« April 2024 | Main | June 2024 »

May 2024

2024.05.31

個人情報保護委員会 個人情報を考える週間(6月2日までですが...)

こんにちは、丸山満彦です。

5月27日月曜日から6月2日日曜日までは、「個人情報を考える週間」ですね...

委員長の藤原先生の写真、若いですね...(^^)

 

20240531-95416

 

個人情報保議委員会

・2024.05.27 令和6年度「個人情報を考える週間」について

・[PDF] 令和6年度「個人情報を考える週間」

20240531-95832

 

 

 

ウェブページ...

令和6年度 個人情報を考える週間

目次...

 

 

過去の取り組み...


| | Comments (0)

Appleウォレットにマイナンバーカードを追加して、対面またはiOSのアプリ上で安全に提示できるように...来春の後半以降...ちょっと先

こんにちは、丸山満彦です。

Appleが、来春の後半より、Appleウォレットにマイナンバーカードを追加して、対面またはiOSのアプリ上で安全に提示できるようになるとアナウンスしていますね...

アンドロイド端末はすでに開始されています(デジタル庁)ので、2年遅れということになるのでしょうが、日本のスマフォシェア割合(KANTAR)は、アンドロイド:アイフォン=6:4くらいです。。。米国は5:5なんですね。。。

スマホで完結というのが便利なんですよね...

 

Apple Japan

・2024.05.30 Apple、日本でのAppleウォレットの身分証明書機能の展開を発表、米国外で初

Applewalletjpgsquare_social

 


Appleは、日本のデジタル庁と協力し、来春の後半から日本に住むみなさんがAppleウォレットでマイナンバーカードを利用できるよう準備を進めています。Appleウォレットの身分証明書機能を米国外で展開するのは日本が初となります。この機能によって日本に住むみなさんは、iPhoneのAppleウォレットにマイナンバーカードをシームレスに追加し、物理的なカードと同じようにコンビニエンスストアで公的な証明書等を発行したり、「マイナポータル」iOSアプリにアクセスしてオンラインの行政サービスを受けるなど、常にiPhoneのセキュリティ、利便性とともに、安全に利用できるようになります。

...

Appleウォレットの身分証明書は、モバイルデバイスで身分証明書や運転免許証を提示する際の消費者のプライバシー保護について明確なガイドラインを定めているISO 18013-5シリーズとISO 23220シリーズの規格に対応しています。


 

 

| | Comments (0)

米国 NIST AIの社会技術試験・評価を推進する新プログラム「AIのリスクと影響の評価 (ARIA)」を開始

こんにちは、丸山満彦です。

米国NISTが、AIの社会技術試験・評価を推進する新プログラム「AIのリスクと影響の評価 (ARIA)」を開始したと公表していますね... Ver. 0.1 (^^)

昨年の10月30日のAI大統領令がでて、連邦政府はいろいろと進んでいますね。。。まぁPresidentの命令ですからね...

 

ロードマップ...

Nist_ai_rmf_roadmap_figure

 

 

NIST

・2024.05.28 NIST Launches ARIA, a New Program to Advance Sociotechnical Testing and Evaluation for AI

NIST Launches ARIA, a New Program to Advance Sociotechnical Testing and Evaluation for AI NIST、AIの社会技術試験と評価を推進する新プログラム「ARIA」を開始
・NIST’s new Assessing Risks and Impacts of AI (ARIA) program will assess the societal risks and impacts of artificial intelligence systems (i.e., what happens when people interact with AI regularly in realistic settings). NISTの新しいアセスメント・プログラム(ARIA:Assessing Risks and Impacts of AI)は、人工知能システムの社会的リスクと影響(すなわち、現実的な環境で人々がAIと定期的に相互作用した場合に何が起こるか)を評価する。
・The program will help develop ways to quantify how a system functions within societal contexts once it is deployed. このプログラムは、システムが社会的文脈の中でどのように機能するかを定量化する方法の開発を支援する。
・ARIA’s results will support the U.S. AI Safety Institute’s testing to help build the foundation for trustworthy AI systems. ARIAの成果は、米国AI安全研究所のテストを支援し、信頼できるAIシステムの基盤構築を支援する。
The National Institute of Standards and Technology (NIST) is launching a new testing, evaluation, validation and verification (TEVV) program intended to help improve understanding of artificial intelligence’s capabilities and impacts.  国立標準技術研究所(NIST)は、人工知能の能力と影響に関する理解を深めることを目的とした新しい試験・評価・検証(TEVV)プログラムを開始する。
Assessing Risks and Impacts of AI (ARIA) aims to help organizations and individuals determine whether a given AI technology will be valid, reliable, safe, secure, private and fair once deployed. The program comes shortly after several recent announcements by NIST around the 180-day mark of the Executive Order on trustworthy AI and the U.S. AI Safety Institute’s unveiling of its strategic vision and international safety network. AIのリスクと影響のアセスメント(ARIA)は、あるAI技術が導入された後、有効で、信頼性があり、安全で、プライバシーが守られ、公正であるかどうかを、組織や個人が判断できるようにすることを目的としている。このプログラムは、信頼できるAIに関する大統領令の180日という節目にNISTが最近発表したいくつかの発表や、米国AI安全研究所が戦略的ビジョンと国際安全ネットワークを発表した直後に実施される。
“In order to fully understand the impacts AI is having and will have on our society, we need to test how AI functions in realistic scenarios — and that’s exactly what we’re doing with this program,” said U.S. Commerce Secretary Gina Raimondo. “With the ARIA program, and other efforts to support Commerce’s responsibilities under President Biden’s Executive Order on AI, NIST and the U.S. AI Safety Institute are pulling every lever when it comes to mitigating the risks and maximizing the benefits of AI.” 「AIが我々の社会に及ぼす影響、また今後及ぼすであろう影響を完全に理解するためには、現実的なシナリオでAIがどのように機能するかをテストする必要がある。「ARIAプログラムや、バイデン大統領のAIに関する大統領令に基づく商務省の責務を支援するその他の取り組みにより、NISTと米国AI安全研究所は、AIのリスクを軽減し、利益を最大化するために、あらゆる手段を講じている。
“The ARIA program is designed to meet real-world needs as the use of AI technology grows,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. “This new effort will support the U.S. AI Safety Institute, expand NIST’s already broad engagement with the research community, and help establish reliable methods for testing and evaluating AI’s functionality in the real world.” 「標準技術担当商務次官兼NIST長官のローリー・E・ロカシオ氏は、「ARIAプログラムは、AI技術の利用が拡大する中、現実世界のニーズに応えるように設計されている。「この新たな取り組みは、米国AI安全研究所を支援し、NISTの研究コミュニティとの既に幅広い関わりを拡大し、現実世界におけるAIの機能を試験・評価するための信頼できる機構の確立を支援するものである。
ARIA expands on the AI Risk Management Framework, which NIST released in January 2023, and helps to operationalize the framework’s risk measurement function, which recommends that quantitative and qualitative techniques be used to analyze and monitor AI risk and impacts. ARIA will help assess those risks and impacts by developing a new set of methodologies and metrics for quantifying how well a system maintains safe functionality within societal contexts. ARIAは、NISTが2023年1月に発表したAIリスクマネジメントフレームワークを拡張し、AIリスクと影響を分析・監視するために定量的・定性的手法を用いることを推奨する同フレームワークのリスク測定機能の運用化を支援する。ARIAは、社会的文脈の中でシステムがどの程度安全な機能を維持できるかを定量化するための新しい一連の方法論と評価基準を開発することで、こうしたリスクと影響の評価を支援する。
“Measuring impacts is about more than how well a model functions in a laboratory setting,” said Reva Schwartz, NIST Information Technology Lab’s ARIA program lead. “ARIA will consider AI beyond the model and assess systems in context, including what happens when people interact with AI technology in realistic settings under regular use. This gives a broader, more holistic view of the net effects of these technologies.” NIST情報技術研究所のARIAプログラムリーダーであるレバ・シュワルツ氏は、次のように述べている。「影響を測定することは、実験室でモデルがどれだけうまく機能するかということ以上のことである。ARIAは、モデルを超えてAIを考慮し、現実的な環境において人々がAIテクノロジーと相互作用したときに何が起こるかを含む、コンテクストにおけるシステムを評価する。これにより、これらの技術の正味の効果について、より広範で全体的な見解が得られる。」
The results of ARIA will support and inform NIST’s collective efforts, including through the U.S. AI Safety Institute, to build the foundation for safe, secure and trustworthy AI systems.  ARIAの結果は、安全、安心、信頼できるAIシステムの基盤を構築するため、米国AI安全研究所を含むNISTの総合的な取り組みを支援し、情報を提供する。

 

Assessing Risks and Impacts of AI

Assessing Risks and Impacts of AI AIのリスクと影響をアセスメントする
A compelling set of scenarios will aim to explore risks and related impacts across three levels of testing: model testing, red-teaming, and field testing. 魅力的な一連のシナリオは、モデルテスト、レッドチーム、フィールドテストという3つのレベルのテストを通じて、リスクと関連する影響を探ることを目的としている。
AI Challenge Problem Overview AIチャレンジ問題の概要
The latest in a portfolio of evaluations managed by the NIST Information Technology Laboratory – ARIA will assess models and systems submitted by technology developers from around the world. ARIA is an evaluation environment which is sector and task agnostic. NIST情報技術研究所が管理する評価ポートフォリオの最新版であるARIAは、世界中の技術開発者から提出されたモデルやシステムを評価する。ARIAは分野や課題にとらわれない評価環境である。
ARIA will support three evaluation levels: model testing, red-teaming, and field testing. ARIA is unique in that it will move beyond an emphasis on system performance and accuracy and produce measurements on technical and societal robustness. ARIAは、モデルテスト、レッドチーム、フィールドテストの3つの評価レベルをサポートする。ARIAがユニークなのは、システムの性能と精度に重点を置くだけでなく、技術的・社会的な堅牢性を測定する点である。
The program will result in guidelines, tools, methodologies, and metrics that organizations can use for evaluating the safety of their systems as part of their governance and decision-making processes to design, develop, release or use AI technology. ARIA will inform the work of the U.S. AI Safety Institute at NIST. このプログラムは、AI技術を設計、開発、リリース、使用するためのガバナンスと意思決定プロセスの一環として、組織がシステムの安全性を評価するために使用できるガイドライン、ツール、方法論、測定基準をもたらす。ARIAは、NISTの米国AI安全性研究所の活動を支援する。
ARIA 0.1 ARIA 0.1
The initial evaluation (ARIA 0.1) will be conducted as a pilot effort to fully exercise the NIST ARIA test environment. ARIA 0.1 will focus on risks and impacts associated with large language models (LLMs). Future iterations of ARIA may consider other types of generative AI technologies such as text-to-image models, or other forms of AI such as recommender systems or decision support tools. A compelling and exploratory set of tasks will aim to elicit pre-specified (and non-specified) risks and impacts across three levels of testing: model testing, red-teaming, and field testing. 初期評価(ARIA 0.1)は、NISTのARIAテスト環境を十分に活用するための試験的取り組みとして実施される。ARIA 0.1は、大規模言語モデル(LLM)に関連するリスクと影響に焦点を当てる。ARIAの将来の反復では、テキストから画像へのモデルなどの他のタイプの生成的AI技術や、推奨システムや意思決定支援ツールなどの他の形態のAIを検討する可能性がある。魅力的で探索的な一連のタスクは、モデルテスト、レッドチーム、フィールドテストの3つのレベルのテストを通じて、事前に指定された(そして指定されていない)リスクと影響を引き出すことを目的としている。

 

Learn more

・[PDF] ARIA_MoreInfo

20240530-173128

 

AI Evaluations: Assessing Risks and Impacts of AI AIの評価 AIのリスクと影響をアセスメントする 
For Release May 9, 2024  2024年5月9日リリース
Overview  概要 
ARIA (Assessing Risks and Impacts of AI) is a NIST evaluation program to advance measurement science for safe and trustworthy AI. Launched in spring 2024, ARIA aims to:  ARIA(Assessing Risks and Impacts of AI)は、安全で信頼できるAIのための計測科学を推進するNISTの評価プログラムである。2024年春に開始されたARIAの目的は以下の通りである: 
• address gaps in AI evaluation that make it difficult to generalize AI functionality to the real world  ・AIの機能を実世界に一般化することを困難にしているAI評価のギャップに対処する。
• improve understanding of AI's impacts to individuals and society, and   ・AIが個人や社会に与える影響の理解を改善する。
• provide participating organizations with crucial information about whether AI systems will be valid, reliable, safe, secure, private or fair once deployed.   ・AIシステムの有効性,信頼性,安全性,セキュリティ,プライベート性,公平性についての重要な情報を提供する。
NIST will engage the public through evaluations and related activities in a variety of domains under the ARIA umbrella. ARIA evaluations will include model testing, red-teaming, and field testing.  Tasks and related activities will be customized for each evaluation.   NISTは、ARIA傘下の様々な領域における評価や関連活動を通じて、一般市民の参加を促す。ARIA評価には、モデルテスト、レッドチーム、フィールドテストが含まれる。 タスクおよび関連活動は、各評価ごとにカスタマイズされる。 
Models and systems made available to NIST will be evaluated on ARIA tasks using a suite of metrics focused on technical and societal robustness; these new metrics will be developed in collaborative engagement with the ARIA participant community.  NISTに提供されるモデルやシステムは、技術的および社会的な堅牢性に焦点を当てた一連の評価基準を用いてARIAタスクで評価される。
Expected program outcomes include scalable guidelines, tools, methodologies, and metrics for organizations to use for evaluating the safety of their AI systems in their specific use cases, and as part of their governance and decision making processes to design, develop, release or use AI technology.  期待されるプログラムの成果には、特定のユースケースにおけるAIシステムの安全性を評価するために、またAI技術を設計、開発、リリース、使用するためのガバナンスや意思決定プロセスの一部として、組織が使用できるスケーラブルなガイドライン、ツール、方法論、メトリクスが含まれる。
ARIA 0.1 Pilot Evaluation  ARIA 0.1パイロット評価 
The initial evaluation (ARIA 0.1) will be conducted as a pilot effort to fully exercise the NIST ARIA test environment.  ARIA 0.1 will focus on risks and impacts associated with large language models (LLMs). Future iterations of ARIA may consider other types of generative AI technologies such as text-to-image models, or other forms of AI such as recommender systems or decision support tools.  初期評価(ARIA 0.1)は、NIST ARIAテスト環境を十分に活用するための試験的取り組みとして実施される。 ARIA 0.1は、大規模言語モデル(LLM)に関連するリスクと影響に焦点を当てる。ARIAの将来の反復では、テキストから画像へのモデルのような他のタイプの生成的AI技術や、推薦システムや意思決定支援ツールのような他の形態のAIを検討する可能性がある。
View the ARIA 0.1 Pilot Evaluation Plan at [PDF]
ARIA 0.1パイロット評価計画を[PDF]で見る。 
Those interested in learning more about ARIA can join the ARIA email distribution list by signing-up at https://ai-challenges.nist.gov/aria or emailing aria-inquires@nist.gov.   ARIAについてもっと知りたい方は、https://ai-challenges.nist.gov/aria にサインアップするか、aria-inquires@nist.gov に電子メールを送ることで、ARIA電子メール配信リストに参加することができる。 
ARIA Evaluation Levels  ARIAの評価レベル 
ARIA will incorporate societal impacts alongside functional testing of the system. Estimating a given technology’s impact in society requires a better understanding of what individuals and the broader society can and will do with – or how they adapt and react to – an AI model or system functionality. To this end, NIST will establish three measurement and evaluation levels for a more comprehensive approach. These are introduced below.   ARIAは、システムの機能テストと並行して、社会的影響を組み込む。ある技術が社会に与える影響を推定するには、個人やより広範な社会がAIモデルやシステム機能を使って何ができるのか、何をするのか、あるいはどのように適応し反応するのかをよりよく理解する必要がある。このため、NISTは、より包括的なアプローチのために、3つの測定・評価レベルを設定する。これらを以下に紹介する。 
1. Model testing to examine the AI model or system components’ functionality and capabilities.  1. AIモデルまたはシステムコンポーネントの機能と能力を検証するモデルテスト。
Model testing is the most common practice for evaluating the models and datasets underlying AI technology. Typical model testing involves comparing system outputs to expected or known outcomes (sometimes referred to as ground-truth) to determine how well the model can perform a given set of tasks. Demonstrating whether the model functions on these tasks as designed can shed light on how helpful or harmful the technology may be once deployed. This type of testing is easier to scale than red-teaming or field-testing but has limitations. Particularly when performed in laboratory settings, model testing cannot account for what humans expect from or how they interact with AI technology or make sense of AI-generated output. For estimating societal impact, static benchmark datasets serve only as loose proxies for dynamic human interactive behavior. These limitations make it difficult to understand or anticipate impacts once a model or system is deployed.   モデルテストは、AI技術の基礎となるモデルやデータセットを評価するための最も一般的な手法である。典型的なモデル・テストでは、システムの出力を期待される結果または既知の結果(グランド・トゥルースと呼ばれることもある)と比較し、モデルが与えられた一連のタスクをどの程度実行できるかを判断する。モデルがこれらのタスクで設計通りに機能するかどうかを実証することで、その技術が導入された後にどの程度役に立つか、あるいは有害かを明らかにすることができる。この種のテストは、レッドチームやフィールドテストよりも規模を拡大しやすいが、限界もある。特に実験室で実施する場合、モデルテストでは、人間がAI技術に何を期待し、どのようにAIと相互作用し、AIが生成的な出力を理解するのかを説明することができない。社会的インパクトを推定するためには、静的なベンチマークデータセットは、人間の動的な相互作用行動の緩やかな代理としてしか機能しない。これらの限界は、モデルやシステムが導入された後の影響を理解したり予測したりすることを難しくしている。 
2. Red-teaming to identify potential adverse outcomes of the AI model or system and how they could occur, and to stress test model safeguards.  2. レッドチームによる、AIモデルやシステムの潜在的な悪影響と、それがどのように発生しうるかを特定し、モデルのセーフガードをストレステストする。
For AI, red-teaming is a structured testing effort to find flaws and vulnerabilities in an AI system such as false, toxic, or discriminatory outputs in an AI system. Red teaming can be performed before or after AI models or systems are made available to the broader public. Complementary groups with diverse expertise can elicit different types of harms in AI red-teaming activities. Experts can emulate malicious behavior and surface narrow or targeted harms. Members of the general public can help to gather data en-masse for identifying systemic or diffuse harms. Red-teaming results can lead to remedies for harmful model functionality. However – similar to model testing – red-teaming cannot provide direct insights about whether such functionality is realized when people interact with AI systems in regular use.  AIの場合、レッドチームとは、AIシステムの虚偽、有害、差別的な出力など、AIシステムの欠陥や脆弱性を見つけるための構造化されたテストの取り組みである。レッドチームは、AIモデルやシステムが広く一般に公開される前でも後でも実施できる。多様な専門知識を持つ相補的なグループは、AIのレッドチーム活動において異なるタイプの危害を引き出すことができる。専門家は、悪意のある行動をエミュレートし、狭い範囲や標的を絞った危害を表面化させることができる。一般市民は、組織的または拡散的な危害を特定するために、大量のデータ収集に協力することができる。レッドチームの結果は、有害なモデル機能の改善策につながる可能性がある。しかし、モデルテストと同様に、レッドチームでは、人々がAIシステムを通常使用する際に、そのような機能が実現されているかどうかについての直接的な洞察を得ることはできない。
3. Large-scale field testing to help reveal how the public consumes and makes sense of AI-generated information in their regular interactions with technology, including subsequent actions and effects.   3. 大規模なフィールドテストは、その後の行動や効果を含め、一般大衆がテクノロジーとの日常的な相互作用の中で、どのようにAI生成的情報を消費し、理解するかを明らかにするのに役立つ。 
ARIA field testing may entail several thousands of human participants interacting with AI applications in realistic settings across multiple sessions under test or control conditions. This approach will enable evaluation of AI’s negative and positive impacts in the systems’ native context of use from a human perspective and enhance understanding of AI capabilities and impacts in postdeployment contexts. ARIA’s field testing is designed to help reveal what happens in people’s regular interactions with technology. When conducted alongside model testing and red-teaming, results from the large number of human interactions in field testing can reveal:   ARIAのフィールドテストでは、数千人の人間の参加者が、テストまたはコントロールの条件下で、複数のセッションにわたって、現実的な設定でAIアプリケーションと相互作用する。このアプローチにより、システム本来の使用状況におけるAIのネガティブな影響とポジティブな影響を人間の視点から評価し、配備後の状況におけるAIの能力と影響についての理解を深めることができる。ARIAのフィールドテストは、人々がテクノロジーと日常的に接する際に何が起きているかを明らかにすることを目的としている。モデルテストやレッドチームと並行して実施することで、フィールドテストにおける多数の人間とのインタラクションの結果を明らかにすることができる:  
● types of content and model functionality individuals were actually exposed to when interacting with the system;  ・システムとのインタラクションにおいて、個人が実際に接触したコンテンツやモデルの機能の種類; 
● whether, how often, and for whom the interaction contributed to a positive or negative impact;   ・そのインタラクションが、誰にとって、どのような頻度で、プラスに作用したのか、あるいはマイナスに作用したのか;  
ARIA Metrics  ARIAメトリクス 
Starting with the ARIA 0.1 pilot, evaluation output from all three levels will be annotated by professional assessors. Submitted models and systems will be evaluated using a suite of metrics focused on technical and societal robustness. Metrics will be developed in collaborative engagement with the ARIA research and participant community.   ARIA 0.1パイロット版から、3つのレベルすべてからの評価出力は、専門の評価者によって注釈が付けられる。提出されたモデルやシステムは、技術的および社会的な堅牢性に焦点を当てた一連の評価基準を用いて評価される。評価指標は、ARIAの研究および参加者コミュニティとの共同作業により開発される。 
NIST will also run a mini challenge within ARIA for additional development and refinement of societal impact metrics. NIST will provide output data from all three evaluation levels after the completion of the ARIA 0.1 pilot for the challenge, so the broader measurement community can:  NISTはまた、ARIA内でミニチャレンジを実施し、社会的影響評価指標のさらなる開発と改良を行う。NISTは、ARIA 0.1パイロットが完了した後、3つの評価レベルすべてから出力データを提供する: 
● pursue valid and generalizable societal impact metrics for the field of AI safety and trustworthiness;  ・AIの安全性と信頼性の分野において、有効で一般化可能な社会的影響評価指標を追求する; 
● inform other AI safety evaluation efforts; and  ・他のAIの安全性評価の取り組みに情報を提供する。
● establish a diverse measurement community that brings new perspectives to the development of innovative metrics in the field of safe and trustworthy AI. ・安全で信頼できるAIの分野における革新的な測定基準の開発に新たな視点をもたらす多様な測定コミュニティを確立する。

 

 

Assessing Risks and Impacts of AI

・2024.05.21 [PDF] ARIA 0.1 Draft Evaluation Plan

20240530-180529

・[PDF] ARIA FAQ

20240530-181046

仮対訳...

Frequently Asked Questions about NIST’s ARIA Program (Assessing Risks and Impacts of AI)  For Release May 9, 2024  NISTのARIAプログラム(AIのリスクと影響のアセスメント)に関するよくある質問 2024年5月9日リリース予定 
1. How does ARIA fit in with NIST's other evaluation programs?  1. ARIAはNISTの他の評価プログラムとどのような関係にあるのか?
As the Nation’s oldest measurement laboratory, NIST routinely employs evaluation-driven research to advance measurement science, inform and accelerate the development of emerging technologies, and drive innovation. ARIA (Assessing Risks and Impacts of AI) is a research effort to assist AI evaluators in improving their assessment methods. ARIA evaluations will fill in measurement gaps related to how technology integrates with society and creates impacts.   米国最古の計測研究所であるNISTは、計測科学を発展させ、新技術の開発に情報を提供し、その開発を加速させ、イノベーションを推進するために、評価主導の研究を日常的に採用している。ARIA(Assessing Risks and Impacts of AI)は、AI評価者の評価方法の改善を支援するための研究活動である。ARIAの評価は、技術がどのように社会と融合し、影響を生み出すかに関する測定のギャップを埋めるものである。 
2. How does ARIA connect to the US AI Safety Institute and consortium?  2. ARIAと米国AI安全性研究所やコンソーシアムとの関係は?
ARIA is a new internal NIST effort to develop a testing environment for advancing measurement science in Trustworthy AI. The ARIA effort will inform the work of the U.S. AI Safety Institute and over time, the U.S. AI Safety Institute Consortium may assist in enhancing and producing ARIAstyle evaluations at scale, useful for all industries.  ARIAは、Trustworthy AIにおける計測科学を発展させるための試験環境を開発するNIST内部の新しい取り組みである。ARIAの取り組みは、米国AI安全性研究所の活動に影響を与え、やがて、米国AI安全性研究所コンソーシアムは、すべての機構に有用なARIAスタイルの評価を強化し、大規模に生産することを支援する可能性がある。
3. Does ARIA fulfill one of NIST's assignments in the October 2023 AI Executive Order?  3. ARIAは、2023年10月のAI大統領令におけるNISTの任務の一つを果たしているか?
Yes. ARIA is one of several NIST evaluation initiatives that partially addresses NIST’s assignment under Section 4.1 (a)(i)(C) of the President’s Executive Order on Safe, Secure, and Trustworthy Artificial Intelligence (14110) to launch an initiative to create guidance and benchmarks for evaluating and auditing AI capabilities.   そうである。ARIAは、安全、安心、信頼できる人工知能に関する大統領令(14110)の第4.1節(a)(i)(C)に基づき、AI能力を評価・監査するためのガイダンスとベンチマークを作成するイニシアチブを立ち上げるというNISTの課題に部分的に対応するNISTの評価イニシアチブの1つである。 
4. Does NIST select which systems to test?  4. NISTはテストするシステムを選定するのか?
No. For decades, NIST’s Information Technology Laboratory (ITL) has been conducting evaluation-driven research of algorithms and other system components in technology fields such as biometrics, multimedia, and information retrieval. As a neutral party, NIST does not select which systems to test, conduct product testing, or test any technology that has not been submitted by the owning entity. ITL evaluations remain open to any researcher, team, or interested party who finds it of interest, are able to submit their technology applications for measurement, and can comply with the evaluation rules.   NISTの情報技術研究所(ITL)は何十年もの間、バイオメトリクス、マルチメディア、情報検索などの技術分野において、アルゴリズムやその他のシステム・コンポーネントの評価主導型研究を実施してきた。中立的な立場であるNISTは、どのシステムをテストするかを選択したり、製品テストを実施したり、事業体から提出されていない技術をテストしたりすることはない。ITL評価には、研究者、チーム、利害関係者など、関心を持ち、測定のための技術アプリケーションを提出でき、評価規則を遵守できる者であれば誰でも参加できる。 
NIST-run evaluations are designed to be widely accessible and utilize a set of common tasks, data, metrics, and measurement methods to reduce the total overhead necessary to conduct research, assess current state of the art, and identify the most promising research directions. For more information about NIST AI technology evaluations, see  NISTが実施する評価は、広くアクセスできるように設計されており、研究を実施するために必要なオーバーヘッドを削減し、技術の現状を評価し、最も有望な研究の方向性を特定するために、一連の共通タスク、データ、メトリクス、測定方法を利用する。NISTのAI技術評価の詳細については、以下を参照のこと。
[web]
[web]
5. Is NIST evaluating models or approaches in ARIA?  5. NISTはARIAのモデルやアプローチを評価しているのか?
Both. The first ARIA activities will focus on risks and impacts associated with large language models (LLM), including the use of AI agents. The risks and impacts of LLMs will be evaluated across three levels – model testing, red-teaming, and field testing.  両方である。最初のARIA活動は、AIエージェントの使用を含む大規模言語モデル(LLM)に関連するリスクと影響に焦点を当てる。LLMのリスクと影響は、モデルテスト、レッドチーム、フィールドテストの3つのレベルで評価される。
As an evaluation of safe and trustworthy AI, submitting organizations will be required to provide documentation about their models, approaches, mitigations, and guardrails, along with information about their governance processes. In future evaluations, documentation requirements may be expanded and constitute part of the final score.     安全で信頼できるAIの評価として、プロバイダは、ガバナンス・プロセスに関する情報とともに、モデル、アプローチ、低減、ガードレールに関する文書を提出することが求められる。将来の評価では、文書化要件は拡大され、最終スコアの一部を構成する可能性がある。   
6. Will all ARIA evaluations be limited to generative AI?  6. すべてのARIA評価は生成的AIに限定されるのか?
While the first set of ARIA activities will focus on risks related to the generative AI technology of LLMs, the ARIA evaluation environment is flexible and future iterations will broaden beyond generative AI. ARIA participant community and other researchers can provide input on future evaluation topics, domains, and technologies. For example, subsequent ARIA evaluations may consider other generative AI technologies such as text-to-image models, or other forms of AI such as recommender systems or decision support tools.  ARIAの最初の活動では、LLMの生成的AI技術に関連するリスクに焦点を当てるが、ARIAの評価環境は柔軟であり、将来的には生成的AI以外にも拡大する。ARIAの参加者コミュニティや他の研究者は、将来の評価テーマ、ドメイン、技術について意見を提供することができる。例えば、今後のARIA評価では、テキストから画像へのモデルのような他の生成的AI技術や、レコメンダー・システムや意思決定支援ツールのような他の形態のAIが検討されるかもしれない。
7. What metrics will NIST use in the ARIA evaluation?  7. NISTはARIA評価にどのような評価指標を用いるのか?
ARIA will originate a suite of qualitative, quantitative, and mixed methods to measure risks, impacts, trustworthy characteristics, and technical and societal robustness of models within the specified context of use. NIST will develop these metrics in close collaboration with ARIA participants. Selected ARIA evaluation output data will be made available as a rich corpus for research purposes, including the development of novel metrics for use in ARIA.   ARIAは、リスク、影響、信頼できる特性、特定された使用状況におけるモデルの技術的・社会的頑健性を測定するために、一連の定性的、定量的、混合的な手法を開発する。NISTは、ARIA参加者と緊密に協力してこれらの評価指標を開発する。選択されたARIA評価出力データは、ARIAで使用するための新しい評価指標の開発を含む研究目的のために、豊富なコーパスとして利用できるようにする。 
8. Why would vendors participate in ARIA?  8. なぜベンダーはARIAに参加するのか?
NIST evaluations provide all participants with the opportunity to obtain vital information about their submitted technology components, make adjustments based on what they learned, and resubmit for further testing. While many organizations evaluate their technology internally, involvement in NIST evaluations allows all participants to determine what is working with their models, often in comparison to other organizations on the same tests, with the same data, and under the same conditions. While the ARIA evaluations are open to all who wish to participate, the evaluation cycle typically concludes with a participant-only workshop to discuss information about new and promising approaches that may assist submitters’ understanding about how they might improve their models. Teams participating in ARIA can expect to glean information during testing and the workshop(s) that will help deliver safe and trustworthy AI.  NISTの評価は、すべての参加者に、提出した技術コンポーネントに関する重要な情報を入手し、学んだことに基づいて調整を行い、さらなるテストのために再提出を行う機会を提供する。多くの組織が内部で技術を評価しているが、NISTの評価に参加することで、すべての参加者が、同じテスト、同じデータ、同じ条件下で、他の組織と比較しながら、自分たちのモデルで何がうまくいっているかを判断することができる。ARIAの評価は、参加を希望するすべての人に開かれているが、評価サイクルは通常、参加者限定のワークショップで締めくくられ、モデルの改善方法について提出者の理解を助けるような、新しい有望なアプローチに関する情報を議論する。ARIAに参加するチームは、テストやワークショップを通じて、安全で信頼できるAIの提供に役立つ情報を得ることができる。
9. Will results be made public? Are results anonymous?  9. 結果は公開されるのか?結果は匿名か?
NIST evaluation results are made publicly available. The level of information to be made public is predetermined for each evaluation. ARIA participants may decide to anonymize their submissions so that each team only knows how they performed in comparison to others. Even when results are not tied to a particular participating organization, the public will have access to the specific results of all technologies which have been evaluated. That information is valuable in gaining an understanding of how these technologies perform in a real-world context. NISTの評価結果は公開される。公開される情報のレベルは、評価ごとにあらかじめ決められている。ARIAの参加者は、各チームが他のチームと比較してどのような結果を出したかだけを知ることができるように、提出書類の匿名化を決定することができる。結果が特定の参加団体と結びつけられていない場合でも、一般市民は評価されたすべての技術の具体的な結果にアクセスすることができる。その情報は、これらの技術が現実の世界でどのように機能するかを理解する上で貴重である。

 

 

 

● Trustworthy & Responsible AI Resource Center

・[PDF] AI Risk Management Framework (RMF)

20240530-181903

・・[DOCX] 仮訳

 

・[PDF] AI RMF Playbook

20240530-182112

 

 


 

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

・2023.01.27 NIST AIリスクフレームワーク

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

 

 

| | Comments (0)

2024.05.30

欧州 EDPB 空港での顔認識:個人は生体データを最大限に管理すべきである (2024.05.24)

こんにちは、丸山満彦です。

空港会社が空港での乗客の流れを合理的にするための顔認識技術の利用に関する意見書をEDPBが採択し、公表していますね...


完全性と機密性の原則、設計とデフォルトによるデータ保護、および処理のセキュリティに適合する唯一の保管ソリューションは、生体データが本人の手元に保管されるか、中央データベースに保管されるが、暗号鍵は本人の手元にのみ保管されるソリューションである


 

という感じの様ですね..

ちなみに、今回の意見書は、安全保障目的、国境管理、法執行利用は対象外です...

European Data Protection Board; EDPB

・2024.05.24 Facial recognition at airports: individuals should have maximum control over biometric data

Facial recognition at airports: individuals should have maximum control over biometric data 空港での顔認識:個人は生体データを最大限に管理すべきである
Brussels, 24 May - During its latest plenary, the EDPB adopted an Opinion on the use of facial recognition technologies by airport operators and airline companies to streamline the passenger flow at airports*. This Article 64(2) Opinion, following a request from the French Data Protection Authority, addresses a matter of general application and produces effects in more than one Member State . ブリュッセル、5月24日 - EDPBは最新の本会議において、空港における乗客の流れを合理化するための空港運営会社および航空会社による顔認識技術の利用に関する意見書を採択した*。この第64条2項に関する意見は、フランスのデータ保護局からの要請を受けたもので、一般的な適用事項を扱い、複数の加盟国に影響を及ぼすものである。
EDPB Chair Anu Talus said: “More and more airport operators and airline companies around the world are piloting facial recognition systems allowing passengers to go more easily through the various checkpoints. It is important to be aware that biometric data are particularly sensitive and that their processing can create significant risks for individuals. Facial recognition technology can lead to false negatives, bias and discrimination. Misuse of biometric data can also have grave consequences, such as identity fraud or impersonation. Therefore, we urge airline companies and airport operators to opt for less intrusive ways to streamline passenger flows, when possible. In the view of the EDPB, individuals should have maximum control over their own biometric data.” EDPBのアヌ・タルス委員長は次のように述べた: 「世界中のますます多くの空港運営会社や航空会社が、乗客が様々なチェックポイントをより簡単に通過できるよう、顔認識システムを試験的に導入している。生体データは特にセンシティブであり、その処理は個人にとって重大なリスクになりうることを認識することが重要である。顔認識技術は、誤認識やバイアス、識別的な問題を引き起こす可能性がある。生体データの悪用は、ID詐欺やなりすましといった重大な結果をもたらす可能性もある。したがって、我々は航空会社や空港運営者に対し、乗客の流れを合理化するため、可能な限り、より侵入的でない方法を選択するよう求める。EDPBの見解では、個人は自身の生体データを最大限に管理すべきである。」
The Opinion analyses the compatibility of the processing with the storage limitation principle (Article 5(1)(e) GDPR), the integrity and confidentiality principle (Article 5(1)((f)) GDPR, data protection by design and default (Article 25 GDPR) and security of processing (Article 32 GPDR). Compliance with other GDPR provisions including regarding the lawfulness of the processing are not in scope of this Opinion.** 意見書は、保存制限原則(GDPR第5条1項(e))、完全性・機密性原則(GDPR第5条1項(f))、設計によるデータ保護、およびデータ保護と処理の適合性を分析している。GDPR)、設計およびデフォルトによるデータ保護(GDPR第25条)、および処理のセキュリティ(GPDR第32条)との適合性である。処理の合法性を含む他のGDPR条項の遵守は、本意見書の対象外である**。
There is no uniform legal requirement in the EU for airport operators and airline companies to verify that the name on the passenger’s boarding pass matches the name on their identity document, and this may be subject to national laws. Therefore, where no verification of the passengers’ identity with an official identity document is required, no such verification with the use of biometrics should be performed, as this would result in an excessive processing of data. 乗客の搭乗券に記載された氏名が身分証明書に記載された氏名と一致するかどうかを空港運営者や航空会社が確認するための統一的な法的要件はEUにはなく、これは国内法に従う可能性がある。したがって、公的 ID 文書による乗客の身元検証を必要としない場合、生体データを使用した検証は、過剰なデータ処理につながるため、これを行うべきではない。
In its Opinion, the EDPB considered the compliance of processing of passengers’ biometric data with four different types of storage solutions, ranging from ones that store the biometric data only in the hands of the individual to those which rely on centralised a storage architecture with different modalities. In all cases, only the biometric data of passengers who actively enrol and consent to participate should be processed. EDPB は、その意見書の中で、生体データを本人の手にのみ保管するものから、異なる様式を持つ集中型保管アーキテクチャーに依存するものまで、4 種類の保管ソリューションによる乗客の生体データ処理のコンプライアンスを検討した。いずれの場合も、積極的に登録し、参加に同意した乗客の生体データのみが処理されるべきである。
The EDPB found that the only storage solutions which could be compatible with the integrity and confidentiality principle, data protection by design and default and security of processing, are the solutions whereby the biometric data is stored in the hands of the individual or in a central database but with the encryption key solely in their hands. These storage solutions, if implemented with a list of recommended minimum safeguards, are the only modalities which adequately counterbalance the intrusiveness of the processing by offering individuals the greatest control. EDPBは、完全性と機密性の原則、設計とデフォルトによるデータ保護、および処理のセキュリティに適合する唯一の保管ソリューションは、生体データが本人の手元に保管されるか、中央データベースに保管されるが、暗号化キーは本人の手元にのみ保管されるソリューションであることを発見した。これらの保管方法は、推奨される最低限の保護措置のリストとともに実施される場合、個人に最大のコントロールを提供することによって、処理の侵入性を適切に相殺する唯一の方法である。
The EDPB found that the solutions based on the storage in a centralised database either within the airport or in the cloud, without the encryption keys in the hands of the individual, cannot be compatible with the requirements of data protection by design and default and, if the controller limits themselves to the measures described in the scenarios analysed, would not comply with the requirements of security of processing. EDPBは、空港内またはクラウド上の集中化されたデータベースへの保存に基づくソリューションは、暗号化キーが個人の手元にない場合、デザインおよびデフォルトによるデータ保護の要件に適合せず、管理者が分析されたシナリオに記載された措置に限定した場合、処理のセキュリティ要件に適合しないことに気づいた。
Regarding the principle of storage limitation, controllers need to ensure they have a sufficient justification for the envisaged retention period and limit it to what is necessary for the proposed purpose. 保存制限の原則については、管理者は、想定される保存期間について十分な正当性を確保し、提案された目的に必要な期間に制限する必要がある。
Next, a report was adopted by the DPAs on the work of the ChatGPT taskforce. This taskforce was created by the EDPB to promote cooperation between DPAs investigating the chatbot developed by OpenAI. 次に、ChatGPTタスクフォースの作業に関する報告書が採択された。このタスクフォースは、OpenAIによって開発されたチャットボットを調査するDPA間の協力を促進するためにEDPBによって創設された。
The report provides preliminary views on certain aspects discussed between DPAs and does not prejudge the analysis that will be made by each DPA in their respective, ongoing investigation***. この報告書は、DPA間で議論された特定の側面に関する予備的見解を提供するものであり、各DPAがそれぞれ進行中の調査***で行う分析を予断するものではない。
It analyses several aspects concerning common interpretation of the applicable GDPR provisions relevant for the various ongoing investigations, such as: 本報告書は、現在進行中の様々な調査に関連するGDPR規定の共通解釈に関するいくつかの側面を分析している:
lawfulness of collecting training data (“web scraping”), as well as processing of data for input, output and training of ChatGPT. ・トレーニングデータの収集(「ウェブスクレイピング」)の違法性、およびChatGPTの入力、出力、トレーニングのためのデータ処理。
fairness: ensuring compliance with the GDPR is a responsibility of OpenAI and not of the data subjects, even when individuals input personal data. 公平性:GDPRの遵守はOpenAIの責任であり、個人が個人データを入力する場合であってもデータ主体の責任ではない。
transparency and  data accuracy: the controller should provide proper information on the probabilistic nature of ChatGPT’s output and refer explicitly to  the fact that the generated text may be biased or made up. 透明性とデータの正確性:データ管理者は、ChatGPTの出力の確率的性質について適切な情報を提供し、生成されたテキストがバイアスやでっち上げである可能性があることに明示的に言及すべきである。
・The report points out that it is imperative that data subjects can exercise their rights effectively. ・報告書は、データ主体がその権利を効果的に行使できることが不可欠であると指摘している。
Taskforce members also developed a common questionnaire as a possible basis for their exchanges with Open AI, which is published as an annex to the report. また、タスクフォースメンバーは、Open AIとの意見交換の基礎となりうる共通の質問票を作成し、報告書の付属文書として公表した。
Furthermore, the EDPB decided to develop guidelines on Generative AI, focusing as a first step on data scraping in the context of AI training. さらに、EDPBは、生成的AIに関するガイドラインを作成することを決定し、その第一歩として、AIトレーニングの文脈におけるデータスクレイピングに焦点を当てた。
Finally, the EDPB adopted a statement on the Commission's "Financial data access and payments package" (which includes the proposals for the Regulation on the framework for Financial Data Access (FIDA), on the Payments Service Regulation (PSR) and on the Payment Services Directive 3 (PSD3)). 最後に、EDPBは欧州委員会の「金融データアクセスと決済パッケージ」(金融データアクセスの枠組みに関する規則(FIDA)、決済サービス規則(PSR)、決済サービス指令3(PSD3)に関する提案を含む)に関する声明を採択した。
The EDPB takes note of the European Parliament’s reports on the FIDA and PSR proposals, but considers that, with regard to the prevention and detection of fraudulent transactions, additional data protection safeguards should be included in the transaction monitoring mechanism of the PSR Proposal. It is important to ensure that the level of interference with the fundamental right to the protection of personal data of persons concerned is necessary and proportionate to the objective of preventing payment fraud. EDPBは、FIDAおよびPSR提案に関する欧州議会の報告書に留意しつつも、不正取引の防止・検知に関しては、PSR提案の取引監視メカニズムにデータ保護のための追加的な保護措置を盛り込むべきであると考える。関係者の個人データ保護の基本的権利に対する干渉のレベルが、決済詐欺を防止するという目的に対して必要かつ比例的であることを確認することが重要である。
Note to editors: 編集者注記
* The Opinion has a limited scope and does not examine the use of facial recognition in general and in particular it does not cover the use of facial recognition for security purposes, border control or by law enforcement agencies. * 本意見書の対象範囲は限定的であり、顔認識の利用全般を検討するものではなく、特に、安全保障目的、国境管理、法執行機関による顔認識の利用は対象としていない。
** In the request, it is assumed that the processing would be based on each passenger’s consent. However, based on the limited scope of the request, the Opinion does not examine the legal basis and in particular the validity of consent for such processing. ** 要望書では、処理は各乗客の同意に基づいて行われると想定されている。しかし、要請の範囲が限定的であることから、本意見書ではそのような処理に関する法的根拠、特に同意の有効性については検討していない。
***Until 15 February 2024, OpenAI did not have an establishment in the EU, therefore the one-stop-shop mechanism (OSS) did not apply and each DPA is competent regarding potential infringements that were committed and ended prior to that date. National investigations concerning potential infringements committed prior to February 2024 will continue to be discussed in the taskforce. For infringements continuing or occurring after February 2024, the OSS mechanism applies. ***2024年2月15日までは、OpenAIはEU域内に拠点を持たなかったため、ワンストップショップメカニズム(OSS)は適用されず、それ以前に行われ、終了した違反の可能性については、各DPAが権限を有する。2024年2月以前に行われた潜在的侵害に関する国内調査は、引き続きタスクフォースで議論される。2024年2月以降に継続または発生した侵害については、OSSメカニズムが適用される。

 

・2024.05.24 [PDF] Opinion 11/2024 on the use of facial recognition to streamline airport passengers’ flow (compatibility with Articles 5(1)(e) and(f), 25 and 32 GDPR

20240529-82115

・[DOCX][PDF] 仮訳

 

エグゼクティブサマリー...

Executive summary   エグゼクティブサマリー  
The French Supervisory Authority requested the European Data Protection Board to issue an opinion on the use of facial recognition technology by airport operators and airline companies for biometricenabled authentication or identification of passengers to streamline the passenger flow at airports.  フランス監督当局は欧州データ保護委員会に対し、空港での乗客の流れを合理化するために、空港運営会社や航空会社が乗客の生体認証や本人確認のために顔認識技術を使用することについて意見を出すよう要請した。 
As a preliminary remark, the Board recalls that the use of biometric data and in particular facial recognition technology entails heightened risks to data subjects’ rights and freedoms. It concerns processing of biometric data which is granted special protection under Article 9 GDPR. Before using such technologies, even if they were to be considered particularly effective, controllers should assess the impact on data subjects’ fundamental rights and freedoms and consider whether less intrusive means may achieve their legitimate purpose of the processing.   予備的発言として、理事会は、生体データ、特に顔認識技術の使用は、データ主体の権利と自由に対するリスクの高まりを伴うことを想起する。これは、GDPR第9条で特別な保護が認められている生体データの処理に関するものである。そのような技術を使用する前に、たとえそれが特に効果的であると考えられるとしても、データ管理者はデータ主体者の基本的権利と自由への影響をアセスメントし、より侵入的でない手段で処理の正当な目的を達成できるかどうかを検討すべきである。  
The scope of this Opinion, as per the request, is limited to the compatibility of the processing with Article 5(1)(e) and (f), and Articles 25 and 32 GPDR for the specific purpose of streamlining the passenger flow at airports at four specific checkpoints, namely at security checkpoints, baggage dropoff, boarding and access to passenger lounge. This Opinion does not include a full and complete analysis on the compliance with the GDPR by the relevant controller(s) in each case, as well as their processor(s), if applicable. Therefore, this Opinion is without prejudice to a case-by-case legal and technical analysis based on a controller’s specific envisaged processing and circumstances. Moreover, the analysis of the applicable legal basis is not within the scope of the questions submitted to the Board in the request and as a result, the validity of consent for such processing, in accordance with Articles 6, 7 and 9 GDPR, is not examined in this Opinion. Furthermore, the present Opinion is without prejudice to the restrictions on the use of biometric data laid down under Member State law.  本意見書の範囲は、要請に従い、空港における4つの特定のチェックポイント、すなわち保安検査場、手荷物預け入れ場、搭乗場および乗客ラウンジへのアクセスにおける乗客の流れを合理化するという特定の目的のために、第5条(1)(e)および(f)、ならびにGPDR第25条および第32条に適合する処理に限定される。本意見書には、各事案における関連する管理者(複数可)および該当する場合はその処理者(複数可)によるGDPRの遵守に関する完全かつ完全な分析は含まれていない。したがって、本意見書は、管理者の具体的に想定される処理および状況に基づくケースバイケースの法的および技術的分析を妨げるものではない。さらに、適用される法的根拠の分析は、要請において理事会に提出された質問の範囲内ではなく、その結果、GDPR第6条、第7条および第9条に基づく当該処理に対する同意の有効性は、本意見書では検討されない。さらに、本意見書は、加盟国の法律で定められた生体データの使用に関する制限を妨げるものではない。 
In this Opinion, the Board assesses the compliance of the processing with the above mentioned GDPR provisions in the context of four specific scenarios.   本意見書において、理事会は、4つの具体的なシナリオに即して、上記のGDPR規定への処理の準拠をアセスメントしている。  
The first scenario involves the storage of an enrolled biometric template in the hands of the individual, for example, on their individual device, under their sole control in order to authenticate (1:1 comparison) the passenger as they proceed through the above mentioned airport checkpoints.   第 1 のシナリオは、上記の空港のチェックポイントを通過する乗客を認証(1:1比較)するために、登録されたバイオメトリック・テンプレートを、例えば、個人のデバイスに、個人の管理下で、個人の手に保存することである。  
The Board concludes that the measures chosen could be considered to have met the necessity principle if the controller can demonstrate that there are no less intrusive alternative solutions that could achieve the same objective as effectively. In addition, the intrusiveness of the processing can be counterbalanced by the active involvement of the passengers as their biometric template is stored in their hands only, for example, on their individual device, under their sole control and their data is deleted shortly after the matching is completed. On this basis, the Board concludes that the processing envisaged in the first scenario could be considered in principle compatible with Articles 5(1)(f), 25 and 32 GDPR subject to the implementation of appropriate safeguards.   理事会は、管理者が同じ目的を効果的に達成できる、より侵入性の低い代替手段がないことを証明できる場合、選択された手段は必要性の原則を満たしていると考えられると結論付けた。加えて、生体データが乗客の手元のみに保存され、例えば、乗客の個人所有のデバイスに保存され、乗客が単独で管理し、生体データは照合が完了した直後に削除されるため、処理の侵入性は乗客の積極的な関与によって相殺される。これに基づき、理事会は、最初のシナリオで想定される処理は、適切な保護措置の実施を条件として、原則的にGDPR第5条1項(f)、第25条および第32条に適合すると考えられると結論付けた。  
The Board has identified safeguards which as a minimum should be implemented for a solution similar to the first scenario.  理事会は、最初のシナリオと同様の解決策を講じるために最低限実施すべきセーフガードを特定した。 
The second scenario involves the centralised storage, within the airport, of an enrolled biometric template in an encrypted form with a key/ secret solely in the passenger’s hands. This enables passenger authentication (1:1 comparison) as they proceed through the above mentioned airport checkpoints. The enrolment is valid for a given period, which, for example, could be up to one year after the last flight was taken up to the passport expiry date.  第 2 のシナリオは、空港内で、登録されたバイオメトリック・テンプレートを、暗号化された形 で、鍵/秘密とともに、乗客の手元のみに集中保管することである。これにより、上記の空港のチェックポイントを通過する際の乗客認証(1対1の比較)が可能になる。登録は所定の期間有効であり、例えば、最後のフライトからパスポートの有効期限まで1年間有効である。 
The Board concludes that the processing could be considered to have met the necessity principle if the controller can demonstrate that there are no less intrusive alternative solutions that could achieve the same objective as effectively. Moreover, the intrusiveness of the processing can be counterbalanced by the active involvement of the passenger as they hold under their sole control the key/ secret to their encrypted biometric data. Assuming the controller implements appropriate safeguards, security risks from using a centralised database in this scenario could be mitigated and the negative impact on the data subjects’ fundamental rights and freedoms could be considered proportional to the anticipated benefit. Regarding the principle of storage limitation, no information has been provided to the Board to substantiate the long storage period. In order to achieve compatibility with Article 5(1)(e) GDPR in this scenario, the controllers should be able to justify why the envisaged retention period is necessary for the purpose in specific cases. The Board recommends that controllers envisage the shortest possible storage period while offering passengers the option to set their preferred storage period. On this basis, the Board concludes that the processing envisaged in scenario 2 could be considered in principle compatible with Articles 5(1)(e), 5(1)(f), 25 and 32 GDPR, subject to the implementation of appropriate safeguards.  理事会は、管理者が、同じ目的を効果的に達成できる、より侵入性の低い代替手段がないことを証明できる場合、その処理は必要性の原則を満たしていると考えられると結論付けた。さらに、暗号化された生体データの鍵/秘密を乗客が単独で管理しているため、乗客の積極的な関与によって、処理の侵入性が相殺される可能性がある。管理者が適切な保護措置を講じることを前提にすれば、このシナリオで集中化されたデータベースを使用することによるセキュリティリスクは低減され、データ主体の基本的権利および自由に対する負の影響は、予想される利益に比例すると考えられる。保存制限の原則に関して、長期間の保存期間を立証する情報は理事会に提供されていない。このシナリオにおいてGDPR第5条1項(e)との適合性を達成するためには、管理者は、具体的なケースにおいて、想定される保存期間が目的上必要である理由を正当化できるようにすべきである。理事会は、管理者が可能な限り短い保存期間を想定する一方で、利用者が希望する保存期間を設定できるオプションを提供することを推奨する。これに基づき、審査会は、シナリオ2で想定される処理は、適切な保護措置の実施を条件として、原則としてGDPR第5条1項(e)、5条1項(f)、25条および32条に適合すると考えられると結論付けた。 
The Board has identified safeguards which as a minimum should be implemented for a solution similar to the second scenario.  理事会は、第 2 のシナリオと同様の解決策を講じるために最低限実施すべきセーフガードを特定した。 
The third scenario involves the centralised storage of an enrolled biometric template in an encrypted form within the airport under the airport operator’s control. This enables passenger identification (1:N comparison), as they proceed through the above mentioned airport checkpoints. The storage period in this scenario is typically 48 hours and the data is deleted once the plane has taken off.  第 3 のシナリオは、空港運営者の管理下で、登録されたバイオメトリック・テンプレートを暗号化 された形で空港内に集中保管することである。これにより、上記の空港のチェックポイントを通過する際の乗客識別(1:N比較)が可能になる。このシナリオでの保存期間は通常48時間で、飛行機が離陸するとデータは削除される。 
As the storage of the ID and biometric data is in a central database, if the confidentiality of the database is compromised, it may subsequently entail access to the whole set of data and could enable unauthorised or unlawful identification of passengers in other environments. The centralised storage architecture under the control of the airport operator also leads to the passenger losing control of their data to a greater extent. The Board considers that a similar result to streamlining the passenger flow at airports can be achieved in a less intrusive manner and the negative impact on the data subjects’ fundamental rights and freedoms that would result from a data breach in a centralised database of biometric data seems to outweigh the anticipated benefit resulting from the processing. Therefore, the processing cannot meet the necessity and proportionality principles. On this basis, the Board concludes that the processing envisaged in the third scenario cannot be compatible with Article 25 GDPR. Also, it would not comply with Articles 5(1)(f) and 32 GDPR if a controller would limit themselves to the measures as described in this scenario.  IDおよび生体データの保存は中央データベースにあるため、データベースの機密性が 損なわれると、その後にデータ一式にアクセスすることになり、他の環境でも乗客の無許可または不法な識別が可能になる可能性がある。また、空港運営者の管理下にある一元化された保管構造は、乗客が自分のデータをより大きく管理できなくなることにもつながる。審査委員会は、空港における乗客の流れを合理化することと同様の結果を、より侵入的でない方法で達成することが可能であり、生体データの一元化されたデータベースにおけるデータ漏洩から生じるデータ主体の基本的権利および自由への悪影響は、処理から生じる予想される利益を上回ると考える。したがって、この処理は必要性および比例原則を満たすことはできない。これに基づき、理事会は、第3のシナリオで想定される処理はGDPR第25条に適合しないと結論付けた。また、管理者がこのシナリオに記載されているような措置に限定する場合、GDPR第5条1項(f)および第32条に適合しない。 
The fourth scenario involves the centralised storage of an enrolled biometric template in an encrypted form in the cloud under the control of the airline company or its cloud service provider. This enables passenger identification (1:N comparison) as they proceed through the above mentioned airport checkpoints. The storage period in this scenario can potentially be for as long as the customer holds an account with the airline company.  第4のシナリオは、航空会社またはそのクラウドサービスプロバイダの管理下で、登録されたバイオメトリックテンプレートを暗号化された形でクラウドに集中保管することである。これにより、上記の空港のチェックポイントを通過する際の乗客の識別(1:N比較)が可能になる。このシナリオにおける保存期間は、顧客が航空会社のアカウントを保持している限り、潜在的に長くなり得る。 
As the storage of the ID and biometric data is in a central database in the cloud, multiple entities could have access to such data, including possibly non-EEA providers. The passenger’s data is decrypted when in use and the keys are under the control of the airline company or its processors, which could increase the security exposure surface. Such centralised storage architecture also leads to the passenger losing control of their data to a greater extent. The data could also be stored for a significant period of time, which exposes the data to higher risks of a security breach and seems to go beyond what is strictly necessary and proportionate for the purposes of processing, unless further apparent measures are taken to mitigate the risks to individuals.   IDおよび生体データの保存はクラウド上の中央データベースにあるため、複数の事業 体がそのようなデータにアクセスできる可能性があり、これにはおそらくEEA以外のプロバイダも 含まれる。乗客のデータは使用時に復号化され、鍵は航空会社またはそのデータ処理者の管理下に置かれる。また、このような一元化されたストレージ・アーキテクチャは、乗客が自分のデータをより大きく管理できなくなることにもつながる。また、データはかなりの期間保存される可能性があるため、個人へのリスクを軽減するためにさらに明白な措置が取られない限り、データはセキュリティ侵害の高いリスクにさらされ、処理目的のために厳密に必要かつ適切な範囲を超えるように思われる。  
The Board considers that a similar result to streamlining the passenger flow at airports can be achieved in a less intrusive manner and the negative impact on the data subjects’ fundamental rights and freedoms that could result from a data breach in a centralised database of biometric data seems to outweigh the anticipated benefit resulting from the processing. Therefore, the processing cannot meet the necessity and proportionality principles. On this basis, the Board concludes that the processing envisaged in the fourth scenario cannot be compatible with Article 25 GDPR. Also, it would not comply with Article 5(1)(e) GDPR based on the information available to the Board and would not comply with Articles 5(1)(f) and 32 GDPR if a controller would limit themselves to the measures as described in this scenario.  理事会は、空港における乗客の流れを合理化することと同様の結果を、より侵入的でない方法で達成することが可能であり、生体データの一元化されたデータベースにおけるデータ漏洩から生じうるデータ主体の基本的権利および自由への悪影響は、処理から生じる予想される利益を上回ると考える。したがって、この処理は必要性および比例原則を満たすことはできない。これに基づき、理事会は、第4のシナリオで想定される処理はGDPR第25条に適合しないと結論付けた。また、理事会が入手可能な情報に基づくと、GDPR第5条1項(e)に適合せず、管理者がこのシナリオに記載されているような措置に限定する場合、GDPR第5条1項(f)および第32条にも適合しない。

 

目次...

1  INTRODUCTION 1.序文
1.1  Summary of facts 1.1 事実の概要
1.2  Admissibility of the request for an Article 64(2) GDPR Opinion 1.2 GDPR第64条2項意見書の請求の可否
2  SCOPE AND CONTEXT OF THE OPINION 2.意見の範囲と背景
2.1  Scope of the Opinion 2.1 意見の範囲
2.2  Key notions 2.2.主要な概念
3  On the merits of the request 3.要求の是非について
3.1  General observations 3.1.一般的な見解
3.2  On compatibility with Article 5(1)(e) and (f), Articles 25 and 32 GDPR 3.2 第5条1項(e)および(f)、GDPR第25条および第32条との整合性について
3.2.1 Scenario 1: storage of enrolled biometric template only in the hands of the individual, for authentication 3.2.1 シナリオ 1: 認証のために、登録されたバイオメトリック・テンプレートを本人の手にのみ保管する。
3.2.2 Scenario 2: centralised storage of enrolled biometric template in an encrypted form within the airport and with a key/ secret solely in the passengers’ hands, for authentication 3.2.2 シナリオ 2:登録されたバイオメトリック・テンプレートを、認証のために、暗号化された形 で、空港内に集中保管し、鍵/秘密は乗客の手にのみ保管する。
3.2.3  Centralised storage of the enrolled biometric templates for identification 3.2.3 登録された識別用バイオメトリック・テンプレートの集中保管
 3.2.3.1 Scenario 3.1: centralised storage in a database within the airport, under the control of the airport operator  3.2.3.1 シナリオ3.1:空港運営者の管理下で、空港内のデータベースに集中保管する。
 3.2.3.2  Scenario 3.2: centralised storage in a cloud, under the control of the airline company   3.2.3.2 シナリオ3.2:航空会社の管理下にあるクラウドへの集中保管
4  CONCLUSIONS 4.結論

 

 


 

言い出しっぺのフランス...

● CNIL

・2024.05.24 Actualité du CEPD : avis sur l’utilisation de la reconnaissance faciale par les aéroports et les compagnies aériennes

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

顔認識等...

・2023.12.12 英国 議会 司法・内務委員会 警察によるライブ顔認識(LFR)の使用に関する短期調査

・2023.10.16 カナダ プライバシーコミッショナー 意見募集 バイオメトリクス指針案 (2023.10.11)

・2023.08.22 中国 TC260 国家標準「機微な個人情報の処理に関するセキュリティ要件」公開草案 (2023.08.09)

・2022.12.09 世界経済フォーラム (WEF) 顔認識の責任ある制限のためのポリシーフレームワーク ユースケース:法執行機関の捜査 9つの原則 (2022.11)

・2022.07.12 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2024.05.29

欧州 EDPB ChatGPTタスクフォースによる作業報告書 (2024.05.24)

こんにちは、丸山満彦です。

EDPBがChatGPTタスクフォースによる作業報告書が公表されています。途中経過ということですかね...

やはり、個人データの取り扱いについて、EUはきっちりやるわけですから、訓練の仕方はちゃんとしないといけないということに、なりますかね...

 

European Data Protection Board; EDPB

・[PDF] Report of the work undertaken by the ChatGPT Taskforce

20240529-23318

・[DOCX][PDF] 仮訳

 

目次...

1 Background  1 背景 
2 ONGOING INVESTIGATIONS 2 現在進行中の調査
3 PRELIMINARY VIEWS 3 予備的見解
3.1 Lawfulness 3.1 合法性
 3.1.1 Collection of training data, pre-processing of the data and training   3.1.1 トレーニングデータの収集、データの事前処理、トレーニング 
 3.1.2 ChatGPT input, output and training  3.1.2 ChatGPTの入力、出力、トレーニング
3.2 Fairness  3.2 公平性 
3.3 Transparency and information obligations 3.3 透明性と情報義務
3.4 Data Accuracy 3.4 データの正確性
3.5 Rights of the data subject  3.5 データ主体者の権利 
4 ANNEX (QUESTIONNAIRE) 4 附属書(アンケート用紙)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

プライバシー関係

・2023.08.23 個人情報保護委員会 生成AIサービスの利用に関する注意喚起 -個人情報がAIの学習データとして利用されていませんか?-

・2023.06.01 生成的AIとプライバシー当局(カナダ ニュージーランド)

・2023.05.18 フランス CNIL 人工知能に対する行動計画

・2023.05.04 イタリア データ保護庁 ChatGPTが復活... (2023.04.28)

・2023.04.14 EDPB Metaによる米国への個人データ転送に関する紛争解決、Chat GPTに関するタスクフォースを設置

・2023.04.14 イタリア データ保護庁 ChatGPT復活へ... 4月30日までに改善できれば...

・2023.04.14 スペイン ChatGPTを運営するOpenAI社に対して職権で調査手続きを開始

・2023.04.10 イタリア データ保護庁委員とOpenAI社CEOが会談

・2023.04.02 イタリア データ保護庁がOpenAI社にプライバシー規制を遵守するまでChatGPTがイタリア人ユーザのデータ処理の制限を直ちに命じた...

 

 

AIと倫理、犯罪...

・2023.07.13 欧州委員会 Web4.0と仮想世界に関するEUのイニシアチブ: 次の技術的転換期を先取りする

・2023.07.14 中国 国家サイバースペース管理局他 生成型AIサービス管理暫定弁法 施行は2023.08.15

・2023.07.14 OECD 人工知能における規制のサンドボックス

・2023.07.22 米国 ホワイトハウス 7つの米国AI企業が、バイデン政権とした3つの分野の8つの約束

・2023.06.05 オーストラリア 責任あるAIについての意見募集

・2023.05.19 ドイツ BSI 大規模AI言語モデル - 産業界と公的機関の可能性とリスク (2023.05.10)

・2023.05.15 欧州 CERT-EU 生成的AIの潜在的な影響とリスク

・2023.05.08 米国 ホワイトハウス 「米国人の権利と安全を守る責任あるAIイノベーションを推進する新たな行動」 (2023.05.04)

・2023.05.06 米国 連邦取引委員会 AIと消費者の信頼の工学 (It’s cool to use the computer. Don’t let the computer use you. by Prince in 1999)

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

・2023.04.14 生命未来研究所 AIの研究はちょっと一休みしたらどうか? 2023.04.12

・2023.04.06 OpenAI ブログ AIの安全への取り組み

・2023.04.05 英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...

・2023.04.03 欧州 EU外交部 人工知能時代に事実を正しく伝えるために

・2023.03.30 欧州 ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

 

大学...

・2023.04.22 東北大学、東京工業大学の生成的AI利用の留意事項

・2023.04.20 大阪大学 生成AI(Generative AI)の利用について

・2023.04.06 東京大学 生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について

 

| | Comments (0)

韓国 個人情報保護委員会 ㈱カカオに課徴金151億ウォン、罰金780万ウォン(合わせて17.5億円)を課す (2024.05.23)

こんにちは、丸山満彦です。

韓国の個人情報保護委員会が、㈱カカオに課徴金151億4,196万ウォン、罰金780万ウォン(合わせて17.5億円)を課したと公表していますね...

ハッキングを受けた被害者でもあるわけですが、結果的に個人データを漏えいさせてしまったということもありますしね...

どの国も課徴金が増えていく傾向なんですかね...

 

개인정보위

・2024.05.23 개인정보위, ㈜카카오에 과징금 151억 원, 과태료 780만 원 부과

 

개인정보위, ㈜카카오에 과징금 151억 원, 과태료 780만 원 부과 個人情報委員会、㈱カカオに課徴金151億ウォン、罰金780万ウォンを課す
- 지난해 발생한 오픈채팅 이용자 개인정보 유출사고 관련 ・昨年発生したオープンチャット利用者の個人情報流出事故に関連して
- 안전조치 의무위반 및 유출 신고·피해자 통지 소홀 등에 대해 제재, 시정명령과 결과 공표도 함께 처분 ・安全措置義務違反及び流出申告・被害者通知の不履行などに対する制裁,是正命令と結果公表も併せて処分
  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 5월 22일(수) 제9회 전체회의를 열고, 개인정보보호 법규를 위반한 ㈜카카오에 대해 151억 4,196만 원의 과징금과 780만 원의 과태료를 부과하고, 시정명령과 처분결과를 공표하기로 의결하였다.   個人情報保護委員会(委員長コ・ハクス、以下「個人情報委員会」)は5月22日(水)、第9回全体会議を開き、個人情報保護法規に違反した㈱カカオに対して151億4,196万ウォンの課徴金と780万ウォンの罰金を課し、是正命令と処分結果を公表することを議決した。
  개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사하였다.    個人情報委員会は昨年3月、カカオトークのオープンチャット利用者の個人情報が違法取引されているというマスコミ報道に基づき、個人情報保護法違反の有無を調査した。
  조사 결과, 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 획득했고, 카카오톡의 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보하였으며, 이들 정보를 ‘회원일련번호’를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인되었다.   調査の結果、ハッカーはオープンチャット室の脆弱性を利用してオープンチャット室の参加者情報を取得し、カカオトークの友達追加機能と違法プログラムなどを利用して利用者情報を確保し、これらの情報を「会員シリアル番号」を基準に結合して個人情報ファイルを生成、販売したことが確認された。
< 개인정보 유출 과정 > < 個人情報流出の過程 >
  개인정보위는 ㈜카카오가 카카오톡 서비스를 제공하는 과정에서 다음과 같은 위반 사실을 확인하였다.   個人情報委員会は、㈱カカオがカカオトークサービスを提供する過程で、次のような違反事実を確認した。
< 안전조치의무 위반 > < 安全措置義務違反 >
  먼저, ㈜카카오는 익명채팅이라고 홍보하며 오픈채팅 서비스를 운영하였는데, 일반채팅과 오픈채팅을 이용하는 이용자를 동일한 회원일련번호로 식별할 수 있게 이용자 식별체계를 구현하였다. 다만, 오픈채팅 참여자는 오픈채팅방 정보(오픈채팅방 ID)와 회원일련번호로 구성한 임시ID를 메시지 송수신시 사용하였다.     まず、(株)カカオは匿名チャットと広報してオープンチャットサービスを運営したが、一般チャットとオープンチャットを利用する利用者を同一の会員シリアル番号で識別できるように利用者識別体系を実装した。ただし、オープンチャット参加者は、オープンチャットルーム情報(オープンチャットルームID)と会員シリアル番号で構成した仮IDをメッセージの送受信時に使用した。 
  ’20. 8월 이전에 생성된 오픈채팅방은 참여자의 임시ID를 암호화하지 않아, 임시ID에서 회원일련번호를 쉽게 확인할 수 있었다.    '20.8月以前に生成されたオープンチャットルームは、参加者の仮IDを暗号化せず、仮IDから会員シリアル番号を簡単に確認することができた。
  또, ’20. 8월 이후에 생성된 오픈채팅방은 임시ID를 암호화하였지만, 오픈채팅방 게시판에 암호화된 임시ID를 입력하면 암호화를 해제하고 평문으로 임시ID를 노출하는 취약점이 있어, 참여자의 암호화된 임시ID도 쉽게 회원일련번호를 확인할 수 있었다.    また、'20年8月以降に生成されたオープンチャットルームは、一時IDを暗号化したが、オープンチャットルーム掲示板に暗号化された一時IDを入力すると、暗号化を解除して平文で一時IDを公開する脆弱性があり、参加者の暗号化された一時IDも簡単に会員シリアル番号を確認することができた。
  이와 같이, ㈜카카오는 카카오톡 서비스 설계‧운영 과정에서 회원일련번호와 임시ID가 연계되어 오픈채팅의 익명성이 훼손 또는 개인정보 노출될 가능성이 있음에도 그에 대한 검토와 개선 조치를 소홀히 한 것이다. 마찬가지로, 오픈채팅방 게시판에 있던 보안 취약점에 대한 점검과 개선조치를 소홀히 하였다.    このように、(株)カカオは、カカオトークサービスの設計・運営過程で会員シリアル番号と仮IDが連携され、オープンチャットの匿名性が損なわれたり、個人情報が公開される可能性があるにもかかわらず、それに対する検討と改善措置を怠ったのである。同様に、オープンチャット掲示板にあったセキュリティの脆弱性に対する点検と改善措置を怠った。
  회원일련번호 연계에 따른 익명성 훼손을 방지하려면 오픈채팅 이용자는 일반채팅과 다른 식별체계로 구성하거나, 임시ID를 암호화해 회원일련번호가 노출되지 않도록 하는 방법 등이 가능하다. ㈜카카오는 지난해 사고 발생 이후 모든 오픈채팅방 참여자의 임시ID를 암호화하였다.    会員シリアル番号連携による匿名性毀損を防止するには、オープンチャット利用者は、一般チャットと異なる識別体系で構成したり、一時IDを暗号化して会員シリアル番号が露出されないようにする方法などが可能である。カカオ(株)は昨年の事故発生後、すべてのオープンチャット参加者の一時IDを暗号化した。
  또, 카카오톡 전송방식을 분석한 공개된 API를 이용하면 이용자 정보 추출 등이 가능하다는 지적이 개발자 커뮤니티 등에 공개되어 왔음에도 불구하고, ㈜카카오는 관련 내용이 카카오톡 서비스에 비치는 영향, 개인정보 유출 등 피해 가능성에 대한 검토와 개선 조치도 미흡하였다.   また、カカオトークの送信方式を分析した公開されたAPIを利用すれば、利用者情報の抽出などが可能だという指摘が開発者コミュニティなどに公開されてきたにもかかわらず、㈱カカオは、関連内容がカカオトークサービスに及ぼす影響、個人情報流出などの被害の可能性に対する検討と改善措置も不十分だった。
  오픈채팅 서비스 설계‧구현 과정에서의 과실과 카카오톡 전송방식을 분석해서 만든 해킹 프로그램을 이용한 악성행위에 대한 대응조치 미흡 등으로 인해서 ㈜카카오가 처리 중인 개인정보가 해커에게 공개‧유출되었고, 따라서 ㈜카카오는 개인정보 보호법의 안전조치 의무를 위반하였다.    オープンチャットサービスの設計・実装過程での過失と、カカオトークの送信方式を分析して作ったハッキングプログラムを利用した悪質行為に対する対応措置の不十分などにより、㈱カカオが処理中の個人情報がハッカーに公開・流出され、したがって、㈱カカオは個人情報保護法の安全措置義務に違反した。
< 유출 신고·통지 의무 위반 > <流出申告・通知義務違反 >
  또한, ㈜카카오는 ’23. 3월 언론보도 및 개인정보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보 보호법을 위반하였다.   また、(株)カカオは、'23年3月のマスコミ報道及び個人情報委員会の調査過程で、カカオトークのオープンチャットルーム利用者の個人情報が流出されているという事実を認識したにもかかわらず、流出申告と利用者対象の流出通知を行わず、個人情報保護法に違反した。
  개인정보위는 이용자 개인정보가 유출된 ㈜카카오에 대해 안전조치의무 위반으로 과징금을 부과하고, 유출 신고·통지의무 위반 등에 대해서는 과태료를 부과하기로 결정하였다.   個人情報委員会は、利用者の個人情報が流出した㈱カカオに対し、安全措置義務違反で課徴金を課し、流出申告・通知義務違反などに対しては過料を課すことを決定した。
  또, ㈜카카오에 이용자 대상 유출 통지를 할 것을 시정명령하는 동시에, 개인정보위 홈페이지에 처분 결과를 공표하기로 결정하였다.   また、(株)カカオに利用者対象の流出通知をすることを是正命令すると同時に、個人情報委員会のホームページに処分結果を公表することを決定した。
  이번 처분을 계기로 카카오톡과 같이 대다수 국민이 이용하는 서비스의 경우 보안 취약점을 상시적으로 점검‧개선하는 한편 설계‧개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대해서도 지속적인 점검과 노력이 필수적이라는 인식이 자리잡기를 기대한다고 개인정보위는 밝혔다.   今回の処分をきっかけに、カカオトークのように大多数の国民が利用するサービスの場合、セキュリティの脆弱性を常時点検・改善する一方、設計・開発過程で発生する可能性のある個人情報侵害の可能性についても、持続的な点検と努力が必須であるという認識が定着することを期待すると個人情報委員会は明らかにした。

 

・2024.05.23 [PDF] 240523 (석간) 개인정보위, ㈜카카오에 과징금 151억 원, 과태료 780만 원 부과(조사2과) FN

20240529-11212

 

 

 

| | Comments (0)

2024.05.28

フランス ドイツ 製品セキュリティ認証の相互承認協定を改定し、延長...

こんにちは、丸山満彦です。

製品セキュリティについて、CCの普及がコスト面も含めて難しい中、フランスはCSPN(Certification de Sécurité de Premier Niveau[wikipedia] を実施し、ドイツは、BSZ (Beschleunigte Sicherheitszertifizierung)を実施し、相互認証を行なっていますが、今回その相互承認協定を延長したとフランス、ドイツ両政府が発表していますね...

二つの国は仲良し(^^)

 

まずは、フランス...

● Agence nationale de la sécurité des systèmes d'information (ANSSI) 

・2024.05.24 Renouvellement de l’accord de reconnaissance mutuelle CSPN-BSZ entre l’ANSSI et le BSI

Renouvellement de l’accord de reconnaissance mutuelle CSPN-BSZ entre l’ANSSI et le BSI ANSSIとBSIのCSPN-BSZ相互認証協定が更新される
Le 15 mai 2024, Vincent Strubel, directeur général de l’ANSSI et son homologue allemande du BSI, Claudia Plattner ont approuvé et signé en personne la nouvelle version de l’accord de reconnaissance mutuelle des certificats de sécurité pour les schémas CSPN et BSZ 2024年5月15日、ANSSIのヴァンサン・シュトルーベル事務局長とBSIのクラウディア・プラットナー・ドイツ代表は、CSPNとBSZスキームのセキュリティ証明書の相互承認協定の新バージョンを承認し、署名した。
Initialement signé en juin 2022, l’accord de reconnaissance mutuelle CSPN-BSZ permet la reconnaissance réciproque des certificats de sécurité de ce type entre la France et l'Allemagne, évitant ainsi la duplication des évaluations. Cet accord prévoit également la coopération technique entre les deux agences afin de favoriser l’harmonisation des pratiques dans le but de permettre de réduire au maximum les exceptions à cet accord. 2022年6月に調印されたCSPN-BSZ相互認証協定は、フランスとドイツの間でこの種のセキュリティ認証の相互認証を可能にし、審査の重複を回避する。また、この協定は、協定に対する例外を最小限に抑えることを目的として、実務の調和を促進するための両機関間の技術協力についても定めている。
En s’appuyant désormais sur la norme européenne FiTCEM (Fixed Time Cybersecurity Evaluation Methodology for ICT products, EN 17640) récemment adoptée, la nouvelle version de l’accord représente une nouvelle étape vers l'harmonisation globale des schémas de certification de ce type. Ce renouvellement s’inscrit dans l’optique de la création à terme d’un schéma de certification européen tel que prévu par le Cybersecurity Act, 最近採択された欧州規格FiTCEM(Fixed Time Cybersecurity Evaluation Methodology for ICT products, EN 17640)に基づく新バージョンの協定は、この種の認証制度の世界的調和に向けたさらなる一歩となる。この更新は、サイバーセキュリティ法で想定されている欧州の認証スキームの最終的な創設に沿ったものである、
Aucun accord semblable n’existe avec un autre partenaire de l’Agence, c’est pourquoi la signature de son renouvellement illustre la solidité de la coopération entre l’ANSSI et le BSI, ainsi que le niveau de confiance élevé entre les deux partenaires en matière de certification. ANSSIの他のパートナーとの間には同様の協定は存在しないため、今回の更新の調印は、ANSSIとBSIの協力関係の強さと、認証に関する2つのパートナー間の高い信頼性を示している。

 

次に、ドイツ...

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.05.24 BSI und ANSSI verlängern Abkommen zur Anerkennung von IT-Sicherheitszertifikaten

BSI und ANSSI verlängern Abkommen zur Anerkennung von IT-Sicherheitszertifikaten BSIとANSSIがITセキュリティ証明書の承認に関する合意を拡大
Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, und der Generaldirektor der Agence nationale de la sécurité des systèmes d'information (ANSSI), Vincent Strubel, haben am 15. Mai 2024 ein überarbeitetes Abkommen zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten für die Programme CSPN (Certification de Sécurité de Premier Niveau) und BSZ (Beschleunigte Sicherheitszertifizierung) unterzeichnet. Das Abkommen basiert auf der europäischen Norm EN 17640 "Zeitlich festgelegte Cybersicherheitsevaluationsmethodologie für IKT-Produkte" (FiT CEM). Diese neue Grundlage des Abkommens eröffnet Möglichkeiten der weiteren europäischen Harmonisierung unter anderem im Rahmen oder als Ergänzung eines europäischen Zertifizierungsschemas unter dem Cyber Security Act (CSA). 連邦情報セキュリティー局(BSI)のクラウディア・プラットナー総裁と国家情報セキュリティー局(ANSSI)のヴァンサン・シュトルーベル局長は、2024年5月15日、CSPN(Certification de Sécurité de Premier Niveau)およびBSZ(Accelerated Security Certification)プログラムにおけるITセキュリティー証明書の相互承認に関する改定協定に署名した。この協定は、欧州規格EN 17640「ICT製品の時間ベースのサイバーセキュリティ評価方法」(FiT CEM)に基づいている。この協定の新たな基盤は、サイバーセキュリティ法(CSA)に基づく欧州認証スキームの一部または追加を含め、さらなる欧州調和の機会を開くものである。
Es gilt weiterhin, dass bereits gültige sowie zukünftig erteilte Zertifikate in beiden Programmen als gleichwertig anerkannt werden. Neu ist ein gemeinsames Logo, das auf die Anerkennung verweist und fortan auf den Zertifikaten und in den Zertifizierungsberichten enthalten ist. So können potentielle Produktnutzerinnen und -nutzer einfacher erkennen, dass eine Zertifizierung unter das Anerkennungsabkommen fällt. すでに有効な証明書も、今後発行される証明書も、両制度において同等と認められ続ける。新たな特徴として、認証を示す共同ロゴがあり、今後、認証書と認証報告書に記載される。これにより、潜在的な製品ユーザーは、認証が認証協定の対象であることを容易に認識できるようになる。
Die Verlängerung des Anerkennungsabkommens ist ein weiterer Beleg für die dauerhaft gute und enge Zusammenarbeit zwischen ANSSI und BSI. Durch das Abkommen und die dort verankerten gemeinsamen technischen "Application Notes" wird die neue Evaluierungsmethodologie der FiT CEM im Sinne der beiden Nationen ausgestaltet und mit Leben gefüllt. Das schafft praxiserprobte Blaupausen für eine zukünftige europäische Harmonisierung. 承認協定の延長は、ANSSIとBSIの良好かつ緊密な協力関係が続いていることのさらなる証明である。この協定とそれに基づく共同テクニカル・アプリケーション・ノートを通じて、FiT CEMの新しい評価方法が開発され、両国の精神が息づいている。これにより、将来の欧州におけるハーモナイゼーションのための、試行錯誤の青写真が描かれる。

 

新しいロゴ...

 

1_20240527161201

 

 

 

| | Comments (0)

2024.05.27

米国 MITERの研究開発ネットワークが外国のサイバー攻撃者に侵入されていた件の調査が一段落したようですね...

こんにちは、丸山満彦です。

2024.04.19にMITREが、研究開発ネットワークが外国のサイバー攻撃者に侵入されていたと公表しましたが、その調査が一段落したと公表していますね...

概要については、3回にわけてブログに掲載されています...

今回のこの事件の侵入方法ですが、、、

Ivanti Connect Secureのゼロデイ脆弱性2つを使い、仮想プライベートネットワーク(VPN)の1つを悪用し、セッションハイジャックを使って多要素認証をすり抜け、侵入しているようです...その後、永続性を確保したようです。

おそらく高度な攻撃だったのでしょうね...だんだんと匠の世界にはいっていきますね...

しかし、ブログを使って攻撃手法等を公開しているところは、内閣官房の対応と違いますよね。。。こういう攻撃手法をしてきているから、みんな気をつけろよ。。。って話ですよね。。。

ぜひブログ3部作を読んでみてくださいませ...

クリアランスとかも含めて、こういう姿勢の違いがあるから、ちょっと気になるんですよね...

 

さて、まずは、プレスから...

MITRE

・2024.05.24 MITRE Concludes Its Internal Cyber-Attack Investigation

MITRE Concludes Its Internal Cyber-Attack Investigation MITRE、サイバー攻撃に関する内部調査を終了
In April, MITRE disclosed that its research collaboration network known as NERVE was hacked by a Chinese nation-state adversary. After collaboration with law enforcement and CrowdStrike, a cyber forensics provider, MITRE has concluded its internal investigation of the incident involving two Ivanti Connect Secure zero-day vulnerabilities that bypassed our multi-factor authentication. The adversary maneuvers within the network and the VMware infrastructure are explained in a three-part series of technical blogs that you can read here. 4月、MITREはNERVEとして知られる研究協力ネットワークが中国の国家的敵対者によってハッキングされたことを公表した。法執行機関およびサイバー・フォレンジック・プロバイダーであるCrowdStrikeとの協力の後、MITREは、当社の多要素認証をバイパスする2つのIvanti Connect Secureのゼロデイ脆弱性に関わる事件の内部調査を終了した。ネットワークおよびVMwareインフラストラクチャ内での敵の作戦については、3部構成の技術ブログで説明されており、こちらで読むことができる。
“We quickly disclosed the incident and what facts we knew at the time to our government sponsors, trustees, and law enforcement, as well as our employees and the cyber community,” said Jason Providakes, MITRE, president and CEO. “As a company that operates in the public interest, this timely and transparent response to the cyber-attack and sharing our learnings will enable organizations in the public and private sectors to help deter future attacks.”  「MITREの社長兼最高経営責任者(CEO)のジェイソン・プロビデイクス(Jason Providakes)氏は、次のように述べている。「私たちは、このインシデントと、その時点でわかっていた事実を、政府のスポンサー、評議員、法執行機関、そして私たちの従業員やサイバー・コミュニティに迅速に開示しました。公共の利益のために活動する企業として、サイバー攻撃に対するこのタイムリーで透明性のある対応と、われわれの学びを共有することで、官民の組織は将来の攻撃を抑止することができるようになる」
While the investigation has concluded, MITRE will continue to share any new relevant information that becomes available and support the ongoing federal law enforcement investigation of the incident.  調査は終了したが、MITREは引き続き、入手可能になった新たな関連情報を共有し、現在進行中の連邦法執行機関による事件の捜査を支援する。
“As adversaries continue to evolve their tactics and techniques, it is imperative for organizations to remain vigilant and adaptive in defending against cyber threats,” said Charles Clancy, MITRE, senior vice president and chief technology officer. “We continue to evolve our cybersecurity frameworks and share with the cyber community. By understanding and countering their new adversary behaviors, we can bolster our defenses and safeguard critical assets against future intrusions.” 「MITREのチャールズ・クランシー上級副社長兼最高技術責任者(CTO)は、「敵が戦術や技術を進化させ続ける中、組織がサイバー脅威から身を守るためには、警戒と適応を怠らないことが不可欠だ。「我々はサイバーセキュリティのフレームワークを進化させ、サイバーコミュニティと共有し続けている。新たな敵の行動を理解し、それに対抗することで、私たちは防御を強化し、将来の侵入から重要な資産を守ることができる。

 

技術がわかる方は、このブログ3部もぜひ...

作時間軸にそって...

・2024.04.20 Advanced Cyber Threats Impact Even the Most Prepared

・2024.05.03 Technical Deep Dive: Understanding the Anatomy of a Cyber Intrusion

・2024.05.24 Infiltrating Defenses: Abusing VMware in MITRE’s Cyber Intrusion

1_20240421063601

 


 

まるちゃんの情報セキュリティ気まぐれ日記

事件発生時のブログ...

・2024.04.21 米国 MITERの研究開発ネットワークが外国のサイバー攻撃者に侵入されていたようですね(私たちだって侵入を許してしまうくらいですから、みなさんも...)

 

内閣官房のメールシステムが侵入を受けてデータが漏えいした件...

・2023.08.18 内閣官房 内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について(2023.08.04)

 

 

 

| | Comments (0)

中国 TC260 意見募集 国家標準 「サイバーセキュリティ技術:生成的人工知能サービスのセキュリティに関する基本要件」案 (2024.05.23)

こんにちは、丸山満彦です。

中国の国家情報セキュリティ標準化技術委員会 (TC260) が「生成的人工知能サービスのセキュリティに関する基本要件」の草案を公表し、意見募集をしていますね。。。

内容はこんな感じ...

  • 5 トレーニングデータ・セキュリティ要件
    • 5.1 データのセキュリティ
    • 5.2 データコンテンツのセキュリティ
    • 5.3 データラベリングのセキュリティ
  • 6 モデルセキュリティ要件
  • 7 セキュリティ対策の要件

 

● 全国信息安全标准化技术委员会

・2024.05.23 关于国家标准《网络安全技术 生成式人工智能服务安全基本要求》征求意见稿征求意见的通知

・[PDF] 网络安全技术 生成式人工智能服务安全基本要求-标准文本

20240526-230906

・[DOCX][PDF] 仮訳

 

 

説明...

・[PDF] 网络安全技术 生成式人工智能服务安全基本要求-编制说明

20240526-231309

 

対訳... ↓ ↓ ↓



 

 

 

 

 

Continue reading "中国 TC260 意見募集 国家標準 「サイバーセキュリティ技術:生成的人工知能サービスのセキュリティに関する基本要件」案 (2024.05.23)"

| | Comments (0)

2024.05.26

中国 TC260 意見募集 国家標準「ネットワークセキュリティ技術ソフトウェア部品表 (SBOM) データフォーマット」案 (2024.05.16)

こんにちは、丸山満彦です。

中国の国家情報セキュリティ標準化技術委員会 (TC260) が「ネットワークセキュリティ技術ソフトウェア部品表データフォーマット」の草案を公表し、意見募集をしていますね。。。

中国もSBOMですね...

 

● 全国信息安全标准化技术委员会

・2024.05.16 关于国家标准《网络安全技术 软件物料清单数据格式》征求意见稿征求意见的通知

意見募集案...

・[DOCX] 网络安全技术 软件物料清单数据格式-标准文本

20240526-25224

・[DOCX] [PDF] 仮訳

 

・2024.05.16 网络安全技术 软件物料清单数据格式-编制说明

20240526-25309

・[DOCX] [PDF] 仮訳

 

| | Comments (0)

2024.05.25

米国 NSA アプリケーションとワークロードのピラーを通してゼロトラストの成熟度を進める

こんにちは、丸山満彦です。

米国の国家安全保障局が、アプリケーションとワークロードのピラーを通してゼロトラストの成熟度を高めるためのガイドを公表していますね...

ゼロトラストアーキテクチャには、7つのピラー、

USER ユーザー
DEVICE デバイス
APPLICATION & WORKLOAD アプリケーションとワークロード
DATA データ
NETWORK & ENVIRONMENT ネットワークと環境
AUTOMATION & ORCHESTRATION 自動化とオーケストレーション
VISIBLITY & ANALITICS 可視性と分析

が、ありますが、

今回のテーマは、APPLICATION & WORKLOAD です...

 

National Security Agency/Central Security Service

・2024.05.22 [PDF] CSI: Advancing Zero Trust Maturity Throughout the Application and Workload Pillar

20240525-33514

・[DOCX][PDF] 仮訳

 

エグゼクティブサマリー...

 

Executive summary  エグゼクティブサマリー
In the current digital landscape where malware and emerging online threats continue to evolve and become more sophisticated, it is imperative that organizations prioritize cybersecurity as essential to their operations. Information Technology (IT) professionals are keenly aware of the security challenges facing applications, but workloads are every bit as important to consider in this domain.   マルウェアや新たなオンラインの脅威が進化を続け、より巧妙になっている現在のデジタル環境では、組織がサイバーセキュリティを業務に不可欠なものとして優先させることが不可欠である。情報技術(IT)の専門家は、アプリケーションが直面するセキュリティ上の課題を強く認識しているが、この領域で考慮すべきは、ワークロードも同様に重要である。  
Workloads represent computational tasks, which encompass multiple programs or applications performing those tasks by utilizing computing, data, networking, and storage resources. Workloads evolve over their lifecycle through mission development, test, and production scenarios. “A workload is an expression of an ongoing effort of an application AND what is being requested of it … Applications tend to shape the characteristics of the workload itself by how it processes the data, or the software limits inherent to the solution.” [1] Workloads can be comprised of services across multiple clouds, with application programming interfaces (APIs) connecting to third parties and sensitive databases that require different levels of access. To navigate the complexities of managing workloads across computing environments and workflows, organizations are turning to advanced tools such as backend APIs, workload automation software, artificial intelligence (AI) predictive analytics, and cloud management platforms. [2]   ワークロードは、コンピューティング、データ、ネットワーキング、およびストレージリソースを利用することで、それらのタスクを実行する複数のプログラムやアプリケーションを包含する計算タスクを表す。ワークロードは、ミッションの開発、テスト、および実稼働シナリオを通じて、そのライフサイクルの中で進化する。「ワークロードは、アプリケーションの継続的な努力の表現であり、アプリケーションに要求されるものである...アプリケーションは、データをどのように処理するか、またはソリューションに固有のソフトウェアの制限によって、ワークロード自体の特性を形成する傾向がある。[ワークロードは複数のクラウドにまたがるサービスで構成され、アプリケーション・プログラミング・インターフェース(API)はサードパーティに接続し、機密性の高いデータベースは異なるレベルのアクセスを必要とする。コンピューティング環境とワークフローにまたがるワークロードの複雑な管理をナビゲートするために、組織はバックエンドAPI、ワークロード自動化ソフトウェア、人工知能(AI)予測分析、クラウド管理プラットフォームなどの高度なツールに目を向けている。[2]  
These tools enable organizations to achieve their mission of interconnectedness, scalability, and usability by interacting with and exchanging data. This exchange of data creates opportunities for malicious actors to target business applications and workloads, as well as the methods used to safeguard them, leading to security challenges.  これらのツールは、データとの相互作用やデータ交換によって、相互接続性、拡張性、ユーザビリティという組織の使命を達成することを可能にする。このようなデータ交換は、悪意のある行為者がビジネス・アプリケーションやワークロード、またそれらを保護するために使用される方法を標的にする機会を生み出し、セキュリティ上の課題につながる。 
This cybersecurity information sheet (CSI) provides recommendations for achieving progressive levels of application and workload pillar capabilities and further discusses how these capabilities integrate into a comprehensive Zero Trust (ZT) framework. [3] National Security System (NSS), Department of Defense (DoD), and Defense Industrial Base (DIB) owners should use this and other guidance to develop concrete steps for maturing their application and workload security.  このサイバーセキュリティ情報シート(CSI)は、アプリケーションとワークロードのピラーとなる能力の漸進的なレベルを達成するための推奨事項を提供し、さらにこれらの能力が包括的なゼロトラスト(ZT)フレームワークにどのように統合されるかについて論じている。[国家安全保障システム(NSS)、国防総省(DoD)、防衛産業基盤(DIB)の所有者は、アプリケーションとワークロードのセキュリティを成熟させるための具体的なステップを開発するために、このガイダンスと他のガイダンスを使用すべきである。 

 

 

7つのピラー...

1_20240525034101

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.04.15 米国 NSA データ・ピラー全体でゼロトラストの成熟度を進める (2024.04.09)

・2024.03.08 米国 NSA ネットワークと環境のピラーでゼロトラストの成熟度を進める (2024.03.05)

 

 

| | Comments (0)

アマゾン 「AWSにおける経済安全保障推進法に関する考慮事項(日本語)」(2024.05.18)

こんにちは、丸山満彦です。

アマゾンが「AWSにおける経済安全保障推進法に関する考慮事項(日本語)」を公表していると、ブログで紹介していますね...松本照吾さんの記事ですね...少し、紹介が遅れました...


AWSは本制度の対象となる基幹インフラ自体を担う事業者ではなく、また特定重要設備をサービスとして提供する事業者ではありません。しかし、こうした社会的な機能維持の責任をもつお客様が、その構成設備の一部としてAWSの様々なサービスを利用されることが想定されます。


 

ということで、このホワイトペーパーを作っている様ですね...

なんと言いますか、一歩先をいっている感があります...

 

AWSAmazon Web Services ブログ

・2024.05.18 「AWSにおける経済安全保障推進法に関する考慮事項」ホワイトペーパーが発行されました。 

・[PDF] AWSにおける経済安全保障推進法に関する考慮事項

20240525-21248

 

あっ、紙がレターサイズですね...

 

目次...


1 対象読者
2
経済安全保障推進法の概要
3
クラウドサービスの利用における留意事項
4 Amazon Web Services
のシステムの概要
5 AWS
における経済安全保障推進法への対応
1.
お客様が実施すべき事項
2.
「導入等計画書」「4.構成設備に関する事項」
3.
「導入等計画書」「5.特定重要設備の導入にあたって特定社会基盤事業者が講ずる特定妨害行為を防止するための措置に係る事項」に関する考慮事項(共通項目)
4.
その他規制業種毎の個別要求項目
Document Revisions


 

いろいろと参考になりますね..

 

 

 

 

 

 

| | Comments (0)

2024.05.24

米国 NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書

こんにちは、丸山満彦です。

米国のNISTのサイバー&プライバシー分野の年次報告です...

予算獲得のためかもしれませんが...年度(2022.10.01-202309.30) の出来事を振り返る上で参考になりますね。。。もう少し早くだせばよいのにね...

 

● NIST - ITL

・2024.05.20 SP800-229 Fiscal Year 2023 Cybersecurity and Privacy Annual Report

NIST SP 800-229 Fiscal Year 2023 Cybersecurity and Privacy Annual Report NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書
Abstract 概要
During Fiscal Year 2023 (FY 2023) – from October 1, 2022, through September 30, 2023 –the NIST Information Technology Laboratory (ITL) Cybersecurity and Privacy Program successfully responded to numerous challenges and opportunities in security and privacy. This Annual Report highlights the FY 2023 research activities for the ITL Cybersecurity and Privacy Program, including the ongoing participation and development of international standards; research and practical applications in several key priority areas (e.g., Post Quantum Cryptography, updating the NIST Cybersecurity Framework (CSF 2.0) and some new CSF profiles); accomplishments in the area of improving software and supply chain cybersecurity; IoT cybersecurity guidelines work; National Cybersecurity Center of Excellence (NCCoE) projects, and setting up a new comment site for NIST’s Risk Management Framework work; release of a Phish scale; progress in the Identity and Access Management program; Strategic and Emerging Research Initiatives (SERI) for autonomous vehicles. 2023会計年度(2022年10月1日から2023年9月30日まで)において、NIST情報技術研究所(ITL)のサイバーセキュリティ・プライバシープログラムは、セキュリティとプライバシーに関する多くの課題と機会に成功裏に対応した。本年次報告書では、ITLサイバーセキュリティ・プライバシープログラムの2023年度の研究活動に焦点を当て、国際標準への継続的な参加と開発、いくつかの主要優先分野(例.ポスト量子暗号、NISTサイバーセキュリティ・フレームワーク(CSF 2.0)の更新といくつかの新しいCSFプロファイル)、ソフトウェアとサプライチェーンのサイバーセキュリティの改善分野における成果、IoTサイバーセキュリティ・ガイドラインの作業、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)プロジェクト、NISTのリスクマネジメント・フレームワーク作業に対する新しいコメントサイトの立ち上げ、フィッシュ・スケールのリリース、アイデンティティとアクセス・マネジメント・プログラムの進捗、自律走行車のための戦略的・新興研究イニシアチブ(SERI)などである。

 

 

・[PDF] NIST.SP.800-229

20240524-52844

目次

Cryptography 暗号技術
Education, Training & Workforce Development  教育、トレーニング、人材開発 
Emerging Technologies  新興技術 
Human-Centered Cybersecurity 人間中心のサイバーセキュリティ
Identity & Access Management アイデンティティとアクセス管理
Privacy プライバシー
Risk Management リスクマネジメント
Trustworthy Networks & Platforms 信頼できるネットワークとプラットフォーム
NIST National Cybersecurity Center of Excellence NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス

 

ちなみに過去分も含めて...

2023 2022 2021 2020 2019 2018 2017
SP 800-229 SP 800-225 SP 800-220 SP 800-214 SP 800-211 SP 800-206  SP 800-203
暗号技術 暗号 暗号の標準と検証 サイバーセキュリティの啓発と教育  サイバーセキュリティとプライバシーの標準化の進化 サイバーセキュリティとプライバシー基準の推進 国際ITセキュリティ標準へのITLの関与
教育、トレーニング、人材開発  教育、トレーニング、人材開発 サイバーセキュリティの測定 アイデンティティとアクセス管理 リスク管理の強化 リスクマネジメントの強化 リスク管理
新興技術  アイデンティティとアクセス管理 教育と労働力 測定基準と測定 暗号標準と検証の強化 暗号の標準と検証の強化 バイオメトリクス標準と関連する適合性評価試験ツール
人間中心のサイバーセキュリティ プライバシー アイデンティティとアクセス管理 リスクマネジメント 先端サイバーセキュリティ研究・応用開発 サイバーセキュリティの研究・応用開発の推進 サイバーセキュリティアプリケーション
アイデンティティとアクセス管理 リスクマネジメントと計測 プライバシーエンジニアリング プライバシーエンジニアリング  サイバーセキュリティについての意識向上、トレーニング、教育、人材育成 サイバーセキュリティの意識向上、トレーニング、教育、人材開発 ソフトウェアの保証と品質
プライバシー 信頼できるネットワークとプラットフォーム リスクマネジメント 新規技術 アイデンティティとアクセス管理の強化 アイデンティティとアクセス管理の強化 連邦サイバーセキュリティ調査研究
リスクマネジメント 利用可能なサイバーセキュリティ 信頼できるネットワーク 暗号の標準化と検証 通信・インフラ保護の強化 必インフラストラクチャの保護強化  コンピュータ・フォレンジック
信頼できるネットワークとプラットフォーム   信頼できるプラットフォーム 信頼性の高いネットワーク 新技術の確保 新規技術の保護 サイバーセキュリティに関する知識・訓練・教育・アウトリーチ
NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス     信頼性の高いプラットフォーム セキュリティテストと測定ツールの進化 セキュリティのテストと測定ツールの推進 暗号標準化プログラム
            バリデーションプログラム
            ID ・アクセス管理
            新規技術の研究
            ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE)
            インターネットインフラ保護
            高度なセキュリティ試験と測定
            技術的な安全性の指標
            利便性とセキュリティ

 

 

本文...

CRYPTOGRAPHY 暗号技術
Cryptography is foundational to our security and data protection needs. The standards, guidelines, recommendations, and tools provided by NIST’s Cryptography priority area enable trustworthy assurance of integrity and confidentiality in all types of information and technology – now and in the future. 暗号は、我々のセキュリティとデータ保護のニーズの基礎となるものである。NISTの暗号技術優先分野によって提供される標準、ガイドライン、勧告、およびツールは、現在および将来のあらゆる種類の情報と技術における完全性と機密性の信頼できる保証を可能にする。
Major Accomplishments in FY 2023: 2023年度の主な成果
• The Post-Quantum Cryptography (PQC) team hosted the Fourth PQC Standardization Conference in November 2022. In response to the Call for Additional Signatures, 40 candidate algorithms were submitted, and the first three draft PQC standards were released for public comment.  ・耐量子暗号(PQC)チームは、2022 年 11 月に第 4 回 PQC 標準化会議を開催した。追加署名の募集に対し、40のアルゴリズム候補が提出され、最初の3つのPQC標準ドラフトがパブリックコメントのために公開された。
• The Lightweight Cryptography team announced the decision to standardize the Ascon family for lightweight cryptography applications and published IR 8454, Status Report on the Final Round of the NIST Lightweight Cryptography Standardization Process, which describes the selection process. The team also hosted the Sixth Lightweight Cryptography Workshop. ・軽量暗号化チームは、軽量暗号アプリケーション向けに Ascon ファミリの標準化を決定したことを発表し、その選定プロセスを説明した IR 8454「NIST 軽量暗号化標準化プロセスの最終ラウンドに関する状況報告」を公表した。また、第6回軽量暗号ワークショップを主催した。
• The Multi-Party Threshold Cryptography (MPTC) and Privacy-Enhancing Cryptography (PEC) projects jointly released the initial public draft of IR 8214C, NIST First Call for Multi-Party Threshold Schemes (MPTS). The document’s scope includes advanced techniques, such as fully homomorphic encryption, zero-knowledge proofs, and the building blocks of secure multi-party computation. As part of an effort to obtain public comments, NIST hosted the MPTS 2023 workshop and three events of the Special Topics on Privacy and Public Auditability (STPPA). ・マルチパーティー閾値暗号(MPTC)プロジェクトと プライバシー強化暗号方式(PEC)プロジェクトは共同で、IR 8214C「NIST マルチパーティ閾値スキームの初募集(MPTS)」の初公開ドラフトを公開した。この文書の範囲には、準同型暗号、ゼロ知識証明、安全なマルチパーティ計算の構成要素などの高度な技術が含まれる。パブリックコメントを得るための取り組みの一環として、NISTはMPTS 2023ワークショップと、プライバシーと公開監査可能性に関する特別刊行物(STPPA)の3つのイベントを開催した。
• NIST’s Crypto Publication Review Board completed seven publication reviews, and five reviews are in progress to update and modernize the portfolio of cryptographic standards. ・NISTの暗号出版審査委員会は7件の出版審査を完了し、5件の審査が暗号標準のポートフォリオの更新と近代化のために進行中である。
EDUCATION, TRAINING & WORKFORCE 教育、訓練、労働力
Energizing, promoting, and coordinating the workforce are key priorities for NIST. The National  労働力の活性化、促進、調整はNISTの重要な優先事項である。サイバーセキュリティ教育のための国家イニシアティブ 
Initiative for Cybersecurity Education (NICE) team supports a robust community that works together to advance an integrated ecosystem of cybersecurity education, training, and workforce development. サイバーセキュリティ教育イニシアティブ(NICE)チームは、サイバーセキュリティ教育、訓練、人材育成の統合されたエコシステムを推進するために協力する強固なコミュニティを支援している。
Major Accomplishments in FY 2023: 2023年度の主な成果
• On December 5, 2022, the NICE Workforce Framework for Cybersecurity (NICE Framework) K12 FAQ was released at the NICE K12 Cybersecurity Education Conference in St. Louis, MO. ・2022年12月5日、ミズーリ州セントルイスで開催されたNICE K12サイバーセキュリティ教育会議において、NICE Workforce Framework for Cybersecurity(NICEフレームワーク)K12 FAQが発表された。
• The NICE Framework continued to be updated throughout FY 2023, including calls for comments on updated materials. IR 8355, NICE Framework Competencies Areas: Preparing a Job-Ready Cybersecurity Workforce, was published on June 1, 2023. ・NICEフレームワークは2023年度を通じて更新され続け、更新された資料に対するコメント募集も行われた。IR 8355、NICE フレームワークのコンピテンシー領域: 職に適したサイバーセキュリティ人材の準備」は 2023 年 6 月 1 日に公表された。
• Diversity, equity, inclusion, and accessibility (DEIA) in the cybersecurity workforce and education were key efforts in 2023. NICE released a DEIA resource page and launched a new Diversity and Inclusion Community of Interest. ・サイバーセキュリティ人材と教育における多様性、公平性、包括性、アクセシビリティ(DEIA)は 2023 年の主要な取り組みであった。NICE は、DEIA リソースページを公開し、新しい Diversity and Inclusion Community of Interest を立ち上げた。
• The Small Business Cybersecurity Corner launched a new Community of Interest with the National Cybersecurity Center of Excellence (NCCoE) and participated in various events throughout the year to showcase and share resources. ・中小企業サイバーセキュリティ・コーナーは、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)と新しい関心コミュニティを立ち上げ、年間を通じてさまざまなイベントに参加し、リソースを紹介・共有した。
• NIST has continued to bring the community together throughout the year with the Federal Information Security Educators (FISSEA) Forums, NICE Webinars Series, and Cybersecurity Career Week and by supporting other events through cooperative agreements, such as the NICE Conference, NICE K12 Conference, and the US Cyber Games. ・NISTは、連邦情報セキュリティ教育者(FISSEA)フォーラム、NICEウェビナー・シリーズ、サイバーセキュリティ・キャリア・ウィーク、また、NICEカンファレンス、NICE K12カンファレンス、USサイバーゲームなどの協力協定を通じたその他のイベントの支援を通じて、年間を通じてコミュニティをまとめ続けてきた。
EMERGING TECHNOLOGIES 新興技術
The rapid evolution of technology brings both extraordinary opportunities and unavoidable challenges. At NIST, our cybersecurity researchers study these emerging technologies to understand their security and privacy capabilities, vulnerabilities, configurations, and overall structures in order to develop standards, guidelines, and references for improving their approaches to cybersecurity before they are deployed. 技術の急速な進化は、並外れた機会と避けられない課題の両方をもたらす。NIST では、サイバーセキュリティの研究者がこれらの新技術を研究し、セキュリティやプライバシーの能力、脆弱性、構成、全体的な構造を理解することで、それらが展開される前にサイバーセキュリティへのアプローチを改善するための標準、ガイドライン、リファレンスを開発している。
Major Accomplishments in FY 2023: 2023 年度の主な成果
Cybersecurity projects in Strategic and Emerging Research Initiatives (SERI) for Autonomous Vehicles (AV) included the following: 自律走行車(AV)の戦略的新興研究イニシアティブ(SERI)におけるサイバーセキュリティ・プロジェクトには、以下のものが含まれる:
• A workshop on Standards and Performance Metrics for On-Road Automated Vehicles was held to solicit stakeholder feedback on the challenges and opportunities in developing standards and performance metrics for this complex interdisciplinary field. ・路上自動運転車の標準と性能評価指標に関するワークショップを開催し、この複雑な学際的分野の標準と性能評価指標を開発する上での課題と機会について関係者の意見を求めた。
• The NIST AV Community of Interest (COI) has over 300 participants and continues to serve as a communications channel for NIST activities in the automotive industry.  ・NIST AVコミュニティ・オブ・インタレスト(COI)には300人以上が参加し、自動車業界におけるNISTの活動のコミュニケーションチャネルとしての役割を果たし続けている。
• The Capabilities of Dioptra — an experimental testbed for machine learning algorithms — continued to expand.  ・機械学習アルゴリズムの実験的テストベッドであるDioptraの機能は引き続き拡大した。
• NIST built a SERI prototype that measures the sensitivity of uncertainty estimation in computer vision models for autonomous driving.  ・NIST は、自律走行用のコンピュータビジョンモデルにおける不確実性推定の感度を測定する SERI プロトタイプを構築した。
• Project researchers collaborated with external partners with appropriate datasets and computational resources.  ・プロジェクトの研究者は、適切なデータセットや計算資源を持つ外部パートナーと協力した。
In March 2023, the Adversarial Artificial Intelligence (AI) team released the initial public draft of  2023年3月、敵対的人工知能(AI)チームは、「AI 100-2 E2023」の初期公開ドラフトを発表した。
AI 100-2 E2023, Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations, for public comment. Leading experts in the industry were invited to assist with adjudicating the public feedback to prepare a final AI 100-2 document, which is slated to be published in early 2024.  AI 100-2 E2023、敵対的機械学習: 攻撃と低減の分類法と用語」を公開し、パブリック・コメントを求めた。最終的なAI 100-2は2024年度初頭に発行される予定である。
HUMAN-CENTERED CYBERSECURITY 人間中心のサイバーセキュリティ
The mission of the Human-Centered Cybersecurity priority area is to “champion the human in cybersecurity.” Through research and other human-centered projects, the program team seeks to better understand and improve people’s cybersecurity interactions, empowering them to be active, informed participants in cybersecurity. 人間中心のサイバーセキュリティ」優先分野の使命は、「サイバーセキュリティにおける人間の支持」である。研究およびその他の人間中心のプロジェクトを通じて、プログラム・チームは人々のサイバーセキュリティへの関わりをよりよく理解し改善することで、人々がサイバーセキュリティに積極的に参加し、情報を得られるようにすることを目指している。
Major Accomplishments in FY 2023: 2023年度の主な成果
• An interview study of parent-child pairs shed light on how parents can best support their children’s online privacy, security, and safety. The research insights are informing NIST’s participation and contribution to the interagency Task Force on Kids Online Health and Safety. ・親子ペアを対象としたインタビュー調査により、親が子どものオンラインプライバシー、セキュリティ、安全をどのようにサポートするのが最善であるかが明らかになった。この研究結果は、NISTの「子供のオンラインにおける健康と安全に関する省庁間タスクフォース」への参加と貢献につながっている。
• The phishing project team was awarded a U.S. Department of Commerce Gold Medal for creating the Phish Scale — a revolutionary tool to rate socially engineered email attacks to strengthen an organization’s security posture. The scale has been adopted by security training coordinators in public- and private-sector organizations, both domestically and internationally. ・フィッシング・プロジェクト・チームは、組織のセキュリティ態勢を強化するために、社会的に操作された電子メール攻撃を評価する画期的なツールである「フィッシング・スケール」を作成し、米国商務省から金メダルを授与された。この尺度は、国内外の公的機関や民間企業のセキュリティ・トレーニング・コーディネーターに採用されている。
• A role-based training study provided insights into the approaches and challenges faced by federal organizations when implementing cybersecurity training activities. The research resulted in the development of recommendations and resources to assist organizations in improving their role-based training activities. ・役割に基づく研修の研究により、連邦組織がサイバーセキュリティ研修活動を実施する際に直面するアプローチと課題についての洞察が得られた。この調査の結果、組織が役割ベースの訓練活動を改善するのを支援するための推奨事項やリソースが作成された。
• A widely distributed article and handout titled, “Users Are Not Stupid: Six Cybersecurity Pitfalls Overturned,” provided cybersecurity practitioners with evidence-based recommendations on how they can consider the human element in their work. ・「ユーザはバカではない: サイバーセキュリティに潜む6つの落とし穴」と題する記事と配布資料を広く配布し、サイバーセキュリティの実務者に、業務において人間の要素を考慮する方法について、エビデンスに基づく推奨事項を提供した。
IDENTITY AND ACCESS MANAGEMENT アイデンティティとアクセス管理
Identity and access management (IAM) is the cornerstone of data protection, privacy, and security. NIST’s IAM priority area provides the research, guidance, and technology transition activities to help ensure that the right humans, devices, data, and processes have the right access to the right resources at the right time. アイデンティティとアクセス管理(IAM)は、データ保護、プライバシー、セキュリティの要である。NISTのIAM優先分野は、適切な人間、デバイス、データ、プロセスが適切なリソースに適切なタイミングでアクセスできるようにするための研究、ガイダンス、技術移行活動を提供する。
Major Accomplishments in FY 2023: 2023 年度の主な成果
• NIST published draft revisions of all four volumes of SP 800-63-4, Digital Identity Guidelines, to advance modern digital identity controls. ・NIST は、最新のデジタル ID 管理を推進するため、SP 800-63-4「デジタル ID ガイドライン」全 4 巻の改訂ドラフトを公表した。
• NIST’s Identity and Access Management (IAM) team published draft SP 800-157-1, Guidelines for Derived Personal Identification Verification (PIV) Credentials, which features expanded authenticators, and draft SP 800-217, Guidelines for PIV Federation, which advances interoperable identity in the federal enterprise. ・NIST の ID およびアクセス管理(IAM)チームは、認証の拡張を特徴とするドラフト SP 800-157-1「派生する個人識別検証 (PIV) クレデンシャルのガイドライン」およびドラフト SP 800-217「PIVフェデレーションガイドライン」を発表した。
• Two Face Analysis Technology Evaluation (FATE) reports were published: NIST IR 8485, Part 11: Face Image Quality Vector Assessment: Specific Image Defect Detection, focused on face image quality and the detection of specific image defects that negatively impact matching accuracy, and NIST IR 8491, Part 10: Performance of Passive, Software-based Presentation Attack Detection (PAD) Algorithms, focused on PAD, which detects fake face images. ・2 つの顔分析技術評価(FATE)レポートが発行された: NIST IR 8485「Part 11:顔画像品質ベクトル・アセスメント:特定の画像欠陥検知)」は、顔画像の品質と、照合精度に悪影響を及ぼす特定の画像欠陥の検知に焦点を当てたものであり、NIST IR 8491「Part 10: 受動的、ソフトウェアベースのプレゼンテーション攻撃検知(PAD)アルゴリズ ムの性能)」は、偽の顔画像を検知する PAD に焦点を当てたものである。
• NIST developed a secure federated data-sharing system (SFDS), which is now in advanced prototype form. ・NISTは、安全なデータ共有システム(SFDS)を開発し、これは現在、高度なプロトタイプの形になっている。
• NIST’s IAM team published SP 800-207A, A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Location Environments. ・NISTのIAMチームは、SP 800-207A「多拠点環境におけるクラウドネイティブアプリケーションのアクセス管理のためのゼロトラストアーキテクチャモデル」を発表した。
• A draft IAM Roadmap that highlights programmatic and strategic priorities was released to help prioritize and strategically align identity projects. ・アイデンティティ・プロジェクトの優先順位付けと戦略的な調整を支援するため、プログラム上および戦略上の優先事項を強調した IAM ロードマップのドラフトが発表された。
• NIST’s IAM team contributed to the development of the Mobile Drivers’ License Application standard (ISO/IEC 18013-7) and developed a reference implementation for the standard to facilitate testing and the certification of products. ・NIST の IAM チームは、モバイル運転免許証アプリケーション標準(ISO/IEC 18013-7)の開発に貢献し、テストと製品の認証を容易にするために標準の参照実装を開発した。
PRIVACY プライバシー
Privacy is integral to the trust that supports the growth of the digital economy and improves our quality of life. NIST has prioritized privacy engineering to support measurement science and system engineering principles through frameworks, risk models, and guidance that protect privacy and civil liberties. プライバシーは、デジタル経済の成長を支え、私たちの生活の質を改善する信頼に不可欠である。NISTは、プライバシーと市民的自由を保護するフレームワーク、リスクモデル、ガイダンスを通じて、計測科学とシステム工学の原則をサポートするプライバシー工学を優先してきた。
Major Accomplishments in FY 2023: 2023年度の主な成果
• The NIST Privacy Workforce Public Working Group has nearly completed the first draft of the Privacy Workforce Taxonomy and created more than 700 task, knowledge, and skill statements thus far. ・NIST プライバシー・ワークフォース公開ワーキンググループは、プライバシー人材分類法の最初のドラフトをほぼ完成させ、これまでに700以上のタスク、知識、スキルのステートメントを作成した。
• Co-sponsored by NIST, the U.S. partnered with the U.K.’s Center for Data Ethics and Innovation and completed the Privacy-Enhancing Technologies Prize Challenge to advance privacy-preserving federated learning. ・NISTの共催により、米国は英国のデータ倫理・イノベーションセンターと提携し、プライバシーを保護する連合学習を推進するためのプライバシー強化技術賞チャレンジを完了した。
• NIST’s Privacy Engineering Program (PEP) continues to collaborate with other NIST programs, including the NCCoE, the Cryptography Technology Group, and the Risk Management Framework program. NIST leadership with external organizations is ongoing, including co-chairing the  ・NISTのプライバシー・エンジニアリング・プログラム(PEP)は、NCCoE、暗号技術グループ、リスクマネジメント・フレームワーク・プログラムなど、NISTの他のプログラムとの協力を続けている。の共同議長を務めるなど、外部組織との NIST のリーダーシップは継続中である。
Networking and Information Technology Research & Development (NITRD) Privacy Research & Development Interagency Working Group and Coalition for Health AI Privacy and Security Working Group. ネットワークと情報技術の研究開発 (NITRD) プライバシー研究開発省庁間ワーキンググループ や 健康AIプライバシー・セキュリティ作業部会 の共同議長を務めるなど、外部組織とのリーダーシップも継続している。
RISK MANAGEMENT リスクマネジメント
Organizations must balance an evolving cybersecurity and privacy threat landscape with the need to fulfill mission and business requirements — an effort that increasingly calls for a  組織は、進化するサイバーセキュリティとプライバシーの脅威の状況と、ミッションとビジネス要件を満たす必要性とのバランスを取らなければならない。
collaborative approach to managing risks. Risk management is integrated into NIST standards and guidelines to help organizations understand, measure, manage, and reduce cybersecurity and privacy risks in a larger context. リスクマネジメントに対する協調的アプローチがますます求められるようになっている。リスクマネジメントは、組織がサイバーセキュリティとプライバシーのリスクをより大きな文脈で理解、測定、管理、低減できるよう、NIST の標準とガイドラインに統合されている。
Major Accomplishments in FY 2023: 2023年度の主な成果
• NIST continued the Journey to Cybersecurity Framework (CSF) 2.0 by releasing a CSF 2.0 Concept Paper, publishing a discussion draft of the CSF 2.0 Core, and issuing a draft CSF 2.0 with Core Implementation examples. Additionally, NIST published an analysis of comments received on each draft and hosted two hybrid workshops (1st workshop & 2nd workshop).  ・NIST は、CSF 2.0 コンセプト・ペーパーの公表、CSF 2.0 コアのディスカッション・ドラフトの公表、コアの実装例を含む CSF 2.0 ドラフトの公表により、サイバーセキュリティ・フレームワーク(CSF)2.0 への旅を継続した。さらに、NIST は、各ドラフトに寄せられたコメントの分析を公表し、2 回のハイブリッド・ ワークショップ(第 1 回ワークショップと第 2 回ワークショップ)を開催した。
• NIST continued to lead and support community engagement on cybersecurity supply chain risk management through the Software and Supply Chain Assurance (SSCA) Forum, support the Federal Acquisition Security Council, and refine supply-chain guidance in SP 800-161 Revision 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations. ・NIST は引き続き、ソフトウェア・サプライチェーン保証(SSCA)フォーラム を通じて、サイバーセキュリティ・サプライチェーン・リスクマネジメントに関するコミュニティ参画を主導・支援し、連邦調達安全委員会l を支援し、SP 800-161 改訂 1「システムと組織のためのサイバーセキュリティ サプライチェーンリスクマネジメントの実務」におけるサプライチェーンガイダンスを改良した。
• NIST issued a working draft of the SP 800-55 Rev. 2, Performance Measurement Guide for Information Security for community discussion and feedback and hosted a cybersecurity measurement workshop on the current state of cybersecurity performance measurement, needs, and path forward.  ・NIST は、コミュニティの議論とフィードバックのために、SP 800-55 改訂 2 版「情報セキュリティのためのパフォーマンス測定ガイド」の作業ドラフトを発行し、サイバーセキュリティのパフォーマンス測定の現状、ニーズ、今後の進め方に関するサイバーセキュリティ測定ワークショップを開催した。
• NIST initiated updates to the Protecting Controlled Unclassified Information (CUI) Series, issued a pre-call for comment, released an initial public draft of SP 800-171r3, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations, and hosted a webinar to provide an overview of the draft. ・NIST は「管理対象非機密情報(CUI)の防御」シリーズの更新を開始し、コメントの事前募集を行い、SP 800-171r3「非連邦システムおよび組織における管理対象非機密情報の保護」の初期公開ドラフトを公表し、ドラフトの概要を説明するウェビナーを開催した。
• NIST launched the Cybersecurity & Privacy Reference Tool (CPRT) — an online application that provides NIST guidance and frameworks in a consistent format for reference data and allows users to understand the relationships between NIST resources. ・NISTは、サイバーセキュリティ&プライバシー・リファレンス・ツール(CPRT)を立ち上げた。このオンライン・アプリケーションは、NISTのガイダンスとフレームワークを一貫したフォーマットでリファレンス・データとしてプロバイダするもので、ユーザはNISTのリソース間の関係を理解することができる。
• NIST continued the development of the Open Security Controls Assessment Language (OSCAL) — a set of eXtensible Markup Language (XML), JavaScript Object Notation (JSON), and Ain’t Mark-up Language (YAML) formats that provide machine-readable representations of security and privacy information relative to the implementation, assessment, and continuous monitoring of systems. NIST SP 800-53, SP 800-53A, and SP 800-53B are available in OSCAL format, and programs such as FedRAMP are leveraging OSCAL. ・NIST は、システムの実装、アセスメント、継続的なモニタリングに関連するセキュリティとプライバシーの情報を機械可読で表現する、XML(eXtensible Markup Language)、JSON(JavaScript Object Notation)、YAML(Ain't Mark-up Language)形式のセットである、OSCAL(オープン・セキュリティ・コントロール・アセスメント言語)の開発を継続した。NIST SP 800-53、SP 800-53A、SP 800-53BはOSCALフォーマットで利用可能であり、FedRAMPなどのプログラムはOSCALを活用している。
TRUSTWORTHY NETWORKS AND PLATFORMS 信頼できるネットワークとプラットフォーム
Each of us relies on the hardware, software, and networks that form the fabric of our digital  私たち一人ひとりが、デジタル・エコシステムの基盤となるハードウェア、ソフトウェア、ネットワークに依存している。
ecosystems. NIST’s trustworthy networks and trustworthy platforms priority areas support research and practical implementation guidance to ensure secure, reliable, and resilient technology across industry sectors. に依存している。NISTの信頼できるネットワークと信頼できるプラットフォームの優先分野は、産業部門全体で安全で信頼でき、レジリエンスに優れた技術を確保するための研究と実践的な実装ガイダンスを支援している。
Major Accomplishments in FY 2023: 2023年度の主な成果
• NIST published a practice guide for SP 1800-34, Validating the Integrity of Computing Devices, to mitigate cyber supply chain risks, such as counterfeiting, tampering, and the insertion of unexpected firmware. The practice guide demonstrates how organizations can verify that the internal components of the computing devices they acquire (e.g., laptops, servers) are genuine and have not been tampered with. ・NIST は、偽造、改ざん、予期せぬファームウェアの挿入などのサイバー・サプライチェーン・リスクを軽減するため、SP 1800-34「コンピューティング・デバイスの完全性の検証のプラクティス・ガイドを発行した。このプラクティス・ガイドは、組織が入手したコンピューティング・デバイス(例えば、ラップトップ、サーバー)の内部コンポーネントが本物であり、改ざんされていないことを検証する方法を示している。
• Trust in endpoint devices can be achieved by following SP 800-124r2, Guidelines for Managing the Security of Mobile Devices in the Enterprise, and SP 800-219r1, Automated Secure  ・エンドポイントデバイスの信頼は、SP 800-124r2「エンタープライズにおけるモバイルデバイスのセキュリティ管理のためのガイドライン」およびSP 800-219r1「自動化されたセキュアな構成ガイダンス」に従うことで達成できる。
Configuration Guidance from the macOS Security Compliance Project (mSCP), to secure devices and operating systems throughout their life cycles and support zero trust policy, as demonstrated in the NIST NCCoE Zero Trust Architecture (ZTA) project. macOSセキュリティ・コンプライアンス・プロジェクト (mSCP)の自動化された安全な設定ガイダンスに従うことで、デバイスとオペレーティング・システムのライフサイクル全体を保護し、NIST NCCoE Zero Trust Architecture (ZTA)プロジェクトで実証されているように、ゼロトラスト・ポリシーをサポートすることができる。
• As part of an ongoing study of forensic science, NIST published IR 8354, Digital Investigation Techniques: A NIST Scientific Foundation Review. ・フォレンジック科学に関する継続的な研究の一環として、NISTはIR 8354「デジタル調査技術」を発表した: A NIST Scientific Foundation Review)を発表した。
NIST NATIONAL CYBERSECURITY CENTER OF EXCELLENCE (NCCOE) NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCOE)
Mission Statement:  ミッション・ステートメント 
"The NCCoE brings together experts from industry, government, and academia to address the real-world needs of securing complex IT systems and protecting the Nation’s critical infrastructure.“ 「NCCoE は産官学の専門家を結集し、複雑な IT システムの安全確保と国家の重要インフラの保護という現実のニーズに取り組む。
Major Accomplishments in FY 2023: 2023年度の主な成果
• Produced actionable, standards-based guidance. In FY 2023, the NCCoE released 42 publications. These consisted of draft and final versions of NIST 1800 Series Special Publications, NIST Interagency Reports, and short-form guides on a wide range of topics, such as hybrid satellite networks, mobile device security, Internet of Things (IoT), zero trust architecture, genomic data, and more. View our publications here. ・標準に基づく実用的なガイダンスを作成した。2023 年度、NCCoE は 42 の出版物を発表した。これらは、ハイブリッド衛星ネットワーク、モバイルデバイスセキュリティ、モノのインターネット(IoT)、ゼロトラストアーキテクチャ、ゲノムデータなど、幅広いトピックに関するNIST 1800シリーズ特別刊行物、NIST省庁間報告書、短編ガイドのドラフト版および最終版で構成されている。出版物はこちらから。
• Renewed partnership with federal, state, and county governments. In March 2023, NIST, the Maryland Department of Commerce, and Montgomery County signed a five-year agreement to extend their partnership in support of the NCCoE. According to a press release issued by NIST, “One goal of the renewed partnership agreement is to better address the needs of companies and institutions in the state and county, with a particular focus on small business.” ・連邦政府、州政府、郡政府とのパートナーシップを刷新。2023年3月、NIST、メリーランド州商務省、モンゴメリー郡は、NCCoEを支援するパートナーシップを延長する5年契約を締結した。NISTが発表したプレスリリースによると、"パートナーシップ協定の更新の1つの目標は、州および郡の企業や機構のニーズによりよく対応することであり、特に中小企業に重点を置いている"。
• Launched Cybersecurity Connections. NCCoE introduced the Cybersecurity Connections Initiative in March 2023. This initiative offers the regional small business community opportunities to engage with experts at the NCCoE to learn about our work and areas of collaboration. In June 2023, NCCoE hosted its first Cybersecurity Connections event, which focused on mitigating and managing cyber risks in the water and wastewater sector. ・サイバーセキュリティ・コネクションズを立ち上げた。NCCoEは2023年3月にサイバーセキュリティ・コネクション・イニシアチブを導入した。このイニシアチブは、地域の中小企業コミュニティにNCCoEの専門家と交流する機会を提供し、NCCoEの業務や協力分野について学ぶものである。2023年6月、NCCoEは初のサイバーセキュリティ・コネクション・イベントを開催し、上下水道セクターにおけるサイバーリスクの低減とマネジメントに焦点を当てた。
• Appointed a new director. On July 31, 2023, Cherilyn Pascoe began her tenure as the new director of the NCCoE. ・新局長を任命 2023年7月31日、シェリリン・パスコがNCCoEの新ディレクターとして就任した。
1_20240524061501 2023年度NCCoEデジタルフットプリント-数字で見る。この図は、2023年度中のNCCoEユーザーウェブサイトのトラフィックとサブスクリプションの増加を強調したものである。NCCoEは、出版物の総ダウンロード数、プロジェクトや研究トピックへの登録数、ウェブサイトのセッション数とページビュー数において、大幅な増加を記録した。
This graphic highlights the increases in NCCoE user website traffic and subscriptions during FY 2023. NCCoE recorded significant increases in total publication downloads, subscriptions to projects and research topics, and website sessions and pageviews. この図は、2023年度のNCCoEユーザーウェブサイトのトラフィックと購読数の増加を示している。NCCoEは、出版物の総ダウンロード数、プロジェクトおよび研究トピックへの購読数、ウェブサイトのセッションおよびページビューの大幅な増加を記録した。
In FY 2023, the NCCoE also focused on: 2023 年度、NCCoE は以下にも重点を置いた:
• Expanding collaborative relationships. The NCCoE forms long-term collaborative relationships with key stakeholders, primarily through signing Cooperative Research and Development Agreements (CRADAs) with various organizations and Interagency Agreements (IAAs) with government agencies. The NCCoE signed 37 CRADAs this year with 28 tech companies, two government organizations, and two non-profits. The NCCoE also held IIAAs with the Departments of Energy, State, Transportation, and the U.S. Space Force. NCCoE also engages frequently with subject-matter experts and business professionals through our free and publicly available Communities of Interest (COIs). This year, we hosted 29 COIs across sectors and technologies, including a newly launched Small Business COI, to share insights, expertise, and perspectives to guide and increase awareness of our work. ・協力関係の拡大。NCCoEは、主に様々な組織との研究開発協力協定(CRADA)や政府機関との省庁間協定(IAA)の締結を通じて、主要なステークホルダーと長期的な協力関係を形成している。NCCoEは今年、28のハイテク企業、2つの政府機関、2つの非営利団体と37のCRADAを締結した。NCCoEはまた、エネルギー省、国務省、運輸省、米宇宙軍ともIIAAを締結した。NCCoEはまた、無料で一般公開されているCOI(Communities of Interest)を通じて、専門家やビジネス・プロフェッショナルとも頻繁に交流している。本年度は、新たに発足した中小企業COIを含め、セクターや技術を超えて29のCOIを主催し、洞察、専門知識、視点を共有することで、NCCoEの活動の指針を示し、認知度を高めた。
• Increasing public awareness and understanding. The NCCoE held 22 events and webinars in FY 2023. We also expanded our video series to provide an inside look at the NCCoE, as well as our healthcare, mobile device, and supply chain assurance labs. ・一般の人々の認識と理解を高める。NCCoEは、2023年度に22のイベントとウェビナーを開催した。また、NCCoEやヘルスケア、モバイル機器、サプライチェーン保証ラボの内部を紹介するビデオシリーズを拡充した。
• Enhancing academic outreach and engagement. The NCCoE continued its summer internship program for the thirteenth straight year by hosting twelve undergraduate and two graduate students who worked on a variety of projects. This was also the first year that the NCCoE participated in NIST’s Summer Institute, which helps provide middle school teachers with cybersecurity resources and tools to shape their curricula. ・アカデミックなアウトリーチとエンゲージメントを強化する。NCCoEは13年連続でサマー・インターンシップ・プログラムを実施し、12名の大学生と2名の大学院生を受け入れて様々なプロジェクトに取り組んだ。また、NCCoE は今年初めて NIST のサマー・インスティテュートに参加した。このサマー・インスティテュートは、 中学校の教員にサイバーセキュリティに関するリソースやツールを提供し、カリキュラムの策定を支援するものである。
• Progressing the Cryptographic Module Validation Program (CMVP) project. This year, the NCCoE organized an effective governing structure for the community of collaborators to the automation of the CMVP project. NCCoE also published draft SP 1800-40A, Automation of the NIST Cryptographic Module Validation Program, which aims to shorten the validation cycle of cryptographic modules for compliance with security standards, while maintaining and improving assurance levels. The team also successfully demonstrated the Phase I prototype at the International Crypto Module Conference (ICMC) 2023. ・暗号モジュール検証プログラム(CMVP)プロジェクトの進行。今年、NCCoE は CMVP プロジェクトの自動化に向けた協力者コミュニティのための効果的なガバナンス構造を組織した。NCCoE はまた、SP 1800-40A 「Automation of the NIST Cryptographic Module Validation Program」(NIST 暗号モジュール検証プログラムの自動化)のドラフトを公表した。これは、セキュリティ標準に準拠する暗号モジュールの検証サイクルを短縮し、保証レベルを維持・改善することを目的としている。同チームはまた、国際暗号モジュール会議(ICMC)2023でフェーズIプロトタイプのデモを成功させた。
OPPORTUNITIES TO ENGAGE WITH NIST ON CYBERSECURITY AND PRIVACY サイバーセキュリティとプライバシーに関してNISTと関わる機会
Collaborators and researchers are the driving force behind NIST’s programs. NIST depends on developers, providers, and everyday users of cybersecurity and privacy technologies and information to guide our priorities. 共同研究者と研究者はNISTのプログラムを支える原動力である。NISTは、サイバーセキュリティとプライバシーの技術や情報の開発者、プロバイダ、そして日常的な利用者に依存して、優先順位を決定している。
• Details on engaging with NIST on cybersecurity and privacy are available here. ・サイバーセキュリティとプライバシーに関するNISTとの関わりについての詳細は、こちらをご覧いただきたい。
• Many NIST projects are supported by guest researchers, both foreign and domestic. ・NISTのプロジェクトの多くは、国内外のゲスト研究者によって支えられている。
• The Pathways Program supports federal internships for students and recent graduates. ・Pathwaysプログラムは、学生や新卒者を対象とした連邦政府のインターンシップを支援している。
• NIST funds industrial and academic research in several ways: ・NISTはいくつかの方法で産業界や学術界の研究に資金を提供している:
• The Small Business Innovation Research Program (SBIR) funds research and development proposals. ・中小企業技術革新研究プログラム(SBIR)は、研究開発提案に資金を提供する。
• NIST offers grants to encourage work in the fields of precision measurement, fire research, and materials science. For general information on NIST’s grant programs, please contact Mr. Christopher Hunton via grants@nist.gov. ・NISTは、精密測定、火災研究、材料科学の分野での研究を奨励する助成金を提供している。NISTの助成金プログラムに関する一般的な情報については、クリストファー・ハントン氏(grants@nist.gov)までお問い合わせいただきたい。
• The Information Technology Laboratory (ITL) Speakers Bureau enables engagement with universities and colleges to raise student and faculty awareness about the exciting work going on at NIST and motivate them to consider pursuing opportunities to work with ITL. ・情報技術研究所(ITL)のスピーカー・ビューローは、大学やカレッジとの連携を可能にし、NISTで行われているエキサイティングな仕事について学生や教員の認識を高め、ITLで働く機会を求める動機付けを行う。
• More information about our research, projects, publications, and events can be found on the NIST Computer Security Resource Center (CSRC) website. ・NISTの研究、プロジェクト、出版物、イベントに関する詳細は、NISTコンピュータ・セキュリティ・リソース・センター(CSRC)のウェブサイトを参照のこと。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.09 NIST SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書 (2023.05.30)

・2022.10.02 NIST SP 800-220 2021年度サイバーセキュリティ・プライバシー年次報告書 (2022.09.26)

・2021.10.01 NIST SP 800-214 2020年度サイバーセキュリティ・プライバシー年次報告書

・2020.08.26 NIST/ITLのサイバーセキュリティプログラム年次報告書2019

・2020.03.15 NIST SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program

 

| | Comments (0)

2024.05.23

外務省 岸田総理大臣のAIソウル・サミット首脳セッションへの参加(ビデオメッセージ)+ AIソウル・サミット首脳セッション出席国による安全、革新的で包摂的なAIのためのソウル宣言 

こんにちは、丸山満彦です。

岸田総理が、AIソウル・サミット首脳セッションにオンラインで参加したようですね...

 

外務省

・ 2024.05.21 岸田総理大臣のAIソウル・サミット首脳セッションへの参加(ビデオメッセージ)


  1. 岸田総理大臣は、AIで得られる革新的な機会を最大化するためには、AIのリスクを軽減し、「安全、安心で信頼できるAI」を実現するための国際ガバナンスの形成が急務であると述べました。さらに、昨年、日本が議長国を務める中、G7で立ち上げた「広島AIプロセス」では、国際指針や行動規範を策定し具体的なリスクの削減に取り組んできているほか、先日のOECD閣僚理事会において「広島AIプロセス フレンズグループ」を立ち上げ、「安全、安心で信頼できるAI」の実現に向けた取組を進めていく旨紹介しました。

  2. また、岸田総理大臣は、本サミットの取組が「広島AIプロセス」と相互補完的であり、AIの安全性に関する国際的な議論を深めることは、AI開発企業等による国際行動規範の履行を促すためにも不可欠である旨述べました。

  3. さらに、岸田総理大臣は、日本国内の取組として、「広島AIプロセス」の成果も踏まえ、本年4月に「AI事業者ガイドライン」を公表し、幅広い事業者がリスクに応じて、AIを活用できるよう、取組を後押ししていく旨、また、AIの安全性評価について、本年2月に「AIセーフティ・インスティテュート」を設立し、国際的なパートナーと緊密に連携して、相互運用可能な安全性評価手法の確立に向けて取り組んでいく旨述べました。

  4. 最後に、岸田総理大臣は、本サミットの趣旨に賛同し、AIをめぐる国際的な議論に貢献していく旨述べました。

 

・[PDF] 日本語 / 英語(仮訳)

20240523-6245420240523-62504

 

AIソウル・サミット 首脳セッション岸田総理発言(ビデオメッセージ)令和6年5月21日  AI Seoul Summit Leaders’ Session Video Message by KISHIDA Fumio, Prime Minister of Japan (May 21, 2024) 
1 冒頭  1.  Introduction 
今回のサミットを主催頂いた、尹大統領及びスナク首相のイニシアチブに感謝いたします。  I would like to thank President Yoon and Prime Minister Sunak for your initiative in hosting the AI Seoul Summit.  
本日は残念ながら、リアルタイムでの参加が叶いませんが、この重要な会議に一言ご挨拶申し上げたく、参加させていただきます。  It is my regret that I am unable to participate in today’s session in real time. I nonetheless would like to join you in this important meeting to offer my views.  
2 安全、安心で信頼できるAIの実現に向けて  2.  To achieve safe, secure, and trustworthy AI 
 AIで得られる革新的な機会を最大化するためには、偽(にせ)情報等のAIのリスクを軽減し、「安全、安心で信頼できるAI」を実現するための国際ガバナンスの形成が急務です。  In order to maximize the innovative opportunities brought by AI, there is an urgent need to establish international governance to mitigate its risks, such as the risk of disinformation, and to achieve safe, secure, and trustworthy AI. 
昨年、日本が議長国を務める中、G7で立ち上げた「広島AIプロセス」では、国際指針や行動規範を策定し、具体的なリスク低減に取り組んで来ています。これらの「広島AIプロセス」の成果の土台の上に、私は先日、OECD閣僚理事会に出席して、本日ご参加の各国を含む49カ国・地域の参加を得て、「広島AIプロセス フレンズグループ」を立ち上げました。G7を越える多くの国々の仲間と、「安全、安心で信頼できるAI」の実現に向けた取組を進めていきます。  Last year, under Japan’s Presidency, the G7 launched the Hiroshima AI Process, which led to the development of the International Guiding Principles as well as the Code of Conduct, contributing to the reduction in the specific risks posed by AI. Building on these outcomes of the Hiroshima AI Process, I attended the OECD Ministerial Council Meeting earlier this month and kicked off the Hiroshima AI Process Friends Group, with the participation of 49 countries and regions, including all those who are represented here in today’s session. Together with those countries beyond the G7, we will advance initiatives towards achieving safe, secure, and trustworthy AI. 
 本サミットの取組は、「広島AIプロセス」と相互補完的です。AIの安全性に関する国際的な議論を深めることは、AI開発企業等による国際行動規範の履行を促すためにも不可欠です。  The initiatives under the AI Seoul Summit and the Hiroshima AI Process are complementary to one another. Deepening international discussions on AI safety is essential to promote the implementation of the International Code of Conduct by organizations developing AI systems.  
 日本国内では、「広島AIプロセス」の成果も踏まえ、「AI事業者ガイドライン」を先月公表しました。幅広い事業者がリスクに応じて、AIを活用できるよう、取組を後押ししていきます。  Turning to domestic initiatives, reflecting the results of the Hiroshima AI Process, the Government of Japan released the AI Guidelines for Business last month. We will encourage efforts to ensure that a wide range of businesses can utilize AI while addressing the associated risks. 
また、AIの安全性評価について、本年2月、「AIセーフティ・インスティテュート」を設立しました。国際的なパートナーと緊密に連携して、相互運用可能な安全性評価手法の確立に向け、取り組んでいきます。  On AI safety evaluation, Japan established the AI Safety Institute (AISI) this February. We will work closely with our international partners towards establishing interoperable safety evaluation methodologies. 
3 結語  3.  Conclusion 
あらためて、日本として、本サミットの趣旨に賛同し、AIをめぐる国際的な議論に貢献していくことをお約束します。最後に、今回のサミットの盛会と、実りある議論と成果の達成をお祈り申し上げます。ご清聴ありがとうございました。 Once again, Japan supports the objectives of the AI Seoul Summit and commits itself to further contributing to the international discussions on AI. I would like to offer my best wishes for a successful Summit meeting and for fruitful discussions and achievements. Thank you very much for your kind attention. 




・「安全、革新的で包摂的なAIのためのソウル宣言」及び付録(「AI安全性の科学に関する国際協力に向けたソウル意図表明」)

・[PDF] 英文 / 和文仮訳

20240523-64645 20240523-64628

 

 SEOUL DECLARATION FOR SAFE, INNOVATIVE AND INCLUSIVE AI BY PARTICIPANTS ATTENDING THE LEADERS' SESSION OF THE Al SEOUL SUMMIT, 21st MAY 2024   2024年5月21日のAIソウル・サミット首脳セッション出席国による安全、革新的で包摂的なAIのためのソウル宣言 
1.    We, world leaders representing Australia, Canada, the European Union, France, Germany, Italy, Japan, the Republic of Korea, the Republic of Singapore, the United Kingdom, and the United States of America, gathered at the AI Seoul Summit on 21st May 2024, affirm our common dedication to fostering international cooperation and dialogue on artificial intelligence (Al) in the face of its unprecedented advancements and the impact on our economies and societies.  1.  我々、オーストラリア、カナダ、欧州連合、フランス、ドイツ、イタリア、日本、韓国、シンガポール、英国及び米国を代表する世界の首脳は、2024年5月21日のAIソウル・サミットに集い、AIの前例のない進展と我々の経済及び社会への影響に直面し、AIに関する国際協力及び対話の促進に向けて共に取り組むことを確認する。 
2.    Building on the work laid out at the Al Safety Summit held at Bletchley Park in the United Kingdom on November 2023, we recognize that Al safety, innovation, and inclusivity are interrelated goals and that it is important to encompass these priorities in international discussions on Al governance to address the broad spectrum of opportunities and challenges that the design, development, deployment, and use of Al presents and may present.  2.  2023年11月に英国のブレッチリー・パークで開催されたAI安全性サミットにおける作業を踏まえ、我々は、AIの安全性、革新性及び包摂性は相互に関連する目標であること、及び、AIの設計、開発、導入及び利用がもたらす、あるいはもたらす可能性のある幅広い機会と課題に対処するために、AIガバナンスに関する国際的な議論におけるこれらの優先事項を包含することが重要であることを認識する。 
3.    We recognize the importance of interoperability between AI governance frameworks in line with a risk-based approach to maximize the benefits and address the broad range of risks from AI, to ensure the safe, secure, and trustworthy design, development, deployment, and use of Al. We continue to focus on supporting the operationalisation of the Hiroshima Process International Code of Conduct for Organizations Developing Advanced AI Systems. We recognize the particular responsibility of organizations developing and deploying frontier Al, and, in this regard, note the Frontier AI Safety Commitments.   3.  我々は、AIの安全、安心で信頼できる設計、開発、導入及び利用を確保するために、便益を最大化し、AIによる広範なリスクに対処するためのリスクベースのアプローチに沿った、AIガバナンス枠組間の相互運用可能性の重要性を認識する。我々は、高度なAIシステムを開発する組織向けの広島プロセス国際行動規範の運用を支援することに引き続き集中する。我々は、最先端AIを開発し導入する組織の特別な責任を認識し、この観点から、最先端AI安全性コミットメントに留意する。 
4.    We support existing and ongoing efforts of the participants to this Declaration to create or expand Al safety institutes, research programmes and/or other relevant institutions including supervisory bodies, and we strive to promote cooperation on safety research and to share best practices by nurturing networks between these organizations. In this regard, we welcome the Seoul Statement of Intent toward International Cooperation on Al Safety Science, which is annexed to this Declaration.  4.  我々は、AIセーフティ・インスティテュート、研究プログラム及び/又は監督機関を含むその他の関連組織を創設又は拡大するための、この宣言への参加国による既存かつ継続中の努力を支持し、我々は、これらの組織間のネットワークを育成することにより安全性研究に関する協力を促進し、ベストプラクティスを共有するよう努める。この観点から、我々は、この宣言に添付する「AI安全性の科学に関する国際協力に向けたソウル意図表明」を歓迎する。 
5.    We call for enhanced international cooperation to advance Al safety, innovation and inclusivity to harness human-centric Al to address the world's greatest challenges, to protect and promote democratic values, the rule of law and human rights, fundamental freedoms and privacy, to bridge Al and digital divides between and within countries, thereby contributing to the advancement of human well-being, and to support practical applications of Al including to advance the UN Sustainable Development Goals.  5.  我々は、世界最大の諸課題に対処するために人間中心のAIを活用し、民主主義的価値、法の支配、人権、基本的自由及びプライバシーを保護及び促進し、各国間及び各国内でのAIとデジタル格差を埋め、それにより人間の幸福の前進に寄与し、並びに、国連持続可能な開発目標の前進のためのものを含むAIの実践的な適用を支援するため、AIの安全性、革新性及び包摂性を前進させるための国際協力の強化を求める。 
6.    We advocate for policy and governance frameworks, including risk-based approaches, that foster safe, innovative and inclusive Al ecosystems. Frameworks should facilitate a virtuous cycle between human creativity and the development and use of Al, promote socio-cultural, linguistic, and gender diversity, and promote environmentally sustainable development and use of technology and infrastructure throughout the life-cycle of commercially and publicly available AI systems.  6.  我々は、安全、革新的で包摂的なAIエコシステムを促進する、リスクベースのアプローチを含む政策及びガバナンス枠組を主張する。枠組は、人間の創造性とAIの開発及び利用との間の好循環を促進し、社会文化的、言語的及びジェンダー多様性を促進し、商業的及び公的に利用可能なAIシステムのライフサイクルを通じて、技術及びインフラの環境的に持続可能な開発及び利用を促進すべきである。 
7.    We affirm the importance of active multi-stakeholder collaboration, including governments, the private sector, academia, and civil society to cultivate safe, innovative and inclusive Al ecosystems, and the importance of cross-border and cross-disciplinary collaboration. Recognizing that all states will be affected by the benefits and risks of AI, we will actively include a wide range of international stakeholders in conversations around AI governance.  7.  我々は、安全、革新的で包摂的なAIエコシステムを育むために、政府、民間セクター、学術界及び市民社会を含むマルチ・ステークホルダーによる積極的な協力の重要性、及び、国境を越え、かつ学際的な協力の重要性を確認する。あらゆる国がAIの便益及びリスクによる影響を受けることを認識しつつ、我々は、AIガバナンスを取り巻く議論に幅広い国際的なステークホルダーを積極的に含めていく。 
8.    We aim to strengthen international cooperation on Al governance through engagement with other international initiatives at the UN and its bodies, G7, G20, the Organization for Economic Co-operation and Development (OECD), the Council of Europe, and the Global Partnership on AI (GPAI). In this light, we acknowledge the Hiroshima AI Process Friends Group, welcome the recently updated OECD AI principles, and the recent adoption by consensus of the United Nations General Assembly resolution "Seizing the opportunities of safe, secure and trustworthy artificial intelligence systems for sustainable development" that solidified the global understanding on the need for safeguards for Al systems and the imperative to develop, deploy, and use Al for good, and welcome discussions on the Global Digital Compact in advance of the Summit of the Future in September 2024 and look forward to the final report of the UN Secretary-General’s High-level Advisory Body on AI (HLAB).  8.  我々は、国連及びその関連機関、G7、G20、経済協力開発機構(OECD)、欧州評議会及びGlobal Partnership on AI(GPAI)における、その他の国際的取組への関与を通じて、AIガバナンスに関する国際協力を強化することを目指す。この観点から、我々は、広島AIプロセス・フレンズグループを認識し、最近改定されたOECDのAI原則、並びにAIシステムのセーフガードの必要性及びAIを便益のために開発・導入・利用するとの責務に関する国際的な認識を強固にした「持続可能な開発のための安全、安心で信頼できるAIシステムに係る機会確保」に関する国連総会決議の最近のコンセンサスによる採択を歓迎し、2024年9月の未来サミットに先立つグローバル・デジタル・コンパクトに関する議論を歓迎し、国連事務総長のAIハイレベル諮問機関の最終報告書を期待する。 
9.    Acknowledging the value of Al Summit dialogues as a high-level forum to advance discussion on Al governance which facilitates Al safety, innovation and inclusivity, we look forward to our third gathering at the upcoming AI Action Summit to be held in France.  9.  AIの安全性、革新性及び包摂性を促進するAIガバナンスに関する議論を前進させるためのハイレベルのフォーラムとしてのAIサミットにおける対話の価値を認識しつつ、我々は、フランスで開催予定のAIアクション・サミットにおける三回目の集まりに期待する。 
Annex: Seoul Statement of Intent toward International Cooperation on AI Safety Science   付録:AI安全性の科学に関する国際協力に向けたソウル意図表明 
Annex  (仮訳)付録 
Seoul Statement of Intent toward International Cooperation on AI Safety Science  AI安全性の科学に関する国際協力に向けたソウル意図表明 
1.     1. Gathered at the AI Seoul Summit on 21st May 2024, and following on from the AI Safety Summit in Bletchley Park on 2nd November 2023 and acknowledging the Safety Testing Chair’s Statement of Session Outcomes from the Bletchley Leaders’ Session, world leaders representing Australia, Canada, the European Union, France, Germany, Italy, Japan, the Republic of Korea, the Republic of Singapore, the United Kingdom, and the United States of America affirm the importance of international coordination and collaboration, based in openness, transparency, and reciprocity, to advance the science of AI safety. We affirm that safety is a key element in furtherance of responsible AI innovation.  1.  2024年5月21日のAIソウル・サミットに集まり、2023年11月2日のブレッチリー・パークにおけるAI安全性サミットに続き、ブレッチリー首脳セッションのセッション成果に関する安全性評価に係る議長声明を認識しつつ、オーストラリア、カナダ、欧州連合、フランス、ドイツ、イタリア、日本、韓国、シンガポール、英国及び米国を代表する世界の首脳は、開放性、透明性及び相互主義を基礎とし、AI安全性の科学を前進させるための国際的な連携及び協力の重要性を確認する。我々は、責任あるAIイノベーションの促進において安全性が重要な要素であることを確認する。 
2.     We commend the collective work to create or expand public and/or governmentbacked institutions, including AI Safety Institutes, that facilitate AI safety research, testing, and/or developing guidance to advance AI safety for commercially and publicly available AI systems.  2.  我々は、商業的及び公的に利用可能なAIシステムのためのAI安全性を前進させるために、AI安全性の研究、評価及び/又はガイダンス策定を促進する、AIセーフティ・インスティテュートを含む、公的及び/又は政府が支援する機関を創設又は拡大するための共同作業を賞賛する。 
2.1  We acknowledge the need for a reliable, interdisciplinary, and reproducible body of evidence to inform policy efforts related to AI safety. We recognize the role of scientific inquiry and the benefits of international coordination for the advancement of such inquiry, so that ultimately the benefits of AI development and deployment are shared equitably around the globe.   2.1    我々は、AI安全性に関する政策取組に情報を提供するための、信頼でき、学際的で再現性のある一連のエビデンスの必要性を認識する。我々は、最終的にAIの開発及び導入の便益が世界中で公平に共有されるよう、科学的探求の役割とそのような探求を前進するための国際的連携の利点を認識する。 
2.2  We affirm our intention to leverage and promote common scientific understandings through assessments such as the International AI Safety Report, to guide and align our respective policies, where appropriate, and to enable safe, secure, and trustworthy AI innovation, in line with our governance frameworks.   2.2    我々は、国際AI安全性報告書などの評価を通じて共通の科学的理解を活用及び促進し、適切な場合には我々それぞれの政策を誘導及び整合させ、また、我々のガバナンス枠組に沿って、安全、安心で信頼できるAIイノベーションを可能にするとの意図を確認する。 
2.3  We express our shared intent to take steps toward fostering common international scientific understanding on aspects of AI safety, including by endeavoring to promote complementarity and interoperability in our technical methodologies and overall approaches.  2.3    我々は、我々の技術的方法論と全般的なアプローチにおける補完性と相互運用性を促進するよう努めることを含め、AIの安全性の側面に関する、共通の国際的、科学的理解を醸成するための手段を取るという共通の意図を表明する。 
2.4  These steps may include taking advantage of existing initiatives; the mutual strengthening of research, testing, and guidance capacities; the sharing of information about models, including their capabilities, limitations, and risks as appropriate; the monitoring of AI harms and safety incidents; the exchange or joint creation of evaluations, data sets and associated criteria, where appropriate; the establishment of shared technical resources for purposes of advancing the science of AI safety; and the promotion of appropriate research security practices in the field.   2.4    これらの手段は既存の取組を活用すること、研究、評価及びガイダンス能力を相互に強化すること、適切な場合には、能力、限界及びリスクに関するものを含むモデルに関する情報を共有すること、AIによる害や安全性インシデントをモニタリングすること、適切な場合には、評価、データセット及び関連する基準を交換又は共同で作成すること、AI安全性の科学を推進するための共有の技術リソースの構築、この分野における適切な研究安全性の慣例を推進することを含む。 
2.5  We intend to coordinate our efforts to maximize efficiency, define priorities, report progress, enhance our outputs’ scientific rigor and robustness, promote the development and adoption of international standards, and accelerate the advancement of evidence-based approaches to AI safety.  2.5    我々は、効率を最大化し、優先順位を明確にし、進捗状況を報告し、我々の成果の科学的厳密性と堅牢性を高め、国際基準の策定及び採択を促進し、AI安全性に関するエビデンスに基づくアプローチの前進を加速させるために、我々の努力を連携する。 
3.     We articulate our shared ambition to develop an international network among key partners to accelerate the advancement of the science of AI safety. We look forward to close future collaboration, dialogue, and partnership on these and related endeavors.   3.  我々は、AI安全性の科学の前進を加速するため、主要なパートナー間の国際的ネットワークを発展させるという共通の願いを表明する。我々は、これら及び関連する取組について、緊密な将来の協力、対話及びパートナーシップを期待する。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.23 外務省 岸田総理大臣のAIソウル・サミット首脳セッションへの参加(ビデオメッセージ)+ AIソウル・サミット首脳セッション出席国による安全、革新的で包摂的なAIのためのソウル宣言 

・2024.05.23 米国 商務省 NIST AI安全性に関する戦略的ビジョン:AI安全性研究機関の世界的協力計画を発表

・2024.05.21 英国 科学技術革新省 先進AIの安全性に関する国際科学報告書

 

| | Comments (0)

米国 商務省 NIST AI安全性に関する戦略的ビジョン:AI安全性研究機関の世界的協力計画を発表

こんにちは、丸山満彦です。

米国の商務省が、AI安全性に関する戦略的ビジョン:AI安全性研究機関の世界的協力計画を発表していますね...

 

NIST - U.S. ARTIFICIAL INTELLIGENCE SAFETY INSTITUTE

・2024.05.21 [PDF] The United States Artificial Intelligence Safety Institute: Vision, Mission, and Strategic Goals

20240523-55320

 

Vision: It is a time of extraordinary advancement in artificial intelligence (AI). A suite of increasingly capable computer systems, models, and agents with capabilities can now perform tasks that were once thought to require human-level intelligence. ビジョン:人工知能(AI)が驚異的な進歩を遂げている時代である。かつて人間レベルの知能が必要だと考えられていたタスクを、能力を増したコンピュータ・システム、モデル、エージェントのスイートが実行できるようになった。
Mission: AISI operates with two key principles in mind: beneficial AI depends on AI safety, and AI safety depends on science. ミッション:有益なAIはAIの安全性に依存し、AIの安全性は科学に依存する。
Strategic Goals: AISI’s mission is by necessity ambitious, and is made even more challenging by the rapidity and dynamism of a changing AI landscape. 戦略的目標:AISIの使命は、必然的に野心的であり、変化するAIの状況の急速さとダイナミズムによって、さらに挑戦的なものとなっている。
Goal 1. Making the vision possible: advancing AI safety science through research, including testing, evaluation, validation, and verification of increasingly capable AI models, systems, and agents. 目標1. ビジョンを可能にする: AIモデル、システム、エージェントのテスト、評価、検証、検証を含む研究を通じて、AI安全科学を推進する。
Goal 2. Making the vision actionable: developing and disseminating AI safety practices. 目標2. ビジョンを実行可能なものにする:AI安全プラクティスを開発し、普及させる。
Goal 3. Making the vision sustainable: supporting institutions, communities, and coordination around AI safety. 目標3. ビジョンを持続可能なものにする:AIの安全性に関する機構、コミュニティ、協調を支援する。
Pursuing AISI’s vision for the benefit of all. Mitigating the safety risks of a transformative technology is necessary to harness its benefits. すべての人の利益のためにAISIのビジョンを追求する。変革的な技術の安全リスクを低減することは、その恩恵を享受するために必要である。

 

AIに対する政策について、英国、米国、中国等がいろいろと発表していますが、そういうのを見ながら、日本が進むべき方向も見ておかないといけないでしょうね...

 

Strategic Vision

Strategic Vision 戦略的ビジョン
his summary provides an overview of the U.S. Artificial Intelligence Safety Institute (AISI)’s Strategic Vision document. Get the full text here.< この要約は、米国人工知能安全研究所(AISI)の戦略的ビジョン文書の概要を提供するものである。全文はこちらから。
EXECUTIVE SUMMARY 要旨
The Strategic Vision document describes the AISI’s philosophy, mission, and strategic goals.  Rooted in two core principles—first, that beneficial AI depends on AI safety; and second, that AI safety depends on science—the AISI aims to address key challenges, including a lack of standardized metrics for frontier AI, underdeveloped testing and validation methods, limited national and global coordination on AI safety issues, and more. 戦略的ビジョンには、AISIの理念、使命、戦略的目標が記されている。 第一に、有益なAIはAIの安全性に依存し、第二に、AIの安全性は科学に依存するという2つの基本原則に根ざし、AISIは、フロンティアAIの標準化された測定基準の欠如、未開発の試験・検証方法、AIの安全性問題に関する限定的な国家的・世界的調整など、主要な課題に対処することを目指している。
The AISI will focus on three key goals:  AISIは3つの主要目標に焦点を当てる: 
1. Advance the science of AI safety; 1. AIの安全性に関する科学を発展させる;
2. Articulate, demonstrate, and disseminate the practices of AI safety; and 2. AI安全性の実践を明確にし、実証し、普及させる。
3. Support institutions, communities, and coordination around AI safety.  3. AIの安全性に関する機構、コミュニティ、調整を支援する。
To achieve these goals, the AISI plans to, among other activities, conduct testing of advanced models and systems to assess potential and emerging risks; develop guidelines on evaluations and risk mitigations, among other topics; and perform and coordinate technical research. The U.S. AI Safety Institute will work closely with diverse AI industry, civil society members, and international partners to achieve these objectives. これらの目標を達成するため、AISIは特に、潜在的リスクや新たなリスクをアセスメントするための高度なモデルやシステムのテストを実施し、評価やリスク低減などに関するガイドラインを策定し、技術研究を実施・調整することを計画している。米国AI安全研究所は、多様なAI産業、市民社会、国際的パートナーと緊密に協力し、これらの機構を達成する。

 

Aisi-graphic_20240523060101

 

 

プレス...

・2024.05.21 U.S. Secretary of Commerce Gina Raimondo Releases Strategic Vision on AI Safety, Announces Plan for Global Cooperation Among AI Safety Institutes

U.S. Secretary of Commerce Gina Raimondo Releases Strategic Vision on AI Safety, Announces Plan for Global Cooperation Among AI Safety Institutes ジーナ・ライモンド米商務長官がAI安全性に関する戦略的ビジョンを発表、AI安全機構間の世界的協力計画を発表
Raimondo announces plans for global network of AI Safety Institutes and future convening in the San Francisco area, where the U.S. AI Safety Institute recently established a presence. ライモンド米商務長官は、AI安全機構の世界的なネットワークと、米国AI安全機構が最近拠点を構えたサンフランシスコ地域での今後の開催計画を発表した。
Today, as the AI Seoul Summit begins, U.S. Secretary of Commerce Gina Raimondo released a strategic vision for the U.S. Artificial Intelligence Safety Institute (AISI), describing the department’s approach to AI safety under President Biden’s leadership. At President Biden’s direction, the National Institute of Standards and Technology (NIST) within the Department of Commerce launched the AISI, building on NIST’s long-standing work on AI. In addition to releasing a strategic vision, Raimondo also shared the department’s plans to work with a global scientific network for AI safety through meaningful engagement with AI Safety Institutes and other government-backed scientific offices, and to convene the institutes later this year in the San Francisco area, where the AISI recently established a presence. AIソウル・サミットが始まる本日、ジーナ・ライモンド米商務長官は、バイデン大統領のリーダーシップの下でのAI安全性に対する同省の取り組みについて、米国人工知能安全機構(AISI)の戦略的ビジョンを発表した。バイデン大統領の指示により、商務省内の国立標準技術研究所(NIST)は、NISTの長年にわたるAIに関する研究を基に、AISIを立ち上げた。ライモンドは戦略的ビジョンの発表に加え、AI安全研究所や政府が支援する他の科学機関との有意義な関わりを通じて、AIの安全性に関する世界的な科学的ネットワークと協力し、今年後半にはAISIが最近拠点を構えたサンフランシスコ地域で同研究機関を招集するという同省の計画も披露した。
COMMERCE DEPARTMENT AI SAFETY INSTITUTE STRATEGIC VISION 商務省AI安全研究所戦略ビジョン
The strategic vision released today, available here, outlines the steps that the AISI plans to take to advance the science of AI safety and facilitate safe and responsible AI innovation. At the direction of President Biden, NIST established the AISI and has since built an executive leadership team that brings together some of the brightest minds in academia, industry and government. 本日発表された戦略的ビジョンはこちらで入手可能で、AISIがAIの安全性に関する科学を発展させ、安全で責任あるAIのイノベーションを促進するために取る予定のステップを概説している。バイデン大統領の指示により、NISTはAISIを設立し、以来、学界、産業界、政府で最も優秀な頭脳を集めた幹部リーダーシップチームを構築してきた。
The strategic vision describes the AISI’s philosophy, mission and strategic goals.  Rooted in two core principles — first, that beneficial AI depends on AI safety; and second, that AI safety depends on science — the AISI aims to address key challenges, including a lack of standardized metrics for frontier AI, underdeveloped testing and validation methods, limited national and global coordination on AI safety issues, and more.  戦略的ビジョンは、AISIの理念、使命、戦略的目標を示している。 第一に、有益なAIはAIの安全性に依存する、第二に、AIの安全性は科学に依存する、という2つの基本原則に根ざし、AISIは、フロンティアAIの標準化された測定基準の欠如、未開発の試験・検証方法、AIの安全性問題に関する限定的な国家的・世界的調整など、主要な課題に対処することを目指している。
The AISI will focus on three key goals:  AISIは3つの主要目標に焦点を当てる: 
1. Advance the science of AI safety; 1. AIの安全性に関する科学を発展させる;
2. Articulate, demonstrate, and disseminate the practices of AI safety; and 2. AI安全性の実践を明確にし、実証し、普及させる。
3. Support institutions, communities, and coordination around AI safety.   3. AIの安全性に関する機構、コミュニティ、調整を支援する。 
Read the full Department of Commerce release. 商務省のリリースを読む。

 

 

U.S. Department of Commerce

商務省のプレス...

・2024.05.21 U.S. Secretary of Commerce Gina Raimondo Releases Strategic Vision on AI Safety, Announces Plan for Global Cooperation Among AI Safety Institutes

 

U.S. Secretary of Commerce Gina Raimondo Releases Strategic Vision on AI Safety, Announces Plan for Global Cooperation Among AI Safety Institutes ジーナ・ライモンド米商務長官がAI安全性に関する戦略的ビジョンを発表、AI安全機構間のグローバル協力計画を発表
As AI Seoul Summit begins, Raimondo unveils Commerce’s goals on AI safety under President Biden’s leadership. AIソウルサミットが始まる中、ライモンド商務長官はバイデン大統領のリーダーシップの下、AIの安全性に関する目標を発表した。
Raimondo announces plans for global network of AI Safety Institutes and future convening in the U.S. in San Francisco area, where the U.S. AI Safety Institute recently established a presence. ライモンド長官は、AI安全機構の世界的なネットワークと、米国AI安全機構が最近設立された米国サンフランシスコ地区での今後の開催計画を発表した。
Today, as the AI Seoul Summit begins, U.S. Secretary of Commerce Gina Raimondo released a strategic vision for the U.S. Artificial Intelligence Safety Institute (AISI), describing the Department’s approach to AI safety under President Biden’s leadership. At President Biden’s direction, the National Institute of Standards and Technology (NIST) within the Department of Commerce launched the AISI, building on NIST’s long-standing work on AI. In addition to releasing a strategic vision, Raimondo also shared the Department’s plans to work with a global scientific network for AI safety through meaningful engagement with AI Safety Institutes and other government-backed scientific offices, and to convene the institutes later this year in the San Francisco area, where the AISI recently established a presence. AIソウル・サミットが開幕する本日、ジーナ・ライモンド米商務長官は、バイデン大統領のリーダーシップの下、AI安全性に対する同省のアプローチを説明する米国人工知能安全機構(AISI)の戦略的ビジョンを発表した。バイデン大統領の指示により、商務省内の国立標準技術研究所(NIST)は、NISTの長年にわたるAIに関する研究を基に、AISIを発足させた。戦略的ビジョンの発表に加え、ライモンド氏は、AI安全性機構やその他の政府系科学機関との有意義な関わりを通じて、AIの安全性のための世界的な科学ネットワークと協力し、AISIが最近拠点を構えたサンフランシスコ地域で今年後半に機構を招集するという政府の計画も披露した。
“Recent advances in AI carry exciting, lifechanging potential for our society, but only if we do the hard work to mitigate the very real dangers of AI that exist if it is not developed and deployed responsibly. That is the focus of our work every single day at the U.S. AI Safety Institute, where our scientists are fully engaged with civil society, academia, industry, and the public sector so we can understand and reduce the risks of AI, with the fundamental goal of harnessing the benefits,” said U.S. Secretary of Commerce Gina Raimondo. “The strategic vision we released today makes clear how we intend to work to achieve that objective and highlights the importance of cooperation with our allies through a global scientific network on AI safety. Safety fosters innovation, so it is paramount that we get this right and that we do so in concert with our partners around the world to ensure the rules of the road on AI are written by societies that uphold human rights, safety, and trust.” 「AIの最近の進歩は、私たちの社会にとって刺激的で人生を変える可能性を秘めているが、責任を持って開発・導入されない場合に存在するAIの非常に現実的な危険性を低減するために、私たちが困難な作業を行う場合に限られる。私たちの科学者たちは、市民社会、学術界、産業界、公共部門と全面的に関わり、AIのリスクを理解し、削減することで、利益を活用することを基本目標としています」と、ジーナ・ライモンド米商務長官は語った。「本日発表した戦略的ビジョンは、その目的を達成するために我々がどのように取り組むつもりかを明確にし、AIの安全性に関する世界的な科学的ネットワークを通じて同盟国と協力することの重要性を強調している。安全性はイノベーションを促進するため、私たちがこれを正しく理解し、AIに関する交通ルールが人権、安全性、信頼を支持する社会によって書かれることを確実にするために、世界中のパートナーと協調して行うことが最も重要である。"
Commerce Department AI Safety Institute Strategic Vision 商務省AI安全機構戦略ビジョン
The strategic vision released today, available here, outlines the steps that the AISI plans to take to advance the science of AI safety and facilitate safe and responsible AI innovation. At the direction of President Biden, NIST established the AISI and has since built an executive leadership team that brings together some of the brightest minds in academia, industry and government. 本日発表された戦略ビジョンはこちらで入手可能で、AISIがAIの安全性に関する科学を発展させ、安全で責任あるAIのイノベーションを促進するために取る予定のステップの概要を示している。バイデン大統領の指示により、NISTはAISIを設立し、以来、学界、産業界、政府で最も優秀な頭脳を集めたエグゼクティブ・リーダーシップ・チームを構築してきた。
The strategic vision describes the AISI’s philosophy, mission, and strategic goals. Rooted in two core principles—first, that beneficial AI depends on AI safety; and second, that AI safety depends on science—the AISI aims to address key challenges, including a lack of standardized metrics for frontier AI, underdeveloped testing and validation methods, limited national and global coordination on AI safety issues, and more. 戦略ビジョンには、AISIの理念、使命、戦略目標が記されている。第一に、有益なAIはAIの安全性に依存するということ、第二に、AIの安全性は科学に依存するということである。AISIは、フロンティアAIの標準化された測定基準の欠如、未開発の試験・検証方法、AIの安全性問題に関する限定的な国家的・世界的調整など、主要な課題に対処することを目指している。
The AISI will focus on three key goals: AISIは3つの主要目標に焦点を当てる:
1. Advance the science of AI safety; 1. AIの安全性に関する科学を発展させる;
2. Articulate, demonstrate, and disseminate the practices of AI safety; and 2. AI安全性の実践を明確にし、実証し、普及させる。
3. Support institutions, communities, and coordination around AI safety. 3. AIの安全性に関する機構、コミュニティ、調整を支援する。
To achieve these goals, the AISI plans to, among other activities, conduct testing of advanced models and systems to assess potential and emerging risks; develop guidelines on evaluations and risk mitigations, among other topics; and perform and coordinate technical research. The U.S. AI Safety Institute will work closely with diverse AI industry, civil society members, and international partners to achieve these objectives. これらの目標を達成するため、AISIは特に、潜在的リスクや新たなリスクをアセスメントするための高度なモデルやシステムのテストを実施し、評価やリスク低減などに関するガイドラインを策定し、技術研究を実施・調整することを計画している。米国AI安全研究所は、多様なAI産業、市民社会、国際的パートナーと緊密に協力し、これらの機構を達成する。
Launch of International Network of AI Safety Institutes AI安全機構の国際ネットワークの立ち上げ
Concurrently, today Secretary Raimondo announced that the Department and the AISI will help launch a global scientific network for AI safety through meaningful engagement with AI Safety Institutes and other government-backed scientific offices focused on AI safety and committed to international cooperation. Building on the foundational understanding achieved by the Republic of Korea and our other partners at the AI Seoul Summit through the Seoul Statement of Intent toward International Cooperation on AI Safety Science, this network will strengthen and expand on AISI's previously announced collaborations with the AI Safety Institutes of the UK, Japan, Canada, and Singapore, as well as the European AI Office and its scientific components and affiliates, and will catalyze a new phase of international coordination on Al safety science and governance. This network will promote safe, secure, and trustworthy artificial intelligence systems for people around the world by enabling closer collaboration on strategic research and public deliverables. 同時に、ライモンド長官は本日、政府およびAISIが、AI安全機構およびAIの安全に焦点を当て、国際協力に取り組む他の政府支援科学機関との有意義な関わりを通じて、AI安全のための世界的な科学ネットワークの立ち上げを支援することを発表した。このネットワークは、AIソウル・サミットで韓国と他のパートナーが「AI安全科学に関する国際協力に向けたソウル声明」を通じて達成した基礎的理解に基づき、AISIが以前に発表した英国、日本、カナダ、シンガポールのAI安全機構、欧州AI事務局およびその科学的構成機関・関連機関との協力関係を強化・拡大し、Al安全科学とガバナンスに関する国際協調の新たな段階を促進する。このネットワークは、戦略的研究と公的成果物に関する緊密な協力を可能にすることで、世界中の人々にとって安全、安心、信頼できる人工知能システムを促進する。
To further collaboration between this network, AISI intends to convene international AI Safety Institutes and other stakeholders later this year in the San Francisco area. The AISI has recently established a Bay Area presence and will be leveraging the location to recruit additional talent. このネットワーク間の協力をさらに進めるため、AISIは今年後半にサンフランシスコ地域で国際的なAI安全機構やその他の関係者を招集する予定である。AISIは最近ベイエリアに拠点を構え、この立地を活かしてさらなる人材を確保する予定だ。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.23 外務省 岸田総理大臣のAIソウル・サミット首脳セッションへの参加(ビデオメッセージ)+ AIソウル・サミット首脳セッション出席国による安全、革新的で包摂的なAIのためのソウル宣言 

・2024.05.23 米国 商務省 NIST AI安全性に関する戦略的ビジョン:AI安全性研究機関の世界的協力計画を発表

・2024.05.21 英国 科学技術革新省 先進AIの安全性に関する国際科学報告書

 

| | Comments (0)

2024.05.22

EU 欧州理事会がサイバーの安全性と抗堪性を強化するための結論書を承認

こんにちは、丸山満彦です。

欧州理事会がサイバーの安全性と抗堪性を強化するための結論書を承認していますね...

サイバーの安全で(Secure)と抗堪性がある(Resillient)EUを構築するための「指針を示し」、「原則を定める」ことを目的とし、サイバーセキュリティの将来に関する結論書ということのようです...

サイバーセキュリティ認証スキーム(EUCC)については、サイバーセキュリティ法の下で最初に採択されたスキームとして歓迎する一方、欧州のサイバーセキュリティ認証スキームの発展が遅々として進まず、困難であることに懸念をもっているようですね...

将来に関しては、AI、量子技術、6Gに備えろ...って感じですかね...

 

European Counsil

・ 2024.05.21 Cybersecurity: Council approves conclusions for a more cyber secure and resilient Union

Cybersecurity: Council approves conclusions for a more cyber secure and resilient Union サイバーセキュリティ 欧州理事会、サイバーの安全性と抗堪性を強化するための結論書を承認
The Council has approved conclusions on the future of cybersecurity aiming to provide guidance and setting the principles towards building a more cybersecure and more resilient Union. 欧州理事会は、よりサイバーセキュアでレジリエンスに優れたEUを構築するための指針を示し、原則を定めることを目的とした、サイバーセキュリティの将来に関する結論書を承認した。
The importance of cybersecurity can hardly be underestimated. In the last years, cyber security threats have significantly increased in level, complexity, and scale. This has gone along with a significant increase in global geopolitical tensions. サイバーセキュリティの重要性を過小評価することはできない。ここ数年、サイバーセキュリティの脅威は、そのレベル、複雑さ、規模において著しく増大している。これは、世界的な地政学的緊張の大幅な高まりと相まっている。
"Cybersecurity operates on multiple levels, ensuring the safety of our businesses, governments, and our citizens. Everyone deserves a secure internet and the peace of mind that comes with it. Everyone deserves to feel safe, both online and offline. We must build a robust and resilient digital world through proactive measures and international cooperation." 「サイバーセキュリティは、企業、政府、市民の安全を確保するために、複数のレベルで機能している。誰もが安全なインターネットとそれに伴う安心感を得る権利がある。オンラインでもオフラインでも、誰もが安全だと感じる権利がある。我々は、積極的な対策と国際協力を通じて、堅牢でレジリエンスの高いデジタル世界を構築しなければならない。」
Petra de Sutter, Belgian deputy prime and minister of public administration, public enterprises, telecommunication, and postal services ペトラ・デ・スッター、ベルギー副首相兼行政・エンタープライズ・電気通信・郵便大臣
”Today we set out the principles for the next steps in building a more cyber secure and resilient Union. Focusing on implementation, adoption of harmonised standards, certification, supply chain security, cooperation with the private sector, support for SMEs and adequate funding should be among our main priorities for the future.” 「本日、我々は、よりサイバーセキュアでレジリエンスの高いEUを構築するための次のステップの原則を定めた。実施、統一標準の採用、認証、サプライチェーンセキュリティ、民間セクターとの協力、中小企業への支援、適切な資金調達に重点を置くことが、今後の主要な優先事項のひとつである。」
Mathieu Michel, Belgian Secretary of State for digitisation, administrative simplification, privacy protection, and the building regulation マチュー・ミシェル、ベルギー国務長官(デジタル化、行政簡素化、プライバシー保護、建築規制担当
The Council conclusions recall the importance to focus on implementation, strengthen coordination and collaboration, and avoid fragmentation of cybersecurity rules in sectorial legislation. They also call to further clarify roles and responsibilities in the cyber domain, to strengthen the cooperation in the fight against cybercrime, and to work on a revised blueprint of the cyber crisis management framework. The support to micro, small and medium size enterprises, and the need to respond to the challenges presented by the new technologies are also highlighted. 理事会結論は、実施に焦点を当て、調整と協力を強化し、セクター別法制におけるサイバーセキュリティ規則の断片化を避けることの重要性を想起している。また、サイバー領域における役割と責任をさらに明確にし、サイバー犯罪との闘いにおける協力を強化し、サイバー危機管理枠組みの青写真の改訂に取り組むよう求めている。また、零細・中小企業への支援や、新技術がもたらす課題への対応の必要性も強調されている。
A multistakeholder approach, including cooperation with the private sector and academia is encouraged to close the skills gap. Stressing the importance to attract private capital, the Council conclusions emphasise the need for adequate funding. The external dimension is also highlighted, recalling that an active international policy would be needed to strengthen cooperation with third countries, particularly in the transatlantic context, as a contribution to a strong international ecosystem. In light of the changed and rising threat level, the Council finally invites the European Commission and the High Representative to present a revised cybersecurity strategy. スキルギャップを埋めるため、民間企業や学界との協力を含むマルチステークホルダー・アプローチが奨励される。民間資本を呼び込むことの重要性を強調し、理事会結論は適切な資金調達の必要性を強調している。また、対外的な側面も強調され、強力な国際的エコシステムへの貢献として、特に大西洋横断的な文脈における第三国との協力を強化するために、積極的な国際政策が必要であることが想起される。脅威のレベルの変化と高まりを踏まえ、理事会は最終的に欧州委員会と上級代表者に対し、サイバーセキュリティ戦略の改訂版を提示するよう要請した。
Council conclusions on the future of cybersecurity: implement and protect together サイバーセキュリティの将来に関する理事会結論:共に実施し、共に保護する

 

・[PDF] Council Conclusions on the Future of Cybersecurity: implement and protect together

20240522-55632

 

 

附属書...

ANNEX  附属書 
Council Conclusions on the future of cybersecurity - Implement and protect together -  サイバーセキュリティの将来に関する理事会結論 - 共に実施し、共に保護する - 2024 年 5 月 21 日に開催された理事会会合で承認された。
THE COUNCIL OF THE EUROPEAN UNION,  欧州連合理事会 
RECALLING its conclusions and actions on:  以下に関する結論と行動を想起する: 
– The Joint Communication of 25 June 2013 to the European Parliament and the Council on the Cybersecurity Strategy for the European Union: “An Open, Safe and Secure Cyberspace”[1],  - 欧州連合(EU)のサイバーセキュリティ戦略に関する2013年6月25日の欧州議会および理事会への共同コミュニケーション: 「オープンで安全かつセキュアなサイバー空間」[1]、 
– EU Cyber Defence Policy Framework[2],  - EUサイバー防衛政策枠組み[2]、 
– Internet Governance[3],  - インターネット・ガバナンス[3]、 
– Cyber Diplomacy[4],  - サイバー外交[4]、 
– Strengthening Europe’s Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry[5],  - 欧州のサイバーレジリエンスシステムの強化、競争力のある革新的なサイバーセキュリティ産業の育成[5]などがある、 
– The Joint Communication of 20 November 2017 to the European Parliament and the Council: “Resilience, Deterrence and Defence: Building strong cybersecurity for the EU”[6],  - 2017年11月20日の欧州議会と理事会への共同コミュニケーション: レジリエンス、抑止力、防衛」: EUのための強力なサイバーセキュリティの構築」[6]、 
– A Framework for a Joint EU Diplomatic Response to Malicious Cyber Activities (“Cyber Diplomacy Toolbox”)[7],  - 悪質なサイバー活動に対するEUの共同外交対応の枠組み(「サイバー外交ツールボックス」)[7]、 
– The EU Coordinated Response to Large-Scale Cybersecurity Incidents and Crises[8]?,  - 大規模サイバーセキュリティインシデントと危機に対するEUの協調対応[8]? 
– EU External Cyber Capacity Building Guidelines[9],  - EU対外サイバー能力構築ガイドライン[9]、 
– Council Implementing Decision (EU) 2018/1993 of 11 December 2018 on the EU Integrated Political Crisis Response Arrangements[10],  - EU統合政治危機対応取決めに関する2018年12月11日の理事会実施決定(EU)2018/1993[10]、 
– Cybersecurity capacity and capabilities building in the EU[11],  - EUにおけるサイバーセキュリティの能力と能力構築[11]、 
– The significance of 5G to the European Economy and the need to mitigate security risks linked to 5G[12],,  - 欧州経済にとっての5Gの意義と5Gに関連するセキュリティリスクを軽減する必要性[12]、、 
– The future of a highly digitised Europe beyond 2020: “Boosting digital and economic competitiveness across the Union and digital cohesion”[13],  - 2020年以降の高度にデジタル化された欧州の未来: 「欧州連合全体のデジタル競争力と経済競争力を高め、デジタル結束を強化する」[13]、 
– Complementary efforts to Enhance Resilience and Counter Hybrid Threats[14],  - レジリエンスを強化し、ハイブリッドな脅威に対抗するための補完的な取り組み[14]、 
– Shaping Europe’s Digital Future[15],  - 欧州のデジタルの未来を形作る[15]、 
– The Cybersecurity of connected devices[16],  - コネクテッドデバイスのサイバーセキュリティ[16]、 
– The EU’s Cybersecurity Strategy for the Digital Decade[17],  - デジタル10年に向けたEUのサイバーセキュリティ戦略[17]、 
– Security and Defence[18],  - 安全保障と防衛[18]、 
– Exploring the potential of the Joint Cyber Unit initiative – complementing the EU Coordinated Response to Large-Scale Cybersecurity Incidents and Crises[19],  - 大規模サイバーセキュリティインシデントと危機へのEU協調対応[19]を補完する「共同サイバーユニット」構想の可能性を探る、 
– A Strategic Compass for Security and Defence[20],  - 安全保障と防衛のための戦略的羅針盤[20]、 
– the development of the European Union's cyber posture[21],  - EUのサイバー態勢の整備[21]、 
– ICT Supply Chain Security[22],  - ICTサプライチェーンのセキュリティ[22]、 
– EU Policy on Cyber Defence[23],  - サイバー防衛に関するEU政策[23]、 
– The EU Space Strategy for Security and Defence[24],  - 安全保障と防衛のためのEU宇宙戦略[24]、 
– Cyber Crisis Management Roadmap[25],  - サイバー危機管理ロードマップ[25]、 
– The Communication from the Commission “Implementation of the 5G cybersecurity Toolbox”[26],  - 欧州委員会からのコミュニケーション「5Gサイバーセキュリティ・ツールボックスの実施」[26]、 
– The future of EU digital policy. - EUのデジタル政策の将来
1. NOTES the ever-increasing interconnectivity and importance of the digital domain for the functioning of our society and economy. UNDERLINES the crucial role of cybersecurity as a cornerstone of a successful digital society by maintaining public trust of the systems on which it relies. HIGHLIGHTS the significantly increasing level, complexity and scale of cybersecurity threats, in particular in the wake of the COVID pandemic, Russia’s war of aggression against Ukraine, growing global geopolitical tensions, as well as technological developments such as Artificial Intelligence and quantum technology. RECOGNISES the European Union (EU) ’s commitment to uphold the international rules-based order to further shape and safeguard the benefits of a free, global, open, and secure cyberspace for future generations.  1. 私たちの社会と経済の機能にとって、デジタル領域の相互接続性と輸入事業者の重要性がますます高まっていることに留意する。デジタル社会が依存するシステムに対する社会の信頼を維持することにより、成功するデジタル社会の礎石としてのサイバーセキュリティの重要な役割を強調する。特に、COVIDパンデミック、ロシアによるウクライナ侵略戦争、世界的な地政学的緊張の高まり、さらには人工知能や量子技術などの技術的発展を受け、サイバーセキュリティの脅威のレベル、複雑さ、規模が著しく増大していることを強調する。欧州連合(EU)が、将来の世代のために、自由で、グローバルで、開かれた、安全なサイバー空間の恩恵をさらに形成し、保護するために、国際的なルールに基づく秩序を維持するというコミットメントを表明する。
2. While NOTING that the infrastructure of the internet is mostly privately owned, and digital services are often offered by private providers, ACKNOWLEDGES the public impact, crossborder nature and spill-over risk of cybersecurity threats, as well as the sole responsibility of each Member State on national security and their responsibility for the response to large-scale cyber security incidents and crises affecting them. Therefore EMPHASISES the key role and shared responsibility of Member States, and the EU to set and implement a clear and agile regulatory and policy framework laying down our collective ability to protect, detect, deter and defend against, cyberattacks and recover from them. The implementation of the framework should build on the multi-stakeholder approach of the cybersecurity ecosystem and cooperation with international organisations and partners.  2. インターネットのインフラはほとんどが民間所有であり、デジタルサービスは多くの場合、民間プロバイダによって提供されていることに留意しつつ、サイバーセキュリティ脅威の公共的影響、国境を越えた性質、波及リスク、ならびに、国家安全保障に関する各加盟国の唯一の責任、自国に影響を及ぼす大規模サイバーセキュリティインデントおよび危機への対応に対する各加盟国の責任を認める。したがって、サイバー攻撃を保護、検知、抑止、防御し、それらから回復するための総合的な能力を定めた明確かつ機動的な規制と政策の枠組みを設定し、実施することは、加盟国およびEUの重要な役割であり、共通の責任であることを防御する。この枠組みは、サイバーセキュリティ・エコシステムのマルチステークホルダー・アプローチと、国際機関やパートナーとの協力に基づいて実施されるべきである。
FOCUS AREAS FOR POLICY-MAKING  政策立案の重点分野 
3. WELCOMES the significant legislative and non-legislative progress achieved within the EU’s cybersecurity policy framework during the last five years, which contributes to strengthening the resilience and competitiveness of the EU economy and society, while also contributing to international rule setting and implementing the UN Framework of Responsible State Behaviour in Cyberspace. Increasing the cyber resilience of entities and the cybersecurity of products with digital elements should be a continued focus for policy makers, including steps such as vulnerability management, supply chain security, the development of the necessary skills throughout the workforce and increased international dialogues on standards and cooperation. Yet, ACKNOWLEDGES the significant human, financial and operational resources required from society, businesses and governments for their implementation.  3. 過去5年間にEUのサイバーセキュリティ政策の枠組みの中で達成された、立法的・非法律的な大きな進展を歓迎する。これは、EUの経済・社会のレジリエンスと競争力の強化に貢献するとともに、国際的なルール設定や国連の「サイバー空間における国家の責任ある行動に関する枠組み」の実施にも寄与している。事業体のサイバーレジリエンスを高め、デジタル要素を含む製品のサイバーセキュリティを強化することは、脆弱性管理、サプライチェーンセキュリティ、労働者全体の必要なスキルの開発、標準と協力に関する国際的な対話の強化などのステップを含め、政策立案者にとって引き続き焦点となるべきである。しかし、その実施には、社会、企業、政府から多大な人的、財政的、経営的資源が必要であることを認める。
4. CALLS on the Member States, Commission and involved European entities to focus on facilitating a structured, efficient, comprehensive and timely implementation of these newly set rules, including with practical guidance. In this regard, CALLS on the Commission, the European Union Agency for Cybersecurity (ENISA), the European Cybersecurity Competence Centre (ECCC), as well as the EU’s Computer Emergency Response Team (CERT-EU), the European Cybercrime Centre Europol (EC3), the NIS Cooperation Group (NIS CG), the CSIRTs Network, EU-CyCLONe (European Union- Cyber Crises Liaison Organisation Network) and national CSIRTs, competent authorities and National Coordination Centres (NCC) to support all stakeholders with this implementation, in line with their respective roles and responsibilities.  4. 加盟国、欧州委員会および欧州の関係事業体に対し、実践的なガイダンスを含め、新たに設定された規則の体系的、効率的、包括的かつタイムリーな実施を促進することに注力するよう求める。この点に関して、欧州委員会、欧州連合サイバーセキュリティ機関(ENISA)、欧州サイバーセキュリティ能力センター(ECCC)、およびEUのコンピュータ緊急対応チーム(CERT-EU)、欧州刑事警察機構(EC3)、NIS協力グループ(NIS CG)に対して要請する、 CSIRTsネットワーク、EU-CyCLONe(欧州連合-サイバー危機連絡組織ネットワーク)、各国のCSIRT、認可当局、国内調整センター(NCC)、がそれぞれの役割と責任に基づき、全ての利害関係者を支援する。
5. CALLS for actions facilitating and supporting compliance and reducing administrative burden, especially for micro, small and medium enterprises (SMEs).  5. コンプライアンスを促進・支援し、特に零細・中小企業(SMEs)の管理負担を軽減する行動を呼びかける。
6. As streamlining incident notification obligations across relevant legislative acts is a particular challenge, ACKNOWLEDGES the potential of the concept of a single entry point for incident notification and ENCOURAGES Member States to reflect on the possibilities to implement it at the national level. INVITES the Commission to prepare, with the support of ENISA and other relevant EU entities, a mapping of relevant reporting obligations set out in the respective EU legislative acts in cyber and digital matters in order to identify opportunities to reduce the administrative burden.  6. インシデント通知の義務を関連する法律行為にまたがって合理化することが特に課題であるため、インシデント通知のための単一エントリーポイントという概念の可能性を認め、加盟国に対し、これを国レベルで実施する可能性について検討するよう促す。欧州委員会に対し、行政負担を軽減する機会を特定するため、ENISAおよびその他の関連するEU事業体の支援を受けて、サイバーおよびデジタルに関するEUの各法令に定められた関連報告義務のマッピングを作成するよう要請する。
7. CALLS on the Commission to swiftly move forward with the adoption of delegated and implementing acts, especially those that are mandatory for the implementation of the NIS2 Directive and the Cyber Resilience Act. CALLS as well to continue the work on harmonised standards in cooperation with Member States, in order to support the implementation of EU cybersecurity legislation building on relevant work of European and International Standardisation bodies. INVITES the Commission, in cooperation with ENISA and the Member States, to closely collaborate with international partners on this subject, in order to safeguard the human-centric approach within such standards.  7. 欧州委員会に対し、委任法および実施法、特にNIS2指令およびサイバー・レジリエンス法の実施に必須となる法律の採択を速やかに進めるよう求める。また、欧州および国際標準化団体の関連作業を土台として、EUサイバーセキュリティ法の実施を支援するため、加盟国と協力して標準の調和に関する作業を継続するよう求める。欧州委員会は、ENISAおよび加盟国と協力し、このような標準の中で人間中心のアプローチを守るため、このテーマに関して国際的なパートナーと緊密に協力することを要請する。
8. STRONGLY CAUTIONS against fragmentation, duplication or overlap of cybersecurity regulation across the Union by sector specific initiatives or lex specialis. Cybersecurity is not only a sector but also a horizontal domain. UNDERLINES the inherent coherence between digital and cybersecurity policy. Therefore, URGES the Commission to ensure a coherent approach in future initiatives, which should strengthen or complement existing structures, avoiding unnecessary complexity and duplication. STRESSES in this regard the importance of thorough impact assessments for all new legislative initiatives which is a key part of the Better Regulation Agenda. CALLS on the Commission to develop a clear overview of the relevant horizontal and sectoral legislative frameworks and their interplay. UNDERLINES the importance of horizontal coordination within the EU on cyber issues across sectors and domains and LOOKS FORWARD to continue to strengthen this coordination.  8. サイバーセキュリティ規制の断片化、重複、重複を防止するため、欧州委員会は、分野別イニシアティブやレックス・スペシャリス(lex specialis)により、欧州連合全体でサイバーセキュリティ規制の断片化、重複、重複を防止するよう強く警告する。サイバーセキュリティは、セクターだけでなく、水平的な領域でもある。デジタル政策とサイバーセキュリティ政策の間に固有の一貫性があることを強調する。従って、欧州委員会に対し、不必要な複雑さや重複を避け、既存の構造を強化または補完するような今後の取り組みにおいて、首尾一貫したアプローチを確保するよう要請する。この点に関して、「より良い規制アジェンダ」の重要な部分である、すべての新規立法構想に対する徹底的な影響評価の重要性を強調する。欧州委員会に対し、関連する水平的および分野別の法的枠組みと、それらの相互関係についての明確な概要を作成するよう求める。分野や領域を超えたサイバー問題に関するEU域内の水平的な協調の重要性を強調し、この協調の継続的な強化を期待する。
9. INVITES the Commission to collaborate with relevant national experts and policy makers, including at strategic level, as well as with all relevant EU entities and networks before launching new initiatives. Similarly INVITES Member States to exchange lessons learned on new national proposals through existing structures.  9. 欧州委員会に対し、新たな取り組みを開始する前に、戦略レベルを含め、各国の関連する専門家および政策立案者、ならびに、すべての関連するEU事業体およびネットワークと協力するよう求める。同様に、加盟国に対し、新たな国別提案に関する教訓を、既存の仕組みを通じて交換することを要請する。
10. WELCOMES the European Common Criteria-based cybersecurity certification scheme (EUCC) as the first adopted scheme under the Cybersecurity Act, yet EXPRESSES concern on the slow and challenging development of the European cybersecurity certification schemes, and calls for the smooth adoption of high quality schemes. EMPHASISES the need for a thorough, comprehensive and transparent review of the European cybersecurity certification framework, to enable a faster and more transparent adoption of certification schemes with full involvement of Member States. In this regard, CALLS on the Commission to take into account the key role of the European Cybersecurity Certification Group.  10. 欧州共通基準に基づくサイバーセキュリティ認証スキーム(EUCC)を、サイバーセキュリティ法の下 で最初に採択されたスキームとして歓迎する一方、欧州のサイバーセキュリティ認証スキームの発展が遅々として進まず、困難であることに懸念を表明し、質の高いスキームの円滑な採用を求める。加盟国の全面的な関与のもと、より迅速かつ透明性の高い認証制度の採用を可能にするため、欧州のサイバーセキュリティ認証の枠組みを徹底的、包括的かつ透明性をもって見直す必要性を強調する。この観点から、欧州委員会に対し、欧州サイバーセキュリティ認証グループの重要な役割を考慮するよう求める。
11. REITERATES that the European cybersecurity certification schemes may decrease fragmentation and ensure harmonisation in the Union, while strengthening resilience and trust in an enhanced digital and cybersecurity ecosystem. NOTES that in certain cases additional requirements going beyond certification may be necessary to ensure trust. WELCOMES the political agreement on the amendment to the Cyber Security Act that introduce the certification of managed security services. ACKNOWLEDGES the opportunity for certification to stimulate higher levels of cybersecurity, including by seeking to make cybersecurity measures standard practice for organisations. RECOGNISES the potential for EU certification to support the implementation of existing legislation and support the actions of competent national authorities within the context of NIS2, the Cyber Resilience Act and other cybersecurity regulations.  11. 欧州のサイバーセキュリティ認証制度は、強化されたデジタルとサイバーセキュリティのエコシステムにおけるレジリエンスと信頼を強化する一方で、欧州連合における断片化を減少させ、調和を確保する可能性があることを指摘する。場合によっては、信頼を確保するために、認証以上の追加要件が必要となる可能性があることに留意する。マネージド・セキュリティ・サービスの認証を導入するサイバーセキュリティ法の改正に関する政治的合意を歓迎する。サイバーセキュリティ対策を組織の標準的な慣行とすることを目指すなど、認証がより高いレベルのサイバーセキュリティを刺激する機会があることを認める。NIS2、サイバーレジリエンス法、その他のサイバーセキュリティ規制の文脈において、EU認証が既存の法律の実施を支援し、所轄の国家当局の行動を支援する可能性を認める。
12. EMPHASISES the need for sufficient skilled experts for all the relevant national and EU entities in the cybersecurity domain. ENCOURAGES cooperation among all stakeholders, including the private sector, academia and public sector to close this skills gap and STRESSES the importance of paying particular attention to closing the digital gender gap as well, taking into account the innovative potential and expansion of the talent pool that a diverse workforce offers. CALLS for the further development of the Cybersecurity Skills Academy and implementation of its actions to strengthen the EU cybersecurity workforce. INVITES ENISA and the ECCC together with the NCCs to continue their involvement and clarify roles, and CALLS to consider exploring the synergies with any future EDIC (European Digital Infrastructure Consortium) on this topic as well as potentially with the European Security and Defence College and the European Union Agency for Law Enforcement Training (CEPOL) Cybercrime Academy. Recognising that workforce skills are highly mobile in a global marketplace, CALLS for international cooperation in particular on the potential for mutual recognition of skills frameworks.  12. サイバーセキュリティ領域において、すべての関連する国やEUの事業体にとって、十分な熟練した専門家が必要であることを強調する。このスキルギャップを解消するために、民間部門、学界、公共部門を含むすべての利害関係者間の協力を奨励し、多様な労働力がもたらす革新的な可能性と人材プールの拡大を考慮し、デジタル男女格差の解消にも特に注意を払うことの重要性を強調する。サイバーセキュリティ技能アカデミーをさらに発展させ、EUのサイバーセキュリティ人材を強化するための行動を実施することを求める。ENISAおよびECCCがNCCとともに関与を継続し、役割を明確化するよう要請するとともに、このテーマに関する将来のEDIC(欧州デジタル・インフラ・コンソーシアム)や、欧州安全保障防衛大学(European Security and Defence College)および欧州連合法執行訓練機関(CEPOL)サイバー犯罪アカデミー(Cybercrime Academy)との相乗効果を検討するよう呼びかける。労働力スキルはグローバル市場において非常に流動的であることを認識し、特にスキルフレームワークの相互承認の可能性について国際協力を呼びかける。
13. Without pre-empting the negotiations of the Multiannual Financial Framework, EMPHASISES the need for adequate funding for EU entities active in the cybersecurity domain in light of the significantly increasing cybersecurity threats across the EU; and. CALLS on the Commission to prioritise between actions when preparing the draft general budget of the Union. ACKNOWLEDGES the need for financial and other incentives to foster innovation in cybersecurity across the EU and secure the digital single market. To this end, CALLS on the Commission, the ECCC and relevant national authorities to stimulate and support use by, in particular, European businesses, research institutions and academia of EU cyber security funding. In light of the scale and complexity of the cybersecurity threats, ACKNOWLEDGES that European funding alone is not sufficient and therefore STRESSES the importance of attracting and investing private capital.  13. 多年次財政枠組みの交渉を先取りすることなく、EU全域でサイバーセキュリティの脅威が著しく増大していることを踏まえ、サイバーセキュリティ分野で活動するEU事業体に十分な資金を提供する必要性を強調する。欧州委員会に対し、欧州連合(EU)の一般予算案を作成する際に、これらの活動の間に優先順位をつけるよう要請する。EU全体でサイバーセキュリティの革新を促進し、デジタル単一市場を確保するためには、財政的およびその他のインセンティブが必要であることを認める。このため、欧州委員会、ECCCおよび関連する各国当局に対し、特に欧州の企業、研究機構および学術機関がEUのサイバーセキュリティ資金を利用することを刺激し、支援するよう要請する。サイバーセキュリティの脅威の規模と複雑さに鑑み、欧州の資金提供だけでは十分でないことを認め、したがって、民間資本の誘致と投資の重要性を強調する。
14. NOTES how during the last five years, notable attention has been directed towards imposing obligations upon potential targets of cyber-attacks, to strengthen their cyber resilience. POINTS out that Member States’ CSIRTs, in line with their respective roles, possess the capacity to undertake proactive measures aimed at safeguarding individual users and organisations on a much larger scale, including the possibility of pre-emptive incident prevention or the provision of centralised assistance for self-protection. WELCOMES the integration of Active Cyber Protection (ACP) as a concept within the NIS2 Directive, as well as Coordinated Vulnerability Disclosures, and SUPPORTS their active promotion. CALLS ON Union entities and Member States to place greater emphasis on concrete and scalable preventive and protective measures and, where appropriate, to collaborate in a cross-border manner and with private entities. CALLS ON ENISA and the ECCC to stimulate such collaborative projects at national and EU level. Such centralised provision of support and protection not only helps achieve cost-effectiveness, but also holds the potential to address the substantial deficit of cybersecurity experts, which might otherwise necessitate individual recruitment by each organisation.  14. 過去5年間、サイバー攻撃を受ける可能性のある標的に対し、そのレジリエンスを強化する義務を課すことに、注目すべき関心が向けられてきたことに留意する。加盟国の CSIRT は、それぞれの役割に応じて、先制的なインシデント防止や自己防衛のための集中的な支援 の提供の可能性を含め、個人ユーザーや組織を保護することを目的としたプロアクティブな対策を、より大規 模に実施する能力を有していることを防御する。NIS2 指令の中に、脆弱性開示の協調と同様に、積極的サイバー保護(ACP)の概念が統合されたことを歓迎し、その積極的な推進を防御する。EU事業体および加盟国に対し、具体的かつスケーラブルな予防・保護措置をより重視し、適切な場合には、国境を越えた態様で、また民間団体と協力するよう求める。ENISAおよびECCCに対し、国内およびEUレベルでこのような共同プロジェクトを刺激するよう求める。このような支援と保護の集中的な提供は、費用対効果の達成に役立つだけでなく、サイバーセキュリティの専門家の大幅な不足に対処する可能性も秘めている。
15. REITERATES the potential of digital identity to bolster online security and trust in a proactive and inclusive manner. With the Regulation for a European Digital Identity Framework, the EU holds a unique prospect to use digital identity in the ongoing battle against phishing or social engineering, which remain persistent and pervasive vectors of cyberattacks. Against the backdrop of increased misuse of emerging and disruptive technologies (such as AI, for example for the creation of deepfakes), the role of authenticated digital identity assumes augmented importance in strengthening digital trust and confidence. UNDERLINES at the same time the importance of preserving the option of anonymity within the digital world and support of the principle of data minimisation, including the use of pseudonyms, asking users to share only the minimum data necessary for the specific purpose. CALLS on the Union to swiftly implement solutions within the European Digital Identity Framework, to allow businesses, organisations, and individuals to voluntarily identify themselves online in a trusted manner, and STRESSES the crucial importance of the cybersecurity of these solutions. ENCOURAGES the timely development of European cybersecurity certification schemes adopted pursuant to Regulation (EU) 2019/881 for the certification of the European Digital Identity Wallets.  15. 積極的かつ包括的な方法で、オンライン・セキュリティと信頼を強化するデジタル ID の可能性を強調する。欧州デジタル ID フレームワークに関する規則により、EU は、サイバー攻撃の持続的かつ広範な 媒介であり続けるフィッシングやソーシャル・エンジニアリングとの継続的な闘いにおいて、デジタル ID を利用するユニークな展望を有している。新興の破壊的技術(例えば、ディープフェイクを作成する AI など)の悪用が増加していることを背景に、 認証されたデジタル ID の役割は、デジタルの信頼と信用を強化する上で重要性を増している。同時に、デジタル世界における匿名性の選択肢を維持することの重要性を強調し、仮名の使用を含むデータ最小化の原則を支持し、特定の目的に必要な最小限のデータのみを共有するようユーザーに求める。欧州連合に対し、欧州デジタルIDフレームワークの中で、企業、組織、個人が信頼できる方法でオンライン上で自発的に身元を確認できるソリューションを速やかに実施するよう求めるとともに、これらのソリューションのサイバーセキュリティが極めて重要であることを強調する。欧州デジタルIDウォレットの認証のために規則(EU)2019/881に従って採用される欧州のサイバーセキュリティ認証スキームのタイムリーな開発を奨励する。
16. WELCOMES the risk assessment on the cybersecurity and resilience of Europe’s communications infrastructures and networks carried out by the NIS Cooperation Group, and CALLS UPON Member States, Commission and ENISA to work on the implementation of the strategic and technical recommendations to mitigate the threats and risks that may have been identified. CALLS on the Commission, the High Representative and ENISA, together with NIS Cooperation Group, within their respective mandates, to swiftly develop a coherent and comprehensive approach across sectors to risk assessment and scenario building, based on a common methodology. This should include prioritisation, minimising duplication, ensuring the quality of these assessments and building synergies, that pursue an all-hazards approach and that the Commission, the High Representative and relevant working parties and networks within the Council take into account the ongoing efforts to counter hybrid threats, such as physical sabotage and foreign information manipulation and interference.  16. NIS協力グループが実施した欧州の通信インフラおよびネットワークのサイバーセキュリティとレジリエンシーに関するリスクアセスメントを歓迎し、加盟国、欧州委員会およびENISAに対し、特定された脅威とリスクを軽減するための戦略的・技術的勧告の実施に取り組むよう求める。欧州委員会、上級代表者およびENISAに対し、NIS協力グループとともに、それぞれの権限の範囲内で、共通の手法に基づき、リスクアセスメントおよびシナリオ構築のための部門を超えた首尾一貫した包括的アプローチを速やかに開発するよう求める。これには、優先順位付け、重複の最小化、アセスメントの質の確保、相乗効果の構築、オール・ハザード・アプローチの追求、欧州委員会、上級代表、理事会内の関連作業部会およびネットワークが、物理的破壊工作や外国による情報操作・妨害などのハイブリッドな脅威に対抗するための現在進行中の取り組みを考慮に入れることなどが含まれるべきである。
17. REITERATES its commitment towards ensuring the security of the ICT supply chains as indicated in the Council Conclusions on ICT supply chain security, while noting the relevance of non-technical risk factors in this context, such as undue influence by a third State on suppliers and service provider. CALLS on the NIS Cooperation Group to continue working on the ICT Supply Chain toolbox and the risk assessments and evaluations with the focus on the ICT supply chain security, in particular in relation to technologies necessary for the green and digital transition.  17. ICTサプライチェーンの安全保障に関する理事会結論に示されたとおり、ICTサプライチェーンの安全保障の確保に向けたコミットメントを表明するとともに、供給業者やプロバイダに対する第三国による不当な影響力など、この文脈における非技術的リスク要因の重要性に留意する。NIS協力グループに対し、ICTサプライチェーンツールボックスと、特にグリーン及びデジタル移行に必要な技術に関連するICTサプライチェーンのセキュリティに焦点を当てたリスクアセスメント及び評価に引き続き取り組むことを要請する。
STRENGTHENING THE INSTITUTIONAL FRAMEWORK  機構枠組みの強化 
18. WELCOMES, over the course of the last five years, the necessary further enhancement of already existing cybersecurity cooperation structures and entities (notably the CSIRTs Network, NIS Cooperation Group, CERT-EU, ENISA) and the creation of new structures (ECCG, EU-CyCLONe, ECCC and network of NCCs and Military CERT operational Network -MICNET-). CALLS upon these structures and entities to fully implement their mandate and, in the context of an increasing complexity of the European cybersecurity ecosystem, to strengthen cooperation and avoid possible duplication of efforts. INVITES Member States driven cooperation networks such as the NIS Cooperation Group, and, supported by ENISA, the CSIRTs Network and EU-CyCLONe to establish a multi-annual strategic perspective, in full respect of their legal mandate. CALLS on the Commission and the High Representative, working closely with relevant EU entities, to develop across policy domains a clear overview of the roles and responsibilities of all relevant EU entities, stakeholders and networks, both civilian and military, active in the cybersecurity domain, including in their interaction.  18. 過去 5 年間にわたり、既に存在するサイバーセキュリティ協力体制や事業体(特に、CSIRTs ネットワーク、NIS 協力グループ、CERT-EU、ENISA)の必要なさらなる強化や、新たな体制(ECCG、EU-CyCLONe、ECCC、NCCs のネットワーク、軍事 CERT 運用ネットワーク -MICNET-)の創設が行われてきたことを歓迎する。欧州のサイバーセキュリティ・エコシステムがますます複雑化する中、これらの機構や事業体に対し、その任務を完全に実施し、協力を強化し、努力の重複を避けるよう求める。加盟国に対し、NIS協力グループや、ENISAの支援を受けたCSIRTsネットワーク、EU-CyCLONeなどの協力ネットワークが、その法的権限を完全に尊重し、複数年にわたる戦略的展望を確立するよう要請する。欧州委員会および上級代表に対し、関連するEU事業体と緊密に協力し、サイバーセキュリティの領域で活動するすべての関連するEUの事業体、利害関係者、ネットワーク(文民、軍を問わず)の役割と責任について、その相互作用も含め、政策領域全体にわたる明確な概要を策定するよう求める。
19. RECOGNISES ENISA's key supportive role to improve the level of cybersecurity in the Union and the Member States. ENCOURAGES ENISA to continue its efforts to support the implementation of relevant Union law and policy, to contribute to common situational awareness through close cooperation with Member States, EU entities, and the private sector, to assess the cyber threat landscape, and to support operational cooperation and the building of capacity. CALLS on the Commission to take duly into account the development of ENISA’s role reviewing the Cybersecurity Act. CALLS upon ENISA to establish clear priorities, including focusing on supporting the Member States through existing structures.  19. EU及び加盟国におけるサイバーセキュリティのレベルを改善するためのENISAの重要な支援的役割を認識する。ENISAに対し、加盟国、EU事業体および民間部門との緊密な協力を通じて、関連するEU法および政策の実施を支援し、共通の状況認識に貢献し、サイバー脅威の状況を評価し、業務協力および能力構築を支援する努力を継続するよう求める。欧州委員会に対し、サイバーセキュリティ法の見直しに伴うENISAの役割の発展を十分に考慮するよう求める。ENISAに対し、既存の体制を通じて加盟国を支援することに重点を置くなど、明確な優先事項を定めるよう求める。
20. UNDERLINES the importance of fortifying the cybersecurity of EU entities to protect information and safeguard a strong EU cyber posture. ENCOURAGES the swift implementation of the Act on a high level of cybersecurity of EU institutions, bodies and agencies, accompanied by a decisive Interinstitutional Cybersecurity Board, enhancement of the security culture within EU entities and an allocation of adequate resources for ICT security. ENCOURAGES CERT-EU to develop its role further in line with this Regulation, and in this regard pay particular attention to the close cooperation with relevant networks such as the CSIRTs Network.  20. 情報を保護し、強力なEUのサイバー態勢を守るため、EU事業体のサイバーセキュリティを強化することの重要性を強調する。断固とした機関間サイバーセキュリティ委員会、EU事業体内のセキュリティ文化の強化、ICTセキュリティのための適切な資源の配分を伴う、EU機構、団体、機関の高水準のサイバーセキュリティに関する法律の速やかな実施を奨励する。CERT-EU に対し、本規則に沿ってその役割をさらに発展させ、この点において、CSIRTs Network のような関連ネットワークとの緊密な協力に特に注意を払うことを奨励する。
21. ACKNOWLEDGES the increasingly important role of the ECCC within the developing cyber framework of the EU. CALLS on the ECCC and the Commission to swiftly complete the actions needed for the ECCC to gain financial autonomy and finalise its institutional set up. ENCOURAGES the National Coordination Centres and the ECCC to swiftly activate the Cybersecurity Competence Community in a streamlined manner, as a bottom-up, inclusive and key forum for collaboration with industry, academic and research organisations, other relevant civil society associations, public entities and other entities dealing with cybersecurity. CALLS on all Union entities and Member States to support this effort and to preserve the central role of the ECCC in coordinating the EU cybersecurity investment strategy, boosting the EU cybersecurity industry and fostering skilled experts to enhance the EU’s cybersecurity resilience, as well as to increase consistency and synergies with the ECCC’s agenda. INVITES policy makers at European and national level to contemplate a more efficient use of investment as an enabler or a complement to legislation in increasing cybersecurity.  21. EU の発展途上のサイバーフレームワークの中で、ECCC の役割がますます重要になっていることを認 める。ECCCと欧州委員会に対し、ECCCが財政的に自立し、機構を最終的に立ち上げるために必要な措置を速やかに完了するよう求める。各国調整センターおよびECCCに対し、産業界、学術研究機関、その他の関連する市民社会団体、公共事業体およびサイバーセキュリティに取り組むその他の事業体との協力のためのボトムアップで包括的かつ重要なフォーラムとして、サイバーセキュリティ能力共同体を合理的な方法で速やかに活性化させるよう求める。EUのすべての事業体および加盟国に対し、この取り組みを支援し、EUのサイバーセキュリティ投資戦略の調整、EUのサイバーセキュリティ産業の活性化、EUのサイバーセキュリティレジリエンスを強化するための熟練した専門家の育成において、ECCCの中心的役割を維持するとともに、ECCCのアジェンダとの一貫性と相乗効果を高めるよう呼びかける。欧州および各国レベルの政策立案者に対し、サイバーセキュリティの強化において、法制化を可能にする、あるいは補完するものとして、投資をより効率的に活用することを検討するよう要請する。
22. Given the crucial role and expertise of the private sector in the security of our digital infrastructure and the protection of entities and citizens that depend on it, CALLS on Member States, the Commission, the High Representative, ENISA, ECCC, the CSIRTs Network and Europol to thoroughly, openly and in a coordinated manner engage with all relevant private sector stakeholders to fortify cybersecurity measures, foster collaborative initiatives, and formulate robust strategies to mitigate the risks posed by cyber threats, including regarding business continuity. Such engagement could include communities of information sharing, support to SMEs, or cooperation agreements on operational projects.  22. 加盟国、欧州委員会、上級代表、ENISA、ECCC、CSIRTs Network、欧州刑事警察機構に対し、サイバーセキュリティ対策を強化し、協力的なイニシアチブを育成し、事業継続に関するものも含め、サイバー脅威がもたらすリスクを軽減するための強固な戦略を策定するために、関連するすべての民間セクターの利害関係者と徹底的、率直かつ協調的に関与するよう求める。このような関与には、情報共有のコミュニティ、中小企業への支援、あるいは業務プロジェク トに関する協力協定などが考えられる。
23. CALLS on Member States and the Commission, in cooperation with all relevant networks and entities on the Union level to increase voluntary information sharing in view of a common situational awareness, including, for Member States, through the EU Intelligence Analysis Centre (EU INTCEN). STRESSES the need to prevent any duplication of efforts in this regard and UNDERLINES the importance of cooperation with the private sector, at national and Union level and according to the appropriate procedures. WELCOMES in this regard the political agreement on the Cyber Solidarity Act including its future contribution to the common detection and situational awareness of cyber threats and incidents.  23. 加盟国および欧州委員会に対し、EUレベルのすべての関連するネットワークおよび事業体と協力し、加盟国に対してはEU情報分析センター(EU INTCEN)を通じたものも含め、共通の状況認識の観点から自発的な情報共有を拡大するよう求める。この点に関し、努力の重複を防ぐ必要性を強調するとともに、国および欧州連合レベルにおいて、適切な手続きに従い、民間部門との協力の重要性を強調する。この観点から、サイバー脅威およびインシデントの共通検知と状況認識への将来的な貢献を含む、サイバー連帯法に関する政治的合意を歓迎する。
24. CALLS on the Commission, relevant Union entities, in particular Europol and Eurojust, and Member States, making best use of the European Multidisciplinary Platform Against Criminal Threats (EMPACT), to strengthen their collaboration on the significant threat posed by cybercrime, including the pressing issue of ransomware, and to enhance processes to investigate cybercrime. Given how law enforcement actions to disrupt cybercriminal activities also contribute to the prevention of further cybersecurity incidents, a structured and mutually beneficial collaboration between the cybersecurity and law enforcement communities is necessary to further enhance the state of cybersecurity in Europe. STRESSES that in the crucial fight against cybercrime, it is equally important to protect data and ensure privacy, including through secure communications. REITERATES that competent authorities must be able to access data in a lawful and targeted manner, in full respect of fundamental rights and the relevant data protection laws, while upholding cybersecurity. REAFFIRMS its support to the development, implementation and use of strong encryption as a necessary means of protecting fundamental rights and the digital security of individuals, governments, industry and society. Therefore, INVITES Member States and the relevant EU entities to stimulate a structured and appropriate information exchange between national CSIRTs and law enforcement, as well as at EU level between Europol, the CSIRTs Network and CERT-EU, including for victim notification purposes.  24. 欧州委員会、欧州連合(EU)の関連事業体、特に欧州刑事警察機構(Europol)と欧州司法機構(Eurojust)および加盟国に対し、犯罪の脅威に対する欧州学際的プラットフォーム(EMPACT)を最大限に活用し、喫緊の課題であるランサムウェアを含むサイバー犯罪がもたらす重大な脅威に関する協力を強化し、サイバー犯罪の捜査プロセスを強化するよう求める。サイバー犯罪者の活動を妨害する法執行機関の行動が、さらなるサイバーセキュリティインシデントの防止にも貢献することを考えると、欧州のサイバーセキュリティの状態をさらに強化するためには、サイバーセキュリティ・コミュニティと法執行機関の間の体系的で相互に有益な協力が必要である。サイバー犯罪との極めて重要な闘いにおいて、安全なコミュニケーションを含め、データを保護しプライバシーを確保することも同様に重要であることを防御する。権限のある認可当局は、サイバーセキュリティを維持しつつ、基本的権利および関連するデータ保護法を完全に尊重し、合法的かつ的を絞った方法でデータにアクセスできなければならないことを強調する。基本的権利および個人、政府、産業、社会のデジタル・セキュリティを保護するために必要な手段として、強力な暗号化の開発、実装、利用を支持することを宣言する。よって、加盟国及び関連する EU 事業体に対し、被害者通知の目的も含め、欧州刑事警察機構、 CSIRTs Network 及び CERT-EU と同様に、各国の CSIRTs と法執行機関の間、及び EU レベルでの構造的かつ適切な情報交換を促進するよう要請する。
25. Given the cyber threat landscape and the fast pace of technological development, HIGHLIGHTS the importance of comprehensive cooperation between civilian and military domains, including between EU cooperation networks. WELCOMES the progress made by Member States and relevant Union entities in implementing the EU Cyber Defence Policy.  25. サイバー脅威の状況及び技術開発の速いペースを考慮し、EUの協力ネットワーク間を含む、文民及び軍事領域間の包括的協力の重要性を強調する。EUサイバー防衛政策の実施における加盟国および関連事業体の進展を歓迎する。
26. Building on the Commission Recommendation on coordinated response to large-scale cybersecurity incidents and crises, and on the provisions of Directive (EU) 2022/2555, guided by the Cyber Crisis Management Roadmap developed in the Council under the Czech Presidency, and without prejudice to the Member States’ sole responsibility for safeguarding national security. STRESSES the need to evaluate and further develop the EU cybersecurity crisis management framework integrating new developments and avoiding fragmented Union procedures.  26. 大規模サイバーセキュリティインシデントおよび危機への協調的対応に関する欧州委員会勧告、および指令(EU)2022/2555の規定に基づき、チェコ議長国の下、理事会で策定されたサイバー危機管理ロードマップを指針とし、加盟国の国家安全保障を守る唯一の責任を損なうことなく、EUサイバー防衛政策を実施する。EUのサイバーセキュリティ危機管理の枠組みを評価し、さらに発展させる必要性を強調する。
27. Therefore ENCOURAGES Member States to regularly take stock of progress achieved in the implementation of the Roadmap, CALLS upon the Commission to swiftly evaluate the current cybersecurity Blueprint and, on this basis, propose a revised Cybersecurity Blueprint in the form of a Council recommendation that will address the current challenges and complex cyber threat landscape, strengthen existing networks, enhance cooperation, and break silos between organisations, utilising to this end first and foremost existing structures. Furthermore, the revised Blueprint should rely on time-tested guiding principles of cooperation (proportionality, subsidiarity, complementarity and confidentiality of information) and expand them to the full crisis management lifecycle and should contribute to aligning and enhancing secure communication in the cybersecurity field. The revised Blueprint should ensure its compatibility with existing frameworks such as the IPCR, the EU Cyber Diplomacy Toolbox, the EU Hybrid Toolbox, the Law Enforcement Emergency Response Protocol (LERP), emerging frameworks such as the Critical Infrastructure Blueprint, sectoral procedures, and overall crisis management structures within Union entities, involving also the High Representative and Europol. In this revised Blueprint, the role of the Commission, the High Representative and ENISA, in line with their competences, should focus in particular on supporting horizontal coordination.  27. したがって、加盟国に対し、ロードマップの実施において達成された進捗状況を定期的に把握するよう求めるとともに、欧州委員会に対し、現行のサイバーセキュリティの青写真を速やかに評価し、そのうえで、現在の課題と複雑なサイバー脅威の状況に対処し、既存のネットワークを強化し、協力を強化し、組織間の縦割りを解消し、そのために何よりもまず既存の構造を活用するような、改訂版サイバーセキュリティの青写真を理事会勧告の形で提案するよう求める。さらに、改訂された青写真は、従来から定評のある協力の指導原則(比例性、補完性、相補性、情報の機密性)に依拠し、それを危機管理のライフサイクル全体に拡大し、サイバーセキュリティ分野における安全なコミュニケーションの調整と強化に貢献するものでなければならない。改訂された青写真は、IPCR、EUサイバー外交ツールボックス、EUハイブリッド・ツールボックス、法執行緊急対応プロトコル(LERP)などの既存の枠組み、重要インフラ青写真などの新たな枠組み、セクター別の手順、上級代表や欧州刑事警察機構も関与するEU事業体内の全体的な危機管理構造との互換性を確保すべきである。このブループリントの改訂において、欧州委員会、上級代表およびENISAの役割は、それぞれの権限に基づき、特に水平的な協調を支援することに重点を置くべきである。
28. UNDERLINES that frequent cybersecurity exercises and training, including, possibly, involving the private sector, strengthen resilience and can effectively decrease the costs, duration and severity of cyber security incidents in organisations. EMPHASIZES that upon its adoption, the new revised Blueprint should be tested as early and to the fullest extent possible, at a technical, operational and political level.  28. サイバーセキュリティの頻繁な演習と訓練は、場合によっては民間セクターの参加も含め、レジリエンスを強化し、組織におけるサイバーセキュリティインシデントのコスト、期間、重大性を効果的に減少させることができることを強調する。改訂された新しい青写真は、その採択後、可能な限り早期に、技術的、運用的、政治的レベルでテストされるべきであることを強調する。
THE INTERNAL/EXTERNAL NEXUS FOR CYBERSECURITY POLICY  サイバーセキュリティ政策の内部と外部の関連性 
29. UNDERSCORES that cybersecurity in the European Union cannot be tackled in a vacuum. and that an active international cyber policy, including in the UN, NATO, OSCE, ITU, Council of Europe and other multilateral and multistakeholder organisations, is an essential contribution to European cybersecurity. A strong European cybersecurity is also key for the European diplomatic posture. Synergies between the EU’s internal and external cyber initiatives should be captured where possible. STRESSES that a secure cyberspace is not only defined at the nexus between internal and external European policy, but also between the digital and the security domains, as well as between the civilian and the defence domain. In this context, the European efforts regarding cyber capacity building, cyber diplomacy and cyber defence via various Council conclusions and instruments contribute significantly to European cybersecurity. STRESSES the importance of pragmatic cooperation while safeguarding the distinction between civilian and military, as well as national and European roles and responsibilities. In full respect of the agreed guiding principles on EU-NATO cooperation, in particular reciprocity, inclusiveness, decision-making autonomy and full transparency towards all Member States, EMPHASISES the importance of close EU-NATO cooperation on emerging and disruptive technologies in view of creating synergies and avoiding unnecessary duplication.  29. また、国連、NATO、OSCE、ITU、欧州評議会、その他の多国間およびマルチステークホルダー組織を含む、積極的な国際サイバー政策が欧州のサイバーセキュリティに不可欠な貢献であることを支持する。強力な欧州のサイバーセキュリティは、欧州の外交姿勢にとっても重要である。EUの内外のサイバー・イニシアチブ間の相乗効果を可能な限り取り込むべきである。安全なサイバー空間は、欧州の内政と外政の接点で定義されるだけでなく、デジタル領域と安全保障領域、さらには文民領域と防衛領域の間でも定義されることを強調する。この観点から、欧州理事会の様々な結論や文書を通じたサイバー能力構築、サイバー外交、サイバー防衛に関する欧州の取り組みは、欧州のサイバーセキュリティに大きく貢献している。文民と軍事の区別、国内と欧州の役割と責任を守りつつ、現実的な協力を行うことの重要性を強調する。EU-NATO協力に関する合意された指導原則、特に相互主義、包括性、意思決定の自主性、全加盟国に対する完全な透明性を十分に尊重し、相乗効果を生み出し、不必要な重複を避けるという観点から、新興技術および破壊的技術に関するEU-NATOの緊密な協力の重要性を強調する。
30. INVITES the Member States and relevant EU entities to engage with countries and actors outside of the Union in order to increase international cooperation against cybercrime. In this regard, WELCOMES the work of the Counter Ransomware Initiative (CRI) and the commitment of the EU, its Member States and entities to the CRI’s Joint Statement on Ransomware Payments as well as the work carried out in cooperation with third states including through EMPACT.  30. サイバー犯罪に対する国際協力を強化するため、加盟国および関連するEU事業体に対し、EU域外の国および関係者と関与するよう求める。この観点から、ランサムウェア対策イニシアティブ(CRI)の活動、ランサムウェアの支払いに関するCRIの共同声明に対するEU、加盟国および事業体のコミットメント、ならびに、EMPACTを含む第三国との協力による活動を歓迎する。
31. UNDERLINES the importance of fostering the European market for trusted digital products. HIGHLIGHTS in this context the adoption of the Cyber Resilience Act that will enhance the overall level of security for all products with digital elements and also UNDERLINES the importance of EU cybersecurity certification schemes. WELCOMES in this context the ongoing transatlantic cooperation, including through the agreement of an EU-US Joint Cyber Safe Product Action Plan to prepare the ground to explore mutual recognition on cybersecurity requirements for IoT hardware and software. WELCOMES the contribution of these efforts to a strong international ecosystem.  31. 信頼できるデジタル製品のための欧州市場を育成することの重要性を強調する。この観点から、デジタル要素を含むすべての製品の全体的なセキュリティレベルを強化するサイバーレジリエンス法の採択を強調するとともに、EUのサイバーセキュリティ認証制度の重要性を強調する。この観点から、IoTハードウェアおよびソフトウェアのサイバーセキュリティ要件に関する相互承認を模索するための基盤を整えるためのEU・米国共同サイバーセーフ製品行動計画の合意を含む、現在進行中の大西洋を越えた協力を歓迎する。強力な国際的エコシステムへのこうした努力の貢献を歓迎する。
32. RECALLS that secure, resilient, accessible, available and affordable digital infrastructure and connectivity solutions are a decisive factor for economic and social progress and development opportunities in third countries; ensuring rights and freedoms of citizens and enabling trusted transactions between citizens, businesses and governments. STRESSES that cyber capacity building and its contribution to the cybersecurity of digital infrastructure is a condition for the transition into a safe, secure and responsible digital society, which contributes also to improving the EU’s collective cybersecurity. EMPHASISES the importance of the Teams Europe approach and calls on the Member States, Commission and High Representative and to strengthen this in cyber capacity building. STRESSES the need to create awareness on the importance of secure connectivity and trusted suppliers in third countries, including by offering technical assistance and by sustaining investment in secure and trusted connectivity, which incentivises increased alignment with the EU Toolbox on 5G cybersecurity.  32. 安全で、レジリエンスがあり、アクセス可能で、利用可能で、安価なデジタル・インフラと接続ソ リューションは、第三国における経済的・社会的進歩と開発の機会にとって決定的な要素であり、市民の権利 と自由を確保し、市民、企業、政府間の信頼できる取引を可能にするものであることを想起する。サイバー・キャパシティ・ビルディングとデジタル・インフラのサイバーセキュリティへの貢献は、安全、安心かつ責任あるデジタル社会への移行の条件であり、EU全体のサイバーセキュリティの改善にも寄与することを強調する。チーム・ヨーロッパのアプローチの重要性を強調し、加盟国、欧州委員会および上級代表者に対し、サイバー能力構築においてこれを強化するよう求める。技術支援を提供し、安全で信頼できる接続への投資を持続させることにより、5Gサイバーセキュリティに関するEUツールボックスとの整合性を高める動機付けを与えることを含め、第三国における安全な接続と信頼できる輸入事業者の重要性に関する認識を高める必要性を強調する。
33. UNDERLINES that the integration of geopolitical considerations into technical endeavours, such as the EU Toolbox on 5G cybersecurity, coordinated risk assessments or specific certification schemes, can present a challenge. This must be approached with due regard for European market principles, while effectively addressing threats and risks. WELCOMES the progress made by Member States in implementing the measures of the EU Toolbox on 5G cybersecurity. However STRESSES the need to complete its implementation in view of minimising exposure to high-risk suppliers and of avoiding dependency on these suppliers at national and EU level. ACKNOWLEDGES the commitments made by the Commission in its Communication from June 2023 to avoid exposure of its corporate communications to mobile networks using high-risk suppliers as well as to make its assessment available for the design of all relevant EU funding programmes and instruments. 33. 5Gサイバーセキュリティに関するEUツールボックス、協調リスクアセスメント、特定の認証スキームなどの技術的な取り組みに地政学的な配慮を統合することは、課題となり得ることを強調する。これは、脅威とリスクに効果的に対処する一方で、欧州市場の原則に十分配慮して取り組まれなければならない。加盟国による5Gサイバーセキュリティに関するEUツールボックスの措置の実施の進展を歓迎する。しかしながら、リスクの高い供給業者へのエクスポージャーを最小化し、国内およびEUレベルでこれらの供給業者への依存を回避する観点から、その実施を完了する必要性を強調する。欧州委員会が、2023年6月のコミュニケーションにおいて、リスクの高い供給業者を利用したモバイルネットワークへの企業通信のエクスポージャーを回避するとともに、その評価をすべての関連するEUの資金調達プログラムや手段の設計に利用できるようにすることを約束したことをアセスメントする。
THE CYBERSECURITY DIMENSION OF EMERGING AND DISRUPTIVE TECHNOLOGIES  新興技術および破壊的技術のサイバーセキュリティの側面 
34. STRESSES the attention needed from an EU cybersecurity policy perspective to the challenges and opportunities presented by emerging and disruptive technologies that are critical to our future development such as AI, quantum and 6G technology. RECOGNISES their potential to introduce game-changing threats to cybersecurity and UNDERSCORES the necessity of addressing these developments with sufficient care and attention. ACKNOWLEDGES at the same time the potential opportunities in the cybersecurity field these technologies offer, including technologies aiming to protect the confidentiality of digital communications such as end-to-end encryption, enhance protection measures and scale-up CSIRT services. Therefore, INVITES Member States, the Commission, ENISA and the NIS Cooperation Group to consider concrete non-legislative risk-based initiatives such as roadmaps and action plans to further guide EU action in this area, incentivising innovation and addressing risks efficiently by leveraging a broad range of existing tools and mechanisms. RECALLING that the use and development of technologies should respect human rights, be privacy-focused and that their use is lawful, safe and ethical. 34. EUのサイバーセキュリティ政策の観点から、AI、量子技術、6G技術など、我々の将来の発展に不可欠な新興技術や破壊的技術がもたらす課題と機会に注意を払う必要があることを強調する。サイバーセキュリティを大きく変える脅威をもたらす可能性を認識し、十分な注意と配慮をもってこれらの開発に取り組む必要性を支持する。同時に、エンドツーエンドの暗号化などデジタルコミュニケーションの機密性を保護する技術、保護対策の強化、CSIRTサービスの拡大など、これらの技術がサイバーセキュリティ分野にもたらす潜在的な機会についても言及する。よって、加盟国、欧州委員会、ENISAおよびNIS協力グループに対し、この分野におけるEUの行動をさらに導き、技術革新にインセンティブを与え、広範な既存のツールやメカニズムを活用することによりリスクに効率的に対処するための、ロードマップや行動計画といった、法律に基づかない具体的な取り組みを検討するよう要請する。技術の使用と開発は、人権を尊重し、プライバシーを重視し、その使用が合法的、安全かつ倫理的であるべきであることを想起する。
35. UNDERLINES that the transition to Post-Quantum Cryptography (PQC) has clear priority to protect classified and sensitive information in anticipation of the threats posed by future cryptographically relevant quantum computers. In this regard, ACKNOWLEDGES the Commission Recommendation on a Coordinated Implementation Roadmap for the transition to PQC addressing the current and future cybersecurity needs in Union entities, national public administrations and other critical infrastructure, taking into consideration the rapidly evolving computing power and novel trends in technologies. ENCOURAGES Member States to further engage and exchange views on activities and strategic decisions for the transition to PQC. RECOGNIZES that the transition to PQC may require hybrid schemes that combine this technology with existing cryptographic approaches. In the future, further improvements could allow quantum key distribution to also contribute to secure communications.  35. ポスト量子暗号(PQC)への移行は、暗号に関連する将来の量子コンピュータがもたらす脅威を予期し、機密情報および機微情報を保護するために明確な優先順位があることを強調する。この点に関し、欧州委員会は、急速に進化する計算能力と斬新な技術動向を考慮し、欧州連合の事業体、各国公共行政機関、その他の重要インフラにおける現在および将来のサイバーセキュリティのニーズに対応する、PQCへの移行のための調整された実施ロードマップに関する欧州委員会勧告を承認する。加盟国に対し、PQCへの移行のための活動や戦略的決定について、さらなる関与と意見交換を行うことを奨励する。PQC への移行には、この技術と既存の暗号アプローチを組み合わせたハイブリッド方式が必要になる可能性があることを認識する。将来的には、更なる改善により、量子鍵配布が安全なコミュニケーションにも貢献する可能性がある。
36. RECOGNISES the role of free and open-source software as a major public good of the digital age as well as the special nature of many open-source development models. NOTES that, given its prevalence in supply chains, free and open-source software also remains a major cybersecurity challenge in the EU and globally. However, the inherent and unique advantage is that its entirely transparent nature allows for security vulnerabilities to be comprehensively addressed. Therefore, UNDERLINES the need to promote a consistent, coherent and transparent policy approach to free and open-source software including concrete measures aimed at supporting the security of free and open-source software projects that are of public interest or widely used across the European economy.  36. デジタル時代の主要な公共財としてのフリー・オープンソースソフトウェアの役割と、 多くのオープンソース開発モデルの特殊性を認識する。サプライチェーンにおける普及を考慮すると、フリーでオープンソースのソフトウェアもまた、EU および世界的なサイバーセキュリティの主要な課題であることに留意する。しかし、その固有のユニークな利点は、完全に透明な性質により、セキュリティの脆弱性に包括的に対処できることである。そのため、公共的な関心や欧州経済全体で広く利用されているフリー・オープンソースソフトウェア・プロジェクトのセキュリティを支援することを目的とした具体的な対策を含め、フリー・オープンソースソフトウェアに対する一貫性、一貫性、透明性のある政策アプローチを推進する必要性を強調する。
CONCLUSION  結論 
37. CONCLUDES that in light of the changed and rising threat level, the EU Cybersecurity Strategy from December 2020 should be reviewed, updating its objectives and approach, setting a clear framework with roles and responsibilities for all entities involved, straightforward and efficient coordination mechanisms and an enhanced cooperation with the private sector and academia. Therefore INVITES the Commission and the High Representative to assess the results and gaps of the current Strategy and its impact, and to present on this basis a revised strategy without undue delay, which will reflect these Conclusions.  37. 脅威のレベルの変化と高まりを踏まえ、2020年12月からのEUサイバーセキュリティ戦略を見直し、その目的とアプローチを更新し、関係するすべての事業体の役割と責任を明確にした枠組みを設定し、わかりやすく効率的な調整メカニズムを構築し、民間部門や学界との協力を強化すべきである。よって、欧州委員会および上級代表に、現行戦略の成果とギャップ、その影響を評価し、これに基づき、本結論を反映した改訂戦略を過度な遅延なく提示するよう求める。

 

[1] 12109/13
[2] 15585/14
[3] 16200/14
[4] 6122/15+COR 1
[5] 14540/16
[6] 14435/17 + COR 1
[7] 10474/17
[8] 10086/18
[9] 10496/18
[10] OJ L 320, 17.12.2018, p.28-34
[11] 7737/19
[12] 14517/19
[13] 9596/19
[14] 14972/19
[15] 8711/20
[16] 13629/20
[17] 7290/21
[18] 8396/21
[19] 13048/21
[20] 7371/22
[21] 9364/22
[22] 13664/22
[23] 15721/22 and 9618/23
[24] 14512/23
[25] 15423/22
[26] C(2023) 4049 Final

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

EUCC...

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2021.05.26 ENISA (IoT製品)サイバーセキュリティ認証 (Certification) EUCCスキーム候補

 

サイバーレジリエンス法

・2024.04.05 欧州 ENISA サイバーレジリエンス法要件標準マッピング - 共同研究センター&ENISA共同分析

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

 

サイバーセキュリティ法改正案の件...

・2023.04.21 欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

・2023.04.21 欧州委員会 EUサイバー連帯法の提案 (2023.04.18)

 

 

・2024.01.09 欧州理事会 欧州連合の機構、団体、事務所および機関におけるサイバーセキュリティの高い共通レベルのための措置 (2023.12.13)

| | Comments (0)

EU 欧州理事会がAI法を承認...まもなく発効されますね...

こんにちは、丸山満彦です。

欧州理事会 (European Council) がAI法を承認 した(approved) ようですね...

 

European Coulcil

・2024.05.21 Artificial intelligence (AI) act: Council gives final green light to the first worldwide rules on AI

Artificial intelligence (AI) act: Council gives final green light to the first worldwide rules on AI 人工知能(AI)法: 理事会、AIに関する世界初の規則に最終的な許可を与える
Today the Council approved a ground-breaking law aiming to harmonise rules on artificial intelligence, the so-called artificial intelligence act. The flagship legislation follows a ‘risk-based’ approach, which means the higher the risk to cause harm to society, the stricter the rules. It is the first of its kind in the world and can set a global standard for AI regulation.  本日、欧州理事会は、人工知能に関する規則の調和を目指す画期的な法律、いわゆる人工知能法を承認した。この主要法案は「リスクベース」のアプローチに従っており、社会に危害を及ぼすリスクが高ければ高いほど、規則は厳しくなる。この種の法律は世界初であり、AI規制の世界標準となる可能性がある。
The new law aims to foster the development and uptake of safe and trustworthy AI systems across the EU’s single market by both private and public actors. At the same time, it aims to ensure respect of fundamental rights of EU citizens and stimulate investment and innovation on artificial intelligence in Europe. The AI act applies only to areas within EU law and provides exemptions such as for systems used exclusively for military and defence as well as for research purposes. 新法は、EUの単一市場において、民間および公的機関による安全で信頼できるAIシステムの開発と導入を促進することを目的としている。同時に、EU市民の基本的権利の尊重を確保し、欧州における人工知能への投資と技術革新を促進することも目的としている。AI法は、EU法の範囲内にある分野にのみ適用され、軍事・防衛や研究目的にのみ使用されるシステムなどの例外をプロバイダが規定している。
"The adoption of the AI act is a significant milestone for the European Union. This landmark law, the first of its kind in the world, addresses a global technological challenge that also creates opportunities for our societies and economies. With the AI act, Europe emphasizes the importance of trust, transparency and accountability when dealing with new technologies while at the same time ensuring this fast-changing technology can flourish and boost European innovation. "AI法の採択は、EUにとって重要なマイルストーンとなる。この種の法律としては世界初となるこの画期的な法律は、世界的な技術的課題に対処するものであり、同時に我々の社会と経済に機会を創出するものでもある。AI法によって、欧州は新技術に対処する際の信頼性、透明性、説明責任の重要性を強調すると同時に、この急速に変化する技術が繁栄し、欧州の技術革新を後押しできるようにする」と述べた。
Mathieu Michel, Belgian secretary of state for digitisation, administrative simplification, privacy protection, and the building regulation マチュー・ミシェル、ベルギー国務長官(デジタル化、行政簡素化、プライバシー保護、建築規制担当
Classification of AI systems as high-risk and prohibited AI practices AIシステムのハイリスク分類と禁止されるAI行為
The new law categorises different types of artificial intelligence according to risk. AI systems presenting only limited risk would be subject to very light transparency obligations, while high-risk AI systems would be authorised, but subject to a set of requirements and obligations to gain access to the EU market. AI systems such as, for example, cognitive behavioural manipulation and social scoring will be banned from the EU because their risk is deemed unacceptable. The law also prohibits the use of AI for predictive policing based on profiling and systems that use biometric data to categorise people according to specific categories such as race, religion, or sexual orientation.  新法は、リスクに応じて人工知能の種類を分類している。限定的なリスクしか示さないAIシステムには非常に軽い透明性義務が課される一方、リスクの高いAIシステムには認可が与えられるが、EU市場にアクセスするための一連の要件と義務が課される。例えば、認知行動操作やソーシャルスコアリングのようなAIシステムは、そのリスクが容認できないとみなされるため、EUからの参入が禁止される。また、プロファイリングに基づく予測的な取り締まりや、生体データを使用して人種、宗教、性的指向などの特定のカテゴリーに従って人々を分類するシステムへのAIの使用も禁止されている。
General purpose AI models 汎用AIモデル
The AI act also addresses the use of general-purpose AI (GPAI) models. AI法は、汎用AI(GPAI)モデルの使用にも言及している。
GPAI models not posing systemic risks will be subject to some limited requirements, for example with regard to transparency, but those with systemic risks will have to comply with stricter rules.  システミック・リスクをもたらさないGPAIモデルには、透明性などの限定的な要件が課されるが、システミック・リスクを伴うGPAIモデルには、より厳格なルールが適用される。
A new governance architecture 新たなガバナンス・アーキテクチャー
To ensure proper enforcement, several governing bodies are set up: 適切な執行を確保するため、いくつかのガバナンス団体が設立される:
・An AI Office within the Commission to enforce the common rules across the EU ・欧州委員会内にAI事務局を設置し、EU全域で共通のルールを施行する。
・A scientific panel of independent experts to support the enforcement activitie ・エンフォースメント活動を支援する独立専門家からなる科学委員会
・An AI Board with member states’ representatives to advise and assist the Commission and member states on consistent and effective application of the AI Act ・AI法の一貫した効果的な適用について欧州委員会と加盟国に助言し、支援する加盟国代表者によるAI委員会
・An advisory forum for stakeholders to provide technical expertise to the AI Board and the Commission  ・AI委員会と欧州委員会に技術的な専門知識を提供する利害関係者のためのアドバイザリー・フォーラム 
Penalties 罰則
The fines for infringements to the AI act are set as a percentage of the offending company’s global annual turnover in the previous financial year or a predetermined amount, whichever is higher. SMEs and start-ups are subject to proportional administrative fines.  AI法違反に対する罰金は、違反企業の前会計年度における全世界の年間売上高に対する割合、またはあらかじめ定められた金額のいずれか高い方に設定されている。中小企業や新興企業は、比例制の行政罰の対象となる。
Transparency and protection of fundamental rights 透明性と基本的権利の保護
Before a high-risk AI system is deployed by some entities providing public services, the fundamental rights impact will need to be assessed. The regulation also provides for increased transparency regarding the development and use of high-risk AI systems. High-risk AI systems, as well as certain users of a high-risk AI system that are public entities will need to be registered in the EU database for high-risk AI systems, and users of an emotion recognition system will have to inform natural persons when they are being exposed to such a system. 公共サービスを提供する事業体によっては、リスクの高いAIシステムが導入される前に、基本的人権への影響をアセスメントする必要がある。規制はまた、リスクの高いAIシステムの開発と使用に関する透明性の向上についてもプロバイダが規定している。高リスクのAIシステム、および高リスクのAIシステムの特定の利用者である公的事業体は、EUの高リスクAIシステム用データベースに登録する必要があり、感情認識システムの利用者は、そのようなシステムにさらされている場合、自然人に通知する必要がある。
Measures in support of innovation イノベーション支援措置
The AI act provides for an innovation-friendly legal framework and aims to promote evidence-based regulatory learning. The new law foresees that AI regulatory sandboxes, enabling a controlled environment for the development, testing and validation of innovative AI systems, should also allow for testing of innovative AI systems in real world conditions.  AI法は、イノベーションに優しい法的枠組みをプロバイダとして提供し、エビデンスに基づく規制の学習を促進することを目的としている。新法は、革新的なAIシステムの開発、テスト、検証のための管理された環境を可能にするAI規制のサンドボックスが、現実世界の条件下での革新的なAIシステムのテストも可能にすることを予見している。
Next steps 次のステップ
After being signed by the presidents of the European Parliament and of the Council, the legislative act will be published in the EU’s Official Journal in the coming days and enter into force twenty days after this publication. The new regulation will apply two years after its entry into force, with some exceptions for specific provisions.  欧州議会と欧州理事会の両議長が署名した後、この法律は数日中にEUの官報に掲載され、掲載から20日後に発効する。新規則は発効から2年後に適用されるが、特定の条項については例外がある。
Background 背景
The AI act is a key element of the EU’s policy to foster the development and uptake across the single market of safe and lawful AI that respects fundamental rights. The Commission (Thierry Breton, commissioner for internal market) submitted the proposal for the AI act in April 2021. Brando Benifei (S&D / IT) and Dragoş Tudorache (Renew Europe / RO) were the European Parliament’s rapporteurs on this file and a provisional agreement between the co-legislators was reached on 8 December 2023. AI法は、基本的権利を尊重し、安全かつ合法的なAIの開発と単一市場全体での普及を促進するEUの政策の重要な要素である。欧州委員会(ティエリー・ブルトン域内市場担当委員)は2021年4月、AI法の提案書を提出した。ブランド・ベニフェイ(S&D / IT)とドラゴシュ・トゥドラチェ(Renew Europe / RO)は、この案件に関する欧州議会の報告者を務め、2023年12月8日に共同立法者間の暫定合意に達した。
Regulation laying down harmonised rules on artificial intelligence (artificial intelligence act), 21 May 2024 人工知能に関する調和規則を定める規則(人工知能法) 2024年5月21日
Artificial Intelligence Act, Text of the provisional agreement, 2 February 2024 人工知能法、暫定合意文書、2024年2月2日
Artificial intelligence act, Commission proposal, 14 April 2021 人工知能法、欧州委員会提案、2021年4月14日
A European approach to artificial intelligence (European Commission information)  人工知能に対する欧州のアプローチ(欧州委員会情報) 
A digital future for Europe (background information) 欧州のデジタルな未来(背景情報)
Your life online: how the EU is making it easier and safer for you (feature story)  あなたのオンライン生活:EUはいかにしてより簡単で安全な生活を実現するか(特集記事) 
Artificial intelligence (background information) 人工知能(背景情報)

 

・[PDF] Regulation laying down harmonised rules on artificial intelligence (artificial intelligence act), 21 May 2024

20240521-213137

官報にのったら、きっとHTMLになるよね... ちなみにPDFだと419ページ...

 

 

まるちゃんの情報セキュリティ気まぐれ日記

AI法

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

 

 

| | Comments (0)

2024.05.21

英国 科学技術革新省 先進AIの安全性に関する国際科学報告書

こんにちは、丸山満彦です。

英国の科学技術革新省とAI研究所が「先進AIの安全性に関する国際科学報告書」の中間報告を公表していますね...

「汎用AI(多種多様なタスクをこなすAI)の科学的理解の現状を、そのリスクの理解と管理に焦点をあててまとめたもの」ということのようです...

日本人としては、SONYのCTOの北野宏明さん[wikipedia]の名前がありますね...

参考文献の数がすごい...

 

・2024.05.17 [PDF] International Scientific Report on the Safety of Advanced AI

20240521-44605

・[DOCX][PDF] 仮訳

 

目次...

Forewords まえがき
Executive Summary エグゼクティブサマリー
1 Introduction 1 序文
2 Capabilities 2 能力
2.1 How does General-Purpose AI gain its capabilities? 2.1 汎用AIはどのようにして能力を獲得するのか?
2.2 What current general-purpose AI systems are capable of 2.2 現在の汎用AIシステムは何ができるのか?
2.2.1 Capabilities by modality . 2.2.1 モダリティ別の能力 .
2.2.2 Capabilities and limitations by skill . 2.2.2 スキル別の能力と限界 .
2.3 Recent trends in capabilities and their drivers  2.3 能力の最近の傾向とその促進要因 
2.3.1 Recent trends in compute, data, and algorithms 2.3.1 計算、データ、アルゴリズムに関する最近の傾向
2.3.2 Recent trends in capabilities 2.3.2 能力の最近の傾向
2.4 Capability progress in coming years  2.4 今後数年間における能力の進歩 
2.4.1 If resources continue to be scaled rapidly, would this lead to rapid advancements?  2.4.1 リソースが急速に拡張され続ければ、急速な進歩につながるか?
2.4.2 Will resources be scaled rapidly? . 2.4.2 リソースは急速に拡大するだろうか?
2.4.3 Will algorithmic progress lead to rapid advancements? . 2.4.3 アルゴリズムの進歩は急速な進歩をもたらすか?.
3 Methodology to assess and understand general-purpose AI systems . 3 汎用AIシステムのアセスメントと理解のための方法論 .
3.1 General-purpose AI assessments serve to evaluate model capabilities and impacts.  3.1 汎用AIのアセスメントは、モデルの能力と影響を評価するのに役立つ。
3.2 Approaches for model performance analysis  3.2 モデル性能分析のためのアプローチ 
3.2.1 Case studies  3.2.1 ケーススタディ 
3.2.2 Benchmarks  3.2.2 ベンチマーク 
3.2.3 Red-teaming and adversarial attacks 3.2.3 レッドチームと敵対的攻撃
3.2.4 Auditing  3.2.4 監査 
3.3 Model transparency, explanations, and interpretations  3.3 モデルの透明性、説明、解釈 
3.4 Challenges with studying general-purpose AI systems  3.4 汎用AIシステム研究の課題 
4 Risks  4 リスク 
4.1 Malicious use risks  4.1 悪意のある使用のリスク 
4.1.1 Harm to individuals through fake content  4.1.1 偽コンテンツによる個人への被害 
4.1.2 Disinformation and manipulation of public opinion  4.1.2 偽情報と世論操作 
4.1.3 Cyber offence . 4.1.3 サイバー犯罪
4.1.4 Dual use science risks 4.1.4 科学のデュアルユースリスク
4.2 Risks from malfunctions  4.2 誤作動によるリスク
4.2.1 Risks from product functionality issues  4.2.1 製品の機能問題によるリスク
4.2.2 Risks from bias and underrepresentation 4.2.2 バイアスと過少代表によるリスク
4.2.3 Loss of control 4.2.3 制御不能
4.3 Systemic risks  4.3 システミック・リスク 
4.3.1 Labour market risks  4.3.1 労働市場のリスク
4.3.2 Global AI divide 4.3.2 グローバルAI格差
4.3.3 Market concentration risks and single points of failure  4.3.3 市場集中リスクと単一障害点
4.3.4 Risks to the environment  4.3.4 環境に対するリスク
4.3.5 Risks to privacy  4.3.5 プライバシーに対するリスク 
4.3.6 Copyright infringement  4.3.6 著作権侵害 
4.4 Cross-cutting risk factors  4.4 分野横断的リスク要因 
4.4.1 Cross-cutting technical risk factors 4.4.1 分野横断的な技術的リスク要因
4.4.2 Cross-cutting societal risk factors  4.4.2 分野横断的な社会的リスク要因.
5 Technical approaches to mitigate risks  5 リスク低減のための技術的アプローチ 
5.1 Risk management and safety engineering  5.1 リスクマネジメントと安全工学 
5.1.1 Risk assessment 5.1.1 リスクアセスメント
5.1.2 Risk management 5.1.2 リスクマネジメント
5.2 Training more trustworthy models  5.2 より信頼できるモデルの育成 
5.2.1 Aligning general-purpose AI systems with developer intentions  5.2.1 汎用AIシステムと開発者の意図を一致させる 
5.2.2 Reducing the hallucination of falsehoods  5.2.2 虚偽の幻覚を減らす 
5.2.3 Improving robustness to failures  5.2.3 失敗に対する頑健性を改善する 
5.2.4 Removing hazardous capabilities  5.2.4 危険な能力を取り除く 
5.2.5 Analysing and editing the inner workings of models 5.2.5 モデルの内部構造を分析・編集する
5.3 Monitoring and intervention  5.3 監視と介入 
5.3.1 Detecting general-purpose AI-generated content . 5.3.1 生成的AIコンテンツの検知.
5.3.2 Detecting anomalies and attacks  5.3.2 異常や攻撃を検知する 
5.3.3 Explaining model actions . 5.3.3 モデルの行動を説明する .
5.3.4 Building safeguards into AI systems  5.3.4 AIシステムにセーフガードを組み込む 
5.4 Technical approaches to fairness and representation in general-purpose AI systems 5.4 汎用AIシステムにおける公平性と表現に対する技術的アプローチ
5.4.1 Mitigation of bias and discrimination works throughout the stages of general-purpose AI development and deployment 5.4.1 バイアスと識別の低減は、汎用AIの開発と展開のステージを通して機能する
5.4.2 Is fairness in general-purpose AI systems achievable? 5.4.2 汎用AIシステムにおける公平性は達成可能か?
5.4.3 Challenges in achieving fair general-purpose AI systems 5.4.3 公正な汎用AIシステムを実現する上での課題
5.5 Privacy methods for general-purpose AI systems 5.5 汎用AIシステムのプライバシー手法
6 Conclusion 6 まとめ
Chair’s note on the interim report 中間報告に対する座長のコメント
Differing views 見解の相違
Glossary 用語解説
References 参考文献

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブ・サマリー 
About this report  この報告書について 
• This is the interim publication of the first ‘International Scientific Report on the Safety of Advanced AI’. A diverse group of 75 artificial intelligence (AI) experts contributed to this report, including an international Expert Advisory Panel nominated by 30 countries, the European Union (EU), and the United Nations (UN).  • 本書は、初の「先進的AIの安全性に関する国際科学報告書」の中間発表である。この報告書には、30カ国、欧州連合(EU)、国連(UN)から推薦された国際専門家諮問委員会を含む、75人の人工知能(AI)の専門家からなる多様なグループが貢献した。 
• Led by the Chair of this report, the independent experts writing this report collectively had full discretion over its content.  • 本報告書の議長を筆頭に、本報告書を執筆した独立専門家たちは、その内容に関して全面的な裁量権を有していた。 
• At a time of unprecedented progress in AI development, this first publication restricts its focus to a type of AI that has advanced particularly rapidly in recent years: General-purpose AI, or AI that can perform a wide variety of tasks. Amid rapid advancements, research on general-purpose AI is currently in a time of scientific discovery and is not yet settled science.  • AIの開発がかつてないほど進展している現在、この最初の出版物は、近年特に急速に進歩しているAIのタイプに焦点を絞っている:汎用AI、すなわちさまざまなタスクを実行できるAIである。急速な進歩の中で、汎用AIの研究は現在、科学的発見の時期にあり、まだ定まった科学ではない。 
• People around the world will only be able to enjoy general-purpose AI’s many potential benefits safely if its risks are appropriately managed. This report focuses on identifying these risks and evaluating technical methods for assessing and mitigating them. It does not aim to comprehensively assess all possible societal impacts of general-purpose AI, including its many potential benefits.  • そのリスクが適切に管理されて初めて、世界中の人々が汎用AIの多くの潜在的利益を安全に享受できるようになる。本報告書は、こうしたリスクを特定し、それを評価・軽減するための技術的手法を評価することに焦点を当てている。汎用AIがもたらす多くの潜在的便益を含め、考えられるすべての社会的影響を包括的に評価することを目的としたものではない。 
• For the first time in history, this interim report brought together experts nominated by 30 countries, the EU, and the UN, and other world-leading experts, to provide a shared scientific, evidence-based foundation for discussions and decisions about general-purpose AI safety. We continue to disagree on several questions, minor and major, around general-purpose AI capabilities, risks, and risk mitigations. But we consider this project essential for improving our collective understanding of this technology and its potential risks, and for moving closer towards consensus and effective risk mitigation to ensure people can experience the potential benefits of general-purpose AI safely. The stakes are high. We look forward to continuing this effort.  • 史上初めて、この中間報告書は、30カ国、EU、国連から推薦された専門家と、その他の世界をリードする専門家が一堂に会し、汎用AIの安全性に関する議論と意思決定のための、科学的根拠に基づく共通の基盤を提供した。我々は、汎用AIの能力、リスク、リスク軽減策をめぐるいくつかの疑問について、些細なものから大きなものまで、意見の相違が続いている。しかし、我々はこのプロジェクトが、このテクノロジーとその潜在的リスクに関する我々の集合的理解を向上させ、人々が安全に汎用AIの潜在的利益を体験できるようにするためのコンセンサスと効果的なリスク軽減に近づくために不可欠であると考えている。賭け金は大きい。我々は、この取り組みを継続することを楽しみにしている。
Highlights of the executive summary  エグゼクティブ・サマリーのハイライト 
• If properly governed, general-purpose AI can be applied to advance the public interest, potentially leading to enhanced wellbeing, more prosperity, and new scientific discoveries. However, malfunctioning or maliciously used general-purpose AI can also cause harm, for instance through biased decisions in high-stakes settings or through scams, fake media, or privacy violations.  • 適切に管理されれば、汎用AIは公共の利益を増進するために応用され、幸福の増進、さらなる繁栄、新たな科学的発見につながる可能性がある。しかし、誤作動や悪意を持って使用された汎用AIは、例えば、利害関係の強い場面での偏った判断や、詐欺、フェイクメディア、プライバシー侵害などを通じて、危害をもたらす可能性もある。 
• As general-purpose AI capabilities continue to advance, risks such as large-scale labour market impacts, AI-enabled hacking or biological attacks, and society losing control over general-purpose AI could emerge, although the likelihood of these scenarios is debated among researchers. Different views on these risks often stem from differing expectations about the steps society will take to limit them, the effectiveness of those steps, and how rapidly general-purpose AI capabilities will be advanced.  • 汎用AIの能力が進歩し続けるにつれて、大規模な労働市場への影響、AIを利用したハッキングや生物学的攻撃、社会が汎用AIを制御できなくなるといったリスクが出現する可能性があるが、こうしたシナリオの可能性については研究者の間で議論が分かれている。これらのリスクに関する見解の違いは、社会がリスクを制限するために取る措置、その措置の有効性、汎用AIの能力がどの程度急速に進歩するかについての期待の違いから生じることが多い。 
• There is considerable uncertainty about the rate of future progress in general-purpose AI capabilities. Some experts think a slowdown of progress is by far most likely, while other experts think that extremely rapid progress is possible or likely.  • 汎用AI能力の将来的な進歩速度にはかなりの不確実性がある。進歩が鈍化する可能性が圧倒的に高いと考える専門家もいれば、極めて急速な進歩が可能またはあり得ると考える専門家もいる。 
• There are various technical methods to assess and reduce risks from general-purpose AI that developers can employ and regulators can require, but they all have limitations. For example, current techniques for explaining why general-purpose AI models produce any given output are severely limited.  • 汎用AIによるリスクを評価し、低減するために、開発者が採用でき、規制当局が要求できるさまざまな技術的手法があるが、いずれも限界がある。例えば、汎用AIモデルがどのようなアウトプットを出すのかを説明するための現在の技術は、非常に限られている。 
• The future of general-purpose AI technology is uncertain, with a wide range of trajectories appearing possible even in the near future, including both very positive and very negative outcomes. But nothing about the future of AI is inevitable. It will be the decisions of societies and governments that will determine the future of AI. This interim report aims to facilitate constructive discussion about these decisions.  • 汎用AI技術の未来は不確実であり、非常にポジティブな結果も非常にネガティブな結果も含め、近い将来でさえ幅広い軌跡があり得ると思われる。しかし、AIの未来に必然性はない。AIの未来を決定するのは、社会と政府の決断である。本中間報告書は、こうした決定に関する建設的な議論を促進することを目的としている。 
This report synthesises the state of scientific understanding of general-purpose AI – AI that can perform a wide variety of tasks – with a focus on understanding and managing its risks  本報告書は、汎用AI(多種多様なタスクをこなすAI)の科学的理解の現状を、そのリスクの理解と管理に焦点をあててまとめたものである。 
The capabilities of systems using AI have been advancing rapidly. This has highlighted the many opportunities that AI creates for business, research, government, and private life. It has also led to an increased awareness of current harms and potential future risks associated with advanced AI.  AIを使ったシステムの能力は急速に進歩している。このことは、AIがビジネス、研究、政府、私生活にもたらす多くの機会を浮き彫りにしている。また、高度なAIに関連する現在の危害や将来の潜在的なリスクに対する認識も高まっている。 
The purpose of the International Scientific Report on the Safety of Advanced AI is to take a step towards a shared international understanding of AI risks and how they can be mitigated. This first interim publication of the report restricts its focus to a type of AI whose capabilities have advanced particularly rapidly: general-purpose AI, or AI that can perform a wide variety of tasks.  先進AIの安全性に関する国際科学報告書」の目的は、AIのリスクとその軽減方法について、国際的な共通理解を得るための一歩を踏み出すことである。この報告書の最初の中間発表では、特に急速に能力が進歩したAIの種類、すなわち汎用AI、すなわち多種多様なタスクを実行できるAIに焦点を絞っている。 
Amid rapid advancements, research on general-purpose AI is currently in a time of scientific discovery and is not yet settled science. The report provides a snapshot of the current scientific understanding of general-purpose AI and its risks. This includes identifying areas of scientific consensus and areas where there are different views or open research questions.  急速な進歩の中で、汎用AIの研究は現在、科学的発見の時期にあり、まだ科学として確立していない。本報告書は、汎用AIとそのリスクに関する現在の科学的理解のスナップショットを提供する。これには、科学的コンセンサスが得られている分野と、異なる見解や未解決の研究課題がある分野の特定が含まれる。 
People around the world will only be able to enjoy the potential benefits of general-purpose AI safely if its risks are appropriately managed. This report focuses on identifying risks from general-purpose AI and evaluating technical methods for assessing and mitigating them, including the beneficial use of general-purpose AI to mitigate risks. It does not aim to comprehensively assess all possible societal impacts of general-purpose AI, including what benefits it may offer.  汎用AIのリスクが適切に管理されて初めて、世界中の人々が汎用AIの潜在的な恩恵を安全に享受できるようになる。本報告書は、汎用AIがもたらすリスクを特定し、リスクを軽減するための汎用AIの有益な利用を含め、リスクを評価・軽減するための技術的手法を評価することに焦点を当てている。汎用AIがどのような便益をもたらすかも含め、汎用AIの社会的影響の可能性をすべて包括的に評価することは目的としていない。 
General-purpose AI capabilities have grown rapidly in recent years according to many metrics, and there is no consensus on how to predict future progress, making a wide range of scenarios appear possible  多くの指標によれば、汎用AIの能力は近年急速に成長しており、将来の進歩を予測する方法についてコンセンサスは得られていない。 
According to many metrics, general-purpose AI capabilities are progressing rapidly. Five years ago, the leading general-purpose AI language models could rarely produce a coherent paragraph of text. Today, some general-purpose AI models can engage in multi-turn conversations on a wide range of topics, write short computer programs, or generate videos from a description. However, the capabilities of general-purpose AI are difficult to estimate reliably and define precisely.  多くの指標によれば、汎用AIの能力は急速に進歩している。5年前、主要な汎用AI言語モデルは、まとまった段落の文章をほとんど作成できなかった。今日、いくつかの汎用AIモデルは、幅広いトピックについて何ターンも会話をしたり、短いコンピューター・プログラムを書いたり、説明から動画を生成したりできる。しかし、汎用AIの能力を確実に見積もり、正確に定義することは難しい。 
The pace of general-purpose AI advancement depends on both the rate of technological advancements and the regulatory environment. This report focuses on the technological aspects and does not provide a discussion of how regulatory efforts might affect the speed of development and deployment of general-purpose AI.  汎用AIの進歩のペースは、技術進歩の速度と規制環境の両方に左右される。本報告書では、技術的な側面に焦点を当て、規制の取り組みが汎用AIの開発・展開のスピードにどのような影響を与えるかについては触れていない。 
AI developers have rapidly advanced general-purpose AI capabilities in recent years mostly by continuously increasing resources used for training new models (a trend called ‘scaling’) and refining existing algorithms. For example, state-of-the-art AI models have seen annual increases of approximately 4x in computational resources (‘compute’) used for training, 2.5x in training dataset size, and 1.5-3x in algorithmic efficiency (performance relative to compute). Whether ‘scaling’ has resulted in progress on fundamental challenges such as causal reasoning is debated among researchers.  AI開発者は近年、新しいモデルの学習に使用するリソースを継続的に増やし(「スケーリング」と呼ばれる傾向)、既存のアルゴリズムを改良することで、汎用AIの能力を急速に高めてきた。例えば、最先端のAIモデルでは、学習に使用される計算リソース(「コンピュート」)が毎年約4倍、学習データセットサイズが2.5倍、アルゴリズム効率(コンピュートに対するパフォーマンス)が1.5~3倍に増加している。スケーリング」が因果推論のような基本的な課題の進展をもたらしたかどうかは、研究者の間で議論されている。 
The pace of future progress in general-purpose AI capabilities has substantial implications for managing emerging risks, but experts disagree on what to expect even in the near future. Experts variously support the possibility of general-purpose AI capabilities advancing slowly, rapidly, or extremely rapidly. This disagreement involves a key question: will continued ‘scaling’ of resources and refining existing techniques be sufficient to yield rapid progress and solve issues such as reliability and factual accuracy, or are new research breakthroughs required to substantially advance generalpurpose AI abilities?  汎用AI能力の今後の進歩ペースは、新たなリスクを管理する上で大きな意味を持つが、専門家の間でも、近い将来に何が起こるかについては意見が分かれている。専門家の間では、汎用AIの能力がゆっくりと、あるいは急速に、あるいは極めて急速に進歩する可能性をさまざまに支持している。この意見の相違は、リソースの「スケーリング」を継続し、既存の技術を洗練させるだけで、急速な進歩をもたらし、信頼性や事実の正確さといった問題を解決するのに十分なのか、それとも、汎用AIの能力を大幅に向上させるためには、新たな研究のブレークスルーが必要なのか、という重要な問題を含んでいる。 
Several leading companies that develop general-purpose AI are betting on ‘scaling’ to continue leading to performance improvements. If recent trends continue, by the end of 2026 some general-purpose AI models will be trained using 40x to 100x more compute than the most compute-intensive models published in 2023, combined with training methods that use this compute 3x to 20x more efficiently. However, there are potential bottlenecks to further increasing both data and compute, including the availability of data, AI chips, capital expenditure, and local energy capacity. Companies developing general-purpose AI are working to navigate these potential bottlenecks.  汎用AIを開発するいくつかの大手企業は、性能向上につながり続ける「スケーリング」に賭けている。最近のトレンドが続けば、2026年末までに、汎用AIモデルのいくつかは、2023年に発表された最も計算負荷の高いモデルよりも40倍から100倍多い計算量を使用して学習され、この計算量を3倍から20倍効率的に使用する学習方法と組み合わされることになる。しかし、データ、AIチップ、資本支出、地域のエネルギー容量などの利用可能性を含め、データと計算の両方をさらに増やすには潜在的なボトルネックがある。汎用AIを開発している企業は、これらの潜在的なボトルネックを回避するために取り組んでいる。 
Several research efforts aim to understand and evaluate generalpurpose AI more reliably, but our overall understanding of how general-purpose AI models and systems work is limited  汎用AIをより確実に理解し、評価することを目的とした研究はいくつかあるが、汎用AIのモデルやシステムがどのように機能するかについての全体的な理解は限られている。 
Approaches to managing risks from general-purpose AI often rest on the assumption that AI developers and policymakers can assess the capabilities and potential impacts of general-purpose AI models and systems. But while technical methods can help with assessment, all existing methods have limitations and cannot provide strong assurances against most harms related to general-purpose AI. Overall, the scientific understanding of the inner workings, capabilities, and societal impacts of general-purpose AI is very limited, and there is broad expert agreement that it should be a priority to improve our understanding of general-purpose AI. Some of the key challenges include:  汎用AIによるリスクを管理するアプローチは、AIの開発者や政策立案者が汎用AIのモデルやシステムの能力と潜在的な影響を評価できるという前提に立っていることが多い。しかし、技術的な手法は評価に役立つとはいえ、既存の手法にはすべて限界があり、汎用AIに関連するほとんどの危害に対して強力な保証を提供することはできない。全体として、汎用AIの内部構造、能力、社会的影響に関する科学的理解は非常に限られており、汎用AIの理解を深めることを優先すべきであるとする専門家の幅広い合意がある。主な課題には以下のようなものがある: 
• Developers still understand little about how their general-purpose AI models operate. This is because general-purpose AI models are not programmed in the traditional sense. Instead, they are trained: AI developers set up a training process that involves a lot of data, and the outcome of that training process is the general-purpose AI model. These models can consist of trillions of components, called parameters, and most of their inner workings are inscrutable, including to the model developers. Model explanation and interpretability techniques can improve researchers’ and developers’ understanding of how general-purpose AI models operate, but this research is nascent.  • 開発者は、汎用AIモデルがどのように動作するかについて、まだほとんど理解していない。というのも、汎用AIモデルは伝統的な意味でプログラミングされるわけではないからだ。その代わりに訓練される:AI開発者は、多くのデータを含む学習プロセスを設定し、その学習プロセスの結果が汎用AIモデルである。これらのモデルは、パラメータと呼ばれる何兆ものコンポーネントで構成されることがあり、その内部の仕組みのほとんどは、モデル開発者を含めて不可解である。モデルの説明と解釈可能性の技術は、汎用AIモデルがどのように動作するかについての研究者や開発者の理解を向上させることができるが、この研究はまだ始まったばかりである。 
• General-purpose AI is mainly assessed through testing the model or system on various inputs. These spot checks are helpful for assessing strengths and weaknesses, including vulnerabilities and potentially harmful capabilities, but do not provide quantitative safety guarantees. The tests often miss hazards and overestimate or underestimate capabilities because general-purpose AI systems may behave differently in different circumstances, with different users, or with additional adjustments to their components.  • 汎用AIは主に、モデルやシステムを様々な入力でテストすることで評価される。これらの抜き取り検査は、脆弱性や潜在的に有害な能力を含む長所と短所を評価するのに役立つが、定量的な安全性を保証するものではない。汎用AIシステムは、異なる状況、異なるユーザー、あるいはコンポーネントの追加調整によって異なる挙動を示す可能性があるため、テストはしばしば危険性を見逃し、能力を過大評価または過小評価する。 
• Independent actors can, in principle, audit general-purpose AI models or systems developed by a company. However, companies often do not provide independent auditors with the necessary level of direct access to models or the information about data and methods used that are needed for rigorous assessment. Several governments are beginning to build capacity for conducting technical evaluations and audits.  • 独立監査人は、原則として、企業が開発した汎用AIモデルやシステムを監査することができる。しかし、企業は独立監査人に対し、モデルへの必要なレベルの直接アクセスや、厳密な評価に必要なデータや使用方法に関する情報を提供しないことが多い。いくつかの政府は、技術的な評価や監査を実施するための能力を構築し始めている。 
• It is difficult to assess the downstream societal impact of a general-purpose AI system because research into risk assessment has not been sufficient to produce rigorous and comprehensive assessment methodologies. In addition, general-purpose AI has a wide range of use cases, which are often not predefined and only lightly restricted, complicating risk assessment further. Understanding the potential downstream societal impacts of general-purpose AI models and systems requires nuanced and multidisciplinary analysis. Increasing the representation of diverse perspectives in general-purpose AI development and evaluation processes is an ongoing technical and institutional challenge.  • リスク評価に関する研究が十分でなく、厳密かつ包括的な評価手法が生み出されていないため、汎用AIシステムの下流社会への影響を評価することは困難である。加えて、汎用AIには幅広いユースケースがあり、それらは多くの場合、事前に定義されておらず、軽く制限されているに過ぎないため、リスク評価をさらに複雑にしている。汎用AIのモデルやシステムが下流社会に与える潜在的な影響を理解するには、微妙で学際的な分析が必要である。汎用AIの開発・評価プロセスにおいて、多様な視点の代表を増やすことは、技術的・制度的な継続課題である。 
General-purpose AI can pose severe risks to individual and public safety and wellbeing  汎用AIは、個人や公共の安全と福利に深刻なリスクをもたらす可能性がある。 
This report classifies general-purpose AI risks into three categories: malicious use risks, risks from malfunctions, and systemic risks. It also discusses several cross-cutting factors that contribute to many risks.  本報告書では、汎用AIのリスクを「悪意のある使用によるリスク」「誤作動によるリスク」「システム的リスク」の3つに分類している。また、多くのリスクに寄与するいくつかの横断的要因についても論じている。 
Malicious use. Like all powerful technologies, general-purpose AI systems can be used maliciously to cause harm. Possible types of malicious use range from relatively well-evidenced ones, such as scams enabled by general-purpose AI, to ones that some experts believe might occur in the coming years, such as malicious use of scientific capabilities of general-purpose AI.  意のある使用。あらゆる強力なテクノロジーと同様、汎用AIシステムも悪意を持って利用され、被害をもたらす可能性がある。悪意のある利用には、汎用AIが可能にする詐欺のような比較的実証済みのものから、汎用AIの科学的能力を悪意を持って利用するような、今後数年のうちに起こりうると考える専門家もいる。 
• Harm to individuals through fake content generated by general-purpose AI is a relatively welldocumented class of general-purpose AI malicious use. General-purpose AI can be used to increase the scale and sophistication of scams and fraud, for example through ‘phishing’ attacks enhanced by general-purpose AI. General-purpose AI can also be used to generate fake compromising content featuring individuals without their consent, such as non-consensual deepfake pornography.  • 汎用AIによって生成された偽コンテンツによる個人への被害は、汎用AIの悪意のある使用の中でも比較的文書化されている分類である。汎用AIは、例えば、汎用AIによって強化された「フィッシング」攻撃によって、詐欺や不正行為の規模を拡大し、巧妙化するために使用することができる。汎用AIはまた、非同意のディープフェイクポルノなど、個人を主人公とする偽の危ういコンテンツを本人の同意なしに生成するために使用されることもある。 
• Another area of concern is the malicious use of general-purpose AI for disinformation and manipulation of public opinion. General-purpose AI and other modern technologies make it easier to generate and disseminate disinformation, including in an effort to affect political processes. Technical countermeasures like watermarking content, although useful, can usually be circumvented by moderately sophisticated actors.  • もうひとつ懸念されるのは、偽情報や世論操作のために汎用AIが悪意を持って利用されることだ。汎用AIやその他の最新テクノロジーは、政治的プロセスに影響を与える試みも含め、偽情報の生成と拡散を容易にする。コンテンツの電子透かしのような技術的な対策は、有用ではあるが、中程度に洗練された行為者であれば、通常は回避することができる。 
• General-purpose AI might also be maliciously used for cyber offence, uplifting the cyber expertise of individuals and making it easier for malicious users to conduct effective cyber-attacks. General-purpose AI systems can be used to scale and partially automate some types of cyber operations, such as social engineering attacks. However, general-purpose AI could also be used in cyber defence. Overall, there is not yet any substantial evidence suggesting that general-purpose AI can automate sophisticated cybersecurity tasks.  • 汎用AIは悪意を持ってサイバー犯罪に利用される可能性もあり、個人のサイバー専門知識を高め、悪意のあるユーザーが効果的なサイバー攻撃を行うことを容易にする。汎用AIシステムは、ソーシャル・エンジニアリング攻撃など、ある種のサイバー操作の規模を拡大し、部分的に自動化するために使用することができる。しかし、汎用AIはサイバー防衛にも利用できる。全体として、汎用AIが高度なサイバーセキュリティタスクを自動化できることを示唆する実質的な証拠はまだない。 
• Some experts have also expressed concern that general-purpose AI could be used to support the development and malicious use of weapons, such as biological weapons. There is no strong evidence that current general-purpose AI systems pose this risk. For example, although current general-purpose AI systems demonstrate growing capabilities related to biology, the limited studies available do not provide clear evidence that current systems can ‘uplift’ malicious actors to obtain biological pathogens more easily than could be done using the internet. However, future large-scale threats have scarcely been assessed and are hard to rule out.  • また、一部の専門家は、汎用AIが生物兵器のような兵器の開発や悪意のある使用を支援するために使用される可能性があると懸念を表明している。現在の汎用AIシステムがこのようなリスクをもたらすという強い証拠はない。例えば、現在の汎用AIシステムは、生物学に関連する能力が高まっていることを示してはいるが、利用可能な限られた研究では、現在のシステムが悪意のある行為者を「高揚」させ、インターネットを利用するよりも簡単に生物学的病原体を入手できるという明確な証拠は得られていない。しかし、将来の大規模な脅威はほとんど評価されておらず、排除することは難しい。 
Risks from malfunctions. Even when users have no intention to cause harm, serious risks can arise due to the malfunctioning of general-purpose AI. Such malfunctions can have several possible causes and consequences:  誤作動によるリスク。利用者に危害を加える意図がない場合でも、汎用AIの誤作動によって深刻なリスクが生じる可能性がある。このような誤作動には、いくつかの原因と結果が考えられる: 
• The functionality of products based on general-purpose AI models and systems might be poorly understood by their users, for example due to miscommunication or misleading advertising. This can cause harm if users then deploy the systems in unsuitable ways or for unsuitable purposes.  • 汎用のAIモデルやシステムに基づく製品の機能は、例えば誤ったコミュニケーションや誤解を招くような宣伝のために、利用者に十分に理解されない可能性がある。そのため、ユーザーが不適切な方法や不適切な目的でシステムを導入すると、弊害が生じる可能性がある。 
• Bias in AI systems generally is a well-evidenced problem and remains unsolved for generalpurpose AI, too. General-purpose AI outputs can be biased with respect to protected characteristics like race, gender, culture, age, and disability. This can create risks, including in highstakes domains such as healthcare, job recruitment, and financial lending. In addition, many widely-used general-purpose AI models are primarily trained on data that disproportionately represents Western cultures, which can increase the potential for harm to individuals not represented well by this data.  • AIシステムにおける一般的なバイアスは、十分に証明された問題であり、汎用AIにおいても未解決のままである。汎用AIの出力は、人種、性別、文化、年齢、障害などの保護特性に関して偏る可能性がある。このことは、医療、求人、金融融資など、利害関係の大きい領域を含め、リスクを生じさせる可能性がある。さらに、広く使用されている汎用AIモデルの多くは、主に西洋文化を不当に代表するデータで訓練されているため、このデータではうまく表現されない個人に危害が及ぶ可能性が高まる。 
• 'Loss of control’ scenarios are potential future scenarios in which society can no longer meaningfully constrain general-purpose AI systems, even if it becomes clear that they are causing harm. There is broad consensus that current general-purpose AI lacks the capabilities to pose this risk. Some experts believe that current efforts to develop general-purpose autonomous AI – systems that can act, plan, and pursue goals – could lead to a loss of control if successful. Experts disagree about how plausible loss-of-control scenarios are, when they might occur, and how difficult it would be to mitigate them.  • 「制御不能」シナリオとは、汎用AIシステムが害を及ぼしていることが明らかになったとしても、社会がもはや意味のある制約を与えることができないような、将来の潜在的シナリオである。現在の汎用AIには、このようなリスクを引き起こす能力が欠けているという点については、幅広いコンセンサスが得られている。一部の専門家は、汎用の自律型AI(行動し、計画を立て、目標を追求できるシステム)を開発する現在の取り組みが成功すれば、制御不能に陥る可能性があると考えている。制御不能のシナリオがどの程度確からしいか、いつ起こりうるか、それを緩和するのがどの程度難しいかについては、専門家の間でも意見が分かれている。 
Systemic risks. The widespread development and adoption of general-purpose AI technology poses several systemic risks, ranging from potential labour market impacts to privacy risks and environmental effects:  システミックリスク。汎用AI技術の広範な開発と採用は、潜在的な労働市場への影響からプライバシーリスクや環境への影響に至るまで、いくつかのシステミック・リスクをもたらす: 
• General-purpose AI, especially if it further advances rapidly, has the potential to automate a very wide range of tasks, which could have a significant effect on the labour market. This could mean many people could lose their current jobs. However, many economists expect that potential job losses could be offset, possibly completely, by the creation of new jobs and by increased demand in non-automated sectors.  • 特に汎用AIが急速に進歩すれば、非常に幅広い作業を自動化できる可能性があり、労働市場に大きな影響を与える可能性がある。これは、多くの人々が現在の仕事を失う可能性があることを意味する。しかし、多くのエコノミストは、潜在的な雇用損失は、新たな雇用の創出や非自動化分野での需要増加によって、場合によっては完全に相殺されると予想している。 
• General-purpose AI research and development is currently concentrated in a few Western countries and China. This 'AI Divide' is multicausal, but in part stems from differing levels of access to the compute needed to develop general-purpose AI. Since low-income countries and academic institutions have less access to compute than high-income countries and technology companies do, they are placed at a disadvantage.  • 汎用AIの研究開発は現在、一部の欧米諸国と中国に集中している。この「AI格差」は多因子にわたっているが、汎用AIの開発に必要な計算機へのアクセスレベルの差に起因する部分もある。低所得国や学術機関は、高所得国やテクノロジー企業に比べて計算機へのアクセスが少ないため、不利な立場に置かれている。 
• The resulting market concentration in general-purpose AI development makes societies more vulnerable to several systemic risks. For instance, the widespread use of a small number of general-purpose AI systems in critical sectors like finance or healthcare could cause simultaneous failures and disruptions on a broad scale across these interdependent sectors, for instance because of bugs or vulnerabilities.  • その結果、汎用AI開発における市場の集中は、社会をいくつかのシステミックリスクに対してより脆弱にする。例えば、金融や医療などの重要な分野で少数の汎用AIシステムが広く使用されることで、バグや脆弱性などが原因で、相互依存関係にあるこれらの分野全体で同時に大規模な障害や混乱が発生する可能性がある。 
• Growing compute use in general-purpose AI development and deployment has rapidly increased energy usage associated with general-purpose AI. This trend shows no indications of moderating, potentially leading to further increased CO2 emissions and water consumption.  • 汎用AIの開発・導入におけるコンピュート利用の拡大により、汎用AIに関連するエネルギー使用量が急速に増加している。この傾向は弱まる気配がなく、CO2 排出量と水消費量のさらなる増加につながる可能性がある。 
• General-purpose AI models or systems can pose risks to privacy. For instance, research has shown that by using adversarial inputs, users can extract training data containing information about individuals from a model. For future models trained on sensitive personal data like health or financial data, this may lead to particularly serious privacy leaks.  • 汎用のAIモデルやシステムは、プライバシーにリスクをもたらす可能性がある。例えば、敵対的な入力を使用することで、ユーザーはモデルから個人に関する情報を含むトレーニングデータを抽出できることが研究で示されている。将来、健康や金融データのようなセンシティブな個人データをトレーニングしたモデルの場合、これは特に深刻なプライバシー漏洩につながる可能性がある。 
• Potential copyright infringements in general-purpose AI development pose a challenge to traditional intellectual property laws, as well as to systems of consent, compensation, and control over data. An unclear copyright regime disincentivises general-purpose AI developers from declaring what data they use and makes it unclear what protections are afforded to creators whose work is used without their consent to train general-purpose AI models.  • 汎用AI開発における潜在的な著作権侵害は、従来の知的財産法だけでなく、同意、補償、データに対する管理体制にも課題を突きつけている。不明確な著作権制度は、汎用AI開発者がどのようなデータを使用しているかを申告する意欲を失わせ、汎用AIモデルを訓練するために同意なしに作品が使用されるクリエイターに対してどのような保護が与えられるかを不明確にしている。 
Cross-cutting risk factors. Underpinning the risks associated with general-purpose AI are several cross-cutting risk factors – characteristics of general-purpose AI that increase the probability or severity of not one but several risks:  横断的リスク要因。汎用AIに関連するリスクの根底には、いくつかの横断的なリスク要因がある。つまり、汎用AIの特性は、1つのリスクだけでなく、複数のリスクの確率や深刻度を高める: 
• Technical cross-cutting risk factors include the difficulty of ensuring that general-purpose AI systems reliably behave as intended, our lack of understanding of their inner workings, and the ongoing development of general-purpose AI ‘agents’ which can act autonomously with reduced oversight.  • 技術的な横断的リスク要因としては、汎用AIシステムが意図したとおりに確実に動作することを保証することの難しさ、AIシステムの内部構造に関する我々の理解不足、監視を減らして自律的に行動できる汎用AI「エージェント」の開発進行中などが挙げられる。 
• Societal cross-cutting risk factors include the potential disparity between the pace of technological progress and the pace of a regulatory response, as well as competitive incentives for AI developers to release products quickly, potentially at the cost of thorough risk management.  • 社会的な横断的リスク要因としては、技術進歩のペースと規制対応のペースの間に潜在的な乖離があることや、AI開発者にとって、徹底したリスク管理を犠牲にしてでも製品を迅速にリリースしようとする競争上のインセンティブがあることなどが挙げられる。 
Several technical approaches can help mitigate risks, but no currently known method provides strong assurances or guarantees against harm associated with general-purpose AI  いくつかの技術的アプローチはリスクを軽減するのに役立つが、現在知られている方法で、汎用AIに関連する危害に対する強力な保証や保証を提供できるものはない。 
While this report does not discuss policy interventions for mitigating risks from general-purpose AI, it does discuss technical risk mitigation methods on which researchers are making progress. Despite this progress, current methods have not reliably prevented even overtly harmful general-purpose AI outputs in real-world contexts. Several technical approaches are used to assess and mitigate risks:  本報告書では、汎用AIによるリスクを軽減するための政策的介入については論じないが、研究者が進歩を遂げている技術的なリスク軽減方法については論じる。このような進展にもかかわらず、現在の手法では、実世界の文脈においてあからさまに有害な汎用AIの出力さえも確実に防ぐことはできていない。リスクの評価と軽減には、いくつかの技術的アプローチが用いられている: 
• There is some progress in training general-purpose AI models to function more safely. Developers also train models to be more robust to inputs that are designed to make them fail (‘adversarial training’). Despite this, adversaries can typically find alternative inputs that reduce the effectiveness of safeguards with low to moderate effort. Limiting a general-purpose AI system’s capabilities to a specific use case can help to reduce risks from unforeseen failures or malicious use.  • 汎用のAIモデルをより安全に機能させるためのトレーニングはある程度進んでいる。開発者はまた、モデルが失敗するように設計された入力に対してより頑健になるように訓練している(「敵対的訓練」)。にもかかわらず、敵は通常、安全装置の有効性を低下させる代替入力を低~中程度の労力で見つけることができる。汎用AIシステムの能力を特定のユースケースに限定することで、予期せぬ失敗や悪意のある使用によるリスクを低減することができる。 
• There are several techniques for identifying risks, inspecting system actions, and evaluating performance once a general-purpose AI system has been deployed. These practices are often referred to as ‘monitoring’.  • 汎用AIシステムが配備された後、リスクを特定し、システムの動作を検査し、パフォーマンスを評価するための手法がいくつかある。これらの手法はしばしば「モニタリング」と呼ばれる。 
• Mitigation of bias in general-purpose AI systems can be addressed throughout the lifecycle of the system, including design, training, deployment, and usage. However, entirely preventing bias in general-purpose AI systems is challenging because it requires systematic training data collection, ongoing evaluation, and effective identification of bias. It may also require trading off fairness with other objectives such as accuracy and privacy, and deciding what is useful knowledge and what is an undesirable bias that should not be reflected in the outputs.  • 汎用AIシステムにおけるバイアスの軽減は、設計、トレーニング、配備、使用など、システムのライフサイクル全体を通じて取り組むことができる。しかし、体系的なトレーニングデータの収集、継続的な評価、バイアスの効果的な特定が必要となるため、汎用AIシステムにおけるバイアスを完全に防止することは困難である。また、精度やプライバシーなど他の目的と公平性をトレードオフし、何が有用な知識で、何が出力に反映されるべきではない望ましくないバイアスなのかを決定する必要がある場合もある。 
• Privacy protection is an active area of research and development. Simply minimising the use of sensitive personal data in training is one approach that can substantially reduce privacy risks. However, when sensitive data is either intentionally or unintentionally used, existing technical tools for reducing privacy risks struggle to scale to large general-purpose AI models, and can fail to provide users with meaningful control.  • プライバシー保護は、研究開発の活発な分野である。訓練におけるセンシティブな個人データの使用を最小限に抑えることは、プライバシーリスクを大幅に低減できるアプローチの1つである。しかし、センシティブなデータが意図的または非意図的に使用される場合、プライバシーリスクを低減するための既存の技術ツールは、大規模な汎用AIモデルへの拡張に苦戦し、ユーザーに意味のある制御を提供できない可能性がある。 
Conclusion: A wide range of general-purpose AI trajectories are possible, and much will depend on how societies and governments act  結論幅広い汎用AIの軌跡が可能であり、その多くは社会や政府がどのように行動するかにかかっている。 
The future of general-purpose AI is uncertain, with a wide range of trajectories appearing possible even in the near future, including both very positive and very negative outcomes. But nothing about the future of general-purpose AI is inevitable. How general-purpose AI gets developed and by whom, which problems it gets designed to solve, whether societies will be able to reap general-purpose AI’s full economic potential, who benefits from it, the types of risks we expose ourselves to, and how much we invest into research to mitigate risks — these and many other questions depend on the choices that societies and governments make today and in the future to shape the development of generalpurpose AI.  汎用AIの未来は不確実であり、非常にポジティブな結果も非常にネガティブな結果も含め、近い将来にも幅広い軌跡があり得ると思われる。しかし、汎用AIの未来に必然性はない。汎用AIが誰によってどのように開発されるのか、どのような問題を解決するために設計されるのか、社会は汎用AIの経済的可能性をフルに享受できるのか、誰がその恩恵を受けるのか、私たちはどのようなリスクにさらされるのか、リスクを軽減するための研究にどれだけ投資するのか--こうした疑問や他の多くの疑問は、汎用AIの開発を形成するために社会や政府が今日および将来行う選択にかかっている。 
To help facilitate constructive discussion about these decisions, this report provides an overview of the current state of scientific research and discussion on managing the risks of general-purpose AI. The stakes are high. We look forward to continuing this effort.  こうした決定に関する建設的な議論を促進するため、本報告書では、汎用AIのリスク管理に関する科学的研究と議論の現状を概観する。リスクは大きい。我々は、この取り組みを継続することを楽しみにしている。 

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.23 外務省 岸田総理大臣のAIソウル・サミット首脳セッションへの参加(ビデオメッセージ)+ AIソウル・サミット首脳セッション出席国による安全、革新的で包摂的なAIのためのソウル宣言 

・2024.05.23 米国 商務省 NIST AI安全性に関する戦略的ビジョン:AI安全性研究機関の世界的協力計画を発表

・2024.05.21 英国 科学技術革新省 先進AIの安全性に関する国際科学報告書

 

 

| | Comments (0)

2024.05.20

米国 NIST SP 800-171 改訂 3 版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護とNIST SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価 (2024.05.14)

こんにちは、丸山満彦です。

NISTが、SP 800-171 改訂3版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護 SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価の確定版を公表していますね...

SP800-53が改正されたのに合わせた改訂ですが、2020年2月に第2版が公表されていますので、4年ちょっとでの改訂となります。

3.14. System and Information Integrity 3.14. システムと情報の完全性
3.15. Planning 3.15. 計画
3.16. System and Services Acquisition 3.16. システムとサービスの取得
3.17. Supply Chain Risk Management 3.17. サプライチェーンリスクマネジメント

が新たに追加されています...

 

● NIST - ITL

・2024.05.14 NIST SP 800-171 Rev.3 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

NIST SP 800-171 Rev. 3 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations NIST SP 800-171 改訂3版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
Abstract 概要
The protection of Controlled Unclassified Information (CUI) is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides federal agencies with recommended security requirements for protecting the confidentiality of CUI when the information is resident in nonfederal systems and organizations. The requirements apply to components of nonfederal systems that process, store, or transmit CUI or that provide protection for such components. The security requirements are intended for use by federal agencies in contractual vehicles or other agreements established between those agencies and nonfederal organizations. This publication can be used in conjunction with its companion publication, NIST Special Publication 800-171A, which provides a comprehensive set of procedures to assess the security requirements. 管理対象非機密情報(CUI)の防御は、連邦政府機関にとって最も重要であり、連邦政府がその重要な任務と機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、連邦機関に対し、情報が連邦機関以外のシステムおよび組織に常駐している場合に、CUIの機密性を保護するための推奨セキュリティ要件を提供する。要件は、CUIを処理、保管、または送信する連邦政府以外のシステムのコンポーネント、またはそのようなコンポーネントの保護を提供するコンポーネントに適用される。本セキュリティ要件は、連邦機関と非連邦機関との間で締結される契約書またはその他の合意において、連邦機関が使用することを意図している。本書は、その関連刊行物である NIST 特別刊行物 800-171A と併せて使用することができ、セキュリティ要件を評価するための包括的な手順を提供する。

 

・[PDF] NIST.SP.800-171r3

171-20240518-55955

・[DOCX] [PDF] 仮訳

 

目次...

1. Introduction 1. 序文
1.1 Purpose and Applicability 1.1 目的と適用性
1.2 Organization of This Publication 1.2 本出版物の構成
2. The Fundamentals 2. 基礎
2.1. Security Requirement Assumptions 2.1. セキュリティ要件の前提
2.2. Security Requirement Development Methodology 2.2. セキュリティ要件の開発
3. The Security Requirements 3. セキュリティ要件
3.1. Access Control 3.1. アクセス制御
3.2. Awareness and Training 3.2. 意識向上およびトレーニング
3.3. Audit and Accountability 3.3. 監査および説明責任
3.4. Configuration Management 3.4. 構成管理
3.5 Identification and Authentication 3.5. 識別および認証
3.6. Incident Response 3.6. インシデント対応
3.7. Maintenance 3.7. 保守
3.8. Media Protection 3.8. 媒体保護
3.9. Personnel Security 3.9. 職員のセキュリティ
3.10. Physical Protection 3.10. 物理的保護
3.11. Risk Assessment 3.11. リスクアセスメント
3.12. Security Assessment and Monitoring 3.12. セキュリティアセスメントと監視
3.13. System and Communications Protection 3.13. システムおよび通信の保護
3.14. System and Information Integrity 3.14. システムおよび情報の完全性
3.15. Planning 3.15. 計画
3.16. System and Services Acquisition 3.16. システムとサービスの取得
3.17. Supply Chain Risk Management 3.17. サプライチェーンのリスクマネジメント
References 参考文献
Appendix A. Acronyms 附属書 A. 略語
Appendix B. Glossary 附属書 B. 用語集
Appendix C. Tailoring Criteria 附属書 C. テーラリング基準
Appendix D. Organization-Defined Parameters 附属書 D. 組織定義のパラメータ
Appendix E. Change Log 附属書 E. 変更履歴

 

評価のほう...

・2024.05.14 NIST SP 800-171A Rev. 3 Assessing Security Requirements for Controlled Unclassified Information

 

NIST SP 800-171A Rev. 3 Assessing Security Requirements for Controlled Unclassified Information NIST SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価
Abstract 概要
The protection of Controlled Unclassified Information (CUI) is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides organizations with assessment procedures and a methodology that can be used to conduct assessments of the security requirements in NIST Special Publication 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations. The assessment procedures are flexible and can be customized to the needs of organizations and assessors. Assessments can be conducted as independent, third-party assessments or as government-sponsored assessments. The assessments can be applied with various degrees of rigor based on customer-defined depth and coverage attributes. 管理対象非機密情報(CUI)の保護は、連邦政府機関にとって最も重要であり、連邦政府がその重要な任務と機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、NIST特別刊行物800-171「非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護」のセキュリティ要件の評価を実施するために使用できる評価手順および手法を組織に提供する。評価手順は柔軟であり、組織や評価者のニーズに合わせてカスタマイズすることができる。アセスメントは、独立したサードパーティによるアセスメントとして実施することも、政府主催のアセスメントとして実施することもできる。アセスメントは、顧客が定義した深さとカバレッジの属性に基づいて、さまざまな厳しさで適用することができる。

 

・[PDF] NIST.SP.800-171Ar3

171a-20240518-55801

 

 

 

こちらのウェブページにも追加されています...

Cybersecurity and Privacy Reference Tool CPRT

 

 

 

 


 

参考

NIST文書の翻訳がいくつかあります...

● IPA

セキュリティ関連NIST文書について

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

SP800-53, 171, 172関係...

・2023.11.13 NIST 意見募集 SP 800-171 Rev.3(最終ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版(初期公開ドラフト) 管理対象非機密情報のセキュリティ要件の評価

・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護

・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン

・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

 

少し前...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

・2010.05.10 NIST SP800-53関係の情報

 

 

国防総省の委託先の管理の話...

・2024.01.03 米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.10 米国 CMMC Ver.2.0

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

 

 

 

| | Comments (0)

2024.05.19

米国 NIST IR 8498(初公開ドラフト) スマートインバータのサイバーセキュリティ: 住宅用および商用簡易太陽光発電システムのガイドライン (2024.05.10)

こんにちは、丸山満彦です。

NISTが、NIST IR 8498(初公開ドラフト) スマートインバータのサイバーセキュリティ: 住宅用および商用簡易太陽光発電システムのガイドライン を発表していますね...

● NIST - ITL

・2024.05.10 NIST IR 8498 (Initial Public Draft) Cybersecurity for Smart Inverters: Guidelines for Residential and Light Commercial Solar Energy Systems

NIST IR 8498 (Initial Public Draft) Cybersecurity for Smart Inverters: Guidelines for Residential and Light Commercial Solar Energy Systems  NIST IR 8498(初公開ドラフト) スマートインバータのサイバーセキュリティ: 住宅用および商用簡易太陽光発電システムのガイドライン
Announcement 発表
The use of small-scale solar energy systems to generate electricity continues to increase. Smart inverters provide two critical functions to a small-scale solar energy system: they convert the direct current (DC) produced by solar panels to the alternating current (AC) used in homes and businesses, and they manage the flow of excess energy to the local electric grid. 小規模太陽光発電システムの利用は増加の一途をたどっている。スマート・インバータは、小規模太陽光発電システムに2つの重要な機能をプロバイダとして提供する。すなわち、ソーラー・パネルで生成された直流(DC)を家庭や企業で使用される交流(AC)に変換し、余剰エネルギーを地域の電力網に流すことを管理する。
This report provides practical cybersecurity guidelines for small-scale solar inverter implementations typically used in homes and small businesses. The report also presents recommendations to smart inverter manufacturers to improve the cybersecurity capabilities in their products. 本報告書では、一般家庭や小規模企業で使用される小規模ソーラーインバーター実装のための実用的なサイバーセキュリティガイドラインを提供する。また、スマートインバーター製造事業者に対し、製品のサイバーセキュリティ機能を改善するための提言も行っている。
These recommendations build on the IoT cybersecurity capability baselines defined in NIST IR 8259A and NIST IR 8259B by providing smart-inverter specific information for all baseline cybersecurity capabilities. これらの提言は、NIST IR 8259AおよびNIST IR 8259Bで定義されたIoTサイバーセキュリティ能力のベースラインに基づいており、すべてのベースラインサイバーセキュリティ能力についてスマートインバータ固有の情報を提供している。
Abstract 概要
The use of residential and light-commercial inverters connected to the distribution network and not directly owned and operated by the utility to generate electricity for homes and small businesses continues to increase. In addition to supplying power to individual homeowners and small business owners these systems can supply power to the electric grid. 配電網に接続され、電力会社が直接所有・運営しない住宅用および商用簡易インバーターの使用は、家庭や小規模事業所向けの発電のために増加し続けている。これらのシステムは、個々の住宅所有者や小規模事業者に電力を供給するだけでなく、電力網に電力を供給することもできる。
Smart inverters provide two critical functions to a small-scale solar energy system; they convert the direct current (DC) produced by solar panels to the alternating current (AC) used on the electric grid, in homes, and businesses. They also manage the flow of excess energy to the electric grid. The “smart” in smart inverter allows these devices to assist the local electric utility in addressing anomalies on the electric grid. However, properly responding to anomalies requires that the smart inverter be configured to behave in a grid-friendly, supportive manner. An improperly configured inverter can respond in inappropriate ways that exacerbate anomalies. スマート・インバータは、小規模な太陽光発電システムに2つの重要な機能を提供する。ソーラー・パネルによって生成された直流(DC)を、電力網や家庭、企業で使用される交流(AC)に変換する。また、余剰エネルギーの電力網への流れを管理する。スマート・インバーターの「スマート」は、これらの機器が地域の電力会社を支援し、電力網の異常に対処することを可能にする。しかし、異常に適切に対応するには、スマート・インバータがグリッドに優しく、支援的な動作をするように設定されている必要がある。不適切に設定されたインバータは、異常を悪化させる不適切な対応をする可能性がある。

 

・[PDF] NIST.IR.8498.ipd

8498-20240518-55948

 

目次...

1. Introduction 1. 序文
1.1. Audience  1.1. 想定読者 
1.2. Report Organization 1.2. 報告書の構成
2. Cybersecurity Guidelines for Owners and Installers 2. 所有者と設置者のためのサイバーセキュリティ・ガイドライン
2.1. Guideline #1: Change Default Passwords and Credentials 2.1. ガイドライン#1: デフォルトのパスワードと認証情報を変更する
2.2. Guideline #2: Use Role-Based Access Control (RBAC)  2.2. ガイドライン#2:役割ベースのアクセス制御(RBAC)を使用する 
2.3. Guideline #3: Record Events in a Log 2.3. ガイドライン#3: ログにイベントを記録する
2.4. Guideline #4: Update Software Regularly 2.4. ガイドライン#4: ソフトウェアを定期的にアップデートする
2.5. Guideline #5: Backup System Information 2.5. ガイドライン#5: システム情報をバックアップする
2.6. Guideline #6: Disable Unused Features 2.6. ガイドライン#6: 使わない機能は無効にする
2.7. Guideline #7: Protect the Communications Connections. 2.7. ガイドライン#7: コミュニケーション接続を防御する。
3. Cybersecurity Recommendations for Smart Inverter Manufacturers 3. スマート・インバータ製造事業者に対するサイバーセキュリティの推奨事項
3.1. Recommended Baseline Cybersecurity Capabilities 3.1. 推奨されるベースライン・サイバーセキュリティ能力
Conclusion  結論 
References 参考文献
Appendix A. Selected Bibliography 附属書 A. 参考文献
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書 B. 記号、略語、頭字語リスト
Appendix C. Residential and Light Commercial Solar Energy System Setup Cybersecurity Checklist 附属書 C. 住宅用および商用簡易太陽エネルギーシステムのセットアップサイバーセキュリティチェックリスト
Appendix D. Smart Inverter Testing 附属書D. スマートインバータのテスト
D.1. Testing Results for Guideline #1: Change Default Passwords and Credentials  D.1. ガイドライン#1のテスト結果:デフォルトパスワードと認証情報の変更
D.2. Testing Results for Guideline #2: Use Role-Based Access Control D.2. ガイドライン#2のテスト結果:役割ベースのアクセス制御の使用
D.3. Testing Results for Guideline #3: Record Events in a Log  D.3. ガイドライン#3のテスト結果:ログのイベントの記録
D.4. Testing Results for Guideline #4: Update Software Regularly D.4. ガイドライン#4のテスト結果:ソフトウェアの定期的アップデート
D.5. Testing Results for Guideline #5:Backup Systems Information  D.5. ガイドライン#5のテスト結果:システム情報のバックアップ 
D.6. Testing Results for Guideline #6: Disable Unused Features D.6. ガイドライン#6のテスト結果:使用していない機能の無効化
D.7. Testing Results for Guideline #7: Protect the Communications Connections D.7. ガイドライン#7のテスト結果:コミュニケーション接続の防御
Appendix E. Mapping to General Cybersecurity Guidance  附属書E. 一般的なサイバーセキュリティガイダンスへのマッピング 
E.1. General Cybersecurity Guidance that Informs the Guidelines  E.1. ガイドラインに影響を与える一般的なサイバーセキュリティガイダンス
 E.1.1. The NIST Cybersecurity Framework (CSF) Version 2.0  E.1.1. NIST サイバーセキュリティフレームワーク(CSF)バージョン 2.0
 E.1.2. Center for Internet Security Critical Security Controls (CSC) Version 8  E.1.2. Center for Internet Security CSC (Critical Security Controls) バージョン 8
E.1.3. NIST Special Publication 800-53r5 E.1.3. NIST 特別刊行物 800-53r5
E.1.4. NIST Special Publication 800-213A E.1.4. NIST 特別刊行物 800-213A
E.1.5. The MITRE ATT&CK Framework E.1.5. MITRE ATT&CK フレームワーク
E.1.6. ISA/IEC 62443-2-1 E.1.6. ISA/IEC 62443-2-1

 

 

システムの全体像

1_20240519060801

 

 

スマートインバーターの要素...

1_20240519060501

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

| | Comments (0)

2024.05.18

米国 NIST IR 8504 NoSQLデータベースにおけるアクセス制御 (2024.05.07)

こんにちは、丸山満彦です。

NISTが、NIST IR 8504 NoSQLデータベースにおけるアクセス制御の確定版を発表していますね...

そう言われてみれば、NoSQLデータベースのアクセス制御については、まとまって勉強したことないなぁ、、、と思ったまま、勉強していなかったり、、、

 

● NIST - ITL

・2024.05.07 NIST IR 8504 Access Control on NoSQL Databases 

 

NIST IR 8504 Access Control on NoSQL Databases NIST IR 8504 NoSQLデータベースにおけるアクセス制御
Abstract 概要
NoSQL database systems and data stores often outperform traditional RDBMS in various aspects, such as data analysis efficiency, system performance, ease of deployment, flexibility/scalability of data management, and users’ availability. However, with an increasing number of people storing sensitive data in NoSQL databases, security issues have become critical concerns. NoSQL databases suffer from vulnerabilities, particularly due to the lack of effective support for data protection, including weak authorization mechanisms. As access control is a fundamental data protection requirement of any database management system DBMS, this document focuses on access control on NoSQL database systems. NoSQLデータベースシステムやデータストアは、データ分析効率、システム性能、導入の容易さ、データ管理の柔軟性/拡張性、ユーザーの可用性など、様々な面で従来のRDBMSを上回ることが多い。しかし、NoSQLデータベースに機密データを保存する人が増えるにつれ、セキュリティ問題が重大な関心事となっている。NoSQLデータベースは脆弱性に悩まされており、特に認可メカニズムが脆弱であるなど、データ保護のための効果的なサポートが欠如していることが原因となっている。アクセス制御はあらゆるデータベース管理システムDBMSの基本的なデータ保護要件であるため、本文書ではNoSQLデータベースシステムのアクセス制御に焦点を当てる。

 

・[PDF] NIST.IR.8504

8504-20240518-55743

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction. 1. 序文
2. Overview of NoSQL Database Systems 2. NoSQLデータベースシステムの概要
2.1. Types of NoSQL Databases Systems 2.1. NoSQLデータベースシステムの種類
2.1.1. Key-Value Model  2.1.1. キー・バリュー・モデル 
2.1.2. Wide-Column Model 2.1.2. ワイドカラムモデル
2.1.3. Document Model 2.1.3. 文書モデル
2.1.4. Graph Model 2.1.4. グラフモデル
2.2. Features of NoSQL Database Systems 2.2. NoSQLデータベースシステムの特徴
2.2.1. Flexible Data Model 2.2.1. 柔軟なデータモデル
2.2.2. Horizontal Scalability 2.2.2. 水平方向のスケーラビリティ
2.2.3. Fast Queries 2.2.3. 高速クエリー
2.2.4. Security Deficiencies 2.2.4. セキュリティの欠陥
3. Access Control Model on NoSQL Database Systems 3. NoSQLデータベースシステムにおけるアクセス制御モデル
3.1. Relationship Structures of NoSQL Models 3.1. NoSQLモデルの関係構造
3.2. Access Control Rules from NoSQL Relationship Structures 3.2. NoSQL関係構造からのアクセス制御ルール
3.2.1. Key-Value Model 3.2.1. キー値モデル
3.2.2. Wide-Column and Document Models 3.2.2. ワイドカラムとドキュメントモデル
3.2.3. Graph Model 3.2.3. グラフモデル
3.3. Access Control Model Implementations 3.3. アクセス制御モデルの実装
4. Considerations of Access Control for NoSQL Systems 4. NoSQLシステムのアクセス制御に関する考察
4.1. Fine-Grained Access Control 4.1. 細かいアクセス制御
4.2. Security 4.2. セキュリティ
4.3. Query Language 4.3. クエリー言語
4.4. Data Consistency 4.4. データの一貫性
4.5. Performance 4.5. パフォーマンス
4.6. Audit 4.6. 監査
4.7. Environment Conditions Control 4.7. 環境条件管理
4.8. Support for AI 4.8. AIへの対応
4.9. Combine RDBMS 4.9. RDBMSを組み合わせる
5. Conclusion 5. 結論
References  参考文献 
Appendix A 附属書A
A.1. Federation of Access Control A.1. アクセス制御の連合体
A.2. Graph NoSQL Implementation for AC Policies A.2. ACポリシーのためのグラフNoSQL実装

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブ・サマリー 
NoSQL stands for “not only SQL” or “non-SQL,” which typically refer to any non-relational database that stores data in a format other than relational tables. It shifts away from relational database management systems (RDBMS) for dealing with enormous and constantly growing data and infrastructure needs and increasingly uses the Web 3.0 framework for big data and real-time web applications, including handling unstructured data like documents, emails, and social media. NoSQL databases are particularly useful for managing unstructured or very large data objects stored across distributed and cooperating devices. Use cases for retrieving such data range from critical scenarios (e.g., storing financial data and healthcare records) to more casual applications (e.g., chat log data, video, and images, readings from smart devices). Major Web 2.0 companies have developed or adopted different flavors of NoSQL databases to meet their growing data and infrastructure needs.   NoSQLとは「not only SQL」または「non-SQL」の略で、一般的にはリレーショナル・テーブル以外の形式でデータを格納する非リレーショナル・データベースを指す。莫大かつ絶えず増大するデータとインフラのニーズに対応するため、リレーショナル・データベース管理システム(RDBMS)から移行し、文書、電子メール、ソーシャルメディアなどの非構造化データの取り扱いを含め、ビッグデータとリアルタイム・ウェブ・アプリケーションのためのウェブ3.0フレームワークをますます利用するようになっている。NoSQLデータベースは、分散して連携するデバイスにまたがって保存された非構造化データや非常に大きなデータオブジェクトを管理するのに特に有用である。このようなデータを検索するユースケースは、クリティカルなシナリオ(金融データや医療記録の保存など)から、よりカジュアルなアプリケーション(チャットログデータ、ビデオ、画像、スマートデバイスからの読み取りなど)まで多岐にわたる。主要なWeb 2.0企業は、増大するデータとインフラのニーズに対応するため、さまざまな種類のNoSQLデータベースを開発または採用している。 
NoSQL database systems and data stores often outperform traditional RDBMS in various aspects, such as data analysis efficiency, system performance, ease of deployment, flexibility/scalability of data management, and users’ availability. However, with an increasing number of people storing sensitive data in NoSQL databases, security issues have become critical concerns. NoSQL databases suffer from vulnerabilities, particularly due to the lack of effective support for data protection, including weak authorization mechanisms. As access control is a fundamental data protection requirement of any database management system (DBMS), this document discusses access control on NoSQL database systems by illustrating the NoSQL database types along with their support for access control models and describing considerations from the perspective of access control.   NoSQLデータベースシステムやデータストアは、データ分析効率、システム性能、導入の容易さ、データ管理の柔軟性/拡張性、ユーザーの可用性など、さまざまな面で従来のRDBMSを上回ることが多い。しかし、NoSQLデータベースに機密データを保存する人が増えるにつれ、セキュリティ問題が重大な関心事となっている。NoSQLデータベースは脆弱性に悩まされており、特に認可メカニズムが脆弱であるなど、データ保護のための効果的なサポートが欠如していることが原因となっている。アクセス制御はあらゆるデータベース管理システム(DBMS)の基本的なデータ保護要件であるため、本文書では NoSQL データベースシステムにおけるアクセス制御について、NoSQL データベースの種類とアクセス制御モデルのサポートを例示し、アクセス制御の観点からの考慮事項を説明する。 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.02 米国 NIST 意見募集 NIST IR 8504(初公開ドラフト) NoSQLデータベースにおけるアクセス制御

 

 

| | Comments (0)

2024.05.17

防衛省 防衛研究所 脅威インテリジェンスの機能的・歴史的視座 民間セクターにおける共有エコシステム分析と公共セクターの関与について

こんにちは、丸山満彦です。

防衛省防衛研究所が、「新領域の安全保障シリーズ」の第2弾として、東京海上ホールディングス株式会社の石川朝久さんによる「脅威インテリジェンスの機能的・歴史的視座:民間セクターにおける共有エコシステム分析と公共セクターの関与について」を公開していますね...

脅威インテ令ジェンすについての安全保障で発展した脅威インテリジェンスがサイバー空間において民間部門で応用され発展していったことを踏まえて、国による脅威インテリジェンスと民間のインテリジェンスについての機能的な面としての相違を、目的、調査主体・調査対象、共有インセンティブについて説明している。官民連携が言われている中での論点整理として活用できそうですね。。。

また、歴史的な観点からは、2010年まで(黎明期)、2013年頃まで(理論構築)、2017年頃まで(普及と共助の開始)、それ以降(公助の開始)と四段階にわけて説明している。これも今後のインテリジェンス情報を国、民間機関がどのように活用すべきか参考になる...

 

● 防衛省 防衛研究所
 
・2024.05.14 [PDF]「脅威インテリジェンスの機能的・歴史的視座 民間セクターにおける共有エコシステム分析と公共セクターの関与について

20240517-14503

 

| | Comments (0)

2024.05.16

個人情報保護委員会 経済産業省 グローバルCBPRシステムの稼働に向けた文書等の公表 (2024.04.30)

こんにちは、丸山満彦です。

グローバルCBPRフォーラムが、グローバル越境プライバシールール(CBPR: Cross-Border Privacy Rules)フォーラムにおいて、越境個人データに関する新たな国際企業認証制度であるグローバルCBPRシステムの稼働に必要な文書を公表しています...

Global CBPR Forum

・2024.04.30 Global CBPR Forum Announces the Establishment of the Global CBPR and Global PRP Systems and Welcomes New Global CAPE Participants

1_20240516023201

Global CBPR Forum Announces the Establishment of the Global CBPR and Global PRP Systems and Welcomes New Global CAPE Participants グローバル CBPR フォーラム、グローバル CBPR およびグローバル PRP システムの設立を発表し、新たなグローバル CAPE 参加者を迎える
Celebrating the second anniversary of its establishment, the Global CBPR Forum (Forum) announces the establishment of the Global CBPR and Global PRP Systems with the appointment of Accountability Agents and the publication of the System documents.  The publication of these documents sets the stage for Accountability Agents to start issuing Global CBPR and Global PRP certifications to interested organizations this summer. グローバル CBPR フォーラム(フォーラム)は、設立 2 周年を迎え、アカウンタビリティ・エージェン トの任命とシステム文書の公表をもって、グローバル CBPR システムとグローバル PRP システムの設立を発表する。 これらの文書の公表は、説明責任代理人がこの夏、関心のある組織に対してグローバルCBPRおよびグローバルPRP認証の発行を開始するための段階を整えるものである。
The Forum has approved the following Accountability Agents to operate in these jurisdictions: フォーラムは、これらの管轄区域で活動する以下の説明責任代理人を承認した:
Japan: Japan Institute for Promotion of Digital Economy and Community ・日本:財団法人日本情報経済社会推進協会
Korea: Korea Internet Security Agency ・韓国  インターネットセキュリティ振興院
Singapore: Infocomm Media Development Authority ・シンガポール:情報・メディア・開発局
Chinese Taipei: Institute for Information Industry ・台湾: 情報産業機構
United StatesBBB National ProgramsNCC GroupSchellmanTRUSTe ・米国 BBB National Programs、NCC Group、Schellman、TRUSTe
Accountability Agents are key partners in the Global CBPR and the Global PRP Systems. They will certify the data protection and privacy policies of interested organizations based on the Global CBPR Program Requirements and Intake Questionnaire and the Global PRP System Program Requirements and Intake Questionnaire which Accountability Agents will use to assess organizations seeking Global CBPR and Global PRP certifications. Interested organizations located in the above-mentioned jurisdictions can contact the relevant Accountability Agents for more information on the certifications.  アカウンタビリティ・エージェントは、グローバルCBPRおよびグローバルPRPシステムの重要なパートナーである。説明責任代理人は、グローバル CBPR およびグローバル PRP の認証を受けようとする組織を評価するために使用するグローバル CBPR プログラム要件およびインテーク質問票、およびグローバル PRP システムプログラム要件およびインテーク質問票に基づいて、関心のある組織のデータ・プライバシー方針を認証する。上記の管轄区域に所在する関心のある組織は、認証の詳細について、関連する説明責任代理人に問い合わせることができる。
PEAs from Bermuda, Dubai and the UK join the Global CAPE バミューダ、ドバイ、英国のPEAがグローバルCAPEに加わる
The Global CBPR Forum is also pleased to announce the participation of Privacy Enforcement Authorities from outside the Asia-Pacific region in the Global Cooperation Arrangement for Privacy Enforcement (CAPE), a multilateral arrangement for PEAs to failitate cross-border enforcement of data protection and privacy laws. グローバルCBPRフォーラムはまた、データ保護およびプライバシー法の国境を越えた執行を促進するためのPEAのための多国間取り決めである、プライバシー執行のためのグローバル協力取り決め(CAPE)に、アジア太平洋地域以外からのプライバシー執行機関が参加したことを発表する。
(A photo taken in celebration of these three authorities’ participation in the Global CAPE, on the occasion of a reception hosted by the US Federal Trade Commission in Washington, D.C., on April 2, 2024) (2024年4月2日、ワシントンD.C.で開催された米国連邦取引委員会主催のレセプションで、これら3当局のグローバルCAPE参加を記念して撮影された写真)。
The Office of the Privacy Commissioner of Bermuda, the Office of the Commissioner of Data Protection of the Dubai International Financial Center Authority, and the UK Information Commissioner’s Office have joined the Global CAPE. Together with PEAs from Canada, Japan, Korea, Mexico, the Philippines, Singapore, Chinese Taipei, and the US, the total number of Global CAPE participants now stands at 27. The full list of Global CAPE participants can be found here. バミューダ・プライバシー・コミッショナー事務所、ドバイ国際金融センター庁データ防御コミッショナー事務所、英国情報コミッショナー事務所がグローバルCAPEに参加した。カナダ、日本、韓国、メキシコ、フィリピン、シンガポール、チャイニーズ・タイペイ、米国のPEAと合わせ、グローバルCAPE参加者は27となった。グローバルCAPE参加者の全リストはこちらで見ることができる。
Coming Soon: 5th Global CBPR Forum Workshop in Tokyo, May 2024 まもなく開催 第5回グローバルCBPRフォーラム・ワークショップ、2024年5月東京で開催
On May 15-17, the Forum will also be welcoming government officials, regulators, and other privacy experts from around the world to its fifth multilateral, multistakeholder workshop in Tokyo, Japan. The workshop is being hosted by the U.S. International Trade Administration (ITA), the Personal Information Protection Commission (PPC), Japan and the Ministry of Economy, Trade and Industry (METI), Japan. If you are interested in learning more, please reach out to CBPRevent@dev.global. 5月15日から17日にかけて、フォーラムは第5回多国間、マルチステークホルダーワークショップを東京で開催し、世界中から政府関係者、規制当局、その他のプライバシー専門家を迎える。このワークショップは、米国国際貿易庁(ITA)、日本の個人情報保護委員会(PPC)、日本の経済産業省(METI)が主催する。ご興味のある方は、CBPRevent@dev.global。

 

この夏からグローバルCBPRとグローバルPRP認証の発行を開始する予定ということですね...

認証機関は、

ということで日本では、一般財団法人日本情報経済社会推進協会 (JIPDEC)  ですね...

JIPDECは、Pマーク制度を運用していますが、合わせて認定機関としても、認証機関としても活動していますね。2024.03.31現在で、17,681事業者がPマークを取得していますね...ということで、順当というかんじですかね...

 

システム文書...

Documents

Global Cross-Border Privacy Rules (CBPR) Declaration グローバル・クロスボーダー・プライバシー・ルール(CBPR)宣言
Global Cross-Border Privacy Rules (CBPR) Framework グローバル・クロスボーダー・プライバシー・ルール(CBPR)フレームワーク
Terms of Reference 参照条件
Template Letter of Intent for Associate Status アソシエート・ステータスの意向表明書のテンプレート
Global Cooperation Arrangement for Privacy Enforcement (CAPE) プライバシー執行のためのグローバル協力取り決め(CAPE)
Template Letter of Intent for Global CAPE グローバルCAPEに関する意向表明書の雛形
Global CBPR and Global PRP Systems Policies, Rules, and Guidelines グローバルCBPRおよびグローバルPRPシステムの方針、規則、ガイドライン
Global CBPR Forum Accountability Agent Application グローバル CBPR フォーラム説明責任代理人申請書
Global CBPR System Program Requirements グローバル CBPR システムプログラム要件
Global CBPR System Program Requirements Map グローバル CBPR システムプログラム要件マップ
Global PRP System Program Requirements グローバル PRP システムプログラム要件
Global PRP System Program Requirements Map グローバル PRP システムプログラム要件マップ
Global CBPR System Intake Questionnaire グローバル CBPR システム・インテーク・アンケート
Global PRP System Intake Questionnaire グローバル PRP システムに関する質問票

 

このことは、2024.05.07に個人情報保護委員会、経済産業省とも発表していますね...

 

個人情報保護委員会

・2024.05.07 グローバルCBPRシステムの稼働に向けた文書等の公表について

 

経済産業省

・2027.05.07 グローバル越境プライバシールール(CBPR)システムの稼働に向けて文書(ポリシー、ルール及びガイドライン等)を公表しました

 


2024.05.25追加

● JIPDEC

・2024.05.24 JIPDECがグローバル CBPRシステムの認証機関として承認されました

 


 


 

まるちゃんの情報セキュリティ気まれ日記

・2023.07.17 英国 CBPRフォーラムのアソシエイトになる (2023.07.06)

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

・2022.04.23 米国 フィリピン シンガポール 台湾 グローバル越境プライバシールール(CBPR)フォーラム設立関連...

・2022.04.22 個人情報保護委員会 経済産業省 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言

・2016.07.14 経済産業省 越境データフローに係る制度等の調査研究の報告書

 



 

 

| | Comments (0)

2024.05.15

米国 MITRE 連邦政府機関向けの新たなAI実験・プロトタイピング機能を創設 (2024.05.07)

こんにちは、丸山満彦です。

MITREが連邦政府機関向けの新たなAI実験・プロトタイピング機能を創設したようですね...

NVIDIA DGX SuperPOD™だそうです...

 

MITRE

・2024.05.07 MITRE to Establish New AI Experimentation and Prototyping Capability for U.S. Government Agencies

MITRE to Establish New AI Experimentation and Prototyping Capability for U.S. Government Agencies MITRE、米国政府機関向けに新たなAI実験およびプロトタイピング能力を確立する
MITRE Federal AI Sandbox to be Powered by NVIDIA DGX SuperPOD  MITRE Federal AI SandboxはNVIDIA DGX SuperPODを搭載する 
McLean, Va., May 7, 2024 – MITRE is building a new capability intended to give its artificial intelligence (AI) researchers and developers access to a massive increase in computing power. The new capability, MITRE Federal AI Sandbox, will provide better experimentation of next generation AI-enabled applications for the federal government. The Federal AI Sandbox is expected to be operational by year’s end and will be powered by an NVIDIA DGX SuperPOD™ that enables accelerated infrastructure scale and performance for AI enterprise work and machine learning. ヴァージニア州マクリーン、2024年5月7日 - MITREは、人工知能(AI)の研究者と開発者が膨大なコンピューティング・パワーを利用できるようにすることを目的とした新機能を構築している。この新機能「MITRE Federal AI Sandbox」は、連邦政府向けの次世代AI対応アプリケーションの実験を改善する。連邦AIサンドボックスは年内に運用を開始する予定で、AIエンタープライズ業務と機械学習のためのインフラ規模の拡大と性能の加速を可能にするNVIDIA DGX SuperPOD™を搭載する。
As U.S. government agencies seek to apply AI across their operations, few have adequate access to supercomputers and the deep expertise required to operate the technology and test potential applications on secure infrastructure.  米国政府機関が業務全体にAIを適用しようとしている中、スーパーコンピュータへの十分なアクセスや、安全なインフラ上で技術を運用し、潜在的なアプリケーションをテストするのに必要な深い専門知識を持っているところはほとんどない。
"The recent executive order on AI encourages federal agencies to reduce barriers for AI adoptions, but agencies often lack the computing environment necessary for experimentation and prototyping," says Charles Clancy, MITRE, senior vice president and chief technology officer. "Our new Federal AI Sandbox will help level the playing field, making the high-quality compute power needed to train and test custom AI solutions available to any agency ."  MITREのチャールズ・クランシー上級副社長兼最高技術責任者(CTO)は次のように述べている。「AIに関する最近の大統領令は、連邦政府機関に対してAI導入の障壁を減らすよう促しているが、政府機関には実験やプロトタイピングに必要なコンピューティング環境がないことが多い。我々の新しいFederal AI Sandboxは、カスタムAIソリューションの訓練とテストに必要な高品質の計算能力をどのような機関でも利用できるようにし、競争の場を平準化するのに役立つだろう。」
MITRE will apply the Federal AI Sandbox to its work for federal agencies in areas including national security, healthcare, transportation, and climate. Agencies can gain access to the benefits of the Federal AI Sandbox through existing contracts with any of the six federally funded research and development centers MITRE operates. MITREは連邦AIサンドボックスを、国家安全保障、ヘルスケア、交通、気候などの分野で連邦政府機関向けの業務に適用する。各省庁は、MITREが運営する6つの連邦政府出資の研究開発センターとの既存の契約を通じて、Federal AI Sandboxの恩恵にアクセスすることができる。
Sandbox capabilities offer computing power to train cutting edge AI applications for government use including large language models (LLMs) and other generative AI tools. It can also be used to train multimodal perception systems that can understand and process information from multiple types of data at once such as images, audio, text, radar, and environmental or medical sensors, and reinforcement learning decision aids that learn by trial and error to help humans make better decisions. サンドボックスの機能は、大規模言語モデル(LLM)やその他の生成的AIツールを含む、政府用の最先端AIアプリケーションを訓練するためのコンピューティングパワーを提供する。また、画像、音声、テキスト、レーダー、環境・医療センサーなど、複数の種類のデータからの情報を一度に理解・処理できるマルチモーダル知覚システムや、人間がより良い意思決定を行えるよう試行錯誤しながら学習する強化学習意思決定支援システムの訓練にも利用できる。
"MITRE’s purchase of a DGX SuperPOD to assist the federal government in its development of AI initiatives will turbocharge the U.S. federal government’s efforts to leverage the power of AI," says Anthony Robbins, vice president of public sector, NVIDIA. "AI has enormous potential to improve government services for citizens and solve big challenges, like transportation and cyber security."  NVIDIAの公共部門担当副社長であるアンソニー・ロビンズ氏は、次のように述べている。「MITREがDGX SuperPODを購入し、連邦政府のAIイニシアチブの開発を支援することで、AIのパワーを活用するための米国連邦政府の取り組みが加速するでしょう。AIは、市民のための政府サービスを改善し、交通やサイバーセキュリティのような大きな課題を解決する大きな可能性を秘めている。」
The NVIDIA DGX SuperPOD powering the sandbox is capable of an exaFLOP of performance to train and deploy custom LLMs and other AI solutions at scale. サンドボックスを駆動するNVIDIA DGX SuperPODは、カスタムLLMやその他のAIソリューションを大規模に訓練・展開するために、エクサFLOPの性能を発揮する。

 

・2024.05.07 Federal AI Sandbox

Federal AI Sandbox 連邦AIサンドボックス
To realize the incredible potential of AI within the federal government, a secure sandbox environment with significant computational power is needed for prototyping, training, and testing complex AI model 連邦政府内でAIの驚異的な可能性を実現するためには、複雑なAIモデルのプロトタイピング、トレーニング、テストのために、大きな計算能力を備えたセキュアなサンドボックス環境が必要である。
AI has the potential to drive transformational advances in fields including healthcare, cybersecurity, transportation, finance, climate, and national security—but to harness this impact the nation must accelerate safe and secure prototyping of new AI solutions built around government datasets. AIは、ヘルスケア、サイバーセキュリティ、交通、金融、気候、国家安全保障などの分野で変革をもたらす可能性を秘めているが、このインパクトを活用するためには、政府は政府のデータセットを基に構築された新しいAIソリューションの安全かつセキュアなプロトタイピングを加速させなければならない。
MITRE’s new flagship AI supercomputer will streamline and expand government access to the high-end computing that drives modern AI. An AI supercomputer at this scale is ideal for training new, government-specific large frontier AI models, including LLMs, other generative AI, machine vision and multimodal perception systems, and reinforcement learning decision aids. MITREの新しいフラッグシップAIスーパーコンピューターは、最新のAIを推進するハイエンド・コンピューティングへの政府アクセスを合理化し、拡大する。この規模のAIスーパーコンピューターは、LLM、その他の生成的AI、マシンビジョン、マルチモーダル知覚システム、強化学習意思決定支援など、政府固有の新しい大規模フロンティアAIモデルのトレーニングに最適である。

 

 

・[PDF

20240515-04359

 

 

MITRE is investing in a massive AI supercomputer to power a new federal AI sandbox.  MITREは、連邦政府の新しいAIサンドボックスを動かすために、巨大なAIスーパーコンピューターに投資している。
AI has the potential to drive transformational advances in fields like healthcare, cybersecurity, transportation, finance, climate, and national security—but to harness this impact the nation must accelerate safe and secure prototyping of new AI solutions built around government datasets.  AIは、ヘルスケア、サイバーセキュリティ、交通、金融、気候、国家安全保障などの分野で変革をもたらす可能性を秘めているが、この影響力を活用するためには、政府は政府のデータセットを基に構築された新しいAIソリューションの安全かつセキュアなプロトタイピングを加速させなければならない。
Today, few federal agencies have adequate access to large-scale computing infrastructure. This situation inhibits public sector innovation by limiting the creation and evaluation of customized AI tools like large language models (LLMs) similar to ChatGPT. MITRE’s new flagship AI supercomputer will streamline and expand government access to the high-end computing that drives modern AI. The NVIDIA DGX SuperPOD system powering the sandbox is capable of an exaFLOP of 8-bit AI compute, meaning it performs a quintillion math operations each second to train and deploy custom LLMs and other AI solutions at scale.  今日、大規模なコンピューティング・インフラに十分アクセスできる連邦機関はほとんどない。この状況は、ChatGPTのような大規模言語モデル(LLM)のようなカスタマイズされたAIツールの作成と評価を制限することで、公共部門のイノベーションを阻害している。MITREの新しいフラッグシップAIスーパーコンピュータは、最新のAIを駆動するハイエンドコンピューティングへの政府アクセスを合理化し、拡大する。サンドボックスを駆動するNVIDIA DGX SuperPODシステムは、8ビットAIコンピュートのエクサFLOPが可能であり、これはカスタムLLMやその他のAIソリューションを大規模に訓練・展開するために、毎秒5億回の数学演算を実行することを意味する。
Federal agencies can gain access to the benefits of MITRE’s AI sandbox through existing contracts with any of the six federally funded research and development centers that MITRE operates. The sandbox, which launches in late 2024, will substantially augment MITRE’s AI Platform—increasing compute power by two orders of magnitude.  連邦政府機関は、MITREが運営する6つの連邦政府出資の研究開発センターとの既存の契約を通じて、MITREのAIサンドボックスのメリットを利用できる。2024年後半に開始されるサンドボックスは、MITREのAIプラットフォームを大幅に増強し、計算能力を2桁増加させる。
An AI supercomputer at this scale is ideal for training new, government-specific large frontier AI models, including LLMs, other generative AI, machine vision and multimodal perception systems, and reinforcement learning decision aids. MITRE continues to invest in innovation and resources that enable our experts, often in collaboration with government, industry, and academia, to solve complex problems in the public interest. この規模のAIスーパーコンピューターは、LLM、その他の生成的AI、マシンビジョン、マルチモーダル知覚システム、強化学習意思決定支援など、政府固有の新しい大規模フロンティアAIモデルのトレーニングに最適である。MITREは、我々の専門家が政府、産業界、学界としばしば協力し、公共の利益のために複雑な問題を解決することを可能にするイノベーションとリソースへの投資を続けている。
To realize the incredible potential of AI within the federal government, a secure sandbox environment with significant computational power is needed for prototyping, training, and testing complex AI models. 連邦政府内でAIの驚異的な可能性を実現するためには、複雑なAIモデルのプロトタイピング、トレーニング、テストのために、大きな計算能力を持つ安全なサンドボックス環境が必要である。

 

 

| | Comments (0)

2024.05.14

米国 CISA テクノロジー企業68社がセキュア・バイ・デザインの誓約をしたと発表していますね...(2024.05.08)

こんにちは、丸山満彦です。

米国のCISAが、テクノロジー企業68社がセキュア・バイ・デザインの誓約をしたと発表していますね...

68社ですから、私がしっている主要なテクノロジー企業は全て入っているのではないかと思います...

 

Cybersecurity & Infrstracture Security Agency; CISA

プレス...

・2024.05.08 CISA Announces Secure by Design Commitments from Leading Technology Providers

 

CISA Announces Secure by Design Commitments from Leading Technology Providers CISA、大手技術プロバイダによるセキュア・バイ・デザインの誓約を発表
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) announced voluntary commitments by 68 of the world’s leading software manufacturers to CISA’s Secure by Design pledge to design products with greater security built in. ワシントン - 本日、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、世界有数のソフトウェア製造事業者 68 社が、CISA の「セキュア・バイ・デザイン(Secure by Design)」誓約に自発的に取り組み、より高いセキュリティを組み込んだ製品を設計することを発表した。
“More secure software is our best hope to protect against the seemingly never-ending scourge of cyberattacks facing our nation. I am glad to see leading software manufacturers recognize this by joining us at CISA to build a future that is more secure by design,” CISA Director Jen Easterly said. “I applaud the companies who have already signed our pledge for their leadership and call on all software manufacturers to take the pledge and join us in creating a world where technology is safe and secure right out of the box.” CISAのディレクターであるジェン・イースタリー氏は、 次のように述べた。「より安全なソフトウェアは、わが国が直面しているサイバー攻撃の終わりがないように見える惨劇から身を守るための最良の希望である。主要なソフトウェア製造事業者が、設計によってより安全な未来を築くためにCISAに参加し、このことを認識していることをうれしく思う。「すでに誓約書に署名した企業のリーダーシップに拍手を送るとともに、すべてのソフトウェア製造事業者が誓約書に署名し、箱から出してすぐに技術が安全でセキュアな世界を実現するために、われわれと一緒に参加するよう呼びかける」。
A list of the 68 companies, including leading software manufacturers, participating in the pledge can be found at the Secure by Design Pledge page, and statements of support for the pledge can be read here. この誓約に参加している大手ソフトウェアメーカーを含む68社のリストは、Secure by Design Pledgeのページで見ることができる。
By catalyzing action by some of the largest technology manufacturers, the Secure by Design pledge marks a major milestone in CISA’s Secure by Design initiative. Participating software manufacturers are pledging to work over the next year to demonstrate measurable progress towards seven concrete goals. Collectively, these commitments will help protect Americans by securing the technology that our critical infrastructure relies on. セキュア・バイ・デザイン誓約は、CISAのセキュア・バイ・デザイン・イニシアチブの重要なマイルストーンとなる。参加するソフトウェア製造事業者は、7つの具体的な目標に向けて測定可能な進捗を実証するため、今後1年間取り組むことを誓約している。これらの誓約をまとめることで、重要なインフラが依存する技術を保護し、米国人を守ることができる。
“A more secure by design future is indeed possible. The items in the pledge directly address some of the most pervasive cybersecurity threats we at CISA see today, and by taking the pledge software manufacturers are helping raise our national cybersecurity baseline,” CISA Senior Technical Advisor Jack Cable said. “Every software manufacturer should recognize that they have a responsibility to protect their customers, contributing to our national and economic security. I appreciate the leadership of those who signed on and hope that every technology manufacturer will follow suit.” CISA上級技術顧問のジャック・ケーブル氏は、 次のように述べた。「より安全な設計による未来は確かに可能である。この誓約書の項目は、CISAが今日目にしている最も広範なサイバーセキュリティの脅威のいくつかに直接対処するものであり、ソフトウェア製造事業者は、この誓約書に署名することで、国のサイバーセキュリティの基準値を引き上げる手助けをすることになる。すべてのソフトウェア製造事業者は、自社の顧客を保護し、国家と経済の安全保障に貢献する責任があることを認識すべきである。私は、署名した人々のリーダーシップに感謝するとともに、すべての技術製造者がこれに続くことを望んでいる。」
The seven goals of the pledge are: 誓約の7つの目標は以下の通りである:
Multi-factor authentication (MFA). Within one year of signing the pledge, demonstrate actions taken to measurably increase the use of multi-factor authentication across the manufacturer’s products. 多要素認証(MFA):多要素認証(MFA)。誓約書に署名してから1年以内に、製造事業者の製品全体で多要素認証の利用を測定可能なほど増やすための行動を実証する。
Default passwords. Within one year of signing the pledge, demonstrate measurable progress towards reducing default passwords across the manufacturers’ products. デフォルトパスワード:誓約書に署名してから 1 年以内に、製造事業者全体でデフォルトパスワードの削減に向けて測定可能な進捗を示す。
Reducing entire classes of vulnerability. Within one year of signing the pledge, demonstrate actions taken towards enabling a significant measurable reduction in the prevalence of one or more vulnerability classes across the manufacturer’s products. 脆弱性のクラス全体の削減:誓約書署名から1年以内に、製造事業者製品全体で1つ以上の脆弱性クラスの普及を測定可能なほど大幅に削減することを可能にするために取られた行動を実証する。
Security patches. Within one year of signing the pledge, demonstrate actions taken to measurably increase the installation of security patches by customers. セキュリティパッチの適用:誓約書署名後 1 年以内に、顧客によるセキュ リティパッチのインストールを測定可能な程 増加させるために取られた行動を示す。
Vulnerability disclosure policy. Within one year of signing the pledge, publish a vulnerability disclosure policy (VDP) that authorizes testing by members of the public on products offered by the manufacturer, commits to not recommending or pursuing legal action against anyone engaging in good faith efforts to follow the VDP, provides a clear channel to report vulnerabilities, and allows for public disclosure of vulnerabilities in line with coordinated vulnerability disclosure best practices and international standards. 脆弱性開示の方針:誓約書に署名してから 1 年以内に、脆弱性開示方針(VDP)を公表する。この方針は、製造事 業者が提供する製品について一般ユーザーによるテストを認可し、VDP に従 う誠実な取り組みを行う者に対して法的措置を推奨または追求しないことを約束し、 脆弱性を報告するための明確なチャネルを提供し、調整された脆弱性開示のベストプラク ティスと国際標準に沿った脆弱性の一般公開を可能にするものである。
CVEs. Within one year of signing the pledge, demonstrate transparency in vulnerability reporting by including accurate Common Weakness Enumeration (CWE) and Common Platform Enumeration (CPE) fields in every Common Vulnerabilities and Exposures (CVE) record for the manufacturer’s products. Additionally, issue CVEs in a timely manner for, at minimum, all critical or high impact vulnerabilities (whether discovered internally or by a third party) that either require actions by a customer to patch or have evidence of active exploitation. CVE:誓約書に署名してから1年以内に、製造事業者の製品に関するすべての共通脆弱性一覧表(Common Weakness Enumeration:CWE)および共通プラットフォーム一覧表(Common Platform Enumeration:CPE)フィールドを、すべての共通脆弱性一覧表(Common Vulnerabilities and Exposures:CVE)に正確に含めることにより、脆弱性報告の透明性を実証する。さらに、顧客によるパッチ適用が必要な、または悪用された形跡がある、重要または影響度の高い脆弱性(社内またはサードパーティによって発見されたものであるかを問わない)については、少なくともすべて適時にCVEを発行すること。
・Evidence of intrusions. Within one year of signing the pledge, demonstrate a measurable increase in the ability for customers to gather evidence of cybersecurity intrusions affecting the manufacturer’s products. 侵入の証拠:誓約書に署名してから1年以内に、製造事業者の製品に影響を及ぼすサイバーセキュリティ侵入の証拠を収集する顧客の能力が測定可能なほど向上していることを実証する。
Each goal has core criteria which manufacturers are committing to work towards, in addition to context and example approaches to achieve the goal and demonstrate measurable progress. To enable a variety of approaches, software manufacturers participating in the pledge have the discretion to decide how best they can meet and demonstrate the core criteria of each goal, but progress should be demonstrated in public. 各目標には、製造事業者が取り組むことを約束する中核的な基準に加え、目標を達成し、測定可能な進捗を実証するための背景やアプローチ例が示されている。多様なアプローチを可能にするため、誓約に参加するソフトウェア製造事業者は、各目標の中核的基準を満たし、実証するための最善の方法を決定する裁量権を有するが、進捗状況は公開の場で実証されるべきである。
CISA’s global Secure by Design initiative, launched last year, implements the White House’s National Cybersecurity Strategy by shifting the cybersecurity burden away from end users and individuals to technology manufacturers who are most able to bear it. CISA urges software manufacturers to review CISA’s Secure by Design guidance and Secure by Design alerts to build security into their products. 昨年開始されたCISAのグローバルな「セキュア・バイ・デザイン」イニシアチブは、サイバーセキュリティの負担をエンドユーザーや個人から、最も負担能力のある技術製造者に移すことで、ホワイトハウスの国家サイバーセキュリティ戦略を実施するものである。CISAは、ソフトウェア製造事業者に対し、CISAのSecure by DesignガイダンスとSecure by Designアラートを確認し、自社製品にセキュリティを組み込むよう促している。

 

1_20240514054301

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

セキュア・バイ・デザイン(セキュリティ・バイ・デザイン)が表題にあるもの...

・2023.10.18 Five Eyes、ドイツ、オランダ、ノルウェー、韓国、イスラエル、日本、シンガポール、チェコ他 セキュア・バイ・デザイン原則の改訂

・2023.09.08 米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす (2023.09.05)

・2023.04.15 CISA他 サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインとセキュリティ・バイ・デフォルトの原則とアプローチ

・2022.06.03 英国 防衛省 セキュア・バイ・デザイン要求

 

 

| | Comments (0)

金融庁 金融審議会「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」

こんにちは、丸山満彦です。

金融庁の「金融審議会」(神田先生や、岩下先生が委員です)の「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」(堀江先生や藤本貴子さんが委員です)により、サステナビリティの開示と保証についての議論が始まっていますが、財務情報以外の保証という観点で非常に興味があります...特に、法制化された保証制度になるのかどうかという点で...

サステナビリティ情報の開示を保証をどのように進めていくのか?という話になっています。

・プライム市場から始めていくべきか、すべての市場で始めるか?

・1年目は開示だけし、2年目から開示についての保証を始めるか?

等が議論されていますね...

また、メリット・デメリットありますが、

義務化するというのであれば、

・プライム市場から始め、準備を整えた上で、開示と保証を同時にするのがよいのだろうと個人的には思います。

 

第1回会合での堀江先生の発表...


【堀江委員】 
   御指名ありがとうございました。環境整備について、ごく簡単に意見を述べさせていただければと思っています。
 企業において相応の手間とコストをかけてサステナビリティ情報を作成、開示する以上、法令等で縛られているから渋々開示を行うという後ろ向きの姿勢ではなくて、国内はもとより、海外からも投資先として選ばれるための前向きの姿勢を持った、そういう開示の姿勢、戦略的な開示といったことについての啓蒙をぜひしていただきたい。法令等で強制されているから、これは開示しないと駄目、あれは開示しないと駄目と、ちょっと表現はよくないんですけども、開示地獄なんて、このようなことにもなりかねない。ですから、これを機会に、うまく企業価値の向上等とも絡めて、開示が適切に行われるような仕組みづくりというものをお考えいただけるとよろしいのではないかと思います。
 もう既に意見としても出ましたが、こういう戦略的な開示の前提として、やはり情報の作成と開示を効果的かつ効率的に行うためには、適切な内部統制の整備とか、ガバナンス体制の整備はもう恐らく不可欠ではないかと思います。
 また、この開示基準の任意適用の期間で、資料の30、31ページ目に出ているところに関してでございますけれども、任意適用の期間の取扱いでございますが、強制適用の準備期間としての位置づけだけではなくて、ほかの委員からも意見が出ておりましたとおり、当面、強制適用から外れる企業に対する適用の促進という視点もとても重要ではないかと思います。
 なお、サステナビリティ情報は、言うまでもなく財務情報と関連づけて利用されるものでありまして、かつ、我が国のサステナビリティの情報の開示基準が国際基準と整合的なものになるということであれば、今後、国際財務報告基準の任意適用の対象拡大にもつながってくるのではないかと考えております。
 以上でございます。


 

企業体全体として、ガバナンス、内部統制の仕組みが重要となるという堀江先生の指摘には頷けるところがございますね...

 

金融庁

金融審議会 - サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ

諮問文...


サステナビリティ情報に係る昨今の国際的な動向や要請を踏まえ、我が国資本市場の一層の機能発揮に向け、投資家が中長期的な企業価値を評価し、建設的な対話を行うに当たって必要となる情報を、信頼性を確保しながら提供できるよう、同情報の開示やこれに対する保証のあり方について検討を行うこと。


 

第2回 2024.05.14 開催通知 資料    
      資料1 事務局説明資料  
      資料2 参考資料  
      資料3 意見書(吉元委員)  
第1回 2024.03.26 開催通知 資料   議事録
      資料1 諮問文  
      資料2 「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」メンバー名簿  
      資料3 事務局説明資料  
      資料4 事務局参考資料  

 

1_20240514050602

 

ちなみに、Big4を含めた監査法人等が会員となっている、「一般社団法人サステナビリティ情報審査協会」(2007年8月15日設立 旧:日本環境情報審査協会)というのがありますね。。。サステナビリティ報告書の保証についての推進等を図っていますね...シンボルマーク制度を運用していますね...

認定した団体による保証の付与は、2022年で165社になっていますね...

 

一般社団法人サステナビリティ情報審査協会 (J-SUS)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

サステナビリティで検索...

・2024.04.06 日本公認会計士協会 サステナビリティ報告・保証業務等に関するIESBA倫理規程改訂公開草案の翻訳

・2024.03.03 日本公認会計士協会 「サステナビリティ報告に対する信頼の構築:早急に求められる統合的内部統制」の翻訳 (2024.02.26)

・2023.12.13 経団連 IAASB公開草案 国際サステナビリティ保証基準 (ISSA) 5000「サステナビリティ保証業務の一般的要求事項」へのコメント (2023.12.01)

・2023.11.22 内部監査人協会 COSO『サステナビリティ報告に係る有効な内部統制(ICSR)の実現』の翻訳 (2023.10.04)

・2023.09.25 日本公認会計士協会 IAASB公開草案 国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」

・2023.06.15 IFAC サステナビリティ報告書の保証 (2023.05.31)

・2021.04.27 欧州委員会 非財務情報開示指令の改正案発表 対象企業が大幅に増加

・2021.04.05 コーポレートガバナンス・コード改訂(案)

・2020.11.26 英国生まれの国際統合報告委員会 (IIRC) と米国生まれのサステナビリティ会計基準審議会 (SASB) が合併に・・・

 

一気に10年以上遡りますが...(記録は残しておくものですね...リンクは切れていますが...)

・2009.03.27 KPMGあずさサステナビリティ株式会社(あずさ監査法人グループ)のCSR報告書に対する独立第三者の審査報告書

・2007.02.23 日興コーディアル 中央青山PwCサスティナビリティ研究所及び新日本監査法人によるサスティナビリティ報告書に対する保証意見

・2005.10.24 環境報告書審査・登録制度が始まる

 

 

| | Comments (0)

2024.05.13

欧州連合 欧州対外活動庁 対外情報操作・干渉(FIMI)に関する国際規範の研究 (2024.04.30)

こんにちは、丸山満彦です。

欧州連合 欧州対外活動庁 (EEAS) が「対外情報操作・干渉(FIMI)に関する国際規範の研究」を公表していますね...

この文書の目的は、FIMIに特化した国際規範の策定に関する提言を行うことであり、規範の内容や策定プロセスも含まれるとのことです。

攻撃元へのハックバックは許されるがそれは、事前に表明を行い、表現・情報の自由やその他の人権に対する制限が合法的なものであることを確認するなど、対抗措置を講じるための他の条件が尊重されている必要があるとのことです...

 

・2024.04.30 Study on International Norms for Foreign Information Manipulation and Interference (FIMI)

 

・[PDF

20240512-165922

・[DOCX][PDF] 仮訳

 

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
INTRODUCTION 序文
THE INTERNATIONAL LEGAL FRAMEWORK APPLICABLE TO FIMI AND OTHER INFORMATION OPERATIONS 第II部 FIMIおよびその他の情報活動に適用される国際的な法的枠組み
II.1 SOVEREIGNTY II.1 主権
II.2 NON-INTERVENTION II.2 不干渉
II.3 DUE DILIGENCE II.3 デュー・ディリジェンス
II.4. INTERNATIONAL HUMAN RIGHTS LAW II.4 国際人権法
II.5 INTERNATIONAL HUMANITARIAN LAW II.5 国際人道法
II.6 STATE RESPONSIBILITY AND COUNTERMEASURES II.6 国の責任と対策
PART III – INTERNATIONAL NORMS AND NORMSETTING PROCESSES FOR CYBER OPERATIONS AND INTERNET GOVERNANCE 第III部 サイバー活動とインターネット・ガバナンスのための国際規範と規範設定プロセス
III.1 THE NORMS OF RESPONSIBLE STATE BEHAVIOUR IN THE ICT ENVIRONMENT III.1 ICT環境における国家の責任ある行動の規範
II.2 THE DRAFT UN CYBERCRIME CONVENTION II.2 国連サイバー犯罪条約ドラフト
III.3 THE NORMS FOR INTERNET GOVERNANCE III.3 インターネット・ガバナンスの規範
III.4 THE TALLINN AND OXFORD PROCESSES III.4 タリンとオックスフォードのプロセス
PART IV - CONCLUSIONS AND RECOMMENDATIONS 第IV部 結論と提言
IV.1 THE SUBSTANCE OF NORMS IV.1 規範の実質
IV.2 NORM-SETTING PROCESSES IV.2 規範設定プロセス
REFERENCES 参考文献

 

エグゼクティブサマリー ...

EXECUTIVE SUMMARY エグゼクティブサマリー
・This research paper is entitled ‘Study on International Norms for Foreign Information Manipulation and Interference (FIMI)’. Its purpose is to offer recommendations on the development of international norms specific to FIMI, including the content of those norms and their development processes.  ・ この研究論文は、「対外情報操作・妨害(FIMI)に関する国際規範の研究」と題するものである。その目的は、FIMIに特化した国際規範の策定に関する提言を行うことであり、その規範の内容や策定プロセスも含まれる。 
・It will do so by drawing on existing rules and principles of international law applicable to FIMI as well as norm-setting processes established in related fields, such as cyberspace.  ・ これは、FIMIに適用される国際法の既存の規則や原則、およびサイバー空間などの関連分野で確立された規範設定プロセスを活用することによって行われる。 
・Prominent norm-setting processes include those established within the auspices of the United Nations (UN) to discuss the use of information and communications technologies (ICTs) in the context of international peace and security and internet governance. ・ 顕著な規範設定プロセスとしては、国際平和と安全保障、インターネット・ガバナンスの文脈における情報通信技術(ICTs)の使用を議論するために、国連(UN)の後援の下で設立されたものがある。
・This study is centred on FIMI. Nevertheless, it concludes that, while operational frameworks developed to tackle FIMI tend to be behaviourcentric, international law applies more broadly to information operations writ large. Different factors are relevant when assessing the lawfulness of FIMI and other information operations under international law, particularly their content, means and methods, effects, actors, and targets. This analysis is in many ways similar to and overlaps with the work has already been carried out by the European External Action Service (EEAS) using the so-called ABCDE framework, which looks at the actor, behaviour, content, degree, effect of FIMI operations.  ・ 本研究は、FIMIに焦点を当てている。とはいえ、FIMIに取り組むために開発された作戦枠組みは行動中心主義になりがちだが、国際法は情報活動全般により広く適用される、と結論付けている。国際法の下でFIMIやその他の情報活動の合法性を評価する際には、特にその内容、手段・方法、効果、行為主体、標的など、さまざまな要素が関係してくる。この分析は、欧州対外活動庁(EEAS)が、情報活動の行為者、行動、内容、程度、効果に注目する、いわゆるABCDEフレームワークを用いてすでに実施してきた作業と多くの点で類似しており、また重複している。 
・To understand the international legal framework applicable to FIMI, it is necessary to consider how international law applies to various types of information operations – not just FIMI. ・ FIMIに適用される国際的な法的枠組みを理解するためには、FIMIに限らず、さまざまな種類の情報活動に国際法がどのように適用されるかを検討する必要がある。
・In line with international law, norms for FIMI should consider not only the means and methods by which these activities are carried out but also their actors, content, targets, effects, and other relevant legal criteria, similarly to the way the EEAS uses the ABCDE framework.  ・ 国際法に沿って、FIMIに関する規範は、EEASがABCDEの枠組みを用いる方法と同様に、これらの活動が実施される手段や方法だけでなく、その主体、内容、対象、効果、その他の関連する法的基準も考慮すべきである。 
・The international legal framework applicable to FIMI is made up of different but related rules and principles applicable to the behaviour of States and non-State actors online and offline; these must be considered holistically. ・ FIMIに適用される国際的な法的枠組みは、国家および非国家主体のオンラインおよびオフラインでの行動に適用される、異なるが関連する規則と原則で構成されている。
・International legal rules and principles applicable to FIMI include sovereignty, non-intervention, due diligence, State responsibility, international human rights law and international humanitarian law.  ・ FIMIに適用される国際法上の規則や原則には、主権、不干渉、デュー・ディリジェンス、国家責任、国際人権法、国際人道法などがある。 
・They overlap to some extent but cover different phenomena and therefore different types of FIMI, based on their particular triggers, thresholds and conditions. ・ これらはある程度重複しているが、異なる現象を対象としており、従って、特定のトリガー、閾値、条件に基づいて、異なるタイプのFIMIを対象としている。
・The human rights to freedom of expression and information, recognised under international human rights law, lie at the heart and centre of the applicable international legal framework and should inform FIMI norms. They require that any limitations on private speech, including lawful or unlawful FIMI activities, be grounded in law, legitimate, necessary, and proportionate. ・ 国際人権法の下で認められている表現と情報の自由に対する人権は、適用される国際法 的枠組みの中心であり核心であり、FIMI規範に反映されるべきである。これらの人権は、合法的または非合法的なFIMI活動を含め、私的言論に対するいかなる制限も、法律に根拠があり、合法的で、必要で、かつ比例的であることを要求している。
・International norms for FIMI should mirror this international legal framework. Drawing on the lessons from the cyber and internet governance contexts, their drafting process should be Stateled, inclusive of as many like-minded States as possible, including developed and developed countries, consensus-based, and informed by the input of different stakeholders, such as the industry, academia, and civil society. ・ 金融商品取引法に関する国際規範は、この国際的な法的枠組みを反映したものでなければならな い。サイバー・ガバナンスやインターネット・ガバナンスの文脈から得られた教訓を踏まえ、その起草プロ セスは、スタテル化され、先進国や先進国を含むできるだけ多くの志を同じくする国々が参加し、コンセンサスに基づき、産業界、学界、市民社会などのさまざまなステークホルダーの意見を反映したものであるべきである。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

FIMI関連...

・2023.02.10 欧州連合 欧州対外行動庁 外国人による情報操作と干渉の脅威に関する報告書

・2022.12.14 ENISA 外国人による情報操作と干渉(FIMI)とサイバーセキュリティ - 脅威状況

 

 

 

| | Comments (0)

2024.05.12

ドイツ 第20回ドイツITセキュリティ会議

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) が、第20回ドイツITセキュリティ会議を2024.05.07-08で開催(バーチャル)し、4週間公開するようですね..

今年のテーマは「サプライチェーンのセキュリティ」と「協力」のようですね...

世界各国でサプライチェーンセキュリティーは言われていますね。そして、焦点は中小企業...これも同じ...

協力(コラボレーション)も米国でも言われていますね。

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.05.07 BSI eröffnet 20. Deutschen IT-Sicherheitskongress: Cybersicherheit gemeinsam erhöhen

 

20. Deutscher IT-Sicherheitskongress

 

そして、公開されているのはこちらから(https://meetyoo.live)。。。(まずは、登録が必要ですが。。。)

ドイツ語ですけどね...

 

プログラムの内容...

開会式

  • クラウディア・プラットナー、連邦情報セキュリティ局総裁
  • マルクス・リヒター、連邦内務・内務省事務次官兼連邦政府情報技術担当委員
  • ユハン・レパサール、欧州連合サイバーセキュリティ機関ENISA事務局長

重要インフラの回復力

  • 鉄道ネットワーク事業者における暗号アジャイルIoT通信
  • 電力網におけるサイバーレジリエンス:OT脆弱性管理の実際
  • 船舶のサイバーセキュリティ - 船橋を試験・開発実験室として利用する

脅威インテリジェンス

  • ウクライナにおけるロシアの攻撃とその影響を分析するためにインターネットスキャンとパッシブ測定を使用する
  • 合法的なインターネットサービスが台頭する中、悪意のあるインフラを積極的に特定する(LIS)。
  • MANTRA - サイバー脅威インテリジェンスの共有、分析、知識モデリングのためのグラフベースの手法とモデル

情報セキュリティの管理

  • Microsoft Power Platformを例とした、クラウドにおけるエンドツーエンドの自動化におけるガバナンスとセキュリティ
  • CSAFverse の開発:ビッグバンから 17 ヶ月半後
  • 情報セキュリティの観点からサービスプロバイダを監査する必要性

安全な通信

  • 最優秀学生賞:プライベート5Gネットワークの認証メカニズムとしてのEAP-TLSの探求
  • あらゆるレベルでのTLSライブラリの組み合わせテスト
  • セキュアなC-ITS通信 - デジタル交通インフラの安全確保への貢献

人工知能/機械学習

  • サイバーセキュリティとIT意識向上のためのAIベースの次世代学習プラットフォーム:適応学習環境とパーソナライゼーションは、IT意識向上トレーニングにおける学習の成功とユーザーエクスペリエンスを向上させることができるか?
  • 組織におけるLLMの信頼できる利用のための実践的ソリューション

パネルディスカッション

  • "サイバーネーション・ドイツ:協力の勝利 "

オープニング

  • フリーデリケ・ダーンス、連邦内務省・内務局長
  • クラウディア・プラットナー、連邦情報セキュリティ局局長
  • ゲルハルト・シャブヒューザー連邦情報セキュリティ局副局長

経済におけるサイバーセキュリティ

  • パブリッククラウドを活用したBCM戦略の実施
  • エネルギープラントにおけるIDSによる攻撃検知-実用化と侵入テスト(現場報告)
  • 最優秀学生賞:属性ベースのアクセス制御(ABAC)を使用した重要インフラにおける安全なIoT通信
  • 使えるセキュリティ - ITセキュリティにおける人的要因
  • 最優秀学生賞:AIが支援するサイバー攻撃に対する従業員の感化

使用可能なセキュリティの設計と評価。ある大学とのBSIプロジェクトからの提言

  • (ワークベース)ヒューマンファクター:破壊的要因としての人間からセキュリティ保証者としての人間へ

サプライチェーンにおけるセキュリティ

  • サプライヤー管理 - 実践と将来への展望
  • 「サプライチェーンにおけるセキュリティ/有効な標的としてのITサービスプロバイダーへの攻撃

物理システム

  • 最優秀学生賞:上空からの脅威: 自由に利用可能なドローンの情報セキュリティにおけるハザード分析
  • 来るべきKRITIS包括法の文脈における物理的侵入テスト:レジリエンスを高めるための試行錯誤のアプローチ
  • ICS/OTセキュリティ:合成とシミュレーションを用いた産業制御ネットワークにおけるStegoMalwareの検出性能の評価と検証

セキュリティ・システムへの信頼

  • エクスカーション「ドイツとヨーロッパにおけるクロスレベルの協力」
  • 認証とアジャイル・モダン・ソフトウェア開発 - 矛盾?
  • 誰に電話する?インシデント対応分野におけるサポートサービスの分類学的比較
  • 私はロボットです、私を信じてください:トラストポイントが工場での信頼をどのように可能にするか

暗号技術の最新動向

  • 単に量子セキュア:Botan暗号ライブラリとポスト量子暗号の統合
  • 金融サービスプロバイダーがポスト量子暗号(PQK)に移行する際の課題
  • 量子セキュアVPNインフラ

賞金授与式・閉会

 

1_20240512054701

 

 

 

 

| | Comments (0)

SNS事業者に対する統制も... 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律が成立

こんにちは、丸山満彦です。

2024.05.10に参議院で、「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案」が、可決されされていますね...

SNSで他人の権利を侵害する情報の流通による被害が深刻化する一方、情報発信のための公共的な基盤としての特定電気通信役務の機能が重要性を増していることを踏まえて、大規模なSNS事業者を大規模特定電気通信役務提供者として指定して、侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図るための義務を課す等の措置を講じようとするものですね...

SNSで自己の権利を侵害された時、申し出をすれば、もう少しましな対応になるのでしょう...

参議院での5月10日の投票結果...(といっても「起立採決により可決されました」としか書いていませんが...)

参議院 - 本会議投票結果

日付 案件名
令和06年5月10日 日程第1 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案(内閣提出、衆議院送付)
日程第2 雇用保険法等の一部を改正する法律案(内閣提出、衆議院送付)
日程第3 防衛省設置法等の一部を改正する法律案(内閣提出、衆議院送付)
日程第4 重要経済安保情報の保護及び活用に関する法律案(内閣提出、衆議院送付)
日程第5 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律の一部を改正する法律案(内閣提出、衆議院送付)

 

法律案の内容はこちらから...

参議院議案情報

提出回次 提出番号 件名
213 34 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案 議案要旨 提出法律案

 

・[PDF] 議案要旨


(総務委員会)

特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案(閣法第三四号)(衆議院送付)要旨

本法律案は、近年、インターネット上のSNS等の特定電気通信役務を利用して行われる他人の権利を侵害する情報の流通による被害が深刻化する一方、情報発信のための公共的な基盤としての特定電気通信役務の機能が重要性を増していることに鑑み、大規模なSNS事業者等を大規模特定電気通信役務提供者として指定し、侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図るための義務を課す等の措置を講じようとするものであり、その主な内容は次のとおりである。

一、 題名を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。

二、 大規模なSNS事業者等を大規模特定電気通信役務提供者として指定する。

三、 侵害情報送信防止措置の実施手続の迅速化として、大規模特定電気通信役務提供者は、SNS等において自己の権利を侵害されたとする者から削除の申出を受け付ける方法を公表し、必要な体制を整備して削除についての調査を行うとともに、一定期間内にその結果等を申出者に通知しなければならないこととする。

四、 送信防止措置の実施状況の透明化として、大規模特定電気通信役務提供者は、削除等の実施に関する基準を定め、公表するとともに、削除等を行ったときは、その旨及びその理由を発信者に通知しなければならないこととする。

五、 この法律は、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。

なお、本法律案については、衆議院において、大規模特定電気通信役務提供者が毎年一回公表しなければならない事項として、送信防止措置の実施状況及び当該実施状況について自ら行った評価を明記する修正が行われた。


 

・[PDF] 提出法律案


第二一三回

閣第三四号

特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案

特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(平成十三年法律第百三十七号)の一部を次のように改正する。

題名を次のように改める。

特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律次中「第四章 発信者情報開示命令事件に関する裁判手続(第八条-第十九条)」を

「 第四章 発信者情報開示命令事件に関する裁判手続(第八条-第十九条)

第五章 大規模特定電気通信役務提供者の義務(第二十条-第三十四条)

第六章 罰則(第三十五条-第三十八条) 」

に改める。

第一条中「侵害」を「侵害等」に、「を定める」を「を定め、あわせて、侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図るための大規模特定電気通信役務提供者の義務について定める」に改める。

第二条中第九号を第十三号とし、第六号から第八号までを四号ずつ繰り下げ、第五号を第六号とし、同号の次に次の三号を加える。

七 侵害情報等 侵害情報、侵害されたとする権利及び権利が侵害されたとする理由をいう。

八 侵害情報送信防止措置 侵害情報の送信を防止する措置をいう。

九 送信防止措置 侵害情報送信防止措置その他の特定電気通信による情報の送信を防止する措置(当該情報の送信を防止するとともに、当該情報の発信者に対する特定電気通信役務の提供を停止する措置(第二十六条第二項第二号において「役務提供停止措置」という。)を含む。)をいう。

第二条中第四号を第五号とし、同条第三号中「(特定電気通信設備を用いて提供する電気通信役務(電気通信事業法第二条第三号に規定する電気通信役務をいう。第五条第二項において同じ。)をいう。同条第三項において同じ。)」を削り、同号を同条第四号とし、同条第二号の次に次の一号を加える。

三 特定電気通信役務 特定電気通信設備を用いて提供する電気通信役務(電気通信事業法第二条第三号に規定する電気通信役務をいう。第五条第二項において同じ。)をいう。

第二条に次の一号を加える。

十四 大規模特定電気通信役務提供者 第二十条第一項の規定により指定された特定電気通信役務提供者をいう。

第三条第二項第二号中「侵害情報、侵害されたとする権利及び権利が侵害されたとする理由(以下この号において「侵害情報等」という。)」を「侵害情報等」に、「侵害情報の送信を防止する措置(以下この号において「送信防止措置」という。)」を「侵害情報送信防止措置」に、「当該侵害情報の」を「当該申出に係る侵害情報の」に、「当該送信防止措置」を「当該侵害情報送信防止措置」に改める。

第十七条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第二条第九号」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律第二条第十三号」に改める。

本則に次の二章を加える。

第五章 大規模特定電気通信役務提供者の義務

(大規模特定電気通信役務提供者の指定)

第二十条 総務大臣は、次の各号のいずれにも該当する特定電気通信役務であって、その利用に係る特定電気通信による情報の流通について侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図る必要性が特に高いと認められるもの(以下「大規模特定電気通信役務」という。)を提供する特定電気通信役務提供者を、大規模特定電気通信役務提供者として指定することができる。

一 当該特定電気通信役務が次のいずれかに該当すること。

イ 当該特定電気通信役務を利用して一月間に発信者となった者(日本国外にあると推定される者を除く。ロにおいて同じ。)及びこれに準ずる者として総務省令で定める者の数の総務省令で定める期間における平均(以下この条及び第二十四条第二項において「平均月間発信者数」という。)が特定電気通信役務の種類に応じて総務省令で定める数を超えること。

ロ 当該特定電気通信役務を利用して一月間に発信者となった者の延べ数の総務省令で定める期間における平均(以下この条及び第二十四条第二項において「平均月間延べ発信者数」という。)が特定電気通信役務の種類に応じて総務省令で定める数を超えること。

二 当該特定電気通信役務の一般的な性質に照らして侵害情報送信防止措置(侵害情報の不特定の者に対する送信を防止するために必要な限度において行われるものに限る。

以下同じ。)を講ずることが技術的に可能であること。

三 当該特定電気通信役務が、その利用に係る特定電気通信による情報の流通によって権利の侵害が発生するおそれの少ない特定電気通信役務として総務省令で定めるもの以外のものであること。

2総務大臣は、大規模特定電気通信役務提供者について前項の規定による指定の理由がなくなったと認めるときは、遅滞なく、その指定を解除しなければならない。

3総務大臣は、第一項の規定による指定及び前項の規定による指定の解除に必要な限度において、総務省令で定めるところにより、特定電気通信役務提供者に対し、その提供する特定電気通信役務の平均月間発信者数及び平均月間延べ発信者数を報告させることができる。

4総務大臣は、前項の規定による報告の徴収によっては特定電気通信役務提供者の提供する特定電気通信役務の平均月間発信者数又は平均月間延べ発信者数を把握することが困難であると認めるときは、当該平均月間発信者数又は平均月間延べ発信者数を総務省令で定める合理的な方法により推計して、第一項の規定による指定及び第二項の規定による指定の解除を行うことができる。

(大規模特定電気通信役務提供者による届出)

第二十一条 大規模特定電気通信役務提供者は、前条第一項の規定による指定を受けた日から三月以内に、総務省令で定めるところにより、次に掲げる事項を総務大臣に届け出なければならない。

一 氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

二 外国の法人若しくは団体又は外国に住所を有する個人にあっては、国内における代表者又は国内における代理人の氏名又は名称及び国内の住所

三 前二号に掲げる事項のほか、総務省令で定める事項

2 大規模特定電気通信役務提供者は、前項各号に掲げる事項に変更があったときは、遅滞なく、その旨を総務大臣に届け出なければならない。

(被侵害者からの申出を受け付ける方法の公表)

第二十二条 大規模特定電気通信役務提供者(前条第一項の規定による届出をした者に限る。以下同じ。)は、総務省令で定めるところにより、その提供する大規模特定電気通信役務を利用して行われる特定電気通信による情報の流通によって自己の権利を侵害されたとする者(次条において「被侵害者」という。)が侵害情報等を示して当該大規模特定電気通信役務提供者に対し侵害情報送信防止措置を講ずるよう申出を行うための方法を定め、これを公表しなければならない。

2 前項の方法は、次の各号のいずれにも適合するものでなければならない。

一 電子情報処理組織を使用する方法による申出を行うことができるものであること。

二 申出を行おうとする者に過重な負担を課するものでないこと。

三 当該大規模特定電気通信役務提供者が申出を受けた日時が当該申出を行った者(第二十五条において「申出者」という。)に明らかとなるものであること。

(侵害情報に係る調査の実施)

第二十三条 大規模特定電気通信役務提供者は、被侵害者から前条第一項の方法に従って侵害情報送信防止措置を講ずるよう申出があったときは、当該申出に係る侵害情報の流通によって当該被侵害者の権利が不当に侵害されているかどうかについて、遅滞なく必要な調査を行わなければならない。

(侵害情報調査専門員)

第二十四条 大規模特定電気通信役務提供者は、前条の調査のうち専門的な知識経験を必要とするものを適正に行わせるため、特定電気通信による情報の流通によって発生する権利侵害への対処に関して十分な知識経験を有する者のうちから、侵害情報調査専門員(以下この条及び次条第二項第二号において「専門員」という。)を選任しなければならない。

2大規模特定電気通信役務提供者の専門員の数は、当該大規模特定電気通信役務提供者の提供する大規模特定電気通信役務の平均月間発信者数又は平均月間延べ発信者数及び種別に応じて総務省令で定める数(当該大規模特定電気通信役務提供者が複数の大規模特定電気通信役務を提供している場合にあっては、それぞれの大規模特定電気通信役務の平均月間発信者数又は平均月間延べ発信者数及び種別に応じて総務省令で定める数を合算した数)以上でなければならない。

3大規模特定電気通信役務提供者は、専門員を選任したときは、総務省令で定めるところにより、遅滞なく、その旨及び総務省令で定める事項を総務大臣に届け出なければならない。これらを変更したときも、同様とする。

(申出者に対する通知)

第二十五条 大規模特定電気通信役務提供者は、第二十三条の申出があったときは、同条の調査の結果に基づき侵害情報送信防止措置を講ずるかどうかを判断し、当該申出を受けた日から十四日以内の総務省令で定める期間内に、次の各号に掲げる区分に応じ、当該各号に定める事項を申出者に通知しなければならない。ただし、申出者から過去に同一の内容の申出が行われていたときその他の通知しないことについて正当な理由があるときは、この限りでない。

一 当該申出に応じて侵害情報送信防止措置を講じたとき その旨

二 当該申出に応じた侵害情報送信防止措置を講じなかったとき その旨及びその理由

2 前項本文の規定にかかわらず、大規模特定電気通信役務提供者は、次の各号のいずれかに該当するときは、第二十三条の調査の結果に基づき侵害情報送信防止措置を講ずるかどうかを判断した後、遅滞なく、同項各号に掲げる区分に応じ、当該各号に定める事項を申出者に通知すれば足りる。この場合においては、同項の総務省令で定める期間内に、次の各号のいずれに該当するか(第三号に該当する場合にあっては、その旨及びやむを得ない理由の内容)を申出者に通知しなければならない。

一 第二十三条の調査のため侵害情報の発信者の意見を聴くこととしたとき。

二 第二十三条の調査を専門員に行わせることとしたとき。

三 前二号に掲げる場合のほか、やむを得ない理由があるとき。

(送信防止措置の実施に関する基準等の公表)

第二十六条 大規模特定電気通信役務提供者は、その提供する大規模特定電気通信役務を利用して行われる特定電気通信による情報の流通については、次の各号のいずれかに該当する場合のほか、自ら定め、公表している基準に従う場合に限り、送信防止措置を講ずることができる。この場合において、当該基準は、当該送信防止措置を講ずる日の総務省令で定める一定の期間前までに公表されていなければならない。

一 当該大規模特定電気通信役務提供者が送信防止措置を講じようとする情報の発信者であるとき。

二 他人の権利を不当に侵害する情報の送信を防止する義務がある場合その他送信防止措置を講ずる法令上の義務(努力義務を除く。)がある場合において、当該義務に基づき送信防止措置を講ずるとき。

三 緊急の必要により送信防止措置を講ずる場合であって、当該送信防止措置を講ずる情報の種類が、通常予測することができないものであるため、当該基準における送信防止措置の対象として明示されていないとき。

2大規模特定電気通信役務提供者は、前項の基準を定めるに当たっては、当該基準の内容が次の各号のいずれにも適合したものとなるよう努めなければならない。

一 送信防止措置の対象となる情報の種類が、当該大規模特定電気通信役務提供者が当該情報の流通を知ることとなった原因の別に応じて、できる限り具体的に定められていること。

二 役務提供停止措置を講ずることがある場合においては、役務提供停止措置の実施に関する基準ができる限り具体的に定められていること。

三 発信者その他の関係者が容易に理解することのできる表現を用いて記載されていること。

四 送信防止措置の実施に関する努力義務を定める法令との整合性に配慮されていること。

3大規模特定電気通信役務提供者は、第一項第三号に該当することを理由に送信防止措置を講じたときは、速やかに、当該送信防止措置を講じた情報の種類が送信防止措置の対象となることが明らかになるよう同項の基準を変更しなければならない。

4第一項の基準を公表している大規模特定電気通信役務提供者は、おおむね一年に一回、当該基準に従って送信防止措置を講じた情報の事例のうち発信者その他の関係者に参考となるべきものを情報の種類ごとに整理した資料を作成し、公表するよう努めなければならない。

(発信者に対する通知等の措置)

第二十七条 大規模特定電気通信役務提供者は、その提供する大規模特定電気通信役務を利用して行われる特定電気通信による情報の流通について送信防止措置を講じたときは、次の各号のいずれかに該当する場合を除き、遅滞なく、その旨及びその理由を当該送信防止措置により送信を防止された情報の発信者に通知し、又は当該情報の発信者が容易に知り得る状態に置く措置(第二号及び次条第三号において「通知等の措置」という。)を講じなければならない。この場合において、当該送信防止措置が前条第一項の基準に従って講じられたものであるときは、当該理由において、当該送信防止措置と当該基準との関係を明らかにしなければならない。

一 当該大規模特定電気通信役務提供者が送信防止措置を講じた情報の発信者であるとき。

二 過去に同一の発信者に対して同様の情報の送信を同様の理由により防止したことについて通知等の措置を講じていたときその他の通知等の措置を講じないことについて正当な理由があるとき。

(措置の実施状況等の公表)

第二十八条 大規模特定電気通信役務提供者は、毎年一回、総務省令で定めるところにより、次に掲げる事項を公表しなければならない。

一 第二十三条の申出の受付の状況

二 第二十五条の規定による通知の実施状況

三 三 前条の規定による通知等の措置の実施状況

四 前三号に掲げる事項のほか、大規模特定電気通信役務提供者がこの章の規定に基づき講ずべき措置の実施状況を明らかにするために必要な事項として総務省令で定める事項

(報告の徴収)

第二十九条 総務大臣は、第二十二条、第二十四条、第二十五条、第二十六条第一項若しくは第三項、第二十七条又は前条の規定の施行に必要な限度において、大規模特定電気通信役務提供者に対し、その業務に関し報告をさせることができる。

(勧告及び命令)

第三十条 総務大臣は、大規模特定電気通信役務提供者が第二十二条、第二十四条、第二十五条、第二十六条第一項若しくは第三項、第二十七条又は第二十八条の規定に違反していると認めるときは、当該大規模特定電気通信役務提供者に対し、その違反を是正するために必要な措置を講ずべきことを勧告することができる。

2 総務大臣は、前項の規定による勧告を受けた大規模特定電気通信役務提供者が、正当な理由がなく当該勧告に係る措置を講じなかったときは、当該大規模特定電気通信役務提供者に対し、当該勧告に係る措置を講ずべきことを命ずることができる。

(送達すべき書類)

第三十一条 第二十条第一項の規定による指定、第二十九条の規定による報告の徴収、前条第一項の規定による勧告又は同条第二項の規定による命令は、総務省令で定める書類を送達して行う。

2 第二十条第一項の規定による指定又は前条第二項の規定による命令に係る行政手続法

(平成五年法律第八十八号)第三十条の規定による通知は、同条の書類を送達して行う。

この場合において、同法第三十一条において読み替えて準用する同法第十五条第三項の規定は適用しない。

(送達に関する民事訴訟法の準用)

第三十二条 前条の規定による送達については、民事訴訟法第九十九条、第百一条、第百三条、第百五条、第百六条、第百八条及び第百九条の規定を準用する。この場合において、同法第九十九条第一項中「執行官」とあるのは「総務大臣の職員」と、同法第百八条中「裁判長」とあり、及び同法第百九条中「裁判所」とあるのは「総務大臣」と読み替えるものとする。

(公示送達)

第三十三条 総務大臣は、次に掲げる場合には、公示送達をすることができる。

一 送達を受けるべき者の住所、居所その他送達をすべき場所が知れない場合

二 外国においてすべき送達について、前条において読み替えて準用する民事訴訟法第百八条の規定によることができず、又はこれによっても送達をすることができないと認めるべき場合

三 前条において読み替えて準用する民事訴訟法第百八条の規定により外国の管轄官庁に嘱託を発した後六月を経過してもその送達を証する書面の送付がない場合

2公示送達は、送達をすべき書類を送達を受けるべき者にいつでも交付すべき旨を総務省令で定める方法により不特定多数の者が閲覧することができる状態に置くとともに、その旨が記載された書面を総務省の掲示場に掲示し、又はその旨を総務省の事務所に設置した電子計算機の映像面に表示したものの閲覧をすることができる状態に置く措置をとることにより行う。

3公示送達は、前項の規定による措置を開始した日から二週間を経過することによって、その効力を生ずる。

4外国においてすべき送達についてした公示送達にあっては、前項の期間は、六週間とする。

(電子情報処理組織の使用)

第三十四条 総務大臣の職員が、情報通信技術を活用した行政の推進等に関する法律(平成十四年法律第百五十一号)第三条第九号に規定する処分通知等であって第三十一条の規定により書類を送達して行うこととしているものに関する事務を、同法第七条第一項の規定により同法第六条第一項に規定する電子情報処理組織を使用して行ったときは、第三十二条において読み替えて準用する民事訴訟法第百九条の規定による送達に関する事項を記載した書面の作成及び提出に代えて、当該事項を当該電子情報処理組織を使用して総務大臣の使用に係る電子計算機(入出力装置を含む。)に備えられたファイルに記録しなければならない。

第六章 罰則

第三十五条 第三十条第二項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の拘禁刑又は百万円以下の罰金に処する。

第三十六条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、五十万円以下の罰金に処する。

一 第二十一条の規定による届出をせず、又は虚偽の届出をしたとき。

二 第二十九条の規定による報告をせず、又は虚偽の報告をしたとき。

第三十七条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関し、次の各号に掲げる規定の違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。

一 第三十五条又は前条第一号 一億円以下の罰金刑

二 前条第二号 同条の罰金刑

第三十八条 次の各号のいずれかに該当する者は、三十万円以下の過料に処する。

一 正当な理由がなく、第二十条第三項の規定による報告をせず、又は虚偽の報告をした者二 第二十四条第三項の規定による届出をせず、又は虚偽の届出をした者

附 則

(施行期日)

第一条 この法律は、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。

(検討)

第二条 政府は、この法律の施行後五年を経過した場合において、この法律による改正後の規定の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。

(経過措置)

第三条 この法律の施行の日からデジタル社会の形成を図るための規制改革を推進するためのデジタル社会形成基本法等の一部を改正する法律(令和五年法律第六十三号)附則第一条第二号に掲げる規定の施行の日(以下この条において「デジタル社会形成基本法施行日」という。)の前日までの間におけるこの法律による改正後の特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律(次条において「新法」という。)第三十三条の規定の適用については、同条第二項中「旨を総務省令で定める方法により不特定多数の者が閲覧することができる状態に置くとともに、その旨が記載された書面を」とあるのは「旨を」と、「掲示し、又はその旨を総務省の事務所に設置した電子計算機の映像面に表示したものの閲覧をすることができる状態に置く措置をとる」とあるのは「掲示する」と、同条第三項中「措置を開始した」とあるのは「掲示を始めた」とする。デジタル社会形成基本法施行日以後におけるデジタル社会形成基本法施行日前にした公示送達に対する同条の規定の適用についても、同様とする。

(調整規定)

第四条 この法律の施行の日が刑法等の一部を改正する法律(令和四年法律第六十七号)の施行の日(以下この条において「刑法施行日」という。)前である場合には、この法律の施行の日から刑法施行日の前日までの間における新法第三十五条の規定の適用については、同条中「拘禁刑」とあるのは、「懲役」とする。刑法施行日以後における刑法施行日前にした行為に対する同条の規定の適用についても、同様とする。

(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律の一部改正)

第五条 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和三十五年法律第百四十五号)の一部を次のように改正する。

第七十二条の五第二項中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に、「第二条第三号」を「第二条第四号」に改める。

第七十二条の六中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第二条第四号」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律第二条第五号」に改める。

(いじめ防止対策推進法の一部改正)

第六条 いじめ防止対策推進法(平成二十五年法律第七十一号)の一部を次のように改正する。

第十九条第三項中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に、「第二条第六号」を「第二条第十号」に改める。

(私事性的画像記録の提供等による被害の防止に関する法律の一部改正)

第七条 私事性的画像記録の提供等による被害の防止に関する法律(平成二十六年法律第百二十六号)の一部を次のように改正する。

第一条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。

第四条の見出しを「(特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の特例)」に改め、同条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に、「第二条第三号」を「第二条第四号」に、「第二条第四号」を「第二条第五号」に改める。

(民事訴訟法等の一部を改正する法律の一部改正)

第八条 民事訴訟法等の一部を改正する法律(令和四年法律第四十八号)の一部を次のように改正する。

附則第九十一条の前の見出しを削り、同条を次のように改める。

第九十一条 削除

附則第九十二条に見出しとして「(特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正)」を付し、同条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律(平成十三年法律第百三十七号)」に改め、特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十七条の改正規定の次に次のように加える。

第三十二条中「第九十九条、第百一条」を「第百条第一項、第百一条、第百二条の二」に、「、第百八条及び第百九条」を「及び第百八条」に改め、同条後段を次のように改める。

この場合において、同項中「裁判所」とあり、及び同条中「裁判長」とあるのは「総務大臣」と、同法第百一条第一項中「執行官」とあるのは「総務大臣の職員」と読み替えるものとする。

第三十四条中「第百九条」を「第百条第一項」に改める。

(性をめぐる個人の尊厳が重んぜられる社会の形成に資するために性行為映像制作物への出演に係る被害の防止を図り及び出演者の救済に資するための出演契約等に関する特則等に関する法律の一部改正)

第九条 性をめぐる個人の尊厳が重んぜられる社会の形成に資するために性行為映像制作物への出演に係る被害の防止を図り及び出演者の救済に資するための出演契約等に関する特則等に関する法律(令和四年法律第七十八号)の一部を次のように改正する。

目次、第一条及び第三章の章名中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。

第十六条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に、「第二条第三号」を「第二条第四号」に、「第二条第四号」を「第二条第五号」に改める。

(民事関係手続等における情報通信技術の活用等の推進を図るための関係法律の整備に関する法律の一部改正)

第十条 民事関係手続等における情報通信技術の活用等の推進を図るための関係法律の整備に関する法律(令和五年法律第五十三号)の一部を次のように改正する。

目次中

「 第十八章 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部改正等

第一節 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部改正(第百九十九条)

第二節 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部改正に伴う経過措置(第二百条・第二百一条) 」を

「 第十八章 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正等 第一節 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正(第百九十九条)

第二節 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正に伴う経過措置(第二百条・第二百一条)

第三節 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正に伴う関係法律の整備(第二百一条の二) 」に改める。

第十八章の章名及び同章第一節の節名中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。

第百九十九条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律(」に改め、同条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律目次の改正規定中「」に」の下に「、「第二十条-第三十四条」を「第二十一条-第三十五条」に、「第三十五条-第三十八条」を

「第三十六条-第三十九条」に」を加え、同改正規定の次に次のように加える。

第二条第九号中「第二十六条第二項第二号」を「第二十七条第二項第二号」に改め、同条第十四号中「第二十条第一項」を「第二十一条第一項」に改める。

第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十二条を改め、同条の次に二条を加える改正規定の次に次のように加える。

第三十八条第一号中「第二十条第三項」を「第二十一条第三項」に改め、同条第二

号中「第二十四条第三項」を「第二十五条第三項」に改め、同条を第三十九条とする。

第三十七条第一号中「第三十五条」を「第三十六条」に改め、同条を第三十八条とする。

第三十六条第一号中「第二十一条」を「第二十二条」に改め、同条第二号中「第二十九条」を「第三十条」に改め、同条を第三十七条とする。

第三十五条中「第三十条第二項」を「第三十一条第二項」に改め、同条を第三十六条とする。

第三十四条中「第三十一条」を「第三十二条」に、「第三十二条」を「第三十三条」に改め、第五章中同条を第三十五条とし、第三十三条を第三十四条とし、第三十二条を第三十三条とする。

第三十一条第一項中「第二十条第一項」を「第二十一条第一項」に、「第二十九条」を「第三十条」に改め、同条第二項中「第二十条第一項」を「第二十一条第一項」に改め、同条を第三十二条とする。

第三十条第一項中「第二十二条、第二十四条、第二十五条、第二十六条第一項若しくは第三項、第二十七条又は第二十八条」を「第二十三条、第二十五条、第二十六条、第二十七条第一項若しくは第三項、第二十八条又は第二十九条」に改め、同条を第三十一条とする。

第二十九条中「第二十二条、第二十四条、第二十五条、第二十六条第一項若しくは第三項、第二十七条」を「第二十三条、第二十五条、第二十六条、第二十七条第一項若しくは第三項、第二十八条」に改め、同条を第三十条とする。

第二十八条第一号中「第二十三条」を「第二十四条」に改め、同条第二号中「第二十五条」を「第二十六条」に改め、同条を第二十九条とし、第二十七条を第二十八条とし、第二十六条を第二十七条とする。

第二十五条中「第二十三条」を「第二十四条」に改め、同条を第二十六条とし、第二十四条を第二十五条とし、第二十三条を第二十四条とする。

第二十二条第二項第三号中「第二十五条」を「第二十六条」に改め、同条を第二十三条とし、第二十一条を第二十二条とする。

第二十条第一項第一号中「第二十四条第二項」を「第二十五条第二項」に改め、同条を第二十一条とし、第四章中第十九条を第二十条とする。

第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十九条を同法第二十条とする改正規定を削る。

第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十八条を改め、同条に一項を加える改正規定中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。

第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十七条の改正規定中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第二条第九号」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律第二条第十三号」に改める。

第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十七条を同法第十八条とし、同法第十六条の次に一条を加える改正規定中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。

第十八章第二節の節名、第二百条及び第二百一条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。

第十八章に次の一節を加える。

第三節 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正に伴う関係法律の整備

第二百一条の二 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律(令和六年法律第▼▼▼号)の一部を次のように改正する。

附則第四条中「新法第三十五条」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律第三十六条」に改める。  

理 由

近年、インターネット上のSNS等の特定電気通信役務を利用して行われる他人の権利を侵害する情報の流通による被害が深刻化する一方、情報発信のための公共的な基盤としての特定電気通信役務の機能が重要性を増していることに鑑み、大規模なSNS事業者等を大規模特定電気通信役務提供者として指定し、侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図るための義務を課す等の措置を講ずる必要がある。これが、この法律案を提出する理由である。


 

 

衆議院 - 議案情報

まだ、衆議院で審議中になっていますが...

提出回次 番号 議案件名 審議状況 経過情報 本文情報
213 34 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案
参議院で審議中 経過
本文及び修正案

 

衆議院での修正


特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案に対する修正案

特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案の一部を次のように修正する。

本則に二章を加える改正規定のうち第二十八条第四号中「前三号」を「前各号」に改め、同号を同条第六号とし、同条第三号の次に次の二号を加える。

四 送信防止措置の実施状況(前三号に掲げる事項を除く。)
五 前各号に掲げる事項について自ら行った評価


 

総務省内閣官房が法案を提出した時...

総務省 - 国会提出法案

国会提出日 法律案名 資料
令和6年3月1日 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案 概要【325 KB】
要綱【97 KB】
法律案・理由【160 KB】
新旧対照条文【254 KB】
参照条文【310 KB】
 (所管課室名)
総合通信基盤局電気通信事業部利用環境課

 

1_20240512055501

 

| | Comments (0)

2024.05.11

日本でもセキュリティクリアランス制度が本格的に導入されることになりましたね...

こんにちは、丸山満彦です。

2024.05.10に参議院で、「重要経済安保情報の保護及び活用に関する法律案」、が可決しましたね...

いわゆるセキュリティクリアランス制度の導入ってやつですね...

海外でセキュリティクリアランスを持っている人と一緒に仕事をしたことがあるのですが、制度が違うのでしょうが、なんかいろいろと面倒な感じでしたね...(海外出張とか...)

 

また、あわせて、「重要経済安保情報の保護及び活用に関する法律案」も可決されています。これは、基幹インフラに一般港湾運送事業社を加えるというものですね...

同時に、特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案も、可決されされています...

参議院での5月10日の投票結果...(といっても「起立採決により可決されました」としか書いていませんが...)

 

参議院 - 本会議投票結果

日付 案件名
令和06年5月10日 日程第1 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案(内閣提出、衆議院送付)
日程第2 雇用保険法等の一部を改正する法律案(内閣提出、衆議院送付)
日程第3 防衛省設置法等の一部を改正する法律案(内閣提出、衆議院送付)
日程第4 重要経済安保情報の保護及び活用に関する法律案(内閣提出、衆議院送付)
日程第5 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律の一部を改正する法律案(内閣提出、衆議院送付)

 

法律案の内容はこちらから...

参議院議案情報

提出回次 提出番号 件名
213 24 重要経済安保情報の保護及び活用に関する法律案 議案要旨 提出法律案
213 25 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律の一部を改正する法律案 議案要旨 提出法律案

 

重要経済安保情報の保護及び活用に関する法律案

● [PDF] 議案要旨


(内閣委員会)

重要経済安保情報の保護及び活用に関する法律案(閣法第二四号)(衆議院送付)要旨本法律案の主な内容は次のとおりである。

一、 行政機関の長は、当該行政機関の所掌事務に係る重要経済基盤保護情報であって、公になっていないもののうち、その漏えいが我が国の安全保障に支障を与えるおそれがあるため、特に秘匿することが必要であるもの(特別防衛秘密及び特定秘密に該当するものを除く。)を重要経済安保情報として指定するものとする。

二、 重要経済安保情報を保有する行政機関の長は、我が国の安全保障の確保に資する活動を行う事業者であって重要経済安保情報の保護のために必要な施設設備を設置していること等の基準に適合するもの(以下「適合事業者」という。)に当該重要経済安保情報を利用させる必要があると認めたときは、当該適合事業者との契約に基づき、当該重要経済安保情報を提供することができる。

三、 重要経済安保情報の取扱いの業務は、原則として、適性評価において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者でなければ行ってはならない。

四、 適性評価は、行政機関の長が、当該行政機関の職員等について、当該者の同意を得て、適性評価調査の結果に基づき実施することとし、適性評価調査は、原則として、適性評価を実施する行政機関の長の求めにより内閣総理大臣が一元的に行うものとする。

五、 政府は、重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準を定めるものとする。

六、 重要経済安保情報の取扱いの業務により知り得た重要経済安保情報を漏らした者等に対する所要の罰則を設ける。

七、 この法律は、一部の規定を除き、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。

なお、本法律案は、衆議院において、重要経済安保情報の指定等の状況についての国会への報告等の規定を設けること、重要経済安保情報の提供を受ける国会におけるその保護に関する方策について、国会において、検討を加え、その結果に基づいて必要な措置を講ずるものとすること等を内容とする修正が行われた。


 

● [PDF] 提出法律案


第二一三回閣第二四号

重要経済安保情報の保護及び活用に関する法律案

目次

第一章 総則(第一条・第二条)

第二章 重要経済安保情報の指定等(第三条-第五条)

第三章 他の行政機関等に対する重要経済安保情報の提供(第六条-第九条)

第四章 適合事業者に対する重要経済安保情報の提供等(第十条)

第五章 重要経済安保情報の取扱者の制限(第十一条)

第六章 適性評価(第十二条-第十七条)

第七章 雑則(第十八条-第二十一条)

第八章 罰則(第二十二条-第二十七条)

附則

第一章 総則

(目的)

第一条 この法律は、国際情勢の複雑化、社会経済構造の変化等に伴い、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防止する重要性が増大している中で、重要経済基盤に関する情報であって我が国の安全保障(外部からの侵略等の脅威に対して国家及び国民の安全を保障することをいう。以下同じ。)を確保するために特に秘匿することが必要であるものについて、これを適確に保護する体制を確立した上で収集し、整理し、及び活用することが重要であることに鑑み、当該情報の保護及び活用に関し、重要経済安保情報の指定、我が国の安全保障の確保に資する活動を行う事業者への重要経済安保情報の提供、重要経済安保情報の取扱者の制限その他の必要な事項を定めることにより、その漏えいの防止を図り、もって我が国及び国民の安全の確保に資することを目的とする。

(定義)

第二条 この法律において「行政機関」とは、次に掲げる機関をいう。

一 法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の所轄の下に置かれる機関

二 内閣府、宮内庁並びに内閣府設置法(平成十一年法律第八十九号)第四十九条第一項及び第二項に規定する機関(これらの機関のうち、国家公安委員会にあっては警察庁を、第四号の政令で定める機関が置かれる機関にあっては当該政令で定める機関を除く。)

三 国家行政組織法(昭和二十三年法律第百二十号)第三条第二項に規定する機関(第五号の政令で定める機関が置かれる機関にあっては、当該政令で定める機関を除く。)

四 内閣府設置法第三十九条及び第五十五条並びに宮内庁法(昭和二十二年法律第七十号)第十六条第二項の機関並びに内閣府設置法第四十条及び第五十六条(宮内庁法第十八条第一項において準用する場合を含む。)の特別の機関で、警察庁その他政令で定めるもの

五 国家行政組織法第八条の二の施設等機関及び同法第八条の三の特別の機関で、政令で定めるもの

六 会計検査院

2 この法律において「行政機関の長」とは、次の各号に掲げる行政機関の区分に応じ、当該各号に定める者をいう。

一 次号及び第三号に掲げる機関以外の機関 当該機関の長

二 前項第四号及び第五号の政令で定める機関(次号に掲げるものを除く。) 当該機関ごとに政令で定める者

三 合議制の機関 当該機関

3 この法律において「重要経済基盤」とは、我が国の国民生活又は経済活動の基盤となる公共的な役務であってその安定的な提供に支障が生じた場合に我が国及び国民の安全を損なう事態を生ずるおそれがあるものの提供体制並びに国民の生存に必要不可欠な又は広く我が国の国民生活若しくは経済活動が依拠し、若しくは依拠することが見込まれる重要な物資(プログラムを含む。)の供給網をいう。

4 この法律において「重要経済基盤保護情報」とは、重要経済基盤に関する情報であって次に掲げる事項に関するものをいう。

一 外部から行われる行為から重要経済基盤を保護するための措置又はこれに関する計画若しくは研究

二 重要経済基盤の脆(ぜい)弱性、重要経済基盤に関する革新的な技術その他の重要経済基盤に関する重要な情報であって安全保障に関するもの

三 第一号の措置に関し収集した外国(本邦の域外にある国又は地域をいう。以下同じ。)の政府又は国際機関からの情報

四 前二号に掲げる情報の収集整理又はその能力

第二章 重要経済安保情報の指定等

(重要経済安保情報の指定)

第三条 行政機関の長は、当該行政機関の所掌事務に係る重要経済基盤保護情報であって、公になっていないもののうち、その漏えいが我が国の安全保障に支障を与えるおそれがあるため、特に秘匿することが必要であるもの(特別防衛秘密(日米相互防衛援助協定等に伴う秘密保護法(昭和二十九年法律第百六十六号)第一条第三項に規定する特別防衛秘密をいう。)及び特定秘密(特定秘密の保護に関する法律(平成二十五年法律第百八号。以下「特定秘密保護法」という。)第三条第一項に規定する特定秘密をいう。以下同じ。)に該当するものを除く。)を重要経済安保情報として指定するものとする。

2 行政機関の長は、前項の規定による指定(以下「指定」という。)をしたときは、政令で定めるところにより指定に関する記録を作成するとともに、当該指定に係る重要経済安保情報の範囲を明らかにするため、重要経済安保情報である情報について、次の各号のいずれかに掲げる措置を講ずるものとする。

一 政令で定めるところにより、重要経済安保情報である情報を記録する文書、図画、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録をいう。以下この号において同じ。)若しく物件又は当該情報を化体する物件に重要経済安保情報の表示(電磁的記録にあっては、当該表示の記録を含む。)をすること。

二 重要経済安保情報である情報の性質上前号に掲げる措置を講ずることが困難である場合においては、政令で定めるところにより、当該情報について指定が行われた旨を当該情報を取り扱う者に通知すること。

3 行政機関の長は、重要経済安保情報である情報について前項第二号に掲げる措置を講じた場合において、当該情報について同項第一号に掲げる措置を講ずることができることとなったときは、直ちに当該措置を講ずるものとする。

(指定の有効期間及び解除)

第四条 行政機関の長は、指定をするときは、当該指定の日から起算して五年を超えない範囲内においてその有効期間を定めるものとする。

2 行政機関の長は、指定の有効期間(この項の規定により延長した有効期間を含む。)が満了する時において、当該指定をした情報が前条第一項に規定する要件を満たすときは、政令で定めるところにより、五年を超えない範囲内においてその有効期間を延長するものとする。

3 指定の有効期間は、通じて三十年を超えることができない。

4 前項の規定にかかわらず、行政機関の長は、政府の有するその諸活動を国民に説明する責務を全うする観点に立っても、なお指定に係る情報を公にしないことが現に我が国及び国民の安全を確保するためにやむを得ないものであることについて、その理由を示して、内閣の承認を得た場合(行政機関が会計検査院であるときを除く。)は、当該指定の有効期間を、通じて三十年を超えて延長することができる。ただし、次に掲げる情報を除き、指定の有効期間は、通じて六十年を超えることができない。

一 現に行われている外国の政府又は国際機関との交渉に不利益を及ぼすおそれのある情報

二 情報収集活動の手法又は能力に関する情報

三 人的情報源に関する情報

四 外国の政府又は国際機関から六十年を超えて指定を行うことを条件に提供された情報

五 前各号に掲げる情報に準ずるもので政令で定める重要な情報

5 行政機関の長は、前項の内閣の承認を得ようとする場合においては、当該指定に係る重要経済安保情報の保護に関し必要なものとして政令で定める措置を講じた上で、内閣に当該重要経済安保情報を提示することができる。

6 行政機関の長は、第四項の内閣の承認が得られなかったときは、公文書等の管理に関する法律(平成二十一年法律第六十六号)第八条第一項の規定にかかわらず、当該指定に係る情報が記録された行政文書ファイル等(同法第五条第五項に規定する行政文書ファイル等をいう。)の保存期間の満了とともに、これを国立公文書館等(同法第二条第三項に規定する国立公文書館等をいう。)に移管しなければならない。

7 行政機関の長は、指定をした情報が前条第一項に規定する要件を欠くに至ったときは、有効期間内であっても、政令で定めるところにより、速やかにその指定を解除するものとする。

(重要経済安保情報の保護措置)

第五条 行政機関の長は、指定をしたときは、第三条第二項に規定する措置のほか、第十一条第一項又は第二項の規定により重要経済安保情報の取扱いの業務を行うことができることとされる者のうちから、当該行政機関において当該指定に係る重要経済安保情報の取扱いの業務を行わせる職員の範囲を定めることその他の当該重要経済安保情報の保護に関し必要なものとして政令で定める措置を講ずるものとする。

2 警察庁長官は、都道府県警察が保有する情報について指定をしたときは、当該都道府県警察に対し当該指定をした旨を通知するものとする。

3 前項の場合において、警察庁長官は、都道府県警察が保有する重要経済安保情報の取扱いの業務を行わせる職員の範囲その他の当該都道府県警察による当該重要経済安保情報の保護に関し必要なものとして政令で定める事項について、当該都道府県警察に指示するものとする。この場合において、当該都道府県警察の警視総監又は道府県警察本部長(以下「警察本部長」という。)は、当該指示に従い、当該重要経済安保情報の取扱いの業務を行わせる職員の範囲を定めることその他の当該重要経済安保情報の適切な保護のために必要な措置を講じ、及びその職員に当該重要経済安保情報の取扱いの業務を行わせるものとする。

第三章 他の行政機関等に対する重要経済安保情報の提供

(他の行政機関に対する重要経済安保情報の提供)

第六条 重要経済安保情報を保有する行政機関の長は、他の行政機関が我が国の安全保障に関する事務を遂行するために当該重要経済安保情報を利用する必要があると認めたときは、当該他の行政機関に当該重要経済安保情報を提供することができる。ただし、当該重要経済安保情報を保有する行政機関以外の行政機関の長が当該重要経済安保情報について指定をしているとき(当該重要経済安保情報が、この項の規定により当該保有する行政機関の長から提供されたものである場合を除く。)は、当該指定をしている行政機関の長の同意を得なければならない。

2 前項の規定により他の行政機関に重要経済安保情報を提供する行政機関の長は、当該重要経済安保情報の取扱いの業務を行わせる職員の範囲その他の当該他の行政機関による当該重要経済安保情報の保護に関し必要なものとして政令で定める事項について、あらかじめ、当該他の行政機関の長と協議するものとする。

3 第一項の規定により重要経済安保情報の提供を受ける他の行政機関の長は、前項の規定による協議に従い、当該重要経済安保情報の取扱いの業務を行わせる職員の範囲を定めることその他の当該重要経済安保情報の適切な保護のために必要な措置を講じ、及びその職員に当該重要経済安保情報の取扱いの業務を行わせるものとする。

(都道府県警察に対する重要経済安保情報の提供等)

第七条 警察庁長官は、警察庁が保有する重要経済安保情報について、その所掌事務のうち我が国の安全保障に関するものを遂行するために都道府県警察にこれを利用させる必要があると認めたときは、当該都道府県警察に当該重要経済安保情報を提供することができる。

2 第五条第三項の規定は、前項の規定により都道府県警察に重要経済安保情報を提供する場合について準用する。

3 警察庁長官は、警察本部長に対し、当該都道府県警察が保有する重要経済安保情報で第五条第二項の規定による通知に係るものの提供を求めることができる。

(外国の政府等に対する重要経済安保情報の提供)

第八条 重要経済安保情報を保有する行政機関の長は、その所掌事務のうち我が国の安全保障に関するものを遂行するために必要があると認めたときは、外国の政府又は国際機関であって、この法律の規定により行政機関が当該重要経済安保情報を保護するために講ずることとされる措置に相当する措置を講じているものに当該重要経済安保情報を提供することができる。ただし、当該重要経済安保情報を保有する行政機関以外の行政機関の長が当該重要経済安保情報について指定をしているとき(当該重要経済安保情報が、第六条第一項の規定により当該保有する行政機関の長から提供されたものである場合を除く。)は、当該指定をしている行政機関の長の同意を得なければならない。

(その他公益上の必要による重要経済安保情報の提供)

第九条 第四条第五項、前三条、次条第一項及び第十八条第三項に規定するもののほか、行政機関の長は、次に掲げる場合に限り、重要経済安保情報を提供するものとする。

一 重要経済安保情報の提供を受ける者が次に掲げる業務又は公益上特に必要があると認められるこれらに準ずる業務において当該重要経済安保情報を利用する場合(次号から第四号までに掲げる場合を除く。)であって、当該重要経済安保情報を利用し、又は知る者の範囲を制限すること、当該業務以外に当該重要経済安保情報が利用されないようにすることその他の当該重要経済安保情報を利用し、又は知る者がこれを保護するために必要なものとして、イに掲げる業務にあっては国会において定める措置、イに掲げる業務以外の業務にあっては政令で定める措置を講じ、かつ、我が国の安全保障に著しい支障を及ぼすおそれがないと認めたとき。

イ 各議院又は各議院の委員会若しくは参議院の調査会が国会法(昭和二十二年法律第七十九号)第百四条第一項(同法第五十四条の四第一項において準用する場合を含む。)又は議院における証人の宣誓及び証言等に関する法律(昭和二十二年法律第二百二十五号)第一条の規定により行う審査又は調査であって、国会法第五十二条第二項(同法第五十四条の四第一項において準用する場合を含む。)又は第六十二条の規定により公開しないこととされたもの

ロ 刑事訴訟法(昭和二十三年法律第百三十一号)第三百十六条の二十七第一項(同条第三項及び同法第三百十六条の二十八第二項において準用する場合を含む。)の規定により裁判所に提示する場合のほか、刑事事件の捜査又は公訴の維持に必要な業務であって、当該業務に従事する者以外の者に当該重要経済安保情報を提供することがないと認められるもの

二 民事訴訟法(平成八年法律第百九号)第二百二十三条第六項(同法第二百三十一条の三第一項において準用する場合を含む。)の規定により裁判所に提示する場合

三 情報公開・個人情報保護審査会設置法(平成十五年法律第六十号)第九条第一項の規定により情報公開・個人情報保護審査会に提示する場合

四 会計検査院法(昭和二十二年法律第七十三号)第十九条の四において読み替えて準用する情報公開・個人情報保護審査会設置法第九条第一項の規定により会計検査院情報公開・個人情報保護審査会に提示する場合

2 警察本部長は、第七条第三項の規定による求めに応じて警察庁に提供する場合のほか、前項第一号に掲げる場合(当該警察本部長が提供しようとする重要経済安保情報が同号ロに掲げる業務において利用するものとして提供を受けたものである場合以外の場合にあっては、同号に規定する我が国の安全保障に著しい支障を及ぼすおそれがないと認めることについて、警察庁長官の同意を得た場合に限る。)、同項第二号に掲げる場合又は都道府県の保有する情報の公開を請求する住民等の権利について定める当該都道府県の条例(当該条例の規定による諮問に応じて審議を行う都道府県の機関の設置について定める都道府県の条例を含む。)の規定で情報公開・個人情報保護審査会設置法第九条第一項の規定に相当するものにより当該機関に提示する場合に限り、重要経済安保情報を提供することができる。

第四章 適合事業者に対する重要経済安保情報の提供等

第十条 重要経済安保情報を保有する行政機関の長は、重要経済基盤の脆弱性の解消、重要経済基盤の脆弱性及び重要経済基盤に関する革新的な技術に関する調査及び研究の促進、重要経済基盤保護情報を保護するための措置の強化その他の我が国の安全保障の確保に資する活動の促進を図るために、当該脆弱性の解消を図る必要がある事業者又は当該脆弱性の解消に資する活動を行う事業者、当該調査若しくは研究を行う事業者又は当該調査若しくは研究に資する活動を行う事業者、重要経済基盤保護情報を保有する事業者又は重要経済基盤保護情報の保護に資する活動を行う事業者その他の我が国の安全保障の確保に資する活動を行う事業者であって重要経済安保情報の保護のために必要な施設設備を設置していることその他政令で定める基準に適合するもの(次条第四項を除き、以下「適合事業者」という。)に当該重要経済安保情報を利用させる必要があると認めたときは、当該適合事業者との契約に基づき、当該適合事業者に当該重要経済安保情報を提供することができる。ただし、当該重要経済安保情報を保有する行政機関以外の行政機関の長が当該重要経済安保情報について指定をしているとき(当該重要経済安保情報が、第六条第一項の規定により当該保有する行政機関の長から提供されたものである場合を除く。)は、当該指定をしている行政機関の長の同意を得なければならない。

2 行政機関の長は、当該行政機関の長が保有していない情報であって、当該行政機関の長がその同意を得て適合事業者に行わせる調査又は研究その他の活動により当該適合事業者が保有することが見込まれるものについて指定をした場合において、前項本文に規定する目的のために当該情報を当該適合事業者に利用させる必要があると認めたときは、当該適合事業者に対し、当該情報について指定をした旨を通知するものとする。この場合において、当該行政機関の長は、当該適合事業者との契約に基づき、当該指定に係る情報を、当該適合事業者に重要経済安保情報として保有させることができる。

3 前二項の契約には、次に掲げる事項を定めなければならない。

一 次条第一項又は第二項の規定により重要経済安保情報の取扱いの業務を行うことができることとされる者のうち、当該適合事業者が指名して重要経済安保情報の取扱いの業務を行わせる代表者、代理人、使用人その他の従業者(以下この条、第十二条第一項第一号及び第二号並びに第十三条第二項において「従業者」という。)の範囲

二 重要経済安保情報の保護に関する業務を管理する者の指名に関する事項

三 重要経済安保情報の保護のために必要な施設設備の設置に関する事項

四 従業者に対する重要経済安保情報の保護に関する教育に関する事項

五 前項の規定により重要経済安保情報を保有する適合事業者にあっては、当該行政機関の長から求められた場合には当該重要経済安保情報を当該行政機関の長に提供しなければならない旨

六 前各号に掲げるもののほか、当該適合事業者による当該重要経済安保情報の保護に関し必要なものとして政令で定める事項

4 第一項の規定により重要経済安保情報の提供を受け、又は第二項の規定により重要経済安保情報を保有する適合事業者は、当該各項の契約に従い、当該重要経済安保情報の取扱いの業務を行わせる従業者の範囲を定めることその他の当該重要経済安保情報の適切な保護のために必要な措置を講じ、及びその従業者に当該重要経済安保情報の取扱いの業務を行わせるものとする。

5 第二項の規定により適合事業者に重要経済安保情報を保有させている行政機関の長は、同項の契約に基づき、当該適合事業者に対し、当該重要経済安保情報の提供を求めることができる。

6 第四項に規定する適合事業者は、前条第一項第一号に掲げる場合(同号に規定する我が国の安全保障に著しい支障を及ぼすおそれがないと認めることについて、当該適合事業者が提供しようとする重要経済安保情報について指定をした行政機関の長の同意を得た場合に限る。)又は同項第二号若しくは第三号に掲げる場合には、重要経済安保情報を提供することができる。

7 第四項に規定する適合事業者は、前二項の規定により提供する場合を除き、重要経済安保情報を提供してはならない。

第五章 重要経済安保情報の取扱者の制限

第十一条 重要経済安保情報の取扱いの業務は、当該業務を行わせる行政機関の長若しくは当該業務を行わせる適合事業者に当該重要経済安保情報を提供し、若しくは保有させる行政機関の長又は当該業務を行わせる警察本部長が直近に実施した次条第一項又は第十五条第一項の規定による適性評価(第十三条第一項(第十五条第二項において読み替えて準用する場合を含む。)の規定による評価対象者(次条第二項に規定する評価対象者をいう。同条第一項第一号イ及び第二号において同じ。)への通知があった日から十年を経過していないものに限る。)において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(次条第一項第三号又は第十五条第一項第三号に掲げる者として次条第三項(第十五条第二項において読み替えて準用する場合を含む。)の規定による告知があった者(次項において「再評価対象者」という。)を除く。)でなければ行ってはならない。ただし、次に掲げる者については、次条第一項又は第十五条第一項の規定による適性評価を受けることを要しない。

一 行政機関の長(当該行政機関が合議制の機関である場合にあっては、当該機関の長)

二 国務大臣(前号に掲げる者を除く。)

三 内閣官房副長官

四 内閣総理大臣補佐官

五 副大臣

六 大臣政務官

七 前各号に掲げるもののほか、職務の特性その他の事情を勘案し、次条第一項又は第十五条第一項の規定による適性評価を受けることなく重要経済安保情報の取扱いの業務を行うことができるものとして政令で定める者

2 前項の規定にかかわらず、重要経済安保情報の取扱いの業務を行わせる行政機関の長若しくは当該業務を行わせる適合事業者に当該重要経済安保情報を提供し、若しくは保有させる行政機関の長又は当該業務を行わせる警察本部長が特定秘密保護法第十二条第一項又は第十五条第一項の規定により直近に実施したこれらの規定による適性評価(当該適性評価の後に当該行政機関の長又は警察本部長による次条第一項又は第十五条第一項の規定による適性評価が実施された場合のものを除く。以下「特定秘密直近適性評価」という。)において特定秘密の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(再評価対象者及び特定秘密保護法第十二条第一項第三号又は第十五条第一項第三号に掲げる者として特定秘密保護法第十二条第三項(特定秘密保護法第十五条第二項において読み替えて準用する場合を含む。)の規定による告知があった者を除く。)は、当該特定秘密直近適性評価に係る特定秘密保護法第十三条第一項(特定秘密保護法第十五条第二項において準用する場合を含む。)の規定による通知があった日から五年間に限り、重要経済安保情報の取扱いの業務を行うことができる。

3 特定秘密保護法第十六条第一項の規定にかかわらず、行政機関の長及び警察本部長は、重要経済安保情報の取扱いの業務を自ら行わせ、又は適合事業者が行わせるのに必要な限度において、同項に規定する適性評価の結果に係る情報を自ら利用し、又は提供することができるものとする。

4 特定秘密保護法第十六条第二項の規定にかかわらず、特定秘密保護法第五条第四項に規定する適合事業者及び特定秘密保護法第十六条第二項に規定する事業主は、重要経済安保情報の取扱いの業務を自ら行わせ、又は当該事業主に係る適合事業者が行わせるのに必要な限度において、特定秘密保護法第十三条第二項又は第三項の規定により通知された内容(同条第二項に規定する結果に係るものに限る。)を自ら利用し、又は提供することができるものとする。

第六章 適性評価

(行政機関の長による適性評価の実施)

第十二条 行政機関の長は、次に掲げる者について、その者が重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないことについての評価(以下「適性評価」という。)を実施するものとする。

一 当該行政機関の職員(当該行政機関が警察庁である場合にあっては、警察本部長を含む。次号において同じ。)又は当該行政機関との第十条第一項若しくは第二項の契約(同号において「契約」という。)に基づき重要経済安保情報の提供を受け、若しくは重要経済安保情報を保有する適合事業者の従業者として重要経済安保情報の取扱いの業務を新たに行うことが見込まれることとなった者であって、次に掲げるもの以外のもの

イ 当該行政機関の長が直近に実施した適性評価において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(第三号において「直近適性評価認定者」という。)のうち、当該適性評価に係る次条第一項の規定による評価対象者への通知があった日から十年を経過していないものであって、引き続き当該おそれがないと認められるもの

ロ 当該行政機関の長が実施した特定秘密直近適性評価において特定秘密の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(以下この項において「特定秘密直近適性評価認定者」という。)のうち、当該特定秘密直近適性評価に係る特定秘密保護法第十三条第一項の規定による通知があった日から五年を経過していないものであって、引き続き当該おそれがないと認められるもの

二 当該行政機関の職員又は当該行政機関との契約に基づき重要経済安保情報の提供を受け、若しくは重要経済安保情報を保有する適合事業者の従業者として重要経済安保情報の取扱いの業務を現に行う者であって、当該行政機関の長が直近に実施した適性評価に係る次条第一項の規定による評価対象者への通知があった日から十年(特定秘密直近適性評価認定者である者にあっては、当該行政機関の長が実施した特定秘密直近適性評価に係る特定秘密保護法第十三条第一項の規定による通知があった日から五年)を経過した日以後重要経済安保情報の取扱いの業務を引き続き行うことが見込まれるもの

三 直近適性評価認定者又は特定秘密直近適性評価認定者であって、引き続き重要経済安保情報を漏らすおそれがないと認めることについて疑いを生じさせる事情があるもの

2 適性評価は、適性評価の対象となる者(以下「評価対象者」という。)について、次に掲げる事項についての調査(以下この条及び第十六条第一項において「適性評価調査」という。)を行い、その結果に基づき実施するものとする。

一 重要経済基盤毀損活動(重要経済基盤に関する公になっていない情報のうちその漏えいが我が国の安全保障に支障を与えるおそれがあるものを取得するための活動その他の活動であって、外国の利益を図る目的で行われ、かつ、重要経済基盤に関して我が国及び国民の安全を著しく害し、又は害するおそれのあるもの並びに重要経済基盤に支障を生じさせるための活動であって、政治上その他の主義主張に基づき、国家若しくは他人を当該主義主張に従わせ、又は社会に不安若しくは恐怖を与える目的で行われるものをいう。)との関係に関する事項(評価対象者の家族(配偶者(婚姻の届出をしていないが、事実上婚姻関係と同様の事情にある者を含む。以下この号において同じ。)、父母、子及び兄弟姉妹並びにこれらの者以外の配偶者の父母及び子をいう。以下この号において同じ。)及び同居人(家族を除く。)の氏名、生年月日、国籍(過去に有していた国籍を含む。)及び住所を含む。)

二 犯罪及び懲戒の経歴に関する事項

三 情報の取扱いに係る非違の経歴に関する事項 四 薬物の濫用及び影響に関する事項

五 精神疾患に関する事項

六 飲酒についての節度に関する事項

七 信用状態その他の経済的な状況に関する事項

3 適性評価は、あらかじめ、政令で定めるところにより、次に掲げる事項を評価対象者に対し告知した上で、その同意を得て実施するものとする。ただし、第七項の規定の適用を受けて実施する場合においては、当該告知をすることを要しない。

一 前項各号に掲げる事項について適性評価調査が行われる旨

二 適性評価調査を行うため必要な範囲内において、第六項の規定により質問させ、若しくは資料の提出を求めさせ、又は照会して報告を求めることがある旨

三 評価対象者が第一項第三号に掲げる者であるときは、その旨

4 行政機関の長は、適性評価を実施するときは、第七項の規定の適用を受けて実施される場合を除き、内閣総理大臣に対し、必要な資料を添えて、適性評価調査を行うよう求めるものとする。ただし、当該行政機関の業務の遂行に支障を及ぼすおそれがある場合(当該適性評価が同項の規定の適用を受けて実施される場合を除く。)には、当該行政機関の長が、政令で定めるところにより、自ら適性評価調査を行うものとする。

5 内閣総理大臣は、行政機関の長から前項の規定により適性評価調査を行うよう求められたときは、政令で定めるところにより、当該評価対象者について適性評価調査を行い、当該評価対象者が重要経済安保情報を漏らすおそれに関する意見(第七項において「調査意見」という。)を付して、当該適性評価調査の結果を当該行政機関の長に通知するものとする。

6 適性評価調査を行う内閣総理大臣又は行政機関の長は、適性評価調査を行うため必要な範囲内において、その職員に評価対象者若しくは評価対象者の知人その他の関係者に質問させ、若しくは評価対象者に対し資料の提出を求めさせ、又は公務所若しくは公私の団体に照会して必要な事項の報告を求めることができる。

7 第二項の規定にかかわらず、評価対象者が、適性評価を実施する行政機関の長(以下この項において「実施行政機関の長」という。)以外の行政機関の長又は警察本部長が実施した適性評価(次条第一項(第十五条第二項において読み替えて準用する場合を含む。)の規定による通知があった日から十年を経過しておらず、かつ、第五項(第十五条第二項において読み替えて準用する場合を含む。)の規定により内閣総理大臣が当該適性評価に係る適性評価調査を行ったものに限り、当該適性評価の後に実施行政機関の長による適性評価が実施された場合のものを除く。)のうち直近のもの(以下この条において「直近他機関適性評価」という。)において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者である場合において、当該評価対象者について実施行政機関の長が実施する適性評価については、適性評価調査を行わず、直近他機関適性評価において行われた適性評価調査の結果に基づき実施するものとする。この場合において、内閣総理大臣は、実施行政機関の長の求めに応じ、直近他機関適性評価において行われた適性評価調査の結果及びこれに付した調査意見を当該実施行政機関の長に通知するものとする。

8 前項の規定の適用を受けて実施された適性評価を受けた評価対象者に対して行われた次条第一項の規定による通知は、前条第一項並びにこの条第一項第一号イ及び第二号の規定の適用については、直近他機関適性評価の結果について次条第一項(第十五条第二項において読み替えて準用する場合を含む。)の規定による評価対象者への通知が行われた日に行われたものとみなす。

(適性評価の結果等の通知)

第十三条 行政機関の長は、適性評価を実施したときは、その結果(当該適性評価が前条第七項の規定の適用を受けて実施された場合にあっては、その旨を含む。次項及び次条第一項において同じ。)を評価対象者及び内閣総理大臣に対し通知するものとする。

2 行政機関の長は、適合事業者の従業者について適性評価を実施したときはその結果を、当該従業者が前条第三項の同意をしなかったことにより適性評価が実施されなかったときはその旨を、それぞれ当該適合事業者に対し通知するものとする。

3 前項の規定による通知を受けた適合事業者は、当該評価対象者が当該適合事業者の指揮命令の下に労働する派遣労働者(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和六十年法律第八十八号)第二条第二号に規定する派遣労働者をいう。第十六条第二項において同じ。)であるときは、当該通知の内容を当該評価対象者を雇用する事業主に対し通知するものとする。

4 行政機関の長は、第一項の規定により評価対象者に対し重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められなかった旨を通知するときは、適性評価の円滑な実施の確保を妨げない範囲内において、当該おそれがないと認められなかった理由を併せて通知するものとする。ただし、当該評価対象者があらかじめ当該理由の通知を希望しない旨を申し出た場合は、この限りでない。

(行政機関の長に対する苦情の申出等)

第十四条 評価対象者は、前条第一項の規定により通知された適性評価の結果その他当該評価対象者について実施された適性評価について、書面で、行政機関の長に対し、苦情の申出をすることができる。

2 行政機関の長は、前項の苦情の申出を受けたときは、これを誠実に処理し、処理の結果を苦情の申出をした者に通知するものとする。

3 評価対象者は、第一項の苦情の申出をしたことを理由として、不利益な取扱いを受けない。

(警察本部長による適性評価の実施等)

第十五条 警察本部長は、次に掲げる者について、適性評価を実施するものとする。

一 当該都道府県警察の職員(警察本部長を除く。次号において同じ。)として重要経済安保情報の取扱いの業務を新たに行うことが見込まれることとなった者であって、次に掲げるもの以外のもの

イ 当該警察本部長が直近に実施した適性評価において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(第三号において「直近警察適性評価認定者」という。)のうち、当該適性評価に係る次項において読み替えて準用する第十三条第一項の規定による評価対象者への通知があった日から十年を経過していないものであって、引き続き当該おそれがないと認められるもの

ロ 当該警察本部長が実施した特定秘密直近適性評価において特定秘密の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(以下この項において「特定秘密直近警察適性評価認定者」という。)のうち、当該特定秘密直近適性評価に係る特定秘密保護法第十五条第二項において準用する特定秘密保護法第十三条第一項の規定による通知があった日から五年を経過していないものであって、引き続き当該おそれがないと認められるもの

二 当該都道府県警察の職員として重要経済安保情報の取扱いの業務を現に行う者であって、当該警察本部長が直近に実施した適性評価に係る次項において読み替えて準用する第十三条第一項の規定による評価対象者への通知があった日から十年(特定秘密直近警察適性評価認定者である者にあっては、当該警察本部長が実施した特定秘密直近適性評価に係る特定秘密保護法第十五条第二項において準用する特定秘密保護法第十三条第一項の規定による通知があった日から五年)を経過した日以後重要経済安保情報の取扱いの業務を引き続き行うことが見込まれるもの

三 直近警察適性評価認定者又は特定秘密直近警察適性評価認定者であって、引き続き重要経済安保情報を漏らすおそれがないと認めることについて疑いを生じさせる事情があるもの

2 前三条(第十二条第一項並びに第十三条第二項及び第三項を除く。)の規定は、前項の規定により警察本部長が実施する適性評価について準用する。この場合において、第十二条第三項第三号中「第一項第三号」とあるのは「第十五条第一項第三号」と、同条第四項中「内閣総理大臣」とあるのは「警察庁長官を通じて内閣総理大臣」と、「行政機関の業務」とあるのは「都道府県警察の業務」と、同条第五項中「結果を」とあるのは「結果を警察庁長官を通じて」と、同条第七項中「適性評価を実施する行政機関の長(以下この項において「実施行政機関の長」という。)以外の行政機関の長又は警察本部長」とあるのは「行政機関の長又は適性評価を実施する警察本部長(以下この項において「実施警察本部長」という。)以外の警察本部長」と、「実施行政機関の長による」とあるのは「実施警察本部長による」と、「実施行政機関の長が」とあるのは「実施警察本部長が」と、「実施行政機関の長の求め」とあるのは「実施警察本部長が警察庁長官を通じて行う求め」と、「当該実施行政機関の長」とあるのは「警察庁長官を通じて当該実施警察本部長」と、同条第八項中「この条第一項第一号イ」とあるのは「第十五条第一項第一号イ」と、第十三条第一項中「ものとする」とあるのは「ものとする。

この場合において、内閣総理大臣への通知は、警察庁長官を通じて行うものとする」と読み替えるものとする。

(適性評価に関する個人情報の利用及び提供の制限)

第十六条 内閣総理大臣並びに行政機関の長及び警察本部長は、重要経済安保情報の保護以外の目的のために、評価対象者が第十二条第三項(前条第二項において読み替えて準用する場合を含む。)の同意をしなかったこと、評価対象者についての適性評価の結果その他適性評価又は適性評価調査の実施に当たって取得する個人情報(生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。以下この項において同じ。)を自ら利用し、又は提供してはならない。ただし、適性評価又は適性評価調査の実施によって当該個人情報に係る特定の個人が国家公務員法(昭和二十二年法律第百二十号)第三十八条各号、同法第七十五条第二項に規定する人事院規則の定める事由、同法第七十八条各号、第七十九条各号若しくは第八十二条第一項各号、検察庁法(昭和二十二年法律第六十一号)第二十条第一項各号、外務公務員法(昭和二十七年法律第四十一号)第七条第一項に規定する者、自衛隊法(昭和二十九年法律第百六十五号)第三十八条第一項各号、第四十二条各号、第四十三条各号若しくは第四十六条第一項各号、同法第四十八条第一項に規定する場合若しくは同条第二項各号若しくは第三項各号若しくは地方公務員法(昭和二十五年法律第二百六十一号)第十六条各号、第二十八条第一項各号若しくは第二項各号若しくは第二十九条第一項各号又はこれらに準ずるものとして政令で定める事由のいずれかに該当する疑いが生じたとき及び特定秘密保護法第十二条第四項に基づく照会に対して必要な事項を報告するときは、この限りでない。

2 第十三条第二項又は第三項の規定による通知を受けた適合事業者及び適合事業者の指揮命令の下に労働する派遣労働者を雇用する事業主は、重要経済安保情報の保護以外の目的のために、当該通知の内容を自ら利用し、又は提供してはならない。

(権限又は事務の委任)

第十七条 内閣総理大臣又は行政機関の長は、政令(内閣の所轄の下に置かれる機関及び会計検査院にあっては、当該機関の命令)で定めるところにより、この章に定める権限又は事務をその職員に委任することができる。

第七章 雑則

(重要経済安保情報の指定等の運用基準等)

第十八条 政府は、重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定(行政機関の長が、事業者が適合事業者に該当すると認めることをいう。第三項及び次条において同じ。)に関し、統一的な運用を図るための基準を定めるものとする。

2 内閣総理大臣は、前項の基準を定め、又はこれを変更しようとするときは、我が国の安全保障に関する情報の保護、行政機関等の保有する情報の公開、公文書等の管理等に関し優れた識見を有する者の意見を聴いた上で、その案を作成し、閣議の決定を求めなければならない。

3 内閣総理大臣は、重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定が第一項の基準に従って行われていることを確保するため必要があると認めるときは、行政機関の長(会計検査院を除く。)に対し、重要経済安保情報である情報を含む資料の提出及び説明を求め、並びに重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定について必要な勧告をし、又はその勧告の結果とられた措置について報告を求めることができる。

(関係行政機関の協力)

第十九条 内閣総理大臣及び関係行政機関の長は、重要経済安保情報の指定、適性評価の実施、適合事業者の認定その他この法律の規定により講ずることとされる措置に関し、重要経済基盤保護情報であって特に秘匿することが必要であるものの漏えいを防止するため、相互に協力するものとする。

(政令への委任)

第二十条 この法律に定めるもののほか、この法律の実施のための手続その他この法律の施行に関し必要な事項は、政令で定める。

(この法律の解釈適用)

第二十一条 この法律の適用に当たっては、これを拡張して解釈して、国民の基本的人権を不当に侵害するようなことがあってはならず、国民の知る権利の保障に資する報道又は取材の自由に十分に配慮しなければならない。

2 出版又は報道の業務に従事する者の取材行為については、専ら公益を図る目的を有し、かつ、法令違反又は著しく不当な方法によるものと認められない限りは、これを正当な業務による行為とするものとする。

第八章 罰則

第二十二条 重要経済安保情報の取扱いの業務に従事する者がその業務により知り得た重要経済安保情報を漏らしたときは、五年以下の拘禁刑若しくは五百万円以下の罰金に処し、又はこれを併科する。重要経済安保情報の取扱いの業務に従事しなくなった後においても、同様とする。

2 第四条第五項、第八条、第九条、第十条第五項若しくは第六項又は第十八条第三項の規定により提示され、又は提供された重要経済安保情報について、当該提示又は提供の目的である業務により当該重要経済安保情報を知り得た者がこれを漏らしたときは、三年以下の拘禁刑若しくは三百万円以下の罰金に処し、又はこれを併科する。第九条第一項第一号ロに規定する場合において提示された重要経済安保情報について、当該重要経済安保情報の提示を受けた者がこれを漏らしたときも、同様とする。

3 前二項の罪の未遂は、罰する。

4 過失により第一項の罪を犯した者は、一年以下の拘禁刑又は三十万円以下の罰金に処する。

5 過失により第二項の罪を犯した者は、六月以下の拘禁刑又は二十万円以下の罰金に処する。

第二十三条 外国の利益若しくは自己の不正の利益を図り、又は我が国の安全若しくは国民の生命若しくは身体を害すべき用途に供する目的で、人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は財物の窃取若しくは損壊、施設への侵入、有線電気通信の傍受、不正アクセス行為(不正アクセス行為の禁止等に関する法律(平成十一年法律第百二十八号)第二条第四項に規定する不正アクセス行為をいう。)その他の重要経済安保情報を保有する者の管理を害する行為により、重要経済安保情報を取得したときは、当該違反行為をした者は、五年以下の拘禁刑若しくは五百万円以下の罰金に処し、又はこれを併科する。

2 前項の罪の未遂は、罰する。

3 前二項の規定は、刑法(明治四十年法律第四十五号)その他の罰則の適用を妨げない。

第二十四条 第二十二条第一項又は前条第一項に規定する行為の遂行を共謀し、教唆し、又は煽(せん)動した者は、三年以下の拘禁刑又は三百万円以下の罰金に処する。

2 第二十二条第二項に規定する行為の遂行を共謀し、教唆し、又は煽動した者は、二年以下の拘禁刑又は二百万円以下の罰金に処する。

第二十五条 第二十二条第三項若しくは第二十三条第二項の罪を犯した者又は前条の罪を犯した者のうち第二十二条第一項若しくは第二項若しくは第二十三条第一項に規定する行為の遂行を共謀したものが自首したときは、その刑を減軽し、又は免除する。

第二十六条 第二十二条の規定は、日本国外において同条の罪を犯した者にも適用する。

2 第二十三条及び第二十四条の罪は、刑法第二条の例に従う。

第二十七条 法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。)の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、第二十二条第一項若しくは第三項(同条第一項に係る部分に限る。)又は第二十三条第一項若しくは第二項の違反行為をしたときは、その行為者を罰するほか、その法人又は人に対し、各本条の罰金刑を科する。

2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。

附 則

(施行期日)

第一条 この法律は、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。ただし、第十八条第一項及び第二項(基準の変更に係る部分を除く。)の規定並びに附則第五条、第六条及び第八条の規定は、公布の日から施行する。

(重要経済安保情報の取扱いの業務を行わせる行政機関等の職員に関する経過措置)

第二条 この法律の施行の日(次条及び附則第四条において「施行日」という。)から起算して一年を超えない範囲内において政令で定める日の前日までの間においては、第十一条第一項の規定にかかわらず、行政機関の長又は警察本部長は、当該行政機関又は都道府県警察の職員のうち当該行政機関の長又は警察本部長が指名する者に重要経済安保情報の取扱いの業務を行わせることができる。この場合において、第五条第一項及び第三項並びに第六条第二項及び第三項の規定の適用については、第五条第一項中「第十一条第一項又は第二項の規定により重要経済安保情報の取扱いの業務を行うことができることとされる者のうちから、当該行政機関」とあるのは「当該行政機関」と、同項及び同条第三項並びに第六条第三項中「の範囲を定める」とあるのは「を指名する」と、第五条第三項及び第六条第二項中「範囲その他」とあるのは「指名その他」とする。

(民事訴訟法の規定により裁判所に重要経済安保情報を提示する場合に関する経過措置)

第三条 施行日から民事訴訟法等の一部を改正する法律(令和四年法律第四十八号)の施行の日の前日までの間における第九条第一項第二号の規定の適用については、同号中「第二百二十三条第六項(同法第二百三十一条の三第一項において準用する場合を含む。)」とあるのは、「第二百二十三条第六項」とする。

(調整規定)

第四条 施行日が刑法等の一部を改正する法律(令和四年法律第六十七号)の施行の日(以下この条において「刑法施行日」という。)前である場合には、刑法施行日の前日までの間における第二十二条(第三項を除く。)、第二十三条第一項及び第二十四条の規定(以下この条において「第二十二条等の規定」という。)の適用については、第二十二条第一項及び第二項、第二十三条第一項並びに第二十四条中「拘禁刑」とあるのは「懲役」と、第二十二条第四項及び第五項中「拘禁刑」とあるのは「禁錮」とする。刑法施行日以後における刑法施行日前にした行為に対する第二十二条等の規定の適用についても、同様とする。

(政令への委任)

第五条 前三条に定めるもののほか、この法律の施行に関し必要な経過措置(罰則に関する経過措置を含む。)は、政令で定める。

(孤独・孤立対策推進法の一部改正)

第六条 孤独・孤立対策推進法(令和五年法律第四十五号)の一部を次のように改正する。

第二十四条第一項中「第四条第一項第三十五号」を「第四条第一項第三十六号」に改める。

(防衛省が調達する装備品等の開発及び生産のための基盤の強化に関する法律の一部改正)

第七条 防衛省が調達する装備品等の開発及び生産のための基盤の強化に関する法律(令和五年法律第五十四号)の一部を次のように改正する。

第十五条第二項第一号中「この法律」の下に「又は重要経済安保情報の保護及び活用に関する法律(令和六年法律第▼▼▼号)」を加える。

第二十七条第一項中「特別防衛秘密及び」を「特別防衛秘密、」に、「特定秘密に」を「特定秘密及び重要経済安保情報の保護及び活用に関する法律第三条第一項に規定する重要経済安保情報に」に改める。

(内閣府設置法の一部改正)

第八条 内閣府設置法の一部を次のように改正する。

第四条第一項第三十五号中「第三項第二十七号の五」を「第三項第二十七号の六」に改め、同号を同項第三十六号とし、同項第三十四号の次に次の一号を加える。

三十五 重要経済安保情報の保護及び活用に関する法律(令和六年法律第▼▼▼号)に基づく重要経済安保情報の保護及び活用のための基本的な政策に関する事項

第四条第三項中第二十七号の五を第二十七号の六とし、第二十七号の四を第二十七号の五とし、第二十七号の三の次に次の一号を加える。

二十七の四 重要経済安保情報の保護及び活用に関する法律に基づく重要経済安保情報の保護及び活用に関する事務に関すること(他省の所掌に属するものを除く。)。  

理 由

国際情勢の複雑化、社会経済構造の変化等に伴い、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防止する重要性が増大している中で、重要経済基盤に関する情報であって我が国の安全保障を確保するために特に秘匿することが必要であるものについて、これを適確に保護する体制を確立した上で収集し、整理し、及び活用することが重要であることに鑑み、当該情報の保護及び活用に関し、重要経済安保情報の指定、我が国の安全保障の確保に資する活動を行う事業者への重要経済安保情報の提供、重要経済安保情報の取扱者の制限その他の必要な事項を定める必要がある。これが、この法律案を提出する理由である。


 

衆議院で、少し変更されたところがありますね...

衆議院 - 議案情報

まだ、衆議院で審議中になっていますが...

提出回次 番号 議案件名 審議状況 経過情報 本文情報
213 24 重要経済安保情報の保護及び活用に関する法律案 参議院で審議中 経過 本文及び修正案
213 25 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律の一部を改正する法律案 参議院で審議中 経過 本文

 

衆議院での修正


重要経済安保情報の保護及び活用に関する法律案に対する修正案

重要経済安保情報の保護及び活用に関する法律案の一部を次のように修正する。

目次中「第二十一条」を「第二十二条」に、「第二十二条―第二十七条」を「第二十三条―第二十八条」に改める。

第九条第一項中「第十八条第三項」を「第十八条第四項」に改め、同項第一号中「掲げる業務にあっては」の下に「附則第十条の規定に基づいて」を加える。

第十八条第一項中「第三項及び次条において」を「以下」に改め、同条中第三項を第四項とし、第二項の次に次の一項を加える。

3 内閣総理大臣は、毎年、第一項の基準に基づく重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定の状況を前項に規定する者に報告し、その意見を聴かなければならない。

第二十七条第一項中「第二十二条第一項」を「第二十三条第一項」に、「第二十三条第一項」を「第二十四条第一項」に改め、同条を第二十八条とする。

第二十六条第一項中「第二十二条」を「第二十三条」に改め、同条第二項中「第二十三条及び第二十四条」を「第二十四条及び第二十五条」に改め、同条を第二十七条とする。

第二十五条中「第二十二条第三項」を「第二十三条第三項」に、「第二十三条第二項」を「第二十四条第二項」に、「第二十二条第一項」を「第二十三条第一項」に、「第二十三条第一項」を「第二十四条第一項」に改め、同条を第二十六条とする。

第二十四条第一項中「第二十二条第一項」を「第二十三条第一項」に改め、同条第二項中「第二十二条第二項」を「第二十三条第二項」に改め、同条を第二十五条とし、第二十三条を第二十四条とする。

第二十二条第二項中「第十八条第三項」を「第十八条第四項」に改め、同条を第二十三条とし、第七章中第二十一条を第二十二条とし、第二十条を第二十一条とし、第十九条を第二十条とし、第十八条の次に次の一条を加える。

(国会への報告等)

第十九条 政府は、毎年、前条第三項の意見を付して、重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定の状況について国会に報告するとともに、公表するものとする。

附則第一条ただし書中「第八条」の下に「から第十条まで」を加える。

附則第四条中「第二十二条(」を「第二十三条(」に、「第二十三条第一項」を「第二十四条第一項」に、「第二十四条」を「第二十五条」に、「第二十二条等の規定」を「第二十三条等の規定」に、「第二十二条第一項」を「第二十三条第一項」に、「第二十二条第四項」を「第二十三条第四項」に改める。

附則に次の二条を加える。

(指定及び解除の適正の確保)

第九条 政府は、重要経済安保情報の指定及びその解除の適正を確保するために必要な方策について検討し、その結果に基づいて所要の措置を講ずるものとする。

 (国会に対する重要経済安保情報の提供及び国会におけるその保護措置の在り方)

第十条 国会に対する重要経済安保情報の提供については、政府は、国会が国権の最高機関であり各議院がその会議その他の手続及び内部の規律に関する規則を定める権能を有することを定める日本国憲法及びこれに基づく国会法等の精神にのっとり、この法律を運用するものとし、重要経済安保情報の提供を受ける国会におけるその保護に関する方策については、国会において、検討を加え、その結果に基づいて必要な措置を講ずるものとする。


 

 

内閣官房が法案を提出した時...

内閣官房 - 国会提出法案(第213回 通常国会)

法律案 国会提出日 担当部局 資料
重要経済安保情報の保護及び活用に関する法律案 R6.2.27 経済安全保障法制準備室 概要(PDF/267KB)
要綱(PDF/142KB)
法律案・理由(PDF/195KB)
新旧対照表(PDF/94KB)
参照条文(PDF/192KB)

 

 

1_20240511063101

 

 


 

具体的な審査項目は、おそらく米国連邦政府の標準様式86 (SF-86) を真似てくると思うので、私のこちらの記事も参考にしてくださいませ...米国の審査項目の仮対訳を載せています...

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)

 

 

その他、こちらも...

 

まるちゃんの情報セキュリティ気まぐれ日記

日本...

・2024.02.28 内閣 重要経済安保情報の保護及び活用に関する法律案が閣議決定

・2024.02.20 経団連 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言 (2024.02.15)

・2024.01.30 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 最終取りまとめ (2024.01.19)

・2023.12.22 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第9回)

・2023.10.12 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第7回)

・2023.08.27 参議院常任委員会調査室・特別調査室:セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~

・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.10.19 自民党 わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~ (2022.10.04)

 

 

米国...

・2024.02.26 米国 GAO 国防総省インテリジェンス:プログラムの監督を強化しリスクを管理するために必要な行動

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2023.11.20 NIST 意見募集 IR8496 NIST IR 8496(初公開ドラフト) データ収集改善のためのデータ格付の概念と考察

・2023.11.05 RAND研究所 多様で信頼される労働力 - 国家安全保障担当者の審査における偏見の可能性と不公平の原因となりうる要素の検証

・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)

・2022.08.18 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要

・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

 

| | Comments (0)

2024.05.10

ドイツ BSI 重要インフラに関する基本的なデータ(インシデント数も)を公表していますね...

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) が、重要インフラ (Kritischen Infrastrukturen) に関する基本的なデータを公表していますね...

四半期ごとに更新されるようです...

 

ドイツにおける重要インフラはとそれぞれの分野のオペレーター数は現時点では次のようです。

Sektor 分野 オペレーター数
Energie エネルギー 295
Wasser 79
Ernährung 食料 56
IT und Telekommunikation IT・通信 66
Gesundheit ヘルスケア 210
Finanz- und Versicherungswesen 金融・保険 125
Transport und Verkehr 運輸・交通 81
Siedlungsabfallentsorgung 廃棄物処理 207
  合計 1,119

で、報告されたインシデント数も公表されています...

オペレーター数との比率も合わせてみてみるとこんな感じ...

オレンジが少し高めの分野、グリーンが低めの分野...

分野 O:オペレーター数 I:インシデント数 I/O
エネルギー 295 50 0.17
79 10 0.13
食料 56 3 0.05
IT・通信 66 25 0.38
ヘルスケア 210 26 0.12
金融・保険 125 34 0.27
運輸・交通 81 32