« August 2024 | Main | October 2024 »

September 2024

2024.09.30

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「親分でまとまる集団とルールでまとまる集団とIDFに対するちょっとした提案」

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

 IDF - Column

・2024.09.26 第841号コラム:「親分でまとまる集団とルールでまとまる集団とIDFに対するちょっとした提案」

「親分でまとまる集団」と「ルールでまとまる集団」というのは、実は、中根千枝先生の縦社会と横社会の話です。これをベースにIDFにちょっとした提案をしています。

5_20240911214501

 

さて、私の提案はどうですかね...

 

蛇足;自民党の総裁選がありましたね...自民党以外は選挙に参加できないので、まぁ、眺めているしかないのですけど...

さて、政党というのは、そもそもある政策の方向性(ある意味ルール)のもとに集まるものという気がします。英国の国民党と労働党、米国の民主党と共和党、、、日本の政党はどういう集まりか?というのを考える上でも参考になるかもです。どうして、日本では二大政党のような構造ができないのか???

 


 

私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

 

No Date Title
31 841 2024.09.26 親分でまとまる集団とルールでまとまる集団とIDFに対するちょっとした提案
30 806 2024.01.25 気候風土と社会
29 780 2023.07.31 国家安全保障戦略 ― 何をだれから守るのか? 国益 (National Interests) とは何か?
28 754 2023.01.31 「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない
27 731 2022.08.22 サイバー空間の安全に向けて: All for one, One for all
26 702 2022.01.31 サイバーセキュリティは空気のように社会全体に拡がる
25 678 2021.08.16 ティラノサウルスとスズメ
24 650 2021.02.01 データを科学的に分析する
23 627 2020.08.17 若者のサイバー犯罪を無くしたい。。。
22 600 2020.02.03 デジタルフォレンジックスと多様性
21 578 2019.08.26 未来を考えようと思うとき、人は過去を振り返る
20 551 2019.02.11 とらわれずに物事をみつめる
19 521 2018.07.09 AIは科学捜査を騙せるか?
18 493 2017.12.18 セキュリティ・デバイド?
17 474 2017.08.07 『デジタル・フォレンジック』という言葉を今更考える
16 451 2017.02.20 相手を知ることが重要
15 425 2016.08.15 本質を理解する
14 383 2015.10.12 名ばかりCSIRTで良いのか?
13 357 2015.04.13 IoT時代は明るいか暗いか
12 335 2014.11.03 頭を下げるのは社長です
11 308 2014.04.30 標的型攻撃には内部不正対応が重要?
10 286 2013.11.14 セキュリティガバナンスはできる範囲だけやればよいのか?
09 261 2013.05.23 セキュリティの基本はずっとかわっていない
08 240 2012.12.25 さらに組織化が進むサイバー攻撃集団
07 207 2012.05.10 外部から侵入されている想定で情報セキュリティを考える
06 173 2011.09.08 想定外に対応するのが危機管理ではないか
05 139 2011.01.13 データ分析を使った不正発見手法
04 131 2010.11.11 発見的統制の重要性
03 084 2009.12.10 クラウドコンピューティングがもたらす光と影
02 058 2009.06.11 不正をさせない
01 021 2008.09.25 ニーズとシーズ、目的と手段

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.30 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「親分でまとまる集団とルールでまとまる集団とIDFに対するちょっとした提案」

・2024.01.30 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「気候風土と社会」

・2023.08.01 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「国家安全保障戦略 ― 何をだれから守るのか? 国益 (National Interests) とは何か?」

・2023.01.31 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない」

・2022.08.22 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバー空間の安全に向けて: All for one, One for all」

・2022.01.31 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバーセキュリティは空気のように社会全体に拡がる」

・2021.08.17 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「ティラノサウルスとスズメ」

・2021.02.03 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「データを科学的に分析する」

・2020.08.19 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦

・2020.06.11 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦

 

| | Comments (0)

米国 英国 イラン国家のために活動するサイバー行為者について警告をし、大統領選を妨害しようとするイラン政権に関係する活動家を起訴+財産の封鎖

こんにちは、丸山満彦です。

米国のFBI、米軍のサイバーコマンド(ナショナルミッション軍)、財務省、英国のサイバーセキュリティセンターが共同で、イラン国家のために活動するサイバー行為者について警告を公表していますね。また、米国司法省は、イラン国籍でイスラム革命防衛隊(IRGC)の職員である活動家を3名を、不正アクセス等のつみにより起訴していますね...そして、財務省は、資産凍結...

9.11もあったして、米国政府内の情報機関の横連携はそれなりにうまくいっているのでしょうね...そして、国際協力も...

 

イラン国家のために活動するサイバー行為者についての警告

● IC3

・2024.09.27[PDF] Iranian Cyber Actors Targeting Personal Accounts to Support Operations

20240929-61819

Iranian Cyber Actors Targeting Personal Accounts to Support Operations   イランのサイバー活動家が個人アカウントを標的にして活動を支援
The Federal Bureau of Investigation (FBI), U.S. Cyber Command - Cyber National Mission Force (CNMF), the Department of the Treasury (Treasury), and the United Kingdom’s National Cyber Security Centre (NCSC) are disseminating this joint Cybersecurity Advisory (CSA) to highlight continued malicious cyber activity by cyber actors working on behalf of the Iranian Government’s Islamic Revolutionary Guard Corps (IRGC1). This IRGC cyber activity is targeted against individuals with a nexus to Iranian and Middle Eastern affairs; such as current or former senior government officials, senior think tank personnel, journalists, activists, and lobbyists. Additionally, FBI has observed these actors targeting persons associated with US political campaign activity, likely in support of information operations.   連邦捜査局(FBI)、米サイバー軍(Cyber National Mission Force: CNMF)、財務省(Treasury)、英国の国家サイバーセキュリティセンター(NCSC)は、イラン政府のイスラム革命防衛隊(IRGC)に代わって活動するサイバー活動家による悪意のあるサイバー活動を継続的に強調するために、この共同サイバーセキュリティ勧告(CSA)を公表している1。このIRGCのサイバー活動は、イランおよび中東情勢に関係する個人を標的にしている。例えば、現職または元政府高官、シンクタンクの幹部、ジャーナリスト、活動家、ロビイストなどである。さらに、FBIは、情報操作を支援している可能性が高い、米国の政治キャンペーン活動に関係する人物を標的にしていることを確認している。
The authoring agencies believe the group and the cyber techniques remain an ongoing threat to various sectors worldwide, including but not limited to entities in their respective countries.  作成機関は、このグループとサイバー技術は、それぞれの国の事業体を含むが、それに限定されない、世界中のさまざまな分野に対する継続的な脅威であると考えている。
This advisory provides observed tactics, techniques, and indicators of compromise (IOCs) that the authoring agencies assess are likely associated with cyber actors working on behalf of IRGC. The authoring agencies urge individuals in targeted groups to apply the recommendations listed in the Mitigations section of this advisory to diminish risk of compromise from these cyber-actors. For more information on Iranian state-sponsored malicious cyber activity, see the FBI’s Iran Threat webpage.  本勧告では、IRGCのために活動するサイバー行為者と関連している可能性が高いと作成機関がアセスメントした、観測された戦術、技術、および侵害の指標(IOC)を提供する。作成機関は、標的とされたグループに属する個人に対し、これらのサイバー行為者による侵害のリスクを低減するために、本勧告の「低減」セクションに記載された推奨事項を適用するよう促している。イラン政府による悪意のあるサイバー活動の詳細については、FBIのイラン脅威に関するウェブページを参照のこと。
                                                 
1 The IRGC is an Iranian Government agency tasked with defending the Iranian Regime from perceived internal and external threats.  1 IRGCは、イラン政府機関であり、認識された内外の脅威からイラン政府を防衛する任務を負っている。

 

 

英国 NCSC

U.K. National Cyber Security Centre

・2024.09.27 UK and US issue alert over cyber actors working on behalf of Iranian state

UK and US issue alert over cyber actors working on behalf of Iranian state イラン政府に代わって活動するサイバー脅威行為者に関する英国および米国の警告
・Joint advisory encourages individuals at higher risk of targeted phishing to follow mitigation advice and sign up for NCSC's cyber defence services. ・共同勧告では、標的型フィッシングのリスクが高い個人に対して、低減策のアドバイスに従い、NCSCのサイバー防衛サービスに登録するよう推奨している。
・Attackers working on behalf of Iran’s Islamic Revolutionary Guard Corps use social engineering to gain access to victims’ online accounts ・イラン革命防衛隊に代わって活動する攻撃者は、ソーシャルエンジニアリングを使用して、被害者のオンラインアカウントにアクセスする
・Individuals at higher risk are encouraged to stay vigilant to targeted phishing attempts and to sign up for the NCSC’s cyber defence services for individuals ・リスクの高い個人に対しては、標的型フィッシング詐欺に警戒し、NCSCの個人向けサイバーディフェンスサービスに登録するよう呼びかけている
UK continues to call out malicious activity that puts individuals' personal and business accounts at risk, urging them to take action to reduce their chances of falling victim 英国は、個人や企業のオンラインアカウントを危険にさらす悪質な行為を継続的に取り締まり、被害に遭う可能性を低減するための対策を呼びかけている
THE UK has issued a new warning today (Friday) about the ongoing threat from spear-phishing attacks carried out by cyber actors working on behalf of the Iranian government. 英国は本日(金)、イラン政府に協力するサイバー行為者によるスピアフィッシング攻撃の継続的な脅威について、新たな警告を発した。
In an advisory published with US partners, the National Cyber Security Centre – a part of GCHQ – has shared technical details about how cyber attackers working on behalf of Iran’s Islamic Revolutionary Guard Corps (IRGC) are using social engineering techniques to gain access to victims’ personal and business accounts online. 英国政府通信本部(GCHQ)の一部である国家サイバーセキュリティセンターは、米国のパートナー機関と共同で発表した勧告の中で、イラン革命防衛隊(IRGC)の代理として活動するサイバー攻撃者がソーシャルエンジニアリングのテクニックを用いて、オンライン上の被害者の個人およびビジネスアカウントにアクセスする方法について、技術的な詳細を共有した。
The malicious activity is targeted against individuals with a nexus to Iranian and Middle Eastern affairs, such as current and former senior government officials, senior think tank personnel, journalists, activists and lobbyists. The US has also observed targeting of persons associated with US political campaigns.  この悪質な活動は、現職および元政府高官、シンクタンクの幹部、ジャーナリスト、活動家、ロビイストなど、イランおよび中東情勢に関係する個人を標的にしている。米国では、米国の政治キャンペーンに関係する人物も標的にされていることが確認されている。
The advisory says the actors have often been observed impersonating contacts over email and messaging platforms, building a rapport with targets before soliciting them to share user credentials via a false email account login page. The actors can then gain access to victims’ accounts, exfiltrate and delete messages and set up email forwarding rules.  勧告によると、攻撃者は電子メールやメッセージングプラットフォーム上で連絡先になりすますことが多く、偽の電子メールアカウントのログインページ経由でユーザー認証情報の共有を勧誘する前に、標的と親密な関係を築いている。その後、攻撃者は被害者のアカウントにアクセスし、メッセージを外部に送信したり削除したり、メール転送ルールを設定したりすることができる。 
The NCSC believes this activity poses an ongoing threat to various sectors worldwide, including in the UK. To reduce the chances of compromise, individuals at risk are strongly advised to follow the mitigation steps in the advisory and to take up the NCSC’s dedicated support for high-risk individuals, including by signing up for free cyber defence services NCSCは、この活動が英国を含む世界中のさまざまなセクターに継続的な脅威をもたらしていると考えている。被害を受ける可能性を低減するため、リスクにさらされている個人に対しては、勧告に記載されている低減策に従うこと、およびNCSCが提供する高リスク個人向けの専用サポート(無料のアクティブ・サイバーディフェンス・サービスへの登録など)の利用が強く推奨される。
Paul Chichester, NCSC Director of Operations, said: NCSCのポール・チチェスター運用部長は次のように述べた。
“The spear-phishing attacks undertaken by actors working on behalf of the Iranian government pose a persistent threat to individuals with a connection to Iranian and Middle Eastern affairs. 「イラン政府に代わって活動する脅威行為者によるスピアフィッシング攻撃は、イランおよび中東問題に関係する個人に対して継続的な脅威をもたらしている。
“With our allies, we will continue to call out this malicious activity, which puts individuals’ personal and business accounts at risk, so they can take action to reduce their chances of falling victim. 「我々は同盟国とともに、個人の個人用およびビジネス用アカウントをリスクにさらすこの悪質な行為を今後も引き続き指摘し、被害に遭う可能性を低減するための対策を講じるよう呼びかけていく。
“I strongly encourage those at higher risk to stay vigilant to suspicious contact and to take advantage of the NCSC’s free cyber defence tools to help protect themselves from compromise.” 「リスクが高いと考えられる人々には、不審な接触には警戒を怠らず、NCSCが提供する無料のサイバー防御ツールを活用して、侵害から身を守るよう強くお勧めする」
The advisory says the attackers often obtain victims’ credentials by soliciting them to access a document via a hyperlink which redirects them to the false login page.  この勧告によると、攻撃者は、偽のログインページにリダイレクトするハイパーリンク経由で文書へのアクセスを促すことで、被害者の認証情報を取得することが多いという。
The actors are known to tailor their social engineering techniques to include areas of interest or relevance to their targets, with approaches including impersonation of family members, well-known journalists, discussion of foreign policy topics and invitations to conferences. In some cases, the actors might impersonate email service providers to obtain sensitive user security information.  攻撃者はソーシャルエンジニアリングの手法を標的となる組織や個人に関係のある分野に絞って調整することが知られており、その手法には、家族や著名なジャーナリストになりすましたり、外交政策に関する話題を持ち出したり、会議への招待状を送ったりすることが含まれる。場合によっては、攻撃者は電子メールサービスプロバイダになりすまして、ユーザーの機密セキュリティ情報を入手することもある。 
The NCSC’s guidance for high-risk individuals helps people improve the security of their online accounts and personal devices, which continue to be attractive targets for attackers. NCSCの高リスク個人向けガイダンスは、攻撃者にとって魅力的な標的であり続けるオンラインアカウントや個人用デバイスのセキュリティ改善に役立つ。
And individuals who face a higher risk of targeting due to their work or public status are eligible to sign up for two opt-in cyber defence services managed by the NCSC. また、仕事や公的な立場から標的となるリスクが高い個人については、NCSCが管理する2つのオプトイン方式のサイバー防御サービスへの登録が認められる。
The Account Registration service alerts individuals if the NCSC becomes aware of a cyber incident impacting a personal account, while the Personal Internet Protection service helps prevent spear-phishing by blocking access to known malicious domains.  アカウント登録サービスは、NCSCが個人アカウントに影響を与えるサイバーインシデントを認識した場合に個人に警告を発する。一方、個人向けインターネット保護サービスは、既知の悪質なドメインへのアクセスをブロックすることでスピアフィッシングを防御する。
The spear-phishing activity detailed in the advisory is not targeted at the general public. For individuals worried about more generic phishing campaigns, the NCSC has published guidance to help spot the common signs of scams
.
この勧告で詳細に説明されているスピアフィッシング活動は、一般市民を標的としたものではない。より一般的なフィッシングキャンペーンを懸念する個人向けに、NCSCは詐欺の一般的な兆候を見抜くための指針を公表している。
The advisory has been co-sealed by the NCSC, the US Federal Bureau of Investigation (FBI), the US Cyber National Mission Force (CNMF) and the US Department of the Treasury. It can be read on the FBI website at [PDF] この勧告は、NCSC、米国連邦捜査局(FBI)、米国サイバー国家任務部隊(CNMF)、米国財務省により共同で発表された。FBIのウェブサイト( [PDF]
)で閲覧可能。

 

 

 


起訴...

司法省...

U.S. Department of Justice

・2024.09.27 Three IRGC Cyber Actors Indicted for ‘Hack-and-Leak’ Operation Designed to Influence the 2024 U.S. Presidential Election

Three IRGC Cyber Actors Indicted for ‘Hack-and-Leak’ Operation Designed to Influence the 2024 U.S. Presidential Election 2024年の米国大統領選挙に影響を与えることを目的とした「ハッキング&リーク」作戦に関与したとして、革命防衛隊のサイバー犯罪者3名を起訴した
Indictment Alleges the Activity Was a More Recent Phase of a Wide-Ranging Hacking Conspiracy in Support of IRGC Targeting of Current and Former U.S. Officials 起訴状によると、この活動は、現職および元の米国政府高官を標的とした革命防衛隊による広範なハッキング陰謀の、より最近の段階であったと主張している
NoteView the indictment here and the FBI Wanted Poster here. 注:起訴状はこちら、FBIの指名手配ポスターはこちらで。
The Justice Department today announced the unsealing of an indictment charging Iranian nationals, and Islamic Revolutionary Guard Corps (IRGC) employees, Masoud Jalili, 36,  also known as, مسعود جلیلی, Seyyed Ali Aghamiri, 34, also known as, سید علی آقامیری, and Yaser Balaghi, 37, also known as, یاسر بلاغی (the Conspirators), with a conspiracy with others known and unknown to hack into accounts of current and former U.S. officials, members of the media, nongovernmental organizations, and individuals associated with U.S. political campaigns. The activity was part of Iran’s continuing efforts to stoke discord, erode confidence in the U.S. electoral process, and unlawfully acquire information relating to current and former U.S. officials that could be used to advance the malign activities of the IRGC, including ongoing efforts to avenge the death of Qasem Soleimani, the former commander of the IRGC – Qods Force (IRGC-QF). 司法省は本日、イラン国籍の人物、および革命防衛隊(IRGC)の職員であるマスード・ジャリリ(36歳、別名:ムサウード・ジャリリ)、セイエド・アリ・アガミリ(34歳、別名:セイエド・アリ・アガミリ)、 、および、Yaser Balaghi(37歳)、別名、یاسر بلاغی(共謀者たち)は、現職および元の米国政府高官、メディア関係者、非政府組織、米国の政治キャンペーンに関係する個人のアカウントにハッキングする共謀を、知られている者および知られていない者と共に行った。この活動は、不和を煽り、米国の選挙プロセスに対する信頼を損ない、現職および元の米国政府高官に関する情報を不法に取得し、革命防衛隊(IRGC)の悪質な活動を推進するために利用しようとするイランの継続的な取り組みの一部であった。これには、IRGC-QF(革命防衛隊・クドス部隊)の元司令官であるガセム・ソレイマーニーの死の復讐を企てる継続中の取り組みも含まれる。
As alleged, in or around May, after several years of focusing on compromising the accounts of former U.S. government officials, the conspirators used some of the same hacking infrastructure from earlier in the conspiracy to begin targeting and successfully gaining unauthorized access to personal accounts belonging to persons associated with an identified U.S. Presidential campaign (U.S. Presidential Campaign 1), including campaign officials. The conspirators used their access to those accounts to steal, among other information, non-public campaign documents and emails (campaign material). The activity broadened in late June, when the conspirators engaged in a “hack-and-leak” operation, in which they sought to weaponize campaign material stolen from U.S. Presidential Campaign 1 by leaking such materials to members of the media and individuals associated with what was then another identified U.S. Presidential campaign (U.S. Presidential Campaign 2), in a deliberate effort to, as reflected in the conspirators’ own words and actions, undermine U.S. Presidential Campaign 1 in advance of the 2024 U.S. presidential election. 申し立てによると、数年にわたって元米国政府高官のアカウントを標的にしていた後、共謀者らは5月頃、以前の共謀から引き継いだハッキングインフラストラクチャの一部を使用し、識別された米国大統領選挙キャンペーン(米国大統領選挙キャンペーン1)に関係する人物(キャンペーン関係者を含む)の個人アカウントを標的にし、不正アクセスに成功した。共謀者たちは、これらのアカウントへのアクセス権限を利用して、非公開のキャンペーン文書や電子メール(キャンペーン資料)などの情報を盗んだ。この活動は6月下旬に拡大し、共謀者たちは「ハッキングとリーク」作戦を展開した。この作戦では、米国大統領選挙キャンペーン1から盗んだキャンペーン資料をメディア関係者や、当時特定されていた別の米国大統領選挙キャンペーン(米国大統領選挙キャンペーン2)に関係する個人にリークすることで、キャンペーン資料を武器化しようとした 共謀者自身の言動に反映されているように、2024年の米国大統領選挙に先立ち、米国大統領選挙1を事前に弱体化させる意図的な努力として、米国大統領選挙2に関連するメディアや個人にそのような資料を漏洩することで、米国大統領選挙1の選挙資材を武器化しようとした「ハッキングおよび漏洩」作戦に従事していた。
“The Justice Department is working relentlessly to uncover and counter Iran’s cyberattacks aimed at stoking discord, undermining confidence in our democratic institutions, and influencing our elections,” said Attorney General Merrick B. Garland. “The American people – not Iran, or any other foreign power – will decide the outcome of our country’s elections.” 司法省は、不和を煽り、民主的機構への信頼を損ない、選挙に影響を与えることを目的としたイランのサイバー攻撃を明らかにし、対抗するために、執拗に活動している」と、メリック・B・ガーランド司法長官は述べた。「米国の選挙の結果を決めるのは、イランでも、その他の外国でもなく、米国国民である」
“Today’s charges represent the culmination of a thorough and long-running FBI investigation that has resulted in the indictment of three Iranian nationals for their roles in a wide-ranging hacking campaign sponsored by the Government of Iran,” said FBI Director Christopher Wray. “The conduct laid out in the indictment is just the latest example of Iran’s brazen behavior. So today the FBI would like to send a message to the Government of Iran – you and your hackers can’t hide behind your keyboards.” 「今日の起訴は、イラン政府が支援する広範囲にわたるハッキングキャンペーンにおける役割を理由に、3人のイラン国籍の人物を起訴するという結果に至った、徹底的かつ長期にわたるFBIの捜査の集大成である」と、FBIのクリストファー・レイ長官は述べた。「起訴状に記載された行為は、イランの厚かましい行動の最新の一例に過ぎない。そこで本日、FBIはイラン政府にメッセージを送る。すなわち、あなたとあなたのハッカーたちはキーボードの後ろに隠れてはいられない、と。
“These hack-and-leak efforts by Iran are a direct assault on the integrity of our democratic processes,” said Assistant Attorney General Matthew G. Olsen of the Justice Department’s National Security Division. “Iranian government actors have long sought to use cyber-enabled means to harm U.S. interests. This case demonstrates our commitment to expose attempts by the Iranian regime or any other foreign actor to interfere with our free and open society.” 「イランによるハッキングと情報漏洩の試みは、我々の民主的プロセスの完全性を直接攻撃するものである」と、司法省国家安全保障ディビジョンのマシュー・G・オルセン副長官は述べた。「イラン政府関係者は、長年にわたりサイバー手段を利用して米国の利益を損なうことを試みてきた。この事件は、イラン政府やその他の外国勢力が、我々の自由で開かれた社会を妨害しようとする試みを暴くという我々の決意を示すものである」
“This indictment alleges a serious and sustained effort by a state-sponsored terrorist organization to gather intelligence through hacking personal accounts so they can use the hacked materials to harm Americans and corruptly influence our election,” said U.S. Attorney Matthew Graves for the District of Columbia. “The detailed allegations in the indictment should make clear to anyone who might attempt to do the same that the Justice Department has the ability to gather evidence of such crimes from around the globe, will charge those who commit such crimes, and will do whatever we can to bring those charged to justice.” 「この起訴状は、国家支援のテロ組織が、個人アカウントへのハッキングを通じて情報を収集し、そのハッキングされた情報を利用してアメリカ国民に危害を加えたり、不正に選挙に影響を及ぼそうとするという、深刻かつ継続的な取り組みを主張しています」と、コロンビア特別区のマシュー・グレイブス連邦検事は述べた。「起訴状に詳細に述べられた申し立ては、同じことを試みようとする者に対して、司法省には世界中のそのような犯罪の証拠を集める能力があり、そのような犯罪を犯した者を起訴し、起訴された者を法の下で裁くためにできる限りのことを行うという姿勢を明確に示すはずである」と、コロンビア特別区のマシュー・グレイブス連邦検事は述べた。
As alleged in the indictment, beginning in or around January 2020, Jalili, Aghamiri, and Balaghi, working on behalf of the IRGC, commenced a wide-ranging hacking campaign that used spearphishing and social engineering techniques to target and compromise victims computers and accounts. Among the conspirators’ techniques were: using virtual private networks and virtual private servers to obscure their true location; creating fraudulent email accounts in the names of prominent U.S. persons and international institutions; creating spoofed login pages to harvest account credentials; sending spearphishing emails using compromised victim accounts; and using social engineering to obtain victims’ login information and multi-factor recovery/authentication codes. Some of the conspirators’ efforts were successful, while others were not. 起訴状で申し立てられているように、2020年1月頃から、ジャリリ、アガミリ、バラギの3人は、IRGCの代理として、スピアフィッシングやソーシャルエンジニアリングのテクニックを使用して、標的となる被害者のコンピューターやアカウントを侵害する広範囲にわたるハッキングキャンペーンを開始した。共謀者の手口には、仮想プライベートネットワークや仮想プライベートサーバーを使用して実際の所在地を隠匿すること、著名な米国人や国際機構の名称を使用した詐欺的な電子メールアカウントを作成すること、なりすましログインページを作成してアカウント認証情報を入手すること、不正入手した被害者アカウントを使用してスピアフィッシング電子メールを送信すること、ソーシャルエンジニアリングを使用して被害者のログイン情報や多要素復旧/認証コードを入手することなどがあった。共謀者の一部の試みは成功したが、そうでないものもあった。
In April 2019, the Department of State designated the IRGC as a foreign terrorist organization. Among the purposes of the conspiracy were for the conspirators to: (i) steal victims’ data, such as information related to U.S. government and foreign policy information concerning the Middle East; (ii) steal information relating to current and former U.S. officials that could be used to advance the IRGC’s malign activities; (iii) disrupt U.S. foreign policy in the Middle East; (iv) stoke discord and erode confidence in the U.S. electoral process; (v) steal personal and private information from persons who had access to information relating to U.S. Presidential Campaign 1, including non-public campaign material and information; and (vi) undermine U.S. Presidential Campaign 1 in advance of the 2024 U.S. presidential election by leaking stolen campaign material and information. 2019年4月、国務省はIRGCを外国テロ組織に指定した。共謀者の目的には、以下のものが含まれていた。(i) 中東に関する米国政府および外交政策に関する情報など、被害者のデータを盗むこと、(ii) IRGCの悪質な活動を推進するために利用できる現職および元米国政府高官に関する情報を盗むこと、(iii) 中東における米国の外交政策を混乱させること、(iv) 不和を煽り、米国の選挙プロセスに対する信頼を損なうこと、(v) 米国大統領選挙キャンペーン1に関連する情報にアクセスした人物から、非公開のキャンペーン資料や情報を含む個人およびプライベートな情報を盗み出し、(vi) 盗んだキャンペーン資料や情報をリークすることで、2024年の米国大統領選挙に先立ち、米国大統領選挙キャンペーン1を妨害する。
As reflected in the Sept. 18 joint statement released by the Office of the Director of National Intelligence, FBI, and Cybersecurity and Infrastructure Security Agency: “Iranian malicious cyber actors in late June and early July sent unsolicited emails to individuals then associated with President Biden’s campaign that contained an excerpt taken from stolen, non-public material from former Trump’s campaign as text in the emails. There is currently no information indicating those recipients replied. Furthermore, Iranian malicious cyber actors have continued their efforts since June to send stolen, non-public material associated with former President Trump’s campaign to U.S. media organizations. 国家情報長官室、FBI、サイバーセキュリティ・インフラセキュリティ庁が9月18日に発表した共同声明に反映されているように、「6月下旬から7月上旬にかけて、イランの悪意あるサイバー犯罪者は、バイデン前大統領のキャンペーンに関係していた個人に対して、トランプ前大統領のキャンペーンから盗まれた非公開資料の一部をメールのテキストとして含んだ迷惑メールを送信した。現時点では、これらの取得者が返信したことを示す情報は存在しない。さらに、イランの悪意あるサイバー犯罪者たちは、6月以来、盗んだトランプ前大統領の選挙運動に関連する非公開資料を米国のメディア組織に送信する努力を続けている。
As alleged in further detail in the indictment, the conspirators’ hack-and-leak efforts involved the conspirators emailing stolen campaign material to individuals that the conspirators believed were associated with what was then U.S. Presidential Campaign 2 and members of the media. 起訴状でさらに詳しく述べられているように、共謀者のハッキングとリークの努力には、共謀者が、当時米国大統領選挙キャンペーン2に関連していると考えた個人やメディア関係者に盗んだ選挙資料を電子メールで送信することが含まれていた。
First, between on or about June 27 and July 3, the conspirators sent or forwarded an unsolicited email message to personal accounts of three persons that the conspirators believed were associated with U.S. Presidential Campaign 2. The June 27 email was sent to two recipients, and then forwarded the same day to another account for one of those recipients (due to the earlier email being sent to an invalid account for that recipient). This email chain contained campaign material stolen from an official for U.S. Presidential Campaign 1 (U.S. Victim 11). Neither of the recipients replied to the conspirators’ email. In addition, the conspirators sent a follow up email on July 3rd to a third recipient’s account, and the recipient similarly did not reply to the Conspirators. まず、共謀者らは、2012年6月27日頃から7月3日にかけて、米国大統領選挙キャンペーン2に関連していると思われる3人の個人のアカウントに、迷惑メールを送信または転送した。6月27日のメールは2人の取得者に送信され、その後、取得者のうちの1人のアカウントに同日転送された(取得者のアカウントが有効でないため)。この電子メールの連鎖には、米国大統領選挙キャンペーン1(米国の被害者11)の関係者から盗まれたキャンペーン資料が含まれていた。いずれの取得者も共謀者の電子メールに返答しなかった。さらに、共謀者は7月3日に3人目の取得者のアカウントにフォローアップの電子メールを送信したが、取得者は同様に共謀者に返答しなかった。
Second, between on or about July 22 and on or about Aug. 31, the conspirators distributed other campaign material stolen from U.S. Victim 11 regarding U.S. Presidential Campaign 1’s potential vice-presidential candidates to multiple members of the news media, in an attempt to induce the news media to publish the material. In one instance, for example, the conspirators’ message stated “I think this information is worth a good [U.S. news publication] piece with your narration. Let me know your thoughts.” 次に、共謀者らは、7月22日頃から8月31日頃までの間に、米国大統領選挙キャンペーン1の副大統領候補者に関する米国の被害者11から盗んだ他の選挙キャンペーン資料を、ニュースメディアの複数のメンバーに配布し、ニュースメディアにその資料を公表させるよう仕向けた。例えば、共謀者のメッセージには「この情報は、あなたのナレーション付きで、[米国のニュース出版] 社が記事にする価値があると思います。ご意見をお聞かせください」と書かれていた。
As alleged, these defendants also sought to promote the IRGC’s goals and mission by compromising and maintaining unauthorized access to the email accounts of a number of former government officials, including U.S. Victim 1, who had served in a position with responsibility over U.S. Middle East policy at the time of Qasam Soleimani’s death. Using this access, the defendants obtained information to assist the IRGC’s efforts to target U.S. Victim 1 and others, including their means of identification, correspondence, travel information, lodging information and other information regarding their whereabouts and policy positions.    申し立てによると、これらの被告は、IRGCの目標と使命を推進するために、カサム・スレイマーニー死亡時に米国の中東政策を担当する役職に就いていた米国の被害者1を含む多数の元政府高官の電子メールアカウントへの不正アクセスを試み、また不正アクセスを維持しようとした。このアクセス権を利用して、被告らは、IRGCが米国の被害者1およびその他の人物を標的にするのを支援する情報を入手した。入手した情報には、身元確認手段、通信、旅行情報、宿泊情報、およびその他の所在情報や政策上の立場に関する情報が含まれていた。 
Jalili, Aghamiri, and Balaghi are charged with: conspiracy to commit identity theft, aggravated identity theft, access device fraud, unauthorized access to computers to obtain information from a protected computer, unauthorized access to computers to defraud and obtain a thing of value, and wire fraud, all while knowingly falsely registering domain names, which carries a maximum penalty of 12 years in prison; conspiracy to provide material support to a designated foreign terrorist organization, which carries a maximum penalty of 20 years in prison; eight counts of wire fraud while falsely registering domain names, each of which carries a maximum penalty of 27 years in prison; and eight counts of aggravated identity theft, each of which carries a mandatory minimum penalty of two years in prison. If convicted, a federal district court judge will determine any sentence after considering the U.S. Sentencing Guidelines and other statutory factors. ジャリリ、アガミリ、バラギは、以下の罪状で起訴された。ID窃盗の共謀、悪質なID窃盗、アクセス装置詐欺、防御されたコンピューターから情報を取得するためのコンピューターへの不正アクセス、詐取および価値のあるものの取得を目的としたコンピューターへの不正アクセス、電信詐欺、これらすべてを、故意に虚偽のドメイン名登録を行いながら行った罪で、最高刑は禁固12年 、指定された外国テロ組織への物質的支援提供の共謀(最高刑は20年の禁固刑)、ドメイン名の偽装登録中の8件の電信詐欺(それぞれ最高刑は27年の禁固刑)、および8件の加重ID窃盗(それぞれ最低刑は2年の禁固刑)である。有罪判決が下された場合、連邦地方裁判所の裁判官は、米国量刑ガイドラインおよびその他の法定要素を考慮した上で刑を決定する。
Concurrent with today’s announcement, the Department of State, through the Rewards for Justice Program, issued a reward of up to $10 million for information on Jalili, Aghamiri, and Balaghi, the IRGC’s interference in U.S. elections, or associated individuals and entities. Also, concurrent with today’s announcement, the Department of the Treasury, Office of Foreign Asset Control (OFAC), pursuant to Executive Order (E.O.) 13694, as amended, and E.O. 13848 designated Jalili for being responsible for or complicit in, or having engaged in, directly or indirectly, a cyber-enabled activity originating from, or directed by persons located, in whole or in substantial part, outside the United States that is reasonably likely to result in, or has materially contributed to, a significant threat to the national security, foreign policy, or economic health or financial stability of the United States and that has the purpose or effect of causing a significant misappropriation of funds or economic resources, trade secrets, personal identifiers, or financial information for commercial or competitive advantage or private financial gain. 本日の発表と同時に、国務省は司法のための報奨プログラムを通じて、ジャリリ、アガミリ、バラギ、IRGCによる米国の選挙への干渉、または関連する個人や事業体に関する情報に対して最高1000万ドルの報奨金を発表した。また、本日の発表と同時に、財務省外国資産管理局(OFAC)は、修正大統領令(EO)13694号および大統領令13848号に基づき、ジャリリ氏を、米国の国家安全保障、外交政策、経済の健全性または金融の安定に対する重大な脅威となる、または重大な脅威に大きく寄与する可能性が高い、かつ、商業上または競争上の優位性または私的な金銭的利益のために資金または経済資源、企業秘密、個人識別情報、または金融情報を著しく不正流用する目的または結果を持つ、米国外に全部または大部分所在する人物が発信または指揮するサイバー活動の責任者、共謀者、または直接的または間接的に従事した者として指定した。
The FBI Washington Field Office is investigating this case. The FBI Cyber Division and Springfield and Minneapolis Field Offices provided substantial assistance in this matter. For more information on threat activity as well as mitigation guidance, the FBI has released a Joint Cyber Security Advisory titled “Iranian Cyber Actors Targeting Personal Accounts to Support Operations FBIワシントン支局がこの事件を捜査している。FBIサイバー犯罪対策部およびスプリングフィールドおよびミネアポリス支局がこの事件で多大な支援を提供した。脅威行為および低減対策に関する詳細情報については、FBIは「イランのサイバー行為者が個人アカウントを標的にして作戦を支援」と題する共同サイバーセキュリティ勧告を発表している。
The Justice Department would like to thank the following private sector partners for their assistance with this case: Google, Microsoft, Yahoo, and Meta. 司法省は、この事件への支援に関して、Google、Microsoft、Yahoo、Metaの各社に感謝の意を表する。
Assistant U.S. Attorneys Tejpal Chawla and Christopher Tortorice for the District of Columbia and Trial Attorney Greg Nicosia of the National Security Division’s National Security Cyber Section are prosecuting the case, with significant assistance from Paralegal Specialists Mariela Andrade and Kate Abrey. Joshua Champagne of the National Security Division’s Counterterrorism Section also provided valuable assistance. コロンビア特別区のテジャル・チャウラおよびクリストファー・トルトリスの両副検事、および国家安全保障局の国家安全保障サイバー課のグレッグ・ニコシア検察官が、パラリーガル・スペシャリストのマリエラ・アンドラーデおよびケイト・エイブリーの多大な支援を受けながら、この事件を起訴している。また、国家安全保障局のテロ対策課のジョシュア・シャンパーニュも、貴重な支援を提供している。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 起訴は単なる申し立てに過ぎない。すべての被告人は、法廷で合理的な疑いを越えて有罪が証明されるまでは無罪と推定される。

 

起訴状...

20240929-63917

 

FBI長官の発表

● FBI

・2024.09.27 Three IRGC Cyber Actors Indicted for Hack-and-Leak Operation Designed to Influence the 2024 U.S. Presidential Election

Video:





FBI Director Christopher Wray on September 27 addressed the indictment of three Iranian cyber actors.

Three IRGC Cyber Actors Indicted for Hack-and-Leak Operation Designed to Influence the 2024 U.S. Presidential Election 2024年の米国大統領選挙に影響を与えることを目的としたハッキングおよび情報漏洩作戦に関与したとして、IRGCのサイバー犯罪者3名が起訴された
FBI Director Christopher Wray on September 27 addressed the indictment of three Iranian cyber actors. 9月27日、FBI長官のクリストファー・レイ氏は、イランのサイバー犯罪者3名の起訴について声明を発表した。
Video Transcript ビデオの文字起こし
FBI Director Christopher Wray: I'm Chris Wray, the FBI Director. FBI長官のクリストファー・レイ:私はFBI長官のクリス・レイです。
Today's charges represent the culmination of a thorough and long-running FBI investigation that has resulted in the indictment of three Iranian nationals for their roles in a wide-ranging hacking campaign sponsored by the government of Iran.  本日の起訴は、イラン政府が支援する広範なハッキングキャンペーンにおける役割を理由に、3人のイラン国籍の人物を起訴するという結果に至った、徹底的かつ長期にわたるFBIの捜査の集大成である。
These individuals—employees of Iran's Islamic Revolutionary Guard Corps—targeted a U.S. political campaign, current and former U.S. officials, and members of the American media—all in an attempt to sow discord and undermine our democracy. これらの人物は、イランのイスラム革命防衛隊の職員であり、米国の政治キャンペーン、現職および元の米国政府高官、米国のメディア関係者を標的にした。その目的は、不和を巻き起こし、わが国の民主主義を弱体化させることだった。
These hackers impersonated U.S. government officials, used the fake personas they created to engage in spearphishing, and then exploited their unauthorized access to trick even more people and steal even more confidential information.  これらのハッカーは、米国政府高官になりすまし、偽の人物像を使ってスピアフィッシングを行い、不正アクセスを利用してさらに多くの人々を騙し、さらに多くの機密情報を盗んだ。
Last week, the FBI released a statement—along with the Office of the Director of National Intelligence and the Cybersecurity and Infrastructure Security Agency—exposing Iran's attempts to steal nonpublic campaign material from former President Trump's 2024 election campaign. 先週、FBIは国家情報長官室およびサイバーセキュリティ・インフラセキュリティ庁とともに、2024年のトランプ前大統領の選挙キャンペーンから非公開のキャンペーン資料を盗もうとしたイランの試みを暴露する声明を発表した。
That statement laid bare Iran's attempts to influence our elections and inflame divisions in our society by leaking that information to President Biden's campaign and to the media.  その声明では、イランがバイデン大統領のキャンペーンやメディアに情報をリークすることで、選挙に影響を与え、社会の分裂を煽ろうとしたことが明らかになった。
Let's be clear what we're talking about here: attempts by a hostile foreign government to steal campaign information from one presidential candidate and then shopping around both to that candidate's opponent and the media. ここで話していることを明確にしよう。敵対的な外国政府が、大統領候補のキャンペーン情報を盗み、その情報を候補者の対立候補とメディアにばらまくという試みだ。
And while there's no indication that any of the recipients of the stolen campaign information actually replied, Iran's intent was clear: to sow discord and shape the outcome of our elections.  そして、盗まれたキャンペーン情報の取得者の誰かが実際に返信したという兆候はないが、イランの意図は明らかである。不和をまき散らし、我々の選挙の結果を左右しようとしたのだ。
For years now, we at the FBI have been calling out Iran's aggressive behavior—whether it's Iran's reckless cyber operations, including a ransomware attack on a New England children's hospital, Iran's plots to assassinate U.S. officials on American soil, their attempts to murder an American journalist here in the U.S. who dared publicize the Iranian government's human rights abuse, or their targeted hacks to influence our last presidential election in 2020.  FBIでは、長年にわたり、イランの攻撃的な行動を指摘してきた。ニューイングランドの小児病院に対するランサムウェア攻撃を含むイランの無謀なサイバー作戦、米国内での米政府高官暗殺計画、 、米国内で米国政府高官を暗殺しようとした陰謀、イラン政府の人権侵害を公表した米国のジャーナリストを殺害しようとした企て、あるいは2020年の前回の大統領選挙に影響を与えることを目的とした標的型ハッキングなど、いずれもである。
The conduct laid out in today's indictment is just the latest example of Iran's brazen behavior. So, today, the FBI would like to send a message to the government of Iran: You and your hackers can't hide behind your keyboards. If you try to meddle in our elections, we're going to hold you accountable. If you try to attack our infrastructure or commit violence against our citizens, we're going to disrupt you. 今日の起訴状に記載された行為は、イランの厚かましい行動の最新の一例に過ぎない。そこで、本日、FBIはイラン政府にメッセージを送りたい。あなたとあなたのハッカーたちは、キーボードの後ろに隠れてはいられない。もしあなたがたが我々の選挙に干渉しようとするならば、我々はあなた方に責任を取らせるつもりだ。もしあなたがたが我々のインフラを攻撃したり、我々の市民に対して暴力を振るおうとするならば、我々はあなた方を阻止するつもりだ。
And as long as you keep attempting to flout the rule of law, you're going to keep running into the FBI, because we're going to leverage all of our partnerships and use every tool at our disposal to protect the American people and defend our democracy.   そして、法の支配を無視しようとする限り、FBIと対峙し続けることになるだろう。なぜなら、我々はアメリカ国民を防御し、民主主義を守るために、あらゆるパートナーシップを活用し、あらゆる手段を講じるつもりだからだ。 
Thank you.  ありがとう。

指名手配...

・2024.09.27 THREE IRANIAN CYBER ACTORS

20240929-64524

THREE IRANIAN CYBER ACTORS 3人のイラン人サイバー犯罪者
Conspiracy to Obtain Information from a Protected Computer; Defraud and Obtain a Thing of Value; Commit Fraud Involving Authentication Features; Commit Aggravated Identity Theft; Commit Access Device Fraud; Commit Wire Fraud While Falsely Registering Domains; Wire Fraud; Aggravated Identify Theft; Aiding and Abetting; Material Support to Designated Foreign Terrorist Organization 保護されたコンピューターからの情報取得を目的とした共謀、詐欺および価値あるものの取得、認証機能を含む詐欺の実行、悪質なID窃盗の実行、アクセス装置詐欺の実行、偽のドメイン登録中の電信詐欺の実行、電信詐欺、悪質なID窃盗、幇助、指定外国テロ組織への実質的支援

 

 


資産凍結

財務省...

U.S. Department of Treasury

・2024.09.27 Treasury Sanctions Iranian Regime Agents Attempting to Interfere in U.S. Elections

Treasury Sanctions Iranian Regime Agents Attempting to Interfere in U.S. Elections 財務省による制裁 イラン政権の工作員による米国選挙への介入を試みる
The United States takes action to defend and protect U.S. campaign and government officials from Iranian attempts to interfere in U.S. elections. 米国は、米国の選挙への干渉を試みるイランの企てから、米国のキャンペーンおよび政府関係者を防御し、防御するために行動を起こす。
WASHINGTON — Today, the Department of the Treasury’s Office of Foreign Assets Control (OFAC) designated seven individuals as part of a coordinated U.S. government response to Iran’s operations that sought to influence or interfere in the 2024 and 2020 presidential elections. Iranian state-sponsored actors undertook a variety of malicious cyber activities, such as hack-and-leak operations and spear-phishing, in an attempt to undermine confidence in the United States’ election processes and institutions and to interfere with political campaigns. The designations undertaken today pursuant to Executive Order (E.O.) 13848, complement law enforcement actions taken by the Department of Justice against a variety of Iranian election interference actors.  ワシントン発 — 米国財務省外国資産管理局(OFAC)は本日、2024年および2020年の大統領選挙に影響を与えたり干渉しようとしたイランの活動に対する米国政府の協調的対応の一環として、7人の個人を指定した。イラン政府が支援する行為者らは、ハッキングおよび情報漏洩作戦やスピアフィッシングなど、さまざまな悪意のあるサイバー活動を行い、米国の選挙プロセスや機構に対する信頼を損ない、政治キャンペーンに干渉しようとした。 大統領令(E.O.)13848に基づき本日実施された指定は、イランによるさまざまな選挙干渉行為者に対する司法省による法執行措置を補完するものである。
“The U.S. government continues to closely monitor efforts by malicious actors to influence or interfere in the integrity of our elections,” said Acting Under Secretary of the Treasury for Terrorism and Financial Intelligence Bradley T. Smith. “Treasury, as part of a whole-of-government effort leveraging all available tools and authorities, remains strongly committed to holding accountable those who see to undermine our institutions.”  「米国政府は、悪意ある行為者による選挙の完全性への影響や干渉の試みを引き続き厳重に監視している」と、財務省テロ・金融情報局長官代理のブラッドリー・T・スミス氏は述べた。「財務省は、政府全体として利用可能なあらゆるツールや権限を活用する取り組みの一環として、米国の機構を弱体化させようとする者たちに責任を取らせることに引き続き強くコミットしている」 
In the summer of 2024, the U.S. government identified that the Government of Iran had been seeking to stoke discord and undermine confidence in the United States’ democratic institutions, using social engineering and other efforts to gain access to individuals with direct access to the presidential campaigns. Such activities, including thefts and disclosures, are intended to influence the U.S. election process. Since at least May 2024, Iran-based hackers have increased their malicious cyber-enabled targeting of the 2024 U.S. presidential election. These intrusions have been reported as the work of “APT 42” and “Mint Sandstorm” by private security firms. 2024年夏、米国政府は、イラン政府がソーシャルエンジニアリングやその他の取り組みにより、大統領選挙キャンペーンに直接アクセスできる個人に接触し、米国の民主的機構に対する不信感を煽り、その信頼を損なわせようとしていたことを識別した。 盗難や開示を含むこうした活動は、米国の選挙プロセスに影響を与えることを目的としている。少なくとも2024年5月以来、イランを拠点とするハッカー集団は、2024年の米国大統領選挙を標的とした悪意のあるサイバー攻撃を増加させている。これらの侵入は、民間セキュリティ企業によって「APT 42」および「Mint Sandstorm」の仕業として報告されている。
Iranian Election Interference & Malicious Cyber-Enabled operations イランによる選挙妨害および悪意のあるサイバー攻撃
2024 U.S. Presidential Election Interference 2024年の米国大統領選挙妨害
Since at least May 2024, Masoud Jalili (Jalili) and other Iranian Islamic Revolutionary Guard Corps (IRGC) members compromised several accounts of officials and advisors to a 2024 presidential campaign and leaked stolen data to members of the media and other persons for the purpose of influencing the 2024 U.S. presidential election, using technical infrastructure known to be associated with Jalili. Jalili is also responsible for malicious cyber operations targeting a former U.S. government official in 2022. In 2022, Jalili used spear-phishing in an attempt to compromise the former U.S. official’s personal accounts.  少なくとも2024年5月以降、マズード・ジャリリ(ジャリリ)およびその他のイラン革命防衛隊(IRGC)のメンバーは、2024年の大統領選挙キャンペーンに関わる複数の関係者およびアドバイザーのアカウントを侵害し、2024年の米国大統領選挙に影響を与える目的で、ジャリリに関連付けられていることが知られている技術インフラストラクチャを使用して、盗んだデータをメディア関係者やその他の人物に漏洩した。ジャリリは、2022年に元米国政府高官を標的とした悪意のあるサイバー作戦にも関与している。2022年、ジャリリはスピアフィッシングを駆使して、元米国政府高官の個人アカウントを侵害しようとした。
OFAC designated Jalili pursuant to E.O. 13848 for being controlled by, or having acted or purported to act for or on behalf of, directly or indirectly, the IRGC, a person whose property and interests in property are blocked pursuant to E.O. 13848.  OFACは、大統領令13848に基づき、ジャリリが革命防衛隊に直接的または間接的に支配されている、または行動している、あるいは行動していると見なされている、または行動していると見なされている人物であるとして、同氏を指定した。
In addition to his designation, the Department of Justice has unsealed an indictment charging Jalili and two IRGC co-conspirators and the Department of State’s Rewards for Justice program is offering a reward of up to $10 million for information on Jalili and his two associates for their attempt to interfere in U.S. elections. この指定に加え、司法省はジャリリとイラン革命防衛隊の共犯者2名を起訴し、国務省の「正義のための報奨プログラム」は、米国の選挙への介入を試みたジャリリと共犯者2名に関する情報に対して最高1000万ドルの報奨金を提示している。
2020 U.S. Presidential Election Interference  2020年米国大統領選挙への介入 
Today, OFAC is also designating six employees and executives of Emennet Pasargad, an Iranian cybersecurity company formerly known as Net Peygard Samavat Company, which attempted to interfere in the 2020 U.S. presidential election.  本日、OFACは、2020年の米国大統領選挙への介入を試みたイランのサイバーセキュリティ企業、エメンネット・パサルガド(旧称:ネット・ペイガード・サマヴァト・カンパニー)の従業員および幹部6名を指定した。
Between approximately August and November 2020, Emennet Pasargad led an online operation to intimidate and influence American voters, and to undermine voter confidence and sow discord, in connection with the 2020 U.S. presidential election. Emennet Pasargad personnel obtained or attempted to obtain U.S. voter information from U.S. state election websites, sent threatening emails to intimidate voters, and crafted and disseminated disinformation pertaining to the election and election security. In November 2021, OFAC designated Emennet Pasargad pursuant to E.O. 13848 for attempting to influence the 2020 U.S. presidential election, and five Emennet Pasargad associates pursuant to E.O. 13848 for acting, or purporting to act, for or on behalf of Emennet Pasargad. 2020年8月から11月にかけて、エメンネット・パサルガドは、2020年の米国大統領選挙に関連して、米国の有権者を威嚇し影響を与えるオンライン作戦を主導し、有権者の信頼を損ない、不和を煽った。エメンネット・パサルガドの職員は、米国の州選挙ウェブサイトから米国の有権者情報を入手または入手を試み、有権者を威嚇する脅迫メールを送信し、選挙および選挙のセキュリティに関する偽情報を作成・拡散した。2021年11月、OFACは、2020年の米国大統領選挙に影響を与えようとしたとして、Emennet Pasargadを大統領令13848に基づき指定し、Emennet Pasargadのために、またはEmennet Pasargadを代表して行動した、または行動したと称したとして、5人のEmennet Pasargadの関係者を大統領令13848に基づき指定した。
In February 2019, OFAC designated Emennet Pasargad pursuant to E.O. 13606 for having materially assisted, sponsored, or provided financial, material, or technological support for, or goods or services to or in support of, the Islamic Revolutionary Guard Corps-Electronic Warfare and Cyber Defense Organization. Net Peygard Samavat Company was involved in a malicious cyber campaign to gain access to and implant malware on the computer systems of current and former U.S. counterintelligence agents. After being designated, Net Peygard Samavat Company rebranded itself as Emennet Pasargad, presumably to evade sanctions and continue its malicious cyber operations. 2019年2月、OFACは、イラン革命防衛隊の電子戦・サイバー防衛組織に実質的な支援、資金援助、物的支援、技術支援、または商品やサービスを提供したとして、大統領令13606号に基づきEmennet Pasargadを指定した。Net Peygard Samavat Companyは、現職および元職の米国防諜機関職員のコンピューターシステムにアクセスし、マルウェアを埋め込む悪意あるサイバーキャンペーンに関与していた。指定後、Net Peygard Samavat Companyは制裁を回避し、悪意あるサイバー作戦を継続するために、Emennet Pasargadと名称を変更したとみられる。
DESIGNATION OF EMENNET PASARGAD EMPLOYEES Emennet Pasargad従業員の指定
Ali MahdavianFatemeh Sadeghi, and Elaheh Yazdi are employees of Emennet Pasargad and were named in a November 2023 U.S. Department of State Rewards for Justice programSayyed Mehdi Rahimi Hajjiabadi, Mohammad Hosein Abdolrahimi, and Rahmatollah Askarizadeh are also employees of Emennet Pasargad. アリ・マハダヴィアン、ファテメ・サデギ、エラヘ・ヤズディは、Emennet Pasargadの従業員であり、2023年11月の米国務省の司法省報奨プログラムで指定された。 セイイェド・メフディ・ラヒミ・ハジアバディ、モハマド・ホセイン・アボルラヒミ、ラフマトッラー・アスカリザデもEmennet Pasargadの従業員である。
OFAC designated Ali Mahdavian, Fatemeh Sadeghi, Elaheh Yazdi, Sayyed Mehdi Rahimi Hajjiabadi, Mohammad Hosein Abdolrahimi, and Rahmatollah Askarizadeh pursuant to E.O 13848 for being controlled by, or having acted or purported to act for or on behalf of, directly or indirectly, Emennet Pasargad, a person whose property and interests in property are blocked pursuant to E.O. 13848. OFAC は、大統領令 13848 に基づき、Ali Mahdavian、Fatemeh Sadeghi、Elaheh Yazdi、Sayyed Mehdi Rahimi Hajjiabadi、Mohammad Hosein Abdolrahimi、および Rahmatollah Askarizadeh を、大統領令 13848 に基づき財産および財産権益が凍結されている人物である Emennet Pasargad によって支配されている、または直接的もしくは間接的に同人物のために、もしくは同人物に代わって行動していた、もしくは行動したと称していたとして指定した。
SANCTIONS IMPLICATIONS 制裁措置の影響
As a result of today’s action, all property and interests in property of the designated persons described above that are in the United States or in the possession or control of U.S. persons are blocked and must be reported to OFAC. In addition, any entities that are owned, directly or indirectly, individually or in the aggregate, 50 percent or more by one or more blocked persons are also blocked. Unless authorized by a general or specific license issued by OFAC, or exempt, OFAC’s regulations generally prohibit all transactions by U.S. persons or within (or transiting) the United States that involve any property or interests in property of designated or otherwise blocked persons.  本日の措置により、上記で指定された者の米国にある、または米国人によって所有または管理されているすべての財産および財産権が凍結され、OFACに報告されなければならない。さらに、1人または複数の制裁対象者によって、直接的または間接的に、個別にまたは総計で50%以上所有されている事業体もすべて凍結される。OFACが発行する一般または特定のライセンスによる認可、または適用除外がない限り、OFACの規制では、米国人が行う、または米国国内(または米国経由)で行われる、制裁対象者またはその他の凍結対象者の財産または財産権に関わるすべての取引が一般的に禁止されている。
In addition, financial institutions and other persons that engage in certain transactions or activities with the sanctioned individuals may expose themselves to sanctions or be subject to an enforcement action. The prohibitions include the making of any contribution or provision of funds, goods, or services by, to, or for the benefit of any designated person, or the receipt of any contribution or provision of funds, goods, or services from any such person.  さらに、制裁対象の個人との特定の取引や活動に従事する金融機関やその他の個人も、制裁の対象となる可能性や、強制措置の対象となる可能性がある。禁止事項には、制裁対象の個人による、または制裁対象の個人に対する、または制裁対象の個人の利益のための、あらゆる寄付や資金、商品、サービスの提供、または制裁対象の個人からのあらゆる寄付や資金、商品、サービスの受領が含まれる。
The power and integrity of OFAC sanctions derive not only from OFAC’s ability to designate and add persons to the SDN List, but also from its willingness to remove persons from the SDN List consistent with the law. The ultimate goal of sanctions is not to punish, but to bring about a positive change in behavior. For information concerning the process for seeking removal from an OFAC list, including the SDN List, please refer to OFAC’s Frequently Asked Question 897 hereFor detailed information on the process to submit a request for removal from an OFAC sanctions list, please click here. OFAC制裁の権限と信頼性は、OFACがSDNリストに個人を指定し追加する能力だけでなく、法律に従ってSDNリストから個人を削除する意思にも由来する。制裁措置の最終的な目的は、処罰することではなく、行動に前向きな変化をもたらすことである。SDNリストを含むOFACリストからの削除を求める手続きに関する情報は、OFACのよくある質問897を参照のこと。OFAC制裁リストからの削除を求める申請手続きに関する詳細情報は、こちらをクリックのこと。
Click here for more information on the individuals designated today. 本日指定された個人に関する詳細情報は、こちらをクリックのこと。


指定した人...

・2024.09.27 Iran-related Designation; Foreign Interference in U.S. Election Designations

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.24 米国 国家情報長官室(ODNI)、FBI、CISA イランによの選挙介入に関する共同声明 (2024.09.18)

・2024.09.18 米国 CISA FBI ハッキングされた有権者情報の虚偽の主張は、米国の選挙に対する不信感を煽る意図がある可能性が高いと警鐘... (2024.09.12)

・2024.09.11 米国 CISA 選挙セキュリティチェックリスト(サイバー編と物理編) (2024.09.09)

・2024.08.22 米国 ODNI FBI CISA イランによる選挙への影響工作に関する共同声明 (2024.08.19)

・2024.08.19 米国 FBI CISA 知っておいてください: 投票期間中のランサムウェアによる混乱は、投開票プロセスのセキュリティや正確性には影響ありません!

・2024.07.25 米国 司法省監察官室 米国の選挙に対する外国の悪質な影響力の脅威に関する情報共有を調整するための司法省の取り組みの評価

・2024.07.09 米国 CISA 選挙関係者のための運用セキュリティガイド

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2024.06.07 欧州議会 欧州議会選挙に対する偽情報に対する準備は整った(選挙期間中)

・2024.06.02 欧州会計監査院がEU選挙を控えているので偽情報とサイバーセキュリティには気をつけろといってますね...

・2024.04.22 米国 CISA FBI ODNI 外国の悪質な影響力工作の手口から選挙インフラを守るためのガイダンス

・2024.04.14 米国 EPIC他 テック・プラットフォーマーにAIによる選挙偽情報に対抗するように要請

・2023.12.12 カナダ サイバーセキュリティセンター 選挙に対するサイバー脅威、政治家候補へのサイバーセキュリティ・アドバイス他

・2023.11.23 ENISA 2024年のEU議会議員選挙に向けたサイバー演習

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

・2023.08.25 シンガポール CSR 大統領選に向け立候補者、有権者、それぞれに向けてサイバー関連の注意喚起

・2023.08.07 米国 MITRE グローバル民主主義への脅威

・2022.08.14 米国 国土安全保障省 監察官室 国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要

・2022.06.06 NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ(52大学から56チームが参加)

 

 

イラン

・2024.09.24 米国 国家情報長官室(ODNI)、FBI、CISA イランによの選挙介入に関する共同声明 (2024.09.18)

・2024.08.30 米国 CISA FBI DC3 米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者に関する勧告

・2024.08.22 米国 ODNI FBI CISA イランによる選挙への影響工作に関する共同声明 (2024.08.19)

・2024.03.14 米国 インテリジェンス・コミュニティによる2024年の脅威評価 

・2023.11.16 英国 NCSC Annual Review 2023 国家サイバーセキュリティセンター2023年報告書 - 英国の重要インフラに対する永続的かつ重大な脅威を警告

・2023.09.19 米国 国防総省サイバー戦略 2023(要約)(2023.09.12)

・2023.09.15 IISS サイバー対応能力と国家力 2回目の評価は10カ国

・2023.08.28 BRICs拡大 現在の5カ国に加え、新たにアルゼンチン、エジプト、エチオピア、イラン、サウジアラビア、アラブ首長国連邦も...

・2023.08.11 米国 国家情報戦略 2023

・2023.04.09 米国 インテリジェンスコミュニティーによる2023年脅威評価 (2023.02.06)

・2023.04.04 米国 ファクトシート:「民主主義のための技術の進歩」と「バイデン-ハリス政権の国内外における民主主義の再生への揺るぎないコミットメント」 (2023.03.29)

・2023.04.03 米国 米サイバー軍がアルバニアでイランからのサイバー攻撃に対する防衛的ハント作戦を実施 (2023.03.23)

・2023.03.13 サイバー軍 ポール・M・ナカソネ将軍の姿勢表明

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2022.11.09 オーストラリア ACSC 年次サイバー脅威報告書(2021年7月から2022年6月)

・2022.11.01 カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

・2022.10.30 米国 国防総省:サイバー軍 CYBER101 - Defend Forward and Persistent Engagement (2022.10.25)

・2022.10.29 米国 国家防衛戦略

・2022.10.14 米国 国家安全保障戦略

・2022.10.13 米国 White House ファクトシート: バイデン-ハリス政権が米国のサイバーセキュリティの強化に貢献

・2022.05.19 米国 司法省 ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴

・2022.04.06 第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明

・2021.11.20 米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略」についての証言

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2021.06.06 米国 インテリジェンスコミュニティーによる2021年脅威評価 by ODNI at 2021.04.09

・2021.03.27 米国 連邦上院軍事委員会 公聴会 特殊作戦コマンドとサイバーコマンド

・2020.11.01 米国 CISAとFBIがイランのAPT攻撃者が有権者登録データを取得していたと公表していますね。。。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

 

| | Comments (0)

米国 下院 国土安全保障委員会 クラウドストライクの欠陥ソフトウェアアップデートの世界的影響のアセスメントについての公聴会 (2024.09.24)

こんにちは、丸山満彦です。

米国下院の国土安全保障委員会のサイバーセキュリティ・インフラ保護小委員会が、2024.09.24にクラウドストライクの欠陥ソフトウェアアップデートの世界的影響のアセスメントに関する公聴会を開催していますね...

多くの企業が利用するソフトウェアの欠陥が世界的に大きな影響を与えたという意味では重要な問題であったと思います。原因がとしては、サイバー攻撃だろうが、ソフトウェアの単なるコーディングミスであろうが、同じですよね...

 

U.S. House of Representatives  - Homeland Security

1_20240930002701

・2024.09.24 An Outage Strikes: Assessing the Global Impact of CrowdStrike’s Faulty Software Update

 



A Cybersecurity and Infrastructure Protection Subcommittee Hearing entitled, “An Outage Strikes: Assessing the Global Impact of CrowdStrike’s Faulty Software Update.”

33分15秒くらいから会議は始まります。

 

概要について別途ページが作られていますね...

 

・2024.09.24 

ICYMI: Committee Examines CrowdStrike Processes in First Congressional Hearing on the Disastrous July Global IT Outage 見逃した人向け:委員会、7月の世界規模のIT障害に関する初の公聴会でCrowdStrikeのプロセスを検証
WASHINGTON, D.C. — This week, the House Homeland Security Subcommittee on Cybersecurity and Infrastructure Protection, led by Committee Chairman Mark E. Green, MD (R-TN) and Subcommittee Chairman Andrew Garbarino (R-NY), held a hearing to examine CrowdStrike’s defective software update that caused a major information technology (IT) outage on July 19, 2024. In the hearing, Members received witness testimony from CrowdStrike’s Senior Vice President of Counter Adversary Operations Adam Meyers. The Committee initially requested testimony from CEO George Kurtz on July 22, but was told by the company that Mr. Meyers was the appropriate witness. ワシントンD.C. — 今週、マーク・E・グリーン下院議員(共和党、テネシー州選出)とアンドリュー・ガバリノ下院議員(共和党、ニューヨーク州選出)が率いる下院国土安全保障委員会のサイバーセキュリティ・インフラ保護小委員会は、2024年7月19日に大規模なIT(情報技術)障害を引き起こしたCrowdStrikeの欠陥のあるソフトウェアアップデートを調査するための公聴会を開催した。公聴会では、CrowdStrikeの敵対者対策業務担当上級副社長アダム・メイヤーズ氏から証言を受けた。委員会は当初、7月22日にCEOのジョージ・クルツ氏から証言を受けるよう要請したが、同社からメイヤーズ氏が適切な証人であると伝えられた。
Members examined how the defective update caused an outage across industry sectors, as well as how CrowdStrike has since adjusted its processes for pre-deployment testing and the rollout of updates. Members also expressed concerns about the company’s security culture, the impact of the outage on government networks, such as the Cybersecurity and Infrastructure Security Agency (CISA), and how the cross-sector impacts of the outage could serve as a dangerous inspiration for America’s cyber adversaries. 議員らは、欠陥のあるアップデートが業界全体にわたって停電を引き起こした経緯、および、CrowdStrikeがそれ以降、展開前のテストとアップデートのロールアウトのプロセスをどのように調整したかを調査した。議員らはまた、同社のセキュリティ文化、サイバーセキュリティ・インフラセキュリティ庁(CISA)などの政府ネットワークへの停電の影響、および、停電がさまざまな業界に及ぼした影響が、アメリカのサイバー敵対者にとって危険なインスピレーションとなる可能性について懸念を表明した。
Image36
In Chairman Green’s opening statement, he highlighted the potential homeland security implications of the IT outage: グリーン議長の冒頭の声明では、IT障害が国土安全保障に及ぼす潜在的な影響について次のように強調した。
“As the July 19th outage has demonstrated yet again, our networks are increasingly interconnected. While we know that nation-state actors and criminals try to exploit our networks, we would not expect companies to defend themselves from these targeted attacks. However, as I emphasized with the President of Microsoft in June, we do expect companies to implement the strongest cybersecurity practices possible. Our nation’s security depends on a strong public-private partnership for protecting our networks. …  In August, CISA Director Jen Easterly described this incident as, ‘a useful exercise — a dress rehearsal for what China may want to do to us.’ We look forward to working with you to make sure we never make it to opening night.” 「7月19日の障害がまたも示したように、私たちのネットワークはますます相互接続されている。国家による行為や犯罪者が私たちのネットワークを悪用しようとしていることは承知しているが、企業がこうした標的型攻撃から自らを守ることは期待できない。しかし、6月にマイクロソフト社の社長と強調したように、企業が可能な限り最善のサイバーセキュリティ対策を実施することは期待している。わが国の安全保障は、ネットワーク防御のための強力な官民連携に依存している。…8月、CISAのジェン・イースタリー長官は、このインシデントを「有益な演習であり、中国が米国に対して行う可能性があることの予行演習」と表現した。私たちは、初日を迎えることが決してないよう、皆様と協力していきたいと考えている。
In his line of questioning, Chairman Green asked Meyers how the decision was made to launch the update グリーン委員長は、メイヤーズ氏にアップデートの開始がどのように決定されたのかを尋ねた。
“Who made the decision to launch the update? Did AI do that or did an individual do that––and can you tell me how that decision was made?”  「アップデートの開始を決定したのは誰か? その決定はAIが行ったのか、それとも個人が行ったのか、そしてその決定がどのように下されたのかを教えてほしい」
Meyers answered: メイヤーズ氏は次のように答えた。
“AI was not responsible for making any decision in that process. It is part of a standard process. We release 10 to 12 of these updates, content updates, every single day. So, that was part of our standard operating procedure.”  「AIは、そのプロセスにおけるいかなる決定にも関与していない。 これは標準的なプロセスの一部である。 当社は、コンテンツのアップデートを10から12件、毎日リリースしている。 つまり、これは標準的な業務手順の一部であった」 
Chairman Green continued:  グリーン委員長はさらに続けた。
“These updates are automatic globally?” 「これらのアップデートは世界中で自動的に行われたのか?
Meyers answered:  メイヤーズ氏は答えた。
“The updates were distributed to all customers in one session. We’ve since revised that. In the full testimony, I’ve included a graphic that depicts what that now looks like and that is no longer the case.”  「アップデートは1回のセッションで全顧客に配信された。その後、修正した。証言の全文には、現在の状況を示す図表を添付している。
Image37
Subcommittee Chairman Garbarino questioned Meyers on why government agencies were also affected: 小委員会のガバリノ委員長は、政府機関も影響を受けた理由についてメイヤーズ氏に質問した。
“There was reporting about CrowdStrike’s faulty software update—it’s largely focused on commercial operations, like emergency services, flights, but there was also a big impact on federal agencies such as the FCC, Social Security, CBP, and even CISA. Although networks are becoming increasingly interconnected, government networks should be isolated from commercial ones. Why were federal agencies impacted by this outage? Are there different updates to test for commercial versus government business when you deal with your clients, or is it all the same?”   「CrowdStrikeのソフトウェア更新に欠陥があったという報道がありました。これは主に緊急サービスや航空便などの商業業務に焦点を当てたものですが、FCC、社会保障、CBP、さらにはCISAなどの連邦政府機関にも大きな影響がありました。ネットワークはますます相互接続されるようになっていますが、政府のネットワークは商業ネットワークから分離されるべきです。なぜ連邦政府機関がこの停電の影響を受けたのでしょうか? 顧客と取引する際に、商業用と政府用でテストするアップデートが異なるのか、それともすべて同じなのか?」 
Meyers replied:  メイヤーズ氏は次のように答えた。
“The updates went to Microsoft Windows operating system sensors that CrowdStrike had deployed. So that would have impacted any system that was running Microsoft operating system with that particular version of CrowdStrike Falcon that was online during the time period that the channel file was distributed.”  「アップデートは、CrowdStrikeが展開したMicrosoft Windowsオペレーティングシステムのセンサーに送られた。そのため、チャンネルファイルが配布された期間中にオンラインになっていた、特定バージョンのCrowdStrike Falconを搭載したMicrosoftオペレーティングシステムを実行しているシステムすべてに影響が及んだ。
Chairman Garbarino continued:  ガバリノ議長は続けた。
“So, as long as Microsoft was on that computer, using that system––whether it was government or commercial––it didn’t matter. It was affected.”  「つまり、Microsoftがそのコンピュータ上で、政府または商業用に関わらず、そのシステムを使用している限り、影響を受けるということだ。」 
Meyers replied:  メイヤーズ氏は次のように答えた。
“As long as the CrowdStrike sensor is running on the Microsoft operating systems––on those systems at that time––yes.”  「CrowdStrikeセンサーがMicrosoftオペレーティングシステム上で動作している限り、つまり、その時点ではそのシステム上で動作している限り、その通りだ。」 
Image39
Representative Mike Ezell (R-NY) asked Meyers about concerning reports on how CrowdStrike handles staffing decisions and suppor 代表者マイク・エゼル(共和党、ニューヨーク州選出)は、CrowdStrikeの人員配置の決定とサポートに関する報告について、メイヤーズ氏に質問した。
“A recent article stated that, ‘engineers and threat hunters were given just two months for work that would have normally taken a year.’ Additionally, the article noted that CrowdStrike confirmed its use of  ‘existing engineers instead of hiring a new team of cloud threat hunters.’ Pearl River Community College and many others in my district offer an excellent cybersecurity technology program for our next generation of students to help fill this unsettling skills gap. Do you make these staffing decisions because of a lack of adequate job force in the industry?”  「最近の報道では、『エンジニアや脅威ハンターは通常1年かかる仕事をわずか2か月でこなすよう命じられた』と述べられていた。さらに、記事では、クラウド脅威ハンターの新しいチームを雇用する代わりに、既存のエンジニアを活用するとCrowdStrikeが確認したと指摘していた。パールリバー・コミュニティ・カレッジをはじめ、私の選挙区内の多くの大学では、次世代の学生を対象に、この不安を煽るスキルギャップを埋めるための優れたサイバーセキュリティ技術プログラムを提供している。このような人員配置の決定は、業界で十分な労働力が不足していることが理由ですか?」
Meyers answered:  メイヤーズ氏は次のように答えた。
“We have a robust internship program. We bring some of the most talented from these internal and external internship programs, and recruit from all over the country and all over the world in order to fill positions.”  「当社には充実したインターンシップ・プログラムがある。社内および社外のインターンシップ・プログラムから最も優秀な人材を一部採用し、また、全米および世界中から採用して、ポジションを埋めている。
Rep. Ezell continued:  エゼル議員はさらに続けた。
“What steps do you take to better support your staff and ensure that they have the right tools and skills to succeed?”  「スタッフをより良くサポートし、成功に必要な適切なツールとスキルを確実に習得させるために、どのような対策を講じていますか?」
Meyers answered: メイヤーズ氏は次のように答えた。
“We have extensive internal training programs. We also send our team to various trainings across the globe, different industry trainings at conferences, and other programs where they can learn new skills and continue to develop their existing skills. We also have some of our own researchers and analysts conduct trainings at those same events to help train individuals that are not yet in the workforce, or working at other companies, in order to learn some of the critical skills that are needed to identify and to track advanced threat actors.”  「当社には広範な社内研修プログラムがあります。また、当社のチームを世界各地のさまざまな研修や、会議での異業種研修、その他、新しいスキルを習得し、既存のスキルを継続的に向上させることができるプログラムに参加させています。また、当社の研究者やアナリストが、同じイベントでトレーニングを実施し、まだ社会に出ていない人や他社で働いている人に対して、高度な脅威行為者を識別し追跡するために必要な重要なスキルを習得する手助けもしている。
Image41
Representative Laurel Lee (R-FL) questioned Meyers on the risks and benefits of CrowdStrike’s cybersecurity software running at the core of the operating system––the kernel––rather than the user space: ローレル・リー(フロリダ州選出、共和党)代表者は、ユーザー空間ではなく、オペレーティングシステムの中心であるカーネルで動作するCrowdStrikeのサイバーセキュリティソフトウェアのリスクと利点について、メイヤーズ氏に質問した。
“CrowdStrike has this really extraordinary access into the kernel of the operating system, and you all were talking a bit about the risk versus efficiency of having this kind of access and making updates within the kernel. Share with me your thoughts on whether this incident could have been averted, or future incidents could be averted, by using the user space for this kind of update.” 「CrowdStrikeはオペレーティングシステムのカーネルに非常に特別なアクセス権限を持っています。この種のアクセス権限を持ち、カーネル内で更新を行うことのリスクと効率性について、皆さんも少しお話しされていましたね。この種の更新にユーザー領域を使用することで、今回のインシデントや将来のインシデントを回避できた可能性があるかどうか、ご意見をお聞かせください。」
Meyers replied:  メイヤーズ氏は次のように答えた。
“Thank you for the question. The kernel, as I said, provides the visibility, the enforcement mechanism, the telemetry and visibility, as well as the anti-tamper. So, I would suggest that while things can be conducted in user mode from a security perspective, kernel visibility is certainly critical to ensuring that a threat actor does not insert themselves into the kernel themselves and disable or remove the security products and features.”  「ご質問ありがとうございます。 私が申し上げたように、カーネルは可視性、強制メカニズム、遠隔測定および可視性、そして改ざん防止を提供します。 ですから、セキュリティの観点からユーザーモードで実行できるとしても、脅威行為者が自らカーネルに侵入し、セキュリティ製品や機能を無効化または削除することがないよう、カーネルの可視性は確かに重要です。」 
Rep. Lee continued:  リー議員はさらに続けた。
“So, is it your assessment then that it’s not possible, really in realistic terms, to do it outside of the kernel?”  「では、現実的な観点から見て、カーネル外で実行することは不可能だというのがあなたのアセスメントですか?」
Meyers replied: メイヤーズ氏は次のように答えた。
“With the current kernel architecture, this is the most effective way to get the visibility and to prevent an adversary from tampering with security tools.”  「現在のカーネルアーキテクチャでは、可視性を確保し、敵対者がセキュリティツールを改ざんするのを防ぐには、これが最も効果的な方法です。」
Rep. Lee pressed:  リー議員はさらに追及した。
“So, it’s ‘the most effective way,’ but it’s not the only way possible?”  「最も効果的な方法」ではあるが、唯一の方法ではないということですね?」 
Meyers replied: メイヤーズ氏は次のように答えた。
“It is certainly the industry standard to use the kernel for visibility, enforcement, and anti-tamper––to ensure that you can stop a threat.”  「可視性、施行、および改ざん防止にカーネルを使用することは、業界標準です。脅威を確実に阻止できるようにするためです。
Rep. Lee continued:  リー議員は続けた。
“You’ve testified thus far that you’ve made modifications to the phased rollout approach and also the pre-deployment testing. What other modifications has CrowdStrike made or changes to your internal practices to avert future-similar incidents?”  「あなたはこれまで、段階的展開のアプローチと展開前のテストに修正を加えたと証言してきました。同様のインシデントを今後回避するために、CrowdStrikeは他にどのような修正を加え、社内での業務をどのように変更したのですか?」
Meyers answered: メイヤーズ氏は次のように答えた。
“That is the primary change that we’ve made.”  「それが私たちが実施した主な変更点です。」 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.14 米国 FTC ブログ 機能停止を回避し、広範囲にわたるシステム障害

・2024.08.11 CROWDSTRIKE ファルコンのトラブルの根本原因分析報告書 (2024.08.06)

・2024.08.05 米国 GAO ブログ CrowdStrikeの混乱がソフトウェア・アップデートによる主要なサイバー脆弱性を浮き彫りにする (2024.07.30)

・2024.07.20 米国 CISAもCrowdStrikeの更新の問題について情報提供をしていますね...はやい...

 

 

| | Comments (0)

経済産業省 第1回 サイバーインフラ事業者に求められる役割等の検討会 (2024.09.24)

こんにちは、丸山満彦です。

経済産業省の「サイバーインフラ事業者に求められる役割等の検討会」の第1回会議の資料等が公開されていますね...

サイバーインフラ事業者というのは誰か?ということですが、

  1. 開発者:システム・サービス開発に従事する事業者・人員
  2. 供給者:顧客に、システム・サービスを提供する事業者・人員
  3. 運用者:顧客に、システム・サービス運用を提供する事業者・人員

を想定しているようです。

で、対象は、ソフトウェア

ソフトウェアには、

  1. ソフトウェア製品クラウドサービスを含む)
  2. IT/OTシステムまたはICTサービスを構成する構成ソフトウェア(専用に開発するソフトウェアのほか、パッケージソフトウェア、ソフトウェアライブラリ、オープンソースソフトウェアなどのソフトウェア製品も含む)
  3. OT/IoT機器などのハードウェア製品組込みソフトウェアファームウェアも含む)

となっています。

論理的にはPCのOSも含むことになるのでしょうね...そして、IaaSも...

日本でサービスを展開している海外事業者も対象となるという想定ですよね...

でも、まぁ、ガイドラインですし、海外事業者があまり気にしないというのは想定内?

 

このWGでは、基準をつくって、普及させるための自己適合宣言といったことも考えているようですね。

気になるのは、要求事項をどのように決めるのかということですね。。。

実施してもらう要求事項について、WG側で実行の難易度を想定して決めるような進め方になっています?が、もしそうだとするとそれは良くないですね。

・WGは社会的に実施が必要と考える要求事項を考える。

・事業者側でリスク便益分析をした上で実施すべき要求事項を決める。(実行の難易度は事業者側で決める)

とすべきですね。こういう進め方は政府で統一してすべきですね。リスクアセスメントはあくまでも事業者が実施する。

WGの委員の方も経済産業省の方もちょっと考えてほしいところです...

 

自己適合宣言は、普及のための施策としてありと思います。その際に、経済産業省等の公式ウェブで自己適合宣言をしている企業の名前を公表すべきだと思います。そのほうが、利用者側も確認しやすい!

そして、その企業の自己適合宣言に誤り等があると自己が判断した場合は、取り下げることもありと思います。取り下げには、その記録も合わせて公表すべきですね。

これも制度をする上で重要なポイントと思います。

 

● 経済産業省産業サイバーセキュリティ研究会 - WG1(制度・技術・標準化) - WG1(分野横断SWG) - サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース

・2024.09.24 第1回 サイバーインフラ事業者に求められる役割等の検討会 

・・資料1 議事次第・配布資料一覧

・・資料2 委員名簿

・・資料3 本検討会の議事運営について

・・資料4 サイバーインフラ事業者に求められる役割等の検討の方向性

20240929-141817

・・参考資料 サイバーインフラ事業者に求められる役割等に関するガイドライン素案(委員限り)

 


 

何をしようとしているのかは、

20240929-142136

 

| | Comments (0)

2024.09.29

オランダ 個人データ庁 意見募集 「操作的欺瞞的、搾取的なAIシステム」

こんにちは、丸山満彦です。

オランダの個人データ庁が、禁止AIシステム、操作的欺瞞的、搾取的なAIシステムについての意見募集をしていますね...AI法の適用を見据えて、徐々にこのようなガイドが整備されていくのでしょうかね...

AI法第5条で禁止されるAIが8つ定義されています...

A:特定の操作型AIシステム(サブリミナル技術の利用等)
B:特定の搾取的AIシステム(個人や集団の弱みに漬け込む利用等)
C:ソーシャル・スコアを用いて作動する特定のAIシステム
D:個人による犯罪の可能性を予測する特定のAIシステム
E:顔画像の非標的スクレイピング
F:職場や教育における感情認識のための特定のAIシステム
G:生体認証による人物分類のための特定のAIシステム
H:法執行目的の公共の場における遠隔リアルタイム生体認証のための特定のAIシステム

このうち、

A:特定の操作型AIシステム(サブリミナル技術の利用等)
B:特定の搾取的AIシステム(個人や集団の弱みに漬け込む利用等)

についてのガイド案となるようです。

それ以外についても追って公表されるようです...次は、

F:職場や教育における感情認識のための特定のAIシステム

のようです。

 

● Autoriteit Persoonsgegevens

プレス...

・2024.09.27 Oproep voor input: verbod op manipulatieve en uitbuitende AI-systemen

Oproep voor input: verbod op manipulatieve en uitbuitende AI-systemen 意見募集:操作的で搾取的なAIシステムの禁止
De Directie Coördinatie Algoritmes (DCA) van de Autoriteit Persoonsgegevens (AP) vraagt input op de eerste twee verboden uit de AI-verordening.  個人データ庁(AP)のアルゴリズム調整局(DCA)は、AI規制における最初の2つの禁止事項に関する意見を求めている。
Input gevraagd 意見募集
In deze eerste oproep tot input gaan wij in op de eerste twee verboden in de AI-verordening: manipulatieve en misleidende AI-systemen (verbod A) en uitbuitende AI-systemen (verbod B). Later vragen wij ook om input op de andere verboden. この最初の意見募集では、AI規制における最初の2つの禁止事項、すなわち、操作的で誤解を招くようなAIシステム(禁止事項A)と搾取的なAIシステム(禁止事項B)を取り上げる。その後、その他の禁止事項についても意見を求める。
In de oproep worden specifieke criteria voor deze verboden AI-systemen toegelicht, waarbij ook vragen worden gesteld voor aanvullende input. U kunt uw input tot 17 november 2024 indienen. 今回の募集では、これらの禁止されるAIシステムの具体的な基準について、追加意見を求める質問も含めて説明する。2024年11月17日まで意見を提出できる。
Lees ook: Input op verboden AI-systemen 関連記事:禁止されるAIシステムについての意見

 

・2024.09.27 Input op verboden AI-systemen

Input op verboden AI-systemen 禁止されるAIシステムについての意見
Als coördinerend toezichthouder op algoritmes en AI is de AP van start gegaan met de voorbereiding van toezicht op verboden AI-toepassingen. Deze verboden zijn al per 2 februari 2025 van toepassing. アルゴリズムとAIに関する調整監督機関として、APは禁止されたAIアプリケーションの監督準備を開始した。これらの禁止は早ければ2025年2月2日から適用される。
Input gevraagd 求められる意見
Bedrijfsleven, overheden, belangengroeperingen en het brede publiek worden opgeroepen input te geven op verschillende verboden uit de AI-verordening. Met de opbrengst kan gewerkt worden aan de verdere uitleg van de verboden AI-systemen. 企業、政府、利益団体、一般市民は、AI規制における様々な禁止事項について意見を提供するよう求められている。寄せられた意見は、AI禁止事項のさらなる説明に役立てられる。
De AI-verordening kent meerdere verboden, daarom komt er een serie van oproepen. AI規制にはいくつかの禁止事項があり、そのため一連の募集が行われる。
Oproep 1: verbod op manipulatieve en uitbuitende AI-systemen 募集1:操作的搾取的なAIシステムの禁止
In de eerste oproep voor input gaan wij in op de eerste twee verboden in de AI-verordening: manipulatieve en misleidende AI-systemen (verbod A) en uitbuitende AI-systemen (verbod B). Later vragen wij ook om input op de andere verboden. 最初の意見募集では、AI規制の最初の2つの禁止事項、すなわち、操作的欺瞞的なAIシステム(禁止事項A)と搾取的なAIシステム(禁止事項B)を取り上げる。その後、他の禁止事項についても意見を求める。
In de oproep worden specifieke criteria voor deze verboden AI-systemen toegelicht, waarbij ook vragen worden gesteld voor aanvullende input. U kunt uw input tot 17 november 2024 indienen. 募集では、追加意見を求める質問を含め、これらの禁止されるAIシステムの具体的な基準を説明する。2024年11月17日まで意見を提出できる。

 

・[PDF] Manipulatieve, misleidende en uitbuitende AI-systemen - Verbodsbepalingen in EU-verordening 2024/1689 (AI-verordening)

20240928-202548

 

Oproep tot input  意見募集 
Manipulatieve, misleidende en uitbuitende AI-systemen  操作的欺瞞的、搾取的なAIシステム 
Verbodsbepalingen in EU-verordening 2024/1689 (AI-verordening)  EU規則2024/1689(AI規則)における禁止事項 
Autoriteit Persoonsgegevens - Directie Coördinatie Algoritmes (DCA)  個人データ機関 - アルゴリズム調整局(DCA) 
Sep-24 9月24日
 DCA-2024-01   DCA-2024-01 
Samenvatting 概要
De Europese AI-verordening (2024/1689) is sinds 1 augustus 2024 van kracht en reguleert het gebruik van AI in de Europese Unie (EU) door middel van een risico-gebaseerde aanpak. Als gevolg hiervan zijn bepaalde AI-systemen die een onaanvaardbaar risico met zich meebrengen vanaf 2 februari 2025 verboden.  欧州AI規則(2024/1689)は2024年8月1日から施行されており、欧州連合(EU)におけるAIの利用をリスクベースアプローチで規制している。その結果、許容できないリスクをもたらす特定のAIシステムは2025年2月2日から禁止される。 
Het is aan toezichthouders op de AI-verordening om uitleg te even over de wijze waarop ten behoeve van toezicht invulling wordt gegeven aan de in deze verordening opgenomen verboden. Ter voorbereiding daarop vraagt de Autoriteit Persoonsgegevens (AP) via deze oproep tot input om behoeften, informatie en inzichten van belanghebbenden (burgers, overheden, bedrijven en andere organisaties) en hun vertegenwoordigingen. Alle reacties kunnen worden meegenomen in de verdere uitleg van de verboden AI-systemen.  AI規制の監督当局は、監督上、この規制に含まれる禁止事項がどのように実施されるかを説明する必要がある。この準備のため、個人情報機関(AP)は、この意見募集を通じて、利害関係者(市民、政府、企業、その他の組織)およびその代理人からのニーズ、情報、洞察を求めている。 すべての回答は、禁止されているAIシステムのさらなる説明において考慮することができる。 
In deze eerste oproep tot input gaan wij in op de eerste twee verboden: manipulatieve en misleidende AI-systemen (verbod A) en uitbuitende AI-systemen (verbod B). Later vragen wij ook om input op de andere verboden. In dit document worden specifieke criteria voor deze verboden AI-systemen toegelicht, waarbij ook vragen worden gesteld voor aanvullende input. Input kan tot 17 november 2024 worden ingediend.  この最初の意見募集では、最初の2つの禁止事項、すなわち、操作的で欺瞞的なAIシステム(禁止事項A)と搾取的なAIシステム(禁止事項B)を取り上げる。その後、他の禁止事項についても意見を求める。この文書では、これらの禁止されるAIシステムの具体的な基準について説明し、追加的な意見を求める質問を含む。意見は2024年11月17日まで提出できる。
De AP doet deze oproep tot input vanuit haar rol als coördinerend toezichthouder op algoritmes en AI. Deze taken zijn binnen de AP belegd bij de directie Coördinatie Algoritmes (DCA). Tevens ligt de oproep tot input in het verlengde van het voorbereidende werk dat wordt gedaan ten behoeve van het toezicht op verboden AI-systemen onder de AIverordening. De regering werkt op dit moment aan de formele aanwijzing van nationale toezichthouders voor de AI-verordening.  APは、アルゴリズムとAIの調整規制機関としての役割から、この意見募集を行っている。これらの業務はAP内のアルゴリズム調整局(DCA)に委ねられている。また、今回の意見募集は、AI規則のもとで禁止されているAIシステムの監督に向けて行われている準備作業に沿ったものである。政府は現在、AI規則の国内規制当局の正式な指定に向けて作業を進めている。
I. Achtergrond  I. 背景 
1. Sinds 1 augustus 2024 is de Europese AI-verordening (2024/1689) van kracht. Deze verordening bevat regels over het aanbieden en gebruiken van artificiële (kunstmatige) intelligentie (AI) in de EU. Het uitgangspunt van de AI-verordening is dat er vele nuttige toepassingen van AI zijn, maar dat de technologie ook risico’s met zich meebrengt, die beheerst moeten worden. De wet is daarbij risicogericht. Daarbij zullen voor systemen met een hoger risico strengere regels gaan gelden. Sommige systemen brengen echter dusdanige risico’s met zich mee dat het in de handel brengen of in gebruik nemen ervan volledig wordt verboden. AI-systemen brengen bijvoorbeeld een onaanvaardbaar risico met zich mee als ze worden ingezet voor manipulatie en uitbuiting. De verboden zijn opgenomen in artikel 5 van de AIverordening.  1. 欧州AI規則(2024/1689)は2024年8月1日より施行されている。この規則は、EUにおける人工(AI)知能の提供と利用に関する規則を定めたものである。AI規制の前提は、AIには多くの有用な用途があるが、技術にはリスクもあり、それを管理しなければならないということである。この観点から、法律はリスクベースとなっている。そうすることで、リスクの高いシステムにはより厳しい規則が適用されることになる。しかし、システムの中には、市場投入やサービス開始が完全に禁止されるようなリスクをもたらすものもある。例えば、AIシステムは、操作や搾取に使用される場合、容認できないリスクをもたらす。禁止事項はAI規制の第5条に定められている。 
Verboden AI-toepassingen vanaf februari 2025  2025年2月から禁止されるAIアプリケーション 
2. De verboden in de AI-verordening worden snel van toepassing. Vanaf 2 februari 2025 mogen de in artikel 5 opgenomen verboden AI-systemen niet meer op de Europese markt worden aangeboden of gebruikt. Vanaf 2 augustus 2025 moeten de toezichthouders zijn aangewezen en kunnen er sancties worden opgelegd voor overtredingen van de verboden. Voorafgaand zouden overtreding van de verboden al kunnen leiden tot civielrechtelijke aansprakelijkheid.  2. AI規制の禁止事項は間もなく適用される。2025年2月2日以降、第5条に記載された禁止されたAIシステムは、欧州市場において入手または使用することができなくなる。2025年8月2日からは、監督者を任命し、禁止事項に違反した場合には制裁を科すことができる。禁止事項に違反した場合は、すでに民事責任を問われる可能性がある。 
Toezicht op naleving van de verbodsbepalingen  禁止遵守の監視 
3. Welke toezichthouder in Nederland toezicht zal houden op de naleving van de verboden wordt vastgelegd in wetgeving waaraan de Nederlandse regering momenteel werkt. De AP (vanuit de directie Coördinatie Algoritmes) en de Rijksinspectie Digitale Infrastructuur (RDI) geven hierover advies in samenwerking en afstemming met andere toezichthouders. In een tweede tussenadvies hebben de toezichthouders in mei 2024 voorgesteld de AP hoofdverantwoordelijk te maken voor het toezicht op naleving van de bepalingen omtrent verboden AI. Bij opvolging van de adviezen zal de AP voor de verboden op manipulatieve en uitbuitende AI-systemen nauw samenwerken met andere relevante toezichthouders, in het bijzonder met de Autoriteit Financiële Markten (AFM). De toezichthouders adviseren het kabinet namelijk om de AFM aan te wijzen als marktautoriteit wanneer verboden AI-systemen worden gebruikt in het toezichtsveld van de AFM. Ook dient in ieder geval te worden afgestemd met de Autoriteit Consument & Markt (ACM) vanwege de raakvlakken met de bepalingen over manipulatieve en misleidende praktijken in onder andere het consumentenrecht en de Digitale dienstenverordening (Digital Services Act; DSA).  3. オランダのどの規制当局が禁止事項の遵守を監督するかは、オランダ政府が現在作成中の法律で規定される。AP(アルゴリズム調整局より)とデジタルインフラ局(RDI)は、他の規制当局と協力・協調しながら、この点について助言を行っている。2024年5月の2回目の中間アドバイスでは、規制当局は、禁止AIに関する規定の遵守を監視する主な責任をAPに負わせることを提案した。この助言に従えば、APは操作的で搾取的なAIシステムの禁止に関して、他の関連規制当局、特に金融市場庁(AFM)と緊密に連携することになる。実際、規制当局は、禁止されているAIシステムがAFMの監督領域で使用される場合、AFMを市場当局として指定するよう政府に助言している。また、消費者法やデジタルサービス法(DSA)などにおける操作的・欺瞞的行為に関する規定との接点があるため、どのような場合でも消費者市場庁(ACM)との連携が必要である。
4. Met deze oproep tot input wordt een voorbereidende basis gelegd voor verdere uitleg van de verboden in de AI-verordening. Omdat de verboden in deze oproep raken aan AI-systemen die ook onder ander Unierecht vallen is afgestemd met het Samenwerkingsplatform Digitale Toezichthouders (AI en Algoritmekamer) en is de oproep ook besproken in de Werkgroep Toezichthouders op AI, aansluitend op de gedachte van artikel 78, 8e lid van de AI Act om andere nationale toezichthouders te betrekken die verantwoordelijk zijn voor ander Unierecht dat van toepassing is op AI systemen.
4.この意見募集は、AI規則における禁止事項のさらなる解釈のための準備基盤となるものである。本意見募集の禁止事項は、他のEU法でもカバーされているAIシステムに関するものであるため、デジタル監督者協力プラットフォーム(AI・アルゴリズム会議所)と調整され、AIシステムに適用される他のEU法を担当する他の国の監督者を巻き込むというAI法第78条8項の考えに沿って、AI監督者ワーキンググループでも議論されている。
II. Doel en proces oproep tot input  II. 意見募集の目的とプロセス 
Doel: waarom vragen wij om input 目的:なぜ意見を求めるのか
5. Het is aan toezichthouders op de AI-verordening om uitleg te geven over de wijze waarop ten behoeve van toezicht invulling wordt gegeven aan de in deze verordening opgenomen verboden. Ter voorbereiding vraagt de AP via deze oproep om behoeftes, informatie en inzichten van belanghebbenden (burgers, overheden, bedrijven en andere organisaties) en hun vertegenwoordigingen. Deze reacties kunnen worden meegenomen in de verdere uitleg over de verboden op AI-systemen die manipulatieve en misleidende of uitbuitingspraktijken gebruiken. Deze taak wordt binnen de AP uitgevoerd door de directie Coördinatie Algoritmes (DCA).  5. AI規則の監督当局は、本規則に含まれる禁止事項が監督の目的のためにどのように解釈され るかを説明する必要がある。その準備として、APはこの呼びかけを通じて、利害関係者(市民、政府、企業、その他の組織)およびその代理人からのニーズ、情報、洞察を求める。これらの回答は、操作的で欺瞞的、または搾取的な慣行を使用するAIシステムの禁止についてさらに説明する際に考慮される。このタスクは、AP内ではアルゴリズム調整局(DCA)によって遂行される。 
6. Deze oproep tot input gaat in het bijzonder om de verboden in lid 1, onderdelen a en b van artikel 5 van de AI-verordening. De wetstekst en toelichting uit de overwegingen bij de wet vormen de basis voor deze oproep tot input. Gezien de omvang en de reikwijdte van deze eerste twee verbodsbepalingen is ervoor gekozen om een oproep tot input voor deze bepalingen te publiceren. Zie de bijlage van dit document voor een overzicht van de verboden in onderdelen a tot en met g van artikel 5 lid 1 van de AI-verordening.  6. この意見募集は、特にAI規則第5条第1項(a)および(b)の禁止事項を取り上げている。本意見募集の根拠となるのは、同法のリサイタルにある法文と説明である。この最初の2つの禁止事項の規模と範囲を考慮し、これらの条項に関する意見募集を公表することを選択した。AI規則第5条第1項a~gの禁止事項の概要については、本文書の付属文書を参照のこと。
7. In deze oproep tot input worden specifieke onderdelen van deze twee verbodsbepalingen uitgelicht. Het gaat hierbij in bijna alle gevallen om specifieke criteria waaraan moet worden voldaan om wel of niet onder de verbodsbepalingen te vallen. We geven steeds een korte toelichting op basis van de uitleg die de wetgever geeft in de toelichting op de AI-verordening. In enkele gevallen geven wij onze eigen uitleg. Vervolgens stellen wij enkele vragen.  7. この意見募集は、これら2つの禁止事項の特定の部分に焦点を当てたものである。ほとんどの場合、禁止事項に該当する、あるいは該当しないために満たさなければならない具体的な基準である。私たちは常に、AI規則の注釈にある立法者の説明に基づいて簡単な説明を行う。場合によっては独自の説明をすることもある。その後、いくつかの質問をする。
Proces: zo stuurt u uw input naar ons  プロセス:このようにして私たちに意見を送る。
8. U bepaalt zelf welke vragen u beantwoordt. Ook kunt u, buiten de gestelde vragen, andere relevante input meegeven. Mail uw reactie uiterlijk 17 november 2024 naar [mail]
onder vermelding van oproep tot input DCA-2024-01 (“manipulatieve, misleidende en uitbuitende AIsystemen”) en uw naam en/of organisatie. Indien u dat wenst ontvangen wij ook graag uw contactgegevens zodat wij u kunnen bereiken als wij eventueel nog vragen hebben. Wanneer wij uw input hebben ontvangen, sturen wij een bevestiging per e-mail. 
8. どの質問に答えるかはあなたが決める。質問されたこと以外にも、関連する意見を提供することができる。2024年11月17日までに、意見募集DCA-2024-01(「操作的、誤解を招く、搾取的なAIシステム」)と、あなたの氏名および/または組織を明記の上、[mail] まで。希望であれば、さらに質問がある場合に連絡できるよう、連絡先の詳細もお知らせいただきたい。あなたの入力を受け取り次第、確認の電子メールを送信する。 
Vervolg: wat doen wij met uw input?  フォローアップ:あなたの意見をどうするか?
9. De AP zal na de sluiting va deze oproep tot input een samenvatting en appreciatie van de inbreng over manipulatieve, misleidende en uitbuitende AI-systemen publiceren. In deze samenvatting zullen wij in generieke termen verwijzen naar de ontvangen input (bijvoorbeeld: “meerdere sectorvertegenwoordigende organisaties geven aan”, “een ontwikkelaar van AI-systemen wijst er op dat”, “vanuit organisaties die zich sterk maken voor grondrechten wordt opgemerkt dat”). Indien u dit wenst en aangeeft, is het een mogelijkheid dat wij uw organisatie of groepering expliciet benoemen. Middels onze samenvattende en appreciërende reactie kunnen wij de opgedane kennis daarbij ook delen met andere (Europese) toezichthouders op AI. Zo kan de opgehaalde input bijvoorbeeld gebruikt worden bij het opstellen van richtsnoeren over de verboden. Op Europees niveau kan de AI Office, een onderdeel van de Europese Commissie, dergelijke guidelines ook samen met de toezichthouders opstellen.  9. APは本意見募集の終了後、操作的、誤解を招く、搾取的なAIシステムに関する意見の要約と評価を公表する。この要約では、寄せられた意見について一般的な用語で言及する(例えば、「複数の業界代表組織からの指摘」、「AIシステムの開発者からの指摘」、「基本的権利擁護組織からの指摘」など)。ご希望があれば、あなたの組織や団体名を明示することも可能である。要約と感謝の回答を通じて、このプロセスで得られた知識を、AIに関する他の(欧州の)規制当局と共有することもできる。例えば、禁止事項に関するガイドラインを起草する際に、収集した意見を利用することができる。欧州レベルでは、欧州委員会の一部であるAI事務局が、規制当局とともにそのようなガイドラインを起草することもできる。 
10.We gebruiken uw input alleen voor onze taak om informatie en inzichten te verkrijgen over de verboden in de AI-verordening. Wij verwijderen uw persoonsgegevens na publicatie van onze samenvatting en appreciatie van de input. Tenzij u toestemming heeft gegeven voor verder gebruik. Bekijk voor meer informatie over hoe wij persoonsgegevens verwerken: De AP en privacy.  10.当社は、AI規則の禁止事項に関する情報と見識を得るという当社の任務のためにのみ、あなたの意見を使用する。ご意見の要約と評価を公表した後、あなたの個人データを削除する。ただし、お客様がさらなる使用を許可した場合を除く。個人情報の取り扱いに関する詳細は、APとプライバシーを参照のこと。 
Er komen meer oproepen voor input aan  さらなる意見募集のお知らせ 
11. Na deze oproep komen er meer oproepen voor input over andere onderdelen van de AI-verordening, inclusief de andere verboden. De AP wil op korte termijn een oproep doen voor input op verbod F: AIsystemen voor emotieherkenning op de werkplek of in het onderwijs.  11. この意見募集の後、他の禁止事項を含むAI規制の他の部分についても意見募集を行う予定である。APは近い将来、禁止事項F:職場や教育における感情認識のためのAIシステムに関する意見募集を行う予定である。 
III. Definitie van verbodsbepalingen manipulatieve, misleidende en uitbuitende AI-systemen  III. 操作的、誤解を招く、搾取的なAIシステムの禁止事項の定義 
Algemene reikwijdte verboden AI-systemen  禁止されるAIシステムの一般的範囲 
12.De AI-verordening (en de verboden daarin) zijn van toepassing op ‘AI-systemen’. Ter bepaling of de verordening van toepassing is, is de eerste vraag of het product valt onder de definitie van AI-systeem:  12.AI規則(およびその中の禁止事項)は、「AIシステム」に適用される。規制が適用されるかどうかを判断するにあたっては、まず、製品がAIシステムの定義に該当するかどうかが問題となる: 
“Een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen.”  「さまざまなレベルの自律性で動作するように設計され、導入後は適応性を示すことができる機械ベースのシステムであって、明示的または黙示的な目的のために、物理的または仮想的な環境に影響を及ぼす可能性のある予測、コンテンツ、推奨、決定などの出力を生成する方法を、受け取った入力から導き出すもの」。 
13.De verboden zijn gericht aan aanbieders (bijv. ontwikkelaars), gebruiksverantwoordelijken, importeurs, distributeurs en andere operatoren. Zij mogen de verboden AI-systemen niet in de handel brengen, in gebruik stellen of gebruiken. Het is voor de bovenstaande operatoren dus van belang dat ze zekerstellen dat ze geen verboden AI-systeem in de handel brengen of gebruiken. Hiervoor zullen ze moeten nagaan of het desbetreffende AI-systeem valt onder de verbodsbepalingen in artikel 5.  13.禁止対象は、プロバイダー(開発者など)、ユースケース、輸入業者、販売業者、その他の事業者である。これらの事業者は、禁止されたAIシステムを販売、委託、使用することはできない。 したがって、上記の事業者は、禁止されたAIシステムを市場に出したり、使用したりしないようにすることが重要である。そのためには、当該AIシステムが第5条の禁止事項に該当するかどうかを確認する必要がある。 
Inhoud eerste twee verbodsbepalingen  最初の2つの禁止事項の内容 
14.Deze oproep tot input richt zich op de verboden die in onderdeel a en b van artikel 5 lid 1 worden omschreven. Allereerst verbiedt de AI-verordening AI-systemen die gebruik maken van manipulatieve of misleidende technieken (hierna: manipulatieve systemen). In het vervolg van deze oproep tot input spreken we van “verbod A”. In de verordening is dit verbod als volgt omschreven:  14.今回の意見募集では、第5条(1)の(a)項と(b)項に規定される禁止事項に焦点を当てる。まず、AI規則は、操作的又は欺瞞的な技術を使用するAIシステム(以下、操作的システム)を禁止している。本意見募集では、これを「禁止事項A」と呼ぶ。規則では、この禁止事項を以下のように定義している: 
Artikel 5 lid 1, onder a (“verbod A”):  第5条1項a(「禁止事項A」): 
“het in de handel brengen, het in gebruik stellen of het gebruiken van een AI-systeem dat subliminale technieken waarvan personen zich niet bewust zijn of doelbewust manipulatieve of misleidende technieken gebruikt, met als doel of effect het gedrag van personen of een groep personen wezenlijk te verstoren door hun vermogen om een geïnformeerd besluit te nemen merkbaar te belemmeren, waardoor een persoon een besluit neemt dat deze anders niet had genomen, op een wijze die ertoe leidt of er waarschijnlijk toe zal leiden dat deze of andere personen, of een groep personen, aanzienlijke schade oplopen;”  「人が知らないサブリミナル技法、または意図的に操作的もしくは欺瞞的な技法を使用するAIシステムを市場に投入、使用開始、または使用することで、その人または他の人、または人の集団に実質的な損害を与える、または与える可能性がある方法で、その人または人の集団が十分な情報を得た上で意思決定を行う能力を著しく損なうことによって、その人の行動を実質的に妨害し、それによってその人が他の方法では行わなかったであろう意思決定を行わせる目的または効果を持つこと。 
15.Daarop aansluitend verbiedt de verordening ook AI-systemen die gebruik maken van uitbuitingspraktijken (hierna: uitbuitende systemen). In deze oproep tot input spreken we van “verbod B”. Het gaat dan om:  15.これに続き、搾取的手法を用いるAIシステム(以下、搾取的システム)も禁止する。本意見募集では、これを「禁止事項B」と呼ぶ。これらは以下の通りである: 
Artikel 5 lid 1, onder b (“verbod B”):  第5条1項b(以下「禁止事項B」という: 
“het in de handel brengen, het in gebruik stellen of het gebruiken van een AI-systeem dat gebruikmaakt van de kwetsbaarheden van een persoon of specifieke groep personen als gevolg van hun leeftijd, handicap of een specifieke sociale of economische omstandigheid, met als doel of met als gevolg het gedrag van die persoon of personen die tot deze groep behoren, wezenlijk te verstoren op een wijze die ertoe leidt of waarvan redelijkerwijze te verwachten is dat deze ertoe zal leiden dat deze of andere personen aanzienlijke schade oplopen;”  「個人またはその集団に属する者の行動を、その者または他の者に実質的な危害をもたらすか、またはもたらす可能性が合理的に高い方法で実質的に妨害する目的または効果をもって、その者またはその集団に属する者の年齢、障害または特定の社会的もしくは経済的状況に起因する特定の集団の脆弱性を悪用するAIシステムを市場に投入、サービス開始または使用すること。
IV. Verbodscriteria en vragen  IV. 禁止基準と質問事項 
16. Om deze oproep tot input te structureren, worden in de volgende sectie afzonderlijke criteria van de verboden onder de aandacht gebracht. Deze criteria worden uitgelicht omdat ze belangrijke voorwaarden zijn om te bepalen of AI-systemen wel of niet onder verbod A of verbod B vallen. Voor elk criterium wordt een korte toelichting gegeven, gebaseerd op de uitleg van de wetgever in de toelichtende overwegingen bij de AI-verordening en in enkele gevallen de eigen interpretatie van de AP. Daarna volgen enkele begeleidende vragen die u kunt gebruiken bij het geven van uw input.  16. この意見募集を構成するため、以下のセクションでは、禁止事項の個々の基準を強調する。これらの基準が強調されているのは、AIシステムが禁止事項Aまたは禁止事項Bに該当するか否かを判断するための重要な条件だからである。各基準については、AI規則の説明リサイタルにおける立法者の説明と、場合によってはAP独自の解釈に基づき、簡単な説明を行う。続いて、意見を述べる際に利用できる付随的な質問をいくつか示す。
Criterium 1 (verbod A en B): op AI gebaseerde manipulatieve, misleidende of uitbuitingspraktijken  基準1(禁止事項AおよびB):AIに基づく操作的、欺瞞的または搾取的な慣行 
17. Om onder de verbodsbepalingen te vallen is het voor zowel manipulatieve of misleidende systemen (verbod A) als uitbuitende systemen (verbod B) een vereiste dat kan worden aangetoond dat de praktijk op AI is gebaseerd. Veel manipulatieve of misleidende praktijken zijn verboden onder het consumentenrecht met betrekking tot oneerlijke handelspraktijken. De verbodsbepalingen voor dergelijke AI-praktijken vormen een aanvulling op de bepalingen van Richtlijn 2005/29/EG van het Europees Parlement en de Raad, met name die bepalingen waarin is vastgesteld dat oneerlijke handelspraktijken die tot economische of financiële schade voor consumenten leiden onder alle omstandigheden verboden zijn, ongeacht of zij via AI-systemen of anderszins tot stand worden gebracht.  17. 禁止事項に該当するためには、操作的または欺瞞的なシステム(禁止事項A)、搾取的なシステム(禁止事項B)ともに、その行為がAIに基づくものであることを示す必要がある。操作的または欺瞞的な行為の多くは、不公正な商行為に関する消費者法で禁止されている。このようなAI慣行の禁止は、欧州議会および理事会指令2005/29/ECの規定を補完するものであり、特に、消費者に経済的または金銭的な損害をもたらす不公正な商行為は、それがAIシステムによって達成されたか否かにかかわらず、あらゆる状況において禁止されている。
Vragen bij criterium 1  基準1に関する質問 
1. Kunt u voorbeelden geven van systemen die zijn gebaseerd op AI en die (mogelijk) leiden tot manipulatieve of misleidende en/of uitbuitingspraktijken?  1. 操作的欺瞞的、および/または搾取的な行為につながる(可能性のある)AIベースのシステムの例を示すことができるか?
2. Kent u AI-systemen waarbij het voor u onvoldoende duidelijk is of deze leiden tot misleidende en manipulatieve en/of uitbuitingspraktijken? Waarover heeft u meer duidelijkheid nodig? Kunt u dit verder toelichten? 2. 誤解を招き、操作的、搾取的な行為につながるかどうかが十分に明確でないAIシステムを知っているか?何をより明確にする必要があるか?さらに詳しく説明できるか?
Gebruikmaking van (i) subliminale, manipulatieve en misleidende technieken of van (ii) kwetsbaarheden  (i)サブリミナル的、操作的、誤解を招くような手法の使用、または(ii)脆弱性の使用 
18. In de volgende paragrafen worden de onderdelen ‘subliminale en misleidende technieken’ (verbod A) en ‘kwetsbaarheden’ (verbod B) afzonderlijk omschreven. Deze onderdelen hebben exclusief betrekking op verbod A of verbod B en brengen dus verschillende vragen met zich mee.  18. 以下の段落では、「サブリミナル的で誤解を招くようなテクニック」(禁止事項 A)と「脆弱性」(禁止事項 B)を分けて記述する。これらのセクションは、禁止事項Aまたは禁止事項Bにのみ関連しており、したがって異なる問題を提起している。
Criterium 2 (verbod A): Gebruik maken van subliminale en misleidende technieken  基準2(禁止事項A): サブリミナルや誤解を招くようなテクニックの使用 
19. Verbod A is van toepassing op AI-systemen die gebruikmaken van subliminale technieken, waarvan personen zich niet bewust zijn, of welke doelbewust gebruikmaken van manipulatieve of misleidende technieken. In de toelichting wordt beschreven dat hiervoor gebruikgemaakt kan worden van subliminale componenten zoals audio, beelden en videostimuli die personen niet kunnen waarnemen of beheersen. Het gaat daarbij om stimuli die verder gaan dan de menselijke perceptie, of andere manipulatieve of bedrieglijke technieken die de autonomie, besluitvorming of vrije keuze van personen ondermijnen of beperken op wijzen waarvan mensen zich van deze technieken niet bewust zijn of waarbij, zelfs als ze zich er bewust van zijn, ze nog steeds misleid kunnen worden of hen niet kunnen beheersen of weerstaan. Gebruik van technologie voor machine-hersen-interfaces of virtuele realiteit vergroten de mogelijkheid tot dergelijke controle. 19. 禁止事項Aは、個人が気づかないようなサブリミナル・テクニックを用いたり、意図的に操作的または誤解を招くようなテクニックを用いたりするAIシステムに適用される。説明文では、個人が知覚または制御できない音声、画像、映像刺激などのサブリミナル・コンポーネントを使用することが含まれると説明されている。これには、人間の知覚を超えた刺激や、個人の自律性、意思決定、自由な選択を損なったり制限したりするような、操作的または欺瞞的なテクニックが含まれる。 機械と脳のインターフェース技術やバーチャルリアリティの使用は、そのような支配の可能性を高める。

Vragen bij criterium 2  基準2に関する質問 
3. Kent u voorbeelden van AI-systemen die gebruikmaken van subliminale technieken?  3. サブリミナル技術を使ったAIシステムの例を知っているか? 
4. Kunt u AI-specifieke voorbeelden geven van subliminale componenten zoals audio, beelden, videostimuli die personen niet kunnen waarnemen of beheersen?  4. 音声、画像、映像刺激など、個人が知覚・制御できないサブリミナル的な要素について、AIに特化した例を示すことができるか?
Criterium 3 (verbod B): Gebruikmaken van kwetsbaarheden  基準3(禁止事項B): 脆弱性を利用する 
20. Verbod B is van toepassing op AI-systemen die gebruikmaken van kwetsbaarheden van mensen. Uit de verordening volgt verder dat uitbuitende systemen worden verboden als deze gebruikmaken van de kwetsbaarheden van een persoon of een specifieke groep personen als gevolg van hun leeftijd – denk aan kinderen en ouderen– handicap (zoals omschreven in de Toegankelijkheids-richtlijn (richtlijn (EU) 2019/882)) of specifieke sociale of economische omstandigheid die ze kwetsbaarder maakt voor uitbuiting, zoals mensen die in extreme armoede leven of personen die behoren tot een etnische of religieuze minderheid.  20. 禁止事項Bは、人間の脆弱性を利用するAIシステムに適用される。さらに規則から、搾取的なシステムが、年齢(子どもや高齢者を指す)、障害(アクセシビリティ指令(指令(EU)2019/882)で定義されている)、または極度の貧困状態にある人、民族的・宗教的マイノリティに属する人など、搾取されやすくなる特定の社会的・経済的状況に起因する人または特定のグループの脆弱性を利用する場合は、禁止されることになる。
Vragen bij criterium 3  基準3に関する質問 
5. Kunt u voorbeelden geven van AI-systemen die, volgens u, gebruikmaken van kwetsbaarheden van een persoon of een specifieke groep personen? En kunt u dat toelichten?  5. 個人または特定の集団の脆弱性を利用しているとあなたが考える AI システムの例を挙げることができるか。また、それを説明できるか。 
6. Zijn er volgens u ook gevallen die mogelijk onterecht buiten de reikwijdte van het verbod vallen? 6. 禁止事項の範囲から不当に除外されるケースはあるか。
Criterium 4 (verbod A en B): Aanzienlijke schade  基準4(禁止事項AおよびB): 実質的損害 
21. Een voorwaarde voor toepasselijkheid van zowel verbod A als B is dat de verstoring van gedrag uiteindelijk ertoe leidt of redelijkerwijze ertoe kan leiden dat er aanzienlijke schade wordt opgelopen door een persoon of personen. Daarvan is in ieder geval sprake als er voldoende belangrijke negatieve gevolgen voor de fysieke of psychologische gezondheid of voor financiële belangen zijn. Daarmee gaat het verbod verder dan alleen de bescherming van economische belangen en gaat het juist ook over het bieden van bescherming tegen het aanrichten van fysieke of psychologische schade.  21. 禁止事項 A と B の両方が適用されるための条件は、行為の妨害が最終的に人または人に 実質的な危害をもたらすか、またはもたらす可能性があることである。身体的もしくは心理的健康、または経済的利益に対して十分に重大な悪影響がある場合は、どのような場合でもそうである。 したがって、この禁止は経済的利益の保護にとどまらず、身体的または心理的な危害の発生を防止するためのものでもある。 
Vragen bij criterium 4  基準4に関する質問 
7. Kunt u voorbeelden geven van systemen die aanzienlijke schade teweeg (kunnen) brengen voor iemands fysieke of psychologische gezondheid of financiële belangen? Welke vragen of behoefte aan verduidelijking in de context van deze verboden heeft u hierbij? 7. 人の身体的・心理的健康や経済的利益に重大な危害を与える(可能性のある)システムの例を挙げることができるか。これらの禁止事項に関して、どのような疑問や明確化の必要性があるか。
Criterium 5 (verbod A en B): Met als doel of effect/gevolg de wezenlijke verstoring van gedrag  基準5(禁止事項AおよびB): 行動を実質的に妨害する目的または効果/作用を伴う 
22.Uit de verbodsbepalingen volgt dat het in de handel brengen, het in gebruik stellen of het gebruiken van een AI-systeem het doel of effect (verbod A) of het doel of gevolg (verbod B) moet hebben het gedrag van personen wezenlijk te verstoren. Als de verstoring van het gedrag het gevolg is van factoren buiten het AIsysteem waarop de aanbieder of de gebruiksverantwoordelijke geen invloed heeft dan kan worden aangenomen dat de doelstelling (intentie) nooit was om het gedrag te verstoren. Deze factoren waren dan redelijkerwijs niet te voorzien.  22. 人の行動を実質的に妨害する目的若しくは効果(禁止事項A)又は目的若しくは効果(禁止事項B)を有するAIシステムの上市、使用開始又は使用は禁止される。行動の混乱が、提供者や使用責任者のコントロールの及ばないAIシステム外の要因によるものである場合、その目的(意図)は決して行動を混乱させることではなかったと考えることができる。その場合、これらの要因は合理的に予見可能なものではなかったことになる。
23.Voor verbod A geldt dat van een wezenlijke verstoring sprake is als het doel of effect/gevolg is dat een AIsysteem het vermogen van personen om een geïnformeerd besluit te nemen merkbaar belemmert, waardoor zij een besluit nemen dat ze anders niet hadden genomen. De wetgever heeft niet verder uitgewerkt wat een verstoring van gedrag is in het geval er gebruikt wordt gemaakt van uitbuitende systemen (verbod B). Aangenomen wordt dat de lat voor toepassing van dit verbod op dit punt lager ligt omdat er sprake is van gebruikmaking van kwetsbaarheden. Voor beide verbodsbepalingen geldt dat een wezenlijke verstoring betrekking kan hebben op zowel individuele personen als groepen personen.  23.禁止事項Aについて、重大な混乱は、その目的または効果・結果が、AIシステムが個人の十分な情報に基づいた意思決定の能力を顕著に妨害し、そうでなければ取らなかったであろう意思決定を取らせる場合に生じる。立法者は、搾取的なシステム(禁止事項B)を使用する場合、何が行動の混乱を構成するかについて詳しく説明していない。この点については、脆弱性を利用するため、この禁止を適用するためのハードルが低くなっていると推測される。いずれの禁止事項についても、重大な混乱は個人と個人の集団の両方に関係する可能性がある。
Vragen bij criterium 5  基準5に関する質問 
8. Kent u voorbeelden van AI-systemen die het vermogen van personen om besluiten te nemen zo beïnvloeden dat het vermogen om een geïnformeerd besluit te nemen kan worden belemmerd waardoor zij een besluit kunnen nemen dat anders niet was genomen? Welke vragen of behoefte aan verduidelijking in de context van deze verboden heeft u hierbij?  8. 十分な情報に基づいた意思決定を行う能力が損なわれ、そうでなければ行われなかったであろう意思決定を行うことを可能にするような形で、個人の意思決定能力に影響を与える AI システムの例を知っているか。 これらの禁止事項に関して、どのような疑問や明確化の必要性があるか。
9. Kent u voorbeelden van situaties waarin het gedrag van een of meerdere groepen personen volgens u wordt verstoord door een AI-systeem? Welke vragen of behoefte aan verduidelijking in de context van deze verboden heeft u hierbij? 9. AI システムによって、ある集団または複数の集団の行動が損なわれると考える状況を知っているか。この点に関して、これらの禁止事項の文脈でどのような疑問や明確化の必要性があるか。
Criterium 6 (verbod A en B): Individuele en groepsschade  基準6(禁止事項AおよびB): 個人および集団への危害 
24. Verbod A en B zijn van toepassing als schade wordt veroorzaakt of redelijkerwijs waarschijnlijk veroorzaakt kan worden bij de personen wier gedrag wordt verstoord of bij andere personen. Daarbij kan het ook gaan om schade die wordt toegebracht aan een groep personen.  24. 禁止事項AおよびBは、行動を妨害された人または他の人に危害が生じる、あるいは生じる可能性が合理的に高い場合に適用される。 これには、集団に生じる危害も含まれる。
Vragen bij criterium 6  基準6に関する質問 
10. Kent u situaties waarin sprake is van een wezenlijke verstoring van gedrag van een persoon of groep personen, die leidt tot schade bij andere personen dan die groep en waarin AIsystemen een rol spelen? Welke vragen of behoefte aan verduidelijking in de context van deze verboden heeft u hierbij?  10. 個人または集団の行動が実質的に妨害され、その集団以外の者に危害が及び、AIシステムが関与する状況を知っているか。この点について、本禁止事項の文脈上、どのような疑問や明確化の必要性があるか。
Reikwijdte van de verboden  禁止事項の範囲 
25.Er zijn in de overwegingen van de verordening ook situaties omschreven waarin een AI-systeem niet onder de verbodsbepalingen zou moeten vallen. De toelichting bij de verordening (ovw. 29) verduidelijkt dat de verboden geen afbreuk mogen doen aan rechtmatige praktijken in het kader van medische behandelingen, zoals psychologische behandeling van een psychische aandoening of lichamelijke revalidatie, wanneer die praktijken worden uitgevoerd overeenkomstig de toepasselijke medische normen en wetgeving, bijvoorbeeld met uitdrukkelijke toestemming van de natuurlijke personen of hun wettelijke vertegenwoordigers. Ook mogen gangbare en legitieme handelspraktijken, bijvoorbeeld in de reclamesector, die in overeenstemming zijn met het toepasselijke recht op zich niet worden beschouwd als schadelijke manipulatieve AI-praktijken.  25.また、規則のリサイタルには、AIシステムが禁止事項の対象とならない状況も定義されている。規則の解説書(Rev.29)では、精神疾患の心理的治療や身体的リハビリテーションなど、医療行為に関連する合法的な行為については、自然人またはその法定代理人の明示的な同意がある場合など、適用される医療基準や法律に従って実施される場合には、禁止事項が影響を及ぼすべきではないことを明確にしている。同様に、一般的で合法的なビジネス慣行、例えば広告分野での慣行は、適用される法律に沿ったものであり、それ自体が有害な操作的AI慣行とみなされるべきではない。
Vragen bij criterium 7  基準7に関する質問 
11. Welke medische behandelingen kent u die zijn gebaseerd op AI en waarbij gebruik wordt gemaakt van subliminale technieken?  11. AIに基づき、サブリミナル・テクニックを用いた医療行為を知っているか?
12. Zijn er mogelijk andere categorieën doeleinden of toepassingen van AI-systemen waarvan het onduidelijk is of deze onder de verbodsbepalingen zouden moeten vallen? Welke vragen of behoefte aan verduidelijking in de context van deze verboden heeft u hierbij?  12. 禁止事項の対象とすべきかどうかが不明確なAIシステムの目的または使用は、他に分類される可能性があるか。この点について、どのような疑問や明確化の必要性があるか。
26.Ter afsluiting wordt benadrukt dat dit document niet alle aspecten van de verbodsbepalingen uitlicht. Geïnteresseerden worden daarom nadrukkelijk ook uitgenodigd om buiten de gestelde vragen om, relevante input te geven ten behoeve van de verdere uitleg van verbod A en verbod B.  26.結論として、本文書は禁止事項の全ての側面に焦点を当てたものではないことを強調する。したがって、利害関係者は、禁止事項Aおよび禁止事項Bのさらなる説明のために提示された質問以外にも、関連する意見を提供するよう明示的に要請される。
Vragen ter afsluiting  結論としての質問 
13. Is er buiten de gestelde vragen, relevante input die u mee wil geven ten behoeve van de verdere uitleg van verbod A en verbod B?  13. 禁止事項Aおよび禁止事項Bのさらなる説明のために、提示された質問以外に、関連する意見を提供 したいか。 
14. Vindt u het wenselijk dat wij uw organisatie of groepering expliciet noemen in onze publieke reactie en appreciatie op deze oproep tot input, bijvoorbeeld zodat wij in kunnen gaan op voorbeelden en overwegingen die u aandraagt?  14. この意見募集に対する私たちの公的な回答および謝辞の中で、あなたの組織または団体について明示的に言及することが望ましいと思われるか。
Bijlage: overzicht verbodsbepalingen uit artikel 5 lid 1 van de AI-verordening 2024/1689  附属書:AI規則2024/1689第5条1項における禁止事項の概要 
Verbod A: Bepaalde manipulatieve AI-systemen  禁止事項A:特定の操作型AIシステム 
AI-systemen die subliminale technieken waarvan personen zich niet bewust zijn of doelbewust manipulatieve of misleidende technieken gebruiken, met als doel of effect het gedrag van personen of een groep personen wezenlijk te verstoren door hun vermogen om een geïnformeerd besluit te nemen merkbaar te belemmeren, waardoor zij een besluit nemen dat zij anders niet hadden genomen, op een wijze die ertoe leidt of er redelijkerwijs waarschijnlijk toe zal leiden dat deze of andere personen, of een groep personen, aanzienlijke schade oplopen.  個人が知らないサブリミナル・テクニックを使用する、または意図的に操作的もしくは欺瞞的なテクニックを使用するAIシステムであって、個人または他の個人、もしくは個人の集団に重大な危害をもたらすか、またはもたらす可能性が合理的に高い方法で、十分な情報に基づいた意思決定を行う能力を著しく損なうことにより、個人または個人の集団の行動を実質的に妨害し、それにより、他の方法では行わなかったであろう意思決定を行わせる目的または効果を有するもの。
Verbod B: Bepaalde uitbuitende AI-systemen  禁止事項B:特定の搾取的AIシステム 
AI-systemen die gebruikmaken van de kwetsbaarheden van een natuurlijke persoon of specifieke groep personen als gevolg van hun leeftijd, handicap of een specifieke sociale of economische omstandigheid, met als doel of met als gevolg het gedrag van die persoon of personen die tot deze groep behoren, wezenlijk te verstoren op een wijze die ertoe leidt of waarvan redelijkerwijze te verwachten is dat deze ertoe zal leiden dat deze of andere personen aanzienlijke schade oplopen.  自然人または特定の集団の年齢、障害または特定の社会的もしくは経済的状況に起因する脆弱性を悪用するAIシステムであって、当該個人または当該集団に属する者の行動を、当該個人または他の者に重大な危害をもたらす、またはもたらす可能性が合理的に高い方法で、実質的に妨害することを目的とし、またはその効果を有するもの。
Verbod C: Bepaalde AI-systemen die werken met een sociale score  禁止事項C:ソーシャル・スコアを用いて作動する特定のAIシステム 
AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken.  社会的行動、既知、推論、予測される個人的または人格的特徴に基づき、一定期間にわたって自然人または集団を評価または分類するAIシステム。 
Hierbij heeft de sociale score een of beide van de volgende gevolgen:  その際、社会的スコアは以下の効果の一方または両方を持つ: 
• De nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld, of;  ・データが元々生成または収集された文脈とは無関係な社会的文脈において、 特定の自然人または集団が不利または不利に扱われる; 
• De nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan zijn.  ・特定の自然人または集団に対して,その社会的行動や重大性に不当または不釣り合いな不利益または不利な扱いをすること。
Verbod D: Bepaalde AI-systemen die de kans op strafbare feiten door personen voorspellen  禁止事項D: 個人による犯罪の可能性を予測する特定のAIシステム 
AI-systemen voor risicobeoordelingen van natuurlijke personen om het risico dat een natuurlijke persoon een strafbaar feit pleegt te beoordelen of te voorspellen, uitsluitend op basis van de profilering van een natuurlijke persoon of op basis van de beoordeling van diens persoonlijkheidseigenschappen en kenmerken.  自然人のリスクアセスメントのためのAIシステムは、自然人のプロファイリングまたはその人の人格的特徴および特性の評価のみに基づいて、自然人が犯罪を犯すリスクを評価または予測する。 
Dit verbod geldt niet voor AI-systemen die worden gebruikt ter ondersteuning van de menselijke beoordeling van de betrokkenheid van een persoon bij een criminele activiteit, die reeds op rechtstreeks met de criminele activiteit verband houdende objectieve en verifieerbare feiten is gebaseerd.  この禁止は、犯罪活動に直接関連する客観的かつ検証可能な事実に既に基づいている、犯罪活動への人物の関与に関する人間の評価を支援するために使用されるAIシステムには適用されない。 
Verbod E: Ongerichte scraping van gezichtsafbeeldingen  禁止事項E:顔画像の非標的スクレイピング 
AI-systemen die databanken voor gezichtsherkenning aanleggen of aanvullen door ongerichte scraping van gezichtsafbeeldingen van internet of CCTV-beelden.  インターネットやCCTV画像から顔画像を非標的的にスクレイピングすることにより、顔認識データベースを作成または補完するAIシステム。
Verbod F: Bepaalde AI-systemen voor emotieherkenning op de werkplek of in het onderwijs  禁止事項F:職場や教育における感情認識のための特定のAIシステム 
AI-systemen om emoties van een natuurlijke persoon op de werkplek en in het onderwijs uit af te leiden, behalve wanneer het gebruik van het AI-systeem is bedoeld om uit medische of veiligheidsoverwegingen te worden ingevoerd of in de handel te worden gebracht.  職場や教育現場において、自然人の感情を推測するAIシステム。ただし、医療や安全上の理由でAIシステムの導入や販売が意図されている場合を除く。
Verbod G: Bepaalde AI-systemen voor biometrische categorisering van personen  禁止事項G:生体認証による人物分類のための特定のAIシステム 
AI-systemen voor biometrische categorisering die natuurlijke personen individueel in categorieën indelen op basis van biometrische gegevens om hun ras, politieke opvattingen, lidmaatschap van een vakbond, religieuze of levensbeschouwelijke overtuigingen, seksleven of seksuele gerichtheid af te leiden. Dit verbod geldt niet voor het labelen of filteren van rechtmatig verkregen biometrische datasets, zoals afbeeldingen, op basis van biometrische gegevens of categorisering van biometrische gegevens op het gebied van rechtshandhaving.  人種、政治的意見、労働組合員、宗教的または哲学的信条、性生活または性的指向を推測するために、バイオメトリクスデータに基づいて自然人を個別に分類するバイオメトリクス分類のためのAIシステム。この禁止は、合法的に入手された画像などのバイオメトリックデータセットの、バイオメトリックデータに基づくラベリングやフィルタリング、または法執行分野におけるバイオメトリックデータの分類には適用されない。
Verbod H: Bepaalde AI-systemen voor biometrische identificatie op afstand in real time in openbare ruimte met het oog op rechtshandhaving  禁止事項H:法執行目的の公共の場における遠隔リアルタイム生体認証のための特定のAIシステム 
AI-systemen voor biometrische identificatie op afstand in real time in openbare ruimten met het oog op de rechtshandhaving.  法執行を目的とした公共空間における遠隔リアルタイム・バイオメトリクス識別のための AI システム。 
Dit verbod geldt niet voor zover gebruik van een dergelijk AI-systeem strikt noodzakelijk is voor een van de volgende doelstellingen:  この禁止は、そのようなAIシステムの使用が以下のいずれかの目的のために厳密に必要である限りにおいて適用されない: 
• Het gericht zoeken naar specifieke slachtoffers van ontvoering, mensenhandel of seksuele uitbuiting van mensen, alsook het zoeken naar vermiste personen;  ・誘拐、人身売買、性的搾取の特定の被害者、および行方不明者の捜索; 
• Het voorkomen van een specifieke, aanzienlijke en imminente dreiging voor het leven of de fysieke veiligheid van natuurlijke personen, of een reële en actuele of reële en voorspelbare dreiging van een terroristische aanslag;  ・自然人の生命または身体の安全に対する具体的、重大かつ差し迫った脅威、またはテロ攻撃の現実的かつ現在的または現実的かつ予測可能な脅威を防止すること; 
• De lokalisatie of identificatie van een persoon die ervan wordt verdacht een strafbaar feit te hebben gepleegd, ten behoeve van een strafrechtelijk onderzoek of vervolging of tenuitvoerlegging van een straf voor in bijlage II van de AI-verordening genoemde strafbare feiten waarop in de betrokken lidstaat een vrijheidsstraf of een tot vrijheidsbeneming strekkende maatregel staat met een maximumduur van ten minste vier jaar.  ・AI規則の附属書IIに記載された犯罪で,当該加盟国において最高4年の拘禁刑または拘禁命令により処罰されるものについて,犯罪捜査,訴追または刑罰の執行を目的として,犯罪を犯したと疑われる者の所在を特定すること。
Dit verbod doet geen afbreuk aan artikel 9 van Verordening (EU) 2016/679 voor de verwerking van biometrische gegevens voor andere doeleinden dan rechtshandhaving.  この禁止は、法執行以外の目的でのバイオメトリクス・データの処理に関する規則(EU)2016/679の第9条を損なうものではない。

 

 

 

 


 

ちなみに、AI法第5条の第1項...

Article 5 第5条
Prohibited AI practices 禁止されるAIの慣行
1.   The following AI practices shall be prohibited: 1. 以下のAIの慣行は禁止されるものとする。
(a) the placing on the market, the putting into service or the use of an AI system that deploys subliminal techniques beyond a person’s consciousness or purposefully manipulative or deceptive techniques, with the objective, or the effect of materially distorting the behaviour of a person or a group of persons by appreciably impairing their ability to make an informed decision, thereby causing them to take a decision that they would not have otherwise taken in a manner that causes or is reasonably likely to cause that person, another person or group of persons significant harm; (a) 人の意識を超えたサブリミナル技術、または意図的に人を操る技術や人を欺く技術を展開するAIシステムを、市場に投入すること、稼働させること、または使用すること。その目的または結果として、 情報に基づく意思決定を行う能力を著しく損なうことにより、個人または複数の個人による行動を実質的に歪め、その結果、その個人、他の個人、または複数の個人に重大な危害を引き起こす、または引き起こす可能性が合理的に高い方法で、その個人に意思決定を行わせることを目的とする、またはその目的を達成する効果を持つ
(b) the placing on the market, the putting into service or the use of an AI system that exploits any of the vulnerabilities of a natural person or a specific group of persons due to their age, disability or a specific social or economic situation, with the objective, or the effect, of materially distorting the behaviour of that person or a person belonging to that group in a manner that causes or is reasonably likely to cause that person or another person significant harm; (b) 年齢、障害、特定の社会的または経済的状況により、自然人または特定のグループに属する者の脆弱性を悪用するAIシステムを、市場に投入、使用、または稼働させること。その目的または結果として、その個人またはそのグループに属する者の行動を歪め、その個人または他の者に重大な危害を引き起こす、または引き起こす可能性が高い場合。
(c) the placing on the market, the putting into service or the use of AI systems for the evaluation or classification of natural persons or groups of persons over a certain period of time based on their social behaviour or known, inferred or predicted personal or personality characteristics, with the social score leading to either or both of the following: (c) 一定期間にわたって、自然人の社会的行動または既知、推論、予測された個人または人格的特性に基づいて、自然人または自然人のグループを評価または分類するAIシステムの市場への投入、運用、または使用。社会的スコアは、以下のいずれかまたは両方につながる。
(i) detrimental or unfavourable treatment of certain natural persons or groups of persons in social contexts that are unrelated to the contexts in which the data was originally generated or collected; (i) データがもともと生成または収集された文脈とは無関係な社会的文脈において、特定の自然人または自然人グループに不利益または好ましくない扱いをもたらすこと
(ii) detrimental or unfavourable treatment of certain natural persons or groups of persons that is unjustified or disproportionate to their social behaviour or its gravity; (ii) 特定の自然人または自然人グループに不利益または好ましくない扱いをもたらすこと、ただし、その社会的行動またはその重大性に対して不当または不均衡である場合
(d) the placing on the market, the putting into service for this specific purpose, or the use of an AI system for making risk assessments of natural persons in order to assess or predict the risk of a natural person committing a criminal offence, based solely on the profiling of a natural person or on assessing their personality traits and characteristics; this prohibition shall not apply to AI systems used to support the human assessment of the involvement of a person in a criminal activity, which is already based on objective and verifiable facts directly linked to a criminal activity; (d) 犯罪行為を犯す自然人に関するリスクを評価または予測することを目的として、自然人のプロファイリングのみ、またはその人格特性や特徴の評価に基づいて、自然人のリスク評価を行うAIシステムの市場への投入、この特定の目的のための利用、または使用。この禁止は、犯罪行為への関与に関する人間の評価を支援するために使用されるAIシステムには適用されない。この評価は、すでに犯罪行為に直接関連する客観的かつ検証可能な事実に基づいている。
(e) the placing on the market, the putting into service for this specific purpose, or the use of AI systems that create or expand facial recognition databases through the untargeted scraping of facial images from the internet or CCTV footage; (e) インターネットまたはCCTV映像から顔画像を無差別に収集することで顔認識データベースを作成または拡大するAIシステムの市場への投入、この特定の目的のための利用、または使用、
(f) the placing on the market, the putting into service for this specific purpose, or the use of AI systems to infer emotions of a natural person in the areas of workplace and education institutions, except where the use of the AI system is intended to be put in place or into the market for medical or safety reasons; (f) 職場および教育機関の分野における、自然人の感情を推論するAIシステムの市場への投入、この特定の目的のための利用、または使用。ただし、AIシステムの使用が医療上または安全上の理由で実施または市場に投入されることを目的としている場合は除く。
(g) the placing on the market, the putting into service for this specific purpose, or the use of biometric categorisation systems that categorise individually natural persons based on their biometric data to deduce or infer their race, political opinions, trade union membership, religious or philosophical beliefs, sex life or sexual orientation; this prohibition does not cover any labelling or filtering of lawfully acquired biometric datasets, such as images, based on biometric data or categorizing of biometric data in the area of law enforcement; (g)  生体認証分類システムを市場に投入すること、この特定の目的で使用すること、または生体認証データに基づいて個々の自然人(自然人)を分類し、人種、政治的意見、労働組合の会員資格、宗教的 性生活や性的指向を推論または推測する生体認証分類システムの使用。この禁止事項は、生体認証データに基づく合法的に取得された画像などの生体認証データセットのラベル付けやフィルタリング、または法執行分野における生体認証データの分類には適用されない。
(h) the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purposes of law enforcement, unless and in so far as such use is strictly necessary for one of the following objectives: (h) 以下の目的のいずれかに対して厳密に必要な場合を除き、またその範囲内において、法執行の目的で、一般市民がアクセス可能な公共の場所で「リアルタイム」遠隔生体識別システムを使用すること。
(i) the targeted search for specific victims of abduction, trafficking in human beings or sexual exploitation of human beings, as well as the search for missing persons; (i) 特定の拉致、人身取引、人身売買、性的搾取の被害者、および行方不明者の捜索を目的とした捜索。
(ii) the prevention of a specific, substantial and imminent threat to the life or physical safety of natural persons or a genuine and present or genuine and foreseeable threat of a terrorist attack; (ii) 自然人の生命または身体の安全に対する具体的かつ現実的で差し迫った脅威、またはテロ攻撃の現実的かつ差し迫った脅威の防止
(iii) the localisation or identification of a person suspected of having committed a criminal offence, for the purpose of conducting a criminal investigation or prosecution or executing a criminal penalty for offences referred to in Annex II and punishable in the Member State concerned by a custodial sentence or a detention order for a maximum period of at least four years. (iii) 犯罪捜査、起訴、または、附属書IIに記載され、当該加盟国において禁固刑または最長4年間の拘禁命令により処罰される犯罪に対する刑事罰の執行を目的とした、犯罪を行った疑いのある者の特定または身元確認。
Point (h) of the first subparagraph is without prejudice to Article 9 of Regulation (EU) 2016/679 for the processing of biometric data for purposes other than law enforcement. 第1項第(h)号は、法執行以外の目的での生体データの処理については、規則(EU)2016/679第9条を損なうものではない。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.26 欧州委員会 信頼できる安全なAI開発の推進を誓約するEUのAI協定に100社以上が署名

・2024.09.25 ベルギー データ保護機関 AIシステムとGDPR (2024.09.19)

・2024.09.08 欧州評議会 AI条約の署名開始... (2024.09.05)

・2024.08.05 欧州AI法が施行された... (2024.08.01)

・2024.07.19 ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

・2024.05.22 EU 欧州理事会がAI法を承認...まもなく発効されますね...

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

| | Comments (0)

韓国 個人情報保護委員会 事例付き「自動化された決定に対する情報主体の権利ガイド」を公開

こんにちは、丸山満彦です。

韓国の個人情報保護委員会が、事例も載せた「自動化された決定に対する情報主体の権利ガイド」を公開していますね...欧州とはかなり密接に情報交換をしているのでしょうかね...

こういう文書も公表できるというのは、委員会内でもいろいろと知見を溜めているのでしょうね...

 

개인정보위

・2024.09.26 개인정보위, 사례 중심의 “자동화된 결정에 대한 정보주체의 권리 안내서” 공개

개인정보위, 사례 중심의 “자동화된 결정에 대한 정보주체의 권리 안내서” 공개 個人情報委員会、事例中心の「自動化された決定に対する情報主体の権利ガイド」を公開
  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 9월 26일부터 인공지능(AI) 등 자동화된 결정*이 이루어지는 영역에서 기업ㆍ기관 등이 준수해야 하는 사항을 담은 「자동화된 결정에 대한 개인정보처리자의 조치 기준」(고시)이 시행된다고 밝혔다. 이와 함께, 자동화된 결정에 대한 정보주체의 권리와 기업ㆍ기관 등의 조치사항을 사례 중심으로 설명한 안내서도 공개했다. 個人情報保護委員会(委員長コ・ハクス、以下「個人情報委員会」)は、9月26日から人工知能(AI)など自動化された決定*が行われる領域で企業・機関などが遵守すべき事項を盛り込んだ「自動化された決定に対する個人情報処理者の措置基準」(告示)が施行されると明らかにした。これと共に、自動化された決定に対する情報主体の権利と企業・機関などの措置事項を事例中心に説明したガイドも公開した。
   * ‘자동화된 결정’은 인공지능 기술을 적용한 시스템을 포함한 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정을 말한다. 정보주체는 자동화된 결정에 대해 설명 또는 검토 요구를 할 수 있고, 권리 또는 의무에 중대한 영향을 미치는 경우에는 거부할 수 있다.(「개인정보 보호법」 제37조의2) * '自動化された決定'は、人工知能技術を適用したシステムを含む完全に自動化されたシステムで個人情報を処理して行われる決定をいう。情報主体は、自動化された決定に対して説明または検討要求をすることができ、権利または義務に重大な影響を及ぼす場合には拒否することができる(「個人情報保護法」第37条の2)。
  제도 시행에 따라 기업ㆍ기관 등이 정보주체의 권리와 의무에 영향을 미치는 결정을 하면서 사람이 개입하지 않는 방식으로 운영하는 때에는 그 기준과 절차를 공개하는 등 투명성 확보와 함께 설명이 가능하도록 미리 준비해야 한다.  制度の施行により、企業・機関などが情報主体の権利と義務に影響を及ぼす決定を行い、人が介入しない方式で運営する場合には、その基準と手順を公開するなど、透明性の確保と説明ができるように事前に準備しなければならない。
  먼저, 모든 자동화된 시스템에 의한 결정이 자동화된 결정에 해당하는 것은 아니므로 자동화된 결정에 해당하는지 여부를 확인해야 한다. 최종 결정 전에 사람에 의한 판단 절차를 마련하여 운영하고 있는 경우는 자동화된 결정에 해당하지 않는다. (안내서 4쪽 ~ 12쪽 참고) まず、すべての自動化されたシステムによる決定が自動化された決定に該当するわけではないので、自動化された決定に該当するかどうかを確認しなければならない。最終決定前に人による判断手順を設けて運営している場合は、自動化された決定に該当しない。(ガイドブック4ページ~12ページ参照)
  인공지능(AI) 기술 등을 활용하여 자동화된 시스템으로 의사결정을 하고 있는 기업ㆍ기관 등은 “자동화된 결정 자율진단표”(붙임2)를 활용하여 스스로 자동화된 결정에 해당하는지 여부를 확인해 볼 수 있다.  人工知能(AI)技術などを活用して自動化されたシステムで意思決定を行っている企業・機関などは、「自動化された決定自律診断表」(添付2)を活用して、自ら自動化された決定に該当するかどうかを確認することができる。
  자동화된 결정에 해당하는 경우에는 정보주체의 권리 행사 요구 내용에 맞추어 기업·기관 등은 다음과 같은 조치를 해야 한다.  自動化された決定に該当する場合には、情報主体の権利行使要求内容に合わせて企業・機関等は次のような措置をしなければならない。
  ① 정보주체가 자동화된 결정에 대해 설명을 요구한 경우에는 정보주체에게 도움이 될 수 있는 의미 있는 정보*를 선별하여 제공해야 한다. 또한, 정보주체가 자신에 대한 자동화된 결정에 대해 의견을 제출한 경우에는 해당 의견을 반영할 수 있는지 검토하고 그 결과를 알려야 한다.   ①情報主体が自動化された決定について説明を要求した場合には、情報主体に役立つ意味のある情報*を選別して提供しなければならない。また、情報主体が自分に対する自動化された決定に対して意見を提出した場合には、その意見を反映できるかどうかを検討し、その結果を通知しなければならない。 
   * 알고리즘이나 머신러닝의 작동과정에서 개인정보 처리에 대한 복잡한 수학적 설명 대신 간결하고 의미있는 정보를 정보주체에게 제공해야 함 * アルゴリズムや機械学習の作動過程で、個人情報の処理に関する複雑な数学的説明の代わりに、簡潔で意味のある情報を情報主体に提供しなければならない。
  더불어, 사람이 이해하기 어려운 인공지능 기술의 특성을 고려하여 기술 발전 상황에 따라 설명가능한 인공지능(XAI : Expainable AI)*을 단계적으로 적용할 수 있도록 준비하는 것이 바람직하다. また、人が理解しにくい人工知能技術の特性を考慮し、技術の発展状況に応じて説明可能な人工知能(XAI : Expainable AI)*を段階的に適用できるように準備することが望ましい。
   * 인공지능 모델의 결과가 어떻게 도출된 것인지 사람이 이해할 수 있는 형태로 설명을 생성하는 알고리즘을 의미함 (안내서 51쪽 ~ 56쪽 참고) * 人工知能モデルの結果がどのように導き出されたのか、人が理解できる形で説明を生成するアルゴリズムを意味する(ガイドブック51ページ~56ページ参照)
  ② 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에 해당하여 정보주체가 그 결정을 거부한 경우에는 기업ㆍ기관 등은 해당 결정의 적용을 정지하고, 조치 결과를 정보주체에게 알려야 한다. 실질적으로 사람이 개입하여 재처리한 후 그 결과를 정보주체에게 알리는 것도 가능하다. 自動化された決定が情報主体の権利又は義務に重大な影響を及ぼす場合に該当し、情報主体がその決定を拒否した場合には、企業・機関等は当該決定の適用を停止し、措置結果を情報主体に通知しなければならない。実質的に人が介入して再処理した後、その結果を情報主体に知らせることも可能である。
   ※ 다만, 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확히 알 수 있도록 동의, 계약 등을 통해 미리 알렸거나 법률에 명확히 규정이 있는 경우에는 거부는 인정되지 않고 설명 및 검토 요구만 가능 ただし、自動化された決定が行われるという事実について情報主体が明確に分かるように同意、契約などを通じて事前に知らせたり、法律に明確に規定がある場合には拒否は認められず、説明及び検討要求のみ可能。
  이 경우, ‘중대한 영향을 미치는 경우’에 해당하는지를 판단할 때에는 사람의 생명, 신체의 안전과 관련된 정보주체의 권리 또는 의무인지, 지속적인 제한이 발생하는지, 회복 가능성은 있는지 등을 종합적으로 고려해야 한다.  この場合、「重大な影響を及ぼす場合」に該当するかどうかを判断する際には、人の生命、身体の安全と関連する情報主体の権利または義務であるか、持続的な制限が発生するか、回復可能性はあるかなどを総合的に考慮しなければならない。
  ③ 기업ㆍ기관 등이 자동화된 결정을 하는 경우에는 그 기준과 절차 등을 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 사전에 공개해야 한다. 공개할 때에는 정보주체가 쉽게 알 수 있도록 권리 행사를 위한 구체적인 방법과 절차를 마련하여 함께 안내해야 한다.  企業・機関などが自動化された決定を行う場合には、その基準と手続きなどを情報主体が容易に確認できるようにインターネットホームページなどに事前に公開しなければならない。公開する際には、情報主体が容易に知ることができるように、権利行使のための具体的な方法と手続きを用意して一緒に案内しなければならない。
  양청삼 개인정보정책국장은 “인공지능 기술을 활용하여 자동화된 결정을 할 때에는 이번에 공개한 안내서를 참고하여 그 기준과 내용을 미리 파악하고 정보주체의 요청에 대응할 수 있도록 준비가 필요하다”며,    ヤン・チョンサム個人情報政策局長は「人工知能技術を活用して自動化された決定をする際には、今回公開したガイドを参考にしてその基準と内容を事前に把握し、情報主体の要請に対応できるように準備が必要だ」と述べた、   
  “새로운 제도가 현장에서 안정적으로 정착될 수 있도록 설명회 등을 통해 지속적으로 홍보하고 안내해 나갈 계획”이라고 밝혔다. 「新しい制度が現場で安定的に定着できるよう、説明会などを通じて持続的に広報し、案内していく計画」と明らかにした。

 

ガイド...

・[PDF] 개인정보위, 사례 중심의 “자동화된 결정에대한 정보주체의 권리 안내서” 공개

20240928-124306

・[DOCX][PDF] 仮訳

 

 

・[PPTX][PNG]自主診断表(仮訳)

1_20240928124701

 

 

| | Comments (0)

2024.09.28

財務省財務局が、株式会社DMM Bitcoinに対する行政処分を、金融庁が、暗号資産の流出リスクへの対応等に関する注意喚起及び自主点検要請について発表していますね...(2024.09.26)

こんにちは、丸山満彦です。

財務省関東財務局が、株式会社DMM Bitcoinに対する行政処分を公表し、金融庁が暗号資産の流出リスクへの対応等に関する注意喚起及び自主点検要請を一般社団法人日本暗号資産取引業協会 会長宛に出していますね...

まずは、行政処分について...

財務省 - 関東財務局

・2024.09.26 株式会社DMM Bitcoinに対する行政処分について

・[PDF] [downloaded]

行政処分は

(1)流出事案についての具体的な事実関係及び発生した根本原因を分析・究明すること。

(2)-1 被害が発生した顧客の保護を引き続き、徹底することと、顧客に対し十分な説明・開示等を行う

(2)-2 顧客からの苦情に適切に対応すること。

(3)暗号資産交換業の業務の運営に必要な措置を講じること。

①根本的な原因を分析・評価の上、十分な改善が可能となるようシステムリスク管理態勢を見直し、強化すること。

流出リスクへの対応が適切に行われるための態勢を構築すること。

③-1 経営責任の明確化を図ること。

③-2 代表取締役等は、暗号資産交換業の業務運営に対応したリスク等を議論し、その対応を着実に実施すること。

③-3 取締役会の機能強化を図り、法令等遵守や適正かつ確実な業務運営を行うために必要な実効性のある経営管理態勢、内部管理態勢及び内部監査態勢を構築すること。

となっていますね...

(4)-1 停止している取引の再開及び新規口座開設を行うにあたっては、(2)(3)に基づく対応の実施すること

(4)-2 (1)に記載の原因究明を踏まえた必要な態勢を整備の上、実効性を確保すること。

(5)(1)から(4)((3)(4)については、業務改善計画(具体策及び実施時期を明記したもの))について、令和6年10月28日(月曜)までに報告すること

(6)(3)(4)に関する業務改善計画については、実施完了までの間、1か月毎の進捗・実施状況を翌月10日までに報告すること(初回報告基準日を令和6年11月末日とする。)。

 

 

次に注意喚起と要請...

金融庁

・2024.09.26 暗号資産の流出リスクへの対応等に関する注意喚起及び自主点検要請について

20240927-234253

 

 

金融庁

第三分冊:金融会社関係

・[PDF] 本文

20240927-235116

これについては、改訂案が出され、現在改訂中ですね...

参考

・2024.06.28 主要行等向けの総合的な監督指針」等の一部改正(案)及び「金融分野におけるサイバーセキュリティに関するガイドライン」(案)の公表について

・[PDF](別紙13)事務ガイドライン(第三分冊:金融会社関係 16 暗号資産交換業者関係)」の一部改正(案)(新旧対照表)

 

で、

DMMの発表...

DMM Bitcoin - お知らせ

・2024.09.26 【重要】当社に対する関東財務局の行政処分について [PDF] [downloaded]

 

事案については発表...

・2024.06.14 【重要】暗号資産の不正流出発生に関するご報告(第三報) [PDF][downloaded]

・2024.06.05 【重要】暗号資産の不正流出発生に関するご報告(第二報) [PDF][downloaded]

・2024.05.31 【重要】暗号資産の不正流出発生に関するご報告(第一報) [PDF][downloaded]

 

| | Comments (0)

米国 CISA+FBI 幼稚園から高校3年生までの学校を対象とした匿名脅迫への対応に関する指針とツールキット

こんにちは、丸山満彦です。

米国のCISAとFBIが、K-12までの学校を対象とした匿名脅迫(例えば、SNS等の)についての指針とツールキットを公表していますね。。。

FBIによると、2022年には学校が6,000件以上の脅迫の標的となり、そのほとんどが匿名でソーシャルメディアに投稿されたものだったようです。というところから、この指針が作られているようです。。。

K-12というのは、米国では幼稚園の最後の1年から高校三年生(Grade12)までの13年間ということになりますね。。。年齢でいえば、5歳から13歳が該当することになりますね(9月から学級がはじまります)...

日本では、文科省が対応する分野ですが、米国ではこのガイドをCISAとFBIが作っていますね...

 

6つの戦略

・報告の重要性を認識する

・パートナーシップ体制の構築

・法執行機関の関与

・適切な初期対応

・脅迫アセスメントチームの活用

・緊急事態管理活動の訓練

 

 

CISA

・2024.09.25 CISA Releases Anonymous Threat Response Guidance and Toolkit for K-12 Schools

CISA Releases Anonymous Threat Response Guidance and Toolkit for K-12 Schools CISA、幼稚園から高校3年生までの学校を対象とした匿名脅迫への対応に関する指針とツールキットを公開
New Resources Will Help K-12 Schools and Law Enforcement Entities Create Tailored Approaches to Addressing Anonymous Threats of Violence 新たなリソースにより、幼稚園から高校3年生までの学校および法執行機関が、暴力的な匿名脅迫への対応に特化したアプローチを策定できるよう支援
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) released the Anonymized Threat Response Guidance: A Toolkit for K-12 Schools, a new resource to help kindergarten through grade 12 (K-12) schools and their law enforcement and community partners create tailored approaches to addressing anonymous threats of violence, including those received on social media. The toolkit outlines steps school leaders can take to assess and respond to anonymous threats, better prepare for and prevent future threats, and work in coordination with law enforcement and other local partners when these threats arise. It is co-sealed with the Federal Bureau of Investigation (FBI), which provided expert feedback on the toolkit’s key principles and strategies. ワシントン発 - サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、「匿名脅迫への対応に関する指針: 幼稚園から高校3年生(K-12)までの学校とその法執行機関や地域社会のパートナーが、ソーシャルメディア上で受け取ったものも含む暴力的な匿名脅迫に対応するためのカスタマイズされたアプローチを構築するのに役立つ新しいリソースである。このツールキットでは、匿名脅迫をアセスメントし対応するための学校のリーダーがとることのできるステップ、将来の脅威に対するより良い備えと防止、そして脅迫が発生した際の法執行機関やその他の地域パートナーとの連携について概説している。このツールキットは、連邦捜査局(FBI)と共同で作成されており、FBIはツールキットの主要原則と戦略に関する専門家のフィードバックを提供している。
Social media-based and other types of anonymous threats of violence against K-12 institutions are common. These threats can erode trust that schools are safe places, contribute to losses in learning and instruction time, overwhelm school and law enforcement resources and have lasting psychological impacts on school communities. 幼稚園から高校3年生までの教育機構に対するソーシャルメディアを基盤とした匿名の暴力脅迫は、よくあることである。このような脅迫は、学校が安全な場所であるという信頼を損ない、学習と指導の時間の損失につながり、学校や法執行機関のリソースを圧迫し、学校コミュニティに長期的な心理的影響を与える可能性がある。
“K-12 schools across the country are experiencing a scourge of anonymous threats of violence. School leaders need scalable solutions to navigate these ever-evolving and burdensome threats,” said CISA Director Jen Easterly. “The K-12 Anonymized Threat Response Guidance provides step-by-step approaches to help schools better assess and respond to these threats, as well as take action to mitigate future risks in coordination with their law enforcement and other community partners.” CISAのジェン・イースタリー(Jen Easterly)局長は次のように述べている。「全米の幼稚園から12年生までの学校は、暴力的な匿名脅迫という災厄に直面している。 学校のリーダーは、こうした進化し続ける厄介な脅迫に対処するための拡張可能なソリューションを必要としている。幼稚園から12年生までの匿名脅迫への対応に関する指針は、学校がこうした脅迫をより適切にアセスメントし、対応するためのステップバイステップのアプローチを提供するとともに、法執行機関やその他のコミュニティパートナーと連携して、将来のリスクを低減するための行動を取ることを支援する。」
“Families, students and educators should not have to question whether they’re safe when they walk into a classroom,” said FBI Office of Partner Engagement Assistant Director, Robert Contee. “In the face of these ongoing school threats, the strategies the FBI and our partners at CISA put together will hopefully prepare our educators and administrators to maneuver through difficult challenges. The more parents, teachers and administrators know, the more likely we are to keep our kids safe. The FBI is dedicated to safeguarding schools and communities who are impacted by anonymous threats, but we also want to urge parents to talk with their children about the consequences that come with making these threats. We all need to work together.” FBIのパートナーエンゲージメント担当副部長ロバート・コンティー氏は次のように述べている。「家族、生徒、教育者は、教室に入るときに安全かどうかを心配する必要はないはずです。現在も続く学校への脅迫に直面する中、FBIとCISAのパートナーが協力して策定した戦略が、教育者や管理者の困難な課題への対応に役立つことを期待している。保護者、教師、学校関係者がより多くを知ることで、子供たちをより安全に守ることができる可能性が高まる。FBIは、匿名の脅迫に影響を受ける学校や地域社会の安全確保に専念しているが、同時に保護者に対して、子供たちに脅迫をすることによって生じる結果について話し合うよう促したい。我々は皆、協力し合う必要がある。」
The K-12 Anonymized Threat Response Guidance was developed to provide K-12 stakeholders with information to both protect school communities and limit the disruption and trauma that can be caused by anonymous threats of violence. By providing guidance to inform decision-making about the urgency and credibility of individual threats, school and public safety leaders may be able to more effectively balance the full range of risks faced by K-12 organizations. K-12匿名脅迫対応ガイダンスは、K-12関係者が学校コミュニティを防御し、暴力的な匿名脅迫によって引き起こされる混乱やトラウマを最小限に抑えるための情報を提供するために作成された。個々の脅迫の緊急性や信憑性に関する意思決定に役立つガイダンスを提供することで、学校や公共安全のリーダーは、K-12組織が直面するあらゆるリスクをより効果的にバランスさせることができるようになる可能性がある。
The toolkit emphasizes six key strategies for schools to consider when addressing anonymous threats: このツールキットでは、匿名脅迫に対処する際に学校が考慮すべき6つの主要戦略を強調している。
・Build awareness about reporting to detect threats early and deter future threats. ・脅迫を早期に検知し、将来の脅迫を阻止するために、報告に関する認識を高める。
・Develop a partnership structure that will help address threats. This includes school administrators, law enforcement personnel and mental health professionals. ・脅迫に対処する上で役立つパートナーシップ体制を構築する。これには、学校管理者、法執行機関関係者、精神保健の専門家が含まれる。
・Engage law enforcement to manage threat situations and decide when to scale response actions up or down. ・脅迫の状況を管理し、対応措置を拡大または縮小するタイミングを決定するために、法執行機関を関与させる。
・Balance initial response steps to ensure the campus is safe. Most critically, treat each threat as credible, and from there, work with necessary partners to determine how to approach an immediate response. ・キャンパスが安全であることを確実にするために、初期対応の手順をバランスよく行う。最も重要なのは、それぞれの脅迫を信頼に足るものとして扱い、そこから必要なパートナーと協力して、即時の対応をどのように行うかを決定することである。
・When appropriate, tap into multidisciplinary threat assessment teams to support interventions and expedite response if the subject who made the threat becomes known. ・脅迫を及ぼした人物が判明した場合、介入を支援し、対応を迅速化するために、必要に応じて、多分野にわたる脅迫アセスメントチームを活用する。
T・ake steps throughout the school year to prepare for threats. Establish a response protocol and practice other types of emergency management activities, such as training exercises for staff. ・脅迫に備えるために、学校年度を通じて対策を講じる。対応手順を確立し、スタッフの訓練演習など、その他の緊急事態管理活動の練習を行う。
Today’s release also includes a supplemental reference guide that provides streamlined information for K-12 stakeholders to understand and utilize some of the best practices from the full toolkit. Both products were developed to support the diverse range of K-12 school settings across the United States and are based on current practices of K-12 organizations and law enforcement agencies. また、本日の発表では、K-12の関係者がツールキットのベストプラクティスの一部を理解し、活用するための簡潔な情報を提供する補足の参考ガイドも公開された。両製品は、米国の多様なK-12学校環境をサポートするために開発され、K-12組織および法執行機関の現在の実務に基づいている。
The new toolkit and guide were announced at CISA’s 2024 National Summit on K-12 School Safety and Security, an annual event that brings together K-12 school leaders and practitioners to discuss and share actionable recommendations that enhance safe and supportive learning environments. この新しいツールキットとガイドは、K-12 学校のリーダーや実務者が一堂に会し、安全で支援的な学習環境を強化するための実行可能な提言について話し合い、共有する年次イベントである、CISA の 2024 年 K-12 学校の安全とセキュリティに関する全国サミットで発表された。
To learn more and access the K-12 Anonymized Threat Response Guidance, please click here.  K-12 学校向け匿名脅迫対応ガイダンスの詳細とアクセスについては、こちら。 

 

・2024.09.25 K-12 Anonymized Threat Response Guidance

K-12 Anonymized Threat Response Guidance K-12 学校向け匿名脅迫対応ガイダンス
The “Anonymized Threat Response Guidance: A Toolkit for K-12 Schools” can help K-12 schools and law enforcement and community partners create tailored approaches to addressing anonymous threats of violence, including those received on social media. The toolkit outlines steps that school leaders can take to assess and respond to anonymous threats and better prepare for and prevent future threats. It also highlights how K-12 schools can work with law enforcement and community partners in addressing these threats.   「匿名脅迫対応ガイドライン:K-12 学校向けツールキット」は、K-12 学校や法執行機関、地域社会のパートナーが、ソーシャルメディア上で受け取ったものも含め、暴力的な匿名脅迫に対応するためのカスタマイズされたアプローチを構築するのに役立つ。このツールキットでは、匿名脅迫をアセスメントし対応し、将来の脅迫に備え防止するための学校のリーダーがとるべきステップが概説されている。また、K-12 学校が法執行機関や地域社会のパートナーと協力してこれらの脅迫に対応する方法についても強調されている。 
The accompanying “Anonymized Threat Response Guidance: A Reference Guide for K-12 Schools” provides streamlined information for K-12 stakeholders to understand and utilize some of the best practices from the full toolkit. 付属の「匿名脅迫への対応に関する指針:K-12学校のための参考ガイド」では、K-12の関係者がツールキットのベストプラクティスの一部を理解し、活用するための簡潔な情報を提供している。
These products are applicable to K-12 schools across diverse geographical settings, student populations and levels of maturity in emergency operations planning. これらの製品は、地理的条件、生徒の人口、緊急対応計画の成熟度など、さまざまな状況にあるK-12の学校に適用できる。

 

・[PDF] Anonymized Threat Response Guidance: A Toolkit for K-12 Schools

 

20240927-62632

 

エグゼクティブサマリー...

Executive Summary エグゼクティブサマリー
According to Federal Bureau of Investigation (FBI) data, schools were the target of more than 6,000 threats in 2022, most of which were anonymous and posted to social media (Haskell, 2023). These threats are taxing school and law enforcement resources, contributing to losses in instruction time and traumatizing school communities. The CISA Anonymized Threat Response Guidance: A Toolkit for K-12 Schools is designed to help local education agencies and their law enforcement and community partners create tailored approaches to addressing anonymous threats from assessment to response. This guide is intended to assist the range of kindergarten through grade 12 (K-12) schools across the United States and is applicable to schools across diverse geographical settings, student populations, and levels of maturity in emergency operations planning. 連邦捜査局(FBI)のデータによると、2022年には学校が6,000件以上の脅迫の標的となり、そのほとんどが匿名でソーシャルメディアに投稿されたものだった(Haskell、2023年)。 こうした脅迫は学校や法執行機関のリソースを圧迫し、授業時間の損失や学校コミュニティのトラウマにつながっている。 CISAによる匿名脅迫対応ガイダンス: K-12 学校向けツールキットは、アセスメントから対応まで、匿名脅迫に対処するためのカスタマイズされたアプローチを、地域の教育機関およびその法執行機関や地域社会のパートナーが作成するのを支援することを目的としている。このガイドは、米国の幼稚園から12年生(K-12)までの学校を対象としており、地理的条件、生徒の人口、緊急対応計画の成熟度など、さまざまな状況にある学校に適用できる。
Key Strategies to Address Anonymized Threats 匿名脅迫に対処するための主な戦略
Build awareness about reporting to detect threats early and deter future threats. 脅迫を早期に検知し、将来の脅迫を阻止するために、報告に関する認識を高める。
Bystander reporting is a critical violence prevention tool for K-12 schools (see e.g. CISA and NTAC, 2023; Moore et al., 2023; NTAC, 2021). Like threats or comments made by known individuals (sometimes termed “leakage” in threat assessment protocols), efforts to detect anonymized threats against schools before they can spread should focus heavily on building awareness about reporting. Encourage community members to “Report, Don’t Repost” threats they see online, since stopping the further dissemination of a threat both aids investigation and limits the potential impact of threats that, while alarming, are not intended to be followed through. Efforts to educate parents and others across the school community about youth social media use are also critical to spreading the word about what constitutes a threat and the damage threats can do to a school community. Be clear about what the consequences are for making threats, even if they are meant to be jokes. Finally, threats made by students are often indicators of underlying problems and akin to cries for help. Early intervention by mental health and other professionals is often better than intervention after the fact. 傍観者による報告は、幼稚園から12年生までの学校における暴力防止の重要な手段である(例えば、CISAおよびNTAC、2023年、Moore他、2023年、NTAC、2021年を参照)。特定の個人による脅迫やコメント(脅迫アセスメントプロトコルでは「リーク」と呼ばれることもある)と同様に、学校に対する匿名脅迫が拡散する前に検知するための取り組みでは、報告に関する認識を高めることに重点的に取り組むべきである。オンライン上で目にした脅迫は「報告するが、転載しない」よう地域社会のメンバーに呼びかけるべきである。脅迫のさらなる拡散を阻止することは、調査を支援するだけでなく、驚くべきことではあるが、脅迫を最後までやり遂げるつもりがない場合の脅迫の潜在的な影響を限定することにもなる。青少年のソーシャルメディア利用について、保護者や学校関係者に教育を行うことも、脅迫に該当する行為や、脅迫が学校コミュニティに与える被害について周知徹底を図る上で重要である。たとえ冗談のつもりであっても、脅迫をするとどのような結果を招くかについて明確にしておく。最後に、生徒による脅迫は、潜在的な問題の兆候であることが多く、助けを求める叫び声のようなものである。精神保健やその他の専門家による早期介入は、事後対応よりも効果的な場合が多い。
Develop a partnership structure that will help address anonymized threats. 匿名脅迫に対処するためのパートナーシップ体制を構築する。
Schools work with several different partners both inside and outside the immediate school community to address anonymized and other threats. In addition to school administrators, intelligence organizations, such as fusion centers or the FBI, and school-based or school-knowledgeable law enforcement personnel, such as school resource officers (SROs), will play a key role in assessing threats and deciding on appropriate response actions. Mental health and other threat assessment professionals will provide key resources to schools addressing threat situations, including in the aftermath of threats, to ensure that the mental health, emotional and other needs of the community are met. 学校は、匿名の脅迫やその他の脅迫に対処するために、学校コミュニティ内外の複数の異なるパートナーと協力する。学校管理者、フュージョン・センターやFBIなどのインテリジェンス機関、スクール・リソース・オフィサー(SRO)などの学校ベースまたは学校に精通した法執行機関担当者が、脅迫をアセスメントし、適切な対応行動を決定する上で重要な役割を果たす。メンタルヘルスやその他の脅迫アセスメントの専門家は、脅迫事態に対処する学校に重要なリソースを提供し、脅迫事態の後にも対応し、地域社会のメンタルヘルス、感情面、その他のニーズが満たされるようにする。
Consider the inclusion of a multidisciplinary threat assessment team when addressing anonymous threats, and utilize their expertise if the subject who made the threat becomes known. 匿名脅迫に対処する際には、学際的な脅迫アセスメントチームの編成を検討し、脅迫をた人物が判明した場合は、その専門知識を活用する。
Multidisciplinary threat assessment teams can help identify the level of concern posed by an individual who made a threat or exhibited concerning behavior and can decide on the appropriate supports and interventions for individuals identified as “at risk of doing harm.” At a minimum, these teams should include a school administrator, a school-based law enforcement representative, and a school counselor and/or other mental health professional with the option of adding individuals who can further help assess the situation and contribute to developing the right intervention plan. While the utility of a multidisciplinary threat assessment team may be limited prior to knowing the identity of the threat’s source, awareness of an anonymous threat could identify a link to previous incidents, thereby aiding the response, and expediting the team’s response if an individual is eventually identified.  多分野脅迫アセスメントチームは、脅迫を口にした、あるいは懸念される行動を示した個人による懸念レベルを識別し、「危害を加えるリスクがある」と識別された個人に対して適切な支援や介入を決定するのに役立つ。 少なくとも、これらのチームには、学校管理者、学校を管轄する法執行機関の代表者、学校カウンセラーおよび/またはその他のメンタルヘルスの専門家を含めるべきであり、状況をさらに評価し、適切な介入計画の策定に貢献できる人物を追加するオプションもある。脅迫の発生源が特定されるまでは、多分野にわたる脅迫アセスメントチームの有用性は限定的であるかもしれないが、匿名脅迫を認識することで、過去のインシデントとの関連性を識別でき、それによって対応を支援し、最終的に個人を特定できればチームの対応を迅速化できる。
Response coordinators should balance initial steps to ensure the campus is safe. 対応コーディネーターは、キャンパスの安全を確保するための初期段階の対応をバランスよく行う必要がある。
Schools that are targets of anonymized threats must treat each one as initially credible. If a school is the target of a threat, determining which assets need to be on-scene to keep the campus and school community safe is a critical first step. Because certain response actions, such as full lockdowns or an increased police presence, can be traumatizing for some students, schools should consider the intensity and overtness of their response. Determine how to balance the initial response and leave open the potential to scale up rapidly as necessary. Be prepared to announce to the community whether the decision is made to lock down, secure campus or close school. Ensure that school personnel coordinate with local law enforcement to deliver uniform messages about a threat situation and provide accurate, up-to-date information to the broader school community. 匿名の脅迫の標的となった学校は、すべての脅迫を当初は信用に足るものとして扱わなければならない。学校が脅迫の標的となった場合、キャンパスと学校コミュニティの安全を確保するために、どの資産を現場に配置する必要があるかを判断することが、重要な第一歩となる。完全な封鎖や警察官の増員など、特定の対応措置が一部の生徒にトラウマを与える可能性があるため、学校は対応の強度と露骨さを考慮する必要がある。初期対応と、必要に応じて迅速に拡大する可能性をどのようにバランスさせるかを決定する。 キャンパスを封鎖するか、安全を確保するか、あるいは学校を閉鎖するかの決定が下された場合、地域社会にその旨を通知する準備をしておく。 学校関係者が地元の警察当局と連携し、脅迫の状況について統一されたメッセージを発信し、より広範な学校コミュニティに正確な最新情報を提供できるようにする。
Triage and determine the level of concern a threat poses. 脅迫の深刻度を優先順位付けし、判断する。
The first step in triaging anonymous threats is to engage a law enforcement partner whose expertise is critical to managing threat situations and deciding when it is okay or necessary to scale response actions up or down. First, consider key background and contextual information about a threat. Then, move on to identify any discernable patterns that might elevate or decrease the level of concern posed by the threat. Finally, identify any signs of the threat’s imminence that might call for a rapid response reaction to keep the community safe.  匿名脅迫の優先順位付けの第一歩は、脅迫の状況を管理し、対応措置を拡大または縮小することが適切または必要であるかを判断する上で専門知識が不可欠な法執行機関のパートナーと連携することである。まず、脅迫に関する主な背景情報および状況情報を検討する。次に、脅迫による懸念のレベルを上昇または低下させる可能性のある、識別可能なパターンを識別する。最後に、地域社会の安全を維持するために迅速な対応が必要となるような、脅迫の切迫した兆候を識別する。
Putting it all together: Enhance school preparedness to address future threats. まとめ:将来の脅迫に対処するための学校の備えを強化する。
Every school and school district can take steps throughout the school year to better prepare for threat situations. Successful response during an emergency begins with ongoing preparedness and prevention efforts outside of emergencies. Establish a response protocol that addresses threat situations, and conduct developmentally and age-appropriate drills and training exercises to help prepare for responding to threats. Establish protocols for communicating with families, and make sure the resources are in place to address the impacts of a threat. すべての学校および学区は、脅迫の状況に備えるために、学校年度を通じて対策を講じることができる。緊急時の対応を成功させるには、緊急時以外の継続的な準備と予防の取り組みから始める必要がある。脅迫の状況に対応する対応手順を確立し、脅迫への対応に備えるために、発達段階や年齢に適した訓練やトレーニングを実施する。家族とのコミュニケーション手順を確立し、脅迫の影響に対処するためのリソースが確実に用意されていることを確認する。

 

目次...

Acknowledgments   謝辞 
Executive Summary  エグゼクティブサマリー 
Introduction and Overview  序文と概要
Toolkit Goals and Intended Audience  ツールキットの目標と想定読者 
Methods Used to Develop This Toolkit  ツールキット開発に使用した方法 
Navigating and Using This Toolkit  ツールキットのナビゲーションと使用方法 
SECTION ONE | Getting Started: Trends in Threats Against K-12 Schools  第1章:はじめに:幼稚園から高校3年生までの学校に対する脅迫の傾向 
1.1 Social Media, Youth and Threats Against Schools  1.1 ソーシャルメディア、若者、学校に対する脅迫
1.2 What Impact Are Anonymized Threats Having on K-12 Schools?  1.2 匿名の脅迫が幼稚園から高校3年生までの学校に与える影響とは? 
SECTION TWO | Containing the Problem: Early Awareness and Deterring Future Threats  第2章:問題の封じ込め:早期の認識と将来の脅迫の抑止 
2.1 Build Awareness About Reporting Threats  2.1 脅迫の通報に関する認識を高める 
2.2 Prepare Staff Who Might Receive Anonymous Threats By Phone to Capture Key Information  2.2 匿名脅迫電話を受けた場合の対応要員を準備し、重要な情報を入手する 
2.3 Educate the Community About Youth Social Media Use, Especially Families   2.3 特に家族に対して、青少年のソーシャルメディア利用について地域社会に啓発を行う 
2.4 Provide Mental Health Resources to Help Mitigate Threats  2.4 脅迫を軽減するためのメンタルヘルス関連のリソースを提供する 
2.5 Take Actions to Deter Future Threats  2.5 将来の脅迫を抑止するための措置を取る 
SECTION THREE | Key Partners in Addressing Anonymized Threats to K-12 Schools  第3章:K-12学校に対する匿名脅迫への対応における主要パートナー 
3.1 Reporting Party  3.1 通報者 
3.2 School Administrators  3.2 学校管理者 
3.3 School-Knowledgeable Law Enforcement  3.3 学校に精通した法執行機関 
3.4 School-Knowledgeable Mental Health and Threat Assessment Professionals  3.4 学校に精通した精神保健および脅迫アセスメント専門家 
SECTION FOUR | First Response: Immediate Actions When a Threat is Received  第4章:第一応答:脅迫を受けた際の即時対応 
4.1 Initial Response to Threats to Ensure Campus Safety  4.1 キャンパスの安全を確保するための脅迫に対する初期対応 
4.2 Initiating Threat Evaluation to Inform Response  4.2 対応を決定するための脅迫アセスメントの開始 
4.3 Crisis Communication with the School Community  4.3 学校コミュニティとの危機管理コミュニケーション 
SECTION FIVE | Deliberate Response: Balancing Response Actions for Complex and Uncertain Threats  第5章:慎重な対応:複雑かつ不確実な脅迫に対する対応行動のバランス 
5.1 Options Available to Schools to Heighten Response to Anonymized Threats  5.1 学校が匿名脅迫への対応を強化するために利用できる選択肢 
5.2 Ongoing Threat Evaluation to Inform Response Changes  5.2 対応の変更を知らせるための継続的な脅迫アセスメント 
5.3 Communication as the Threat is Resolved and Beyond   5.3 脅迫が解決された後およびそれ以降のコミュニケーション 
SECTION SIX | Preparedness to Enhance Schools’ Capabilities to Manage Anonymized Threats   第6章:学校の匿名脅迫への対応能力を高めるための準備  
6.1 Establish a Threat Response Protocol for Addressing Anonymized Threats   6.1 匿名脅迫への対応手順を確立する 
6.2 Engage in Training and Drills Covering Different Options for Threat Response  6.2 脅迫への対応のさまざまな選択肢をカバーする訓練や演習を実施する 
6.3 Inform Families of Basic Threat Response Plans and Prepare to Communicate with the School Community When Threats Occur  6.3 保護者に基本的な脅迫対応計画を伝え、脅迫が発生した際に学校関係者と連絡を取る準備をする
6.4 Prepare to Provide Support Resources to Address the Impacts of Threats  6.4 脅迫の影響に対処するための支援リソースの提供準備をする 
6.5 Conclusion  6.5 結論 
Additional Resources  追加リソース 
Worksheets  ワークシート 
Worksheet 1. Taking Stock of Anonymized Threats at Your School  ワークシート 1. 学校における匿名脅迫の現状把握 
Worksheet 2. Gathering Information When You Receive a Threat: Where to Start?  ワークシート 2. 脅迫を受けた場合の情報収集:何から始めるか? 
Abbreviations  略語 
References  参考文献 

 

 

序文と概略

Introduction and Overview 序文と概要
School violence shapes the educational experience of many students and school staff across the United States. In a fall 2022 survey of over 950 kindergarten through grade 12 (K-12) teachers across the United States, about one third (35%) reported that their school had been disrupted by threats posted to social media during the 2021-2022 school year (Jackson et al., 2023). In early 2023, the Federal Bureau of Investigation (FBI) reported that schools received 6,000 threats in 2022, a 60% increase from the previous year. Most of these were posted on social media (Haskell, 2023).  学校での暴力は、米国中の多くの生徒や学校スタッフの教育体験を形作っている。2022年秋に米国中の幼稚園から12年生(K-12)の教師950人以上を対象に実施された調査では、約3分の1(35%)が、2021-2022年度中にソーシャルメディアに投稿された脅迫により学校が混乱したと報告している(Jackson et al., 2023)。2023年初頭、連邦捜査局(FBI)は、2022年に学校が受け取った脅迫の件数は6,000件で、前年度から60%増加したと報告した。そのほとんどがソーシャルメディアに投稿されていた(Haskell, 2023)。
What is an Anonymized Threat? 匿名の脅迫とは?
・Anonymous threats can be delivered via a multitude of different ways, whether by phone, using technology that masks phone numbers and distorts a caller’s voice, over anonymous platforms like email or social media, or written on the wall of a school building. Across these various modes of delivery, the identity of the individual making the threat is not immediately discernable.  ・匿名の脅迫は、電話によるもの、電話番号を隠して発信者の声を歪める技術を使用したもの、電子メールやソーシャルメディアなどの匿名のプラットフォームを介したもの、学校の壁に書かれたものなど、さまざまな方法で送信される。これらのさまざまな送信方法では、脅迫を行った個人の身元を即座に特定することはできない。
・Anonymized threats are different from threats made by known individuals, which may be made publicly (e.g. a threat made in writing at school or online connected to the threatener’s identity) or may be termed “leakage” in threat assessment protocols (when the threat to engage in violence against a target becomes known through communication to a third party).  ・匿名の脅迫は、既知の個人による脅迫とは異なる。既知の個人による脅迫は、公にされる場合(例えば、学校やオンライン上で書面による脅迫が行われる場合など、脅迫者の身元が明らかになる場合)や、脅迫評価プロトコルにおいて「リーク」と呼ばれる場合(第三者に連絡することで、標的に対する暴力行為の脅迫が明らかになる場合)がある。
・Anonymous reports of threats by other individuals (i.e. a student calling an anonymous tip line or other reporting mechanism to report a threat they heard from a peer or saw posted by a peer online) are also not anonymous threats because the identity of the individual who made the threat is known.  ・他の人物による脅迫の匿名報告(すなわち、学生が匿名の通報用ホットラインやその他の報告手段に連絡し、同級生から聞いた、あるいは同級生がオンラインに投稿した脅迫を報告する)も、脅迫を行った人物の身元が判明しているため、匿名の脅迫とはみなされない。
Social media-based and other types of anonymized threats of violence against K-12 institutions are common. The age of the internet and of social media grant a perception of anonymity that can make individuals more comfortable saying or doing things online that they would not do in person. With this newfound comfort has come a rise in anonymous threats to schools and other public spaces (Ward, 2023). K-12の教育機関に対するソーシャルメディアを基盤とした匿名の暴力の脅迫やその他の種類の脅迫は、よく見られる。インターネットやソーシャルメディアの普及により、匿名性という感覚が生まれ、個人にとっては、オンライン上では対面ではしないような言動をしても気兼ねがなくなる。この新たな気楽さにより、学校やその他の公共の場に対する匿名の脅迫が増加している(Ward, 2023)。
These threats vary in their delivery and intent. Many threaten attacks against students, but some target additional members of the school community, such as teachers and other school staff. A threat might mention a bomb at a specific school or that a student is bringing a gun to school the next day to target a specific person or group of persons. Other threats might be more general, such as an image of someone with a firearm urging people not to come to school the next day. Some anonymous threats posted to social media and elsewhere can be so vague as to just mention the initials of a supposedly targeted school or no specific location at all (Ward, 2023). Indeed, a common characteristic among threats targeting K-12 schools is their anonymous nature—schools are often unable to immediately discern who posted the threat. こうした脅迫は、その伝達方法や意図において様々である。多くの脅迫は生徒に対するものだが、教師やその他の学校スタッフなど、学校コミュニティのその他のメンバーを標的にするものもある。ある特定の学校に爆弾が仕掛けられているという脅迫や、特定の個人やグループを標的にして、ある生徒が翌日銃を持って登校するという脅迫もある。また、銃を持った人物が、翌日は学校に来るなと人々に呼びかけるという、より一般的な脅迫もある。ソーシャルメディアやその他の場所に投稿される匿名の脅迫の中には、標的とされる学校のイニシャルが記載されているだけのものや、特定の場所がまったく示されていないものもある(Ward, 2023)。実際、幼稚園から高校3年生までの学校を標的とする脅迫に共通する特徴は、その匿名性である。学校は、誰が脅迫を投稿したのかを即座に特定できないことが多い。
Most of the anonymous threats schools receive are intended to be jokes—hoax threats by students trying to get out of school for a day or trying to sow disorder. Others can be cries for help. Their timing also varies. Sometimes, threats come at random times during the school year or follow disturbing patterns in the wake of actual tragedies. Highly publicized mass shootings, for example, often prompt an onslaught of so-called copycat threats of more violence (Santucci, 2022). Threats can also come in response to trends spreading across various social media platforms, such as the “National Shoot Up Your School” or “School Shooting” TikTok challenge that tasked students to prank call their schools and local police claiming that there would be a mass shooting on a specific date. This particular challenge plagued school districts across the United States in December 2021 (Mak, 2021; Klein, 2022). 学校が受け取る匿名の脅迫のほとんどは、冗談を言いたいがためのものであり、一日学校を休みたい、あるいは混乱を引き起こしたいという生徒によるデマである。 また、助けを求めるものもある。 そのタイミングも様々である。 時には、脅迫が学年の間ランダムな時間に届いたり、実際の悲劇の後に不穏なパターンで届いたりする。例えば、大々的に報道された銃乱射事件は、しばしばさらなる暴力をほのめかす模倣犯による脅迫の急増を招く(Santucci, 2022)。脅迫はまた、さまざまなソーシャルメディアプラットフォームで広がるトレンドに呼応して発生することもある。例えば、「National Shoot Up Your School」や「School Shooting」というTikTokのチャレンジでは、特定の日に銃乱射事件が起こるという偽の通報を学校や地元警察にかけるイタズラを学生たちに課している。この特定のチャレンジは、2021年12月に米国中の学区を悩ませた(Mak, 2021; Klein, 2022)。
When a school is the target of a threat, district and schoollevel administrators, school-based law enforcement personnel, other school staff, and local law enforcement partners have no choice but to immediately devote extensive resources to tracking down its origins, determining the level of concern that it poses and implementing response actions to keep their communities safe. Often, these school-led responses— evacuations, lockouts, lockdowns or school cancelations among others—have a significant emotional impact on students, teachers and other members of the school community, making it difficult for schools to foster a positive educational experience and maintain an accepting and trusting environment. 学校が脅迫の標的となった場合、学区および学校レベルの管理者、学校を拠点とする法執行機関の職員、その他の学校スタッフ、および地元の法執行機関のパートナーは、その発信源を追跡し、それがもたらす懸念のレベルを判断し、地域社会の安全を確保するための対応措置を実施するために、すぐに広範なリソースを投入する以外に選択肢はない。避難、ロックアウト、ロックダウン、休校など、学校主導のこうした対応は、生徒や教師、その他の学校関係者に大きな精神的影響を与えることが多く、学校が前向きな教育体験を育み、受容的で信頼できる環境を維持することが難しくなる。
Given the complexity of the problem, there is no one-sizefits-all approach to addressing anonymized threats against schools. Through the development of this toolkit, the Cybersecurity and Infrastructure Security Agency (CISA) hopes to alleviate some of the challenges that local education agencies face in this area. 問題の複雑さを考えると、学校に対する匿名の脅迫に対処するための万能なアプローチは存在しない。このツールキットの開発を通じて、サイバーセキュリティ・インフラ保護庁(CISA)は、この分野において地方教育機関が直面する課題のいくつかを軽減することを目指している。
Toolkit Goals and Intended Audience ツールキットの目標と想定読者
The purpose of this toolkit is to provide guidance to local education agencies that have been targeted by anonymous threats, including those originating on social media, and other similar threats, such as swatting (see Box 1.1). This toolkit outlines steps that school leaders can take to respond to threats in a balanced way that will not induce further stress on or unfairly impact their communities, assess the level of concern posed by a threat, and better prepare themselves for and prevent future threats. It also highlights key partners that local education agencies can work with to address such threats and how schools can best work with these partners. The information in this toolkit is meant to speak to diverse K-12 school settings and populations and is based on current practices highlighted by local education agencies, law enforcement agencies and other partners situated across the country. このツールキットの目的は、ソーシャルメディアを起点とするものも含め、匿名の脅迫の標的となった地方教育機関にガイダンスを提供することである。また、スワッティング(Box 1.1を参照)などの同様の脅迫にも対応する。このツールキットでは、学校のリーダーが脅迫に対応するために、地域社会にさらなるストレスや不当な影響を与えないようバランスを考慮した手順を概説し、脅迫による懸念の度合いを評価し、将来の脅迫に備え、防止するためのより良い準備を行う方法を説明する。また、地域の教育機関がこうした脅迫に対処するために連携できる主要なパートナーや、学校がこれらのパートナーと最善の形で協力する方法についても強調している。このツールキットの情報は、幼稚園から12年生までのさまざまな学校環境や生徒を対象としており、地域の教育機関、法執行機関、および全米各地のパートナーが強調する現在の慣行に基づいている。
This toolkit is intended for K-12 schools and districts serving all grade levels across different geographical contexts, whether or not they have been the target of anonymous threats in the past. Local law enforcement agencies working with K-12 schools to address threats may also find the content in this toolkit useful. このツールキットは、過去に匿名の脅迫の対象となったことがあるかどうかに関わらず、さまざまな地理的状況において全学年を対象に教育を行っている幼稚園から12年生までの学校および学区を対象としている。幼稚園から12年生までの学校と協力して脅迫に対処している地元の法執行機関も、このツールキットの内容が役立つ可能性がある。
Methods Used to Develop This Toolkit このツールキットの開発に使用された方法
The guidance included in this toolkit draws on findings presented in Developing Practical Responses to Social Media Threats Against K-12 Schools: An Overview of Trends, Challenges, and Current Approaches (Moore et al., 2024). This study is based on four key research activities: a literature review of over 115 sources focused on assessing written threatening communications in the educational and other contexts, including anonymous social media-based and swatting threats; an analysis of over 1,000 news reports about social media threat incidents against K-12 schools between 2012-2022; over 40 interviews with more than 60 individuals involved in school safety at the federal, state, county, local community, school district and individual school levels; and a panel discussion with eight experts from the K-12, law enforcement and threat assessment communities.  このツールキットに記載されている指針は、以下の研究結果に基づいている。「幼稚園から12年生までの学校に対するソーシャルメディア上の脅迫に対する実用的な対応策の開発: 動向、課題、および現在の取り組みの概要(Moore 他、2024年)で発表された調査結果に基づいている。この研究は、次の4つの主要な研究活動に基づいている。匿名のソーシャルメディアを利用した脅迫やスワッティング脅迫など、教育現場やその他の状況における脅迫的な通信の評価に焦点を当てた115以上の情報源の文献レビュー。2012年から2022年の間にK-12学校を対象としたソーシャルメディア上の脅迫に関する1,000件以上のニュース記事の分析、連邦、州、郡、地域社会、学区、学校レベルで学校の安全に関与する60人以上の個人を対象とした40件以上のインタビュー、K-12、法執行機関、脅迫評価コミュニティの8人の専門家によるパネルディスカッション。
・The literature review identified indicators that have been used to assess the credibility and level of concern posed by written threats in the K-12 educational context. It also includes contexts that hold appropriately relevant and translatable lessons for schools, such as anonymous threats made to public officials, threats from fixated individuals (stalkers), bomb threats, and, to a lesser extent, cyberbullying. ・文献レビューでは、K-12教育の文脈における書面による脅迫の信憑性と懸念レベルを評価するために使用されてきた指標が特定された。また、公人に対する匿名の脅迫、ストーカーによる脅迫、爆破予告、そして程度は低いがサイバーいじめなど、学校にとって適切に関連性があり、翻訳可能な教訓となる内容も含まれている。
・The analysis of news reports helped identify discernable trends around social media threats against K-12 schools such as information about their timing, geographical scope, type of schools targeted, and how schools and districts have been responding to these threats.  ・ニュース報道の分析により、K-12の学校に対するソーシャルメディア上の脅迫について、その時期、地理的範囲、標的となった学校の種類、学校や学区がこれらの脅迫にどのように対応してきたかなど、識別可能な傾向を特定することができた。
・The direct interviews, which represented 17 school districts across 12 states as well as school safety offices, tip lines and state law enforcement agencies from 15 different states, collected information on current practices that local education agencies and their law enforcement partners are using to address anonymized threats as well as the challenges they face in this area.  ・12州17学区の教育委員会や学校安全対策室、ホットライン、15州の州法執行機関を対象とした直接インタビューでは、匿名の脅迫に対処するために地方教育委員会とその法執行機関のパートナーが現在使用している手法や、この分野における課題に関する情報を収集した。
・・To highlight the contributions of this diverse group of stakeholders and emphasize key points, this toolkit includes selected “Voices from the Field” throughout each section. ・・この多様なステークホルダーの貢献を強調し、要点を強調するために、このツールキットでは各セクションに「現場の声」を抜粋して掲載している。
・・There are several “Example Threat Scenarios” provided throughout the document that recount real-world situations involving K-12 schools and districts. These entries have been collected during the research process and include quotes that have been edited or paraphrased to avoid any identifiable information about the institutions subject to these threats. ・・また、K-12の学校や学区が実際に直面している状況を再現した「脅迫シナリオの例」もいくつか記載されている。これらの事例は調査の過程で収集されたもので、脅迫の対象となった機関を特定できる情報を避けるために、編集または言い換えられた引用文が含まれている。
・Finally, the research team held an expert panel in July 2023 to collect feedback on the draft report and gather recommendations for the development of this toolkit. Experts consisted of K-12 administrators, federal law enforcement personnel, and threat assessment professionals from academia and law enforcement.  ・最後に、研究チームは2023年7月に専門家によるパネルを開催し、報告書草案に対するフィードバックを収集し、このツールキットの開発に向けた提言を収集した。専門家は、K-12の管理者、連邦法執行機関の職員、学術界および法執行機関の脅迫評価の専門家で構成された。
Navigating and Using This Toolkit このツールキットの使用方法
This toolkit acknowledges the myriad diverse contexts that characterize K-12 schools across the United States and the ensuing need for flexible solutions that can help them meet the needs of their unique populations as they address anonymized threats. Its purpose is to provide simple, actionable guidance around assessing and responding to such threats and enhancing preparedness in this area. このツールキットは、米国の幼稚園から12年生までの学校を特徴づける無数の多様な背景を認識し、匿名の脅迫に対処する際に、学校がそれぞれの生徒のニーズを満たすことを支援する柔軟なソリューションの必要性を認識している。その目的は、このような脅迫の評価と対応、およびこの分野における準備態勢の強化に関する、シンプルで実行可能な指針を提供することである。
SECTION ONE 第1章
Provides background about trends in social media-based and other types of anonymous threats targeting K-12 schools, including how schools are becoming aware of threats. This section also describes the impact that these threats are having on local education agencies across the country such as loss of instruction time, the high demand they place on school and law enforcement resources, and the trauma and emotional stress that they induce. K-12の学校を標的としたソーシャルメディアを基盤とする匿名の脅迫やその他のタイプの脅迫の傾向について、学校が脅迫に気づくようになった経緯を含め、背景を説明する。また、このセクションでは、授業時間の損失、学校や法執行機関のリソースへの多大な負担、心的外傷や精神的ストレスなど、これらの脅迫が全米の地方教育機関に与えている影響についても説明する。
SECTION TWO 第2章
Outlines initiatives that schools can consider putting in place to help prevent and deter threat-making. The discussion focuses on strategies to increase awareness and reporting of threats, adding mental health resources to schools and efforts to educate the community about the potential consequences of threat-making even when threats are meant to be jokes. 学校が脅迫の防止と抑止のために導入を検討できる取り組みについて概説する。議論の焦点は、脅迫に対する認識と報告を増加させるための戦略、学校へのメンタルヘルス関連リソースの追加、脅迫が冗談のつもりであった場合でも脅迫がもたらす潜在的な結果について地域社会に教育を行う取り組みである。
SECTION THREE 第3章
Describes key partners in the process of addressing anonymous threats made against K-12 schools. Schools should think about what additional capabilities and expertise they will need to effectively respond to threats and to help them investigate the origins of a threat and the risk that it poses. 幼稚園から高校3年生までの学校に対する匿名の脅迫に対処するプロセスにおける主要なパートナーについて説明する。学校は、脅迫に効果的に対処し、脅迫の発生源やそれがもたらすリスクを調査するために、どのような追加の能力や専門知識が必要かを考えるべきである。
SECTION FOUR 第4章
Discusses the first set of response actions that schools can take to ensure safety immediately upon receiving notification of a threat. This section also provides in-depth guidance about the parallel process of threat evaluation that will guide decisions about whether to escalate or downgrade response actions and recommendations about communicating with families and the broader community during threat emergencies. 脅迫の通知を受け取った直後に学校が安全を確保するためにとることができる最初の対応措置について論じている。また、このセクションでは、対応措置や推奨事項を強化または縮小するかどうかを決定する際に指針となる脅迫評価の並行プロセスについての詳細な指針、および脅迫緊急事態における家族や地域社会とのコミュニケーションに関する推奨事項も提供している。
SECTION FIVE 第5章
Builds on the previous section to describe the broad menu of response actions available to schools and their partners when it comes to heightening response actions based on information gathered about a threat during the assessment process. 前章の内容を踏まえ、脅迫の評価プロセスで収集された情報に基づいて対応策を強化する場合に、学校およびそのパートナーが利用できる幅広い対応策について説明する。
SECTION SIX 第6章
Summarizes key takeaways for local education agencies and considerations for future steps to enhance preparedness. The end of this toolkit also provides diverse resources for K-12 stakeholders to access as they enhance their preparedness to address anonymized threats, as well as worksheets to spur more in-depth and context-specific thinking about the topic. 地域教育機関にとっての主な教訓と、今後の対策強化に向けた検討事項を要約する。このツールキットの終わりには、匿名の脅迫への対応準備を強化するにあたり、K-12の利害関係者が利用できる多様なリソースも提供されている。また、このトピックについてより深く、より状況に即した思考を促すワークシートも用意されている。

 

 

・[PDF] Anonymized Threat Response Guidance: A Reference Guide for K-12 Schools

20240927-62642

 

| | Comments (0)

2024.09.27

米国 連邦取引委員会 AIコンプライアンス作戦:過剰な約束やAI関連の嘘に対する取り締まりを継続

こんにちは、丸山満彦です。

米国連邦取引委員会が、AIコンプライアンス作戦についてのブログを載せていますね。。。AIにかこつけた詐欺的な話にだまされんようにということやね...

いつの世も、甘い話には...ですよね...欲をかき過ぎると失うものは多い、欲がなければ、得るものが少ない...こころのバランスは難しいですね...

 

FTCが上げている例示5つは興味深いです...

で、

消費者へのメッセージは...

有資格の専門職を完全に代替できると主張するAI関連製品には懐疑的になるべきである。

(AIは良い出発点になるが、完全な置き換えにはならない。細かい事実関係の違いで結果が大きくことなるから、このような状況で完全にAIに置き換えられるわけがないだろう...)

というのは、その通りだと思いました...

 

U.S. Federal Trade Commission

ブログ...

・2024.09.25 Operation AI Comply: continuing the crackdown on overpromises and AI-related lies

Operation AI Comply: continuing the crackdown on overpromises and AI-related lies AIコンプライアンス作戦:過剰な約束やAI関連の嘘に対する取り締まりを継続
Maybe you grew up daydreaming about artificial intelligence, or AI. You imagined its potential to change the future, possibly with an army of helpful robots to take on your least favorite human tasks. The Star Wars franchise had R2-D2. The Jetsons had Rosey. There was RoboCop. And when everything else was gone, the world had WALL-E, the stoic trash collector looking for love. Now, as a business owner, you’re always watching for the next big invention to fine-tune processes and increase profitability. And some marketers can’t resist taking advantage of that by using the language of AI and technology to try to make it seem like their products or services deliver all the answers. もしかしたら、あなたは人工知能(AI)について夢想しながら成長してきたのかもしれない。あなたは、未来を変える可能性を想像した。おそらく、最も苦手な人間的な作業を引き受ける、役に立つロボットの軍団とともに。スターウォーズ』シリーズにはR2-D2がいた。『宇宙家族ジェットソン』にはロージーがいた。『ロボコップ』もいた。そして、すべてが失われた後、世界には愛を求めるストイックなゴミ収集車、WALL-Eがいた。今、あなたはビジネスオーナーとして、プロセスを微調整し収益性を高めるために、次の大きな発明を常に探している。そして、一部のマーケティング担当者は、AIやテクノロジーの言葉を使って、自社の製品やサービスがすべての答えを提供しているかのように見せかけようとする。
Today, as part of Operation AI Comply, the FTC is announcing five cases exposing AI-related deception. First, we have four settlements involving allegedly deceptive claims about AI-driven services, three of which are oldies but not-so-goodies: deceptive business opportunity scams that claim to use AI to help people earn more money, faster. We also have a settlement involving a company that offered a generative AI tool that let people create fake consumer reviews. Here’s what you need to know: 本日、FTCは「AIコンプライアンス作戦」の一環として、AI関連の欺瞞を暴いた5つの事例を発表た。まず、AI駆動型サービスに関する欺瞞的とされる主張を含む4つの和解案があるが、そのうち3つは、AIを使ってより早くより多くのお金を稼ぐ手助けをするという欺瞞的なビジネスチャンス詐欺という、昔からあるがそれほど良いものではないものだ。また、偽の消費者レビューを生成できる生成的AIツールを提供していた企業に関する和解案もある。知っておくべきことは以下の通りである。
DoNotPay: An FTC complaint claims U.K.-based DoNotPay told people its online subscription service acts as “the world’s first robot lawyer” and an “AI lawyer” by using a chatbot to prepare “ironclad” documents for the U.S. legal system. The complaint also says DoNotPay told small businesses its service could check their websites for law violations and help them avoid significant legal fees. In fact, according to the complaint, DoNotPay’s service didn’t live up to the hype. You’ll have 30 days to comment on a proposed settlement between FTC and DoNotPay, which requires DoNotPay to stop misleading people, pay $193,000, and tell certain subscribers about the case. DoNotPay:FTCの申し立てによると、英国を拠点とするDoNotPayは、チャットボットを使用して米国の法制度に適した「鉄壁」の文書を作成する同社のオンライン購読サービスについて、「世界初のロボット弁護士」および「AI弁護士」として宣伝していたという。訴状によると、DoNotPayは小規模企業に対して、同社のサービスは法律違反の疑いがあるウェブサイトをチェックし、多額の弁護士費用を回避する手助けができると説明していたという。実際には、訴状によると、DoNotPayのサービスは宣伝文句ほどの効果はなかった。FTCとDoNotPayの和解案について、30日以内に意見を提出する。和解案では、DoNotPayは人々を欺く行為を停止し、19万3000ド:を支払い、特定の加入者にこの件について通知することが求められている。
Ascend Ecom: An FTC complaint filed in California alleges a group of companies and their officers used deceptive earnings claims to convince people to invest in “risk free” business opportunities supposedly powered by AI. Then, when things went sour, the FTC says, the defendants refused to honor their “risk free” money-back guarantees, and threatened and intimidated people to keep them from publishing truthful reviews. According to the complaint, the defendants’ conduct violated the FTC Act, the Business Opportunity Rule, and the Consumer Review Fairness Act. Ascend Ecom:カリフォルニア州で提出されたFTCの申し立てによると、企業グループとその役員は、AIによって推進されているはずの「リスクフリー」のビジネスチャンスに投資するよう人々を説得するために、欺瞞的な収益主張を使用した。そして、状況が悪化した際、FTCによると、被告らは「リスクフリー」の返金保証を履行することを拒否し、人々を脅迫して脅し、真実のレビューを公表しないよう仕向けたという。訴状によると、被告らの行為は、FTC法、ビジネス・オポチュニティ規則、消費者レビュー公正法に違反している。
Ecommerce Empire Builders: In a complaint filed in Pennsylvania, the FTC claims a company and its officer violated the FTC Act and the Business Opportunity Rule with their AI-infused earnings claims. According to the complaint, in addition to failing to provide required statements and disclosures, the defendants promised people they would quickly earn thousands of dollars a month in additional income by following proven strategies and investing in online stores “powered by artificial intelligence.” The complaint also says the defendants made clients sign contracts keeping them from writing and posting negative reviews, in violation of the Consumer Review Fairness Act. Ecommerce Empire Builders:ペンシルベニア州で提出された訴状によると、FTCは、AIを駆使した収益の主張により、ある企業とその役員がFTC法およびビジネス・オポチュニティ規則に違反したと主張している。訴状によると、必要な声明や開示を行わなかったことに加え、被告らは、実績のある戦略に従い、「人工知能を駆使した」オンラインストアに投資することで、人々がすぐに毎月数千ドルの追加収入を得られると約束したという。また、この訴状によると、被告らは消費者レビュー公正法に違反して、顧客に否定的なレビューを書いたり投稿したりしないよう契約で義務付けたという。
FBA Machine: In June, the FTC filed a complaint against a group of New Jersey-based businesses and their owner, claiming they used deceptive earning claims to convince people to invest in a “surefire” business opportunity supposedly powered by AI. According to the complaint, the defendants promised people they could earn thousands of dollars in passive income. Then, the FTC says, the defendants threatened people who tried to share honest reviews, and told people they couldn’t get refunds unless they withdrew their complaints. According to the FTC, through these tactics, which violate the FTC Act, the Business Opportunity Rule, and the Consumer Review Fairness Act, the defendants defrauded their customers of more than $15.9 million. The case is ongoing. FBAマシン:6月、FTCはニュージャージー州を拠点とする企業グループとそのオーナーを相手取り、AIを駆使した「確実な」ビジネスチャンスに投資するよう人々を説得するために、欺瞞的な収益主張を使用したとして訴訟を起こした。訴状によると、被告らは人々に何千ドルもの不労所得が得られると約束した。その後、FTCによると、被告は正直なレビューを共有しようとした人々を脅迫し、苦情を取り下げない限り返金はできないと人々に伝えた。FTCによると、FTC法、ビジネス・オポチュニティ規則、消費者レビュー公正法に違反するこれらの戦術により、被告は顧客から1590万ドル以上を詐取した。この訴訟は継続中である。
Rytr: According to an FTC complaint, a Delaware-based company sold an AI-enabled writing assistant with a tool specifically designed for its customers to generate online reviews and testimonials. The problem? The complaint says Rytr customers could, with little input, generate an unlimited number of reviews with specific details that would almost certainly not be true for those users. According to the complaint, some Rytr customers used this tool to quickly generate thousands of false reviews that would have tricked people reading those reviews online. This, the FTC says, likely harmed many people and was unfair. Rytr has agreed to a proposed settlement prohibiting the company – or anyone working with it – from advertising or selling any service promoted for generating reviews. You can submit your public comments for 30 days. Rytr:FTCの申し立てによると、デラウェア州に拠点を置く企業が、顧客のために特別に設計されたツールを搭載したAI対応のライティングアシスタントを販売していた。問題は何か?申し立てによると、Rytrの顧客はほとんど入力作業なしで、ほぼ確実に真実ではない詳細情報を記載したレビューを無制限に生成することができたという。訴状によると、Rytrの顧客の中には、このツールを使用して、オンラインでレビューを読む人を欺くような、数千件もの偽のレビューを素早く作成した者もいたという。FTCは、これは多くの人々に損害を与え、不当な行為であると述べている。Rytrは、同社または同社と提携する人物が、レビューの生成を目的としたサービスの広告または販売を行うことを禁止する和解案に同意した。30日間の期間内に、一般コメントを提出することができる。
So, what’s the takeaway? では、何を学んだだろうか?
First, if you’re looking for AI-based tools to use in your business: まず、ビジネスで使用するAIベースのツールを探しているなら、
・Be skeptical of AI-related products that claim they can fully replace a qualified human professional. Firms are rushing to claim that their AI tools can replace the work of doctors, lawyers, and accountants. But when it comes to legal or financial advice, small mistakes lead to big problems, and not every firm can back up their claims with tools that are actually equipped to address complicated, fact-intensive cases. AI tools can be a good starting point, but be skeptical of claims that they can fully replace a professional. ・有資格の専門職を完全に代替できると主張するAI関連製品には懐疑的になるべきである。企業はこぞって、自社のAIツールが医師、弁護士、会計士の仕事を代替できると主張している。しかし、法律や財務に関するアドバイスにおいては、小さなミスが大きな問題につながるため、すべての企業が、複雑で事実関係が重視される案件に対処できるツールを実際に備えており、その主張を裏付けることができるわけではない。AIツールは良い出発点となり得るが、AIツールが専門職を完全に代替できるという主張には懐疑的になるべきである。
・Don’t take shortcuts on reviews. You know people read reviews before buying your product or service, and you might be tempted to use AI tools to help you fake your way to five stars. Don’t do it. By posting fake reviews you betray your customers’ trust and hurt honest businesses trying to compete fairly. And, you may violate the FTC Act and the FTC’s Rule on the Use of Consumer Reviews and Testimonials in the process. We’ve published a guide with tips on soliciting and paying for online reviews. Check it out and avoid problems. ・レビューに近道を求めるべきではない。顧客が貴社の製品やサービスを購入する前にレビューを読むことは周知の事実であり、AIツールを利用して5つ星の評価を偽装したい誘惑に駆られるかもしれない。しかし、それはすべきではない。偽のレビューを投稿することは、顧客の信頼を裏切る行為であり、公正な競争をしようとしている誠実な企業を傷つける行為である。また、その過程で連邦取引委員会法および連邦取引委員会の消費者レビューおよび体験談の利用に関する規則に違反する可能性もある。弊社では、オンラインレビューの依頼と報酬に関するヒントをまとめたガイドを公開している。ぜひご一読いただき、問題を回避していただきたい。
Second, if you’re tempted to mention AI in ads to boost sales: 次に、販売促進のために広告でAIについて言及したい誘惑に駆られた場合:
・Don’t say you use AI tools if you don’t. Easy enough, right? If you’re investigated by the FTC, our technologists and others can look at your product or service and figure out what’s really going on. Be aware that just using an AI tool when you’re developing your product is not the same as offering your customers a product with AI inside. Tell the truth. ・AIツールを使用していないのに、AIツールを使用していると述べてはならない。簡単だろう?FTCの調査を受けた場合、当社の技術者やその他の専門家が貴社の製品やサービスを調査し、何が実際に起こっているのかを解明することができる。製品開発時にAIツールを使用していることと、顧客にAIを搭載した製品を提供していることは同じではないことを認識すべきである。真実を伝えること。
・A lie in robot’s clothing is still a lie: the same old advertising principles apply. The FTC expects you to have a reasonable basis for any claim you make about your product or service. If special rules apply to the product or service you offer, like business opportunities, you must follow those as well. Don’t think using technological jargon or saying your product or program relies on AI changes the analysis. When it comes to business opportunities, if the FTC investigates you, we’re going to check to see whether you can back up your earnings and other claims, and whether you’re supplying appropriate disclosures to your customers. Don’t claim your program uses new technologies to help people make more money unless that’s true. Have concrete data demonstrating what you’re promising is typical for your customers. ・ロボットの服を着た嘘は、やはり嘘である。昔ながらの広告の原則が適用される。FTCは、貴社が製品やサービスについて主張する内容について、妥当な根拠があることを期待している。貴社が提供する製品やサービスに特別なルールが適用される場合、例えばビジネスチャンスなど、それらも遵守しなければならない。技術的な専門用語を使用したり、貴社の製品やプログラムがAIに依存していると述べたりしても、分析が変わるわけではない。ビジネスチャンスに関して言えば、FTCがあなたを調査した場合、私たちは、あなたの収益やその他の主張を裏付けることができるかどうか、また、顧客に適切な開示を行っているかどうかを確認する。あなたのプログラムが新しい技術を使用して人々がより多くのお金を稼ぐのを支援していると主張する場合は、それが事実である場合に限る。あなたが顧客に約束していることが典型的なものであることを示す具体的なデータを用意する。
Finally, be informed: 最後に、情報を入手しておくこと:
・These cases are just the latest in the FTC’s ongoing work to combat AI-related issues in the marketplace from every angle. We’re checking to see whether products or services actually use AI as advertised, if so, whether they work as marketers say they will. We’re examining whether AI and other automated tools are being used for fraud, deception, unfair manipulation, or other harmful purposes. On the back end, we’re looking at whether automated tools have biased or discriminatory impacts. You can read about other cases here: Automators, Career Step, NGL Labs, Rite Aid, CRI Genetics. ・これらの事例は、市場におけるAI関連の問題をあらゆる角度から取り締まるFTCの継続的な取り組みにおける最新のものに過ぎない。我々は、製品やサービスが実際に広告通りにAIを使用しているか、また、そうであれば、マーケティング担当者が主張する通りに機能しているかを確認している。また、AIやその他の自動化ツールが詐欺、欺瞞、不正操作、その他の有害な目的に使用されていないかについても調査している。さらに、自動化ツールがバイアスや差別的な影響を与えていないかについても確認している。その他の事例については、こちらを参照のこと:Automators、Career Step、NGL Labs、Rite Aid、CRI Genetics。
・For more information on how to avoid getting swept up in one of our law enforcement efforts, check out the FTC’s AI and Your Business series: ・FTCのAIと貴社ビジネスシリーズで、法執行活動に巻き込まれないための詳細を確認する。
・・Keep your AI claims in check ・・AIの主張を抑制する
・・Chatbots, deepfakes, and voice clones: AI deception for sale ・・チャットボット、ディープフェイク、音声クローン:販売されるAIの欺瞞
・・The Luring Test: AI and the engineering of consumer trust ・・誘惑テスト:AIと消費者信頼の構築
・・Watching the detectives: Suspicious marketing claims for tools that spot AI-generated content ・・探偵の監視:AI生成コンテンツを検知するツールの疑わしいマーケティング主張
・・Can’t lose what you never had: Claims about digital ownership and creation in the age of generative AI ・・失うものなどない:生成的AI時代のデジタル所有権と創作に関する主張
・・Succor borne every minute ・・救いは毎分訪れる

 

余裕なあるかたは5つのケースも読むとよいと思います。訴状、命令等のリンクもあります...

・2024.09.25 DoNotPay

・2024.09.25 Ascend Ecom

・2024.09.25 Empire Holdings Group LLC, et al. FTC v.

・2024.09.25 FBA Machine

・2024.09.25 Rytr

 

1_20240926164901

 

| | Comments (0)

ENISA EUデジタルID(EUDI)ウォレットの認証をサポート (2024.09.24)

こんにちは、丸山満彦です。

欧州委員会からの要請?により、ENISAがEUデジタルID(EUDI)ウォレットの認証をサポートすることになったようですね...ENISAの役割的にはそうなので、そうなのでしょう...

 

ENISA

プレス...

・2024.09.24 EU Digital Identity Wallet: A leap towards secure and trusted electronic identification through certification

EU Digital Identity Wallet: A leap towards secure and trusted electronic identification through certification EUデジタルIDウォレット:認証による安全で信頼性の高い電子識別への飛躍
The European Union Agency for Cybersecurity (ENISA) and the European Commission announce the request to ENISA to support the certification of the EU Digital Identity Wallets (EUDI). 欧州連合サイバーセキュリティ機関(ENISA)と欧州委員会は、EUデジタルID(EUDI)ウォレットの認証をサポートするようENISAに要請することを発表した。
In line with Regulation (EU) 2024/1183 to establish the European Digital Identity Framework, the European Commission has requested ENISA to provide support for the certification of European Digital Identity (EUDI) Wallets, including the development of a candidate European cybersecurity certification scheme in accordance with the Cybersecurity Act (Regulation (EU) 2019/881).   欧州デジタルアイデンティティフレームワークを確立するための規則(EU)2024/1183に準拠し、欧州委員会はENISAに対し、サイバーセキュリティ法(規則(EU)2019/881)に準拠した欧州サイバーセキュリティ認証スキームの候補の開発を含む、欧州デジタルアイデンティティ(EUDI)ウォレットの認証支援の提供を要請した。 
European Commission Acting Director for Digital Society, Trust and Cybersecurity, Christiane Kirketerp de Viron, highlighted: “Certification scheme for the EU Digital Identity Wallets is key for a successful functioning of the Wallets concept. The certification ensures that EUDI wallets are secure and protect the privacy of users and their personal data. Moreover, it would also guarantee that the citizens can use their national digital wallets across the EU." 欧州委員会のデジタル社会、信頼、サイバーセキュリティ担当ディレクター代理であるクリスティアン・キルケテルプ・デ・ヴィロン氏は、「EUデジタルIDウォレットの認証スキームは、ウォレット構想の成功的な機能にとって重要な要素です。この認証により、EUDIウォレットが安全であること、そしてユーザーのプライバシーと個人データを防御することが保証されます。さらに、EU全域で各国のデジタルウォレットを市民が利用できることも保証されます」と強調した。
EU Agency for Cybersecurity Executive Director, Juhan Lepassaar stated that: "In today's interconnected world, the use of digital wallets is a pivotal step towards a seamless and secure identification in both the physical and digital world. By developing the European cybersecurity certification scheme for the European Digital Wallet (EUDIW), ENISA will support the Commission and the Member States to set out cybersecurity controls in the digital identification field allowing its timely uptake across the EU. Digital Wallets contribute to the maturity of EU's digitalization and enhance citizens' cybersecurity and privacy."  EUサイバーセキュリティ機関のエグゼクティブ・ディレクター、ユハン・レパサー氏は次のように述べた。「今日の相互接続された世界において、デジタルウォレットの利用は、物理的およびデジタルの世界の両方においてシームレスで安全な識別を行うための重要なステップである。欧州デジタルウォレット(EUDIW)のための欧州サイバーセキュリティ認証スキームを開発することで、ENISAは欧州委員会および加盟国を支援し、デジタル識別分野におけるサイバーセキュリティ管理を定め、EU全域でのタイムリーな導入を可能にする。デジタルウォレットはEUのデジタル化の成熟に貢献し、市民のサイバーセキュリティとプライバシーを向上させる。
What about the EU Digital Identity Wallets?  EUデジタルIDウォレットについてはどうだろうか?
As the wave of technological advancements has transformed the private and public sectors and services alike, it is essential to propose solutions that securely identify and authenticate users in the evolving digitalised world.    技術革新の波が民間および公共部門、サービスを問わず変革している中、進化するデジタル化された世界において、ユーザーを安全に識別し認証するソリューションを提案することが不可欠である。  
In May 2024, the European Digital Identity Framework entered into force. The EUDI Wallets is a step in this direction. EUDI Wallets allow storing, accessing and sharing of personal identification data and documents, all in one easy to access application. Through EUDI Wallets, the online identification and authentication processes will be improved and address longstanding barriers in a common, safe and reliable way across Europe.  2024年5月、欧州デジタルアイデンティティフレームワークが施行された。EUデジタルアイデンティティウォレット(EUDIウォレット)は、この方向性の一歩である。EUDIウォレットは、個人識別データや文書の保存、アクセス、共有をすべて1つのアクセスしやすいアプリケーションで行うことを可能にする。EUDIウォレットにより、オンラインでの識別および認証プロセスが改善され、欧州全域で共通の安全で信頼性の高い方法で長年の障壁に対処できる。
Developing certification schemes for EUDIW  EUDIウォレットの認証スキームの開発 
The Commission request addresses two main work strands. First, it calls for ENISA to support the establishment of national certification schemes of EU Member States by providing harmonized certification requirements under the European Digital Identity Framework. To complement that, ENISA will be involved in the preparation of the relevant implementing acts establishing a list of reference standards and, where necessary, specifications and procedures for the purpose of expressing detailed technical specifications of those requirements (addressing primarily security and privacy aspects). Secondly, it requests ENISA to launch the preparation of a candidate European cybersecurity certification scheme for the EUDI Wallets and their electronic identification (eID) schemes under the Cybersecurity Act. .  欧州委員会の要請は、主に2つの作業分野を対象としている。まず、欧州デジタルIDフレームワークの下で整合化された認証要件を提供することにより、EU加盟国の国内認証スキームの確立を支援するようENISAに求めている。これに加えて、ENISAは、参照標準のリストを確立し、必要に応じて、要件の詳細な技術仕様(主にセキュリティとプライバシーの側面を扱う)を表現するための仕様と手順を確立する関連実施行為の準備に関与することになる。次に、ENISAに対し、サイバーセキュリティ法のもと、EUDIウォレットおよび電子ID(eID)スキームの欧州サイバーセキュリティ認証スキームの候補の準備を開始するよう要請している。 
According to the EU Cybersecurity Act adopted in 2019, the European Commission can issue a request to ENISA for the development of a European cybersecurity certification scheme. ENISA will kick off the technical preparatory work taking into account existing and upcoming certification schemes to the extent possible. Currently ENISA can leverage on the adopted European Cybersecurity Certification Scheme on Common Criteria (EUCC) as well as the work related to the draft candidate European Certification Scheme for Cloud Services (EUCS) and the certification of 5G (EU5G). A public consultation is currently ongoing regarding the embedded Universal Integrated Circuit Card (eUICC) certification under EUCC, developed in the framework of EU5G. The eUICC certification would be one possibility to support the certification objectives of the EUDI Wallets.  2019年に採択されたEUサイバーセキュリティ法によると、欧州委員会はENISAに対し、欧州サイバーセキュリティ認証スキームの開発を要請することができる。ENISAは、既存および今後予定されている認証スキームを可能な範囲で考慮した技術的な準備作業を開始する。現在、ENISAは、共通規準(EUCC)に基づく採択済みの欧州サイバーセキュリティ認証スキーム、およびクラウドサービス(EUCS)の欧州認証スキームのドラフト候補に関連する作業、および5G(EU5G)の認証を活用することができる。現在、EU5Gの枠組みで開発されたEUCCに基づく組み込み型ユニバーサル・インテグレーテッド・サーキット・カード(eUICC)認証に関するパブリックコンサルテーションが実施されている。eUICC認証は、EUDIウォレットの認証目標をサポートする可能性の一つである。
ENISA will lead this work in close cooperation with the EU Member States and stakeholders. It has already been supporting the eIDAS Expert Group and its Certification Subgroup and will support the European Digital Identity Cooperation Group once established. Moreover, ENISA has been supporting the EUDI Toolbox the last 3 years providing advice on digital wallets threats and security requirements. The development of the candidate European cybersecurity certification scheme will be supported by an ad-hoc Working Group composed by expert in the domain and conducted in close coordination with the European Cybersecurity Certification Group (ECCG) in line with the Cybersecurity Act.   ENISAは、EU加盟国およびステークホルダーと緊密に協力しながら、この作業を主導する。すでにeIDAS専門家グループおよびその認証サブグループを支援しており、欧州デジタルID協力グループが設立されれば、その支援も行う。さらに、ENISAは過去3年間、デジタルウォレットの脅威とセキュリティ要件に関する助言を提供し、EUDIツールボックスを支援してきた。欧州サイバーセキュリティ認証スキームの候補となるスキームの開発は、サイバーセキュリティ法に準拠し、欧州サイバーセキュリティ認証グループ(ECCG)と緊密に連携しながら、その分野の専門家で構成される臨時の作業部会によって支援される。 
Further Information  詳細情報 
Homepage - European Union (europa.eu)  ホームページ - 欧州連合(europa.eu)
Certification — ENISA (europa.eu)  認証 — ENISA(europa.eu)
Cybersecurity Certification Framework — ENISA (europa.eu)  サイバーセキュリティ認証フレームワーク — ENISA(europa.eu)
eIDAS — ENISA (europa.eu)   eIDAS — ENISA(europa.eu)
Share your feedback: ENISA public consultation bolsters EU5G Cybersecurity Certification — ENISA (europa.eu)  フィードバックの共有:ENISAのパブリックコンサルテーションがEU5Gサイバーセキュリティ認証を強化 — ENISA(europa.eu)
Trust Services and eID Forum - CA Day 2024 — ENISA (europa.eu)  トラストサービスおよびeIDフォーラム - CA Day 2024 — ENISA(europa.eu) 

 

1_20240926011501

 

| | Comments (0)

2024.09.26

欧州委員会 信頼できる安全なAI開発の推進を誓約するEUのAI協定に100社以上が署名

こんにちは、丸山満彦です。

欧州委員会が、信頼できる安全なAI開発の推進を誓約するEUのAI協定に100社以上が署名したと公表していますね...

GAFAMでいうと、Google、Amazon、Microsoftは署名をしていますが、Appleはないですね... Accenture、Wiproはあるけど、Big4はない。

IBM、SAP、Cisco、Palo Alto、HPE、Lenovoはあるけど、Oracleはない。

日本企業では、NECが署名していますね...他には???これからなんでしょうかね。。。ちなみに署名は任意です。

 

European Commission

プレス

・2024.09.25 Over a hundred companies sign EU AI Pact pledges to drive trustworthy and safe AI development

Over a hundred companies sign EU AI Pact pledges to drive trustworthy and safe AI development 100社以上の企業がEU AI協定に署名し、信頼性が高く安全なAI開発を推進することを誓う
The Commission announced today over a hundred companies that are the first signatories of the EU artificial intelligence (AI) Pact and its voluntary pledges. The signatories include multinational corporations and European small and medium enterprises (SMEs) from diverse sectors, including IT, telecoms, healthcare, banking, automotive, and aeronautics. The Pact supports industry's voluntary commitments to start applying the principles of the AI Act ahead of its entry into application and enhances engagement between the EU AI Office and all relevant stakeholders, including industry, civil society and academia. 欧州委員会は本日、EU人工知能(AI)Pactの最初の署名企業100社以上と、その自主的な誓約を発表した。署名企業には、IT、通信、ヘルスケア、銀行、自動車、航空宇宙など、さまざまな分野の多国籍企業や欧州の中小企業(SME)が含まれる。この協定は、AI法の施行に先立ち、AI法の原則を適用し始めるという業界の自主的な取り組みを支援し、EUのAI事務局と業界、市民社会、学術界を含むすべての関連ステークホルダーとの連携を強化する。
The EU AI Pact voluntary pledges call on participating companies to commit to at least three core actions: EU AI協定の自主的な誓約は、参加企業に対して、少なくとも次の3つの主要な行動に取り組むことを求めている。
・AI governance strategy to foster the uptake of AI in the organisation and work towards future compliance with the AI Act. ・AIガバナンス戦略:組織内でのAIの導入を促進し、将来的なAI法の遵守に向けて取り組む。
・High-risk AI systems mapping: Identifying AI systems likely to be categorised as high-risk under the AI Act ・高リスクAIシステムのマッピング:AI法の下で高リスクに分類される可能性が高いAIシステムの識別
・Promoting AI literacy and awareness among staff, ensuring ethical and responsible AI development. ・スタッフのAIリテラシーと意識の向上、倫理的かつ責任あるAI開発の確保
In addition to these core commitments, more than half of the signatories committed to additional pledges, including ensuring human oversight, mitigating risks, and transparently labelling certain types of AI-generated content, such as deepfakes. Companies are welcome to join the AI Pact and commit to the core and the additional pledges at any moment until the AI Act fully applies. これらの主要なコミットメントに加え、署名者の半数以上が、人間による監視の確保、リスクの低減、ディープフェイクなどの特定のAI生成コンテンツの透明性のあるラベル付けなど、追加の誓約を約束した。企業は、AI法が完全に適用されるまで、いつでもAI協定に参加し、主要な誓約および追加の誓約を約束することができる。
Boosting EU leadership in AI innovation AIイノベーションにおけるEUのリーダーシップの強化
Alongside the efforts to help companies implement the AI Act in anticipation of the legal deadline, the Commission is taking action to boost EU innovation in AI. The AI Factories initiative of 10 September 2024 will provide start-ups and industry with a one-stop-shop to innovate and develop AI, including data, talent and computing power. The AI Factories will also propel the development and validation of AI industrial and scientific applications in key European sectors such as healthcare, energy, automotive and transport, defence and aerospace, robotics and manufacturing, clean and agritech. 企業が法的な期限に間に合うようAI法を導入するのを支援する取り組みと並行して、欧州委員会はEUのAIイノベーションを促進するための行動を起こしている。2024年9月10日のAIファクトリー構想は、データ、人材、コンピューティングパワーなど、AIの革新と開発のためのワンストップショップをスタートアップや産業界に提供する。AIファクトリーはまた、ヘルスケア、エネルギー、自動車および輸送、防衛および航空宇宙、ロボット工学および製造、クリーンおよびアグリテックといった欧州の主要産業分野におけるAIの産業および科学応用の開発と検証を推進する。
AI Factories are a highlight of the Commission's AI innovation package presented in January 2024, together with venture capital and equity support measures, the  deployment of Common European Data Spaces, the ‘GenAI4EU' initiative, and the Large AI Grand Challenge giving start-ups financial support and access to EU's supercomputers, among other measures. The Commission will also set up a European AI Research Council to exploit the potential of data, and the Apply AI Strategy to boost new industrial uses of AI. AIファクトリーは、2024年1月に欧州委員会が発表したAIイノベーションパッケージの目玉であり、ベンチャーキャピタルや株式支援策、共通欧州データ空間の展開、「GenAI4EU」イニシアティブ、スタートアップ企業への資金援助やEUのスーパーコンピューターへのアクセスを提供する「Large AI Grand Challenge」など、その他の施策とともに実施される。欧州委員会はまた、データの潜在能力を最大限に活用するための欧州AI研究協議会(European AI Research Council)を設立し、AIの新たな産業利用を促進するための「AI適用戦略(Apply AI Strategy)」を策定する。
Background 背景
The AI Act entered into force on August 1, 2024. Some provisions of the AI Act are already fully applicable. The entire AI Act will be fully applicable 2 years following its entry into force, with some exceptions: prohibitions will take effect after six months, the governance rules and the obligations for general-purpose AI models become applicable after 12 months and the rules for AI systems embedded into regulated products will apply after 36 months.  AI法は2024年8月1日に発効した。AI法の一部の規定はすでに完全に適用可能となっている。AI法の全面適用は、施行から2年後となるが、例外もある。禁止事項は6か月後、ガバナンス規則および汎用AIモデルの義務は12か月後、規制対象製品に組み込まれたAIシステムの規則は36か月後に適用される。 
For More Information 詳細情報
EU AI Pact EU AI協定
List of pledge signatories 誓約署名者一覧
EU AI Act EU AI法
European AI Office | Shaping Europe's digital future 欧州AIオフィス|欧州のデジタル未来を形作る

 

AI Pact

1_20240926135101

AI Pact AI Pact
The AI Pact encourages and supports organisations to plan ahead for the implementation of AI Act measures. AI Pactは、AI法の措置実施に向けた計画を立てることを企業に奨励し、支援するものである。
What is the AI Pact? AI Pactとは何か?
The AI Act entered into force on August 1, 2024. Some provisions of the AI Act are already fully applicable. However, some requirements on the high-risk AI systems and other provisions will only be applicable at the end of a transitional period (ie., the time between entry into force and date of applicability). AI法は2024年8月1日に発効した。AI法の規定の一部はすでに完全に適用されている。しかし、高リスクAIシステムに関する要件やその他の規定は、移行期間(すなわち、発効から適用開始までの期間)の終了時にのみ適用される。
In this context, the Commission is promoting the AI Pact, seeking the industry’s voluntary commitment to anticipate the AI Act and to start implementing its requirements ahead of the legal deadline. To gather participants, the first call for interest was launched in November 2023, obtaining responses from over 550 organisations of various sizes, sectors, and countries. The AI Office has since initiated the development of the AI Pact, which is structured around two pillars: この文脈において、委員会はAI協定を推進し、AI法を先取りし、その要件を法的な期限よりも前に実施し始めるよう、業界の自主的な取り組みを求めている。参加者を募るため、2023年11月に最初の関心表明の募集を開始し、さまざまな規模、セクター、国の550を超える組織から回答を得た。AI事務局はそれ以来、AI協定の開発に着手しており、これは2つの柱を中心に構成されている。
Pillar I acts as a gateway to engage the AI Pact network (those organisations that have expressed an interest in the Pact), encourages the exchange of best practices, and provides with practical information on the AI Act implementation process;  柱 I は、AI Pact ネットワーク(AI Pact に関心を示した組織)へのゲートウェイとして機能し、ベストプラクティスの交換を奨励し、AI 法の実施プロセスに関する実用的な情報を提供する。
Pillar II encourages AI system providers and deployers to prepare early and take actions towards compliance with requirements and obligations set out in the legislation.  柱 II は、AI システムプロバイダと展開者に早期の準備を促し、法律で定められた要件と義務の遵守に向けた行動を取るよう促す。
Two pillars’ approach 2つの柱のアプローチ
Pillar I: gathering and exchanging with the AI Pact network 柱 I:AI Pact ネットワークの構築と情報交換
Under Pillar I, participants contribute to the creation of a collaborative community, sharing their experiences and knowledge. This includes workshops organised by the AI Office which provide participants with a better understanding of the AI Act, their responsibilities and how to prepare for its implementation. In turn, the AI Office is can gather insights into best practices and challenges faced by the participants. 第1の柱の下、参加者は、経験や知識を共有し、協調的なコミュニティの創出に貢献する。これには、AI事務局が主催するワークショップが含まれ、参加者はAI法、自らの責任、およびその実施に向けた準備方法についてより深い理解を得ることができる。また、AI事務局は、参加者が直面するベストプラクティスや課題に関する洞察を集めることができる。
In this context, participants can share best practices and internal policies that may be of use to others in their compliance journey. Depending on participants’ preferences, these best practices may also be published online in a platform where the AI Office will share information on the AI Act’s implementation process. この文脈において、参加者は、コンプライアンスの取り組みにおいて他者の参考となり得るベストプラクティスや社内ポリシーを共有することができる。参加者の希望に応じて、これらのベストプラクティスは、AI事務局がAI法の実施プロセスに関する情報を共有するプラットフォーム上でオンライン公開される可能性もある。
Pillar II: facilitating and communicating company pledges 柱II:企業による誓約の促進とコミュニケーション
The purpose of this pillar is to provide a framework to foster the early implementation of some of the measures of the AI Act. This initiative encourages organisations to proactively disclose the processes and practices they are implementing to anticipate compliance. Specifically, companies providing or deploying AI systems can demonstrate and share their voluntary commitments towards transparency and high-risk requirements and prepare early on for their implementation.  この柱の目的は、AI法のいくつかの措置の早期実施を促進するための枠組みを提供することである。このイニシアティブは、組織がコンプライアンスを先取りするために実施しているプロセスや慣行を積極的に開示することを奨励する。具体的には、AIシステムを提供または展開する企業は、透明性と高リスク要件に対する自主的なコミットメントを表明し、共有することで、その実施に早期から備えることができる。
The commitments take the form of pledges which are ‘declarations of engagement’. These pledges contain concrete actions (planned or underway) to meet the AI Act’s distinct requirements and include a timeline for their adoption. Such declarations of engagement can also take the form of incremental objectives. この誓約は「関与の宣言」という誓約書の形式を取る。この誓約には、AI法の個別の要件を満たすための具体的な行動(計画中または進行中)が記載され、その採用までのスケジュールも含まれる。このような関与の宣言は、段階的な目標という形式を取ることもできる。
Signature of the pledges 誓約書の署名
On 25 September, the Commission convened key industry stakeholders in Brussels to celebrate the first signatories of the pledges. To date, over 100 companies have signed the pledges, including multinational corporations and European Small and Medium Enterprises (SMEs) from diverse sectors, including IT, telecoms, healthcare, banking, automotive, and aeronautics. The full list is displayed below. 9月25日、欧州委員会はブリュッセルで主要な業界関係者を招集し、誓約書の最初の署名者を祝った。 現在までに、IT、通信、ヘルスケア、銀行、自動車、航空宇宙など、さまざまな分野の多国籍企業や欧州の中小企業(SME)など、100社以上が誓約書に署名している。 署名企業一覧は下記に表示されている。
The EU AI Pact voluntary pledges call on participating companies to commit to at least three core actions:  EU AI Pactの自主的な誓約では、参加企業に対して、少なくとも次の3つのコアアクションへのコミットメントを求めている。
・Adopting an AI governance strategy to foster the uptake of AI in the organisation and work towards future compliance with the AI Act ・AIガバナンス戦略を採用し、組織内でのAIの導入を促進し、AI法への将来的な準拠に向けて取り組む
・Identifying and mapping AI systems likely to be categorised as high-risk under the AI Act  ・AI法の下で高リスクに分類される可能性が高いAIシステムを識別し、マッピングする
・Promoting AI awareness and literacy among staff, ensuring ethical and responsible AI development ・スタッフのAIに関する意識とリテラシーを向上させ、倫理的かつ責任あるAI開発を確保する
In addition to these core commitments, companies are encouraged to do further commitments as proposed by the AI Pact. These should be tailored to their activities, including ensuring human oversight, mitigating risks, and transparently labelling certain types of AI-generated content, such as deepfakes. これらの主要なコミットメントに加え、企業にはAI Pactが提案するさらなるコミットメントを行うことが推奨されている。これらは、人間の監視の確保、リスクの低減、ディープフェイクなどの特定のAI生成コンテンツの透明性のあるラベル付けなど、各社の活動に合わせて行うべきである。
The text of the pledges (.pdf), initially drafted by the AI Office, was shared with the relevant stakeholders in the AI Pact network to gather feedback and insights. As a result, the final version of the pledges reflects the input received from stakeholders. These pledges are not legally binding and do not impose any legal obligations on participants. Companies will be able to sign them at any moment until the AI Act fully applies.  AIオフィスが最初に草案を作成した誓約書(.pdf)は、AI Pactネットワークの関連ステークホルダーと共有され、フィードバックと洞察が収集された。その結果、誓約書の最終版にはステークホルダーから寄せられた意見が反映されている。これらの誓約は法的拘束力はなく、参加者にいかなる法的義務も課さない。企業はAI法が完全に適用されるまで、いつでも署名することができる。
Participating companies will be invited to publicly report on their progress 12 months after the publication of their commitments. The primary purpose of the report is to offer insights and transparency into the progress made on fulfilling these pledges 参加企業は、誓約の公表から12か月後に、進捗状況を公表することが求められる。この報告書の主な目的は、これらの誓約の履行状況に関する洞察と透明性を提供することである
What are the benefits of the Pact for participants? 参加企業にとって、この協定のメリットは何だろうか?
The Commission is working together with the participants and supporting them in: 委員会は、参加企業と協力し、以下を支援している。
・building a common understanding of the objectives of the AI Act ・AI法の目的に関する共通理解の構築
・taking concrete actions to understand, adapt and prepare for the future implementation of the AI Act (e.g. build internal processes, prepare staff and self-assess AI systems) ・AI法の将来的な実施を理解し、適応し、準備するための具体的な行動を取ること(例えば、社内プロセスを構築し、スタッフを準備し、AIシステムを自己アセスメントするなど
・sharing knowledge and increasing the visibility and credibility of the safeguards put in place to demonstrate trustworthy AI ・知識を共有し、信頼できるAIを実証するために導入された保護策の認知度と信頼性を高めること
・building additional trust in AI technologies ・AIテクノロジーに対するさらなる信頼を構築すること
The Pact is allowing front-runners and ambitious participants to test and share their solutions with the wider community. この協定により、先駆者や意欲的な参加者は、自社のソリューションをより広範なコミュニティでテストし、共有することが可能になります。

 

TIme Line

1_20240926135301

 

 

 

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

AI条約

・2024.09.08 欧州評議会 AI条約の署名開始... (2024.09.05)

 

AI法関連...

・2024.08.05 欧州AI法が施行された... (2024.08.01)

・2024.07.19 ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

・2024.05.22 EU 欧州理事会がAI法を承認...まもなく発効されますね...

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

 

| | Comments (0)

ENISA 脅威状況2024

こんにちは、丸山満彦です。

ENISAが脅威状況2024を公表していますね...昨年はEUの議会選挙を意識した報告書でしたが、今年は

・可用性に対する脅威

・ランサムウェア

他、合わせて7つの脅威について状況を説明しています。データに基づく分析で、日本でもこういうデータに基づく分析をし、その結果を公表したいと思います...

そうすれば、立案する政策の精度や、企業が立案する対策の精度が高まりますよね...

目をとおしてみたらどうかと思います。。。

 

ENISA

・2024.09.19 ENISA Threat Landscape 2024

ENISA Threat Landscape 2024 ENISA 脅威状況2024
Seven prime cybersecurity threats were identified in 2024, with threats against availability topping the chart and followed by ransomware and threats against data, and the report provides a relevant deep-dive on each one of them by analysing several thousand publicly reported cybersecurity incidents and events 2024年には、サイバーセキュリティの主な脅威として7つの脅威が識別され、可用性に対する脅威がトップとなり、ランサムウェアとデータに対する脅威がそれに続いた。このレポートでは、数千件の公開されたサイバーセキュリティインシデントおよびイベントを分析することで、それぞれの脅威について詳細に掘り下げている。

 

・[PDF] ENISA THREAT LANDSCAPE 2024

20240926-01130

・[DOCX][PDF] 仮訳

 

目次...

EXCECTIVE SUMMARY エグゼクティブサマリー
1. THREAT LANDSCAPE OVERVIEW 1. 脅威の概要
2. THREAT ACTOR TRENDS 2. 脅威行為者の動向
3. VULNERABILITIES LANDSCAPE 3. 脆弱性の状況
4. RANSOMWARE 4. ランサムウェア
5. MALWARE 5. マルウェア
6. SOCIAL ENGINEERING 6. ソーシャルエンジニアリング
7. THREATS AGAINST DATA 7. データに対する脅威
8. THREATS AGAINST AVAILABILITY: DENIAL OF SERVICE 8. 可用性に対する脅威:サービス拒否
9. INFORMATION MANIPULATION AND INTERFERENCE 9. 情報操作と干渉
A ANNEX: MAPPING TO MITRE ATT&CK FRAMEWORK 附属書A:MITREのATT&CKフレームワークへのマッピング
B ANNEX: RECOMMENDATIONS 附属書B:提言

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY   エグゼクティブサマリー 
2024 marks the 20th anniversary of the European Union Agency for Cybersecurity, ENISA. ENISA has been constantly monitoring the cybersecurity threat landscape and monitoring on its state with its annual ENISA Threat Landscape (ETL) report and additionally with a series of situational awareness and cyber threat intelligence products.   2024年は、欧州連合(EU)のサイバーセキュリティ機関であるENISAの20周年にあたる。ENISAは、サイバーセキュリティの脅威状況を常に監視し、その状況を年次ENISA脅威状況(ETL)報告書や一連の状況認識およびサイバー脅威インテリジェンス製品で監視している。 
Over time, the ETL has served as a crucial tool for comprehending the present state of cybersecurity within the European Union (EU), furnishing insights into trends and patterns. This, in turn, has guided pertinent decisions and prioritisation of actions and recommendations in the domain of cybersecurity.   ETLは、欧州連合(EU)内のサイバーセキュリティの現状を把握し、傾向やパターンを洞察するための重要なツールとして機能してきた。その結果、サイバーセキュリティの領域における適切な決定や、行動や勧告の優先順位付けの指針となっている。 
Reporting over the course of 2023 and 2024, ETL highlights findings on the cybersecurity threat landscape during a yearlong geopolitical escalation. Throughout the latter part of 2023 and the initial half of 2024, there was a notable escalation in cybersecurity attacks, setting new benchmarks in both the variety and number of incidents, as well as their consequences. The ongoing regional conflicts still remain a significant factor shaping the cybersecurity landscape. The phenomenon of hacktivism has seen steady expansion, with major events taking place (e.g. European Elections) providing the motivation for increased hacktivist activity.  2023年から2024年にかけて、ETLは地政学的なエスカレーションが1年間続いたサイバーセキュリティの脅威状況に関する調査結果を発表した。2023年後半から2024年前半にかけて、サイバーセキュリティ攻撃は顕著にエスカレートし、インシデントの種類と数、そしてその影響において新たな基準を打ち立てた。現在進行中の地域紛争は、依然としてサイバーセキュリティの状況を形成する重要な要因である。ハクティビズム現象は着実に拡大しており、主要なイベント(欧州選挙など)がハクティビスト活動を活発化させる動機となっている。 
7 prime cybersecurity threats were identified, with threats against availability topping the chart and followed by ransomware and threats against data, and the report provides a relevant deepdive on each one of them by analysing several thousand publicly reported cybersecurity incidents and events:  7つの主要なサイバーセキュリティ脅威が特定され、可用性に対する脅威がトップで、ランサムウェアとデータに対する脅威がそれに続いた。本報告書では、公に報告された数千件のサイバーセキュリティインシデントとイベントを分析することで、それぞれの脅威を深く掘り下げている: 
• Ransomware  • ランサムウェア 
• Malware  • マルウェア 
• Social Engineering   • ソーシャル・エンジニアリング 
• Threats against data   • データに対する脅威 
• Threats against availability: Denial of Service  • 可用性に対する脅威:サービス拒否 
• Information manipulation and interference  • 情報操作と妨害 
• Supply chain attacks  • サプライチェーン攻撃 
The report is complemented by a detailed analysis of the vulnerability landscape during 2023 and 2024, as well as a detailed analysis of four distinct threat actors’ categories, namely:  本報告書は、2023年と2024年における脆弱性状況の詳細な分析と、4つの異なる脅威行為者のカテゴリー、すなわち、4つの脅威行為者の詳細な分析によって補完されている: 
• State-nexus actors;  • 国家関連行為者; 
• Cybercrime actors and hacker-for-hire actors;  • サイバー犯罪者と雇われハッカー; 
• Private Sector Offensive actors (PSOA);  • 民間部門の攻撃脅威者(PSOA); 
• Hacktivists.  •  ハクティビスト
With 2024 being the year that NIS2 Directive comes into force, an analysis of the cybersecurity threat landscape across different sectors is provided. Notably, we have again observed a large number of events targeting organisations in the public administration (19%), transport (11%) and finance (9%) sectors.   2024年はNIS2指令が発効する年であり、様々な分野におけるサイバーセキュリティの脅威状況の分析が行われている。注目すべきは、行政(19%)、運輸(11%)、金融(9%)の各分野の組織を標的にした事象の多さである。 
The key findings and judgments in this assessment are based on multiple and publicly available resources. The report is mainly targeted at strategic decision-makers and policy-makers, while also being of interest to the technical cybersecurity community.  本アセスメントにおける主要な発見と判断は、複数の一般に入手可能なリソースに基づいている。本報告書は主に戦略的意思決定者や政策立案者を対象としているが、サイバーセキュリティの技術コミュニティにとっても興味深い内容となっている。 

 

 

プレス...

Reporting on Threathunt 2030: Navigating the future of the cybersecurity threat landscape Threathunt 2030に関する報告:サイバーセキュリティ脅威の将来像をナビゲート
The European Union Agency for Cybersecurity (ENISA) organised the 2024 edition of the ‘Threathunt 2030’ in Athens, the flagship conference on cybersecurity threats foresight. 欧州連合サイバーセキュリティ機関(ENISA)は、サイバーセキュリティ脅威の将来予測に関する主要な会議である「Threathunt 2030」の2024年版をアテネで開催した。
‘Threathunt 2030’ returned to highlight the significance of advanced foresight in prevention and response efforts towards emerging cybersecurity and hybrid threats. Through a series of interactive panels, ENISA addressed various aspects of foresight in the area of cybersecurity threats, with a view to improve resilience and security across the EU. Threathunt 2030」は、新たに発生するサイバーセキュリティおよびハイブリッド型脅威に対する予防と対応の取り組みにおける高度な将来予測の重要性を強調するために開催された。一連のインタラクティブなパネルディスカッションを通じて、ENISAは、EU全体のレジリエンスとセキュリティの改善を目的として、サイバーセキュリティ脅威の分野におけるフォアサイトのさまざまな側面について取り上げた。
EU Agency for Cybersecurity Executive Director, Juhan Lepassaar highlighted that: “Especially for 2024, foresight is key for cybersecurity strategic planning. Technological evolution, the current geopolitical situation, along with the cybersecurity landscape call for preparedness against anticipated or not-anticipated challenges and threats.”. EUサイバーセキュリティ機関のジュハン・レパサー(Juhan Lepassaar)事務局長は次のように強調した。「特に2024年については、サイバーセキュリティ戦略計画においてフォアサイトが鍵となる。技術の進化、現在の地政学的状況、サイバーセキュリティの状況を踏まえると、予想される、あるいは予想されない課題や脅威に対する備えが必要となる。
Over time, the ENISA Threat Landscape has served as a crucial tool for understanding the present state of cybersecurity within the EU, furnishing insights into trends and patterns. This, in turn, has guided pertinent decisions and prioritisation of actions and recommendations in the domain of cybersecurity. Based on that statement, Threathunt 2030 discussions explored the interlink between geopolitical developments and the emergence of new threat actors and targets. ENISAの脅威の全体像は、EU内のサイバーセキュリティの現状を把握するための重要なツールとして、トレンドやパターンに関する洞察を提供してきた。これにより、サイバーセキュリティの分野における適切な意思決定や行動、提言の優先順位付けが導かれる。この声明に基づき、Threathunt 2030の議論では、地政学的な展開と新たな脅威行為者や標的の出現との関連性が探求された。
The first panel of the Threathunt2030 aimed to shed some light on how EU Member States and the EU can boost their capacity to prevent, deter and respond to cyber threats and attacks in the run up to 2030. It also examined what would be the role of ENISA in short and long-term planning of related strategies. Threathunt2030の最初のパネルディスカッションでは、2030年に向けてEU加盟国およびEUがサイバー脅威や攻撃の防止、抑止、対応能力を高める方法について考察した。また、関連戦略の短期および長期計画におけるENISAの役割についても検討した。
The second panel explored the role and influence of AI (artificial intelligence) and PQC (post quantum computing) and tried to identify the most pressing AI and PQC driven cybersecurity threats. 2つ目のパネルでは、AI(人工知能)とPQC(ポスト量子コンピューティング)の役割と影響を探り、AIとPQCがもたらす最も差し迫ったサイバーセキュリティの脅威を識別しようとした。
The third round of discussions consisted of a fireside chat between the  Executive Assistant Director of CISA, Jeff Greene and the ENISA Executive Director, Juhan Lepassaar elaborating on the cooperation between CISA and ENISA and how it could be streamlined in the best possible way. The goal is to accommodate common needs of USA and EU and to harmonise relevant initiatives. 3つ目のディスカッションでは、CISAのジェフ・グリーン(Jeff Greene)執行副局長とENISAのユハン・レパサー(Juhan Lepassaar)局長による対談が行われ、CISAとENISAの協力関係について詳しく説明し、それをどのようにして最善の方法で合理化できるかを議論した。その目的は、米国とEUの共通のニーズに対応し、関連するイニシアティブを調和させることである。
The panel titled “2030: Scenarios around the world” focused on the possible future developments in the cyber threat landscape as a consequence of geopolitics in the next 5 years. 「2030年:世界のシナリオ」と題されたパネルでは、今後5年間の地政学的な結果として、サイバー脅威の状況がどのように変化する可能性があるかに焦点が当てられた。
The last panel, consisting of the three influential cybersecurity agencies, examined the ways to incorporate foresight and long-term strategic thinking into all involved current cybersecurity frameworks to better prepare for future threats. In this context, panelists examined whether the use of foresight can actually become a key driver of change for governments and cybersecurity policy initiatives. 最後のパネルでは、影響力のある3つのサイバーセキュリティ機関が、将来の脅威に備えるために、現在のサイバーセキュリティの枠組みすべてに、予測と長期的な戦略的思考を取り入れる方法を検討した。この文脈において、パネリストは、将来を見据えるという手法が実際に政府やサイバーセキュリティ政策イニシアティブの変革の主要な推進力となり得るかどうかを検討した。
As a conclusion, it is fundamental to learn from the past, to take advantage of the opportunities of the present and to prepare for the future. 結論として、過去から学び、現在の機会を活用し、将来に備えることが基本である。
You may find additional photos from the conference here. このカンファレンスの追加の写真はこちらでご覧いただけます。
Did you know that ENISA published the 2024 Threat Landscape Report? ENISAが2024年の脅威の状況に関するレポートを発行したことをご存知だろうか?
This year the publication of the annual ENISA Threat Landscape report coincided with the ‘Threathunt 2030’ conference, making a significant contribution to the discussion. Prominent cybersecurity threat groups identified through analysis were ransomware and malware, social engineering, threats against data and threats against availability (Denial of Service), information manipulation and interference, along with supply chain attacks. 今年のENISAの脅威の状況に関する年次レポートの発行は、「Threathunt 2030」会議と時期が重なり、議論に大きく貢献した。分析により識別された著名なサイバーセキュリティの脅威グループは、ランサムウェアとマルウェア、ソーシャルエンジニアリング、データに対する脅威、可用性に対する脅威(サービス拒否)、情報操作と干渉、サプライチェーン攻撃などである。
For another year, DDoS and ransomware attacks lead in the rankings as the most reported forms of attacks, accounting for more than half of the observed events. It is notable that, compared to last year’s findings, there was an inversion in the rankings, with DDoS attacks moving to first place and ransomware dropping to second. ETL 2024 is based on and analyses more than 11,000 incidents in total. The sectorial analysis conducted revealed that the most target sector was Public Administration (19%), followed by Transport (11%). DDoS攻撃とランサムウェア攻撃は、観測されたイベントの半数以上を占め、最も報告された攻撃形態として今年もランキングのトップを占めた。注目すべきは、昨年の調査結果と比較すると、DDoS攻撃が1位に、ランサムウェアが2位に順位が逆転したことである。ETL 2024は、合計11,000件以上のインシデントを基に分析している。実施されたセクター分析により、最も標的とされたセクターは行政(19%)で、次いで運輸(11%)であることが明らかになった。
Further Information 詳細情報
ENISA Threat Landscape 2024 — ENISA (europa.eu) ENISA 2024年の脅威の概観 — ENISA (europa.eu)
Foresight Cybersecurity Threats For 2030 - Update 2024 — ENISA (europa.eu) 2030年のサイバーセキュリティ脅威予測 - 2024年更新 — ENISA (europa.eu)
Foresight Cybersecurity Threats For 2030 - Update 2024: Executive Summary — ENISA (europa.eu) 2030年のサイバーセキュリティ脅威予測 - 2024年更新:エグゼクティブサマリー — ENISA (europa.eu)
Foresight Cybersecurity Threats For 2030 - Update 2024: Extended report — ENISA (europa.eu) 2030年のサイバーセキュリティ脅威予測 - 2024年更新:拡張レポート — ENISA (europa.eu)
Skills shortage and unpatched systems soar to high-ranking 2030 cyber threats — ENISA (europa.eu) スキル不足とパッチ未適用のシステムが、2030年のサイバー脅威の上位に急上昇 — ENISA (europa.eu)
Threathunt 2030: How to Hunt Down Emerging & Future Cyber Threats — ENISA (europa.eu) Threathunt 2030:新興および将来のサイバー脅威の追跡方法 — ENISA (europa.eu)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

昨年の報告書...

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

 

 

 

 

| | Comments (0)

2024.09.25

米国 国家サイバー長官室(ONCD)が、行政管理予算局(OMB)、人事管理局(OPM)と連携し、サイバー人材を募集 (2024.09.04)

こんにちは、丸山満彦です。

国家サイバー長官室(ONCD)が、行政管理予算局(OMB)、人事管理局(OPM)と連携し、サイバー人材を募集していますね。そのために、さまざまなイベント等も実施していますね。。。

人が必要なんでしょうね...OMBとOPMと連携して活動をしていることから、その重要性がわかるのですが、さらにその必死さが伝わってくるのが、次の表現...


We are working to remove unnecessary degree requirements, moving toward a skills-based approach that emphasizes candidates’ ability to perform a job, rather than where they acquired their skills. 


学位要件を撤廃すると...日本では、そりゃそうやろということかもしれませんが、米国連邦政府の採用でそれをするというのは、衝撃的な感じではありますね...

この活動は、昨年7月に公表された国家サイバー人材・教育戦略(National Cyber Workforce and Education Strategy)に関連した活動といえますね...

 

White House - Office of the National Cyber Director; ONCD

Service for America: Cyber Is Serving Your Country アメリカへの奉仕:サイバーが国を守る
By National Cyber Director Harry Coker, Jr. 国家サイバー長官、ハリー・コーカー・ジュニア
Throughout our history, generation after generation of Americans have stepped up to meet the challenges of their day, protecting and serving our Nation in a variety of ways. Rationing everyday essentials like gasoline and food to support a war effort. Raising money to combat polio. Putting on a uniform and risking their lives to defend the rights and freedoms of this country. Today, we face a new challenge and with it a new opportunity to serve: defending cyberspace. 米国の歴史を通じて、世代を超えて、アメリカ人はその時代の課題に立ち向かい、さまざまな方法で国家を防御し、奉仕してきた。 戦争遂行を支援するために、ガソリンや食料などの生活必需品を配給制にした。 ポリオ撲滅のために募金活動を行った。 制服を着用し、この国の権利と自由を守るために命を懸けた。 今日、私たちは新たな課題に直面しており、それとともに奉仕の新たな機会にも直面している。サイバー空間を守ることである。
Every day in our Nation, we Americans find ourselves up against bad actors in cyberspace, whether they are foreign Governments or cyber criminals. They threaten the security of our schools, hospitals, small businesses, state, local, Tribal, and territorial Governments (SLTT), as well as critical infrastructure. It is crucial that we have a strong cyber workforce to address these threats and strengthen our resistance to them. 我が国では、アメリカ人は日々、外国政府であれサイバー犯罪者であれ、サイバー空間における悪意ある行為者と対峙している。彼らは、学校、病院、中小企業、州、地方、部族、準州政府(SLTT)のほか、重要なインフラのセキュリティを脅かしている。こうした脅威に対処し、その脅威に対する抵抗力を強化するためには、強力なサイバー人材が不可欠である。
Our Nation has a critical need for cyber talent. Today, there are approximately 500,000 – half a million! – open cyber jobs in the United States and that number is only going to grow as more services and products go online with the expansion of technologies like artificial intelligence. In an increasingly digital and interconnected world, all cyber jobs are vital to our national security and serve our public interest. 我が国にはサイバー人材が非常に必要とされている。現在、米国では約50万ものサイバー関連の求人があり、その数は人工知能などのテクノロジーの拡大に伴い、オンライン化されるサービスや製品が増えるにつれ、さらに増加する見通しである。デジタル化が進み、相互接続が進む世界において、サイバー関連の仕事はすべて、国家の安全保障にとって不可欠であり、公益に資するものである。
To help meet this need, the White House Office of the National Cyber Director (ONCD), in partnership with the Office of Management and Budget (OMB) and Office of Personnel Management (OPM), is proud to announce Service for America, the Biden-Harris Administration’s recruiting, hiring, and engagement sprint, aimed at preparing our country for a digitally-enabled future by connecting Americans to good-paying, meaningful jobs in cyber, technology, and artificial intelligence. These jobs offer an opportunity to serve our country by protecting our national security, while also offering a personal path to prosperity. このニーズに応えるため、ホワイトハウスの国家サイバー長官室(ONCD)は、行政管理予算局(OMB)および人事管理局(OPM)と提携し、バイデン=ハリス政権によるサイバー、テクノロジー、人工知能の分野における高収入で意義のある仕事にアメリカ国民を結びつけることで、デジタル化された未来に備えることを目的とした、採用、雇用、取り組みの短期集中プログラム「アメリカへの奉仕」を発表できることを誇りに思う。これらの職種は、国家の安全保障を防御することで国に貢献する機会を提供すると同時に、個人の繁栄への道も提供する。
Many Americans do not realize that a cyber career is available to them. There is a perception that you need a computer science degree and a deeply technical background to get a job in cyber. The truth is, cyber jobs are available to anyone who wants to pursue them. Cyber professionals are part of a dynamic and diverse modern workforce and individuals from all backgrounds and disciplines have a place. 多くのアメリカ人は、サイバー分野でのキャリアが自分にも可能であることに気づいていない。サイバー分野の仕事に就くには、コンピュータサイエンスの学位や高度な技術的背景が必要だという認識がある。実際には、サイバー分野の仕事は、それを目指す人なら誰でも就くことができる。サイバー分野の専門家は、ダイナミックで多様な現代の労働力の一部であり、あらゆる背景や専門分野を持つ人々が活躍できる場がある。
The Biden-Harris Administration’s Investing in America agenda is facilitating cyber job creation in every industry, paving the way for even more opportunities in communities across the country. ONCD, along with Federal, SLTT, and private sector participants, is committed to lowering barriers and broadening pathways, ensuring that there are multiple opportunities available for anyone who wants to launch a career in cyber. バイデン=ハリス政権の「アメリカへの投資」計画は、あらゆる業界におけるサイバー関連の雇用創出を促進し、国家の地域社会におけるさらなる機会創出への道筋を整えている。 ONCDは連邦政府、州・地方自治体、民間部門の関係者とともに、障壁を低減し、道筋を広げることで、サイバー関連のキャリアをスタートさせたいと考えるすべての人に複数の機会が確実に提供されるよう取り組んでいる。
As part of the National Cyber Workforce and Education Strategy (NCWES), we are promoting best practices that make cyber jobs more accessible to individuals from all backgrounds in any part of the country. 国家サイバー人材・教育戦略(NCWES)の一環として、私たちは、国家のあらゆる地域で、あらゆる背景を持つ人々がサイバー関連の仕事に就きやすくなるようなベストプラクティスを推進している。
・We are working to remove unnecessary degree requirements, moving toward a skills-based approach that emphasizes candidates’ ability to perform a job, rather than where they acquired their skills. Here, the Federal Government is leading the way by transitioning information technology positions to skills-based practices. ・私たちは、不必要な学位要件を撤廃し、スキルを習得した場所ではなく、仕事を行う能力を重視するスキルベースのアプローチへの移行を進めている。この点において、連邦政府は、情報技術関連の職務をスキルベースの慣行に移行させることで、先導的な役割を果たしている。
・We are expanding work-based learning, such as through registered apprenticeships, which allow Americans to continue earning income while they learn new skills. Earlier this summer, the Biden-Harris Administration announced an additional $244 million investment for registered apprenticeships in growing industries, including cybersecurity. ・私たちは、登録見習い制度などを通じて、仕事を通じた学習を拡大している。これにより、アメリカ人は新しいスキルを習得しながら収入を得続けることができる。今夏初め、バイデン=ハリス政権は、サイバーセキュリティを含む成長産業における登録見習い制度に2億4400万ドルを追加投資すると発表した。
・We are lifting up locally-driven efforts, which bring together employers, academia, local Governments, and non-profits to best meet the specific training, education, and workforce needs in their communities. Since January of this year, we have traveled to 11 states and visited 14 community colleges, universities, and cyber centers to hear about the incredible work already being done, learn and share best practices, and understand how ONCD and its Federal partners can best support their efforts. ・私たちは、雇用主、学術機関、地方自治体、非営利団体が協力し、それぞれの地域社会における特定の訓練、教育、労働力のニーズに最も効果的に対応する、地域主導の取り組みを支援している。今年1月以来、私たちは11の州を訪問し、14のコミュニティカレッジ、大学、サイバーセンターを訪問し、すでに実施されている素晴らしい取り組みについて聞き、ベストプラクティスを学び共有し、ONCDと連邦政府のパートナーがどのようにその取り組みを支援できるかを理解した。
The demand for skilled cyber talent is a challenge, but also an incredible opportunity. These jobs offer Americans from all backgrounds – including veterans and military spouses, single parents, career changers, and rural workers – good-paying and meaningful careers. サイバー分野の有能な人材の需要は課題であると同時に、素晴らしい機会でもある。退役軍人や軍人の配偶者、シングルペアレント、転職希望者、地方の労働者など、あらゆる背景を持つアメリカ人に、高収入で意義のあるキャリアを提供する仕事である。
ONCD and its partners will be sharing information about career fairs, job postings, and other resources to connect job seekers with employers and help them on their journey into cyber. ONCDとそのパートナーは、求職者と雇用者を結びつけ、求職者のサイバー分野への進出を支援するためのキャリアフェア、求人情報、その他のリソースに関する情報を共有していく。
Choosing a cyber career means choosing service to our country. We are grateful for all the cyber workers who keep us safe every day. Service for America will help our country prepare for today’s and tomorrow’s challenges (and opportunities!) in cyberspace. サイバー分野のキャリアを選ぶことは、わが国への奉仕を選ぶことである。私たちは、日々私たちの安全を守ってくれているサイバーワーカーの皆さんに感謝している。アメリカのための奉仕活動は、今日の、そして明日のサイバー空間における課題(そしてチャンス!)に私たちの国が備える手助けとなるだろう。
Find more information about Service for America and connect to cyber jobs here Service for America | ONCD | The White House. アメリカのための奉仕活動に関する詳細情報とサイバー関連の仕事へのリンクは、こちらから。アメリカのための奉仕活動|ONCD|ホワイトハウス。
For more about our work to build the Nation’s cyber workforce, visit www.whitehouse.gov/cyberworkforce. 国家のサイバー人材を育成する私たちの取り組みの詳細については、www.whitehouse.gov/cyberworkforceをご覧ください。

 

活動の概要はこちらを見ればわかります...

Service for America - Cyber Is Serving Your Country

もとめている人材は、



FEDERAL CYBER JOBS


FEDERAL TECH JOBS


FEDERAL AI JOB

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.02 米国 国家サイバー人材・教育戦略

20230802-64122

・[DOCX] [PDF] 仮訳

 

 

| | Comments (0)

ベルギー データ保護機関 AIシステムとGDPR (2024.09.19)

こんにちは、丸山満彦です。

ベルギー王国のデータ保護機関が、AIシステムとGDPRについてのパンフレットを公表しています。。。例示もあって、わかりやすく作っている感じです...

日本の企業の人にとっても参考になる部分があるかもですね...

 

● Autorité de protection des données

プレスはオランダ語とフランス語...報告書は加えて英語もありますね...

オランダ語

・2024.09.19 De GBA publiceert een infobrochure en een themadossier gewijd aan AI

・[PDF] Artificiële-intelligentiesystemen en de AVG Een benadering vanuit gegevensbescherming

20240924-172338

 

フランス語

・2024.09.19 L’APD publie une brochure informative et un dossier thématique dédiés à l’IA

日本語に仮訳すると...

L’APD publie une brochure informative et un dossier thématique dédiés à l’IA DPAがAIに特化した情報パンフレットとテーマ別資料を発行
Ces dernières années, les technologies de l'Intelligence artificielle (IA) ont connu une croissance exponentielle, révolutionnant divers secteurs et influençant considérablement la manière dont les données sont collectées, traitées et utilisées. Toutefois, ce progrès rapide a engendré des défis complexes en matière de confidentialité des données, de transparence et de responsabilité (« accountability »). 人工知能(AI)技術は近年飛躍的な成長を遂げ、様々な分野に革命をもたらし、データの収集、処理、利用方法に大きな影響を与えている。しかし、この急速な進歩は、データの機密性、透明性、説明責任という点で複雑な課題を生み出している。
Le règlement sur l’intelligence artificielle (AI Act) est entré en vigueur le 1er aout 2024. AI法は2024年8月1日に施行された。
L’interaction entre le Règlement général sur la protection des données (RGPD) et le AI Act est complexe, or il est essentiel pour les créateurs et exploitants de systèmes basés sur l’IA de prendre également en considération les principes de protection des données à caractère personnel afin de s’assurer qu’ils opèrent de manière éthique, responsable et respectueuse des dispositions légales. 一般データ保護規則(GDPR)とAI法の相互作用は複雑であるが、AIベースのシステムの作成者および運営者は、倫理的、責任的かつ法的規定を遵守した運営を確保するために、個人データ保護の原則も考慮することが不可欠である。
Le Secrétariat Général de l’Autorité de protection des données a rédigé une brochure afin d’expliquer les exigences du RGPD spécifiquement applicables aux système d’IA. La brochure s’adresse aussi bien aux professionnel du droit, qu’aux délégués à la protection des données ou encore aux personnes ayant une formation technique. Elle cible également les responsables du traitement et les sous-traitants impliqués dans le développement et le déploiement des systèmes d’IA. データ保護局事務総局は、AIシステムに特に適用されるRGPDの要件を説明するパンフレットを作成した。このパンフレットは、法律専門家、データ保護責任者、技術的背景を持つ人々を対象としている。また、AIシステムの開発・導入に関わるデータ管理者・処理者も対象としている。
En parallèle de cette brochure, l’APD lance un tout nouveau thème sur son site web dédié à l’IA. このパンフレットと並行して、DPAはウェブサイト上でAIに特化した全く新しいテーマを立ち上げている。
・Découvrez notre brochure « Les systèmes d’intelligence artificielle et le RGPD » (également disponible en anglais
)
・パンフレット「人工知能システムとRGPD」を見る(英語版もあり)
・Découvrez notre dossier thématique « Intelligence artificielle » ・テーマ別資料「人工知能」を見る

 

・[PDF] Les systèmes d'intelligence artificielle et le RGPD sous l’angle de la protection des données

20240924-172515

 

英語

・[PDF] Artificial Intelligence Systems and the GDPR A Data Protection Perspective

20240924-172557

 

目次...

Executive summary エグゼクティブサマリー
Objective of this information brochure この情報パンフレットの目的
Audience for this information brochure この情報パンフレットの対象読者
What is an AI system ? AIシステムとは何か?
GDPR & AI Act requirements GDPRおよびAI法の要件
Lawful, fair, and transparent processing 合法的、公正、かつ透明性の高い処理
Purpose limitation and data minimisation 目的の制限とデータ最小化
Data accuracy and up-to-dateness データの正確性と最新性
Storage limitation 保存の制限
Automated decision-making 自動化された意思決定
Security of Processing 処理のセキュリティ
Data Subject Rights データ対象者の権利
Accountability 説明責任
Making compliance straightforward: user stories for AI systems in light of GDPR and AI Act requirements コンプライアンスをシンプルに:GDPRおよびAI法の要件を踏まえたAIシステムのためのユーザーストーリー
Requirements of lawful, fair, and transparent processing 適法、公正、透明な処理の要件
Requirements of purpose limitation and data minimization 目的制限およびデータ最小化の要件
Requirements of data accuracy and up-to-dateness データの正確性および最新性の要件
Requirement of secure processing 安全な処理の要件
Requirement of (the ability of demonstrating) accountability 説明責任(説明能力)の要件
References 参考文献

 

 

内容...

Executive summary エグゼクティブサマリー
This information brochure outlines the complex interplay between the General Data Protection Regulation (GDPR)i and the Artificial Intelligence (AI) Actii in the context of AI system development. The document emphasizes the importance of aligning AI systems with data protection principles while addressing the unique challenges posed by AI technologies. この情報パンフレットでは、AIシステム開発の観点から、一般データ保護規則(GDPR)iと人工知能(AI)法iiの複雑な相互関係について概説する。この文書では、AI技術がもたらす特有の課題に対処しながら、AIシステムをデータ保護原則に整合させることの重要性を強調している。
Key points include: 主なポイントは以下の通りである。
• GDPR and AI Act alignment: the brochure highlights the complementary nature of the GDPR and AI Act in ensuring lawful, fair, and transparent processing of personal data in AI systems. • GDPRとAI法の整合性:このパンフレットでは、AIシステムにおける個人データの適法、公正、透明な処理を確保する上で、GDPRとAI法が補完的な関係にあることを強調している。
• AI system definition: the document provides a clear definition of AI systems and offers illustrative examples to clarify the concept. • AIシステムの定義:この文書では、AIシステムの明確な定義を示し、概念を明確にするための例示的な例を提示している。
• data protection principles: the brochure delves into core GDPR principles such as lawfulness, fairness, transparency, purpose limitation, data minimization, accuracy, storage limitation, and data subject rights in the context of AI systems. • データ保護の原則:パンフレットでは、AIシステムにおける合法性、公正性、透明性、目的制限、データ最小化、正確性、保存制限、データ対象者の権利といったGDPRの中核となる原則について掘り下げている。
• accountability: the importance of accountability is emphasized, with specific requirements outlined for both the GDPR and AI Act. • 説明責任:説明責任の重要性が強調され、GDPRとAI法の両方について具体的な要件が説明されている。
• security: the document highlights the need for robust technical and organizational measures, to protect personal data processed by AI systems. • セキュリティ:この文書では、AIシステムで処理される個人データを防御するための堅牢な技術的および組織的対策の必要性が強調されている。
• human oversight: The crucial role of human oversight in AI system development and operation is emphasized, particularly for high-risk AI systems. • 人的監視:AIシステムの開発および運用における人的監視の重要な役割が強調されており、特にリスクの高いAIシステムについてはその傾向が強い。
By providing insights into the legal framework and practical guidance, this information brochure aims to empower legal professionals, data protection officers, technical stakeholders, including controllers and processors, to understand and comply with the GDPR and AI Act requirements when developing and deploying AI systems. この情報パンフレットは、法的枠組みと実用的な指針に関する洞察を提供することで、AIシステムの開発および展開に際して、法律専門家、データ保護責任者、管理者および処理者を含む技術的利害関係者が、GDPRおよびAI法の要件を理解し、遵守することを目的としている。
Objective of this information brochure 本情報パンフレットの目的
The General Secretariat of the Belgian Data Protection Authority monitors social, economic, and technological developments that impact the protection of personal dataiii. ベルギーデータ保護当局の事務局は、個人データの保護に影響を与える社会、経済、技術の進展を監視しているiii。
In recent years, AI technologies have experienced exponential growth, revolutionizing various industries and significantly impacting the way data is collected, processed, and utilized. However, this rapid advancement has brought about complex challenges regarding data privacy, transparency, and accountability. 近年、AI技術は飛躍的な成長を遂げ、さまざまな業界に革命をもたらし、データの収集、処理、利用の方法に大きな影響を与えている。しかし、この急速な進歩は、データ・プライバシー、透明性、説明責任に関する複雑な課題をもたらしている。
In this context, the General Secretariat of the Belgian Data Protection Authority publishes this information brochure to provide insights on data protection and the development and implementation of AI systems. このような状況において、ベルギーデータ保護当局の事務局は、データ保護とAIシステムの展開および実装に関する洞察を提供するために、この情報パンフレットを発行する。
Understanding and adhering to the GDPR principles and provisions is crucial for ensuring that AI systems operate ethically, responsibly, and in compliance with legal standards. This information brochure aims to elucidate the GDPR requirements specifically applicable to AI systems, offering more clarity and useful insights to stakeholders involved in the development, implementation, and (internal) regulation of AI technologies. AIシステムが倫理的かつ責任を持って、また法的標準に準拠して運用されることを確実にするためには、GDPRの原則と規定を理解し、遵守することが極めて重要である。この情報パンフレットは、AIシステムに特に適用されるGDPRの要件を明らかにすることを目的としており、AI技術の開発、実装、および(社内)規制に関わる利害関係者に対して、より明確で有益な洞察を提供している。
In addition to the GDPR, the Artificial Intelligence Act (AI Act), which entered into force on 1st of August 2024, will also significantly impact the regulation of AI system development and use. This information brochure will also address the requirements of the AI Act. GDPRに加えて、2024年8月1日に施行された人工知能法(AI法)も、AIシステムの開発および使用の規制に大きな影響を与えることになる。この情報パンフレットでは、AI法の要件についても取り上げる。
Audience for this information brochure この情報パンフレットの対象読者
This information brochure is intended for a diverse audience comprising legal professionals, Data Protection Officers (DPOs), and individuals with technical backgrounds including business analysts, architects, and developers. It also targets controllers and processors involved in the development and deployment of AI systems. Given the intersection of legal and technical considerations inherent in the application of the GDPR to AI systems, this information brochure seeks to bridge the gap between legal requirements and technical implementation. この情報パンフレットは、法律専門家、データ保護責任者(DPO)、ビジネスアナリスト、アーキテクト、開発者など技術的背景を持つ個人など、多様な読者層を対象としている。また、AIシステムの構築と展開に関わる管理者と処理者も対象としている。GDPRのAIシステムへの適用に内在する法的および技術的考慮事項の交差を踏まえ、この情報パンフレットは、法的要件と技術的実装の間のギャップを埋めることを目的としている。
Legal professionals and DPOs play a crucial role in ensuring organizational compliance with GDPR obligations, specifically those relevant to AI systems that process personal data. By providing insights into GDPR requirements specific to AI, this information brochure equips legal professionals and DPOs with useful knowledge to navigate the complexities of AIrelated data processing activities, assess risks, and implement appropriate measures. 法律の専門家やDPOは、GDPRの義務、特にパーソナルデータの処理を行うAIシステムに関連する義務への組織のコンプライアンスを確保する上で重要な役割を果たす。本情報パンフレットでは、AIに特化したGDPR要件に関する洞察を提供することで、法律の専門家やDPOがAI関連のデータ処理活動の複雑性を理解し、リスクをアセスメントし、適切な対策を実施するのに役立つ知識を習得できるようにしている。
At the same time, individuals with technical backgrounds such as business analysts, architects, and developers are integral to the design, development, and deployment of AI systems. Recognizing their pivotal role, this information brochure aims to elucidate GDPR requirements in a manner accessible to technical stakeholders. Concrete, real-life examples are incorporated into the text to illustrate how GDPR principles translate into practical considerations during the lifecycle of AI projects. By offering actionable insights, this information brochure empowers technical professionals to design AI systems that are compliant with GDPR obligations, embed data protection-by-design principles, and mitigate potential legal and ethical risks. 同時に、ビジネスアナリスト、アーキテクト、開発者など技術的背景を持つ個人は、AIシステムの設計、開発、展開に不可欠である。この情報パンフレットは、彼らの重要な役割を認識し、技術的利害関係者にも理解できる形でGDPRの要件を明らかにすることを目的としている。具体的な実例を本文に盛り込み、GDPRの原則がAIプロジェクトのライフサイクルにおける実用的な考慮事項にどのように反映されるかを説明している。この情報パンフレットは、実用的な洞察を提供することで、技術専門家がGDPRの義務に準拠したAIシステムを設計し、データ保護を設計に組み込む原則を組み込み、潜在的な法的および倫理的リスクを低減できるよう支援する。
What is an AI system ? AIシステムとは?
The term "AI system" encompasses a wide range of interpretations. AIシステム」という用語には、幅広い解釈が存在する。
This information brochure will not delve into the intricacies and nuances that distinguish these various definitions. この情報パンフレットでは、これらのさまざまな定義を区別する複雑性やニュアンスについては掘り下げない。
Instead, we will begin by examining the definition of an AI system as outlined in the AI Activ: 代わりに、AI Activで概説されているAIシステムの定義から検討していく。
For the purposes of this Regulation, the following definitions apply: 本規則の目的上、以下の定義が適用される。
(1) ‘AI system’ means a machine-based system that is designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment, and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments; (1) 「AIシステム」とは、さまざまなレベルの自律性を備え、展開後に適応性を示す可能性があり、明示的または暗黙的な目的のために、受け取った入力から、物理的または仮想的な環境に影響を与える予測、コンテンツ、推奨、または決定などの出力を生成する方法を推論する、機械ベースのシステムを意味する。
In other terms : 別の言い方をすれば、
An AI system is a computer system specifically designed to analyze data, identify patterns, and use that knowledge to make informed decisions or predictions. AIシステムとは、データを分析し、パターンを識別し、その知識に基づいて情報に基づいた意思決定や予測を行うよう特別に設計されたコンピュータシステムである。
In some cases, AI systems can learn from data and adapt over time. This learning capability allows them to improve their performance, identify complex patterns across different data sets, and make more accurate or nuanced decisions. 場合によっては、AIシステムはデータから学習し、時間をかけて適応していくことができる。この学習能力により、パフォーマンスの改善、異なるデータセットにわたる複雑なパターンの識別、より正確な、あるいはより微妙な意思決定が可能になる。
Examples of AI systems in everyday life: 日常生活におけるAIシステムの例:
Spam filters in email: spam filters analyze incoming emails and identify patterns that distinguish spam messages from legitimate emails. Over time, as people mark emails as spam or not spam, the AI system can learn and improve its filtering accuracy. This is an example of an AI system that meets the criteria of an AI system : 電子メールのスパムフィルター:スパムフィルターは受信メールを分析し、スパムメールと正当なメールを区別するパターンを識別する。 時間が経つにつれ、人々がメールをスパムとしてマークしたり、スパムとしてマークしなかったりすることで、AIシステムは学習し、フィルタリングの精度を改善することができる。 これはAIシステムの規準を満たすAIシステムの例である。
• machine-based system: it's a computer program. • 機械ベースのシステム:コンピュータプログラムである。
• analyzes data: it analyzes the content of emails. • データの分析:電子メールの内容を分析する。
• identifies patterns: it identifies patterns in emails that suggest spam. • パターンを識別する:スパムを示唆する電子メールのパターンを識別する。
• makes decisions: it decides whether to categorize an email as spam or not. • 意思決定を行う:電子メールをスパムとして分類するかどうかを決定する。
Recommendation systems on streaming services: movie streaming services utilize AI systems to generate recommendations for users. These systems analyze a user's past viewing habits, along with the habits of similar users, to recommend content they might be interested in. This is another example of an AI system : ストリーミングサービスにおける推奨システム:映画のストリーミングサービスでは、ユーザーに推奨コンテンツを提示するためにAIシステムを利用している。これらのシステムは、ユーザーの過去の視聴履歴と類似したユーザーの視聴履歴を分析し、ユーザーが興味を持ちそうなコンテンツを推奨する。これもAIシステムの例である。
• machine-based system: it's a computer program. • 機械ベースのシステム:これはコンピュータプログラムである。
• analyzes data: it analyzes a user's viewing/listening history. • データの分析:ユーザーの視聴/聴取履歴を分析する。
• identifies patterns: it identifies patterns in user preferences and those of similar users. • パターンの識別:ユーザーの好みや類似ユーザーの好みのパターンを識別する。
• makes recommendations: it recommends content based on the identified patterns. • 推奨:識別されたパターンに基づいてコンテンツを推奨する。
Virtual assistants: virtual assistants respond to voice commands and complete tasks like setting alarms, playing music, or controlling smart home devices. These systems use speech recognition and natural language processing to understand user requests and take action. This is again an example of an AI system : バーチャルアシスタント:バーチャルアシスタントは音声コマンドに対応し、アラームの設定、音楽の再生、スマートホームデバイスの制御などのタスクを実行する。これらのシステムは、音声認識と自然言語処理を使用してユーザーのリクエストを理解し、対応する。これもAIシステムの例である。
• machine-based system: it's a computer program. • 機械ベースのシステム:コンピュータプログラムである。
• analyzes data: it analyzes user voice commands. • データの分析:ユーザーの音声コマンドを分析する。
• identifies patterns: it identifies patterns in speech to understand user requests. • パターンの識別:音声のパターンを識別してユーザーのリクエストを理解する。
• makes decisions: it decides how to respond to commands based on its understanding. • 意思決定を行う:理解した内容に基づいて、コマンドへの対応方法を決定する。
• may exhibit adaptiveness: some virtual assistants can learn user preferences and adapt their responses over time. • 適応性を示す可能性がある:一部のバーチャルアシスタントは、ユーザーの好みを学習し、時間の経過とともに回答を適応させることができる。
AI-powered medical imaging analysis: many hospitals and healthcare providers are utilizing AI systems to assist doctors in analyzing medical images, such as X-rays, CT scans, and MRIs. These systems are trained on vast datasets of labeled medical images, allowing them to identify patterns and potential abnormalities. AIを活用した医療画像分析:多くの病院や医療プロバイダは、X線、CTスキャン、MRIなどの医療画像の分析を医師が支援するために、AIシステムを活用している。これらのシステムは、ラベル付けされた膨大な医療画像データセットで訓練されており、パターンや潜在的な異常を識別することができる。
• machine-based system: it's a computer program. • 機械ベースのシステム:コンピュータープログラムである。
• analyzes data: it analyzes the digital medical images. • データの分析:デジタル医療画像を分析する。
• identifies patterns: it identifies patterns in the images that might indicate the presence of a disease or abnormality. • パターンの識別:画像内の、疾患や異常の存在を示唆する可能性のあるパターンを識別する。
• supports decision-making: the system highlights potential areas of concern in the images, which can help doctors make more informed diagnoses. • 意思決定のサポート:システムは画像内の潜在的な懸念領域をハイライトし、医師がより情報に基づいた診断を行うのに役立つ。
GDPR & AI Act requirements  GDPRとAI法の要件 
Lawful, fair, and transparent processing 合法的、公正、透明性の高い処理
The GDPR requires lawfulness, fairness and transparency. GDPRでは、合法的、公正、透明性の高い処理が求められている。
Leveraging GDPR lawfulness of processing:  GDPRの合法的な処理の活用:
The GDPR establishes six legal bases for processing personal data in Article 6 (consent, contract, legal obligation, vital interests, public interest, and legitimate interests). These same legal bases remain applicable for AI systems that process personal data under the AI Act. GDPRでは、パーソナルデータの処理に関する6つの法的根拠(同意、契約、法的義務、重大な利益、公共の利益、正当な利益)を第6条で定めている。これらの法的根拠は、AI法の下で個人データを処理するAIシステムにも適用される。
Prohibited AI Systems:  禁止されたAIシステム: 
the AI Act introduces additional prohibitions beyond the GDPR for certain high-risk AI systems. While the GDPR focuses on protecting personal data through various principles, the AI Act directly prohibits specific types of high-risk AI applications. AI法では、特定のリスクの高いAIシステムについて、GDPR以上の追加的な禁止事項が導入されている。GDPRがさまざまな原則を通じて個人データの防御に重点を置いているのに対し、AI法では特定のリスクの高いAIアプリケーションを直接的に禁止している。
Here are some examples: 以下にその例をいくつか挙げる。
• Social scoring systems: these systems assign a score to individuals based on various factors, potentially leading to discrimination and limitations on opportunities. • 社会スコアリングシステム:これらのシステムは、さまざまな要因に基づいて個人にスコアを割り当てるものであり、差別や機会の制限につながる可能性がある。
• AI systems for real-time facial recognition in public places (with limited exceptions): these systems raise concerns about privacy, freedom of movement, and potential misuse for mass surveillance. • 公共の場でのリアルタイム顔認識用AIシステム(限定的な例外あり):これらのシステムは、プライバシー、移動の自由、および大規模な監視のための悪用される可能性に関する懸念を生じさせる。
Fairness: 公平性:
• While the AI Act doesn't have a dedicated section titled “fairness”, it builds upon the GDPR's principle of fair processing (art. 5.1.a) as the AI Act focuses on mitigating bias and discrimination in the development, deployment, and use of AI systems. • AI法には「公平性」という独立した条項はないが、AI法がAIシステムの開発、展開、利用におけるバイアスや差別の低減に焦点を当てていることから、AI法はGDPRの公正な処理(第5条1項a)の原則を基盤としている。
Transparency: 透明性:
• the AI Act requires a baseline level of transparency for all AI systems. This means users should be informed that they're interacting with an AI system. For instance, a chatbot could begin an interaction with a message like "Hello, I am Nelson, a chatbot. How can I assist you today?" AI法は、すべてのAIシステムに対して基本的なレベルの透明性を要求している。これは、ユーザーがAIシステムとやりとりしていることを知らされるべきであることを意味する。例えば、チャットボットが「こんにちは、チャットボットのネルソンです。今日はどのようなお手伝いができるでしょうか?」といったメッセージでやりとりを開始する、といった具合である。
• the AI Act requires a higher transparency level for high-risk AI systems. This includes providing clear and accessible information about how data is used in these systems, particularly regarding the decision-making process. Users should understand the factors influencing AI-based decisions and how potential bias is mitigated. • AI法は、リスクの高いAIシステムに対してより高い透明性を求めている。これには、これらのシステムにおけるデータの使用方法、特に意思決定プロセスに関する明確でアクセスしやすい情報の提供が含まれる。ユーザーは、AIに基づく意思決定に影響を与える要因と、潜在的なバイアスがどのように低減されるかを理解する必要がある。
Purpose limitation and data minimisation 目的の制限とデータ最小化
The GDPR requires purpose limitation (art. 5.1.b) and data minimisation (art. 5.1.c). This means personal data must be collected for specific and legitimate purposes, and limited to what is necessary for those purposes. These principles ensure that AI systems don't use data for purposes beyond their intended function or collect excessive data. GDPRは、目的の制限(第5条1項b)とデータ最小化(第5条1項c)を求めている。つまり、個人データは特定かつ合法的な目的のために収集され、その目的に必要なものに限定されなければならない。これらの原則により、AIシステムが意図された機能を超えた目的でデータを使用したり、過剰なデータを収集したりすることがないようにする。
The AI Act strengthens the principle of purpose limitation – from the GDPR – for high-risk AI systems by emphasizing the need for a well-defined and documented intended purpose. AI法は、明確に定義され文書化された意図された目的の必要性を強調することで、高リスクのAIシステムについて、GDPRの目的制限の原則を強化している。
Example : A loan approval AI system of a financial institution, in addition to standard identification data and credit bureau information, also utilizes geolocation data (e.g., past locations visited) and social media data (e.g., friends' profiles and interests) of a data subject. This extensive data collection, including geolocation and social media data, raises concerns about the system's compliance with the GDPR. :金融機関のローン承認AIシステムは、標準的な識別データや信用調査機関の情報に加え、データ対象者の位置情報データ(例えば、過去に訪れた場所)やソーシャルメディアデータ(例えば、友人のプロフィールや興味)も利用している。この広範なデータ収集には位置情報やソーシャルメディアデータが含まれており、このシステムがGDPRに準拠しているか懸念が生じる。
Data accuracy and up-to-dateness データの正確性と最新性
The GDPR requires personal data to be accurate and, where necessary, kept up-to-date (art. 5.1.d).  Organizations must take reasonable steps to ensure this. The AI Act builds upon this principle by requiring high-risk AI systems to use high-quality and unbiased data to prevent discriminatory outcomes. GDPRでは、個人データは正確で、必要に応じて最新の状態に保たれなければならないと規定している(第5条1項d)。 機構は、これを確保するために合理的な措置を講じなければならない。AI法は、差別的な結果を防ぐために、高リスクのAIシステムに高品質で偏りのないデータの使用を義務付けることで、この原則を基盤としている。
Example : a financial institution develops an AI system to automate loan approvals. The system analyzes various data points about loan applicants, including credit history, income, and demographics (postal code). However, the training data for the AI system unknowingly reflects historical biases : the data stems from a period when loans were more readily granted in wealthier neighborhoods (with a higher average income). The AI system perpetuates these biases as loan applicants from lower-income neighborhoods might be systematically denied loans, even if they are financially qualified. This results in a discriminatory outcome, and might raise serious concerns about the system's compliance with the AI Act. 例:金融機関が融資承認を自動化するAIシステムを開発した。このシステムは、融資申請者の信用履歴、収入、人口統計(郵便番号)など、さまざまなデータポイントを分析する。しかし、AIシステムのトレーニングデータには、過去のバイアスが知らず知らずのうちに反映されている。データは、平均収入の高い富裕層が多く住む地域では融資がより容易に下りていた時代のものである。AIシステムは、こうしたバイアスを永続化させる。低所得者層からの融資申請者は、たとえ経済的に適格であっても、組織的に融資を拒否される可能性があるからだ。これは差別的な結果につながり、AI法への準拠に関して深刻な懸念が生じる可能性がある。
Storage limitation 保存期間の制限
The GDPR requires personal data to be stored only for as long as necessary to achieve the purposes for which it was collected (art. 5.1.e). The AI Act doesn't explicitly introduce another or an extra requirement on storage limitation for high-risk AI systems. GDPRでは、収集目的を達成するために必要な期間のみ個人データを保存することが求められている(第5条1項e)。AI法では、高リスクAIシステムに対する保存期間の制限に関する追加要件は明示的に導入されていない。
Automated decision-making 自動化された意思決定
The GDPR and the AI Act both address the importance of human involvement in automated decision-making processes that impact individuals. However, they differ in their focus: GDPRとAI法は、個人に影響を与える自動化された意思決定プロセスにおける人間の関与の重要性をともに取り上げている。しかし、両者の焦点は異なっている。
• The GDPR grants individuals the right not to be subject solely to automated processing for decisions that produce legal effects concerning them (art. 22). This means data subjects have the right to request a reconsideration of an automated decision by a human decision-maker. This functions as an individual right to challenge decisions perceived as unfair or inaccurate. • GDPRは、個人に対して、自身に関する法的効果を生み出す意思決定の自動処理のみに服さない権利を付与している(第22条)。これは、データ対象者が人間の意思決定者による自動化された意思決定の再考を要求する権利を有することを意味する。これは、不公平または不正確とみなされる決定に異議を申し立てる個人の権利として機能する。
• The AI Act strengthens the focus on human involvement by requiring meaningful human oversight throughout the development, deployment, and use of high-risk AI systems. This acts as a governance measure to ensure responsible AI development and use. Human oversight under the AI Act encompasses a broader range of activities than just reconsideration of individual decisions. It includes, for example, reviewing the AI system's training data and algorithms for potential biases, monitoring the system's performance, and intervening in critical decision-making pathways. • AI法は、高リスクAIシステムの開発、展開、使用の全段階において、意味のある人的監視を義務付けることで、人間による関与を重視する姿勢を強化している。これは、責任あるAIの開発と使用を確保するためのガバナンス対策として機能する。AI法に基づく人的監視は、個々の決定の再考にとどまらず、より幅広い活動範囲を網羅している。例えば、AIシステムのトレーニングデータやアルゴリズムに潜在的なバイアスがないかを確認すること、システムのパフォーマンスを監視すること、重要な意思決定の経路に介入することが含まれる。
In essence, the GDPR empowers individuals to object to solely automated decisions, while the AI Act requires proactive human oversight for high-risk AI systems to safeguard against potential biases and ensure responsible development and use of such systems. 要するに、GDPRは個人が単独で自動化された決定に異議を申し立てる権利を付与するものであるのに対し、AI法は潜在的なバイアスを回避し、そのようなシステムの責任ある開発と利用を確保するために、高リスクAIシステムに対して積極的な人的監視を義務付けている。
Example : a government agency uses an AI system to assess eligibility for social welfare benefits based on income, employment status, and family situation. 例:政府機関が、収入、雇用状況、家族状況に基づいて社会福祉給付の受給資格をアセスメントするためにAIシステムを使用している。
Following the GDPR, individuals have the right not to be subject solely to automated processing for social welfare benefits eligibility (art. 22). This means they can request a reconsideration of an automated decision by a human decision-maker. GDPRに従えば、個人は社会福祉給付の受給資格について、自動処理のみに委ねられることのない権利を有する(第22条)。これは、自動処理の決定について、人間による意思決定者による再考を要求できることを意味する。
Following the AI Act, this AI system is classified as an high-risk system (as it has a significant impact on individuals' livelihoods). This requires the government agency to implement human oversight throughout the development, deployment, and use of the AI system. AI法に従い、このAIシステムは高リスクシステム(個人の生活に重大な影響を及ぼす)に分類される。これにより、政府機関はAIシステムの構築、展開、利用の全段階において、人間による監視を実施することが義務付けられる。
Security of Processing 処理のセキュリティ
Both the GDPR and the AI Act emphasize the importance of securing personal data throughout its processing lifecycle. However, AI systems introduce specific risks that require additional security measures beyond traditional data protection practices. GDPRとAI法の両方において、パーソナルデータの処理ライフサイクル全体にわたるセキュリティ確保の重要性が強調されている。しかし、AIシステムには、従来のデータ保護の慣行を超える追加のセキュリティ対策が必要となる特有のリスクが存在する。
The GDPR requires organizations to implement technical and organizational measures (TOMs) that are appropriate to the risk associated with their data processing activities. This involves conducting risk assessments to identify potential threats and vulnerabilities. The selected TOMs should mitigate these risks and ensure a baseline level of security for personal data. GDPRでは、データ処理活動に関連するリスクに適した技術的および組織的対策(TOMs)を企業が実施することを義務付けている。これには、潜在的な脅威や脆弱性を識別するためのリスクアセスメントの実施が含まれる。選択されたTOMsは、これらのリスクを低減し、個人データのセキュリティのベースラインレベルを確保するものでなければならない。
The AI Act builds upon this foundation by mandating robust security measures for highrisk AI systems. This is because AI systems introduce specific risks that go beyond traditional data processing, such as: AI法は、リスクの高いAIシステムに対して強固なセキュリティ対策を義務付けることで、この基盤を構築している。これは、AIシステムが従来のデータ処理を超える特定のリスクをもたらすためである。
• potential bias in training data: biased training data can lead to biased decisions by the AI system, impacting individuals unfairly. • トレーニングデータの潜在的なバイアス:バイアスのかかったトレーニングデータは、AIシステムによるバイアスのかかった意思決定につながり、個人に不当な影響を与える可能性がある。
• manipulation by unauthorized individuals: for example, a hacker could potentially manipulate the AI system's training data to influence its decisions in a harmful way. Imagine a system trained to approve loan applications being tricked into rejecting qualified applicants based on irrelevant factors. • 権限のない個人による操作:例えば、ハッカーがAIシステムのトレーニングデータを操作し、その意思決定に有害な影響を与える可能性がある。ローン申請を承認するようにトレーニングされたシステムが、無関係な要因に基づいて適格な申請者を却下するようにだまされることを想像してみてほしい。
To address these unique risks, the AI Act emphasizes proactive measures such as: これらの固有のリスクに対処するために、AI法は以下のような積極的な対策を重視している。
• identifying and planning for potential problems: This involves brainstorming what could go wrong with the AI system and how likely it is to happen (risk assessment). 潜在的な問題の識別と計画:これは、AIシステムで何が問題となり得るか、またそれがどの程度の可能性で起こり得るかについて、ブレーンストーミングを行うことを意味する(リスクアセスメント)。
This is a core practice under both the GDPR and AI Act. これは、GDPRとAI法の両方において中核となる実践である。
• continuous monitoring and testing: This involves regularly evaluating the AI system's performance for several aspects including: 継続的なモニタリングとテスト:これは、AIシステムのパフォーマンスを定期的に評価することを意味し、その評価には以下の複数の側面が含まれる。
o   security flaws: identifying vulnerabilities in the system's code or design that could be exploited by attackers. o セキュリティの欠陥:攻撃者に悪用される可能性のあるシステムコードや設計上の脆弱性を特定する。
o   bias: checking for potential biases in the system's training data or decisionmaking processes. o バイアス:システムのトレーニングデータや意思決定プロセスにおける潜在的なバイアスをチェックする。
• human oversight: the AI Act emphasizes the importance of meaningful human oversight throughout the development, deployment, and use of high-risk AI systems. This ensures that humans are involved in critical decisions and understand the system's vulnerabilities. Human oversight under the AI Act goes beyond just security processes and encompasses various aspects, such as: • 人的監視:AI法では、リスクの高いAIシステムの開発、展開、利用の全段階において、意味のある人的監視の重要性を強調している。これにより、重要な意思決定に人間が関与し、システムの脆弱性を理解することが保証される。AI法に基づく人的監視は、単なるセキュリティプロセスにとどまらず、以下のようなさまざまな側面を含む。
o   reviewing training data and algorithms for potential biases. o 潜在的なバイアスを排除するために、トレーニングデータとアルゴリズムを検証する。
o   monitoring the system's performance for fairness, accuracy, and potential unintended behaviour. o システムのパフォーマンスを監視し、公平性、正確性、意図しない潜在的な動作を確保する。
o   intervening in critical decision-making pathways, especially when they could significantly impact individuals. o 特に個人の影響が大きい場合、重要な意思決定の経路に介入する。
Example: AI-powered Lung Cancer Diagnosis System. 例:AI搭載の肺がん診断システム。
An AI system used by a hospital to diagnose lung cancer exemplifies a high-risk AI system due to several factors: 病院が肺がんの診断に使用するAIシステムは、いくつかの要因により、リスクの高いAIシステムの一例である。
• highly sensitive data: it processes highly sensitive personal data, including patients' health information (lungs) and diagnoses (special category data under article 9 of the GDPR) ; • 極めてセンシティブなデータ:患者の健康情報(肺)や診断(GDPR第9条に基づく特別カテゴリーデータ)など、極めてセンシティブな個人データを処理する。
• data breach impact: a data breach could expose critical health information about patients, potentially leading to privacy violations and reputational harm for the hospital ; • データ漏えいの影響:データ漏えいは患者の重要な健康情報を公開する可能性があり、病院のプライバシー侵害や評判の低下につながる可能性がある。
• life-altering decisions: the system's output directly impacts patients' lives. A diagnosis based on inaccurate or compromised data could have serious consequences for their health and well-being. • 人生を左右する決断:システムの出力は患者の生活に直接影響する。不正確なデータや不完全なデータに基づく診断は、患者の健康と幸福に深刻な影響を及ぼす可能性がある。
Both the GDPR and the AI Act emphasize the importance of security measures for data processing activities, especially those involving sensitive data. GDPRとAI法の両方とも、データ処理活動、特にセンシティブなデータを含むものに対するセキュリティ対策の重要性を強調している。
• the GDPR establishes a foundation for data security: It requires organizations to implement appropriate technical and organizational measures (TOMs) to protect personal data based on a risk assessment. For health data, these measures would be particularly strong due to its sensitive nature. Examples under the GDPR could include: GDPRはデータセキュリティの基盤を確立している。リスクアセスメントに基づいて個人データを防御するために、適切な技術的および組織的対策(TOM)を導入することが組織に義務付けられている。健康データの場合、そのセンシティブな性質から、これらの対策は特に厳格なものとなる。GDPRに基づく例としては、以下が挙げられる。
o   data encryption: encrypting patient data at rest and in transit ensures its confidentiality even if a breach occurs ; o データ暗号化:保存中および転送中の患者データを暗号化することで、侵害が発生した場合でもデータの機密性を確保できる。
o   access controls: implementing strict access controls limits who can access and modify patient data ; o アクセス管理:厳格なアクセス管理を導入することで、患者データへのアクセスや変更を許可するユーザーを制限できる。
o   penetration testing: regularly conducting penetration tests helps identify and address vulnerabilities in the system's security posture ; o 侵入テスト:定期的に侵入テストを実施することで、システムのセキュリティ体制における脆弱性を識別し、対処できる。
o   logging and auditing: maintaining detailed logs of system activity allows for monitoring and investigation of any suspicious behavior. o ログと監査:システムのアクティビティの詳細なログを維持することで、疑わしい行動の監視と調査が可能になる。
• The AI Act builds upon this foundation for high-risk AI systems: recognizing the specific risks of AI, the AI Act mandates robust security measures.  These might include additional measures tailored to the specific vulnerabilities of the AI system, such as data validation and quality assurance : the AI Act emphasizes the importance of ensuring the quality and integrity of the data used to train and operate the AI system. This could involve techniques for: AI法は、高リスクAIシステムに関するこの基盤を基に構築されている。AI特有のリスクを認識し、AI法は強固なセキュリティ対策を義務付けている。これには、データ検証や品質保証など、AIシステムの特定の脆弱性に対応した追加の対策が含まれる可能性がある。AI法は、AIシステムのトレーニングや運用に使用されるデータの品質と完全性を確保することの重要性を強調している。これには、以下の技術が含まれる可能性がある。
o   data provenance: tracking the origin of data to identify potential sources of bias or manipulation in the training data, such as incorrect X-ray labeling. o データの由来:データの由来を追跡し、トレーニングデータにおける潜在的なバイアスや操作のソース(例えば、不正確なX線ラベル付け)を識別する。
o   anomaly detection: identifying and flagging unusual patterns in the training data that might indicate malicious tampering, such as a sudden influx of Xrays with unrealistic characteristics. o 異常検知:トレーニングデータにおける異常なパターンを識別し、フラグを付ける。これは、非現実的な特性を持つX線が突然大量に流入するなど、悪意のある改ざんを示している可能性がある。
o   human review of high-risk data points: Having healthcare professionals review critical X-rays before they are used to train the AI system, especially those that show unusual features or could significantly impact patient outcomes. o 高リスクのデータポイントの人間によるレビュー:AIシステムのトレーニングに使用される前に、特に異常な特徴を示すものや患者の治療結果に著しい影響を与える可能性のある重要なX線画像を医療専門家に確認してもらう。
By implementing these security measures the hospital can mitigate the risks associated with the AI-powered lung cancer diagnosis system and ensure patient privacy, data security, and ultimately, the best possible patient outcomes. これらのセキュリティ対策を実施することで、病院はAIによる肺がん診断システムに関連するリスクを低減し、患者のプライバシー、データセキュリティ、そして最終的には最善の治療結果を確保することができる。
Data Subject Rights データ対象者の権利
The GDPR grants natural persons data subject rights, empowering them to control their personal data and how it's used. These rights include access (seeing what data is processed, art. 15), rectification (correcting inaccurate data and completing data, art. 16), erasure (requesting data deletion, art. 17), restriction of processing (limiting how data is used, art. 18), and data portability (transferring data to another service, art. 20). GDPRは、自然人であるデータ対象者にデータ対象者としての権利を付与し、個人データとその使用方法を管理できるようにしている。これらの権利には、アクセス(処理されているデータを確認する、第15条)、修正(不正確なデータの修正とデータの補完、第16条)、消去(データの削除を要求する、第17条)、処理の制限(データの使用方法を制限する、第18条)、データポータビリティ(データを別のサービスに転送する、第20条)が含まれる。
To effectively exercise these rights, natural persons need to understand how their data is being processed. The AI Act reinforces this by emphasizing the importance of clear explanations about how data is used in AI systems. With this transparency, individuals can make informed decisions about their data and utilize their data subject rights more effectively. これらの権利を効果的に行使するには、自然人(個人)は自身のデータがどのように処理されているかを理解する必要がある。AI法は、AIシステムにおけるデータの使用方法について明確に説明する重要性を強調することで、これを強化している。この透明性により、個人は自身のデータについて十分な情報を得た上で意思決定を行うことができ、データ対象者の権利をより効果的に活用することができる。
Example : an AI system used to determine car insurance premiums assigns a relatively high premium to a particular customer (data subject). The AI Act entitles this customer to a clear explanation of how their premium is calculated. For example, the insurer (data controller) could explain that various data points were used, such as the customer's annual mileage, accident history, and whether the car is used for work purposes. This information, in turn, allows the customer to exercise their data subject rights under the GDPR, such as the right to rectification (correction of inaccurate personal data or completion of personal data). 例:自動車保険の保険料を決定するために使用されるAIシステムが、特定の顧客(データ対象者)に比較的高い保険料を割り当てた。AI法では、この顧客に対して保険料の算出方法を明確に説明することが義務付けられている。例えば、保険会社(データ管理者)は、顧客の年間走行距離、事故歴、業務用車両であるか否かなど、さまざまなデータポイントが使用されたことを説明できる。この情報により、顧客はGDPRに基づくデータ対象者の権利を行使することが可能となり、例えば、不正確な個人データの修正や個人データの補完などの権利を行使できる。
Accountability 説明責任
The GDPR requires (organizations to demonstrate) accountability for personal data processing through several measures, such as : GDPRは、以下のような複数の手段を通じて、個人データの処理に関する説明責任(組織が証明)を求めている。
• Transparent processing: individuals must understand how their data is collected, used, stored and shared (f.e. by a clear and concise data protection statement, by data subject access rights, …). This transparency allows them to see if their data is being handled lawfully and fairly ; 透明性の高い処理:個人は、自身のデータがどのように収集、使用、保存、共有されるかを理解する必要がある(例えば、明確かつ簡潔なデータ保護方針、データ対象者のアクセス権など)。この透明性により、自身のデータが合法的かつ公正に処理されているかを確認できる。
• Policies and procedures for handling personal data: documented policies ensure consistent data handling practices across the organization ; • 個人データの処理に関する方針および手順:文書化された方針は、組織全体で一貫したデータ処理の実施を保証する。
• Documented legal basis for processing: for each data processing activity, organizations need documented proof of the lawful justification (consent, contract, legitimate interest, etc.) ; • 文書化された処理の法的根拠:各データ処理活動について、組織は合法的な正当化(同意、契約、正当な利益など)の文書による証拠を必要とする。
• Keeping different records (like the Register Of Processing Activities (ROPA), data subject requests, data breaches) is required: maintaining accurate records demonstrates a commitment to accountability and allows organizations to prove compliance during audits or investigations ; 異なる記録(処理活動登録簿(ROPA)、データ対象者からの要求、データ侵害など)を保存することが求められる:正確な記録を維持することは説明責任への取り組みを示すものであり、監査や調査の際にコンプライアンスを証明することを企業に可能にする。
• Security measures: implementing and correctly maintaining appropriate technical and organizational measures (TOMs) to protect personal data is crucial for demonstrating accountability ; セキュリティ対策:個人データを防御するための適切な技術的および組織的対策(TOMs)を実施し、正しく維持することは、説明責任を果たす上で極めて重要である。
• A Data Protection Impact Assessment (DPIAs) is required in some cases: these are mandatory when processing high-risk data or implementing new technologies ; データ保護影響評価(DPIAs)は、場合によっては必要となる。高リスクデータの処理や新しい技術の導入の際には、DPIAsは必須である。
• A Data Protection Officer (DPO) is required in some cases: f.e. governmental organizations, regardless of their core activities, are required to have a DPO. データ保護責任者(DPO)は、場合によっては必要となる。例えば、政府機関は、その主要な活動に関わらず、DPOを置くことが義務付けられている。
While the AI Act doesn't have a dedicated section on demonstrating accountability, it builds upon the GDPR's principles. The AI Act requires organizations to implement : AI法には説明責任の証明に関する専用のセクションはないが、GDPRの原則を基にしている。AI法は、組織に対して以下を実施することを求めている。
• a two-step risk management approach for AI systems. First, there's an initial classification process that categorizes the risk the AI poses to individuals (ranging from minimal to high). • AIシステムに対する2段階のリスクマネジメントアプローチ。まず、AIが個人に及ぼすリスクを分類する初期分類プロセスがある(リスクは最小から高まで)。
For high-risk systems, a more in-depth risk assessment is required. This dives deeper into the specific risks and identifies potential harms associated with the AI system, and is also called a FRIA (Fundamental Rights Impact Assessment) ; 高リスクのシステムについては、より詳細なリスクアセスメントが求められる。これは特定のリスクをさらに深く掘り下げ、AIシステムに関連する潜在的な被害を識別するもので、FRIA(基本権影響評価)とも呼ばれる。
• clear documentation of the design and implementation of AI systems ;
AIシステムの設計と実装に関する明確な文書化
• processes dealing with human oversight in high-risk AI systems. This could involve human intervention or approval for critical decisions made by the AI system ;
高リスクのAIシステムにおける人間による監視を扱うプロセス。これは、AIシステムが下す重要な決定に対する人間の介入や承認を伴う可能性がある。
• a formal incident reporting process for reporting incidents related to AI system malfunctions or unintended behaviour.  
AIシステムの故障や予期せぬ動作に関連するインシデントを報告するための正式なインシデント報告プロセス。
Making compliance straightforward: user stories for AI systems in light of GDPR and AI Act requirements コンプライアンスをシンプルに:GDPRとAI法の要件を踏まえたAIシステムのユーザーストーリー
Translating regulatory requirements into technical specifications for AI systems presents significant challenges. This document focuses on using user stories to bridge the gap between legal obligations and system development. AIシステムの技術仕様への規制要件の変換には、大きな課題がある。本書では、法的義務とシステム開発のギャップを埋めるためにユーザーストーリーを使用することに焦点を当てる。
User stories offer a practical approach to understanding and addressing regulatory requirements in the context of AI system design. By adopting a user-centric perspective, organizations can effectively translate legal obligations into actionable steps. ユーザーストーリーは、AIシステム設計の文脈における規制要件の理解と対応に実用的なアプローチを提供する。ユーザー中心の視点を採用することで、組織は法的義務を効果的に実行可能なステップに変換することができる。
This document uses a car insurance premium calculation system as an example to illustrate the application of user stories in the AI domain. 本書では、自動車保険の保険料計算システムを例に、AI領域におけるユーザーストーリーの適用について説明する。
Requirements of lawful, fair, and transparent processing 適法、公正、透明な処理の要件
User story: ensuring lawfulness – correct legal basis ユーザーストーリー:適法性の確保 - 正しい法的根拠
As a car insurance company implementing an AI system for car premium calculations, we need to conduct a thorough legal basis assessment to determine the most appropriate legal justification for collecting and using customer data in our AI system. This is important to comply with the GDPR principle of lawfulness. 自動車保険会社として自動車保険料計算にAIシステムを導入するにあたり、AIシステムにおける顧客データの収集と利用について、最も適切な法的根拠を決定するために、徹底的な法的根拠アセスメントを実施する必要がある。これは、適法性の原則を定めたGDPRに準拠するために重要である。
User story: ensuring lawfulness - prohibited data ユーザーストーリー:適法性の確保 - 禁止データ
As a car insurance company implementing an AI system for car premium calculations, we need to ensure our system complies with the GDPR and AI Act prohibitions on processing certain types of personal data. This includes special categories of personal data such as racial or ethnic origin, political opinions, religious beliefs, etc. This is important to comply with the GDPR's protection of sensitive personal data and the AI Act's emphasis on preventing discriminatory outcomes. 自動車保険会社として自動車保険料算出用AIシステムを導入するにあたり、特定の種類の個人データの処理に関するGDPRおよびAI法の禁止事項にシステムが準拠していることを確認する必要がある。これには、人種や民族、政治的意見、宗教的信念などの特別なカテゴリーの個人データが含まれる。これは、GDPRのセンシティブな個人データの防御およびAI法の差別的結果の防止の重視に準拠するために重要である。
User story: ensuring fairness ユーザーストーリー:公平性の確保
As a car insurance company implementing an AI system for car premium calculations, we need to ensure fair and non-discriminatory processing of customer data. This is important to comply with the GDPR principle of fairness and the specific AI Act's focus on preventing biased outcomes that could disadvantage certain groups. 自動車保険会社が自動車保険料の算出にAIシステムを導入する場合、顧客データの公平かつ差別のない処理を確保する必要がある。これは、GDPRの公平性の原則を順守し、特定のグループに不利益をもたらす可能性のある偏った結果を防ぐことに重点を置くAI法の特定の条項を順守するために重要である。
The car insurance company can achieve fairness by: 自動車保険会社は、以下の方法で公平性を確保できる。
• data source review: analyze the data sources used to train the AI system to identify and mitigate potential biases based on factors like postal code, gender, age, … . Ensure these factors are used in a way that is relevant and necessary for premium calculations, avoiding any discriminatory outcomes. • データソースのレビュー:AIシステムのトレーニングに使用されたデータソースを分析し、郵便番号、性別、年齢などの要因に基づく潜在的なバイアスを識別し、低減する。これらの要因が、保険料計算に適切かつ必要な方法で使用されていることを確認し、差別的な結果を回避する。
• fairness testing: regularly test the AI system for potential biases in its outputs. This might involve comparing car premium calculations for similar customer profiles to identify any unexplainable disparities. • 公平性のテスト:AIシステムの出力における潜在的なバイアスを定期的にテストする。これには、類似した顧客プロファイルの自動車保険料計算を比較し、説明できない格差を識別することが含まれる可能性がある。
• human oversight: implement a human review process for high-impact decisions made by the AI system, such as significant car premium increases or even policy denials. • 人的監視:大幅な保険料の値上げや保険契約の拒否など、AIシステムによる影響の大きい決定については、人的な審査プロセスを導入する。
User story: ensuring transparency ユーザーストーリー:透明性の確保
As a car insurance company implementing an AI system for car premium calculations, we need to be transparent about how our customers' data is used.  This is important to comply with the general GDPR principle of transparency and the specific AI Act’s focus on transparency for high-risk AI systems. 自動車保険会社が自動車保険料の算出にAIシステムを導入するにあたっては、顧客データの利用方法について透明性を確保する必要がある。これは、透明性に関する一般GDPR原則および高リスクAIシステムに関する透明性に焦点を当てたAI法の特定の条項を遵守するために重要である。
The car insurance company can achieve transparency by : 自動車保険会社は、以下によって透明性を確保することができる。
• a data protection statement : clearly explain in the company's data protection statement how customer data is collected, used, and stored in the AI system for premium calculations. • データ保護に関する声明:保険料計算用AIシステムにおける顧客データの収集、利用、保存方法について、会社のデータ保護に関する声明で明確に説明する。
• easy-to-understand explanations : provide customer-friendly explanations of the AI premium calculations process. This could involve using simple language, visuals, or FAQs to demystify the AI's role in determining car insurance premiums. • わかりやすい説明:AIによる保険料計算プロセスについて、顧客にわかりやすい説明を行う。これには、自動車保険料の決定におけるAIの役割を解明するための、わかりやすい言葉、図解、またはFAQの使用が含まれる可能性がある。
• right to access information : implement mechanisms for customers to easily access information about the data points used in their specific premium calculations. 情報へのアクセス権:顧客が自身の保険料算出に使用されたデータポイントに関する情報を簡単にアクセスできる仕組みを導入する。
Requirements of purpose limitation and data minimization 目的制限およびデータ最小化の要件
User story : ensuring purpose limitation ユーザーストーリー:目的制限の確保
As a car insurance company implementing an AI system for car premium calculations, we need to ensure that the data we collect from our customers is limited to what is strictly necessary for the accurate premium calculations. This is important to comply with the principle of purpose limitation under the GDPR. 自動車保険会社として自動車保険料算出にAIシステムを導入するにあたり、顧客から収集するデータは正確な保険料算出に必要不可欠な情報のみに限定する必要がある。これはGDPRの目的制限の原則を遵守するために重要である。
User story : ensuring data minimization ユーザーストーリー:データの最小化の確保
As a car insurance company implementing an AI system for car premium calculations, we need to implement a data minimization strategy to ensure we only collect and use the minimum amount of customer data necessary for the accurate premium calculations. This is important to comply with the principle of data minimization under the GDPR. 自動車保険会社として、自動車保険料算出のためのAIシステムを導入するにあたり、正確な保険料算出に必要な最低限の顧客データのみを収集・使用することを確保するためのデータ最小化戦略を実施する必要がある。これは、GDPRのデータ最小化の原則を順守するために重要である。
Requirements of data accuracy and up-to-dateness データの正確性と最新性の要件
User story : ensuring data accuracy and up-to-dateness ユーザーストーリー:データの正確性と最新性の確保
As a car insurance company implementing an AI system for car premium calculations, we need to implement processes to ensure the accuracy and up-to-dateness of customer data used in the system. This is important to comply with the principle of data accuracy under the GDPR. 自動車保険会社が自動車保険料算出にAIシステムを導入するにあたり、システムで使用する顧客データの正確性と最新性を確保するプロセスを導入する必要がある。これは、GDPRのデータ正確性の原則を遵守するために重要である。
The car insurance company can achieve accuracy and up-to-dateness of customer data by: 自動車保険会社は、以下の方法で顧客データの正確性と最新性を確保できる。
• data verification mechanisms:  offer customers easy-to-use mechanisms to verify and update their personal data within the car insurance system. This could be through an online portal, mobile app, or dedicated phone line. • データ検証メカニズム:顧客が自動車保険システム内で個人データを検証・更新できる使いやすいメカニズムを提供する。これはオンラインポータル、モバイルアプリ、専用電話回線などを通じて行うことができる。
• regular data refresh: establish procedures for regularly refreshing customer data used in the AI system. This might involve requesting customers to update their information periodically or integrating with external data sources (e.g., driving record databases) to automatically update relevant data points. • 定期的なデータ更新:AIシステムで使用する顧客データを定期的に更新する手順を確立する。これには、顧客に定期的な情報更新を依頼することや、外部データソース(運転記録データベースなど)と統合して関連するデータポイントを自動的に更新することが含まれる可能性がある。
• data quality alerts: implement alerts for missing or potentially inaccurate data points in customer profiles. This allows the company to proactively reach out to customers and request updates. • データ品質に関するアラート:顧客プロファイルにおける欠落データや不正確な可能性のあるデータポイントに関するアラートを導入する。これにより、企業は顧客に積極的に連絡し、更新を依頼することができる。
• clearly communicate to customers their right to rectification under the GDPR. This right allows them to request corrections of any inaccurate personal data or completion of missing data used in the premium calculations system. • GDPRに基づく訂正の権利を顧客に明確に伝える。この権利により、顧客は、保険料計算システムで使用される不正確な個人データの訂正や、欠落データの補完を要求することができる。
User story : ensuring use of unbiased data ユーザーストーリー:偏りのないデータの使用を確保する
As a car insurance company implementing an AI system for car premium calculations, we need to ensure that the data used to train and operate the system is of free from bias. This is important to comply with the specific AI Act's focus on preventing biased outcomes that could disadvantage certain groups. 自動車保険会社が自動車保険料算出にAIシステムを導入する場合、システムを訓練し運用する際に使用するデータがバイアスのかかっていないものであることを保証する必要がある。これは、特定のグループに不利益をもたらす可能性のあるバイアスのかかった結果を防ぐことに重点を置く特定のAI法を遵守するために重要である。
The car insurance company can achieve unbiased data for fair AI premium calculations by : 自動車保険会社は、公平なAI保険料算出のためのバイアスのかかっていないデータを以下によって達成できる。
• data source evaluation:  Analyze the sources of data used to train the AI system. Identify potential biases based on factors like socioeconomic background in the data collection process. データソースの評価:AIシステムを訓練するために使用するデータのソースを分析する。データ収集プロセスにおける社会経済的背景などの要因に基づいて潜在的なバイアスを識別する。
• regular monitoring and bias testing:  Continuously monitor the AI system's performance for potential biases in its outputs. Conduct regular bias testing to identify and address any discriminatory outcomes in premium calculations. 定期的なモニタリングとバイアス・テスト:AIシステムの出力における潜在的なバイアスを継続的に監視する。定期的なバイアス・テストを実施し、保険料計算における差別的な結果を識別して対処する。
• human oversight: implement a human review process for high-impact decisions made by the AI system, such as significant car premium increases or even policy denials. This allows human intervention to prevent biased out comes. 人的監視:大幅な保険料の値上げや保険契約の拒否など、AIシステムによる影響度の高い決定に対して、人的なレビュープロセスを実施する。これにより、バイアスのかかった結果を防ぐために人的介入が可能となる。
• transparency with customers:  Inform customers in the data protection statement about the company's commitment to using high-quality, unbiased data in the AI system. 顧客への透明性:データ保護に関する声明で、AIシステムに高品質で偏りのないデータを使用するという企業の取り組みについて顧客に通知する。
Requirement of secure processing 安全な処理の要件
User story : implementing appropriate security measures for car insurance AI  ユーザーストーリー:自動車保険AIに適切なセキュリティ対策を導入する
As a car insurance company implementing an AI system for car premium calculations, we need to conduct a thorough risk assessment to identify potential threats and vulnerabilities that could impact our customer data. This assessment will consider various factors, including the type of data (financial data vs. basic customer information), processing activities, and potential impact of a security breach. Based on this assessment, we will implement appropriate technical and organizational measures (TOMs) to mitigate these risks and ensure the security of our customer data. This is important to comply with the requirement of security of the processing under the GDPR. 自動車保険会社として自動車保険料算出にAIシステムを導入するにあたり、顧客データに影響を与える可能性のある潜在的な脅威や脆弱性を識別するために、徹底的なリスクアセスメントを実施する必要がある。このアセスメントでは、データのタイプ(財務データと基本的な顧客情報の比較)、処理活動、セキュリティ侵害の潜在的な影響など、さまざまな要因を考慮する。このアセスメントに基づき、これらのリスクを低減し、顧客データのセキュリティを確保するために、適切な技術的および組織的対策(TOMs)を実施する。これは、GDPRにおける処理のセキュリティ要件を遵守するために重要である。
Examples of TOMs may include: TOMsの例としては、以下が挙げられる。
• data encryption: encrypting customer data at rest and in transit to protect confidentiality ; • データ暗号化:顧客データの保存中および転送中のデータを暗号化し、機密性を防御する。
• access controls: implementing strict access controls to limit who can access and modify customer data ; • アクセス管理:顧客データへのアクセスおよび変更を許可するユーザーを制限するための厳格なアクセス管理を実施する。
• regular penetration testing: conducting penetration tests to identify and address vulnerabilities in the system's security posture ; • 定期的な侵入テスト:システムのセキュリティ状態における脆弱性を識別し、対処するための侵入テストを実施する。
• logging and auditing: maintaining detailed logs of system activity for monitoring and investigation of any suspicious behavior. • ログ記録および監査:疑わしい行動の監視および調査を行うためのシステム活動の詳細なログを維持する。
User story : implementing specific security measures for car insurance AI ユーザーストーリー:自動車保険AIに特定のセキュリティ対策を導入する
As a car insurance company implementing an AI system for car premium calculations, we recognize that AI systems introduce specific risks beyond traditional data processing. These risks might include potential bias in training data or manipulation by unauthorized actors. To address these specific risks we will implement additional measures in conjunction with the baseline GDPR-compliant TOMs. This is important to comply with the requirement of security of the processing under the AI Act. 自動車保険会社として、自動車保険料の算出にAIシステムを導入するにあたり、AIシステムには従来のデータ処理にはない特有のリスクが伴うことを認識している。こうしたリスクには、トレーニングデータの潜在的なバイアスや、権限のない者による操作などが含まれる可能性がある。こうした特有のリスクに対処するため、基本的なGDPR準拠のTOMと併せて追加の対策を実施する。これは、AI法に基づく処理のセキュリティ要件を遵守するために重要である。
Examples of these additional measures may include: こうした追加の対策の例としては、以下が挙げられる。
•  data validation and quality assurance: implementing processes to ensure the quality and integrity of the data used to train and operate the AI system. This could involve data provenance tracking and anomaly detection to identify potential biases or manipulation attempts. • データ検証および品質保証:AIシステムのトレーニングおよび運用に使用されるデータの品質と完全性を確保するためのプロセスの導入。これには、潜在的なバイアスや操作の試みを識別するためのデータ由来の追跡および異常検知が含まれる可能性がある。
•  human oversight: establishing a framework for human oversight throughout the AI system's lifecycle. This could involve human review of high-risk data points, monitoring the system's performance for fairness and accuracy, and intervening in critical decision-making pathways. • 人間による監視:AIシステムのライフサイクル全体を通じて人間による監視を行うための枠組みの確立。これには、リスクの高いデータポイントの人間によるレビュー、システムの公平性および正確性に関するパフォーマンスのモニタリング、および重要な意思決定経路への介入が含まれる可能性がある。
Requirement of (the ability of demonstrating) accountability 説明責任の要件(説明能力
User story : documenting the legal basis ユーザーストーリー:法的根拠の文書化
As a car insurance company implementing an AI system for car premium calculations, we need to have a clear and concise record of the legal basis for collecting and using customer data in the AI system.  This is important to comply with the GDPR principle of (demonstrating) accountability (also in the context of audits or investigations). 自動車保険会社として自動車保険料算出にAIシステムを導入するにあたり、AIシステムにおける顧客データの収集と利用に関する法的根拠を明確かつ簡潔に記録する必要がある。これは、GDPRの原則である説明責任(監査や調査の観点からも)を遵守するために重要である。
User story : conducting a Fundamental Rights Impact Assessment (FRIA) ユーザーストーリー:基本権影響評価(FRIA)の実施
As a car insurance company implementing an AI system for car premium calculations, we need to develop and maintain a comprehensive FRIA (Fundamental Rights Impact Assessment) to proactively identify and mitigate potential risks associated with this AI system. This is important to comply with the AI Act's requirements for high-risk AI systems and promote fair and non-discriminatory premium calculations for our customers. 自動車保険会社として自動車保険料の算出にAIシステムを導入するにあたり、このAIシステムに関連する潜在的なリスクを事前に識別し、低減するために、包括的なFRIA(基本権影響評価)を策定し、維持する必要がある。これは、高リスクAIシステムに対するAI法の要件を遵守し、顧客に対して公平かつ差別のない保険料計算を促進するために重要である。
References 参考文献
0 This paper also utilized spelling and grammar checking, and a large language model, as a tool for refining and correcting initial text sections. 0 本稿では、初期のテキストセクションの洗練と修正のツールとして、スペルと文法のチェック、および大規模な言語モデルも活用した。
i Regulation (EU)2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), Official Journal of the European Union L 119/1, 4.5.2016, p. 1–88. i 2016年4月27日付欧州議会および理事会規則(EU)2016/679、個人データの処理における自然人の防御および当該データの自由な移動に関する 、および指令 95/46/EC の廃止(一般データ保護規則)、欧州連合官報 L 119/1、2016年5月4日、1~88ページ。
 ii Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence (Artificial Intelligence Act), Official Journal of the European Union L 199/1, 12.7.2024, p. 1–120.   ii 2024年6月13日付欧州議会および理事会規則(EU)2024/1689、人工知能に関する統一規則(人工知能法)、欧州連合官報L 199/1、2024年7月12日、1~120ページ。
iii Art. 20, §1, 1°, Data Protection Authority Act of 3 December 2017, amended by the Act of 25 December 2023. iii 2017年12月3日付データ保護当局法第20条1項1号、2023年12月25日付法により改正。
iv Artificial Intelligence Act, Article 3 (1) iv 人工知能法第3条(1)

 

| | Comments (0)

2024.09.24

欧州 EUROPOL AIと警察業務 - 法執行機関における人工知能の利点と課題

こんにちは、丸山満彦です。

EUropolがAIと警察の業務に関する報告署を公表していました...法執機関がAIを使うことの利点と課題をまとめたものです。EUはAI法があり、日本ではそれがないものの、日本でも参考になるところはあるように思いました...

ポイントは...

Enhanced Law Enforcement Capabilities: AI technologies can significantly improve law enforcement operations, from advanced data analytics to biometric systems. 法執行能力の向上:AI技術は、高度なデータ分析から生体認証システムに至るまで、法執行業務を大幅に改善することができる。
Improved Operational Efficiency: AI’s ability to handle large datasets and utilise Natural Language Processing (NLP) can streamline workflows while upholding privacy standards. 業務効率の改善:AIの大量データセット処理能力と自然言語処理(NLP)の活用により、プライバシー標準を維持しながらワークフローを合理化できる。
Real-Time Insights in Crisis Situations: AI tools can rapidly analyse unstructured data, providing critical insights for decision-making in emergency situations. 危機的状況におけるリアルタイムの洞察:AIツールは非構造化データを迅速に分析し、緊急事態における意思決定に重要な洞察をもたらすことができる。
International Cooperation: AI-driven tools, such as machine translation, are vital for seamless international collaboration in cross-border investigations. 国際協力:国境を越えた捜査におけるシームレスな国際協力には、機械翻訳などのAI主導のツールが不可欠である。
Technical Infrastructure and Expertise: The successful development and deployment of AI in law enforcement requires robust technological infrastructure and specialised expertise. 技術インフラと専門知識:法執行機関におけるAIの開発と展開を成功させるには、強固な技術インフラと専門知識が必要である。
Navigating Legal and Ethical Challenges: Integrating AI responsibly requires navigating complex legal frameworks, ensuring accountability, transparency, and protection of civil liberties. 法的および倫理的課題への対応:AIを責任を持って統合するには、複雑な法的枠組みを理解し、説明責任、透明性、市民的自由の防御を確保する必要がある。
Bias Mitigation and Training: Comprehensive training programmes and measures to address bias in AI systems are essential to promote fairness, justice, and impartiality in law enforcement practices. バイアス低減とトレーニング: 包括的なトレーニングプログラムとAIシステムにおけるバイアスに対処するための措置は、法執行の実践における公平性、正義、公平性を促進するために不可欠である。

 

EUROPOL

・2024.09.10 AI and policing

AI and policing AIと警察業務
The benefits and challenges of artificial intelligence for law enforcement 法執行機関における人工知能の利点と課題
Artificial Intelligence (AI) technology has the ability to completely transform policing; from advanced criminal analytics that reveal trends in vast amounts of data, to biometrics that allow the prompt and unique identification of criminals. 人工知能(AI)テクノロジーは、警察業務を完全に変革する能力を備えている。膨大なデータから傾向を明らかにする高度な犯罪分析から、犯罪者を迅速かつ確実に特定する生体認証まで、その能力は多岐にわたる。
With the AI and policing report, produced through the Observatory function of the Europol Innovation Lab, we aim to provide insight into the present and future capabilities that AI offers, projecting a course for a more efficient, responsive and effective law enforcement model. This report offers in-depth exploration of the applications and implications of AI in the field of law enforcement, underpinned by the European Union's regulatory framework. It also looks at concerns about data bias, fairness, and potential threats on privacy, accountability, human rights protection and discrimination, which are particularly relevant in the background of the EU's Artificial Intelligence Act. 欧州刑事警察機構(ユーロポール)のイノベーションラボのオブザーバ機能を通じて作成されたAIと法執行に関する報告書では、AIが現在および将来にわたって提供する能力について洞察を提供し、より効率的で迅速かつ効果的な法執行モデルの方向性を示すことを目的としている。この報告書では、欧州連合(EU)の規制枠組みを基盤として、法執行分野におけるAIの応用と影響について詳細に検討している。また、データ・バイアス、公平性、プライバシー、説明責任、人権保護、識別性に対する潜在的な脅威に関する懸念についても考察しており、これらは特にEUの人工知能法の背景に関連している。

 

・[PDF] AI and policing - The benefits and challenges of artificial intelligence for law enforcement

20240924-55514

・[DOCX][PDF] 仮訳

 

目次...

Foreword まえがき
Executive Summary エグゼクティブサマリー
Introduction 序文
Background 背景
Objectives 目的
Key takeaways for law enforcement 法執行機関にとって重要なこと
Applications of AI in law enforcement 法執行におけるAIの適用手法
Data analytics データ分析
Large and complex data sets  大規模で複雑なデータセット
Predictive Policing   予測的取り締まり
OSINT and SOCMINT OSINTとSOCMINT
Natural Language Processing (NLP) 自然言語処理(NLP)
Digital forensics  デジタル・フォレンジック
Computer vision and biometrics コンピュータビジョンとバイオメトリクス
Video monitoring and analysis ビデオモニタリングと分析
Image classification 画像分類
Biometrics バイオメトリクス
Biometric categorisation  バイオメトリクス分類
Improved resource allocation and strategic planning 資源配分と戦略計画の改善
Generative AI 生成的AI
Technological limitations and challenges 技術的な限界と課題
Ethical and social issues in AI for law enforcement 法執行のためのAIにおける倫理的・社会的問題
Data bias and fairness データのバイアスと公平性
Privacy and surveillance プライバシーと監視
Accountability and transparency 説明責任と透明性
Human Rights and Discrimination 人権と識別的差別
The EU Artificial Intelligence Act: overview and context EU人工知能法:概要と背景
Objectives, scope and key provisions 目的、範囲、主要規定
Prohibited uses of AI  禁止されているAIの使用
Law enforcement exceptions to prohibited practices 禁止された慣行に対する警察当局の例外
High-Risk AI Systems 高リスクAIシステム
The filter mechanism for the evaluation of high-risk systems 高リスクシステムを評価するためのフィルターメカニズム
Implications for law enforcement agencies 法執行機関への影響
Innovation and regulatory sandboxes イノベーションと規制のサンドボックス
Balancing the benefits and restrictions メリットと制約のバランスを取る
Addressing concerns of bias and discrimination バイアスや差別の懸念への対応
Safeguarding privacy and data protection プライバシーとデータ保護の保護
Future outlook and recommendations 今後の展望と提言
Potential for technological advancements 技術的進歩の可能性
Building public trust and acceptance 国民の信頼と受容を築く
Strengthening collaboration and knowledge sharing within LEAs  LEA内での協力と知識の共有を強化する。
Conclusion 結論
AI Glossary AI用語集
Endnotes 巻末資料

 

 

エグゼクティブサマリー...

Executive Summary エグゼクティブサマリー
This report aims to provide the law enforcement community with a comprehensive understanding of the various applications and uses of artificial intelligence (AI) in their daily operations. It seeks to serve as a textbook for internal security practitioners, offering guidance on how to responsibly and compliantly implement AI technologies. In addition to showcasing the potential benefits and innovative applications of AI, such as AI-driven data analytics, the report also aims to raise awareness about the potential pitfalls and ethical considerations of AI use in law enforcement. By addressing these challenges, the report endeavours to equip law enforcement professionals with the knowledge necessary to navigate the complexities of AI, ensuring its effective and ethical deployment in their work. The report focuses on large and complex data sets, open-source intelligence (OSINT) and natural language processing (NLP). It also delves into the realm of digital forensics, computer vision, biometrics, and touches on the potential of generative AI. 本報告書は、日常業務における人工知能(AI)の様々な適用と使用について、包括的な理解を法執行コミュニティに提供することを目的としている。また、内部セキュリティの実務家にとって教科書となり、責任を持ってコンプライアンスに基づきAI技術を導入する方法についての指針を提供することを目指している。本報告書は、AIを活用したデータ分析など、AIの潜在的な利点や革新的な応用例を紹介するだけでなく、法執行におけるAI活用の潜在的な落とし穴や倫理的配慮についての認識を高めることも目的としている。これらの課題を取り上げることで、報告書は法執行の専門家がAIの複雑さに対処するために必要な知識を身につけ、業務における効果的かつ倫理的な展開を確保するよう努めている。本報告書は、大規模で複雑なデータセット、オープンソースインテリジェンス(OSINT)、自然言語処理(NLP)に焦点を当てている。また、デジタル・フォレンジック、コンピュータ・ビジョン、バイオメトリクスの領域にも踏み込み、生成的AIの可能性についても触れている。
The use of AI by law enforcement is increasingly scrutinised due to its ethical and societal dimensions. The report attempts to address concerns about data bias, fairness, and potential encroachments on privacy, accountability, human rights protection and discrimination. These concerns become particularly relevant in the context of the EU’s Artificial Intelligence Act (EU AI Act), an overview of which is detailed in this report, as well as its broader context. The report emphasises the significance of the forthcoming regulation, detailing its objectives, scope, and principal provisions. The Act’s implications for law enforcement agencies are also discussed, emphasising the balance between fostering innovation and ensuring ethical use beyond compliance. 法執行機関によるAIの利用は、その倫理的・社会的側面からますます精査されるようになっている。本報告書は、データのバイアス、公平性、プライバシー侵害の可能性、説明責任、人権保護、識別的な懸念に対処することを試みている。これらの懸念は、EUの人工知能法(EU AI法)の文脈に特に関連しており、その概要は本報告書で詳述されている。本報告書では、間もなく施行される規制の重要性を強調し、その目的、範囲、主要条項について詳述している。また、法執行機関に対する同法の影響についても議論し、イノベーションの育成とコンプライアンスを超えた倫理的利用の確保とのバランスを強調している。
Central to the report is the assessment of how law enforcement can maintain a delicate balance between leveraging AI’s benefits and addressing its inherent restrictions. Strategies for addressing bias, privacy concerns, and the pivotal role of accountability frameworks, are elaborated. The report highlights the importance of innovative regulatory environments. 報告書の中心は、法執行機関がAIの利点を活用することと、AIに内在する制約に対処することの間で、いかに微妙なバランスを保つことができるかについてのアセスメントである。バイアス、プライバシーへの懸念、説明責任の枠組みの極めて重要な役割に対処するための戦略が詳述されている。報告書は、革新的な規制環境の重要性を強調している。
The concluding section forecasts the trajectory of AI in law enforcement, underscoring the potential technological advancements on the horizon. It also emphasises the need for public trust and acceptance, and the importance of collaboration and knowledge sharing. This comprehensive document serves as both a guide and a reflective tool for stakeholders vested in the confluence of AI and law enforcement within the European landscape. 結論として、法執行におけるAIの軌跡を予測し、技術的進歩の可能性を強調している。また、社会からの信頼と受容の必要性、協力と知識の共有の重要性も強調している。この包括的な文書は、欧州におけるAIと法執行の合流点に身を置く関係者にとって、ガイドであると同時に内省的なツールでもある。

 

 

その説明

・2024.09.23 How AI Can Strengthen Law Enforcement: Insights from Europol's New Report

How AI Can Strengthen Law Enforcement: Insights from Europol's New Report AIが法執行を強化する方法:欧州刑事警察機構(Europol)の最新報告書からの洞察
Europol’s Innovation Lab highlights the transformative potential of AI in law enforcement, focusing on ethical and transparent applications of the technology to combat crime more effectively 欧州刑事警察機構(Europol)のイノベーション・ラボは、犯罪対策にAIをより効果的に活用するための倫理的かつ透明性の高い応用に焦点を当て、法執行におけるAIの変革の可能性を強調している
A newly published report by Europol’s Innovation Lab explores the ways in which artificial intelligence (AI) can revolutionise law enforcement operations. By harnessing AI's advanced capabilities, law enforcement agencies can process vast datasets more efficiently, enhancing their ability to detect and counter criminal activity. AI tools can streamline decision-making processes at both operational and strategic levels, enabling authorities to better identify and address criminal threats at their core. 欧州刑事警察機構(ユーロポール)のイノベーション・ラボが新たに発表した報告書では、人工知能(AI)が法執行業務に革命をもたらす可能性について考察している。AIの高度な能力を活用することで、法執行機関は膨大な量のデータをより効率的に処理することができ、犯罪行為の検知と対策能力が強化される。AIツールは、運用レベルと戦略レベルの両方で意思決定プロセスを合理化し、当局が犯罪の脅威をより正確に識別し、対処することを可能にする。
The report also delves into the implications of the recently adopted EU Artificial Intelligence Act, which imposes regulations on law enforcement’s use of AI. Key provisions include a ban on certain applications, such as real-time biometric identification in public spaces, and stringent oversight of high-risk AI systems. While these regulations present challenges, they also foster innovation by encouraging the creation of regulatory sandboxes. The report underscores that AI’s advantages must be carefully weighed against potential risks to ensure fairness, transparency, and the protection of privacy. Close collaboration between law enforcement agencies, technology developers, and policymakers will be crucial for the ethical and effective deployment of AI. また、本報告書では、法執行機関によるAIの利用に規制を課す、最近採択されたEUの人工知能法の影響についても詳しく掘り下げている。主な規定には、公共の場でのリアルタイムの生体認証識別などの特定のアプリケーションの禁止、および高リスクのAIシステムに対する厳格な監視が含まれている。これらの規制は課題を提起する一方で、規制サンドボックスの創出を奨励することでイノベーションを促進する。報告書では、公平性、透明性、プライバシーの保護を確保するために、AIの利点と潜在的なリスクを慎重に比較検討する必要があると強調している。AIの倫理的かつ効果的な展開には、法執行機関、技術開発者、政策立案者間の緊密な連携が不可欠である。
Europol’s Executive Director Catherine De Bolle said, 欧州刑事警察機構(ユーロポール)のエグゼクティブ・ディレクターであるキャサリン・デ・ボル氏は次のように述べた。
Artificial intelligence will profoundly reshape the law enforcement landscape, offering unprecedented tools to enhance our ability to safeguard public safety. Europol is committed to staying at the forefront of these technological advancements. This report from the Innovation Lab not only reflects our dedication to the responsible adoption of AI, but also serves as a guide for the broader European law enforcement community as we navigate this new era of digital policing. 「人工知能は法執行のあり方を大きく変えるでだろう。そして、公共の安全を守る私たちの能力を強化する、これまでにないツールを提供してくれるだろう。ユーロポールは、こうした技術の進歩の最前線に立ち続けることを約束する。このイノベーション・ラボの報告書は、AIの責任ある導入に対する私たちの献身を反映しているだけでなく、デジタル警察の新しい時代を切り開くにあたり、欧州のより広範な法執行機関の指針ともなるものである。」
Key takeaways from the report: 報告書の主な要点:
Enhanced Law Enforcement Capabilities: AI technologies can significantly improve law enforcement operations, from advanced data analytics to biometric systems. 法執行能力の向上:AI技術は、高度なデータ分析から生体認証システムに至るまで、法執行業務を大幅に改善することができる。
Improved Operational Efficiency: AI’s ability to handle large datasets and utilise Natural Language Processing (NLP) can streamline workflows while upholding privacy standards. 業務効率の改善:AIの大量データセット処理能力と自然言語処理(NLP)の活用により、プライバシー標準を維持しながらワークフローを合理化できる。
Real-Time Insights in Crisis Situations: AI tools can rapidly analyse unstructured data, providing critical insights for decision-making in emergency situations. 危機的状況におけるリアルタイムの洞察:AIツールは非構造化データを迅速に分析し、緊急事態における意思決定に重要な洞察をもたらすことができる。
International Cooperation: AI-driven tools, such as machine translation, are vital for seamless international collaboration in cross-border investigations. 国際協力:国境を越えた捜査におけるシームレスな国際協力には、機械翻訳などのAI主導のツールが不可欠である。
Technical Infrastructure and Expertise: The successful development and deployment of AI in law enforcement requires robust technological infrastructure and specialised expertise. 技術インフラと専門知識:法執行機関におけるAIの開発と展開を成功させるには、強固な技術インフラと専門知識が必要である。
Navigating Legal and Ethical Challenges: Integrating AI responsibly requires navigating complex legal frameworks, ensuring accountability, transparency, and protection of civil liberties. 法的および倫理的課題への対応:AIを責任を持って統合するには、複雑な法的枠組みを理解し、説明責任、透明性、市民的自由の防御を確保する必要がある。
Bias Mitigation and Training: Comprehensive training programmes and measures to address bias in AI systems are essential to promote fairness, justice, and impartiality in law enforcement practices. バイアス低減とトレーニング: 包括的なトレーニングプログラムとAIシステムにおけるバイアスに対処するための措置は、法執行の実践における公平性、正義、公平性を促進するために不可欠である。
About Europol’s Innovation Lab 欧州刑事警察機構(ユーロポール)イノベーションラボについて
Europol’s Innovation Lab is dedicated to identifying, promoting, and developing cutting-edge solutions that enhance the operational capacity of EU law enforcement agencies. By leveraging new technologies, the Innovation Lab helps investigators and analysts work more effectively, reducing redundancy, fostering synergies, and optimising resources. 欧州刑事警察機構(ユーロポール)イノベーションラボは、EUの法執行機関の運用能力を強化する最先端のソリューションを識別、促進、開発することに専念している。新しいテクノロジーを活用することで、イノベーションラボは、捜査官や分析官がより効果的に業務を遂行できるよう支援し、重複を削減し、相乗効果を促進し、リソースを最適化する。
Aligned with the strategic goals of Europol's 2020+ Strategy, the Innovation Lab remains at the forefront of law enforcement innovation and research. Its work is structured around four core pillars: managing projects to support operational needs, monitoring technological trends, maintaining networks of experts, and serving as the secretariat for the EU Innovation Hub for Internal Security. 欧州刑事警察機構(ユーロポール)の2020+戦略の戦略目標に沿って、イノベーション・ラボは法執行機関におけるイノベーションと研究の最前線に位置している。その業務は、4つの主要な柱を中心に構成されている。すなわち、業務上のニーズをサポートするプロジェクトの管理、技術動向の監視、専門家のネットワークの維持、そしてEU域内安全保障のためのイノベーション・ハブの事務局としての役割である。
Digital Challenges デジタルの課題
This report is part of Europol’s ongoing efforts to highlight how digitalisation has transformed both crime and policing, particularly as technology, encrypted communication and data complexity escalate. この報告書は、デジタル化が犯罪と警察業務の両方にどのような変化をもたらしたかを明らかにする欧州刑事警察機構(ユーロポール)の継続的な取り組みの一環であり、特にテクノロジー、暗号化コミュニケーション、データの複雑化が加速していることを強調している。
By fostering innovation and enhancing international collaboration, Europol is working to equip law enforcement agencies with the tools and knowledge to stay ahead of criminals exploiting digital technology. 欧州刑事警察機構(ユーロポール)は、イノベーションを促進し、国際的な協力を強化することで、デジタルテクノロジーを悪用する犯罪者に先手を打つためのツールと知識を法執行機関に提供する取り組みを行っている。
From AI to encryption, home routing and quantum computing, read more about Europol’s latest publications on digital challenges. AIから暗号化、ホームルーティング、量子コンピューティングまで、デジタルの課題に関する欧州刑事警察機構(ユーロポール)の最新刊行物について、さらに詳しくお読みください。

 

日本の警察のAIの活用についての実証実験については、

令和4年警察白書にありますね...

● 警察庁 - 警察白書

令和4年警察白書 - 第1部 特集・トピックス - 特集 技術革新による社会の変容と警察の新たなる展開2 AIをはじめとする先端技術等の活用による警察力の強化に向けた取組

(1)先端技術を用いた実証実験等

① AIを活用した疑わしい取引に関する情報の分析に係る実証実験
② AIを活用したSNSにおける規制薬物に関する情報等の探索・分析に係る実証実験
③ AIを活用した車種判別に係る実証実験

予算等については、こちら

令和5年度行政事業レビュー

・・[PDF] 人工知能等先端技術を用いた警察業務高度化・効率化に係る実証実験等


今年の7月のニュース。 国会答弁用AI(^^;;

NHK

警察庁 生成AI活用で資料作成など業務効率化 今年度から検証へ


過去の国会答弁や、警察白書などから警察特有の用語や文脈を学習させ、資料や通達の文案の作成、外国の文書の翻訳、各地の警察からの問い合わせへの回答などにどの程度対応できるか、また、作業時間をどれくらい縮減できるかなどを評価・分析するということです。


 

| | Comments (0)

米国 国家情報長官室(ODNI)、FBI、CISA イランによの選挙介入に関する共同声明 (2024.09.18)

こんにちは、丸山満彦です。

国家情報長官室(ODNI)、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)が、イランによの選挙介入についての警告を公表していますね...

大統領選を控えて、きっちり活動をしている感じです...

 

Office of the Director of National Intelligence; ODNI

・2024.09.18 Joint ODNI, FBI, and CISA Statement

 

Joint ODNI, FBI, and CISA Statement ODNI、FBI、CISAの共同声明
WASHINGTON, D.C. – Today, the Office of the Director of National Intelligence (ODNI), the Federal Bureau of Investigation (FBI), and the Cybersecurity and Infrastructure Security Agency (CISA) released the following statement: ワシントンD.C.発 – 本日、国家情報長官室(ODNI)、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、以下の声明を発表した。
“Since the 19 August 2024 joint ODNI, FBI, and CISA public statement on Iranian Election Influence Efforts, the FBI has learned additional details about Iran’s efforts to sow discord and shape the outcome of U.S. elections. 「2024年8月19日のODNI、FBI、CISAによるイランの選挙介入に関する共同声明以来、FBIは、米国の選挙結果に影響を与えるために不和を煽るイランの取り組みについて、さらなる詳細を把握した。
Iranian malicious cyber actors in late June and early July sent unsolicited emails to individuals then associated with President Biden’s campaign that contained an excerpt taken from stolen, non-public material from former President Trump’s campaign as text in the emails. There is currently no information indicating those recipients replied. Furthermore, Iranian malicious cyber actors have continued their efforts since June to send stolen, non-public material associated with former President Trump’s campaign to U.S. media organizations. 6月下旬から7月上旬にかけて、イランの悪意あるサイバー活動家が、バイデン大統領のキャンペーンに関係する個人に対して、トランプ前大統領のキャンペーンから盗まれた非公開資料の一部をメールのテキストとして含む迷惑メールを送信した。現時点では、これらの取得者が返信したことを示す情報は存在しない。さらに、イランの悪意あるサイバー活動家は、6月以来、トランプ前大統領のキャンペーンに関連する盗まれた非公開資料を米国のメディア組織に送信する活動を継続している。
This malicious cyber activity is the latest example of Iran’s multi-pronged approach, as noted in the joint August statement, to stoke discord and undermine confidence in our electoral process. As the lead for threat response, the FBI has been tracking this activity, has been in contact with the victims, and will continue to investigate and gather information in order to pursue and disrupt the threat actors responsible. Foreign actors are increasing their election influence activities as we approach November. In particular, Russia, Iran, and China are trying by some measure to exacerbate divisions in U.S. society for their own benefit, and see election periods as moments of vulnerability. Efforts by these, or other foreign actors, to undermine our democratic institutions are a direct threat to the U.S. and will not be tolerated. この悪意あるサイバー活動は、8月の共同声明で指摘されたように、不和を煽り、選挙プロセスへの信頼を損なうというイランの多角的なアプローチの最新の例である。脅威対応の主導者として、FBIはこうした活動を追跡し、被害者と連絡を取り合っており、今後も引き続き調査と情報収集を行い、責任のある脅威行為者を追跡し、その活動を妨害していく。11月に近づくにつれ、外国勢力による選挙への影響活動は増加している。特に、ロシア、イラン、中国は、米国社会の分裂を悪化させ、自国の利益を図ろうとしており、選挙期間を脆弱性のある瞬間と捉えている。これらの外国勢力、あるいはその他の外国勢力による、わが国の民主的機構を弱体化させようとする試みは、米国に対する直接的な脅威であり、決して許されるものではない。

 

1_20240922113601

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.18 米国 CISA FBI ハッキングされた有権者情報の虚偽の主張は、米国の選挙に対する不信感を煽る意図がある可能性が高いと警鐘... (2024.09.12)

・2024.09.11 米国 CISA 選挙セキュリティチェックリスト(サイバー編と物理編) (2024.09.09)

・2024.08.22 米国 ODNI FBI CISA イランによる選挙への影響工作に関する共同声明 (2024.08.19)

・2024.08.19 米国 FBI CISA 知っておいてください: 投票期間中のランサムウェアによる混乱は、投開票プロセスのセキュリティや正確性には影響ありません!

・2024.07.25 米国 司法省監察官室 米国の選挙に対する外国の悪質な影響力の脅威に関する情報共有を調整するための司法省の取り組みの評価

・2024.07.09 米国 CISA 選挙関係者のための運用セキュリティガイド

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2024.06.07 欧州議会 欧州議会選挙に対する偽情報に対する準備は整った(選挙期間中)

・2024.06.02 欧州会計監査院がEU選挙を控えているので偽情報とサイバーセキュリティには気をつけろといってますね...

・2024.04.22 米国 CISA FBI ODNI 外国の悪質な影響力工作の手口から選挙インフラを守るためのガイダンス

・2024.04.14 米国 EPIC他 テック・プラットフォーマーにAIによる選挙偽情報に対抗するように要請

・2023.12.12 カナダ サイバーセキュリティセンター 選挙に対するサイバー脅威、政治家候補へのサイバーセキュリティ・アドバイス他

・2023.11.23 ENISA 2024年のEU議会議員選挙に向けたサイバー演習

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

・2023.08.25 シンガポール CSR 大統領選に向け立候補者、有権者、それぞれに向けてサイバー関連の注意喚起

・2023.08.07 米国 MITRE グローバル民主主義への脅威

・2022.08.14 米国 国土安全保障省 監察官室 国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要

・2022.06.06 NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ(52大学から56チームが参加)

 

| | Comments (0)

2024.09.23

中国 「人工知能生成の合成コンテンツ識別に関する措置(意見募集稿)」と国家標準 「人工知能が生成したコンテンツのラベル付け方法」に対する意見募集

こんにちは、丸山満彦です。

中国が、人工知能生成の合成コンテンツ識別に関する措置(意見募集稿)」と準 「人工知能が生成したコンテンツのラベル付け方法」に対する意見募集を行っていますね。。。

技術関連の規制は、法令等で要件を規制し、具体的な技術的な側面は、標準で実際的に規制をするという方法ですよね。。。

一般向けにAIが作成したコンテンツについては、明示的あるいは、暗示的なラベルが必要ということなのでしょうかね...

 

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

国家互联网信息办公室关于《人工智能生成合成内容标识办法(征求意见稿)》公开征求意见的通知 中国サイバー空間管理局による「人工知能生成の合成コンテンツ識別に関する措置(意見募集稿)」に対する意見募集のお知らせ
为规范人工智能生成合成内容标识,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》等法律法规,国家互联网信息办公室起草了《人工智能生成合成内容标识办法(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见: 人工知能生成の合成コンテンツのラベル付けを規制し、国家安全保障および公益を保護し、公民、法人、その他の組織の合法的な権利と利益を保護することを目的として、中国サイバー空間管理局は、中華人民共和国サイバーセキュリティ法、インターネット情報サービスにおけるアルゴリズム推奨に関する管理規定、インターネット情報サービスにおけるディープ合成に関する管理規定、生成的人工知能サービス管理に関する暫定措置などの法律および規則に従い、「人工知能生成の合成コンテンツのラベル付けに関する措置(意見募集稿)」を起草した。中国サイバー空間管理局は現在、一般からの意見を募集している。一般市民は、以下の方法でフィードバックを提供することができる。
1.通过电子邮件方式发送至:biaoshi@cac.gov.cn。 1. 電子メールを送信:biaoshi@cac.gov.cn。
2.通过信函方式将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络管理技术局,邮编100044,并在信封上注明“人工智能生成合成内容标识办法征求意见”。 2. 郵送で意見を送付する場合:中国北京市西城区车公庄大街11号网络管理技术局、国家互联网管理局 封筒に「标识办法征求意见」と明記すること。
意见反馈截止时间为2024年10月14日。 フィードバックの期限は2024年10月14日である。
附件:人工智能生成合成内容标识办法(征求意见稿) 添付資料:人工知能生成の合成コンテンツ識別対策(意見募集のための草案)
国家互联网信息办公室 国家サイバースペース管理局
2024年9月14日 2024年9月14日
人工智能生成合成内容标识办法 人工知能生成の合成コンテンツ識別対策
(征求意见稿) (意見公募草案)
第一条 为促进人工智能健康发展,规范人工智能生成合成内容标识,保护公民、法人和其他组织合法权益,维护社会公共利益,根据《中华人民共和国网络安全法》、《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》等法律、行政法规和部门规章,制定本办法。 第1条 本規定は、中華人民共和国のサイバーセキュリティ法、インターネット情報サービスにおけるアルゴリズム推奨に関する管理規定、インターネット情報サービスにおけるディープ合成に関する管理規定、生成型人工知能サービス管理に関する暫定措置、およびその他の法律、行政法規、部門規則に基づき策定されたものであり、人工知能の健全な発展を促進し、人工知能により生成された合成コンテンツのラベル付けを標準化し、公民、法人、その他の組織の合法的な権益を保護し、公共の利益を保護することを目的とする。
第二条 符合《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》规定情形的网络信息服务提供者(以下简称“服务提供者”)开展人工智能生成合成内容标识的,适用本办法。 第2条 本規定は、インターネット情報サービスにおけるアルゴリズム推奨に関する管理規定、インターネット情報サービスにおける深層合成に関する管理規定、生成的AIサービス管理に関する暫定措置の適用範囲に該当する、ネットワーク情報サービスプロバイダー(以下「サービスプロバイダー」という)による人工知能生成合成コンテンツのラベル付けに適用される。
行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用人工智能生成合成技术,未向境内公众提供服务的,不适用本办法的规定。 これらの措置の規定は、人工知能生成・合成技術を開発・応用するが、国内で一般向けにサービスを提供しない業界団体、企業、教育・科学研究機関、公共文化機関、関連専門機関には適用されない。
第三条 人工智能生成合成内容是指利用人工智能技术制作、生成、合成的文本、图片、音频、视频等信息。 第3条:人工知能生成の合成コンテンツとは、人工知能技術を用いて作成、生成、または合成されたテキスト、画像、音声、動画などの情報を指す。
人工智能生成合成内容标识包括显式标识和隐式标识。 人工知能生成の合成コンテンツのマーカーには、明示的マーカーと暗示的マーカーがある。
显式标识是指在生成合成内容或者交互场景界面中添加的,以文字、声音、图形等方式呈现并可被用户明显感知到的标识。 明示的マーキングとは、生成された合成コンテンツまたはインタラクティブなシーンのインターフェースに追加され、テキスト、音声、グラフィックなどの形式で表示され、ユーザーが明確に認識できるマーキングである。
隐式标识是指采取技术措施在生成合成内容文件数据中添加的,不易被用户明显感知到的标识。 暗示的マーキングとは、技術的手段により生成された合成コンテンツファイルのデータに付加されるマーキングであり、ユーザーが容易に認知できないものを指す。
第四条 服务提供者提供的生成合成服务属于《互联网信息服务深度合成管理规定》第十七条第一款情形的,应当按照下列要求对生成合成内容添加显式标识。 第4条 サービス提供者が提供する生成・合成サービスが「インターネット情報サービスの詳細な合成に関する管理規定」第17条第1項の状況に該当する場合、生成・合成された内容物に以下の要求事項に従って明示的マークを追加しなければならない。
(一)在文本的起始、末尾、中间适当位置添加文字提示或通用符号提示等标识,或在交互场景界面或文字周边添加显著的提示标识; (1)テキストの冒頭、末尾、または中間の適切な位置にテキストによる指示やユニバーサルシンボルなどの標識を追加するか、またはインタラクティブなシナリオにおけるインターフェースまたはテキストの周囲に目立つ標識を追加する。
(二)在音频的起始、末尾或中间适当位置添加语音提示或音频节奏提示等标识,或在交互场景界面中添加显著的提示标识; (2) 音声の冒頭、末尾、または中間の適切な箇所に音声による合図や音声リズムによる合図を追加するか、または対話型シーンのインターフェースに目立つ合図アイコンを追加する。
(三)在图片的适当位置添加显著的提示标识; (3) 画像の適切な位置に目立つプロンプトアイコンを追加する。
(四)在视频起始画面和视频播放周边的适当位置添加显著的提示标识,可在视频末尾和中间适当位置添加显著的提示标识; (4) 開始画面および動画再生画面の適切な位置に目立つプロンプトアイコンを追加し、動画の最後および途中の適切な位置にも目立つプロンプトアイコンを追加する。
(五)呈现虚拟场景时,应当在起始画面的适当位置添加显著的提示标识,可在虚拟场景持续服务过程中的适当位置添加显著的提示标识; (5) 仮想シーンを表示する際には、開始画面の適切な位置に目立つプロンプトを追加すべきであり、仮想シーンの連続サービス中に適切な位置に目立つプロンプトを追加することができる。
(六)其他生成合成服务场景应当根据自身应用特点添加具有显著提示效果的显式标识。 (6) その他の生成された合成サービスシナリオは、それぞれのアプリケーションの特性に応じて、明確なロゴと目立つプロンプト効果を追加しなければならない。
服务提供者提供生成合成内容下载、复制、导出等方式时,应当确保文件中含有满足要求的显式标识。 サービス提供者が生成された合成コンテンツのダウンロード、コピーまたはエクスポート手段を提供する場合には、ファイルが要件を満たす明示的マークを含むことを保証しなければならない。
第五条 服务提供者应当按照《互联网信息服务深度合成管理规定》第十六条的规定,在生成合成内容的文件元数据中添加隐式标识,隐式标识包含生成合成内容属性信息、服务提供者名称或编码、内容编号等制作要素信息。 第5条 サービスプロバイダーは、「インターネット情報サービスにおける深層合成に関する管理規定」の第16条に従い、生成および合成コンテンツを含むファイルのメタデータに暗黙識別子を追加しなければならない。暗黙識別子には、生成および合成コンテンツの属性、サービスプロバイダーの名称またはコード、コンテンツ番号などの生成要素情報を含めなければならない。
鼓励服务提供者在生成合成内容中添加数字水印等形式的隐式标识。 サービスプロバイダーは、合成コンテンツを生成する際に、電子透かし形式の暗黙識別子を追加することが推奨される。
文件元数据是指按照特定编码格式嵌入到文件头部的描述性信息,用于记录文件来源、属性、用途、版权等信息内容。 ファイルのメタデータとは、特定の符号化形式のファイルのヘッダーに埋め込まれた記述情報を指し、ファイルのソース、属性、目的、著作権などの情報を記録するために使用される。
第六条 提供网络信息内容传播平台服务的服务提供者应当采取措施,规范生成合成内容传播活动。 第6条 オンラインコンテンツの配信サービスを提供するサービス提供者は、生成されたコンテンツの配信を規制する措置を講じなければならない。
(一)应当核验文件元数据中是否含有隐式标识,对于含有隐式标识的,应当采取适当方式在发布内容周边添加显著的提示标识,明确提醒用户该内容属于生成合成内容; (1) ファイルのメタデータに暗示的識別子が含まれているかどうかを確認する。暗示的識別子が含まれている場合は、公開されたコンテンツの近くに、そのコンテンツが生成されたコンテンツであり、合成コンテンツであることをユーザーに明確に知らせる目立つプロンプトを追加する適切な措置を講じなければならない。
(二)文件元数据中未核验到隐式标识,但用户声明为生成合成内容的,应当采取适当方式在发布内容周边添加显著的提示标识,提醒用户该内容可能为生成合成内容; (2) ファイルメタデータに暗示的マークが確認されなかったが、ユーザーが生成された合成コンテンツであると申告した場合、公開されたコンテンツの周囲に目立つプロンプトマークを適切な方法で追加し、ユーザーにコンテンツが生成された合成コンテンツである可能性があることを知らせる。
(三)文件元数据中未核验到隐式标识,用户也未声明为生成合成内容,但提供网络信息内容传播平台服务的服务提供者检测到显式标识或其他生成合成痕迹的,可识别为疑似生成合成内容,应当采取适当方式在发布内容周边添加显著的提示标识,提醒用户该内容疑似为生成合成内容; (3) ファイルのメタデータに暗示的マークが確認されず、かつ、ユーザーがコンテンツが生成された合成コンテンツであることを宣言していないが、オンライン情報コンテンツ配信プラットフォームのサービスを提供するサービスプロバイダーが明示的マークまたは生成された合成コンテンツの他の痕跡を検出した場合、コンテンツは生成された合成コンテンツである疑いがあると識別することができる。サービスプロバイダーは、公開されたコンテンツの近くに目立つプロンプトマークを追加し、コンテンツが生成された合成コンテンツである疑いがあることをユーザーに知らせる適切な措置を講じなければならない。
(四)对于确为、可能和疑似生成合成内容的,应当在文件元数据中添加生成合成内容属性信息、传播平台名称或编码、内容编号等传播要素信息; (4) 生成された合成コンテンツであることが確認された、可能性がある、または疑わしいコンテンツについては、生成された合成コンテンツの属性情報、名称やコードなどの通信プラットフォームに関する情報、コンテンツ番号、その他の通信要素情報をファイルのメタデータに追加する。
(五)提供必要的标识功能,并提醒用户主动声明发布内容中是否包含生成合成内容。 (5) 必要な識別機能を提供し、ユーザーに公開されたコンテンツに生成された合成コンテンツが含まれているかどうかを積極的に申告するよう促す。
第七条 互联网应用程序分发平台在应用程序上架或上线审核时,应当核验服务提供者是否按要求提供生成合成内容标识功能。 第7条 インターネット上のアプリケーション配信プラットフォームが掲載または起動の申請を審査する際には、サービス提供者が要求された生成合成コンテンツ識別機能を設けているかどうかを確認しなければならない。
第八条 服务提供者应当在用户服务协议中明确说明生成合成内容标识的方法、样式等规范内容,并提示用户仔细阅读并理解相关的标识管理要求。 第8条 サービス提供者は、生成された合成コンテンツおよびその他の関連コンテンツの識別方法と形式をユーザーサービス契約に明確に規定し、ユーザーに当該識別管理要求を注意深く読み理解するよう促さなければならない。
第九条 如用户需要服务提供者提供没有添加显式标识的生成合成内容,可在通过用户协议明确用户的标识义务和使用责任后,提供不含显式标识的生成合成内容,并留存相关日志不少于六个月。 第9条 ユーザーが、生成された合成コンテンツに明示的マークを付加しない状態でサービス提供者に提供することを希望する場合、サービス提供者は、ユーザー契約を通じて、ユーザーの標識義務と使用責任を明確にした上で、明示的マークを付加しない生成された合成コンテンツを提供し、関連ログを6ヶ月以上保存することができる。
第十条 用户向提供网络信息内容传播平台服务的服务提供者上传生成合成内容时,应当主动声明并使用平台提供的标识功能进行标识。 第10条 オンラインコンテンツの発表プラットフォームを提供するサービスプロバイダーに生成・合成コンテンツをアップロードする際、ユーザーはプラットフォームが提供する識別機能を積極的に申告し、コンテンツの識別に使用しなければならない。
任何组织和个人不得恶意删除、篡改、伪造、隐匿本办法规定的生成合成内容标识,不得为他人实施上述恶意行为提供工具或服务,不得通过不正当标识手段损害他人合法权益。 いかなる組織または個人も、本規定に定められた生成された合成コンテンツの識別情報を悪意を持って削除、改ざん、偽造、隠蔽したり、他者がこのような悪意ある行為を行うためのツールやサービスを提供したり、不適切な識別手段によって他者の合法的な権利と利益を損なってはならない。
第十一条 服务提供者应当按照有关强制性国家标准的要求进行标识。 第11条 サービスプロバイダーは、関連する強制国家標準の要求に従ってマークを付さなければならない。
第十二条 服务提供者在履行算法备案、安全评估等手续时,应当按照本办法提供生成合成内容标识相关材料,并加强标识信息共享,为防范打击相关违法犯罪活动提供支持和帮助。 第12条 サービスプロバイダーは、アルゴリズムの提出やセキュリティ評価などの手続きを行う際には、本措置に従って総合的なコンテンツ識別を行うための関連資料を提供し、識別情報の共有を強化して、関連する違法・犯罪行為の防止と取締りへの支援と協力を提供しなければならない。
第十三条 违反本办法规定,未对生成合成内容进行标识造成严重后果的,由网信等有关主管部门按照有关法律、行政法规、部门规章的规定予以处罚。 第13条 生成された合成コンテンツにマークを付さなかったために深刻な結果を招いた場合、関連する法律、行政法規、部門規則の規定に基づき、サイバースペース管理局などの関連主管部門により処罰される。
第十四条 本办法自2024年 月 日起施行。 第14条 本措置は、2024年__________日に施行する。

 

 

国家標準の意見募集への案内...

・2024.09.14 关于征求《网络安全技术 人工智能生成合成内容标识方法》强制性国家标准(征求意见稿)意见的通知

 

・2024.09.14 关于征求《网络安全技术 人工智能生成合成内容标识方法》强制性国家标准(征求意见稿)意见的通知

標準案

・[PDF] 征求意见稿 (downloaded)

20240922-110554

・[DOCX][PDF] 仮訳

 

概要説明

・[PDF] 编制说明 (downloaded)

20240922-110346

 

国家标准《网络安全技术 人工智能生成合成内容标识方法》 国家標準「ネットワークセキュリティ技術-人工知能生成の合成コンテンツ識別方法」の編集指示書
(征求意见稿)编制说明 (意見募集用草案) 作成要領
一、工作简况 I. 作業概要
(一) 任务来源 (1) 業務の出典
根据国家标准化管理委员会2024年下达的国家标准制修订计划,强制性国家标准《网络安全技术 人工智能生成合成内容标识方法》由中央网络安全和信息化委员会办公室提出,委托全国网络安全标准化技术委员会执行,主要起草单位为中国电子技术标准化研究院,计划号:20241842-Q-252。 2024年に国家標準化管理委員会が発表した国家標準の制定・改訂計画によると、中央サイバーセキュリティ委員会弁公室が提案した強制性国家標準「ネットワークセキュリティ技術-人工知能生成合成コンテンツのラベル付け方法」は、国家ネットワークセキュリティ標準化技術委員会に実施が委託された。主な起草単位は中国電子標準化研究所であり、計画番号は20241842-Q-252である。
(二) 制定背景 (2)背景
生成式人工智能已成为继移动互联网技术之后最大的一波技术浪潮,同时也带来了新的安全风险和挑战。随着人工智能技术的发展,人工智能生成合成内容日益逼真,网络传播内容是否由人工智能生成合成难以分辨,社会上已出现多起利用生成合成内容传播虚假新闻、引发社会舆情,或是利用生成合成内容进行诈骗的案件。人工智能生成合成内容存在被误用、滥用、恶意使用的安全风险,严重影响国家安全,危害广大人民群众在网络空间的合法权益。 生成的AIは、モバイルインターネット技術に次ぐ技術の一大潮流となっており、新たなセキュリティリスクと課題をもたらしている。AI技術の発展に伴い、AIの生成合成コンテンツはますます現実味を帯びてきている。インターネット上で拡散されるコンテンツがAIによって生成・合成されたものかどうかを区別することは困難である。生成合成コンテンツを利用してデマニュースを拡散し、社会世論を動かしたり、生成合成コンテンツを利用して詐欺行為を働いたりするケースが社会で多発している。AIの生成合成コンテンツが悪用、乱用、悪意を持って利用されることによるセキュリティリスクは、国家安全を深刻に脅かし、サイバー空間における一般市民の合法的権益を脅かす。
2022年11月,国家网信办等三部门发布《互联网信息服务深度合成管理规定》(以下简称“《规定》”),提出了深度合成服务提供者对使用其服务生成或者编辑的信息内容进行标识的要求。2023年7月,国家网信办等七部门发布《生成式人工智能服务管理暂行办法》(以下简称“《办法》”),要求生成式人工智能服务提供者对图片、视频等生成内容进行标识。 2022年11月、中国国家サイバー空間管理局および他の2つの政府部門は、「インターネット情報サービスにおけるディープシンセシスの管理規定」(以下「規定」という)を公布し、ディープシンセシスサービスのプロバイダーに対し、そのサービスを利用して生成または編集された情報コンテンツにラベル付けを行うことを要求した。2023年7月、中国国家サイバー空間管理局および他の5つの政府部門は、「生成型人工知能サービスの管理に関する暫定措置」(以下「措置」という)を公布し、生成型人工知能サービスのプロバイダーに対し、画像や映像などの生成コンテンツにラベル付けを行うことを要求した。
为落实《规定》《办法》相关要求,切实维护国家安全和公共利益,制定本标准,对人工智能生成合成内容的标识方法提出规范。本标准对防范人工智能生成合成内容引发安全风险、提升人工智能安全水平起到规范作用,促进人工智能行业安全发展。 規定と措置の関連要件を実施し、国家安全保障と公益を効果的に保護するために、AIが生成した合成コンテンツのラベル付け方法に関する仕様を規定するこれらの標準が策定された。これらの標準は、AIが生成した合成コンテンツがセキュリティリスクを引き起こすことを防止し、AIのセキュリティレベルを向上させる規制上の役割を果たし、AI産業の安全な発展を促進する。
(三) 起草过程 (3)起草プロセス
1、预研阶段 1. 事前研究段階
(1)2023年11月,组建编制组,编制形成第一版草案。 (1) 2023年11月、起草チームが結成され、第一草案が作成された。
(2)2023年11月-2024年2月,标准编制组开展广泛调研,并多次组织组内研讨,持续完善标准草案,对标准草案进行多轮迭代。 (2) 2023年11月から2024年2月にかけて、標準起草チームは広範な調査を実施し、内部で複数回の討論を行い、標準草案を継続的に改善し、草案を複数回修正した。
(3)2024年3月,组织10余家相关企业多次开展调研、召开研讨会,收集企业反馈材料,进一步完善标准草案。 (3) 2024年3月、10社以上の関連企業を集めて複数の調査とセミナーを実施し、企業からのフィードバックを収集し、標準草案をさらに改善した。
(4)2024年4-5月,继续联系重点企业,征求企业意见,结合企业反馈迭代标准草案版本,形成标准可行性研究报告。 (4) 2024年4月から5月にかけて、引き続き主要企業と連絡を取り、意見を求め、フィードバックに基づいて標準の草案を繰り返し修正し、標準の実現可能性調査報告書を作成する。
2、起草阶段 2. 起草段階
(1) 2024年6月25日,国家标准化管理委员会下达本强制性国家标准的制定计划,标准正式立项。 (1) 2024年6月25日、中華人民共和国標準化管理委員会は、この強制国家標準の開発計画を発行し、標準が正式に制定された。
(2) 2024年7月3日,成立强制标准工作专班,由中国电子技术标准化研究院牵头,国家计算机网络应急技术处理协调中心、浙江大学、中国科学院软件研究所等共同组成。 (2) 2024年7月3日、中国国家電子標準化研究院が主導し、中国国家コンピュータネットワーク緊急対応技術チーム/調整センター、浙江大学、中国科学院ソフトウェア研究所で構成される強制規格作業グループが設立された。
(3) 2024年7月3日-15日,标准工作专班组织开展基础调研,对标准内容进行研讨,分工修改完善标准草案。 (3) 2024年7月3日から15日にかけて、標準化作業グループが組織され、基礎研究を実施し、標準の内容について討議し、標準草案の修正と改善作業を分担した。
(4) 2024年7月16日-30日,先后组织20余家重点通用类与垂域类企业召开3次研讨会,征求企业意见与反馈,完善标准草案。 (4) 2024年7月16日から30日にかけて、20社以上の主要な一般企業および垂直統合企業を対象に、3つのセミナーが連続して開催され、意見やフィードバックを収集し、標準規格案の改善が行われた。
(5) 2024年8月9日,组织召开专家研讨会,征求专家意见建议,并修改完善标准草案。 (5) 2024年8月9日、専門家セミナーが開催され、専門家の意見や提案を収集し、標準草案が修正・改善された。
(6) 2024年8月10日-25日,根据专家意见对标准草案多轮修改与完善,更新标准草案文本。 (6) 2024年8月10日から25日にかけて、専門家からの意見に基づいて標準草案を複数回修正・改善し、標準草案のテキストを更新する。
(7) 2024年8月26日,再次联系20余家重点通用类与垂域类企业召开研讨会,征求企业意见与反馈,完善标准草案。 (7) 2024年8月26日、再び20社以上の主要な一般企業および垂直統合企業に連絡し、セミナーを開催して意見やフィードバックを募り、標準案を改善する。
(8) 2024年8月30日,组织专家评审会,专家一致同意该项标准通过评审,根据专家意见修改完善后形成征求意见稿。 (8) 2024年8月30日、専門家による検討会議が開催され、専門家全員が標準を可決すべきであると一致して同意した。専門家の意見に基づいて修正・改善された後、意見募集のための草案が作成された。
二、编制原则、强制性国家标准主要技术要求的依据及理由 II. 強制的な国家標準の主な技術的要件の編集原則、根拠および理由
(一) 标准编制原则 (1) 標準作成の原則
本标准的编制原则是: この標準の開発における原則は以下の通りである。
1) 通用性:生成合成服务提供者和内容传播服务提供者均可依据本标准开展对人工智能生成合成内容进行标识活动。 (1) 普遍性:生成合成サービスプロバイダーおよびコンテンツ配信サービスプロバイダーは、いずれも本標準に従って人工知能生成合成コンテンツのラベル付けを行うことができる。
2) 可行性:确保标准中技术要求可验证、可操作。为此,本标准编制过程中与科研机构、相关企业、专家进行了多轮研讨。  2)実現可能性:標準の技術的要件が検証可能であり、運用可能であることを保証する。この目的を達成するために、この標準の策定にあたっては、科学研究機関、関連企業、専門家との間で複数回にわたる議論が行われた。
3) 符合性:符合《规定》、《办法》等国家有关法律法规和已有标准规范对于标识的相关要求。 3) 準拠:規定および措置などの国内の法律および規則におけるラベル表示に関する関連要件、ならびに既存の標準および仕様書に準拠する。
(二) 主要技术要求及其确定依据 (2) 主要な技術的要件とその根拠
本标准给出了人工智能生成合成内容标识方法。本标准适用于规范生成合成服务提供者和内容传播服务提供者对人工智能生成合成内容开展的标识活动。 本標準は、人工知能による合成コンテンツ識別方法について規定する。本標準は、人工知能による合成コンテンツの生成サービスおよびコンテンツ配信サービスを提供する事業者が行う識別活動に適用される。
本标准的主要技术要求包括:显式标识方法,隐式标识方法。 この標準の主な技術的要件には、明示的ラベル方法と暗示的ラベル方法が含まれる。
显式标识方法包括文本内容显式标识、图片内容显式标识、音频内容显式标识、视频内容显式标识和交互场景界面显式标识。规范了在不同模态的内容上及交互场景界面上进行显式标识的方法,依据为《规定》第十七条“深度合成服务提供者提供以下深度合成服务,可能导致公众混淆或者误认的,应当在生成或者编辑的信息内容的合理位置、区域进行显著标识,向公众提示深度合成情况”。对目前已对公众提供人工智能生成合成内容服务的产品进行了调研,发现内容显式标识与交互场景界面显式标识已有多家重点企业进行了实践。 明示的ラベルの方法には、テキストコンテンツの明示的ラベル、画像コンテンツの明示的ラベル、音声コンテンツの明示的ラベル、映像コンテンツの明示的ラベル、およびインタラクティブシーン・インターフェースの明示的ラベルが含まれる。 異なるモードのコンテンツおよびインタラクティブなシナリオのインターフェースにおける明示的なラベルの方法は、規定の第17条に基づき、「一般の人々に混同や誤認を招く可能性のある以下の深層合成サービスを提供する深層合成サービスプロバイダーは、生成または編集された情報コンテンツの適切な位置または領域を明確にラベルし、深層合成について一般の人々に注意を促さなければならない」と規定されている。現在、人工知能を使用して合成コンテンツを生成するサービスを一般の人々に提供している製品を調査したところ、コンテンツの明示的なラベルおよびインタラクティブなシーンのインターフェースの明示的なラベルは、すでに多くの主要企業によって実施されていることが分かった。
隐式标识方法包括元数据隐式标识。规范了在提供文件形式的生成合成内容时,添加元数据隐式标识的方法,依据为《规定》第十六条“深度合成服务提供者对使用其服务生成或者编辑的信息内容,应当采取技术措施添加不影响用户使用的标识,并依照法律、行政法规和国家有关规定保存日志信息”。调研了国内国际不同格式文件元数据写入技术,确保主流文件格式的元数据可写入、可识别。 暗示的なラベル方法には、メタデータの暗示的なラベルが含まれる。生成および合成コンテンツを文書形式で提供する際のメタデータの暗示的なラベルの追加方法は、規定第16条に基づき規定されている。「ディープシンセシスサービスプロバイダーは、そのサービスを利用して生成または編集された情報コンテンツに、ユーザーの利用に影響を与えないラベルを追加する技術的措置を講じ、法律、行政法規および関連する国家規定に従ってログ情報を保存しなければならない。」主流の文書形式に対して、メタデータの書き込みと識別を確実に実行できるよう、異なる形式の文書に対する国内外のメタデータ書き込み技術の研究が行われている。
为落实《规定》《办法》相关要求,切实维护国家安全和公共利益,在有关主管部门的指导下,编制组广泛调研国内外生成式人工智能技术研发机构及企业所开展的探索和应用,编制组成员分工合作,完成了技术可行性与法律法规符合性的调研分析工作,确保了标准的可落地、可实施。 関連規定の要求を実行し、国家の安全と公共の利益を効果的に保護するために、起草グループは関連主管部門の指導の下、国内外の研究開発機関および企業による生成的AI技術の探求と応用について広範な調査を実施した。起草グループのメンバーは協力して技術的実現可能性と法規への準拠に関する調査と分析を完了し、標準が実行可能かつ強制力のあるものであることを確保した。
(三)修订前后技术内容的对比[仅适用于国家标准修订项目]  (3)改訂前後の技術内容の比較 [国家標準改訂プロジェクトのみ適用] 該当なし。
不涉及. 該当なし
三、与有关法律、行政法规和其他强制性标准的关系 III. 関連法規、行政法規およびその他の強制性規格との関係
《规定》第十六条提出,深度合成服务提供者对使用其服务生成或者编辑的信息内容,应当采取技术措施添加不影响用户使用的标识,并依照法律、行政法规和国家有关规定保存日志信息。《规定》第十七条提出,深度合成服务提供者提供以下深度合成服务,可能导致公众混淆或者误认的,应当在生成或者编辑的信息内容的合理位置、区域进行显著标识,向公众提示深度合成情况: 第16条では、ディープシンセシスサービス提供者は、そのサービスを利用して生成または編集された情報内容に、ユーザーの利用に影響を与えない識別マークを追加する技術的措置を講じ、法律、行政法規および関連する国家規範に従ってログ情報を保存しなければならないと規定している。第17条では、以下のディープシンセシスサービスを提供するディープシンセシスサービス提供者は、一般の人々に混同や誤認を引き起こす可能性があるため、そのディープシンセシスを一般の人々に警告するために、生成または編集された情報内容を適切な位置または領域に目立つようにマークしなければならないと規定している。
(一) 智能对话、智能写作等模拟自然人进行文本的生成或者编辑服务; (1) インテリジェント・ダイアログやインテリジェント・ライティングなど、自然人によるもののようにシミュレートするテキスト生成または編集サービス
(二) 合成人声、仿声等语音生成或者显著改变个人身份特征的编辑服务; (2) 合成音声の生成、音声の模倣、または個人識別特性の大幅な変更を行う編集サービス、
(三) 人脸生成、人脸替换、人脸操控、姿态操控等人物图像、视频生成或者显著改变个人身份特征的编辑服务; (3) 人物の画像または映像のアイデンティティを生成、置換、操作、または大幅に変更する編集サービス、例えば顔生成、顔置換、顔操作、ジェスチャー操作など。
(四) 沉浸式拟真场景等生成或者编辑服务; (4) 没入型シミュレーションシーンなどの生成または編集サービス、
(五) 其他具有生成或者显著改变信息内容功能的服务。 (5) その他情報の内容を生成し、又は大幅に変更する機能を有するサービス
深度合成服务提供者提供前款规定之外的深度合成服务的,应当提供显著标识功能,并提示深度合成服务使用者可以进行显著标识。 ディープシンセシスサービス提供者が前項に規定するもの以外のディープシンセシスサービスを提供する場合には、識別機能が目立つように表示し、かつ、当該ディープシンセシスサービスの利用者に識別が可能であることを促すものとする。
《办法》第十二条提出,提供者应当按照《规定》对图片、视频等生成内容进行标识。 措置の第12条では、プロバイダーは規定に従って生成された画像や映像などのコンテンツにマークを付けることが規定されている。
本标准依据《规定》第十六、十七条,将标识分为显式标识与隐式标识,并分别规范了显式标识与隐式标识的标识方法,对《办法》《规定》中的要求进行细化,本标准与现行法律、法规以及国家标准不存在冲突与矛盾,与其他标准配套衔接。 本標準は、規定の第16条と第17条に従って、明示的ラベルと暗示的ラベルにラベルを分類し、明示的ラベルと暗示的ラベルのラベル方法を個別に規定し、措置と規定の要求をさらに細分化している。本標準は、既存の法律、法規、国家標準と矛盾せず、抵触せず、他の標準とも互換性がある。
四、 与国际标准化组织、其他国家或者地区有关法律法规和标准的比对分析 IV. 国際標準化機構および他国・地域の関連法規および標準との比較分析
欧盟《人工智能法》和《数字服务法》两部法律涉及AI标识,根据这两部法律的规定,目前主流的生成式人工智能属于有限风险人工智能系统,须承担标识义务,标识技术包括水印、元数据识别、指纹识别、加密方法、日志记录等。美国拜登政府颁布的《关于AI的安全和可信赖开发和使用的行政命令》为美国 AI标识技术标准、指南等文件的出台和工作的开展提供指引。新加坡《生成式人工智能治理模型框架》、加拿大《生成式人工智能行为守则》均提及内容标识技术的应用。国际组织层面,七国集团通过《开发高级人工智能的组织的国际指导原则》,呼吁采用水印等技术使用户能够识别人工智能生成内容。 EUの「人工知能法」と「デジタルサービス法」は、いずれもAIのラベリングに関するものである。この2つの法律によると、現在の主流である生成的AIはリスクが限定的なAIシステムであり、ラベリングが義務付けられている。ラベリングの手法には、透かし、メタデータ識別、フィンガープリント識別、暗号化方式、ログ記録などがある。 バイデン政権が発布した「人工知能の安全かつ信頼できる開発と利用に関する行政命令」は、米国におけるAI識別の技術標準とガイドラインの導入と実施に関する指針を提供している。シンガポールの「生成的AIのガバナンスモデルに関する枠組み」とカナダの「生成的AIの行動規範」は、いずれもコンテンツ識別技術の適用について言及している。国際組織のレベルでは、G7(主要7か国)が「高度な人工知能を開発する組織のための国際的な指導原則」を採択し、透かしなどの技術を使用してユーザーがAI生成コンテンツを識別できるようにすることを求めている。
目前,国际标准化组织ISO/IECJTC1/SC42(人工智能分委员会)和SC27 (信息安全、网络空间安全和隐私保护分委员)分别收到了来自加拿大和我国的关于AI标识的标准化贡献,但都还未正式立项。NIST发布的标准《数字内容透明度技术方法概述》中,主要内容有验证内容并跟踪其来源、标记合成内容、检测合成内容等。标准第3节提到标记合成内容分为内容标签、可见水印、披露字段等直接向用户披露内容创作过程中使用AI情况的技术;与隐形水印、数字指纹、嵌入的元数据等间接披露技术。本标准未规定具体的技术指标。C2PA发布的《C2PA技术规范》中,主要是采用可追溯的元数据来保证内容的真实性。 現在、国際標準化機構ISO/IECJTC1/SC42(人工知能分科会)とSC27(情報セキュリティ、サイバーセキュリティ、プライバシー保護分科会)は、カナダと中国からAIラベルに関する標準化の貢献を受け取っているが、いずれも正式に設立されたものではない。NISTが発表した標準「デジタルコンテンツの透明性に関する技術手法の概要」の主な内容は、コンテンツの検証とソースの追跡、合成コンテンツのラベル、合成コンテンツの検出などである。 標準の第3項では、合成コンテンツのラベルは、コンテンツの作成プロセスでAIが使用されていることをユーザーに直接開示する技術、例えばコンテンツラベル、可視透かし、開示フィールドなどに分けられると述べている。また、間接的な開示技術として、不可視透かし、デジタル指紋、埋め込みメタデータなどがある。この標準では、具体的な技術指標は規定されていない。C2PAが発表したC2PA技術仕様は、主に追跡可能なメタデータを使用してコンテンツの真正性を確保している。
本标准与现有国际政策、标准相比,明确了标识的形式,且技术完备,适用性强。本标准的提出可以引领人工智能技术的规范、安全发展,为我国的AI标识国际标准贡献提供支撑。本标准与现有国际政策、标准不冲突,本标准的颁布实施对国际贸易不会带来壁垒性的影响。 既存の国際政策や標準と比較すると、この標準は識別の形式を明確にし、技術的に完全であり、適用性も高い。この標準の提案は、人工知能技術の標準化と安全な発展を導き、中国がAI識別の国際標準に貢献するためのサポートとなる。この標準は既存の国際政策や標準と矛盾せず、その公布と実施は国際貿易に障壁効果をもたらさない。
五、 重大分歧意见的处理过程、处理意见及其依据本标准修订过程中无重大分歧。 V. 重大な不一致の処理プロセス、意見の一致点、およびその意見の根拠 本標準の改訂において重大な不一致は発生していない。
六、 对强制性国家标准自发布日期至实施日期之间的过渡期(以下简称过渡期)的建议及理由 VI. 強制国家標準の公布日から実施日までの移行期間(以下、移行期間)に関する提案と根拠
考虑到执行人工智能标识生成与检测技术复杂性相对较低,技术改造所需时间较短,并且由于已有大量制作平台已经开展部分内容标识工作、预计具备短期内适应标注的能力。建议本标准自发布之日起,过渡期为半年。半年以后,正式实施。 人工知能によるマーク生成および検出技術の実施における技術的複雑性は比較的低いため、技術転換に要する時間は比較的短く、すでに多くの生産プラットフォームがマーク作業の一部を実施し始めているため、マークへの適応は短期間で可能になることが予想される。本標準の移行期間は、公布日から6ヶ月間とすることが推奨される。6ヶ月後、正式に実施される。
七、 与实施强制性国家标准有关的政策措施 VII. 強制国家標準の実施に関する政策措置
本标准是《人工智能生成合成内容标识办法》的配套强制性国家标准,该文件当前为征求意见稿。文件第十一条中规定“服务提供者应当按照有关强制性国家标准的要求进行标识”。其中所指“有关强制性国家标准”即为本标准。 本標準は、現在、意見公募稿の段階にある「人工知能合成コンテンツ識別措置」の支持必須国家標準である。同文書第11条では、「サービス提供者は、関連必須国家標準の要求に基づきラベル表示を行うものとする」と規定している。ここでいう「関連必須国家標準」とは、本標準を指す。
本标准编制过程中配套建设人工智能生成合成内容标识验证平台,对后续标准的实施起到支撑作用。同时计划后续对重点企业进行宣讲、培训工作,开展相应的检测、认证服务。 この標準の策定中、その後の標準の実施を支援するために、人工知能による合成コンテンツ識別および検証プラットフォームが構築された。同時に、主要企業に対する宣伝およびトレーニングを実施し、対応するテストおよび認証サービスを実施することが計画されている。
八、 是否需要对外通报的建议及理由 VIII. 提案内容およびその理由を公表する必要があるかどうか
本标准既是对我国的《规定》和《办法》的标准支撑,同时也可响应国际标准化组织、其他国家或者地区有关AI标识的法律法规和标准。本标准与现有国际政策、标准相比,明确了标识的形式,且技术完备,适用性强。本标准的提出可以引领人工智能技术的规范、安全发展,为我国的AI标识国际标准贡献提供支撑。 本標準は、中国の法規・政策を支持するだけでなく、AIロゴに関する国際標準化機構やその他の国・地域の法律、法規、標準にも対応している。既存の国際政策や標準と比較すると、本標準はロゴの形式を明確にし、技術的に完全で、適用性も高い。本標準の提案は、人工知能技術の標準化と安全な発展を導き、中国がAIロゴの国際標準に貢献するためのサポートとなる。
另外,本标准为强制性国家标准,还影响到国际人工智能企业在我国境内提供生成合成内容服务,故建议对外通报。 また、この標準は強制的な国家標準であり、中国国内で合成コンテンツ生成サービスを提供する国際人工知能企業にも影響を与える。そのため、外部に公表することが推奨される。
九、 废止现行有关标准的建议 IX. 現行の関連標準の廃止に関する提案
不涉及。 該当なし。
十、 涉及专利的有关说明 X. 特許に関する関連説明
本标准不涉及相关专利、知识产权、著作权等内容。 本標準は、関連特許、知的財産権、著作権等を含まない。
十一、 强制性国家标准所涉及的产品、过程或者服务目录 XI. 強制的な国家標準の対象となる製品、プロセス、サービスの一覧
本标准适用于生成合成服务提供者和内容传播服务提供者对人工智能生成合成内容开展的标识活动。以及支撑标识活动的相应产品和服务开发和应用。 本標準は、人工知能型合成コンテンツの生成サービスプロバイダーおよびコンテンツ配信サービスプロバイダーが実施する識別活動に適用される。また、識別活動を支援する対応製品およびサービスの開発および適用にも適用される。
十二、 其他应当予以说明的事项 XII. その他明確にすべき事項
无。 なし。
标准编制组 標準作成チーム
2024年9月13日 2024年9月13日

 

 

 

1_20210705085401


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.11 中国 生成的AIについての専門家の解釈 (2023.08.29)

・2023.07.14 中国 国家サイバースペース管理局他 生成的AIサービス管理暫定弁法 施行は2023.08.15

・2023.04.12 中国 意見募集 生成的人工知能サービス管理弁法

・2023.01.18 中国 サイバー法制白書 2022 (2023.01.12)

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

 

 

| | Comments (0)

2024.09.22

中国 AI安全ガバナンスフレームワーク(V1.0) (2024.09.09)

こんにちは、丸山満彦です。

中国が、AI安全ガバナンスフレームワーク(V1.0)を公表していますね。。。中国語版と英語版を策定していますね...

中国もAIの開発に力を入れていますが、同時にその標準にも力をいれていますね...

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2024.09.09 《人工智能安全治理框架》1.0版发布

 

《人工智能安全治理框架》1.0版发布 「人工知能セキュリティガバナンスフレームワーク」バージョン1.0がリリースされた
9月9日,在2024年国家网络安全宣传周主论坛上,全国网络安全标准化技术委员会(以下简称“网安标委”)发布《人工智能安全治理框架》1.0版。 9月9日、2024年国家サイバーセキュリティ意識向上週間のメインフォーラムにおいて、国家サイバーセキュリティ標準化技術委員会(以下、「サイバーセキュリティ標準化委員会」と略す)は、「人工知能セキュリティガバナンスフレームワーク」のバージョン1.0をリリースした。
贯彻落实《全球人工智能治理倡议》,网安标委研究制定了《人工智能安全治理框架》(以下简称《框架》)。《框架》以鼓励人工智能创新发展为第一要务,以有效防范化解人工智能安全风险为出发点和落脚点,提出了包容审慎、确保安全,风险导向、敏捷治理,技管结合、协同应对,开放合作、共治共享等人工智能安全治理的原则。《框架》按照风险管理的理念,紧密结合人工智能技术特性,分析人工智能风险来源和表现形式,针对模型算法安全、数据安全和系统安全等内生安全风险和网络域、现实域、认知域、伦理域等应用安全风险,提出相应技术应对和综合防治措施,以及人工智能安全开发应用指引。 国家ネットワークセキュリティ標準化技術委員会(以下「ネットワークセキュリティ標準化委員会」)は、グローバル人工知能ガバナンスイニシアティブを実施するために、「人工知能セキュリティガバナンスフレームワーク」(以下「フレームワーク」)を研究・策定した。フレームワークの第一の優先事項は、人工知能の革新的な発展を促すことであり、その出発点と最終目標は、人工知能のセキュリティリスクを効果的に防止・解決することである。同フレームワークは、包括的かつ慎重なガバナンスの原則を提案し、安全性を確保し、リスク志向で機敏なガバナンスを行い、技術的および管理的なアプローチを組み合わせ、協調的に対応し、共同ガバナンスと共有のためのオープンな協力を提案している。 このフレームワークは、リスク管理の概念に則り、人工知能の技術的特性と密接に連携しながら、人工知能のリスクの発生源と現れ方を分析している。モデルアルゴリズムのセキュリティ、データセキュリティ、システムセキュリティなどの内在的なセキュリティリスク、およびサイバー、物理、認知、倫理の各領域におけるアプリケーションのセキュリティリスクに対応する技術的対応策と包括的な予防・管理措置を提案している。また、人工知能の安全な開発と応用に関するガイドラインも提供している。
网安标委秘书处主要负责人表示,《框架》1.0版的发布,对推动社会各方积极参与、协同推进人工智能安全治理具有重要促进作用,为培育安全、可靠、公平、透明的人工智能技术研发和应用生态,促进人工智能的健康发展和规范应用,提供了基础性、框架性技术指南。同时,也有助于在全球范围推动人工智能安全治理国际合作,推动形成具有广泛共识的全球人工智能治理体系,确保人工智能技术造福于人类。 ネットワークセキュリティ標準化委員会事務局の主要担当者は、フレームワークのバージョン1.0のリリースは、社会の各当事者の積極的な参加とAIセキュリティガバナンスの協調的な推進を促進する上で重要な役割を果たし、安全で信頼性が高く、公平かつ透明性の高いAI技術の研究開発と応用のためのエコシステムを育成し、AIの健全な発展と規範的な応用を促進するための基本的な枠組み技術ガイドラインを提供すると述べた。また、AIセキュリティガバナンスに関する国際協力のグローバルな推進にも役立ち、幅広い合意に基づくグローバルなAIガバナンスシステムの形成を促進し、AI技術が人類に恩恵をもたらすことを確実にする。

 

・[PDF] 人工智能安全治理框架

20240921-32507

 

 

・[PDF] AI Safety Governance Framework (V1.0)

20240921-32341

 

 

目次...

1. Principles for AI safety governance 1. AI安全ガバナンスの原則
2. Framework for AI safety governance 2. AI安全ガバナンスの枠組み
3. Classification of AI safety risks 3. AIの安全リスクの分類
3.1 AI's inherent safety risks 3.1 AIに内在する安全リスク
3.2 Safety risks in AI applications 3.2 AIの応用における安全リスク
4. Technological measures to address risks 4. リスクに対処するための技術的対策
4.1 Addressing AI’s inherent safety risks 4.1 AIに内在する安全リスクへの対応
4.2 Addressing safety risks in AI applications 4.2 AIアプリケーションにおける安全リスクへの対応
5. Comprehensive governance measures 5. 包括的なガバナンス対策
6. Safety guidelines for AI development and application 6. AIの開発と応用における安全ガイドライン
6.1 Safety guidelines for model algorithm developers 6.1 モデルアルゴリズム開発者向け安全ガイドライン
6.2 Safety guidelines for AI service providers 6.2 AIサービスプロバイダのための安全ガイドライン
6.3 Safety guidelines for users in key areas 6.3 重点分野における利用者向け安全ガイドライン
6.4 Safety guidelines for general users 6.4 一般ユーザー向け安全ガイドライン

 

 

 

 

AI Safety Governance Framework (V1.0) AI安全ガバナンスフレームワーク(V1.0)
Artificial Intelligence (AI), a new area of human development, presents significant opportunities to the world while posing various risks and challenges. Upholding a people-centered approach and adhering to the principle of developing AI for good, this framework has been formulated to implement the Global AI Governance Initiative and promote consensus and coordinated efforts on AI safety governance among governments, international organizations, companies, research institutes, civil organizations, and individuals, aiming to effectively prevent and defuse AI safety risks. 人類の新たな発展分野である人工知能(AI)は、世界に大きな機会をもたらす一方で、さまざまなリスクや課題も提起している。本フレームワークは、人間中心のアプローチを堅持し、AIを善のために発展させるという原則に則り、グローバルAIガバナンスイニシアティブを実施し、政府、国際機構、企業、研究機構、市民機構、個人間のAI安全ガバナンスに関するコンセンサスと協調的な取り組みを促進し、AIの安全リスクを効果的に防止・緩和することを目的として策定された。
1. Principles for AI safety governance 1. AI安全ガバナンスの原則
• Commit to a vision of common, comprehensive, cooperative, and sustainable security while putting equal emphasis on development and security • 開発と安全の両方に等しく重点を置きつつ、共通、包括的、協調的、持続可能なセキュリティというビジョンを追求する
• Prioritize the innovative development of AI • AIの革新的な発展を優先する
• Take effectively preventing and defusing AI safety risks as the starting point and ultimate goal  • AIの安全リスクの有効な防止と緩和を起点とし、究極の目標とする
• Establish governance mechanisms that engage all stakeholders, integrate technology and management, and ensure coordinated efforts and collaboration among them • すべてのステークホルダーを巻き込み、技術と管理を統合し、それらの協調と協力を確保するガバナンスメカニズムを構築する
• Ensure that all parties involved fully shoulder their responsibilities for AI safety • 関係するすべての当事者がAIの安全に対する責任を完全に担うことを確保する
• Create a whole-process, all-element governance chain • すべてのプロセス、すべての要素のガバナンスチェーンを構築する ガバナンスの連鎖を構築する
• Foster a safe, reliable, equitable, and transparent AI for the technical research, development, and application • 技術研究、開発、応用における安全で信頼性が高く、公平で透明性の高いAIを促進する
• Promote the healthy development and regulated application of AI • AIの健全な発展と規範的な応用を促進する
• Effectively safeguard national sovereignty, security and development interests • 国家の主権、安全、発展利益を効果的に保護する
• Protect the legitimate rights and interests of citizens, legal persons and other organizations • 国民、法人、その他の組織の正当な権利と利益を防御する
• Guarantee that AI technology benefits humanity • AI技術が人類に恩恵をもたらすことを保証する
1.1 Be inclusive and prudent to ensure safety 1.1 包括的かつ慎重に安全性を確保する
We encourage development and innovation and take an inclusive approach to AI research, development, and application. We make every effort to ensure AI safety, and will take timely measures to address any risks that threaten national security, harm the public interest, or infringe upon the legitimate rights and interests of individuals. AIの研究、開発、応用において、開発とイノベーションを奨励し、包括的なアプローチを取る。AIの安全性を確保するためにあらゆる努力を払い、国家安全保障を脅かし、公益を損ない、個人の正当な権利と利益を侵害するリスクに対しては、適時に対策を講じる。
1.2 Identify risks with agile governance 1.2 機敏なガバナンスによるリスクの識別
By closely tracking trends in AI research, development, and application, we identify AI safety risks from two perspectives: the technology itself and its application. We propose tailored preventive measures to mitigate these risks. We follow the evolution of safety risks, swiftly adjusting our governance measures as needed. We are committed to improving the governance mechanisms and methods while promptly responding to issues warranting government oversight.  AIの研究、開発、応用に関する動向を注視し、技術そのものとその応用の2つの観点からAIの安全リスクを識別する。 これらのリスクを低減するための個別にカスタマイズされた予防策を提案する。 安全リスクの進化を追跡し、必要に応じてガバナンス対策を迅速に調整する。 ガバナンスの仕組みと手法の改善に努めるとともに、政府の監督が必要な問題には迅速に対応する。
1.3 Integrate technology and management for coordinated response 1.3 技術とマネジメントを統合し、協調的な対応を実現する
We adopt a comprehensive safety governance approach that integrates technology and management to prevent and address various safety risks throughout the entire process of AI research, development, and application. Within the AI research, development, and application chain, it is essential to ensure that all relevant parties, including model and algorithm researchers and developers, service providers, and users, assume their respective responsibilities for AI safety. This approach well leverages the roles of governance mechanisms involving government oversight, industry selfregulation, and public scrutiny. AIの研究、開発、応用の全プロセスにおいて、さまざまな安全リスクを防止し、対処するために、技術とマネジメントを統合した包括的な安全ガバナンスのアプローチを採用する。AIの研究、開発、応用の連鎖において、モデルやアルゴリズムの研究者や開発者、サービス・プロバイダー、ユーザーなど、すべての関係者がAIの安全性に対してそれぞれの責任を担うことが不可欠である。このアプローチは、政府の監督、業界の自主規制、および公的監視を含むガバナンスメカニズムの役割を十分に活用する。
1.4 Promote openness and cooperation for joint governance and shared benefits 1.4 共同ガバナンスと利益共有のための開放性と協調の促進
We promote international cooperation on AI safety governance, with the best practices shared worldwide. We advocate establishing open platforms and advance efforts to build broad consensus on a global AI governance system through dialogue and cooperation across various disciplines, fields, regions, and nations. 我々は、AIの安全性ガバナンスに関する国際協力を推進し、ベストプラクティスを世界中で共有する。我々は、オープンなプラットフォームの構築を提唱し、さまざまな分野、領域、地域、国々における対話と協力を通じて、グローバルなAIガバナンスシステムに関する幅広い合意形成に向けた取り組みを推進する。
2. Framework for AI safety governance 2. AI安全ガバナンスの枠組み
Based on the notion of risk management, this framework outlines control measures to address different types of AI safety risks through technological and managerial strategies. As AI research, development, and application rapidly evolves, leading to changes in the forms, impacts, and our perception of safety risks, it is necessary to continuously update control measures, and invite all stakeholders to refine the governance framework. リスクマネジメントの考え方に基づき、この枠組みでは、技術的および経営的な戦略を通じて、さまざまなAI安全リスクに対処するための管理対策の概要を示している。AIの研究、開発、応用が急速に進展し、安全リスクの形態、影響、および我々の安全リスクに対する認識が変化するにつれ、管理対策を継続的に更新し、すべてのステークホルダーを招いてガバナンスの枠組みを改善していく必要がある。
2.1 Safety and security risks 2.1 安全・セキュリティリスク
By examining the characteristics of AI technology and its application scenarios across various industries and fields, we pinpoint safety and security risks and potential dangers that are inherently linked to the technology itself and its application. AI技術の特性と、さまざまな産業・分野における適用シナリオを検討し、技術そのものやその適用に内在する安全・セキュリティリスクや潜在的な危険性を特定する。
2.2 Technical countermeasures 2.2 技術的対策
Regarding models and algorithms, training data, computing facilities, products and services, and application scenarios, we propose targeted technical measures to improve the safety, fairness, reliability, and robustness of AI products and applications. These measures include secure software development, data quality improvement, construction and operations security enhancement, and conducting evaluation, monitoring, and reinforcement activities. モデルやアルゴリズム、学習データ、計算設備、製品・サービス、適用シナリオなどについて、AI製品やアプリケーションの安全性、公平性、信頼性、堅牢性を向上させるための技術的対策を提案する。これらの対策には、セキュアなソフトウェア開発、データ品質の改善、構築と運用におけるセキュリティ強化、評価、監視、強化活動の実施などが含まれる。
2.3 Comprehensive governance measures 2.3 包括的なガバナンス対策
In accordance with the principle of coordinated efforts and joint governance, we clarify the measures that all stakeholders, including technology research institutions, product and service providers, users, government agencies, industry associations, and social organizations, should take to identify, prevent, and respond to AI safety risks.  協調と共同ガバナンスの原則に従い、技術研究機関、製品およびサービスプロバイダ、ユーザー、政府機関、業界団体、社会組織など、すべてのステークホルダーがAIの安全リスクを識別、防止、対応するために取るべき対策を明確にする。
2.4 Safety guidelines for AI development and application 2.4 AIの開発と応用における安全ガイドライン
We propose several safety guidelines for AI model and algorithm developers, AI service providers, users in key areas, and general users, to develop and apply AI technology.  AIモデルおよびアルゴリズムの開発者、AIサービスプロバイダ、主要分野の利用者、一般利用者がAI技術を開発・応用するにあたり、いくつかの安全ガイドラインを提案する。
3. Classification of AI safety risks 3. AIの安全リスクの分類
Safety risks exist at every stage throughout the AI chain, from system design to research and development (R&D), training, testing, deployment, utilization, and maintenance. These risks stem from inherent technical flaws as well as misuse, abuse, and malicious use of AI. 安全リスクは、システム設計から研究開発(R&D)、訓練、テスト、展開、利用、保守に至るまで、AIのチェーンのすべてのステージに存在する。これらのリスクは、AIに内在する技術的な欠陥や、AIの誤用、乱用、悪用に起因する。
3.1 AI's inherent safety risks 3.1 AIに内在する安全リスク
3.1.1 Risks from models and algorithms 3.1.1 モデルとアルゴリズムに起因するリスク
(a) Risks of explainability  (a) 説明可能性のリスク
AI algorithms, represented by deep learning, have complex internal workings. Their black-box or grey-box inference process results in unpredictable and untraceable outputs, making it challenging to quickly rectify them or trace their origins for accountability should any anomalies arise. ディープラーニングに代表されるAIアルゴリズムは、複雑な内部構造を持つ。ブラックボックスまたはグレイボックスの推論プロセスは、予測不可能で追跡不可能な出力を生み出すため、異常が発生した場合に迅速に修正したり、説明責任を果たすために原因を追跡したりすることが困難になる。
(b) Risks of bias and discrimination (b) バイアスおよび差別のリスク
During the algorithm design and training process, personal biases may be introduced, either intentionally or unintentionally. Additionally, poor-quality datasets can lead to biased or discriminatory outcomes in the algorithm's design and outputs, including discriminatory content regarding ethnicity, religion, nationality and region. アルゴリズムの設計およびトレーニングの過程において、意図的または非意図的に個人のバイアスが導入される可能性がある。さらに、品質の低いデータセットは、アルゴリズムの設計および出力において、人種、宗教、国籍、地域に関する識別的なコンテンツを含む、バイアスまたは差別的な結果につながる可能性がある。
(c) Risks of robustness (c) 頑健性のリスク
As deep neural networks are normally non-linear and large in size, AI systems are susceptible to complex and changing operational environments or malicious interference and inductions, possibly leading to various problems like reduced performance and decision-making errors. ディープニューラルネットワークは通常、非線形かつ規模が大きいため、AIシステムは複雑かつ変化する運用環境や悪意のある干渉や誘導の影響を受けやすく、パフォーマンスの低下や意思決定エラーなどのさまざまな問題につながる可能性がある。
(d) Risks of stealing and tampering (d) 盗用や改ざんのリスク
Core algorithm information, including parameters, structures, and functions, faces risks of inversion attacks, stealing, modification, and even backdoor injection, which can lead to infringement of intellectual property rights (IPR) and leakage of business secrets. It can also lead to unreliable inference, wrong decision output and even operational failures. パラメータ、構造、機能などのコアアルゴリズム情報は、逆アタック、盗用、改ざん、さらにはバックドアの挿入のリスクにさらされており、知的財産権(IPR)の侵害や企業秘密の漏洩につながる可能性がある。また、信頼性の低い推論、誤った判断結果、さらには運用上の障害につながる可能性もある。
(e) Risks of unreliable output (e) 信頼性の低い出力のリスク
Generative AI can cause hallucinations, meaning that an AI model generates untruthful or unreasonable content, but presents it as if it were a fact, leading to biased and misleading information. 生成的AIは幻覚を引き起こす可能性があり、つまりAIモデルが真実ではない、または非合理的なコンテンツを生成し、あたかもそれが事実であるかのように提示することで、偏った誤解を招く情報につながる。
(f) Risks of adversarial attack (f) 敵対的攻撃のリスク
Attackers can craft well-designed adversarial examples to subtly mislead, influence and even manipulate AI models, causing incorrect outputs and potentially leading to operational failures. 攻撃者は、AIモデルを巧妙に欺き、影響を与え、場合によっては操作する巧妙に設計された敵対的サンプルを作成することができ、不正な出力を引き起こし、運用上の障害につながる可能性がある。
3.1.2 Risks from data 3.1.2 データに起因するリスク
(a)Risks of illegal collection and use of data (a) データの違法な収集と利用のリスク
The collection of AI training data and the interaction with users during service provision pose security risks, including collecting data without consent and improper use of data and personal information. AIの学習データの収集やサービス提供時のユーザーとのやりとりには、同意なしのデータ収集や、データや個人情報の不適切な利用など、セキュリティ上のリスクが伴う。
(b)Risks of improper content and poisoning in training data (b) 学習データにおける不適切なコンテンツやポイズニングのリスク
If the training data includes illegal or harmful information like false, biased and IPR-infringing content, or lacks diversity in its sources, the output may include harmful content like illegal, malicious, or extreme information. Training data is also at risk of being poisoned from tampering, error injection, or misleading actions by attackers. This can interfere with the model's probability distribution, reducing its accuracy and reliability. 学習データに虚偽、バイアス、知的財産権侵害などの違法または有害な情報が含まれていたり、ソースに多様性が欠けていたりすると、出力に違法、悪意のある、極端な情報などの有害なコンテンツが含まれる可能性がある。また、トレーニングデータは、攻撃者による改ざん、エラーの注入、誤解を招く行為などによってポイズニングされるリスクもある。これにより、モデルの確率分布が妨げられ、その精度と信頼性が低下する可能性がある。
(c)Risks of unregulated training data annotation (c) 規制されていないトレーニングデータ・アノテーションのリスク
Issues with training data annotation, such as incomplete annotation guidelines, incapable annotators, and errors in annotation, can affect the accuracy, reliability, and effectiveness of models and algorithms. Moreover, they can introduce training biases, amplify discrimination, reduce generalization abilities, and result in incorrect outputs. トレーニングデータ・アノテーションに関する問題、例えば、不完全なアノテーションガイドライン、アノテーターの能力不足、アノテーションのエラーなどは、モデルやアルゴリズムの精度、信頼性、有効性に影響を与える可能性がある。さらに、学習バイアスが生じたり、識別性が強まったり、汎化能力が低下したりして、誤った出力結果につながる可能性もある。
(d) Risks of data leakage  (d) データ漏洩のリスク
In AI research, development, and applications, issues such as improper data processing, unauthorized access, malicious attacks, and deceptive interactions can lead to data and personal information leaks.  AIの研究、開発、応用において、不適切なデータ処理、不正アクセス、悪意ある攻撃、欺瞞的なやりとりなどの問題は、データや個人情報の漏洩につながる可能性がある。
3.1.3 Risks from AI systems 3.1.3 AIシステムがもたらすリスク
(a)Risks of exploitation through defects and backdoors (a) 欠陥やバックドアによる悪用リスク
The standardized API, feature libraries, toolkits used in the design, training, and verification stages of AI algorithms and models, development interfaces, and execution platforms, may contain logical flaws and vulnerabilities. These weaknesses can be exploited, and in some cases, backdoors can be intentionally embedded, posing significant risks of being triggered and used for attacks. AIアルゴリズムやモデルの設計、訓練、検証段階で使用される標準化されたAPI、機能ライブラリ、ツールキット、開発インターフェース、実行プラットフォームには、論理的な欠陥や脆弱性が含まれている可能性がある。これらの弱点が悪用される可能性があり、場合によっては意図的にバックドアが仕掛けられることもあり、攻撃の引き金となり悪用されるリスクが大きい。
(b) Risks of computing infrastructure security  (b) コンピューティングインフラのセキュリティリスク
The computing infrastructure underpinning AI training and operations, which relies on diverse and ubiquitous computing nodes and various types of computing resources, faces risks such as malicious consumption of computing resources and cross-boundary transmission of security threats at the layer of computing infrastructure. AIのトレーニングと運用を支えるコンピューティングインフラは、多様かつユビキタスなコンピューティングノードとさまざまな種類のコンピューティングリソースに依存しているため、コンピューティングインフラのレイヤーにおいて、コンピューティングリソースの悪用やセキュリティ脅威の境界を越えた伝播などのリスクに直面している。
(c) Risks of supply chain security (c) サプライチェーンセキュリティのリスク
The AI industry relies on a highly globalized supply chain. However, certain countries may use unilateral coercive measures, such as technology barriers and export restrictions, to create development obstacles and maliciously disrupt the global AI supply chain. This can lead to significant risks of supply disruptions for chips, software, and tools. AI産業は高度にグローバル化されたサプライチェーンに依存している。しかし、一部の国が技術障壁や輸出規制などの一方的な強制措置を用いて開発上の障害を作り出し、グローバルなAIサプライチェーンを悪意を持って混乱させる可能性がある。これにより、チップ、ソフトウェア、ツールの供給が中断される重大なリスクが生じる可能性がある。
3.2 Safety risks in AI applications 3.2 AIアプリケーションにおける安全リスク
3.2.1 Cyberspace risks 3.2.1 サイバー空間におけるリスク
(a) Risks of information and content safety (a) 情報およびコンテンツの安全性に関するリスク
AI-generated or synthesized content can lead to the spread of false information, discrimination and bias, privacy leakage, and infringement issues, threatening the safety of citizens' lives and property, national security, ideological security, and causing ethical risks. If users’ inputs contain harmful content, the model may output illegal or damaging information without robust security mechanisms. AIが生成または合成したコンテンツは、誤った情報の拡散、差別やバイアス、プライバシー漏洩、権利侵害問題につながり、市民の生命や財産の安全、国家安全保障、イデオロギー上の安全を脅かし、倫理上のリスクを引き起こす可能性がある。ユーザーの入力に有害なコンテンツが含まれている場合、強固なセキュリティメカニズムがなければ、モデルが違法または有害な情報を出力する可能性がある。
(b) Risks of confusing facts, misleading users, and bypassing authentication (b) 事実の混同、ユーザーの誤解、認証の回避に関するリスク
AI systems and their outputs, if not clearly labeled, can make it difficult for users to discern whether they are interacting with AI and to identify the source of generated content. This can impede users' ability to determine the authenticity of information, leading to misjudgment and misunderstanding. Additionally, AI-generated highly realistic images, audio, and videos may circumvent existing identity verification mechanisms, such as facial recognition and voice recognition, rendering these authentication processes ineffective. AIシステムおよびその出力は、明確にラベル付けされていない場合、ユーザーがAIとやりとりしているのか、生成されたコンテンツのソースを識別しているのかを区別することが困難になる可能性がある。これにより、ユーザーが情報の真正性を判断する能力が妨げられ、誤った判断や誤解につながる可能性がある。さらに、AIが生成する極めて現実的な画像、音声、動画は、顔認識や音声認識などの既存の本人確認メカニズムを回避し、これらの認証プロセスを無効にしてしまう可能性がある。
(c) Risks of information leakage due to improper usage (c) 不適切な利用による情報漏洩のリスク
Staff of government agencies and enterprises, if failing to use the AI service in a regulated and proper manner, may input internal data and industrial information into the AI model, leading to leakage of work secrets, business secrets and other sensitive business data. 政府機関やエンタープライズのスタッフがAIサービスを適切に管理せずに利用した場合、内部データや産業情報をAIモデルに入力し、業務上の秘密や企業秘密、その他の機密性の高い業務データの漏洩につながる可能性がある。
(d) Risks of abuse for cyberattacks (d) サイバー攻撃悪用リスク
AI can be used in launching automatic cyberattacks or increasing attack efficiency, including exploring and making use of vulnerabilities, cracking passwords, generating malicious codes, sending phishing emails, network scanning, and social engineering attacks. All these lower the threshold for cyberattacks and increase the difficulty of security protection.  AIは、自動サイバー攻撃の実行や攻撃効率の向上に利用される可能性があり、これには脆弱性の探索と利用、パスワードのクラッキング、悪意のあるコードの生成、フィッシングメールの送信、ネットワークスキャン、ソーシャルエンジニアリング攻撃などが含まれる。これらのすべてがサイバー攻撃の敷居を下げ、防御の難易度を高める。
(e) Risks of security flaw transmission caused by model reuse (e) モデルの再利用によるセキュリティ欠陥伝播リスク
Re-engineering or fine-tuning based on foundation models is commonly used in AI applications. If security flaws occur in foundation models, it will lead to risk transmission to downstream models.  基礎モデルに基づく再エンジニアリングや微調整は、AIの応用において一般的に使用されている。基礎モデルにセキュリティ欠陥が発生した場合、下流のモデルへのリスク伝播につながる。
3.2.2 Real-world risks  3.2.2 現実世界のリスク
(a)Inducing traditional economic and social security risks (a) 従来の経済・社会のセキュリティリスクを誘発
AI is used in finance, energy, telecommunications, traffic, and people's livelihoods, such as self-driving and smart diagnosis and treatment. Hallucinations and erroneous decisions of models and algorithms, along with issues such as system performance degradation, interruption, and loss of control caused by improper use or external attacks, will pose security threats to users' personal safety, property, and socioeconomic security and stability. AIは、金融、エネルギー、通信、交通、自動運転やスマート診断・治療などの人々の生活に利用されている。モデルやアルゴリズムの幻覚や誤った判断、不適切な使用や外部からの攻撃によるシステム性能の低下、中断、制御不能などの問題は、ユーザーの生命、財産、社会経済の安全と安定に対するセキュリティ上の脅威となる。
(b) Risks of using AI in illegal and criminal activities (b) 違法・犯罪行為におけるAI利用のリスク
AI can be used in traditional illegal or criminal activities related to terrorism, violence, gambling, and drugs, such as teaching criminal techniques, concealing illicit acts, and creating tools for illegal and criminal activities. AIは、犯罪技術の伝授、違法行為の隠蔽、違法・犯罪行為のためのツールの作成など、テロ、暴力、賭博、麻薬などに関連する伝統的な違法・犯罪行為に利用される可能性がある。
(c) Risks of misuse of dual-use items and technologies (c) デュアルユースの物品および技術の悪用リスク
Due to improper use or abuse, AI can pose serious risks to national security, economic security, and public health security, such as greatly reducing the capability requirements for non-experts to design, synthesize, acquire, and use nuclear, biological, and chemical weapons and missiles; designing cyber weapons that launch network attacks on a wide range of potential targets through methods like automatic vulnerability discovering and exploiting. 不適切な使用や乱用により、AIは、核兵器、生物兵器、化学兵器、ミサイルの設計、合成、取得、使用に必要な能力要件を大幅に低下させること、自動脆弱性発見や悪用などの手法により、幅広い潜在的な標的に対するネットワーク攻撃を仕掛けるサイバー兵器を設計することなど、国家安全保障、経済安全保障、公衆衛生安全保障に深刻なリスクをもたらす可能性がある。
3.2.3 Cognitive risks  3.2.3 認知リスク
(a) Risks of amplifying the effects of "information cocoons" (a) 「情報繭」の影響を増幅するリスク
AI can be extensively utilized for customized information services, collecting user information, and analyzing types of users, their needs, intentions, preferences, habits, and even mainstream public awareness over a certain period. It can then be used to offer formulaic and tailored information and service, aggravating the effects of "information cocoons." AIは、カスタマイズされた情報サービス、ユーザー情報の収集、ユーザーの種類、ニーズ、意図、好み、習慣、さらには一定期間における主流の国民意識の分析に広く利用できる。そして、定型化された情報やサービスを提供し、カスタマイズされた情報やサービスを提供することで、「情報繭」の効果をさらに高めることができる。
(b) Risks of usage in launching cognitive warfare (b) 認知戦への利用リスク
AI can be used to make and spread fake news, images, audio, and videos, propagate content of terrorism, extremism, and organized crimes, interfere in internal affairs of other countries, social systems, and social order, and jeopardize sovereignty of other countries. AI can shape public values and cognitive thinking with social media bots gaining discourse power and agenda-setting power in cyberspace.  AIは、偽のニュース、画像、音声、動画を作成・拡散し、テロリズム、過激主義、組織犯罪のコンテンツを拡散し、他国の内政、社会システム、社会秩序に干渉し、他国の主権を脅かすために利用される可能性がある。AIは、サイバー空間で言説力やアジェンダ設定力を獲得したソーシャルメディア・ボットによって、公共の価値観や認知思考を形成することができる。
3.2.4 Ethical risks  3.2.4 倫理的リスク
(a)Risks of exacerbating social discrimination and prejudice, and widening the intelligence divide (a) 社会の差別や偏見を助長し、情報格差を拡大するリスク
AI can be used to collect and analyze human behaviors, social status, economic status, and individual personalities, labeling and categorizing groups of people to treat them discriminatingly, thus causing systematical and structural social discrimination and prejudice. At the same time, the intelligence divide would be expanded among regions.  AIは、人間の行動、社会的な地位、経済的な地位、個人の性格を収集・分析し、人々を識別し、カテゴリー分けして、識別的に扱うために使用される可能性があり、それによって、組織的かつ構造的な社会の差別や偏見が生じる。同時に、地域間の知能格差も拡大するだろう。 
(b)Risks of challenging traditional social order (b)従来の社会秩序への挑戦のリスク
The development and application of AI may lead to tremendous changes in production tools and relations, accelerating the reconstruction of traditional industry modes, transforming traditional views on employment, fertility, and education, and bringing challenges to stable performance of traditional social order.  AIの開発と応用は、生産手段と生産関係に大きな変化をもたらし、従来の産業形態の再構築を加速し、雇用、出生率、教育に対する従来の考え方を変え、従来の社会秩序の安定した運営に挑戦をもたらす可能性がある。
(c)Risks of AI becoming uncontrollable in the future (c) 将来、AIが制御不能になるリスク
With the fast development of AI technologies, there is a risk of AI autonomously acquiring external resources, conducting self-replication, become self-aware, seeking for external power, and attempting to seize control from humans.  AI技術が急速に発展するにつれ、AIが外部リソースを自律的に獲得し、自己複製を行い、自己認識力を持ち、外部の力を求め、人間から制御権を奪おうとするリスクがある。
4. Technological measures to address risks  4. リスクへの技術的対応策
Responding to the above risks, AI developers, service providers, and system users should prevent risks by taking technological measures in the fields of training data, computing infrastructures, models and algorithms, product services, and application scenarios. 上記リスクへの対応として、AI開発者、サービスプロバイダ、システム利用者は、学習データ、コンピューティングインフラ、モデル・アルゴリズム、製品サービス、適用シナリオの各分野において、技術的対応策を講じることにより、リスクを防止すべきである。
4.1 Addressing AI’s inherent safety risks  4.1 AIに内在する安全性リスクへの対応
4.1.1 Addressing risks from models and algorithms 4.1.1 モデルとアルゴリズムのリスクへの対応
(a) Explainability and predictability of AI should be constantly improved to provide clear explanation for the internal structure, reasoning logic, technical interfaces, and output results of AI systems, accurately reflecting the process by which AI systems produce outcomes. (a) AIの説明可能性と予測可能性を常に改善し、AIシステムの内部構造、推論ロジック、技術的インターフェース、出力結果について明確な説明を提供し、AIシステムが結果を生成するプロセスを正確に反映する。
(b) Secure development standards should be established and implemented in the design, R&D, deployment, and maintenance processes to eliminate as many security flaws and discrimination tendencies in models and algorithms as possible and enhance robustness.  (b) 設計、研究開発、展開、保守の各プロセスにおいて、モデルやアルゴリズムにおけるセキュリティ上の欠陥や識別的傾向を可能な限り排除し、ロバスト性を向上させるための安全な開発標準を策定し、実施すべきである。
4.1.2 Addressing risks from data 4.1.2 データに関するリスクへの対応
(a) Security rules on data collection and usage, and on processing personal information should be abided by in all procedures of training data and user interaction data, including data collection, storage, usage, processing, transmission, provision, publication, and deletion. This aims to fully ensure user’s legitimate rights stipulated by laws and regulations, such as their rights to control, to be informed, and to choose. (a) データ収集および利用、ならびにパーソナルデータの処理に関するセキュリティ規則は、データ収集、保存、利用、処理、送信、提供、公開、削除など、学習データおよびユーザーインタラクションデータのすべての処理手順において遵守されるべきである。これは、ユーザーの合法的な権利、例えば、制御、通知、選択の権利など、法律および規則で規定された権利を完全に確保することを目的としている。
(b) Protection of IPR should be strengthened to prevent infringement on IPR in stages such as selecting training data and result outputs.  (b) 知的財産権の防御を強化し、訓練データの選択や結果出力などの段階で知的財産権の侵害を段階的に防止すべきである。
(c) Training data should be strictly selected to ensure exclusion of sensitive data in high-risk fields such as nuclear, biological, and chemical weapons and missiles.  (c) 訓練データは厳格に選択し、核兵器、生物兵器、化学兵器、ミサイルなどリスクの高い分野の機微なデータを排除すべきである。
(d) Data security management should be strengthened to comply with data security and personal information protection standards and regulations if training data contains sensitive personal information and important data. (d) 訓練データに機微な個人情報や重要なデータが含まれる場合は、データセキュリティと個人情報保護の標準および規則を遵守し、データセキュリティ管理を強化すべきである。
(e) To use truthful, precise, objective, and diverse training data from legitimate sources, and filter ineffective, wrong, and biased data in a timely manner. (e) 合法的な情報源から取得した、正確かつ客観的で多様な学習データを使用し、効果のないデータ、誤ったデータ、バイアスのかかったデータを適時にフィルタリングすること。
(f) The cross-border provision of AI services should comply with the regulations on cross-border data flow. The external provision of AI models and algorithms should comply with export control requirements.  (f) AIサービスの国境を越えた提供は、国境を越えたデータフローに関する規制を遵守すべきである。AIモデルおよびアルゴリズムの外部提供は、輸出管理要件を遵守すべきである。
4.1.3 Addressing risks from AI system 4.1.3 AIシステムにおけるリスクへの対応
(a) To properly disclose the principles, capacities, application scenarios, and safety risks of AI technologies and products, to clearly label outputs, and to constantly make AI systems more transparent.  (a) AI技術および製品の原則、能力、適用シナリオ、安全リスクを適切に開示し、アウトプットを明確にラベル付けし、AIシステムの透明性を常に高めること。
(b) To enhance the risk identification, detection, and mitigation of platforms where multiple AI models or systems congregate, so as to prevent malicious acts or attacks and invasions that target the platforms from impacting the AI models or systems they support.  (b) 複数のAIモデルまたはシステムが集まるプラットフォームにおけるリスクの特定、検知、低減を強化し、プラットフォームを標的とした悪意のある行為や攻撃、侵入が、それらがサポートするAIモデルやシステムに影響を及ぼすことを防ぐこと。
(c) To strengthen the capacity of constructing, managing, and operating AI computing platforms and AI system services safely, with an aim to ensure uninterrupted infrastructure operation and service provision.   (c) AIコンピューティングプラットフォームおよびAIシステムサービスを安全に構築、管理、運用する能力を強化し、インフラの運用とサービス提供を中断させないことを目指す。
(d) To fully consider the supply chain security of the chips, software, tools, computing infrastructure, and data sources adopted for AI systems. To track the vulnerabilities and flaws of both software and hardware products and make timely repair and reinforcement to ensure system security.   (d) AIシステムに採用されるチップ、ソフトウェア、ツール、コンピューティングインフラ、データソースのサプライチェーンセキュリティを十分に考慮する。ソフトウェアおよびハードウェア製品の脆弱性と欠陥を追跡し、システムセキュリティを確保するために、適時に修復と強化を行う。 
4.2 Addressing safety risks in AI applications 4.2 AIアプリケーションの安全リスクへの対応
4.2.1 Addressing cyberspace risks 4.2.1 サイバー空間リスクへの対応
(a) A security protection mechanism should be established to prevent model from being interfered and tampered during operation to ensure reliable outputs. (a) 信頼性の高い出力を確保するため、運用中にモデルが干渉や改ざんを受けないよう、セキュリティ防御メカニズムを構築すべきである。
(b) A data safeguard should be set up to make sure that AI systems comply with applicable laws and regulations when outputting sensitive personal information and important data.  (b) 機密性の高い個人データや重要なデータをAIシステムが出力する際には、AIシステムが適用法や規制を遵守していることを保証するため、データ保護メカニズムを構築すべきである。
4.2.2 Addressing real-world risks  4.2.2 現実世界のリスクへの対応
(a) To establish service limitations according to users’ actual application scenarios and cut AI systems’ features that might be abused. AI systems should not provide services that go beyond the preset scope.  (a) ユーザーの実際の利用シナリオに応じてサービス制限を設け、悪用される可能性のあるAIシステムの機能を削減する。AIシステムは、あらかじめ設定された範囲を超えるサービスを提供してはならない。
(b) To improve the ability to trace the end use of AI systems to prevent high-risk application scenarios such as manufacturing of weapons of mass destruction, like nuclear, biological, chemical weapons and missiles.  (b) AIシステムの最終用途を追跡する能力を改善し、核兵器、生物兵器、化学兵器、ミサイルなどの大量破壊兵器の製造といった高リスクの適用シナリオを防止する。
4.2.3 Addressing cognitive risks 4.2.3 認知リスクへの対応
(a) To identify unexpected, untruthful, and inaccurate outputs via technological means, and regulate them in accordance with laws and regulations.  (a) 予期せぬ、虚偽の、不正確な出力を技術的手段で識別し、法律や規則に従って規制する。
(b) Strict measures should be taken to prevent abuse of AI systems that collect, connect, gather, analyze, and dig into users’ inquiries to profile their identity, preference, and personal mindset.  (b) ユーザーの問い合わせを収集、接続、収集、分析し、そのアイデンティティ、好み、個人的な考え方をプロファイリングするAIシステムの悪用を防ぐために、厳格な措置を取るべきである。
(c) To intensify R&D of AI-generated content (AIGC) testing technologies, aiming to better prevent, detect, and navigate the cognitive warfare. (c) 認知戦の防止、検知、回避をより効果的に行うことを目的として、AI生成コンテンツ(AIGC)のテスト技術の研究開発を強化する。
4.2.4 Addressing ethical risks 4.2.4 倫理的リスクへの対応
(a) Training data should be filtered and outputs should be verified during algorithm design, model training and optimization, service provision and other processes, in an effort to prevent discrimination based on ethnicities, beliefs, nationalities, region, gender, age, occupation and health factors, among others.  (a) アルゴリズムの設計、モデルの訓練と最適化、サービス提供、その他のプロセスにおいて、民族、信仰、国籍、地域、性別、年齢、職業、健康要因などに基づく識別を防止するために、訓練データはフィルタリングされ、出力は検証されるべきである。
(b) AI systems applied in key sectors, such as government departments, critical information infrastructure, and areas directly affecting public safety and people's health and safety, should be equipped with high-efficient emergency management and control measures.  (b) 政府部門、重要な情報インフラ、公共の安全や人々の健康と安全に直接影響する分野など、主要な分野で適用されるAIシステムには、高効率な緊急管理および制御手段を装備すべきである。
5. Comprehensive governance measures 5. 包括的なガバナンス対策
While adopting technological controls, we should formulate and refine comprehensive AI safety and security risk governance mechanisms and regulations that engage multi-stakeholder participation, including technology R&D institutions, service providers, users, government authorities, industry associations, and social organizations.  技術的コントロールを採用する一方で、技術研究開発機構、サービス・プロバイダー、ユーザー、政府当局、業界団体、社会組織など、多様なステークホルダーの参加を促す包括的なAIの安全およびセキュリティ・リスク・ガバナンスのメカニズムと規制を策定し、改善すべきである。
5.1 To implement a tiered and category-based management for AI application.  5.1 AIのアプリケーションに対して、段階的かつカテゴリー別の管理を実施する。
We should classify and grade AI systems based on their features, functions, and application scenarios, and set up a testing and assessment system based on AI risk levels. We should bolster enduse management of AI, and impose requirements on the adoption of AI technologies by specific users and in specific scenarios, thereby preventing AI system abuse. We should register AI systems whose computing and reasoning capacities have reached a certain threshold or those are applied in specific industries and sectors, and demand that such systems possess the safety protection capacity throughout the life cycle including design, R&D, testing, deployment, utilization, and maintenance. AIシステムをその特徴、機能、応用シナリオに基づいて分類・等級付けし、AIのリスクレベルに基づくテスト・アセスメントシステムを構築すべきである。AIのエンドユース管理を強化し、特定のユーザーや特定のシナリオにおけるAI技術の採用に要件を課すことで、AIシステムの悪用を防止すべきである。計算能力や推論能力が一定の水準に達したAIシステムや特定の産業・分野で応用されているAIシステムを登録し、設計、研究開発、テスト、展開、利用、保守といったライフサイクル全体を通じて安全保護能力を備えることを求めるべきである。

5.2 To develop a traceability management system for AI services.  5.2 AIサービスのトレーサビリティ管理システムを構築する。
We should use digital certificates to label the AI systems serving the public. We should formulate and introduce standards and regulations on AI output labeling, and clarify requirements for explicit and implicit labels throughout key stages including creation sources, transmission paths, and distribution channels, with a view to enable users to identify and judge information sources and credibility.  デジタル証明書を用いて、一般向けに提供されるAIシステムにラベルを付けるべきである。また、作成元、伝送経路、配信チャネルなど、主要な段階における明示的および暗示的なラベル付けの要件を明確にし、ユーザーが情報源や信頼性を識別・判断できるようにする。
5.3 To improve AI data security and personal information protection regulations.  5.3 AIデータのセキュリティと個人情報保護に関する規制を改善する。
We should explicate the requirements for data security and personal information protection in various stages such as AI training, labeling, utilization, and output based on the features of AI technologies and applications.  AI技術や応用分野の特徴を踏まえ、AIの訓練、ラベル付け、利用、アウトプットなど、さまざまな段階におけるデータセキュリティや個人情報保護の要件を明確化すべきである。 
5.4 To create a responsible AI R&D and application system.  5.4 責任あるAIの研究開発・応用体制の構築 
We should propose pragmatic instructions and best practices to uphold the people-centered approach and adhere to the principle of developing AI for good in AI R&D and application, and continuously align AI’s design, R&D, and application processes with such values and ethics. We should explore the copyright protection, development and utilization systems that adapt to the AI era and continuously advance the construction of highquality foundational corpora and datasets to provide premium resources for the safe development of AI. We should establish AI-related ethical review standards, norms, and guidelines to improve the ethical review system.  AIの研究開発と応用において、人間中心のアプローチを維持し、AIを善のために開発するという原則に従うための実用的な指示とベストプラクティスを提案し、AIの設計、研究開発、応用プロセスを継続的にそのような価値観や倫理観に沿うように調整すべきである。AI時代に適応した著作権保護、開発、利用システムを模索し、AIの安全な開発のための高品質な基礎コーパスとデータセットの構築を継続的に推進すべきである。AI関連の倫理審査基準、標準、ガイドラインを確立し、倫理審査システムを改善すべきである。
5.5 To strengthen AI supply chain security.  5.5 AIサプライチェーンのセキュリティを強化する。
We should promote knowledge sharing in AI, make AI technologies available to the public under open-source terms, and jointly develop AI chips, frameworks, and software. We should guide the industry to build an open ecosystem, enhance the diversity of supply chain sources, and ensure the security and stability of the AI supply chain. AIにおける知識共有を促進し、AI技術をオープンソース条件で公開し、AIチップ、フレームワーク、ソフトウェアを共同開発すべきである。業界を導いてオープンなエコシステムを構築し、サプライチェーンのソースの多様性を高め、AIサプライチェーンのセキュリティと安定性を確保すべきである。
5.6 To advance research on AI explainability.  5.6 AIの説明可能性に関する研究を推進する。
We should organize and conduct research on the transparency, trustworthiness, and error-correction mechanism in AI decision-making from the perspectives of machine learning theory, training methods and human-computer interaction. Continuous efforts should be made to enhance the explainability and predictability of AI to prevent malicious consequences resulting from unintended decisions made by AI systems. 機械学習理論、トレーニング方法、人間とコンピュータの相互作用の観点から、AIの意思決定における透明性、信頼性、エラー修正メカニズムに関する研究を組織し、実施すべきである。AIシステムの意図しない意思決定による悪意ある結果を防ぐため、AIの説明可能性と予測可能性を高めるための継続的な取り組みを行うべきである。
5.7 To share information, and emergency response of AI safety risks and threats.  5.7 AIの安全リスクと脅威に関する情報の共有と緊急対応を行う。
We should continuously track and analyze security vulnerabilities, defects, risks, threats, and safety incidents related to AI technologies, software and hardware products, services, and other aspects. We should coordinate with relevant developers and service providers to establish a reporting and sharing information mechanism on risks and threats. We should establish an emergency response mechanism for AI safety and security incidents, formulate emergency plans, conduct emergency drills, and handle AI safety hazards, AI security threats, and events timely, rapidly, and effectively. AI技術、ソフトウェアおよびハードウェア製品、サービス、その他の側面に関連するセキュリティ脆弱性、欠陥、リスク、脅威、安全インシデントを継続的に追跡・分析すべきである。関連する開発者およびサービスプロバイダと連携し、リスクおよび脅威に関する報告および情報共有の仕組みを構築すべきである。AIの安全およびセキュリティインシデントに対する緊急対応の仕組みを構築し、緊急対応計画を策定し、緊急対応訓練を実施し、AIの安全上の危険、AIのセキュリティ上の脅威、および事象に迅速かつ効果的に対応すべきである。
5.8 To enhance the training of AI safety  talents.  5.8 AI安全人材の育成を強化する。
We should promote the development of AI safety education in parallel with AI discipline. We should leverage schools and research institutions to strengthen talent cultivation in the fields of design, development, and governance for AI safety. Support should be given to cultivating top AI safety talent in the cutting-edge and foundational fields, and also expanding such talent pool in areas such as autonomous driving, intelligent healthcare, brain-inspired intelligence and brain-computer interface. AIの学問分野の発展と歩調を合わせて、AI安全教育の発展を推進すべきである。学校や研究機構を活用し、AI安全の設計、開発、ガバナンスの各分野における人材育成を強化すべきである。最先端分野および基盤分野におけるAI安全分野のトップ人材の育成を支援し、自動運転、インテリジェントヘルスケア、脳に着想を得たインテリジェンス、ブレイン・コンピュータ・インターフェースなどの分野における人材プールを拡大すべきである。
5.9 To establish and improve the mechanisms for AI safety education, industry self-regulation, and social supervision.  5.9 AI安全教育、業界の自主規制、社会監督のメカニズムを確立し、改善する。
We should strengthen education and training on the safe and proper use of AI among government, enterprises, and public service units. We should step up the promotion of knowledge related to AI risks and their prevention and response measures in order to increase public awareness of AI safety in all respects. We should guide and support industry associations in the fields of cybersecurity and AI to enhance industry self-regulation, and formulate self-regulation conventions that exceed regulatory requirements and serve exemplary roles. We should guide and encourage AI technology R&D institutions and service providers to continue to improve their safety capacity. A mechanism for handling public complaints and reports on AI risks and hazards should be established, forming an effective social supervision atmosphere for AI safety. 政府、エンタープライズ、公共サービス部門におけるAIの安全かつ適切な利用に関する教育と訓練を強化すべきである。AIのリスクと予防・対応策に関する知識の普及を強化し、AIの安全性に対する国民の意識をあらゆる面で高めるべきである。サイバーセキュリティとAIの分野における業界団体が業界の自主規制を強化し、規制要件を超える自主規制規約を策定し、模範的な役割を果たすよう、業界団体を指導・支援すべきである。AI技術の研究開発機構とサービスプロバイダが、安全性の能力を継続的に改善するよう指導・奨励すべきである。AIのリスクと危険性に関する公衆の苦情や報告に対応するメカニズムを構築し、AIの安全性に関する効果的な社会監督の環境を形成すべきである。
5.10 To promote international exchange and cooperation on AI safety governance.  5.10 AIの安全ガバナンスに関する国際交流と協力を推進する。
We should actively make efforts to conduct cooperation with countries, support the building of an international institution on AI governance within the United Nations framework to coordinate major issues related to AI development, safety, security, and governance. We should advance cooperation on AI safety governance under multilateral mechanisms such as APEC, G20 and BRICS, and strengthen cooperation with Belt and Road partner countries and Global South countries. Efforts should be made to study the matters relating to the construction of an AI safety governance alliance to increase the representation and voice of developing countries in global AI governance. AI enterprises and institutions should be encouraged to engage in international exchanges and cooperation, share their best practices, jointly develop international standards of AI safety.  AIの開発、安全性、セキュリティ、ガバナンスに関する主要な問題を調整するため、国連の枠組み内でAIガバナンスに関する国際機構の構築を支援し、各国との協力を積極的に行うべきである。我々は、APEC、G20、BRICSなどの多国間メカニズムの下でAI安全ガバナンスに関する協力を進め、一帯一路パートナー諸国およびグローバル・サウス諸国との協力を強化すべきである。AIのグローバルガバナンスにおける途上国の代表性と発言力を高めるために、AI安全ガバナンス同盟の構築に関する事項の研究に努めるべきである。AI企業および機構は、国際交流と協力を奨励し、ベストプラクティスを共有し、AI安全の国際標準を共同開発すべきである。 
6. Safety guidelines for AI development and application 6. AIの開発と応用に関する安全ガイドライン
6.1 Safety guidelines for model algorithm developers 6.1 モデルアルゴリズム開発者のための安全ガイドライン
(a) Developers should uphold a people-centered approach, adhere to the principle of AI for good, and follow science and technology ethics in key stages such as requirement analysis, project initiation, model design and development, and training data selection and use, by taking measures such as internal discussions, organizing expert evaluations, conducting technological ethical reviews, listening to public opinions, communicating and exchanging ideas with potential target audience, and strengthening employee safety education and training. (a) 開発者は、人間中心のアプローチを堅持し、AI for goodの原則を遵守し、要件分析、プロジェクト 内部での議論、専門家の評価の実施、技術倫理審査の実施、世論の聴取、潜在的な対象者とのコミュニケーションや意見交換、従業員の安全教育や研修の強化などの措置を講じることにより、要件分析、プロジェクトの開始、モデルの設計と開発、訓練データの選択と使用などの重要な段階において、人間中心のアプローチを維持し、AIの善用という原則に従い、科学技術倫理に従うべきである。
(b) Developers should strengthening data security and personal information protection, respect intellectual property and copyright, and ensure that data sources are clear and acquisition methods are compliant. Developers should establish a comprehensive data security management procedure, ensuring data security and quality as well as compliant use, to prevent risks such as data leakage, loss, and diffusion, and properly handle user data when terminating AI products. (b) 開発者は、データセキュリティと個人情報の保護を強化し、知的財産権と著作権を尊重し、データソースが明確であり、取得方法が適法であることを保証すべきである。開発者は、データ漏洩、損失、拡散などのリスクを防止し、AI製品の終了時にユーザーデータを適切に処理するために、データセキュリティと品質を確保し、コンプライアンスに準拠した利用を徹底した包括的なデータセキュリティ管理手順を確立すべきである。
(c) Developers should guarantee the security of training environment for AI model algorithms, including cybersecurity configurations and data encryption measures. (c) 開発者は、サイバーセキュリティ構成やデータ暗号化対策など、AIモデルアルゴリズムのトレーニング環境のセキュリティを保証すべきである。
(d) Developers should assess potential biases in AI models and algorithms, improve sampling and testing for training data content and quality, and come up with effective and reliable alignment algorithms to ensure risks like value and ethical risks are controllable. (d) 開発者は、AIモデルおよびアルゴリズムにおける潜在的なバイアスをアセスメントし、学習データのコンテンツおよび品質に関するサンプリングとテストを改善し、価値リスクや倫理リスクなどのリスクを制御可能なものとするために、効果的かつ信頼性の高いアラインメントアルゴリズムを考案すべきである。
(e) Developers should evaluate the readiness of AI products and services based on the legal and risk management requirements of the target markets. (e) 開発者は、対象市場の法的およびリスクマネジメント要件に基づいて、AI製品およびサービスの準備状況を評価すべきである。
(f) Developers should effectively manage different versions of AI products and related datasets. Commercial versions should be capable of reverting to previous versions if necessary. (f) 開発者は、AI製品および関連データセットの異なるバージョンを効果的に管理すべきである。商用バージョンは、必要に応じて以前のバージョンに戻せるようにすべきである。
(g) Developers should regularly conduct safety and security evaluation tests. Before testing, they should define test objectives, scope, safety and security dimensions, and construct diverse test datasets covering all kinds of application scenarios.  (g) 開発者は、安全性およびセキュリティ評価テストを定期的に実施すべきである。テスト実施前に、テストの目的、範囲、安全性およびセキュリティの次元を定義し、あらゆる種類のアプリケーションシナリオを網羅する多様なテストデータセットを構築すべきである。
(h) Developers should formulate clear test rules and methods, including manual testing, automated testing, and hybrid testing, and utilize technologies such as sandbox simulations to fully test and verify models.  (h) 開発者は、手動テスト、自動テスト、ハイブリッドテストを含む明確なテストルールと方法を策定し、サンドボックスシミュレーションなどの技術を活用して、モデルを十分にテストし検証すべきである。
(i) Developers should evaluate tolerance of AI products and services for external interferences and notify service providers and users in forms of application scope, precautions, and usage prohibitions.  (i) 開発者は、AI製品およびサービスが外部からの干渉に対してどの程度耐性があるかを評価し、適用範囲、注意事項、使用禁止などの形でサービスプロバイダおよびユーザーに通知すべきである。
(j) Developers should generate detailed test reports to analyze safety and security issues, and propose improvement plans.  (j) 開発者は、安全性とセキュリティの問題を分析し、改善計画を提案するために、詳細なテストレポートを作成すべきである。
6.2 Safety guidelines for AI service providers  6.2 AIサービスプロバイダの安全ガイドライン
(a) Service providers should publicize capabilities, limitations, target users, and use cases of AI products and services.  (a) サービスプロバイダは、AI製品およびサービスの機能、限界、対象ユーザー、および使用事例を公表すべきである。
(b) Service providers should inform users of the application scope, precautions, and usage prohibitions of AI products and services in a user-friendly manner within contracts or service agreements, supporting informed choices and cautious use by users. (b) サービスプロバイダは、契約またはサービス契約の中で、ユーザーにAI製品およびサービスの適用範囲、注意事項、および使用禁止事項をユーザーにわかりやすい方法で通知し、ユーザーによる情報に基づいた選択と慎重な使用を支援すべきである。
(c) Service providers should support users to undertake responsibilities of supervision and control within documents such as consent forms and service agreements. (c) サービスプロバイダは、同意書やサービス契約などの文書の中で、ユーザーが監督と制御の責任を負うことを支援すべきである。
(d) Service providers should ensure that users understand AI products' accuracy, and prepare explanatory plans when AI decisions exert significant impact. (d) サービスプロバイダは、ユーザーがAI製品の精度を理解していることを確認し、AIの判断が重大な影響を及ぼす場合は説明計画を準備すべきである。
(e) Service providers should review responsibility statements provided by developers to ensure that the chain of responsibility can be traced back to any recursively employed AI models. (e) サービスプロバイダは、開発者が提供する責任に関する声明を検証し、責任の連鎖が再帰的に使用されるAIモデルにまで遡って追跡できることを確認すべきである。
(f) Service providers should increase awareness of AI risk prevention, establish and improve a real-time risk monitoring and management mechanism, and continuously track operational security risks. (f) サービス・プロバイダは、AIリスクの予防に対する意識を高め、リアルタイムのリスクモニタリングおよびリスクマネジメントの仕組みを構築・改善し、運用上のセキュリティリスクを継続的に追跡すべきである。
(g) Service providers should assess the ability of AI products and services to withstand or overcome adverse conditions under faults, attacks, or other anomalies, and prevent unexpected results and behavioral errors, ensuring that a minimum level of effective functionality is maintained. (g) サービス・プロバイダは、AI製品およびサービスが、エラー、攻撃、その他の異常な状況下で、悪条件に耐える、または悪条件を克服する能力をアセスメントし、予期せぬ結果や動作エラーを防止し、最低限の有効な機能が維持されることを保証すべきである。
(h) Service providers should promptly report safety and security incidents and vulnerabilities detected in AI system operations to competent authorities. (h) サービスプロバイダは、AIシステムの運用において検知した安全およびセキュリティインシデント、ならびに脆弱性を、速やかに管轄当局に報告すべきである。
(i) Service providers should stipulate in contracts or service agreements that they have the right to take corrective measures or terminate services early upon detecting misuse and abuse not conforming to usage intention and stated limitations. (i) サービスプロバイダは、利用目的や規定された制限に適合しない誤用や乱用を検知した場合、是正措置を講じたり、早期にサービスを終了する権利を有することを、契約またはサービス契約に明記すべきである。
(j) Service providers should assess the impact of AI products on users, preventing harm to users' mental and physical health, life, and property.  (j) サービスプロバイダは、AI製品がユーザーに与える影響をアセスメントし、ユーザーの心身の健康、生命、財産への被害を防止すべきである。
6.3 Safety guidelines for users in key areas 6.3 主要分野におけるユーザーの安全ガイドライン
(a) For users in key sectors such as government departments, critical information infrastructure, and areas directly affecting public safety and people's health and safety, they should prudently assess the long-term and potential impacts of applying AI technology in the target application scenarios and conduct risk assessments and grading to avoid technology abuse. (a) 政府部門、重要な情報インフラ、公共の安全や人々の健康と安全に直接影響する分野など、主要分野のユーザーは、対象となるアプリケーションシナリオにAI技術を適用した場合の長期的および潜在的な影響を慎重にアセスメントし、リスクアセスメントと格付けを実施して、技術の悪用を回避すべきである。
(b) Users should regularly perform system audits on the applicable scenarios, safety, reliability, and controllability of AI systems, while enhancing awareness of risk prevention and response capabilities. (b) ユーザーは、リスク予防と対応能力に対する意識を高めつつ、該当するシナリオ、AIシステムの安全性、信頼性、制御可能性について、定期的にシステム監査を行うべきである。
(c) Users should fully understand its data processing and privacy protection measures before using an AI product. (c) ユーザーは、AI製品を使用する前に、そのデータ処理およびプライバシー保護対策を十分に理解すべきである。
(d) Users should use high-security passwords and enable multi-factor authentication mechanisms to enhance account security. (d) ユーザーは、アカウントのセキュリティを強化するために、安全性の高いパスワードを使用し、多要素認証メカニズムを有効にすべきである。
(e) Users should enhance their capabilities in areas such as network security and supply chain security to reduce the risk of AI systems being attacked and important data being stolen or leaked, as well as ensure uninterrupted business. (e) ユーザーは、AIシステムが攻撃を受け、重要なデータが盗難または漏洩されるリスクを低減し、かつ、事業の中断を防止するために、ネットワークセキュリティやサプライチェーンセキュリティなどの分野における能力を強化すべきである。
(f) Users should properly limit data access, develop data backup and recovery plans, and regularly check data processing flow. (f) ユーザーは、データアクセスを適切に制限し、データバックアップおよび復旧計画を策定し、データ処理の流れを定期的に確認すべきである。
(g) Users should ensure that operations comply with confidentiality provisions and use encryption technology and other protective measures when processing sensitive data. (g) ユーザーは、機密保持規定に準拠した運用を確保し、機密データを処理する際には暗号化技術やその他の防御策を使用すべきである。
(h) Users should effectively supervise the behavior and impact of AI, and ensure that AI products and services operate under human authorization and remain subject to human control. (h) ユーザーは、AIの行動と影響を効果的に監督し、AI製品およびサービスが人間の認可の下で運用され、人間の管理下にあることを確保すべきである。
(i) Users should avoid complete reliance on AI for decision making, monitor and record instances where users turn down AI decisions, and analyze inconsistencies in decision-making. They should have the capability to swiftly shift to human-based or traditional methods in the event of an accident. (i) 利用者は、意思決定においてAIに完全に依存することを避け、AIの判断を拒否する事例を監視・記録し、意思決定における矛盾を分析すべきである。また、事故が発生した場合には、迅速に人間による方法や従来の方法に切り替える能力を備えるべきである。
6.4 Safety guidelines for general users 6.4 一般利用者向けの安全ガイドライン
(a) Users should raise their awareness of the potential safety risks associated with AI products, and select AI products from reputable providers. (a) 利用者は、AI製品に関連する潜在的な安全リスクに対する認識を高め、信頼できるプロバイダのAI製品を選択すべきである。
(b) Before using an AI product, users should carefully review the contract or service terms to understand its functions, limitations, and privacy policies. Users should accurately recognize the limitations of AI products in making judgments and decisions, and set reasonable expectations. (b) 利用者は、AI製品を使用する前に、契約またはサービス条件を慎重に確認し、その機能、限界、プライバシーポリシーを理解すべきである。利用者は、AI製品が判断や決定を行う際の限界を正確に認識し、合理的な期待を設定すべきである。
(c) Users should enhance awareness of personal information protection and avoid entering sensitive information unnecessarily. (c) 利用者は、個人情報保護に対する意識を高め、不必要に機密情報を入力しないようにすべきである。
(d) Users should be informed about data processing practices and avoid using products that are not in conformity with privacy principles. (d) 利用者は、データ処理の慣行について知らされるべきであり、プライバシー原則に準拠していない製品を使用しないようにすべきである。
(e) Users should be mindful of cybersecurity risks when using AI products to prevent them from becoming targets of cyberattacks. (e) 利用者は、AI製品を使用する際にサイバーセキュリティリスクを意識し、サイバー攻撃の標的にならないようにすべきである。
(f) Users should be aware of the potential impact of AI products on minors and take steps to prevent addiction and excessive use. (f) 利用者は、AI製品が未成年者に与える潜在的な影響を認識し、依存や過剰利用を防ぐための措置を講じるべきである。
Table of AI Safety and Security Risks to Technical Countermeasures and Comprehensive Governance Measures 表 技術的対策と包括的ガバナンス対策のAIの安全性とセキュリティリスク

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

 中国

・2023.09.11 中国 生成的AIについての専門家の解釈 (2023.08.29)

・2023.07.14 中国 国家サイバースペース管理局他 生成的AIサービス管理暫定弁法 施行は2023.08.15

・2023.04.12 中国 意見募集 生成的人工知能サービス管理弁法

・2022.04.25 中国 人工知能白書 2022 (2022.04.12)

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

 

  日本...

・2024.04.20 経済産業省 AI事業者ガイドライン(第1.0版)

 

米国

・2024.03.31 米国 連邦政府機関の人工知能利用におけるガバナンス、イノベーション、リスク管理を推進するためのOMBの方針

・2023.12.15 連邦政府テクノロジー・リーダーがOMBのAI政策ドラフトについて知っておくべきことトップ10

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

 

その他

・2024.06.07 欧州委員会 安全で信頼できる人工知能におけるEUのリーダーシップを強化するため、AI事務局を設置 (2024.05.29)

・2024.05.07 OECD 閣僚会議声明とAI原則の改訂...

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2024.02.07 ASEAN AIのガバナンスと倫理のガイド + 第4回デジタル大臣会合 シンガポール宣言...

・2024.02.06 経済産業省 AIマネジメントシステムの国際規格が発行されました (2024.01.15)

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

| | Comments (0)

2024.09.21

中国 国家情報化発展報告 (2023) (2024.09.06)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が、国家情報化発展報告(2023)を公表していますね...

人口が日本の10倍以上の国ですから、普及に関するいろいろな数字もやはりすごい数字です...

中国はGDPが世界で2番目の国ですから、日本が学ぶべきことはあるかもしれませんね...

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2024.09.06 国家互联网信息办公室发布《国家信息化发展报告(2023年)》

 

国家互联网信息办公室发布《国家信息化发展报告(2023年)》 国家サイバースペース管理局は「国家情報化発展報告(2023)」を発表した
为深入贯彻落实党中央、国务院关于信息化发展的重要部署,深入实施《“十四五”国家信息化规划》,国家互联网信息办公室会同有关方面梳理总结2023年各地区、各部门信息化发展情况,开展信息化发展水平监测评估,编制形成《国家信息化发展报告(2023年)》(以下简称《报告》)。 情報化の発展に関する中国共産党中央委員会および国務院の重要な取り決めを徹底的に実施し、「第14次国家情報化5ヵ年計画」を徹底的に実施するために、中国国家サイバースペース管理局は関係各所と共同で、2023年の各地方および各部門における情報化の発展状況をまとめ、情報化の発展レベルの監視とアセスメントを実施し、「国家情報化発展報告(2023年)」(以下、「報告」)をまとめた。
《报告》指出,新时代新征程信息化肩负新使命。习近平总书记多次强调,“没有信息化就没有现代化”。2023年,全国网络安全和信息化工作会议召开,习近平总书记作出重要指示,强调要“坚持发挥信息化驱动引领作用”。当前,信息化迈向数字化、网络化、智能化全面跃升的新阶段,不断开辟新赛道,打造新动能,构筑新优势。信息化给生产力和生产关系带来前所未有的变革,有力驱动着技术革命性突破、生产要素创新性配置、产业深度转型升级,极大促进全要素生产率提升,已经成为发展新质生产力、推动经济高质量发展的重要力量。 報告書は、新時代、新行程における情報化が新たな使命を担っていることを指摘している。習近平総書記は「情報化なくして現代化なし」と繰り返し強調している。2023年には、サイバー空間事務と情報化に関する全国業務会議が開催され、習近平総書記は「情報化の牽引的・先導的役割を継続的に十分に発揮する必要がある」と強調する重要な指示を出した。現在、情報化はデジタル化、ネットワーク化、インテリジェント化に向けた包括的な飛躍的発展の新たな段階に入り、絶えず新たな局面を切り開き、新たな活力を生み出し、新たな優位性を構築している。 情報化は生産力と生産関係に前例のない変化をもたらし、革命的な技術的進歩、生産要素の革新的な配分、産業の深い変革と高度化を強力に推進し、全要素生産性の向上を大幅に促進し、新しい生産力の展開と質の高い経済発展の推進における重要な力となっている。
《报告》显示,2023年各地区、各部门深入贯彻落实党中央、国务院决策部署,强化顶层设计、统筹协调、整体推进、督促落实,推动信息化关键能力建设取得新突破,网络信息技术创新步伐不断加快,新一代信息基础设施持续完善,数据资源开发利用水平明显提升;信息化驱动引领经济社会发展取得新成效,数字经济赋能高质量发展,信息化赋能高品质生活,电子政务赋能高效能治理;信息化发展环境建设迈上新台阶,全国信息化发展整体水平得到新提升,为强国建设、民族复兴伟业注入新动能。 報告書によると、2023年には、すべての地域と部門が中国共産党中央委員会と国務院の決定と取り決めを徹底的に実施し、トップレベルデザイン、全体的な調整、全体的な推進、実施の監督を強化し、重要な情報化能力の構築における新たな飛躍を促進し、ネットワーク情報技術の革新ペースを加速し、次世代の情報インフラの改善を継続し、大幅に改善する 情報化主導の経済・社会発展は新たな成果を達成し、デジタル経済は高品質な発展を促進し、情報化は高品質な生活を促進し、電子政府は効率的なガバナンスを促進する。情報化発展環境の構築は新たな段階に達し、国家の情報化発展の全体的なレベルはアップグレードされ、国家の強化と民族の復興という偉大な事業に新たな原動力を与える。
《报告》分析了信息化发展情况网络问卷调查结果,参与调查的网民普遍认为,2023年信息化发展在丰富精神文化生活、提升公共服务水平、增强社会治理能力、促进共同富裕等方面发挥了重要作用,人民群众的获得感、幸福感、安全感不断提升;受访企业普遍加大创新研发投入,提高信息化人才培养力度,不断提升技术产品和服务竞争力。 報告書は、情報化発展に関するオンラインアンケート調査の結果を分析した。参加したネットユーザーは概ね、2023年には情報化の発展が精神文化生活の充実、公共サービスのレベル向上、社会管理能力の強化、共同繁栄の促進において重要な役割を果たし、国民の獲得感、幸福感、安全感が引き続き向上すると考えている。インタビューを受けた企業は概ね、革新的な研究開発への投資を増やし、情報化人材の育成を強化し、技術製品とサービスの競争力を継続的に向上させている。
《报告》认为,世界之变、时代之变、历史之变正以前所未有的方式展开,信息化发展前景广阔、大有可为。要坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,深入贯彻落实党的二十届三中全会精神,坚持目标导向和问题导向相结合、统筹谋划和重点突破相结合,保持战略定力,保持政策延续性、稳定性和协同性,大力推动新时代信息化创新发展,充分发挥信息化驱动引领作用,以网络强国建设新成效为推进中国式现代化、全面建设社会主义现代化国家提供有力支撑。 報告書は、世界、時代、歴史の変化がかつてないほどに展開しており、情報化の発展の見通しは広大で有望であると考えている。 私たちは、新時代の社会主義に関する習近平思想、特に習近平総書記によるインターネットによる強国建設に関する重要な考え方に従わなければならない。私たちは、中国共産党第20期中央委員会第3回全体会議の精神を徹底的に実施し、目標志向と問題志向、全体計画と重点的突破の組み合わせを堅持し、戦略的フォーカスを維持し、政策の一貫性、安定性、相乗効果を維持し、新時代の情報化の革新的な発展を力強く推進し、情報化の推進と主導的役割を十分に発揮し、インターネットによる強国建設の新たな成果を、中国式の近代化の推進と現代的社会主義国の包括的な建設を強力に支援するために活用しなければならない。
《报告》提出,现代化建设,信息化先行。2024年,要准确把握党的二十届三中全会对信息化发展作出的新部署新任务新要求,切实把信息化工作融入到改革发展大局中,扎实推动相关改革任务落地见效:一是聚焦高水平科技自立自强,增强信息化发展关键能力;二是聚焦发展新质生产力,进一步发挥信息化对经济高质量发展的驱动引领作用;三是聚焦保障和改善民生,持续深化信息惠民为民服务;四是聚焦提高党的领导水平和长期执政能力,加快以信息化推进国家治理体系和治理能力现代化;五是聚焦统筹高质量发展和高水平安全,不断优化信息化发展环境。 報告書は、情報化が近代化をリードすべきであると提案している。2024年までに、中国共産党第20期中央委員会第3回全体会議で定められた情報化発展の新たな体制、任務、要求を正確に把握し、情報化業務を改革と発展の全体状況に効果的に統合し、関連する改革任務の実施を着実に推進して成果を達成しなければならない。第一に、高度な技術的自主自立と自己改善に重点的に取り組み、情報化発展の主要能力を強化することである。 第二に、新たな生産力の育成に重点的に取り組み、情報化が経済の高品質な発展を牽引し、主導する役割をさらに強化することである。第三に、国民生活の保障と改善に重点的に取り組み、国民に利益をもたらす情報技術の利用を継続的に深化させることである。第四に、党の指導力と長期にわたる統治能力の向上に重点的に取り組み、情報化の利用を加速して、国の統治システムと能力の近代化を推進することである。第五に、高品質な発展と高いレベルの安全保障の調和に重点的に取り組み、情報化の発展環境を継続的に最適化することである。

 

・[PDF] (downloaded)

20240921-20004

・[DOCX][PDF] 仮訳

 

目次...

【第一篇】新时代新征程信息化肩负新使命 【第1編】情報技術の新しい時代、新しい旅、新しい使命
一、习近平总书记重要指示指明新时代信息化发展方向 I. 習近平総書記の重要な指示は、新時代の情報化発展の方向性を示している。
二、以中国式现代化全面推进强国建设、民族复兴伟业对信息化发展提出新要求 II. 強国建設の全面的推進と中国式近代化の大義による民族の若返りは、情報技術の発展に新たな要求を突きつけた。
三、信息化发展迈向数字化网络化智能化全面跃升新阶段 III. デジタル化、ネットワーク化、インテリジェント化の新たな段階に向けた情報化の進展
【第二篇】信息化关键能力建设取得新突破 【第2編】情報化のための重要な能力開発における新たなブレークスルー
一、网络信息技术创新步伐不断加快 I. 加速するネットワーク情報技術のイノベーション
二、新一代信息基础设施持续完善 II. 新世代情報インフラの継続的改