« May 2024 | Main | July 2024 »

June 2024

2024.06.30

Originator Profile 技術研究組合 Originator Profile 憲章を制定

こんにちは、丸山満彦です。

インターネット上のニュース記事や広告などの情報コンテンツに、発信者情報を紐付ける Originator Profile(OP)技術を研究開発するOriginator Profile 技術研究組合(OP CIP)(理事長=村井純・慶應義塾大学教授)が、Originator Profile 憲章を制定しましたね...

偽情報等による、社会的な課題を解決するための一つの手段として情報と情報発信主体の真正性と信頼性を保証するための技術とその運用を考えているという感じですかね...

憲章は7月1日から適用です...

 

真正性と信頼性についてのJISでの定義...

真正性 authenticity X 25010:2013 システム及びソフトウェア製品の品質要求及び評価(SQuaRE)―システム及びソフトウェア品質モデル JIS Q 27000:2019 情報技術−セキュリティ技術−情報セキュリティ マネジメントシステム−用語
ある主体または資源の同一性が主張したとおりであることを証明できる度合い エンティティは、それが主張するとおりのものであるという特性。
信頼性 reliability JIS Z 8115:2019 ディペンダビリティ(総合信頼性)用語 JIS Q 27000:2019 情報技術−セキュリティ技術−情報セキュリティ マネジメントシステム−用語
アイテムが、与えられた条件の下で、与えられた期間、故障せずに、要求どおりに遂行できる能力。
注記1 持続時間間隔は、例えば暦時間、動作サイクル、走行距離などのような、当該アイテムに適切な単位で表現されてもよく、かつ、当該単位は常に明確に記載することが望ましい。
注記2 与えられた条件には、動作モード、ストレス水準、環境条件及び保全のような、情頼性に影響する側面が含まれる。
注記3 一般的には、使用期間の始点で、要求機能が遂行できる状態にあることを仮定する。
注記4 信頼性は分類e) 192-05(信頼性性能)の尺度で定量化し得る。
注記5 ソフトウェアアイテムの場合、信頼性は系の運用経過時間中に発生する故障要因の修正及び変更で改善が進み.一般的には、信頼度は経過時間とともに向上していく..[信頼性成長(192-12-03)参照]。
注記6 ソフトウェア信頼性は、特定条件下で使用する…ときのある性能を維持する能力を指す場合が…ある。
注記7 附展書JC及び附属害JF参照。
意図する行動と結果とが一貫しているという特性。

 

Originator Profile 技術研究組合; OP CIP

プレス...

・2024.06.27 「Originator Profile 憲章」を制定しました

 憲章...

Originator Profile 憲章

 

目次的...

前文

第1条(OPの基本理念)

第2条(OPを使う情報発信主体の基本姿勢) 

第3条(OP運用の基本的考え方) 

第4条(OP技術研究組合の基本姿勢)

第5条(倫理委員会)

第6条(憲章の見直し)

【OP憲章起草委員会】(五十音順、敬称略)
  • 宍戸 常寿 (東京大学大学院法学政治学研究科教授)★
  • 鈴木 秀美 (慶應義塾大学メディア・コミュニケーション研究所教授)
  • 曽我部 真裕 (京都大学大学院法学研究科教授)★
  • 鳥海 不二夫 (東京大学大学院工学系研究科教授)
  • 長塚 真琴 (一橋大学大学院法学研究科教授)
  • 林 秀弥 (名古屋大学大学院法学研究科教授)
  • 水谷 瑛嗣郎 (関西大学社会学部准教授)
  • 山本 龍彦 (慶應義塾大学大学院法務研究科教授)★

(注)★は共同座長

 

1_20240630031101

 

 

 

| | Comments (0)

IPA 情報セキュリティ早期警戒パートナーシップガイドラインの改訂 (2024.06.18)

こんにちは、丸山満彦です。

IPAとJPCERT/CCが、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久、慶応義塾大学名誉教授)での検討結果[PDF]「情報システム等の脆弱性情報の取扱いに関する研究会」2023年度報告書及び2024年6月18日の経済産業省告示「[PDF]ソフトウエア製品等の脆弱性関連情報に関する取扱規程」の改正を踏まえ、「[PDF] 情報セキュリティ早期警戒パートナーシップガイドライン」を改訂し、2024年版をIPAのウェブサイトJPCERT/CCのウェブサイトで公開していますね。。。

改訂内容はこちらから...で...

告示の一部改正への対応として、


優先情報提供に関する取扱いの規定改正の反映

  • IPAから実施する優先情報提供に関する規定の追加
  • 上記規定の追加に伴う所要の修正

 

整理すると

まず、関連ウェブページ...

IPA 

・2024.06.18 情報セキュリティ早期警戒パートナーシップガイドライン

JPCERT/CC

・2024.06.18 脆弱性対策情報

 

次に、改訂されたガイドライン

● IPA

・2024.06.18 [PDF] 情報セキュリティ早期警戒パートナーシップガイドライン-2024年版

● JPCERT/CC

・2024.06.18 [PDF] 情報セキュリティ早期警戒パートナーシップガイドライン-2024年版

20240630-14235

 

 

経済産業省の告示...

● 経済産業省

・2024.06.18 [PDF] ソフトウエア製品等の脆弱性関連情報に関する取扱規程

20240630-14340

検討した研究会とその検討結果の報告書

● IPA 

情報システム等の脆弱性情報の取扱いに関する研究会

報告書を発表した際のプレス

・2024.03.27 情報システム等の脆弱性情報の取扱いに関する調査の報告書などを公開

報告書

・2024.03.27 [PDF] 情報システム等の脆弱性情報の取扱いに関する研究会 - 2023 年度 報告書 -

20240630-15313

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

前回のときのだった...

・2020.03.26 IPA 情報システム等の脆弱性情報の取扱いにおける報告書を公開

さらに過去の分もまだらに...(^^)

・2009.06.12 IPA 「情報システム等の脆弱性情報の取扱いに関する研究会」2008年度報告書

・2006.05.20 IPA 情報システム等の脆弱性情報の取扱いに関する研究会報告書

・2005.07.12 IPA 情報セキュリティ早期警戒パートナーシップガイドラインの改訂

| | Comments (0)

経済産業省 著名人・有名企業等なりすまし広告問題に関する3社からの聞き取り結果及び当該結果を踏まえた取組状況の評価

こんにちは、丸山満彦です。

経済産業省が、デジタルプラットフォーム取引透明化法(正式名称は、特定デジタルプラットフォームの透明性及び公正性の向上に関する法律)に基づき、著名人・有名企業等になりすます偽広告への対応についてプラットフォーム事業者に対する聞き取りを行い、その結果と今後の取り組みを公表していますね...

聞き取りをしたプラットフォーム事業者は、Google、Lineヤフー、Metaの3社...

評価は...

(1)アカウントの本人確認強化

(2)広告審査の強化

①広告の審査(当初出稿時、審査通過後の広告内容変更時)

②日本特有の悪質広告に対応する審査体制

ですね...

 

3社中2社からは、なりすまし広告について正規の広告主からの苦情や削除依頼はなかったようですね...残りの1社からは、2024年3月からの約3か月間において、数万件単位の正規の広告主からの削除依頼等があったようですね...

そういえば、Metaでは、著名人の名を語った投資関係の広告が出ていて、色々な人が申し立てをしていたようですが、なかなかなくならなかったのですが、そう言えばこの最近は全くみなくなりましたね...経済産業省効果ですかね(^^)。

 

経済産業省

・2024.06.28 著名人・有名企業等なりすまし広告問題に関する3社からの聞き取り結果及び当該結果を踏まえた取組状況の評価の公表について

・[PDF] なりすまし広告問題に関する3社からの聞き取り結果及び当該結果を踏まえた事務局評価

20240630-03343

 

 

| | Comments (0)

2024.06.29

経済産業省 「生成AI時代のDX推進に必要な人材・スキルの考え方2024」~変革のための生成AIへの向き合い方~

こんにちは、丸山満彦です。

経済産業省が、「生成AI時代のDX推進に必要な人材・スキルの考え方2024」~変革のための生成AIへの向き合い方~を取りまとめていますね...

2021年2月から24回続いている、「デジタル時代の人材政策に関する検討会」で検討されたものですね...

この検討会の座長はNTTデータ経営研究所の三谷さんですね。。。あと、東洋大学の島田さんや、さくらインターネットの田中社長も委員として参加していますね...

成果を明確にするため?緊急性を感じたから?(第12回議事概要生成AI時代のDX推進に必要な人材・スキルの考え方)、デジタル時代の人材政策と謳いながら、生成AIという極めて狭い領域について議論をしたようですね。(この報告書の検討自体は2023年10月20日の第13回から)

求められるなスキル

ビジネスアーキテクト:選択肢から適切なものを判断する選択・評価する力
デザイナー:独自視点の問題解決能力、顧客体験を追求する姿勢
データサイエンティスト:利活用スキル(使う、作る、企画)、背景理解・対応スキル(技術的理解、技術・倫理・推進の各課題対応)
ソフトウェアエンジニア:AIスキル(AIツールを使いこなす)、上流スキル(設計・技術面でビジネス側を牽引)、対人スキル
サイバーセキュリティ:AI活用の利益とリスク評価、社内管理スキル、コミュニケーションスキル

とのことです...

ちょっと読んでおこう。。。

 

経済産業省

・2024.06.28 「生成AI時代のDX推進に必要な人材・スキルの考え方2024」~変革のための生成AIへの向き合い方~ を取りまとめました


(1)生成AIの利活用の現在地

開発者の貢献や企業の前向きな生成AI導入(国内企業の生成AI社内利活用・推進は1年前から大きく進展)。一方で、組織として生成AIの日常業務への組み込み、新サービス創出、これを後押しする経営層の関与が停滞(世界平均より低い)。

(2)生成AI利活用の段階と課題、解決策と今後

組織として生成AIを日常業務に組み込んで利用する取組や、新たなサービス創出につながる活用、また、これを後押しするような経営層の関与において停滞。

  • 利活用を妨げる課題解決に向けた示唆
    ・生成AIへの理解不足と向き合い方:目的志向のアプローチ、環境整備と実験、答えでなく問いを深める
    ・経営層の姿勢、関与:経営層自身がビジョン・方針を定め、変革推進人材の役割を定義
    ・推進人材とスキル:スキルトレンドをデータドリブンに捉え、人材定義・教育・活躍の場作り
    ・データの整備: 全社的なデータマネジメントとデータ「目利き」人材の育成・確保
  • 経験機会の喪失と実践的な教育・人材育成
  • 開発生産性の革新で、新たなベンダー・ユーザーの契機

(3)生成AI時代のDX推進に必要な人材・スキル

  • 生成AIの業務での活用により知識や技術が補填されるため、DX推進人材はより創造性の高い役割としてリーダーシップや批判的思考などパーソナルスキルやビジネス・デザインスキルが重要となる
  • DX推進人材には「問いを立てる力」や「仮説を立て・検証する力」、に加えて「評価する・選択する力」が求められる
  • 求められるスキル
    ビジネスアーキテクト:選択肢から適切なものを判断する選択・評価する力
    デザイナー:独自視点の問題解決能力、顧客体験を追求する姿勢
    データサイエンティスト:利活用スキル(使う、作る、企画)、背景理解・対応スキル(技術的理解、技術・倫理・推進の各課題対応)
    ソフトウェアエンジニア:AIスキル(AIツールを使いこなす)、上流スキル(設計・技術面でビジネス側を牽引)、対人スキル
    サイバーセキュリティ:AI活用の利益とリスク評価、社内管理スキル、コミュニケーションスキル

(4)生成AIを踏まえた人材・スキルの在り方に関する対応

経済産業省の対応として、「デジタルスキル標準(DSS)」の見直し、「デジタルガバナンス・コード」の見直し、AI学習機会の裾野の拡大、生成AI時代に求められる継続的な学びの実現に向けた環境整備に取り組んでいく。


 

・[PDF] 生成AI時代のDX推進に必要な人材・スキルの考え方2024(令和6年6月)<概要>

20240629-100530

 

・[PDF] 生成AI時代のDX推進に必要な人材・スキルの考え方2024(令和6年6月)

20240629-101432

目次...

1.はじめに

2.生成 AI の利活用の現状・課題・今後
2-1. 
日本における生成 AI 利活用の現在地
2-
生成 AI 利活用の段階
2-
生成 AI の利活用を妨げる課題と解決に向けた示唆
2-
経験機会の喪失と実践的な教育・人材育成
2-5. IT
産業へのインパクト

3.生成 AI 時代の DX 推進に必要な人材・スキル
3-1
.生成 AI 時代の DX 推進に必要な人材・スキルの考え方
3-2
.専門人材における共通的な示唆その他
3-3
.ビジネスアーキテクト
3-4
.デザイナー
3-5
.データサイエンティスト
3-6
.ソフトウェアエンジニア
3-7
.サイバーセキュリティ

4.生成 AI を利活用するための人材・スキルのあり方に関する対応
4-1.
経済産業省における政策対応
4-2.
生成 AI の利活用を促進する各種団体における取組例

5.終わりに

参考 1.構成員名簿
参考 2.検討スケジュール・開催実績


 

 

 

 

| | Comments (0)

経済産業省 厚生労働省 「ロボット技術の介護利用における重点分野」を改訂と「介護テクノロジー利用の重点分野」への名称変更

こんにちは、丸山満彦です。

ちょっと気になったので...

介護テクノロジー利用の重点分野として、新たに3分野を追加し、合計で9分野16項目になるようです...

新たに加えた分野...

・機能訓練支援
・食事・栄養管理支援
・認知症生活支援・認知症ケア支援

 

経済産業省

・2024.06.28「ロボット技術の介護利用における重点分野」を改訂しました - テクノロジーの活用で、介護現場の課題解決を推進します!

・・[PDF] 【別添】ロボット技術の介護利用における重点分野(令和6年6月改訂)

・・[PDF] (参考)介護テクノロジー利用の重点分野の全体図と普及率

20240629-74305

移乗支援(装着) 介助者のパワーアシストを行う装着型の機器
移乗支援(非装着) 介助者による移乗動作のアシストを行う非装着型 の機器

排泄支援(排泄物処理) 排泄物の処理にロボット技術を用いた設置位置の 調整可能なトイレ
排泄支援(動作支援) ロボット技術を用いてトイレ内での下衣の着脱等 の排泄の一連の動作を支援する機器
排泄支援(排泄予測・検知)排泄を予測又は検知し、排泄タイミングの把握やトイレへの誘導を支援する機器

移動支援(屋外) 高齢者等の外出をサポートし、荷物等を安全に 運搬できるロボット技術を用いた歩行支援機器
移動支援(屋内)高齢者等の屋内移動や立ち座りをサポートし、特にトイレへの往復やトイレ内での姿勢保持を支援するロボット技術を用いた歩行支援機器
移動支援(装着)
高齢者等の外出等をサポートし、転倒予防や歩行等を補助するロボット技術を用いた装着型の移動支援機器

入浴支援 入浴におけるケアや動作を支援する機器

見守り(施設)介護施設において使用する、各種センサー等や外部通信機能を備えた機器システム、ブラットフォーム
見守り(在宅)在宅において使用する、各種センサー等や外部通言機能を備えた機器システム、ブラットフォーム
コミュニケーション 高齢者等のコミュニケーションを支援する機器

介護業務支援 介護業務に伴う情報を収集・蓄積し、それを基に、高齢者等への介護サービス提供に関わる業務に活用することを可能とする機器・システム

機能訓練支援 介護職等が行う身体機能や生活機能の訓練における各業務(アセスメント・計画作成・訓練実施)を支援する機器・システム
食事・栄養管理支援 高齢者等の食事・栄養管理に関する周辺業務を支援する機器・システム
認知症生活支援・認知症ケア支援 認知機能が低下した高齢者等の自立した日常生活または個別ケアを支援する機器・システム

・・[PDF] (参考)介護テクノロジー利用の重点分野定義

20240629-94751

 

 ● 厚生労働省

・2024.06.28 「ロボット技術の介護利用における重点分野」を改訂しました

・プレスリリース

・【別添】ロボット技術の介護利用における重点分野(令和6年6月改訂)

・(参考)介護テクノロジー利用の重点分野の全体図と普及率

・(参考)介護テクノロジー利用の重点分野定義

 

 

| | Comments (0)

経済産業省 スマートマニュファクチャリング構築ガイドライン

こんにちは、丸山満彦です。

経済産業省とNEDOが、製造事業者各社が直面する経営課題の解決に向けて、経営・業務変革課題の特定を起点としてデジタルソリューションを適用・導入する企画・構想設計に重点を置いた「スマートマニュファクチャリング構築ガイドライン」を共同で策定し、公開していますね...

かなり詳細な資料ですね...

ちなみに、サイバーセキュリティについてはP37に1箇所だけでてきます(^^)

 

NEDO(国立研究開発法人 新エネルギー・産業技術総合開発機構)

・[PDF] スマートマニュファクチャリング構築ガイドライン(令和6年6月初版) (downloaded)

20240629-72245

・[PDF] 別紙_リファレンス1_環境変化項目別変革課題マップの重点 (downloaded)

・[PDF] 別紙_リファレンス2_生産システム類型別変革課題マップの重点 (downloaded)

・[PDF] 別紙_リファレンス3_マニュファクチャリング変革課題マップ (downloaded)

・[PDF] 別紙_リファレンス4_変革課題別実現レベル5段階 (downloaded)

・[PDF] 別紙_リファレンス5_実現レベル別仕組み構築手法 (downloaded)

・[PDF] 別紙_リファレンス6_企画から実装に至るプロジェクト設計 (downloaded)

・[PDF] 別紙_リファレンス7_プロジェクト推進モデル事例集 (downloaded)

・[PDF] 別紙_チーム討議用リファレンス3-5集約版 (downloaded)

 

 

報告書の目次...

1 章 本ガイドラインについて
1.1
本ガイドライン策定の背景とねらい

1.1.1 製造業を取り巻く環境変化
1.1.2 本ガイドラインのねらいと前提

1.2
本ガイドラインの構成
1.2.1
スマート化の道筋を描くための「7 つのリファレンス」
1.2.2 本ガイドライン各章の主な内容

1.3
スマートマニュファクチャリングの概念

2 章 ものづくりの全体プロセスの捉え方
2.1
「マニュファクチャリングチェーン」の全体像
2.1.1 4
つのチェーンで構成するマニュファクチャリングチェーン
2.1.2 チェーン連鎖で描くものづくりの全体プロセス

2.2
4つのチェーンの詳細
2.2.1
エンジニアリングチェーンの詳細
2.2.2 サプライチェーンの詳細
2.2.3 プロダクションチェーンの詳細
2.2.4 サービスチェーンの詳細

3 章 スマート化の思考テンプレート:「変革課題マップ」
3.1
「変革課題マップ」と課題別実現レベル 5 段階

3.1.1
変革に向けた基本スタンス
3.1.2 「マニュファクチャリング変革課題マップ」(リファレンス③抜粋)
3.1.3 「変革課題別実現レベル 5 段階」(リファレンス④抜粋)
3.1.4 「実現レベル別仕組み構築手法」(リファレンス⑤抜粋)

3.2
各チェーンから見た変革課題の位置づけ
3.2.1 エンジニアリングチェーンにおける変革課題マップ
3.2.2 サプライチェーンにおける課題マップ
3.2.3 プロダクションチェーンにおける課題マップ
3.2.4 サービスチェーンにおける課題マップ

3.3
経営目標達成指標(KGI)と変革課題と関連
3.3.1
スマートマニュファクチャリングとKGI
3.3.2 KGI と変革課題との関連

4 章 重点とする変革課題の選定方法
4.1
企業を取り巻く環境変化に基づく重点化(リファレンス抜粋)
4.1.1 企業を取り巻く環境変化
4.1.2 環境変化ごとの重点項目の設定

4.2
生産システム類型に基づく重点化(リファレンス抜粋)
4.2.1
生産システムの特性
4.2.2 生産システム類型区分からの重点項目設定

5 章 スマート化プロジェクトの設計方法
5.1
プロジェクト設計(リファレンス抜粋)
5.1.1 4 つのフェーズによる構成
5.1.2 各フェーズの詳細
5.1.3 各フェーズの実践に向けた補足事項
5.1.4 推進体制の構築
5.1.5 推進スケジュールの設定

5.2
プロジェクト推進モデル事例集(リファレンス抜粋)
5.2.1 モデル事例の構成
5.2.2 モデル事例の内容:タイプ D(抜粋)

あとがき


 

 

| | Comments (0)

経済産業省 「企業情報開示のあり方に関する懇談会 課題と今後の方向性(中間報告)」を取りまとめ (2024.06.25)

こんにちは、丸山満彦です。

経済産業省で今年の4月に企業情報開示のあり方に関する懇談会が設立され、議論されてきたわけですが、課題と今後の方向性についての中間報告が公表されていますね...

サステナビリティ関連情報の開示等に意識がいっているような感じですね...

法定の有価証券報告書、コーポレート・ガバナンス報告書でもサステナビリティ関連の開示が充実してくるようになったことに加えて、任意の統合報告者やサステナビリティレポートを作成・公表する企業が増えていて、企業開示の全体像が見えにくかったり、記載内容の重複だったり、形式ていな記載だったりで、その利用が適切に行われていないのではないかといった課題があるとは思います。一方、作成コストもバカにならないと...

ということで、企業、投資家、学識経験者が集まって、諸外国企業との比較を通じて、日本企業の情報開示の現状を確認し、目指す方向性についての議論をしたようですね...

野村総合研究所の三井千絵さんも参加されていますね...

 

企業に関する情報というのは、その企業を知ろうとすればするほど、企業固有の事情を説明できるような情報・データが必要となり、他企業との比較可能性が困難になります。一方、他企業との比較可能性を高めようとすればするほど、一般的な形式情報が増え、その企業を深く理解する情報・データが少なくなります。

個人的には、文書を作っていくという報告書的なものから、データを中心にした分析的な報告書(その企業を深く理解するための報告書。企業間比較がしやすいような報告書がデータを中心に作成されていくイメージ。)で、イメージ案2に近い感じですね。。。

紙で読むというよりも、ウェブ等で読むことが前提の報告書のイメージ...モジュール化という話もでたようですが、そんな感じですね...

それと、報告書がデータから自動的に作成されるようになれば、監査の対象もデータについてと、表現についてに分けて考えることもできるかもですね...監査の意義ややり方も変わるかもですね...

 

イメージ案2については、現状と異なるので、その移行が課題になりうるのですが、そういうのはいっときの話なので、できる限り短期間にやってしまうように準備をしてやってしまうのでしょうね...(でないと、移行期間中の重複開示、あるいは、比較可能性の減少が生じて社会的なコストが大きくなるので)

 

ちなみにイメージ案2

2_20240629064201

 

ついでにイメージ案1

1_20240629064201

 

● 経済産業省

・2024.06.25 「企業情報開示のあり方に関する懇談会 課題と今後の方向性(中間報告)」を取りまとめました


近年、企業の情報開示は、その量が増加傾向にあることに加えて、特に我が国においては、任意の報告書なども含めて、様々な媒体(有価証券報告書、事業報告・計算書類、統合報告書等)を通じた進展が見られます。こうした進展の一方で、日本企業の情報開示については、開示体系の複雑性や、開示内容の充実化の必要性、開示量の増加に伴う課題などについて国内外から指摘されています。

投資家等との建設的な対話・エンゲージメントを通じて、持続的な企業価値の向上を目指していくためには、投資家等の特性に応じた開示の検討を含め、企業・投資家等の双方にとって効率的かつ効果的な開示の在り方を検討することが必要と考えられます。

こうした問題意識を踏まえ、本懇談会では、諸外国企業との比較を通じ、日本企業の情報開示の現状を確認した上で、主に、(1)開示体系、(2)サステナビリティ情報を含めた企業価値向上に資する情報開示という二つの観点から、日本企業の情報開示の課題と将来の方向性について議論してきました。今般、これまで3回の議論の結果を中間報告として公表します。


 

・[PDF] 企業情報開示のあり方に関する懇談会 課題と今後の方向性(中間報告)

20240629-60555

目次...

I. はじめに

II. 日本企業の情報開示に関する課題等
1.
企業価値向上に資する情報開示の内容・質に関する課題
 ① 有価証券報告書
 ② コーポレート・ガバナンス報告書
 ③ 統合報告書

2.
企業情報開示の体系に関する課題
 ① 開示書類間の記載内容の重複について
 ② 有価証券報告書と統合報告書の使い分けの実態と課題について
 ③ 各報告書の一本化について

III. 新たな情報開示のあり方に関するアイデア等
1.
グランドデザイン
2.
イメージ案 1:法定開示と任意開示の役割分担
3.
イメージ案 2:二層構造の開示体系
4.
イメージ案 12 に共通するポイント
 ① 事業報告等、有価証券報告書とコーポレート・ガバナンス報告書の一体開示
 ② 定時株主総会前の一体書類の開示
 ③ 英文による情報開示
 ④ XBRL 化

5.
将来の企業情報開示に関する議論
 ① 目指すべき開示体系
 ② イメージ案 2 の課題
 ③ 新たな開示体系への移行(企業規模等に応じた情報開示)
 ④ その他の論点

IV. おわりに

 

そのた関連情報

 


 

まるちゃんの情報セキュリティ気まぐれ日記

ESG, CSR 関係...

ESG/CSR

 

情報開示関係...

・2024.06.09 金融庁 コーポレートガバナンス改革の実践に向けたアクション・プログラム 2024

・2024.06.03 金融庁 スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議(第29回)議事録

・2024.01.18 金融庁 コーポレートガバナンス改革に向けた取組みに関するウェブページを開設 (2024.01.15)

・2023.10.28 SECが2024年度の審査強化項目を公表していますね。。。

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

・2023.02.16 SECが2023年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2023.02.07)

・2022.12.07 英国 投資家等に対するサイバーセキュリティのリスクに対する開示等の個人的な整理....

・2022.04.05 SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31)

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

・2021.09.20 米国 SEC長官の上院での証言(2) 投資家はサイバーセキュリティに関する情報を企業に求めている

・2021.04.27 欧州委員会 非財務情報開示指令の改正案発表 対象企業が大幅に増加

・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03

 

遡って...

・2011.10.31 SEC サイバーセキュリティリスクとインシデントについての開示 (CF Disclosure Guidance: Topic No. 2 Cybersecurity)

・2011.03.21 今こそ問われる、CSR報告書、企業行動憲章

・2009.09.15 経団連 CSR(企業の社会的責任)に関するアンケート調査結果

・2007.01.22 CSR情報開示 世界格付け S&P Global Reporters 2006

| | Comments (3)

2024.06.28

個人情報保護委員会 意見募集 いわゆる3年ごと見直しに係る検討の中間整理

こんにちは、丸山満彦です。

個人情報保護委員会(第292回)でいわゆる3年ごと見直しに係る検討の中間整理(案)が議論され、意見募集がされていますね...(ただし、意見をだしても回答はないようです...)

個人情報保護委員会

・2024.06.26 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」の公表及び同整理に対する意見募集

・・報道発表資料  [PDF] プレスリリース

・・別添1[PDF] 中間整理

20240628-44338

目次...

第1 はじめに(中間整理の位置づけ等)

第2 個別検討事項

1 個人の権利利益のより実質的な保護の在り方
(1)個人情報等の適正な取扱いに関する規律の在り方
(2)第三者提供規制の在り方(オプトアウト等)
(3)こどもの個人情報等に関する規律の在り方
(4)個人の権利救済手段の在り方

2 実効性のある監視・監督の在り方
(1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方
(2)刑事罰の在り方
(3)漏えい等報告・本人通知の在り方

3 データ利活用に向けた取組に対する支援等の在り方
(1)本人同意を要しないデータ利活用等の在り方
(2)民間における自主的な取組の促進

4 その他
参考

・・別添2[PDF] 意見募集要領 

 

このページのライバルページ(^^)

個人情報保護法 いわゆる3年ごと見直しについてのページ...

・・2024.06.27 [PDF] 個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理 

 

あと、今回のヒアリングには呼ばれていませんが、かつて米国企業のアジアCPOをしていて、2004年10月に経済産業省がだした、[PDF] 個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインを作成する委員会(ちなみに委員長は現在の個人情報保護委員長の藤原静雄先生)で私と一緒に委員だった佐藤慶浩さんのご意見も是非参考に...

米国の感覚が少しはわかるかもです...

当時から佐藤さんは、利用目的管理の重要性を言っていましたね...

 

● 砂糖の甘い付箋

・2024.06.27 日本の個人情報保護と米国のプライバシー尊重の違い

 

 


内容...

個別の検討事項は、

1 個人の権利利益のより実質的な保護の在り方
(1)個人情報等の適正な取扱いに関する規律の在り方
(2)第三者提供規制の在り方(オプトアウト等)
(3)こどもの個人情報等に関する規律の在り方
(4)個人の権利救済手段の在り方

2 実効性のある監視・監督の在り方
(1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方
(2)刑事罰の在り方
(3)漏えい等報告・本人通知の在り方

3 データ利活用に向けた取組に対する支援等の在り方
(1)本人同意を要しないデータ利活用等の在り方
(2)民間における自主的な取組の促進

なのですが、

それ以外も...ということで、

  • プロファイリング(本人に関する行動・関心等の情報を分析する処理)
  • 個人情報等に関する概念の整理
  • プライバシー強化技術(「PETs」:Privacy Enhancing Technologies)の位置づけの整理
  • 金融機関の海外送金時における送金者への情報提供義務の在り方
  • ゲノムデータに関する規律の在り方
  • 委員会から行政機関等への各種事例等の情報提供の充実
  • 委員会が関係の深いステークホルダーと透明性のある形で継続的に議論する場を設け、以下の項目等を検討していく
    • 個人情報保護政策の方向性や、
    • 本人同意を要しない公益に資するデータ利活用に関係するガイドライン等の見直しの在り方

 


 

【考え方】の部分だけ抜粋...

1 個人の権利利益のより実質的な保護の在り方

(1)個人情報等の適正な取扱いに関する規律の在り方

ア 要保護性の高い個人情報の取扱いについて(生体データ)

生体データは、長期にわたり特定の個人を追跡することに利用できる等の特徴を持ち得るものであり、特に、特定の個人を識別することができる水準が確保されている場合において、通常の個人情報と比較して個人の権利利益に与える影響が大きく、保護の必要性が高いと考えられる。他方、生体データは本人認証に広く利用されているほか、犯罪予防や安全確保等のために利用することも想定されるものである。これを踏まえ、生体データの取扱いについて、諸外国における法制度なども参考にしつつ、特に要保護性が高いと考えられる生体データについて、実効性ある規律を設けることを検討する必要がある。この点について、関係団体からは、事業者の自主的な取組を促進すべきとの声もあるが、本人関与や安全管理措置等を通じた個人の権利利益の保護とのバランスを踏まえ検討を進める必要がある。

まず、現行法上、個人情報の利用目的については、「できる限り特定」しなければならないとされているが(法第 17 条第1項)、生体データの要保護性を踏まえると、生体データを取り扱う場合においては、例えば、どのようなサービスやプロジェクトに利用するかを含めた形で利用目的を特定することを求めることが考えられる。

また、個人の権利利益の保護という観点からは、生体データの利用について、本人がより直接的に関与できる必要がある。そのため、生体データの取扱いに関する一定の事項を本人に対し通知又は十分に周知することを前提に、本人による事後的な利用停止を他の保有個人データ以上に柔軟に可能とすることが考えられる。

このほか、必要となる規律の在り方について、事業者における利活用の実態やニーズ、運用の負担、利用目的の違いによる影響なども考慮して検討する必要がある。

イ 「不適正な利用の禁止」「適正な取得」の規律の明確化

不適正な利用の禁止、適正な取得の規定については、個人の権利利益の保護により資するものとするとともに、事業者による予測可能性を高める観点から、適用される範囲等の具体化・類型化を図る必要がある。具体化・類型化に際しては、これまでに問題とされた事例等を踏まえて検討することが必要である。

また、現行法の個人情報の取扱いに係る規律は、本人が、自らの個人情報の提供等について、自らの自律的な意思により選択をすることが可能である状況にあることを前提としていると考えられる。他方、個人情報取扱事業者と本人との関係によっては、本人にそのような選択を行うことが期待できない場合があり得る。そのため、こうした場合において、本人との関係に照らして当然認められるべき利用目的以外の利用目的で個人情報を取得・利用することや、当然認められるべき利用目的の達成に真に必要な範囲を越えて個人情報を取得・利用すること等について、不正取得や不適正利用等の規律をどのように適用すべきか、継続的に検討する必要がある。

個人関連情報については、事業者が、電話番号、メールアドレス、Cookie ID など、個人に対する連絡が可能な情報を有している場合 [1]には、個人関連情報の取扱いによりプライバシーなどの個人の権利利益が侵害される蓋然性が認められ、その侵害の程度・蓋然性は、事業者による利用の方法によっては、個人情報と同様に深刻なものになり得ると考えられる。そのため、このような場合につい

て、不正取得や不適正利用等への対応の在り方を検討する必要がある。

(2)第三者提供規制の在り方(オプトアウト等)

オプトアウト届出事業者は、提供先の利用目的や身元等について、その内容や真偽を積極的に確認する義務まではないことから、明確に認識しないまま意図せず犯罪グループに名簿を提供してしまうことが生じ得る。そこで、一定の場合には提供先の利用目的や身元等を特に確認する義務を課すことについて検討する必要がある。その際、確認義務の要件についての検討や、住宅地図等を広く市販する場合など規律の在り方についても検討が必要である。

また、不正に名簿等を持ち出した者が、当該名簿等により利益を得る有力な方法として、オプトアウト届出事業者への販売が想定される。そのため、オプトアウト届出事業者には、取得元における取得の経緯や取得元の身元等の確認について、より高度の注意義務を課すことが考えられる。具体的には、一定の場合には取得元の身元や取得の適法性を示す資料等を特に確認する義務を課すことについて検討する必要がある。その際、確認義務の要件や対象の類型化についての検討が必要である。

さらに、本人が、オプトアウト届出事業者によって個人情報が提供されており、かつ、当該提供の停止を求めることができることを確実に認識できるようにするための措置など、本人のオプトアウト権行使の実効性を高めるための措置について、継続して検討する必要がある。

(3)こどもの個人情報等に関する規律の在り方

こどもの個人情報の取扱いに係る規律については、こどもの脆弱性・敏感性及びこれらに基づく要保護性を考慮するとともに、学校等における生徒の教育・学習に関するデータの有用性も考慮する必要がある。これを踏まえ、主要各国においてこどもの個人情報等に係る規律が設けられており、執行事例も多数見られることも踏まえ、こどもの権利利益の保護という観点から、規律の在り方の検討を深める必要がある。

他方で、第三者が公開したこどもの個人情報を取得する場合などにおいては、取得した情報にこどもの個人情報とこども以外の者の個人情報が含まれている場合や、こどもの個人情報が含まれているかが明らかでない場合があり得ることから、こうした場合における事業者の負担を考慮する必要がある。

ア 法定代理人の関与

現行法上、原則として本人同意の取得が必要とされている場面(目的外利用(法第18条第2項)、要配慮個人情報の取得(法第20条第2項)、個人データの第三者提供(法第27条第1項、第28条1項)、個人関連情報の第三者提供(法第31条第1項)など)において、こどもを本人とする個人情報について、法定代理人の同意を取得すべきことを法令の規定上明確化することを検討する必要がある。

また、本人に対する通知等が必要となる場面(利用目的の通知(法第21条第1項)、本人から直接書面に記載された個人情報を取得する場合における利用目的の明示(同条第2項)、漏えい等に関する本人への通知(法第26条第2項)など)においても、こどもを本人とする個人情報について、法定代理人に対して情報提供すべきことを法令の規定上明文化することを検討する必要がある。

イ 利用停止等請求権の拡張

現行法上、利用停止等請求権を行使できる場面は、保有個人データについて違法行為があった場合等限定的であるが、こどもの要保護性を踏まえると、こどもを本人とする保有個人データについては、他の保有個人データ以上に柔軟に事後的な利用停止を認めることについて検討する必要がある。ただし、取得について法定代理人の同意を得ている場合等、一定の場合においてはその例外とすることも考えられる。

ウ 安全管理措置義務の強化

重大なこどもの個人情報の漏えい事件が国内で発生しており、委員会においても前述の大手学習塾に対する指導に際して「こどもの個人データについては、こどもの「安全」を守る等の観点から、特に取扱いに注意が必要であり、組織的、人的、物理的及び技術的という多角的な観点からリスクを検討し、必要かつ適切な安全管理措置を講ずる必要がある」旨述べているところである。そこで、こどもの個人データについて安全管理措置義務を強化することがあり得る。

 エ 責務規定

上記アからウにかかわらず、各事業者の自主的な取組の促進という観点からは、こどもの個人情報等の取扱いについては、こどもの善の利益を優先し特別な配慮を行うべき等、事業者等が留意すべき責務を定める規定を設けることも検討する必要がある。

オ 年齢基準

こどもの個人情報等の取扱いに係る年齢基準の考え方については、国内外の法制度において様々な年齢基準が設けられていることや、対象年齢によっては事業者等の負担が大きくなることも考慮する必要があるが、対象とするこどもの年齢については、Q&Aの記載やGDPRの規定の例などを踏まえ、16歳未満とすることについて検討を行う。

(4)個人の権利救済手段の在り方

法の規定に違反する個人情報の取扱いに対する抑止力を強化し、本人に生じた被害の回復の実効性を高めるという観点からは、適格消費者団体を念頭に置いた、団体による差止請求制度や被害回復制度 [2]の枠組みは有効な選択肢となり得る。

このうち、差止請求制度については、法に違反する不当な行為を対象行為とすることを検討すべきである。差止請求の実効的な運用のためには、次の課題が指摘されている一方で、差止請求は個人の権利利益保護の手段を多様化する、委員会の監視・監督機能を補完し得るとの指摘もあることから、継続して検討する必要がある。

・ 専門性の確保(法に精通した人材を各適格消費者団体が確保しているとは限らないため、研修等の実施や、制度導入初期段階での専門家確保のための施策が必要と考えられる。)

・ 端緒情報等の共有・立証等における考慮(委員会が取得している情報のうち重大案件と考えられるものについて、事業者名を特定して適格消費者団体に提供できると、制度が効果的に機能すると考えられる。また、事業者の応答を促す仕組み等についても検討すべき。)

・ 報告、監督窓口の一本化(年次の報告先等が2箇所となれば適格消費者団体の負担となる。)

・ 資金を含む団体への援助(適格消費者団体は限られた資金の下ボランティアベースで運営されている団体が大多数。)

もう一方の被害回復制度については、差止請求制度の課題に加え、個人情報の漏えいに伴う損害賠償請求は極端な少額大量被害事案となる(過去の裁判例等を踏まえると、認容被害額は数千円から数万円程度と考えられる。)こと、立証上の問題があることが課題と考えられることから、更に慎重な検討が必要である。

他方で、団体による差止請求や被害回復の枠組みについては、関係団体からのヒアリングにおいて、その導入について強く反対との意見があったところであり、法に違反する行為や不法行為を対象とする場合であっても、萎縮効果の懸念が示されていることから、事業者の負担と個人の権利利益の保護とのバランスを踏まえつつ、その導入の必要性を含めて多角的な検討を行っていく必要がある。

 

2 実効性のある監視・監督の在り方

(1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方

ア 課徴金制度

課徴金制度については、関係団体からのヒアリングで強い反対意見が示されていることに加え、我が国の他法令における導入事例や国際的動向、個人の権利利益保護と事業者負担とのバランスを踏まえ、その導入の必要性を含めて検討する必要がある。

課徴金制度を導入する必要があると考えられる場合には、次のような論点を整理する必要がある。

・ 課徴金賦課の対象となる違法行為類型(現行法の指導・勧告・命令のみでは違反行為により得た利得が事業者の元に残ることとなり、事業者による個人の権利利益の侵害を効果的に抑止できないことを前提に、個人データの違法な第三者提供等の違反行為によって不当な利得を得ている場合や、個人データの漏えい等が発生している可能性を認識したにもかかわらず、適切な措置を講じることを怠る等の悪質な違反行為により、本来なすべき支払を免れた場合等について検討することが必要である。)

・ 課徴金の算定方法(例えば、個人データを販売することを通じて違法に第三者に提供した場合については、販売による売上という不当な利益が生じている点に着目することが考えられる。他方、悪質な安全管理措置義務違反の場合には、本来なすべき支払を免れた結果として、事業活動から得られる利益が増加している点に着目することが考えられる。)

・ 課徴金の 低額の設定、一定の要件を満たした場合の課徴金の加減算等

イ 勧告・命令の在り方

勧告・命令に関しては、個人情報取扱事業者等による法に違反する個人情報等の取扱いにより個人の権利利益の侵害が差し迫っている場合に直ちに中止命令を出すことの必要性や、法に違反する個人情報等の取扱いを行う個人情報取扱事業者等のみならず、これに関与する第三者に対しても行政上の措置をとることの必要性、法に違反する個人情報等の取扱いの中止のほかに個人の権利利益の保護に向けた措置を求めることの必要性の有無や手続保障など、その法制上の課題等について検討すべきである。

(2)刑事罰の在り方

個人情報が不正に取り扱われた悪質事案の類型が様々であることを踏まえ、法の直罰規定がこれらの事案を過不足なく対象としているかを検証し、その処罰範囲について検討するとともに、法定刑の適切性についても検討する必要がある。

さらに、個人情報の詐取等の不正取得が多数発生している状況を踏まえ、こうした行為を直罰規定の対象に含めるべきかについても検討する必要がある。

3)漏えい等報告・本人通知の在り方

ア 漏えい等報告

漏えい等報告及び本人通知に関し、漏えい等報告の件数は、令和4年度(2022 年度)から漏えい等報告が義務化されたこと等により、令和元年度(2019年度)以降全体として増加傾向にある一方で、関係団体等からはこれらの義務が事業者の過度な負担になっているという意見が示されている。

そこで、こうした意見も踏まえつつ、委員会がこれまでに受けた漏えい等報告の内容を検証した上で、上記制度の趣旨を損なわないようにしつつ、個人の権利利益侵害が発生するリスク等に応じて、漏えい等報告や本人通知の範囲・内容の合理化を検討すべきである。

この点、①上記のように、委員会がこれまでに受けた漏えい等報告を件数ベースでみると、漏えいした個人データに係る本人の数が1名である誤交付・誤送付案件が大半を占めているが、このようなケースは、当該本人にとっては深刻な事態になり得るものであり、本人通知の重要性は変わらないものの、本人通知が的確になされている限りにおいては、委員会に速報を提出する必要性が比較的小さい。また、②漏えい等又はそのおそれを認識した場合における適切な対処(漏えい等が生じたか否かの確認、本人通知、原因究明など)を行うための体制・手順が整備されていると考えられる事業者については、一定程度自主的な取組に委ねることも考えられる。そこで、例えば、体制・手順について認定個人情報保護団体などの第三者の確認を受けることを前提として、速報については、一定の範囲でこれを免除し、さらに①のようなケースについては確報について一定期間ごとの取りまとめ報告を許容することも考えられる。

また、関係団体からは、いわゆる「おそれ」要件についての要望も示されている。「おそれ」については、個人の権利利益を害する可能性等を勘案してより合理的と考えられる場合に報告や本人通知を求めることが適当であるとも考えられるが、その具体的な当てはめについては、現実の事例に応じて精査する必要がある。事業者の協力も得ながら、実態を明らかにした上で検討を行い、必要となる要件の明確化を行うことが必要である。

イ 違法な第三者提供

現行法においては、事業者が個人データを違法に第三者に提供した場合について、報告義務及び本人通知義務は存在しないが、個人データが漏えい等した場合については事業者にこれらの義務が課されることとの均衡から、漏えい等との違いの有無も踏まえ、その必要性や報告等の対象となる範囲を検討する必要がある。

 

3 データ利活用に向けた取組に対する支援等の在り方

(1)本人同意を要しないデータ利活用等の在り方

昨今のデジタル化の急速な進展・高度化に伴い、生成AI等の新たな技術の普及等により、大量の個人情報を取り扱うビジネス・サービス等が生まれている。また、健康・医療等の公益性の高い分野を中心に、機微性の高い情報を含む個人情報等の利活用に係るニーズが高まっている。このほか、契約の履行に伴う個人情報等の提供や、不正防止目的などでの利活用についてもニーズが寄せられている。

こうした状況を踏まえ、法で本人同意が求められる規定の在り方について、個人の権利利益の保護とデータ利活用とのバランスを考慮し、その整備を検討する必要がある。この場合においては、単に利活用の促進の観点から例外事由を認めるのは適当ではなく、本人の権利利益が適切に保護されることを担保することが必要である。

まず、生成AIなどの、社会の基盤となり得る技術やサービスのように、社会にとって有益であり、公益性が高いと考えられる技術やサービスについて、既存の例外規定では対応が困難と考えられるものがある。これらの技術やサービスについては、社会的なニーズの高まりや、公益性の程度を踏まえて、例外規定を設けるための検討が必要である。この際、「いかなる技術・サービスに高い公益性が認められるか」について、極めて多様な価値判断を踏まえた上で高度な意思決定が必要になる。個人の権利利益の保護とデータ利活用の双方の観点から多様な価値判断が想定されるものであり、関係府省庁も含めた検討や意思決定が必要と考えられる。

また、医療機関等における研究活動等に係る利活用のニーズについても、公益性の程度や本人の権利利益保護とのバランスを踏まえて、例外規定に係る規律の在り方について検討する必要がある。例えば、医療や研究開発の現場における公衆衛生例外規定の適用のように、例外規定はあるものの、適用の有無に関する判断にちゅうちょする例があるとの指摘がある。こうした点等については、事業者の実情等も踏まえつつ、関係府省庁の関与を得ながら、ガイドラインの記載等についてステークホルダーと透明性のある形で議論する場の設定に向けて検討する必要がある。

(2)民間における自主的な取組の促進

PIA・個人データの取扱いに関する責任者は、データガバナンス体制の構築において主要な要素となるものであり、その取組が促進されることが望ましい。他方、これらの義務化については、各主体における対応可能性や負担面などを踏まえ、慎重に検討を進める必要がある。

PIAについては、民間における自主的な取組という現状の枠組みを維持しつつ、その取組を一層促進させるための方策について、PIAの出発点となり得るデータマッピングを活用していくことを含め、検討を進める必要がある。

個人データの取扱いに関する責任者に関しては、現行の通則ガイドライン等で定める「組織体制の整備」を超えた措置の必要性について検討を進めるべきである。資格要件の要否、設置を求める対象事業者の範囲等によりその効果が変わってくると考えられるところ、各企業の現状も踏まえ、現実的な方向性を検討する必要がある。

 

[1] 個人関連情報とは、「Cookie 等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履 歴」や「メールアドレスに結び付いた、ある個人の年齢・性別・家族構成」等がこれに該当する。ただ し、これらの情報が個人情報に該当する場合には、個人関連情報には該当しない。

[2] なお、仮名加工情報を取り扱う場合には、電話をかけ、郵便若しくは信書便により送付し、電報を送達 し、ファクシミリ装置若しくは電磁的方法を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報の利用を行ってはならないこととされている(法第 41 条第8項)。

 

 

 

 


 

適時の紹介はしていなかった、289回と290回...

  • 289回(技術的専門性のある方)
    • 佐藤一郎さん
    • 高木浩光さん
  • 290回(法的専門性のある方)
    • 板倉陽一郎さん
    • 鈴木正朝さん

です。みなさんのことは昔から存じていますが、その主張やその表現に人柄が現れているように感じます。

板倉先生のコメントはわかりやすく参考になると思います...

 

個人情報保護委員会

・[PDF] 第二次いわゆる3年ごと見直しへのコメント(ひかり総合法律事務所 板倉弁護士)

20240626-71551

 

・[PDF] デジタル社会の個人情報保護法(新潟大学 鈴木教授)

20240626-71611

 

・[PDF] 個人情報保護委員会「いわゆる3年ごと見直し」ヒアリング(国立情報学研究所 佐藤教授) 

20240626-71705

 

・[PDF] 個人情報保護法3年ごと見直し令和6年に対する意見(産業技術総合研究所 高木主任研究員)

20240626-71729

 

3年ごとの見直し...

 2024.06.26  第292回個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理(案)
【委員長預かりで会議後に修正した資料】 資料1 個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理
資料2−1 日EU相互認証の枠組みの拡大に向けた対応について
資料2−2 個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長(価値・透明性担当)の会談に関する共同プレス・ステートメント(英語)
資料2−3 個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長(価値・透明性担当)の会談に関する共同プレス・ステートメント(日本語仮訳)
資料3 一般送配電事業者及び関係小売電気事業者等における顧客情報の不適切な取扱事案に対する個人情報の保護に関する法律に基づく行政上の対応について
議事概要  
議事録  
2024.06.13 第290回個人情報保護委員会
資料1-1 第二次いわゆる3年ごと見直しへのコメント(ひかり総合法律事務所 板倉弁護士)
資料1-2 デジタル社会の個人情報保護法(新潟大学 鈴木教授)
議事概要  
議事録  
2024.06.12 第289回個人情報保護委員会
資料1-1 個人情報保護委員会「いわゆる3年ごと見直し」ヒアリング(国立情報学研究所 佐藤教授) 
資料1-2 個人情報保護法3年ごと見直し令和6年に対する意見(産業技術総合研究所 高木主任研究員)
議事概要  
議事録  
2024.06.03 第287回個人情報保護委員会
資料1-1 個人情報保護法見直しに関するコメント(京都大学 曽我部教授)
資料1-2 いわゆる3年ごと見直しに関する意見(慶應義塾大学 山本教授) 
資料1-3 3年ごと見直しヒアリング2024(英知法律事務所 森弁護士) 
資料1-4-1 個人情報保護法のいわゆる3年ごと見直しに関する意見(東京大学 宍戸教授)
資料1-4-2 宍戸常寿氏御提出資料(令和元年5月21日提出)
議事概要  
議事録  
2024.05.29 第286回個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方③)
議事概要  
議事録  
2024.05.15 第284回個人情報保護委員会
資料2 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(データ利活用に向けた取組に対する支援等の在り方)
資料3 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方②)
議事概要  
議事録  
2024.05.10 第283回個人情報保護委員会
資料1-1 個人情報保護法における課徴金制度導入にかかる諸論点(名古屋大学 林教授)
資料1-2 個人情報保護法における法執行の強化について(神戸大学 中川教授)
議事概要  
議事録  
2024.04.24 第281回個人情報保護委員会
資料1 個人情報保護法の3年ごと見直しに対する意見
資料2 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方③)
議事概要  
議事録  
2024.04.10 第280回個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方② )
議事概要  
議事録  
2024.04.03 第279回個人情報保護委員会
資料1―1 AIと個人情報保護:欧州の状況を中心に(一橋大学 生貝教授) 
資料1―2 AI利用と個人情報の関係の考察(NTT社会情報研究所 高橋チーフセキュリティサイエンティスト)
資料1−3 医療情報の利活用の促進と個人情報保護(東京大学 森田名誉教授)
資料1―4 医療・医学系研究における個人情報の保護と利活用(早稲田大学 横野准教授)
議事概要  
議事録  
2024.03.22 第277回個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方①)
議事概要  
議事録  
2024.03.06 第275回個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)
議事概要  
議事録  
2024.02.21 第273回個人情報保護委員会
資料4 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討項目
【委員長預かりで会議後に修正した資料】資料4 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討項目
議事概要   
議事録   
2024.02.14 第272回個人情報保護委員会
資料2-1 地方公共団体における個人情報保護法運用状況のヒアリング(京都府総務部政策法務課)
資料2-2 岡山市における個人情報保護法の運用状況(岡山市総務局行政事務管理課)
資料2-3 個人情報保護法運用状況について(都城市総務部総務課)
資料2-4 個人情報保護法運用状況について(上里町総務課)
議事概要  
議事録  
2024.02.07 第271回個人情報保護委員会
資料1 インターネット広告における個人に関する情報の取扱いについての取組状況(日本インタラクティブ広告協会)
議事概要   
議事録  
2024.01.31 第270回個人情報保護委員会
資料2 個人情報保護法の3 年ごと見直しに対する意見(日本経済団体連合会)
議事概要  
議事録   
2024.01.23 第268回個人情報保護委員会
資料1―1 (特定)適格消費者団体の活動について(消費者支援機構関西)
資料1―2 個人情報保護委員会ヒアリング資料(日本商工会議所)
議事概要  
議事録  
2023.12.21 第266回個人情報保護委員会
資料1―1 個人情報保護法の3年ごと見直しに関する意見(電子情報技術産業協会)
資料1―2 ヒアリング資料(全国商工会連合会)
議事概要  
議事録  
2023.12.20 第265回個人情報保護委員会
資料1―1 ACCJ Comments for the Personal Information Protection Commission Public Hearing(在米国商工会議所)
資料1―2 公開ヒアリングに向けたACCJ意見(在米国商工会議所)
議事概要  
議事録  
2023.12.15 第264回個人情報保護委員会
資料1―1 個人情報保護法の見直しについて(新経済連盟)
資料1―2 個人情報保護法見直しに関する意見(日本IT団体連盟) 
議事概要  
議事録  
2023.12.06 第263回個人情報保護委員会
資料2 個人情報保護法に関する欧州企業の代表的な課題(欧州ビジネス協会)
議事概要  
議事録   
2023.11.29 第262回個人情報保護委員会
資料1 ヒアリング資料(一般社団法人日本情報経済社会推進協会)
議事概要  
議事録   
2023.11.15 第261回個人情報保護委員会
資料2-1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討 
資料2-2 個人情報保護に係る主要課題に関する海外・国内動向調査 概要資料
議事概要  
議事録  

 

 

以前、このブログにも書いた私の考えですが...

個人情報保護委員会の事務局長とお話をした時に、私も結果的にグローバルスタンダードになっているGDPRとの整合(ブラッセル効果をなんでうけなあかんねん!なんですけどね...)と、もう一方の米国の規制については考慮すべきという話をしました。具体的には、以前にも書いていますが、、、

法令の見直しという点では、

  • 悪徳事業者への罰金等の増額
  • 拡大した個人情報の定義についてのGDPR等との整合性の確保のための整理
  • 子供の個人情報保護のための規定の追加
  • 各個別分野(医療、金融、通信、その他重要インフラ分野)等における課題の調整

というのが必要かと思っていて、

さらにガイドライン及びFAQにおいて

  • 改訂部分の説明と事例の提示
  • AIの利活用における考え方の整理と具体例の提示
  • 公益性とプライバシー保護のグラデーションの整理と事例の提示
  • 漏えい等の報告におけるルールのさらなる明確化と事例の追加(例えば、報告が不要な軽微な例)

そして、政策的には

  • G7、G20各国等の主要国とのプライバシー保護に関する規制の調整に関するリーダーシップをとるための体制の整備
  • 国内省庁との連携体制の強化(例:子ども家庭庁、国家安全保障委員会)のための体制の強化
  • 国民への周知等(例:より幅広い層へのアクセス手段の拡大、教育現場への教育ツールの提供)の強化

というのが必要と思っています...

あと、加えて安全保障との関係の整理も別途必要となりそうですね...

医療情報、災害時と同様に一般的な利活用と保護のバランスではないので、別途検討が必要となるかもですね...

| | Comments (0)

米国 国防総省がIT推進戦略 (FULCRUM) を発表 (2024.06.25)

こんにちは、丸山満彦です。

米国国防総省がIT推進戦略 (FULCRUM) を発表していますね...

戦闘フィールドも含めたIT推進戦略ということだと思います。もちろん、サイバーセキュリティ対応も含まれています。

民間企業にも役立つ気づきがあると思いますので、目を通したらどうかと思います...

(あっ、ここにもデジタル人材 (digital workforce) が!...)

 

ちなみに、Fulcrumとはテコの支点 (pivot point) のことで、ものごとの中心といった感じです...

 

IT推進戦略の概要...

LOE 1: Provide Joint Warfighting IT capabilities to expand strategic dominance of U.S. Forces & mission partners.  LOE 1:米軍とミッション・パートナーの戦略的優位性を拡大するために、統合戦闘IT能力を提供する。 
1.1 Provide an intuitive and adaptive user experience 1.1 直感的で適応力のあるユーザー体験を提供する 
1.2 Treat and secure data as a strategic product 1.2 データを戦略的産物として扱い、保護する 
1.3 Harness advanced technologies for strategic advantage 1.3 戦略的優位性のために先端技術を活用する 
1.4 Outpace adversaries with Global C3 capabilities 1.4 グローバルC3能力で敵に打ち勝つ 
LOE 2: Modernize information networks and compute to rapidly meet mission and business needs.  LOE 2: 情報ネットワークとコンピュートを近代化し、ミッションとビジネスのニーズに迅速に対応する。 
2.1 Optimize the DoD Information Network (DoDIN) foundation 2.1 国防総省情報ネットワーク(DoDIN)の基盤を最適化する
2.2 Enable global dynamic resilience: 2.2 グローバルな動的レジリエンスを可能にする 
2.3 Implement ZT across DoD networks and compute fabric 2.3 国防総省のネットワークとコンピュート・ファブリックにZTを導入する 
LOE 3: Optimize IT governance to gain efficiencies in capability delivery and enable cost savings.  LOE 3: ITガバナンスを最適化し、能力提供の効率化とコスト削減を実現する。 
3.1 Overhaul IT governance process and tools for Department-wide implementation: 3.1 ITガバナンス・プロセスとツールを全面的に見直し、全局的な導入を図る 
3.2 Use trusted and curated data to advance IT Governance 3.2 ITガバナンスを推進するために信頼され管理されたデータを利用する 
3.3 Streamline Defense Business Systems and Enterprise IT 3.3 防衛業務システムとエンタープライズITの合理化 
3.4 Accelerate acquisition, development, and deployment of IT 3.4 ITの獲得、開発、展開を加速する 
LOE 4: Cultivate a premier digital workforce ready to deploy emerging technology to the warfighter.  LOE 4:戦闘員に新たなテクノロジーを配備できる最高のデジタル人材を育成する。 
4.1 Build a top-tier digital workforce 4.1 トップクラスのデジタル人材を構築する
4.2 Prioritize continuous learning for the digital workforce 4.2 デジタルワークフォースのための継続的学習を優先する
4.3 Retain an exceptional digital workforce 4.3 卓越したデジタル人材を維持する
4.4 Foster collaborative partnerships to enhance the digital workforce 4.4 デジタル人材を強化するための協力的パートナーシップを促進する

 

U.S. Department of Defense

・2024.06.25 DoD Releases the Fulcrum: DoD Information Technology (IT) Advancement Strategy

DoD Releases the Fulcrum: DoD Information Technology (IT) Advancement Strategy 国防総省が「Fulcrum」を発表:国防総省の情報技術(IT)推進戦略
Today, the Department of Defense (DoD) releases the Fulcrum: DoD Information Technology (IT) Advancement Strategy. This strategy will continue the transformative change in the Department’s IT; Cyber; Command, Control, and Communications; and digital workforce while setting the foundation for the future. 本日、国防総省は「Fulcrum」を発表した: 国防総省は本日、「フルドラム:国防総省情報技術(IT)推進戦略」を発表した。この戦略は、国防総省のIT、サイバー、指揮・統制・コミュニケーション、デジタル労働力における変革の継続を図るとともに、将来への基盤を確立するものである。
On June 20th, the Deputy Secretary of Defense approved and signed the Fulcrum Strategy, emphasizing the user-centric and a cross cutting approach, it will ensure the Department delivers capabilities aligned with warfighting mission objectives. This new strategy prioritizes user experience and investment in infrastructure that is both agile and scalable to meet the dynamic requirements of operations and opportunities offered by the most modern technologies. 6月20日、国防総省副長官はFulcrum戦略を承認し、署名した。フルクラム戦略は、ユーザー中心、横断的アプローチを強調し、国防総省が戦いの任務目標に沿った能力を提供できるようにする。この新戦略は、ユーザーエクスペリエンスと、機動性と拡張性を兼ね備えたインフラへの投資を優先し、作戦のダイナミックな要件と最新技術によってもたらされる機会を満たすものである。
The Fulcrum Strategy is organized across four integrated lines of effort (LOE) that will ensure the Department continues to connect, protect, and perform for the nation’s warfighters and the personnel that support them. フルクラム戦略は4つの統合されたLine of Effort (LOE) で構成され、国の戦闘員とそれを支援する人員のために、防衛省が接続、保護、遂行を継続できるようにする。
Line of Effort 1 - Provide Joint Warfighting IT Capabilities: This LOE delivers user-centric IT capabilities that are functional, scalable, sustainable, and secure in today’s dynamic and contested global environments. This LOE focuses on improving the information available to the warfighter in order to gain decision and competitive advantage in high-tempo, multi-domain operations. Line of Effort 1 - 統合戦闘 IT 能力のプロバイダ: この LOE は、今日のダイナミックで紛争が絶えないグローバル環境において、機能性、拡張性、持 続可能性、安全性を備えたユーザー中心の IT 能力を提供するものである。この LOE は、ハイテンポでマルチドメインな作戦において意思決定と競争上の優位性を獲得するために、戦闘員が利用できる情報を改善することに重点を置いている。
Line of Effort 2 - Modernize Information Networks and Compute: This LOE focuses on rapidly meeting mission and business needs, leveraging best-in-class technologies and data-centric Zero Trust cybersecurity approach to deliver a secure modernized network that has faster data transfer, lower latency, with improved global dynamic resiliency. Line of Effot 2 - 情報ネットワークとコンピュートの近代化: このLOEは、ミッションとビジネスのニーズを迅速に満たすことに重点を置き、クラス最高の技術とデータ中心のゼロトラスト・サイバーセキュリティ・アプローチを活用して、データ転送の高速化、低遅延化、グローバルな動的レジリエンスの改善を実現する安全な近代化ネットワークを提供する。
Line of Effort 3 - Optimize IT Governance: This LOE will drive efficiencies in capability delivery and enable cost avoidance and savings, transforms governance through streamlined policies from governance to acquisition of systems. This includes the use of robust data capabilities to empower better decision making. Line of Effort 3 - IT ガバナンスの最適化: このLOEは、能力提供の効率化を推進し、コスト回避と節約を可能にする。ガバナンスからシステム取得に至るまで、合理化されたポリシーによってガバナンスを変革する。これには、より良い意思決定を行うための強固なデータ機能の活用も含まれる。
Line of Effort 4 - Cultivate a Premier Digital Workforce: This LOE will ensure that our workforce is ready to deploy emerging technology supporting the warfighter, and DoD continues ongoing efforts to identify, recruit, develop, and retain the best digital talent the country has to offer. It broadens the DoD Cyber Workforce Framework (DCWF) to focus on the greater digital workforce with the inclusion of work roles for data, AI, and software engineering. Line of Effort 4 - 最高のデジタル人材を育成する: このLOEは、戦闘員を支援する新たな技術を展開するための労働力を確保し、国防総省が、この国が提供できる最高のデジタル人材を特定し、採用し、開発し、維持するための継続的な取り組みを継続するものである。これはDoD Cyber Workforce Framework (DCWF)を拡大し、データ、AI、ソフトウェアエンジニアリングの職務を含めることで、より大きなデジタル労働力に焦点を当てるものである。
Fulcrum describes "what" the DoD must achieve with respect to advancing IT for the warfighter and "why" it matters. Each LOE is supported by a series of portfolio spanning strategic objectives that describe the way ahead in greater detail and provide measurable mechanisms to track progress. Fulcrumは、戦闘員のためのITの進歩に関して国防総省が達成しなければならない「こと」と、それが「なぜ」重要なのかを説明している。各LOEは、今後の進め方をより詳細に説明し、進捗を追跡するための測定可能なメカニズムを提供する、一連のポートフォリオにまたがる戦略目標によって支えられている。
This strategy serves as the fulcrum for empowering DoD leaders to drive transformative change and advance technology for the warfighter in an evolving world. The strategy is available at [WEB] この戦略は、国防総省の指導者たちが、進化する世界において変革を推進し、戦闘員のために技術を進歩させるための支点となる。戦略は[WEB]

 

 

・[PDF] Fulcrum: The Department of Defense Information Technology Advancement Strategy

20240628-40326

・[DOCX][PDF] 仮訳

 

 

 

 

 

 

| | Comments (0)

2024.06.27

金融安定理事会 (FSB) 米州グループ、ソブリンと銀行の結びつきや暗号資産の取り決めに関連するリスクについて議論 (2024.0612

こんにちは、丸山満彦です。

金融安定理事会 (FSB) の米州グループが、2024.06-17-18に英領ヴァージン諸島で、ソブリンと銀行の結びつきや暗号資産の取り決めに関連するリスクについて議論をしたようですね...

FSBは、昨年7月に暗号資産とステーブルコインに関するグローバルな規制枠組みを決定していますね...

AIがブームになったおかげで、暗号資産に関する過大な期待はなくなり、落ち着いて議論できる環境になったとは思いますが、やっぱり大きなマーケットはあまり無かったということなのかもしれません。

PtoP型のネットワークはPが増大すれば、級数的にその複雑性はまし、不正が起こった場合の監督がしにくくなりますよね...

ただ、技術的な信頼性に裏打ちされた取引の信頼性をある程度担保できる仕組みというのは、利便性があるかもしれません...

 

● Financial Stability Board: FSB

・2024.06.18 FSB Americas Group discusses risks associated with the sovereign-bank nexus and crypto-asset arrangements

FSB Americas Group discusses risks associated with the sovereign-bank nexus and crypto-asset arrangements FSB米州グループ、ソブリンと銀行の結びつきや暗号資産の取り決めに関連するリスクについて議論
The Financial Stability Board (FSB) Regional Consultative Group (RCG) for the Americas met on 17 and 18 June in the British Virgin Islands. 金融安定理事会(FSB)の米州地域協議グループ(RCG)は6月17日と18日、英領ヴァージン諸島で会合を開いた。
On the first day, members participated in a roundtable discussion with representatives from the International Association of Deposit Insurers to discuss the role of deposit insurance and resolution frameworks in maintaining depositor confidence. Members look forward to the FSB’s resolution work following up on lessons learned from the March 2023 banking turmoil. 初日、メンバーは国際預金保険協会の代表者と円卓会議に参加し、預金者の信頼維持における預金保険と破綻処理の枠組みの役割について議論した。メンバーは、2023年3月の銀行混乱から学んだ教訓を踏まえたFSBの破綻処理作業に期待している。
Discussions on the second day began with an appraisal of recent developments and macrofinancial risks and vulnerabilities, including tight financing conditions against the backdrop of high public and private sector debt levels. Members exchanged views on links between the sovereign and banking sectors and discussed whether such interconnections could pose risks to financial stability. 2日目の議論は、公共部門および民間部門の高水準の債務を背景とした逼迫した資金調達状況など、最近の情勢とマクロ金融リスクおよび脆弱性の評価から始まった。メンバーは、ソブリン・セクターと銀行セクターのつながりについて意見を交換し、そうした相互関係が金融の安定性にリスクをもたらす可能性があるかどうかについて議論した。
Members also received an update on the FSB’s work programme for 2024 and discussed ways they could contribute to the FSB’s work programme to bring in additional perspectives from the region. メンバーはまた、FSBの2024年作業計画に関する最新情報を入手し、FSBの作業計画に貢献し、地域からの追加的な視点を取り入れる方法について議論した。
One initiative the RCG Americas has taken forward relates to the FSB’s global framework for crypto-asset activities. In May 2023, members agreed to review developments and the current state of regulations within the region. Members discussed this stocktake and ways to ensure effective, flexible, and coordinated implementation of the comprehensive policy response for crypto-assets and global stablecoin arrangements. Given the particularly acute risk of regulatory arbitrage in the crypto space, broad global implementation is crucial. RCG米州が進めてきたイニシアティブの1つは、FSBの暗号資産活動に関するグローバルな枠組みに関するものである。2023年5月、加盟国は域内の規制の進展と現状をレビューすることに合意した。メンバーは、このストックテイクと、暗号資産およびグローバルなステーブルコインの取決めに対する包括的な政策対応を効果的、柔軟かつ協調的に実施するための方法について議論した。暗号空間における規制の裁定リスクは特に深刻であることから、グローバルな広範な実施 が極めて重要である。
Members shared their experiences of the oversight and management of financial institutions’ risks from outsourcing of critical services to third parties considering the FSB’s toolkit for financial authorities and financial institutions for enhancing their third-party risk management and oversight, which was published in December 2023. メンバーは、2023年12月に公表されたFSBの金融当局および金融機関のサードパーティリスク管理・監督強化のためのツールキットを考慮し、重要なサービスのサードパーティへのアウトソーシングから生じる金融機関のリスクに対する監督・管理の経験を共有した。
Notes to editors 編集後記
The FSB RCG for the Americas is co-chaired by Kenneth Baker, Managing Director and CEO, British Virgin Islands Financial Services Commission, and Tiff Macklem, Governor of the Bank of Canada. Tiff Macklem was represented at the meeting by Carolyn Rogers, Senior Deputy Governor of the Bank of Canada. Membership includes financial authorities from Argentina, Bahamas, Barbados, Bermuda, Bolivia, Brazil, British Virgin Islands, Canada, Cayman Islands, Chile, Colombia, Costa Rica, Guatemala, Honduras, Jamaica, Mexico, Panama, Paraguay, Peru, Trinidad and Tobago, the United States of America and Uruguay. 米州のFSB RCGは、英領ヴァージン諸島金融サービス委員会のケネス・ベーカー専務理事兼CEOとカナダ中銀のティフ・マクレム総裁が共同議長を務めている。ティフ・マクレム氏の代表者は、カナダ中銀のキャロリン・ロジャース上級副総裁である。メンバーには、アルゼンチン、バハマ、バルバドス、バミューダ、ボリビア、ブラジル、英領バージン諸島、カナダ、ケイマン諸島、チリ、コロンビア、コスタリカ、グアテマラ、ホンジュラス、ジャマイカ、メキシコ、パナマ、パラグアイ、ペルー、トリニダード・トバゴ、米国、ウルグアイの金融当局が含まれる。
The FSB has six Regional Consultative Groups, established under the FSB Charter, to bring together financial authorities from FSB member and non-member countries to exchange views on vulnerabilities affecting financial systems and on initiatives to promote financial stability.1 Typically, each Regional Consultative Group meets twice each year. FSBには、FSB憲章に基づき設立された6つの地域協議グループがあり、FSB加盟国および非加盟国の金融当局が集まり、金融システムに影響を及ぼす脆弱性や金融の安定を促進するための取り組みについて意見交換を行っている1。
The FSB coordinates at the international level the work of national financial authorities and international standard-setting bodies and develops and promotes the implementation of effective regulatory, supervisory, and other financial sector policies in the interest of financial stability. It brings together national authorities responsible for financial stability in 24 countries and jurisdictions, international financial institutions, sector-specific international groupings of regulators and supervisors, and committees of central bank experts. The FSB also conducts outreach with approximately 70 other jurisdictions through its six Regional Consultative Groups. FSBは、各国金融当局と国際標準化団体の作業を国際レベルで調整し、金融の安定のために効果的な規制・監督・その他の金融セクター政策の策定と実施を促進している。FSBは、24カ国・地域の金融安定に責任を負う各国当局、国際金融機構、規制・監督当局からなるセクター別の国際グループ、中央銀行の専門家からなる委員会を結集している。FSBはまた、6つの地域協議グループ(Regional Consultative Groups)を通じて、他の約70の国・地域ともアウトリーチを行っている。
The FSB is chaired by Klaas Knot, President of De Nederlandsche Bank. The FSB Secretariat is located in Basel, Switzerland and hosted by the Bank for International Settlements. FSBの議長はクラース・ノットオランダ銀行総裁が務めている。FSB事務局はスイスのバーゼルにあり、国際決済銀行がホスティングを行っている。
[1 The FSB Regional Consultative Groups cover the following regions: Americas, Asia, Commonwealth of Independent States, Europe, Middle East and North Africa, and sub-Saharan Africa. [←] [1] FSBの地域協議グループは以下の地域をカバーしている: 南北アメリカ、アジア、独立国家共同体、欧州、中東・北アフリカ、サハラ以南のアフリカである。[←]

 

1_20240627123801

 


 

熟読するなら昨年のこちら...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.18 金融安定理事会 (FSB) 暗号資産とステーブルコインに関するグローバルな規制枠組みを最終決定

 

 

 

| | Comments (0)

JPCERT/CC Operation Blotless攻撃キャンペーンに関する注意喚起 (2024.06.25)

こんにちは、丸山満彦です。

JPCERT/CCからOperation Blotless攻撃キャンペーンに関する注意喚起が公表されています。

わかりやすくまとめているので、重要(基幹)インフラ及びその取引先企業等は特に目を通しておくとよいと思います...

Living off the Land戦術の話です...

 

ポイントは、

・将来必要となる時に攻撃できるように準備をするための攻撃が存在する。(例えば、認証情報を取得しておくなど)

・通常の時は活動をしていないので、認証情報等を取得されたことに気づくのが非常に困難

At240013_001

 

 

なので、

・攻撃されている可能性が高い=>「III. 攻撃活動の事例」に示す同グループの攻撃活動時期を踏まえ、
(ベンダー等から)公表されている情報等を参考に侵害の有無の調査をする

・侵害の調査をしておきたい=>「IV. 推奨調査項目」に示す、基本的な調査ポイントについて調査する...

・今後の攻撃に備えておきたい=>「V. 推奨対策」に示す、中長期的な対策の導入する...

 

JPCERT/CC

注意喚起...

・2024.06.25 Operation Blotless攻撃キャンペーンに関する注意喚起

 

ブログ...

佐々木さん作..

・2024.06.26 Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのか ~将来の攻撃に備えるThreat Huntingのアプローチについて考える~

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.16 カナダ サイバーセキュリティセンター (CCCS) 中華人民共和国のサイバー脅威活動に対する認識と防御を促す(2024.06.03最終更新)

・2024.03.24 Five Eyes 中国国家主導のサイバー活動: 重要インフラリーダーのための行動 (2024.03.19)

・2024.02.12 Five Eyes 中華人民共和国の支援を受けたサイバーアクターが米国の重要インフラに潜伏し、攻撃できる体制を整えていると判断... (2024.02.07)

・2024.02.03米国 司法省 重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊(だから、IoT認証が重要...)

・2023.09.28 警察庁 NISC 中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について with 米国 NSA, FBI, CISA

・2023.08.20 CISA 官民サイバー防衛共同体 (JCDC) による「遠隔監視・管理 (RMM) システムのサイバー防衛計画」

・2023.06.11 Five Eyes 中華人民共和国の国家支援サイバー攻撃者は検知を逃れるために現地調達型対応をする (2023.05.24)

・2023.01.04 世界経済フォーラム (WEF) サイバー犯罪の取り締まりに国際的なルールが必要な理由

 

このブログで一番最初にLiving off the Landが登場...

・2021.06.24 米国CISA MITRE ATT&CK®をサイバー脅威インテリジェンスに活用するためのガイダンス at 2021.06.02

 

| | Comments (0)

英国 国家サイバーセキュリティセンター 人工知能 (AI) のサイバーセキュリティに関する研究 (2024.05.15)

こんにちは、丸山満彦です。

科学技術革新省国家サイバーセキュリティセンターが、人工知能 (AI) のサイバーセキュリティに関する研究として、AIサイバーセキュリティリスクについてのいくつかの文書を公表していました...

見逃していましたね...

読み応えあります...

 

Cyber security risks to artificial intelligence AIサイバーセキュリティリスク HTML PDF
AI cyber security survey - main report AIサイバーセキュリティ調査 - 主要報告書 HTML PDF
AI cyber security survey - technical report AIサイバーセキュリティ調査 - 技術報告書 HTML PDF
Cyber security for AI recommendations AIサイバーセキュリティに関する提言   PDF
Study of research and guidance on the cyber security of AI AIサイバーセキュリティに関する調査研究とガイダンス   PDF

 

GOV.UK

プレス...

・2024.05.15 Developers given new tools to boost cyber security in AI models as cyber security sector sees record growth

Developers given new tools to boost cyber security in AI models as cyber security sector sees record growth サイバーセキュリティ分野が記録的な成長を遂げる中、AIモデルのサイバーセキュリティを強化する新たなツールが開発者に提供される
New measures, anticipated to establish a global benchmark for enhancing the protection of AI models against hacking and sabotage, were unveiled today by the UK government. ハッキングや妨害行為に対するAIモデルの防御を強化するための世界的な基準を確立することが期待される新たな対策が、英国政府によって本日発表された。
・UK government introduces two codes of practice to enhance cyber security in AI and software, boosting UK economy’s security and growth prospects  ・英国政府は、AIとソフトウェアのサイバーセキュリティを強化するための2つの実践規範を導入し、英国経済のセキュリティと成長の見通しを後押しする。
・new measures aimed at developers will establish global standard for protecting AI models from hacking, helping businesses innovate and drive economic growth across the nation ・開発者を対象とした新たな防御策は、AIモデルをハッキングから保護するための世界標準を確立し、企業のイノベーションを支援し、国全体の経済成長を促進する。
・launched as new figures show cyber security sector has grown 13% in last year and is now worth almost £12 billion ・新たな数字によると、サイバーセキュリティ分野は昨年13%成長し、現在120億ポンド近い規模となっている。
New measures which are expected to set a global standard on how to bolster protections of AI models from hacking and sabotage have been unveiled today by the UK government (15th May). ハッキングや妨害行為からAIモデルの防御を強化する方法について、世界標準となることが期待される新たな対策が、英国政府によって本日(5月15日)発表された。
During a speech at CYBERUK, the government’s flagship cyber security conference, Technology Minister Saqib Bhatti announced two new codes of practice which will help developers improve cyber security in AI models and software, putting the UK economy on an even stronger footing to grow safely and helping the government achieve long term growth for the British economy. 政府の主要なサイバーセキュリティ会議であるCYBERUKでのスピーチで、サキブ・バッティ技術担当大臣は、開発者がAIモデルとソフトウェアのサイバーセキュリティを改善するのを助ける2つの新しい実践規範を発表した。
The codes set out requirements for developers to make their products resilient against tampering, hacking, and sabotage and will boost confidence in the use of AI models across most industries, helping businesses improve efficiencies, drive growth, and turbocharge innovation. この規範は、開発者が改ざん、ハッキング、妨害行為に対してレジリエンスに優れた製品を作るための要件を定めており、ほとんどの産業でAIモデルの使用に対する信頼を高め、企業が効率性を向上させ、成長を促進し、イノベーションを加速させるのに役立つだろう。
In the last 12 months, half of businesses (50%) and a third of charities (32%) reported cyber breaches or attacks, and phishing remained the most common type of breach. The codes introduced today show developers how software can be built in a secure way, with the aim of preventing attacks such as the one on the MoveIT software in 2023 which compromised sensitive data in thousands of organisations around the world.  過去12ヶ月の間に、企業の半数(50%)と慈善団体の3分の1(32%)がサイバー侵害や攻撃を報告し、フィッシングが最も一般的な侵害のタイプであった。今日導入された規範は、世界中の何千もの組織の機密データを危険にさらした2023年のMoveITソフトウェアのような攻撃を防止することを目的として、ソフトウェアが安全な方法で構築される方法を開発者に示すものである。
Technology Minister Saqib Bhatti said:   サキブ・バッティ技術相は次のように述べた:  
We have always been clear that to harness the enormous potential of the digital economy, we need to foster a safe environment for it to grow and develop. This is precisely what we are doing with these new measures, which will help make AI models resilient from the design phase. 我々は常に、デジタル経済の巨大な可能性を活用するためには、デジタル経済が成長・発展するための安全な環境を育成する必要があることを明確にしてきた。これはまさに、AIモデルを設計段階からレジリエンスに優れたものにする助けとなるものである。
Today’s report shows not only are we making our economy more resilient to attacks, but also bringing prosperity and opportunities to UK citizens up and down the country. It is fantastic to see such robust growth in the industry, helping us cement the UK’s position as a global leader in cyber security as we remain committed to foster the safe and sustainable development of the digital economy. 本日の報告書は、我々の経済が攻撃に対するレジリエンスを高めているだけでなく、英国市民に繁栄と機会をもたらしていることを示している。デジタル経済の安全で持続可能な発展を促進するために引き続き尽力する中で、サイバーセキュリティの世界的リーダーとしての英国の地位を確固たるものにする一助となる。
The new measures come as findings of a new report published today show the cyber security sector has experienced a 13% growth on the previous year and is now worth almost £12 billion, on par with sectors such as the automotive industry. 本日発表された新たな報告書によると、サイバーセキュリティ部門は前年比13%の成長を遂げ、その規模は120億ポンド近くに達し、自動車産業などと肩を並べるまでになった。
The findings are reported by the government’s annual Cyber Sectoral Analysis Report and show the number of cyber security firms finding home in the UK has risen in 2023, strengthening the UK’s resilience to attacks and propelling sustainable economic growth. この調査結果は、政府の年次サイバー部門分析報告書により報告されたもので、2023年に英国に拠点を見つけるサイバーセキュリティ企業の数が増加し、英国の攻撃に対するレジリエンスを強化し、持続可能な経済成長を促進することを示している。
The new codes of practice will improve cyber security in AI and software, while new government action on cyber skills will help develop the cyber workforce and ensure the UK has the people it needs to protect the nation online. 新しい実践規範は、AIとソフトウェアのサイバーセキュリティを改善し、サイバー・スキルに関する政府の新たな行動は、サイバー人材の育成を支援し、英国がオンラインで国家を守るために必要な人材を確保することを確実にする。
NCSC CEO Felicity Oswald said: NCSCのフェリシティ・オズワルド最高経営責任者(CEO)は、次のように述べた:
To make the most of the technological advances which stand to transform the way we live, cyber security must be at the heart of how we develop digital systems. 我々の生活様式を一変させる技術の進歩を最大限に活用するためには、サイバーセキュリティをデジタルシステム開発の中心に据える必要がある。
The new codes of practice will help support our growing cyber security industry to develop AI models and software in a way which ensures they are resilient to malicious attacks. 新しい実践規範は、成長するサイバーセキュリティ業界を支援し、悪意ある攻撃に対するレジリエンスを保証する方法でAIモデルとソフトウェアを開発するのに役立つだろう。
Setting standards for our security will help improve our collective resilience and I commend organisations to follow these requirements to help keep the UK safe online. セキュリティの標準を設定することは、我々の集団的なレジリエンスを改善することにつながり、英国のオンライン上の安全を守るために、組織がこれらの要件に従うことを称賛する。
These measures are crucial for new businesses in the digital age, ensuring cybersecurity commitment, safeguarding personal data for users, and fostering global alignment for enhanced cyber resilience.  これらの措置は、デジタル時代の新しいビジネスにとって極めて重要であり、サイバーセキュリティへのコミットメントを確保し、ユーザーの個人データを保護し、サイバーレジリエンス強化のためのグローバルな連携を促進するものである。
The AI cyber security code is intended to form the basis of a future global standard. AIサイバーセキュリティ・コードは、将来の世界標準の基礎を形成することを意図している。
Rosamund Powell, Research Associate at The Alan Turing Institute, said: アラン・チューリング機構のリサーチ・アソシエイトであるロザムンド・パウエル氏は、次のように述べている:
AI systems come with a wide range of cyber security risks which often go unaddressed as developers race to deploy new capabilities. The code of practice released today provides much-needed practical support to developers on how to implement a secure-by-design approach as part of their AI design and development process. AIシステムには広範なサイバーセキュリティリスクが伴うが、開発者が新機能の導入に躍起になるあまり、対処されないことが多い。本日発表された実践規範は、AIの設計・開発プロセスの一環として、セキュア・バイ・デザイン・アプローチを導入する方法について、開発者が切望していた実践的支援を提供するものである。
Plans for it to form the basis of a global standard are crucial given the central role international standards already play in addressing AI safety challenges through global consensus. Research highlights the need for inclusive and diverse working groups, accompanied by incentives and upskilling for those who need them, to ensure the success of global standards like this. 世界的なコンセンサスを通じてAIの安全性の課題に取り組む上で、国際標準がすでに中心的な役割を果たしていることを考えると、この標準が世界標準の基礎を形成する計画は極めて重要である。調査では、このようなグローバル標準を成功させるためには、包括的で多様な作業部会と、それを必要とする人々へのインセンティブとスキルアップが必要であることが強調されている。
Today also marks the publication of the Capability Hardware Enhanced RISC Instructions (CHERI) report, introducing a new microprocessor technology known as “magic chip,” which integrates advanced memory protections to prevent up to 70% of current cyber-attacks. 本日はまた、「マジックチップ」として知られる新しいマイクロプロセッサー技術を紹介する「Capability Hardware Enhanced RISC Instructions (CHERI)」報告書の公表を記念し、現在のサイバー攻撃の最大70%を防止する高度なメモリ保護を統合した。
Alongside this, Minister Bhatti announced this morning new initiatives on how the government and regulators will professionalise the cyber security sector, such as incorporating cyber roles into government recruitment and HR policies.  これと並行して、バッティ大臣は今朝、政府と規制当局がサイバーセキュリティ分野の専門化をどのように進めるかについて、政府の採用・人事政策にサイバー分野の役割を組み込むなどの新たな取り組みを発表した。
The minister also spoke about his intention to foster cyber skills among young people and inspire them into cyber careers, with the UK launching a campaign to encourage entries to a brand new national cyber skills competition for 18–25-year-olds later this year. The competition will give the winners the opportunity to represent the UK at international cyber competitions.   同大臣はまた、若者のサイバー・スキルを育成し、サイバー・キャリアへの意欲を喚起する意向を示し、英国は今年後半、18〜25歳を対象とした全く新しい全国サイバー・スキル・コンテストへの応募を奨励するキャンペーンを開始することを明らかにした。このコンテストの優勝者には、英国代表として国際的なサイバーコンテストに参加する機会が与えられる。 
Notes to editors 編集後記
Call for views on AI Cyber Security ・AIサイバーセキュリティに関する意見募集
Call for views on the Code of Practice for Software Resilience and Security. ・ソフトウェアのレジリエンスとセキュリティに関する実践規範に関する意見募集
Figures detailing the extent of cyber attacks and breaches on businesses and charities are from the government’s Cyber Security Breaches Survey 2024 which was published on 9 April 2024 with the research carried out in late 2023 and early 2024.  ・企業や慈善団体に対するサイバー攻撃や侵害の程度を詳細に示す数値は、2023年末から2024年初めにかけて調査が実施され、2024年4月9日に発表された政府のサイバーセキュリティ侵害調査2024によるものである。
Government’s statement on the adoption of cyber professional standards. ・サイバー専門家標準の採用に関する政府の声明。
Call for views on the future of the CyberFirst scheme. ・サイバーファースト・スキームの将来についての意見募集。
New statistics detailing the growth of the UK cyber security sector can be found in the 2024 Cyber Security Sectoral Analysis Report.  ・英国のサイバーセキュリティ分野の成長を詳細に示す新たな統計は、2024年サイバーセキュリティ分野分析報告書に掲載されている。
To read more about the “magic chip” technology, please see the CHERI adoption and diffusion research report ・マジック・チップ」技術の詳細については、CHERIの採用・普及調査報告書を参照のこと。
This work is part of the government’s £2.6 billion National Cyber Strategy to protect and promote the UK online.  この作業は、英国をオンラインで保護し促進するための政府の26億ポンドの国家サイバー戦略の一環である。
The government is also launching a consultation on scaling up the impact of the successful CyberFirst scheme, which has helped improve the tech skills of 260,000 students across 2,500 schools. 政府はまた、2,500校で26万人の生徒の技術スキル改善を支援し、成功を収めたサイバーファースト・スキームの影響拡大に関する協議も開始している。

 

 


AIサイバーセキュリティリスク

・2024.05.15 Research on the cyber security of AI

Cyber security risks to artificial intelligence

20240626-213327

 

目次...

Executive summary エグゼクティブサマリー
1.Introduction 1.序文
2.Methodology 2.方法論
3.Background 3.背景
4.Findings of the risk assessment 4.リスクアセスメントの結果
5.List of case studies 5.ケーススタディのリスト
6.Client interview insights 6.クライアント・インタビューの洞察
Appendix 1 - References 附属書1 - 参考文献

 

Executive summary エグゼクティブサマリー
The Department for Science, Innovation and Technology commissioned Grant Thornton UK LLP and Manchester Metropolitan University to develop an assessment of the cyber security risks to Artificial Intelligence (AI). The assessment aimed to identify and map vulnerabilities across the AI lifecycle and assess the exploitation and impact of each vulnerability, delineating software vulnerabilities and those specific to AI to help contextualise the findings. 科学技術革新省は、Grant Thornton UK LLPとマンチェスター・メトロポリタン大学に人工知能(AI)のサイバーセキュリティリスクのアセスメントを依頼した。アセスメントの目的は、AIのライフサイクル全体にわたる脆弱性を特定・マッピングし、各脆弱性の悪用と影響を評価することである。
The assessment comprised two literature reviews, evaluating two distinct but complementary research streams: academic literature, and government and industry reports. The findings were also integrated with feedback from cross-sector client and expert interviews. Cross-validation was applied across research publications and a cut-off point of 10th February 2024 was set for publications to ensure that the report was based on the latest analysis considering the ever-changing technological landscape. アセスメントは2つの文献レビューで構成され、学術文献、政府および産業界の報告書という2つの異なるが補完的な研究の流れを評価した。調査結果は、分野横断的な顧客や専門家へのインタビューからのフィードバックとも統合された。また、変化し続ける技術状況を考慮し、最新の分析に基づいた報告書を作成するため、研究発表のクロスバリデーションを行い、2024年2月10日を発表の締め切り日とした。
The literature reviews identified a series of vulnerabilities, including specific ones to AI across each phase of the AI lifecycle, namely design, development, deployment, and maintenance. The vulnerabilities have been comprehensively mapped across each phase of the AI lifecycle, with an assessment of their exploitation and impact (see Section 4). To offer additional perspective on the potential risks, a set of 23 case studies were identified, both real-world and theoretical proof of concepts, involving cyber-attacks linked to AI vulnerabilities (see Section 5). 文献レビューでは、AIのライフサイクルの各段階(設計、開発、配備、保守)において、AIに特有の脆弱性を含む一連の脆弱性が特定された。脆弱性は、AIのライフサイクルの各段階にわたって包括的にマッピングされ、その悪用と影響のアセスメントが行われている(セクション4参照)。潜在的なリスクについてさらなる視点を提供するため、AIの脆弱性に関連したサイバー攻撃を含む、現実世界と理論的な概念実証の両方を含む23のケーススタディが特定された(セクション5参照)。
Insights gained from interviews with 5 clients, from the Insurance, Banking, and Media domains demonstrated the market readiness and the practical implications of AI vulnerabilities. The findings categorised organisations into two distinct groups: those unaware of AI’s use and consequent cyber security risks within their operations, and those recognising these risks yet lacking internal expertise for risk assessment and management. 保険、銀行、メディアの各分野のクライアント5社とのインタビューから得られた洞察は、AI脆弱性の市場対応力と実際的な意味合いを示した。調査結果は、組織を2つの異なるグループに分類した。すなわち、AIの使用とその結果生じるサイバーセキュリティリスクに気づいていない組織と、これらのリスクを認識しながらもリスクアセスメントとマネジメントのための専門知識を社内に持たない組織である。
The current literature on the cyber security risks to AI, does not contain a single comprehensive evaluation of AI-specific cyber security risks across each stage of the AI lifecycle. This risk assessment has therefore aimed to fill this gap, whilst building on the important contributions made by industry and other governments. This has been delivered by thoroughly evaluating the potential exploitation, impact, and AI-specific cyber security risks associated with each lifecycle phase. Additionally, as noted above, the report mapped cyber-attacks that have originated from vulnerabilities in AI systems. AIのサイバーセキュリティリスクに関する現在の文献には、AIのライフサイクルの各段階におけるAI特有のサイバーセキュリティリスクについて包括的に評価したものはない。そのため、このリスクアセスメントは、産業界や他の政府による重要な貢献を踏まえつつ、このギャップを埋めることを目的としている。これは、ライフサイクルの各段階に関連する潜在的な悪用、影響、AI特有のサイバーセキュリティ・リスクを徹底的に評価することによって実現された。さらに、上述の通り、報告書はAIシステムの脆弱性に起因するサイバー攻撃をマッピングした。
The report also highlighted that the rapid adoption of AI continues to introduce complex cyber security risks that traditional practices may not sufficiently address. A holistic approach to address the cyber risks across the entire AI lifecycle is essential. By mitigating vulnerabilities at every stage of the AI lifecycle, organisations can bolster robust security measures and fortify resilience against evolving cyber threats. また、報告書は、AIの急速な普及により、従来の手法では十分に対処できない複雑なサイバーセキュリティリスクが導入され続けていることを強調している。AIのライフサイクル全体にわたるサイバーリスクに対処するための総合的なアプローチが不可欠である。AIのライフサイクルの各段階で脆弱性を低減することで、組織は強固なセキュリティ対策を強化し、進化するサイバー脅威に対するレジリエンスを強化することができる。

 

 


 

AIサイバーセキュリティ調査 - 主要報告書

AI cyber security survey - main report

20240626-213353

1.Executive summary 1.エグゼクティブサマリー
2.Introduction 2.序文
3.Methodology 3.方法論
4.AI usage 4.AIの利用
5.Cyber security practices around AI 5.AIを取り巻くサイバーセキュリティ慣行
6.General cyber security practices 6.一般的なサイバーセキュリティ対策
7.Appendix: Glossary 7.附属書 用語集

 

1. Executive summary 1. エグゼクティブサマリー
Introduction 序文
The Department for Science, Innovation and Technology (DSIT) commissioned IFF Research to conduct a survey of businesses in key sectors to understand how they use Artificial Intelligence (AI) and how businesses implement cyber security practices and processes around the AI technology they deploy. 科学技術革新省(DSIT)は、IFFリサーチ社に委託して、主要分野の企業を対象に、人工知能(AI)をどのように利用しているか、また、企業が導入するAI技術に関連するサイバーセキュリティの慣行やプロセスをどのように導入しているかを把握するための調査を実施した。
The quantitative survey was developed in collaboration with DSIT. Fieldwork was conducted using Computer Assisted Telephone Interviewing (CATI) and took place between 10th January and 13th February 2024. A total of 350 interviews were completed with businesses currently using or considering using AI in nine sectors (see page 6 for more details) so that the survey had a robust number of participants. 定量的調査はDSITと共同で開発された。フィールドワークは、コンピュータ支援電話インタビュー(CATI)を使用し、2024年1月10日から2月13日の間に実施された。現在AIを使用している、または使用を検討している9分野(詳細は6ページを参照)の企業に対し、合計350件のインタビューが行われた。
The core objectives of the research were to understand: 調査の主な目的は以下の通りである:
・What types of technology are being used, and for what purpose; ・どのようなテクノロジーが、どのような目的で使用されているのか;
・Businesses’ cyber security practices – in general terms, and specific to AI; ・企業のサイバーセキュリティ対策(一般論として、またAIに特化して);
・Businesses’ future plans in relation to AI and cyber security; and ・AIとサイバーセキュリティに関する企業の将来計画
・How these activities and attitudes vary across businesses in different sectors and of different sizes. ・これらの活動や態度は、異なるセクターや規模の企業間でどのように異なるか。
A glossary which includes definitions of the different types of AI can be found in the Appendix at the end of this report. 異なる種類のAIの定義を含む用語集は、本レポート末尾の附属書に掲載されている。
Key findings 主な調査結果
The survey sought to create a robust sample base of businesses that were adopting at least one AI technology as well as businesses that planned to adopt AI in the future to ensure robust findings could be drawn. 68% of these businesses in the survey were currently using at least one AI technology, while 32% had plans to adopt AI in the future. Of the businesses currently using AI, 64% were deploying one type of AI technology, 22% were using two types of AI and 14% were using three or more. 本調査では、少なくとも1つのAI技術を導入している企業、および将来的にAIを導入する予定がある企業から、確実な調査結果を導き出すために、しっかりとしたサンプルベースを作成することを目指した。調査対象企業の68%が現在少なくとも1つのAI技術を利用しており、32%が将来的にAIを導入する予定であった。現在AIを使用している企業のうち、64%が1種類のAI技術を導入しており、22%が2種類、14%が3種類以上のAIを使用していた。
Among those currently using AI, natural language processing and generation was most common with 38% of businesses deploying it. 27% utilised machine learning, 25% used computer vision, image processing and generation, 9% used hardware related to AI and 8% used robotic process automation. 現在AIを使用している企業のうち、自然言語処理と生成的AIが最も多く、38%の企業が導入していた。27%が機械学習を、25%がコンピューター・ビジョン、画像処理、生成的AIを、9%がAI関連のハードウェアを、8%がロボティック・プロセス・オートメーションを利用している。
For each type of AI technology, over half of businesses have been using it for at least one year. In the case of machine learning, over half of businesses (52%) have been using it for over 3 years. Among those who have not yet deployed AI but have plans to do so, they most commonly planned to do this – across all AI technologies – in more than a year’s time. 各タイプのAI技術について、半数以上の企業が少なくとも1年以上使用している。機械学習の場合、半数以上(52%)の企業が3年以上使用している。まだAIを導入していないが、導入する予定がある企業では、すべてのAIテクノロジーにおいて、1年以上後に導入する予定が最も多かった。
Each AI technology was most commonly adopted through the purchase of external software or ready-to-use systems (ranging from 38% to 60%). Around one in five businesses developed machine learning (21%) and hardware related to AI (19%) in-house. AI development most likely to be outsourced was for hardware related to AI (34%). The main reason cited for using AI technologies was financial or cost savings to their business (35%). 14% employed it to help write documents. 13% cited speed and efficiency purposes, and a further 12% used it for content generation more broadly. 各AIテクノロジーは、外部ソフトウェアやすぐに使えるシステムの購入を通じて導入するのが最も一般的だった(38%~60%)。機械学習(21%)とAI関連のハードウェア(19%)を自社開発した企業は、約5社に1社だった。AI開発を外注する割合が最も高かったのは、AI関連のハードウェア(34%)だった。AI技術を利用する主な理由は、ビジネスにおける財務的またはコスト削減(35%)であった。14%は文書作成に役立てている。13%はスピードと効率化を理由に挙げ、さらに12%はより広範なコンテンツ生成的な目的で利用した。
Of those currently using AI technologies, nearly half of respondents (47%) had no specific cyber security practices in place specifically for AI and 13% were unsure. Among those planning to use AI in the future, 25% said that their organisation would not have specific cyber security practices or processes in place explicitly regarding the AI technology, once the planned technologies were deployed, and a further 25% were unsure. 現在AI技術を使用している回答者のうち、半数近く(47%)はAIに特化したサイバーセキュリティ対策を実施しておらず、13%は不明であった。将来的にAIを利用する予定がある人のうち、25%は、予定されている技術が導入された時点で、その組織ではAI技術に関して明確なサイバーセキュリティの慣行やプロセスを導入していないと回答し、さらに25%はわからないと回答した。
Of those without or not intending to have specific AI cyber security practices or processes, there were a few key reasons as to why they had not adopted specific practices. 14% had not considered it or did not know enough about it, and 14% said they do not use AI for anything sensitive. 具体的なAIサイバーセキュリティ対策やプロセスを導入していない、または導入するつもりがない組織のうち、具体的な対策を導入していない主な理由はいくつかあった。14%はAIを検討したことがない、または十分な知識がないと回答し、14%はAIを機密性の高いものには使用していないと回答した。
The survey also asked participants whether there were specific cyber security requirements or features that they expect to be built into AI companies’ models and systems. 39% of respondents stated no and a significant minority (33%) were unsure. 調査ではまた、AI企業のモデルやシステムに組み込まれることを期待する特定のサイバーセキュリティ要件や機能があるかどうかを参加者に尋ねた。回答者の39%が「ない」と答え、かなりの少数派(33%)が「わからない」と回答した。
When asked more generally about cyber security practices, 90% of all businesses had at least one governance or risk management arrangement in place. Just under three-quarters (72%) had a formal policy or policies in place covering cyber security risks, and around two-thirds had either a Business Continuity Plan that covers cyber security (67%), or a written list of the most critical data, systems or assets that their organisation wants to protect (64%). サイバーセキュリティの実践についてより一般的に尋ねたところ、全企業の90%が少なくとも1つのガバナンスまたはリスクマネジメントを実施していた。4分の3弱(72%)はサイバーセキュリティ・リスクをカバーする正式な方針またはポリシーを定めており、約3分の2はサイバーセキュリティをカバーする事業継続計画(67%)、または組織が保護したい最も重要なデータ、システム、資産の文書化されたリスト(64%)を持っていた。
Over the last 12 months, just over three-quarters (78%) of businesses had taken at least one measure in an effort to identify cyber security risk. The most common measures taken by organisations were to conduct a risk assessment covering cyber security risk (59%), or to invest in specific tools designed for security monitoring, such as Intrusion Detection Systems (55%). 過去12カ月間に、企業の4分の3強(78%)が、サイバーセキュリティ・リスクを識別するために少なくとも1つの対策を講じていた。組織が取った最も一般的な対策は、サイバーセキュリティ・リスクを対象としたリスクアセスメントの実施(59%)、または侵入検知システムなどセキュリティ監視用に設計された特定のツールへの投資(55%)であった。

 

 


AIサイバーセキュリティ調査 - 技術報告書

AI cyber security survey - technical report

20240626-213403

1.Introduction 1.序文
2.Methodology 2.方法論
3.Pilot fieldwork 3.パイロット・フィールドワーク
4.Mainstage fieldwork 4.本番フィールドワーク
5.Appendix: Questionnaire 5.附属書 アンケート

 

 


AIサイバーセキュリティに関する提言

・Cyber security for AI recommendations

20240626-213409

・[DOCX] [PDF] 仮訳

 

EXECUTIVE SUMMARY エグゼクティブサマリー
The Department for Science, Innovation, and Technology (DSIT) commissioned Mindgard to conduct a systematic study to identify recommendations linked to addressing cyber security risks to Artificial Intelligence (AI). We used a systematic search method to review data sources across academia, technology companies, government bodies, cross-sector initiatives, news articles, and technical blogs to identify various recommendations and evidence of cyber risks against AI. The review also examined common themes and knowledge gaps. 科学技術革新省(DSIT)は、人工知能(AI)のサイバーセキュリティリスクに対処するための提言事項を特定するための体系的な調査をマインドガード社に委託した。我々は、AIに対するサイバーリスクに関する様々な提言や証拠を特定するために、学術界、テクノロジー企業、団体、政府機関、分野横断的なイニシアチブ、ニュース記事、技術ブログなどのデータソースをレビューする体系的な検索方法を使用した。また、共通のテーマや知識のギャップについても検討した。
A comprehensive search of relevant sources published between 1 January 2020 and 12 January 2024 (with notable exceptions for fundamental academic works) was conducted as the basis for this review. A total of 67 publications were identified that described 45 unique technical and general recommendations for addressing cyber security risks in AI. We found sufficient evidence indicating that many of the reported cyber security risks to AI strongly justify the need to identify, create, and adopt new recommendations to address them. However, we also discovered several gaps within existing knowledge. Many of the recommendations for AI are based on established cyber security practises and various conventional cyber security recommendations are directly or indirectly applicable to AI. However, many recommendations are derived from few unique data sources and there are limited empirical studies of security vulnerabilities in AI used in the production of cyber attacks. There is also a lack of information on how to enact recommendations described. 2020年1月1日から2024年1月12日の間に出版された関連情報源(基本的な学術論文については特筆すべき例外がある)を包括的に検索し、本レビューの基礎とした。その結果、AIにおけるサイバーセキュリティリスクに対処するための技術的・全般的提言事項45件が記載された67件の出版物が特定された。我々は、報告されたAIのサイバーセキュリティリスクの多くが、それらに対処するための新たな提言事項を特定し、作成し、採用する必要性を強く正当化することを示す十分な証拠を発見した。しかし、既存の知識にはいくつかのギャップがあることも分かった。AIに対する提言事項の多くは、確立されたサイバーセキュリティの実践に基づいており、従来の様々なサイバーセキュリティの提言事項は、AIに直接的または間接的に適用可能である。しかし、多くの提言事項は、独自のデータソースに基づくものが少なく、サイバー攻撃の生成に使用されるAIのセキュリティ脆弱性に関する実証的研究は限られている。また、記載されている提言をどのように実施するかについての情報も不足している。

 


AIサイバーセキュリティに関する調査研究とガイダンス

Study of research and guidance on the cyber security of AI

20240626-213415

・[DOCX][PDF] 仮訳

EXECUTIVE SUMMARY エグゼクティブサマリー
Groundbreaking innovations in Artificial Intelligence (AI) technology facilitate the automation of a wide range of complex tasks across diversified domains. These advancements can significantly contribute to the development of applications or systems for trivial to highly critical domains such as transportation and healthcare, thereby benefiting end-users. However, the indiscriminate use of AI, without due consideration of the implications of releasing AI models into the wild, creates aberrant opportunities for malicious actors to exploit vulnerabilities and gain significant advantages. 人工知能(AI)技術における画期的なイノベーションは、多様な領域にわたる幅広い複雑なタスクの自動化を促進する。こうした進歩は、輸送やヘルスケアといった些細な領域から極めて重要な領域までのアプリケーションやシステムの開発に大きく貢献し、エンドユーザーに利益をもたらす。しかし、AIモデルを野に放つことの意味を十分に考慮することなくAIを無差別に使用することは、悪意ある行為者が脆弱性を悪用し、大きな利益を得るための異常な機会を生み出す。
DSIT commissioned Queen’s University Belfast to compile a comprehensive meta-study of the existing research and guidance on the cyber security of AI, including academic and industrial research, standards and regulations. The study reviewed a total of ≈18,000 publications in the field, including a thorough analysis and reporting on more than 415 publications. A Rapid Evaluation Assessment (REA) approach was applied to systematically collect the necessary information through keyword searching of the bibliometric databases. DSITはQueen's University Belfastに依頼し、学術的・産業的研究、標準、規制を含む、AIのサイバーセキュリティに関する既存の研究とガイダンスの包括的なメタ研究をまとめた。この研究では、415以上の発行物の徹底的な分析と報告を含め、この分野における合計≒18,000の発行物をレビューした。書誌データベースのキーワード検索を通じて必要な情報を体系的に収集するため、迅速評価アセスメント(REA)アプローチを適用した。
The goal of this report is twofold. First, to collect the existing research on the security and privacy of AI published by both industry and academia. Second, to report on publications that may support AI developers and engineers in the design of secure AI models and systems. This includes publications by academia, governments, industry (particularly AI companies) and technical authorities. This study also aims to identify the primary actors and stakeholders engaged in the AI Security field. Consequently, our objective is to furnish a comprehensive review encompassing the latest advancements on AI security and to pinpoint gaps in their practical application. 本報告書の目的は2つある。第一に、産学双方から発表されたAIのセキュリティとプライバシーに関する既存の研究を収集することである。第二に、安全なAIモデルやシステムの設計において、AI開発者やエンジニアを支援する可能性のある発行物について報告することである。これには、学界、ガバナンス、産業界(特にAI企業)、技術当局による発行物が含まれる。また、本研究は、AIセキュリティ分野に携わる主要なアクターやステークホルダーを特定することも目的としている。その結果、我々の目的は、AIセキュリティに関する最新の進歩を網羅した包括的なレビューを提供し、その実用化におけるギャップを突き止めることである。
The key findings of this study are highlighted below: この調査の主な結果は以下の通りである:
• 415 documents on the cybersecurity of AI were found, including 323 academic papers, 31 industrial reports and white papers, 41 standards organisations documents and 20 governmental documents. • AIのサイバーセキュリティに関する文書が415件発見された。その内訳は、学術論文323件、産業界の報告書や白書31件、標準化団体の文書41件、政府の文書20件である。
• Research focuses on two main themes, ‘’Attacks’’, which includes risks, vulnerabilities and threat modeling; and ‘’Defences’’, including technical solutions, recommendations and guidance. • リスク、脆弱性、脅威のモデル化を含む「攻撃」と、技術的解決策、推奨事項、ガイダンスを含む「防御」である。
• The methodology in academic venues is usually validated quantitatively through experimentation in a laboratory setting with unrealistic threat models, while the remaining stakehoders’ studies are mostly based on non-empirical analysis. • アカデミックな場での方法論は通常、非現実的な脅威モデルを使った実験室での実験を通じて定量的に検証されるが、残りの利害関係者の研究はほとんどが非経験的分析に基づいている。
• Most research and guidance focusses on the design of Secure AI solutions, with a significantly smaller amount for development, deployment and monitoring of AI models.  • ほとんどの研究やガイダンスは、安全なAIソリューションの設計に焦点を当てており、AIモデルの開発、配備、監視に関するものはかなり少ない。 

 


 

HTML PDF
Cyber security risks to artificial intelligence 20240626-213327
AI cyber security survey - main report 20240626-213353
AI cyber security survey - technical report 20240626-213403
Cyber security for AI recommendations 20240626-213409
Study of research and guidance on the cyber security of AI 20240626-213415

 

 

 

 

 

| | Comments (0)

2024.06.26

中国 「強靭なサイバー国家建設を後押しするサイバー法治」シンポジウムを開催 (2024.06.21)

こんにちは、丸山満彦です。

中央インターネット情報弁公室が、「強靭なサイバー国家建設を後押しするサイバー法治」シンポジウムを産官学で開催したようですね。。。サイバー法治によるサイバー空間の保護が、サイバー国家につながるというような内容だったのでしょうかね...

民間からは、

中国語名 英語名 日本名 wikipedia Edgar 株価  
阿里巴巴 Alibaba アリババ wikipedia Edgar NYSE SEHK
中兴通 ZTE 中興通訊 wikipedia   SZSE SEHK
新浪 Sina Corporation 新浪 wikipedia Edgar Nasdaq  
搜狐 Sohu 捜狐 wikipedia Edgar Nasdaq  
网易 NetEase 網易 wikipedia Edgar Nasdaq  

等が参加しているようです。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2024.06.21 中央网信办召开“网络法治护航网络强国建设”座谈会

中央网信办召开“网络法治护航网络强国建设”座谈会 中央インターネット情報弁公室が「強靭なサイバー国家建設を後押しするサイバー法治」シンポジウムを開催
6月21日,中央网信办组织召开“网络法治护航网络强国建设”座谈会,深入学习领会习近平法治思想和习近平总书记关于网络强国的重要思想,系统总结我国网络法治建设三十年的成就经验,准确把握网络法治建设的新形势新任务,明确努力方向,凝聚工作合力,为网络强国建设和网信事业高质量发展提供有力法治保障。中央宣传部副部长、中央网信办主任、国家网信办主任庄荣文出席并总结讲话,公安部党委委员、副部长陈思源,司法部党组成员、副部长胡卫列,中国移动党组副书记、总经理何飚出席并讲话,中央网信办副主任、国家网信办副主任王崧主持会议。 中央インターネット情報弁公室は6月21日、「強靭なサイバー国家建設を後押しするサイバー法治」シンポジウムを開催し、習近平の法治思想と習近平のサイバー国家に対する重要な思想を研究・理解し、中国における過去30年間のサイバー法治建設の成果と経験を体系的に総括し、サイバー法治の新たな情勢と新たな課題を正確に把握し、努力の方向性を明らかにした。 われわれは、努力の方向を明確にし、相乗効果を集め、強靭なサイバー国家の建設とインターネット情報の大義の良質な発展のために、法治の強力な保障を提供する。 中央宣伝部副部長、中央インターネット情報弁公室主任、国家インターネット情報弁公室主任の荘栄文氏が出席して総括演説を行い、党委員会委員、公安部副部長の陳思遠氏、法務省党組委員、法務部副部長の胡偉利氏、党組副書記、CMCC総経理の何彪氏が出席して演説を行い、中央インターネット情報弁公室副主任、中央インターネット情報弁公室副主任の王松氏が会議を主宰した。
会议指出,我国全功能接入国际互联网以来,特别是党的十八大以来,在以习近平同志为核心的党中央坚强领导下,我国持续完善网络法律体系,网络空间法治根基不断夯实;持续强化网络法律实施,公平正义在网络空间有力彰显;持续深化网络法治宣传,尊法学法守法用法日益成为网络空间的共同追求和自觉行动;持续推进网络法治国际交流合作,为全球互联网发展治理贡献了中国智慧和中国方案。网络法治建设成绩的取得,根本在于习近平总书记作为党中央的核心、全党的核心领航掌舵,在于习近平新时代中国特色社会主义思想特别是习近平法治思想和习近平总书记关于网络强国的重要思想科学指引。 会議では、中国がインターネットに全面的にアクセスするようになって以来、特に第18回中国共産党全国代表大会以降、習近平同志を核心とする中国共産党中央委員会の強力な指導の下、中国はサイバー法制度を整備し続け、サイバー空間における法治の基礎を絶えず固めてきたこと、サイバー法の実施を強化し続け、サイバー空間における公正と正義が強く顕在化してきたこと、サイバー法治の広報を深め続け、法を尊重・遵守し、法を利用することがますます重要になってきたことが指摘された。 サイバー空間における法の支配に関する国際交流と協力の継続的な推進は、中国の知恵と中国のプログラムを世界のインターネットの発展とガバナンスに貢献した。 インターネットにおける法治建設の成果は、習近平総書記が中国共産党中央委員会の核心、全党の核心として舵を取り、「新時代の中国の特色ある社会主義」に関する習近平思想、特に「法治に関する習近平思想」と「インターネットの強化に関する習近平思想」の科学的指導にある。
会议强调,面向新征程,必须胸怀“国之大者”,找准网络法治服务党和国家事业发展全局的着力点,全面提升网络法治建设水平,服务保障网络强国建设。要高举思想旗帜、强化政治引领,始终以习近平新时代中国特色社会主义思想统领网络法治建设全局;要着眼使命任务、加强立法统筹,持续完善中国特色网络法律体系;要突出问题导向、严格法律实施,着力维护网络空间良好秩序;要聚焦关键环节、完善法治监督,依法正确履行网络法治职能;要坚持内外贯通、服务开放大局,加快推进涉外网络法治体系和能力建设;要夯实工作基础、凝聚各方力量,为网络法治建设提供坚实支撑。 会議では、新たな旅路に臨むにあたり、「国の偉大さ」を肝に銘じ、党の全面的な発展と国家の大義に奉仕するサイバー法治の重点を明らかにし、サイバー法治建設の水準を全面的に高め、強大なサイバー国家の建設に奉仕し、保障しなければならないと強調した。 イデオロギーの旗印を高く掲げ、政治指導を強化し、習近平の新時代の中国の特色ある社会主義の思想を常にサイバー法治建設の全面的な指導者としてとらえ、使命と任務を重視し、法制の調整を強化し、中国の特色あるサイバー犯罪の法制度を引き続き改善し、問題志向で法律を厳格に執行することを強調し、サイバー空間の秩序を良好に維持するよう努力し、重要なリンクを重視し、法治の監督を改善し、法に基づきサイバー犯罪の機能を正しく発揮しなければならない。 内外のリンクを堅持し、開放の全体情勢に奉仕し、対外関連ネットワークにおける法治体制と能力の建設を加速しなければならない。仕事の基礎を固め、各方面の力を結集し、ネットワークにおける法治の建設を堅固に支持しなければならない。
座谈会上,中央网信办有关负责同志通报了《中国网络法治三十年》报告相关情况;工业和信息化部、市场监管总局、腾讯公司、中国法学会、中国信息通信研究院、中国社会科学院有关负责同志结合会议主题和工作职责进行发言交流。中央依法治国办、全国人大常委会法工委、最高人民法院、最高人民检察院、科技部、广电总局等中央和国家机关有关负责同志;中国联通、中国电信、人民网、新华网、央视网、法治网负责同志,阿里巴巴、中兴通讯、新浪、搜狐、网易等互联网公司代表,以及来自中国互联网协会、北京大学、清华大学等网络法治领域社会组织、高等院校、高端智库和研究机构的负责同志、专家学者代表参加会议。
シンポジウムでは、中央インターネット情報弁公室の関連責任者同志が『中国サイバー法治30年』報告書を伝え、工業情報化部、市場監督管理総局、テンセント、中国法律学会、中国情報通信研究院、中国社会科学院、関連責任者同志が会議のテーマと任務の作業についてスピーチを交換した。 中央政府法治弁公室、全国人民代表大会常務委員会立法委員会、最高人民法院、最高人民検察院、科学技術部、ラジオ映画テレビ総局などの中央・国家機関の関連責任同志、中国聯通、中国電信、人民日報、新華社通信、中国中央テレビ (CCTV)、法治ネットワークの責任同志、アリババ、中興通訊、新浪、捜狐、網易などのインターネット企業の代表、中国インターネット学会、北京大学、清華大学などのサイバー法治分野のインターネット企業の代表。 清華大学をはじめとするサイバー法治分野の社会組織、大学、高度先端シンクタンクや研究機関、専門家、学者らが会議に出席した。

 

 

1_20210612030101

 

| | Comments (0)

欧州委員会 金融セクターにおける人工知能に関する意見募集 (2024.06.18)

こんにちは、丸山満彦です。

欧州委員会が、金融セクターにおける人工知能に関する質問書について意見募集が出ていますね。。。

3部構成になっていて、

  1. 1部:AIの発展に関する一般的な質問
  2. 2部:金融における具体的なユースケースに関する質問
  3. 3部:金融セクターに関連するAI法に関する質問

で、

第一部については、

  • AIの利用
  • 金融サービスにおけるAIアプリケーション活用のメリット
  • 金融サービスでAIアプリケーションを使用する際の課題とリスク
  • AIとコンプライアンスの負担
  • データアクセス
  • ビジネスモデル 
  • 汎用AI
  • ハイリスクでないユースケースに関連し、AI法に基づく特定の要件の対象とならないAIガバナンス 
  • 予測

第2部については、

  • 銀行業務
  • 証券業務
  • 市場業務
  • 保険業務
  • 資産管理業務
  • その他業務

となっていますね...

 

European Commission

・2024.06.18 Targeted consultation on artificial intelligence in the financial sector

Target audience 対象者
The targeted consultation will gather input from all financial services stakeholders including companies and consumer associations. Views are particularly welcome from financial firms that provide or deploy/use AI systems. This consultation is designed for respondents developing or planning to develop or use AI applications in financial services. 対象となるコンサルテーションは、企業や消費者団体を含むすべての金融サービス関係者から意見を集める。特に、AIシステムのプロバイダや導入・利用を行う金融機関からの意見を歓迎する。このコンサルテーションは、金融サービスにおいてAIアプリケーションを開発中、または開発・利用を計画している回答者を対象としている。
Why we are consulting コンサルティングを行う理由
The present targeted consultation will inform the Commission services on the concrete application and impact of AI in financial services, considering the developments in the different financial services use cases. 本協議は、金融サービスにおけるAIの具体的な応用と影響について、さまざまな金融サービスのユースケースの進展を考慮しながら、欧州委員会の業務に情報を提供するものである。
The views from stakeholders will support the Commission services in their assessment of market developments and risks related to AI and in the implementation of the AI Act in the financial sector. The consultation is focused on the objectives of the financial sector acquis and the AI Act and is not intended to focus on other policy objectives such as competition policy. It is intended to improve the effective implementation of these legal frameworks. 利害関係者からの意見は、AIに関連する市場の発展やリスクのアセスメントにおいて、また、金融分野におけるAI法の実施において、欧州委員会の業務を支援するものとなる。この協議は、金融セクター規制とAI法の目的に焦点を当てたものであり、競争政策など他の政策目的に焦点を当てることを意図したものではない。これらの法的枠組みの効果的な実施を改善することを目的としている。
This targeted consultation will include questions with multiple choice and open answers. The questionnaire contains three parts: この的を絞ったコンサルテーションには、多肢選択式および自由回答式の質問が含まれる。アンケートには3つのパートがある:
1. a first part with general questions on the development of AI 1. 第1部:AIの発展に関する一般的な質問
2. a second part with questions related to specific use cases in finance 2. 第2部:金融における具体的なユースケースに関する質問
3. and a third part on the AI Act related to the financial sector 3. 第3部:金融セクターに関連するAI法に関する質問
For the purpose of this targeted consultation, the concept of AI corresponds to the definition of an AI system established in the AI Act, which covers “any machine-based system designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments”. 本コンサルテーションでは、AIの概念は、AI法に定められたAIシステムの定義に対応するものであり、「様々なレベルの自律性を持って動作するように設計され、導入後に適応性を示す可能性があり、明示的または暗黙的な目的のために、物理的または仮想的環境に影響を与えることができる予測、コンテンツ、推奨、または決定などの出力を生成する方法を、受け取った入力から推測するもの」を対象とする。
Respond to the consultation コンサルテーションへの対応
Please note that in order to ensure a fair and transparent consultation process responses should be submitted through the online questionnaire. 公平で透明性の高いコンサルテーションプロセスを確保するため、回答はオンラインアンケートを通じて提出されることに留意されたい。
Respond to the consultation コンサルテーションに対応する
Reference documents 参考資料
Consultation document: Artificial intelligence in the financial sector ・コンサルテーション文書 金融分野における人工知能
Specific privacy statement: Artificial intelligence in the financial sector ・特定のプライバシーに関する声明 金融分野における人工知能

 

 

 

TARGETED CONSULTATION ON ARTIFICIAL INTELLIGENCE IN THE FINANCIAL SECTOR

本文部分...

・[PDF] Consultation document: Artificial intelligence in the financial sector

 

20240625-234058

 

INTRODUCTION  序文 
In financial services and beyond, there is a broad technology-driven trend towards greater use of AI. The Commission highlighted the need for a targeted consultation on the use of AI in financial services. The goal is to identify the main use cases and the benefits, barriers and risks related to the development of AI applications in the financial sector.  金融サービスをはじめ、幅広い分野でAIを活用する動きが広がっている。欧州委員会は、金融サービスにおけるAIの活用に関する的を絞ったコンサルテーションの必要性を強調した。その目的は、金融分野におけるAIアプリケーションの開発に関する主なユースケース、メリット、障壁、リスクを特定することである。
In general, the development and use of AI in the EU will be regulated by the AI Act, the world’s first comprehensive AI law. The AI Act which was voted by the European Parliament on 13 March and expected to enter into force in July, aims to guarantee the safety and fundamental rights of people and businesses, while strengthening AI uptake, investment and innovation across the EU. To support further these objectives, an AI innovation package has been adopted by the Commission on 24 January 2024. It contains a series of measures to support European startups and SMEs in the development of trustworthy AI that respects EU values and rules. This follows the political agreement reached in December 2023 on the AI Act.  一般的に、EUにおけるAIの開発と利用は、世界初の包括的なAI法であるAI法によって規制される。3月13日に欧州議会で採決され、7月に施行される見込みのAI法は、EU全域でのAIの導入、投資、イノベーションを強化する一方で、人々と企業の安全と基本的権利を保証することを目的としている。こうした目標をさらに支援するため、欧州委員会は2024年1月24日、AIイノベーションパッケージを採択した。このパッケージには、EUの価値観と規則を尊重した信頼できるAIの開発において、欧州の新興企業や中小企業を支援するための一連の措置が盛り込まれている。これは、2023年12月に成立したAI法に関する政治的合意に続くものである。
The AI Act is designed to complement the already existing financial services acquis, that, while not explicitly targeted at regulating AI, is an important framework to manage the related risks in specific applications and includes several relevant requirements for financial entities when providing financial services. It does so by pursuing objectives to ensure healthy financial markets, such as transparency, market integrity, investor protection and financial stability. For example, when providing investment services, including through reliance on AI such as trading algorithms, investment firms must comply with the MIFID/R framework and the market abuse rulebook.  AI法は、すでに存在する金融サービス法を補完するように設計されている。同法は、AIの規制を明確には対象としていないものの、特定のアプリケーションにおける関連リスクを管理するための重要な枠組みであり、金融サービスを提供する際の金融事業体に対するいくつかの関連要件を含んでいる。これは、透明性、市場の健全性、投資家保護、金融の安定など、健全な金融市場を確保するための防御を追求するものである。例えば、取引アルゴリズムのようなAIへの依存を含め、投資サービスを提供する場合、投資会社はMIFID/Rのフレームワークと市場濫用ルールブックを遵守しなければならない。
The aim of this consultation is not to lead to policy work that would generate new duplicative requirements in relation to the use of AI by the financial sector, or to new requirements that have the potential to stifle AI innovation.  このコンサルテーションの目的は、金融セクターによるAIの利用に関して、新たな生成的要件を生み出すような政策作業や、AIのイノベーションを阻害する可能性のある新たな要件につながらないようにすることである。
Objective of the consultation  コンサルテーションの目的 
The present targeted consultation will inform the Commission services on the concrete application and impact of AI in financial services, considering the developments in the different financial services use cases.  本コンサルテーションは、金融サービスにおけるAIの具体的な応用と影響について、さまざまな金融サービスのユースケースの進展を考慮しながら、欧州委員会の業務に情報を提供することを目的としている。
The views from stakeholders will support the Commission services in their assessment of market developments and risks related to AI and in the implementation of the AI Act and existing financial services legislation in the financial sector. The consultation is focused on the objectives of the financial sector acquis and the AI Act and is not intended to focus on other policy objectives such as competition policy. It is intended to improve the effective implementation of these legal frameworks.  利害関係者からの意見は、AIに関連する市場の発展やリスクのアセスメント、金融分野におけるAI法や既存の金融サービス法の施行において、欧州委員会の業務を支援するものとなる。このコンサルテーションは、金融セクター規制およびAI法の目的に焦点を当てたものであり、競争政策など他の政策目的に焦点を当てることを意図したものではない。これらの法的枠組みの効果的な実施を改善することを目的としている。
This targeted consultation will include questions with multiple choice and open answers. The questionnaire contains three parts:  この的を絞ったコンサルテーションには、多肢選択式および自由回答式の質問が含まれる。アンケートには3つのパートがある:
1.     a first part with general questions on the development of AI  1. 第1部:AI開発に関する一般的な質問
2.     a second part with questions related to specific use cases in finance  2. 第2部:金融における具体的なユースケースに関する質問
3.     and a third part on the AI Act related to the financial sector  3. 第3部:金融セクターに関連するAI法に関する質問
For the purpose of this targeted consultation, the concept of AI corresponds to the definition of an AI system established in the AI Act, which covers “any machine-based system designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments”.  このコンサルテーションでは、AIの概念はAI法に定められたAIシステムの定義に対応するものであり、「様々なレベルの自律性で動作するように設計され、導入後に適応性を示す可能性があり、明示的または暗黙的な目的のために、物理的または仮想的な環境に影響を与えることができる予測、コンテンツ、推奨、決定などの出力を生成する方法を、受け取った入力から推論するもの」を対象とする。
Target group  対象グループ 
The targeted consultation will gather input from all financial services stakeholders including companies and consumer associations. Views are particularly welcome from financial firms that provide or deploy/use AI systems. This consultation is designed for respondents developing or planning to develop or use AI applications in financial services.  対象となるコンサルテーションは、企業や消費者団体を含む全ての金融サービス関係者から意見を集める。特に、AIシステムのプロバイダや導入・利用を行う金融企業からの意見を歓迎する。本コンサルテーションは、金融サービスにおいてAIアプリケーションを開発または使用する予定の回答者を対象としている。
Responding to the consultation  コンサルテーションへの対応 
Respondents are invited to complete the questionnaire by 13 September 2024. They are invited to elaborate by providing input and additional insights to their answers.  対応者は2024年9月13日までにアンケートに回答するよう求められる。回答者は、回答に対するインプットや追加的な洞察を提供することで、より詳細な情報を得ることができる。
Outcome  成果 
Depending on the progress made, the Commission will publish a report on the findings and an analysis of the main trends and issues arising with the use of AI applications in financial services.  進捗状況に応じて、欧州委員会は、調査結果および金融サービスにおけるAIアプリケーションの利用によって生じる主な傾向と問題点の分析に関する報告書を公表する。
Please note that the information collected will not be shared with third parties and if used, it will be anonymised, in such a manner that it does not relate to any identified or identifiable financial institution.  なお、収集された情報はサードパーティと共有されることはなく、使用される場合は、特定または識別可能な金融機関に関連しないように匿名化される。
CONSULTATION QUESTIONS  コンサルテーションに関する質問
Part 1: GENERAL QUESTIONS ON AI APPLICATIONS IN FINANCIAL SERVICES  第1部:金融サービスにおけるAiアプリケーションに関する一般的な質問
1.1. Use of AI  1.1. AIの利用 
Question 1. Are you using or planning to use AI systems?  質問1. AIシステムを使用しているか、または使用する予定があるか?
•     Yes, we are already using AI systems.  ・はい、すでにAIシステムを利用している。
•     Not yet, but we plan to use AI systems within the next 2 years.  ・まだ使用していないが、今後2年以内に使用する予定である。
•     No, we are not using AI systems and we don’t plan to use it within the next 2 years.  ・いいえ、AIシステムを利用していないし、今後2年以内に利用する予定もない。
Question 2. What are the positive things you encounter when using AI?  質問2. AIを使用する際に遭遇するポジティブなことは何か?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question 3. What are the negative things you encounter when using AI?  質問3. AIを利用する際に、マイナスになることは何か?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question 4. Will you be deploying AI for new or additional processes within your organisation?  質問4. 組織内の新規または追加のプロセスにAIを導入するか?
•     Yes, which ones?  ・はい。
•     No  ・いいえ
Question 5. Are you developing or planning to develop in-house AI applications?  質問5. 社内でAIアプリケーションを開発しているか、または開発する予定があるか?
•     Yes, please explain.  ・はい、説明してほしい。
•     No, please explain broadly whom you plan to collaborate with for the development of your AI applications (fintech, bigtech, etc.). or whether you plan to buy off the shelf fully developed solutions.  ・いいえ、AIアプリケーション(フィンテック、ビッグテックなど)の開発のために誰と協業する予定か、または完全に開発された既製のソリューションを購入する予定かどうか、大まかに説明してください。
Question 6. Which tools are you using to develop your AI applications? Examples: machine learning, neural networks, natural language processing, large language models, etc.  質問6. AIアプリケーションの開発にはどのツールを使っているか?例:機械学習、ニューラルネットワーク、自然言語処理、大規模言語モデルなど。
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
 1.2. Benefits of using AI applications in financial services  1.2. 金融サービスにおけるAIアプリケーション活用のメリット 
Question 7. Please score the following benefits from most significant (10) to least significant (1):  質問7. 以下の利点について、最も重要なもの(10)から最も重要でないもの(1)までの点数をつけてください:
•     Fraud detection: AI algorithms can analyse large amounts of data to detect patterns and anomalies that may indicate fraudulent activity, helping to reduce financial losses for businesses and customers.  ・不正検知:AIアルゴリズムは大量のデータを分析し、不正行為を示すパターンや異常を検知することができる。
•     Risk management: AI can analyse and predict market trends, assess credit risks, and identify potential investment opportunities, helping financial institutions make more informed decisions and manage risks more effectively.  ・リスクマネジメント:AIは、市場動向の分析と予測、信用リスクのアセスメント、潜在的な投資機会の特定を行うことができ、金融機関がより多くの情報に基づいた意思決定を行い、より効果的にリスクを管理するのに役立つ。
•     Automation of routine tasks: AI can automate repetitive tasks such as data entry, transaction processing, and document verification, freeing up time for employees to focus on more complex and strategic activities.  ・定型業務の自動化:AIは、データ入力、取引処理、文書検証などの反復作業を自動化し、従業員がより複雑で戦略的な業務に集中できる時間を確保することができる。
•     Cost savings: by automating processes and improving efficiency, AI can help financial institutions reduce operational costs.  ・コスト削減:プロセスを自動化し、効率を向上させることで、AIは金融機関の運用コスト削減に貢献する。
•     Personalized financial advice: AI can analyse customer data to provide personalized financial advice and recommendations, helping customers make better financial decisions and improve their financial well-being.  ・パーソナライズされた金融アドバイス:AIは顧客データを分析し、個人に合った金融アドバイスや提案を提供することで、顧客がより適切な金融上の意思決定を行い、経済的な幸福を向上させることを支援する。
•     Compliance and regulatory support: AI can help financial institutions stay compliant with regulations by analysing and interpreting complex regulatory requirements and monitoring transactions for suspicious activities.  ・コンプライアンスと規制のサポート:AIは、複雑な規制要件を分析・解釈し、疑わしい取引がないかを監視することで、金融機関が規制を遵守し続けることを支援できる。
•     Enhanced decision-making: AI can analyse large amounts of data and provide insights that can help financial institutions make better investment decisions, assess credit risks, and optimize their operations.  ・意思決定の強化:AIは大量のデータを分析し、金融機関がより適切な投資判断を下し、信用リスクを評価し、業務を最適化するのに役立つ洞察を提供することができる。
•     Improved security: AI can enhance security measures by identifying potential security threats, detecting unusual patterns of behaviour, and providing real-time alerts to prevent security breaches.  ・セキュリティの改善:AIは、潜在的なセキュリティ脅威を特定し、異常な行動パターンを検知し、セキュリティ侵害を防止するためのリアルタイム・アラートを提供することで、セキュリティ対策を強化することができる。
•     Streamlined processes: AI can streamline various financial processes, such as loan underwriting, account opening, and claims processing, leading to faster and more efficient services for customers.  ・プロセスの合理化:AIは、ローンの引き受け、口座開設、クレーム処理など、さまざまな金融プロセスを合理化し、顧客により迅速で効率的なサービスを提供することができる。
•     Improved customer service: AI can be used to provide personalized and efficient customer service, such as chatbots that can answer customer queries and provide assistance 24/7.  ・顧客サービスの改善:AIは、顧客からの問い合わせに回答し、24時間365日サポートを提供できるチャットボットなど、パーソナライズされた効率的な顧客サービスを提供するために利用できる。
Question 8. What are the main benefits/advantages you see in the development of your AI applications?  質問8. AIアプリケーションの開発における主なメリット/利点は何か?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
 1.3. Challenges and risks when using AI applications in financial services   1.3. 金融サービスでAIアプリケーションを使用する際の課題とリスク 
Question 9. Please score the following challenges and risks from most significant  質問9. 以下の課題とリスクについて、最も重要なもの(10点)から最も重要でないもの(1点)まで、点数をつけていただきたい。
(10) to least significant (1):  (10)から最も重要でないもの(1)まで採点していただきたい:
•     Lack of access to the required data, in general.  ・一般的に、必要なデータにアクセスできない。
•     Lack of access to the data in an appropriate digital format.  ・適切なデジタル形式のデータにアクセスできない。
•     Lack of access to appropriate data processing technology, e.g. cloud computing.  ・適切なデータ処理技術(例:クラウド・コンピューティング)へのアクセスが欠如している。
•     Data privacy: it is crucial to ensure that sensitive financial information remains confidential.  ・データ・プライバシー:機密性の高い財務情報の機密性を確保することは極めて重要である。
•     Lack of trust in relation to performance levels/ security aspects/ certified solutions/ reliability of the technology.  ・パフォーマンス・レベル/セキュリティ面/認定されたソリューション/テクノロジーの信頼性に関する信頼の欠如。
•     Regulatory compliance with financial regulation: financial services are heavily regulated and not all types of AI applications are in line with requirements under these regulations.  ・金融規制へのコンプライアンス:金融サービスは規制が厳しく、すべての種類のAIアプリケーションがこれらの規制下の要件に合致しているわけではない。
•     Innovation: the ability to leverage on combining AI with other technologies to enhance its potential and generate new services?  ・イノベーション:AIを他のテクノロジーと組み合わせて活用し、その可能性を高め、新たなサービスを生み出す能力か。
•     Transparency and explainability: AI algorithms can be complex and opaque. It can be difficult for humans to understand how AI arrives at certain conclusions, which can create issues of trust and accountability.  ・透明性と説明可能性:AIのアルゴリズムは複雑で不透明な場合がある。AIがどのようにして特定の結論に至るのかを人間が理解することは困難であり、信頼と説明責任の問題が生じる可能性がある。
•     Bias and discrimination: AI models are trained using data, and if the data is biased, the AI model can also be biased, leading to unfair outcomes.  ・バイアスと識別的:AIモデルはデータを使って訓練されるため、データにバイアスがかかっていると、AIモデルにもバイアスがかかり、不公平な結果につながる可能性がある。
•     Reputational risk from undesirable AI behavior or output.  ・望ましくないAIの行動や出力による風評リスク。
•     Liability risks: legal uncertainty on who bears the liability in case of damages generated by the malfunctioning of the AI applications.  ・責任リスク:AIアプリケーションの誤動作によって損害が発生した場合、誰が責任を負うかに関する法的不確実性。
•     Skills gap: the development of AI requires specific tech skills, and there is a shortage of such skills.  ・スキル・ギャップ:AIの開発には特定の技術スキルが必要であり、そのようなスキルは不足している。
•     Dependability: as financial institutions rely more and more on AI; the dependability of these systems becomes paramount. Any malfunction or error (e.g. in risk management) can lead to significant financial losses.  ・信頼性:金融機関のAIへの依存度が高まるにつれ、これらのシステムの信頼性が最も重要になる。誤作動やエラー(リスクマネジメントなど)があれば、大きな財務的損失につながりかねない。
•     Job displacement: the use of AI can potentially automate certain roles in the financial sector leading to job displacement.  ・雇用の置き換え:AIの利用は、金融セクターにおける特定の役割を自動化する可能性があり、雇用の置き換えにつながる。
•     Cybersecurity: AI systems could be targeted by cybercriminals, leading to potential data breaches or manipulation of AI systems.  ・サイバーセキュリティ:AIシステムはサイバー犯罪者に狙われる可能性があり、データ侵害やAIシステムの操作につながる可能性がある。
•     Integration challenges: integrating AI technologies with existing systems and processes can be complex and expensive.  ・統合の課題:AI技術を既存のシステムやプロセスに統合することは複雑でコストがかかる可能性がある。
•     Additional cost: the deployment and use of AI requires up-front investment and ongoing resources (acquiring or developing applications, keeping them up to date, training/skills).  ・追加コスト:AIの導入と利用には、先行投資と継続的なリソース(アプリケーションの取得や開発、最新状態の維持、トレーニング/スキル)が必要となる。
Question 10. What are the main difficulties/obstacles you are facing in the development of your AI applications?  質問10. AIアプリケーションの開発で直面している主な困難/障害は何か?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question 11. Please rank the potential negative impact that widespread use of AI can have on the following risks. 8 being the highest risk.  質問11. AIの普及が以下のリスクに与える潜在的な悪影響をランク付けしてほしい。8が最も高いリスクである。
•     Operational risks  ・オペレーションリスク
•     Market risks  ・市場リスク
•     Liquidity risks  ・流動性リスク
•     Financial stability risks  ・金融安定性リスク
•     Market integrity risks  ・市場整合性リスク
•     Investor protection risk  ・投資家保護リスク
•     Consumer protection risk  ・消費者保護リスク
•     Reputational risk  ・風評リスク
Please explain your answer to the previous question and give examples when possible.  前問に対する回答について説明し、可能であれば例を挙げて説明してほしい。
Question 12. AI may affect the type and degree of dependencies in financial markets in certain circumstances, especially where a high number of financial entities rely on a relatively small number of third-party providers of AI systems. Do you see a risk of market concentration and/or herding behavior in AI used for financial services?  質問12. 特に、多数の金融事業体が比較的少数のAIシステムのサードパーティ・プロバイダに依存している場合、AIは特定の状況において、金融市場における依存関係の種類や程度に影響を与える可能性がある。金融サービスに使用される AI において、市場集中及び/又は群れ行動 のリスクがあると考えるか?
•     Yes, in which areas of AI?  ・はい、AIのどの分野で?
•     No, please explain.  ・いいえ、説明してほしい。
 1.4. AI and compliance burden  1.4. AIとコンプライアンスの負担 
Question 13. Can AI help to reduce the reporting burden?  質問13. AIは報告負担の軽減に役立つか。
•     Yes, in which areas do you see AI reducing reporting burden?  ・はい、どの分野でAIが報告負担を軽減すると思うか?
•     No, why?  ・いいえ、その理由は?
Question 14. Do you think AI can facilitate compliance with multiple regulatory standards across the EU and thus facilitate market integration or regulatory compliance? For example, would you consider it feasible to use AI for converting accounting and financial statements developed under one standard (e.g. local GAAP) to another standard (e.g. IFRS)? Please elaborate.  質問14. AIはEU全域で複数の規制標準への準拠を促進し、市場統合や規制遵守を促進できると考えるか。例えば、ある標準(例えばローカルGAAP)の下で作成された会計・財務諸表を別の標準(例えばIFRS)に変換するためにAIを利用することは実現可能だと考えるか。詳しく説明してほしい。
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
 1.5. Data access   1.5. データアクセス 
Question 15. In order to develop AI applications, do you need access to external datasets that you currently don’t have access to?  質問15. AIアプリケーションを開発するために、現在アクセスできない外部データセットにアクセスする必要があるか?
•     Yes  ・はい
•     No  ・必要ない
Question 16. Which datasets would you need to develop meaningful AI applications and for which purpose / use case?  質問16. 有意義なAIアプリケーションを開発するために、どのようなデータセットが必要か。
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question 17. Do you face hurdles in getting access to the data you need to develop AI applications in financial services?  質問17. 金融サービスでAIアプリケーションを開発するために必要なデータにアクセスする際にハードルに直面するか?
•     Yes, please explain which type of data you would need to have access to.  ・はい、どのようなデータにアクセスする必要があるか説明してほしい。
•     No  ・いいえ
Question 18. Are you familiar with the EU Data Hub, a data sharing tool for supervisors and financial companies?  質問18. 監督当局と金融会社のためのデータ共有ツールであるEUデータハブをご存知か?
•     Yes, do you think it can improve access to data?  ・はい、データへのアクセスを改善できると思うか。
•     No, are you aware of other data sharing initiatives that you find useful?  ・いいえ、有用と思われる他のデータ共有イニシアチブを知っているか。
Question 19. Should public policy measures (e.g. legislative or non-legislative) encourage the exchange of data between market participants, which can be used to train AI systems for use cases in finance?  質問19. 金融のユースケースのためのAIシステムの訓練に使用できる市場参加者間のデータ交換を、公共政策措置(立法的または非立法的など)で奨励すべきか?
•     Yes. Which type of measures do you propose?  ・はい。どのような対策を提案するか?
•     No  ・提案しない
 1.6. Business model   1.6. ビジネスモデル 
Question 20. Has AI changed your business model?  質問20. AIは貴社のビジネスモデルを変えたか?
•     Yes, how?  ・はい、どのように?
•     No  ・いいえ
Question 21. Which parts of the value chain are being improved with AI?  質問21. バリューチェーンのどの部分がAIによって改善されているか?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question 22. Are there functions that cannot/would not be improved by AI?  質問22. AIで改善できない/改善しない機能はあるか?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
 1.7. General purpose AI   1.7. 汎用AI 
For the purpose of this targeted consultation, respondents should consider general purpose AI as defined in the AI Act (Article 3(63)), i.e. meaning any “AI model, including where such an AI model is trained with a large amount of data using selfsupervision at scale, that displays significant generality and is capable of competently performing a wide range of distinct tasks regardless of the way the model is placed on the market and that can be integrated into a variety of downstream systems or applications, except AI models that are used for research, development or prototyping activities before they placed on the market”.  本対象コンサルテーションでは、回答者は、AI法(第3条63項)に定義される汎用AI、すなわち、「AIモデル(そのようなAIモデルが大規模な自己監視を使用して大量のデータを用いて訓練される場合を含む)であって、そのモデルが上市される方法にかかわらず、有意な汎用性を示し、広範囲の明確なタスクを適切に実行することができ、様々な下流のシステム又はアプリケーションに統合することができるもの(上市前に研究、開発又はプロトタイピング活動に使用されるAIモデルを除く)」を意味する汎用AIを検討すべきである。
Question 23. Do you use general purpose AI models, including generative AI, and their respective reference architectures?  質問23. 生成的AIを含む汎用AIモデルと、それぞれの参照アーキテクチャを使用しているか?
•     Yes, please explain why you want to opt for these AI models in your organisation.  ・はい、あなたの組織でこれらのAIモデルを選択したい理由を説明してほしい。
•     Not yet, but we plan to use general purpose AI models within the next 2 years.  ・まだ使用していないが、今後2年以内に汎用AIモデルを使用する予定である。
•     No, please explain which other AI reference architectures (e.g. more traditional ones) you plan to use to develop your AI applications and why.  ・いいえ、AIアプリケーションの開発に他のどのAI参照アーキテクチャ(より伝統的なものなど)を使用する予定か、その理由を説明してほしい。
Question 24. How do you plan to operationalise and adopt general purpose AI at scale?  質問24. 汎用AIをどのように運用し、大規模に採用する予定か。
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question 25. How does the increasing availability of general purpose AI models, including generative AI applications, impact the need to access new datasets?  質問25. 生成的AIアプリケーションを含む汎用AIモデルの利用可能性の増加は、新しいデータセットにアクセスする必要性にどのように影響するか?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。。
Question 26. Compared to traditional AI systems such as supervised machine learning systems, what additional opportunities and risks are brought by general purpose AI models?  質問26. 教師あり機械学習システムなどの従来のAIシステムと比較して、汎用AIモデルはどのような新たな機会とリスクをもたらすか?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question 27. In which areas of the financial services value chain do you think general purpose AI could have a greater potential in the short, medium and long term?  質問27. 金融サービスのバリューチェーンのどの分野で、汎用AIが短期・中期・長期的に大きな可能性を持つと思うか?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
1.8. AI Governance in relation to non-high risk use cases, and which are not subject to specific requirements under the AI Act  1.8. ハイリスクでないユースケースに関連し、AI法に基づく特定の要件の対象とならないAIガバナンス 
Question 28. Have you developed, or are you planning to develop an AI strategy or other relevant guidelines within your organisation for the use of AI systems?  質問28. AIシステムの利用に関して、組織内でAI戦略やその他の関連ガイドラインを策定したか、または策定する予定があるか。
•     Yes, which ones?  ・はい。
•     No  ・いいえ
Question 29. Have you put in place or are you planning to put in place governance and risk management measures to ensure a responsible and trustworthy use of AI within your organisation?  質問29. 組織内で責任ある信頼できるAIの利用を確保するために、ガバナンスやリスクマネジメントを導入しているか、または導入する計画があるか。
•     Yes, which ones?  ・はい、どのようなものか?
•     No  ・いいえ
 1.9. Forecasts   1.9. 予測 
Question 30. What are the main evolutions to be expected in AI in finance?  質問30. 金融分野におけるAIに期待される主な進化は何か?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question 31. Which financial services do you expect to be the most impacted by AI?  質問31. AIによって最も影響を受けると予想される金融サービスは?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question 32. Do you have any additional information to share?  質問32. その他、共有すべき情報はあるか。
Part 2: QUESTIONS RELATED TO SPECIFIC USE CASES IN FINANCIAL SERVICES  第2部:金融サービスにおける具体的なユースケースに関する質問
Question 33. In which sector are you using AI?  質問33. どの分野でAIを活用しているか?
You may select more than one answer.  複数回答可 
•     Banking and payments  ・銀行業務と決済
•     Market infrastructure  ・市場インフラ
•     Securities markets  ・証券市場
•     Insurance and pensions  ・保険・年金
•     Asset management  ・資産管理
•     Other  ・その他
 2.1. Questions per sector   2.1. セクターごとの質問
Banking and payments (if selected)  銀行業務と決済(選択した場合) 
In banking, possible AI use cases range from credit risk assessment and credit scoring to advice, compliance, early warning (for example of unusual social media activity / massive withdrawal of deposits), fraud/AML and customer service.  銀行業務では、AIのユースケースとして、信用リスクアセスメントやクレジットスコアリングから、アドバイス、コンプライアンス、早期警告(ソーシャルメディアの異常な活動や預金の大量引き出しなど)、詐欺/AML、顧客サービスまでが考えられる。
Depending on the specific use cases, relevant legislation would include:  具体的なユースケースに応じて、関連する法律には以下が含まれる:
•       the AI Act (for the identified high-risk use cases such as creditworthiness and credit-scoring of natural persons)  ・AI法(自然人の信用度や信用スコアリングなど、特定された高リスクのユースケース用)
•       the Consumer Credit Directive  and the Mortgage Credit Directive  ・消費者信用指令および住宅ローン信用指令
(creditworthiness of natural persons and robo-advice)  (消費者信用指令および住宅ローン信用指令(自然人の信用度およびロボアドバイス) 
•       the Capital Requirements Regulation (CRR) (for example provisions on risk management in relation to credit risk assessment)  ・資本規制(CRR)(信用リスク評価に関するリスクマネジメント規定など)
•       the Payment Services Directives (PSD) (for example for fraud detection)  ・決済サービス指令(PSD)(不正行為の検知など)
•       and the Anti-Money Laundering Directive (AMLD) (for example for AML risk use cases)  ・マネーロンダリング防止指令(AMLD)(AML リスクのユースケースなど)
Question BANKING 1. For which use case(s) are you using/considering using AI?  質問 銀行業務 1. どのようなユースケースで AI を利用/検討しているか。
Open answer. Examples: risk assessment, credit scoring, robo-advice, sustainable finance, personal finance management, regulatory compliance, fraud detection, AML, customer service, etc.  自由回答 検知例:リスクアセスメント、クレジットスコアリング、ロボアドバイス、サステナブルファイナンス、パーソナルファイナンスマネジメント、規制遵守、不正検知、AML、顧客サービスなど。
Question BANKING 2. What are the opportunities that AI brings to your use case?  質問 銀行業務 2.AIがあなたのユースケースにもたらす機会は何か?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question BANKING 3. What are the main challenges and risks that AI brings to your use case (e.g. discrimination, opacity of the AI application developed, difficult to control/supervise it, etc.)?  質問 銀行業務 3. AIが貴社のユースケースにもたらす主な課題とリスクは何か(識別的、開発されたAIアプリケーションの不透明性、制御/監督が困難など)。
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question BANKING 4. What is the main barrier to developing AI in your use case (e.g. lack of skills and resources, readiness of the technology, high regulatory costs for compliance with the relevant frameworks, etc.)?  質問 銀行業務 4. ユースケースにおけるAI開発の主な障壁は何か(スキルやリソースの不足、技術の準備、関連フレームワークへの準拠のための高い規制コストなど)?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question BANKING 5. Does AI reduce or rather increase bias and discrimination in your use case?  質問 銀行業務 5. あなたのユースケースにおいて、AIはバイアスや識別を減らすか、むしろ増やすか?
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question BANKING 6. Has general purpose AI opened new possibilities or risks in your use case?  質問 銀行業務 6. あなたのユースケースにおいて、汎用AIは新たな可能性やリスクをもたらしたか。
•     Yes  ・はい
•     No  ・いいえ
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question BANKING 7. On whom do you rely for the development of your AI solutions?  質問 銀行業務 7. AIソリューションの開発を誰に依存しているか。
•     External providers  ・外部プロバイダ
•     In-house applications  ・社内アプリケーション
•     Partial collaboration with external providers  ・外部プロバイダとの一部協業
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Market infrastructure (if selected)  市場インフラ(選択した場合) 
According to the European securities and markets authority (ESMA)[1], AI is currently not widely used by financial market infrastructures in their operations. However, use of AI systems in post-trading is emerging and will likely become more relevant in the future, such as for predicting settlement fails, anomaly detection, data verification and data quality checks.  欧州証券市場認可局(ESMA)[1]によると、現在、金融市場インフラにおいてAIはあまり活用されていない。しかし、ポストトレーディングにおけるAIシステムの利用は台頭しつつあり、決済失敗の予測、異常検知、データ検証、データ品質チェックなど、今後関連性が高まる可能性が高い。
Question MARKET 1. For which use case(s) are you using/considering using AI?  質問 市場業務1. どのようなユースケースでAIの活用を考えているか?
Open answer. Examples: risk management, sustainable finance, regulatory compliance, etc.  自由回答 例:リスクマネジメント、サステイナブル・ファイナンス、規制遵守など。
Question MARKET 2. What are the opportunities that AI brings to your use case?  質問 市場業務2. AIがあなたのユースケースにもたらす機会は何か?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question MARKET 3. What are the main challenges and risks that AI brings to your use case (e.g. discrimination, opacity of the AI application developed, difficult to control/supervise it, etc.)?  質問 市場業務3. AIがあなたのユースケースにもたらす主な課題とリスクは何か(識別的、開発されたAIアプリケーションの不透明性、制御/監督の困難性など)?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question MARKET 4. What is the main barrier to developing AI in your use case (e.g. lack of skills and resources, readiness of the technology, high regulatory costs for compliance with the relevant frameworks, etc.)?  質問 市場業務 4.あなたのユースケースにおけるAI開発の主な障壁は何か(例:スキルやリソースの不足、技術の準備、関連フレームワークへの準拠のための高い規制コストなど)?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question MARKET 5. Does AI reduce or rather increase bias and discrimination in your use case?  質問 市場業務 5. あなたのユースケースにおいて、AIはバイアスや識別を減らすか、むしろ増やすか?
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question MARKET 6. Has general purpose AI opened new possibilities or risks in your use case?  質問 市場業務6. あなたのユースケースにおいて、汎用AIは新たな可能性やリスクをもたらしたか。
•     Yes  ・はい
•     No  ・いいえ
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question MARKET 7. On whom do you rely for the development of your AI solutions?  質問 市場業務 7. AIソリューションの開発を誰に依存しているか?
•     External providers  ・外部プロバイダ
•     In-house applications  ・社内アプリケーション
•     Partial collaboration with external providers  ・外部プロバイダと一部協業している
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Securities markets (if selected)  証券市場(選択した場合) 
In securities markets, possible AI use cases range from risk assessment to trade execution (e.g. algorithmic trading), robo-advice, regulatory compliance and market abuse to customer service. Depending on the specific use cases, relevant legislation would include, for example:  証券市場では、リスクアセスメントから取引執行(アルゴリズム取引など)、ロボアドバイス、規制遵守、市場濫用、顧客サービスまで、さまざまなAIユースケースが考えられる。具体的なユースケースに応じて、関連する法律には例えば以下のようなものがある:
•       Markets in Financial Instruments Directive (MiFID) (for example on trading and robo-advice)  ・金融商品市場指令(MiFID)(取引やロボ・アドバイスなど)
•       and Market Abuse Regulation (MAR) (for example for market abuse detection use cases).  ・および市場濫用規制(MAR)(市場濫用検知のユースケースなど)が含まれる。
Robo advice: According to the upcoming AI Act, there are specific transparency requirements for AI systems which are not high-risk. The requirements imply that these  ロボアドバイス:来るべきAI法によれば、ハイリスクではないAIシステムには特定の透明性要件がある。この要件は、以下のことを意味する。
AI systems are developed and used in a way that allows making humans aware that they communicate or interact with an AI system. This would for example apply to use cases such as robo-advice or other customer personalised AI applications.  AIシステムは、AIシステムとのコミュニケーションやインタラクションを人間に認識させるような方法で開発・使用される。これは例えば、ロボアドバイスやその他の顧客向けにパーソナライズされたAIアプリケーションのようなユースケースに適用される。
Question SECURITIES 1. For which use case(s) are you using/considering using AI?  質問 証券業務 1. どのようなユースケースでAIを使用/検討しているか?
Open answer. Examples: risk assessment, individual or collective portfolio management, algorithmic trading, robo-advice, sustainable finance, personal finance management, regulatory compliance, customer service, market abuse detection, etc.  自由回答 例:リスクアセスメント、個人または集団のポートフォリオマネジメント、アルゴリズム取引、ロボアドバイス、持続可能な金融、個人金融マネジメント、規制遵守、顧客サービス、市場濫用検知など。
Question SECURITIES 2. What are the opportunities that AI brings to your use case?  質問 証券業務 2. AIがあなたのユースケースにもたらす機会は何か?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question SECURITIES 3. What are the main challenges and risks that AI brings to your use case (e.g. discrimination, opacity of the AI application developed, difficult to control/supervise it, etc.)?  質問 証券業務 3. あなたのユースケースにおいて、AIがもたらす主な課題やリスクは何か(識別的、開発したAIアプリ ケーションの不透明性、制御・監督の困難性など)?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question SECURITIES 4. What is the main barrier to developing AI in your use case (e.g. lack of skills and resources, readiness of the technology, high regulatory costs for compliance with the relevant frameworks, etc.)?  質問 証券業務 4. ユースケースにおけるAI開発の主な障壁は何か(スキルやリソースの不足、技術の準備、関連フレームワークへの準拠のための高い規制コストなど)?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question SECURITIES 5. Can AI reduce bias and discrimination or increase them in your use case?  質問 証券業務 5.あなたのユースケースにおいて、AIはバイアスや識別的差別を減らすことができるか、あるいは増やすことができるか。
•     Yes  ・はい
•     No  ・いいえ
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question SECURITIES 6. Has general purpose AI opened new possibilities or risks in your use case?  質問 証券業務 6. あなたのユースケースにおいて、汎用AIは新たな可能性やリスクをもたらしたか?
•     Yes  ・はい
•     No  ・いいえ
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question SECURITIES 7. On whom do you rely for the development of your AI solutions?  質問 証券業務 7. AIソリューションの開発を誰に依存しているか?
•     External providers  ・外部プロバイダ
•     In-house applications  ・社内アプリケーション
•     Partial collaboration with external providers  ・外部プロバイダとの一部協業
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question SECURITIES 8. ‘Herding effects’, where trading is dominated by trading algorithms that make decisions based on similar model calibrations, are often considered as a risk for financial markets. Do you believe that the use of AI has increased this risk?  質問 証券業務 8. 類似のモデル・キャリブレーションに基づいて意思決定を行う取引アルゴリズ ムによって取引が支配される「ハーディング効果」は、しばしば金融市場のリスクと見なされている。AIの利用がこのリスクを高めていると考えるか?
•     Yes  ・はい
•     No  ・いいえ
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question SECURITIES 9. Machine learning trading algorithms can interact with each other in unpredictable ways on the market. Do you see any risks to market integrity and efficiency stemming from these interactions, such as collusion that can amount to market manipulation or sudden bouts of illiquidity where trading algorithms stop trading in response to unusual patterns of market behaviour?  質問 証券業務 9. 機械学習による取引アルゴリズムは、市場において予測不可能な方法で相互作用する可能性がある。このような相互作用から、市場操作に相当するような談合や、市場行動の異常なパターンに反応して取引アルゴリズムが取引を停止するような突然の非流動性の発生など、市場の整合性や効率性に起因するリスクがあると考えるか。
•     Yes  ・はい
•     No  ・いいえ
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question SECURITIES 10. Can robo-advice based on general purpose AI, which can sometimes produce ‘hallucinations’, i.e. nonsensical or inaccurate replies, be made compatible with regulatory requirements applicable to investment advice?  質問 証券業務 10. 時として「幻覚」、すなわち無意味または不正確な回答を生み出す可能性のある汎用 AI に基づくロボアドバイスは、投資助言に適用される規制要件に適合させることができるか。
•     Yes  ・はい
•     No  ・いいえ
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question SECURITIES 11. What precautions will you put in place to ensure robo-advice is developed in compliance with the requirements for investment advice?  質問 証券業務 11. ロボアドバイスが投資助言の要件に準拠して開発されることを保証するために、どのような予防措置を講じるか。
Insurance and pensions (if selected)  保険・年金(選択した場合) 
In insurance, possible AI use cases range from insurance pricing and underwriting to advice, compliance, fraud detection/AML and customer service. Depending on the specific use cases, relevant legislation would include  保険では、AIのユースケースとして、保険料設定や保険引受から、アドバイス、コンプライアンス、不正検知/AML、顧客サービスまでが考えられる。具体的なユースケースに応じて、関連する法律には以下が含まれる。
•       the AI Act (for the identified high risk use-cases such as life and health insurance risk assessment and pricing in relation to natural persons)  ・AI法(自然人に関する生命保険や医療保険のリスクアセスメントやプライシングなど、識別された高リスクのユースケースの場合)
•       the Insurance Intermediation Directive (IDD) (for example robo-advice),  ・保険仲介指令(IDD)(ロボアドバイスなど)、 
•       Solvency II and institutions for occupational retirement provisions (IORPs) (for example provisions on risk management in relation to insurance risk assessment),  ・ソルベンシーⅡおよび退職給付機構(IORPs)(保険リスクアセスメントに関するリスクマネジメント規定など)、 
•       and the Anti-Money Laundering Directive (AMLD) (for example AML use cases).  ・およびマネーロンダリング防止指令(AMLD)(AML のユースケースなど)。
Question INSURANCE 1. For which use case(s) are you using/considering using AI?  質問 保険業務 1. どのようなユースケースで AI を使用しているか/使用を検討しているか?
Open answer. Examples: risk management, insurance pricing and underwriting, setting capital requirements/technical provisions, robo-advice, regulatory compliance, sustainable finance, fraud detection, AML, customer service, sales and distribution, claims management, etc.  自由回答 検知例:リスクマネジメント、保険のプライシングとアンダーライティング、資本要件/技術的規定の設定、ロボアドバイス、規制コンプライアンス、持続可能な金融、不正検知、AML、顧客サービス、販売・流通、クレームマネジメントなど。
Question INSURANCE 2. What are the opportunities that AI brings to your use case?  質問 保険業務 2.AIが貴社のユースケースにもたらす機会は何か?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question INSURANCE 3. What are the main challenges and risks that AI brings to your use case (e.g. discrimination, opacity of the AI application developed, difficult to control/supervise it, etc.)?  質問 保険業務 3. AIがあなたのユースケースにもたらす主な課題とリスクは何か(識別的、開発されたAIアプリケーションの不透明性、制御/監督の困難性など)?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question INSURANCE 4. What is the main barrier to developing AI in your use case (e.g. lack of skills and resources, readiness of the technology, high regulatory costs for compliance with the relevant frameworks, etc.)?  質問 保険業務 4.あなたのユースケースでAIを開発する際の主な障壁は何か(例:スキルやリソースの不足、技術の準備、関連する枠組みを遵守するための高い規制コストなど)?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question INSURANCE 5. Does AI reduce or rather increase bias and discrimination in your use case?  質問 保険業務 5.あなたのユースケースにおいて、AIはバイアスや識別を減少させるか、あるいはむしろ増加させるか。
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question INSURANCE 6. How can insurers ensure that the outcomes of AI systems are not biased?  質問 保険業務 6. 保険会社は、AI システムの結果がバイアスにならないことをどのように保証できるか。
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question INSURANCE 7. Has general purpose AI opened new possibilities or risks in your use case?  質問 保険業務 7. 貴社のユースケースにおいて、汎用AIは新たな可能性やリスクをもたらしたか?
•     Yes  ・はい
•     No  ・いいえ
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question INSURANCE 8. On whom do you rely for the development of your AI solutions?  質問 保険業務 8. AIソリューションの開発を誰に依存しているか?
•     External providers  ・外部プロバイダ
•     In-house applications  ・自社アプリケーション
•     Partial collaboration with external providers  ・外部プロバイダと一部協業している。
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Asset management (if selected)  資産管理(選択した場合) 
In asset management, possible AI use cases range from risk and portfolio management, robo-advice, regulatory compliance and market abuse to customer service. Depending on the specific use cases, relevant legislation would include, for example:  資産管理では、リスクマネジメント、ポートフォリオマネジメント、ロボアドバイス、規制遵守、市場濫用から顧客サービスまで、さまざまなAIの活用事例が考えられる。具体的なユースケースに応じて、関連する法律には例えば以下のようなものがある:
•       Undertakings for the Collective Investment in Transferable Securities (UCITS)  ・譲渡性証券集団投資事業(UCITS:Undertakings for the Collective Investment in Transferable Securities)
•       Alternative Investment Fund Managers Directive (AIFMD)  ・オルタナティブ投資ファンド・マネージャー指令(AIFMD)
•       or Markets in Financial Instruments Directive (MiFID)  ・または金融商品市場指令(MiFID)
Question ASSET MANAGEMENT 1. For which use case(s) are you using/considering using AI?  質問 資産管理 1. どのようなユースケースでAIを使用/検討しているか?
Open answer. Examples: risk management, individual and collective portfolio management, regulatory compliance, trades monitoring, robo-advice, customer service, sustainable finance, etc.  自由回答 例:リスクマネジメント、個人や集団のポートフォリオ管理、規制遵守、取引モニタリング、ロボアドバイス、顧客サービス、持続可能な金融など。
Question ASSET MANAGEMENT 2. What are the opportunities that AI brings to your use case?  質問 資産管理 2. AIが貴社のユースケースにもたらす機会は何か?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question ASSET MANAGEMENT 3. What are the main challenges and risks that AI brings to your use case (e.g. discrimination, opacity of the AI application developed, difficult to control/supervise it, etc.)?  質問 資産管理 3. AIがあなたのユースケースにもたらす主な課題とリスクは何か(識別的、開発されたAIアプリケーションの不透明性、制御/監督の困難性など)?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question ASSET MANAGEMENT 4. What is the main barrier to developing AI in your use case (e.g. lack of skills and resources, readiness of the technology, high regulatory costs for compliance with the relevant frameworks, etc.)?  質問 資産管理 4.あなたのユースケースにおけるAI開発の主な障壁は何か(例:スキルやリソースの不足、技術の準備、関連する枠組みを遵守するための高い規制コストなど)?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question ASSET MANAGEMENT 5. Does AI reduce or rather increase bias and discrimination in your use case?  質問 資産管理 5.あなたのユースケースにおいて、AIはバイアスや識別を減少させるか、あるいはむしろ増加させるか。
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question ASSET MANAGEMENT 6. Has general purpose AI opened new possibilities or risks in your use case?  質問 資産管理 6. あなたのユースケースにおいて、汎用AIは新たな可能性やリスクをもたらしましたか。
•     Yes  ・はい
•     No  ・いいえ
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question ASSET MANAGEMENT 7. On whom do you rely for the development of your AI solutions?  資産管理 7. AIソリューションの開発を誰に依存しているか?
•     External providers  ・外部プロバイダ
•     In-house applications  ・社内アプリケーション
•     Partial collaboration with external providers  ・外部プロバイダとの一部協業
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question ASSET MANAGEMENT 8. When delegating functions to third parties, do you check the extent to which the provisions of services will entail the use of AI?  質問 資産管理 8. サードパーティに機能を委託する際、サービスの提供がAIの利用を伴う範囲をチェックしているか。
•     Yes  ・はい
•     No  ・いいえ
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Other (if selected)  その他(選択した場合) 
Question OTHER 1. For which use case(s) are you using/considering using AI?  質問 その他業務 1.どのようなユースケースでAIの利用を考えているか。
Open answer. Examples: accounting, financial planning, credit rating, etc.  自由回答 例:会計、財務計画、信用格付けなど。
Question OTHER 2. What are the opportunities that AI brings to your use case?  質問 その他業務 2. AIがあなたのユースケースにもたらす機会は何か?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question OTHER 3. What are the main challenges and risks that AI brings to your use case (e.g. discrimination, opacity of the AI application developed, difficult to control/supervise it, etc.)?  質問 その他業務 3. AIがあなたのユースケースにもたらす主な課題とリスクは何か(識別的、開発されたAIアプリケーションの不透明性、制御/監督が困難など)?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question OTHER 4. What is the main barrier to developing AI in your use case (e.g. lack of skills and resources, readiness of the technology, high regulatory costs for compliance with the relevant frameworks, etc.)?  質問 その他業務 4.あなたのユースケースにおいて、AIを開発する上での主な障壁は何か(例:スキルやリソースの不足、技術の準備、関連する枠組みを遵守するための高い規制コストなど)?
Open answer/Please explain and give examples when possible.  自由回答/可能であれば例を挙げて説明してほしい。
Question OTHER 5. Does AI reduce or rather increase bias and discrimination in your use case?  質問 その他業務 5. あなたのユースケースにおいて、AIはバイアスや差別を減らすか、むしろ増やすか?
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question OTHER 6. Has general purpose AI opened new possibilities or risks in your use case?  質問 その他業務 6. あなたのユースケースにおいて、汎用AIは新たな可能性やリスクをもたらしたか。
•     Yes  ・はい
•     No  ・いいえ
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Question OTHER 7. On whom do you rely for the development of your AI solutions?  質問 その他業務 7. AIソリューションの開発を誰に依存しているか?
•     External providers  ・外部プロバイダ
•     In-house applications  ・社内アプリケーション
•     Partial collaboration with external providers  ・外部プロバイダと部分的に協力している
Please explain and give examples when possible.  可能であれば例を挙げて説明してほしい。
Part 3: AI ACT  第3部:AI法
In December 2023 the European Parliament and the Council reached a provisional political agreement on the first comprehensive AI framework, put forward by the Commission on 21 April 2021. The regulation was adopted by the European Parliament on 13 March 2024 and will enter into force later this spring once it has been published in the Official Journal of the EU. This horizontal acquis is applicable across all economic sectors.  2023年12月、欧州議会と欧州理事会は、欧州委員会が2021年4月21日に提案した初の包括的AI枠組みについて暫定的な政治合意に達した。同規則は2024年3月13日に欧州議会で採択され、EU官報に掲載された後、今春以降に発効する。この水平的協定は、すべての経済分野に適用される。
The AI Act defines an AI system as “a machine-based system designed to operate with varying levels of autonomy, that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments”. Recital 11 further sets out the reasons for this definition, notably setting out that it is based on key characteristics that distinguish it from simpler traditional software systems of programming approaches.  AI法は、AIシステムを「さまざまなレベルの自律性で動作するように設計された機械ベースのシステムであって、導入後に適応性を示す可能性があり、明示的または暗黙的な目的のために、物理的または仮想的環境に影響を与えることができる予測、コンテンツ、推奨、決定などの出力を生成する方法を、受け取った入力から推測するもの」と定義している。説明11にはさらに、この定義の理由が示されており、特に、より単純な従来のソフトウェア・システムのプログラミング・アプローチとは異なる主要な特徴に基づいていることが明記されている。
The AI Act will establish two high risk use cases for the financial sector:  AI法では、金融セクター向けに2つのリスクの高いユースケースを設定する:
1.     AI systems intended to be used to evaluate the creditworthiness of natural persons or establish their credit score, with the exception of those AI systems used for the purpose of detecting financial fraud  1.     金融詐欺を検知する目的で使用されるAIシステムを除き、自然人の信用度を評価するため、または信用スコアを設定するために使用されることを意図したAIシステム。
2.     AI systems intended to be used for risk assessment and pricing in relation to natural persons in the case of life and health insurance  2.     生命保険および医療保険の場合、自然人に関するリスクアセスメントおよびプライシングに使用されることを意図したAIシステム。
The aim of this section is to identify which are your specific needs in order for the Commission to be able to adequately assist you with appropriate guidance for the implementation of the upcoming AI framework in your specific market areas, especially in particular to the high-risk use cases identified.  このセクションの目的は、欧州委員会が、特に特定されたリスクの高いユースケースについて、今後予定されているAIの枠組みを特定の市場分野で実施するための適切なガイダンスを提供し、適切な支援を行えるようにするために、具体的にどのようなニーズがあるかを特定することである。
 3.1. Scope and AI definition  3.1. 範囲とAIの定義 
Question 34. Which of the following use cases that could fall into the categorisation of high-risk are potentially relevant to your activity?  質問34. 高リスクに分類される可能性のある以下のユースケースのうち、貴社の活動に関連する可能性のあるものはどれか。
•     AI systems intended to be used to evaluate the creditworthiness of natural persons or establish their credit score.  ・自然人の信用度を評価したり、信用スコアを設定したりするために使用することを意図したAIシステム。
•     AI systems intended to be used for risk assessment and pricing in relation to natural persons in the case of life and health insurance.  ・生命保険や医療保険の場合、自然人に関するリスクアセスメントやプライシングに使用されることを意図したAIシステム。
•     Both.  ・両方
•     None.  ・なし。
Question 35. Please explain the overall business and/or risk management process in which the high-risk use case would be integrated and what function exactly the AI would carry out.  質問35. 高リスクのユースケースが統合される全体的なビジネス及び/又はリスクマネジメントプロセスと、AIが具体的にどのような機能を果たすのかについて説明してほしい。
Question 36. Are there any related functions AI would carry out which you would suggest distinguishing from the intended purpose of the high-risk AI systems in particular to the use cases identified in question 34?  質問36.質問34で識別されたユースケースについて、特に高リスクAIシステムの意図された目的から区別することを提案する、AIが実行する関連機能があるか。
Question 37. Please explain why these functions would/should in your view not be covered by the high-risk use cases set out in the AI act either because they would not be covered by the definition of the use case or by relying on one of the conditions under article 6(3) of the AI Act and explaining your assessment accordingly that the AI system would not pose a significant risk of harm if:  質問37. これらの機能が、ユースケースの定義に含まれないため、又はAI法6条3項に基づく条件のいずれかに依拠することにより、AI法に定める高リスクのユースケースに含まれない/含まれるべきであると考える理由を説明し、以下の場合、AIシステムが重大な危害のリスクをもたらさないというあなたのアセスメントを適宜説明してください:
a)     the AI system is intended to perform a narrow procedural task  a) AIシステムが、狭い手続き上のタスクを実行することを意図している。
b)    the AI system is intended to improve the result of a previously completed human activity  b) AIシステムが、以前に完了した人間の活動の結果を改善することを意図している。
c)     the AI system is intended to detect decision-making patterns or deviations from prior decision-making patterns and is not meant to replace or influence the previously completed human assessment, without proper human review  c) AIシステムは、意思決定のパターンや以前の意思決定のパターンからの逸脱を検知することを意図したものであり、人間による適切なレビューなしに、以前に完了した人間のアセスメントに取って代わったり、影響を与えたりすることを意図したものではない。
d)    or the AI system is intended to perform a preparatory task to an assessment relevant for the purpose of the use cases listed in Annex III of the AI Act  d) または、AIシステムが、AI法の附属書IIIに記載されているユースケースの目的に関連するアセスメントの準備作業を行うことを意図している。
Question 38. At this stage, do you have examples of specific AI applications/use cases you believe may fall under any of the conditions from article 6(3) listed above?  質問38. 現段階で、上記の第6条3項の条件のいずれかに該当すると思われる具体的なAIアプリケーション/ユースケースの例をお持ちか。
Please describe the use case(s) in cause and the conditions you believe they may fall under.  具体的なユースケースと、それが該当すると思われる条件を記述してくださ い。
Question 39. Based on the definition of the AI system, as explained above (and in article 3(1) and accompanying recitals), do you find it clear if your system would fall within the scope of the AI Act?  質問39. 上記(及び第3条第1項と付随するリサイタル)で説明したAIシステムの定義に基づき、貴社のシステムがAI法の適用範囲に入るかどうか明らかであると思われるか。
•     Yes  ・はい
•     No, it is not clear/ easy to understand if it falls within the scope of the AI Act. If “No”, please specify in relation to what aspects and/or which algorithmic/mathematical models?  ・いいえ、AI法の適用範囲に入るかどうか明確でない/理解しにくい。いいえ」の場合、どのような側面および/またはどのアルゴリズム/数学モデルに関してか、具体的に教えてほしい。
 3.2. AI Act requirements   3.2. AI法の要件 
Question 40. Bearing in mind there will be harmonised standards for the requirements for high-risk AI (Mandates sent to CEN-CENELEC can be monitored here), would you consider helpful further guidance tailored to the financial services sector on specific AI Act requirements, in particular regarding the two high-risk AI use cases?  質問40 高リスクAIの要件については標準化が予定されているが(CEN-CENELECに送られた指令はこちらで確認できる)、特に2つの高リスクAIのユースケースについて、AI法の具体的な要件について、金融サービス部門に合わせたさらなるガイダンスが有用であると考えるか。
•     Yes. If yes, on which specific provisions or requirements and on what aspects concretely?  ・はい。「はい」の場合、具体的にどの条項または要件について、またどのような側面についてか。
•     No  ・いいえ。
 3.3. Financial legislation requirements   3.3. 金融法上の要件 
Question 41. Future AI high-risk use cases would also need to comply with existing requirements from the financial legislation. Would you consider helpful further guidance meant to clarify the supervisory expectations for these use cases?  質問41. 今後の AI の高リスクのユースケースは、金融法制の既存の要件にも準拠する必要があ る。このようなユースケースに対する監督当局の期待事項を明確にするために、さらなるガイダンスが有用であると考えるか。
•     If yes, please explain your choice and indicate if the guidance should be highlevel and principles based or tailored to specific use cases.  ・「はい」の場合、その選択肢を説明し、ガイダンスがハイレベルで原則に基づくものであるべきか、特定のユースケースに合わせたものであるべきかを示していただきたい。
•     No, the supervisory expectations are clear.  ・監督当局の期待は明確である。
Question 42. There are other use cases in relation to the use of AI by the financial services sector which are not considered of high-risk by the AI Act, but which need to comply with the existing requirements from the financial legislation. Would you consider helpful further guidance meant to clarify the supervisory expectations for these use cases?  質問42. 金融サービス部門によるAIの利用に関して、AI法ではハイリスクとはみなされないが、金融法制の既存の要件に準拠する必要がある他のユースケースがある。このようなユースケースに対する監督当局の期待を明確にするための更なるガイダンスが有用であると考えるか。
•     If yes, please explain your response, and indicate if the guidance should be highlevel and principles based or tailored to specific use cases.  ・また、そのガイダンスがハイレベルで原則に基づくものであるべきか、特定のユースケースに合わせたものであるべきかを示されたい。
•     No, the supervisory expectations are clear.  ・監督当局の期待は明確である。
Question 43. Are you aware of any provisions from the financial acquis that could impede the development of AI applications (e.g. provisions that prohibit the use of risk management models which are not fully explainable or the use of fully automated services for the interaction with consumers)?  質問43. AI アプリケーションの開発を阻害する可能性のある金融規制の規定を知っているか (完全には説明できないリスクマネジメントモデルの使用や、消費者との対話に完全自動化されたサー ビスを使用することを禁止する規定など)。
•     If yes, please indicate the acquis/ provision in cause.  ・「はい」の場合、その根拠となる法令・規定を示すこと。
•     No, I am not aware of any provision(s) of this kind  ・いいえ、この種の規定を知らない。

 

[1] https://www.esma.europa.eu/sites/default/files/library/ESMA50-164-6247-AI_in_securities_markets.pdf  

 

 

| | Comments (0)

2024.06.25

Microsoft ロシアはいかにして2024年パリ五輪を妨害しようとしているのか (2024.06.06)

こんにちは、丸山満彦です。

マイクロソフトのセキュリティ・インサイダーにロシアがいかにして2024年パリ五輪を妨害しようとしているのか?について、記事を載せていますね...

興味深いですね...

 

Microsoft - Security Insider

・2024.06.06 How Russia is trying to disrupt the 2024 Paris Olympic Games

Introduction 序文
History of disparaging the Olympic Games オリンピック蔑視の歴史
Old world tactics meet the age of AI 旧世界の戦術とAIの時代
False flags sow anticipation of violence 偽旗は暴力を予期させる
Indicators and warnings of malign influence 悪意の影響を示す指標と警告



・[PDF]
20240625-71642

| | Comments (0)

アフリカ連合 人工知能戦略とアフリカン・デジタル・コンパクトを採択 (2023.06.17)

こんにちは、丸山満彦です。

アフリカ連合 (African Union) [wikipedia] が、アフリカ大陸人工知能戦略 (continental Artificial Intelligence (AI) Strategy)アフリカン・デジタル・コンパクト (African Digital Compact) を採択し、アフリカの発展と包括的成長を推進すると発表していますね...

2024年7月のアフリカ連合の理事会で承認されれば、公表されるものと思われます...

 

African Union

・2024.06.17 African Ministers Adopt Landmark Continental Artificial Intelligence Strategy, African Digital Compact to drive Africa’s Development and Inclusive Growth

African Ministers Adopt Landmark Continental Artificial Intelligence Strategy, African Digital Compact to drive Africa’s Development and Inclusive Growth アフリカの閣僚が画期的な大陸人工知能戦略とアフリカン・デジタル・コンパクトを採択し、アフリカの発展と包括的成長を推進する
African ICT and Communications Ministers unanimously endorsed landmark Continental Artificial Intelligence (AI) Strategy and African Digital Compact to accelerate Africa’s digital transformation by unlocking the potential of the new digital technologies. アフリカのICTおよびコミュニケーション担当大臣は、新たなデジタル技術の潜在能力を引き出すことによりアフリカのデジタル変革を加速させるため、画期的な大陸人工知能(AI)戦略とアフリカン・デジタル・コンパクトを満場一致で承認した。
More than 130 African ministers and experts have virtually convened from June 11 to 13, 2024 for the 2nd Extraordinary session of the Specialized Technical Committee on Communication and ICT to ignite digital transformation across the continent amidst rapid evolutions in the sector fuelled by artificial intelligence (AI) technology and applications. 130人以上のアフリカの閣僚と専門家が、2024年6月11日から13日まで開催されるコミュニケーションとICTに関する専門技術委員会の第2回臨時会合に事実上招集され、人工知能(AI)技術とアプリケーションに煽られたセクターの急速な進化の中で、アフリカ大陸全体のデジタルトランスフォーメーションに火をつける。
The Continental AI Strategy provides guidance to African countries to harness artificial intelligence to meet Africa's development aspirations and the well-being of its people, while promoting ethical use, minimising potential risks, and leveraging opportunities.  大陸AI戦略は、倫理的な利用を促進し、潜在的なリスクを最小限に抑え、機会を活用しながら、アフリカの開発の願望と人々の幸福を満たすために人工知能を活用するためのガイダンスをアフリカ諸国に提供する。
Identifying key priorities and actions to ensure that Africa fully benefits from the huge opportunities AI offers, the strategy calls for Africa-owned, people-centered, development-oriented, and inclusive approach to accelerate African countries' AI capabilities in infrastructure, talent, datasets, innovation, and partnerships while also ensuring adequate safeguards and protection from threats. AIが提供する大きな機会からアフリカが十分な利益を得られるようにするための主要な優先事項と行動を特定したこの戦略は、インフラ、人材、データセット、イノベーション、パートナーシップにおけるアフリカ諸国のAI能力を加速させるとともに、十分なセーフガードと脅威からの保護を確保するために、アフリカが所有し、人々が中心で、開発志向で、包括的なアプローチをとることを求めている。
At the opening of the ministerial session, African Union Commissioner for Infrastructure and Energy Dr. Amani Abou-Zeid stated that Africa is resolved to harness new technologies for the well-being of Africans and to develop a Continent-wide approach and a harmonised journey for this revolutionary technology to tackle Africa’s complex and most pressing challenges while minimizing the risks. "For us Africans, Artificial Intelligence presents tremendous opportunities. It is a driving force for positive transformational positive change as well as economic growth and social progress," said Dr. Abou-Zeid. アフリカ連合(AU)のインフラ・エネルギー担当委員であるアマニ・アブー=ゼイド博士は、閣僚会合の冒頭で、アフリカは新技術をアフリカ人の幸福のために活用し、リスクを最小限に抑えながらアフリカの複雑で差し迫った課題に取り組むために、この革命的な技術に対する大陸全体のアプローチと調和のとれた旅を開発することを決意していると述べた。「我々アフリカの人々にとって、人工知能は非常に大きなチャンスをもたらす。それは、経済成長や社会的進歩だけでなく、ポジティブな変革をもたらす原動力となる」とアブー=ゼイド博士は述べた。
Commissioner Abou-Zeid commended the endorsement of the strategy as a timely and strategic move while emphasizing “Adapting AI to African realities is critical. AI systems should be able to reflect our diversity, languages, culture, history, and geographical contexts. As we aim to create an inclusive AI ecosystem and a competitive African AI market that is adapted to our realities and meets our ambitions, we believe examining and approving this strategy will provide a common vision and path to accelerate responsible AI innovation and adoption in Africa".   アブー=ゼイド委員は、この戦略の承認は時宜を得た戦略的な動きであると評価する一方、「AIをアフリカの現実に適応させることが重要である」と強調した。AIシステムは、私たちの多様性、言語、文化、歴史、地理的背景を反映できるものでなければならない。われわれは、包括的なAIエコシステムと、われわれの現実に適応し、われわれの野心を満たす競争力のあるアフリカのAI市場を創出することを目指しており、この戦略を検討し承認することで、アフリカにおける責任あるAIのイノベーションと採用を加速させるための共通のビジョンと道筋が得られると信じている」と述べた。 
The Strategy sets the roadmap for African countries to harness the potential of AI to achieve developmental aspirations to education and skills, health, agriculture, infrastructure, peace and security and good governance by developing human capital, strengthening research and innovation ecosystems, and building an AI-ready institutional and regulatory environment to ensure AI works for African people. By investing in African youth, innovators, computer scientists, data experts, and AI researchers, the framework paves the way for Africa's success in the global AI arena. 同戦略は、アフリカ諸国がAIの潜在能力を活用し、人的資本の開発、研究とイノベーションのエコシステムの強化、AIがアフリカの人々のために機能することを保証するためのAI対応制度・規制環境の構築を通じて、教育と技能、健康、農業、インフラ、平和と安全、グッドガバナンスに対する開発願望を達成するためのロードマップを設定する。アフリカの若者、革新者、コンピューター科学者、データ専門家、AI研究者に投資することで、この枠組みは世界のAI分野におけるアフリカの成功への道を開く。
The Minister of Information, Communications, Science Technology, and Innovation of the Kingdom of Lesotho, and Chair of the Bureau of the technical committee H.E. Ms. Nthati Moorsi emphasised the huge opportunities that stem from the adoption of AI-enabled systems to promote homegrown solutions to stimulate economic growth and sustainable development towards achieving the priorities outlined in the AU Agenda 2063 and the UN Sustainable Development Goals. レソト王国の情報・コミュニケーション・科学技術・イノベーション大臣であり、技術委員会の議長であるNthati Moorsi女史は、AUアジェンダ2063と国連の持続可能な開発目標に示された優先事項の達成に向けて、経済成長と持続可能な開発を促進するための国産ソリューションを促進するために、AI対応システムの採用から生じる大きな機会を強調した。
The ministerial committee also endorsed the African Digital Compact, which is Africa’s common vision and one voice that charts Africa’s digital future and harnesses the transformative potential of digital technologies to foster sustainable development, economic growth, and societal well-being throughout Africa. 同大臣委員会はまた、アフリカ共通のビジョンであり、アフリカのデジタルの未来を描き、アフリカ全体の持続可能な開発、経済成長、社会の幸福を促進するためにデジタル技術の変革の可能性を活用する1つの声である、アフリカン・デジタル・コンパクトを承認した。
According to Commissioner Abou-Zeid, the Compact is Africa’s strategic commitment to utilizing digital transformation as a catalyst for inclusive progress and sustainable development in Africa. Further lauding the Compact as remarkable initiative that will position Africa at the forefront of the global digital economy, not just as a consumer but also as innovator and producer.  She added that creating strong pool of talents, and enhancing public private partnerships are deemed critical to promote homegrown digital solutions. アブー=ゼイド委員によると、このコンパクトは、アフリカにおける包括的な進歩と持続可能な開発の触媒としてデジタルトランスフォーメーションを活用するというアフリカの戦略的コミットメントである。さらに、このコンパクトは、消費者としてだけでなく、イノベーターやプロデューサーとしても、アフリカを世界デジタル経済の最前線に位置づける注目すべきイニシアチブであると称賛した。 また、強力な人材プールを作り、官民パートナーシップを強化することが、自国のデジタル・ソリューションを促進するために不可欠であると付け加えた。
During the discussions, the African ministers highlighted the importance of propelling Africa's role in shaping global digital governance and insisted on the importance of capacity building and knowledge transfer to empower Africa's youth, private sector and institutions to ensure their participation in the digital economy through initiatives focused on enabling ecosystems, digital education, skills development, and job reassignment. 議論の中で、アフリカの閣僚は、グローバル・デジタル・ガバナンスの形成におけるアフリカの役割を推進することの重要性を強調し、エコシステムの実現、デジタル教育、技能開発、職務の再配置に焦点を当てたイニシアティブを通じて、アフリカの若者、民間部門、機構がデジタル経済への参加を確実にするための能力構築と知識移転の重要性を主張した。
Minister Moorosi further accentuated that unique challenges and contexts of Africa must be taken into consideration in the global discourse around digital technologies. “Our position must advocate for our capability to develop our own electronic technologies and equitable access to these critical resources. Additionally, we must ensure that when the global community addresses the artificial intelligence alignment problem, the unique needs and contexts of Africa are considered” underscored H.E. Moorosi. モウロシ大臣はさらに、デジタル技術をめぐる世界的な議論において、アフリカ独自の課題と文脈を考慮しなければならないことを強調した。「我々の立場は、独自の電子技術を開発する能力と、これらの重要なリソースへの公平なアクセスを提唱しなければならない。さらに、国際社会が人工知能のアライメント問題に取り組む際、アフリカ独自のニーズや状況が考慮されるようにしなければならない」とモウロシ閣僚は強調した。
At the closing of the Ministerial meeting the ministers mandated the African Union to organize a level Continental African Artificial Intelligence Summit to foster collaboration, knowledge exchange, and strategic planning among stakeholders across the continent. 閣僚会議の閉会にあたり、閣僚はアフリカ連合に対し、アフリカ大陸全体の関係者間の協力、知識交換、戦略的計画を促進するため、レベルの高いアフリカ大陸人工知能サミットの開催を委任した。
Both initiatives were developed through consultations with a wide array of stakeholders and constitute Africa’s contribution to the Global Digital Compact and the United Nations Summit of the Future in September 2024. They are expected to be submitted to the African Union Executive Council in July 2024, for consideration and adoption. 両イニシアティブは、幅広いステークホルダーとの協議を通じて策定されたもので、グローバル・デジタル・コンパクトと2024年9月の国連未来サミットに対するアフリカの貢献を構成するものである。これらは2024年7月にアフリカ連合執行理事会に提出され、審議・採択される予定である。
It’s worth mentioning that the Continental AI Strategy and the African Digital Compact are anchored in the African Union's Digital Transformation Strategy (2020-2030) and Agenda 2063 and build on other continental digital policies, strategies, and frameworks such as the data policy, personal data protection cybersecurity, child protection frameworks targeted at fostering digital technologies in all sectors and realizing Africa's long-term development aspirations. 大陸AI戦略とアフリカン・デジタル・コンパクトは、アフリカ連合のデジタル変革戦略(2020-2030)とアジェンダ2063の中に位置づけられ、データ政策、データ政策、個人データ保護、サイバーセキュリティ、児童保護の枠組みなど、他の大陸デジタル政策、戦略、枠組みに基づくものなどの他の大陸デジタル政策、戦略、フレームワークの上に構築されていることは特筆に値する。


1_20240625062501

 

| | Comments (0)

米国 GAO 高リスク・シリーズ:国家が直面するサイバーセキュリティの重要課題に対処するための緊急行動が必要 (2024.06.13)

こんにちは、丸山満彦です。

GAOの毎年の高リスクシリーズの報告書...

2010年以来1,610件の勧告を報告したが、まだ567件が未実施ということのようです...

 

4つの主要課題と10の重要なアクション

1_20240625003201

Establishing a comprehensive cybersecurity strategy and performing effective oversight 包括的なサイバーセキュリティ戦略を確立し、効果的な監督を行う。
1. Develop and execute a more comprehensive federal strategy for national cybersecurity and global cyberspace. 1. 国家サイバーセキュリティとグローバルサイバースペースのより包括的な連邦戦略を策定し、実行する。
2. Mitigate global supply chain risks (e.g., installation of malicious software or hardware). 2. グローバル・サプライチェーンのリスク(悪意のあるソフトウェアやハードウェアのインストールなど)を低減する。
3. Address cybersecurity workforce management challenges. 3. サイバーセキュリティ人材管理の課題に対処する。
4. Bolster the security of emerging technologies (e.g., artificial intelligence and Internet of Things). 4. 新興技術(人工知能やモノのインターネットなど)のセキュリティを強化する。
Securing federal systems and information 連邦政府のシステムと情報を保護する。
5. Improve implementation of government-wide cybersecurity initiatives. 5. 政府全体のサイバーセキュリティ・イニシアチブの実施を改善する。
6. Address weaknesses in federal agency information security programs. 6. 連邦政府機関の情報セキュリティプログラムの弱点に対処する。
7. Enhance the federal response to cyber incidents. 7. サイバーインシデントへの連邦政府の対応を強化する。
Protecting the cybersecurity of critical infrastructure 重要インフラのサイバーセキュリティを防御する。
8. Strengthen the federal role in protecting the cybersecurity of critical infrastructure (e.g., electricity grid and telecommunications networks). 8. 重要インフラ(送電網や通信網など)のサイバーセキュリティ保護における連邦政府の役割を強化する。
Protecting privacy and sensitive data プライバシー・機密データの防御
9. Improve federal efforts to protect privacy and sensitive data. 9. プライバシーと機密データを保護するための連邦政府の取り組みを改善する。
10. Appropriately limit the collection and use of personal information and ensure that it is obtained with appropriate knowledge or consent. 10. 個人情報の収集と利用を適切に制限し、適切な知識または同意を得た上で取得されるようにする。

 

さて、発表とブログ...

 

GAO

・2024.06.13 High-Risk Series:Urgent Action Needed to Address Critical Cybersecurity Challenges Facing the Nation

High-Risk Series:Urgent Action Needed to Address Critical Cybersecurity Challenges Facing the Nation 高リスクシリーズ:国家が直面するサイバーセキュリティの重要課題に対処するために緊急の行動が必要である
GAO-24-107231 GAO-24-107231
Fast Facts 速報
Federal IT systems and the nation's critical infrastructure are often under threat. Federal agencies reported over 30,000 IT security incidents in FY 2022. 連邦政府のITシステムと国家の重要インフラは、しばしば脅威にさらされている。連邦政府機関は2022年度に3万件を超えるITセキュリティ・インシデントを報告した。
We reported on the government's 4 major cybersecurity challenges: 我々は政府の4つの主要なサイバーセキュリティの課題について報告した:
・Establishing a comprehensive cybersecurity strategy and performing effective oversight ・包括的なサイバーセキュリティ戦略の確立と効果的な監視の実施
・Securing federal systems and information ・連邦政府のシステムと情報の保護
・Protecting the cybersecurity of critical infrastructure ・重要インフラのサイバーセキュリティ防御
・Protecting privacy and sensitive data ・プライバシーと機密データの防御
Since 2010, we've made 1,610 recommendations to address issues in these areas. Federal agencies have implemented 1,043 of our recommendations, but 567 remain unimplemented as of May 2024. 2010年以来、我々はこれらの分野の問題に対処するために1,610件の勧告を行ってきた。連邦政府機関は勧告のうち1,043件を実施したが、2024年5月現在、567件が未実施のままである。
Highlights ハイライト
What GAO Found GAOが発見したこと
Risks to our nation's essential technology systems are increasing. Threats to these systems can come from a variety of sources and vary in terms of the types and capabilities of the actors, their willingness to act, and their motives. Federal agencies reported 30,659 information security incidents to the Department of Homeland Security's United States Computer Emergency Readiness Team in fiscal year 2022. Such attacks could result in serious harm to human safety, national security, the environment, and the economy. わが国の基幹技術システムに対するリスクは増大している。これらのシステムに対する脅威は様々なソースから発生し、脅威行為者のタイプや能力、行動意欲、動機も様々である。連邦政府機関は2022会計年度に、国土安全保障省の米国コンピュータ緊急対応チームに30,659件の情報セキュリティ・インシデントを報告した。このような攻撃は、人間の安全、国家安全保障、環境、経済に深刻な被害をもたらす可能性がある。
Concerted action among the federal government and its nonfederal partners is critical to mitigating the risks posted by cyber-based threats. Recognizing the growing threat, the federal government urgently needs to take action to address the four major cybersecurity challenges and 10 associated critical actions (see figure). サイバー脅威がもたらすリスクを低減するためには、連邦政府と連邦政府以外のパートナーとの協調行動が不可欠である。増大する脅威をガバナンスで認識し、連邦政府はサイバーセキュリティに関する4つの主要な課題と、それに関連する10の重要なアクションに取り組むための行動を緊急にとる必要がある(図参照)。
Figure: Four Major Cybersecurity Challenges and 10 Associated Critical Actions 図: サイバーセキュリティの4大課題と関連する10の重要行動
1_20240625003201
Since 2010, GAO has made 1,610 recommendations in public reports that address the four cybersecurity challenge areas. As of May 2024, federal agencies had implemented 1,043 of these recommendations; 567 remain unimplemented. Until these recommendations are fully implemented, federal agencies will be limited in their ability to: 2010年以来、GAOは4つのサイバーセキュリティの課題分野に取り組む1,610件の勧告を公開報告書で行ってきた。2024年5月現在、連邦政府機関はこれらの勧告のうち1,043件を実施しているが、567件は未実施のままである。これらの勧告が完全に実施されるまで、連邦政府機関は以下の能力に制約を受けることになる:
provide effective oversight of critical government-wide initiatives, mitigate global supply chain risks, address challenges with cybersecurity workforce management, and better ensure the security of emerging technologies; 政府全体の重要なイニシアチブを効果的に監督し、グローバル・サプライチェーンのリスクを軽減し、サイバーセキュリティ要員マネジメントの課題に対処し、新興技術のセキュリティをより確実にする;
improve implementation of government-wide cybersecurity initiatives, address weaknesses in federal agency information security programs, and enhance the federal response to cyber incidents; 政府全体のサイバーセキュリティ・イニシアチブの実施を改善し、連邦政府機関の情報セキュリティ・プログラムの弱点に対処し、サイバーインシデントへの連邦政府の対応を強化する;
mitigate cybersecurity risks for key critical infrastructure systems and their data; and 主要な重要インフラ・システムとそのデータのサイバーセキュリティ・リスクを低減する。
protect private and sensitive data entrusted to them. 個人情報や機密データを保護する。
Why GAO Did This Study GAOがこの調査を行った理由
Federal agencies and the nation's critical infrastructures depend on technology systems to carry out fundamental operations and to process, maintain, and report vital information. The security of these systems and data is also important to safeguarding individual privacy and protecting the nation's security, prosperity, and well-being. 連邦政府機関と国家の重要なインフラは、基本的な業務を遂行し、重要な情報を処理、維持、報告するための技術システムに依存している。これらのシステムとデータのセキュリティは、個人のプライバシーを守り、国家の安全、繁栄、幸福を守るためにも重要である。
GAO first designated information security as a government-wide High-Risk area in 1997. This was expanded to include protecting the cybersecurity of critical infrastructure in 2003 and the privacy of personally identifiable information in 2015. GAOは1997年に情報セキュリティを政府全体のハイリスク分野として初めて指定した。2003年には重要インフラのサイバーセキュリティの保護、2015年には個人を特定できる情報のプライバシーの保護に拡大された。
In 2018, GAO reported that the federal government needed to address four major cybersecurity challenges: (1) establishing a comprehensive cybersecurity strategy and performing effective oversight, (2) securing federal systems and information, (3) protecting the cybersecurity of critical infrastructure, and (4) protecting privacy and sensitive data. Within these four challenges are 10 actions essential to successfully dealing with the serious cybersecurity threats facing the nation. 2018年、GAOは連邦政府が4つの主要なサイバーセキュリティの課題に取り組む必要があると報告した:(1)包括的なサイバーセキュリティ戦略の確立と効果的な監視の実施、(2)連邦政府のシステムと情報の保護、(3)重要インフラのサイバーセキュリティの保護、(4)プライバシーと機密データの保護。これら4つの課題の中には、国家が直面する深刻なサイバーセキュリティの脅威にうまく対処するために不可欠な10の行動が含まれている。
GAO's objective was to describe the challenges facing the federal government in ensuring the cybersecurity of the nation and the progress it has made in addressing these challenges. To do so, GAO identified its recent public reports related to each challenge and summarized relevant findings from this work. GAO also determined the implementation status of relevant recommendations made in these reports. Further, GAO identified its ongoing and upcoming work covering each of the 10 critical actions needed to address the four major cybersecurity challenges. GAOの目的は、国のサイバーセキュリティを確保する上で連邦政府が直面しているガバナンスの課題と、これらの課題への取り組みの進捗状況を説明することであった。そのためにGAOは、各課題に関連する最近の公開報告書を特定し、この作業から得られた関連所見を要約した。GAOはまた、これらの報告書でなされた関連勧告の実施状況も把握した。さらにGAOは、4つの主要なサイバーセキュリティの課題に対処するために必要な10の重要な行動のそれぞれについて、現在進行中および今後の作業を特定した。

 

 

・[PDF] Highlights Page

20240625-10041

 

Why GAO Did This Study GAOがこの調査を行った理由
Federal agencies and the nation's critical infrastructures depend on technology systems to carry out fundamental operations and to process, maintain, and report vital information. The security of these systems and data is also important to safeguarding individual privacy and protecting the nation's security, prosperity, and well-being. 連邦政府機関と国家の重要なインフラは、基本的な業務を遂行し、重要な情報を処理、維持、報告するための技術システムに依存している。これらのシステムとデータのセキュリティは、個人のプライバシーを守り、国家の安全、繁栄、幸福を守るためにも重要である。
GAO first designated information security as a government-wide High-Risk area in 1997. This was expanded to include protecting the cybersecurity of critical infrastructure in 2003 and the privacy of personally identifiable information in 2015. GAOは1997年に情報セキュリティを政府全体のハイリスク分野として初めて指定した。2003年には重要インフラのサイバーセキュリティの保護、2015年には個人を特定できる情報のプライバシーの保護に拡大された。
In 2018, GAO reported that the federal government needed to address four major cybersecurity challenges: (1) establishing a comprehensive cybersecurity strategy and performing effective oversight, (2) securing federal systems and information, (3) protecting the cybersecurity of critical infrastructure, and (4) protecting privacy and sensitive data. Within these four challenges are 10 actions essential to successfully dealing with the serious cybersecurity threats facing the nation. 2018年、GAOは連邦政府が4つの主要なサイバーセキュリティの課題に取り組む必要があると報告した:(1)包括的なサイバーセキュリティ戦略の確立と効果的な監視の実施、(2)連邦政府のシステムと情報の保護、(3)重要インフラのサイバーセキュリティの保護、(4)プライバシーと機密データの保護。これら4つの課題の中には、国家が直面する深刻なサイバーセキュリティの脅威にうまく対処するために不可欠な10の行動が含まれている。
GAO's objective was to describe the challenges facing the federal government in ensuring the cybersecurity of the nation and the progress it has made in addressing these challenges. To do so, GAO identified its recent public reports related to each challenge and summarized relevant findings from this work. GAO also determined the implementation status of relevant recommendations made in these reports. Further, GAO identified its ongoing and upcoming work covering each of the 10 critical actions needed to address the four major cybersecurity challenges. GAOの目的は、国のサイバーセキュリティを確保する上で連邦政府が直面しているガバナンスの課題と、これらの課題への取り組みの進捗状況を説明することであった。そのためにGAOは、各課題に関連する最近の公開報告書を特定し、この作業から得られた関連所見を要約した。GAOはまた、これらの報告書でなされた関連勧告の実施状況も把握した。さらにGAOは、4つの主要なサイバーセキュリティの課題に対処するために必要な10の重要な行動のそれぞれについて、現在進行中および今後の作業を特定した。
For more information, contact Marisol Cruz Cain at (202) 512-5017 or cruzcainm@gao.gov. 詳細については、Marisol Cruz Cain 電話:(202) 512-5017 または cruzcainm@gao.gov まで。
HIGH-RISK SERIES ハイリスクシリーズ
Urgent Action Needed to Address Critical Cybersecurity Challenges Facing the Nation 国家が直面するサイバーセキュリティの重要課題に対処するための緊急行動が必要である。
Risks to our nation’s essential technology systems are increasing. Threats to these systems can come from a variety of sources and vary in terms of the types and capabilities of the actors, their willingness to act, and their motives. Federal agencies reported 30,659 information security incidents to the Department of Homeland Security’s United States Computer Emergency Readiness Team in fiscal year 2022. Such attacks could result in serious harm to human safety, national security, the environment, and the economy. Concerted action among the federal government and its nonfederal partners is critical to mitigating the risks posted by cyber-based threats. Recognizing the growing threat, the federal government urgently needs to take action to address the four major cybersecurity challenges and 10 associated critical actions (see figure 1). わが国の基幹技術システムに対するリスクは増大している。これらのシステムに対する脅威は、さまざまなソースからもたらされる可能性があり、脅威行為者のタイプや能力、行動意欲、動機もさまざまである。連邦政府機関は2022会計年度に、国土安全保障省の米国コンピュータ緊急対応チームに30,659件の情報セキュリティ・インシデントを報告した。このような攻撃は、人間の安全、国家安全保障、環境、経済に深刻な被害をもたらす可能性がある。サイバー脅威がもたらすリスクを低減するためには、連邦政府と連邦政府以外のパートナーとの協調行動が不可欠である。脅威の拡大をガバナンスで認識している連邦政府は、サイバーセキュリティの4大課題とそれに関連する10の重要なアクションに取り組むための行動を緊急に取る必要がある(図1を参照)。
Figure 1: Four Major Cybersecurity Challenges and 10 Associated Critical Actions 図1:サイバーセキュリティの4大課題と関連する10の重要行動
1_20240625003201
Since 2010, GAO has made 1,610 recommendations in public reports that address the four cybersecurity challenge areas. As of May 2024, federal agencies had implemented 1,043 of these recommendations; 567 remain unimplemented. Until these recommendations are fully implemented, the federal government will be hindered in ensuring the security of federal systems and critical infrastructure and the privacy of sensitive data. This increases the risk that the nation will be unprepared to respond to the cyber threats that can cause serious damage to public safety, national security, the environment, and economic well-being. 2010年以来、GAOはサイバーセキュリティの4つの課題分野に取り組む1,610件の勧告を公開報告書で行ってきた。2024年5月現在、連邦政府機関はこれらの勧告のうち1,043件を実施しているが、567件は未実施のままである。これらの勧告が完全に実施されるまで、連邦政府は連邦システムおよび重要インフラのセキュリティと機密データのプライバシーの確保に支障をきたすだろう。これは、公共の安全、国家安全保障、環境、経済的福利に深刻な損害を与えうるサイバー脅威に対応する準備ができていないというリスクを増大させる。
Challenge 1:  課題 1: 
Establishing a comprehensive cybersecurity strategy and performing effective oversight 包括的なサイバーセキュリティ戦略を確立し、効果的な監視を行う。
170 of 396 recommendations have NOT been implemented (as of May 2024)  396の勧告のうち170が未実施(2024年5月現在) 
The White House, through the Office of the National Cyber Director, has taken important steps in providing cybersecurity leadership, including developing and publicly releasing the National Cybersecurity Strategy and its accompanying implementation plan. However, in February 2024, GAO reported that the strategy and implementation plan addressed some, but not all, of the desirable characteristics of a national strategy. In particular, the strategy and implementation plan did not fully incorporate outcome-oriented performance measures and estimated resources and costs.  ホワイトハウスは、国家サイバー長官室を通じて、国家サイバーセキュリティ戦略とそれに付随する実施計画を策定・公表するなど、サイバーセキュリティのリーダーシップを発揮する上で重要なステップを踏んできた。しかし、2024年2月、GAOは、戦略と実施計画は国家戦略の望ましい特性の全てではないが、一部に対処していると報告した。特に、戦略と実施計画には、成果志向のパフォーマンス指標と、リソースとコストの見積もりが十分に盛り込まれていなかった。
Additionally, the federal government needs to take actions to perform effective oversight, including monitoring the global supply chain, ensuring a highly skilled cyber workforce, and addressing risks associated with emerging technologies, such as artificial intelligence (AI). For example: さらに連邦政府は、グローバル・サプライチェーンの監視、高度なスキルを持つサイバー人材の確保、人工知能(AI)などの新技術に関連するリスクへの対応など、効果的な監視を行うための行動をとる必要がある。例えば、次のようなことだ:
•   Emerging threats in the supply chain can put federal agencies, including the Department of Defense (DOD), at risk. GAO’s 2023 report showed that DOD had addressed four and partially addressed three practices for managing supply chain risk. However, DOD has not yet implemented GAO’s three recommendations on the partially addressed practices. ・サプライチェーンにおける新たな脅威は、国防総省を含む連邦政府機関をリスクにさらす可能性がある。GAOの2023年報告書によると、DODはサプライチェーン・リスクマネジメントのための4つのプラクティスに取り組み、3つのプラクティスには部分的に取り組んでいた。しかし、DODは、部分的に対処したプラクティスに関するGAOの3つの勧告をまだ実施していない。
•   Regarding the cyber workforce, in July 2023 GAO reported that the National Institute of Standards and Technology (NIST) had not fully addressed nine key performance assessment practices in its efforts to strengthen cybersecurity education, training, and workforce development. GAO’s recommendations to fully address these practices have not yet been implemented. ・サイバー人材に関しては、2023年7月にGAOは、国立標準技術研究所(NIST)がサイバーセキュリティの教育、訓練、人材育成を強化する取り組みにおいて、9つの主要なパフォーマンス・アセスメント・プラクティスに完全に対処していないと報告した。これらのプラクティスに完全に対処するためのGAOの勧告は、まだ実施されていない。
•   GAO’s 2023 government-wide report on AI revealed that 20 federal agencies reported a total of about 1,200 current and planned use cases—specific challenges or opportunities that AI may solve. However, many agencies had not implemented AI requirements, such as preparing an inventory on AI use. GAO made 35 recommendations to address this; however, none of these have yet been implemented. ・AIに関するGAOの2023年政府全体報告書では、20の連邦政府機関が合計約1,200の現在および計画中のユースケースを報告し、AIが解決する可能性のある特定の課題や機会を明らかにした。しかし、多くの機関は、AI利用に関するインベントリーの作成など、AIの要件を実施していなかった。GAOはこれに対処するために35の勧告を行ったが、いずれもまだ実施されていない。
Challenge 2:  課題2: 
Securing federal systems and information 連邦政府のシステムと情報の保護
221 of 839 recommendations have NOT been implemented (as of May 2024) 839の勧告のうち221が未実施(2024年5月現在)
GAO has found that agencies remain limited in their ability to improve implementation of government-wide cybersecurity initiatives, address weaknesses in federal agency information security programs, and enhance the federal response to cyber incidents. For example: GAOは、政府全体のサイバーセキュリティ・イニシアチブの実施を改善し、連邦政府機関の情報セキュリティ・プログラムの弱点に対処し、サイバーインシデントへの連邦政府の対応を強化する能力において、政府機関が依然として制限されていることを明らかにした。例えば
•   In January 2024, GAO reported that Inspectors General at 15 of the 23 civilian agencies subject to the Chief Financial Officers Act of 1990 found their agencies’ information security programs to be ineffective. Out of the 23 agencies, no more than eight received an effective rating in any given year over the last 6 years of reporting (fiscal years 2017 through 2022). ・2024年1月、GAOは、1990年最高財務責任者法(Chief Financial Officers Act of 1990)の対象となる23の民間機関のうち15の監察官室が、各機関の情報セキュリティ・プログラムが効果的でないことを発見したと報告した。23機関のうち、過去6年間(2017会計年度から2022会計年度)の報告で、ある年に効果的と評価されたのは8機関以下であった。
•   GAO’s May 2023 report highlighted that four selected agencies (the Departments of Agriculture, Homeland Security, Labor, and the Treasury) varied in their efforts to implement key security practices for cloud services, which provide on-demand access to shared resources such as networks, servers, and data storage. The practices included having a plan to respond to incidents and continuous monitoring of system security and privacy. GAO made 35 recommendations to the selected agencies, most of which have not been implemented. ・GAOの2023年5月の報告書では、選定された4つの機関(農務省、国土安全保障省、労働省、財務省)が、ネットワーク、サーバー、データストレージなどの共有リソースへのオンデマンドアクセスを提供するクラウドサービスに対して、主要なセキュリティ対策を実施する取り組みにばらつきがあることが強調された。対応には、インシデントへの対応計画の策定や、システムのセキュリティとプライバシーの継続的なモニタリングなどが含まれる。GAOは選定された機関に対し35件の勧告を行ったが、そのほとんどは実施されていない。
In December 2023, GAO reported that 23 federal civilian agencies had made progress in cybersecurity incident response preparedness, but 20 of the 23 agencies had not fully established an event logging capability. A log is a record of the events occurring within an organization’s systems and networks, and maintaining such a record is crucial for responding to incidents. GAO recommended that 19 of the 20 agencies fully implement federal event logging requirements; however, these have not yet been implemented. 2023年12月、GAOは、23の連邦民間機関がサイバーセキュリティ・インシデント対応準備において前進を遂げたが、23機関のうち20機関はイベント・ロギング機能を完全に確立していなかったと報告した。ログは、組織のシステムやネットワーク内で発生したイベントの記録であり、このような記録を維持することは、インシデントに対応する上で極めて重要である。GAOは、20機関のうち19機関に対し、連邦政府のイベント・ロギング要件を完全に実施するよう勧告したが、これらはまだ実施されていない。
Challenge 3:  課題3: 
Protecting the cybersecurity of critical infrastructure 重要インフラのサイバーセキュリティの防御
64 of 126 recommendations have NOT been implemented (as of May 2024) 126の勧告のうち64が未実施(2024年5月現在)
The nation’s 16 critical infrastructure sectors provide the essential services that underpin American society (see figure 2).  国の16の重要インフラ部門は、米国社会を支える重要なサービスを提供している(図2を参照)。
Figure 2: The 16 Critical Infrastructure Sectors 図2:16の重要インフラ部門
20240625-00806
These sectors rely on electronic systems and data to support their missions, including operational technology, which consists of systems that interact with the physical environment. Attacks on these sectors continue to grow and could result in serious harm to human safety, national security, the environment, and the economy. For example, in February 2024, a cyberattack on Change Healthcare, a health payment processor, resulting in estimated losses of $874 million and widespread impacts on providers and patient care.  これらの部門は、物理的環境と相互作用するシステムで構成される運用技術を含め、その使命を支える電子システムとデータに依存している。これらの部門に対する攻撃は増加の一途をたどっており、人間の安全、国家安全保障、環境、経済に深刻な被害をもたらす可能性がある。例えば、2024年2月、医療費支払い処理会社のチェンジ・ヘルスケア社に対するサイバー攻撃により、推定8億7,400万ドルの損失が発生し、プロバイダと患者ケアに広範な影響が及んだ。
Other entities have also recognized the ongoing challenges of ensuring the cybersecurity of critical infrastructure. For example, the Cyberspace Solarium Commission has conducted studies of risks to critical infrastructure and recommended, for example, that space systems be designated as critical infrastructure.  他の事業体も、重要インフラのサイバーセキュリティを確保するという継続的な課題を認識している。例えば、サイバー空間委員会は、重要インフラに対するリスクに関する研究を行い、例えば、宇宙システムを重要インフラに指定するよう勧告している。
The administration and federal agencies have taken some steps to address challenges in protecting the cybersecurity of critical infrastructure. For example, in April 2024, the White House issued the National Security Memorandum on Critical Infrastructure Security and Resilience (NSM-22), which describes the approach the federal government will take to protect U.S. infrastructure against threats and hazards. Among other things, the memorandum reaffirms the designation of the existing 16 critical infrastructure sectors, while calling for a periodic evaluation of changes to critical infrastructure sectors. The memorandum also requires the Secretary of Homeland Security to develop a biennial National Risk Management Plan summarizing U.S. government efforts to manage risk to the nation’s critical infrastructure.  政権と連邦政府機関は、重要インフラのサイバーセキュリティ保護における課題に対処するため、いくつかの措置を講じている。例えば、2024年4月、ホワイトハウスは「重要インフラのセキュリティとレジリエンスに関する国家安全保障覚書」(NSM-22)を発表した。この覚書は、米国のインフラを脅威やハザードから保護するために連邦政府が取るべきアプローチを記述したものである。この覚書では、特に、既存の16の重要インフラセクターの指定を再確認するとともに、重要インフラセクターの変更を定期的に評価するよう求めている。同覚書はまた、国土安全保障長官に対し、国家の重要インフラに対するリスクマネジメントのための米国政府の取り組みをまとめた国家リスクマネジメント計画を2年ごとに策定するよう求めている。
However, GAO has continued to report shortcomings in efforts to ensure the security of key critical infrastructure sectors. For example:  しかし、GAOは、重要インフラ部門のセキュリティ確保に向けた取り組みには不十分な点があると報告し続けている。例えば、以下のようなものである: 
•   In January 2024, GAO reported that the federal agencies responsible for the four critical infrastructure sectors that reported almost half of all ransomware attacks—critical manufacturing, energy, healthcare and public health, and transportation systems—had not determined the extent of their adoption of leading practices to address ransomware. GAO recommended that these agencies determine their respective sector’s adoption of cybersecurity practices and assess the effectiveness of federal support. None of these recommendations have been implemented. ・2024年1月、GAOは、ランサムウェア攻撃のほぼ半数が報告された4つの重要インフラ部門(重要な製造業、エネルギー、医療・公衆衛生、輸送システム)を担当する連邦政府機関が、ランサムウェアに対処するための先進的なプラクティスの採用範囲を決定していないと報告した。GAOはこれらの機関に対し、各セクターのサイバーセキュリティ慣行の採用状況を把握し、連邦政府の支援の有効性を評価するよう勧告した。これらの勧告はいずれも実施されていない。
•   GAO’s March 2024 report identified challenges in collaboration between the Cybersecurity and Infrastructure Security Agency (CISA) and other federal agencies with responsibilities for mitigating cyber risks to operational technology in their sectors. The challenges were related to ineffective information sharing and a lack of sharing processes. GAO recommended that CISA take steps to address these challenges; however, the recommendations have not yet been implemented. ・GAOの2024年3月の報告書では、サイバーセキュリティ・インフラセキュリティ庁(CISA)と、各分野の運用技術に対するサイバーリスクの軽減を担当する他の連邦政府機関との連携における課題が指摘された。その課題は、非効率な情報共有と共有プロセスの欠如に関連していた。GAOはCISAに対し、これらの課題に対処するための措置を講じるよう勧告したが、勧告はまだ実施されていない。
•   In December 2023, GAO highlighted challenges identified by nonfederal entities in the healthcare sector in accessing federal support to address cybersecurity vulnerabilities in network-connected medical devices. GAO recommended that CISA and the Food and Drug Administration update existing agreements to better facilitate collaboration on these issues. However, the recommendations have not yet been implemented. ・2023年12月、GAOは、ネットワークに接続された医療機器のサイバーセキュリティ脆弱性に対処するための連邦政府の支援にアクセスする際に、ヘルスケア分野の連邦政府以外の事業体が特定した課題を取り上げた。GAOは、CISAと食品医薬品局に対し、これらの問題に関する協力をより円滑に進めるため、既存の協定を更新するよう勧告した。しかし、この勧告はまだ実施されていない。
Challenge 4: 課題4:
Protecting privacy and sensitive data プライバシー・機密データの防御
112 of 249 recommendations have NOT been implemented (as of May 2024) 249の勧告のうち112が未実施(2024年5月現在)
The protection of personal privacy has become a more significant issue in recent years. It is essential that both private and public entities take effective measures to safeguard the sensitive and personal information collected from American citizens. However, incidents threatening the security of this information continue to affect private and public entities. For example, in March 2024, AT&T reported that some of its data, which included sensitive personal information such as Social Security numbers and passcodes, had been released onto the dark web. Analysis revealed that this incident had impacted 7.6 million current AT&T account holders and approximately 65.4 million former account holders. 個人のプライバシー保護は、近年より重要な問題になっている。民間事業体も公的事業体も、米国民から収集した機微で個人的な情報を保護するための効果的な対策を講じることが必須である。しかし、こうした情報のセキュリティを脅かすインシデントが、民間および公的事業体に影響を与え続けている。例えば、2024年3月、AT&Tは、社会保障番号やパスコードなどの機密個人情報を含むデータの一部がダークウェブに流出したことを報告した。分析の結果、このインシデントがAT&Tの現アカウント保有者760万人、元アカウント保有者約6540万人に影響を与えたことが明らかになった。
GAO has also found that federal agencies are limited in their ability to protect private and sensitive data entrusted to them. For example: GAOはまた、連邦政府機関が預託された個人情報や機密データを保護する能力に限界があることも明らかにしている。例えば
•   In August 2023, GAO reported that the Internal Revenue Service’s (IRS) monitoring of efforts to prevent contractors from gaining unauthorized access to sensitive taxpayer information was limited by its incomplete inventory of systems that process or store this information. GAO recommended that IRS maintain a comprehensive inventory of its systems that process or store taxpayer information; however, the recommendation has not been implemented. ・2023年8月、GAOは、内国歳入庁(IRS)の納税者の機密情報への不正アクセスを防止する努力の監視は、この情報を処理または保存するシステムの不完全なインベントリによって制限されていると報告した。GAOはIRSに対し、納税者情報を処理または保存するシステムの包括的なインベントリーを維持するよう勧告したが、この勧告は実施されていない。
•   GAO’s September 2022 report highlighted the risks that the increasing collection and use of personal information pose to consumer privacy and protection. For example, companies collect personal and transactional data to create consumer scores, which businesses and other entities use to predict how consumers will behave in the future. The report further noted that there remains no comprehensive U.S. internet privacy law governing private companies’ collection, use, or sale of internet users’ data, leaving consumers with limited assurance that their privacy will be protected. ・GAOの2022年9月の報告書は,個人情報の収集と利用の増加が消費者のプライバシーと保護にもたらすリスクを強調した。例えば,企業は個人データや取引データを収集して消費者スコアを作成し,企業や他の事業体はそれを使って消費者が将来どのように行動するかを予測している。同報告書はさらに,民間企業によるインターネット・ユーザーのデータ収集,利用,販売についてガバナンスする包括的な米国のインターネット・プライバシー法がまだ存在しないため,消費者のプライバシーが保護される保証が限られていると指摘した。
Federal government’s progress in addressing GAO’s recommendations for the four major cybersecurity challenges サイバーセキュリティの4大課題に対するGAOの提言に対する政府の進捗状況
GAO has made 35% 1,610 recommendations in public reports to each of the four cybersecurity challenge areas (since 2010). GAOは、サイバーセキュリティの4つの課題分野それぞれに対して、35% 1,610件の勧告を公開報告書で行っている(2010年以降)。
Federal government’s progress in addressing GAO’s recommendations for the four major cybersecurity challenges. 4大サイバーセキュリティ課題に対するGAOの提言に対する連邦政府の取り組み状況
While federal agencies have made progress in improving the security of federal and critical infrastructure IT systems, significant effort remains to address the cybersecurity challenges facing the nation. Since 2010, agencies have implemented 1,043 of the recommendations that GAO has made related to the four cybersecurity challenges. However, certain critical actions remain outstanding. For example, the federal government needs to fully establish the national cybersecurity strategy and strengthen efforts to protect the cybersecurity of critical infrastructure. Until these recommendations are fully implemented, federal agencies will be limited in their ability to: 連邦国家機関は、連邦政府および重要インフラのITシステムの安全保障の改善において前進を遂げたが、国家が直面するサイバーセキュリティの課題に対処するための多大な努力が残されている。2010年以降、4つのサイバーセキュリティの課題に関連してGAOが行った勧告のうち、1,043件を各省庁が実施している。しかし、一部の重要な対策は未解決のままである。例えば、連邦政府は国家サイバーセキュリティ戦略を完全に確立し、重要インフラのサイバーセキュリティを保護する取り組みを強化する必要がある。これらの提言が完全に実施されるまでは、連邦政府機関は以下の能力に制限を受けることになる:
•   provide effective oversight of critical government-wide initiatives, mitigate global supply chain risks, address challenges with cybersecurity workforce management, and better ensure the security of emerging technologies; ・政府全体の重要イニシアチブを効果的に監督し、グローバルなサプライチェーンマネジメントのリスクを軽減し、サイバーセキュリティ人材マネジメントの課題に対処し、新興技術のセキュリティをより確実にする;
•   improve implementation of government-wide cybersecurity initiatives, address weaknesses in federal agency information security programs, and enhance the federal response to cyber incidents; ・政府全体のサイバーセキュリティ・イニシアチブの実施を改善し、連邦政府機関の情報セキュリティ・プログラムの弱点に対処し、サイバーインシデントへの連邦政府の対応を強化する;
•   mitigate cybersecurity risks for key critical infrastructure systems and their data; and ・主要な重要インフラ・システムとそのデータのサイバーセキュリティ・リスクを低減する。
•   protect private and sensitive data entrusted to them. ・個人情報や機密データを保護する。

 

報告書

・[PDF]  Full Report

20240625-10920

 

ブログ...

・2024.06.13 

What are the Biggest Challenges to Federal Cybersecurity? (High Risk Update) 連邦サイバーセキュリティの最大の課題は何か?(ハイリスク・アップデート)
Cyberattacks have the power to bring our daily lives to a screeching halt. Nearly everything we use to work, play, and live relies on computer systems that are vulnerable to attacks. For example, an attack on an electrical grid could leave millions without power during hot summer months. An attack on transportation systems could bring traffic to a standstill. If our financial institutions are attacked, bank accounts could be drained and important personal financial records shared online. And if our communications are disrupted at the same time, you could be left with no way to report an emergency or get help. サイバー攻撃は、私たちの日常生活を急停止させる力を持っている。私たちが仕事、遊び、生活に使っているほとんどすべてのものは、攻撃に対して脆弱性のあるコンピューター・システムに依存している。例えば、電力網が攻撃されれば、暑い夏の間、何百万人もの人々が停電に見舞われる可能性がある。交通システムへの攻撃は、交通を停止させる可能性がある。金融機関が攻撃を受ければ、銀行口座から資金が引き出され、個人の重要な財務記録がオンラインで共有される可能性がある。同時にコミュニケーションも途絶えれば、緊急事態を報告することも助けを求めることもできなくなる。
Malicious cyberattacks on the federal government and the nation’s critical infrastructures, like those described above, are growing in number, impact, and sophistication. Today’s WatchBlog post looks at our new report—an update of our High Risk designation for cybersecurity—about the four major challenges facing federal efforts to protect against attacks. 上記のような連邦政府と国家の重要インフラに対する悪質なサイバー攻撃は、その数、影響力、巧妙さを増している。本日のWatchBlogでは、サイバーセキュリティに関するハイリスク指定の更新として、連邦政府による攻撃防御の取り組みが直面している4つの主要な課題について、我々の新しいレポートを紹介する。
Challenge 1: National Cybersecurity Strategy isn’t as strong as it could be 課題1:国家サイバーセキュリティ戦略はそれほど強力ではない
Last year, the White House issued a National Cybersecurity Strategy outlining steps the government is taking to address the longstanding cybersecurity challenges facing the country. But how will the government know if its strategy is working? When we looked at the strategy, we found it needed outcome-oriented performance measures for various cybersecurity initiatives. 昨年、ホワイトハウスは国家サイバーセキュリティ戦略を発表し、政府が国が直面する長年のサイバーセキュリティの課題に対処するためのステップを概説した。しかし、政府はその戦略が機能しているかどうかをどのようにして知るのだろうか?私たちがこの戦略を検討したところ、サイバーセキュリティに関するさまざまな取り組みについて、成果志向の成果指標が必要であることがわかった。
In addition, the federal government needs to take action to ensure it is monitoring the global supply chain, confirm it has the highly skilled cyber workforce it needs, and address risk associated with emerging technologies—such as artificial intelligence. The government and the private sector are at risk when emerging threats aren’t addressed. さらに連邦政府は、グローバル・サプライ・チェーンを確実に監視し、必要とされる高度なスキルを備えたサイバー人材を確保し、人工知能などの新たなテクノロジーに関連するリスクに対処するための措置を講じる必要がある。新たな脅威に対処しない場合、政府と民間部門はリスクにさらされる。
We saw such an attack around January 2019 after a network breach at SolarWinds. The Texas-based network management software company was widely used by the government to monitor network activities and manage network devices on federal systems. A Russian-led attack on SolarWinds resulted in one of the most widespread and sophisticated hacking campaigns ever conducted against the U.S. 2019年1月頃、ソーラーウィンズ社でネットワーク侵害が発生し、そのような攻撃が見られた。テキサスに本社を置くこのネットワーク管理ソフトウェア会社は、政府によってネットワーク活動の監視や連邦政府システム上のネットワークデバイスの管理に広く利用されていた。ロシア主導によるソーラーウィンズへの攻撃は、米国に対してこれまでに行われた中で最も広範かつ洗練されたハッキングキャンペーンの1つとなった。
We’ve made nearly 400 recommendations to strengthen the National Cybersecurity Strategy and agencies’ ability to perform effective oversight. As of May, 170 of our recommendations have not been acted on. 我々は、国家サイバーセキュリティ戦略と各省庁が効果的な監視を行う能力を強化するために、400近くの勧告を行ってきた。5月現在、我々の勧告のうち170件はまだ実行されていない。
Challenge 2: Agencies remain limited in their ability to improve the security of federal systems and information 課題2:連邦政府のシステムと情報のセキュリティを改善する能力が、依然として制限されている。
Federal agencies rely extensively on computerized information systems to conduct day-to-day business, including interactions with the public. Many of these systems house important taxpayer information—including Social Security numbers, income information, tax filing information, loan data, and more. 連邦政府機関は、一般市民とのやり取りを含め、日々の業務を遂行するためにコンピュータ化された情報システムに広く依存している。これらのシステムの多くには、社会保障番号、所得情報、確定申告情報、ローンデータなど、重要な納税者情報が格納されている。
Ineffective security controls could not only leave these systems vulnerable to attack, but also delay the response to attacks. For example, in December 2021, a vulnerability in a piece of open-source software known as “Log4j” was reported. Log4j is used to collect and manage information about system activities and is used in millions of federal and private information systems. A 2013 update of Log4j was intended to make data storage and retrieval easier. But in November 2021 (8 years later), a security engineer reported a vulnerability in the feature. Federal agencies were directed to address this vulnerability. Even though there hasn’t been a known Log4j-based attack on federal IT, the weakness was deemed an “endemic vulnerability”—meaning that vulnerabilities will remain in systems for years despite actions to address them. 効果的でないセキュリティ管理は、これらのシステムを攻撃に対して脆弱なままにしておくだけでなく、攻撃への対応を遅らせることにもなりかねない。例えば、2021年12月、「Log4j」として知られるオープンソースソフトウェアの脆弱性が報告された。Log4jはシステム活動に関する情報を収集・管理するために使用され、何百万もの連邦政府や民間の情報システムで使用されている。Log4jの2013年のアップデートは、データの保存と検索をより簡単にすることを意図したものだった。しかし2021年11月(それから8年後)、あるセキュリティ・エンジニアがこの機能の脆弱性を報告した。連邦政府機関はこの脆弱性に対処するよう指示された。連邦政府ITに対するLog4jベースの攻撃は知られていないにもかかわらず、この脆弱性は「常在脆弱性」、つまり脆弱性への対処にもかかわらず脆弱性が何年もシステムに残るものとみなされた。
We’ve reported on federal efforts to help agencies address weaknesses like these so that systems and information are more secure. We’ve made more than 800 recommendations to improve efforts. But 221 of these recommendations have not been implemented, as of May. Doing so can greatly enhance the federal response to cyber incidents. われわれは、連邦政府機関がこのような脆弱性に対処し、システムや情報の安全性を高めるための連邦政府の取り組みについて報告してきた。我々は、取り組みを改善するために800以上の勧告を行った。しかし、これらの勧告のうち221件は、5月の時点でまだ実施されていない。これを実施することで、サイバーインシデントに対する連邦政府の対応を大幅に強化することができる。
Challenge 3: Critical infrastructure sectors remain vulnerable to disruptive attacks 課題3:重要インフラ部門は依然として破壊的攻撃に対して脆弱である。
A ransomware attack on Change Healthcare, a health payment processor, made headlines. The attack shut down operations, resulting in nearly $874 million in financial losses and widespread disruptions for providers and patient care. Medical procedures were delayed and patients were unable to access medications. 医療費決済処理会社のチェンジ・ヘルスケアに対するランサムウェア攻撃が話題になった。この攻撃により業務が停止し、約8億7400万ドルの金銭的損失が発生したほか、プロバイダや患者のケアに広範な混乱が生じた。医療処置は遅れ、患者は薬にアクセスできなかった。
Health care is just one of our 16 critical infrastructure sectors that is vulnerable to cyberattacks. All of these sectors rely heavily on IT systems to operate. 医療は、サイバー攻撃に脆弱な16の重要インフラ部門のひとつに過ぎない。これらのセクターはすべて、ITシステムに大きく依存している。
Attacks on critical infrastructure sectors continue to grow and could seriously harm human safety, national security, the environment, and the economy. The federal government has taken some steps to address the challenges with protecting these systems from cyberattacks. But we see persistent shortcomings in these efforts. For example: 重要インフラ部門への攻撃は増加の一途をたどっており、人間の安全、国家安全保障、環境、経済に深刻な被害を与える可能性がある。連邦政府は、これらのシステムをサイバー攻撃から守るという課題に対処するため、いくつかの措置を講じてきた。しかし、こうした取り組みには持続的な欠点が見られる。例えば、次のようなことだ:
In January, we reported that the federal agencies responsible for the four sectors that have reported almost half of all ransomware attacks—health care and public health, critical manufacturing, energy, and transportation—had not determined whether their actions to prevent future attacks include leading practices. 1月、我々は、ランサムウェア攻撃のほぼ半分が報告されている4つのセクター(ヘルスケアと公衆衛生、重要な製造業、エネルギー、輸送)を担当する連邦政府機関が、将来の攻撃を防止するための対策がリーディング・プラクティスを含むかどうかを決定していないことを報告した。
In March, we reported on the challenges agencies face when collaborating with the Cybersecurity and Infrastructure Security Agency (CISA) on mitigating cyber risks in their sectors. These challenges included sharing information about potential threats. 我々は3月、サイバーセキュリティ・インフラセキュリティ庁(CISA)と協力し、各分野におけるサイバーリスクの低減に取り組む際に各機関が直面する課題について報告した。これらの課題には、潜在的な脅威に関する情報の共有も含まれていた。
Last December, we highlighted challenges reported by nonfederal entities in accessing the support they need from the federal government to address vulnerabilities. 昨年12月には、連邦政府以外の事業体が脆弱性に対処するために連邦政府から必要な支援を受ける際に報告された課題を取り上げた。
We’ve made 126 recommendations to better protect the cybersecurity of critical infrastructure. Action is still needed on 64 of them. 我々は、重要インフラのサイバーセキュリティをより良く保護するために、126件の提言を行った。そのうち64件については、まだ対策が必要である。
Challenge 4: Efforts to protect your personal privacy face limitations 課題4:個人のプライバシーを保護する努力は限界に直面している
In March, AT&T reported that some of its data—which included sensitive personal information such as Social Security numbers and passcodes—had been released onto the dark web. As many as 7.6 million current and approximately 65.4 million former AT&T account holders were affected. 3月、AT&Tは、社会保障番号やパスコードなどの機密個人情報を含むデータの一部がダークウェブに流出したことを報告した。現在760万人、元AT&Tのアカウント保有者約6540万人が影響を受けた。
Attacks like these are becoming more common. At the same time, we found that federal agencies are limited in their ability to help prevent and respond to them. In 2022, we reported about the risks posed by the increasing collection and use of personal information from consumers. For example, companies collect personal and transactional data to create consumer scores, which are used to predict how consumers will behave in the future. このような攻撃はより一般的になってきている。同時に、連邦政府機関の予防や対応には限界があることもわかった。2022年、我々は消費者からの個人情報の収集と利用の増加によってもたらされるリスクについて報告した。例えば、企業は個人データや取引データを収集して消費者スコアを作成し、消費者が将来どのように行動するかを予測するために使用している。
While collection and use of personal data increases, there’s still no comprehensive U.S. internet privacy law about companies’ collection, use, or sale of your data. This leaves consumers like you with limited assurances that your privacy will be protected. 個人データの収集と利用が増加する一方で、企業によるデータの収集、利用、販売に関する包括的な米国のインターネット・プライバシー法はまだ存在しない。このため、あなたのような消費者は、プライバシーが保護されるという限られた保証しか得られない。
Data the government collects about you is also at risk. In August 2023, we reported on how the IRS monitors access to sensitive taxpayer information. We found that IRS didn’t have a comprehensive inventory of the systems that store this information, limiting its ability to protect data. 政府が収集するデータもリスクにさらされている。2023年8月、我々はIRSが納税者の機密情報へのアクセスをどのように監視しているかについて報告した。我々は、IRSがこれらの情報を保存するシステムの包括的なインベントリを持っておらず、データを保護する能力を制限していることを発見した。
On the topic of protecting privacy and sensitive data, we have made nearly 250 recommendations—112 still require action. プライバシーと機密データ保護に関して、我々は250近くの勧告を行った。
What needs to happen next? 次に何が必要か?
Our new report provides an update on the federal government’s progress with addressing cybersecurity challenges and our recommendations to tackle them. In total, we’ve identified 567 recommendations that still need action. 我々の新しい報告書は、サイバーセキュリティの課題に対する連邦政府の取り組みの進捗状況と、それらに取り組むための我々の提言について最新情報を提供するものである。合計で567の勧告を特定したが、まだ対策が必要である。
Until actions are taken and our recommendations are implemented, the federal government, the national critical infrastructure, and the personal information of U.S. citizens will be increasingly susceptible to a multitude of cyber-related threats. 対策が講じられ、我々の提言が実施されるまでは、連邦政府、国家の重要インフラ、そして米国民の個人情報は、ますます多くのサイバー関連脅威の影響を受けやすくなるだろう。
・GAO’s fact-based, nonpartisan information helps Congress and federal agencies improve government. The WatchBlog lets us contextualize GAO’s work a little more for the public. Check out more of our posts at GAO.gov/blog. GAOの事実に基づいた超党派の情報は、連邦議会と連邦政府機関のガバナンス改善に役立つ。WatchBlogでは、GAOの仕事を一般向けにもう少し詳しく説明している。GAO.gov/blogで他の投稿をチェックする。

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.05 米国 GAO 高リスクシリーズ 2023 すべての分野に完全に対応するためには、進捗を達成するための努力の維持と拡大が必要である (2023.04.20)

・2023.02.10 米国 GAO サイバーセキュリティ高リスクシリーズ

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

・2020.05.17 GAO 重要インフラ保護:国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

 

 

| | Comments (0)

IPA デジタル人材育成モデル2023年度版

こんにちは、丸山満彦です。

IPAが、デジタル人材育成モデルを公表していますね...

 

IPA

・2024.06.21 デジタル人材育成モデル


デジタルスキル標準の普及により、各企業の実情に沿ったデジタル人材を定義する事例が出ています。
また、教育産業などの取り組みにより、デジタル人材のスキルやマインドを育成する研修なども増加しています。

これらを踏まえつつ、企業でデジタル人材を確保・育成する取り組みが行われていますが、定義と研修以外を含めた確保・育成の全体像は、企業ごとの試行錯誤により進められており、社会全体に共有され顕在知化したとは言えない状況です。

そこで、IPAでは、DXを推進する企業にデジタル人材の確保・育成に関する取り組みの全体像を時系列でインタビューし、その共通性を抽出してモデル化する取り組みを2023年度に行いました。それらを「デジタル人材育成モデル」として公開しています。


 

とのことです...

・[PDF] デジタル人材育成モデル 2023年度版

20240624-225038

 


 

 

デジタル人材の育成というからおかしくなるのだろうと思います。

普通にビジネスをする人が、そのビジネスをするツールとしての情報技術(デジタル技術)を組織としてどのようにうまく活用するのか?という話のように思います。

そう考えると全体を俯瞰して、指揮し、調整をする人が重要となってくるわけです。

これは京都の呉服関係でいうところの悉皆屋に相当するところが重要という感じですかね。。。それぞれの専門職をうまく組み合わせて全体をまとめる...ちなみに悉皆というのは、「ことごとくすべて」ということで、着物のことに関してはすべて悉皆屋にお任せをすれば、あんじょうしてくれます...

なので、会社として最も必要な人材は、悉皆屋さんのような人やね...きっと...

 

 

 

| | Comments (0)

2024.06.24

米国 GenCyber:第2空軍(キースラー基地)とミシシッピ州立大学はサイバーイニシアティブを通じて地元の幼稚園から高校(K-12)の教師を支援

こんにちは、丸山満彦です。

空軍の下士官および非飛行将校のための基本的な軍事および技術訓練を実施する責任を負うアメリカ空軍である第2空軍 (Second Air Force: 2AF) [wikipedia] は、NASが主催するGenCyberというプログラムを通じて、本拠地のキーズラー基地 (Keesler Air Force Base)  [wikipedia] のあるミシシッピ州立大学[wikipedia]と協力して地元のK12(幼稚園から高校)までの学校の先生のためのサイバー教育をするようですね...

こういう交流は、ある意味税金の有効活用ですよね...

 

桂駐屯地(陸自やと思うけど)と京都府立大学が、京都府教育委員会と一緒に教師にサイバー教育する感じ?

 

Air Education and Training Command

・2024.06.17 GenCyber: Keesler, MSU empowers local K-12 teachers through cyber initiative

 

GenCyber: Keesler, MSU empowers local K-12 teachers through cyber initiative ジェン・サイバー キースラーとミシシッピ州立大学は、サイバー・イニシアチブを通じ、地元の幼稚園から高校までの教師を支援する
KEESLER AIR FORCE BASE, Miss. --   ミシシッピ州キースラー空軍基地。--  
Keesler Air Force Base and Mississippi State University partnered to bring the National Security Agency’s GenCyber program to local K-12 teachers for a 5-day cyber camp here, June 3 - 7. キースラー空軍基地とミシシッピ州立大学は、国家安全保障局の「ジェン・サイバー」プログラムを地元の幼稚園から高校までの教師に提供するため、6月3日から7日までの5日間、同基地でサイバー・キャンプを開催した。
The NSA’s GenCyber program provides multiple cybersecurity experience camps, focused on students, teachers and a combination of both. These camps provide opportunities to gain more experience and increase student diversity in cybersecurity colleges and career readiness pathways at the secondary level. NSAのGenCyberプログラムは、生徒、教師、そしてその両方の組み合わせに焦点を当てた複数のサイバーセキュリティ体験キャンプを提供している。これらのキャンプは、中等教育レベルのサイバーセキュリティ・カレッジやキャリア準備パスウェイにおいて、より多くの経験を積み、生徒の多様性を高める機会を提供している。
This recent camp facilitated teacher readiness within a learning community to help them learn, develop, and deliver cybersecurity content for the secondary classroom in collaboration with other nationwide initiatives. この最近のキャンプでは、他の全国的な取り組みと協力して、中等教育向けのサイバーセキュリティ・コンテンツを学び、開発し、提供できるように、学習コミュニティ内で教師の準備を促進した。
“The idea for this camp is to build capacity in teachers able to instruct cybersecurity back in their school districts,” said Shelly Hollis, MSU Director of Center for Cyber Education. “For many years, we’ve taught subjects such as digital citizenship, being safe online and not sharing your password. We wanted to give them an opportunity to go a little bit deeper to learn the real skills behind a cyber career.” シェリー・ホリス、MSUサイバー教育センター長は次のように語った。「このキャンプは、教師が学区内でサイバーセキュリティを指導できるようにすることを目的としている。 長年にわたり、私たちはデジタル・シチズンシップ、オンライン上の安全、パスワードの共有の禁止などを教えてきた。私たちは、サイバーキャリアの背後にある真のスキルを学ぶために、もう少し深く踏み込む機会を与えたかった。」
Nineteen teachers from local school districts learned about cybersecurity essentials: the use of Raspberry Pi, building and programming with VEX Go Robots and creating their own lesson plan they presented to their peers. They also toured tech training career fields where cybersecurity is prominent including the Air Traffic Control MaxSim at the 334th Training Squadron and the 333rd TRS’s Escape room and tunneling lab. 地元の学区から参加した19人の教師たちは、サイバーセキュリティの要点について学んだ。ラズベリー・パイの使用、VEX囲碁ロボットの製作とプログラミング、独自の授業プランの作成などを学び、仲間たちに発表した。また、第334訓練飛行隊の航空管制マックスシムや、第333訓練飛行隊の脱出ルームやトンネル実験室など、サイバーセキュリティが重視される技術訓練分野も見学した。
Aligned with the Mississippi Cyber Initiative and the National Centers of Academic Excellence in Cybersecurity, this collaboration raises cybersecurity awareness and allows for the exchange of the best practices, emerging trends and innovative approaches to cybersecurity education between the installation and local community. ミシシッピ・サイバー・イニシアチブおよび国立サイバーセキュリティ・センター・オブ・エクセレンスと連携したこの協力は、サイバーセキュリティに対する意識を高め、サイバーセキュリティ教育におけるベストプラクティス、新たなトレンド、革新的なアプローチを、施設と地域社会の間で交換することを可能にする。
“I can't wait to go back and do a whole unit on cybersecurity,” said Kayla Shouse, Prentiss County Career and Technical Computer Science and Engineering teacher. “Being here at Keesler this week has really impacted how I think about the military, cyber warfare and all the jobs that are out here for our students.” プレンティス郡キャリア・アンド・テクニカル・コンピューター・サイエンス・アンド・エンジニアリング教諭のケイラ・ショウス氏は、「サイバーセキュリティの全単元を教えるのが待ちきれない」と語った。「今週キースラーに来たことで、軍隊やサイバー戦、そして生徒のためにある仕事について考えるきっかけになった」と語った。

 

 

NSAが中等教育レベルの生徒と教師にサイバーセキュリティ体験を提供するGenCyberのウェブページ...

GenCyber

GENCYBER PROGRAM: GenCyberプログラム
The GenCyber program aligns with the goals of the National Centers of Academic Excellence in Cybersecurity (NCAE-C) program in order to provide awareness of college and career pathway opportunities for secondary students and educators. GenCyber programs are offered in four formats: GenCyber プログラムは、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCAE-C)プログラムの目標に沿ったもので、中等教育の生徒や教育者に大学進学やキャリアパスの機会を提供することを目的としている。GenCyberプログラムは4つの形式で提供されている:
GenCyber Student Programs GenCyber学生プログラム
GenCyber Teacher Programs GenCyber教師プログラム
GenCyber Combination Programs GenCyberコンビネーションプログラム
GenCyber Student Language Programs GenCyber学生語学プログラム
To ensure a level playing field for all, GenCyber programs are offered at no cost to student and/or teacher participants. すべての人が公平に参加できるように、GenCyberプログラムは学生や教師の参加者に無料で提供されている。
GOALS OF GENCYBER ARE TO: ジェネサイバーの目標は以下の通りである:
Ignite, increase and sustain awareness of secondary cybersecurity content and cybersecurity postsecondary and career opportunities for participants through year-round engagement; 年間を通じて参加者にサイバーセキュリティの中等教育の内容や中等教育修了後の進路についての認識を高め、継続させる;
Increase student diversity in cybersecurity college and career readiness pathways at the secondary level; and 中等教育レベルにおけるサイバーセキュリティの大学進学・職業準備の進路における生徒の多様性を高める。
Facilitate teacher readiness within a teacher learning community to learn, develop, and deliver cybersecurity content for the secondary classroom in collaboration with other nationwide initiatives. 他の全国的な取り組みと連携して、中等教育向けのサイバーセキュリティ・コンテンツを学び、開発し、提供するための教師学習コミュニティにおいて、教師の準備態勢を促進する。
GENCYBER RESOURCES: GenCyberリソース
GenCyber is an important component of the national cybersecurity education ecosystem. Several resources are available to our federal partners, camp hosts and the general public to ensure that cybersecurity awareness and education remain at the forefront of our program’s mission. GenCyber は、サイバーセキュリティ教育のエコシステムの重要な構成要素である。サイバーセキュリティの認識と教育が当プログラムの使命の最前線であり続けることを確実にするために、連邦政府パートナー、キャンプホスト、一般市民が利用できるリソースがいくつかある。
2015-2019 GenCyber 5-Year Report: When the GenCyber program got its start, we were unsure of what to expect, but we were excited at the prospect of reaching the future cybersecurity workforce at a much younger age and what that would mean for the nation. This report is the results of a five-year study to determine the effectiveness of GenCyber at reaching its goals. This report has found that GenCyber has been successful at accomplishing many of its goals, though in different ways and at varying degrees. 2015-2019 GenCyber 5年レポート: GenCyberプログラムがスタートしたとき、私たちは何が起こるかわからなかったが、将来のサイバーセキュリティの労働力をはるかに若い年齢で獲得できるという見通しと、それが国家にとって何を意味するかということに興奮した。本報告書は、GenCyber の目標達成の有効性を判断するための 5 年間の調査結果をまとめたものである。本報告書では、GenCyber が、その方法や程度の差はあれ、多くの目標を達成することに成功していることがわかった。
Information on the NCAE-C College and Career Pathways Initiatives, including RING RING を含む、NCAE-C College and Career Pathways Initiatives に関する情報
Cybersecurity and Infrastructure Security Agency サイバーセキュリティ・インフラセキュリティ庁
National Initiative Cybersecurity Education (NICE) 全米サイバーセキュリティ教育イニシアティブ(NICE)
National Science Foundation 全米科学財団
CLARK Center CLARK センター
CAE Institution Map CAE機関マップ

 

1_20240624075401

 

| | Comments (0)

国連安全保障理事会 サイバー空間における脅威の進化 (2024.06.20)

こんにちは、丸山満彦です。

2024,06.20に開催された国連安全保障理事会はサイバーセキュリティがテーマだったようですね...

国連事務総長(ポルトガルのアントニオ・グテーレス[wikipedia])もスピーチしていますね...

英国のバーバラ・ウッドワード英国国連常駐代表の声明も、英国政府のウェブページに掲載されていますね...

イギリスは、ランサムウェアによる社会への影響、偽情報、違法に得た資金を利用した武器開発等に懸念をもっていますね...

 

 

● UNITED NATIONS SECURITY COUNCIL

プレス...

・2024.06.20 UN chief warns of ‘cyber mercenaries’ amid spike in weaponising digital tools

 

UN chief warns of ‘cyber mercenaries’ amid spike in weaponising digital tools 国連総長、デジタルツールの武器化が急増する中、「サイバー傭兵」に警告を発する
UN Secretary-General António Guterres on Thursday highlighted the dual-edged nature of cyberspace, stressing its potential for both immense benefits and significant risks when misused. アントニオ・グテーレス国連事務総長は木曜日、サイバー空間の両刃の性質を強調し、その潜在的な可能性は莫大な利益と、悪用された場合の重大なリスクの両方をもたらすと強調した。
At a Security Council high-level debate on evolving threats in cyberspace, convened by the Republic of Korea, Council President for June, Mr. Guterres underscored the transformative power of digital technologies. グテーレス事務総長は、6月の安保理議長国である韓国が招集したサイバー空間の脅威に関する安保理ハイレベル討論会で、デジタル技術の変革力を強調した。
“Breakthroughs in digital technologies are happening at warp speed; digital advances are revolutionising economies and societies,” he said. 「デジタル技術のブレークスルーはワープスピードで起きており、デジタルの進歩は経済と社会に革命をもたらしている。
“They are bringing people together, providing citizens with access to government services and institutions and supercharging economies, trade and financial inclusion.” 「デジタルの進歩は、経済や社会に革命をもたらしている。デジタル技術は人々を結びつけ、市民に政府サービスや機構へのアクセスを提供し、経済、貿易、金融包摂を加速させている
However, he cautioned that the seamless and instant connectivity that fuels these benefits also makes people, institutions and countries vulnerable. しかし、このような恩恵をもたらすシームレスでインスタントなコネクティビティは、人々や機構、そして国々を脆弱性にも陥れると警告した。
“The perils of weaponising digital technologies are growing by the year,” he warned.  「デジタル技術を武器にする危険性は年々高まっている。
“Malicious activity in cyberspace is on the rise by both State and non-State actors and by outright criminals.” 「サイバー空間における悪意ある活動は、国家、非国家主体、そして犯罪者の双方によって増加の一途をたどっている。
Cyber mercenaries, hacktivists サイバー傭兵、ハクティビスト
The UN chief warned that malicious cyber activities are on the rise, with serious cybersecurity incidents becoming “disturbingly common”. 国連総長は、悪質なサイバー活動は増加の一途をたどっており、深刻なサイバーセキュリティインシデントが「不穏なほど頻繁に」発生していると警告した。
Essential public services such as healthcare, banking and telecommunications are frequently breached, and criminal organizations and “cyber mercenaries” engage in relentless illicit activities. 医療、銀行、通信などの重要な公共サービスが頻繁に侵害され、犯罪組織や「サイバー傭兵」が執拗な違法行為を行っている。
Additionally, a “legion of hate merchants” is spreading fear and division online. さらに、「憎悪商人の軍団」がネット上で恐怖と分断を広げている。
“So called civilian ‘hacktivists’ are entering the fray, and in many cases are blurring the line between combatants and civilians,” he said. いわゆる民間人の "ハクティビスト "がこの戦いに参入しており、多くの場合、戦闘員と民間人の境界線を曖昧にしている」と同氏は述べた。
New vulnerabilities 新たな脆弱性
The integration of digital tools with weapon systems, including autonomous systems, presents new vulnerabilities, Mr. Guterres said. グテーレス氏は、自律システムを含む兵器システムとデジタルツールの統合は、新たな脆弱性をもたらすと述べた。
The misuse of digital technology is becoming more sophisticated and stealthier, with proliferation of malware software. The threat is further amplified by artificial intelligence (AI)-enabled cyber operations. デジタル技術の悪用は、マルウェアソフトウェアの拡散により、より洗練され、ステルス化している。人工知能(AI)を活用したサイバー作戦によって、脅威はさらに増幅している。
“Ransomware is one grievous example,” the UN chief underscored, “a huge threat to public and private institutions and the critical infrastructure people depend on.” 「国連総長は、「ランサムウェアは痛ましい一例であり、公共機関や民間機関、そして人々が依存する重要なインフラに対する巨大な脅威である」と強調した。
In 2023, total ransomware payments reached $1.1 billion. 2023年、ランサムウェアによる被害総額は11億ドルに達した。
Beyond financial costs, malicious cyber activities undermine public institutions, electoral processes and online integrity, eroding trust, fuelling tensions and sowing the seeds of violence and conflict, he added. 金銭的なコストだけでなく、悪質なサイバー活動は、公的機関、選挙プロセス、オンラインの完全性を損ない、信頼を損ない、緊張を煽り、暴力や紛争の種をまくと、国連総長は付け加えた。
Incredible opportunity 大きなチャンス
Despite the threats, Mr. Guterres emphasised the “incredible opportunity” digital technology offers to create a more just, equal, sustainable and peaceful future. このような脅威があるにもかかわらず、グテーレス事務総長は、より公正で平等、持続可能で平和な未来を創造するために、デジタル技術が提供する「信じられないほどの機会」を強調した。
He called for breakthroughs to be oriented toward the common good, highlighting his proposed New Agenda for Peace that places prevention at the core of all peace efforts. グテーレス事務総長は、あらゆる平和への取り組みの中核に予防を据えた「平和のための新アジェンダ」の提案を強調し、共通善に向けたブレークスルーを呼びかけた。
“It calls for developing strong frameworks in line with international law, human rights and the UN Charter and focused efforts by all States to prevent the extension and escalation of conflicts within and through cyberspace,” he said. 「国際法、人権、国連憲章に沿った強力な枠組みを構築し、サイバー空間内およびサイバー空間を通じての紛争の拡大・激化を防ぐために、すべての国が集中的に努力することを求めている。
“As reflected in the New Vision for the Rule of Law, the rule of law must exist in the digital sphere as it does in the physical world.” 「法の支配のための新しいビジョンに反映されているように、法の支配は、物理的な世界と同様に、デジタル領域にも存在しなければならない。
Call for better integration より良い統合を求める
Secretary-General Guterres welcomed the General Assembly’s commitment to action, including its dedicated working group on information and communication technologies (ICT) security. グテーレス事務総長は、情報通信技術(ICT)の安全保障に関する専門作業部会など、総会の行動へのコミットメントを歓迎した。
He also urged the Security Council to integrate cyber-related considerations into its workstreams and resolutions, underscoring that many issues it addresses, such as the protection of civilians, peace operations, counterterrorism and humanitarian operations, are affected by cyberspace. グテーレス事務総長はまた、安全保障理事会に対し、その作業部会や決議にサイバー関連の検討を組み込むよう促し、同理事会が取り組む民間人の保護、平和活動、テロ対策、人道活動など多くの問題がサイバー空間の影響を受けていることを強調した。
“Integrating this issue into your deliberations would be a useful way to lay the groundwork for more effective responses to this important question,” he said. 「あなた方の審議にこの問題を組み入れることは、この重要な問題により効果的に対応するための土台を築く上で、有益な方法だろう」と述べた。
Summit of the Future 未来のサミット
In conclusion, Mr. Guterres stressed the importance of the upcoming Summit of the Future, in September. 最後にグテーレス事務総長は、9月に開催される未来のサミットの重要性を強調した。
“The pact that will emerge from the summit represents a pivotal chance to support the maintenance of international peace and security in cyberspace,” he said. 「サミットから生まれる協定は、サイバー空間における国際的な平和と安全の保守を支援する極めて重要な機会である。
Among other actions, it aims to safeguard critical infrastructure against harmful ICT practices and create enhanced accountability for data-driven technology, including AI. とりわけ、有害なICT慣行から重要なインフラを保護し、AIを含むデータ駆動技術に対する説明責任を強化することを目的としている。
“I look forward to working with this Council, the General Assembly and all Member States to ensure that technology is focused where it belongs: on the progress and security of all people and the planet we share,” the Secretary-General concluded. 「私は、この理事会、総会、そしてすべての加盟国と協力し、テクノロジーが本来あるべき場所、すなわち、すべての人々と私たちが共有する地球の進歩と安全保障に焦点が当てられるようにすることを楽しみにしている」と事務総長は締めくくった。

 

アントニオ・グテーレス事務総長のスピーチ...

・2024.06.20 Secretary-General's remarks to the Security Council’s High-Level Debate on “Maintenance of International Peace and Security: Addressing Evolving Threats in Cyberspace”

Secretary-General's remarks to the Security Council’s High-Level Debate on “Maintenance of International Peace and Security: Addressing Evolving Threats in Cyberspace” 国際平和と安全の保守」に関する安全保障理事会ハイレベル・ディベートでの事務総長発言: サイバー空間における進化する脅威への対応"
Mr. President His Excellency Cho Tae-yul, Foreign Minister of the Republic of Korea, Excellencies,  大統領閣下 チョ・テユル 大韓民国外務大臣閣下 各位、 
I thank the Republic of Korea for convening this high-level debate on an issue that affects us all — peace and security in cyberspace.  サイバー空間における平和と安全保障という、我々すべてに影響を及ぼす問題について、このハイレベル討論会を開催してくださった大韓民国に感謝する。
Mr. President, 大統領
Breakthroughs in digital technologies are happening at warp speed — from information and communication technologies and cloud computing, to blockchain, 5G networks, quantum technologies and more.  情報通信技術やクラウド・コンピューティングから、ブロックチェーン、5Gネットワーク、量子技術など、デジタル技術のブレークスルーは猛スピードで進んでいる。
Digital advances are revolutionizing economies and societies.  デジタルの進歩は経済と社会に革命をもたらしている。
They are bringing people together… デジタルの進歩は経済と社会に革命をもたらしている。
Delivering information, news, knowledge, and education at the tap of a screen or click of a mouse… スクリーンをタップしたり、マウスをクリックしたりするだけで、情報、ニュース、知識、教育を提供する。
Providing citizens with access to government services and institutions... 市民が政府のサービスや機構にアクセスできるようにする。
And supercharging economies, trade and financial inclusion. そして、経済、貿易、金融包摂を促進する。
But the very quality of seamless, instant connectivity that powers the enormous benefits of cyberspace can also leave people, institutions and entire countries deeply vulnerable. しかし、サイバー空間がもたらす多大な恩恵の原動力となっているシームレスでインスタントな接続性は、人々や機構、そして国全体を脆弱なものにしてしまう可能性もある。
And the perils of weaponizing digital technologies are growing by the year.  デジタル技術を武器化する危険性は、年々高まっている。
Cyberspace has kicked the doors wide open.  サイバー空間はドアを大きく開けた。
Anyone can walk through. 誰でも通り抜けることができる。
And many are. そして多くの人がそうしている。
Malicious activity in cyberspace is on the rise by both State and non-state actors, and by outright criminals. サイバー空間における悪意ある活動は、国家、非国家主体、そして完全な犯罪者の双方によって増加の一途をたどっている。
Serious cybersecurity incidents are disturbingly common. 深刻なサイバーセキュリティ・インシデントが頻発している。
From breaches of essential public services like healthcare, banking and telecommunications.   医療、銀行、電気通信のような必要不可欠な公共サービスの侵害から、容赦のない不正行為まで、サイバーセキュリティの重大な事故は不穏なほど頻繁に起きている。 
To relentless illicit activity, including by criminal organizations and so-called “cyber mercenaries.” 犯罪組織やいわゆる "サイバー傭兵 "を含む、執拗な違法行為まで。
To a legion of hate merchants littering the information superhighway with fear and division.   情報スーパーハイウェイに恐怖とディビジョンを撒き散らす憎悪商人の軍団。 
To the increasing use of cyberspace as another weapon in ongoing armed conflicts. 現在進行中の武力紛争において、サイバー空間が新たな武器として使用されつつある。
So-called civilian “hacktivists” are entering the fray, and in many cases are blurring the line between combatants and civilians.   いわゆる民間人「ハクティビスト」がこの戦いに参戦し、多くの場合、戦闘員と民間人の境界線を曖昧にしている。 
       
And the growing integration of digital tools with weapon systems, including autonomous systems, presents new vulnerabilities. また、自律型システムを含む兵器システムとデジタルツールの統合が進むことで、新たな脆弱性が生じている。
       
At the same time, the misuse of digital technology is becoming more sophisticated and stealthy. 同時に、デジタル技術の悪用はより洗練され、ステルス化している。
Malware, wipers and trojans are proliferating. マルウェア、ワイパー、トロイの木馬が急増している。
AI-enabled cyber operations are multiplying the threat, and quantum computing could break down entire systems with its ability to breach encryption. AIを活用したサイバー作戦は脅威を増大させ、量子コンピューティングは暗号を破る能力でシステム全体を破壊する可能性がある。
Software vulnerabilities are being exploited and cyber-intrusion capabilities are even sold over the Internet. ソフトウェアの脆弱性は悪用され、サイバー侵入能力はインターネット上で販売さえされている。
And companies’ supply chains are being actively targeted by hackers, with serious, disruptive and cascading effects.   また、企業のサプライチェーンはハッカーに積極的に狙われており、深刻で破壊的、連鎖的な影響を及ぼしている。 
Ransomware is one grievous example — a huge threat to public and private institutions and the critical infrastructure people depend on. ランサムウェアはその深刻な一例であり、公共機関や民間機関、そして人々が依存する重要なインフラにとって大きな脅威となっている。
According to some estimates, total ransomware payments reached $1.1 billion USD in 2023. ある試算によると、ランサムウェアによる被害総額は2023年に11億米ドルに達するという。
But far beyond the financial costs are the costs to our common peace, security and stability — both within countries and among them. しかし、金銭的なコストをはるかに超えて、私たち共通の平和、安全、安定に対するコストがある。
Malicious activity that undermines public institutions, electoral processes and online integrity erodes trust, fuels tensions, and even sows the seeds of violence and conflict. 公的機関、選挙プロセス、オンラインの完全性を損なう悪質な行為は、信頼を損ない、緊張を煽り、暴力や紛争の種をまくことさえある。
Mr. President,  大統領、 
Digital technology offers an incredible opportunity to create a more just, equal, sustainable and peaceful future for all. デジタル技術は、すべての人にとって、より公正で平等、持続可能で平和な未来を創造する素晴らしい機会を提供する。
But breakthroughs must be oriented towards the good. しかし、ブレークスルーは善を志向するものでなければならない。
The New Agenda for Peace places prevention at the heart of all peace efforts. 平和のための新たなアジェンダ」は、あらゆる平和への取り組みの中心に予防を据えている。
It calls for developing strong frameworks in line with international law, human rights and the UN Charter, and focused efforts by all States to prevent the extension and escalation of conflicts within, and through, cyberspace. 国際法、人権、国連憲章に沿った強力な枠組みを構築し、サイバー空間内、そしてサイバー空間を通じた紛争の拡大・激化を防ぐために、すべての国が集中的に取り組むことを求めている。
As reflected in the New Vision for the Rule of Law, the rule of law must exist in the digital sphere as it does in the physical world. 法の支配のための新たなビジョン」に反映されているように、法の支配は、物理的な世界と同様に、デジタル領域にも存在しなければならない。
I also welcome the General Assembly’s commitment to action in this area. 私はまた、総会がこの分野での行動にコミットしていることを歓迎する。
This includes its dedicated, open-ended working group on information and communication technologies security.  これには、情報通信技術の安全保障に関するオープンエンドの専用作業部会も含まれる。
States are building on the universally endorsed normative framework of responsible State behaviour in the use of these technologies. 各国は、こうした技術の利用における国家の責任ある行動という普遍的に承認された規範的枠組みを基盤としている。
And they are actively considering the applicability of international law to State activities in this domain. そして、この分野における国家の活動に対する国際法の適用可能性を積極的に検討している。
Also, under the auspices of the General Assembly, Member States are working to reach consensus on a new cybercrime treaty in the coming months, which should deepen cooperation while protecting human rights online. また、総会の後援の下、加盟国は今後数ヶ月のうちに、オンラインでの人権を保護しつつ協力を深めるべき、新たなサイバー犯罪条約について合意に達するべく努力している。
But given the clear and growing links between cyberspace and global peace and security, this Council can also play a key role by integrating cyber-related considerations into your existing workstreams and resolutions. しかし、サイバー空間と世界の平和および安全保障との関連性が明確かつ高まっていることを考えれば、安保理は、サイバー関連の配慮を既存のワークストリームや決議に組み込むことによって、重要な役割を果たすこともできる。
This is only the second time the Security Council has held a formal meeting on this issue. 安全保障理事会がこの問題について正式な会合を開いたのは、今回が2回目である。
But so many of the issues considered around this table are affected by and linked to cyberspace — including the protection of civilians in armed conflict, peace operations, counter-terrorism and humanitarian operations.  しかし、武力紛争、平和活動、テロ対策、人道活動など、このテーブルで検討されている問題の多くは、サイバー空間の影響を受け、サイバー空間と関連している。
Integrating this issue into your deliberations would be a useful way to lay the groundwork for more effective responses to this important question.   あなた方の審議にこの問題を組み入れることは、この重要な問題により効果的に対応するための土台作りに役立つだろう。 
Mr. President,  大統領 
Peace and security in the physical world demand new approaches to peace and security in the digital world.   物理的世界における平和と安全保障は、デジタル世界における平和と安全保障への新たなアプローチを必要としている。 
This September’s Summit of the Future represents a vital opportunity to enhance cooperation on critical global challenges and reinvigorate the multilateral system. 今年9月の未来サミットは、重要な地球規模の課題に対する協力を強化し、多国間システムを再活性化するための重要な機会を代表するものである。
The Pact that will emerge from the Summit represents a pivotal chance to support the maintenance of international peace and security in cyberspace. サミットから生まれる協定は、サイバー空間における国際平和と安全保障の保守を支援する極めて重要な機会である。
Among other priorities, Chapter 2 of the Pact aims to re-affirm global consensus on safeguarding critical infrastructure against harmful ICT practices, and creating enhanced accountability for data-driven technology, including artificial intelligence. 他の優先事項の中でも、協定の第2章は、有害なICT慣行から重要なインフラを守ること、そして人工知能を含むデータ駆動型技術に対する説明責任を強化することに関して、世界的なコンセンサスを再確認することを目的としている。
Meanwhile, my High-Level Advisory Body on Artificial Intelligence is completing its final report on how we can govern Artificial Intelligence for humanity, while addressing its risks and uncertainties. 一方、私の「人工知能に関するハイレベル諮問機関」は、人工知能のリスクと不確実性に対処しつつ、人類のために人工知能をどのようにガバナンスしていくかについての最終報告書を完成させつつある。
I look forward to working with this Council, the General Assembly, and all Member States to ensure that technology is focused where it belongs: on the progress and security of all people and the planet we share. 私は、この理事会、総会、そしてすべての加盟国と協力し、テクノロジーが本来あるべき場所、すなわち、すべての人々と私たちが共有する地球の進歩と安全に焦点が当てられるようにすることを楽しみにしている。
Thank you. ありがとう。

 

韓国大統領による呼びかけ...

・2024.06.10 [PDF] Letter dated 7 June 2024 from the Permanent Representative of the Republic of Korea to the United Nations addressed to the President of the Security Council

Letter dated 7 June 2024 from the Permanent Representative of the Republic of Korea to the United Nations addressed to the President of the Security Council  大韓民国国連常駐代表より安全保障理事会議長宛書簡(2024 年 6 月 7 日付 
I have the honour to transmit herewith the invitation letter and the concept note for the Security Council high-level open debate on “Maintenance of international peace and security: addressing evolving threats in cyberspace”, to be held on Thursday, 20 June 2024, at 10 a.m. (see annex).   私は、2024年6月20日(木)午前10時から開催される安全保障理事会ハイレベル公開討論会「国際の平和と安全の保守:サイバー空間における進化する脅威への対応」に関する招待状およびコンセプトノート(附属書参照)をここに送付することを光栄に思う。 
I would be grateful if you could have the present letter and its annex circulated as a document of the Security Council.  本書簡と附属書を安全保障理事会の文書として回覧していただければ幸いである。
(Signed) Joonkook Hwang  (署名)ファン・ジュングク 
Ambassador and Permanent Representative of the Republic of Korea to the United Nations   駐国連大韓民国大使兼代表者  
Annex to the letter dated 7 June 2024 from the Permanent  2024年6月7日付の大韓民国国連常駐代表の書簡の附属書。
Representative of the Republic of Korea to the United Nations addressed to the President of the Security Council  大韓民国国際連合常駐代表から安全保障理事会議長あての書簡(2024年6月7日付)附属書。
I am pleased to invite you to the Security Council high-level open debate on “Maintenance of international peace and security: addressing evolving threats in cyberspace”, to be held on Thursday, 20 June at 10 a.m., in the Security Council Chamber (see concept note ). This will be the signature event of the Republic of Korea in its capacity as the President of the Security Council for the month of June.   6月20日(木)午前10時より安全保障理事会理事室にて開催される、安全保障理事会ハイレベル公開討論会「国際の平和と安全の保守:サイバー空間における進化する脅威への対応」にお招きできることを嬉しく思う(コンセプトノート参照)。これは、6月の安全保障理事会議長国としての大韓民国の看板行事となる。 
Against the backdrop of rapid advancements in information and communications technologies, which have brought both benefits and challenges in our hyperconnected world, sophisticated and intrusive malicious cyberactivities are raising serious concerns for international peace and security. In this regard, the evolving security landscape in cyberspace demands the Council’s keen attention in addressing cyberthreats that can affect all nations.   情報通信技術の急速な進歩は、このハイパーコネクテッド・ワールドに便益と課題の両方をもたらしているが、高度で侵入的な悪意のあるサイバー活動は、国際の平和と安全に対する深刻な懸念を引き起こしている。この点で、サイバー空間における進化する安全保障の状況は、すべての国に影響を及ぼす可能性のあるサイバー脅威に対処する上で、理事会の強い関心を必要としている。 
The high-level open debate will be chaired by the Foreign Minister of the Republic of Korea, Cho Tae-yul, and it will serve as a valuable opportunity for the Council to fulfil its primary responsibility of maintaining international peace and security in the era of expanding cyberthreats. High-level participation at this event will greatly enrich the discourse.  ハイレベル公開討論会は、趙泰烈(チョ・テユル)韓国外相が議長を務め、サイバー脅威が拡大する時代に国際平和と安全を維持するという理事会の主要な責任を果たす貴重な機会となる。このイベントへのハイレベルの参加は、談話を大いに豊かにするだろう。
(Signed) Joonkook Hwang  (署名)Joonkook Hwang 
Permanent Representative   常任代表者  
Concept note for the Security Council high-level open debate on “Maintenance of international peace and security: addressing evolving threats in cyberspace”, 20 June 2024, 10 a.m.   安全保障理事会ハイレベル公開討論会「国際の平和と安全の保守:サイバー空間における進化する脅威への対応」(2024年6月20日午前10時)のコンセプトノート  
Background  背景 
While tremendous economic, social, cultural, civil and political benefits are brought by the advancement of information and communications technologies (ICTs), given our heavy reliance on digital infrastructure for communication, commerce and governance, malicious activities in the cyberdomain can undermine international peace and security, by affecting multiple domains simultaneously.   情報通信技術(ICTs)の進歩によって多大な経済的、社会的、文化的、市民的、政治的利益がもたらされる一方で、コミュニケーション、商業、ガバナンスにおいてデジタル・インフラに大きく依存していることから、サイバー領域における悪意ある活動は、複数の領域に同時に影響を及ぼすことにより、国際平和と安全を損なう可能性がある。 
Malicious cyberactivities targeting critical infrastructure, including hospitals and other health-care systems, financial services, the energy sector, satellites, transportation and other emergency systems, are becoming increasingly commonplace. Such activities can have devastating effects on national security and pose substantial risk of harm to civilians. In addition to proliferation of malicious activities, evolving and advancing tactics including decoy ransomware, ransomware-as-a-service models and cryptocurrency thefts to support terrorist activities and to fund nuclear and other weapons of mass destruction programmes, are exacerbating the threat landscape, which is further compounded by the introduction of new vectors and vulnerabilities for exploitation.   病院やその他の医療システム、金融サービス、エネルギー部門、人工衛星、交通機関、その他の緊急システムなど、重要なインフラを標的とした悪質なサイバー活動は、ますます一般的になりつつある。このような活動は、国家の安全保障に壊滅的な影響を及ぼし、民間人に危害を及ぼす大きなリスクをもたらす可能性がある。悪意ある活動の拡散に加え、おとりランサムウェア、ランサムウェア・アズ・ア・サービス・モデル、テロ活動を支援し、核兵器やその他の大量破壊兵器プログラムの資金を調達するための暗号通貨窃盗など、進化・進歩する手口が脅威の状況を悪化させており、悪用のための新たなベクトルや脆弱性の導入により、さらに深刻化している。 
While malicious cyberactivities are evident in a range of contexts, the use of these technologies in connection with, and in support of, armed conflicts is particularly worrisome. Malicious cyberactivities can both exacerbate existing conflict situations and support the initiation of new tensions.   悪意のあるサイバー活動は様々な状況で見られるが、武力紛争に関連し、武力紛争を支援するためにこれらの技術が使用されることは特に憂慮すべきことである。悪意のあるサイバー活動は、既存の紛争状況を悪化させるだけでなく、新たな緊張の発生を助長する可能性がある。 
With the transnational nature of cyberspace, no State is immune from the harms of malicious cyberactivities. The cybersecurity network is only as strong as its weakest link. In this vein, capacity-building is an indispensable element of cooperation across all relevant forums that address ICT-related issues within the United Nations system. A divergence in capacities or cyberresilience poses additional challenges for detecting, defending against, or responding to malicious cyberactivities, particularly for those States that have inadequate capacities. The harmful use of ICTs may have disproportionate effects on certain populations, including women and minorities.   サイバー空間の国境を越えた性質により、いかなる国家も悪意あるサイバー活動の害から免れることはできない。サイバーセキュリティ・ネットワークは、最も脆弱なリンクほど強固である。この意味で、能力構築は、国際連合システム内でICT関連問題に取り組むすべての関連フォーラムを横断する協力の不可欠な要素である。能力またはサイバー耐性の乖離は、特に能力が不十分な国にとって、悪意あるサイバー活動の検知、防御、対応にさらなる課題をもたらす。ICTsの有害な利用は、女性やマイノリティを含む特定の集団に不釣り合いな影響を及ぼす可能性がある。 
Role of the Security Council   安全保障理事会の役割  
Progress  進展 
Over the past decade, the Security Council has become increasingly seized of the international peace and security implications of cyberspace. Since 2016, the Council has convened several Arria-formula meetings, during which States addressed cybersecurity with various linkages to topics such as protection of critical infrastructure, protection of civilians and disinformation and hate speech in cyberspace. Estonia convened the first high-level open debate on the topic in 2021, further solidifying the issue of the maintenance of international peace and security in cyberspace as a topic for the Council’s consideration.   過去10年間で、安全保障理事会はサイバー空間が国際平和と安全保障に及ぼす影響をますます認識するようになった。2016年以降、安全保障理事会は数回のアリア方式会合を開催し、その中で各国は、重要インフラの保護、民間人の保護、サイバー空間における偽情報やヘイトスピーチといったトピックと様々な関連性を持つサイバーセキュリティを取り上げた。エストニアは2021年にこのテーマに関する初のハイレベル公開討論会を開催し、サイバー空間における国際平和と安全の保守という問題を理事会の検討テーマとしてさらに確固たるものにした。 
The most recent Arria-formula meeting on cybersecurity was organized by the Republic of Korea and co-hosted by the United States and Japan in April 2024. The meeting highlighted the growing implications of cyberthreats in the context of international peace and security, as well as the important role of the Security Council in de-escalating tensions and promoting cybersecurity.   サイバーセキュリティに関する最新のアリア方式会合は、2024年4月に韓国が主催し、米国と日本が共催した。同会合では、国際平和と安全保障の文脈におけるサイバー脅威の重要性が増すとともに、緊張緩和とサイバーセキュリティの推進における安全保障理事会の重要な役割が強調された。 
Possible options  考えられる選択肢 
Developing a common understanding among States and enhancing the Security Council’s role in addressing cyberthreats is both crucial and timely. Proactive engagement in cybersecurity, aligned with its primary responsibility to maintain international peace and security, positions the Council to respond to malicious cyberactivities and thus to significantly contribute to establishing a globally secure, open and peaceful cyberspace for the benefit of all nations.   サイバー脅威に対処するために、国家間の共通理解を深め、安全保障理事会の役割を強化することは、極めて重要かつ時宜を得たものである。サイバーセキュリティへの積極的な関与は、国際の平和と安全を維持するという安全保障理事会の主要な責務に沿ったものであり、安全保障理事会は悪意あるサイバー活動に対応することができ、その結果、すべての国の利益のために、世界的に安全で開かれた平和なサイバー空間の確立に大きく貢献することができる。 
Such an engagement by the Security Council can take place in a manner that is complementary to other ongoing United Nations processes on ICTs, including relevant discussions on norms of responsible State behaviour in the use of ICTs and the United Nations framework for responsible State behaviour in the use of information and communications technologies, which was adopted by consensus, under the auspices of the General Assembly.   安全保障理事会によるこのような関与は、ICTsに関して現在進行中の他の国際連合プロセス(ICTs使用における責任ある国家行動の規範に関する関連議論や、総会の支援の下、コンセンサスにより採択された情報通信技術の使用における責任ある国家行動のための国際連合枠組みなど)を補完する形で行うことができる。 
Possible options for the Security Council’s consideration were put forth at the Arria-formula meeting held in April, with a view to adding value to the various multilateral efforts that address the international peace and security implications of malicious cyberactivities.   4月に開催されたアリア・フォーミュラ会議では、悪質なサイバー活動の国際平和と安全保障への影響に対処する多国間のさまざまな取り組みに付加価値を与えるという観点から、安全保障理事会が検討しうる選択肢が提示された。 
For example, the Security Council could consider convening a briefing, ideally on a regular basis, to review the evolving cyberthreat landscape in relation to the existing mandate and agenda of the Council. Developing assessment and strategies on the evolving cyberthreat landscape by incorporating comprehensive insights from the United Nations system, the private sector, civil society and academia would ensure that the Council remains abreast of new developments and their implications for international peace and security.   例えば、安全保障理事会は、理想的には定期的にブリーフィングを開催し、進化するサイバー脅威の状況を、安全保障理事会の既存のマンデートとアジェンダとの関連で見直すことを検討することができる。国際連合シス テム、民間セクター、市民社会、学術界からの包括的 な見識を取り入れることで、進化するサイバー脅威の 状況に関するアセスメントと戦略を策定すれば、安全保障理事会は新 たな動きと国際の平和と安全に対するその影響に遅れを取 ないだろう。 
Bearing in mind the inherent cross-cutting nature of international peace and security threats emanating from cyberspace, the Security Council could also explore ways to mainstream cyber- or ICT-related concerns when discussing country-specific files or other thematic files, such as peacekeeping and peacebuilding missions, Council-mandated sanctions, women and peace and security, or non-proliferation and counter-terrorism. Enhancing cyberresilience, strengthening national cybersecurity capabilities and promoting international cooperation could also be integrated into each of these lines of effort.   安全保障理事会は、サイバー空間から発 生する国際平和と安全保障の脅威が本来、分野横断的 な性格を持つことを念頭に置き、平和維持・平和構築ミッ ション、安全保障理事会が義務づける制裁措置、女性と平和・ 安全、核不拡散・テロ対策など、国別ファイルやその他のテーマ別ファイルを討議する際、サイバーや ICT 関連の懸念を主流とする方法を模索することもできよう。サイバーレジリエンスの強化、各国のサイバーセキュリティ 能力の強化、国際協力の推進も、こうした取り組みの各ラインに組み 込むことができる。 
Furthermore, United Nations Member States could explore ways to enhance the Security Council’s capacity to respond to the malicious uses of ICTs that pose threats to international peace and security, particularly those related to the protection of civilians, critical infrastructures and humanitarian efforts, ensuring a more holistic approach to the maintenance of peace and security.   さらに、米国加盟国は、国際の平和と安全を脅かすICTsの悪意ある利用、特に民間人、重要インフラ、人道活動の保護に関連するICTsの悪意ある利用に対応する安全保障理事会の能力を強化し、平和と安全の保守に対するより総合的なアプローチを確保する方法を模索することもできよう。 
Guiding questions   指針となる質問  
These questions may help guide Member State interventions:  以下の質問は、加盟国の介入の指針となる: 
•  What are the key emerging and evolving trends of malicious activities in cyberspace that pose challenges to international peace and security?  ・国際的な平和と安全に対する挑戦となるサイバー空間における悪意ある活動で,新たに出現し,発展しつつある主な傾向とは何か。
•  How does the malicious use of ICTs serve as a “threat multiplier” on existing conflicts and challenges in ways that necessitate the engagement of the Security Council?  ・ICTの悪意ある利用は,安全保障理事会の関与を必要とする形で,既存の紛争や課題に対する「脅威の倍加」としてどのように機能するのか。
•  What specific roles and actions can the Security Council undertake to address international peace and security challenges emanating from cyberspace, and how can this role develop within its mandate in a mutually reinforcing and complimentary manner alongside the existing work of other United Nations bodies? What are the required future steps?   ・サイバー空間から派生する国際平和と安全保障上の課題に対処するため,安全保障理事会は具体的にどのような役割と行動をとることができるのか。また,この役割をその職務権限の範囲内で,他の国際連合団体の既存の活動とともに,相互補強的,補完的に発展させるにはどうすればよいのか。今後,どのようなステップが求められるのか。
• How are cyberthreats interlinked with other agenda items of the Security Council? How can the Security Council effectively mainstream cyber- or ICTrelated concerns into its existing body of work?   ・サイバー脅威は安全保障理事会の他の議題とどのように関連しているのか。安全保障理事会は,サイバーまたはICT関連の懸念を,どのようにして効果的に既存の活動に組み込むことができるのか。
Format and briefers  形式とブリーフィング 
The high-level open debate will be chaired by the Foreign Minister of the Republic of Korea, Cho Tae-yul, and Council members are encouraged to participate at the ministerial level. In order to guarantee the participation of as many Member States as possible, statements should not exceed three minutes.   ハイレベル公開討論会の議長は趙泰烈(チョ・テユル)韓国外相が務め、安全保障理事会理事国は閣僚レベルで参加することが奨励される。できるだけ多くの加盟国の参加を保証するため、発言は3分以内とする。 
The following speakers will brief the Security Council:  以下の発言者が安全保障理事会でブリーフィングを行う: 
•  Secretary-General of the United Nations, António Guterres  ・アントニオ・グテーレス国際連合事務総長
•  Stéphane Duguin, Chief Executive Officer, CyberPeace Institute  ・ステファン・デュギャン,サイバーピース機構最高経営責任者
•  Nnenna Ifeanyi-Ajufo, Professor of Law and Technology, Leeds Beckett University, United Kingdom   ・Nnenna Ifeanyi-Ajufo、リーズ・ベケット大学(英国)法律・技術学部教授  
The list of speakers for the open debate will open at 9.30 a.m. on 14 June, the third working day preceding the date of the meeting. A letter addressed to the President of the Security Council, duly signed by the Permanent Representative or the Chargé d’affaires a.i., requesting to participate in accordance with rule 37 of the provisional rules of procedure of the Council must be uploaded to the eSpeakers module of e-deleGATE.   公開討論会の登壇者リストは、会議開催日の3営業日前の6月14日午前9時30分に公開される。常任代表者または代理大使が署名した安全保障理事会議長あての書簡をe-deleGATEのeSpeakersモジュールにアップロードし、安全保障理事会暫定手続規則第37条に従って参加を要請すること。 

 

1_20240624025601

 


 

英国政府...

バーバラ・ウッドワード英国国連常駐代表の声明

GOV.UK

・2020.06.20 Cyber threats will present an ever greater number of risks to international peace and security: UK statement at the UN Security Council

 

Cyber threats will present an ever greater number of risks to international peace and security: UK statement at the UN Security Council サイバー脅威は、国際平和と安全保障にこれまで以上に多くのリスクをもたらすだろう: 国連安全保障理事会での英国の声明
Statement by UK Permanent Representative to the UN Ambassador Barbara Woodward at the UN Security Council meeting on cybersecurity. サイバーセキュリティに関する国連安全保障理事会でのバーバラ・ウッドワード英国国連代表部大使の声明。
I will touch on three trends of importance to the UK. 英国にとって重要な3つの動向について触れる。
First, as we’ve heard, ransomware can disrupt government functions and the provision of vital public services. This creates conditions for instability when occurring at scale or for sustained periods which, as this Council knows, can impact peace and security. Any state can be a victim of ransomware. This is why an international response is needed to constrict the ecosystem facilitating it and to enable all states to increase their resilience and their response capability. The UK is playing a leading role alongside Singapore as co-chairs of the policy pillar of the Counter Ransomware Initiative. We urge others to join the initiative. 第一に、ランサムウェアは政府機能や重要な公共サービスの提供を妨害する可能性がある。これは、大規模に、あるいは持続的に発生した場合、不安定な状況を作り出すものであり、本理事会がご存知のように、平和と安全に影響を与える可能性がある。どの国もランサムウェアの被害に遭う可能性がある。だからこそ、ランサムウェアを助長するエコシステムを制限し、すべての国家がレジリエンスと対応能力を向上できるようにするための国際的な対応が必要なのである。英国は、ランサムウェア対策イニシアチブの政策の柱の共同議長として、シンガポールとともに主導的な役割を果たしている。我々は、他の国々がこのイニシアティブに参加することを強く求める。
Second, as the use of AI systems in our societies grows, we need to understand how cyber threats will change, whilst identifying opportunities for AI to support our cybersecurity goals. Malicious and irresponsible actors can exploit vulnerabilities in AI systems to induce specific behaviour or manipulate its decision-making. Maintenance of international peace will require AI systems to be secure by design. That is why the UK held the first ever Council debate on AI in our presidency last year, and it’s why we published “Guidelines for Secure AI System Development” alongside the United States and a cross-regional group of eighteen states.  第二に、我々の社会におけるAIシステムの利用が拡大するにつれ、我々はサイバー脅威がどのように変化するかを理解する必要があり、同時にAIが我々のサイバーセキュリティ目標を支援する機会を特定する必要がある。悪意ある無責任な行為者は、AIシステムの脆弱性を悪用して、特定の行動を誘発したり、意思決定を操作したりすることができる。国際平和の保守には、AIシステムが設計上安全であることが必要である。英国が昨年、議長国として初めてAIに関する理事会討論を開催したのもそのためであり、米国や18カ国からなる地域横断的なグループとともに「安全なAIシステム開発のためのガイドライン」を発表したのもそのためである。
Third, malicious and irresponsible actors are also able to take advantage of the growing market in advanced cyber intrusion capabilities, leading to a more unpredictable threat landscape for us all. The UK and France invite international partners to join us in the multistakeholder Pall Mall Process as we consider approaches towards this shared concern. 第三に、悪意のある無責任な行為者も、高度なサイバー侵入能力の市場拡大を利用することができ、我々全員にとって、より予測不可能な脅威の状況をもたらしている。英国とフランスは、この共通の懸念に対するアプローチを検討するため、国際的なパートナーに、マルチステークホルダーであるポール・モール・プロセスへの参加を呼びかける。
In that context, we must continue to raise awareness of cyber threats. We are, for example, very concerned by DPRK’s use of malicious cyber activities to obtain cryptocurrencies to fund their illegal weapons programme. This is why we need to redouble our efforts to ensure effective implementation of the DPRK sanctions regime.  その中で、我々はサイバー脅威に対する認識を高め続けなければならない。例えば、我々は、朝鮮民主主義人民共和国が悪質なサイバー活動を利用して暗号通貨を入手し、違法な兵器開発計画の資金源としていることを非常に懸念している。だからこそ我々は、朝鮮民主主義人民共和国の制裁体制が効果的に実施されるよう、努力を重ねる必要がある。
And finally, cyber advances also increase the risks of disinformation. This is clearly a major challenge for our work. For Russia to accuse the UK of running a disinformation war is astonishing when their own disinformation machine has been so obviously and clearly exposed, including here at the UN. We were not the delegation who brought to the chamber and to the internet the conspiracy of weaponized bats and ducks. President, cyber threats will present an ever greater number of risks to international peace and security and governments need to evolve to address them effectively.  そして最後に、サイバーの進歩は偽情報のリスクも増大させる。これは明らかに我々の活動にとって大きな課題である。ロシアは英国が偽情報戦争を展開していると非難しているが、彼ら自身の偽情報マシーンが、ここ国連を含め、これほど明白かつ明確に暴露されているのに、驚くべきことである。我々は、武器化されたコウモリやアヒルの陰謀を議場やインターネットに持ち込んだ代表団ではない。ガバナンス、サイバー脅威は国際平和と安全保障にこれまで以上に多くのリスクをもたらすものであり、政府はそれらに効果的に対処するために進化する必要がある。
As part of this, the UK remains committed to upholding the UN Framework for Responsible State Behaviour and to working with others through capacity-building and enabling public-private partnerships. その一環として、英国は国連の責任ある国家行動の枠組みを支持し、能力構築と官民パートナーシップの実現を通じて他国と協力することに引き続きコミットする。

 

1_20240624025801

 

 

| | Comments (0)

英国 ICO コンテンツ・モデレーションとデータ保護についてのガイダンス (2024.02.16)

こんにちは、丸山満彦です。

英国の情報コミッショナーが、コンテンツ・モデレーションとデータ保護についてのガイダンスを今年の2月に公表していました...

AIによる自動化された処理についてのガイダンスも含まれていますね...

 

Information Commissioner's Office - UK GDPR guidance and resources - Online safety and data protection

| | Comments (0)

2024.06.23

デジタル庁 デジタル認証アプリをリリースします!(予告...)

こんにちは、丸山満彦です。

デジタル庁が、デジタル認証アプリを6月末にリリースする予定と発表していますね...

本人確認にマイナンバーカードのデジタル署名がさまざまな場面で使えるようになると便利で適正な世の中に近づくような気はしますね...

 

個人的には、何の罪もないマイナンバーカードがこれほど嫌われているのは、国民から政府が信頼されていないからじゃないかなぁ...と思うんですよね...

なので、政府が政策を進めようとするのであれば、全ての政策について国民が納得できるように情報開示を徹底し、真摯で丁寧な対応をし、政策評価も真面目にし、それを会計検査院がちゃんと監査してお墨付きを与えるということをやらないとね...

本来は、国民が選んだ議員からなる議会がその役割のはずで、報道機関も国民目線で批判的に政府を見ていく必要があるのでしょうけどね...

まぁ、国民が選んだ議員から多くの大臣がでていることもあるし...国民の限界=国の限界ということですかね...

 

デジタル庁

・2024.06.21 デジタル認証アプリをリリースします


「デジタル認証アプリ」は、マイナンバーカードを使った本人確認を、安全に・簡単にするためのアプリです。行政機関や民間事業者は、デジタル庁が無償で提供するAPI(デジタル認証アプリサービスAPI)を活用することで、マイナンバーカードを使った本人確認を簡単に組み込むことができます。


受付開始は、6月24日(月)午後以降となるようですね...

20240623-81949

 


 

デジタル認証アプリサービスサイト

 

 

デジタル庁開発者サイト

 

| | Comments (0)

デジタル庁 デジタル社会の形成に関する重点計画・情報システム整備計画・官民データ活用推進基本計画の変更

こんにちは、丸山満彦です。

「デジタル社会の実現に向けた重点計画」が閣議決定されたようですね。。。

内容を読む前に量に圧倒されますよね...

紙にこそしていませんが、情報が紙で扱う時と同じような感じでPDFで整理されているのは、霞ヶ関文化って感じ(^^)

まぁ、一覧性はあるか(^^)

 

デジタル庁

・2024.06.21「デジタル社会の実現に向けた重点計画」が閣議決定されました

デジタル社会の実現に向けた重点計画

目次

 

資料

20240623-71523

20240623-71650

20240623-71833

20240623-72205

20240623-72352

20240623-72552

20240623-72636

20240623-72741

20240623-72852

20240623-72942

 

 


 

 

| | Comments (0)

内閣府 経済財政運営と改革の基本方針2024

こんにちは、丸山満彦です。

令和6年6月21日、「経済財政運営と改革の基本方針2024 ~賃上げと投資がけん引する成長型経済の実現~」(骨太方針2024)が経済財政諮問会議での答申を経て、閣議決定されたとのことです...

最近、いろいろと考えることがあって、感じているのですが、計画も重要だけど、実行とその評価がより重要ですよね...

方針や計画は有識者がさまざまなデータや経験に基づいて、ねりにねって考えていて、それなりに適切なものができているのかもしれません。

が、問題はその実行と実行結果の評価、そして、それを踏まえた改善ですよね...

なんかマネジメント・システムの重要性でPDCA的な話は多いのだけれども、国の政策、企業経営全体になると、計画がよりクローズアップされ、その実行がどうなっているのか、その結果はどうだったのか、改善の余地はないのか? みたいな話は薄れていきますよね...

(政策に至ってはいつの間にか無かったことになっているものも多いような...)

ということで、国民は、この方針の実行、その結果というのを、確認する必要があるように思います。マスコミもぜひ、実行中の報道や、実行結果についての報道に力を入れていただきたいと思います。

そうすれば、より改善ができ、よりよい社会に近づくのではないかと思います。

 

あと、気になったのは、DX、GXという言葉の乱発ですね...DXは50箇所、GXは16箇所に出てきます...日本語に置き換えたら何という言葉になるのでしょうね...、(多くの人にとってDXって、ほぼバズワードって認識なので...)

 

 


 

官邸 - 閣議

・2024.06.21 持ち回り閣議案件

 

内閣府

・2024.06.21 経済財政運営と改革の基本方針2024

 

・[PDF] 経済財政運営と改革の基本方針2024 ~総論~

20240623-53617

 

・[PDF] 経済財政運営と改革の基本方針2024 ~政策ファイル~

20240623-53808

 

・[PDF] 経済財政運営と改革の基本方針2024 ~賃上げと投資がけん引する成長型経済の実現~(令和6年6月21日閣議決定)

20240623-55927

目次...

第1章 成長型の新たな経済ステージへの移行
1.デフレ完全脱却の実現に向けて
2.豊かさと幸せを実感できる持続可能な経済社会に向けて

第2章 社会課題への対応を通じた持続的な経済成長の実現
~賃上げの定着と戦略的な投資による所得と生産性の向上~
1.豊かさを実感できる「所得増加」及び「賃上げ定着」
(1)賃上げの促進
(2)三位一体の労働市場改革
(3)価格転嫁対策
2.豊かさを支える中堅・中小企業の活性化
(1) 人手不足への対応
(2) 中堅・中小企業の稼ぐ力
(3) 輸出・海外展開
3.投資の拡大及び革新技術の社会実装による社会課題への対応
(1) DX
(2) GX・エネルギー安全保障
(3) フロンティアの開拓
(4) 科学技術の振興・イノベーションの促進
(5) 資産運用立国
4.スタートアップのネットワーク形成や海外との連結性向上による社会課題への対応
(1)スタートアップの支援・ネットワークの形成
(2)海外活力の取り込み
(3)大阪・関西万博の推進
5.地方創生及び地域における社会課題への対応
(1)デジタル田園都市国家構想と地方創生の新展開
(2)デジタル行財政改革
(3)地方活性化及び交流の拡大
(4)農林水産業の持続可能な成長及び食料安全保障
6.幸せを実感できる包摂社会の実現
(1)共生・共助・女性活躍社会づくり
 
(2)安全・安心で心豊かな国民生活の実現
7. 持続的な経済成長の礎となる国際環境変化への対応
(1)外交・安全保障
(2)経済安全保障
8.防災・減災及び国土強靱化の推進
(1)防災・減災及び国土強靱化
(2)東日本大震災、能登半島地震等からの復旧・復興

第3章 中長期的に持続可能な経済社会の実現~「経済・財政新生計画」~
1.新たなステージに向けた経済財政政策
2.中期的な経済財政の枠組み
3.主要分野ごとの基本方針と重要課題

(1)全世代型社会保障の構築
(2)少子化対策・こども政策
(3)公教育の再生・研究活動の推進
(4)戦略的な社会資本整備
(5)地方行財政基盤の強化
4.改革推進のためのEBPM強化

第4章 当面の経済財政運営と令和7年度予算編成に向けた考え方
1.当面の経済財政運営について
2.令和7年度予算編成に向けた考え方


 

 

(余談)

デジタル庁のダッシュボードは実行の数についてはモニタリングできる仕組みになっていますね...(質はわかりませんが...)

アナログ規制の見直し状況に関するダッシュボード

 

| | Comments (0)

2024.06.22

東芝 「東芝グループ サイバーセキュリティ報告書2024」の発行について (2024.06.18)

こんにちは、丸山満彦です。

東芝グループが、サイバーセキュリティ報告書2024を公表していますね...

サイバーセキュリティのリスクは企業のリスクの中でも大きなリスクの一つに挙げられそうですので、ESG報告書の別冊的な位置付けでESGの一部として重要なサイバーセキュリティ分野の報告書を公表していくというのは、利害関係者とのコミュニケーション手段の一つして良いのではないかと思います。

ガバナンス、個人情報保護、社内ITインフラの保護、製品やサービスのセキュリティ、研究開発まで、網羅的に述べられていてよいですね...

 

NECは「情報セキュリティ報告書」をほぼ毎年公表していますね。。。

経済産業省が、情報セキュリティガバナンスや情報セキュリティ報告書についての政策に力をいれていたこともあって、2009年−2015年ころは少なからずの企業が公表していた時期があったんですけどね...

いまでも、情報セキュリティ報告書のモデル [PDF] ガイドラインが公表されていますが、NECや東芝のものを見ると、少し歴史を感じさせる内容となっていますね...

 

 

東芝

プレス...

・2024.06.18 「東芝グループ サイバーセキュリティ報告書2024」の発行について

報告書...

サイバーセキュリティ報告書

・[PDF]  A3 閲覧用 A4 印刷用

20240622-100528 

 

サイバーセキュリティ報告書

目次...

最高情報セキュリティ責任者(CISO)メッセージ
東芝グループサイバーセキュリティマニフェスト
東芝グループ理念体系

ビジョン・戦略
東芝グループのセキュリティビジョン
ガバナンス
セキュリティオペレーション
人材育成
プライバシーガバナンスの取り組み
個人情報保護
海外法令対応

セキュリティ確保への取り組み
社内ITインフラへの対策
 監視・検知の強化…
 EDRツールによるエンドポイント対策の強化・・インターネット接続点のセキュリティ対策
 インシデント対応への取り組み・ハッカー視点の高度な攻撃・侵入テスト
 自主監査・アセスメント..
 脅威インテリジェンスの活用
 アタックサーフェスの管理と脆弱性対応
製品・システム・サービスへの対策
 製品セキュリティを確保するための取り組み
 迅速かつ確実な脆弱性への対応
 サプライチェーンセキュリティリスクへの対応
セキュアな製品・システム・サービスの提供
研究開発
社外活動
第三者評価・認証
持続可能な開発目標(SDGS)達成に向けて

 

 

 


 

| | Comments (0)

OECD サイバーセキュリティ測定の新たな視点

こんにちは、丸山満彦です。

OECDがサイバーセキュリティ測定のための指標等の作成、分析等についての留意点をまとめたものです。サイバーセキュリティについての適切な指標等があれば、政府にとっては適切な政策策定のために、企業にとっては適切な対策策定のための重要なインプットとなりそうです...

どのような指標がどのような対策立案等のために重要かという話だけでなく、その指標は適切なものか(バイアスがないか等)も含めて考慮すべきことが多いということですよね。。。

ただ、継続的にとっていれば、一定のバイアスがあっても傾向はわかるかもしれません...

日本の場合は、まずは指標等を整理して、それからその内容を分析ということで、これからスタートに立てるのでしょうかね。。。(警察白書サイバー警察局の統計サイバー空間をめぐる脅威の情勢等不審なアクセスの観測状況、総務省の情報通信白書、NICTのNOTICE観測データ、個人情報保護委員会の年次報告等で一定の情報を継続的に収集していますし、JPCERT/CCの活動四半期報告レポートやフィッシング対策協議会の月次報告、民間企業等も一定の調査をして発表はしていますが...)

サイバーセキュリティ白書のようなものを作っていく必要があるのでしょうかね...

 

OECD

・2024.06.20 New perspectives on measuring cybersecurity

New perspectives on measuring cybersecurity サイバーセキュリティ測定の新たな視点
Measuring the various aspects of cybersecurity across countries is challenging, in part because the actors in the cybersecurity ecosystem often do not have the incentives to share key data. At the same time, people, firms and governments need to feel secure to communicate online and use Internet-based services. This statistical report provides an overview of how cybersecurity is being measured across a variety of data sources and using different methodological approaches. Beginning with a checklist of measurement considerations, the report then discusses existing data from official and non-official sources, identifying when each data source is most useful. The report then provides two proofs of concepts for measuring uncertainty related to cyber risks, or “cybersecurity uncertainty”. Measuring such uncertainty can complement existing statistics and help anticipate emerging cybersecurity trends, develop more targeted cybersecurity awareness programmes, and promote a more secure and resilient digital ecosystem. サイバーセキュリティのエコシステムの関係者が重要なデータを共有するインセンティブを持たないことが多いこともあり、国を超えてサイバーセキュリティの様々な側面を測定することは困難である。同時に、人々、企業、政府は、オンライン通信やインターネットベースのサービスを安心して利用する必要がある。本統計報告書では、さまざまなデータソースと異なる方法論的アプローチを用いて、サイバーセキュリティがどのように測定されているかを概観する。本レポートは、測定に関する検討事項のチェックリストに始まり、公式および非公式な情報源から得られた既存のデータについて論じ、それぞれのデータ源が最も有用な場合を特定している。そして、サイバーリスクに関連する不確実性、すなわち「サイバーセキュリティの不確実性」を測定するための2つの概念実証を提供している。このような不確実性を測定することで、既存の統計を補完し、新たなサイバーセキュリティの傾向を予測し、より的を絞ったサイバーセキュリティ意識向上プログラムを開発し、より安全で強靭なデジタルエコシステムを促進することができる。

 

 

・[PDF]

20240621-101410

・[DOCX][PDF] 仮訳

 

 

目次...

Foreword まえがき
1 Introduction 1 序文
2 Checklist of cybersecurity measurement considerations 2 サイバーセキュリティ測定に関する検討事項のチェックリスト
What should be measured? 何を測定すべきか?
Frequency, timeliness and comparability over space and time 空間的・時間的な頻度、適時性、比較可能性
Interpretability, incentive-compatibility and transparency 解釈可能性、インセンティブ適合性、透明性
Data sources データソース
3 Cybersecurity data from official sources 3 公的情報源からのサイバーセキュリティ・データ
Official statistical sources 公的統計資料
Administrative data 行政データ
4 Cybersecurity data from non-official sources 4 公的情報源以外からのサイバーセキュリティ・データ
Policy surveys and desk research 政策調査と机上調査
Data from private sources 民間からのデータ
5 Two innovative approaches to measuring uncertainty in cyberspace 5 サイバー空間における不確実性を測定する2つの革新的アプローチ
News reports: towards a cybersecurity uncertainty index ニュース報告書:サイバーセキュリティの不確実性指数に向けて
Online searches: another approach to constructing an index of cybersecurity uncertainty オンライン検索:サイバーセキュリティの不確実性の指標を構築するための別アプローチ
6 Conclusion 6 結論
References 参考文献
Annex A. Cybersecurity indicators in the OECD ICT Access and Use Databases 附属書A.OECD ICT Access and Use Databasesにおけるサイバーセキュリティ指標
Annex B. A case study of top related topics 附属書B.トップ関連トピックのケーススタディ
Endnotes 巻末資料

 

 

| | Comments (0)

2024.06.21

OECD 政策立案者のための暗号技術の主要概念と現在の技術動向

こんにちは、丸山満彦です。

政策立案者も暗号技術についての理解は必要ですよね...特に安全保障系の人には...

OECDから、そんな政策立案者のための暗号技術の主要概念と現在の技術動向という報告書が公表されていますね...

暗号とは、、、から始まり、経営者も読んだ方が良い内容かもです...

 

OECD

・2024.06.20 Key concepts and current technical trends in cryptography for policy makers

 

Key concepts and current technical trends in cryptography for policy makers 政策立案者のための暗号技術の主要概念と現在の技術動向
This report introduces cryptography to policy makers and includes key concepts such as symmetric and asymmetric cryptography, public key infrastructure, and end-to-end encryption. It discusses advancements in homomorphic encryption, which allows computations to be performed on encrypted data without decrypting it first and accessing the secret key. Often described as “the holy grail of cryptography”, homomorphic encryption remains a promising area of research rather than a fully developed technology. The report also addresses quantum technologies, which could pose a threat to the foundations of public key cryptography, potentially undermining trust in the digital ecosystem. While current quantum computers are far from causing such disruptions, a transition to quantum-resistant (or post-quantum) cryptography is essential today to address their future impact. Additionally, quantum cryptography shows significant promise for secure communications but is not yet suitable for sensitive applications. 本レポートでは、政策立案者向けに暗号技術を紹介し、対称暗号、非対称暗号、公開鍵基盤、エンド・ツー・エンド暗号などの主要概念を盛り込んだ。また、暗号化されたデータを復号し、秘密鍵にアクセスすることなく計算を行うことを可能にする準同型暗号の進歩についても触れている。準同型暗号は、しばしば「暗号技術の聖杯」と評されるが、完全に開発された技術ではなく、依然として有望な研究分野である。報告書はまた、公開鍵暗号の基盤に脅威をもたらし、デジタル・エコシステムの信頼を損なう可能性のある量子技術も取り上げている。現在の量子コンピュータはそのような破壊を引き起こすには程遠いが、将来的な影響に対処するためには、耐量子(またはポスト量子)暗号への移行が今日不可欠である。さらに、量子暗号は安全なコミュニケーションに大きな可能性を示しているが、機密性の高いアプリケーションにはまだ適していない。

 

・[PDF]

20240621-64744

 

目次...

Foreword まえがき
Executive summary エグゼクティブサマリー
1 Introduction 1 序文
Fostering trust without jeopardising public safety 公共の安全を損なうことなく信頼を醸成する
A brief overview of the “crypto wars” 暗号戦争」の概要
2 What is cryptography? 2 暗号とは何か?
Symmetric and asymmetric cryptography are the two main cryptosystems 対称暗号と非対称暗号が2つの主要な暗号システムである
Cryptography is a vital foundation of the digital world 暗号はデジタル世界の重要な基盤である
End-to-end encryption エンド・ツー・エンドの暗号化
Breaking cryptography 暗号を破る
3 Key trends in cryptography: towards future disruptions? 3 暗号技術の主なトレンド:将来の破壊に向けて?
Homomorphic Encryption: the “Holy Grail” of cryptography? 準同型暗号:暗号の「聖杯」か?
Quantum information technologies: a disruptive innovation that presents both opportunities and dangers 量子情報技術:チャンスと危険の両方をもたらす破壊的イノベーション
Technical and other responses to the law enforcement challenge: a trend towards more targeted approaches? 法執行の課題に対する技術的およびその他の対応:より的を絞ったアプローチへの傾向?
4 Conclusion 4 まとめ
References 参考文献
Notes 備考

 

エグゼクティブサマリー

Executive summary  エグゼクティブサマリー
This report provides a basic introduction to cryptography for policy makers, including key concepts such as symmetric and asymmetric cryptography, public key infrastructure, end-to-end encryption, cryptanalysis, etc. The bulk of the report is a discussion of disruptive developments in homomorphic encryption and quantum-related cryptographic research. The following key points emerge from the research.  本レポートでは、政策立案者向けに、対称・非対称暗号、公開鍵基盤、エンド・ツー・エンド暗号、暗号解析などの主要概念を含む暗号の基本的な入門書を提供する。本レポートの大部分は、準同型暗号と量子関連の暗号研究における破壊的な発展についての議論である。研究からは以下の重要なポイントが浮かび上がってくる。
Cryptography is a fundamental digital security technology at the core of digital trust. Although most people rarely notice its use and barely understand how it works, it is the technical building block supporting user trust in their devices, software, and communications for personal, commercial, legal, business, governmental and other purposes. Cryptography supports the confidentiality and integrity of data in communication (in transit) and in storage (at rest). Digital signatures provide authenticity of information and prevent an involved party from denying its responsibility related to that information, such as authoring or sending it.   暗号は、デジタルの信頼の中核をなす基本的なデジタル・セキュリティ技術である。ほとんどの人はその使用にほとんど気づかず、その仕組みもほとんど理解していないが、個人、商業、法律、ビジネス、政府、その他の目的において、デバイス、ソフトウェア、コミュニケーションに対するユーザーの信頼を支える技術的構成要素である。暗号は、コミュニケーション(輸送中)やストレージ(保管中)におけるデータの機密性と完全性をサポートする。デジタル署名は情報の認可を提供し、関係者がその情報の作成者や送信者など、その情報に関する責任を否定することを防ぐ。 
The implementation of any technology, cryptography included, can introduce weaknesses and technological developments such as homomorphic cryptography and quantum information technologies are creating new opportunities and challenges for cryptography.    暗号を含むあらゆる技術の実装には弱点があり、同型暗号や量子情報技術のような技術開発は、暗号に新たな機会と課題を生み出している。  
Homomorphic encryption is an innovative cryptographic method that allows certain computations to be performed on encrypted data without the need to decrypt it first, and without requiring access to the secret key. Once mature, it could allow processing of financial, medical, location, and other confidential data without revealing their content or affecting privacy. Such data processing could take place in untrusted environments like public cloud infrastructures, reducing concerns such as data localisation and data breaches.   準同型暗号は、暗号化されたデータに対して、最初に復号することなく、また秘密鍵にアクセスすることなく特定の計算を行うことを可能にする革新的な暗号手法である。これが成熟すれば、金融、医療、位置情報、その他の機密データを、その内容を明らかにすることなく、プライバシーに影響を与えることなく処理できるようになる。このようなデータ処理は、パブリック・クラウド・インフラストラクチャーのような信頼されていない環境で行われる可能性があり、データのローカライズやデータ漏洩などの懸念を軽減することができる。 
However, fully homomorphic encryption (FHE) is still just a promising area of research rather than a mature disruptive technology. It is often described as “the holy grail of cryptography”. Homomorphic encryption is available today, but only with algorithms that have significant performance, correctness, and usability limitations and weaknesses, restricting their potential use to niche applications. However, significant research and standardisation efforts to achieve FHE are underway and, according to some experts, today this technology is perhaps where machine learning was ten years ago.   しかし、準同型暗号(FHE)は成熟した破壊的技術というよりは、まだ有望な研究分野に過ぎない。FHEはしばしば「暗号技術の聖杯」と表現される。準同型暗号は今日利用可能だが、性能、正しさ、使いやすさに大きな制限と弱点を持つアルゴリズムに限られており、潜在的な利用はニッチなアプリケーションに限られている。しかし、FHEを実現するための多大な研究と標準化の努力が進められており、一部の専門家によれば、今日、この技術はおそらく10年前の機械学習の位置にある。 
Quantum technologies, which leverage physical properties of particles at the subatomic level, have the potential to threaten the foundations of public key cryptography and undermine our economies’ digital trust. In theory, a mature quantum computer would multiply processing power and speed by several orders of magnitude, allowing it to solve some of the most complex challenges of our time, for example in genetic, materials and climate sciences. However, a mature quantum computer could also easily break public key cryptography by solving the mathematical problems at its core that currently guarantee its robustness. This would have immense consequences because the vulnerability of these cryptosystems to a quantum attack would lead to the vulnerability of all security protocols that derive security from public key cryptography, and of any product or security system deriving security from these protocols. In brief, this would break the security of most, if not all, encrypted data in storage and in transit.   素粒子レベルの物理的特性を活用する量子技術は、公開鍵暗号の基盤を脅かし、経済のデジタル的信頼を損なう可能性を秘めている。理論的には、成熟した量子コンピューターは処理能力と速度を数桁向上させ、遺伝子科学、材料科学、気候科学など、現代における最も複雑な課題の解決を可能にする。しかし、成熟した量子コンピューターは、現在その堅牢性を保証している核となる数学的問題を解くことで、公開鍵暗号を簡単に破ることもできる。なぜなら、量子攻撃に対するこれらの暗号システムの脆弱性は、公開鍵暗号から安全性を得ているすべてのセキュリティ・プロトコルや、これらのプロトコルから安全性を得ているあらゆる製品やセキュリティ・システムの脆弱性につながるからである。簡単に言えば、暗号化されたデータの保存中や転送中のセキュリティが、すべてではないにせよ、ほとんど壊れてしまうということだ。 
The race to develop more powerful quantum computers is accelerating, but current quantum computers are still several orders of magnitude away from threatening current cryptographic algorithms. Significant public and private research investments in OECD countries and beyond are boosting quantum computing research. However, design and engineering challenges are extremely significant and overcoming them in a short timeframe would require a concerted research programme of an Apollo or Manhattan project’s scale. That makes estimating a realistic timeframe for the development of a quantum computer capable of breaking current cryptography very difficult.  より強力な量子コンピュータの開発競争は加速しているが、現在の量子コンピュータが現在の暗号アルゴリズムを脅かすには、まだ数桁遠い。OECD諸国をはじめとする国々では、官民による多額の研究投資が量子コンピュータ研究を後押ししている。しかし、設計や工学的な課題は非常に大きく、短期間で克服するには、アポロ計画やマンハッタン計画のような規模の共同研究プログラムが必要となる。そのため、現在の暗号を破ることのできる量子コンピューターの開発期間を現実的に見積もることは非常に困難である。
Nevertheless, tomorrow’s quantum computing impact on cryptography must be addressed today. There is evidence that some countries have already taken an “intercept and store now, decrypt later” approach, collecting high-value encrypted data today with the expectation to decrypt it later once a quantum computer is available to them (a “retroactive attack”). At that time, stakeholders will face a rapid collapse of their cryptographic architecture and will have little time to react. Long-term confidentiality protection is essential for the most sensitive encrypted data − from genetic, biometric, financial and other sensitive personal data to state secrets, long-term business development data and negotiation information. It is also critical for high-value, root-level public keys that are intended to have long operational lifetimes.  とはいえ、量子コンピューターが暗号技術に与える明日の影響については、今日中に対処しなければならない。一部の国はすでに「今は傍受して保存し、後で復号化する」というアプローチを取っており、価値の高い暗号化されたデータを現在収集し、後で量子コンピュータが可用性攻撃("retroactive attack")が可能になれば復号化することを想定している。その時、関係者は暗号アーキテクチャの急速な崩壊に直面し、対応する時間はほとんどないだろう。遺伝子データ、生体データ、金融データ、その他機密性の高い個人データから、国家機密、長期的な事業開発データ、交渉情報に至るまで、最も機密性の高い暗号化データには長期的な機密保護が不可欠である。また、運用寿命が長いことを前提とした、価値の高いルート・レベルの公開鍵にも不可欠である。
The solution to address this challenge is the progressive transition from current quantum vulnerable cryptographic algorithms to quantum resistant cryptography (QRC). Considering the significant and growing research investments in quantum technologies, experts are sounding the alarm and calling for a transition to QRC sooner rather than later. QRC, also known as post-quantum, quantum safe or quantum secure cryptography, is a family of new cryptographic algorithms that are immune to attacks leveraging both traditional and quantum computers, and that can be executed on traditional computers with traditional communication channels. Cybersecurity agencies from Australia, Canada, France, Germany, the United Kingdom, and the United States are encouraging stakeholders to start transitioning their products and information systems’ security towards using QRC, a process that may take many years to complete. Several QRC algorithms have already been tested and selected through an international process carried out by the US National Institute for Standards and Technologies (NIST).   この課題に対処する解決策は、現行の量子脆弱性暗号アルゴリズムから耐量子暗号(QRC)への漸進的な移行である。量子技術への研究投資が大幅に増加していることを考慮すると、専門家は警鐘を鳴らし、早急にQRCへの移行を呼びかけている。QRCは、ポスト量子暗号、量子安全暗号、量子セキュア暗号とも呼ばれ、従来のコンピュータと量子コンピュータの両方を利用した攻撃に耐性があり、従来の通信チャネルを持つ従来のコンピュータで実行可能な新しい暗号アルゴリズム群である。オーストラリア、カナダ、フランス、ドイツ、英国、米国のサイバーセキュリティ機関は、自社の製品や情報システムのセキュリティをQRCに移行するよう関係者に呼びかけている。すでにいくつかのQRCアルゴリズムは、米国国立標準技術研究所(NIST)が実施した国際的なプロセスを通じてテストされ、選定されている。 
Quantum cryptography, also known as quantum key distribution (QKD), also carries an enormous potential for more secure communications, but is not yet ready for sensitive applications. It is a cryptography technology based on quantum communications that takes advantage of the laws of physics rather than mathematical complexity to ensure confidentiality. In theory, quantum cryptography, which is available today, can remain secure regardless of the amount of processing power and mathematical innovation an adversary uses to defeat it. However, it requires expensive, dedicated equipment with extremely low tolerance for error to leverage the quantum state of micro particles. This is the main reason many cybersecurity agencies discourage its use for sensitive applications at this point, and instead call for the adoption of QRC, which can run on existing computers.   量子暗号は、量子鍵配送(QKD)としても知られ、より安全なコミュニケーションを実現する大きな可能性を秘めているが、機密性の高いアプリケーションにはまだ対応できていない。量子コミュニケーションに基づく暗号技術で、数学的な複雑さではなく物理法則を利用して機密性を確保する。理論的には、今日利用可能な量子暗号は、敵がそれを破るためにどれだけの処理能力や数学的な革新を用いても、安全性を保つことができる。しかし、微粒子の量子状態を利用するためには、エラーに対する許容度が極めて低く、高価な専用機器が必要となる。これが、多くのサイバーセキュリティ機関が、現時点では機密性の高いアプリケーションへの利用を控え、代わりに既存のコンピューターで実行可能なQRCの採用を呼びかけている主な理由である。 

 

 

| | Comments (0)

OECD 子どものためのデザインによるデジタル・セーフティを目指す

こんにちは、丸山満彦です。

OECDが、子どものためのデザインによるデジタル・セーフティを目指すという報告書を公表していますね...

こどもの成長に応じて、デジタル製品やサービスに安全対策を積極的に組み込むこと、また透明性が高く、説明責任を果たし、子どもに優しいサービスを提供することが重要となりますよね...

興味深い内容となっていますね...

 

さて、日本では、個人情報保護法の見直し議論の中に子供のプライバシー保護の話がでてきていますが、それも含めて、デジタル化時代における子供の保護のあり方というのを、日本もちゃんと考えた方が良いのでしょうね。。。

せっかく、こども家庭庁もでき、こども基本法もできたことですしね...こども政策推進会議の議論ってどうなっているのだっけ...

2023.12.22に策定された[PDF]「こども大綱」には、プライバシーもセキュリティの言葉はでてきませんね...個人情報については、政策に生かすために子供から意見を聴衆する際に個人情報に気をつけるという意味で使われていますね...ちなみに、デジタルという用語は三箇所...

 

 

OECD 

・2024.06.13 Towards digital safety by design for children

Towards digital safety by design for children 子どものためのデザインによるデジタル・セーフティを目指す
Child rights advocates, parents, governments, and children themselves are increasingly calling for digital safety by design, so that children can be protected online, and also benefit from positive digital experiences. However, the exact meaning of digital safety by design can be unclear. This report explores the concept, considering how it is addressed at international and national levels. Internationally, there are common calls for the proactive integration of safety measures into digital products and services, as well as for transparent, accountable and child-friendly service delivery. National laws prescribe practical tools and measures such as age assurance and accessible complaint mechanisms. Focusing on actions for digital service providers, the report suggests eight key components for digital safety by design for children, including practical tools, measures to foster a culture of safety, and harm mitigation strategies. These components are illustrated through case studies, highlighting a need for diverse and tailored approaches. 子どもの権利擁護者、保護者、ガバナンス、そして子どもたち自身が、デザインによるデジタル・セーフティを求めるようになっている。しかし、デザインによるデジタル・セーフティの正確な意味は不明確である。本報告書では、このコンセプトが国際レベルおよび国内レベルでどのように取り組まれているかを考察する。国際的には、デジタル製品やサービスに安全対策を積極的に組み込むこと、また透明性が高く、説明責任を果たし、子どもに優しいサービスを提供することが、共通して求められている。国内法では、年齢保証や利用しやすい苦情処理メカニズムなど、実用的な手段や措置が規定されている。本報告書は、デジタル・サービス・プロバイダの行動に焦点を当て、実践的なツール、安全文化を醸成するための方策、被害低減戦略など、子どものためのデジタル・セーフティ・バイ・デザインのための8つの重要な構成要素を提案している。これらの構成要素はケーススタディを通じて説明されており、多様でそれぞれに合ったアプローチの必要性が強調されている。

 

・[PDF

20240621-15302

 

Foreword  まえがき 
Executive summary  エグゼクティブサマリー
1 Introduction  1 序文 
2 Existing by design approaches  2 デザインによるアプローチ 
 Designing for safety offline   オフラインでの安全設計 
 Digital by design concepts   デジタル・バイ・デザインのコンセプト 
What lessons can be drawn from other by design approaches and applied to digital safety by design for children?  他のバイ・デザイン・アプローチからどのような教訓を引き出し、子どものためのデジタル・セーフティ・バイ・デザインに適用できるか?
3 International initiatives to understand and promote digital safety by design for children  3 子どものためのデジタル・セーフティ・バイ・デザインを理解し推進するための国際的な取り組み 
4 Existing and emerging laws and policies on digital safety encompassing children  4 子どもを包含するデジタル安全に関する既存の、そして新たな法律や政策 
5 Dedicated regulatory agencies focusing on digital safety, including for children  5 子どもを含むデジタル・セーフティに特化した規制機関 
6 Key components of digital safety by design for children  6 子ども向けデジタル・セーフティ・バイ・デザインの主な構成要素 
 Employing age assurance mechanisms   年齢保証メカニズムの採用 
 Considerations for implementing child-centred design   子ども中心の設計を実施するための考慮事項 
 Preventing and detecting harm   危害の防止と検知 
 Protecting children’s privacy and personal data   子どものプライバシー・個人データの防御 
 Ensuring child-friendly information provision   子どもに優しい情報提供の確保 
 Facilitating complaints and redress   苦情と救済の促進 
 Encouraging child participation and putting children at the centre of decision making   子どもの参加を促し、意思決定の中心に子どもを据える 
 Promoting a culture of safety and well-being   安全と福祉の文化を促進する 
7 Case Studies  7 ケーススタディ 
 Risk profile   リスクプロファイル 
 Risk profile   リスクプロファイル 
 Risk profile   リスクプロファイル 
8 Conclusion and Next Steps  8 まとめと次のステップ 
References  参考文献 
Notes  備考 
TABLES  表 
Table 3.1. Overview of selected international guidance documents on digital safety by design for children  表3.1. 子どものためのデジタル・セーフティ・バイ・デザインに関する主な国際ガイダンス文書の概要 
Table 4.1. Overview of selected laws from OECD Member Countries on digital safety encompassing children  表4.1. 子どもを含むデジタル・セーフティに関するOECD加盟国の法律(抜粋)の概要 
Table 5.1. Examples of selected regulatory agencies focusing on digital safety  表5.1. デジタル・セーフティに重点を置く規制機関の例 
Table 7.1. Safety measures necessary for different kinds of digital services  表7.1. さまざまな種類のデジタルサービスに必要な安全対策 
BOXES  囲み記事 
Box 1.1. OECD Work on Children in the Digital Environment  囲み記事1.1. デジタル環境における子どもに関するOECDの取り組み 
Box 2.1. Children’s rights by design and playful by design  囲み記事2.1. デザインによる子どもの権利とデザインによる遊び心 
Box 4.1. The Australian eSafety Commissioner’s Safety by Design principles and vision for young people  囲み記事4.1. オーストラリアのeSafetyコミッショナーが提唱する「Safety by Design」の原則と青少年のためのビジョン 
Box 4.2. The EU’s Better Internet for Kids (BIK+) Strategy  囲み記事4.2. EUのBetter Internet for Kids(BIK+)戦略 
Box 4.3. The Children Online Protection Laboratory  囲み記事4.3. 子どもオンライン防御研究所(Children Online Protection Laboratory 
Box 6.1. Examples of age assurance methods  囲み記事6.1. 年齢保証の方法の例 
Box 6.2. The RITEC framework  囲み記事6.2. RITECの枠組み 
Box 6.3. Privacy by Design Initiatives    囲み記事6.3. プライバシー・バイ・デザインの取り組み   
Box 6.4. Child-friendly and accessible complaint mechanisms  囲み記事6.4. 子どもにやさしく、利用しやすい苦情処理メカニズム 
Box 6.5. Australia’s eSafety Youth Council  囲み記事6.5. オーストラリアのeセーフティ青少年協議会 
Box 7.1.  Digital Service Directed at Children  囲み記事7.1.  子ども向けデジタルサービス 
Box 7.2. Digital Service Directed at Both Children and Adults  囲み記事7.2. 子どもと大人の両方を対象としたデジタルサービス 
Box 7.3. Digital Service Directed at Adults  囲み記事7.3. 大人向けデジタルサービス 

 

エグゼクティブサマリー...

Executive summary   エグゼクティブサマリー
The digital environment is an integral part of children's lives, offering them unprecedented opportunities but also presenting significant risks to their safety. As this environment evolves, the need for robust safety measures becomes more urgent. Digital safety by design for children is a means of keeping children safe in the digital environment whilst allowing them to seize opportunities to enjoy its benefits. Just as physical products and spaces for children are designed to prioritise their safety, so should be the digital products and spaces children use and inhabit.   デジタル環境は子どもたちの生活に不可欠な要素であり、これまでにない機会を提供する一方で、子どもたちの安全にとって重大なリスクももたらしている。この環境が進化するにつれて、強固な安全対策の必要性はより緊急性を増している。子どものためのデジタル・セーフティ・デザインは、デジタル環境において子どもの安全を確保する一方で、その恩恵を享受する機会をつかむことを可能にする手段である。子どものための物理的な製品や空間が子どもの安全を優先して設計されているように、子どもが使用し、居住するデジタル製品や空間もそうあるべきである。 
However, a clear understanding of the concept of digital safety by design for children, both in theory and in practice, can be elusive. This paper provides an overview of digital safety by design for children, what it encompasses, and how it can respond to the needs and vulnerabilities of children in the digital environment. The key findings of the report are:  しかし、子どものためのデジタル・セーフティ・バイ・デザインのコンセプトを、理論的にも実践的にも明確に理解することは難しい。本稿では、子どものためのデジタル・セーフティ・バイ・デザインの概要、それが包含するもの、そしてデジタル環境における子どものニーズと脆弱性にどのように対応できるかについて述べる。本報告書の主な発見は以下の通りである: 
There are increasing international calls for proactive digital safety measures for children  子どものための積極的なデジタル安全対策を求める声が国際的に高まっている。
A growing international consensus highlights the necessity of digital safety by design for children. This report reviews different international guidance materials concerning children online and shows that, whilst there is no uniform definition of digital safety by design across them, all the initiatives stress the importance of integrating safety considerations at the outset of product or service development. Other common themes are transparency and accountability, tailored user experiences and child-friendly service provision. Some documents highlight the importance of continually adapting services to respond to new risks, and all stress the importance of protecting children’s privacy. The growing international consensus on the need for digital safety by design for children goes hand in hand with a global prioritisation of children's digital well-being and a focus on the responsibility of digital service providers to safeguard children.  国際的なコンセンサスが高まっており、子どものためのデジタル・セーフティ・バイ・デザインの必要性が強調されている。本報告書では、オンライン上の子どもたちに関するさまざまな国際的ガイダンス資料をレビューし、デジタル・セーフティ・バイ・デザインの定義に統一性はないものの、すべてのイニシアティブが、製品やサービス開発の初期段階で安全への配慮を統合することの重要性を強調していることを示している。その他の共通テーマは、透明性と説明責任、ニーズに合わせたユーザー体験、子どもに優しいサービス提供である。また、新たなリスクに対応するためにサービスを継続的に変化させることの重要性を強調している文書もあり、すべての文書が子どものプライバシー保護の重要性を強調している。子どものためのデジタル・セーフティ・デザインの必要性に関する国際的なコンセンサスの高まりは、子どものデジタル・ウェルビーイングを世界的に優先させ、デジタルサービス・プロバイダが子どもを保護する責任を重視することと密接に関係している。
More jurisdictions are enacting laws that encompass digital safety by design for children, but they bring a risk of international regulatory fragmentation  子どものためのデジタル・セーフティ・バイ・デザインを包含する法律を制定する国・地域が増えているが、それは国際的な規制の分断というリスクをもたらしている。
Across the OECD, a growing number of new regulatory bodies focus on digital safety and several jurisdictions have enacted digital oversight legislation that places children's safety at the forefront. These laws often require practical tools and measures, such as age assurance, accessible complaint mechanisms, and mandatory reporting on safety measures. At the same time, digital safety for children is a global issue, and should jurisdictions act in isolation there will be a risk of regulatory fragmentation. A rights-respecting approach, as well as multi-stakeholder dialogue and co-operation at a forum such as the OECD, can assist in avoiding such fragmentation and support effective digital safety policies that protect children and promote their well-being.  OECD加盟国全体では、デジタル・セーフティに焦点を当てる新たな規制団体の数が増えており、子どもの安全を最重要視するデジタル監視法を制定した法域もいくつかある。これらの法律は、年齢保証、アクセス可能な苦情処理メカニズム、安全対策に関する報告義務など、実用的なツールや対策を求めていることが多い。同時に、子どものデジタル・セーフティは世界的な問題であり、各法域が単独で行動すれば、規制が分断されるリスクもある。権利尊重のアプローチと、OECDのようなフォーラムにおけるマルチステークホルダー対話と協力は、このような分断を回避し、子どもを保護し、その幸福を促進する効果的なデジタルセーフティ政策を支援するのに役立つ。
Other “by design” approaches offer insights for digital safety by design for children   他の「バイ・デザイン」アプローチは、子どものための「デジタル・セーフティ・バイ・デザイン」のための洞察を提供する。 
Lessons can be drawn from other frameworks that incorporate safeguards at the level of design - both offline safety by design examples, and other digital by design frameworks (such as privacy by design and security by design). Essential elements include proactive safety integration, user-centred design, continuous risk evaluation, and clear accountability and transparency.   オフラインのセーフティ・バイ・デザインの例や、その他のデジタル・バイ・デザインのフレームワーク(プライバシー・バイ・デザイン、セキュリティ・バイ・デザインなど)など、デザインのレベルでセーフガードを組み込む他のフレームワークから教訓を引き出すことができる。不可欠な要素としては、プロアクティブな安全性の統合、ユーザー中心の設計、継続的なリスク評価、明確な説明責任と透明性などがある。 
Digital safety by design for children requires several elements  子どものためのデジタル・セーフティ・バイ・デザインには、いくつかの要素が必要である。
The paper outlines key components for digital safety by design for children. Whilst the paper does not attempt to provide a comprehensive overview of what should be encompassed in digital safety by design initiatives for children, together, the following key components can contribute to a safer digital environment for children:   本稿では、子どものためのデジタル・セーフティ・バイ・デザインのための主要な要素を概説する。本稿は、子どものためのデジタル・セーフティ・バイ・デザインに包含されるべきものの包括的な概観を提供することを試みているわけではないが、以下の主要な構成要素を組み合わせることで、子どもにとってより安全なデジタル環境に貢献することができる:  
• Employing age assurance mechanisms: To provide age-appropriate experiences, digital service providers need to know which of their users are children. Age assurance is important for this purpose, but consideration should be given to potential solutions’ accuracy, usability, privacy preservation and risk proportionality.   ・年齢保証の仕組みを採用する: 年齢に応じた体験を提供するために、デジタルサービスのプロバイダは、どのユーザーが子どもであるかを知る必要がある。年齢保証はこの目的のために重要であるが、潜在的なソリューションの正確性、使いやすさ、プライバシー保護、リスク比例性についても考慮すべきである。
• Implementing child-centred design: Child-centred design puts the evolving needs, preferences, and safety of children at the core of product and service development. This approach aims to ensure that digital products and services are not only accessible and engaging for young users, but inherently safe and beneficial, as well, and that they remain so as children mature.  ・子ども中心の設計を実施する: 子ども中心の設計は、製品やサービス開発の中核に、子どもの進化するニーズ、嗜好、安全性を据えるものである。このアプローチは、デジタル製品やサービスが、幼いユーザーにとって利用しやすく魅力的であるだけでなく、本質的に安全で有益なものであり、子どもが成長してもその状態が維持されることを保証することを目的としている。
• Detecting and preventing harm: Digital service providers can proactively identify and mitigate risks by implementing technical safety measures, such as advanced detection systems, default settings, content filters, and real-time monitoring tools. Specific attention should be paid to the risks posed by such measures and to their compliance with existing regulations.  ・危害の検知と防止: デジタルサービス・プロバイダは、高度な検知システム、デフォルト設定、コンテンツ・フィルター、リアルタイム監視ツールなどの技術的安全対策を実施することで、リスクを積極的に特定し、軽減することができる。このような対策がもたらすリスクと、既存の規制への準拠に特に注意を払うべきである。
• Protecting children's privacy and personal data: Breaches of children’s privacy and the misuse of their data can directly affect their safety. Accordingly, when digital service providers prioritise privacy by design and offer clear privacy settings, it advances safety by design.  ・子どものプライバシーと個人データの防御: 子どものプライバシー侵害やデータの悪用は、子どもの安全に直接影響する。したがって、デジタルサービスのプロバイダがプライバシーを優先し、明確なプライバシー設定を提供することは、デザインによる安全性を高めることになる。
• Ensuring child-friendly information provision: Children need to understand the digital spaces they inhabit. Consequently, they need clear, timely, accessible, and age-appropriate information about how digital services work, the risks involved, and how they can be protected.   ・子どもに優しい情報提供を確保する: 子どもたちは、自分たちが住むデジタル空間を理解する必要がある。そのため、デジタルサービスの仕組み、関連するリスク、保護方法について、明確で、タイムリーで、アクセスしやすく、年齢に応じた情報が必要である。
• Facilitating complaints and redress: Empowering children to voice concerns and seek remedies is crucial. By establishing clear, user-friendly, accessible and age-appropriate channels for reporting issues and ensuring timely and effective responses, service providers demonstrate a commitment to children’s safety and help uphold trust in the digital ecosystem.  ・苦情と救済を促進する: 子どもたちが懸念を表明し、救済を求める力を与えること は極めて重要である。問題を報告し、タイムリーで効果的な 対応を確保するために、明確で、使いやすく、アクセス 可能で、年齢に応じた手段を確立することで、トラスト サービス・プロバイダは、子どもの安全へのコミット メントを示し、デジタル・エコシステムにおける信頼を維持 する一助となる。
• Encouraging child participation and putting children at the centre of decision-making: Children are active digital citizens and both service providers and policymakers should involve children in discussions about online safety, design processes, and policy formulation. By giving children a seat at the table, stakeholders can help to ensure that the digital environment is shaped with children’s best interests at heart.  ・子どもの参加を促し、意思決定の中心に子どもを据える: 子どもたちは積極的なデジタル市民であり、プロバイダも政策立案者も、オンライン安全、設計プロセス、政策策定に関する議論に子どもたちを参加させるべきである。子どもたちに議論の席を与えることで、関係者は、デジタル環境が子どもたちの最善の利益を念頭に置いて形成されるようにすることができる。
• Promoting a culture of safety and well-being: Promoting a culture of safety and well-being is essential to developing responsible corporate culture that prioritises children’s safety.   ・安全と福祉の文化を促進する: 安全と福祉の文化を促進することは、子どもの安全を優先する責任ある企業文化を発展させるために不可欠である。
Finally, this paper provides case studies that demonstrate diverse digital safety strategies across platforms, highlighting the need for tailored approaches based on unique risk profiles. These realworld examples emphasise that a one-size-fits-all solution would be inadequate. Instead, promoting children's safety requires adaptable measures, especially given that merely labelling a service as “not for children” does not guarantee protection.   最後に、本稿では、プラットフォーム間の多様なデジタル・セイフティ戦略を示すケーススタディを提供し、独自のリスクプロファイルに基づくテーラーメイドのアプローチの必要性を強調する。これらの実例は、画一的な解決策では不十分であることを強調している。特に、単に「子ども向けではない」と表示するだけでは保護が保証されないことを考えると、子どもの安全を促進するには、適応可能な対策が必要である。