« October 2024 | Main | December 2024 »

November 2024

2024.11.30

オーストラリア 議会 情報・安全保障合同委員会 2024年サイバーセキュリティ法制パッケージ (2024.10.08)

こんにちは、丸山満彦です。

議会の情報・安全保障合同委員会に2024年サイバーセキュリティ法制パッケージ(サイバーセキュリティ法案2024情報サービスおよびその他の法改正(サイバーセキュリティ)法案 2024重要インフラの安全保障およびその他の法改正(対応と予防の強化)法案 2024に提出されていますね...

読んでいると、米国とよく似た法制への改正を考えているようですね...

この法案パッケージをまとめたのは、Hon Tony Burke MP議員(労働党:2024.07.29からサイバーセキュリティ担当大臣)...

 

Parliament o Australia - Parliamentary Joint Committee on Intelligence and Security 

・2024.10.08 Cyber Security Legislative Package 2024

 

Cyber Security Legislative Package 2024 2024年サイバーセキュリティ法制パッケージ
On 9 October 2024, the Hon Tony Burke MP wrote to refer the Cyber Security Legislative Package to the Parliamentary Joint Committee on Intelligence and Security for inquiry and report. 2024年10月9日、トニー・バーク議員は、サイバーセキュリティ法制パッケージを議会の情報・安全保障合同委員会に付託し、調査と報告を求める文書を提出した。
The Legislative Package consists of the: 立法パッケージは以下からなる:
Cyber Security Bill 2024 サイバーセキュリティ法案2024
Intelligence Services and Other Legislation Amendment (Cyber Security) Bill 2024 情報サービスおよびその他の法改正(サイバーセキュリティ)法案 2024
Security of Critical Infrastructure and Other Legislation Amendment (Enhanced Response and Prevention) Bill 2024 重要インフラの安全保障およびその他の法改正(対応と予防の強化)法案 2024
The Cyber Security Legislative Package 2024 intends to implement seven initiatives under the 2023-2030 Australian Cyber Security Strategy, which aims to address legislative gaps to bring Australia in line with international best practice and help ensure Australia is on track to become a global leader in cyber security. サイバーセキュリティ立法パッケージ2024は、2023-2030年オーストラリア・サイバーセキュリティ戦略の下、7つのイニシアチブを実施することを意図している。この戦略は、オーストラリアを国際的なベストプラクティスに沿わせ、オーストラリアがサイバーセキュリティのグローバルリーダーになるための軌道を確実にするために、法制上のギャップに対処することを目的としている。
These measures are intended to address gaps in current legislation to: これらの措置は、以下のような現行法とのギャップに対処することを意図している:
・mandate minimum cyber security standards for smart devices ・スマートデバイスの最低限のサイバーセキュリティ標準を義務付ける。
・introduce mandatory ransomware reporting for certain businesses to report ransom payments ・特定の企業に対し、身代金の支払いを報告するランサムウェア報告義務を導入する。
・introduce ‘limited use’ obligations for the National Cyber Security Coordinator and the Australian Signals Directorate (ASD) ・国家サイバーセキュリティ・コーディネーターとオーストラリア信号局(ASD)に「限定的使用」義務を導入する。
・establish a Cyber Incident Review Board ・サイバーインシデント審査委員会を設置する。
The package also intends to progress and implement reforms to the Security of Critical Infrastructure Act 2018 (SOCI Act). These reforms intend to: 本パッケージはまた、2018年重要インフラ安全保障法(SOCI法)の改革を進め、実施する予定である。これらの改革は以下を意図している:
・clarify existing obligations in relation to systems holding business critical data ビジネス上重要なデータを保持するシステムに関する既存の義務を明確にする。
・enhance government assistance measures to better manage the impacts of all hazards incidents on critical infrastructure ・重要インフラに対するあらゆる災害インシデントの影響をよりよく管理するための政府支援策を強化する。
・simplify information sharing across industry and Government ・産業界と政府の情報共有を簡素化する。
・introduce a power for the Government to direct entities to address serious deficiencies within their risk management programs ・政府が事業体に対し、リスクマネジメント・プログラムの重大な欠陥に対処するよう指示する権限を導入する。
・align regulation for the security of telecommunications into the SOCI Act ・電気通信のセキュリティに関する規制をSOCI法に整合させる。
Submissions are invited by Friday, 25 October 2024. Further information about making a submission to a parliamentary committee is available here. 提出期限は2024年10月25日(金)である。議会委員会への提出に関する詳細はこちらを参照のこと。

 

About this inquiry この調査について
The Committee is reviewing the Cyber Security Bill 2024, the Intelligence Services and Other Legislation Amendment (Cyber Security) Bill 2024 and the Security of Critical Infrastructure and Other Legislation Amendment (Enhanced Response and Prevention) Bill 2024. 当委員会は、サイバーセキュリティ法案、情報サービスおよびその他の法改正法案、重要インフラのセキュリティおよびその他の法改正法案を審査している。
The Cyber Security Legislative Package 2024 intends to implement seven initiatives under the 2023-2030 Australian Cyber Security Strategy, which aims to address legislative gaps to bring Australia in line with international best practice and help ensure Australia is on track to become a global leader in cyber security. サイバーセキュリティ立法パッケージ2024は、2023-2030年オーストラリア・サイバーセキュリティ戦略の下、7つのイニシアチブを実施することを意図しており、オーストラリアを国際的なベストプラクティスに沿わせ、オーストラリアがサイバーセキュリティの世界的リーダーになるための軌道を確実にするために、法律上のギャップに対処することを目的としている。
Cyber Security Bill 2024 サイバーセキュリティ法案 2024
Intelligence Services and Other Legislation Amendment (Cyber Security) Bill 2024 情報サービスおよびその他の法改正(サイバーセキュリティ)法案 2024
Security of Critical Infrastructure and Other Legislation Amendment (Enhanced Response and Prevention) Bill 2024 重要インフラの安全保障およびその他の法改正(対応と予防の強化)法案 2024
Submissions 提出書類
Media Releases メディアリリース
Public Hearings 公聴会
Government Response 政府対応
Committee Membership 委員会メンバー
Report 報告書

 

パッケージ...

Abbreviations 略語
Members メンバー
Terms of reference 参考文献
List of recommendations 提言リスト
Chapters
Chapter 1 - Introduction 第1章 序文
Conduct of the inquiry 調査の実施
Report structure 報告書の構成
Context of the inquiry 調査の背景
Chapter 2 - The Cyber Security Bill 2024 第2章 2024年サイバーセキュリティ法案
Background and purpose of the Cyber Security Bill サイバーセキュリティ法案の背景と目的
Part 1: Preliminary 第1部 予備編
Part 2: Security standards for smart devices 第2部:スマートデバイスのセキュリティ標準
Part 3: Ransomware mandatory reporting obligations 第3部:ランサムウェアの報告義務
Part 4: Coordination of significant security incidents 第4部:重大なセキュリティインシデントの調整
Part 5: Cyber Incident Review Board 第5部:サイバーインシデント審査会
Part 6: Regulatory powers 第6部:規制権限
Part 7: Miscellaneous 第7部:その他
Chapter 3 - Intelligence Services and Other Legislation Amendment (Cyber Security) Bill 2024 第3章 インテリジェンスサービスおよびその他の法改正(サイバーセキュリティ)法案 2024年
Schedule 1: Limited use of certain cyber security information スケジュール 1: 特定のサイバーセキュリティ情報の限定的使用
Schedule 2: Amendment to the FOI Act スケジュール2:情報公開法の改正
Chapter 4 - Security of Critical Infrastructure and Other Legislation Amendment (Enhanced Response and Prevention) Bill 2024 第4章 重要インフラの安全保障とその他の法改正(対応と予防の強化)法案 2024年
Schedule 1: Definition of ‘critical infrastructure asset’ to include ‘data storage systems’ スケジュール1 重要インフラ資産」の定義に「データ保管システム」を含める
Schedule 2: Amendments to Part 3A of the SOCI Act スケジュール2:SOCI法Part 3Aの改正
Schedule 3: Use and disclosure of information スケジュール3:情報の利用と開示
Schedule 4: New direction power to request variation of critical infrastructure risk management program スケジュール4:重要インフラリスクマネジメントプログラムの変更を要求する新たな方向性権限
Schedule 5: Security regulation for critical telecommunications assets スケジュール5:重要電気通信資産のセキュリティ規制
Schedule 6: Notification of declaration of systems of national significance スケジュール6:国家的に重要なシステムの宣言の通知
Chapter 5 - Evidence to the Committee 第5章 委員会に対する証拠
General views on the legislative package 立法パッケージに関する一般的見解
Views on specific provisions 特定の条項に関する見解
Additional amendments proposed by the Minister 大臣による追加修正案
Chapter 6 - Committee comments and recommendations 第6章 委員会のコメントと勧告
Overarching comments 包括的コメント
The review process 検討プロセス
Security standards for smart devices スマートデバイスのセキュリティ標準
Ransomware reporting ランサムウェアの報告
Cyber Incident Review Board サイバーインシデント審査委員会
Limited use provisions 使用制限規定
SOCI Act amendments SOCI法の改正
Statutory reviews 法定レビュー
Additional Comments of the Coalition Members of the Committee 委員会連合メンバーの追加コメント
A. List of submissions 提出書類リスト
B. List of witnesses at public hearings 公聴会出席者リスト

 

・[PDF]

20241130-30916

・[DOCX][PDF] 仮訳

 

オーストラリアのサイバーセキュリティ戦略 2023-2030

・2023.11.22 2023-2030 Australian Cyber Security Strategy



 

まるちゃんの情報セキュリティきまぐれ日記

・2023.11.24 オーストラリア 内務省 2023-2030 オーストラリア サイバーセキュリティ戦略と実行計画 (2023.11.22)

・2023.05.21 オーストラリア 情報保護室による「2023-2030年サイバーセキュリティ戦略ディスカッションペーパー」への意見提出

| | Comments (0)

2024.11.29

米国 AI安全研究所 安全保障等に関わる政府タスクフォースの設立、AI安全機構国際ネットワークの設立総会で初代議長に、NIST AI 100-4の発表 (2024.11.20)

こんにちは、丸山満彦です。

 

AIに関する先週の米国政府の動き...

  • 米国のAI安全研究所が国家安全保障能力とリスクを管理するAIモデルの研究とテストに協力する新たな米国政府タスクフォース設立した。

  • 米商務省と米国務省、サンフランシスコでAI安全機構国際ネットワークの設立総会を開催し、米国が初代議長になる。

  • NISTが、AI 100-4 Reducing Risks Posed by Synthetic Content
    生成コンテンツのリスクの軽減を発表した。

 

AI安全に関する国際ネットワークの初期加盟国10カ国には、日本も当然に入っています...

  1. オーストラリア
  2. カナダ
  3. 欧州連合(EU)
  4. フランス
  5. 日本
  6. ケニア
  7. 韓国
  8. シンガポール
  9. 英国
  10. 米国

 

 

NIST

・2024.11.20 U.S. AI Safety Institute Establishes New U.S. Government Taskforce to Collaborate on Research and Testing of AI Models to Manage National Security Capabilities & Risks

U.S. AI Safety Institute Establishes New U.S. Government Taskforce to Collaborate on Research and Testing of AI Models to Manage National Security Capabilities & Risks 米国AI安全研究所は、国家安全保障能力とリスクを管理するAIモデルの研究とテストに協力する新しい米国政府タスクフォースを設立した。
The Testing Risks of AI for National Security (TRAINS) Taskforce brings together experts from Commerce, Defense, Energy, Homeland Security, NSA, and NIH to address national security concerns and strengthen American leadership in AI innovation. 国家安全保障のためのAIのリスクテスト(TRAINS)タスクフォースは、商務省、国防総省、エネルギー省、国土安全保障省、NSA、NIHの専門家を集め、国家安全保障上の懸念に対処し、AIイノベーションにおける米国のリーダーシップを強化する。
Washington, D.C. — Today, the U.S. Artificial Intelligence Safety Institute at the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) announced the formation of the Testing Risks of AI for National Security (TRAINS) Taskforce, which brings together partners from across the U.S. Government to identify, measure, and manage the emerging national security and public safety implications of rapidly evolving AI technology. This announcement comes as the United States is set to host the first-ever convening of the International Network of AI Safety Institutes in San Francisco. ワシントンD.C.- 本日、米国商務省国立標準技術研究所(NIST)の米国人工知能安全研究所は、国家安全保障のためのAIリスクテスト(TRAINS)タスクフォースの結成を発表した。同タスクフォースは、急速に進化するAI技術が国家安全保障と公共の安全に及ぼす影響を特定、測定、管理するために、米国政府全体のパートナーを結集するものである。この発表は、米国がサンフランシスコでAI安全機構国際ネットワーク(International Network of AI Safety Institutes)の初会合を開催することになったことに伴うものである。
The Taskforce will enable coordinated research and testing of advanced AI models across critical national security and public safety domains, such as radiological and nuclear security, chemical and biological security, cybersecurity, critical infrastructure, conventional military capabilities, and more.  同タスクフォースは、放射線・核セキュリティ、化学・生物学的セキュリティ、サイバーセキュリティ、重要インフラ、通常の軍事能力など、国家安全保障や公共安全の重要な領域にわたって、高度なAIモデルの協調的な研究やテストを可能にする。
These efforts will advance the U.S. government imperative to maintain American leadership in AI development and prevent adversaries from misusing American innovation to undermine national security.  これらの取り組みは、AI開発における米国のリーダーシップを維持し、敵対国が米国のイノベーションを悪用して国家安全保障を損なうことを防ぐという米国政府の要請を推進するものである。
The TRAINS Taskforce is chaired by the U.S. AI Safety Institute and includes initial representation from the following federal agencies: TRAINSタスクフォースは、米国AI安全研究所が委員長を務め、以下の連邦機関の代表が初期メンバーとして参加している:
・The Department of Defense, including the Chief Digital and Artificial Intelligence Office (CDAO) and the National Security Agency 国防総省(最高デジタル・人工知能局(CDAO)と国家安全保障局を含む。
・The Department of Energy and ten of its National Laboratories エネルギー省とその10の国立研究所
・The Department of Homeland Security, including the Cybersecurity and Infrastructure Security Agency (CISA) ・サイバーセキュリティ・インフラセキュリティ庁(CISA)を含む国土安全保障省
・The National Institutes of Health (NIH) at the Department of Health and Human Services ・保健福祉省の国立衛生研究所(NIH)
Each member will lend its unique subject matter expertise, technical infrastructure, and resources to the Taskforce and will collaborate on the development of new AI evaluation methods and benchmarks, as well as conduct joint national security risk assessments and red-teaming exercises.  各メンバーは、独自の専門知識、技術インフラ、リソースをタスクフォースに提供し、新しいAI評価手法やベンチマークの開発で協力するとともに、国家安全保障リスクアセスメントやレッドチーム演習を共同で実施する。
“Enabling safe, secure, and trustworthy AI innovation is not just an economic priority – it's a public safety and national security imperative,” said U.S. Secretary of Commerce Gina Raimondo. “Every corner of the country is impacted by the rapid progress in AI, which is why establishing the TRAINS Taskforce is such an important step to unite our federal resources and ensure we’re pulling every lever to address the challenges of this generation-defining technology. The U.S. AI Safety Institute will continue to lead by centralizing the top-notch national security and AI expertise that exists across government in order to harness the benefits of AI for the betterment of the American people and American business.” ジーナ・ライモンド米商務長官は次のように述べた。「安全、安心、信頼できるAIイノベーションを可能にすることは、単なる経済的優先事項ではなく、公共の安全と国家安全保障上の必須事項である。だからこそ、TRAINSタスクフォースの設立は、連邦政府のリソースを統合し、この生成的技術の課題に対処するためにあらゆる手段を講じることを確実にするための重要なステップなのです。米国AI安全機構は、政府全体に存在する一流の国家安全保障とAIの専門知識を一元化し、米国民と米国ビジネスの向上のためにAIの恩恵を活用することで、リードし続けるでしょう。」
This effort operationalizes the whole-of-government approach to AI safety, as directed by the recent National Security Memorandum on AI, and the TRAINS Taskforce is expected to expand its membership across the federal government as its work continues. この取り組みは、AIに関する最近の国家安全保障覚書によって指示された、AIの安全性に対する政府全体のアプローチを運用するものであり、TRAINSタスクフォースは、その作業が継続するにつれて、連邦政府全体にそのメンバーを拡大することが期待されている。

 

 

 

 

 

 


 

・2024.11.20 FACT SHEET: U.S. Department of Commerce & U.S. Department of State Launch the International Network of AI Safety Institutes at Inaugural Convening in San Francisco

 

FACT SHEET: U.S. Department of Commerce & U.S. Department of State Launch the International Network of AI Safety Institutes at Inaugural Convening in San Francisco ファクトシート:米商務省と米国務省は、サンフランシスコでの設立総会でAI安全機構の国際ネットワークを発足させた。
・The Network will drive alignment on and build the scientific basis for safe, secure, and trustworthy AI innovation around the world. ・このネットワークは、安全、安心、信頼できるAIイノベーションのための科学的基盤の構築を推進する。
・Ahead of the convening, the Network is announcing key developments including a joint mission statement, more than $11 million in funding toward synthetic content research, findings from the Network’s first multilateral testing exercise, and a joint statement on risk assessments of advanced AI systems. ・招集に先立ち、ネットワークは、共同ミッション・ステートメント、合成コンテンツ研究に向けた1,100万ドル以上の資金提供、ネットワーク初の多国間テスト演習の結果、高度AIシステムのリスクアセスメントに関する共同声明など、重要な進展を発表する。
・This technical-level working meeting gathers network members and industry, academic, and civil society experts to advance the Network’s work on the road to the AI Action Summit hosted by France in February. ・この技術レベルの作業部会は、2月にフランスで開催されるAIアクション・サミットに向けてネットワークの作業を進めるため、ネットワークのメンバー、産業界、学術界、市民社会の専門家を集めたものである。
San Francisco, California – Today the U.S. Department of Commerce and U.S. Department of State are co-hosting the inaugural convening of the International Network of AI Safety Institutes, a new global effort to advance the science of AI safety and enable cooperation on research, best practices, and evaluation. To harness the enormous benefits of AI, it is essential to foster a robust international ecosystem to help identify and mitigate the risks posed by this breakthrough technology. Through this Network, the United States hopes to address some of the most pressing challenges in AI safety and avoid a patchwork of global governance that could hamper innovation. カリフォルニア州サンフランシスコ - 本日、米国商務省と米国国務省は、AIの安全性に関する科学を発展させ、研究、ベストプラクティス、評価に関する協力を可能にする新たな世界的取り組みである、AI安全機構国際ネットワークの第1回会合を共催する。AIがもたらす莫大な利益を活用するためには、この画期的な技術がもたらすリスクを特定し、軽減するための強固な国際的エコシステムを育成することが不可欠である。米国はこのネットワークを通じて、AIの安全性における最も差し迫った課題に取り組み、イノベーションを妨げる可能性のあるグローバル・ガバナンスのつぎはぎ状態を回避したいと考えている。
The United States will serve as the inaugural chair of the International Network of AI Safety Institutes, whose initial members include Australia, Canada, the European Union, France, Japan, Kenya, the Republic of Korea, Singapore, the United Kingdom, and the United States. 米国は、オーストラリア、カナダ、欧州連合(EU)、フランス、日本、ケニア、韓国、シンガポール、英国、米国を初期加盟国とするAI安全機構国際ネットワークの初代議長を務める。
Over the next two days in San Francisco, California, technical experts from member governments will be joined by leading AI developers, academics, civil society leaders, and scientists from non-Network governments to discuss key areas of collaboration on AI safety and lend their technical and scientific expertise to the Network’s mission.  カリフォルニア州サンフランシスコで開催されるこの2日間、メンバー政府の技術専門家が、ネットワーク非加盟政府の主要なAI開発者、学者、市民社会リーダー、科学者に加わり、AIの安全性に関する主要な協力分野について議論し、技術的・科学的専門知識をネットワークの使命に役立てる。
The convening is structured as a technical working meeting that will address three high-priority topics that stand to urgently benefit from international coordination, specifically: (1) managing risks from synthetic content, (2) testing foundation models, and (3) conducting risk assessments for advanced AI systems.  この会議は、国際的な協調が緊急に必要とされる3つの優先度の高いトピックを扱う技術的なワーキング・ミーティングとして構成されている。具体的には、(1)合成コンテンツによるリスクマネジメント、(2)基礎モデルのテスト、(3)高度AIシステムのリスクアセスメントである。
By bringing together the leading minds across governments, industry, academia, and civil society, we hope to kickstart meaningful international collaboration on AI safety and innovation, particularly as we work toward the upcoming AI Action Summit in France in February and beyond. 政府、産業界、学術界、市民社会が一堂に会することで、特に2月にフランスで開催されるAIアクション・サミットやその後に向けて、AIの安全性とイノベーションに関する有意義な国際協力を開始したい。
(1) Adopting an aligned mission statement for the International Network of AI Safety Institutes. (1) AI安全機構国際ネットワークのミッション・ステートメントを統一する。
・Launching the International Network of AI Safety Institutes is an essential step forward for global coordination on safe AI innovation. The Network will enable its members to leverage their respective technical capacity to harmonize approaches and minimize duplication of resources, while providing a platform to bring together global technical expertise. AI安全機構国際ネットワークの立ち上げは、安全なAIイノベーションに関するグローバルな調整にとって不可欠な前進である。ネットワークは、メンバーがそれぞれの技術的能力を活用し、アプローチを調和させ、リソースの重複を最小化することを可能にすると同時に、グローバルな技術的専門知識を結集するためのプラットフォームを提供する。
・Ahead of the inaugural convening of the Network, all 10 initial members have agreed to a joint mission statement that reads in part: 本ネットワークの発足に先立ち、初期メンバー10カ国は、以下の共同ミッション・ステートメントに合意した:
・・“The International Network of AI Safety Institutes is intended to be a forum that brings together technical expertise from around the world. Recognizing the importance of cultural and linguistic diversity, we aim to facilitate a common technical understanding of AI safety risks and mitigations based upon the work of our institutes and of the broader scientific community that will support international development and the adoption of interoperable principles and best practices. We also intend to encourage a general understanding of and approach to AI safety globally, that will enable the benefits of AI innovation to be shared amongst countries at all stages of development.”  「AI安全機構国際ネットワークは、世界中の技術的専門知識を結集するフォーラムとなることを意図している。文化的、言語的多様性の重要性を認識し、国際的な発展と相互運用可能な原則とベストプラクティスの採用を支援するため、私たちの機構と広範な科学コミュニティの研究に基づき、AIの安全リスクと緩和策に関する共通の技術的理解を促進することを目指す。また、AIの安全性に関する一般的な理解とアプローチを世界的に促進することで、AIイノベーションの恩恵をあらゆる発展段階にある国間で共有できるようにするつもりである。」
・The International Network Members have also aligned on four priority areas of collaboration: pursuing AI safety research, developing best practices for model testing and evaluation, facilitating common approaches such as interpreting tests of advanced AI systems, and advancing global inclusion and information sharing. 国際ネットワークメンバーはまた、AI安全性研究の追求、モデルテストと評価のためのベストプラクティスの開発、高度AIシステムのテストの解釈など共通のアプローチの促進、グローバルな包摂と情報共有の促進という4つの優先的協力分野で足並みを揃えている。
・The United States AI Safety Institute (US AISI) will serve as the inaugural Chair of the International Network of AI Safety Institutes and Network members will discuss additional details of governance, structure, and meeting cadence at the convening.  米国AI安全機構(US AISI)はAI安全機構国際ネットワークの初代議長を務め、ネットワーク加盟国はガバナンス、構造、会議日程の詳細について協議する。
・The Network will also discuss priorities and a roadmap for continued work toward the forthcoming AI Action Summit in Paris in February 2025 and beyond. ネットワークはまた、2025年2月にパリで開催されるAIアクション・サミットとその後に向けた継続的な活動の優先順位とロードマップについて議論する。
(2) Announcing more than $11 million in global research funding commitments to address the International Network’s new joint research agenda on mitigating risks from synthetic content. (2) 合成コンテンツによるリスクの低減に関する国際ネットワークの新たな共同研究課題に取り組むため、1,100万ドルを超える世界的な研究資金拠出を発表する。
・With the rise of generative AI and the rapid development and adoption of highly capable AI models, it is now easier, faster, and less expensive than ever to create synthetic content at scale. Though there are a range of positive and innocuous uses for synthetic content, there are also risks that need to be identified, researched, and mitigated to prevent real-world harm – such as the generation and distribution of child sexual abuse material and non-consensual sexual imagery, or the facilitation of fraud and impersonation. 生成的AIの台頭と、高い能力を持つAIモデルの急速な開発と採用により、合成コンテンツを大規模に作成することは、かつてないほど簡単、迅速、かつ低コストになっている。合成コンテンツには肯定的で無害な用途もあるが、児童性的虐待や同意のない性的イメージの生成・配布、詐欺やなりすましの助長など、実社会での被害を防ぐために特定・研究・低減が必要なリスクもある。
・To advance the state of the science and inform novel ways to mitigate synthetic content risks, the International Network of AI Safety Institutes has outlined a joint research agenda calling for urgent and actionable inquiry by the scientific community into key gaps in the current literature. 科学の現状を前進させ、合成コンテンツのリスクを軽減する新しい方法を知らせるために、AI安全機構国際ネットワークは、現在の文献における重要なギャップについて、科学界による緊急かつ実行可能な調査を求める共同研究課題をまとめた。
・・Priority research topics include understanding the security and robustness of current digital content transparency techniques, exploring novel and emergent digital content transparency methods, and developing model safeguards to prevent the generation and distribution of harmful synthetic content. 重点研究課題には、現在のデジタルコンテンツ透明化技術の安全性と堅牢性を理解すること、新しく出現するデジタルコンテンツ透明化手法を探求すること、有害な合成コンテンツの生成と配布を防止するモデルセーフガードを開発することなどが含まれる。
・・The International Network research agenda encourages a multidisciplinary approach, including technical mitigations as well as social scientific and humanistic assessments to identify problems and solutions.  国際ネットワークの研究アジェンダは、問題と解決策を特定するために、技術的な軽減策だけでなく、社会科学的、人文科学的なアセスメントを含む、学際的なアプローチを奨励している。
・In response to this agenda, government agencies and several leading philanthropies have committed a total of more than $11 million (USD) to spur this vital research. このアジェンダを受け、政府機関といくつかの主要な慈善団体は、この重要な研究に拍車をかけるため、総額1,100万ドル(米ドル)以上を拠出している。
・・The United States, through USAID, is designating $3.8 million this fiscal year to strengthen capacity building, research, and deployment of safe and responsible AI in USAID partner countries overseas, including supporting research on synthetic content risk mitigation. 米国はUSAIDを通じて、海外のUSAIDパートナー諸国における安全で責任あるAIの能力開発、研究、展開を強化するため、今年度380万ドルを拠出する。
・・Australia, through its national science agency, the Commonwealth Scientific and Industrial Research Organisation (CSIRO), is investing $2.2 million (AUD) ($1.42 million USD) annually in research aimed at identifying and mitigating the risks of synthetic content.  オーストラリアは、国立科学機関である英連邦科学産業研究機構(CSIRO)を通じて、合成コンテンツのリスクの特定と軽減を目的とした研究に年間220万豪ドル(142万米ドル)を投資する。
・・The Republic of Korea will commit $1.8 million (USD) annually for 4 years, totaling $7.2 million (USD), toward research and development efforts on detecting, preventing, and mitigating the risks of synthetic content through the ROK AISI program. 韓国は、ROK AISI プログラムを通じて、合成コンテンツのリスクを検知、防止、軽減するための研究開発に、4 年間にわたり毎年 180 万ドル(米ドル)、合計 720 万ドル(米ドル)を投資する。
・・The John S. and James L. Knight Foundation is committing $3 million (USD) to support scholarship aligned with the research agenda on mitigating risks from synthetic content. ジョン・S・アンド・ジェームズ・L・ナイト財団は、合成コンテンツのリスク低減に関する研究課題に沿った奨学金支援に300万ドルを拠出する。
・・The AI Safety Fund (AISF), an independently administered non-profit collaboration between leading frontier AI developers and philanthropic partners, will contribute $1 million (USD) in support of the research agenda, focusing on safeguards in the design, use, and evaluation of AI models and systems to reduce risks to security and public safety from model outputs. AI安全基金 (AISF)は、フロンティアAIの主要開発者とフィランソロピー・パートナーが共同で運営する非営利団体で、AIモデルやシステムの設計、使用、評価におけるセーフガードに焦点を当て、モデルのアウトプットから生じる安全保障や公共の安全に対するリスクを低減するための研究課題を支援するために、100万ドル(米ドル)を拠出する。
・・An additional $250,000 (USD) in 2025 funding by the Omidyar Network has been pledged in support of the research agenda. 研究課題を支援するため、オミダイヤー・ネットワークによる25万ドルの追加資金提供が約束された。
・・At the convening, the International Network will also discuss shared Network principles for mitigating synthetic content risks, including best practices and innovations for improving the security, reliability, privacy, transparency, and accessibility of generative AI. These inputs will help advance an aligned perspective from the members, which we hope to share at the forthcoming France AI Action Summit. 国際ネットワークはまた、生成的AIのセキュリティ、信頼性、プライバシー、透明性、アクセシビリティを改善するためのベストプラクティスやイノベーションを含む、合成コンテンツリスクを軽減するためのネットワークの共有原則について議論する。これらのインプットは、近々開催されるフランスAIアクション・サミットで共有されることを期待している。
・To support this work, US AISI is releasing the final version of its first synthetic content guidance report, NIST AI 100-4: Reducing Risks Posed by Synthetic Content, which identifies a series of voluntary approaches to address risks from AI-generated content like child sexual abuse material, impersonation, and fraud. この作業を支援するため、米国AISIは、初の合成コンテンツガイダンス報告書「NIST AI 100-4: Reducing Risks Posed by Synthetic Content」の最終版を発表する。同報告書は、児童性的虐待資料、なりすまし、詐欺など、AIが生成するコンテンツがもたらすリスクに対処するための一連の自主的アプローチを明らかにしている。
・・This final version reflects input and feedback from an array of external experts and public comment solicited over the past several months. この最終版は、過去数ヶ月間に募集された外部専門家やパブリックコメントからの意見やフィードバックを反映したものである。
(3) Methodological insights on multi-lingual, international AI testing efforts from the International Network of AI Safety Institutes’ first-ever joint testing exercise. (3)AI安全機構国際ネットワークによる初の共同テストから得られた、多言語、国際的なAIテストの取り組みに関する方法論的洞察。
・The International Network of AI Safety Institutes completed its first-ever joint testing exercise, led by technical experts from US AISI, UK AISI, and Singapore AISI.  AI 安全機構国際ネットワークは、米国 AISI、英国 AISI、シンガポール AISI の技術専門家が主導する初の合同試験を完了した。
・The Network conducted this exercise to explore methodological challenges, opportunities, and next steps for joint work that the Network can pursue to advance more robust and reproducible AI safety testing across languages, cultures, and contexts. この演習は、言語、文化、文脈を超えて、より強固で再現可能なAI安全性試験を進めるために、ネットワークが追求できる方法論的課題、機会、共同作業の次のステップを探るために実施された。
・This exercise raised key considerations for international testing, such as the impact that small methodological differences and model optimization techniques can have on evaluation results, and highlighted strategies for potentially mitigating these challenges.  この演習では、わずかな方法論の違いやモデルの最適化技術が評価結果に与える影響など、国際的なテストにおける重要な検討事項を提起し、これらの課題を低減する可能性のある戦略を浮き彫りにした。
・This exercise was conducted on Meta’s Llama 3.1 405B to test across three topics – general academic knowledge, ‘closed-domain’ hallucinations, and multi-lingual capabilities – and will act as a pilot for a broader joint testing exercises leading into the AI Action Summit in Paris this February. The learnings from the pilot testing process will also lay the groundwork for future testing across international borders and evaluation best practices. この演習は、Meta社のLlama 3.1 405Bで実施され、3つのトピック(一般的な学術知識、「クローズド・ドメイン」幻覚、多言語能力)にわたってテストされ、今年2月にパリで開催されるAIアクション・サミットにつながる、より広範な共同テスト演習のパイロットとして機能する。また、この試験的なテストプロセスから得られた学習は、将来的な国境を越えたテストやベストプラクティスの評価のための基礎となるだろう。
(4) A joint statement on risk assessments of advanced AI systems, including a plan for advancing International Network alignment. (4) 先進的AIシステムのリスクアセスメントに関する共同声明(国際ネットワークの連携を進めるための計画を含む)。
・Assessing the risks of advanced AI systems presents novel challenges, and it is central to the mission of the International Network of AI Safety Institutes to address these challenges and align on a framework for understanding the risks and capabilities posed by this technology. 先進的AIシステムのリスクアセスメントには新たな課題があり、これらの課題に取り組み、この技術がもたらすリスクと能力を理解するための枠組みで連携することは、AI安全機構国際ネットワークの使命の中心である。
・While recognizing that the science of AI risk assessment continues to evolve and that each Network member operates within its own unique context, the International Network of AI Safety Institutes agreed to establish a shared scientific basis for risk assessments, building on six key aspects outlined by the Network – namely, that risk assessments should be (1) actionable, (2) transparent, (3) comprehensive, (4) multistakeholder, (5) iterative, and (6) reproducible. AIのリスクアセスメントの科学は進化し続けており、ネットワークメンバーはそれぞれ独自の状況の中で活動していることを認識しながらも、AI安全性機構国際ネットワークは、ネットワークが概説した6つの重要な側面、すなわち、リスクアセスメントのための共通の科学的基盤を確立することに合意した。6つの重要な側面とは、リスクアセスメントは、(1)実行可能、(2)透明、(3)包括的、(4)マルチステークホルダー、(5)反復的、(6)再現可能でなければならないということである。
・This shared approach builds on commitments made in in the Bletchley Declaration and the Seoul Statement of Intent, as well as the progress made through the OECD, the G7 Hiroshima Process, the Frontier AI Safety Commitments, and other relevant international AI safety initiatives. この共有されたアプローチは、ブレッチリー宣言やソウル意向表明におけるコミットメントに加え、OECD、G7広島プロセス、フロンティアAI安全性コミットメント、その他の関連する国際的なAI安全性イニシアティブを通じた進展に基づくものである。
・At the convening, the International Network will solicit feedback and insight from members and gathered experts on how to operationalize a shared approach to risk assessments and build a roadmap for advancing global alignment and interoperability.  国際ネットワークは、リスクアセスメントを共有するアプローチをどのように運用し、グローバルな整合性と相互運用性を進めるためのロードマップを構築するかについて、メンバーや集まった専門家から意見や洞察を求める。
(5) Establishing a new U.S. Government taskforce led by the U.S. AI Safety Institute to collaborate on research and testing of AI models to manage national security capabilities and risks. (5) 国家安全保障の能力とリスクを管理するためのAIモデルの研究とテストについて協力するため、米国AI安全研究所が主導する新たな米国政府タスクフォースを設立する。
・The Testing Risks of AI for National Security (TRAINS) Taskforce brings together experts from the Departments of Commerce, Defense, Energy, Homeland Security, as well as the National Security Agency (NSA) and National Institutes of Health (NIH) to address national security concerns and strengthen American leadership in AI innovation. 国家安全保障のためのAIのリスクテスト(TRAINS)タスクフォースは、商務省、国防省、エネルギー省、国土安全保障省、国家安全保障局(NSA)、国立衛生研究所(NIH)の専門家を集め、国家安全保障上の懸念に対処し、AIイノベーションにおける米国のリーダーシップを強化する。
・The Taskforce will enable coordinated research and testing of advanced AI models across critical national security and public safety domains, such as radiological and nuclear security, chemical and biological security, cybersecurity, critical infrastructure, conventional military capabilities, and more.  タスクフォースは、放射線・核セキュリティ、化学・生物学的セキュリティ、サイバーセキュリティ、重要インフラ、通常の軍事能力など、国家安全保障と公共安全の重要な領域にわたって、高度なAIモデルの協調的な研究とテストを可能にする。
・These efforts will advance the U.S. government imperative to maintain American leadership in AI development and prevent adversaries from misusing American innovation to undermine national security.  これらの取り組みは、AI開発における米国のリーダーシップを維持し、敵対国が米国のイノベーションを悪用して国家安全保障を損なうことを防ぐという米国政府の要請を推進するものである。
・More information can be found here in the press release. 詳細はプレスリリースを参照されたい。

 

 


 

「(1) AI安全機構国際ネットワークのミッション・ステートメントを統一する」関係...

初期加盟国10カ国によるミッションステートメント...

・[PDF]

20241129-61702

 

International Network of AI Safety Institutes  AI安全機構国際ネットワーク 
Mission Statement  ミッション・ステートメント 
The AI safety institutes and government mandated offices that facilitate AI safety and evaluation from Australia, Canada, the European Commission, France, Japan, Kenya, the Republic of Korea, Singapore, the United Kingdom, and the United States, have gathered today in San Francisco on November 21, 2024 to launch the International Network of AI Safety Institutes. Affirming and building on the Seoul Statement of Intent toward  オーストラリア、カナダ、欧州委員会、フランス、日本、ケニア、大韓民国、シンガポール、英国、米国から、AIの安全性と評価を促進するAI安全機構と政府委任機関が本日、2024年11月21日にサンフランシスコに集まり、AI安全機構国際ネットワークを発足させた。ソウルで発表された「AIの安全科学に関する国際協力のための意向声明」を確認し、これを基に、以下のことを行う。
International Cooperation on AI Safety Science released at the AI Seoul Summit on May 21, 2024, this Network is intended to catalyze a new phase of international cooperation on AI safety.  このネットワークは、2024年5月21日に開催されたAIソウル・サミットで発表された「AI安全科学に関する国際協力に向けたソウル声明」を確認し、これを基礎とするもので、AI安全科学に関する国際協力の新たな段階を促進することを目的としている。
Our institutes and offices are technical organisations that aim to advance AI safety, help governments and society understand the risks posed by advanced AI systems, and suggest solutions to address those risks in order to minimize harm. Beyond mitigating risks, these institutes and offices play a crucial role in guiding the responsible development and deployment of AI systems. AI presents enormous opportunities – the ability to serve societal needs and transform and enhance human wellbeing, peace, and prosperity – as well as potential global risks. International cooperation to promote AI safety, security, inclusivity, and trust is essential to address those risks, drive responsible innovation, and expand access to the benefits of AI worldwide.  私たちの機構やオフィスは、AIの安全性を推進し、高度なAIシステムがもたらすリスクを政府や社会が理解するのを助け、被害を最小限に抑えるためにそれらのリスクに対処する解決策を提案することを目的とした技術組織である。リスクを低減するだけでなく、これらの機関やオフィスは、AIシステムの責任ある開発と展開を導く上で重要な役割を果たしている。AIは、社会のニーズに応え、人間の福利、平和、繁栄を変革し、向上させる能力という巨大な機会をもたらすと同時に、潜在的な世界的リスクをももたらす。AIの安全性、セキュリティ、包括性、信頼を促進するための国際協力は、こうしたリスクに対処し、責任あるイノベーションを推進し、AIの恩恵へのアクセスを世界中に拡大するために不可欠である。 
The International Network of AI Safety Institutes is intended to be a forum that brings together technical expertise from around the world. Recognizing the importance of cultural and linguistic diversity, we aim to facilitate a common technical understanding of AI safety risks and mitigations based upon the work of our institutes and of the broader scientific community that will support international development and the adoption of interoperable principles and best practices. We also intend to encourage a general understanding of and approach to AI safety globally, that will enable the benefits of AI innovation to be shared amongst countries at all stages of development.  AI安全機構国際ネットワークは、世界中の技術的専門知識を結集するフォーラムとなることを意図している。文化的・言語的多様性の重要性を認識しつつ、国際的な発展と相互運用可能な原則およびベストプラクティスの採用を支援するため、各機関および広範な科学コミュニティの研究に基づき、AIの安全リスクと緩和策に関する共通の技術的理解を促進することを目指す。また、AIの安全性に関する一般的な理解とアプローチを世界的に促進することで、AIイノベーションの恩恵をあらゆる発展段階にある国間で共有できるようにする。
The leadership of our respective AI safety institutes and offices have therefore come together to collaborate as Network Members to help drive technical alignment on AI safety research, testing, and guidance.  そのため、それぞれのAI安全機構や事務所の指導者たちは、ネットワークメンバーとして協力し、AIの安全性に関する研究、テスト、ガイダンスに関する技術的な連携を促進するために集まった。
As a first step, we intend to prioritize our collective efforts, in line with our mandates, in the following four areas crucial to international AI safety:  その第一歩として、国際的なAIの安全性確保に不可欠な以下の4つの分野について、各機関がそれぞれの使命に沿って優先的に取り組むことを意図している: 
• Research: We plan, together with the scientific community, to advance research on risks and capabilities of advanced AI systems as well as to share the most relevant results, as appropriate, from research that advances the science of AI safety.  ・研究: 研究:我々は,科学界とともに,先進的なAIシステムのリスクと能力に関する研究を進めるとともに,AIの安全性に関する科学を前進させる研究から得られた最も関連性の高い結果を適宜共有することを計画している。
• Testing: We plan to work towards building common best practices for testing advanced AI systems. This work may include conducting joint testing exercises and sharing results from domestic evaluations, as appropriate.  ・テスト: 我々は,先進的なAIシステムをテストするための共通のベストプラクティスの構築に向けて取り組むことを計画している。この作業には,適宜,共同テスト演習の実施や国内評価結果の共有が含まれる。
• Guidance: We plan to facilitate shared approaches such as interpreting tests of advanced systems, where appropriate.  ・ガイダンス: 適切な場合には,先進的なシステムのテストの解釈など,共通のアプローチを促進することを計画する。
• Inclusion: We plan to actively engage countries, partners, and stakeholders in all regions of the world and at all levels of development by sharing information and technical tools in an accessible and collaborative manner, where appropriate. We hope, through these actions, to increase the capacity for a diverse range of actors to participate in the science and practice of AI safety. Through this Network, we are dedicated to collaborating broadly with partners to ensure that safe, secure, and trustworthy AI benefits all of humanity.  ・参加: 私たちは,適切な場合には,アクセスしやすく協力的な方法で情報や技術ツールを共有することにより,世界のあらゆる地域,あらゆる開発レベルの国,パートナー,利害関係者を積極的に巻き込むことを計画している。これらの活動を通じて,多様な関係者がAIの安全性の科学と実践に参加する能力を高めることを望む。このネットワークを通じて,私たちは,安全,安心,信頼できるAIが全人類に利益をもたらすよう,パートナーとの広範な協力に専心する。

 

 

 


 

「(2) 合成コンテンツによるリスクの低減に関する国際ネットワークの新たな共同研究課題に取り組むため、1,100万ドルを超える世界的な研究資金拠出を発表する。」関係...

・2024.11.20 [PDF] NIST AI 100-4 Reducing Risks Posed by Synthetic Content

20241129-60422

・[DOCX][PDF] 仮訳

 

 

 


 

「(3)AI安全機構国際ネットワークによる初の共同テストから得られた、多言語、国際的なAIテストの取り組みに関する方法論的洞察」関係...

 

・[PDF] 基礎的モデルの国際試験の改善:AI安全機構国際ネットワークによるパイロットテスト演習

20241129-62809

 

 


 

「(4) 先進的AIシステムのリスクアセスメントに関する共同声明(国際ネットワークの連携を進めるための計画を含む)」関係...

 

・[PDF] 先進AIシステムのリスクアセスメントに関する共同声明AI安全機構国際ネットワーク

20241129-63329

 

 


 

NIST

・2024.11.20 U.S. AI Safety Institute Establishes New U.S. Government Taskforce to Collaborate on Research and Testing of AI Models to Manage National Security Capabilities & Risks

U.S. AI Safety Institute Establishes New U.S. Government Taskforce to Collaborate on Research and Testing of AI Models to Manage National Security Capabilities & Risks 米国AI安全研究所は、国家安全保障能力とリスクを管理するAIモデルの研究とテストに協力する新しい米国政府タスクフォースを設立した。
The Testing Risks of AI for National Security (TRAINS) Taskforce brings together experts from Commerce, Defense, Energy, Homeland Security, NSA, and NIH to address national security concerns and strengthen American leadership in AI innovation. 国家安全保障のためのAIのリスクテスト(TRAINS)タスクフォースは、商務省、国防総省、エネルギー省、国土安全保障省、NSA、NIHの専門家を集め、国家安全保障上の懸念に対処し、AIイノベーションにおける米国のリーダーシップを強化する。
Washington, D.C. — Today, the U.S. Artificial Intelligence Safety Institute at the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) announced the formation of the Testing Risks of AI for National Security (TRAINS) Taskforce, which brings together partners from across the U.S. Government to identify, measure, and manage the emerging national security and public safety implications of rapidly evolving AI technology. This announcement comes as the United States is set to host the first-ever convening of the International Network of AI Safety Institutes in San Francisco. ワシントンD.C.- 本日、米国商務省国立標準技術研究所(NIST)の米国人工知能安全研究所は、国家安全保障のためのAIリスクテスト(TRAINS)タスクフォースの結成を発表した、
同タスクフォースは、急速に進化するAI技術が国家安全保障と公共の安全に及ぼす影響を特定、測定、管理するために、米国政府全体のパートナーを結集するものである。
この発表は、米国がサンフランシスコでAI安全機構国際ネットワークの初会合を開催することになったことに伴うものである。
The Taskforce will enable coordinated research and testing of advanced AI models across critical national security and public safety domains, such as radiological and nuclear security, chemical and biological security, cybersecurity, critical infrastructure, conventional military capabilities, and more.  同タスクフォースは、放射線・核セキュリティ、化学・生物学的セキュリティ、サイバーセキュリティ、重要インフラ、通常の軍事能力など、国家安全保障や公共安全の重要な領域にわたって、高度なAIモデルの協調的な研究やテストを可能にする。
These efforts will advance the U.S. government imperative to maintain American leadership in AI development and prevent adversaries from misusing American innovation to undermine national security.  これらの取り組みは、AI開発における米国のリーダーシップを維持し、敵対国が米国のイノベーションを悪用して国家安全保障を損なうことを防ぐという米国政府の要請を推進するものである。
The TRAINS Taskforce is chaired by the U.S. AI Safety Institute and includes initial representation from the following federal agencies: TRAINSタスクフォースは、米国AI安全研究所が委員長を務め、以下の連邦機関の代表が初期メンバーとして参加している:
The Department of Defense, including the Chief Digital and Artificial Intelligence Office (CDAO) and the National Security Agency 国防総省(最高デジタル・人工知能局(CDAO)と国家安全保障局を含む。
The Department of Energy and ten of its National Laboratories エネルギー省とその10の国立研究所
The Department of Homeland Security, including the Cybersecurity and Infrastructure Security Agency (CISA) サイバーセキュリティ・インフラセキュリティ庁(CISA)を含む国土安全保障省
The National Institutes of Health (NIH) at the Department of Health and Human Services 保健福祉省の国立衛生研究所(NIH)
Each member will lend its unique subject matter expertise, technical infrastructure, and resources to the Taskforce and will collaborate on the development of new AI evaluation methods and benchmarks, as well as conduct joint national security risk assessments and red-teaming exercises.  各メンバーは、独自の専門分野、技術インフラ、リソースをタスクフォースに提供し、新しいAI評価手法やベンチマークの開発で協力するとともに、国家安全保障リスクアセスメントやレッドチーム演習を共同で実施する。
“Enabling safe, secure, and trustworthy AI innovation is not just an economic priority – it's a public safety and national security imperative,” said U.S. Secretary of Commerce Gina Raimondo. “Every corner of the country is impacted by the rapid progress in AI, which is why establishing the TRAINS Taskforce is such an important step to unite our federal resources and ensure we’re pulling every lever to address the challenges of this generation-defining technology. The U.S. AI Safety Institute will continue to lead by centralizing the top-notch national security and AI expertise that exists across government in order to harness the benefits of AI for the betterment of the American people and American business.” 「ジーナ・ライモンド米商務長官は、「安全、安心、信頼できるAIイノベーションを可能にすることは、単なる経済的優先事項ではなく、公共の安全と国家安全保障上の必須事項である。だからこそ、TRAINSタスクフォースの設立は、連邦政府のリソースを統合し、この生成的技術の課題に対処するためにあらゆる手段を講じることを確実にするための重要なステップなのです」と述べた。米国AI安全機構は、政府全体に存在する一流の国家安全保障とAIの専門知識を一元化し、米国民と米国ビジネスの向上のためにAIの恩恵を活用することで、リードし続けるだろう。
This effort operationalizes the whole-of-government approach to AI safety, as directed by the recent National Security Memorandum on AI, and the TRAINS Taskforce is expected to expand its membership across the federal government as its work continues. この取り組みは、AIに関する最近の国家安全保障覚書によって指示されたように、AIの安全性に対する政府全体のアプローチを運用するものであり、TRAINSタスクフォースは、その作業が継続するにつれて、連邦政府全体にそのメンバーを拡大することが期待されている。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

覚書と枠組み...

・2024.10.26 米国 ホワイトハウス 「人工知能における米国のリーダーシップの推進、国家安全保障上の目標を達成するための人工知能の活用、人工知能の安全性、セキュリティ、信頼性の育成に関する覚書」と「国家安全保障におけるガバナンスとリスクマネジメントを推進する枠組み」

 

AI 100-4関係...

・2024.05.03 米国 商務省 NISTがAIに関する4つのドラフトを公開し、意見募集を開始 (2023.04.29)

 

 

| | Comments (0)

2024.11.28

英国 NCSC ガイダンス「サイバーセキュリティリスクマネジメントを改善するための取締役会との協力」とブログ記事「取締役会にサイバーについてどう話すか」 (2024.10.07)

こんにちは、丸山満彦です。

英国の国家サイバーセキュリティセンター(NCSC)が、「サイバーセキュリティリスクマネジメントを改善するための取締役会との協力」というガイダンスを公表し、「取締役会にサイバーについてどう話すか」というブログ記事を公表していますね...

ランサムウェア被害や、大量の個人データの漏えい事案等、サイバーインシデントが経営に重要な影響を及ぼすことは今でも十分ありますし、これから社会、企業等のIT依存度がさらに高まることを考えると、さらにその重要性は増してくると思います。

そのため、その企業等のステークホルダーにとっても、サイバーリスクは重大な関心事となりますよね...取引先というステークホルダーのサイバーリスクに注意を払うようになり、サプライチェーンリスクマネジメントということが言われるようになってきています。

であれば、もっとも重要なステークホルダーである株主・投資家も企業のサイバーリスクについて関心を持って当然ですよね...

 

U.K. National Cyber Security Centre

ガイダンス...

・2024.10.07 Engaging with Boards to improve the management of cyber security risk

・[PDF]

20241127-235505

 

Engaging with Boards to improve the management of cyber security risk サイバーセキュリティリスクマネジメントを改善するために取締役会と協力する
How to communicate more effectively with board members to improve cyber security decision making. サイバーセキュリティの意思決定を改善するために、取締役会のメンバーとどのように効果的なコミュニケーションをとるか。
In this guidance 本ガイダンスでは
Introduction: why engaging with Boards matters 序文:なぜ取締役会との連携が重要なのか?
Understanding your audience 対象者を理解する
Engaging strategically 戦略的に関与する
Communicating clearly 明確にコミュニケーションする
Cyber security is a critical risk for boards and executive teams. Cyber security leaders (such as CISOs) play a crucial role in describing and mitigating the risks. This guidance helps those leaders to communicate effectively with Boards, and to better engage with their members. サイバーセキュリティは、取締役会や経営陣にとって重要なリスクである。サイバーセキュリティリーダー(CISOなど)は、リスクの説明と低減において重要な役割を担っている。本ガイダンスは、このようなリーダーが取締役会と効果的なコミュニケーションを図り、取締役会のメンバーとより良い関係を築くことを支援する。
Introduction: why engaging with Boards matters 序文:なぜ取締役会との連携が重要なのか?
Communicating with Boards and senior executives about cyber security can feel daunting, with the scrutiny this entails. サイバーセキュリティに関する取締役会や上級役員とのコミュニケーションは、その監視の厳しさゆえに難しく感じられるかもしれない。
It’s important to remember that Boards ultimately want you to be successful in defending the organisation against cyber security threats. When the Board is behind your efforts, cyber security can be recognised as a positive thing that helps your organisation’s digital activity to flourish, and not just seen as a necessary evil or cost-centre. 重要なのは、取締役会が最終的に求めているのは、サイバーセキュリティの脅威から組織を守ることに成功してほしいということである。取締役会があなたの取り組みを支持することで、サイバーセキュリティは、必要悪やコストセンターと見なされるのではなく、組織のデジタル活動を繁栄させるためのポジティブなものとして認識されるようになる。
Most Board members do not have in-depth cyber security knowledge. That’s not their role. Cyber security leaders, on the other hand, do have detailed knowledge of the domain, but maybe less experience in communicating with Board or senior executive teams. As a cyber professional, it is part of your job to bridge this gap to provide better cyber security outcomes. ほとんどの取締役は、サイバーセキュリティに関する深い知識を持っていない。それは彼らの役割ではない。一方、サイバーセキュリティ・リーダーは、この分野の詳細な知識を持っているが、取締役会や上級幹部チームとのコミュニケーションの経験は少ないかもしれない。サイバーセキュリティの専門家として、このギャップを埋め、より良いサイバーセキュリティの成果を提供することがあなたの仕事の一部である。
Cyber security is a strategic issue, which means you must engage with Boards on their terms and in their language to ensure the cyber risk is understood, managed and mitigated. This guidance describes how to communicate and engage more effectively with board members, to improve cyber security decision making within your organisation. It will also help you to communicate with senior executives, who make recommendations to the Board and are responsible for executing the strategy. Executives will take most of the decisions relating to cyber security and will be answerable to the Board for those decisions. Your CEO and CFO will likely be board members too. サイバーセキュリティは戦略的な問題であり、サイバーリスクが理解され、管理され、低減されるようにするためには、取締役会の言葉や用語で取締役会に働きかける必要がある。本ガイダンスでは、組織内のサイバーセキュリティに関する意思決定を改善するために、取締役会メンバーとより効果的にコミュニケーションし、関与する方法について説明する。また、取締役会に提言を行い、戦略の実行に責任を持つ上級幹部とのコミュニケーションにも役立つ。経営幹部は、サイバーセキュリティに関する意思決定のほとんどを行い、その決定について取締役会に回答する責任を負う。最高経営責任者(CEO)と最高財務責任者(CFO)も取締役会のメンバーになる可能性が高い。
Note: 注:
This guidance does not aim to increase cyber security understanding  amongst board members. The NCSC has produced separate guidance designed to help Boards ‘get a grip on cyber’, and includes briefings, guidance and training material directed at non-technical decision makers. 本ガイダンスは、取締役会メンバーのサイバーセキュリティに対する理解を深めることを目的としていない。NCSCは、取締役会が「サイバーセキュリティを把握する」ためのガイダンスを別途作成しており、非技術的な意思決定者を対象としたブリーフィング、ガイダンス、トレーニング資料が含まれている。
Understanding your audience 聴衆を理解する
As an enthusiastic and knowledgeable subject matter expert, you will probably have a tendency to want to tell, share and provide substantial updates on all your activities. In doing so, it’s easy to forget to calibrate your output for your audience. 'Cyber’ is 99% your day job. For Boards, this topic will be competing for space on an agenda already packed with dozens of other topics. It is therefore essential that you understand this broader Board agenda, the corporate strategy and goals, and the challenges the business faces. 熱心で知識豊富な専門家として、あなたはおそらく、自分の活動すべてについて、最新情報を伝え、共有し、提供したいと思う傾向があるだろう。そうすることで、聴衆に合わせてアウトプットを調整することを忘れがちになる。サイバー」は99%あなたの本業である。ボードにとって、このトピックは、すでに何十ものトピックで埋まっているアジェンダの中で、スペースを奪い合うことになる。そのため、より幅広い取締役会の議題、企業の戦略や目標、ビジネスが直面する課題を理解することが不可欠だ。
You won’t have (and don’t need) access to all the details; just reminding yourself of the top-down position, and asking questions if you need to, will help you talk about cyber in a relevant way that is connected to the strategic agenda. As with any audience, investing time in understanding what is important to the Board, their context and how they work will make you a more effective communicator. トップダウンの立場を思い起こし、必要であれば質問することで、戦略的アジェンダに関連した形でサイバーについて話すことができる。どのような聴衆に対しても言えることだが、取締役会にとって何が重要なのか、その背景や仕事の進め方を理解するために時間を費やすことが、あなたをより効果的なコミュニケーターにする。
Understand how ALL Boards work 取締役会のすべての仕事を理解する
This guidance focuses on engagement with Boards, the formal corporate group who are responsible for: このガイダンスは、以下の責任を負う正式な企業グループである取締役会とのエンゲージメントに焦点を当てている:
・the long-term strategy of the organisation in the interests of stakeholders-at-large ・ステークホルダー全体の利益のために、組織の長期的な戦略を策定する。
・the governance of the execution of that strategy and management of risks associated with it ・戦略実行のガバナンスとそれに伴うリスクマネジメント
It is a common misconception that Boards make all the decisions; most will be made by the executive management team, with the Board concerning itself with the governance and oversight of those decisions and recommendations. The NCSC has produced a useful summary of cyber security regulations and directors duties in the UK, which you should familiarise yourself with so you can better understand the Board’s obligations. 取締役会がすべての意思決定を行うというのは一般的な誤解であり、ほとんどの意思決定は経営陣が行い、取締役会はそれらの意思決定や提言のガバナンスと監督に責任を持つ。NCSCは、英国におけるサイバーセキュリティ規制と取締役の義務に関する有用な要約を作成した。
The role of cyber security professionals here is: ここでのサイバーセキュリティ専門家の役割は以下の通りである:
1. To ensure the cyber security implications of strategic decisions are understood by decision makers. 1. 戦略的意思決定がサイバーセキュリティに与える影響を意思決定者に確実に理解させる。
2. To ensure that risks to delivering the organisation’s strategy are identified, evaluated, and mitigated in line with the business risk appetite. This includes ensuring that the business has adequate cyber resilience to prevent, detect and respond to cyber attacks. 2. 組織の戦略を実現するためのリスクが、ビジネスリスクアペタイトに沿って特定、評価、低減されるようにする。これには、サイバー攻撃を防止、検知、対応するための適切なサイバーレジリエンスを確保することも含まれる。
The latter is most naturally where the conversation will start. To contribute to the former you will need to build trust in your knowledge and ability to deliver, and have demonstrated that you can contribute positively to the strategic discussions. 後者については、当然ながら会話が始まる。前者に貢献するためには、自分の知識と能力に対する信頼を築き、戦略的な議論に積極的に貢献できることを証明する必要がある。
Boards are responsible for overseeing a broad range of issues in their governance roles. Time allocated to even the most important subjects can often look very limited and dismissive of the importance of the subject. Respecting the preciousness of Board time is key to ‘operating at Board level’. 政府は、ガバナンスの役割の中で、幅広い問題を監督する責任を負っている。最も重要なテーマであっても、そこに割かれる時間は非常に限られており、その重要性を軽視しているように見えがちである。取締役会の貴重な時間を尊重することが、「取締役会レベルでの運営」の鍵である。
Note: 注:
The Financial Reporting Council - UK Corporate Governance Code gives a more detailed view of the role of a Board (and its members). Financial Reporting Council - UK Corporate Governance Codeは、取締役会(およびそのメンバー)の役割について、より詳細な見解を示している。
Understand how YOUR Board works (and who is on it) 自社の取締役会がどのように機能するか(そして誰が取締役会のメンバーか)を理解する
We tend to think of ‘The Board’ as a single entity, but it is of course made up of individual humans just like any other group, each with their own knowledge, skills, styles and preferences. 私たちは「取締役会」を単一の事業体として考えがちだが、もちろん他のグループと同じように個々の人間で構成されており、それぞれが独自の知識、スキル、スタイル、嗜好を持っている。
As well as who is on the Board, it's important to understand the mechanisms and practicalities of how your Board operates. How often do they meet? What format do the meetings take? What committees are there? Find out who manages the Board in your organisation. Larger companies will have a Company Secretary team who will be able to support you. Responsibility sometimes falls to a Chief of Staff role. In particular, seek advice on their ‘ways of working’, such as how they like sessions to work, and what style of papers and presentations work best. Read what Board output might be available to you. 誰が役員であるかだけでなく、役員会がどのように運営されているか、その仕組みと実務を理解することも重要だ。取締役会の開催頻度は?会議はどのような形式で行われるのか?どのような委員会があるのか?あなたの組織で誰が取締役会を管理しているのかを確認する。大企業であれば、カンパニー・セクレタリー・チームがあり、あなたをサポートしてくれるだろう。チーフ・オブ・スタッフの役割に責任がある場合もある。特に、彼らがどのようなセッションを好むか、どのようなスタイルの書類やプレゼンテーションが最も効果的かなど、「仕事のやり方」について助言を求める。理事会のアウトプットがどのようなものかを読む。
Cyber is a risk - talk about it as such サイバーはリスクである。
Boards understand risk. Many Boards will have a Risk Committee possibly combined with other functions such as Audit, Governance or Compliance. 取締役会はリスクを理解している。多くの取締役会にはリスク委員会があり、監査、ガバナンス、コンプライアンスなど他の機能と組み合わされている。
Whilst cyber risks may be notably different from other risks (the adversarial nature, the potential for catastrophic impact, their often very technical nature - and more generally how ‘new’ cyber risk is), it is helpful to align it with the framework and language of risk the Board are already familiar with. It allows you to locate ‘cyber’ in what should be familiar territory for board members. Your role is to help them understand how the cyber risks manifest as business risks, their potential impact and what you (with their support) will do to avoid or mitigate them. サイバーリスクは他のリスク(敵対的な性質、壊滅的な影響の可能性、多くの場合非常に技術的な性質、より一般的にはサイバーリスクがいかに「新しい」ものであるか)と著しく異なるかもしれないが、取締役会が既に慣れ親しんでいるリスクの枠組みや言語に合わせることは有益である。これにより、取締役会メンバーにとって馴染みのある領域に「サイバー」を位置づけることができる。あなたの役割は、サイバーリスクがビジネスリスクとしてどのように顕在化するのか、その潜在的な影響、そしてそれを回避または軽減するために(彼らの支援を受けて)あなたが何をするのかを理解してもらうことである。
In practice this means decomposing the threat landscape into clearly stated risks, in natural language, then grading the likelihood and impact of those risks. 実際には、これは脅威の状況を自然な言葉で明確にリスクに分解し、それらのリスクの可能性と影響を評価することを意味する。
Where possible, quantify and make the risks tangible, using precise language. You should reserve ‘doomsday scenario’ language and hyperbole for risks that really really warrant it. Equally Boards expect honest, matter-of-fact assessments of risks and your current position. Trying to gloss-over the risk (or overstate the mitigation) is not helpful. 可能であれば、正確な表現を用いてリスクを定量化し、具体化する。終末のシナリオ」的な表現や大げさな表現は、それが本当に正当なリスクに対して使うべきものである。同様に、ボードはリスクと現在のポジションについて、正直で率直なアセスメントを期待する。リスクを覆い隠そうとする(あるいは低減を誇張する)ことは役に立たない。
Recent research commissioned by the NCSC revealed that 80% of Boards do not realise that the accountability for cyber risk rests with them, even when cyber aspects are outsourced. Remember, it’s your job to advise; you can’t set the appetite for risk. That has to be done by the Board. NCSCが委託した最近の調査によると、80%の取締役会は、サイバーリスクの説明責任が、サイバー面を外部に委託している場合でも、取締役会にあることを認識していないことが明らかになった。助言するのがあなたの仕事であり、リスク選好度を決めることはできない。それは取締役会が行わなければならない。
Engage outside of Board meetings 取締役会以外の場で関与する
Board meetings aren’t the best place for you to ask questions, or to have in-depth discussions. 'Cyber' is more likely to be allocated a 15-minute session, rather than a two-hour workshop. It is much easier to have longer discussions between individuals and smaller groups. You may also find Board members are more comfortable asking questions about things they are unsure about in these smaller groups, something that’s hard for anyone to do in a formal setting. 取締役会は、質問したり、突っ込んだ議論をしたりするのに最適な場ではない。サイバー」は、2時間のワークショップではなく、15分のセッションに割り当てられる可能性が高い。個人や少人数のグループの方が、長いディスカッションがしやすい。また、正式な場ではなかなかできないような質問も、少人数のグループなら気軽にできる。
You’ll soon be able to identify the individuals on the Board who have a particular interest or knowledge of your area, so try and develop regular communication with them outside the regular Board agenda. Work with your executive management to achieve this. 理事会のメンバーで、あなたの分野に特別な関心や知識を持つ人物はすぐに特定できるだろうから、通常の理事会の議題以外でも、彼らとの定期的なコミュニケーションを図るようにしよう。経営幹部と協力してこれを達成する。
High-profile incidents present an opportunity to inform, update and advise. When cyber hits the news, which it frequently does, use the story to put a short briefing together for executive teams and Boards. This should cover the potential impact on your organisation, the steps you're taking to protect against similar incidents, and anything within your organisation that might heighten the risk or block progress in mitigating it. It may not be appropriate for you to send this directly to the Board, but share these thoughts with executives for them to share, if they see fit. 注目されるインシデントは、情報提供、更新、助言の機会を提供する。サイバー関連のニュースが頻繁に報道されるようになったら、そのニュースを利用して、経営陣や取締役会向けに短いブリーフィングをまとめよう。その際には、組織への潜在的な影響、同様のインシデントから守るために講じている措置、組織内でリスクを高めたり、リスク低減の進捗を妨げたりする可能性のあるものを取り上げるべきである。これを取締役会に直接送るのは適切ではないかもしれないが、適切と思われる場合には、経営幹部が共有できるよう、これらの考えを共有する。
Answer the most important questions first 最も重要な質問から答える
Make sure that you understand what is most important from the Board’s perspective. This might include: 取締役会の観点から何が最も重要かを理解しておく。これには以下が含まれる:
・What are the key risks and mitigation plans that you need to show progress against? ・進捗を示す必要のある主要リスクと低減計画は何か?
・What are the KPIs and metrics that are most relevant to your organisation? ・組織にとって最も関連性の高いKPIや指標は何か?
・What impacts are your Board most worried about? Downtime? Client impact? Regulation? ・取締役会が最も懸念している影響は何か?ダウンタイムか?顧客への影響?規制か?
・What are the critical questions the Board wants answering? ・取締役会が答えを求めている重要な質問は何か?
・What operational data can you surface to show activity and the benefits being achieved by investments made? ・どのような業務データを表に出せば、活動や投資によって達成された利益を示すことができるか?
A ‘one-page’ summary dashboard maybe called for here. Your organisation or Board meetings may have a preferred format and approach to routine reporting which you should work with. ここでは、「1ページ」の要約ダッシュボードが必要かもしれない。あなたの組織や取締役会には、日常的な報告に対する好みの形式やアプローチがあるかもしれない。
Expect to be asked about the big picture 全体像について質問されることを期待する
Part of Board’s role in governance and oversight is to make sure experts don’t get lost in the weeds at the expense of the bigger picture. One way Board members will do this is by ‘stepping back’ and asking broad questions. Questions you can expect to be asked may include: ガバナンスと監督における政府理事会の役割のひとつは、専門家が全体像を犠牲にして雑草の中に紛れ込まないようにすることである。取締役会のメンバーがこれを行う方法の1つは、「一歩下がって」幅広い質問をすることである。想定される質問には次のようなものがある:
・Do we understand the cyber security threat, and how it might impact our business strategy and plans? ・サイバーセキュリティの脅威を理解し、それが当社の事業戦略や計画にどのような影響を及ぼす可能性があるか?
・How do we benchmark against other organisations? Our peers? Our sector? ・他の組織に対するベンチマークはどうか。同業他社はどうか?セクターはどこか?
・How do we consider cyber security implications when we take decisions? ・意思決定を行う際に、サイバーセキュリティの影響をどのように考慮しているか?
・Have the critical assets for protecting our key business objectives been identified? ・主要な事業目標を保護するための重要な資産は識別されているか。
・Are we managing the risks in an effective way? ・リスクを効果的な方法でマネジメント しているか。
・Are we executing against the mitigation actions? ・低減策を実行しているか。
・Are responsibilities clear? ・責任を明確にしているか。
・Are we working with our supply chains and customers on this? ・サプライチェーンや顧客と連携しているか
・Do we have incident and contingency plans in place? Have they been tested? ・インシデントプランとコンティンジェンシープランを整備しているか?テスト済みか?
The NCSC’s ‘Cyber security 101’ for board members (PDF) gives insights into the types of questions Boards should and might reasonably be asking. Note that these aren’t technical questions; these are governance & assurance questions that Board members will feel comfortable asking, and to test the answers to. NCSCの理事会メンバー向け「サイバーセキュリティ101」(PDF)は、理事会が行うべき、また合理的に行うべき質問の種類についての洞察を示している。これらは技術的な質問ではなく、ガバナンスと保証に関する質問であり、取締役会のメンバーが気軽に質問し、その答えをテストするためのものである。
Engaging strategically 戦略的に関与する
As the authority for cyber security in your organisation, you must elevate your conversations with board members and other senior decision makers so that they connect ‘cyber’ with the overall business challenges and context. You need to connect what you want to tell the Board with what is most important to them (and therefore what they are interested in hearing about). 組織におけるサイバーセキュリティの認可者として、取締役会メンバーやその他の上級意思決定者との対話を強化し、「サイバー」をビジネス全体の課題や背景と結びつける必要がある。取締役会に伝えたいことを、取締役会にとって最も重要なこと(したがって、取締役会が聞きたがっていること)と結びつける必要がある。
Presenting to senior business leaders – with all their necessary challenges and push-back – can feel daunting. By taking the time to elevate the discussion to the strategic level, to understand your Board audience and to communicate clearly, you have a greater chance of winning their confidence and support. シニアビジネスリーダーにプレゼンするのは、必要な課題や反発もあり、大変なことだと感じるかもしれない。時間をかけてディスカッションを戦略的なレベルに引き上げ、取締役会の聴衆を理解し、明確なコミュニケーションをとることで、彼らの信頼と支持を得られる可能性が高まる。
Being able to engage Board members and executives is a fundamental aspect of your role which grows the cyber capability within your organisation, and develops your own skills as a communicator. More pressingly, if you fail to engage strategically, then you are less likely to receive the investment and resources needed to mitigate the increasingly complex and sophisticated threat landscape. 取締役や経営幹部を引き込むことは、あなたの役割の基本であり、組織内のサイバー能力を高め、あなた自身のコミュニケーターとしてのスキルを向上させる。さらに重要なことは、戦略的な関与ができなければ、複雑化・高度化する脅威の状況を緩和するために必要な投資やリソースを受けられなくなるということである。
Own the problem 問題を把握する
If you find yourself thinking ‘I’ve explained it three times and they still don’t get it!’, then ask yourself how you can change your approach so that: 3回説明してもまだ理解されない!」と思ったら、次のようにアプローチを変えることができるか自問してみよう:
・the executive and governance of your organisation are engaged ・組織の経営陣とガバナンスが関与している。
・you feel confident that the risks you’ve outlined are understood ・説明したリスクが理解されていると確信できる。
・your work plan is summarised well and it is clear that progress is being made ・作業計画がうまくまとめられ、進捗していることが明らかである。
The crucial first step is to recognise that - rightly or wrongly - this is your problem to solve. You will need to work with the audience as you find them, which may not be the audience you’d perhaps wish you had. 重要な最初のステップは、善かれ悪しかれ、これがあなたの解決すべき問題であることを認識することである。聴衆は、あなたが望む聴衆ではないかもしれない。
Provide a holistic view 全体的な視点を提供する
Cyber security. IT Infrastructure. Infosec. Online fraud. A specialist might understand why fraud, data theft and malicious attacks are treated as discrete topics, but from a Board’s perspective, these distinctions will often seem academic. サイバーセキュリティ。ITインフラ 情報セキュリティ オンライン詐欺。専門家であれば、詐欺、データ窃盗、悪質な攻撃が個別のトピックとして扱われる理由は理解できるかもしれないが、取締役会から見れば、これらの区別は学問的に見えることが多いだろう。
It’s not the Board’s problem to understand the minutiae, or how the different facets of cyber security, which maybe ‘owned’ by different parts of the organisation, fit together. They need to be confident that everything is being addressed through a cohesive approach, and there are no gaps in your mitigation plan. 細かいことを理解するのは取締役会の問題ではないし、サイバーセキュリティのさまざまな側面(組織のさまざまな部分が「所有」しているかもしれない)がどのように組み合わされているかを理解するのも取締役会の問題ではない。取締役会は、すべてが一貫したアプローチで対処されており、低減計画にギャップがないことを確信する必要がある。
Be clear on the definition and components of what cyber security means in your organisation, and be clear about who owns which parts. Work with your colleagues to provide the holistic view a Board needs. 組織におけるサイバーセキュリティの定義と構成要素を明確にし、誰がどの部分を所有するかを明確にする。取締役会が必要とする全体的な視点を提供するために、同僚と協力する。
Advise rather than educate 教育するのではなく、助言する
Board members rely on advice from experts - like you - to discharge their governance responsibilities. It’s not your role to train them to do your job, but instead to put them in a position where they can make informed decisions about corporate strategy and cyber risks. Boards do this all the time with different type of risk, such as financial risk, and one of the Boards functions is to approve statutory financial accounts. They can do this without understanding the intricacies of the local accounting and tax rules their organisations operate in. Instead Boards rely on their financial teams, and take advice from accountants and specialists to do so. 理事会のメンバーは、ガバナンスの責任を果たすために、あなたのような専門家からのアドバイスを頼りにしている。あなたの役割は、取締役に仕事を教えることではなく、取締役が企業戦略やサイバーリスクについて十分な情報を得た上で意思決定できるようにすることである。取締役会は、財務リスクなど様々な種類のリスクについて常にこのようなことを行っており、取締役会の機能の1つは法定財務会計を承認することである。取締役会は、各組織が活動する地域の会計や税務の複雑な規則を理解しなくても、これを行うことができる。その代わりに、取締役会は財務チームを頼りにし、会計士や専門家から助言を得ている。
Ultimately it is Boards and executives who are accountable for risk decisions about cyber security. In some industry sectors they may have specific regulatory obligations. It is your responsibility to put them in a position so the Board - with advice from you - can make those decisions. 最終的にサイバーセキュリティに関するリスク決定の責任を負うのは、取締役会と経営陣である。業種によっては、特定の規制上の義務を負っている場合もある。取締役会が、あなたからのアドバイスを受けながら、そのような意思決定を行えるような状態にすることは、あなたの責任である。
Be open to external scrutiny 外部からの精査を受け入れる
Finance teams expect to be audited. 財務チームは監査を受けることを期待している。
Health and Safety teams expect to be inspected. 安全衛生チームは検査を受けることを期待している。
Cyber security functions should expect the same, especially over critical matters or significant investments. It can feel uncomfortable when people question our work, but Boards will naturally seek independent assurance from external specialists on critical matters. Back up your assertions and facts from trusted and approved third parties (such as the NCSC website and the Cyber Security Toolkit for Boards). サイバーセキュリティ機能も、特に重要事項や重要な投資については、同じことを期待すべきである。私たちの仕事に疑問を投げかけられると不快に感じるかもしれないが、取締役会は、重要な事項については、当然、外部の専門家から独立した保証を求める。信頼され、承認されたサードパーティ(NCSCのウェブサイトやCyber Security Toolkit for Boardsなど)から主張と事実の裏付けを取る。
Communicating clearly 明確にコミュニケーションする
Whether you’re presenting or writing, the Board may well be interested in what you have to say, but the way in which you convey it will either encourage them to take note, or to stop listening. This section contains some tips that can help you refine your messaging. プレゼンであれ文書作成であれ、取締役会はあなたの発言に関心を持っているかもしれないが、それをどのように伝えるかによって、取締役会の関心を引くか、あるいは聞くのをやめてしまうかが決まる。このセクションでは、メッセージングを洗練させるのに役立つヒントをいくつか紹介する。
To get busy boards to engage with cyber, you’ll need to communicate in a language that resonates with their business mindset, and share updates concisely, using a business-focused approach (with minimal technical detail) for maximum impact. 多忙な理事会にサイバーに関心を持ってもらうためには、彼らのビジネスマインドに響く言葉でコミュニケーションし、インパクトを最大化するために(技術的な詳細を最小限に抑え)ビジネスに焦点を当てたアプローチで簡潔に最新情報を共有する必要がある。
Pick a model and stick with it モデルを選び、それにこだわる
Using a consistent structure across your communications (which you can use over and over again) is very helpful when dealing with an audience who engages with the topic infrequently. It’s helpful to give your audience a way of thinking about something; it's less helpful to be given two ways to think about it. It’s even more unhelpful if you get a new one every time you address the Board. コミュニケーション全体で一貫した構造を使う(何度でも使える)ことは、そのトピックに関わる頻度が低い聴衆を相手にする場合に非常に役立つ。聴衆に何かについて考える方法を与えることは有益だが、それについて考える方法を2つ与えられるのはあまり有益ではない。理事会で演説するたびに新しいものが出てくれば、なおさら役に立たない。
If you are new to the organisation, take time to understand how they work, and their existing content and practices. Obviously, this will vary with each organisation. Some organisations will have standardised reporting structures for risks and investment programmes, others may have a suite of dashboards and KPIs in place, or a mixture of these. Whatever is used, make it work for you, don’t work against it. その組織で働くのが初めての場合は、その組織がどのように働いているのか、既存の内容や慣行を理解するのに時間をかけること。もちろん、これは組織によって異なる。リスクや投資プログラムについて標準化された報告構造を持っている組織もあれば、一連のダッシュボードやKPIを導入している組織もあるだろうし、これらが混在している組織もあるだろう。どのようなものを使うにせよ、自分のためになるようにし、不利にならないようにする。
You’ll also need a simple way to report what you have been doing. If you are using a formal cyber framework, then the headings from there might be useful (taking care to avoid the complexities of the frameworks), or use the NCSC’s 10 Steps to Cyber Security. Or make your own. また、何を行っているかを報告する簡単な方法も必要である。正式なサイバーフレームワークを使用している場合は、そのフレームワークの見出しが役に立つかもしれない(フレームワークの複雑さを避けるように注意する)。あるいは自分で作る。
Keep it simple シンプルにする
Perhaps the most frequent complaint from Boards is that cyber experts use technical language and jargon when describing unfamiliar topics. Given this, it's no surprise that many board members struggle to unpick and engage with cyber security. Whilst the appropriate level and language to communicate will depend on the organisation, natural language that’s free from jargon and acronyms is the order of the day. Simple descriptions will always work better. おそらくボードから最も頻繁に寄せられる苦情は、サイバー専門家が馴染みのないトピックを説明するときに専門用語や専門用語を使うというものだ。このことを考えると、多くの理事がサイバーセキュリティを理解し、関与するのに苦労するのは当然である。コミュニケーションに適切なレベルや言語は組織によって異なるが、専門用語や略語を使わない自然な表現が重要である。シンプルな説明が常に効果的である。
This challenge is heightened by Boards who are required to switch context between multiple subjects while reading Board papers and in meetings. この課題は、取締役会報告書を読んだり会議を開いたりする際に、複数の主題の間で文脈を切り替えることを求められる取締役会によって、より大きくなる。
For example, the following definition ‘The firewall controls network traffic entering and leaving our organisation’ is neither over-simplified nor patronising. Don’t be frightened to explain things at (what you consider to be) an absurdly high-level. You can always add detail if required, which is much easier than starting with the details and then having to work back up. 例えば、次の定義「ファイアウォールは、組織に出入りするネットワークトラフィックを制御する」は、単純化しすぎていないし、恩着せがましくもない。物事を(あなたが考える)とんでもなく高いレベルで説明することに怯んではいけない。必要であればいつでも詳細を加えることができるし、詳細から始めてから作業をやり直すよりずっと簡単だ。
Technical teams tend to talk about the names of systems or the vendor that provides those systems (or both at once). This is not helpful. Don’t talk about ‘CyberPro18.2 as our End Point Protection’. Instead talk about ‘protecting PC and servers from viruses and other types of malware’. 技術チームは、システムの名前か、そのシステムをプロバイダしているベンダーの名前(あるいはその両方)について話しがちだ。これは役に立たない。当社のエンドポイントプロテクションはCyberPro18.2です」と話してはいけない。代わりに「ウイルスやその他の種類のマルウェアからPCやサーバーを保護する」ことについて話す。
Use diagrams and images to aid comprehension if that is what your Board prefers. The NCSC Cyber Security Toolkit for Boards is a great resource for board-ready communication collateral covering the cyber domain. 理事会が望むのであれば、理解を助けるために図や画像を使用する。NCSC Cyber Security Toolkit for Boards(理事会向けサイバーセキュリティツールキット)は、サイバー領域をカバーする理事会対応のコミュニケーション資料として最適である。
Less is more 少ないことは多いことだ
Brevity is good. Use fewer words. Use more headings and fewer blocks of text than you would when addressing technical teams. Favour ‘executive summaries’ (that is, a summary of your whole argument) over ‘introductions’ (which oblige your audience to read more). This isn’t about dumbing down or leaving out important parts of the story. You must give a complete and balanced view. This is not easy. It sometimes feels rude or terse. Work at it if you want to get heard. 簡潔であることが良い。言葉を少なくする。技術チームと話すときよりも見出しを多く使い、文章のブロックは少なくする。エグゼクティブサマリー」(つまり、あなたの主張全体を要約したもの)は、「序文」(聴衆にもっと読むよう義務づけるもの)よりも好まれる。これは、話の重要な部分を省略したり、ダブらせたりすることではない。完全でバランスの取れた見解を述べなければならない。これは簡単なことではない。時には無礼に感じたり、辛辣に感じたりすることもある。話を聞いてもらいたければ、努力することだ。
It’s important to remember that the more complex the subject matter (and cyber security can be complex), the simpler the language needs to be. There’s lots of evidence and usability studies that support thisEveryone likes clear language, and this includes highly educated Board members who are experts in their own fields and don’t have time to read pages of dry technical prose. 題材が複雑であればあるほど(そしてサイバーセキュリティは複雑であるほど)、シンプルな表現にする必要があることを忘れてはならない。これを裏付ける証拠やユーザビリティの研究はたくさんある。誰もがわかりやすい言葉を好むが、これには、各分野の専門家であり、何ページにもわたる乾いた技術的な文章を読む時間がない高学歴の取締役も含まれる。
Prepare and rehearse 準備とリハーサル
You may know your stuff technically, but do you know it so well you can explain it effortlessly without drifting into too much technical detail and language? We expect Board-level communication to be at the very highest level of quality, so it’s worth sweating over, and getting it right. 技術的な知識は豊富かもしれないが、技術的な詳細や言い回しに流されることなく、すらすらと説明できるほど熟知しているだろうか?取締役会レベルのコミュニケーションには、最高レベルの品質が求められる。
If you are uncomfortable presenting to a senior business audience, or perhaps just daunted a little by the Board, find someone you can partner with when presenting. This will ideally be a ‘cyber champion’ on the Board or Exec team who can help you with content and also help you field questions. 上級のビジネス聴衆にプレゼンするのが苦手な場合、あるいは取締役会が少し怖い場合は、プレゼンの際にパートナーになれる人を見つけよう。理想的には、取締役会や役員チームの「サイバー・チャンピオン」であり、コンテンツについて手助けしてくれたり、質問に答える手助けをしてくれたりする人だ。
Make sure you check and test your content with your manager and/or the executive responsible for cyber security. Executives have managers too; they don’t want to be surprised or embarrassed by content that the Board will see. あなたの上司やサイバーセキュリティ担当役員に、必ず内容を確認し、テストしてもらうこと。役員にも管理職がいる。彼らは、取締役会に見られるような内容で驚いたり恥をかいたりしたくないのだ。
Communications around cyber - especially in the media - are often fear inducing. You can counter that when presenting with non-alarmist, measured communications that shows how this very real threat can be managed and mitigated. Tone and body language are important here too. You should be upbeat and positive about the work you have done and the challenges in front of you. サイバーにまつわるコミュニケーションは、特にメディアでは恐怖心を煽ることが多い。この現実的な脅威をどのように管理し、低減できるかを示す、非警戒主義的で慎重なコミュニケーションを提示することで、これに対抗することができる。ここでもトーンとボディランゲージが重要だ。自分のやってきた仕事と目の前の課題に対して、明るく前向きであるべきだ。
To sum up… まとめると...
Following this advice will help improve your engagement with Board members on this important strategic topic. By doing so you are more likely to receive the investment and resources you need, ultimately reducing the cyber security risk and enabling the business to focus on its value-creating work. このアドバイスに従うことで、この重要な戦略トピックに関する取締役会とのエンゲージメントを改善することができる。そうすることで、必要な投資やリソースを受けられる可能性が高くなり、最終的にサイバーセキュリティのリスクを低減し、事業が価値創造業務に集中できるようになる。

 

 

ブログ記事...

・2024.10.07 How to talk to board members about cyber

How to talk to board members about cyber 取締役会にサイバーについてどう話すか
New guidance helps CISOs communicate with Boards to improve oversight of cyber risk. 新しいガイダンスは、CISOがサイバーリスクの監督を改善するために取締役会とコミュニケーションするのに役立つ。
Improving the management of cyber risks in organisations has been the central motivation behind our Cyber Security Toolkit for Boards, which helps boards to embed cyber resilience and risk management throughout their organisations, systems, technologies and staff. このツールキットは、取締役会が組織、システム、テクノロジー、スタッフ全体にサイバーレジリエンスとリスクマネジメントを組み込むことを支援するものである。
However, for some time the NCSC has been aware of a ‘skills gap’ in how cyber security risk is overseen at the board level. To explore this more fully, we commissioned research specialists Social Machines to obtain a better understanding of this perceived ‘lack of board engagement with cyber security and cyber-related decision-making’.  しかし、NCSCはしばらくの間、取締役会レベルにおけるサイバーセキュリティリスクの監督方法における「スキルギャップ」を認識していた。これをより詳細に調査するため、NCSCは、「取締役会がサイバーセキュリティやサイバー関連の意思決定に関与していない」という認識についてより深く理解するために、調査のスペシャリストであるソーシャル・マシーンズ社に調査を依頼した。
The research included interviews with board members, CISOs and other cyber security leaders in medium to large organisations. Whilst some of the key themes could perhaps have been predicted (such as how boards find the excessive use of technical language and jargon as barriers to understanding), other findings were more unexpected - and concerning. 調査には、中規模から大規模の組織の取締役、CISO、その他のサイバーセキュリティリーダーへのインタビューが含まれた。いくつかの主要なテーマは予想できたが(例えば、専門用語や専門用語の多用が取締役会の理解を妨げているなど)、他の発見は予想外であり、懸念すべきものであった。
For example, 80% of participants were unsure of where accountability for cyber resided. We found that in many organisations, the CISO (or equivalent role) thought that the Board was accountable, whilst the Board thought it was the CISO. This lack of clarity is compounded by a ‘lack of expertise’ reported by 60% of the participants. As a result of their limited understanding of the risks, Boards believed they were unable to offer the necessary oversight. 例えば、参加者の80%が、サイバーに関する説明責任がどこにあるのか分からなかった。多くの組織で、CISO(またはそれに相当する役割)が取締役会に説明責任があると考えている一方で、取締役会はCISOだと思っていることがわかった。このような明確性の欠如は、参加者の60%が報告した「専門知識の欠如」によってさらに深刻化している。リスクに対する理解が乏しいため、取締役会は必要な監督を行えないと考えている。
For their part, CISOs stated that they didn’t feel the need to involve the Board because they believed that the Board would struggle to understand their technical explanations. CISO側は、取締役会が技術的な説明を理解するのに苦労すると考えているため、取締役会に関与する必要性を感じていないと述べている。
Board-level cyber discussions: communicating clearly is new guidance from the NCSC that addresses head on the issues raised by the Social Machines research. It encourages CISOs and other cyber security leaders to ‘step up’ to this challenge, and offers practical tips to help you engage strategically with the board to improve the management of cyber security risk.  取締役会レベルのサイバーディスカッション:明確なコミュニケーション」はNCSCによる新しいガイダンスで、ソーシャルマシンの調査によって提起された問題に正面から取り組んでいる。このガイダンスでは、CISOやその他のサイバーセキュリティリーダーがこの課題に「ステップアップ」することを奨励し、サイバーセキュリティリスクマネジメントを改善するために取締役会に戦略的に関与するのに役立つ実践的なヒントを提供している。
As the authority for cyber security in your organisation, it’s up to CISOs to elevate their conversations with board members (and other senior decision makers) so that they connect ‘cyber’ with the overall business challenges and context. This means CISOs must engage with Boards on their terms and in their language to ensure the cyber risk is understood, managed and mitigated. The guidance explains that a crucial first step is to recognise that - rightly or wrongly - this is the CISO’s problem to solve, and they need to work with the audience as they find it (which may not be the audience they wish they had). 組織におけるサイバーセキュリティの認可者として、取締役会メンバー(およびその他の上級意思決定者)との対話を強化し、「サイバー」を全体的なビジネス上の課題や背景と結び付けられるようにすることは、CISOにかかっている。つまり、CISOは、サイバー・リスクが理解され、マネジメントされ、低減されるように、彼らの言葉で取締役会に関与しなければならない。このガイダンスでは、重要な第一歩として、善かれ悪しかれ、これはCISOが解決すべき問題であり、CISOは、彼らが見つけた聴衆(それは彼らが望む聴衆ではないかもしれない)と協働する必要があることを認識する必要があると説明している。
As the research underlines, most Board members do not have in-depth cyber security knowledge. That’s not their role. Cyber security leaders, on the other hand, do have detailed knowledge of the domain, but are less experienced in communicating technical matters to Board or senior executive teams. As cyber professionals, it the CISO’s job to bridge this gap to provide better cyber security outcomes.  この調査で明らかになったように、ほとんどの取締役会メンバーはサイバーセキュリティに関する深い知識を持っていない。それは彼らの役割ではない。一方、サイバーセキュリティリーダーは、この分野の詳細な知識を持っているが、技術的な事柄を取締役会や上級役員チームにコミュニケーションした経験はあまりない。サイバーの専門家であるCISOの仕事は、このギャップを埋めてより良いサイバーセキュリティの成果を提供することである。
The new guidance forms the latest part of the Cyber Security Toolkit for Boards, and will help the CISO better understand the responsibilities and mindset of boards, and how to best explain this complex subject. By doing so, cyber security leaders are more likely to receive the investment and resources they need, ultimately reducing the cyber security risk and enabling the business to focus on its value-creating work. この新しいガイダンスは、「取締役会のためのサイバーセキュリティ・ツールキット」の最新版であり、CISOが取締役会の責任や考え方、この複雑なテーマについてどのように説明すればよいかをよりよく理解するのに役立つ。そうすることで、サイバーセキュリティ・リーダーが必要な投資とリソースを受けられる可能性が高まり、最終的にサイバーセキュリティ・リスクを低減し、ビジネスが価値創造業務に集中できるようになる。

 

 


 

このブログでも紹介していましたが...

 

取締役会向けのガイダンス...

・2023.03.30 Cyber Security Toolkit for Boards

 

Cyber Security Toolkit for Boards 取締役会向けサイバーセキュリティ・ツールキット
20230627-110721
   
Cyber security 101 for Board Members 取締役向けサイバーセキュリティ入門
This document provides a sample script of questions to discuss at your next board meeting. この文書では、次回の取締役会で話し合うための質問のサンプルスクリプトを提供する。
20230627-110730
   
Executive summary エグゼクティブサマリー
This document summarises the content of each section of the Board Toolkit. この文書は、取締役会ツールキットの各セクションの内容を要約したものである。
20230627-110740
   
Questions for the board to ask about cyber security 取締役会がサイバーセキュリティについて尋ねるための質問
This document briefly summarises each module of the toolkit. It then provides a series of questions (with possible answers) that boards can use to help evaluate your organisation's performance. この文書では、ツールキットの各モジュールを簡単に要約する。その上で、取締役会が組織のパフォーマンスを評価する際に利用できる一連の質問(可能な回答付き)をプロバイダとして提供する。
20230627-110748

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.27 英国 NSCS (サイバーセキュリティ向け)リスクマネジメントガイドの改訂 (2023.06.23) + 取締役会向けサイバーセキュリティ・ツールキット (2023.03.30)

 

Continue reading "英国 NCSC ガイダンス「サイバーセキュリティリスクマネジメントを改善するための取締役会との協力」とブログ記事「取締役会にサイバーについてどう話すか」 (2024.10.07)"

| | Comments (0)

2024.11.27

英国 NCSC「Active Cyber Defence」 のウェブページ

こんにちは、丸山満彦です。

英国政府は、アクティブ・サイバーディフェンス(ACD)プログラムの一環として、サイバーセキュリティツールとサービスをプロバイダとして提供しています...

英国政府のいうアクティブ・サイバーディフェンスは、日本語にすると能動的サイバー防御という訳語と同じになるかもしれませんが、攻撃元と見られるサーバーの無害化措置という概念はなく、ディフェンス、防御...です。

パッシブなサイバー防御に対して、アクティブなサイバー防御という感じで、攻撃の兆候を掴んだら、どのような攻撃かを想定して、先回りをして防御を固めるというようなイメージなのだろうと思います。

ということで、英国政府のアクティブ・サイバーディフェンス(ACD)プログラムのウェブページの紹介です。

サービスとしては、

・セルフサービスチェック

  • 早期警告
  • エクセサイズ・イン・ア・ボックス
  • メールチェック
  • ウェブチェック
  • サイバーセキュリティ・チェック

・検知

  • ホストベース
  • 防御ドメイン名サービス
  • 脆弱性開示

・破壊と防御

  • 疑わしいメール報告サービス
  • テイクダウン・サービス
  • 能力の共有と防御

 

 

National Cyber Security Centre

Active Cyber Defence

英国政府のアクティブ・サイバーディフェンス(ACD)プログラムというのは、まさにプログラムで、主に公共機関向けに具体的なサイバー防御のサービスを提供するものです。そういう意味ではNCSCはセキュリティサービスプロバイダーでもありますね...(また、NCSCはサイバーセキュリティのスタートアップ企業の育成にも力をいれていたりします...NCSC for Startups 例えば、[PDF] [YouTube][Youtube])

 

・・Introduction

Introduction 序文
Active Cyber Defence (ACD) seeks to reduce the harm from commodity cyber attacks by providing tools and services that protect from a range of attacks. アクティブ・サイバーディフェンス(ACD)は、さまざまな攻撃から身を守るツールやサービスを提供することで、商品サイバー攻撃による被害を減らすことを目指している。
The UK continues to be one of the most digitally advanced countries in the world, with our lives being online more than ever before. As this digitisation continues, it is vital that the UK remains able to protect its organisations, business and citizens against cyber crime. 英国は世界で最もデジタル化が進んだ国のひとつであり、私たちの生活はかつてないほどオンライン化されている。このデジタル化が進む中、英国がサイバー犯罪から組織、企業、市民を守り続けることは極めて重要である。
The aim of ACD is to “Protect the majority of people in the UK from the majority of the harm caused by the majority of the cyber attacks the majority of the time.” We do this through a wide range of mechanisms, which at their core have the ability to provide protection at scale.  ACDの目的は、「英国の大多数の人々を、大多数のサイバー攻撃による大多数の被害から、大多数の時間保護する 」ことである。ACDは、幅広いメカニズムを通じてこれを実現するが、その中核となるのは、大規模な防御を提供する能力である。
ACD is intended to tackle the high-volume commodity attacks that affect people’s everyday lives, rather than the highly sophisticated and targeted attacks, which NCSC deal with in other ways.  ACDは、NCSCが他の方法で対処している高度に洗練された標的型攻撃ではなく、人々の日常生活に影響を与える大量のコモディティ攻撃に取り組むことを意図している。
The ACD programme consists of a number of interventions or real services - each free at the point of use - that perform a particular security service for organisations. ACDプログラムは、組織向けに特定のセキュリティ・サービスを提供する多数の介入サービスまたは実サービス(それぞれ利用時点では無料)から構成されている。
Learn more about ACD services ACDサービスについてもっと知る

 

 

 


 

サービス... (ここが本命...)

Services サービス
The NCSC provides a range of free cyber security tools and services to eligible organisations as part of the Active Cyber Defence (ACD) programme. NCSCは、アクティブ・サイバーディフェンス(ACD)プログラムの一環として、対象となる組織に様々なサイバーセキュリティツールとサービスを無料で提供している。
Self service checks セルフサービスチェック
Services in this category allow you to check and improve the security posture of your organisation. このカテゴリーのサービスを利用することで、組織のセキュリティ態勢をチェックし、改善することができる。
Early Warning 早期警告
Early Warning helps organisations investigate cyber attacks on their network by notifying them of malicious activity that has been detected in information feeds. 早期警告は、情報フィードで検知された悪意のある活動を通知することで、組織がネットワーク上のサイバー攻撃を調査するのを支援する。
Eligible Sectors: Any UK organisation with a static IP address or domain name can sign up to use Early Warning. 対象となるセクター 静的IPアドレスまたはドメイン名を持つ英国の組織であれば、Early Warningの使用にサインアップできる。
Learn more 詳細はこちら
Exercise in a Box (EIAB) エクササイズ・イン・ア・ボックス(EIAB)
EIAB is a resource of realistic scenarios that helps organisations practise and refine their response to cyber security incidents in a safe and private environment. EIABは、組織が安全でプライベートな環境でサイバーセキュリティインシデントへの対応を練習し、洗練させるのに役立つ現実的なシナリオのリソースである。
Eligible sectors: Anyone can download and use EIAB 対象部門 誰でもダウンロードして利用できる
Read more もっと読む
Mail Check メールチェック
Mail Check helps organisations assess their email security compliance and adopt secure email standards which prevent criminals from spoofing your email domains. Mail Checkは、組織のメールセキュリティコンプライアンスを評価し、犯罪者によるメールドメインのなりすましを防止するセキュアメール標準の採用を支援する。
Eligible sectors: Public Sector and Academia (All UK Schools. Universities and Further Education Colleges). UK Registered Charities. UK Registered Social Housing Providers and Arms Length Management Organisations (ALMOs).  対象分野 公共部門および学術機関(英国のすべての学校、大学および継続教育カレッジ)。英国登録慈善団体 英国登録社会住宅プロバイダおよび独立行政法人(ALMO)。
Learn more さらに詳しく
Web Check ウェブチェック
Web Check helps you find and fix common security vulnerabilities in the websites that you manage. Web Check は、管理する Web サイトの一般的なセキュリティ脆弱性の発見と修正を支援する。
Eligible sectors: Public Sector and Academia (All UK Schools. Universities and Further Education Colleges). UK Registered Charities. UK Registered Social Housing Providers and Arms Length Management Organisations (ALMOs).  対象となるセクター 公共部門および学術機関(英国のすべての学校、大学、継続教育カレッジ)。英国の登録慈善団体 英国の登録社会住宅プロバイダおよび独立行政法人(ALMO)。
Read more もっと読む
Check your Cyber Security サイバーセキュリティ・チェック
The NCSC check your cyber security service allows individuals and organisations to run instant checks on their cyber security. You don’t need to register to use it and the checks can be run in seconds.  NCSCのcheck your cyber securityサービスでは、個人や組織のサイバーセキュリティを即座にチェックすることができる。利用登録は不要で、チェックは数秒で実行できる。
The email security check allows you to quickly check that you have applied standards like DMARC and TLS correctly to prevent spoofing and protect privacy. Eメールセキュリティチェックでは、DMARCやTLSなどの標準が正しく適用されているかどうかを素早くチェックし、なりすましを防止してプライバシーを保護することができる。
Learn more and run a check 詳細とチェックを実行する
The IP address & website check allows you to check if cyber criminals could attack your systems to gain access to your data via the internet.  IPアドレス&ウェブサイトチェックでは、サイバー犯罪者が貴社のシステムを攻撃し、インターネット経由で貴社のデータにアクセスできるかどうかをチェックできる。
Start now 今すぐ始める
The Web browser check service allows you to check if your web browser is out of date and vulnerable to exploitation by criminals. If your web browser needs updating, we’ll provide step-by-step guidance on what you should do and how to set up automatic updates. ウェブブラウザチェックサービスでは、お使いのウェブブラウザが古く、犯罪者に悪用される脆弱性がないかどうかをチェックできる。ウェブブラウザの更新が必要な場合は、何をすべきか、自動更新を設定する方法について、ステップバイステップのガイダンスを提供する。
Start now 今すぐ始める
Detections deployed by organisations 組織が展開する検知
Organisations integrate services in this category into their environment to provide a protection or detection capability. 組織は、このカテゴリーのサービスを環境に統合し、保護または検知機能を提供する。
Host Based Capability (HBC) ホストベースの機能(HBC)
HBC is a software agent available for use on OFFICIAL devices in government. HBCは、政府の公式デバイスで使用可能なソフトウェア・エージェントである。
The NCSC conducts analysis to detect malicious activity on those endpoints. The service provides security baseline reports, and forewarns customers about their exposure to the most critical of vulnerabilities. NCSC は、これらのエンドポイントで悪意のある活動を検知するための分析を行う。このサービスは、セキュリティベースラインレポートを提供し、最も重大な脆弱性へのエクスポージャーを顧客に警告する。
Eligible sectors: Public Sector (Central Government) 対象となるセクター 公共部門(中央政府)
Learn more 詳細はこちら
Protective Domain Name Service (PDNS) 防御ドメイン名サービス(PDNS)
PDNS prevents users from accessing domains or IPs that are known to contain malicious content and stops malware already on a network from calling home. PDNSは、悪意のあるコンテンツが含まれていることが知られているドメインやIPにユーザーがアクセスするのを防ぎ、すでにネットワーク上にあるマルウェアがホームに呼び出すのを阻止する。
Eligible sectors: Public Sector. UK Registered Social Housing Providers and Arms Length Management Organisations (pilot users only - for more information visit our PDNS webpage) 対象となるセクター 公共部門。英国の登録社会住宅プロバイダおよび独立行政法人管理組織(パイロットユーザーのみ。)
Learn more 詳細はこちら
Vulnerability Disclosure 脆弱性の開示
The NCSC is working to mature the UK's approach to vulnerability disclosure and remediation by providing the following:・ NCSCは、以下をプロバイダとして提供することで、脆弱性の開示と修復に対する英国のアプローチを成熟させることに取り組んでいる:
GC3 Vulnerability Reporting Service - anyone can report a vulnerability with a UK government online service ・GC3 脆弱性報告サービス - 英国政府のオンラインサービスで、誰でも脆弱性を報告できる。
Vulnerability Disclosure for Government Scheme - we aim to improve the UK government's ability to adopt vulnerability disclosure best practices. Please contact us if you want to be involved in the pilot (government only) ・Vulnerability Disclosure for Government Scheme - 英国政府が脆弱性開示のベストプラクティスを採用する能力を改善することを目指している。パイロット版への参加を希望される方は、こちらまでご連絡ください(ガバナンスのみ)。
Vulnerability Disclosure Toolkit - contains the essential components you need to set up your own vulnerability disclosure process. ・Vulnerability Disclosure Toolkit - 脆弱性情報公開プロセスを独自に構築するために必要な必須コンポーネントが含まれている。
Disrupt and Defend 破壊と防御
Services in this category are designed to prevent and mitigate cyber threats. The Disrupt function enables the detection of phishing or malicious activities on a large scale and triggers an automated reaction to interrupt these activities. The Defend function concentrates on providing services that protect the UK public and businesses from cyber crime, including fraud that is enabled by cyber activities. このカテゴリーのサービスは、サイバー脅威の防止と軽減を目的としている。Disrupt機能は、大規模なフィッシングや悪意のある活動の検知を可能にし、自動化された反応をトリガーしてこれらの活動を中断させる。防御機能は、サイバー犯罪から英国国民と企業を保護するサービスのプロバイダである。
Both disruption and defence play crucial roles in maintaining cyber security.  妨害と防御の両方がサイバーセキュリティの維持に重要な役割を果たしている。
Suspicious Email Reporting Service (SERS) 疑わしい電子メール報告サービス(SERS)
SERS enables the public to report suspicious emails by sending them to [mail]. The service analyses the emails and where found to contain links to malicious sites, seeks to remove those sites from the internet to prevent the harm from spreading. SERSは、一般市民が不審な電子メールを[mail] まで。同サービスは電子メールを分析し、悪質なサイトへのリンクが含まれていることが判明した場合、インターネットからそれらのサイトを削除し、被害の拡大を防ぐ。
Eligible sector: Anyone can use SERS 対象となるセクター 誰でもSERSを利用できる
Report a suspicious email 不審なメールを報告する
Takedown Service テイクダウン・サービス
The NCSC Takedown Service finds malicious sites and sends notifications to the host or owner to get them removed from the internet before significant harm can be done. The NCSC centrally manages the service, so departments automatically benefit without having to sign up. NCSCテイクダウン・サービスは、悪意のあるサイトを発見し、重大な被害が出る前にインターネットから削除するよう、ホストまたは所有者に通知を送る。NCSCがサービスを一元管理しているため、各部門が登録しなくても自動的に恩恵を受けることができる。
Eligible sector: Public Sector 対象となる部門 公共部門
Learn more 詳細はこちら
Share and Defend Capability 能力の共有と防御
The NCSC shares datasets of malicious indicators with our industry partners, including Managed Service Providers (MSPs), Communication Service Providers (CSPs) and Internet Service Providers (ISPs). As a result, their UK citizen and business customers are protected as access to malicious content is blocked. NCSCは、マネージド・サービス・プロバイダー(MSP)、コミュニケーション・サービス・プロバイダー(CSP)、インターネット・サービス・プロバイダ(ISP)などの業界パートナーと悪質な指標のデータセットを共有している。その結果、悪質なコンテンツへのアクセスがブロックされ、英国市民や企業の顧客が保護される。
Learn more 詳細はこちら
Enablers イネイブラー
Common platforms that underpin multiple ACD services. 複数のACDサービスを支える共通プラットフォーム
MyNCSC MyNCSC
MyNCSC provides a common point of entry to a number of the NCSC’s Active Cyber defence (ACD) services.  MyNCSCは、NCSCのアクティブ・サイバーディフェンス(ACD)サービスの共通エントリポイントを提供する。
Learn more 詳細はこちら
If you're not eligible for ACD services then you can learn more about other assured services certified by the NCSC which will help protect against cyber attack. ACDサービスを受ける資格がない場合は、NCSCが認定するサイバー攻撃からの防御に役立つその他の保証サービスについて詳しく知ることができる。

 

Acdb2400001

 

で、現在あまりウェブページが更新されていないようなのですが、実は、ACD2.0への発展を検討中のようです...

興味深いのは、方針として

高度な攻撃ではなく、通常のサイバー攻撃からの被害を軽減しようとするもの。。。

という方針を維持しつつ、原則として次の2つを定めたようです...

  • NCSCは、市場が提供できないソリューションのみを提供する
  • NCSCは、成功したサービスを3年以内に原則売却する

なるほど...

情報の有無、市場の問題等で、NCSC以外が提供するのが難しいソリューションを提供し、それがうまくいったら、市場に開放し、対価として得た収入を開発の投資に繋げる...

官民連携の一つの姿ですかね...

 

・2024.08.02 Introducing Active Cyber Defence 2.0

Introducing Active Cyber Defence 2.0 アクティブ・サイバーディフェンス2.0のご紹介
ACD 2.0 aims to build the next generation of services in partnership with industry and academia. ACD 2.0は、産学連携による次世代サービスの構築を目指している。
As the National Cyber Security Centre, we aim to provide a cohesive suite of services that help organisations protect themselves against cyber threats. Some of these services are directly provided by us, where we are uniquely placed to do so, while others are delivered by industry partners with NCSC assurance. We constantly review the services we deliver and look to divest to industry where and when appropriate. Next month, you will hear more about our direction of travel for those services delivered through industry. ナショナル・サイバー・セキュリティ・センターとして、私たちは、組織がサイバー脅威から身を守るのを助ける、一連のまとまったサービスを提供することを目指している。これらのサービスの中には、NCSCが独自の立場で直接プロバイダとして提供するものもあれば、NCSCの保証のもと産業界のパートナーによって提供されるものもある。我々は、提供するサービスを常に見直し、適切な場合には業界への売却を検討している。来月は、業界を通じて提供されるサービスに関する我々の方向性について詳しく説明する。
Active Cyber Defence (ACD) has gained widespread recognition and been adopted as a concept by many countries. Why? Because it effectively increases national cyber resilience on a large scale, while imposing significant costs on adversaries. アクティブ・サイバーディフェンス(ACD)は広く認知され、多くの国でコンセプトとして採用されている。なぜか?それは、敵対勢力に多大なコストを課しながら、効果的に国家のサイバー・レジリエンスを大規模に向上させるからである。
Active Cyber Defence (ACD) seeks to reduce the harm from commodity cyber attacks by providing tools and services that protect from a range of attacks. アクティブ・サイバーディフェンス(ACD)は、さまざまな攻撃から身を守るツールやサービスを提供することで、コモディティ・サイバー攻撃による被害を減らそうとしている。
This protection comes in many forms: from addressing security vulnerability, to actively detecting and disrupting attacks.  この防御には、セキュリティの脆弱性への対処から、積極的な攻撃の検知や妨害まで、さまざまな形態がある。
Most of the current services began life back in 2017. While they have evolved since then, the range of services on offer has been broadly consistent.  Meanwhile, the cyber capabilities of those we serve – and the set of capabilities on offer from the private sector – have evolved. This defensive change has combined with an evolution in the threat.  現在のサービスのほとんどは2017年に始まった。それ以来進化はしているが、提供されるサービスの範囲はほぼ一貫している。一方で、我々がサービスを提供する側のサイバー能力、そして民間セクターが提供する一連の能力は進化してきた。この防御的な変化は、脅威の進化と組み合わさっている。
It’s important that the UK’s National Cyber Security Centre focuses its efforts where we can make a uniquely valuable contribution – where we see a gap in the commercial market, or where being part of GCHQ presents a unique opportunity to drive up resilience at scale. In light of this changing context, and using our experience from providing the existing ACD services, we are assessing new delivery models and partners and are seeking to build a next generation suite of services under ACD 2.0. 英国のナショナル・サイバー・セキュリティ・センターは、商業市場におけるギャップや、GCHQの一員であることが大規模なレジリエンスを向上させるまたとない機会となるような、他にない価値ある貢献ができるところに力を注ぐことが重要である。このような状況の変化を踏まえ、既存のACDサービスのプロバイダとしての経験を生かしながら、新たな提供モデルやパートナーのアセスメントを行い、ACD 2.0の次世代サービス群の構築を目指している。
Given the modern threat, the contemporary internet and a host of other factors, what should we be delivering? Where is the cyber defence edge to be had? Where can we add unique value? Having mainly targeted the original ACD services at the public sector, is it time to broaden our reach? 現代の脅威、現代のインターネット、その他多くの要因を考慮すると、我々は何を提供すべきなのか?サイバー防衛の優位性はどこにあるのか?どこに独自の価値を付加できるのか?主に公共部門を対象としたオリジナルのACDサービスを提供してきたが、そろそろその範囲を広げる時期なのだろうか?
In pursuit of this goal, we have set these principles for ACD 2.0: この目標を達成するために、我々はACD 2.0の原則を定めた:
・The NCSC will only deliver solutions where the market is not able to – whether that’s due to our unique position in government, scaling abilities, capabilities or authorities ・NCSCは、市場が提供できないソリューションのみを提供する。それが、政府におけるNCSCのユニークな立場、拡張能力、能力、権限によるものであるかは問わない。
・The NCSC will look to divest most of our new successful services within 3 years – to another part of government or the private sector to run on an enduring basis ・NCSCは、新たに成功したサービスのほとんどを3年以内に売却し、ガバナンスの別の部門や民間部門に永続的に運営させることを検討する。
We want ACD 2.0 to be a partnership; across the NCSC, across the cyber security community in government, and crucially also with industry and academia. Combined with our unique organisation, we can have a disproportionate impact on cyber resilience at scale. ACD2.0は、NCSC、政府内のサイバーセキュリティコミュニティ、そして産業界や学界とのパートナーシップでありたいと考えている。私たちのユニークな組織と組み合わせることで、大規模なサイバーレジリエンスに不釣り合いな影響を与えることができる。
Get involved - how to work with us  参加する - 私たちと協力するには 
As we embark on ACD 2.0, our first step is to look at our attack surface management suite - currently that’s Web Check, Mail Check and Early Warning. ACD 2.0に着手するにあたり、私たちの最初のステップは、私たちの攻撃対象領域管理スイート(現在のところ、ウェブチェック、メールチェック、早期警戒)を見直すことである。
We’ve learned a lot from running these services and are keen to build on that by running experiments alongside industry providers. We have experiments we want to run, but we’re also keen to hear from you if you have ideas. 我々は、これらのサービスを運営することで多くのことを学んできたし、業界のプロバイダとともに実験を行うことで、それを基に発展させたいと考えている。実施したい実験もあるが、アイデアをお持ちの方からのご連絡もお待ちしている。
Our hypothesis remains that helping organisations know and reduce their attack surface and related vulnerability is one of the most efficient ways to drive up external resilience. 組織が攻撃対象領域とそれに関連する脆弱性を把握し、その脆弱性を低減するのを支援することは、対外的なレジリエンスを向上させる最も効率的な方法の 1 つである、というのが当社の仮説であることに変わりはない。
If you have an attack surface management product, or ideas for other experiments we should run in future, and would like to work with the NCSC, please get in touch with us. 攻撃対象領域管理製品、あるいは今後実施すべき他の実験に関するアイデアをお持ちの方で、NCSCとの協力を希望される方は、ぜひご連絡いただきたい。
Ollie Whitehouse, Chief Technology Officer (CTO), NCSC オリー・ホワイトハウス、NCSC最高技術責任者(CTO)
Jonathon Ellison, NCSC Director of National Resilience ジョナソン・エリソン、NCSCナショナル・レジリエンス担当ディレクター

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.16 英国 NCSC Annual Review 2023 国家サイバーセキュリティセンター2023年報告書 - 英国の重要インフラに対する永続的かつ重大な脅威を警告

・2023.07.17 英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

・2021.11.19 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書

・2020.11.09 英国 NCSC Annual Review 2020 国家サイバーセキュリティセンター2020年報告書

| | Comments (0)

英国 国防省 JSP 936 V1.1 防衛における信頼できる人工知能(パート1: 指令) (2024.11.13)

こんにちは、丸山満彦です。

英国、国防省の統合業務刊行物 (Joint Service Publication; JSP) として、JSP 936 V1.1 防衛における信頼できる人工知能(パート1: 指令)が発効されていますね...

これは、国防省におけるAIの安全かつ責任ある採用を規定する主要な政策枠組みですね...米国でもそうですが、軍関係でのAIの利用について規則を設け、安心してAIの活用ができるように考えていますね...

戦争だからといって、何をしてもよいわけではなく、一定のルールの中で戦いましょうという考え方がある(でないと、本当に獣になってしまう)ので、軍に関連する分野において、こういう規則はこれから先進国では作られていくでしょうね...

 

Gov.U.K. - Defence and armed forces 

・Joint Service Publication (JSP)

・2024.11.13 JSP 936: Dependable Artificial Intelligence (AI) in defence (part 1: directive)

JSP 936: Dependable Artificial Intelligence (AI) in defence (part 1: directive) JSP 936 防衛における信頼できる人工知能(AI)(パート1:指令)
JSP 936 (part 1: directive) is the principal policy framework governing the safe and responsible adoption of AI in MOD. JSP936(パート1:指令)は、国防省におけるAIの安全かつ責任ある採用を規定する主要な政策枠組みである。
Details 詳細
Following on from the Defence AI Strategy and Ambitious, Safe and Responsible policy, JSP 936 (part 1: directive) is an important step to ensure that teams across defence understand their responsibilities when developing and using AI technologies. It provides clear direction on how to implement the MOD’s AI ethical principles, to deliver safe, robust and effective AI-enabled capabilities which have the right level of human oversight to advance our military edge. JSP 936(パート1:指令)は、国防AI戦略および野心的、安全かつ責任ある政策に続くもので、国防全体のチームがAI技術を開発・使用する際の責任を理解するための重要なステップである。国防省のAI倫理原則の実施方法について明確な方向性を示し、安全で堅牢かつ効果的なAI対応能力を提供し、軍事的優位性を高めるために適切なレベルの人的監視を行う。
JSP 936 includes directives on governance, development and assurance throughout the AI lifecycle which encompasses quality, safety and security considerations. It draws on existing policies and best practices, bridging the gap between high-level ethical principles on the use of AI and their practical implementation, guiding the department to become fully AI-ready. JSP936は、品質、安全性、セキュリティを考慮したAIのライフサイクルを通じたガバナンス、開発、保証に関する指示を含んでいる。JSP936は、既存のポリシーとベスト・プラクティスを活用し、AIの使用に関するハイレベルな倫理原則とその実際的な実施とのギャップを埋め、AIに完全に対応できるように軍を導くものである。
We have a duty to make the best use of AI technologies to address threats to our national security and that of our allies, and to use these technologies safely and responsibly in line with our legal commitments and the values of the society we serve. By reading and understanding JSP 936 part 1, our industry partners can ensure that their projects are aligned with defence’s strategic goals, expectations on ethical AI, and technical requirements, ultimately fostering a more robust and collaborative AI ecosystem. われわれには、国家安全保障と同盟国に対する脅威に対処するためにAI技術を最大限に活用する義務があり、われわれの法的コミットメントとわれわれが奉仕する社会の価値観に沿って、これらの技術を安全かつ責任を持って使用する義務がある。JSP936パート1を読み、理解することで、我々の業界パートナーは、彼らのプロジェクトが防衛の戦略的目標、倫理的AIに関する期待、技術的要件に沿ったものであることを確認することができ、最終的には、より強固で協力的なAIエコシステムを育成することができる。

 

・[PDF] 

20241127-11041

・[DOCX][PDF] 仮訳

 

目次...

Foreword まえがき
Preface 序文
How to use this JSP このJSPの使い方
Coherence with other Policy and Guidance 他の政策やガイダンスとの一貫性
Training トレーニング
Further Advice and Feedback – Contacts その他のアドバイスとフィードバック - 連絡先
Contents 目次
1 Introduction 1 序文
Policy 方針
Scope スコープ
Applicability 適用性
Tailoring 仕立て
Delegation of Responsibilities 責任の委譲
Associated Standards and Guidance 関連標準とガイダンス
2 AI in Defence Systems 2 防衛システムにおけるAI
Introduction 序文
Robotic and Autonomous Systems ロボットと自律システム
Digital Systems デジタル・システム
3 Legal & Ethical Considerations of AI 3 AIの法的・倫理的考察
Introduction 序文
Legal Considerations 法的考察
Ethical Principles 倫理原則
Ethical Principles: Human Centricity 倫理原則人間中心主義
Ethical Principles: Responsibility 倫理的原則責任
Ethical Principles: Understanding 倫理的原則:理解する
Ethical Principles: Bias and Harm Mitigation 倫理的原則バイアスと被害の低減
Ethical Principles: Reliability 倫理的原則信頼性
Research and Development Ethics 研究開発倫理
AI Ethical Risk Assessment and Management AI倫理リスクアセスメントとマネジメント
Communication of AI Ethics AI倫理のコミュニケーション
4 AI Ethics Governance 4 AI倫理ガバナンス
MOD Governance of AI AIのMODガバナンス
Governance of Non-Sovereign AI Development and Use 非主権的AIの開発と利用のガバナンス
5 Human/AI Teams 5 人間/AIチーム
Introduction 序文
Human Centred AI Design 人間中心のAIデザイン
People Implications of AI Technologies AI技術が人々にもたらすもの
Training Implications of AI Technologies AI技術のトレーニングへの影響
6  AI Lifecycles 6 AIライフサイクル
Introduction 序文
Planning プランニング
Requirements 必要条件
Architecture アーキテクチャ
Algorithm Design アルゴリズム設計
Algorithm Implementation アルゴリズムの実装
Machine Learning Data Collection, Preparation and Control 機械学習データの収集、準備、管理
Model Development モデル開発
AI Verification and Validation AIの検証と妥当性確認
AI Integration, Use and Modification AIの統合、使用、修正
MOD Staff Competencies MODスタッフのコンピテンシー
7 Quality, Safety and Security 7 品質、安全、セキュリティ
Quality 品質
Safety 安全性
Security セキュリティ
8 Suppliers 8 サプライヤー
9 AI Assurance 9 AI保証
10 References 10 参考文献
11 Glossary 11 用語集

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.28 米国 ホワイトハウス 人工知能(AI)に関する国家安全保障覚書 (NSM) と 国家安全保障におけるAIガバナンスとリスクマネジメントを前進させる枠組み(2024.10.24)

・2024.09.16 米国 USCYBERCOM サイバー作戦のためのAIロードマップ (2023.09.13)

・2024.09.09 米国 国防総省 NSAのAI安全保障センター長の話...

・2024.03.28 米国 国防総省 国防高等研究計画局(DARPA)の重要な目標は、国防総省にとって信頼できる人工知能を開発することである。

・2023.11.29 米国 国防総省 AI導入戦略 (2023.11.02)

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

・2023.08.13 米国 国防総省 CDAOが国防総省の新しい生成的AIタスクフォース(タスクフォース・リマ)の指揮を執る

・2023.06.17 米国 国防総省 最高デジタル・AI室が第6回グローバル情報支配実験 (GIDE) を開催

 

| | Comments (0)

2024.11.26

個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第304回委員会、第3-5回検討会)

こんにちは、丸山満彦です。

前回紹介してから、少し時間がたっているので、まとめて紹介!

議論をみていると、実務界(の一部?の人の意見)と法律専門家の意見の差があるようですね...

課徴金にしても、不法な行為の抑止で、基本は不正にあげた利益を没収と、違反の規模に応じた罰則を与えようというのが趣旨ですので、(もちろん正確に不正にあげた利益等を見積もるのは難しいのはわかりますが...)、普通の企業はそもそも違反する気はないでしょうし、萎縮効果といっても、法の基準が明確なら萎縮する必要もないので、むしろ明確な基準になるように尽力する方が社会的にはよいように思います...

ちなみに第6回は11月28日...

 

個人情報保護委員会

・・個人情報保護委員会開催状況

・・個人情報保護法のいわゆる3年ごと見直しに関する検討会

 

第5回の資料4にこれまでの議論の要約があります...

20241126-90745

もう少し詳細なら

20241126-90937

 

 

2024.11.12 第5回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第
資料1 国内他法令における課徴金額の算定方法等について
資料2 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度②)
資料3 認定個人情報保護団体制度について
資料4 第4回までの主な論点及び関連意見 
資料5 個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点・今後の検討の進め方
参考資料1 第2回~第4回検討会における主な御意見
参考資料2 関係参考資料 
議事録  
2024.10.16 第304回個人情報保護委員会
資料1-1 個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点(案) 
資料1-2 今後の検討の進め方
  議事概要
  議事録 
2024.10.11 第4回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第
資料1 全国消費生活相談員協会プレゼン資料 
資料2 中川構成員プレゼン資料 
資料3 第3回事務局資料に対する御質問と考え方
参考資料1 第2回及び第3回検討会における主な御意見 
参考資料2 関係参考資料
前回資料1ー1 総合的な案内所(個人情報保護法相談ダイヤル)における受付状況 
前回資料1ー2 名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
前回資料2 個人情報保護法の違反行為に係る事例等 
前回資料3 現行制度と検討の方向性について(課徴金制度)
前回資料4 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度)
議事録 第4回個人情報保護法のいわゆる3年ごと見直しに関する検討会 
2024.09.26 第3回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第 
資料1-1 総合的な案内所(個人情報保護法相談ダイヤル)における受付状況 
資料1-2 名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について 
資料2 個人情報保護法の違反行為に係る事例等 
資料3 現行制度と検討の方向性について(課徴金制度)
資料4 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度)
参考資料1 第2回検討会における主な御意見 
参考資料2 個人情報の保護に関する基本方針
参考資料3 個人情報の保護に関する法律に基づく行政上の対応について(令和6年9月11日公表資料)
参考資料4 関係参考資料 
議事録 第3回個人情報保護法のいわゆる3年ごと見直しに関する検討会 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.06 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第299回委員会、第2回検討会)

・2024.08.04 個人情報保護委員会 第1回 個人情報保護法のいわゆる3年ごと見直しに関する検討会

・2024.06.28 個人情報保護委員会 意見募集 いわゆる3年ごと見直しに係る検討の中間整理

・2024.06.04 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中... (2)

・2024.04.25 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中...

・2024.01.06 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング中...

 

Continue reading "個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第304回委員会、第3-5回検討会)"

| | Comments (0)

カリフォルニア州 消費者プライバシー法の改正案公表 - セキュリティ監査、自動意思決定技術等についての規制を追加 (2024.11.22)

こんにちは、丸山満彦です。

カリフォルニア州の消費者プライバシー法(2018)の改正案が公表され、意見募集がされていますね...

(1)特定の会社に対するセキュリティ監査、リスクアセスメントの要求

(2)事業者による自動意思決定技術の使用に対する消費者のアクセス権、オプトアウト権の明記

(3)保険会社が消費者プライバシー法を遵守しなければならない場合の明確化

などが、考えられているようです...

すでにコメントを受け付けて(期間内のコメント期間後のコメント)を受け付けての規則案の提案なのですが、これから、まだコメントを受け付けて、文面は変わるのでしょうね...

そして、州の上院議会、下院議会の審議でどうなるか...、最後に知事がどうするか...

 

日本でも個人情報保護法の3年ごとの見直しということで改訂の話が進んでいますが...なんか、カリフォルニアや欧州の進んだ考え方に追従せざるを得ない状況となり、改正をしようとするので、一周遅れというか、5年遅れというか、、、そんな感じに見えてしまいますね...

産業界の反対の声が大きいのかもしれませんが、日本でゆるゆるの基準をつくっても、世界で戦う企業は、グローバルな規制に従う必要があるので、グループ全体でマーケットの大きい地域の基準に合わせていくしかなく...

ゆるゆるに見えるグレーな基準をつくるよりも、厳しいかもしれないけど白黒はっきりとした基準をつくるほうが、海外企業も国内企業にもよいかもですね。。。

 

California Privacy Protection Agency

・2024.11.22 Proposed Regulations on CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies

Proposed Regulations on CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies CCPA更新、サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、保険会社に関する規制案
On November 8, 2024, the California Privacy Protection Agency (Agency) Board voted to commence formal rulemaking on the following regulatory subjects: CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies. Specifically, the proposed regulations seek to (1) update existing CCPA regulations; (2) implement requirements for certain businesses to conduct risk assessments and complete annual cybersecurity audits; (3) implement consumers’ rights to access and opt-out of businesses’ use of ADMT; and (4) clarify when insurance companies must comply with the CCPA. 2024年11月8日、カリフォルニア州プライバシー保護局(California Privacy Protection Agency)理事会は、以下の規制テーマに関する正式な規則制定を開始することを決議した: CCPAの更新、サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、保険会社である。具体的には、(1)既存のCCPA規制の更新、(2)特定の事業者に対するリスクアセスメントの実施と年次サイバーセキュリティ監査の完了要件の実施、(3)事業者によるADMT利用に対する消費者のアクセス権およびオプトアウト権の実施、(4)保険会社がCCPAを遵守しなければならない場合の明確化、である。
Notice Register Publication Date: November 22, 2024 公示日 2024年11月22日
Status of the Proposal: The public comment period for these proposed regulations is now open and closes on January 14, 2025, at 6:00 p.m. Pacific Time. More information about how to submit a written comment can be found in the Notice of Proposed Rulemaking in the rulemaking documents below. The Agency’s Board will determine whether to adopt or further modify the proposed regulations at a future Board Meeting. 提案の状況 本規制案に対するパブリックコメント募集は現在開始されており、2025年1月14日午後6時(太平洋時間)に締め切られる。意見書の提出方法についての詳細は、以下の規則制定文書の「規則案策定通知」に記載されている。同庁の理事会は、今後の理事会において、提案された規則を採択するか、さらに修正するかを決定する。
Rulemaking Documents 規則制定文書
Notice of Proposed Rulemaking 規則案作成通知
Text of Proposed Regulation 規則案本文
Initial Statement of Reasons 当初の理由書
Initial Statement of Reasons Appendix A: Standardized Regulatory Impact Assessment 最初の理由書 附属書A:標準規制影響評価(Standardized Regulatory Impact Assessment
Economic and Fiscal Impact Statement (STD 399) 経済財政影響評価書(STD 399)

 

規則案作成通知(Notice of Proposed Rulemaking

20241126-52436

概要...

INFORMATIVE DIGEST/POLICY STATEMENT OVERVIEW  情報ダイジェスト/方針声明概要 
Summary of Existing Laws and Regulations:  既存法規の概要 
The California Consumer Privacy Act (CCPA) was enacted in 2018 and became effective in 2020. It granted consumers new privacy rights and imposed obligations on businesses that collect personal information about consumers. The CCPA provided consumers with the rights to know about personal information collected by businesses, delete personal information, opt out of the sale of personal information, and be protected from discrimination in service and price when exercising privacy rights. In 2020, the Consumer Privacy Rights Act (CPRA) amended the CCPA, creating the Agency and granting consumers additional rights, such as the rights to correct, limit the use and disclosure of sensitive personal information, and opt-out of the sharing of their personal information. In addition, the CPRA created or amended certain requirements for businesses, such as those relating to the processing of consumers’ personal information, disclosures to consumers, and methods for submitting CCPA requests.   カリフォルニア州消費者プライバシー法(CCPA)は2018年に制定され、2020年に発効した。同法は消費者に新たなプライバシーの権利を付与し、消費者の個人情報を収集する事業者に義務を課した。CCPAは、事業者が収集した個人情報を知る権利、個人情報を削除する権利、個人情報の販売からオプトアウトする権利、プライバシー権を行使する際にサービスや価格における識別的な差別から保護される権利を消費者に提供した。2020年、消費者プライバシー権法(CPRA)はCCPAを改正し、消費者庁を設立し、消費者に訂正権、機微な個人情報の使用と開示の制限権、個人情報の共有のオプトアウト権などの追加権を付与した。さらに、CPRAは、消費者の個人情報の処理、消費者への開示、CCPA要求の提出方法など、事業者に対する一定の要求事項を創設または改正した。 
Although the Attorney General initially had rulemaking authority to implement the CCPA, that authority transferred to the Agency in 2022. Subsequently, the Agency engaged in rulemaking to amend the regulations previously adopted by the Attorney General, operationalize the CPRA amendments to the CCPA, and provide additional clarity and specificity to implement the law. In March 2023, the Agency’s first formal rulemaking process concluded, and its regulations became effective.   当初、司法長官はCCPAを実施するための規則制定権限を持っていたが、その権限は2022年に同庁に移った。その後、同庁は、司法長官が以前に採択した規則を修正し、CPRAの改正をCCPAに運用し、同法を実施するためにさらなる明確性と具体性を提供するための規則制定に取り組んだ。2023年3月、同庁初の正式な規則制定プロセスが終了し、規則が発効した。 
In September 2024, the Governor signed into law three bills that amend the CCPA and become effective January 1, 2025. AB 1008 (2023-2024) amends the definition of personal information to clarify that it includes physical, digital, and abstract digital formats, including metadata or artificial intelligence (“AI”) systems capable of outputting personal information. SB 1223 (2023-2024) expands the definition of sensitive personal information to include “neural data.” Therefore, when the CCPA and existing and proposed regulations reference personal information or sensitive personal information, those references are intended to encompass the definitions of those terms contained in these bills as the proposed regulations would be adopted after January 1, 2025.   2024年9月、知事はCCPAを改正する3つの法案に署名し、2025年1月1日に発効した。AB 1008 (2023-2024)は、個人情報の定義を修正し、メタデータや個人情報を出力できる人工知能(AI)システムを含む、物理的、デジタル、抽象的なデジタル形式を含むことを明確にした。SB1223(2023-2024)は、機微(センシティブ)個人情報の定義を拡大し、「ニューラル・データ」を含める。従って、CCPA、既存および本規則案が個人情報または機微な個人情報に言及する場合、それらの言及は、本規則案が2025年1月1日以降に採用される場合、これらの法案に含まれるこれらの用語の定義を包含することを意図している。 
AB 1824 requires businesses to which personal information is transferred as an asset during certain transactions, such as a merger or acquisition, to honor consumers’ opt-out of sale/sharing preferences. The CCPA’s requirements for the right to opt-out of sale/sharing, including in the existing or proposed regulations, also apply to businesses to which personal information is transferred.   AB1824は、合併や買収など特定の取引において個人情報が資産として移転される企業に対し、消費者の売却・共有のオプトアウト希望を尊重することを求めている。既存または本規則案を含め、売却/共有のオプトアウトの権利に関するCCPAの要件は、個人情報が譲渡される事業者にも適用される。 
Effect of the Proposed Rulemaking:  規則案の効果 
The proposed regulations include updates to existing Agency regulations, as well as the addition of regulations related to cybersecurity audits, risk assessments, automated decisionmaking technology (ADMT), and insurance requirements. The updates to existing regulations modify the regulations to be consistent with current law, refine the existing regulations based on the Agency’s experience and available information since the time these regulations were adopted, and make changes without regulatory effect. The Agency has identified that there is a need to provide clarity to the regulated industry about the interplay between insurance laws and the CCPA; thus, the Agency has included regulations related to insurance requirements. Finally, the Agency is statutorily mandated to adopt regulations to implement and clarify requirements related to cybersecurity audits, risk assessments, and ADMT. The proposed regulations seek to fulfill that mandate.  本規則案には、サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、および保険要件に関連する規則の追加に加え、既存の規制の更新が含まれる。既存規制の更新は、現行法との整合性を図るために規制を修正し、これらの規制が採択された時点以降の弊庁の経験や入手可能な情報に基づいて既存規制を改良し、規制効果を伴わない変更を加えるものである。弊庁は、保険法とCCPAの相互関係について、規制される業界に明確性を提供する必要性があると認識しており、保険要件に関連する規制を含んでいる。最後に、サイバーセキュリティ庁は、サイバーセキュリティ監査、リスクアセスメント、ADMTに関連する要件を実施し、明確化するための規制を採択することを法令上義務付けられている。今回本規則案は、その義務を果たすことを目的としている。

 

改正案のポイント

Article 1.  General Provisions.   第1条 一般規定
Article 1 of the Agency’s regulations contain general provisions including definitions, restrictions on collection and use of personal information, disclosures and communications with consumers, and requirements for methods of submitting CCPA requests and obtaining consumer consent. The proposed regulations would amend section 7001 to define the following terms: “artificial intelligence,” “automated decisionmaking technology” and “ADMT,” “behavioral advertising,” “cybersecurity audit,” “cybersecurity program,” “deepfake,” “information system,” “multi-factor authentication,” “penetration testing,” “performance at work,” “performance in an educational program,” “physical or biological identification or profiling,” “privileged account,” “profiling,” “publicly accessible place,” “request to access ADMT,”  “request to appeal ADMT,” “request to opt-out of ADMT,” “right to access ADMT,” “right to opt-out of ADMT,” “systematic observation,” “train automated decisionmaking technology or artificial intelligence,” and “zero trust architecture.” The proposed regulations would also amend the definitions of “nonbusiness,” “request to know,” “sensitive personal information,” and “verify.”  一般規定第1条には、定義、個人情報の収集・利用の制限、開示および消費者とのコミュニケーション、CCPA要請の提出方法および消費者の同意の取得方法に関する要件が含まれる。本規則案は、第7001条を改正し、以下の用語を定義する: 人工知能」、「自動意思決定技術」および「ADMT」、「行動広告」、「サイバーセキュリティ監査」、「サイバーセキュリティプログラム」、「ディープフェイク」、「情報システム」、「多要素認証」、「侵入テスト」、「職場でのパフォーマンス」、「教育プログラムでのパフォーマンス」、「身体的または生物学的識別またはプロファイリング」、 「特権アカウント」、「プロファイリング」、「一般にアクセス可能な場所」、「ADMTへのアクセス要求」、「ADMTへの異議申し立て要求」、「ADMTからのオプトアウト要求」、「ADMTへのアクセス権」、「ADMTからのオプトアウト権」、「組織的観察」、「自動意思決定技術または人工知能の訓練」、「ゼロ信頼アーキテクチャ」。 」 本規則案はまた、「non-business」、「request to know」、「sensitive personal information」、「verify 」の定義を修正する。
The proposed regulations would amend section 7002 to clarify that a business must allow a consumer to withdraw consent to collecting and processing personal information, unless an exception applies, and require that businesses comply with all of the requirements within that section for additional collection or processing of personal information.    本規則案は、7002条を改正し、事業者は、例外が適用されない限り、消費者が個人情報の収集・処理に対する同意を撤回することを認めなければならないことを明確にし、事業者は、個人情報の追加的な収集・処理について、同条に含まれるすべての要件を遵守することを義務付ける。  
The proposed regulations would also amend the requirements of section 7003 regarding the appearance of privacy related links on a business website. The proposed regulations would further require mobile applications to include a conspicuous link within the application itself.  また、本規則案は、事業者のウェブサイト上のプライバシー関連リンクの表示に関する第7003条の要件も改正する。本規則案はさらに、モバイル・アプリケーションに、アプリケーション自体の中に目立つリンクを含めることを要求する。
Additionally, the proposed regulations would amend section 7004 to clarify that businesses must incorporate the principles listed in the section in designing and implementing their methods for submitting CCPA requests and for obtaining consumer consent. The proposed regulations would revise and add to the examples provided in the section, replace permissive language with mandatory language for requirements, and address how requests for consent must appear. The proposed regulations would prohibit businesses from using misleading statements or omissions, affirmative misstatements, or deceptive language in obtaining consent, as well as categorize choices that are driven by a false sense of urgency as misleading. The proposed regulations would establish that a consumer’s silence or failure to act affirmatively does not constitute consent. The proposed regulations would further clarify that methods must be tested to ensure that they are functional and do not undermine the consumer’s choice to submit the request. The proposed regulations further clarify that this principle also applies to methods for providing and withdrawing consent and reminds businesses that individuals handling phone calls from consumers submitting CCPA requests must have the knowledge and ability to process those requests. The proposed regulations clarify the illustrative examples in subsection (a) were a non-exhaustive list and that a user interface that has the effect of subverting or impairing consumer choice is a dark pattern.   さらに、本規則案は、第7004条を改正し、事業者は、CCPA要請の提出方法および消費者の同意の取得方法を設計し実施する際に、同条に列挙された原則を取り入れなければならないことを明確にする。本規則案は、同条項で提供される例を修正・追加し、容認的な文言を要求事項に関する強制的な文言に置き換え、同意の要求がどのように表示されなければならないかを取り上げる。本規則案は、同意の取得において、事業者が誤解を招く記述や省略、断定的な虚偽の記述、欺瞞的な表現を使用することを禁止するとともに、誤った切迫感に駆られた選択を誤解を招くものとして分類するものである。本規則案は、消費者が沈黙したり、積極的に行動しなかったりしても同意とはならないことを定めるものである。本規則案はさらに、方法が機能的であり、リクエストを提出するという消費者の選択を損なわないことを確認するためにテストされなければならないことを明確にする。本規則案はさらに、この原則が同意の提供および撤回方法にも適用されることを明確にし、事業者に対し、CCPA要請を提出する消費者からの電話を処理する個人は、それらの要請を処理する知識と能力を有していなければならないことを喚起する。本規則案は、第(a)項の例示が非網羅的なリストであり、消費者の選択を破壊または損なう効果を持つユーザー・インターフェースは暗黒パターンであることを明確にしている。 
Article 2.  Required Disclosures to Consumers.  第2条 消費者に対する必要な開示 
Article 2 contains required disclosures to consumers. The proposed regulations would amend section 7010 to require a business that uses ADMT to provide consumers with a Pre-use Notice, which must include a link through which consumers can opt-out of the business’s use of ADMT. The proposed regulations clarify exceptions to the requirement to provide an opt-out link to consumers.   第2条には、消費者に対する必要な開示が含まれている。本規則案は、第7010条を改正し、ADMTを使用する事業者が消費者に使用前通知を提供することを義務付けるものであり、この使用前通知には、消費者が事業者によるADMTの使用をオプトアウトできるリンクを含めなければならない。本規則案は、消費者にオプトアウト・リンクを提供するという要件の例外を明確にするものである。 
The proposed regulations would amend section 7011 to require mobile applications to include a link to the privacy policy. Businesses would also be required to describe categories of sources and categories of third parties in a manner that provides consumers a meaningful understanding of those things. The proposed regulations would clarify that disclosures for a business purpose are to service providers and contractors, not third parties. The proposed regulations also clarify that businesses must include an explanation of consumers’ right to optout of ADMT and an explanation of the right to access ADMT, if it is using ADMT. The proposed regulations clarify that consumers have a right against retaliation when exercising their privacy rights, and that this right also applies when they are acting as an applicant to an educational program, a job applicant, or a student. The proposed regulations would also require the business to provide a general description of the process it uses to verify a consumer’s “request to access ADMT.”   本規則案は、第7011条を改正し、モバイルアプリケーションにプライバシーポリシーへのリンクを含めることを義務付ける。事業者はまた、プロバイダのカテゴリーおよびサードパーティのカテゴリーについて、消費者に有意義な理解を提供する方法で説明することが求められる。本規則案は、事業目的の開示は第三者ではなく、サービスプロバイダーや請負業者に対するものであることが明確にされる。規則案はまた、事業者は、消費者がADMTをオプトアウトする権利についての説明と、ADMTを利用している場合には、ADMTにアクセスする権利についての説明を含めなければならないことを明確にする。本規則案は、消費者がプライバシーの権利を行使する際に報復を受けない権利を有すること、およびこの権利は、消費者が教育プログラムへの応募者、求職者、または学生として行動している場合にも適用されることを明確にしている。また、本規則案は、事業者に対し、消費者の「ADMTへのアクセス要求」を確認するために使用するプロセスの一般的な説明を提供することを義務付ける。 
The proposed regulations would amend section 7013 to provide more examples of the requirement that the Notice of Right to Opt-Out of Sale/Sharing be provided in the same manner in which the business collects the personal information that it sells or shares.   本規則案は、セクション7013を修正し、事業者が販売または共有する個人情報を収集するのと同じ方法で、販売/共有をオプトアウトする権利の通知を提供するという要件の例を増やす。 
The proposed regulations would amend section 7014 to further implement Civil Code section 1798.135, subdivision (a)(2), by requiring the notice of the consumer’s right to limit the use of sensitive personal information be provided in the same manner in which the business collects the sensitive personal information, and provides examples. The proposed regulations would also amend section 7015 to allow for the adjustment of color to ensure that the opt-out icon is conspicuous and easy to read.  本規則案は、民法第1798.135条(a)(2)をさらに実施するために第7014条を改正し、消費者の機微な個人情報の使用を制限する権利の通知を、事業者が機微な個人情報を収集するのと同じ方法で提供することを義務付け、その例を示す。また、本規則案は、第7015条を改正し、オプトアウトのアイコンが目立ち、読みやすくなるよう、色の調整を可能にする。
Article 3.  Business Practices for Handling Consumer Requests.  第3条 消費者からの要請を処理するための業務慣行
Article 3 contains requirements for how consumer requests must be handled by businesses. The proposed regulations would amend section 7020 to require businesses to provide a means by which the consumer can request that the business, in response to a request to know, provide personal information collected prior to the 12-month period preceding the business’s receipt of the request. The proposed regulations would also amend section 7021 to make requests to access ADMT and to appeal ADMT subject to the timelines contained in the section.   第3条には、事業者が消費者請求をどのように取り扱わなければならないかについての要件が含まれる。本規則案は、第7020条を改正し、消費者が、知ることを要求された事業者に対して、事業者がその要求を受領する前の12ヶ月間以前に収集された個人情報を提供することを要求できる手段を提供することを事業者に義務付ける。また、本規則案は、第7021条を改正し、ADMTへのアクセス要求およびADMTへの不服申立を、同条に含まれるスケジュールの対象とする。 
Additionally, the proposed regulations would amend section 7022 by clarifying what a business must do in response to a request to delete. This includes that businesses, service providers, and contractors are to implement measures to ensure that information subject to a request to delete remains deleted, deidentified, or aggregated. The proposed regulations would also explain that whether a business, service provider, or contractor has implemented these measures factors into whether they have complied with the consumer’s request to delete, and that they should consider and address how previously deleted information may be recollected. The proposed regulations would also require a business that denies a request to delete in whole or in part to inform the consumer that they can file a complaint with the Agency and the Attorney General’s office.   さらに、本規則案は、第7022条を改正し、削除要請に対して事業者が何をしなければならないかを明確化する。これには、事業者、サービスプロバイダー、および請負業者が、削除要請の対象となる情報が削除、非識別化、または集計されたままであることを保証するための措置を実施することが含まれる。規則案はまた、事業者、サービスプロバイダー、請負業者がこれらの措置を実施しているかどうかが、消費者の削除要請に応じたかどうかに影響すること、および以前に削除された情報がどのように再回収される可能性があるかを考慮し、対処すべきであることを説明する。また、本規則案は、削除要請の全部または一部を拒否した事業者に対し、消費者庁および司法長官事務所に苦情を申し立てることができることを消費者に通知することを義務付ける。 
The proposed regulations would also amend section 7023 to clarify that businesses, service providers, and contractors are to implement measures to ensure that information subject to a request to correct remains corrected and that a business is obligated to correct information stored in a backup or archived system only if that system comes into active use. The proposed regulations would require businesses that deny a consumer’s request to correct to inform the consumer that, upon the consumer’s request, it will note both internally and to any person to whom it discloses the personal information that the accuracy of the personal information is contested by the consumer. The proposed regulations would require a business to make a written statement the consumer submits available to any person to whom it discloses the personal information subject to the request to correct health information. Additionally, businesses would be required to provide the name of the source from which it received alleged inaccurate information, or inform the source that the information provided was incorrect and must be corrected. The proposed regulations require businesses to confirm certain information they maintain is the same as what the consumer has provided and clarifies that failing to address the possibility that corrected information may be overridden by inaccurate information factors into whether the business, service provider, or contractor has adequately complied with a consumer’s request to correct. The proposed regulations also clarify that complaints may be filed with the Agency or Attorney General’s office.   本規則案はまた、第7023条を改正し、事業者、サービスプロバイダー、請負業者は、訂正要求の対象となった情報が訂正されたままであることを保証するための措置を実施すること、および事業者は、バックアップまたはアーカイブシステムに保存された情報を訂正する義務があるのは、そのシステムがアクティブに使用されるようになった場合に限られることを明確にする。本規則案は、消費者からの訂正要求を拒否する事業者に対して、消費者からの要求があれば、社内および個人情報の開示先に対して、個人情報の正確性が消費者によって争われていることを通知することを義務付ける。本規則案は、事業者は、健康情報の訂正要求の対象となる個人情報を開示するいかなる者に対しても、消費者が提出した書面を利用できるようにすることが求められる。さらに、事業者は、不正確とされる情報を入手したプロバイダの名前を提供するか、提供された情報が不正確であり、訂正しなければならないことをそのプロバイダに通知することが求められる。本規則案は、事業者が保持する特定の情報が、消費者が提供したものと同じであることを確認するよう求めており、訂正された情報が不正確な情報によって上書きされる可能性に対処しないことは、事業者、サービスプロバイダー、または請負業者が消費者の訂正要求に適切に応えたかどうかに影響することを明確にしている。また、本規則案は、苦情は当庁または司法長官事務所に申し立てることができることを明確にしている。 
The proposed regulations would amend section 7024 to require businesses to provide a way for consumers to confirm that certain sensitive personal information the business maintains is what the consumer believes it should be and that when a business denies a request to know in whole or in part, it must also inform the consumer that they can file a complaint with the Agency and the Attorney General’s office. The proposed regulations would more precisely explain a business’s disclosure obligations under Civil Code sections 1798.110 and 1798.115 and clarify that businesses must identify categories of service providers and contractors in a manner that provides consumers a meaningful understanding of the categories listed.   本規則案は、第7024条を改正し、事業者が保持する特定の機微な個人情報が、消費者がそうあるべきと考えるものであることを確認する方法を消費者に提供することを事業者に義務付けるとともに、事業者が知ることを求める要求の全部または一部を拒否した場合、事業者庁および司法長官事務所に苦情を申し立てることができることを消費者に通知しなければならないとしている。本規則案は、民法第1798.110条および第1798.115条に基づく事業者の開示義務をより正確に説明し、事業者はサービスプロバイダーおよび請負業者のカテゴリーを、記載されたカテゴリーについて消費者に有意義な理解を提供する方法で特定しなければならないことを明確にするものである。 
The proposed regulations would amend section 7025 to require businesses to display the consumer’s choice as it relates to the sale/sharing of their personal information; the business must display whether it has processed the consumer’s opt-out preference signal as a valid request to opt-out of sale/sharing on its website. Exemplar language for how a business can communicate this information to the consumer is included in the proposed regulations.   本規則案は、第7025条を改正し、個人情報の販売/共有に関連する消費者の選択を表示することを事業者に義務付けるものである。事業者は、消費者のオプトアウト希望信号を販売/共有のオプトアウトの妥当性確認要求として処理したかどうかをウェブサイトに表示しなければならない。事業者がこの情報をどのように消費者に伝えるかについての例示的な文言は、規則案に含まれている。 
The proposed regulations would amend section 7026 to require that a business that denies a request to opt-out of sale/sharing to inform the consumer that they can file a complaint with the Agency and the Attorney General’s office. Illustrative examples to explain the timing requirements for requests to opt-out of sale/sharing have been included. The proposed regulations would require businesses to provide a means by which the consumer can confirm that their request to opt-out of sale/sharing has been processed and provide exemplar language for how a business can communicate this information to the consumer.   本規則案は、第7026条を改正し、販売/共有のオプトアウト要求を拒否した事業者が、消費者庁および司法長官事務所に苦情を申し立てることができることを消費者に通知することを義務付けるものである。販売/共有のオプトアウト要求のタイミング要件を説明するための例示が含まれている。本規則案は、消費者が販売/共有のオプトアウト要求が処理されたことを確認できる手段を提供することを事業者に義務付け、事業者がこの情報を消費者に伝える方法について例示的な表現を提供する。 
The proposed regulations would amend section 7027 to include the requirement that when a business denies a request to limit, it must also inform the consumer that they can file a complaint with the Agency and the Attorney General’s office. “Shared” has been replaced with “made available” to be more precise and additional examples have been included. The proposed regulations would also require businesses to provide a means by which the consumer can confirm that their request to limit has been processed.   本規則案は、第7027条を改正し、事業者が制限要求を拒否する場合、事業者庁と司法長官事務所に苦情を申し立てることができることを消費者にも通知しなければならないという要件を含める。「Shared 「はより正確を期すため 」made available "に置き換えられ、追加例が盛り込まれた。本規則案はまた、消費者が制限要求が処理されたことを確認できる手段を提供することを事業者に義務付ける。 
The proposed regulations would amend section 7028 to extend the procedures for requests to opt-in to include requests to opt-in to the sharing of personal information and requests to optin to the use and disclosure of sensitive personal information. The proposed regulations address situations where consumers initiate transactions with businesses after making a request to limit when those transactions may require that the business disclose or use the consumer’s sensitive personal information in a manner inconsistent with the request to limit, allowing a business to obtain the consumer’s consent to use or disclose the information for that purpose even if it is within 12 months of the consumer’s request. The proposed regulations would also clarify that section 7004 applies to obtaining the consumer’s consent.   本規則案は、第7028条を改正し、オプトイン要求の手続を、個人情報の共有に対するオプトイン要求および機微な個人情報の使用および開示に対するオプトイン要求を含むように拡張する。本規則案は、消費者が制限の要請を行った後に事業者と取引を開始した場合、その取引によって、制限の要請と矛盾する方法で事業者が消費者の機微な個人情報を開示または使用する必要が生じる可能性がある状況に対処するもので、事業者は、消費者の要請から12カ月以内であっても、その目的のために情報を使用または開示することについて消費者の同意を得ることができる。また、本規則案は、消費者の同意を得るために7004条が適用されることを明確にする。 
Article 4.  Service Providers, Contractors, and Third Parties.  第4条 サービスプロバイダー、請負業者、サードパーティ
Article 4 of the proposed regulations contains the requirements related to service providers, contractors, and third parties. The proposed regulations would amend section 7050 to clarify that the purposes for which a service provider or contractor retains, uses, or discloses personal information must be reasonably necessary and proportionate to serve the purposes listed in the regulation and provides an example. The proposed regulations would also require that service providers and contractors cooperate with businesses for those businesses’ cybersecurity audits and risk assessments with respect to the personal information that the service provider or contractor has collected pursuant to their written contract with the business. The proposed regulations would explain that cooperating with a business’s completion of its cybersecurity audit includes making available to the business’s auditor all relevant information that the auditor requests and not misrepresenting any fact that the auditor deems relevant to the audit. The proposed regulations would also explain that cooperating with a business that is conducting a risk assessment includes making available to the business all facts necessary to conduct the risk assessment and not misrepresenting any fact necessary to conduct the risk assessment.   本規則案の第4条には、サービスプロバイダー、請負業者、サードパーティに関する要件が含まれている。本規則案は、第7050条を改正し、サービスプロバイダーまたは請負業者が個人情報を保持、使用、開示する目的は、規則に列挙された目的を果たすために合理的に必要かつ比例したものでなければならないことを明確にし、その例を示している。本規則案はまた、サービスプロバイダーや請負業者が、事業者との書面による契約に従って収集した個人情報に関して、事業者のサイバーセキュリティ監査やリスクアセスメントに協力することを義務付ける。本規則案は、事業者のサイバーセキュリティ監査の完了に協力することには、監査人が要求するすべての関連情報を事業者の監査人に提供すること、監査人が監査に関連するとみなすいかなる事実も虚偽の説明をしないことが含まれると説明される。また、本規則案は、リスクアセスメントを実施している事業者に協力することには、リスクアセスメントを実施するために必要なすべての事実を事業者に提供すること、およびリスクアセスメントを実施するために必要ないかなる事実についても虚偽の説明をしないことが含まれると説明している。 
The proposed regulations would amend section 7051 by including additional examples of requirements that a business may include in its contracts with service providers or contractors. 本規則案は、第7051条を改正し、事業者がサービスプロバイダーまたは請負業者との契約に含めることができる要件の追加例を含める。
Article 5.  Verification of Requests.  第5条 要請の検証
Article 5 contains the responsibilities of businesses to verify that the person making the request is also the subject of the information impacted by the request. The proposed regulations would amend section 7060 to include requests to access and to opt-out of ADMT. The proposed regulations would clarify that businesses must first consider how they can verify a consumer’s identity using personal information that they already maintain about the consumer before asking the consumer to provide additional information. The proposed regulations would make certain requirements mandatory when verifying requests and require a business that compensates the consumer for the cost of the notarization to provide the consumer with instructions on how they will be reimbursed prior to the consumer’s submission of the notarization. The proposed regulations would also extend the requirement to implement “reasonable security measures” to information about a business’s use of ADMT with respect to a consumer. The proposed regulations would clarify that a business must not use personal information that is the subject of a request to correct to verify the consumer.   第5条には、要請を行う者が、その要請によって影響を受ける情報の対象者でもあることを確認する事業者の責任が含まれている。本規則案は、7060条を改正し、ADMTへのアクセスおよびオプトアウトの要請を含める。本規則案は、事業者は、消費者に追加情報の提供を求める前に、消費者について既に保 有している個人情報を使用して消費者の身元を確認する方法を最初に検討しなければならない ことを明確にする。本規則案は、要請を検証するときに特定の要件を必須とし、公証の費用を消費者に補償する事業者は、消費者が公証を提出する前に、どのように弁済されるかについての指示を消費者に提供することを義務付ける。また、本規則案は、「合理的なセキュリティ対策」を実施する要件を、事業者による消費者に関するADMTの利用に関する情報にも拡大する。本規則案は、事業者は、消費者を確認するために、訂正要求の対象である個人情報を使用してはならないことを明確にする。 
The proposed regulations would amend section 7062 to include “request to access ADMT.”   本規則案は、第7062条を改正し、「ADMTへのアクセス要求」を含める。 
The proposed regulations would also amend section 7063 to clarify that businesses shall not require consumers to resubmit their request in their individual capacity.  また、本規則案は、第7063条を改正し、事業者は、消費者に対し、個人の資格で再提出を求めてはならないことを明確にする。
Article 6.  Special Rules Regarding Consumers Less Than 16 Years of Age.    第6条 16 歳未満の消費者に関する特別規則   
The proposed regulations would modify the title of the article to use the term “less than” instead of “under” to be consistent with the content within the article.   本規則案は、条文内の内容と整合させるため、条文のタイトルを修正し、「under」ではなく「less than」という用語を使用する。 
Article 7.  Non-Discrimination.  第7条 識別的差別の禁止
The proposed regulations would amend section 7080 to include requests to access and to optout of ADMT.   本規則案は、第7080条を修正し、ADMTへのアクセス及びオプトアウトの要請を含める。 
Article 8.  Training and Record-Keeping.  第8条 研修と記録の保管 
The proposed regulations would amend section 7102 to require the compilation and disclosure of metrics for requests to access and to opt-out of ADMT that the business received, complied with in whole or in part, and denied.   本規則案は、第7102条を修正し、事業者が受領し、その全部または一部に応じ、拒否した、 ADMT へのアクセスおよびオプトアウトの要請の測定基準の集計および開示を義務付ける。 
Article 9.  Cybersecurity Audits.    第9条 サイバーセキュリティ監査 サイバーセキュリティ監査
Article 9 of the proposed regulations would be a new article containing the requirements for cybersecurity audits. The proposed regulations would add section 7120 that explains which businesses’ processing presents significant risk to consumers’ security. The proposed regulations would clarify that a business that “meets the threshold set forth in Civil Code section 1798.140, subdivision (d)(1)(C), in the preceding calendar year” is a business whose processing of consumers’ personal information presents significant risk to consumers’ security. The proposed regulations would identify a business that meets the annual gross revenue threshold set forth in Civil Code section 1798.140, subdivision (d)(1)(A), and one of two processing thresholds in the preceding calendar year as presenting significant risk to consumers’ security. The proposed regulations would clarify that the two processing thresholds are met if the business processed either (1) the personal information of 250,000 or more consumers or households, or (2) the sensitive personal information of 50,000 or more consumers.   規則案の第9条は、サイバーセキュリティ監査の要件を含む新たな条文となる。本規則案は、どのような事業者の処理が消費者のセキュリティに重大なリスクをもたらすかを説明する第7120条を追加する。本規則案は、「前暦年において民法第1798.140条(d)(1)(C)に規定される閾値を満たす」事業者は、消費者の個人情報の処理が消費者のセキュリティに重大なリスクをもたらす事業者であることを明確にする。本規則案は、民法第1798.140条第(d)項第(1)号(A)に規定された年間総収入の閾値を満たし、かつ前暦年に2つの処理閾値のいずれかを満たした事業者を、消費者のセキュリティに重大なリスクをもたらす事業者と認定する。本規則案は、事業者が(1)250,000人以上の消費者または世帯の個人情報を処理した場合、または(2)50,000人以上の消費者の機微な個人情報を処理した場合に、2つの処理基準を満たすことを明確にする。 
The proposed regulations would add section 7121, which provides a business with 24 months from the effective date of the proposed regulations to complete its first cybersecurity audit and subsequently requires one every calendar year, with no gap in the months covered by successive cybersecurity audits.   本規則案は第7121条を追加する。この条は、事業者が最初のサイバーセキュリティ監査を完了するために、本規則案の発効日から24ヶ月をプロバイダに提供し、その後、連続したサイバーセキュリティ監査の対象となる月に空白期間を設けずに、暦年ごとに1回の監査を要求するものである。 
The proposed regulations would add section 7122, which contains the requirements for thorough and independent cybersecurity audits. The proposed regulations would require use of a qualified, objective, independent auditor who uses procedures and standards generally accepted in the profession of auditing; and provide guidance as to what auditor objectivity and independence mean, and how businesses must preserve auditor independence. For example, the proposed regulations would clarify that the auditor must exercise impartial judgment, be free to make decisions and assessments without influence by the business, and not participate in the very business activities that the auditor may assess in the current or subsequent cybersecurity audits. If the auditor is internal, the proposed regulations would require that they report directly to, and have their performance-evaluation and compensation determined by, the business’s board, governing body, or the business’s highest-ranking executive who does not have direct responsibility for the cybersecurity program. The proposed regulations would require a business to make all information available to the auditor that the auditor requests as relevant, make good-faith efforts to disclose to the auditor all facts relevant to the cybersecurity audit, and not misrepresent any fact relevant to the cybersecurity audit. The proposed regulations would specify that the audit must articulate its scope and criteria; identify the specific evidence examined to make decisions and assessments; explain why the scope, criteria, and evidence are appropriate; explain why the specific evidence examined is sufficient to justify the auditor’s findings; not rely primarily on assertions or attestations but rather on specific evidence that the auditor deemed appropriate; assess, document, and summarize each applicable component of the business’s cybersecurity program; identify gaps or weaknesses in the business’s cybersecurity program; and address the status of any gaps or weaknesses identified in any prior cybersecurity audit, and any corrections or amendments to any prior cybersecurity audit. The proposed regulations would also require the audit to include the auditor’s name, affiliation, and relevant qualifications; as well a signed statement by each auditor certifying that they completed an independent review, exercised objective and impartial judgment, and did not rely primarily on assertions or attestations by the business’s management. The proposed regulations would require the audit to be reported to the business’s board, governing body, or highest-ranking executive responsible for its cybersecurity program and to contain a signed statement by that person certifying that the business did not influence, and made no attempt to influence, the auditor’s decisions or assessments, as well as that they have reviewed, and understand the findings of, the cybersecurity audit. The auditor would be required to retain all documents relevant to each cybersecurity audit for a minimum of five (5) years.   本規則案は、徹底した独立したサイバーセキュリティ監査の要件を含むセクション7122を追加する。また、監査人の客観性と独立性とは何を意味するのか、企業はどのように監査人の独立性を維持しなければならないのかについてガイダンスを提供する。例えば、本規則案は、監査人は公平な判断力を発揮し、事業者の影響を受けずに自由に意思決定やアセスメントを行うことができなければならず、監査人が今回の監査やその後のサイバーセキュリティ監査で評価する可能性のある事業活動そのものに参加してはならないことを明確にしている。監査人が内部監査人である場合、本規則案は、監査人は事業者の取締役会、ガバナンス団体、またはサイバーセキュリティプログラムに直接的な責任を持たない事業者の最高位の経営者に直接報告し、その業績評価と報酬を決定することが求められる。本規則案は、事業者は、監査人が関連するとして要求したすべての情報を監査人に提供し、サイバーセキュリティ監査に関連するすべての事実を監査人に開示するために誠実に努力し、サイバーセキュリティ監査に関連するいかなる事実も虚偽の説明をしないことが求められる。本規則案は、監査はその範囲と規準を明確にすること、判断と評価を行うために調査した具体的な証拠を特定すること、その範囲、規準、証拠が適切である理由を説明すること、調査した具体的な証拠が監査人の発見を正当化するのに十分である理由を説明すること、主に主張や識別に頼らず、監査人が適切と判断した具体的な証拠に頼らなければならないことが規定されている; 事業者のサイバーセキュリティプログラムの該当する各構成要素をアセスメントし、文書化し、要約すること、事業者のサイバーセキュリティプログラムのギャップや弱点を特定すること、過去のサイバーセキュリティ監査で特定されたギャップや弱点の状況、および過去のサイバーセキュリティ監査に対する修正や修正に対処すること。また、本規則案は、監査人に、監査人の氏名、所属、関連する資格、および、各監査人が独立したレビューを完了し、客観的かつ公平な判断を行使し、事業者の経営者による主張または立証に主に依存していないことを証明する署名入りの声明を含めることを求めている。本規則案は、監査は、企業の取締役会、ガバナンス団体、またはサイバーセキュリティプログラムに責任を持つ最高位の経営者に報告され、企業が監査人の意思決定やアセスメントに影響を与えず、影響を与えようともしなかったこと、またサイバーセキュリティ監査の結果を検討し、理解したことを証明する、その人物による署名入りの声明が含まれることが要求される。監査人は、各サイバーセキュリティ監査に関連するすべての文書を最低5年間保存することが求められる。 
The proposed regulations would add section 7123, which contains what the cybersecurity audit must cover. The proposed regulations would require the audit to identify, assess, and document how the business’s cybersecurity program (that is appropriate to the business’s size, complexity, and the nature and scope of its processing activities) protects personal information from unauthorized actions; and identify, assess, and document 18 components of the business’s cybersecurity program, as applicable, or explain why a component is not necessary and how the safeguards the business has in place provide at least equivalent security.   本規則案は、サイバーセキュリティ監査がカバーしなければならない内容を含むセクション7123を追加する。本規則案は、事業者のサイバーセキュリティプログラム(事業者の規模、複雑さ、および処理活動の性質と範囲に適切なもの)が、不正行為から個人情報をどのように保護しているかを特定、評価、文書化すること、および事業者のサイバーセキュリティプログラムの18の構成要素を特定、評価、文書化すること(該当する場合)、または構成要素が不要な理由を説明すること、および事業者が実施している保護措置が少なくとも同等のセキュリティをどのように提供しているかを説明することを監査に求めている。 
The components include: (1) authentication, including multi-factor authentication and strong unique passwords or passphrases; (2) encryption of personal information, at rest and in transit; (3) zero trust architecture; (4) account management and access controls, including restricting access to personal information and functions to what is necessary for that person to perform their duties; the number of privileged accounts and their functions, using a privileged-access management solution; the creation of new accounts and ensuring that their access and privileges are limited; and restricting and monitoring physical access to personal information; (5) inventory and management of personal information and the business’s information system, including inventories, classification, and tagging of personal information; hardware and software inventories and the use of allowlisting; hardware and software approval processes and preventing the connection of unauthorized hardware and devices to the business’s information system; (6) secure configuration of hardware and software, including software updates and upgrades; securing on-premises and cloud-based environments; masking sensitive and other personal information as appropriate by default in applications; security patch management; and change management; (7) internal and external vulnerability scans, penetration testing, and vulnerability disclosure and reporting; (8) audit-log management, including the centralized storage, retention, and monitoring of logs; (9) network monitoring and defenses, including the deployment of bot-detection and intrusion-detection and intrusion-prevention systems, and data-loss-prevention systems; (10) antivirus and antimalware protections; (11) segmentation of an information system; (12) limitation and control of ports, services, and protocols; (13) cybersecurity awareness, education, and training, including training for each employee, independent contractor, and any other personnel to whom the business provides access to its information system; and how the business maintains current knowledge of changing cybersecurity threats and countermeasures; (14) secure development and coding best practices, including code-reviews and testing; (15) oversight of service providers, contractors, and third parties; (16) retention schedules and proper disposal of personal information no longer required to be retained by (a) shredding, (b) erasing, or (c) otherwise modifying the personal information to make it unreadable or undecipherable through any means; (17) how the business manages its responses to security incidents; and (18) the business’s businesscontinuity and disaster-recovery plans, including data-recovery capabilities and backups.   構成要素には以下が含まれる: (1) 認証(多要素認証、強力な固有パスワードまたはパスフレーズを含む)、(2) 個人情報の暗号化(静止時および転送時)、(3) ゼロトラスト・アーキテクチャ、(4) アカウント管理およびアクセス管理(個人情報および機能へのアクセスを、その者が職務を遂行するために必要なものに制限すること、特権アクセス管理ソリューションを使用した特権アカウントの数およびその機能、新規アカウントの作成とそのアクセスおよび特権の制限、個人情報への物理的アクセスの制限および監視を含む); (5) 個人情報の棚卸し、分類、タグ付け、ハードウェアおよびソフトウェアの棚卸し、許可リストの使用、ハードウェアおよびソフトウェアの承認プロセス、未許可のハードウェアおよびデバイスの事業情報システムへの接続の防止を含む、個人情報および事業情報システムの棚卸しおよび管理; (6) ソフトウェアの更新とアップグレードを含む、ハードウェアとソフトウェアの安全な設定、オンプレミスとクラウドベースの環境の保護、アプリケーションのデフォルトによる機密情報およびその他の個人情報の適切なマスキング、セキュリティパッチ管理、変更管理、(7) 内部および外部の脆弱性スキャン、侵入テスト、脆弱性の開示と報告; (8) 監査ログ管理(ログの集中保管、保存、監視を含む) (9) ネットワーク監視および防御(ボット検知、侵入検知、侵入防御システム、データ損失防御システムの展開を含む) (10) ウイルス対策およびマルウェア対策 (11)情報システムのセグメンテーション、(12)ポート、サービス、プロトコルの制限および管理、(13)サイバーセキュリティ意識向上、教育およびトレーニング; (14) コードレビューとテストを含む、安全な開発とコーディングのベストプラクティス (15) サービスプロバイダー、請負業者、サードパーティの監督; (16) (a)シュレッダー、(b)消去、または(c)いかなる手段によっても読めなくする、または解読できなくするために個人情報を変更することによって、もはや保持する必要のない個人情報の保持スケジュールと適切な廃棄 (17) セキュリティインシデントへの事業者の対応管理方法 (18) データ復旧能力とバックアップを含む、事業者の事業継続計画と災害復旧計画。 
The proposed regulations also would require the audit to describe how the business implements and enforces compliance with the applicable components, how effective the business’s cybersecurity program components are at protecting consumers’ personal information, the status of any gaps or weaknesses of the applicable components, and the business’s plan to address them. The proposed regulations would require the audit to include the titles of individuals responsible for the business’s cybersecurity program; and the date that the program and any evaluations of it were presented to the business’s board, governing body, or to the business’s highest-ranking executive responsible for the program. The audit would also be required to include a sample copy or a description of any required notification to a consumer or any agency with jurisdiction over privacy laws or other data processing authority, as well as dates and details of the activity that gave rise to the required notifications and any related remediation measures taken by the business. The proposed regulations would also clarify that if a business has engaged in a cybersecurity audit, assessment, or evaluation that meets all of the requirements of Article 9, the business is not required to complete a duplicative cybersecurity audit, but must explain how what it has already done meets all of the regulatory requirements, and supplement it with additional information if it does not meet all such requirements.   また、本規則案は、事業者が該当する構成要素のコンプライアンスをどのように実施し、実施しているか、事業者のサイバーセキュリティプログラムの構成要素が消費者の個人情報を保護する上でどの程度効果的であるか、該当する構成要素のギャップや弱点の状況、およびそれらに対処するための事業者の計画について説明することを監査に求めている。本規則案は、監査に、事業者のサイバーセキュリティ・プログラムの責任者の団体名、プログラムおよびその評価が、事業者の取締役会、政府機関、または事業者の最高位の責任者に提示された日付を含めることが求められる。監査はまた、消費者、プライバシー法を管轄する機関、またはその他のデータ・プロセッシング権限を持つ機関への必要な通知のサンプル・コピーまたは説明、必要な通知の原因となった活動の日付と詳細、事業者が講じた関連する是正措置を含めることも要求される。本規則案はまた、事業者が第9条のすべての要件を満たすサイバーセキュリティ監査、アセスメント、または評価に従事している場合、その事業者は重複するサイバーセキュリティ監査を完了する必要はないが、既に行ったことが規制要件のすべてをどのように満たしているかを説明し、そのような要件のすべてを満たしていない場合は追加情報で補足しなければならないことを明確にする。 
The proposed regulations would add section 7124, which provides for businesses required to complete a cybersecurity audit to submit to the Agency every calendar year a written certification that the business completed the cybersecurity audit. The certification would be submitted to the Agency through https://cppa.ca.gov/, identify the 12 months that the audit covers, be signed by a member of the business’s board, governing body, or highest-ranking executive with authority to certify on behalf of the business and who is responsible for oversight of the business’s cybersecurity-audit compliance, and include a statement certifying that the signer, identified by name and title, has reviewed and understands the findings of the cybersecurity audit.   本規則案は、サイバーセキュリティ監査を完了することが義務付けられている事業者が、暦年ごとに、サイバーセキュリティ監査を完了したことを証明する書面を同庁に提出することをプロバイダに規定する第7124条が追加される。この証明書は、https://cppa.ca.gov/ を通じて同庁に提出され、監査の対象となる 12 か月を特定し、事業者の取締役会、統治体、または事業者を代表して認可する権限を有し、事業者のサイバーセキュリティ監査遵守の監督に責任を負う最高位の幹部の一人が署名し、名前と役職で特定される署名者がサイバーセキュリティ監査の結果を確認し、理解していることを証明する声明を含む。 
Article 10.  Risk Assessments.    第10条 リスク評価 リスクアセスメント
Article 10 would be a new article containing the requirements for risk assessments. The proposed regulations would add section 7150 to address when a business must conduct a risk assessment, which is when their processing of consumers’ personal information presents significant risk to consumers’ privacy. The proposed regulations would require a risk assessment when a business sells or shares personal information; or processes sensitive personal information, except for when a business processes sensitive personal information solely and specifically for administering compensation payments, determining and storing employment authorization, administering employment benefits, or for wage reporting as required by law. A risk assessment would also be required when a business uses ADMT for a significant decision concerning a consumer or for extensive profiling. For this purpose, “significant decision” would mean a decision that results in access to, or the provision or denial of financial or lending services; housing; insurance; education enrollment or opportunity; criminal justice; employment or independent contracting opportunities or compensation; healthcare services; or essential goods or services. The proposed regulations would clarify that “education enrollment or opportunity” includes admission or acceptance into academic or vocational programs, educational credentials, and suspension and expulsion; and that “employment or independent contracting opportunities or compensation” includes hiring, allocation/assignment of work and compensation, promotion; and demotion, suspension, and termination. The proposed regulations would also explain that “significant decisions” include only decisions using information that is not subject to relevant data-level exceptions in the CCPA. The proposed regulations would define “extensive profiling” to include profiling consumers in work and educational contexts, in public, or for behavioral advertising. The proposed regulations would further identify processing of personal information to train ADMT or AI that is capable of being used for a significant decision, to establish individual identity, for physical or biological identification or profiling, for the generation of a deepfake, or for the operation of generative models, as a significant risk to consumers’ privacy requiring a risk assessment. Illustrative examples of when a business must conduct a risk assessment are also included.   第10条は、リスクアセスメントの要件を含む新たな条文となる。事業者がリスクアセスメントを実施しなければならない場合とは、消費者の個人情報の処理が消費者のプライバシーに重大なリスクをもたらす場合である。ただし、報酬支払いの管理、雇用認可の決定と保管、雇用手当の管理、または法律で義務付けられている賃金報告のためにのみ特別に機微な個人情報を処理する場合は例外である。リスクアセスメントは、事業者がADMTを消費者に関する重要な決定のために使用する場合、または広範なプロファイリングのために使用する場合にも必要となる。この目的のために、「重要な決定」とは、金融もしくは貸付サービス、住宅、保険、教育登録もしくは機会、刑事司法、雇用もしくは独立請負の機会もしくは報酬、医療サービス、または必要不可欠な商品もしくはサービスへのアクセス、もしくはその提供もしくは拒否につながる決定を意味する。本規則案は、「教育への登録や機会」には、学業や職業プログラムへの入学や受け入れ、教育資格、停学や退学が含まれ、「雇用や独立した請負の機会や報酬」には、雇用、仕事の割り当てや報酬、昇進、降格、停学、解雇が含まれることを明確にする。また、「重要な決定」には、中退共法の関連データレベルの例外の対象者ではない情報を使用した決定のみが含まれると説明する。本規則案は、「広範なプロファイリング」を定義し、仕事や教育の場、公共の場、行動広告のために消費者をプロファイリングすることを含むとする。本規則案は、さらに、重大な意思決定に使用される可能性のあるADMTまたはAIを訓練するため、個人の識別を確立するため、身体的または生物学的識別またはプロファイリングのため、ディープフェイクの生成のため、または生成的モデルの運用のための個人情報の処理を、リスクアセスメントを必要とする消費者のプライバシーに対する重大なリスクとして特定する。事業者がリスクアセスメントを実施しなければならない場合の例示も含まれている。 
The proposed regulations would add section 7151, which requires businesses to ensure that relevant individuals at the business prepare, contribute to, or review the risk assessment, based upon their involvement in the processing activity. “Relevant” individuals are those whose job duties pertain to the processing activity, and examples of these types of individuals are included. The proposed regulations would require relevant individuals to make good-faith efforts to disclose all facts necessary to conduct the risk assessment and not misrepresent any facts. The proposed regulations would clarify that a risk assessment may involve external parties to identify, assess, and mitigate privacy risks, and include examples of the types of external parties that may be involved in the risk-assessment process.   本規則案は、第7151条が追加され、事業者は、処理活動への関与に基づき、事業者の関連する個人がリスクアセスメントを準備し、貢献し、またはレビューすることを保証することが求められる。「関連する」個人とは、処理活動に関連する職務を持つ個人であり、これらのタイプの個人の例が含まれている。本規則案は、関連する個人に対し、リスクアセスメントを実施するために必要なすべての事実を開示し、いかなる事実についても虚偽の説明をしないよう誠実に努力することを求めている。本規則案は、リスクアセスメントがプライバシーリスクを特定し、アセスメントし、軽減するために外部の関係者を関与させることができることを明確にし、リスクアセスメントプロセスに関与することができる外部の関係者の種類の例を含む。 
The proposed regulations would add section 7152, which contains the requirements for the risk assessment and clarifies that the purpose of a risk assessment is to determine whether the risks to consumers’ privacy outweigh the benefits for a given processing activity. It also explains how a business must conduct a risk assessment. Businesses would be required to identify why they will be processing consumers’ personal information and would be prohibited from identifying this purpose in generic terms. The proposed regulations would also require businesses to identify the categories of personal information to be processed, whether they include sensitive personal information, and the minimum personal information necessary to achieve the purpose of the processing. The proposed regulations would also require a business to identify its actions to maintain data quality for certain uses of ADMT or AI, and the proposed regulations would provide a definition of “quality of personal information,” which includes completeness, representativeness, timeliness, validity, accuracy, consistency, and reliability of sources. Examples are included of the types of actions a business may take, such as identifying the source of the personal information and whether that source is reliable; identifying how the personal information is relevant to the task being automated and how it is expected to be useful for the development, testing, and operation of the ADMT or AI; identifying whether the personal information contains sufficient breadth to address the range of real-world inputs the ADMT or AI may encounter; and identifying how errors from data entry, machine processing, or other sources are measured and limited. The proposed regulations would also require a business to identify the operational elements of the processing activity: the planned method of processing and the sources of personal information; the length of, and criteria for, retention; the relationship between the consumer and the business; the approximate number of consumers whose personal information the business seeks to process; relevant disclosures made to the consumer, how they were made, and relevant actions to make the disclosures specific, explicit, prominent, and clear to the consumer; names or categories of relevant entities in the processing activity, the purpose for disclosing personal information to them, and actions taken to make the consumer aware of these entities’ involvement; and the technology to be used, including the logic of the relevant ADMT, its output, and how the business will use that output.  本規則案は、リスクアセスメントの要件を含むセクション7152を追加し、リスクアセスメントの目的は、消費者のプライバシーに対するリスクが、所定の処理活動における便益を上回るかどうかを判断することであることを明確にする。また、事業者がどのようにリスクアセスメントを実施しなければならないかについても説明している。事業者は、消費者の個人情報を処理する理由を特定する必要があり、この目的を一般的な用語で特定することは禁止される。また、この規則案では、事業者に対して、処理される個人情報のカテゴリーを特定すること、そのカテゴリーに機微(センシティブ)個人情報を含むかどうか、処理の目的を達成するために必要な最小限の個人情報を特定することを求めている。また、本規則案は、ADMTまたはAIの特定の利用について、データ品質を維持するための措置を特定することを事業者に求めている。本規則案は、「個人情報の品質」の定義を定めており、これには、完全性、代表者性、適時性、妥当性確認、正確性、一貫性、情報源の信頼性が含まれる。例えば、個人情報の出所とその出所が信頼できるかどうかを特定すること、個人情報が自動化されるタスクにどのように関連し、ADMTまたはAIの開発、試験、運用にどのように役立つことが期待されるかを特定すること、ADMTまたはAIが遭遇する可能性のある実世界の入力の範囲に対処するのに十分な幅を個人情報が含むかどうかを特定すること、データの入力、機械処理、またはその他の出所によるエラーをどのように測定し、制限するかを特定することなどが含まれる。また、本規則案は、事業者に対し、処理活動の運用要素を特定することを求めている: 計画された処理方法および個人情報の情報源、保存期間および保存の規準、消費者と事業者の関係、事業者が個人情報を処理しようとしている消費者のおおよその数、消費者に行われた関連する開示、それがどのように行われたか、および消費者に開示を具体的、明示的、顕著かつ明確にするための関連する措置; 処理活動に関連する事業体の名前またはカテゴリー、それらの事業体に個人情報を開示する目的、およびこれらの事業体の関与を消費者に認識させるために取られた措置、および関連するADMTのロジック、その出力、および事業者がその出力をどのように使用するかを含む、使用される技術。
The proposed regulations would require a business to specifically identify the benefits to the business, the consumer, other stakeholders, and the public from the processing of the personal information. It provides an example of what would not meet the specificity requirement. The proposed regulations would require a business that profits monetarily from the activity to identify this benefit and, when possible, estimate the expected profit, while clarifying that benefits cannot be stated in a generalized manner. The business would also be required to specifically identify the negative impacts to consumers’ privacy associated with the processing, including the sources and causes of these negative impacts and any criteria used to make these determinations. Different types of negative impacts to consumers’ privacy that the business may consider are included. The proposed regulations would require a business to identify the safeguards it plans to implement to address the negative impacts, and would include different safeguards that a business may consider.   本規則案は、事業者に対し、個人情報の処理から事業者、消費者、その他の利害関係者、および公衆にもたらされる利益を具体的に特定することを求めるものである。具体性の要件を満たさないものの例を示す。本規則案は、活動から金銭的利益を得る事業者に対し、この利益を特定し、可能であれば、予想される利益を見積もることを要求するものである。また、事業者は、その処理に関連する消費者のプライバシーへの悪影響を、これらの悪影響の発生源と原因、およびこれらの判断を下すために使用された規準も含めて、具体的に特定することが求められる。事業者が考慮しうる、消費者のプライバシーに対するさまざまな種類の悪影響が含まれる。本規則案は、事業者に対して、負の影響に対処するために実施する予定の保護措置を特定することを求めるものであり、事業者が検討しうるさまざまな保護措置が含まれる。 
The proposed regulations would require businesses to identify, for certain uses of ADMT, whether they evaluated the ADMT to ensure it works as intended and does not discriminate based upon protected classes. The proposed regulations would also require the business to identify the policies, procedures, and training the business has implemented or plans to implement to ensure the ADMT works as intended and does not discriminate. The proposed regulations would clarify that when a business has obtained the ADMT from another person, it must identify whether it reviewed that person’s evaluation of the ADMT, including any requirements or limitations relevant to the business’s proposed use, as well as any accuracy and nondiscrimination safeguards the business implemented or plans to implement. Examples are included.   本規則案は、事業者に対し、ADMTの特定の用途について、ADMTが意図されたとおりに機能し、保護される階層に基づいて識別的でないことを確認するために評価したかどうかを特定することを求める。また、本規則案は、事業者に対し、ADMTが意図したとおりに機能し、識別的でないことを保証するために、事業者が実施した、または実施する予定の方針、手順、および訓練を特定することを求める。本規則案は、事業者がADMTを他者から入手した場合、事業者の提案する使用に関連する要件または制限、ならびに事業者が実施したまたは実施する予定の正確性および無差別の保護措置を含む、当該他者のADMTの評価を確認したか否かを明らかにしなければならないことを明らかにする。例も含まれる。 
The proposed regulations would also require a business to identify whether it will initiate the processing activity that triggered the risk assessment. The proposed regulations would require businesses to identify who contributed to the risk assessment, when it was reviewed and approved and by whom, the individual who decides whether the business will initiate the processing activity; and if a business presents the risk assessment for review to its board of directors, governing body, or highest-ranking executive responsible for oversight of riskassessment compliance, then the business must include the date of that review.  本規則案は、事業者がリスクアセスメントのきっかけとなった処理活動を開始するかどうかを特定することも求めている。また、事業者がリスクアセスメントを取締役会、ガバナンス団体、またはリスクアセスメント遵守の監督に責任を負う最高位の役員にレビューのために提示する場合、事業者はそのレビューの日付を含めなければならない。
The proposed regulations would add section 7153, which requires businesses that make ADMT or AI available to other businesses to provide all necessary facts to those recipient-businesses to conduct their own risk assessments and provide a plain language explanation of any relevant requirements or limitations associated with the permitted uses of that technology. The proposed regulations would limit this requirement to ADMT or AI trained using personal information. The proposed regulations would add section 7154, which prohibits businesses from processing personal information for specified processing activities if the risks to consumers’ privacy outweigh the benefits to the consumer, the business, other stakeholders, and the public from the processing.   本規則案は、ADMT又はAIを他の事業者が利用できるようにする事業者に対し、それらの取得者が自らリスクアセスメントを実施するために必要なすべての事実を提供し、当該技術の許容される使用に関連する関連する要件又は制限について分かりやすい説明を提供することを求める第7153条を追加する。本規則案は、この要件を、個人情報を使用して訓練されたADMTまたはAIに限定する。本規則案は、第7154条を追加する。第7154条は、消費者のプライバシーに対するリスクが、消費者、事業者、他の利害関係者、および公衆にとっての処理による利益を上回る場合、事業者が特定の処理活動のために個人情報を処理することを禁止する。 
The proposed regulations would add section 7155, which addresses the timing requirements for risk assessments. The proposed regulations would require businesses to conduct and document their risk assessments before initiating any of the activities triggering a risk assessment, and would require them to review their risk assessments at least once every three years for accuracy and update them as needed. The proposed regulations would also require businesses to immediately update their risk assessments whenever there is a material change to the processing activity. The proposed regulations clarify that a change is material when it diminishes the benefits of the activity, creates new negative impacts or increases their likelihood or magnitude, or diminishes the effectiveness of safeguards. The proposed regulations include examples. The proposed regulations require businesses to retain their risk assessments for as long as the activity continues, or for five years after completion of the risk assessment, whichever is later. Businesses would be required to conduct a risk assessment for any processing activity triggering a risk assessment that is ongoing after the effective date of these proposed regulations within 24 months of the effective date of these proposed regulations.  本規則案は、リスクアセスメントの時期的要件に対応するセクション7155を追加する。本規則案は、事業者に対し、リスクアセスメントのトリガーとなる活動を開始する前に、リスクアセスメントを実施し、文書化することを要求し、少なくとも3年に1回、リスクアセスメントの正確性を確認し、必要に応じて更新することを要求する。また、本規則案は、企業は、処理活動に重大な変更があった場合には、直ちにリスクアセスメントを更新することが求められる。本規則案は、その変更が、その活動の便益を減少させる場合、新たな負の影響を生じさせる場合、またはその可能性や大きさを増加させる場合、あるいは保護措置の有効性を低下させる場合に、重大な変更であると明言している。規則案には例が含まれている。本規則案は、事業者に対して、その活動が継続する限り、またはリスクアセスメント完了後5年間のいずれか遅い方の期間、リスクアセスメントを保持することを求めている。事業者は、本規則案の発効日以降も継続しているリスクアセスメントのきっかけとなる処理活動について、本規則案の発効日から24カ月以内にリスクアセスメントを実施することが求められる。
The proposed regulations would add section 7156, which explains that a business may conduct a single risk assessment for a comparable set of processing activities. It defines “comparable set of processing activities” as a set of similar processing activities that present similar risks to consumers’ privacy and provides an example. Businesses that conduct and document a risk assessment to comply with another law or regulation would not be required to conduct a duplicative risk assessment. If that risk assessment does not meet all of the risk-assessment requirements of Article 10, a business must supplement the risk assessment with any required information to meet all of the requirements of these proposed regulations.   本規則案は、第7156条が追加され、事業者は同等の一連の処理活動に対して単一のリスクアセスメントを実施することができると説明される。この規則では、「同等の一連の処理活動」を、消費者のプライバシーに同様のリスクをもたらす同様の処理活動として定義し、例を示している。他の法律や規制を遵守するためにリスクアセスメントを実施し、文書化している事業者は、重複したリスクアセスメントを実施する必要はない。そのリスクアセスメントが第10条のリスクアセスメント要件のすべてを満たさない場合、事業者は、本規則案の要件のすべてを満たすために、必要な情報でリスクアセスメントを補足しなければならない。 
The proposed regulations would add section 7157, which establishes when a business must submit risk-assessment materials to the Agency. The proposed regulations would require businesses to submit their first risk-assessment materials to the Agency within 24 months of the effective date of these proposed regulations and subsequently, every calendar year with no gap in the months covered by successive submissions. The proposed regulations would address which risk-assessment materials must be submitted to the Agency. This includes a written certification that the business has conducted its risk assessments as set forth in Article 10, a certification from the highest-ranking executive who is responsible for oversight of the business’s risk-assessment compliance, that specifies: (1) which months the business is certifying compliance for, and the number of risk assessments that were conducted and documented during that time; (2) an attestation that the designated executive has reviewed, understood, and approved the risk assessments; (3) an attestation that the business initiated any of the activities set forth in subsection 7150(b) only after conducting and documenting a risk assessment; and (4) the designated executive’s name, title, signature, and date of certification. The proposed regulations would require a business to submit an abridged form of its new or updated risk assessments to the Agency in the business’s annual submissions, which includes: (1) identification of which activity in triggered the risk assessment; (2) a plain language explanation of the purpose for processing consumers’ personal information; (3) the categories of personal information processed, and whether they include sensitive personal information; and (4) a plain language explanation of the safeguards that the business has implemented or plans to implement for that activity, unless providing the information would compromise security, fraud prevention, or safety. The proposed regulations would allow the business the option to include in its submission to the Agency a hyperlink to a public webpage that contains its unabridged risk assessment. The proposed regulations would not require businesses to submit a risk assessment if they do not initiate the processing activity subject to that risk assessment or to submit an updated abridged risk assessment if there is no change to a previously submitted abridged risk assessment. The proposed regulations would require businesses to submit risk-assessment materials through the Agency’s website at https://cppa.ca.gov/ and to provide their unabridged risk assessments within 10 business days of a request from the Agency or the Attorney General.   本規則案は、事業者がいつリスクアセスメント資料をアセスメント庁に提出しなければならないかを定める第7157条を追加する。本規則案は、事業者に対して、本規則案の発効日から24ヶ月以内に最初のリスクアセスメント資料を提出し、その後、暦年ごとに、連続提出の対象となる月に空白期間を設けずに提出することを義務付ける。本規則案は、どのリスクアセスメント資料を当庁に提出しなければならないかが規定されている。これには、事業者が第10条に定めるリスクアセスメントを実施したことを証明する書面、事業者のリスクアセスメント遵守の監督責任を負う最高位の幹部による証明書、および以下を明記した証明書が含まれる: (1)事業者がどの月について遵守を証明するのか、及び、その間に実施され、文書化されたリスクアセスメントの数、(2)指名された役員がリスクアセスメントをレビューし、理解し、承認したというアセスメント、(3)事業者が第7150条(b)項に定める活動のいずれかを、リスクアセスメントを実施し、文書化した後にのみ開始したというアセスメント、(4)指名された役員の氏名、役職、署名、及び、証明書の日付。本規則案は、事業者は、事業者の年次提出書類において、以下を含む新規または更新されたリスクアセスメントの簡略化された書式を本省に提出することが求められる: (1)リスクアセスメントの引き金となった活動の特定、(2)消費者の個人情報を処理する目的の平易な説明、(3)処理される個人情報のカテゴリー、およびそれらに機微な個人情報が含まれるかどうか、(4)情報を提供することでセキュリティ、詐欺防止、または安全性が損なわれない限り、事業者がその活動に対して実施した、または実施する予定の保護措置の平易な説明。本規則案は、事業者がアセスメントに提出する書類に、簡略化されていないリスクアセスメントを含む公開ウェブページへのハイパーリンクを含める選択肢を認めている。本規則案は、事業者がリスクアセスメントの対象となる処理活動を開始しない場合はリスクアセスメントを提出する必要はなく、また、以前に提出された要約リスクアセスメントに変更がない場合は、更新された要約リスクアセスメントを提出する必要はない。本規則案は、事業者に対して、同庁のウェブサイト(https://cppa.ca.gov/)を通じてリスクアセスメント資料を提出し、同庁または司法長官からの要請から10営業日以内に要約されていないリスクアセスメントを提供することを求めるものである。 
Article 11.  Automated Decisionmaking Technology.   第11条 自動意思決定技術
Article 11 would be a new article containing the requirements for businesses’ use of automated decisionmaking technology. The proposed regulations would add section 7200, which requires businesses to comply with the requirements for ADMT when they use it for: (1) a significant decision concerning a consumer; (2) extensive profiling of a consumer; or (3) training uses of ADMT. For this purpose, “significant decision” would mean a decision that results in access to, or the provision or denial of financial or lending services; housing; insurance; education enrollment or opportunity; criminal justice; employment or independent contracting opportunities or compensation; healthcare services; or essential goods or services. The proposed regulations would clarify that “education enrollment or opportunity” includes admission or acceptance into academic or vocational programs, educational credentials, and suspension and expulsion; and that “employment or independent contracting opportunities or compensation” includes hiring, allocation/assignment of work and compensation, promotion; and demotion, suspension, and termination. The proposed regulations would also explain that “significant decisions” include only decisions using information that is not subject to relevant data-level exceptions in the CCPA. The proposed regulations would define “extensive profiling” to include profiling consumers in work and educational contexts, in public, or for behavioral advertising. The proposed regulations would further identify training uses of ADMT as processing of personal information to train ADMT or AI that is capable of being used for a significant decision, to establish individual identity, for physical or biological identification or profiling, or for the generation of a deepfake.   第11条は、企業による自動意思決定技術の使用に関する要件を含む新たな条文となる。本規則案は、第7200条が追加され、事業者がADMTを使用する場合、ADMTの要件に従うことが要求される: (1) 消費者に関する重要な意思決定、(2) 消費者の広範なプロファイリング、(3) ADMTの訓練利用。この目的のため、「重要な決定」とは、金融もしくは貸付サービス、住宅、保険、教育登録もしくは機会、刑事司法、雇用もしくは独立請負の機会もしくは報酬、医療サービス、または必要不可欠な商品もしくはサービスへのアクセス、またはその提供もしくは拒否につながる決定を意味する。本規則案は、「教育への登録や機会」には、学業や職業プログラムへの入学や受け入れ、教育資格、停学や退学が含まれ、「雇用や独立した請負の機会や報酬」には、雇用、仕事の割り当てや報酬、昇進、降格、停学、解雇が含まれることを明確にする。また、本規則案は、「重要な決定」には、中退共法の関連データレベルの例外の対象者ではない情報を使用した決定のみが含まれると説明されている。本規則案は、「広範なプロファイリング」を定義し、職場や教育現場、公衆の面前での消費者のプロファイリング、行動広告のためのプロファイリングを含むとする。規則案はさらに、ADMTの訓練利用を、重要な意思決定、個人の識別、身体的もしくは生物学的識別、プロファイリング、またはディープフェイクの生成に使用できるADMTまたはAIを訓練するための個人情報の処理として特定する。 
The proposed regulations would add section 7201, which requires a business that uses physical or biological identification or profiling for a significant decision concerning a consumer, or for extensive profiling of a consumer, to conduct an evaluation of the physical or biological identification or profiling to ensure that it works as intended for the business’s proposed use and does not discriminate based upon protected classes. If the business obtained the technology from another person, the business must review that person’s evaluation, including any relevant requirements or limitations, but the business is not required to conduct its own evaluation of the ADMT. The proposed regulations would also require a business to implement policies, procedures, and training to ensure that the physical or biological identification or profiling works as intended for the business’s proposed use and does not discriminate.   本規則案は、第7201条を追加する。この条は、消費者に関する重要な決定のために物理的もしくは生物学的識別またはプロファイリングを使用する事業者、または消費者の広範なプロファイリングのために物理的もしくは生物学的識別またはプロファイリングを使用する事業者に対し、それが事業者の提案する用途のために意図されたとおりに機能し、保護される階層に基づいて識別的でないことを確認するために、物理的もしくは生物学的識別またはプロファイリングの評価を実施することを義務付けるものである。事業者が当該技術を他者から入手した場合、事業者は、関連する要件または制限を含め、当該他者の評価をレビューしなければならないが、事業者がADMTの独自の評価を行う必要はない。本規則案はまた、物理的または生物学的な識別またはプロファイリングが、事業者の提案する用途のために意図されたとおりに機能し、識別的でないことを確保するための方針、手順、および訓練を実施することを事業者に要求する。 
The proposed regulations would add section 7220, which clarifies that a business using ADMT must provide a Pre-use Notice to consumers that informs consumers about the business’s use of ADMT and the consumers’ rights to opt-out of, and to access information about, the business’s use of ADMT. The proposed regulations would also require that the Pre-use Notice be easy-to-read and understandable to consumers, available in readable formats and necessary languages, reasonably accessible to consumers with disabilities, presented prominently and conspicuously before using ADMT, and presented in the manner in which the business primarily interacts with the consumer. The Pre-Use Notice must include: in plain non-generic language, the business’s purpose for using the ADMT; the specific uses for which the ADMT is capable of being used and the categories of personal information that the business plans to process for training uses; a description of consumer’s the right to opt-out of ADMT and how to submit their opt-out request, subject to any relevant exception to providing the opt-out right; if the business is relying upon the human appeal exception, how consumers may submit their appeal; a description of the consumer’s right to access ADMT and how to submit their access request; that the business cannot retaliate against consumers for exercising their CCPA rights; and a plain language explanation of how the ADMT works, including (1) the logic of the ADMT and key parameters that affect its output and (2) the intended output of the ADMT and how the business plans to use it, as well as the role of any human involvement. It also provides illustrative examples. The proposed regulations would clarify that a business relying upon the security, fraud prevention, and safety exception is not required to include information that would compromise the business’s ability to protect itself and consumers from: (1) security incidents that compromise personal information; (2) malicious, deceptive, fraudulent, or illegal actions; and (3) threats to consumers’ physical safety. The proposed regulations would also clarify that certain components of the Pre-use Notice requirements do not apply to a business’s use of ADMT solely for training uses. The proposed regulations further clarify that a business may consolidate its Pre-use Notices in different ways, provided that the consolidated notices include the information required by Article 11 for each of the business’s proposed uses.   本規則案は、第7220条を追加し、ADMTを使用する事業者は、事業者によるADMTの使用、および事業者によるADMTの使用をオプトアウトする権利、および事業者によるADMTの使用に関する情報にアクセスする権利を消費者に通知する使用前通知を消費者に提供しなければならないことを明確にする。本規則案はまた、使用前通知が、消費者にとって読みやすく理解しやすいものであること、読みやすい形式および必要な言語で入手可能であること、障害のある消費者が合理的にアクセス可能であること、ADMTを使用する前に目立つように提示されること、事業者が主に消費者と接する方法で提示されることを求める。使用前通知には、以下が含まれなければならない: ADMTを利用する事業者の目的、ADMTを利用することができる特定の利用目的、および事業者が訓練目的のために処理することを計画している個人情報のカテゴリー、オプトアウトの権利を提供するための関連する例外に従うことを条件として、消費者のADMTオプトアウトの権利およびオプトアウト要求の提出方法の説明、事業者が人的不服申立の例外に依拠する場合、消費者が不服申立を提出する方法; ADMTにアクセスする消費者の権利とアクセス要求の提出方法の説明、事業者が中高生協の権利を行使した消費者に報復できないこと、(1)ADMTのロジックとその出力に影響を与える主要なパラメータ、(2)ADMTの意図する出力とそれを事業者がどのように使用する予定か、また、人的関与の役割を含む、ADMTがどのように機能するかの平易な説明。また、例示的な例も示している。本規則案は、セキュリティ、詐欺防止、安全性の例外に依拠する事業者が、事業者自身および消費者を保護する能力を損なうような情報((1)個人情報を危険にさらすセキュリティインシデント、(2)悪意ある、欺瞞的な、詐欺的な、または違法な行為、(3)消費者の物理的安全に対する脅威)を含める必要はないことを明確にする。また、本規則案は、事前通知要件の一部の構成要素は、事業者によるADMTの訓練用途のみの使用には適用されないことを明確化する。さらに、本規則案は、事業者が使用前通知を様々な方法で統合することができるが、統合された通 知には、事業者が提案する用途ごとに第11条が要求する情報が含まれることを条件とすることを明確化する。 
The proposed regulations would add section 7221, which explains that a business must provide consumers with the ability to opt-out of the business’s use of ADMT if the ADMT is used for a significant decision, extensive profiling, or training uses of ADMT. The proposed regulations would identify exceptions to the consumer’s right to opt-out of ADMT, including when it is used solely for security, fraud prevention, and safety; or in situations where consumers are provided with the ability to appeal a significant decision to a qualified human reviewer who has the authority to overturn that decision. To qualify for the latter exception, the proposed regulations would require that a human reviewer consider relevant information provided by a consumer; and that the business provide a method of appeal that is easy to execute, require minimal steps, and comply with section 7004; and that the business respond to requests to appeal within specified timelines. The proposed regulations would also provide that a business does not need to provide an opt-out of ADMT when it uses ADMT for admission, acceptance, or hiring decisions; for allocation or assignment of work and compensation decisions; or for work or educational profiling, provided that the business’s use of the ADMT is necessary for these respective purposes, that the business has evaluated its use of ADMT to ensure it works as intended for the business’s proposed use and does not discriminate, and that the business has implemented accuracy and nondiscrimination safeguards. The proposed regulations would also clarify that these exceptions do not apply to profiling for behavioral advertising or to training uses of ADMT.   本規則案は、第7221条を追加し、ADMTが重要な意思決定、広範なプロファイリング、またはADMTの訓練用途に使用される場合、事業者は、事業者によるADMTの使用をオプトアウトする能力を消費者に提供しなければならないと説明する。本規則案は、ADMTがセキュリティ、不正防止、安全のためだけに使用される場合、または重要な決定がなされた場合に、その決定を覆す権限を有する適格な人間によるレビューに不服を申し立てる能力が消費者に提供される場合など、消費者のオプトアウトの権利の例外を特定する。後者の例外に該当するためには、本規則案は、人間による審査者が消費者から提供された関連情報を考慮すること、事業者が実行が容易で、最小限のステップで済み、7004条に準拠した不服申し立て方法を提供すること、事業者が不服申し立ての要請に対して指定された期限内に対応することが求められる。また、本規則案は、事業者がADMTを、入学、受入、または雇用の決定、仕事の配分または割り当て、および報酬の決定、または仕事または教育のプロファイリングのために使用する場合、事業者がADMTを使用することがこれらのそれぞれの目的のために必要であること、事業者がADMTの使用を評価し、それが事業者の提案する用途のために意図されたとおりに機能し、差別的でないことを確認すること、および事業者が正確性および識別的でない保護措置を実施していることを条件として、事業者がADMTのオプトアウトを提供する必要はないことを規定する。また、本規則案は、これらの例外は、行動広告のためのプロファイリングやADMTのトレーニング利用には適用されないことを明確化する。 
The proposed regulations require that businesses provide two or more methods for submitting opt-out of ADMT requests, with at least one method reflecting the manner in which the business primarily interacts with the consumer. The proposed regulations also require businesses to provide an opt-out link titled “Opt-out of Automated Decisionmaking Technology” in the Pre-use Notice if the business interacts with consumers online. Illustrative examples are provided of other acceptable opt-out methods. The proposed regulations clarify that a cookie banner or similar notification about cookies does not necessarily comply with the requirements for website methods of submission; to comply, it must notify the consumer about the right to opt-out of ADMT in specific terms. The proposed regulations would clarify that methods for submitting requests to opt-out of ADMT must be easy to execute, require minimal steps, and comply with section 7004; may not require a consumer to create an account or provide additional information beyond what is necessary to direct the business to opt-out the consumer; and prohibits requiring a verifiable consumer request but permits a business to ask for information necessary to complete the request. The proposed regulations would allow a business to deny a request that it has a good-faith, reasonable, and documented belief is fraudulent, if it informs the requestor that it will not comply with the request and provides an explanation of why it believes the request is fraudulent. Consumers would be entitled to a means to confirm that their opt-out of ADMT request has been processed. The proposed regulations would permit a business to provide consumers with the choice of allowing specific uses of ADMT, so long as the business also offers a single option to opt-out of all ADMT subject to the proposed regulations. The proposed regulations would permit a consumer to submit requests using an authorized agent if the consumer provides signed permission to the agent. They would also allow a business to deny an authorized agent’s request if the agent does not provide the signed permission to the business. Businesses would be required to wait at least 12 months before asking consumers that opted out of ADMT to consent to their use of that ADMT and prohibited from retaliating against consumers who exercised their right to opt-out of ADMT.   本規則案は、事業者がADMTのオプトアウト要請を提出するための2つ以上の方法を提供することを求めており、少なくとも1つの方法は、事業者が主に消費者とやりとりする方法を反映したものとなっている。また、本規則案では、事業者がオンラインで消費者とやりとりする場合、使用前通知に「Opt-out of Automated Decisionmaking Technology(自動意思決定技術のオプトアウト)」と題するオプトアウト・リンクを提供することを求めている。その他の許容可能なオプトアウト方法の例示が提供されている。本規則案は、クッキーのバナーまたはクッキーに関する類似の通知は、必ずしもウェブサイトの提出方法に関する要件に準拠するものではなく、準拠するためには、ADMTのオプトアウトの権利について具体的な言葉で消費者に通知しなければならないことを明確にしている。本規則案は、ADMTのオプトアウト要求の提出方法は、実行が容易で、最小限のステップしか必要とせず、第7004条に準拠していなければならないこと、消費者にアカウントを作成させたり、事業者に消費者のオプトアウトを指示するために必要な以上の追加情報を提供させたりすることを要求してはならないこと、消費者の要求を確認することを要求することは禁止するが、事業者が要求を完了するために必要な情報を求めることは許可することを明確にするものである。本規則案は、事業者が、善意で、合理的で、文書化された不正と思われる要求を拒否することを認めるもので、要求者に要求に応じないことを通知し、要求が不正であると考える理由の説明を提供する場合である。消費者は、ADMTオプトアウト要求が処理されたことを確認する手段を得る権利を有する。本規則案は、事業者が、本規則案の対象となるすべてのADMTをオプトアウトする単一の選択肢も提供する限り、ADMTの特定の利用を許可する選択肢を消費者に提供することを認めるものである。本規制案は、消費者が代理人に署名入りの許可を提供する場合、消費者が認可代理人を使って要求を提出することを認めるものである。また、代理人が署名入りの許可を事業者に提供しない場合、事業者が正規代理人の要請を拒否することを認める。事業者は、ADMTをオプトアウトした消費者に対し、そのADMTの使用に同意するよう求める前に、少なくとも12ヶ月待つことが求められ、ADMTをオプトアウトする権利を行使した消費者に対する報復が禁止される。
The proposed regulations would require that when a consumer has opted out of ADMT before the business initiated the processing, the business must not initiate processing of the consumer’s personal information using that ADMT. If a consumer submitted an opt-out of ADMT request after the business initiated the processing, the business would be required to cease processing the consumer’s personal information using that ADMT as soon as possible, and no later than 15 business days after receiving the request. The proposed regulations would also prohibit the business from using or retaining any personal information previously processed by that ADMT and would require the business to notify all other persons to whom it disclosed information using that ADMT that the consumer has opted out and instruct them to comply with the opt-out within the same time frame.   本規則案は、事業者が処理を開始する前に消費者がADMTをオプトアウトした場合、事業者は当該ADMTを用いて消費者の個人情報の処理を開始してはならない。事業者が処理を開始した後に、消費者がADMTのオプトアウト要請を提出した場合、事業者は、その要請を受けてから可能な限り速やかに、遅くとも15営業日以内に、当該ADMTを用いた消費者の個人情報の処理を中止することが求められる。また、本規則案は、事業者が当該ADMTにより過去に処理された個人情報を使用または保持することを禁止し、事業者が当該ADMTを使用して情報を開示した他のすべての者に対して、消費者がオプトアウトしたことを通知し、同じ期間内にオプトアウトに従うよう指示することを義務付ける。 
The proposed regulations would add section 7222, which requires businesses to provide consumers with the ability to access information about the business’s use of ADMT for significant decisions and extensive profiling, but does not require businesses using ADMT solely for training to provide a response to a consumer’s request to access ADMT. The proposed regulations would clarify that businesses must provide a plain language explanation of the specific purpose for which the business used ADMT with respect to the consumer, and that this explanation must not describe the purpose in general terms. In addition, the business must provide a plain language explanation of the output of the ADMT with respect to the consumer. If the business has multiple outputs with respect to the consumer, the business would have the option to provide a simple and easy-to-use method for consumers to access those outputs. The proposed regulations would require a business to provide a plain language explanation of how the business used the output with respect to the consumer. For significant decisions, the proposed regulations would require the business to include the role the output played in the business’s significant decision and the role of any human involvement, and how the business plans to use the output to make a decision. The proposed regulations would require that a business using ADMT for extensive profiling explain the role the output played in the evaluation that the business made with respect to the consumer; and if the business plans to use the output to evaluate the consumer, how the business plans to use the output to evaluate the consumer.   本規則案は、7222条を追加する。この条は、事業者が重要な意思決定や広範なプロファイリングのためにADMTを使用していることに関する情報にアクセスする能力を消費者に提供することを事業者に義務付けるものであるが、トレーニングのためだけにADMTを使用している事業者に対しては、消費者からのADMTへのアクセス要求に対する回答を提供することを義務付けるものではない。本規則案は、事業者が消費者に関してADMTを使用した具体的な目的について平易な言葉で説明しなければならず、この説明は一般的な用語で目的を記述してはならないことを明確にするものである。さらに、事業者は、消費者に関するADMTのアウトプットについて、平易な言葉で説明しなければならない。事業者が消費者に関して複数のアウトプットを有する場合、事業者は、消費者がそれらのアウトプットにアクセスするためのシンプルで使いやすい方法を提供する選択肢を有する。本規則案は、事業者が消費者に関してどのようにアウトプットを使用したかについて、平易な言葉で説明することを義務付ける。重要な意思決定については、本規則案は、事業者に対して、事業者の重要な意思決定においてアウトプットが果たした役割と、人的関与の役割、および事業者が意思決定を行うためにアウトプットをどのように使用する予定であるかを含めることを要求する。本規則案は、広範なプロファイリングのためにADMTを使用する事業者に対して、事業者が消費者に関して行った評価において出力が果たした役割、及び事業者が消費者を評価するために出力を使用する予定である場合には、事業者が消費者を評価するために出力をどのように使用する予定であるかを説明することを求める。 
The proposed regulations would require the business to provide a plain language explanation of how the ADMT worked with respect to the consumer, including how the logic, including its assumptions and limitations, was applied to the consumer, and the key parameters that affected the ADMT and how they were applied to the consumer. Businesses would also be allowed to provide the range of possible outputs or aggregate output statistics, and an example of how to do so is provided. A business relying upon the security, fraud prevention, and safety exception is not required to provide information that would compromise its use of ADMT for security, fraud prevention, or safety purposes. The proposed regulations would also require that a business provide a plain language explanation to consumers that the business is prohibited from retaliating against consumers for exercising their CCPA rights, instructions for how the consumer can exercise their other CCPA rights, and any links to online request forms or portals for making such requests. The proposed regulations would also specify that the business cannot link the consumer to another section of the policy or to a place that requires the consumer to scroll through other information. The proposed regulations would require that methods to submit request to access ADMT are easy to use and do not use dark patterns. Businesses would be allowed to use existing methods to submit requests to know, delete, or correct for requests to access ADMT.   本規則案は、事業者に対し、ADMTが消費者に関してどのように機能したかについて、その前提及び制限を含むロジックがどのように消費者に適用されたか、ADMTに影響を与える主要なパラメータ及びそれらがどのように消費者に適用されたかを含む、平易な説明を提供することを求める。また、事業者は、可能なアウトプットの範囲またはアウトプットの集計統計を提供することが認められ、その方法の例が提供される。セキュリティ、不正防止、および安全の例外に依拠する事業者は、セキュリティ、不正防止、または安全目的のための ADMT の使用を危うくするような情報を提供する必要はない。また、本規則案は、事業者は消費者に対して、事業者が中退共の権利を行使した消費者に対する報復を禁じられていること、消費者がその他の中退共の権利を行使する方法の説明、およびそのような要請を行うためのオンライン要請フォームまたはポータルサイトへのリンクを、平易な言葉で提供することが求められる。また、本規則案は、事業者が消費者を本方針の別のセクションにリンクさせたり、消費者が他の情報をスクロールする必要がある場所にリンクさせたりすることはできないと規定する。本規則案は、ADMTへのアクセス要求を提出する方法が使いやすく、ダークパターンを使用しないことを要求する。事業者は、ADMTへのアクセス要求の照会、削除、訂正の要求を提出するために、既存の方法を使用することが認められる。 
The proposed regulations would require verification of the identity of the person making the request to access ADMT, and if a business cannot verify their identity, the business must inform the requestor that it cannot verify their identity. If a business denies a verified access request because of a conflict with other laws or an exception to the CCPA, the business would be required to inform the requestor and explain the basis of the denial, unless prohibited from doing so by law. If the request is denied only in part, the business would be required to disclose the other information sought by the consumer. The proposed regulations would require that businesses use reasonable security when transmitting the requested information to the consumer. Business would be allowed to maintain password-protected accounts with consumers to comply with a request to access ADMT by utilizing a secure self-service portal for consumers to access, view, and receive a portable copy of the requested information. The proposed regulations would require that the portal fully disclose the requested information that the consumer is entitled to receive about the business’s use of ADMT with respect to them under the CCPA and these proposed regulations, utilize reasonable data security controls, and comply with the verification requirements.   本規則案は、ADMTへのアクセス要求を行う者の本人確認が必要とされ、事業者が本人確認を行うことができない場合、事業者は要求者に本人確認ができない旨を通知しなければならない。事業者が、他の法律または中傷禁止法の例外に抵触することを理由に、確認済みのアクセス要 求を拒否する場合、事業者は、法律で禁止されていない限り、要求者に通知し、拒否の根拠を説 明することが求められる。要求の一部のみが拒否された場合、事業者は消費者が求めるその他の情報を開示することが要求される。本規則案は、事業者が要求された情報を消費者に送信する際に、合理的なセキュリティを使用することを要求する。事業者は、消費者が要求された情報にアクセスし、閲覧し、携帯可能なコピーを受け取るための安全なセルフサービス・ポータルを利用することにより、ADMTへのアクセス要求に応じるために、消費者とのパスワードで保護されたアカウントを保持することが認められる。本規則案は、ポータルサイトが、中環法および本規則案に基づき、消費者が、当該事業者による当該消費者に関するADMTの利用について受領する権利を有する要求情報を完全に開示し、合理的なデータセキュリティ管理を利用し、検証要件を遵守することを要求する。 
The proposed regulations would require that service providers or contractors provide assistance to businesses in responding to verifiable consumer requests to access ADMT, including by providing personal information in their possession or enabling the business to access that information. The proposed regulations would clarify that businesses that use ADMT more than four times within a 12-month period with respect to a consumer may provide aggregate-level responses to a consumer’s request to access ADMT and explain how information required in response to a request to access ADMT can be aggregated. The proposed regulations prohibit businesses from retaliating against a consumer for exercising their right to access ADMT.   本規則案は、サービスプロバイダーまたは請負業者に対し、事業者が保有する個人情報を提供すること、または事業者が当該情報にアクセスできるようにすることを含め、検証可能な消費者からのADMTへのアクセス要求に対応するための支援を提供することを求める。本規則案は、ADMTを消費者に関して12カ月以内に4回以上利用する事業者は、消費者のADMTへのアクセス要求に対して集計レベルの回答を提供することができることを明確にし、ADMTへのアクセス要求への回答に必要な情報がどのように集計され得るかを説明する。本規則案は、事業者が、ADMTにアクセスする権利を行使した消費者に対して報復することを禁止する。 
The proposed regulations would require a business that uses ADMT to make an adverse significant decision concerning a consumer to provide the consumer with notice of their right to access ADMT as soon as feasibly possible and no later than 15 business days from the date of the adverse significant decision. An adverse significant decision would be a significant decision that resulted in a consumer being denied an educational credential; having their compensation decreased; being suspended, demoted, terminated, or expelled; or that resulted in a consumer being denied financial or lending services, housing, insurance, criminal justice, healthcare services, or essential goods or services. The proposed regulations provide that a business must include in that notice: that the business used ADMT to make a significant decision with respect to the consumer; that the business is prohibited from retaliating against consumers for exercising their CCPA rights; that the consumer has a right to access ADMT and how the consumer can exercise their access right; and, if applicable, that the consumer can appeal the decision and how they can submit their appeal and any supporting documentation. The proposed regulations would allow businesses to provide this notice to consumers with their notification of the adverse significant decision and provide an example. The proposed regulations would clarify that a business may provide this additional notice contemporaneously, to address instances where the business does not want to consolidate notices.   本規則案は、ADMTを使用して消費者に関する不利な重要な決定を行う事業者に対して、実行可能な限り速やかに、遅くとも不利な重要な決定の日から15営業日以内に、ADMTにアクセスする権利を消費者に通知することを義務付ける。不利な重大決定とは、消費者が教育資格を拒否される、報酬を減額される、停職、降格、解雇、退学処分を受ける、あるいは金融・融資サービス、住宅、保険、刑事司法、医療サービス、または必要不可欠な商品・サービスを拒否されるような重大決定である。本規則案は、事業者はその通知に、事業者がADMTを用いて消費者に関する重要な決定を行ったこと、事業者が中退共の権利を行使した消費者に対する報復を禁じられていること、消費者がADMTにアクセスする権利を有すること、および消費者がアクセス権を行使する方法、および該当する場合には、消費者が決定に不服があること、および不服の申し立て方法および証拠書類を提出する方法を含めなければならないと規定している。本規則案は、事業者が、重大な不利益決定の通知とともにこの通知を消費者に提供することを認めるものであり、その例を示している。本規則案は、事業者が通知を一本化したくない場合に対応するため、事業者がこの追加通知を同時に提供できることを明確化する。 
Article 12.  Insurance Companies.   第12条 保険会社
Article 12 would be a new article that contains requirements for insurance companies.   第12条は、保険会社に対する要求事項を含む新しい条文となる。 
The proposed regulations would add section 7270, which defines the term “insurance company,” pursuant to the California Insurance Code.  本規則案は、カリフォルニア州保険法に基づき、「保険会社」という用語を定義する第7270条を追加する。
The proposed regulations would add section 7271 to clarify that insurance companies meeting the definition of “businesses” under the CCPA shall comply with the CCPA regarding any personal information collected, used, processed, or retained that is not subject to the California Insurance Code. The proposed regulations would acknowledge that the CCPA and Insurance Code may overlap in their jurisdiction and delineate the boundary between the two legal frameworks. By clarifying the circumstances under which the CCPA applies, the proposed regulations would allow insurance companies to evaluate how the CCPA would apply in situations where the Insurance Code does not apply. Illustrative examples are included.  本規則案は、7271条を追加し、カリフォルニア州保険法の適用を受けない個人情報の収集、利用、処理、保持について、保険会社が中共法の「事業者」の定義を満たすことを明確にするものである。本規則案は、CCPAと保険法がその管轄において重複する可能性があることを認め、2つの法的枠組みの境界を明確にするものである。CCPAが適用される状況を明確にすることにより、保険会社は保険法が適用されない状況においてCCPAがどのように適用されるかを評価することができるようになる。例示が含まれている。
Article 13.  Investigations and Enforcement.   第13条 調査と執行  
The proposed regulations would amend section 7300 by revising subsection (a) to replace “may” with “must” to clarify how consumers are to submit sworn complaints to the Agency.   本規則案は、第7300条を改正し、第(a)項を 「may 」から 「must 」に置き換え、消費者がどのように宣誓した苦情を保険会社に提出するかを明確にする。 
The proposed regulations would amend 7302 to clarify that the Agency will provide the alleged violator with notice of the probable cause proceeding, and that a probable cause proceeding can be conducted in whole or in part by telephone or videoconference unless the alleged violator requests an in-person or public proceeding. An alleged violator would be able to request that the proceeding be in-person while also being closed to the public. Also, the proposed regulations clarify the proceedings may be held in whole or in part by telephone or videoconference. The proposed regulations would replace “participate or appear at” with “attend” and delete subsection (e).   本規則案は、7302 項を修正し、正当な理由による手続の通知を違反被疑者に提供すること、および正当な理由による手続は、違反被疑者 が対面または公開の手続を要求しない限り、全部または一部を電話またはビデオ会議で実施できることを明確にする。違反被疑者は、手続を非公開としながらも、対面で行うことを要求することができる。また、本規則案は、手続の全部または一部を電話またはビデオ会議で行うことができることを明確にしている。本規則案は、「参加または出頭」を「出席」に置き換え、第(e)項を削除する。 

 

 

改正案に対する利点、経済的影響等...

Anticipated Benefits of the Proposed Regulations:  本規則案の期待される利点 
The proposed regulations provide a number of significant benefits to Californians, including both monetary and nonmonetary benefits.   本規則案は、金銭的および非金銭的利益を含め、カリフォルニア州民に多くの重要な利益をプロバイダする。 
The Agency’s economic analysis revealed an anticipated decrease in monetary losses from the proposed regulations. Specifically, the Agency anticipates a reduction in cybercrimes— conservatively estimated to be approximately $1.5 billion in the first year of the proposed regulations’ implementation and $66.3 billion in 2036. However, the primary benefits of the proposed regulations are not immediately calculable into dollars and cents, due to factors such as the abstract nature of privacy benefits, data and measurement limitations, variations in the privacy protections that businesses provide and in how they respond to regulations, and the fact that benefits can be long-term and take time to accrue to businesses, consumers, and society.   当庁の経済分析により、本規則案による金銭的損失の減少が予想されることが明らかになった。具体的には、サイバー犯罪の減少を見込んでおり、控えめに見積もっても、規則案の実施初年度に約15億ドル、2036年には663億ドルになるという。しかし、プライバシーの利益という抽象的な性質、データ・計測の限界、企業が提供するプライバシー防御や規制への対応のばらつき、利益が長期的で企業、消費者、社会にもたらされるのに時間がかかることなどの要因により、本規則案の主な利益はすぐにドルやセントに換算することはできない。 
Despite the inability to translate the primary benefits of the proposed regulations into a monetary figure, they have widespread and profound societal benefits that further the purposes of the CCPA and honor the long history of privacy rights and business innovation in California. These important benefits include increased transparency and consumer control over personal information; reduced incidences of unauthorized actions related to personal information and harm to consumers; promotion of fairness and social equity; efficiencies, operational improvements, and competitive advantage for businesses; and the creation of new jobs and innovation.   本規則案の主要な利益を金銭的な数値に換算することはできないが、CCPAの目的を促進し、カリフォルニア州におけるプライバシーの権利とビジネス革新の長い歴史に敬意を表する、広範で深遠な社会的利益がある。これらの重要な利益には、個人情報に対する透明性の向上と消費者の管理、個人情報に関連する不正行為と消費者への被害の減少、公平性と社会的公正の促進、企業の効率性、業務改善、競争上の優位性、新たな雇用と技術革新の創出などが含まれる。 
Comparable Federal Regulations:  類似の連邦規制: 
There are no existing federal regulations or statutes comparable to these proposed regulations.  本規則案に該当する既存の連邦規制または法令はない。
Determination of Inconsistency/Incompatibility with Existing State Regulations:  既存の州規制との矛盾/非互換性の判断: 
As required by Government Code section 11346.5, subdivision (a)(3)(D), the Agency has conducted an evaluation of these proposed regulations and has determined that they are not inconsistent or incompatible with existing state regulations.  政府法第11346.5条(a)(3)(D)で義務付けられている通り、本ガバメントは本規則案の評価を実施し、既存の州規制との矛盾や互換性はないと判断した。
Forms or Documents Incorporated by Reference:  None.  参照による引用書式または文書: なし。
Other Statutory Requirements:  None.  その他の法定要件 なし。
DISCLOSURES REGARDING THE PROPOSED ACTION Agency’s Initial Determinations:  提案された措置に関する開示 当局の最初の判断: 
Mandate on local agencies or school districts:  None.  地方機関または学区に対する義務 なし。
Cost or savings to any state agency:  The Agency estimates that the proposed regulations will result in a one-time fiscal cost of $44,625 and ongoing fiscal costs of $129,035.    州政府機関に対する費用または節約: 本規則案により、44,625 米ドルの一時的な財政コストと 129,035 米ドルの継続的な財政コストが生じると、当機構は見積もっている。  
These costs result from the new workload for staff at the Agency and Department of Justice (DOJ). That workload includes (1) one-time staff work to build the frameworks necessary to receive required documents from more than 52,000 businesses and letters of complaint from an uncertain number of consumers; and (2) ongoing staff workload to review submitted documents and respond to submittals on a case-by-case basis.   これらの費用は、本庁および司法省(DOJ)の職員の新たな仕事量に起因する。この作業負荷には、(1)52,000を超える企業から必要書類を受け取り、不特定多数の消費者から苦情の手紙を受け取るために必要な枠組みを構築するための一時的なスタッフ作業、および(2)提出された書類を確認し、ケースバイケースで提出書類に対応するための継続的なスタッフ作業が含まれる。 
The Agency’s Information Technology Division will need to develop a web portal to accept the documents referenced above. Total one-time fiscal impact for creating this mechanism is estimated at $44,625. The ongoing fiscal costs of analyst and attorney staff to process this workload is estimated at $129,035.  同庁のインフォメーション・テクノロジー部門は、上記の文書を受け入れるためのウェブポータルを開発する必要がある。この仕組みを構築するための一時的な財政影響は、合計44,625ドルと見積もられる。この作業量を処理するためのアナリストおよび弁護士スタッフの継続的な財政コストは、129,035ドルと見積もられる。
Cost to any local agency or school district which must be reimbursed in accordance with Government Code sections 17500 through 17630:  None.  ガバメント・コード第17500条から第17630条に従い、払い戻しを受けなければならない地方機 関または学区への費用: なし。
Other non-discretionary costs or savings imposed on local agencies:  None. Local governments are not subject to the proposed regulations because they do not meet the CCPA’s definition of “business.”  地方機関に課されるその他の非裁量的費用または節約: なし。地方自治体は、CCPA の「事業」の定義を満たさないため、本規則案の対象とはならない。
Cost or savings in federal funding to the state:  None.  州に対する連邦資金のコストまたは節約: なし。
Cost impacts on representative private person or business:  The compliance costs associated with the regulations will vary considerably depending on the type and size of business, the maturity of the business’s privacy compliance system, the number of California consumers it services, and how it uses personal information. For a small business, initial costs are estimated at $7,045 to $92,896, with ongoing annual costs of $19,317. For a larger business, initial costs are estimated at $7,045 to $122,666, with ongoing costs of $26,015 annually. The Agency found no cost impact on consumers.  代表者である個人または企業へのコスト影響: 規制に関連するコンプライアンス・コストは、事業の種類と規模、事業のプライバシー・コンプライアンス・システムの成熟度、サービスを提供するカリフォルニア州の消費者の数、および個人情報の使用方法によって大きく異なる。小規模企業の場合、初期費用は7,045ドルから92,896ドル、継続的な年間費用は19,317ドルと見積もられている。大企業の場合、初期費用は7,045ドルから122,666ドル、継続費用は年間26,015ドルと見積もられている。消費者への影響はない。
Significant effect on housing costs:  None.  住宅費に大きな影響を与える: なし。
Significant, statewide adverse economic impact directly affecting businesses, including ability to compete:    競争力など、企業に直接影響する州全体への重大な経済的悪影響:   
The Agency has made an initial determination that the proposed regulations may have a significant, statewide adverse economic impact directly affecting business, including the ability of California businesses to compete with businesses in other states.   弊庁は、本規則案が、カリフォルニア州の企業が他州の企業と競争する能力を含め、ビジネスに直接影響する、州全体に及ぶ重大な経済的悪影響を及ぼす可能性があると、最初の判断を下した。 
The Agency has considered proposed alternatives that would lessen any adverse economic impact on business and invites the public to submit proposals. Submissions may include the following considerations:  弊庁は、ビジネスへの経済的悪影響を軽減する代替案を検討し、一般からの提案を求めている。提出される案には、以下の考慮事項が含まれる: 
1. The establishment of differing compliance or reporting requirements or timetables that take into account the resources available to businesses; 1. 企業が利用可能なリソースを考慮した、異なるコンプライアンスまたは報告要件またはスケジュールの設定;
2. Consolidation or simplification of compliance and reporting requirements for businesses; 2. 企業のコンプライアンスおよび報告要件の統合または簡素化;
3. The use of performance standards rather than prescriptive standards; and 3. 規定基準ではなく、パフォーマンス基準の使用。
4. Exemption or partial exemption from the regulatory requirements for businesses. 4. 事業者に対する規制要件の免除または一部免除。
The types of businesses that would be affected are businesses that that exceed $27,950,000.00 in revenue in the preceding calendar year; buy, sell, or share the personal information of 100,000 or more consumers or households per year; or receive 50% or more of their annual revenue from selling or sharing personal information. The proposed regulations may also affect service providers, contractors, and third parties that engage with businesses.   影響を受ける事業者の種類は、前暦年の売上が2,795万ドルを超える事業者、年間10万人以上の消費者または世帯の個人情報を売買または共有する事業者、年間売上の50%以上を個人情報の売買または共有から得ている事業者である。本規則案は、企業と関わるサービスプロバイダー、請負業者、サードパーティにも影響する可能性がある。 
The projected reporting requirements include preparation and submission of a certification of completion of a cybersecurity audit, a certification of conduct of a risk assessment, and a risk assessment in abridged form.   予想される報告要件には、サイバーセキュリティ監査の完了証明書、リスクアセスメントの実施証明書、要約形式のリスクアセスメントの作成と提出が含まれる。 
To the extent that the proposed regulations restrict business activity of California businesses covered by the CCPA, the proposed regulations will impact the businesses’ individual competitiveness against out-of-state competitors.   本規則案がCCPAの対象となるカリフォルニア州の企業の事業活動を制限する範囲において、本規則案は州外の競合企業に対する企業の個々の競争力に影響を与える。 
The Agency does not possess sufficiently detailed enterprise-level data to predict these competitive adjustments at the microeconomic level. However, its analysis—which focuses on supply, demand, and related estimates for the 2-digit NAICS sectors, mainly 51-Information and 52-Finance—indicates that California itself will not face significant percentage firm revenue and employment declines, which are generally in the low single-digit percentages of a more rapidly growing baseline trend (for example, a decrease of 0.47% in California supply and a decrease of 0.78% in investment, both relative to baseline in 2027).    当庁は、このような競争力の調整をミクロ経済レベルで予測できるほど詳細なエンタープライズレベルのデータを保有していない。しかし、主に 51-情報、52-金融の NAICS 2 桁セクターの需給、関連推計に焦点を当てた分析によると、カリフォルニア州自体は、企業収益と雇用の大幅な減少に直面することはなく、一般的には、より急速に成長するベースライン傾向の 1 桁台前半の割合である(例えば、2027 年のベースラインとの比較で、カリフォルニア州の供給は 0.47%減、投資は 0.78%減)。  
With respect to out-of-state competition, as demand falls less than supply in a given year, some business will be diverted across California’s border to available alternatives in other jurisdictions. However, the net slowing of growth for commerce remains modest. Relative impacts (as a percentage of revenue) for the sector are more substantial than in comparison to the statewide economy, but they remain modest. For example, while the Agency estimates that there will be some sectoral diversion of business across California’s border to available alternatives in other jurisdictions in 2027, it estimates that there will be an influx of business into California by 2031 and that the influx will increase substantially through 2036.   州外との競争に関しては、ある年に需要が供給を下回ると、一部のビジネスはカリフォルニア州を越えて他の管轄区域の利用可能な代替品に移行する。しかし、商業成長の正味の鈍化は小幅にとどまる。同部門の相対的な影響(売上高に占める割合)は、州全体の経済と比較するとより大きいが、小幅にとどまる。例えば、2027年には、カリフォルニア州国境を越えて、他の管轄区域の利用可能な代替案への部門的なビジネス転換があると推定しているが、2031年までにカリフォルニア州へのビジネス流入があり、2036年まで流入は大幅に増加すると推定している。 
There are two basic structural adjustments in response to the proposed regulations. First, covered sectors will have to adjust to compliance costs, incurring higher labor costs in the short term and impinging on profit, investment, and capital in the medium term. The other salient impact comes from the demand side of the economy, as reductions in losses related to cybercrimes involving personal information leads to increases in real income for individuals and enterprises. These savings will be recycled through demand, stimulating the economy through traditional multiplier linkages. In California, 70% of aggregate demand comes from households and 70% of household consumption goes to services. In other words, 49% of the incremental benefits from reduced cybercrime losses will be channeled to demand for labor-intensive services, far outweighing the job losses due to compliance costs in more capital-intensive compliant sectors. Financial benefits eventually strongly overtake costs of the proposed regulations over the decade considered, but expenditure shifting to more labor-intensive activities makes these regulations even more pro-employment. 規則案に対応する基本的な構造調整は2つある。第一に、対象となるセクターは、短期的には人件費の上昇、中期的には利益、投資、資本に影響を与えるコンプライアンス・コストへの調整を余儀なくされる。個人情報に関わるサイバー犯罪に関連する損失が減少すれば、個人やエンタープライズの実質所得が増加するためである。これらの貯蓄は需要を通じて再利用され、伝統的な乗数連鎖によって経済を刺激する。カリフォルニア州では、総需要の70%が家計によるものであり、家計消費の70%がサービスに使われている。言い換えれば、サイバー犯罪による損失が減少することで増加する利益の49%は、労働集約的なサービス需要に振り向けられ、資本集約的なコンプライアンス部門におけるコンプライアンスコストによる雇用損失をはるかに上回る。財政的便益は、最終的には、検討された10年間で、本規則案のコストを強く上回るが、支出がより労働集約的な活動にシフトすることで、これらの規制はより雇用促進につながる。
Results of the Standardized Regulatory Impact Assessment:  標準規制影響アセスメントの結果: 
In the first 12 months following full implementation of the proposed regulation, the Agency estimates a direct impact of $3.5 billion in costs on the 52,326 businesses covered by the CCPA and affected by the proposed regulations, and $1.5 billion in quantified benefits. These direct costs and benefits may result in additional indirect and induced economic impacts. The total statewide costs of the proposed regulations are estimated to be $9.725 billion over the first 10 years following implementation. The quantified benefits are estimated to rise to $66.3 billion by 2036.  本規則案の完全実施後、最初の12ヶ月間において、CCPAの対象となり、本規則案の影響を受ける52,326の企業に対し、直接的に35億ドルの費用と15億ドルの便益がもたらされると推定される。これらの直接的な費用と便益は、さらに間接的、誘発的な経済効果をもたらす可能性がある。本規則案の州全体の総費用は、施行後10年間で97億2,500万ドルと見積もられている。定量化された便益は、2036年までに663億ドルに増加すると見積もられている。
(1) The Agency anticipates the elimination of 98,000 jobs in the first 12 months following full implementation, followed by the addition of 233,000 jobs by 2036. (1) 当局は、完全実施後の最初の12ヶ月で98,000人の雇用が減少し、その後2036年までに233,000人の雇用が増加すると見込んでいる。
(2) The Agency does not anticipate that the proposed regulations would lead to the elimination of existing businesses. The proposed regulations are unlikely to eliminate existing businesses in California due to the threshold criteria for coverage and the size and type of businesses impacted. There is a possibility of some industry restructuring that could include a degree of consolidation of businesses that provide personal-information management services, but the Agency lacks information to assess the likelihood or potential for such a consolidation.   (2) 当局は、本規則案が既存事業の廃止につながるとは予想していない。本規則案は、対象となる規準、影響を受ける事業の規模や種類から、カリフォルニア州の既存事業が消滅する可能性は低い。個人情報管理サービスを提供する事業者のある程度の統合を含む業界再編の可能性はあるが、当庁はそのような統合の可能性や潜在性を評価する情報が不足している。 
The Agency anticipates that the proposed regulations would lead to the creation of new businesses. The proposed regulations are likely to create new businesses in California because of a significant increase in demand for labor with technical expertise in cybersecurity audits, risk assessment, automated decision-making technology, and consumer personal information privacy. The proposed regulations may create new businesses or new business lines that will help businesses, service providers, contractors, and third parties to comply with their obligations; and help consumers to understand and exercise their rights related to privacy. 当庁は、本規則案が新たなビジネスの創出につながることを期待している。サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術、消費者個人情報プライバシーに関する技術的専門知識を有する労働力に対する需要が大幅に増加するため、本規則案はカリフォルニア州において新たなビジネスを創出する可能性が高い。本規則案は、企業、サービスプロバイダー、請負業者、およびサードパーティが義務を遵守するのを支援し、消費者がプライバシーに関する権利を理解し行使するのを支援する新しいビジネスまたは新しいビジネスラインを創出する可能性がある。
(3) The Agency anticipates that the proposed regulations would put California businesses at a competitive disadvantage compared to businesses in other states during the first 12 months following full implementation of the proposed regulations. However, the Agency anticipates that the proposed regulations would put California businesses at a competitive advantage by 2031 and that that advantage would continue to increase through 2036. (3) 当局は、本規則案の完全施行後 12 ヶ月間は、カリフォルニア州の企業が他州の企業と比較して競争上不利な立場に置かれることを予想している。しかし、本規則案により、2031年までにカリフォルニア州の企業は競争上有利となり、その優位性は2036年まで増加し続けると予想する。
(4) The Agency anticipates a decrease in investment in the state of $31 billion in the first 12 months following full implementation, followed by an increase in investment in the state of $261 billion by 2036. (4) 当局は、完全実施後の最初の12ヶ月で対州投資が310億ドル減少し、その後2036年までに対州投資が2,610億ドル増加すると予想している。
(5) The Agency anticipates that the proposal would result in incentives for innovation in products, materials, or processes. Where existing practices are subject to restrictions, it is reasonable to expect firms will innovate and invest in product differentiation.  (5) 当局は、本提案が製品、材料、またはプロセスの革新に対するインセンティブをもたらすと予想する。既存の慣行が規制の対象となる場合、企業が革新し、製品の差別化に投資することを期待するのは合理的である。
(6) The Agency anticipates the following benefits from the proposed action: The proposed regulations will enhance protection of consumer’s personal information and increase the ability of individuals to exercise their privacy rights. Requirements to certify completion of risk assessments and cybersecurity audits will lead to reduced risks of cybercrimes against California businesses and individuals. Avoiding cybercrimes that involve consumers’ personal information provides many types of benefits aside from financial measures as they include improvements to the health, safety, welfare, and quality of life for Californians.  (6) 当局は、提案された措置から以下のような利益を見込んでいる: 本規則案は、消費者の個人情報の保護を強化し、個人がプライバシーの権利を行使する能力を高める。リスクアセスメントおよびサイバーセキュリティ監査の完了を証明する要件は、カリフォルニア州の企業および個人に対するサイバー犯罪のリスク低減につながる。消費者の個人情報に関わるサイバー犯罪を回避することは、カリフォルニア州民の健康、安全、福祉、生活の質の改善など、金銭的な対策以外にも多くの利益をもたらす。
Evaluating the cybersecurity risks with consumers’ personal information and the effectiveness of cybersecurity systems set up to combat these risks helps inform firms about how to enhance the safety of consumers’ information and privacy. The cybersecurity improvements that California businesses make help alleviate the social and psychological costs that cybersecurity threats impose on California consumers. Effective cybersecurity programs also lower the costs that cybercrimes create. The reduced costs of production and business activity can lower the price of goods and services that consumers pay. This lower cost of consumption together with more cybersecurity and privacy-protective business practices leads to improvements of consumer welfare.  消費者の個人情報に関わるサイバーセキュリティリスクと、これらのリスクと戦うために構築されたサイバーセキュリティシステムの有効性を評価することは、消費者の情報とプライバシーの安全性を高める方法について企業に情報を提供するのに役立つ。カリフォルニアの企業がサイバーセキュリティを改善することで、サイバーセキュリティの脅威がカリフォルニアの消費者に課す社会的・心理的コストを軽減することができる。効果的なサイバーセキュリティ・プログラムは、サイバー犯罪が生み出すコストも低下させる。生産と事業活動のコストが削減されることで、消費者が支払う財やサービスの価格が低下する。このような消費コストの低減は、サイバーセキュリティとプライバシ保 護のビジネス慣行と相まって、消費者福祉の改善につながる。
In addition, the assessment of risks related to how businesses manage and protect personal information can lead to actions that help reduce those risks and improve safety within the workplace. Workers can focus their time and efforts on safety and efficiency, as they face less burden in protecting consumer personal information, especially when businesses develop cybersecurity systems that mitigate risks and damages of cybercrimes.  さらに、企業が個人情報をどのように管理し保護するかに関連するリスクをアセスメントすることで、それらのリスクを低減し、職場内の安全性を向上させるための行動を導くことができる。特に、事業者がサイバー犯罪のリスクや被害を軽減するサイバーセキュリティシステムを構築することで、消費者の個人情報を保護するための負担が軽減され、労働者は安全と効率に時間と労力を集中することができる。
Proposed requirements for training and uses of ADMTs will also provide benefits to businesses and individuals. Businesses that are required to evaluate their use of ADMTs will help ensure that the intended outcomes of those technologies are achieved, help improve efficiencies in the use of those ADMTs, and avoid a wide range of adverse outcomes associated with any of the unintended consequences of ADMTs implemented without such evaluations. The unintended consequences can include things like discrimination in both the hiring of employees and the provision of goods or services to consumers. Avoiding these adverse outcomes provides benefits in the workplace and to the health, safety, and welfare of California residents. ADMTの訓練と使用に関する提案された要件は、企業と個人にも利益をもたらす。ADMTの使用を評価することが求められる企業は、それらの技術の意図された成果が確実に達成されることを支援し、それらのADMTの使用における効率性の改善に役立ち、そのような評価なしに実施されたADMTの意図しない結果に関連するさまざまな悪影響を回避することができる。予期せぬ結果には、従業員の雇用や消費者への商品やサービスの提供における識別的なものが含まれる。このような悪影響を回避することは、職場やカリフォルニア州住民の健康、安全、福祉に利益をもたらす。
Business report requirement:  The proposed regulations would require businesses that meet certain thresholds to submit reports to the Agency. If a business meets certain thresholds, it may be required to submit a certification of completion of its cybersecurity audit or a certification of conduct of its risk assessment and risk assessment in abridged form.   事業報告義務: 本規則案は、一定の基準を満たす事業者に対し、報告書の提出を義務付けている。事業者が一定の閾値を満たす場合、サイバーセキュリティ監査の完了証明書、またはリスクアセスメントとリスクアセスメントの実施証明書を簡略化して提出することが求められる。 
The Agency finds it is necessary for the health, safety or welfare of the people of this state that the reports be created and submitted by businesses. The certification of completion of a business’s cybersecurity audit—together with Article 9’s substantive requirements—is necessary to protect consumers’ welfare. Specifically, it provides an assurance of, and accountability for, the thoroughness and independence of the business’s audit, which will further protect consumers’ personal information. Similarly, the certification of conduct of a business’s risk assessment, and the submission of risk assessments in abridged form, are similarly necessary to protect consumers’ welfare. In addition to fulfilling the CCPA’s statutory mandate that risk assessments be submitted to the Agency on a regular basis, the certification of conduct of a business’s risk assessment and the submission of risk assessments in abridged form provide assurances of, and accountability for, the business’s risk assessments, which will further protect consumers’ privacy.  同庁は、事業者が報告書を作成し提出することが、本州の人々の健康、安全、または福祉のために必要であると判断する。事業者のサイバーセキュリティ監査の完了証明は、第9条の実質的要件とともに、消費者の福祉を保護するために必要である。具体的には、事業者の監査の徹底性と独立性を保証し、説明責任を果たすことで、消費者の個人情報をさらに保護することができる。同様に、事業者のリスクアセスメントの実施証明、および簡略化したリスクアセスメントの提出も、同様に消費者の福祉を保護するために必要である。リスクアセスメントを定期的に本庁に提出するというCCPAの法定義務を果たすことに加え、事業者のリスクアセスメントの実施証明と要約された形でのリスクアセスメントの提出は、事業者のリスクアセスメントに対するアセスメントメントと説明責任を保証し、消費者のプライバシーをさらに保護する。
Small business determination:  The Agency has determined that the proposed action affects 6,915 to 27,659 small businesses.  中小企業の判断 当庁は、提案された措置が6,915から27,659の中小企業に影響すると決定した。
Summary of Department of Finance Comments Regarding the Standardized Regulatory Impact Analysis and Agency Responses:  標準規制影響分析に関する大蔵省のコメントと省庁の回答の要約: 
The Department of Finance provided comments on the Standardized Regulatory Impact Analysis (“SRIA”) that addressed four issues relevant to the macroeconomic assessment and specifically requested additional clarification in those areas. Below is the Department of Finance’s feedback, followed by Agency responses.  財務省は、標準規制影響分析(SRIA)に対して、マクロ経済評価に関連する4つの問題を取り上げたコメントを提供し、特にこれらの分野における追加的な明確化を要求した。以下は、財務省の意見と、それに続く省庁の回答である。
1. The SRIA should clearly identify the state revenue baseline used. The SRIA projects state tax revenue impacts to range from a decline of about $3 billion (or -0.13 percent, as stated in the SRIA) to an increase of $6 billion (0.3 percent) over the implementation period. However, these percentage estimates understate the projected state revenue impact, as $6 billion accounts for roughly 2 percent to 3 percent of the state’s revenues, while the percentages estimated in the SRIA, imply a state revenue baseline of roughly $2 trillion. 1. SRIAは、使用した州歳入ベースラインを明確に特定すべきである。SRIAは、州税収への影響を、実施期間中に約30億ドルの減少(SRIAに記載されている通り、-0.13%)から60億ドル(0.3%)の増加までと予測している。しかし、これらの割合の見積もりは、州の歳入のおよそ2%から3%を占める60億ドルであるのに対し、SRIAで見積もられた割合は、およそ2兆ドルの州歳入ベースラインを意味するため、予測される州歳入への影響を控えめにしている。
Response:  Table 5.1 in Section 5.3 has been corrected – the BEAR Model results remain unchanged, but this table was constructed with incorrect baseline data for State and Federal revenues, which led to miscalculations of level and percent changes. These numbers have been revised in the table and reported in the text (e.g., in the paragraph preceding Table 5.1).  回答 セクション5.3の表5.1は修正された。BEARモデルの結果に変更はないが、この表は州歳入と連邦歳入の誤ったベースラインデータで作成されていたため、水準と変化率の計算が間違っていた。これらの数値は表の中で修正され、本文中でも報告されている(例えば、表5.1の前の段落)。
2. The SRIA is currently lacking critical disclosures and justification regarding impacts to the state’s economy and budget including the following: 1) The estimated impact on Gross State Product (GSP) ranges from a decline of nearly $30 billion to an increase of $280 billion across the implementation period. Moreover, the ratio of GSP to state tax revenues averaged about 16- to-1 from 2017 to 2023, however, the projected ratio in the SRIA ranges from about 10-to-1 through 2031 before increasing significantly to 46-to-1 by 2036. The SRIA should further explain and justify the substantial change in the ratio of GSP to state revenues and why it is projected to rise significantly over the implementation period.  2. SRIAは現在、州経済と予算への影響に関して、以下のような重要な開示と正当化が欠けている: 1) 州総生産(GSP)への影響は、実施期間を通じて300億ドル近い減少から2,800億ドルの増加までと見積もられている。さらに、2017年から2023年までの州税収に対するGSPの比率は平均約16対1であったが、SRIAで予測される比率は、2031年までは約10対1であったが、2036年には46対1と大幅に増加する。SRIAは、州税収に対するGSPの比率の大幅な変化と、それが実施期間中に大幅に上昇すると予測される理由をさらに説明し、正当化すべきである。
Response:  See response to item 1 above. These figures are now in agreement with DOF’s notes related to baseline tax revenues and share of GSP. These modifications do not significantly alter the conclusions of the SRIA. 回答 上記1の回答を参照のこと。これらの数値は、ベースラインの税収とGSPの割合に関するDOFの注釈と一致している。これらの修正はSRIAの結論を大きく変えるものではない。
3. The SRIA describes the initial negative impact of the regulations on state investment as  3. SRIAは、州への投資に対する規制の初期的なマイナスの影響を次のように説明している。
“small,” at -5.5 percent of total state investment in 2027. Investment in all sectors (including those not directly affected by the regulation) across the state is subsequently projected to increase by $257 billion, or nearly 36 percent, by the end of the implementation period in 2036. The SRIA should explain why investment is assumed be this significantly impacted, both initially and cumulatively over the ten-year window. 2027年の州総投資額の-5.5%と「小さい」としている。その後、州全体の全セクター(規制の影響を直接受けないセクターを含む)の投資は、実施期間終了の2036年までに2,570億ドル(約36%)増加すると予測されている。SRIAは、当初および10年間の累積で、投資がこれほど大きな影響を受けると想定される理由を説明すべきである。
Response:  The estimates of Direct Costs and Benefits exhibit a strong reversing trend from net cost to net benefit across the decade considered. Costs and benefits are structurally quite different and generally accrue to different stakeholders. While costs are incurred by the California businesses impacted by the proposed regulations, as set forth in Section 2, benefits are much more general and have been allocated across all sectors of the economy in proportion to value added. Other rules for targeting benefits could yield different microeconomic impacts, but there are no reliable predictions of the detailed incidence of cybercrime damages over the next decade, let alone patterns of cybercrimes averted by the proposed regulations. The main growth (investment, employment, etc.) drivers for these results are macroeconomic, however, driven by the aggregate savings-investment constraint applied to baseline labor and capital allocation patterns. 回答 直接費用と便益の試算は、検討された10年間を通じて、正味費用から正味便益への強い逆転傾向を示している。コストと便益は構造的に全く異なり、一般的に異なる利害関係者に発生する。第2 節で述べたように、コストは本規則案の影響を受けるカリフォルニア州の企業によって発生す るが、便益はより一般的なものであり、付加価値に比例して経済の全セクターに配分される。ベネフィットを対象とする他のルールがあれば、異なるミクロ経済的影響をもたらす可能性があるが、規則案によって回避されるサイバー犯罪のパターンはおろか、今後10年間のサイバー犯罪被害の詳細な発生率について信頼できる予測はない。しかし、これらの結果の主な成長(投資、雇用など)の原動力はマクロ経済的なものであり、ベースラインの労働と資本の配分パターンに適用される総体的な貯蓄-投資制約によって駆動される。
We estimate that California businesses, as set forth in Section 2, incur costs, including increased labor costs and reduced profits and statewide saving. Impacted businesses increase spending on skilled labor, but the economy as a whole experiences lower aggregate savings, which with the BEAR Model’s saving-investment balance necessarily reduces net investment. 第2節で述べたように、カリフォルニア州の企業は、人件費の増加、利益や州全体の貯蓄の減少などのコストを負担すると推定される。影響を受けた企業は熟練労働者への支出を増加させるが、経済全体としては総貯蓄額が減少し、BEARモデルの貯蓄-投資バランスでは必然的に純投資額が減少する。
Benefits are modeled as accruing across the entire economy (not only to impacted businesses) and represent savings from reductions in the subset of cybercrimes identified in Section 3. In the absence of detailed information about exact patterns of future cybercrime, these savings are allocated across all sectors in proportion to their value-added. In fact we do not know exactly who will experience the savings from reduced cybercrimes, but the cumulative savings are substantial (averaging $18.6B in annual avoided losses over the decade evaluated) and will support higher economywide investment levels through the same aggregate saving-investment balance. This leads to incremental and compounded average investment growth of about 3.1% annually and 34% over a decade. Admittedly, we optimistically assume the savings are reinvested in California, but this improvement in the investment climate is fully consistent with the intention of the proposed regulations to further protect consumers’ privacy (including by protecting their personal information) and facilitate responsible innovation. 恩恵は(影響を受けた企業だけでなく)経済全体にもたらされるものとしてモデル化されており、セクション3で特定されたサイバー犯罪のサブセットの減少による貯蓄を代表者としている。将来のサイバー犯罪の正確なパターンに関する詳細な情報がないため、これらの削減効果は、付加価値に比例して全セクターに配分される。実際、サイバー犯罪の減少による節約を誰が享受するかは正確にはわからないが、累積節約額は相当なものであり(評価した10年間の年間回避損失額は平均186億ドル)、同じ節約-投資バランスを通じて経済全体の投資水準の上昇を支えることになる。この結果、平均投資成長率は年率約3.1%、10年間で34%増加する。確かに、この貯蓄がカリフォルニア州に再投資されることを楽観的に想定しているが、この投資環境の改善は、消費者のプライバシー保護(個人情報の保護を含む)と責任あるイノベーションの促進という規則案の意図に完全に合致するものである。
Note that this explanation has been added to Section 4.3 of the SRIA. なお、この説明はSRIAの4.3節に追加されている。
4. The SRIA projects employment to decline by up to 126,000 in 2030 before increasing by 241,000 by the end of the implementation period in 2036. As the proposed regulation is expected to disproportionately impact higher earners across the state in the information and professional, scientific, and technical services industries, which together account for about 10 percent of the state’s total employment, the SRIA should discuss the disparate employment impacts by industry to the extent possible. 4. SRIAは、2030年には雇用が最大126,000人減少し、2036年の実施期間終了時には241,000人増加すると予測している。本規則案は、州全体の雇用の約10%を占める情報産業と専門・科学・技術サービス産業の高所得者に不釣り合いな影響を与えることが予想されるため、SRIAでは、可能な限り、産業別の雇用への不釣り合いな影響について議論すべきである。
Response:  The disparate employment impacts by industry are described in Section 4.4 and 4.7 of the SRIA. Note that only the direct cost impacts will be concentrated in the “information and professional, scientific, and technical services” sectors and occupations. Most economywide effects, including direct benefits and all indirect and induced impacts will be dispersed across most economic activities and occupation categories (see response to Item 3 above). Even for the impacted businesses, there will be tradeoffs for skilled workers, between those hired to support compliance and those let go because of increased costs, and we lack prior information to predict this at the enterprise level.  回答 産業別の雇用格差の影響は、SRIAの4.4節と4.7節に記載されている。直接的なコスト影響のみが、「情報および専門的・科学的・技術的サービス」セクターおよび職業に集中することに留意されたい。直接便益やすべての間接的・誘発的影響を含む経済全体への影響のほとんどは、ほとんどの経済活動や職業カテゴリーに分散する(上記項目3への回答を参照)。影響を受けるビジネスにおいても、熟練労働者については、コンプライアンスをサポートするために雇用される労働者と、コスト増のために離職する労働者との間でトレードオフが生じるだろうが、エンタープライズレベルでこれを予測するための事前情報が不足している。
For this reason, most occupations follow the aggregate adjustment process. The current version of the BEAR Model does detail 22 Standard Occupational Classification (SOC) 2digit occupations and 60 sectors, but our fairly general assumptions about net benefit allocation do not shed much light on these detailed compositional effects. このため、ほとんどの職種は、全体的な調整プロセスに従う。BEARモデルの現行バージョンは、22の標準職業分類(SOC)2桁の職業と60のセクターについて詳述しているが、正味給付配分に関する我々のかなり一般的な仮定では、これらの詳細な構成効果にあまり光が当たらない。
Note that minor text changes have been made to Section 4.4 and a revised Table 4-3 has been added to Section 4.7 of the SRIA. なお、4.4節に若干の文章変更を加え、SRIAの4.7節に表4-3を追加した。
CONSIDERATION OF ALTERNATIVES  代替案の検討 
In accordance with Government Code section 11346.5, subdivision (a)(13), the Agency must determine that no reasonable alternative considered by the Agency or that has otherwise been identified and brought to the attention of the Agency would be more effective in carrying out the purpose for which the action is proposed, would be as effective and less burdensome to affected private persons than the proposed action, or would be more cost effective to affected private persons and equally effective in implementing the statutory policy or other provision of law. The Agency invites interested parties to submit alternatives with respect to the proposed regulations. The Agency’s own alternatives to the proposed regulations are described in the Initial Statement of Reasons on pages 121–122.   ガバナンス政府第11346.5条(a)(13)に従い、省庁は、省庁が検討した、または省庁が特定し注意を喚起した合理的な代替案が、その行動が提案された目的を遂行する上でより効果的であるか、影響を受ける民間人にとって提案された行動と同等に効果的で負担が少ないか、影響を受ける民間人にとってより費用対効果が高く、法的方針または他の法律の規定を実施する上で同等に効果的であると判断しなければならない。当庁は、利害関係者に対し、本規則案に関する代替案を提出するよう求めている。本規則案に対する当庁独自の代替案は、121-122ページの「最初の理由説明書」に記載されている。 

 

 


 

規則案本文(Text of Proposed Regulation

20241126-52446

 


 

正確性は限定的なところはありますが、数値で影響評価をするところがちゃんとしていますよね...

当初の理由書 (Initial Statement of Reasons

最初の理由書 附属書A:標準規制影響評価Initial Statement of Reasons Appendix A: Standardized Regulatory Impact Assessment

・経済財政影響評価書(STD 399)(Economic and Fiscal Impact Statement (STD 399)

 

 

 

| | Comments (0)

CSA 脆弱性データに対する懸念 (2024.11.11)

こんにちは、丸山満彦です。

脆弱性管理についての、現在の課題について整理したものという感じですかね...

CVEの採番、管理も大規模になるとなかなか大変...

IoTとかでてくると、さらに大変...

 

Cloud Security Alliance

・2024.11.11 Top Concerns With Vulnerability Data

Top Concerns With Vulnerability Data 脆弱性データに対する懸念のトップ
The top vulnerability management frameworks used today include the Common Vulnerabilities and Exposures (CVE) program and the Common Vulnerability Scoring System (CVSS). The CVE program assigns an identifier to every discovered security vulnerability, standardizing the vulnerability documentation process. CVSS introduces a way to prioritize vulnerabilities by giving each CVE a CVSS score. 今日使われている脆弱性管理のフレームワークには、Common Vulnerabilities and Exposures(CVE)プログラムとCommon Vulnerability Scoring System(CVSS)がある。CVEプログラムは、発見されたすべてのセキュリティ脆弱性に識別子を割り当て、脆弱性の文書化プロセスを標準化する。CVSSは、各CVEにCVSSスコアを与えることで、脆弱性に優先順位をつける方法を導入している。
Despite their widespread use, CVE and CVSS remain stagnant in comparison to the growing threat landscape and scope of cybersecurity. Security teams have increasingly large, diverse, and complex technology stacks to secure. CVE and CVSS are simply not sufficient for managing the threat intelligence of multiple modern systems on a rolling basis. CVEとCVSSは、広く使用されているにもかかわらず、サイバーセキュリティの脅威の状況や範囲が拡大していることに比べると、依然として停滞している。セキュリティ・チームは、ますます大きく、多様で、複雑なテクノロジー・スタックを保護しなければならなくなっている。CVEとCVSSは、複数の最新システムの脅威インテリジェンスを継続的に管理するには不十分である。
This publication highlights the critical shortcomings of current vulnerability management programs, such as outdated information, limited context, and inefficient scoring. It also explores potential solutions that could improve the tracking, scoring, and prioritization of vulnerabilities. Readers will come to appreciate the top concerns related to vulnerability data. By the end of the document, they will also see how to fix these issues in the future. 本書は、古い情報、限られたコンテキスト、非効率的なスコアリングなど、現在の脆弱性管理プログラムの重大な欠点を浮き彫りにしている。また、脆弱性の追跡、スコアリング、優先順位付けを改善するための潜在的な解決策を探っている。読者は、脆弱性データに関連する最大の懸念事項を理解するようになるだろう。また、本書の終わりには、これらの問題を将来どのように解決すべきかがわかるだろう。
Key Takeaways: 主な要点
・The current challenges with vulnerability data ・脆弱性データに関する現在の課題
・Why CVE and CVSS are outdated and cannot keep up with the rapidly growing cybersecurity scene ・なぜCVEとCVSSは時代遅れであり、急速に成長するサイバーセキュリティシーンに対応できないのか。
・Why the National Vulnerability Database (NVD) cannot scale at the necessary rate ・国家脆弱性データベース(NVD)が必要な速度で拡張できない理由
・The fragmentation of vulnerability data ・脆弱性データの断片化
・Real-life examples of the issues with vulnerability data and their repercussions ・脆弱性データの問題点とその影響の実例
・Alternative frameworks to CVSS, including EPSS, SSVC, and VPR ・EPSS、SSVC、VPRを含むCVSSに代わる枠組み
・Threat modeling frameworks to follow, including STRIDE, LINDDUN, PASTA, VAST, TRIKE, and DREAD ・STRIDE、LINDDUN、PASTA、VAST、TRIKE、DREADなど、追随すべき脅威モデリングの枠組み
・How AI and machine learning could help address the growing volume of vulnerabilities ・AIと機械学習は、増加する脆弱性にどのように対処するのに役立つか?

 

20241125-224118

 

目次...

Acknowledgments 謝辞
Table of Contents 目次
Introduction 序文
Role of Vulnerability Data 脆弱性データの役割
Current State of Vulnerability Data 脆弱性データの現状
Identifying the Current Challenges 現在の課題の識別
CVE CVE
・Data Quality and Fidelity ・データの質と忠実性
・Perverse Incentives to not Create CVEs ・CVEを作成しないことへの逆インセンティブ
・Finding Relevant Vulnerability Data ・関連する脆弱性データを見つける
・Notifying Project Maintainers ・プロジェクト・メンテナへの通知
・Lack of Interoperability ・相互運用性の欠如
・Resolving Disputes ・紛争の解決
・Complexity of Reporting Vulnerabilities ・脆弱性報告の複雑さ
・Increasing Number of CVEs Every Year ・年々増加するCVE数
CVSS CVSS
Disadvantages of CVSS CVSSの欠点
Inability to Prioritize Risk リスクの優先順位付けができない
・Static Scoring System ・静的なスコアリング・システム
User Stories ユーザーストーリー
cURL cURL
Custom Solutions カスタムソリューション
Alternatives to CVSS CVSSの代替
EPSS EPSS
SSVC SSVC
VPR VPR
Threat Modeling Frameworks 脅威モデリングの枠組み
What Is Threat Modeling? 脅威モデリングとは何か?
STRIDE STRIDE
LINDDUN LINDDUN
PASTA パスタ
VAST バスト
TRIKE トライク
DREAD ドリード
Future Directions and Emerging Trends 今後の方向性と新たなトレンド
Big Data Problems and Scale Issues ビッグデータ問題と規模の問題
The Role of Artificial Intelligence and Machine Learning 人工知能と機械学習の役割
Conclusion 結論
References 参考文献

 

 

CVSSの代替案 比較

CVSS Alternatives Comparison CVSSの代替案 比較
EPSS EPSS
EPSS’s main focus is predicting the likelihood of vulnerability exploitation using logistic regression over 12 months. In contrast SSVC uses more qualitative decision-making, not relying on statistical predictions. Finally, VPR uses technical impact and real-time threat intelligence while making decisions which differs from EPSS's emphasis on probability of exploit prediction, highlighting its more predictive approach. EPSSの主な焦点は、12ヶ月間のロジスティック回帰を用いた脆弱性悪用の可能性の予測である。対照的に、SSVC は統計的予測に頼らず、より定性的な意思決定を行う。最後に、VPR は技術的影響とリアルタイムの脅威インテリジェンスを使用しながら意思決定を行うが、これは EPSS の悪用の可能性予測に重点を置くのとは異なり、より予測的なアプローチを強調するものである。
SSVC SSVC
SSVC utilizes decision tree models that use qualitative data to help guide holders with vulnerability management. It differs from something like EPSS which provides one predictive score and also the fact that it utilizes qualitative inputs and adapts to feedback. Furthermore, when compared to VPR which focuses on technical impact and threat intelligence, SSVC prioritizes stakeholder-specific needs. SSVC は、脆弱性管理でホルダーを導くために定性的データを使用する決定木モデルを利用する。EPSSのように1つの予測スコアをプロバイダとして提供するものとは異なり、また、定性的な入力を利用し、フィードバックに適応するという点でも異なる。さらに、技術的影響と脅威インテリジェンスに重点を置くVPRと比較すると、SSVCはステークホルダー固有のニーズに優先順位をつける。
VPR VPR
VPR combines the technical impact that a vulnerability has in conjunction with real-time threat intelligence meaning that it is continuously updating. In comparison to EPSS, which predicts exploitation likelihood with a more static but predictive score, VPR is a more dynamic approach that employs threat data over time. Finally, unlike SSVC, which emphasizes qualitative decision-making specifically for stakeholders, VPR integrates quantitative threat data for risk prioritization. VPRは、脆弱性が持つ技術的影響と、継続的に更新されることを意味するリアルタイムの脅威インテリジェンスを組み合わせたものである。より静的だが予測的なスコアで悪用の可能性を予測する EPSS と比較すると、VPR はより動的なアプローチであり、時間の経過とともに脅威データを採用する。最後に、利害関係者に特化した定性的な意思決定を重視するSSVCとは異なり、VPRはリスクの優先順位付けのために定量的な脅威データを統合する。

 

 

脅威モデル比較...

Threat modeling frameworks Comparison 脅威モデリングの枠組み
STRIDE STRIDE
STRIDE offers a variety of benefits compared to other frameworks like LINDDUN, PASTA, VAST, and TRIKE. For example, STRIDE focuses primarily on common security threats and provides a high-level overview of the threat landscape due to its broad categories, unlike other frameworks that might concentrate on specific types of vulnerabilities. STRIDE は、LINDDUN、PASTA、VAST、TRIKE のような他の枠組みと比べて様々な利点を提供する。例えば、STRIDE は主に一般的なセキュリティ脅威に焦点を当て、特定のタイプの脆弱性に集中する可能性がある他の枠組みとは異なり、その幅広いカテゴリーにより、脅威ランドスケープのハイレベルな概観を提供する。
LINDDUN LINDDUN
LINDDUN’s extensive catalog of privacy threat types, threat trees, and mapping tables, guide the analyst in identifying and addressing privacy issues. In contrast, other methods like STRIDE and PASTA primarily address security concerns, with STRIDE focusing on security threats and PASTA emphasizing security aspects. LINDDUNのプライバシー脅威の種類、脅威ツリー、マッピングテーブルの広範なカタログは、プライバシー問題を特定し、対処する際にアナリストを導く。これとは対照的に、STRIDEやPASTAのような他の手法は、主にセキュリティの懸念を扱っており、STRIDEはセキュリティの脅威に、PASTAはセキュリティの側面に重点を置いている。
PASTA PASTA
Compared to other frameworks like STRIDE, which focuses on specific threat categories, and VAST, which emphasizes scalability and integration for more large-scale enterprises, PASTA offers a more holistic and business-oriented approach as shown by its business-centric process. Its ability to simulate real-world attacks and involve both technical and business stakeholders ensures that security measures are aligned with the objectives of the business that utilizes it. 特定の脅威カテゴリーに焦点を当てるSTRIDEや、より大規模なエンタープライズ向けのスケーラビリティと統合を重視するVASTのような他の枠組みと比べて、PASTAは、そのビジネス中心のプロセスが示すように、より全体的でビジネス指向のアプローチを提供する。実世界の攻撃をシミュレートし、技術・ビジネス双方の利害関係者を関与させることで、セキュリティ対策がそれを利用するビジネスの目的に沿ったものとなることを保証する。
VAST VAST
Compared to other frameworks like LINDDUN, STRIDE, and PASTA, VAST is unique in its scalability and automation, making it suitable for large enterprises. It automates much of the threat modeling process, reducing time and effort, and integrates seamlessly with existing development and security processes. VAST is particularly useful for securing web applications, auditing IT systems, and developing secure software, ensuring that security is integrated into the software development lifecycle from the beginning. Therefore by focusing on scalability, automation, and integration, VAST provides an approach to threat modeling that is very valuable for large corporations. LINDDUN、STRIDE、PASTAのような他の枠組みと比べて、VASTはスケーラビリティと自動化においてユニークであり、大規模エンタープライズに適している。脅威モデリングプロセスの大部分を自動化し、時間と労力を削減し、既存の開発プロセスやセキュリティプロセスとシームレスに統合する。VASTは、ウェブアプリケーションのセキュリティ確保、ITシステムの監査、セキュアなソフトウェアの開発に特に有効であり、ソフトウェア開発ライフサイクルの最初からセキュリティが統合されていることを保証する。そのため、拡張性、自動化、統合に重点を置くことで、VASTは大企業にとって非常に価値のある脅威モデリングへのアプローチを提供している。
TRIKE TRIKE
Compared to other frameworks like LINDDUN, STRIDE, and PASTA, TRIKE is unique in its risk-based approach, focusing on the highest risks first and automating much of LINDDUN、STRIDE、PASTAのような他の枠組みと比べて、TRIKEはリスクベースのアプローチに特徴がある。
the threat generation processes. TRIKE is also suitable for various use cases, such as the security of web and 脅威生成的プロセスを自動化する。TRIKEはまた、ウェブやITベースのシステムのセキュリティや、ITシステムのセキュリティの支援など、さまざまなユースケースに適している。
IT-based systems, and aiding in the development of secure software. Finally, TRIKE ensures that countermeasures are appropriate for the identified threats, making it a valuable tool for security professionals. ITベースのシステムのセキュリティ、安全なソフトウェアの開発支援など、さまざまなユースケースにも適している。最後に、TRIKEは、特定された脅威に対する対策が適切であることを保証し、セキュリティ専門家にとって価値あるツールとなっている。
DREAD DREAD
Compared to other frameworks like LINDDUN or PASTA, DREAD offers a unique perspective on threat modeling by focusing on quantifying and prioritizing security threats through qualitative based approaches. While additional frameworks like STRIDE categorize threats into specific types and VAST emphasizes scalability and automation for large enterprise, DREAD is a more simple and focused approach to threat modeling. This makes DREAD particularly useful for organizations who may not be as knowledgeable about the world of cybersecurity nor as big scale as large corporations but are still looking for an effective framework to address vulnerabilities. LINDDUNやPASTAのような他の枠組みと比べて、DREADは、定性的なアプローチを通じてセキュリティ脅威を定量化し、優先順位をつけることに焦点を当てることで、脅威モデリングに独自の視点を提供している。STRIDEのような他の枠組みが脅威を特定のタイプに分類し、VASTが大規模エンタープライズ向けの拡張性と自動化に重点を置いているのに対して、DREADは脅威モデリングに対してよりシンプルで焦点を絞ったアプローチである。このため、DREADは、サイバーセキュリティの世界についてそれほど詳しくなく、大企業ほど大規模ではないものの、脆弱性に対処するための効果的な枠組みを探している組織にとって特に有用である。

 

 

| | Comments (0)

2024.11.25

欧州 ENISA NIS投資報告書 2024

こんにちは、丸山満彦です。

ENISAが、Network and Information Security Investments Report 2024を公表していますね...

2020年から初めて今年で5年目ですね...

NIS2の施行も始まりましたし、サイバーセキュリティがますます注目されますね...今年の調査からNIS2であらたに規制対象となる産業分野も調査しているようですね...

情報セキュリティ支出は増加ている一方、IT部門の従業員に占める情報っセキュリティ専任者の割合は4年連続で低下しているようですね...特に技術的な専門知識を必要とする職務の充足に苦労しているとのこと...特に中小企業...

日本もそうですが、欧州も同じですね...きっと米国も...

事業体の90%が、来年はサイバー攻撃の量、コストが増加すると予想しているようです...

 

EU及びその諸国が政策を立案する際の参考にするために、行なっているようです。今年で5年目!

EUもグローバルの比較データが欲しいと思うので(一部は組み込まれていますが、、、)、日本も政策立案の際には必要となるのでしょうから、調整をして同じ調査をしても良いように思うんですけどね。。。どうかしら。。。

日本って政策立案についての定量的な分析を十分にせずに、一部の、政府職員、政治家、一部有識者?、それらの取り巻き?の思い、思いつきできまってしまうことが多くないでしょうかね。。。もう少し定量データ等を取り入れたらどうでしょうかね。。。

IPAが情報セキュリティ白書をだしていますが、読み物だけでなく、経年データのあるデータ編があると良いと思うんですよね...

 

ENISA

プレス...

・2024.11.21 Navigating cybersecurity investments in the time of NIS 2

Navigating cybersecurity investments in the time of NIS 2 NIS 2の時代にサイバーセキュリティ投資をナビゲートする
The latest report of the European Union Agency for Cybersecurity (ENISA) aims to support policy makers in assessing the impact of the current EU cybersecurity framework, and particularly the NIS 2 Directive, on cybersecurity investments and the overall maturity of organisations in scope. 欧州連合サイバーセキュリティ機関(ENISA)の最新報告書は、現在のEUサイバーセキュリティの枠組み、特にNIS 2指令がサイバーセキュリティ投資と対象組織の全体的な成熟度に与える影響を評価し、政策立案者を支援することを目的としている。
The fifth iteration of the NIS Investments report provides key insights into how organisations in scope of the NIS 2 Directive allocate their cybersecurity budgets, build their capabilities, and mature in line with the Directive’s provisions, while also exploring global cybersecurity trends, workforce challenges, and the impact of AI.  NIS投資報告書の第5版では、NIS 2指令の適用範囲にある組織がどのようにサイバーセキュリティ予算を配分し、能力を構築し、指令の規定に沿って成熟しているかについて重要な洞察を提供するとともに、世界のサイバーセキュリティの動向、労働力の課題、AIの影響についても探求している。
The report further provides insights into the readiness of entities to comply with new requirements introduced by key horizontal (e.g. CRA) and sectorial (e.g. DORA, NCCS) legislation, while also exploring the challenges they face.   本報告書はさらに、事業体が直面する課題を探りながら、主要な水平法(CRAなど)や分野別法(DORA、NCCSなど)によって導入された新たな要件を遵守するための準備態勢についての洞察を提供している。
The EU Agency for Cybersecurity Executive Director, Juhan Lepassaar, highlighted: “The NIS 2 Directive signifies a turning point in Europe's approach to cybersecurity. Within a fast evolving and complex threat landscape, the proper implementation of the NIS 2 requires adequate investments and especially into the new sectors which fall under the scope of the updated Directive. The ENISA NIS Investments report provides evidence-based feedback to policymakers and stakeholders regarding NIS-driven investments. These insights are essential for informed decision-making and addressing potential hurdles and gaps in cybersecurity policy implementation.”  EUサイバーセキュリティ機関のジュハン・レパサー事務局長は、次のように強調した: 「NIS 2指令は、サイバーセキュリティに対する欧州のアプローチの転換点を意味する。急速に進化する複雑な脅威の状況の中で、NIS 2を適切に実施するためには、適切な投資が必要であり、特に更新された指令の範囲に含まれる新しいセクターへの投資が必要である。ENISA NIS投資報告書は、NIS主導の投資に関して、政策立案者や利害関係者にエビデンスに基づくフィードバックを提供する。これらの洞察は、十分な情報に基づいた意思決定や、サイバーセキュリティ政策の実施における潜在的なハードルやギャップに対処するために不可欠である」。
The 2024 edition features a significant enhancement compared to previous versions, as it extends the survey sample to include sectors and entities that are in scope of NIS 2. Through this approach, this report provides a pre-implementation snapshot of relevant metrics for the new sectors and entities under NIS 2, laying a foundation for future assessments of the impact of NIS 2. Additionally, it includes a sectorial deep dive in the Digital infrastructure and Space sectors.  2024年版の特徴は、NIS 2の対象となる事業体やセクターを調査対象に加えたことである。 このアプローチにより、本報告書は、NIS 2の対象となる新たなセクターや事業体に関する関連指標の導入前スナップショットを提供し、NIS 2の影響に関する将来のアセスメントの基礎を築く。 さらに、デジタルインフラと宇宙セクターのセクター別深堀り調査も含まれている。
Data were collected from 1350 organisations from all EU Member States covering all NIS2 sectors of high criticality, as well as the manufacturing sector.  データは、製造事業者だけでなく、重要度の高いNIS2の全分野をカバーする全EU加盟国の1350組織から収集された。
Key findings  主な調査結果 
Information security now represents 9% of EU IT investments, a significant increase of 1.9 percentage points from 2022, marking the second consecutive year of growth in cybersecurity investment post-pandemic.  EUのIT投資に占める情報セキュリティの割合は9%となり、2022年から1.9ポイントの大幅な伸びを示し、パンデミック以降2年連続でサイバーセキュリティへの投資が増加している。
In 2023, median IT spending for organisations rose to EUR 15 million, with information security spending doubling from EUR 0.7 million to EUR 1.4 million.  2023年には、組織のIT支出の中央値は1,500万ユーロに上昇し、情報セキュリティ支出は0.7百万ユーロから1.4百万ユーロに倍増する。
For the fourth consecutive year, the percentage of IT  Full Time Equivalents (FTEs) dedicated to information security has declined, from 11.9% to 11.1%. This decrease may reflect recruitment challenges, with 32% of organisations—and 59% of SMEs—struggling to fill cybersecurity roles, particularly those requiring technical expertise. This trend is especially notable given that 89% of organisations expect to need additional cybersecurity staff to comply with NIS2.  IT部門のフルタイム従業員(FTE)に占める情報セキュリティ専任者の割合は4年連続で低下し、11.9%から11.1%になった。この減少は、サイバーセキュリティの職務、特に技術的な専門知識を必要とする職務の充足に苦労している組織が32%、中小企業が59%に上るという、採用上の課題を反映している可能性がある。89%の組織がNIS2に準拠するためにサイバーセキュリティ担当者の増員を必要としていることを考えると、この傾向は特に注目に値する。
New NIS2 sectors are comparable in cybersecurity spending to existing NIS Directive entities, with their investments largely focused on developing and maintaining baseline cybersecurity capabilities. Emerging areas, such as post-quantum cryptography, receive limited attention with only 4% of surveyed entities investing and 14% planning future investments.  新規のNIS2セクターは、既存のNIS指令事業体と同程度のサイバーセキュリティ支出を行っており、その投資は主に基本的なサイバーセキュリティ能力の開発と維持に集中している。耐量子暗号のような新分野への注目度は低く、調査対象事業体のわずか4%が投資し、14%が将来の投資を計画しているにすぎない。
The majority of organisations anticipate a one-off or permanent increase in their cybersecurity budgets for compliance with NIS 2. Notably, a substantial number of entities will not be able to ask for the required additional budget, a percentage that is especially high for SMEs (34%).   大半の事業体は、NIS 2に準拠するためにサイバーセキュリティ予算の単発的または恒久的な増加を見込んでいる。注目すべきは、相当数の事業体が必要な追加予算を要求できないことであり、その割合は特に中小企業(34%)で高い。 
90% of entities expect an increase in cyberattacks next year, in terms of volume, costliness or both. Despite that, 74% focus their cybersecurity preparedness efforts internally, with much lower participation in national or EU-level initiatives. This gap underscores a critical area for improvement, as effective cross-border cooperation in managing large-scale incidents can only be achieved at these higher levels.  事業体の90%が、来年はサイバー攻撃の量、コスト、またはその両方が増加すると予想している。にもかかわらず、74%はサイバーセキュリティ対策に社内で注力しており、国やEUレベルのイニシアティブへの参加はかなり低い。このギャップは、大規模なインシデントに対処するための効果的な国境を越えた協力は、これらのより高いレベルでしか達成できないため、改善すべき重要な領域であることを強調している。
Overall awareness among in-scope entities is encouraging, with 92% being aware of the general scope or specific provisions of the NIS 2 Directive. However, a notable percentage of entities in certain new NIS 2 sectors remain unaware of the Directive, suggesting a potential need for increased awareness campaigns by the national competent authorities.  対象事業体の全体的な認知度は高く、92%がNIS 2指令の一般的な範囲または特定の規定を知っている。しかし、特定の新しいNIS 2セクターの事業体では、依然としてこの指令を知らない事業体の割合が目立っており、各国の所轄官庁による認知度向上キャンペーンの潜在的な必要性を示唆している。
Entities in sectors already covered by NIS outperform those newly included under NIS 2 across various cybersecurity governance, risk, and compliance metrics. Similarly, entities in new NIS 2 sectors show lower engagement and higher non-participation rates in cybersecurity preparedness activities. This highlights the positive impact the NIS Directive has had on the sectors already in scope; and creates anticipation for the impact NIS 2 will have on the new sectors.  すでにNISの対象となっているセクターの事業体は、さまざまなサイバーセキュリティガバナンス、リスク、コンプライアンスの指標において、新たにNIS 2の対象となったセクターを上回っている。同様に、新たにNIS 2の対象となった事業体では、サイバーセキュリティ対策活動への参加率が低く、不参加率が高い。このことは、NIS指令がすでに対象となっているセクターにプラスの影響を与えていることを浮き彫りにしており、NIS 2が新たなセクターに与える影響への期待を高めている。
Through the years, the series of the NIS Investments report provide a rich historical dataset which, building on this year’s foundation, will allow us to gain insights into the effect of NIS 2 on new entities within its scope.   長年にわたり、NIS投資報告書のシリーズは豊富な歴史的データセットを提供しており、今年の基礎の上に、NIS 2がその範囲内の新たな事業体に与える影響についての洞察を得ることができるだろう。 
Further Information  詳細情報 
NIS Investments Report 2024  NIS投資報告書2024
NIS Investments Report 2023 — ENISA  NIS投資報告書2023 - ENISA
NIS Investments 2022 — ENISA  NIS投資報告書2022 - ENISA
Cybersecurity Investment: Spotlight on Vulnerability Management — ENISA  サイバーセキュリティ投資: 脆弱性管理に注目 - ENISA

 

・2024.11.21 NIS Investments 2024

NIS Investments 2024 NIS投資 2024
This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how the NIS Directive has influenced cybersecurity investments and overall maturity of organisations in scope. As 2024 is the year of the transposition of NIS 2, this report also intends to capture a pre-implementation snapshot of the relevant metrics for new sectors and entities in scope of NIS 2 to help future assessments of the impact of NIS 2. This fifth iteration of the report presents data from 1350 organisations from all 27 EU Member States covering all NIS 2 sectors of high criticality, as well as the manufacturing sector. 本報告書の目的は、NIS指令が対象組織のサイバーセキュリティ投資と全体的な成熟度にどのような影響を与えたかに関するデータを通じて、特に政策立案者に既存のEUサイバーセキュリティの枠組みの有効性を評価するための証拠を提供することである。2024年はNIS 2の移行の年であるため、本レポートは、NIS 2の適用対象となる新たなセクターや事業体に関する関連指標の導入前のスナップショットを取得し、NIS 2の影響に関する将来のアセスメントに役立てることも意図している。 本報告書の第5版では、NIS 2のすべての重要度の高いセクターと製造事業者を対象に、EU全27加盟国の1350組織のデータを紹介している。

 

・[PDF]

20241125-01614

 

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
1. INTRODUCTION 1. 序文
2. INFORMATION SECURITY DYNAMICS AND OUTLOOK 2. 情報セキュリティの動態と展望
2.1 INFORMATION SECURITY SPENDING 2.1 情報セキュリティ支出
2.1.1 Forecast spending on information security and risk management 2.1.1 情報セキュリティとリスクマネジメントへの支出の見通し
2.1.2 Information security spending 2.1.2 情報セキュリティ支出
2.2 CYBERSECURITY PRIORITIES 2.2 サイバーセキュリティの優先事項
2.2.1 Investment Priorities 2.2.1 投資の優先順位
2.2.2 Third-Party Cyber Risk Management 2.2.2 サードパーティサイバーリスク管理
2.3 CYBERSECURITY WORKFORCE CHALLENGES 2.3 サイバーセキュリティ人材の課題
2.3.1 Information security staffing 2.3.1 情報セキュリティ人材の確保
2.3.2 Talent scarcity and impacts 2.3.2 人材不足とその影響
2.4 IMPACT OF ARTIFICIAL INTELLIGENCE (AI) 2.4 人工知能(AI)の影響
2.4.1 Cybersecurity of AI and AI for cybersecurity 2.4.1 AIのサイバーセキュリティとサイバーセキュリティのためのAI
2.5 CYBERSECURITY INCIDENTS AND VULNERABILITIES 2.5 サイバーセキュリティのインシデントと脆弱性
2.5.1 Cybersecurity incidents 2.5.1 サイバーセキュリティ事件
2.5.2 Vulnerabilities 2.5.2 脆弱性
3. INFORMATION SECURITY INVESTMENTS 3. 情報セキュリティ投資
3.1 METHODOLOGY 3.1 方法論
3.2 SPENDING ON INFORMATION SECURITY 3.2 情報セキュリティへの支出
3.2.1 IT spending 3.2.1 IT投資
3.2.2 IS spending 3.2.2 IS投資
3.2.3 IS spending as a share of IT spending 3.2.3 IT支出に占めるIS支出の割合
3.2.4 Investment in post-quantum cryptography (PQC) 3.2.4 耐量子暗号(PQC)への投資
3.3 INFORMATION SECURITY AND NIS STAFFING 3.3 情報セキュリティとNISの人員配置
3.3.1 IT FTEs 3.3.1 IT FTE
3.3.2 IS FTEs 3.3.2 IS FTE
3.3.3 IS FTEs as a share of IT FTEs 3.3.3 IT FTEに占めるIS FTEの割合
3.3.4 Security domains with difficulties in hiring 3.3.4 採用が困難なセキュリティ領域
3.3.5 Staffing evolution to comply with the DORA 3.3.5 DORAに対応するための人員配置の変遷
3.3.6 Staffing evolution to comply with the cybersecurity network code for electricity 3.3.6 電力のサイバーセキュリティネットワークコードに準拠するための人員配置の変遷
4. NIS 2 DIRECTIVE READINESS 4. NIS 2指令の準備
4.1 NIS 2 AWARENESS 4.1 NIS 2に対する認識
4.2 MOST CHALLENGING NIS 2 REQUIREMENTS 4.2 最も困難なNIS 2要件
4.3 NIS 2 BUDGET ARRANGEMENTS 4.3 NIS 2予算の取り決め
4.4 STAFFING EVOLUTION TO COMPLY WITH NIS2 4.4 NIS2に準拠するためのスタッフの進化
5. CYBERSECURITY GOVERNANCE AND RISK MANAGEMENT 5. サイバーセキュリティガバナンスとリスクマネジメント
5.1 LEADERSHIP INVOLVEMENT IN CYBERSECURITY 5.1 リーダーシップによるサイバーセキュリティへの関与
5.2 CYBERSECURITY RISK MANAGEMENT FOR THIRD PARTIES 5.2 サードパーティのサイバーセキュリティリスクマネジメント
5.3 IT/OT PRODUCTS SECURITY 5.3 IT/OT製品のセキュリティ
5.4 PERCEIVED CYBER-RISK MANAGEMENT MATURITY 5.4 認知されたサイバーリスクマネジメントの成熟度
5.5 PERCEIVED NETWORK AND INFORMATION SECURITY MATURITY 5.5 ネットワークと情報セキュリティの成熟度の認識
5.6 INFORMATION SHARING 5.6 情報共有
5.7 CYBER RESILIENCE ACT (CRA) 5.7 サイバーレジリエンス法(CRA)
5.8 EU CYBERSECURITY CERTIFICATION 5.8 EUサイバーセキュリティ認証
6. CYBER ATTACK EXPECTATIONS AND PREPAREDNESS 6. サイバー攻撃に対する期待と準備
6.1 CYBER ATTACK EXPECTIONS 6.1 サイバー攻撃への期待
6.2 PERCEIVED CYBER-ATTACK DETECTION AND RESPONCE CAPABILITY MATURITY 6.2 サイバー攻撃の検知と対応能力の成熟度の認識
6.3 PARTICIPATION TO CYBERSECURITY PREPAREDNESS INITIATIVES 6.3 サイバーセキュリティ対策への参加
7. SECTORAL ANALYSIS: DIGITAL INFRASTRUCTURE 7. セクター別分析:デジタルインフラ
7.1 DIGITAL INFRASTRUCTURE SERVICES 7.1 デジタルインフラサービス
7.2 TELECOMMUNICATION SERVICES 7.2 電気通信サービス
7.3 SCOPE OF OPERATIONS 7.3 業務範囲
7.4 INCIDENT NOTIFICATION OBLIGATIONS 7.4 インシデント通知義務
7.5 CYBERSECURITY FRAMEWORKS 7.5 サイバーセキュリティの枠組み
7.6 CYBERSECURITY SERVICES 7.6 サイバーセキュリティサービス
7.7 HIGH RISK VENDORS 7.7 リスクの高いベンダー
8. SECTORAL ANALYSIS: SPACE 8. セクター別分析:宇宙
8.1 SPACE ENTITIES PROFILE 8.1 宇宙事業体のプロフィール
8.2 COTS (COMMERCIAL OFF THE SHELF) USAGE 8.2 COT(市販品)の使用状況
8.3 SECURITY OF COTS PRODUCTS 8.3 市販製品のセキュリティ
8.4 USE OF CLOUD SERVICES 8.4 クラウドサービスの利用
8.5 USE OF 3RD PARTY SUPPLIERS 8.5 第三者サプライヤーの利用
8.6 CYBERSECURITY POSTURE STRENGTHENING 8.6 サイバーセキュリティ態勢の強化
9. COMPARING SMES AND LARGE ENTERPRISES 9. 中小企業と大企業の比較
10.CONCLUSIONS 10.結論
11.ANNEX A – DEMOGRAPHICS 11.附属書 A - 人口統計
12.ANNEX B – DEFINITIONS 12.附属書 B - 定義
12.1MEDIAN AND AVERAGE DEFINITIONS 12.1 中央値と平均値の定義
12.2CAGR DEFINITION 12.2 CAGRの定義
12.3SME DEFINITION 12.3 SMEの定義
12.4MAPPING OF ECSF PROFILES TO SECURITY DOMAINS 12.4 セキュリティ・ドメインへのECSFプロファイルのマッピング

 

エグゼクティブサマリーと序文...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how the NIS Directive has influenced cybersecurity investments and overall maturity of organisations in scope. As 2024 is the year of the transposition of NIS 2, this report also intends to capture a pre-implementation snapshot of the relevant metrics for new sectors and entities in scope of NIS 2 to help future assessments of the impact of NIS 2.  本報告書の目的は、NIS指令が対象組織のサイバーセキュリティ投資と全体的な成熟度にどのような影響を与えたかに関するデータを通じて、特に政策立案者に既存のEUサイバーセキュリティフレームワークの有効性を評価するための証拠を提供することである。2024年はNIS 2の移行の年であるため、本報告書は、NIS 2の適用対象となる新たなセクターや事業体に関する関連指標の実施前スナップショットを取得し、NIS 2の影響に関する将来のアセスメントに役立てることも意図している。
This fifth iteration of the report presents data from 1350 organisations from all 27 EU Member States covering all NIS 2 sectors of high criticality, as well as the manufacturing sector. As the past couple of years have been characterised by a proliferation of the EU cybersecurity policy framework with the introduction of key horizontal (e.g. CRA) and sectorial (e.g. DORA, NCCS) legislation, the report provides insights into the readiness of entities to comply with these new requirements, as well as into the challenges they face. Moreover, a sectorial deep dive was conducted for entities in the Digital infrastructure and Space sectors. Key findings from the report include: 本報告書の5回目となる今回は、製造事業者に加え、重要度の高いNIS 2の全分野をカバーするEU加盟国全27カ国の1350組織のデータを紹介する。ここ数年、EUのサイバーセキュリティ政策の枠組みは、重要な水平法(CRAなど)および分野別法(DORA、NCCSなど)の序文が導入され、その拡散が特徴となっている、 本報告書は、事業体がこれらの新たな要件に準拠するための準備態勢や直面する課題についての洞察を提供している。さらに、デジタルインフラと宇宙分野の事業体について、分野別の深堀りを行った。本レポートの主な調査結果は以下の通りである:
• Organisations earmark 9,0% of their IT investments for Information Security, a significant increase of 1.9 percentage points compared to last year.  - 組織はIT投資の9.0%を情報セキュリティに充てており、昨年と比較して1.9ポイントの大幅増となった。
• Organisations allocate 11,1% of their IT FTEs for information security a decrease of 0,8% compared to last year, despite the overall increase in cybersecurity spending and the fourth year in a row where a decrease in this metric is observed.  - サイバーセキュリティへの支出が全体的に増加しているにもかかわらず、組織はIT FTE数の11.1%を情報セキュリティに割り当てており、昨年と比較して0.8%減少している。
• 89% of organisations will require more cybersecurity staff to comply with NIS 2, primarily in the cybersecurity architecture and engineering (46%) and cybersecurity operations (40%) domains. - 組織の89%は、NIS 2に準拠するために、サイバーセキュリティ・アーキテクチャとエンジニアリング(46%)とサイバーセキュリティ・オペレーション(40%)を中心に、より多くのサイバーセキュリティ・スタッフを必要としている。
• Organisations will also need additional FTEs to comply with other horizontal (CRA - 85%) or vertical (DORA - 84%; NCCS - 81%) cybersecurity legislation.  - 組織はまた、他の水平的(CRA - 85%)または垂直的(DORA - 84%、NCCS - 81%)サイバーセキュリティ法制に準拠するために、FTEを追加する必要がある。
• Most organisations anticipate a one-off or permanent increase in their cybersecurity budgets for compliance with NIS 2 though a substantial number of entities will not be able to ask for the required additional budget, a percentage that is especially high for SMEs (34%).  - ほとんどの事業体は、NIS 2に準拠するためにサイバーセキュリティ予算が単発的または恒久的に増加すると見込んでいるが、必要な追加予算を要求できない事業体も相当数あり、その割合は特に中小企業で高い(34%)。
• 51% of surveyed organisations reported that their leadership participates in dedicated cybersecurity training a 2% increase compared to last year. - 調査対象となった組織の51%が、自社のリーダーシップがサイバーセキュリティの専門トレーニングに参加していると回答した。
• Sectors previously covered by NIS reported higher perceived maturity in cyberrisk management (6.8 vs. 6.2), network and information security arrangements (7 vs. 6.3), and cyber-attack detection and response capability (7.1 vs. 6.3) compared to new sectors.  - 以前NISの対象であったセクターは、新しいセクターと比較して、サイバーリスク管理(6.8対6.2)、ネットワークと情報セキュリティの取り決め(7対6.3)、サイバー攻撃の検知と対応能力(7.1対6.3)において、より高い成熟度を認識していると報告した。
• Sectors newly covered by the NIS 2 Directive in most cases lag behind sectors already covered by it in areas such as participation in information-sharing initiatives (60% non-participation), participation in cybersecurity preparedness initiatives, controls to establish trust in supply chain (20% implicitly trust it).  - 情報共有イニシアティブへの参加(60%が不参加)、サイバーセキュリティ準備イニシアティブへの参加、サプライチェーンにおける信頼確立のための管理(20%が暗黙のうちに信頼している)といった分野では、ほとんどの場合、新たにNIS 2指令の対象となったセクターは、すでに対象となったセクターに遅れをとっている。
• Only 4% of organisations have already invested in Post-Quantum Cryptography, while 68% of respondents indicated that they will not invest in QSC.  - 耐量子暗号に投資済みの組織はわずか4%で、回答者の68%は耐量子暗号には投資しないと回答している。
• 90% of entities expect an increase in cyberattacks in the coming year. Despite this, participation in cybersecurity preparedness initiatives is predominantly internal, with 74% of organisations engaging in such activities within their own companies. - 事業体の90%が、来年はサイバー攻撃が増加すると予想している。にもかかわらず、サイバーセキュリティ対策への参加は主に社内で行われており、74%の組織が社内でそのような活動に従事している。
1. INTRODUCTION 1. 序文
This report is the fifth edition of the NIS Investments study published by the ENISA to understand how the Directive concerning measures for a high common level of security of network and information systems across the Union (NIS Directive) 1 has impacted the cybersecurity investments, cybersecurity strategy and cybersecurity posture of organisations in scope, and what is the respective projected impact of the Directive on measures for a high common level of cybersecurity across the Union (NIS 2 Directive) 2 which replaced the NIS Directive as of October 2024.  本報告書は、ENISAが発表したNIS投資調査の第5版であり、欧州連合全体におけるネットワークと情報システムの高度な共通レベルのセキュリティ対策に関する指令(NIS指令)1が、対象組織のサイバーセキュリティ投資、サイバーセキュリティ戦略、サイバーセキュリティ態勢にどのような影響を与えたか、また、2024年10月時点でNIS指令に代わる欧州連合全体における高度な共通レベルのサイバーセキュリティ対策に関する指令(NIS 2指令)2が、それぞれどのような影響を及ぼすと予測されるかを把握することを目的としている。
The NIS 2 Directive which, during the time of this study, is being transposed across the EU (European Union), represents a significant update to the previous NIS Directive. It expands the scope of the NIS Directive to cover a wider range of organisations and imposes more stringent cybersecurity requirements. These changes are likely to have a significant impact on how entities in scope allocate their cybersecurity budgets and manage their risks.  本調査の期間中、EU(欧州連合)全域に適用されるNIS 2指令は、従来のNIS指令の大幅な更新を意味する。NIS指令の適用範囲が拡大され、より広範な組織が対象となり、より厳しいサイバーセキュリティ要件が課される。これらの変更は、対象事業体のサイバーセキュリティ予算の配分やリスクマネジメントに大きな影響を与える可能性が高い。
As the implementation of the NIS 2 Directive is under progress, it will be essential to monitor its effectiveness and assess its impact on the cybersecurity posture of organisations across the EU. The insights provided in this report can serve as a valuable baseline for future analysis and inform policy decisions related to cybersecurity.  NIS 2指令の施行は現在進行中であり、その有効性を監視し、EU全域の組織のサイバーセキュリティ態勢に与える影響を評価することが不可欠である。本報告書でプロバイダが提供する洞察は、今後の分析のための貴重なベースラインとして役立ち、サイバーセキュリティに関連する政策決定に情報を提供することができる。
To ensure representative results, a total of 1,350 organisations were surveyed across 27 EU Member States, hence 50 organisations per Member State. Additional information on the demographics of the survey is available in Annex A. This report collects data from entities already in scope of the NIS Directive as well as entities that will be in scope of NIS 2. The terms “organisations” or “entities” will be used throughout chapters 3 – 9 to refer to surveyed entities.  代表者を確実にするため、EU加盟国27カ国で合計1,350団体、つまり1加盟国あたり50団体を調査した。本報告書では、すでにNIS指令の適用範囲にある事業体およびNIS 2の適用範囲となる事業体からデータを収集している。第3章から第9章を通じて、調査対象事業体を指す場合は「組織」または「事業体」という用語を使用する。
For this study, entities from all sectors of high criticality (listed in Annex I of NIS 2 Directive) and the manufacturing sector (listed in Annex II of NIS 2 Directive) have been surveyed. This year’s report also provides a more in-depth analysis for entities in the Digital Infrastructure and Space sectors.  本調査では、臨界性の高いすべてのセクター(NIS 2指令の附属書Iに記載)と製造セクター(NIS 2指令の附属書IIに記載)の事業体を調査した。今年の報告書では、デジタルインフラと宇宙分野の事業体についても、より詳細な分析を行っている。
The target audience of this report is EU and national policymakers. It is part of a series designed to produce historical datasets to track the development of key indicators – such as information security (IS) budgets – over time. These reports also assess how policy influences these indicators, providing insights and evidence to inform policy decisions. This work is part of ENISA’s Cybersecurity Policy Observatory (CSPO) activities. 本報告書の対象読者はEUおよび各国の政策立案者である。本報告書は、情報セキュリティ(IS)予算などの主要指標の経年変化を追跡するためのヒストリカル・データセットを作成することを目的としたシリーズの一部である。また、これらの報告書では、政策がこれらの指標にどのような影響を与えるかをアセスメントし、政策決定に役立つ洞察とエビデンスを提供している。この作業は、ENISAのサイバーセキュリティ政策観測所(CSPO)活動の一環である。

 

・2023.11.16 NIS Investments Report 2023 [PDF]

・2022.11.23 NIS Investments 2022 [PDF]

・2021.11.17 NIS Investments Report 2021 [PDF]

・2020.11.11 NIS Investments Report 2020 [PDF]

 

NIS Investments 2024 NIS投資 2024
This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how the NIS Directive has influenced cybersecurity investments and overall maturity of organisations in scope. As 2024 is the year of the transposition of NIS 2, this report also intends to capture a pre-implementation snapshot of the relevant metrics for new sectors and entities in scope of NIS 2 to help future assessments of the impact of NIS 2. This fifth iteration of the report presents data from 1350 organisations from all 27 EU Member States covering all NIS 2 sectors of high criticality, as well as the manufacturing sector. 本報告書の目的は、NIS指令が対象組織のサイバーセキュリティ投資と全体的な成熟度にどのような影響を与えたかに関するデータを通じて、特に政策立案者に既存のEUサイバーセキュリティの枠組みの有効性を評価するための証拠を提供することである。2024年はNIS 2の移行の年であるため、本レポートは、NIS 2の適用対象となる新たなセクターや事業体に関する関連指標の導入前のスナップショットを取得し、NIS 2の影響に関する将来のアセスメントに役立てることも意図している。 本報告書の第5版では、NIS 2のすべての重要度の高いセクターと製造事業者を対象に、EU全27加盟国の1350組織のデータを紹介している。
NIS Investments Report 2023 NIS投資報告書2023
This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive) invest their cybersecurity budgets and how the NIS Directive has influenced this investment. This fourth iteration of the report presents data from 1,080 OES/DSPs from all 27 EU Member States. 本報告書は、ネットワークと情報システムのセキュリティに関する欧州連合指令(NIS指令)で特定された Operators of Essential Services(OES)およびDigital Service Providers(DSP)がサイバーセキュリティ予算をどのように投資しているか、またNIS指令がこの投資にどのような影響を与えたかに関するデータを通じて、政策立案者に既存のEUサイバーセキュリティの枠組みの有効性を評価するためのエビデンスを提供することを目的としている。本報告書の第4版では、EU加盟国全27カ国の1,080のOES/DSPのデータを紹介している。
NIS Investments 2022 2022年のNIS投資
This report marks the third iteration of ENISA's NIS Investments report, which collects data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive) invest their cybersecurity budgets and how this investment has been influenced by the NIS Directive. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. This year's report presents data collected from 1080 OES/DSPs from all 27 EU Member States and can now provide a historical dataset that allows for year-on-year comparison and identification of trends. Moreover, sectorial deep dives were conducted for the Energy and Health sectors. Overall, a number of absolute values, such as IT and Information Security (IS) budgets or % of IT budgets spent on IS seem to be significantly lower compared to last year. This can be attributed to the composition of the survey sample and to the higher representation of OES from the Energy and Health sectors due to the sectorial deep dives, but also to the macroeconomic environment, such as the COVID-19 impact on the respective budgets. 本報告書は、欧州連合(EU)のネットワークと情報システムのセキュリティに関する指令(NIS指令)で特定されたOES(Operators of Essential Services)とDSP(Digital Service Providers)がサイバーセキュリティ予算をどのように投資しているか、またこの投資がNIS指令の影響をどのように受けているかに関するデータを収集したENISAのNIS投資報告書の3回目の改訂版である。さらに、関連するダイナミクスをより深く理解するために、ガートナーのセキュリティデータと世界およびEUで観察された洞察を通じて、世界のサイバーセキュリティ市場の動向を紹介している。今年の報告書では、EU全27加盟国の1080のOES/DSPから収集したデータを紹介しており、前年比やトレンドの特定を可能にする過去のデータセットを提供できるようになった。さらに、エネルギー分野と保健分野については、分野別の深堀りが行われた。全体として、ITおよび情報セキュリティ(IS)予算や、ISに費やされるIT予算の割合など、絶対的な数値の多くが、昨年と比較して大幅に減少しているようだ。これは、調査サンプルの構成や、部門別ディープダイブによりエネルギー部門と保健医療部門のOESの割合が高くなったことに起因すると考えられるが、COVID-19が各予算に与えた影響などマクロ経済環境も影響している。
NIS Investments Report 2021 2021年NIS投資報告書
Following the 2020 NIS Investment publication, this report covers all 27 EU Member States and offering additional insights into the allocation of NIS budgets of OES/DSP, the economic impact of cybersecurity incidents and the organisation of cybersecurity in these operators. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. In this second edition, additional and complementary questions were asked to the surveyed organisations. Overall, 48.9 % of surveyed organisations acknowledge a very significant or significant impact of the NIS Directive on their information security (IS). 2020年のNIS投資報告書に続き、本報告書ではEU加盟国27カ国すべてをカバーし、OES/DSPのNIS予算の配分、サイバーセキュリティインシデントが及ぼす経済的影響、これらの事業者のサイバーセキュリティ組織に関するさらなる洞察を提供する。さらに、関連するダイナミクスをよりよく理解するために、ガートナーのセキュリティデータと世界およびEUで観察された洞察を通じて、世界のサイバーセキュリティ市場の動向を示している。この第2版では、調査対象組織に対して追加的・補足的な質問を行った。全体として、調査対象組織の48.9%が、NIS指令が自社の情報セキュリティ(IS)に与える影響が非常に大きい、または大きいと認識している。
NIS Investments Report 2020 NIS投資報告書2020
Four years after the NIS Directive entered into force and two years after the transposition by Member States into their national laws, this report presents the findings of a survey of 251 organisations across five EU Member States (France, Germany, Italy, Spain and Poland) with regards to NIS investments. The report depicts and analyses how OES and DSPs spend their information security budget and provides indications as to how this spending has been influenced by the introduction of the NIS Directive. The results of this NIS survey were correlated with Gartner security data and insights observed globally and in the EU in order to better understand the current NIS Directive adoption dynamics and impact on related investments. NIS指令の発効から4年、加盟国による国内法への移管から2年を経て、本報告書はEU加盟5カ国(フランス、ドイツ、イタリア、スペイン、ポーランド)の251組織を対象に実施したNIS投資に関する調査結果をまとめたものである。報告書は、OESとDSPが情報セキュリティ予算をどのように使っているかを描き、分析し、この支出がNIS指令の序文によってどのような影響を受けたかを示している。このNIS調査の結果は、現在のNIS指令導入の動きと関連投資への影響をよりよく理解するために、ガートナーのセキュリティデータおよび世界とEUで観察された洞察と関連づけられた。

 

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.18 ENISA EUにおけるサイバーセキュリティ投資 2023

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17

 

| | Comments (0)

米国 FBI 韓国当局等と連携し、ランサムウェア「Phobos」の管理者を刑事告発し、身柄を米国に...

こんにちは、丸山満彦です。

米国の司法省が、ランサムウェア「Phobos」の販売、配布、運営を管理したとされるロシア国籍のEvgenii Ptitsyn(42)に対する刑事告発を公開していますね...Ptitsynは韓国から身柄を引き渡された後、11月4日にメリーランド州連邦地方裁判所に出廷したようですね...

今回の事案については、韓国、英国、日本、スペイン、ベルギー、ポーランド、チェコ共和国、フランス、ルーマニアの国際司法・法執行パートナー、欧州刑事警察機構、米国国防総省サイバー犯罪センターが協力したようです...

このような国際捜査において、日本の警察の関与の割合が増えていますよね...

大統領選が終わり、共和党政権に変わりますが、おそらくこのようなサイバー犯罪に対する国際連携は続くのだろうとおもいます...

 

U.S. Department of Justice - Office of Public Affairs

・2023.11.18 Phobos Ransomware Administrator Extradited from South Korea to Face Cybercrime Charges

 

1_20241124232001

 

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

Phobos

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

 

 

| | Comments (0)

欧州 サイバーレジリエンス法、官報に掲載 (2024.11.20)

こんにちは、丸山満彦です。

脆弱性報告義務、IoTセキュリティの認証制度とか話題のサイバーレジリエンス法ですが、2024.10.10に欧州理事会で採択され、2024.11.20にEur-Lexに掲載されたので、20日後の2024.12.10に発効ということですかね...

全面適用は36ヶ月後なので、2027.12.10ということになりますね...ただし、脆弱性報告義務は21ヶ月後ですから、2026.09.20ということですかね...

 

EUR - Lex

・2024.11.20 Regulation (EU) 2024/2847 of the European Parliament and of the Council of 23 October 2024 on horizontal cybersecurity requirements for products with digital elements and amending Regulations (EU) No 168/2013 and (EU) No 2019/1020 and Directive (EU) 2020/1828 (Cyber Resilience Act) (Text with EEA relevance)
 

・EN [HTEML][PDF]

20241124-213140

 

CHAPTER I GENERAL PROVISIONS 第1章 一般規定
Article 1 Subject matter 第1条 対象
Article 2 Scope 第2条 適用範囲
Article 3 Definitions 第3条 定義
Article 4 Free movement 第4条 自由な移動
Article 5 Procurement or use of products with digital elements 第5条 デジタル要素を含む製品の調達または使用
Article 6 Requirements for products with digital elements 第6条 デジタル要素を含む製品の要件
Article 7 Important products with digital elements 第7条 デジタル要素を含む重要な製品
Article 8 Critical products with digital elements 第8条 デジタル要素を含む重要製品
Article 9 Stakeholder consultation 第9条 利害関係者の協議
Article 10 Enhancing skills in a cyber resilient digital environment 第10条 サイバーレジリエンスデジタル環境における技能の向上
Article 11 General product safety 第11条 一般的な製品安全
Article 12 High-risk AI systems 第12条 ハイリスクAIシステム
CHAPTER II OBLIGATIONS OF ECONOMIC OPERATORS AND PROVISIONS IN RELATION TO FREE AND OPEN-SOURCE SOFTWARE 第2章 経済的事業者の義務およびフリーソフトウェアおよびオープンソースソフトウェアに関する規定
Article 13 Obligations of manufacturers 第13条 製造事業者の義務
Article 14 Reporting obligations of manufacturers 第14条 製造事業者の報告義務
Article 15 Voluntary reporting 第15条 自主報告
Article 16 Establishment of a single reporting platform 第16条 単一通報プラットフォームの設立
Article 17 Other provisions related to reporting 第17条 報告に関するその他の規定
Article 18 Authorised representatives 第18条 認定代表者
Article 19 Obligations of importers 第19条 輸入事業者の義務
Article 20 Obligations of distributors 第20条 頒布事業者の義務
Article 21 Cases in which obligations of manufacturers apply to importers and distributors 第21条 製造事業者の義務が輸入事業者及び頒布事業者に適用される場合
Article 22 Other cases in which obligations of manufacturers apply 第22条 製造事業者の義務が適用されるその他の場合
Article 23 Identification of economic operators 第23条 経済的事業者の特定
Article 24 Obligations of open-source software stewards 第24条 オープンソースソフトウェアのスチュワードの義務
Article 25 Security attestation of free and open-source software 第25条 フリー・オープンソースソフトウェアのセキュリティ認証
Article 26 Guidance 第26条 ガイダンス
CHAPTER III CONFORMITY OF THE PRODUCT WITH DIGITAL ELEMENTS 第3章 デジタル要素を含む製品の適合性
Article 27 Presumption of conformity 第27条 適合の推定
Article 28 EU declaration of conformity 第28条 EU適合宣言
Article 29 General principles of the CE marking 第29条 CEマーキングの一般原則
Article 30 Rules and conditions for affixing the CE marking 第30条 CEマーキングの貼付に関する規則及び条件
Article 31 Technical documentation 第31条 技術文書
Article 32 Conformity assessment procedures for products with digital elements 第32条 デジタル要素を含む製品の適合性評価手続き
Article 33 Support measures for microenterprises and small and medium-sized enterprises, including start-ups 第33条 新興企業を含む零細企業及び中小企業に対する支援措置
CHAPTER IV NOTIFICATION OF CONFORMITY ASSESSMENT BODIES 第4章 適合性評価団体の届出
Article 35 Notification 第35条 届出
Article 36 Notifying authorities 第36条 認定機関
Article 37 Requirements relating to notifying authorities 第37条 認定機関に関する要件
Article 38 Information obligation on notifying authorities 第38条 認定機関の情報義務
Article 39 Requirements relating to notified bodies 第39条 被認証団体に関する要求事項
Article 40 Presumption of conformity of notified bodies 第40条 被認定団体の適合性の推定
Article 41 Subsidiaries of and subcontracting by notified bodies 第41条 被認定団体の子会社及び被認定団体による下請け業務
Article 42 Application for notification 第42条 届出の申請
Article 43 Notification procedure 第43条 通知手続き
Article 44 Identification numbers and lists of notified bodies 第44条 被認定団体の識別番号及びリスト
Article 45 Changes to notifications 第45条 届出の変更
Article 46 Challenge of the competence of notified bodies 第46条 被認定団体の権限の挑戦
Article 47 Operational obligations of notified bodies 第47条 被認定団体の運営上の義務
Article 48 Appeal against decisions of notified bodies 第48条 被認定団体の決定に対する異議申し立て
Article 49 Information obligation on notified bodies 第49条 被認証団体に対する情報義務
Article 50 Exchange of experience 第50条 経験の交換
Article 51 Coordination of notified bodies 第51条 被認定団体の調整
CHAPTER V MARKET SURVEILLANCE AND ENFORCEMENT 第5章 市場監視及び執行
Article 52 Market surveillance and control of products with digital elements in the Union market 第52条 組合市場におけるデジタル要素を含む製品の市場監視および管理
Article 53 Access to data and documentation 第53条 データおよび文書へのアクセス
Article 54 Procedure at national level concerning products with digital elements presenting a significant cybersecurity risk 第54条 重大なサイバーセキュリティリスクをもたらすデジタル要素を含む製品に関する国レベルでの手続
Article 55 Union safeguard procedure 第55条 連邦セーフガード手続
Article 56 Procedure at Union level concerning products with digital elements presenting a significant cybersecurity risk 第56条 サイバーセキュリティ上の重大なリスクをもたらすデジタル要素を含む製品に関する欧州連合レベルでの手続
Article 57 Compliant products with digital elements which present a significant cybersecurity risk 第57条 重大なサイバーセキュリティリスクをもたらすデジタル要素を含む製品の準拠
Article 58 Formal non-compliance 第58条 正式な不遵守
Article 59 Joint activities of market surveillance authorities 第59条 市場監視当局の共同活動
Article 60 Sweeps 第60条 掃討
CHAPTER VI DELEGATED POWERS AND COMMITTEE PROCEDURE 第6章 委任された権限および委員会の手続き
Article 61 Exercise of the delegation 第61条 委任の行使
Article 62 Committee procedure 第62条 委員会の手続き
CHAPTER VII CONFIDENTIALITY AND PENALTIES 第7章 守秘義務と罰則
Article 63 Confidentiality 第63条 守秘義務
Article 64 Penalties 第64条 罰則
Article 65 Representative actions 第65条 代表者行動
CHAPTER VIII TRANSITIONAL AND FINAL PROVISIONS 第8章 経過措置および最終規定
Article 66 Amendment to Regulation (EU) 2019/1020 第66条 規則(EU)2019/1020の改正
Article 67 Amendment to Directive (EU) 2020/1828 第67条 指令(EU)2020/1828の改正
Article 68 Amendment to Regulation (EU) No 168/2013 第68条 規則(EU)No 168/2013の改正
Article 69 Transitional provisions 第69条 経過規定
Article 70 Evaluation and review 第70条 評価および審査
Article 71 Entry into force and application 第71条 発効及び適用
ANNEX 附属書
ANNEX I ESSENTIAL CYBERSECURITY REQUIREMENTS 附属書 I サイバーセキュリティに関する必須要件
Part I Cybersecurity requirements relating to the properties of products with digital elements 第 I 部 デジタル要素を含む製品の特性に関するサイバーセキュリティ要件
Part II Vulnerability handling requirements 第 II 部 脆弱性ハンドリング要件
ANNEX II INFORMATION AND INSTRUCTIONS TO THE USER 附属書 II  使用者に対する情報及び指示
ANNEX III IMPORTANT PRODUCTS WITH DIGITAL ELEMENTS 附属書 III  デジタル要素を含む重要な製品
ANNEX IV CRITICAL PRODUCTS WITH DIGITAL ELEMENTS 附属書 IV デジタル要素を含む重要製品
ANNEX VI SIMPLIFIED EU DECLARATION OF CONFORMITY 附属書 VI 簡易 EU 適合宣言書
ANNEX VII CONTENT OF THE TECHNICAL DOCUMENTATION 附属書 VII 技術文書の内容
ANNEX VIII CONFORMITY ASSESSMENT PROCEDURES 附属書 VIII 適合性評価手順
Part I Conformity assessment procedure based on internal control (based on module A) 第 I 部 内部統制に基づく適合性評価手順(モジュール A に基づく)
Part II EU-type examination (based on module B) 第 Ⅱ 部 EUタイプ審査(モジュールBに基づく)
Part III Conformity to type based on internal production control (based on module C) 第 III 部 内部製造管理に基づく型式への適合(モジュール C に基づく)
Part IV Conformity based on full quality assurance (based on module H) 第 IV 部 完全な品質保証に基づく適合性(モジュール H に基づく)

 

全文の対比は、こちら...

 

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

サイバーレジリエンス法、セッキュリティ認証... 

・2024.11.09 ドイツ 連邦セキュリティ室 (BSI) 意見募集 TR-03183: 製造者及び製品に対するサイバーレジリエンス要件(一般要求事項、SBOM、脆弱性報告)

・2024.10.12 欧州理事会 サイバーレジリエンス法を採択 (2024.10.10)


・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。


 

SBOMなど...

・2024.09.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0 (2024.08.29)

・2024.05.26 中国 TC260 意見募集 国家標準「ネットワークセキュリティ技術ソフトウェア部品表 (SBOM) データフォーマット」案 (2024.05.16)

・2024.03.14 IPA NIST SP 800-161 rev.1 システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティスの翻訳 (2024.01.31)

・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)

・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項

・2023.11.09 米国 CISA 脆弱性悪用可能性交換情報の発行時期

・2023.09.26 米国 CISA サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)

・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

・2023.09.01 NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

Continue reading "欧州 サイバーレジリエンス法、官報に掲載 (2024.11.20)"

| | Comments (0)

2024.11.24

欧州 改正製造物責任指令、官報に掲載 (2024.11.18)

こんにちは、丸山満彦です。

欧州の製造物責任指令が官報に掲載されていますね...AI時代を踏まえて、AIやサイバーセキュリティについての言及もありますよね...

まぁ、AIを搭載し学習しつづける製品や、未知の脆弱性の存在が否定できない製品が想定されるので、製造事業者というのは、単純にほいほいと製品を上市できないですよね...

------

(32) 相互に接続された製品の普及を反映するため、製品の安全性のアセスメントでは、例えばスマートホームシステムのように、他の製品が当該製品に及ぼす合理的に予見可能な影響を考慮すべきである。また、上市後または使用開始後に新しい機能を学習または獲得する能力が製品の安全性に及ぼす影響も、製品のソフトウェアと基礎となるアルゴリズムが製品の危険な挙動を防止するように設計されているという正当な期待を反映するために考慮されるべきである。その結果、予期せぬ挙動を起こす可能性のある製品を設計した製造事業者は、危害をもたらす挙動に対して引き続き責任を負うべきである。デジタル時代において、上市後も多くの製品が製造事業者の管理下にあるという事実を反映するため、製品の安全性のアセスメントでは、製品が製造事業者の管理下から離れた瞬間も考慮されるべきである。また、製品が安全関連のサイバーセキュリティ要件を満たしていない場合など、サイバーセキュリティの脆弱性を理由に欠陥があると認定されることもある。

(40) 製品は、アップグレードを含むソフトウェアの変更によって修正を行うことができるように設計することができるため、ソフトウェアの更新またはアップグレードによって行われる修正には、他の方法で行われる修正に適用されるのと同じ原則が適用されるべきである。ソフトウェアの更新やアップグレードによって、あるいはAIシステムの継続的な学習によって、実質的な改変が行われた場合、その改変が実際に行われた時点で、実質的に改変された製品が市場で入手可能になった、あるいは使用開始されたとみなされるべきである。

(48) 国内裁判所は、被告が情報を開示したにもかかわらず、特に事案の技術的または科学的な複雑さのために、請求人が欠陥性もしくは因果関係、またはその両方を証明することが過度に困難である場合には、製品の欠陥性または損害と欠陥性の因果関係、またはその両方を推定すべきである。そのような場合は、事案のすべての状況を考慮して、それを行うべきである。このような場合、国内法で要求されるような通常の標準的な立証基準を課すことは、しばしば高度の蓋然性を要求することになり、補償を受ける権利の実効性を損なうことになる。したがって、製造事業者は専門的知識を有し、負傷者よりも十分な知識を有していることを考慮し、また、立証責任の逆転を回避しつつリスクの公平な配分を維持するために、請求者が欠陥の立証に困難を伴う場合は、製品に欠陥があった可能性が高いことのみを、請求者が因果関係の立証に困難を伴う場合は、製品の欠陥が損害の原因である可能性が高いことのみを立証することを要求すべきである。技術的または科学的な複雑性は、様々な要素を考慮して、各国の裁判所がケースバイケースで判断すべきである。それらの要素には、革新的な医療機器のような製品の複雑な性質、機械学習のような使用される技術の複雑な性質、請求人が分析すべき情報やデータの複雑な性質、医薬品や食品と健康状態の発症との関連や、立証するためには請求人がAIシステムの内部構造を説明する必要があるような関連など、因果関係の複雑な性質が含まれるべきである。過度の困難性のアセスメントも、各国の裁判所がケースバイケースで行うべきである。請求者は過度の困難を証明するための論拠を提供すべきであるが、そのような困難の証明は要求されるべきではない。例えば、AIシステムに関する請求において、裁判所が過度の困難性が存在すると判断するためには、請求人はAIシステムの具体的な特性や、その特性が因果関係の立証をどのように困難にしているのかを説明する必要はないはずである。被告は、過度の困難性の存在を含め、請求のすべての要素について争う可能性を有するべきである。

(50) 上市または使用開始の瞬間は、通常、製品が製造事業者の管理を離れた瞬間であり、頒布事業者にとっては、製品を市場で入手可能にした瞬間である。したがって、製造事業者は、損害の原因となった欠陥が、製品を上市または使用開始した時点では存在しなかったか、または欠陥がその時点以降に存在するようになった可能性が高いことを証明する場合、責任を免除されるべきである。しかし、デジタル技術により、製造事業者は製品を上市または使用開始した時点を超えて管理することができるため、アップデートやアップグレード、機械学習アルゴリズムなど、製造事業者の管理下にあるソフトウェアや関連サービスの結果として、その時点以降に発生した欠陥については、製造事業者は引き続き責任を負うべきである。このようなソフトウエアや関連サービスは、製造事業者が供給している場合、または製造事業者が許可している場合、あるいはサードパーティが供給することを同意している場合には、製造事業者の管理下にあるとみなされるべきである。例えば、スマートテレビがビデオアプリケーションを含むと表示されているにもかかわらず、ユーザーがテレビ購入後にサードパーティーのウェブサイトからアプリケーションをダウンロードする必要がある場合、テレビの製造者は、ビデオアプリケーションの製造者とともに、ビデオアプリケーションの欠陥によって生じた損害について、たとえその欠陥がテレビが上市された後に生じたとしても、引き続き責任を負うべきである。

(51) 製品の欠陥が、サイバーセキュリティの脆弱性に対処し、製品の安全性を維持するために必要なソフトウ ェアの更新やアップグレードの欠如に起因する場合、経済的事業者が、製品を上市または使用開始した後 に欠陥が生じたことを証明することによって責任を回避する可能性は制限されるべきである。そのような脆弱性は、本指令の意味における損害を引き起こすような形で製品に影響を及ぼす可能性がある。欧州議会及び理事会規則(EU)2017/745(16)などに基づき、製品のライフサイクル全体を通じて製品の安全性を確保するための製造者のEU法上の責任を考慮すると、製造者は、製品の欠陥が、進化するサイバーセキュリティリスクに対応して製品の脆弱性に対処するために必要なソフトウェアセキュリティアップデートまたはアップグレードを供給しなかったことに起因する場合、その欠陥製品に起因する損害に対する責任を免除されるべきではない。このような責任は、当該ソフトウェアの供給やインストールが製造事業者の管理の及ばない場合、例えば製品の所有者が製品の安全レベルを確保または維持する目的で供給されたアップデートやアップグレードをインストールしない場合などには適用されるべきではない。本指令は、製品のアップデート又はアップグレードを提供する義務を課すものではない。

(55) 第三者が製品のサイバーセキュリティの脆弱性を悪用するなど、潜在的な責任を負う経済的事業者以外の者の作為・不作為が、製品の欠陥に加えて、被った損害の原因に寄与する状況が生じ得る。消費者保護の観点から、例えば脆弱性によって製品に欠陥があり、一般消費者が期待するよりも製品の安全性が低い場合、第三者によるそのような作為または不作為の結果として、経済的事業者の責任を減免すべきではない。ただし、損害を受けた者自身が過失により損害の原因に寄与した場合、例えば、損害を軽減または回避できたであろう経済的事業者が提供した更新プログラムやアップグレードを、損害を受けた者が過失によりインストールしなかった場合などには、経済的事業者の責任を減免することが可能であるべきである。

-----

条文の目次...

CHAPTER I GENERAL PROVISIONS 第1章 一般規定
Article 1 Subject matter and objective 第1条 主題および目的
Article 2 Scope 第2条 適用範囲
Article 3 Level of harmonisation 第3条 調和のレベル
Article 4 Definitions 第4条 定義
CHAPTER II SPECIFIC PROVISIONS ON LIABILITY FOR DEFECTIVE PRODUCTS 第2章 欠陥製品に対する責任に関する具体的規定
Article 5 Right to compensation 第5条 補償を受ける権利
Article 6 Damage 第6条 損害
Article 7 Defectiveness 第7条 瑕疵担保責任
Article 8 Economic operators liable for defective products 第8条 欠陥製品に対する経済的事業者の責任
Article 9 Disclosure of evidence 第9条 証拠の開示
Article 10 Burden of proof 第10条 立証責任
Article 11 Exemption from liability 第11条 責任の免除
CHAPTER III GENERAL PROVISIONS ON LIABILITY 第3章 責任に関する一般規定
Article 12 Liability of multiple economic operators 第12条 複数の経済的事業者の責任
Article 13 Reduction of liability 第13条 責任の軽減
Article 14 Right of recourse 第14条 求償権
Article 15 Exclusion or limitation of liability 第15条 責任の排除または制限
Article 16 Limitation period 第16条 制限期間
Article 17 Expiry period 第17条 無効期間
CHAPTER IV FINAL PROVISIONS 第4章 最終規定
Article 18 Derogation from development risk defence 第18条 開発リスク防御からの免除
Article 19 Transparency 第19条 透明性
Article 20 Evaluation 第20条 評価
Article 21 Repeal and transitional provision 第21条 撤廃および経過措置
Article 22 Transposition 第22条 移植
Article 23 Entry into force 第23条 施行
Article 24 Addressees 第24条 宛先

 

 

EUR-Lex

・2024.11.18 Directive (EU) 2024/2853 of the European Parliament and of the Council of 23 October 2024 on liability for defective products and repealing Council Directive 85/374/EEC (Text with EEA relevance)

 

2024/2853 18.11.2024 2024/2853 18.11.2024
DIRECTIVE (EU) 2024/2853 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL 2024年10月23日付欧州議会および欧州理事会指令(EU)2024/2853
of 23 October 2024 2024年10月23日
on liability for defective products and repealing Council Directive 85/374/EEC 欠陥製品責任に関する欧州議会および理事会指令85/374/EECを廃止する。
(Text with EEA relevance) (EEA関連文書)
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, 欧州議会および欧州連合理事会は
Having regard to the Treaty on the Functioning of the European Union, and in particular Article 114 thereof, 欧州連合の機能に関する条約、特にその第114条に留意する、
Having regard to the proposal from the European Commission, 欧州委員会の提案を考慮する、
After transmission of the draft legislative act to the national parliaments, 立法草案が各国議会に送付された後、欧州委員会の意見を考慮する、
Having regard to the opinion of the European Economic and Social Committee (1), 欧州経済社会委員会(1)の意見を考慮する、
Acting in accordance with the ordinary legislative procedure (2), 通常の立法手続きに従って行動する(2)、
Whereas: 以下の通りである:
(1) In order to improve the proper functioning of the internal market, it is necessary to ensure that competition is not distorted and that the movement of goods is not obstructed. Council Directive 85/374/EEC (3) lays down common rules on liability for defective products with the aim of removing divergences between the legal systems of Member States that may distort competition and affect the movement of goods within the internal market. Greater harmonisation of the common rules on liability for defective products laid down in that Directive would further contribute to the achievement of those objectives, while entailing an increased degree of protection of consumers’ and other natural persons’ health or property. (1)域内市場の適切な機能を改善するためには、競争が歪められず、物品の移動が妨げられないようにすることが必要である。理事会指令85/374/EEC(3)は、競争を歪め、域内市場内の商品の移動に影響を及ぼす可能性のある加盟国の法制度間の乖離を取り除くことを目的として、欠陥製品の責任に関する共通規則を定めている。同指令に規定された欠陥製品責任に関する共通規則の調和が進めば、消費者やその他の自然人の健康や財産の保護の程度が高まる一方で、これらの目的の達成にさらに貢献することになる。
(2) Liability without fault on the part of economic operators remains the sole means of adequately addressing the problem of fair apportionment of risk inherent in modern technological production. (2) 経済的事業者の側に過失のない責任は、現代の技術生産に内在するリスクの公正な配分の問題に適切に対処する唯一の手段であり続ける。
(3) Directive 85/374/EEC has been an effective and important instrument, but it would need to be revised in light of developments related to new technologies, including artificial intelligence (AI), new circular economy business models and new global supply chains, which have led to inconsistencies and legal uncertainty, in particular as regards the meaning of the term ‘product’. Experience gained from applying that Directive has also shown that injured persons face difficulties obtaining compensation due to restrictions on making compensation claims and due to challenges in gathering evidence to prove liability, especially in light of increasing technical and scientific complexity. That includes compensation claims in respect of damage related to new technologies. The revision of that Directive would therefore encourage the roll-out and uptake of such new technologies, including AI, while ensuring that claimants enjoy the same level of protection irrespective of the technology involved and that all businesses benefit from more legal certainty and a level playing field. (3) 指令85/374/EECは効果的で重要な輸入事業者であったが、人工知能(AI)、新しい通達経済ビジネスモデル、新しいグローバルサプライチェーンなど、新技術に関連する発展、特に「製品」という用語の意味に関して矛盾や法的不確実性をもたらしていることに鑑み、改正する必要がある。また、同指令の適用から得られた経験から、特に技術的・科学的な複雑さが増す中、損害賠償請求の制限や、賠償責任を証明する証拠の収集が困難なため、損害を被った人が賠償金を得ることが困難であることが明らかになっている。これには新技術に関する損害賠償請求も含まれる。従って、同指令の改正は、AI を含むそうした新技術の普及と導入を奨励すると同時に、請求者が関係する技術に関係なく同レベルの保護を享受し、すべての企業がより法的確実性と公平な競争条件から恩恵を受けることを保証するものである。
(4) A revision of Directive 85/374/EEC would be needed in order to ensure coherence and consistency with product safety and market surveillance legislation at Union and national level. In addition, there is a need to clarify basic notions and concepts to ensure coherence and legal certainty and a level playing field in the internal market, and to reflect the recent case law of the Court of Justice of the European Union. (4) 欧州連合レベルおよび各国レベルの製品安全および市場監視法制との一貫性と整合性を確保するためには、指令85/374/EECの改正が必要である。加えて、域内市場における一貫性と法的確実性、公平な競争条件を確保し、欧州連合司法裁判所の最近の判例を反映させるために、基本的な概念や概念を明確にする必要がある。
(5) Considering the extensive nature of the amendments that would be required in order for Directive 85/374/EEC to remain effective and in order to ensure clarity and legal certainty, that Directive should be repealed and replaced with this Directive. (5) 指令85/374/EECが有効であり続けるために必要となる改正の広範な性質を考慮し、明確性と法的確実性を確保するために、当該指令は廃止され、本指令に置き換えられるべきである。
(6) In order to ensure that the Union’s product liability regime is comprehensive, no-fault liability for defective products should apply to all movables, including software, including when they are integrated into other movables or installed in immovables. (6) 組合の製造物責任体制が包括的であることを保証するため、欠陥製品に対する無過失責任は、ソフトウェアを含むすべての動産に適用されるべきである。
(7) Liability for defective products should not apply to damage arising from nuclear accidents, in so far as liability for such damage is covered by international conventions ratified by Member States. (7) 原子力事故に起因する損害については、加盟国が批准した国際条約によってその賠償責任がカバーされている限り、欠陥製品に対する賠償責任を適用すべきではない。
(8) In order to create a genuine internal market with a high and uniform level of protection of consumers and other natural persons, and to reflect the case law of the Court of Justice of the European Union, Member States should not, in respect of matters within the scope of this Directive, maintain or introduce provisions that are more stringent or less stringent than those laid down in this Directive. (8) 消費者及びその他の自然人を高水準かつ統一的に保護する真の域内市場を創設するため、及び欧州連合司法裁判所の判例を反映させるため、加盟国は、本指令の範囲内の事項に関して、本指令に規定されているものより厳しい、または緩やかな規定を維持または導入すべきではない。
(9) Under the national law of Member States, an injured person could have a claim for damages on the basis of contractual liability or on grounds of non-contractual liability that does not involve the manufacturer’s liability for the defectiveness of a product as established in this Directive. This concerns for example liability based on a warranty or on fault or strict liability of operators for damage caused by the properties of an organism resulting from genetic engineering. Such national law provisions, which serve to attain, inter alia, the objective of effective protection of consumers and other natural persons, should remain unaffected by this Directive. (9) 加盟国の国内法に基づき、損害を被った者は、契約責任に基づく損害賠償請求、または本指令に定める製品の欠陥に対する製造事業者の責任を伴わない非契約責任を理由とする損害賠償請求を行うことができる。これは例えば、遺伝子組換えによって生じた生物の特性によって生じた損害に対する保証責任や過失責任に基づく責任、あるいは事業者の厳格責任に関わるものである。このような国内法の規定は、特に消費者及びその他の自然人を効果的に保護するという目的を達成するために役立つものであり、本指令の影響を受けないままであるべきである。
(10) In certain Member States, injured persons are entitled to make claims for damage caused by pharmaceutical products under a special national liability system, with the result that effective protection of natural persons in the pharmaceutical sector is already achieved. The right to make such claims should remain unaffected by this Directive. Furthermore, amendments to such special liability systems should not be precluded as long as they do not undermine the effectiveness of the system of liability provided for in this Directive or its objectives. (10) 一部の加盟国では、傷害を受けた者は、特別な国家賠償責任制度に基づき、医薬品に起因する損害の賠償を請求する権利を有しており、その結果、医薬品分野における自然人の効果的な保護がすでに達成されている。このような請求を行う権利は、本指令の影響を受けるべきではない。さらに、このような特別な賠償責任制度の改正は、本指令に規定された賠償責任制度の有効性やその目的を損なわない限り、妨げられるべきでない。
(11) Compensation schemes outside the context of liability regimes, such as national health systems, social security schemes or insurance schemes, fall outside the scope of this Directive and should therefore not be precluded. For example, some Member States have schemes in place to provide compensation in respect of pharmaceutical products that cause harm without being defective. (11) 国民保健制度、社会保障制度、保険制度など、賠償責任制度の枠外にある補償制度は、本指令の適用範囲外であるため、排除すべきではない。例えば、一部の加盟国は、欠陥がなくても害をもたらす医薬品に関して補償を提供する制度を設けている。
(12) Decision No 768/2008/EC of the European Parliament and of the Council (4) lays down common principles and reference provisions intended to apply in all sectoral product legislation. In order to ensure consistency with that Decision, certain provisions of this Directive, in particular the definitions, should be aligned therewith. (12) 欧州議会および理事会の決定第768/2008/EC号(4)は、すべての分野の製品法規に適用することを意図した共通原則と参照規定を定めている。同決定との整合性を確保するため、本指令の一部の規定、特に定義を同決定に合わせる必要がある。
(13) Products in the digital age can be tangible or intangible. Software, such as operating systems, firmware, computer programs, applications or AI systems, is increasingly common on the market and plays an increasingly important role for product safety. Software is capable of being placed on the market as a standalone product or can subsequently be integrated into other products as a component, and it is capable of causing damage through its execution. In the interest of legal certainty, it should be clarified in this Directive that software is a product for the purposes of applying no-fault liability, irrespective of the mode of its supply or usage, and therefore irrespective of whether the software is stored on a device, accessed through a communication network or cloud technologies, or supplied through a software-as-a-service model. Information is not, however, to be considered a product, and product liability rules should therefore not apply to the content of digital files, such as media files or e-books or the mere source code of software. A developer or producer of software, including AI system providers within the meaning of Regulation (EU) 2024/1689 of the European Parliament and of the Council (5), should be treated as a manufacturer. (13) デジタル時代の製品には有形無形のものがある。オペレーティングシステム、ファームウェア、コン ピュータプログラム、アプリケーション、AI システムなどのソフトウェアは、市場でますます一般的になり、製品安全にとってますます重要な役割を果たすようになっている。ソフトウェアは単体で上市されることもあれば、コンポーネントとして他の製品に組み込まれることもあり、その実行によって損害を与える可能性がある。法的確実性の観点から、無過失責任を適用する目的では、ソフトウェアはその供給形態や使用形態に関係なく、したがってソフトウェアがデバイスに保存されているか、通信ネットワークやクラウド技術を通じてアクセスされているか、Software-as-a-Serviceモデルを通じて供給されているかに関係なく、製品であることが本指令で明確にされるべきである。しかし、情報は製品とはみなされず、製造物責任の規定は、メディアファイルや電子書籍などのデジタルファイルのコンテンツや、ソフトウェアの単なるソースコードには適用されない。欧州議会および理事会規則(EU)2024/1689(5)の意味におけるAIシステムプロバイダを含むソフトウェアの開発者または生産者は、製造事業者として扱われるべきである。
(14) Free and open-source software, whereby the source code is openly shared and users can freely access, use, modify and redistribute the software or modified versions thereof, can contribute to research and innovation on the market. Such software is subject to licences that allow anyone the freedom to run, copy, distribute, study, change and improve the software. In order not to hamper innovation or research, this Directive should not apply to free and open-source software developed or supplied outside the course of a commercial activity, since products so developed or supplied are by definition not placed on the market. Developing or contributing to such software should not be understood as making it available on the market. Providing such software on open repositories should not be considered as making it available on the market, unless that occurs in the course of a commercial activity. In principle, the supply of free and open-source software by non-profit organisations should not be considered as taking place in a business-related context, unless such supply occurs in the course of a commercial activity. However, where software is supplied in exchange for a price, or for personal data used other than exclusively for improving the security, compatibility or interoperability of the software, and is therefore supplied in the course of a commercial activity, this Directive should apply. (14) ソースコードがオープンに共有され、ユーザーが自由にソフトウェアやその修正版にアクセスし、使用、修正、再配布できるフリー・オープンソースソフトウェアは、市場における研究やイノベーションに貢献することができる。このようなソフトウェアは、誰でも自由に実行、コピー、配布、研究、変更、改善を行うことができるライセンスの対象となる。技術革新や研究の妨げにならないよう、本指令は、商業活動の範囲外で開発または提供されたフリーソフトウェアやオープンソースソフトウェアには適用すべきではない。このようなソフトウェアの開発または貢献は、市場で入手可能なものと理解すべきではない。そのようなソフトウェアをオープンリポジトリでプロバイダとして提供することは、それが商業活動の過程で発生しない限り、市場で入手可能とみなされるべきではない。原則として、非営利団体によるフリー・オープンソースソフトウェアの供給は、商業活動の過程で行われない限り、ビジネスに関連した文脈で行われるものとはみなされるべきではない。ただし、対価と引き換えにソフトウェアが提供される場合、または専らソフ トウェアのセキュリティ、互換性、相互運用性を改善する目的以外で使用される個人 データと引き換えにソフトウェアが提供される場合、したがって商業活動の一環としてソ フトウェアが提供される場合には、本指令が適用されるべきである。
(15) Where free and open-source software supplied outside the course of a commercial activity is subsequently integrated by a manufacturer as a component into a product in the course of a commercial activity and is thereby placed on the market, it should be possible to hold that manufacturer liable for damage caused by the defectiveness of such software but not the manufacturer of the software because the manufacturer of the software would not have fulfilled the conditions of placing a product or component on the market. (15) 商業活動の過程外で供給されたフリーでオープンソースなソフトウェアが、その後製造事業者 によって商業活動の過程で製品にコンポーネントとして統合され、それによって上市された場 合、当該ソフトウェアの欠陥によって生じた損害については当該製造事業者に責任を負わせ ることが可能であるが、ソフトウェアの製造事業者は製品またはコンポーネントを上市する条件を満たしていないことになるため、責任を負わないものとする。
(16) Whereas digital files as such are not products within the scope of this Directive, digital manufacturing files, which contain the functional information necessary to produce a tangible item by enabling the automated control of machinery or tools, such as drills, lathes, mills and 3D printers, should be considered to be products in order to ensure the protection of natural persons in cases where such files are defective. For example, a defective computer-assisted-design file used to create a 3D-printed good that causes harm should give rise to liability under this Directive, where such a file is developed or supplied in the course of a commercial activity. For the avoidance of doubt, it should be clarified that raw materials, such as gas and water, and electricity are products. (16) デジタルファイルそのものは本指令の範囲内の製品ではないが、ドリル、旋盤、フライス盤、3D プリンタなど、機械や工具の自動制御を可能にして有形物品を製造するために必要な機能情報を含むデジタル製造ファイルは、当該ファイルに欠陥がある場合に自然人の保護を確保するために製品とみなされるべきである。例えば、危害をもたらす 3D プリント製品の作成に使用される欠陥のあるコンピュータ支援設計ファ イルは、当該ファイルが商業活動の過程で開発または提供された場合、本指令に基づく責任を生じ るべきである。疑義を避けるため、ガスや水などの原材料や電気は製品であることを明確にすべきである。
(17) It is becoming increasingly common for digital services to be integrated into, or inter-connected with, a product in such a way that the absence of the service would prevent the product from performing one of its functions. While this Directive should not apply to services as such, it is necessary to extend no-fault liability to such integrated or inter-connected digital services as they determine the safety of the product just as much as physical or digital components. Those related services should be considered components of the product into which they are integrated or with which they are inter-connected where they are within the control of the manufacturer of that product. Examples of related services include the continuous supply of traffic data in a navigation system, a health monitoring service that relies on a physical product’s sensors to track the user’s physical activity or health metrics, a temperature control service that monitors and regulates the temperature of a smart fridge, or a voice-assistant service that allows one or more products to be controlled by using voice commands. Internet access services should not be treated as related services, since they cannot be considered as part of a product within a manufacturer’s control and it would be unreasonable to make manufacturers liable for damage caused by shortcomings in internet access services. Nevertheless, a product that relies on internet access services and fails to maintain safety in the event of a loss of connectivity could be found to be defective under this Directive. (17) デジタルサービスが製品に統合されたり、相互接続されたりして、そのサービスがなければ 製品がその機能の一つを果たせなくなるような状況はますます一般的になってきている。本指令はそのようなサービスには適用されるべきではないが、そのような統合または相互接続されたデジタルサービスは、物理的またはデジタルコンポーネントと同様に製品の安全性を決定するため、無過失責任を拡大する必要がある。これらの関連サービスは、その製品の製造事業者の管理下にある場合、それらが統合されている、あるいは相互に接続されている製品の構成要素とみなされるべきである。関連サービスの例としては、ナビゲーションシステムにおける交通データの継続的な供給、物理的製品のセンサーに依存してユーザーの身体活動や健康指標を追跡する健康モニタリングサービス、スマート冷蔵庫の温度を監視・調整する温度制御サービス、音声コマンドを使用して1つ以上の製品を制御できるようにする音声アシスタントサービスなどがある。インターネット・アクセス・サービスは、製造事業者の管理下にある製品の一部とは見なされず、インターネット・アクセス・サービスの欠陥によって生じた損害について製造事業者に責任を負わせるのは不合理であるため、関連サービスとして扱うべきではない。とはいえ、インターネット接続サービスに依存し、接続性が失われた場合の安全性を維持できない製品は、本指令に基づき欠陥があると認定される可能性がある。
(18) Related services and other components, including software updates and upgrades, should be considered to be within the manufacturer’s control where they are integrated into, or inter-connected with, a product, or supplied, by the manufacturer or where the manufacturer authorises or consents to their integration, inter-connection or supply by a third party, for example where the manufacturer of a smart home appliance consents to the provision by a third party of software updates for the manufacturer’s appliance or where a manufacturer presents a related service or component as part of the product even though it is supplied by a third party. A manufacturer should not be considered to have consented to integration or inter-connection merely by providing for the technical possibility of integration or inter-connection or by recommending certain brands or by not prohibiting potential related services or components. (18) ソフトウェアの更新やアップグレードを含む関連サービスやその他のコンポーネントは、製造事業者によ って製品に統合されるか、製品に相互接続されるか、製品に供給される場合、または製造事業者が 第三者による統合、相互接続、供給を許可または同意する場合、例えば、スマート家電の製造事業者が 第三者による製造事業者の家電製品のソフトウェア更新の提供を同意する場合、または製造事 業者が第三者によって供給されているにもかかわらず製品の一部として関連サービスやコンポー ネントを提示する場合、製造事業者の管理下にあるとみなされるべきである。製造事業者は、単に統合や相互接続の技術的可能性を提供したり、特定のブランドを推奨したり、潜在的な関連サービスやコンポーネントを禁止しないことによって、統合や相互接続に同意したとみなされるべきではない。
(19) Once a product has been placed on the market, it should be considered to remain within the manufacturer’s control where the manufacturer retains the ability to supply software updates or upgrades itself or via a third party. (19) 製品が上市された後、製造事業者がソフトウェアの更新やアップグレードを自ら又はサードパーティを通じ て供給する能力を保持している場合、その製品は製造事業者の管理下にあると考えられる。
(20) In recognition of the growing relevance and value of intangible assets, the destruction or corruption of data, such as digital files deleted from a hard drive, should also be compensated for, including the cost of recovering or restoring those data. The protection of natural persons necessitates compensation being available for material losses resulting not only from death or personal injury, such as funeral or medical expenses or lost income, and from damage to property, but also for destruction or corruption of data. Destruction or corruption of data does not automatically result in a material loss if the victim is able to retrieve the data at no cost, such as where a back-up of the data exists or the data can be downloaded again, or an economic operator restores or recreates temporarily unavailable data, for example in a virtual environment. Destruction or corruption of data is distinct from data leaks or breaches of data protection rules, and, consequently, compensation for infringements of Regulation (EU) 2016/679 (6) or (EU) 2018/1725 (7) of the European Parliament and of the Council or Directive 2002/58/EC (8) or (EU) 2016/680 (9) of the European Parliament and of the Council is not affected by this Directive. (20) 無形資産の重要性と価値が高まっていることを認識し、ハードドライブから削除されたデジタ ルファイルなどのデータの破壊や破損についても、それらのデータの回復や復元にかかる費用 を含めて補償すべきである。自然人の保護には、葬儀費用や医療費、逸失利益などの死亡や個人的傷害、財産の損害だけでなく、データの破壊や破損によって生じた物質的損失についても補償が必要である。例えば、データのバックアップが存在する場合、データを再度ダウンロードできる場合、経済的事業者が仮想環境などで一時的に利用できなくなったデータを復元または再作成する場合などである。データの破壊または破損は、データの漏えいまたはデータ保護規則の違反とは区別され、その結果、欧州議会および理事会の規則(EU)2016/679(6 )または(EU)2018/1725(7 )または欧州議会および理事会の指令2002/58/EC(8 )または(EU)2016/680(9 )の違反に対する補償は、本指令の影響を受けない。
(21) In the interest of legal certainty, this Directive should clarify that personal injury includes medically recognised and medically certified damage to psychological health that affects the victim’s general state of health and could require therapy or medical treatment, taking into account, inter alia, the International Classification of Diseases of the World Health Organization. (21) 法的確実性の観点から、本指令は、人身傷害には、特に世界保健機関(WHO)の国際疾病分類 を考慮して、被害者の一般的な健康状態に影響を及ぼし、治療または医学的処置を必要とする可能性の ある、医学的に認められ、医学的に認定された精神的健康に対する損害が含まれることを 明確にすべきである。
(22) In line with this Directive’s objective of making compensation available only to natural persons, damage to property used exclusively for professional purposes should not be compensated under this Directive. In order to address a potential risk of litigation in an excessive number of cases, the destruction or corruption of data that are used for professional purposes, even if not exclusively so, should not be compensated for under this Directive. (22) 自然人のみが補償を受けられるようにするという本指令の目的に沿って、専ら業務上の目的に使用される財産に対する損害は、本指令に基づき補償されるべきではない。過剰な件数の訴訟リスクの可能性に対処するため、専らでないにせよ、業務目的に使用されるデータの破壊や破損は、本指令の下では補償されるべきではない。
(23) While Member States should provide for full and proper compensation for all material losses resulting from death or personal injury, or from damage to or destruction of property, and destruction or corruption of data, the rules on calculating compensation should be laid down by Member States. Furthermore, compensation for non-material losses resulting from damage covered by this Directive, such as pain and suffering, should be provided in so far as such losses can be compensated for under national law. (23) 加盟国は、死亡や個人傷害、財産の損害や破壊、データの破壊や破損に起因するすべての物的損失について完全かつ適切な補償を提供すべきであるが、補償の計算規則は加盟国が定めるべきである。さらに、本指令の対象となる損害に起因する非物質的損失、例えば痛みや苦しみに対す る補償は、かかる損失が国内法の下で補償され得る限りにおいてプロバイダが提供され るべきである。
(24) Types of damage other than those provided for in this Directive, such as pure economic loss, privacy infringements or discrimination, should not by themselves trigger liability under this Directive. However, this Directive should not affect the right to compensation for any damage, including non-material, under other liability regimes. (24) 純粋な経済的損失、プライバシーの侵害、識別的損害など、本指令に規定されているも の以外の損害の種類は、それ自体で本指令に基づく責任を誘発すべきではない。しかし、本指令は他の責任制度に基づく、非物質的なものを含むあらゆる損害に対する補償の権利に影響を及ぼすべきではない。
(25) In order to protect natural persons, damage to any property owned by a natural person should be compensated for. Since property is increasingly used for both private and professional purposes, it is appropriate to provide for compensation for damage to such mixed-use property. In light of this Directive’s objective of protecting natural persons, property used exclusively for professional purposes should be excluded from its scope. (25) 自然人を保護するため、自然人が所有する財産に対する損害は補償されるべきである。不動産が私的な目的と職業的な目的の両方に使用されることが増えているため、そのような複合用途の不動産に対する損害賠償を規定することは適切である。自然人を保護するという本指令の目的に照らせば、専ら職業目的に使用される財産はその範囲から除外されるべきである。
(26) This Directive should apply to products placed on the market or, where relevant, put into service in the course of a commercial activity, whether in return for payment or free of charge, for example products supplied in the context of a sponsoring campaign or products manufactured for the provision of a service financed by public funds, since that mode of supply nonetheless has an economic or business character. The concept of ‘putting into service’ is relevant for products that are not placed on the market prior to their first use, as can be the case for lifts, machinery or medical devices. (26) 本指令は、当該供給形態が経済的又は事業的性格を有しているにもかかわらず、例えばスポン サーキャンペーンに関連して供給される製品や公的資金によって賄われるサービスの提供のた めに製造される製品など、支払の対価であるか無償であるかを問わず、商業活動の過程で上市され た製品又は関連する場合には使用される製品に適用されるべきである。使用開始」の概念は、リフト、機械、医療機器のように、最初の使用前に上市されない製品に関連する。
(27) In so far as national law so provides, the right to compensation for injured persons should apply both to direct victims, who suffer damage directly caused by a defective product, and to indirect victims, who suffer damage as a result of the direct victim’s damage. (27) 国内法に規定がある限り、負傷者に対する補償の権利は、欠陥製品によって直接損害を被った直接被害者と、直接被害者の損害の結果として損害を被った間接被害者の両方に適用されるべきである。
(28) Taking into account the increased complexity of products, of business models and of supply chains, and considering that the aim of this Directive is to ensure that consumers and other natural persons can easily exercise their right to obtain compensation in the event of damage caused by defective products, it is important that Member States ensure that competent consumer protection authorities or bodies provide all relevant information to affected consumers to enable them to effectively exercise their right to compensation in accordance with this Directive. In doing so, it is appropriate that Member States have regard to existing obligations concerning cooperation between national authorities responsible for enforcing consumer protection law, in particular the obligations under Regulation (EU) 2017/2394 of the European Parliament and of the Council (10). It is important that national consumer protection authorities or bodies regularly exchange any relevant information that they become aware of and closely cooperate with market surveillance authorities. Member States can also encourage the competent consumer protection authorities or bodies to provide information to consumers to enable them better to exercise their right to compensation in accordance with this Directive effectively. (28) 製品、ビジネスモデル、サプライチェーンが複雑化していることを考慮し、また、本指令の目 的が、消費者及びその他の自然人が欠陥製品による損害の場合に補償を受ける権利を容易に行使で きるようにすることであることを考慮すると、加盟国は、影響を受ける消費者が本指令に従っ て補償を受ける権利を効果的に行使できるように、管轄の消費者保護当局または団体がすべ ての関連情報を提供することを確保することが重要である。その際、加盟国は、消費者保護法の施行を担当する各国当局間の協力に関する既存の義務、特に欧州議会及び理事会の規則(EU)2017/2394(10)に基づく義務を考慮することが適切である。各国の消費者保護当局または団体は、把握した関連情報を定期的に交換し、市場監視当局と緊密に協力することが重要である。加盟国はまた、管轄の消費者保護当局または団体に対し、消費者が本指令に従って補償を受ける権利を効果的に行使できるよう、消費者への情報提供を奨励することができる。
(29) This Directive does not affect the various means of seeking redress at national level, whether through court proceedings, non-court solutions, alternative dispute resolution or representative actions under Directive (EU) 2020/1828 of the European Parliament and of the Council (11) or under national collective redress schemes. (29) 本指令は、欧州議会及び理事会指令(EU) 2020/1828(11)に基づく裁判手続、裁判外解決、裁判外紛争解決、代表者訴訟、または国内集団救済制度に基づく国内レベルでの救済を求める様々な手段に影響を及ぼすものではない。
(30) In order to protect the health and property of natural persons, the defectiveness of a product should be determined by reference not to its fitness for use but to the lack of the safety that a person is entitled to expect or that is required under Union or national law. The assessment of defectiveness should involve an objective analysis of the safety that the public at large is entitled to expect and not refer to the safety that any particular person is entitled to expect. The safety that the public at large is entitled to expect should be assessed by taking into account, inter alia, the intended purpose, reasonably foreseeable use, presentation, objective characteristics and properties of the product in question, including its expected lifespan, as well as the specific requirements of the group of users for whom the product is intended. Some products, such as life-sustaining medical devices, entail an especially high risk of causing damage to people and therefore give rise to particularly high safety expectations. In order to take such expectations into account, it should be possible for a court to find that a product is defective without establishing its actual defectiveness, where it belongs to the same production series as a product already proven to be defective. (30) 自然人の健康と財産を保護するため、製品の欠陥性は、その使用に対する適合性ではなく、人が期待する権利がある、または欧州連合法もしくは国内法の下で要求される安全性の欠如を参照して決定されるべきである。欠陥のアセスメントは、一般大衆が期待する安全性の客観的分析を含むべきであり、特定の人が期待する安全性に言及すべきではない。一般大衆が期待する権利を有する安全性は、特に、意図された目的、合理的に予見可能な使用方法、表示、予想される寿命を含む当該製品の客観的特性および特性、ならびに製品が意図される使用者グループの特定の要件を考慮して評価されるべきである。生命を維持する医療機器のような一部の製品は、人に損害を与えるリスクが特に高いため、特に高い安全性への期待が生じる。このような期待を考慮するため、すでに欠陥があると証明された製品と同じ製造シリーズに属する製品については、実際の欠陥性を立証することなく欠陥があると裁判所が認定することが可能であるべきである。
(31) The assessment of defectiveness should take into account the presentation of the product. However, warnings or other information provided with a product cannot be considered sufficient to make an otherwise defective product safe, since defectiveness should be determined by reference to the safety that the public at large is entitled to expect. Therefore, liability under this Directive cannot be avoided simply by listing all conceivable side effects of a product. When determining the defectiveness of a product, reasonably foreseeable use also encompasses misuse that is not unreasonable under the circumstances, such as the foreseeable behaviour of a user of machinery resulting from a lack of concentration or the foreseeable behaviour of certain user groups such as children. (31) 欠陥性のアセスメントは、製品のプレゼンテーションを考慮に入れるべきである。しかし、欠陥性は一般大衆が期待する権利がある安全性を参照して決定されるべきであり、製品とともに提供される警告やその他の情報は、そうでなければ欠陥のある製品を安全にするのに十分であるとは考えられない。従って、本指令に基づく責任は、製品の考えられる副作用をすべて列挙するだけでは回避できない。製品の欠陥性を判断する場合、合理的に予見可能な使用には、集中力の欠如に起因する機械の使用者の予見可能な行動や、子供など特定の使用者グループの予見可能な行動など、状況下で不合理ではない誤用も含まれる。
(32) In order to reflect the increasing prevalence of inter-connected products, the assessment of a product’s safety should take into account the reasonably foreseeable effects of other products on the product in question, for example within a smart home system. The effect on a product’s safety of any ability to learn or acquire new features after it is placed on the market or put into service should also be taken into account to reflect the legitimate expectation that a product’s software and underlying algorithms are designed in such a way as to prevent hazardous product behaviour. Consequently, a manufacturer that designs a product with the ability to develop unexpected behaviour should remain liable for behaviour that causes harm. In order to reflect the fact that in the digital age many products remain within the manufacturer’s control after being placed on the market, the moment in time a product leaves the manufacturer’s control should also be taken into account in the assessment of a product’s safety. A product can also be found to be defective on account of its cybersecurity vulnerability, for example where the product does not fulfil safety-relevant cybersecurity requirements. (32) 相互に接続された製品の普及を反映するため、製品の安全性のアセスメントでは、例えばスマートホームシステムのように、他の製品が当該製品に及ぼす合理的に予見可能な影響を考慮すべきである。また、上市後または使用開始後に新しい機能を学習または獲得する能力が製品の安全性に及ぼす影響も、製品のソフトウェアと基礎となるアルゴリズムが製品の危険な挙動を防止するように設計されているという正当な期待を反映するために考慮されるべきである。その結果、予期せぬ挙動を起こす可能性のある製品を設計した製造事業者は、危害をもたらす挙動に対して引き続き責任を負うべきである。デジタル時代において、上市後も多くの製品が製造事業者の管理下にあるという事実を反映するため、製品の安全性のアセスメントでは、製品が製造事業者の管理下から離れた瞬間も考慮されるべきである。また、製品が安全関連のサイバーセキュリティ要件を満たしていない場合など、サイバーセキュリティの脆弱性を理由に欠陥があると認定されることもある。
(33) In order to reflect the nature of products whose very purpose is to prevent damage, such as a warning mechanism like a smoke alarm, the assessment of the defectiveness of such a product should take into account its failure to fulfil that purpose. (33) 煙感知器のような警告機構など、損害を防止することそのものが目的である製品の性質を反映す るため、そのような製品の欠陥のアセスメントでは、その目的が果たされていないことを考慮す べきである。
(34) In order to reflect the relevance of product safety and market surveillance legislation for determining the level of safety that a person is entitled to expect, it should be clarified that relevant product safety requirements, including safety-relevant cybersecurity requirements, and interventions by competent authorities, such as issuing product recalls, or by economic operators themselves, should be taken into account in the assessment of defectiveness. Such interventions should, however, not in themselves create a presumption of defectiveness. (34) 人が期待する権利のある安全性のレベルを決定するための製品安全及び市場監視に関する法律の関連性を反映させるために、安全関連サイバーセキュリティ要件を含む関連製品安全要件、及び製品リコールの発行などの所轄当局による介入、又は経済的事業者自身による介入を欠陥性のアセスメントに考慮すべきであることを明確にすべきである。ただし、こうした介入は、それ自体が欠陥の推定を生むものであってはならない。
(35) In the interests of consumer choice and in order to encourage innovation, research and easy access to new technologies, the existence or subsequent placing on the market of a better product should not in itself lead to the conclusion that a product is defective. Similarly, the supply of updates or upgrades for a product should not in itself lead to the conclusion that a previous version of the product is defective. (35) 消費者の選択の利益のため、また、技術革新、研究、新技術への容易なアクセスを奨励するため、より優れた製品の存在やその後の上市は、それ自体で製品に欠陥があるという結論を導くべきではない。同様に、製品のアップデートやアップグレードの提供は、それ自体で旧バージョンの製品に欠陥があるという結論を導くべきではない。
(36) The protection of natural persons requires that any manufacturer involved in the production process can be held liable, in so far as a product or a component supplied by that manufacturer is defective. This includes any person who presents themselves as the manufacturer by putting, or authorising a third party to put, their name, trademark or other distinguishing feature on a product, since by doing so that person gives the impression of being involved in the production process or of assuming responsibility for it. Where a manufacturer integrates a defective component from another manufacturer into a product, an injured person should be able to seek compensation for the same damage both from the manufacturer of the product and from the manufacturer of the component. Where a component is integrated into a product outside the control of the manufacturer of that product, an injured person should be able to seek compensation from the component manufacturer where the component itself is a product under this Directive. (36) 自然人の保護では、製造過程に関与する製造事業者は、その製造事業者が供給した製品または部品に欠陥がある限り、責任を問われる可能性がある。これには、製品に自己の名称、商標その他の識別機能を付すこと、または付すことをサードパーティに許可することによって、製造事業者であることを示す者が含まれる。製造事業者が他の製造事業者の欠陥部品を製品に組み込んだ場合、損害を被った者は、製品の製造事業者と部品の製造事業者の両方に対して、同じ損害の賠償を求めることができるはずである。部品が当該製品の製造事業者の管理外で製品に組み込まれた場合、その部品自体が本指令に基づく製品である場合、損害を受けた者は部品の製造事業者に補償を求めることができるはずである。
(37) In order to ensure that injured persons have an enforceable claim for compensation where a manufacturer of a product is established outside the Union, it should be possible to hold the importer of that product and the authorised representative of the manufacturer, appointed in relation to specified tasks under Union legislation, for example under product safety and market surveillance legislation, liable. Market surveillance has shown that supply chains sometimes involve economic operators whose novel form means that they do not fit easily into traditional supply chains under the existing legal framework. Such is the case, in particular, with fulfilment service providers, which perform many of the same functions as importers but which might not always correspond to the traditional definition of importer in Union law. Fulfilment service providers play an increasingly significant role as economic operators, enabling and facilitating access to the Union market for products from third countries. That shift in relevance is already reflected in the product safety and market surveillance framework, in particular Regulations (EU) 2019/1020 (12) and (EU) 2023/988 (13) of the European Parliament and of the Council. Therefore, it should be possible to hold fulfilment service providers liable, but given the subsidiary nature of their role, they should be liable only where no importer or authorised representative is established in the Union. In the interests of channelling liability in an effective manner towards manufacturers, importers, authorised representatives and fulfilment service providers, it should be possible to hold distributors liable only where they fail to promptly identify a relevant economic operator established in the Union. (37) 製品の製造者が域外に設立されている場合、負傷者が強制力のある賠償請求を行えるようにするため、当該製品の輸入事業者及び、例えば製品安全や市場監視に関する法令に基づき、域内法令に基づく特定業務に関して任命された製造者の公認代表者の責任を問えるようにすべきである。市場監視の結果、サプライチェーンには経済的事業者が関与している場合があり、その斬新な形態は、既存の法的枠組みのもとでは伝統的なサプライチェーンに容易になじまないことを意味している。特に、フルフィルメント・サービス・プロバイダーは、輸入事業者と同じ機能の多くを果たすが、EU法における伝統的な輸入者の定義には必ずしも当てはまらない場合がある。フルフィルメント・サービス・プロバイダーは、経済的事業者としてますます重要な役割を果たすようになり、第三国からの製品のEU市場へのアクセスを可能にし、促進している。このような関連性の変化は、製品安全および市場監視の枠組み、特に欧州議会および理事会規則(EU)2019/1020(12)および(EU)2023/988(13)にすでに反映されている。したがって、フルフィルメント・サービス・プロバイダの責任を問うことは可能であるが、その役割の補助的性質を考慮すると、輸入事業者または公認代表者が域内に設立されていない場合にのみ責任を負うべきである。製造事業者、輸入事業者、公認代理人、およびフルフィルメント・サービス・プロバイダーに対して効果的な方法で責任を負わせるという観点から、頒布事業者は、域内に設立された関連経済的事業者を速やかに特定できなかった場合にのみ責任を負うことが可能であるべきである。
(38) Online selling has grown consistently and steadily, creating new business models and new actors in the market, such as online platforms. Regulation (EU) 2022/2065 of the European Parliament and of the Council (14) and Regulation (EU) 2023/988 regulate, inter alia, the responsibility and accountability of online platforms with regard to illegal content, including in relation to the sale of products. When online platforms perform the role of manufacturer, importer, authorised representative, fulfilment service provider or distributor in respect of a defective product, they should be subject to the same liability as such economic operators. Where online platforms play a mere intermediary role in the sale of products between traders and consumers, they are covered by a conditional liability exemption under Regulation (EU) 2022/2065. However, Regulation (EU) 2022/2065 provides that online platforms that allow consumers to conclude distance contracts with traders are not exempt from liability under consumer protection law where they present the product or otherwise enable the specific transaction in question in a way that would lead an average consumer to believe that the product is provided either by the online platform itself or by a trader acting under its authority or control. In keeping with that principle, where online platforms so present the product or otherwise enable the specific transaction, it should be possible to hold them liable in the same way as distributors under this Directive. Therefore, provisions of this Directive relating to distributors should apply analogously to such online platforms. That means that such online platforms should be liable only where they present the product or otherwise enable the specific transaction in a way that would lead an average consumer to believe that the product is provided either by the online platform itself or by a trader acting under its authority or control, and only where the online platform fails to promptly identify a relevant economic operator established in the Union. (38) オンライン販売は一貫して着実に成長しており、オンライン・プラットフォームのような新しいビジネスモデルや新しいアクターを市場に生み出している。欧州議会および理事会規則(EU) 2022/2065(14)および規則(EU) 2023/988は、特に、製品の販売に関連するものを含め、違法なコンテンツに関するオンライン・プラットフォームの責任と説明責任を規制している。オンラインプラットフォームが欠陥製品に関して製造事業者、輸入事業者、公認代表者、履行サービスプロバイダーまたは頒布事業者の役割を果たす場合、そのような経済的事業者と同じ責任を負うべきである。オンラインプラットフォームが取引業者と消費者間の製品販売において単なる仲介的役割を果たす場合、規則(EU) 2022/2065に基づく条件付責任免除の対象となる。しかし、規則(EU) 2022/2065は、消費者が取引者と遠隔契約を締結することを可能にするオンラインプラットフォームが、製品を提示するか、または、その製品がオンラインプラットフォーム自体またはその権限または管理の下で行動する取引者によって提供されると平均的な消費者に信じさせるような方法で問題の特定の取引を可能にする場合、消費者保護法の下で責任を免除されないと規定している。この原則に従い、オンラインプラット フォームがそのように製品を提示するか、さもなければ特定の取引を可能にする場合、本指令に基づ く頒布事業者と同じ方法で責任を問うことができるはずである。したがって、頒布事業者に関する本指令の規定は、当該オンラインプラットフォームに類推適用されるべきである。つまり、当該オンラインプラットフォームは、平均的消費者が当該製品がオンラインプラットフォーム自体又はその認可若しくは管理の下で行動する取引業者によって提供されていると信じるような方法で製品を提示し、又はその他の方法で特定の取引を可能にする場合にのみ、また、当該オンラインプラットフォームが域内に設立された関連経済的事業者を速やかに特定できなかった場合にのみ、責任を負うべきである。
(39) In the transition from a linear to a circular economy, products are designed to be more durable, reusable, repairable and upgradable. The Union is also promoting innovative and sustainable forms of production and consumption that prolong the functionality of products and components, such as remanufacturing, refurbishment and repair, as set out in the communication of the Commission of 11 March 2020 entitled ‘A new Circular Economy Action Plan – For a cleaner and more competitive Europe’. When a product is substantially modified and is thereafter made available on the market or put into service, it is considered to be a new product. Where the modification is made outside the control of the original manufacturer, it should be possible to hold the person that made the substantial modification liable as a manufacturer of the modified product, since under relevant Union law that person is responsible for the product’s compliance with safety requirements. Whether a modification is substantial should be determined on the basis of criteria laid down in relevant Union and national product safety law, including Regulation (EU) 2023/988. Where no such criteria are laid down in respect of the product in question, modifications that change the original intended functions of the product or affect its compliance with applicable safety requirements or change its risk profile should be considered to be substantial modifications. Where a substantial modification is carried out by the original manufacturer, or within its control, and where such a substantial modification makes the product defective, that manufacturer should not be able to avoid liability by arguing that the defectiveness came into being after it placed the product on the market or put it into service. In the interests of a fair apportionment of risk in the circular economy, an economic operator that makes a substantial modification, other than the original manufacturer, should be exempted from liability if that economic operator can prove that the damage is related to a part of the product not affected by the modification. Economic operators that carry out repairs or other operations that do not involve substantial modifications should not be subject to liability under this Directive. (39) 線形経済から循環経済への移行において、製品はより耐久性があり、再利用可能で、修理可能で、アップグレード可能であるように設計されている。欧州連合はまた、2020年3月11日付けの欧州委員会のコミュニケーション「新たな循環経済行動計画-よりクリーンで競争力のある欧州のために」に示されているように、再製造、改修、修理など、製品や部品の機能を長持ちさせる革新的で持続可能な生産と消費の形態を推進している。製品に大幅な改造が施され、その後市場で入手可能になったり、使用されるようになった場合、それは新製品とみなされる。改造が元の製造事業者の管理外で行われた場合、関連するEU法の下では、その製造事業者が製品の安全要求事項への適合に責任を負うため、大幅な改造を行った者を改造製品の製造事業者として責任を問うことができるはずである。実質的な変更かどうかは、規則(EU)2023/988を含む、関連するEUおよび各国の製品安全法に定められた規準に基づいて決定されるべきである。当該製品に関してそのような規準が定められていない場合、製品の当初の意図された機能を変更する、または適用される安全要求事項への適合に影響を与える、またはリスクプロファイルを変更するような改変は、実質的な改変とみなされるべきである。実質的な改造が元の製造事業者によって、またはその管理範囲内で行われ、そのような実質的な改造によって製品に欠陥が生じた場合、その製造事業者は、製品を上市または使用開始した後に欠陥が生じたと主張することによって責任を免れることはできないはずである。通達経済におけるリスクの公平な配分のためには、製造事業者以外の、大幅な改造を行った経済的事業者は、その損害が改造の影響を受けていない製品の一部に関連していることを証明できれば、責任を免れるべきである。実質的な改造を伴わない修理その他の作業を実施する経済的事業者は、本指令に基づく責任を負うべきでない。
(40) Since products can be designed in a manner that allows modifications to be made through changes to software, including upgrades, the same principles should apply to modifications made by way of a software update or upgrade as apply to modifications made in other ways. Where a substantial modification is made through a software update or upgrade, or due to the continuous learning of an AI system, the substantially modified product should be considered to be made available on the market or put into service at the time that modification is actually made. (40) 製品は、アップグレードを含むソフトウェアの変更によって修正を行うことができるように設計することができるため、ソフトウェアの更新またはアップグレードによって行われる修正には、他の方法で行われる修正に適用されるのと同じ原則が適用されるべきである。ソフトウェアの更新やアップグレードによって、あるいはAIシステムの継続的な学習によって、実質的な改変が行われた場合、その改変が実際に行われた時点で、実質的に改変された製品が市場で入手可能になった、あるいは使用開始されたとみなされるべきである。
(41) Where victims fail to obtain compensation because no person is held liable under this Directive or because the liable persons are insolvent or have ceased to exist, Member States can use existing national sectoral compensation schemes or establish new ones under national law to appropriately compensate injured persons who suffered damage caused by defective products. It is for Member States to decide whether such compensation schemes are funded in whole or in part from public or private revenue. (41) 本指令に基づき責任を負う者がいないため、または責任を負う者が支払不能であるか消滅しているため、被害者が補償を得ることができない場合、加盟国は欠陥製品により損害を被った負傷者を適切に補償するため、既存の国内部門別補償制度を利用するか、または国内法に基づき新たな補償制度を設立することができる。このような補償制度の全部または一部を公的資金で賄うか民間資金で賄うかは加盟国が決めることである。
(42) In light of the imposition on economic operators of liability irrespective of fault, and with a view to achieving a fair apportionment of risk, a person that claims compensation for damage caused by a defective product should bear the burden of proving the damage, the defectiveness of a product and the causal link between the two, in accordance with the standard of proof applicable under national law. Persons claiming compensation for damage are, however, often at a significant disadvantage compared to manufacturers in terms of access to, and understanding of, information on how a product was produced and how it operates. That asymmetry of information can undermine the fair apportionment of risk, in particular in cases involving technical or scientific complexity. It is therefore necessary to facilitate claimants’ access to evidence to be used in legal proceedings. Such evidence includes documents that have to be created ex novo by the defendant by compiling or classifying the available evidence. In assessing the request for disclosure of evidence, national courts should ensure that such access is limited to that which is necessary and proportionate, inter alia, to avoid non-specific searches for information that is not relevant to the proceedings and to protect confidential information, such as information falling within the scope of legal professional privilege and trade secrets in accordance with Union and national law, in particular Directive (EU) 2016/943 of the European Parliament and of the Council (15). Taking into consideration the complexity of certain types of evidence, for example evidence relating to digital products, it should be possible for national courts to require such evidence to be presented in an easily accessible and easily understandable manner, subject to certain conditions. (42) 過失にかかわらず経済的事業者に責任を課すことに鑑み、また、リスクの公正な配分を達成する観点から、欠陥製品に起因する損害の賠償を請求する者は、国内法に適用される証明標準に従って、損害、製品の欠陥、および両者の因果関係を証明する責任を負うべきである。しかし、損害賠償を請求する者は、製品がどのように製造され、どのように作動するかという情報へのアクセスやその理解という点で、製造事業者に比べて著しく不利な立場に置かれることが多い。このような情報の非対称性は、特に技術的・科学的な複雑さを伴うケースでは、リスクの公平な配分を損なう可能性がある。したがって、法的手続きに使用する証拠への請求者のアクセスを容易にすることが必要である。このような証拠には、入手可能な証拠をまとめたり分類したりして、被告が独自に作成しなければならない文書も含まれる。証拠開示請求のアセスメントにおいて、各国裁判所は、特に、訴訟手続に関連しない情報の非特定的な検索を回避し、EU法及び国内法、特に欧州議会及び理事会指令(EU)2016/943(15)に従い、法律専門家の秘匿特権及び企業秘密の範囲に属する情報などの秘密情報を保護するために、当該アクセスが必要かつ比例的なものに限定されることを確保すべきである。例えばデジタル製品に関連する証拠など、ある種の証拠の複雑さを考慮し、一定の条件に従って、各国の裁判所が当該証拠を容易にアクセスでき、かつ理解しやすい方法で提示することを要求することは可能であるべきである。
(43) This Directive harmonises rules on disclosure of evidence only in so far as such matters are regulated by it. Matters not regulated by this Directive include rules on disclosure of evidence with regard to: pre-trial procedures; how specific a request for evidence must be; third parties; cases of declaratory actions; and sanctions for non-compliance with the obligation to disclose evidence. (43) 本指令は、当該事項が本指令によって規制される限りにおいてのみ、証拠開示に関する規則を調和させる。本指令で規制されていない事項には、公判前手続き、証拠開示請求の具体的内容、サードパーティ、宣言的訴えの場合、証拠開示義務の不履行に対する制裁などに関する証拠開示規則が含まれる。
(44) In light of the fact that defendants might need access to evidence at the disposal of the claimant in order to counter a claim for compensation under this Directive, defendants should also have the possibility of accessing evidence. Similar to a disclosure request made by the claimant, when assessing the request of the defendant for disclosure of evidence, national courts should ensure that such access is limited to that which is necessary and proportionate, inter alia, to avoid non-specific searches for information that is not relevant to the proceedings and to protect confidential information. (44) 本指令に基づく損害賠償請求に対抗するために、被告が請求者の手元にある証拠へのアクセス を必要とする可能性があるという事実に鑑み、被告も証拠へのアクセスの可能性を有するべきであ る。請求者が行う開示請求と同様に、被告の証拠開示請求をアセスメントする際、各国裁判所は、特に訴訟手続きに関連しない情報の非特定的な検索を回避し、秘密情報を保護するために、当該アクセスが必要かつ比例的なものに限定されることを確保すべきである。
(45) In respect of trade secrets as defined in Directive (EU) 2016/943, national courts should be empowered to take specific measures to ensure the confidentiality of trade secrets during and after the proceedings, while achieving a fair and proportionate balance between the interests of the trade secret holder with regard to secrecy and the interests of the injured person. Such measures should include at least measures to restrict access to documents containing trade secrets or alleged trade secrets and to restrict access to hearings to a limited number of people, or allowing access only to redacted documents or transcripts of hearings. When deciding on such measures, it is appropriate that national courts take into account the need to ensure the right to an effective remedy and to a fair trial, the legitimate interests of the parties and, where appropriate, of third parties, and potential harm for either of the parties to a dispute, and, where appropriate, for third parties, which results from the granting or rejection of such measures. (45) 指令(EU)2016/943 で定義されている営業秘密に関しては、各国裁判所は、秘密保持に関する営業秘密保有者の利益と損害を受けた者の利益との間で公正かつ比例的なバランスを達成しつつ、訴訟中及び訴訟後に営業秘密の秘密保持を確保するための特定の措置を講じる権限を付与されるべきである。このような措置には、少なくとも、営業秘密又は営業秘密とされるものを含む文書へのアクセス を制限する措置、審理へのアクセスを限られた人数に制限する措置、又は冗長化された文書若しくは審 議会の記録へのアクセスのみを許可する措置が含まれるべきである。このような措置を決定する場合、各国の裁判所は、実効的な救済を受ける権利及び公正な裁判を受ける権利を確保する必要性、当事者及び適切な場合には第三者の正当な利益、並びに紛争当事者のいずれか及び適切な場合には第三者にとって、このような措置の付与又は却下によって生じる潜在的な損害を考慮することが適切である。
(46) It is necessary to alleviate the claimant’s burden of proof provided that certain conditions are fulfilled. Rebuttable presumptions of fact are a common mechanism for alleviating a claimant’s evidential difficulties and allowing a court to base the existence of defectiveness or of a causal link on the presence of another fact that has been proven while preserving the rights of the defendant. In order to provide an incentive to comply with the obligation to disclose information, national courts should presume the defectiveness of a product where a defendant fails to comply with such an obligation. Many mandatory safety requirements have been adopted in order to protect consumers and other natural persons from the risk of harm, including under Regulation (EU) 2023/988. In order to reinforce the close relationship between product safety rules and liability rules, non-compliance with such requirements should also result in a presumption of defectiveness. That includes cases in which a product is not equipped with the means to log information about the operation of the product as required under Union or national law. The same should apply in the case of obvious malfunction, such as a glass bottle that explodes in the course of reasonably foreseeable use, since it is unnecessarily burdensome to require a claimant to prove defectiveness when the circumstances are such that its existence is undisputed. Reasonably foreseeable use covers the use for which a product is intended in accordance with the information provided by the manufacturer or economic operator placing it on the market, the ordinary use as determined by the design and construction of the product, and use which can be reasonably foreseen where such use could result from lawful and readily predictable human behaviour. (46) 一定の条件が満たされることを条件に、請求人の立証責任を軽減する必要がある。事実の反証可能な推定は、請求人の立証上の困難を軽減し、裁判所が被告の権利を保持しつつ、立証された別の事実の存在に基づいて瑕疵の存在や因果関係の存在を根拠づけることを可能にする一般的なメカニズムである。情報開示義務を遵守するインセンティブを与えるため、各国の裁判所は、被告がそのような義務を遵守しない場合、製品の欠陥性を推定すべきである。規則(EU)2023/988を含め、消費者やその他の自然人を危害のリスクから保護するために、多くの強制的安全要件が採用されている。製品安全規則と賠償責任規則との密接な関係を強化するため、このような要求事項への不遵守は欠陥の推定にもつながるはずである。これには、EU法または国内法で義務付けられている、製品の動作に関する情報を記録する手段を製品が備えていない場合も含まれる。合理的に予見可能な使用の過程で爆発したガラス瓶のような明らかな故障の場合も同様であるべきである。なぜなら、瑕疵の存在に議論の余地がないような状況であるにもかかわらず、瑕疵の立証を請求者に要求するのは不必要に負担が大きいからである。合理的に予見可能な使用とは、製造事業者または上市する経済的事業者が提供する情報に従って製品が意図される使用、製品の設計および構造によって決定される通常の使用、および、そのような使用が合法的かつ容易に予測可能な人間の行動から生じ得る場合に合理的に予見され得る使用を対象とする。
(47) Where it has been established that a product is defective and the kind of damage that occurred is, based primarily on similar cases, typically caused by the defectiveness in question, the claimant should not be required to prove the causal link and its existence should be presumed. (47) 製品に欠陥があることが立証され、発生した損害の種類が、主に類似の事例に基づいて、当該欠陥に起因する典型的なものである場合、請求人は因果関係を立証する必要はなく、その存在は推定されるべきである。
(48) National courts should presume the defectiveness of a product or the causal link between the damage and the defectiveness, or both, where, notwithstanding the defendant’s disclosure of information, it would be excessively difficult for the claimant, in particular due to the technical or scientific complexity of the case, to prove the defectiveness or the causal link, or both. They should do so taking into account all the circumstances of the case. In such cases, imposing the usual standard of proof as required under national law, which often calls for a high degree of probability, would undermine the effectiveness of the right to compensation. Therefore, given that manufacturers have expert knowledge and are better informed than the injured person, and in order to maintain a fair apportionment of risk while avoiding a reversal of the burden of proof, that claimant should be required to demonstrate, where the claimant’s difficulties relate to proving defectiveness, only that it is likely that the product was defective, or, where the claimant’s difficulties relate to proving the causal link, only that the defectiveness of the product is a likely cause of the damage. Technical or scientific complexity should be determined by national courts on a case-by-case basis, taking into account various factors. Those factors should include the complex nature of the product, such as an innovative medical device; the complex nature of the technology used, such as machine learning; the complex nature of the information and data to be analysed by the claimant; and the complex nature of the causal link, such as a link between a pharmaceutical or food product and the onset of a health condition or a link that, in order to be proven, would require the claimant to explain the inner workings of an AI system. The assessment of excessive difficulties should also be made by national courts on a case-by-case basis. While a claimant should provide arguments to demonstrate excessive difficulties, proof of such difficulties should not be required. For example, in a claim concerning an AI system, the claimant should, for the court to decide that excessive difficulties exist, neither be required to explain the AI system’s specific characteristics nor how those characteristics make it harder to establish the causal link. The defendant should have the possibility of contesting all elements of the claim, including the existence of excessive difficulties. (48) 国内裁判所は、被告が情報を開示したにもかかわらず、特に事案の技術的または科学的な複雑さのために、請求人が欠陥性もしくは因果関係、またはその両方を証明することが過度に困難である場合には、製品の欠陥性または損害と欠陥性の因果関係、またはその両方を推定すべきである。そのような場合は、事案のすべての状況を考慮して、それを行うべきである。このような場合、国内法で要求されるような通常の標準的な立証基準を課すことは、しばしば高度の蓋然性を要求することになり、補償を受ける権利の実効性を損なうことになる。したがって、製造事業者は専門的知識を有し、負傷者よりも十分な知識を有していることを考慮し、また、立証責任の逆転を回避しつつリスクの公平な配分を維持するために、請求者が欠陥の立証に困難を伴う場合は、製品に欠陥があった可能性が高いことのみを、請求者が因果関係の立証に困難を伴う場合は、製品の欠陥が損害の原因である可能性が高いことのみを立証することを要求すべきである。技術的または科学的な複雑性は、様々な要素を考慮して、各国の裁判所がケースバイケースで判断すべきである。それらの要素には、革新的な医療機器のような製品の複雑な性質、機械学習のような使用される技術の複雑な性質、請求人が分析すべき情報やデータの複雑な性質、医薬品や食品と健康状態の発症との関連や、立証するためには請求人がAIシステムの内部構造を説明する必要があるような関連など、因果関係の複雑な性質が含まれるべきである。過度の困難性のアセスメントも、各国の裁判所がケースバイケースで行うべきである。請求者は過度の困難を証明するための論拠を提供すべきであるが、そのような困難の証明は要求されるべきではない。例えば、AIシステムに関する請求において、裁判所が過度の困難性が存在すると判断するためには、請求人はAIシステムの具体的な特性や、その特性が因果関係の立証をどのように困難にしているのかを説明する必要はないはずである。被告は、過度の困難性の存在を含め、請求のすべての要素について争う可能性を有するべきである。
(49) In the interest of a fair apportionment of risk, economic operators should be exempted from liability if they can prove the existence of specific exonerating circumstances. They should not be liable where they can prove that a person other than themselves caused the product to leave the manufacturing process against their will or that compliance with legal requirements was precisely the reason for the product’s defectiveness. (49) リスクの公平な配分の観点から、経済的事業者は、特定の免責事由の存在を証明できる場合には、責任を免除されるべきである。経済事業者は、自分以外の者が意に反して製品を製造工程から離脱させたこと、または法的要件の遵守がまさに製品の欠陥の理由であったことを証明できる場合には、責任を負うべきでない。
(50) The moment of placing on the market or putting into service is normally the moment when a product leaves the control of the manufacturer, while for distributors it is the moment when they make the product available on the market. Manufacturers should therefore be exempted from liability where they prove that it is probable that the defectiveness that caused the damage did not exist when they placed the product on the market or put it into service or that the defectiveness came into being after that moment. However, since digital technologies allow manufacturers to exercise control beyond the moment of placing the product on the market or putting into service, manufacturers should remain liable for defectiveness that comes into being after that moment as a result of software or related services within their control, be it in the form of updates or upgrades or machine-learning algorithms. Such software or related services should be considered to be within the manufacturer’s control where they are supplied by that manufacturer or where that manufacturer authorises them or otherwise consents to their supply by a third party. For example, if a smart television is presented as including a video application, but the user is required to download the application from a third party’s website after the purchase of the television, the television manufacturer should remain liable, alongside the manufacturer of the video application, for damage caused by any defectiveness of the video application, even though the defectiveness came into being only after the television was placed on the market. (50) 上市または使用開始の瞬間は、通常、製品が製造事業者の管理を離れた瞬間であり、頒布事業者にとっては、製品を市場で入手可能にした瞬間である。したがって、製造事業者は、損害の原因となった欠陥が、製品を上市または使用開始した時点では存在しなかったか、または欠陥がその時点以降に存在するようになった可能性が高いことを証明する場合、責任を免除されるべきである。しかし、デジタル技術により、製造事業者は製品を上市または使用開始した時点を超えて管理することができるため、アップデートやアップグレード、機械学習アルゴリズムなど、製造事業者の管理下にあるソフトウェアや関連サービスの結果として、その時点以降に発生した欠陥については、製造事業者は引き続き責任を負うべきである。このようなソフトウエアや関連サービスは、製造事業者が供給している場合、または製造事業者が許可している場合、あるいはサードパーティが供給することを同意している場合には、製造事業者の管理下にあるとみなされるべきである。例えば、スマートテレビがビデオアプリケーションを含むと表示されているにもかかわらず、ユーザーがテレビ購入後にサードパーティーのウェブサイトからアプリケーションをダウンロードする必要がある場合、テレビの製造者は、ビデオアプリケーションの製造者とともに、ビデオアプリケーションの欠陥によって生じた損害について、たとえその欠陥がテレビが上市された後に生じたとしても、引き続き責任を負うべきである。
(51) The possibility for economic operators to avoid liability by proving that the defectiveness came into being after they placed the product on the market or put it into service should be restricted when a product’s defectiveness consists in the lack of software updates or upgrades necessary to address cybersecurity vulnerabilities and maintain the safety of the product. Such vulnerabilities can affect the product in such a way that it causes damage within the meaning of this Directive. In recognition of manufacturers’ responsibilities under Union law for the safety of products throughout their lifecycle, such as under Regulation (EU) 2017/745 of the European Parliament and of the Council (16), manufacturers should also not be exempted from liability for damage caused by their defective products when the defectiveness results from their failure to supply the software security updates or upgrades that are necessary to address those products’ vulnerabilities in response to evolving cybersecurity risks. Such liability should not apply where the supply or installation of such software is beyond the manufacturer’s control, for example where the owner of the product does not install an update or upgrade supplied for the purpose of ensuring or maintaining the level of safety of the product. This Directive does not impose any obligation to provide updates or upgrades for a product. (51) 製品の欠陥が、サイバーセキュリティの脆弱性に対処し、製品の安全性を維持するために必要なソフトウ ェアの更新やアップグレードの欠如に起因する場合、経済的事業者が、製品を上市または使用開始した後 に欠陥が生じたことを証明することによって責任を回避する可能性は制限されるべきである。そのような脆弱性は、本指令の意味における損害を引き起こすような形で製品に影響を及ぼす可能性がある。欧州議会及び理事会規則(EU)2017/745(16)などに基づき、製品のライフサイクル全体を通じて製品の安全性を確保するための製造者のEU法上の責任を考慮すると、製造者は、製品の欠陥が、進化するサイバーセキュリティリスクに対応して製品の脆弱性に対処するために必要なソフトウェアセキュリティアップデートまたはアップグレードを供給しなかったことに起因する場合、その欠陥製品に起因する損害に対する責任を免除されるべきではない。このような責任は、当該ソフトウェアの供給やインストールが製造事業者の管理の及ばない場合、例えば製品の所有者が製品の安全レベルを確保または維持する目的で供給されたアップデートやアップグレードをインストールしない場合などには適用されるべきではない。本指令は、製品のアップデート又はアップグレードを提供する義務を課すものではない。
(52) In the interests of a fair apportionment of risk, economic operators should be exempted from liability if they prove that the state of scientific and technical knowledge, determined with reference to the most advanced level of objective knowledge accessible and not to the actual knowledge of the economic operator in question, during the period in which the product was within the manufacturer’s control, was such that the existence of the defectiveness could not be discovered. (52) リスクの公平な配分の観点から、経済的事業者は、製品が製造事業者の管理下にあった期間中、当該経済的事業者の実際の知識ではなく、アクセス可能な客観的知識の最先端レベルを参照して決定された科学的・技術的知識の状態が、欠陥の存在を発見できないようなものであったことを証明した場合、責任を免除されるべきである。
(53) Situations can arise in which two or more parties are liable for the same damage, in particular where a defective component is integrated into a product that causes damage. In such a case, the injured person should be able to seek compensation both from the manufacturer that integrated the defective component into its product and from the manufacturer of the defective component itself. In order to ensure the protection of natural persons, all parties should be held liable jointly and severally in such situations. (53) 特に、欠陥のある部品が損害を与える製品に組み込まれている場合など、2者以上の当事者が同じ損害について責任を負う状況が生じうる。このような場合、損害を受けた者は、欠陥部品を製品に組み込んだ製造事業者と欠陥部品自体の製造事業者の両方に対して補償を求めることができるはずである。自然人の保護を確実にするため、このような状況では、すべての当事者が連帯して責任を負うべきである。
(54) A high degree of innovation is particularly necessary in the software sector. With a view to supporting the innovative capacity of microenterprises and small enterprises that manufacture software, it should be possible for such enterprises to contractually agree with manufacturers that integrate their software into a product that the latter will not seek recourse from the software manufacturer in the event of a defective software component causing harm. Such contractual agreements, already used in some Member States, should be allowed, since the manufacturer of the product as a whole is in any event liable for any defectiveness in the product, including in components. However, liability towards an injured person should never be limited or excluded by such a contractual agreement. (54) ソフトウェア分野では、高度なイノベーションが特に必要である。ソフトウェアを製造する零細企業や小規模企業の革新的能力を支援する観点から、そのような企業が、自社のソフトウェアを製品に統合する製造事業者との間で、欠陥のあるソフトウェア部品が損害を引き起こした場合に、後者がソフトウェア製造者に損害賠償を求めないことを契約上合意することを可能にすべきである。このような契約上の合意は、加盟国の一部ですでに採用されているが、コンポーネントも含め、製品の欠陥については、いずれにせよ製品全体の製造事業者が責任を負うことになるため、認められるべきである。しかし、負傷者に対する責任は、そのような契約上の合意によって決して制限されたり排除されたりすべきではない。
(55) Situations can arise in which the acts and omissions of a person other than a potentially liable economic operator contribute, in addition to the defectiveness of the product, to the cause of the damage suffered, such as a third party exploiting a cybersecurity vulnerability of a product. In the interests of consumer protection, where a product is defective, for example due to a vulnerability that makes the product less safe than the public at large is entitled to expect, the liability of the economic operator should not be reduced or disallowed as a result of such acts or omissions by a third party. However, it should be possible to reduce or disallow the economic operator’s liability where injured persons themselves have negligently contributed to the cause of the damage, for example where the injured person negligently failed to install updates or upgrades provided by the economic operator that would have mitigated or avoided the damage. (55) 第三者が製品のサイバーセキュリティの脆弱性を悪用するなど、潜在的な責任を負う経済的事業者以外の者の作為・不作為が、製品の欠陥に加えて、被った損害の原因に寄与する状況が生じ得る。消費者保護の観点から、例えば脆弱性によって製品に欠陥があり、一般消費者が期待するよりも製品の安全性が低い場合、第三者によるそのような作為または不作為の結果として、経済的事業者の責任を減免すべきではない。ただし、損害を受けた者自身が過失により損害の原因に寄与した場合、例えば、損害を軽減または回避できたであろう経済的事業者が提供した更新プログラムやアップグレードを、損害を受けた者が過失によりインストールしなかった場合などには、経済的事業者の責任を減免することが可能であるべきである。
(56) The objective of protecting natural persons would be undermined if it were possible to limit or exclude an economic operator’s liability through contractual provisions. Therefore no contractual derogations should be permitted. For the same reason, it should not be possible for provisions of national law to limit or exclude liability, such as by setting financial ceilings on an economic operator’s liability. (56) 契約条項によって経済的事業者の責任を制限または排除することが可能であれば、自然人を保護するという目的は損なわれる。したがって、契約上の免除は許されるべきではない。同じ理由から、経済的事業者の責任に金銭的上限を設けるなどして、国内法の規定が責任を制限または排除することは可能であってはならない。
(57) Given that products age over time and that higher safety standards are developed as the state of science and technology progresses, it would not be reasonable to make manufacturers liable for an unlimited period of time for the defectiveness of their products. Therefore, liability should be subject to a reasonable length of time, namely 10 years from the placing on the market or putting into service of a product (the ‘expiry period’), without prejudice to claims pending in legal proceedings. In order to avoid unreasonably restricting the possibility of compensation for damage caused by a defective product, the expiry period should be extended to 25 years in cases where the symptoms of a personal injury are, according to medical evidence, slow to emerge. (57) 製品は時間の経過とともに古くなり、科学技術の進歩に伴ってより高い安全標準が開発されることを考えれば、製造事業者に製品の欠陥について無制限に責任を負わせることは妥当ではない。したがって、法的手続きに係属中の請求を害することなく、製品の上市または使用開始から10年という合理的な期間(「有効期間」)に責任を負わせるべきである。欠陥のある製品に起因する損害に対する補償の可能性を不当に制限することを避けるため、医学的証拠によれば人身傷害の症状の出現が遅い場合には、有効期間を25年に延長すべきである。
(58) Since substantially modified products are essentially new products, a new expiry period should start to run after a product has been substantially modified and has subsequently been made available on the market or put into service, for example as a result of remanufacturing. Updates or upgrades that do not amount to a substantial modification of the product should not affect the expiry period that applies to the original product. (58) 実質的に変更された製品は本質的に新しい製品であるため、例えば再製造の結果として、製品が実質的に変更され、その後市場で入手可能になった後、または使用されるようになった後に、新たな有効期間が開始されるべきである。製品の実質的な変更に相当しない更新やアップグレードは、元の製品に適用される有効期限に影響を及ぼすべきではない。
(59) The possibility provided for in this Directive whereby an economic operator that proves that the state of scientific and technical knowledge at the time when a product was placed on the market or put into service or during the period in which the product was within the manufacturer’s control was not such as to enable the existence of a defect to be discovered can avoid liability, the so-called ‘development risk defence’, could be deemed in certain Member States to limit unduly the protection of natural persons. It should therefore be possible for a Member State to derogate from that possibility by introducing new measures, or amending existing measures, to extend liability in such situations to specific types of products if it is deemed necessary, proportionate and justified by public interest objectives, such as those set out in the Treaty on the Functioning of the European Union, namely public policy, public security and public health. To ensure transparency and legal certainty for economic operators operating across the Union, the use of such a derogation from the development risk defence should be notified to the Commission, which should then inform the other Member States. In order to facilitate a coherent approach across Member States and consistency with the objectives of this Directive, the Commission should be able to issue non-binding opinions on the proposed measures or amendments. In order to allow time for the issuing of an opinion, a Member State proposing such measures or amendments should hold the proposed measures or amendments in abeyance for six months following their notification to the Commission, unless the Commission issues an opinion earlier. Such an opinion should be issued after close cooperation between the Member State concerned and the Commission, taking into account the views of other Member States, if any. In the interest of legal certainty and to facilitate continuity of arrangements established under Directive 85/374/EEC, it should also be possible for a Member State to maintain existing derogations from the development risk defence in its legal system. (59) 本指令に規定されている、製品が上市または使用開始された時点、または製品が製造事業者の 管理下にあった期間における科学的および技術的知識の状態が、欠陥の存在を発見できるような ものではなかったことを証明する経済的事業者が責任を回避できる可能性、いわゆる「開発リスク の防御」は、特定の加盟国では自然人の保護を不当に制限するものと見なされる可能性がある。したがって、加盟国は、欧州連合の機能に関する条約に規定されているような公益目的、すなわち公共政策、公共の安全および公衆衛生が必要であり、比例的であり、かつ正当化されるとみなされる場合には、そのような状況における責任を特定の種類の製品に拡大するための新たな措置を導入するか、既存の措置を修正することによって、その可能性を緩和することができるようにすべきである。EU域内で活動する経済的事業者の透明性と法的確実性を確保するため、このような開発リスク条項の適用除外の利用は欧州委員会に通知されるべきであり、欧州委員会はそれを他の加盟国に通知すべきである。加盟国間の首尾一貫したアプローチを促進し、本指令の目的との整合性を図るため、欧州委員会は提案された措置または修正について拘束力のない意見を発表できるようにすべきである。意見書を発行するための時間を確保するため、かかる措置または改正を提案する加盟国は、欧州委員会が早期に意見書を発行しない限り、欧州委員会への通知後6ヶ月間は、提案された措置または改正を保留すべきである。このような意見は、関係加盟国と欧州委員会が緊密に協力し、他の加盟国の見解がある場合にはそれを考慮した上で出されるべきである。法的確実性の観点から、また指令85/374/EECに基づき確立された取決めの継続性を促進するため、加盟国は自国の法制度における開発リスク防御の既存の適用除外を維持することも可能でなければならない。
(60) In order to facilitate the harmonised interpretation of this Directive by national courts, Member States should be required to publish final court judgments on product liability under this Directive, meaning those judgments that cannot be, or can no longer be, appealed. In order to limit the administrative burden, Member States should be required only to publish judgments of national courts of appeal or of the highest instance. (60) 各国裁判所による本指令の調和された解釈を促進するため、加盟国は本指令に基づく製造物責任に関 する最終判決(上訴できないか、上訴できなくなった判決を意味する)を公表することが義務付け られるべきである。管理上の負担を制限するため、加盟国は国内控訴裁判所または最高裁判所の判決のみを公表するよう義務付けられ るべきである。
(61) To increase the understanding of how this Directive is applied at national level, for the benefit of, inter alia, the public, legal practitioners, academics and Member States, the Commission should set up and maintain an easily accessible and publicly available database containing the relevant judgments as well as references to relevant judgments delivered by the Court of Justice of the European Union. (61) この指令が国内レベルでどのように適用されているかについての理解を深めるため、特に一般市民、法律家、学者、加盟国のために、欧州委員会は、関連する判決および欧州連合司法裁判所が下した関連判決への参照を含む、容易にアクセス可能で一般に利用可能なデータベースを設置し、維持すべきである。
(62) The Commission should carry out an evaluation of this Directive. Pursuant to paragraph 22 of the Interinstitutional Agreement of 13 April 2016 on Better Law-Making (17), that evaluation should be based on the five criteria of efficiency, effectiveness, relevance, coherence and value added and should provide the basis for impact assessments of possible further measures. In its evaluation report, the Commission should provide the methodology for the calculations used in its evaluation. It is important that the Commission gather all relevant information in a way that avoids overregulation and an administrative burden for Member States and economic operators, using information from all relevant and reliable sources, including Union institutions, bodies, offices and agencies, national competent authorities and internationally recognised bodies and organisations. (62) 欧州委員会は本指令の評価を実施すべきである。より良い法作りに関する2016年4月13日の機関間合意(17)の第22項に従い、その評価は効率性、有効性、関連性、首尾一貫性、付加価値の5つの規準に基づくべきであり、可能な追加措置の影響アセスメントの基礎を提供すべきである。評価報告書において、欧州委員会は評価に使用した計算の方法論を提供すべきである。欧州委員会は、加盟国および経済的事業者にとって過度な規制や事務的負担とならないような方法で、関連するすべての情報を収集することが重要である。その際、欧州連合の機構、機関、事務所、機関、各国の所轄官庁、国際的に認められた機関や組織など、あらゆる関連する信頼できる情報源からの情報を利用する。
(63) For reasons of legal certainty, this Directive does not apply to products placed on the market or put into service before 9 December 2026. It is therefore necessary to provide for transitional arrangements in order to ensure continued liability under Directive 85/374/EEC for damage caused by defective products which have been placed on the market or put into service before that date. (63) 法的確実性の理由から、本指令は 2026 年 12 月 9 日より前に上市または使用開始された製品には適用されない。したがって、その日より前に上市または使用開始された欠陥製品に起因する損害について、指令 85/374/EEC に基づく責任の継続を確保するために、経過措置を定めることが必要である。
(64) Since the objectives of this Directive, namely to ensure the functioning of the internal market, undistorted competition and a high level of protection for natural persons, cannot be sufficiently achieved by the Member States due to the Union-wide nature of the market in goods but can rather, by reason of the harmonising effect of common rules on liability, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union. In accordance with the principle of proportionality, as set out in that Article, this Directive does not go beyond what is necessary in order to achieve those objectives, (64) 本指令の目的、すなわち、域内市場の機能、歪みのない競争、および自然人に対する高水準の保護を確保することは、商品市場の同盟国全体の性質により加盟国によって十分に達成されるものではなく、責任に関する共通規則の調和効果により、むしろ同盟国レベルでよりよく達成されるため、同盟国は、欧州連合条約第5条に定める補完性の原則に従い、措置を採用することができる。同条に定める比例原則に従い、本指令はこれらの目的を達成するために必要な範囲を超えるものではない、
HAVE ADOPTED THIS DIRECTIVE: は本指令を採択した:
CHAPTER I GENERAL PROVISIONS 第1章 一般規定
Article 1 Subject matter and objective 第1条 主題および目的
This Directive lays down common rules on the liability of economic operators for damage suffered by natural persons and caused by defective products, and on compensation for such damage. 本指令は、自然人が被った、欠陥製品に起因する損害に対する経済的事業者の責任、および当該損害の補償に関する共通の規則を定めるものである。
The objective of this Directive is to contribute to the proper functioning of the internal market while ensuring a high level of protection of consumers and other natural persons. 本指令の目的は、消費者およびその他の自然人の高水準の保護を確保しつつ、域内市場の適切な機能に貢献することである。
Article 2 Scope 第2条 適用範囲
1. This Directive shall apply to products placed on the market or put into service after 9 December 2026. 1. 本指令は、2026 年 12 月 9 日以降に上市または使用開始される製品に適用されるものとする。
2. This Directive does not apply to free and open-source software that is developed or supplied outside the course of a commercial activity. 2. 本指令は、商業活動の範囲外で開発または提供されるフリーソフトウェアおよびオープンソースソフトウェアには適用されない。
3. This Directive does not apply to damage arising from nuclear accidents in so far as liability for such damage is covered by international conventions ratified by Member States. 3. 本指令は、加盟国が批准した国際条約によって当該損害に対する責任がカバーされる限りにおいて、原子力事故から生じる損害には適用されない。
4. This Directive does not affect: 4. 本指令は以下の事項に影響を及ぼさない:
(a) the applicability of Union law on the protection of personal data, in particular Regulation (EU) 2016/679 and Directives 2002/58/EC and (EU) 2016/680; (a) 個人データの保護に関する連邦法、特に規則 (EU) 2016/679 および指令 2002/58/EC および (EU) 2016/680 の適用法;
(b) any right which an injured person has under national rules concerning contractual liability or concerning non-contractual liability on grounds other than the defectiveness of a product as provided for in this Directive, including national rules implementing Union law; (b) 本指令に規定される製品の欠陥以外の理由による契約責任に関する国内規則又は非契約責任に関する国内規則に基づき、損害を被った者が有するあらゆる権利(組合法を実施する国内規則を含む);
(c) any right which an injured person has under any special liability system that existed in national law on 30 July 1985. (c) 1985 年 7 月 30 日に国内法に存在した特別な責任制度に基づき、傷害を受けた者が有する権利。
Article 3 Level of harmonisation 第3条 調和のレベル
Member States shall not maintain or introduce, in their national law, provisions diverging from those laid down in this Directive, including more stringent or less stringent provisions, to achieve a different level of protection for consumers and other natural persons, unless otherwise provided for in this Directive. 加盟国は、本指令に別段の定めがある場合を除き、消費者及びその他の自然人に対する異なる保護レベルを達成するために、より厳格な規定またはより厳格でない規定を含め、本指令に定める規定と異なる規定を国内法に維持または導入してはならない。
Article 4 Definitions 第4条 定義
For the purposes of this Directive, the following definitions apply: 本指令の目的には、以下の定義が適用される:
(1) ‘product’ means all movables, even if integrated into, or inter-connected with, another movable or an immovable; it includes electricity, digital manufacturing files, raw materials and software; (1) 「製品」とは、他の動産または不動物と一体化されている、または相互に接続されている場合であっても、すべての動産を意味し、電気、デジタル製造ファイル、原材料およびソフトウェアを含む;
(2) ‘digital manufacturing file’ means a digital version of, or digital template for, a movable which contains the functional information necessary to produce a tangible item by enabling the automated control of machinery or tools; (2) 「デジタル製造ファイル」とは、機械または工具の自動制御を可能にすることにより有形物品を製造するために必要な機能情報を含む、動産のデジタルバージョンまたはデジタルテンプレートをいう;
(3) ‘related service’ means a digital service that is integrated into, or inter-connected with, a product in such a way that its absence would prevent the product from performing one or more of its functions; (3) 「関連サービス」とは、デジタルサービスのうち、そのサービスがなければ製品の1つまたは複数の機能の実行が妨げられるような形で製品に組み込まれ、または製品に相互に接続されているものをいう;
(4) ‘component’ means any item, whether tangible or intangible, raw material or related service, that is integrated into, or inter-connected with, a product; (4) 「構成部品」とは、有形、無形、原材料、関連サービスの如何を問わず、製品に組み込まれ、 または製品と相互に接続されるあらゆる物品をいう;
(5) ‘manufacturer’s control’ means that: (5) 「製造事業者の管理」とは、以下を意味する:
(a) the manufacturer of a product performs or, with regard to actions of a third party, authorises or consents to: (a)製品の製造事業者が、次のことを行うか、またはサードパーティーの行為に関して、許可または同意する:
(i) the integration, inter-connection or supply of a component, including software updates or upgrades; or (i) コンポーネントの統合、相互接続又は供給(ソフトウェアの更新又はアップグレードを含む。
(ii) the modification of the product, including substantial modifications; (ii) 実質的な変更を含む、製品の変更;
(b) the manufacturer of a product has the ability to supply software updates or upgrades, themselves or via a third party; (b)製品の製造事業者は、自社で、またはサードパーティを通じて、ソフトウェアの更新またはアップグレードを供給する能力を有する;
(6) ‘data’ means data as defined in Article 2, point (1), of Regulation (EU) 2022/868 of the European Parliament and of the Council (18); (6) 「データ」とは、欧州議会及び理事会規則(EU) 2022/868(18)の第2条(1)に定義されるデータをいう;
(7) ‘making available on the market’ means any supply of a product for distribution, consumption or use on the Union market in the course of a commercial activity, whether in return for payment or free of charge; (7) 「市場で入手可能」とは、商業活動の過程において、有償であるか無償であるかを問わず、EU市場での流通、消費又は使用のために製品を供給することをいう;
(8) ‘placing on the market’ means the first making available of a product on the Union market; (8) '上市'とは、EU市場で製品を最初に入手可能にすることをいう;
(9) ‘putting into service’ means the first use of a product in the Union in the course of a commercial activity, whether in return for payment or free of charge, in circumstances in which that product has not been placed on the market prior to its first use; (9) 「使用開始」とは、商業活動の過程において、有償であるか無償であるかを問わず、その製品が最初に使用される前に上市されていない状況において、その製品が連合域内で最初に使用されることをいう;
(10) ‘manufacturer’ means any natural or legal person who: (10) 「製造事業者」とは、自然人または法人をいう:
(a) develops, manufactures or produces a product; (a) 製品を開発、製造または生産する;
(b) has a product designed or manufactured, or who, by putting their name, trademark or other distinguishing features on that product, presents themselves as its manufacturer; or (b) 製品を設計もしくは製造させる者、または当該製品に自己の名称、商標もしくはその他の識別機能を付すことにより、当該製品の製造事業者であることを示す者。
(c) develops, manufactures or produces a product for their own use; (c) 自己使用のために製品を開発、製造または生産する;
(11) ‘authorised representative’ means any natural or legal person established within the Union who has received a written mandate from a manufacturer to act on that manufacturer’s behalf in relation to specified tasks; (11) 「公認代表者」とは,特定業務に関して製造事業者に代わって行動することを製造事業者から書面で委任された,域内に設立された自然人又は法人をいう;
(12) ‘importer’ means any natural or legal person who places a product from a third country on the Union market; (12) 「輸入事業者」とは,第三国からの製品を上市する自然人又は法人をいう;
(13) ‘fulfilment service provider’ means any natural or legal person offering, in the course of a commercial activity, at least two of the following services: warehousing, packaging, addressing and dispatching of a product, without having ownership of that product, excluding postal services as defined in Article 2, point (1), of Directive 97/67/EC of the European Parliament and of the Council (19), parcel delivery services as defined in Article 2, point (2), of Regulation (EU) 2018/644 of the European Parliament and of the Council (20), and any other postal services or freight transport services; (13) 「フルフィルメントサービスプロバイダ」とは,商業活動の過程において,次のサービスのうち少なくとも 2 つを提供する自然人又は法人をいう: 欧州議会及び理事会指令 97/67/EC (19)の第2条第(1)項に定義される郵便サービス、欧州議会及び理事会規則 (EU) 2018/644 (20)の第2条第(2)項に定義される小包配達サービス、及びその他の郵便サービス又は貨物輸送サービスを除く;
(14) ‘distributor’ means any natural or legal person in the supply chain who makes a product available on the market, other than the manufacturer or importer of that product; (14) 「頒布事業者」とは、製品の製造事業者又は輸入事業者以外の、製品を市場で入手可能にするサプライチェーンにおける自然人又は法人をいう;
(15) ‘economic operator’ means a manufacturer of a product or component, a provider of a related service, an authorised representative, an importer, a fulfilment service provider or a distributor; (15) 「経済的事業者」とは、製品または部品の製造事業者、関連サービスのプロバイダ、公認代表者、輸入事業者、フルフィルメント・サービス・プロバイダまたはディストリビュータをいう;
(16) ‘online platform’ means online platform as defined in Article 3, point (i), of Regulation (EU) 2022/2065; (16) 「オンラインプラットフォーム」とは、Regulation (EU) 2022/2065の第3条(i)に定義されるオンラインプラットフォームをいう;
(17) ‘trade secret’ means trade secret as defined in Article 2, point (1), of Directive (EU) 2016/943; (17) 「営業秘密」とは、指令(EU)2016/943の第2条(1)に定義される営業秘密をいう;
(18) ‘substantial modification’ means a modification of a product after it has been placed on the market or put into service: (18) 「実質的変更」とは、上市又は使用開始後の製品の変更をいう:
(a) that is considered substantial under relevant Union or national rules on product safety; or (a)製品安全に関する関連するEU又は国内規則の下で実質的とみなされるもの、又は
(b) where relevant Union or national rules on product safety lay down no threshold on what is to be considered a substantial modification, that: (b)製品安全に関する関連するEU規則又は国内規則が、何を実質的な変更とみなすかについての閾値を定めていない場合、次のものをいう:
(i) changes the product’s original performance, purpose or type, without that change having been foreseen in the manufacturer’s initial risk assessment; and (i) その変更が製造事業者の最初のリスクアセスメントで予見されることなく、製品の当初の性能、目的、または型式を変更すること。
(ii) changes the nature of the hazard, creates a new hazard or increases the level of risk. (ii) ハザードの性質を変更し、新たなハザードを生じさせ、またはリスクのレベルを増加させる。
CHAPTER II SPECIFIC PROVISIONS ON LIABILITY FOR DEFECTIVE PRODUCTS 第2章 欠陥製品に対する責任に関する具体的規定
Article 5 Right to compensation 第5条 補償を受ける権利
1. Member States shall ensure that any natural person who suffers damage caused by a defective product (the ‘injured person’) is entitled to compensation in accordance with this Directive. 1. 加盟国は、欠陥製品によって損害を被った自然人(「損害を被った者」)が本指令に従って補償を受ける権利を有することを保証するものとする。
2. Member States shall ensure that claims for compensation pursuant to paragraph 1 may also be brought by: 2. 加盟国は、第1項に基づく補償請求が以下によっても提起されることを確保するものとする:
(a) a person that succeeded, or was subrogated, to the right of the injured person by virtue of Union or national law or contract; or (a) 組合法もしくは国内法または契約により、損害を受けた者の権利を承継した者、または代位された者。
(b) a person acting on behalf of one or more injured persons by virtue of Union or national law. (b) 組合法又は国内法によって、1人又は複数の被害者を代理する者。
Article 6 Damage 第6条 損害
1. The right to compensation pursuant to Article 5 shall apply in respect of only the following types of damage: 1. 第5条に基づく補償を受ける権利は、次の種類の損害についてのみ適用される:
(a) death or personal injury, including medically recognised damage to psychological health; (a) 死亡又は人身傷害(精神的健康に対する医学的に認められた損害を含む;
(b) damage to, or destruction of, any property, except: (b) 財産に対する損害、または財産の破壊:
(i) the defective product itself; (i) 欠陥製品そのもの;
(ii) a product damaged by a defective component that is integrated into, or inter-connected with, that product by the manufacturer of that product or within that manufacturer’s control; (ii) その製品の製造事業者またはその製造事業者の管理下にある、その製品に組み込まれた、またはその製品と相互に接続された欠陥部品によって損害を受けた製品;
(iii) property used exclusively for professional purposes; (iii) 専ら業務目的に使用される財産;
(c) destruction or corruption of data that are not used for professional purposes. (c) 業務目的に使用されないデータの破壊または破損。
2. The right to compensation pursuant to Article 5 shall cover all material losses resulting from the damage referred to in paragraph 1 of this Article. The right to compensation shall also cover non-material losses resulting from the damage referred to in paragraph 1 of this Article, in so far as they can be compensated for under national law. 2. 第5条に基づく補償を受ける権利は、本条第1項にいう損害に起因するすべての物的損失を対象とする。補償を受ける権利は、国内法に基づき補償され得る限りにおいて、本条第1項にいう損害に起因する非物質的損失も対象とする。
3. This Article does not affect national law relating to compensation for damage under other liability regimes. 3. 本条は、他の責任制度に基づく損害賠償に関する国内法に影響を及ぼさない。
Article 7 Defectiveness 第7条 瑕疵担保責任
1. A product shall be considered defective where it does not provide the safety that a person is entitled to expect or that is required under Union or national law. 1. 製品が、人が期待する権利を有する安全性を提供しない場合、または連合法もしくは国内法の下で要求される安全性を提供しない場合、その製品は欠陥があるとみなされるものとする。
2. In assessing the defectiveness of a product, all circumstances shall be taken into account, including: 2. 製品の欠陥性をアセスメントする際には、以下を含むすべての状況を考慮しなければならない:
(a) the presentation and the characteristics of the product, including its labelling, design, technical features, composition and packaging and the instructions for its assembly, installation, use and maintenance; (a)製品の表示、デザイン、技術的特徴、構成、包装、組み立て、設置、使用、保守に関する説明書など、製品の表示および特性;
(b) reasonably foreseeable use of the product; (b) 合理的に予測可能な製品の使用;
(c) the effect on the product of any ability to continue to learn or acquire new features after it is placed on the market or put into service; (c) 製品が上市または使用開始された後、新しい機能を継続的に学習または習得する能力が製品に及ぼす影響;
(d) the reasonably foreseeable effect on the product of other products that can be expected to be used together with the product, including by means of inter-connection; (d) 相互接続を含め、製品と共に使用されることが予想される他の製品が製品に及ぼす合理的に予見可能な影響;
(e) the moment in time when the product was placed on the market or put into service or, where the manufacturer retains control over the product after that moment, the moment in time when the product left the control of the manufacturer; (e) 製品が上市又は使用開始された時点、又はその時点以降も製造事業者が製品の管理を保持している場合は、製品が製造事業者の管理を離れた時点;
(f) relevant product safety requirements, including safety-relevant cybersecurity requirements; (f) 安全関連サイバーセキュリティ要件を含む、関連する製品安全要件;
(g) any recall of the product or any other relevant intervention relating to product safety by a competent authority or by an economic operator as referred to in Article 8; (g) 所轄認可当局又は第8条にいう経済的事業者による製品のリコール又は製品の安全性に関連するその他の介入;
(h) the specific needs of the group of users for whose use the product is intended; (h) 製品を使用することを意図している使用者グループの特定のニーズ;
(i) in the case of a product whose very purpose is to prevent damage, any failure of the product to fulfil that purpose. (i) 損害を防止することを目的とする製品の場合、製品がその目的を果たせないこと。
3. A product shall not be considered to be defective for the sole reason that a better product, including updates or upgrades for a product, has already been or is subsequently placed on the market or put into service. 3. 製品のアップデートまたはアップグレードを含む、より優れた製品が既に上市されている、またはその後上市もしくは使用開始されたという理由だけでは、製品に欠陥があるとはみなされない。
Article 8 Economic operators liable for defective products 第8条 欠陥製品に対する経済的事業者の責任
1. Member States shall ensure that the following economic operators are liable for damage in accordance with this Directive: 1. 加盟国は、以下の経済的事業者が本指令に従って損害賠償責任を負うことを確保するものとする:
(a) the manufacturer of a defective product; (a) 欠陥製品の製造事業者;
(b) the manufacturer of a defective component, where that component was integrated into, or inter-connected with, a product within the manufacturer’s control and caused that product to be defective, and without prejudice to the liability of the manufacturer referred to in point (a); and (b) 欠陥部品の製造者。当該部品が製造者の管理下にある製品に組み込まれ、または当該製品と相互に接続され、当該製品に欠陥を生じさせた場合、(a)の製造事業者の責任を損なうことなく。
(c) in the case of a manufacturer of a product or a component established outside the Union, and without prejudice to the liability of that manufacturer: (c) EU域外に設立された製品または部品の製造事業者の場合、当該製造事業者の責任を損なうことなく、次のいずれかに該当すること:
(i) the importer of the defective product or component; (i) 欠陥のある製品または部品の輸入事業者;
(ii) the authorised representative of the manufacturer; and (ii) 製造事業者の公認代表者。
(iii) where there is no importer established within the Union or authorised representative, the fulfilment service provider. (iii) 組合内に設立された輸入事業者又は公認代表者がいない場合は、履行サービスプロバイダ。
The liability of the manufacturer referred to in the first subparagraph, point (a), shall also cover any damage caused by a defective component where it was integrated into, or inter-connected with, a product within that manufacturer’s control. 第1号の(a)にいう製造事業者の責任は、欠陥のある部品がその製造事業者の管理下にある製品に組み込まれ、または相互に接続されていた場合に、欠陥のある部品によって生じた損害も対象とする。
2. Any natural or legal person that substantially modifies a product outside the manufacturer’s control and thereafter makes it available on the market or puts it into service shall be considered to be a manufacturer of that product for the purposes of paragraph 1. 2. 製造事業者の管理外の製品に実質的な変更を加え、その後、それを市場で入手可能にし、または使用可能にした自然人または法人は、第1項の適用上、その製品の製造者とみなされる。
3. Member States shall ensure that, where an economic operator from among those referred to in paragraph 1 and established in the Union cannot be identified, each distributor of the defective product is liable where: 3. 加盟国は、第1項にいう経済的事業者のうち組合内に設立された者を特定できない場合、欠陥製品の各頒布事業者が責任を負うことを確保するものとする:
(a) the injured person requests that distributor to identify an economic operator from among those referred to in paragraph 1 and established in the Union, or its own distributor that supplied it with that product; and (a) 損害を被った者が、当該頒布事業者に対し、第1項に規定され、かつ、域内に設立された経済的事業者、または当該製品を供給した自らの頒布事業者を特定するよう要請した場合。
(b) that distributor fails to identify an economic operator or its own distributor, as referred to in point (a), within one month of receiving the request referred to in point (a). (b) 当該頒布事業者が、(a)の要請を受けてから1カ月以内に、(a)の経済的事業者または自社の販売代理店を特定しなかった場合。
4. Paragraph 3 of this Article shall also apply to any provider of an online platform that allows consumers to conclude distance contracts with traders and that is not an economic operator, provided that the conditions set out in Article 6(3) of Regulation (EU) 2022/2065 are fulfilled. 4. 本条第3項は、規則(EU)2022/2065第6条第3項に定める条件を満たすことを条件に、消費者が販売者と遠隔契約を締結できるオンラインプラットフォームのプロバイダであって、経済的事業者でないものにも適用されるものとする。
5. Where victims fail to obtain compensation because none of the persons referred to in paragraphs 1 to 4 can be held liable under this Directive, or because the liable persons are insolvent or have ceased to exist, Member States may use existing national sectoral compensation schemes or establish new ones under national law, preferably not funded by public revenue, to appropriately compensate injured persons who have suffered damage caused by defective products. 5. 第1項から第4項で言及される者のいずれもが本指令に基づき責任を負うことができないため、または責任を負う者が支払不能であるもしくは消滅しているため、被害者が補償を得ることができない場合、加盟国は、欠陥製品によって損害を被った負傷者を適切に補償するために、既存の国内部門別補償制度を利用するか、または国内法に基づき、できれば公的財源を用いない新たな補償制度を設立することができる。
Article 9 Disclosure of evidence 第9条 証拠の開示
1. Member States shall ensure that, at the request of a person who is claiming compensation in proceedings before a national court for damage caused by a defective product (the ‘claimant’) and who has presented facts and evidence sufficient to support the plausibility of the claim for compensation, the defendant is required to disclose relevant evidence that is at the defendant’s disposal, subject to the conditions set out in this Article. 1. 加盟国は、欠陥製品に起因する損害について国内裁判所における手続において補償を請求する者(「請求者」)であって、補償の請求のもっともらしさを裏付けるのに十分な事実および証拠を提示した者の要請があった場合には、被告が、本条に定める条件に従い、被告の手元にある関連証拠を開示することを要求されることを確保する。
2. Member States shall ensure that, at the request of a defendant that has presented facts and evidence sufficient to demonstrate the defendant’s need for evidence for the purposes of countering a claim for compensation, the claimant is required, in accordance with national law, to disclose relevant evidence that is at the claimant’s disposal. 2. 加盟国は、被告が賠償請求に対抗する目的で証拠を必要とすることを示すのに十分な事実および証拠を提示した被告の要請があった場合には、国内法に従って、請求人が自由に入手できる関連証拠を開示するよう要求されることを確保するものとする。
3. Member States shall ensure that the disclosure of evidence pursuant to paragraphs 1 and 2, and in accordance with national law, is limited to what is necessary and proportionate. 3. 加盟国は、第1項および第2項に従い、国内法に従い、証拠の開示が必要かつ比例的なものに限定されることを確保するものとする。
4. Member States shall ensure that, when determining whether the disclosure of evidence requested by a party is necessary and proportionate, national courts consider the legitimate interests of all parties concerned, including third parties, in particular in relation to the protection of confidential information and trade secrets. 4. 加盟国は、当事者によって要求された証拠の開示が必要かつ相当なものであるか否かを判断する際、国内裁判所が、特に秘密情報および企業秘密の保護との関係において、サードパーティを含むすべての関係当事者の正当な利益を考慮することを確保するものとする。
5. Member States shall ensure that, where a defendant is required to disclose information that is a trade secret or an alleged trade secret, national courts are empowered, upon a duly reasoned request of a party or on their own initiative, to take the specific measures necessary to preserve the confidentiality of that information when it is used or referred to in the course of or after the legal proceedings. 5. 加盟国は、被告が営業秘密または営業秘密とされる情報の開示を要求される場合、各国の裁判所が、当事者の正当な理由のある要請に基づいて、または自らのイニシアティブにより、当該情報が訴訟手続の過程またはその後に使用されまたは言及される場合に、当該情報の秘密を保持するために必要な具体的措置をとる権限を有することを確保するものとする。
6. Member States shall ensure that, where a party is required to disclose evidence, national courts are empowered, upon a duly reasoned request of the opposing party or where the national court concerned deems it appropriate and in accordance with national law, to require such evidence to be presented in an easily accessible and easily understandable manner, if such presentation is deemed proportionate by the national court in terms of costs and effort for the required party. 6. 加盟国は、当事者が証拠を開示することを要求される場合、国内裁判所が、相手方当事者の正当な理由のある請求により、または当該国内裁判所が適切であり国内法に従っているとみなす場合には、当該証拠を、容易にアクセス可能で理解しやすい方法で提示することを要求する権限を有することを確保するものとする。
7. This Article does not affect national rules relating to the pre-trial disclosure of evidence, where such rules exist. 7. 本条は、公判前の証拠開示に関する国内規則が存在する場合には、当該国内規則に影響を与えない。
Article 10 Burden of proof 第10条 立証責任
1. Member States shall ensure that a claimant is required to prove the defectiveness of the product, the damage suffered and the causal link between that defectiveness and that damage. 1. 加盟国は、請求者が製品の欠陥、被った損害、および欠陥と損害との間の因果関係を証明することを要求されることを確保するものとする。
2. The defectiveness of the product shall be presumed where any of the following conditions are met: 2. 製品の欠陥は、以下の条件のいずれかが満たされた場合に推定されるものとする:
(a) the defendant fails to disclose relevant evidence pursuant to Article 9(1); (a) 被告が第9条第1項に従って関連証拠を開示しなかった場合;
(b) the claimant demonstrates that the product does not comply with mandatory product safety requirements laid down in Union or national law that are intended to protect against the risk of the damage suffered by the injured person; or (b) 損害を被った者が被った損害のリスクから保護することを意図した、連邦法または国内法に規定された製品安全に関する義務的要件に、製品が準拠していないことを、損害賠償請求者が証明する場合。
(c) the claimant demonstrates that the damage was caused by an obvious malfunction of the product during reasonably foreseeable use or under ordinary circumstances. (c) 損害が、合理的に予見可能な使用中または通常の状況下における製品の明白な誤作動によって生じたことを、請求者が証明する場合。
3. The causal link between the defectiveness of the product and the damage shall be presumed where it has been established that the product is defective and that the damage caused is of a kind typically consistent with the defect in question. 3. 製品の欠陥と損害との因果関係は、製品に欠陥があること、および生じた損害が当該欠陥に典型的に合致する種類のものであることが立証された場合に推定されるものとする。
4. A national court shall presume the defectiveness of the product or the causal link between its defectiveness and the damage, or both, where, despite the disclosure of evidence in accordance with Article 9 and taking into account all the relevant circumstances of the case: 4. 国内裁判所は、第9条に従った証拠の開示にもかかわらず、かつ、事件のすべての関連する状況を考慮に入れた場合、製品の欠陥性又はその欠陥性と損害との間の因果関係、又はその両方を推定する:
(a) the claimant faces excessive difficulties, in particular due to technical or scientific complexity, in proving the defectiveness of the product or the causal link between its defectiveness and the damage, or both; and (a) 請求者が、特に技術的または科学的な複雑さのために、製品の欠陥またはその欠陥と損害との因果関係、あるいはその両方を証明することが過度に困難である場合。
(b) the claimant demonstrates that it is likely that the product is defective or that there is a causal link between the defectiveness of the product and the damage, or both. (b) 請求者が、製品に欠陥がある可能性が高いこと、または製品の欠陥と損害との間に因果関係があること、あるいはその両方を証明すること。
5. The defendant shall have the right to rebut any of the presumptions referred to in paragraphs 2, 3 and 4. 5. 被告は、第2項、第3項および第4項で言及された推定について反論する権利を有する。
Article 11 Exemption from liability 第11条 責任の免除
1. An economic operator as referred to in Article 8 shall not be liable for damage caused by a defective product if that economic operator proves any of the following: 1. 第8条にいう経済的事業者は、欠陥製品によって生じた損害について、その経済的事業者が次のいずれかを証明する場合には、責任を負わない:
(a) in the case of a manufacturer or importer, that it did not place the product on the market or put it into service; (a) 製造事業者または輸入事業者の場合、製品を上市または使用しなかったこと;
(b) in the case of a distributor, that it did not make the product available on the market; (b) 頒布事業者の場合、その製品を市場で入手可能にしなかったこと;
(c) that it is probable that the defectiveness that caused the damage did not exist at the time the product was placed on the market, put into service or, in the case of a distributor, made available on the market, or that that defectiveness came into being after that moment; (c) 製品が上市され、使用され、頒布事業者の場合は市場で入手可能となった時点では、損害の原因となった欠陥が存在しなかったか、またはその欠陥がその時点以降に存在するようになった可能性が高いこと;
(d) that the defectiveness that caused the damage is due to compliance of the product with legal requirements; (d) 損害の原因となった欠陥が、製品の法的要件への適合によるものであること;
(e) that the objective state of scientific and technical knowledge at the time the product was placed on the market or put into service or during the period in which the product was within the manufacturer’s control was not such that the defectiveness could be discovered; (e) 製品が上市もしくは使用開始された時点、または製品が製造事業者の管理下にあった期間における科学的・技術的知見の客観的状況が、欠陥が発見できるようなものではなかったこと;
(f) in the case of a manufacturer of a defective component, as referred to in Article 8(1), first subparagraph, point (b), that the defectiveness of the product in which that component has been integrated is attributable to the design of that product or to the instructions given by the manufacturer of that product to the manufacturer of that component; (f) 第8条第1項第1号(b)にいう欠陥部品の製造事業者の場合、当該部品が組み込まれた製品の欠陥が、当該製品の設計又は当該製品の製造事業者が当該部品の製造事業者に与えた指示に起因すること;
(g) in the case of a person that modifies a product as referred to in Article 8(2), that the defectiveness that caused the damage is related to a part of the product not affected by the modification. (g) 第8条(2)に規定される製品の改造を行った者の場合、損害の原因となった欠陥が、改造の影響を受けない製品の一部に関連していること。
2. By way of derogation from paragraph 1, point (c), an economic operator shall not be exempted from liability where the defectiveness of a product is due to any of the following, provided that it is within the manufacturer’s control: 2. 第1項(c)の適用除外として、経済的事業者は、製造事業者の管理範囲内であることを条件として、製品の欠陥が以下のいずれかに起因する場合、責任を免除されない:
(a) a related service; (a) 関連サービス;
(b) software, including software updates or upgrades; (b) ソフトウェア(ソフトウェアのアップデートまたはアップグレードを含む;
(c) a lack of software updates or upgrades necessary to maintain safety; (c) 安全性を維持するために必要なソフトウェアの更新またはアップグレードの欠如;
(d) a substantial modification of the product. (d) 製品の大幅な改造。
CHAPTER III GENERAL PROVISIONS ON LIABILITY 第3章 責任に関する一般規定
Article 12 Liability of multiple economic operators 第12条 複数の経済的事業者の責任
1. Without prejudice to national law concerning rights of contribution or recourse, Member States shall ensure that where two or more economic operators are liable for the same damage pursuant to this Directive, they can be held liable jointly and severally. 1. 寄与権または求償権に関する国内法を害することなく、加盟国は、本指令に従って 2 者以上の経済的事業者が同一の損害について責任を負う場合、それらの者が連帯して責任を負うことができるようにするものとする。
2. A manufacturer that integrates software as a component in a product shall not have a right of recourse against the manufacturer of a defective software component that causes damage where: 2. 製品にコンポーネントとしてソフトウェアを統合する製造事業者は、以下の場合、損害の原因となる欠陥のあるソフトウェアコンポーネントの製造事業者に対する求償権を有しないものとする:
(a) the manufacturer of the defective software component was, at the time of the placing on the market of that software component, a microenterprise or a small enterprise, meaning an enterprise that, when assessed together with all of its partner enterprises as defined in Article 3(2) of the Annex to Commission Recommendation 2003/361/EC (21) and linked enterprises as defined in Article 3(3) of that Annex, if any, is a microenterprise as defined in Article 2(3) of that Annex or a small enterprise as defined in Article 2(2) of that Annex; and (a) 欠陥のあるソフトウェア・コンポーネントの製造者が、当該ソフトウェア・コンポーネントを上市した時点で、零細企業または小規模企業(欧州委員会勧告2003/361/EC (21)の附属書第3条(2)に定義されるパートナー企業、および同附属書第3条(3)に定義されるリンク企業がある場合はそのリンク企業のすべてと一緒にアセスメントした場合、同附属書第2条(3)に定義される零細企業または同附属書第2条(2)に定義される小規模企業である企業を意味する)であった場合。
(b) the manufacturer that integrated the defective software component in the product contractually agreed with the manufacturer of the defective software component to waive that right. (b) 製品に欠陥のあるソフトウェア部品を組み込んだ製造事業者が、欠陥のあるソフトウェア部品の製造事業者と、当該権利を放棄することに契約上合意している。
Article 13 Reduction of liability 第13条 責任の軽減
1. Without prejudice to national law concerning rights of contribution or recourse, Member States shall ensure that the liability of an economic operator is not reduced or disallowed where the damage is caused both by the defectiveness of a product and by an act or omission of a third party. 1. 寄与権または求償権に関する国内法を害することなく、加盟国は、損害が製品の欠陥およびサードパーティーの作為または不作為の両方によって生じた場合、経済的事業者の責任が減免されないことを確保するものとする。
2. The liability of an economic operator may be reduced or disallowed where the damage is caused both by the defectiveness of the product and by the fault of the injured person or any person for whom the injured person is responsible. 2. 経済的事業者の責任は、損害が、製品の欠陥と、損害を受けた者又は損害を受けた者が責任を負う者の過失との両方によって生じた場合には、減額又は免除することができる。
Article 14 Right of recourse 第14条 求償権
Where more than one economic operator is liable for the same damage, an economic operator that has compensated the injured person shall be entitled to pursue remedies against other economic operators liable pursuant to Article 8 in accordance with national law. 同一の損害について複数の経済的事業者が責任を負う場合、損害を被った者に賠償した経済的事業者は、国内法に従って、第8条に従って責任を負う他の経済的事業者に対して救済を求める権利を有する。
Article 15 Exclusion or limitation of liability 第15条 責任の排除または制限
Member States shall ensure that the liability of an economic operator pursuant to this Directive is not, in relation to the injured person, limited or excluded by a contractual provision or by national law. 加盟国は、本指令に基づく経済的事業者の責任が、損害を受けた者との関係において、契約上の規定または国内法によって制限または排除されないことを保証するものとする。
Article 16 Limitation period 第16条 制限期間
1. Member States shall ensure that a limitation period of three years applies to the initiation of proceedings to claim compensation for damage falling within the scope of this Directive. The limitation period shall run from the day on which the injured person became aware, or should reasonably have become aware, of all of the following: 1. 加盟国は、本指令の適用範囲に含まれる損害の補償を請求するための手続の開始に 3 年の制限期間が適用されることを保証するものとする。制限期間は、損害を受けた者が以下のすべてを認識した、または合理的に認識すべきであった日から起算するものとする:
(a) the damage; (a) 損害;
(b) the defectiveness; (b) 欠陥;
(c) the identity of the relevant economic operator that can be held liable for that damage under Article 8. (c) 第8条に基づき当該損害について責任を問われうる関連経済的事業者の特定。
2. National law regulating the suspension or interruption of the limitation period referred to in paragraph 1 shall not be affected by this Directive. 2. 第1項で言及される制限期間の停止または中断を規制する国内法は、本指令の影響を受けないものとする。
Article 17 Expiry period 第17条 無効期間
1. Member States shall ensure that an injured person is no longer entitled to compensation pursuant to this Directive upon the expiry of a period of 10 years, unless that injured person has, in the meantime, initiated proceedings against an economic operator that can be held liable pursuant to Article 8. That period shall run from: 1. 加盟国は、損害を被った者が、その間に第8条に従って責任を負うことができる経済的事業者に対して手続を開始した場合を除き、10 年の期間が満了した時点で、本指令に従って補償を受ける権利を喪失することを保証するものとする。当該期間は以下から起算されるものとする:
(a) the date on which the defective product which caused the damage was placed on the market or put into service; or (a) 損害の原因となった欠陥製品が上市または使用された日。
(b) in the case of a substantially modified product, the date on which that product was made available on the market or put into service following its substantial modification. (b) 実質的に変更された製品の場合は、その製品が市場で入手可能となった日、または実質的な変更後に使用可能となった日。
2. By way of exception from paragraph 1, where an injured person has not been able to initiate proceedings within 10 years of the dates referred to in paragraph 1 due to the latency of a personal injury, the injured person shall no longer be entitled to compensation pursuant to this Directive upon the expiry of a period of 25 years, unless that injured person has, in the meantime, initiated proceedings against an economic operator that can be held liable pursuant to Article 8. 2. 第1項の例外として、傷害を受けた者が人身傷害の潜伏期間により第1項で言及される日付から 10 年以内に手続を開始することができなかった場合、当該傷害を受けた者がその間に第8条に従って責任を負うことができる経済的事業者に対して手続を開始していない限り、当該傷害を受けた者は 25 年の期間が経過した時点で本指令に従って補償を受ける権利を失うものとする。
CHAPTER IV FINAL PROVISIONS 第4章 最終規定
Article 18 Derogation from development risk defence 第18条 開発リスク防御からの免除
1. Member States may, by way of derogation from Article 11(1), point (e), maintain in their legal systems existing measures whereby economic operators are liable even if they prove that the objective state of scientific and technical knowledge at the time the product was placed on the market or put into service or during the period in which the product was within the manufacturer’s control was not such that the defectiveness could be discovered. 1. 加盟国は、第11条(1)の(e)の規定の適用除外により、自国の法制度において、製品が上市もしくは使用開始された時点、または製品が製造事業者の管理下にあった期間における科学的および技術的知見の客観的状態が、欠陥が発見されるようなものではなかったことを証明した場合であっても、経済的事業者が責任を負う現行の措置を維持することができる。
Any Member State wishing to maintain measures in accordance with this paragraph shall notify the text of the measures to the Commission no later than 9 December 2026. The Commission shall inform the other Member States thereof. 本項に基づく措置を維持することを希望する加盟国は、2026年12月9日までに、措置の本文を欧州委員会に通知しなければならない。欧州委員会は、その旨を他の加盟国に通知する。
2. Member States may, by way of derogation from Article 11(1), point (e), introduce or amend in their legal systems measures whereby economic operators are liable even if they prove that the objective state of scientific and technical knowledge at the time the product was placed on the market or put into service or during the period in which the product was within the manufacturer’s control was not such that the defectiveness could be discovered. 2. 加盟国は、第11条第1項(e)の適用除外として、製品が上市もしくは使用開始された時点、または製造事業者の管理下にあった期間における科学的および技術的知見の客観的状態が、欠陥が発見されるようなものではなかったことを証明した場合であっても、経済的事業者が責任を負う措置を自国の法制度に導入または改正することができる。
3. The measures referred to in paragraph 2 shall be: 3. 第2項にいう措置は、次のとおりとする:
(a) limited to specific categories of products; (a) 特定のカテゴリーに限定される;
(b) justified by public interest objectives; and (b) 公益目的によって正当化される。
(c) proportionate in that they are suitable for securing the attainment of the objectives pursued and do not go beyond what is necessary to attain those objectives. (c) 追求される目的の達成を確保するために適切であり、かつ、当該目的を達成するために必要な範囲を超えないという点で、比例的であること。
4. Any Member State wishing to introduce or amend a measure referred to in paragraph 2 shall notify the text of the proposed measure to the Commission and shall provide a justification of how that measure complies with paragraph 3. The Commission shall inform the other Member States thereof. 4. 第2項にいう措置の導入または改正を希望する加盟国は、提案する措置の本文を欧州委員会に通知し、かつ、当該措置がいかに第3項に適合するかについての正当な理由を提出しなければならない。欧州委員会は、その旨を他の加盟国に通知する。
5. The Commission may, within six months of receiving a notification pursuant to paragraph 4, issue an opinion on the text of the proposed measure and the justification for that measure, taking into account any observations received from other Member States. The Member State wishing to introduce or amend that measure shall hold that measure in abeyance for six months following its notification to the Commission, unless the Commission issues its opinion earlier. 5. 欧州委員会は、第4項の規定による通告を受けてから6箇月以内に、他の加盟国から受領した意見を考慮して、提案された措置の本文および当該措置の正当性の根拠に関する意見を発表することができる。当該措置の導入または改正を希望する加盟国は、欧州委員会がそれ以前に意見を発表しない限り、欧州委員会への通告後6ヶ月間、当該措置を保留する。
Article 19 Transparency 第19条 透明性
1. Member States shall publish, in an easily accessible and electronic format, any final judgment delivered by their national courts of appeal or of the highest instance in proceedings launched pursuant to this Directive. The publication of such a judgment shall be carried out in accordance with national law. 1. 加盟国は、本指令に従って開始された手続において、自国の控訴裁判所または最高裁判所が下した最終判決を、容易にアクセス可能な電子形式で公表するものとする。当該判決の公表は国内法に従って行われるものとする。
2. The Commission shall set up and maintain an easily accessible and publicly available database containing the judgments referred to in paragraph 1. 2. 欧州委員会は、第1項で言及された判決を含む、容易にアクセス可能で一般に利用可能なデータベースを設置し、維持するものとする。
Article 20 Evaluation 第20条 評価
The Commission shall by 9 December 2030, and every five years thereafter, evaluate the application of this Directive and submit a report to the European Parliament, to the Council and to the European Economic and Social Committee. Those reports shall include information about the cost and benefits of the transposition of this Directive, a comparison with OECD countries and the availability of product liability insurance. 欧州委員会は、2030年12月9日まで、およびその後5年ごとに、本指令の適用を評価し、欧州議会、理事会、および欧州経済社会委員会に報告書を提出するものとする。これらの報告書には、本指令の移行の費用と便益、OECD加盟国との比較、製造物責任保険の利用可能性に関する情報を含めるものとする。
Article 21 Repeal and transitional provision 第21条 撤廃および経過措置
Directive 85/374/EEC is repealed with effect from 9 December 2026. However, it shall continue to apply with regard to products placed on the market or put into service before that date. 指令85/374/EECは2026年12月9日をもって廃止される。ただし、同日以前に上市または使用開始された製品に関しては、引き続き適用されるものとする。
References to the repealed Directive shall be construed as references to this Directive and shall be read in accordance with the correlation table set out in the Annex. 廃止された指令への言及は本指令への言及と解釈され、附属書に記載された相関表に従って読まれるものとする。
Article 22 Transposition 第22条 移植
1. Member States shall bring into force the laws, regulations and administrative provisions necessary to comply with this Directive by 9 December 2026. They shall immediately inform the Commission thereof. 1. 加盟国は、2026年12月9日までに本指令を遵守するために必要な法律、規制および行政規定を発効させるものとする。加盟国は直ちにその旨を欧州委員会に通知するものとする。
When Member States adopt those measures, they shall contain a reference to this Directive or shall be accompanied by such a reference on the occasion of their official publication. The methods of making such reference shall be laid down by the Member States. 加盟国がこれらの措置を採択する際には、本指令への言及を含めるか、または公式発表の際に当該言及を付すものとする。当該言及の方法は加盟国が定めるものとする。
2. Member States shall communicate to the Commission the text of the main measures of national law which they adopt in the field covered by this Directive. 2. 加盟国は、本指令が適用される分野で採択する国内法の主要な措置の本文を欧州委員会にコミュニケーションするものとする。
Article 23 Entry into force 第23条 施行
This Directive shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union. この指令は、欧州連合の官報に掲載された翌日から20日目に発効する。
Article 24 Addressees 第24条 宛先
This Directive is addressed to the Member States. 本指令は加盟国宛である。
Done at Strasbourg, 23 October 2024. 2024年10月23日、ストラスブールにて制定される。
For the European Parliament 欧州議会宛
The President 議長
R. METSOLA R. メトソラ
For the Council 欧州理事会
The President 議長
ZSIGMOND B. P. ジグモンド・B・P

 

1_20241124130001

| | Comments (0)

米国 国防総省 サイバーセキュリティ成熟度モデル認証プログラムの最終規則 (2024.10.15)

こんにちは、丸山満彦です。

少し古くなってしまったのですが、米国国防総省の調達に関連するCMMCの最終規則。。。

日本の企業でも米国国防総省と取引をする会社は気にしないといけないですね...

調達全体の一部の話なので、調達全体の理解がないと、これだけ読んでもわからないことが多いと思いますが、とりあえず...

 

U.S. Department of Defense

・2024.10.11 Cybersecurity Maturity Model Certification Program Final Rule Published

Cybersecurity Maturity Model Certification Program Final Rule Published サイバーセキュリティ成熟度モデル認証プログラムの最終規則が公表される
Today, the final program rule for the Cybersecurity Maturity Model Certification (CMMC) Program was released for public inspection on federalregister.gov and is anticipated to be published in the Federal Register, Tuesday, October 15. 本日、サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの最終規則がfederalregister.govで公開され、10月15日(火)の連邦官報に掲載される予定である。
The purpose of CMMC is to verify that defense contractors are compliant with existing protections for federal contract information (FCI) and controlled unclassified information (CUI) and are protecting that information at a level commensurate with the risk from cybersecurity threats, including advanced persistent threats.  CMMCの目的は、防衛請負業者が連邦契約情報(FCI)と管理対象非機密情報(CUI)に対する既存の防御を遵守し、高度持続的脅威を含むサイバーセキュリティの脅威からのリスクに見合ったレベルで情報を保護していることを検証することである。
This rule streamlines and simplifies the process for small-and medium-sized businesses by reducing the number of assessment levels from the five in the original program to three under the new program. この規則は、アセスメント・レベルの数を当初のプログラムの5段階から新プログラムの3段階に減らすことで、中小企業のプロセスを合理化・簡素化するものである。
This final rule aligns the program with the cybersecurity requirements described in Federal Acquisition Regulation part 52.204-21 and National Institute of Standards and Technology (NIST) Special Publications (SP) 800-171 Rev 2 and -172.  It also clearly identifies the 24 NIST SP 800-172 requirements mandated for CMMC Level 3 certification. この最終規則は、連邦調達規則パート 52.204-21 および国立標準技術研究所(NIST)の特別刊行物(SP)800-171 Rev 2 および -172 に記載されているサイバーセキュリティ要件とプログラムを整合させるものである。 また、CMMCレベル3認証に義務付けられている24のNIST SP 800-172要件も明確に識別している。
With the publication of this updated 32 CFR rule, DoD will allow businesses to self-assess their compliance when appropriate. Basic protection of FCI will require self-assessment at CMMC Level 1.General protection of CUI will require either third-party assessment or self-assessment at CMMC Level 2.A higher level of protection against risk from advanced persistent threats will be required for some CUI. This enhanced protection will require a Defense Industrial Base Cybersecurity Assessment Center led assessment at CMMC Level 3. この更新された 32 CFR 規則の公表により、DoD は、適切な場合、企業がそのコンプライアンスを自己評価できるようにする。FCIの基本的な防御には、CMMCレベル1での自己アセスメントが必要となる。CUIの一般的な防御には、サードパーティによるアセスメントかCMMCレベル2での自己アセスメントが必要となる。この強化された防御には、防衛産業基盤サイバーセキュリティ・アセスメント・センターが主導するCMMCレベル3のアセスメントが必要となる。
CMMC provides the tools to hold accountable entities or individuals that put U.S. information or systems at risk by knowingly misrepresenting their cybersecurity practices or protocols, or knowingly violating obligations to monitor and report cybersecurity incidents and breaches.  The CMMC Program implements an annual affirmation requirement that is a key element for monitoring and enforcing accountability of a company's cybersecurity status. CMMCは、サイバーセキュリティの慣行やプロトコルを故意に偽って伝えたり、サイバーセキュリティのインシデントや侵害を監視し報告する義務に故意に違反したりすることによって、米国の情報やシステムをリスクにさらした事業体や個人に責任を問うためのツールを提供する。 CMMCプログラムは、企業のサイバーセキュリティ状況を監視し、説明責任を実施するための重要な要素である年次確認要件を実施している。
With this revised CMMC Program, the Department also introduces Plans of Action and Milestones (POA&Ms).  POA&Ms will be granted for specific requirements as outlined in the rule to allow a business to obtain conditional certification for 180 days while working to meet the NIST standards. このCMMCプログラムの改訂に伴い、同省は行動計画とマイルストーン(POA&M)も導入する。 POA&Mは、NIST標準に適合するよう努力する間、企業が180日間条件付きで認証を取得できるよう、規則に概説された特定の要件に対して付与される。
The benefits of CMMC include: CMMCの利点は以下の通りである:
・Safeguarding sensitive information to enable and protect the warfighter ・機密情報を保護し、戦闘員を有効かつ保護する。
・Enforcing DIB cybersecurity standards to meet evolving threats DIB のサイバーセキュリティ標準を実施し、進化する脅威に対応す・る。
Ensuring accountability while minimizing barriers to compliance with DoD ・requirements ・国防総省の要件に準拠するための障壁を最小限に抑えながら、説明責任を確保する。
・Perpetuating a collaborative culture of cybersecurity and cyber resilience ・サイバーセキュリティとサイバーレジリエンスの協力的な文化を永続させる。
・Maintaining public trust through high professional and ethical standards ・高い専門性と倫理基準を通じて国民の信頼を維持する
The Department understands the significant time and resources required for industry to comply with DoD's cybersecurity requirements for safeguarding CUI and is intent upon implementing CMMC requirements to assess the degree to which they have done so.  The Department would like to thank all the businesses and industry associations that provided input during the public comment period.  Without this collaboration, it would not have been possible to meet our goals of improving security of critical information and increasing compliance with cybersecurity requirements while simultaneously making it easier for small and medium-sized businesses to meet their contractual obligations. 国防総省は、CUIを保護するための国防総省のサイバーセキュリティ要件を遵守するために産業界が多大な時間とリソースを必要としていることを理解しており、CMMCの要件を実施し、その程度を評価することを意図している。 国防総省は、パブリックコメント期間中に意見を提供してくれたすべての企業および業界団体に感謝したい。 このような協力がなければ、重要情報のセキュリティを改善し、サイバーセキュリティ要件への準拠を高めると同時に、中小企業が契約上の義務を果たしやすくするという目標を達成することはできなかっただろう。
Businesses in the defense industrial base should take action to gauge their compliance with existing security requirements and preparedness to comply with CMMC assessments.  Members of the defense industrial base may use cloud service offerings to meet the cybersecurity requirements that must be assessed as part of the CMMC requirement.  The DoD CIO DIB Cybersecurity Program has compiled a list of current resources available at dibnet.dod.mil under DoD DIB Cybersecurity-as-a-Service (CSaaS) Services and Support. 防衛産業基盤に属する企業は、既存のセキュリティ要件へのコンプライアンスとCMMCアセスメントへの準備態勢を評価するために行動を起こすべきである。 防衛産業基盤のメンバーは、CMMC 要件の一部としてアセスメントされなければならないサイバーセキュリティ要件を満たすために、クラウドサービスを利用することができる。 国防総省 CIO DIB サイバーセキュリティ・プログラムは、dibnet.dod.mil の「DoD DIB Cybersecurity-as-a-Service (CSaaS) Services and Support」に、現在利用可能なリソースのリストをまとめている。
The DoD's follow-on Defense Federal Acquisition Regulation Supplement (DFARS) rule change to contractually implement the CMMC Program will be published in early to mid-2025.  Once that rule is effective, DoD will include CMMC requirements in solicitations and contracts.  Contractors who process, store, or transmit FCI or CUI must achieve the appropriate level of CMMC as a condition of contract award.  More information on the timing of the proposed DFARS rule can be found at [web]. CMMCプログラムを契約的に実施するためのDoDの国防連邦調達規則補足(DFARS)規則変更は、2025年初頭から半ばにかけて公表される予定である。 この規則が発効すれば、国防総省はCMMCの要件を募集や契約に盛り込むことになる。 FCIまたはCUIを処理、保管、伝送する請負業者は、契約締結の条件として、適切なレベルのCMMCを達成しなければならない。 提案されているDFARS規則の時期に関する詳細は、 [web]
More information on the CMMC Program can be found at [web]. CMMCプログラムに関する詳細は、[web]

 

 

CMMCのウェブページ

U.S. DoD - CIO

Cybersecurity Maturity Model Certification

・・About CMC

 

1_20241124061401

About CMMC  CMMCについて
Cybersecurity is a top priority for the Department of Defense (DoD). The defense industrial base (DIB) faces increasingly frequent, and complex cyberattacks. To strengthen DIB cybersecurity and better safeguard DoD information,