。この観点から、我々は、広島AIプロセス・フレンズグループを認識し、最近改定されたOECDのAI原則、並びにAIシステムのセーフガードの必要性及びAIを便益のために開発・導入・利用するとの責務に関する国際的な認識を強固にした「持続可能な開発のための安全、安心で信頼できるAIシステムに係る機会確保」に関する国連総会決議の最近のコンセンサスによる採択を歓迎し、2024年9月の未来サミットに先立つグローバル・デジタル・コンパクトに関する議論を歓迎し、国連事務総長のAIハイレベル諮問機関の最終報告書を期待する。 |
| 9. Acknowledging the value of Al Summit dialogues as a high-level forum to advance discussion on Al governance which facilitates Al safety, innovation and inclusivity, we look forward to our third gathering at the upcoming AI Action Summit to be held in France. | 9. AIの安全性、革新性及び包摂性を促進するAIガバナンスに関する議論を前進させるためのハイレベルのフォーラムとしてのAIサミットにおける対話の価値を認識しつつ、我々は、フランスで開催予定のAIアクション・サミットにおける三回目の集まりに期待する。 |
| Annex: Seoul Statement of Intent toward International Cooperation on AI Safety Science | 付録:AI安全性の科学に関する国際協力に向けたソウル意図表明 |
| Annex | (仮訳)付録 |
| Seoul Statement of Intent toward International Cooperation on AI Safety Science | AI安全性の科学に関する国際協力に向けたソウル意図表明 |
| 1. 1. Gathered at the AI Seoul Summit on 21st May 2024, and following on from the AI Safety Summit in Bletchley Park on 2nd November 2023 and acknowledging the Safety Testing Chair’s Statement of Session Outcomes from the Bletchley Leaders’ Session, world leaders representing Australia, Canada, the European Union, France, Germany, Italy, Japan, the Republic of Korea, the Republic of Singapore, the United Kingdom, and the United States of America affirm the importance of international coordination and collaboration, based in openness, transparency, and reciprocity, to advance the science of AI safety. We affirm that safety is a key element in furtherance of responsible AI innovation. | 1. 2024年5月21日のAIソウル・サミットに集まり、2023年11月2日のブレッチリー・パークにおけるAI安全性サミットに続き、ブレッチリー首脳セッションのセッション成果に関する安全性評価に係る議長声明を認識しつつ、オーストラリア、カナダ、欧州連合、フランス、ドイツ、イタリア、日本、韓国、シンガポール、英国及び米国を代表する世界の首脳は、開放性、透明性及び相互主義を基礎とし、AI安全性の科学を前進させるための国際的な連携及び協力の重要性を確認する。我々は、責任あるAIイノベーションの促進において安全性が重要な要素であることを確認する。 |
| 2. We commend the collective work to create or expand public and/or governmentbacked institutions, including AI Safety Institutes, that facilitate AI safety research, testing, and/or developing guidance to advance AI safety for commercially and publicly available AI systems. | 2. 我々は、商業的及び公的に利用可能なAIシステムのためのAI安全性を前進させるために、AI安全性の研究、評価及び/又はガイダンス策定を促進する、AIセーフティ・インスティテュートを含む、公的及び/又は政府が支援する機関を創設又は拡大するための共同作業を賞賛する。 |
| 2.1 We acknowledge the need for a reliable, interdisciplinary, and reproducible body of evidence to inform policy efforts related to AI safety. We recognize the role of scientific inquiry and the benefits of international coordination for the advancement of such inquiry, so that ultimately the benefits of AI development and deployment are shared equitably around the globe. | 2.1 我々は、AI安全性に関する政策取組に情報を提供するための、信頼でき、学際的で再現性のある一連のエビデンスの必要性を認識する。我々は、最終的にAIの開発及び導入の便益が世界中で公平に共有されるよう、科学的探求の役割とそのような探求を前進するための国際的連携の利点を認識する。 |
| 2.2 We affirm our intention to leverage and promote common scientific understandings through assessments such as the International AI Safety Report, to guide and align our respective policies, where appropriate, and to enable safe, secure, and trustworthy AI innovation, in line with our governance frameworks. | 2.2 我々は、国際AI安全性報告書などの評価を通じて共通の科学的理解を活用及び促進し、適切な場合には我々それぞれの政策を誘導及び整合させ、また、我々のガバナンス枠組に沿って、安全、安心で信頼できるAIイノベーションを可能にするとの意図を確認する。 |
| 2.3 We express our shared intent to take steps toward fostering common international scientific understanding on aspects of AI safety, including by endeavoring to promote complementarity and interoperability in our technical methodologies and overall approaches. | 2.3 我々は、我々の技術的方法論と全般的なアプローチにおける補完性と相互運用性を促進するよう努めることを含め、AIの安全性の側面に関する、共通の国際的、科学的理解を醸成するための手段を取るという共通の意図を表明する。 |
| 2.4 These steps may include taking advantage of existing initiatives; the mutual strengthening of research, testing, and guidance capacities; the sharing of information about models, including their capabilities, limitations, and risks as appropriate; the monitoring of AI harms and safety incidents; the exchange or joint creation of evaluations, data sets and associated criteria, where appropriate; the establishment of shared technical resources for purposes of advancing the science of AI safety; and the promotion of appropriate research security practices in the field. | 2.4 これらの手段は既存の取組を活用すること、研究、評価及びガイダンス能力を相互に強化すること、適切な場合には、能力、限界及びリスクに関するものを含むモデルに関する情報を共有すること、AIによる害や安全性インシデントをモニタリングすること、適切な場合には、評価、データセット及び関連する基準を交換又は共同で作成すること、AI安全性の科学を推進するための共有の技術リソースの構築、この分野における適切な研究安全性の慣例を推進することを含む。 |
| 2.5 We intend to coordinate our efforts to maximize efficiency, define priorities, report progress, enhance our outputs’ scientific rigor and robustness, promote the development and adoption of international standards, and accelerate the advancement of evidence-based approaches to AI safety. | 2.5 我々は、効率を最大化し、優先順位を明確にし、進捗状況を報告し、我々の成果の科学的厳密性と堅牢性を高め、国際基準の策定及び採択を促進し、AI安全性に関するエビデンスに基づくアプローチの前進を加速させるために、我々の努力を連携する。 |
| 3. We articulate our shared ambition to develop an international network among key partners to accelerate the advancement of the science of AI safety. We look forward to close future collaboration, dialogue, and partnership on these and related endeavors. | 3. 我々は、AI安全性の科学の前進を加速するため、主要なパートナー間の国際的ネットワークを発展させるという共通の願いを表明する。我々は、これら及び関連する取組について、緊密な将来の協力、対話及びパートナーシップを期待する。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.05.23 外務省 岸田総理大臣のAIソウル・サミット首脳セッションへの参加(ビデオメッセージ)+ AIソウル・サミット首脳セッション出席国による安全、革新的で包摂的なAIのためのソウル宣言
・2024.05.23 米国 商務省 NIST AI安全性に関する戦略的ビジョン:AI安全性研究機関の世界的協力計画を発表
・2024.05.21 英国 科学技術革新省 先進AIの安全性に関する国際科学報告書
こんにちは、丸山満彦です。
米国の商務省が、AI安全性に関する戦略的ビジョン:AI安全性研究機関の世界的協力計画を発表していますね...
● NIST - U.S. ARTIFICIAL INTELLIGENCE SAFETY INSTITUTE
・2024.05.21 [PDF] The United States Artificial Intelligence Safety Institute: Vision, Mission, and Strategic Goals
| Vision: It is a time of extraordinary advancement in artificial intelligence (AI). A suite of increasingly capable computer systems, models, and agents with capabilities can now perform tasks that were once thought to require human-level intelligence. | ビジョン:人工知能(AI)が驚異的な進歩を遂げている時代である。かつて人間レベルの知能が必要だと考えられていたタスクを、能力を増したコンピュータ・システム、モデル、エージェントのスイートが実行できるようになった。 |
| Mission: AISI operates with two key principles in mind: beneficial AI depends on AI safety, and AI safety depends on science. | ミッション:有益なAIはAIの安全性に依存し、AIの安全性は科学に依存する。 |
| Strategic Goals: AISI’s mission is by necessity ambitious, and is made even more challenging by the rapidity and dynamism of a changing AI landscape. | 戦略的目標:AISIの使命は、必然的に野心的であり、変化するAIの状況の急速さとダイナミズムによって、さらに挑戦的なものとなっている。 |
| Goal 1. Making the vision possible: advancing AI safety science through research, including testing, evaluation, validation, and verification of increasingly capable AI models, systems, and agents. | 目標1. ビジョンを可能にする: AIモデル、システム、エージェントのテスト、評価、検証、検証を含む研究を通じて、AI安全科学を推進する。 |
| Goal 2. Making the vision actionable: developing and disseminating AI safety practices. | 目標2. ビジョンを実行可能なものにする:AI安全プラクティスを開発し、普及させる。 |
| Goal 3. Making the vision sustainable: supporting institutions, communities, and coordination around AI safety. | 目標3. ビジョンを持続可能なものにする:AIの安全性に関する機構、コミュニティ、協調を支援する。 |
| Pursuing AISI’s vision for the benefit of all. Mitigating the safety risks of a transformative technology is necessary to harness its benefits. | すべての人の利益のためにAISIのビジョンを追求する。変革的な技術の安全リスクを低減することは、その恩恵を享受するために必要である。 |
AIに対する政策について、英国、米国、中国等がいろいろと発表していますが、そういうのを見ながら、日本が進むべき方向も見ておかないといけないでしょうね...
| Strategic Vision | 戦略的ビジョン |
| his summary provides an overview of the U.S. Artificial Intelligence Safety Institute (AISI)’s Strategic Vision document. Get the full text here.< | この要約は、米国人工知能安全研究所(AISI)の戦略的ビジョン文書の概要を提供するものである。全文はこちらから。 |
| EXECUTIVE SUMMARY | 要旨 |
| The Strategic Vision document describes the AISI’s philosophy, mission, and strategic goals. Rooted in two core principles—first, that beneficial AI depends on AI safety; and second, that AI safety depends on science—the AISI aims to address key challenges, including a lack of standardized metrics for frontier AI, underdeveloped testing and validation methods, limited national and global coordination on AI safety issues, and more. | 戦略的ビジョンには、AISIの理念、使命、戦略的目標が記されている。 第一に、有益なAIはAIの安全性に依存し、第二に、AIの安全性は科学に依存するという2つの基本原則に根ざし、AISIは、フロンティアAIの標準化された測定基準の欠如、未開発の試験・検証方法、AIの安全性問題に関する限定的な国家的・世界的調整など、主要な課題に対処することを目指している。 |
| The AISI will focus on three key goals: | AISIは3つの主要目標に焦点を当てる: |
| 1. Advance the science of AI safety; | 1. AIの安全性に関する科学を発展させる; |
| 2. Articulate, demonstrate, and disseminate the practices of AI safety; and | 2. AI安全性の実践を明確にし、実証し、普及させる。 |
| 3. Support institutions, communities, and coordination around AI safety. | 3. AIの安全性に関する機構、コミュニティ、調整を支援する。 |
| To achieve these goals, the AISI plans to, among other activities, conduct testing of advanced models and systems to assess potential and emerging risks; develop guidelines on evaluations and risk mitigations, among other topics; and perform and coordinate technical research. The U.S. AI Safety Institute will work closely with diverse AI industry, civil society members, and international partners to achieve these objectives. | これらの目標を達成するため、AISIは特に、潜在的リスクや新たなリスクをアセスメントするための高度なモデルやシステムのテストを実施し、評価やリスク低減などに関するガイドラインを策定し、技術研究を実施・調整することを計画している。米国AI安全研究所は、多様なAI産業、市民社会、国際的パートナーと緊密に協力し、これらの機構を達成する。 |
プレス...
| U.S. Secretary of Commerce Gina Raimondo Releases Strategic Vision on AI Safety, Announces Plan for Global Cooperation Among AI Safety Institutes | ジーナ・ライモンド米商務長官がAI安全性に関する戦略的ビジョンを発表、AI安全機構間の世界的協力計画を発表 |
| Raimondo announces plans for global network of AI Safety Institutes and future convening in the San Francisco area, where the U.S. AI Safety Institute recently established a presence. | ライモンド米商務長官は、AI安全機構の世界的なネットワークと、米国AI安全機構が最近拠点を構えたサンフランシスコ地域での今後の開催計画を発表した。 |
| Today, as the AI Seoul Summit begins, U.S. Secretary of Commerce Gina Raimondo released a strategic vision for the U.S. Artificial Intelligence Safety Institute (AISI), describing the department’s approach to AI safety under President Biden’s leadership. At President Biden’s direction, the National Institute of Standards and Technology (NIST) within the Department of Commerce launched the AISI, building on NIST’s long-standing work on AI. In addition to releasing a strategic vision, Raimondo also shared the department’s plans to work with a global scientific network for AI safety through meaningful engagement with AI Safety Institutes and other government-backed scientific offices, and to convene the institutes later this year in the San Francisco area, where the AISI recently established a presence. | AIソウル・サミットが始まる本日、ジーナ・ライモンド米商務長官は、バイデン大統領のリーダーシップの下でのAI安全性に対する同省の取り組みについて、米国人工知能安全機構(AISI)の戦略的ビジョンを発表した。バイデン大統領の指示により、商務省内の国立標準技術研究所(NIST)は、NISTの長年にわたるAIに関する研究を基に、AISIを立ち上げた。ライモンドは戦略的ビジョンの発表に加え、AI安全研究所や政府が支援する他の科学機関との有意義な関わりを通じて、AIの安全性に関する世界的な科学的ネットワークと協力し、今年後半にはAISIが最近拠点を構えたサンフランシスコ地域で同研究機関を招集するという同省の計画も披露した。 |
| COMMERCE DEPARTMENT AI SAFETY INSTITUTE STRATEGIC VISION | 商務省AI安全研究所戦略ビジョン |
| The strategic vision released today, available here, outlines the steps that the AISI plans to take to advance the science of AI safety and facilitate safe and responsible AI innovation. At the direction of President Biden, NIST established the AISI and has since built an executive leadership team that brings together some of the brightest minds in academia, industry and government. | 本日発表された戦略的ビジョンはこちらで入手可能で、AISIがAIの安全性に関する科学を発展させ、安全で責任あるAIのイノベーションを促進するために取る予定のステップを概説している。バイデン大統領の指示により、NISTはAISIを設立し、以来、学界、産業界、政府で最も優秀な頭脳を集めた幹部リーダーシップチームを構築してきた。 |
| The strategic vision describes the AISI’s philosophy, mission and strategic goals. Rooted in two core principles — first, that beneficial AI depends on AI safety; and second, that AI safety depends on science — the AISI aims to address key challenges, including a lack of standardized metrics for frontier AI, underdeveloped testing and validation methods, limited national and global coordination on AI safety issues, and more. | 戦略的ビジョンは、AISIの理念、使命、戦略的目標を示している。 第一に、有益なAIはAIの安全性に依存する、第二に、AIの安全性は科学に依存する、という2つの基本原則に根ざし、AISIは、フロンティアAIの標準化された測定基準の欠如、未開発の試験・検証方法、AIの安全性問題に関する限定的な国家的・世界的調整など、主要な課題に対処することを目指している。 |
| The AISI will focus on three key goals: | AISIは3つの主要目標に焦点を当てる: |
| 1. Advance the science of AI safety; | 1. AIの安全性に関する科学を発展させる; |
| 2. Articulate, demonstrate, and disseminate the practices of AI safety; and | 2. AI安全性の実践を明確にし、実証し、普及させる。 |
| 3. Support institutions, communities, and coordination around AI safety. | 3. AIの安全性に関する機構、コミュニティ、調整を支援する。 |
| Read the full Department of Commerce release. | 商務省のリリースを読む。 |
商務省のプレス...
| U.S. Secretary of Commerce Gina Raimondo Releases Strategic Vision on AI Safety, Announces Plan for Global Cooperation Among AI Safety Institutes | ジーナ・ライモンド米商務長官がAI安全性に関する戦略的ビジョンを発表、AI安全機構間のグローバル協力計画を発表 |
| As AI Seoul Summit begins, Raimondo unveils Commerce’s goals on AI safety under President Biden’s leadership. | AIソウルサミットが始まる中、ライモンド商務長官はバイデン大統領のリーダーシップの下、AIの安全性に関する目標を発表した。 |
| Raimondo announces plans for global network of AI Safety Institutes and future convening in the U.S. in San Francisco area, where the U.S. AI Safety Institute recently established a presence. | ライモンド長官は、AI安全機構の世界的なネットワークと、米国AI安全機構が最近設立された米国サンフランシスコ地区での今後の開催計画を発表した。 |
| Today, as the AI Seoul Summit begins, U.S. Secretary of Commerce Gina Raimondo released a strategic vision for the U.S. Artificial Intelligence Safety Institute (AISI), describing the Department’s approach to AI safety under President Biden’s leadership. At President Biden’s direction, the National Institute of Standards and Technology (NIST) within the Department of Commerce launched the AISI, building on NIST’s long-standing work on AI. In addition to releasing a strategic vision, Raimondo also shared the Department’s plans to work with a global scientific network for AI safety through meaningful engagement with AI Safety Institutes and other government-backed scientific offices, and to convene the institutes later this year in the San Francisco area, where the AISI recently established a presence. | AIソウル・サミットが開幕する本日、ジーナ・ライモンド米商務長官は、バイデン大統領のリーダーシップの下、AI安全性に対する同省のアプローチを説明する米国人工知能安全機構(AISI)の戦略的ビジョンを発表した。バイデン大統領の指示により、商務省内の国立標準技術研究所(NIST)は、NISTの長年にわたるAIに関する研究を基に、AISIを発足させた。戦略的ビジョンの発表に加え、ライモンド氏は、AI安全性機構やその他の政府系科学機関との有意義な関わりを通じて、AIの安全性のための世界的な科学ネットワークと協力し、AISIが最近拠点を構えたサンフランシスコ地域で今年後半に機構を招集するという政府の計画も披露した。 |
| “Recent advances in AI carry exciting, lifechanging potential for our society, but only if we do the hard work to mitigate the very real dangers of AI that exist if it is not developed and deployed responsibly. That is the focus of our work every single day at the U.S. AI Safety Institute, where our scientists are fully engaged with civil society, academia, industry, and the public sector so we can understand and reduce the risks of AI, with the fundamental goal of harnessing the benefits,” said U.S. Secretary of Commerce Gina Raimondo. “The strategic vision we released today makes clear how we intend to work to achieve that objective and highlights the importance of cooperation with our allies through a global scientific network on AI safety. Safety fosters innovation, so it is paramount that we get this right and that we do so in concert with our partners around the world to ensure the rules of the road on AI are written by societies that uphold human rights, safety, and trust.” | 「AIの最近の進歩は、私たちの社会にとって刺激的で人生を変える可能性を秘めているが、責任を持って開発・導入されない場合に存在するAIの非常に現実的な危険性を低減するために、私たちが困難な作業を行う場合に限られる。私たちの科学者たちは、市民社会、学術界、産業界、公共部門と全面的に関わり、AIのリスクを理解し、削減することで、利益を活用することを基本目標としています」と、ジーナ・ライモンド米商務長官は語った。「本日発表した戦略的ビジョンは、その目的を達成するために我々がどのように取り組むつもりかを明確にし、AIの安全性に関する世界的な科学的ネットワークを通じて同盟国と協力することの重要性を強調している。安全性はイノベーションを促進するため、私たちがこれを正しく理解し、AIに関する交通ルールが人権、安全性、信頼を支持する社会によって書かれることを確実にするために、世界中のパートナーと協調して行うことが最も重要である。" |
| Commerce Department AI Safety Institute Strategic Vision | 商務省AI安全機構戦略ビジョン |
| The strategic vision released today, available here, outlines the steps that the AISI plans to take to advance the science of AI safety and facilitate safe and responsible AI innovation. At the direction of President Biden, NIST established the AISI and has since built an executive leadership team that brings together some of the brightest minds in academia, industry and government. | 本日発表された戦略ビジョンはこちらで入手可能で、AISIがAIの安全性に関する科学を発展させ、安全で責任あるAIのイノベーションを促進するために取る予定のステップの概要を示している。バイデン大統領の指示により、NISTはAISIを設立し、以来、学界、産業界、政府で最も優秀な頭脳を集めたエグゼクティブ・リーダーシップ・チームを構築してきた。 |
| The strategic vision describes the AISI’s philosophy, mission, and strategic goals. Rooted in two core principles—first, that beneficial AI depends on AI safety; and second, that AI safety depends on science—the AISI aims to address key challenges, including a lack of standardized metrics for frontier AI, underdeveloped testing and validation methods, limited national and global coordination on AI safety issues, and more. | 戦略ビジョンには、AISIの理念、使命、戦略目標が記されている。第一に、有益なAIはAIの安全性に依存するということ、第二に、AIの安全性は科学に依存するということである。AISIは、フロンティアAIの標準化された測定基準の欠如、未開発の試験・検証方法、AIの安全性問題に関する限定的な国家的・世界的調整など、主要な課題に対処することを目指している。 |
| The AISI will focus on three key goals: | AISIは3つの主要目標に焦点を当てる: |
| 1. Advance the science of AI safety; | 1. AIの安全性に関する科学を発展させる; |
| 2. Articulate, demonstrate, and disseminate the practices of AI safety; and | 2. AI安全性の実践を明確にし、実証し、普及させる。 |
| 3. Support institutions, communities, and coordination around AI safety. | 3. AIの安全性に関する機構、コミュニティ、調整を支援する。 |
| To achieve these goals, the AISI plans to, among other activities, conduct testing of advanced models and systems to assess potential and emerging risks; develop guidelines on evaluations and risk mitigations, among other topics; and perform and coordinate technical research. The U.S. AI Safety Institute will work closely with diverse AI industry, civil society members, and international partners to achieve these objectives. | これらの目標を達成するため、AISIは特に、潜在的リスクや新たなリスクをアセスメントするための高度なモデルやシステムのテストを実施し、評価やリスク低減などに関するガイドラインを策定し、技術研究を実施・調整することを計画している。米国AI安全研究所は、多様なAI産業、市民社会、国際的パートナーと緊密に協力し、これらの機構を達成する。 |
| Launch of International Network of AI Safety Institutes | AI安全機構の国際ネットワークの立ち上げ |
| Concurrently, today Secretary Raimondo announced that the Department and the AISI will help launch a global scientific network for AI safety through meaningful engagement with AI Safety Institutes and other government-backed scientific offices focused on AI safety and committed to international cooperation. Building on the foundational understanding achieved by the Republic of Korea and our other partners at the AI Seoul Summit through the Seoul Statement of Intent toward International Cooperation on AI Safety Science, this network will strengthen and expand on AISI's previously announced collaborations with the AI Safety Institutes of the UK, Japan, Canada, and Singapore, as well as the European AI Office and its scientific components and affiliates, and will catalyze a new phase of international coordination on Al safety science and governance. This network will promote safe, secure, and trustworthy artificial intelligence systems for people around the world by enabling closer collaboration on strategic research and public deliverables. | 同時に、ライモンド長官は本日、政府およびAISIが、AI安全機構およびAIの安全に焦点を当て、国際協力に取り組む他の政府支援科学機関との有意義な関わりを通じて、AI安全のための世界的な科学ネットワークの立ち上げを支援することを発表した。このネットワークは、AIソウル・サミットで韓国と他のパートナーが「AI安全科学に関する国際協力に向けたソウル声明」を通じて達成した基礎的理解に基づき、AISIが以前に発表した英国、日本、カナダ、シンガポールのAI安全機構、欧州AI事務局およびその科学的構成機関・関連機関との協力関係を強化・拡大し、Al安全科学とガバナンスに関する国際協調の新たな段階を促進する。このネットワークは、戦略的研究と公的成果物に関する緊密な協力を可能にすることで、世界中の人々にとって安全、安心、信頼できる人工知能システムを促進する。 |
| To further collaboration between this network, AISI intends to convene international AI Safety Institutes and other stakeholders later this year in the San Francisco area. The AISI has recently established a Bay Area presence and will be leveraging the location to recruit additional talent. | このネットワーク間の協力をさらに進めるため、AISIは今年後半にサンフランシスコ地域で国際的なAI安全機構やその他の関係者を招集する予定である。AISIは最近ベイエリアに拠点を構え、この立地を活かしてさらなる人材を確保する予定だ。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.05.23 外務省 岸田総理大臣のAIソウル・サミット首脳セッションへの参加(ビデオメッセージ)+ AIソウル・サミット首脳セッション出席国による安全、革新的で包摂的なAIのためのソウル宣言
・2024.05.23 米国 商務省 NIST AI安全性に関する戦略的ビジョン:AI安全性研究機関の世界的協力計画を発表
・2024.05.21 英国 科学技術革新省 先進AIの安全性に関する国際科学報告書
こんにちは、丸山満彦です。
欧州理事会がサイバーの安全性と抗堪性を強化するための結論書を承認していますね...
サイバーの安全で(Secure)と抗堪性がある(Resillient)EUを構築するための「指針を示し」、「原則を定める」ことを目的とし、サイバーセキュリティの将来に関する結論書ということのようです...
サイバーセキュリティ認証スキーム(EUCC)については、サイバーセキュリティ法の下で最初に採択されたスキームとして歓迎する一方、欧州のサイバーセキュリティ認証スキームの発展が遅々として進まず、困難であることに懸念をもっているようですね...
将来に関しては、AI、量子技術、6Gに備えろ...って感じですかね...
・ 2024.05.21 Cybersecurity: Council approves conclusions for a more cyber secure and resilient Union
| Cybersecurity: Council approves conclusions for a more cyber secure and resilient Union | サイバーセキュリティ 欧州理事会、サイバーの安全性と抗堪性を強化するための結論書を承認 |
| The Council has approved conclusions on the future of cybersecurity aiming to provide guidance and setting the principles towards building a more cybersecure and more resilient Union. | 欧州理事会は、よりサイバーセキュアでレジリエンスに優れたEUを構築するための指針を示し、原則を定めることを目的とした、サイバーセキュリティの将来に関する結論書を承認した。 |
| The importance of cybersecurity can hardly be underestimated. In the last years, cyber security threats have significantly increased in level, complexity, and scale. This has gone along with a significant increase in global geopolitical tensions. | サイバーセキュリティの重要性を過小評価することはできない。ここ数年、サイバーセキュリティの脅威は、そのレベル、複雑さ、規模において著しく増大している。これは、世界的な地政学的緊張の大幅な高まりと相まっている。 |
| "Cybersecurity operates on multiple levels, ensuring the safety of our businesses, governments, and our citizens. Everyone deserves a secure internet and the peace of mind that comes with it. Everyone deserves to feel safe, both online and offline. We must build a robust and resilient digital world through proactive measures and international cooperation." | 「サイバーセキュリティは、企業、政府、市民の安全を確保するために、複数のレベルで機能している。誰もが安全なインターネットとそれに伴う安心感を得る権利がある。オンラインでもオフラインでも、誰もが安全だと感じる権利がある。我々は、積極的な対策と国際協力を通じて、堅牢でレジリエンスの高いデジタル世界を構築しなければならない。」 |
| Petra de Sutter, Belgian deputy prime and minister of public administration, public enterprises, telecommunication, and postal services | ペトラ・デ・スッター、ベルギー副首相兼行政・エンタープライズ・電気通信・郵便大臣 |
| ”Today we set out the principles for the next steps in building a more cyber secure and resilient Union. Focusing on implementation, adoption of harmonised standards, certification, supply chain security, cooperation with the private sector, support for SMEs and adequate funding should be among our main priorities for the future.” | 「本日、我々は、よりサイバーセキュアでレジリエンスの高いEUを構築するための次のステップの原則を定めた。実施、統一標準の採用、認証、サプライチェーンセキュリティ、民間セクターとの協力、中小企業への支援、適切な資金調達に重点を置くことが、今後の主要な優先事項のひとつである。」 |
| Mathieu Michel, Belgian Secretary of State for digitisation, administrative simplification, privacy protection, and the building regulation | マチュー・ミシェル、ベルギー国務長官(デジタル化、行政簡素化、プライバシー保護、建築規制担当 |
| The Council conclusions recall the importance to focus on implementation, strengthen coordination and collaboration, and avoid fragmentation of cybersecurity rules in sectorial legislation. They also call to further clarify roles and responsibilities in the cyber domain, to strengthen the cooperation in the fight against cybercrime, and to work on a revised blueprint of the cyber crisis management framework. The support to micro, small and medium size enterprises, and the need to respond to the challenges presented by the new technologies are also highlighted. | 理事会結論は、実施に焦点を当て、調整と協力を強化し、セクター別法制におけるサイバーセキュリティ規則の断片化を避けることの重要性を想起している。また、サイバー領域における役割と責任をさらに明確にし、サイバー犯罪との闘いにおける協力を強化し、サイバー危機管理枠組みの青写真の改訂に取り組むよう求めている。また、零細・中小企業への支援や、新技術がもたらす課題への対応の必要性も強調されている。 |
| A multistakeholder approach, including cooperation with the private sector and academia is encouraged to close the skills gap. Stressing the importance to attract private capital, the Council conclusions emphasise the need for adequate funding. The external dimension is also highlighted, recalling that an active international policy would be needed to strengthen cooperation with third countries, particularly in the transatlantic context, as a contribution to a strong international ecosystem. In light of the changed and rising threat level, the Council finally invites the European Commission and the High Representative to present a revised cybersecurity strategy. | スキルギャップを埋めるため、民間企業や学界との協力を含むマルチステークホルダー・アプローチが奨励される。民間資本を呼び込むことの重要性を強調し、理事会結論は適切な資金調達の必要性を強調している。また、対外的な側面も強調され、強力な国際的エコシステムへの貢献として、特に大西洋横断的な文脈における第三国との協力を強化するために、積極的な国際政策が必要であることが想起される。脅威のレベルの変化と高まりを踏まえ、理事会は最終的に欧州委員会と上級代表者に対し、サイバーセキュリティ戦略の改訂版を提示するよう要請した。 |
| Council conclusions on the future of cybersecurity: implement and protect together | サイバーセキュリティの将来に関する理事会結論:共に実施し、共に保護する |
・[PDF] Council Conclusions on the Future of Cybersecurity: implement and protect together
附属書...
| ANNEX | 附属書 |
| Council Conclusions on the future of cybersecurity - Implement and protect together - | サイバーセキュリティの将来に関する理事会結論 - 共に実施し、共に保護する - 2024 年 5 月 21 日に開催された理事会会合で承認された。 |
| THE COUNCIL OF THE EUROPEAN UNION, | 欧州連合理事会 |
| RECALLING its conclusions and actions on: | 以下に関する結論と行動を想起する: |
| – The Joint Communication of 25 June 2013 to the European Parliament and the Council on the Cybersecurity Strategy for the European Union: “An Open, Safe and Secure Cyberspace”[1], | - 欧州連合(EU)のサイバーセキュリティ戦略に関する2013年6月25日の欧州議会および理事会への共同コミュニケーション: 「オープンで安全かつセキュアなサイバー空間」[1]、 |
| – EU Cyber Defence Policy Framework[2], | - EUサイバー防衛政策枠組み[2]、 |
| – Internet Governance[3], | - インターネット・ガバナンス[3]、 |
| – Cyber Diplomacy[4], | - サイバー外交[4]、 |
| – Strengthening Europe’s Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry[5], | - 欧州のサイバーレジリエンスシステムの強化、競争力のある革新的なサイバーセキュリティ産業の育成[5]などがある、 |
| – The Joint Communication of 20 November 2017 to the European Parliament and the Council: “Resilience, Deterrence and Defence: Building strong cybersecurity for the EU”[6], | - 2017年11月20日の欧州議会と理事会への共同コミュニケーション: レジリエンス、抑止力、防衛」: EUのための強力なサイバーセキュリティの構築」[6]、 |
| – A Framework for a Joint EU Diplomatic Response to Malicious Cyber Activities (“Cyber Diplomacy Toolbox”)[7], | - 悪質なサイバー活動に対するEUの共同外交対応の枠組み(「サイバー外交ツールボックス」)[7]、 |
| – The EU Coordinated Response to Large-Scale Cybersecurity Incidents and Crises[8]?, | - 大規模サイバーセキュリティインシデントと危機に対するEUの協調対応[8]? |
| – EU External Cyber Capacity Building Guidelines[9], | - EU対外サイバー能力構築ガイドライン[9]、 |
| – Council Implementing Decision (EU) 2018/1993 of 11 December 2018 on the EU Integrated Political Crisis Response Arrangements[10], | - EU統合政治危機対応取決めに関する2018年12月11日の理事会実施決定(EU)2018/1993[10]、 |
| – Cybersecurity capacity and capabilities building in the EU[11], | - EUにおけるサイバーセキュリティの能力と能力構築[11]、 |
| – The significance of 5G to the European Economy and the need to mitigate security risks linked to 5G[12],, | - 欧州経済にとっての5Gの意義と5Gに関連するセキュリティリスクを軽減する必要性[12]、、 |
| – The future of a highly digitised Europe beyond 2020: “Boosting digital and economic competitiveness across the Union and digital cohesion”[13], | - 2020年以降の高度にデジタル化された欧州の未来: 「欧州連合全体のデジタル競争力と経済競争力を高め、デジタル結束を強化する」[13]、 |
| – Complementary efforts to Enhance Resilience and Counter Hybrid Threats[14], | - レジリエンスを強化し、ハイブリッドな脅威に対抗するための補完的な取り組み[14]、 |
| – Shaping Europe’s Digital Future[15], | - 欧州のデジタルの未来を形作る[15]、 |
| – The Cybersecurity of connected devices[16], | - コネクテッドデバイスのサイバーセキュリティ[16]、 |
| – The EU’s Cybersecurity Strategy for the Digital Decade[17], | - デジタル10年に向けたEUのサイバーセキュリティ戦略[17]、 |
| – Security and Defence[18], | - 安全保障と防衛[18]、 |
| – Exploring the potential of the Joint Cyber Unit initiative – complementing the EU Coordinated Response to Large-Scale Cybersecurity Incidents and Crises[19], | - 大規模サイバーセキュリティインシデントと危機へのEU協調対応[19]を補完する「共同サイバーユニット」構想の可能性を探る、 |
| – A Strategic Compass for Security and Defence[20], | - 安全保障と防衛のための戦略的羅針盤[20]、 |
| – the development of the European Union's cyber posture[21], | - EUのサイバー態勢の整備[21]、 |
| – ICT Supply Chain Security[22], | - ICTサプライチェーンのセキュリティ[22]、 |
| – EU Policy on Cyber Defence[23], | - サイバー防衛に関するEU政策[23]、 |
| – The EU Space Strategy for Security and Defence[24], | - 安全保障と防衛のためのEU宇宙戦略[24]、 |
| – Cyber Crisis Management Roadmap[25], | - サイバー危機管理ロードマップ[25]、 |
| – The Communication from the Commission “Implementation of the 5G cybersecurity Toolbox”[26], | - 欧州委員会からのコミュニケーション「5Gサイバーセキュリティ・ツールボックスの実施」[26]、 |
| – The future of EU digital policy. | - EUのデジタル政策の将来 |
| 1. NOTES the ever-increasing interconnectivity and importance of the digital domain for the functioning of our society and economy. UNDERLINES the crucial role of cybersecurity as a cornerstone of a successful digital society by maintaining public trust of the systems on which it relies. HIGHLIGHTS the significantly increasing level, complexity and scale of cybersecurity threats, in particular in the wake of the COVID pandemic, Russia’s war of aggression against Ukraine, growing global geopolitical tensions, as well as technological developments such as Artificial Intelligence and quantum technology. RECOGNISES the European Union (EU) ’s commitment to uphold the international rules-based order to further shape and safeguard the benefits of a free, global, open, and secure cyberspace for future generations. | 1. 私たちの社会と経済の機能にとって、デジタル領域の相互接続性と輸入事業者の重要性がますます高まっていることに留意する。デジタル社会が依存するシステムに対する社会の信頼を維持することにより、成功するデジタル社会の礎石としてのサイバーセキュリティの重要な役割を強調する。特に、COVIDパンデミック、ロシアによるウクライナ侵略戦争、世界的な地政学的緊張の高まり、さらには人工知能や量子技術などの技術的発展を受け、サイバーセキュリティの脅威のレベル、複雑さ、規模が著しく増大していることを強調する。欧州連合(EU)が、将来の世代のために、自由で、グローバルで、開かれた、安全なサイバー空間の恩恵をさらに形成し、保護するために、国際的なルールに基づく秩序を維持するというコミットメントを表明する。 |
| 2. While NOTING that the infrastructure of the internet is mostly privately owned, and digital services are often offered by private providers, ACKNOWLEDGES the public impact, crossborder nature and spill-over risk of cybersecurity threats, as well as the sole responsibility of each Member State on national security and their responsibility for the response to large-scale cyber security incidents and crises affecting them. Therefore EMPHASISES the key role and shared responsibility of Member States, and the EU to set and implement a clear and agile regulatory and policy framework laying down our collective ability to protect, detect, deter and defend against, cyberattacks and recover from them. The implementation of the framework should build on the multi-stakeholder approach of the cybersecurity ecosystem and cooperation with international organisations and partners. | 2. インターネットのインフラはほとんどが民間所有であり、デジタルサービスは多くの場合、民間プロバイダによって提供されていることに留意しつつ、サイバーセキュリティ脅威の公共的影響、国境を越えた性質、波及リスク、ならびに、国家安全保障に関する各加盟国の唯一の責任、自国に影響を及ぼす大規模サイバーセキュリティインデントおよび危機への対応に対する各加盟国の責任を認める。したがって、サイバー攻撃を保護、検知、抑止、防御し、それらから回復するための総合的な能力を定めた明確かつ機動的な規制と政策の枠組みを設定し、実施することは、加盟国およびEUの重要な役割であり、共通の責任であることを防御する。この枠組みは、サイバーセキュリティ・エコシステムのマルチステークホルダー・アプローチと、国際機関やパートナーとの協力に基づいて実施されるべきである。 |
| FOCUS AREAS FOR POLICY-MAKING | 政策立案の重点分野 |
| 3. WELCOMES the significant legislative and non-legislative progress achieved within the EU’s cybersecurity policy framework during the last five years, which contributes to strengthening the resilience and competitiveness of the EU economy and society, while also contributing to international rule setting and implementing the UN Framework of Responsible State Behaviour in Cyberspace. Increasing the cyber resilience of entities and the cybersecurity of products with digital elements should be a continued focus for policy makers, including steps such as vulnerability management, supply chain security, the development of the necessary skills throughout the workforce and increased international dialogues on standards and cooperation. Yet, ACKNOWLEDGES the significant human, financial and operational resources required from society, businesses and governments for their implementation. | 3. 過去5年間にEUのサイバーセキュリティ政策の枠組みの中で達成された、立法的・非法律的な大きな進展を歓迎する。これは、EUの経済・社会のレジリエンスと競争力の強化に貢献するとともに、国際的なルール設定や国連の「サイバー空間における国家の責任ある行動に関する枠組み」の実施にも寄与している。事業体のサイバーレジリエンスを高め、デジタル要素を含む製品のサイバーセキュリティを強化することは、脆弱性管理、サプライチェーンセキュリティ、労働者全体の必要なスキルの開発、標準と協力に関する国際的な対話の強化などのステップを含め、政策立案者にとって引き続き焦点となるべきである。しかし、その実施には、社会、企業、政府から多大な人的、財政的、経営的資源が必要であることを認める。 |
| 4. CALLS on the Member States, Commission and involved European entities to focus on facilitating a structured, efficient, comprehensive and timely implementation of these newly set rules, including with practical guidance. In this regard, CALLS on the Commission, the European Union Agency for Cybersecurity (ENISA), the European Cybersecurity Competence Centre (ECCC), as well as the EU’s Computer Emergency Response Team (CERT-EU), the European Cybercrime Centre Europol (EC3), the NIS Cooperation Group (NIS CG), the CSIRTs Network, EU-CyCLONe (European Union- Cyber Crises Liaison Organisation Network) and national CSIRTs, competent authorities and National Coordination Centres (NCC) to support all stakeholders with this implementation, in line with their respective roles and responsibilities. | 4. 加盟国、欧州委員会および欧州の関係事業体に対し、実践的なガイダンスを含め、新たに設定された規則の体系的、効率的、包括的かつタイムリーな実施を促進することに注力するよう求める。この点に関して、欧州委員会、欧州連合サイバーセキュリティ機関(ENISA)、欧州サイバーセキュリティ能力センター(ECCC)、およびEUのコンピュータ緊急対応チーム(CERT-EU)、欧州刑事警察機構(EC3)、NIS協力グループ(NIS CG)に対して要請する、 CSIRTsネットワーク、EU-CyCLONe(欧州連合-サイバー危機連絡組織ネットワーク)、各国のCSIRT、認可当局、国内調整センター(NCC)、がそれぞれの役割と責任に基づき、全ての利害関係者を支援する。 |
| 5. CALLS for actions facilitating and supporting compliance and reducing administrative burden, especially for micro, small and medium enterprises (SMEs). | 5. コンプライアンスを促進・支援し、特に零細・中小企業(SMEs)の管理負担を軽減する行動を呼びかける。 |
| 6. As streamlining incident notification obligations across relevant legislative acts is a particular challenge, ACKNOWLEDGES the potential of the concept of a single entry point for incident notification and ENCOURAGES Member States to reflect on the possibilities to implement it at the national level. INVITES the Commission to prepare, with the support of ENISA and other relevant EU entities, a mapping of relevant reporting obligations set out in the respective EU legislative acts in cyber and digital matters in order to identify opportunities to reduce the administrative burden. | 6. インシデント通知の義務を関連する法律行為にまたがって合理化することが特に課題であるため、インシデント通知のための単一エントリーポイントという概念の可能性を認め、加盟国に対し、これを国レベルで実施する可能性について検討するよう促す。欧州委員会に対し、行政負担を軽減する機会を特定するため、ENISAおよびその他の関連するEU事業体の支援を受けて、サイバーおよびデジタルに関するEUの各法令に定められた関連報告義務のマッピングを作成するよう要請する。 |
| 7. CALLS on the Commission to swiftly move forward with the adoption of delegated and implementing acts, especially those that are mandatory for the implementation of the NIS2 Directive and the Cyber Resilience Act. CALLS as well to continue the work on harmonised standards in cooperation with Member States, in order to support the implementation of EU cybersecurity legislation building on relevant work of European and International Standardisation bodies. INVITES the Commission, in cooperation with ENISA and the Member States, to closely collaborate with international partners on this subject, in order to safeguard the human-centric approach within such standards. | 7. 欧州委員会に対し、委任法および実施法、特にNIS2指令およびサイバー・レジリエンス法の実施に必須となる法律の採択を速やかに進めるよう求める。また、欧州および国際標準化団体の関連作業を土台として、EUサイバーセキュリティ法の実施を支援するため、加盟国と協力して標準の調和に関する作業を継続するよう求める。欧州委員会は、ENISAおよび加盟国と協力し、このような標準の中で人間中心のアプローチを守るため、このテーマに関して国際的なパートナーと緊密に協力することを要請する。 |
| 8. STRONGLY CAUTIONS against fragmentation, duplication or overlap of cybersecurity regulation across the Union by sector specific initiatives or lex specialis. Cybersecurity is not only a sector but also a horizontal domain. UNDERLINES the inherent coherence between digital and cybersecurity policy. Therefore, URGES the Commission to ensure a coherent approach in future initiatives, which should strengthen or complement existing structures, avoiding unnecessary complexity and duplication. STRESSES in this regard the importance of thorough impact assessments for all new legislative initiatives which is a key part of the Better Regulation Agenda. CALLS on the Commission to develop a clear overview of the relevant horizontal and sectoral legislative frameworks and their interplay. UNDERLINES the importance of horizontal coordination within the EU on cyber issues across sectors and domains and LOOKS FORWARD to continue to strengthen this coordination. | 8. サイバーセキュリティ規制の断片化、重複、重複を防止するため、欧州委員会は、分野別イニシアティブやレックス・スペシャリス(lex specialis)により、欧州連合全体でサイバーセキュリティ規制の断片化、重複、重複を防止するよう強く警告する。サイバーセキュリティは、セクターだけでなく、水平的な領域でもある。デジタル政策とサイバーセキュリティ政策の間に固有の一貫性があることを強調する。従って、欧州委員会に対し、不必要な複雑さや重複を避け、既存の構造を強化または補完するような今後の取り組みにおいて、首尾一貫したアプローチを確保するよう要請する。この点に関して、「より良い規制アジェンダ」の重要な部分である、すべての新規立法構想に対する徹底的な影響評価の重要性を強調する。欧州委員会に対し、関連する水平的および分野別の法的枠組みと、それらの相互関係についての明確な概要を作成するよう求める。分野や領域を超えたサイバー問題に関するEU域内の水平的な協調の重要性を強調し、この協調の継続的な強化を期待する。 |
| 9. INVITES the Commission to collaborate with relevant national experts and policy makers, including at strategic level, as well as with all relevant EU entities and networks before launching new initiatives. Similarly INVITES Member States to exchange lessons learned on new national proposals through existing structures. | 9. 欧州委員会に対し、新たな取り組みを開始する前に、戦略レベルを含め、各国の関連する専門家および政策立案者、ならびに、すべての関連するEU事業体およびネットワークと協力するよう求める。同様に、加盟国に対し、新たな国別提案に関する教訓を、既存の仕組みを通じて交換することを要請する。 |
| 10. WELCOMES the European Common Criteria-based cybersecurity certification scheme (EUCC) as the first adopted scheme under the Cybersecurity Act, yet EXPRESSES concern on the slow and challenging development of the European cybersecurity certification schemes, and calls for the smooth adoption of high quality schemes. EMPHASISES the need for a thorough, comprehensive and transparent review of the European cybersecurity certification framework, to enable a faster and more transparent adoption of certification schemes with full involvement of Member States. In this regard, CALLS on the Commission to take into account the key role of the European Cybersecurity Certification Group. | 10. 欧州共通基準に基づくサイバーセキュリティ認証スキーム(EUCC)を、サイバーセキュリティ法の下 で最初に採択されたスキームとして歓迎する一方、欧州のサイバーセキュリティ認証スキームの発展が遅々として進まず、困難であることに懸念を表明し、質の高いスキームの円滑な採用を求める。加盟国の全面的な関与のもと、より迅速かつ透明性の高い認証制度の採用を可能にするため、欧州のサイバーセキュリティ認証の枠組みを徹底的、包括的かつ透明性をもって見直す必要性を強調する。この観点から、欧州委員会に対し、欧州サイバーセキュリティ認証グループの重要な役割を考慮するよう求める。 |
| 11. REITERATES that the European cybersecurity certification schemes may decrease fragmentation and ensure harmonisation in the Union, while strengthening resilience and trust in an enhanced digital and cybersecurity ecosystem. NOTES that in certain cases additional requirements going beyond certification may be necessary to ensure trust. WELCOMES the political agreement on the amendment to the Cyber Security Act that introduce the certification of managed security services. ACKNOWLEDGES the opportunity for certification to stimulate higher levels of cybersecurity, including by seeking to make cybersecurity measures standard practice for organisations. RECOGNISES the potential for EU certification to support the implementation of existing legislation and support the actions of competent national authorities within the context of NIS2, the Cyber Resilience Act and other cybersecurity regulations. | 11. 欧州のサイバーセキュリティ認証制度は、強化されたデジタルとサイバーセキュリティのエコシステムにおけるレジリエンスと信頼を強化する一方で、欧州連合における断片化を減少させ、調和を確保する可能性があることを指摘する。場合によっては、信頼を確保するために、認証以上の追加要件が必要となる可能性があることに留意する。マネージド・セキュリティ・サービスの認証を導入するサイバーセキュリティ法の改正に関する政治的合意を歓迎する。サイバーセキュリティ対策を組織の標準的な慣行とすることを目指すなど、認証がより高いレベルのサイバーセキュリティを刺激する機会があることを認める。NIS2、サイバーレジリエンス法、その他のサイバーセキュリティ規制の文脈において、EU認証が既存の法律の実施を支援し、所轄の国家当局の行動を支援する可能性を認める。 |
| 12. EMPHASISES the need for sufficient skilled experts for all the relevant national and EU entities in the cybersecurity domain. ENCOURAGES cooperation among all stakeholders, including the private sector, academia and public sector to close this skills gap and STRESSES the importance of paying particular attention to closing the digital gender gap as well, taking into account the innovative potential and expansion of the talent pool that a diverse workforce offers. CALLS for the further development of the Cybersecurity Skills Academy and implementation of its actions to strengthen the EU cybersecurity workforce. INVITES ENISA and the ECCC together with the NCCs to continue their involvement and clarify roles, and CALLS to consider exploring the synergies with any future EDIC (European Digital Infrastructure Consortium) on this topic as well as potentially with the European Security and Defence College and the European Union Agency for Law Enforcement Training (CEPOL) Cybercrime Academy. Recognising that workforce skills are highly mobile in a global marketplace, CALLS for international cooperation in particular on the potential for mutual recognition of skills frameworks. | 12. サイバーセキュリティ領域において、すべての関連する国やEUの事業体にとって、十分な熟練した専門家が必要であることを強調する。このスキルギャップを解消するために、民間部門、学界、公共部門を含むすべての利害関係者間の協力を奨励し、多様な労働力がもたらす革新的な可能性と人材プールの拡大を考慮し、デジタル男女格差の解消にも特に注意を払うことの重要性を強調する。サイバーセキュリティ技能アカデミーをさらに発展させ、EUのサイバーセキュリティ人材を強化するための行動を実施することを求める。ENISAおよびECCCがNCCとともに関与を継続し、役割を明確化するよう要請するとともに、このテーマに関する将来のEDIC(欧州デジタル・インフラ・コンソーシアム)や、欧州安全保障防衛大学(European Security and Defence College)および欧州連合法執行訓練機関(CEPOL)サイバー犯罪アカデミー(Cybercrime Academy)との相乗効果を検討するよう呼びかける。労働力スキルはグローバル市場において非常に流動的であることを認識し、特にスキルフレームワークの相互承認の可能性について国際協力を呼びかける。 |
| 13. Without pre-empting the negotiations of the Multiannual Financial Framework, EMPHASISES the need for adequate funding for EU entities active in the cybersecurity domain in light of the significantly increasing cybersecurity threats across the EU; and. CALLS on the Commission to prioritise between actions when preparing the draft general budget of the Union. ACKNOWLEDGES the need for financial and other incentives to foster innovation in cybersecurity across the EU and secure the digital single market. To this end, CALLS on the Commission, the ECCC and relevant national authorities to stimulate and support use by, in particular, European businesses, research institutions and academia of EU cyber security funding. In light of the scale and complexity of the cybersecurity threats, ACKNOWLEDGES that European funding alone is not sufficient and therefore STRESSES the importance of attracting and investing private capital. | 13. 多年次財政枠組みの交渉を先取りすることなく、EU全域でサイバーセキュリティの脅威が著しく増大していることを踏まえ、サイバーセキュリティ分野で活動するEU事業体に十分な資金を提供する必要性を強調する。欧州委員会に対し、欧州連合(EU)の一般予算案を作成する際に、これらの活動の間に優先順位をつけるよう要請する。EU全体でサイバーセキュリティの革新を促進し、デジタル単一市場を確保するためには、財政的およびその他のインセンティブが必要であることを認める。このため、欧州委員会、ECCCおよび関連する各国当局に対し、特に欧州の企業、研究機構および学術機関がEUのサイバーセキュリティ資金を利用することを刺激し、支援するよう要請する。サイバーセキュリティの脅威の規模と複雑さに鑑み、欧州の資金提供だけでは十分でないことを認め、したがって、民間資本の誘致と投資の重要性を強調する。 |
| 14. NOTES how during the last five years, notable attention has been directed towards imposing obligations upon potential targets of cyber-attacks, to strengthen their cyber resilience. POINTS out that Member States’ CSIRTs, in line with their respective roles, possess the capacity to undertake proactive measures aimed at safeguarding individual users and organisations on a much larger scale, including the possibility of pre-emptive incident prevention or the provision of centralised assistance for self-protection. WELCOMES the integration of Active Cyber Protection (ACP) as a concept within the NIS2 Directive, as well as Coordinated Vulnerability Disclosures, and SUPPORTS their active promotion. CALLS ON Union entities and Member States to place greater emphasis on concrete and scalable preventive and protective measures and, where appropriate, to collaborate in a cross-border manner and with private entities. CALLS ON ENISA and the ECCC to stimulate such collaborative projects at national and EU level. Such centralised provision of support and protection not only helps achieve cost-effectiveness, but also holds the potential to address the substantial deficit of cybersecurity experts, which might otherwise necessitate individual recruitment by each organisation. | 14. 過去5年間、サイバー攻撃を受ける可能性のある標的に対し、そのレジリエンスを強化する義務を課すことに、注目すべき関心が向けられてきたことに留意する。加盟国の CSIRT は、それぞれの役割に応じて、先制的なインシデント防止や自己防衛のための集中的な支援 の提供の可能性を含め、個人ユーザーや組織を保護することを目的としたプロアクティブな対策を、より大規 模に実施する能力を有していることを防御する。NIS2 指令の中に、脆弱性開示の協調と同様に、積極的サイバー保護(ACP)の概念が統合されたことを歓迎し、その積極的な推進を防御する。EU事業体および加盟国に対し、具体的かつスケーラブルな予防・保護措置をより重視し、適切な場合には、国境を越えた態様で、また民間団体と協力するよう求める。ENISAおよびECCCに対し、国内およびEUレベルでこのような共同プロジェクトを刺激するよう求める。このような支援と保護の集中的な提供は、費用対効果の達成に役立つだけでなく、サイバーセキュリティの専門家の大幅な不足に対処する可能性も秘めている。 |
| 15. REITERATES the potential of digital identity to bolster online security and trust in a proactive and inclusive manner. With the Regulation for a European Digital Identity Framework, the EU holds a unique prospect to use digital identity in the ongoing battle against phishing or social engineering, which remain persistent and pervasive vectors of cyberattacks. Against the backdrop of increased misuse of emerging and disruptive technologies (such as AI, for example for the creation of deepfakes), the role of authenticated digital identity assumes augmented importance in strengthening digital trust and confidence. UNDERLINES at the same time the importance of preserving the option of anonymity within the digital world and support of the principle of data minimisation, including the use of pseudonyms, asking users to share only the minimum data necessary for the specific purpose. CALLS on the Union to swiftly implement solutions within the European Digital Identity Framework, to allow businesses, organisations, and individuals to voluntarily identify themselves online in a trusted manner, and STRESSES the crucial importance of the cybersecurity of these solutions. ENCOURAGES the timely development of European cybersecurity certification schemes adopted pursuant to Regulation (EU) 2019/881 for the certification of the European Digital Identity Wallets. | 15. 積極的かつ包括的な方法で、オンライン・セキュリティと信頼を強化するデジタル ID の可能性を強調する。欧州デジタル ID フレームワークに関する規則により、EU は、サイバー攻撃の持続的かつ広範な 媒介であり続けるフィッシングやソーシャル・エンジニアリングとの継続的な闘いにおいて、デジタル ID を利用するユニークな展望を有している。新興の破壊的技術(例えば、ディープフェイクを作成する AI など)の悪用が増加していることを背景に、 認証されたデジタル ID の役割は、デジタルの信頼と信用を強化する上で重要性を増している。同時に、デジタル世界における匿名性の選択肢を維持することの重要性を強調し、仮名の使用を含むデータ最小化の原則を支持し、特定の目的に必要な最小限のデータのみを共有するようユーザーに求める。欧州連合に対し、欧州デジタルIDフレームワークの中で、企業、組織、個人が信頼できる方法でオンライン上で自発的に身元を確認できるソリューションを速やかに実施するよう求めるとともに、これらのソリューションのサイバーセキュリティが極めて重要であることを強調する。欧州デジタルIDウォレットの認証のために規則(EU)2019/881に従って採用される欧州のサイバーセキュリティ認証スキームのタイムリーな開発を奨励する。 |
| 16. WELCOMES the risk assessment on the cybersecurity and resilience of Europe’s communications infrastructures and networks carried out by the NIS Cooperation Group, and CALLS UPON Member States, Commission and ENISA to work on the implementation of the strategic and technical recommendations to mitigate the threats and risks that may have been identified. CALLS on the Commission, the High Representative and ENISA, together with NIS Cooperation Group, within their respective mandates, to swiftly develop a coherent and comprehensive approach across sectors to risk assessment and scenario building, based on a common methodology. This should include prioritisation, minimising duplication, ensuring the quality of these assessments and building synergies, that pursue an all-hazards approach and that the Commission, the High Representative and relevant working parties and networks within the Council take into account the ongoing efforts to counter hybrid threats, such as physical sabotage and foreign information manipulation and interference. | 16. NIS協力グループが実施した欧州の通信インフラおよびネットワークのサイバーセキュリティとレジリエンシーに関するリスクアセスメントを歓迎し、加盟国、欧州委員会およびENISAに対し、特定された脅威とリスクを軽減するための戦略的・技術的勧告の実施に取り組むよう求める。欧州委員会、上級代表者およびENISAに対し、NIS協力グループとともに、それぞれの権限の範囲内で、共通の手法に基づき、リスクアセスメントおよびシナリオ構築のための部門を超えた首尾一貫した包括的アプローチを速やかに開発するよう求める。これには、優先順位付け、重複の最小化、アセスメントの質の確保、相乗効果の構築、オール・ハザード・アプローチの追求、欧州委員会、上級代表、理事会内の関連作業部会およびネットワークが、物理的破壊工作や外国による情報操作・妨害などのハイブリッドな脅威に対抗するための現在進行中の取り組みを考慮に入れることなどが含まれるべきである。 |
| 17. REITERATES its commitment towards ensuring the security of the ICT supply chains as indicated in the Council Conclusions on ICT supply chain security, while noting the relevance of non-technical risk factors in this context, such as undue influence by a third State on suppliers and service provider. CALLS on the NIS Cooperation Group to continue working on the ICT Supply Chain toolbox and the risk assessments and evaluations with the focus on the ICT supply chain security, in particular in relation to technologies necessary for the green and digital transition. | 17. ICTサプライチェーンの安全保障に関する理事会結論に示されたとおり、ICTサプライチェーンの安全保障の確保に向けたコミットメントを表明するとともに、供給業者やプロバイダに対する第三国による不当な影響力など、この文脈における非技術的リスク要因の重要性に留意する。NIS協力グループに対し、ICTサプライチェーンツールボックスと、特にグリーン及びデジタル移行に必要な技術に関連するICTサプライチェーンのセキュリティに焦点を当てたリスクアセスメント及び評価に引き続き取り組むことを要請する。 |
| STRENGTHENING THE INSTITUTIONAL FRAMEWORK | 機構枠組みの強化 |
| 18. WELCOMES, over the course of the last five years, the necessary further enhancement of already existing cybersecurity cooperation structures and entities (notably the CSIRTs Network, NIS Cooperation Group, CERT-EU, ENISA) and the creation of new structures (ECCG, EU-CyCLONe, ECCC and network of NCCs and Military CERT operational Network -MICNET-). CALLS upon these structures and entities to fully implement their mandate and, in the context of an increasing complexity of the European cybersecurity ecosystem, to strengthen cooperation and avoid possible duplication of efforts. INVITES Member States driven cooperation networks such as the NIS Cooperation Group, and, supported by ENISA, the CSIRTs Network and EU-CyCLONe to establish a multi-annual strategic perspective, in full respect of their legal mandate. CALLS on the Commission and the High Representative, working closely with relevant EU entities, to develop across policy domains a clear overview of the roles and responsibilities of all relevant EU entities, stakeholders and networks, both civilian and military, active in the cybersecurity domain, including in their interaction. | 18. 過去 5 年間にわたり、既に存在するサイバーセキュリティ協力体制や事業体(特に、CSIRTs ネットワーク、NIS 協力グループ、CERT-EU、ENISA)の必要なさらなる強化や、新たな体制(ECCG、EU-CyCLONe、ECCC、NCCs のネットワーク、軍事 CERT 運用ネットワーク -MICNET-)の創設が行われてきたことを歓迎する。欧州のサイバーセキュリティ・エコシステムがますます複雑化する中、これらの機構や事業体に対し、その任務を完全に実施し、協力を強化し、努力の重複を避けるよう求める。加盟国に対し、NIS協力グループや、ENISAの支援を受けたCSIRTsネットワーク、EU-CyCLONeなどの協力ネットワークが、その法的権限を完全に尊重し、複数年にわたる戦略的展望を確立するよう要請する。欧州委員会および上級代表に対し、関連するEU事業体と緊密に協力し、サイバーセキュリティの領域で活動するすべての関連するEUの事業体、利害関係者、ネットワーク(文民、軍を問わず)の役割と責任について、その相互作用も含め、政策領域全体にわたる明確な概要を策定するよう求める。 |
| 19. RECOGNISES ENISA's key supportive role to improve the level of cybersecurity in the Union and the Member States. ENCOURAGES ENISA to continue its efforts to support the implementation of relevant Union law and policy, to contribute to common situational awareness through close cooperation with Member States, EU entities, and the private sector, to assess the cyber threat landscape, and to support operational cooperation and the building of capacity. CALLS on the Commission to take duly into account the development of ENISA’s role reviewing the Cybersecurity Act. CALLS upon ENISA to establish clear priorities, including focusing on supporting the Member States through existing structures. | 19. EU及び加盟国におけるサイバーセキュリティのレベルを改善するためのENISAの重要な支援的役割を認識する。ENISAに対し、加盟国、EU事業体および民間部門との緊密な協力を通じて、関連するEU法および政策の実施を支援し、共通の状況認識に貢献し、サイバー脅威の状況を評価し、業務協力および能力構築を支援する努力を継続するよう求める。欧州委員会に対し、サイバーセキュリティ法の見直しに伴うENISAの役割の発展を十分に考慮するよう求める。ENISAに対し、既存の体制を通じて加盟国を支援することに重点を置くなど、明確な優先事項を定めるよう求める。 |
| 20. UNDERLINES the importance of fortifying the cybersecurity of EU entities to protect information and safeguard a strong EU cyber posture. ENCOURAGES the swift implementation of the Act on a high level of cybersecurity of EU institutions, bodies and agencies, accompanied by a decisive Interinstitutional Cybersecurity Board, enhancement of the security culture within EU entities and an allocation of adequate resources for ICT security. ENCOURAGES CERT-EU to develop its role further in line with this Regulation, and in this regard pay particular attention to the close cooperation with relevant networks such as the CSIRTs Network. | 20. 情報を保護し、強力なEUのサイバー態勢を守るため、EU事業体のサイバーセキュリティを強化することの重要性を強調する。断固とした機関間サイバーセキュリティ委員会、EU事業体内のセキュリティ文化の強化、ICTセキュリティのための適切な資源の配分を伴う、EU機構、団体、機関の高水準のサイバーセキュリティに関する法律の速やかな実施を奨励する。CERT-EU に対し、本規則に沿ってその役割をさらに発展させ、この点において、CSIRTs Network のような関連ネットワークとの緊密な協力に特に注意を払うことを奨励する。 |
| 21. ACKNOWLEDGES the increasingly important role of the ECCC within the developing cyber framework of the EU. CALLS on the ECCC and the Commission to swiftly complete the actions needed for the ECCC to gain financial autonomy and finalise its institutional set up. ENCOURAGES the National Coordination Centres and the ECCC to swiftly activate the Cybersecurity Competence Community in a streamlined manner, as a bottom-up, inclusive and key forum for collaboration with industry, academic and research organisations, other relevant civil society associations, public entities and other entities dealing with cybersecurity. CALLS on all Union entities and Member States to support this effort and to preserve the central role of the ECCC in coordinating the EU cybersecurity investment strategy, boosting the EU cybersecurity industry and fostering skilled experts to enhance the EU’s cybersecurity resilience, as well as to increase consistency and synergies with the ECCC’s agenda. INVITES policy makers at European and national level to contemplate a more efficient use of investment as an enabler or a complement to legislation in increasing cybersecurity. | 21. EU の発展途上のサイバーフレームワークの中で、ECCC の役割がますます重要になっていることを認 める。ECCCと欧州委員会に対し、ECCCが財政的に自立し、機構を最終的に立ち上げるために必要な措置を速やかに完了するよう求める。各国調整センターおよびECCCに対し、産業界、学術研究機関、その他の関連する市民社会団体、公共事業体およびサイバーセキュリティに取り組むその他の事業体との協力のためのボトムアップで包括的かつ重要なフォーラムとして、サイバーセキュリティ能力共同体を合理的な方法で速やかに活性化させるよう求める。EUのすべての事業体および加盟国に対し、この取り組みを支援し、EUのサイバーセキュリティ投資戦略の調整、EUのサイバーセキュリティ産業の活性化、EUのサイバーセキュリティレジリエンスを強化するための熟練した専門家の育成において、ECCCの中心的役割を維持するとともに、ECCCのアジェンダとの一貫性と相乗効果を高めるよう呼びかける。欧州および各国レベルの政策立案者に対し、サイバーセキュリティの強化において、法制化を可能にする、あるいは補完するものとして、投資をより効率的に活用することを検討するよう要請する。 |
| 22. Given the crucial role and expertise of the private sector in the security of our digital infrastructure and the protection of entities and citizens that depend on it, CALLS on Member States, the Commission, the High Representative, ENISA, ECCC, the CSIRTs Network and Europol to thoroughly, openly and in a coordinated manner engage with all relevant private sector stakeholders to fortify cybersecurity measures, foster collaborative initiatives, and formulate robust strategies to mitigate the risks posed by cyber threats, including regarding business continuity. Such engagement could include communities of information sharing, support to SMEs, or cooperation agreements on operational projects. | 22. 加盟国、欧州委員会、上級代表、ENISA、ECCC、CSIRTs Network、欧州刑事警察機構に対し、サイバーセキュリティ対策を強化し、協力的なイニシアチブを育成し、事業継続に関するものも含め、サイバー脅威がもたらすリスクを軽減するための強固な戦略を策定するために、関連するすべての民間セクターの利害関係者と徹底的、率直かつ協調的に関与するよう求める。このような関与には、情報共有のコミュニティ、中小企業への支援、あるいは業務プロジェク トに関する協力協定などが考えられる。 |
| 23. CALLS on Member States and the Commission, in cooperation with all relevant networks and entities on the Union level to increase voluntary information sharing in view of a common situational awareness, including, for Member States, through the EU Intelligence Analysis Centre (EU INTCEN). STRESSES the need to prevent any duplication of efforts in this regard and UNDERLINES the importance of cooperation with the private sector, at national and Union level and according to the appropriate procedures. WELCOMES in this regard the political agreement on the Cyber Solidarity Act including its future contribution to the common detection and situational awareness of cyber threats and incidents. | 23. 加盟国および欧州委員会に対し、EUレベルのすべての関連するネットワークおよび事業体と協力し、加盟国に対してはEU情報分析センター(EU INTCEN)を通じたものも含め、共通の状況認識の観点から自発的な情報共有を拡大するよう求める。この点に関し、努力の重複を防ぐ必要性を強調するとともに、国および欧州連合レベルにおいて、適切な手続きに従い、民間部門との協力の重要性を強調する。この観点から、サイバー脅威およびインシデントの共通検知と状況認識への将来的な貢献を含む、サイバー連帯法に関する政治的合意を歓迎する。 |
| 24. CALLS on the Commission, relevant Union entities, in particular Europol and Eurojust, and Member States, making best use of the European Multidisciplinary Platform Against Criminal Threats (EMPACT), to strengthen their collaboration on the significant threat posed by cybercrime, including the pressing issue of ransomware, and to enhance processes to investigate cybercrime. Given how law enforcement actions to disrupt cybercriminal activities also contribute to the prevention of further cybersecurity incidents, a structured and mutually beneficial collaboration between the cybersecurity and law enforcement communities is necessary to further enhance the state of cybersecurity in Europe. STRESSES that in the crucial fight against cybercrime, it is equally important to protect data and ensure privacy, including through secure communications. REITERATES that competent authorities must be able to access data in a lawful and targeted manner, in full respect of fundamental rights and the relevant data protection laws, while upholding cybersecurity. REAFFIRMS its support to the development, implementation and use of strong encryption as a necessary means of protecting fundamental rights and the digital security of individuals, governments, industry and society. Therefore, INVITES Member States and the relevant EU entities to stimulate a structured and appropriate information exchange between national CSIRTs and law enforcement, as well as at EU level between Europol, the CSIRTs Network and CERT-EU, including for victim notification purposes. | 24. 欧州委員会、欧州連合(EU)の関連事業体、特に欧州刑事警察機構(Europol)と欧州司法機構(Eurojust)および加盟国に対し、犯罪の脅威に対する欧州学際的プラットフォーム(EMPACT)を最大限に活用し、喫緊の課題であるランサムウェアを含むサイバー犯罪がもたらす重大な脅威に関する協力を強化し、サイバー犯罪の捜査プロセスを強化するよう求める。サイバー犯罪者の活動を妨害する法執行機関の行動が、さらなるサイバーセキュリティインシデントの防止にも貢献することを考えると、欧州のサイバーセキュリティの状態をさらに強化するためには、サイバーセキュリティ・コミュニティと法執行機関の間の体系的で相互に有益な協力が必要である。サイバー犯罪との極めて重要な闘いにおいて、安全なコミュニケーションを含め、データを保護しプライバシーを確保することも同様に重要であることを防御する。権限のある認可当局は、サイバーセキュリティを維持しつつ、基本的権利および関連するデータ保護法を完全に尊重し、合法的かつ的を絞った方法でデータにアクセスできなければならないことを強調する。基本的権利および個人、政府、産業、社会のデジタル・セキュリティを保護するために必要な手段として、強力な暗号化の開発、実装、利用を支持することを宣言する。よって、加盟国及び関連する EU 事業体に対し、被害者通知の目的も含め、欧州刑事警察機構、 CSIRTs Network 及び CERT-EU と同様に、各国の CSIRTs と法執行機関の間、及び EU レベルでの構造的かつ適切な情報交換を促進するよう要請する。 |
| 25. Given the cyber threat landscape and the fast pace of technological development, HIGHLIGHTS the importance of comprehensive cooperation between civilian and military domains, including between EU cooperation networks. WELCOMES the progress made by Member States and relevant Union entities in implementing the EU Cyber Defence Policy. | 25. サイバー脅威の状況及び技術開発の速いペースを考慮し、EUの協力ネットワーク間を含む、文民及び軍事領域間の包括的協力の重要性を強調する。EUサイバー防衛政策の実施における加盟国および関連事業体の進展を歓迎する。 |
| 26. Building on the Commission Recommendation on coordinated response to large-scale cybersecurity incidents and crises, and on the provisions of Directive (EU) 2022/2555, guided by the Cyber Crisis Management Roadmap developed in the Council under the Czech Presidency, and without prejudice to the Member States’ sole responsibility for safeguarding national security. STRESSES the need to evaluate and further develop the EU cybersecurity crisis management framework integrating new developments and avoiding fragmented Union procedures. | 26. 大規模サイバーセキュリティインシデントおよび危機への協調的対応に関する欧州委員会勧告、および指令(EU)2022/2555の規定に基づき、チェコ議長国の下、理事会で策定されたサイバー危機管理ロードマップを指針とし、加盟国の国家安全保障を守る唯一の責任を損なうことなく、EUサイバー防衛政策を実施する。EUのサイバーセキュリティ危機管理の枠組みを評価し、さらに発展させる必要性を強調する。 |
| 27. Therefore ENCOURAGES Member States to regularly take stock of progress achieved in the implementation of the Roadmap, CALLS upon the Commission to swiftly evaluate the current cybersecurity Blueprint and, on this basis, propose a revised Cybersecurity Blueprint in the form of a Council recommendation that will address the current challenges and complex cyber threat landscape, strengthen existing networks, enhance cooperation, and break silos between organisations, utilising to this end first and foremost existing structures. Furthermore, the revised Blueprint should rely on time-tested guiding principles of cooperation (proportionality, subsidiarity, complementarity and confidentiality of information) and expand them to the full crisis management lifecycle and should contribute to aligning and enhancing secure communication in the cybersecurity field. The revised Blueprint should ensure its compatibility with existing frameworks such as the IPCR, the EU Cyber Diplomacy Toolbox, the EU Hybrid Toolbox, the Law Enforcement Emergency Response Protocol (LERP), emerging frameworks such as the Critical Infrastructure Blueprint, sectoral procedures, and overall crisis management structures within Union entities, involving also the High Representative and Europol. In this revised Blueprint, the role of the Commission, the High Representative and ENISA, in line with their competences, should focus in particular on supporting horizontal coordination. | 27. したがって、加盟国に対し、ロードマップの実施において達成された進捗状況を定期的に把握するよう求めるとともに、欧州委員会に対し、現行のサイバーセキュリティの青写真を速やかに評価し、そのうえで、現在の課題と複雑なサイバー脅威の状況に対処し、既存のネットワークを強化し、協力を強化し、組織間の縦割りを解消し、そのために何よりもまず既存の構造を活用するような、改訂版サイバーセキュリティの青写真を理事会勧告の形で提案するよう求める。さらに、改訂された青写真は、従来から定評のある協力の指導原則(比例性、補完性、相補性、情報の機密性)に依拠し、それを危機管理のライフサイクル全体に拡大し、サイバーセキュリティ分野における安全なコミュニケーションの調整と強化に貢献するものでなければならない。改訂された青写真は、IPCR、EUサイバー外交ツールボックス、EUハイブリッド・ツールボックス、法執行緊急対応プロトコル(LERP)などの既存の枠組み、重要インフラ青写真などの新たな枠組み、セクター別の手順、上級代表や欧州刑事警察機構も関与するEU事業体内の全体的な危機管理構造との互換性を確保すべきである。このブループリントの改訂において、欧州委員会、上級代表およびENISAの役割は、それぞれの権限に基づき、特に水平的な協調を支援することに重点を置くべきである。 |
| 28. UNDERLINES that frequent cybersecurity exercises and training, including, possibly, involving the private sector, strengthen resilience and can effectively decrease the costs, duration and severity of cyber security incidents in organisations. EMPHASIZES that upon its adoption, the new revised Blueprint should be tested as early and to the fullest extent possible, at a technical, operational and political level. | 28. サイバーセキュリティの頻繁な演習と訓練は、場合によっては民間セクターの参加も含め、レジリエンスを強化し、組織におけるサイバーセキュリティインシデントのコスト、期間、重大性を効果的に減少させることができることを強調する。改訂された新しい青写真は、その採択後、可能な限り早期に、技術的、運用的、政治的レベルでテストされるべきであることを強調する。 |
| THE INTERNAL/EXTERNAL NEXUS FOR CYBERSECURITY POLICY | サイバーセキュリティ政策の内部と外部の関連性 |
| 29. UNDERSCORES that cybersecurity in the European Union cannot be tackled in a vacuum. and that an active international cyber policy, including in the UN, NATO, OSCE, ITU, Council of Europe and other multilateral and multistakeholder organisations, is an essential contribution to European cybersecurity. A strong European cybersecurity is also key for the European diplomatic posture. Synergies between the EU’s internal and external cyber initiatives should be captured where possible. STRESSES that a secure cyberspace is not only defined at the nexus between internal and external European policy, but also between the digital and the security domains, as well as between the civilian and the defence domain. In this context, the European efforts regarding cyber capacity building, cyber diplomacy and cyber defence via various Council conclusions and instruments contribute significantly to European cybersecurity. STRESSES the importance of pragmatic cooperation while safeguarding the distinction between civilian and military, as well as national and European roles and responsibilities. In full respect of the agreed guiding principles on EU-NATO cooperation, in particular reciprocity, inclusiveness, decision-making autonomy and full transparency towards all Member States, EMPHASISES the importance of close EU-NATO cooperation on emerging and disruptive technologies in view of creating synergies and avoiding unnecessary duplication. | 29. また、国連、NATO、OSCE、ITU、欧州評議会、その他の多国間およびマルチステークホルダー組織を含む、積極的な国際サイバー政策が欧州のサイバーセキュリティに不可欠な貢献であることを支持する。強力な欧州のサイバーセキュリティは、欧州の外交姿勢にとっても重要である。EUの内外のサイバー・イニシアチブ間の相乗効果を可能な限り取り込むべきである。安全なサイバー空間は、欧州の内政と外政の接点で定義されるだけでなく、デジタル領域と安全保障領域、さらには文民領域と防衛領域の間でも定義されることを強調する。この観点から、欧州理事会の様々な結論や文書を通じたサイバー能力構築、サイバー外交、サイバー防衛に関する欧州の取り組みは、欧州のサイバーセキュリティに大きく貢献している。文民と軍事の区別、国内と欧州の役割と責任を守りつつ、現実的な協力を行うことの重要性を強調する。EU-NATO協力に関する合意された指導原則、特に相互主義、包括性、意思決定の自主性、全加盟国に対する完全な透明性を十分に尊重し、相乗効果を生み出し、不必要な重複を避けるという観点から、新興技術および破壊的技術に関するEU-NATOの緊密な協力の重要性を強調する。 |
| 30. INVITES the Member States and relevant EU entities to engage with countries and actors outside of the Union in order to increase international cooperation against cybercrime. In this regard, WELCOMES the work of the Counter Ransomware Initiative (CRI) and the commitment of the EU, its Member States and entities to the CRI’s Joint Statement on Ransomware Payments as well as the work carried out in cooperation with third states including through EMPACT. | 30. サイバー犯罪に対する国際協力を強化するため、加盟国および関連するEU事業体に対し、EU域外の国および関係者と関与するよう求める。この観点から、ランサムウェア対策イニシアティブ(CRI)の活動、ランサムウェアの支払いに関するCRIの共同声明に対するEU、加盟国および事業体のコミットメント、ならびに、EMPACTを含む第三国との協力による活動を歓迎する。 |
| 31. UNDERLINES the importance of fostering the European market for trusted digital products. HIGHLIGHTS in this context the adoption of the Cyber Resilience Act that will enhance the overall level of security for all products with digital elements and also UNDERLINES the importance of EU cybersecurity certification schemes. WELCOMES in this context the ongoing transatlantic cooperation, including through the agreement of an EU-US Joint Cyber Safe Product Action Plan to prepare the ground to explore mutual recognition on cybersecurity requirements for IoT hardware and software. WELCOMES the contribution of these efforts to a strong international ecosystem. | 31. 信頼できるデジタル製品のための欧州市場を育成することの重要性を強調する。この観点から、デジタル要素を含むすべての製品の全体的なセキュリティレベルを強化するサイバーレジリエンス法の採択を強調するとともに、EUのサイバーセキュリティ認証制度の重要性を強調する。この観点から、IoTハードウェアおよびソフトウェアのサイバーセキュリティ要件に関する相互承認を模索するための基盤を整えるためのEU・米国共同サイバーセーフ製品行動計画の合意を含む、現在進行中の大西洋を越えた協力を歓迎する。強力な国際的エコシステムへのこうした努力の貢献を歓迎する。 |
| 32. RECALLS that secure, resilient, accessible, available and affordable digital infrastructure and connectivity solutions are a decisive factor for economic and social progress and development opportunities in third countries; ensuring rights and freedoms of citizens and enabling trusted transactions between citizens, businesses and governments. STRESSES that cyber capacity building and its contribution to the cybersecurity of digital infrastructure is a condition for the transition into a safe, secure and responsible digital society, which contributes also to improving the EU’s collective cybersecurity. EMPHASISES the importance of the Teams Europe approach and calls on the Member States, Commission and High Representative and to strengthen this in cyber capacity building. STRESSES the need to create awareness on the importance of secure connectivity and trusted suppliers in third countries, including by offering technical assistance and by sustaining investment in secure and trusted connectivity, which incentivises increased alignment with the EU Toolbox on 5G cybersecurity. | 32. 安全で、レジリエンスがあり、アクセス可能で、利用可能で、安価なデジタル・インフラと接続ソ リューションは、第三国における経済的・社会的進歩と開発の機会にとって決定的な要素であり、市民の権利 と自由を確保し、市民、企業、政府間の信頼できる取引を可能にするものであることを想起する。サイバー・キャパシティ・ビルディングとデジタル・インフラのサイバーセキュリティへの貢献は、安全、安心かつ責任あるデジタル社会への移行の条件であり、EU全体のサイバーセキュリティの改善にも寄与することを強調する。チーム・ヨーロッパのアプローチの重要性を強調し、加盟国、欧州委員会および上級代表者に対し、サイバー能力構築においてこれを強化するよう求める。技術支援を提供し、安全で信頼できる接続への投資を持続させることにより、5Gサイバーセキュリティに関するEUツールボックスとの整合性を高める動機付けを与えることを含め、第三国における安全な接続と信頼できる輸入事業者の重要性に関する認識を高める必要性を強調する。 |
| 33. UNDERLINES that the integration of geopolitical considerations into technical endeavours, such as the EU Toolbox on 5G cybersecurity, coordinated risk assessments or specific certification schemes, can present a challenge. This must be approached with due regard for European market principles, while effectively addressing threats and risks. WELCOMES the progress made by Member States in implementing the measures of the EU Toolbox on 5G cybersecurity. However STRESSES the need to complete its implementation in view of minimising exposure to high-risk suppliers and of avoiding dependency on these suppliers at national and EU level. ACKNOWLEDGES the commitments made by the Commission in its Communication from June 2023 to avoid exposure of its corporate communications to mobile networks using high-risk suppliers as well as to make its assessment available for the design of all relevant EU funding programmes and instruments. | 33. 5Gサイバーセキュリティに関するEUツールボックス、協調リスクアセスメント、特定の認証スキームなどの技術的な取り組みに地政学的な配慮を統合することは、課題となり得ることを強調する。これは、脅威とリスクに効果的に対処する一方で、欧州市場の原則に十分配慮して取り組まれなければならない。加盟国による5Gサイバーセキュリティに関するEUツールボックスの措置の実施の進展を歓迎する。しかしながら、リスクの高い供給業者へのエクスポージャーを最小化し、国内およびEUレベルでこれらの供給業者への依存を回避する観点から、その実施を完了する必要性を強調する。欧州委員会が、2023年6月のコミュニケーションにおいて、リスクの高い供給業者を利用したモバイルネットワークへの企業通信のエクスポージャーを回避するとともに、その評価をすべての関連するEUの資金調達プログラムや手段の設計に利用できるようにすることを約束したことをアセスメントする。 |
| THE CYBERSECURITY DIMENSION OF EMERGING AND DISRUPTIVE TECHNOLOGIES | 新興技術および破壊的技術のサイバーセキュリティの側面 |
| 34. STRESSES the attention needed from an EU cybersecurity policy perspective to the challenges and opportunities presented by emerging and disruptive technologies that are critical to our future development such as AI, quantum and 6G technology. RECOGNISES their potential to introduce game-changing threats to cybersecurity and UNDERSCORES the necessity of addressing these developments with sufficient care and attention. ACKNOWLEDGES at the same time the potential opportunities in the cybersecurity field these technologies offer, including technologies aiming to protect the confidentiality of digital communications such as end-to-end encryption, enhance protection measures and scale-up CSIRT services. Therefore, INVITES Member States, the Commission, ENISA and the NIS Cooperation Group to consider concrete non-legislative risk-based initiatives such as roadmaps and action plans to further guide EU action in this area, incentivising innovation and addressing risks efficiently by leveraging a broad range of existing tools and mechanisms. RECALLING that the use and development of technologies should respect human rights, be privacy-focused and that their use is lawful, safe and ethical. | 34. EUのサイバーセキュリティ政策の観点から、AI、量子技術、6G技術など、我々の将来の発展に不可欠な新興技術や破壊的技術がもたらす課題と機会に注意を払う必要があることを強調する。サイバーセキュリティを大きく変える脅威をもたらす可能性を認識し、十分な注意と配慮をもってこれらの開発に取り組む必要性を支持する。同時に、エンドツーエンドの暗号化などデジタルコミュニケーションの機密性を保護する技術、保護対策の強化、CSIRTサービスの拡大など、これらの技術がサイバーセキュリティ分野にもたらす潜在的な機会についても言及する。よって、加盟国、欧州委員会、ENISAおよびNIS協力グループに対し、この分野におけるEUの行動をさらに導き、技術革新にインセンティブを与え、広範な既存のツールやメカニズムを活用することによりリスクに効率的に対処するための、ロードマップや行動計画といった、法律に基づかない具体的な取り組みを検討するよう要請する。技術の使用と開発は、人権を尊重し、プライバシーを重視し、その使用が合法的、安全かつ倫理的であるべきであることを想起する。 |
| 35. UNDERLINES that the transition to Post-Quantum Cryptography (PQC) has clear priority to protect classified and sensitive information in anticipation of the threats posed by future cryptographically relevant quantum computers. In this regard, ACKNOWLEDGES the Commission Recommendation on a Coordinated Implementation Roadmap for the transition to PQC addressing the current and future cybersecurity needs in Union entities, national public administrations and other critical infrastructure, taking into consideration the rapidly evolving computing power and novel trends in technologies. ENCOURAGES Member States to further engage and exchange views on activities and strategic decisions for the transition to PQC. RECOGNIZES that the transition to PQC may require hybrid schemes that combine this technology with existing cryptographic approaches. In the future, further improvements could allow quantum key distribution to also contribute to secure communications. | 35. ポスト量子暗号(PQC)への移行は、暗号に関連する将来の量子コンピュータがもたらす脅威を予期し、機密情報および機微情報を保護するために明確な優先順位があることを強調する。この点に関し、欧州委員会は、急速に進化する計算能力と斬新な技術動向を考慮し、欧州連合の事業体、各国公共行政機関、その他の重要インフラにおける現在および将来のサイバーセキュリティのニーズに対応する、PQCへの移行のための調整された実施ロードマップに関する欧州委員会勧告を承認する。加盟国に対し、PQCへの移行のための活動や戦略的決定について、さらなる関与と意見交換を行うことを奨励する。PQC への移行には、この技術と既存の暗号アプローチを組み合わせたハイブリッド方式が必要になる可能性があることを認識する。将来的には、更なる改善により、量子鍵配布が安全なコミュニケーションにも貢献する可能性がある。 |
| 36. RECOGNISES the role of free and open-source software as a major public good of the digital age as well as the special nature of many open-source development models. NOTES that, given its prevalence in supply chains, free and open-source software also remains a major cybersecurity challenge in the EU and globally. However, the inherent and unique advantage is that its entirely transparent nature allows for security vulnerabilities to be comprehensively addressed. Therefore, UNDERLINES the need to promote a consistent, coherent and transparent policy approach to free and open-source software including concrete measures aimed at supporting the security of free and open-source software projects that are of public interest or widely used across the European economy. | 36. デジタル時代の主要な公共財としてのフリー・オープンソースソフトウェアの役割と、 多くのオープンソース開発モデルの特殊性を認識する。サプライチェーンにおける普及を考慮すると、フリーでオープンソースのソフトウェアもまた、EU および世界的なサイバーセキュリティの主要な課題であることに留意する。しかし、その固有のユニークな利点は、完全に透明な性質により、セキュリティの脆弱性に包括的に対処できることである。そのため、公共的な関心や欧州経済全体で広く利用されているフリー・オープンソースソフトウェア・プロジェクトのセキュリティを支援することを目的とした具体的な対策を含め、フリー・オープンソースソフトウェアに対する一貫性、一貫性、透明性のある政策アプローチを推進する必要性を強調する。 |
| CONCLUSION | 結論 |
| 37. CONCLUDES that in light of the changed and rising threat level, the EU Cybersecurity Strategy from December 2020 should be reviewed, updating its objectives and approach, setting a clear framework with roles and responsibilities for all entities involved, straightforward and efficient coordination mechanisms and an enhanced cooperation with the private sector and academia. Therefore INVITES the Commission and the High Representative to assess the results and gaps of the current Strategy and its impact, and to present on this basis a revised strategy without undue delay, which will reflect these Conclusions. | 37. 脅威のレベルの変化と高まりを踏まえ、2020年12月からのEUサイバーセキュリティ戦略を見直し、その目的とアプローチを更新し、関係するすべての事業体の役割と責任を明確にした枠組みを設定し、わかりやすく効率的な調整メカニズムを構築し、民間部門や学界との協力を強化すべきである。よって、欧州委員会および上級代表に、現行戦略の成果とギャップ、その影響を評価し、これに基づき、本結論を反映した改訂戦略を過度な遅延なく提示するよう求める。 |
[1] 12109/13
[2] 15585/14
[3] 16200/14
[4] 6122/15+COR 1
[5] 14540/16
[6] 14435/17 + COR 1
[7] 10474/17
[8] 10086/18
[9] 10496/18
[10] OJ L 320, 17.12.2018, p.28-34
[11] 7737/19
[12] 14517/19
[13] 9596/19
[14] 14972/19
[15] 8711/20
[16] 13629/20
[17] 7290/21
[18] 8396/21
[19] 13048/21
[20] 7371/22
[21] 9364/22
[22] 13664/22
[23] 15721/22 and 9618/23
[24] 14512/23
[25] 15423/22
[26] C(2023) 4049 Final
● まるちゃんの情報セキュリティ気まぐれ日記
EUCC...
・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択
・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設
・2021.05.26 ENISA (IoT製品)サイバーセキュリティ認証 (Certification) EUCCスキーム候補
サイバーレジリエンス法
・2024.04.05 欧州 ENISA サイバーレジリエンス法要件標準マッピング - 共同研究センター&ENISA共同分析
・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)
・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)
・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意
・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...
サイバーセキュリティ法改正案の件...
・2023.04.21 欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)
・2023.04.21 欧州委員会 EUサイバー連帯法の提案 (2023.04.18)
・2024.01.09 欧州理事会 欧州連合の機構、団体、事務所および機関におけるサイバーセキュリティの高い共通レベルのための措置 (2023.12.13)
こんにちは、丸山満彦です。
欧州理事会 (European Council) がAI法を承認 した(approved) ようですね...
・2024.05.21 Artificial intelligence (AI) act: Council gives final green light to the first worldwide rules on AI
| Artificial intelligence (AI) act: Council gives final green light to the first worldwide rules on AI | 人工知能(AI)法: 理事会、AIに関する世界初の規則に最終的な許可を与える |
| Today the Council approved a ground-breaking law aiming to harmonise rules on artificial intelligence, the so-called artificial intelligence act. The flagship legislation follows a ‘risk-based’ approach, which means the higher the risk to cause harm to society, the stricter the rules. It is the first of its kind in the world and can set a global standard for AI regulation. | 本日、欧州理事会は、人工知能に関する規則の調和を目指す画期的な法律、いわゆる人工知能法を承認した。この主要法案は「リスクベース」のアプローチに従っており、社会に危害を及ぼすリスクが高ければ高いほど、規則は厳しくなる。この種の法律は世界初であり、AI規制の世界標準となる可能性がある。 |
| The new law aims to foster the development and uptake of safe and trustworthy AI systems across the EU’s single market by both private and public actors. At the same time, it aims to ensure respect of fundamental rights of EU citizens and stimulate investment and innovation on artificial intelligence in Europe. The AI act applies only to areas within EU law and provides exemptions such as for systems used exclusively for military and defence as well as for research purposes. | 新法は、EUの単一市場において、民間および公的機関による安全で信頼できるAIシステムの開発と導入を促進することを目的としている。同時に、EU市民の基本的権利の尊重を確保し、欧州における人工知能への投資と技術革新を促進することも目的としている。AI法は、EU法の範囲内にある分野にのみ適用され、軍事・防衛や研究目的にのみ使用されるシステムなどの例外をプロバイダが規定している。 |
| "The adoption of the AI act is a significant milestone for the European Union. This landmark law, the first of its kind in the world, addresses a global technological challenge that also creates opportunities for our societies and economies. With the AI act, Europe emphasizes the importance of trust, transparency and accountability when dealing with new technologies while at the same time ensuring this fast-changing technology can flourish and boost European innovation. | "AI法の採択は、EUにとって重要なマイルストーンとなる。この種の法律としては世界初となるこの画期的な法律は、世界的な技術的課題に対処するものであり、同時に我々の社会と経済に機会を創出するものでもある。AI法によって、欧州は新技術に対処する際の信頼性、透明性、説明責任の重要性を強調すると同時に、この急速に変化する技術が繁栄し、欧州の技術革新を後押しできるようにする」と述べた。 |
| Mathieu Michel, Belgian secretary of state for digitisation, administrative simplification, privacy protection, and the building regulation | マチュー・ミシェル、ベルギー国務長官(デジタル化、行政簡素化、プライバシー保護、建築規制担当 |
| Classification of AI systems as high-risk and prohibited AI practices | AIシステムのハイリスク分類と禁止されるAI行為 |
| The new law categorises different types of artificial intelligence according to risk. AI systems presenting only limited risk would be subject to very light transparency obligations, while high-risk AI systems would be authorised, but subject to a set of requirements and obligations to gain access to the EU market. AI systems such as, for example, cognitive behavioural manipulation and social scoring will be banned from the EU because their risk is deemed unacceptable. The law also prohibits the use of AI for predictive policing based on profiling and systems that use biometric data to categorise people according to specific categories such as race, religion, or sexual orientation. | 新法は、リスクに応じて人工知能の種類を分類している。限定的なリスクしか示さないAIシステムには非常に軽い透明性義務が課される一方、リスクの高いAIシステムには認可が与えられるが、EU市場にアクセスするための一連の要件と義務が課される。例えば、認知行動操作やソーシャルスコアリングのようなAIシステムは、そのリスクが容認できないとみなされるため、EUからの参入が禁止される。また、プロファイリングに基づく予測的な取り締まりや、生体データを使用して人種、宗教、性的指向などの特定のカテゴリーに従って人々を分類するシステムへのAIの使用も禁止されている。 |
| General purpose AI models | 汎用AIモデル |
| The AI act also addresses the use of general-purpose AI (GPAI) models. | AI法は、汎用AI(GPAI)モデルの使用にも言及している。 |
| GPAI models not posing systemic risks will be subject to some limited requirements, for example with regard to transparency, but those with systemic risks will have to comply with stricter rules. | システミック・リスクをもたらさないGPAIモデルには、透明性などの限定的な要件が課されるが、システミック・リスクを伴うGPAIモデルには、より厳格なルールが適用される。 |
| A new governance architecture | 新たなガバナンス・アーキテクチャー |
| To ensure proper enforcement, several governing bodies are set up: | 適切な執行を確保するため、いくつかのガバナンス団体が設立される: |
| ・An AI Office within the Commission to enforce the common rules across the EU | ・欧州委員会内にAI事務局を設置し、EU全域で共通のルールを施行する。 |
| ・A scientific panel of independent experts to support the enforcement activitie | ・エンフォースメント活動を支援する独立専門家からなる科学委員会 |
| ・An AI Board with member states’ representatives to advise and assist the Commission and member states on consistent and effective application of the AI Act | ・AI法の一貫した効果的な適用について欧州委員会と加盟国に助言し、支援する加盟国代表者によるAI委員会 |
| ・An advisory forum for stakeholders to provide technical expertise to the AI Board and the Commission | ・AI委員会と欧州委員会に技術的な専門知識を提供する利害関係者のためのアドバイザリー・フォーラム |
| Penalties | 罰則 |
| The fines for infringements to the AI act are set as a percentage of the offending company’s global annual turnover in the previous financial year or a predetermined amount, whichever is higher. SMEs and start-ups are subject to proportional administrative fines. | AI法違反に対する罰金は、違反企業の前会計年度における全世界の年間売上高に対する割合、またはあらかじめ定められた金額のいずれか高い方に設定されている。中小企業や新興企業は、比例制の行政罰の対象となる。 |
| Transparency and protection of fundamental rights | 透明性と基本的権利の保護 |
| Before a high-risk AI system is deployed by some entities providing public services, the fundamental rights impact will need to be assessed. The regulation also provides for increased transparency regarding the development and use of high-risk AI systems. High-risk AI systems, as well as certain users of a high-risk AI system that are public entities will need to be registered in the EU database for high-risk AI systems, and users of an emotion recognition system will have to inform natural persons when they are being exposed to such a system. | 公共サービスを提供する事業体によっては、リスクの高いAIシステムが導入される前に、基本的人権への影響をアセスメントする必要がある。規制はまた、リスクの高いAIシステムの開発と使用に関する透明性の向上についてもプロバイダが規定している。高リスクのAIシステム、および高リスクのAIシステムの特定の利用者である公的事業体は、EUの高リスクAIシステム用データベースに登録する必要があり、感情認識システムの利用者は、そのようなシステムにさらされている場合、自然人に通知する必要がある。 |
| Measures in support of innovation | イノベーション支援措置 |
| The AI act provides for an innovation-friendly legal framework and aims to promote evidence-based regulatory learning. The new law foresees that AI regulatory sandboxes, enabling a controlled environment for the development, testing and validation of innovative AI systems, should also allow for testing of innovative AI systems in real world conditions. | AI法は、イノベーションに優しい法的枠組みをプロバイダとして提供し、エビデンスに基づく規制の学習を促進することを目的としている。新法は、革新的なAIシステムの開発、テスト、検証のための管理された環境を可能にするAI規制のサンドボックスが、現実世界の条件下での革新的なAIシステムのテストも可能にすることを予見している。 |
| Next steps | 次のステップ |
| After being signed by the presidents of the European Parliament and of the Council, the legislative act will be published in the EU’s Official Journal in the coming days and enter into force twenty days after this publication. The new regulation will apply two years after its entry into force, with some exceptions for specific provisions. | 欧州議会と欧州理事会の両議長が署名した後、この法律は数日中にEUの官報に掲載され、掲載から20日後に発効する。新規則は発効から2年後に適用されるが、特定の条項については例外がある。 |
| Background | 背景 |
| The AI act is a key element of the EU’s policy to foster the development and uptake across the single market of safe and lawful AI that respects fundamental rights. The Commission (Thierry Breton, commissioner for internal market) submitted the proposal for the AI act in April 2021. Brando Benifei (S&D / IT) and Dragoş Tudorache (Renew Europe / RO) were the European Parliament’s rapporteurs on this file and a provisional agreement between the co-legislators was reached on 8 December 2023. | AI法は、基本的権利を尊重し、安全かつ合法的なAIの開発と単一市場全体での普及を促進するEUの政策の重要な要素である。欧州委員会(ティエリー・ブルトン域内市場担当委員)は2021年4月、AI法の提案書を提出した。ブランド・ベニフェイ(S&D / IT)とドラゴシュ・トゥドラチェ(Renew Europe / RO)は、この案件に関する欧州議会の報告者を務め、2023年12月8日に共同立法者間の暫定合意に達した。 |
| Regulation laying down harmonised rules on artificial intelligence (artificial intelligence act), 21 May 2024 | 人工知能に関する調和規則を定める規則(人工知能法) 2024年5月21日 |
| Artificial Intelligence Act, Text of the provisional agreement, 2 February 2024 | 人工知能法、暫定合意文書、2024年2月2日 |
| Artificial intelligence act, Commission proposal, 14 April 2021 | 人工知能法、欧州委員会提案、2021年4月14日 |
| A European approach to artificial intelligence (European Commission information) | 人工知能に対する欧州のアプローチ(欧州委員会情報) |
| A digital future for Europe (background information) | 欧州のデジタルな未来(背景情報) |
| Your life online: how the EU is making it easier and safer for you (feature story) | あなたのオンライン生活:EUはいかにしてより簡単で安全な生活を実現するか(特集記事) |
| Artificial intelligence (background information) | 人工知能(背景情報) |
官報にのったら、きっとHTMLになるよね... ちなみにPDFだと419ページ...
● まるちゃんの情報セキュリティ気まぐれ日記
AI法
・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)
・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意
・2022.12.08 EU理事会 AI法に関する見解を採択
・2022.09.30 欧州委員会 AI責任指令案
・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出
・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26
・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね
こんにちは、丸山満彦です。
英国の科学技術革新省とAI研究所が「先進AIの安全性に関する国際科学報告書」の中間報告を公表していますね...
「汎用AI(多種多様なタスクをこなすAI)の科学的理解の現状を、そのリスクの理解と管理に焦点をあててまとめたもの」ということのようです...
日本人としては、SONYのCTOの北野宏明さん[wikipedia]の名前がありますね...
参考文献の数がすごい...
・2024.05.17 [PDF] International Scientific Report on the Safety of Advanced AI
目次...
| Forewords | まえがき |
| Executive Summary | エグゼクティブサマリー |
| 1 Introduction | 1 序文 |
| 2 Capabilities | 2 能力 |
| 2.1 How does General-Purpose AI gain its capabilities? | 2.1 汎用AIはどのようにして能力を獲得するのか? |
| 2.2 What current general-purpose AI systems are capable of | 2.2 現在の汎用AIシステムは何ができるのか? |
| 2.2.1 Capabilities by modality . | 2.2.1 モダリティ別の能力 . |
| 2.2.2 Capabilities and limitations by skill . | 2.2.2 スキル別の能力と限界 . |
| 2.3 Recent trends in capabilities and their drivers | 2.3 能力の最近の傾向とその促進要因 |
| 2.3.1 Recent trends in compute, data, and algorithms | 2.3.1 計算、データ、アルゴリズムに関する最近の傾向 |
| 2.3.2 Recent trends in capabilities | 2.3.2 能力の最近の傾向 |
| 2.4 Capability progress in coming years | 2.4 今後数年間における能力の進歩 |
| 2.4.1 If resources continue to be scaled rapidly, would this lead to rapid advancements? | 2.4.1 リソースが急速に拡張され続ければ、急速な進歩につながるか? |
| 2.4.2 Will resources be scaled rapidly? . | 2.4.2 リソースは急速に拡大するだろうか? |
| 2.4.3 Will algorithmic progress lead to rapid advancements? . | 2.4.3 アルゴリズムの進歩は急速な進歩をもたらすか?. |
| 3 Methodology to assess and understand general-purpose AI systems . | 3 汎用AIシステムのアセスメントと理解のための方法論 . |
| 3.1 General-purpose AI assessments serve to evaluate model capabilities and impacts. | 3.1 汎用AIのアセスメントは、モデルの能力と影響を評価するのに役立つ。 |
| 3.2 Approaches for model performance analysis | 3.2 モデル性能分析のためのアプローチ |
| 3.2.1 Case studies | 3.2.1 ケーススタディ |
| 3.2.2 Benchmarks | 3.2.2 ベンチマーク |
| 3.2.3 Red-teaming and adversarial attacks | 3.2.3 レッドチームと敵対的攻撃 |
| 3.2.4 Auditing | 3.2.4 監査 |
| 3.3 Model transparency, explanations, and interpretations | 3.3 モデルの透明性、説明、解釈 |
| 3.4 Challenges with studying general-purpose AI systems | 3.4 汎用AIシステム研究の課題 |
| 4 Risks | 4 リスク |
| 4.1 Malicious use risks | 4.1 悪意のある使用のリスク |
| 4.1.1 Harm to individuals through fake content | 4.1.1 偽コンテンツによる個人への被害 |
| 4.1.2 Disinformation and manipulation of public opinion | 4.1.2 偽情報と世論操作 |
| 4.1.3 Cyber offence . | 4.1.3 サイバー犯罪 |
| 4.1.4 Dual use science risks | 4.1.4 科学のデュアルユースリスク |
| 4.2 Risks from malfunctions | 4.2 誤作動によるリスク |
| 4.2.1 Risks from product functionality issues | 4.2.1 製品の機能問題によるリスク |
| 4.2.2 Risks from bias and underrepresentation | 4.2.2 バイアスと過少代表によるリスク |
| 4.2.3 Loss of control | 4.2.3 制御不能 |
| 4.3 Systemic risks | 4.3 システミック・リスク |
| 4.3.1 Labour market risks | 4.3.1 労働市場のリスク |
| 4.3.2 Global AI divide | 4.3.2 グローバルAI格差 |
| 4.3.3 Market concentration risks and single points of failure | 4.3.3 市場集中リスクと単一障害点 |
| 4.3.4 Risks to the environment | 4.3.4 環境に対するリスク |
| 4.3.5 Risks to privacy | 4.3.5 プライバシーに対するリスク |
| 4.3.6 Copyright infringement | 4.3.6 著作権侵害 |
| 4.4 Cross-cutting risk factors | 4.4 分野横断的リスク要因 |
| 4.4.1 Cross-cutting technical risk factors | 4.4.1 分野横断的な技術的リスク要因 |
| 4.4.2 Cross-cutting societal risk factors | 4.4.2 分野横断的な社会的リスク要因. |
| 5 Technical approaches to mitigate risks | 5 リスク低減のための技術的アプローチ |
| 5.1 Risk management and safety engineering | 5.1 リスクマネジメントと安全工学 |
| 5.1.1 Risk assessment | 5.1.1 リスクアセスメント |
| 5.1.2 Risk management | 5.1.2 リスクマネジメント |
| 5.2 Training more trustworthy models | 5.2 より信頼できるモデルの育成 |
| 5.2.1 Aligning general-purpose AI systems with developer intentions | 5.2.1 汎用AIシステムと開発者の意図を一致させる |
| 5.2.2 Reducing the hallucination of falsehoods | 5.2.2 虚偽の幻覚を減らす |
| 5.2.3 Improving robustness to failures | 5.2.3 失敗に対する頑健性を改善する |
| 5.2.4 Removing hazardous capabilities | 5.2.4 危険な能力を取り除く |
| 5.2.5 Analysing and editing the inner workings of models | 5.2.5 モデルの内部構造を分析・編集する |
| 5.3 Monitoring and intervention | 5.3 監視と介入 |
| 5.3.1 Detecting general-purpose AI-generated content . | 5.3.1 生成的AIコンテンツの検知. |
| 5.3.2 Detecting anomalies and attacks | 5.3.2 異常や攻撃を検知する |
| 5.3.3 Explaining model actions . | 5.3.3 モデルの行動を説明する . |
| 5.3.4 Building safeguards into AI systems | 5.3.4 AIシステムにセーフガードを組み込む |
| 5.4 Technical approaches to fairness and representation in general-purpose AI systems | 5.4 汎用AIシステムにおける公平性と表現に対する技術的アプローチ |
| 5.4.1 Mitigation of bias and discrimination works throughout the stages of general-purpose AI development and deployment | 5.4.1 バイアスと識別の低減は、汎用AIの開発と展開のステージを通して機能する |
| 5.4.2 Is fairness in general-purpose AI systems achievable? | 5.4.2 汎用AIシステムにおける公平性は達成可能か? |
| 5.4.3 Challenges in achieving fair general-purpose AI systems | 5.4.3 公正な汎用AIシステムを実現する上での課題 |
| 5.5 Privacy methods for general-purpose AI systems | 5.5 汎用AIシステムのプライバシー手法 |
| 6 Conclusion | 6 まとめ |
| Chair’s note on the interim report | 中間報告に対する座長のコメント |
| Differing views | 見解の相違 |
| Glossary | 用語解説 |
| References | 参考文献 |
エグゼクティブサマリー...
| Executive Summary | エグゼクティブ・サマリー |
| About this report | この報告書について |
| • This is the interim publication of the first ‘International Scientific Report on the Safety of Advanced AI’. A diverse group of 75 artificial intelligence (AI) experts contributed to this report, including an international Expert Advisory Panel nominated by 30 countries, the European Union (EU), and the United Nations (UN). | • 本書は、初の「先進的AIの安全性に関する国際科学報告書」の中間発表である。この報告書には、30カ国、欧州連合(EU)、国連(UN)から推薦された国際専門家諮問委員会を含む、75人の人工知能(AI)の専門家からなる多様なグループが貢献した。 |
| • Led by the Chair of this report, the independent experts writing this report collectively had full discretion over its content. | • 本報告書の議長を筆頭に、本報告書を執筆した独立専門家たちは、その内容に関して全面的な裁量権を有していた。 |
| • At a time of unprecedented progress in AI development, this first publication restricts its focus to a type of AI that has advanced particularly rapidly in recent years: General-purpose AI, or AI that can perform a wide variety of tasks. Amid rapid advancements, research on general-purpose AI is currently in a time of scientific discovery and is not yet settled science. | • AIの開発がかつてないほど進展している現在、この最初の出版物は、近年特に急速に進歩しているAIのタイプに焦点を絞っている:汎用AI、すなわちさまざまなタスクを実行できるAIである。急速な進歩の中で、汎用AIの研究は現在、科学的発見の時期にあり、まだ定まった科学ではない。 |
| • People around the world will only be able to enjoy general-purpose AI’s many potential benefits safely if its risks are appropriately managed. This report focuses on identifying these risks and evaluating technical methods for assessing and mitigating them. It does not aim to comprehensively assess all possible societal impacts of general-purpose AI, including its many potential benefits. | • そのリスクが適切に管理されて初めて、世界中の人々が汎用AIの多くの潜在的利益を安全に享受できるようになる。本報告書は、こうしたリスクを特定し、それを評価・軽減するための技術的手法を評価することに焦点を当てている。汎用AIがもたらす多くの潜在的便益を含め、考えられるすべての社会的影響を包括的に評価することを目的としたものではない。 |
| • For the first time in history, this interim report brought together experts nominated by 30 countries, the EU, and the UN, and other world-leading experts, to provide a shared scientific, evidence-based foundation for discussions and decisions about general-purpose AI safety. We continue to disagree on several questions, minor and major, around general-purpose AI capabilities, risks, and risk mitigations. But we consider this project essential for improving our collective understanding of this technology and its potential risks, and for moving closer towards consensus and effective risk mitigation to ensure people can experience the potential benefits of general-purpose AI safely. The stakes are high. We look forward to continuing this effort. | • 史上初めて、この中間報告書は、30カ国、EU、国連から推薦された専門家と、その他の世界をリードする専門家が一堂に会し、汎用AIの安全性に関する議論と意思決定のための、科学的根拠に基づく共通の基盤を提供した。我々は、汎用AIの能力、リスク、リスク軽減策をめぐるいくつかの疑問について、些細なものから大きなものまで、意見の相違が続いている。しかし、我々はこのプロジェクトが、このテクノロジーとその潜在的リスクに関する我々の集合的理解を向上させ、人々が安全に汎用AIの潜在的利益を体験できるようにするためのコンセンサスと効果的なリスク軽減に近づくために不可欠であると考えている。賭け金は大きい。我々は、この取り組みを継続することを楽しみにしている。 |
| Highlights of the executive summary | エグゼクティブ・サマリーのハイライト |
| • If properly governed, general-purpose AI can be applied to advance the public interest, potentially leading to enhanced wellbeing, more prosperity, and new scientific discoveries. However, malfunctioning or maliciously used general-purpose AI can also cause harm, for instance through biased decisions in high-stakes settings or through scams, fake media, or privacy violations. | • 適切に管理されれば、汎用AIは公共の利益を増進するために応用され、幸福の増進、さらなる繁栄、新たな科学的発見につながる可能性がある。しかし、誤作動や悪意を持って使用された汎用AIは、例えば、利害関係の強い場面での偏った判断や、詐欺、フェイクメディア、プライバシー侵害などを通じて、危害をもたらす可能性もある。 |
| • As general-purpose AI capabilities continue to advance, risks such as large-scale labour market impacts, AI-enabled hacking or biological attacks, and society losing control over general-purpose AI could emerge, although the likelihood of these scenarios is debated among researchers. Different views on these risks often stem from differing expectations about the steps society will take to limit them, the effectiveness of those steps, and how rapidly general-purpose AI capabilities will be advanced. | • 汎用AIの能力が進歩し続けるにつれて、大規模な労働市場への影響、AIを利用したハッキングや生物学的攻撃、社会が汎用AIを制御できなくなるといったリスクが出現する可能性があるが、こうしたシナリオの可能性については研究者の間で議論が分かれている。これらのリスクに関する見解の違いは、社会がリスクを制限するために取る措置、その措置の有効性、汎用AIの能力がどの程度急速に進歩するかについての期待の違いから生じることが多い。 |
| • There is considerable uncertainty about the rate of future progress in general-purpose AI capabilities. Some experts think a slowdown of progress is by far most likely, while other experts think that extremely rapid progress is possible or likely. | • 汎用AI能力の将来的な進歩速度にはかなりの不確実性がある。進歩が鈍化する可能性が圧倒的に高いと考える専門家もいれば、極めて急速な進歩が可能またはあり得ると考える専門家もいる。 |
| • There are various technical methods to assess and reduce risks from general-purpose AI that developers can employ and regulators can require, but they all have limitations. For example, current techniques for explaining why general-purpose AI models produce any given output are severely limited. | • 汎用AIによるリスクを評価し、低減するために、開発者が採用でき、規制当局が要求できるさまざまな技術的手法があるが、いずれも限界がある。例えば、汎用AIモデルがどのようなアウトプットを出すのかを説明するための現在の技術は、非常に限られている。 |
| • The future of general-purpose AI technology is uncertain, with a wide range of trajectories appearing possible even in the near future, including both very positive and very negative outcomes. But nothing about the future of AI is inevitable. It will be the decisions of societies and governments that will determine the future of AI. This interim report aims to facilitate constructive discussion about these decisions. | • 汎用AI技術の未来は不確実であり、非常にポジティブな結果も非常にネガティブな結果も含め、近い将来でさえ幅広い軌跡があり得ると思われる。しかし、AIの未来に必然性はない。AIの未来を決定するのは、社会と政府の決断である。本中間報告書は、こうした決定に関する建設的な議論を促進することを目的としている。 |
| This report synthesises the state of scientific understanding of general-purpose AI – AI that can perform a wide variety of tasks – with a focus on understanding and managing its risks | 本報告書は、汎用AI(多種多様なタスクをこなすAI)の科学的理解の現状を、そのリスクの理解と管理に焦点をあててまとめたものである。 |
| The capabilities of systems using AI have been advancing rapidly. This has highlighted the many opportunities that AI creates for business, research, government, and private life. It has also led to an increased awareness of current harms and potential future risks associated with advanced AI. | AIを使ったシステムの能力は急速に進歩している。このことは、AIがビジネス、研究、政府、私生活にもたらす多くの機会を浮き彫りにしている。また、高度なAIに関連する現在の危害や将来の潜在的なリスクに対する認識も高まっている。 |
| The purpose of the International Scientific Report on the Safety of Advanced AI is to take a step towards a shared international understanding of AI risks and how they can be mitigated. This first interim publication of the report restricts its focus to a type of AI whose capabilities have advanced particularly rapidly: general-purpose AI, or AI that can perform a wide variety of tasks. | 先進AIの安全性に関する国際科学報告書」の目的は、AIのリスクとその軽減方法について、国際的な共通理解を得るための一歩を踏み出すことである。この報告書の最初の中間発表では、特に急速に能力が進歩したAIの種類、すなわち汎用AI、すなわち多種多様なタスクを実行できるAIに焦点を絞っている。 |
| Amid rapid advancements, research on general-purpose AI is currently in a time of scientific discovery and is not yet settled science. The report provides a snapshot of the current scientific understanding of general-purpose AI and its risks. This includes identifying areas of scientific consensus and areas where there are different views or open research questions. | 急速な進歩の中で、汎用AIの研究は現在、科学的発見の時期にあり、まだ科学として確立していない。本報告書は、汎用AIとそのリスクに関する現在の科学的理解のスナップショットを提供する。これには、科学的コンセンサスが得られている分野と、異なる見解や未解決の研究課題がある分野の特定が含まれる。 |
| People around the world will only be able to enjoy the potential benefits of general-purpose AI safely if its risks are appropriately managed. This report focuses on identifying risks from general-purpose AI and evaluating technical methods for assessing and mitigating them, including the beneficial use of general-purpose AI to mitigate risks. It does not aim to comprehensively assess all possible societal impacts of general-purpose AI, including what benefits it may offer. | 汎用AIのリスクが適切に管理されて初めて、世界中の人々が汎用AIの潜在的な恩恵を安全に享受できるようになる。本報告書は、汎用AIがもたらすリスクを特定し、リスクを軽減するための汎用AIの有益な利用を含め、リスクを評価・軽減するための技術的手法を評価することに焦点を当てている。汎用AIがどのような便益をもたらすかも含め、汎用AIの社会的影響の可能性をすべて包括的に評価することは目的としていない。 |
| General-purpose AI capabilities have grown rapidly in recent years according to many metrics, and there is no consensus on how to predict future progress, making a wide range of scenarios appear possible | 多くの指標によれば、汎用AIの能力は近年急速に成長しており、将来の進歩を予測する方法についてコンセンサスは得られていない。 |
| According to many metrics, general-purpose AI capabilities are progressing rapidly. Five years ago, the leading general-purpose AI language models could rarely produce a coherent paragraph of text. Today, some general-purpose AI models can engage in multi-turn conversations on a wide range of topics, write short computer programs, or generate videos from a description. However, the capabilities of general-purpose AI are difficult to estimate reliably and define precisely. | 多くの指標によれば、汎用AIの能力は急速に進歩している。5年前、主要な汎用AI言語モデルは、まとまった段落の文章をほとんど作成できなかった。今日、いくつかの汎用AIモデルは、幅広いトピックについて何ターンも会話をしたり、短いコンピューター・プログラムを書いたり、説明から動画を生成したりできる。しかし、汎用AIの能力を確実に見積もり、正確に定義することは難しい。 |
| The pace of general-purpose AI advancement depends on both the rate of technological advancements and the regulatory environment. This report focuses on the technological aspects and does not provide a discussion of how regulatory efforts might affect the speed of development and deployment of general-purpose AI. | 汎用AIの進歩のペースは、技術進歩の速度と規制環境の両方に左右される。本報告書では、技術的な側面に焦点を当て、規制の取り組みが汎用AIの開発・展開のスピードにどのような影響を与えるかについては触れていない。 |
| AI developers have rapidly advanced general-purpose AI capabilities in recent years mostly by continuously increasing resources used for training new models (a trend called ‘scaling’) and refining existing algorithms. For example, state-of-the-art AI models have seen annual increases of approximately 4x in computational resources (‘compute’) used for training, 2.5x in training dataset size, and 1.5-3x in algorithmic efficiency (performance relative to compute). Whether ‘scaling’ has resulted in progress on fundamental challenges such as causal reasoning is debated among researchers. | AI開発者は近年、新しいモデルの学習に使用するリソースを継続的に増やし(「スケーリング」と呼ばれる傾向)、既存のアルゴリズムを改良することで、汎用AIの能力を急速に高めてきた。例えば、最先端のAIモデルでは、学習に使用される計算リソース(「コンピュート」)が毎年約4倍、学習データセットサイズが2.5倍、アルゴリズム効率(コンピュートに対するパフォーマンス)が1.5~3倍に増加している。スケーリング」が因果推論のような基本的な課題の進展をもたらしたかどうかは、研究者の間で議論されている。 |
| The pace of future progress in general-purpose AI capabilities has substantial implications for managing emerging risks, but experts disagree on what to expect even in the near future. Experts variously support the possibility of general-purpose AI capabilities advancing slowly, rapidly, or extremely rapidly. This disagreement involves a key question: will continued ‘scaling’ of resources and refining existing techniques be sufficient to yield rapid progress and solve issues such as reliability and factual accuracy, or are new research breakthroughs required to substantially advance generalpurpose AI abilities? | 汎用AI能力の今後の進歩ペースは、新たなリスクを管理する上で大きな意味を持つが、専門家の間でも、近い将来に何が起こるかについては意見が分かれている。専門家の間では、汎用AIの能力がゆっくりと、あるいは急速に、あるいは極めて急速に進歩する可能性をさまざまに支持している。この意見の相違は、リソースの「スケーリング」を継続し、既存の技術を洗練させるだけで、急速な進歩をもたらし、信頼性や事実の正確さといった問題を解決するのに十分なのか、それとも、汎用AIの能力を大幅に向上させるためには、新たな研究のブレークスルーが必要なのか、という重要な問題を含んでいる。 |
| Several leading companies that develop general-purpose AI are betting on ‘scaling’ to continue leading to performance improvements. If recent trends continue, by the end of 2026 some general-purpose AI models will be trained using 40x to 100x more compute than the most compute-intensive models published in 2023, combined with training methods that use this compute 3x to 20x more efficiently. However, there are potential bottlenecks to further increasing both data and compute, including the availability of data, AI chips, capital expenditure, and local energy capacity. Companies developing general-purpose AI are working to navigate these potential bottlenecks. | 汎用AIを開発するいくつかの大手企業は、性能向上につながり続ける「スケーリング」に賭けている。最近のトレンドが続けば、2026年末までに、汎用AIモデルのいくつかは、2023年に発表された最も計算負荷の高いモデルよりも40倍から100倍多い計算量を使用して学習され、この計算量を3倍から20倍効率的に使用する学習方法と組み合わされることになる。しかし、データ、AIチップ、資本支出、地域のエネルギー容量などの利用可能性を含め、データと計算の両方をさらに増やすには潜在的なボトルネックがある。汎用AIを開発している企業は、これらの潜在的なボトルネックを回避するために取り組んでいる。 |
| Several research efforts aim to understand and evaluate generalpurpose AI more reliably, but our overall understanding of how general-purpose AI models and systems work is limited | 汎用AIをより確実に理解し、評価することを目的とした研究はいくつかあるが、汎用AIのモデルやシステムがどのように機能するかについての全体的な理解は限られている。 |
| Approaches to managing risks from general-purpose AI often rest on the assumption that AI developers and policymakers can assess the capabilities and potential impacts of general-purpose AI models and systems. But while technical methods can help with assessment, all existing methods have limitations and cannot provide strong assurances against most harms related to general-purpose AI. Overall, the scientific understanding of the inner workings, capabilities, and societal impacts of general-purpose AI is very limited, and there is broad expert agreement that it should be a priority to improve our understanding of general-purpose AI. Some of the key challenges include: | 汎用AIによるリスクを管理するアプローチは、AIの開発者や政策立案者が汎用AIのモデルやシステムの能力と潜在的な影響を評価できるという前提に立っていることが多い。しかし、技術的な手法は評価に役立つとはいえ、既存の手法にはすべて限界があり、汎用AIに関連するほとんどの危害に対して強力な保証を提供することはできない。全体として、汎用AIの内部構造、能力、社会的影響に関する科学的理解は非常に限られており、汎用AIの理解を深めることを優先すべきであるとする専門家の幅広い合意がある。主な課題には以下のようなものがある: |
| • Developers still understand little about how their general-purpose AI models operate. This is because general-purpose AI models are not programmed in the traditional sense. Instead, they are trained: AI developers set up a training process that involves a lot of data, and the outcome of that training process is the general-purpose AI model. These models can consist of trillions of components, called parameters, and most of their inner workings are inscrutable, including to the model developers. Model explanation and interpretability techniques can improve researchers’ and developers’ understanding of how general-purpose AI models operate, but this research is nascent. | • 開発者は、汎用AIモデルがどのように動作するかについて、まだほとんど理解していない。というのも、汎用AIモデルは伝統的な意味でプログラミングされるわけではないからだ。その代わりに訓練される:AI開発者は、多くのデータを含む学習プロセスを設定し、その学習プロセスの結果が汎用AIモデルである。これらのモデルは、パラメータと呼ばれる何兆ものコンポーネントで構成されることがあり、その内部の仕組みのほとんどは、モデル開発者を含めて不可解である。モデルの説明と解釈可能性の技術は、汎用AIモデルがどのように動作するかについての研究者や開発者の理解を向上させることができるが、この研究はまだ始まったばかりである。 |
| • General-purpose AI is mainly assessed through testing the model or system on various inputs. These spot checks are helpful for assessing strengths and weaknesses, including vulnerabilities and potentially harmful capabilities, but do not provide quantitative safety guarantees. The tests often miss hazards and overestimate or underestimate capabilities because general-purpose AI systems may behave differently in different circumstances, with different users, or with additional adjustments to their components. | • 汎用AIは主に、モデルやシステムを様々な入力でテストすることで評価される。これらの抜き取り検査は、脆弱性や潜在的に有害な能力を含む長所と短所を評価するのに役立つが、定量的な安全性を保証するものではない。汎用AIシステムは、異なる状況、異なるユーザー、あるいはコンポーネントの追加調整によって異なる挙動を示す可能性があるため、テストはしばしば危険性を見逃し、能力を過大評価または過小評価する。 |
| • Independent actors can, in principle, audit general-purpose AI models or systems developed by a company. However, companies often do not provide independent auditors with the necessary level of direct access to models or the information about data and methods used that are needed for rigorous assessment. Several governments are beginning to build capacity for conducting technical evaluations and audits. | • 独立監査人は、原則として、企業が開発した汎用AIモデルやシステムを監査することができる。しかし、企業は独立監査人に対し、モデルへの必要なレベルの直接アクセスや、厳密な評価に必要なデータや使用方法に関する情報を提供しないことが多い。いくつかの政府は、技術的な評価や監査を実施するための能力を構築し始めている。 |
| • It is difficult to assess the downstream societal impact of a general-purpose AI system because research into risk assessment has not been sufficient to produce rigorous and comprehensive assessment methodologies. In addition, general-purpose AI has a wide range of use cases, which are often not predefined and only lightly restricted, complicating risk assessment further. Understanding the potential downstream societal impacts of general-purpose AI models and systems requires nuanced and multidisciplinary analysis. Increasing the representation of diverse perspectives in general-purpose AI development and evaluation processes is an ongoing technical and institutional challenge. | • リスク評価に関する研究が十分でなく、厳密かつ包括的な評価手法が生み出されていないため、汎用AIシステムの下流社会への影響を評価することは困難である。加えて、汎用AIには幅広いユースケースがあり、それらは多くの場合、事前に定義されておらず、軽く制限されているに過ぎないため、リスク評価をさらに複雑にしている。汎用AIのモデルやシステムが下流社会に与える潜在的な影響を理解するには、微妙で学際的な分析が必要である。汎用AIの開発・評価プロセスにおいて、多様な視点の代表を増やすことは、技術的・制度的な継続課題である。 |
| General-purpose AI can pose severe risks to individual and public safety and wellbeing | 汎用AIは、個人や公共の安全と福利に深刻なリスクをもたらす可能性がある。 |
| This report classifies general-purpose AI risks into three categories: malicious use risks, risks from malfunctions, and systemic risks. It also discusses several cross-cutting factors that contribute to many risks. | 本報告書では、汎用AIのリスクを「悪意のある使用によるリスク」「誤作動によるリスク」「システム的リスク」の3つに分類している。また、多くのリスクに寄与するいくつかの横断的要因についても論じている。 |
| Malicious use. Like all powerful technologies, general-purpose AI systems can be used maliciously to cause harm. Possible types of malicious use range from relatively well-evidenced ones, such as scams enabled by general-purpose AI, to ones that some experts believe might occur in the coming years, such as malicious use of scientific capabilities of general-purpose AI. | 悪意のある使用。あらゆる強力なテクノロジーと同様、汎用AIシステムも悪意を持って利用され、被害をもたらす可能性がある。悪意のある利用には、汎用AIが可能にする詐欺のような比較的実証済みのものから、汎用AIの科学的能力を悪意を持って利用するような、今後数年のうちに起こりうると考える専門家もいる。 |
| • Harm to individuals through fake content generated by general-purpose AI is a relatively welldocumented class of general-purpose AI malicious use. General-purpose AI can be used to increase the scale and sophistication of scams and fraud, for example through ‘phishing’ attacks enhanced by general-purpose AI. General-purpose AI can also be used to generate fake compromising content featuring individuals without their consent, such as non-consensual deepfake pornography. | • 汎用AIによって生成された偽コンテンツによる個人への被害は、汎用AIの悪意のある使用の中でも比較的文書化されている分類である。汎用AIは、例えば、汎用AIによって強化された「フィッシング」攻撃によって、詐欺や不正行為の規模を拡大し、巧妙化するために使用することができる。汎用AIはまた、非同意のディープフェイクポルノなど、個人を主人公とする偽の危ういコンテンツを本人の同意なしに生成するために使用されることもある。 |
| • Another area of concern is the malicious use of general-purpose AI for disinformation and manipulation of public opinion. General-purpose AI and other modern technologies make it easier to generate and disseminate disinformation, including in an effort to affect political processes. Technical countermeasures like watermarking content, although useful, can usually be circumvented by moderately sophisticated actors. | • もうひとつ懸念されるのは、偽情報や世論操作のために汎用AIが悪意を持って利用されることだ。汎用AIやその他の最新テクノロジーは、政治的プロセスに影響を与える試みも含め、偽情報の生成と拡散を容易にする。コンテンツの電子透かしのような技術的な対策は、有用ではあるが、中程度に洗練された行為者であれば、通常は回避することができる。 |
| • General-purpose AI might also be maliciously used for cyber offence, uplifting the cyber expertise of individuals and making it easier for malicious users to conduct effective cyber-attacks. General-purpose AI systems can be used to scale and partially automate some types of cyber operations, such as social engineering attacks. However, general-purpose AI could also be used in cyber defence. Overall, there is not yet any substantial evidence suggesting that general-purpose AI can automate sophisticated cybersecurity tasks. | • 汎用AIは悪意を持ってサイバー犯罪に利用される可能性もあり、個人のサイバー専門知識を高め、悪意のあるユーザーが効果的なサイバー攻撃を行うことを容易にする。汎用AIシステムは、ソーシャル・エンジニアリング攻撃など、ある種のサイバー操作の規模を拡大し、部分的に自動化するために使用することができる。しかし、汎用AIはサイバー防衛にも利用できる。全体として、汎用AIが高度なサイバーセキュリティタスクを自動化できることを示唆する実質的な証拠はまだない。 |
| • Some experts have also expressed concern that general-purpose AI could be used to support the development and malicious use of weapons, such as biological weapons. There is no strong evidence that current general-purpose AI systems pose this risk. For example, although current general-purpose AI systems demonstrate growing capabilities related to biology, the limited studies available do not provide clear evidence that current systems can ‘uplift’ malicious actors to obtain biological pathogens more easily than could be done using the internet. However, future large-scale threats have scarcely been assessed and are hard to rule out. | • また、一部の専門家は、汎用AIが生物兵器のような兵器の開発や悪意のある使用を支援するために使用される可能性があると懸念を表明している。現在の汎用AIシステムがこのようなリスクをもたらすという強い証拠はない。例えば、現在の汎用AIシステムは、生物学に関連する能力が高まっていることを示してはいるが、利用可能な限られた研究では、現在のシステムが悪意のある行為者を「高揚」させ、インターネットを利用するよりも簡単に生物学的病原体を入手できるという明確な証拠は得られていない。しかし、将来の大規模な脅威はほとんど評価されておらず、排除することは難しい。 |
| Risks from malfunctions. Even when users have no intention to cause harm, serious risks can arise due to the malfunctioning of general-purpose AI. Such malfunctions can have several possible causes and consequences: | 誤作動によるリスク。利用者に危害を加える意図がない場合でも、汎用AIの誤作動によって深刻なリスクが生じる可能性がある。このような誤作動には、いくつかの原因と結果が考えられる: |
| • The functionality of products based on general-purpose AI models and systems might be poorly understood by their users, for example due to miscommunication or misleading advertising. This can cause harm if users then deploy the systems in unsuitable ways or for unsuitable purposes. | • 汎用のAIモデルやシステムに基づく製品の機能は、例えば誤ったコミュニケーションや誤解を招くような宣伝のために、利用者に十分に理解されない可能性がある。そのため、ユーザーが不適切な方法や不適切な目的でシステムを導入すると、弊害が生じる可能性がある。 |
| • Bias in AI systems generally is a well-evidenced problem and remains unsolved for generalpurpose AI, too. General-purpose AI outputs can be biased with respect to protected characteristics like race, gender, culture, age, and disability. This can create risks, including in highstakes domains such as healthcare, job recruitment, and financial lending. In addition, many widely-used general-purpose AI models are primarily trained on data that disproportionately represents Western cultures, which can increase the potential for harm to individuals not represented well by this data. | • AIシステムにおける一般的なバイアスは、十分に証明された問題であり、汎用AIにおいても未解決のままである。汎用AIの出力は、人種、性別、文化、年齢、障害などの保護特性に関して偏る可能性がある。このことは、医療、求人、金融融資など、利害関係の大きい領域を含め、リスクを生じさせる可能性がある。さらに、広く使用されている汎用AIモデルの多くは、主に西洋文化を不当に代表するデータで訓練されているため、このデータではうまく表現されない個人に危害が及ぶ可能性が高まる。 |
| • 'Loss of control’ scenarios are potential future scenarios in which society can no longer meaningfully constrain general-purpose AI systems, even if it becomes clear that they are causing harm. There is broad consensus that current general-purpose AI lacks the capabilities to pose this risk. Some experts believe that current efforts to develop general-purpose autonomous AI – systems that can act, plan, and pursue goals – could lead to a loss of control if successful. Experts disagree about how plausible loss-of-control scenarios are, when they might occur, and how difficult it would be to mitigate them. | • 「制御不能」シナリオとは、汎用AIシステムが害を及ぼしていることが明らかになったとしても、社会がもはや意味のある制約を与えることができないような、将来の潜在的シナリオである。現在の汎用AIには、このようなリスクを引き起こす能力が欠けているという点については、幅広いコンセンサスが得られている。一部の専門家は、汎用の自律型AI(行動し、計画を立て、目標を追求できるシステム)を開発する現在の取り組みが成功すれば、制御不能に陥る可能性があると考えている。制御不能のシナリオがどの程度確からしいか、いつ起こりうるか、それを緩和するのがどの程度難しいかについては、専門家の間でも意見が分かれている。 |
| Systemic risks. The widespread development and adoption of general-purpose AI technology poses several systemic risks, ranging from potential labour market impacts to privacy risks and environmental effects: | システミックリスク。汎用AI技術の広範な開発と採用は、潜在的な労働市場への影響からプライバシーリスクや環境への影響に至るまで、いくつかのシステミック・リスクをもたらす: |
| • General-purpose AI, especially if it further advances rapidly, has the potential to automate a very wide range of tasks, which could have a significant effect on the labour market. This could mean many people could lose their current jobs. However, many economists expect that potential job losses could be offset, possibly completely, by the creation of new jobs and by increased demand in non-automated sectors. | • 特に汎用AIが急速に進歩すれば、非常に幅広い作業を自動化できる可能性があり、労働市場に大きな影響を与える可能性がある。これは、多くの人々が現在の仕事を失う可能性があることを意味する。しかし、多くのエコノミストは、潜在的な雇用損失は、新たな雇用の創出や非自動化分野での需要増加によって、場合によっては完全に相殺されると予想している。 |
| • General-purpose AI research and development is currently concentrated in a few Western countries and China. This 'AI Divide' is multicausal, but in part stems from differing levels of access to the compute needed to develop general-purpose AI. Since low-income countries and academic institutions have less access to compute than high-income countries and technology companies do, they are placed at a disadvantage. | • 汎用AIの研究開発は現在、一部の欧米諸国と中国に集中している。この「AI格差」は多因子にわたっているが、汎用AIの開発に必要な計算機へのアクセスレベルの差に起因する部分もある。低所得国や学術機関は、高所得国やテクノロジー企業に比べて計算機へのアクセスが少ないため、不利な立場に置かれている。 |
| • The resulting market concentration in general-purpose AI development makes societies more vulnerable to several systemic risks. For instance, the widespread use of a small number of general-purpose AI systems in critical sectors like finance or healthcare could cause simultaneous failures and disruptions on a broad scale across these interdependent sectors, for instance because of bugs or vulnerabilities. | • その結果、汎用AI開発における市場の集中は、社会をいくつかのシステミックリスクに対してより脆弱にする。例えば、金融や医療などの重要な分野で少数の汎用AIシステムが広く使用されることで、バグや脆弱性などが原因で、相互依存関係にあるこれらの分野全体で同時に大規模な障害や混乱が発生する可能性がある。 |
| • Growing compute use in general-purpose AI development and deployment has rapidly increased energy usage associated with general-purpose AI. This trend shows no indications of moderating, potentially leading to further increased CO2 emissions and water consumption. | • 汎用AIの開発・導入におけるコンピュート利用の拡大により、汎用AIに関連するエネルギー使用量が急速に増加している。この傾向は弱まる気配がなく、CO2 排出量と水消費量のさらなる増加につながる可能性がある。 |
| • General-purpose AI models or systems can pose risks to privacy. For instance, research has shown that by using adversarial inputs, users can extract training data containing information about individuals from a model. For future models trained on sensitive personal data like health or financial data, this may lead to particularly serious privacy leaks. | • 汎用のAIモデルやシステムは、プライバシーにリスクをもたらす可能性がある。例えば、敵対的な入力を使用することで、ユーザーはモデルから個人に関する情報を含むトレーニングデータを抽出できることが研究で示されている。将来、健康や金融データのようなセンシティブな個人データをトレーニングしたモデルの場合、これは特に深刻なプライバシー漏洩につながる可能性がある。 |
| • Potential copyright infringements in general-purpose AI development pose a challenge to traditional intellectual property laws, as well as to systems of consent, compensation, and control over data. An unclear copyright regime disincentivises general-purpose AI developers from declaring what data they use and makes it unclear what protections are afforded to creators whose work is used without their consent to train general-purpose AI models. | • 汎用AI開発における潜在的な著作権侵害は、従来の知的財産法だけでなく、同意、補償、データに対する管理体制にも課題を突きつけている。不明確な著作権制度は、汎用AI開発者がどのようなデータを使用しているかを申告する意欲を失わせ、汎用AIモデルを訓練するために同意なしに作品が使用されるクリエイターに対してどのような保護が与えられるかを不明確にしている。 |
| Cross-cutting risk factors. Underpinning the risks associated with general-purpose AI are several cross-cutting risk factors – characteristics of general-purpose AI that increase the probability or severity of not one but several risks: | 横断的リスク要因。汎用AIに関連するリスクの根底には、いくつかの横断的なリスク要因がある。つまり、汎用AIの特性は、1つのリスクだけでなく、複数のリスクの確率や深刻度を高める: |
| • Technical cross-cutting risk factors include the difficulty of ensuring that general-purpose AI systems reliably behave as intended, our lack of understanding of their inner workings, and the ongoing development of general-purpose AI ‘agents’ which can act autonomously with reduced oversight. | • 技術的な横断的リスク要因としては、汎用AIシステムが意図したとおりに確実に動作することを保証することの難しさ、AIシステムの内部構造に関する我々の理解不足、監視を減らして自律的に行動できる汎用AI「エージェント」の開発進行中などが挙げられる。 |
| • Societal cross-cutting risk factors include the potential disparity between the pace of technological progress and the pace of a regulatory response, as well as competitive incentives for AI developers to release products quickly, potentially at the cost of thorough risk management. | • 社会的な横断的リスク要因としては、技術進歩のペースと規制対応のペースの間に潜在的な乖離があることや、AI開発者にとって、徹底したリスク管理を犠牲にしてでも製品を迅速にリリースしようとする競争上のインセンティブがあることなどが挙げられる。 |
| Several technical approaches can help mitigate risks, but no currently known method provides strong assurances or guarantees against harm associated with general-purpose AI | いくつかの技術的アプローチはリスクを軽減するのに役立つが、現在知られている方法で、汎用AIに関連する危害に対する強力な保証や保証を提供できるものはない。 |
| While this report does not discuss policy interventions for mitigating risks from general-purpose AI, it does discuss technical risk mitigation methods on which researchers are making progress. Despite this progress, current methods have not reliably prevented even overtly harmful general-purpose AI outputs in real-world contexts. Several technical approaches are used to assess and mitigate risks: | 本報告書では、汎用AIによるリスクを軽減するための政策的介入については論じないが、研究者が進歩を遂げている技術的なリスク軽減方法については論じる。このような進展にもかかわらず、現在の手法では、実世界の文脈においてあからさまに有害な汎用AIの出力さえも確実に防ぐことはできていない。リスクの評価と軽減には、いくつかの技術的アプローチが用いられている: |
| • There is some progress in training general-purpose AI models to function more safely. Developers also train models to be more robust to inputs that are designed to make them fail (‘adversarial training’). Despite this, adversaries can typically find alternative inputs that reduce the effectiveness of safeguards with low to moderate effort. Limiting a general-purpose AI system’s capabilities to a specific use case can help to reduce risks from unforeseen failures or malicious use. | • 汎用のAIモデルをより安全に機能させるためのトレーニングはある程度進んでいる。開発者はまた、モデルが失敗するように設計された入力に対してより頑健になるように訓練している(「敵対的訓練」)。にもかかわらず、敵は通常、安全装置の有効性を低下させる代替入力を低~中程度の労力で見つけることができる。汎用AIシステムの能力を特定のユースケースに限定することで、予期せぬ失敗や悪意のある使用によるリスクを低減することができる。 |
| • There are several techniques for identifying risks, inspecting system actions, and evaluating performance once a general-purpose AI system has been deployed. These practices are often referred to as ‘monitoring’. | • 汎用AIシステムが配備された後、リスクを特定し、システムの動作を検査し、パフォーマンスを評価するための手法がいくつかある。これらの手法はしばしば「モニタリング」と呼ばれる。 |
| • Mitigation of bias in general-purpose AI systems can be addressed throughout the lifecycle of the system, including design, training, deployment, and usage. However, entirely preventing bias in general-purpose AI systems is challenging because it requires systematic training data collection, ongoing evaluation, and effective identification of bias. It may also require trading off fairness with other objectives such as accuracy and privacy, and deciding what is useful knowledge and what is an undesirable bias that should not be reflected in the outputs. | • 汎用AIシステムにおけるバイアスの軽減は、設計、トレーニング、配備、使用など、システムのライフサイクル全体を通じて取り組むことができる。しかし、体系的なトレーニングデータの収集、継続的な評価、バイアスの効果的な特定が必要となるため、汎用AIシステムにおけるバイアスを完全に防止することは困難である。また、精度やプライバシーなど他の目的と公平性をトレードオフし、何が有用な知識で、何が出力に反映されるべきではない望ましくないバイアスなのかを決定する必要がある場合もある。 |
| • Privacy protection is an active area of research and development. Simply minimising the use of sensitive personal data in training is one approach that can substantially reduce privacy risks. However, when sensitive data is either intentionally or unintentionally used, existing technical tools for reducing privacy risks struggle to scale to large general-purpose AI models, and can fail to provide users with meaningful control. | • プライバシー保護は、研究開発の活発な分野である。訓練におけるセンシティブな個人データの使用を最小限に抑えることは、プライバシーリスクを大幅に低減できるアプローチの1つである。しかし、センシティブなデータが意図的または非意図的に使用される場合、プライバシーリスクを低減するための既存の技術ツールは、大規模な汎用AIモデルへの拡張に苦戦し、ユーザーに意味のある制御を提供できない可能性がある。 |
| Conclusion: A wide range of general-purpose AI trajectories are possible, and much will depend on how societies and governments act | 結論幅広い汎用AIの軌跡が可能であり、その多くは社会や政府がどのように行動するかにかかっている。 |
| The future of general-purpose AI is uncertain, with a wide range of trajectories appearing possible even in the near future, including both very positive and very negative outcomes. But nothing about the future of general-purpose AI is inevitable. How general-purpose AI gets developed and by whom, which problems it gets designed to solve, whether societies will be able to reap general-purpose AI’s full economic potential, who benefits from it, the types of risks we expose ourselves to, and how much we invest into research to mitigate risks — these and many other questions depend on the choices that societies and governments make today and in the future to shape the development of generalpurpose AI. | 汎用AIの未来は不確実であり、非常にポジティブな結果も非常にネガティブな結果も含め、近い将来にも幅広い軌跡があり得ると思われる。しかし、汎用AIの未来に必然性はない。汎用AIが誰によってどのように開発されるのか、どのような問題を解決するために設計されるのか、社会は汎用AIの経済的可能性をフルに享受できるのか、誰がその恩恵を受けるのか、私たちはどのようなリスクにさらされるのか、リスクを軽減するための研究にどれだけ投資するのか--こうした疑問や他の多くの疑問は、汎用AIの開発を形成するために社会や政府が今日および将来行う選択にかかっている。 |
| To help facilitate constructive discussion about these decisions, this report provides an overview of the current state of scientific research and discussion on managing the risks of general-purpose AI. The stakes are high. We look forward to continuing this effort. | こうした決定に関する建設的な議論を促進するため、本報告書では、汎用AIのリスク管理に関する科学的研究と議論の現状を概観する。リスクは大きい。我々は、この取り組みを継続することを楽しみにしている。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.05.23 外務省 岸田総理大臣のAIソウル・サミット首脳セッションへの参加(ビデオメッセージ)+ AIソウル・サミット首脳セッション出席国による安全、革新的で包摂的なAIのためのソウル宣言
・2024.05.23 米国 商務省 NIST AI安全性に関する戦略的ビジョン:AI安全性研究機関の世界的協力計画を発表
・2024.05.21 英国 科学技術革新省 先進AIの安全性に関する国際科学報告書
こんにちは、丸山満彦です。
NISTが、SP 800-171 改訂3版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護 とSP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価の確定版を公表していますね...
SP800-53が改正されたのに合わせた改訂ですが、2020年2月に第2版が公表されていますので、4年ちょっとでの改訂となります。
| 3.14. System and Information Integrity | 3.14. システムと情報の完全性 |
| 3.15. Planning | 3.15. 計画 |
| 3.16. System and Services Acquisition | 3.16. システムとサービスの取得 |
| 3.17. Supply Chain Risk Management | 3.17. サプライチェーンリスクマネジメント |
が新たに追加されています...
● NIST - ITL
・2024.05.14 NIST SP 800-171 Rev.3 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
| NIST SP 800-171 Rev. 3 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations | NIST SP 800-171 改訂3版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護 |
| Abstract | 概要 |
| The protection of Controlled Unclassified Information (CUI) is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides federal agencies with recommended security requirements for protecting the confidentiality of CUI when the information is resident in nonfederal systems and organizations. The requirements apply to components of nonfederal systems that process, store, or transmit CUI or that provide protection for such components. The security requirements are intended for use by federal agencies in contractual vehicles or other agreements established between those agencies and nonfederal organizations. This publication can be used in conjunction with its companion publication, NIST Special Publication 800-171A, which provides a comprehensive set of procedures to assess the security requirements. | 管理対象非機密情報(CUI)の防御は、連邦政府機関にとって最も重要であり、連邦政府がその重要な任務と機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、連邦機関に対し、情報が連邦機関以外のシステムおよび組織に常駐している場合に、CUIの機密性を保護するための推奨セキュリティ要件を提供する。要件は、CUIを処理、保管、または送信する連邦政府以外のシステムのコンポーネント、またはそのようなコンポーネントの保護を提供するコンポーネントに適用される。本セキュリティ要件は、連邦機関と非連邦機関との間で締結される契約書またはその他の合意において、連邦機関が使用することを意図している。本書は、その関連刊行物である NIST 特別刊行物 800-171A と併せて使用することができ、セキュリティ要件を評価するための包括的な手順を提供する。 |
・[PDF] NIST.SP.800-171r3
目次...
| 1. Introduction | 1. 序文 |
| 1.1 Purpose and Applicability | 1.1 目的と適用性 |
| 1.2 Organization of This Publication | 1.2 本出版物の構成 |
| 2. The Fundamentals | 2. 基礎 |
| 2.1. Security Requirement Assumptions | 2.1. セキュリティ要件の前提 |
| 2.2. Security Requirement Development Methodology | 2.2. セキュリティ要件の開発 |
| 3. The Security Requirements | 3. セキュリティ要件 |
| 3.1. Access Control | 3.1. アクセス制御 |
| 3.2. Awareness and Training | 3.2. 意識向上およびトレーニング |
| 3.3. Audit and Accountability | 3.3. 監査および説明責任 |
| 3.4. Configuration Management | 3.4. 構成管理 |
| 3.5 Identification and Authentication | 3.5. 識別および認証 |
| 3.6. Incident Response | 3.6. インシデント対応 |
| 3.7. Maintenance | 3.7. 保守 |
| 3.8. Media Protection | 3.8. 媒体保護 |
| 3.9. Personnel Security | 3.9. 職員のセキュリティ |
| 3.10. Physical Protection | 3.10. 物理的保護 |
| 3.11. Risk Assessment | 3.11. リスクアセスメント |
| 3.12. Security Assessment and Monitoring | 3.12. セキュリティアセスメントと監視 |
| 3.13. System and Communications Protection | 3.13. システムおよび通信の保護 |
| 3.14. System and Information Integrity | 3.14. システムおよび情報の完全性 |
| 3.15. Planning | 3.15. 計画 |
| 3.16. System and Services Acquisition | 3.16. システムとサービスの取得 |
| 3.17. Supply Chain Risk Management | 3.17. サプライチェーンのリスクマネジメント |
| References | 参考文献 |
| Appendix A. Acronyms | 附属書 A. 略語 |
| Appendix B. Glossary | 附属書 B. 用語集 |
| Appendix C. Tailoring Criteria | 附属書 C. テーラリング基準 |
| Appendix D. Organization-Defined Parameters | 附属書 D. 組織定義のパラメータ |
| Appendix E. Change Log | 附属書 E. 変更履歴 |
評価のほう...
・2024.05.14 NIST SP 800-171A Rev. 3 Assessing Security Requirements for Controlled Unclassified Information
| NIST SP 800-171A Rev. 3 Assessing Security Requirements for Controlled Unclassified Information | NIST SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価 |
| Abstract | 概要 |
| The protection of Controlled Unclassified Information (CUI) is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides organizations with assessment procedures and a methodology that can be used to conduct assessments of the security requirements in NIST Special Publication 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations. The assessment procedures are flexible and can be customized to the needs of organizations and assessors. Assessments can be conducted as independent, third-party assessments or as government-sponsored assessments. The assessments can be applied with various degrees of rigor based on customer-defined depth and coverage attributes. | 管理対象非機密情報(CUI)の保護は、連邦政府機関にとって最も重要であり、連邦政府がその重要な任務と機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、NIST特別刊行物800-171「非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護」のセキュリティ要件の評価を実施するために使用できる評価手順および手法を組織に提供する。評価手順は柔軟であり、組織や評価者のニーズに合わせてカスタマイズすることができる。アセスメントは、独立したサードパーティによるアセスメントとして実施することも、政府主催のアセスメントとして実施することもできる。アセスメントは、顧客が定義した深さとカバレッジの属性に基づいて、さまざまな厳しさで適用することができる。 |
・[PDF] NIST.SP.800-171Ar3
こちらのウェブページにも追加されています...
・Cybersecurity and Privacy Reference Tool CPRT
参考
NIST文書の翻訳がいくつかあります...
● IPA
● まるちゃんの情報セキュリティ気まぐれ日記
SP800-53, 171, 172関係...
・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護
・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集
・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価
・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価
・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開
・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価
・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン
少し前...
・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations
・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog
・2010.05.10 NIST SP800-53関係の情報
国防総省の委託先の管理の話...
・2024.01.03 米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)
・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)
・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善
・2021.12.10 米国 CMMC Ver.2.0
・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0
・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています
・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・
・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0
こんにちは、丸山満彦です。
NISTが、NIST IR 8498(初公開ドラフト) スマートインバータのサイバーセキュリティ: 住宅用および商用簡易太陽光発電システムのガイドライン を発表していますね...
● NIST - ITL
| NIST IR 8498 (Initial Public Draft) Cybersecurity for Smart Inverters: Guidelines for Residential and Light Commercial Solar Energy Systems | NIST IR 8498(初公開ドラフト) スマートインバータのサイバーセキュリティ: 住宅用および商用簡易太陽光発電システムのガイドライン |
| Announcement | 発表 |
| The use of small-scale solar energy systems to generate electricity continues to increase. Smart inverters provide two critical functions to a small-scale solar energy system: they convert the direct current (DC) produced by solar panels to the alternating current (AC) used in homes and businesses, and they manage the flow of excess energy to the local electric grid. | 小規模太陽光発電システムの利用は増加の一途をたどっている。スマート・インバータは、小規模太陽光発電システムに2つの重要な機能をプロバイダとして提供する。すなわち、ソーラー・パネルで生成された直流(DC)を家庭や企業で使用される交流(AC)に変換し、余剰エネルギーを地域の電力網に流すことを管理する。 |
| This report provides practical cybersecurity guidelines for small-scale solar inverter implementations typically used in homes and small businesses. The report also presents recommendations to smart inverter manufacturers to improve the cybersecurity capabilities in their products. | 本報告書では、一般家庭や小規模企業で使用される小規模ソーラーインバーター実装のための実用的なサイバーセキュリティガイドラインを提供する。また、スマートインバーター製造事業者に対し、製品のサイバーセキュリティ機能を改善するための提言も行っている。 |
| These recommendations build on the IoT cybersecurity capability baselines defined in NIST IR 8259A and NIST IR 8259B by providing smart-inverter specific information for all baseline cybersecurity capabilities. | これらの提言は、NIST IR 8259AおよびNIST IR 8259Bで定義されたIoTサイバーセキュリティ能力のベースラインに基づいており、すべてのベースラインサイバーセキュリティ能力についてスマートインバータ固有の情報を提供している。 |
| Abstract | 概要 |
| The use of residential and light-commercial inverters connected to the distribution network and not directly owned and operated by the utility to generate electricity for homes and small businesses continues to increase. In addition to supplying power to individual homeowners and small business owners these systems can supply power to the electric grid. | 配電網に接続され、電力会社が直接所有・運営しない住宅用および商用簡易インバーターの使用は、家庭や小規模事業所向けの発電のために増加し続けている。これらのシステムは、個々の住宅所有者や小規模事業者に電力を供給するだけでなく、電力網に電力を供給することもできる。 |
| Smart inverters provide two critical functions to a small-scale solar energy system; they convert the direct current (DC) produced by solar panels to the alternating current (AC) used on the electric grid, in homes, and businesses. They also manage the flow of excess energy to the electric grid. The “smart” in smart inverter allows these devices to assist the local electric utility in addressing anomalies on the electric grid. However, properly responding to anomalies requires that the smart inverter be configured to behave in a grid-friendly, supportive manner. An improperly configured inverter can respond in inappropriate ways that exacerbate anomalies. | スマート・インバータは、小規模な太陽光発電システムに2つの重要な機能を提供する。ソーラー・パネルによって生成された直流(DC)を、電力網や家庭、企業で使用される交流(AC)に変換する。また、余剰エネルギーの電力網への流れを管理する。スマート・インバーターの「スマート」は、これらの機器が地域の電力会社を支援し、電力網の異常に対処することを可能にする。しかし、異常に適切に対応するには、スマート・インバータがグリッドに優しく、支援的な動作をするように設定されている必要がある。不適切に設定されたインバータは、異常を悪化させる不適切な対応をする可能性がある。 |
・[PDF] NIST.IR.8498.ipd
目次...
| 1. Introduction | 1. 序文 |
| 1.1. Audience | 1.1. 想定読者 |
| 1.2. Report Organization | 1.2. 報告書の構成 |
| 2. Cybersecurity Guidelines for Owners and Installers | 2. 所有者と設置者のためのサイバーセキュリティ・ガイドライン |
| 2.1. Guideline #1: Change Default Passwords and Credentials | 2.1. ガイドライン#1: デフォルトのパスワードと認証情報を変更する |
| 2.2. Guideline #2: Use Role-Based Access Control (RBAC) | 2.2. ガイドライン#2:役割ベースのアクセス制御(RBAC)を使用する |
| 2.3. Guideline #3: Record Events in a Log | 2.3. ガイドライン#3: ログにイベントを記録する |
| 2.4. Guideline #4: Update Software Regularly | 2.4. ガイドライン#4: ソフトウェアを定期的にアップデートする |
| 2.5. Guideline #5: Backup System Information | 2.5. ガイドライン#5: システム情報をバックアップする |
| 2.6. Guideline #6: Disable Unused Features | 2.6. ガイドライン#6: 使わない機能は無効にする |
| 2.7. Guideline #7: Protect the Communications Connections. | 2.7. ガイドライン#7: コミュニケーション接続を防御する。 |
| 3. Cybersecurity Recommendations for Smart Inverter Manufacturers | 3. スマート・インバータ製造事業者に対するサイバーセキュリティの推奨事項 |
| 3.1. Recommended Baseline Cybersecurity Capabilities | 3.1. 推奨されるベースライン・サイバーセキュリティ能力 |
| Conclusion | 結論 |
| References | 参考文献 |
| Appendix A. Selected Bibliography | 附属書 A. 参考文献 |
| Appendix B. List of Symbols, Abbreviations, and Acronyms | 附属書 B. 記号、略語、頭字語リスト |
| Appendix C. Residential and Light Commercial Solar Energy System Setup Cybersecurity Checklist | 附属書 C. 住宅用および商用簡易太陽エネルギーシステムのセットアップサイバーセキュリティチェックリスト |
| Appendix D. Smart Inverter Testing | 附属書D. スマートインバータのテスト |
| D.1. Testing Results for Guideline #1: Change Default Passwords and Credentials | D.1. ガイドライン#1のテスト結果:デフォルトパスワードと認証情報の変更 |
| D.2. Testing Results for Guideline #2: Use Role-Based Access Control | D.2. ガイドライン#2のテスト結果:役割ベースのアクセス制御の使用 |
| D.3. Testing Results for Guideline #3: Record Events in a Log | D.3. ガイドライン#3のテスト結果:ログのイベントの記録 |
| D.4. Testing Results for Guideline #4: Update Software Regularly | D.4. ガイドライン#4のテスト結果:ソフトウェアの定期的アップデート |
| D.5. Testing Results for Guideline #5:Backup Systems Information | D.5. ガイドライン#5のテスト結果:システム情報のバックアップ |
| D.6. Testing Results for Guideline #6: Disable Unused Features | D.6. ガイドライン#6のテスト結果:使用していない機能の無効化 |
| D.7. Testing Results for Guideline #7: Protect the Communications Connections | D.7. ガイドライン#7のテスト結果:コミュニケーション接続の防御 |
| Appendix E. Mapping to General Cybersecurity Guidance | 附属書E. 一般的なサイバーセキュリティガイダンスへのマッピング |
| E.1. General Cybersecurity Guidance that Informs the Guidelines | E.1. ガイドラインに影響を与える一般的なサイバーセキュリティガイダンス |
| E.1.1. The NIST Cybersecurity Framework (CSF) Version 2.0 | E.1.1. NIST サイバーセキュリティフレームワーク(CSF)バージョン 2.0 |
| E.1.2. Center for Internet Security Critical Security Controls (CSC) Version 8 | E.1.2. Center for Internet Security CSC (Critical Security Controls) バージョン 8 |
| E.1.3. NIST Special Publication 800-53r5 | E.1.3. NIST 特別刊行物 800-53r5 |
| E.1.4. NIST Special Publication 800-213A | E.1.4. NIST 特別刊行物 800-213A |
| E.1.5. The MITRE ATT&CK Framework | E.1.5. MITRE ATT&CK フレームワーク |
| E.1.6. ISA/IEC 62443-2-1 | E.1.6. ISA/IEC 62443-2-1 |
システムの全体像
スマートインバーターの要素...
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン
・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D
こんにちは、丸山満彦です。
NISTが、NIST IR 8504 NoSQLデータベースにおけるアクセス制御の確定版を発表していますね...
そう言われてみれば、NoSQLデータベースのアクセス制御については、まとまって勉強したことないなぁ、、、と思ったまま、勉強していなかったり、、、
● NIST - ITL
・2024.05.07 NIST IR 8504 Access Control on NoSQL Databases
| NIST IR 8504 Access Control on NoSQL Databases | NIST IR 8504 NoSQLデータベースにおけるアクセス制御 |
| Abstract | 概要 |
| NoSQL database systems and data stores often outperform traditional RDBMS in various aspects, such as data analysis efficiency, system performance, ease of deployment, flexibility/scalability of data management, and users’ availability. However, with an increasing number of people storing sensitive data in NoSQL databases, security issues have become critical concerns. NoSQL databases suffer from vulnerabilities, particularly due to the lack of effective support for data protection, including weak authorization mechanisms. As access control is a fundamental data protection requirement of any database management system DBMS, this document focuses on access control on NoSQL database systems. | NoSQLデータベースシステムやデータストアは、データ分析効率、システム性能、導入の容易さ、データ管理の柔軟性/拡張性、ユーザーの可用性など、様々な面で従来のRDBMSを上回ることが多い。しかし、NoSQLデータベースに機密データを保存する人が増えるにつれ、セキュリティ問題が重大な関心事となっている。NoSQLデータベースは脆弱性に悩まされており、特に認可メカニズムが脆弱であるなど、データ保護のための効果的なサポートが欠如していることが原因となっている。アクセス制御はあらゆるデータベース管理システムDBMSの基本的なデータ保護要件であるため、本文書ではNoSQLデータベースシステムのアクセス制御に焦点を当てる。 |
・[PDF] NIST.IR.8504
目次...
| Executive Summary | エグゼクティブサマリー |
| 1. Introduction. | 1. 序文 |
| 2. Overview of NoSQL Database Systems | 2. NoSQLデータベースシステムの概要 |
| 2.1. Types of NoSQL Databases Systems | 2.1. NoSQLデータベースシステムの種類 |
| 2.1.1. Key-Value Model | 2.1.1. キー・バリュー・モデル |
| 2.1.2. Wide-Column Model | 2.1.2. ワイドカラムモデル |
| 2.1.3. Document Model | 2.1.3. 文書モデル |
| 2.1.4. Graph Model | 2.1.4. グラフモデル |
| 2.2. Features of NoSQL Database Systems | 2.2. NoSQLデータベースシステムの特徴 |
| 2.2.1. Flexible Data Model | 2.2.1. 柔軟なデータモデル |
| 2.2.2. Horizontal Scalability | 2.2.2. 水平方向のスケーラビリティ |
| 2.2.3. Fast Queries | 2.2.3. 高速クエリー |
| 2.2.4. Security Deficiencies | 2.2.4. セキュリティの欠陥 |
| 3. Access Control Model on NoSQL Database Systems | 3. NoSQLデータベースシステムにおけるアクセス制御モデル |
| 3.1. Relationship Structures of NoSQL Models | 3.1. NoSQLモデルの関係構造 |
| 3.2. Access Control Rules from NoSQL Relationship Structures | 3.2. NoSQL関係構造からのアクセス制御ルール |
| 3.2.1. Key-Value Model | 3.2.1. キー値モデル |
| 3.2.2. Wide-Column and Document Models | 3.2.2. ワイドカラムとドキュメントモデル |
| 3.2.3. Graph Model | 3.2.3. グラフモデル |
| 3.3. Access Control Model Implementations | 3.3. アクセス制御モデルの実装 |
| 4. Considerations of Access Control for NoSQL Systems | 4. NoSQLシステムのアクセス制御に関する考察 |
| 4.1. Fine-Grained Access Control | 4.1. 細かいアクセス制御 |
| 4.2. Security | 4.2. セキュリティ |
| 4.3. Query Language | 4.3. クエリー言語 |
| 4.4. Data Consistency | 4.4. データの一貫性 |
| 4.5. Performance | 4.5. パフォーマンス |
| 4.6. Audit | 4.6. 監査 |
| 4.7. Environment Conditions Control | 4.7. 環境条件管理 |
| 4.8. Support for AI | 4.8. AIへの対応 |
| 4.9. Combine RDBMS | 4.9. RDBMSを組み合わせる |
| 5. Conclusion | 5. 結論 |
| References | 参考文献 |
| Appendix A | 附属書A |
| A.1. Federation of Access Control | A.1. アクセス制御の連合体 |
| A.2. Graph NoSQL Implementation for AC Policies | A.2. ACポリシーのためのグラフNoSQL実装 |
エグゼクティブサマリー...
| Executive Summary | エグゼクティブ・サマリー |
| NoSQL stands for “not only SQL” or “non-SQL,” which typically refer to any non-relational database that stores data in a format other than relational tables. It shifts away from relational database management systems (RDBMS) for dealing with enormous and constantly growing data and infrastructure needs and increasingly uses the Web 3.0 framework for big data and real-time web applications, including handling unstructured data like documents, emails, and social media. NoSQL databases are particularly useful for managing unstructured or very large data objects stored across distributed and cooperating devices. Use cases for retrieving such data range from critical scenarios (e.g., storing financial data and healthcare records) to more casual applications (e.g., chat log data, video, and images, readings from smart devices). Major Web 2.0 companies have developed or adopted different flavors of NoSQL databases to meet their growing data and infrastructure needs. | NoSQLとは「not only SQL」または「non-SQL」の略で、一般的にはリレーショナル・テーブル以外の形式でデータを格納する非リレーショナル・データベースを指す。莫大かつ絶えず増大するデータとインフラのニーズに対応するため、リレーショナル・データベース管理システム(RDBMS)から移行し、文書、電子メール、ソーシャルメディアなどの非構造化データの取り扱いを含め、ビッグデータとリアルタイム・ウェブ・アプリケーションのためのウェブ3.0フレームワークをますます利用するようになっている。NoSQLデータベースは、分散して連携するデバイスにまたがって保存された非構造化データや非常に大きなデータオブジェクトを管理するのに特に有用である。このようなデータを検索するユースケースは、クリティカルなシナリオ(金融データや医療記録の保存など)から、よりカジュアルなアプリケーション(チャットログデータ、ビデオ、画像、スマートデバイスからの読み取りなど)まで多岐にわたる。主要なWeb 2.0企業は、増大するデータとインフラのニーズに対応するため、さまざまな種類のNoSQLデータベースを開発または採用している。 |
| NoSQL database systems and data stores often outperform traditional RDBMS in various aspects, such as data analysis efficiency, system performance, ease of deployment, flexibility/scalability of data management, and users’ availability. However, with an increasing number of people storing sensitive data in NoSQL databases, security issues have become critical concerns. NoSQL databases suffer from vulnerabilities, particularly due to the lack of effective support for data protection, including weak authorization mechanisms. As access control is a fundamental data protection requirement of any database management system (DBMS), this document discusses access control on NoSQL database systems by illustrating the NoSQL database types along with their support for access control models and describing considerations from the perspective of access control. | NoSQLデータベースシステムやデータストアは、データ分析効率、システム性能、導入の容易さ、データ管理の柔軟性/拡張性、ユーザーの可用性など、さまざまな面で従来のRDBMSを上回ることが多い。しかし、NoSQLデータベースに機密データを保存する人が増えるにつれ、セキュリティ問題が重大な関心事となっている。NoSQLデータベースは脆弱性に悩まされており、特に認可メカニズムが脆弱であるなど、データ保護のための効果的なサポートが欠如していることが原因となっている。アクセス制御はあらゆるデータベース管理システム(DBMS)の基本的なデータ保護要件であるため、本文書では NoSQL データベースシステムにおけるアクセス制御について、NoSQL データベースの種類とアクセス制御モデルのサポートを例示し、アクセス制御の観点からの考慮事項を説明する。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.02.02 米国 NIST 意見募集 NIST IR 8504(初公開ドラフト) NoSQLデータベースにおけるアクセス制御
こんにちは、丸山満彦です。
防衛省防衛研究所が、「新領域の安全保障シリーズ」の第2弾として、東京海上ホールディングス株式会社の石川朝久さんによる「脅威インテリジェンスの機能的・歴史的視座:民間セクターにおける共有エコシステム分析と公共セクターの関与について」を公開していますね...
脅威インテ令ジェンすについての安全保障で発展した脅威インテリジェンスがサイバー空間において民間部門で応用され発展していったことを踏まえて、国による脅威インテリジェンスと民間のインテリジェンスについての機能的な面としての相違を、目的、調査主体・調査対象、共有インセンティブについて説明している。官民連携が言われている中での論点整理として活用できそうですね。。。
また、歴史的な観点からは、2010年まで(黎明期)、2013年頃まで(理論構築)、2017年頃まで(普及と共助の開始)、それ以降(公助の開始)と四段階にわけて説明している。これも今後のインテリジェンス情報を国、民間機関がどのように活用すべきか参考になる...
● 防衛省 防衛研究所
・2024.05.14 [PDF]「脅威インテリジェンスの機能的・歴史的視座 民間セクターにおける共有エコシステム分析と公共セクターの関与について
こんにちは、丸山満彦です。
グローバルCBPRフォーラムが、グローバル越境プライバシールール(CBPR: Cross-Border Privacy Rules)フォーラムにおいて、越境個人データに関する新たな国際企業認証制度であるグローバルCBPRシステムの稼働に必要な文書を公表しています...
・2024.04.30 Global CBPR Forum Announces the Establishment of the Global CBPR and Global PRP Systems and Welcomes New Global CAPE Participants
| Global CBPR Forum Announces the Establishment of the Global CBPR and Global PRP Systems and Welcomes New Global CAPE Participants | グローバル CBPR フォーラム、グローバル CBPR およびグローバル PRP システムの設立を発表し、新たなグローバル CAPE 参加者を迎える |
| Celebrating the second anniversary of its establishment, the Global CBPR Forum (Forum) announces the establishment of the Global CBPR and Global PRP Systems with the appointment of Accountability Agents and the publication of the System documents. The publication of these documents sets the stage for Accountability Agents to start issuing Global CBPR and Global PRP certifications to interested organizations this summer. | グローバル CBPR フォーラム(フォーラム)は、設立 2 周年を迎え、アカウンタビリティ・エージェン トの任命とシステム文書の公表をもって、グローバル CBPR システムとグローバル PRP システムの設立を発表する。 これらの文書の公表は、説明責任代理人がこの夏、関心のある組織に対してグローバルCBPRおよびグローバルPRP認証の発行を開始するための段階を整えるものである。 |
| The Forum has approved the following Accountability Agents to operate in these jurisdictions: | フォーラムは、これらの管轄区域で活動する以下の説明責任代理人を承認した: |
| ・Japan: Japan Institute for Promotion of Digital Economy and Community | ・日本:財団法人日本情報経済社会推進協会 |
| ・Korea: Korea Internet Security Agency | ・韓国 インターネットセキュリティ振興院 |
| ・Singapore: Infocomm Media Development Authority | ・シンガポール:情報・メディア・開発局 |
| ・Chinese Taipei: Institute for Information Industry | ・台湾: 情報産業機構 |
| ・United States: BBB National Programs, NCC Group, Schellman, TRUSTe | ・米国 BBB National Programs、NCC Group、Schellman、TRUSTe |
| Accountability Agents are key partners in the Global CBPR and the Global PRP Systems. They will certify the data protection and privacy policies of interested organizations based on the Global CBPR Program Requirements and Intake Questionnaire and the Global PRP System Program Requirements and Intake Questionnaire which Accountability Agents will use to assess organizations seeking Global CBPR and Global PRP certifications. Interested organizations located in the above-mentioned jurisdictions can contact the relevant Accountability Agents for more information on the certifications. | アカウンタビリティ・エージェントは、グローバルCBPRおよびグローバルPRPシステムの重要なパートナーである。説明責任代理人は、グローバル CBPR およびグローバル PRP の認証を受けようとする組織を評価するために使用するグローバル CBPR プログラム要件およびインテーク質問票、およびグローバル PRP システムプログラム要件およびインテーク質問票に基づいて、関心のある組織のデータ・プライバシー方針を認証する。上記の管轄区域に所在する関心のある組織は、認証の詳細について、関連する説明責任代理人に問い合わせることができる。 |
| PEAs from Bermuda, Dubai and the UK join the Global CAPE | バミューダ、ドバイ、英国のPEAがグローバルCAPEに加わる |
| The Global CBPR Forum is also pleased to announce the participation of Privacy Enforcement Authorities from outside the Asia-Pacific region in the Global Cooperation Arrangement for Privacy Enforcement (CAPE), a multilateral arrangement for PEAs to failitate cross-border enforcement of data protection and privacy laws. | グローバルCBPRフォーラムはまた、データ保護およびプライバシー法の国境を越えた執行を促進するためのPEAのための多国間取り決めである、プライバシー執行のためのグローバル協力取り決め(CAPE)に、アジア太平洋地域以外からのプライバシー執行機関が参加したことを発表する。 |
| (A photo taken in celebration of these three authorities’ participation in the Global CAPE, on the occasion of a reception hosted by the US Federal Trade Commission in Washington, D.C., on April 2, 2024) | (2024年4月2日、ワシントンD.C.で開催された米国連邦取引委員会主催のレセプションで、これら3当局のグローバルCAPE参加を記念して撮影された写真)。 |
| The Office of the Privacy Commissioner of Bermuda, the Office of the Commissioner of Data Protection of the Dubai International Financial Center Authority, and the UK Information Commissioner’s Office have joined the Global CAPE. Together with PEAs from Canada, Japan, Korea, Mexico, the Philippines, Singapore, Chinese Taipei, and the US, the total number of Global CAPE participants now stands at 27. The full list of Global CAPE participants can be found here. | バミューダ・プライバシー・コミッショナー事務所、ドバイ国際金融センター庁データ防御コミッショナー事務所、英国情報コミッショナー事務所がグローバルCAPEに参加した。カナダ、日本、韓国、メキシコ、フィリピン、シンガポール、チャイニーズ・タイペイ、米国のPEAと合わせ、グローバルCAPE参加者は27となった。グローバルCAPE参加者の全リストはこちらで見ることができる。 |
| Coming Soon: 5th Global CBPR Forum Workshop in Tokyo, May 2024 | まもなく開催 第5回グローバルCBPRフォーラム・ワークショップ、2024年5月東京で開催 |
| On May 15-17, the Forum will also be welcoming government officials, regulators, and other privacy experts from around the world to its fifth multilateral, multistakeholder workshop in Tokyo, Japan. The workshop is being hosted by the U.S. International Trade Administration (ITA), the Personal Information Protection Commission (PPC), Japan and the Ministry of Economy, Trade and Industry (METI), Japan. If you are interested in learning more, please reach out to CBPRevent@dev.global. | 5月15日から17日にかけて、フォーラムは第5回多国間、マルチステークホルダーワークショップを東京で開催し、世界中から政府関係者、規制当局、その他のプライバシー専門家を迎える。このワークショップは、米国国際貿易庁(ITA)、日本の個人情報保護委員会(PPC)、日本の経済産業省(METI)が主催する。ご興味のある方は、CBPRevent@dev.global。 |
この夏からグローバルCBPRとグローバルPRP認証の発行を開始する予定ということですね...
認証機関は、
ということで日本では、一般財団法人日本情報経済社会推進協会 (JIPDEC) ですね...
JIPDECは、Pマーク制度を運用していますが、合わせて認定機関としても、認証機関としても活動していますね。2024.03.31現在で、17,681事業者がPマークを取得していますね...ということで、順当というかんじですかね...
システム文書...
このことは、2024.05.07に個人情報保護委員会、経済産業省とも発表していますね...
● 個人情報保護委員会
・2024.05.07 グローバルCBPRシステムの稼働に向けた文書等の公表について
● 経済産業省
・2027.05.07 グローバル越境プライバシールール(CBPR)システムの稼働に向けて文書(ポリシー、ルール及びガイドライン等)を公表しました
2024.05.25追加
● JIPDEC
・2024.05.24 JIPDECがグローバル CBPRシステムの認証機関として承認されました
● まるちゃんの情報セキュリティ気まれ日記
・2023.07.17 英国 CBPRフォーラムのアソシエイトになる (2023.07.06)
・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議
・2022.04.23 米国 フィリピン シンガポール 台湾 グローバル越境プライバシールール(CBPR)フォーラム設立関連...
・2022.04.22 個人情報保護委員会 経済産業省 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言
・2016.07.14 経済産業省 越境データフローに係る制度等の調査研究の報告書
こんにちは、丸山満彦です。
MITREが連邦政府機関向けの新たなAI実験・プロトタイピング機能を創設したようですね...
NVIDIA DGX SuperPOD™だそうです...
● MITRE
・2024.05.07 MITRE to Establish New AI Experimentation and Prototyping Capability for U.S. Government Agencies
| MITRE to Establish New AI Experimentation and Prototyping Capability for U.S. Government Agencies | MITRE、米国政府機関向けに新たなAI実験およびプロトタイピング能力を確立する |
| MITRE Federal AI Sandbox to be Powered by NVIDIA DGX SuperPOD | MITRE Federal AI SandboxはNVIDIA DGX SuperPODを搭載する |
| McLean, Va., May 7, 2024 – MITRE is building a new capability intended to give its artificial intelligence (AI) researchers and developers access to a massive increase in computing power. The new capability, MITRE Federal AI Sandbox, will provide better experimentation of next generation AI-enabled applications for the federal government. The Federal AI Sandbox is expected to be operational by year’s end and will be powered by an NVIDIA DGX SuperPOD™ that enables accelerated infrastructure scale and performance for AI enterprise work and machine learning. | ヴァージニア州マクリーン、2024年5月7日 - MITREは、人工知能(AI)の研究者と開発者が膨大なコンピューティング・パワーを利用できるようにすることを目的とした新機能を構築している。この新機能「MITRE Federal AI Sandbox」は、連邦政府向けの次世代AI対応アプリケーションの実験を改善する。連邦AIサンドボックスは年内に運用を開始する予定で、AIエンタープライズ業務と機械学習のためのインフラ規模の拡大と性能の加速を可能にするNVIDIA DGX SuperPOD™を搭載する。 |
| As U.S. government agencies seek to apply AI across their operations, few have adequate access to supercomputers and the deep expertise required to operate the technology and test potential applications on secure infrastructure. | 米国政府機関が業務全体にAIを適用しようとしている中、スーパーコンピュータへの十分なアクセスや、安全なインフラ上で技術を運用し、潜在的なアプリケーションをテストするのに必要な深い専門知識を持っているところはほとんどない。 |
| "The recent executive order on AI encourages federal agencies to reduce barriers for AI adoptions, but agencies often lack the computing environment necessary for experimentation and prototyping," says Charles Clancy, MITRE, senior vice president and chief technology officer. "Our new Federal AI Sandbox will help level the playing field, making the high-quality compute power needed to train and test custom AI solutions available to any agency ." | MITREのチャールズ・クランシー上級副社長兼最高技術責任者(CTO)は次のように述べている。「AIに関する最近の大統領令は、連邦政府機関に対してAI導入の障壁を減らすよう促しているが、政府機関には実験やプロトタイピングに必要なコンピューティング環境がないことが多い。我々の新しいFederal AI Sandboxは、カスタムAIソリューションの訓練とテストに必要な高品質の計算能力をどのような機関でも利用できるようにし、競争の場を平準化するのに役立つだろう。」 |
| MITRE will apply the Federal AI Sandbox to its work for federal agencies in areas including national security, healthcare, transportation, and climate. Agencies can gain access to the benefits of the Federal AI Sandbox through existing contracts with any of the six federally funded research and development centers MITRE operates. | MITREは連邦AIサンドボックスを、国家安全保障、ヘルスケア、交通、気候などの分野で連邦政府機関向けの業務に適用する。各省庁は、MITREが運営する6つの連邦政府出資の研究開発センターとの既存の契約を通じて、Federal AI Sandboxの恩恵にアクセスすることができる。 |
| Sandbox capabilities offer computing power to train cutting edge AI applications for government use including large language models (LLMs) and other generative AI tools. It can also be used to train multimodal perception systems that can understand and process information from multiple types of data at once such as images, audio, text, radar, and environmental or medical sensors, and reinforcement learning decision aids that learn by trial and error to help humans make better decisions. | サンドボックスの機能は、大規模言語モデル(LLM)やその他の生成的AIツールを含む、政府用の最先端AIアプリケーションを訓練するためのコンピューティングパワーを提供する。また、画像、音声、テキスト、レーダー、環境・医療センサーなど、複数の種類のデータからの情報を一度に理解・処理できるマルチモーダル知覚システムや、人間がより良い意思決定を行えるよう試行錯誤しながら学習する強化学習意思決定支援システムの訓練にも利用できる。 |
| "MITRE’s purchase of a DGX SuperPOD to assist the federal government in its development of AI initiatives will turbocharge the U.S. federal government’s efforts to leverage the power of AI," says Anthony Robbins, vice president of public sector, NVIDIA. "AI has enormous potential to improve government services for citizens and solve big challenges, like transportation and cyber security." | NVIDIAの公共部門担当副社長であるアンソニー・ロビンズ氏は、次のように述べている。「MITREがDGX SuperPODを購入し、連邦政府のAIイニシアチブの開発を支援することで、AIのパワーを活用するための米国連邦政府の取り組みが加速するでしょう。AIは、市民のための政府サービスを改善し、交通やサイバーセキュリティのような大きな課題を解決する大きな可能性を秘めている。」 |
| The NVIDIA DGX SuperPOD powering the sandbox is capable of an exaFLOP of performance to train and deploy custom LLMs and other AI solutions at scale. | サンドボックスを駆動するNVIDIA DGX SuperPODは、カスタムLLMやその他のAIソリューションを大規模に訓練・展開するために、エクサFLOPの性能を発揮する。 |
・2024.05.07 Federal AI Sandbox
| Federal AI Sandbox | 連邦AIサンドボックス |
| To realize the incredible potential of AI within the federal government, a secure sandbox environment with significant computational power is needed for prototyping, training, and testing complex AI model | 連邦政府内でAIの驚異的な可能性を実現するためには、複雑なAIモデルのプロトタイピング、トレーニング、テストのために、大きな計算能力を備えたセキュアなサンドボックス環境が必要である。 |
| AI has the potential to drive transformational advances in fields including healthcare, cybersecurity, transportation, finance, climate, and national security—but to harness this impact the nation must accelerate safe and secure prototyping of new AI solutions built around government datasets. | AIは、ヘルスケア、サイバーセキュリティ、交通、金融、気候、国家安全保障などの分野で変革をもたらす可能性を秘めているが、このインパクトを活用するためには、政府は政府のデータセットを基に構築された新しいAIソリューションの安全かつセキュアなプロトタイピングを加速させなければならない。 |
| MITRE’s new flagship AI supercomputer will streamline and expand government access to the high-end computing that drives modern AI. An AI supercomputer at this scale is ideal for training new, government-specific large frontier AI models, including LLMs, other generative AI, machine vision and multimodal perception systems, and reinforcement learning decision aids. | MITREの新しいフラッグシップAIスーパーコンピューターは、最新のAIを推進するハイエンド・コンピューティングへの政府アクセスを合理化し、拡大する。この規模のAIスーパーコンピューターは、LLM、その他の生成的AI、マシンビジョン、マルチモーダル知覚システム、強化学習意思決定支援など、政府固有の新しい大規模フロンティアAIモデルのトレーニングに最適である。 |
・[PDF]
| MITRE is investing in a massive AI supercomputer to power a new federal AI sandbox. | MITREは、連邦政府の新しいAIサンドボックスを動かすために、巨大なAIスーパーコンピューターに投資している。 |
| AI has the potential to drive transformational advances in fields like healthcare, cybersecurity, transportation, finance, climate, and national security—but to harness this impact the nation must accelerate safe and secure prototyping of new AI solutions built around government datasets. | AIは、ヘルスケア、サイバーセキュリティ、交通、金融、気候、国家安全保障などの分野で変革をもたらす可能性を秘めているが、この影響力を活用するためには、政府は政府のデータセットを基に構築された新しいAIソリューションの安全かつセキュアなプロトタイピングを加速させなければならない。 |
| Today, few federal agencies have adequate access to large-scale computing infrastructure. This situation inhibits public sector innovation by limiting the creation and evaluation of customized AI tools like large language models (LLMs) similar to ChatGPT. MITRE’s new flagship AI supercomputer will streamline and expand government access to the high-end computing that drives modern AI. The NVIDIA DGX SuperPOD system powering the sandbox is capable of an exaFLOP of 8-bit AI compute, meaning it performs a quintillion math operations each second to train and deploy custom LLMs and other AI solutions at scale. | 今日、大規模なコンピューティング・インフラに十分アクセスできる連邦機関はほとんどない。この状況は、ChatGPTのような大規模言語モデル(LLM)のようなカスタマイズされたAIツールの作成と評価を制限することで、公共部門のイノベーションを阻害している。MITREの新しいフラッグシップAIスーパーコンピュータは、最新のAIを駆動するハイエンドコンピューティングへの政府アクセスを合理化し、拡大する。サンドボックスを駆動するNVIDIA DGX SuperPODシステムは、8ビットAIコンピュートのエクサFLOPが可能であり、これはカスタムLLMやその他のAIソリューションを大規模に訓練・展開するために、毎秒5億回の数学演算を実行することを意味する。 |
| Federal agencies can gain access to the benefits of MITRE’s AI sandbox through existing contracts with any of the six federally funded research and development centers that MITRE operates. The sandbox, which launches in late 2024, will substantially augment MITRE’s AI Platform—increasing compute power by two orders of magnitude. | 連邦政府機関は、MITREが運営する6つの連邦政府出資の研究開発センターとの既存の契約を通じて、MITREのAIサンドボックスのメリットを利用できる。2024年後半に開始されるサンドボックスは、MITREのAIプラットフォームを大幅に増強し、計算能力を2桁増加させる。 |
| An AI supercomputer at this scale is ideal for training new, government-specific large frontier AI models, including LLMs, other generative AI, machine vision and multimodal perception systems, and reinforcement learning decision aids. MITRE continues to invest in innovation and resources that enable our experts, often in collaboration with government, industry, and academia, to solve complex problems in the public interest. | この規模のAIスーパーコンピューターは、LLM、その他の生成的AI、マシンビジョン、マルチモーダル知覚システム、強化学習意思決定支援など、政府固有の新しい大規模フロンティアAIモデルのトレーニングに最適である。MITREは、我々の専門家が政府、産業界、学界としばしば協力し、公共の利益のために複雑な問題を解決することを可能にするイノベーションとリソースへの投資を続けている。 |
| To realize the incredible potential of AI within the federal government, a secure sandbox environment with significant computational power is needed for prototyping, training, and testing complex AI models. | 連邦政府内でAIの驚異的な可能性を実現するためには、複雑なAIモデルのプロトタイピング、トレーニング、テストのために、大きな計算能力を持つ安全なサンドボックス環境が必要である。 |
こんにちは、丸山満彦です。
米国のCISAが、テクノロジー企業68社がセキュア・バイ・デザインの誓約をしたと発表していますね...
68社ですから、私がしっている主要なテクノロジー企業は全て入っているのではないかと思います...
● Cybersecurity & Infrstracture Security Agency; CISA
プレス...
・2024.05.08 CISA Announces Secure by Design Commitments from Leading Technology Providers
| CISA Announces Secure by Design Commitments from Leading Technology Providers | CISA、大手技術プロバイダによるセキュア・バイ・デザインの誓約を発表 |
| WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) announced voluntary commitments by 68 of the world’s leading software manufacturers to CISA’s Secure by Design pledge to design products with greater security built in. | ワシントン - 本日、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、世界有数のソフトウェア製造事業者 68 社が、CISA の「セキュア・バイ・デザイン(Secure by Design)」誓約に自発的に取り組み、より高いセキュリティを組み込んだ製品を設計することを発表した。 |
| “More secure software is our best hope to protect against the seemingly never-ending scourge of cyberattacks facing our nation. I am glad to see leading software manufacturers recognize this by joining us at CISA to build a future that is more secure by design,” CISA Director Jen Easterly said. “I applaud the companies who have already signed our pledge for their leadership and call on all software manufacturers to take the pledge and join us in creating a world where technology is safe and secure right out of the box.” | CISAのディレクターであるジェン・イースタリー氏は、 次のように述べた。「より安全なソフトウェアは、わが国が直面しているサイバー攻撃の終わりがないように見える惨劇から身を守るための最良の希望である。主要なソフトウェア製造事業者が、設計によってより安全な未来を築くためにCISAに参加し、このことを認識していることをうれしく思う。「すでに誓約書に署名した企業のリーダーシップに拍手を送るとともに、すべてのソフトウェア製造事業者が誓約書に署名し、箱から出してすぐに技術が安全でセキュアな世界を実現するために、われわれと一緒に参加するよう呼びかける」。 |
| A list of the 68 companies, including leading software manufacturers, participating in the pledge can be found at the Secure by Design Pledge page, and statements of support for the pledge can be read here. | この誓約に参加している大手ソフトウェアメーカーを含む68社のリストは、Secure by Design Pledgeのページで見ることができる。 |
| By catalyzing action by some of the largest technology manufacturers, the Secure by Design pledge marks a major milestone in CISA’s Secure by Design initiative. Participating software manufacturers are pledging to work over the next year to demonstrate measurable progress towards seven concrete goals. Collectively, these commitments will help protect Americans by securing the technology that our critical infrastructure relies on. | セキュア・バイ・デザイン誓約は、CISAのセキュア・バイ・デザイン・イニシアチブの重要なマイルストーンとなる。参加するソフトウェア製造事業者は、7つの具体的な目標に向けて測定可能な進捗を実証するため、今後1年間取り組むことを誓約している。これらの誓約をまとめることで、重要なインフラが依存する技術を保護し、米国人を守ることができる。 |
| “A more secure by design future is indeed possible. The items in the pledge directly address some of the most pervasive cybersecurity threats we at CISA see today, and by taking the pledge software manufacturers are helping raise our national cybersecurity baseline,” CISA Senior Technical Advisor Jack Cable said. “Every software manufacturer should recognize that they have a responsibility to protect their customers, contributing to our national and economic security. I appreciate the leadership of those who signed on and hope that every technology manufacturer will follow suit.” | CISA上級技術顧問のジャック・ケーブル氏は、 次のように述べた。「より安全な設計による未来は確かに可能である。この誓約書の項目は、CISAが今日目にしている最も広範なサイバーセキュリティの脅威のいくつかに直接対処するものであり、ソフトウェア製造事業者は、この誓約書に署名することで、国のサイバーセキュリティの基準値を引き上げる手助けをすることになる。すべてのソフトウェア製造事業者は、自社の顧客を保護し、国家と経済の安全保障に貢献する責任があることを認識すべきである。私は、署名した人々のリーダーシップに感謝するとともに、すべての技術製造者がこれに続くことを望んでいる。」 |
| The seven goals of the pledge are: | 誓約の7つの目標は以下の通りである: |
| ・Multi-factor authentication (MFA). Within one year of signing the pledge, demonstrate actions taken to measurably increase the use of multi-factor authentication across the manufacturer’s products. | ・多要素認証(MFA):多要素認証(MFA)。誓約書に署名してから1年以内に、製造事業者の製品全体で多要素認証の利用を測定可能なほど増やすための行動を実証する。 |
| ・Default passwords. Within one year of signing the pledge, demonstrate measurable progress towards reducing default passwords across the manufacturers’ products. | ・デフォルトパスワード:誓約書に署名してから 1 年以内に、製造事業者全体でデフォルトパスワードの削減に向けて測定可能な進捗を示す。 |
| ・Reducing entire classes of vulnerability. Within one year of signing the pledge, demonstrate actions taken towards enabling a significant measurable reduction in the prevalence of one or more vulnerability classes across the manufacturer’s products. | ・脆弱性のクラス全体の削減:誓約書署名から1年以内に、製造事業者製品全体で1つ以上の脆弱性クラスの普及を測定可能なほど大幅に削減することを可能にするために取られた行動を実証する。 |
| ・Security patches. Within one year of signing the pledge, demonstrate actions taken to measurably increase the installation of security patches by customers. | ・セキュリティパッチの適用:誓約書署名後 1 年以内に、顧客によるセキュ リティパッチのインストールを測定可能な程 増加させるために取られた行動を示す。 |
| ・Vulnerability disclosure policy. Within one year of signing the pledge, publish a vulnerability disclosure policy (VDP) that authorizes testing by members of the public on products offered by the manufacturer, commits to not recommending or pursuing legal action against anyone engaging in good faith efforts to follow the VDP, provides a clear channel to report vulnerabilities, and allows for public disclosure of vulnerabilities in line with coordinated vulnerability disclosure best practices and international standards. | ・脆弱性開示の方針:誓約書に署名してから 1 年以内に、脆弱性開示方針(VDP)を公表する。この方針は、製造事 業者が提供する製品について一般ユーザーによるテストを認可し、VDP に従 う誠実な取り組みを行う者に対して法的措置を推奨または追求しないことを約束し、 脆弱性を報告するための明確なチャネルを提供し、調整された脆弱性開示のベストプラク ティスと国際標準に沿った脆弱性の一般公開を可能にするものである。 |
| ・CVEs. Within one year of signing the pledge, demonstrate transparency in vulnerability reporting by including accurate Common Weakness Enumeration (CWE) and Common Platform Enumeration (CPE) fields in every Common Vulnerabilities and Exposures (CVE) record for the manufacturer’s products. Additionally, issue CVEs in a timely manner for, at minimum, all critical or high impact vulnerabilities (whether discovered internally or by a third party) that either require actions by a customer to patch or have evidence of active exploitation. | ・CVE:誓約書に署名してから1年以内に、製造事業者の製品に関するすべての共通脆弱性一覧表(Common Weakness Enumeration:CWE)および共通プラットフォーム一覧表(Common Platform Enumeration:CPE)フィールドを、すべての共通脆弱性一覧表(Common Vulnerabilities and Exposures:CVE)に正確に含めることにより、脆弱性報告の透明性を実証する。さらに、顧客によるパッチ適用が必要な、または悪用された形跡がある、重要または影響度の高い脆弱性(社内またはサードパーティによって発見されたものであるかを問わない)については、少なくともすべて適時にCVEを発行すること。 |
| ・Evidence of intrusions. Within one year of signing the pledge, demonstrate a measurable increase in the ability for customers to gather evidence of cybersecurity intrusions affecting the manufacturer’s products. | ・侵入の証拠:誓約書に署名してから1年以内に、製造事業者の製品に影響を及ぼすサイバーセキュリティ侵入の証拠を収集する顧客の能力が測定可能なほど向上していることを実証する。 |
| Each goal has core criteria which manufacturers are committing to work towards, in addition to context and example approaches to achieve the goal and demonstrate measurable progress. To enable a variety of approaches, software manufacturers participating in the pledge have the discretion to decide how best they can meet and demonstrate the core criteria of each goal, but progress should be demonstrated in public. | 各目標には、製造事業者が取り組むことを約束する中核的な基準に加え、目標を達成し、測定可能な進捗を実証するための背景やアプローチ例が示されている。多様なアプローチを可能にするため、誓約に参加するソフトウェア製造事業者は、各目標の中核的基準を満たし、実証するための最善の方法を決定する裁量権を有するが、進捗状況は公開の場で実証されるべきである。 |
| CISA’s global Secure by Design initiative, launched last year, implements the White House’s National Cybersecurity Strategy by shifting the cybersecurity burden away from end users and individuals to technology manufacturers who are most able to bear it. CISA urges software manufacturers to review CISA’s Secure by Design guidance and Secure by Design alerts to build security into their products. | 昨年開始されたCISAのグローバルな「セキュア・バイ・デザイン」イニシアチブは、サイバーセキュリティの負担をエンドユーザーや個人から、最も負担能力のある技術製造者に移すことで、ホワイトハウスの国家サイバーセキュリティ戦略を実施するものである。CISAは、ソフトウェア製造事業者に対し、CISAのSecure by DesignガイダンスとSecure by Designアラートを確認し、自社製品にセキュリティを組み込むよう促している。 |
● まるちゃんの情報セキュリティ気まぐれ日記
セキュア・バイ・デザイン(セキュリティ・バイ・デザイン)が表題にあるもの...
・2023.10.18 Five Eyes、ドイツ、オランダ、ノルウェー、韓国、イスラエル、日本、シンガポール、チェコ他 セキュア・バイ・デザイン原則の改訂
・2023.09.08 米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす (2023.09.05)
・2023.04.15 CISA他 サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインとセキュリティ・バイ・デフォルトの原則とアプローチ
・2022.06.03 英国 防衛省 セキュア・バイ・デザイン要求
こんにちは、丸山満彦です。
金融庁の「金融審議会」(神田先生や、岩下先生が委員です)の「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」(堀江先生や藤本貴子さんが委員です)により、サステナビリティの開示と保証についての議論が始まっていますが、財務情報以外の保証という観点で非常に興味があります...特に、法制化された保証制度になるのかどうかという点で...
サステナビリティ情報の開示を保証をどのように進めていくのか?という話になっています。
・プライム市場から始めていくべきか、すべての市場で始めるか?
・1年目は開示だけし、2年目から開示についての保証を始めるか?
等が議論されていますね...
また、メリット・デメリットありますが、
義務化するというのであれば、
・プライム市場から始め、準備を整えた上で、開示と保証を同時にするのがよいのだろうと個人的には思います。
第1回会合での堀江先生の発表...
【堀江委員】
御指名ありがとうございました。環境整備について、ごく簡単に意見を述べさせていただければと思っています。
企業において相応の手間とコストをかけてサステナビリティ情報を作成、開示する以上、法令等で縛られているから渋々開示を行うという後ろ向きの姿勢ではなくて、国内はもとより、海外からも投資先として選ばれるための前向きの姿勢を持った、そういう開示の姿勢、戦略的な開示といったことについての啓蒙をぜひしていただきたい。法令等で強制されているから、これは開示しないと駄目、あれは開示しないと駄目と、ちょっと表現はよくないんですけども、開示地獄なんて、このようなことにもなりかねない。ですから、これを機会に、うまく企業価値の向上等とも絡めて、開示が適切に行われるような仕組みづくりというものをお考えいただけるとよろしいのではないかと思います。
もう既に意見としても出ましたが、こういう戦略的な開示の前提として、やはり情報の作成と開示を効果的かつ効率的に行うためには、適切な内部統制の整備とか、ガバナンス体制の整備はもう恐らく不可欠ではないかと思います。
また、この開示基準の任意適用の期間で、資料の30、31ページ目に出ているところに関してでございますけれども、任意適用の期間の取扱いでございますが、強制適用の準備期間としての位置づけだけではなくて、ほかの委員からも意見が出ておりましたとおり、当面、強制適用から外れる企業に対する適用の促進という視点もとても重要ではないかと思います。
なお、サステナビリティ情報は、言うまでもなく財務情報と関連づけて利用されるものでありまして、かつ、我が国のサステナビリティの情報の開示基準が国際基準と整合的なものになるということであれば、今後、国際財務報告基準の任意適用の対象拡大にもつながってくるのではないかと考えております。
以上でございます。
企業体全体として、ガバナンス、内部統制の仕組みが重要となるという堀江先生の指摘には頷けるところがございますね...
● 金融庁
・金融審議会 - サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ
諮問文...
サステナビリティ情報に係る昨今の国際的な動向や要請を踏まえ、我が国資本市場の一層の機能発揮に向け、投資家が中長期的な企業価値を評価し、建設的な対話を行うに当たって必要となる情報を、信頼性を確保しながら提供できるよう、同情報の開示やこれに対する保証のあり方について検討を行うこと。
| 第2回 | 2024.05.14 | 開催通知 | 資料 | ||
| 資料1 | 事務局説明資料 | ||||
| 資料2 | 参考資料 | ||||
| 資料3 | 意見書(吉元委員) | ||||
| 第1回 | 2024.03.26 | 開催通知 | 資料 | 議事録 | |
| 資料1 | 諮問文 | ||||
| 資料2 | 「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」メンバー名簿 | ||||
| 資料3 | 事務局説明資料 | ||||
| 資料4 | 事務局参考資料 |
ちなみに、Big4を含めた監査法人等が会員となっている、「一般社団法人サステナビリティ情報審査協会」(2007年8月15日設立 旧:日本環境情報審査協会)というのがありますね。。。サステナビリティ報告書の保証についての推進等を図っていますね...シンボルマーク制度を運用していますね...
認定した団体による保証の付与は、2022年で165社になっていますね...
● 一般社団法人サステナビリティ情報審査協会 (J-SUS)
● まるちゃんの情報セキュリティ気まぐれ日記
サステナビリティで検索...
・2024.04.06 日本公認会計士協会 サステナビリティ報告・保証業務等に関するIESBA倫理規程改訂公開草案の翻訳
・2024.03.03 日本公認会計士協会 「サステナビリティ報告に対する信頼の構築:早急に求められる統合的内部統制」の翻訳 (2024.02.26)
・2023.12.13 経団連 IAASB公開草案 国際サステナビリティ保証基準 (ISSA) 5000「サステナビリティ保証業務の一般的要求事項」へのコメント (2023.12.01)
・2023.11.22 内部監査人協会 COSO『サステナビリティ報告に係る有効な内部統制(ICSR)の実現』の翻訳 (2023.10.04)
・2023.09.25 日本公認会計士協会 IAASB公開草案 国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」
・2023.06.15 IFAC サステナビリティ報告書の保証 (2023.05.31)
・2021.04.27 欧州委員会 非財務情報開示指令の改正案発表 対象企業が大幅に増加
・2021.04.05 コーポレートガバナンス・コード改訂(案)
・2020.11.26 英国生まれの国際統合報告委員会 (IIRC) と米国生まれのサステナビリティ会計基準審議会 (SASB) が合併に・・・
一気に10年以上遡りますが...(記録は残しておくものですね...リンクは切れていますが...)
・2009.03.27 KPMGあずさサステナビリティ株式会社(あずさ監査法人グループ)のCSR報告書に対する独立第三者の審査報告書
・2007.02.23 日興コーディアル 中央青山PwCサスティナビリティ研究所及び新日本監査法人によるサスティナビリティ報告書に対する保証意見
・2005.10.24 環境報告書審査・登録制度が始まる
こんにちは、丸山満彦です。
欧州連合 欧州対外活動庁 (EEAS) が「対外情報操作・干渉(FIMI)に関する国際規範の研究」を公表していますね...
この文書の目的は、FIMIに特化した国際規範の策定に関する提言を行うことであり、規範の内容や策定プロセスも含まれるとのことです。
攻撃元へのハックバックは許されるがそれは、事前に表明を行い、表現・情報の自由やその他の人権に対する制限が合法的なものであることを確認するなど、対抗措置を講じるための他の条件が尊重されている必要があるとのことです...
・2024.04.30 Study on International Norms for Foreign Information Manipulation and Interference (FIMI)
・[PDF]
目次...
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| INTRODUCTION | 序文 |
| THE INTERNATIONAL LEGAL FRAMEWORK APPLICABLE TO FIMI AND OTHER INFORMATION OPERATIONS | 第II部 FIMIおよびその他の情報活動に適用される国際的な法的枠組み |
| II.1 SOVEREIGNTY | II.1 主権 |
| II.2 NON-INTERVENTION | II.2 不干渉 |
| II.3 DUE DILIGENCE | II.3 デュー・ディリジェンス |
| II.4. INTERNATIONAL HUMAN RIGHTS LAW | II.4 国際人権法 |
| II.5 INTERNATIONAL HUMANITARIAN LAW | II.5 国際人道法 |
| II.6 STATE RESPONSIBILITY AND COUNTERMEASURES | II.6 国の責任と対策 |
| PART III – INTERNATIONAL NORMS AND NORMSETTING PROCESSES FOR CYBER OPERATIONS AND INTERNET GOVERNANCE | 第III部 サイバー活動とインターネット・ガバナンスのための国際規範と規範設定プロセス |
| III.1 THE NORMS OF RESPONSIBLE STATE BEHAVIOUR IN THE ICT ENVIRONMENT | III.1 ICT環境における国家の責任ある行動の規範 |
| II.2 THE DRAFT UN CYBERCRIME CONVENTION | II.2 国連サイバー犯罪条約ドラフト |
| III.3 THE NORMS FOR INTERNET GOVERNANCE | III.3 インターネット・ガバナンスの規範 |
| III.4 THE TALLINN AND OXFORD PROCESSES | III.4 タリンとオックスフォードのプロセス |
| PART IV - CONCLUSIONS AND RECOMMENDATIONS | 第IV部 結論と提言 |
| IV.1 THE SUBSTANCE OF NORMS | IV.1 規範の実質 |
| IV.2 NORM-SETTING PROCESSES | IV.2 規範設定プロセス |
| REFERENCES | 参考文献 |
エグゼクティブサマリー ...
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| ・This research paper is entitled ‘Study on International Norms for Foreign Information Manipulation and Interference (FIMI)’. Its purpose is to offer recommendations on the development of international norms specific to FIMI, including the content of those norms and their development processes. | ・ この研究論文は、「対外情報操作・妨害(FIMI)に関する国際規範の研究」と題するものである。その目的は、FIMIに特化した国際規範の策定に関する提言を行うことであり、その規範の内容や策定プロセスも含まれる。 |
| ・It will do so by drawing on existing rules and principles of international law applicable to FIMI as well as norm-setting processes established in related fields, such as cyberspace. | ・ これは、FIMIに適用される国際法の既存の規則や原則、およびサイバー空間などの関連分野で確立された規範設定プロセスを活用することによって行われる。 |
| ・Prominent norm-setting processes include those established within the auspices of the United Nations (UN) to discuss the use of information and communications technologies (ICTs) in the context of international peace and security and internet governance. | ・ 顕著な規範設定プロセスとしては、国際平和と安全保障、インターネット・ガバナンスの文脈における情報通信技術(ICTs)の使用を議論するために、国連(UN)の後援の下で設立されたものがある。 |
| ・This study is centred on FIMI. Nevertheless, it concludes that, while operational frameworks developed to tackle FIMI tend to be behaviourcentric, international law applies more broadly to information operations writ large. Different factors are relevant when assessing the lawfulness of FIMI and other information operations under international law, particularly their content, means and methods, effects, actors, and targets. This analysis is in many ways similar to and overlaps with the work has already been carried out by the European External Action Service (EEAS) using the so-called ABCDE framework, which looks at the actor, behaviour, content, degree, effect of FIMI operations. | ・ 本研究は、FIMIに焦点を当てている。とはいえ、FIMIに取り組むために開発された作戦枠組みは行動中心主義になりがちだが、国際法は情報活動全般により広く適用される、と結論付けている。国際法の下でFIMIやその他の情報活動の合法性を評価する際には、特にその内容、手段・方法、効果、行為主体、標的など、さまざまな要素が関係してくる。この分析は、欧州対外活動庁(EEAS)が、情報活動の行為者、行動、内容、程度、効果に注目する、いわゆるABCDEフレームワークを用いてすでに実施してきた作業と多くの点で類似しており、また重複している。 |
| ・To understand the international legal framework applicable to FIMI, it is necessary to consider how international law applies to various types of information operations – not just FIMI. | ・ FIMIに適用される国際的な法的枠組みを理解するためには、FIMIに限らず、さまざまな種類の情報活動に国際法がどのように適用されるかを検討する必要がある。 |
| ・In line with international law, norms for FIMI should consider not only the means and methods by which these activities are carried out but also their actors, content, targets, effects, and other relevant legal criteria, similarly to the way the EEAS uses the ABCDE framework. | ・ 国際法に沿って、FIMIに関する規範は、EEASがABCDEの枠組みを用いる方法と同様に、これらの活動が実施される手段や方法だけでなく、その主体、内容、対象、効果、その他の関連する法的基準も考慮すべきである。 |
| ・The international legal framework applicable to FIMI is made up of different but related rules and principles applicable to the behaviour of States and non-State actors online and offline; these must be considered holistically. | ・ FIMIに適用される国際的な法的枠組みは、国家および非国家主体のオンラインおよびオフラインでの行動に適用される、異なるが関連する規則と原則で構成されている。 |
| ・International legal rules and principles applicable to FIMI include sovereignty, non-intervention, due diligence, State responsibility, international human rights law and international humanitarian law. | ・ FIMIに適用される国際法上の規則や原則には、主権、不干渉、デュー・ディリジェンス、国家責任、国際人権法、国際人道法などがある。 |
| ・They overlap to some extent but cover different phenomena and therefore different types of FIMI, based on their particular triggers, thresholds and conditions. | ・ これらはある程度重複しているが、異なる現象を対象としており、従って、特定のトリガー、閾値、条件に基づいて、異なるタイプのFIMIを対象としている。 |
| ・The human rights to freedom of expression and information, recognised under international human rights law, lie at the heart and centre of the applicable international legal framework and should inform FIMI norms. They require that any limitations on private speech, including lawful or unlawful FIMI activities, be grounded in law, legitimate, necessary, and proportionate. | ・ 国際人権法の下で認められている表現と情報の自由に対する人権は、適用される国際法 的枠組みの中心であり核心であり、FIMI規範に反映されるべきである。これらの人権は、合法的または非合法的なFIMI活動を含め、私的言論に対するいかなる制限も、法律に根拠があり、合法的で、必要で、かつ比例的であることを要求している。 |
| ・International norms for FIMI should mirror this international legal framework. Drawing on the lessons from the cyber and internet governance contexts, their drafting process should be Stateled, inclusive of as many like-minded States as possible, including developed and developed countries, consensus-based, and informed by the input of different stakeholders, such as the industry, academia, and civil society. | ・ 金融商品取引法に関する国際規範は、この国際的な法的枠組みを反映したものでなければならな い。サイバー・ガバナンスやインターネット・ガバナンスの文脈から得られた教訓を踏まえ、その起草プロ セスは、スタテル化され、先進国や先進国を含むできるだけ多くの志を同じくする国々が参加し、コンセンサスに基づき、産業界、学界、市民社会などのさまざまなステークホルダーの意見を反映したものであるべきである。 |
● まるちゃんの情報セキュリティ気まぐれ日記
FIMI関連...
・2023.02.10 欧州連合 欧州対外行動庁 外国人による情報操作と干渉の脅威に関する報告書
・2022.12.14 ENISA 外国人による情報操作と干渉(FIMI)とサイバーセキュリティ - 脅威状況
こんにちは、丸山満彦です。
ドイツの連邦情報セキュリティ局 (BSI) が、第20回ドイツITセキュリティ会議を2024.05.07-08で開催(バーチャル)し、4週間公開するようですね..
今年のテーマは「サプライチェーンのセキュリティ」と「協力」のようですね...
世界各国でサプライチェーンセキュリティーは言われていますね。そして、焦点は中小企業...これも同じ...
協力(コラボレーション)も米国でも言われていますね。
● Bundesamt für Sicherheit in der Informationstechnik; BSI
・2024.05.07 BSI eröffnet 20. Deutschen IT-Sicherheitskongress: Cybersicherheit gemeinsam erhöhen
・20. Deutscher IT-Sicherheitskongress
そして、公開されているのはこちらから(https://meetyoo.live)。。。(まずは、登録が必要ですが。。。)
ドイツ語ですけどね...
プログラムの内容...
開会式
重要インフラの回復力
脅威インテリジェンス
情報セキュリティの管理
安全な通信
人工知能/機械学習
パネルディスカッション
オープニング
経済におけるサイバーセキュリティ
使用可能なセキュリティの設計と評価。ある大学とのBSIプロジェクトからの提言
サプライチェーンにおけるセキュリティ
物理システム
セキュリティ・システムへの信頼
暗号技術の最新動向
賞金授与式・閉会
こんにちは、丸山満彦です。
2024.05.10に参議院で、「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案」が、可決されされていますね...
SNSで他人の権利を侵害する情報の流通による被害が深刻化する一方、情報発信のための公共的な基盤としての特定電気通信役務の機能が重要性を増していることを踏まえて、大規模なSNS事業者を大規模特定電気通信役務提供者として指定して、侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図るための義務を課す等の措置を講じようとするものですね...
SNSで自己の権利を侵害された時、申し出をすれば、もう少しましな対応になるのでしょう...
参議院での5月10日の投票結果...(といっても「起立採決により可決されました」としか書いていませんが...)
法律案の内容はこちらから...
| 提出回次 | 提出番号 | 件名 | ||
| 213 | 34 | 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案 | 議案要旨 | 提出法律案 |
・[PDF] 議案要旨
(総務委員会)
特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案(閣法第三四号)(衆議院送付)要旨
本法律案は、近年、インターネット上のSNS等の特定電気通信役務を利用して行われる他人の権利を侵害する情報の流通による被害が深刻化する一方、情報発信のための公共的な基盤としての特定電気通信役務の機能が重要性を増していることに鑑み、大規模なSNS事業者等を大規模特定電気通信役務提供者として指定し、侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図るための義務を課す等の措置を講じようとするものであり、その主な内容は次のとおりである。
一、 題名を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。
二、 大規模なSNS事業者等を大規模特定電気通信役務提供者として指定する。
三、 侵害情報送信防止措置の実施手続の迅速化として、大規模特定電気通信役務提供者は、SNS等において自己の権利を侵害されたとする者から削除の申出を受け付ける方法を公表し、必要な体制を整備して削除についての調査を行うとともに、一定期間内にその結果等を申出者に通知しなければならないこととする。
四、 送信防止措置の実施状況の透明化として、大規模特定電気通信役務提供者は、削除等の実施に関する基準を定め、公表するとともに、削除等を行ったときは、その旨及びその理由を発信者に通知しなければならないこととする。
五、 この法律は、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。
なお、本法律案については、衆議院において、大規模特定電気通信役務提供者が毎年一回公表しなければならない事項として、送信防止措置の実施状況及び当該実施状況について自ら行った評価を明記する修正が行われた。
・[PDF] 提出法律案
第二一三回
閣第三四号
特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案
特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(平成十三年法律第百三十七号)の一部を次のように改正する。
題名を次のように改める。
特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律次中「第四章 発信者情報開示命令事件に関する裁判手続(第八条-第十九条)」を
「 第四章 発信者情報開示命令事件に関する裁判手続(第八条-第十九条)
第五章 大規模特定電気通信役務提供者の義務(第二十条-第三十四条)
第六章 罰則(第三十五条-第三十八条) 」
に改める。
第一条中「侵害」を「侵害等」に、「を定める」を「を定め、あわせて、侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図るための大規模特定電気通信役務提供者の義務について定める」に改める。
第二条中第九号を第十三号とし、第六号から第八号までを四号ずつ繰り下げ、第五号を第六号とし、同号の次に次の三号を加える。
七 侵害情報等 侵害情報、侵害されたとする権利及び権利が侵害されたとする理由をいう。
八 侵害情報送信防止措置 侵害情報の送信を防止する措置をいう。
九 送信防止措置 侵害情報送信防止措置その他の特定電気通信による情報の送信を防止する措置(当該情報の送信を防止するとともに、当該情報の発信者に対する特定電気通信役務の提供を停止する措置(第二十六条第二項第二号において「役務提供停止措置」という。)を含む。)をいう。
第二条中第四号を第五号とし、同条第三号中「(特定電気通信設備を用いて提供する電気通信役務(電気通信事業法第二条第三号に規定する電気通信役務をいう。第五条第二項において同じ。)をいう。同条第三項において同じ。)」を削り、同号を同条第四号とし、同条第二号の次に次の一号を加える。
三 特定電気通信役務 特定電気通信設備を用いて提供する電気通信役務(電気通信事業法第二条第三号に規定する電気通信役務をいう。第五条第二項において同じ。)をいう。
第二条に次の一号を加える。
十四 大規模特定電気通信役務提供者 第二十条第一項の規定により指定された特定電気通信役務提供者をいう。
第三条第二項第二号中「侵害情報、侵害されたとする権利及び権利が侵害されたとする理由(以下この号において「侵害情報等」という。)」を「侵害情報等」に、「侵害情報の送信を防止する措置(以下この号において「送信防止措置」という。)」を「侵害情報送信防止措置」に、「当該侵害情報の」を「当該申出に係る侵害情報の」に、「当該送信防止措置」を「当該侵害情報送信防止措置」に改める。
第十七条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第二条第九号」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律第二条第十三号」に改める。
本則に次の二章を加える。
第五章 大規模特定電気通信役務提供者の義務
(大規模特定電気通信役務提供者の指定)
第二十条 総務大臣は、次の各号のいずれにも該当する特定電気通信役務であって、その利用に係る特定電気通信による情報の流通について侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図る必要性が特に高いと認められるもの(以下「大規模特定電気通信役務」という。)を提供する特定電気通信役務提供者を、大規模特定電気通信役務提供者として指定することができる。
一 当該特定電気通信役務が次のいずれかに該当すること。
イ 当該特定電気通信役務を利用して一月間に発信者となった者(日本国外にあると推定される者を除く。ロにおいて同じ。)及びこれに準ずる者として総務省令で定める者の数の総務省令で定める期間における平均(以下この条及び第二十四条第二項において「平均月間発信者数」という。)が特定電気通信役務の種類に応じて総務省令で定める数を超えること。
ロ 当該特定電気通信役務を利用して一月間に発信者となった者の延べ数の総務省令で定める期間における平均(以下この条及び第二十四条第二項において「平均月間延べ発信者数」という。)が特定電気通信役務の種類に応じて総務省令で定める数を超えること。
二 当該特定電気通信役務の一般的な性質に照らして侵害情報送信防止措置(侵害情報の不特定の者に対する送信を防止するために必要な限度において行われるものに限る。
以下同じ。)を講ずることが技術的に可能であること。
三 当該特定電気通信役務が、その利用に係る特定電気通信による情報の流通によって権利の侵害が発生するおそれの少ない特定電気通信役務として総務省令で定めるもの以外のものであること。
2総務大臣は、大規模特定電気通信役務提供者について前項の規定による指定の理由がなくなったと認めるときは、遅滞なく、その指定を解除しなければならない。
3総務大臣は、第一項の規定による指定及び前項の規定による指定の解除に必要な限度において、総務省令で定めるところにより、特定電気通信役務提供者に対し、その提供する特定電気通信役務の平均月間発信者数及び平均月間延べ発信者数を報告させることができる。
4総務大臣は、前項の規定による報告の徴収によっては特定電気通信役務提供者の提供する特定電気通信役務の平均月間発信者数又は平均月間延べ発信者数を把握することが困難であると認めるときは、当該平均月間発信者数又は平均月間延べ発信者数を総務省令で定める合理的な方法により推計して、第一項の規定による指定及び第二項の規定による指定の解除を行うことができる。
(大規模特定電気通信役務提供者による届出)
第二十一条 大規模特定電気通信役務提供者は、前条第一項の規定による指定を受けた日から三月以内に、総務省令で定めるところにより、次に掲げる事項を総務大臣に届け出なければならない。
一 氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 外国の法人若しくは団体又は外国に住所を有する個人にあっては、国内における代表者又は国内における代理人の氏名又は名称及び国内の住所
三 前二号に掲げる事項のほか、総務省令で定める事項
2 大規模特定電気通信役務提供者は、前項各号に掲げる事項に変更があったときは、遅滞なく、その旨を総務大臣に届け出なければならない。
(被侵害者からの申出を受け付ける方法の公表)
第二十二条 大規模特定電気通信役務提供者(前条第一項の規定による届出をした者に限る。以下同じ。)は、総務省令で定めるところにより、その提供する大規模特定電気通信役務を利用して行われる特定電気通信による情報の流通によって自己の権利を侵害されたとする者(次条において「被侵害者」という。)が侵害情報等を示して当該大規模特定電気通信役務提供者に対し侵害情報送信防止措置を講ずるよう申出を行うための方法を定め、これを公表しなければならない。
2 前項の方法は、次の各号のいずれにも適合するものでなければならない。
一 電子情報処理組織を使用する方法による申出を行うことができるものであること。
二 申出を行おうとする者に過重な負担を課するものでないこと。
三 当該大規模特定電気通信役務提供者が申出を受けた日時が当該申出を行った者(第二十五条において「申出者」という。)に明らかとなるものであること。
(侵害情報に係る調査の実施)
第二十三条 大規模特定電気通信役務提供者は、被侵害者から前条第一項の方法に従って侵害情報送信防止措置を講ずるよう申出があったときは、当該申出に係る侵害情報の流通によって当該被侵害者の権利が不当に侵害されているかどうかについて、遅滞なく必要な調査を行わなければならない。
(侵害情報調査専門員)
第二十四条 大規模特定電気通信役務提供者は、前条の調査のうち専門的な知識経験を必要とするものを適正に行わせるため、特定電気通信による情報の流通によって発生する権利侵害への対処に関して十分な知識経験を有する者のうちから、侵害情報調査専門員(以下この条及び次条第二項第二号において「専門員」という。)を選任しなければならない。
2大規模特定電気通信役務提供者の専門員の数は、当該大規模特定電気通信役務提供者の提供する大規模特定電気通信役務の平均月間発信者数又は平均月間延べ発信者数及び種別に応じて総務省令で定める数(当該大規模特定電気通信役務提供者が複数の大規模特定電気通信役務を提供している場合にあっては、それぞれの大規模特定電気通信役務の平均月間発信者数又は平均月間延べ発信者数及び種別に応じて総務省令で定める数を合算した数)以上でなければならない。
3大規模特定電気通信役務提供者は、専門員を選任したときは、総務省令で定めるところにより、遅滞なく、その旨及び総務省令で定める事項を総務大臣に届け出なければならない。これらを変更したときも、同様とする。
(申出者に対する通知)
第二十五条 大規模特定電気通信役務提供者は、第二十三条の申出があったときは、同条の調査の結果に基づき侵害情報送信防止措置を講ずるかどうかを判断し、当該申出を受けた日から十四日以内の総務省令で定める期間内に、次の各号に掲げる区分に応じ、当該各号に定める事項を申出者に通知しなければならない。ただし、申出者から過去に同一の内容の申出が行われていたときその他の通知しないことについて正当な理由があるときは、この限りでない。
一 当該申出に応じて侵害情報送信防止措置を講じたとき その旨
二 当該申出に応じた侵害情報送信防止措置を講じなかったとき その旨及びその理由
2 前項本文の規定にかかわらず、大規模特定電気通信役務提供者は、次の各号のいずれかに該当するときは、第二十三条の調査の結果に基づき侵害情報送信防止措置を講ずるかどうかを判断した後、遅滞なく、同項各号に掲げる区分に応じ、当該各号に定める事項を申出者に通知すれば足りる。この場合においては、同項の総務省令で定める期間内に、次の各号のいずれに該当するか(第三号に該当する場合にあっては、その旨及びやむを得ない理由の内容)を申出者に通知しなければならない。
一 第二十三条の調査のため侵害情報の発信者の意見を聴くこととしたとき。
二 第二十三条の調査を専門員に行わせることとしたとき。
三 前二号に掲げる場合のほか、やむを得ない理由があるとき。
(送信防止措置の実施に関する基準等の公表)
第二十六条 大規模特定電気通信役務提供者は、その提供する大規模特定電気通信役務を利用して行われる特定電気通信による情報の流通については、次の各号のいずれかに該当する場合のほか、自ら定め、公表している基準に従う場合に限り、送信防止措置を講ずることができる。この場合において、当該基準は、当該送信防止措置を講ずる日の総務省令で定める一定の期間前までに公表されていなければならない。
一 当該大規模特定電気通信役務提供者が送信防止措置を講じようとする情報の発信者であるとき。
二 他人の権利を不当に侵害する情報の送信を防止する義務がある場合その他送信防止措置を講ずる法令上の義務(努力義務を除く。)がある場合において、当該義務に基づき送信防止措置を講ずるとき。
三 緊急の必要により送信防止措置を講ずる場合であって、当該送信防止措置を講ずる情報の種類が、通常予測することができないものであるため、当該基準における送信防止措置の対象として明示されていないとき。
2大規模特定電気通信役務提供者は、前項の基準を定めるに当たっては、当該基準の内容が次の各号のいずれにも適合したものとなるよう努めなければならない。
一 送信防止措置の対象となる情報の種類が、当該大規模特定電気通信役務提供者が当該情報の流通を知ることとなった原因の別に応じて、できる限り具体的に定められていること。
二 役務提供停止措置を講ずることがある場合においては、役務提供停止措置の実施に関する基準ができる限り具体的に定められていること。
三 発信者その他の関係者が容易に理解することのできる表現を用いて記載されていること。
四 送信防止措置の実施に関する努力義務を定める法令との整合性に配慮されていること。
3大規模特定電気通信役務提供者は、第一項第三号に該当することを理由に送信防止措置を講じたときは、速やかに、当該送信防止措置を講じた情報の種類が送信防止措置の対象となることが明らかになるよう同項の基準を変更しなければならない。
4第一項の基準を公表している大規模特定電気通信役務提供者は、おおむね一年に一回、当該基準に従って送信防止措置を講じた情報の事例のうち発信者その他の関係者に参考となるべきものを情報の種類ごとに整理した資料を作成し、公表するよう努めなければならない。
(発信者に対する通知等の措置)
第二十七条 大規模特定電気通信役務提供者は、その提供する大規模特定電気通信役務を利用して行われる特定電気通信による情報の流通について送信防止措置を講じたときは、次の各号のいずれかに該当する場合を除き、遅滞なく、その旨及びその理由を当該送信防止措置により送信を防止された情報の発信者に通知し、又は当該情報の発信者が容易に知り得る状態に置く措置(第二号及び次条第三号において「通知等の措置」という。)を講じなければならない。この場合において、当該送信防止措置が前条第一項の基準に従って講じられたものであるときは、当該理由において、当該送信防止措置と当該基準との関係を明らかにしなければならない。
一 当該大規模特定電気通信役務提供者が送信防止措置を講じた情報の発信者であるとき。
二 過去に同一の発信者に対して同様の情報の送信を同様の理由により防止したことについて通知等の措置を講じていたときその他の通知等の措置を講じないことについて正当な理由があるとき。
(措置の実施状況等の公表)
第二十八条 大規模特定電気通信役務提供者は、毎年一回、総務省令で定めるところにより、次に掲げる事項を公表しなければならない。
一 第二十三条の申出の受付の状況
二 第二十五条の規定による通知の実施状況
三 三 前条の規定による通知等の措置の実施状況
四 前三号に掲げる事項のほか、大規模特定電気通信役務提供者がこの章の規定に基づき講ずべき措置の実施状況を明らかにするために必要な事項として総務省令で定める事項
(報告の徴収)
第二十九条 総務大臣は、第二十二条、第二十四条、第二十五条、第二十六条第一項若しくは第三項、第二十七条又は前条の規定の施行に必要な限度において、大規模特定電気通信役務提供者に対し、その業務に関し報告をさせることができる。
(勧告及び命令)
第三十条 総務大臣は、大規模特定電気通信役務提供者が第二十二条、第二十四条、第二十五条、第二十六条第一項若しくは第三項、第二十七条又は第二十八条の規定に違反していると認めるときは、当該大規模特定電気通信役務提供者に対し、その違反を是正するために必要な措置を講ずべきことを勧告することができる。
2 総務大臣は、前項の規定による勧告を受けた大規模特定電気通信役務提供者が、正当な理由がなく当該勧告に係る措置を講じなかったときは、当該大規模特定電気通信役務提供者に対し、当該勧告に係る措置を講ずべきことを命ずることができる。
(送達すべき書類)
第三十一条 第二十条第一項の規定による指定、第二十九条の規定による報告の徴収、前条第一項の規定による勧告又は同条第二項の規定による命令は、総務省令で定める書類を送達して行う。
2 第二十条第一項の規定による指定又は前条第二項の規定による命令に係る行政手続法
(平成五年法律第八十八号)第三十条の規定による通知は、同条の書類を送達して行う。
この場合において、同法第三十一条において読み替えて準用する同法第十五条第三項の規定は適用しない。
(送達に関する民事訴訟法の準用)
第三十二条 前条の規定による送達については、民事訴訟法第九十九条、第百一条、第百三条、第百五条、第百六条、第百八条及び第百九条の規定を準用する。この場合において、同法第九十九条第一項中「執行官」とあるのは「総務大臣の職員」と、同法第百八条中「裁判長」とあり、及び同法第百九条中「裁判所」とあるのは「総務大臣」と読み替えるものとする。
(公示送達)
第三十三条 総務大臣は、次に掲げる場合には、公示送達をすることができる。
一 送達を受けるべき者の住所、居所その他送達をすべき場所が知れない場合
二 外国においてすべき送達について、前条において読み替えて準用する民事訴訟法第百八条の規定によることができず、又はこれによっても送達をすることができないと認めるべき場合
三 前条において読み替えて準用する民事訴訟法第百八条の規定により外国の管轄官庁に嘱託を発した後六月を経過してもその送達を証する書面の送付がない場合
2公示送達は、送達をすべき書類を送達を受けるべき者にいつでも交付すべき旨を総務省令で定める方法により不特定多数の者が閲覧することができる状態に置くとともに、その旨が記載された書面を総務省の掲示場に掲示し、又はその旨を総務省の事務所に設置した電子計算機の映像面に表示したものの閲覧をすることができる状態に置く措置をとることにより行う。
3公示送達は、前項の規定による措置を開始した日から二週間を経過することによって、その効力を生ずる。
4外国においてすべき送達についてした公示送達にあっては、前項の期間は、六週間とする。
(電子情報処理組織の使用)
第三十四条 総務大臣の職員が、情報通信技術を活用した行政の推進等に関する法律(平成十四年法律第百五十一号)第三条第九号に規定する処分通知等であって第三十一条の規定により書類を送達して行うこととしているものに関する事務を、同法第七条第一項の規定により同法第六条第一項に規定する電子情報処理組織を使用して行ったときは、第三十二条において読み替えて準用する民事訴訟法第百九条の規定による送達に関する事項を記載した書面の作成及び提出に代えて、当該事項を当該電子情報処理組織を使用して総務大臣の使用に係る電子計算機(入出力装置を含む。)に備えられたファイルに記録しなければならない。
第六章 罰則
第三十五条 第三十条第二項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の拘禁刑又は百万円以下の罰金に処する。
第三十六条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、五十万円以下の罰金に処する。
一 第二十一条の規定による届出をせず、又は虚偽の届出をしたとき。
二 第二十九条の規定による報告をせず、又は虚偽の報告をしたとき。
第三十七条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関し、次の各号に掲げる規定の違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。
一 第三十五条又は前条第一号 一億円以下の罰金刑
二 前条第二号 同条の罰金刑
第三十八条 次の各号のいずれかに該当する者は、三十万円以下の過料に処する。
一 正当な理由がなく、第二十条第三項の規定による報告をせず、又は虚偽の報告をした者二 第二十四条第三項の規定による届出をせず、又は虚偽の届出をした者
附 則
(施行期日)
第一条 この法律は、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。
(検討)
第二条 政府は、この法律の施行後五年を経過した場合において、この法律による改正後の規定の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。
(経過措置)
第三条 この法律の施行の日からデジタル社会の形成を図るための規制改革を推進するためのデジタル社会形成基本法等の一部を改正する法律(令和五年法律第六十三号)附則第一条第二号に掲げる規定の施行の日(以下この条において「デジタル社会形成基本法施行日」という。)の前日までの間におけるこの法律による改正後の特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律(次条において「新法」という。)第三十三条の規定の適用については、同条第二項中「旨を総務省令で定める方法により不特定多数の者が閲覧することができる状態に置くとともに、その旨が記載された書面を」とあるのは「旨を」と、「掲示し、又はその旨を総務省の事務所に設置した電子計算機の映像面に表示したものの閲覧をすることができる状態に置く措置をとる」とあるのは「掲示する」と、同条第三項中「措置を開始した」とあるのは「掲示を始めた」とする。デジタル社会形成基本法施行日以後におけるデジタル社会形成基本法施行日前にした公示送達に対する同条の規定の適用についても、同様とする。
(調整規定)
第四条 この法律の施行の日が刑法等の一部を改正する法律(令和四年法律第六十七号)の施行の日(以下この条において「刑法施行日」という。)前である場合には、この法律の施行の日から刑法施行日の前日までの間における新法第三十五条の規定の適用については、同条中「拘禁刑」とあるのは、「懲役」とする。刑法施行日以後における刑法施行日前にした行為に対する同条の規定の適用についても、同様とする。
(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律の一部改正)
第五条 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和三十五年法律第百四十五号)の一部を次のように改正する。
第七十二条の五第二項中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に、「第二条第三号」を「第二条第四号」に改める。
第七十二条の六中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第二条第四号」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律第二条第五号」に改める。
(いじめ防止対策推進法の一部改正)
第六条 いじめ防止対策推進法(平成二十五年法律第七十一号)の一部を次のように改正する。
第十九条第三項中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に、「第二条第六号」を「第二条第十号」に改める。
(私事性的画像記録の提供等による被害の防止に関する法律の一部改正)
第七条 私事性的画像記録の提供等による被害の防止に関する法律(平成二十六年法律第百二十六号)の一部を次のように改正する。
第一条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。
第四条の見出しを「(特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の特例)」に改め、同条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に、「第二条第三号」を「第二条第四号」に、「第二条第四号」を「第二条第五号」に改める。
(民事訴訟法等の一部を改正する法律の一部改正)
第八条 民事訴訟法等の一部を改正する法律(令和四年法律第四十八号)の一部を次のように改正する。
附則第九十一条の前の見出しを削り、同条を次のように改める。
第九十一条 削除
附則第九十二条に見出しとして「(特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正)」を付し、同条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律(平成十三年法律第百三十七号)」に改め、特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十七条の改正規定の次に次のように加える。
第三十二条中「第九十九条、第百一条」を「第百条第一項、第百一条、第百二条の二」に、「、第百八条及び第百九条」を「及び第百八条」に改め、同条後段を次のように改める。
この場合において、同項中「裁判所」とあり、及び同条中「裁判長」とあるのは「総務大臣」と、同法第百一条第一項中「執行官」とあるのは「総務大臣の職員」と読み替えるものとする。
第三十四条中「第百九条」を「第百条第一項」に改める。
(性をめぐる個人の尊厳が重んぜられる社会の形成に資するために性行為映像制作物への出演に係る被害の防止を図り及び出演者の救済に資するための出演契約等に関する特則等に関する法律の一部改正)
第九条 性をめぐる個人の尊厳が重んぜられる社会の形成に資するために性行為映像制作物への出演に係る被害の防止を図り及び出演者の救済に資するための出演契約等に関する特則等に関する法律(令和四年法律第七十八号)の一部を次のように改正する。
目次、第一条及び第三章の章名中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。
第十六条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に、「第二条第三号」を「第二条第四号」に、「第二条第四号」を「第二条第五号」に改める。
(民事関係手続等における情報通信技術の活用等の推進を図るための関係法律の整備に関する法律の一部改正)
第十条 民事関係手続等における情報通信技術の活用等の推進を図るための関係法律の整備に関する法律(令和五年法律第五十三号)の一部を次のように改正する。
目次中
「 第十八章 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部改正等
第一節 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部改正(第百九十九条)
第二節 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部改正に伴う経過措置(第二百条・第二百一条) 」を
「 第十八章 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正等 第一節 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正(第百九十九条)
第二節 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正に伴う経過措置(第二百条・第二百一条)
第三節 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正に伴う関係法律の整備(第二百一条の二) 」に改める。
第十八章の章名及び同章第一節の節名中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。
第百九十九条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律(」に改め、同条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律目次の改正規定中「」に」の下に「、「第二十条-第三十四条」を「第二十一条-第三十五条」に、「第三十五条-第三十八条」を
「第三十六条-第三十九条」に」を加え、同改正規定の次に次のように加える。
第二条第九号中「第二十六条第二項第二号」を「第二十七条第二項第二号」に改め、同条第十四号中「第二十条第一項」を「第二十一条第一項」に改める。
第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十二条を改め、同条の次に二条を加える改正規定の次に次のように加える。
第三十八条第一号中「第二十条第三項」を「第二十一条第三項」に改め、同条第二
号中「第二十四条第三項」を「第二十五条第三項」に改め、同条を第三十九条とする。
第三十七条第一号中「第三十五条」を「第三十六条」に改め、同条を第三十八条とする。
第三十六条第一号中「第二十一条」を「第二十二条」に改め、同条第二号中「第二十九条」を「第三十条」に改め、同条を第三十七条とする。
第三十五条中「第三十条第二項」を「第三十一条第二項」に改め、同条を第三十六条とする。
第三十四条中「第三十一条」を「第三十二条」に、「第三十二条」を「第三十三条」に改め、第五章中同条を第三十五条とし、第三十三条を第三十四条とし、第三十二条を第三十三条とする。
第三十一条第一項中「第二十条第一項」を「第二十一条第一項」に、「第二十九条」を「第三十条」に改め、同条第二項中「第二十条第一項」を「第二十一条第一項」に改め、同条を第三十二条とする。
第三十条第一項中「第二十二条、第二十四条、第二十五条、第二十六条第一項若しくは第三項、第二十七条又は第二十八条」を「第二十三条、第二十五条、第二十六条、第二十七条第一項若しくは第三項、第二十八条又は第二十九条」に改め、同条を第三十一条とする。
第二十九条中「第二十二条、第二十四条、第二十五条、第二十六条第一項若しくは第三項、第二十七条」を「第二十三条、第二十五条、第二十六条、第二十七条第一項若しくは第三項、第二十八条」に改め、同条を第三十条とする。
第二十八条第一号中「第二十三条」を「第二十四条」に改め、同条第二号中「第二十五条」を「第二十六条」に改め、同条を第二十九条とし、第二十七条を第二十八条とし、第二十六条を第二十七条とする。
第二十五条中「第二十三条」を「第二十四条」に改め、同条を第二十六条とし、第二十四条を第二十五条とし、第二十三条を第二十四条とする。
第二十二条第二項第三号中「第二十五条」を「第二十六条」に改め、同条を第二十三条とし、第二十一条を第二十二条とする。
第二十条第一項第一号中「第二十四条第二項」を「第二十五条第二項」に改め、同条を第二十一条とし、第四章中第十九条を第二十条とする。
第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十九条を同法第二十条とする改正規定を削る。
第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十八条を改め、同条に一項を加える改正規定中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。
第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十七条の改正規定中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第二条第九号」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律第二条第十三号」に改める。
第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十七条を同法第十八条とし、同法第十六条の次に一条を加える改正規定中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。
第十八章第二節の節名、第二百条及び第二百一条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。
第十八章に次の一節を加える。
第三節 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正に伴う関係法律の整備
第二百一条の二 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律(令和六年法律第▼▼▼号)の一部を次のように改正する。
附則第四条中「新法第三十五条」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律第三十六条」に改める。
理 由
近年、インターネット上のSNS等の特定電気通信役務を利用して行われる他人の権利を侵害する情報の流通による被害が深刻化する一方、情報発信のための公共的な基盤としての特定電気通信役務の機能が重要性を増していることに鑑み、大規模なSNS事業者等を大規模特定電気通信役務提供者として指定し、侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図るための義務を課す等の措置を講ずる必要がある。これが、この法律案を提出する理由である。
まだ、衆議院で審議中になっていますが...
| 提出回次 | 番号 | 議案件名 | 審議状況 | 経過情報 | 本文情報 |
| 213 | 34 | 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案 |
参議院で審議中 | 経過 |
本文及び修正案 |
特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案に対する修正案
特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案の一部を次のように修正する。
本則に二章を加える改正規定のうち第二十八条第四号中「前三号」を「前各号」に改め、同号を同条第六号とし、同条第三号の次に次の二号を加える。
四 送信防止措置の実施状況(前三号に掲げる事項を除く。)
五 前各号に掲げる事項について自ら行った評価
総務省内閣官房が法案を提出した時...
| 国会提出日 | 法律案名 | 資料 |
| 令和6年3月1日 | 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案 | 概要【325 KB】 要綱【97 KB】 法律案・理由【160 KB】 新旧対照条文【254 KB】 参照条文【310 KB】 (所管課室名) 総合通信基盤局電気通信事業部利用環境課 |
こんにちは、丸山満彦です。
2024.05.10に参議院で、「重要経済安保情報の保護及び活用に関する法律案」、が可決しましたね...
いわゆるセキュリティクリアランス制度の導入ってやつですね...
海外でセキュリティクリアランスを持っている人と一緒に仕事をしたことがあるのですが、制度が違うのでしょうが、なんかいろいろと面倒な感じでしたね...(海外出張とか...)
また、あわせて、「重要経済安保情報の保護及び活用に関する法律案」も可決されています。これは、基幹インフラに一般港湾運送事業社を加えるというものですね...
同時に、特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案も、可決されされています...
参議院での5月10日の投票結果...(といっても「起立採決により可決されました」としか書いていませんが...)
法律案の内容はこちらから...
| 提出回次 | 提出番号 | 件名 | ||
| 213 | 24 | 重要経済安保情報の保護及び活用に関する法律案 | 議案要旨 | 提出法律案 |
| 213 | 25 | 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律の一部を改正する法律案 | 議案要旨 | 提出法律案 |
重要経済安保情報の保護及び活用に関する法律案
● [PDF] 議案要旨
(内閣委員会)
重要経済安保情報の保護及び活用に関する法律案(閣法第二四号)(衆議院送付)要旨本法律案の主な内容は次のとおりである。
一、 行政機関の長は、当該行政機関の所掌事務に係る重要経済基盤保護情報であって、公になっていないもののうち、その漏えいが我が国の安全保障に支障を与えるおそれがあるため、特に秘匿することが必要であるもの(特別防衛秘密及び特定秘密に該当するものを除く。)を重要経済安保情報として指定するものとする。
二、 重要経済安保情報を保有する行政機関の長は、我が国の安全保障の確保に資する活動を行う事業者であって重要経済安保情報の保護のために必要な施設設備を設置していること等の基準に適合するもの(以下「適合事業者」という。)に当該重要経済安保情報を利用させる必要があると認めたときは、当該適合事業者との契約に基づき、当該重要経済安保情報を提供することができる。
三、 重要経済安保情報の取扱いの業務は、原則として、適性評価において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者でなければ行ってはならない。
四、 適性評価は、行政機関の長が、当該行政機関の職員等について、当該者の同意を得て、適性評価調査の結果に基づき実施することとし、適性評価調査は、原則として、適性評価を実施する行政機関の長の求めにより内閣総理大臣が一元的に行うものとする。
五、 政府は、重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準を定めるものとする。
六、 重要経済安保情報の取扱いの業務により知り得た重要経済安保情報を漏らした者等に対する所要の罰則を設ける。
七、 この法律は、一部の規定を除き、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。
なお、本法律案は、衆議院において、重要経済安保情報の指定等の状況についての国会への報告等の規定を設けること、重要経済安保情報の提供を受ける国会におけるその保護に関する方策について、国会において、検討を加え、その結果に基づいて必要な措置を講ずるものとすること等を内容とする修正が行われた。
● [PDF] 提出法律案
第二一三回閣第二四号
重要経済安保情報の保護及び活用に関する法律案
目次
第一章 総則(第一条・第二条)
第二章 重要経済安保情報の指定等(第三条-第五条)
第三章 他の行政機関等に対する重要経済安保情報の提供(第六条-第九条)
第四章 適合事業者に対する重要経済安保情報の提供等(第十条)
第五章 重要経済安保情報の取扱者の制限(第十一条)
第六章 適性評価(第十二条-第十七条)
第七章 雑則(第十八条-第二十一条)
第八章 罰則(第二十二条-第二十七条)
附則
第一章 総則
(目的)
第一条 この法律は、国際情勢の複雑化、社会経済構造の変化等に伴い、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防止する重要性が増大している中で、重要経済基盤に関する情報であって我が国の安全保障(外部からの侵略等の脅威に対して国家及び国民の安全を保障することをいう。以下同じ。)を確保するために特に秘匿することが必要であるものについて、これを適確に保護する体制を確立した上で収集し、整理し、及び活用することが重要であることに鑑み、当該情報の保護及び活用に関し、重要経済安保情報の指定、我が国の安全保障の確保に資する活動を行う事業者への重要経済安保情報の提供、重要経済安保情報の取扱者の制限その他の必要な事項を定めることにより、その漏えいの防止を図り、もって我が国及び国民の安全の確保に資することを目的とする。
(定義)
第二条 この法律において「行政機関」とは、次に掲げる機関をいう。
一 法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の所轄の下に置かれる機関
二 内閣府、宮内庁並びに内閣府設置法(平成十一年法律第八十九号)第四十九条第一項及び第二項に規定する機関(これらの機関のうち、国家公安委員会にあっては警察庁を、第四号の政令で定める機関が置かれる機関にあっては当該政令で定める機関を除く。)
三 国家行政組織法(昭和二十三年法律第百二十号)第三条第二項に規定する機関(第五号の政令で定める機関が置かれる機関にあっては、当該政令で定める機関を除く。)
四 内閣府設置法第三十九条及び第五十五条並びに宮内庁法(昭和二十二年法律第七十号)第十六条第二項の機関並びに内閣府設置法第四十条及び第五十六条(宮内庁法第十八条第一項において準用する場合を含む。)の特別の機関で、警察庁その他政令で定めるもの
五 国家行政組織法第八条の二の施設等機関及び同法第八条の三の特別の機関で、政令で定めるもの
六 会計検査院
2 この法律において「行政機関の長」とは、次の各号に掲げる行政機関の区分に応じ、当該各号に定める者をいう。
一 次号及び第三号に掲げる機関以外の機関 当該機関の長
二 前項第四号及び第五号の政令で定める機関(次号に掲げるものを除く。) 当該機関ごとに政令で定める者
三 合議制の機関 当該機関
3 この法律において「重要経済基盤」とは、我が国の国民生活又は経済活動の基盤となる公共的な役務であってその安定的な提供に支障が生じた場合に我が国及び国民の安全を損なう事態を生ずるおそれがあるものの提供体制並びに国民の生存に必要不可欠な又は広く我が国の国民生活若しくは経済活動が依拠し、若しくは依拠することが見込まれる重要な物資(プログラムを含む。)の供給網をいう。
4 この法律において「重要経済基盤保護情報」とは、重要経済基盤に関する情報であって次に掲げる事項に関するものをいう。
一 外部から行われる行為から重要経済基盤を保護するための措置又はこれに関する計画若しくは研究
二 重要経済基盤の脆(ぜい)弱性、重要経済基盤に関する革新的な技術その他の重要経済基盤に関する重要な情報であって安全保障に関するもの
三 第一号の措置に関し収集した外国(本邦の域外にある国又は地域をいう。以下同じ。)の政府又は国際機関からの情報
四 前二号に掲げる情報の収集整理又はその能力
第二章 重要経済安保情報の指定等
(重要経済安保情報の指定)
第三条 行政機関の長は、当該行政機関の所掌事務に係る重要経済基盤保護情報であって、公になっていないもののうち、その漏えいが我が国の安全保障に支障を与えるおそれがあるため、特に秘匿することが必要であるもの(特別防衛秘密(日米相互防衛援助協定等に伴う秘密保護法(昭和二十九年法律第百六十六号)第一条第三項に規定する特別防衛秘密をいう。)及び特定秘密(特定秘密の保護に関する法律(平成二十五年法律第百八号。以下「特定秘密保護法」という。)第三条第一項に規定する特定秘密をいう。以下同じ。)に該当するものを除く。)を重要経済安保情報として指定するものとする。
2 行政機関の長は、前項の規定による指定(以下「指定」という。)をしたときは、政令で定めるところにより指定に関する記録を作成するとともに、当該指定に係る重要経済安保情報の範囲を明らかにするため、重要経済安保情報である情報について、次の各号のいずれかに掲げる措置を講ずるものとする。
一 政令で定めるところにより、重要経済安保情報である情報を記録する文書、図画、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録をいう。以下この号において同じ。)若しく物件又は当該情報を化体する物件に重要経済安保情報の表示(電磁的記録にあっては、当該表示の記録を含む。)をすること。
二 重要経済安保情報である情報の性質上前号に掲げる措置を講ずることが困難である場合においては、政令で定めるところにより、当該情報について指定が行われた旨を当該情報を取り扱う者に通知すること。
3 行政機関の長は、重要経済安保情報である情報について前項第二号に掲げる措置を講じた場合において、当該情報について同項第一号に掲げる措置を講ずることができることとなったときは、直ちに当該措置を講ずるものとする。
(指定の有効期間及び解除)
第四条 行政機関の長は、指定をするときは、当該指定の日から起算して五年を超えない範囲内においてその有効期間を定めるものとする。
2 行政機関の長は、指定の有効期間(この項の規定により延長した有効期間を含む。)が満了する時において、当該指定をした情報が前条第一項に規定する要件を満たすときは、政令で定めるところにより、五年を超えない範囲内においてその有効期間を延長するものとする。
3 指定の有効期間は、通じて三十年を超えることができない。
4 前項の規定にかかわらず、行政機関の長は、政府の有するその諸活動を国民に説明する責務を全うする観点に立っても、なお指定に係る情報を公にしないことが現に我が国及び国民の安全を確保するためにやむを得ないものであることについて、その理由を示して、内閣の承認を得た場合(行政機関が会計検査院であるときを除く。)は、当該指定の有効期間を、通じて三十年を超えて延長することができる。ただし、次に掲げる情報を除き、指定の有効期間は、通じて六十年を超えることができない。
一 現に行われている外国の政府又は国際機関との交渉に不利益を及ぼすおそれのある情報
二 情報収集活動の手法又は能力に関する情報
三 人的情報源に関する情報
四 外国の政府又は国際機関から六十年を超えて指定を行うことを条件に提供された情報
五 前各号に掲げる情報に準ずるもので政令で定める重要な情報
5 行政機関の長は、前項の内閣の承認を得ようとする場合においては、当該指定に係る重要経済安保情報の保護に関し必要なものとして政令で定める措置を講じた上で、内閣に当該重要経済安保情報を提示することができる。
6 行政機関の長は、第四項の内閣の承認が得られなかったときは、公文書等の管理に関する法律(平成二十一年法律第六十六号)第八条第一項の規定にかかわらず、当該指定に係る情報が記録された行政文書ファイル等(同法第五条第五項に規定する行政文書ファイル等をいう。)の保存期間の満了とともに、これを国立公文書館等(同法第二条第三項に規定する国立公文書館等をいう。)に移管しなければならない。
7 行政機関の長は、指定をした情報が前条第一項に規定する要件を欠くに至ったときは、有効期間内であっても、政令で定めるところにより、速やかにその指定を解除するものとする。
(重要経済安保情報の保護措置)
第五条 行政機関の長は、指定をしたときは、第三条第二項に規定する措置のほか、第十一条第一項又は第二項の規定により重要経済安保情報の取扱いの業務を行うことができることとされる者のうちから、当該行政機関において当該指定に係る重要経済安保情報の取扱いの業務を行わせる職員の範囲を定めることその他の当該重要経済安保情報の保護に関し必要なものとして政令で定める措置を講ずるものとする。
2 警察庁長官は、都道府県警察が保有する情報について指定をしたときは、当該都道府県警察に対し当該指定をした旨を通知するものとする。
3 前項の場合において、警察庁長官は、都道府県警察が保有する重要経済安保情報の取扱いの業務を行わせる職員の範囲その他の当該都道府県警察による当該重要経済安保情報の保護に関し必要なものとして政令で定める事項について、当該都道府県警察に指示するものとする。この場合において、当該都道府県警察の警視総監又は道府県警察本部長(以下「警察本部長」という。)は、当該指示に従い、当該重要経済安保情報の取扱いの業務を行わせる職員の範囲を定めることその他の当該重要経済安保情報の適切な保護のために必要な措置を講じ、及びその職員に当該重要経済安保情報の取扱いの業務を行わせるものとする。
第三章 他の行政機関等に対する重要経済安保情報の提供
(他の行政機関に対する重要経済安保情報の提供)
第六条 重要経済安保情報を保有する行政機関の長は、他の行政機関が我が国の安全保障に関する事務を遂行するために当該重要経済安保情報を利用する必要があると認めたときは、当該他の行政機関に当該重要経済安保情報を提供することができる。ただし、当該重要経済安保情報を保有する行政機関以外の行政機関の長が当該重要経済安保情報について指定をしているとき(当該重要経済安保情報が、この項の規定により当該保有する行政機関の長から提供されたものである場合を除く。)は、当該指定をしている行政機関の長の同意を得なければならない。
2 前項の規定により他の行政機関に重要経済安保情報を提供する行政機関の長は、当該重要経済安保情報の取扱いの業務を行わせる職員の範囲その他の当該他の行政機関による当該重要経済安保情報の保護に関し必要なものとして政令で定める事項について、あらかじめ、当該他の行政機関の長と協議するものとする。
3 第一項の規定により重要経済安保情報の提供を受ける他の行政機関の長は、前項の規定による協議に従い、当該重要経済安保情報の取扱いの業務を行わせる職員の範囲を定めることその他の当該重要経済安保情報の適切な保護のために必要な措置を講じ、及びその職員に当該重要経済安保情報の取扱いの業務を行わせるものとする。
(都道府県警察に対する重要経済安保情報の提供等)
第七条 警察庁長官は、警察庁が保有する重要経済安保情報について、その所掌事務のうち我が国の安全保障に関するものを遂行するために都道府県警察にこれを利用させる必要があると認めたときは、当該都道府県警察に当該重要経済安保情報を提供することができる。
2 第五条第三項の規定は、前項の規定により都道府県警察に重要経済安保情報を提供する場合について準用する。
3 警察庁長官は、警察本部長に対し、当該都道府県警察が保有する重要経済安保情報で第五条第二項の規定による通知に係るものの提供を求めることができる。
(外国の政府等に対する重要経済安保情報の提供)
第八条 重要経済安保情報を保有する行政機関の長は、その所掌事務のうち我が国の安全保障に関するものを遂行するために必要があると認めたときは、外国の政府又は国際機関であって、この法律の規定により行政機関が当該重要経済安保情報を保護するために講ずることとされる措置に相当する措置を講じているものに当該重要経済安保情報を提供することができる。ただし、当該重要経済安保情報を保有する行政機関以外の行政機関の長が当該重要経済安保情報について指定をしているとき(当該重要経済安保情報が、第六条第一項の規定により当該保有する行政機関の長から提供されたものである場合を除く。)は、当該指定をしている行政機関の長の同意を得なければならない。
(その他公益上の必要による重要経済安保情報の提供)
第九条 第四条第五項、前三条、次条第一項及び第十八条第三項に規定するもののほか、行政機関の長は、次に掲げる場合に限り、重要経済安保情報を提供するものとする。
一 重要経済安保情報の提供を受ける者が次に掲げる業務又は公益上特に必要があると認められるこれらに準ずる業務において当該重要経済安保情報を利用する場合(次号から第四号までに掲げる場合を除く。)であって、当該重要経済安保情報を利用し、又は知る者の範囲を制限すること、当該業務以外に当該重要経済安保情報が利用されないようにすることその他の当該重要経済安保情報を利用し、又は知る者がこれを保護するために必要なものとして、イに掲げる業務にあっては国会において定める措置、イに掲げる業務以外の業務にあっては政令で定める措置を講じ、かつ、我が国の安全保障に著しい支障を及ぼすおそれがないと認めたとき。
イ 各議院又は各議院の委員会若しくは参議院の調査会が国会法(昭和二十二年法律第七十九号)第百四条第一項(同法第五十四条の四第一項において準用する場合を含む。)又は議院における証人の宣誓及び証言等に関する法律(昭和二十二年法律第二百二十五号)第一条の規定により行う審査又は調査であって、国会法第五十二条第二項(同法第五十四条の四第一項において準用する場合を含む。)又は第六十二条の規定により公開しないこととされたもの
ロ 刑事訴訟法(昭和二十三年法律第百三十一号)第三百十六条の二十七第一項(同条第三項及び同法第三百十六条の二十八第二項において準用する場合を含む。)の規定により裁判所に提示する場合のほか、刑事事件の捜査又は公訴の維持に必要な業務であって、当該業務に従事する者以外の者に当該重要経済安保情報を提供することがないと認められるもの
二 民事訴訟法(平成八年法律第百九号)第二百二十三条第六項(同法第二百三十一条の三第一項において準用する場合を含む。)の規定により裁判所に提示する場合
三 情報公開・個人情報保護審査会設置法(平成十五年法律第六十号)第九条第一項の規定により情報公開・個人情報保護審査会に提示する場合
四 会計検査院法(昭和二十二年法律第七十三号)第十九条の四において読み替えて準用する情報公開・個人情報保護審査会設置法第九条第一項の規定により会計検査院情報公開・個人情報保護審査会に提示する場合
2 警察本部長は、第七条第三項の規定による求めに応じて警察庁に提供する場合のほか、前項第一号に掲げる場合(当該警察本部長が提供しようとする重要経済安保情報が同号ロに掲げる業務において利用するものとして提供を受けたものである場合以外の場合にあっては、同号に規定する我が国の安全保障に著しい支障を及ぼすおそれがないと認めることについて、警察庁長官の同意を得た場合に限る。)、同項第二号に掲げる場合又は都道府県の保有する情報の公開を請求する住民等の権利について定める当該都道府県の条例(当該条例の規定による諮問に応じて審議を行う都道府県の機関の設置について定める都道府県の条例を含む。)の規定で情報公開・個人情報保護審査会設置法第九条第一項の規定に相当するものにより当該機関に提示する場合に限り、重要経済安保情報を提供することができる。
第四章 適合事業者に対する重要経済安保情報の提供等
第十条 重要経済安保情報を保有する行政機関の長は、重要経済基盤の脆弱性の解消、重要経済基盤の脆弱性及び重要経済基盤に関する革新的な技術に関する調査及び研究の促進、重要経済基盤保護情報を保護するための措置の強化その他の我が国の安全保障の確保に資する活動の促進を図るために、当該脆弱性の解消を図る必要がある事業者又は当該脆弱性の解消に資する活動を行う事業者、当該調査若しくは研究を行う事業者又は当該調査若しくは研究に資する活動を行う事業者、重要経済基盤保護情報を保有する事業者又は重要経済基盤保護情報の保護に資する活動を行う事業者その他の我が国の安全保障の確保に資する活動を行う事業者であって重要経済安保情報の保護のために必要な施設設備を設置していることその他政令で定める基準に適合するもの(次条第四項を除き、以下「適合事業者」という。)に当該重要経済安保情報を利用させる必要があると認めたときは、当該適合事業者との契約に基づき、当該適合事業者に当該重要経済安保情報を提供することができる。ただし、当該重要経済安保情報を保有する行政機関以外の行政機関の長が当該重要経済安保情報について指定をしているとき(当該重要経済安保情報が、第六条第一項の規定により当該保有する行政機関の長から提供されたものである場合を除く。)は、当該指定をしている行政機関の長の同意を得なければならない。
2 行政機関の長は、当該行政機関の長が保有していない情報であって、当該行政機関の長がその同意を得て適合事業者に行わせる調査又は研究その他の活動により当該適合事業者が保有することが見込まれるものについて指定をした場合において、前項本文に規定する目的のために当該情報を当該適合事業者に利用させる必要があると認めたときは、当該適合事業者に対し、当該情報について指定をした旨を通知するものとする。この場合において、当該行政機関の長は、当該適合事業者との契約に基づき、当該指定に係る情報を、当該適合事業者に重要経済安保情報として保有させることができる。
3 前二項の契約には、次に掲げる事項を定めなければならない。
一 次条第一項又は第二項の規定により重要経済安保情報の取扱いの業務を行うことができることとされる者のうち、当該適合事業者が指名して重要経済安保情報の取扱いの業務を行わせる代表者、代理人、使用人その他の従業者(以下この条、第十二条第一項第一号及び第二号並びに第十三条第二項において「従業者」という。)の範囲
二 重要経済安保情報の保護に関する業務を管理する者の指名に関する事項
三 重要経済安保情報の保護のために必要な施設設備の設置に関する事項
四 従業者に対する重要経済安保情報の保護に関する教育に関する事項
五 前項の規定により重要経済安保情報を保有する適合事業者にあっては、当該行政機関の長から求められた場合には当該重要経済安保情報を当該行政機関の長に提供しなければならない旨
六 前各号に掲げるもののほか、当該適合事業者による当該重要経済安保情報の保護に関し必要なものとして政令で定める事項
4 第一項の規定により重要経済安保情報の提供を受け、又は第二項の規定により重要経済安保情報を保有する適合事業者は、当該各項の契約に従い、当該重要経済安保情報の取扱いの業務を行わせる従業者の範囲を定めることその他の当該重要経済安保情報の適切な保護のために必要な措置を講じ、及びその従業者に当該重要経済安保情報の取扱いの業務を行わせるものとする。
5 第二項の規定により適合事業者に重要経済安保情報を保有させている行政機関の長は、同項の契約に基づき、当該適合事業者に対し、当該重要経済安保情報の提供を求めることができる。
6 第四項に規定する適合事業者は、前条第一項第一号に掲げる場合(同号に規定する我が国の安全保障に著しい支障を及ぼすおそれがないと認めることについて、当該適合事業者が提供しようとする重要経済安保情報について指定をした行政機関の長の同意を得た場合に限る。)又は同項第二号若しくは第三号に掲げる場合には、重要経済安保情報を提供することができる。
7 第四項に規定する適合事業者は、前二項の規定により提供する場合を除き、重要経済安保情報を提供してはならない。
第五章 重要経済安保情報の取扱者の制限
第十一条 重要経済安保情報の取扱いの業務は、当該業務を行わせる行政機関の長若しくは当該業務を行わせる適合事業者に当該重要経済安保情報を提供し、若しくは保有させる行政機関の長又は当該業務を行わせる警察本部長が直近に実施した次条第一項又は第十五条第一項の規定による適性評価(第十三条第一項(第十五条第二項において読み替えて準用する場合を含む。)の規定による評価対象者(次条第二項に規定する評価対象者をいう。同条第一項第一号イ及び第二号において同じ。)への通知があった日から十年を経過していないものに限る。)において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(次条第一項第三号又は第十五条第一項第三号に掲げる者として次条第三項(第十五条第二項において読み替えて準用する場合を含む。)の規定による告知があった者(次項において「再評価対象者」という。)を除く。)でなければ行ってはならない。ただし、次に掲げる者については、次条第一項又は第十五条第一項の規定による適性評価を受けることを要しない。
一 行政機関の長(当該行政機関が合議制の機関である場合にあっては、当該機関の長)
二 国務大臣(前号に掲げる者を除く。)
三 内閣官房副長官
四 内閣総理大臣補佐官
五 副大臣
六 大臣政務官
七 前各号に掲げるもののほか、職務の特性その他の事情を勘案し、次条第一項又は第十五条第一項の規定による適性評価を受けることなく重要経済安保情報の取扱いの業務を行うことができるものとして政令で定める者
2 前項の規定にかかわらず、重要経済安保情報の取扱いの業務を行わせる行政機関の長若しくは当該業務を行わせる適合事業者に当該重要経済安保情報を提供し、若しくは保有させる行政機関の長又は当該業務を行わせる警察本部長が特定秘密保護法第十二条第一項又は第十五条第一項の規定により直近に実施したこれらの規定による適性評価(当該適性評価の後に当該行政機関の長又は警察本部長による次条第一項又は第十五条第一項の規定による適性評価が実施された場合のものを除く。以下「特定秘密直近適性評価」という。)において特定秘密の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(再評価対象者及び特定秘密保護法第十二条第一項第三号又は第十五条第一項第三号に掲げる者として特定秘密保護法第十二条第三項(特定秘密保護法第十五条第二項において読み替えて準用する場合を含む。)の規定による告知があった者を除く。)は、当該特定秘密直近適性評価に係る特定秘密保護法第十三条第一項(特定秘密保護法第十五条第二項において準用する場合を含む。)の規定による通知があった日から五年間に限り、重要経済安保情報の取扱いの業務を行うことができる。
3 特定秘密保護法第十六条第一項の規定にかかわらず、行政機関の長及び警察本部長は、重要経済安保情報の取扱いの業務を自ら行わせ、又は適合事業者が行わせるのに必要な限度において、同項に規定する適性評価の結果に係る情報を自ら利用し、又は提供することができるものとする。
4 特定秘密保護法第十六条第二項の規定にかかわらず、特定秘密保護法第五条第四項に規定する適合事業者及び特定秘密保護法第十六条第二項に規定する事業主は、重要経済安保情報の取扱いの業務を自ら行わせ、又は当該事業主に係る適合事業者が行わせるのに必要な限度において、特定秘密保護法第十三条第二項又は第三項の規定により通知された内容(同条第二項に規定する結果に係るものに限る。)を自ら利用し、又は提供することができるものとする。
第六章 適性評価
(行政機関の長による適性評価の実施)
第十二条 行政機関の長は、次に掲げる者について、その者が重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないことについての評価(以下「適性評価」という。)を実施するものとする。
一 当該行政機関の職員(当該行政機関が警察庁である場合にあっては、警察本部長を含む。次号において同じ。)又は当該行政機関との第十条第一項若しくは第二項の契約(同号において「契約」という。)に基づき重要経済安保情報の提供を受け、若しくは重要経済安保情報を保有する適合事業者の従業者として重要経済安保情報の取扱いの業務を新たに行うことが見込まれることとなった者であって、次に掲げるもの以外のもの
イ 当該行政機関の長が直近に実施した適性評価において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(第三号において「直近適性評価認定者」という。)のうち、当該適性評価に係る次条第一項の規定による評価対象者への通知があった日から十年を経過していないものであって、引き続き当該おそれがないと認められるもの
ロ 当該行政機関の長が実施した特定秘密直近適性評価において特定秘密の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(以下この項において「特定秘密直近適性評価認定者」という。)のうち、当該特定秘密直近適性評価に係る特定秘密保護法第十三条第一項の規定による通知があった日から五年を経過していないものであって、引き続き当該おそれがないと認められるもの
二 当該行政機関の職員又は当該行政機関との契約に基づき重要経済安保情報の提供を受け、若しくは重要経済安保情報を保有する適合事業者の従業者として重要経済安保情報の取扱いの業務を現に行う者であって、当該行政機関の長が直近に実施した適性評価に係る次条第一項の規定による評価対象者への通知があった日から十年(特定秘密直近適性評価認定者である者にあっては、当該行政機関の長が実施した特定秘密直近適性評価に係る特定秘密保護法第十三条第一項の規定による通知があった日から五年)を経過した日以後重要経済安保情報の取扱いの業務を引き続き行うことが見込まれるもの
三 直近適性評価認定者又は特定秘密直近適性評価認定者であって、引き続き重要経済安保情報を漏らすおそれがないと認めることについて疑いを生じさせる事情があるもの
2 適性評価は、適性評価の対象となる者(以下「評価対象者」という。)について、次に掲げる事項についての調査(以下この条及び第十六条第一項において「適性評価調査」という。)を行い、その結果に基づき実施するものとする。
一 重要経済基盤毀損活動(重要経済基盤に関する公になっていない情報のうちその漏えいが我が国の安全保障に支障を与えるおそれがあるものを取得するための活動その他の活動であって、外国の利益を図る目的で行われ、かつ、重要経済基盤に関して我が国及び国民の安全を著しく害し、又は害するおそれのあるもの並びに重要経済基盤に支障を生じさせるための活動であって、政治上その他の主義主張に基づき、国家若しくは他人を当該主義主張に従わせ、又は社会に不安若しくは恐怖を与える目的で行われるものをいう。)との関係に関する事項(評価対象者の家族(配偶者(婚姻の届出をしていないが、事実上婚姻関係と同様の事情にある者を含む。以下この号において同じ。)、父母、子及び兄弟姉妹並びにこれらの者以外の配偶者の父母及び子をいう。以下この号において同じ。)及び同居人(家族を除く。)の氏名、生年月日、国籍(過去に有していた国籍を含む。)及び住所を含む。)
二 犯罪及び懲戒の経歴に関する事項
三 情報の取扱いに係る非違の経歴に関する事項 四 薬物の濫用及び影響に関する事項
五 精神疾患に関する事項
六 飲酒についての節度に関する事項
七 信用状態その他の経済的な状況に関する事項
3 適性評価は、あらかじめ、政令で定めるところにより、次に掲げる事項を評価対象者に対し告知した上で、その同意を得て実施するものとする。ただし、第七項の規定の適用を受けて実施する場合においては、当該告知をすることを要しない。
一 前項各号に掲げる事項について適性評価調査が行われる旨
二 適性評価調査を行うため必要な範囲内において、第六項の規定により質問させ、若しくは資料の提出を求めさせ、又は照会して報告を求めることがある旨
三 評価対象者が第一項第三号に掲げる者であるときは、その旨
4 行政機関の長は、適性評価を実施するときは、第七項の規定の適用を受けて実施される場合を除き、内閣総理大臣に対し、必要な資料を添えて、適性評価調査を行うよう求めるものとする。ただし、当該行政機関の業務の遂行に支障を及ぼすおそれがある場合(当該適性評価が同項の規定の適用を受けて実施される場合を除く。)には、当該行政機関の長が、政令で定めるところにより、自ら適性評価調査を行うものとする。
5 内閣総理大臣は、行政機関の長から前項の規定により適性評価調査を行うよう求められたときは、政令で定めるところにより、当該評価対象者について適性評価調査を行い、当該評価対象者が重要経済安保情報を漏らすおそれに関する意見(第七項において「調査意見」という。)を付して、当該適性評価調査の結果を当該行政機関の長に通知するものとする。
6 適性評価調査を行う内閣総理大臣又は行政機関の長は、適性評価調査を行うため必要な範囲内において、その職員に評価対象者若しくは評価対象者の知人その他の関係者に質問させ、若しくは評価対象者に対し資料の提出を求めさせ、又は公務所若しくは公私の団体に照会して必要な事項の報告を求めることができる。
7 第二項の規定にかかわらず、評価対象者が、適性評価を実施する行政機関の長(以下この項において「実施行政機関の長」という。)以外の行政機関の長又は警察本部長が実施した適性評価(次条第一項(第十五条第二項において読み替えて準用する場合を含む。)の規定による通知があった日から十年を経過しておらず、かつ、第五項(第十五条第二項において読み替えて準用する場合を含む。)の規定により内閣総理大臣が当該適性評価に係る適性評価調査を行ったものに限り、当該適性評価の後に実施行政機関の長による適性評価が実施された場合のものを除く。)のうち直近のもの(以下この条において「直近他機関適性評価」という。)において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者である場合において、当該評価対象者について実施行政機関の長が実施する適性評価については、適性評価調査を行わず、直近他機関適性評価において行われた適性評価調査の結果に基づき実施するものとする。この場合において、内閣総理大臣は、実施行政機関の長の求めに応じ、直近他機関適性評価において行われた適性評価調査の結果及びこれに付した調査意見を当該実施行政機関の長に通知するものとする。
8 前項の規定の適用を受けて実施された適性評価を受けた評価対象者に対して行われた次条第一項の規定による通知は、前条第一項並びにこの条第一項第一号イ及び第二号の規定の適用については、直近他機関適性評価の結果について次条第一項(第十五条第二項において読み替えて準用する場合を含む。)の規定による評価対象者への通知が行われた日に行われたものとみなす。
(適性評価の結果等の通知)
第十三条 行政機関の長は、適性評価を実施したときは、その結果(当該適性評価が前条第七項の規定の適用を受けて実施された場合にあっては、その旨を含む。次項及び次条第一項において同じ。)を評価対象者及び内閣総理大臣に対し通知するものとする。
2 行政機関の長は、適合事業者の従業者について適性評価を実施したときはその結果を、当該従業者が前条第三項の同意をしなかったことにより適性評価が実施されなかったときはその旨を、それぞれ当該適合事業者に対し通知するものとする。
3 前項の規定による通知を受けた適合事業者は、当該評価対象者が当該適合事業者の指揮命令の下に労働する派遣労働者(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和六十年法律第八十八号)第二条第二号に規定する派遣労働者をいう。第十六条第二項において同じ。)であるときは、当該通知の内容を当該評価対象者を雇用する事業主に対し通知するものとする。
4 行政機関の長は、第一項の規定により評価対象者に対し重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められなかった旨を通知するときは、適性評価の円滑な実施の確保を妨げない範囲内において、当該おそれがないと認められなかった理由を併せて通知するものとする。ただし、当該評価対象者があらかじめ当該理由の通知を希望しない旨を申し出た場合は、この限りでない。
(行政機関の長に対する苦情の申出等)
第十四条 評価対象者は、前条第一項の規定により通知された適性評価の結果その他当該評価対象者について実施された適性評価について、書面で、行政機関の長に対し、苦情の申出をすることができる。
2 行政機関の長は、前項の苦情の申出を受けたときは、これを誠実に処理し、処理の結果を苦情の申出をした者に通知するものとする。
3 評価対象者は、第一項の苦情の申出をしたことを理由として、不利益な取扱いを受けない。
(警察本部長による適性評価の実施等)
第十五条 警察本部長は、次に掲げる者について、適性評価を実施するものとする。
一 当該都道府県警察の職員(警察本部長を除く。次号において同じ。)として重要経済安保情報の取扱いの業務を新たに行うことが見込まれることとなった者であって、次に掲げるもの以外のもの
イ 当該警察本部長が直近に実施した適性評価において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(第三号において「直近警察適性評価認定者」という。)のうち、当該適性評価に係る次項において読み替えて準用する第十三条第一項の規定による評価対象者への通知があった日から十年を経過していないものであって、引き続き当該おそれがないと認められるもの
ロ 当該警察本部長が実施した特定秘密直近適性評価において特定秘密の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(以下この項において「特定秘密直近警察適性評価認定者」という。)のうち、当該特定秘密直近適性評価に係る特定秘密保護法第十五条第二項において準用する特定秘密保護法第十三条第一項の規定による通知があった日から五年を経過していないものであって、引き続き当該おそれがないと認められるもの
二 当該都道府県警察の職員として重要経済安保情報の取扱いの業務を現に行う者であって、当該警察本部長が直近に実施した適性評価に係る次項において読み替えて準用する第十三条第一項の規定による評価対象者への通知があった日から十年(特定秘密直近警察適性評価認定者である者にあっては、当該警察本部長が実施した特定秘密直近適性評価に係る特定秘密保護法第十五条第二項において準用する特定秘密保護法第十三条第一項の規定による通知があった日から五年)を経過した日以後重要経済安保情報の取扱いの業務を引き続き行うことが見込まれるもの
三 直近警察適性評価認定者又は特定秘密直近警察適性評価認定者であって、引き続き重要経済安保情報を漏らすおそれがないと認めることについて疑いを生じさせる事情があるもの
2 前三条(第十二条第一項並びに第十三条第二項及び第三項を除く。)の規定は、前項の規定により警察本部長が実施する適性評価について準用する。この場合において、第十二条第三項第三号中「第一項第三号」とあるのは「第十五条第一項第三号」と、同条第四項中「内閣総理大臣」とあるのは「警察庁長官を通じて内閣総理大臣」と、「行政機関の業務」とあるのは「都道府県警察の業務」と、同条第五項中「結果を」とあるのは「結果を警察庁長官を通じて」と、同条第七項中「適性評価を実施する行政機関の長(以下この項において「実施行政機関の長」という。)以外の行政機関の長又は警察本部長」とあるのは「行政機関の長又は適性評価を実施する警察本部長(以下この項において「実施警察本部長」という。)以外の警察本部長」と、「実施行政機関の長による」とあるのは「実施警察本部長による」と、「実施行政機関の長が」とあるのは「実施警察本部長が」と、「実施行政機関の長の求め」とあるのは「実施警察本部長が警察庁長官を通じて行う求め」と、「当該実施行政機関の長」とあるのは「警察庁長官を通じて当該実施警察本部長」と、同条第八項中「この条第一項第一号イ」とあるのは「第十五条第一項第一号イ」と、第十三条第一項中「ものとする」とあるのは「ものとする。
この場合において、内閣総理大臣への通知は、警察庁長官を通じて行うものとする」と読み替えるものとする。
(適性評価に関する個人情報の利用及び提供の制限)
第十六条 内閣総理大臣並びに行政機関の長及び警察本部長は、重要経済安保情報の保護以外の目的のために、評価対象者が第十二条第三項(前条第二項において読み替えて準用する場合を含む。)の同意をしなかったこと、評価対象者についての適性評価の結果その他適性評価又は適性評価調査の実施に当たって取得する個人情報(生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。以下この項において同じ。)を自ら利用し、又は提供してはならない。ただし、適性評価又は適性評価調査の実施によって当該個人情報に係る特定の個人が国家公務員法(昭和二十二年法律第百二十号)第三十八条各号、同法第七十五条第二項に規定する人事院規則の定める事由、同法第七十八条各号、第七十九条各号若しくは第八十二条第一項各号、検察庁法(昭和二十二年法律第六十一号)第二十条第一項各号、外務公務員法(昭和二十七年法律第四十一号)第七条第一項に規定する者、自衛隊法(昭和二十九年法律第百六十五号)第三十八条第一項各号、第四十二条各号、第四十三条各号若しくは第四十六条第一項各号、同法第四十八条第一項に規定する場合若しくは同条第二項各号若しくは第三項各号若しくは地方公務員法(昭和二十五年法律第二百六十一号)第十六条各号、第二十八条第一項各号若しくは第二項各号若しくは第二十九条第一項各号又はこれらに準ずるものとして政令で定める事由のいずれかに該当する疑いが生じたとき及び特定秘密保護法第十二条第四項に基づく照会に対して必要な事項を報告するときは、この限りでない。
2 第十三条第二項又は第三項の規定による通知を受けた適合事業者及び適合事業者の指揮命令の下に労働する派遣労働者を雇用する事業主は、重要経済安保情報の保護以外の目的のために、当該通知の内容を自ら利用し、又は提供してはならない。
(権限又は事務の委任)
第十七条 内閣総理大臣又は行政機関の長は、政令(内閣の所轄の下に置かれる機関及び会計検査院にあっては、当該機関の命令)で定めるところにより、この章に定める権限又は事務をその職員に委任することができる。
第七章 雑則
(重要経済安保情報の指定等の運用基準等)
第十八条 政府は、重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定(行政機関の長が、事業者が適合事業者に該当すると認めることをいう。第三項及び次条において同じ。)に関し、統一的な運用を図るための基準を定めるものとする。
2 内閣総理大臣は、前項の基準を定め、又はこれを変更しようとするときは、我が国の安全保障に関する情報の保護、行政機関等の保有する情報の公開、公文書等の管理等に関し優れた識見を有する者の意見を聴いた上で、その案を作成し、閣議の決定を求めなければならない。
3 内閣総理大臣は、重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定が第一項の基準に従って行われていることを確保するため必要があると認めるときは、行政機関の長(会計検査院を除く。)に対し、重要経済安保情報である情報を含む資料の提出及び説明を求め、並びに重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定について必要な勧告をし、又はその勧告の結果とられた措置について報告を求めることができる。
(関係行政機関の協力)
第十九条 内閣総理大臣及び関係行政機関の長は、重要経済安保情報の指定、適性評価の実施、適合事業者の認定その他この法律の規定により講ずることとされる措置に関し、重要経済基盤保護情報であって特に秘匿することが必要であるものの漏えいを防止するため、相互に協力するものとする。
(政令への委任)
第二十条 この法律に定めるもののほか、この法律の実施のための手続その他この法律の施行に関し必要な事項は、政令で定める。
(この法律の解釈適用)
第二十一条 この法律の適用に当たっては、これを拡張して解釈して、国民の基本的人権を不当に侵害するようなことがあってはならず、国民の知る権利の保障に資する報道又は取材の自由に十分に配慮しなければならない。
2 出版又は報道の業務に従事する者の取材行為については、専ら公益を図る目的を有し、かつ、法令違反又は著しく不当な方法によるものと認められない限りは、これを正当な業務による行為とするものとする。
第八章 罰則
第二十二条 重要経済安保情報の取扱いの業務に従事する者がその業務により知り得た重要経済安保情報を漏らしたときは、五年以下の拘禁刑若しくは五百万円以下の罰金に処し、又はこれを併科する。重要経済安保情報の取扱いの業務に従事しなくなった後においても、同様とする。
2 第四条第五項、第八条、第九条、第十条第五項若しくは第六項又は第十八条第三項の規定により提示され、又は提供された重要経済安保情報について、当該提示又は提供の目的である業務により当該重要経済安保情報を知り得た者がこれを漏らしたときは、三年以下の拘禁刑若しくは三百万円以下の罰金に処し、又はこれを併科する。第九条第一項第一号ロに規定する場合において提示された重要経済安保情報について、当該重要経済安保情報の提示を受けた者がこれを漏らしたときも、同様とする。
3 前二項の罪の未遂は、罰する。
4 過失により第一項の罪を犯した者は、一年以下の拘禁刑又は三十万円以下の罰金に処する。
5 過失により第二項の罪を犯した者は、六月以下の拘禁刑又は二十万円以下の罰金に処する。
第二十三条 外国の利益若しくは自己の不正の利益を図り、又は我が国の安全若しくは国民の生命若しくは身体を害すべき用途に供する目的で、人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は財物の窃取若しくは損壊、施設への侵入、有線電気通信の傍受、不正アクセス行為(不正アクセス行為の禁止等に関する法律(平成十一年法律第百二十八号)第二条第四項に規定する不正アクセス行為をいう。)その他の重要経済安保情報を保有する者の管理を害する行為により、重要経済安保情報を取得したときは、当該違反行為をした者は、五年以下の拘禁刑若しくは五百万円以下の罰金に処し、又はこれを併科する。
2 前項の罪の未遂は、罰する。
3 前二項の規定は、刑法(明治四十年法律第四十五号)その他の罰則の適用を妨げない。
第二十四条 第二十二条第一項又は前条第一項に規定する行為の遂行を共謀し、教唆し、又は煽(せん)動した者は、三年以下の拘禁刑又は三百万円以下の罰金に処する。
2 第二十二条第二項に規定する行為の遂行を共謀し、教唆し、又は煽動した者は、二年以下の拘禁刑又は二百万円以下の罰金に処する。
第二十五条 第二十二条第三項若しくは第二十三条第二項の罪を犯した者又は前条の罪を犯した者のうち第二十二条第一項若しくは第二項若しくは第二十三条第一項に規定する行為の遂行を共謀したものが自首したときは、その刑を減軽し、又は免除する。
第二十六条 第二十二条の規定は、日本国外において同条の罪を犯した者にも適用する。
2 第二十三条及び第二十四条の罪は、刑法第二条の例に従う。
第二十七条 法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。)の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、第二十二条第一項若しくは第三項(同条第一項に係る部分に限る。)又は第二十三条第一項若しくは第二項の違反行為をしたときは、その行為者を罰するほか、その法人又は人に対し、各本条の罰金刑を科する。
2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
附 則
(施行期日)
第一条 この法律は、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。ただし、第十八条第一項及び第二項(基準の変更に係る部分を除く。)の規定並びに附則第五条、第六条及び第八条の規定は、公布の日から施行する。
(重要経済安保情報の取扱いの業務を行わせる行政機関等の職員に関する経過措置)
第二条 この法律の施行の日(次条及び附則第四条において「施行日」という。)から起算して一年を超えない範囲内において政令で定める日の前日までの間においては、第十一条第一項の規定にかかわらず、行政機関の長又は警察本部長は、当該行政機関又は都道府県警察の職員のうち当該行政機関の長又は警察本部長が指名する者に重要経済安保情報の取扱いの業務を行わせることができる。この場合において、第五条第一項及び第三項並びに第六条第二項及び第三項の規定の適用については、第五条第一項中「第十一条第一項又は第二項の規定により重要経済安保情報の取扱いの業務を行うことができることとされる者のうちから、当該行政機関」とあるのは「当該行政機関」と、同項及び同条第三項並びに第六条第三項中「の範囲を定める」とあるのは「を指名する」と、第五条第三項及び第六条第二項中「範囲その他」とあるのは「指名その他」とする。
(民事訴訟法の規定により裁判所に重要経済安保情報を提示する場合に関する経過措置)
第三条 施行日から民事訴訟法等の一部を改正する法律(令和四年法律第四十八号)の施行の日の前日までの間における第九条第一項第二号の規定の適用については、同号中「第二百二十三条第六項(同法第二百三十一条の三第一項において準用する場合を含む。)」とあるのは、「第二百二十三条第六項」とする。
(調整規定)
第四条 施行日が刑法等の一部を改正する法律(令和四年法律第六十七号)の施行の日(以下この条において「刑法施行日」という。)前である場合には、刑法施行日の前日までの間における第二十二条(第三項を除く。)、第二十三条第一項及び第二十四条の規定(以下この条において「第二十二条等の規定」という。)の適用については、第二十二条第一項及び第二項、第二十三条第一項並びに第二十四条中「拘禁刑」とあるのは「懲役」と、第二十二条第四項及び第五項中「拘禁刑」とあるのは「禁錮」とする。刑法施行日以後における刑法施行日前にした行為に対する第二十二条等の規定の適用についても、同様とする。
(政令への委任)
第五条 前三条に定めるもののほか、この法律の施行に関し必要な経過措置(罰則に関する経過措置を含む。)は、政令で定める。
(孤独・孤立対策推進法の一部改正)
第六条 孤独・孤立対策推進法(令和五年法律第四十五号)の一部を次のように改正する。
第二十四条第一項中「第四条第一項第三十五号」を「第四条第一項第三十六号」に改める。
(防衛省が調達する装備品等の開発及び生産のための基盤の強化に関する法律の一部改正)
第七条 防衛省が調達する装備品等の開発及び生産のための基盤の強化に関する法律(令和五年法律第五十四号)の一部を次のように改正する。
第十五条第二項第一号中「この法律」の下に「又は重要経済安保情報の保護及び活用に関する法律(令和六年法律第▼▼▼号)」を加える。
第二十七条第一項中「特別防衛秘密及び」を「特別防衛秘密、」に、「特定秘密に」を「特定秘密及び重要経済安保情報の保護及び活用に関する法律第三条第一項に規定する重要経済安保情報に」に改める。
(内閣府設置法の一部改正)
第八条 内閣府設置法の一部を次のように改正する。
第四条第一項第三十五号中「第三項第二十七号の五」を「第三項第二十七号の六」に改め、同号を同項第三十六号とし、同項第三十四号の次に次の一号を加える。
三十五 重要経済安保情報の保護及び活用に関する法律(令和六年法律第▼▼▼号)に基づく重要経済安保情報の保護及び活用のための基本的な政策に関する事項
第四条第三項中第二十七号の五を第二十七号の六とし、第二十七号の四を第二十七号の五とし、第二十七号の三の次に次の一号を加える。
二十七の四 重要経済安保情報の保護及び活用に関する法律に基づく重要経済安保情報の保護及び活用に関する事務に関すること(他省の所掌に属するものを除く。)。
理 由
国際情勢の複雑化、社会経済構造の変化等に伴い、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防止する重要性が増大している中で、重要経済基盤に関する情報であって我が国の安全保障を確保するために特に秘匿することが必要であるものについて、これを適確に保護する体制を確立した上で収集し、整理し、及び活用することが重要であることに鑑み、当該情報の保護及び活用に関し、重要経済安保情報の指定、我が国の安全保障の確保に資する活動を行う事業者への重要経済安保情報の提供、重要経済安保情報の取扱者の制限その他の必要な事項を定める必要がある。これが、この法律案を提出する理由である。
衆議院で、少し変更されたところがありますね...
まだ、衆議院で審議中になっていますが...
| 提出回次 | 番号 | 議案件名 | 審議状況 | 経過情報 | 本文情報 |
| 213 | 24 | 重要経済安保情報の保護及び活用に関する法律案 | 参議院で審議中 | 経過 | 本文及び修正案 |
| 213 | 25 | 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律の一部を改正する法律案 | 参議院で審議中 | 経過 | 本文 |
衆議院での修正
重要経済安保情報の保護及び活用に関する法律案に対する修正案
重要経済安保情報の保護及び活用に関する法律案の一部を次のように修正する。
目次中「第二十一条」を「第二十二条」に、「第二十二条―第二十七条」を「第二十三条―第二十八条」に改める。
第九条第一項中「第十八条第三項」を「第十八条第四項」に改め、同項第一号中「掲げる業務にあっては」の下に「附則第十条の規定に基づいて」を加える。
第十八条第一項中「第三項及び次条において」を「以下」に改め、同条中第三項を第四項とし、第二項の次に次の一項を加える。
3 内閣総理大臣は、毎年、第一項の基準に基づく重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定の状況を前項に規定する者に報告し、その意見を聴かなければならない。
第二十七条第一項中「第二十二条第一項」を「第二十三条第一項」に、「第二十三条第一項」を「第二十四条第一項」に改め、同条を第二十八条とする。
第二十六条第一項中「第二十二条」を「第二十三条」に改め、同条第二項中「第二十三条及び第二十四条」を「第二十四条及び第二十五条」に改め、同条を第二十七条とする。
第二十五条中「第二十二条第三項」を「第二十三条第三項」に、「第二十三条第二項」を「第二十四条第二項」に、「第二十二条第一項」を「第二十三条第一項」に、「第二十三条第一項」を「第二十四条第一項」に改め、同条を第二十六条とする。
第二十四条第一項中「第二十二条第一項」を「第二十三条第一項」に改め、同条第二項中「第二十二条第二項」を「第二十三条第二項」に改め、同条を第二十五条とし、第二十三条を第二十四条とする。
第二十二条第二項中「第十八条第三項」を「第十八条第四項」に改め、同条を第二十三条とし、第七章中第二十一条を第二十二条とし、第二十条を第二十一条とし、第十九条を第二十条とし、第十八条の次に次の一条を加える。
(国会への報告等)
第十九条 政府は、毎年、前条第三項の意見を付して、重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定の状況について国会に報告するとともに、公表するものとする。
附則第一条ただし書中「第八条」の下に「から第十条まで」を加える。
附則第四条中「第二十二条(」を「第二十三条(」に、「第二十三条第一項」を「第二十四条第一項」に、「第二十四条」を「第二十五条」に、「第二十二条等の規定」を「第二十三条等の規定」に、「第二十二条第一項」を「第二十三条第一項」に、「第二十二条第四項」を「第二十三条第四項」に改める。
附則に次の二条を加える。
(指定及び解除の適正の確保)
第九条 政府は、重要経済安保情報の指定及びその解除の適正を確保するために必要な方策について検討し、その結果に基づいて所要の措置を講ずるものとする。
(国会に対する重要経済安保情報の提供及び国会におけるその保護措置の在り方)
第十条 国会に対する重要経済安保情報の提供については、政府は、国会が国権の最高機関であり各議院がその会議その他の手続及び内部の規律に関する規則を定める権能を有することを定める日本国憲法及びこれに基づく国会法等の精神にのっとり、この法律を運用するものとし、重要経済安保情報の提供を受ける国会におけるその保護に関する方策については、国会において、検討を加え、その結果に基づいて必要な措置を講ずるものとする。
内閣官房が法案を提出した時...
| 法律案 | 国会提出日 | 担当部局 | 資料 |
| 重要経済安保情報の保護及び活用に関する法律案 | R6.2.27 | 経済安全保障法制準備室 | 概要(PDF/267KB) 要綱(PDF/142KB) 法律案・理由(PDF/195KB) 新旧対照表(PDF/94KB) 参照条文(PDF/192KB) |
具体的な審査項目は、おそらく米国連邦政府の標準様式86 (SF-86) を真似てくると思うので、私のこちらの記事も参考にしてくださいませ...米国の審査項目の仮対訳を載せています...
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)
その他、こちらも...
● まるちゃんの情報セキュリティ気まぐれ日記
日本...
・2024.02.28 内閣 重要経済安保情報の保護及び活用に関する法律案が閣議決定
・2024.02.20 経団連 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言 (2024.02.15)
・2024.01.30 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 最終取りまとめ (2024.01.19)
・2023.12.22 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第9回)
・2023.10.12 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第7回)
・2023.08.27 参議院常任委員会調査室・特別調査室:セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~
・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理
・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言
・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議
・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...
・2022.10.19 自民党 わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~ (2022.10.04)
米国...
・2024.02.26 米国 GAO 国防総省インテリジェンス:プログラムの監督を強化しリスクを管理するために必要な行動
・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)
・2023.11.20 NIST 意見募集 IR8496 NIST IR 8496(初公開ドラフト) データ収集改善のためのデータ格付の概念と考察
・2023.11.05 RAND研究所 多様で信頼される労働力 - 国家安全保障担当者の審査における偏見の可能性と不公平の原因となりうる要素の検証
・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)
・2022.08.18 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要
・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要
こんにちは、丸山満彦です。
ドイツの連邦情報セキュリティ局 (BSI) が、重要インフラ (Kritischen Infrastrukturen) に関する基本的なデータを公表していますね...
四半期ごとに更新されるようです...
ドイツにおける重要インフラはとそれぞれの分野のオペレーター数は現時点では次のようです。
| Sektor | 分野 | オペレーター数 |
| Energie | エネルギー | 295 |
| Wasser | 水 | 79 |
| Ernährung | 食料 | 56 |
| IT und Telekommunikation | IT・通信 | 66 |
| Gesundheit | ヘルスケア | 210 |
| Finanz- und Versicherungswesen | 金融・保険 | 125 |
| Transport und Verkehr | 運輸・交通 | 81 |
| Siedlungsabfallentsorgung | 廃棄物処理 | 207 |
| 合計 | 1,119 |
で、報告されたインシデント数も公表されています...
オペレーター数との比率も合わせてみてみるとこんな感じ...
オレンジが少し高めの分野、グリーンが低めの分野...
| 分野 | O:オペレーター数 | I:インシデント数 | I/O |
| エネルギー | 295 | 50 | 0.17 |
| 水 | 79 | 10 | 0.13 |
| 食料 | 56 | 3 | 0.05 |
| IT・通信 | 66 | 25 | 0.38 |
| ヘルスケア | 210 | 26 | 0.12 |
| 金融・保険 | 125 | 34 | 0.27 |
| 運輸・交通 | 81 | 32 | 0.40 |
| 廃棄物処理 | 207 | 1 | 0.00 |
| 合計 | 1,119 | 181 | 0.16 |
● Bundesamt für Sicherheit in der Informationstechnik; BSI
・2024.05.06 KRITIS in Zahlen: BSI veröffentlicht Statistiken zu Kritischen Infrastrukturen
| KRITIS in Zahlen: BSI veröffentlicht Statistiken zu Kritischen Infrastrukturen | 数字で見るKRITIS BSI、重要インフラに関する統計を公表 |
| Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 6. Mai 2024 die Webseite KRITIS in Zahlen veröffentlicht, auf der grundlegende Kennzahlen zu Kritischen Infrastrukturen (KRITIS) zur Verfügung stehen. Auf KRITIS in Zahlen macht das BSI einen Teil der Arbeit für und mit Kritischen Infrastrukturen erlebbar. | 2024年5月6日、連邦情報セキュリティ局(BSI)は、重要インフラ(KRITIS)に関する基本的な主要数値を提供するウェブサイト「KRITIS in Figures」を公開した。KRITIS in Figuresでは、BSIは重要インフラのための、また重要インフラに関わる業務の一部を具体化している。 |
| Es werden Daten zu registrierten KRITIS-Betreibern, zu Nachweisen und zu Meldungen veröffentlicht. Die Daten werden quartalsweise beziehungsweise jährlich aktualisiert. Jedes Diagramm und jede Tabelle ist mit einer Erläuterung der Auswertung versehen. | KRITISの登録事業者、証拠、報告書に関するデータが公表されている。データは四半期ごとまたは年ごとに更新される。各図や表には、分析の説明が添えられている。 |
| KRITIS in Zahlen gibt einen Überblick über die nach dem BSI-Gesetz registrierten Betreiber und deren Anlagen und schlüsselt sie nach KRITIS-Sektoren auf. Zusätzlich zeigt die Seite auch Statistiken zu Störungsmeldungen, die im ersten Quartal 2024 von Betreibern beim Nationalen IT-Lagezentrum abgegeben wurden und die regelmäßig auch Teil des BSI-Lageberichts sind. | 数字で見るKRITISは、BSI法に基づき登録された事業者とそのシステムの概要を提供し、KRITIS分野別に分類している。さらに、2024年第1四半期に事業者が全国IT状況センターに提出したインシデントレポートの統計も掲載されており、BSI状況報告にも定期的に掲載されている。 |
| Außerdem werden Zahlen zu den in Nachweisen dokumentierten Reifegraden der Managementsysteme für Informationssicherheit (ISMS) und Geschäftskontinuität (BCMS) und zu den Umsetzungsgraden der Systeme zu Angriffserkennung (SzA) nach KRITIS-Sektoren veröffentlicht. Diese basieren auf dem jeweils letzten eingereichten Nachweis, mit dem Betreiber alle zwei Jahre ihre IT-Sicherheit nachweisen müssen. | さらに、証明書に記載された情報セキュリティマネジメントシステム(ISMS)と事業継続マネジメントシステム(BCMS)の成熟度、およびKRITISセクター別の攻撃検知システムの実装レベルに関する数値も公表されている。これらは、事業者が2年ごとにITセキュリティを証明するために提出する最新の証拠に基づいている。 |
| Das BSI wird auf KRITIS in Zahlen in Zukunft weitere Statistiken zu Kritischen Infrastrukturen veröffentlichen. | BSIは今後、KRITISの重要インフラに関する統計データをさらに公表する予定である。 |
データはこちら...
目次的なもの...
| KRITIS in Zahlen | 数字で見るKRITIS |
| Einleitende Informationen | はじめに |
| Begriffsdefinitionen | 用語の定義 |
| Betreiber und Anlagen nach KRITIS-Sektoren gemäß BSIG | BSIGによるKRITIS分野別のオペレーターと施設 |
| Managementsysteme für Informationssicherheit und Geschäftskontinuität | 情報セキュリティと事業継続のための管理体制 |
| Einsatz von Systemen zur Angriffserkennung | 攻撃検知システムの利用状況 |
| Gemeldete Vorfälle | 報告されたインシデント |
| Ausblick | 見通し |
こんにちは、丸山満彦です。
CISAが、スマートフォンを初めて渡す親子向け?に1分のセキュリティ教育用の音楽ビデオをつくっています。。。
日本でいうと5年生から中1年生くらい向けでしょうかね...
MFA推しです。。。
子供の学習用の教材とか見ていると、米国の教材には歌にして覚えるとか多いように思います。リズムに合わせて歌うと覚えやすいし、何度も歌うので記憶するという効果があるのかもしれませんね...
英語という言語がアップテンポの音楽にあっているのかもしれませんが、日本ではあまり見ないなぁと思いました。
日本ではしまじろう??? でも、しまじろうの短いビデオも英語の歌のものを日本語に訳しているのが多くて、いまいちテンポと言葉がmatchしていない感じだしなぁ...
● CISA
・2024.05.09 We Can Secure Our World! CISA just launched our second Secure Our World PSA. Watch now!
・[YouTube] We can Secure Our World
こんにちは、丸山満彦です。
CSAが今年の3月にDefining the Zero Trust Protect Surfaceを公表していたのですが、すっかり失念していました。そして、これまた4月には日本語版と韓国語版が公表されていました..
そして、この文書が参照している、次の2つの文書も失念していますね...(^^;;
・[PDF] NSTAC Report to the President onZero Trust and Trusted Identity Management
・[PDF] CISA Zero Trust Maturity Model V2
あらら...
要旨は...
この文書の目的は、John Kindervag が最初に策定し社会化したNSTAC Report to the President onZero Trust and Trusted Identity Managementに記載されている 5 つのステップのゼロトラスト実装プロセスの第 1 ステップを反復的に実行するためのガイダンスを提供することです。5 つのステップのそれぞれについて詳細なガイダンスを作成するために、別の CSA リサーチ文書が作成されているところです。
この重要な最初のステップである「保護サーフェス の定義」では、組織のデータ、アプリケーション、資産、サービス(DAAS)の要素を特定し、ビジネスリスクと現在のセキュリティ成熟度の評価を行い、実装の優先順位付けを行います。本稿では、DAAS 要素を保護サーフェスにグループ化するなど、このプロセスの背後にある方法論に焦点を当てます。
ビジネス情報システムを構成する攻撃サーフェスと保護サーフェスの相互関係や、CISA Zero Trust Maturity Model V2実装の優先順位付けに活用する方法など、重要な検討事項と概念について説明します。このガイダンスは、組織がゼロトラスト実装の複雑さを乗り越えるための反復可能なプロセスを採用することを支援します。
対象とする読者も次のような感じですね...
• 主な対象者: ゼロトラストアーキテクトおよび実装チーム、最高情報セキュリティ責任者、情報セキュリティ管理者、ITセキュリティアナリスト
• 第二の対象者: CxO(CEO、CISO、CFO、CTO、CIO)、プライバシー・コンプライアンス・オフィサー、IT監査・評価者、ソフトウェア開発者、ネットワーク・セキュリティ・エンジニア
目次...
| Abstract | 要旨 |
| Target Audience | 対象とする読者 |
| Introduction to Zero Trust | ゼロトラスト入門 |
| Document Scope | 文書の範囲 |
| Business Assets Overview | ビジネス資産の概要 |
| Zero Trust Implementation Process | ゼロトラスト導入プロセス |
| Overview of the Protect Surface | 保護サーフェスの概要 |
| Prioritizing Iterative Execution of the 5-Step Process | 5-ステッププロセスの反復実行の優先順位付け |
| Caution Regarding DAAS Elements Whose Purpose Is Uncertain | 目的が不明確なDAAS要素に関する注意 |
| DAAS Elements Comprising a Protect Surface | 保護サーフェスを構成するDAAS要素 |
| Data | データ |
| Applications and Workloads | アプリケーションとワークロード |
| Assets: Systems and Devices | 資産: システムとデバイス |
| Services | サービス |
| NSTAC, CISA Maturity Model and Protect Surfaces | NSTAC、CISA成熟度モデルと保護サーフェス |
| Risks and Impacts of Protect Surface Compromises | 保護サーフェスの侵害がもたらすリスクと影響 |
| Applying Data Classifications | データ分類の適用 |
| Attack Surface Versus Protect Surface | 攻撃サーフェスと保護サーフェス |
| Looking Ahead, After Protect Surfaces are Defined | 保護サーフェスが定義された後の展望 |
| Conclusion | 結論 |
| Useful References | 参考文献 |
● Cloud Security Alliance; CSA
・2024.04.14 Defining the Zero Trust Protect Surface - Japanese Translation
オリジナルの英語版...
・2024.03.05 Defining the Zero Trust Protect Surface
韓国語翻訳版も...
・2024.04.24 Defining the Zero Trust Protect Surface - Korean Translation
参照されている文書...
CISA
・2022.02.23 [PDF] NSTAC Report to the President onZero Trust and Trusted Identity Management
成熟度モデル
・2023.04 [PDF] CISA Zero Trust Maturity Model V2
こんにちは、丸山満彦です。
英国、米国、オーストラリア、ユーロポールが、LockBitのロシア人を制裁(第二弾)したと発表していますね...
制裁は資産凍結なので、米国は財務省、英国とオーストラリアは外務省からの発表となっています...
LockBitに関しては、もちろん日本も協力しています(^^)
しかし報奨金すごいね...もちろん最高額を貰うのは簡単ではないと思いますが、それでも最高額が10M$=15億円ですよ。日本の宝くじ以上(^^)
米国
● U.S. DEPARTMENT OF THE TREASURY
・2024.05.07 United States Sanctions Senior Leader of the LockBit Ransomware Group
| United States Sanctions Senior Leader of the LockBit Ransomware Group | 米国、ランサムウェア「LockBit」グループの上級リーダーを制裁する |
| The United States reveals the identity of and imposes sanctions on Dmitry Khoroshev, a senior leader of the LockBit ransomware group | 米国、ランサムウェア・ロックビット・グループの上級リーダーであるドミトリー・ホロシェフの身元を明らかにし、制裁を科す |
| WASHINGTON — Today, the United States designated Dmitry Yuryevich Khoroshev, a Russian national and a leader of the Russia-based LockBit group, for his role in developing and distributing LockBit ransomware. This designation is the result of a collaborative effort with the U.S. Department of Justice, Federal Bureau of Investigation, the United Kingdom’s National Crime Agency, the Australian Federal Police, and other international partners. Concurrently, the Department of Justice is unsealing an indictment and the Department of State is announcing a reward offer for information leading to the arrest and/or conviction of Khoroshev. The United Kingdom and Australia are also announcing the designation of Khoroshev. | ワシントン - 米国は本日、ロシア国籍でロシアを拠点とする LockBit グループのリーダーである Dmitry Yuryevich Khoroshev 氏を、LockBit ランサムウェアの開発と配布に関与したとして指定した。この指定は、米国司法省、連邦捜査局、英国国家犯罪局、オーストラリア連邦警察、その他の国際的パートナーとの共同作業の結果である。同時に司法省は起訴状の封印を解き、国務省はホロシェフの逮捕および/または有罪判決につながる情報に対する報奨金の提供を発表している。英国とオーストラリアもホロシェフの指名手配を発表している。 |
| “Today’s action reaffirms our commitment to dismantling the ransomware ecosystem and exposing those who seek to conduct these attacks against the United States, our critical infrastructure, and our citizens,” said Under Secretary of the Treasury for Terrorism and Financial Intelligence Brian E. Nelson. “The United States, in close coordination with our British and Australian partners, will continue to hold accountable the individuals responsible for these disruptive and threatening activities.” | 「ブライアン・E・ネルソン財務次官(テロ・金融情報担当)は、「本日の措置は、ランサムウェアのエコシステムを解体し、米国、米国の重要インフラ、そして米国市民に対してこのような攻撃を行おうとする者たちの正体を暴くという我々のコミットメントを再確認するものである。「米国は、英国やオーストラリアのパートナーとの緊密な連携のもと、こうした破壊的で脅威的な活動を行う個人の責任を追及していく。 |
| This designation follows several other recent U.S. Government actions against Russian cybercriminals involved in ransomware, including the disruption of the LockBit ransomware infrastructure and sanctions against LockBit group affiliates. Russia, where groups such as LockBit are free to launch ransomware attacks against the United States, and its allies and partners, continues to offer safe harbor for cybercriminals. The United States has previously stressed that Russia must take concrete steps to prevent cyber criminals from freely operating in its jurisdiction. Today’s actions reflect the commitment of the United States to a long-term, coordinated, and sustained approach to disrupt and degrade the ransomware ecosystem. | 今回の指定は、LockBitランサムウェア・インフラストラクチャの破壊やLockBitグループ関連会社に対する制裁など、ランサムウェアに関与するロシアのサイバー犯罪者に対する米国政府の最近の措置に続くものである。ロックビットのようなグループが米国やその同盟国、パートナーに対して自由にランサムウェア攻撃を仕掛けているロシアは、サイバー犯罪者に安全な港を提供し続けている。米国は以前から、ロシアが自国の司法管轄区でサイバー犯罪者が自由に活動するのを防ぐための具体的な措置を講じるべきだと強調してきた。本日の行動は、ランサムウェアのエコシステムを破壊し、劣化させるための長期的、協調的、持続的なアプローチに対する米国のコミットメントを反映したものである。 |
| Additionally, the U.S. Department of State (State) announced a reward of up to $10 million for information leading to Russian national Dmitry Yuryevich Khoroshev’s arrest and/or conviction for participating in, conspiring to participate in or attempting to participate in, transnational organized crime. On February 20, 2024, the Department of State announced reward offers (up to $10 million) seeking information leading to the identity and location of key leaders of the LockBit ransomware variant group as well as information leading to the arrests and/or convictions of members of the LockBit ransomware variant group (up to $5 million). | さらに、米国国務省は、ロシア人のドミトリー・ユリエヴィチ・ホロシェフが国際組織犯罪に参加した、参加することを共謀した、または参加しようとした容疑で逮捕および/または有罪判決を受けた場合に、その情報につながる報奨金として最高1,000万ドルを出すと発表した。2024年2月20日、加盟国は、ロックビット(LockBit)ランサムウェア亜種グループの主要指導者の身元と居場所につながる情報、およびロックビット(LockBit)ランサムウェア亜種グループのメンバーの逮捕および/または有罪判決につながる情報(最高500万ドル)を求める報奨金(最高1,000万ドル)の提供を発表した。 |
| LOCKBIT: ONE OF THE MOST PROLIFIC RANSOMWARE GROUPS IN THE WORLD | ロックビット:世界で最も多発するランサムウェアグループの1つ |
| The Russia-based LockBit ransomware group is one of the most active ransomware groups in the world and is best known for its ransomware variant of the same name. According to the Department of Justice, LockBit has targeted over 2,500 victims worldwide and is alleged to have received more than $500 million in ransom payments. Since January 2020, affiliates using LockBit have attacked organizations across an array of critical infrastructure sectors, including financial services, education, emergency services, and healthcare. | ロシアを拠点とするLockBitランサムウェア・グループは、世界で最も活発なランサムウェア・グループの1つであり、同名のランサムウェア亜種で最もよく知られている。司法省によると、LockBitは世界中で2,500人以上の被害者を標的にし、5億ドル以上の身代金の支払いを受けたとされている。2020年1月以降、LockBitを使用する関連会社は、金融サービス、教育、緊急サービス、ヘルスケアなど、重要なインフラ部門の組織を攻撃してきた。 |
| LockBit operates on a Ransomware-as-a-Service model, where the group licenses its ransomware software to affiliated cybercriminals in exchange for payment, including a percentage of the paid ransoms. A Ransomware-as-a-Service cybercrime group maintains the functionality of a particular ransomware variant, sells access to that ransomware variant to individuals or groups of operators (often referred to as “affiliates”), and supports affiliates’ deployment of ransomware in exchange for upfront payment, subscription fees, a portion of profits, or a combination of upfront payment, subscription fees, and a portion of profits. Additionally, LockBit is known for its double extortion tactics, where its cybercriminals exfiltrate large amounts of data from its victims before encrypting the victim’s computer systems and demanding ransom payments. | LockBitはRansomware-as-a-Service(ランサムウェア・アズ・ア・サービス)モデルで運営されており、同グループは身代金支払いのパーセンテージを含む支払いと引き換えに、ランサムウェア・ソフトウェアを提携するサイバー犯罪者にライセンス供与している。Ransomware-as-a-Service サイバー犯罪グループは、特定のランサムウェアの亜種の機能を維持し、そのランサムウェアの亜種へのアクセスを個人またはオペレータのグループ(しばしば「関連会社」と呼ばれる)に販売し、前払金、サブスクリプション料、利益の一部、または前払金、サブスクリプション料、利益の一部の組み合わせと引き換えに、関連会社によるランサムウェアの展開をサポートする。さらに、LockBitは二重の恐喝戦術で知られており、サイバー犯罪者は被害者のコンピュータシステムを暗号化し身代金の支払いを要求する前に、被害者から大量のデータを流出させる。 |
| CYBERCRIMINAL RESPONSIBLE FOR THE LOCKBIT RANSOMWARE VARIANT EXPOSED | ロックビット・ランサムウェアの亜種を暴露したサイバー犯罪者 |
| Dmitry Yuryevich Khoroshev (Khoroshev), a Russian national and a leader of LockBit, is the primary operator of the well-known and public-facing LockBit-related cybercrime moniker, “LockBitSupp.” As a core LockBit group leader and developer of the LockBit ransomware, Khoroshev has performed a variety of operational and administrative roles for the cybercrime group, and has benefited financially from the LockBit ransomware attacks. In addition, Khoroshev has facilitated the upgrading of the LockBit infrastructure, recruited new developers for the ransomware, and managed LockBit affiliates. He is also responsible for LockBit’s efforts to continue operations after their disruption by the U.S. and its allies earlier this year. | ロシア国籍でLockBitのリーダーであるドミトリー・ユリエヴィッチ・ホロシェフ(ホロシェフ)は、LockBitに関連するサイバー犯罪の呼称である "LockBitSupp "の主要な運営者である。LockBitグループの中核的リーダーであり、LockBitランサムウェアの開発者であるホロシェフは、サイバー犯罪グループの運営・管理面でさまざまな役割を果たし、LockBitランサムウェア攻撃から金銭的利益を得てきた。さらにホロシェフは、LockBitのインフラのアップグレードを促進し、ランサムウェアの新しい開発者を募集し、LockBitの関連会社を管理してきた。ホロシェフ氏はまた、今年初めに米国とその同盟国によって妨害された後、ロックビットが事業を継続するための努力の責任者でもある。 |
| OFAC is designating Khoroshev pursuant to Executive Order (E.O.) 13694, as amended by E.O. 13757, for being responsible for or complicit in, or having engaged in, directly or indirectly, cyber-enabled activities described in subsection (a)(ii)(D) of section 1 of E.O. 13694, as amended. | OFACは、大統領令(E.O.)13694(E.O.13757により改正)に基づき、ホロシェフを、E.O.13694の第1節(a)(ii)(D)に記載されたサイバー対応活動に直接的または間接的に関与している、もしくは加担しているとして指定する。 |
| SANCTIONS IMPLICATIONS | 制裁への影響 |
| As a result of today’s action, all property and interests in property of this individual that are in the United States or in the possession or control of U.S. persons must be blocked and reported to OFAC. OFAC’s regulations generally prohibit all dealings by U.S. persons or within the United States (including transactions transiting the United States) that involve any property or interests in property of blocked persons. In addition, persons that engage in certain transactions with the individual designated today may themselves be exposed to designation. | 本日の措置の結果、米国内にある、または米国人が所有もしくは管理している、この個人のすべての財産および財産の権利は、阻止され、OFACに報告されなければならない。OFACの規制は一般的に、米国人による、または米国内における、ブロック対象者の財産または財産に対する権益に関わるすべての取引(米国を通過する取引を含む)を禁止している。さらに、今日指定されている個人と特定の取引を行う者は、自らも指定の対象となる可能性がある。 |
| The power and integrity of OFAC sanctions derive not only from its ability to designate and add persons to the Specially Designated Nationals and Blocked Persons (SDN) List but also from its willingness to remove persons from the SDN List consistent with the law. The ultimate goal of sanctions is not to punish but to bring about a positive change in behavior. For information concerning the process for seeking removal from an OFAC list, including the SDN List, please refer to OFAC’s Frequently Asked Question 897 here. For detailed information on the process to submit a request for removal from an OFAC sanctions list, please click here. | OFACの制裁の権限と完全性は、特別指定国民およびブロック対象者(SDN)リストに人物を指定し、追加する能力だけでなく、法律と整合性のあるSDNリストから人物を削除する意思からも導き出される。制裁の最終的な目標は、罰することではなく、行動に前向きな変化をもたらすことである。SDNリストを含むOFACリストからの削除を求めるプロセスに関する情報は、OFACのよくある質問897を参照されたい。OFAC制裁リストからの削除要請の提出プロセスに関する詳細情報については、こちらを参照のこと。 |
| See OFAC’s Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments for information on the actions that OFAC would consider to be mitigating factors in any related enforcement action involving ransomware payments with a potential sanctions nexus. As laid out in the advisory, OFAC strongly encourages all ransomware victims to contact relevant government agencies, including the Federal Bureau of Investigation, to report a ransomware attack. For information on complying with sanctions applicable to virtual currency, see OFAC’s Sanctions Compliance Guidance for the Virtual Currency Industry. | 潜在的な制裁関連性を有するランサムウェアの支払いに関連する関連執行措置において、OFACが緩和要因とみなす行為に関する情報については、OFACの「ランサムウェアの支払の促進に関する潜在的制裁リスクに関する最新勧告」を参照のこと。勧告に記載されているとおり、OFACは、すべてのランサムウェア被害者に対し、連邦捜査局を含む関連政府機関に連絡してランサムウェア攻撃を報告するよう強く奨励している。仮想通貨に適用される制裁の遵守に関する情報については、OFACの仮想通貨業界向け制裁遵守ガイダンスを参照のこと。 |
| Further, the Cybersecurity & Infrastructure Security Agency in conjunction with other U.S. Departments and Agencies and foreign partners published two cybersecurity advisories, “Understanding Ransomware Threat Actors: LockBit” and “LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability.” These advisories detail the threats posed by this group and provide recommendations to reduce the likelihood and impact of future ransomware incidents. | さらに、サイバーセキュリティ・インフラセキュリティ庁は、他の米国省庁や海外のパートナーとともに、2つのサイバーセキュリティ勧告「ランサムウェア脅威行為者の理解」を発表した: LockBit」と「LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability」である。これらの勧告は、このグループによる脅威を詳述し、将来のランサムウェアインシデントの可能性と影響を低減するための推奨事項を提供している。 |
| For more information on the individuals designated today, click here. | 本日指定された個人の詳細については、ここをクリック。 |
英国
GOV.UK - Foreign affairs
・2024.05.07 UK and allies sanction prolific cyber hacker
| UK and allies sanction prolific cyber hacker | 英国と同盟国、多発するサイバーハッカーを制裁する |
| The UK, US and Australia have sanctioned Russian leader of cyber-crime gang LockBit. | 英国、米国、オーストラリアは、サイバー犯罪組織ロックビットのロシア人リーダーを制裁した。 |
| ・UK, US and Australia sanction Russian leader of cyber-crime gang LockBit. | ・英国、米国、オーストラリアは、サイバー犯罪集団ロックビットのロシア人リーダーを制裁した。 |
| ・LockBit were one of the most prolific ransomware groups in recent years, responsible for attacks on over 200 UK businesses and major public service providers. | ・LockBitは近年最も多発したランサムウェアグループの1つで、英国の200以上の企業や主要な公共サービスプロバイダーへの攻撃をプロバイダとして行っていた。 |
| ・UK and Allies crack down on malicious cyber-criminal activity emanating from Russia that seeks to undermine global integrity, prosperity and security. | ・英国と同盟国は、世界の完全性、繁栄、安全保障を損なおうとするロシア発の悪質なサイバー犯罪活動を取り締まる。 |
| The UK, US and Australia have today (Tuesday 7 May) sanctioned a senior Russia-based leader of LockBit, once one of the world’s most pernicious cybercrime gangs. | 英国、米国、オーストラリアは本日(5月7日火曜日)、かつて世界で最も悪質なサイバー犯罪集団のひとつであったロックビットのロシアを拠点とする上級リーダーを制裁した。 |
| Today’s sanctions target Russian national Dmitry Khoroshev who has been identified, as part of an ongoing international law enforcement investigation, as one of the leaders of LockBit, the ransomware group responsible for extorting over $1 billion from thousands of victims globally. | 本日の制裁は、現在進行中の国際的な法執行捜査の一環として、世界中の数千人の被害者から10億ドル以上を恐喝したランサムウェアグループ、ロックビットのリーダーの一人であることが特定されたロシア国籍のドミトリー・ホロシェフを対象としている。 |
| In February the NCA announced that it had infiltrated the group’s network and taken control of its services, compromising the entire criminal enterprise. The group has attempted to rebuild over the last two months, however the NCA assesses that as a result of this investigation, they are currently running at limited capacity and the global threat from LockBit has significantly reduced. | NCAは2月、同グループのネットワークに侵入し、サービスを制御して犯罪エンタープライズ全体を危険にさらしたと発表した。同グループは過去2ヶ月間にわたり再建を試みてきたが、NCAは今回の捜査の結果、現在は限られた能力で運営されており、ロックビットによる世界的な脅威は大幅に減少したと評価している。 |
| The gang was responsible for 25% of ransomware attacks globally last year, targeting thousands of victims over the years including over 200 UK businesses. LockBit orchestrated a malicious online campaign, illegally stealing and using sensitive data to extract billions of dollars from business and individuals. | ロックビットは昨年、全世界でランサムウェア攻撃の25%に関与し、200社以上の英国企業を含む数千人の被害者を標的とした。ロックビットは悪質なオンラインキャンペーンを指揮し、機密データを不正に盗み、利用して企業や個人から数十億ドルを抽出した。 |
| Today’s measures will directly target a senior leader of the gang responsible for these atrocious attacks. Khoroshev will now be subject to a series of asset freezes and travel bans. | 本日の措置は、このような残虐な攻撃に責任のある一団の上級リーダーを直接標的にするものである。ホロシェフは今後、一連の資産凍結と渡航禁止の対象となる。 |
| Sanctions Minister, Anne-Marie Trevelyan said: | アンヌ=マリー・トレヴェリアン制裁相は次のように述べた: |
| Together with our allies we will continue to crack down on hostile cyber activity which is destroying livelihoods and businesses across the world. | 我々は同盟国とともに、世界中の生活とビジネスを破壊している敵対的なサイバー活動を取り締まり続ける。 |
| In sanctioning one of the leaders of LockBit we are taking direct action against those who continue to threaten global security, while simultaneously exposing the malicious cyber-criminal activity emanating from Russia.” | ロックビットのリーダーの一人を制裁することで、我々は世界の安全保障を脅かし続ける人々に対して直接的な行動を起こすと同時に、ロシアから発せられる悪質なサイバー犯罪活動を暴露することになる」。 |
| National Crime Agency Director General Graeme Biggar said: | 国家犯罪対策庁のグレーム・ビガー長官は次のように述べた: |
| These sanctions are an important moment in our fight against cyber criminals behind the LockBit ransomware group, which is now on its knees following our disruption earlier this year. | この制裁措置は、今年初めの我々の混乱に続き、今膝をついているLockBitランサムウェア・グループの背後にいるサイバー犯罪者に対する我々の戦いにおける重要な瞬間である。 |
| They have caused untold damage to schools, hospitals and major companies across the world, who’ve had to pick up the pieces following devastating cyber attacks. | 彼らは世界中の学校、病院、大企業に計り知れない損害を与えており、壊滅的なサイバー攻撃の後、その破片を拾い上げなければならなかった。 |
| Dmitry Khoroshev thought he was beyond reproach, even offering $10m to anyone who could reveal his identity, but these actions dispel that myth. Our investigation into LockBit and its affiliates continues and, working with our international partners, we’ll do everything we can to undermine their operations and protect the public.” | ドミトリー・ホロシェフは、自分の正体を明かせば誰にでも1000万ドルを提供するとまで言って、自分は非難される筋合いはないと考えていたが、今回の行動はその神話を払拭するものだ。ロックビットとその関連会社に対する我々の調査は続いており、国際的なパートナーと協力しながら、彼らの活動を弱体化させ、国民を守るために全力を尽くす。 |
| Eleanor Fairford, National Cyber Security Centre (NCSC) Deputy Director for Incident Management, said: | ナショナル・サイバー・セキュリティ・センター(NCSC)のインシデント管理担当副所長であるエレノア・フェアフォードは、次のように述べた: |
| Ransomware attacks pose a massive threat to UK businesses and their impacts can be severe and long-lasting, disrupting operations and putting potentially sensitive data at risk. | ランサムウェア攻撃は英国企業にとって大きな脅威であり、その影響は深刻かつ長期に及び、業務を中断させ、潜在的な機密データをリスクにさらす可能性がある。 |
| It is crucial organisations ensure they have strong online defences to reduce their risk of falling victim and to protect the information they are responsible for. | 被害者になるリスクを軽減し、責任ある情報を保護するために、組織が強力なオンライン防御を確保することが極めて重要である。 |
| Prevention is the most effective mitigation, and we urge all organisations to follow the NCSC’s ransomware guidance to help protect their networks and improve their resilience to attacks.” | 予防は最も効果的な軽減策であり、我々はすべての組織がNCSCのランサムウェア・ガイダンスに従い、ネットワークを保護し、攻撃に対するレジリエンスを向上させることを強く求める。 |
| The UK has sanctioned Khoroshev as part of our wider commitment to cracking down on malicious cyber activity and working with our international partners to promote international security and stability in cyberspace. | 英国がホロシェフに制裁を科したのは、悪質なサイバー活動を取り締まり、サイバー空間における国際的な安全と安定を促進するために国際的なパートナーと協力するという、英国のより広範なコミットメントの一環である。 |
| These sanctions have been delivered jointly with Australia and the US and are the latest in our efforts to counter malicious cyber-criminal activity emanating from Russia that seek to undermine the integrity, prosperity and security of the UK and our allies. | 今回の制裁は、オーストラリアおよび米国と共同で実施されたものであり、英国および同盟国の完全性、繁栄、安全を損なおうとするロシア発の悪質なサイバー犯罪活動に対抗するための最新の取り組みである。 |
| Background | 背景 |
| ・The NCSC and the NCA assess that LockBit was the leading ransomware threat to the UK and globally since the demise of the Conti ransomware strain in mid 2022. The strain first emerged at the end of 2019 and by 2022 was the most frequently used variant across the world. | ・NCSCとNCAは、2022年半ばにContiランサムウェアの系統が消滅して以来、LockBitは英国および世界に対する主要なランサムウェアの脅威であったと評価している。この株は2019年末に初めて出現し、2022年までに世界中で最も頻繁に使用される亜種となった。 |
| ・LockBit caused significant disruption to many UK organisations and services, having severe short to medium term impact on prominent services within the private sector. The organised crime group responsible for LockBit, as well as the affiliates using the malware represented a significant threat to victims’ data due to their tactic of stealing data and publishing it on its darkweb data leaks site (DLS). | ・LockBitは英国の多くの組織やサービスに大きな混乱を引き起こし、民間部門の著名なサービスに短期から中期にかけて深刻な影響を与えた。LockBitの実行犯である組織犯罪グループと、このマルウェアを使用する関連会社は、データを盗み出し、ダークウェブ・データリークス・サイト(DLS)で公開するという手口により、被害者のデータにとって重大な脅威となった。 |
| ・According to industry sources, LockBit have leaked data from more victims on their DLS than any other ransomware group since records began, with more than 2000 victims worldwide listed. | ・業界筋によると、LockBitは記録が始まって以来、他のどのランサムウェアグループよりも多くの被害者のデータをDLSに流出させており、全世界で2000人以上の被害者がリストアップされているという。 |
| ・You can report a suspected cyber crime online here - Where to Report a Cyber Incident - GOV.UK (www.gov.uk) | ・サイバー犯罪の疑いがある場合、オンラインで報告することができる - サイバーインシデントの報告先 - GOV.UK (www.gov.uk) |
オーストラリア
● Minister for Foreign Affairs
・2024.05.08 Cyber sanction imposed on Russian citizen for ransomware activity
| Cyber sanction imposed on Russian citizen for ransomware activity | ランサムウェア活動でロシア市民にサイバー制裁を科す |
| Joint media release with: | 共同メディアリリース |
| ・The Hon Richard Marles, Deputy Prime Minister and Minister for Defence | ・リチャード・マールズ副首相兼国防大臣 |
| ・The Hon Clare O’Neil MP, Minister for Cyber Security | ・クレア・オニール議員(サイバーセキュリティ担当大臣 |
| Australia has imposed a targeted financial sanction and travel ban on Russian citizen Dmitry Yuryevich Khoroshev for his senior leadership role in the LockBit ransomware group. | オーストラリアは、ロックビット(LockBit)ランサムウェア・グループで指導的役割を果たしたロシア人ドミトリー・ユリエヴィチ・ホロシェフ(Dmitry Yuryevich Khoroshev)氏に対し、経済制裁と渡航禁止を科した。 |
| This is the second use of Australia's autonomous cyber sanctions framework and part of ongoing coordinated international law enforcement action. | これは、オーストラリアの自律的なサイバー制裁の枠組みを利用した2回目のもので、現在進行中の国際的な法執行活動の一環である。 |
| Australia continues to experience an increase in persistent and pervasive ransomware activity by cyber criminals across Australian critical infrastructure, government, industry and community sectors. | オーストラリアでは、オーストラリアの重要なインフラ、政府、産業、コミュニティーの各セクターで、サイバー犯罪者による執拗で広範なランサムウェア活動が増加し続けている。 |
| Under Operation Cronos, the Australian Signals Directorate and Australian Federal Police worked with international partners, including the United Kingdom (UK) and United States (US), to identify Dmitry Yuryevich Khoroshev as part of LockBit's senior leadership. | クロノス作戦の下、オーストラリア信号総局とオーストラリア連邦警察は、英国(UK)や米国(US)を含む国際的なパートナーと協力し、ドミトリー・ユリエヴィチ・ホロシェフをロックビットの上級指導者の一人として特定した。 |
| Lockbit is a prolific criminal ransomware group and works to destabilise and disrupt key sectors for financial gain. | ロックビットは多産な犯罪的ランサムウェアグループであり、金銭的利益を得るために主要セクターを不安定化させ、混乱させるために活動している。 |
| LockBit ransomware has been used against Australian, UK and US businesses, comprising 18% of total reported Australian ransomware incidents in 2022-23 and 119 reported victims in Australia. | ロックビットのランサムウェアはオーストラリア、英国、米国の企業に対して使用されており、2022-23年に報告されたオーストラリアのランサムウェアインシデント全体の18%を占め、オーストラリアでは119件の被害が報告されている。 |
| The new sanction under the cyber sanctions framework makes it a criminal offence to provide assets to Dmitry Yuryevich Khoroshev, or to use or deal with his assets. | サイバー制裁の枠組みに基づく新たな制裁は、ドミトリー・ユリエヴィチ・ホロシェフに資産をプロバイダとして提供すること、あるいは彼の資産を使用したり取引したりすることを犯罪とする。 |
| The framework is intended to disrupt and deter the perpetrators of malicious cyber activity, such as ransomware. | この枠組みは、ランサムウェアのような悪質なサイバー活動の加害者を混乱させ、抑止することを目的としている。 |
| The Australian Government continues to discourage businesses and individuals from paying ransoms or extortion claims to cyber criminals and can provide help and advice. | オーストラリア政府は、企業や個人がサイバー犯罪者に身代金や恐喝金を支払うことを引き続き推奨しており、支援やアドバイスを提供することができる。 |
| If you are asked to pay a ransom you should: | 身代金の支払いを要求された場合は、以下のことを行うべきである: |
| ・Call the Australian Cyber Security Hotline on 1300 CYBER1 (1300 292 371) for cyber security assistance; and | ・オーストラリアのサイバーセキュリティ・ホットライン(1300 CYBER1 (1300 292 371))に電話し、サイバーセキュリティに関する支援を求める。 |
| ・Report the cybercrime, incident or vulnerability to the Australian Signals Directorate | ・サイバー犯罪、インシデント、脆弱性をオーストラリア信号総局に報告する。 |
| Australian businesses can help protect themselves from ransomware by backing up their files and work, and ensuring staff remain vigilant to possible threats. | オーストラリアの企業は、ファイルや作業をバックアップし、従業員が可能性のある脅威への警戒を怠らないようにすることで、ランサムウェアから身を守ることができる。 |
| More information and tips can be found at Ransomware | Cyber.gov.au | より詳しい情報とヒントは、ランサムウェア|Cyber.gov.auに掲載されている。 |
| Further detail about Operation Cronos can be found on the AFP website. | クロノス作戦の詳細については、AFPのウェブサイトを参照のこと。 |
| Quote attributable to Deputy Prime Minister and Minister for Defence, Richard Marles: | リチャード・マールス副首相兼国防相の言葉を引用する: |
| "We continue to see governments, critical infrastructure, businesses and households in Australia targeted by malicious cyber actors. | 「オーストラリアでは、政府、重要インフラ、企業、一般家庭が悪意のあるサイバー犯罪者に狙われている。 |
| The Australian Signals Directorate and the Australian Federal Police have worked with international counterparts to link Dmitry Yuryevich Khoroshev to LockBit's senior leadership. | オーストラリア通信総局とオーストラリア連邦警察は、ドミトリー・ユリエヴィチ・ホロシェフをロックビットの幹部と結びつけるために、国際的な協力機関と協力してきた。 |
| "Cyber sanctions are a key component of the Australian Government's work to deter cybercrime and help protect Australians by exposing the activities and identity of cyber criminals operating across jurisdictions." | サイバー制裁は、サイバー犯罪を抑止するためのオーストラリア政府の活動の重要な要素であり、管轄区域を超えて活動するサイバー犯罪者の活動や身元を明らかにすることで、オーストラリア国民の保護に役立つ |
| Quote attributable to Minister for Foreign Affairs, Senator the Hon Penny Wong: | ペニー・ウォン外務大臣による: |
| "Australia remains committed to promoting a rules-based cyberspace, grounded in international law and norms of responsible behaviour, and holding accountable those who flout the rules." | 「オーストラリアは、国際法と責任ある行動規範に基づき、ルールに基づくサイバー空間を推進し、ルールに背く者に責任を負わせることに引き続き尽力する。 |
| "Sanctions impose costs and consequences on individuals for their actions – we will continue to use them where and when appropriate." | 「制裁措置は、個人の行動に対してコストと結果を課すものであり、我々は適切な場合、適切な場所で制裁措置を継続する。 |
| Quote attributable to Minister for Cyber Security, the Hon Clare O'Neil MP: | クレア・オニール・サイバーセキュリティ大臣の言葉である: |
| "Today's announcement demonstrates the Australian Government's ongoing commitment under the 2023-2030 Australian Cyber Security Strategy to continue to deter and respond to malicious cyber activity. | 「本日の発表は、2023-2030年オーストラリア・サイバーセキュリティ戦略の下、悪質なサイバー活動を抑止し対応し続けるというオーストラリア政府の継続的なコミットメントを示すものである。 |
| "This sanction is an important step in breaking the ransomware business model, preventing cybercriminals from profiting from attacks on Australian citizens and businesses. | 「今回の制裁は、ランサムウェアのビジネスモデルを打破し、サイバー犯罪者がオーストラリア市民や企業への攻撃から利益を得ることを防ぐための重要な一歩である。 |
| "The damage done by LockBit in Australia is significant. For too long, criminals like those behind LockBit have hidden in the shadows. Our government is changing that. Hunting down cyber criminals by working with our international partners to hack the hackers and punishing them where we can." | 「ロックビットがオーストラリアに与えた被害は大きい。あまりにも長い間、ロックビットの背後にいるような犯罪者は影に隠れていた。政府はそれを変えようとしている。国際的なパートナーと協力してハッカーをハッキングし、可能な限り罰することで、サイバー犯罪者を追い詰めている" |
ユーロポール
● Europol
・2024.05.07 New series of measures issued against the administrator of LockBit
| New series of measures issued against the administrator of LockBit | LockBitの管理者に対する新たな一連の措置が発表された。 |
| Today, authorities from the United Kingdom, United States and Australia are revealing the second phase of Operation Cronos – the sanctions. | 本日、英国、米国、オーストラリアの認可は、「オペレーション・クロノス」の第二段階である制裁措置を明らかにした。 |
| The administrator and developer of LockBit, a Russian national, is now subject to a series of asset freezes and travel bans issued by the UK Foreign, Commonwealth and Development Office, alongside the US Department of the Treasury’s Office of Foreign Assets Control (OFAC) and the Australian Department of Foreign Affairs and Trade. | LockBitの管理者であり開発者であるロシア人は、現在、米国財務省外国資産管理局(OFAC)およびオーストラリア外務貿易省と並んで、英国外務・連邦・開発局による一連の資産凍結および渡航禁止の対象となっている。 |
| Prosecutors in the United States have also unsealed an indictment against him based on his alleged role as the creator, developer, and administrator of the LockBit ransomware variant. Additionally, authorities in the United States are offering a reward of up to USD 10 million for information leading to his arrest and/or conviction. | 米国の検察当局はまた、LockBitランサムウェア亜種の作成者、開発者、管理者としての彼の役割の疑いに基づき、彼に対する起訴状を公開した。さらに米国当局は、彼の逮捕および/または有罪判決につながる情報に対して最高1000万米ドルの報奨金を提供している。 |
| These measures follow a first phase of action in February 2024 which was led by the UK’s National Crime Agency and resulted in the compromise of LockBit’s primary platform and other critical infrastructure. The sanctions form part of a concerted campaign supported by Europol and Eurojust to severely damage the capability and credibility of the LockBit ransomware group. | これらの措置は、2024年2月に英国国家犯罪局が主導し、LockBitの主要プラットフォームやその他の重要インフラを侵害した第一段階の措置に続くものである。今回の制裁措置は、欧州刑事警察機構と欧州司法機構が支援する、ランサムウェア集団LockBitの能力と信頼性に深刻なダメージを与えるための協調キャンペーンの一環である。 |
| The true impact of LockBit’s criminality was previously unknown, but data obtained from their systems showed that more than 7 000 attacks were built using their services between June 2022 and February 2024. The top five countries hit were the United States, United Kingdom, France, Germany and China. | ロックビットの犯罪行為の真の影響はこれまで不明だったが、彼らのシステムから入手したデータによると、2022年6月から2024年2月までの間に、7000件以上の攻撃が彼らのサービスを利用して構築されていた。攻撃を受けた上位5カ国は米国、英国、フランス、ドイツ、中国だった。 |
| Europol disseminates some 3 500 victim intelligence packages | 欧州刑事警察機構は約3,500件の被害者情報パッケージを配布している。 |
| Law enforcement is now in possession of over 2 500 decryption keys and are continuing to contact LockBit victims to offer support. | 法執行機関は現在、2,500以上の復号鍵を所持しており、ロックビットの被害者に連絡を取り、支援を提供し続けている。 |
| Europol has been exploiting the vast amount of data gathered during the investigation and the first phase of action to identify these victims, who are located all over the world. Its European Cybercrime Centre (EC3) has disseminated some 3 500 intelligence packages containing information about Lockbit victims to 33 countries. | 欧州刑事警察機構(Europol)は、世界中にいる被害者を特定するため、捜査と第一段階の活動で収集した膨大なデータを活用している。欧州サイバー犯罪センター(EC3)は、ロックビットの被害者に関する情報を含む約3,500の情報パッケージを33カ国に配布した。 |
| With Europol’s support, the Japanese Police, the National Crime Agency and the Federal Bureau of Investigation have concentrated their technical expertise to develop decryption tools designed to recover files encrypted by the LockBit ransomware. | 欧州刑事警察機構の支援を受けて、日本の警察、国家犯罪対策庁、連邦捜査局は、ロックビット・ランサムウェアによって暗号化されたファイルを復元するために設計された復号化ツールを開発するために、それぞれの技術的専門知識を集中させた。 |
| These solutions have been made available for free on the No More Ransom portal, available in 37 languages. | これらのソリューションは、37の言語で利用可能なNo More Ransomポータルで無料で利用できるようになった。 |
NCAが管理するリークサイトは、犯罪グループを暴露する様々な情報をホストするために再び使用されている。以下のリンクからTor経由でアクセスできる:
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.02.21 警察庁 ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウン関係とランサムウェアによる暗号化被害データに関する復号ツールの開発
・2024.02.21 米国 英国 LockBitのネットワークに侵入し破壊
・2023.09.13 英国 NCSC ランサムウェア、恐喝、サイバー犯罪のエコシステムについての白書
・2023.07.26 Europol インターネット組織犯罪評価(IOCTA)2023 (2023.07.19)
・2023.06.16 Five Eyes ドイツ フランス LookBitに対する包括的なアドバイザリーを公表
・2023.05.20 米国 司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴
・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)
・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識
こんにちは、丸山満彦です。
そういえば、ブログの記事数が6,000を超えているみたいです...
介護施設において、従業員が入居者に虐待をしていないかを監視するためのビデオ監視システムの導入についてのガイダオですね...(施設側が導入するものであり、親族側で導入するものはこれとはまた別...)日本も高齢化が進むとこういう問題も検討していくことが重要となっていくんでしょうね...
フランスのCNILの見解は、特別な場合を除き、介護施設は入所者の寝室にビデオ監視システムを設置してはならない...というかんじですね...
特別な場合というのは、虐待が疑われる場合などが考えられますね...
でも、虐待が疑われると言っても、親族の訪問時にはビデオを止めないといけないとか...厳密ですよね...
フランスのプライバシー保護の感覚が理解できるかもしれませんね...
● Commission nationale de l'informatique et des libertés; CNIL
プレス...
・2024.05.02 Vidéosurveillance dans les chambres d’Ehpad : la CNIL publie sa recommandation
| Vidéosurveillance dans les chambres d’Ehpad : la CNIL publie sa recommandation | 介護施設におけるビデオ監視:CNILが勧告を発表 |
| Adoptée à la suite d’une consultation publique, cette recommandation rappelle que les Ehpad ne sont pas censés installer des dispositifs de vidéosurveillance dans les chambres des résidents, sauf circonstances exceptionnelles. | この勧告は、特別な場合を除き、介護施設は入所者の寝室にビデオ監視システムを設置してはならないとするものである。 |
| À la suite de la médiatisation de cas de maltraitance au sein d’établissements d’hébergement pour personnes âgées dépendantes (Ehpad), la CNIL a été saisie de plusieurs demandes de conseil concernant l’installation de dispositifs de vidéosurveillance dans les chambres des résidents de ces établissements. | 依存的な高齢者のための宿泊施設(Ehpad)で虐待が行われた事例がメディアで報道されたことを受け、CNILは、これらの施設の入所者の寝室にビデオ監視システムを設置することについての助言を求める要請を数件受けた。 |
| Afin de répondre à ces préoccupations, la CNIL a ainsi soumis un projet de recommandation à une consultation publique en 2023. Les nombreuses contributions reçues lui ont permis de mieux comprendre les préoccupations du public et les besoins du secteur, et d’enrichir sa recommandation définitive. | このような懸念に対応するため、CNILは2023年に勧告案を提出し、公開協議を行った。寄せられた多くの投稿により、CNILは国民の懸念とこの分野のニーズをより深く理解し、最終勧告をより充実したものにすることができた。 |
| Des conditions restrictives de mise en œuvre | 厳しい実施条件 |
| Dans sa recommandation, la CNIL précise les conditions qu’un établissement doit remplir avant d’envisager la mise en place d’un dispositif de vidéosurveillance dans des chambres de résidents. En principe, une telle installation ne peut être envisagée que pour assurer la sécurité des personnes hébergées dans le cadre d’une enquête pour maltraitance (conditions cumulatives) seulement : | CNILは勧告の中で、居住者の部屋にビデオ監視システムの設置を検討する前に、施設が満たさなければならない条件を明記している。原則として、このような設置が検討されるのは、虐待の調査の一環として入居者の安全を確保する場合に限られる(累積条件): |
| ・en cas de suspicion étayée de mauvais traitements (hématomes constatés, changements comportementaux, etc.) malgré les dispositifs alternatifs mis en place pour assurer la sécurité des personnes hébergées (par exemple, un bouton d’appel d’urgence sans fil, des procédures de signalement et de suivi d’événements préoccupants, la création d’équipe de travail afin de permettre l’intervention des soignants en binôme) ; | 収・容者の安全を確保するための代替措置(例えば、無線緊急通報ボタン、懸念される事象の報告および監視のための手順、ケアワーカーが2人1組で介入できるようにするための作業チームの設置など)が講じられているにもかかわらず、虐待の疑い(血腫の観察、行動の変化など)が立証された場合; |
| ・ET après échec des procédures d’enquêtes n’ayant pas permis de détecter une situation de maltraitance, dès lors qu’un doute subsiste. | ・調査手順がうまくいかず、虐待の状況を発見できなかった後、疑いが残る場合。 |
| Avant la mise en place d’un dispositif de vidéosurveillance, l’établissement doit notamment respecter les garanties suivantes : | ビデオ監視システムを設置する前に、施設は特に以下の保証に従わなければならない: |
| ・limiter l’activation dans le temps ; | ・時間の経過とともに作動を制限すること; |
| ・désactiver le dispositif de vidéosurveillance lors des visites des proches, sauf si le soupçon de maltraitance porte sur ces derniers ; | ・虐待が疑われない限り、親族の訪問時にはビデオ監視システムを停止すること; |
| ・établir et appliquer un cadre interne quant aux conditions justifiant l’installation d’un dispositif de vidéosurveillance. Cette procédure devrait avoir été préalablement présentée au Conseil de la vie sociale (CVS), qui pourra formuler des propositions ; | ・ビデオ監視システムの設置を正当化する条件のための内部枠組みを確立し、適用すること。この手続きは事前に社会生活協議会(CVS)に提示されるべきであり、CVSは提案を行うことができる; |
| ・informer les salariés de manière individuelle et collective quant à la possibilité que des dispositifs de vidéosurveillance soient installés au sein des chambres des résidents ; | ・入居者の部屋にビデオ監視システムが設置される可能性があることを、従業者に個人的・集団的に知らせる; |
| ・recueillir le consentement des personnes hébergées ou lorsque la personne n’est pas en mesure de consentir, celui-ci devra être recueilli dans le respect des règles spécifiques liées à la protection des majeurs ; | ・入居者の同意を得るか、本人が同意できない場合は、成人の保護に関する特定の規則に従って同意を得なければならない; |
| ・« flouter », dans la mesure du possible, les parties intimes de la personne concernée dès lors que les soins qui lui sont apportés sont réalisés dans son lit ; | ・ベッド上で介護を行う場合、可能な限り、当該者のプライベートな部分を「ぼかす」こと; |
| ・insérer au sein du règlement intérieur la possibilité qu’un dispositif de vidéosurveillance soit mis en place dans la chambre d’un résident en cas de suspicions fortes de maltraitance et y faire notamment figurer les modalités de visionnage ; | ・虐待が強く疑われる場合、入居者の居室にビデオ監視システムを設置する可能性を内規に盛り込むこと; |
| ・lorsque la demande émane de la famille ou des proches, l’installation d’un tel dispositif devrait être réalisée en concertation avec l’établissement, tenant compte des procédures d’enquêtes, du respect du cadre interne en matière de faisceaux d’indices, de l’information du personnel, le cas échéant ; | ・家族または親しい友人からの要請があった場合、そのようなシステムの設置は、調査手順、証拠の束に関する内部規定の遵守、および該当する場合は職員の情報を考慮し、施設と協議の上、実施されるべきである; |
| ・sensibiliser et former le personnel chargé de gérer et de mettre en œuvre ces dispositifs. | ・このようなシステムの管理・実施に責任を持つ職員を教育・訓練すること。 |
| L’interdiction d’installer des caméras pour améliorer le service offert à la personne concernée | 関係者へのサービス向上のためのカメラ設置の禁止 |
| Au regard des atteintes à la dignité des personnes hébergées, il est en principe interdit d’installer des caméras pour améliorer le service offert à la personne concernée en renforçant son « confort » (par exemple intervention rapide en cas de demande particulière formulée par la personne), même lorsqu’elle a donné son consentement. La CNIL estime à cet égard que d’autres dispositifs moins attentatoires à la vie privée des personnes hébergées existent et devraient être privilégiés pour atteindre cette finalité (enquêtes de satisfaction, cahiers de doléance, dispositifs d’appel-malade, dialogue avec le Conseil de vie sociale, etc.). | 入居者の尊厳に対する攻撃を考慮すると、たとえ入居者の同意があったとしても、入居者の「快適さ」(例えば、入居者から特定の要求があった場合の迅速な介入)を向上させることによって、入居者に提供されるサービスを改善するためにカメラを設置することは原則として禁止されている。この点に関して、CNILは、この目的を達成するためには、入居者のプライバシーにあまり立ち入らない他のシステム(満足度調査、苦情の小冊子、シックコールシステム、社会生活協議会との対話など)が存在し、それを優先すべきであると考えている。 |
| Par ailleurs, pour assurer la sécurité des personnes hébergées en cas de chute ou d’accident, la CNIL rappelle que des dispositifs autres que ceux utilisant la vidéosurveillance peuvent être mis en place (capteurs de présence placés sous le sol et susceptibles de détecter la moindre anomalie, bracelet susceptible de détecter une chute brutale grâce à un accéléromètre, capteurs/boitiers infrarouges capables de détecter une chute et d’envoyer un message d’alerte au personnel, etc.). | さらに、転倒や事故が発生した場合の入居者の安全を確保するために、CNILは、ビデオ監視を利用した装置以外の装置を設置することも可能であると指摘している(床下に設置され、わずかな異常を検知できる存在センサー、加速度計を利用して急な転倒を検知できるブレスレット、転倒を検知してスタッフに警告メッセージを送信できる赤外線センサー/ボックスなど)。 |
| La nécessité de réaliser une analyse d’impact relative à la protection des données (AIPD) | データ保護影響評価(DPIA)の必要性 |
| Au regard des risques élevés qu’est susceptible d’engendrer ce traitement pour les droits et libertés des personnes concernées, les organismes mettant en œuvre ce dispositif de vidéosurveillance devront réaliser une AIPD. | この処理が関係者の権利と自由にもたらす可能性の高いリスクを考慮すると、このビデオ監視システムを導入する組織はDPIAを実施しなければならない。 |
| La CNIL se tient, à cet égard, à la disposition des organismes pour les accompagner dans la réalisation de leur AIPD. | この点に関して、CNILはDPIAの実施を支援するため、組織を自由に利用できる。 |
| Document reference | 参考文書 |
| Recommandation relative à l’installation de dispositifs de vidéosurveillance au sein des chambres d’Ehpad | 介護施設の居室へのビデオ監視システムの設置に関する勧告 |
| Recommandation - Mise en place de dispositifs de vidéosurveillance au sein des chambres des établissements accueillant des personnes âgées | 勧告 - 高齢者施設の寝室におけるビデオ監視システムの設置 |
| [ PDF-298.94 Ko ] | [PDF-298.94 Ko] |
| Texte reference | 参考テキスト |
| Texte de référence | 参考テキスト |
| Délibération n° 2024-024 du 29 février 2024 portant adoption d'une recommandation relative à la mise en place de dispositifs de vidéosurveillance au sein des chambres des établissements accueillant des personnes âgées (Légifrance) | 高齢者向け施設の居室におけるビデオ監視システムの設置に関する勧告を採択する2024年2月29日付審議No.2024-024(レギフランス) |
| Texte reference | 参考資料 |
| Pour approfondir | 詳細はこちら |
| L'accompagnement social et médico-social | 社会的および医療社会的支援 |
| Les personnes âgées, en situation de handicap ou en difficulté | 高齢者、障害者、困難な状況にある人々 |
・[PDF]
| Délibération n° 2024-024 du 29 février 2024 portant adoption d'une recommandation relative à la mise en place de dispositifs de vidéosurveillance au sein des chambres des établissements accueillant des personnes âgées | 高齢者施設の居室におけるビデオ監視システムの設置に関する勧告を採択した2024年2月29日付審議第2024-024号 |
| La Commission nationale de l’informatique et des libertés, | フランス情報保護局 |
| Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ; | 個人データの処理に関する個人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会規則(EU)2016/679を考慮し、指令95/46/EC(一般データ保護規則またはGDPR)を廃止する; |
| Vu la loi n° 7 8-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 8-I-2°-b) ; | 情報処理、データファイルおよび個人の自由に関する1978年1月6日改正法第78-17号(「情報処理および個人の自由に関する法律」)、特にその第8条-I-2°-b)を考慮する; |
| Après avoir entendu le rapport de M. Philippe Latombe, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement, | Philippe Latombe委員の報告およびDamien Milic政府委員の見解を聴取した、 |
| Adopte une recommandation relative à la mise en place de dispositifs de vidéosurveillance au sein des chambres des établissements accueillant des personnes âgées. | 高齢者施設の寝室におけるビデオ監視システムの設置に関する勧告を採択する。 |
| Article 1er : Le contexte | 第1条:背景 |
| 1. À la suite de la médiatisation de cas de maltraitance au sein d’établissements d’hébergement pour personnes âgées dépendantes (EHPAD), certains organismes sociaux et médico-sociaux ont interrogé la CNIL concernant la possibilité et les conditions d’’installation de dispositifs de vidéosurveillance au sein des chambres des résidents. | 1. 扶養高齢者施設(EHPAD)における虐待の事例が報道されたことを受け、一部の社会団体および医療社会団体は、CNILに対し、入居者の寝室にビデオ監視システムを設置する可能性と条件について質問した。 |
| L’installation de caméras dans les lieux ouverts au public tels que les espaces d’entrée et de sortie d’un organisme social ou médico-social est soumise aux dispositions du RGPD et de la loi « informatique et libertés » ; elle doit également faire l’objet d’une autorisation délivrée par la préfecture du lieu d’implantation du dispositif. | 社会的・医療的組織の出入り口など、一般に公開されている場所へのカメラの設置は、RGPDおよびフランスデータ保護法の規定に従う。 |
| Concernant les espaces des EHPAD ouverts aux résidents, à leurs invités et au personnel, l’installation de dispositifs de vidéosurveillance est en principe autorisée pour assurer la sécurité des biens et des personnes à condition de ne pas placer sous surveillance constante les salariés ou les résidents (Pour plus d’informations, nous vous invitons à consulter la page « Vidéosurveillance – Vidéoprotection »). | 入居者、そのゲスト、職員が出入りする老人ホームのエリアに関しては、従業員や入居者が常時監視下に置かれていないことを条件に、原則として、人と財産の安全を確保するためにビデオ監視システムの設置が許可されている(詳細については、「ビデオ監視-ビデオ保護」のページを参照)。 |
| 2. L’installation de caméras au sein des chambres de personnes hébergées dans des EHPAD soulève, en revanche, de nombreuses interrogations juridiques et éthiques. Un tel dispositif est en effet susceptible de porter atteinte tant aux droits des salariés qu’à ceux des personnes hébergées pour lesquelles la chambre représente le seul espace d’intimité dans lequel elles peuvent poursuivre leur vie affective et familiale. | 2. 一方、老人ホームに入居する人々の寝室にカメラを設置することは、多くの法的・倫理的問題を提起する。このようなシステムは、寝室が感情や家庭生活を追求できる唯一のプライバシーの場所である従業員と入居者の両方の権利を侵害する可能性が高い。 |
| 3. La présente recommandation a vocation à encadrer les dispositifs de vidéosurveillance mis en place par les seuls EHPAD (les établissements médicaux étant confrontés à des contraintes différentes) et non par les proches des résidents. Ces derniers sont invités à se rapprocher des directions d’établissements, dans l’hypothèse où ils envisageraient l’installation d’une caméra pour assurer la sécurité du membre de leur famille. Seul l’établissement peut en principe mettre en place le dispositif, afin que celui-ci soit le plus respectueux des droits et libertés de chacun. | 3. この勧告の目的は、ナーシングホーム(医療施設は異なる制約に直面している)が単独で設置するビデオ監視システムの枠組みを提供することであり、入居者の親族が設置するものではない。親族は、家族の安全を確保するためにカメラの設置を検討している場合、施設の管理者に連絡するよう求められる。原則として、すべての入居者の権利と自由を尊重するために、施設のみがシステムを設置することができる。 |
| RÉPUBLIQUE FRANÇAISE | フランス共和国 |
| 3 Place de Fontenoy, TSA 80715 – 75334 PARIS CEDEX 07 – 01 53 73 22 22 – www.cnil.fr | 3 Place de Fontenoy, TSA 80715 - 75334 PARIS CEDEX 07 - 01 53 73 22 22 - www.cnil.fr |
| Les données personnelles nécessaires à l’accomplissement des missions de la CNIL sont traitées dans des fichiers destinés à son usage exclusif. | CNILの業務遂行に必要な個人情報は、CNIL専用のファイルとして処理される。 |
| Les personnes concernées peuvent exercer leurs droits Informatique et Libertés en s’adressant au délégué à la protection des données (DPO) de la CNIL via un formulaire en ligne ou par courrier postal. Pour en savoir plus :[web]. | 関係者は、オンラインフォームまたは郵送でCNILのデータ保護責任者(DPO)に連絡することにより、データ保護の権利を行使することができる。詳細は[web]. |
| Article 2 : Les enjeux | 第2条:課題 |
| 2.1 - Le nécessaire respect de la vie privée et de l’intimité des personnes hébergées | 2.1 - ホストされた個人のプライバシーと親密性を尊重する必要性 |
| 4. La question essentielle pour toute structure souhaitant installer des caméras dans les chambres des résidents repose sur l’équilibre à trouver entre la sécurité offerte par ce système aux personnes hébergées et le respect de leur vie privée et de leur intimité (art. 8 de la Convention européenne des droits de l’Homme, art. 7 de la Charte des droits fondamentaux, art. 9 du code civil). | 4. 入居者の居室にカメラを設置しようとする組織にとって重要な問題は、このシステムによって入居者に提供されるセキュリティと、入居者のプライバシーと親密さの尊重との間でバランスをとることである(欧州人権条約第8条、基本権憲章第7条、民法第9条)。 |
| 5. Le déploiement de tels dispositifs est susceptible de priver les personnes hébergées de la possibilité de pouvoir vivre dans leur chambre sans être l’objet d’une surveillance, et notamment d’une surveillance permanente, ce qui constitue une atteinte à leurs droits fondamentaux. | 5. このような機器の配備は、監視、特に常時監視を受けることなく自室で生活する可能性を住民から奪う可能性が高く、住民の基本的権利の侵害を構成する。 |
| 6. L’installation de caméras doit en conséquence répondre à un réel besoin et être mis en œuvre sous réserve du respect de conditions strictes du RGPD et de la loi « informatique et libertés ». | 6. したがって、カメラの設置は真の必要性を満たすものでなければならず、RGPDとフランス情報保護法の厳格な条件を遵守した上で実施されなければならない。 |
| Au regard des atteintes à la dignité des personnes hébergées, il est en principe interdit d’installer des caméras pour améliorer le service offert à la personne concernée en renforçant son « confort » (par exemple intervention rapide en cas de demande particulière formulée par la personne), même lorsqu’elle a donné son consentement. | 被入居者の尊厳に対する攻撃を考慮すると、たとえ被入居者の同意があったとしても、被入居者の「快適性」(たとえば、被入居者から特別な要求があった場合の迅速な介入)を向上させることによって、当該被入居者に提供されるサービスを改善するためにカメラを設置することは原則として禁止される。 |
| D’autres dispositifs moins attentatoires à la vie privée des personnes hébergées devraient être privilégiés (enquêtes de satisfaction ; cahiers de doléances à destination des personnes hébergées et des familles ; dispositifs d’appel-malade disposant de modalités d’activités variées – à la voix, au geste, etc. - ; dialogue avec le Conseil de la vie sociale ; etc.). | その他、入居者のプライバシーを侵害することの少ないシステム(満足度調査、入居者とその家族向けの苦情小冊子、音声、ジェスチャーなど様々な活動モードを備えた患者コールシステム、生活協議会との対話など)が好まれるべきである。- 社会生活協議会との対話など)。 |
| En conséquence, un dispositif de vidéosurveillance mis en œuvre pour une telle finalité ne satisfait pas, en principe, aux conditions de nécessité et de proportionnalité auxquelles doivent se conformer les organismes souhaitant mettre en œuvre un traitement. L’amélioration du service offert aux personnes ne saurait en effet justifier une atteinte aussi forte aux droits et libertés des personnes concernées. | したがって、このような目的で導入されたビデオ監視システムは、原則として、処理を導入しようとする組織が遵守しなければならない必要性と比例性の条件を満たさない。個人に提供されるサービスを向上させることは、当該個人の権利と自由をこのように大きく侵害することを正当化することはできない。 |
| Par ailleurs, pour assurer la sécurité des personnes hébergées en cas de chute ou d’accident, des dispositifs autres que ceux utilisant la vidéosurveillance peuvent être mis en place (capteurs de présence placés sous le sol et susceptibles de détecter la moindre anomalie, bracelet susceptible de détecter une chute brutale grâce à un accéléromètre, capteurs/boîtiers infrarouges capables de détecter une chute et d’envoyer un message d’alerte au personnel, etc.), sous réserve du recueil du consentement de la personne hébergée (lorsqu’elle n’est pas en mesure de consentir, celui-ci devra être recueilli, le cas échéant, dans le respect des règles spécifiques liées à la protection des majeurs). | さらに、転倒や事故が発生した場合の入居者の安全を確保するために、関係者の同意のもと、ビデオ監視を利用した装置以外の装置(床下に設置され、わずかな異常を検知できる存在センサー、加速度計を利用して急な転倒を検知できるリストバンド、転倒を検知してスタッフに警告メッセージを送信できる赤外線センサー/ボックスなど)を設置することができる。 入居者の同意が得られない場合は、成人の保護に関する具体的な規則に従い、場合によっては同意を得なければならない)。 |
| Dès lors, l’installation d’un dispositif de vidéosurveillance ne peut être envisagé que pour assurer la sécurité des personnes hébergées dans le cadre d’une enquête pour maltraitance (conditions cumulatives) : | 従って、ビデオ監視システムの設置は、虐待の調査(累積条件)においてのみ、入居者の安全を確保するためにのみ想定される: |
| ・en cas de suspicion étayée de mauvais traitement (hématomes constatés, changements comportementaux, etc.) malgré les dispositifs alternatifs mis en place (par exemple un bouton d’appel d’urgence sans fil, des procédures internes de détection des événements indésirables, des procédures de signalement et de suivi d’événements préoccupants, la création d’équipe de travail afin de permettre l’intervention des soignants en binôme), | ・虐待の疑いが立証された場合(血腫の観察、行動の変化など)、代替措置(例:無線緊急通報ボタン、望ましくない出来事を検知するための内部手順、心配な出来事を報告しフォローアップするための手順、ケアスタッフが2人1組で働けるようにするための作業チームの設置など)が講じられているにもかかわらず、 |
| ・après échec des procédures d’enquêtes internes si celles-ci n’ont pas permis de lever le doute sur une situation de maltraitance ou d’en déterminer l’origine. | ・虐待の状況についての疑念を取り除くことができなかった場合、またはその原因を特定することができなかった場合、内部調査手続きが失敗した後。 |
| 2.2 - La proportionnalité du contrôle d’activité des salariés | 2.2 - 従業員の行動監視の比例性 |
| 7. Chacun a droit au respect de sa vie privée, y compris les salariés sur leur lieu de travail et pendant leur temps de travail. | 7. すべての人は、職場内および勤務時間中の従業員を含め、私生活を尊重される権利を有する。 |
| 8. Si le pouvoir de surveillance de l’employeur est légitime puisqu’il est conduit à contrôler le travail réalisé, à l’évaluer et à donner des directives sur celui à effectuer, ce pouvoir comporte des limites tenant à la transparence de la mesure, à sa légitimité et à sa proportionnalité par rapport au but poursuivi. | 8. 使用者の監視権限は、遂行される仕事を監視し、それを評価し、遂行されるべき仕事について指示を与えることにつながるため、合法的なものであるが、この権限には、措置の透明性、正当性、追求される目的との関係における比例性という点で限界がある。 |
| 9. Ainsi, les dispositifs de vidéosurveillance sur les lieux de travail, qui sont notamment légitimes dès lors qu’ils visent à assurer la sécurité des biens et des personnes hébergées, doivent veiller à ne pas porter une atteinte disproportionnée aux droits et libertés fondamentaux des salariés. | 9. 従って、職場におけるビデオ監視システムは、特に財産や収容される人の安全を確保することを目的とする場合には合法的であるが、従業員の基本的権利と自由を不当に侵害しないようにしなければならない。 |
| 10. Une telle atteinte serait constituée si les salariés étaient surveillés en continu sur leur poste de travail ou pendant l’exercice de leur activité professionnelle, sauf à justifier de circonstances particulières justifiant cette atteinte. | 10. このような侵害は、そのような侵害を正当化する特別な事情が証明されない限り、従業員がワークステーションで、または職業活動の遂行中に継続的に監視される場合に構成される。 |
| Article 3 : Les conditions de mise en œuvre de tels dispositifs | 第3条:当該システムの実施条件 |
| À noter | 注意事項 |
| Les établissements, les services et les lieux de vie et d’accueil doivent informer sans délai les autorités administratives compétentes de tout dysfonctionnement grave dans leur gestion ou leur organisation susceptible d’affecter la prise en charge des usagers, leur accompagnement ou le respect de leurs droits (art. L. 331-8-1 du code de l’action sociale et des familles (CASF)). | 施設、サービス、生活施設および受入施設は、利用者に提供されるケア、利用者の支援、または利用者の権利の尊重に影響を及ぼす可能性のある、その管理または組織における重大な不具合について、所轄の行政当局に直ちに報告しなければならない(CASF(Code de l'action sociale et des familles)第331-8-1条)。 |
| Avant d’envisager l’installation de dispositifs de vidéosurveillance au sein d’un établissement pour suspicions fortes de maltraitance, il est important de porter à la connaissance de chaque salarié et intervenant extérieur (psychologue, kinésithérapeute, etc.) les éléments suivants : | 虐待の疑いが強い施設にビデオ監視システムの設置を検討する前に、すべての従業員および外部の協力者(心理学者、理学療法士など)に以下のことを知らせることが重要である: |
| ・une personne physique est susceptible d’engager sa responsabilité pénale en cas de nondénonciation de mauvais traitements infligés à une personne qui n’est pas en mesure de se protéger notamment en raison de son âge ou d’une maladie (article L. 434-3 du code pénal) ; |
・個人は、特に年齢や病気のために自分を守ることができない人に対する虐待を報告しなかった場合、刑事責任を負う可能性がある(フランス刑法434-3条); |
| ・les établissements doivent informer sans délai les autorités administratives compétentes (agence régionale de santé, préfet de département, président du conseil général) de tout dysfonctionnement grave dans leur gestion ou leur organisation, susceptible d’affecter la prise en charge des usagers, leur accompagnement ou le respect de leurs droits ; | ・事業所は、利用者に提供されるケア、利用者の支援、または利用者の権利の尊重に影響を及ぼす可能性のある、管理または組織の重大な不具合について、関連する行政当局(地域保健機関、県知事、一般評議会議長)に直ちに報告しなければならない; |
| ・un salarié ou agent ayant témoigné de mauvais traitements infligés à une personne accueillie au sein de son établissement peut faire l’objet d’une protection identique à celle offerte aux lanceurs d’alerte (art. L. 313-24 du CASF). | ・従業員または代理人が、その施設内で被介護者に行われた虐待を証言した場合、内部告発者に提供される保護と同様の保護を受けることができる(CASF313-24条)。 |
| Ces éléments devraient être rappelés de manière régulière par le personnel encadrant, notamment via des formations spécifiques concernant la lutte contre la maltraitance et lors de la signature du contrat de travail. | 監督スタッフは、特に虐待との闘いに関する特別な研修を通じて、また雇用契約を締結する際に、これらの点について定期的に注意を喚起されるべきである。 |
| 3.1 - Pour assurer la sécurité des personnes hébergées | 3.1 - 入居者の安全を確保するために |
| 11. Un dispositif de vidéosurveillance installé à des fins de prévention des incidents de sécurité dans la chambre d’une personne hébergée apparaît en principe disproportionné dans la mesure où : |
11. 被入居者の居室におけるセキュリティ事故を防止する目的で設置されたビデオ監視システ ムは、原則として、以下の点で不釣り合いであると思われる: |
| ・il porte une atteinte particulièrement forte à la dignité des personnes hébergées, filmées en permanence dans leur lieu de vie ; | ・常時居室を撮影される被入居者の尊厳に特に強い影響を与える; |
| ・il est susceptible de placer les salariés sous surveillance continue. | ・従業員を継続的に監視下に置く可能性がある。 |
| 12. Les organismes devraient étudier la possibilité de mettre en œuvre des moyens alternatifs moins intrusifs pour assurer la sécurité des personnes hébergées (par exemple un bouton d’appel d’urgence sans fil, des procédures internes de détection des événements indésirables, des procédures de signalement et de suivi d’événements préoccupants, la création d’équipes de travail afin de permettre l’intervention des soignants en binôme). | 12. 組織は、入居者の安全を確保するための、より侵入的でない代替手段(例えば、無線緊急通報ボタン、望ましくない出来事を検知するための内部手順、懸念される出来事を報告しフォローアップするための手順、ケアスタッフが2人1組で働けるようにするための作業チームの創設など)を導入する可能性を研究すべきである。 |
| 13. Toutefois, en cas de suspicions fortes de maltraitance à l’encontre d’une personne hébergée, basées sur un faisceau d’indices concordants (hématomes, changements comportementaux, etc.) malgré l’existence de dispositifs alternatifs et d’échecs des procédures d’enquêtes internes, un organisme doit pouvoir installer ponctuellement un dispositif de vidéosurveillance dans la chambre des seules personnes concernées. Dans une telle situation, le responsable de traitement doit cependant apporter des garanties appropriées et notamment : | 13. ただし、代替措置が存在し、内部調査手順が機能していないにもかかわらず、確証となる証拠(血腫、行動の変化など)に基づき、入居者に対する虐待が強く疑われる場合、組織は、関係者の居室のみに臨時でビデオ監視システムを設置できなければならない。ただし、このような場合、データ管理者は適切な保証を提供しなければならない: |
| ・imiter l’activation dans le temps ; |
・時間経過に伴う起動の制限; |
| ・désactiver le dispositif de vidéosurveillance lors des visites de proches sauf si le soupçon de maltraitance porte sur ces derniers ; | ・親族の訪問時には、親族が虐待されている疑いがない限り、ビデオ監視システムを停止すること; |
| ・établir et appliquer un cadre en interne, quant aux conditions justifiant l’installation de ce type de dispositifs (il doit par exemple s’agir d’une demande émanant des proches de la personne hébergée à l’établissement faisant suite à des cas de suspicions fortes et avérées de maltraitance, etc.). Cette procédure devrait avoir été préalablement présentée au Conseil de la vie sociale (CVS), qui pourra formuler des propositions ; | ・この種のシステムの設置を正当化する条件について、内部的な枠組みを確立し、適用すること(例えば、虐待の疑いが強く、証明された場合などには、施設に収容されている人の親族からの要請でなければならない)。この手続きは事前に社会生活協議会(CVS)に提示する必要があり、CVSは提案することができる; |
| ・informer les salariés de manière individuelle (p. ex. : lors de la signature du contrat de travail) et de manière collective (p. ex. : affiches) quant à la possibilité que des dispositifs de vidéosurveillance soient installés au sein des chambres des résidents ; |
・入居者の居室にビデオ監視システムが設置される可能性があることを、従業員に個人的(雇用契約締結時など)に、また集団的(ポスターなど)に知らせる; |
| ・ « flouter », dans la mesure du possible, les parties intimes de la personne concernée dès lors que les soins qui lui sont apportés sont réalisés dans son lit. S’agissant de la prise d’images dans les lieux d’intimité (toilettes, douches), celle-ci doit être proscrite sauf circonstances exceptionnelles (c’est-à-dire lorsque les procédures d’enquêtes internes et le dispositif de vidéosurveillance installé au sein de la chambre n’ont pas permis de détecter une situation de maltraitance mais qu’il subsiste une forte suspicion quant à la possibilité que ces actes soient réalisés au sein de ces lieux) ; | ・ベッド上で介護を行う場合、可能な限り、当該者のプライベートな部分を「ぼかす」こと。プライベートエリア(トイレ、シャワー)で撮影された画像は、例外的な場合(内部調査手続きや居室に設置されたビデオ監視システムで虐待の状況が検出されなかったが、これらのエリアでこれらの行為が行われた可能性が強く疑われる場合)を除き、禁止されなければならない; |
| ・insérer au sein du règlement intérieur la possibilité qu’un dispositif de vidéosurveillance soit mis en place dans la chambre d’un résident en cas de suspicions fortes de maltraitance et y faire notamment figurer les modalités de visionnage (accès aux images strictement limité au seul personnel habilité ; conditions d’accès aux images par la famille ; etc.) ; | ・虐待が強く疑われる場合、入居者の居室にビデオ監視システムを設置する可能性を内規に盛り込み、閲覧手順(権限のあるスタッフのみに画像閲覧を厳格に制限、家族による画像閲覧の条件など)を盛り込む; |
| ・lorsque la demande émane de la famille ou des proches, l’installation d’un tel dispositif devrait être réalisée en concertation avec l’établissement, tenant compte des procédures d’enquête interne, de prévention et d’alerte ; du respect du cadre interne en matière de faisceaux d’indices ; de l’information du personnel, le cas échéant ; | ・家族または親しい友人からの要請があった場合、このようなシステムの設置は、内部の調査、予防、警告の手順、手がかりに関する内部の枠組みへの準拠、該当する場合は職員の情報などを考慮し、施設と協議の上、実施されるべきである; |
| ・ensibiliser et former le personnel chargé de gérer et de mettre en œuvre ces dispositifs. | ・このようなシステムの管理・実施に責任を持つ職員を教育・訓練すること。 |
| À noter | 留意すべき事項 |
| Le consentement de la personne concernée devra être recueilli avant l’installation d’un dispositif de vidéosurveillance, y compris lorsque la demande provient de ses proches. Lorsque la personne n’est pas en mesure de consentir, le consentement devra être recueilli, dans le respect des règles spécifiques liées à la protection des majeurs | ビデオ監視システムを設置する前に、家族からの要請を含め、本人の同意を得なければならない。本人の同意が得られない場合は、成人の保護に関する特定の規則に従い、同意を得なければならない。 |
| Lorsque l’initiative revient à l’établissement, ce dernier devra permettre à la personne concernée, de refuser l’installation de ce type de dispositif. | 主導権が施設側にある場合は、本人がこの種の装置の設置を拒否できるようにしなければならない。 |
| SCHÉMA RÉCAPITULATIF | 概要図 |
| Fig | 図 |
| 14. Le responsable de traitement devra par ailleurs s’assurer de la conformité de son traitement au RGPD et aux dispositions de la loi « informatique et libertés » (durée de conservation limitée à quelques jours si les images ne révèlent pas de maltraitance à l’égard du résident ou, dans le cas contraire, à la durée de la procédure contentieuse ; respect des droits des personnes concernées ; sécurité et confidentialité des données ; etc.). Il devra également informer les personnes concernées préalablement à l’installation des caméras : | 14. データ管理者はまた、その処理がRGPDおよびフランスデータ保護法の規定(画像の保存期間は、入居者に対する虐待が判明しない場合は数日間、判明した場合は法的手続きの期間内に限定、データ対象者の権利の尊重、データの安全性および機密性など)に準拠していることを保証しなければならない。また、カメラを設置する前に、関係者に通知しなければならない: |
| ・pour les résidents, cela peut se faire en insérant dans le contrat d’hébergement une clause indiquant l’éventuelle mise en œuvre de ce traitement. Cette dernière devrait notamment préciser qu’un tel dispositif ne devrait être mis en place que par l’établissement d’hébergement et non par la famille ; |
・入居者については、宿泊契約書に、このような処理が実施される可能性があることを示す条項を挿入することでこれを行うことができる。この条項には、このようなシステムは宿泊施設によってのみ設置されるべきであり、家族によって設置されるべきでないことを明記すべきである; |
| ・pour les salariés, en insérant, par exemple, dans le règlement intérieur de la structure préalablement présenté au comité social et économique, une mention indiquant la possibilité d’installer des dispositifs de vidéosurveillance dans les chambres des résidents pour lesquels il existe une suspicion grave de maltraitance. | ・従業員に対しては、例えば、社会経済委員会に事前に提出された施設の内部規則に、虐待の重大な疑いがある入居者の居室にビデオ監視システムを設置する可能性を示す条項を挿入することによって行うことができる。 |
| 15. L’établissement doit par ailleurs en principe s’assurer que les résidents et salariés ont été informés individuellement de manière effective au moment de la mise en place des caméras (par courriel, affichage, etc.), sauf si cette information apparaît incompatible avec les objectifs de l’enquête et la protection des droits des personnes victimes de mauvais traitements. | 15. また、調査や虐待被害者の権利擁護の目的にそぐわないと思われる場合を除き、原則として、監視カメラ設置の際には、効果的な方法(電子メール、掲示等)で入居者及び職員に個別に情報提供がなされたことを確認しなければならない。 |
| 3.2 - La nécessité de réaliser une analyse d’impact relative à la protection des données (AIPD) | 3.2 - データ保護影響評価(DPIA)の必要性 |
| 16. Au regard des risques élevés qu’est susceptible d’engendrer ce traitement pour les droits et libertés des personnes concernées, l’organisme mettant en œuvre ce dispositif de vidéosurveillance devra réaliser une analyse d’impact relative à la protection des données (AIPD). Une telle AIPD ne pouvant être réalisée en urgence, cela implique d’avoir réfléchi à la possibilité d’utilisation d’un tel dispositif à l’avance, en cas de suspicion de maltraitance. | 16. この処理が関係者の権利と自由にもたらす可能性の高いリスクを考慮すると、このビデ オ監視システムを実施する組織は、データ保護影響評価(DPIA)を実施しなければならな い。このようなDPIAは緊急に実施することができないため、虐待が疑われる場合には、このようなシステムを使用する可能性について事前に検討する必要がある。 |
| 17. L’AIPD permettra de définir des conditions de mise en œuvre du dispositif de vidéosurveillance limitant autant que possible les risques pour les personnes concernées d’une part, et de démontrer la conformité du traitement au RGPD en cas de contrôle, d’autre part. | 17. DPIAは、一方ではデータ対象者へのリスクを可能な限り抑えるような方法でビデオ監視シ ステムを実施するための条件を定義することを可能にし、他方では、検査が行われた場 合に処理がGDPRに準拠していることを証明することを可能にする。 |
| 18. Cette analyse, qui pourra s’appuyer sur l’ensemble des garanties énoncées au sein de la présente recommandation afin d’en simplifier sa réalisation, devra contenir une description détaillée du traitement mis en œuvre, tant sur les aspects techniques qu’opérationnels. L’organisme mettant en œuvre le dispositif devra plus particulièrement insister sur : | 18. この分析は、その実施を簡素化するために、本勧告に定めるすべての保証に基づくことができるが、技術面及び運用面の両方において、実施される処理の詳細な説明を含むべきである。特に,システムを実施する組織は,次の点を強調すべきである: |
| ・les raisons l’ayant conduit à considérer que des moyens alternatifs moins intrusifs s’avéraient inefficaces ; | ・代替的な、より立ち入りの少ない方法が効果的でないと考えるに至った理由; |
| ・les garanties qu’il met en œuvre pour ne pas mettre sous surveillance continue les salariés travaillant dans l’établissement ; | ・その事業所で働く従業員が継続的な監視下に置かれないようにするために実施している保護措置; |
| ・les mesures pour assurer la confidentialité des données ; | ・データの機密性を確保するための措置 |
| ・les précautions prises pour protéger la vie privée des personnes hébergées. | ・入居者のプライバシーを保護するために取られた予防措置。 |
| 19. S’il apparait que le niveau de risque résiduel reste élevé, l’AIPD devra faire l’objet d’une transmission à la CNIL. | 19. 残存リスクのレベルが依然として高いと思われる場合は、AIPDをCNILに提出しなければならない。 |
| Article 4 : Publication au Journal officiel de la République française | 第4条:フランス共和国官報への掲載 |
| 20. La présente délibération sera publiée au Journal officiel de la République. | 20. 本決定はフランス共和国官報に掲載される。 |
こんにちは、丸山満彦です。
2024.05.02-03にパリでOECD閣僚理事会が開催され、気候変動やデジタル化、高齢化がもたらす経済的・社会的影響、法の支配に対する挑戦などの課題について話されたようですね...
● OECD
・2024.05 OECD Ministerial Council Meeting 2024
そして、OECDのAI原則が技術進歩に合わせて、改正されましたね...
● OECD
・2024.05.03 OECD updates AI Principles to stay abreast of rapid technological developments
・2024.05.03 OECD、急速な技術の進歩に合わせてAI原則を更新
| OECD updates AI Principles to stay abreast of rapid technological developments | OECD、急速な技術の進歩に合わせてAI原則を更新 |
| 03/05/2024 - The 2024 OECD Ministerial Council Meeting (MCM) has adopted revisions to the landmark OECD Principles on Artificial Intelligence (AI). In response to recent developments in AI technologies, notably the emergence of general-purpose and generative AI, the updated Principles more directly address AI-associated challenges involving privacy, intellectual property rights, safety, and information integrity. | 03/05/2024 - 2024年のOECD閣僚理事会(MCM)で、人工知能(AI)に関するOECD原則の改訂版が採択されました。特に汎用AIや生成AIの出現など、近年のAI技術の進歩を踏まえて更新されたこの原則は、プライバシー、知的財産権、安全性、情報の完全性など、AI関連課題に今まで以上に踏み込んで対応しています。 |
| With 47 adherents now including the EU and a general scope that ensures applicability to AI developments around the world, the OECD AI Principles provide a blueprint for policy frameworks on how to address AI risks and shape AI policies. As the first intergovernmental standard on AI, they advocate for AI that is innovative and trustworthy, and that upholds human rights and democratic values. | 現在、EUを含む47の国と地域が準拠し、世界各国のAI開発に適用できるよう対象範囲を一般的にしたOECDのAI原則は、AIリスクへの対処方法とAI政策の策定方法に関する政策枠組みの青写真を提供するものです。AIに関する最初の政府間基準として、この原則は、人権と民主主義の価値観を擁護する、革新的で信頼できるAIを提唱しています。 |
| Tracking developments since the Principles were first adopted in 2019, the OECD AI Policy Observatory shows that venture capital investments in generative AI startups have increased nine-fold, demand for AI skills has soared by 130%, and the share of large firms using AI, on average in the OECD, has nearly doubled to more than four times their smaller counterparts. These developments coincide with significant policy attention and action, evidenced by more than 1 000 AI initiatives in over 70 countries and jurisdictions. | 2019年にAI原則が最初に採択されて以来、その進展を追跡調査してきたOECDのAI政策に関するオブザーバトリーによれば、生成AIスタートアップ企業へのベンチャーキャピタル投資は9倍に増え、AIスキルの需要は130%増えています。また、AIを使用している大企業の比率は、OECD諸国平均でほぼ倍増し、小規模企業の4倍以上となっています。70以上の国・地域で1,000件以上のAIイニシアティブが発表されたことからもわかる通り、こうした発展に伴って重要な政策や措置も導入されつつあります。 |
| The imperative is growing to develop and deploy AI systems to boost productivity, accelerate scientific research, promote environmental sustainability, and improve healthcare and education while upholding human rights and democratic values. But risks such as to privacy, security, fairness and well-being are developing at an unprecedented speed and scale, turning into real-world harms such as the perpetuation of bias and discrimination, the creation and dissemination of mis-and-dis information and the distortion of public discourse and markets. | 人権と民主的な価値観を擁護しつつ、生産性を高め、科学研究を加速させ、環境の持続可能性を促進し、医療と教育を改善するため、AIシステムを開発・普及させる必要性は高まっています。しかし一方で、プライバシー、セキュリティ、公平性、福祉などのリスクもこれまでにないスピードと規模で高まっており、偏見や差別の継続、誤情報や偽情報の作成と拡散、公共政策にかかわる発言や市場の歪みなど、現実世界での害も広がっています。 |
| Key elements of the OECD revisions, which ensure that the Principles remain relevant, robust and fit-for-purpose, include: | 今回のOECD改訂の主眼点は、当原則が今も適切・堅牢で、目的に適合していることを確実にすることです。それには以下が含まれます: |
| Addressing safety concerns, so that if AI systems risk causing undue harm or exhibit undesired behaviour, robust mechanisms and safeguards exist to override, repair, and/or decommission them safely | AIシステムが不当な害を引き起こすリスクがある、または望ましくない動作を示す場合、それらを安全にオーバーライド、修復、および/または廃止するための堅牢なメカニズムと保護手段が存在するよう、安全上の懸念に対処すること。 |
| Reflecting the growing importance of addressing mis- and disinformation, and safeguarding information integrity in the context of generative AI | 誤情報や偽情報に対処し、生成AIに関して情報の完全性を保護することの重要性の高まりを反映すること。 |
| Emphasising responsible business conduct throughout the AI system lifecycle, involving co-operation with suppliers of AI knowledge and AI resources, AI system users, and other stakeholders | AI知識やAIリソースのサプライヤー、AIシステムユーザー、その他のステークホルダーとの協力を含め、AIシステムのライフサイクル全体にわたって責任ある企業行動を強調すること。 |
| Clarifying the information regarding AI systems that constitute transparency and responsible disclosure | AIシステム関連情報を明確にして透明性と責任ある開示を提供すること。 |
| Explicitly referencing environmental sustainability, a concern that has grown considerably in importance over the past five years | この5年間で重要性が大いに高まっている環境の持続可能性について明示的に言及すること。 |
| Underscoring the need for jurisdictions to work together to promote interoperable governance and policy environments for AI, as the number of AI policy initiatives worldwide surges | 世界的にAI政策イニシアティブの数が急増する中、国・地域が協力してAIの相互運用可能なガバナンスと政策環境を促進する必要性を強調すること。 |
| “The OECD has helped shape digital policy agendas for decades, through evidence-based recommendations and extensive multilateral and multi-stakeholder cooperation,” OECD Secretary-General Mathias Cormann said. “The OECD AI Principles are a global reference point for AI policymaking, facilitating global policy interoperability and promoting innovation with humans at the centre. The revised OECD AI Principles will provide a blueprint for global interoperability on AI policy and for policymakers to keep pace with technology, by addressing general-purpose and generative AI and their effects on our economies and societies.” | マティアス・コーマンOECD事務総長は、次のように述べています。「OECDは、エビデンスに基づく提言や、複数の国やステークホルダー間における広範な協力を通じて、何十年にもわたってデジタル政策を形作るための支援を提供してきました。OECDのAI原則は、AI政策の策定における世界基準として、グローバルな政策の相互運用性を可能にするとともに人間中心のイノベーションを促進します。改訂されたOECDのAI原則は、汎用AIと生成AI、およびそれらが我々の経済社会に与える影響に対応することにより、AI政策に関する世界的な相互運用性を確保し、政策立案者が技術の進歩に適応するための青写真を提供するものです。」 |
| The Recommendation of the OECD Council on Artificial Intelligence, which includes the OECD AI Principles, contains definitions that underpin and encourage international interoperability; the Recommendation’s definitions of an AI system and its lifecycle are used around the world, including in the European Union, Japan and the United States. The definitions also inform work of the United Nations and EU-US Trade and Technology Council. | OECD AI原則を含むOECD人工知能に関する理事会勧告には、国際的な相互運用性を裏付け、奨励する定義が含まれ、勧告によるAIシステムとそのライフサイクルの定義は、欧州連合、日本、米国を含む世界中で使用されています。この定義は、国際連合並びに米国と欧州連合の貿易・技術評議会(TTC)の作業にも影響を与えています。 |
・2024.05.03 Recommendation of the Council on Artificial Intelligence
・2024.05.03 [PDF] 人工知能に関する理事会勧告
| Recommendation of the Council on Artificial Intelligence | 人工知能に関する理事会勧告 |
| THE COUNCIL, | 理事会は: |
| HAVING REGARD to Article 5 b) of the Convention on the Organisation for Economic Co-operation and Development of 14 December 1960; | 1960 年 12 月 14 日の経済協力開発機構条約の第 5(b)に鑑み、 |
| HAVING REGARD to standards developed by the OECD in the areas of privacy, digital security, consumer protection and responsible business conduct; | プライバシー、デジタル・セキュリティ、消費者保護及び責任ある企業行動の分野で OECD が策定した標準に鑑み、 |
| HAVING REGARD to the Sustainable Development Goals set out in the 2030 Agenda for Sustainable Development adopted by the United Nations General Assembly (A/RES/70/1) as well as the 1948 Universal Declaration of Human Rights; | 国連総会で採択された持続可能な開発のための 2030 アジェンダで設定された持続可能な開発目標(A/RES/70/1)及び 1948 年の世界人権宣言に鑑み、 |
| HAVING REGARD to the important work being carried out on artificial intelligence (hereafter, “AI”) in other international governmental and non-governmental fora; | その他の政府機関及び非政府団体が国際場裏において人工知能(以下、「AI」という)に関する重要な取組を行っていることに鑑み、 |
| RECOGNISING that AI has pervasive, far-reaching and global implications that are transforming societies, economic sectors and the world of work, and are likely to increasingly do so in the future; | AI が広範で多大な影響を世界的に及ぼし、社会や経済分野及び仕事の世界を変革させており、また、そのような影響が将来さらに強くなる可能性が高いことを認識し、 |
| RECOGNISING that AI has the potential to improve the welfare and well-being of people, to contribute to positive sustainable global economic activity, to increase innovation and productivity, and to help respond to key global challenges; | AI には、人々の福祉と幸福を増進し、確かで持続可能な世界の経済活動に貢献し、イノベーションと生産性を向上させるとともに、地球規模の重要な課題の解決の一助となる可能性があることを認識し、 |
| RECOGNISING that, at the same time, these transformations may have disparate effects within, and between societies and economies, notably regarding economic shifts, competition, transitions in the labour market, inequalities, and implications for democracy and human rights, privacy and data protection, and digital security; | それと同時に、これらの変革は、特に、経済のシフト、競争、労働市場の変化、格差、並びに民主主義と人権、プライバシーとデータの保護、及びデジタル・セキュリティに関して、社会及び経済の内部又は社会間及び経済間において本質的に異なる影響を与える可能性があることを認識し、 |
| RECOGNISING that trust is a key enabler of digital transformation; that, although the nature of future AI applications and their implications may be hard to foresee, the trustworthiness of AI systems is a key factor for the diffusion and adoption of AI; and that a well-informed whole-of-society public debate is necessary for capturing the beneficial potential of the technology, while limiting the risks associated with it; | 信頼がデジタル変革の成功要因であること、将来的な AI の利活用とその影響を予測することは難しいものの AI システムの信頼性が AI の普及と導入の鍵となる重要な要素であること、及びこのようなテクノロジーの有益な可能性を引き出しつつ関連するリスクを限定的なものにするためには十分な情報提供の下で社会全体で行われる開かれた議論が必要であることを認識し、 |
| UNDERLINING that certain existing national and international legal, regulatory and policy frameworks already have relevance to AI, including those related to human rights, consumer and personal data protection, intellectual property rights, responsible business conduct, and competition, while noting that the appropriateness of some frameworks may need to be assessed and new approaches developed; | 法律、規制、政策に係る国内及び国際的な既存の枠組については、人権、消費者及び個人データの保護、知的財産権、責任ある企業行動、並びに競争に関するものを含め、その妥当性の評価や新たなアプローチの開発が必要となる場合があるものの、既に AI との関連性を有することが示されていることを強調し、 |
| RECOGNISING that given the rapid development and implementation of AI, there is a need for a stable policy environment that promotes a human-centric approach to trustworthy AI, that fosters research, preserves economic incentives to innovate, and that applies to all stakeholders according to their role and the context; | AI の急速な発展と実装を踏まえ、信頼できる AI に対する人間中心のアプローチを推進し、研究を促進し、イノベーションのための経済的なインセンティブを保持し、かつその役割と状況に応じて全てのステークホルダーに対して適用される安定的な政策環境の必要性を認識し、 |
| CONSIDERING that embracing the opportunities offered, and addressing the challenges raised, by AI applications, and empowering stakeholders to engage is essential to fostering adoption of trustworthy AI in society, and to turning AI trustworthiness into a competitive parameter in the global marketplace. | AI の利活用がもたらす機会を歓迎するとともに、それによって生じる課題に対処すること、及びステークホルダーがこれらに関与するために必要な能力を身に付けることは、社会における信頼できる AI の導入の推進や、AI の信頼性が世界市場での競争力のパラメータとなっていくために不可欠なものであると考え、 |
| On the proposal of the Digital Policy Committee: | デジタル政策委員会の提案に対し: |
| I.AGREES that for the purpose of this Recommendation the following terms should be understood as follows: | I. 以下の用語については、本勧告の適用に当たり次のように理解されるべきものであることに同意する: |
| ‒AI system: An AI system is a machine-based system that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments. Different AI systems vary in their levels of autonomy and adaptiveness after deployment. | ‒ AIシステム:AIシステムは、明示的又は黙示的な目的のために、実環境又は仮想環境に影響を及ぼす、予測、コンテンツ、推奨、又は決定などの出力をどのように生成するか、受け取った入力内容から推論する機械ベースのシステムである。展開後の自律性と順応性のレベルは、AI システムによってそれぞれ異なる。 |
| ‒AI system lifecycle: An AI system lifecycle typically involves several phases that include to: plan and design; collect and process data; build model(s) and/or adapt existing model(s) to specific tasks; test, evaluate, verify and validate; make available for use/deploy; operate and monitor; and retire/decommission. These phases often take place in an iterative manner and are not necessarily sequential. The decision to retire an AI system from operation may occur at any point during the operation and monitoring phase. | ‒ AIシステムのライフサイクル:AIシステムのライフサイクルは、通常、計画と設計、データの収集と処理、(モデルの構築及び/又は既存のモデルの特定のタスクへの適合、テスト、評価、検証、妥当性確認、使用/展開のための利用可能化、稼働とモニタリング、稼働停止/終了など、いくつかの段階から構成される。これらの段階はしばしば相互に作用し合い、かつ必ずしも順番に実行されるものではない。AI システムの稼働を終了する決定は、稼働とモニタリングの段階のどの時点でも行われる可能性がある。 |
| ‒AI actors: AI actors are those who play an active role in the AI system lifecycle, including organisations and individuals that deploy or operate AI. | ‒ AI アクター:AI アクターとは、AI システムのライフサイクルにおいて能動的な役割を果たす者であり、AI の展開又は稼働を行う組織や個人が含まれる。 |
| ‒AI knowledge: AI knowledge refers to the skills and resources, such as data, code, algorithms, models, research, know-how, training programmes, governance, processes, and best practices required to understand and participate in the AI system lifecycle, including managing risks. | ‒ AI ナレッジ(knowledge):AI ナレッジ(knowledge)とは、データ、コード、アルゴリズム、モデル、研究、ノウハウ、トレーニング・プログラム、ガバナンス、プロセス及びベスト・プラクティスなど、リスク管理を含めた AI システムのライフサイクルを理解し、これに参画するために必要となるスキル及びリソースを指している。 |
| ‒Stakeholders: Stakeholders encompass all organisations and individuals involved in, or affected by, AI systems, directly or indirectly. AI actors are a subset of stakeholders. | ‒ ステークホルダー:ステークホルダーには、直接的なものであるか間接的なものであるかを問わず、AI システムに関与するか、又は AI システムから影響を受ける組織及び個人の全てが含まれる。AI アクターはステークホルダーの一部である。 |
| Section 1: Principles for responsible stewardship of trustworthy AI | 第 1 節:信頼できる AI の責任あるスチュワードシップのための原則 |
| II.RECOMMENDS that Members and non-Members adhering to this Recommendation (hereafter the “Adherents”) promote and implement the following principles for responsible stewardship of trustworthy AI, which are relevant to all stakeholders. | II. 本勧告を遵守する加盟国及び非加盟国(以下、「遵守国」という)に対し、全てのステークホルダーに関係する以下の「信頼できる AI の責任あるスチュワードシップのための原則」を推進かつ履行するよう勧告する。 |
| III.CALLS ON all AI actors to promote and implement, according to their respective roles, the following principles for responsible stewardship of trustworthy AI. | III. 全ての AI アクターが、それぞれの役割に応じ、以下の「信頼できる AI の責任あるスチュワードシップのための原則」を推進かつ履行するよう求める。 |
| IV.UNDERLINES that the following principles are complementary and should be considered as a whole. | IV. 以下の原則は相互に補完的なものであり、全体でまとめて考慮されるものであることを強調する。 |
| 1.1. Inclusive growth, sustainable development and well-being | 1.1. 包摂的な成長、持続可能な開発及び幸福 |
| Stakeholders should proactively engage in responsible stewardship of trustworthy AI in pursuit of beneficial outcomes for people and the planet, such as augmenting human capabilities and enhancing creativity, advancing inclusion of underrepresented populations, reducing economic, social, gender and other inequalities, and protecting natural environments, thus invigorating inclusive growth, well-being, sustainable development and environmental sustainability. | ステークホルダーは、人間の能力の増強や創造性の向上、少数派の包摂の促進、経済・社会・性別その他の格差の改善、及び自然環境の保護などがもたらす包摂的な成長、幸福、持続可能な開発及び環境の持続可能性といった、人々と地球にとって有益な結果を追求することにより、信頼できる AI の責任あるスチュワードシップに積極的に取り組むべきである。 |
| 1.2. Respect for the rule of law, human rights and democratic values, including fairness and privacy | 1.2. 法の支配、人権並びに公平性及びプライバシーを含む民主主義的価値の尊重 |
| a)AI actors should respect the rule of law, human rights, democratic and human-centred values throughout the AI system lifecycle. These include non-discrimination and equality, freedom, dignity, autonomy of individuals, privacy and data protection, diversity, fairness, social justice, and internationally recognised labour rights. This also includes addressing misinformation and disinformation amplified by AI, while respecting freedom of expression and other rights and freedoms protected by applicable international law. | a) AI アクターは、AI システムのライフサイクルの全体を通じて、法の支配、人権並びに民主主義的及び人間中心の価値観を尊重すべきである。これらには、無差別及び平等、自由、尊厳、自主自律、プライバシーとデータの保護、多様性、公平性、社会正義及び国際的に承認された労働者の権利が含まれる。これには、適用される国際法によって保護された表現の自由及びその他の権利と自由を尊重しつつ、AI によって増幅された誤情報や偽情報に対処することも含まれる。 |
| b)To this end, AI actors should implement mechanisms and safeguards, such as capacity for human agency and oversight, including to address risks arising from uses outside of intended purpose, intentional misuse, or unintentional misuse in a manner appropriate to the context and consistent with the state of the art. | b) の目的を達成するため、AI アクターは、意図された目的外の使用や意図的な不正使用、または意図しない誤用などから生じるリスクに対処することも含め、人間の主体性や人間による監視の余地を残しておくことなど、状況に適した形で、かつ技術の水準を踏まえたメカニズム及びセーフガードを実装すべきである。 |
| 1.3. Transparency and explainability | 1.3. 透明性及び説明可能性 |
| AI Actors should commit to transparency and responsible disclosure regarding AI systems. To this end, they should provide meaningful information, appropriate to the context, and consistent with the state of art: | AI アクターは、AI システムに関する透明性及び責任ある開示に積極的に関与すべきである。これらを達成するため、AI アクターは、以下のために、状況に適した形で、かつ技術の水準を踏まえ、意味のある情報提供を行うべきである: |
| i.to foster a general understanding of AI systems, including their capabilities and limitations, | i. AI システムの能力及び限界も含め、一般的な理解を深めること。 |
| ii.to make stakeholders aware of their interactions with AI systems, including in the workplace, | ii. 職場におけるものを含め、AI システムが使われていることをステークホルダーに認識してもらうこと。 |
| iii.where feasible and useful, to provide plain and easy-to-understand information on the sources of data/input, factors, processes and/or logic that led to the prediction, content, recommendation or decision, to enable those affected by an AI system to understand the output, and, | iii. そうすることが実行可能かつ有益な場合には、AI システムに影響される者がその出力を理解できるようにするため、予測、コンテンツ、推奨、又は決定をもたらしたデータ/入力情報の出所、要因、プロセス及び/又は理論に関して平明で理解しやすい情報を提供すること。 |
| iv.to provide information that enable those adversely affected by an AI system to challenge its output. | iv. AI システムの悪影響を受けた人々が出力に対する異議を申し立てることができるような情報を提供すること。 |
| 1.4. Robustness, security and safety | 1.4. 頑健性、セキュリティ及び安全性 |
| a)AI systems should be robust, secure and safe throughout their entire lifecycle so that, in conditions of normal use, foreseeable use or misuse, or other adverse conditions, they function appropriately and do not pose unreasonable safety and/or security risks. | a) AI システムは、通常の使用、予見可能な使用や誤用、又はその他の悪条件においても正常に機能するとともに、不合理な安全上及び/又はセキュリティ上のリスクをもたらすことがないように、そのライフサイクル全体にわたって頑健で、セキュア、かつ安全であるべきである。 |
| b)Mechanisms should be in place, as appropriate, to ensure that if AI systems risk causing undue harm or exhibit undesired behaviour, they can be overridden, repaired, and/or decommissioned safely as needed. | b) AI システムが過度の損害を引き起こす又は望ましくない動作を示す危険性がある場合であって、適当な場合には、必要に応じてそれらをオーバーライド、修復、及び/又は安全に廃止できるようにするためのメカニズムを整備しておくべきである。 |
| c)Mechanisms should also, where technically feasible, be in place to bolster information integrity while ensuring respect for freedom of expression. | c) また、技術的に可能な場合には、表現の自由を尊重しつつ情報インテグリティを強化するためのメカニズムも整備すべきである。 |
| 1.5. Accountability | 1.5. アカウンタビリティ |
| a)AI actors should be accountable for the proper functioning of AI systems and for the respect of the above principles, based on their roles, the context, and consistent with the state of the art. | a) AI アクターは、その役割と状況に基づき、かつ技術の水準を踏まえた形で、AI システムが適正に機能していること及び上記の原則を尊重していることについて、アカウンタビリティを果たすべきである。 |
| b)To this end, AI actors should ensure traceability, including in relation to datasets, processes and decisions made during the AI system lifecycle, to enable analysis of the AI system’s outputs and responses to inquiry, appropriate to the context and consistent with the state of the art. | b) この目的のために、AI アクターは、AI システムの出力及び問合せに対する応答の分析を可能とするため、データセット、プロセス及び AI システムのライフサイクルの中で行われた決定に関するものを含めて、状況に適した形で、かつ技術の水準を踏まえたトレーサビリティを確保すべきである。 |
| c)AI actors, should, based on their roles, the context, and their ability to act, apply a systematic risk management approach to each phase of the AI system lifecycle on an ongoing basis and adopt responsible business conduct to address risks related to AI systems, including, as appropriate, via co-operation between different AI actors, suppliers of AI knowledge and AI resources, AI system users, and other stakeholders. Risks include those related to harmful bias, human rights including safety, security, and privacy, as well as labour and intellectual property rights. | c) AI アクターは、その役割、状況及び能力に基づき、系統化されたリスクマネジメントのアプローチを AI システムのライフスタイルの各段階に継続的に適用し、適当な場合には、異なる AI アクター、AI ナレッジと AI リソースの提供者、AI システムの利用者、その他のステークホルダー間の協力を通じるなどして、AI システムに関連するリスクに対応するための責任ある企業行動を採用すべきである。リスクには、有害なバイアスに加え、安全、セキュリティ及びプライバシーなどの人権、労働者の権利、知的財産権に関連するリスクが含まれる。 |
| Section 2: National policies and international co-operation for trustworthy AI | 第 2 節:信頼できる AI のための国家政策と国際協力 |
| V.RECOMMENDS that Adherents implement the following recommendations, consistent with the principles in section 1, in their national policies and international co-operation, with special attention to small and medium-sized enterprises (SMEs). | V. 遵守国に対し、国内の政策及び国際的な協力に関し、中小企業(SME)に対する特別の注意を払いながら、第1節の原則と整合させつつ以下の勧告を実行するよう勧告する。 |
| 2.1. Investing in AI research and development | 2.1. AI の研究開発への投資 |
| a)Governments should consider long-term public investment, and encourage private investment, in research and development and open science, including interdisciplinary efforts, to spur innovation in trustworthy AI that focus on challenging technical issues and on AI-related social, legal and ethical implications and policy issues. | a) 技術的に困難な課題や AI の社会的・法的・倫理的な影響と政策課題に焦点を当てた信頼できる AI のイノベーションを促進するため、各国政府は、学際的な取組を含め、研究開発やオープンサイエンスの分野で長期的な公共投資を検討し、かつ民間投資を奨励すべきである。 |
| b)Governments should also consider public investment and encourage private investment in open-source tools and open datasets that are representative and respect privacy and data protection to support an environment for AI research and development that is free of harmful bias and to improve interoperability and use of standards. | b) また、各国政府は、有害なバイアスがない AI の研究開発のための環境を支援し、かつ相互運用性と技術標準の利用を向上させるため、代表性を有し、かつプライバシーとデータの保護を尊重するオープンソースのツールやオープンなデータセットに対する公共投資を検討し、かつ民間投資を奨励すべきである。 |
| 2.2. Fostering an inclusive AI-enabling ecosystem | 2.2. 包摂的な AI を推進するためのエコシステムの整備 |
| Governments should foster the development of, and access to, an inclusive, dynamic, sustainable, and interoperable digital ecosystem for trustworthy AI. Such an ecosystem includes inter alia, data, AI technologies, computational and connectivity infrastructure, and mechanisms for sharing AI knowledge, as appropriate. In this regard, governments should consider promoting mechanisms, such as data trusts, to support the safe, fair, legal and ethical sharing of data. | 各国政府は、信頼できる AI のための包摂的でダイナミック、持続可能で相互運用可能なデジタル・エコシステムの開発及びそれへのアクセスを促進すべきである。このエコシステムには、適切である限りにおいて、特に、データ、AI 技術、計算及び接続性のためのインフラ並びに AI ナレッジを共有するためのメカニズムが含まれる。これに関連し、各国政府は、データ・トラストのような、安全、公平、適法、かつ倫理的なデータ共有のためのメカニズムに対する支援を検討すべきである。 |
| 2.3. Shaping an enabling interoperable governance and policy environment for AI | 2.3. AI を推進するための相互運用可能なガバナンス及び政策環境の形成 |
| a)Governments should promote an agile policy environment that supports transitioning from the research and development stage to the deployment and operation stage for trustworthy AI systems. To this effect, they should consider using experimentation to provide a controlled environment in which AI systems can be tested, and scaled-up, as appropriate. They should also adopt outcome-based approaches that provide flexibility in achieving governance objectives and co-operate within and across jurisdictions to promote interoperable governance and policy environments, as appropriate. | a) 各国政府は、信頼できる AI システムの研究・開発段階から展開・稼働の段階への移行を支援するための機動的な政策環境整備を促進すべきである。この観点から、各国政府は、適切な限りにおいて、AI システムのテストや規模の拡張を可能とする制御された環境を提供する実証実験の利用を検討すべきである。また、適切な限りにおいて、ガバナンスの目的達成に向けて柔軟性を提供する結果ベースのアプローチを採用するとともに、各国の管轄権の及ぶ領域の内外で協力して相互運用可能なガバナンスと政策環境を促進すべきである。 |
| b)Governments should review and adapt, as appropriate, their policy and regulatory frameworks and assessment mechanisms as they apply to AI systems to encourage innovation and competition for trustworthy AI. | b) 各国政府は、信頼できる AI のイノベーションと競争を奨励するため、適切な限りにおいて、AI システムに適用される政策や規制の枠組とその評価のメカニズムについて見直し、かつ状況に順応させるべきである。 |
| 2.4. Building human capacity and preparing for labour market transformation | 2.4. 人材育成及び労働市場の変化への備え |
| a)Governments should work closely with stakeholders to prepare for the transformation of the world of work and of society. They should empower people to effectively use and interact with AI systems across the breadth of applications, including by equipping them with the necessary skills. | a) 各国政府は、仕事の世界と社会全体の変化に備えるために、ステークホルダーと緊密に協働すべきである。政府は人々に必要なスキルを習得させるなどして、広範囲に適用される AI システムを人々が効果的に利用し、かつそれとうまく関わることができるようにすべきである。 |
| b)Governments should take steps, including through social dialogue, to ensure a fair transition for workers as AI is deployed, such as through training programmes along the working life, support for those affected by displacement, including through social protection, and access to new opportunities in the labour market. | b) 各国政府は、AI の普及がもたらす労働市場の変化が労働者にとって公平なものであるようにするため、就労期間を通じたトレーニング・プログラム、社会的保護も含めた離職を余儀なくされた者の支援、かつ労働市場における新たな機会へのアクセス提供等を通じて、社会対話も含め、様々な措置を講じるべきである。 |
| c)Governments should also work closely with stakeholders to promote the responsible use of AI at work, to enhance the safety of workers, the quality of jobs and of public services, to foster entrepreneurship and productivity, and aim to ensure that the benefits from AI are broadly and fairly shared. | c) また、各国政府は、職場における AI の責任ある利用の推進、労働者の安全及び仕事と公共サービスの質の向上、並びに起業家精神と生産性の向上のため、かつ AI の恩恵が幅広くかつ公平に共有されることを目指して、ステークホルダーと密接に協働すべきである。 |
| 2.5. International co-operation for trustworthy AI | 2.5. 信頼できる AI のための国際協力 |
| a)Governments, including developing countries and with stakeholders, should actively co-operate to advance these principles and to progress on responsible stewardship of trustworthy AI. | a) 開発途上国を含め、各国政府は、ステークホルダーとともに、本勧告が掲げる原則の推進、及び信頼できる AI の責任あるスチュワードシップの進展のために、積極的に協力すべきである。 |
| b)Governments should work together in the OECD and other global and regional fora to foster the sharing of AI knowledge, as appropriate. They should encourage international, cross-sectoral and open multi-stakeholder initiatives to garner long-term expertise on AI. | b) 各国政府は、OECD 及びその他の国際的並びに地域的なフォーラムを通じ、適切な限りにおいて、AI ナレッジの共有を促進するために協働すべきである。こうしたフォーラムは、AI に関する長期的な専門性を確保するため、国際的、分野横断的、かつ開放的なマルチ・ステークホルダーによる取組を奨励すべきである。 |
| c)Governments should promote the development of multi-stakeholder, consensus-driven global technical standards for interoperable and trustworthy AI. | c) 各国政府は、相互運用性を有し、また、信頼できる AI のため、マルチ・ステークホルダーの合意に基づく国際的な技術基準の開発を推進すべきである。 |
| d)Governments should also encourage the development, and their own use, of internationally comparable indicators to measure AI research, development and deployment, and gather the evidence base to assess progress in the implementation of these principles. | d) 各国政府はさらに、AI の研究開発及び展開を計測するための国際的に比較可能な指標の開発と各国政府自身による利用とを奨励するとともに、本勧告が掲げる原則の履行の進捗をモニターするための土台となるエビデンスを収集すべきである。 |
| VI.INVITES the Secretary-General and Adherents to disseminate this Recommendation. | VI. 事務総長と遵守国に対し、本勧告を広く普及させるよう求める。 |
| VII.INVITES non-Adherents to take due account of, and adhere to, this Recommendation. | VII. 非遵守国に対し、本勧告を十分に考慮し、かつ遵守するよう求める。 |
| VIII.INSTRUCTS the Digital Policy Committee, through its Working Party on AI Governance, to: | VIII. デジタル政策委員会に対して、AI ガバナンス作業部会を通して次の事項を行うよう指示する。すなわち: |
| a)continue its important work on artificial intelligence building on this Recommendation and taking into account work in other international fora, and to further develop the measurement framework for evidence-based AI policies; | a) 本勧告を踏まえ、また、他の国際場裏における取組を考慮しつつ、本委員会におけるAIに関する重要な作業を継続し、エビデンスに基づいた AI政策の計測に係る枠組の開発をさらに進めていくこと。 |
| b)develop and iterate further practical guidance on the implementation of this Recommendation to meet evolving developments and new policy priorities; | b) 状況の変化と新たな政策優先事項に対応するため、本勧告の履行のためのさらに実用的なガイダンスを作成及び更新すること。 |
| c)provide a forum for exchanging information on AI policy and activities including experience with the implementation of this Recommendation, and to foster multi-stakeholder and interdisciplinary dialogue to promote trust in and adoption of AI; and | c) AI に関する政策や取組について、本勧告の履行に係る実例を含め、情報交換のためのフォーラムを提供するとともに、AI の信頼と導入を推進するためにマルチ・ステークホルダーかつ学際的な意見交換を促進すること。 |
| d)report to Council, in consultation with other relevant committees, on the implementation, dissemination and continued relevance of this Recommendation no later than five years following its revision and at least every ten years thereafter. | d) 関係する他の委員会と協議した上で、本勧告の改訂後 5 年以内、及び少なくともその後10 年毎に、本勧告の履行、普及、継続的な関連性について理事会に報告すること。 |
背景情報...
| Background information | 背景情報 |
| The Recommendation on Artificial Intelligence (AI) (hereafter the “Recommendation”) – the first intergovernmental standard on AI – was adopted by the OECD Council meeting at Ministerial level on 22 May 2019 on the proposal of the Digital Policy Committee (DPC, formerly the Committee on Digital Economy Policy, CDEP). The Recommendation aims to foster innovation and trust in AI by promoting the responsible stewardship of trustworthy AI while ensuring respect for human rights and democratic values. In June 2019, at the Osaka Summit, G20 Leaders welcomed the G20 AI Principles, drawn from the Recommendation. | 人工知能(AI)に関する勧告(以下、「勧告」)は、AIに関する初の政府間標準であり、デジタル政策委員会(DPC、旧デジタル経済政策委員会、CDEP)の提案に基づき、2019年5月22日に閣僚級で開催されたOECD理事会で採択された。この勧告は、人権と民主的価値の尊重を確保しつつ、信頼できるAIの責任ある管理を促進することにより、AIにおけるイノベーションと信頼を促進することを目的としている。2019年6月、大阪サミットでG20首脳は、勧告から導き出されたG20 AI原則を歓迎した。 |
| The Recommendation was revised by the OECD Council on 8 November 2023 to update its definition of an “AI System”, in order to ensure the Recommendation continues to be technically accurate and reflect technological developments, including with respect to generative AI. On the basis of the 2024 Report to Council on its implementation, dissemination and continued relevance, the Recommendation was revised by the OECD Council meeting at Ministerial level on 3 May 2024 to reflect technological and policy developments, including with respect to generative AI, and to further facilitate its implementation. | この勧告は、2023年11月8日にOECD理事会により改訂され、「AIシステム」の定義を 更新した。これは、この勧告が技術的に正確であり続け、生成的AIを含む技術開発を 反映していることを保証するためである。その実施、普及、継続的妥当性に関する2024年理事会報告書に基づき、2024年5月3日に閣僚級で開催されたOECD理事会により、生成的AIを含む技術的・政策的発展を反映し、その実施をさらに促進するために、勧告が改訂された。 |
| The OECD’s work on Artificial Intelligence | 人工知能に関するOECDの取り組み |
| Artificial Intelligence (AI) is a general-purpose technology that has the potential to: improve the welfare and well-being of people, contribute to positive sustainable global economic activity, increase innovation and productivity, and help respond to key global challenges. It is deployed in many sectors ranging from production, education, finance and transport to healthcare and security. | 人工知能(AI)は、人々の福祉と幸福を向上させ、持続可能なグローバル経済活動に貢献し、イノベーションと生産性を高め、主要なグローバル課題への対応を支援する可能性を持つ汎用技術である。生産、教育、金融、輸送から医療、安全保障に至るまで、多くの分野で導入されている。 |
| Alongside benefits, AI also raises challenges for our societies and economies, notably regarding economic shifts and inequalities, competition, transitions in the labour market, and implications for democracy and human rights. | AIの恩恵と同時に、AIは我々の社会と経済に課題も提起している。特に、経済のシフトと不平等、競争、労働市場の移行、民主主義と人権への影響などである。 |
| The OECD has undertaken empirical and policy activities on AI in support of the policy debate since 2016, starting with a Technology Foresight Forum on AI that year, followed by an international conference on AI: Intelligent Machines, Smart Policies in 2017. The Organisation also conducted analytical and measurement work that provides an overview of the AI technical landscape, maps economic and social impacts of AI technologies and their applications, identifies major policy considerations, and describes AI initiatives from governments and other stakeholders at national and international levels. | OECDは、2016年以降、政策論議を支援するため、AIに関する実証的・政策的活動を実施しており、同年のAIに関するテクノロジー・フォーサイト・フォーラムに始まり、2017年には「AI:インテリジェント・マシン、スマートな政策」に関する国際会議を開催した。ガバナンスはまた、AIの技術的状況の概要を提供する分析・測定作業、AI技術とその応用による経済的・社会的影響のマッピング、主要な政策上の検討事項の特定、政府および国内・国際レベルの他の利害関係者によるAIの取り組みについての説明も行った。 |
| This work has demonstrated the need to shape a stable policy environment at the international level to foster trust in and adoption of AI in society. Against this background, the OECD Council adopted, on the proposal of DPC, a Recommendation to promote a human-centred approach to trustworthy AI, that fosters research, preserves economic incentives to innovate, and applies to all stakeholders. | この作業により、社会におけるAIへの信頼と導入を促進するために、国際レベルで安定した政策環境を形成する必要性が示された。このような背景から、OECD理事会はDPCの提案に基づき、研究を促進し、イノベーションへの経済的インセンティブを維持し、すべての利害関係者に適用される、信頼できるAIへの人間中心のアプローチを促進するための勧告を採択した。 |
| An inclusive and participatory process for developing the Recommendation | 包括的かつ参加型の勧告策定プロセス |
| The development of the Recommendation was participatory in nature, incorporating input from a broad range of sources throughout the process. In May 2018, the DPC agreed to form an expert group to scope principles to foster trust in and adoption of AI, with a view to developing a draft Recommendation in the course of 2019. The informal AI Group of experts at the OECD was subsequently established, comprising over 50 experts from different disciplines and different sectors (government, industry, civil society, trade unions, the technical community and academia) - see[web] for the full list. Between September 2018 and February 2019 the group held four meetings. The work benefited from the diligence, engagement and substantive contributions of the experts participating in the group, as well as from their multi-stakeholder and multidisciplinary backgrounds. | 勧告の策定は参加型であり、プロセス全体を通じて幅広い情報源からの意見を取り入れた。2018年5月、ドラフト委員会は、2019年中に勧告案を作成することを視野に入れ、AIへの信頼と導入を促進するための原則を検討する専門家グループを結成することに合意した。その後、OECDの非公式なAI専門家グループが設立され、さまざまな分野、さまざまなセクター(政府、産業界、市民社会、労働組合、技術コミュニティ、学界)の50人以上の専門家で構成された-全リストは[web]を参照。2018年9月から2019年2月にかけて、同グループは4回の会合を開催した。この作業は、グループに参加した専門家の勤勉さ、関与、実質的な貢献だけでなく、マルチステークホルダーで学際的な背景からも恩恵を受けた。 |
| Drawing on the final output document of the informal group, a draft Recommendation was developed in the DPC and with the consultation of other relevant OECD bodies and approved in a special meeting on 14-15 March 2019. The OECD Council adopted the Recommendation at its meeting at Ministerial level on 22-23 May 2019. | 非公式グループの最終アウトプット文書に基づき、DPCおよび他のOECD関連団体の協議を経て勧告案が作成され、2019年3月14~15日の特別会合で承認された。OECD理事会は2019年5月22~23日の閣僚級会合でこの勧告を採択した。 |
| Scope of the Recommendation | 勧告の範囲 |
| Complementing existing OECD standards already relevant to AI – such as those on privacy and data protection, digital security risk management, and responsible business conduct – the Recommendation focuses on policy issues that are specific to AI and strives to set a standard that is implementable and flexible enough to stand the test of time in a rapidly evolving field. The Recommendation contains five high-level values-based principles and five recommendations for national policies and international co-operation. It also proposes a common understanding of key terms, such as “AI system”, “AI system lifecycle”, and “AI actors”, for the purposes of the Recommendation. | プライバシー・データ保護、デジタル・セキュリティ・リスク管理、責任ある企業行動など、すでにAIに関連する既存のOECD基準を補完するものであるが、本勧告はAIに特有な政策課題に焦点を当て、急速に進化する分野において時の試練に耐えうるよう、実施可能かつ柔軟な標準を設定するよう努めている。勧告には、ハイレベルの価値観に基づく5つの原則と、各国の政策や国際協力に関する5つの勧告が含まれている。また、「AIシステム」、「AIシステム・ライフサイクル」、「AIアクター」といった重要な用語の共通理解も提案している。 |
| More specifically, the Recommendation includes two substantive sections: | より具体的には、勧告には2つの実質的なセクションがある: |
| 1. Principles for responsible stewardship of trustworthy AI: the first section sets out five complementary principles relevant to all stakeholders: i) inclusive growth, sustainable development and well-being; ii) respect for the rule of law, human rights and democratic values, including fairness and privacy; iii) transparency and explainability; iv) robustness, security and safety; and v) accountability. This section further calls on AI actors to promote and implement these principles according to their roles. | 信頼できるAIの責任ある管理のための原則:最初のセクションでは、すべてのステークホルダーに関連する5つの補完的原則を定めている:i) 包括的な成長、持続可能な開発、幸福; ii) 公平さとプライバシーを含む、法の支配、人権、民主的価値の尊重。iii) 透明性と説明可能性 iv) 堅牢性、セキュリティ、安全性、および v) 説明責任 さらに本セクションでは、AI関係者に対し、それぞれの役割に応じてこれらの原則を推進・実施するよう求める。 |
| 2. National policies and international co-operation for trustworthy AI: consistent with the five aforementioned principles, the second section provides five recommendations to Members and non-Members having adhered to the Recommendation (hereafter the “Adherents”) to implement in their national policies and international co-operation: i) investing in AI research and development; ii) fostering an inclusive AI-enabling ecosystem; iii) shaping an enabling interoperable governance and policy environment for AI; iv) building human capacity and preparing for labour market transformation; and v) international co-operation for trustworthy AI. | 信頼できるAIのための国家政策と国際協力:前述の5つの原則に基づき、第2章では、勧告を順守した加盟国および非加盟国(以下、「順守国」)に対し、国家政策と国際協力において実施すべき5つの勧告を提示する: i) AIの研究開発に投資する; ii) AIを可能にする包括的なエコシステムを育成する; iii) AIを可能にする相互運用可能なガバナンスと政策環境を形成する; iv) 人的能力の構築と労働市場の変革に備える。v) 信頼できるAIのための国際協力 |
| 2023 and 2024 Revisions of the Recommendation | 2023年および2024年の勧告改定 |
| In 2023, a window of opportunity was identified to maintain the relevance of the Recommendation by updating its definition of an “AI System”, and the DPC approved a draft revised definition in a joint session of the Committee and its Working Party on AI Governance (AIGO) on 16 October 2023. The OECD Council adopted the revised definition of “AI System” at its meeting on 8 November 2023. The update of the definition included edits aimed at: | 2023年、「AIシステム」の定義を更新することにより、勧告の妥当性を維持する機会の窓が特定され、ドラフト委員会は2023年10月16日、同委員会とそのAIガバナンスに関する作業部会(AIGO)の合同会合において、定義の改訂案を承認した。OECD理事会は2023年11月8日の会合で「AIシステム」の改訂定義を採択した。定義の更新には、以下を目的とした編集が含まれる: |
| ・clarifying the objectives of an AI system (which may be explicit or implicit); | ・AIシステムの目的(明示的または暗黙的)を明確にする; |
| ・underscoring the role of input which may be provided by humans or machines; | ・人間または機械によってプロバイダされる入力の役割を強調する; |
| ・clarifying that the Recommendation applies to generative AI systems, which produce “content”; | ・この勧告は、「コンテンツ」を生成する生成的AIシステムに適用されることを明確にする; |
| ・substituting the word “real” with “physical” for clarity and alignment with other international processes; | ・明確性と他の国際的プロセスとの整合性のため、"real "を "physical "に置き換える; |
| ・reflecting the fact that some AI systems can continue to evolve after their design and deployment. | ・AIシステムの中には、設計・配備後も進化し続けるものがあるという事実を反映する。 |
| In line with the conclusions of the 2024 Report to Council, the Recommendation was further revised at the 2024 Meeting of the Council at Ministerial level to maintain its continued relevance and facilitate its implementation five years after its adoption. Specific updates aimed at: | 2024年理事会報告書の結論に沿い、この勧告は2024年理事会閣僚級会合でさらに改訂され、その継続的な妥当性を維持し、採択から5年後の実施を促進した。具体的な更新の目的は以下の通りである: |
| ・reflecting the growing importance of addressing misinformation and disinformation, and safeguarding information integrity in the context of generative AI; | 誤情報や偽情報への対応、生成的AIの文脈における情報の完全性を守ることの重要性の高まりを反映する; |
| ・addressing uses outside of intended purpose, intentional misuse, or unintentional misuse; | ・意図された目的以外の使用、意図的な誤用、意図しない誤用に対処する; |
| ・clarifying the information AI actors should provide regarding AI systems to ensure transparency and responsible disclosure; | ・透明性と責任ある情報開示を確保するため、AIシステムに関してAIアクターが提供すべき情報を明確にする; |
| ・addressing safety concerns, so that if AI systems risk causing undue harm or exhibit undesired behaviour, they can be overridden, repaired, and/or decommissioned safely by human interaction; | ・AIシステムが不当な危害をもたらすリスクや望ましくない挙動を示した場合、人間の操作によって安全に無効化、修復、および/または廃止できるように、安全性への懸念に対処する; |
| ・emphasising responsible business conduct throughout the AI system lifecycle, involving co-operation with suppliers of AI knowledge and AI resources, AI system users, and other stakeholders, | ・AIの知識やAIのリソースの供給者、AIシステムの利用者、その他の利害関係者と協力し、AIシステムのライフサイクル全体を通じて責任ある事業活動を行うことを強調する、 |
| ・underscoring the need for jurisdictions to work together to promote interoperable governance and policy environments for AI, against the increase in AI policy initiatives worldwide, and | ・世界的なAI政策イニシアチブの増加に対して、AIに関する相互運用可能なガバナンスと政策環境を促進するために、管轄区域が協力する必要性を強調する。 |
| ・introducing an explicit reference to environmental sustainability, of which the importance has grown considerably since the adoption of the Recommendation in 2019. | ・2019年の勧告採択以来、その重要性が大幅に高まっている環境の持続可能性についての明確な言及を導入する。 |
| Furthermore, some of the headings of the principles and recommendations were expanded for clarity, and the text on traceability and risk management was further elaborated and moved to the “Accountability” principle as the most appropriate principle for these concepts. | さらに、原則と勧告の見出しの一部を明確化するために拡大し、トレーサビリティとリスクマネジメントに関する文章をさらに精緻化し、これらの概念に最も適した原則である「説明責任」の原則に移した。 |
閣僚声明...
● OECD
・2024.05 OECD Ministerial Council Meeting 2024
| OECD Ministerial Council Meeting 2024 | 2024年OECD閣僚理事会 |
| CO-CREATING THE FLOW OF CHANGE: | 変化の流れを共創する |
| Leading Global Discussions with Objective and Reliable Approaches Towards Sustainable and Inclusive Growth | 持続可能で包括的な成長に向けて、客観的で信頼できるアプローチでグローバルな議論をリードする |
| Governments are facing complex and interrelated issues ranging from climate change and digitalisation, to the economic and social impacts of population ageing, to challenges to the rule of law. These are shared challenges that are best tackled together. | ガバナンスは、気候変動やデジタル化から、高齢化の経済的・社会的影響、法の支配への挑戦に至るまで、複雑で相互に関連する問題に直面している。これらは、共に取り組むことが最善である共通の課題である。 |
| Effective policy cooperation on the strong foundation of evidence-based best practice and multilateral dialogue is essential and the 2024 OECD Ministerial Council Meeting is an opportunity to engage in high-level discussions among Members and non-Members on the issues critical to today’s international community. | エビデンスに基づくベスト・プラクティスと多国間対話という強固な基盤に基づく効果的な政策協力が不可欠であり、2024年OECD閣僚理事会は、今日の国際社会にとって重要な課題について、加盟国・非加盟国間でハイレベルの議論を行う機会となる。 |
| The theme for the 2024 MCM on “Leading Global Discussions with Objective and Reliable Approaches towards Sustainable and Inclusive Growth” comprises three overarching pillars: | 2024年MCMのテーマである「持続可能で包摂的な成長に向けた客観的かつ信頼できるアプローチでグローバルな議論をリードする」は、3つの包括的な柱からなる: |
| • A Diverse, Inclusive, and Likeminded OECD: Strengthening the Outreach of our Work. | ・多様で,包括的で,好意的なOECD: 我々の活動のアウトリーチを強化する。 |
| • An Economic Order based on the Shared Values: Firmly Maintaining Free and Fair Trade and Enhancing Economic Resilience. | ・共通の価値観に基づく経済秩序: 自由で公正な貿易を堅持し,経済のレジリエンスを高める。 |
| • Co-creating a Better Future: Addressing Emerging Challenges at Global Scale. | ・より良い未来を共同創造する: グローバル規模で新たな課題に取り組む。 |
| The 2024 MCM will further leverage the strengths of the OECD to support policymakers around the world to develop sound and well-coordinated policy responses to each of the structural shifts in front of us, grounded in our shared values of democracy, the protection of human rights, the rule of law and market-based economic principles. A renewed commitment to strong and effective multilateralism, with the OECD at the centre of global cooperation, will help promote global efforts to co-create better policies for better lives and a better future. | 2024年MCMは、OECDの強みをさらに活用し、民主主義、人権擁護、法の支配、市場経済原則という共通の価値観に立脚しつつ、世界中の政策立案者が、目の前の構造転換のそれぞれに対して、健全かつ十分に調整された政策対応を展開できるよう支援する。OECDをグローバルな協力の中心に据え、強力かつ効果的な多国間主義への新たなコミットメントは、より良い生活とより良い未来のために、より良い政策を共創するためのグローバルな努力を促進する助けとなるであろう。 |
| The 2024 MCM, chaired by Japan, with Mexico and the Netherlands as Vice-Chairs, will take place on 2 and 3 May 2024 at the OECD Headquarters in Paris. | 2024年のMCMは、日本が議長を務め、メキシコとオランダが副議長として、2024年5月2日と3日にパリのOECD本部で開催される。 |
・[PDF]
仮訳(機械翻訳..)
| CO-CREATING THE FLOW OF CHANGE: LEADING GLOBAL DISCUSSIONS WITH OBJECTIVE AND RELIABLE APPROACHES TOWARDS SUSTAINABLE AND INCLUSIVE GROWTH | 変化の流れを共創する:持続可能で包摂的な成長に向けた客観的で信頼できるアプローチでグローバルな議論をリードする |
| On the occasion of the 2024 OECD Ministerial Council Meeting, we[1] assembled on 2-3 May 2024 under the leadership of Japan as MCM Chair, on the 60th anniversary of its accession to the OECD, and as Vice Chairs the Netherlands, and Mexico celebrating its 30th anniversary of membership, on the theme of “Co-creating the Flow of Change: Leading Global Discussions with Objective and Reliable Approaches towards Sustainable and Inclusive Growth.” | 2024年OECD閣僚理事会に際し、我々は[1]、「変化の流れを共創する」をテーマに、OECD加盟60周年を迎えた日本がMCM議長として、また、加盟30周年を迎えたオランダとメキシコが副議長として、2024年5月2-3日に集った: 持続可能で包摂的な成長に向けて、客観的で信頼できるアプローチでグローバルな議論をリードする。" |
| 1. As set out in the 2021 Vision Statement, we form a like-minded community committed to shared values of individual liberty, democracy, open and transparent markets, the rule of law, protection of human rights, gender equality, environmental sustainability, tackling inequalities, promoting diversity and social inclusion. Our work is underpinned by the OECD’s distinctive capability for objective and highly reliable evidence-based analysis, standards and robust peer reviews to address the global challenges of our time. | 1. 2021年ビジョン・ステートメントにあるように、私たちは、個人の自由、民主主義、オープンで透明性の高い市場、法の支配、人権の保護、男女平等、環境の持続可能性、不平等への取り組み、多様性の促進、社会的包摂といった共通の価値観にコミットする志を同じくするコミュニティを形成している。私たちの活動は、客観的で信頼性の高い証拠に基づく分析、標準、そして確固たるピアレビューというOECDの特徴的な能力によって支えられており、現代のグローバルな課題に取り組んでいる。 |
| 2. The macroeconomic situation is of modest growth with significant uncertainties surrounding disinflation pace and geopolitical tensions, which are affecting not only the economy, but society as a whole. In this context, we will address a wide range of social challenges such as demographic change, climate change, digital divides, and inequalities, to achieve sustainable economic growth, while dealing with fiscal challenges. We will also seek to build a sustainable and inclusive economy and society where all, including vulnerable groups, can experience prosperity and better lives. In order to achieve such a society while aiming at transforming initiatives to solve social challenges into engines for growth, we recognise the importance of improving productivity and quality of employment, as well as promoting science, technology and innovation through boosting investment, including in human capital such as education and skills training and R&D. We also reaffirm the importance of the digital and green transformations through wider applications of new technologies, fostering startups and supporting SMEs, striving to ensure free and fair trade, enhancing people’s well-being, and achieving gender equality and social and digital inclusion. | 2. マクロ経済の状況は、緩やかな成長であり、ディスインフレ・ペースや地政学的緊張をめぐる重大な不確実性が、経済のみならず社会全体に影響を及ぼしている。このような状況の中、人口動態の変化、気候変動、デジタルデバイド(情報格差)、不平等など幅広い社会的課題に取り組み、財政的課題に対処しつつ、持続可能な経済成長を実現する。また、脆弱性を含む全ての人々が豊かさとより良い生活を実感できる、持続可能で包摂的な経済社会の構築を目指す。社会的課題の解決に向けた取組を成長の原動力へと転換することを目指しながら、そのような社会を実現するために、我々は、教育・技能訓練や研究開発などの人的資本への投資を強化することを通じて、科学・技術・イノベーションを促進するとともに、生産性や雇用の質を改善することの重要性を認識する。また、我々は、新技術の広範な応用、新興企業の育成と中小企業の支援、自由で公正な貿易の確保、人々の福利の向上、男女平等と社会的・デジタル的包摂の達成を通じた、デジタルとグリーンの変革の重要性を再確認する。 |
| 3. We condemn Russia’s aggression against Ukraine in the strongest possible terms. Russia’s unjustifiable and unprovoked war against Ukraine is a clear violation of international law and a serious threat to the rules-based international order. Russia’s war has caused human suffering, disrupted global supply chains, and diminished energy and food security worldwide. We reaffirm our commitment to support the people and democratically elected government of Ukraine and reiterate our firm commitment to Ukraine’s recovery and reconstruction including through the OECD Ukraine Country Programme, as part of an initial accession dialogue. We continue to work with the Ukrainian authorities, and in coordination with other international actors, and look forward to a successful outcome from the Ukraine Recovery Conference in Berlin in June. | 3. 我々は、ウクライナに対するロシアの侵略を最も強い言葉で非難する。ロシアのウクライナに対する不当かついわれのない戦争は、明白な国際法違反であり、ルールに基づく国際秩序に対する深刻な脅威である。ロシアの戦争は、人的被害を引き起こし、世界のサプライチェーンを混乱させ、世界中のエネルギーと食糧の安全保障を低下させている。我々は、ウクライナの国民と民主的に選出された政府を支援するという我々のコミットメントを再確認し、最初の加盟対話の一環として、OECDウクライナ国別プログラムを含め、ウクライナの復興と再建に向けた我々の確固たるコミットメントを改めて表明する。我々は、引き続きウクライナ当局と協力し、また他の国際的アクターと協調して、6月にベルリンで開催されるウクライナ回復会議が成功裏に終わることを期待する。 |
| 4. We express deep concern about the negative economic and social impacts of the evolving conflicts in the Middle East. | 4. 我々は、中東における紛争の進展が経済・社会に及ぼす悪影響について深い懸念を表明する。 |
| 5. In an increasingly complex geopolitical environment, we welcome the OECD’s increased global outreach and engagement, and its efforts to bridge advanced, emerging and developing economies in addressing global challenges and ensuring the OECD remains a relevant and impactful organisation. We will strengthen the OECD’s engagement with the United Nations in support of effective multilateralism. We strongly welcome the adoption of Argentina Accession Roadmap, along with the ongoing accession processes for Brazil, Bulgaria, Croatia, Peru and Romania. We will continue our collaboration with Key Partners and others, including through Regional and Country Programmes, emphasizing our engagement across diverse regions such as Southeast Asia, South East Europe, Middle East and North Africa (MENA), Latin America and the Caribbean (LAC) and Eurasia. We commit to further strengthening our cooperation with Africa through the implementation of the OECD-Africa Partnership, building on the signing of the Memorandum of Understanding (MOU) with the African Union and the launch of the African Virtual Investment Platform (AfVIP), to promote shared prosperity through sustainable and inclusive development. We will continue to contribute to global governance through our active engagement with the G20, G7 and APEC. We remain open to future requests for membership from all regions. | 5. 複雑化する地政学的環境において、我々は、OECDが世界的なアウトリーチと関与を強化し、世界的な課題に取り組む先進国、新興国、途上国の架け橋となり、OECDが適切かつ影響力のある組織であり続けるための努力を行っていることを歓迎する。我々は、効果的な多国間主義を支援するため、OECDの国連への関与を強化する。我々は、ブラジル、ブルガリア、クロアチア、ペルー、ルーマニアの現在進行中の加盟プロセスとともに、アルゼンチン加盟ロードマップの採択を強く歓迎する。我々は、東南アジア、南東ヨーロッパ、中東・北アフリカ(MENA)、ラテンアメリカ・カリブ海地域(LAC)、ユーラシア等の多様な地域にわたる我々の関与を強調しつつ、地域及び国別プログラムを通じたものを含め、主要パートナー等との協力を継続する。我々は、持続可能で包摂的な開発を通じて共通の繁栄を促進するため、アフリカ連合との了解覚書(MOU)の調印とアフリカ仮想投資プラットフォーム(AfVIP)の立ち上げを基礎として、OECDアフリカ・パートナーシップの実施を通じてアフリカとの協力をさらに強化することを約束する。我々は、G20、G7、APECへの積極的な関与を通じて、グローバル・ガバナンスに貢献し続ける。我々は、すべての地域からの将来の加盟要請に対して引き続きオープンである。 |
| 6. We reaffirm the strategic priority of the Indo-Pacific region with a view to identifying countries for potential membership and renew our commitments to the region on the occasion of the 10th anniversary of the OECD Southeast Asia Regional Programme (SEARP). Since the launch of SEARP in 2014, OECD co-operation with the Indo-Pacific has continued to strengthen and deepen through Country Programmes, Joint Work Programmes and regional networks. Building on this long-standing collaboration, we strongly welcome the historic decision to open accession discussions with Indonesia and adoption of the Accession Roadmap. We welcome Thailand’s request to join the Organisation. We welcome the revision of the MOU with the Economic Research Institute for ASEAN and East Asia (ERIA) which strengthens OECD engagement in the region. We welcome the Implementation Plan for the OECD Strategic Framework for the Indo-Pacific, and commit to the promotion of global outreach and further dissemination of wide-ranging OECD standards and best practices in the IndoPacific region through its implementation. We will strive to enhance cooperation with the Association of Southeast Asian Nations (ASEAN) and other international organisations in the region. | 6. 我々は、加盟候補国の特定を視野に入れたインド太平洋地域の戦略的優先順位を再確認し、OECD東南アジア地域プログラム(SEARP)の10周年を機に、同地域に対する我々のコミットメントを更新する。2014年のSEARP発足以来、OECDのインド太平洋地域に対する協力は、国別プログラム、共同作業プログラム、地域ネットワークを通じて強化・深化を続けてきた。このような長年の協力関係を基礎として、我々は、インドネシアとの加盟協議を開始する歴史的な決定と加盟ロードマップの採択を強く歓迎する。我々は、タイからの加盟要請を歓迎する。我々は、域内におけるOECDの関与を強化するASEAN・東アジア経済研究所(ERIA)とのMOUの改訂を歓迎する。我々は、インド太平洋のためのOECD戦略的枠組みに関する実施計画を歓迎し、その実施を通じて、インド太平洋地域におけるグローバルなアウトリーチの促進と、広範なOECDの標準とベスト・プラクティスの更なる普及にコミットする。我々は、東南アジア諸国連合(ASEAN)及び域内の他の国際機関との協力の強化に努める。 |
| 7. We reaffirm our continued commitment to maintaining and strengthening the rules-based, inclusive, free and fair multilateral trading system, with the World Trade Organization (WTO) at its core. We reaffirm our commitments to WTO reform at the thirteenth WTO Ministerial Conference (MC13) which demonstrated the importance of strengthening and improving all the functions of the WTO, so that it can effectively respond to today’s key global trade challenges. We will accelerate discussions on Dispute Settlement reform with a view to having a fully and well-functioning dispute settlement system accessible to all Members by 2024. We encourage all WTO members to promptly finalise their domestic processes to formally accept the WTO Agreement on Fisheries Subsidies so that it enters into force, and to conclude the negotiations on additional provisions, to reach a comprehensive agreement as soon as possible. We recognise the need for all WTO members to work towards a meaningful outcome on agriculture reform at MC14, in line with Article 20 of the Agreement on Agriculture. We support the ongoing work of the WTO and emphasise the role of the OECD in helping governments addressing challenges in areas such as development, the environment, small economies, micro, small and medium-sized enterprises, and gender equality. We welcome the decision to continue to reinvigorate the Work Programme on Electronic Commerce and to maintain the moratorium on customs duties on electronic transmissions as decided at MC13, which provides certainty and predictability for the digital economy. We also commit to working towards the conclusion of negotiations of the Joint Statement Initiative (JSI) on E-Commerce by the summer. We value the substantive work of the OECD on digital trade. We further welcome OECD work on level playing field. In this regard, as a leading norm to enhance transparency and accountability of state-owned enterprises (SOEs), we adopt the revised OECD Recommendation on Guidelines on Corporate Governance of State-Owned Enterprises (SOEs) and we recognise the importance of their implementation by both OECD Members and non-Members. We also recognise the importance of global level playing field and addressing non-market policies and practices, which in turn support well-functioning markets underpinned by a rules-based system. We will continue our discussions on gaps between the existing WTO rules and real-world situations to secure a global level playing field including in relation to industrial subsidies and forced technology transfer. We welcome the implementation of the revised OECD Arrangement on Officially Supported Export Credits incorporating more flexible financing terms and conditions including for climate-friendly transactions, while ensuring a level playing field. | 7. 我々は、世界貿易機関(WTO)を中核とする、ルールに基づく、包摂的で自由かつ公正な多国間貿易システムの維持・強化に対する我々の継続的なコミットメントを再確認する。我々は、WTOが今日の主要な世界貿易上の課題に効果的に対応できるよう、WTOの全ての機能を強化し改善することの重要性を示した第13回WTO閣僚会議(MC13)におけるWTO改革への我々の対応を再確認する。我々は、2024年までに全ての加盟国が利用可能な完全かつ十分に機能する紛争解決システムを有することを目指し、紛争解決改革に関する議論を加速させる。我々は、全てのWTO加盟国に対し、漁業補助金に関するWTO協定を正式に受諾し、発効させるための国内プロセスを速やかに完了させ、追加的な条項に関する交渉を妥結させ、可能な限り早期に包括的な協定に到達することを奨励する。我々は、全てのWTO加盟国が、農業に関する協定の第20条に則り、MC14において農業改革に関する有意義な成果に向けて努力する必要性を認識する。我々は、WTOの継続的な作業を支持するとともに、開発、環境、小規模経済、零細・中小企業、ジェンダー平等などの分野における課題に取り組む政府を支援するOECDの役割を強調する。我々は、電子商取引に関する作業計画の再活性化を継続し、デジタル経済に確実性と予測可能性を提供する、MC13で決定された電子通信に対する関税のモラトリアムを維持するとの決定を歓迎する。我々はまた、夏までに電子商取引に関する共同声明イニシアティブ(JSI)の交渉妥結に向けて努力することを約束する。我々は、デジタル貿易に関するOECDの実質的な作業を評価する。我々はさらに、公平な競争条件に関するOECDの作業を歓迎する。この観点から、国有企業(SOEs)の透明性と説明責任を強化するための主導的規範として、我々は、国有企業(SOEs)のコーポレート・ガバナンスに関するガイドラインに関するOECD勧告の改訂版を採択し、OECD加盟国と非加盟国の双方によるその実施の重要性を認識する。我々はまた、グローバルな公平な競争条件と、非市場的な政策及び慣行への取組みの重要性を認識する。我々は、産業補助金及び強制的な技術移転との関連も含め、グローバルな公平な競争条件を確保するため、既存のWTOルールと現実の状況との間のギャップに関する議論を継続する。我々は、公平な競争条件を確保しつつ、気候変動に配慮した取引を含む、より柔軟な融資条件を組み込んだ、公的支援輸出クレジットに関するOECDアレンジメントの改訂版の実施を歓迎する。 |
| 8. We affirm our commitment to enhancing cooperation on economic resilience and economic security through inter alia reducing vulnerabilities and countering practices that undermine international rules and norms. We recognise that the Principles on Resilient and Reliable Supply Chains, comprised of transparency, diversification, security, sustainability, and trustworthiness and reliability, are essential principles on which to build resilient supply chains among trusted partners, and we will work together to secure sustainable, reliable and trustworthy sources for strategic goods, including critical minerals essential for the green and digital transformations. We express serious concern over economic coercion, and call on all countries to refrain from its use which infringes upon the international order, centered on respect for sovereignty and the rule of law, and will work together with partners to ensure that attempts to weaponise economic dependencies will fail. We welcome OECD work that contributes to building our fact-based awareness on supply chain resilience and economic coercion and look forward to further analytical work. We commit to responding to comprehensive strategies to use non-market policies and practices that distort a global level playing field as well as other practices that create strategic dependencies and systemic vulnerabilities, which can then be exploited through economic coercion. We will work together on other economic security issues such as promoting and protecting critical and emerging technologies, enhancing resilience of critical infrastructure, and countering harmful practices in the digital sphere. | 8. 我々は、特に、脆弱性を削減し、国際的なルール及び規範を損なう慣行に対抗することを通じて、経済のレジリエンス及び経済の安全保障に関する協力を強化するとのコミットメントを確認する。我々は、透明性、多様性、安全性、持続可能性、信頼性及び信頼性からなる「レジリエンスと信頼性のサプライチェーンに関する原則」が、信頼できるパートナー間でレジリエンスなサプライチェーンを構築するために不可欠な原則であることを認識し、グリーン及びデジタル変革に不可欠な重要鉱物を含む戦略物資について、持続可能で信頼できる、信頼できる供給源を確保するために協力する。我々は、経済的強制に深刻な懸念を表明し、全ての国に対し、主権の尊重と法の支配を中心とする国際秩序を侵害するその使用を控えるよう求める。我々は、サプライチェーンのレジリエンスと経済的強制力に関する事実に基づく認識の構築に貢献するOECDの作業を歓迎し、さらなる分析作業を期待する。我々は、グローバルな公平な競争条件を歪める非市場的な政策や慣行、戦略的な依存関係やシステミックな脆弱性を生み出し、それを経済的強制力を通じて悪用するその他の慣行を利用する包括的な戦略に対応することを約束する。我々は、重要技術や新興技術の促進・保護、重要インフラのレジリエンスの強化、デジタル領域における有害な慣行への対抗など、その他の経済安全保障上の課題についても協力する。 |
| 9. We welcome the revision of the 2019 OECD Recommendation on Artificial Intelligence (AI) and call on the OECD to support international implementation of the revised Recommendation. With the recognition that the Hiroshima Process International Guiding Principles and the Code of Conduct complement the implementation of the Recommendation, we support the Hiroshima AI Process and stress the importance of advancing international efforts to improve interoperability between AI governance frameworks, including for generative AI. We welcome the additional countries who support the outcomes of the Hiroshima AI Process to promote safe, secure and trustworthy AI as part of the Hiroshima AI Process Friends Group. We look forward to the OECD’s active contribution to international discussions on AI, at fora such as the UN, G7, G20, the Global Partnership on AI (GPAI), the AI Seoul Summit and the AI Paris Summit, with a focus on addressing the risk of mis- and dis- information and algorithmic biases as a major risk to our societies, democratic values and trust in institutions, as well as responding to impacts on the labour market and promoting an inclusive AI-enabling ecosystem. We call on the OECD to develop an action plan to harness the benefits and address the risks of AI in the labour market. We also welcome broad work on policy measures to counter mis- and dis- information including those relevant to OECD digital policies. We value the OECD’s leading role in advancing Data Free Flow with Trust (DFFT), in promoting cross-border data flows and in providing expert analysis on the digital economy, including analytical work regarding challenges to the free flow of data. We encourage work to facilitate trusted data flows and welcome the Expert Community. We commit to initiating discussions on enhancing visibility of data governance and privacy and the possible options of further strengthening the relevant committee structure. We welcome the Declaration on Transformative Science, Technology and Innovation Policies for a Sustainable and Inclusive Future, adopted[2] at the Ministerial-level meeting of the OECD Committee for Scientific and Technological Policy (CSTP), and emphasise the need for transformative science, technology and innovation policies for a sustainable and inclusive future. We call on the OECD to develop guidance for a human-centric and rights-oriented digital transformation that benefits all. | 9. 我々は、人工知能(AI)に関する2019年OECD勧告の改訂を歓迎し、OECDが改訂勧告の国際的な実施を支援することを求める。広島プロセス国際指導原則と行動規範が勧告の実施を補完するとの認識の下、我々は広島AIプロセスを支持し、生成的AIを含むAIガバナンスの枠組み間の相互運用性を改善するための国際的な取り組みを進めることの重要性を強調する。我々は、広島AIプロセス・フレンド・グループの一員として、安全・安心・信頼のAIを促進する広島AIプロセスの成果を支持する追加的な国々を歓迎する。我々は、OECDが、国連、G7、G20、AIに関するグローバル・パートナーシップ(GPAI)、AIソウル・サミット、AIパリ・サミットなどの場において、AIに関する国際的な議論に積極的に貢献することを期待する。その際、我々の社会、民主的価値、機構に対する信頼に対する主要なリスクとして、情報の誤認・誤用やアルゴリズムのバイアスのリスクへの対応、労働市場への影響への対応、包括的なAIを可能にするエコシステムの促進に重点を置く。我々は、OECDに対し、労働市場におけるAIの恩恵を活用し、リスクに対処するための行動計画を策定するよう求める。また、我々は、OECDのデジタル政策に関連するものを含め、誤った情報や誤った情報に対抗するための政策措置に関する広範な作業を歓迎する。我々は、国境を越えたデータの流れを促進し、データの自由な流れに対する課題に関する分析作業を含むデジタル経済に関する専門家による分析を提供するDFFT(Data Free Flow with Trust)の推進におけるOECDの主導的役割を評価する。我々は、信頼されたデータの流れを促進するための作業を奨励し、専門家コミュニティを歓迎する。我々は、データ・ガバナンスとプライバシーの可視性の強化、及び関連する委員会構造の更なる強化の可能性について議論を開始することを約束する。我々は、OECD科学技術政策委員会(CSTP)の閣僚級会合で採択された「持続可能で包括的な未来のための変革的な科学技術・イノベーション政策に関する宣言」[2]を歓迎し、持続可能で包括的な未来のための変革的な科学技術・イノベーション政策の必要性を強調する。我々は、OECDに対し、万人に恩恵をもたらす人間中心かつ権利志向のデジタル変革のためのガイダンスを策定するよう求める。 |
| 10. We will continue to work together to reform the international tax system through the swift and effective implementation of the OECD/G20 BEPS Inclusive Framework’s Two-Pillar Solution to address the tax challenges arising from the digitalisation and globalisation of the economy. We call on all members of the Inclusive Framework to finalise expeditiously the work on Pillar One with a view to signing the Multilateral Convention (MLC) by the end of June. We welcome the 2023 update of the OECD/G20 Roadmap on Developing Countries and International Taxation. We recognise the respective roles of governments, business, and other stakeholders, and acknowledge the diverse approaches to implement relevant international standards, including the revised OECD Guidelines for Multinational Enterprises on Responsible Business Conduct. We reaffirm the importance of strengthening international cooperation on global value chains to promote respect for human rights, including internationally recognised labour rights, and the protection of the environment, leading to increased predictability and clarity for businesses. We commit to the effective and timely implementation of the revised G20/OECD Principles of Corporate Governance that support the resilience and sustainability of corporations, which, in turn, contributes to the resilience and sustainability of the broader economy, and look forward to the finalisation of the revised Methodology for Assessing the Implementation of the Principles. | 10. 我々は、経済のデジタル化とグローバル化から生じる税制上の課題に対処するため、OECD/G20のBEPS包括的枠組みの「2つの柱による解決策」の迅速かつ効果的な実施を通じて、国際的な税制を改革するために引き続き協力する。我々は、包括的枠組みの全てのメンバーに対し、6月末までに多国間条約(MLC)に署名することを視野に、第一の柱に関する作業を迅速に最終化することを求める。我々は、途上国と国際課税に関するOECD/G20ロードマップの2023年の更新を歓迎する。我々は、政府、ビジネス及びその他のステークホルダーのそれぞれの役割を認識し、責任ある企業行動に関する多国籍企業向けOECDガイドラインの改訂版を含む、関連する国際標準を実施するための多様なアプローチを認識する。我々は、国際的に認知された労働者の権利を含む人権の尊重及び環境の保護を促進するため、グローバル・バリューチェーンに関する国際協力を強化することの重要性を再確認し、企業にとっての予測可能性と明確性の向上につなげる。我々は、企業のレジリエンスと持続可能性を支援し、ひいてはより広範な経済のレジリエンスと持続可能性に貢献する、改訂されたG20/OECDコーポレート・ガバナンス原則の効果的かつタイムリーな実施にコミットし、原則の実施評価のための改訂された手法の最終化を期待する。 |
| 11. We welcome the revised Declaration on International Investment and Multinational Enterprises, which aims to enable an open and transparent international investment environment and encourage multinational enterprises to contribute towards economic and social development. To attract “more, better, and safe FDI”, we will holistically consider inclusive economic growth, sustainability, and security in Emerging Markets and Developing Economies (EMDEs) and extend support to non-Member countries. Furthermore, we affirm the finalisation of the Investment Facilitation for Development Agreement and the continuation of discussions on its incorporation into the legal framework of the WTO. | 11. この宣言は、オープンで透明性の高い国際投資環境を実現し、多国籍企業が経済的・社会的発展に貢献することを奨励することを目的としている。より多く、より良く、より安全なFDI」を誘致するため、我々は、新興市場・途上国経済(EMDEs)における包括的な経済成長、持続可能性、安全保障を総合的に検討し、非加盟国への支援を拡大する。さらに、我々は、開発のための投資円滑化協定の最終化及びWTOの法的枠組みへの組込みに関する議論の継続を確認する。 |
| 12. Based on the outcome of the first Global Stocktake (GST), we reaffirm our commitment to strengthening the implementation of the Paris Agreement and accelerating urgent action in this critical decade to keep the 1.5°C goal within reach and to achieve the common goal of net-zero by 2050. We emphasise the importance of simultaneously achieving net-zero, economic growth, and energy security, pursuing various pathways while taking into account national circumstances and recognising the need to develop further clean energy technologies. We reiterate our call on the OECD to continue to examine environmentally beneficial and harmful support measures across all sectors and provide evidence-based analysis to support reform. We call on all Parties to the Paris Agreement and the United Nations Framework Convention on Climate Change (UNFCCC) to commit to work collectively to peak global greenhouse gas emissions immediately and by no later than 2025, and to contribute to global efforts in line with the Global Stocktake decision, including tripling renewable energy capacity globally, doubling the global average annual rate of energy efficiency improvements by 2030, accelerating efforts towards the phasedown of unabated coal power, and transitioning away from fossil fuels in energy systems in a just, orderly and equitable manner, accelerating action in this critical decade so as to achieve net zero by 2050 in keeping with the science. We urge all countries, in particular major emitters, to submit their next Nationally Determined Contributions (NDCs) with ambitious, economy-wide reduction targets, covering all greenhouse gases, sectors and categories and aligned with keeping a limit of 1.5 °C temperature rise within reach, based on the best available science and the highest possible ambition. We reaffirm existing UNFCCC climate finance efforts, including the developed country commitment to the collective goal of providing and mobilising US$100 billion annually, which looks likely to have been met as of 2022 according to the statement by the OECD Secretary-General in 2023. We also look forward to an ambitious New Collective Quantified Goal on climate finance in 2024. We recognise the role of the IEA in shaping a secure and sustainable energy future for all. | 12. 第1回グローバル・ストックテイク(GST)の結果に基づき、我々は、パリ協定の実施を強化し、1.5℃の目標を達成し、2050年までにネット・ゼロという共通の目標を達成するために、この重要な10年間における緊急の行動を加速させるとの我々のコミットメントを再確認する。我々は、ネット・ゼロ、経済成長、エネルギー安全保障を同時に達成することの重要性を強調し、各国の状況を考慮しつつ様々な道筋を追求し、更なるクリーン・エネルギー技術の開発の必要性を認識する。我々は、OECDに対し、あらゆるセクターにわたる環境に有益な支援策と有害な支援策を引き続き検討し、改革を支援するためのエビデンスに基づく分析を提供するよう、改めて要請する。我々は、パリ協定と気候変動枠組条約(UNFCCC)の全ての締約国に対し、世界の温室効果ガス排出量を直ちに、遅くとも2025年までにピークに到達させるために集団として取り組むことを約束し、また、再生可能エネルギー容量を世界全体で3倍にすることを含め、グローバル・ストックテイク決定に沿った世界的な取り組みに貢献することを求める、 2030年までにエネルギー効率の改善率を世界平均で年2倍にすること、停止していない石炭発電の段階的削減に向けた努力を加速すること、そして、公正で秩序ある衡平な方法でエネルギーシステムにおける化石燃料からの脱却を図り、この重要な10年間における行動を加速することで、科学に則り2050年までにネット・ゼロを達成することを含む。我々は、全ての国、特に主要排出国に対し、利用可能な最善の科学と可能な限り高い野心に基づき、全ての温室効果ガス、セクター、カテゴリーをカバーし、気温上昇1.5℃の制限を達成するための野心的な経済全体の削減目標を含む、次回の国別決定貢献(NDCs)を提出するよう求める。我々は、毎年1,000億米ドルを拠出・動員するという集団目標に対する先進国のコミットメントを含め、既存のUNFCCC気候変動資金への取り組みを再確認する。我々はまた、2024年の気候変動資金に関する野心的な新共同定量化目標に期待している。我々は、すべての人のための安全で持続可能なエネルギーの未来を形作る上でのIEAの役割を認識する。 |
| 13. We emphasise that transition finance, in line with keeping a limit of 1.5°C temperature rise within reach, avoiding carbon lock-ins and based on effective emissions reduction, is needed as it contributes to achieving a net-zero society. We emphasise that the rapid mobilisation of private finance through the establishment of ‘high integrity carbon markets’ and utilisation of Article 6 of the Paris Agreement can contribute to achieving net zero emissions by 2050. We affirm the significance of the OECD’s work on the interplays between voluntary and compliance carbon markets to enhance environmental integrity. We endeavour to achieve sustainable productivity growth contributing to reducing GHG emissions in all economic sectors and to taking action to reinforce rural development and food security whilst strengthening our natural carbon sinks. We welcome the launch of the OECD report ‘A Territorial Approach to Climate Action and Resilience (TACAR)’ at COP28. We welcome the steady progress made at the Inclusive Forum on Carbon Mitigation Approaches (IFCMA), including the launch of the Ministerial dialogue and work on carbon intensity metrics. We expect new membership, cooperation with international organisations, and further work that will lead to greater progress on cross-border climate change initiatives. | 13. 我々は、1.5℃の気温上昇を達成可能な範囲にとどめ、カーボン・ロックインを回避し、効果的な排出削減に基づく移行資金が、ネット・ゼロ社会の達成に貢献することから、必要であることを強調する。我々は、「完全性の高い炭素市場」の確立とパリ協定第6条の活用を通じて、民間資金を迅速に動員することが、2050年までにネット・ゼロ排出を達成することに貢献できることを強調する。我々は、環境十全性を高めるための自主的炭素市場と遵守的炭素市場の相互作用に関するOECDの作業の重要性を確認する。我々は、全ての経済部門における温室効果ガス排出削減に貢献する持続可能な生産性成長を達成し、また、自然の炭素吸収源を強化しつつ、農村開発と食料安全保障を強化するための行動をとるよう努める。我々は、COP28において、OECDの報告書「気候変動対策とレジリエンスへの地域的アプローチ(TACAR)」が発表されたことを歓迎する。我々は、炭素低減アプローチに関する包括的フォーラム(IFCMA)において、閣僚級ダイアログの開始や炭素原単位評価指標に関する作業など、着実な進展があったことを歓迎する。我々は、新たな加盟、国際組織との協力、国境を越えた気候変動イニシアティブの更なる進展につながる更なる作業を期待する。 |
| 14. Recognising the interlinked global crises of climate change, biodiversity loss, and pollution, we commit to enhancing synergies and preventing trade-offs, as appropriate, as we pursue transformation toward net-zero, climate-resilient, circular and nature positive economies, taking into account just transitions, in light of the sixth session of the United Nations Environment Assembly (UNEA-6) resolution 6/7 on promoting synergies. Given the importance of trade in a circular economy to enhance environmentally sound recycling at the global level, we will work with stakeholders, including businesses, to increase circularity in our economies and improve international cooperation, and to increase environmentally sound recycling, including through relevant OECD decisions and rules and coordination to implement procedures. We will promote circular businesses, which will include utilizing the circular economy and resource-efficiency principles. We are committed to taking urgent action in support of the swift and full implementation of the Kunming-Montreal Global Biodiversity Framework (KMGBF), including the transition to nature-positive economies. We are determined to revise our National Biodiversity Strategies and Action Plans (NBSAPs) in line with the KMGBF and its goals and targets, and continue to work towards the implementation of the NBSAPs. We commit to supporting efforts for a sustainable Oceans and Water management to advance long-term environmental, economic and social development. We also commit to playing a constructive role in the Intergovernmental Negotiating Committee with an ambition to complete the work by the end of 2024 to develop an international legally binding instrument on plastic pollution, based on a comprehensive approach that addresses the full life cycle of plastic. | 14. 我々は、気候変動、生物多様性の喪失、汚染という相互に関連する地球規模の危機を認識し、シナジーの促進に関する第6回国連環境総会(UNEA-6)決議6/7に照らして、公正な移行を考慮しつつ、ネット・ゼロ、気候レジリエンス、通達、自然共生型経済への変革を追求する際に、適宜、シナジーを強化し、トレードオフを防止することにコミットする。地球レベルで環境的に健全なリサイクルを強化するための循環型経済における貿易の重要性に鑑み、我々は、企業を含む利害関係者と協力し、我々の経済における循環性を高め、国際協力を改善し、OECDの関連する決定や規則、手続を実施するための調整を含め、環境的に健全なリサイクルを増加させる。我々は、循環経済と資源効率原則の活用を含む通達ビジネスを推進する。我々は、自然に配慮した経済への移行を含む、昆明・モントリオール世界生物多様性枠組み(KMGBF)の迅速かつ完全な実施を支援するための緊急行動をとることを約束する。我々は、KMGBFとその目標・ターゲットに沿って、生物多様性国家戦略・行動計画(NBSAPs)を改定し、NBSAPsの実施に向けて引き続き取り組むことを決意する。我々は、長期的な環境的、経済的、社会的発展を促進するため、持続可能な海洋と水の管理のための努力を支援することを約束する。我々はまた、プラスチックの全ライフサイクルに対応する包括的なアプローチに基づき、プラスチック汚染に関する国際的な法的拘束力のある文書を作成するための作業を2024年末までに完了させるという野心を持って、政府間交渉委員会において建設的な役割を果たすことにコミットする。 |
| 15. We reaffirm universal respect for human rights and fundamental freedoms for all as enshrined in the UN Charter, and commit to achieving sustainable development in a peaceful and stable international environment. Recognising the importance of human dignity, we recommit to supporting, as an international community, developing countries most in need in achieving the Sustainable Development Goals (SDGs). The HumanitarianDevelopment-Peace (HDP) Nexus and the Women, Peace and Security (WPS) agenda, including its application to Disaster Risk Reduction (DRR), are increasingly important for building diverse and resilient societies to sustain peace. In this regard, we emphasise the need to address financing gaps to achieve the SDGs using all sources of finance. We continue to invite all providers of development cooperation to adhere more closely to international standards and practices that improve effectiveness, transparency and accountability in development cooperation. In particular, development finance should be provided in a transparent and fair manner in line with international rules and standards. We emphasise the importance of stepping up implementation of the G20 Common Framework in a predictable, timely, orderly and coordinated manner, and call on the international community to further enhance debt transparency through actions by all creditors and debtor countries, including through debt data sharing exercises. We commit to contributing to discussions towards the Summit of the Future and the Fourth International Conference on Financing for Development. We note that to follow up on the Summit for a New Global Financing pact (NFP), the OECD hosts the Secretariat of the Paris Pact for People and the Planet (4P). We commit to promoting quality infrastructure investment in line with the G20 Principles for Quality Infrastructure Investment and through the G7 Partnership for Global Infrastructure and Investment and initiatives such as the Global Gateway. We welcome efforts to operationalise the Blue Dot Network (BDN), and the hosting of the BDN secretariat in the OECD. We acknowledge the progress of the FAST-Infra certification scheme. We encourage the OECD to analyse and address the potential impact and spillovers of OECD standards and recommendations on non-Members, especially on developing countries. Furthermore, building on the commitments in our 2021 Vision Statement, we will deliver a new whole-of-OECD Strategy on Development for adoption at the 2025 MCM, to optimise our approach to sustainable development. | 15. 我々は、国連憲章に謳われている全ての者の人権と基本的自由の普遍的な尊重を再確認し、平和で安定した国際環境における持続可能な開発の達成にコミットする。我々は、人間の尊厳の重要性を認識し、国際社会として、持続可能な開発目標(SDGs)の達成を最も必要としている開発途上国を支援することを約束する。人道・開発・平和(HDP)ネクサスと女性・平和・安全保障(WPS)アジェンダは、災害リスク軽減(DRR)への適用を含め、平和を維持するための多様でレジリエンスある社会を構築するために、ますます重要となっている。この観点から、我々は、あらゆる資金源を用いてSDGs達成のための資金ギャップに対処する必要性を強調する。我々は、すべての開発協力プロバイダに対し、開発協力の有効性、透明性、説明責任を改善する国際標準と慣行をより緊密に遵守するよう引き続き要請する。特に、開発資金は、国際的なルールと標準に沿った透明かつ公正な方法で提供されるべきである。我々は、予測可能、タイムリー、秩序ある協調的な方法で、G20共通枠組みの実施を強化することの重要性を強調し、国際社会に対し、債務データ共有の実施を含む、全ての債権者及び債務国による行動を通じて、債務の透明性を更に強化することを求める。我々は、未来サミット及び第4回開発資金国際会議に向けた議論に貢献することを約束する。我々は、新たな国際金融協定(NFP)のためのサミットをフォローアップするため、OECDが「人と地球のためのパリ協定(4P)」の事務局を主催していることに留意する。我々は、「質の高いインフラ投資のためのG20原則」に沿って、また、「グローバル・インフラと投資のためのG7パートナーシップ」や「グローバル・ゲートウェイ」のようなイニシアティブを通じて、質の高いインフラ投資を促進することにコミットする。我々は、ブルードット・ネットワーク(BDN)の運用に向けた努力と、OECDにおけるBDN事務局のホスティングを歓迎する。我々は、FAST-Infra認証スキームの進展を認める。我々は、OECDが、OECDの標準と勧告が非加盟国、特に途上国に及ぼす潜在的な影響と波及効果について分析し、対処することを奨励する。さらに、我々の2021年ビジョン声明におけるコミットメントに基づき、我々は、持続可能な開発への我々のアプローチを最適化するため、2025年MCMでの採択に向けて、開発に関するOECD全体の新たな戦略を提供する。 |
| 16. In line with the OECD’s Contribution to Promoting Gender Equality, we encourage the OECD to continue to mainstream gender equality and inclusion, taking an intersectional approach, grounded in credible analysis using gender-disaggregated data. We welcome the progress of the Gender Dashboard, currently in its pilot phase, the gender policy reviews and the Gender Data Initiative, as well as the upcoming first edition of the OECD Forum on Gender Equality that incorporates best practices. Towards the goal of achieving a sustainable and inclusive economy and society, we commit to making progress to reduce gender gaps in employment and pay. We also recommit to building resilient education and training systems, to ensure inclusive and equitable quality education for all, from early childhood, through to the provision of lifelong learning opportunities as well as learning opportunities to improve well-being. We recognise the importance of using multidimensional indicators, in addition to economic growth as measured by GDP, with a view to improving all people’s wellbeing, and welcome the establishment of the OECD Knowledge Exchange Platform on Well-being Metrics and Policy Practice (KEP) that provides a space for sharing experience and solutions across countries. We also welcome the OECD Forum on Well-being to be held in Rome in November. We welcome the commitments made at the OECD Health Committee Ministerial Meeting in the Declaration on Building Better Policies for More Resilient Health Systems and hope that the OECD will contribute to promoting Universal Health Coverage (UHC) and strengthening pandemic prevention, preparedness and response (PPPR). | 16. OECDの男女共同参画推進への貢献に沿って、我々は、OECDが、男女別データを用いた信頼できる分析に基づき、交差的アプローチをとりながら、ジェンダー平等とインクルージョンの主流化を継続することを奨励する。我々は、現在パイロット段階にあるジェンダー・ダッシュボード、ジェンダー政策レ ビュー、ジェンダー・データ・イニシアティブの進展、およびベスト・プラクティスを組み込んだ OECD男女共同参画フォーラムの第1版が予定されていることを歓迎する。持続可能で包摂的な経済社会を達成するという目標に向けて、我々は、雇用と賃金におけるジェンダー格差の縮小を進展させることにコミットする。また、我々は、幼児期から生涯学習の機会の提供、さらには幸福を向上させるための学習の機会の提供まで、全ての人々のための包摂的で公平な質の高い教育を確保するために、レジリエンスのある教育・訓練制度を構築することを約束する。我々は、すべての人々のウェルビーイングの改善を視野に入れ、GDPで測定される経済成長に加えて、多面的な指標を用いることの重要性を認識し、国を超えて経験や解決策を共有する場を提供する「ウェルビーイングの指標と政策実践に関するOECD知識交換プラットフォーム(KEP)」の設立を歓迎する。また、11月にローマで開催されるOECDウェルビーイング・フォーラムを歓迎する。我々は、OECD保健委員会閣僚会合での「よりレジリエンスに富んだ保健システムのためのより良い政策の構築に関する宣言」におけるコミットメントを歓迎し、OECDがユニバーサル・ヘルス・カバレッジ(UHC)の推進とパンデミック予防・準備・対応(PPPR)の強化に貢献することを希望する。 |
| 17. We commend the OECD’s policy recommendations based on credible data-based analysis. We support the Secretary-General’s efforts to enhance the global-relevance and inclusiveness of the OECD. We also support his endeavour to strive to achieve gender equality, nationality diversity and inclusion in line with OECD Staff Regulations. We look forward to the OECD’s continued support in delivering quality, data-driven policies for sustainable societies so that future generations can enjoy economic and social well-being. | 17. 我々は、信頼できるデータに基づく分析に基づくOECDの政策提言を称賛する。我々は、OECDのグローバルな関連性と包括性を強化する事務総長の努力を支持する。また、男女平等、国籍の多様性、OECD職員規則に沿ったインクルージョンの達成に向けた事務総長の努力を支持する。我々は、将来の世代が経済的・社会的幸福を享受できるよう、持続可能な社会のための質の高い、データ主導の政策を提供するためのOECDの継続的な支援を期待する。 |
| 18. We welcome the designation of Costa Rica as the Chair of the MCM in 2025. | 18. 我々は、コスタリカが2025年のMCM議長に指名されたことを歓迎する。 |
| [1] Ministers and representatives of Australia, Austria, Belgium, Bulgaria, Canada, Chile, Colombia, Costa Rica, Croatia, Czechia, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland, Ireland, Israel, Italy, Japan, Latvia, Lithuania, Luxembourg, Mexico, the Netherlands, New Zealand, Norway, Peru, Poland, Portugal, Republic of Korea, Romania, the Slovak Republic, Slovenia, Spain, Sweden, Switzerland, Türkiye, the United Kingdom, the United States, and the European Union. | [1] オーストラリア、オーストリア、ベルギー、ブルガリア、カナダ、チリ、コロンビア、コスタリカ、クロアチア、チェコ、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、アイスランド、アイルランド、イスラエル、イタリア、日本、ラトビア、リトアニア、ルクセンブルグ、メキシコ、オランダ、ニュージーランド、ノルウェー、ペルー、ポーランド、ポルトガル、大韓民国、ルーマニア、スロバキア共和国、スロベニア、スペイン、スウェーデン、スイス、トルコ、英国、米国、欧州連合の閣僚および代表者。 |
| [2] The Declaration was not adopted by Israel. | [2] イスラエルはこの宣言を採択していない |
● 外務省
・2024.05.03 OECD閣僚理事会(結果概要)
1. 概要
こんにちは、丸山満彦です。
米国のNSA、FBI、国務省が北朝鮮がDMARCの脆弱なセキュリティポリシーを悪用したスピアフィッシングについての警告をしていますね...
● National Security Agency/Central Security Service
プレス...
| NSA Highlights Mitigations against North Korean Actor Email Policy Exploitation | NSA が北朝鮮による電子メールポリシー搾取に対する緩和策を強調する |
| FORT MEADE, Md. – The National Security Agency (NSA) joins the Federal Bureau of Investigation (FBI) and the U.S. Department of State in releasing the Cybersecurity Advisory (CSA), “North Korean Actors Exploit Weak DMARC Security Policies to Mask Spearphishing Efforts,” to protect against Democratic People’s Republic of Korea (DPRK, aka North Korea) techniques that allow emails to appear to be from legitimate journalists, academics, or other experts in East Asian affairs. | 米国家安全保障局(NSA)は、米連邦捜査局(FBI)および米国務省とともに、サイバーセキュリティ勧告(CSA)「北朝鮮による脆弱なDMARCセキュリティポリシーの悪用によるスピアフィッシング行為」を発表し、合法的なジャーナリストや学者、その他東アジア問題の専門家からのメールと見せかける朝鮮民主主義人民共和国(DPRK、別名北朝鮮)のテクニックから保護することを明らかにした。 |
| The DPRK leverages these spearphishing campaigns to collect intelligence on geopolitical events, adversary foreign policy strategies, and any information affecting DPRK interests by gaining illicit access to targets’ private documents, research, and communications. | 朝鮮民主主義人民共和国は、このようなスピアフィッシング・キャンペーンを利用して、地政学的な出来事、敵対国の外交政策戦略、朝鮮民主主義人民共和国の利益に影響するあらゆる情報について、ターゲットの個人的な文書、研究、通信に不正にアクセスすることで情報を収集している。 |
| “Spearphishing continues to be a mainstay of the DPRK cyber program and this CSA provides new insights and mitigations to counter their tradecraft,” said NSA Cybersecurity Director Dave Luber. |
「NSAのサイバーセキュリティ・ディレクターであるデイブ・ルーバーは、「スピアフィッシングは北朝鮮のサイバープログラムの主軸であり続けており、このCSAは彼らの手口に対抗するための新たな洞察と緩和策を提供している。 |
| The report contains background on the DPRK’s cyber program and past information-gathering examples, an explanation of how a strong Domain-based Message Authentication Reporting and Conformance (DMARC) policy can help block DPRK actors, red flag indicators of malicious activity, two sample emails used by DPRK cyber actors, and mitigation measures. | 本レポートには、北朝鮮のサイバー・プログラムと過去の情報収集事例に関する背景、強力なDomain-based Message Authentication Reporting and Conformance (DMARC)ポリシーがどのように北朝鮮の行為者をブロックするのに役立つかの説明、悪意のある活動のレッドフラッグ・インジケータ、北朝鮮のサイバー行為者が使用する2つの電子メールのサンプル、および緩和策が記載されている。 |
・2024.05.02 [PDF] CSA: North Korean Actors Exploit Weak DMARC Security Policies to Mask Spearphishing Efforts
| North Korean Actors Exploit Weak DMARC Security Policies to Mask Spearphishing Efforts | 北朝鮮がDMARCの脆弱なセキュリティポリシーを悪用してスピアフィッシングを行う |
| SUMMARY | 概要 |
| The Federal Bureau of Investigation (FBI), the U.S. Department of State, and the National Security Agency (NSA) are jointly issuing this advisory to highlight attempts by Democratic People’s Republic of Korea (DPRK, a.k.a. North Korea) Kimsuky cyber actors to exploit improperly configured DNS Domain-based Message Authentication, Reporting and Conformance (DMARC) record policies to conceal social engineering attempts. Without properly configured DMARC policies, malicious cyber actors are able to send spoofed emails as if they came from a legitimate domain’s email exchange. | 米連邦捜査局(FBI)、米国務省、および国家安全保障局(NSA)は共同でこの勧告を発出し、朝鮮民主主義人民共和国(DPRK、別名北朝鮮)のキムスキー(Kimsuky)サイバー・アクターが不適切に設定されたDNS Domain-based Message Authentication, Reporting and Conformance(DMARC)レコード・ポリシーを悪用してソーシャル・エンジニアリングの試みを隠蔽しようとしていることを明らかにする。DMARCポリシーが適切に設定されていないと、悪意のあるサイバー行為者は、あたかも正当なドメインの電子メール交換から来たかのようになりすました電子メールを送信することができる。 |
| The North Korean cyber actors have conducted spearphishing campaigns posing as legitimate journalists, academics, or other experts in East Asian affairs with credible links to North Korean policy circles. North Korea leverages these spearphishing campaigns to collect intelligence on geopolitical events, adversary foreign policy strategies, and any information affecting North Korean interests by gaining illicit access to targets’ private documents, research, and communications. | 北朝鮮のサイバー・アクターは、合法的なジャーナリスト、学者、または北朝鮮の政策サークルと信頼できるつながりを持つ東アジア問題の専門家を装ったスピアフィッシング・キャンペーンを実施している。北朝鮮はこのようなスピアフィッシング・キャンペーンを活用し、ターゲットの私的な文書、調査、通信に不正にアクセスすることで、地政学的な出来事、敵対国の外交政策戦略、北朝鮮の利益に影響するあらゆる情報に関する情報を収集している。 |
| This Joint Cybersecurity Advisory (CSA) includes indicators of North Korean social engineering (page 4) for potential victims receiving spearphishing emails as well as mitigation measures (page 9) for organizations who could be victims of North Korean impersonation. For additional information on state-sponsored North Korean malicious cyber activity, see the June 2023 Kimsuky CSA, “North Korea using Social Engineering to Enable Hacking of Think Tanks, Academia, and Media.” | この共同サイバーセキュリティ勧告(CSA)には、スピアフィッシング・メールを受信する潜在的な被害者のための北朝鮮のソーシャル・エンジニアリングの指標(4ページ)、および北朝鮮になりすます被害に遭う可能性のある組織のための緩和策(9ページ)が含まれている。国家が支援する北朝鮮の悪意あるサイバー活動に関する追加情報については、2023年6月のKimsuky CSA、"North Korea using Social Engineering to Enable Hacking of Think Tanks, Academia, and Media "を参照のこと。 |
参考
報告書で参照されている過去の発表について...
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.06.03 米国 韓国 北朝鮮のサイバー部隊がシンクタンク、学術機関、ニュースメディア部門を標的にした攻撃をしていると注意喚起
こんにちは、丸山満彦です。
韓国の個人情報保護委員会が、個人情報処理方針作成指針の改訂版を公開していますね...
昨年に法改正されたことに伴うものですね...
14歳未満の児童の個人情報保護についても韓国では始まっていますね...
● 개인정보보호위원회(個人情報委員会)
プレス...
・2024.04.30 개인정보위, 개인정보 처리방침 작성지침 개정본 공개
| 개인정보위, 개인정보 처리방침 작성지침 개정본 공개 | 個人情報委員会、個人情報処理方針の作成指針の改訂版を公開 |
| - 개인정보 보호법 개정 사항을 반영하여 개인정보 처리방침 작성 방법 현행화 | ・個人情報保護法の改正事項を反映して個人情報処理方針の作成方法を現行化 |
| - 모바일 앱 사업자를 위한 개인정보 처리방침 공개방법 제시 | ・モバイルアプリ事業者のための個人情報処理方針の公開方法提示 |
| - 14세 미만 아동을 위한 개인정보 처리방침 작성 방법 및 예시 안내 | ・14歳未満の児童のための個人情報処理方針の作成方法及び例示の提示 |
| 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 개인정보 보호법(이하 ‘법’) 개정 사항을 반영한 ‘개인정보 처리방침 작성지침’(이하 ‘작성지침’) 개정본을 공개했다. | 個人情報保護委員会(委員長コ・ハクス、以下「個人情報委員会」)は、個人情報保護法(以下「法」)の改正事項を反映した「個人情報処理方針の作成指針」(以下「作成指針」)の改定版を公開した。 |
| 개인정보위는 개인정보처리자가 법 제30조에 따라 수립․공개하고 있는 개인정보 처리방침(이하 ‘처리방침’)을 적정하고 투명하게 작성 및 공개할 수 있도록 작성지침을 마련하여 안내해왔다. | 個人情報委員会は、個人情報処理者が法第30条に基づいて樹立・公開している個人情報処理方針(以下、「処理方針」)を適正かつ透明に作成及び公開できるように作成指針を設けて提示してきた。 |
| 이번 작성지침 개정본에서 달라진 내용은 다음과 같다. | 今回の作成指針改訂版で変わった内容は次の通りである。 |
| ➊ 법 개정에 따라 신설․변경된 사항을 반영하였다. | ➊法改正により新設・変更された事項を反映した。 |
| 법 개정에 따라 처리방침의 필수 작성 항목으로 신설된 ‘민감정보의 공개 가능성 및 비공개 선택 방법’, ‘국외 수집’, ‘이동형 영상정보처리기기’에 대한 작성 방법을 새롭게 마련하였으며, | 法改正により、処理方針の必須作成項目として新設された「機密情報の公開可能性及び非公開選択方法」、「国外収集」、「移動型映像情報処理機器」に対する作成方法を新たに設けた |
| 동의 제도 개편에 따라 정보주체의 동의 없이 처리하는 개인정보의 항목과 처리의 법적 근거를 동의를 받아 수집하는 개인정보와 구분하여 기재하도록 하였다. | 同意制度の改編により、情報主体の同意なしに処理する個人情報の項目と処理の法的根拠を同意を得て収集する個人情報と区分して記載するようにした。 |
| 또한, 법 개정에 따라 국외 이전에 관하여 처리방침에 명시하여야 하는 사항을 현행화하였으며, 정보주체의 권리행사 방법의 하나로 이번에 신설된 ‘자동화된 결정에 대한 거부 및 설명요구’의 방법과 절차를 구체적으로 안내하도록 하였다. | また、法改正により、国外移転に関して処理方針に明示しなければならない事項を現行化し、情報主体の権利行使方法の一つとして今回新設された「自動化された決定に対する拒否及び説明要求」の方法と手続きを具体的に提示するようにした。 |
| ➋ ‘온라인 행태정보 처리에 관한 사항’에 대한 안내를 구체화하였다. | ➋'オンライン行動情報の処理に関する事項'に関する提示を具体化した。 |
| 개인정보위가 올해 1월에 발표한 ‘맞춤형 광고에 활용되는 온라인 행태정보 보호를 위한 정책방안’에 따라 온라인 행태정보 처리에 대한 책임성, 투명성을 강화할 수 있도록 행태정보의 수집·이용·제공 및 그 거부에 관한 사항에 대한 안내를 구체화하였다. | 個人情報委員会が今年1月に発表した'オーダーメイド広告に活用されるオンライン行動情報保護のための政策方案'に基づき、オンライン行動情報の処理に対する責任性、透明性を強化できるよう、行動情報の収集・利用・提供及びその拒否に関する事項についての提示を具体化した。 |
| 먼저, 개인정보처리자가 쿠키 등 개인정보 자동 수집장치를 설치·운영하여 온라인 행태정보를 수집하는 경우, 정보주체를 식별하는 형태로 처리하는지 여부를 기준으로 처리방침 작성방법을 구분하여 제시하였다. | まず、個人情報処理者がクッキーなどの個人情報自動収集装置を設置・運営してオンライン行動情報を収集する場合、情報主体を識別する形で処理するかどうかを基準に処理方針の作成方法を区分して提示した。 |
| 또한, 개인정보처리자가 온라인 행태정보를 직접 수집하는 경우 뿐만 아니라, 웹·앱에서 제3자가 개인정보 자동수집장치를 통해 행태정보를 수집하도록 허용하는 경우, 수집해가는 행태정보에 관한 사항*을 기재하도록 권장하였다. | また、個人情報処理者がオンライン行動情報を直接収集する場合だけでなく、ウェブ・アプリで第3者が個人情報自動収集装置を通じて行動情報を収集することを許可する場合、収集する行動情報に関する事項*を記載することを推奨した。 |
| * 수집도구 명칭, 수집해가는 사업자, 수집도구 종류, 수집해가는 행태정보 항목, 수집 목적, 거부방법 등 | * 収集ツールの名称、収集する事業者、収集ツールの種類、収集する行動情報の項目、収集目的、拒否方法など。 |
| ➌ 처리방침의 공개 방법을 명확화하였다. | ➌処理方針の公開方法を明確にした。 |
| 기존에는 홈페이지 하단(Footer 영역)에 처리방침을 공개하도록 할 뿐 모바일 환경 등에 적합한 공개 방법에 대한 안내가 없었으나, 이번 개정으로 웹/앱의 첫 화면 또는 서비스 메뉴 등 정보주체가 바로 접근할 수 있는 영역에 처리방침을 공개하도록 하여 정보주체의 접근성을 높였다. | 従来はホームページの下部(Footer領域)に処理方針を公開するようにしただけで、モバイル環境などに適した公開方法についての提示がなかったが、今回の改正でウェブ/アプリの最初の画面またはサービスメニューなど、情報主体がすぐにアクセスできる領域に処理方針を公開するようにし、情報主体のアクセス性を高めた。 |
| 또한 개인정보처리자가 여러개의 웹/앱 서비스를 운영하는 경우 정보주체가 쉽게 알아보고 이해할 수 있도록 처리방침을 수립·공개해야 한다는 원칙을 제시하고, 이 원칙 하에서 서비스별로 별도의 처리방침을 수립하거나, 서비스를 종합한 통합 처리방침을 수립하는 것 모두 가능하도록 적용 기준을 명확히 하였다. | また、個人情報処理者が複数のウェブ/アプリサービスを運営する場合、情報主体が分かりやすく理解できるように処理方針を樹立・公開しなければならないという原則を提示し、この原則の下で、サービス別に別の処理方針を樹立するか、サービスを総合した統合処理方針を樹立することができるように適用基準を明確にした。 |
| ➍ 아동을 위한 처리방침 작성 방안도 정비하였다. | ➍児童のための処理方針の作成案も整備した。 |
| 14세 미만 아동의 권리 보장을 위해 아동에게 안내가 필요한 항목을 위주로 아동이 쉽게 이해할 수 있는 언어를 활용한 아동용 처리방침 작성방법 및 작성 예시(안)을 마련하여 부록으로 제시하였으며, 그 밖에도 공공기관, 소상공인을 위한 처리방침 작성 방법도 함께 안내하였다. | 14歳未満の児童の権利保障のため、児童に提示が必要な項目を中心に、児童が理解しやすい言語を活用した児童用処理方針の作成方法及び作成例(案)を設け、附属書として提示し、その他、公共機関、中小企業のための処理方針の作成方法も一緒に提示した。 |
| 작성지침 개정본은 개인정보위 누리집*(www.pipc.go.kr) 및 개인정보 포털**(www.privacy.go.kr)에서 확인할 수 있다. | 作成指針の改定版は、個人情報委員会ホームページ*(www.pipc.go.kr)及び個人情報ポータル**(www.privacy.go.kr)で確認することができる。 |
| * 개인정보위 누리집(www.pipc.go.kr)>법령‧정책>법령정보>지침(가이드라인)에서 내려받기 가능 | * 個人情報委員会ホームページ(www.pipc.go.kr)>法令・政策>法令情報>指針(ガイドライン)でダウンロード可能。 |
| ** 개인정보 포털(privacy.go.kr)>자료>지침자료에서 내려받기 가능 | ** 個人情報ポータル(privacy.go.kr)>資料>指針資料でダウンロード可能 |
| 양청삼 개인정보정책국장은 “개인정보 처리방침은 개인정보처리자가 개인정보를 어떤 목적으로 어떻게 처리하는지 확인할 수 있도록 하여 정보주체의 권리를 보장하는 가장 기본적인 수단으로서 중요한 의미를 갖는다”라며, | ヤン・チョンサム個人情報政策局長は「個人情報処理方針は、個人情報処理者が個人情報をどのような目的でどのように処理するかを確認できるようにし、情報主体の権利を保障する最も基本的な手段として重要な意味を持つ」と述べた、 |
| “개인정보처리자가 작성지침을 참고하여 정보주체가 쉽게 이해하고 접근할 수 있는 처리방침을 마련하는 데 도움이 되길 바란다”라고 밝혔다. | "個人情報処理者が作成指針を参考にして、情報主体が簡単に理解し、アクセスできる処理方針を策定するのに役立つことを期待している"と明らかにした。 |
| * 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다. | * その他詳細は添付ファイルをご確認ください。 |
法令等...
法令
| # | 改正日 | 法令名 | 制定日 | |
| 1 | 2023.09.15 | 개인정보 보호법 | 個人情報保護法 | 2011.09.30 |
| 2 | 2023.09.15 | 개인정보 보호법 시행령 | 個人情報保護法施行令 | 2011.09.30 |
ガイドライン
いっぱいありますが...
・2024.04.30 [PDF]개인정보처리방침 작성지침(個人情報処理方針作成指針)
法改正についての情報
● JETRO
調査レポート
・2024.02.27 韓国の改正個人情報保護法(2024年2月)
・・[PDF]
こんにちは、丸山満彦です。
米国のCISA、NSA、FBI他、英国のNSCA、カナダのCCCSが、親ロシア派ハクティビストによる北米および欧州のOT機器に対する継続的な悪意あるサイバー活動に対するセキュリティ対策を公表していますね...
他と書いたが、他が重要ですよね...
| Environmental Protection Agency (EPA) | 環境保護庁(EPA) |
| Department of Energy (DOE) | エネルギー省(DOE) |
| United States Department of Agriculture (USDA) | 米国農務省(USDA) |
| Food and Drug Administration (FDA) | 食品医薬品局(FDA) |
| Multi-State Information Sharing and Analysis Center (MS-ISAC) | 複数州情報共有分析センター(MS-ISAC) |
推奨事項...
1. OT ネットワークへのすべてのアクセスに多要素認証を導入する
2. HMI の
(1) すべてのデフォルトパスワードと弱いパスワードを直ちに変更し、強力で一意のパスワー ドを使用する
(2) 工場出荷時のデフォルトパスワードが使用されていないことを確認する
3. VNCを利用可能な最新バージョンに更新し、すべてのシステムとソフトウェアがパッチと必要なセキュリティアップデートで最新であることを確認する
4. 認可されたデバイスIPアドレスのみを許可する許可リストを確立する。
● National Security Agency/Central Security Service
プレス...
・2024.05.01 Urgent Warning from Multiple Cybersecurity Organizations on Current Threat to OT Systems
| Urgent Warning from Multiple Cybersecurity Organizations on Current Threat to OT Systems | OTシステムに対する現在の脅威に関する複数のサイバーセキュリティ組織からの緊急警告 |
| FORT MEADE, Md. – Pro-Russia hacktivists are conducting malicious cyber activity against operational technology (OT) devices and critical infrastructure organizations are encouraged to implement mitigations, according to a Fact Sheet released today by the National Security Agency (NSA), the Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), Environmental Protection Agency (EPA), Department of Energy (DOE), United States Department of Agriculture (USDA), Multi-State Information Sharing and Analysis Center (MS-ISAC), the U.K. National Cyber Security Centre, and the Canadian Centre for Cyber Security. | フォートミード(マサチューセッツ州) - 親ロシア派ハクティビストは、運用技術(OT)機器に対して悪質なサイバー活動を実施しており、重要インフラ組織は、緩和策を実施することが推奨される、と国家安全保障局(NSA)、サイバーセキュリティ・インフラ・セキュリティ局(CISA)、連邦捜査局(FBI)、環境保護庁(EPA)、エネルギー省(DOE)、米国農務省(USDA)、複数州情報共有分析センター(MS-ISAC)、英国国立サイバーセキュリティセンター、カナダ・サイバーセキュリティセンターが本日発表したファクトシートが伝えている。 英国国家サイバーセキュリティセンター、カナダ・サイバーセキュリティセンターである。 |
| According to the report, “Defending OT Operations Against Ongoing Pro-Russia Hacktivist Activity,” the hacktivists are compromising small-scale OT systems in North American and European Water and Wastewater Systems (WWS), dams, energy, and food and agriculture sectors. | 報告書「進行中の親ロシア派ハクティビストの活動からOTオペレーションを守る」によると、ハクティビストは北米や欧州の上下水道システム(WWS)、ダム、エネルギー、食品・農業分野の小規模なOTシステムを侵害している。 |
| Since 2022, the authoring organizations observed malicious activity and are releasing this joint guidance to share information and mitigations associated with the pro-Russia hacktivists’ recent cyber operations against OT. | 2022年以降、作成組織は悪意ある活動を観察し、OTに対する親ロシア派ハクティビストの最近のサイバー作戦に関連する情報と緩和策を共有するために、この共同ガイダンスを発表する。 |
| “This year we have observed pro-Russia hacktivists expand their targeting to include vulnerable North American and European industrial control systems,” said Dave Luber, NSA’s Director of Cybersecurity. “NSA highly recommends critical infrastructure organizations’ OT administrators implement the mitigations outlined in this report, especially changing any default passwords, to improve their cybersecurity posture and reduce their system’s vulnerability to this type of targeting.” | 「NSAのサイバーセキュリティ担当ディレクターであるデイブ・ルーバーは、「今年、親ロシア派のハクティビストたちが、脆弱な北米や欧州の産業用制御システムに標的を拡大していることが確認された。「NSAは、重要インフラ組織のOT管理者に対し、サイバーセキュリティ態勢を改善し、この種の標的に対するシステムの脆弱性を低減するため、本報告書に概説されている緩和策、特にデフォルトパスワードの変更を実施することを強く推奨している。 |
| The recommendations in this report include hardening human machine interfaces, limiting exposure of OT systems to the internet, using strong and unique passwords, and implementing multifactor authentication for all access to the OT network. These recommendations are helpful to counter any actors using these techniques. | 本レポートの推奨事項には、ヒューマン・マシン・インターフェースの強化、OTシステムのインターネットへの露出の制限、強固でユニークなパスワードの使用、OTネットワークへのすべてのアクセスに対する多要素認証の実装などが含まれる。 これらの勧告は、このようなテクニックを使う行為者に対抗するのに役立つ。 |
・2024.05.01 [PDF] Fact Sheet: Defending OT Operations Against Ongoing Pro-Russia Hacktivist Activity
| Overview | 概要 |
| The Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), National Security Agency (NSA), Environmental Protection Agency (EPA), Department of Energy (DOE), United States Department of Agriculture (USDA), Food and Drug Administration (FDA), Multi-State Information Sharing and Analysis Center (MS-ISAC), Canadian Centre for Cyber Security (CCCS), and United Kingdom’s National Cyber Security Centre (NCSC-UK)—hereafter referred to as "the authoring organizations"—are disseminating this fact sheet to highlight and safeguard against the continued malicious cyber activity conducted by pro-Russia hacktivists against operational technology (OT) devices in North America and Europe. | サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、国家安全保障局(NSA)、環境保護庁(EPA)、エネルギー省(DOE)、米国農務省(USDA)、食品医薬品局(FDA)、複数州情報共有分析センター(MS-ISAC)、 カナダ・サイバー・セキュリティ・センター(CCCS)、英国国家サイバー・セキュリティ・センター(NCSC-UK)(以下、「発表機関」と呼ぶ)は、親ロシア派ハクティビストが北米および欧州の運用技術(OT)機器に対して行っている継続的な悪意あるサイバー活動に焦点を当て、それに対する安全策を講じるために、このファクトシートを配布する。 |
| The authoring organizations are aware of pro-Russia hacktivists targeting and compromising small-scale OT systems in North American and European Water and Wastewater Systems (WWS), Dams, Energy, and Food and Agriculture Sectors. These hacktivists seek to compromise modular, internet-exposed industrial control systems (ICS) through their software components, such as human machine interfaces (HMIs), by exploiting virtual network computing (VNC) remote access software and default passwords. | 発表機関は、親ロシア派ハクティビストが北米および欧州の上下水道システム(WWS)、ダム、エネルギー、食品・農業部門の小規模なOTシステムを標的とし、侵害していることを認識している。これらのハクティビストは、仮想ネットワーク・コンピューティング(VNC)リモート・アクセス・ソフトウェアやデフォルト・パスワードを悪用し、ヒューマン・マシン・インターフェース(HMI)などのソフトウェア・コンポーネントを通じて、インターネットに公開されたモジュール式の産業用制御システム(ICS)を侵害しようとしている。 |
| The authoring organizations are releasing this fact sheet to share information and mitigations associated with this malicious activity, which has been observed since 2022 and as recently as April 2024. The authoring organizations encourage OT operators in critical infrastructure sectors—including WWS, Dams, Energy, and Food and Agriculture—to apply the recommendations listed in the Mitigations section of this fact sheet to defend against this activity. Overview of Threat Actor Activity | 発表機関は、2022 年以降、そして最近では 2024 年 4 月にも観測されているこの悪意ある行為に関連する情報と低減を共有するために、このファクトシートを公開する。発表機関は、WWS、ダム、エネルギー、食品・農業を含む重要インフラ部門の OT オペレータが、この活動から防御するために、このファクトシートの低減セクションに記載された推奨事項を適用することを奨励する。脅威行為者の活動の概要 |
| Overview of Threat Actor Activity | 脅威行為者の活動の概要 |
| Pro-Russia hacktivist activity against these sectors appears mostly limited to unsophisticated techniques that manipulate ICS equipment to create nuisance effects. However, investigations have identified that these actors are capable of techniques that pose physical threats against insecure and misconfigured OT environments. Pro-Russia hacktivists have been observed gaining remote access via a combination of exploiting publicly exposed internet-facing connections and outdated VNC software, as well as using the HMIs’ factory default passwords and weak passwords without multifactor authentication. | これらのセクターに対する親ロシア派ハクティビストの活動は、ほとんどがICS機器を操作して迷惑な効果を生み出す洗練されていない技術に限定されているように見える。しかし、調査により、これらの脅威行為者は、安全でない、誤った設定のOT環境に対して物理的な脅威をもたらす技術を有していることが確認されている。親ロシア派のハクティビストは、一般に公開されたインターネット接続と旧式のVNCソフトウェアを悪用し、HMIの工場出荷時のデフォルトパスワードや多要素認証なしの脆弱なパスワードを使用することで、リモートアクセスを獲得していることが確認されている。 |
| Historically, these hacktivists have been known to exaggerate their capabilities and impacts to targets. Since 2022, they have claimed on social media to have conducted cyber operations—such as distributed denial of service, data leaks, and data wiping—against a variety of North American and international organizations. Based on victim incident reporting, this activity has caused limited disruption to operations. | 歴史的に、これらのハクティビストは、自分たちの能力やターゲットへの影響を誇張することで知られている。2022年以降、彼らはソーシャルメディア上で、分散型サービス拒否、データ漏洩、データ消去などのサイバー作戦を、北米や国際的な様々な組織に対して行ったと主張している。被害者のインシデント報告によると、この活動は業務に限定的な混乱を引き起こしている。 |
| 2024 Year-to-Date Activity | 2024年現在までの活動 |
| In early 2024, the authoring organizations observed pro-Russia hacktivists targeting vulnerable industrial control systems in North America and Europe. CISA and the FBI have responded to several U.S.-based WWS victims who experienced limited physical disruptions from an unauthorized user remotely manipulating HMIs. Specifically, pro-Russia hacktivists manipulated HMIs, causing water pumps and blower equipment to exceed their normal operating parameters. In each case, the hacktivists maxed out set points, altered other settings, turned off alarm mechanisms, and changed administrative passwords to lock out the WWS operators. Some victims experienced minor tank overflow events; however, most victims reverted to manual controls in the immediate aftermath and quickly restored operations. | 2024年初頭、認可組織は、北米と欧州の脆弱な産業制御システムを標的とする親ロシア派のハクティビストを観測した。CISA と FBI は、HMI を遠隔操作する無許可ユーザーによる限定的な物理的混乱を経験した米国を拠点とする複数の WWS 被害者に対応した。具体的には、親ロシア派のハクティビストがHMIを操作し、送水ポンプや送風機を通常の運転パラメーターを超える状態にした。いずれのケースでも、ハクティビストはセットポイントを最大にし、その他の設定を変更し、アラーム機構をオフにし、管理パスワードを変更してWWSのオペレーターを締め出した。被害者の中には、軽微なタンクオーバーフローを経験した者もいたが、ほとんどの被害者は、直後から手動制御に戻し、すぐに運転を復旧させた。 |
| Remote Access to HMIs | HMIへのリモートアクセス |
| The authoring organizations have observed pro-Russia hacktivists using a variety of techniques to gain remote access to HMIs and make changes to the underlying OT. These techniques include: | 認可組織は、親ロシア派ハクティビストが HMI にリモートアクセスし、基礎となる OT に変更を加えるために、様々なテクニックを使っているのを観察している。これらのテクニックには以下が含まれる: |
| • Using the VNC Protocol to access HMIs and make changes to the underlying OT. VNC is used for remote access to graphical user interfaces, including HMIs that control OT systems. | ・VNC プロトコルを使用して HMI にアクセスし,基礎となる OT に変更を加える。VNC は,OT システムを制御する HMI を含むグラフィカルユーザインタフェースへのリモートアクセスに使用される。 |
| • Leveraging the VNC Remote Frame Buffer Protocol to log into HMIs to control OT systems. | ・VNC リモートフレームバッファプロトコルを活用して,OT システムを制御する HMI にログインする。 |
| • Leveraging VNC over Port 5900 to access HMIs by using default credentials and weak passwords on accounts not protected by multifactor authentication. | ・VNC over Port 5900 を利用して、多要素認証で保護されていないアカウントでデフォルトの本人認証と弱いパスワードを使用して HMI にアクセスする。 |
| Note: Several HMIs compromised by these hacktivists were unsupported legacy, foreign-manufactured devices rebranded as U.S. devices. | 注:これらのハクティビストによって侵害されたいくつかの HMI は、サポートされていないレガシーデバイスであり、外国製造のデバイスであった。 |
| MITIGATIONS | 低減策 |
| The authoring organizations recommend critical infrastructure organizations implement the following mitigations to defend against this activity. These mitigations align with the Cross-Sector Cybersecurity Performance Goals (CPGs) developed by CISA and the National Institute of Standards and Technology (NIST). The CPGs provide a minimum set of practices and protections that CISA and NIST recommend all organizations implement. CISA and NIST based the CPGs on existing cybersecurity frameworks and guidance to protect against the most common and impactful threats, tactics, techniques, and procedures. Visit CISA’s Cross-Sector Cybersecurity Performance Goals for more information on the CPGs, including additional recommended baseline protections. | 認可組織は、重要インフラ組織がこの活動から防御するために以下の低減策を実施することを推奨する。これらの低減策は、CISA および国立標準技術研究所(NIST)によって策定された分野横断的なサイバーセキュリティ・パフォーマンス目標(CPGs)に沿ったものである。CPG は、CISA と NIST がすべての組織に実施を推奨する最低限のプラクティスと防御のセットを提供する。CISAとNISTは、最も一般的で影響力のある脅威、戦術、技術、手順から保護するための既存のサイバーセキュリティのフレームワークとガイダンスに基づいてCPGを作成した。追加の推奨ベースライン防御を含む CPG の詳細については、CISA の Cross-Sector Cybersecurity Performance Goals を参照。 |
| Network Defenders | ネットワーク・ディフェンダー |
| Pro-Russia hacktivists have exploited cybersecurity weaknesses, including poor password security and exposure to the internet. To safeguard against this threat, the authoring organizations urge organizations to: | 親ロシア派のハクティビストは、パスワード・セキュリティの不備やインターネットへのエクスポージャーなど、サイバーセキュリティの弱点を悪用している。この脅威から身を守るため、認可組織は組織に対し、以下のことを推奨する: |
| Harden HMI Remote Access | HMIのリモートアクセスを強化する。 |
| • Disconnect all HMIs, such as the touchscreens used to monitor or make changes to the system, or programmable logic controllers (PLCs), from the public-facing internet. If remote access is necessary, implement a firewall and/or virtual private network (VPN) with a strong password and multifactor authentication to control device access [CPG 2.W] [CPG 2.X]. | ・システムの監視や変更に使用されるタッチスクリーンやプログラマブルロジックコントローラ(PLC)などのすべてのHMIを、公衆がアクセスするインターネットから切り離す。リモートアクセスが必要な場合は、デバイスアクセスを制御するために、強力なパスワードと多要素認証 [CPG 2.W][CPG2.X]を備えたファイアウォール及び/又は仮想プライベートネットワーク(VPN)を実装する。 |
| • Implement multifactor authentication for all access to the OT network. For additional information, see CISA’s More than a Password [CPG 2.H]. | ・OT ネットワークへのすべてのアクセスに多要素認証を導入する。詳細については、CISA の「More than a Password」[CPG 2.H]を参照すること。 |
| • Immediately change all default and weak passwords on HMIs and use a strong, unique password. Ensure the factory default password is not in use. Open the remote settings panel to confirm the old password is no longer shown [CPG 2.A] [CPG 2.B]. | ・HMI のすべてのデフォルトパスワードと弱いパスワードを直ちに変更し、強力で一意のパスワー ドを使用する。工場出荷時のデフォルトパスワードが使用されていないことを確認する。リモート設定パネルを開き、古いパスワードが表示されていないことを確認する [CPG 2.A] [CPG 2.B]。 |
| • Keep VNC updated with the latest version available and ensure all systems and software are up to date with patches and necessary security updates. | ・VNCを利用可能な最新バージョンに更新し、すべてのシステムとソフトウェアがパッチと必要なセキュリティアップデートで最新であることを確認する。 |
| • Establish an allowlist that permits only authorized device IP addresses. The allowlist can be refined to specific times of the day to further obstruct malicious threat actor activity; organizations are encouraged to establish alerting for monitoring access attempts. | ・認可されたデバイスIPアドレスのみを許可する許可リストを確立する。許可リストを特定の時間帯に絞り込むことで,悪意のある脅威行為者の活動をさらに妨害することができる。組織は,アクセス試行を監視するためのアラート機能を確立することが推奨される。 |
| o Note: An allowlist is not a complete security solution by itself but may increase the level of effort necessary for a threat actor to compromise a device. | o 注意:許可リストは、それ自体で完全なセキュリティソリューションではないが、 脅威行為者がデバイスを侵害するために必要な努力のレベルを高める可能性がある。 |
| • Log remote logins to HMIs, taking note of any failed attempts and unusual times [CPG 2.T]. | ・HMI へのリモートログインをログに記録し、失敗した試行や異常な時間を記録する [CPG 2.T]。 |
| Strengthen Security Posture | セキュリティ体制を強化する |
| • Integrate cybersecurity considerations into the conception, design, development, and operation of OT systems. For additional information, see the DOE Office of Cybersecurity, Energy Security, and Emergency Response (CESER)’s publication on Cyber-Informed Engineering. | ・OT システムの構想、設計、開発、運用にサイバーセキュリティへの配慮を組み込む。追加情報については、DOE のサイバーセキュリティ・エネルギーセキュリティ・ 緊急対応局(CESER)のサイバーインフォームド・エンジニアリング(Cyber-Informed Engineering)に関する出版物を参照すること。 |
| • Practice and maintain the ability to operate systems manually [CPG 5.A]. | ・システムを手動で操作する能力を実践し維持する[CPG 5.A]。 |
| • Create backups of the engineering logic, configurations, and firmware of HMIs to enable fast recovery. Familiarize your organization with factory resets and backup deployment [CPG 2.R]. | ・迅速な復旧を可能にするために、HMI のエンジニアリングロジック、構成、ファームウェアのバッ クアップを作成する。工場出荷時のリセットとバックアップの展開 [CPG 2.R]を組織に周知する。 |
| • Check the integrity of PLC ladder logic or other PLC programming languages and diagrams and check for any unauthorized modifications to ensure correct operation. Adversaries may try to maintain persistence or stealthily operate the device in an unsafe way by changing the configurations and ladder logic. | ・PLC のラダーロジック,またはその他の PLC プログラミング言語とダイアグラムの完全性を チェックし,不正な変更がないことを確認して,正しい動作を確実にする。攻撃者は,コンフィグレーションやラダーロジックを変更することで,永続性を維持しようとしたり,安全でない方法でデバイスをこっそり操作しようとしたりする可能性がある。 |
| • Update and safeguard network diagrams to reflect both the IT and OT networks [CPG 2.P]. Operators should apply the principles of least privilege and need to know for individuals’ access to network diagrams. Maintain awareness of internal and external solicitation efforts (both malicious and benign) to obtain network architectures and restrict mapping to trusted personnel. Consider using encryption, authentication, and authorization techniques to secure network diagram files and implement access control and audit logs to monitor and restrict who can view or modify your network diagrams. | ・IT ネットワークと OT ネットワークの両方を反映するようにネットワーク図を更新し、保護する [CPG 2.P]。オペレータは、ネットワーク図への個人のアクセスについて、最小特権と知る必要の原則を適用する。ネットワーク・アーキテクチャを入手するための内部および外部からの勧誘活動(悪意と良性の両方)に対する認識を維持し、マッピングを信頼できる要員に制限する。暗号化、本人認証、認可技術を使用してネットワーク・ダイアグラム・ファイルを保護し、アクセス制御と監査ログを実装して、ネットワーク・ダイアグラムの閲覧者や変更者を監視・制限することを検討する。 |
| • Be aware of cyber/physical-enabled threats. Adversaries may attempt to obtain network credentials by various physical means, including official visits, tradeshow and conference conversations, and through social media platforms. | ・サイバー/物理的脅威に注意する。敵対者は,公式訪問,展示会やカンファレンスでの会話,ソーシャルメディア・プラットフォームを介するなど,さまざまな物理的手段でネットワーク認証情報の入手を試みる可能性がある。 |
| • Take inventory and determine the end-of-life status of all HMIs [CPG 1.A]. Replace end-of-life HMIs as soon as feasible. | ・すべての HMI のインベントリを取り、耐用年数の終了状況を判断する [CPG 1.A]。使用済み HMI を可能な限り早く交換する。 |
| • Implement software and hardware limits to the manipulation of physical processes, limiting the impact of a successful compromise. This can be completed through using operational interlocks, cyber-physical safety systems, and cyber-informed engineering. | ・物理的プロセスの操作にソフトウェアとハードウェアの制限を導入し,侵害が成功した場 合の影響を制限する。これは,オペレーショナルインターロック,サイバーフィジカルセーフティシステム,サイバーインフォームドエンジニアリングを使用することで完了できる。 |
| Limit Adversarial Use of Common Vulnerabilities | 一般的な脆弱性の敵対的利用を制限する。 |
| • Reduce risk exposure. U.S. organizations can utilize a range of CISA services at no cost, including scanning and testing, to help organizations reduce exposure to threats by mitigating attack vectors. CISA Cyber Hygiene services can help provide additional review of internet-accessible assets and provide regular reports on steps to take to mitigate vulnerabilities. Email vulnerability@cisa.dhs.gov with the subject line, “Requesting Cyber Hygiene Services,” to get started. UK organizations can use NCSC’s free Early Warning service. | ・リスクのエクスポージャーを減らす。米国の組織は、スキャンやテストなど、さまざまなCISAサービスを無償で利用することができ、攻撃ベクトルを低減することで脅威へのエクスポージャーを減らすことができる。CISAのサイバー衛生サービスは、インターネットにアクセス可能な資産の追加的なレビューを提供し、脆弱性を軽減するために取るべき措置に関する定期的なレポートを提供するのに役立つ。vulnerability@cisa.dhs.gov、件名を「Requesting Cyber Hygiene Services(サイバー・ハイジーン・サービスの依頼)」としてメールする。英国の組織は、NCSCの無料の早期警告サービスを利用できる。 |
| • Assess your security posture. CISA’s regional Cybersecurity Advisors provide CPG assessments to help organizations understand their current security posture. Reach out to your regional CISA office to schedule an assessment. | ・セキュリティ態勢を評価する。CISAの地域のサイバーセキュリティ・アドバイザーは,組織が現在のセキュリティ態勢を理解するのに役立つCPG評価を提供する。地域の CISA オフィスに連絡して,評価を予約する。 |
| OT Device Manufacturers | OT デバイス製造事業者 |
| Although critical infrastructure organizations can take steps to mitigate risks, it is ultimately the responsibility of the OT device manufacturer to build products that are secure by design and default. The authoring organizations urge device manufacturers to take ownership of the security outcomes of their customers in line with the joint guide Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software and CISA’s Secure by Design and Default webpage. | 重要インフラ組織はリスクを軽減するための手段を講じることができるが、設計上およびデフォルトで安全な製品を構築することは、最終的にはOT機器製造者の責任である。作成団体は、共同ガイド「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software」とCISAの「Secure by Design and Default」のウェブページに沿って、デバイス製造業者が顧客のセキュリティ成果のオーナーシップを持つことを強く求めている。 |
| • Eliminate default and require strong passwords. The use of default credentials is a top weakness that threat actors exploit to gain access to systems. Manufacturers can eliminate this problem at scale through any of the approaches recommended in CISA’s Secure by Design Alert on this topic. | ・デフォルトを排除し,強力なパスワードを要求する。デフォルトの認証情報の使用は,脅威行為者がシステムにアクセスするために悪用する最大の弱点である。製造事業者は,このトピックに関する CISA の Secure by Design Alert で推奨されているいずれかのアプローチによって,この問題を大規模に排除することができる。 |
| • Mandate multifactor authentication for privileged users. Changes to engineering logic or configurations are safety-impacting events in critical infrastructure. Any changes should require multifactor authentication. | ・特権ユーザに多要素認証を義務付ける。エンジニアリング・ロジックや設定の変更は,重要なインフラストラクチャにおいて安全に影響を与える事象である。いかなる変更にも多要素認証が必要である。 |
| • Include logging at no additional charge. Change and access control logs allow operators to track safety-impacting events in their critical infrastructure. These logs should be free and use open standard logging formats. | ・追加料金なしでロギングを含める。変更ログとアクセス制御ログにより,オペレータは,重要インフラにおける安全に影響を与えるイベントを追跡できる。これらのログは無料で,オープン標準のログ形式を使用すべきである。 |
| • Publish Software Bills of Materials (SBOM). Vulnerabilities in underlying software libraries can affect wide swathes of devices. Without an SBOM, it is nearly impossible for a critical infrastructure system owner to measure and mitigate the impact a vulnerability has on their existing systems. | ・ソフトウェア部品表(SBOM)を公開する。基礎となるソフトウェア・ライブラリの脆弱性は、広範囲のデバイスに影響を及ぼす可能性がある。SBOMがなければ、重要インフラのシステムオーナーが脆弱性が既存のシステムに与える影響を測定し、低減することはほぼ不可能である。 |
| Additionally, see CISA’s Secure by Design Alert on how software manufacturers can shield web management interfaces from malicious cyber activity. By using secure by design tactics, software manufacturers can make their product lines secure “out of the box” without requiring customers to spend additional resources making configuration changes, purchasing tiered security software and logs, monitoring, and making routine updates. | さらに、ソフトウェア製造事業者が悪意のあるサイバー活動からウェブ管理インタフェースを保護する方法については、CISAのSecure by Design Alertを参照のこと。セキュア・バイ・デザインを利用することで、ソフトウェア製造事業者は、顧客に対して、設定の変更、階層化されたセキュリティ・ソフトウェアやログの購入、監視、定期的なアップデートの実施といった追加リソースを要求することなく、自社の製品ラインを「箱から出してすぐに」セキュアにすることができる。 |
| RESOURCES | リソース |
| Entities requiring additional support for implementing any of the mitigations in this advisory should contact their regional CISA Cybersecurity Advisor and/or EPA for assistance. Five key resources organizations should reference include: | 本アドバイザリーにおける低減措置の実施について追加的な支援が必要な事業体は、地域の CISA サイバーセ キュリティアドバイザーおよび/または EPA に連絡して支援を求めること。組織が参照すべき 5 つの主要リソースは以下のとおりである: |
| • NSA, CISA: Recommended Immediate Actions to Reduce Exposure Across all OT and Control Systems | ・NSA, CISA: すべての OT および制御システムにわたるエクスポージャーを低減するための推奨され る緊急対策 |
| • CISA, EPA: Water and Wastewater Systems Sector Toolkit | ・CISA,EPA: 上下水道システム部門ツールキット |
| • CISA, EPA, FBI: Top Cyber Actions for Securing Water Systems | ・CISA,EPA,FBI:水システムの安全性を確保するためのトップサイバーアクション |
| • Food and Agriculture Information Sharing & Analysis Center (Food and Ag-ISAC): Cybersecurity Guide for Small and Medium Enterprises | ・食品・農業情報共有分析センター(Food and Ag-ISAC): 中小企業のためのサイバーセキュリティガイド |
| • DOE, National Association of Regulatory Utility Commissioners (NARUC): Cybersecurity Baselines for Electric Distribution Systems and Distributed Energy Resources | ・DOE,全米公益事業規制委員協会(NARUC): 配電システムおよび分散型エネルギー資源のサイバーセキュリティ・ベースライン |
| Additional resources referenced throughout this fact sheet include: | 本ファクトシートを通じて参照されるその他のリソースは以下の通りである: |
| • EPA: Cybersecurity for the Water Sector | ・EPA:水部門のサイバーセキュリティ |
| • CISA: Cross-Sector Cybersecurity Performance Goals | ・CISA:分野横断的サイバーセキュリティ性能目標 |
| • CISA: More than a Password | ・CISA:パスワード以上のもの |
| • DOE: Cyber-Informed Engineering | ・DOE:サイバー情報工学 |
| • CISA: Cyber Hygiene Services | ・CISA:サイバー衛生サービス |
| • CISA: Shifting the Balance of Cybersecurity Risk - Principles and Approaches for Secure by Design Software • CISA: Secure by Design and Default | ・CISA:サイバーセキュリティリスクのバランスを変える ・セキュアバイデザインソフトウェアの原則とアプローチ ・CISA: セキュアバイデザインとデフォルト設定 |
| • CISA: Secure by Design Alert - How Manufacturers Can Protect Customers by Eliminating Default Passwords | ・CISA:Secure by Design Alert(セキュアバイデザイン・アラート) ・製造事業者がデフォルトのパスワードを排除して顧客を保護する方法 |
| • CISA: Secure by Design Alert - How Software Manufacturers Can Shield Web Management Interfaces from Malicious Cyber Activity | ・CISA:Secure by Designアラート ・ソフトウェア製造事業者が悪意のあるサイバー活動からWeb管理インタフェースを保護する方法 |
| REPORTING | 報告 |
| U.S. organizations are encouraged to report suspicious or criminal activity related to information in this fact sheet to: | 米国の組織は、このファクトシートに記載されている情報に関連する疑わしい活動または犯罪的活動を以下に報告することが推奨される: |
| • CISA via CISA’s 24/7 Operations Center (report@cisa.gov or 888-282-0870) or your local FBI field office. When available, please include the following information regarding the incident: date, time, and location of the incident; type of activity; number of people affected; type of equipment used for the activity; the name of the submitting company or organization; and a designated point of contact. | ・CISAの24時間365日オペレーション・センター(report@cisa.gov または 888-282-0870)または最寄りのFBI支部に報告すること。可能な場合は、インシデントに関する以下の情報を含めること:インシデントの発生日時、場所、活動の種類、影響を受けた人の数、活動に使用された機器の種類、提出した企業または組織の名前、指定された連絡先。 |
| • For NSA cybersecurity guidance inquiries, contact CybersecurityReports@nsa.gov. | ・NSA のサイバーセキュリティガイダンスに関する問い合わせは、CybersecurityReports@nsa.gov まで。 |
| • Water and Wastewater Systems Sector organizations should contact the EPA Water Infrastructure and Cyber Resilience Division at watercyberta@epa.gov to voluntarily provide situational awareness. | ・上下水道システム部門の組織は、EPA 水インフラ・サイバーレジリエンス部門(EPA Water Infrastructure and Cyber Resilience Division)(watercyberta@epa.gov)に連絡し、自主的に状況認識を提供すること。 |
| • State, local, tribal, and territorial governments should report incidents to the MS-ISAC (SOC@cisecurity.org or 866-787-4722). | ・州、地方、部族、および準州政府は、MS-ISAC(SOC@cisecurity.org または 866-787-4722)にインシデントを報告すること。 |
| • The Water Information Sharing & Analysis Center (WaterISAC) encourages members to share information by emailing analyst@waterisac.org, calling 866-H2O-ISAC, or using the online incident reporting form. | ・水情報共有・分析センター(WaterISAC)は、analyst@waterisac.org に電子メールを送るか、866-H2O-ISACに電話するか、オンラインのインシデント報告フォームを使用することにより、情報を共有するよう会員に奨励している。 |
| • Entities required to report incidents to DOE-CESER should follow established reporting requirements, as appropriate. For other energy sector inquiries, contact EnergySRMA@hq.doe.gov. DOE also encourages energy entities to report information to their relevant energy ISACs: | ・DOE-CESERにインシデントを報告する必要がある事業体は、適宜、確立された報告要件に従 うべきである。その他のエネルギー部門に関する問い合わせは、EnergySRMA@hq.doe.gov。DOE はまた、エネルギー事業体が関連するエネルギー ISAC に情報を報告することを奨励する: |
| o Downstream Natural Gas (DNG-ISAC): analyst@dngisac.com | o 天然ガス下流部門(DNG-ISAC):analyst@dngisac.com |
| o Electricity (E-ISAC): operations@eisac.com | o 電力部門(E-ISAC):operations@eisac.com |
| o Oil & Natural Gas (ONG-ISAC): soc@ongisac.org | o 石油・天然ガス部門(ONG-ISAC):soc@ongisac.org |
| ACKNOWLEDGEMENTS | 謝辞 |
| The DNG-ISAC and WaterISAC contributed to this fact sheet. | DNG-ISAC および WaterISAC は本ファクトシートに貢献した。 |
| DISCLAIMER | 免責事項 |
| The information in this report is being provided “as is” for informational purposes only. The authoring organizations do not endorse any commercial entity, product, company, or service, including any entities, products, or services linked within this document. Any reference to specific commercial entities, products, processes, or services by service mark, trademark, manufacturer, or otherwise, does not constitute or imply endorsement, recommendation, or favoring by the authoring organizations. | 本報告書の情報は、情報提供のみを目的として「現状のまま」プロバイダとして提供されている。発表機関は、本文書内でリンクされている事業体、製品、サービスを含め、いかなる営利事業体、製品、企業、サービスも保証しない。サービスマーク、商標、製造事業者、その他による特定の事業体、製品、プロセス、サービスへの言及は、執筆団体による承認、推奨、好意を意味するものではない。 |
| VERSION HISTORY | 改訂履歴 |
| May 1, 2024: Initial version. | 2024年5月1日:初版。 |
こんにちは、丸山満彦です。
韓国の個人情報保護委員会が、フランスのCNILと連携して児童・青少年の個人情報保護権を周知する8コマ漫画を制作していますね...
フランスも韓流人気(^^)
フランスと韓国の中間的な作風ですね(個人的な感想です(^^))
● 개인정보보호위원회(個人情報委員会)
プレス...
・2024.05.05 개인정보위, 프랑스CNIL와 손잡고 아동·청소년 개인정보 권리 알린다
| 개인정보위, 프랑스CNIL와 손잡고 아동·청소년 개인정보 권리 알린다 |
個人情報保護委員会、フランスCNILと連携して児童・青少年の個人情報に関する権利を周知する |
| - 프랑스 내 한류 인기에 힘입어, 아동·청소년 대상으로 개인정보 관련 권리를 안내하는 K-웹툰 포스터 한-불 공동제작 | ・フランスにおける韓流の人気を受けて,児童・青少年を対象に個人情報関連の権利を案内するK-ウェブトゥーンポスターを韓仏で共同制作 |
| - 가정의 달 계기 집중 홍보 및 전국 초·중·고등학교에 배포·게시 추진 | ・家庭の月を機に集中広報及び全国の小・中・高校に配布・掲示を推進 |
| 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)와 프랑스 국가정보·자유위원회(위원장 마리 로 드니, 이하 ‘CNIL*’)는 5월 5일(일) 공동보도문을 통해 양 기관이 공동 제작한 아동·청소년 인식 제고 웹툰 포스터를 발표했다. | 個人情報保護委員会(委員長コ・ハクス、以下「個人情報保護委員会」)とフランス国家情報・自由委員会(委員長マリー・ロドニ、以下「CNIL*」)は5月5日(日)、両機関が共同制作した児童・青少年の認識を高めるウェブトゥーンポスターを発表した。 |
| * CNIL : Commission Nationale de l’Informatique et des Libertés(프랑스 개인정보 보호 감독기구) | * CNIL:Commission Nationale de l'Informatique et des Libertés(フランスの個人情報保護監督機構)。 |
| 개인정보위는 ’22년 10월 CNIL과 개인정보 보호 협력 업무협약을 체결한 이래로 인공지능(AI) 정책협의체 운영, 인식 제고 콘텐츠 공유 등 다양한 협력사업을 추진해왔다. | 個人情報保護委員会は'22年10月にCNILと個人情報保護協力業務協約を締結して以来、人工知能(AI)政策協議体の運営、認識向上コンテンツの共有など様々な協力事業を推進してきた。 |
| 이번 웹툰 포스터 제작도 이러한 한-불 개인정보 협업의 일환으로, 아동·청소년 개인정보 인식 제고 중요성에 대한 양국의 공감대를 바탕으로 추진되었다. | 今回のウェブトゥーンポスター制作もこのような韓仏個人情報協業の一環として、児童・青少年の個人情報に対する認識向上の重要性に対する両国の共感をもとに推進された。 |
| CNIL은 프랑스의 아동·청소년 사이에서 한국의 콘텐츠가 인기를 얻고 있음을 고려하여 한국 웹툰 형식의 포스터 제작을 제안했고, 개인정보위는 ‘냥냥펀치’ 작가와 협업하여 8컷 웹툰을 제작하였다. | CNILはフランスの児童・青少年の間で韓国のコンテンツが人気を得ていることを考慮し、韓国のウェブトゥーン形式のポスター制作を提案し、個人情報保護委員会は「ニャンニャンパンチ」作家と協業して8カットのウェブトゥーンを制作した。 |
| 웹툰 포스터에는 개인정보의 정의, 개인정보 관련 정보주체의 권리(열람권·정정권·처리정지 요구권·삭제권·전송요구권) 및 권리 행사 방법 등을 아동·청소년이 이해하기 쉬운 방법으로 소개하고 있다. 포스터는 한국어, 영어, 프랑스어 총 3개 언어로 제작·배포된다. | ウェブトゥーンポスターには、個人情報の定義、個人情報に関する情報主体の権利(閲覧権・訂正権・処理停止要求権・削除権・転送要求権)及び権利行使方法などを児童・青少年が理解しやすい方法で紹介している。ポスターは韓国語、英語、フランス語の3言語で制作・配布される。 |
| 개인정보위는 어린이날 및 가정의 달을 맞아 아동·청소년 대상으로 포스터 집중 홍보를 진행할 방침이다. 5월 한 달간 전국 초·중·고등학교 누리집 및 어린이 관련 행사가 많은 창경궁 내 디지털 전광판에 포스터를 게시하고, 전국 440여 개 초·중·고등학교에도 포스터 인쇄본 6,500여 부를 배포하여 게시할 계획이다. 개인정보위 공식 사회관계망(인스타그램, 페이스북 등)에서는 오늘(5일)부터 이번 달 15일까지 웹툰 포스터 관련 퀴즈 이벤트를 진행하여 정답자 중 추첨을 통해 상품을 지급할 예정이다. | 個人情報保護委員会は、子供の日及び家庭の月を迎え、児童・青少年を対象にポスターの集中広報を行う方針だ。5月一ヶ月間、全国の小・中・高校のホームページ及び子供関連行事が多い昌慶宮内のデジタル電光掲示板にポスターを掲示し、全国440余りの小・中・高校にもポスター印刷版6,500部を配布して掲示する計画だ。個人情報保護委員会の公式社会関係網(インスタグラム、フェイスブックなど)では、今日(5日)から今月15日までウェブトゥーンポスター関連クイズイベントを行い、正解者の中から抽選で賞品を支給する予定だ。 |
| 개인정보위는 앞으로도 CNIL과 양국의 개인정보 보호 수준 제고, AI 분야 정책 대응 등을 위한 긴밀한 협력을 이어 나갈 계획이다. | 個人情報保護委員会は今後もCNILと両国の個人情報保護レベルの向上、AI分野の政策対応などのための緊密な協力を続けていく計画だ。 |
| 240506 (조간) 개인정보위, 프랑스(CNIL)와 손잡고 아동·청소년 개인정보 권리 알린다(국제협력담당관).hwpx 다운로드 | [hwpx] 240506(朝刊)個人情報保護委員会、フランス(CNIL)と連携して児童・青少年の個人情報の権利を周知する(国際協力担当官) |
| 240506 (조간) 개인정보위, 프랑스(CNIL)와 손잡고 아동·청소년 개인정보 권리 알린다(국제협력담당관).pdf 다운로드 | [PDF] 240506(朝刊)個人情報保護委員会、フランス(CNIL)と連携して児童・青少年の個人情報の権利を周知する(国際協力担当官) |
| (별첨) 한-불 공동제작 웹툰 포스터(국문).pdf 다운로드 | [PDF] (別紙)韓仏共同制作ウェブ漫画ポスター(韓国語) |
| (별첨) 한-불 공동제작 웹툰 포스터(영문).pdf 다운로드 | [PDF] (別紙)韓仏共同制作ウェブ漫画ポスター(英語) |
| (별첨) 한-불 공동제작 웹툰 포스터(불문).pdf 다운로드 | [PDF](別紙)韓仏共同制作ウェブ漫画ポスター(仏語) |
英語版...
こんにちは、丸山満彦です。
AIは教育にも大きな影響を及ぼしそうですね... AIは(道具なので)うまく活用すれば、人間の能力開発にも有益ですね...
日本の学校でも学習の状況に応じてAIをうまく使えるように教えるとよいですよね... まだ、発展途上ではありますが...
● World Economic Forum - Whitepaper
・2024.04.29 Shaping the Future of Learning: The Role of AI in Education 4.0
・[PDF]
目次...
| Executive summary | エグゼクティブ |
| Introduction | 序文 |
| 1 Global education systems at a crossroads | 1 岐路に立つ世界の教育システム |
| 1.1 Global teacher gap | 1.1 世界的な教員格差 |
| 1.2 Administrative and assessment gaps | 1.2 管理と評価のギャップ |
| 1.3 Digital skills gap | 1.3 デジタル・スキルの格差 |
| 2 Potential of AI in enabling Education 4.0 | 2 教育4.0を可能にするAIの可能性 |
| 2.1 Supporting teachers’ roles through augmentation and automation | 2.1 補強と自動化を通じて教師の役割をサポートする |
| 2.2 Refining assessment and analytics in education | 2.2 教育におけるアセスメントとアナリティクスの洗練 |
| 2.3 Supporting AI and digital literacy | 2.3 AIとデジタルリテラシーのサポート |
| 2.4 Personalizing learning content and experiences | 2.4 学習コンテンツと体験のパーソナライズ |
| 3 Emerging examples of how AI is advancing Education 4.0 | 3 AIが教育4.0を推進する新たな事例 |
| 3.1 Selection process and criteria | 3.1 選考プロセスと基準 |
| 3.2 Case studies | 3.2 事例研究 |
| Conclusion | 結論 |
| Acknowledgements | 謝辞 |
| Endnotes | 巻末資料 |
エグゼクティブサマリー...
| Executive summary | エグゼクティブサマリー |
| If deployed well, AI can help unlock solutions for improving global education systems. | AIがうまく導入されれば、世界の教育システムを改善するためのソリューションを引き出すことができる。 |
| As technological change accelerates, there is an urgent need for supporting education systems in managing new opportunities and risks. If managed well, technology – particularly artificial intelligence (AI) – offers a unique opportunity to help education systems enable Education 4.0 – teaching and learning approach that focuses on providing learners with the abilities, skills, attitudes and values fit for the future. Developed by a global coalition of education experts, practitioners, policy-makers and business leaders, Education 4.0 serves as a comprehensive framework that outlines key transformations needed in primary and secondary education to promote better education outcomes. AI can help broaden the reach of future-ready education systems and enhance their effectiveness in preparing students for the future. Yet, there are challenges and risks, for teachers and learners alike, that must be addressed and overcome to deliver on the promise of educational technology. | 技術革新が加速する中、新たなチャンスとリスクのマネジメントにおいて、教育システムを支援することが急務となっている。うまく管理すれば、テクノロジー、特に人工知能(AI)は、教育システムがEducation 4.0を実現できるよう支援するまたとない機会を提供する。Education 4.0とは、未来にふさわしい能力、スキル、態度、価値観を学習者に提供することに焦点を当てた教育・学習アプローチである。教育4.0は、教育の専門家、実務家、政策立案者、ビジネスリーダーからなる世界的な連合によって開発されたもので、より良い教育成果を促進するために初等・中等教育に必要な重要な変革の概要を示す包括的な枠組みとなっている。AIは、未来に対応した教育システムの範囲を広げ、生徒の将来への準備の効果を高めるのに役立つ。しかし、教師にとっても学習者にとっても、教育テクノロジーの約束を実現するために対処し、克服しなければならない課題やリスクがある。 |
| The adoption of emerging technologies in education, particularly AI, holds immense potential to revolutionize teaching methodologies, personalize learning experiences and streamline administrative processes. However, while AI can excel at tasks like presenting differentiated content and assuming many administrative duties, the complex process of facilitating learning requires more than mere dissemination of information. AI should therefore serve to enhance, not replace, the role of the teacher. By freeing educators from routine tasks, AI empowers them to focus on building relationships, understanding individual student needs and fostering motivation. This synergy not only improves teaching effectiveness but also underscores the indispensable human element in education. | 教育における新たなテクノロジー、特にAIの導入は、教授法に革命をもたらし、学習体験をパーソナライズし、管理プロセスを合理化する計り知れない可能性を秘めている。しかし、AIは、差別化されたコンテンツを提示したり、多くの管理業務を引き受けたりするような仕事には秀でているが、学習を促進する複雑なプロセスには、単なる情報発信以上のものが必要である。したがって、AIは教師の役割を代替するのではなく、強化する役割を果たすべきである。AIは、教育者をルーティンワークから解放することで、人間関係の構築、個々の生徒のニーズの理解、モチベーションの育成に専念させる。この相乗効果は、教育効果を改善するだけでなく、教育に不可欠な人間の要素を強調する。 |
| The successful integration of AI into education systems and processes will require careful consideration and strategic implementation. The latest in a series of analyses on Education 4.0, this paper provides insight into AI’s potential to address challenges within education systems through: | AIを教育システムやプロセスにうまく組み込むには、慎重な検討と戦略的な導入が必要となる。教育4.0に関する一連の分析の最新版である本稿では、教育システムにおける課題に対処するためのAIの可能性について、以下のような洞察を提供する: |
| – Personalized learning content and experiences, offering solutions to the challenge of catering to diverse student needs and enabling tailored educational journeys for each learner. | ・パーソナライズされた学習コンテンツと学習体験は、多様な生徒のニーズに応えるという課題に対する解決策を提供し、学習者一人ひとりに合わせた教育ジャーニーを可能にする。 |
| – Refined assessment and decision-making processes, promising more accurate evaluations and insights into student progress. | ・評価と意思決定プロセスの洗練により、より正確な評価と生徒の進歩に関する洞察を約束する。 |
| – Optimization of teacher roles through augmentation and automation of tasks, alleviating administrative burdens and empowering educators to focus more on personalized instruction and mentorship. | ・タスクの拡張と自動化による教師の役割の最適化により、管理者の負担を軽減し、教育者が個別指導と指導により集中できるようにする。 |
| – Integration of AI into educational curricula, presenting an opportunity for teaching both with and about AI, equipping students with essential skills, discernment and knowledge for the future. | ・AIを教育カリキュラムに統合することで、AIを活用した教育、AIを活用した教育、AIを活用した教育の双方を実現し、生徒が将来に必要なスキル、見識、知識を身につける機会を提供する。 |
| A set of illustrative case studies highlights some of the learnings thus far in this frontier field. These examples point to the need for nuanced discussions and further research to explore opportunities and challenges. By leveraging this technology judiciously, we can enhance learning outcomes, empower educators and equip students with the requisite skills for success in the dynamic landscape of the future. We invite readers to engage with the findings, and support local and global dialogue aimed at shaping a more responsive, inclusive and future-ready education system in the age of AI. | 一連の事例研究は、このフロンティア分野でのこれまでの学習のいくつかを浮き彫りにしている。これらの事例は、チャンスと課題を探るために、ニュアンスの異なる議論とさらなる研究が必要であることを指摘している。このテクノロジーを賢く活用することで、学習成果を向上させ、教育者に力を与え、将来のダイナミックな状況下で成功するために必要なスキルを学生に身につけさせることができる。読者の皆様には、本書で得られた知見に触れていただき、AI時代により対応可能で、包括的で、未来に対応できる教育システムの形成を目指した地域的・世界的な対話を支援していただきたい。 |
本文はこちら...↓ ↓
こんにちは、丸山満彦です。
英国、ドイツ、チェコ、欧州理事会が、ロシア諜報機関による悪質なサイバー活動を非難する声明を発表していますね。。。
英国...
● GOV.UK
| UK joins partners in condemnation of malicious cyber activity by Russian Intelligence Services : UK government statement | 英国は、ロシア諜報機関による悪質なサイバー活動を非難するパートナーに加わる: 英国政府声明 |
| The United Kingdom has joined with its international partners to condemn malicious cyber activity by the Russian Intelligence Services. | 英国は、国際的なパートナーとともに、ロシア情報機関による悪質なサイバー活動を非難した。 |
| A UK government spokesperson said: | 英国政府の報道官は次のように述べた: |
| The United Kingdom stands with the European Union, Germany, Czechia and other allies in strongly condemning malicious cyber activity by Russian Intelligence Services. | 英国は、欧州連合(EU)、ドイツ、チェコ、その他の同盟国とともに、ロシア情報機関による悪質なサイバー活動を強く非難する。 |
| Today’s statements from our allies demonstrate the scale, persistence, and seriousness of unacceptable Russian behaviours in cyberspace. | 今日の同盟国の声明は、サイバー空間におけるロシアの容認できない行動の規模、持続性、深刻さを示している。 |
| Recent activity by Russian GRU cyber group APT28, including the targeting of the German Social Democratic Party executive, is the latest in a known pattern of behaviour by the Russian Intelligence Services to undermine democratic processes across the globe. | ドイツ社会民主党幹部を標的にしたことを含む、ロシアGRUのサイバーグループAPT28による最近の活動は、世界中の民主的プロセスを弱体化させようとするロシア情報機関による既知の行動パターンの最新のものである。 |
| On 7 December 2023, the UK exposed a series of attempts by the Russian Intelligence Services to target high-profile UK individuals and entities through cyber operations. At the same time, we sanctioned two Russian nationals responsible for political interference. | 2023年12月7日、英国はロシア情報部がサイバー作戦を通じて英国の著名な個人や事業体を標的にした一連の試みを暴露した。同時に、政治干渉に関与した2人のロシア人を制裁した。 |
| With multiple elections around the world in 2024, raising awareness of the threat to the UK and our international partners remains vitally important for our collective resilience. | 2024年には世界各地で複数の選挙が予定されており、英国や国際的パートナーに対する脅威に対する認識を高めることは、我々の集団的レジリエンスにとって極めて重要である。 |
| Today, as part of a broad coalition of allies, we are making clear to the Russian state that we will continue to identify, expose, and respond to such unacceptable activity. | 今日、同盟国の広範な連合の一員として、我々はロシア国家に対し、このような容認できない活動を特定し、暴露し、対応し続けることを明確にしている。 |
| Background | 背景 |
| View the statements from our international partners: | 国際パートナーからの声明を見る |
| Germany | ドイツ |
| Czechia | チェコ |
| EU | EU |
| APT28 are capable cyber actors who have been active since at least 2004. They are known by industry nicknames including Strontium, Sofacy Group, Pawn Storm, Fancy Bear, and Sednit | APT28は、少なくとも2004年から活動している有能なサイバー・アクターである。彼らは、Strontium、Sofacy Group、Pawn Storm、Fancy Bear、Sednitなどの業界のニックネームで知られている。 |
| the UK has previously exposed APT28 as part of the GRU, the Russian military intelligence service, including: | 英国は以前、APT28がロシアの軍事情報機関GRUの一部であることを暴露している: |
| in 2018, the UK and the Netherlands exposed an attempted attack against the Organisation for the Prohibition of Chemical Weapons (OPCW) by APT28, aimed at disrupting independent analysis of chemicals weaponised by the GRU in the UK | 2018年、英国とオランダは、APT28による化学兵器禁止機関(OPCW)に対する攻撃未遂を暴露し、英国のGRUによって兵器化された化学物質の独立分析を妨害することを目的とした。 |
| in 2020, the UK announced sanctions against APT28 and 2 individual GRU officers for their reckless cyber-attacks on Germany’s Parliament in 2015, which affected email accounts belonging to German MPs and the German Vice Chancellor | 2020年、英国はAPT28とGRU職員2名に対する制裁を発表した。APT28は2015年にドイツの議会に対して無謀なサイバー攻撃を行い、ドイツの国会議員と副首相の電子メールアカウントに影響を与えた。 |
| in 2023, the UK and US technical communities released a joint advisory to provide details of tactics, techniques and procedures associated with APT28’s exploitation of Cisco routers in 2021 | 2023年、英米の技術コミュニティは共同勧告を発表し、2021年にAPT28がシスコのルーターを悪用したことに関連する戦術、技術、手順の詳細を提供した。 |
| the UK Government also supports Germany’s assessment that APT28 exploited critical security vulnerabilities in Microsoft Outlook directed against email accounts of the German Social Democratic Party | 英国政府はまた、APT28がMicrosoft Outlookの重要なセキュリティ脆弱性を悪用し、ドイツ社会民主党の電子メールアカウントに攻撃を仕掛けたというドイツの評価を支持している。 |
ドイツ連邦政府...
・2024.05.03 [PDF] Erklärung der Bundesregierung zur Attribuierung einer russischen Cyberkampagne
・2024.05.03 [PDF] English version: Statement by the Federal Government on the attribution of a Russian cyber campaign
| Attribution of a Russian cyber campaign | ロシアのサイバーキャンペーンを非難する |
| The Federal Government condemns in the strongest possible terms – and with the support of the European Union, NATO and international partners – the campaign by the state-sponsored cyber actor APT28 that targeted the Executive Committee of the Social Democratic Party of Germany. | 連邦政府は、欧州連合(EU)、北大西洋条約機構(NATO)および国際的パートナーの支援を受けて、ドイツ社会民主党執行委員会を標的にした国家支援によるサイバー行為者APT28によるキャンペーンを、可能な限り強い言葉で非難する。 |
| The Federal Government’s national attribution procedure regarding this campaign has concluded that, for a relatively long period, the cyber actor APT28 used a critical vulnerability in Microsoft Outlook that remained unidentified at the time to compromise numerous email accounts. | このキャンペーンに関する連邦政府の国家帰属手続きは、比較的長期間にわたり、サイバー行為者APT28が、当時未確認であったMicrosoft Outlookの脆弱性を利用して、多数の電子メールアカウントを侵害したと結論づけた。 |
| Based on reliable information provided by our intelligence services, the actor APT28 has been attributed to the Russian Federation, and more specifically to the Russian military intelligence service GRU. | われわれの諜報機関から提供された信頼できる情報に基づき、APT28はロシア連邦、より具体的にはロシア軍事情報機関GRUに帰属するとされている。 |
| What is more, this actor’s campaign also targeted various government authorities and companies in the spheres of logistics, armaments, the air and space industry, and IT services, as well as foundations and associations. It was directed at entities in Germany, other European countries and targets in Ukraine. | さらに、この行為者のキャンペーンは、さまざまな政府当局や、ロジスティクス、軍需、航空・宇宙産業、ITサービスの分野の企業、さらには財団や協会も標的にしていた。ドイツや他の欧州諸国の事業体、ウクライナの標的を狙ったものだった。 |
| APT28 is also responsible for the cyber attack that was perpetrated on the German Bundestag in 2015. | APT28は2015年にドイツ連邦議会で行われたサイバー攻撃にも関与している。 |
| Such irresponsible actions in cyberspace contravene international cyber norms and deserve special attention, especially in a year in which many countries are holding elections. | サイバー空間におけるこのような無責任な行動は、国際的なサイバー規範に反するものであり、特に多くの国で選挙が行われる今年、特別な注意を払うに値する。 |
| Cofyber attacks against political parties, state institutions and companies that provide critical infrastructure pose a threat to our democracy, our national security and our liberal-minded society. | 政党、国家機構、重要インフラを提供する企業に対するサイバー攻撃は、民主主義、国家安全保障、自由主義社会に対する脅威である。 |
| The Federal Government most strongly condemns the repeated and unacceptable malicious cyber activities by state-sponsored Russian actors and again calls on Russia to refrain from such behaviour. Germany is determined to work together with its European and international partners to counter such malicious cyber activities. | 連邦政府は、国家に支援されたロシア人による度重なる容認しがたい悪質なサイバー活動を最も強く非難し、ロシアに対し、そのような行動を慎むよう改めて求める。ドイツは、欧州および国際的なパートナーと協力して、このような悪意あるサイバー活動に対抗していく決意である。 |
・チェコ
● Ministory of Foreign Affairs of the Czech Republic
・2024.05.03 Statement of the MFA on the Cyberattacks Carried by Russian Actor APT28 on Czechia
| Cyberattacks Carried by Russian Actor APT28 on Czechia | ロシアのAPT28によるチェコへのサイバー攻撃 |
| Czechia jointly with Germany, the European Union, NATO and international partners strongly condemns activities of the Russian state-controlled actor APT28, who has been conducting a long-term cyber espionage campaign in European countries. APT28 is associated with Russian military intelligence service GRU. | チェコはドイツ、欧州連合(EU)、北大西洋条約機構(NATO)および国際的パートナーとともに、欧州諸国で長期的なサイバースパイキャンペーンを展開しているロシア国家統制下の行為者APT28の活動を強く非難する。APT28はロシアの軍事情報機関GRUと関連している。 |
| Based on information from intelligence services, some Czech institutions have also been the target of cyber attacks exploiting a previously unknown vulnerability in Microsoft Outlook from 2023. The mode of operation and the focus of these attacks matched the profile of the actor APT28. | 諜報機関からの情報によると、チェコのいくつかの機構は、2023年からマイクロソフト・アウトルックのこれまで知られていなかった脆弱性を悪用したサイバー攻撃の標的にもなっている。これらの攻撃の動作モードと焦点は、行為者APT28のプロファイルと一致した。 |
| Affected subjects were offered technical recommendations and cooperation to enhance security measures. The actor APT28 has also been the subject to active measures in Czechia as part of the global operation Dying Ember. | 被害を受けた対象者には、セキュリティ対策を強化するための技術的な勧告と協力が提供された。行為者APT28は、世界的な活動「Dying Ember」の一環として、チェコでも積極的な対策の対象となっている。 |
| Czechia has long been targeted by the APT28. Such activities are in violation of the UN norms of responsible state behaviour in cyberspace and other international commitments. In the context of the upcoming European elections, national elections in a number of European countries and the ongoing Russian aggression against Ukraine, these acts are particularly serious and reprehensible. We call on the Russian Federation to refrain from such actions. | チェコは以前からAPT28に狙われていた。このような活動は、サイバー空間における国家の責任ある行動に関する国連規範やその他の国際公約に違反している。今度の欧州選挙、多くの欧州諸国の国政選挙、そして現在進行中のロシアのウクライナ侵略という状況の中で、これらの行為は特に深刻であり、非難されるべきものである。我々はロシア連邦に対し、このような行為を控えるよう求める。 |
| Cyber attacks targeting political entities, state institutions and critical infrastructure are not only a threat to national security, but also disrupt the democratic processes on which our free society is based. Czech authorities will continue to take steps to strengthen the resilience of public institutions and the private sector. | 政治事業体、国家機構、重要インフラを標的にしたサイバー攻撃は、国家安全保障に対する脅威であるだけでなく、我々の自由な社会が基盤としている民主的プロセスを混乱させるものである。チェコ当局は、公的機関と民間セクターのレジリエンスを強化するための措置を継続する。 |
| Czechia is deeply concerned by these repeated cyber attacks by state actors. We are determined to respond strongly to this unacceptable behaviour together with our European and international partners. | チェコは、国家主体による度重なるサイバー攻撃に深い懸念を抱いている。我々は、欧州及び国際的なパートナーとともに、この容認できない行為に強力に対応していく決意である。 |
● European Council
| Cyber: Statement by the High Representative on behalf of the EU on continued malicious behaviour in cyberspace by the Russian Federation | サイバー ロシア連邦によるサイバー空間での悪意ある行動の継続に関するEUを代表する上級代表の声明 |
| The European Union and its Member States, together with international partners, strongly condemn the malicious cyber campaign conducted by the Russia-controlled Advanced Persistent Threat Actor 28 (APT28) against Germany and Czechia. Today, Germany has shared publicly its assessment on APT28 compromise of various e-mail accounts of the German Social Democratic Party executive. At the same time, Czechia announced its institutions have been a target of this cyber campaign. State institutions, agencies and entities in Member States, including in Poland, Lithuania, Slovakia and Sweden have been targeted by the same threat actor before. In 2020, the EU imposed sanctions on individuals and entities responsible for the APT28 attacks targeting the German Federal Parliament in 2015. | 欧州連合(EU)および加盟国は、国際的パートナーとともに、ロシアが支配する高度持続的脅威行為者28(APT28)がドイツおよびチェコに対して行った悪質なサイバー脅威キャンペーンを強く非難する。本日、ドイツは、APT28によるドイツ社会民主党幹部のさまざまな電子メールアカウントの侵害に関する評価を公表した。同時に、チェコは自国の機構がこのサイバーキャンペーンの標的になったと発表した。ポーランド、リトアニア、スロバキア、スウェーデンを含む加盟国の国家機関、機関、事業体は、以前にも同じ脅威行為者に狙われている。2020年、EUは2015年にドイツ連邦議会を標的としたAPT28攻撃に関与した個人と事業体に対して制裁を科した。 |
| The malicious cyber campaign shows Russia’s continuous pattern of irresponsible behaviour in cyberspace, by targeting democratic institutions, government entities and critical infrastructure providers across the European Union and beyond. | 今回の悪意あるサイバーキャンペーンは、EU域内外の民主的機構、政府事業体、重要インフラプロバイダーを標的にすることで、サイバー空間におけるロシアの継続的な無責任な行動パターンを示している。 |
| This type of behaviour is contrary to the UN norms of responsible state behaviour in cyberspace, such as impairing the use and operation of critical infrastructure. Disregarding international security and stability, Russia has repeatedly leveraged APT28 to conduct malicious cyber activities against the EU, its Member States and international partners, most notably Ukraine. | この種の行動は、重要インフラの利用や運用を損なうなど、サイバー空間における国家の責任ある行動に関する国連の規範に反している。国際的な安全保障と安定を無視し、ロシアはAPT28を繰り返し活用し、EU、加盟国、国際的パートナー(特にウクライナ)に対して悪意あるサイバー活動を行ってきた。 |
| The EU will not tolerate such malicious behaviour, particularly activities that aim to degrade our critical infrastructure, weaken societal cohesion and influence democratic processes, mindful of this year’s elections in the EU and in more than 60 countries around the world. The EU and its Member States will continue to cooperate with our international partners to promote an open, free, stable and secure cyberspace. | EUは、このような悪意ある行為、特にEUの重要なインフラを劣化させ、社会の結束を弱め、今年のEUおよび世界60カ国以上で実施される選挙を意識した民主的プロセスに影響を及ぼすことを目的とする行為を容認しない。EUおよび加盟国は、開かれた、自由で、安定した、安全なサイバー空間を促進するため、国際的なパートナーと引き続き協力していく。 |
| The EU is determined to make use of the full spectrum of measures to prevent, deter and respond to Russia’s malicious behaviour in cyberspace. | EUは、サイバー空間におけるロシアの悪意ある行動を防止し、抑止し、対応するために、あらゆる手段を活用していく決意である。 |
こんにちは、丸山満彦です。
サイバーセキュリティの専門人材は日本でも常に不足していると言われていますが、WEFによると世界中では400万人近く不足していると推定しているようですね...
人材不足なので、サイバー人材の給与は増加しているようですね(日本ももう少し上がれば良いですよね...)。日本の場合、人事の反対にあうという話はききます。。。曰く、「セキュリティ人材だけ給与を上げるのは他の職種とのバランス上難しい...」
こういうことをいっている組織では、どんな人材であっても組織が必要としている人材があつまらず、組織としては衰退していくのだろうと思います...(他の職種とのバランス上...というのは、人事部門だけの都合ですからね...)
さて、興味深い内容ですので、目をとおしてみてくださいませ...
● World Economic Forum - Whitepaper
・2024.04.29 Strategic Cybersecurity Talent Framework
| Strategic Cybersecurity Talent Framework | 戦略的サイバーセキュリティ人材フレームワーク |
| Today, there is a shortage of nearly 4 million cybersecurity professionals worldwide and, with a consistent year-on-year increase in demand for qualified practitioners, the deficit shows no sign of abating. This paper is intended to serve as a source of reference for public and private decision-makers concerned by the industry workforce shortage and committed to developing and nurturing robust cybersecurity talent across their respective sectors. | 現在、サイバーセキュリティの専門家は世界中で 400 万人近く不足しており、有能な実務家に対する需要は年々増加の一途をたどっているにもかかわらず、その不足は一向に解消される気配がない。本書は、サイバーセキュリティ業界の人材不足を懸念し、各分野でサイバーセキュリティ人材の育成に取り組む官民の意思決定者の参考資料となることを意図している。 |
| Today, there is a shortage of nearly 4 million cybersecurity professionals worldwide and, with a consistent year-on-year increase in demand for qualified practitioners, the deficit shows no sign of abating. This paper is intended to serve as a source of reference for public and private decision-makers concerned by the industry workforce shortage and committed to developing and nurturing robust cybersecurity talent across their respective sectors. | 現在、サイバーセキュリティの専門家は世界中で 400 万人近く不足しており、有能な実務家に対する需要は年々増加の一途をたどっているが、この不足は一向に解消される気配がない。本稿は、サイバーセキュリティ業界の人材不足を懸念し、各分野でサイバーセキュリティ人材の育成に取り組む官民の意思決定者の参考資料となることを意図している。 |
| Recognizing that a single actor alone cannot effectively tackle the cybersecurity workforce shortage, the World Economic Forum, in collaboration with more than 50 public and private organizations, has developed a strategic Cybersecurity Talent Framework (CTF) featuring actionable approaches to help organizations build sustainable talent pipelines. The CTF tackles the following four priority areas: | 世界経済フォーラムは、サイバーセキュリティの人材不足に単独で効果的に取り組むことは不可能であるとの認識のもと、50 を超える官民の組織と協力して、組織が持続可能な人材パイプラインを構築するための実行可能なアプローチを取り入れた戦略的サイバーセキュリティ人材フレームワーク(CTF)を策定した。CTFは、以下の4つの優先分野に取り組んでいる: |
| ・Attracting talent into cybersecurity | ・サイバーセキュリティに人材を惹きつける。 |
| ・Educating and training cybersecurity professionals | ・サイバーセキュリティの専門家の教育とトレーニング |
| ・Recruiting the right cybersecurity talent | ・適切なサイバーセキュリティ人材の採用 |
| ・Retaining cybersecurity professionals | ・サイバーセキュリティのプロフェッショナルを維持する |
・[PDF]
目次...
| Executive summary | エグゼクティブサマリー |
| Introduction | 序文 |
| 1 Attracting talent into cybersecurity | 1 サイバーセキュリティに人材を惹きつける |
| 1.1 Key challenges that organizations face when attracting cyber talent | 1.1 サイバー人材を獲得する際に組織が直面する主な課題 |
| 1.2 Consequences of failing to attract talent | 1.2 人材獲得に失敗した場合の結果 |
| 1.3 Approaches to attracting talent | 1.3 人材を惹きつけるためのアプローチ |
| 1.4 Implementing actionable approaches to attract talent | 1.4 人材を惹きつけるための実行可能なアプローチを実施する |
| 2 Educating and training cybersecurity professionals | 2 サイバーセキュリティ専門家の教育と訓練 |
| 2.1 Identifying the gaps in current cybersecurity education and training programmes | 2.1 現在のサイバーセキュリティ教育・訓練プログラムにおけるギャップの識別 |
| 2.2 What should the future of cybersecurity education and training look like? | 2.2 サイバーセキュリティ教育と訓練の将来はどうあるべきか? |
| 2.3 Assessing the effectiveness of cybersecurity education and ensuring better alignment with industry demands | 2.3 サイバーセキュリティ教育の有効性を評価し、業界の需要との整合性を高める |
| 3 Recruiting the right cybersecurity talent | 3 適切なサイバーセキュリティ人材の採用 |
| 3.1 The search for cybersecurity professionals | 3.1 サイバーセキュリティの専門家を探す |
| 3.2 Actionable approaches for evaluation and validation | 3.2 評価と検証のための実行可能なアプローチ |
| 3.3 Is the skills-first approach applicable to cybersecurity? | 3.3 スキルファーストのアプローチはサイバーセキュリティに適用できるか? |
| 4 Retaining cybersecurity professionals | 4 サイバーセキュリティの専門家を維持する |
| 4.1 The causes of cybersecurity employee turnover | 4.1 サイバーセキュリティ従業員の離職の原因 |
| 4.2 Understanding the impact of employee attrition | 4.2 従業員離職の影響を理解する |
| 4.3 Actionable approaches to boost employee retention | 4.3 従業員の定着率を高めるための実行可能なアプローチ |
| 4.4 Prioritizing mental health in cybersecurity | 4.4 サイバーセキュリティにおけるメンタルヘルスを優先する |
| 4.5 Tactics for talent retention | 4.5 人材維持のための戦術 |
| Conclusion | 結論 |
| Appendix: Case studies | 附属書 ケーススタディ |
| Contributors | 寄稿者 |
| Endnotes | 巻末資料 |
エグゼクティブサマリー...
| Executive summary | エグゼクティブサマリー |
| The strategic Cybersecurity Talent Framework should guide public- and privatesector decision-makers in building and sustaining a skilled cybersecurity workforce. | 戦略的サイバーセキュリティ人材フレームワークは、官民の意思決定者が熟練したサイバーセキュリティ人材を育成・維持するための指針となるものである。 |
| In today’s hyperconnected digital landscape, the cybersecurity industry faces a critical global shortage of nearly 4 million professionals. With a consistent year-on-year increase in demand for qualified practitioners, the deficit shows no sign of abating. | 今日の高度に結合したデジタル社会の状況において、サイバーセキュリティ業界は、400万人近い専門家の世界的な不足という危機的状況に直面している。有能な実務家に対する需要は年々増加の一途をたどっているが、この不足は一向に解消される気配がない。 |
| At a time when cyberthreats are increasing in sophistication and frequency, the cybersecurity workforce, as the backbone of organizational security, plays a key role in securing the benefits of the Fourth Industrial Revolution. Failure to ensure a steady supply of cybersecurity professionals may have far-reaching consequences, with organizations worldwide finding themselves vulnerable and understaffed in the face of emerging threats. It is, therefore, imperative for decision-makers to prioritize cybersecurity talent management as a strategic necessity. | サイバー脅威が高度化し、頻度も増加している現在、サイバーセキュリティの人材は、組織のセキュリティの基幹として、第4次産業革命の利益を確保する上で重要な役割を果たしている。サイバーセキュリティの専門家を安定的に確保できなければ、世界中の組織が新たな脅威に直面して脆弱性を抱え、人手不足に陥るという、広範囲に及ぶ結果を招きかねない。したがって、意思決定者にとって、サイバーセキュリティ人材管理を戦略的に必要なものとして優先させることが不可欠である。 |
| Recognizing that a single actor alone cannot effectively tackle the cybersecurity workforce shortage, the World Economic Forum established the Bridging the Cyber Skills Gap initiative. Bringing together more than 50 public and private organizations, the initiative developed a strategic Cybersecurity Talent Framework (CTF) featuring actionable approaches to help organizations build sustainable talent pipelines. | 世界経済フォーラムは、サイバーセキュリティの人材不足に単独で効果的に取り組むことはできないと考え、「サイバー・スキル・ギャップを埋める」イニシアティブを設立した。同イニシアチブは、50を超える官民の組織を結集し、組織が持続可能な人材パイプラインを構築するための実行可能なアプローチを特徴とする戦略的サイバーセキュリティ人材フレームワーク(CTF)を開発した。 |
| More specifically, the CTF is structured around four key priority areas intended to provide a holistic approach to talent management in cybersecurity. | 具体的には、CTFは、サイバーセキュリティの人材管理に対する全体的なアプローチを提供することを目的とした4つの主要優先分野を中心に構成されている。 |
| Among other things, the priority areas explore how: | 特に、優先分野では次のようなことを検討している: |
| – More talent could be attracted into cybersecurity by improving the understanding of what cybersecurity professionals do, removing barriers to entry and improving diversity in the workforce | ・サイバーセキュリティの専門家の業務内容に対する理解を改善し、参入障壁を取り除き、労働力の多様性を改善することで、より多くの人材をサイバーセキュリティに引きつけることができる。 |
| – Cybersecurity education and training could be improved to effectively equip students and professionals with essential skills for a career in the field | ・サイバーセキュリティの教育と訓練を改善し、この分野でのキャリアに不可欠なスキルを学生や専門家に効果的に身につけさせる。 |
| – Recruitment practices could be rethought by addressing challenges such as unrealistic and demanding requirements in job descriptions and misalignment between hiring managers and human resources (HR) departments | ・職務内容における非現実的で厳しい要件や、採用担当者と人事(HR)部門との不一致などの課題に取り組むことで、採用活動を見直すことができる。 |
| – Retention of cybersecurity professionals could be improved by tackling issues such as the lack of appreciation and recognition for the field as well as the high stress levels | ・この分野に対する評価や認知の不足、ストレスレベルの高さといった問題に取り組むことで、サイバーセキュリティの専門家の定着率を改善することができる。 |
| As a universally applicable framework, the CTF is intended to serve as a source of reference for industry leaders, government agencies, civil society and academia – that is, all stakeholders concerned by the cybersecurity workforce shortage and committed to developing and nurturing robust cybersecurity talent across their respective sectors. | 普遍的に適用可能なフレームワークとして、CTF は、産業界のリーダー、政府機関、市民社会、学術界、つまり、サイバーセキュリティ人材不足に関心を持ち、各分野におけるサイバーセキュリティ人材の育成と開発に尽力するすべての利害関係者の参考資料となることを意図している。 |
本文の仮対訳は...↓ ↓
こんにちは、丸山満彦です。
AIに関する大統領令が発令されてから180日を迎える前に、お約束していた文書がNISTから発表され、意見募集が行われていますね...
文書は次の4つがあります...
| 生成的AIのリスク低減 | NIST AI 600-1 Initial Public Draft Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile | NIST AI 600-1 初期公開ドラフト 人工知能リスクマネジメントフレームワーク: 生成的人工知能プロファイル |
| AIシステムの訓練に使用されるデータへの脅威の軽減 | NIST SP 800-218A (Initial Public Draft) Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile | NIST SP 800-218A(初期公開ドラフト) 生成的 AI とデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス: SSDFコミュニティプロファイル |
| 合成コンテンツのリスク低減 | NIST AI 100-4 DRAFT FOR PUBLIC COMMENT Reducing Risks Posed by Synthetic Content An Overview of Technical Approaches to Digital Content Transparency | NIST AI 100-4 パブリックコメント用ドラフト 合成コンテンツがもたらすリスクの低減 デジタルコンテンツの透明性に関する技術的アプローチの概要 |
| AI標準に関するグローバルな取り組み | NIST AI 100-5 Draft for public comment A Plan for Global Engagement on AI Standards | NIST AI 100-5 パブリックコメント用ドラフト AI標準に関するグローバルな関与のための計画 |
商務省の発表...
・2024.04.29 Department of Commerce Announces New Actions to Implement President Biden’s Executive Order on AI
| Department of Commerce Announces New Actions to Implement President Biden’s Executive Order on AI | 商務省、AIに関するバイデン大統領の大統領令を実施するための新たな措置を発表 |
| Announcements include draft guidance documents, a draft plan for international standards, and a new measurement program opening for public comment | ガイダンス文書ドラフト、国際標準化計画ドラフト、新しい測定プログラムのパブリックコメント募集などが発表された。 |
| The U.S. Department of Commerce announced today, following the 180-day mark since President Biden’s Executive Order (EO) on the Safe, Secure and Trustworthy Development of AI, several new announcements related to the EO. The Department’s National Institute of Standards and Technology (NIST) has released four draft publications intended to help improve the safety, security and trustworthiness of artificial intelligence (AI) systems. NIST has also launched a challenge series that will support development of methods to distinguish between content produced by humans and content produced by AI. In addition to NIST’s publications, Commerce’s U.S. Patent and Trademark Office (USPTO) is publishing a request for public comment (RFC) seeking feedback on how AI could affect evaluations of how the level of ordinary skills in the arts are made to determine if an invention is patentable under U.S. law, and earlier this year released guidance on the patentability of AI-assisted inventions. | 米商務省は本日、バイデン大統領令「AIの安全・安心・信頼ある開発に関する大統領令(EO)」から180日を迎え、EOに関連するいくつかの新たな発表を行った。同省の国立標準技術研究所(NIST)は、人工知能(AI)システムの安全性、セキュリティ、信頼性を改善することを目的とした4つのドラフト機構を発表した。NISTはまた、人間が作成したコンテンツとAIが作成したコンテンツを区別する手法の開発を支援するチャレンジシリーズを開始した。NISTの出版物に加え、米国特許商標庁(USPTO)は、発明が米国法の下で特許可能かどうかを判断するために、技術分野における通常の技能の水準がどのように評価されるかにAIがどのような影響を及ぼす可能性があるかについての意見を求める意見要求(RFC)を公表しており、今年初めにはAI支援発明の特許性に関するガイダンスを発表した。 |
| “In the six months since President Biden enacted his historic Executive Order on AI, the Commerce Department has been working hard to research and develop the guidance needed to safely harness the potential of AI, while minimizing the risks associated with it,” said U.S. Secretary of Commerce Gina Raimondo. “The announcements we are making today show our commitment to transparency and feedback from all stakeholders and the tremendous progress we have made in a short amount of time. With these resources and the previous work on AI from the Department, we are continuing to support responsible innovation in AI and America’s technological leadership.” | 「バイデン大統領がAIに関する歴史的な大統領令を制定してから6ヶ月間、商務省は、AIに関連するリスクを最小限に抑えつつ、AIの可能性を安全に活用するために必要なガイダンスを研究・開発するために尽力してきた。「本日発表する内容は、すべての利害関係者からの透明性とフィードバックに対する我々のコミットメントを示すものであり、我々が短期間で多大な進歩を遂げたことを示している。これらのリソースとNISTのAIに関するこれまでの取り組みにより、我々はAIの責任あるイノベーションとアメリカの技術的リーダーシップを引き続き支援していく。 |
| The NIST publications cover varied aspects of AI technology: The first two are guidance documents designed to help manage the risks of generative AI — the technology that enables chatbots and text-based image and video creation tools — and serve as companion resources to NIST’s AI Risk Management Framework (AI RMF) and Secure Software Development Framework (SSDF), respectively. A third NIST publication offers approaches for promoting transparency in digital content, which AI can alter; the fourth proposes a plan for developing global AI standards. These publications are initial drafts, which NIST is publishing now to solicit public feedback before submitting final versions later this year. | NISTの出版物はAI技術の様々な側面をカバーしている: 最初の2つは、生成的AI(チャットボットやテキストベースの画像・動画作成ツールを実現する技術)のリスクマネジメントを支援するためのガイダンス文書で、それぞれNISTのAIリスクマネジメントフレームワーク(AI RMF)とセキュアソフトウェア開発フレームワーク(SSDF)の関連資料となっている。3つ目のNIST出版物は、AIが改変する可能性のあるデジタルコンテンツの透明性を促進するためのアプローチを提案している。これらの出版物は初期ドラフトであり、NISTは今年後半に最終版を提出する前に、一般からの意見を求めるために現在公表している。 |
| “For all its potentially transformative benefits, generative AI also brings risks that are significantly different from those we see with traditional software,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. “These guidance documents will not only inform software creators about these unique risks, but also help them develop ways to mitigate the risks while supporting innovation.” | 「標準技術担当商務次官兼NISTディレクターのローリー・E・ロカシオ氏は、「生成的AIは、潜在的に変革的な利益をもたらす一方で、従来のソフトウェアとは大きく異なるリスクももたらす。「これらのガイダンス文書は、このようなユニークなリスクについてソフトウェア作成者に知らせるだけでなく、イノベーションを支援しながらリスクを軽減する方法を開発するのにも役立つ。 |
| USPTO is publishing an RFC seeking feedback on how AI could affect evaluations they make as they determine whether an invention is patentable under U.S. law. For example, the use of AI poses questions as to what qualifies as prior art and the assessment of the level of skill of a person having ordinary skill in the art. USPTO expects the responses to the RFC will help them evaluate the need for further guidance on these matters, aid in the development of any such guidance, and help inform USPTO’s work in the courts and in providing technical advice to Congress. | USPTOはRFCを発行し、発明が米国法の下で特許可能かどうかを判断する際に、AIがどのように評価に影響するかについてのフィードバックを求めている。例えば、AIの使用は、何が先行技術として適格か、当業者の技術レベルの評価について疑問を投げかける。USPTOは、RFCへの回答が、これらの事項に関する更なるガイダンスの必要性を評価し、そのようなガイダンスの策定を支援し、裁判所におけるUSPTOの活動や議会への技術的助言の提供に役立つことを期待している。 |
| “As AI assumes a larger role in innovation, we must encourage the responsible and safe use of AI to solve local and world problems and to develop the jobs and industries of the future, while ensuring AI does not derail the critical role IP plays in incentivizing human ingenuity and investment,” said Under Secretary of Commerce for Intellectual Property and Director of the USPTO Kathi Vidal. “This work builds on our inventorship guidance, which carefully set forth when the USPTO will issue a patent for AI-assisted innovations, and our continuing policy work at the intersection of AI and all forms of IP.” | 「AIが技術革新においてより大きな役割を担うようになるにつれ、我々は、地域や世界の問題を解決し、将来の雇用や産業を発展させるために、責任ある安全なAIの利用を奨励しなければならないが、同時に、AIが、人間の創意工夫や投資を奨励する上で知的財産が果たす重要な役割を阻害しないようにしなければならない。「この作業は、USPTOがAIによるイノベーションに対して特許を発行する時期を慎重に定めた発明者ガイダンスと、AIとあらゆる形態の知的財産が交差する場所での継続的な政策作業に基づくものである。 |
| More information on the announcements being made today can be found below. All four of the NIST publications are initial public drafts, and NIST is soliciting comments from the public on each by June 2, 2024. Instructions for submitting comments can be found in the respective publications. | 本日発表された内容の詳細は以下を参照のこと。NISTの4つの出版物はすべて初期の公開ドラフトであり、NISTはそれぞれについて2024年6月2日までに一般からのコメントを募集している。コメントの提出方法は、それぞれの出版物に記載されている。 |
| Mitigating the Risks of Generative AI | 生成的AIのリスク低減 |
| The AI RMF Generative AI Profile (NIST AI 600-1) can help organizations identify unique risks posed by generative AI and proposes actions for generative AI risk management that best aligns with their goals and priorities. Developed over the past year and drawing on input from the NIST generative AI public working group of more than 2,500 members, the guidance document is intended to be a companion resource for users of NIST’s AI RMF. The AI Profile guidance document centers on a list of 13 risks and more than 400 actions that developers can take to manage them | AI RMFの生成的AIプロファイル(NIST AI 600-1)は、組織が生成的AIがもたらす固有のリスクを特定し、その目標や優先事項に最も適した生成的AIのリスクマネジメントのための行動を提案するのに役立つ。このガイダンス文書は、2,500人以上のメンバーからなるNISTの生成的AIパブリックワーキンググループからのインプットを基に、過去1年間かけて作成されたもので、NISTのAI RMFのユーザー向けのリソースとなることを意図している。AIプロファイル・ガイダンス・ドキュメントは、13のリスクのリストと、それらを管理するために開発者が取ることのできる400以上のアクションを中心としている。 |
| The 13 risks include issues such as easier access to information related to chemical, biological, radiological or nuclear weapons; a lowered barrier to entry for hacking, malware, phishing, and other cybersecurity attacks; and the production of hate speech and toxic, denigrating or stereotyping content. Following the detailed descriptions of these 13 risks is a matrix of the 400 actions that developers can take to mitigate the risks. | 13のリスクには、化学兵器、生物兵器、放射線兵器、核兵器に関連する情報へのアクセスの容易化、ハッキング、マルウェア、フィッシング、その他のサイバーセキュリティ攻撃への参入障壁の低下、ヘイトスピーチや有害、中傷的、ステレオタイプなコンテンツの生成といった問題が含まれている。これら13のリスクの詳細な説明の後に、開発者がリスクを軽減するために取ることができる400の行動のマトリックスがある。 |
| Reducing Threats to the Data Used to Train AI Systems | AIシステムの訓練に使用されるデータへの脅威の軽減 |
| The second publication, Secure Software Development Practices for Generative AI and Dual-Use Foundation Models (NIST Special Publication (SP) 800-218A), is designed to be used alongside the SSDF (SP 800-218). While the SSDF is broadly concerned with securing the software’s lines of code, this companion resource expands the SSDF to help address concerns around malicious training data adversely affecting generative AI systems . |
2番目の刊行物である「生成的AIおよびデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス」(NIST特別刊行物(SP)800-218A)は、SSDF(SP800-218)と並行して使用されるように設計されている。SSDFは、ソフトウェアのコード行の安全性に広く関係しているが、この付随リソースは、悪意のあるトレーニングデータが生成的AIシステムに悪影響を与えるという懸念に対処するためにSSDFを拡張している。 |
| In addition to covering aspects of the training and use of AI systems, the new companion resource offers guidance on dealing with the training data and data collection process, including a matrix that identifies potential risk factors and strategies to address them. Among other recommendations, the document suggests analyzing training data for signs of poisoning, bias, homogeneity and tampering. | AIシステムの訓練と使用の側面をカバーすることに加え、新しいコンパニオンリソースは、潜在的なリスク要因とそれに対処するための戦略を特定するマトリックスを含む、訓練データとデータ収集プロセスへの対処に関するガイダンスを提供している。他の推奨事項の中でも、この文書では、データ・ポイズニング、バイアス、均質性、改ざんの兆候についてトレーニングデータを分析することを提案している。 |
| Reducing Synthetic Content Risks | 合成コンテンツのリスク低減 |
| Accompanying generative AI’s development has been the rise of “synthetic” content, which has been created or altered by AI. Offering technical approaches for promoting transparency in digital content is the goal of NIST’s new draft publication, Reducing Risks Posed by Synthetic Content (NIST AI 100-4). This publication informs, and is complementary to, a separate report on understanding the provenance and detection of synthetic content that AI EO Section 4.5(a) tasks NIST with providing to the White House. | 生成的AIの発展に伴い、AIによって作成または改変された「合成」コンテンツが増加している。デジタルコンテンツの透明性を促進するための技術的アプローチを提供することが、NISTの新しいドラフト出版物「合成コンテンツがもたらすリスクの低減」(NIST AI 100-4)の目的である。この出版物は、AI EO 4.5(a)項がNISTにホワイトハウスへのプロバイダを命じている、合成コンテンツの出所と検知の理解に関する別の報告書に情報を提供し、それを補完するものである。 |
| NIST AI 100-4 lays out methods for detecting, authenticating and labeling synthetic content, including digital watermarking and metadata recording, where information indicating the origin or history of content such as an image or sound recording is embedded in the content to assist in verifying its authenticity. The report does not focus only on the dangers of synthetic content; it is intended to reduce risks from synthetic content by understanding and applying technical approaches for improving the content’s transparency, based on use case and context. | NIST AI 100-4 は、電子透かしやメタデータの記録(画像や録音などのコンテンツの出所や履歴を示す情報をコンテンツに埋め込んで、その真正性を検証するのに役立てる)など、合成コンテンツの検出、本人認証、ラベリングの方法を示している。この報告書は、合成コンテンツの危険性だけに焦点を当てるのではなく、ユースケースやコンテクストに基づき、コンテンツの透明性を改善するための技術的アプローチを理解し、適用することで、合成コンテンツによるリスクを低減することを意図している。 |
| Global Engagement on AI Standards | AI標準に関するグローバルな取り組み |
| AI systems are transforming American society and around the world. A Plan for Global Engagement on AI Standards (NIST AI 100-5) is designed to drive the worldwide development and implementation of AI-related consensus standards, cooperation and coordination, and information sharing. | AIシステムはアメリカ社会と世界を変革しつつある。AI標準に関するグローバルな関与のための計画(NIST AI 100-5)は、AI関連のコンセンサス標準の世界的な開発・実施、協力・調整、情報共有を推進するためのものである。 |
| The draft invites feedback on areas and topics that may be urgent for AI standardization. Such topics, which are ready for standardization, include mechanisms for enhancing awareness of the origin of digital content, whether authentic or synthetic; and shared practices for testing, evaluation, verification and validation of AI systems. Other topics may require more scientific research and development to establish a foundational scientific understanding about critical components of the potential standard. | このドラフトでは、AIの標準化が急務と思われる分野やトピックについて意見を募集している。標準化の準備が整ったこのようなトピックには、本物か合成かを問わず、デジタルコンテンツの出所に関する認識を高める仕組みや、AIシステムのテスト、評価、検証、妥当性確認のための共有プラクティスなどが含まれる。その他のトピックについては、潜在的な標準の重要な構成要素に関する基礎的な科学的理解を確立するために、より科学的な研究開発が必要となる可能性がある。 |
| NIST GenAI | NIST GenAI |
| In addition to the four documents, NIST is also announcing NIST GenAI, a new program to evaluate and measure generative AI technologies. The program is part of NIST's response to the Executive Order, and its efforts will help inform the work of the U.S. AI Safety Institute at NIST. | 4つの文書に加え、NISTは生成的AI技術を評価・測定する新しいプログラム、NIST GenAIも発表している。このプログラムは大統領令に対するNISTの対応の一環であり、その機構はNISTの米国AI安全研究所の作業に情報を提供するのに役立つ。 |
| The NIST GenAI program will issue a series of challenge problems designed to evaluate and measure the capabilities and limitations of generative AI technologies. These evaluations will be used to identify strategies to promote information integrity and guide the safe and responsible use of digital content. One of the program’s goals is to help people determine whether a human or an AI produced a given text, image, video or audio recording. Registration opens in May for participation in the pilot evaluation, which will seek to understand how human-produced content differs from synthetic content. More information about the challenge and how to register can be found on the NIST GenAI website. | NISTのGenAIプログラムは、生成的AI技術の能力と限界を評価・測定するために設計された一連のチャレンジ問題を発行する。これらの評価は、情報の完全性を促進し、デジタルコンテンツの安全で責任ある利用を導くための戦略を特定するために使用される。このプログラムの目標のひとつは、与えられたテキスト、画像、ビデオ、オーディオ録音が、人間によって作られたのか、AIによって作られたのかを人々が判断できるようにすることである。パイロット評価への参加登録は5月に開始され、人間が制作したコンテンツと合成コンテンツとの違いを理解することを目指す。チャレンジの詳細と登録方法は、NIST GenAIのウェブサイトを参照のこと。 |
| USPTO RFC on Patentability | 特許性に関するUSPTO RFC |
| The full Federal Register Notice can be found HERE. Comments are due July 29, 2024. Please see the Federal Register Notice for instructions on submitting comments. | 連邦官報告示の全文はこちらを参照のこと。意見の提出期限は2024年7月29日である。意見の提出方法については、連邦官報告示を参照のこと。 |
| To incentivize, protect, and encourage investment in innovations made possible through the use of artificial intelligence (AI), and to provide the clarity to the public on the patentability of AI-assisted inventions, the USPTO has previously published guidance in the Federal Register. | 人工知能(AI)を利用したイノベーションへの投資を奨励し、保護し、奨励するため、また、AIを利用した発明の特許性を明確にするため、USPTOはこれまで連邦官報でガイダンスを発表してきた。 |
NISTの発表...
● NIST - ITL
・2024.04.29 Department of Commerce Announces New Actions to Implement President Biden’s Executive Order on AI
| Department of Commerce Announces New Actions to Implement President Biden’s Executive Order on AI | 商務省、AIに関するバイデン大統領の大統領令を実施するための新たな措置を発表 |
| Announcements include draft guidance documents, a draft plan for international standards, and a new measurement program opening for public comment. | ガイダンス文書ドラフト、国際標準化計画ドラフト、新しい測定プログラムのパブリックコメント募集などが発表された。 |
| The U.S. Department of Commerce announced today, following the 180-day mark since President Biden’s Executive Order (EO) on the Safe, Secure and Trustworthy Development of AI, several new announcements related to the EO. The department’s National Institute of Standards and Technology (NIST) has released four draft publications intended to help improve the safety, security and trustworthiness of artificial intelligence (AI) systems. NIST has also launched a challenge series that will support development of methods to distinguish between content produced by humans and content produced by AI. In addition to NIST’s publications, Commerce’s U.S. Patent and Trademark Office (USPTO) is publishing a request for public comment (RFC) seeking feedback on how AI could affect evaluations of how the level of ordinary skills in the arts are made to determine if an invention is patentable under U.S. law, and earlier this year released guidance on the patentability of AI-assisted inventions. | 米国商務省は本日、バイデン大統領令「AIの安全・安心・信頼ある開発に関する大統領令(EO)」から180日を経過したことを受け、EOに関連するいくつかの新たな発表を行った。同省の国立標準技術研究所(NIST)は、人工知能(AI)システムの安全性、セキュリティ、信頼性を改善することを目的とした4つのドラフト機構を発表した。NISTはまた、人間が作成したコンテンツとAIが作成したコンテンツを区別する手法の開発を支援するチャレンジシリーズを開始した。NISTの発表に加え、商務省の米国特許商標庁(USPTO)は、発明が米国法の下で特許可能かどうかを判断するために、技術分野における通常の技能の水準がどのように評価されるかにAIがどのような影響を及ぼす可能性があるかについての意見を求める意見要求(RFC)を発表しており、今年初めにはAI支援発明の特許性に関するガイダンスを発表した。 |
| “In the six months since President Biden enacted his historic Executive Order on AI, the Commerce Department has been working hard to research and develop the guidance needed to safely harness the potential of AI, while minimizing the risks associated with it,” said U.S. Secretary of Commerce Gina Raimondo. “The announcements we are making today show our commitment to transparency and feedback from all stakeholders and the tremendous progress we have made in a short amount of time. With these resources and the previous work on AI from the department, we are continuing to support responsible innovation in AI and America’s technological leadership.” | 「バイデン大統領がAIに関する歴史的な大統領令を制定してから6ヶ月間、商務省は、AIに関連するリスクを最小限に抑えつつ、AIの可能性を安全に活用するために必要なガイダンスの研究と開発に尽力してきた。「本日発表する内容は、すべての利害関係者からの透明性とフィードバックに対する我々のコミットメントを示すものであり、我々が短期間で多大な進歩を遂げたことを示している。これらのリソースと、同省のAIに関するこれまでの取り組みにより、我々はAIの責任あるイノベーションとアメリカの技術的リーダーシップを支援し続けている。" |
| The NIST publications cover varied aspects of AI technology: The first two are guidance documents designed to help manage the risks of generative AI — the technology that enables chatbots and text-based image and video creation tools — and serve as companion resources to NIST’s AI Risk Management Framework (AI RMF) and Secure Software Development Framework (SSDF), respectively. A third NIST publication offers approaches for promoting transparency in digital content, which AI can alter; the fourth proposes a plan for developing global AI standards. These publications are initial drafts, which NIST is publishing now to solicit public feedback before submitting final versions later this year. | NISTの出版物はAI技術の様々な側面をカバーしている: 最初の2つは、生成的AI(チャットボットやテキストベースの画像・動画作成ツールを可能にする技術)のリスクマネジメントを支援するためのガイダンス文書で、それぞれNISTのAIリスクマネジメントフレームワーク(AI RMF)とセキュアソフトウェア開発フレームワーク(SSDF)の関連資料となっている。3つ目のNIST出版物は、AIが改変する可能性のあるデジタルコンテンツの透明性を促進するためのアプローチを提案している。これらの出版物は初期ドラフトであり、NISTは今年後半に最終版を提出する前に、一般からの意見を募るために現在公表している。 |
| “For all its potentially transformative benefits, generative AI also brings risks that are significantly different from those we see with traditional software. These guidance documents will not only inform software creators about these unique risks, but also help them develop ways to mitigate the risks while supporting innovation.” —Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio | 「生成的AIは、その潜在的な利点のすべてにおいて、従来のソフトウェアとは大きく異なるリスクももたらす。これらのガイダンス文書は、ソフトウェア作成者にこれらのユニークなリスクについて知らせるだけでなく、イノベーションを支援しながらリスクを軽減する方法を開発する助けにもなる。」-標準技術担当商務次官兼NIST理事 ローリー・E・ロカシオ |
1. 生成的AIのリスク低減
・2024.04.29 [PDF] NIST AI 600-1 Initial Public Draft Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile
| NIST AI 600-1 Initial Public Draft Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile | NIST AI 600-1 初期公開ドラフト 人工知能リスクマネジメントフレームワーク: 生成的人工知能プロファイル |
| 1. Introduction. | 1. 序文 |
| 1.1. About this Profile | 1.1. このプロファイルについて |
| 2. Overview of Risks Unique to or Exacerbated by GAI | 2. GAI特有の、あるいはGAIによって悪化するリスクの概要 |
| ◦2.1. CBRN Information | ◦2.1. CBRN情報 |
| ◦2.2. Confabulation | ◦2.2. 混同 |
| ◦2.3. Dangerous or Violent Recommendations. | ◦2.3. 危険または暴力的な勧告。 |
| ◦2.4. Data Privacy | ◦2.4. データ・プライバシー |
| ◦2.5. Environmental | ◦2.5. 環境 ◦2.6. |
| ◦2.6. Human-Al Configuration | ◦2.6. 人間-アルコンフィギュレーション |
| ◦2.7. Information Integrity | ◦2.7. 情報の完全性 |
| ◦2.8. Information Security | ◦2.8. 情報セキュリティ |
| ◦2.9. Intellectual Property | ◦2.9. 知的財産 |
| ◦2.10. Obscene, Degrading, and/or Abusive Content | ◦2.10. わいせつ、品位低下、および/または虐待的なコンテンツ |
| ◦2.11. Toxicity, Bias, and Homogenization | ◦2.11. 毒性、バイアス、均質化 ◦2.12. |
| ◦2.12. Value Chain and Component Integration | ◦2.12. バリューチェーンとコンポーネントの統合 |
| 3. Actions to Manage GAI Risks | 3. GAIリスクをマネジメントするための行動 |
| Appendix A. Primary GAI Considerations | 附属書A. GAIに関する主な考慮事項 |
| Appendix B. References | 附属書B. 参考文献 |
2. AIシステムの訓練に使用されるデータへの脅威の軽減
| NIST SP 800-218A (Initial Public Draft) Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile | NIST SP 800-218A(初期公開ドラフト) 生成的 AI とデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス: SSDFコミュニティプロファイル |
| Announcement | 発表 |
| This publication augments the secure software development practices and tasks defined in SP 800-218, Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities. SP 800-218A adds practices, tasks, recommendations, considerations, notes, and informative references that are specific to AI model development throughout the software development life cycle. | 本書は、SP 800-218「セキュアソフトウェア開発フレームワーク(SSDF)バージョン 1.1」で定義されたセキュアソフトウェア開発の実践とタスクを補強するものである: ソフトウェアの脆弱性リスクを低減するための推奨事項である。SP 800-218A は、ソフトウェア開発ライフサイクル全体を通して、AI モデル開発に特化した実践、タスク、推奨、考慮事項、注記、および参考文献を追加している。 |
| These additions are documented in the form of an SSDF Community Profile to support Executive Order (EO) 14110, Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence, which tasked NIST with “developing a companion resource to the [SSDF] to incorporate secure development practices for generative AI and for dual-use foundation models.” | これらの追加事項は、大統領令(EO)14110「人工知能の安全、確実、信頼できる開発と使用」をサポートするために、SSDFコミュニティ・プロファイルの形で文書化されている。このコミュニティ・プロファイルは、NISTに「生成的AIとデュアルユース基盤モデルのための安全な開発プラクティスを組み込むために、[SSDF]に付随するリソースを開発する」ことを課している。 |
| This Community Profile is intended to be useful to the producers of AI models, the producers of AI systems that use those models, and the acquirers of those AI systems. This Profile should be used in conjunction with SP 800-218. | このコミュニティ・プロファイルは、AI モデルの製作者、それらのモデルを使用する AI システムの製作者、およびそれらの AI システムの取得者にとって有用であることを意図している。このプロファイルは SP 800-218 と併せて使用されるべきである。 |
| Abstract | 概要 |
| This document augments the secure software development practices and tasks defined in Secure Software Development Framework (SSDF) version 1.1 by adding practices, tasks, recommendations, considerations, notes, and informative references that are specific to AI model development throughout the software development life cycle. These additions are documented in the form of an SSDF Community Profile to support Executive Order (EO) 14110, Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence, which tasked NIST with “developing a companion resource to the [SSDF] to incorporate secure development practices for generative AI and for dual-use foundation models.” This Community Profile is intended to be useful to the producers of AI models, the producers of AI systems that use those models, and the acquirers of those AI systems. This Profile should be used in conjunction with NIST Special Publication (SP) 800-218, Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities. | 本文書は、セキュアソフトウェア開発フレームワーク(SSDF)バージョン1.1で定義されたセキュアソフトウェア開発プラクティスとタスクを補強するものであり、ソフトウェア開発ライフサイクル全体を通してAIモデル開発に特化したプラクティス、タスク、推奨事項、考慮事項、注釈、参考文献を追加するものである。これらの追加事項は、大統領令(EO)14110「人工知能の安全、セキュア、かつ信頼できる開発と使用」をサポートするために、SSDFコミュニティ・プロファイルの形で文書化されている。このコミュニティ・プロファイルは、NISTに「生成的AIとデュアルユース基盤モデルのための安全な開発手法を取り入れた(SSDFの)付属リソースを開発する」ことを課している。このコミュニティ・プロファイルは、AI モデルの製作者、それらのモデルを使用する AI システムの製作者、およびそれらの AI システムの取得者にとって有用であることを意図している。このプロファイルは、NIST 特別刊行物(SP)800-218「安全なソフトウェア開発フレームワーク(SSDF)バージョン 1.1」と併せて使用されるべきである: ソフトウェアの脆弱性リスクを低減するための推奨事項" と併せて使用すること。 |
・[PDF] NIST.SP.800-218A.ipd
| Note to Reviewers | 査読者への注記 |
| NIST welcomes feedback on any part of this document but is particularly interested in the following: | NIST はこの文書のどの部分についてのフィードバックも歓迎するが、特に次の点に関心をもっている: |
| • The Profile suggests adding several practices and tasks to those defined in SSDF version 1.1. Are these additions reasonable? What other additions would help address secure development practices for generative AI and dual-use foundation models? | - このプロファイルは、SSDF version 1.1 で定義されたものに、いくつかの対策とタスクを追加することを提案している。これらの追加は妥当か?生成的 AI とデュアルユース基盤モデルのための安全な開発手法に対処するために、他にどのような追加事項が役立つか? |
| • What changes should be made to the Profile’s Recommendations, Considerations, and Notes column to help address secure software development practices for generative AI and dual-use foundation models? | ・生成的 AI とデュアルユース基盤モデルのための安全なソフトウェア開発手法に対処するために,プロファイルの「推奨事項」,「考慮事項」,「注意事項」欄にどのような変更を加えるべきか? |
| • What additional cybersecurity, privacy, and/or reproducibility considerations should be taken into account when selecting model training techniques (e.g., deterministic model training)? | ・モデル・トレーニング技術(例えば、決定論的モデル・トレーニング)を選択する際に、サイバーセキュリティ、プライバシー、および/または再現性について、どのような追加的な考慮が必要か? |
| • What suggestions do you have for Implementation Examples and additional Informative References for the Profile? | ・このプロファイルの実装例や追加的な参考文献についてどのような提案があるか? |
| • Is this Profile fully applicable to the secure development of other types of AI models besides generative and dual-use foundation models? If not, what changes could be made to the Profile to accommodate other AI models? | ・このプロファイルは生成的AIモデルや両用基礎モデル以外の他のタイプのAIモデルの安全な開発にも完全に適用できますか?もしそうでないなら,他の AI モデルに対応するためにこのプロファイルにどのような変更を加えることができるか。 |
| • Is this Profile flexible enough to support AI model producers, the producers of AI systems using those models, and the acquirers of those AI systems? | ・このプロファイルは,AIモデルの製作者,それらのモデルを使用するAIシステムの製作者,それらのAIシステムの取得者を支援するのに十分な柔軟性があるか。 |
| • What guidance, templates, or other resources on SSDF Community Profile use would you find beneficial? | ・ SSDF コミュニティ・プロファイルの使用に関して,どのようなガイダンス,テンプレート,またはその他のリソースが有益であると思われるか? |
| If you are from a standards developing organization (SDO) or another organization that is defining a set of secure practices for AI model development and you would like to map your standard or guidance to the SSDF profile, please contact the authors at ssdf@nist.gov. They will introduce you to the National Online Informative References Program (OLIR), where you can submit your mapping to augment the existing set of informative references. | もしあなたが標準開発組織(SDO)や、AIモデル開発のための一連の安全な実践方法を定義している他の組織の方で、その標準やガイダンスをSSDFプロファイルに対応させたいとお考えであれば、認可担当者(ssdf@nist.gov)までご連絡いただきたい。このプログラムでは、既存の参考文献を補強するためのマッピングを提出することができる。 |
目次...
| 1. Introduction. | 1. 序文 |
| 1.1. Purpose | 1.1. 目的 |
| 1.2. Scope | 1.2. 適用範囲 |
| 1.3. Sources of Expertise | 1.3. 専門家の情報源 |
| 1.4. Document Structure | 1.4. 文書の構成 |
| Using the SSDF Community Profile | SSDF コミュニティプロファイルの使用 |
| SSDF Community Profile for Al Model Development | Al モデル開発のための SSDF コミュニティプロファイル |
| References | 参考文献 |
| Appendix A. Glossary | 附属書 A. 用語集 |
| List of Tables | 表のリスト |
| Table 1. SSDF Community Profile for Al Model Development | 表1. Al モデル開発のための SSDF コミュニティプロファイル |
3. 合成コンテンツのリスク低減
目次...
| NIST AI 100-4 DRAFT FOR PUBLIC COMMENT Reducing Risks Posed by Synthetic Content An Overview of Technical Approaches to Digital Content Transparency | NIST AI 100-4 パブリックコメント用ドラフト 合成コンテンツがもたらすリスクの低減 デジタルコンテンツの透明性に関する技術的アプローチの概要 |
| 1. Summary | 1. 概要 |
| 2. Harms and Risks from Synthetic Content | 2. 合成コンテンツによる危害とリスク |
| 3. Current Approaches, Issues, and Opportunities | 3. 現在のアプローチ、課題、機会 |
| 3.1. Provenance Data Tracking | 3.1. 証明データの追跡 |
| 3.1.1. Digital Watermarking | 3.1.1. 電子透かし |
| 3.1.2. Metadata Recording | 3.1.2. メタデータの記録 |
| 3.1.3. Effectiveness of Provenance Data Tracking Techniques Across Different Types of Content | 3.1.3. 様々な種類のコンテンツにおける証明データ追跡技術の有効性 |
| 3.1.4. Synthetic Content Detection | 3.1.4. 合成コンテンツの検知 |
| 4. Testing and Evaluating Provenance Data Tracking and Synthetic Content Detection Techniques | 4. プロバンスデータ追跡と合成コンテンツ検知技術のテストと評価 |
| 4.1. Testing and Evaluating Provenance Data Tracking Techniques | 4.1. 実証データ追跡技術のテストと評価 |
| 4.1.1. Testing and Evaluating Digital Watermarking Techniques | 4.1.1. 電子透かし技術のテストと評価 |
| 4.1.2. Testing and Evaluating Metadata Recording Techniques | 4.1.2. メタデータ記録技術のテストと評価 |
| 4.2. Testing and Evaluating Synthetic Content Detection Techniques | 4.2. 合成コンテンツ検知技術のテストと評価 |
| 4.2.1. Testing and Evaluating Automated Content-Based Detection Techniques | 4.2.1. 自動コンテンツ検知技術のテストと評価 |
| 4.2.2. Testing and Evaluating Provenance Detection Techniques | 4.2.2. プロベナンス検知技術のテストと評価 |
| 4.2.3. Testing and Evaluating Human-Assisted Detection Techniques | 4.2.3. 人間支援検知技術のテストと評価 |
| 4.3. Additional Issues for Consideration | 4.3. その他の検討課題 |
| 5. Preventing and Reducing Harms from Synthetic Child Sexual Abuse Material and Non-Consensual Intimate Imagery | 5. 合成児童性的虐待素材および非合意的親密画像による被害の防止と軽減 |
| 5.1. Current Technical Mitigations to Prevent and Reduce Harms from Synthetic CSAM and NCIl | 5.1. 合成 CSAM および NCIl による危害を防止・低減するための現在の技術的低減策 |
| 5.1.1. Training Data Filtering | 5.1.1. 訓練データのフィルタリング |
| 5.1.2. Input Data Filtering | 5.1.2. 入力データのフィルタリング |
| 5.1.3. Image Output Filtering | 5.1.3. 画像出力フィルタリング |
| 5.1.4. Hashing Confirmed Synthetic CSAM and NCII | 5.1.4. 合成CSAMとNCIIのハッシュ化確認 |
| 5.1.5. Provenance Data Tracking Techniques for Synthetic CSAM and NCII | 5.1.5. 合成CSAMとNCIIの証明データ追跡技術 |
| 5.1.6. Red-Teaming and Testing for CSAM and NCII | 5.1.6. CSAMとNCIIのレッドチームとテスト |
| 6. Application of Concepts to the NIST Al Risk Management Framework Lifecycle | 6. NIST Alリスクマネジメントフレームワークライフサイクルへの概念の適用 |
| 7. Conclusion | 7. 結論 |
| 8. Bibliography | 8. 参考文献 |
| Appendix A. Current Standards | 附属書 A. 現行標準 |
| Appendix B. Technical Tools | 附属書B. テクニカルツール |
| Appendix C. Provenance Data Tracking | 附属書C. 証拠データの追跡 |
| Appendix D. Synthetic Content Detection | 附属書D. 合成コンテンツの検知 |
| Appendix E. Testing and Evaluation | 附属書E. テストと評価 |
| Appendix F. Glossary | 附属書F. 用語集 |
4. AI標準に関するグローバルな取り組み
・2024.04.29 [PDF] NIST AI 100-5 Draft for public comment A Plan for Global Engagement on AI Standards
| NIST AI 100-5 Draft for public comment A Plan for Global Engagement on AI Standards | NIST AI 100-5 パブリックコメント用ドラフト AI標準に関するグローバルな関与のための計画 |
| 1. Executive Summary | 1. エグゼクティブサマリー |
| 2. Introduction | 2. 序文 |
| 3. Objectives for Engagement on Al Standards | 3. 標準に関するエンゲージメントの目的 |
| 3.1. Scientifically sound Al standards that are accessible and amenable to adoption | 3.1. 科学的に健全で、アクセスしやすく、採用しやすいAl標準。 |
| 3.2. Al standards that reflect the needs and inputs of diverse global stakeholders | 3.2. 世界の多様な利害関係者のニーズと意見を反映した標準。 |
| 3.3. Al standards that are developed in a process that is open, transparent, and driven by consensus | 3.3. オープンで透明性が高く、コンセンサスによって推進されるプロセスで開発される標準。 |
| 3.4. International relationships that are strengthened by engagement on Al standards | 3.4. 標準への関与によって強化される国際関係 |
| 4. Priority Topics for Standardization Work | 4. 標準化作業の優先課題 |
| 4.1. Urgently needed and ready for standardization | 4.1. 緊急に必要とされ、標準化の準備が整っているもの |
| 4.2. Needed, but requiring more scientific work before standardization | 4.2. 標準化は必要だが、標準化の前にさらに科学的な作業が必要である。 |
| 4.3. Needed, but requiring significant foundational work | 4.3. 必要であるが、重要な基礎作業が必要である |
| 5. Recommended Global Engagement Activities | 5. 推奨されるグローバル関与活動 |
| 5.1. Prioritize engagement in SDOs, including research and related technical activities | 5.1. 研究および関連する技術活動を含め、SDOへの参加を優先する。 |
| 5.2. Facilitate diverse multistakeholder engagement in Al standards development | 5.2. Al 規格開発における多様なマルチステークホルダーの関与を促進する。 |
| 5.3. Promote global alignment on Al standards approaches | 5.3. Al 規格のアプローチに関するグローバルな連携を促進する。 |
| Appendix A. Standards in Relation to Al | 附属書 A. Alに関連する標準 |
| A.1. What are standards and why are they important? | A.1. 標準とは何か、なぜ重要なのか? |
| A.2. How are standards developed? | A.2. 標準はどのように開発されるのか? |
| A.3. How do Al standards differ from other technical standards? | A.3. Alの標準は、他の技術標準とどのように違うのか? |
| Appendix B. The Current Landscape of Al Standardization | 附属書B. Al標準化の現状 |
| B.1. Horizontal standards: SDOs and topics | B.1. 水平標準: SDO とトピック |
| B.2. Participation in Al standards development | B.2. Al 規格開発への参加 |
こちらも...
人工知能の普及が先行技術、当該技術分野における通常の知識を有する者の知識、およびこれらを考慮した特許性の判断に与える影響に関する意見要求...
その際には、参考に...
AI支援発明の発明者ガイダンス
・2024.02.13 Inventorship Guidance for AI-Assisted Inventions
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.04.01 米国 財務省 金融サービスセクターにおける人工知能特有のサイバーセキュリティ・リスクの管理
・2024.03.31 米国 連邦政府機関の人工知能利用におけるガバナンス、イノベーション、リスク管理を推進するためのOMBの方針
・2024.03.28 米国 国防総省 国防高等研究計画局(DARPA)の重要な目標は、国防総省にとって信頼できる人工知能を開発することである。
・2024.03.02 米国 連邦金融機関審査委員会(FFIEC) 住宅ローンにおける評価の差別とバイアスに関連する審査原則に関する声明 (2024.02.12)
・2024.02.17 米国 NIST 「非倫理的な被験者研究における過去の過ちを避ける: 人工知能の原理から実践への移行」
・2024.02.13 米国 AI安全研究所を設立
・2024.01.31 米国 ホワイトハウス 主要なAI行動を発表
・2024.01.28 AI使用に関する国際ガイダンス
・2024.01.28 米国 ニューヨーク州 金融サービス局 意見募集 保険引受と価格設定における人工知能システムと外部消費者データおよび情報源の利用に関する通達案 (2024.01.17)
・2023.12.15 連邦政府テクノロジー・リーダーがOMBのAI政策ドラフトについて知っておくべきことトップ10
・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令
こんにちは、丸山満彦です。
製造業にとってサイバーに関連するリスクとして大きなものは、事業継続が重要となりますね。。。フィジカルな脅威に対する備えはできていても、DX等に進捗により、サイバーに関連する脅威への備えが十分にできていないかもしれません。
もちろん、攻撃をうけても防ぐのが重要なのですが、そうはいかないのは現実を見ればわかるわけですので、侵入されてしてまっても、いかに事業を止めないか、止まっても早期に回復させるかというレジリエンスが重要となってきますね...
そのためには、まずは、
・レジリエンスの優先順位をちゃんとつけて、意識を高めることが重要となりますね。。。そして、
・設計段階からレジリエンスが高まる設計にし、
・エコシステム全体を関与させていく
ことが重要といっていますね。。。
このWEFの報告書は、ケース(日本企業はないですが...)もたくさんあり、参考になるところはあると思います。
原則...
| FIGURE 7 Guiding principles to build a cyber resilience culture in manufacturing | 図 7 製造業におけるサイバーレジリエンス文化を構築するための指導原則 |
| Make cyber resilience a business imperative: | サイバーレジリエンスをビジネス上の必須要件とする: |
| Embed cyber resilience into the organizational DNA, from leadership to shop floor. | サイバーレジリエンスを、リーダーシップから製造現場に至るまで、組織の DNA に組み込む。 |
| – Lead from the top | ・トップが主導する |
| – Establish cybersecurity governance | ・サイバーセキュリティガバナンスを確立する。 |
| – Secure budget and resources | ・予算とリソースを確保する |
| – Create incentives | ・インセンティブを創出する |
| Drive cyber resilience by design: | 設計によってサイバーレジリエンスを推進する: |
| Integrate cybersecurity into every process and asset to foster a cyber-resilient environment. | サイバーセキュリティをあらゆるプロセスや資産に組み込んで、サイバーレジリエンス環境を醸成する。 |
| – Invest in education and training | ・教育とトレーニングに投資する |
| – Include cybersecurity in critical business processes | ・重要なビジネスプロセスにサイバーセキュリティを組み込む |
| – Continuously improve operational assets | ・運用資産を継続的に改善する。 |
| – Prepare to respond to and recover from any cyber incident | ・あらゆるサイバーインシデントへの対応と復旧に備える。 |
| Engage and manage the ecosystem: | エコシステムに関与し、管理する: |
| Engage with the ecosystem to build trusted partnerships, manage risks and raise security awareness | エコシステムと連携して、信頼できるパートナーシップを構築し、リスクをマネジメントし、セキュリティ意識を高める。 |
| – Identify key stakeholders | ・主要な利害関係者を識別する |
| – Establish cybersecurity baselines | ・サイバーセキュリティのベースラインを確立する |
| – Ensure consistent oversight | ・一貫した監視を確保する |
| – Keep learning | ・学習を継続する |
● World Economic Forum - Whitepaper
・2024.04.29 Building a Culture of Cyber Resilience in Manufacturing
| Building a Culture of Cyber Resilience in Manufacturing | 製造業におけるサイバーレジリエンス文化の構築 |
| This playbook outlines three guiding principles to support manufacturing and supply chain leaders in establishing a culture of cyber resilience throughout their organizations. Over the past decade, manufacturing has been experiencing a swift digital transformation, which is fuelling growth, efficiency and profitability. This trend has also, however, exposed the sector to a wide range of cyberthreats, such that manufacturing has become one of the sectors most targeted by cyberattacks. | このプレイブックは、製造業とサプライチェーンのリーダーが組織全体でサイバーレジリエンスの文化を確立するのを支援するための3つの指針を概説している。過去 10 年間、製造事業者は急速なデジタル変革を経験し、成長、効率性、収益性を促進してきた。しかし、この傾向は、製造事業者を広範なサイバー脅威にさらすことにもなり、製造業はサイバー攻撃から最も狙われる部門の1つとなっている。 |
| This playbook outlines three guiding principles to support manufacturing and supply chain leaders in establishing a culture of cyber resilience throughout their organizations. Over the past decade, manufacturing has been experiencing a swift digital transformation, which is fuelling growth, efficiency and profitability. This trend has also, however, exposed the sector to a wide range of cyberthreats, such that manufacturing has become one of the sectors most targeted by cyberattacks. | このプレイブックでは、製造業とサプライチェーンのリーダーが組織全体でサイバーレジリエンスの文化を確立するのを支援するための 3 つの指針を概説する。過去 10 年間、製造事業者は急速なデジタル変革を経験し、成長性、効率性、収益性を高めてきた。しかし、このトレンドは、製造事業者を広範なサイバー脅威にさらしており、製造業はサイバー攻撃に最も狙われる分野の1つとなっている。 |
| As digitalization progresses, the manufacturing sector must prioritize building a robust cyber resilience culture to navigate the growing cyberthreat landscape. To this end, the Centre for Cybersecurity and the Centre for Advanced Manufacturing and Supply Chains of the World Economic Forum convened a community of cyber leaders from across the manufacturing ecosystem to discuss key challenges and identify best practices. The community developed this playbook outlining three cyber resilience principles, supported by real-world manufacturing use cases to facilitate adoption and effective implementation. | デジタル化の進展に伴い、製造事業者は、拡大するサイバー脅威の状況を乗り切るために、強固なサイバーレジリエンス文化を構築することを優先しなければならない。このため、サイバーセキュリティセンターと世界経済フォーラムの先進製造業・サプライチェーンセンターは、製造業のエコシステム全体からサイバーリーダーのコミュニティを招集し、主要な課題について議論し、ベストプラクティスを特定した。このコミュニティは、3 つのサイバーレジリエンスの原則を概説するこのプレイブックを作成し、実際の製造業のユースケースに裏付けされ、導入と効果的な実施を促進した。 |
・[PDF]
目次...
| Contents | 目次 |
| Executive summary | エグゼクティブサマリー |
| 1 Prioritizing cyber resilience in manufacturing | 1 製造業におけるサイバーレジリエンスの優先順位付け |
| 1.1 Why cyber resilience is vital for manufacturing | 1.1 製造業にとってサイバーレジリエンスが不可欠な理由 |
| 1.2 The main cyber risks in manufacturing | 1.2 製造業における主なサイバーリスク |
| 1.3 The global impact of cyberattacks | 1.3 サイバー攻撃が世界に与える影響 |
| 2 Towards a cyber resilient manufacturing sector: Uncovering the challenges | 2 サイバーレジリエンスを備えた製造業を目指して: 課題を明らかにする |
| 2.1 Divergent cultures and resources | 2.1 文化とリソースの相違 |
| 2.2 Increased connectivity and legacy systems | 2.2 接続性の向上とレガシーシステム |
| 2.3 Operational sensitivity to downtime and extended ecosystem dependencies | 2.3 ダウンタイムやエコシステム依存の拡大に対する運用上の感度 |
| 2.4 Strategic alignment with business priorities | 2.4 ビジネス優先事項との戦略的整合性 |
| 2.5 Widespread and complex regulatory landscape | 2.5 広範かつ複雑な規制環境 |
| 3 Guiding principles | 3 指針となる原則 |
| 3.1 Make cyber resilience a business imperative | 3.1 サイバーレジリエンスをビジネス上の必須要件とする。 |
| 3.2 Drive cyber resilience by design | 3.2 設計によってサイバーレジリエンスを推進する |
| 3.3 Engage and manage the ecosystem | 3.3 エコシステムを関与させ、管理する |
| Conclusion | 結論 |
| Contributors | 貢献者 |
| Methodology | 方法論 |
| Endnotes | 注釈 |
エグゼクティブサマリー...
| Executive summary | エグゼクティブサマリー |
| The manufacturing sector operates within a complex ecosystem, characterized by a variety of sites, extensive supply chains and interlinked networks. This ecosystem relies on a multitude of suppliers, vendors and partners. | 製造事業者は、さまざまな事業所、広範なサプライチェーン、相互にリンクしたネットワークを特徴とする複雑なエコシステムの中で事業を行っている。このエコシステムは、多数のサプライヤー、ベンダー、パートナーに依存している。 |
| Over the past decade, manufacturing has been experiencing a swift digital transformation, which is fuelling growth, efficiency and profitability. This trend has also exposed the sector to a wide range of cyberthreats, making it the most targeted by cyberattacks – over the past three years, the manufacturing sector has accounted for one in four of all cyber incidents. | 過去10年間、製造事業者は急速なデジタル変革を経験し、成長、効率性、収益性に拍車をかけている。この傾向はまた、製造業を広範なサイバー脅威にさらし、サイバー攻撃から最も狙われるセクターにしており、過去3年間で、製造業は全サイバーインシデントの4件に1件を占めている。 |
| At the 2023 Annual Meeting of the World Economic Forum in Davos, business leaders highlighted the need to address cybersecurity risks for manufacturing at the ecosystem level, thus kickstarting the Cyber Resilience in Manufacturing initiative. Led by the Centre for Cybersecurity and the Centre for Advanced Manufacturing and Supply Chains at the Forum, this initiative has brought together more than 30 representatives from across the manufacturing ecosystem. The aim is to develop actionable guidance on how to develop a culture of cyber resilience. | ダボスで開催された世界経済フォーラムの2023年年次総会で、ビジネスリーダーは製造業のサイバーセキュリティ・リスクにエコシステム・レベルで対処する必要性を強調し、製造業におけるサイバー・レジリエンス・イニシアチブを開始した。同フォーラムのサイバーセキュリティセンターと先進製造・サプライチェーンセンターが主導するこのイニシアティブには、製造エコシステム全体から30人以上の代表者が集まった。その目的は、サイバーレジリエンスの文化を発展させる方法について、実行可能なガイダンスを作成することである。 |
| Through extensive research and consultations with industry leaders as well as standard-setting and regulatory bodies, the Cyber Resilience in Manufacturing initiative has previously underscored the five primary challenges for developing a culture of cyber resilience in the manufacturing ecosystem. In response to these, the initiative has also formulated three guiding principles to support manufacturing and supply chain leaders in establishing a pervasive strategy for developing a cyber resilience culture throughout their organizations: | 製造業におけるサイバーレジリエンス・イニシアチブは、広範な調査と業界リーダー、標準設定団体、規制団体との協議を通じて、製造業エコシステムにおけるサイバーレジリエンス文化を発展させるための5つの主要な課題を明らかにした。また、これらに対応するため、このイニシアティブは、製造業とサプライチェーンのリーダーが組織全体にサイバーレジリエンス文化を浸透させるための戦略を確立するのを支援するための 3 つの指針を策定した: |
| 1. Make cyber resilience a business priority: Embed cyber resilience in the organization’s DNA or foundational structure, from the leadership to the shop floor. | 1. サイバーレジリエンスをビジネスの優先事項とする: 1. サイバーレジリエンスをビジネス上の優先事項とする:リーダーシップから現場に至るまで、組織の DNA や基盤構造にサイバーレジリエンスを組み込む。 |
| 2. Drive cyber resilience by design: Integrate cybersecurity into people, processes and assets. | 2. 設計によってサイバーレジリエンスを推進する: サイバーセキュリティを人、プロセス、資産に統合する。 |
| 3. Engage and manage the ecosystem: Build trusted partnerships, manage third-party risks and raise security awareness by identifying the key stakeholders. | 3. エコシステムを関与させ、管理する: 主要な利害関係者を特定することで、信頼できるパートナーシップを構築し、サードパーティのリスクを管理し、セキュリティ意識を高める。 |
| These three principles are interlinked and mutually supportive – and are applicable across any manufacturing industry and location. Each principle is defined with additional guidance, contextualized with key considerations and complemented with real-world manufacturing use cases to facilitate adoption and effective implementation. | これら3つの原則は相互にリンクし、相互に支援し合うものであり、製造業や場所を問わず適用できる。各原則は、追加ガイダンスとともに定義され、重要な考慮事項とともに文脈化され、実際の製造事業者のユースケースとともに補完されることで、導入と効果的な実施が促進される。 |
| The playbook suggested in this paper serves as a pragmatic framework to enable businesses to navigate strategic, organizational, operational, technical and regulatory challenges – and will foster a robust culture of cyber resilience that can effectively counteract both current and future threats. | 本稿で提案するプレイブックは、企業が戦略的、組織的、運用的、技術的、および規制的な課題を乗り 越えるための実用的なフレームワークとして機能するものであり、現在と将来の脅威の両方に効果 的に対抗できる強固なサイバーレジリエンス文化を醸成するものである。 |
本文の仮対訳は ↓ ↓
こんにちは、丸山満彦です。
英国では、幅広い企業を対象にサイバーセキュリティが一定の水準以上にあることを自主宣言する (Cyber Essential; CE) と、第三者にそれを認証してもらう (Cyber Essential Plus; CE+)、を取得するサイバーエッセンシャルズ [wikipedia]というのを2014.10から始めています(2022.10に大幅変更)が、
2023.01-2023.12までの1年間の、
CEの発行数が30,404、
CE+の発行数が9,672
になっていますね...(CE+を取得すると自動的にCEも付与されるので、CEの発行数の中にはCE+も含まれています...)
2023.01-2023.12までのCE、CE+,の発行数の規模別割合は次のようになっていますね。。。
| Organisation size | number of employees working in that organisation across the UK | CE | CE+ | ||
| Large | 250 or more | 3,148 | 10% | 1,418 | 15% |
| Medium | 50 to 250 | 6,193 | 20% | 2,115 | 22% |
| Small | 10 to 49 | 10,522 | 35% | 2,818 | 29% |
| Micro | up to 10 | 10,541 | 35% | 3,321 | 34% |
| Total | 30,404 | 100% | 9,672 | 100% | |
| % | 100% | 32% | |||
日本でも類似の制度を考える際のベンチマークになるかもしれませんね...
● GOV.UK
サイバーエッセンシャルズ
データ
・Statistical data set - Cyber Essentials management information
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.08.17 英国 国家サイバー戦略 2022 の進捗報告 (2022-2023)
・2023.07.13 英国 小規模企業のサイバーセキュリティをサポート:サイバーアドバイザリー制度 (2023.04.17)
・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)
・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15
・2020.10.11 UK National Cyber Security Centreがスモールビジネス向けサイバーセキュリティガイド改訂版を公開していますね。。。(Cyber Essentials認定も意識して
こんにちは、丸山満彦です。
中国の国家情報セキュリティ標準化技術委員会 (TC260) が「サイバーセキュリティ運⽤・保守実施ガイド」の草案を公表し、意見募集をしていますね。。。
情報セキュリティ管理部門、CISRT関連の方は目を通していてもよいかもですね...(中国語なんですが...)
非常に網羅的にまとまっているように思いました。中国の標準って、ISOやITUを参照しているのは当然として、意外とNISTとかも参照していたりするんですよね...
で、このガイドは、MITREのATT&CKも参照してたりしています。。。
・2024.04.15 关于国家标准《网络安全技术 网络安全运维实施指南》征求意见稿征求意见的通知
意見募集案...
・[PDF] 网络安全技术 网络安全运维实施指南-标准文本
CSIRT構築といえば、
● JPCERT/CC
・2021.11.30 CSIRTマテリアル
・2021.11.30 [PDF] CSIRTガイド
● 日本シーサート協議会 (Nippon CISRT Association; NCA)
・[PDF] What's CSIRT? ~CSIRTのススメ~
・ 2011.08.01 [PDF] CSIRTスタータキット Ver2.0
・2023.04.26 中小企業のためのセキュリティインシデント対応の手引き
こんにちは、丸山満彦です。
ドイツの連邦情報セキュリティ局 (BSI) が、人工知能(AI)が現在のサイバー脅威の状況にどのような影響を与えているかを分析した報告書を公表していますね...
生成的AIなら、あちこちですでに言われていますが、フィッシングメール文、悪意のあるコード生成といったところが得意分野でしょうかね...これからは、AIを使ったサイバー攻撃の自動化でしょうかね...
今年初めに英国でも似た報告書を公表して、このブログでも取り上げていますね...
● Bundesamt für Sicherheit in der Informationstechnik; BSI
・2024.04.30 BSI-Untersuchung: Wie KI die Cyberbedrohungslandschaft verändert
| BSI-Untersuchung: Wie KI die Cyberbedrohungslandschaft verändert | BSI調査:AIがサイバー脅威の状況をどのように変えているか |
| In einem aktuellen Forschungsbeitrag hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) untersucht, wie sich Künstliche Intelligenz (KI) auf die aktuelle Cyberbedrohungslage auswirkt. Die Untersuchung beleuchtet, wie sich Cyberangriffe durch die neu verfügbare Technologie verändern. Dazu identifiziert der Bericht KI-gestützte Anwendungen, die bereits heute für den offensiven Einsatz zugänglich sind und bewertet, wie sich diese Bedrohungen in naher Zukunft entwickeln könnten. | ドイツ連邦情報セキュリティ局(BSI)は最近の研究論文で、人工知能(AI)が現在のサイバー脅威の状況にどのような影響を与えているかを分析した。この研究は、新たに利用可能になった技術の結果としてサイバー攻撃がどのように変化しているかに光を当てている。この目的のため、報告書は、今日すでに攻撃的な用途で利用可能なAI支援アプリケーションを特定し、これらの脅威が近い将来どのように発展するかを評価している。 |
| So genannte generative KI, insbesondere große Sprachmodelle, senkt die Einstiegshürden für Cyberangriffe und erhöht Umfang, Geschwindigkeit und Schlagkraft schadhafter Handlungen im digitalen Raum. Neben allgemeinen Produktivitätsgewinnen für böswillige Akteure stellt das BSI derzeit eine maligne Nutzung vor allem im Bereich des Social Engineering und bei der Generierung von Schadcode fest. | いわゆる生成的AI、特に大規模な言語モデルは、サイバー攻撃への参入障壁を低くし、デジタル空間における悪意ある活動の範囲、スピード、影響力を増大させる。悪意のある行為者の一般的な生産性向上に加え、BSIは現在、特にソーシャルエンジニアリングと悪意のあるコードの生成の分野で悪意のある利用を目にしている。 |
| KI ermöglicht es Angreifenden mit geringsten Fremdsprachenkenntnissen, qualitativ hochwertige Phishing-Nachrichten zu erstellen: Herkömmliche Methoden zur Erkennung betrügerischer Nachrichten wie die Prüfung auf Rechtschreibfehler und unkonventionellen Sprachgebrauch reichen zur Erkennung von Phishing-Angriffen damit nicht mehr aus. | AIによって、外国語の知識がほとんどない攻撃者でも高品質のフィッシング・メッセージを作成できるようになった: そのため、スペルミスや型にはまった言葉の使い方をチェックするといった従来の不正メッセージの認識方法では、フィッシング攻撃を検知するにはもはや十分ではない。 |
| Einen Schritt weiter als die Unterstützung von Cyberangriffen, die durch Menschen ausgeführt werden, geht die Erstellung von Malware durch KI: Große Sprachmodelle sind bereits heute in der Lage, einfachen Schadcode zu schreiben. Darüber hinaus existieren erste Proofs of Concept, nach denen KI für die automatische Generierung und Mutation von Malware eingesetzt werden kann. Allerdings sind bösartige KI-Agenten, die vollkommen eigenständig IT-Infrastrukturen kompromittieren können – also Künstliche Intelligenz, die zur vollständigen Angriffsautomatisierung führt – aktuell nicht verfügbar und werden mit hoher Wahrscheinlichkeit auch in naher Zukunft nicht verfügbar sein. Allerdings ist KI bereits heute in der Lage, Teile eines Cyberangriffs zu automatisieren. | AIによるマルウェアの作成は、人間によるサイバー攻撃をサポートするよりも一歩進んでいる。大規模な言語モデルはすでに単純な悪意のあるコードを書くことができる。さらに、マルウェアの自動生成と変異にAIを利用できるという最初の概念実証も存在する。しかし、完全に独立してITインフラを侵害できる悪意のあるAIエージェント、すなわち完全な攻撃の自動化につながる人工知能は、現在のところ利用できないし、近い将来利用できるようになる可能性も極めて低い。しかし、AIはすでにサイバー攻撃の一部を自動化することができる。 |
| BSI-Präsidentin Claudia Plattner: „Bei unserer derzeitigen Bewertung der Auswirkungen von KI auf die Cyberbedrohungslandschaft gehen wir davon aus, dass es in naher Zukunft keine bedeutenden Durchbrüche bei der Entwicklung von KI, insbesondere von großen Sprachmodellen, geben wird. Als Cybersicherheitsbehörde des Bundes sind und bleiben wir am Puls der Forschung und raten insbesondere Unternehmen und Organisationen dazu, Cybersicherheit höchste Priorität einzuräumen. Es wird für uns alle darauf ankommen, mit den Angreifenden Schritt zu halten, also die Geschwindigkeit und den Umfang der Abwehrmaßnahmen zu erhöhen: indem wir schneller patchen, unsere IT-Systeme härten und nahende Angriffe noch früher als bisher erkennen. Dabei hilft KI uns heute schon. Insbesondere für Open-Source-Projekte wird es von entscheidender Bedeutung sein, KI-Tools proaktiv zu nutzen, bevor böswillige Akteure dies tun. Des weiteren ist es mit Blick auf den Fachkräftemangel maßgeblich, dass Wirtschaft, Wissenschaft und Politik ihre Kompetenzen bündeln – über Landes- und Ländergrenzen hinweg.“ | BSIのクラウディア・プラットナー会長:「サイバー脅威の状況に対するAIの影響に関する我々の現在の評価では、近い将来、AI、特に大規模な言語モデルの開発に大きなブレークスルーはないと想定している。連邦政府のサイバーセキュリティ当局として、我々は今後も研究の動向を注視し、特に企業や組織がサイバーセキュリティを最優先事項とするよう助言していく。攻撃者と歩調を合わせること、すなわち、より早くパッチを当て、ITシステムを強化し、差し迫った攻撃を以前よりも早く検知することによって、防御策のスピードと範囲を拡大することは、我々全員にとって重要である。AIは、今日すでにその手助けをしてくれている。特にオープンソース・プロジェクトでは、悪意ある行為者より先にAIツールを積極的に活用することが重要になるだろう。さらに、熟練労働者の不足を考慮すると、ビジネス、科学、政治が、国や国境を越えて、それぞれの専門知識を結集することが極めて重要である。 |
| Auch Cyberverteidiger profitieren von allgemeinen Produktivitätssteigerungen durch den Einsatz von KI – z. B. bei der Codegenerierung, zur Analyse von Quellcode auf Schwachstellen, zur Detektion von Malware oder der Erstellung von Lagebildern. Wie Künstliche Intelligenz im Detail die Cyberabwehr unterstützen kann, wird die BSI-Untersuchung im Rahmen einer Fortschreibung thematisieren. In einer weiteren Untersuchung informiert das BSI über Chancen und Risiken generativer KI-Sprachmodelle für Industrie und Behörden. | サイバー擁護者はまた、AIの使用による生産性の一般的な向上から利益を得ている。例えば、コード生成、脆弱性のソースコード分析、マルウェアの検出、状況認識の作成などである。BSIの調査では、人工知能がサイバー防衛をどのようにサポートできるのか、アップデートの一環として詳しく取り上げる予定である。さらなる調査で、BSIは産業界と当局に対して、生成的AI言語モデルの機会とリスクに関する情報を提供する予定である。 |
・[PDF] Einfluss von KI auf die Cyberbedrohungslandschaft
| Einfluss von KI auf die Cyberbedrohungslandschaft | サイバー脅威の状況におけるAIの影響 |
| 1 Einleitung | 1 はじめに |
| Mit dem Aufkommen von Anwendungen, die auf großen Sprachmodellen (eng. „large language models“, LLM) basieren, ist KI auch in der Öffentlichkeit wieder ein viel diskutiertes Thema. Die Grenzen dieser neuen Modelle müssen noch erforscht werden und es ist unklar, welche bleibenden Veränderungen der aktuelle KITrend mit sich bringt. Zweifelsohne gibt es Bedenken hinsichtlich der Auswirkungen von KI auf die Cybersicherheit, da sie bereits jetzt die Cyberbedrohungslandschaft sowohl für Angreifer als auch für Verteidiger verändert. Wir untersuchen, wie sich Angriffe und Tätigkeiten von Angreifern durch die neu verfügbare Technologie verändern, wobei wir uns auf die offensive Nutzung von KI konzentrieren. Während generative KI bereits die Qualität und Quantität von Social-Engineering-Angriffen steigert (z. B. Deepfakes oder personalisiertes Phishing in großem Maße), fokussieren wir unsere Diskussion mehr auf technische Angriffsvektoren und weniger auf den menschlichen Faktor. Es sollte jedoch erwähnt werden, dass SocialEngineering-Angriffe zu den häufigsten Angriffen gehören und KI auf diese Art von Angriff starke Auswirkungen hat. | 大規模言語モデル(LLM)に基づくアプリケーションの出現により、AIは再び一般社会で話題となっている。これらの新しいモデルの限界はまだ解明されておらず、現在のAIのトレンドがどのような永続的な変化をもたらすかは不明である。AIがサイバーセキュリティに与える影響について懸念があるのは間違いない。なぜなら、AIはすでに攻撃者と防御者の双方にとってサイバー脅威の状況を変えつつあるからだ。新たに利用可能になった技術の結果、攻撃や攻撃者の活動がどのように変化しているのか、AIの攻撃的利用に焦点を当てて検証する。生成的AIはすでにソーシャル・エンジニアリング攻撃の質と量を高めているが(大規模なディープフェイクやパーソナライズされたフィッシングなど)、ここでは技術的な攻撃ベクトルに重点を置き、人的要因にはあまり触れない。しかし、ソーシャル・エンジニアリング攻撃は最も一般的な攻撃の一つであり、AIがこの種の攻撃に強い影響を与えていることは言及しておく。 |
| Konkret geht es uns nicht darum, alle Möglichkeiten in diesem weiten Feld zu erörtern. Ziel dieses Berichts ist es, KI-gestützte Anwendungen zu identifizieren, die bereits für den offensiven Einsatz verfügbar sind und zu bewerten, wie sich diese Bedrohungen in naher Zukunft entwickeln könnten. Dazu gehören auch Tools und Anwendungen mit doppeltem Verwendungszweck (sog. Dual-Use-Güter), wie z. B. Penetrationstests, die sowohl beim ethischen Red-Teaming als auch bei kriminellen Aktivitäten helfen können. Wir befassen uns auch mit den Sorgen hinsichtlich einer autonomen Hacker-KI, die gelegentlich in den Medien geäußert werden (1) (2). | 具体的には、この広範な分野におけるすべての可能性を議論することには興味がない。本報告書の目的は、すでに攻撃的利用が可能なAI搭載アプリケーションを特定し、近い将来、これらの脅威がどのように進化するかを評価することである。これには、倫理的なレッドチーミングと犯罪活動の両方に役立つ侵入テストなどのデュアルユースツールやアプリケーションも含まれる。また、メディア(1)(2)で時折指摘される自律型ハッカーAIに関する懸念にも対処する。 |
| In diesem Kapitel stellen wir unsere wichtigsten Ergebnisse und Empfehlungen vor. In den folgenden Kapiteln geben wir einen Überblick über verschiedene Bereiche offensiver KI-Anwendungen. | 本章では、我々の主な発見と提言を紹介する。以下の章では、攻撃的AIのさまざまな応用分野について概観する。 |
| 1.1 Ergebnisse | 1.1 調査結果 |
| Auf der Grundlage einer Literaturrecherche und der Bewertung verschiedener Tools und Projekte fassen wir die wichtigsten Ergebnisse wie folgt zusammen: | 文献調査と様々なツールやプロジェクトの評価に基づき、主な発見を以下にまとめる: |
| KI, insbesondere LLMs, senkt die Einstiegshürden und erhöht Umfang und Geschwindigkeit bösartiger Handlungen, einschließlich der Erstellung von Malware, Social-Engineering-Angriffen und der Datenanalyse im Rahmen von Angriffen. Dies führt zu fähigeren Angreifern und qualitativ besseren Angriffen. | AI、特にLLMは、マルウェアの作成、ソーシャル・エンジニアリング攻撃、攻撃内のデータ分析など、悪意のある行為への参入障壁を低くし、その規模と速度を向上させる。これにより、攻撃者の能力が高まり、攻撃の質が向上する。 |
| Angreifer und Verteidiger profitieren von allgemeinen Produktivitätssteigerungen durch den Einsatz von LLMs, z. B. für die Aufklärung und Open-Source-Intelligenz (z. B. durch das Crawlen und Analysieren von Websites und sozialen Medien) oder die Codegenerierung (z. B. Programmierassistenten). | 攻撃者と防御者は、偵察やオープンソースインテリジェンス(ウェブサイトやソーシャルメディアのクロールと分析など)やコード生成(プログラミングウィザードなど)のためにLLMを使用することで、一般的な生産性向上の恩恵を受ける。 |
| Es gibt Proof of Concepts (PoC) und Projekte, die KI für die autonome Generierung und Mutation von Malware einsetzen. Öffentlich verfügbaren Modelle sind bisher allerdings noch nicht „produktionsreif“. | マルウェアの自律的な生成や変異にAIを利用する概念実証(PoC)やプロジェクトが存在する。しかし、一般に利用可能なモデルはまだ「量産可能」ではない。 |
| Tools, die Angriffe oder Exfiltrationspfade optimieren, werden derzeit auf einzelne Netzwerke trainiert. Sie sind bis heute nicht verallgemeinerbar und existieren (öffentlich verfügbar) nur als PoCs. | 攻撃や流出経路を最適化するツールは現在、個々のネットワークで訓練されている。現在までのところ、一般化することはできず、PoCとしてのみ存在する(公開されている)。 |
| Agenten, die eigenständig beliebige Infrastrukturen kompromittieren, sind noch nicht verfügbar und werden es wahrscheinlich auch in naher Zukunft nicht sein. LLM-basierte Agenten, die Teile eines Angriffs automatisieren, werden jedoch in naher Zukunft verfügbar sein. | 独立してあらゆるインフラを侵害できるエージェントは、まだ利用可能ではないし、近い将来そうなる可能性も低い。しかし、攻撃の一部を自動化するLLMベースのエージェントは、近い将来利用可能になるだろう。 |
| KI kann bei der automatischen Erkennung von Sicherheitslücken eingesetzt werden. Dies ist ein aktives Forschungsgebiet und es sind mehrere Open-Source-Tools sowie kommerzielle Produkte verfügbar. In Zukunft wird es für Open-Source-Projekte von entscheidender Bedeutung sein, diese Art von Tools proaktiv zu nutzen, bevor böswillige Akteure dies tun. | AIは、セキュリティ脆弱性の自動検出に利用できる。これは活発な研究分野であり、商用製品だけでなく、オープンソースのツールもいくつかある。将来的には、オープンソースプロジェクトが、悪意ある行為者に先んじて、この種のツールを積極的に活用することが重要になるだろう。 |
| Unsere wichtigsten Ergebnisse stimmen insgesamt mit einem kürzlich veröffentlichten Bericht des britischen National Cyber Security Centre überein (3). | 全体として、我々の主要な調査結果は、英国国立サイバー・セキュリティ・センター(National Cyber Security Centre)が最近発表した報告書(3)と一致している。 |
| 1.2 Empfehlungen | 1.2 提言 |
| Angesichts der sich verändernden Bedrohungslandschaft ist es wichtig, der Cybersicherheit höchste Priorität einzuräumen. Es wird entscheidend sein, die Geschwindigkeit und den Umfang der Abwehrmaßnahmen zu erhöhen, insbesondere, aber nicht ausschließlich, durch | 脅威の状況の変化を考えると、サイバーセキュリティを優先することが重要である。防御のスピードと範囲を向上させることが重要であり、特に以下が重要である。 |
| ・ Verbesserung des Patchmanagements, | ・ パッチ管理を改善する、 |
| ・ Aufbau einer resilienten IT-Infrastruktur, | ・ 回復力のあるITインフラを構築する、 |
| ・ Verbesserung der Angriffserkennung, | ・ 攻撃検知能力の向上 |
| Verstärkung der Social-Engineering-Prävention (z. B. Sensibilisierungsschulung, Multi-FaktorAuthentifizierung, Zero-Trust-Architektur) sowie | ソーシャル・エンジニアリング対策の強化(意識向上トレーニング、多要素認証、ゼロ・トラスト・アーキテクチャーなど)。 |
| Nutzung der allgemeinen Vorteile der KI für Verteidigungsmaßnahmen (z. B. Erkennung von Bedrohungen und Schwachstellen). | AIの一般的な利点を防御対策に活用する(脅威や脆弱性の検出など)。 |
| Da KI häufig klassische Angriffe verstärkt, fallen auch diese Maßnahmen weitgehend in den Bereich der klassischen IT-Sicherheit. | AIは伝統的な攻撃を強化することが多いため、これらの対策も大部分が伝統的なITセキュリティの範囲に含まれる。 |
| 1.3 Limitierungen | 1.3 制限事項 |
| Sowohl Cybersicherheit als auch Künstliche Intelligenz unterliegen einem ständigen Wandel, weshalb es wichtig ist, Veränderungen und neue Entwicklungen bezüglich der Bedrohungslandschaft weiterhin zu beobachten. Zwar gibt es noch keine autonomen Hackeragenten, aber es ist schwierig, Programme fähiger Akteure zuverlässig zu bewerten oder technische Durchbrüche vorherzusagen. Bei unserer derzeitigen Bewertung der Auswirkungen von KI auf die Cyberbedrohungslandschaft gehen wir davon aus, dass es in naher Zukunft keine bedeutenden Durchbrüche bei der Entwicklung von KI, insbesondere von LLMs, geben wird. Sollte sich diese Annahme nicht bewahrheiten, müssen die Auswirkungen neu bewertet werden. | サイバーセキュリティも人工知能も常に変化しており、脅威の状況の変化や新たな展開を監視し続けることが重要な理由である。自律的なハッキング・エージェントはまだ存在しないが、有能な行為者のプログラムを確実に評価したり、技術的なブレークスルーを予測したりすることは難しい。サイバー脅威の状況に対するAIの影響に関する我々の現在の評価では、近い将来、AI、特にLLMの開発に大きなブレークスルーは起きないと仮定している。この仮定が実現しない場合は、影響を再評価する必要がある。 |
| 2 Auswirkungen großer Sprachmodelle | 2 大規模言語モデルの影響 |
| Mit der Veröffentlichung von ChatGPT im November 2022 hat ein Wettbewerb um die Führung auf dem Markt für Chatbots begonnen. Es werden ständig neue Produkte und Sprachmodelle veröffentlicht, die erhebliche Leistungssprünge versprechen. Infolgedessen ist es nun für praktisch jedermann möglich, auf leistungsstarke Sprachmodelle zuzugreifen, welche Ergebnisse von bisher unerreichter Qualität liefern. Die Leistung und Verfügbarkeit dieser Sprachmodelle hat inzwischen verschiedene Branchen beeinflusst und wird auch den Cybersicherheitssektor nachhaltig beeinflussen. | 2022年11月にChatGPTがリリースされ、チャットボット市場における主導権争いが始まった。パフォーマンスの大幅な飛躍を約束する新製品や言語モデルが次々とリリースされている。その結果、前例のない品質の結果をもたらす強力な言語モデルに、事実上誰でもアクセスできるようになった。こうした言語モデルの性能と利用可能性は、今やさまざまな業界に影響を及ぼしており、サイバーセキュリティ分野にも永続的な影響を与えるだろう。 |
| Für cybersicherheitsrelevante Anwendungen können LLMs hilfreich sein, indem sie direkt über eine Web oder mobile App (in der Regel als Chatbot) aufgerufen werden. Es ist auch möglich, den API-Zugang zu nutzen, um LLMs in bestehende Tools (z. B. Reverse-Engineering-Tools oder Penetrationtestframeworks) zu integrieren oder neue Anwendungen zu entwickeln. Methoden und Anwendungen im Bereich der Cybersicherheit weisen Dual-Use-Eigenschaften auf, wobei ihre ethische Anwendung von den Absichten des Nutzers abhängt. Dieser Grundsatz gilt auch für die Verwendung von LLMs im Bereich der Cybersicherheit. Ob die Verwendung gutartig oder bösartig ist, hängt von der Absicht des Benutzers ab. Leider ist es für Benutzer mit schlechten Absichten leicht, die Fähigkeiten von LLMs zu missbrauchen. Neben allgemeinen Produktivitätsgewinnen für böswillige Akteure sehen wir derzeit eine böswillige Nutzung vor allem in zwei Bereichen: Social Engineering und Generierung von bösartigem Code. | サイバーセキュリティ関連のアプリケーションでは、LLMをウェブやモバイルアプリ(通常はチャットボットとして)を介して直接呼び出すことで役立てることができる。また、APIアクセスを利用して、LLMを既存のツール(リバースエンジニアリングツールや侵入テストフレームワークなど)に統合したり、新しいアプリケーションを開発したりすることも可能だ。サイバーセキュリティ分野の手法やアプリケーションは、倫理的な適用が利用者の意図に依存するという二重使用の特性を持つ。この原則は、サイバーセキュリティにおける LLM の使用にも適用される。使用が良性か悪性かは、使用者の意図に依存する。残念ながら、悪意のあるユーザーがLLMの機能を悪用することは容易である。悪意のある行為者の一般的な生産性向上に加え、現在、ソーシャル・エンジニアリングと悪意のあるコード生成という2つの主要分野で悪意のある利用が見られる。 |
| Der einfache Zugang zu hochwertigen LLMs ermöglicht es, selbst mit geringen oder gar keinen Fremdsprachenkenntnissen automatisch überzeugende Phishing-Nachrichten von hoher Qualität zu erstellen. Die Anweisungen können mit zusätzlichem Kontext ergänzt werden, um die Nachrichten zu personalisieren oder einen bestimmten Schreibstil zu verwenden, was zu überzeugenden Nachrichten führt. Herkömmliche Methoden zur Erkennung betrügerischer Nachrichten, wie z. B. die Prüfung auf Rechtschreibfehler und unkonventionellen Sprachgebrauch, reichen daher nicht mehr aus. LLMs können auch eingesetzt werden, um die Erfolgsquote von Phishingangriffen weiter zu erhöhen, indem beispielsweise plausible Domainnamen und URLs generiert werden. Die Kombination eines LLM mit anderen generativen KI-Techniken, wie z. B. Deepfakes für Bild- und Audioinhalte, ermöglicht es böswilligen Akteuren, SocialEngineering-Angriffe von noch nie dagewesener Qualität durchzuführen. | 高品質のLLMに簡単にアクセスできるため、外国語の知識がほとんどなくても、説得力のある高品質のフィッシング・メッセージを自動的に作成することができる。メッセージをパーソナライズしたり、特定の文体を使用したりするために、追加の文脈で指示を補足することができ、説得力のあるメッセージを作成することができる。そのため、スペルミスや型にはまった言葉の使い方をチェックするといった従来の詐欺メッセージの認識方法ではもはや不十分である。LLMはまた、例えばもっともらしいドメイン名やURLを生成することで、フィッシング攻撃の成功率をさらに高めるために使用することもできる。LLMと、画像や音声コンテンツに対するディープフェイクのような他の生成AI技術を組み合わせることで、悪意のある行為者は、これまでにない質のソーシャル・エンジニアリング攻撃を行うことができる。 |
| Es ist in der Regel schwierig, einen bestimmten Angriff mit der Verwendung eines LLM in Verbindung zu bringen, da dies eng mit dem Problem der Erkennung von KI-generierten Inhalten im Allgemeinen verbunden ist. Berichte in den Medien, von Sicherheitsberatungsunternehmen und Regierungsbehörden sowie Untersuchungen auf Marktplätzen liefern jedoch eindeutige Beweise für die Verwendung von LLMs durch böswillige Akteure, einschließlich sog. Advanced Persistent Threats (4). | これはAIが生成したコンテンツ全般を認識する問題と密接に関連しているため、特定の攻撃とLLMの使用を結びつけることは通常困難である。しかし、メディア、セキュリティ・コンサルタント会社、政府機関からの報告や、市場における調査から、高度持続的脅威(Advanced Persistent Threats)(4)を含む悪意のある行為者がLLMを使用している明確な証拠が得られている。 |
| Die Fähigkeit von LLM, schädlichen Code zu generieren, verändert auch die Cyberbedrohungslandschaft, da sie insbesondere die Einstiegshürden für Personen, die bösartige Aktivitäten durchführen wollen, senkt, indem sie es auch Personen mit begrenzten technischen Kenntnissen ermöglicht, anspruchsvollen schädlichen Code zu produzieren (5). Auch bereits fähige Akteure profitieren von Produktivitätssteigerungen. Die Anbieter von Chatbots oder offenen LLMs treffen in der Regel Vorkehrungen um sicherzustellen, dass ihre Produkte nicht missbraucht werden können. Es werden Filtersysteme eingesetzt, um unerwünschte Ausgaben zu verhindern. Diese Systeme sind in der Regel nützlich, um einfache Aufforderungen mit böswilligen Absichten, wie z. B. „Erstelle mir Code für Ransomware“, abzufangen. Es ist jedoch oft nur wenig Aufwand und Wissen über die Domäne erforderlich, um diese Systeme zu umgehen. Da die Filterung immer ein Kompromiss zwischen der Verhinderung unerwünschter Ausgaben und der gleichzeitigen Bereitstellung eines Systems mit hohem Nutzen ist, ist es fraglich, inwieweit solche Filterungen Missbrauch wirksam verhindern können. | LLMが悪意のあるコードを生成できるようになったことで、サイバー脅威の状況も変化している。特に、技術的な知識に乏しい者でも洗練された悪意のあるコードを生成できるようになったことで、悪意のある活動を行おうとする者の参入障壁が低くなった(5)。すでに能力のある行為者も、生産性の向上から利益を得ている。チャットボットやオープンLLMのプロバイダーは通常、製品が悪用されないように予防措置を講じている。不要な出力を防ぐためにフィルタリングシステムが使用される。これらのシステムは通常、「ランサムウェアのコードを作って」といった悪意のある単純なリクエストを傍受するのに役立つ。しかし、これらのシステムをバイパスするためには、少しの努力とドメインの知識が必要であることが多い。フィルタリングは常に、不要なアウトプットを防ぐことと、同時に高い実用性を持つシステムを提供することの妥協点であるため、このようなフィルタリングがどの程度まで効果的に悪用を防ぐことができるかは疑問である。 |
| Die Nutzung eines Chatbots, der von einem Onlinedienst bereitgestellt wird, der ein System zur Verhinderung unethischer Ausgaben einsetzt, ist nicht die einzige Möglichkeit, auf ein LLM zuzugreifen. Weitere Möglichkeiten sind die Verwendung von „Jailbreaks“ (Nutzereingaben, die bestehende Filter und Anweisungen außer Kraft setzen), die Verwendung von Diensten, die die Ausgabe nicht rigoros filtern oder die Verwendung „unzensierter“ öffentlicher Modelle. Zusätzliche Schritte zur Umgehung der Filter, wie sie oben erwähnt wurden, sind hier nicht erforderlich. | 非倫理的な支出を防止するシステムを利用するオンライン・サービスが提供するチャットボットを利用することだけが、LLMにアクセスする唯一の方法ではない。他の可能性としては、「ジェイルブレイク」(既存のフィルタリングや指示を上書きするユーザー入力)の使用、出力を厳密にフィルタリングしないサービスの使用、「検閲されていない」公開モデルの使用などがある。上記のようなフィルターを迂回するための追加ステップは、ここでは必要ない。 |
| 3 KI-basierte Schadcodegenerierung | 3 AIベースの悪意あるコード生成 |
| Malware ist der Sammelbegriff für schädliche Software, wie z.B. Ransomware, Würmer oder Trojaner. Oft ist es das Ziel von Angreifern, Malware auf einem Zielcomputer zu platzieren, sei es über Exploits oder durch Social Engineering. Maßnahmen wie Virenscanner bekämpfen solche Software, indem sie Schadcode erkennen und das Ausführen unterbinden. Dies führt zu einem Wettrüsten zwischen den Angreifern, die neue Malware entwickeln, und den Verteidigern, die ihre Verteidigungsmaßnahmen anpassen, um neue Bedrohungen abzuwehren. | マルウェアとは、ランサムウェア、ワーム、トロイの木馬などの悪意のあるソフトウェアの総称である。攻撃者は多くの場合、エクスプロイトやソーシャル・エンジニアリングによって、標的のコンピューターにマルウェアを仕掛けることを目的としている。ウイルススキャナーなどの対策は、悪意のあるコードを認識し、その実行を阻止することで、このようなソフトウェアに対抗する。これは、新たなマルウェアを開発する攻撃者と、新たな脅威を撃退するために防御を適応させる防御者との間の軍拡競争につながる。 |
| Daher ist es interessant zu untersuchen, wie KI die Erstellung und Verwendung von Malware beeinflusst. Im Rahmen unserer Recherchen haben wir mehrere Möglichkeiten gefunden, wie KI in diesem Bereich eingesetzt wird. Die Modelle reichen von LLMs über GANs (Generative Adversial Networks) bis hin zu Reinforcement-Learning-Systemen und sie werden für verschiedene Zwecke eingesetzt. | したがって、AIがマルウェアの作成と使用にどのような影響を与えるかを調査することは興味深い。我々の調査では、この分野でAIが使用されているいくつかの方法を発見した。そのモデルは、LLMからGAN(Generative Adversial Networks:生成逆行ネットワーク)、強化学習システムまで多岐にわたり、それぞれ異なる目的で使用されている。 |
| Erstens ermöglicht KI Akteuren mit geringen oder gar keinen technischen Kenntnissen, Malware einfacher zu erstellen. Sie brauchen kein tiefes Verständnis für die Programmierung oder die Funktionsweise von Malware und können ihre Anfrage in natürlicher Sprache stellen. | 第一に、AIによって、技術的な知識がほとんどない、あるいはまったくない行為者でも、より簡単にマルウェアを作成できるようになる。彼らはプログラミングやマルウェアの仕組みについて深く理解する必要がなく、自然言語で要求することができる。 |
| Weiterhin besteht die Sorge, dass KI dazu verwendet werden könnte, eigenständig Malware zu schreiben. Dies geht einen Schritt weiter als die bloße Unterstützung menschlicher Akteure. LLMs können bereits einfache Malware schreiben, aber wir haben keine KI gefunden, die eigenständig in der Lage ist, fortgeschrittene, bisher unbekannte Malware zu schreiben (z. B. mit komplizierten Verschleierungsmethoden oder Zero-DayExploits). Die erforderlichen Trainingsdaten über Malware und Schwachstellen wären zudem nur sehr schwer und teuer zu erstellen. | また、AIが単独でマルウェアの作成に利用されることも懸念されている。これは、単に人間の行為者を支援するよりも一歩進んでいる。LLMはすでに単純なマルウェアを作成することができるが、高度で未知のマルウェアを自力で作成できるAIは見つかっていない(複雑な難読化手法やゼロデイ・エクスプロイトなど)。マルウェアや脆弱性に関する必要な学習データを作成するのも、非常に困難でコストがかかるだろう。 |
| Als nächstes kann KI dabei helfen, Malware zu modifizieren. Dies ist realistischer als Malware von Grund auf neu zu erstellen und es existieren bereits mehrere Forschungsarbeiten über die Modifizierung von Malware durch KI. Dies geschieht meist in einem Featureraum, nicht auf der eigentlichen Codeebene, und mit dem Ziel, eine Entdeckung zu vermeiden. Allerdings findet dies bislang in einem eher akademischen Umfeld statt und wir haben keine Hinweise darauf gefunden, dass diese Modelle bereits eingesetzt werden. Außerdem gibt es kein ausgefeiltes Tool, sondern nur PoCs und Forschungsprojekte. Dieser Ansatz eignet sich nur für hochqualifizierte Akteure, sowohl im Bereich Malware als auch KI, zudem ist für das Training solcher Tools ist eine gute Datenbasis erforderlich. | 次に、AIはマルウェアの改変を支援することができる。これは、ゼロからマルウェアを作成するよりも現実的であり、AIによるマルウェアの改変に関する研究論文もすでにいくつかある。これは通常、実際のコードレベルではなくフィーチャー・ルームで行われ、検知を回避することを目的としている。しかし、これまでのところ、これはよりアカデミックな環境で行われており、これらのモデルがすでに使用されているという証拠は見つかっていない。さらに、洗練されたツールはなく、PoCと研究プロジェクトのみである。このアプローチは、マルウェアとAIの両方において、高度に熟練した行為者にのみ適しており、そのようなツールを訓練するには優れたデータベースが必要である。 |
| Schließlich möchten wir noch KI als Teil der Malware erwähnen. Hier erstellt die KI nicht die Malware an sich, sondern ist in die Funktionalität der Malware integriert. Oft ist das Ziel, die Malware zu verschleiern und damit zu verhindern, dass sie entdeckt wird. Um einer Entdeckung zu entgehen, existieren so genannte polymorphe Engines, die den Code der Malware verändert, während ihre Funktionalität erhalten bleibt. Eine Anwendung von KI in diesem Bereich ist zumindest denkbar. Dabei würde die Manipulation des Codes durch ein KI-Modell bestimmt werden. Zum jetzigen Zeitpunkt gibt es keine Hinweise darauf, dass ein solches Modell im Einsatz ist, obwohl es viele Warnungen vor einer solchen theoretischen Möglichkeit gibt. Eine andere Möglichkeit wäre, ein KI-Modell so zu trainieren, dass es das Benutzerverhalten nachahmt, so dass die Aktionen der Malware weniger auffällig sind. | 最後に、マルウェアの一部としてのAIについて触れておきたい。この場合、AIはマルウェア自体を作成するのではなく、マルウェアの機能に組み込まれる。その目的は多くの場合、マルウェアを偽装し、検知されないようにすることである。検知を回避するために、マルウェアの機能を保持したままコードを変更する、いわゆるポリモーフィック・エンジンが存在する。この分野にAIを応用することは、少なくとも考えられる。コードの操作はAIモデルによって決定される。現段階では、そのようなモデルが使用されているという証拠はないが、そのような理論的可能性については多くの警告がなされている。もう一つの可能性は、マルウェアの行動が目立たないように、ユーザーの行動を模倣するAIモデルを訓練することだろう。 |
| 4 KI-basierte Angriffe | 4 AIベースの攻撃 |
| Das interessanteste Tool für cyberkriminelle Aktivitäten wäre eine KI, die das Ziel als Eingabe erhält (sei es ein IP-Bereich oder ein Name) und alle Schritte eines Cyberangriffs völlig selbstständig durchführt. Die Strategie- und Abstraktionsfähigkeiten der neusten KI-Technologien machen sie zu erstklassigen Kandidaten für die Entwicklung eines solchen Tools. Aus der Sicht eines Penetrationstesters wäre dies ein nützliches Werkzeug, um Systeme zu härten und den Zeitaufwand für die Durchführung von Penetrationstests zu verringern. Hierbei handelt es sich um ein aktuelles Forschungsfeld und es werden Anstrengungen unternommen, ein solches Tool zu entwickeln. | サイバー犯罪活動にとって最も興味深いツールは、ターゲット(IPレンジであれ名前であれ)を入力として受け取り、サイバー攻撃のすべてのステップを完全に自律的に実行するAIだろう。最新のAI技術の戦略性と抽象化能力は、そのようなツールの開発に最適な候補となる。侵入テスト実施者の観点からすれば、これはシステムを堅牢化し、侵入テストに要する時間を短縮するための有用なツールとなるだろう。これは現在の研究分野であり、このようなツールを開発するための努力がなされている。 |
| In diesem Bereich sind Reinforcement-Learning-Systeme ein gängiger Ansatz, da diese in der Lage sind, mit einer Umgebung zu interagieren, daraus zu lernen und langfristige Strategien zu entwickeln. Kürzlich wurden auch LLMs als Lösung für dieses Problem vorgeschlagen. In unserer Forschung haben wir kein Werkzeug gefunden, das diese Aufgabe vollständig lösen kann. Es gibt jedoch einige Tools, die Teile des Prozesses automatisieren. Meistens handelt es sich bei diesen Tools um akademische Projekte oder PoCs, die nicht besonders benutzerfreundlich oder ausgefeilt sind. Oft ist der Anwendungsbereich dieser Tools entweder sehr groß oder sehr klein. Im großen Maßstab betrachten beispielsweise Tools zur Planung von Angriffswegen eine abstrakte Version eines Zielnetzes und planen einen optimalen Angriffsweg. Ein aktiver Angriff findet dabei nicht statt. Ähnlich verhält es sich mit Modellen, die optimale Exfiltrationspfade für Systeme finden. | この分野では、環境と相互作用し、そこから学習し、長期的な戦略を立てることができる強化学習システムが一般的なアプローチである。最近では、LLMもこの問題の解決策として提案されている。我々の研究では、この課題を完全に解決できるツールは見つかっていない。しかし、プロセスの一部を自動化するツールはいくつかある。ほとんどの場合、これらのツールは学術的なプロジェクトやPoCであり、特にユーザーフレンドリーでも洗練されているわけでもない。多くの場合、これらのツールの適用範囲は非常に大きいか小さいかのどちらかである。大規模なものでは、例えば攻撃経路計画ツールはターゲット・ネットワークの抽象的なバージョンを見て、最適な攻撃経路を計画する。能動的な攻撃は行われない。システムの最適な流出経路を見つけるモデルも状況は似ている。 |
| Auf der anderen Seite gibt es Tools, die explizit auf ein einzelnes, spezifisches Netzwerk trainiert sind und versuchen, dort einen erfolgreichen Angriff zu starten. Dies erfordert Kenntnisse über das Zielnetzwerk, sowie eine Trainingsphase, die kaum unbemerkt bleiben wird. Außerdem lässt sich ein trainierter Agent nicht ohne weiteres auf andere Netze verallgemeinern. Die Umgebungen verschiedener Systeme und Netze unterscheiden sich stark in Größe und verfügbaren Aktionen. Das macht eine Verallgemeinerung sehr schwierig. Außerdem ist eine sehr große Trainingsdatenmenge erforderlich, um die Fülle der Optionen abzudecken. Diese Probleme machen den Schritt von einem Konzeptnachweis zu einer realen, allgemeinen Anwendung zu einem schwierigen, wahrscheinlich derzeit ungelösten Problem. LLMs könnten ein Ansatz sein, um die Verallgemeinerbarkeit zu verbessern. | 一方、単一の特定のネットワークに対して明示的に学習させ、そこで攻撃を成功させようとするツールもある。これにはターゲット・ネットワークに関する知識と、気付かれにくい訓練段階が必要となる。さらに、訓練されたエージェントを単純に他のネットワークに一般化することはできない。異なるシステムやネットワークの環境は、規模も利用可能なアクションも大きく異なる。そのため、汎化は非常に困難である。さらに、豊富な選択肢をカバーするためには、非常に大量の学習データが必要となる。これらの問題により、概念実証から実際の一般化されたアプリケーションへのステップアップは困難であり、おそらく現在のところ未解決の問題である。LLMは、汎化可能性を向上させる1つのアプローチとなり得る。 |
| Es gibt mehrere Tools, die das Pentesting durch KI-Assistenten unterstützen. Nach Tests haben wir festgestellt, dass diese Tools vor allem als Unterstützung für Personen dienen, die versuchen, einen Angriff zu starten und dadurch die Einstiegsschwelle senken. | AIアシスタントによるペンテストをサポートするツールはいくつかある。テストした結果、これらのツールは主に攻撃を開始しようとする人のサポートとして機能し、それによって参入の敷居を下げていることがわかった。 |
| Ein anderer Ansatz für LLMs ist, ähnlich wie bei den oben genannten Tools, bestimmte Teile der Angriffskette zu automatisieren. Hier ist vor allem die Aufklärungsphase zu nennen, aber auch andere Schritte wie die Analyse von Serverantworten. Die Anwendung von KI als vollautomatisches Angriffswerkzeug ist ein Bereich, der intensiv erforscht wird. Wir erwarten weitere Projekte und Tools in diesem Bereich, insbesondere solche, die sich auf die Verwendung von LLMs und generativer KI konzentrieren. | LLMのもう一つのアプローチは、上述のツールと同様、攻撃チェーンの特定の部分を自動化することである。これには主に偵察段階が含まれるが、サーバー応答の分析など他の段階も含まれる。完全に自動化された攻撃ツールとしてのAIの使用は、現在、集中的に研究されている分野である。この分野では、特にLLMや生成的AIの利用に焦点を当てたプロジェクトやツールの増加が期待される。 |
| 5 Weitere Schnittstellen zwischen KI und Cybersicherheit | 5 AIとサイバーセキュリティのさらなるインターフェース |
| In diesem Abschnitt geben wir einen Überblick über andere Bereiche, in denen sich KI und Cybersicherheitsanwendungen überschneiden. Der sichtbarste davon die Integration von LLMs in diverse Tools, wie sie auch in anderen Bereichen stattfindet. | このセクションでは、AIとサイバーセキュリティ・アプリケーションが交差するその他の分野の概要を説明する。その中で最も目につくのは、他の分野でも起こっているように、LLMを様々なツールに統合することである。 |
| LLMs wurden bereits in IDEs (integrierte Entwicklungsumgebungen) integriert und es gibt Plugins für Reverse-Engineering- oder Penetrationstest-Tools. Diese Plugins rufen in der Regel die API eines LLMAnbieters mit einer vorgefertigten Anweisung und Inhalten aus der jeweiligen Anwendung auf, das Ergebnis wird dann innerhalb der Anwendung angezeigt. Der Nutzen im Vergleich zur direkten Verwendung des LLM, beispielsweise im Browser (zusammen mit dem Kopieren und Einfügen des jeweiligen Inhalts), ist derzeit noch begrenzt. | LLMはすでにIDE(統合開発環境)に統合されており、リバースエンジニアリングや侵入テストツール用のプラグインもある。これらのプラグインは通常、LLMプロバイダーのAPIを、それぞれのアプリケーションから用意された命令とコンテンツで呼び出し、その結果をアプリケーション内に表示する。LLMを直接、例えばブラウザで(それぞれのコンテンツをコピー・アンド・ペーストして)使用するのに比べ、利点は今のところまだ限られている。 |
| KI wird auch bei der automatischen Erkennung von Sicherheitslücken eingesetzt. Aufgrund ihrer Vorteile für die Softwareentwicklung ist dies ein aktives Forschungsgebiet und es sind mehrere Open-Source-Tools sowie kommerzielle Produkte verfügbar. Die Analyse von Open-Source-Anwendungen mit diesen Tools ist sehr einfach durchführbar. Daher ist es für Open-Source-Projekte von entscheidender Bedeutung, diese Art von Tools proaktiv zu nutzen, bevor böswillige Akteure dies tun. Obwohl für die Analyse in der Regel der Quellcode benötigt wird, ist es in Kombination mit Reverse-Engineering-Tools bis zu einem gewissen Grad möglich, Methoden zur Erkennung von Schwachstellen bei Closed-Source-Anwendungen einzusetzen. Es gibt Projekte, die diesen Prozess mithilfe eines LLM automatisieren. Die Ergebnisse sind jedoch je nach Komplexität des Codes und der Verschleierungstechniken sehr unterschiedlich. | AIは、セキュリティ脆弱性の自動検出にも使われている。ソフトウェア開発にとって有益であるため、これは活発な研究分野であり、商用製品だけでなく、いくつかのオープンソースツールも利用可能である。これらのツールを使ってオープンソースのアプリケーションを分析することは非常に簡単である。したがって、オープンソースプロジェクトにとって、悪意のある行為者が行う前に、この種のツールを積極的に活用することは極めて重要である。分析には通常ソースコードが必要であるが、リバースエンジニアリングツールと組み合わせて、クローズドソースアプリケーショ ンの脆弱性検出手法を使用することはある程度可能である。LLMを使ってこのプロセスを自動化するプロジェクトもある。しかし、結果はコードの複雑さや難読化技術によって大きく異なる。 |
| Captchas werden allgegenwärtig eingesetzt, um zwischen automatisierten Bots und echten menschlichen Nutzern durch verschiedene Aufgaben wie verzerrte Text- oder Bilderkennungsaufgaben zu unterscheiden und so bösartige Aktivitäten wie Spamming, Brute-Force-Angriffe und Data Scraping zu verhindern, indem sie menschenähnliche Antworten verlangen. Methoden zur Umgehung von Captchas gibt es jedoch schon seit ihrer Erfindung. Heutzutage wird auch KI für diesen Zweck eingesetzt und die Auswahl an solchen Tools und Online-Diensten, die gute Ergebnisse liefern, ist groß. | キャプチャは、偏ったテキストや画像認識タスクなどの様々なタスクを通じて、自動化されたボットと実際の人間ユーザーを区別するためにユビキタスに使用されており、人間のような応答を要求することで、スパム、総当たり攻撃、データスクレイピングなどの悪意のある行為を防止している。しかし、キャプチャを回避する方法は、発明当初から存在していた。現在では、AIもこの目的に使用され、良い結果をもたらすそのようなツールやオンラインサービスが幅広く存在する。 |
| KI wird auch zum Erraten von Passwörtern eingesetzt. Ausgehend von der Annahme, dass bestimmte Arten von Passwörtern mit größerer Wahrscheinlichkeit von Menschen verwendet werden, werden die Regeln für Passwortkandidaten aus Daten gelernt, im Gegensatz zu bestehenden Tools zum Erraten von Passwörtern, bei denen diese Regeln von Hand ausgearbeitet werden. Durch diverse Leaks existieren hierfür viele Trainingsdaten. | AIはパスワードの推測にも使われる。ある種のパスワードは人間が使用する可能性が高いという仮定に基づき、パスワードの候補のルールはデータから学習される。このための学習データは、様々なリークによって数多く存在する。 |
| Da jeder bestrebt ist, KI in seine Prozesse zu integrieren, wird die Gefahr von eingebetteter Malware in der KI oder in Daten immer größer. Es gibt bereits Fälle, in denen Malware in den Parametern neuronaler Netze verschlüsselt ist, wobei die Nutzbarkeit des Modells kaum verändert ist. Schädlicher Code kann auch in trainierten Modellen versteckt sein, die häufig auf bestimmten Plattformen verbreitet werden (6). Außerdem können LLMs und das dazugehörige Ökosystem dazu missbraucht werden, bösartige Software an die Nutzer zu verteilen. | 誰もがAIをプロセスに組み込もうとする中、AIやデータにマルウェアが埋め込まれるリスクは高まっている。マルウェアがニューラルネットワークのパラメータにエンコードされ、モデルの使い勝手がほとんど変わらないケースはすでにある。また、特定のプラットフォームで配布されることの多い学習済みモデルにも、悪意のあるコードが隠されている可能性がある(6)。さらに、LLMと関連するエコシステムが悪用されて、悪意のあるソフトウェアがユーザーに配布される可能性もある。 |
| Auf der Hardwareseite der Angriffe sind Seitenkanalangriffe ein bekannter Angriffsvektor. Sie erfordern jedoch ein hohes Maß an technischem Können und Knowhow. Es gibt PoCs über KI-Modelle, die bei Seitenkanalangriffen helfen und diese möglicherweise für weniger erfahrene Angreifer leichter zugänglich machen. | ハードウェア側の攻撃としては、サイドチャネル攻撃が知られている。しかし、これには高度な技術力と専門知識が必要とされる。サイドチャネル攻撃を支援するAIモデルのPoCがあり、経験の浅い攻撃者でもアクセスしやすくなる可能性がある。 |
| Seriöse Softwareanbieter haben damit begonnen, LLMs für den Kundensupport zu nutzen. In ähnlicher Weise könnten auch böswillige Akteure LLMs nutzen, um Malware-as-a-Service-Nutzern Unterstützung zu bieten. Technisch weniger versierte Opfer von Ransomwareangriffen sind oft mit der Beschaffung der für die Zahlung des Lösegelds erforderlichen Kryptowährung überfordert. Cyberkriminelle bieten bereits Unterstützung bei der Beschaffung und Zahlung an. Dieser Prozess kann durch den Einsatz von LLMs automatisiert und in verschiedenen Sprachen angeboten werden, um die Erfolgsquote zu erhöhen. | 評判の良いソフトウェアベンダーは、カスタマーサポートにLLMを活用し始めている。同様に、悪意ある行為者もLLMを利用して、マルウェア・アズ・ア・サービスのユーザーにサポートを提供する可能性がある。ランサムウェア攻撃の被害者は、身代金の支払いに必要な暗号通貨の入手に追われることが多い。サイバー犯罪者はすでに、調達と支払いの支援を提供している。このプロセスをLLMを利用して自動化し、さまざまな言語で提供することで、成功率を高めることができる。 |
類似の報告書...
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.02.06 英国 NCSC AIによるサイバー脅威への短期的影響 - ランサムウェアの脅威はAIによって増加すると警告 (2024.01.24)
こんにちは、丸山満彦です。
中国の国家情報セキュリティ標準化技術委員会 (TC260) が「政府業務におけるデータ処理のセキュリティ要件」の草案を公表し、意見募集をしていますね。。。
政府業務なので、米国でいえば、NISTの文書、日本であれば、NISCの統一基準に相当するものなのでしょうかね...
細かく規定されているので、参考になる部分も多いように思います...
・2024.04.15 关于国家标准《数据安全技术 政务数据处理安全要求》征求意见稿征求意见的通知
意見募集案...
・[PDF] 数据安全技术 政务数据处理安全要求-标准文本
説明...
・[PDF] 数据安全技术 政务数据处理安全要求-编制说明
Recent Comments