まるちゃんの情報セキュリティ気まぐれ日記: December 2024

July 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

December 2024

2024.12.31

欧州法研究所 AI法におけるAIシステムの定義の適用に関するガイドライン：三要素アプローチに関するELIの提案 (2024.12.12)

こんにちは、丸山満彦です。

2024.11.13に欧州委員会のAI Officeがマルチステークホルダーアプローチの一環として、「AI法で定められたAIシステムの定義および禁止されたAI行為の適用に関する委員会ガイドライン (COMMISSION GUIDELINES ON THE APPLICATION OF THE DEFINITION OF AN AI SYSTEM AND THE PROHIBITED AI PRACTICES ESTABLISHED IN THE AI ACT)」に対するコメントを2024.12.11まで求めていたようですね...

それに対する欧州法研究所 (Euopean Law Institute; ELI) [wikipedia]が三要素アプローチという方法論をつかった提案をしているので、紹介です...

AI法の対象となるAIの定義についての話ですので、いろいろと参考になることがあるように思います...

法律をつくるとなると、立法課程、適用までの準備課程を含めて、議論が深まりますね...

欧州法研究所は、2011年にベルギー法に基づいて設立された会員制の非営利法人で、EU法的発展に焦点をあてた団体で、欧州議会、欧州連合司法裁判所 (CJEU)、国際連合国際商取引法委員会 (UNCITRAL)、国際私法統一研究所 (UNIDROIT)、欧州のいくつかの最高裁判所、法律事務所、学部、専門家協会 (欧州弁護士会・法曹協会協議会 (CCBE)、欧州連合公証人協議会 (CNUE)、欧州司法評議会ネットワーク (ENCJ)、欧州連合最高裁判所長官ネットワークなども会員に含まれているようですね。資金は、会員の会費の他、ウィーン大学、EUからの運営補助金等ですね...

● Euopean Law Institute; ELI

・2024.12.12 ELI Submits a Response to the European Commission's Public Consultation on the AI Act

ELI Submits a Response to the European Commission's Public Consultation on the AI Act	ELI、AI法に関する欧州委員会のパブリックコンサルテーションに回答を提出
The recently approved by ELI Council Response, ‘ELI Proposal for a Three-Factor Approach’, was submitted to the Commission on 11 December 2024.	ELI評議会が最近承認した回答「3要素アプローチに関するELI提案」が、2024年12月11日に欧州委員会に提出された。
On 1 August 2024, the AI Act entered into force, marking a significant milestone in the EU's efforts to regulate artificial intelligence. This followed the establishment of the European AI Office in May 2024, which is tasked with ensuring the consistent application of the Act across Member States and providing guidance on its implementation. To prepare for the application of rules addressing high-risk AI systems and practices posing unacceptable risks, set to take effect on 2 February 2025, the European Commission launched targeted stakeholder consultation. These consultations aim to refine guidelines and support the development of codes of practice, paving the way for the Act's full implementation by 2026. In furtherance of the above, the Commission launched a Multi-Stakeholder Consultation for Commission Guidelines on the Application of the Definition of an AI System and the Prohibited AI Practices Established in the AI Act on 13 November 2024, to which the ELI contributed.	2024年8月1日、AI法が施行され、EUの人工知能規制への取り組みにおける重要なマイルストーンとなった。これは、加盟国全体で同法の一貫した適用を確保し、その実施に関する指針を提供することを任務とする欧州AIオフィスの2024年5月の設立を受けてのことである。容認できないリスクをもたらす高リスクAIシステムおよび慣行に対処する規則の適用に備え、欧州委員会は対象を絞った利害関係者との協議を開始した。これらの協議は、ガイドラインを洗練させ、行動規範の策定を支援し、2026年までの同法の完全実施への道筋をつけることを目的としている。さらに、欧州委員会は、2024年11月13日に「AI法」で定められた「AIシステム」の定義および禁止されたAI行為の適用に関する欧州委員会ガイドラインの策定に向けた多者協議を開始し、ELIもこれに貢献した。
ELI is extremely grateful to Prof Dr Christiane Wendehorst, ELI’s Scientific Director and Mr Bernhard Nessler, Research Manager Intelligent Systems and Certification of AI at the Software Competence Center Hagenberg (SCCH), lecturer at the Institute for Machine Learning at Johannes Kepler University Linz and Vice-President of the Austrian Society for Artificial Intelligence (ASAI), who drafted the Response, and to ELI’s President, Prof Dr Pascal Pichonnaz, ELI Executive Member Prof Dr Teresa Rodríguez de las Heras Ballell, Judge Marc Clément, Prof Dr Piotr Machnikowski and Dr Rania Wazir for their helpful feedback on the draft Response.	ELIは、ELIの科学ディレクターであるクリスティアーネ・ヴェンデホースト教授と、ハゲンベルクソフトウェアコンピテンスセンター（SCCH）のインテリジェントシステムおよびAI認証の研究マネージャーであり、リンツのヨハネス・ケプラー大学機械学習研究所の講師、オーストリア人工知能学会（ASAI）の副会長であるベルンハルト・ネスラー氏に、回答の草案を作成した同研究所のバーナード・ネスラー研究マネージャー、および回答の草案に対する有益なフィードバックを提供してくださったELIのパスカル・ピションナズ学長、ELIのテレサ・ロドリゲス・デ・ラス・エラス・バジェル執行委員、マーク・クレマン判事、ピョートル・マフニコフスキ教授、ラニア・ワジル博士に感謝の意を表する。
ELI’s Response is available here.	ELIの回答

・[PDF]

・[DOCX][PDF] 仮訳

EU委員会のAI法の定義に関する協議の際のプレス...

● EU Commission

・2024.11.13 Commission launches consultation on AI Act prohibitions and AI system definition

Commission launches consultation on AI Act prohibitions and AI system definition	欧州委員会、AI法の禁止事項とAIシステムの定義に関する協議を開始
The Commission’s Artificial Intelligence (AI) Office is launching a targeted stakeholders consultation process on the future guidelines on the AI system definition and the implementation of AI practices that pose unacceptable risks under the AI Act.	欧州委員会の人工知能（AI）オフィスは、AIシステムの定義と、AI法の下で容認できないリスクをもたらすAI慣行の実施に関する将来のガイドラインについて、対象を絞った利害関係者との協議プロセスを開始する。
The guidelines will help national competent authorities as well as providers and deployers in complying with the AI Act’s rules on such AI practices ahead of the application of the relevant provisions on 2 February 2025.	このガイドラインは、2025年2月2日の関連規定の適用に先立ち、AI慣行に関するAI法の規則を遵守する上で、各国の所轄当局やプロバイダー、展開者に役立つものとなる。
The AI Office invites stakeholders, including AI systems providers, businesses, national authorities, academia, research institutions and civil society to submit their input. The contributions received will feed into the Commission's guidelines on the definition of AI system and prohibited AI practices under the AI Act, to be published in early 2025.	AIオフィスは、AIシステムプロバイダー、企業、国家当局、学術機関、研究機関、市民社会を含む利害関係者に対し、意見を提出するよう呼びかけている。寄せられた意見は、2025年初頭に発表予定のAI法に基づくAIシステムの定義および禁止されるAI行為に関する欧州委員会のガイドラインに反映される。
The legal concepts regarding the AI system definition and prohibited AI practices are established in the AI Act. This consultation seeks additional practical examples from stakeholders to feed into the guidelines and provide further clarity on practical aspects and use cases.	AIシステム定義および禁止されるAI行為に関する法的概念は、AI法に定められている。今回の協議では、ガイドラインに反映させるため、また、実用面や使用事例に関するさらなる明確化を図るため、利害関係者から追加の実例を求める。
Participants can find more information on the consultation, which will remain open for 4 weeks, until 11 December 2024.	協議に関する詳細は、2024年12月11日までの4週間、公開されている。
More information:	詳細情報：
European Artificial Intelligence (AI) Office	欧州人工知能（AI）事務局
AI Act	AI法

協議期間が終了していて、協議の詳細がみられない...

2024.12.31 09:08 in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2024.12.30

米国司法省 LockBitランサムウェアグループの開発者としてロシアおよびイスラエルの二重国籍者を起訴 (2024.12.20)

こんにちは、丸山満彦です。

少し前ですが、LockBitランサムウェアグループの開発者としてロシアおよびイスラエルの二重国籍者を起訴していますね...

容疑者は、イスラエルですでに身柄を拘束されているようですね...

LockBitの壊滅についての米国政府のなみなみならぬ意気込みを感じますね...

起訴状を読むと面白いかもです...

犯人側からの身代金の会計処理についての「教育費（システム管理者のためのトレーニング費用）にしたらええやん」というアドバイスは、「その手があったか！」と思う人がいるかもですが、たぶん間違いです...(^^)

LockBitのコントロールパネルの画像（起訴状から）...

初期...

他のバージョン...

● Department of Justice; DOJ

・2024.12.20 United States Charges Dual Russian and Israeli National as Developer of LockBit Ransomware Group

United States Charges Dual Russian and Israeli National as Developer of LockBit Ransomware Group	米国、LockBitランサムウェアグループの開発者としてロシアおよびイスラエルの二重国籍者を起訴
Defendant Rostislav Panev in Custody Pending Extradition from Israel to the United States	被告Rostislav Panev、イスラエルから米国への身柄引き渡しを待って拘束中
Note: A copy of the superseding criminal complaint can be found here.	注：刑事告訴状（差替）は、こちら。
A superseding criminal complaint filed in the District of New Jersey was unsealed today charging a dual Russian and Israeli national for being a developer of the LockBit ransomware group.	ニュージャージー地区で本日提出された刑事告訴状（差替）は、ロシアとイスラエルの二重国籍者をLockBitランサムウェアグループの開発者として起訴するものである。
In August, Rostislav Panev, 51, a dual Russian and Israeli national, was arrested in Israel pursuant to a U.S. provisional arrest request with a view towards extradition to the United States. Panev is currently in custody in Israel pending extradition on the charges in the superseding complaint.	8月には、米国への身柄引き渡しを目的とした米国の仮逮捕要請に従い、ロシアとイスラエルの二重国籍者であるロスチスラフ・パネフ（51）がイスラエルで逮捕された。パネフは現在、追加の告訴状に基づく罪状での身柄引き渡しを待ってイスラエルで拘束されている。
“The Justice Department’s work going after the world’s most dangerous ransomware schemes includes not only dismantling networks, but also finding and bringing to justice the individuals responsible for building and running them,” said Attorney General Merrick B. Garland. “Three of the individuals who we allege are responsible for LockBit’s cyberattacks against thousands of victims are now in custody, and we will continue to work alongside our partners to hold accountable all those who lead and enable ransomware attacks.”	メリック・B・ガーランド司法長官は次のように述べた。「司法省が世界で最も危険なランサムウェアのスキームを追及する業務には、ネットワークの解体だけでなく、その構築と運営に責任のある個人を特定し、法の裁きにかけることも含まれている。数千人の被害者に対するLockBitのサイバー攻撃の責任者とされる3人の容疑者は現在拘束されており、今後もパートナーと協力して、ランサムウェア攻撃を主導し、それを可能にする者すべてに責任を取らせるべく取り組んでいく。」
“The arrest of Mr. Panev reflects the Department's commitment to using all its tools to combat the ransomware threat,” said Deputy Attorney General Lisa Monaco. “We started this year with a coordinated international disruption of LockBit — the most damaging ransomware group in the world. Fast forward to today and three LockBit actors are in custody thanks to the diligence of our investigators and our strong partnerships around the world. This case is a model for ransomware investigations in the years to come.”	リサ・モナコ副司法長官は次のように述べた。「パネフ氏の逮捕は、ランサムウェアの脅威に対抗するためにあらゆる手段を講じるという当省の決意を反映するものだ。私たちは今年、世界で最も被害を及ぼしているランサムウェア集団であるLockBitを国際的に連携して壊滅させることでスタートした。そして今日、私たちの捜査官の努力と世界中の強力なパートナーシップのおかげで、LockBitの3人の実行犯が拘束された。この事件は、今後数年にわたるランサムウェア捜査の模範となるだろう。」
“The arrest of alleged developer Rostislav Panev is part of the FBI’s ongoing efforts to disrupt and dismantle the LockBit ransomware group, one of the most prolific ransomware variants across the globe,” said FBI Director Christopher Wray. “The LockBit group has targeted both public and private sector victims around the world, including schools, hospitals, and critical infrastructure, as well as small businesses and multi-national corporations. No matter how hidden or advanced the threat, the FBI remains committed to working with our interagency partners to safeguard the cyber ecosystem and hold accountable those who are responsible for these criminal activities.”	FBI長官のクリストファー・レイ氏は次のように述べた。「容疑者であるロスチスラフ・パネフの逮捕は、世界で最も悪名高いランサムウェアの亜種のひとつであるLockBitランサムウェアグループを壊滅させるFBIの継続的な取り組みの一環である。LockBitグループは、世界中の公共部門および民間部門の被害者を標的にしており、その中には学校、病院、重要なインフラストラクチャ、中小企業、多国籍企業などが含まれている。脅威がどれほど巧妙に隠されていても、FBIは省庁間のパートナーと協力し、サイバーエコシステムを保護し、これらの犯罪行為に責任のある者を責任を問うことに引き続き取り組んでいく。」
“The criminal complaint alleges that Rostislav Panev developed malware and maintained the infrastructure for LockBit, which was once the world’s most destructive ransomware group and attacked thousands of victims, causing billions of dollars in damage,” said Principal Deputy Assistant Attorney General Nicole M. Argentieri, head of the Justice Department’s Criminal Division. “Along with our domestic and international law enforcement partner actions to dismantle LockBit’s infrastructure, the Criminal Division has disrupted LockBit’s operations by charging seven of its key members (including affiliates, developers, and its administrator) and arresting three of these defendants — including Panev. We are especially grateful for our partnerships with authorities in Europol, the United Kingdom, France, and Israel, which show that, when likeminded countries work together, cybercriminals will find it harder to escape justice.”	司法省刑事局の局長であるニコル・M・アルジェンティエリ首席副次官補は次のように述べた。「刑事告訴状によると、ロスチスラフ・パネフは、かつて世界で最も破壊的なランサムウェア集団であり、数千人の被害者を攻撃し、数十億ドルの損害を与えたLockBitのためにマルウェアを開発し、インフラを維持していたとされている。刑事局は、LockBitのインフラを解体するための国内外の法執行機関との連携に加え、主要メンバー7人（関連企業、開発者、管理者を含む）を起訴し、そのうちの3人（パネフを含む）を逮捕することで、LockBitの活動を中断させた。欧州刑事警察機構、英国、フランス、イスラエルの当局との連携に特に感謝している。同様の考えを持つ国々が協力すれば、サイバー犯罪者が正義から逃れることがより困難になることを示している。」
“As alleged by the complaint, Rostislav Panev for years built and maintained the digital weapons that enabled his LockBit coconspirators to wreak havoc and cause billions of dollars in damage around the world,” said U.S. Attorney Philip R. Sellinger for the District of New Jersey. “But just like the six other LockBit members previously identified and charged by this office and our FBI and Criminal Division partners, Panev could not remain anonymous and avoid justice indefinitely. He must now answer for his crimes. Today’s announcement represents another blow struck by the United States and our international partners against the LockBit organization, and our efforts will continue relentlessly until the group is fully dismantled and its members brought to justice.”	ニュージャージー地区のフィリップ・R・セリンジャー米国連邦検事は、次のように述べた。「訴状で申し立てられているように、ロスチスラフ・パネフは長年にわたり、共犯者たちが世界中で大混乱を引き起こし、数十億ドルの損害を与えることを可能にするデジタル兵器を構築し、維持してきた。しかし、この事務所とFBIおよび刑事部門のパートナーによって以前に識別され起訴された6人のLockBitメンバーと同様に、パネフも匿名のままで正義を逃れ続けることはできなかった。彼は今こそ、その犯罪の責任を問われなければならない。本日の発表は、米国および国際パートナーがLockBit組織に対して行ったさらなる打撃であり、このグループが完全に解体され、そのメンバーが法の裁きを受けるまで、我々の努力は容赦なく継続されるだろう。」
According to the superseding complaint, documents filed in this and related cases, and statements made in court, Panev acted as a developer of the LockBit ransomware group from its inception in or around 2019 through at least February 2024. During that time, Panev and his LockBit coconspirators grew LockBit into what was, at times, the most active and destructive ransomware group in the world. The LockBit group attacked more than 2,500 victims in at least 120 countries around the world, including 1,800 in the United States. Their victims ranged from individuals and small businesses to multinational corporations, including hospitals, schools, nonprofit organizations, critical infrastructure, and government and law-enforcement agencies. LockBit’s members extracted at least $500 million in ransom payments from their victims and caused billions of dollars in other losses, including lost revenue and costs from incident response and recovery.	追加の訴状、本件および関連事件で提出された書類、法廷での供述によると、パネフは2019年頃にLockBitランサムウェアグループの開発者となり、少なくとも2024年2月までその任にあった。その間、パネフと共謀者たちは、LockBitを世界で最も活発で破壊的なランサムウェアグループへと成長させた。LockBitグループは、少なくとも120か国、2,500人以上の被害者を攻撃し、その中には米国の1,800人も含まれていた。被害者は、個人や小規模企業から多国籍企業まで幅広く、病院、学校、非営利団体、重要なインフラ、政府および法執行機関も含まれていた。LockBitのメンバーは、被害者から少なくとも5億ドルの身代金を引き出し、収益の損失やインシデント対応および復旧にかかる費用など、数十億ドルの損失を発生させた。
LockBit’s members comprised “developers,” like Panev, who designed the LockBit malware code and maintained the infrastructure on which LockBit operated. LockBit’s other members, called “affiliates,” carried out LockBit attacks and extorted ransom payments from LockBit victims. LockBit’s developers and affiliates would then split ransom payments extorted from victims.	LockBitのメンバーは、Panevのような「開発者」で構成されており、LockBitマルウェアのコードを設計し、LockBitが動作するインフラストラクチャを維持していた。LockBitの他のメンバーは「アフィリエイト」と呼ばれ、LockBit攻撃を実行し、LockBitの被害者から身代金を脅し取っていた。そして、LockBitの開発者とアフィリエイトは、被害者から脅し取った身代金を山分けしていた。
As alleged in the superseding complaint, at the time of Panev’s arrest in Israel in August, law enforcement discovered on Panev’s computer administrator credentials for an online repository that was hosted on the dark web and stored source code for multiple versions of the LockBit builder, which allowed LockBit’s affiliates to generate custom builds of the LockBit ransomware malware for particular victims. On that repository, law enforcement also discovered source code for LockBit’s StealBit tool, which helped LockBit affiliates exfiltrate data stolen through LockBit attacks. Law enforcement also discovered access credentials for the LockBit control panel, an online dashboard maintained by LockBit developers for LockBit’s affiliates and hosted by those developers on the dark web.	追加の訴状で申し立てられているように、8月にパネフがイスラエルで逮捕された際、警察はパネフのコンピュータ上で、ダークウェブでホストされていたオンラインリポジトリの管理者資格情報を発見した。このリポジトリには、LockBitのビルダーの複数のバージョンのソースコードが保存されており、LockBitのアフィリエイトが特定の被害者向けにLockBitランサムウェアマルウェアのカスタムビルドを生成することを可能にしていた。また、このリポジトリ上で、LockBitのStealBitツールのソースコードも発見された。このツールは、LockBitの攻撃によって盗まれたデータをLockBitの関係者が外部に持ち出すのに役立っていた。さらに、LockBitの関係者向けにLockBitの開発者が管理し、ダークウェブ上でホスティングされていたオンラインダッシュボード、LockBitのコントロールパネルのアクセス認証情報も発見された。
The superseding complaint also alleges that Panev exchanged direct messages through a cybercriminal forum with LockBit’s primary administrator, who, in an indictment unsealed in the District of New Jersey in May, the United States alleged to be Dimitry Yuryevich Khoroshev (Дмитрий Юрьевич Хорошев), also known as LockBitSupp, LockBit, and putinkrab. In those messages, Panev and the LockBit primary administrator discussed work that needed to be done on the LockBit builder and control panel.	また、追加の訴状では、Panevがサイバー犯罪者フォーラムを通じてLockBitの主要管理者と直接メッセージをやり取りしていたと主張している。この主要管理者は、5月にニュージャージー地区で開示された起訴状によると、米国はDimitry Yuryevich Khoroshev（Дмитрий Юрьевич Хорошев）として知られ、LockBitSupp、LockBit、putinkrabとも呼ばれている。これらのメッセージでは、PanevとLockBitの主要管理者が、LockBitのビルダーとコントロールパネルで必要な作業について話し合っていた。
Court documents further indicate that, between June 2022 and February 2024, the primary LockBit administrator made a series of transfers of cryptocurrency, laundered through one or more illicit cryptocurrency mixing services, of approximately $10,000 per month to a cryptocurrency wallet owned by Panev. Those transfers amounted to over $230,000 during that period.	裁判所の文書によると、2022年6月から2024年2月の間、LockBitの主要管理者が、1つまたは複数の違法な暗号通貨混合サービスを通じて洗浄した暗号通貨を、毎月約1万ドル相当をPanevが所有する暗号通貨ウォレットに送金していたことが明らかになっている。これらの送金は、その期間中に23万ドルを超えた。
In interviews with Israeli authorities following his arrest in August, Panev admitted to having performed coding, development, and consulting work for the LockBit group and to having received regular payments in cryptocurrency for that work, consistent with the transfers identified by U.S. authorities. Among the work that Panev admitted to having completed for the LockBit group was the development of code to disable antivirus software; to deploy malware to multiple computers connected to a victim network; and to print the LockBit ransom note to all printers connected to a victim network. Panev also admitted to having written and maintained LockBit malware code and to having provided technical guidance to the LockBit group.	8月に逮捕された後のイスラエル当局とのインタビューで、パネフは、LockBitグループのためにコーディング、開発、コンサルティング業務を行ったこと、またその業務に対して暗号通貨で定期的に支払いを受けていたことを認めた。これは、米国当局が識別した送金と一致している。パネフがLockBitグループのために行ったと認めた業務には、アンチウイルスソフトウェアを無効にするコードの開発、被害者のネットワークに接続された複数のコンピュータへのマルウェアの展開、被害者のネットワークに接続されたすべてのプリンタへのLockBitランサムメモの印刷などがあった。また、パネフはLockBitマルウェアのコードを書き、メンテナンスを行い、LockBitグループに技術的な指導を行っていたことも認めた。
The LockBit Investigation	LockBitの捜査
The superseding complaint against, and apprehension of, Panev follows a disruption of LockBit ransomware in February by the United Kingdom (U.K.)’s National Crime Agency (NCA)’s Cyber Division, which worked in cooperation with the Justice Department, FBI, and other international law enforcement partners. As previously announced by the Department, authorities disrupted LockBit by seizing numerous public-facing websites used by LockBit to connect to the organization’s infrastructure and by seizing control of servers used by LockBit administrators, thereby disrupting the ability of LockBit actors to attack and encrypt networks and extort victims by threatening to publish stolen data. That disruption succeeded in greatly diminishing LockBit’s reputation and its ability to attack further victims, as alleged by documents filed in this case.	Panevに対する追加の告訴状と逮捕は、司法省、FBI、その他の国際的な法執行機関のパートナーと協力した英国（U.K.）の国家犯罪対策庁（NCA）のサイバー部門による2月のLockBitランサムウェアの混乱に続くものである。司法省が以前に発表したように、当局は、LockBitが組織のインフラに接続するために使用していた多数の公開ウェブサイトを押収し、LockBitの管理者が使用していたサーバーの管理権限を押収することで、LockBitを妨害した。これにより、LockBitの攻撃者がネットワークを攻撃して暗号化し、盗んだデータを公開すると脅迫して被害者から金を脅し取る能力が妨害された。この妨害により、LockBitの評判とさらなる被害者を攻撃する能力が大幅に低下した。この事件で提出された書類によると、その妨害は成功した。
The superseding complaint against Panev also follows charges brought in the District of New Jersey against other LockBit members, including its alleged primary creator, developer, and administrator, Dmitry Yuryevich Khoroshev. An indictment against Khoroshev unsealed in May alleges that Khoroshev began developing LockBit as early as September 2019, continued acting as the group’s administrator through 2024, a role in which Khoroshev recruited new affiliate members, spoke for the group publicly under the alias “LockBitSupp,” and developed and maintained the infrastructure used by affiliates to deploy LockBit attacks. Khoroshev is currently the subject of a reward of up to $10 million through the U.S. Department of State’s Transnational Organized Crime (TOC) Rewards Program, with information accepted through the FBI tip website at www.tips.fbi.gov/.	また、Panevに対する追加の訴状は、ニュージャージー地区で他のLockBitメンバーに対して提起された訴訟に続くものであり、その中には、主犯とされる開発者および管理者、Dmitry Yuryevich Khoroshevも含まれている。5月に非公開が解除されたホロシェフに対する起訴状によると、ホロシェフは2019年9月には早くもLockBitの開発を開始し、2024年までグループの管理者として活動し、その役割において、新たな提携メンバーを勧誘し、別名「LockBitSupp」として公にグループを代表し、提携メンバーがLockBit攻撃を展開するために使用するインフラの開発と維持を行っていたとされている。現在、Khoroshevは米国国務省の国際組織犯罪（TOC）懸賞プログラムを通じて最高1000万ドルの懸賞の対象となっており、情報はFBIのタレコミ情報ウェブサイト（www.tips.fbi.gov/）で受け付けている。
A total of seven LockBit members have now been charged in the District of New Jersey. Beyond Panev and Khoroshev, other previously charged LockBit defendants include:	現在、ニュージャージー地区で合計7人のLockBitメンバーが起訴されている。PanevとKhoroshev以外に、以前に起訴されたLockBit被告には以下が含まれる。
・In July, two LockBit affiliate members, Mikhail Vasiliev, also known as Ghostrider, Free, Digitalocean90, Digitalocean99, Digitalwaters99, and Newwave110, and Ruslan Astamirov, also known as BETTERPAY, offtitan, and Eastfarmer, pleaded guilty in the District of New Jersey for their participation in the LockBit ransomware group and admitted deploying multiple LockBit attacks against U.S. and foreign victims. Vasiliev and Astamirov are presently in custody awaiting sentencing.	・7月には、LockBitの関連メンバーであるMikhail Vasiliev（別名Ghostrider、Free、Digitalocean90、Digitalocean99、Digitalwaters99、Newwave110）とRuslan Astami 別名BETTERPAY、offtitan、Eastfarmerとして知られるロス・アスタミロフは、ニュージャージー地区で、LockBitランサムウェアグループへの参加を認め、米国および外国の被害者に対して複数のLockBit攻撃を展開したことを認めた。ワシリエフとアスタミロフは現在、判決を待って拘置されている。
・In February, in parallel with the disruption operation described above, an indictment was unsealed in the District of New Jersey charging Russian nationals Artur Sungatov and Ivan Kondratyev, also known as Bassterlord, with deploying LockBit against numerous victims throughout the United States, including businesses nationwide in the manufacturing and other industries, as well as victims around the world in the semiconductor and other industries. Sungatov and Kondratyev remain at large.	・2月には、上述の撲滅作戦と並行して、米国ニュージャージー地区で、ロシア国籍のアルトゥール・スンガトフとイワン・コンドラチェフ（別名：Bassterlord）が、米国中の多数の被害者（製造事業者を含む全米の事業者など）や、世界中の半導体産業などの被害者に対してLockBitを展開した容疑で起訴状が公開された。スンガトフとコンドラチェフは現在も逃亡中である。
・In May 2023, two indictments were unsealed in Washington, D.C., and the District of New Jersey charging Mikhail Matveev, also known as Wazawaka, m1x, Boriselcin, and Uhodiransomwar, with using different ransomware variants, including LockBit, to attack numerous victims throughout the United States, including the Washington, D.C., Metropolitan Police Department. Matveev remains at large and is currently the subject of a reward of up to $10 million through the U.S. Department of State’s TOC Rewards Program, with information accepted through the FBI tip website at www.tips.fbi.gov/.	・2023年5月、ワシントンD.C.とニュージャージー地区で、ワザワカ、m1x、ボリセルチン、ウホディランサムウェアとしても知られるミハイル・マトヴェーエフを、LockBitを含むさまざまなランサムウェアの亜種を使用してワシントンD.C.のメトロポリタン警察署を含む米国中の多数の被害者を攻撃した容疑で起訴した。マトヴェエフは依然として逃亡中で、現在、米国務省のTOC報奨プログラムを通じて最高1000万ドルの懸賞金がかけられている。情報はFBIのタレコミ情報ウェブサイト（www.tips.fbi.gov/）で受け付けている。
The U.S. Department of State’s TOC Rewards Program is offering rewards of:	米国国務省のTOC報奨プログラムでは、以下の報奨金を提示している。
・Up to $10 million for information leading to the arrest and/or conviction in any country of Khoroshev;	・Khoroshevの逮捕および／または有罪判決につながる情報に対して、最大1000万ドル
・Up to $10 million for information leading to the arrest and/or conviction of Matveev;	・Matveevの逮捕および／または有罪判決につながる情報に対して、最大1000万ドル
・Up to $10 million for information leading to the identification and location of any individuals who hold a key leadership position in LockBit; and	・LockBitの主要な指導的立場にある人物の身元および所在につながる情報に対して、最大1000万ドル
・Up to $5 million for information leading to the arrest and/or conviction in any country of any individual participating or attempting to participate in LockBit.	・LockBitに関与している、または関与を試みた人物の逮捕および/または有罪判決につながる情報に対しては、最大500万ドルが支払われる。
Information is accepted through the FBI tip website at tips.fbi.gov.	情報はFBIの情報ウェブサイト（tips.fbi.gov）で受け付けている。
Khoroshev, Matveev, Sungatov, and Kondratyev have also been designated for sanctions by the Department of the Treasury’s Office of Foreign Assets Control for their roles in launching cyberattacks.	また、サイバー攻撃の実行に関与したとして、ホロシェフ、マトヴェエフ、スンガトフ、コンドラチェフの4名は、財務省外国資産管理局（OFAC）により制裁対象に指定されている。
Victim Assistance	被害者支援
LockBit victims are encouraged to contact the FBI and submit information at www.ic3.gov/. As announced by the Department in February, law enforcement, through its disruption efforts, has developed decryption capabilities that may enable hundreds of victims around the world to restore systems encrypted using the LockBit ransomware variant. Submitting information at the IC3 site will enable law enforcement to determine whether affected systems can be successfully decrypted.	LockBitの被害者はFBIに連絡し、www.ic3.gov/で情報を提出することが推奨される。2月に同省が発表したように、法執行機関は、その妨害活動を通じて、世界中の数百人の被害者がLockBitランサムウェアの亜種で暗号化されたシステムを復元できる可能性がある復号化能力を開発した。IC3サイトで情報を提出することで、法執行機関は影響を受けたシステムが正常に復号化できるかどうかを判断できるようになる。
LockBit victims are also encouraged to visit www.justice.gov/usao-nj/lockbit for case updates and information regarding their rights under U.S. law, including the right to submit victim impact statements and request restitution, in the criminal litigation against Panev, Astamirov, and Vasiliev.	LockBitの被害者の方々には、事件の最新情報や、Panev、Astamirov、Vasilievに対する刑事訴訟において、被害影響声明の提出や損害賠償請求を行う権利など、米国法に基づく権利に関する情報を得るために、www.justice.gov/usao-nj/lockbitにアクセスすることも推奨する。
The FBI Newark Field Office, under the supervision of Acting Special Agent in Charge Nelson I. Delgado, is investigating the LockBit ransomware variant. Israel’s Office of the State Attorney, Department of International Affairs, and Israel National Police; France’s Gendarmerie Nationale Cyberspace Command, Paris Prosecution Office — Cyber Division, and judicial authorities at the Tribunal Judiciare of Paris; Europol; Eurojust; the U.K.’s NCA; Germany’s Landeskriminalamt Schleswig-Holstein, Bundeskriminalamt, and the Central Cybercrime Department North Rhine-Westphalia; Switzerland’s Federal Office of Justice, Public Prosecutor’s Office of the Canton of Zurich, and Zurich Cantonal Police; Spain’s Policia Nacional and Guardia Civil; Japan’s National Police Agency; Australian Federal Police; Sweden’s Polismyndighetens; Canada’s Royal Canadian Mounted Police; Politie Dienst Regionale Recherche Oost-Brabant of the Netherlands; and Finland’s National Bureau of Investigation have provided significant assistance and coordination in these matters and in the LockBit investigation generally.	FBIニューアーク支局は、ネルソン・I・デルガド特別捜査官代理の指揮の下、LockBitランサムウェアの亜種の捜査を行っている。イスラエル検察庁国際部およびイスラエル国家警察、フランスの国家憲兵隊サイバー空間コマンド、パリ検察庁サイバー犯罪課、およびパリ司法裁判所の司法当局、欧州刑事警察機構、欧州司法機構、英国の国家犯罪対策庁、ドイツのシュレースヴィヒ＝ホルシュタイン州警察、連邦警察、ノルトライン＝ヴェストファーレン州中央サイバー犯罪対策部門、スイス連邦司法省、チューリッヒ州検察局、チューリッヒ州警察、スペイン国家警察および国家治安警備隊、日本の警察庁、警察庁、オーストラリア連邦警察、スウェーデン警察、カナダ王立騎馬警察、オランダ・ブラバント州警察、フィンランド国家捜査局は、これらの問題およびLockBitの捜査全般において、多大な支援と調整を提供している。
Trial Attorneys Debra Ireland and Jorge Gonzalez of the Criminal Division’s Computer Crime and Intellectual Property Section (CCIPS) and Assistant U.S. Attorneys Andrew M. Trombly, David E. Malagold, and Vinay Limbachia for the District of New Jersey are prosecuting the charges against Panev and the other previously charged LockBit defendants in the District of New Jersey.	ニュージャージー地区の刑事部門コンピュータ犯罪・知的財産課（CCIPS）のデブラ・アイルランドおよびホルヘ・ゴンザレス両弁護士、およびニュージャージー地区の米国連邦検事のアンドリュー・M・トロンブリー、デビッド・E・マラゴールド、ヴィナイ・リンバキア各補佐官が、ニュージャージー地区でパネフおよび以前に告発された他のLockBit被告に対する告訴を担当している。
The Justice Department’s Cybercrime Liaison Prosecutor to Eurojust, Office of International Affairs, and National Security Division also provided significant assistance.	司法省の欧州司法機構サイバー犯罪連絡検事、国際問題担当部署、国家安全保障ディビジョンも多大な支援を提供した。
Additional details on protecting networks against LockBit ransomware are available at StopRansomware.gov. These include Cybersecurity and Infrastructure Security Agency Advisories AA23-325A, AA23-165A, and AA23-075A.	LockBitランサムウェアに対するネットワーク防御に関する詳細は、StopRansomware.govで入手できる。これには、サイバーセキュリティ・インフラセキュリティ庁の勧告AA23-325A、AA23-165A、AA23-075Aが含まれる。
A criminal complaint is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law.	刑事告訴は単なる申し立てに過ぎない。被告人は、法廷で合理的な疑いを越えて有罪が証明されるまでは、無罪と推定される。

起訴状

・[PDF]

・[DOCX][PDF]仮訳

LockBit

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.02 Europol Lockbit関係者を新たに逮捕し、経済制裁も加える

・2024.05.08 英国米国オーストラリア LockBitの管理者に対する新たな一連の措置を発表

・2024.02.21 警察庁ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウン関係とランサムウェアによる暗号化被害データに関する復号ツールの開発

・2024.02.21 米国英国 LockBitのネットワークに侵入し破壊

・2023.09.13 英国 NCSC ランサムウェア、恐喝、サイバー犯罪のエコシステムについての白書

・2023.07.26 Europol インターネット組織犯罪評価（IOCTA）2023 (2023.07.19)

・2023.06.16 Five Eyes ドイツフランス LookBitに対する包括的なアドバイザリーを公表

・2023.05.20 米国司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

・2023.03.29 米国司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

2024.12.30 07:15 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

公安調査庁サイバー空間における脅威の概況2024 (2024.12)

こんにちは、丸山満彦です。

こちら、見逃していました。。。最近毎年発行しています。。。

● 公安調査庁

・2024.12 [PDF] サイバー空間における脅威の概況パンフレット [downloaded]

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.08 公安調査庁サイバー空間における脅威の概況2023 (2023.05.25)

・2022.04.17 公安調査庁サイバー空間における脅威の概況2022

2024.12.30 00:00 in 情報セキュリティ / サイバーセキュリティ, in フィッシング, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

2024.12.29

ENISA 年次報告書 - 2023年トラストサービス・セキュリティ・インシデント (2024.12.20)

こんにちは、丸山満彦です。

ENISAがトラストサービス・セキュリティインシデント 2023年を公表していました。。。EUのトラストサービス部門のセキュリティインシデント報告が公表されていましたね。。。今年で7年目でEU27カ国とEEA3カ国が参加しています。。。
2023年に通知された違反の集計概要を提供し、根本原因、統計、傾向を分析したもののようですね。。。

1年前の話ですが、ENISAが各国から情報を受け取るのが定期的なので、分析期間も含めると、時間がたった報告書になってしまいますね...

なお、分析はENISAのCIRAS（the Cybersecurity Incident Reporting and Analysis System）でみることができます...

各企業でこれから、サイバーダッシュボードを作成する企業が増えてくると思いますが、CIRASのダッシュボードを参考にしてもよいかもです...

● ENISA

・2024.12.20 Annual Report - Trust Services Security Incidents 2023

Annual Report - Trust Services Security Incidents 2023

年次報告書 - 2023年トラストサービス・セキュリティ・インシデント

ENISA’s 2023 report on trust services security incidents provides the seventh round of security incident reporting for the EU’s trust services sector, analysing root causes, statistics and trends. It is an aggregated overview of the reported breaches for 2023 as conveyed to ENISA and the Commission by 27 EU Member States and 3 EEA countries.

ENISAのトラストサービス・セキュリティ・インシデントに関する2023年版報告書は、EUのトラストサービス部門に関する第7回目のセキュリティ・インシデント報告であり、根本原因、統計、傾向を分析している。本報告書は、EU加盟27カ国およびEEA3カ国からENISAおよび欧州委員会に報告された2023年のセキュリティ侵害の概要をまとめたものである。

・[PDF]

仮対訳...

・CIRAS

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.12.09 ENISA トラストサービス・セキュリティインシデント 2022年 (2023.11.30)

仮対訳...

Continue reading "ENISA 年次報告書 - 2023年トラストサービス・セキュリティ・インシデント (2024.12.20)"

2024.12.29 04:24 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | Permalink | Comments (0)
Tweet

2024.12.28

内閣官房内閣サイバー官（特別職、次官級）・国家サイバー統括室の新設と【内閣府】防災監（次官級）の新設（政府の災害対応の司令塔機能の抜本的強化）(2024.12.27)

こんにちは、丸山満彦です。

2024年12月27日の臨時閣議において、

令和７年度一般会計歳入歳出概算について（決定）（財務省）
令和７年度税制改正の大綱について（決定）（財務・総務省）

が決まりましたね...

政府の一般会計の入りと出の概要が決まったということですかね...

その中で...

サイバー安全保障の対応能力向上のための体制整備として、

● 内閣官房に

・内閣サイバー官（特別職、次官級）

・国家サイバー統括室の新設

・内閣審議官（2名）の恒常化

● 内閣府に

政府の災害対応の司令塔機能の抜本的強化のために

・防災監（次官級）の新設

することにしたようですね...

● 内閣

・2024.12.27 内閣官房長官記者会見（午前）

● 官邸 - 令和６年１２月２７日（金）臨時閣議案件

● 財務省 - 令和７年度予算政府案

● 総務省 - 令和7年度税制改正要望の結果

● 内閣官房 - 機構・定員等審査結果（内閣官房ＨＰ）

・2024.12.27 [PDF] 令和７年度機構・定員等審査結果

1 機構

既存機構を廃止等しつつ必要な体制を整備。以下は主な新設（名称は仮称）。

【内閣官房】

サイバー安全保障の対応能力向上のための体制整備
（内閣サイバー官（特別職、次官級）・国家サイバー統括室の新設、内閣審議官（2）の恒常化）

【内閣府】

防災監（次官級）の新設（政府の災害対応の司令塔機能の抜本的強化）

【公正取引委員会】

デジタル・国際総括審議官の新設（スマホソフトウェア競争促進法施行に伴う執行体制の強化）

【デジタル庁】

総括審議官の新設（政府全体の DX政策推進のためのデジタル庁の官房機能強化）

2 定員

防災、DXの推進、サイバー安全保障など、内閣の重要課題の遂行に不可なものに絞り込んだ上で、災害対応など面対応が必要なものは時限定員で措置するなど、メリハリをつけて体制を整備し、全体で4,768人の増員。
一方、既存業務の終了や業務改革の推進等により、A3,554人の減員。

....

内閣官房等...

サイバーセキュリティ対策の強化に伴う体制整備49、経済安全保障の推進体制の強化 10

人口は減り、GDPもほぼ横ばいが30年間以上つづいているけど、政府職員の人数と予算は増える...

報道

● NHK

・2024.12.27 来年度予算案閣議決定一般会計の総額115兆円余で過去最大に

・2024.12.27 「防災立国」へ内閣府の防災担当を110人増員防災監の新設も

来年度の国家公務員の定員について、政府は石破総理大臣が重視する防災対策を強化するため内閣府の担当を110人増員して2倍にするほか、事務次官級の「防災監」のポストを新たに設けることを決めました。

27日の臨時閣議で決定した来年度の国家公務員の定員では、石破内閣が掲げる「防災立国」の実現に向けて、内閣府の防災担当を110人増員して2倍にするほか、国土交通省の防災・減災などの体制を強化し、地方整備局を含めて351人増やすとしています。

またサイバーセキュリティー対策の強化などのため、内閣官房に78人を新たに配置するほか、旧優性保護法をめぐる新たな補償が来月始まることなどを受けて、こども家庭庁に40人増員するとしています。

一方、業務改革の推進などにより3554人減らし、全体では産休や介護休暇などの取得に備えて確保する人員も含めて、今年度と比べて614人増やすとしています。

このほか組織の見直しでは、いずれも事務次官級のポストとして、災害対応の司令塔となる「防災監」を内閣府に、サイバー安全保障の対応にあたる「内閣サイバー官」を内閣官房に新設するとしています。

● 毎日新聞

・2024.12.27 次官級「内閣サイバー官」と「防災監」を新設　政府、25年度から

政府は27日、2025年度の組織改編で、サイバー安全保障の体制強化に向けて内閣官房に設置されている「内閣サイバーセキュリティセンター」（NISC）を「国家サイバー統括室」に改め、トップとして次官級の「内閣サイバー官」を新設すると発表した。サイバー攻撃を未然に防ぐ「能動的サイバー防御」（ACD）を可能とする法案を来年の通常国会に提出予定で、統括室をサイバー安保の司令塔組織に位置づける。定員もNISCの188人から233人に増員する。

　また、石破茂内閣が看板政策に掲げる防災対応の強化として、内閣府に次官級の「防災監」を新設する。省庁横断の迅速な災害対応につなげる狙いがある。【村尾哲】

官邸...

2024.12.28 05:19 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 新エネルギー, in 安全保障 | Permalink | Comments (0)
Tweet

ENISA Cyber Europe 2024 After Action Report (2024.12.10)

こんにちは、丸山満彦です。

ENISAがサイバー・ヨーロッパ 2024 活動報告書を公表していますね...

サイバー・ヨーロッパ 2024の演習は、エネルギー部門のレジリエンスを高めるための演習 (Exercise) で、演習に対する教訓がいくつかあったようです。

演習の進め方についてパターン化していくというのも重要でしょうね...

事前、期間中、事後に収集されたデータから識別された教訓

識別された教訓	緩和策の所有者	目標期限
1. 評価プロセスに地元のプランナーも参加させる	ENISAおよびMSプランナー	次の演習前
2. プレイヤーにフィードバックを提供する	ENISAおよびMSプランナー	次の演習
3. 幅広い意見を反映させる	MSプランナー	2026年夏前
4. エクササイズのシナリオを調整する可能性についてコミュニケーションを図り、宣伝する（国の状況に合わせて）	ENISAおよびMSプランナー	2026年夏前
5. 注入の実施と結果のトラッキング用ダッシュボードを提供	ENISA	2026年夏前

サイバー・ヨーロッパ2024の企画と計画から識別された教訓

識別された教訓	緩和策の所有者	目標期限
1. 技術面およびロジスティクス面の準備を確実に	ENISAおよびMSプランナー	次の演習前
2. プランナーとのより早い段階での意思決定を促進する	ENISA	次の演習前
3. 詳細な文書と情報を一元化された場所で共有する	MSプランナー	次の演習前

プレイヤーの自己アセスメントから識別された教訓

Lessons identified	識別された課題
from Players' self-assessment	プレイヤーの自己評価から
As previously mentioned, the analysis presented in this section results from data obtained from at least 64% of the Players involved in this exercise.	前述の通り、このセクションで提示する分析は、この演習に参加したプレイヤーの少なくとも64%から得られたデータに基づいている。
Preparedness	準備態勢
Before Cyber Europe 2024, Players had moderate confidence in key areas, with substantial room for improvement in familiarity and communication practices. After the exercise, there was a noticeable positive shift in Players' self-assessment across several metrics such as promoting initiatives to increase awareness and implementing business continuity processes. The exercise pinpointed areas needing improvement, such as resource adequacy and cross-border coordination.	サイバー・ヨーロッパ2024以前、プレイヤーは主要分野について中程度の自信を持っており、知識とコミュニケーションの実践方法については大幅な改善の余地があった。演習後、意識向上のためのイニシアティブの推進や事業継続プロセスの実施など、いくつかの評価基準において、プレイヤーの自己評価に顕著な前向きな変化が見られた。演習では、リソースの適切性や国境を越えた調整など、改善が必要な分野が特定された。
Initially, more than half of the experts had reservations about their preparedness. Post-ex, 82% indicated they could effectively implement business continuity processes within their organisations and 64% of Players expressed intent to promote cybersecurity awareness initiatives within their organisations. This improvement highlights the benefits of targeted training and preparedness initiatives.	当初、半数以上の専門家が自らの準備態勢に不安を抱いていた。演習後、82%が自組織内で事業継続プロセスを効果的に実施できると回答し、64%の専門家が自組織内でサイバーセキュリティ意識向上の取り組みを推進する意向を示した。この改善は、的を絞ったトレーニングと準備態勢の取り組みのメリットを浮き彫りにしている。
Collaboration	コラボレーション
Before Cyber Europe 2024, the confidence levels among Players varied across different areas of collaboration and was mainly moderate. Effective information sharing across Players saw high confidence levels. Overall, the pre-event data highlights room for improvement in certain aspects of collaboration.	サイバー・ヨーロッパ2024以前は、プレイヤー間の信頼レベルは協力の分野によって異なり、主に中程度であった。プレイヤー間の効果的な情報共有については、高い信頼レベルが見られた。全体として、イベント前のデータは、協力の特定の側面における改善の余地を浮き彫りにしている。
Upskilling and training	スキルアップとトレーニング
Post-event performance highlights the value of hands-on training and practical simulations. 83% of Players expressed their intent to evaluate and improve their skills by participating in future exercises, showing sustained and growing enthusiasm for ongoing professional development in cybersecurity.	演習後のパフォーマンスは、実地訓練と実践的なシミュレーションの価値を浮き彫りにした。83%の参加者は、今後の演習への参加を通じてスキルを評価し改善する意向を示しており、サイバーセキュリティにおける継続的かつ高まる専門能力開発への意欲を示している。
Incident Management	インシデント管理
Before the exercise, Players exhibited varied levels of confidence in their cybersecurity incident management abilities, highlighting a general sense of uncertainty and the need for enhanced training and preparedness. Slightly less than half of the Players were unsure or lacked confidence in their capacity to disseminate situational information effectively during the exercise. After the event, Players' assessments were notably positive, demonstrating that their capabilities in detecting, analysing, and responding to cybersecurity incidents are established.	演習前、参加者はサイバーセキュリティ・インシデント対応能力に対する自信の度合いが様々であり、一般的な不安感と、トレーニングと準備の強化の必要性を浮き彫りにした。演習中、参加者の半数弱は、状況情報を効果的に伝達する能力に自信が持てず、または自信がなかった。イベント後、参加者のアセスメントは著しくポジティブなものとなり、サイバーセキュリティ・インシデントの検知、分析、対応能力が確立されていることを示した。
Cyber Europe 2024 significantly enhanced Players' views on preparedness and confidence in handling cybersecurity incidents. This increase in confidence underscores the value of such simulation exercises in reinforcing practical skills and adherence to established procedures. However, to ensure consistently high performance across all scenarios, ongoing training and targeted improvements are recommended.	サイバーヨーロッパ2024は、プレイヤーのサイバーセキュリティインシデントへの備えとハンドリングに対する自信を大幅に向上させた。この自信の向上は、このようなシミュレーション演習が実践的なスキルと確立された手順の遵守を強化する上で価値があることを裏付けている。しかし、すべてのシナリオで一貫して高いパフォーマンスを確保するためには、継続的なトレーニングと的を絞った改善が推奨される。
Awareness	意識向上
Cyber Europe 2024 was designed to evaluate awareness of cybersecurity-related issues and underscore the importance of cybersecurity preparedness. The exercise aimed to raise Player’s cybersecurity awareness within their organisation and enhance their skills. Following the exercise, a notable 64% of Players expressed their intention to promote initiatives to increase cybersecurity awareness within their organisations.	Cyber Europe 2024は、サイバーセキュリティ関連の問題に対する認識を評価し、サイバーセキュリティ対策の重要性を強調するために設計された。この演習は、参加者の組織内でのサイバーセキュリティに対する認識を高め、スキルを向上させることを目的としていた。演習後、参加者の64%が、組織内でのサイバーセキュリティに対する認識を高めるための取り組みを推進する意向を示した。
Cooperation and information sharing	協力と情報共有
This capability area aimed to assess Players' participation in EU and other relevant networks, including CSIRTs networks, and their cooperation at national, EU, and international levels. Before Cyber Europe 2024, confidence levels varied, with moderate preparedness and room for improvement with regards to collaboration. After the exercise, there was a noticeable improvement in cooperation and information sharing, with strong performance in communicating data breaches and coordinating responses. However, participation in EU-level networks remained moderate, indicating potential for enhanced engagement.	この能力分野では、CSIRTネットワークを含むEUおよびその他の関連ネットワークへの参加と、各国、EU、国際レベルでの協力について、プレイヤーのアセスメントを行うことを目的とした。Cyber Europe 2024以前は、信頼レベルは様々であり、協力に関しては、中程度の準備と改善の余地があった。演習後には、データ侵害のコミュニケーションや対応の調整において優れたパフォーマンスがみられ、協力や情報共有の面で顕著な改善が見られた。しかし、EUレベルのネットワークへの参加は依然として限定的であり、さらなる関与の可能性を示唆している。

● ENISA

・2024.12.10 Cyber Europe 2024 After Action Report

Cyber Europe 2024 - After Action Report	サイバー・ヨーロッパ2024 - 活動報告書
The after action report provides an overview of the 2024 edition of the Cyber Europe exercise which was conducted in June and aimed at identifying gaps and increasing cybersecurity preparedeness and resilience.	この活動報告書では、2024年版サイバー・ヨーロッパ演習の概要を説明している。この演習は6月に実施され、ギャップの特定とサイバーセキュリティの準備態勢および回復力の強化を目的としていた。

・[PDF]

目次...

PART 01: EXERCISE OVERVIEW	パート 01：概要
• Introduction	• 序文
• Methodology	• 方法論
• Scenario	• シナリオ
PART 02: KEY INSIGHTS	パート 02：主な洞察
• Players' insights	• プレーヤーの洞察
• Planners' insights	• プランナーの洞察
• Findings and observations	• 調査結果と観察結果
PART 03: LESSONS IDENTIFIED AND RECOMMENDATIONS FOR IMPROVEMENT	パート 03：識別された教訓と改善のための推奨事項
• Lessons identified from data collected before, during and after	• 事前、期間中、事後に収集されたデータから識別された教訓
• Lessons identified from organising and planning Cyber Europe 2024	• サイバー・ヨーロッパ2024の企画と計画から識別された教訓
• Lessons identified from Players' self-assessment	• プレイヤーの自己アセスメントから識別された教訓
• Moving forward	• 今後の展望
PART 04: CLOSING REMARKS	パート04：結びの言葉
• Closing remarks	• 結びの言葉
ANNEX	附属書
• Cyber Europe 2024 in numbers	• サイバー・ヨーロッパ2024に関する数
• Mapping of Players' roles with European Cybersecurity Skills Framework	• プレイヤーの役割と欧州サイバーセキュリティ技能枠組みの対応付け
• Glossary	• 用語集

PART 01: EXERCISE OVERVIEW	パート 01：概要
Introduction	序文
Cyber Europe is a series of European Union-level cyber incident and crisis management exercises organised by the European Union Agency for Cybersecurity (ENISA)[1], intended for both the public and private sector across the European Union and European Free Trade Association (EFTA) Member States. These exercises simulate the escalation of large-scale cybersecurity incidents into cybersecurity crises. They provide opportunities to analyse sophisticated technical cybersecurity incidents and assess participants' ability to manage complex scenarios.	サイバー・ヨーロッパは、欧州連合（EU）および欧州自由貿易連合（EFTA）加盟国における官民両部門を対象に、欧州連合サイバーセキュリティ機関（ENISA）[1]が主催するEUレベルのサイバーインシデントおよび危機管理演習シリーズである。これらの演習は、大規模サイバーセキュリティインシデントがサイバーセキュリティ危機へとエスカレートする状況をシミュレートする。高度な技術的サイバーセキュリティインシデントを分析し、複雑なシナリオを管理する参加者の能力をアセスメントする機会を提供する。
Cyber Europe 2024, which focused on the energy sector, took place from 19 to 20 June in a hybrid format; it was coordinated from the Exercise Control Centre in Athens, Greece, where the organising team and most national Planners were based. (Local) Planners were involved with preparing, designing, and organising their teams' participation, determining objectives, scenarios, and logistics. During the cybersecurity exercise, they were responsible for coordinating participant involvement, ensuring the exercise runs smoothly, and monitoring the progress of the exercise at the organisational level. They assisted the Players with any questions they had about the scenario.	エネルギー部門に焦点を当てた「サイバー・ヨーロッパ 2024」は、ハイブリッド形式で6月19日から20日にかけて実施された。この演習は、ギリシャのアテネにある演習統制センターで調整され、そこには主催チームとほとんどの国家プランナーが配置された。（ローカル）プランナーは、チームの参加準備、設計、編成、目標、シナリオ、ロジスティクスの決定に関与した。サイバーセキュリティ演習中には、参加者の関与を調整し、演習が円滑に進行するよう確保し、組織レベルでの演習の進捗状況を監視する責任を担った。また、シナリオに関する質問があれば、プレーヤーを支援した。
The local Planners, along with the Players, participated online. Players were the individuals or entities actively involved in exercise. They contributed to Cyber Europe 2024 by executing assigned tasks, making decisions, and responding to simulated events or incidents. Recognising the energy sector's critical importance to the EU’s economic growth and development, and its status as a prime target for cyberattacks, this year's exercise scenario was carefully designed to help stakeholders - including companies and industry leaders - prepare for, and proactively address, evolving cybersecurity threats.	ローカルプランナーは、プレーヤーとともにオンラインで参加した。プレーヤーは、演習に積極的に関与する個人または事業体であった。プレーヤーは、割り当てられたタスクの実行、意思決定、模擬イベントやインシデントへの対応を通じて、Cyber Europe 2024 に貢献した。エネルギー部門がEUの経済成長と発展にとって極めて重要であり、サイバー攻撃の主な標的となっていることを踏まえ、今年の演習シナリオは、企業や業界リーダーを含む関係者が、進化するサイバーセキュリティの脅威に備え、積極的に取り組むことができるよう、慎重に設計された。
In general, the purpose of Cyber Europe 2024 was to ensure the adequacy and improve processes/ standard operating procedures (SOPs), internal cooperation, relationships within the teams of Planners and Players, clear internal communication channels, the capacity to deal with cybersecurity crises and improve the public relations response during cybersecurity crises. Additionally, Cyber Europe 2024 also focused on raising awareness at the corporate level about the importance of cybersecurity preparedness and the value of investing in cybersecurity.	一般的に、サイバー・ヨーロッパ2024の目的は、適切性を確保し、プロセス/標準作業手順（SOP）、内部協力、プランナーとプレイヤーのチーム内での関係、明確な内部コミュニケーションチャネル、サイバーセキュリティ危機への対応能力、サイバーセキュリティ危機における広報対応の改善を改善することにあった。さらに、サイバー・ヨーロッパ2024では、企業レベルでのサイバーセキュリティ対策の重要性とサイバーセキュリティへの投資価値についての意識向上にも重点が置かれた。
The following sectors were taking part in the cybersecurity exercise with each their own purpose and different aims.	以下の各セクターは、それぞれ独自の目的と異なる目標を持って、サイバーセキュリティ演習に参加した。
Energy sector	エネルギーセクター
The specific sectorial entities targeted were Electricity Transmission and Distribution System Operators and Gas Storage Operators. Cyber Europe 2024 concentrated on ensuring compliance with relevant national legislation, particularly concerning reporting obligations. It aimed to enhance the adequacy and effectiveness of dedicated structures for managing cybersecurity crises at the national level, as well as to improve the contributions of energy sector entities and networks at the EU level concerning awareness and readiness during a cybersecurity crisis. Another key aim of Cyber Europe 2024 was to strengthen the effectiveness of communication channels with relevant supply chain actors during a cybersecurity crisis, ensuring that the information exchanged is complete, high-quality, and timely. These aims are also applicable for EU level sectorial networks.	具体的に対象となったのは、送配電事業者およびガス貯蔵事業者であった。サイバー・ヨーロッパ2024は、特に報告義務に関する関連国内法の順守に重点を置いた。また、サイバーセキュリティ危機への対応能力を国家レベルで管理する専門組織の適切性と有効性を高め、サイバーセキュリティ危機における意識と対応能力に関して、エネルギー事業体とネットワークのEUレベルでの貢献を改善することを目指した。サイバー・ヨーロッパ2024のもう一つの主要な目的は、サイバーセキュリティ危機発生時に、関連サプライチェーンの事業体とのコミュニケーション・チャネルの有効性を強化し、交換される情報が完全かつ高品質で、かつタイムリーであることを確保することである。これらの目的は、EUレベルの部門別ネットワークにも適用される。
Digital Infrastructure and Public Administration sector	デジタルインフラおよび公共行政部門
The specific sectorial entities targeted were Data Centre Service Providers (Digital Infrastructure) and National Energy Regulators (Public Administration). One of the aims was to improve the response of indirectly affected sectors during cybersecurity crises impacting the energy sector. Another aim focused on advancing national progress in implementing Network and Information Systems Directive (NIS2)[2] provisions related to incident reporting for Public Administration.	対象となった特定の部門は、データセンター・サービス・プロバイダ（デジタルインフラ）と国家エネルギー規制当局（公共行政）である。その目的の一つは、エネルギー部門に影響を与えるサイバーセキュリティ危機が発生した際に、間接的に影響を受ける部門の対応を改善することである。もう一つの目的は、公共行政のインシデント報告に関するネットワークと情報システム指令（NIS2）[2]の規定を実施するにあたり、国家の進歩を促進することに焦点を当てたものである。
EU level cybersecurity networks	EUレベルのサイバーセキュリティネットワーク
Cyber Europe 2024 also had specific aims for the Computer Security Incident Response Team (CSIRT) Network and the European Cyber Crisis Liaison Organisation Network (EUCyCLONe). These included ensuring the adequacy of EU-level operational cooperation and escalation mechanisms during cybersecurity crises and ensuring the existence, adequacy, effectiveness, and speed of communication channels and SOPs between CNW (CSIRTs Network), and EU-CyCLONe. An additional aim was to assess the completeness, quality, and timeliness of information exchange.	サイバー・ヨーロッパ2024は、コンピュータセキュリティ・インシデント対応チーム（CSIRT）ネットワークと欧州サイバー危機連絡組織ネットワーク（EUCyCLONe）にも具体的な目標を定めていた。これには、サイバーセキュリティ危機発生時のEUレベルでの運用協力とエスカレーションメカニズムの適切性の確保、およびCNW（CSIRTネットワーク）とEU-CyCLONe間のコミュニケーションチャネルと標準業務手順書（SOP）の存在、適切性、有効性、および迅速性の確保が含まれていた。さらに、情報交換の完全性、品質、および適時性をアセスメントすることも目的としていた。
EU institutions, bodies, and agencies	EUの機構、団体、および機関
Cyber Europe 2024 also had the aim for ENISA Operational Cooperation Unit, CERT-EU and EC3 (European Cyber Crime Centre) to ensure the adequacy and improve their internal processes/SOPs and ensure the adequacy, effectiveness and rapidness of the communication channels and SOPs between EUIBAs and EU level networks.	Cyber Europe 2024は、ENISAの業務協力部門、CERT-EU、およびEC3（欧州サイバー犯罪センター）が、内部プロセス/標準操作手順の適切性を確保し、改善すること、およびEU-IBAsとEUレベルのネットワーク間のコミュニケーションチャネルと標準操作手順の適切性、有効性、迅速性を確保することを目的としていた。
[1] A glossary of terms used in this document is provided in page 34.	[1] 本書で使用される用語の一覧は、34ページに記載されている。
^[2] Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) available at Directive - 2022/2555 - EN - EUR-Lex (europa.eu)	^[2] 2022年12月14日付欧州議会および理事会の指令（EU）2022/2555は、欧州連合全体におけるサイバーセキュリティの共通水準の高度化に関する措置について規定し、規則（EU）第910/2014号および指令（EU）2018/1972を改正し、指令（EU）2016/1148（NIS 2指令）を廃止する。指令 - 2022/2555 - EN - EUR-Lex (europa.eu)
Methodology	方法論
This After-Action Report was created to present the results of Cyber Europe 2024 based on the predefined Evaluation Framework and methodology. This evaluation framework was developed by ENISA, derived from the Network and Information Security Directive (NIS2), and will be published at a later stage. The report contains expectations and feedback from participants, including both Players and Planners, which will be further explained in this chapter.	この活動報告書は、あらかじめ定められた評価枠組みと方法論に基づいて、Cyber Europe 2024 の結果を提示するために作成された。この評価枠組みは ENISA によって開発され、ネットワークおよび情報セキュリティ指令（NIS2）から派生したものであり、後日公開される予定である。この報告書には、参加者（プレーヤーおよびプランナーの両方）からの期待やフィードバックが含まれており、本章でさらに詳しく説明する。
The data collection for Cyber Europe 2024 was conducted through various methods before, during, and after the cybersecurity exercise to ensure a comprehensive evaluation of the participants' performance and the effectiveness of the systems and processes in place. This multi-stage approach allowed for a thorough analysis of different aspects of the exercise.	サイバー・ヨーロッパ2024のデータ収集は、参加者のパフォーマンスと、導入されているシステムおよびプロセスの有効性を包括的に評価するために、サイバーセキュリティ演習の前、最中、後にさまざまな方法で実施された。この多段階のアプローチにより、演習のさまざまな側面を徹底的に分析することが可能となった。
Before Cyber Europe 2024	サイバー・ヨーロッパ2024の実施前
Data was primarily gathered through surveys designed to capture the participants' expectations and Players’ self-assessed confidence levels. These pre-exercise surveys provided baseline information that helped the evaluators understand the initial conditions and expectations of the Planners and Players.	主に、参加者の期待とプレーヤーの自己評価による信頼度を把握するためのアンケートを通じてデータが収集された。この事前調査アンケートにより、評価者がプランナーとプレーヤーの初期条件と期待を理解するための基本情報が提供された。
During Cyber Europe 2024	サイバー・ヨーロッパ2024実施中
A more dynamic and real-time approach to data collection was employed during the exercise. Observers and feedback collectors with evaluation responsibilities gathered data through direct observations, 1-on-1 interviews, and social listening. This approach allowed for immediate documentation of events and participant responses as they unfolded. The use of hotwash sessions, which are immediate debriefing meetings held at the end of the exercise to gather participants' feedback and discuss what worked well and what did not, further facilitated the collection of feedback from Planners, facilitating the timely recording of issues and successes.	演習中には、より動的でリアルタイムなデータ収集アプローチが採用された。評価責任を担うオブザーバーとフィードバック収集者は、直接観察、1対1のインタビュー、ソーシャルリスニングを通じてデータを収集した。このアプローチにより、イベントと参加者の反応が展開するにつれて、即座に文書化することが可能となった。また、演習の最後に開催される即時報告会であるホットウォッシュセッションを活用し、参加者のフィードバックを収集し、うまくいったこととうまくいかなかったことを話し合うことで、プランナーからのフィードバック収集がさらに促進され、問題点や成功事例をタイムリーに記録することが可能となった。
After Cyber Europe 2024	サイバー・ヨーロッパ2024実施後
The day after the exercise, the focus shifted to reflective and analytical data collection methods. Feedback surveys were distributed to participants to assess whether the exercise met their expectations, while post-exercise self-assessment surveys allowed Players to evaluate their own performance. These post-event surveys were important to compare the outcomes with pre-exercise expectations.	演習の翌日からは、反省と分析を目的としたデータ収集方法に焦点が移った。演習が参加者の期待に沿うものだったかどうかを評価するために、参加者にフィードバック調査が配布された。また、演習後の自己評価調査では、各プレイヤーが自身のパフォーマンスを評価することができた。これらの事後調査は、演習前の期待と結果を比較する上で重要であった。
The combination of these methods has provided a comprehensive view of the exercise's effectiveness and highlighted opportunities for enhancement in future iterations. By analysing both immediate feedback and long-term reflections, ENISA was able to draw comprehensive conclusions and identify potential areas for improvement.	これらの手法を組み合わせることで、演習の有効性に関する包括的な見解が得られ、今後の改善の機会が浮き彫りになった。ENISAは、即時のフィードバックと長期的な考察の両方を分析することで、包括的な結論を導き出し、改善の可能性がある領域を識別することができた。
It is more crucial than ever to act on these suggested improvements in a timely manner to enhance effectiveness and achieve a tangible impact. To ensure the implemented changes meet the intended and desired effect, relevant parts of the scenario could be replayed and assessed for their effectiveness.	効果を高め、目に見える成果を達成するためには、これらの改善提案をタイムリーに実行することがこれまで以上に重要である。実施された変更が意図した効果を確実に達成できるよう、シナリオの関連部分を再実行し、その効果をアセスメントすることも可能である。
Scenario	シナリオ
The general purpose of the exercise scenario was to assess how well European stakeholders are prepared to handle a complex and ongoing cyberattack. For instance, due to the growing pressure of incidents together with the number and intensity of these incidents, the scenario aimed to test the sector's ability to keep operations running, protect vital infrastructure, and respond effectively to various threats that could have serious economic and social impacts. Additionally, the scenario emphasised the importance of situational awareness, aiming to enhance participants' ability to perceive, understand, and anticipate the potential impacts of cyber threats in real-time. By doing so, the scenario aimed to improve participants' understanding of the strategic impact of cyber-attacks in the energy sector, as such attacks could be used for broader geopolitical goals.	演習シナリオの一般的な目的は、ヨーロッパのステークホルダーが複雑かつ継続中のサイバー攻撃への対応にどの程度備えているかをアセスメントすることだった。例えば、インシデントの数と深刻度が増すにつれ、インシデントの圧力が高まるため、このシナリオでは、業務を継続し、重要なインフラを防御し、深刻な経済的・社会的影響をもたらす可能性のあるさまざまな脅威に効果的に対応する能力をテストすることを目的とした。さらに、このシナリオでは状況認識の重要性を強調し、参加者がサイバー脅威の潜在的な影響をリアルタイムで感知、理解、予測する能力を高めることを目指した。これにより、エネルギー分野におけるサイバー攻撃が、より広範な地政学的目標のために利用される可能性があることから、このシナリオでは、サイバー攻撃が戦略的に与える影響について参加者の理解を深めることを目指した。
By challenging the Players to handle a complex crisis in a realistic environment, the exercise aimed to provide important insights into where improvements are needed to strengthen the sector's overall cyber resilience.	プレイヤーに現実的な環境で複雑な危機に対処させることで、この演習は、エネルギー部門全体のサイバーレジリエンスを強化するために改善が必要な分野について重要な洞察を得ることを目的としている。
The exercise scenario was designed to create a realistic and challenging setting to test the EU's cyber resilience, especially in the energy sector. Different types of threat actors were included to simulate the complexity and variety of real-world cyber threats. The scenario was made more realistic by adding various simulated roles, such as government spokespersons, journalists, and network operations teams, which the Players were required to interact with during the exercise. The Players, representing key stakeholders in the energy sector, such as Electricity Transmission and Distribution System Operators, Gas Storage Operators, Data Centre Service Providers and National Energy Regulators were expected to respond to the events as they unfolded. Their responsibilities were to manage the crisis, reduce the impact of the cyber-attacks, and ensure the continued operation of essential energy infrastructure.	この演習のシナリオは、EUのサイバーレジリエンス、特にエネルギー部門のレジリエンスをテストするために、現実的で挑戦的な設定を創り出すように設計された。現実世界のサイバー脅威の複雑性と多様性をシミュレートするために、さまざまなタイプの脅威行為者が登場した。シナリオは、政府のスポークスパーソン、ジャーナリスト、ネットワーク運用チームなど、さまざまな役割を追加することで、より現実的なものとなった。演習中、参加者はこれらの役割とやりとりすることが求められた。電力送配電システム運用者、ガス貯蔵運用者、データセンター・サービス・プロバイダ、国家エネルギー規制当局など、エネルギー分野の主要な利害関係者を代表する参加者は、事態の展開に応じて対応することが求められた。彼らの責任は、危機を管理し、サイバー攻撃の影響を軽減し、不可欠なエネルギーインフラの継続的な運用を確保することだった。
The results and key findings from the scenario, including the performance of both Planners and Players, will be further elaborated in Part 2.	シナリオの結果と主な調査結果、およびプランナーとプレイヤーのパフォーマンスについては、パート2でさらに詳しく説明する。

2024.12.28 04:39 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

米国 NIST IR 8498 スマートインバーターのサイバーセキュリティ：住宅および小規模商業用ソーラーエネルギーシステムのためのガイドライン(2024.12.20)

こんにちは、丸山満彦です。

NISTがIR 8498 スマートインバーターのサイバーセキュリティ：住宅および小規模商業用ソーラーエネルギーシステムのためのガイドラインを公表していますね...

トランプ大統領になり、太陽光発電の政策に変化はあるのでしょうが...

ゼロになるわけでもないでしょうし...

● NIST - ITL

・2024.12.20 NIST IR 8498 Cybersecurity for Smart Inverters: Guidelines for Residential and Light Commercial Solar Energy Systems

NIST IR 8498 Cybersecurity for Smart Inverters: Guidelines for Residential and Light Commercial Solar Energy Systems	NIST IR 8498 スマートインバーターのサイバーセキュリティ：住宅および小規模商業用ソーラーエネルギーシステムのためのガイドライン
Abstract	要約
This report provides practical cybersecurity guidance for small-scale solar inverter implementations that are typically used in homes and small businesses. These guidelines are informed by a review of known smart-inverter vulnerabilities documented in the National Vulnerability Database (NVD), a review of information about known smart-inverter cyber-attacks, and testing of five example smart inverters. The report also provides recommendations to smart-inverter manufacturers on the cybersecurity capabilities needed in their products to implement the seven guidelines. These recommendations build on the Internet of Things (IoT) cybersecurity capability baselines defined in NIST IR 8259A and IR 8259B by providing smart-inverter-specific information for some of the baseline cybersecurity capabilities.	本報告書は、一般家庭や小規模事業所で使用される小規模な太陽光発電インバータの実装に関する実用的なサイバーセキュリティの指針を提供する。これらのガイドラインは、米国脆弱性データベース（NVD）に記録されている既知のスマートインバータの脆弱性に関する情報のレビュー、既知のスマートインバータのサイバー攻撃に関する情報のレビュー、および5つのスマートインバータの例のテストに基づいて作成されている。また、本報告書は、7つのガイドラインを実装するために製品に必要とされるサイバーセキュリティ機能について、スマートインバータの製造事業者への推奨事項も提供している。これらの推奨事項は、NIST IR 8259AおよびIR 8259Bで定義されたIoTサイバーセキュリティ能力のベースラインを基に、ベースラインのサイバーセキュリティ能力の一部にスマートインバータ固有の情報を提供することで構築されている。

・[PDF]

・[DOCX][PDF]仮訳

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Audience	1.1. 想定読者
1.2. Report Organization	1.2. 報告組織
2. Cybersecurity Guidelines for Owners and Installers	2. 所有者と設置者のためのサイバーセキュリティ・ガイドライン
2.1. Guideline #1: Change Default Passwords and Credentials	2.1. ガイドラインその1：デフォルトのパスワードと認証情報を変更する
2.2. Guideline #2: Use Role-Based Access Control (RBAC)	2.2. ガイドライン2：役割ベースのアクセス管理（RBAC）の使用
2.3. Guideline #3: Configure the Recording of Events in a Log	2.3. ガイドライン#3：ログにイベントを記録する設定
2.4. Guideline #4: Update Software Regularly	2.4. ガイドライン4：ソフトウェアの定期的なアップデート
2.5. Guideline #5: Back Up System Information	2.5. ガイドライン5：システム情報のバックアップ
2.6. Guideline #6: Disable Unused Features	2.6. ガイドラインその6：未使用の機能を無効にする
2.7. Guideline #7: Protect Communications Connections	2.7. ガイドライン7：通信の保護
3. Cybersecurity Recommendations for Smart-Inverter Manufacturers	3. スマートインバータ製造事業者に対するサイバーセキュリティの提言
3.1. Recommended Baseline Cybersecurity Capabilities	3.1. 推奨されるベースライン・サイバーセキュリティ能力
4. Conclusion	4. 結論
References	参考文献
Appendix A. Additional Resources	附属書 A. その他のリソース
Appendix B. List of Symbols, Abbreviations, and Acronyms	附属書 B. 記号、略語、頭字語のリスト
Appendix C. Residential and Light Commercial Solar Energy System Setup Cybersecurity Checklist	附属書 C. 住宅用および軽商用太陽エネルギーシステム設置サイバーセキュリティチェックリスト
Appendix D. Smart-Inverter Testing	附属書D. スマート・インバータの試験
D.1. Testing Results for Guideline #1: Change Default Passwords and Credentials	D.1.ガイドライン#1: デフォルトパスワードと認証情報の変更に関するテスト結果
D.2. Testing Results for Guideline #2: Use Role-Based Access Control	D.2.ガイドライン#2：役割ベースのアクセス管理の使用」のテスト結果
D.3. Testing Results for Guideline #3: Configure the Recording of Events in a Log	D.3.ガイドライン#3: ログにイベントを記録する設定」のテスト結果
D.4. Testing Results for Guideline #4: Update Software Regularly	D.4.ガイドライン#4: ソフトウェアの定期的なアップデート」のテスト結果
D.5. Testing Results for Guideline #5: Back Up System Information	D.5.ガイドライン#5：システム情報のバックアップのテスト結果
D.6. Testing Results for Guideline #6: Disable Unused Features	D.6.ガイドライン#6: 未使用の機能を無効にする」のテスト結果
D.7. Testing Results for Guideline #7: Protect Communications Connections	D.7.ガイドライン#7: 通信の保護」のテスト結果
Appendix E. Mapping to General Cybersecurity Guidance	附属書 E. 一般的なサイバーセキュリティガイダンスへのマッピング
E.1. General Cybersecurity Guidance That Informs the Guidelines	E.1.ガイドラインに影響を与える一般的なサイバーセキュリティガイダンス
E.1.1. NIST Cybersecurity Framework	E.1.1.NIST サイバーセキュリティ枠組み
E.1.2. Center for Internet Security Critical Security Controls (CSC) Version 8	E.1.2. インターネットセキュリティセンタークリティカルセキュリティコントロール（CSC）バージョン8
E.1.3. NIST SP 800-53r5	E.1.3.NIST SP 800-53r5
E.1.4. NIST SP 800-213A	E.1.4.NIST SP 800-213A
E.1.5. MITRE ATT&CK Framework	E.1.5.MITRE ATT&CK フレームワーク
E.1.6. ISA/IEC 62443-2-1	E.1.6.ISA/IEEC 62443-2-1
E.2. Guidelines Relationship to General Cybersecurity Guidance	E.2.ガイドラインと一般的なサイバーセキュリティガイダンスとの関係
Appendix F. Smart Inverter Vulnerability Survey	附属書F. スマートインバータの脆弱性調査

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
This report provides practical cybersecurity guidance for the smart inverters used in small-scale residential and light-commercial solar energy systems connected to the electric distribution network and not directly owned or operated by a utility. Smart inverters manage the flow of energy to and from homes or small businesses and the electrical grid. By sensing conditions on the grid and communicating with the electric utility, these devices contribute to power availability, safety, and grid stability.	本報告書は、配電網に接続され、電力会社が直接所有または運営していない小規模な住宅用および軽商用太陽光発電システムで使用されるスマートインバータのための実践的なサイバーセキュリティガイダンスを提供する。スマート・インバータは、家庭や小規模事業所と電力網との間のエネルギーの流れを管理する。送電網の状況を感知し、電力会社とコミュニケーションすることで、これらのデバイスは電力の可用性、安全性、送電網の安定性に貢献する。
Smart inverters often use the internet to connect with cloud-based management capabilities. This connectivity exposes smart inverters to cyber threats and increases the need for effective device cybersecurity that ensures continued safe and reliable operation.	スマートインバータは多くの場合、インターネットを使用してクラウドベースの管理機能と接続する。この接続性により、スマート・インバータはサイバー脅威にさらされ、安全で信頼性の高い運用を継続するための効果的なデバイス・サイバーセキュリティの必要性が高まる。
Section 2 of this report provides seven cybersecurity guidelines for homeowners, solar energy system installers, and solar energy system maintainers. These cybersecurity guidelines describe actions that can help ensure that a residential or small business solar energy system is installed, configured, and operated safely and securely.	本報告書のセクション2では、住宅所有者、太陽エネルギーシステム設置者、太陽エネルギーシステム保守業者向けに、7つのサイバーセキュリティガイドラインを提供している。これらのサイバーセキュリティ・ガイドラインは、住宅用または小規模事業用の太陽エネルギー・システムが安全かつ確実に設置、設定、運用されるようにするための行動を記述している。
Section 3 of this report provides ten cybersecurity capability recommendations for smartinverter manufacturers. These cybersecurity capabilities are derived from the Internet of Things cybersecurity capability core baselines presented in NIST Interagency Report (IR) 8259A and 8259B and enable implementation of the Sec. 2 guidelines.	本報告書のセクション3では、スマートインバータの製造事業者向けに10のサイバーセキュリティ能力を推奨する。これらのサイバーセキュリティ能力は、NIST Interagency Report（IR）8259Aおよび8259Bに示されたIoTサイバーセキュリティ能力コア・ベースラインから導き出されたものであり、セクション2ガイドラインの実施を可能にするものである。
A collection of appendices provides information that supports the development and use of these guidelines and recommendations.	附属書には、これらのガイドラインと推奨事項の作成と使用をサポートする情報が掲載されている。
Appendix A provides a bibliography of publications that were consulted in developing the guidelines and recommendations.	附属書 Aは、ガイドラインと勧告を作成する際に参照した出版物の書誌を提供する。
Appendix B provides a list of abbreviations and acronyms.	附属書 Bは、略語と頭字語のリストである。
Appendix C provides a sample Provisioning Checklist that system installers can tailor and use in verifying that they have completed the actions defined in the Sec. 2 guidelines.	附属書 C は、システム設置者がセクション2のガイドラインで定義された措置を完了したことを検証する際に、独自に作成し使用することができるプロビジョニング・チェックリストのサンプルを提供する。
Appendix D records the results of testing five installed smart inverters to determine their ability to implement the Sec. 2 guidelines.	附属書 Dは、設置された5台のスマートインバータをテストし、セクション2ガイドラインを実施する能力を判断した結果を記録している。
Appendix E maps the Sec. 2 guidelines to six general cybersecurity guidance sources.	附属書 E は、セクション2のガイドラインを 6 つの一般的なサイバーセキュリティガイダンスソースにマッピングしている。
Appendix F presents information about known smart-inverter cybersecurity vulnerabilities documented in the National Vulnerability Database (NVD).	附属書 Fは、国家脆弱性データベース（NVD）に記録された既知のスマートインバータのサイバーセキュリティ脆弱性に関する情報を示す。

図2.住宅用または軽商用ソーラー・エネルギー・システムにおけるスマート・インバータの役割

図10.スマートインバータの機能要素

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.19 米国 NIST IR 8498（初公開ドラフト）スマートインバータのサイバーセキュリティ：住宅用および商用簡易太陽光発電システムのガイドライン (2024.05.10)

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

2024.12.28 03:25 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 脆弱性, in クラウド, in IoT | Permalink | Comments (0)
Tweet

2024.12.27

個人情報保護委員会個人情報保護法のいわゆる３年ごと見直しに関する検討会報告書

こんにちは、丸山満彦です。

個人情報保護委員会が、「個人情報保護法のいわゆる３年ごと見直しに関する検討会報告書」を公表していますね...

課徴金制度は導入されるのでしょうかね...悪質な事業者に対する抑止効果の導入ということですので、社会的にもよいように思うんですがね...

● 個人情報保護委員会

・2024.12.25 [PDF] 個人情報保護法のいわゆる３年ごと見直しに関する検討会報告書

目次...

第１はじめに
１開催の背景
２検討に影響を与える事項

第２課徴金制度
１検討に係る前提条件
（１）課徴金制度を検討する立法事実
（２）適正なデータ利活用への影響
（３）国内他法令における課徴金制度との関係
（４）外国制度との関係
２想定される制度
（１）課徴金納付命令の対象となる範囲
（２）算定方法
（３）その他

第３団体による差止請求制度及び被害回復制度
１検討に係る前提条件
（１）適格消費者団体の現状、他法令の運用
（２）認定個人情報保護団体等との関係
２想定される制度
（１）対象行為と運用
（２）その他（体制整備等）

第４おわりに

参考

● 個人情報保護委員会

・・個人情報保護委員会開催状況

・・個人情報保護法のいわゆる３年ごと見直しに関する検討会

・・個人情報保護法　いわゆる３年ごと見直しについて

2024.12.25	第311回個人情報保護委員会
資料１	個人情報保護法のいわゆる３年ごと見直しに関する検討会報告書
	議事概要
	議事録

2024.12.18	第７回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	現行制度と検討の方向性について（課徴金制度③）
資料２	検討会報告書（案）
参考資料１	これまでの主な論点及び関連御意見
参考資料２	第２回～第６回検討会における主な御意見
参考資料３	関係参考資料
参考資料4	「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について
議事録
2024.12.17	第310回個人情報保護委員会
資料１－１	「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について
資料１－２	事務局ヒアリングにおける主な御意見
参考資料１－１
参考資料１－２	事務局ヒアリングの各参加者提出資料
	議事概要
	議事録
2024.11.28	第６回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	現行制度と検討の方向性について（課徴金制度②）
資料２	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度③）
資料３	これまでの主な論点及び関連御意見 (PDF : 2006KB)
参考資料１	第２回～第５回検討会における主な御意見
議事録	第６回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.11.12	第５回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	国内他法令における課徴金額の算定方法等について
資料２	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度②）
資料３	認定個人情報保護団体制度について
資料４	第４回までの主な論点及び関連意見
資料５	個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点・今後の検討の進め方
参考資料１	第２回～第４回検討会における主な御意見
参考資料２	関係参考資料
議事録	第５回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.10.16	第304回個人情報保護委員会
資料１－１	個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点（案）
資料１－２	今後の検討の進め方
	議事概要
	議事録
2024.10.11	第４回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	全国消費生活相談員協会プレゼン資料
資料２	中川構成員プレゼン資料
資料３	第３回事務局資料に対する御質問と考え方
参考資料１	第２回及び第３回検討会における主な御意見
参考資料２	関係参考資料
前回資料１ー１	総合的な案内所（個人情報保護法相談ダイヤル）における受付状況
前回資料１ー２	名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
前回資料２	個人情報保護法の違反行為に係る事例等
前回資料３	現行制度と検討の方向性について（課徴金制度）
前回資料４	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度）
議事録	第４回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.09.26	第３回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１－１	総合的な案内所（個人情報保護法相談ダイヤル）における受付状況
資料１－２	名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
資料２	個人情報保護法の違反行為に係る事例等
資料３	現行制度と検討の方向性について（課徴金制度）
資料４	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度）
参考資料１	第２回検討会における主な御意見
参考資料２	個人情報の保護に関する基本方針
参考資料３	個人情報の保護に関する法律に基づく行政上の対応について（令和６年９月11日公表資料）
参考資料４	関係参考資料
議事録	第３回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.09.05	第２回個人情報保護法のいわゆる３年ごと見直しに関する検討会
資料１	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料２	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果（概要）
資料３	今後の検討の進め方
資料４	監視・監督活動及び漏えい等報告に関する説明資料
参考資料１	第1回検討会における主な意見
参考資料２	第1回検討会における主な質問及び回答
参考資料３	関係参考資料
議事録
2024.09.04	第299回個人情報保護委員会
資料1-1	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料1-2	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果（概要）
議事概要
議事録
2024.07.31	第１回個人情報保護法のいわゆる３年ごと見直しに関する検討会
資料1	開催要綱（案）
資料2	主婦連合会御提出資料
資料3	新経済連盟御提出資料
資料4	全国消費者団体連絡会御提出資料
資料5	全全国消費生活相談員協会御提出資料
資料6	日本IT 団体連盟御提出資料
資料7	日本経済団体連合会御提出資料
参考資料1	「個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理」概要
参考資料2	「個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理」本文
議事録
2024.07.24	第296回個人情報保護委員会
資料1	個人情報保護法のいわゆる３年ごと見直しに関する検討会の設置について
議事概要
議事録
2024.06.26	第292回個人情報保護委員会
資料１	個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理（案）
【委員長預かりで会議後に修正した資料】資料１	個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理
資料２−１	日EU相互認証の枠組みの拡大に向けた対応について
資料２−２	個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長（価値・透明性担当）の会談に関する共同プレス・ステートメント（英語）
資料２−３	個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長（価値・透明性担当）の会談に関する共同プレス・ステートメント（日本語仮訳）
資料３	一般送配電事業者及び関係小売電気事業者等における顧客情報の不適切な取扱事案に対する個人情報の保護に関する法律に基づく行政上の対応について
議事概要
議事録
2024.06.13	第290回個人情報保護委員会
資料１－１	第二次いわゆる３年ごと見直しへのコメント（ひかり総合法律事務所　板倉弁護士）
資料１－２	デジタル社会の個人情報保護法（新潟大学　鈴木教授）
議事概要
議事録
2024.06.12	第289回個人情報保護委員会
資料１－１	個人情報保護委員会「いわゆる３年ごと見直し」ヒアリング（国立情報学研究所　佐藤教授）
資料１－２	個人情報保護法３年ごと見直し令和６年に対する意見（産業技術総合研究所　高木主任研究員）
議事概要
議事録
2024.06.03	第287回個人情報保護委員会
資料１－１	個人情報保護法見直しに関するコメント（京都大学　曽我部教授）
資料１－２	いわゆる3年ごと見直しに関する意見（慶應義塾大学　山本教授）
資料１－３	３年ごと見直しヒアリング２０２４（英知法律事務所　森弁護士）
資料１－４－1	個人情報保護法のいわゆる３年ごと見直しに関する意見（東京大学　宍戸教授）
資料１－４－2	宍戸常寿氏御提出資料（令和元年５月21日提出）
議事概要
議事録
2024.05.29	第286回個人情報保護委員会
資料１	個人情報保護法いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方③）
議事概要
議事録
2024.05.15	第284回個人情報保護委員会
資料２	個人情報保護法いわゆる３年ごと見直し規定に基づく検討（データ利活用に向けた取組に対する支援等の在り方）
資料３	個人情報保護法いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方②）
議事概要
議事録
2024.05.10	第283回個人情報保護委員会
資料１－１	個人情報保護法における課徴金制度導入にかかる諸論点（名古屋大学林教授）
資料１－２	個人情報保護法における法執行の強化について（神戸大学中川教授）
議事概要
議事録
2024.04.24	第281回個人情報保護委員会
資料１	個人情報保護法の３年ごと見直しに対する意見
資料２	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方③）
議事概要
議事録
2024.04.10	第280回個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方② ）
議事概要
議事録
2024.04.03	第279回個人情報保護委員会
資料１―１	AIと個人情報保護：欧州の状況を中心に（一橋大学生貝教授）
資料１―２	AI利用と個人情報の関係の考察（NTT社会情報研究所高橋チーフセキュリティサイエンティスト）
資料１−３	医療情報の利活用の促進と個人情報保護（東京大学森田名誉教授）
資料１―４	医療・医学系研究における個人情報の保護と利活用（早稲田大学　横野准教授）
議事概要
議事録
2024.03.22	第277回個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方①）
議事概要
議事録
2024.03.06	第275回個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方①）
議事概要
議事録
2024.02.21	第273回個人情報保護委員会
資料４	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討項目
【委員長預かりで会議後に修正した資料】資料４	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討項目
議事概要
議事録
2024.02.14	第272回個人情報保護委員会
資料２－１	地方公共団体における個人情報保護法運用状況のヒアリング（京都府総務部政策法務課）
資料２－２	岡山市における個人情報保護法の運用状況（岡山市総務局行政事務管理課）
資料２－３	個人情報保護法運用状況について（都城市総務部総務課）
資料２－４	個人情報保護法運用状況について（上里町総務課）
議事概要
議事録
2024.02.07	第271回個人情報保護委員会
資料１	インターネット広告における個人に関する情報の取扱いについての取組状況（日本インタラクティブ広告協会）
議事概要
議事録
2024.01.31	第270回個人情報保護委員会
資料２	個人情報保護法の3 年ごと見直しに対する意見（日本経済団体連合会）
議事概要
議事録
2024.01.23	第268回個人情報保護委員会
資料１―１	(特定)適格消費者団体の活動について（消費者支援機構関西）
資料１―２	個人情報保護委員会ヒアリング資料（日本商工会議所）
議事概要
議事録
2023.12.21	第266回個人情報保護委員会
資料１―１	個人情報保護法の３年ごと見直しに関する意見（電子情報技術産業協会）
資料１―２	ヒアリング資料（全国商工会連合会）
議事概要
議事録
2023.12.20	第265回個人情報保護委員会
資料１―１	ACCJ Comments for the Personal Information Protection Commission Public Hearing（在米国商工会議所）
資料１―２	公開ヒアリングに向けたACCJ意見（在米国商工会議所）
議事概要
議事録
2023.12.15	第264回個人情報保護委員会
資料１―１	個人情報保護法の見直しについて（新経済連盟）
資料１―２	個人情報保護法見直しに関する意見（日本IT団体連盟）
議事概要
議事録
2023.12.06	第263回個人情報保護委員会
資料２	個人情報保護法に関する欧州企業の代表的な課題（欧州ビジネス協会）
議事概要
議事録
2023.11.29	第262回個人情報保護委員会
資料１	ヒアリング資料（一般社団法人日本情報経済社会推進協会）
議事概要
議事録
2023.11.15	第261回個人情報保護委員会
資料２－１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討
資料２－２	個人情報保護に係る主要課題に関する海外・国内動向調査　概要資料
議事概要
議事録

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.20 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第310回委員会、第6-7回検討会）

・2024.11.26 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第304回委員会、第3-5回検討会）

・2024.09.06 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第299回委員会、第2回検討会）

・2024.08.04 個人情報保護委員会第１回個人情報保護法のいわゆる３年ごと見直しに関する検討会

・2024.06.28 個人情報保護委員会意見募集いわゆる3年ごと見直しに係る検討の中間整理

・2024.06.04 個人情報保護委員会個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中... （２）

・2024.04.25 個人情報保護委員会個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中...

・2024.01.06 個人情報保護委員会個人情報保護法の3年ごとの見直しに関する意見をヒアリング中...

2024.12.27 01:16 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

Microsoft 包括的なAPIセキュリティ戦略の構築 (2024.10.22)

こんにちは、丸山満彦です。

マイクロソフトが、包括的なAPIセキュリティ戦略の構築という小冊子？を発行していました。これから、こういう視点は重要となると思うので、紹介です...

● Microsoft - Defender for Cloud Blog

・2024.10.22 New E-book: Building a Comprehensive API Security Strategy

内容は、

序文：API の仕組みと API セキュリティの概念を理解する。
API セキュリティがビジネスに不可欠なデータとオペレーションを保護する：今日の脅威の状況を調べて、API セキュリティ戦略について批判的に考える方法を学ぶ。
API インベントリへの信頼を構築する: API 検出について、またそれが戦略構築における重要な第一歩である理由について学ぶ。
動的 API インベントリを積極的に管理：インベントリを常に把握するために組織のポリシーとセキュリティ制御を適用するために必要なことを学ぶ。
高度なセキュリティソリューションで API を強化:管理の次は API をさらに保護する。一般的な API のリスクと、クラウドネイティブアプリケーション保護プラットフォーム (CNAPP) をゲームプランに統合する利点について学習する。
重層的な防御を構築して API セキュリティを最大限に高める。補完的なツールとサービスを組み込むことで、セキュリティ体制全体を強化し、脅威から保護することで、セキュリティを次のレベルに引き上げる。

というかんじのようです...

翻訳版があるといいですね...

・[PDF]

目次...

1 INTRODUCTION	1 序文
2 API SECURITY PROTECTS YOUR BUSINESS CRITICAL DATA AND OPERATIONS	2APIセキュリティが重要なデータと業務を保
2.1 Understand API threats	2.1 API の脅威を理解する
3 BUILD CONFIDENCE IN YOUR API INVENTORY	3 API インベントリの信頼性を高める
3.1 Use API discovery to get a handle on your API inventory	3.1 APIディスカバリを使用してAPIインベントリを把握する
4 ACTIVELY MANAGE YOUR DYNAMIC API INVENTORY	4 動的なAPIインベントリを積極的に管理する
4.1 Use an API management platform	4.1 API管理プラットフォームを使用する
4.2 Streamline API management with API gateways	4.2 APIゲートウェイでAPI管理を効率化する
5 FORTIFY YOUR APIS WITH ADVANCED SECURITY SOLUTIONS	5 高度なセキュリティ・ソリューションでAPIを強化する
5.1 Integrate a CNAPP into your API security strategy	5.1 CNAPPをAPIセキュリティ戦略に統合する
5.2 Monitor and protect APIs against attacks in runtime	5.2 実行時の攻撃を監視し、APIを防御する
6 BUILD LAYERED DEFENSES TO MAXIMIZE YOUR API SECURITY	6 重層的な防御を構築してAPIセキュリティを最大化する
6.1 Build secure networks	6.1 安全なネットワークを構築する
6.2 Control and manage access	6.2 アクセスを管理する
6.3 Keep your secrets secret	6.3 秘密を守る
7 NEXT STEPS	7 次のステップ
7.1 Better together	7.1 より良い関係を築く

2024.12.27 00:00 in 情報セキュリティ / サイバーセキュリティ, in クラウド | Permalink | Comments (0)
Tweet

2024.12.26

米国 NIST CSWP 35（初期公開ドラフト）ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング：ゲノムデータシーケンスおよび分析のための脅威モデル実装例

こんにちは、丸山満彦です。

NISTがホワイトペーパー：CSWP 35（初期公開ドラフト）ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング：ゲノムデータシーケンスおよび分析のための脅威モデル実装例を公表しています...

IR 8467とは違い、脅威モデルの実装例をしめしあものです...

IR 8467 (第２次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワークコミュニティプロファイルも同時に公表されていますね...

● NIST - ITL

・2024.12.16 NIST CSWP 35 (Initial Public Draft) Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow: An example threat model implementation for genomic data sequencing and analysis

NIST CSWP 35 (Initial Public Draft) Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow: An example threat model implementation for genomic data sequencing and analysis	NIST CSWP 35（初期公開ドラフト）ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング：ゲノムデータシーケンスおよび分析のための脅威モデル実装例
Announcement	発表
The NIST National Cybersecurity Center of Excellence (NCCoE) has released two new draft publications to help organizations address cybersecurity and privacy risks associated with processing genomic data. Both drafts are open for public comment until 11:59 PM (ET) on Thursday, January 30, 2025.	NIST国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）は、ゲノムデータの処理に関連するサイバーセキュリティおよびプライバシーのリスクに対処する組織を支援する2つの新しい草案を公表した。両草案は、2025年1月30日（木）午後11時59分（東部標準時間）まで一般からの意見を受け付けている。
About the Drafts	ドラフトについて
Draft NIST Internal Report (IR) 8467, Genomic Data Cybersecurity and Privacy Frameworks Community Profile (Genomic Data Profile), provides a structured, risk-based approach for managing both cybersecurity and privacy risks in processing genomic data. This update incorporates the NIST Cybersecurity Framework (CSF) version 2.0 and NIST Privacy Framework (PF) version 1.0 to help organizations prioritize cybersecurity and privacy capabilities. This is the first joint CSF and PF Community Profile developed by NIST.	NIST内部報告書（IR）8467、ゲノムデータ・サイバーセキュリティおよびプライバシー・フレームワーク・コミュニティ・プロファイル（ゲノムデータ・プロファイル）は、ゲノムデータの処理におけるサイバーセキュリティおよびプライバシー・リスクの両方を管理するための、構造化されたリスクベースのアプローチを提供する。今回の更新では、NISTサイバーセキュリティ・フレームワーク（CSF）バージョン2.0およびNISTプライバシー・フレームワーク（PF）バージョン1.0が組み込まれ、組織がサイバーセキュリティおよびプライバシー能力の優先順位付けを行うのに役立つ。これは、NISTが開発した初のCSFとPFの共同コミュニティ・プロファイルである。
Draft NIST Cybersecurity White Paper (CSWP) 35, Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow, evaluates potential threats in a genomic data processing environment using an iterative methodology. It provides an example use case and demonstrates an approach which organizations can adapt to identify cybersecurity threats and mitigations in their environments.	ドラフト版NISTサイバーセキュリティ・ホワイトペーパー（CSWP）35「ゲノムデータ・シーケンス・ワークフローのサイバーセキュリティ脅威モデリング」では、反復的な方法論を用いてゲノムデータ処理環境における潜在的な脅威を評価している。また、使用例を示し、組織が自らの環境におけるサイバーセキュリティの脅威と緩和策を識別するために採用できるアプローチを実証している。

● [PDF] NIST.CSWP.35.ipd

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Use Case and Scope	1.1. ユースケースと範囲
1.2. Organizational Tailoring	1.2. 組織の調整
1.3. Threats and Risk	1.3. 脅威とリスク
1.4. Threat Modeling Overview	1.4. 脅威モデリングの概要
1.5. Audience	1.5. 対象読者
2. Threat Modeling Exam	2. 脅威モデリング試験
2.1. Question 1: What are we working on?	2.1. 問題 1: 私たちは何を扱っているのか？
2.1.1. Genomics Sequencing Laboratory Data Flow Diagrams	2.1.1. ゲノム配列決定研究所のデータフロー図
2.1.2. Research Partner Data Flow Diagrams	2.1.2. 研究パートナーのデータフロー図
2.1.3. High-Value Dataflows Overvie	2.1.3. 高価値データフローの概要
2.1.4. Genomic Sequencing Laboratory HVD Examples	2.1.4. ゲノムシークエンシング研究所のHVDの例
2.1.5. Research Partner HVDs	2.1.5. 研究パートナーのHVD
2.2. Question 2: What could go wrong	2.2. 質問2：何が問題となり得るか
2.2.1. Spotine. Tamperine, Repudiation, formation Dislose, and levato rule STRIDE)	2.2.1. Spotine、Tamperine、Repudiation、formation Dislose、levato rule STRIDE
2.2.2. Key STRIDE Results	2.2.2. 主なSTRIDEの結果
2.2.3. Attack Trees	2.2.3. 攻撃ツリー
2.3. Question 3: What are we going to do about it?	2.3. 質問 3: それに対して何をすべきか？
2.3.1. Broker Access to Genomic Data	2.3.1. ゲノムデータへのブローカーアクセス
2.3.2. Use Network Isolation and Firewalls	2.3.2. ネットワーク分離とファイアウォールの使用
2.3.3. Use RBAC on the Cluster Filesystem	2.3.3. クラスタファイルシステムでの RBAC の使用
2.3.4. Authenticate and Authorize All Users	2.3.4. すべてのユーザーの認証と認可
2.3.5. Restrict Physical Access to Environments	2.3.5. 環境への物理的アクセスを制限する
2.3.6. Implement Data Retention Policies for the Genomic Data	2.3.6. ゲノムデータに対するデータ保持ポリシーを実施する
2.3.7. Conduct Backups of Datastores	2.3.7. データストアのバックアップを行う
2.3.8. Containerize Untrusted Software	2.3.8. 信頼されていないソフトウェアをコンテナ化する
2.3.9. Implement Least Functionality and use Configuration Benchmark	2.3.9. 最小限の機能の実装と構成ベンチマークの使用
2.3.10. Encrypt Data Whenever Possible	2.3.10. 可能な限りデータの暗号化を行う
2.4. Question 4: Did we do a good job?	2.4. 質問 4: 私たちは良い仕事をしたか？
2.4.1. Did we do a good job documenting the system and data architecture?	2.4.1. システムおよびデータアーキテクチャの文書化は適切に行われたか？
2.4.2. Did we do a good job identifying and documenting threats?	2.4.2. 脅威の識別および文書化は適切に行われたか？
2.4.3. Did we do a good job mitigating the threats?	2.4.3. 脅威の緩和は適切に行われたか？
3. Conclusion	3. 結論
References	参考文献
Appendix A. Abbreviations and Acronyms	附属書 A. 略語および頭字語

エグゼエクティブサマリー...

Executive Summary	エグゼクティブサマリー
In this paper, the National Cybersecurity Center of Excellence (NCCoE) Genomic Data project team demonstrates how to conduct cybersecurity threat modeling against the environments involved in genomic sequencing and analysis. The paper demonstrates a common four-step threat modeling process that can be used as an example for organizations involved in genomic research, sequencing, and analysis planning to conduct similar threat modeling and identify mitigations:	本論文では、国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）ゲノムデータプロジェクトチームが、ゲノム配列決定および分析に関わる環境におけるサイバーセキュリティの脅威モデリングの実施方法を説明する。本論文では、ゲノム研究、配列決定、分析計画に関わる組織が同様の脅威モデリングを実施し、緩和策を特定するための例として使用できる、一般的な4段階の脅威モデリングプロセスを説明する。
1. Document “What are we working on?” through architecture, dataflow, and high-value dataflow diagrams for the genomic data processing environment (Sec. 2.1).	1. ゲノムデータ処理環境のアーキテクチャ、データフロー、および高価値データフロー図を通じて、「取り組んでいることは何か」を文書化する（セクション2.1）。
2. Evaluate “What could go wrong?” by identifying threats in the environment using tools such as STRIDE, MITRE ATT&CK®, and attack trees (Sec. 2.2).	2. STRIDE、MITRE ATT&CK®、攻撃ツリーなどのツールを使用して環境内の脅威を識別し、「何が問題となる可能性があるか」を評価する（セクション2.2）。
3. Determine “What are we going to do about it?” by prioritizing the identified threats to help sequence and select initial targets for mitigations, leveraging best practice guides and existing resources (Sec. 2.3).	3. 識別した脅威を優先順位付けし、緩和策の初期ターゲットを順序立てて選択するのに役立てることで、「それに対して何をしようとしているのか」を決定する。その際には、ベストプラクティスガイドや既存のリソースを活用する（セクション2.3）。
4. Consider “Did we do a good job?” by reviewing the results of the threat modeling exercise and identifying any additional activities, including high-priority areas where additional mitigations are needed (Sec. 2.4).	4. 脅威モデリングの作業結果をレビューし、追加の緩和策が必要な優先度の高い領域など、追加の作業を識別することで、「良い仕事ができたか」を検討する（セクション2.4）。
Background. Legislation such as the Genetic Information Nondiscrimination Act of 2008 (GINA) [1] identifies the need to protect genetic data, while Executive Order 14018 [2] lays out the need to identify risks and develop a protection plan for biological datasets, including genomic data. Cyber attacks may impact the confidentiality, integrity, and availability of systems that process genomic data , introducing economic, privacy, discrimination, and national security risks. Organizations rely on genomic data sharing and aggregation to advance scientific and medical research, improve health outcomes, and compete within the global bioeconomy. Cybersecurity and privacy for genomic data are complicated by the nature of the data, which is immutable and includes kinship, health, and phenotype, as well as the broad, diverse, and international composition of the genomics community, which includes government, academia, and industry stakeholders engaged in biopharmaceutical research, healthcare, law enforcement, agriculture, and direct-to-consumer genetic testing.	背景 2008年の遺伝情報差別禁止法（GINA）[1]などの法律は、遺伝子データの防御の必要性を特定している。一方、大統領令14018[2]は、ゲノムデータを含む生物学的データセットのリスクを識別し、防御計画を策定する必要性を定めている。サイバー攻撃は、ゲノムデータを処理するシステムの機密性、完全性、可用性に影響を及ぼし、経済、プライバシー、識別的、国家安全保障上のリスクをもたらす可能性がある。科学および医学研究の進歩、健康状態の改善、そしてグローバルなバイオエコノミーにおける競争のために、組織はゲノムデータの共有と集積に依存している。ゲノムデータのサイバーセキュリティとプライバシーは、その性質により複雑化している。その性質とは、不変であり、親族関係、健康、表現型を含むこと、また、バイオ製薬研究、ヘルスケア、法執行、農業、消費者向け遺伝子検査に従事する政府、学術界、産業界の関係者を含む、広範で多様かつ国際的なゲノムコミュニティの構成である。
The paper is part of a larger effort at the NCCoE to engage genomic data processing stakeholders to create practical guidance that addresses related cybersecurity and privacy concerns. The NCCoE Genomic Data website provides links to previous workshops and publications, including National Institute of Standards and Technology (NIST) Internal Report (IR) 8432, Cybersecurity of Genomic Data [3], and IR 8467, Genomic Data Cybersecurity and	この論文は、NCCoEがゲノムデータ処理の関係者を巻き込み、関連するサイバーセキュリティおよびプライバシーの懸念に対処する実用的な指針を作成する取り組みの一環である。NCCoEのゲノムデータウェブサイトでは、国立標準技術研究所（NIST）の内部報告書（IR）8432「ゲノムデータのサイバーセキュリティ」[3]やIR 8467「ゲノムデータのサイバーセキュリティおよび
Privacy Frameworks Community Profile (Genomic Data Profile) [4]. Additionally, the NCCoE is currently developing a privacy-focused guide to address privacy-related concerns, threats, and risks that will also be published.	さらに、NCCoEは現在、プライバシーに関する懸念、脅威、リスクに対処するためのプライバシーに焦点を当てたガイドを開発しており、これも公開される予定である。

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.26 米国 NIST CSWP 35（初期公開ドラフト）ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング：ゲノムデータシーケンスおよび分析のための脅威モデル実装例

・2024.12.26 米国 NIST IR 8467 (第２次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワークコミュニティプロファイル (2024.12.16)

・2023.12.23 NISTIR 8432 ゲノムデータのサイバーセキュリティ

・2023.06.24 NISTIR 8467（ドラフト）ゲノムデータのサイバーセキュリティフレームワーク・プロファイル

・2023.03.05 NISTIR 8432（ドラフト）ゲノムデータのサイバーセキュリティ

2024.12.26 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー | Permalink | Comments (0)
Tweet

米国 NIST IR 8467 (第２次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワークコミュニティプロファイル (2024.12.16)

こんにちは、丸山満彦です。

NISTがIR 8467 (第２次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワークコミュニティプロファイルを公表し、意見募集をしていますね...

Cybersecurity Framework 2.0とPraivacy Frameworkを掛け合わせたものです。。。

同時に、NIST CSWP 35 (Initial Public Draft) Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow: An example threat model implementation for genomic data sequencing and analysis　（NIST CSWP 35（初期公開ドラフト）ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング：ゲノムデータシーケンスおよび分析のための脅威モデル実装例）も公表されています...

● NIST - ITL

・2024.12.16 NIST IR 8467 (2nd Public Draft) Genomic Data Cybersecurity and Privacy Frameworks Community Profile

NIST IR 8467 (2nd Public Draft) Genomic Data Cybersecurity and Privacy Frameworks Community Profile	NIST IR 8467 (第２次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワークコミュニティプロファイル
Announcement	発表
The NIST National Cybersecurity Center of Excellence (NCCoE) has released two new draft publications to help organizations address cybersecurity and privacy risks associated with processing genomic data. Both drafts are open for public comment until 11:59 PM (ET) on Thursday, January 30, 2025.	NIST国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）は、ゲノムデータの処理に関連するサイバーセキュリティとプライバシーのリスクに対処する組織を支援するための2つの新しいドラフト出版物を発表した。両ドラフトとも2025年1月30日（木）午後11時59分（米国東部時間）までパブリックコメントを受け付けている。
About the Drafts	ドラフトについて
Draft NIST Internal Report (IR) 8467, Genomic Data Cybersecurity and Privacy Frameworks Community Profile (Genomic Data Profile), provides a structured, risk-based approach for managing both cybersecurity and privacy risks in processing genomic data. This update incorporates the NIST Cybersecurity Framework (CSF) version 2.0 and NIST Privacy Framework (PF) version 1.0 to help organizations prioritize cybersecurity and privacy capabilities. This is the first joint CSF and PF Community Profile developed by NIST.	ドラフトNIST内部報告書（IR）8467「ゲノムデータのサイバーセキュリティとプライバシーの枠組みコミュニティプロファイル（Genomic Data Profile）」は、ゲノムデータの処理におけるサイバーセキュリティとプライバシーの両方のリスクをマネジメントするための構造化されたリスクベースのアプローチを提供する。このアップデートは、NISTサイバーセキュリティフレームワーク（CSF）バージョン2.0とNISTプライバシーフレームワーク（PF）バージョン1.0を組み込んでおり、組織がサイバーセキュリティとプライバシーの能力に優先順位をつけるのに役立つ。これは、NISTが開発した初のCSFとPFの共同コミュニティプロファイルである。
Draft NIST Cybersecurity White Paper (CSWP) 35, Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow, evaluates potential threats in a genomic data processing environment using an iterative methodology. It provides an example use case and demonstrates an approach which organizations can adapt to identify cybersecurity threats and mitigations in their environments.	NIST サイバーセキュリティ白書（CSWP）35（ドラフト）「ゲノムデータ配列決定ワークフローにおけるサイバーセキュリティ脅威モデリング」は、反復的方法論を用いてゲノムデータ処理環境における潜在的脅威を評価している。この論文はユースケースの例を提供し、組織がその環境におけるサイバーセキュリティの脅威と緩和策を特定するために適応できるアプローチを示している。
We Want to Hear from You!	あなたの意見を聞きたい！
The public comment period for the drafts is open until 11:59 PM (ET) on Thursday, January 30, 2025. More details for providing public feedback are within the drafts.	ドラフトのパブリックコメント期間は、2025年1月30日（木）午後11時59分（米国東部時間）までである。パブリックコメントの詳細については、ドラフトに記載されている。
Looking Ahead	今後の展望
The NCCoE is planning a webinar on January 13, 2025, to give an overview of the drafts. More details will be announced soon.	NCCoEは2025年1月13日にドラフト概要を説明するウェビナーを計画している。詳細は近日中に発表される。
The NCCoE has released a new two-page fact sheet summarizing the genomics cybersecurity and privacy project roadmap and outcomes. Additional ongoing project work includes privacy threat modeling for genomic data workflows and development of a Privacy Enhancing Technologies (PETs) testbed for privacy-preserving federated learning (PPFL).	NCCoEは、ゲノムサイバーセキュリティとプライバシープロジェクトのロードマップと成果をまとめた2ページのファクトシートを新たに発表した。現在進行中のプロジェクトには、ゲノム・データ・ワークフローのためのプライバシー脅威モデルや、プライバシー保持連合学習（PPFL）のためのプライバシー強化技術（PETs）テストベッドの開発などがある。
To stay informed about this work and receive project updates, join the NCCoE Genomic Data Community of Interest (COI). Email us at genomic_cybersecurity_nccoe@nist.gov.	このプロジェクトに関する最新情報を入手するには、NCCoE Genomic Data Community of Interest (COI)に参加すること。genomic_cybersecurity_nccoe@nist.gov。
Abstract	要旨
Advancements in genomic sequencing technologies are accelerating the speed and volume of data collection, sequencing, and analysis. However, this progress also heightens cybersecurity and privacy risks. This Genomic Data Cybersecurity and Privacy Frameworks Community Profile (“Genomic Data Profile”) identifies the priority outcomes from both the Cybersecurity Framework (CSF) and the Privacy Framework (PF) to provide guidance to reduce cybersecurity and privacy risks to organizations in the genomic data life cycle. This updated version includes both cybersecurity based on the CSF 2.0 and privacy based on the PF 1.0. In developing this Profile, NIST worked closely with genomic stakeholders across government, industry, and academia to identify cybersecurity and privacy risks and priorities.	ゲノム配列解析技術の進歩は、データ収集、配列決定、解析のスピードと量を加速している。しかし、この進歩はサイバーセキュリティとプライバシーのリスクも高めている。このゲノムデータ・サイバーセキュリティ・プライバシーフレームワークコミュニティプロファイル（「ゲノムデータプロファイル」）は、サイバーセキュリティフレームワーク（CSF）とプライバシーフレームワーク（PF）の両方から優先される成果を特定し、ゲノムデータのライフサイクルにおける組織のサイバーセキュリティとプライバシーリスクを低減するためのガイダンスを提供する。この更新版には、CSF 2.0 に基づくサイバーセキュリティと PF 1.0 に基づくプライバシーの両方が含まれている。本プロファイルの策定にあたり、NIST は政府、産業界、学界のゲノム関係者と緊密に連携し、サイバーセキュリティ及びプライバシーのリスクと優先事項を特定した。

ちなみに、NISTの遺伝情報についてのセキュリティ・プライバシーについてのページ...

・Cybersecurity and Privacy of Genomic Data

・[PDF] The 2-page fact sheet

・[PDF] NIST.IR.8467.2pd

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Purpose	1.1. 目的
1.2. scope	1.2. 範囲
1.3. Audience	1.3. 対象読者
1.4. Document Structure	1.4. 文書構成
2. Overview of Genomic Data	2. ゲノムデータの概要
2.1. The Genomic Data Ecosystem and Bioeconomy	2.1. ゲノムデータ・エコシステムとバイオエコノミー
2.2. Cybersecurity and Privacy Risk Relationship	2.2. サイバーセキュリティとプライバシー・リスクの関係
2.2.1. Privacy Risk Management Overview	2.2.1. プライバシー・リスクマネジメントの概要
2.3. Genomic Data Security and Privacy Concerns and Challenges	2.3. ゲノムデータのセキュリティとプライバシーに関する懸念と課題
3. The NIST Cybersecurity and Privacy Frameworks	3. NIST サイバーセキュリティおよびプライバシー枠組み
3.1. The Core	3.1. コア
3.1.1. The Cybersecurity Framework Core	3.1.1. サイバーセキュリティ枠組みのコア
3.1.2. The Privacy Framework Core	3.1.2. プライバシー枠組みのコア
3.2. Community Profile	3.2. コミュニティ・プロファイル
3.3. Applying the NIST Frameworks to Genomic Data	3.3. NIST 枠組みのゲノムデータへの適用
4. Genomic Data Profile Development Methodology	4. ゲノムデータ・プロファイル開発方法論
5. Genomic Data Mission Objective	5. ゲノムデータのミッション目標
5.1. Objective 1: Manage provenance and data quality throughout the genomic data life cycle (Data)	5.1. 目的 1：ゲノムデータのライフサイクル全体を通じて、データの由来とデータ・プライバシーを管理する（データ）
5,2. Objective 2: Manage privacy risk to existing and future relatives (Relatives)	5.2. 目的 2：既存および将来の親族に対するプライバシー・リスクを管理する（親族）
5.3. Objective 3: Identify, model, and address cybersecurity and privacy risks of processing genomic data (Risks)	5.3. 目的 3：ゲノムデータの処理におけるサイバーセキュリティおよびプライバシー・リスクを識別、モデル化、および対処する（リスク）
5.4. Objective 4: Manage informed consent throughout the genomic data life cycle (Consent)	5.4. 目的 4：ゲノムデータのライフサイクル全体を通じて、インフォームド・コンセントを管理する（同意）
5.5. Objective 5: Manage privacy risk to donors (Donors)	5.5. 目的 5：提供者に対するプライバシー・リスクの管理（提供者
5.6. Objective 6: Manage authorized data access (Access)	5.6. 目的 6：認可されたデータ・アクセス管理（アクセス
5.7. Objective 7: Maintain trustworthiness and manage reputational risk (Trust)	5.7. 目的 7：信頼性の維持とレピュテーション・リスクの管理（信頼
5.8. Objective 8: Facilitate research and education to advance science and technology (Research)26	5.8. 目的 8：科学技術の進歩のための研究と教育の促進（研究）26
5.9. Objective 9: Maintain compliance with laws and regulations (Legal	5.9. 目的 9：法律および規制への準拠の維持（法的
5.10. Objective 10: Protect intellectual property (P)	5.10. 目標10：知的財産の防御（P
5.11. Objective 11: Ensure the degree of diversity is appropriate for processing purposes (Diversity)	5.11. 目標11：処理目的に適した多様性の確保（多様性）
5.12. Objective 12: Promote the use of privacy-enhancing technologies (PETs) as well as secure technologies for sharing genomic data (Tech)	5.12. 目標12：プライバシー強化技術（PETs）の利用促進およびゲノムデータ共有のための技術セキュリティ（Tech
6. Priority Subcategories by Mission Objective	6. ミッション目標別優先サブカテゴリー
References	参考文献
Appendix A. Selected Bibliography	附属書A. 参考文献
Appendix B. List of Symbols, Abbreviations, and Acronyms	附属書B. 記号、略語、および略称の一覧
Appendix C. Glossary	附属書C. 用語集

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
The National Institute of Standards and Technology (NIST) National Cybersecurity Center of Excellence (NCCoE) engaged stakeholders across government, academia, and industry to better understand the current state of the cybersecurity and privacy challenges facing the genomics community. This collaboration led to NIST publishing NIST Internal Report (IR) 8432, Cybersecurity of Genomic Data, an overview of the challenges and opportunities with genomic data cybersecurity. As a follow-on effort, the NCCoE collaborated with a diverse subset of stakeholders to conduct working sessions focused on gathering the information needed to develop this Genomic Data Cybersecurity and Privacy Frameworks Community Profile (referred to as the “Genomic Data Profile”). This Profile prioritizes Subcategories from the Cybersecurity Framework (CSF) 2.0 and the Privacy Framework (PF) 1.0 in a single integrated Profile for the genomic community.	国立標準技術研究所（NIST）国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）は、ゲノムコミュニティが直面するサイバーセキュリティおよびプライバシーの課題について現状をより深く理解するために、政府、学術界、産業界の関係者を巻き込んだ。この共同作業により、NISTはNIST内部報告書（IR）8432「ゲノムデータのサイバーセキュリティ」を発行した。これは、ゲノムデータのサイバーセキュリティに関する課題と機会の概要である。その後の取り組みとして、NCCoEは多様な利害関係者と協力し、この「ゲノムデータ・サイバーセキュリティおよびプライバシー枠組みコミュニティ・プロファイル」（以下、「ゲノムデータ・プロファイル」）の開発に必要な情報の収集に焦点を当てた作業セッションを実施した。このプロファイルは、ゲノムコミュニティ向けの単一の統合プロファイルとして、サイバーセキュリティ枠組み（CSF）2.0およびプライバシー枠組み（PF）1.0のサブカテゴリーを優先順位付けしている。
The Genomic Data Profile provides guidance to help organizations manage and reduce cybersecurity and privacy risks for assets[1] that process any type of genomic data (e.g., human, microbiome, microbial, model organism, plant) as well as privacy risks to individuals whenever human genomic data is processed. The Profile is intended to help organizations understand, assess, prioritize, and communicate their existing and future cybersecurity and privacy strategies, priorities, activities, practices, policies, and guidance. Organizations consider their unique obligations, operating environment, and Mission Objectives when prioritizing and implementing cybersecurity and privacy capabilities.	ゲノムデータ・プロファイルは、あらゆる種類のゲノムデータ（ヒト、マイクロバイオーム、微生物、モデル生物、植物など）を処理する資産[1]のサイバーセキュリティおよびプライバシーリスク、ならびにヒトゲノムデータが処理される際の個人に対するプライバシーリスクを管理し、低減するためのガイダンスを提供する。このプロファイルは、組織が既存および将来のサイバーセキュリティおよびプライバシー戦略、優先事項、活動、慣行、方針、ガイダンスを理解し、アセスメントを行い、優先順位を付け、コミュニケーションを行うことを支援することを目的としている。組織は、サイバーセキュリティおよびプライバシー能力の優先順位付けと実施にあたり、独自の義務、運用環境、およびミッション目標を考慮する。
This Profile identifies 12 genomic-related Mission Objectives and prioritizes relevant Subcategories to help organizations protect genomic data and individuals throughout the data life cycle. CSF and PF Subcategories describe the relevant outcomes from implementing cybersecurity and privacy capabilities. Prioritizing cybersecurity and privacy capabilities based on their organization’s Mission Objectives can inform decision-making.	このプロファイルは、12のゲノム関連ミッション目標を識別し、関連サブカテゴリーの優先順位付けを行うことで、データライフサイクル全体を通じてゲノムデータと個人を防御する組織を支援する。CSFおよびPFサブカテゴリーは、サイバーセキュリティおよびプライバシー能力の実施による関連成果を記述する。組織のミッション目標に基づいてサイバーセキュリティおよびプライバシー能力の優先順位付けを行うことで、意思決定に役立てることができる。
The selection of cybersecurity and privacy capabilities for genomic data is complicated by the broad and diverse nature of the genomics community, including biopharmaceutical research, healthcare, law enforcement, and agriculture. Organizations rely on genomic data sharing to advance scientific and medical research, improve health outcomes, and compete within the bioeconomy, and thus genomic data often needs to be aggregated from multiple sources. In addition, organizations that share data with stakeholders in multiple countries may have additional requirements for protecting genomic data or for managing the cross-border transfer of data.	ゲノムデータに対するサイバーセキュリティおよびプライバシー機能の選択は、バイオ製薬研究、医療、法執行、農業などを含むゲノムコミュニティの広範かつ多様な性質により複雑化している。組織は、科学的および医学的研究の進歩、健康上の成果の改善、バイオエコノミー内での競争のためにゲノムデータの共有に依存しており、そのためゲノムデータは多くの場合、複数のソースから集約する必要がある。さらに、複数の国々の利害関係者とデータを共有する組織は、ゲノムデータの防御や国境を越えたデータ転送の管理に関して、追加の要件を満たす必要がある場合もある。
Cybersecurity attacks targeted at assets that process genomic data could impact the confidentiality, integrity, and availability of that data, introducing economic, privacy, discrimination, and national security risks. Additionally, processing human genomic data can impact the predictability, disassociability, and manageability of that data, which may result in privacy risks to individuals. For example, the unanticipated revelation of genomic data may	ゲノムデータを処理する資産を標的としたサイバーセキュリティ攻撃は、データの機密性、完全性、可用性に影響を及ぼし、経済、プライバシー、識別、国家安全保障のリスクをもたらす可能性がある。さらに、ヒトゲノムデータの処理は、データの予測可能性、非関連性、管理可能性に影響を及ぼし、個人のプライバシーリスクにつながる可能性がある。例えば、予期せぬゲノムデータの暴露により、
result in an individual’s loss of trust and autonomy when working with a particular organization and cause them to opt out of future activities that would benefit them or a broader population (e.g., research or treatments).	特定の組織と関わる際に個人の信頼や自主性が損なわれ、その個人やより広範な集団に利益をもたらすであろう将来の活動（例えば、研究や治療）から自らを除外する結果となる可能性がある。
Organizations processing any type of genomic data can use this Profile to:	あらゆる種類のゲノムデータを処理する組織は、このプロファイルを使用して、以下のことを行うことができる。
• Understand cybersecurity and privacy considerations for genomic data	• ゲノムデータのサイバーセキュリティおよびプライバシーに関する考慮事項を理解する
• Assess current organizational cybersecurity and privacy practices to identify gaps and areas of improvement for existing practices or infrastructure	• 既存の慣行やインフラのギャップや改善領域を識別するために、現在の組織のサイバーセキュリティおよびプライバシー慣行をアセスメントする
• Develop individualized Organizational Target (To-Be) Profiles	• 個別の組織向け目標（To-Be）プロファイルを策定する
• Prioritize investments in cybersecurity and privacy capabilities aligned to the Subcategories identified as most important to support organizational Mission Objectives	• 組織のミッション目標をサポートする上で最も重要であると識別されたサブカテゴリーに整合するサイバーセキュリティおよびプライバシー能力への投資の優先順位付けを行う
• Understand the relationship between cybersecurity and privacy risk management	• サイバーセキュリティとプライバシーのリスクマネジメントの関係を理解する

[1] The CSF 2.0 uses the term asset to describe “assets (e.g., data, hardware, software, systems, facilities, services, people) that enable the organization to achieve business purposes” (ID.AM).	[1] CSF 2.0では、「組織が事業目的を達成するために必要な資産（データ、ハードウェア、ソフトウェア、システム、施設、サービス、人材など）」を指す用語として「資産」という用語を使用している（ID.AM）。

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.12.23 NISTIR 8432 ゲノムデータのサイバーセキュリティ

・2023.06.24 NISTIR 8467（ドラフト）ゲノムデータのサイバーセキュリティフレームワーク・プロファイル

・2023.03.05 NISTIR 8432（ドラフト）ゲノムデータのサイバーセキュリティ

2024.12.26 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー | Permalink | Comments (0)
Tweet

2024.12.25

金融庁「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について（注意喚起）」に伴う「暗号資産の流出リスクへの対応等に関する再度の自主点検要請」

こんにちは、丸山満彦です。

金融庁が、「暗号資産の流出リスクへの対応等に関する再度の自主点検要請」を日本暗号資産等取引業協会の会長宛に出していますね...

これは、警察庁、NISC、金融庁が合同で発表した、「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について（注意喚起）」に伴うものですね...

● 金融庁

・2024.12.24 暗号資産の流出リスクへの対応等に関する再度の自主点検要請について

・[PDF] 暗号資産の流出リスクへの対応等に関する再度の自主点検要請について

令和６年12月24日

一般社団法人日本暗号資産等取引業協会会長殿

金融庁総合政策局長
屋敷利紀

暗号資産の流出リスクへの対応等に関する再度の自主点検要請について本日、警察庁・内閣サイバーセキュリティセンター・金融庁の連名で、「北朝鮮を背景とするサイバー攻撃グループ TraderTratior によるサイバー攻撃について（注意喚起）」が出されたところですが、当該注意喚起は、本年５月に発生した暗号資産交換業者における暗号資産の不正流出事案に関する具体的なソーシャルエンジニアリングの手法が判明したことを踏まえ、参考となる手口例や緩和策を示しつつ、事業者に適切なセキュリティ対策を講じることを要請する内容となっています。

先般（9 月 26 日）、当庁から、貴協会を通じ、貴協会会員に対して、暗号資産の流出リスクへの対応及びシステムリスク管理態勢に関し、事務ガイドライン第三分冊（金融会社関係16．暗号資産交換業者関係）等に記載している内容が適切に実施されているかに関して自主点検を行うことを要請したところですが、今回の注意喚起の内容を踏まえ、ウォレットに関する管理態勢を含めて、改めて速やかに自主点検を行うことを貴協会会員に対して求めるとともに、その結果を取りまとめてご連絡いただくようにお願いします。

（参考添付）「北朝鮮を背景とするサイバー攻撃グループ TraderTraitor によるサイバー攻撃について（注意喚起）」

以上

命令ではなく、要請です...(^^)

で肝心の日米の協力によるアトリビューション...

まずは、日本側（警察庁、金融庁、NISC）の発表

● 警察庁

・2024.12.24 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について

　警察庁は、関東管区警察局サイバー特別捜査部及び警視庁による捜査・分析の結果を総合的に評価し、米国連邦捜査局（FBI）及び米国国防省サイバー犯罪センター（DC3）とともに、令和６年５月に北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」（トレイダートレイター）が、我が国の暗号資産関連事業者「株式会社DMM Bitcoin」から約482億円相当の暗号資産を窃取したことを特定し、合同で文書を公表しました。

　また、今回の公表を受け、NISC及び金融庁と連名で、同グループの手口例及び緩和策に関する文書を公表しました。

・[PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について

（前略）

TraderTraitor は、北朝鮮当局の下部組織とされる「Lazarus Group」（ラザルスグループ）の一部とされており、手法の特徴として、同時に同じ会社の複数の従業員に対して実施される、標的型ソーシャルエンジニアリングが挙げられます。

⚫ 令和６年３月下旬、TraderTraitor は、LinkedIn 上で、リクルーターになりすまし、日本に所在する企業向け暗号資産ウォレットソフトウェア会社「株式会社 Ginco」（以下「Ginco」という。）の従業員に接触しました。同サイバー攻撃グループは、Ginco のウォレット管理システムへのアクセス権を保有する従業員に、GitHub 上に保管された採用前試験を装った悪意ある Python スクリプトへの URL を送付しました。被害者は、この Python コードを自身の GitHub ページにコピーし、その後、侵害されました。

⚫ 令和６年５月中旬以降、TraderTraitor は、侵害を受けた従業員になりすますためにセッションクッキーの情報を悪用し、Ginco の暗号化されていない通信システムへのアクセスに成功しました。同月下旬、同サイバー攻撃グループは、同アクセスを利用して、DMM 従業員による正規取引のリクエストを改ざんしたものと認められます。その結果、4,502.9BTC（攻撃当時約 482億円相当）が喪失しました。最終的に、窃取された資産は TraderTraitor が管理するウォレットに移動されました。

（後略）

・ FBI,DC3 and NPA Identification of North Korean Cyber Actors, tracked as TraderTraitor, Responsible for Theft of $308 Million from Bitocoin.DMM.COM

・[PDF] （仮訳）FBI、DC3 及び警察庁は、Bitcoin.DMM.Comから3億800万ドルを窃取したとして、北朝鮮のサイバーアクターTraderTraitorを特定

・[PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について

金融庁...

・2024.12.24 「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について（注意喚起）」の公表について

・[PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について（注意喚起）

内閣官房(NISC) ...

・2024.12.24 [PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitor によるサイバー攻撃について

米国側...　

・2024.12.24 FBI, DC3, and NPA Identification of North Korean Cyber Actors, Tracked as TraderTraitor, Responsible for Theft of $308 Million USD from Bitcoin.DMM.com

2024.12.25 00:00 in 情報セキュリティ / サイバーセキュリティ, in フォレンジック, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

英国 ICO 意見募集ストレージとアクセス技術に関する改訂版ガイドライン案（Cookieやトラッキングピクセルなど...）(2024.12.20)

こんにちは、丸山満彦です。

英国のICOが、ストレージとアクセス技術に関する改訂版ガイドライン案を公表していますね...

昔から英国のICOはクッキーの確認の仕方がについて、「そんなやりかた、茶番でしょう...『だれも理解していないけど、前に進みたいから、おすだけでしょう...』みたいな対応なんて意味がないよ」という感じでしたが、さて、今回のガイドライン案はどのようになっていますでしょうか...

このガイダンスは...

Web 開発者やアプリ開発者などのオンラインサービスプロバイダーを対象として、
誰かのデバイス（コンピューターや携帯電話など）に情報を保存したり、保存されている情報にアクセスしたりする技術を利用する場合に、2003 年プライバシーおよび電子通信規制（修正版）（PECR）および該当する場合はデータ保護法がどのように適用されるか

について説明しているものですね...

なお、PECR が適用される技術には、例えば、以下のものが含まれますね...

Cookie
トラッキングピクセル
リンクデコレーション、ナビゲーショントラッキング
ローカルストレージ
デバイスフィンガープリンティング
スクリプト、タグ

「How do we manage consent in practice?」のパートでは、同意をどのように管理するのか？ということで、ちょっとしたアニメーションのついた例示を使って、わかりやすく説明していますね...

ガイドラインもPDFって感じではないかもですね...

このガイド案では、

PECR でカバーされる技術 (Cookie、トラッキングピクセルなど)
ストレージおよびアクセス技術を使用する組織のコンプライアンス義務
ポップアップ、ブラウザ設定、設定主導のメカニズムなどの方法を含む、同意の取得と管理に関する期待
子どもが利用するサービスに対する特別な配慮、透明性と同意のメカニズムの要件
追跡、プロファイリング、広告測定に関する同意要件、「Cookieの壁」や同意メカニズムなどのモデルについての説明

などなどを取り扱っていますね...

参考になると思います...

意見は2025.03.14まで...

● U.K. Information Commissioner's Office; ICO

プレス...

・2024.12.20 ICO consultation on the draft updated guidance on storage and access technologies

ICO consultation on the draft updated guidance on storage and access technologies	ICO、ストレージとアクセス技術に関するガイダンスのドラフト更新に関するコンサルテーションを実施
The Information Commissioner's Office (ICO) is consulting on this draft updated guidance on storage and access technologies (previously known as the ‘detailed cookies guidance’).	情報コミッショナー事務局（ICO）は、ストレージおよびアクセス技術に関するガイダンス（以前は「詳細なクッキーガイダンス」として知られていた）の更新ドラフトについてコンサルティングを行っている。
Your responses will help us to provide any additional further clarity required in the final guidance update.	皆様からのご回答は、最終的なガイダンスの更新に必要なさらなる明確性を提供するために役立つ。
Respond to the consultation via SmartSurvey here.	SmartSurveyでこのコンサルテーションに対応する。
You can also respond to the consultation by contacting us at [mail]	また、 [mail] までご連絡いただいても対応可能である。
We welcome feedback to the questions set out in the survey. This survey is split into the following sections:	アンケートに記載された質問に対するフィードバックを歓迎する。このアンケートは以下のセクションに分かれている：
・Section 1: Your views on our proposed regulatory approach	・セクション1：提案されている規制アプローチに関するご意見
・Section 2: Questions to assess the impact of our approach	・セクション 2：セクション2：我々のアプローチの影響を評価するための質問
・Section 3: About you and your organisation	・セクション3：あなたとあなたの組織について
・Section 4: Final comments	・セクション4：最終コメント
The consultation will remain open until 5pm on Friday 14 March 2025. We may not consider responses received after the deadline.	コンサルテーションは2025年3月14日（金）午後5時まで受け付ける。期限を過ぎた回答は考慮しない場合がある。
This survey will take around 15 - 20 minutes to complete.	このアンケートの所要時間は約15～20分である。
Impact Assessment	影響アセスメント
We have produced a draft impact assessment to accompany this draft guidance.	我々は、このガイダンス草案に付随する影響評価のドラフトを作成した。
The draft impact assessment is available here.	インパクトアセスメントのドラフトはこちらから入手できる。
We are seeking feedback on this draft impact assessment through the above survey to inform the final version, which will accompany the final updated guidance.	最終的なガイダンスに添付される最終版に反映させるため、上記のアンケートを通じてこの影響アセスメント案に対するフィードバックを求めている。

ガイドライン案...

・2024.12.20 Guidance on the use of storage and access technologies

Guidance on the use of storage and access technologies	ストレージおよびアクセス技術の使用に関するガイダンス
Contents	目次
What's new	最新情報
About this guidance	このガイダンスについて
Why have you produced this guidance?	なぜこのガイダンスを作成したのか？
Who is it for?	誰のためのガイダンスなのか？
What does it cover?	何をカバーしているのか？
What doesn’t it cover?	何をカバーしていないのか？
How should we use this guidance?	このガイダンスをどのように使うべきか？
What are storage and access technologies?	保管技術とアクセス技術とは何か？
What technologies does PECR apply to?	PECRはどのような技術に適用されるのか？
Cookies	クッキー
Tracking pixels	トラッキングピクセル
Link decoration and navigational tracking	リンク装飾とナビゲーショントラッキング
Device fingerprinting	デバイスフィンガープリント
Web Storage	ウェブストレージ
Scripts / tags	スクリプト／タグ
Using storage and access technologies in different contexts	さまざまなコンテキストでストレージとアクセス技術を使用する
What are the rules?	規則とは何か？
What does PECR say about storage and access technologies?	PECRはストレージとアクセス技術について何を言っているのか？
Who are subscribers and users?	加入者とユーザーとは誰か？
What is terminal equipment?	端末機器とは何か？
What does ‘clear and comprehensive information’ mean?	明確かつ包括的な情報」とは何か？
What does 'consent' mean?	同意」とは何か？
Do all storage and access technologies require consent?	すべての保管・アクセス技術に同意が必要か？
What is the ‘communication’ exemption?	コミュニケーション」の適用除外とは何か？
What is the ‘strictly necessary’ exemption?	「厳密に必要な」適用除外とは何か？
When do the exemptions not apply?	適用除外はどのような場合に適用されないのか？
Do the rules only apply to websites and web browsers?	規則はウェブサイトとウェブブラウザにのみ適用されるのか？
Do the rules apply to our internal network?	規則は社内ネットワークにも適用されるのか？
Do the rules apply to public authorities?	規則は認可機関に適用されるか？
Do the rules apply to services based outside the UK?	規則は英国外に拠点を置くサービスに適用されるか？
What if children are likely to access our online service?	当社のオンラインサービスに子供がアクセスする可能性がある場合はどうするのか？
How do the PECR rules relate to the UK GDPR?	PECR規則は英国のGDPRとどのように関連しているか？
What is the relationship between PECR and the UK GDPR?	PECRと英国GDPRの関係は？
What does the UK GDPR say about storage and access technologies?	英国のGDPRは、保管およびアクセス技術についてどう述べているか？
How does PECR consent fit with the lawful basis requirements of the UK GDPR?	PECRの同意は、英国GDPRの合法的根拠要件とどのように適合するか？
What does PECR say about subsequent processing?	PECRは事後処理についてどのように述べているか？
How do we comply with the rules?	どのように規則を遵守するのか？
Who is responsible for compliance?	誰が遵守の責任を負うのか？
How do we consider PECR when designing a new online service?	新しいオンラインサービスを設計する際、PECRをどのように考慮するか？
What do we need to consider if we use someone else’s technologies on our online service?	オンラインサービスで他者の技術を使用する場合、何を考慮する必要があるか？
How do we tell people about the storage and access technologies we use?	私たちが使用するストレージやアクセス技術について、どのように人々に伝えるか？
How do we tell people about storage and access technologies set on websites that we link to?	リンク先のウェブサイトに設定されているストレージやアクセス技術について、どのように人々に伝えるか？
Can we pre-enable any non-essential storage and access technologies?	必要でないストレージやアクセス技術を事前に有効にすることは可能か？
How long can we store or access information for?	どれくらいの期間、情報を保存したりアクセスしたりすることができるか？
What is an audit and how can we do one?	監査とは何か、監査はどのように行うのか。
How do we manage consent in practice?	同意はどのように管理するのか？
When do we need to get consent?	いつ同意を得る必要があるのか？
Who do we need consent from?	誰からの同意が必要か？
How do we request consent?	どのように同意を求めるのか？
Can we use pop-ups and similar techniques?	ポップアップや類似のテクニックを使用してよいか？
Our expectations for consent mechanisms	同意の仕組みに対する期待
Can we rely on settings-led consent?	設定主導の同意に頼ることができるか？
Can we rely on feature-led consent?	機能主導の同意に頼ることができるか？
Can we rely on browser settings and other control mechanisms for consent?	同意のためにブラウザの設定やその他の制御メカニズムに頼ることができるか？
Can we use ‘terms and conditions’ to gain consent?	同意を得るために「利用規約」を使用できるか？
Can we bundle consent requests?	同意の要請を束ねることができるか？
How often do we need to request consent?	どれくらいの頻度で同意を求める必要があるか？
What if our use of storage and access technologies changes?	保存技術やアクセス技術の使用に変更があった場合はどうするか？
How do we keep records of user preferences?	ユーザーのプリファレンスの記録はどのように保存するか？
What if a user withdraws their consent?	ユーザーが同意を撤回した場合はどうするか？
How do the rules apply to online advertising?	ルールはオンライン広告にどのように適用されるか？
Do we need consent for tracking and profiling for online advertising?	オンライン広告のトラッキングやプロファイリングに同意は必要か？
Does ad measurement require consent?	広告測定には同意が必要か？
What types of online advertising can we use?	どのようなオンライン広告を利用できるか？
Can we use ‘cookie walls’ or ‘consent or pay’ models?	「Cookieの壁」や「同意または支払い」モデルを使用できるか？
What happens if we don’t comply?	コンプライアンスに従わない場合はどうなるのか？
Glossary	用語集

そして、重要なのは「影響アセスメント」です...日本もこういうアセスメントをきっちりと義務付けることが、重要なのではないかと思います。。。

・[PDF] Guidance on the use of storage and access technologies impact assessment - DRAFT

目次...

Contents	目次
Executive summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Our approach to impact assessment	1.1. 影響アセスメントへのアプローチ
1.2. Report structure	1.2. 報告書の構成
2. Problem definition	2. 問題の定義
2.1. What are storage and access technologies?	2.1. ストレージ技術とアクセス技術とは何か？
2.2. Problem definition	2.2. 問題の定義
2.3. Use of storage and access technologies within the UK	2.3. 英国内でのストレージとアクセス技術の利用
3. Rationale for Intervention	3. 介入の理由
3.1. Data protection (DP) harms	3.1. データ保護（DP）の弊害
3.2. Policy Context	3.2. 政策の背景
3.3. Market failures	3.3. 市場の失敗
3.4. Summary of rationale for intervention	3.4. 介入の根拠
4. Options appraisal	4. オプション評価
4.1. Options for consideration	4.1. 検討すべき選択肢
4.2. Assessment of options	4.2. オプションのアセスメント
5. Detail of proposed intervention	5. 介入案の詳細
5.1. The guidance	5.1. ガイダンス
5.2. Scope of draft guidance	5.2. ドラフトガイダンスの範囲
5.3. Guidance timeline	5.3. ガイダンスのスケジュール
5.4. Affected groups	5.4. 影響を受けるグループ
6. Cost-benefit analysis	6. 費用便益分析
6.1. Identifying impacts	6.1. 影響の識別
6.2. Counterfactual	6.2. 反事実
6.3. Costs and Benefits	6.3. 費用と便益
7. Monitoring and review	7. モニタリングとレビュー
Annex A: What are storage and access technologies?	附属書A：保管技術とアクセス技術とは何か？
Annex B: Measurement of affected groups	附属書B：影響を受けるグループの測定
Annex C: Familiarisation costs	附属書C：周知コスト

エグゼクティブサマリー

Executive summary	エグゼクティブサマリー
This draft impact assessment accompanies our draft guidance on the use of storage and access technologies. The overarching objectives of the guidance are to provide regulatory certainty to organisations:	本影響評価ドラフトは、保管・アクセス技術の使用に関するガイダンスのドラフトに付随するものである。ガイダンスの包括的な目的は、組織に規制上の確実性を提供することである：
• on compliant practices for using storage and/or access to information on a device;	- デバイス上の情報へのストレージおよび／またはアクセスを使用する際の、コンプライアンスに準拠した慣行について；
• in the application and use of consent mechanisms, where required; and	- 必要な場合には、同意メカニズムの適用と使用に関して。
• regarding our expectations when they are using storage and access technologies.	- また、必要な場合には、同意の仕組みの適用と使用についてである。
This document sets out our initial impact findings for consultation, alongside consultation on the draft guidance itself. It is important to note that this isn’t an exhaustive assessment, and we will develop our analysis further as we move towards publication of the final guidance based on information and feedback received. We are seeking feedback on this draft impact assessment, as well as any other information and insights stakeholders can provide on impacts through the consultation process.	本書は、ドラフトガイダンス自体に関するコンサルテーションと並行して、コンサルテーションのための初期影響調査結果を示すものである。これは網羅的な評価ではないことに留意することが重要であり、最終ガイダンスの公表に向けて、寄せられた情報やフィードバックに基づき、さらに分析を深めていく予定である。我々は、この影響アセスメント草案に対するフィードバックを求めるとともに、コンサルテーション・プロセスを通じて、利害関係者が影響に関して提供できるその他の情報や洞察も求めている。
Problem definition and rationale for intervention	問題の定義と介入の根拠
Storage and access technologies refer to any technology that stores information, or accesses information that is stored on a subscriber or user’s ‘terminal equipment’ (for instance a smartphone or laptop). This is explained further in Annex A, and includes, but is not limited to:	ストレージおよびアクセス技術とは、加入者またはユーザーの「端末機器」（例えば、スマートフォンやラップトップ）に保存されている情報を保存したり、情報にアクセスしたりするあらゆる技術を指す。これについては附属書Aで詳しく説明し、以下を含むが、これらに限定されない：
• cookies;	- クッキー；
• tracking pixels;	- トラッキングピクセル
• link decoration and navigational tracking;	- リンク装飾およびナビゲーショントラッキング
• scripts and tags; • web storage; and	- スクリプトとタグ。
• device fingerprinting.	- デバイスのフィンガープリンティング。
Since our current guidance was produced in 2019 there have been important developments in relation to storage and access technologies. As a result, our guidance no longer reflects current market practices and has given rise to a need for greater regulatory certainty.	2019年に現行のガイダンスが作成されて以来、ストレージとアクセス技術に関連して重要な進展があった。その結果、我々のガイダンスはもはや現在の市場慣行を反映しておらず、より確実な規制の必要性が生じている。
The ICO is well placed to provide this regulatory certainty and reduce the risk of harms materialising to individuals and wider society from the use of storage and access technologies. With the growing adoption of these technologies across the economy it is expected that without intervention the potential for these harms will rise.	ICOは、この規制上の確実性を提供し、ストレージ・アクセス技術の使用から個人やより広範な社会が被害を受けるリスクを低減するために十分な立場にある。このような技術の採用が経済全体に拡大する中、介入がなければ、このような危害の可能性が高まることが予想される。
Options appraisal	選択肢の評価
In the context of the identified problem, the following options for intervention were considered:	識別された問題を踏まえ、以下の介入オプションが検討された：
• Do nothing: Do not update the current version of the detailed cookies guidance, published in 2019.	- 何もしない：2019年に発行される詳細なクッキーガイダンスの現行版を更新しない。
• Provide a significant update to guidance (preferred option):	- ガイダンスに大幅な更新をプロバイダする（好ましい選択肢）：
Provide a significant update to the detailed cookies guidance, that will: o Clarify and expand on established policy positions where we can provide further regulatory certainty.	詳細なCookieガイダンスに大幅な更新をプロバイダとして提供する。
o Provide equal weight to “similar technologies” (such as web storage and scripts and tags) alongside cookies by renaming the guidance products and providing new examples.	o ガイダンスの製品名を変更し、新しい例を提供することで、クッキーと並ぶ「類似の技術」（ウェブストレージやスクリプト、タグなど）に同等の重みを与える。
o Provide clarity by using the new style guide and must / should / could framework.	o 新しいスタイルガイドとmust/should/couldの枠組みを使用することにより、明確性を提供する。
• Provide a light update to guidance (do less): Provide a light update to the detailed cookies guidance, that will:	- ガイダンスを軽く更新する（do less）：詳細なクッキーのガイダンスに軽いアップデートを提供する：
o Provide clarity by using the new style guide and must / should / could framework.	o 新しいスタイルガイドとmust、should、couldの枠組みを使用することで明確性を提供する。
• Provide sector specific guidance (do more): Provide sector specific guidance and/ or detailed device-specific guidance.	- セクター別のガイダンスを提供する(もっとやる)：新しいスタイルガイドとmust、should、couldの枠組みを使用することで明確性を提供する。
These options were assessed against a number of critical success factors and the production of a significant update to guidance was identified as the preferred option. The preferred option ensures that guidance on storage and access technologies reflects the current use of technology and reduces the risk of the ICO being challenged on outdated guidance.	これらの選択肢は、多くの重要成功要因に照らしてアセスメントされ、ガイダンスの大幅な更新が好ましい選択肢として特定された。好ましい選択肢は、保管とアクセス技術に関するガイダンスが現在の技術利用を反映することを保証し、ICOが時代遅れのガイダンスについて異議を唱えられるリスクを軽減する。
Details of proposed intervention	介入案の詳細
The update to the ‘guidance on the use of cookies and similar technologies’ will expand on existing guidance, reframing it as ‘guidance on the use of storage and access technologies’. The guidance is aimed at providers of online services, including web or app developers, who need a deeper understanding of how PECR (Reg 6) and UK GDPR (where the use of these technologies involves the processing of personal data) apply to the use of storage and access technologies. It provides greater regulatory certainty by setting out what organisations must, should, and could do to comply with legislative requirements within the ICO’s remit or relevant established case law.	クッキーおよび類似技術の使用に関するガイダンス」の更新は、既存のガイダンスを拡大し、「保存およびアクセス技術の使用に関するガイダンス」として再構成する。このガイダンスは、ウェブやアプリの開発者を含むオンラインサービスのプロバイダを対象としており、PECR（規則6）と英国GDPR（これらの技術の使用がパーソナルデータの処理を伴う場合）がストレージとアクセス技術の使用にどのように適用されるかを深く理解する必要がある。このガイダンスは、ICOの権限または関連する確立された判例法の範囲内で、組織が法律上の要件を遵守するために何をしなければならず、何をすべきで、何ができるかを示すことにより、規制の確実性を高めるものである。
The route to impact for the guidance is set out in the theory of change in Figure 1 in Section 5. There are various groups that could be affected by the guidance including:	ガイダンスの影響経路は、セクション 5 の図 1 の変化理論に示されている。ガイダンスの影響を受ける可能性のあるグループは以下の通りである：
• Online service providers: Organisations that use storage and access technologies for essential and non-essential purposes;	- オンラインサービスプロバイダ：オンライン・サービス・プロバイダー：必須および非必須の目的でストレージおよびアクセス技術を使用する組織；
• Supply chain: Organisations that interact with and assist in collection and processing of information stored and/or accessed on online services; using storage and access technologies;	- サプライチェーン：サプライチェーン：オンラインサービス上に保存及び／又はアクセスされた情報の収集及び処理に関与し、それを支援する組織；
• UK organisations: Organisations that use online advertising;	- 英国の組織：英国の組織：オンライン広告を利用する組織；
• UK population users: People who interact with online services that use storage and access technologies;	- 英国の人口ユーザー：英国の利用者：ストレージおよびアクセス技術を使用するオンラインサービスとやりとりする人々；
• The ICO; and	- ICO、および
• Wider society.	- より広い社会
Cost-benefit analysis	費用便益分析
The costs and benefits of the intervention have been identified, as far as is possible and proportionate. Our ability to fully quantify and monetise impacts has been limited given the evidence gaps around the scale of affected groups.	介入によるコストと便益は、可能かつ適切な範囲で特定した。影響を完全に定量化し、収益化する能力は、影響を受けるグループの規模に関するエビデンスのギャップを考慮すると、限定的である。
We will develop our cost-benefit analysis further as we move towards publication of the final guidance based on information and feedback received through the consultation process.	最終ガイダンスの公表に向け、協議プロセスを通じて得られた情報やフィードバックに基づき、費用便益分析をさらに発展させる予定である。
Although there will be costs to organisations from reading, understanding and implementing the guidance, this is expected to be outweighed by the wider societal benefits of reduced data protection harms. On balance we expect the guidance to have a net positive impact.	ガイダンスを読み、理解し、実施することによって、組織にはコストがかかるが、データ保護の害が減少するというより広い社会的利益によって、このコストは上回ると予想される。バランスとしては、このガイダンスは正味でプラスに働くと期待している。
Monitoring and evaluation	モニタリングと評価
An appropriate and proportionate review structure will be put in place when finalising our guidance. This will follow best practice and align with our organisational reporting and measurement against ICO25 objectives.	ガイダンスを最終化する際には、適切かつ適切なレビュー体制が導入される。これはベストプラクティスに従ったものであり、ICO25 の目標に対する我々の組織的な報告および測定と整合するものである。

2024.12.25 00:00 in 法律 / 犯罪, in ロボット, in パブコメ | Permalink | Comments (0)
Tweet

2024.12.24

日本銀行金融研究所検証可能クレデンシャルにおける本人紐づけを巡る論点：適用事例にみる対応方法と金融分野への含意（佐古和恵先生）

こんにちは、丸山満彦です。

大山永昭先生がなくなったというニュースに触れました。大山先生とは、厚生労働省の保健医療福祉分野における公開鍵基盤（HPKI）認証局の整備と運営に関する専門家会議において、私とも関係がありました。2005年から2023年3月まで委員長としてその任にあたって頂いていました。ご冥福をお祈りいたします。

2023年4月からは、松本勉先生が委員長としてその任を引き継いでおられます。そして、この委員会の委員として、これから紹介する論文の著者の佐古先生も参画されています。

で、佐古先生の属性証明に関わる論文の紹介...

著者の佐古先生は、会議の席でも本当に論理だった適切な議論をされる方です。

今回紹介する日本銀行金融研究所の論文は、まさにHPKIともかかわってくる属性情報の正しさを発行者が保証する電子的な証明書（検証可能クレデンシャル（Verifiable Credential: VC））の話です...

業務を進めていく上で、社会的に必要なプロセスをデジタル上で実装する上で必要不可欠となってくる話です。HPKIではすでに運用されていますが、さまざまな国家資格を含む属性の証明をする上で重要となってくる話ですね。

そして、この論文、とてもわかりやすく書かれています。（さすが佐古先生です...）

● 日本銀行金融研究所

・2024.12.20 ディスカッションペーパーシリーズ（日本語版） 2024-J-22

・[PDF] 検証可能クレデンシャルにおける本人紐づけを巡る論点：適用事例にみる対応方法と金融分野への含意

要旨...

検証可能クレデンシャルにおける本人紐づけを巡る論点：適用事例にみる対応方法と金融分野への含意

佐古和恵

検証可能クレデンシャル（Verifiable Credential: VC）とは、ある対象（人、モノ、組織など）の属性情報の正しさを発行者が保証する電子的な証明書であり、その技術的な中核はデジタル署名である。VCは属性証明の汎用的なツールとして、社会で流通する情報の信頼性を向上させる潜在能力を持ち、金融をはじめとするさまざまな産業分野において活用が期待される。他方、VCはデジタル・データゆえに、従来の紙の証明書と異なり、実活用にあたり注意すべき点がある。例えば、ある人物から「自分の証明書」として「〇山A子」と記載された証明書が送られてきたが、相手は本当に〇山A子なのだろうか。あるいはその証明書をB県が発行したと記載されているが、本当にB県が発行したものなのだろうか。このような、（1）証明書の提示者実体が証明書に記載された提示者と同一人物であることの紐づけと、（2）証明書の発行者実体が証明書に付与されたデジタル署名の発行者と同一であることの紐づけにおける正確性確保は、技術のみでは解決できない課題である。そこで本稿では、エンティティ（実体）とVCに記載された情報との紐づけにおける正確性確保の論点を解説したうえで、VCの適用事例としてワクチン証明書と資格証明書を紹介し、金融分野などの産業応用におけるVCの有用性と運用上の留意点について考察する。

キーワード：検証可能クレデンシャル、デジタル・アイデンティティ、認証、公開鍵

図表...

図１：２つの紐付け

性別が女性であり、住所が B 県であると記述された VC

図２：VCの構成要素

2024.12.24 06:47 in 情報セキュリティ / サイバーセキュリティ, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

日本公認会計士協会監査実施状況調査（2023年度）

こんにちは、丸山満彦です。

日本公認会計士協会は、毎年、金商法の監査実施状況等について取りまとめていますが、2023年4月1日から2024年3月31日期の金商法監査等の概要が公表されていますね。。。

2008年からの「平均監査報酬額」（単価が上がり、会社が成長すると増えるでしょう。。。）と「時間あたり平均単価」（会計士の給与が増えれば増えるでしょう。。。）の推移を長期的に見てみると、改めて、日本って成長していないなぁ。。。と感じますね。。。責任の一端はあるわけなので、なんとも複雑な感じですが、、、

というコメントを一昨年、昨年も書きましたが、今年もまた同じですね...今年度からはAIの利用も始まってきていますので、時間当たり平均単価は上がっていくのでしょうかね...

● 日本公認会計士協会

・2023.12.20 監査実施状況調査（2022年度)

・[PDF] 監査実施状況調査(2023年度)

・[PDF] 監査実施状況調査(2023年度)参考資料

・[ELSX] 監査実施状況調査(2023年度)_

データ

年度	会社数	総監査報酬額(千円)	前年比	総監査時間	前年比	平均監査報酬額(千円)	前年比	平均監査時間	前年比	時間当たり平均単価(円)	前年比
2008	17,084	253,912,588	133.72%	20,848,899	137.42%	14,863	132.70%	1,220.40	136.37%	12,179	97.31%
2009	17,098	257,093,592	101.25%	19,582,284	93.92%	15,036	101.17%	1,145.30	93.85%	13,129	107.80%
2010	16,941	248,014,437	96.47%	19,445,732	99.30%	14,640	97.36%	1,148.00	100.23%	12,754	97.15%
2011	17,103	241,078,726	97.20%	20,073,674	103.23%	14,096	96.28%	1,173.70	102.24%	12,010	94.16%
2012	16,826	233,338,867	96.79%	19,028,972	94.80%	13,868	98.38%	1,131.00	96.36%	12,262	102.10%
2013	16,919	233,230,193	99.95%	19,255,150	101.19%	13,785	99.40%	1,138.10	100.62%	12,113	98.78%
2014	17,022	235,069,271	100.79%	19,732,969	102.48%	13,810	100.18%	1,159.20	101.86%	11,913	98.35%
2015	17,246	242,126,350	103.00%	20,651,029	104.65%	14,040	101.66%	1,197.40	103.29%	11,725	98.42%
2016	17,392	250,649,070	103.52%	21,664,405	104.91%	14,412	102.65%	1,245.70	104.03%	11,570	98.68%
2017	17,891	260,105,738	103.77%	21,874,539	100.97%	14,538	100.88%	1,222.70	98.15%	11,891	102.78%
2018	18,433	273,266,629	105.06%	22,637,873	103.49%	14,825	101.97%	1,228.10	100.45%	12,071	101.52%
2019	19,909	296,766,088	108.60%	24,646,497	108.87%	14,906	100.55%	1,238.00	100.80%	12,041	99.75%
2020	20,399	307,876,034	103.74%	25,577,804	103.78%	15,093	101.25%	1,253.90	101.29%	12,037	99.97%
2021	20,765	317,584,178	103.15%	26,057,952	101.88%	15,294	101.34%	1,254.90	100.08%	12,188	101.25%
2022	20,923	330,442,214	104.05%	27,193,352	104.36%	15,793	103.26%	1,299.69	103.57%	12,152	99.70%
2023	21,185	346,171,199	104.76%	28,153,201	103.53%	16,340	103.46%	1,328.90	102.25%	12,296	101.18%

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.23 日本公認会計士協会監査実施状況調査（2022年度）

・2023.02.18 日本公認会計士協会監査実施状況調査（2021年度）

・

少し古いですが...(^^;;

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円 (3)詳細データ

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円 (2)対前年比

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円

・2008.04.07 昨年度の総監査時間は1465万時間、総監査費用は1760億円、平均時間単価は12,000円（詳細データ）

・2008.04.07 昨年度の総監査時間は1465万時間、総監査費用は1760億円、平均時間単価は12,000円

・2005.10.01 監査報酬　監査実施状況及び個別企業の監査報酬

2024.12.24 00:00 in 監査 / 認証 | Permalink | Comments (0)
Tweet

2024.12.23

米国 MITRE 「ピラミッドの頂上へ」プロジェクト (2024.12.17)

こんにちは、丸山満彦です。

MITREが、Summiting the Pyraid Project についての発表をしています...

敵である攻撃者側の戦術・技術・手順（Tactics, Techniques, and Procedures；TTP）を理解することにより、攻撃者が、検出を回避しようと試みても、検出されることから逃れるのが難しくなり、攻撃に対するコストを引き上げることができるということで、攻撃者のTTPを理解することに集中すればよいという考え方（2013年にデビット・ビアンコが発表した）に基づいたプロジェクトです...

このリリースはVer2.0.0ですが、その前のVer1.0.0は2023.09.14に発表でした...

● MITRE

・2024.12.17 Summiting the Pyramid

プロジェクト概要...

Project Summary	プロジェクト概要
Summiting the Pyramid (STP) creates a methodology to score analytics against the pyramid of pain, helping defenders create more robust detections against adversary behavior. With this update, STP reduces false positives and expands scoring to network-based analytics.	Summiting the Pyramid（STP）は、敵の行動に対してより強固な検知を作成するために、痛みのピラミッドに対して分析をスコアリングする手法を作成する。今回のアップデートにより、STPは誤検知を減らし、スコアリングをネットワークベースの分析に拡張する。
Problem	問題点
Adversaries can easily evade cyber analytics that are dependent on specific tools or artifacts.	敵は、特定のツールやアーティファクトに依存するサイバー分析を容易に回避することができる。
Solution	解決策
Create and apply a methodology to evaluate the dependencies inside analytics and make them more robust by focusing on adversary behaviors.	アナリティクス内部の依存関係を評価し、敵の行動に焦点を当てることでアナリティクスをより堅牢にするための手法を作成し、適用する。
Impact	インパクト
Shift the advantage towards defenders with improved analytics that catch adversaries even as they evolve and detect future campaigns.	敵が進化しても捕捉し、将来のキャンペーンを検知できるようにアナリティクスを改善することで、優位性を防御側に移す。

プロジェクトの発表

● Medium

・2024.12.17 Summiting the Pyramid: Bring the Pain with Robust and Accurate Detection

2013年にデビット・ビアンコが発表したブログの文書...

● Enterprise Detection & Response

・2013.03.01 The Pyramid of Pain

プロジェクトのウェブサイト

● MITRE - Center for Threat-Informed Defense

・Summiting the Pyramid v2.0.0

内容...

Overview	概要
Introduction	序文
Project Goal	プロジェクトの目標
What is a Robust Detection?	ロバスト検知とは何か？
Deconstructing the Pyramid	ピラミッドを分解する
Event Observables for Hosts and Networks	ホストとネットワークのイベント観測値
How Do We Create Robust Detections?	どのようにしてロバスト検知を作成するのか？
Assumptions and Caveats	前提条件と注意点
Definitions	定義
Detection	検知
Accuracy	精度
Robust Detection	ロバスト検知
Observable	観測可能
Analytic	分析的
Analytic Robustness Categories	分析的ロバストネスのカテゴリー
Event Robustness Categories	イベントのロバストネス・カテゴリー
Network Traffic Robustness Categories	ネットワークトラフィックのロバストネスカテゴリー
Originator Endpoint	発信側エンドポイント
Responder Endpoint	対応エンドポイント
Model Mapping Pages	モデルマッピングページ
Level 5: Core to Sub-Technique or Technique	レベル5：コアからサブテクニックまたはテクニックへ
Level 4: Core to Some Implementations of (Sub-)Technique	レベル4：（サブ）テクニックの一部の実装に対するコア
Level 3: Core to Pre-Existing Tools or Inside Boundary	レベル3: 既存のツールまたはバウンダリ内部のコア
Level 2: Core to Adversary-Brought Tool or Outside Boundary	レベル2：敵が持ち込んだツール、または境界の外側に対するコア
Level 1: Ephemeral Values	レベル1：儚い価値
Column A: Application	A列：アプリケーション
Column U: User-Mode	U列：ユーザーモード
Column K: Kernel-Mode	列K：カーネルモード
Column P: Payload Visibility	列 P：ペイロードの可視性
Column P: Header Visibility	列 P: ヘッダの可視性
Observables Quick Search	オブザーバブルのクイック検索
Combining Observables	オブザーバブルを組み合わせる
Understanding Resistance to Adversary Change Over Time	時間経過に伴う敵の変化に対する耐性を理解する
Evaluating Robustness	堅牢性を評価する
Example Mappings	マッピングの例
T1003.001: LSASS Memory	T1003.001: LSASSメモリ
T1053.005 Scheduled Tasks	T1053.005 スケジュールされたタスク
Remote Procedure Call (RPC) Protocol	リモートプロシージャコール（RPC）プロトコル
Hypertext Transfer Protocol (HTTP)	ハイパーテキスト転送プロトコル（HTTP）
T1204.001: User Execution: Malicious Link (i.e., Web Distributed Authoring and Versioning [WebDAV])	T1204.001: ユーザ実行：悪意のあるリンク（すなわち、Web Distributed Authoring and Versioning [WebDAV]）。
How to Score Resistance to Adversary Evasion Over Time	時間経過に伴う敵の回避に対する耐性をスコアリングする方法
Step 1: Scoring the Analytic’s Sensor Data	ステップ1：分析対象のセンサーデータをスコアリングする
Step 2: Break Down Each of the Observables	ステップ2：各観測項目を分解する
Step 3: Analyze the Selection or Condition of the Analytic	ステップ3: 分析対象の選択または状態を分析する
Step 4: Give the Analytic a Final Score	ステップ4: 分析結果に最終スコアをつける
Analytics Repository	分析リポジトリ
Suspicious ADFind	疑わしいADFind
Scheduled Task/Job	スケジュールされたタスク/ジョブ
Service Registry Permissions Weakness Check	サービスレジストリのパーミッションの脆弱性チェック
Potential Access Token Abuse	アクセストークンの悪用の可能性
Executable (EXE) File Download from a WebDAV Server	WebDAVサーバーからの実行可能(EXE)ファイルのダウンロード
Link (LNK) File Download Containing a WebDAV UNC Hyperlink	WebDAV UNC ハイパーリンクを含むリンク (LNK) ファイルのダウンロード
Remote Registry Management Using Reg Utility	Regユーティリティによるリモートレジストリ管理
File Creation Date Changed to Another Year	ファイルの作成日が別の年に変更される
Zeek DCE-RPC MITRE BZAR Execution	Zeek DCE-RPC MITRE BZAR の実行
Components of a Robust Detection	堅牢な検知の構成要素
Accurate Detection	正確な検知
Accurate vs. Resistance	正確さと耐性
Bringing It All Together Through Robust Detection	ロバスト検知ですべてをまとめる
How to Build a Robust Detection	ロバスト検知の構築方法
Identify All “Spanning Sets” of Observables for Malicious Behavior	悪意のある行動に関するすべての「スパニングセット」を識別する。
Select Spanning Set(s) Most Specific to the Malicious Behavior	悪意のある行動に最も特異的なスパニングセットを選択する
Add Exclusions for False Positive Reduction	誤検出を減らすために除外項目を追加する
Incorporate into Fused Analytic Frameworks	融合分析枠組みに組み込む
Detection Decomposition Diagram (D3)	検知分解図（D3）
What Is D3?	D3とは何か？
Our Inspiration: Capability Abstraction	私たちのインスピレーション能力の抽象化
T1003.001: OS Credential Dumping LSASS Memory	T1003.001: OSクレデンシャルダンプLSASSメモリ
T1053.005: Scheduled Tasks	T1053.005: スケジュールされたタスク
T1110.001: Brute Force: Password Guessing	T1110.001: ブルートフォース：パスワード推測
Future Work	今後の課題
Acknowledgements	謝辞
Changelog	変更履歴
Summiting the Pyramid 2.0	ピラミッドの頂上2.0

GitHub

・Summiting the Pyramid

2024.12.23 07:24 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

英国 Cyber Essentials 2025.04.28以降の要求事項等について...

こんにちは、丸山満彦です。

いろいろな政策の検討をしている中で、英国が中小企業（英国の場合は従業員数250名未満）のCyber Security向上政策の一つとして考えたCyber Essentials制度は2014年に始まった制度で、委託先管理（ある意味サプライチェーンリスク管理）の一つの方法として参考になる面もあるので、最近話題となっていますね...

ISO/IEC 27001の認証では費用負担等が大きいということで、中小企業のサイバーセキュリティ認証として利用されているもので、Cyber Essentialsの宣言をしている組織が3.4万組織、うち認証を取得しているのが1.1万組織（2024.10-2024.09）となっています...

● NCSC

・[ODS] Cyber Essentials management information (July 2024 to September 2024)

認証のための規準 Criteria については2024.04にV3.1に変わったのですが、この9月に2024.04.28以降に利用される要求事項、Plus用の検証の例示が公表されています...

	2025.4.28	以降	以前
評価規準	Cyber Essentials: Requirements for IT infrastructure	V3.2	V3.1
認証基準	Cyber Essentials Plus: Illustrative Test Specification	V3.2	V3.1

要求事項（評価規準）

・[PDF] Cyber Essentials: Requirements for IT infrastructure V3.2

What’s new in this version	本バージョンの新機能
A. Introducing the technical controls	A. 技術的管理の紹介
B. Definitions	B. 定義
C. Scope	C. 範囲
Scope overview	範囲の概要
Asset management and Cyber Essentials	資産管理とサイバーエッセンシャル
i. Bring your own device (BYOD)	i. BYOD（Bring Your Own Device）
ii. Home and remote working	ii. 在宅勤務とリモートワーク
iii. Wireless devices	iii. ワイヤレスデバイス
iv. Cloud services	iv. クラウドサービス
v. Accounts used by third parties and managed infrastructure	v. サードパーティが使用するアカウントおよび管理対象インフラ
vi. Devices used by third parties	vi. サードパーティが使用するデバイス
vii. Web applications	vii. ウェブアプリケーション
D. Requirements by technical control theme	D. 技術的管理テーマ別要件
1. Firewalls	1. ファイアウォール
Aim	目的
Introduction	序文
Requirements	要件
2. Secure configuration	2. セキュアな構成
Aim	目的
Introduction	序文
Requirements	要件
3. Security update management	3. セキュリティ更新管理
Aim	目的
Introduction	序文
Requirements	要件
4. User access control	4. ユーザーアクセス管理
Aim	目的
Introduction	序文
Requirements	要件
Password-based authentication	パスワードベース認証
Multi-factor authentication (MFA)	多要素認証（MFA）
Passwordless authentication	パスワードレス認証
5. Malware protection	5. マルウェア保護
Aim	目的
Introduction	序文
Requirements	要件
Application allow listing (option for all in scope devices)	アプリケーションの許可リスト（対象範囲内のすべてのデバイスのオプション）
E. Further guidance	E. さらなるガイダンス
Backing up your data	データのバックアップ
Zero trust and Cyber Essentials	ゼロトラストおよびサイバーエッセンシャル

認証基準

・[PDF] Cyber Essentials Plus: Illustrative Test Specification V3.2

目次..

What’s new	新着情報
Audience	想定読者
Purpose	目的
Before you begin	始める前に
General prerequisites for testing	テストの一般的前提条件
Success criteria	成功規準
Test results	テスト結果
Pass:	合格：
Fail:	不合格
Advisory notes	アドバイザリに関する注記
Test case 1: Remote vulnerability assessment	テストケース 1: リモート脆弱性アセスメント
Test purpose	テスト目的
Test description	テスト説明
Prerequisites	前提条件
Sub-test 1.1	サブテスト 1.1
Interpreting the test case results	テストケース結果の解釈
Sample testing	サンプルテスト
Test case 2: Check patching, by authenticated vulnerability scan of devices	テストケース 2: デバイスの認証脆弱性スキャンによるパッチ適用チェック
Test purpose	テスト目的
Test description	テスト説明
Prerequisites	前提条件
Sub-test 2.1	サブテスト 2. 1
Interpreting the test case results	テストケース結果の解釈
Test case 3: Check malware protection	テストケース3：マルウェア防御の確認
Test purpose	テスト目的
Test description	テスト内容
Prerequisites	前提条件
Selecting appropriate sub-tests	適切なサブテストの選択
Sub-test 3.1 (for devices that use anti-malware software)	サブテスト3.1（マルウェア対策ソフトウェアを使用する機器の場合）
Sub-test 3.1.1 (Check effectiveness of defences against malware delivered by email)	サブテスト3.1.1（電子メールで配信されるマルウェアに対する防御の有効性の確認）
Sub-test 3.1.2 (Check effectiveness of defences against malware delivered by browser)	サブテスト3. 1.2（ブラウザによって配信されるマルウェアに対する防御の有効性の確認）
Sub-test 3.1.3 (Manual Checks for devices that use anti-malware software)	サブテスト 3.1.3（マルウェア対策ソフトウェアを使用する機器に対する手動確認）
Sub-test 3.2 (for devices that use certificate-based application allow listing)	サブテスト 3.2（証明書ベースのアプリケーション許可リストを使用する機器に対する手動確認）
Interpreting the test case results	テストケース結果の解釈
Test case 4: Check multi-factor authentication configuration	テストケース 4：多要素認証構成の確認
Test purpose	テスト目的
Test description	テスト記述
Test case 4.1	テストケース 4.1
Interpreting the test case results	テストケース結果の解釈
Test case 5: Check account separation	テストケース 5：アカウント分離の確認
Test purpose	テスト目的
Test description	テスト記述
Test case 5.1	テストケース 5.1
Interpreting the test case results	テストケース結果の解釈
Conclude the assessment	アセスメントの終了
Appendix A: Vulnerability scanning	附属書 A：脆弱性スキャン
Appendix B: Types of test file	附属書 B：テストファイルの種類

ちなみに認証は、IASME という認証機関が行なっています。この認証機関は、Cyber Essentialsも含めて合計10のスキームを提供していますね...

参考1：最近のCyber Essentialsの取得状況

● NCSC

・Cyber Essentials management information

・[ODS] Cyber Essentials management information (July 2024 to September 2024)

そこからグラフにしてみました...

取得数...

CEの数...

CE Plusの数

参考2：IASMEの認証業務

● IASME

NCSCスキーム

IASMEスキーム

海事、航空関係のサイバー認証をしているところが興味深いですね...

Cyber Essentials

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.20 英国サイバーエッセンシャル発行数 (2023.07-2024.06)

・2023.08.17 英国国家サイバー戦略 2022 の進捗報告 (2022-2023)

・2023.07.13 英国小規模企業のサイバーセキュリティをサポート：サイバーアドバイザリー制度 (2023.04.17)

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2021.11.22 英国サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2020.10.11 UK National Cyber Security Centreがスモールビジネス向けサイバーセキュリティガイド改訂版を公開していますね。。。（Cyber Essentials認定も意識して

2024.12.23 00:00 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in 安全保障 | Permalink | Comments (0)
Tweet

2024.12.22

アイルランドデータ保護委員会メタ社に約410億円の罰金 (2024.12.17)

こんにちは、丸山満彦です。

アイルランドのデータ保護委員会がメタ社に410億円の罰金を課したと公表していますね...

大きくいうと２つの決定からなります。

第33条（監督機関に対する個人データ侵害の通知）違反（約18億円）
第25条（データ保護バイデザイン及びデータ保護バイデフォルト）違反（約392億円）

で金額が大きいのは、第25条違反...

● Irland Data Protection Commission

・2024.12.17 Irish Data Protection Commission fines Meta €251 Million

Irish Data Protection Commission fines Meta €251 Million	アイルランドデータ保護委員会、メタに2億5100万ユーロの罰金
The Irish Data Protection Commission (DPC) has today announced its final decisions following two inquiries into Meta Platforms Ireland Limited (‘MPIL’). These own-volition inquiries were launched by the DPC following a personal data breach, which was reported by MPIL in September 2018.	アイルランドデータ保護委員会（DPC）は本日、メタ・プラットフォームズ・アイルランド・リミテッド（以下「MPIL」）に対する2件の調査に関する最終決定を発表した。これらの自主的な調査は、2018年9月にMPILが報告した個人データ漏えいを受けて、DPCが開始した。
This data breach impacted approximately 29 million Facebook accounts globally, of which approximately 3 million were based in the EU/EEA. The categories of personal data affected included: user’s full name; email address; phone number; location; place of work; date of birth; religion; gender; posts on timelines; groups of which a user was a member; and children’s personal data. The breach arose from the exploitation by unauthorised third parties of user tokens[1] on the Facebook platform. The breach was remedied by MPIL and its US parent company shortly after its discovery.	このデータ漏えいは世界で約2,900万のFacebookアカウントに影響を与え、そのうち約300万はEU/EEAに拠点を置くアカウントであった。影響を受けた個人データのカテゴリーには、ユーザーのフルネーム、メールアドレス、電話番号、所在地、勤務先、生年月日、宗教、性別、タイムラインへの投稿、ユーザーがメンバーとなっているグループ、および子供の個人データが含まれていた。この違反は、Facebookプラットフォーム上のユーザートークン[1]を無許可のサードパーティが不正利用したことによって発生した。違反は、発見後すぐにMPILとその米国親会社によって是正された。
The decisions, which were made by the Commissioners for Data Protection, Dr. Des Hogan and Dale Sunderland, included a number of reprimands and an order to pay administrative fines totalling €251 million.	データ保護委員であるデス・ホーガン博士とデール・サンダーランド氏によって下された決定には、数多くの叱責と総額2億5100万ユーロの行政罰金の支払命令が含まれていた。
The DPC submitted a draft decision to the GDPR cooperation mechanism in Sept 2024, as required under Article 60 of the GDPR[2]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.	DPCは、GDPR第60条の規定に従い、2024年9月にGDPR協力メカニズムに決定のドラフトを提出した[2]。DPCの決定のドラフトに対する異議は提起されなかった。DPCは、この件に関して、EU/EEAの同等の監督当局から協力と支援を得られたことに感謝している。
The DPC’s final decisions record the following findings of infringement of the GDPR:	DPCの最終決定では、GDPR違反に関する以下の調査結果が記録されている。
Decision 1	決定1
Article 33(3) GDPR - By not including in its breach notification all the information required by that provision that it could and should have included. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €8 million.	GDPR第33条(3) - 違反通知に、同条項で要求されているすべての情報が含まれていなかったこと。DPCは、この条項に関するMPILの不履行を叱責し、800万ユーロの行政罰金の支払いを命じた。
Article 33(5) GDPR - By failing to document the facts relating to each breach, the steps taken to remedy them, and to do so in a way that allows the Supervisory Authority to verify compliance. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €3 million.	GDPR 第33条(5) - 各違反に関する事実、その是正措置、および監督機関によるコンプライアンスの検証を可能にする方法でそれらを文書化しなかったこと。DPCは、この規定に関する違反を理由にMPILを叱責し、300万ユーロの行政罰金の支払いを命じた。
Decision 2	決定 2
Article 25(1) GDPR - By failing to ensure that data protection principles were protected in the design of processing systems. The DPC found that MPIL had infringed this provision, reprimanded MPIL, and ordered it to pay administrative fines of €130 million.	第25条(1) GDPR - 処理システムの設計においてデータ保護の原則が防御されていることを確保しなかったこと。DPCは、MPILがこの規定に違反したことを認め、MPILを叱責し、1億3000万ユーロの行政罰金の支払いを命じた。
Article 25(2) - By failing in their obligations as controllers to ensure that, by default, only personal data that are necessary for specific purposes are processed. The DPC found that MPIL had infringed these provisions, reprimanded MPIL, and ordered it to pay administrative fines of €110 million.	第25条（2） - 特定の目的に必要な個人データのみがデフォルトで処理されるよう確保するという、管理者としての義務を怠ったこと。DPCは、MPILがこれらの規定に違反したと判断し、MPILを叱責し、1億1000万ユーロの行政罰金の支払いを命じた。
DPC Deputy Commissioner Graham Doyle commented:	DPC副委員長であるグラハム・ドイル氏は次のようにコメントした。
“This enforcement action highlights how the failure to build in data protection requirements throughout the design and development cycle can expose individuals to very serious risks and harms, including a risk to the fundamental rights and freedoms of individuals. Facebook profiles can, and often do, contain information about matters such as religious or political beliefs, sexual life or orientation, and similar matters that a user may wish to disclose only in particular circumstances. By allowing unauthorised exposure of profile information, the vulnerabilities behind this breach caused a grave risk of misuse of these types of data.”	「今回の措置は、設計および開発サイクル全体を通じてデータ保護要件を組み込まなかった場合、個人が深刻なリスクや被害にさらされる可能性があることを浮き彫りにしています。Facebookのプロフィールには、宗教や政治的信条、性生活や性的指向など、ユーザーが特定の状況下でのみ開示したいと考えるような情報が含まれていることがあり、実際にそうした情報が記載されていることもよくあります。プロファイル情報の無許可エクスポージャーを許可することで、この違反の背後にある脆弱性は、これらのタイプのデータの悪用という重大なリスクをもたらした。
The DPC will publish the full decision and further related information in due course.	DPCは、決定の全文と関連情報を今後公表する予定である。
Further information	詳細情報
[1] User tokens are coded identifiers that can be used to verify the user of a platform or utility, and to control access to particular platform features and to personal data of the user and their contacts.	[1] ユーザートークンは、プラットフォームやユーティリティのユーザーを識別し、特定のプラットフォーム機能やユーザーおよびその連絡先の個人データへのアクセスを制御するために使用されるコード化された識別子である。
[2] Article 60 of the GDPR regulates the cooperation procedure between the Lead Supervisory Authority and the other Concerned Supervisory Authorities.	[2] GDPR第60条は、主監督当局とその他の関係監督当局間の協力手続きを規定している。
Background	背景
The breach that gave rise to the DPC’s Decisions arose from the deployment of a video upload function on the Facebook platform in July 2017. Facebook’s ‘View As’ feature allowed a user to see their own Facebook page as it would be seen by another user. A user making use of this feature could invoke the video uploader in conjunction with Facebook’s ‘Happy Birthday Composer’ facility. The video uploader would then generate a fully permissioned user token that gave them full access to the Facebook profile of that other user. A user could then use that token to exploit the same combination of features on other accounts, allowing them to access multiple users’ profiles and the data accessible through them. Between 14 and 28 September 2018 unauthorised persons used scripts to exploit this vulnerability and gained the ability to log on as the account holder to approximately 29 million Facebook accounts globally, of which approximately 3 million were based in the EU/EEA. Facebook security personnel were alerted to the vulnerability by an anomalous increase in video upload activity and removed the functionality that caused the vulnerability shortly thereafter.	DPCの決定につながった違反は、2017年7月にFacebookプラットフォーム上で動画アップロード機能が展開されたことに起因する。Facebookの「View As」機能により、ユーザーは自身のFacebookページを他のユーザーから見えるように表示することが可能であった。この機能を利用するユーザーは、Facebookの「Happy Birthday Composer」機能と併用して動画アップローダーを起動することができた。すると、動画アップローダーが完全許可付きユーザートークンを生成し、他のユーザーのFacebookプロフィールへの完全アクセスが可能となった。ユーザーは、そのトークンを使用して他のアカウントでも同じ機能の組み合わせを利用することができ、複数のユーザーのプロフィールと、それらを通じてアクセス可能なデータにアクセスすることが可能となった。2018年9月14日から28日の間に、不正な人物がスクリプトを使用してこの脆弱性を悪用し、世界中で約2,900万のFacebookアカウントにアカウント保有者としてログインできるようになった。そのうち約300万はEU/EEAに拠点を置くアカウントであった。Facebookのセキュリティ担当者は、動画のアップロード活動の異常な増加により脆弱性に気づき、その後すぐに脆弱性の原因となる機能を削除した。

個人情報保護委員会のGDPR仮訳より...

● 個人情報保護委員会

・[PDF] 一般データ保護規則（GDPR）の条文

Article 25 Data protection by design and by default	第25 条データ保護バイデザイン及びデータ保護バイデフォルト
1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.	1. 技術水準、実装費用、取扱いの性質、範囲、過程及び目的並びに取扱いによって引きこされる自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者は、本規則の要件に適合するものとし、かつ、データ主体の権利を保護するため、取扱いの方法を決定する時点及び取扱いそれ自体の時点の両時点において、データの最小化のようなデータ保護の基本原則を効果的な態様で実装し、その取扱いの中に必要な保護措置を統合するために設計された、仮名化のような、適切な技術的措置及び組織的措置を実装する。
2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons.	2. 管理者は、その取扱いの個々の特定の目的のために必要な個人データのみが取扱われることをデフォルトで確保するための適切な技術的措置及び組織的措置を実装する。この義務は、収集される個人データの分量、その取扱いの範囲、その記録保存期間及びアクセス可能性に適用される。とりわけ、そのような措置は、個人データが、その個人の関与なく、不特定の自然人からアクセス可能なものとされないことをデフォルトで確保する。
3. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article	3. 第42 条により承認された認証方法は、本条の第1 項及び第2 項に定める要件の充足を証明するための要素として用いることができる。

Article 33 Notification of a personal data breach to the supervisory authority	第33 条監督機関に対する個人データ侵害の通知
1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.	1. 個人データ侵害が発生した場合、管理者は、その個人データ侵害が自然人の権利及び自由に対するリスクを発生させるおそれがない場合を除き、不当な遅滞なく、かつ、それが実施可能なときは、その侵害に気づいた時から遅くとも72 時間以内に、第55 条に従って所轄監督機関に対し、その個人データ侵害を通知しなければならない。監督機関に対する通知が 72 時間以内に行われない場合、その通知は、その遅延の理由を付さなければならない。
2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach	2. 処理者は、個人データ侵害に気づいた後、不当な遅滞なく、管理者に対して通知しなければならない。
3. The notification referred to in paragraph 1 shall at least:	3. 第1 項で定める通知は、少なくとも、以下のとおりとする：
(a) describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;	(a) 可能な場合、関係するデータ主体の類型及び概数、並びに、関係する個人データ記録の種類及び概数を含め、個人データ侵害の性質を記述する；
(b) communicate the name and contact details of the data protection officer or other contact point where more information can be obtained;	(b) データ保護オフィサーの名前及び連絡先、又は、より多くの情報を入手することのできる他の連絡先を連絡する；
(c) describe the likely consequences of the personal data breach;	(c) その個人データ侵害の結果として発生する可能性のある事態を記述する；
(d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects	(d) 適切な場合、起こりうる悪影響を低減させるための措置を含め、その個人データ侵害に対処するために管理者によって講じられた措置又は講ずるように提案された措置を記述する。
4. Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay	4. 同時に情報を提供できない場合、その範囲内において、その情報は、更なる不当な遅滞なく、その状況に応じて提供できる。
5. The controller shall document any personal data breaches, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with this Article.	5. 管理者は、その個人データ侵害と関連する事実関係、その影響及び講じられた救済措置を含め、全ての個人データ侵害を文書化しなければならない。その文書は、本条の遵守を検証するために、監督機関が利用できるものとしなければならない。

2024.12.22 13:45 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

米国国土安全保障省 AI活用のユースケースの状況説明と内部向けChatのリリース (2024.12.16, 17)

こんにちは、丸山満彦です。

国土安全保障省 (Department of Homeland Security; DHS) がブログで、ユースケースについての状況説明と、内部向けに生成的AIを利用したChatbotをリリースについて述べていますね...ChatBotはまだ、10の機関にまたがる2万人弱のスタッフの一部が試験的に利用するという計画の途中過程のようですが...

日本の省庁においても参考になるのではないかと思います...

もちろん、何をしたかということも参考になると思いますが、どのように実現してきたかというプロセスも参考になるところがあるかもですね...

● Department of Homeland Security; DHS - Blog

ユースケースの状況

・2024.12.16 AI at DHS: A Deep Dive into our Use Case Inventory

DHSChatの発表...

・2024.12.17 DHS’s Responsible Use of Generative AI Tools

DHSに取り組み...

全体

・Artificial Intelligence at DHS

リーダーシップ

・・DHS AI Leadership

活用事例

・・Using AI to Secure the Homeland

ユースケース一覧

・・・Artificial Intelligence Use Case Inventory

連邦政府のAI人材の採用はこちら...（https://ai.gov/apply/）

DHSのAIについてのウェブ...

・Artificial Intelligence at DHS

2月に発表した人材募集...（新しいポジションなので、まずは人の募集から...50人規模...）

・2024.02.06 DHS Launches First-of-its-Kind Initiative to Hire 50 Artificial Intelligence Experts in 2024

3月に発表したロードマップ...

発表時のプレス...

・2024.03.18 Department of Homeland Security Unveils Artificial Intelligence Roadmap, Announces Pilot Projects to Maximize Benefits of Technology, Advance Homeland Security Mission

ロードマップ...

・2024.03.17 DHS Artificial Intelligence Roadmap

・・[PDF]

採用した最初の10名についての発表...

・2024.06.25 DHS Hires First 10 Experts in “AI Corps” Recruiting Sprint

パイロットの発表...

・2024.10.30 FACT SHEET: DHS Completes First Phase of AI Technology Pilots, Hires New AI Corps Members, Furthers Efforts for Safe and Secure AI Use and Development

詳細について

↓↓↓↓↓

Continue reading "米国国土安全保障省 AI活用のユースケースの状況説明と内部向けChatのリリース (2024.12.16, 17)"

2024.12.22 07:44 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

英国意見募集著作権とAI (2024.12.17)

こんにちは、丸山満彦です。

英国の知的財産事務局、科学・革新技術省、文化・メディア・スポーツ省が「著作権とAI」という文書を公開し、意見募集をしていますね...

著作権者の利益を保護しながら、著作物をAIを利用して活用し、より良い社会をつくるためにはどうすればよいのか？新たな法律が必要か、どの国も頭を使う必要がある分野なのでしょうかね...

● Gov.UK

プレス...

・2024.12.17 UK consults on proposals to give creative industries and AI developers clarity over copyright laws

UK consults on proposals to give creative industries and AI developers clarity over copyright laws	英国、クリエイティブ産業とAI開発者に著作権法の明確性をもたらす提案について協議
This consultation seeks views on how the government can ensure the UK’s legal framework for AI and copyright supports the UK creative industries and AI sector together.	この協議では、AIと著作権に関する英国の法的枠組みが英国のクリエイティブ産業とAIセクターを共に支援する方法について、政府の見解を求めている。
・new proposals seek to bring legal certainty to creative and AI sectors over how copyright protected materials are used in model training, supporting innovation and boosting the growth of both sectors crucial to our Plan for Change	・新たな提案は、モデルのトレーニングにおける著作権で保護された素材の利用方法について、クリエイティブ産業とAI産業の両方に法的確実性をもたらすことを目指している。イノベーションを支援し、変革計画にとって重要な両産業の成長を促進する。
・a balanced package of proposals aims to give creators greater control over how their material is used by AI developers, and enhance their ability to be paid for its use	・バランスの取れた提案パッケージは、AI開発者による素材の利用方法をクリエイターがより制御できるようにし、その利用に対して支払われる能力を向上させることを目指している。
・the proposals will also seek greater transparency from AI firms over the data used to train AI models alongside how AI-generated content is labelled	・提案はまた、AIモデルのトレーニングに使用されるデータの透明性をAI企業に高めることを求め、AI生成コンテンツのラベル付け方法についても求める。
・AI developers would have wide access to material to train world-leading models in the UK, and legal certainty would boost AI adoption across the economy	・英国のAI開発者は、世界トップクラスのモデルを訓練するための素材に広くアクセスでき、法的確実性は経済全体におけるAIの採用を後押しする
The UK has today launched a consultation on plans to give certainty to the creative industries and AI developers on how copyright material can be used to train AI models. Supporting the UK Government’s Plan for Change, the move will help drive growth across both sectors by ensuring protection and payment for rights holders and supporting AI developers to innovate responsibly.	英国は本日、著作権素材がAIモデルの訓練にどのように使用できるかについて、クリエイティブ産業とAI開発者に確実性を提供するための計画に関する協議を開始した。英国政府の変革計画を支援するこの動きは、権利保有者の防御と支払い保証を確保し、AI開発者が責任を持って革新できるよう支援することで、両セクターの成長を促進する。
Both sectors are central to the Government’s Industrial Strategy, and these proposals aim to forge a new path forward which will allow both to flourish and drive growth. Key areas of the consultation include boosting trust and transparency between the sectors, so right holders have a better understanding of how AI developers are using their material and how it has been obtained.	両セクターは政府の産業戦略の中心であり、これらの提案は両セクターが繁栄し、成長を促進する新たな道筋を築くことを目的としている。協議の主な分野には、両セクター間の信頼と透明性を高めることが含まれ、これにより権利保有者はAI開発者が自身の素材をどのように使用しているか、またその素材がどのように入手されたかについてより深く理解することができる。
The consultation also explores how creators can license and be remunerated for the use of their material, and how wide access to high-quality data for AI developers can be strengthened to enable innovation across the UK AI sector.	また、この協議では、クリエイターが自身の素材の使用に対してライセンスを付与し、報酬を得る方法、および英国のAIセクター全体にわたるイノベーションを可能にするために、AI開発者による高品質なデータへのアクセスをどのように強化できるかについても検討されている。
These proposals will help unlock the full potential of the AI sector and creative industries to drive innovation, investment, and prosperity across the country, driving forward the UK government’s mission to deliver the highest sustained growth in the G7 under its Plan for Change.	これらの提案は、AIセクターとクリエイティブ産業の潜在能力を最大限に引き出し、イノベーション、投資、そして英国全体の繁栄を促進するのに役立つ。これにより、英国政府の使命である「変革のための計画」の下、G7諸国の中で最も持続的な成長を実現するという目標の達成が前進する。
Currently, uncertainty about how copyright law applies to AI is holding back both sectors from reaching their full potential. It can make it difficult for creators to control or seek payment for the use of their work, and creates legal risks for AI firms, stifling AI investment, innovation, and adoption. After previous attempts to agree a voluntary AI copyright code of practice proved unsuccessful, this government is determined to take proactive steps with our creative and AI sectors to deliver a workable solution.	現在、著作権法がAIにどのように適用されるかについての不確実性が、両分野が潜在能力を最大限に発揮するのを妨げている。これにより、クリエイターが自身の作品の利用を管理したり、その対価を求めることが難しくなる可能性があり、AI企業にとっては法的リスクが生じ、AIへの投資、イノベーション、導入が阻害される。AIに関する自主的な著作権規範の合意に向けたこれまでの試みが失敗に終わった後、現政府は、クリエイティブ産業およびAI分野において、実行可能な解決策を実現するための積極的な措置を講じる決意である。
To address this, the consultation proposes introducing an exception to copyright law for AI training for commercial purposes while allowing rights holders to reserve their rights, so they can control the use of their content. Together with transparency requirements, this would give them more certainty and control over how their content is used and support them to strike licensing deals. This would also give AI developers greater certainty about what material they can and cannot use and ensure wide access to material in the UK.	これに対応するため、この協議では、権利保有者が権利を留保することを認めつつ、商業目的のAIトレーニングに著作権法の例外規定を導入することを提案している。これにより、透明性の要件とともに、権利保有者は、自らのコンテンツの使用をより確実に管理できるようになり、ライセンス契約の締結を支援することになる。また、これにより、AI開発者は、使用できる素材とできない素材についてより確かな見通しを得ることができ、英国の素材への幅広いアクセスを確保できる。
Before these measures could come into effect, further work with both sectors would be needed to ensure any standards and requirements for rights reservation and transparency are effective, accessible, and widely adopted. This would allow for smooth application by AI developers and right holders alike, ensuring rights holders of all sizes can reserve their rights and that any future regime delivers our objectives. These measures would be fundamental to the effectiveness of any exception, and we would not introduce an exception without them.	これらの措置が施行される前に、権利の留保と透明性に関する標準と要件が効果的で、アクセス可能で、広く採用されることを確実にするために、両業界とのさらなる作業が必要となる。これにより、AI開発者と権利保有者の双方にとって円滑な申請が可能となり、あらゆる規模の権利保有者が権利を留保でき、将来の体制が我々の目的を達成できることが確実になる。これらの措置は、あらゆる例外措置の有効性の根幹をなすものであり、それらなしに例外を導入することはない。
The consultation also proposes new requirements for AI model developers to be more transparent about their model training datasets and how they are obtained. For example, AI developers could be required to provide more information about what content they have used to train their models. This would enable rights holders to understand when and how their content has been used in training AI.	また、この協議では、AIモデル開発者が、モデルのトレーニングデータセットとその入手方法について、より透明性を高めるための新たな要件を提案している。例えば、AI開発者は、モデルのトレーニングに使用したコンテンツに関するより詳細な情報を提供することが求められる可能性がある。これにより、権利保有者は、AIのトレーニングに自社のコンテンツがいつ、どのように使用されたかを把握できるようになる。
Secretary of State for Science, Innovation and Technology, Peter Kyle, said:	科学・イノベーション・技術担当大臣のピーター・カイル氏は次のように述べた。
The UK has an incredibly rich and diverse cultural sector and a ground breaking tech sector which is pushing the boundaries of AI. It’s clear that our current AI and copyright framework does not support either our creative industries or our AI sectors to compete on the global stage.	英国には非常に豊かで多様な文化部門があり、AIの限界を押し広げる画期的な技術部門もある。現在のAIと著作権の枠組みでは、クリエイティブ産業もAI部門もグローバルな舞台で競争していくことをサポートできないことは明らかだ。
That is why we are setting out a balanced package of proposals to address uncertainty about how copyright law applies to AI so we can drive continued growth in the AI sector and creative industries, which will help deliver on our mission of the highest sustained growth in the G7 as part of our Plan for Change.	だからこそ、AIに著作権法がどのように適用されるかについての不確実性に対処するためのバランスの取れた提案パッケージを提示している。これにより、AI分野とクリエイティブ産業の継続的な成長を促進し、変革のための計画の一環としてG7で最高の持続的成長を実現するという我々の使命を果たすことができる。
This is all about partnership: balancing strong protections for creators while removing barriers to AI innovation; and working together across government and industry sectors to deliver this.	これはすべてパートナーシップに関するものである。すなわち、クリエイターを強力に防御しながらAIのイノベーションの障壁を取り除くこと、そしてこれを実現するために政府と産業分野を越えて協力することである。
Secretary of State for Culture, Media and Sport, Lisa Nandy, said:	文化・メディア・スポーツ省のリサ・ナンディ大臣は次のように述べた。
This government firmly believes that our musicians, writers, artists and other creatives should have the ability to know and control how their content is used by AI firms and be able to seek licensing deals and fair payment. Achieving this, and ensuring legal certainty, will help our creative and AI sectors grow and innovate together in partnership.	「この政府は、音楽家、作家、アーティスト、その他のクリエイターが、AI企業によるコンテンツの利用状況を把握し、管理する能力を持ち、ライセンス契約や公正な報酬を求めることができるべきだと強く信じている。これを実現し、法的確実性を確保することは、パートナーシップのもとでクリエイティブ産業とAI産業が共に成長し、革新していくことを支援する。
We stand steadfast behind our world-class creative and media industries which add so much to our cultural and economic life. We will work with them and the AI sector to develop this clearer copyright system for the digital age and ensure that any system is workable and easy-to-use for businesses of all sizes.	我々は、我々の文化的生活や経済生活に多大な貢献をしている世界トップクラスのクリエイティブ産業およびメディア産業を断固として支援する。我々は、デジタル時代に向けたより明確な著作権システムを開発するために、クリエイティブ産業およびメディア産業とAI産業と協力し、あらゆる規模の企業にとって、いかなるシステムも実用可能で使いやすいものとなるよう努める。
Licensing is essential as a means for creators to secure appropriate payment for their work, and these proposals lay the groundwork for rights holders to strike licensing deals with AI developers when rights have been reserved. For example, a photographer who uploads their work onto their internet blog could reserve their rights, with confidence that their wishes will be respected and generative AI developers will not use their images unless a licence has been agreed. This would support the creative and media industries’ control, and their ability to generate revenue from the use of their material and provide AI developers with certainty about the material they can legally access.	ライセンスは、クリエイターが自身の作品に対して適切な報酬を確保するための手段として不可欠であり、これらの提案は、権利が留保されている場合に権利保有者がAI開発者とライセンス契約を結ぶための基盤を築くものである。例えば、自身の作品を自身のインターネットブログにアップロードする写真家は、自身の希望が尊重され、ライセンス契約が締結されない限り生成的AI開発者が自身の画像を使用しないことを確信して、自身の権利を留保することができる。これにより、クリエイティブおよびメディア業界の管理がサポートされ、彼らの素材の使用から収益を得る能力が強化されるとともに、AI開発者に対して、合法的にアクセスできる素材について確実な情報を提供できるようになる。
This combined approach is designed to strengthen trust between the two sectors, which are increasingly interlinked, clearing the way for developers to confidently build and deploy the next generation of AI applications in the UK, in a way that ensures human creators and rights holders have a shared stake in AI’s transformative potential.	この複合的なアプローチは、相互に結びつきを強めている2つの業界間の信頼を強化することを目的としている。これにより、英国において開発者が次世代のAIアプリケーションを自信を持って構築し展開することが可能となり、人間であるクリエイターや権利保有者がAIの変革的潜在力から利益を得られる道が開かれる。
The government welcomes licensing deals that have already been agreed, including by major firms in the music and news publishing sectors. But it is clear that many more creatives and right holders have not been able to do so under the current copyright regime. The creative industries, and businesses of all sizes, need more help to control their content and strike licensing deals. The government is determined to make it easier for them to do this.	政府は、音楽やニュース出版業界の大手企業を含む、すでに合意されたライセンス契約を歓迎している。しかし、現在の著作権体制では、多くのクリエイターや権利保有者がこれを行うことができていないことは明らかである。クリエイティブ産業やあらゆる規模の企業は、コンテンツを管理し、ライセンス契約を結ぶために、より多くの支援を必要としている。政府は、彼らがこれをより容易に行えるようにすることを決意している。
The consultation also recognises issues related to the protection of personality rights in the context of digital replicas, such as deepfake imitations of individuals, and will seek views on whether the current legal frameworks are sufficiently robust to tackle the issue.	また、この協議では、ディープフェイクによる個人模倣など、デジタル複製における人格権の防御に関する問題も認識しており、この問題に対処する上で、現在の法的枠組みが十分に強固であるかどうかについて意見を求める予定である。
As AI continues to develop at a rapid pace, the UK’s response must evolve alongside it. The government welcomes all stakeholder views on these proposals and is committed to making progress by collaborating with creators, rights holders, and AI developers to co-design the right copyright and AI framework for the UK, which will allow both sectors to thrive.	AIが急速に発展を続ける中、英国の対応もそれと歩調を合わせて進化していかなければならない。政府は、これらの提案に関するあらゆる利害関係者の意見を歓迎し、クリエイター、権利者、AI開発者と協力し、両分野がともに繁栄できるような英国にふさわしい著作権とAIの枠組みを共同で設計することで、前進していくことを約束している。
Notes to editors:	編集後記：
the consultation will run for 10 weeks, closing on 25 February, 2025	この協議は10週間行われ、2025年2月25日に終了する。

意見募集...

・Copyright and Artificial Intelligence

Copyright and Artificial Intelligence	著作権と人工知能
Summary	要約
This consultation seeks views on how the government can ensure the UK’s legal framework for AI and copyright supports the UK creative industries and AI sector together.	本協議では、英国のAIと著作権に関する法的枠組みが英国のクリエイティブ産業とAIセクターを共に支援する方法について、政府の見解を求めている。
This consultation closes at	本協議の締め切りは
11:59pm on 25 February 2025	2025年2月25日午後11時59分
Consultation description	協議内容
Two major strengths of the UK economy are its creative industries and AI sector. Both are essential to drive economic growth and deliver the government’s Plan for Change.	英国経済の2つの大きな強みは、クリエイティブ産業とAIセクターである。両者は経済成長を促進し、政府の変革計画を実現するために不可欠である。
The government is determined to build on the strengths of the UK AI sector, and will set out an ambitious roadmap leveraging AI to grow the economy and improve public services through the AI Opportunities Action Plan.	政府は英国のAIセクターの強みを活かすことを決意しており、AIを活用して経済成長を促進し、公共サービスを改善するための野心的なロードマップを「AIの機会に関する行動計画」を通じて策定する。
The government also recognises the continued economic and cultural contributions of our world-leading creative industries.	また、政府は世界をリードする英国のクリエイティブ産業が経済および文化に継続的に貢献していることを認識している。
Copyright is a key pillar of our creative economy. It exists to help creators control the use of their works and allows them to seek payment for it. However, the widespread use of copyright material for training AI models has presented new challenges for the UK’s copyright framework, and many rights holders have found it difficult to exercise their rights in this context. It is important that copyright continues to support the UK’s world-leading creative industries and creates the conditions for AI innovation that allows them to share in the benefits of these new technologies.	著作権は、英国のクリエイティブ経済の重要な柱である。著作権は、クリエイターが自身の作品の利用を管理し、その対価を求めることを可能にするために存在する。しかし、AIモデルのトレーニングにおける著作物の広範な使用は、英国の著作権の枠組みに新たな課題を突きつけ、多くの権利保有者はこの状況下で権利を行使することが困難であると感じている。著作権が英国の世界をリードするクリエイティブ産業を継続的に支援し、これらの新技術の恩恵を共有できるAIイノベーションの条件を作り出すことが重要である。
This consultation seeks views on proposals to deliver against the government’s objectives for this area, which are:	本協議では、この分野における政府の目標を達成するための提案に対する意見を求めている。その目標とは、
・boosting trust and transparency between sectors, by ensuring AI developers provide right holders with greater clarity about how they use their material.	・AI開発者が権利保有者に対して、素材の使用方法についてより明確な情報を提供することを保証することで、各セクター間の信頼と透明性を高める。
・enhancing right holders’ control over whether or not their works are used to train AI models, and their ability to be paid for its use where they so wish.	・権利保有者が、自身の作品がAIモデルのトレーニングに使用されるかどうかを管理し、希望する場合はその使用に対して報酬を受け取れるようにする。
・ensuring AI developers have access to high-quality material to train leading AI models in the UK and support innovation across the UK AI sector.	・英国でAIモデルのトレーニングに使用される高品質な素材にAI開発者がアクセスできるようにし、英国のAIセクター全体のイノベーションを支援する。
Additionally, the consultation addresses other emerging issues, including copyright protection for computer-generated works, and the issue of digital replicas.	さらに、この協議では、コンピュータ生成著作物の著作権防御やデジタル複製の問題など、その他の新たな課題についても取り上げている。
As AI evolves rapidly, the UK’s response must adapt. The consultation is an opportunity for anyone with an interest in these issues to share their views and provide evidence regarding the economic impact of these proposals. During the consultation, we will also run wider engagement activity to help ensure that the full range of views is heard.	AIの進化は急速であるため、英国の対応もそれに適応していかなければならない。この協議は、これらの問題に関心のある人々が意見を共有し、これらの提案の経済的影響に関する証拠を提供できる機会である。協議期間中、幅広い意見が確実に反映されるよう、より広範な関与活動も実施する。
This consultation will run for 10 weeks. It commences on 17 December 2024 and will close on 25 February 2025.	この協議は10週間実施される。2024年12月17日に開始し、2025年2月25日に終了する。

・[PDF][HTML] Copyright and Artificial Intelligence

目次...

Copyright and Artificial Intelligence	著作権と人工知能
A. Overview	A. 概要
A.1 Executive summary	A.1 エグゼクティブサマリー
A.2 How to engage with this consultation	A.2 本協議への参加方法
A.3 Data protection and confidentiality	A.3 データ保護と機密保持
B. Copyright and Artificial Intelligence	B. 著作権および人工知能
B.1 Background	B.1 背景
B.2 AI training and copyright	B.2 AIの訓練と著作権
B.3 Our objectives	B.3 目的
B.4 Policy options	B.4 政策選択肢
C. Our proposed approach	C. 提案するアプローチ
C.1 Exception with rights reservation	C.1 権利留保付きの例外
C.2 Technical standards	C.2 技術標準
C.3 Contracts and licensing	C.3 契約とライセンス
C.4 Transparency	C.4 透明性
C.5 Wider clarification of copyright law	C.5 著作権法のより広範な明確化
C.6 Encouraging research and innovation	C.6 研究とイノベーションの奨励
D. AI outputs	D. AIの出力
D.1 Computer-generated works: protection for the outputs of generative AI	D.1 コンピュータ生成著作物：生成的AIの出力の保護
D.2 Policy options	D.2 政策オプション
D.3 Computer-generated works interaction with designs	D.3 コンピュータ生成著作物とデザインの相互作用
D.4 Infringement and liability relating to AI-generated content	D.4 AI生成コンテンツに関する侵害と責任
D.5 AI output labelling	D.5 AI 出力のラベル付け
D.6 Digital replicas and other issues	D.6 デジタルレプリカおよびその他の問題
D.7 Other emerging issues	D.7 その他の新たな問題

エグゼクティブサマリー...

A.1 Executive summary	A.1 エグゼクティブサマリー
1. As part of our national mission to grow the economy, the government is committed to supporting the growth of the creative industries and AI sectors while recognising the value of human-centred creativity.	1. 経済成長という国家的な使命の一環として、政府は人間中心の創造性の価値を認識しながら、クリエイティブ産業およびAIセクターの成長を支援することに尽力している。
2. The government is putting both the creative industries and the AI sector at the heart of our Industrial Strategy, to benefit people in every corner of the country with high-quality jobs and drive accelerated growth.	2. 政府は、クリエイティブ産業およびAIセクターを産業戦略の中心に据え、高品質な雇用を全国津々浦々の人々に提供し、加速的な成長を推進していく。
3. The creative industries drive our economy, including TV and film, advertising, the performing arts, music, publishing, and video games. They contribute £124.8 billion GVA to our economy annually, they employ many thousands of people, they help define our national identity and they fly the flag for our values across the globe. They are intrinsic to our success as a nation and the intellectual property they create is essential to our economic strength.	3. テレビや映画、広告、舞台芸術、音楽、出版、ビデオゲームなどを含むクリエイティブ産業は、英国経済を牽引している。クリエイティブ産業は、英国経済に年間1,248億ポンドのGVA（国内総生産額）をもたらし、何千人もの雇用を創出し、英国のアイデンティティを定義し、英国の価値観を世界中に広めている。クリエイティブ産業は、英国の成功に不可欠であり、その知的財産は英国の経済力にとって不可欠である。
4. The UK is also well placed to seize the transformative opportunities presented by AI. According to the International Monetary Fund World Economic Outlook, this could in time unlock productivity gains of up to 1.5 percentage points annually. The government is committed to building an AI sector that can scale and win globally, ensuring that global AI companies want to call the UK home and boosting the responsible adoption of AI across all parts of the economy. We have commissioned Matt Clifford to deliver an AI Opportunities Action Plan to set out an ambitious roadmap to drive AI innovation and adoption across our public and private sectors. We have also committed to legislating to place requirements on those developing the most powerful AI models of tomorrow – these proposals will reduce regulatory uncertainty for AI developers, strengthen public trust and boost business confidence.	4. 英国は、AIがもたらす変革の機会を捉えるのに適した立場にある。国際通貨基金（IMF）の世界経済見通しによると、AIは将来的に年間最大1.5パーセントポイントの生産性向上をもたらす可能性がある。政府は、世界規模で拡大し、成功を収めることができるAI分野の構築に尽力しており、世界的なAI企業が英国を本拠地としたいと思うようにし、経済のあらゆる分野におけるAIの責任ある導入を促進している。私たちは、公共部門と民間部門全体でAIの革新と導入を推進するための野心的なロードマップを定める「AIの機会に関する行動計画」の策定をマット・クリフォードに依頼した。また、将来最も強力なAIモデルを開発する者に対して要件を課すための立法化にも取り組んでいる。これらの提案は、AI開発者にとっての規制上の不確実性を軽減し、国民の信頼を強化し、企業の自信を後押しするものである。
5. The fast pace of development of AI technology over recent years has led to a debate in the UK and across the world. This is about how the existing copyright framework should be applied to the activities that underpin the training of large AI models. The copyright framework provides right holders with economic and moral rights which mean they can control how their works are used. This means that copying works to train AI models requires a licence from the relevant right holders unless an exception applies.	5. 近年、AI技術の開発が急速に進んでいることを受け、英国および世界中で議論が巻き起こっている。これは、大規模なAIモデルのトレーニングを支える活動に、既存の著作権の枠組みをどのように適用すべきかという問題である。著作権の枠組みは、著作権者に経済的および道徳的な権利を与え、著作物の利用方法を管理できるようにするものである。つまり、例外が適用されない限り、AIモデルのトレーニングに著作物をコピーするには、関連する著作権者からライセンスを取得する必要がある。
6. As things stand, this framework does not meet the needs of UK’s creative industries or AI sectors. Creative and media organisations are concerned that their works are used to train AI without their permission, and they are unable to secure remuneration through licensing agreements. They have also highlighted a lack of transparency from AI developers about what content is or has been used and how it is acquired, which can make it difficult to enforce their copyright. Likewise, AI firms have raised concerns that the lack of clarity over how they can legally access training data creates legal risks, stunts AI innovation in the UK and holds back AI adoption.	6. 現状では、この枠組みは英国のクリエイティブ産業やAIセクターのニーズを満たしていない。クリエイティブおよびメディア関連の組織は、自身の作品が許可なくAIのトレーニングに使用されることを懸念しており、ライセンス契約を通じて報酬を確保できないでいる。また、AI開発者側が、どのようなコンテンツが使用されているか、または使用されていたか、またその入手方法について透明性を欠いていることも指摘されており、これにより著作権の行使が困難になる可能性がある。同様に、AI企業側も、トレーニング・データに合法的にアクセスする方法が明確でないことが法的リスクを生み出し、英国におけるAIのイノベーションを妨げ、AIの導入を遅らせるという懸念を表明している。
7. The lack of clarity about the current regime means that leading AI developers do not train their models in the UK, and instead train in jurisdictions with clearer or more permissive rules. Since copyright law applies in the jurisdiction where copying takes place, this means that AI developers are not obliged to respect rights under UK law. This harms our UK AI sector too, as investment from the major AI developers is limited and UK-based SMEs who cannot train overseas are disadvantaged.	7. 現行の体制が明確でないため、AI開発のトップ企業は英国でモデルのトレーニングを行わず、より明確な、あるいはより寛容な規則を持つ管轄区域でトレーニングを行っている。著作権法はコピーが行われた管轄区域で適用されるため、AI開発者は英国法に基づく権利を尊重する義務を負わないことになる。これは英国のAI部門にも悪影響を及ぼす。大手AI開発者からの投資は限定的であり、海外でトレーニングを行うことができない英国の中小企業は不利な立場に置かれるからだ。
8. We cannot allow this to continue. We need to act now to help accelerate growth in our creative industries and in our AI sectors - both of which are essential parts of the government’s Industrial Strategy. This consultation seeks views on how we can achieve this by working in partnership with both sectors, and proposes an approach that aims to:	8. この状態を放置することはできない。クリエイティブ産業とAIセクターの成長を加速させるために、今こそ行動を起こす必要がある。両者は政府の産業戦略の重要な一部である。この協議では、両セクターと連携してこれを達成する方法についての意見を求め、以下の目的を達成するためのアプローチを提案する。
・enhance right holders’ control of their material and their ability to be remunerated for its use	・権利保有者が自身の素材を管理し、その使用に対して報酬を得る能力を強化する
・support wide access to high-quality material to drive development of leading AI models in the UK	・英国における最先端のAIモデルの開発を促進するため、高品質な素材への幅広いアクセスを支援する
・secure greater transparency from AI developers to build trust with creators, creative industries, and consumers	・クリエイター、クリエイティブ産業、消費者との信頼関係を構築するため、AI開発者からより高い透明性を確保する
9. The government believes that the best way to achieve these objectives is through a package of interventions that can balance the needs of the two sectors. That is why we are consulting on measures that would require increased transparency from AI developers. This includes the content they use to train their models, how they acquire it, and any content generated by their models. And it is why we are consulting on the introduction of an exception to copyright law for “text and data mining”. This improves access to content by AI developers, allowing right holders to reserve their rights and thereby prevent their content being used for AI training. Progressed together, we believe these measures could meet our objectives above. These measures could come into operation when effective, proportionate, and accessible technological solutions were in place. This ensures the solutions are practicable and possible for right holders and AI developers of all sizes.	9. 政府は、これらの目標を達成する最善の方法は、2つの業界のニーズのバランスを取ることができる一連の介入策であると考えている。これが、AI開発者からの透明性の向上を求める措置について協議している理由である。これには、AI開発者がモデルの訓練に使用するコンテンツ、その入手方法、およびモデルによって生成されたコンテンツが含まれる。また、著作権法に「テキストおよびデータマイニング」の例外を導入することについても協議している。これにより、AI開発者によるコンテンツへのアクセスが改善され、権利保有者は権利を留保し、コンテンツがAIの訓練に使用されるのを防ぐことができる。これらの措置を同時に進めることで、上記の目的を達成できると考える。これらの措置は、効果的で、妥当で、利用可能な技術的ソリューションが整った時点で運用開始となる可能性がある。これにより、あらゆる規模の権利者およびAI開発者にとって、ソリューションが実際的で可能であることが保証される。
10. Although we recognise that much more detailed work will still need to be done, these are the broad parameters of our approach. The package is designed to enhance the ability of right holders to protect their material and seek remuneration for its use through increased licensing. It also aims to motivate AI developers to train leading models in the UK in full compliance with UK law. Delivering this will be challenging and will require practical technical solutions as well as a clear legal framework. It will require us to work closely with our international partners to progress towards an interoperable AI and copyright framework. We seek the constructive engagement of all stakeholders in this consultation process, in particular on the following issues.	10. さらに詳細な作業が必要であることは認識しているが、これらは我々のアプローチの概略である。このパッケージは、権利者が自身の著作物を保護し、ライセンスの増加を通じてその使用に対する報酬を求める能力を強化することを目的としている。また、英国の法律に完全に準拠した形で、英国で最先端のモデルを訓練するAI開発者の意欲を高めることも目的としている。これを実現することは困難であり、明確な法的枠組みだけでなく、実際的な技術的ソリューションも必要となる。相互運用可能なAIと著作権の枠組みに向けて前進するためには、国際的なパートナーと緊密に協力する必要がある。本協議プロセスにおけるすべての利害関係者の建設的な関与を求めたい。特に、以下の問題についてである。
Transparency	透明性
11. The success of any new approach to copyright and AI will depend on stronger trust between AI developers and right holders. The government believes that transparency will be key to this and seeks views on what level of transparency about the use of works to train models is required and how this can best be achieved fairly and proportionately.	11. 著作権とAIに対する新たなアプローチの成功は、AI開発者と権利保有者間のより強固な信頼関係に依存する。政府は、透明性が鍵となると考え、モデルの訓練に著作物が使用されることに関するどの程度の透明性が求められるか、また、これを公正かつ妥当に達成するにはどうすればよいかについての意見を求めている。
Technical standards	技術的基準
12. Some useful tools that enable right holders to reserve their rights already exist, but more work is required to ensure these meet the needs of right holders and AI developers of all sizes. These tools have significant technical limitations and are insufficiently standardised and adopted. The government is therefore seeking views on whether and how it can support work to improve these tools and drive their adoption.	12. 権利者が権利を留保することを可能にするいくつかの有用なツールはすでに存在しているが、これらのツールがすべての規模の権利者およびAI開発者のニーズを満たすことを確実にするには、さらなる作業が必要である。これらのツールには重大な技術的限界があり、標準化および採用が不十分である。そのため政府は、これらのツールを改善し、その採用を推進するための作業を支援できるかどうか、また支援できる場合、どのように支援できるかについて意見を求めている。
Contracts and Licensing	契約およびライセンス
13. In a regime that empowers right holders to reserve their rights, licensing will be important to secure right holder remuneration and provide AI developers with access to high-quality training material at scale. We seek views on whether and how the government should support licensing, including collective licensing, and consider the needs of individual creators as part of this.	13. 権利保有者が権利を留保することを可能にする体制においては、権利保有者の報酬を確保し、AI開発者に質の高いトレーニング教材へのアクセスを大規模に提供するために、ライセンシングが重要となる。政府がライセンシング（集合的ライセンシングを含む）を支援すべきかどうか、またその方法について意見を求めるとともに、この一環として個々のクリエイターのニーズを考慮する。
Labelling	ラベリング
14. The government believes that clear labelling of AI outputs would be beneficial to right holders and the public, but acknowledges the technical challenges involved. The government welcomes views on how to achieve this outcome, including how we can support the development of emerging tools and standards.	14. 政府は、AIの出力に明確なラベルを貼ることは権利者と一般市民にとって有益であると考えているが、技術的な課題があることも認めている。政府は、この成果を達成する方法についての意見を歓迎しており、その中には、新興のツールや標準の開発をどのように支援できるかということも含まれる。
Computer generated works	コンピュータ生成著作物
15. There are additional issues regarding the ownership of AI systems’ outputs. The UK currently provides copyright protection for purely computer-generated works, but it is not clear that this protection is widely used, or that it functions properly within the broader copyright framework. The government seeks views on potential reform to protections for computer-generated works.	15. AIシステムの出力の所有権に関する追加的な問題がある。英国は現在、純粋にコンピュータ生成された著作物に対して著作権保護を提供しているが、この保護が広く利用されているか、またはより広範な著作権の枠組みの中で適切に機能しているかは明らかではない。政府は、コンピュータ生成著作物の保護に対する潜在的な改革に関する意見を求めている。
Digital Replicas	デジタルレプリカ
16. The volume and quality of digital replicas generated by AI systems (sometimes called deepfakes) is increasing. This consultation seeks to gather evidence on the challenges posed by digital replicas. This responds to concerns around the emergence of deepfakes and AI-generated content that may replicate a person’s voice, image, or personal likeness. It asks whether the current legal framework is sufficient to provide individuals with control over use of their likeness and whether further intervention is required.	16. AIシステム（ディープフェイクと呼ばれることもある）によって生成されるデジタルレプリカの量と質は増加している。本協議は、デジタルレプリカによってもたらされる課題に関する証拠の収集を目的としている。これは、人の声、画像、肖像を複製する可能性があるディープフェイクやAI生成コンテンツの出現に関する懸念に対応するものである。本協議では、肖像の利用を個人が管理できるようにする上で、現行の法的枠組みが十分であるか、さらなる介入が必要であるかを問うている。
Emerging issues	新たな問題
17. Rapid developments in AI’s capabilities will continue to raise new policy and legal questions. The consultation seeks views on emerging issues related to the intellectual property framework for AI. For instance the clarity of UK law for AI systems that generate content on Internet Search or other processes that draw on datasets at inference. We are also interested to understand how increasing use of synthetic data to train AI models may affect the ecosystem.	17. AIの能力の急速な発展は、新たな政策および法的問題を引き続き提起するだろう。本協議では、AIに関する知的財産の枠組みに関連する新たな問題についての意見を求めている。例えば、インターネット検索やその他の推論でデータセットを利用するプロセスでコンテンツを生成するAIシステムに関する英国法の明確性などである。また、AIモデルの訓練に合成データの利用が増えることで生態系にどのような影響が及ぶかについても理解したいと考えている。
Next steps	今後のステップ
18. The government is committed to working with all stakeholders to work through these issues together, proceeding carefully, but with a degree of urgency. These are complex issues, as underlined by the experience in other jurisdictions, and legislation is ultimately likely to be needed. We will use responses to shape how we implement our proposed approach to allow the creative industries and AI sectors to continue to grow together in partnership. DSIT and DCMS Ministers will continue to prioritise taking forward these proposals as the government further develops its approach to AI regulation.	18. 政府は、すべての利害関係者と協力し、慎重に、しかしある程度の緊急性をもって、これらの問題を共に解決していくことを約束する。これらの問題は、他の管轄区域での経験が示すように、複雑な問題であり、最終的には立法が必要になる可能性が高い。我々は、クリエイティブ産業とAIセクターが引き続きパートナーシップを組んで共に成長できるよう、提案したアプローチの実施方法を、回答を参考にしながら形作っていく。DSITおよびDCMS大臣は、政府がAI規制へのアプローチをさらに発展させる中で、これらの提案を推進することを引き続き優先する。

質問...

Copyright and Artificial Intelligence	著作権と人工知能
A. Overview	A. 概要
A.1 Executive summary	A.1 エグゼクティブサマリー
A.2 How to engage with this consultation	A.2 本協議への参加方法
A.3 Data protection and confidentiality	A.3 データ保護と機密保持
B. Copyright and Artificial Intelligence	B. 著作権および人工知能
B.1 Background	B.1 背景
B.2 AI training and copyright	B.2 AIの訓練と著作権
B.3 Our objectives	B.3 目的
B.4 Policy options	B.4 政策選択肢
Option 0: Do nothing: Copyright and related laws remain as they are.	選択肢0：何もしない：著作権および関連法は現状のまま。
Option 1: Strengthen copyright requiring licensing in all cases	選択肢1：すべてのケースでライセンスを必要とする著作権を強化する
Option 2: A broad data mining exception	選択肢2：広範なデータマイニング例外
Option 3: A data mining exception which allows right holders to reserve their rights, underpinned by supporting measures on transparency	選択肢3：透明性に関する支援措置を伴う、権利保有者が権利を留保することを認めるデータマイニングの例外
Question 1. Do you agree that option 3 is most likely to meet the objectives set out above?	質問1. 上記の目的を最も達成できる可能性が高いのは選択肢3であることに同意するか。
Question 2. Which option do you prefer and why?	質問2. どの選択肢を希望するか、その理由は何か。
C. Our proposed approach	C. 提案するアプローチ
C.1 Exception with rights reservation	C.1 権利留保付きの例外
Question 3. Do you support the introduction of an exception along the lines outlined above?	質問3. 上記の概要に沿った例外規定の導入を支持するか。
Question 4. If so, what aspects do you consider to be the most important? If not, what other approach do you propose and how would that achieve the intended balance of objectives?	質問4. そうであれば、最も重要と考える側面は何か。そうでない場合、どのような他のアプローチを提案し、どのようにして目的のバランスを達成するか。
Question 5. What influence, positive or negative, would the introduction of an exception along these lines have on you or your organisation? Please provide quantitative information where possible.	質問5. 上記の概要に沿った例外規定の導入は、あなたまたはあなたの組織にどのような影響を与えるか（プラスまたはマイナス）。可能な場合は定量的な情報を提供すること。
Question 6. What action should a developer take when a reservation has been applied to a copy of a work?	質問6. 著作物のコピーに権利留保が適用された場合、開発者はどのような措置を取るべきか？
Question 7. What should be the legal consequences if a reservation is ignored?	質問7. 権利留保が無視された場合、どのような法的影響があるべきか？
Question 8. Do you agree that rights should be reserved in machine-readable formats? Where possible, please indicate what you anticipate the cost of introducing and/or complying with a rights reservation in machine-readable format would be.	質問8. 権利は機械可読フォーマットで留保されるべきであることに同意するか？可能であれば、機械可読フォーマットでの権利留保の導入および／または遵守にかかる費用を予想して示していただきたい。
C.2 Technical standards	C.2 技術標準
Question 9. Is there a need for greater standardisation of rights reservation protocols?	質問9. 権利留保プロトコルのさらなる標準化の必要性はあるか？
Question 10. How can compliance with standards be encouraged?	質問10. 標準への準拠をどのようにして促すことができるか？
Question 11. Should the government have a role in ensuring this and, if so, what should that be?	質問11. 政府がこの確保に役割を持つべきか、持つべきだとすればどのような役割を持つべきか？
C.3 Contracts and licensing	C.3 契約とライセンス
Question 12. Does current practice relating to the licensing of copyright works for AI training meet the needs of creators and performers?	質問12. 現在のAIトレーニングのための著作権作品のライセンスに関する慣行は、著作者および実演家のニーズを満たしているか？
Question 13. Where possible, please indicate the revenue/cost that you or your organisation receives/pays per year for this licensing under current practice.	質問13. 可能であれば、現在の慣行の下でこのライセンスに関して、あなたまたはあなたの組織が受け取る/支払う年間収益/費用を提示していただきたい。
Question 14. Should measures be introduced to support good licensing practice?	質問14. 適切なライセンス慣行を支援する措置を導入すべきか？
Question 15. Should the government have a role in encouraging collective licensing and/or data aggregation services? If so, what role should it play?	質問15. 政府は集合的ライセンスおよび／またはデータ集約サービスの奨励に役割を果たすべきか。果たすべき場合、どのような役割を果たすべきか。
Question 16. Are you aware of any individuals or bodies with specific licensing needs that should be taken into account?	質問16. 考慮すべき特定のライセンスニーズを持つ個人または団体についてご存知ですか？
C.4 Transparency	C.4 透明性
Question 17. Do you agree that AI developers should disclose the sources of their training material?	質問17. AI開発者がその学習素材のソースを開示すべきであることに同意するか？
Question 18. If so, what level of granularity is sufficient and necessary for AI firms when providing transparency over the inputs to generative models?	質問18. 同意する場合、生成モデルへの入力に関する透明性を提供する際、AI企業にとってどの程度の粒度で十分かつ必要か？
Question 19. What transparency should be required in relation to web crawlers?	質問19. ウェブクローラーに関してどのような透明性が求められるべきか？
Question 20.What is a proportionate approach to ensuring appropriate transparency?	質問20. 適切な透明性を確保するための適切なアプローチとはどのようなものか？
Question 21. Where possible, please indicate what you anticipate the costs of introducing transparency measures on AI developers would be.	質問21. 可能であれば、AI開発者に対する透明性措置の導入に要する費用について、予想される金額を示していただきたい。
Question 22. How can compliance with transparency requirements be encouraged, and does this require regulatory underpinning?	質問22. 透明性要件の順守を促すにはどうすればよいか、また、そのためには規制による裏付けが必要か。
Question 23. What are your views on the EU’s approach to transparency?	質問23. EUの透明性に対するアプローチについて、どう考えるか。
C.5 Wider clarification of copyright law	C.5 著作権法のより広範な明確化
Question 24. What steps can the government take to encourage AI developers to train their models in the UK and in accordance with UK law to ensure that the rights of right holders are respected?	質問 24. 権利者の権利が尊重されることを確保するために、AI開発者が英国で、かつ英国法に従ってモデルを訓練することを奨励するために、政府がどのような措置を講じることができるか。
Question 25. To what extent does the copyright status of AI models trained outside the UK require clarification to ensure fairness for AI developers and right holders?	質問 25. AI開発者および権利者の公平性を確保するために、英国外で訓練されたAIモデルの著作権の状態をどの程度明確にする必要があるか。
Question 26. Does the temporary copies exception require clarification in relation to AI training?	質問26. 一時的コピーの例外は、AIのトレーニングとの関連で明確化する必要があるか？
Question 27. If so, how could this be done in a way that does not undermine the intended purpose of this exception?	質問27. もしそうであれば、この例外の意図された目的を損なわないように、どのように行うことができるか？
C.6 Encouraging research and innovation	C.6 研究とイノベーションの奨励
Question 28. Does the existing data mining exception for non-commercial research remain fit for purpose?	質問28. 非営利研究のための現行のデータマイニング例外は、目的に適ったままであるか？
Question 29. Should copyright rules relating to AI consider factors such as the purpose of an AI model, or the size of an AI firm?	質問29. AIに関する著作権規則は、AIモデルの目的やAI企業の規模などの要素を考慮すべきか？
D. AI outputs	D. AIの出力
D.1 Computer-generated works: protection for the outputs of generative AI	D.1 コンピュータ生成著作物：生成的AIの出力の保護
D.2 Policy options	D.2 政策選択肢
Question 30. Are you in favour of maintaining current protection for computer-generated works? If yes, please explain whether and how you currently rely on this provision.	質問30. コンピュータ生成著作物に対する現行の保護を維持することに賛成するか。賛成の場合、現行の規定をどの程度、またどのように利用しているか説明されたい。
Question 31. Do you have views on how the provision should be interpreted?	質問31. この規定の解釈について意見はあるか。
Question 32. Would computer-generated works legislation benefit from greater legal clarity, for example to clarify the originality requirement? If so, how should it be clarified?	質問32. コンピュータ生成著作物に関する法律は、例えば独創性の要件を明確化するなど、より明確な法律規定によって恩恵を受けるだろうか？もしそうであれば、どのように明確化すべきだろうか？
Question 33. Should other changes be made to the scope of computer-generated protection?	質問33. コンピュータ生成著作物の保護範囲について、その他の変更を加えるべきだろうか？
Question 34. Would reforming the computer-generated works provision have an impact on you or your organisation? If so, how? Please provide quantitative information where possible.	質問34. コンピュータ生成著作物に関する規定を改正することは、あなたまたはあなたの組織に影響を与えるだろうか？もしそうであれば、どのように影響するだろうか？可能な場合は定量的な情報を提供していただきたい。
Question 35. Are you in favour of removing copyright protection for computer-generated works without a human author?	質問35. 人間による著作者の関与のないコンピュータ生成著作物について、著作権保護を撤廃することに賛成か？
Question 36. What would be the economic impact of doing this? Please provide quantitative information where possible.	質問36. そうした場合の経済的影響は何か？可能な限り定量的な情報を提供すること。
Question 37. Would the removal of the current CGW provision affect you or your organisation? Please provide quantitative information where possible.	質問37. 現行のCGW規定の撤廃は、あなたまたはあなたの組織に影響するか？可能な限り定量的な情報を提供すること。
D.3 Computer-generated works interaction with designs	D.3 コンピュータ生成著作物とデザインの相互作用
D.4 Infringement and liability relating to AI-generated content	D.4 AI生成コンテンツに関する侵害と責任
Question 38. Does the current approach to liability in AI-generated outputs allow effective enforcement of copyright?	質問38. AIが生成した出力に対する現在の法的責任のアプローチは、著作権の効果的な執行を可能にしているか？
Question 39. What steps should AI providers take to avoid copyright infringing outputs?	質問39. AIプロバイダーは、著作権侵害の出力を回避するためにどのような措置を講じるべきか？
D.5 AI output labelling	D.5 AI 出力のラベル付け
Question 40. Do you agree that generative AI outputs should be labelled as AI generated? If so, what is a proportionate approach, and is regulation required?	質問40. 生成的AIの出力はAI生成物としてラベル付けされるべきであることに同意するか？同意する場合、どのような対応が妥当か、また規制は必要か？
Question 41. How can government support development of emerging tools and standards, reflecting the technical challenges associated with labelling tools?	質問41. 政府は、ラベル付けツールに関連する技術的課題を反映し、新興のツールや標準の開発をどのように支援できるか？
Question 42. What are your views on the EU’s approach to AI output labelling?	質問42. EUのAI出力のラベル付けに対するアプローチについてどう考えるか？
D.6 Digital replicas and other issues	D.6 デジタルレプリカおよびその他の問題
Question 43. To what extent would the approach(es) outlined in the first part of this consultation, in relation to transparency and text and data mining, provide individuals with sufficient control over the use of their image and voice in AI outputs?	質問43. この協議の第1部で概説されたアプローチ（複数可）は、透明性およびテキスト・データマイニングに関して、AIの出力における個人の画像および音声の使用について、個人に十分な管理権を与えるものとなるか？
Question 44. Could you share your experience or evidence of AI and digital replicas to date?	質問44. これまでのAIおよびデジタルレプリカに関する経験または証拠を共有できるか？
D.7 Other emerging issues	D.7 その他の新たな問題
Question 45. Is the legal framework that applies to AI products that interact with copyright works at the point of inference clear? If it is not, what could the government do to make it clearer?	質問45. 著作権で保護された作品と相互に作用するAI製品に適用される法的枠組みは明確か？明確でない場合、政府はそれを明確にするために何ができるか？
Question 46. What are the implications of the use of synthetic data to train AI models and how could this develop over time, and how should the government respond?	質問 46. AIモデルの訓練に合成データを使用することの意味するところは何か、また、これが将来的にどのように発展する可能性があるか、政府はどのように対応すべきか。
Question 47. What other developments are driving emerging questions for the UK’s copyright framework, and how should the government respond to them?	質問 47. 英国の著作権制度に新たな問題を引き起こしているその他の動向にはどのようなものがあるか、政府はそれらにどのように対応すべきか。

Continue reading "英国意見募集著作権とAI (2024.12.17)"

2024.12.22 00:32 in フォレンジック, in 脆弱性, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

欧州委員会汎用AI実践規範の第2ドラフトを発表 (2024.12.19)

こんにちは、丸山満彦です。

欧州委員会が、汎用AI実践規範の第２ドラフトを発表しています...

KPIを持ち込んできましたね...

最初のドラフトの発表が1ヶ月前の11.14ですね...2025年5月までに、汎用AI実践規範を完成する必要がありますので、これから作業がどんどん進んでいくのでしょうね...

● European Commission - General-Purpose AI Code of Practice

・2024.12.19 Second Draft of the General-Purpose AI Code of Practice published, written by independent experts

Second Draft of the General-Purpose AI Code of Practice published, written by independent experts	独立専門家が作成した汎用AI実践規範の第2ドラフトが発表された
Independent experts present the second draft of the General-Purpose AI Code of Practice, based on the feedback received on the first draft, published on 14 November 2024.	独立専門家が、2024年11月14日に公表された第1次ドラフトに対するフィードバックを基に、汎用AI実践規範の第2次ドラフトを提示した。
Each draft is a work in progress and reflects the views of stakeholders participating in the Code of Practice Working Groups and Provider Workshops, consisting of around 1000 stakeholders, including EU Member State representatives and European and international observers.	各ドラフトは進行中の作業であり、実践規範作業部会およびプロバイダワークショップに参加する利害関係者の意見を反映している。これらの作業部会およびワークショップには、EU加盟国代表者および欧州および国際オブザーバーを含む約1000人の利害関係者が参加している。
The content of the second draft was informed by Working Group meetings which were held across the week of 18 November 2024. Participants had the opportunity to provide verbal feedback, ask the Chairs questions, and answer questions from the Chairs via interactive polls.	第2ドラフトの内容は、2024年11月18日の週に開催されたワーキンググループ会議で報告された。参加者は口頭でのフィードバックを提供したり、議長に質問をしたり、双方向の投票を通じて議長からの質問に回答したりする機会があった。
A summary of the content discussed at these Working Group meetings was presented to the Plenary. Chairs also received 354 submissions of written feedback on the first draft through a dedicated platform, and considered feedback from providers of general-purpose AI models presented in dedicated workshops, where Minutes were taken and will be shared with all plenary participants to maintain transparency.	これらの作業部会会議で議論された内容の要約が本会議で発表された。議長らはまた、専用プラットフォームを通じて第1ドラフトに関する354件の書面によるフィードバックを受け取り、議事録が作成され、透明性を維持するために本会議の全参加者に共有される予定である。
Chairs and Vice-Chairs were also invited to a series of interinstitutional meetings:	議長および副議長は、一連の機関間会議にも招待された。
On 27 November, they presented the first draft of the Code to the first meeting of the European AI Board Steering Group on General-Purpose AI, which gathers national experts from the 27 Member States.	11月27日には、27の加盟国から各国の専門家が集まる「汎用人工知能に関する欧州AI理事会運営委員会」の第1回会合で、規範の第1次ドラフトを提示した。
On 10 December, they outlined their work at the second meeting of the AI Board, a key advisory body created by the AI Act and composed of representatives of the 27 Member States.	12月10日には、AI法によって設立され、27の加盟国代表者で構成される主要諮問機関であるAI理事会の第2回会合で、作業の概要を説明した。
On 11 December, the Chairs and Vice-Chairs presented the ongoing work per Working Group to the joint IMCO-LIBE Working Group of the European Parliament on the Implementation and Enforcement of the AI Act.	12月11日には、議長と副議長が、欧州議会におけるAI法の実施と執行に関するIMCO-LIBE合同作業部会に、各作業部会における進行中の作業について報告した。
Status of the second draft	第2ドラフトの現状
The Code is a guiding document for providers of general-purpose AI models in demonstrating compliance with the AI Act along the full life cycle of the models.	本規範は、汎用AIモデルのプロバイダが、モデルのライフサイクル全体を通じてAI法への準拠を実証するための指針となる文書である。
The second draft builds upon previous work while aiming to provide a “future-proof” Code; it will be particularly relevant for models which will be released after 2 August 2025 when the new rules on general-purpose AI models start to apply.	第2ドラフトは、これまでの作業を基にしながらも、「将来にわたって通用する」規範を目指している。これは、汎用AIモデルに関する新たな規則が適用される2025年8月2日以降にリリースされるモデルに特に関連するものとなる。
The first part of the draft Code details transparency and copyright obligations for all providers of general-purpose AI models, with notable exemptions for providers of certain open-source models in line with the AI Act. Regarding the template for an adequate summary of training data content, a proposal can be expected from the AI Office early next year. The AI Office aims to take into account comments from the Code of Practice participants before the template is officially adopted by the Commission.	規範ドラフトの第1部では、汎用AIモデルのすべてのプロバイダに対する透明性と著作権に関する義務について詳細に説明しており、AI法に沿った特定のオープンソースモデルのプロバイダに対する重要な例外規定も設けられている。トレーニングデータの内容を適切に要約するためのテンプレートについては、AIオフィスから来年初めに提案が提出される予定である。AIオフィスは、テンプレートが欧州委員会によって正式に採用される前に、実践規範の参加者の意見を考慮することを目指している。
The second part of the Code is only relevant for a small number of providers of most advanced general-purpose AI models that could pose systemic risks, in accordance with the classification criteria in Article 51 of the AI Act. Here the Code outlines measures for systemic risk assessment and mitigation, including model evaluations, incident reporting, and cybersecurity obligations. The Code structure was adapted to outline objectives, commitment, and measures, (replacing the previous draft’s structure consisting of goals, measures, and sub-measures), and include preliminary examples of Key Performance Indicators (KPIs).	実践規範の第2部は、AI法第51条の分類規準に従い、システミックリスクをもたらす可能性のある最も高度な汎用AIモデルを提供するプロバイダの少数のみに関連する。本コードでは、モデル評価、インシデント報告、サイバーセキュリティ義務など、システムリスクのアセスメントと緩和のための措置が概説されている。本コードの構成は、目的、コミットメント、措置を概説するものに変更され（以前のドラフトの目標、措置、副措置の構成に代わる）、主要業績評価指標（KPI）の初期の例も含まれている。
An attempt was also made to clearly point out the obligations stemming from the AI Act, which the Code aims to further specify through concrete measures that the Signatories commit to undertaking in order to effectively fulfil these obligations.	また、AI法に由来する義務を明確に指摘する試みも行われた。この規範は、署名者がこれらの義務を効果的に果たすために取り組むことを約束する具体的な措置を通じて、さらに明確化することを目指している。
In light of the evolving state of the art, the need to balance clear commitments with the flexibility to adapt as technology evolves has been stressed. The need for further development of ecosystems for AI governance and risk management has been stressed. The Chairs emphasised that the second draft remains a work in progress. They focused primarily on providing clarifications, adding essential details, and aligning to the principle of proportionality, such as the size of the general-purpose AI model provider. In subsequent iterations, the Chairs will work towards ensuring that all parts of the Code fit together seamlessly and are easy to understand, alongside other refinements and provision of further detail.	技術の進化に伴い、明確なコミットメントと技術の進化に対応するための柔軟性のバランスを取る必要性が強調された。AIのガバナンスとリスクマネジメントのためのエコシステムのさらなる発展の必要性も強調された。議長は、第2ドラフトはまだ作業中のものだと強調した。彼らは主に、説明の明確化、必要不可欠な詳細の追加、汎用AIモデルプロバイダの規模など、比例性の原則に沿った調整に重点的に取り組んだ。その後の作業では、議長は、他の改善や詳細の追加と並行して、実践規範のすべての部分がシームレスに組み合わさり、理解しやすいものとなるよう取り組んでいく。
Next steps	今後の予定
In addition to the written feedback received by 15 January 2025, verbal discussions on the second draft with Chairs and Vice-Chairs are planned in line with the tentative timeline published by the AI Office.	2025年1月15日までに受け取った書面によるフィードバックに加え、AI事務局が公表した暫定的なスケジュールに沿って、議長および副議長との第2次ドラフトに関する口頭での議論が予定されている。
The next Working Group (WG) meetings will take place in the week of 13 January 2025, concretely:	次回の作業部会（WG）会合は2025年1月13日の週に開催され、具体的には以下の日程で行われる。
Monday, 13 January: WG3 Technical risk mitigation for systemic risk	1月13日（月）：WG3 システミック・リスクに対する技術的リスク緩和
Tuesday, 14 January: WG1 Transparency	1月14日（火）：WG1 透明性
Wednesday, 15 January: WG2 Risk assessment for systemic risk	1月15日（水）：WG2 システムリスクに対するリスクアセスメント
Thursday, 16 January: WG4 Governance risk mitigation for systemic risk	1月16日（木）：WG4 システムリスクに対するガバナンスリスク緩和
Friday, 17 January: WG1 Copyright-related rules.	1月17日（金）：WG1 著作権関連規則
Workshops with general-purpose AI model providers and Member State representatives in the AI Board Steering Group are planned for the weeks of 20 and 27 January respectively.	汎用AIモデルプロバイダおよびAI理事会運営グループの加盟国代表者とのワークショップは、それぞれ1月20日および27日の週に予定されている。
The third draft of the Code of Practice can be expected for the week of 17 February 2025.	実践規範の第3ドラフトは、2025年2月17日週に発表される予定である。
This Q&A, written by the AI Office, provides insights into the regulatory approach to general-purpose AI in the AI Act.	このQ&Aは、AI事務局が作成したもので、AI法における汎用AIに対する規制アプローチに関する洞察を提供している。
Read more information:	参照：
First Draft of the General-Purpose AI Code of Practic	汎用AI実践規範の第1ドラフト

・[PDF download]

・[DOCX][PDF] 仮訳

FAQ

・General-Purpose AI Models in the AI Act – Questions & Answers

Timeline

・Timeline

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.06 欧州委員会 AI法における汎用AIモデル - Q&A (2024.11.20)

・2024.11.17 欧州委員会汎用AI実践規範の最初のドラフトを発表 (2024.11.14)

・2024.10.30 欧州 AI法の調和標準の策定について...

・2024.09.08 欧州評議会 AI条約の署名開始... (2024.09.05)

・2024.08.05 欧州AI法が施行された... (2024.08.01)

・2024.07.19 ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

・2024.05.22 EU 欧州理事会がAI法を承認...まもなく発効されますね...

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

Continue reading "欧州委員会汎用AI実践規範の第2ドラフトを発表 (2024.12.19)"

2024.12.22 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in パブコメ, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2024.12.21

iapp 国際プライバシー専門家協会　プライバシーガバナンス報告 2024

こんにちは、丸山満彦です。

国際プライバシー専門家協会 (International Association of Privacy Professionals; iapp) [wikipedia] がプライバシーガバナンス報告書 2024 を公表していますね。。。

全文はメンバーだけですが、エグゼクティブサマリーは誰でも読めます...

● International Association of Privacy Professionals; iapp

・Privacy Governance Report 2024

・[PDF] inforgraphic

・Exective Suammary

・[PDF]

2024.12.21 11:18 in 個人情報保護 / プライバシー | Permalink | Comments (0)
Tweet

米国 CISA 2024の活動...

こんにちは、丸山満彦です。

CISAが、2024年の活動をわかりやすくウェブページで紹介していますね...

1年を振り返るにはわかりやすいかもです... 米国の話ではありますが...

● CISA

・2024 Year in Review

目次的なもの...

⇒	Letter from the Director	局長からの手紙
⇒	Election Security	選挙セキュリティ
⇒	CISA Goes Live!	CISAが稼働開始！
⇒	Secure by Design	セキュア・バイ・デザイン
⇒	Artificial Intelligence	人工知能
⇒	Cybersecurity	サイバーセキュリティ
⇒	Emergency Communications	緊急時の通信
⇒	Secure Our World	世界を守ろう
⇒	Target Rich, Cyber Poor Outreach	目標は成果の大きなところ、でも攻撃は弱いところから
⇒	Mitigating Nation-State Threats	国家による脅威の緩和
⇒	Forging Global Alliances	グローバルな提携関係の構築
⇒	Regional Support	地域サポート
⇒	Reducing Risk Together	リスクを共に軽減
⇒	Next Gen Cyber Workforce	次世代のサイバー人材
⇒	CISA @Work	CISAの業務
⇒	Conclusion	結論

2024.12.21 10:47 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

欧州 EDPB AIモデルが匿名とみなされるのはどのような場合か？など、４つの質問に答える意見書を公表していますね... (2024.12.17)

こんにちは、丸山満彦です。

EDPBが、アイルランドの監督当局からの４つの質問に回答する意見書を公表していますね...

アイルランドの監督当局の質問...

人工知能（「AI」）モデルの開発・展開段階における個人データの処理に関するもので...

(1)いつ、どのようにAIモデルを「匿名」とみなすことができるのか、
(2)開発段階および(3)展開段階において、管理者は法的根拠としての正当な利益の適切性をどのように証明することができるのか、
(4)AIモデルの開発段階における個人データの違法な処理が、その後のAIモデルの処理または運用にどのような結果をもたらすのか、

というのが質問です...

ざっくりとした回答は...

(1)いつ、どのようにAIモデルを「匿名」とみなすことができるのか、

個人データを用いて学習されたAIモデルは、すべての場合において匿名であるとは言えないと考えている。故に、AIモデルの匿名性の主張は、管轄のSAがケースバイケースで評価すべきである。

(2)開発段階および(3)展開段階において、管理者は法的根拠としての正当な利益の適切性をどのように証明することができるのか、

監督当局が考慮すべき全般的な考慮事項として、次の３つをあげている...

(1) 管理者または第三者が追求する正当な利益を特定すること

(2) 追求する正当な利益の目的に対する処理の必要性を分析すること（「必要性テスト]）

(3) 正当な利益がデータ対象者の利益または基本的権利および自由に優先されないことを評価すること（「均衡テスト」）。

(4)AIモデルの開発段階における個人データの違法な処理が、その後のAIモデルの処理または運用にどのような結果をもたらすのか、

監督機関が侵害の可能性を評価し、個々の事案の状況を考慮して、適切かつ必要で相応の措置をとりなさい...

まずは、プレス...

● European data Protection Board；EDPB

・2024.12.17 EDPB opinion on AI models: GDPR principles support responsible AI

EDPB opinion on AI models: GDPR principles support responsible AI	AIモデルに関するEDPBの意見：GDPRの原則は責任あるAIを支援する
Brussels, 18 December - The European Data Protection Board (EDPB) has adopted an opinion* on the use of personal data for the development and deployment of AI models. This opinion looks at 1) when and how AI models can be considered anonymous, 2) whether and how legitimate interest can be used as a legal basis for developing or using AI models, and 3) what happens if an AI model is developed using personal data that was processed unlawfully. It also considers the use of first and third party data.	ブリュッセル、12月18日 - 欧州データ保護委員会（EDPB）は、AIモデルの開発および展開における個人データの利用に関する意見*を採択した。この意見書では、1）AIモデルが匿名とみなされるのはどのような場合か、2）AIモデルの開発または利用の法的根拠として正当な利益を適用できるか、また適用できる場合、その適用方法はどのようなものか、3）違法に処理された個人データを利用してAIモデルが開発された場合、どのような影響があるか、について検討している。また、ファーストパーティデータおよびサードパーティデータの利用についても考察している。
The opinion was requested by the Irish Data Protection Authority (DPA) with a view to seeking Europe-wide regulatory harmonisation. To gather input for this opinion, which deals with fast-moving technologies that have an important impact on society, the EDPB organised a stakeholders’ event and had an exchange with the EU AI Office.	この意見は、欧州全域での規制の調和を求めるという観点から、アイルランドデータ保護局（DPA）によって要請された。社会に重要な影響を与える急速に進化するテクノロジーを取り扱うこの意見のために意見を収集するため、EDPBは利害関係者のイベントを企画し、EU AI Officeと意見交換を行った。
EDPB Chair Talus said: “AI technologies may bring many opportunities and benefits to different industries and areas of life. We need to ensure these innovations are done ethically, safely, and in a way that benefits everyone. The EDPB wants to support responsible AI innovation by ensuring personal data are protected and in full respect of the General Data Protection Regulation (GDPR).”	EDPB議長のタラス氏は次のように述べた。「AI技術は、さまざまな産業や生活のさまざまな分野に多くの機会と利益をもたらす可能性がある。これらのイノベーションが倫理的かつ安全に、そしてすべての人に利益をもたらす形で実施されることを確保する必要がある。EDPBは、個人データの保護を確保し、一般データ保護規則（GDPR）を完全に尊重することで、責任あるAIイノベーションを支援したいと考えている。
Regarding anonymity, the opinion says that whether an AI model is anonymous should be assessed on a case by case basis by the DPAs. For a model to be anonymous, it should be very unlikely (1) to directly or indirectly identify individuals whose data was used to create the model, and (2) to extract such personal data from the model through queries. The opinion provides a non-prescriptive and non-exhaustive list of methods to demonstrate anonymity.	匿名性に関しては、AIモデルが匿名であるかどうかは、DPAsがケースバイケースで評価すべきであるという意見が述べられている。モデルが匿名であるためには、(1) モデルの作成に使用されたデータを持つ個人を直接または間接的に特定する可能性が極めて低く、(2) 問い合わせによりモデルからそのような個人データを抽出することができないものでなければならない。意見書では、匿名性を証明するための方法として、規定的でも網羅的でもないリストが提示されている。
With respect to legitimate interest, the opinion provides general considerations that DPAs should take into account when they assess if legitimate interest is an appropriate legal basis for processing personal data for the development and the deployment of AI models.	正当な利益に関しては、意見書は、AIモデルの開発および展開における個人データの処理について、正当な利益が適切な法的根拠であるかどうかを評価する際にDPAsが考慮すべき一般的な考慮事項を提示している。
A three-step test helps assess the use of legitimate interest as a legal basis. The EDPB gives the examples of a conversational agent to assist users, and the use of AI to improve cybersecurity. These services can be beneficial for individuals and can rely on legitimate interest as a legal basis, but only if the processing is shown to be strictly necessary and the balancing of rights is respected.	3段階テストは、正当な利益を法的根拠として使用するかどうかを評価するのに役立つ。EDPBは、ユーザーを支援する会話型エージェントや、サイバーセキュリティの向上を目的としたAIの利用を例示している。これらのサービスは個人にとって有益であり、法的根拠として正当な利益に依拠できるが、処理が厳密に必要なものであり、権利のバランスが尊重されている場合に限られる。
The opinion also includes a number of criteria to help DPAs assess if individuals may reasonably expect certain uses of their personal data. These criteria include: whether or not the personal data was publicly available, the nature of the relationship between the individual and the controller, the nature of the service, the context in which the personal data was collected, the source from which the data was collected, the potential further uses of the model, and whether individuals are actually aware that their personal data is online.	また、この意見書には、個人が自身の個人データの特定の用途を合理的に期待できるかどうかをDPAが評価する際に役立つ基準もいくつか含まれている。これらの基準には、個人データが公開されていたかどうか、個人と管理者との関係の性質、サービスの性質、個人データが収集された状況、データ収集元、モデルの今後の利用可能性、および個人が実際に自身の個人データがオンライン上にあることを認識しているかどうか、などが含まれる。
If the balancing test shows that the processing should not take place because of the negative impact on individuals, mitigating measures may limit this negative impact. The opinion includes a non-exhaustive list of examples of such mitigating measures, which can be technical in nature, or make it easier for individuals to exercise their rights or increase transparency.	バランステストにより、個人への悪影響を理由に処理を行わないべきであると示された場合、緩和措置によりこの悪影響を制限することができる。意見書には、このような緩和措置の例として、技術的なものや、個人が権利を行使しやすくするもの、透明性を高めるものなど、網羅的なリストではないが例示されている。
Finally, when an AI model was developed with unlawfully processed personal data, this could have an impact on the lawfulness of its deployment, unless the model has been duly anonymised.	最後に、違法に処理された個人データを用いてAIモデルが開発された場合、そのモデルが適切に匿名化されていない限り、その展開の適法性に影響を及ぼす可能性がある。
Considering the scope of the request from the Irish DPA, the vast diversity of AI models and their rapid evolution, the opinion aims to give guidance on various elements that can be used for conducting a case by case analysis.	アイルランドデータ保護委員会からの要請の範囲、AIモデルの多様性、およびその急速な進化を考慮し、意見書は、ケースバイケースの分析を行う際に使用できるさまざまな要素に関する指針を提供することを目的としている。
In addition, the EDPB is currently developing guidelines covering more specific questions, such as web scraping.	さらに、EDPBは現在、ウェブスクレイピングなど、より具体的な問題を扱うガイドラインを策定中である。
Note to editors:	編集後記：
*An Article 64(2) opinion addresses a matter of general application or produces effects in more than one Member State.	*第64条(2)に基づく意見は、複数の加盟国にわたって一般的に適用される問題を取り扱うか、または複数の加盟国に影響を及ぼすものである。

意見書...

・2024.12.18 Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models

・[PDF]

・[DOCX][PDF] 仮訳

1 Introduction	1 序文
1.1 Summary of facts	1.1 事実の概要
1.2 Admissibility of the Request for an Article 64(2) GDPR opinion	1.2 GDPR第64条2項意見書の請求の可否
2 Scope and key notions	2 範囲と重要な概念
2.1 Scope of the Opinion	2.1 意見の範囲
2.2 Key notions	2.2 主要な概念
2.3 AI models in the context of the Opinion	2.3 意見の文脈におけるAIモデル
3 On the merits of the request	3 要求の是非について
3.1 On the nature of AI models in relation to the definition of personal data	3.1 個人データの定義に関するAIモデルの性質について
3.2 On the circumstances under which AI models could be considered anonymous and the related demonstration	3.2 AIモデルが匿名とみなされる状況と、それに関連するデモンストレーションについて
3.2.1 General consideration regarding anonymisation in the context at hand	3.2.1 匿名化に関する一般的な考察
3.2.2 Elements to evaluate the residual likelihood of identification	3.2.2 識別の残存可能性を評価する要素
3.3 On the appropriateness of legitimate interest as a legal basis for processing of personal data in the context of the development and deployment of AI Models	3.3 AIモデルの開発・展開における個人データの処理の法的根拠としての正当な利益の妥当性について
3.3.1 General observations	3.3.1 一般的な見解
3.3.2 Considerations on the three steps of the legitimate interest assessment in the context of the development and deployment of AI models	3.3.2 AIモデルの開発と展開における正当な利益評価の3つの段階に関する考察
3.4 On the possible impact of an unlawful processing in the development of an AI model on the lawfulness of the subsequent processing or operation of the AI model	3.4 AIモデルの開発における違法な処理が、その後のAIモデルの処理または運用の適法性に及ぼす可能性のある影響について
3.4.1 Scenario 1. A controller unlawfully processes personal data to develop the model, the personal data is retained in the model and is subsequently processed by the same controller (for instance in the context of the deployment of the model)	3.4.1 シナリオ 1：管理者がモデル開発のために個人データを不法に処理し、その個人データがモデル内に保持され、その後同じ管理者によって処理される（例えばモデルの展開において）。
3.4.2 Scenario 2. A controller unlawfully processes personal data to develop the model, the personal data is retained in the model and is processed by another controller in the context of the deployment of the model	3.4.2 シナリオ2：管理者がモデル開発のために個人データを不法に処理し、個人データがモデル内に保持され、モデルの展開に関連して別の管理者によって処理される。
3.4.3 Scenario 3. A controller unlawfully processes personal data to develop the model, then ensures that the model is anonymised, before the same or another controller initiates another processing of personal data in the context of the deployment	3.4.3 シナリオ 3：管理者がモデルの開発のために個人データを違法に処理し、その後、同じ管理者または別の管理者が展開の文脈で個人データの別の処理を開始する前に、モデルが匿名化されるようにする。
4 Final remarks	4 最終発言

エグゼクティブサマリー...

Executive summary	エグゼクティブサマリー
AI technologies create many opportunities and benefits across a wide range of sectors and social activities.	AI技術は、幅広い分野や社会活動において、多くの機会と利益を生み出す。
By protecting the fundamental right to data protection, GDPR supports these opportunities and promotes other EU fundamental rights, including the right to freedom of thought, expression and information, the right to education or the freedom to conduct a business. In this way, GDPR is a legal framework that encourages responsible innovation.	データ保護の基本的権利を保護することで、GDPRはこうした機会を支援し、思想、表現、情報の自由、教育を受ける権利、事業を行う自由など、EUの他の基本的権利を促進する。このように、GDPRは責任あるイノベーションを奨励する法的枠組みである。
In this context, taking into account the data protection questions raised by these technologies, the Irish supervisory authority requested the EDPB to issue an opinion on matters of general application pursuant to Article 64(2) GDPR. The request relates to the processing of personal data in the context of the development and deployment phases of Artificial Intelligence (“AI”) models. In more details, the request asked: (1) when and how an AI model can be considered as ‘anonymous’; (2) how controllers can demonstrate the appropriateness of legitimate interest as a legal basis in the development and (3) deployment phases; and (4) what are the consequences of the unlawful processing of personal data in the development phase of an AI model on the subsequent processing or operation of the AI model.	アイルランドの監督当局は、これらの技術によって提起されるデータ保護上の問題を考慮し、GDPR第64条2項に従い、一般的な適用事項に関する意見を出すようEDPBに要請した。この要請は、人工知能（「AI」）モデルの開発・展開段階における個人データの処理に関するものである。具体的には、(1)いつ、どのようにAIモデルを「匿名」とみなすことができるのか、(2)開発段階および(3)展開段階において、管理者は法的根拠としての正当な利益の適切性をどのように証明することができるのか、(4)AIモデルの開発段階における個人データの違法な処理が、その後のAIモデルの処理または運用にどのような結果をもたらすのか、といった内容である。
With respect to the first question, the Opinion mentions that claims of an AI model’s anonymity should be assessed by competent SAs on a case-by-case basis, since the EDPB considers that AI models trained with personal data cannot, in all cases, be considered anonymous. For an AI model to be considered anonymous, both (1) the likelihood of direct (including probabilistic) extraction of personal data regarding individuals whose personal data were used to develop the model and (2) the likelihood of obtaining, intentionally or not, such personal data from queries, should be insignificant, taking into account ‘all the means reasonably likely to be used’ by the controller or another person.	最初の質問に関して、EDPBは、個人データを用いて学習されたAIモデルは、すべての場合において匿名であるとは言えないと考えているため、AIモデルの匿名性の主張は、管轄のSAがケースバイケースで評価すべきであると意見書は言及している。AIモデルが匿名であるとみなされるためには、(1)モデルの開発に個人データが使用された個人に関する個人データが直接（確率的なものを含む）抽出される可能性、および(2)意図的であるか否かにかかわらず、問い合わせからそのような個人データを取得する可能性の両方が、管理者または他の者によって「合理的に使用される可能性のあるすべての手段」を考慮して、重要でないことが必要である。
To conduct their assessment, SAs should review the documentation provided by the controller to demonstrate the anonymity of the model. In that regard, the Opinion provides a non-prescriptive and non-exhaustive list of methods that may be used by controllers in their demonstration of anonymity, and thus be considered by SAs when assessing a controller’s claim of anonymity. This covers, for instance, the approaches taken by controllers, during the development phase, to prevent or limit the collection of personal data used for training, to reduce their identifiability, to prevent their extraction or to provide assurance regarding state of the art resistance to attacks.	アセスメントを実施するために、SAは、モデルの匿名性を実証するために管理者から提供された文書を確認すべきである。この点に関して、本意見書は、管理者が匿名性を証明する際に使用することができ、したがってSAが管理者の匿名性の主張を評価する際に考慮することができる方法の非規定的かつ非網羅的なリストを提供している。例えば、開発段階において、管理者が、訓練に使用される個人データの収集を防止または制限するため、識別可能性を低減するため、抽出を防止するため、または攻撃に対する最新の耐性に関する保証を提供するためにとるアプローチが対象となる。
With respect to the second and third questions, the Opinion provides general considerations for SAs to take into account when assessing whether controllers can rely on legitimate interest as an appropriate legal basis for processing conducted in the context of the development and the deployment of AI models.	2つ目と3つ目の質問に関して、本意見は、AIモデルの開発・展開の文脈で行われる処理について、統制が正当な利益を適切な法的根拠として依拠できるかどうかを評価する際に、SAが考慮すべき全般的な考慮事項を示している。
The Opinion recalls that there is no hierarchy between the legal bases provided by the GDPR, and that it is for controllers to identify the appropriate legal basis for their processing activities. The Opinion then recalls the three-step test that should be conducted when assessing the use of legitimate interest as a legal basis, i.e. (1) identifying the legitimate interest pursued by the controller or a third party; (2) analysing the necessity of the processing for the purposes of the legitimate interest(s) pursued (also referred to as “necessity test”); and (3) assessing that the legitimate interest(s) is (are) not overridden by the interests or fundamental rights and freedoms of the data subjects (also referred to as “balancing test”).	意見書は、GDPRが規定する法的根拠には序列がなく、管理者が自らの処理活動に適切な法的根拠を特定する必要があることを想起している。その上で、法的根拠としての正当な利益の利用をアセスメントする際に実施すべき3段階のテスト、すなわち、以下の3点を挙げている。(1) 管理者または第三者が追求する正当な利益を特定すること、(2) 追求する正当な利益（）の目的に対する処理の必要性を分析すること（「必要性テスト」ともいう）、(3) 正当な利益がデータ対象者の利益または基本的権利および自由（「均衡テスト」ともいう）に優先されないことを評価すること（「均衡テスト」ともいう）。
With respect to the first step, the Opinion recalls that an interest may be regarded as legitimate if the following three cumulative criteria are met: the interest (1) is lawful; (2) is clearly and precisely articulated; and (3) is real and present (i.e. not speculative). Such interest may cover, for instance, in the development of an AI model - developing the service of a conversational agent to assist users, or in its deployment - improving threat detection in an information system.	第1段階に関して、本意見書は、以下の3つの累積的規準が満たされる場合、利益は合法的なものとみなされる可能性があることを想起している：(1)利益が合法的である、(2)明確かつ正確に明示されている、(3)現実に存在する（すなわち推測的ではない）。このような関心には、例えば、AIモデルの開発-ユーザーを支援する会話エージェントのサービス開発-や、その展開-情報システムにおける脅威検知の改善-が含まれる。
With respect to the second step, the Opinion recalls that the assessment of necessity entails considering: (1) whether the processing activity will allow for the pursuit of the legitimate interest; and (2) whether there is no less intrusive way of pursuing this interest. When assessing whether the condition of necessity is met, SAs should pay particular attention to the amount of personal data processed and whether it is proportionate to pursue the legitimate interest at stake, also in light of the data minimisation principle.	第2段階に関して、同意見は、必要性のアセスメントには、(1)処理活動が正当な利益の追求を可能にするかどうか、および(2)この利益を追求するために、より侵入的でない方法がないかどうかを検討することが含まれることを想起する。必要性の条件を満たすかどうかを評価する際、SAは、処理される個人データの量と、データ最小化の原則に照らしても、問題となっている正当な利益を追求するのに比例しているかどうかに特に注意を払うべきである。
With respect to the third step, the Opinion recalls that the balancing test should be conducted taking into account the specific circumstances of each case. It then provides an overview of the elements that SAs may take into account when evaluating whether the interest of a controller or a third party is overridden by the interests, fundamental rights and freedoms of data subjects.	第3段階に関して、意見書は、バランステストは各ケースの具体的な状況を考慮して実施されるべきであることを想起している。その上で、データ管理者またはサードパーティの利益が、データ対象者の利益、基本的権利および自由に優先するかどうかを評価する際に、SAが考慮しうる要素の概要を示している。
As part of the third step, the Opinion highlights specific risks to fundamental rights that may emerge either in the development or the deployment phases of AI models. It also clarifies that the processing of personal data that takes place during the development and deployment phases of AI models may impact data subjects in different ways, which may be positive or negative. To assess such impact, SAs may consider the nature of the data processed by the models, the context of the processing and the possible further consequences of the processing.	第3段階として、本意見書は、AIモデルの開発段階または展開段階のいずれかに出現する可能性のある、基本的権利に対する特定のリスクを強調している。また、AIモデルの開発・展開段階で行われる個人データの処理は、データ対象者に様々な形で影響を与える可能性があり、それは肯定的である場合も否定的である場合もあることを明確にしている。このような影響を評価するために、SAは、モデルによって処理されるデータの性質、処理の文脈、処理によって起こり得る更なる結果を考慮することができる。
The Opinion additionally highlights the role of data subjects’ reasonable expectations in the balancing test. This can be important due to the complexity of the technologies used in AI models and the fact that it may be difficult for data subjects to understand the variety of their potential uses, as well as the different processing activities involved. In this regard, both the information provided to data subjects and the context of the processing may be among the elements to be considered to assess whether data subjects can reasonably expect their personal data to be processed. With regard to the context, this may include: whether or not the personal data was publicly available, the nature of the relationship between the data subject and the controller (and whether a link exists between the two), the nature of the service, the context in which the personal data was collected, the source from which the data was collected (i.e., the website or service where the personal data was collected and the privacy settings they offer), the potential further uses of the model, and whether data subjects are actually aware that their personal data is online at all.	本意見書はさらに、均衡テストにおけるデータ対象者の合理的な期待の役割を強調している。これは、AIモデルで使用される技術が複雑であり、データ対象者がその潜在的な用途の多様性や、関連するさまざまな処理活動を理解することが困難であるという事実のために重要である。この点で、データ対象者に提供される情報と処理のコンテクストの両方が、データ対象者が個人データの処理を合理的に期待できるかどうかを評価するために考慮されるべき要素に含まれる可能性がある。コンテクストに関しては、個人データが公的に利用可能であったかどうか、データ対象者と管理者の関係の性質（および両者の間にリンクが存在するかどうか）、サービスの性質、個人データが収集されたコンテクスト、データが収集されたソース（すなわち、個人データが収集されたウェブサイトまたはサービスおよびそれらが提供するプライバシー設定）、モデルの潜在的なさらなる使用、およびデータ対象者が自分の個人データがオンライン上にあることを実際に認識しているかどうかが含まれる。
The Opinion also recalls that, when the data subjects’ interests, rights and freedoms seem to override the legitimate interest(s) being pursued by the controller or a third party, the controller may consider introducing mitigating measures to limit the impact of the processing on these data subjects. Mitigating measures should not be confused with the measures that the controller is legally required to adopt anyway to ensure compliance with the GDPR. In addition, the measures should be tailored to the circumstances of the case and the characteristics of the AI model, including its intended use. In this respect, the Opinion provides a non-exhaustive list of examples of mitigating measures in relation to the development phase (also with regard to web scraping) and the deployment phase. Mitigating measures may be subject to rapid evolution and should be tailored to the circumstances of the case. Therefore, it remains for the SAs to assess the appropriateness of the mitigating measures implemented on a case-by-case basis.	本意見書はまた、データ対象者の利益、権利および自由が、管理者またはサードパーティが追求する正当な利益に優先すると思われる場合、の管理者は、データ対象者に対する処理の影響を制限する緩和措置の導入を検討することができることを想起する。緩和措置は、GDPRの遵守を確保するために管理者がいずれにせよ採用することが法的に義務付けられている措置と混同してはならない。さらに、その措置は、ケースの状況や、その使用目的を含むAIモデルの特徴に合わせたものでなければならない。この点に関して、本意見書は、開発段階（ウェブスクレイピングに関しても）および展開段階に関する緩和措置の例を非網羅的に列挙している。緩和手段は急速に進化する可能性があり、事案の状況に合わせて調整されるべきである。したがって、ケースバイケースで実施される緩和措置の妥当性を評価するのは、依然としてSAの役割である。
With respect to the fourth question, the Opinion generally recalls that SAs enjoy discretionary powers to assess the possible infringement(s) and choose appropriate, necessary, and proportionate measures, taking into account the circumstances of each individual case. The Opinion then considers three scenarios.	第4の質問に関し、意見書は一般的に、SAが侵害の可能性を評価し、個々の事案の状況を考慮した上で、適切かつ必要で相応の措置を選択する裁量権を享受していることを想起している。その上で、本意見書は3つのシナリオを検討している。
Under scenario 1, personal data is retained in the AI model (meaning that the model cannot be considered anonymous, as detailed in the first question) and is subsequently processed by the same controller (for instance in the context of the deployment of the model). The Opinion states that whether the development and deployment phases involve separate purposes (thus constituting separate processing activities) and the extent to which the lack of legal basis for the initial processing activity impacts the lawfulness of the subsequent processing, should be assessed on a case-by-case basis, depending on the context of the case.	シナリオ1では、個人データはAIモデル内に保持され（つまり、最初の質問で詳述したように、モデルは匿名とはみなされない）、その後同じデータ管理者により処理される（例えば、モデルの展開において）。アセスメントでは、開発段階と展開段階が別個の目的を含むかどうか（したがって、別個の処理活動を構成する）、および最初の処理活動の法的根拠の欠如がその後の処理の合法性にどの程度影響するかは、事案の状況に応じてケースバイケースで評価されるべきであると述べている。
Under scenario 2, personal data is retained in the model and is processed by another controller in the context of the deployment of the model. In this regard, the Opinion states that SAs should take into account whether the controller deploying the model conducted an appropriate assessment, as part of its accountability obligations to demonstrate compliance with Article 5(1)(a) and Article 6 GDPR, to ascertain that the AI model was not developed by unlawfully processing personal data. This assessment should take into account, for instance, the source of the personal data and whether the processing in the development phase was subject to the finding of an infringement, particularly if it was determined by a SA or a court, and should be less or more detailed depending on the risks raised by the processing in the deployment phase.	シナリオ2では、個人データはモデル内に保持され、モデルの展開に関連して別の管理者によって処理される。この点に関して、意見書は、SAは、モデルを展開する管理者が、AIモデルが個人データの違法な処理によって開発されたものでないことを確認するために、第5条1項（a）および第6条GDPRの遵守を証明する説明義務の一環として、適切なアセスメントを実施したかどうかを考慮すべきであると述べている。このアセスメントは、例えば、個人データの出所や、開発段階における処理が侵害の認定対象者であったかどうか（特にSAまたは裁判所によって決定された場合）を考慮すべきであり、展開段階における処理によって生じるリスクに応じて、より詳細であるべきである。
Under scenario 3, a controller unlawfully processes personal data to develop the AI model, then ensures that it is anonymised, before the same or another controller initiates another processing of personal data in the context of the deployment. In this regard, the Opinion states that if it can be demonstrated that the subsequent operation of the AI model does not entail the processing of personal data, the EDPB considers that the GDPR would not apply. Hence, the unlawfulness of the initial processing should not impact the subsequent operation of the model. Further, the EDPB considers that, when controllers subsequently process personal data collected during the deployment phase, after the model has been anonymised, the GDPR would apply in relation to these processing operations. In these cases, the Opinion considers that, as regards the GDPR, the lawfulness of the processing carried out in the deployment phase should not be impacted by the unlawfulness of the initial processing.	シナリオ3では、管理者がAIモデルを開発するために個人データを違法に処理し、その後、同じ管理者または別の管理者が展開の文脈で個人データの別の処理を開始する前に、そのデータが匿名化されるようにする。この点に関して、EDPBは、その後のAIモデルの運用が個人データの処理を伴わないことを証明できる場合、GDPRは適用されないと考えるとしている。したがって、最初の処理の違法性は、その後のモデルの運用には影響しないはずである。さらに、EDPBは、モデルが匿名化された後、管理者が展開段階で収集された個人データの処理を行う場合、これらの処理業務に関してはGDPRが適用されると考えている。このような場合、GDPRに関しては、展開段階で行われた処理の合法性は、最初の処理の違法性によって影響されるべきではないと本意見書は考える。

2024.12.21 03:05 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

米国司法省財務省ファイアウォールを悪用するマルウェアを開発等の疑いで中国人を起訴し、関与した企業にも制裁 (2024.12.10)

こんにちは、丸山満彦です。

すっかり出遅れているのですが、溜まっている分を徐々にブログにあげていきます...

世界中の何万ものファイアウォールを悪用するマルウェアを開発・展開することに共謀したとして中国人を起訴し、彼を雇っていた？企業（中国の諜報機関の請負企業）に制裁を加えたと発表していますね...

司法省側の容疑者起訴編...

● U.S. Department of Justice

・2024.12.10 China-Based Hacker Charged for Conspiring to Develop and Deploy Malware That Exploited Tens of Thousands of Firewalls Worldwide

China-Based Hacker Charged for Conspiring to Develop and Deploy Malware That Exploited Tens of Thousands of Firewalls Worldwide	中国を拠点とするハッカー、世界の数万ものファイアウォールを悪用するマルウェアを開発・配備した共謀で起訴
Note: View the indictment here and FBI Wanted Poster here.	注：起訴状はこちら、FBI指名手配ポスターはこちら。
A federal court in Hammond, Indiana, unsealed an indictment today charging Guan Tianfeng, a citizen of the People’s Republic of China (PRC) for his involvement in a conspiracy to hack indiscriminately into firewall devices worldwide in 2020. Guan and his co-conspirators worked at the offices of Sichuan Silence Information Technology Co. Ltd. to discover and exploit a previously-unknown vulnerability (an “0-day” vulnerability) in certain firewalls sold by U.K.-based Sophos Ltd. (Sophos) – an information technology company that develops and markets cybersecurity products. The malware that exploited the vulnerability discovered by Guan was designed to steal information from infected computers and to encrypt files on them if a victim attempted to remediate the infection. In total, Guan and his co-conspirators infected approximately 81,000 firewall devices worldwide, including a firewall device used by an agency of the United States.	インディアナ州ハモンドの連邦裁判所は本日、2020年に世界中のファイアウォール・デバイスに無差別にハッキングする共謀に関与したとして、中華人民共和国（PRC）国籍の関天峰（Guan Tianfeng）を起訴する起訴状を公開した。関被告と共犯者らは、四川省沈黙信息技術有限公司（Silence Information Technology Co. Ltd.の事務所で、英国を拠点とする情報技術企業Sophos Ltd.（ソフォス）が販売する特定のファイアウォールの、これまで知られていなかった脆弱性（「0-day」脆弱性）を発見し、悪用した。(ソフォス社）は、サイバーセキュリティ製品を開発・販売するIT企業である。グアンが発見した脆弱性を悪用したマルウェアは、感染したコンピューターから情報を盗み出し、被害者が感染を修復しようとすると、そのコンピューター上のファイルを暗号化するように設計されていた。グアンとその共謀者は合計で、米国の某機関が使用するファイアウォール・デバイスを含む、世界中の約81,000台のファイアウォール・デバイスに感染させた。
“The defendant and his co-conspirators exploited a vulnerability in tens of thousands of network security devices, infecting them with malware designed to steal information from victims around the world,” said Deputy Attorney General Lisa Monaco. “Today’s indictment reflects the Justice Department’s commitment to working with partners across government and across the globe to detect and hold accountable malicious cyber actors based in China or elsewhere who pose a threat to global cybersecurity.”	リサ・モナコ司法副長官は、次のように述べた。「グアン被告とその共謀者は、何万台ものネットワーク・セキュリティ・デバイスの脆弱性を悪用し、世界中の被害者から情報を盗むために設計されたマルウェアに感染させた。本日の起訴は、政府全体および世界中のパートナーと協力し、世界のサイバーセキュリティに脅威を与える中国またはその他の国に拠点を置く悪意のあるサイバー行為者を検出し、責任を追及するという司法省のコミットメントを反映したものである。」
“The defendant and his conspirators compromised tens of thousands of firewalls and then continued to hold at risk these devices, which protect computers in the United States and around the world,” said Assistant Attorney General for National Security Matthew G. Olsen. “The Department of Justice will hold accountable those who contribute to the dangerous ecosystem of China-based enabling companies that carry out indiscriminate hacks on behalf of their sponsors and undermine global cybersecurity.”	マシュー・G・オルセン国家安全保障担当司法次官補は、次のように述べた。「被告とその共謀者は、何万ものファイアウォールを侵害し、米国と世界中のコンピュータを保護するこれらのデバイスを危険にさらし続けた。司法省は、スポンサーに代わって無差別ハッキングを実行し、世界のサイバーセキュリティを弱体化させる、中国を拠点とするイネーブリング企業の危険なエコシステムに加担する者の責任を追及する。」
“Our law enforcement actions, technical expertise, and enduring partnerships with private companies, like Sophos, demonstrate the reputation of the FBI as being a reliable and effective partner for stopping this malicious activity,” said Assistant Director Bryan Vorndran of the FBI’s Cyber Division. “Complementary actions prevented further victimization of U.S. businesses and individuals while contributing to the safety of U.S. citizens as they use the internet.”	FBIサイバー課のブライアン・ボーンドラン次長は、次のように述べた。「私たちの法執行活動、技術的専門知識、そしてソフォスのような民間企業との永続的なパートナーシップは、このような悪質な活動を阻止するための信頼できる効果的なパートナーとしてのFBIの評判を示している。相補的な行動により、米国企業や個人のさらなる被害を防ぐと同時に、インターネットを利用する米国市民の安全にも貢献した。」
“Today’s indictment underscores our commitment to protecting the public from malicious actors who use security research as a cover to identify vulnerabilities in widely used systems and exploit them,” said U.S. Attorney Clifford D. Johnson for the Northern District of Indiana. “Guan Tianfeng and his co-conspirators placed thousands of computer networks, including a network in the Northern District of Indiana, at risk by conducting this attack.”	インディアナ州北部地区連邦検事クリフォード・D・ジョンソンは、次のように述べた。「本日の起訴は、広く使われているシステムの脆弱性を特定し、それを悪用する隠れ蓑としてセキュリティ研究を利用する悪意ある行為者から一般市民を守るという我々のコミットメントを強調するものである。Guan Tianfengとその共謀者は、この攻撃を行うことで、インディアナ州北部地区のネットワークを含む数千のコンピュータ・ネットワークを危険にさらした。」
“The zero-day vulnerability Guan Tianfeng and his co-conspirators found and exploited affected firewalls owned by businesses across the United States, including in Indiana,” said Special Agent in Charge Herbert J. Stapleton of the FBI Indianapolis Field Office. “If Sophos had not rapidly identified the vulnerability and deployed a comprehensive response, the damage could have been far more severe. Sophos’s efforts combined with the dedication and expertise of our cyber squad formed a powerful partnership resulting in the mitigation of this threat.”	FBIインディアナポリス支局のハーバート・J・ステイプルトン特別捜査官は、次のように述べた。「Guan Tianfengとその共謀者が発見し悪用したゼロデイ脆弱性は、インディアナ州を含む全米の企業が所有するファイアウォールに影響を与えた。「もしソフォスが脆弱性を迅速に特定し、包括的な対応策を展開していなければ、被害ははるかに深刻なものになっていただろう。ソフォスの努力とサイバー部隊の献身的で専門的な技術が強力なパートナーシップを形成し、この脅威を軽減することができた。」
The Conspiracy to Exploit Common Vulnerabilities and Exposures (CVE) 2020-12271	The Conspiracy to Exploit Common Vulnerabilities and Exposures (CVE) 2020-12271
As alleged in the indictment, in 2020, Guan and his co-conspirators developed, tested, and deployed malware that targeted approximately 81,000 Sophos firewalls using a 0-day vulnerability that existed on those devices. The 81,000 Sophos firewalls were located throughout the world, including within victim organizations located in the Northern District of Indiana. The vulnerability was later designated CVE 2020-12271.	起訴状で主張されているように、2020年、グアンとその共謀者は、約81,000台のソフォスのファイアウォールを標的とし、これらのデバイスに存在する0日の脆弱性を利用したマルウェアを開発、テスト、配備した。81,000台のソフォスのファイアウォールは、インディアナ州北部地区の被害者組織を含む世界中に設置されていた。この脆弱性は、後にCVE 2020-12271に指定された。
Guan and his co-conspirators designed the malware to steal information from firewalls. To better hide their activity, Guan and his co-conspirators registered and used domains designed to look like they were controlled by Sophos, such as sophosfirewallupdate.com. Sophos discovered the intrusion and remediated its customers’ firewalls in approximately two days, which caused the co-conspirators to modify their malware. As modified, the malware was designed to deploy encryption software from a ransomware variant in the event the victims attempted to remove the malware. Their encryption efforts did not succeed, but demonstrated the conspirators’ disregard for the harm that they would cause to victims.	グアンとその共謀者は、ファイアウォールから情報を盗むためにマルウェアを設計した。活動を隠すために、Guan と共謀者は sophosfirewallupdate.com など、ソフォスが管理しているように見せかけたドメインを登録し、使用していた。ソフォスは侵入を発見し、約2日間で顧客のファイアウォールを修復した。修正されたマルウェアは、被害者がマルウェアを削除しようとした場合に、ランサムウェアの亜種の暗号化ソフトウェアを展開するように設計されていた。彼らの暗号化の努力は成功しなかったが、共謀者たちが被害者に与える害を軽視していたことが示された。
Guan Tianfeng’s Employment and Sichuan Silence’s Relationship with the PRC Government	Guan Tianfengの雇用とSichuan Silenceと中国政府との関係
According to court documents, Guan worked for Sichuan Silence, a PRC-based private company that has provided services to the PRC Ministry of Public Security, among other PRC organizations. According to Sichuan Silence’s website, it developed a product line which could be used to scan and detect overseas network targets in order to obtain valuable intelligence information.	裁判所の文書によると、GuanはSichuan Silenceに勤務していた。Sichuan Silenceは中国に拠点を置く民間企業で、他の中国組織の中でも特に中国公安部にサービスを提供している。Sichuan Silence社のウェブサイトによると、同社は、貴重な諜報情報を得るために、海外ネットワークのターゲットをスキャンして検出するために使用できる製品ラインを開発した。
In October, Sophos released a number of articles chronicling its separate long-running investigation, “Pacific Rim.” Sophos detailed PRC-based advanced persistent threat groups targeting its networking appliances for over five years, which it described as “unusually knowledgeable about the internal architecture of the device firmware.” One of the attacks described in the Pacific Rim report involved CVE-2020-12271.	10月、ソフォスは、長期にわたる調査「パシフィック・リム」をまとめた記事を発表した。ソフォスは、5年以上にわたってネットワーク・アプライアンスを標的にしてきたPRCベースの高度持続的脅威グループについて詳述し、「デバイスのファームウェアの内部アーキテクチャについて異常に詳しい」と説明している。パシフィック・リムのレポートに記載された攻撃の1つは、CVE-2020-12271に関係していた。
Soon after the Sophos announcements in October, the FBI issued a call for information regarding computer intrusions into Sophos edge devices. The FBI continues to solicit information on PRC-sponsored malicious actors targeting edge devices and network security appliances .	10月のソフォスの発表の直後、FBIはソフォスのエッジデバイスへのコンピュータ侵入に関する情報提供を呼びかけた。FBI は引き続き、エッジデバイスやネットワークセキュリティアプライアンスを標的とした、PRC がスポンサーとなっている悪意のある行為者に関する情報を募集している。
The U.S. Department of State also announced rewards today of up to $10 million for information leading to the identification or location of Guan or any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act. The U.S. Department of the Treasury’s Office of Foreign Assets Control also announced sanctions on Sichuan Silence and Guan today.	また、米国国務省は本日、外国政府の指示または支配下で行動しながら、コンピュータ詐欺・乱用防止法に違反して米国の重要インフラに対して特定の悪質なサイバー活動を行ったグアンまたはその人物の特定または所在につながる情報に対して、最高1,000万ドルの報奨金を出すと発表した。米財務省外国資産管理局も本日、四川省サイレンス社とグアン社に対する制裁を発表した。
Trial Attorneys Jacques Singer-Emery and George Brown of the National Security Division’s National Security Cyber Section and Assistant U.S. Attorney Steven J. Lupa for the Northern District of Indiana are prosecuting the case.	国家安全保障部国家安全保障サイバー課のジャック・シンガー＝エメリー裁判弁護士とジョージ・ブラウン裁判弁護士、およびインディアナ州北部地区のスティーブン・J・ルパ連邦検事補がこの事件を起訴している。
The FBI continues to investigate Sichuan Silence’s hacking activities and intrusions into various edge devices.	FBIは、四川省サイレンス社のハッキング活動やさまざまなエッジ・デバイスへの侵入について捜査を続けている。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law.	起訴は単なる申し立てに過ぎない。すべての被告は、法廷で合理的な疑いを超えて有罪が証明されるまで、無罪と推定される。

指名手配

・GUAN TIANFENG

起訴状

・[PDF] Indictment

指名手配

・Most Wanted

・EDGE DEVICE INTRUSIONS

・[PDF] EDGE DEVICE INTRUSIONS Cyber Intrusions into Companies and Government Entities April 2020 to Present

Poster

報奨金

・Foreign Malicious Cyber Activity Against U.S. Critical Infrastructure

次は財務省...

・2024.12.10 Treasury Sanctions Cybersecurity Company Involved in Compromise of Firewall Products and Attempted Ransomware Attacks

Treasury Sanctions Cybersecurity Company Involved in Compromise of Firewall Products and Attempted Ransomware Attacks	財務省は、ファイアウォール製品の侵害とランサムウェア攻撃の未遂に関与したサイバーセキュリティ企業に対し制裁を科す
WASHINGTON — Today, the Department of the Treasury’s Office of Foreign Assets Control (OFAC) is sanctioning cybersecurity company Sichuan Silence Information Technology Company, Limited (Sichuan Silence), and one of its employees, Guan Tianfeng (Guan), both based in People’s Republic of China (PRC), for their roles in the April 2020 compromise of tens of thousands of firewalls worldwide. Many of the victims were U.S. critical infrastructure companies.	ワシントン - 本日、財務省外国資産管理局（OFAC）は、2020年4月に世界で発生した数万台のファイアウォールの侵害に関与したとして、中華人民共和国（PRC）を拠点とするサイバーセキュリティ企業、四川沈黙信息技術有限公司（Sichuan Silence Information Technology Company, Limited、以下「四川沈黙」）とその従業員の1人である関天峰（Guan Tianfeng、以下「関」）に対し制裁を科す。被害者の多くは米国の重要インフラ企業であった。
Malicious cyber actors, including those operating in China, continue to be one of the greatest and most persistent threats to U.S. national security, as highlighted in the 2024 Annual Threat Assessment released by the Office of the Director of National Intelligence.	国家情報長官室が発表した2024年の年間脅威評価でも強調されているように、中国を含む悪質なサイバー攻撃者は、米国の国家安全保障にとって最大かつ最も永続的な脅威のひとつであり続けている。
“Today’s action underscores our commitment to exposing these malicious cyber activities—many of which pose significant risk to our communities and our citizens—and to holding the actors behind them accountable for their schemes,” said Acting Under Secretary of the Treasury for Terrorism and Financial Intelligence Bradley T. Smith. “Treasury, as part of the U.S. government’s coordinated approach to addressing cyber threats, will continue to leverage our tools to disrupt attempts by malicious cyber actors to undermine our critical infrastructure.”	ブラッドリー・T・スミス財務次官代理（テロ・金融情報担当）は、次のように述べた。「本日の措置は、こうした悪質なサイバー活動（その多くが地域社会と市民に重大なリスクをもたらす）を摘発し、その背後にいる行為者の謀略に対する責任を追及するという我々のコミットメントを強調するものである。財務省は、サイバー脅威に対処するための米国政府の協調的アプローチの一環として、重要インフラを弱体化させようとする悪意あるサイバー行為者の試みを妨害するために、引き続き我々のツールを活用していく。」
Today, the Department of Justice (DOJ) unsealed an indictment on Guan for the same activity. Additionally, the U.S. Department of State announced a Rewards for Justice reward offer of up to $10 million for information about Sichuan Silence or Guan.	本日、司法省（DOJ）は、同じ活動でグアンを起訴した。さらに、米国務省は、四川省サイレンスまたはグアンに関する情報に対し、最高1000万ドルの司法報奨金を提供することを発表した。
April 2020 Firewall compromise	2020年4月ファイアウォールの侵害
Guan Tianfeng discovered a zero-day exploit in a firewall product. A zero-day exploit is a previously unknown vulnerability in a computer software or hardware product that can be used in a cyberattack. Between April 22 and 25, 2020, Guan Tianfeng used this zero-day exploit to deploy malware to approximately 81,000 firewalls owned by thousands of businesses worldwide. The purpose of the exploit was to use the compromised firewalls to steal data, including usernames and passwords. However, Guan also attempted to infect the victims’ systems with the Ragnarok ransomware variant. This ransomware disables anti-virus software and encrypts the computers on a victim’s network if they attempt to remedy the compromise.	Guan Tianfengがファイアウォール製品のゼロデイ・エクスプロイトを発見した。ゼロデイ・エクスプロイトとは、サイバー攻撃に利用できるコンピュータ・ソフトウェアやハードウェア製品の未知の脆弱性のことである。2020年4月22日から25日にかけて、Guan Tianfengはこのゼロデイ・エクスプロイトを利用して、世界中の数千の企業が所有する約81,000のファイアウォールにマルウェアを展開した。この悪用の目的は、侵害されたファイアウォールを使ってユーザー名やパスワードなどのデータを盗むことだった。しかし、Guanはまた、被害者のシステムをRagnarokランサムウェアの亜種に感染させようとした。このランサムウェアはアンチウイルス・ソフトウェアを無効にし、被害者が侵害を修復しようとすると、被害者のネットワーク上のコンピュータを暗号化する。
More than 23,000 of the compromised firewalls were in the United States. Of these firewalls, 36 were protecting U.S. critical infrastructure companies’ systems. If any of these victims had failed to patch their systems to mitigate the exploit, or cybersecurity measures had not identified and quickly remedied the intrusion, the potential impact of the Ragnarok ransomware attack could have resulted in serious injury or the loss of human life. One victim was a U.S. energy company that was actively involved in drilling operations at the time of the compromise. If this compromise had not been detected, and the ransomware attack not been thwarted, it could have caused oil rigs to malfunction potentially causing a significant loss in human life.	侵害されたファイアウォールのうち23,000台以上が米国にあった。このうち36のファイアウォールは、米国の重要インフラ企業のシステムを保護していた。これらの被害者のいずれかが、エクスプロイトを緩和するためにシステムにパッチを適用しなかったり、サイバーセキュリティ対策が侵入を特定し、迅速に対処しなかったりした場合、ラグナロク型ランサムウェア攻撃の潜在的な影響により、重傷を負ったり、人命が失われたりした可能性がある。被害者の1人は、侵害が発生した当時、掘削作業に積極的に関与していた米国のエネルギー企業だった。この侵害が発見されず、ランサムウェア攻撃が阻止されなかった場合、石油掘削装置の誤動作を引き起こし、人命に関わる重大な損失をもたらす可能性があった。
Guan Tianfeng and sichuan silence	Guan Tianfeng and sichuan silence
Guan is a Chinese national and was a security researcher at Sichuan Silence at the time of the compromise. Guan competed on behalf of Sichuan Silence in cybersecurity tournaments and posted recently discovered zero-day exploits on vulnerability and exploit forums, including under his moniker GbigMao. Guan was responsible for the April 2020 firewall compromise.	Guanは中国国籍で、漏洩当時はSichuan Silenceのセキュリティ研究者だった。GuanはSichuan Silenceを代表してサイバーセキュリティトーナメントに出場し、GbigMaoというニックネームで、脆弱性フォーラムやエクスプロイトフォーラムに最近発見されたゼロデイ・エクスプロイトを投稿していた。Guanは2020年4月のファイアウォール侵害の責任者だった。
Sichuan Silence is a Chengdu-based cybersecurity government contractor whose core clients are PRC intelligence services. Sichuan Silence provides these clients with computer network exploitation, email monitoring, brute-force password cracking, and public sentiment suppression products and services. Additionally, Sichuan Silence provides these clients with equipment designed to probe and exploit target network routers. A pre-positioning device used by Guan in the April 2020 firewall compromise was in fact owned by his employer, Sichuan Silence.	Sichuan Silenceは、成都を拠点とするサイバーセキュリティの政府請負業者であり、その中心的な顧客は中国の諜報機関である。Sichuan Silenceはこれらのクライアントに、コンピューター・ネットワーク搾取、電子メール監視、総当りパスワード・クラッキング、国民感情抑制の製品とサービスを提供している。さらに、四川サイレンス社は、標的のネットワーク・ルーターを調査し、悪用するように設計された機器をこれらのクライアントに提供している。2020年4月のファイアウォール侵害でグアンが使用した事前配置装置は、実際に彼の雇用主である四川省サイレンスが所有していた。
OFAC is designating Sichuan Silence and Guan pursuant to Executive Order (E.O.) 13694, as amended by E.O. 13757, for being responsible for or complicit in, or having engaged in, directly or indirectly cyber-enabled activities originating from, or directed by persons located, in whole or in substantial part, outside the United States that are reasonably likely to result in, or have materially contributed to, a significant threat to the national security, foreign policy, or economic health or financial stability of the United States and that have the purpose or effect of harming, or otherwise significantly compromising the provision of services by, a computer or network of computers that support one or more entities in a critical infrastructure sector.	OFACは、E.O.13757によって改正された大統領令（E.O.）13694に従って、四川サイレンスと関を指定している。13757 により修正された。米国外から発信された、または米国外にいる人物により指示された、直接的または間接的にサイバーを利用した活動の全部または実質的な一部に責任を負っているか、それに加担しているか、またはそれに関与している。その活動は、米国の国家安全保障、外交政策、または経済的健全性もしくは財政的安定に対する重大な脅威をもたらす可能性が合理的に高いか、それに重大な貢献をした。
SANCTIONS IMPLICATIONS	制裁の影響
As a result of today’s action, all property and interests in property of the designated persons described above that are in the United States or in the possession or the control of U.S. persons are blocked and must be reported to OFAC. In addition, any entities that are owned, directly or indirectly, individually or in the aggregate, 50 percent or more by one or more blocked persons are also blocked. Unless authorized by a general or specific license issued by OFAC, or exempt, OFAC’s regulations generally prohibit all transactions by U.S. persons or within (or transiting) the United States that involve any property or interests in property of designated or otherwise blocked persons.	本日の措置の結果、米国内にある、または米国人の所有もしくは管理下にある、上記の指定人物の財産および財産の権利はすべて封鎖され、OFACに報告しなければならない。さらに、直接的または間接的に、個人または総計で50％以上を1人または複数の指定された人物が所有している事業体もまた、封鎖される。OFACが発行した一般または特定のライセンスにより許可されるか、または免除されない限り、OFACの規制は一般的に、指定またはその他の方法でブロックされた人物の財産または財産に対する権益に関わる、米国人による、または米国内（または米国を通過する）でのすべての取引を禁止している。
In addition, financial institutions and other persons that engage in certain transactions or activities with the sanctioned entities and individuals may expose themselves to sanctions or be subject to an enforcement action. The prohibitions include the making of any contribution or provision of funds, goods, or services by, to, or for the benefit of any designated person, or the receipt of any contribution or provision of funds, goods, or services from any such person.	加えて、制裁対象団体や個人と特定の取引や活動を行う金融機関やその他の者は、制裁にさらされたり、強制措置の対象となる可能性がある。禁止事項には、指定された人物による、指定された人物への、または指定された人物の利益のための、資金、物品、またはサービスの寄付や提供、あるいはそのような人物からの資金、物品、またはサービスの寄付や提供の受領が含まれる。
The power and integrity of OFAC sanctions derive not only from OFAC’s ability to designate and add persons to the Specially Designated Nationals and Blocked Persons (SDN) List, but also from its willingness to remove persons from the SDN List consistent with the law. The ultimate goal of sanctions is not to punish, but to bring about a positive change in behavior. For information concerning the process for seeking removal from an OFAC list, including the SDN List, please refer to OFAC’s Frequently Asked Question 897 here. For detailed information on the process to submit a request for removal from an OFAC sanctions list, please click here.	OFACの制裁の権限と完全性は、OFACが特別指定国民及び要注意人物（SDN）リストに人物を指定し、追加する能力からだけでなく、法律に基づきSDNリストから人物を削除する意思からも派生する。制裁の最終的な目標は、罰することではなく、行動に前向きな変化をもたらすことである。SDNリストを含むOFACリストからの削除を求めるプロセスに関する情報については、OFACのよくある質問897を参照のこと。OFAC制裁リストからの削除要請の提出プロセスに関する詳細情報については、こちらを参照のこと。
Click here for more information on the individuals and entities designated today.	本日指定された個人および団体の詳細については、こちらを参照のこと。
###	###

ここで触れらている、米国情報機関の脅威報告書...

仮対訳をつけています...

↓

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.14 米国インテリジェンス・コミュニティによる2024年の脅威評価

2024.12.21 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 安全保障 | Permalink | Comments (0)
Tweet

2024.12.20

オーストラリア信号局情報セキュリティマニュアル 2024 (2024.12.12)

こんにちは、丸山満彦です。

オーストラリア信号局が情報セキュリティマニュアルを改訂していますね...（3ヶ月に一度されています...）

オーストラリアの情報セキュリティマニュアルの構成は、NISTのサイバーリスクフレームワークと同じですね...

GOVERN: Develop a strong cyber security culture.
IDENTIFY: Identify assets and associated security risks.
PROTECT: Implement controls to manage security risks.
DETECT: Detect and analyse cyber security events to identify cyber security incidents.
RESPOND: Respond to and recover from cyber security incidents.

対策における主な追加・修正...

CISOによるセキュリティプログラムの監督
悪質なコードの封じ込め
マネージドサービスプロバイダー・外部クラウドサービスプロバイダーの評価
システムや機器への物理的アクセスのコントロール
ネットワークや無線等の保護
スピーカー、ウェブカメラ、マイク等のコントロール
ブルートゥースのコントロール
OS、マクロ、ウェブアプリケーションのログの取得、保護
認証情報の保護
ソフトウェア廃止、サポート停止
ログ一元管理、イベントログの監視と維持
耐量子暗号
などなど...

● Australia Singnals Directrate; ASD

・Information Security Manual (ISM)

・・[PDF] Information Security Manual (December 2024)

目次...

Using the Information Security Manual	情報セキュリティマニュアルの利用
Executive summary	エグゼクティブサマリー
Applying a risk-based approach to cyber security	サイバーセキュリティへのリスクベースアプローチの適用
Cyber Security Principles	サイバーセキュリティの原則
The cyber security principles	サイバーセキュリティの原則
Guidelines for Cyber Security Roles	サイバーセキュリティの役割に関するガイドライン
Chief Information Security Officer	最高情報セキュリティ責任者
System owners	システムオーナー
Guidelines for Cyber Security Incidents	サイバーセキュリティインシデントに関するガイドライン
Managing cyber security incidents	サイバーセキュリティインシデントの管理
Responding to cyber security incidents	サイバーセキュリティインシデントへの対応
Guidelines for Procurement and Outsourcing	調達およびアウトソーシングに関するガイドライン
Cyber supply chain risk management	サイバーサプライチェーンリスクマネジメント
Managed services and cloud services	マネージドサービスおよびクラウドサービス
Guidelines for Security Documentation	セキュリティ文書化に関するガイドライン
Development and maintenance of security documentation	セキュリティ文書の作成と維持
System-specific security documentation	システム固有のセキュリティ文書
Guidelines for Physical Security	物理的セキュリティに関するガイドライン
Facilities and systems	施設およびシステム
IT equipment and media	IT機器およびメディア
Guidelines for Personnel Security	人的セキュリティに関するガイドライン
Cyber security awareness training	サイバーセキュリティ意識向上トレーニング
Access to systems and their resources	システムおよびリソースへのアクセス
Guidelines for Communications Infrastructure	通信インフラに関するガイドライン
Cabling infrastructure	ケーブルインフラ
Emanation security	放射セキュリティ
Guidelines for Communications Systems	通信システムに関するガイドライン
Telephone systems	電話システム
Video conferencing and Internet Protocol telephony	ビデオ会議およびIP電話
Fax machines and multifunction devices	ファクシミリおよび複合機
Guidelines for Enterprise Mobility	エンタープライズモビリティに関するガイドライン
Enterprise mobility	エンタープライズモビリティ
Mobile device management	モバイルデバイス管理
Mobile device usage	モバイルデバイスの使用
Guidelines for Evaluated Products	評価済み製品のガイドライン
Evaluated product procurement	評価済み製品の調達
Evaluated product usage	評価済み製品の使用
Guidelines for Information Technology Equipment	IT機器のガイドライン
IT equipment usage	IT機器の使用
IT equipment maintenance and repairs	IT機器の保守および修理
IT equipment sanitisation and destruction	IT機器の消去および破棄
IT equipment disposal	IT機器の廃棄
Guidelines for Media	メディアのガイドライン
Media usage	メディアの使用
Media sanitisation	メディアの消去
Media destruction	メディアの破棄
Media disposal	メディアの廃棄
Guidelines for System Hardening	システム強化のガイドライン
Operating system hardening	オペレーティングシステムの強化
User application hardening	ユーザーアプリケーションの強化
Server application hardening	サーバーアプリケーションの強化
Authentication hardening	本人認証の強化
Virtualisation hardening	仮想化の強化
Guidelines for System Management	システム管理に関するガイドライン
System administration	システム管理
System patching	システムのパッチ適用
Data backup and restoration	データのバックアップと復元
Guidelines for System Monitoring	システム監視に関するガイドライン
Event logging and monitoring	イベントのログ記録と監視
Guidelines for Software Development	ソフトウェア開発に関するガイドライン
Application development	アプリケーション開発
Web application development	ウェブアプリケーション開発
Guidelines for Database Systems	データベースシステムに関するガイドライン
Database servers	データベースサーバー
Databases	データベース
Guidelines for Email	電子メールに関するガイドライン
Email usage	電子メールの利用
Email gateways and servers	電子メールゲートウェイとサーバー
Guidelines for Networking	ネットワークに関するガイドライン
Network design and configuration	ネットワークの設計と構成
Wireless networks	ワイヤレスネットワーク
Service continuity for online services	オンラインサービスのサービス継続性
Guidelines for Cryptography	暗号化に関するガイドライン
Cryptographic fundamentals	暗号化の基礎
ASD-Approved Cryptographic Algorithms	ASD承認暗号アルゴリズム
ASD-Approved Cryptographic Protocols	ASD承認暗号プロトコル
Transport Layer Security	トランスポート層セキュリティ
Secure Shell	セキュアシェル
Secure/Multipurpose Internet Mail Extension	セキュア/多目的インターネットメール拡張
Internet Protocol Security	インターネットプロトコルセキュリティ
Guidelines for Gateways	ゲートウェイに関するガイドライン
Gateways	ゲートウェイ
Cross Domain Solutions	クロスドメインソリューション
Firewalls	ファイアウォール
Diodes	ダイオード
Web proxies	ウェブプロキシ
Web content filters	ウェブコンテンツフィルタ
Content filtering	コンテンツフィルタリング
Peripheral switches	周辺スイッチ
Guidelines for Data Transfers	データ転送に関するガイドライン
Data transfers	データ転送
Cyber Security Terminology	サイバーセキュリティ用語
Glossary of abbreviations	略語集
Glossary of cyber security terms	サイバーセキュリティ用語集

変更点について説明文書

・・[PDF] ISM December 2024 Changes (December 2024)

December 2024 Changes	2024年12月の変更点
A summary of the content changes for the latest update of the Information Security Manual (ISM) are covered below.	情報セキュリティマニュアル（ISM ）の最新更新における内容の変更点の概要は、以下の通りである。
Using the Information Security Manual	情報セキュリティマニュアルを使用する
Select controls	管理策を選択する
The ‘NC’ applicability marking has been introduced for controls applicable to non-classified systems used by either government or non-government entities. In doing so, the ‘All’ applicability that previously captured such systems has been replaced by the ‘NC, OS, P, S, TS’ applicability marking. Note, government entities operating non-classified systems can continue to refer to them as OFFICIAL systems.	政府機関または非政府機関が使用する非機密システムに適用されるコントロールに、「NC」適用可能マークが導入された。これにより、従来はこのようなシステムを「All」適用可能としていたが、「NC, OS, P, S, TS」適用可能マーキングに変更された。なお、非分類システムを運用する政府機関は、それらを引き続き公式システムと呼ぶことができる。
Guidelines for Cyber Security Roles	サイバーセキュリティの役割に関するガイドライン
Overseeing the cyber security program	サイバーセキュリティプログラムの監督
A new control was added recommending that the CISO develops, implements, maintains and verifies on a regular basis a register of systems used by their organisation. [ISM-1966]	CISO は、組織が使用するシステムの登録簿を作成し、実施し、維持し、定期的に検証することを推奨する新たな統制が追加された。[ISM-1966］
Protecting systems and their resources	システムとそのリソースの保護
The existing control recommending that system owners ensure controls for each system and its operating environment are assessed to determine if they have been implemented correctly and are operating as intended was split into two controls to clearly articulate that non-classified, OFFICIAL: Sensitive, PROTECTED and SECRET systems can be assessed by an organisation’s own assessors or an IRAP assessor while TOP SECRET systems, including sensitive compartmented information systems, need to be assessed by ASD assessors (or their delegates). [ISM-1636, ISM-1967]	システム所有者が、各システムとその運用環境の統制が正しく実装され、意図されたとおりに運用されているかどうかを判断するために評価されることを保証することを推奨する既存の統制は、非機密、公式：機微、保護及び機密システムは、組織独自の評価者または IRAP 評価者が評価することができるが、機微コンパートメント情報システムを含む TOP SECRET システムは、ASD 評価者（またはその委任者）が評価する必要があることを明確にするために、2 つの統制に分割された。[ISM-1636, ISM-1967]
The existing control recommending that system owners obtain authorisation to operate each system from its authorising officer based on the acceptance of the security risks associated with its operation was split into two controls to clearly articulate that only Director-General ASD (or their delegate) can accept security risks associated with the operation of TOP SECRET systems, including sensitive compartmented information systems. [ISM-0027, ISM-1968]	システム所有者が、その運用に関連するセキュリティリスクを受諾することに基づいて、各システムを運用する認可をその認可担当官から得ることを推奨する既存の管理は、機密コンパートメント情報システムを含む TOP SECRET システムの運用に関連するセキュリティリスクを受諾できるのは、ASD 局長（またはその代理）だけであることを明確に示すために、2 つの管理に分割された。[ISM-0027, ISM-1968] を参照のこと。
Guidelines for Cyber Security Incidents	サイバー・セキュリティ・インシデントに関するガイドライン
Handling and containing malicious code infections	悪質なコード感染への対処と封じ込め
A new control was added recommending that malicious code, when stored or communicated, is treated beforehand to prevent accidental execution. [ISM-1969]	悪意のあるコードが保存または通信される場合、誤って実行されないように事前に処理することを推奨する新しい管理が追加された。[ISM-1969]
A new control was added recommending that malicious code processed for cyber security incident response or research purposes is done so in a dedicated analysis environment that is segregated from other systems. [ISM-1970]	サイバーセキュリティのインシデント対応や研究目的で処理される悪意のあるコードは、他のシステムから分離された専用の分析環境で処理されることを推奨する新たな管理が追加された。[ISM-1970］
Guidelines for Procurement and Outsourcing	調達及びアウトソーシングに関するガイドライン
Assessment of managed service providers	マネージドサービスプロバイダの評価
The existing control recommending that managed service providers and their managed services undergo a security assessment by an IRAP assessor at least every 24 months was amended to specify that this recommendation relates to non-classified, OFFICIAL: Sensitive, PROTECTED and SECRET managed services. In addition, the recommendation was amended to specify that the latest release of the ISM available prior to the beginning of the IRAP assessment (or a subsequent release) needs to be used. [ISM-1793]	マネージドサービスプロバイダ及びそのマネージドサービスが、少なくとも 24 カ月ごとに IRAP 評価者によるセキュリティ評価を受けることを推奨する既存の管理は、この推奨が非分類、公式：機密、保護及び秘密のマネージドサービスに関するものであることを明記するために修正された。さらに、IRAP 評価の開始前に入手可能な ISM の最新リリース（またはその後のリリース）を使用する必要があることを明記するために、勧告が修正された。[ISM-1793]
A new control was added recommending that managed service providers and their TOP SECRET managed services, including sensitive compartmented information managed services, undergo a security assessment by ASD assessors (or their delegates), using the latest release of the ISM available prior to the beginning of the security assessment (or a subsequent release), at least every 24 months. [ISM-1971]	機密区画情報管理サービスを含む、管理されたサービスプロバイダとその TOP SECRET 管理サービスは、セキュリティ評価開始前に入手可能な ISM の最新リリース（またはその後のリリース）を使用して、ASD 評価者（またはその代理人）によるセキュリティ評価を、少なくとも 24 ヶ月ごとに受けることを推奨する新しい管理が追加された。[ISM-1971］
Assessment of outsourced cloud service providers	外部委託クラウドサービスプロバイダのアセスメント
The existing control recommending that outsourced cloud service providers and their cloud services undergo a security assessment by an IRAP assessor at least every 24 months was amended to specify that this recommendation relates to non-classified, OFFICIAL: Sensitive, PROTECTED and SECRET cloud services. In addition, the recommendation was amended to specify that the latest release of the ISM available prior to the beginning of the IRAP assessment (or a subsequent release) needs to be used. [ISM-1570]	外部委託クラウドサービスプロバイダー及びそのクラウドサービスが、少なくとも 24 カ月ごとに IRAP アセッサーによるセキュリティアセスメントを受けることを推奨する既存の管理は、この推奨が非分類、 OFFICIAL：機密、PROTECTED 及び SECRET クラウドサービスに関連することを明記するために修正された。さらに、IRAP 評価の開始前に入手可能な ISM の最新リリース（またはその後のリリース）を使用する必要があることを明記するために、勧告が修正された。[ISM-1570]
A new control was added recommending that outsourced cloud service providers and their TOP SECRET cloud services, including sensitive compartmented information cloud services, undergo a security assessment by ASD assessors (or their delegates), using the latest release of the ISM available prior to the beginning of the security assessment (or a subsequent release), at least every 24 months. [ISM-1972]	機密区画情報クラウドサービスを含む、外部委託クラウドサービスプロバイダとその TOP SECRET クラウドサービスは、セキュリティアセスメント開始前に入手可能な ISM の最新リリース（またはその後のリリース）を使用して、ASD 評価者（またはその代理人）によるセキュリティアセスメントを少なくとも 24 ヶ月ごとに受けることを推奨する新たな管理が追加された。[ISM-1972］
Guidelines for Physical Security	物理的セキュリティに関するガイドライン
Physical access to systems	システムへの物理的アクセス
A new control was added recommending that non-classified systems are secured in suitably secure facilities. [ISM-1973]	非機密システムを適切に安全な施設に保護することを推奨する新たな管理が追加された。[ISM-1973］
The existing control recommending that systems are secured in facilities that meet the requirements for a security zone suitable for their classification was amended to specify that this recommendation relates to classified systems. [ISM-0810]	システムが、その分類に適したセキュリティゾーンの要件を満たす施設で保護されることを推奨する既存の管理は、この推奨が分類されたシステムに関するものであることを明記するために修正された。[ISM-0810]
Physical access to servers, network devices and cryptographic equipment	サーバー、ネットワーク機器、暗号機器への物理的アクセス
A new control was added recommending that non-classified servers, network devices and cryptographic equipment are secured in suitably secure server rooms or communications rooms. [ISM-1974]	非分類サーバー、ネットワーク機器、暗号機器は、適切に安全なサーバー室または通信室で保護されることを推奨する新たな管理が追加された。[ISM-1974]
The existing control recommending that servers, network devices and cryptographic equipment are secured in server rooms or communications rooms that meet the requirements for a security zone suitable for their classification was amended to specify that this recommendation relates to classified servers, network devices and cryptographic equipment. [ISM-1053]	サーバ、ネットワーク機器、暗号化機器は、その分類に適したセキュリティゾーンの要件を満たすサーバルームまたは通信室で保護されることを推奨する既存の管理策を修正し、この推奨が機密サーバ、ネットワーク機器、暗号化機器に関するものであることを明記した。[ISM-1053]
A new control was added recommending that non-classified servers, network devices and cryptographic equipment are secured in suitably secure security containers. [ISM-1975]	非分類サーバー、ネットワーク機器、暗号化機器は、適切に安全なセキュリティーコンテナで保護されることを推奨する新しい管理策を追加した。[ISM-1975]
The existing control recommending that servers, network devices and cryptographic equipment are secured in security containers or secure rooms suitable for their classification taking into account the combination of security zones they reside in was amended to specify that this recommendation relates to classified servers, network devices and cryptographic equipment. In addition, the control was amended to remove the reference to secure rooms. [ISM-1530]	サーバ、ネットワーク機器および暗号化機器は、それらが存在するセキュリティゾーンの組み合わせを考慮し、それらの分類に適したセキュリティコンテナまたはセキュリティルームで保護されることを推奨する既存の管理策を修正し、この推奨が分類されたサーバ、ネットワーク機器および暗号化機器に関するものであることを明記した。加えて、安全な部屋に関する言及を削除するため、管理が修正された。[ISM-1530]
The existing control recommending that server rooms, communications rooms, security containers and secure rooms are not left in unsecured states was amended to remove the reference to secure rooms. [ISM-0813]	サーバ室、通信室、セキュリティコンテナ、セキュリティルームを非セキュアな状態で放置しないことを推奨する既存の管理を修正し、セキュリティルームへの言及を削除した。[ISM-0813]
The existing control recommending that keys or equivalent access mechanisms to server rooms, communications rooms, security containers and secure rooms are appropriately controlled was amended to remove the reference to secure rooms. [ISM-1074]	サーバ室、通信室、セキュリティコンテナ及び安全な部屋への鍵又は同等のアクセス機構が適切に管理されることを推奨する既存の管理基準を修正し、安全な部屋への言及を削除した。[ISM-1074]。
Guidelines for Communications Infrastructure	通信インフラに関するガイドライン
Cable colours	ケーブルの色
The existing control recommending that OFFICIAL: Sensitive and PROTECTED cables are coloured neither salmon pink nor red was expanded to include non-classified cables. [ISM-0926]	OFFICIAL: 機密及び保護されたケーブルの色は、サーモンピンクでも赤でもないことを推奨する既存の管理は、非分類ケーブルを含むように拡張された。[ISM-0926］
Cable inspectability	ケーブルの検査可能性
The existing control recommending that cables are inspectable at a minimum of five-metre intervals was amended to clarify that cables should be inspectable every five-metres or less. [ISM-1112]	ケーブルが最低 5 メートル間隔で検査可能であることを推奨する既存の管理は、ケーブルが 5 メートル以下ごとに検査可能であるべきであることを明確にするために修正された。[ISM-1112］
Wall outlet box colours	壁コンセントボックスの色
The existing control recommending that OFFICIAL: Sensitive and PROTECTED wall outlet boxes are coloured neither salmon pink nor red was expanded to include non-classified wall outlet boxes. [ISM-1107]	OFFICIAL: Sensitive and PROTECTEDの壁コンセントボックスの色は、サーモンピンクでも赤でもないことを推奨する既存の管理は、非分類壁コンセントボックスを含むように拡大された。[ISM-1107］
Emanation security threat assessments	発散セキュリティ脅威評価
The existing control recommending that system owners deploying OFFICIAL: Sensitive or PROTECTED systems with radio frequency transmitters (including any wireless capabilities) that will be located within 20 meters of SECRET or TOP SECRET systems contact ASD for an emanation security threat assessment has been rescinded. [ISM-0248]	機密または最高機密システムから20メートル以内に配置される無線周波数トランスミッタ（無線機能を含む）を持つ、機密または保護されたシステムを展開するシステム所有者が、発散セキュリティ脅威評価のためにASDに連絡することを推奨する既存の管理は、取り消された。[ISM-0248]
Existing controls relating to emanation security threat assessments, that included OFFICIAL: Sensitive and PROTECTED systems within their scope, have been re-scoped to apply exclusively to SECRET and TOP SECRET systems. [ISM-0246, ISM-1885]	発散セキュリティ脅威アセスメントに関連する既存の管理は、その範囲に機密および保護されたシステムを含んでいたが、SECRET および TOP SECRET システムにのみ適用されるように再設定された。[ISM-0246, ISM-1885]
Guidelines for Communications Systems	通信システムのガイドライン
Speakerphones	スピーカーフォン
The existing control recommending that speakerphones are not used on telephone systems in TOP SECRET areas unless the telephone system is located in an audio secure room, the room is audio secure during conversations and only personnel involved in conversations are present in the room was expanded to include non-classified telephone systems. [ISM-0235]	電話システムがオーディオセキュア・ルームに設置され、そのルームが会話中もオーディオセキュアであり、そのルームに会話に関与する要員のみが存在する場合を除き、TOP SECRETエリアの電話システムでスピーカーフォンを使用しないことを推奨する既存の管理は、非機密電話システムにも適用されるように拡張された。[ISM-0235］
Off-hook audio protection	オフフックオーディオ保護
The existing control recommending that in SECRET and TOP SECRET areas, push-to-talk handsets or push-to-talk headsets are used to meet any off-hook audio protection requirements was expanded to include non-classified telephone systems. [ISM-0931]	SECRETおよびTOP SECRETエリアでは、プッシュ・ツー・トーク・ハンドセットまたはプッシュ・ツー・トーク・ヘッドセットを使用して、オフフック・オーディオ保護要件を満たすことを推奨する既存の管理は、非機密電話システムを含めるように拡張された。[ISM-0931］
Microphones and webcams	マイクおよびウェブカメラ
The existing control recommending that microphones (including headsets and USB handsets) and webcams are not used with non-SECRET workstations in SECRET areas was expanded to include non-classified workstations. [ISM-0559]	マイク（ヘッドセットと USB ハンドセットを含む）とウェブカメラを、機密エリア内の非秘密ワークステーションで使用しないことを推奨する既存の管理は、非機密ワークステーションを含むように拡張された。[ISM-0559]
The existing control recommending that microphones (including headsets and USB handsets) and webcams are not used with non-TOP SECRET workstations in TOP SECRET areas was expanded to include non-classified workstations. [ISM-1450]	トップシークレットエリアにおいて、トップシークレット以外のワークステーションでマイク（ヘッドセットおよび USB ハンドセットを含む）およびウェブカメラを使用しないことを推奨する既存の管理は、非機密ワークステーションを含むように拡張された。[ISM-1450］
Guidelines for Enterprise Mobility	エンタープライズモビリティのガイドライン
Using Bluetooth functionality	ブルートゥース機能の使用
Existing controls relating to the use of Bluetooth functionality with OFFICIAL: Sensitive and PROTECTED mobile devices were expanded to include non-classified mobile devices. [ISM-1196, ISM-1198, ISM-1199, ISM-1200]	ブルートゥース機能の使用に関連する既存のコントロール　OFFICIAL: 機密および保護されたモバイル機器での Bluetooth 機能の使用に関連する既存の管理は、非機密モバイル機器にも拡大された。[SM-1196、SM-1198、SM-1199、SM-1200]。
Guidelines for System Hardening	システムハードニングのガイドライン
Operating system event logging	オペレーティングシステムのイベントロギング
A new control was added recommending that security-relevant events for Apple macOS operating systems are centrally logged. [ISM-1976]	Apple macOS オペレーティングシステムのセキュリティ関連イベントを一元的にログ記録することを推奨する新しい管理方法が追加された。[ISM-1976]
A new control was added recommending that security-relevant events for Linux operating systems are centrally logged. [ISM-1977]	Linux OS のセキュリティ関連イベントを一元的にログ記録することを推奨する、新しいコントロールが追加された。[ISM-1977]
The existing control recommending that security-relevant events for operating systems are centrally logged, including […] was simplified and re-scoped to Microsoft Windows operating systems. [ISM-0582]	オペレーティングシステムのセキュリティ関連イベントを一元的にログ記録することを推奨する既存のコントロール（[...]を含む）が簡素化され、Microsoft Windows オペレーティングシステムに再対象化された。[ISM-0582］
Microsoft Office macros	Microsoft Office マクロ
The existing control recommending that allowed and blocked Microsoft Office macro execution events are centrally logged was rescinded. [ISM-1677]	許可およびブロックされたMicrosoft Officeマクロ実行イベントが一元的にログに記録されることを推奨する既存のコントロールが取り消された。[ISM-1677］
Server application event logging	サーバーアプリケーションイベントのログ
A new control was added recommending that security-relevant events for server applications on internet-facing servers are centrally logged. [ISM-1978]	インターネットに面したサーバ上のサーバアプリケーションのセキュリティ関連イベントを一元的に記録することを推奨する新しいコントロールが追加された。[ISM-1978]
A new control was added recommending that security-relevant events for server applications on non-internet-facing servers are centrally logged. [ISM-1979]	インターネットに面していないサーバー上のサーバーアプリケーションのセキュリティ関連イベントを一元的に記録することを推奨する、新しいコントロールが追加された。[ISM-1979］
Protecting credentials	認証情報の保護
A new control was added recommending that credential hint functionality is not used for systems. [ISM-1980]	システムにクレデンシャルヒント機能を使用しないことを推奨する、新しいコントロールが追加された。[ISM-1980]
The existing control recommending that credentials are kept separate from systems they are used to authenticate to, except for when performing authentication activities was amended to reflect that the control relates to physical credentials, such as written down memorised secrets, security keys, smart cards and one-time password tokens. [ISM-0418]	認証活動を実行するときを除き、本人認証を認証に使用するシステムから分離しておくことを推奨する既存の管理は、書き留めた秘密情報、セキュリティ・キー、スマート・カード、ワンタイム・パスワード・トークンなどの物理的なクレデンシャルに関連する管理であることを反映するように修正された。[ISM-0418]
Guidelines for System Management	システム管理ガイドライン
Software register	ソフトウェア登録
The existing control recommending that software registers for workstations, servers, network devices and other IT equipment are developed, implemented, maintained and verified on a regular basis was amended to re-scope ‘other IT equipment’ to ‘networked IT equipment’. [ISM-1493]	ワークステーション、サーバ、ネットワーク機器、その他の IT 機器のソフトウェア登録簿が、定期的に開発、実施、維持、検証されることを推奨する既存の管理は、「その他の IT 機器」を「ネットワーク化された IT 機器」に再分類するよう修正された。[ISM-1493］
Cessation of support	サポートの停止
The existing control recommended that network devices and other IT equipment that are no longer supported by vendors are replaced was split into three controls focusing on internet-facing network devices, non-internet-facing network devices and networked IT equipment. [ISM-1753, ISM-1981, ISM-1982]	ベンダーのサポートが終了したネットワーク機器およびその他の IT 機器を交換することを推奨する既存の管理は、インターネットに面したネットワーク機器、インターネットに面していないネットワーク機器、およびネットワーク化された IT 機器に焦点を当てた 3 つの管理に分割された。[ISM-1753, ISM-1981, ISM-1982]
The existing control recommending that when applications, operating systems, network devices or other IT equipment that are no longer supported by vendors cannot be immediately removed or replaced, compensating controls are implemented until such time that they can be removed or replaced was amended to re-scope ‘other IT equipment’ to ‘networked IT equipment’. [ISM-1809]	ベンダーのサポートが終了したアプリケーション、オペレーティングシステム、ネットワークデバイス、またはその他の IT 機器を直ちに削除または交換できない場合、削除または交換できるようになるまで補償管理を実施することを推奨する既存の管理は、「その他の IT 機器」を「ネットワーク化された IT 機器」にスコープを変更するために修正された。[ISM-1809］
Guidelines for System Monitoring	システム監視のガイドライン
Centralised event logging facility	集中型イベントロギング機能
The existing control recommended that a centralised event logging facility is implemented and event logs are sent to the facility as soon as possible after they occur was split into two controls. [ISM-1405, ISM-1983]	一元化されたイベントロギング施設を導入し、イベント発生後できるだけ早くイベントログを施設に送信することを推奨する既存の管理は、2つの管理に分割された。[ISM-1405, ISM-1983]
A new control was added recommending that event logs sent to a centralised event logging facility are encrypted in transit. [ISM-1984]	集中型イベントロギング施設に送信されるイベントログは、転送中に暗号化されることを推奨する新しいコントロールが追加された。[ISM-1984]
A new control was added recommending that event logs are protected from unauthorised access. [ISM-1985]	イベントログが不正アクセスから保護されることを推奨する新しい管理策が追加された。[ISM-1985] イベントログの監視
Event log monitoring	イベントログの監視
A new control was added recommending that event logs from critical servers are analysed in a timely manner to detect cyber security events. [ISM-1986]	重要なサーバーのイベントログを適時に分析し、サイバーセキュリティイベントを検知することを推奨する新しい管理策が追加された。[ISM-1986]
A new control was added recommending that event logs from security products are analysed in a timely manner to detect cyber security events. [ISM-1987]	サイバーセキュリティイベントを検知するために、セキュリティ製品のイベントログを適時に分析することを推奨する新しい管理策が追加された。[ISM-1987］
Event log retention	イベントログの保持
The existing control recommending that event logs, excluding those for Domain Name System services and web proxies, are retained for at least seven years was rescinded. [ISM-0859]	ドメインネームシステムサービスとウェブプロキシに関するものを除くイベントログを少なくとも 7 年間保持することを推奨する既存の管理策が取り消された。[ISM-0859]
The existing control recommending that event logs for Domain Name System services and web proxies are retained for at least 18 months was rescinded. [ISM-0991]	ドメインネームシステムサービスとWebプロキシのイベントログを少なくとも18ヶ月間保持することを推奨する既存の管理は取り消された。[ISM-0991]
A new control was added recommending that event logs are retained in a searchable manner for at least 12 months. [ISM-1988]	イベントログを少なくとも12カ月間、検索可能な方法で保持することを推奨する新しい管理が追加された。[ISM-1988]
A new control was added recommending that event logs are retained as per minimum retention requirements for various classes of records as set out by the National Archives of Australia’s Administrative Functions Disposal Authority Express (AFDA Express) Version 2 publication. [ISM-1989]	イベントログが、オーストラリア国立公文書館の行政機能廃棄権限エクスプレス（AFDAエクスプレス）バージョン2出版物で規定されている、様々なクラスの記録の最小保存要件に従って保持されることを推奨する、新しい管理が追加された。[ISM-1989］
Guidelines for Networking	ネットワークに関するガイドライン
Network access controls	ネットワークアクセス制御
The existing control recommending that network access controls are implemented on networks to prevent the connection of unauthorised network devices and other IT equipment was amended to re-scope ‘other IT equipment’ to ‘networked IT equipment’. [ISM-0520]	許可されていないネットワーク機器およびその他のIT機器の接続を防止するために、ネットワーク上でネットワークアクセス制御を実装することを推奨する既存の制御は、「その他のIT機器」を「ネットワーク化されたIT機器」に再スコープするように修正された。[ISM-0520］
Guidelines for Cryptography	暗号技術に関するガイドライン
ASD-Approved Cryptographic Algorithms	ASDが承認した暗号アルゴリズム
The following cryptographic algorithms have been approved as ASD-Approved Cryptographic Algorithms and endorsed for the following purposes:	以下の暗号アルゴリズムは、ASD-Approved Cryptographic Algorithms として承認され、以下の目的で承認された：
§ Module-Lattice-Based Digital Signature Algorithm (ML-DSA) for digital signatures	§ モジュール-格子に基づくデジタル署名アルゴリズム（ML-DSA）。
§ Module-Lattice-Based Key Encapsulation Mechanism (ML-KEM) for encapsulating encryption session keys (and similar keys).	デジタル署名のためのモジュール-格子に基づくデジタル署名アルゴリズム（ML-DSA） § 暗号化セッション鍵（および類似の鍵）をカプセル化するためのモジュール-格子に基づく鍵カプセル化機構（ML-KEM）。
Clarification has been provided that Secure Hashing Algorithm 2 (SHA-2) is the only approved hashing algorithm for general purpose use. However, Secure Hashing Algorithm 3 (SHA-3), including its extendable-output functions (XOFs), has been approved exclusively for use within ML-DSA and ML-KEM.	Secure Hashing Algorithm 2 (SHA-2)が、汎用用途で承認された唯一のハッシュアルゴリズムであることが明確化された。しかし、拡張可能出力関数(XOF)を含むSecure Hashing Algorithm 3 (SHA-3)は、ML-DSAおよびML-KEM内での使用に限定して承認されている。
Using Diffie-Hellman	Diffie-Hellmanの使用
The existing control recommending that when using DH for agreeing on encryption session keys, a modulus of at least 2048 bits is used, preferably 3072 bits was extended to the protection of non-classified data. [ISM-0472]	暗号化セッション鍵の合意に DH を使用する場合、少なくとも 2048 ビット、できれば 3072 ビットのモジュラスを使用することを推奨する既存の管理者は、非機密データの保護に拡張された。[ISM-0472]を参照のこと。
Using Elliptic Curve Diffie-Hellman	楕円曲線Diffie-Hellmanの使用
The existing control recommending that when using ECDH for agreeing on encryption session keys, a base point order and key size of at least 224 bits is used, preferably the NIST P-384 curve was extended to the protection of nonclassified data. [ISM-0474]	暗号化セッション鍵の合意に ECDH を使用する場合、少なくとも 224 ビットの基点次数と鍵サイズ、望ましくは NIST P-384 カーブを使用することを推奨する既存の管理者が、非機密データの保護に拡張された。[ISM-0474］
Using the Elliptic Curve Digital Signature Algorithm	楕円曲線デジタル署名アルゴリズムの使用
The existing control recommending that when using ECDSA for digital signatures, a base point order and key size of at least 224 bits is used, preferably the P-384 curve was extended to the protection of non-classified data. [ISM-0475]	ECDSAをデジタル署名に使用する場合、少なくとも224ビットの基点順序と鍵サイズを使用することを推奨する既存の管理者は、好ましくはP-384曲線を非機密データの保護に拡張した。[ISM-0475]。
Using post-quantum cryptographic algorithms	ポスト量子暗号アルゴリズムの使用
A new control was added recommending that when using ML-DSA and ML-KEM, as per FIPS 204 and FIPS 203 respectively, adherence to pre-requisite FIPS publications is preferred. [ISM-1990]	ML-DSA および ML-KEM を使用する場合、それぞれ FIPS 204 および FIPS 203 に従い、前提条件となる FIPS 出版物に準拠することを推奨する新しいコントロールが追加された。[ISM-1990］
Using the Module-Lattice-Based Digital Signature Algorithm	モジュール-格子に基づく電子署名アルゴリズムの使用
A new control was added recommending that when using ML-DSA for digital signatures, ML-DSA-65 or ML-DSA-87 is used, preferably ML-DSA-87. [ISM-1991]	デジタル署名にML-DSAを使用する場合、ML-DSA-65またはML-DSA-87を使用することを推奨する。[ISM-1991]
A new control was added recommending that when using ML-DSA for digital signatures, the hedged variant is used whenever possible. [ISM-1992]	電子署名にML-DSAを使用する場合、可能な限りヘッジ付きバリアントを使用することを推奨する新しい制御が追加された。[ISM-1992]
A new control was added recommending that pre-hashed variants of ML-DSA-65 and ML-DSA-87 are only used when the performance of default variants is unacceptable. [ISM-1993]	ML-DSA-65とML-DSA-87のプリハッシュされた亜種は、デフォルトの亜種の性能が受け入れられない場合にのみ使用することを推奨する新しい制御が追加された。[ISM-1993]
A new control was added recommending that when the pre-hashed variants of ML-DSA-65 and ML-DSA-87 are used, at least SHA-384 and SHA-512 respectively are used for pre-hashing. [ISM-1994]	ML-DSA-65とML-DSA-87のプリハッシュされた亜種が使用される場合、少なくともそれぞれ SHA-384とSHA-512をプリハッシュに使用することを推奨する新しい制御が追加された。[ISM-1994］
Using the Module-Lattice-Based Key Encapsulation Mechanism	モジュール格子ベースの鍵カプセル化機構を使用する
A new control was added recommending that when using ML-KEM for encapsulating encryption session keys (and similar keys), ML-KEM-768 or ML-KEM-1024 is used, preferably ML-KEM-1024. [ISM-1995]	暗号化セッション鍵(および類似の鍵)のカプセル化にML-KEMを使用する場合、 ML-KEM-768またはML-KEM-1024を使用することを推奨する。[ISM-1995]を参照のこと。
Using Rivest-Shamir-Adleman	Rivest-Shamir-Adlemanの使用
The existing control recommending that when using RSA for digital signatures, and passing encryption session keys or similar keys, a modulus of at least 2048 bits is used, preferably 3072 bits was extended to the protection of nonclassified data. [ISM-0476]	デジタル署名に RSA を使用し、暗号化セッション鍵または類似の鍵を渡す場合、少なくとも 2048 ビット、望ましくは 3072 ビットのモジュラスを使用することを推奨する既存の管理者は、非機密データの保護に拡張された。[ISM-0476］
Using Secure Hashing Algorithms	安全なハッシュアルゴリズムの使用
The existing control recommending that when using SHA-2 for hashing, an output size of at least 224 bits is used, preferably SHA-384 was amended to ‘preferably SHA-384 or SHA-512’ and extended to the protection of nonclassified data. [ISM-1766]	ハッシュに SHA-2 を使用する場合、少なくとも 224 ビットの出力サイズを使用し、好ましくは SHA-384 を使用することを推奨する既存の管理者を、「好ましくは SHA-384 または SHA-512」に修正し、非機密データの保護に拡張した。[ISM-1766]
The existing control recommending that when using SHA-2 for hashing, an output size of at least 256 bits is used, preferably SHA-384 was amended to ‘preferably SHA-384 or SHA-512’. [ISM-1767]	ハッシングにSHA-2を使用する場合、少なくとも256ビットの出力サイズを使用すること、好ましくはSHA-384を使用することを推奨する既存のコントロールを、「好ましくはSHA-384またはSHA-512」に修正した。[ISM-1767]
The existing control recommending that when using SHA-2 for hashing, an output size of at least 384 bits is used, preferably SHA-384 was amended to ‘preferably SHA-384 or SHA-512’. [ISM-1768]	ハッシュにSHA-2を使用する場合、少なくとも384ビットの出力サイズを使用すること、好ましくはSHA-384を使用することを推奨する既存の制御を、「好ましくはSHA-384またはSHA-512」に修正した。[ISM-1768］
Using symmetric cryptographic algorithms	対称暗号アルゴリズムの使用
The existing control recommending that when using AES for encryption, AES-128, AES-192 or AES-256 is used, preferably AES-256was extended to the protection of non-classified data. [ISM-1769]	暗号化に AES を使用する場合、AES-128、AES-192 または AES-256 を使用すること、好ましくは AES-256 を使用することを推奨する既存の管理者を、非機密データの保護に拡張した。[ISM-1769］
Transitioning to post-quantum cryptography	ポスト量子暗号への移行
The existing control recommending that future cryptographic requirements and dependencies are considered during the transition to post-quantum cryptographic standards was replaced with a recommendation that the development and procurement of new cryptographic equipment and software ensures support for the use of ML-DSA-87, ML-KEM1024, SHA-384, SHA-512 and AES-256 by no later than 2030. [ISM-1917]	ポスト量子暗号標準への移行中に、将来の暗号要件と依存関係を考慮することを推奨する既存の管理は、新しい暗号機器とソフトウェアの開発と調達において、遅くとも 2030 年までに ML-DSA-87、ML-KEM1024、SHA-384、SHA-512、AES-256 の使用を確実にサポートすることを推奨することに変更された。[ISM-1917］
Post-quantum traditional hybrid schemes	ポスト量子伝統的ハイブリッド方式
A new control was added recommending that when a post-quantum traditional hybrid scheme is used, either the postquantum cryptographic algorithm, the traditional cryptographic algorithm or both are AACAs. [ISM-1996]	ポスト量子トラディショナルハイブリッド方式を使用する場合、ポスト量子暗号アルゴリズム、トラディショナル暗号アルゴリズムのいずれか、または両方を AACA とすることを推奨する新しい制御が追加された。[ISM-1996］
Miscellaneous	その他
References to ‘accounts’ were changed to ‘user accounts’ in order to more closely match Microsoft Active Directory account types (i.e. ‘users’ and ‘computers’).	MicrosoftのActive Directoryのアカウントタイプ(すなわち「ユーザー」と「コンピュータ」)に近づけるため、「アカウント」への参照を「ユーザーアカウント」に変更した。
[ISM-0380, ISM-0383, ISM-1146, ISM-1247, ISM-1249, ISM-1250, ISM-1260, ISM-1304, ISM-1403, ISM-1554, ISM-1555, ISM-1556, ISM-1806]	[ism-0380、ism-0383、ism-1146、ism-1247、ism-1249、ism-1250、ism-1260、ism-1304、ism-1403、ism-1554、ism-1555、ism-1556、ism-1806]。
A number of existing controls were reworded for increased clarity without changing their intent. [ISM-0421, ISM-0477, ISM-1400, ISM-1482, ISM-1559, ISM-1607, ISM-1765]	多くの既存のコントロールは、その意図を変えることなく、より明確にするために文言が変更された。[ism-0421、ism-0477、ism-1400、ism-1482、ism-1559、ism-1607、ism-1765]。
Contact details	連絡先
If you have any questions regarding this guidance you can write to us or call us on 1300 CYBER1 (1300 292 371).	本ガイダンスに関してご質問がある場合は、書面または電話（1300 CYBER1 (1300 292 371)）にてお問い合わせいただきたい。

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.15 オーストラリア信号局サイバーセキュリティ原則 (2024.06.13)

・2021.03.07 Australia 政府の情報セキュリティマニュアルは毎月更新されますね。。。

2024.12.20 19:45 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in 量子技術 | Permalink | Comments (0)
Tweet

個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第310回委員会、第6-7回検討会）

こんにちは、丸山満彦です。

前回紹介してから、少し時間がたっているので、まとめて紹介！

検討会報告書（案）が公表されていますね...

議論されて、少しかわりますかね...

課徴金についてもかなり丁寧に触れられていますね...

・2024.12.17 [PDF] 検討会報告書（案）

【目次】

第１はじめに
１開催の背景
２検討に影響を与える事項

第４おわりに

参考

● 個人情報保護委員会

・・個人情報保護委員会開催状況

・・個人情報保護法のいわゆる３年ごと見直しに関する検討会

・・個人情報保護法　いわゆる３年ごと見直しについて

2024.12.18	第７回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	現行制度と検討の方向性について（課徴金制度③）
資料２	検討会報告書（案）
参考資料１	これまでの主な論点及び関連御意見
参考資料２	第２回～第６回検討会における主な御意見
参考資料３	関係参考資料
参考資料4	「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について
議事録
2024.12.17	第310回個人情報保護委員会
資料１－１	「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について
資料１－２	事務局ヒアリングにおける主な御意見
参考資料１－１
参考資料１－２	事務局ヒアリングの各参加者提出資料
	議事概要
	議事録
2024.11.28	第６回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	現行制度と検討の方向性について（課徴金制度②）
資料２	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度③）
資料３	これまでの主な論点及び関連御意見 (PDF : 2006KB)
参考資料１	第２回～第５回検討会における主な御意見
議事録	第６回個人情報保護法のいわゆる３年ごと見直しに関する検討会

2024.11.12	第５回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	国内他法令における課徴金額の算定方法等について
資料２	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度②）
資料３	認定個人情報保護団体制度について
資料４	第４回までの主な論点及び関連意見
資料５	個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点・今後の検討の進め方
参考資料１	第２回～第４回検討会における主な御意見
参考資料２	関係参考資料
議事録	第５回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.10.16	第304回個人情報保護委員会
資料１－１	個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点（案）
資料１－２	今後の検討の進め方
	議事概要
	議事録
2024.10.11	第４回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	全国消費生活相談員協会プレゼン資料
資料２	中川構成員プレゼン資料
資料３	第３回事務局資料に対する御質問と考え方
参考資料１	第２回及び第３回検討会における主な御意見
参考資料２	関係参考資料
前回資料１ー１	総合的な案内所（個人情報保護法相談ダイヤル）における受付状況
前回資料１ー２	名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
前回資料２	個人情報保護法の違反行為に係る事例等
前回資料３	現行制度と検討の方向性について（課徴金制度）
前回資料４	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度）
議事録	第４回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.09.26	第３回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１－１	総合的な案内所（個人情報保護法相談ダイヤル）における受付状況
資料１－２	名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
資料２	個人情報保護法の違反行為に係る事例等
資料３	現行制度と検討の方向性について（課徴金制度）
資料４	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度）
参考資料１	第２回検討会における主な御意見
参考資料２	個人情報の保護に関する基本方針
参考資料３	個人情報の保護に関する法律に基づく行政上の対応について（令和６年９月11日公表資料）
参考資料４	関係参考資料
議事録	第３回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.09.05	第２回個人情報保護法のいわゆる３年ごと見直しに関する検討会
資料１	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料２	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果（概要）
資料３	今後の検討の進め方
資料４	監視・監督活動及び漏えい等報告に関する説明資料
参考資料１	第1回検討会における主な意見
参考資料２	第1回検討会における主な質問及び回答
参考資料３	関係参考資料
議事録
2024.09.04	第299回個人情報保護委員会
資料1-1	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料1-2	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果（概要）
議事概要
議事録
2024.07.31	第１回個人情報保護法のいわゆる３年ごと見直しに関する検討会
資料1	開催要綱（案）
資料2	主婦連合会御提出資料
資料3	新経済連盟御提出資料
資料4	全国消費者団体連絡会御提出資料
資料5	全全国消費生活相談員協会御提出資料
資料6	日本IT 団体連盟御提出資料
資料7	日本経済団体連合会御提出資料
参考資料1	「個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理」概要
参考資料2	「個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理」本文
議事録
2024.07.24	第296回個人情報保護委員会
資料1	個人情報保護法のいわゆる３年ごと見直しに関する検討会の設置について
議事概要
議事録
2024.06.26	第292回個人情報保護委員会
資料１	個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理（案）
【委員長預かりで会議後に修正した資料】資料１	個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理
資料２−１	日EU相互認証の枠組みの拡大に向けた対応について
資料２−２	個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長（価値・透明性担当）の会談に関する共同プレス・ステートメント（英語）
資料２−３	個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長（価値・透明性担当）の会談に関する共同プレス・ステートメント（日本語仮訳）
資料３	一般送配電事業者及び関係小売電気事業者等における顧客情報の不適切な取扱事案に対する個人情報の保護に関する法律に基づく行政上の対応について
議事概要
議事録
2024.06.13	第290回個人情報保護委員会
資料１－１	第二次いわゆる３年ごと見直しへのコメント（ひかり総合法律事務所　板倉弁護士）
資料１－２	デジタル社会の個人情報保護法（新潟大学　鈴木教授）
議事概要
議事録
2024.06.12	第289回個人情報保護委員会
資料１－１	個人情報保護委員会「いわゆる３年ごと見直し」ヒアリング（国立情報学研究所　佐藤教授）
資料１－２	個人情報保護法３年ごと見直し令和６年に対する意見（産業技術総合研究所　高木主任研究員）
議事概要
議事録
2024.06.03	第287回個人情報保護委員会
資料１－１	個人情報保護法見直しに関するコメント（京都大学　曽我部教授）
資料１－２	いわゆる3年ごと見直しに関する意見（慶應義塾大学　山本教授）
資料１－３	３年ごと見直しヒアリング２０２４（英知法律事務所　森弁護士）
資料１－４－1	個人情報保護法のいわゆる３年ごと見直しに関する意見（東京大学　宍戸教授）
資料１－４－2	宍戸常寿氏御提出資料（令和元年５月21日提出）
議事概要
議事録
2024.05.29	第286回個人情報保護委員会
資料１	個人情報保護法いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方③）
議事概要
議事録
2024.05.15	第284回個人情報保護委員会
資料２	個人情報保護法いわゆる３年ごと見直し規定に基づく検討（データ利活用に向けた取組に対する支援等の在り方）
資料３	個人情報保護法いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方②）
議事概要
議事録
2024.05.10	第283回個人情報保護委員会
資料１－１	個人情報保護法における課徴金制度導入にかかる諸論点（名古屋大学林教授）
資料１－２	個人情報保護法における法執行の強化について（神戸大学中川教授）
議事概要
議事録
2024.04.24	第281回個人情報保護委員会
資料１	個人情報保護法の３年ごと見直しに対する意見
資料２	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方③）
議事概要
議事録
2024.04.10	第280回個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方② ）
議事概要
議事録
2024.04.03	第279回個人情報保護委員会
資料１―１	AIと個人情報保護：欧州の状況を中心に（一橋大学生貝教授）
資料１―２	AI利用と個人情報の関係の考察（NTT社会情報研究所高橋チーフセキュリティサイエンティスト）
資料１−３	医療情報の利活用の促進と個人情報保護（東京大学森田名誉教授）
資料１―４	医療・医学系研究における個人情報の保護と利活用（早稲田大学　横野准教授）
議事概要
議事録
2024.03.22	第277回個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方①）
議事概要
議事録
2024.03.06	第275回個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方①）
議事概要
議事録
2024.02.21	第273回個人情報保護委員会
資料４	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討項目
【委員長預かりで会議後に修正した資料】資料４	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討項目
議事概要
議事録
2024.02.14	第272回個人情報保護委員会
資料２－１	地方公共団体における個人情報保護法運用状況のヒアリング（京都府総務部政策法務課）
資料２－２	岡山市における個人情報保護法の運用状況（岡山市総務局行政事務管理課）
資料２－３	個人情報保護法運用状況について（都城市総務部総務課）
資料２－４	個人情報保護法運用状況について（上里町総務課）
議事概要
議事録
2024.02.07	第271回個人情報保護委員会
資料１	インターネット広告における個人に関する情報の取扱いについての取組状況（日本インタラクティブ広告協会）
議事概要
議事録
2024.01.31	第270回個人情報保護委員会
資料２	個人情報保護法の3 年ごと見直しに対する意見（日本経済団体連合会）
議事概要
議事録
2024.01.23	第268回個人情報保護委員会
資料１―１	(特定)適格消費者団体の活動について（消費者支援機構関西）
資料１―２	個人情報保護委員会ヒアリング資料（日本商工会議所）
議事概要
議事録
2023.12.21	第266回個人情報保護委員会
資料１―１	個人情報保護法の３年ごと見直しに関する意見（電子情報技術産業協会）
資料１―２	ヒアリング資料（全国商工会連合会）
議事概要
議事録
2023.12.20	第265回個人情報保護委員会
資料１―１	ACCJ Comments for the Personal Information Protection Commission Public Hearing（在米国商工会議所）
資料１―２	公開ヒアリングに向けたACCJ意見（在米国商工会議所）
議事概要
議事録
2023.12.15	第264回個人情報保護委員会
資料１―１	個人情報保護法の見直しについて（新経済連盟）
資料１―２	個人情報保護法見直しに関する意見（日本IT団体連盟）
議事概要
議事録
2023.12.06	第263回個人情報保護委員会
資料２	個人情報保護法に関する欧州企業の代表的な課題（欧州ビジネス協会）
議事概要
議事録
2023.11.29	第262回個人情報保護委員会
資料１	ヒアリング資料（一般社団法人日本情報経済社会推進協会）
議事概要
議事録
2023.11.15	第261回個人情報保護委員会
資料２－１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討
資料２－２	個人情報保護に係る主要課題に関する海外・国内動向調査　概要資料
議事概要
議事録

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.26 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第304回委員会、第3-5回検討会）

・2024.09.06 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第299回委員会、第2回検討会）

・2024.08.04 個人情報保護委員会第１回個人情報保護法のいわゆる３年ごと見直しに関する検討会

・2024.06.28 個人情報保護委員会意見募集いわゆる3年ごと見直しに係る検討の中間整理

・2024.06.04 個人情報保護委員会個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中... （２）

・2024.04.25 個人情報保護委員会個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中...

・2024.01.06 個人情報保護委員会個人情報保護法の3年ごとの見直しに関する意見をヒアリング中...

Continue reading "個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第310回委員会、第6-7回検討会）"

2024.12.20 02:33 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

個人情報保護委員会人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について（注意喚起） (2024.12.17)

こんにちは、丸山満彦です。

個人情報保護委員会が、「人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について（注意喚起）」を公表していますね...

クラウド上で提供され、多数の企業において利用されている人事労務管理サービスが不正アクセスを受け、マイナンバーを含む個人データが漏えいした事案について、個人情報保護法、マイナンバー法上の問題点を、調査・検討したものです...

● 個人情報保護委員会

・2024.12.17 人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について（注意喚起）

・[PDF] 人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について（注意喚起）

４留意点のまとめ

(1) 委託先における留意点

本事案のように、漏えい等をした場合に本人の重大な権利利益の侵害が発生するおそれのある個人データを、クラウド環境を利用したシステム上で顧客のために大量に取り扱うサービスを開発・提供する場合には、特にアクセス制御の点や不正アクセス等を防止するための措置について、開発段階から注意して設計し、ユーザーの利便性に偏らない安全なシステムを構築し、サービス提供をすることが重要です。

人事労務管理のためのクラウドサービスを提供する事業者におかれては、取り扱う個人データの性質及び量に応じて、近年における不正アクセスの動向にも注意しつつ、必要な安全管理措置を講じていただき、安全なサービスの開発・提供に努めていただくようお願いします。

なお、クラウドサービスの提供に際しては、当該クラウドサービスを提供する事業者において、あらかじめ作成した定型的な利用規約等について合意することで、当該クラウドサービスの利用に係る契約を締結する場合も多いと思います。クラウドサービスを提供する事業者におかれては、あらかじめ、必要かつ適切な安全管理措置等に係る記載を盛り込んだ利用規約等の整備に努めていただくようお願いいたします。

(2) 委託元における留意点

本件システムのようなクラウドサービスを利用して、漏えい等をした場合に本人の重大な権利利益の侵害が発生するおそれのある個人データを含む大量の従業者等の個人データを継続的に管理していく場合には、そのようなリスクに応じた措置を講ずる必要があります。

本事案では、前記３のとおり、利用規約以外に個人情報保護法のガイドライン等の記述に従って別途覚書等を作成し、委託先に対して個人データに係る安全管理措置を義務付けるチェックシートなどを用いたりするなどして委託先における個人データの取扱い状況を把握する等の措置を講じている個人情報取扱事業者も認められました。

委託元となる個人情報取扱事業者におかれましては、委託する個人データの性質及び量に応じて、委託元として、必要かつ適切な委託先の監督を行っていただくようお願いします。

2024.12.20 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2024.12.19

オランダデータ保護局意見募集社会的スコアリングのためのAIシステム + 操作および搾取的AIシステムに関する意見募集の概要と次のステップ

こんにちは、丸山満彦です。

オランダのデータ保護局が

(1) 第3回の意見募集となる「社会的スコアリングのためのAIシステム」についての意見募集

(2) 第1回の意見募集であった「操作および搾取を目的としたAIシステム」についての意見募集結果と次のステップ

を公表していますね...

社会スコアリングのためのAIシステムは、中国では活用され？、EUのAI法では禁止されているものですね...

AI法の第5条で禁止されるAIが８つ定義されています...

A：特定の操作型AIシステム（サブリミナル技術の利用等）
B：特定の搾取的AIシステム（個人や集団の弱みに漬け込む利用等）
C：ソーシャル・スコアを用いて作動する特定のAIシステム
D：個人による犯罪の可能性を予測する特定のAIシステム
E：顔画像の非標的スクレイピング
F：職場や教育における感情認識のための特定のAIシステム
G：生体認証による人物分類のための特定のAIシステム
H：法執行目的の公共の場における遠隔リアルタイム生体認証のための特定のAIシステム

第1回で

A：特定の操作型AIシステム（サブリミナル技術の利用等）
B：特定の搾取的AIシステム（個人や集団の弱みに漬け込む利用等）

第2回で

F：職場や教育における感情認識のための特定のAIシステム

について意見募集が行われ、

今回第1回についての回答があり、

第3回として、

C：ソーシャル・スコアを用いて作動する特定のAIシステム

についての意見募集がおこなわれているという感じですね...

第1回の操作および搾取を目的としたAIシステムについて得られた結果に対する主な所見...

多くの回答者は、禁止事項に関連する行為はすでに他の水平または分野別の法律や規制によって規制または禁止されていると指摘している。
複数の回答者は、AIが人を欺いたり、操作したり、利用したりする可能性をより説得力のある形で提供していると指摘している。
回答者は、禁止事項が規準で詳細に説明されていないため、ガイドラインでさらに明確化する必要があると指摘している。

AI法がない日本でも個人情報保護法で利用が禁止される利用についてガイドをつくることはできそうですね...

● Autoriteit Persoonsgegevens

・2024.12.18 Call for input AI systems for social scoring

Call for input AI systems for social scoring	社会的スコアリングのためのAIシステムに関する意見募集
The Dutch Data Protection Authority (AP) calls for input on prohibitions in the AI Act.	オランダデータ保護局（AP）は、AI法における禁止事項に関する意見を募集している。
In this call for input, we adress the prohibition in the AI Act: AI systems for social scoring. In the call for input, specific criteria for the prohibitions are delineated and several questions are asked. Please provide your input by the 7th of February 2025 at the latest.	この意見募集では、AI法における禁止事項である「社会的スコアリングのためのAIシステム」を取り上げる。意見募集では、禁止事項の具体的な基準が示され、いくつかの質問が提示されている。意見は遅くとも2025年2月7日までにご提出いただきたい。
At a later stage, we will also ask for input with respect to other prohibitions.	後日、その他の禁止事項についても意見を募集する予定である。
Also view: Input on prohibited AI systems	こちらもご覧ください：禁止されたAIシステムに関する意見

過去の2回分も含めて...いずれもこのブログで紹介しています(^^) (第1回　第2回)

・Input on prohibited AI systems

Input on prohibited AI systems	禁止されるAIシステムに関する意見
As coordinating supervisor on algorithms and AI, the AP has started with the preparation of the supervision on prohibited AI systems. The prohibitions apply from the 2nd of February 2025 onwards.	アルゴリズムおよびAIに関する調整監督者として、APは禁止されるAIシステムに関する監督の準備から着手した。禁止は2025年2月2日以降に適用される。
Citizens, governments, businesses and other organisations will be asked to provide their input on the prohibitions in the AI Act. We can use all the input to consider the necessary further clarification of the prohibited systems.	市民、政府、企業、その他の組織は、AI法における禁止事項に関する意見を求められることになる。我々は、禁止されるシステムについて必要なさらなる明確化を検討するために、すべての意見を活用することができる。
The AI Act sets out multiple prohibitions, that is why we will publish several calls.	AI法では複数の禁止事項が定められているため、複数の意見募集を行う。
Current call for input	現在の意見募集
Third call: AI systems for social scoring	第3回意見募集：社会的スコアリングのためのAIシステム
In the third call for input, we address the prohibition C in the AI Act: AI systems for social scoring.	第3回意見募集では、AI法の禁止事項C、すなわち社会的スコアリングのためのAIシステムを取り上げる。
In the call for input, specific criteria for the prohibition are delineated and several questions are asked. Please provide your input by the 7th of February 2025 at the latest.	意見募集では、禁止事項の具体的な基準が示され、いくつかの質問が提示される。2025年2月7日までに意見を提出すること。
Previous calls for input	これまでの意見募集
First call: manipulative and exploitative AI systems	第1回：操作および搾取を目的としたAIシステム
In the first call for input, we adress two of the prohibitions in the AI Act: manipulative and deceptive AI systems (prohibition A) and exploitative AI systems (prohibition B).	第1回意見募集では、AI法における禁止事項のうち、操作および欺瞞を目的としたAIシステム（禁止事項A）と搾取を目的としたAIシステム（禁止事項B）の2つを取り上げた。
Update: this call is closed. Read the summary of responses and next steps.	最新情報：この意見募集は終了した。回答の概要と今後のステップについてはこちら。
Second call: AI systems for emotion recognition in the areas of workplace and education institutions	第2回：職場および教育機関における感情認識を目的としたAIシステム
In the second call for input , we address the sixth prohibition in the AI Act: AI systems for emotion recognition in the areas of workplace and education institutions (prohibition F).	第2回意見募集では、AI法における6つ目の禁止事項である、職場および教育機関における感情認識用AIシステム（禁止事項F）について取り扱う。
Update: this call is closed.	更新：この募集は終了した。

で今回の文書...

・[PDF]

AI systems for social scoring	社会的スコアリングのためのAIシステム
Prohibition in EU Regulation 2024/1689 (AI Act)	EU規則2024/1689（AI法）による禁止
Autoriteit Persoonsgegevens (NL) – Department for the Coordination of Algorithmic Oversight (DCA)	オランダ個人データ保護局 - アルゴリズム監督調整局（DCA）
December 2024	2024年12月
DCA-2024-03	DCA-2024-03
Summary	概要
The European AI Act (2024/1689) has been in force since 1 August 2024 and regulates the use of Artificial Intelligence (AI) in the European Union (EU). The AI act has a risk-based approach. As a result, certain AI systems posing an unacceptable risk are prohibited from 2 February 2025.	欧州AI法（2024/1689）は2024年8月1日より施行されており、欧州連合（EU）における人工知能（AI）の利用を規制している。AI法はリスクベースのアプローチを採用している。その結果、容認できないリスクをもたらす特定のAIシステムは、2025年2月2日より禁止される。
It is up to the supervisors of the AI Act to explain how the prohibitions will be interpreted for the purpose of supervision. In order to prepare for this in The Netherlands, the Autoriteit Persoonsgegevens (AP) asks interested parties (citizens, governments, businesses and other organisations) and their representatives for their needs, information and insights. We can use all input to consider the necessary further clarification of the prohibited AI systems.	禁止事項が監督の目的でどのように解釈されるかについては、AI法の監督当局が説明する。オランダではこれに備えるため、オランダ個人データ保護局（AP）は、利害関係者（市民、政府、企業、その他の組織）およびその代表者に対して、ニーズ、情報、見解を求めている。禁止されたAIシステムについて、必要なさらなる明確化を検討するために、あらゆる意見を活用することができる。
On 27 September 2024, the AP published the first call for input on the first two prohibitions of the AI Act and on 31 October the second call for input on emotion recognition in the areas of workplace or education institutions. In this third call for input, we address the third prohibition: AI systems for social scoring (prohibition C). This document outlines specific criteria for these prohibited AI systems while requesting (additional) input through a set of questions. Contributions can be submitted until 7 February 2025.	2024年9月27日、APはAI法の最初の2つの禁止事項に関する最初の意見募集を行い、10月31日には職場や教育機関における感情認識に関する2回目の意見募集を行った。この3回目の意見募集では、3つ目の禁止事項である「社会的スコアリングのためのAIシステム（禁止事項C）」を取り上げる。この文書では、これらの禁止されたAIシステムに関する具体的な規準を概説しながら、一連の質問を通じて（追加の）意見を求めている。意見は2025年2月7日まで提出可能である。
The AP makes this call for input based on its role as a coordinating supervisor of algorithms and AI. For the purpose of this new task, the Department for the Coordination of Algorithmic Oversight (DCA) was established within the AP. This call for input also aligns with the preparatory work being done in support of future supervision of AI systems that are prohibited under the AI Act. The Dutch government is currently working on the formal designation of national supervisory authorities for the AI Act.	APは、アルゴリズムおよびAIの調整監督機関としての役割に基づき、意見募集の呼びかけを行っている。この新たな任務を遂行するために、AP内にアルゴリズム監督調整局（DCA）が設立された。この意見募集の呼びかけは、AI法で禁止されたAIシステムの将来的な監督を支援する準備作業とも一致している。オランダ政府は現在、AI法に関する国家監督当局の正式指定に取り組んでいる。
I. Background	I. 背景
1. The European AI Act (2024/1689) has been in force since 1 August 2024. This Regulation sets out rules for the provision and the use of artificial intelligence (AI) in the EU. The premise of the AI Act is that while there are numerous beneficial applications of AI, the technology also entails risks that have to be managed. The legislation follows a risk-based approach. More restrictive rules will apply to those AI systems that pose a greater risk. Some systems entail such an unacceptable risk that their placing on the market or use is completely prohibited. This is, for example, the case with AI systems that are used for social scoring. The prohibitions are set out in Article 5 of the AI Act.	1. 欧州AI法（2024/1689）は2024年8月1日より施行されている。この規則は、EUにおける人工知能（AI）の提供および利用に関する規則を定めている。AI法の前提は、AIには数多くの有益な用途がある一方で、この技術には管理が必要なリスクも伴うというものである。この法律はリスクベースのアプローチを採用している。より大きなリスクをもたらすAIシステムには、より制限的な規則が適用される。一部のシステムは、市場への投入や使用が完全に禁止されるほど容認できないリスクを伴う。これは、例えば社会的スコアリングに使用されるAIシステムの場合である。禁止事項はAI法第5条に規定されている。
2. This call for input provides a preliminary basis for further clarification of the prohibitions in the AI Act. To get there, this call for input aims to gather generic information and insights on, among other things, the functioning of AI technologies and the application possibilities that are relevant to the clarification of the prohibitions.	2. この意見募集は、AI法における禁止事項のさらなる明確化に向けた予備的な基礎を提供するものである。この意見募集では、禁止事項の明確化に関連するAI技術の機能や応用可能性など、一般的な情報や見識を集めることを目的としている。
Prohibited AI applications as from February 2025	2025年2月以降禁止されるAIアプリケーション
3. The prohibitions in the AI Act will become applicable soon. As from 2 February 2025, the prohibited AI systems listed in Article 5 may no longer be put on the European market or used. As from 2 August 2025, market surveillance authorities should be designated for prohibited AI systems and sanctions may be imposed for violations of the prohibitions. Before this time, violation of one of the prohibitions could already lead to civil liability.	3. AI法の禁止規定は間もなく適用される。2025年2月2日以降、第5条に列挙された禁止AIシステムは欧州市場に投入したり使用したりすることはできなくなる。2025年8月2日以降、禁止AIシステムについては市場監視当局が指定され、禁止規定違反に対して制裁が科される可能性がある。それ以前であっても、禁止規定のいずれかに違反した場合は民事責任を問われる可能性がある。
Supervision in the Netherlands on compliance with the prohibitions	オランダにおける禁止事項の遵守に関する監督
4. The Dutch government is currently working on legislation designating which supervisory authority will be responsible for overseeing compliance with the prohibitions. The AP (from the Department for the Coordination of Algorithmic Oversight) and the Dutch Authority for Digital Infrastructure (RDI) have issued an advice on this matter in collaboration and coordination with other supervisory authorities. It has been recommended, among other things, that the AP could be designated as the market surveillance authority for most of the prohibitions in Article 5. Following these recommendations, the AP will closely cooperate with other relevant supervisors for the supervision of prohibited AI systems.	4. オランダ政府は現在、どの監督当局が禁止事項の遵守を監督する責任を負うかを定める法律の策定に取り組んでいる。AP（アルゴリズム監督調整局）とオランダのデジタルインフラ当局（RDI）は、他の監督当局と協力・調整しながら、この問題に関する助言を発表した。とりわけ、第5条の禁止事項のほとんどについて、APを市場監視当局として指定することが推奨されている。これらの勧告に従い、APは禁止されたAIシステムの監視に関して、他の関連監督当局と緊密に協力する。
5. Because the prohibitons in this call concern AI systems that also fall under other Union laws, this call has been coordinated within the AI and Algorithm group of the Dutch Cooperation Platform of Digital Supervisory authorities. This is in the spirit of the requirement in Article 70(8) of the AI Act to consult relevant national competent authorities responsible for other Union law that covers AI systems.	5. 本要請における禁止事項は、他のEU法にも該当するAIシステムに関するものであるため、本要請は、オランダのデジタル監督当局協力プラットフォームのAIおよびアルゴリズムグループ内で調整されている。これは、AIシステムを対象とする他のEU法を担当する関連の国内所轄当局と協議するというAI法第70条(8)項の要件の精神に則ったものである。
II. About this call for input	II. 本意見募集要請について
Purpose: Why do we ask for input	目的：なぜ意見を求めるのか
6. It is up to the supervisors of the AI Act to explain how the prohibitions will be interpreted for the purpose of supervision. In preparation for this, the AP is asking for information and insights from stakeholders (citizens, governments, companies and other organisations) and their representatives. All responses can be used for further explanation of the prohibited AI. Within the AP, the Department for the Coordination of Algorithmic Oversight is charged with this task.	6. 禁止事項が監督の目的でどのように解釈されるかを説明するのは、AI法の監督当局の責任である。これに備えて、APは利害関係者（市民、政府、企業、その他の組織）およびその代表者から情報や見識を求めている。すべての回答は、禁止されたAIのさらなる説明に使用することができる。AP内では、アルゴリズム監督調整局がこの任務を担っている。
7. This call for input discusses the prohibition outlined in Article 5, paragraph 1, subparagraph c of the AI Act. In addition to this call for input, the AP already published a first call on 27 September 2024 on two other prohibitions, namely the prohibition on manipulative and deceptive AI systems and the prohibition on exploitative AI systems. The second call for input on emotion recognition in the areas of workplace or education institutions was published on October 31 2024	7. この意見募集では、AI法第5条第1項c号に規定された禁止事項について議論する。この意見募集に加えて、APはすでに2024年9月27日に、2つの他の禁止事項、すなわち、操作および欺瞞的なAIシステムに関する禁止事項と、搾取的なAIシステムに関する禁止事項に関する最初の意見募集を行っている。職場または教育機関における感情認識に関する2回目の意見募集は、2024年10月31日に発表された
8. The legislative text and the recitals serve as the foundations for this call for input. Given the scope and possible impact of this prohibition, a call for input is issued for this prohibition. Please refer to the annex to this document for an overview of all prohibitions in subparagraphs (a) to (g) of Article 5, paragraph 1 of the AI Act.	8. 立法文および前文は、本意見募集の基礎となる。本禁止事項の範囲および影響を考慮し、本禁止事項に関する意見募集を行う。AI法第5条第1項(a)から(g)のすべての禁止事項の概要については、本文書の附属書を参照のこと。
9. This call for input highlights specific aspects of this prohibition. The focus is on those specific criteria that determine whether or not an AI system is within the scope of this prohibition. Each criterion is briefly explained based on the legislator’s recitals of the AI Act. In some cases, we provide an interpretation of our own. If we do so, this is explicitly mentioned. We then pose several questions, the answers to which will contribute to a better understanding of the prohibition.	9. この意見募集では、この禁止事項の特定の側面を強調する。焦点は、AIシステムがこの禁止事項の対象範囲内にあるかどうかを決定する特定の規準にある。各規準は、AI法の立法者の序文に基づいて簡単に説明されている。場合によっては、独自の解釈を提示している。その場合は、その旨を明示的に記載している。次に、禁止事項のより良い理解に役立ついくつかの質問を提示する。
Process: This is how you send your input to us.	プロセス：これが、皆様からご意見をいただく方法である。
10. You decide which questions you answer. You can also provide us with other relevant input in addition to the questions asked. Please send your input to [mail] by 7 February 2025. Please mention the subject “call for input DCA-2024-03 (‘AI systems for social scoring’) and your name and/or your organisation in your email. If desired, you can provide us with your contact details so that we can reach you in case we have further questions. When we have received your input, we will send you a confirmation by e-mail.	10. どの質問に回答するかは、皆様が決定する。また、質問された項目以外にも、関連するご意見を提出していただいても構わない。ご意見は、2025年2月7日までに[mail] までお送りいただきたい。メールには、「意見募集 DCA-2024-03（「社会的スコアリングのためのAIシステム」）について」という件名と、氏名および/または所属を記載すること。必要に応じて、追加の質問がある場合に連絡できるよう、連絡先を記載することも可能。意見を受け取った後、確認のメールを返信する。
Follow-up: What do we do with your input?	フォローアップ：意見はどのように扱われるのか？
11. After the closure of this call for input, the AP will publish a summary and appreciation of the input on AI systems for emotion recognition in the areas of workplace or education institutions. In this summary, we will refer in generic terms to the input received (e.g., “several sectoral representative organisations have indicated that’, “a developer of AI systems points out that”, “organisations advocating for fundamental rights note that”). If preferred and indicated by you, we may explicitly name your organisation or group. Through our summarised and evaluative response, we can also share the acquired insights with other (European) AI supervisory authorities. For instance, the summary and appreciation of the contribution may be utilised in the drafting of guidelines on the prohibitions.	11. 意見募集期間終了後、APは職場または教育機関における感情認識AIシステムに関する意見の要約と評価を公表する。この要約では、受け取った意見を一般的に言及する（例えば、「複数の部門代表組織が指摘している」、「AIシステム開発者が指摘している」、「基本的人権を擁護する組織が指摘している」など）。ご要望があり、ご指示いただければ、貴団体またはグループを明示的に名指しすることも可能である。要約と評価を伴う回答を通じて、我々はまた、他の（欧州）AI監督当局と得られた洞察を共有することもできる。例えば、貢献の要約と評価は、禁止に関するガイドラインのドラフト作成に活用できる可能性がある。
12. We will only use your input for our task to obtain information and insights about the prohibitions in the AI Act. We will delete your personal data after publication of our summary and evaluation of the input, unless you have given permission for further use. For more information about how we process personal data, please see: The AP and privacy.	12. 皆様からいただいたご意見は、AI法における禁止事項に関する情報および見識を得るという私たちの任務にのみ使用する。私たちは、皆様からいただいたご意見の要約および評価を公表した後、皆様がそれ以上の使用を許可しない限り、皆様の個人情報を削除する。個人情報の取り扱いに関する詳細は、APとプライバシーを参照のこと。
More calls for input	さらなる意見募集
13. Following this call, there may be more calls for input on other parts of the AI Act, including the prohibitions. The AP has previously called for input on manipulative, misleading and exploitative AI systems as well as on AI systems that are used for emotion recognition in the areas of workplace or education institutions.	13. 本意見募集に続き、禁止事項を含むAI法の他の部分について、さらなる意見募集が行われる可能性がある。APは、これまでにも、操作的なAIシステム、誤解を招くAIシステム、搾取的なAIシステム、および職場や教育機関における感情認識に使用されるAIシステムについて意見を募集している。
III. Definition of the prohibition on AI systems for social scoring	III. 社会的スコアリングのためのAIシステムの禁止の定義
General scope of prohibited AI systems	禁止されるAIシステムの一般的な範囲
14.The AI Act (and its prohibitions) apply to ‘AI systems’. Thus, in order to determine whether the Regulation applies, an important question is whether the product falls within the definition of an AI system:	14.AI法（およびその禁止事項）は「AIシステム」に適用される。したがって、規則が適用されるかどうかを判断するには、その製品がAIシステムの定義に該当するかが重要な問題となる。
‘ A machine-based system that is designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment, and that, for explicit or implicit objectives, infers from the input it receives how to generate outputs such as predictions, content, recommendations or decisions that can influence physical or virtual environments.’	「さまざまなレベルの自律性を備えて設計され、展開後に適応性を示す可能性があり、明示的または暗黙的な目的のために、予測、コンテンツ、推奨、または物理的または仮想環境に影響を与える可能性のある決定などの出力を生成する方法を、受け取った入力から推論する、機械ベースのシステム」
15.The prohibitions are addressed to providers (e.g. developers), deployers, importers, distributors and other operators. These operators shall not place on the market, put into service or use the prohibited AI systems. Therefore, it is important for the above operators to ensure that they do not place on the market or use a prohibited AI system. To do so, they will have to verify whether the AI system in question falls under the prohibitions in Article 5.	15.禁止事項は、プロバイダー（開発者など）、展開者、輸入業者、流通業者、その他の運営者に適用される。これらの事業者は、禁止されたAIシステムを市場に投入したり、使用したりしてはならない。したがって、上記の事業者は、禁止されたAIシステムを市場に投入したり使用したりしないことを確実にすることが重要である。そのためには、当該AIシステムが第5条の禁止事項に該当するかどうかを確認する必要がある。
Content of the prohibition	禁止の内容
16.This call for input focuses on the prohibition of AI systems used for social scoring. The AI Act prohibits AI systems used for social scoring by evaluating or classifying natural persons or groups of persons based on their social behaviour or personal characteristics (hereinafter: systems for social scoring). In the remainder of this call for input, we will refer to this prohibition as ‘prohibition C’. The Regulation defines this prohibition as follows:	16.本意見募集では、ソーシャル・スコアリングに用いられるAIシステムの禁止に焦点を当てる。AI法は、自然人または自然人の集団を、その社会的行動または個人的特性に基づいて評価または分類するAIシステム（以下「ソーシャル・スコアリング用システム」という）を禁止している。本意見募集の残りの部分では、この禁止を「禁止C」と呼ぶ。規則では、この禁止は次のように定義されている。
Article 5(1)(c) (‘Prohibition C’):	第5条(1)(c)（「禁止C」）：
‘the placing on the market, putting into service or the use of AI systems for the evaluation or classification of natural persons or groups of persons over a certain period of time based on their social behaviour or known, inferred or predicted personal or personality characteristics, with the social score leading to either or both of the following:	「一定期間にわたって、自然人の評価または分類を行うAIシステムを市場に投入し、稼働させ、または使用すること。ただし、その評価または分類は、当該自然人の社会的行動、または既知、推論、予測された個人または人格的特性に基づくものとする。また、社会的スコアは、以下のいずれか、または両方につながるものとする。
i) detrimental or unfavourable treatment of certain natural persons or groups of persons in a social contexts that are unrelated to the contexts in which the data was originally generated or collected;	i) データがもともと生成または収集された文脈とは無関係な社会的文脈において、特定の自然人または自然人グループに不利益または好ましくない扱いをもたらすこと
ii) detrimental or unfavourable treatment of certain natural persons or groups of persons that is unjustified or disproportionate to their social behaviour or its gravity;’	ii) 特定の自然人または自然人グループに不利益または好ましくない扱いをもたらすこと、ただし、その社会的行動またはその重大性に対して正当化できない、または不均衡である場合
17.Finally, the AI Act is without prejudice to the GDPR. Obligations of providers and deployers of AI systems in their role as controllers or processors stemming from Union or national law on the protection of personal data continue to apply in respect of the design, development or use of AI systems.	17.最後に、AI法はGDPRに影響を及ぼすものではない。AIシステムの設計、開発、または使用に関して、個人データの保護に関するEU法または国内法に由来する管理者または処理者としてのAIシステム提供者および展開者の義務は引き続き適用される。
IV. Criteria and questions regarding the prohibition	IV.禁止に関する規準および質問
18. In order to structure this call for input, separate criteria of the prohibitions have been set out in more detail in the next section. These criteria are highlighted because they are important conditions for determining whether or not AI systems are covered by prohibition C. A brief explanation is provided for each criterion, based on the explanation provided by the legislator in the explanatory recitals to the AI Act. In some cases, explanations are based on the AP's own interpretation; this is clearly indicated. This is followed by some accompanying questions that you can use when giving your input.	18. この意見募集要項を構成するために、禁止事項の個別の規準が次のセクションでより詳細に説明されている。これらの規準は、AIシステムが禁止事項Cの対象となるかどうかを判断する上で重要な条件であるため、強調されている。各規準について、AI法の説明的な序文で立法者が提供した説明に基づいて、簡単な説明が提供されている。一部のケースでは、AP独自の解釈に基づく説明も含まれている。これは明確に示されている。これに続いて、意見を述べる際に使用できるいくつかの関連質問が記載されている。
Criterion 1: Social scoring: evaluation or classification of natural persons or groups of persons over a certain period of time based on their social behaviour or known, inferred or predicted personal or personality characteristics	規準1：ソーシャル・スコアリング：一定期間における自然人または人々のグループの社会的行動、または既知、推測、予測される個人的または人格的特性に基づく評価または分類
19. This prohibition covers certain AI systems intended for the evaluation or classification of natural persons or groups of persons, that is social scoring. This evaluation or classification – and thus the social scoring – may lead to the detrimental or unfavourable treatment of certain natural persons or groups of persons. The recital describes that social scoring may lead to discriminatory outcomes and the exclusion of certain groups, violating the right to dignity and non-discrimination and values such as equality and justice. The recitals also highlight that these AI systems for social scoring can be provided or deployed by both private and public actors.	19. この禁止は、自然人または人々のグループの評価または分類を目的とする特定のAIシステム、すなわちソーシャル・スコアリングを対象としている。この評価または分類、つまり社会的スコアリングは、特定の自然人または自然人グループに不利益または好ましくない扱いをもたらす可能性がある。前文では、社会的スコアリングは差別的な結果をもたらし、特定のグループを排除し、尊厳および非差別の権利、ならびに平等および正義といった価値観を侵害する可能性があると説明されている。また、前文では、社会的スコアリングのためのこれらのAIシステムは、民間および公共のアクターの両方によって提供または展開される可能性があることも強調されている。
20. The evaluation or classification should furthermore take place over a certain period of time and be based on social behaviour, or known, inferred or predicted personal or personality characteristics. Although the recitals do not provide any further explanation on the evaluation or classification based on known, inferred or predicted personal or personality characteristics, it is explained that, where this evaluation is based on social behaviour, it can be carried out in multiple contexts.	20. 評価または分類はさらに一定期間にわたって行われるべきであり、社会的行動、または既知、推論、予測された個人または人格的特性に基づくべきである。既知、推論、予測された個人または人格的特性に基づく評価または分類について、前文ではさらなる説明は提供されていないが、この評価が社会的行動に基づく場合、複数の文脈で実施できることが説明されている。
Questions related to criterion 1	規準1に関する質問
1. Can you describe (imaginary) AI systems used to evaluate or classify natural persons or groups of persons over a certain period of time and where this is made possible based on social behavior?	1. 一定期間における自然人または自然人の集団を評価または分類するために使用される（仮想の）AIシステムについて、また、それが社会行動に基づいて可能となる理由について説明できるか？
2. Can you describe (imaginary) AI systems used to evaluate or classify natural persons or groups of persons over a certain period of time and where this is made possible based known, inferred or predicted personal or personality characteristics?	2. 一定期間における自然人または自然人グループを評価または分類するために使用される（仮想）AIシステムについて説明し、それが既知、推論、または予測された個人または人格特性に基づいて可能となることを説明できるか？
3. Is it clear to you what the distinction is between known, inferred and predicted personality characteristics? If not, could you explain this further?	3. 既知、推論、予測された人格特性の区別が明確であるか？明確でない場合、さらに説明できるか？
4. What questions or need for clarification in the context of this prohibition do you still have when distinguishing between evaluation or classification? What questions or need for clarification do you have in the context of this prohibition when distinguishing between this evaluation or classification based on social behaviour on the one hand or known, derived and predicted personality characteristics on the other hand?	4. 評価または分類を区別するにあたり、この禁止事項に関して、まだ疑問や明確化の必要性があるか？この禁止事項に関して、社会的行動に基づく評価または分類を区別するにあたり、疑問や明確化の必要性があるか？
5. A social score is the result of an evaluation or classification. Can you give an (imaginary) example of a description of a social score?	5. 社会スコアは評価または分類の結果である。社会スコアの記述の（架空の）例を挙げて説明できるか？
Criterion 2: Detrimental or unfavourable treatment	規準 2：有害または不利益な取り扱い
21. The evaluation or classification by an AI system as described above – i.e. the ‘social scoring’ and the resulting social score – may result in detrimental or unfavourable treatment of certain natural persons or groups of persons. The following paragraphs describe two types of detrimental or unfavourable treatments, resulting from the social score, each of which, individually or in combination, entails that the AI practice is prohibited.	21. 上記で説明したAIシステムによる評価または分類、すなわち「社会的スコアリング」およびその結果としての社会スコアは、特定の自然人または自然人グループに対する有害または不利益な取り扱いにつながる可能性がある。以下の段落では、ソーシャルスコアに起因する2種類の不利益または不都合な扱いについて説明する。それぞれ単独または組み合わせにより、AIの使用が禁止されることになる。
According to the AP, AI systems that favour people could, in certain cases, also be covered by the prohibition if they indirectly result in detrimental or unfavourable treatment of other people.	APによると、特定のケースでは、人々を優遇するAIシステムも、間接的に他の人々への不利益または不都合な扱いを引き起こす場合、禁止の対象となる可能性がある。
22. Firstly, certain AI systems for social scoring are prohibited if the social score generated by the AI system results in the detrimental or unfavourable treatment of individuals in social contexts that are unrelated to the contexts in which the data were originally generated or collected. What constitutes detrimental or unfavourable treatment in the above situation is not explained in the recitals. It is however important that the social context in which this treatment takes place should not be related to the context in which the data were originally generated or collected. As mentioned in paragraph 20 above, social scoring can take place in different contexts over a given period of time. According to the AP, it could therefore be concluded that it is in any event necessary that one of those contexts bears no relation to the context in which the detrimental treatment takes place. Furthermore, according to the AP it seems that the context in which the data were originally generated or collected does not necessarily have to be a social context.	22. まず、AIシステムによって生成された社会的スコアが、データがもともと生成または収集された文脈とは無関係な社会的文脈において、個人の不利益または不利な扱いにつながる場合、特定の社会的スコアリングのためのAIシステムは禁止される。上記のような状況における不利益または不利な扱いとはどのようなものかについては、前文では説明されていない。しかし、この扱いがなされる社会的文脈は、データがもともと生成または収集された文脈とは関連していないことが重要である。上述の第20項で述べたように、ソーシャル・スコアリングは、一定期間にわたって異なる状況下で行われる可能性がある。APによれば、いずれにしても、そのいずれかの状況が不利益な取扱いがなされる状況とは無関係であることが必要であると結論づけられる。さらに、APによれば、データが最初に生成または収集された状況は、必ずしも社会的状況である必要はないようである。
23. Secondly, certain AI systems for social scoring are prohibited if the social score provided by the AI system results in the detrimental or unfavourable treatment of persons that is unjustified or disproportionate in relation to the gravity of the social behaviour. What constitutes detrimental or unfavourable treatment in the above situation is not explained in the recitals. The detrimental or unfavourable treatment should at least be: either unjustified, or disproportionate in relation to the gravity of the social behaviour.	23. 第二に、社会的スコアリングのための特定のAIシステムは、AIシステムが提供する社会スコアが、社会行動の重大性との関係において、不当または不均衡な、個人に対する不利益または不利な扱いをもたらす場合、禁止される。上記のような状況における不利益または不利な扱いの定義は、前文では説明されていない。不利益または不利な扱いは、少なくとも、社会行動の重大性との関係において、不当または不均衡なものでなければならない。
Questions related to criterion 2	規準2に関する質問
6. Can you give (imaginary) examples of a detrimental or unfavourable treatment of persons that is related to a social score of an AI system?	6. 人工知能システムの社会的スコアに関連する、不利益または不利な扱いを受けた人の（架空の）例を挙げて説明できるか？
7. Are there situations in which the advantage of one person or group of persons also leads to a implicit disadvantage of other persons? Can you give an (imaginary) example of this?	7. 一人の人または人々のグループが有利になることが、他の人々の暗黙の不利益につながる状況はあるか？この例を挙げて説明できるか？
8. Can you describe or give an example of an AI system where the detrimental or unfavourable treatment in a social context is or is not related to the contexts in which the data were originally collected or generated?	8. 社会的文脈において有害または不利益な扱いが行われる、または行われない場合、その扱いが、データがもともと収集または生成された文脈に関連しているか、または関連していないか、AIシステムの例を挙げて説明できるか？
9. Is it clear to you when there is an adverse or unfavourable treatment in a social context that is unrelated to the contexts in which the data were originally generated or collected? If not, what do you need more clarity about? Can you explain this further?	9. 社会的文脈において有害または不利益な扱いが行われる場合、その扱いが、データがもともと生成または収集された文脈に関連していないことは明確か？そうでない場合、何をより明確にする必要があるか？これをさらに説明できるか？
10. Could you describe or give an example of AI systems where the detrimental or unfavourable treatment is unjustified or disproportionate to the gravity of the social behaviour?	10. 不利なまたは不適切な取扱いが、社会行動の重大性に対して不当または不均衡であるAIシステムの説明または例を挙げて説明できるか？
11. Is it sufficiently clear to you when there is a detrimental or unfavourable treatment that is unjustified or disproportionate to the social behaviour or its gravity? If not, what do you need more clarity about? Can you explain this in more detail?	11. 不利なまたは不適切な取扱いが、社会行動またはその重大性に対して不当または不均衡である場合、十分に明確であるか？そうでない場合、何をより明確にする必要があるか？これをより詳細に説明できるか？
Scope of the prohibition	禁止の範囲
24. The recitals of the Regulation also set out situations in which an AI system should not be covered by the prohibitions. The recitals describe that the prohibition should not affect lawful evaluation practices of natural persons that are carried out for a specific purpose in accordance with Union and national law.	24. 規則の前文では、AIシステムが禁止の対象とされるべきではない状況も示されている。前文では、EU法および国内法に従って特定の目的のために実施される自然人による合法的な評価行為に禁止が影響を及ぼすべきではないことが説明されている。
Questions related to the scope of the prohibition	禁止の範囲に関する質問
12. Could you provide an (imaginary) description of an AI social scoring system deployed in accordance with Union or national law?	12. 連合法または国内法に従って展開されたAIソーシャル・スコアリング・システムの（架空の）説明を提供できるか？
13. What further questions or clarifications do you have about the scope of this prohibition?	13. この禁止の範囲について、さらに質問または明確化したいことはあるか？
25. In conclusion, it is stressed that this document does not cover all aspects of the prohibition. Therefore, interested parties are expressly invited to provide relevant input, also outside the questions asked, for the further clarification of prohibition C	25. 結論として、この文書は禁止のすべての側面を網羅しているわけではないことを強調しておく。したがって、利害関係者は、禁止Cのさらなる明確化のために、質問事項以外についても関連する意見を提示することが明確に求められている
Concluding questions	結語
14. Apart from the questions posed, is there any relevant input that you would like to provide for the further clarificatio n of Prohibition C?	14. 提示した質問以外に、禁止事項Cのさらなる明確化のために提供したい関連情報はあるか？
15. Do you think it is desirable that we explicitly mention your organisation or group in our public response to and appreciation of this call for input, e.g. so that we can discuss examples and considerations that you provide?	15. 意見募集への回答と謝意を表明する公開文書において、貴組織またはグループを明示的に言及することが望ましいと考えるか？例えば、貴組織が提供した事例や考察について議論できるようにするためなど。
Annex: overview of prohibitions from Article 5, paragraph 1 of the AI Act 2024/1689	附属書：AI法2024/1689第5条第1項による禁止事項の概要
Prohibition A: Certain manipulative AI systems	禁止事項A：ある種の操作的なAIシステム
AI systems that deploy subliminal techniques beyond a person’s consciousness or purposefully manipulative or deceptive techniques, with the objective, or the effect of materially distorting the behaviour of a person or a group of persons by appreciably impairing their ability to make an informed decision, thereby causing them to take a decision that they would not have otherwise taken in a manner that causes or is reasonably likely to cause that person, another person or group of persons significant harm.	人の意識を超えたサブリミナル的な技法、または意図的に操作的もしくは欺瞞的な技法を展開するAIシステムであって、その目的または効果が、十分な情報に基づいた意思決定を行う能力を著しく損なうことによって、人または人の集団の行動を実質的に歪め、それによって、その人、他の人または人の集団に重大な危害をもたらす、またはもたらす可能性が合理的に高い方法で、他の方法では行わなかったであろう意思決定を行わせるもの。
Prohibition B: Certain exploitative AI systems	禁止事項B：特定の搾取的AIシステム
AI systems that exploit any of the vulnerabilities of a natural person or a specific group of persons due to their age, disability or a specific social or economic situation, with the objective, or the effect, of materially distorting the behaviour of that person or a person belonging to that group in a manner that causes or is reasonably likely to cause that person or another person significant harm.	自然人または特定の集団の年齢、障害または特定の社会的もしくは経済的状況に起因する脆弱性を悪用するAIシステムであって、その人またはその集団に属する人の行動を、その人またはその集団に属する人に重大な危害をもたらすか、またはもたらす可能性が合理的に高い方法で、実質的に歪めることを目的とし、またはその効果を有するもの。
Prohibition C: Certain AI systems for social scoring	禁止事項C：社会的スコアリングのための特定のAIシステム
AI systems for the evaluation or classification of natural persons or groups of persons over a certain period of time based on their social behaviour or known, inferred or predicted personal or personality characteristics, with the social score leading to either or both of the following:	自然人または集団の社会的行動または既知、推論もしくは予測される個人的もしくは人格的特性に基づいて、一定期間にわたって評価または分類するためのAIシステムであって、社会的スコアが以下のいずれかまたは両方につながるもの：
• detrimental or unfavourable treatment of certain natural persons or groups of persons in social contexts that are unrelated to the contexts in which the data was originally generated or collected;	• データが元々生成または収集された文脈とは無関係な社会的文脈において、特定の自然人または集団が不利益または不利な扱いを受けること；
• detrimental or unfavourable treatment of certain natural persons or groups of persons that is unjustified or disproportionate to their social behaviour or its gravity.	• 社会的行動またはその重大性に不当または不釣り合いな,特定の自然人または集団に対する不利益または不利な取り扱い。
Prohibition D: Certain AI systems for predictive policing	禁止事項D：予測的取り締まりのための特定のAIシステム
AI systems for making risk assessments of natural persons in order to assess or predict the risk of a natural person committing a criminal offence, based solely on the profiling of a natural person or on assessing their personality traits and characteristics; this prohibition shall not apply to AI systems used to support the human assessment of the involvement of a person in a criminal activity, which is already based on objective and verifiable facts directly linked to a criminal activity.	自然人が犯罪を犯すリスクを評価または予測するために、自然人のプロファイリングまたは人格的特徴および特性の評価のみに基づいて、自然人のリスクアセスメントを行うためのAIシステム。この禁止は、犯罪活動に直接関連する客観的かつ検証可能な事実に既に基づいている、犯罪活動への人の関与に関する人間の評価を支援するために使用されるAIシステムには適用されない。
Prohibition E: Untargeted scraping of facial images	禁止事項E．顔画像の非対象スクレイピング
AI systems that create or expand facial recognition databases through the untargeted scraping of facial images from the internet or CCTV footage.	インターネットやCCTV映像から顔画像を非対象にスクレイピングすることにより、顔認識データベースを作成または拡張するAIシステム。
Prohibition F: Certain AI systems for emotion recognition in the workplace or in education	禁止事項F：職場や教育機関における感情認識のための特定のAIシステム
AI systems that infer emotions of a natural person in the areas of workplace and education institutions, except where the use of the AI system is intended to be put in place or into the market for medical or safety reasons.	職場や教育機構の分野における自然人の感情を推論するAIシステム。ただし、医療上または安全上の理由からAIシステムの導入または市場投入が意図されている場合を除く。
Prohibition G: Certain AI systems for biometric categorisation of persons	禁止事項G：人物の生体データ分類のための特定のAIシステム
AI systems for biometric categorisation that categorise individually natural persons based on their biometric data to deduce or infer their race, political opinions, trade union membership, religious or philosophical beliefs, sex life or sexual orientation; this prohibition does not cover any labelling or filtering of lawfully acquired biometric datasets, such as images, based on biometric data or categorising of biometric data in the area of law enforcement.	人種、政治的意見、労働組合員、宗教的または哲学的信条、性生活または性的指向を推測または推論するために、生体データに基づいて個々の自然人を分類する生体データ分類のためのAIシステム。この禁止は、合法的に取得された生体データセット（画像など）を生体データに基づいてラベリングまたはフィルタリングしたり、法執行の分野で生体データを分類したりすることは対象としない。
Prohibition H: Certain AI systems for real-time remote biometric identification in publicly accessible spaces for purpose of law enforcement	禁止事項H：法執行を目的とした、一般にアクセス可能な空間におけるリアルタイムの遠隔バイオメトリック識別のための特定のAIシステム
AI-systems used for of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purpose of law enforcement, unless and in so far as such use is strictly necessary for one of the following objectives:	法執行を目的とした、一般にアクセス可能な空間における「リアルタイムの」遠隔バイオメトリック識別システムのために使用されるAIシステムは、そのような使用が以下のいずれかの目的のために厳密に必要である場合を除く：
• the targeted search for specific victims of abduction, trafficking in human beings or sexual exploitation of human beings, as well as the search for missing persons;	• 誘拐,人身売買,性的搾取の特定の被害者,および行方不明者の捜索。
• the prevention of a specific, substantial and imminent threat to the life or physical safety of natural persons or a genuine and present or genuine and foreseeable threat of a terrorist attack;	• 自然人の生命または身体の安全に対する特定の、実質的かつ差し迫った脅威、または真正かつ現在の、または真正かつ予見可能なテロ攻撃の脅威の防止；
• the localisation or identification of a person suspected of having committed a criminal offence, for the purpose of conducting a criminal investigation or prosecution or executing a criminal penalty for offences referred to in Annex II and punishable in the Member State concerned by a custodial sentence or a detention order for a maximum period of at least four years.	• 附属書IIに規定され,かつ,当該加盟国において少なくとも4年の拘禁刑または拘禁令によって処罰される犯罪について,犯罪捜査または訴追を行い,または刑事罰を執行する目的で,犯罪を犯したと疑われる者を特定または識別すること。
Point (h) of the first subparagraph is without prejudice to Article 9 of Regulation (EU) 2016/679 for the processing of biometric data for purposes other than law enforcement.	第1号の(h)点は、法執行以外の目的での生体データの処理に関する規則(EU)2016/679の第9条を損なうものではない。

第1回に意見募集結果と今後について...

・2024.12.18 Summary and next steps call for input on manipulative and exploitative AI systems

Summary and next steps call for input on manipulative and exploitative AI systems	操作および搾取的AIシステムに関する意見募集の概要と次のステップ
18 December 2024	2024年12月18日
Themes: Coordination of algorithmic and AI supervision EU AI Act	テーマ：アルゴリズムおよびAIの監督の調整 EU AI法
In 2024, the Dutch Data Protection Authority (AP) called for input on the first two prohibitions in the AI Act.	2024年、オランダデータ保護当局（AP）は、AI法の最初の2つの禁止事項に関する意見を募集した。
This document provides a summary of responses and identifies follow-up steps in relation to the call for input regarding the first two prohibitions of the AI Act, concerning:	本書では、AI法の最初の2つの禁止事項に関する意見募集に関する回答の概要をまとめ、以下の事項に関する今後の対応について明らかにする。
・AI systems that use manipulative or deceptive techniques.	・人を操る、または欺く技術を使用するAIシステム
・AI systems that exploit human vulnerabilities.	・人間の脆弱性を悪用するAIシステム

・[PDF]

Manipulative, deceptive and exploitative AI systems	操作的欺瞞的、搾取的なAIシステム
Summary of responses and next steps	回答の要約と今後のステップ
Autoriteit Persoonsgegevens (AP) - Department for the Coordination of Algorithmic Oversight (DCA)	個人データ保護局（AP） - アルゴリズム監督調整局（DCA）
December 2024 DCA-2024-04	2024年12月 DCA-2024-04
Summary and next steps	要約と今後のステップ
This document provides a summary of responses and identifies follow-up steps in relation to the previous call for input regarding the first two prohibitions in Article 5 of the AI Act (see document DCA-2024-01). This concerns AI systems that use manipulative or deceptive techniques, as well as AI systems that exploit human vulnerabilities. Overall, the AP distils three main observations from the responses received.	本書は、AI法第5条の最初の2つの禁止事項に関する前回の意見募集（文書DCA-2024-01を参照）に対する回答の概要と今後の対応について説明するものである。これは、操作的なまたは欺瞞的な手法を用いるAIシステム、および人間の脆弱性を悪用するAIシステムに関するものである。全体として、APは、受け取った回答から3つの主な所見を導き出した。
Main observation 1 – Many respondents note that the practices to which the prohibitions relate are already regulated or prohibited by other horizontal or sector-specific laws and regulations.	主な所見1 – 多くの回答者は、禁止事項に関連する行為はすでに他の水平または分野別の法律や規制によって規制または禁止されていると指摘している。
The prohibitions in question are closely linked to consumer protection laws such as directives on unfair commercial practices, the Digital Services Act (DSA) and financial regulations. The practices also affect the lawful processing of personal data as regulated in, among others, the General Data Protection Regulation (GDPR). According to the AP, the prohibitions in the AI Act have a preventive nature (AI systems may not be developed or used) and therefore the prohitions complement the aforementioned laws. As such, the prohibitions provide an opportunity for more effective supervision of situations in which AI systems play a role in cases of deception, manipulation and exploitation of persons. It is important that these regulations are explained and applied as coherently as possible. This requires close cooperation and coordination between the Netherlands Authority for Consumers and Markets (ACM), Dutch Authority for the Financial Markets (AFM) and the AP.	問題となっている禁止事項は、不公正な商慣行に関する指令、デジタルサービス法（DSA）、金融規制などの消費者保護法と密接に関連している。また、これらの慣行は、一般データ保護規則（GDPR）などで規定されている個人データの合法的な処理にも影響を及ぼす。APによると、AI法における禁止事項は予防的な性質（AIシステムの開発や使用を禁止する）を持つため、前述の法律を補完するものとなる。そのため、禁止事項は、AIシステムが欺瞞、操作、搾取のケースで役割を果たす状況をより効果的に監督する機会を提供する。これらの規制は、できる限り首尾一貫した形で説明および適用されることが重要である。そのためには、オランダ消費者市場局（ACM）、オランダ金融市場局（AFM）、AP間の緊密な協力と調整が必要である。
Main observation 2 – Several respondents point to the additional possibilities that AI offers to deceive, manipulate or exploit people more convincingly.	主な所見2 – 複数の回答者は、AIが人を欺いたり、操作したり、利用したりする可能性をより説得力のある形で提供していると指摘している。
A frequently cited example of this is the use of dark patterns, where interfaces are designed or organised in such a way that they deceive or manipulate people into making choices or decisions that they would not otherwise make. AI technology can reinforce manipulative or deceptive patterns by, for example, better responding to a person's characteristics or vulnerabilities during the interaction with the user.	この例としてよく挙げられるのが、ダークパターン（dark patterns）の使用であり、これは、ユーザーが通常選択しないような選択や決定をさせるために、人を欺いたり、操作したりするようにインターフェースが設計または構成されていることを指す。AI技術は、例えば、ユーザーとのやり取りの際に、個人の特性や脆弱性により適切に対応することで、操作や欺瞞のパターンを強化することができる。
Main observation 3 – Respondents note that the prohibitions are not elaborated in standards and therefore need to be further clarified in guidelines.	主な所見3 – 回答者は、禁止事項が規準で詳細に説明されていないため、ガイドラインでさらに明確化する必要があると指摘している。
The prohibitions in the AI Act are new and contain connections and concepts that are operationalised only to a limited extent in the AI Act itself. This means there are also a number of topics that require further clarification, as is noticeable in the input from respondents. This concerns, for example, the extent to which there must be a link between the AI system and the deception or manipulation; the scope of the concept of harm; when significant harm has been caused; what exactly can be understood as a subliminal or deceptive technique; what types of vulnerabilities an AI system can exploit and whether a behavioural distortion can also occur gradually.	AI法における禁止事項は新しいものであり、AI法自体では限定的にしか運用化されていない関連性や概念を含んでいる。これは、回答者からの意見にも顕著に見られるように、さらなる明確化が必要なトピックが多数あることを意味する。例えば、AIシステムと欺瞞または操作との間のリンクの程度、危害の概念の範囲、重大な危害が引き起こされた場合、潜在的なまたは欺瞞的な手法として具体的に何を理解できるか、AIシステムが利用できる脆弱性の種類、行動の歪曲も徐々に起こり得るか、などである。
The AP uses these insights to support the preparation of Dutch supervisory authorities to supervise the prohibitions and will further incorporate the input received in the explanation of the prohibitions in the coming months. This involves cooperation and coordination with other supervisory authorities, including in the AI and Algorithm Chamber of the Digital Regulation Cooperation Platform (SDT). In addition, the input provides a basis for the AP's contribution from practice in the discussion on the guidelines on the prohibitions that the European Commission is currently working on.	APは、これらの洞察を活用して、オランダの監督当局による禁止事項の監督準備を支援し、今後数か月の間に、禁止事項の説明に受け取った意見をさらに組み込んでいく予定である。これには、デジタル規制協力プラットフォーム（SDT）のAIおよびアルゴリズム委員会を含む、他の監督当局との協力と調整が含まれる。さらに、これらの意見は、欧州委員会が現在策定中の禁止事項に関するガイドラインの議論において、APが実務面から貢献するための基礎となる。
I. Background	I. 背景
AI Act & prohibited AI	AI法および禁止されるAI
1. The AI Act (2024/1689) entered into force on 1 August 2024. This act sets out rules on the development and use of artificial intelligence (AI) in the EU. The starting point of the AI Act is that there are many useful applications of AI, but that the technology also entails risks that need to be managed. Some AI systems with unacceptable risk will be prohibited.	1. AI法（2024/1689）は2024年8月1日に施行された。この法律は、EUにおける人工知能（AI）の開発と利用に関する規則を定めている。AI法の起点は、AIには多くの有用な用途がある一方で、その技術には管理が必要なリスクも伴うという点である。容認できないリスクを伴う一部のAIシステムは禁止される。
Call for input	意見募集
2. On 27 September 2024, the AP issued a call for input regarding the first two prohibitions in Article 5 of the AI Act. This concerns AI systems that use manipulative or deceptive techniques (hereinafter referred to as prohibition A), as well as AI systems that exploit human vulnerabilities (hereinafter referred to as prohibition B).	2. 2024年9月27日、APはAI法第5条の最初の2つの禁止事項に関する意見募集を開始した。これは、人を操るまたは欺く技術を使用するAIシステム（以下、禁止A）と、人間の脆弱性を悪用するAIシステム（以下、禁止B）に関するものである。
3. The call for input aims to gather information and insights from stakeholders (citizens, governments, companies and other organisations) and organisations that represent them. The AP aims to collect information to provide a basis for preparing further interpretation of the prohibitions in the AI Act. The call for input is also part of a series of calls on the various prohibitions in the AI Act. More information about the AI Act, the prohibitions and the role of the AP in supervision can be found on the website of the AP and in the previously published call for input.	3. 意見募集は、ステークホルダー（市民、政府、企業、その他の組織）およびそれらを代表する組織から情報や見識を集めることを目的としている。APは、AI法における禁止事項のさらなる解釈の準備の基礎となる情報を収集することを目的としている。意見募集は、AI法におけるさまざまな禁止事項に関する一連の呼びかけの一部でもある。AI法、禁止事項、監督におけるAPの役割に関する詳細は、APのウェブサイトおよび以前に公表された意見募集を参照のこと。
4. Between 27 September and 17 November 2024, the AP received fifteen responses from various organisations and individuals with diverse backgrounds, including academics. The AP is pleased that the call has reached citizens, companies, researchers and social organisations and that they have wanted to contribute by submitting input.	4. 2024年9月27日から11月17日までの間、APは、学術関係者を含むさまざまな背景を持つ個人および団体から15件の回答を得た。APは、この意見募集が市民、企業、研究者、社会組織に届き、彼らが意見を提出することで貢献したいと考えたことを喜ばしく思う。
5. Following the call for input, this summary document was prepared. All input has been reviewed by the AP and the main points have been included in this document. The document refers only in generic terms to the submitters of the input received. In a limited number of places in this document, the input is also appreciated by the AP. This has been done where appropriate and where it could be traced back directly to the provisions in the AI Act or where an (additional) point of view could be provided. In doing so, the AP aims to contribute to the discussion on the interpretation of the prohibitions. With this document, the AP does not intend to provide an explanation of the prohibitions or related laws.	5. 意見募集の後、この要約文書が作成された。すべての意見はAPによって検討され、主な内容は本書に盛り込まれた。本書では、提出者について一般的な用語のみを使用している。本書では限られた箇所で、APも意見を評価している。これは、AI法の規定に直接関連する箇所、または（追加の）見解が提供できる箇所において、適切と思われる場合に実施された。これにより、APは禁止事項の解釈に関する議論に貢献することを目指している。本報告書において、APは禁止事項または関連法の説明を行う意図はない。
AI Act compliance supervision	AI法遵守の監督
6. The AP made this call for input in its role as coordinating supervisor of algorithms and AI. Within the AP, these tasks have been assigned to the Department for the Coordination of Algorithmic Oversight (DCA). The call for input is an extension of the preparatory work being done for the supervision of prohibited AI systems under the AI Act. The government is currently working on the formal designation of national supervisors for the AI Act. The AP (from the Department for the Coordination of Algorithmic Oversight) and the Dutch Authority for Digital Infrastructure (RDI) have issued an advice on this matter in collaboration and coordination with other supervisory authorities. It has been recommended, among other things, that the AP be designated as the market surveillance authority for most of the prohibitions in Article 5.	6. APは、アルゴリズムおよびAIの調整監督機関として、意見募集の呼びかけを行った。AP内では、これらのタスクはアルゴリズム監督調整局（DCA）に割り当てられている。意見募集の呼びかけは、AI法に基づく禁止AIシステムの監督に向けた準備作業の延長である。政府は現在、AI法に基づく国家監督機関の正式指定に取り組んでいる。AP（アルゴリズム監督調整局）とオランダのデジタルインフラ当局（RDI）は、他の監督当局と協力・調整しながら、この問題に関する助言を提示している。特に、第5条の禁止事項のほとんどについて、APを市場監視当局として指定することが推奨されている。
II. Summary and evaluation of submitted input	II. 提出された意見の要約と評価
General points	一般的な指摘
Relationship with other laws and regulations	他の法律や規則との関係
Various respondents note that the practices to which the prohibitions in question relate are in some cases already regulated or prohibited by other horizontal or sector-specific laws and regulations.	さまざまな回答者が、問題となっている禁止事項に関連する行為は、他の横断的または分野別の法律や規則によってすでに規制または禁止されている場合があることを指摘している。
7. Examples include the rules in consumer law, for example, when it concerns unfair commercial practices or dark patterns (including Article 25 DSA), or (specific) financial regulations that protect consumers against deception and manipulation. The AP points out that several guidelines are already available on these rules, such as the Guidelines for the Protection of Online Consumers of the Netherlands Authority for Consumers & Markets (ACM) or the Policy Rules of the Dutch Authority for the Financial Markets (AFM) regarding the provision of information in the financial sector. Also, processing of personal data that underlies prohibited practices is regulated by the GDPR and processing of personal data for the purposes of the prohibited practices will also be unlawful.	例えば、不公正な商慣行やダークパターン（第25条DSAを含む）に関する消費者保護法の規定、または（特定の）金融規制による消費者保護などである。APは、オランダ消費者・市場局（ACM）による「オランダのオンライン消費者保護に関するガイドライン」や、金融セクターにおける情報提供に関するオランダ金融市場局（AFM）の「ポリシー規則」など、これらの規則に関するいくつかのガイドラインがすでに存在していることを指摘している。また、禁止行為の根底にある個人データの処理はGDPRによって規制されており、禁止行為を目的とした個人データの処理も違法となる。
8. According to the AP, what is special about the prohibitions in the AI Act is that, in cases where manipulation, deception and exploitation involves an AI system, they relate to both the development and the use of such systems. Therefore, both providers and users could be held liable. This will enable action to be taken against harmful practices involving AI at various points in the AI value chain. Furthermore, the prohibitions concern many different types of harm. In addition, the prohibitions in question also relate to the harm of groups of persons. This may make it less complicated to take action against prohibited AI practices than under other legal frameworks, which, for example, do not target providers, relate to psychological harm or concern groups of persons. That is why the prohibitions – in addition to, and interpreted in conjunction with, other rules governing similar practices – provide a means to supervise AI systems more effectively.	8. APによると、AI法における禁止事項の特別な点は、操作、欺瞞、搾取がAIシステムに関わる場合、そのようなシステムの開発と使用の両方に適用されることである。したがって、提供者と利用者の両方が責任を問われる可能性がある。これにより、AIバリューチェーンのさまざまな段階で、AIに関わる有害な行為に対して措置を取ることが可能になる。さらに、禁止事項は多くの異なる種類の被害を対象としている。さらに、禁止事項は、複数の人々に対する危害にも関連している。このため、例えば、プロバイダーを対象としておらず、心理的な危害に関連していたり、複数の人々に対する危害を懸念していたりする他の法的枠組みよりも、禁止されたAIの慣行に対する措置を講じやすくなる可能性がある。これが、禁止事項が、同様の慣行を規制する他の規則に加えて、またそれらと併せて解釈されることにより、AIシステムをより効果的に監督する手段を提供している理由である。
9. The alignment of and between regulations is important. According to the AP, the prohibitions should be interpreted and applied as much as possible in accordance with, and in conjunction with, existing (European) regulations in the areas of inter alia consumer protection and financial services, the DSA and the GDPR.	9. 規制間の整合性は重要である。APによると、禁止事項は、とりわけ消費者保護および金融サービス、DSA、GDPRの分野における既存の（欧州）規制にできる限り従い、かつ、それらと併せて解釈・適用されるべきである。
10. In doing so, supervision of the prohibitions in the AI Act should focus primarily on practices in which AI technology plays an important role. This requires close cooperation and coordination between the supervisory authorities, including in particular the ACM and AFM. The authorities are already making efforts to achieve this.	10. そうすることで、AI法における禁止事項の監督は、AI技術が重要な役割を果たす行為に主に焦点を当てるべきである。そのためには、特にACMおよびAFMを含む監督当局間の緊密な協力と調整が必要である。当局はすでにこの実現に向けて努力している。
Relationship to high-risk uses and other prohibitions	高リスク用途およびその他の禁止事項との関係
Respondents note that the prohibitions also relate to high-risk applications and other prohibitions, and that clarity should be provided on this.	回答者は、禁止事項は高リスク用途およびその他の禁止事項にも関連しており、この点について明確化が必要であると指摘している。
11. Respondents raise the question whether the exception for AI systems that do not pose a significant risk to the health, safety or fundamental rights of natural persons (Article 6, third paragraph of the AI Act), also applies to the prohibitions. Such systems would then not considered to be high-risk. According to the AP, this exception only applies to AI systems that would otherwise be considered high-risk AI systems (Chapter III of the AI Act). This exception therefore does not apply to the prohibitions in the AI Act.	11. 意見提出者は、自然人の健康、安全、基本権に重大なリスクをもたらさないAIシステムに対する例外（AI法第6条第3項）が禁止事項にも適用されるかという疑問を提起している。そのようなシステムは、高リスクとはみなされない。APによると、この例外は、高リスクAIシステムとみなされる可能性のあるAIシステムのみに適用される（AI法第3章）。したがって、この例外はAI法の禁止事項には適用されない。
12. Several respondents also point to the link with the banned and high-risk AI systems for emotion recognition in relation to the prohibitions delineated upon in this summary. This particularly concerns the possibilities that emotion recognition offers to better respond to people's vulnerabilities or to manipulate or deceive them more effectively.	12. 複数の回答者は、この要約で示した禁止事項に関連して、感情認識のための禁止された高リスクAIシステムとの関連性も指摘している。これは特に、感情認識が人々の脆弱性により適切に対応したり、より効果的に操作したり欺いたりする可能性を提供する点に関係している。
Involving professionals	専門家の関与
A respondent noted that developments in AI technology are occurring rapidly and that at the same time, there is a need for clarity on the application of the rules and best practices.	回答者は、AI技術の発展は急速に進んでいるが、同時に、規則やベストプラクティスの適用に関する明確性も必要であると指摘した。
13. AI professionals can contribute to clarification. The AP considers this dialogue with stakeholders to be important so that the AP, together with other supervisory authorities, can contribute to the explanation and guidance on the AI Act. The respondent also emphasises the importance of education and practical training by the organisation. According to the AP, this also ties in with the subject of AI literacy (Article 4 of the AI Act) and the steps that organisations developing or using AI systems are taking to promote AI literacy.	13. AIの専門家は明確化に貢献できる。APは、他の監督当局とともに、AI法に関する説明やガイダンスに貢献できるよう、ステークホルダーとの対話を重要視している。回答者はまた、組織による教育および実地訓練の重要性を強調している。APによれば、これはAIリテラシー（AI法第4条）のテーマとも関連しており、AIシステムを開発または使用する組織がAIリテラシーの促進のために講じている措置とも関連している。
Specific points	具体的な指摘
Criterion 1 (prohibitions A and B): AI-enabled manipulative, deceptive or exploitative practices	規準1（禁止事項AおよびB）：AIによる操作、欺瞞、搾取的な行為
Several respondents indicated that manipulative, deceptive or exploitative practices are increasingly enabled by AI and that the use of AI increases the risks associated with these practices. According to respondents, the use of AI, in combination with the use of available personal data, makes it possible to approach and interact with people when they are at their weakest or most vulnerable. Because of their adaptability, AI systems are also able to respond well to a person's circumstances or vulnerabilities. Clarification seems particularly needed on the issue of the link between the manipulative, deceptive or exploitative practice and the AI system.	回答者の一部は、AIによって操作、欺瞞、搾取的な行為がますます可能になり、AIの利用によってこれらの行為に伴うリスクが高まると指摘した。回答者によると、利用可能な個人データの利用と組み合わせたAIの利用によって、人が最も弱っている時や最も脆弱な時に、その人に近づき、関わることも可能になる。AIシステムは適応性があるため、人の状況や脆弱性にもうまく対応できる。特に、操作、欺瞞、搾取的な行為とAIシステムとの関連性について明確化する必要があると思われる。
14. Respondents often note the additional possibilities offered by AI to use dark patterns, where interfaces are designed or organised to deceive or manipulate people into making choices or decisions that they would not otherwise make. For example, AI technology can be used to further tailor an interface and the information provided therein to a person's characteristics or vulnerabilities, thereby reinforcing manipulative or deceptive patterns in the interface.	14. 回答者は、AIによってダークパターンが利用される可能性がさらに高まることをしばしば指摘している。ダークパターンとは、ユーザーを欺いたり操作したりして、通常であれば選択や意思決定を行わないような選択や意思決定を行わせることを目的として、インターフェースが設計または構成されることを指す。例えば、AI技術は、インターフェースやそこに提供される情報を個人の特性や脆弱性に合わせてさらにカスタマイズするために使用することができ、それによってインターフェースにおける操作や欺瞞のパターンが強化される。
15. Several respondents also point to the possibilities that generative AI offers to deceive or manipulate people more convincingly. Respondents also point out the possibilities of using AI to spread or recommend misinformation or manipulative content, or to persuade people to change their voting behaviour, for example. An individual respondent also noted that the risk of deception, manipulation or exploitation is greater if AI technology is more deeply integrated into other applications compared to when the technology is superficially and visibly present in, for example, a chatbot. Many of these concerns also relate to the regulation of General Purpose AI models and the transparency obligations in Article 50 of the AI Act. The supervision of the ACM and the ACM Guidelines regarding the Digital Services Regulation are also relevant here, as they largely relate to online platforms and, for example, the dissemination of misinformation and disinformation.	15. また、複数の回答者は、生成的AIが人々をより説得力を持って欺いたり操作したりする可能性を指摘している。回答者はまた、AI を利用して誤情報や操作的なコンテンツを拡散したり推奨したり、あるいは人々に投票行動の変更を説得したりする可能性についても指摘している。また、ある回答者は、AI 技術が他のアプリケーションに深く統合されている場合、例えばチャットボットに表面的に目に見える形で存在している場合と比較して、欺瞞、操作、搾取のリスクがより高くなることを指摘している。これらの懸念の多くは、汎用AIモデルの規制やAI法第50条の透明性義務にも関連している。デジタルサービス規制に関するACMおよびACMガイドラインの監督も、オンラインプラットフォームや、例えば誤情報や偽情報の拡散と大きく関連しているため、関連性がある。
16. Some respondents indicate that the necessary link between an AI system and manipulation, deception and exploitation needs clarification. According to respondents, the question is whether and when practices involving manipulation, deception or exploitation are related to the use of AI. One respondent noted that this aspect of the prohibitions is crucial to the scope of the prohibitions. In light of that, this respondent notes that using other simpler technologies in combination with AI can also lead to manipulation, deception and exploitation. According to the AP, this shows how important the explanation of the term 'AI system' is for the applicability of the prohibitions. According to the AP, this also underlines the importance of choosing an integral approach in the future interpretation of this definition with regard to practices in which AI technology is used. This in order to address the risks of the use of, for example, deceptive AI systems.	16. ある回答者は、AIシステムと操作、欺瞞、搾取との間の必要な関連性を明確にする必要があると指摘している。回答者によると、問題は、操作、欺瞞、搾取を伴う行為がAIの利用と関連しているかどうか、また、関連している場合、それはいつなのかということである。ある回答者は、禁止の範囲を考える上で、この禁止の側面が極めて重要であると指摘している。その観点から、この回答者は、AIと組み合わせた他のより単純な技術の利用も、操作、欺瞞、搾取につながりうると指摘している。APによれば、これは禁止規定の適用可能性にとって「AIシステム」という用語の説明がいかに重要であるかを示している。APによれば、これはまた、AI技術が使用される行為に関して、この定義の将来の解釈において包括的なアプローチを選択することの重要性を強調している。これは、例えば欺瞞的なAIシステムの使用のリスクに対処するためである。
Criterion 2 (prohibition A): Deployment of subliminal and deceptive techniques	規準2（禁止A）：潜在意識や欺瞞的手法の展開
Respondents indicate that – in the framework of prohibition A – there is still a great deal of uncertainty about what can be understood by subliminal techniques of which people are not aware, or by manipulative or deceptive techniques. They argue that it is particularly necessary to clarify what such techniques entail. The extent to which manipulation or deception must have been intended also requires clarification.	回答者は、禁止Aの枠組みにおいて、人々が気づかない潜在意識的手法や、操作的手法、欺瞞的手法が何を意味するのかについて、依然として多くの不確実性があると指摘している。回答者は、このような手法が何を意味するのかを明確にする必要があると主張している。また、操作や欺瞞が意図されていた程度についても明確にする必要がある。
17. In the framework of the questions about subliminal techniques, several respondents mention examples such as systems that use imperceptible pitches or images that are displayed very quickly. If such techniques can indeed lead to behavioural distortion, then according to the AP, it should be clarified whether these indeed constitute subliminal techniques within the meaning of the AI Act. Respondents also again mentioned the use of dark patterns in their answers regarding subliminal techniques.	17. サブリミナル手法に関する質問の枠組みの中で、回答者の何人かは、知覚できない音程や非常に速く表示される画像を使用するシステムなどの例を挙げている。このような手法が実際に行動の歪曲につながるのであれば、APによれば、これらの手法がAI法の意図するサブリミナル手法に該当するのかどうかを明確にする必要がある。回答者はまた、サブリミナル手法に関する回答の中で、ダークパターンの使用についても言及している。
18. One respondent notes that further clarification should be provided as to how this prohibition can refer to purposefully manipulative or deceptive techniques. Simultaneously, the section in the legal provision on the prohibition about the ‘distortion of behaviour’ refers to a distortion that is the objective or the effect of the use of the AI system. According to this respondent, it should therefore be possible for manipulative or deceptive techniques to also fall under the prohibition if they only have the effect (and therefore do not necessarily have the purpose) of materially distorting the behaviour of individuals. According to the AP, how this criterion, in particular the 'intention' of the use of manipulative or deceptive techniques, should be interpreted is indeed a point of concern.	18. ある回答者は、この禁止が意図的な操作や欺瞞的な手法をどのように参照し得るのかについて、さらなる明確化が必要であると指摘している。同時に、行動の歪曲に関する禁止に関する法規定の条項では、AIシステムの使用の目的または効果としての歪曲について言及している。この回答者によると、したがって、個人の行動を実質的に歪める効果（必ずしも目的があるとは限らない）を持つ場合、操作または欺瞞的な技術も禁止の対象となり得るはずである。APによると、この規準、特に操作または欺瞞的な技術の使用の「意図」をどのように解釈すべきかは、確かに懸念事項である。
Criterion 3 (prohibition B): Exploitation of vulnerabilities	規準3（禁止B）：脆弱性の悪用
In the framework of prohibition B, respondents note that AI technologies make it increasingly easier to exploit human vulnerabilities. According to respondents, it is also necessary to clarify what kind of vulnerabilities included in this prohibition and whether this may also involve the use of proxies that indicate a person's vulnerabilities.	禁止Bの枠組みにおいて、回答者は、AI技術により人間の脆弱性を悪用することがますます容易になっていると指摘している。回答者によると、この禁止事項に含まれる脆弱性の種類を明確化する必要があるほか、人間の脆弱性を示す代理の使用も含まれる可能性があるかどうかを明確化する必要もある。
19. According to various respondents, it is unclear what exactly is meant by exploiting vulnerabilities. One respondent indicated that it would be helpful if there were guidelines to assess whether vulnerabilities are being exploited. According to one respondent, the use of AI and the (personal) data processed in the process makes it possible to gain more insight into a person's circumstances, such as their financial circumstances. This would make it easier to exploit vulnerabilities associated with it. Another respondent notes that large data processing and the use of AI also make it possible to exploit people's vulnerabilities in less visible and subtle ways. In such cases, proxy data is used that does not directly indicate the presence of a vulnerability, but is an indirect indicator of it. According to the AP, this recognises the fact that the availability of more (personal) data and the increased possibilities to process this data with AI technologies only increases the risks of exploitation of vulnerable people. However, according to the AP, the interpretation of this prohibition ultimately depends on whether the AI system uses vulnerabilities that, as described in the AI Act, are the result of a person's age, disability or a specific social or economic situation. So in this assessment, it is not necessary per se to assess how and on the basis of which (personal) data the AI system determines that there is a vulnerability.	19. 様々な回答者によると、脆弱性を悪用するとは具体的に何を意味するのかが不明確である。ある回答者は、脆弱性が悪用されているかどうかを評価するガイドラインがあれば役立つと指摘した。ある回答者によると、AIと（個人）データの処理により、個人の経済状況など、個人の状況についてより深い洞察を得ることが可能になる。これにより、それに関連する脆弱性を悪用しやすくなる。別の回答者は、大量のデータ処理とAIの利用は、目立たない微妙な方法で人々の脆弱性を悪用することも可能にする、と指摘している。このような場合、脆弱性の存在を直接示すものではないが、間接的な指標となる代理データが使用される。APによると、これは、より多くの（個人）データが利用可能になり、AI技術でこのデータを処理できる可能性が高まることで、脆弱な人々を悪用するリスクが高まるという事実を認識している。しかし、APによると、この禁止の解釈は、AIシステムがAI法に記載されているような、人の年齢、障害、特定の社会的または経済的状況の結果として生じる脆弱性を利用しているかどうかによって最終的に決まる。したがって、この評価では、AIシステムがどのように、またどの（個人）データに基づいて脆弱性があると判断しているかを評価する必要はない。
20. Lastly, respondents also believe that AI can be used to protect or support vulnerable people. For example, one respondent indicates that AI can be used to provide timely information or signalling to vulnerable users of certain essential services, which is sometimes also a legal requirement imposed on parties. In addition, according to respondents, the use of AI technology also offers opportunities to, for example, physically, sensorily or cognitively support persons with disabilities by means of assistive AI technologies.	20. 最後に、回答者は、AI が脆弱な人々を保護または支援するために使用できるとも考えている。例えば、ある回答者は、AI を、特定の不可欠なサービスの脆弱なユーザーに適時に情報またはシグナルを提供するために使用できると指摘している。これは、当事者に課される法的要件である場合もある。さらに、回答者によると、AI 技術の使用は、例えば、支援用 AI 技術によって身体、感覚、認知面で障害者を支援する機会も提供する。
Criterion 4 (prohibitions A and B): Significant harm	規準4（禁止事項AおよびB）：重大な危害
Respondents indicate that it may be complicated (in certain cases) to determine what kind of harm may be caused in the event of a distortion of behaviour, and when this harm is significant.	回答者は、行動の歪曲が生じた場合にどのような危害が生じる可能性があるか、また、その危害が重大であるか否かを判断することは（特定のケースでは）複雑になる可能性があると指摘している。
21. According to one respondent, significant harm, as described in the recitals of the AI Act as ‘in particular having sufficiently important adverse impacts on physical, psychological health or financial interests', can take many different forms. This respondent also indicates that the recital provides a non-exhaustive list of the types of adverse impacts due to harm.	21. ある回答者によると、AI法の前文で「特に、身体的、心理的健康または経済的利益に十分に重要な悪影響を及ぼす」と説明されている重大な悪影響は、さまざまな形態を取る可能性がある。この回答者は、前文は悪影響による悪影響の種類を網羅的に列挙したものではないとも指摘している。
22. Respondents do not have a consistent picture of the scope of the concept of harm. According to one respondent, the concept of harm would, for example, include social harm, e.g. as a result of disinformation, while another respondent indicates that this cannot be the case. According to the respondents, it is important that clarification is provided about which types of harm the prohibitions relate to.	22. 関係者間では、損害という概念の範囲について一貫した見解が示されていない。ある関係者は、損害という概念には、例えば偽情報による社会的損害などが含まれると述べているが、別の関係者は、そうはならないと指摘している。関係者によると、禁止がどの種類の損害に関係するのかについて明確化することが重要である。
23. It is also noted by a respondent that a causal link must be established between the harm and the distortion of behaviour and that this is an element of this prohibition that requires clarification. One respondent suggested that it could be helpful to establish certain 'presumptions' for determining this harm and to clarify which steps in thought are required when determining the causal link.	23. また、ある回答者は、害と行動の歪曲との間に因果関係が確立されなければならないと指摘しており、これはこの禁止事項の明確化が必要な要素である。ある回答者は、この害を判断するための一定の「推定」を確立し、因果関係を判断する際に思考のどの段階が必要かを明確にすることが役立つ可能性があると提案している。
24. One respondent indicates that in order to determine whether significant harm has occurred, the 'relativity' of harm must be taken into account. According to the respondent, some harm for the same application of AI might not be significant to one person or group of persons, yet might be significant for another. That is why a flexible approach should be assumed when assessing the significance of harm. Some respondents note that it could be particularly complicated to assess whether significant harm has occurred if it is intangible. All in all, there is a need among respondents for more clarity about the 'significance' of the harm.	24. ある回答者は、重大な損害が発生したかどうかを判断するには、損害の「相対性」を考慮する必要があると指摘している。回答者によると、AIの同じ適用による損害であっても、ある個人またはグループにとっては重大でなくても、別の個人またはグループにとっては重大である可能性がある。そのため、損害の重大性を評価する際には柔軟なアプローチを想定すべきである。回答者の一部は、重大な損害が非物質的なものである場合、損害が発生したかどうかを評価することが特に複雑になる可能性があると指摘している。全体として、回答者からは損害の「重大性」についてより明確にする必要があるとの意見が出されている。
Criterion 5 (prohibitions A and B): With the objective, or the effect of materially distorting behaviour	規準5（禁止事項AおよびB）：目的、または実質的に行動を歪める効果
From the responses of various respondents, it follows that the criterion of 'the material distortion of behaviour' raises questions.	さまざまな回答者の回答から、「実質的な行動の歪曲」という規準には疑問があることが分かる。
25. A number of respondents indicate that the criterion of 'materially distorting behaviour' can also be found in consumer law. According to some respondents, this concept has already been operationalised. This concept is also linked to the concept of the 'average consumer'. According to one respondent, the link with consumer law is clearer in prohibition A, where it is also explained that the criterion concerns appreciably impairing the ability to make an informed decision, thereby causing the persons to take a decision that they would not have otherwise taken. One respondent does indicate that this prohibition has a different rationale than provisions in consumer law, in which this concept is already used. That is why this criterion should not be interpreted in the same way as in consumer law. According to the AP, the concept of 'the material distortion of behaviour’ should be interpreted as much as possible in conjunction with existing laws. Yet the AP notes that the prohibitions in the AI Act also apply to situations that are not related to the purchase of products or services and the role of people as consumers. As a result, this prohibition likely requires additional operationalisation.	25. 多くの回答者は、「実質的な行動の歪曲」という規準は消費者法にも見られると指摘している。一部の回答者によると、この概念はすでに運用化されている。この概念は「平均的な消費者」の概念とも関連している。ある回答者によると、消費者法との関連性は禁止Aの方が明確であり、この規準は、十分な情報に基づく意思決定能力を著しく損なうものであり、それによって、そうでない場合とは異なる意思決定をさせるものであると説明されている。ある回答者は、この禁止は、すでにこの概念が使用されている消費者法の規定とは異なる根拠に基づいていると指摘している。そのため、この規準は消費者法と同じように解釈すべきではない。APによると、「重大な行動の歪曲」という概念は、可能な限り現行法と併せて解釈すべきである。しかし、APは、AI法における禁止事項は、製品やサービスの購入や消費者の役割とは関係のない状況にも適用されると指摘している。そのため、この禁止事項には、さらなる運用上の明確化が必要である可能性が高い。
26. It is also important that this criterion applies to people that are 'appreciably' impaired in their ability to make an informed decision. The question arises from the input from respondents whether the prohibition only applies if a clear decision is made, such as purchasing a service or buying a product, or whether the prohibition also applies to situations in which the influence leads to a gradual change in behaviour or change in mood that is harmful or has harmful consequences for, for example, someone's health or wellbeing. According to the AP, clarification also appears to be necessary with regard to temporal properties of possible distortions of behaviour.	26. また、この規準が、十分な情報に基づく意思決定を行う能力が「相当程度」損なわれている人々にも適用されることも重要である。回答者からの意見では、この禁止は、サービス購入や商品購入など、明確な意思決定が行われた場合にのみ適用されるのか、あるいは、影響が徐々に態度や気分に変化をもたらし、例えば健康や幸福に有害な影響や結果をもたらすような状況にも適用されるのかという疑問が提起されている。APによると、行動の歪みの時間的性質についても明確化が必要であるようだ。
Criterion 6 (prohibitions A and B): Individual and group harm	規準6（禁止AおよびB）：個人および集団への危害
According to several respondents, it is important to emphasise that both prohibitions can involve harm suffered by both individuals and groups of persons.	複数の回答者によると、両方の禁止事項が個人および集団に与える危害を強調することが重要である。
27. According to one respondent, it will have to be explained how different types of harm relate to the individual or to multiple persons. One respondent indicated that it is particularly important to also draw attention to the harm to groups of persons. According to another respondent, this explanation should also take into account harm that 'other' persons may suffer whose behaviour has not been significantly distorted. One respondent indicated that there would be a difference in the actors who could suffer harm per prohibition. According to this respondent, the harm under prohibition B only relates to an individual or individual persons, while under prohibition A, it can also relate to group harm. According to the AP, a textual interpretation of both prohibitions seems to support that reading, but more clarity and certainty is desirable in this area also.	27. ある回答者によると、異なる種類の被害が個人または複数の個人にどのように関連するのかを説明する必要がある。ある回答者は、特に集団に対する被害にも注意を促すことが重要であると指摘した。別の回答者によると、この説明では、行動が著しく歪められていない「その他の」個人が被る可能性のある被害も考慮すべきである。ある回答者は、禁止事項ごとに被害を被る可能性のある行為者に違いがあることを指摘した。この回答者によると、禁止 B の下での損害は個人または個人にのみ関係するが、禁止 A の下では集団的な損害にも関係する可能性がある。AP によると、両方の禁止事項の文言解釈は、この解釈を支持しているように見えるが、この分野でもより明確性と確実性が望まれる。
Scope of the prohibitions	禁止事項の範囲
According to respondents, there should be more clarity on the cases in which an AI system should not fall under the provisions on the prohibitions.	回答者によると、AI システムが禁止事項の規定に該当しない場合について、より明確にする必要がある。
28. One respondent indicated that this clarification should focus on the section on common and legitimate commercial practices, with this respondent emphasising that a common commercial practice is necessarily a legitimate one. Other respondents indicate that it would be helpful to provide more insight into the types of legitimate practices in the context of medical treatment that should not be affected by the prohibitions in this act.	28. ある回答者は、この明確化は「共通かつ正当な商慣行」のセクションに焦点を当てるべきだと指摘し、この回答者は、共通の商慣行は必然的に正当なものであると強調した。他の回答者は、この法律の禁止事項の影響を受けないべき医療行為における正当な慣行の種類について、より詳細な情報を提供することが有益であると指摘している。
III. Follow-up	III. フォローアップ
29. The publication of this summary document concludes the information gathering process through the call for input on the prohibitions on manipulative, deceptive and exploitative AI systems. The submitted input leads to a number of key points, which are relevant to the interpretation that will be given to the prohibitions in the AI Act:	29. この要約文書の公表をもって、人為的、欺瞞的、搾取的なAIシステムに対する禁止措置に関する意見募集による情報収集プロセスは終了する。提出された意見は、AI法における禁止措置の解釈に関連する多くの重要なポイントにつながる。
a. Both prohibitions contain many terms and concepts that are not (or only to a very limited extent) explained in the AI Act. Interpretation through (European) guidelines, as well as further clarification with specific examples, are crucial to ensure that these prohibitions offer protection to citizens and that legal security is provided to market parties. This concerns, for example, the scope of the AI system definition, the techniques to manipulate or deceive, the use of vulnerabilities and the harm that can also be suffered by groups.	a. 両方の禁止事項には、AI法では説明されていない（またはごく限られた範囲でしか説明されていない）用語や概念が数多く含まれている。これらの禁止事項が市民を保護し、市場関係者に法的安定性を提供することを確実にするためには、（欧州）ガイドラインによる解釈や、具体的な例を用いたさらなる明確化が不可欠である。これには、例えば、AIシステム定義の範囲、操作または欺瞞のテクニック、脆弱性の利用、集団が被る可能性のある被害などが含まれる。
b. In particular, the prohibition regarding manipulative and deceptive AI (Article 5, first paragraph, point (a) of the AI Act) relates to laws in the field of consumer protection, financial services and to the DSA. Clarification is needed on how these prohibitions relate to concepts in those laws, given the independent nature and rationale of the prohibitions in the AI Act. Here, for example, it concerns the meaning of 'significant harm' or the material distortion of behaviour. In this context, many of the practices mentioned, such as the use of dark patterns, require special attention.	b. 特に、操作および欺瞞的なAIに関する禁止事項（AI法第5条第1項第(a)号）は、消費者保護、金融サービス分野の法律、およびDSAに関連する。AI法における禁止規定の独立した性質と根拠を踏まえると、これらの禁止規定がそれらの法律の概念とどのように関連するのかについて明確化が必要である。例えば、これは「重大な損害」の意味や行動の重大な歪曲に関するものである。この文脈において、ダークパターンの使用など、言及された慣行の多くは特別な注意を必要とする。
c. The prohibitions also relate to other rules in the AI Act, which will sometimes also be supervised upon at EU level. This relation and the scope of these provisions should be clarified by the market surveillance authorities and the AI Office. Here it concerns the relationship of the prohibitions with e.g. transparency obligations (Article 50), other prohibitions or high-risk applications (such as emotion recognition) and the rules for general purpose AI models.	c. 禁止事項は、AI法の他の規定にも関連しており、EUレベルでも監督されることがある。この関連性と規定の範囲は、市場監視当局とAI局によって明確化されるべきである。ここでは、禁止事項と透明性義務（第50条）、他の禁止事項または高リスクのアプリケーション（感情認識など）、汎用AIモデルの規定との関係が問題となる。
30. The AP is working on the preparation of the supervision on the prohibitions in the Netherlands and, in the coming months, will further use the input received for the preparation of information and explanation on the prohibitions.. The knowledge gained is shared with Dutch supervisory authorities in the Digital Regulation Cooperation Platform (SDT), and the AI and Algorithm Chamber (AAK) of the SDT will discuss which follow-up actions are needed to clarify the prohibitions in the AI Act. The above approach is in line with the vision of supervisory authorities to strive for a harmonised interpretation and application of rules that can be simultaneously applied to prohibited AI practices.	30. APはオランダにおける禁止事項の監督準備に取り組んでおり、今後数か月間、禁止事項に関する情報および説明の準備に際しては、さらに得られた意見を活用する予定である。得られた知識はデジタル規制協力プラットフォーム（SDT）のオランダ監督当局と共有され、SDTのAIおよびアルゴリズム委員会（AAK）は、AI法における禁止事項を明確化するためにどのような追加措置が必要かについて議論する。上記の手法は、禁止されたAIの慣行に同時に適用できるルールの調和のとれた解釈と適用を目指す監督当局のビジョンに沿ったものである。
31. The AP will also use the insights gathered from practice as a basis for contributing to the discussion on the guidelines on the prohibitions. The European Commission intends to publish the first guidelines in early 2025. To this end, it has launched a consultation for stakeholders, including AI system providers, companies, national authorities, academics, research institutions and civil society. More information on these guidelines and consultation can be found on the European Commission website.	31. APは、実務から得られた洞察を、禁止行為に関するガイドラインの議論に貢献するための基礎としても活用する。欧州委員会は、2025年初頭に最初のガイドラインを公表する予定である。この目的のために、欧州委員会は、AIシステムプロバイダー、企業、各国当局、学術関係者、研究機関、市民社会を含む利害関係者との協議を開始した。これらのガイドラインおよび協議に関する詳細は、欧州委員会のウェブサイトに掲載されている。

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.08 オランダデータ保護局意見募集職場や教育における感情認識のための特定のAIシステムの禁止 (2024.10.31)

・2024.10.30 オランダ会計検査院政府はAIのリスクアセスメントをほとんど実施していない...

・2024.10.18 オランダ AI利用ガイド (2024.10.16)

・2024.09.29 オランダデータ保護局意見募集「操作的欺瞞的、搾取的なAIシステム」

・2024.09.05 オランダデータ保護局顔認識のための違法なデータ収集でClearviewに3,050万ユーロ（48.5億円）

・2024.08.28 オランダデータ保護局ドライバーデータの米国への転送を理由にUberに2億9000万ユーロ（467億円）の罰金

・2024.08.12 オランダデータ保護局が注意喚起：AIチャットボットの使用はデータ漏洩につながる可能性がある

・2024.08.11 オランダ AI影響アセスメント (2023.03.02)

・2024.08.05 欧州AI法が施行された... (2024.08.01)

2024.12.19 06:33 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in パブコメ, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2024.12.18

ブラジル国家データ保護局生成的AIについての一般向け説明 (2024.11.29)

こんにちは、丸山満彦です。

ブラジルの国家データ保護局が生成的AIの一般向けの説明であるテクノロジー・レーダーと文書を発表していますが、よくまとまっているように思いました。（ポルトガル語ですが、AIの恩恵にあずかっています...）

● gov.br - Autoridade Nacional de Proteção de Dados (国家データ保護局)

・2024.11.29 - IA Generativa é tema do 3º volume da série Radar Tecnológico da ANPD

RADAR TECNOLÓGICO	テクノロジー・レーダー
IA Generativa é tema do 3º volume da série Radar Tecnológico da ANPD	ジェネレーティブAIは、ANPDのテクノロジー・レーダー・シリーズ第3巻のテーマである。
O estudo oferece um olhar preliminar sobre os desafios regulatórios nesse campo emergente	この新分野における規制上の課題について予備的な考察を行う。
Autoridade Nacional de Proteção de Dados (ANPD) lançou, nesta sexta (29), o terceiro volume da série Radar Tecnológico. Dessa vez, o foco está em modelos generativos de Inteligência Artificial (IA), comumente chamado de “IA Generativa”.	国家データ保護局（ANPD）は29日（金）、テクノロジー・レーダー・シリーズの第3弾を発表した。今回は、一般に「ジェネレーティブAI」と呼ばれる生成型人工知能（AI）モデルに焦点を当てている。
O estudo, conduzido pela Coordenação-Geral de Tecnologia e Pesquisa (CGTP), busca aprofundar a compreensão sobre o tema, identificando potenciais riscos à privacidade e à proteção de dados, além de analisá-los sob a ótica da Lei Geral de Proteção de Dados Pessoais (LGPD).	技術・研究総合調整局（CGTP）が実施したこの研究は、プライバシーとデータ保護に対する潜在的なリスクを特定し、一般個人データ保護法（LGPD）の観点から分析することで、このテーマに対する理解を深めることを目的としている。
O documento apresenta uma análise técnica abrangente sobre os fundamentos da IA generativa, explorando conceitos como:	この文書は、生成的AIの基礎に関する包括的な技術的分析を提示し、以下のような概念を探求している：
・Raspagem de dados da web (data scraping ou web scraping), prática que pode envolver o tratamento de dados pessoais;	・データスクレイピングまたはウェブスクレイピングは、個人データの処理を伴う可能性がある；
・Geração de conteúdos sintéticos, que potencialmente podem conter informações pessoais;	・個人情報を含む可能性のある合成コンテンツを生成する；
・Práticas de compartilhamento de dados pessoais em sistemas de IA generativa.	・生成的AIシステムにおける個人データの共有の実践。
Além disso, o estudo aborda como essas questões se relacionam com princípios da LGPD, incluindo o da transparência e o da necessidade, oferecendo um olhar preliminar sobre os desafios regulatórios nesse campo emergente.	さらに、これらの問題が、透明性や必要性を含むLGPDの原則とどのように関連するのかを取り上げ、この新たな分野における規制上の課題を予備的に考察している。
O relatório também destaca casos reais de uso de IA generativa no Brasil, com exemplos de aplicações no setor público, na saúde e no setor financeiro, evidenciando o potencial impacto dessa tecnologia na sociedade brasileira.	報告書はまた、公共部門、ヘルスケア、金融部門におけるアプリケーションの例を挙げて、ブラジルにおけるジェネレーティブAIの実際の使用事例を紹介し、この技術がブラジル社会に与える潜在的な影響を浮き彫りにしている。
Acesse o estudo completo por este LINK.	このリンクから報告書にアクセスできる。
Radar Tecnológico	テクノロジー・レーダー
O Radar Tecnológico é uma série de publicações da ANPD que objetiva realizar abordagens de tecnologias emergentes que vão impactar ou já estejam impactando o cenário nacional e internacional da proteção de dados pessoais. Para cada tema, são abordados os conceitos principais, as potencialidades e as perspectivas de futuro, sempre com ênfase no contexto brasileiro. O primeiro volume abordou o tema de cidades inteligentes, e o segundo, de biometria e reconhecimento facial.	テクノロジー・レーダーは、個人データ保護の国内および国際的なシナリオに影響を与える、あるいはすでに影響を与えている新技術を分析することを目的としたANPDの出版物シリーズである。各トピックについて、ブラジルの状況に常に重点を置きながら、主な概念、可能性、将来の展望が取り上げられている。第1巻ではスマートシティを、第2巻ではバイオメトリクスと顔認証を扱った。
Sem a intenção de esgotar as temáticas ou firmar posicionamentos institucionais, o propósito da série é agregar informações relevantes ao debate da proteção de dados no País, com textos didáticos e acessíveis ao público geral.	テーマを網羅したり、制度的な立場を確立したりする意図はなく、このシリーズの目的は、一般市民がアクセスできる教訓的なテキストによって、国内のデータ保護に関する議論に関連情報を追加することである。

・[PDF] ‹ radar tecnológico › n° 3 - inteligência artificial generativa

目次...

introdução	はじめに
conceitos principais	主要概念
inteligência artificial generativa e proteção de dados pessoais	生成的人工知能と個人データ保護
inteligência artificial generativa no contexto brasileiro	ブラジルの文脈における生成的人工知能
perspectivas de futuro	将来の展望
considerações finais	最終的な考察
referências	参考文献

生成的人工知能と個人データ保護...

inteligência artificial generativa e proteção de dados pessoais	生成的人工知能と個人データ保護
A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n°. 13.709, de 14 de agosto de 2018) tem como objetivo proteger os direitos fundamentais de privacidade, liberdade e o livre desenvolvimento da personalidade (LGPD, art. 1º, caput), ao mesmo tempo em que tem por fundamento o desenvolvimento econômico e tecnológico e a inovação (LGPD, art. 2º, V). Portanto, a inovação tecnológica deve estar em harmonia com a proteção de dados pessoais. Para a adequada proteção de dados pessoais18, torna-se necessário compreender como os dados são tratados em sistemas de IA Generativa. A recente disponibilização de tais sistemas para uso pela sociedade demonstrou sua rápida popularização e utilização para diferentes propósitos.	一般個人データ保護法（LGPD）（2018年8月14日法律第13,709号）は、プライバシー、自由、人格の自由な発展という基本的権利（LGPD第1条caput）を保護すると同時に、経済的・技術的発展とイノベーション（LGPD第2条V）を支えることを目的としている。したがって、技術革新は個人情報の保護と調和していなければならない。個人データ18 を適切に保護するためには、生成的AIシステムでデータがどのように処理されるかを理解する必要がある。最近、このようなシステムが社会で利用できるようになったことで、その急速な普及とさまざまな目的への利用が実証された。
Sistemas de IA Generativa apresentam como características fundamentais: (i) necessidade de grandes volumes de dados para seu treinamento; (ii) capacidade de inferência que permite a geração de novos dados semelhantes aos dados de treinamento; e (iii) adoção de um conjunto diversificado de técnicas computacionais, como, por exemplo, as arquiteturas de transformadores para o Processamento de Linguagem Natural (PLN)[19] e algoritmos de AM, como as redes adversariais generativas para a geração de conteúdos visuais.	生成的AIシステムの基本的な特徴は、(i)学習のために大量のデータが必要であること、(ii)学習データに類似した新たなデータの生成を可能にする推論能力があること、(iii)自然言語処理（NLP）[19]のための変換器アーキテクチャや、映像コンテンツの生成のための生成的敵対的ネットワークなどのMLアルゴリズムなど、多様な計算技法の採用である。
Tais características afetam diretamente o tratamento de dados pessoais²⁰ e os princípios que regem a LGPD. A necessidade de grandes volumes de dados pode resultar no tratamento tanto de dados pessoais quanto não pessoais. A coexistência desses dois tipos de dados eleva os riscos relacionados à proteção de dados pessoais, pois aumenta a probabilidade de que dados pessoais sejam tratados sem as devidas salvaguardas e que o princípio da necessidade não seja atendido. Além disso, a capacidade de geração de novos dados, ou conteúdo sintético, coloca em risco a proteção de dados pessoais, uma vez que o conteúdo sintético gerado pode ser indistinguível de dados pessoais e se relacionar a uma pessoa natural identificada ou identificável, bem como ser erroneamente associado a pessoas reais. Por fim, o conjunto de técnicas computacionais ensejam em metodologias complexas e opacas, de modo que o baixo nível de transparência não se deve necessariamente à natureza da técnica utilizada, mas à dificuldade em interpretar suas operações e compreender os processos realizados para a obtenção de resultados.	これらの特性は、個人データの処理20 とLGPDを管理する原則に直接影響する。大量のデータを必要とする場合、個人データと非個人データの両方が処理されることになる。これら2種類のデータが共存すると、個人データが適切な保護措置なしに処理され、必要性の原則が満たされない可能性が高まるため、個人データの保護に関するリスクが高まる。さらに、新しいデータ、すなわち合成コンテンツを生成する能力は、個人データの保護を危うくする。なぜなら、生成された合成コンテンツは、個人データと区別がつかず、識別された、または識別可能な自然人に関連し、また実在の人物と誤って関連付けられる可能性があるからである。最後に、一連の計算技法は複雑で不透明な方法論に帰結するため、透明性の低さは必ずしも使用される技法の性質によるものではなく、その操作を解釈し、結果を得るために実施されたプロセスを理解することの難しさによるものである。
Assim, os titulares21 e agentes de tratamento22 se encontram diante de sistemas de IA que apresentam desafios significativos para a proteção de dados pessoais. Os riscos vão desde o potencial tratamento de dados pessoais e a geração de conteúdo sintético até a dificuldade de assegurar	このように、データ主体21と処理機関22は、個人データ保護に重大な課題をもたらすAIシステムに直面している。そのリスクは、個人データの潜在的処理や合成コンテンツの生成から、透明性などの原則を確保することの難しさまで多岐にわたる。
princípios como a transparência. Tais condições exigem atenção aos princípios e regras estabelecidas pela LGPD e impõem desafios relacionados ao risco de violações de direitos fundamentais.	透明性などの原則を確保することの難しさにまで及ぶ。このような状況下では、LGPDが定めた原則やルールに注意を払う必要があり、基本的権利の侵害リスクに関連する課題を課している。
A seguir, analisa-se a relação da IA generativa com diferentes operações de tratamento de dados pessoais. Além disso, ao final deste capítulo, serão trazidas breves reflexões sobre a IA generativa e alguns princípios da LGPD. Para tanto, adotou-se o seguinte conjunto de referências: CNIL (2023), Glenster; Gilbert (2023), ABNT NBR ISO/IEC 22989 (2023), AEPD (2023), OPC (2023), Solove (2024), Rana et al., (2022), Teffé (2017).	次に、生成的AIとさまざまな個人データ処理業務の関係を分析する。さらに、本章の最後に、生成的AIとLGPDの原則のいくつかについて簡単な考察を行う。そのために、以下の参考文献を採用した： CNIL（2023）、Glenster; Gilbert（2023）、ABNT NBR ISO/IEC 22989（2023）、AEPD（2023）、OPC（2023）、Solove（2024）、Ranaら（2022）、Teffé（2017）。
18 Dados pessoais: informação relacionada a pessoa natural identificada ou identificável.	18 個人データ：識別された、または識別可能な自然人に関する情報。
19 Processamento de Linguagem Natural: é uma área interdisciplinar que envolve o campo da ciência da computação dedicado à interação entre computadores e a linguagem humana, por meio de programas capazes de processar, analisar, interpretar e gerar dados de linguagem natural. Isso inclui o resumo de textos, tradução automática, reconhecimento da voz, análise de sentimentos, geração de texto e voz, entre outros. A linguagem natural é qualquer língua humana, que pode ser expressa em texto, fala, linguagem de sinais etc.	19 自然言語処理：自然言語データを処理、分析、解釈、生成できるプログラムによって、コンピュータと人間の言語との相互作用に特化したコンピュータ科学の分野を含む学際的分野である。これには、テキストの要約、機械翻訳、音声認識、感情分析、テキストと音声の生成などが含まれる。自然言語とは、テキスト、音声、手話などで表現されるあらゆる人間の言語である。
20 Tratamento de dados pessoais: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.	20 個人データの処理：収集、作成、受領、分類、使用、アクセス、複製、送信、配布、処理、保管、保存、削除、情報の評価または管理、変更、通信、移転、普及または抽出に関するものなど、個人データを用いて行われるあらゆる操作。
21 Titulares: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.	21 情報主体：処理される個人データが関係する自然人。
22 Agentes de tratamento: o controlador e o operador.	22 処理代理人：管理者および運営者。
A relação entre o tratamento de dados pessoais e os sistemas de IA Generativa	個人データ処理と生成的AIシステムの関係
A fim de evidenciar a relação entre o tratamento de dados pessoais e os sistemas de IA Generativa, este estudo delimitou 04 (quatro) conjuntos de elementos que fazem parte do tratamento de dados pessoais. São eles: (i) coleta e armazenamento, (ii) processamento, (iii) compartilhamento e (iv) eliminação.	個人データの処理と生成的AIシステムの関係を明らかにするために、本研究では個人データの処理に含まれる要素を4つに分類した。すなわち、(i)収集と保管、(ii)処理、(iii)共有、(iv)削除である。
i) Coleta e Armazenamento de dados para treinamento	i) 学習用データの収集と保存
O desenvolvimento de modelos de IA Generativa envolvem várias etapas e um dos primeiros passos é a coleta de dados que posteriormente são armazenados e usados para treinar o modelo.	生成的AIモデルの開発にはいくつかの段階があり、最初の段階のひとつがデータの収集である。
Uma das maneiras de coletar dados para a formação de grandes bases para treinamento e testes de sistemas de IA Generativa, é por meio da técnica de raspagem de dados da web (data scraping ou web scraping). Essa técnica utiliza programas para navegar pela web que realizam a coleta, extração e/ou cópia automatizada de dados criados e disponibilizados pelos usuários da web ou por terceiros. Os dados coletados podem incluir qualquer informação presente na web como nomes, sobrenomes, endereços, endereços de e-mail, vídeos, áudios, imagens, comentários, opiniões, preferências, entre outros dados e identificadores, disponíveis em diferentes sítios eletrônicos ou em bases de dados.	生成的AIシステムのトレーニングやテストのための大規模なデータベースを形成するためのデータ収集方法のひとつに、データスクレイピング（ウェブスクレイピング）という手法がある。この手法では、ウェブ・ユーザーや第三者によって作成され利用可能になったデータを収集、抽出、コピーするウェブ閲覧プログラムを使用する。収集されるデータには、氏名、姓名、住所、電子メールアドレス、動画、音声、画像、コメント、意見、嗜好など、ウェブ上に存在するあらゆる情報が含まれる。
A raspagem de dados, a depender do método de automação utilizado, pode selecionar dados específicos, como por exemplo, coletar apenas opiniões e até mesmo definir um intervalo de tempo regular para realizar uma nova coleta. Em outros casos, a raspagem pode operar em uma escala significativa e percorrer bilhões de páginas da web. A dinamicidade e a velocidade de disponibilização de novos dados na web permite o desenvolvimento de diferentes sistemas para realizar a atividade de raspagem e agregação de dados (data aggregators)²³.	データスクレイピングは、使用される自動化方法によって、意見のみを収集したり、再収集のための定期的な時間間隔を設定するなど、特定のデータを選択することができる。また、何十億ものウェブページを対象とした大規模なスクレイピングも可能である。新しいデータがウェブ上で利用可能になるダイナミズムとスピードは、データのスクレイピングと集約を行うさまざまなシステム（データ・アグリゲータ）の開発を可能にしている²³。
Como exemplo de grandes bases de dados disponíveis e utilizadas no treinamento de modelos de IA24 pode ser destacada a Common Crawl. Essa é uma organização sem fins lucrativos que realiza o rastreamento e a coleta regular de dados na web, por meio de crawlers, ou seja, programas automatizados, com o objetivo de gerar repositórios. Trata-se de uma infraestrutura centralizada que reúne dados de diferentes fontes, agregados e armazenados de forma gratuita e aberta, disponível para qualquer pessoa que deseja realizar pesquisas e desenvolver inovações que requerem grandes conjuntos de dados, inclusive no campo da IA25.	AIモデルの学習に利用可能な大規模データベースの例24として、Common Crawlがある。これは非営利団体で、リポジトリを生成する目的で、クローラー（自動プログラム）を使ってウェブ上のデータを定期的にクロールし、収集している。これは、さまざまなソースからのデータを集約し、自由でオープンな方法で保存する集中型のインフラであり、AI25の分野を含め、大規模なデータセットを必要とする研究やイノベーションの開発を望む誰もが利用できる。
A natureza abrangente da coleta massiva de dados possibilita que repositórios, como os da Common Crawl, ofereçam uma fonte de dados ampla e diversificada obtidos por meio de raspagem a agregação de dados. Para o treinamento de modelos de IA, os desenvolvedores podem mesclar a raspagem de dados realizada de forma direta pelo próprio desenvolvedor, com fontes de outra organização como a Common Crawl, bem como com dados de fontes diversas como livros, artigos e publicações científicas, dissertações e teses, transcrições de áudio e vídeo, tabelas, códigos, legislações, entre outros.	大量データ収集の包括的な性質により、コモン・クロールのようなリポジトリは、データスクレイピングと集約によって得られた、広範で多様なデータソースを提供することが可能になる。AIモデルを訓練するために、開発者は、開発者が直接実施したデータスクレイピングと、Common Crawlのような別の組織からのソース、さらに書籍、科学論文や出版物、学位論文や学位論文、音声やビデオのトランスクリプト、表、コード、法律などの様々なソースからのデータを混在させることができる。
A operação de raspagem e agregação de dados em larga escala amplia os riscos em relação à possibilidade de incluir dados pessoais. O amplo escopo de dados que podem ser coletados para o desenvolvimento de modelos, também apresenta a mesma preocupação.	大規模なデータのスクレイピングと集計の作業は、個人データを含む可能性に関するリスクを増大させる。モデル開発のために収集できるデータの範囲が広いことも、同様の懸念を引き起こす。
A ausência de etapas de pré-tratamento adequadas para a eliminação ou anonimização26 de dados pessoais possibilita a existência de riscos significativos relacionados ao tratamento indevido de dados pessoais. Os riscos apresentam agravantes nos casos que incluem o tratamento de dados pessoais sensíveis27 e dados de crianças e adolescentes.	個人データの削除または匿名化26 のための適切な前処理ステップがないことは、個人データの不適切な処理に関連する重大なリスクが存在することを意味する。このリスクは、機微な個人データ27 や児童・青少年のデータ処理に関わる場合に悪化する。
É importante destacar que o conteúdo de sites públicos ou acessíveis publicamente estão sujeitos à LGPD, visto que empresas que disponibi-lizam tais informações possuem obrigações em relação à proteção de dados pessoais em suas plataformas. Da mesma forma, desenvolvedores e empresas que realizam a raspagem na web devem garantir a conformidade com a proteção de dados pessoais.	公開されているウェブサイトや一般公開されているウェブサイトの内容は、LGPDの対象となることを強調しておくことが重要である。なぜなら、そのような情報を公開している企業は、自社のプラットフォーム上の個人データの保護に関して義務を負っているからだ。同様に、ウェブスクレイピングを実施する開発者や企業も、個人データの保護に関するコンプライアンスを確保しなければならない。
O tratamento de dados pessoais sem o conhecimento dos titulares envolvidos limita o controle destes sobre os seus dados pessoais. A limitação do controle pode ocorrer mesmo após a eliminação dos dados pelos titulares na web em virtude da possibilidade de raspagem anterior e seu armazenamento em repositórios.	データ主体の知らないところで個人データを処理すると、データ主体の個人データに対する管理が制限される。過去のスクレイピングやリポジトリへの保存の可能性により、データ主体がウェブ上でデータを削除した後でも、管理の制限は起こりうる。
A operação de raspagem deve indicar a hipótese legal para o tratamento de dados pessoais, de modo que empresas que realizam essa atividade precisam considerar uma das hipóteses legais presentes nos arts. 7 º e 11 da LGPD. Adicionalmente, conforme o art. 7º, §§ 3º e 4º, existe a expressa menção à aplicação dos princípios de proteção de dados nos casos em que os dados pessoais são tornados públicos pelo próprio titular ou de acesso público. Logo, o uso de dados pessoais raspados deve atentar sobretudo aos princípios da boa-fé, finalidade, adequação e necessidade.	そのため、この活動を行う企業は、個人情報の処理に関する法的仮説を、導出法第7条および第11条にある法的仮説のいずれかを考慮する必要がある。さらに、第7条第3項および第4項によれば、個人データがデータ主体によって公開される場合、または一般にアクセス可能な場合におけるデータ保護原則の適用について明示的に言及されている。したがって、スクレイピングされた個人データの利用は、善意、目的、適切性、必要性の原則に特に注意を払わなければならない。
Dessa forma, são necessários mecanismos que assegurem a transparência adequada nas etapas de coleta e armazenamento de dados para a forma-ção de grandes bases de dados.	したがって、大規模なデータベースを形成するためには、データ収集と保存の段階で十分な透明性を確保する仕組みが必要である。
23 Agregação de dados: é uma técnica que por meio de sistemas computacionais agrupa dados coletados de uma grande variedade de fontes em um repositório centralizado para acesso e tratamento.	23 データ集約：コンピュータシステムを用いて、さまざまな情報源から収集したデータを一元化されたリポジトリにまとめ、アクセスや処理を行う技術。
24 Modelos de IA: representação matemática e lógica de um sistema, entidade, fenômeno, processo ou dados. O modelo permite a IA processar, modelar, adaptar-se, interpretar e gerar dados para interagir com o mundo, com capacidade de generalizar o aprendizado para diferentes contextos. Os modelos podem ser divididos em diferentes tipos, de acordo com a sua função ou aplicação, por exemplo, modelos de aprendizado de máquina, modelos baseados em regras, modelos de redes neurais artificiais, entre outros.	24 AIモデル：システム、実体、現象、プロセス、またはデータの数学的・論理的表現。モデルにより、AIはデータを処理、モデル化、適応、解釈、生成して世界と相互作用することができ、異なる文脈に学習を汎化する能力を持つ。モデルはその機能や用途によって、例えば機械学習モデル、ルールベース・モデル、人工ニューラルネットワーク・モデルなど、さまざまなタイプに分けることができる。
25 Maiores informações em: https://commoncrawl.org.	25 詳細はhttps://commoncrawl.org。
26 Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.	26 匿名化：データ処理時に利用可能な合理的な技術的手段を使用し、データから個人との直接的または間接的な関連付けの可能性をなくすこと。
27 Dados pessoais sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.	27 機微（センシティブ）個人データ：自然人に関連する場合、人種的または民族的出身、宗教的信念、政治的意見、労働組合または宗教的、哲学的または政治的団体の会員であること、健康または性生活に関するデータ、遺伝的またはバイオメトリックなデータに関する個人データ。
ii) Processamento	ii) 処理
O processamento de dados envolve etapas do ciclo de vida de sistemas de IA²⁸ Generativa. A atividade de processar dados é iniciada na fase anterior ao treinamento do modelo, ou seja, durante a formação da base de dados de treinamento e teste e percorre o ciclo de vida dos sistemas de IA Generativa.	データ処理には、AI28システムのライフサイクルにおける段階が含まれる。データを処理する活動は、モデルをトレーニングする前の段階、すなわちトレーニング・データベースとテスト・データベースを形成する段階から始まり、生成的AIシステムのライフサイクルを通じて実行される。
A utilização de dados de repositórios originados de processos de raspagem da web, bem como a mesclagem com dados raspados de forma direta pelo próprio desenvolvedor com outras fontes podem implicar no uso e reuso de dados para o treinamento e refinamento de diferentes modelos em IA. Na existência de dados pessoais, isso pode conduzir a um tratamento contínuo, irrestrito e ilimitado de dados pessoais em diferentes sistemas de IA Generativa.	ウェブのスクレイピング処理に由来するリポジトリからのデータの使用や、開発者が直接スクレイピングしたデータと他のソースとのマージは、さまざまなAIモデルの訓練と改良のためのデータの使用と再利用を意味する。個人データの場合、これはさまざまなジェネレーティブAIシステムにおける個人データの継続的、無制限、無制限の処理につながる可能性がある。
A capacidade de sistemas de IA Generativa de gerar novo conteúdo sintético vai além do processamento básico de dados e abrange o aprendizado e a modelagem para gerar novas representações com base nos dados de treinamento.	新しい合成コンテンツを生成する生成的AIシステムの能力は、基本的なデータ処理にとどまらず、学習データに基づいて新しい表現を生成するための学習とモデリングを包含する。
Durante o treinamento, os parâmetros do modelo recebem seus respectivos valores que representam os pesos29 em relação à capacidade do modelo de gerar, por exemplo, linguagem natural precisa. Os pesos refletem padrões e relações aprendidas, ou seja, como o modelo responde e aprende a partir dos dados de treinamento.	学習中、モデルのパラメータには、例えば正確な自然言語を生成するモデルの能力との関係で、重み29を表すそれぞれの値が与えられる。重みは、学習されたパターンと関係、すなわちモデルが学習データにどのように反応し、学習するかを反映する。
Os modelos não processam e armazenam informações específicas, pois sua característica matemática invisibiliza os dados, ou seja, a existência de dados pessoais nas bases de dados pode ser ocultada por meio de processos matemáticos durante o treinamento. Desta forma, os dados pessoais podem não ser diretamente identificados no modelo. Cumpre ressaltar, que recentes estudos colocam em discussão a possibilidade de pessoas naturais serem identificáveis em razão de vulnerabilidades a ataques do tipo de inversão de modelo (model inversion) e de membership inference (VEALE, BINNS, EDWARDS, 2018)	モデルの数学的特性はデータを不可視にするため、モデルは特定の情報を処理・保存しない。つまり、データベース内の個人データの存在は、学習中の数学的処理によって隠すことができる。このように、個人情報はモデル内で直接特定されることはない。最近の研究では、モデルの反転やメンバーシップ推論攻撃に対する脆弱性により、自然人が特定される可能性が議論されていることに留意すべきである（VEALE, BINNS, EDWARDS, 2018）。
Porém, os sistemas de IA Generativa permitem interações dos usuários em linguagem natural com o modelo treinado para a geração de respostas. Desta forma, a depender da forma de interação, instruções e o contexto informado pelo usuário por meio do prompt³⁰, dados pessoais podem ser gerados como resposta em MLLE.	しかし、生成的AIシステムでは、ユーザが訓練されたモデルと自然言語で対話し、回答を生成することができる。したがって、インタラクションの形式、指示、およびプロンプトを通じてユーザーが提供するコンテキスト30に応じて、MLLEでは個人データを回答として生成することができる。
O conteúdo³¹, embora sintético, ou seja, gerado pelo modelo, apresenta narrativas que podem resultar na produção de conteúdo falso ou inverídico sobre uma pessoa real. Essa possibilidade apresenta riscos em relação à proteção de dados e ao livre desenvolvimento da personalidade, especialmente no que tange ao direito de imagem do titular.	コンテンツ³¹は、モデルによって生成された合成的なものではあるが、実在の人物に関する虚偽または真実でないコンテンツが生成される可能性のある語りを提示する。この可能性は、データ保護と人格の自由な発展、特に保有者の肖像権との関係でリスクをもたらす。
Neste ponto, não se trata apenas da fisionomia e retrato da pessoa, ou seja, sua imagem-retrato como uma expressão externa da pessoa humana, mas também de sua imagem-atributo que está relacionada com um conjunto de características que podem ser associadas a uma pessoa em sua representação no meio social, como a honra, reputação, dignidade ou prestígio.	この時点では、人相や肖像、すなわち人間の外見的表現としてのイメージ・ポートレートだけでなく、名誉、名声、威厳、威信など、社会環境における表現において個人と関連付けられ得る一連の特徴に関連するイメージ・アトリビュートも含まれる。
Por exemplo, em uma interação com o prompt para análise de currículos, o sistema pode gerar conteúdo sintético que apresente fatos infundados e inverídicos sobre a vida pessoal do candidato, interpretações errôneas de opiniões, informações inverídicas e qualquer outro conteúdo que pode disseminar informações falsas ou prejudicar a reputação de alguém. Outro exemplo é o caso ocorrido com a atriz Taylor Swift que foi alvo de disseminação viral de imagens sexuais falsas geradas por deepfakes³².	例えば、履歴書を分析するためのプロンプトとのインタラクションにおいて、システムは、候補者の私生活に関する根拠のない事実、意見の誤った解釈、真実でない情報、その他虚偽の情報を広めたり誰かの評判を傷つけたりする可能性のあるあらゆるコンテンツを提示する合成コンテンツを生成することができる。別の例としては、女優のテイラー・スウィフトが、^{ディープフェイク32} によって生成された偽の性的画像のウイルス拡散の標的になったケースがある。
Daniel Solove (2024) se refere a esses conteúdos inverídicos gerados pela IA generativa como “materiais malevolentes”, devido à sua capacidade de amplificar casos de fraudes e outros golpes. Ele alerta, contudo, que nem sempre esses materiais são gerados de forma intencional pelo operador da IA Generativa, devido ao fenômeno da alucinação³³. A intenção pode ser um elemento importante em regimes de responsabilidade que se baseiam numa concepção de culpa subjetiva, contudo ela tem menor relevância em regimes de responsabilidade objetiva ou baseados na concepção normativa de culpa.	Daniel Solove（2024）は、生成的AIによって生成されたこのような真偽不明のコンテンツを、詐欺などの事例を増幅させる能力から「悪意のある素材」と呼んでいる。しかし彼は、幻覚現象33 のために、こうした素材が必ずしも生成的AIのオペレーターによって意図的に生成されるとは限らないと警告している。故意は、主観的過失の概念に基づく責任体制においては重要な要素となりうるが、客観的責任体制や過失の規範的概念に基づく責任体制においては、あまり関係がない。
Assim, há um desafio em definir quem deve se responsabilizar pela geração de alucinações referentes a pessoas naturais que possuam efeito danoso. Outro desafio está na conformidade com a LGPD, visto que sistemas de IA Generativa podem gerar dados pessoais sem que tenham sido especificamente treinados para essa finalidade.	したがって、有害な影響を及ぼす自然人に関する幻覚の発生について、誰が責任を負うべきかを定義することには課題がある。また、生成的AIシステムはこの目的のために特別に訓練されることなく個人データを生成することができるため、GDPRの遵守も課題となる。
28 Ciclo de vida de sistemas de IA: é um modelo que descreve a evolução e etapas de um sistema de IA, desde o início de seu desenvolvimento até a sua desativação. As etapas não são sequenciais e podem ocorrer muitas vezes de forma iterativa, tais como, gestão de riscos, correções, refinamento do modelo, implementação de melhorias e atualizações do sistema. A decisão de desativar um sistema de IA pode ocorrer em qualquer momento durante a fase de operação e monitoramento.	28 AIシステムのライフサイクル：これは、AIシステムの開発開始から廃止までの進化と段階を記述するモデルである。段階は連続的ではなく、リスク管理、修正、モデルの改良、改良の実施、システムの更新など、反復的に行われることが多い。AIシステムを廃止するという決定は、運用・監視段階であればいつでも起こりうる。
29 Pesos: variável interna de um modelo que afeta a forma de cálculo das saídas ou resultados. No caso de IA Generativa, os pesos determinam a importância relativa de diferentes entradas para o cálculo das saídas. Para isso, os pesos são ajustados iterativamente durante o processo de treinamento do modelo para capturar padrões e características dos dados de treinamento.	29 重み：出力や結果の計算方法に影響を与えるモデルの内部変数。生成的AIの場合、重みは、出力を計算するための異なる入力の相対的な重要性を決定する。そのために、モデルの学習過程で重みが反復的に調整され、学習データのパターンや特性を把握する。
30 Prompt: pode ser traduzido como entrada ou comando. Na computação o prompt é uma mensagem ou uma linha de comando em uma interface de usuário. No contexto da IA Generativa, o prompt é uma entrada de texto usada para dar instruções ao modelo de IA sobre o que fazer ou qual pergunta esse deve responder.	30 プロンプト：入力または命令と訳すことができる。コンピューティングでは、プロンプトとはユーザーインターフェイスのメッセージやコマンドラインのことである。ユーザーインターフェース。生成的AIの文脈では、プロンプトはAIモデルに何をすべきか、あるいはどのような質問に答えるべきかの指示を与えるために使用されるテキスト入力である。
31 Conteúdo sintético: conjunto de informações composta por dados sintéticos. Nesta seção, optou-se por utilizar esta expressão, para frisar que o conteúdo gerado poderá incluir dados pessoais. É importante, ainda, ter em mente que o termo “dado sintético” é utilizado tanto no campo da computação quanto na área de privacidade e proteção de dados. Na computação, os dados sintéticos podem ser utilizados no desenvolvimento e testes de sistemas de IA quando os dados reais não estão disponíveis nas quantidades necessárias, não existem ou não podem ser tratados, e para o balanceamento de bases de dados. Na área de privacidade e proteção de dados, o uso de dados sintéticos costuma estar associado às Privacy Enhancing Technologies (PETs). Neste sentido, a AEPD destaca que o dado sintético será uma técnica de PET, se usada para gerar conjuntos de dados não pessoais com a mesma utilidade que os pessoais. Note, porém, que “conteúdos sintéticos” não são gerados com a finalidade de anonimização.	31 合成コンテンツ：合成データで構成された情報の集合。このセクションでは、生成されるコンテンツに個人データが含まれる可能性があることを強調するために、この表現を使用することにした。また、「合成データ」という用語は、コンピューティングの分野でも、プライバシーとデータ保護の分野でも使われることを念頭に置くことも重要である。コンピューティングの分野では、実データが必要量入手できない場合、存在しない場合、処理できない場合、データベースのバランスをとる場合などに、AIシステムの開発やテストに合成データを使用することができる。プライバシーとデータ保護の分野では、合成データの利用はプライバシー向上技術（PETs）と関連付けられることが多い。この意味で、EDPSは、個人データと同じ有用性を持つ非個人データのセットを生成するために合成データが使用される場合、合成データはPET技術となることを強調している。ただし、「合成コンテンツ」は匿名化を目的として生成されるものではないことに留意されたい。
32 Deepfakes: o termo deepfake é derivado do termo deep learning e fake, ou seja, aprendizado profundo e falso, em português. O termo descreve o conteúdo realístico manipulado como fotos e vídeos gerados pelo aprendizado profundo.	32 ディープフェイク（Deepfake）：ディープフェイクという用語は、ディープラーニング（深層学習）とフェイク（偽物）という用語に由来する。この用語は、ディープラーニングによって生成された写真や動画など、リアルに操作されたコンテンツを表す。
33 Alucinação: o termo alucinação em Modelos de Linguagem em Larga Escala (MLLEs) são caracterizados por conteúdo gerado que não é representativo, verídico ou não faz sentido em relação à fonte fornecida, por exemplo, devido a erros na codificação e decodificação entre texto e representações. No entanto, deve-se notar que a alucinação artificial não é um fenômeno novo (BEUTEL, GEERITS e KIELSTEIN, 2003).	33 幻覚：大規模言語モデル（Large-Scale Language Models：LSML）における幻覚という用語は、例えばテキストと表現の間の符号化および復号化におけるエラーのために、代表的でない、真実でない、または提供されたソースとの関連で意味をなさない、生成されたコンテンツによって特徴づけられる。しかし、人為的な幻覚は新しい現象ではないことに留意すべきである（BEUTEL, GEERITS and KIELSTEIN, 2003）。
iii) Compartilhamento	iii) 共有
Em virtude da abrangência do conceito de compartilhamento no tratamento de dados pessoais, que pode ser visto por diferentes perspectivas, o estudo dividiu o compartilhamento em três etapas: (1) compartilhamento de dados pelo usuário do sistema de IA Generativa que pode ser ou não o titular de dados; (2) compartilhamento dos resultados obtidos por meio da interação com o prompt em sistemas de IA Generativa com dados pessoais por terceiros; e (3) compartilhamento do modelo pré-trei-nado com dados pessoais.	個人データの処理における共有の概念は、様々な観点から捉えることができる範囲を考慮し、本研究では共有を3つの段階に分けた：(1)データ主体であるか否かを問わない生成的AIシステムのユーザーによるデータの共有、(2)生成的AIシステムにおけるプロンプトとの対話を通じて得られた結果の第三者による個人データとの共有、(3)事前学習済みモデルの個人データとの共有。
1. Compartilhamento de dados pelo usuário do sistema de IA Generativa que pode ser ou não o titular de dados	1. データ主体であるか否かを問わない生成的AIシステムの利用者によるデータの共有
Em primeiro lugar, cabe aqui refletir sobre o compartilhamento de novos dados pessoais por usuários que interagem com esses sistemas (sejam usuários na posição de titular de dados ou na de agentes de tratamento34) a partir de prompts de comando.	まず、コマンドプロンプトからこれらのシステムと対話するユーザー（データ主体の立場にあるユーザーであれ、処理代理人34の立場にあるユーザーであれ）による新たな個人データの共有について考察する価値がある。
O prompt dos atuais sistemas de IA Generativa possibilita compartilhar uma vasta gama de dados para a geração de respostas. Com a evolução dos sistemas, a funcionalidade do prompt foi aprimorada e passou a comportar a inclusão de anexos em diferentes formatos. Logo, os usuários podem fornecer instruções e adicionar documentos que implicam diretamente no compartilhamento e tratamento de dados.	今日の生成的AIシステムは、回答を生成するために様々なデータを共有することを可能にしている。システムの進化に伴い、プロンプトの機能は改善され、現在ではさまざまな形式の添付ファイルを含めることができる。ユーザーは、データの共有や処理に直接関わる指示を出したり、文書を追加したりすることができる。
As instruções fornecidas pelos usuários podem incluir uma diversidade de informações, como trechos de documentos, mensagens de texto, e-mails, comentários e opiniões disponíveis em diferentes plataformas, detalhes de experiências pessoais, pesquisas acadêmicas, histórico de compras, interações com clientes, registros médicos, dúvidas e relatos sobre procedimentos médicos, entre outros, que podem apresentar dados pessoais e dados pessoais sensíveis.	ユーザーが提供する指示には、文書からの抜粋、テキストメッセージ、電子メール、さまざまなプラットフォームで利用可能なコメントや意見、個人的な経験の詳細、学術研究、購入履歴、顧客とのやりとり、医療記録、医療処置に関する質問や報告書など、さまざまな情報を含めることができ、個人データや機密性の高い個人データを提示することができる。
Adicionalmente, os usuários podem ter a opção de anexar diferentes tipos de documentos em sua integralidade de modo a ampliar a interação e a capacidade de tratamento de dados. Sendo assim, documentos empresariais confidenciais, receitas e laudos médicos, documentos públicos como escrituras e procurações, atas de reuniões, tabelas, figuras, entre outros, podem ser anexados a fim de receber como resultado uma análise, interpretação ou qualquer outro questionamento que o usuário considere pertinente. Assim, as informações disponibilizadas ao prompt são utilizadas para o aprendizado do contexto.	加えて、ユーザーは、相互作用とデータ処理能力を拡大するために、さまざまな種類の文書をそのまま添付することができる。したがって、機密のビジネス文書、処方箋、医療報告書、証書や委任状などの公的文書、会議の議事録、表、図などを添付して、ユーザーが適切と考える分析、解釈、その他の質問を受けることができる。このようにして、プロンプトが利用可能にした情報は、文脈を知るために利用される。
Um aspecto relevante sobre os MLLE refere-se à geração de respostas personalizadas. As informações fornecidas no prompt são utilizadas para modelar as respostas dentro do contexto, de modo que o contexto da resposta anterior pode ser utilizado para responder uma pergunta posterior dentro do mesmo assunto.	MLLEの関連する側面は、パーソナライズされた回答の生成である。プロンプトで提供された情報は、コンテキストの中で回答をモデル化するために使用され、前の回答のコンテキストが同じテーマに関する次の質問に回答するために使用できる。
O agente de tratamento e o titular de dados, em muitos casos, podem não ter o conhecimento sobre os riscos envolvidos neste compartilhamento de informações ou confiar no sistema em virtude dos benefícios proporcionados pelos resultados ou assistência recebida. Além disso, se uma pessoa natural, usuário do sistema de IA, compartilha dados pessoais de outros titulares com o sistema de IA Generativa, ele poderá, a depender do contexto, ser considerado um agente de tratamento.	処理代理人およびデータ対象者は、多くの場合、このような情報共有に伴うリスクに気づいておらず、また結果や支援によってもたらされる利益のためにシステムを信頼していない可能性がある。さらに、AIシステムのユーザーである自然人が、他のデータ主体の個人データを生成的AIシステムと共有する場合、文脈によっては、そのデータ主体が処理エージェントとみなされる可能性がある。
Dentro desse aspecto, os sistemas devem ser desenvolvidos de modo a proteger a privacidade dos usuários em interações que podem envolver o compartilhamento de dados pessoais no prompt. Outro aspecto relevante é a ausência de informações claras e facilmente acessíveis sobre o tratamento dos dados pessoais disponibilizados no prompt.	この点で、システムは、個人データを共有する可能性のあるインタラクションにおいて、ユーザーのプライバシーを保護するように開発されなければならない。また、プロンプトで利用可能な個人データの処理について、明確で簡単にアクセスできる情報が不足していることも問題である。
A transferência de responsabilidade sobre a proteção de dados pessoais para o usuário a fim de garantir o uso adequado de sistemas de IA Generativa que adotam MLLE não parece ser suficiente para lidar com as consequências atualmente existentes do compartilhamento de dados pessoais via prompt de comando.	MLLEを採用した生成的AIシステムの適切な使用を保証するために、個人データの保護に関する責任をユーザーに転嫁することは、コマンドプロンプトを介して個人データを共有することから現在存在する結果に対処するのに十分ではないように思われる。
34 Agentes de tratamento: o controlador e o operador. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.	34 処理代理人：管理者およびオペレーター。管理者：公法または私法に準拠する自然人または法人で、個人データの処理に関する決定に責任を負う。オペレーター：管理者に代わって個人データの処理を行う、公法または私法に準拠する自然人または法人。
2. Compartilhamento dos resultados obtidos por meio da interação com o prompt em sistemas de IA Generativa com dados pessoais por terceiros	2. 生成的AIシステムにおけるプロンプトとの対話によって得られた結果の第三者による個人情報の共有
Sistemas de IA Generativa podem permitir que dados pessoais sejam compartilhados com terceiros, quando esses dados compõem o conteúdo sintético gerado por estes sistemas.	生成的AIシステムによって生成される合成コンテンツが個人データで構成されている場合、生成的AIシステムは個人データを第三者と共有することができる。
Nesse caso, as observações mencionadas na seção anterior (Processamento) devem ser observadas com atenção, principalmente considerando o risco de os dados compartilhados serem reutilizados para finalidades secundárias que dificilmente o desenvolvedor do sistema de IA Generativa conseguirá controlar.	この場合、特に、共有されたデータが、生成的AIシステムの開発者が管理しにくい二次的な目的に再利用されるリスクを考慮し、前節（処理）で述べた注意事項を注意深く守る必要がある。
Estabelecer uma cadeia de responsabilidade entre os diferentes agentes envolvidos nesse compartilhamento de dados pessoais se torna um ponto relevante para garantir conformidade à LGPD, embora desafiador.	このような個人データの共有に関与する異なるエージェント間の責任の連鎖を確立することは、困難ではあるが、LGPDの遵守を確保するための関連事項となる。
3. Compartilhamento do modelo pré-treinado com dados pessoais	3. 事前学習済みモデルと個人データの共有
Como os modelos pré-treinados podem ser considerados um reflexo da base de dados utilizada no treinamento, a popularização de criação de APIs³⁵ que adotam modelos fundacionais como os MLLE pré-treinados, traz um novo desafio. O compartilhamento de modelos tende a envolver também os dados que estão matematicamente presentes neles.	訓練済みモデルは、訓練に使用されたデータベースの反映であると考えられるため、訓練済みMLLEのような基礎モデルを採用する^API35の作成が一般化することは、新たな課題をもたらす。モデルを共有することは、数学的に存在するデータも共有することになる。
Este tipo de compartilhamento permite o desenvolvimento de aplicações independentes que realizam um ajuste fino ou refinamento do modelo fundacional36, por meio do treinamento com um conjunto de dados específicos para o domínio pretendido.	この種の共有は、意図された領域に特化した一連のデータで基礎モデル36 を訓練することで、基礎モデルの微調整や改良を行う独立したアプリケーションの開発を可能にする。
Ao relacionar o refinamento do modelo fundacional, com a possibilidade de uso dos resultados obtidos por meio da interação com o prompt para a geração de bases de treinamento para o refinamento, a existência de dados pessoais permite um ciclo contínuo de tratamento, como será descrito no tópico seguinte (Eliminação).	基礎モデルの改良を、改良のための訓練ベースを生成するために、プロンプトとのインタラクションを通じて得られた結果を使用する可能性とリンクさせることによって、個人データの存在は、次のトピック（消去）で説明されるように、処理の継続的なサイクルを可能にする。
O compartilhamento de modelos fundacionais que foram treinados com dados pessoais, bem como o uso desses dados para seu refinamento, pode envolver riscos relacionados à proteção de dados a depender da finalidade desejada.	個人データで訓練された基礎モデルを共有すること、およびこのデータを改良のために使用することは、意図する目的によってはデータ保護リスクを伴う可能性がある。
35 APIs: sigla para Application Programming Interface, em português, Interface de Programação de Aplicações; uma forma de permitir, por intermédio de programas de software, a interação entre diferentes aplicativos e extrair dados.	35 API：Application Programming Interface（アプリケーション・プログラミング・インターフェース）の頭字語。ソフトウェア・プログラムを通じて異なるアプリケーション間の相互作用やデータの抽出を可能にする方法である。
36 Refinamento do modelo fundacional: Em inglês fine tuning é uma técnica que pode ocorrer no Aprendizado de Máquina para o ajuste de um modelo que já foi treinado por um grande conjunto de dados para seu uso em um domínio específico. O ajuste ocorre por meio de um novo treinamento com um conjunto de dados mais restrito.	36 基礎モデルの改良：ファイン・チューニングとは、機械学習において、特定の領域で使用するために大量のデータセットですでに訓練されたモデルを調整するために行われる技術である。チューニングは、より限定されたデータセットで再トレーニングすることによって行われる。
iv) Eliminação	iv) 削除
A etapa de eliminação é aquela na qual o dado pessoal ou o conjunto de dados armazenados em banco de dados são eliminados ao término do seu tratamento.	削除段階は、データベースに保存された個人データまたは一連のデータが、その処理の終了時に削除される段階である。
A definição do término do tratamento de dados pessoais em sistemas de IA Generativa precisa considerar três novos elementos relevantes: a geração de conteúdo sintético, a interação com o prompt que permite o compartilhamento de novos dados e o refinamento contínuo do modelo.	生成的AIシステムにおける個人データ処理の終了の定義は、3つの新たな関連要素、すなわち、合成コンテンツの生成、新たなデータの共有を可能にするプロンプトとの相互作用、モデルの継続的な改良を考慮に入れる必要がある。
Essa integração de elementos em um único sistema de IA Generativa pode apresentar dados pessoais. Esse novo contexto tecnológico pode resultar na possibilidade de tratamento contínuo de dados pessoais e exige novas abordagens.	一つの生成的AIシステムにおけるこの要素の統合は、個人データを提示することができる。この新たな技術的背景は、個人データの継続的処理の可能性をもたらし、新たなアプローチを必要とする。
Desse modo, há um desafio em delimitar o fim do período de tratamento, bem como se a finalidade ou necessidade foram alcançadas, além de dificuldades relacionadas com efetivação da revogação do consentimento do titular em sistemas de IA Generativa (caso essa hipótese legal seja utilizada).	したがって、（この法的仮説が使用される場合）ジェネレーティブAIシステムにおけるデータ主体の同意の効果的な取り消しに関する困難さに加えて、処理期間の終了の区切りや、目的または必要性が達成されたかどうかの課題がある。
Assim, é importante observar o princípio da responsabilização e prestação de contas (art. 6º, X) por todos os atores da cadeia produtiva de sistemas de IA Generativa, enquanto esses dados pessoais não tenham sido terminantemente eliminados.	したがって、個人情報が完全に排除されていない限り、生成的AIシステムの生産チェーンにおけるすべての関係者の責任と説明責任の原則（第6条X）を遵守することが重要である。
Em suma, todo o ciclo de vida do tratamento de dados pessoais e o uso de elementos da Inteligência Artificial Generativa devem ser compatíveis com direitos e liberdades dos indivíduos, de modo que os direitos e princípios que orientam a LGPD sejam observados.	要するに、個人データ処理のライフサイクル全体と生成的人工知能の要素の使用は、個人の権利と自由に適合していなければならず、LGPDの指針となる権利と原則が遵守されなければならない。
A IA Generativa e os princípios da LGPD	生成的AIとLGPDの原則
Em relação aos princípios é possível realizar alguns apontamentos. O princípio da transparência requer informações claras, precisas e facilmente acessíveis aos titulares de dados. É comum que os titulares de dados não sejam informados sobre a raspagem de seus dados na web, a inclusão de seus dados pessoais nas bases de treinamento dos modelos, bem como da possibilidade de que interações com o prompt envolvam o compartilhamento de seus dados pessoais ou de terceiros. Portanto, é comum observar a ausência de disponibilização de documentação técnica e não técnica detalhada sobre o tratamento de dados pessoais em diferentes sistemas de IA Generativa.	原則に関しては、いくつかの指摘ができる。透明性の原則は、データ主体が明確で正確かつ容易にアクセスできる情報を必要とする。データ主体が、ウェブ上で自分のデータをスクレイピングすること、モデルの学習ベースに自分の個人データを含めること、プロンプトとのインタラクションが自分や第三者の個人データを共有する可能性について知らされていないことはよくあることである。そのため、さまざまな生成的AIシステムにおける個人データの取り扱いに関する詳細な技術的・非技術的文書が存在しないことがよくある。
A existência de documentação técnica detalhada seria um ponto inicial para a verificação de conformidade em relação à proteção de dados e às fontes de dados utilizadas, agregadas e filtradas, de modo a evidenciar as técnicas ou práticas adotadas que podem conduzir a não utilização de dados pessoais. Da mesma forma, a produção de documentação adequada poderia auxiliar no monitoramento dos sistemas de IA Generativa em seu ciclo de vida, de modo a identificar melhorias e permitir o exercício de direitos, no caso de existência de dados pessoais. A documentação poderia reduzir os riscos relacionados a aplicações que envolvem o tratamento de dados pessoais e garantir a transparência.	詳細な技術文書が存在すれば、データ保護に関するコンプライアンス、使用されるデータソース、集計、フィルタリングを検証するための出発点となり、個人データが使用されないことにつながる可能性のある技術や慣行が採用されていることを明らかにすることができる。同様に、適切な文書を作成することは、個人データが存在する場合に改善を特定し、権利行使を可能にするために、生成的AIシステムをそのライフサイクル全体を通して監視するのに役立つだろう。文書化は、個人データの処理を伴うアプリケーションに関するリスクを軽減し、透明性を保証することができる。
Por sua vez, o princípio da necessidade apresenta um desafio adicional relacionado ao uso de grandes bases de dados em modernos sistemas de IA Generativa no atendimento ao critério de limitação ao tratamento mínimo necessário para o alcance da finalidade. O princípio não indica uma proibição em relação ao treinamento de sistemas de IA Generativa com grandes volumes de dados, mas envolve reflexões e cuidados antes do treinamento, para evitar a existência de dados pessoais não úteis nas bases de treinamento, bem como inseridos posteriormente por meio do prompt ou de anexos.	一方、必要性の原則は、目的を達成するために必要な最小限の処理に限定するという基準を満たす上で、現代の生成的AIシステムにおける大規模なデータベースの使用に関連する新たな課題を提示している。この原則は、大量のデータを用いた生成的AIシステムのトレーニングの禁止を示すものではないが、トレーニングベースでは有用でない個人データが存在し、プロンプトや添付ファイルを介して後から挿入されることを避けるために、トレーニングの前に熟慮と注意が必要である。
De maneira similar, embora os demais princípios da LGPD também não proíbam o crescimento e a inovação no campo da IA Generativa, trazem aspectos que precisam ser observados para o desenvolvimento e uso responsável dessas tecnologias. Afinal, é necessário garantir o desenvolvimento responsável e o pleno progresso da Inteligência Artificial Generativa em diferentes áreas em conjunto com o respeito à privacidade e proteção de dados em todo o seu ciclo de vida.	同様に、LGPDの他の原則も、生成的AIの分野における成長と革新を禁止するものではないが、これらの技術の開発と責任ある使用のために遵守すべき側面をもたらす。結局のところ、様々な分野におけるジェネレーティブ人工知能の責任ある発展と完全な進歩を、そのライフサイクル全体を通してプライバシーとデータ保護の尊重と合わせて保証することが必要なのである。

2024.12.18 08:14 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2024.12.17

ユネスコ合成コンテンツとAI政策への示唆 - 入門編 (2024)

こんにちは、丸山満彦です。

ユネスコが、合成コンテンツとAI政策への示唆 - 入門編を公表しています。

合成コンテンツとそれを容易に大量に生成できるAIの問題と考えるとよいのかもしれません。

そういう意味でいつと、

生成AIの問題というのは、

・生成のロジックをつくる（学習）の問題＝著作権、プライバシー、データの質（バイアス、偽・誤情報等）...

・問い合わせる際（プロンプト入力時）の問題＝データ・セキュリティ

・生成されたコンテンツの問題＝著作権、プライバシー、データの質（バイアス、偽・誤情報等）

・コンテンツを生成するという行為からくる問題＝電力、雇用、教育、人間の創造性・成長、富の再分配等

という整理の仕方もありだなぁ...と思いました。。。

● UNESCO

・Synthetic content and its implications for AI policy: a primer

・[PDF]　Downloaded

・[DOCX][PDF] 一部仮訳

2024.12.17 10:33 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

英国 ICO 生成的AIに関するコンサルテーションに対する情報コミッショナー事務局の回答：生成的AIの開発者たちよ、あなたたちが人々の情報をどのように使っているのか伝える時だ(2024.12.12)

こんにちは、丸山満彦です。

このブログでも紹介したのですが...英国の情報コミッショナー事務局が今年の1月に開始したコンサルテーション（意見募集）に対する回答が公表されていますね...

生成AIモデルを訓練するためにウェブでスクレイピングされたデータの合法的な根拠と、生成AIモデルへの個人の権利のエンジニアリングについて、ICOの立場を明確にしたということですね...

どのように個人情報が収集されたかを理解できるように、人々に伝えなければ、透明性が欠如し、せっかくの生成的AIを合法的に使っているかどうかがわからなくなるため、利用がすすまない...

ということのようですね...

たしかに、合法か違法かがわかりにくいと萎縮しますよね...

日本の個人情報保護委員会も「生成AIサービスの利用に関する注意喚起等」は5月にしていますが、プロンプト入力をした個人情報の利用に関する話で、スクレイピングについては触れていなかったように思いますが、これからどのようなガイド等を公表していくのでしょうかね...

● U.K. Information Commissioner's Office; ICO

ブログ...

・ 2024.12.12 Generative AI developers, it’s time to tell people how you’re using their information

Generative AI developers, it’s time to tell people how you’re using their information	生成的AI開発者よ、あなたが彼らの情報をどのように使用しているかを人々に伝える時だ
In January we launched our consultation series on data protection in generative AI, receiving over 200 quality responses from stakeholders. We are today publishing our outcomes report which details our policy positions on generative AI and sets out what further work is still needed by industry.	1月、我々は生成的AIにおけるデータ保護に関するコンサルテーション・シリーズを開始し、関係者から200を超える質の高い回答を得た。我々は本日、生成的AIに関する我々の政策的立場を詳述し、産業界がさらにどのような作業を行う必要があるかを示した成果報告書を発表する。
We looked at five areas which resulted in us refining our position in two key areas: the lawful basis for web scraped data to train generative AI models and the engineering of individual rights into generative AI models. We found a serious lack of transparency, especially in relation to training data within the industry, which our consultation responses show is negatively impacting the public’s trust in AI.	我々は5つの分野について検討し、その結果、2つの重要な分野、すなわち、生成的AIモデルを訓練するためにウェブスクレイピングされたデータの合法的根拠と、生成的AIモデルへの個人の権利のエンジニアリングについて、我々の立場を洗練させることになった。私たちは、特に業界内のトレーニングデータに関する透明性の深刻な欠如を発見し、私たちのコンサルテーションへの回答が、AIに対する一般の人々の信頼に悪影響を及ぼしていることを示した。
Generative AI developers, it’s time to tell people how you’re using their information. This could involve providing accessible and specific information that enables people and publishers to understand what personal information has been collected. Without better transparency, it will be hard for people to exercise their information rights and hard for developers to use legitimate interests as their lawful basis.	生成的AI開発者たちよ、今こそ、彼らの情報をどのように使用しているかを人々に伝える時だ。これには、どのような個人情報が収集されたかを人々やパブリッシャーが理解できるように、アクセス可能で具体的な情報を提供することが含まれる。透明性が向上しなければ、人々は情報の権利を行使することが難しくなり、開発者は正当な利益を合法的な根拠として使用することが難しくなる。
We have been clear in our view that generative AI offers great potential for the UK and the opportunity must be realised in a responsible way that appropriately considers data protection law. We have engaged openly to develop our positions. We have also been clear that there is no excuse for generative AI developers not to embed data protection by design into products from the start.	我々は、生成的AIは英国に大きな可能性を提供し、その機会はデータ保護法を適切に考慮した責任ある方法で実現されなければならないという見解を明確にしてきた。我々の立場を発展させるために、オープンに関与してきた。また、生成的AIの開発者が最初からデータ保護を製品に組み込まない言い訳はできないことも明確にしてきた。
Our engagement is ongoing, and global, and we continue to work with government, other digital regulators and our international counterparts to play our part in safeguarding people and enabling responsible innovation.	我々の関与は継続的かつグローバルであり、政府、他のデジタル規制当局、国際的なカウンターパートと協力し、人々を保護し、責任あるイノベーションを可能にするための役割を果たし続ける。
I encourage firms looking to innovate responsibly to get advice from us through our Regulatory Sandbox and Innovation Advice service, as well as from other regulators through the DRCF AI & Digital Hub.	責任あるイノベーションを行おうとする企業には、我々の規制サンドボックスやイノベーション・アドバイス・サービスを通じて、またDRCFのAI＆デジタル・ハブを通じて他の規制当局からアドバイスを受けることを勧める。
Our report provides regulatory clarity and certainty which will enable responsible AI developers to thrive. We will now focus our attention on organisations that are not doing enough.	我々の報告書は、責任あるAI開発者の繁栄を可能にする規制の明確性と確実性を提供するものである。我々は今後、十分な取り組みを行っていない組織に注目していく。

・Information Commissioner’s Office response to the consultation series on generative AI

目次...

Information Commissioner’s Office response to the consultation series on generative AI	生成的AIに関するコンサルテーション・シリーズに対する情報コミッショナー事務局の回答
Background	背景
Executive summary	エグゼクティブサマリー
Context	コンテクスト
Tackling misconceptions	誤解への取り組み
The lawful basis for web scraping to train generative AI models	生成的AIモデルを訓練するためのウェブスクレイピングの合法的根拠
Purpose limitation in the generative AI lifecycle	生成的AIのライフサイクルにおける目的制限
Accuracy of training data and model outputs	訓練データとモデル出力の正確性
Engineering individual rights into generative AI models	生成的AIモデルへの個人の権利のエンジニアリング
Allocating controllership across the generative AI supply chain	生成的AIのサプライチェーン全体にわたる管理権の割り当て
Next steps	次のステップ
Glossary	用語集
Annex: Summary of impact responses	附属書：影響回答の要約
Views on the impacts of our proposals	我々の提案の影響に関する見解
Further exploration of impact feedback	影響フィードバックのさらなる調査
Actioning the impact feedback	影響フィードバックへの対応

背景...

Background	背景
As part of the ICO’s work on artificial intelligence (AI) regulation, we have been quick to respond to emerging developments in generative AI, engaging with generative AI developers, adopters and affected stakeholders. In April 2023, we set out questions that developers and deployers needed to ask1. In January 2024, we launched our five-part generative AI consultation series2, which this consultation response summarises.	人工知能（AI）規制に関するICOの作業の一環として、我々は生成的AIの新たな進展にいち早く対応し、生成的AIの開発者、採用者、影響を受ける利害関係者と関わってきた。2023年4月、ICOは開発者や導入者が問うべき質問を提示した1。2024年1月、我々は5部構成の生成的AIコンサルテーションシリーズ2を開始した。
The series set out to address regulatory uncertainties about how specific aspects of the UK General Data Protection Regulations (UK GDPR) and the Data Protection Act (DPA) 2018 apply to the development and use of generative AI. It did that by setting out our initial analysis of these areas, along with the positions we wanted to consult on.	このシリーズは、英国一般データ保護規則（英国GDPR）とデータ保護法（DPA）2018の特定の側面が生成的AIの開発と使用にどのように適用されるかについての規制上の不確実性に対処することを目的としている。これは、これらの領域に関する我々の初期分析を、我々が協議したい立場とともに示すことによって行われた。
What follows is a summary of the key themes that emerged from the responses to the consultation. This summary is not intended to be a comprehensive record of all the views expressed, nor a response to all individual points raised by respondents.	以下は、コンサルテーションへの回答から浮かび上がった主要テーマの要約である。この要約は、表明されたすべての意見の包括的な記録であることを意図したものではなく、また、回答者から提起された個々の指摘すべてに対する回答でもない。
In addition to summarising feedback, this consultation response sets out our analysis on how specific areas of data protection law apply to generative AI systems. This response does not cover the entirety of our regulatory expectations (these are covered in more detail in our core guidance on AI and data protection)3. This response does provide clear views on the application of data protection law to specific issues. In due course, we will be updating our existing guidance to reflect the positions detailed in this response.	フィードバックの要約に加え、本協議への回答は、データ保護法の特定の分野が生成的AIシステムにどのように適用されるかについての我々の分析を示している。本回答は、我々の規制上の期待事項の全てをカバーするものではない（これらは、AIとデータ保護に関するコアガイダンスでより詳細にカバーされている）3。本回答は、特定の問題に対するデータ保護法の適用に関する明確な見解を提供するものである。いずれ、本回答に詳述された立場を反映させるべく、既存のガイダンスを更新する予定である。
The response also flags areas where we think further work is needed to develop and inform our thinking. We also recognise that the upcoming data reform legislation4 may have an impact on the positions set out in this paper.	また、本回答では、我々の考え方を発展させ、情報を提供するためにさらなる作業が必要と思われる分野についても指摘している。また、今後予定されているデータ改革法4が、本稿で示した見解に影響を与える可能性があることも認識している。
1 Generative AI: eight questions that developers and users need to ask	1 生成的AI：開発者とユーザーが問うべき8つの質問
2 ICO consultation series on generative AI and data protection	2 生成的AIとデータ保護に関するICOコンサルテーション・シリーズ
3 Artificial intelligence	3 人工知能
4 See the Data (Use and Access) (DUA) Bill	4 データ（利用とアクセス）（DUA）法案を参照

エグゼクティブサマリー...

Executive summary	エグゼクティブサマリー
Our consultation series on generative AI and data protection covered five key areas:	生成的AIとデータ保護に関する我々のコンサルテーション・シリーズは、5つの主要分野を取り上げた：
・The lawful basis for web scraping to train generative AI models.5	・生成的AIモデルを訓練するためのウェブスクレイピングの合法的根拠5
・Purpose limitation in the generative AI lifecycle.6	・生成的AIのライフサイクルにおける目的制限6
・Accuracy of training data and model outputs.7	・訓練データとモデル出力の精度7
・Engineering individual rights into generative AI models.8	・生成的AIモデルへの個人の権利のエンジニアリング8
・Allocating controllership across the generative AI supply chain.9	・生成的AIのサプライチェーン全体における管理権の割り当て9
In total, we received 192 responses from organisations and 22 from members of the public. The majority of the responses came from the creative industries, trade or membership bodies, the technology sector (including ‘big tech’ firms) and law firms. In addition, we also held roundtable sessions with civil society, creative industries and technology firms.	合計で、組織から192件、一般市民から22件の回答を得た。回答の大半は、クリエイティブ産業、業界団体または会員制団体、テクノロジー・セクター（「ビッグ・テック」企業を含む）、法律事務所からのものであった。さらに、市民社会、クリエイティブ産業、テクノロジー企業との円卓会議も開催した。
Many of the responses were highly detailed. They often combined evidence (eg technical explanations of generative AI), analysis (eg interpretations of the application of data protection law) and arguments (eg the negative or positive effects of generative AI on a particular stakeholder).	回答の多くは非常に詳細であった。それらはしばしば、証拠（生成的AIの技術的説明など）、分析（データ保護法の適用法の解釈など）、議論（特定の利害関係者に対する生成的AIの否定的または肯定的な影響など）を組み合わせたものであった。
We are grateful to those who responded to the consultation. We are also grateful to those who were willing to discuss these issues in further detail with us. In particular, thank you to the British Screen Forum, the Ada Lovelace Institute and TechUK for facilitating roundtable discussions with the creative sector, civil society and the technology sector respectively. We also thank colleagues at the French data protection authority, the CNIL, for sharing their insights on this issue.	本協議にご回答いただいた方々に感謝する。また、これらの問題について私たちとさらに詳しく議論してくださった方々にも感謝する。特に、それぞれクリエイティブ・セクター、市民社会、テクノロジー・セクターとの円卓会議を進行してくれた英国スクリーン・フォーラム、エイダ・ラブレス研究所、TechUKに感謝する。また、フランスのデータ保護当局であるCNILの同僚の方々にも、この問題に関する見識を共有していただいたことに感謝する。
Summary of positions after consultation	コンサルテーション後の立場のまとめ
The following points set out our positions after reviewing the consultation responses:	以下の点は、コンサルテーション回答を検討した後の我々の立場を示したものである：
We retained our position on purpose limitation,10 accuracy11 and controllership.12	私たちは、目的制限、10正確性、11管理責任に関する立場を維持した。
We updated our position on the legitimate interests lawful basis for web scraping to train generative AI models.13	私たちは、生成的AIモデルの訓練を目的としたウェブスクレイピングの正当な利益に関する立場を更新した。
・We heard that data collection methods other than web scraping exist, which could potentially support the development of generative AI. For example, where publishers collect personal data directly from people and license this data in a transparent way. It is for developers to demonstrate the necessity of web scraping to develop generative AI. We will continue to engage with developers and generative AI researchers on the extent to which they can develop generative AI models without using web-scraped data.	・ウェブスクレイピング以外のデータ収集方法も存在し、生成的AIの開発を潜在的に支援できる可能性があることを私たちは耳にした。例えば、パブリッシャーが人々から直接個人データを収集し、透明性のある方法でこのデータをライセンス供与する場合などである。生成的AIの開発にウェブスクレイピングが必要であることを示すのは開発者の役割である。私たちは、開発者および生成的AIの研究者がウェブスクレイピングされたデータを使用せずに生成的AIモデルを開発できる範囲について、引き続き彼らと協議していく。
・Web scraping is a large-scale processing activity that often occurs without people being aware of it. This sort of invisible processing poses particular risks to people’s rights and freedoms. For example, if someone doesn’t know their data has been processed, they can’t exercise their information rights. We received minimal evidence on the availability of mitigation measures to address this risk. This means that, in practice, generative AI developers may struggle to demonstrate how their processing meets the requirements of the legitimate interests balancing test. As a first step, we expect generative AI developers to significantly improve their approach to transparency. For example, they could consider what measures they can provide to protect people’s rights, freedoms and interests. This could involve providing accessible and specific information that enables people and publishers to understand what personal data the developer has collected. We also expect them to test and review these measures.	・ウェブスクレイピングは、人々が気づかないうちに実行されることが多い大規模な処理活動である。このような目に見えない処理は、人々の権利や自由に対して特にリスクをもたらす。例えば、データが処理されたことに気づかなければ、情報に関する権利を行使することができない。このリスクに対処するための緩和措置の存在を示す証拠はほとんど得られなかった。つまり、実際には、生成的AIの開発者は、その処理が正当な利益のバランステストの要件を満たしていることを実証するのに苦労する可能性がある。第一歩として、生成的AIの開発者には透明性へのアプローチを大幅に改善することを期待する。例えば、人々の権利、自由、利益を保護するためにどのような措置を講じることができるかを検討することができる。これには、開発者が収集した個人データがどのようなものかを人々や発行者が理解できるように、アクセス可能な具体的な情報を提供することが含まれる可能性がある。また、これらの対策をテストし、見直すことも期待している。
・We received evidence that some developers are using licences and Terms of Use (ToU) to ensure deployers are using their models in a compliant way. However, to provide this assurance, developers will need to demonstrate that these documents and agreements contain effective data protection requirements, and that these requirements are met.	・一部の開発者が、ライセンスや利用規約（ToU）を使用して、デプロイヤーがモデルを準拠した方法で使用していることを確認しているという証拠を得た。しかし、このような保証を提供するためには、開発者はこれらの文書や契約に効果的なデータ保護要件が含まれていること、そしてこれらの要件が満たされていることを実証する必要がある。
We updated our position on engineering individual rights into generative AI models, as set out in the consultation chapter four.14	私たちは、コンサルテーションの第4章で述べたように、個人の権利を生成的AIモデルに組み込むことに関する見解を更新した。
・Organisations acting as controllers must design and build systems that implement the data protection principles effectively and integrate necessary safeguards into the processing. This would put organisations in a better place to comply with the requirement to facilitate people’s information rights.	・管理者として行動する組織は、データ保護の原則を効果的に実施するシステムを設計・構築し、必要な保護措置を処理に統合しなければならない。これにより、人々の情報に関する権利を促進するという要件を遵守する上で、組織はより良い立場に立つことができる。
・Article 11 (on processing which does not require identification) may have some relevance in the context of generative AI. However, organisations relying on it need to demonstrate that their reliance is appropriate and justified. For example, they must demonstrate they are not able to identify people. They must also give people the opportunity to provide more information to enable identification.	・第11条（識別を必要としない処理）は、生成的AIの文脈において、ある程度関連性があるかもしれない。しかし、これに依存する組織は、その依存が適切かつ正当であることを証明する必要がある。例えば、個人を識別できないことを証明しなければならない。また、個人に識別を可能にするための追加情報を提供する機会を与える必要もある。
5 Generative AI first call for evidence: The lawful basis for web scraping to train generative AI models	5 生成的AIに関する最初の証拠提出要請：生成的AIモデルのトレーニングにおけるウェブスクレイピングの適法な根拠
6 Generative AI second call for evidence: Purpose limitation in the generative AI lifecycle	6 生成的AIに関する第2回目の証拠提出要請：生成的AIライフサイクルにおける目的の制限
7 Generative AI third call for evidence: accuracy of training data and model outputs	7 生成的AIに関する第3回目の証拠提出要請：トレーニングデータとモデル出力の精度
8 Generative AI fourth call for evidence: engineering individual rights into generative AI models	8 生成的AIに関する第4回目の証拠提出要請：生成的AIモデルへの個人の権利の組み込み
9 Generative AI fourth call for evidence: engineering individual rights into generative AI models	9 生成的AIに関する第4回目の証拠提出要請：生成的AIモデルへの個人の権利の組み込み
10 Generative AI second call for evidence	10 生成的AIに関する第2回目の証拠提出要請
11 Generative AI third call for evidence	11 生成的AI第3回証拠提出要請
12 Generative AI fifth call for evidence	12 生成的AI第5回証拠提出要請
13 Generative AI first call for evidence	13 生成的AI第1回証拠提出要請
14 Generative AI fourth call for evidence: engineering individual rights into generative AI models	14 生成的AI第4回証拠提出要請：生成的AIモデルへの個人の権利の組み込み

ここがポイントですかね...

誤解への取り組み...

Tackling misconceptions	誤解への取り組み
This section clarifies several data protection issues to address misconceptions highlighted in the consultation responses. Some of them are about generative AI, while others are about AI (including ‘narrow’ AI) or data protection in general. We have set out existing ICO positions to offer clarity.	このセクションでは、コンサルテーション回答で強調された誤解に対処するため、いくつかのデータ保護問題を明確にする。その中には生成的AIに関するものもあれば、AI（「狭い」AIを含む）やデータ保護全般に関するものもある。明確にするために、ICOの既存の見解を示した。
1) The “incidental” or “agnostic” processing of personal data still constitutes processing of personal data. Many generative AI developers claimed they did not intend to process personal data and that their processing of that data was purely incidental. Our view is clear: data protection law applies to processing of personal data (which includes special category data), regardless of whether this is ‘incidental’ or unintentional.	1) 個人データの「付随的な」または「不可知論的な」処理は、依然として個人データの処理を構成する。多くの生成的AI開発者は、個人データを処理する意図はなく、そのデータの処理は純粋に付随的なものだと主張している。データ保護法は、それが「偶発的」か意図的でないかにかかわらず、個人データ（特別カテゴリーデータを含む）の処理に適用される。
2) Common practice does not equate to meeting people’s reasonable expectations. Organisations should not assume that a certain way of processing will be within people’s reasonable expectations, just because it is seen as “common practice”. This applies particularly when it comes to the novel use of personal data to train generative AI in an invisible way or years after someone provided it for a different purpose (when their expectations were, by default, different).	2) 一般的な慣行は、人々の合理的な期待に応えることとは一致しない。組織は、ある処理方法が「一般的な慣行」とみなされるからといって、人々の合理的な期待の範囲内であると仮定すべきではない。これは特に、生成的AIを目に見えない方法で学習させるために個人データを新規に使用する場合や、誰かが別の目的のために個人データを提供してから何年も経ってから個人データを使用する場合（デフォルトでは、人々の期待は異なっている）に当てはまる。
3) “Personally identifiable information” (PII) is different to the legal definition of “personal data”. Many organisations focus their generative AI compliance efforts around PII. However, to ensure compliance in the UK they should be considering processing of any “personal data” (which is a broader and legally defined concept in the UK). Organisations must not undertake compliance based on a fundamental misunderstanding or miscommunicate their processing operations.	3）「個人を特定できる情報」（PII）は、「個人データ」の法的定義とは異なる。多くの組織はPIIを中心に生成的AIコンプライアンスに取り組んでいる。しかし、英国でのコンプライアンスを確保するためには、あらゆる「個人データ」（英国ではより広範で法的に定義された概念である）の処理を検討すべきである。組織は、根本的な誤解に基づいてコンプライアンスに取り組んだり、処理業務を誤って伝えたりしてはならない。
4) Organisations should not assume that they can rely on the outcome of case law about search engine data protection compliance when considering generative AI compliance. A few respondents sought to rely on these case outcomes, arguing that as the initial collection of data was substantively the same (ie crawling the web), the decisions should also apply to the generative AI context. However, while we can see there are similarities in terms of data collection, there are key differences which means that the logic of these decisions may not be applicable. For example, while a search engine intends to index, rank and prioritise information and make this available to the public, generative AI goes beyond this. It synthesises information and creates something new in its outputs. Traditional search engine operators also enable people to exercise their rights, in particular the right to erasure through ‘delisting’. The current practices of generative AI developers make it difficult for people to do the same.	4) 組織は、生成的AIコンプライアンスを検討する際に、検索エンジンのデータ保護コンプライアンスに関する判例法の結果に依拠できると考えるべきではない。数名の回答者は、最初のデータ収集が実質的に同じである（つまりウェブをクロールしている）ため、その判断は生成的AIの文脈にも適用されるはずだと主張し、これらの判例結果に頼ろうとした。しかし、データ収集という点では類似点が見られるものの、重要な相違点があるため、これらの判決の論理は適用できない可能性がある。例えば、検索エンジンは情報をインデックス化し、ランク付けし、優先順位をつけて一般に公開することを意図しているが、生成的AIはそれを超えている。情報を合成し、そのアウトプットに新しいものを生み出すのだ。従来の検索エンジン事業者は、人々が権利、特に「上場廃止」による消去権を行使することも可能にしている。生成的AI開発者の現在のやり方は、人々が同じことをするのを難しくしている。
5) Generative AI models can themselves have data protection implications. Some developers argued that their models do not “store” personal data. Our 2020 guidance on AI and data protection stated that AI models can contain personal data.18 In the generative AI consultation chapters, we explained that generative AI models may embed the data they have been trained on in a form that may allow their retrieval or disclosure by transmission. In particular, this may have implications for open-access models. This needs further research to understand when and how this risk may materialise. We intend to explore this issue in more detail in future, taking account of ongoing developments in the technological and academic spaces.	5) 生成的AIモデルは、それ自体がデータ保護に影響を及ぼす可能性がある。一部の開発者は、自分たちのモデルは個人データを「保存」しないと主張している。AIとデータ保護に関する2020年のガイダンスでは、AIモデルには個人データが含まれる可能性があると述べている18。生成的AIのコンサルテーションチャプターでは、生成的AIモデルは学習させたデータを、送信による検索や開示が可能な形で埋め込む可能性があると説明している。特に、これはオープンアクセスモデルに影響を与える可能性がある。このリスクがいつ、どのように顕在化するかを理解するためには、さらなる研究が必要である。私たちは今後、技術的・学術的な領域で進行中の発展を考慮しつつ、この問題をより詳細に調査するつもりである。
6) The ICO cannot determine or provide guidance on compliance with legal requirements which are outside the scope of our remit (ie data protection and information law). There was a perception by some respondents that the lawfulness principle19 meant that we could provide views or guidance on lawfulness under regimes other than data protection. Some also thought that data protection could be a useful lever to address issues within other regulatory remits. To be clear, data processing that is unlawful because it breaches other legal requirements (such as Intellectual Property law) will also be unlawful under data protection law. However, that does not mean we will or can be the arbiter of what is lawful under legislation outside of our remit.	6) ICO は、ICO の権限範囲外（すなわち、データ保護法や情報法）の法的要件の遵守について判断したり、ガイダンスを提供したりすることはできない。回答者の中には、適法性の原則19 は、ICO がデータ保護以外の制度における適法性について見解やガイダンスを提供できることを意味するとの認識を持つ者もいた。また、データ保護は他の規制の範囲内の問題に対処するための有効な手段となり得ると考える者もいた。明確にしておくと、他の法的要件（知的財産法等）に違反して違法となるデータ処理は、データ保護法においても違法となる。しかし、だからといって、われわれが、われわれの権限外の法律のもとで、何が合法であるかの裁定者になるわけではないし、なれるわけでもない。
7) There is no ‘AI exemption’ to data protection law. Some of the respondents argued that data protection law should not complicate generative AI development. While we support responsible AI development and deployment, it is important for organisations to be aware that there are no carve-outs or sweeping exemptions for generative AI. If an organisation is processing personal data, then data protection law will be applicable. We encourage organisations that are uncertain about compliance to adopt a “data protection by design approach”, considering compliance issues before they start processing.	7) データ保護法に「AI免除」はない。回答者の中には、データ保護法が生成的AI開発を複雑化すべきではないと主張する者もいた。我々は責任あるAIの開発と展開を支持するが、生成的AIには除外規定も適用除外もないことを組織が認識することが重要である。組織が個人データを処理する場合は、データ保護法が適用される。私たちは、コンプライアンスに不安がある組織には、処理を開始する前にコンプライアンス問題を検討する「データ保護バイ・デザイン・アプローチ」を採用することを奨励している。
18 We said that model inversion and membership inferences show that AI models can inadvertently contain personal data: How should we assess security and data minimisation in AI?	18 モデルの反転とメンバーシップの推論により、AIモデルが意図せずして個人情報を含む可能性があることが示された。AIにおけるセキュリティとデータ最小化をどのように評価すべきか？
19 Principle (a): Lawfulness, fairness and transparency	19 原則(a)：適法性、公正性、透明性

日本の場合...

● 個人情報保護委員会

・ 2024.06.05 生成AIサービスの利用に関する注意喚起等について

・・[PDF] 【別添１】生成AIサービスの利用に関する注意喚起等

・・[PDF] 【別添２】OpenAIに対する注意喚起の概要

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.01.24 英国 ICO 生成的AIとデータ保護に関する意見募集シリーズ1 ウェブスクレイピングの合法性の根拠 (2024.01.15)

2024.12.17 07:40 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2024.12.16

シンガポール金融管理局人工知能（AI）モデル・リスクマネジメント (2024.12.05)

こんにちは、丸山満彦です。

シンガポールの金融管理局がAIのリスクマネジメントのグッドプラクティスを公表しています。銀行向けのようですが、参考になるような気がします...

生成的AI以外についても範囲になっています。

金融機関のこれまでのシステムというのは、きっちりと要件定義をし、その要件定義に従って、きっちりと作り、要件定義と同じものが実装されているかを検査をするというシステム開発手法が通常だったので、データがプログラムのように使われるAIというのは、多くの部分は従来と共通の管理手法で管理できるとは思うのですが、あらたな発想で管理をすることが必要な部分もありそうですね...

● Monetary Authority of Singapore

・2024.12.05 Artificial Intelligence (AI) Model Risk Management

Artificial Intelligence (AI) Model Risk Management

人工知能（AI）モデル・リスクマネジメント

MAS conducted a thematic review of banks’ AI (including Generative AI) model risk management practices in mid-2024. This information paper sets out good practices for AI and Generative AI model risk management that were observed during the review, focusing on those relating to governance and oversight, key risk management systems and processes, and development and deployment of AI. MAS encourages all financial institutions to reference these good practices when developing and deploying AI.

MASは2024年半ばに銀行のAI（生成的AIを含む）モデル・リスクマネジメントの実践についてテーマ別のレビューを実施した。このインフォメーション・ペーパーは、レビュー中に観察されたAIと生成的AIモデル・リスクマネジメントに関するグッド・プラクティスを、ガバナンスと監督、主要なリスクマネジメントシステムとプロセス、AIの開発と配備に関連するものに焦点を当ててまとめたものである。MASは、すべての金融機関がAIを開発・導入する際に、これらのグッド・プラクティスを参照することを奨励している。

・[PDF]

・[DOCX][PDF] 仮訳

目次...

1. Overview	1. 概要
2. Background	2. 背景
3. Objectives and Key Focus Areas	3. 目標と重点分野
4. Governance and Oversight	4. ガバナンスと監督
5. Key Risk Management Systems and Processes	5. 主なリスクマネジメント・システムとプロセス
5.1 Identification	5.1 識別
5.2 Inventory	5.2 インベントリー
5.3 Risk Materiality Assessment	5.3 リスクの重要性アセスメント
6 Development and Deployment	6 開発と展開
6.1 Standards and Processes	6.1 標準とプロセス
6.2 Data Management	6.2 データ管理
6.3 Development	6.3 開発
6.4 Validation	6.4 妥当性確認
6.5 Deployment, Monitoring and Change Management	6.5 展開、監視、変更管理
7 Other Key Areas	7 その他の主要領域
7.1 Generative AI	7.1 生成的AI
7.2 Third-Party AI	7.2 サードパーティ製AI
8 Conclusion	8 結論
Annex A - Definitions	附属書A - 定義
Annex B - Useful References	附属書B - 役に立つ参考文献

2024.12.16 08:05 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2024.12.15

生成的AIについてふと思ったこと...金持ちはより金持ちに...

こんにちは、丸山満彦です。

さきほど、朝のコーヒーを飲みながら、ふと思ったことを書きます...

コーヒは、東京尾山台の讃喫茶室（豆）のものです(^^)　関西の人には、同じコーヒーが逆瀬川の讃喫茶室でも飲めます...

生成的AIの脅威の本質は、人間ができることとほぼ同じことを、コストさえかければ大量に生成できるところですかね...

「大量」というところがポイントのような気がします。

人間への露出を増やすという意味で、生成的AIが作成したものをSNSで拡散している現状をみて、SNSの規制を強化する動きがありますが、本質的にはSNSを規制してもその効果は限定的で、そのうちAIだけのネットワークをつくり、AIだけのネットワークの中で人間が認識できない形で拡散し、生成的AIが作成した情報を人間が見られないネットワークを通じて他のAIに伝達され、その情報をインプットとして新たな情報を生成し...ということを、人間の処理スピードをはるかに凌ぐスピードで行い、ウェブ上のデータのほとんどが生成的AIがそのようにして作成した情報で溢れるということになるのでしょうね...

人間はもはや、それに対して正誤の判断がつけられなくなっていくということになりそうです。なので、AIの作った情報にラベルをはるというよりも、人間がつくった情報に人間しかつけれれないようにラベルをつける方が効果的かもしれませんね...

あとは、大量のAIを使える人がレバレッジを効かせて大きな影響力を行使できるので、資本のレバレッジに、AIのレバレッジが加わり、より資金力がある人はより富、資金力がない人はどんどん置いていかれるという時代になりますね...

どういう社会になるかというと、ごく少数の資金を持っている人が世界を支配する世界ですかね...そして、その資金力がある人から委託された役員が会社経営をし中くらいの資金力をもつ集団となっていますが、生成的AIは、経営者のような人の一部も置き換えていけるので、彼らが得ていた資金もその上位の資金力のある人に集約され、拡大再生産に利用され、よりレバレッジが効くようになりそうですね...

なので、これからは、より賢いAIをより多く揃えられる人（法人）がより金持ちになっていくという世界で、その輪に入れない人は、AIが処理できないところを探してなんとか生きていくということになるのかもしれません...

2024.12.15 07:34 in AI/Deep Learning | Permalink | Comments (0)
Tweet

カナダ下院情報公開・プライバシー・倫理常任委員会ソーシャルメディア・プラットフォームの監督オンラインにおけるプライバシーと安全の確保 (2024.12.12)

こんにちは、丸山満彦です。

カナダの下院常任委員会の一つである情報公開・プライバシー・倫理常任委員会（ETHI）が、ソーシャルメディア・プラットフォームの監督オンラインにおけるプライバシーと安全の確保という報告書（表紙）（目次）（全体）を公表し、８つの勧告を2024.12.05に政府に出していますね...

これに対してカナダ政府であるプライバシーコミッショナー事務局も声明を2024.12.09にだしています...

課題は、

ソーシャルメディア・プラットフォームに対する監視を強化し、カナダ人がこれらのプラットフォームに提供する情報が保護され、適切に利用されるようにするにはどうすればよいか
すべての人のオンライン上の安全を確保するにはどうすればよいか

というところにあるようです。

子供の...という話については、フランスでは、15歳未満の子供が親の同意なしにSNSにアクセスを禁止する法律を導入してますね...そして、オーストラリアでも、16歳未満のSNSの利用を法的に禁止するというような話も出てきています...

偽情報については、総務省も2019年にはすでに検討をしていますが、欧州がメタに対して2024年4月に偽情報対策（例えば、拡散防止、投稿内容の監視など）を十分にしているのか、デジタルサービス法の観点から調査を始めていますね...

日本の場合は、総務省や経産省は問題を比較的早く把握し、分析し、必要に応じてガイドライン等を整備するところまでは、できていますが、それを法制化するところで、進まないですよね...昨今の個人情報保護法の3年毎の見直しの議論をみていても...

一人あたりのGDPも2023年で世界で32位です（欧州の主要国のみならず、南米のバハマ、アジアの香港、韓国よりも下位）し、人権問題でも主要国とはずれが大きくなってきていて、先進国から発展途上国（衰退国？）とみられるようになるかもですね...

まずは、下院情報公開・プライバシー・倫理常任委員会（ETHI）の報告書から...

● House of Commons Canada -Committees - ETHI: Standing Committee on Access to Information, Privacy and Ethics

・2024.12.05 Report 16: Oversight of Social Media Platforms: Ensuring Privacy and Safety Online

報告書はPDFでも提供されていますが、PC等で読むのであれば、Web版を読む方が読みやすいかもです...

・[PDF] [HTML] OVERSIGHT OF SOCIAL MEDIA PLATFORMS: ENSURING PRIVACY AND SAFETY ONLINE

最初に８つの勧告...

	List of Recommendations	勧告リスト
	As a result of their deliberations committees may make recommendations which they include in their reports for the consideration of the House of Commons or the Government. Recommendations related to this study are listed below.	委員会は審議の結果、下院または政府の検討のため、報告書に盛り込む勧告を行うことができる。本調査に関連する勧告は以下の通りである。
1	That the Government of Canada reevaluate its digital standards regarding the download and use of all social media apps on government-issued devices in order to ensure that they are used primarily for government business.	カナダ政府は、政府支給端末におけるすべてのソーシャルメディア・アプリのダウンロードおよび使用に関するデジタル基準を再評価し、それらが主に政府業務に使用されるよう確保する。
2	That the Government of Canada amend the Personal Information Protection and Electronic Documents Act to impose additional data minimization obligations on organizations subject to the Act, including a ban on engaging in certain forms of data collection.	カナダ政府が個人情報保護および電子文書法を改正し、特定の形式のデータ収集の禁止を含め、個人情報保護および電子文書法の主体である組織にさらなるデータ最小化義務を課す。
3	That the Government of Canada amend the Personal Information Protection and Electronic Documents Act to give the Privacy Commissioner of Canada the power to make binding orders and impose significant administrative monetary penalties.	カナダ政府が個人情報保護および電子文書法を改正し、カナダ個人情報コミッショナーに拘束力のある命令を下し、多額の行政処罰を科す権限を与える。
4	That the Government of Canada amend the Personal Information Protection and Electronic Documents Act to include explicit rules surrounding the transfer of Canadians’ personal data outside the country to ensure equivalent levels of protection for data transferred outside of Canada.	カナダ政府が個人情報保護・電子文書法を改正し、カナダ国民の個人データの国外移転に関する明確な規則を盛り込み、カナダ国外に移転されるデータについて同等の保護レベルを確保する。
5	That the Government of Canada amend the Personal Information Protection and Electronic Documents Act to require organizations subject to the Act to provide consent mechanisms appropriate for minors and include an explicit right in the Act to the deletion or deindexing of the personal information of minors.	カナダ政府が個人情報保護および電子文書法を改正し、同法の対象となる組織に未成年者に適切な同意の仕組みを提供することを義務付けるとともに、同法に未成年者の個人情報の削除またはインデックス削除に関する明確な権利を含める。
6	That the Government of Canada adopt an European Union-style code of practice on disinformation and compel social media platforms to report regularly on their trust and safety activities in Canada and to provide Canadian researchers with access to their data.	カナダ政府が偽情報に関する欧州連合（EU）型の行動規範を採用し、ソーシャル・メディア・プラットフォームに対し、カナダにおける信頼と安全に関する活動について定期的に報告し、カナダの研究者がそのデータにアクセスできるようにすることを義務づける。
7	That the Government of Canada increase funding to the Royal Canadian Mounted Police so additional resources can be allocated to providing education and to fighting cybercrime.	カナダ政府がカナダ王立騎馬警察への資金援助を増額し、教育の提供とサイバー犯罪対策に追加的な資源を割り当てられるようにする。
8	That the Government of Canada invest more in digital literacy to better equip Canadians to protect their personal information online, recognize disinformation and misinformation, and identify harmful content online.	カナダ政府がデジタル・リテラシーへの投資を増やし、カナダ国民がオンラインで個人情報を保護し、偽情報や誤報を認識し、オンラインで有害なコンテンツを特定できるようにする。

Summary

Summary	概要
Social media platforms have been part of the information ecosystem for several years now. A large percentage of Canadians, including children and teenagers, use these platforms and share willingly their personal information online.	ソーシャルメディア・プラットフォームは、数年前から情報エコシステムの一部となっている。子供やティーンエイジャーを含む多くのカナダ人がこれらのプラットフォームを利用し、進んで個人情報をオンラインで共有している。
This report tackles an important issue: how can we exercise better oversight of social media platforms to ensure that the information Canadians provide to these platforms is protected and used appropriately, as well as ensure online safety for everyone?	本報告書では、ソーシャルメディア・プラットフォームに対する監視を強化し、カナダ人がこれらのプラットフォームに提供する情報が保護され、適切に利用されるようにするにはどうすればよいか、また、すべての人のオンライン上の安全を確保するにはどうすればよいか、という重要な課題に取り組んでいる。
The report provides an overview of social media platform practices, exploring such aspects as their business models and the way they collect, use and share personal information, especially when it comes to minors. It highlights the contrast between how academic, experts and social media platform representatives describe and evaluate these practices. The report also discusses what these platforms do to protect the data they collect, respond to external threats and counter attempts at foreign interference.	この報告書では、ソーシャルメディア・プラットフォームのビジネスモデルや、個人情報の収集・利用・共有の方法（特に未成年者）などを調査し、その概要を説明している。学識経験者、専門家、ソーシャル・メディア・プラットフォームの代表者が、これらの慣行についてどのように説明し、評価しているのか、その対比を浮き彫りにしている。報告書はまた、収集したデータを保護し、外部からの脅威に対応し、外国からの干渉の試みに対抗するために、これらのプラットフォームが何を行っているかについても論じている。
There is also a particular focus on TikTok, the social media platform explicitly mentioned in the motion that led to the Committee’s study. For example, the Committee was interested in the ban on the use of this app on Government of Canada devices.	また、委員会の調査のきっかけとなった動議で明確に言及されたソーシャルメディア・プラットフォームであるTikTokに特に焦点が当てられている。例えば、同委員会はカナダ政府の端末でこのアプリの使用が禁止されていることに関心を持った。
Lastly, the report outlines the measures, legislative and other, proposed by the witnesses to ensure better oversight of social media platforms. It also discusses education and awareness, two aspects seen by several witnesses as crucial in the fight against bad actors using social media platforms for nefarious purposes.	最後に、報告書は、ソーシャルメディア・プラットフォームのより良い監視を確保するために、参考人が提案した立法措置およびその他の措置について概説している。また、ソーシャル・メディア・プラットフォームを悪意のある目的で利用する悪質な行為者との闘いにおいて極めて重要であると複数の証人が見なした2つの側面である、教育と意識向上についても論じている。
In light of the evidence heard, the brief it received and additional documentation provided by certain witnesses, the Committee makes 8 recommendations.	聴取した証拠、受け取った準備書面、および特定の証人から提供された追加資料に照らして、委員会は8つの勧告を行う。

目次...

OVERSIGHT OF SOCIAL MEDIA PLATFORMS: ENSURING PRIVACY AND SAFETY ONLINE	ソーシャルメディア・プラットフォームの監督オンラインにおけるプライバシーと安全の確保
Table of Contents	目次
LIST OF MEMBERS	メンバーリスト
MANDATE	義務
SUMMARY	概要
LIST OF RECOMMENDATIONS	提言リスト
OVERSIGHT OF SOCIAL MEDIA PLATFORMS: ENSURING PRIVACY AND SAFETY ONLINE	ソーシャルメディア・プラットフォームの監督オンラインにおけるプライバシーと安全の確保
Introduction	序文
Chapter 1: Social Media Platform Practices and related issues	第1章ソーシャルメディア・プラットフォームの慣行と関連問題
Overview of practices	慣行の概要
A Business Model Based on Advertising Revenues and the Attention Economy	広告収入とアテンション・エコノミーに基づくビジネスモデル
Data Collection, Use and Sharing	データの収集、使用、共有
Explicit Content and Child Exploitation	露骨なコンテンツと児童搾取
Legitimate Government Requests for “Lawful Access” and to Take Down Content	合法的なアクセス」とコンテンツの削除を求める合法的な政府要請
Use of Artificial Intelligence for Foreign Interference or Disinformation Purposes	海外干渉または偽情報目的の人工知能の使用
Use of artificial intelligence by law enforcement	法執行機関による人工知能の使用
Foreign Interference and Elections	海外からの干渉と選挙
TikTok’s Practices: the platforms’ position	TikTokの慣行：プラットフォームの立場
Data Collection and Use by TikTok	TikTokによるデータの収集と使用
Sharing and Storage of Data Collected by TikTok	TikTokが収集したデータの共有と保存
Data Security	データセキュリティ
Practices Concerning Minors	未成年者に関する慣行
Meta’s Practices: the platforms’ position	メタ社の慣行：プラットフォームの立場
The Cambridge Analytica Case	ケンブリッジ・アナリティカ事件
Privacy	プライバシー
Countering External Threats	外部脅威への対策
X’s Practices: the platforms’ position	X社の慣行：プラットフォームの立場
Collection of Biometric Data	生体データの収集
Google’s Practices: the platforms’ position	グーグルの慣行：プラットフォームの立場
Privacy	プライバシー
Countering External Threats	外部脅威への対抗
Chapter 2: Social Media Platforms and Foreign Actors	第2章ソーシャルメディア・プラットフォームと外国企業
Use of Social Media Platforms by Foreign Entities	外国企業によるソーシャルメディア・プラットフォームの利用
Data Scraping by Foreign Actors	海外事業者によるデータスクレイピング
TikTok: Data Overcollection and Potential Sharing with Foreign Actors	TikTok：データの過剰収集と海外アクターとの共有の可能性
Investigations into TikTok and Fines by Authorities in Other Countries	他国当局によるTikTokへの調査と罰金
Joint Investigation of TikTok by Canadian Authorities	カナダ当局によるTikTokの共同調査
A National Security Review of TikTok	TikTokに関する国家安全保障上の見直し
TikTok Bans in Other Countries	他国におけるTikTok禁止措置
TikTok Ban on Canadian Government Devices	カナダ政府のデバイスに対するTikTok禁止措置
TikTok’s Position on Being Banned	禁止されたTikTokの立場
Questions Surrounding the Corporate Control of TikTok	TikTokの企業管理をめぐる疑問
Chapter 3: Oversight of Social Media Platforms	第3章ソーシャルメディア・プラットフォームの監視
Privacy	プライバシー
Valid Consent	有効な同意
Legal Duties of Organizations	組織の法的義務
Data Minimization	データの最小化
Order-Making Power and Administrative Monetary Penalties	命令制定権と行政罰
Fines	罰金
Codes of Practice and Private Right of Action	慣行規範と私的訴権
Cross-Border Data Transfers	国境を越えたデータ移転
Applying Legislation to the Government and Political Parties	政府および政党への法律の適用
Protecting the Privacy of Minors	未成年者のプライバシー保護
Countering Disinformation, Misinformation and Harmful Content Online	偽情報、誤報、オンライン上の有害コンテンツへの対策
Disinformation and Misinformation	偽情報と誤情報
Legislative Framework Regarding Online Harms	オンライン上の危害に関する法的枠組み
Governing the Use of Artificial Intelligence	人工知能の利用を規制する
Chapter 4: Promoting Safe Use of Social Media Platforms	第4章ソーシャルメディアの安全な利用の促進
Education and Awareness for Canadians	カナダ人に対する教育と啓発
Education and Awareness for Minors	未成年者に対する教育と啓発
Conclusion	結論
APPENDIX A: LIST OF WITNESSES	附属書A：参考人リスト
APPENDIX B: LIST OF BRIEFS	附属書B：準備書面リスト
REQUEST FOR GOVERNMENT RESPONSE	政府への回答要請

プライバシーコミッショナー事務局の反応...

● Office of the Privacy Commissioner of Canada

・2024.12.09 Statement by the Priv acy Commissioner following release of ETHI Committee report on oversight of social media platforms

Statement by the Privacy Commissioner following release of ETHI Committee report on oversight of social media platforms	ソーシャルメディア・プラットフォームの監視に関するETHI委員会報告書の公表を受けたプライバシーコミッショナーの声明
Privacy Commissioner of Canada Philippe Dufresne today issued the following statement regarding a new report from the Standing Committee on Access to Information, Privacy and Ethics (ETHI) on its study on the Use of Social Media Platforms for Data Harvesting and Unethical or Illicit Sharing of Personal Information with Foreign Entities.	カナダのフィリップ・デュフレーヌ・プライバシー・コミッショナーは本日、情報公開・プライバシー・倫理常設委員会（ETHI）による「データ収集および外国団体との個人情報の非倫理的または不正な共有のためのソーシャルメディア・プラットフォームの使用に関する調査」に関する新たな報告書について、以下の声明を発表した。
I welcome the report by the Standing Committee on Access to Information, Privacy and Ethics (ETHI) on important issues related to social media platforms and how they harvest, handle and share personal information.	情報公開・プライバシー・倫理常設委員会（ETHI）による、ソーシャルメディア・プラットフォームと、それらがどのように個人情報を収集し、扱い、共有するかに関する重要な問題に関する報告書を歓迎する。
Many of the recommendations in this report reflect the issues that I discussed when I appeared before the Committee in October 2023.	この報告書の提言の多くは、私が2023年10月に同委員会に出席した際に議論した問題を反映している。
In a digital world, where the risks for privacy are higher than ever, we must continue to progress on efforts to modernize Canada’s federal privacy laws.	プライバシーのリスクがかつてないほど高まっているデジタルの世界において、我々はカナダの連邦プライバシー法を近代化する努力を引き続き進めなければならない。
The Committee has made several recommendations to amend the federal private-sector privacy law, the Personal information Protection and Electronic Documents Act (PIPEDA), including to impose data-minimization requirements, add rules surrounding cross-border data transfers and provide the Privacy Commissioner with the power to make binding orders and impose significant administrative monetary penalties.	委員会は、連邦民間プライバシー法である個人情報保護・電子文書法（PIPEDA）を改正するために、データ最小化要件を課すこと、国境を越えたデータ移転に関する規則を追加すること、プライバシーコミッショナーに拘束力のある命令を下し、多額の行政罰則を科す権限を与えることなど、いくつかの勧告を行った。
I strongly support the Committee’s call for proposed amendments to PIPEDA to provide for stronger protections for children and youth, including appropriate consent mechanisms and an explicit right to the deletion or de-indexing of the personal information of minors.	私は、適切な同意の仕組みや、未成年者の個人情報の削除またはインデックス解除に対する明示的な権利など、児童・青少年に対する保護を強化するためのPIPEDA改正案に対する委員会の要求を強く支持する。
We must respond to the well-documented harms to young people online and ensure that they are protected and that their best interests are a primary consideration in the design of products and services that concern or impact them.	我々は、オンライン上の青少年に対する害悪が十分に文書化されていることに対応し、青少年が保護され、青少年に関係する、あるいは青少年に影響を与える製品やサービスの設計において、青少年の最善の利益が第一に考慮されるようにしなければならない。
As children and youth embrace new technologies and experience much of their lives online, we need strong safeguards to protect their personal information and how it may be collected, used, and disclosed. Children have a right to be children in a safe environment, including in the digital world.	子どもたちや青少年が新しいテクノロジーを受け入れ、生活の多くをオンラインで経験する中、彼らの個人情報を保護し、それがどのように収集され、利用され、開示されるかを守るための強力な保護措置が必要である。子どもたちは、デジタルの世界も含め、安全な環境で子どもらしくある権利がある。
All Canadians have a fundamental right to privacy, and they should be empowered with knowledge of how to protect their personal information. I welcome the Committee’s proposal for the Government of Canada to invest more in digital literacy to better equip Canadians to protect their personal data online.	すべてのカナダ人はプライバシーに対する基本的な権利を有しており、個人情報を保護する方法についての知識を身につけるべきである。私は、カナダ政府がデジタル・リテラシーへの投資を拡大し、カナダ人がオンラインで個人情報を保護できるようにすることを求める委員会の提案を歓迎する。
The Committee’s report sets out a number of observations related to TikTok. My Office’s joint investigation into TikTok’s privacy practices with counterparts in Quebec, British Columbia and Alberta is ongoing. We are examining whether TikTok’s practices comply with Canadian privacy legislation and, in particular, whether valid and meaningful consent is being obtained for the collection, use, and disclosure of personal information, with a particular focus on TikTok’s privacy practices as they relate to younger users.	委員会の報告書は、TikTokに関する多くの見解を示している。私のオフィスでは、ケベック州、ブリティッシュ・コロンビア州、アルバータ州の担当者と共同でTikTokのプライバシー慣行に関する調査を進めている。私たちは、TikTokの慣行がカナダの個人情報保護法を遵守しているかどうか、特に、個人情報の収集、使用、開示について有効かつ有意義な同意が得られているかどうか、特に若年層のユーザーに関連するTikTokの個人情報保護慣行に焦点を当てて調査している。
Addressing and advocating for privacy and championing children’s privacy are essential to protecting Canadians’ fundamental right to privacy in this time of unprecedented technological change.	前例のない技術革新の時代において、カナダ人のプライバシーに対する基本的権利を保護するためには、プライバシーの問題に取り組み、子供のプライバシーを擁護することが不可欠である。
Related links	関連リンク
Statement: Appearance before the Standing Committee on Access to Information, Privacy and Ethics on its study of the Use of Social Media Platforms for Data Harvesting and Unethical or Illicit Sharing of Personal Information with Foreign Entities	声明：情報公開・プライバシー・倫理に関する常設委員会における、データ・ハーベスティングおよび外国団体との個人情報の非倫理的または不正な共有のためのソーシャル・メディア・プラットフォームの使用に関する調査への出席
ETHI Report: Oversight of Social Media Platforms: Ensuring Privacy and Safety Online	ETHI報告書：ソーシャルメディア・プラットフォームの監視：オンラインにおけるプライバシーと安全の確保

この報告書のための下院委員会でのコミッショナーの昨年の10月の発言

・2023.10.25 Appearance before the Standing Committee on Access to Information, Privacy and Ethics on its study of the Use of Social Media Platforms for Data Harvesting and Unethical or Illicit Sharing of Personal Information with Foreign Entities

Appearance before the Standing Committee on Access to Information, Privacy and Ethics on its study of the Use of Social Media Platforms for Data Harvesting and Unethical or Illicit Sharing of Personal Information with Foreign Entities	情報公開・プライバシー・倫理常設委員会における「データ・ハーベスティングおよび外国企業との個人情報の非倫理的または不正な共有のためのソーシャル・メディア・プラットフォームの使用」に関する調査への出席
Thank you, Mr. Chair, Members of the Committee.	委員長、委員の皆様、ありがとうございます。
I am pleased to now turn to this part of the discussion, and thank the Committee for your interest in the ways that social media platforms, such as TikTok, harvest, handle and share personal information.	TikTokのようなソーシャル・メディア・プラットフォームが個人情報を収集、処理、共有する方法についてご関心をお寄せいただいたことに感謝申し上げるます。
The online world brings with it a host of possibilities for innovation and connection, but it also carries potential for significant harm, especially for young people.	オンラインの世界は、革新とつながりに多くの可能性をもたらすが、同時に、特に若者にとって、重大な弊害をもたらす可能性もはらんでいます。
As you know, my Office, along with our counterparts in Quebec, British Columbia and Alberta, launched an investigation into TikTok in February.	ご存知のように、私のオフィスはケベック州、ブリティッシュ・コロンビア州、アルバータ州のカウンターパートとともに、2月にTikTokの調査を開始しました。
We are examining whether TikTok’s practices comply with Canadian privacy legislation and in particular, whether it obtains valid and meaningful consent for the collection, use, and disclosure of personal information. We are also looking at whether a reasonable person would consider the purposes for which it handles personal information, in particular children’s information, to be appropriate in the circumstances.	我々は、TikTokの慣行がカナダの個人情報保護法を遵守しているかどうか、特に個人情報の収集、使用、開示について有効かつ有意義な同意を取得しているかどうかを調査しています。また、TikTokが個人情報、特に子供の情報を扱う目的が、その状況において適切であると合理的な人が考えるかどうかも見ています。
This matter is a high priority for my Office, especially given the importance of protecting the fundamental right to privacy of young people, who represent a notable proportion of TikTok users. As a result of the ongoing investigation, there are limits to my ability to speak publicly about the company’s practices at the moment.	この問題は、特にTikTokユーザーのかなりの割合を占める青少年のプライバシーに対する基本的権利を保護することの重要性を考えると、私のオフィスにとって最優先事項です。現在進行中の調査の結果、私が同社の慣行について公に発言することには限界があります。
For that reason, I will focus my remarks today on the privacy principles that underpin my Office’s approach to the digital world from the perspective of the privacy rights of children.	そのため、本日の私の発言は、子どものプライバシー権の観点から、デジタル世界に対する私の事務所のアプローチを支えるプライバシー原則に焦点を当てることにします。
Growing up in the digital age presents significant new challenges for the privacy of young people. As children and youth embrace new technologies and experience much of their lives online, we need strong safeguards to protect their personal information and how it may be collected, used, and disclosed. Increasingly, their information is being used to create personalized content and advertising profiles that are ultimately aimed at influencing their behaviours.	デジタル時代に成長することは、若者のプライバシーにとって重大な新たな課題をもたらします。子どもや若者が新しいテクノロジーを受け入れ、生活の多くをオンラインで経験するようになるにつれ、彼らの個人情報を保護し、それがどのように収集され、利用され、開示されるかを守るための強力な保護措置が必要となっています。彼らの情報は、パーソナライズされたコンテンツや広告プロフィールを作成するために使用されることが増えており、それは最終的に彼らの行動に影響を与えることを目的としています。
Children have a right to be children, even in the digital world.	子どもたちは、デジタルの世界であっても、子どもである権利を持っています。
As UNICEF notes in its policy guidance on artificial intelligence for children, young people are affected by digital technologies to a greater extent than adults. Young people are also less able to understand and appreciate the long-term implications of consenting to their data collection.	ユニセフが子どものための人工知能に関する政策ガイダンスの中で述べているように、若者はデジタル技術の影響を大人よりも大きく受けます。また若者は、データ収集に同意することの長期的な意味を理解し、理解する能力も低いといえます。
Privacy laws should recognize the rights of the child, and the right to be a child. This means interpreting the privacy provisions in the legislation in a way that is consistent with the best interests of the child.	プライバシー法は、子どもの権利を認めるべきです。これは、法におけるプライバシー規定を、子どもの最善の利益と一致するように解釈することを意味します。
I am encouraged by statements from the Minister of Innovation, Science and Industry indicating that there is a desire to strengthen children’s privacy rights in Bill C-27, the Digital Charter Implementation Act, 2022.	私は、2022年デジタル憲章実施法である法案C-27において、子どものプライバシー権を強化する意向があることを示す革新科学産業大臣の発言に勇気づけられています。
My Office has recommended that the preamble of a modernized federal privacy law should recognize that the processing of personal data should respect children’s privacy and the best interests of the child. I believe that this would encourage organizations to build privacy for children into their products and services by design and by default.	私の事務局は、近代化された連邦プライバシー法の前文に、個人データの処理は子どものプライバシーと子どもの最善の利益を尊重すべきであると認識すべきであると提言しました。そうすることで、各組織がその製品やサービスに、子どものためのプライバシーを設計上およびデフォルトで組み込むことが奨励されると私は信じています。
The law must have strong safeguards to protect children’s information from unauthorized access, and reflect greater consideration of the appropriateness of collecting, using and disclosing their information.	法律には、子どもの情報を不正アクセスから保護するための強力なセーフガードを設け、子どもの情報の収集、使用、開示の適切性をより考慮する必要です。
Earlier this month, my provincial and territorial colleagues and I adopted a resolution calling on organizations in the private and public sectors to put the best interests of young people first by, among other things:	今月初め、私の州および準州の同僚と私は、民間および公的セクターの組織に対し、とりわけ次のような方法で、若者の最善の利益を最優先するよう求める決議を採択しました。
・providing privacy tools and consent mechanisms that are appropriate for young people and their maturity level;	・若者とその成熟度に適したプライバシー・ツールおよび同意メカニズムを提供すること。
・rejecting the kind of deceptive practices that influence young people to make poor privacy decisions or to engage in harmful behaviours; and	・若者がプライバシーに関して誤った決定をしたり、有害な行動に関与したりするような、人を欺くような行為を拒否すること。
・allowing for the deletion and de-indexing of information that was collected when users were children, something that I am happy to see was included in Bill C-27.	・利用者が子どもであったときに収集された情報の削除とインデックスの解除を可能にすること。法案C-27にこのような内容が盛り込まれたのは喜ばしいこと。
In closing, it is critical that government and organizations take action to ensure that young people can benefit from technology and be active online without the risk of being targeted, manipulated, or harmed as a result.	最後に、若者たちが、標的にされたり、操作されたり、危害を加えられたりするリスクなしに、テクノロジーから恩恵を受け、オンラインで活動できるようにするためには、政府と組織が行動を起こすことが重要です。
I expect that the findings from our investigation into TikTok will be informative not just for that company, but also for other organizations that collect and handle children’s sensitive personal information.	TikTokに対する我々の調査結果は、同社だけでなく、子どもの機密個人情報を収集・取り扱う他の組織にとっても有益なものになると期待しています。
I also look forward to seeing Bill C-27 progress through the legislative process in a way that will provide children and minors with the privacy protections that they need in this increasingly digital world.	また、法案C-27が、ますますデジタル化が進むこの世界で、子どもたちや未成年者に必要なプライバシー保護を提供する形で、立法過程を進むことを楽しみにしています。
I am happy to take your questions.	質問を受け付けています。
Thank you.	ありがとうございます。

2024.12.15 05:48 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 安全保障 | Permalink | Comments (0)
Tweet

米国 NIST NIST SP 1800-35（初公開ドラフト）ゼロトラスト・アーキテクチャの実装 (2024.12.04)

こんにちは、丸山満彦です。

これまで4回にわたる準備ドラフトを経て、やっと初公開ドラフトの公開と意見募集になりました...

ゼロトラスト・アーキテクチャー導入のための文書（SP 1800-35）です...関係する事業者が多いからね...

● NIST

・2024.12.04 Open for Public Comment | NIST Guidance on Implementing Zero Trust Architecture

・2024.12.05 Requesting Public Comment | NIST Guidance on Implementing a Zero Trust Architecture (ZTA)

Requesting Public Comment \| NIST Guidance on Implementing a Zero Trust Architecture (ZTA)	パブリックコメントの要求｜ゼロトラスト・アーキテクチャ（ZTA）の実装に関するNISTガイダンス
The NIST National Cybersecurity Center of Excellence (NCCoE) has released the draft of the practice guide, Implementing a Zero Trust Architecture (NIST SP 1800-35), for public comment. This publication outlines results and best practices from the NCCoE effort working with 24 vendors to demonstrate end-to-end zero trust architectures.	NIST国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）は、プラクティスガイド「ゼロトラスト・アーキテクチャの実装」（NIST SP 1800-35）のドラフトを公開し、パブリックコメントを求めている。本書は、エンドツーエンドのゼロトラスト・アーキテクチャを実証するために24のベンダーと協力したNCCoEの取り組みの結果とベストプラクティスを概説している。
As an enterprise’s data and resources have become distributed across on-premises and multiple cloud environments, protecting them has become increasingly challenging. Many users need options to access information across the globe, at all hours, across devices. The NCCoE addressed these unique challenges by collaborating with industry participants to demonstrate 19 sample zero trust architecture implementations.	エンタープライズのデータやリソースがオンプレミスや複数のクラウド環境に分散されるようになり、それらの保護はますます困難になっている。多くのユーザーは、デバイスを問わず、四六時中、世界中の情報にアクセスできるオプションを必要としている。NCCoEは、業界参加者と協力して19のゼロトラスト・アーキテクチャ実装サンプルを実証することで、こうした独自の課題に対処した。
Detailed technical information for each sample implementation can serve as a valuable resource for technology implementers by providing models they can replicate. The lessons learned from the implementations and integrations can help organizations save time and resources.	各サンプル実装の詳細な技術情報は、技術実装者が再現できるモデルを提供することで、貴重なリソースとなる。実装と統合から学んだ教訓は、組織が時間とリソースを節約するのに役立つ。
Two resources of NIST SP 1800-35 have been released. The High-Level Document in PDF Format serves as introductory reading with insight into the project effort, including a high-level summary of project goals, reference architecture, various ZTA implementations, and findings.	NIST SP 1800-35の2つのリソースがリリースされた。PDF形式のハイレベル文書」は、プロジェクトの目標、参照アーキテクチャー、様々なZTAの実装、調査結果などのハイレベルな要約を含む、プロジェクトの取り組みに関する洞察の入門的な読み物として役立つ。
The Full Document in Web Format provides in-depth details about technologies leveraged, their integrations and configurations, and the use cases and scenarios demonstrated. It also contains information on the implemented security capabilities and their mappings to the NIST Cybersecurity Framework (CSF) versions 1.1 and 2.0, NIST SP 800-53r5, and security measures outlined in “EO-Critical Software” under Executive Order 14028.	ウェブ形式の完全な文書」では、活用された技術、それらの統合と構成、実証された使用例とシナリオについて詳細な情報をプロバイダが提供する。また、実装されたセキュリティ機能と、NISTサイバーセキュリティ枠組み（CSF）バージョン1.1および2.0、NIST SP 800-53r5、および大統領令14028に基づく「EO-Critical Software」に概説されたセキュリティ対策とのマッピングに関する情報も含まれている。
This is the last draft being released for comment before the document will be finalized.	これは、文書が最終化される前にコメント用に公開される最後のドラフトである。
We Want to Hear from You!	ご意見をお願いします！
We welcome your input and look forward to your comments by January 31, 2025. We also invite you to join our mailing list to receive news and updates about this project.	2025年1月31日までにご意見をお寄せいただきたい。また、このプロジェクトに関するニュースや最新情報を受け取るために、メーリングリストへの参加もお勧めする。

初期ドラフト

・2024.12.04 NIST SP 1800-35 (Initial Public Draft) Implementing a Zero Trust Architecture

NIST SP 1800-35 (Initial Public Draft) Implementing a Zero Trust Architecture	NIST SP 1800-35（初公開ドラフト）ゼロトラスト・アーキテクチャの実装
Announcement	発表
The NIST National Cybersecurity Center of Excellence (NCCoE) has released the initial public draft of the practice guide, Implementing a Zero Trust Architecture (NIST SP 1800-35), for public comment. This publication outlines results and best practices from the NCCoE effort working with 24 vendors to demonstrate end-to-end zero trust architectures.	NIST国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）は、プラクティスガイド「ゼロトラスト・アーキテクチャの実装」（NIST SP 1800-35）の初公開ドラフトを公開し、パブリックコメントを求めている。本書は、エンドツーエンドのゼロトラスト・アーキテクチャを実証するために24のベンダーと協力したNCCoEの取り組みから得られた結果とベストプラクティスを概説している。
As an enterprise’s data and resources have become distributed across on-premises and multiple cloud environments, protecting them has become increasingly challenging. Many users need options to access information across the globe, at all hours, across devices. The NCCoE addressed these unique challenges by collaborating with industry participants to demonstrate 19 sample zero trust architecture implementations.	エンタープライズのデータやリソースがオンプレミスや複数のクラウド環境に分散されるようになり、それらの保護はますます困難になっている。多くのユーザーは、デバイスを問わず、四六時中、世界中の情報にアクセスできるオプションを必要としている。NCCoEは、業界参加者と協力して19のゼロトラスト・アーキテクチャ実装サンプルを実証することで、こうした独自の課題に対処した。
Detailed technical information for each sample implementation can serve as a valuable resource for technology implementers by providing models they can replicate. The lessons learned from the implementations and integrations can help organizations save time and resources.	各サンプル実装の詳細な技術情報は、技術実装者が再現できるモデルを提供することで、貴重なリソースとなる。実装と統合から学んだ教訓は、組織が時間とリソースを節約するのに役立つ。
Two resources of NIST SP 1800-35 have been released. The High-Level Document in PDF Format serves as introductory reading with insight into the project effort, including a high-level summary of project goals, reference architecture, various ZTA implementations, and findings	NIST SP 1800-35の2つのリソースがリリースされた。PDF形式のHigh-Level Documentは、プロジェクトの目標、リファレンス・アーキテクチャ、様々なZTA実装、調査結果などの概要が記載されている。
The Full Document in Web Format provides in-depth details about technologies leveraged, their integrations and configurations, and the use cases and scenarios demonstrated. It also contains information on the implemented security capabilities and their mappings to the NIST Cybersecurity Framework (CSF) versions 1.1 and 2.0, NIST SP 800-53r5, and security measures outlined in “EO-Critical Software” under Executive Order 14028.	ウェブ形式のフル・ドキュメントでは、活用されたテクノロジー、それらの統合と構成、実証されたユースケースとシナリオに関する詳細な情報を提供する。また、実装されたセキュリティ機能と、NISTサイバーセキュリティ枠組み（CSF）バージョン1.1および2.0、NIST SP 800-53r5、および大統領令14028に基づく「EO-Critical Software」で概説されているセキュリティ対策とのマッピングに関する情報も含まれている。
This is the last draft being released for comment before the document will be finalized.	これは、この文書が最終化される前にコメント用に公開される最後のドラフトである。
Please submit comments by completing the comment template which includes two tabs (“High-Level Document in PDF” and “Full Document in Web Format”). Please email the comment spreadsheet to nccoe-zta-project@list.nist.gov by January 31, 2025.	2つのタブ（「High-Level Document in PDF 」と「Full Document in Web Format」）を含むコメントテンプレートに記入し、コメントを提出すること。2025年1月31日までに、コメント用スプレッドシートをnccoe-zta-project@list.nist.gov。
Abstract	要旨
A zero trust architecture (ZTA) enables secure authorized access to enterprise resources that are distributed across on-premises and multiple cloud environments, while enabling a hybrid workforce and partners to access resources from anywhere, at any time, from any device in support of the organization’s mission. This NIST Cybersecurity Practice Guide explains how organizations can implement ZTA consistent with the concepts and principles outlined in NIST Special Publication (SP) 800-207, Zero Trust Architecture. The NCCoE worked with 24 collaborators under Cooperative Research Development Agreements (CRADAs) to integrate commercially available technology to build 19 ZTA example implementations and demonstrate a number of common use cases. Detailed technical information on each build can serve as a valuable resource for your technology implementers by providing models they can emulate. The lessons learned from the implementations and integrations can benefit your organization by saving time and resources. This guide also includes mappings of ZTA principles to commonly used security standards and guidance.	ゼロトラスト・アーキテクチャ（ZTA）は、オンプレミスや複数のクラウド環境に分散しているエンタープライズリソースへの安全な認可アクセスを可能にすると同時に、ハイブリッドワーカーやパートナーが、組織のミッションを支援するために、いつでも、どこからでも、どのデバイスからでもリソースにアクセスできるようにする。このNISTサイバーセキュリティ実践ガイドでは、NIST特別刊行物（SP）800-207「Zero Trust Architecture」に概説されている概念と原則に沿って、組織がZTAを実装する方法を説明している。NCCoE は、CRADA（Cooperative Research Development Agreements：共同研究開発契約）に基づく 24 の共同研究者と協力し、市販の技術を統合して 19 の ZTA 実装例を構築し、多くの一般的な使用事例を実証した。各実装に関する詳細な技術情報は、技術実装者が模倣できるモデルを提供することで、貴重なリソースとなる。実装と統合から学んだ教訓は、時間とリソースを節約することで、組織に利益をもたらす。このガイドには、ZTA の原則と一般的に使用されているセキュリティ標準およびガイダンスのマッピングも含まれている。

ハイレベル

・[PDF] NIST SP 1800-35 high-level overview

目次は、Full Documentationと被る部分も多いので、そっちで...

ゼロトラスト・アーキテクチャー導入のウェブページ

・Implementing a Zero Trust Architecture

SP 1800-35 のウェブページ...

・NIST SPECIAL PUBLICATION 1800-35 Implementing a Zero Trust Architecture: Full Document

Implementing a Zero Trust Architecture: Full Document	ゼロ信頼アーキテクチャの実装全文
Executive Summary	エグゼクティブサマリー
Introduction to the Guide	序文
Project Overview	プロジェクトの概要
Architecture and Builds	アーキテクチャとビルド
Builds Implemented	実装されたビルド
Build Architecture Details	ビルドアーキテクチャの詳細
Enterprise 1 Build 1 (E1B1) - EIG Crawl - Okta Identity Cloud and Ivanti Access ZSO as PEs	エンタープライズ 1 ビルド 1（E1B1） - EIG クロール - Okta Identity Cloud および Ivanti Access ZSO を PE とする。
Enterprise 2 Build 1 (E2B1) - EIG Crawl - Ping Identity Ping Federate as PE	エンタープライズ 2 ビルド 1（E2B1） - EIG クロール - PE として Ping Identity Ping Federate
Enterprise 3 Build 1 (E3B1) - EIG Crawl - Azure AD Conditional Access (later renamed Entra Conditional Access) as PE	エンタープライズ3ビルド1（E3B1） - EIG Crawl - Azure AD Conditional Access（後にEntra Conditional Accessに改称）をPEとする。
Enterprise 1 Build 2 (E1B2) - EIG Run - Zscaler ZPA Central Authority (CA) as PE	エンタープライズ 1 ビルド 2（E1B2） - EIG の実行 - PE としての Zscaler ZPA セントラルオーソリティ（CA）
Enterprise 3 Build 2 (E3B2) - EIG Run - Microsoft Azure AD Conditional Access (later renamed Entra Conditional Access), Microsoft Intune, Forescout eyeControl, and Forescout eyeExtend as PEs	Enterprise 3 Build 2 (E3B2) - EIG Run - PEとしてMicrosoft Azure AD Conditional Access（後にEntra Conditional Accessに名称変更）、Microsoft Intune、Forescout eyeControl、Forescout eyeExtend
Enterprise 1 Build 3 (E1B3) - SDP - Zscaler ZPA CA as PE	エンタープライズ1ビルド3（E1B3） - SDP - PEとしてZscaler ZPA CA
Enterprise 2 Build 3 (E2B3) — Microsegmentation - Cisco ISE, Cisco Secure Workload, and Ping Identity Ping Federate as PEs	エンタープライズ 2 ビルド 3（E2B3） - マイクロセグメンテーション - PE として Cisco ISE、Cisco Secure Workload、Ping Identity Ping Federate
Enterprise 3 Build 3 (E3B3) - SDP and Microsegmentation - Microsoft Azure AD Conditional Access (later renamed Entra Conditional Access), Microsoft Intune, Microsoft Sentinel, Forescout eyeControl, and Forescout eyeExtend as PEs	エンタープライズ 3 ビルド 3（E3B3） - SDP とマイクロセグメンテーション - Microsoft Azure AD Conditional Access（後に Entra Conditional Access に改称）、Microsoft Intune、Microsoft Sentinel、Forescout eyeControl、Forescout eyeExtend を PE とする。
Enterprise 4 Build 3 (E4B3) - EIG Run - IBM Security Verify as PE	エンタープライズ4ビルド3（E4B3） - EIGの実行 - PEとしてのIBM Security Verify
Enterprise 1 Build 4 (E1B4) - SDP - Appgate SDP Controller as PE	エンタープライズ 1 ビルド 4（E1B4） - SDP - PE として Appgate SDP コントローラ
Enterprise 2 Build 4 (E2B4) - SDP and SASE - Symantec Cloud Secure Web Gateway, Symantec ZTNA, and Symantec Cloud Access Security Broker as PEs	エンタープライズ 2 ビルド 4（E2B4） - SDP および SASE - PE として Symantec Cloud Secure Web Gateway、 Symantec ZTNA、Symantec Cloud Access Security Broker
Enterprise 3 Build 4 (E3B4) - SDP - F5 BIG-IP, F5 NGINX Plus, Forescout eyeControl, and Forescout eyeExtend as PEs	エンタープライズ3ビルド4（E3B4） - SDP - PEとしてF5 BIG-IP、F5 NGINX Plus、Forescout eyeControl、Forescout eyeExtend
Enterprise 4 Build 4 (E4B4) - SDP, Microsegmentation, and EIG - VMware Workspace ONE Access, VMware Unified Access Gateway, and VMware NSX-T as PEs	エンタープライズ 4 ビルド 4（E4B4） - SDP、マイクロセグメンテーション、EIG - PE として VMware Workspace ONE Access、VMware Unified Access Gateway、VMware NSX-T
Enterprise 1 Build 5 (E1B5) - SASE and Microsegmentation - PAN NGFW and PAN Prisma Access as PEs	エンタープライズ 1 ビルド 5（E1B5） - SASE およびマイクロセグメンテーション - PAN NGFW および PAN Prisma Access を PE として使用
Enterprise 2 Build 5 (E2B5) - SDP and SASE - Lookout SSE and Okta Identity Cloud as PEs	エンタープライズ 2 ビルド 5（E2B5） - SDP および SASE - Lookout SSE および Okta Identity Cloud を PE として使用
Enterprise 3 Build 5 (E3B5) - SDP and SASE - Microsoft Entra Conditional Access (formerly called Azure AD Conditional Access) and Microsoft Security Service Edge as PEs	Enterprise 3 Build 5（E3B5） - SDPおよびSASE - Microsoft Entra Conditional Access（旧名称：Azure AD Conditional Access）およびMicrosoft Security Service EdgeをPEとする。
Enterprise 4 Build 5 (E4B5) - SDP and Microsegmentation - AWS Verified Access and Amazon VPC Lattice as PEs	Enterprise 4 Build 5 (E4B5) - SDP とマイクロセグメンテーション - PE として AWS Verified Access と Amazon VPC Lattice
Enterprise 1 Build 6 (E1B6) - SDP and Microsegmentation - Ivanti Neurons for Zero Trust Access as PE	Enterprise 1 Build 6 (E1B6) - SDP とマイクロセグメンテーション - Ivanti Neurons for Zero Trust Access を PE として使用する。
Enterprise 2 Build 6 (E2B6) - SASE - Google Chrome Enterprise Premium (CEP) - Access Context Manager as PE	Enterprise 2 Build 6 (E2B6) - SASE - Google Chrome Enterprise Premium (CEP) - Access Context Manager を PE として使用する。
Build Implementation Instructions	ビルド実装手順
Enterprise 1 Build 1 (E1B1) - EIG Crawl - Okta Identity Cloud and Ivanti Access ZSO as PEs Product Guides	エンタープライズ1ビルド1（E1B1） - EIG Crawl - Okta Identity CloudおよびIvanti Access ZSOをPEに製品ガイド
Enterprise 2 Build 1 (E2B1) - EIG Crawl - Ping Identity Ping Federate as PE Product Guides	エンタープライズ 2 ビルド 1（E2B1） - EIG クロール - PE としての Ping Identity Ping Federate 製品ガイド
Enterprise 3 Build 1 (E3B1) - EIG Crawl - Azure AD Conditional Access (later renamed Entra Conditional Access) as PE Product Guides	エンタープライズ3ビルド1（E3B1） - PE製品ガイドとしてEIG Crawl - Azure AD Conditional Access（後にEntra Conditional Accessに改称
Enterprise 1 Build 2 (E1B2) - EIG Run - Zscaler ZPA Central Authority (CA) as PE Product Guides	エンタープライズ1ビルド2（E1B2） - EIG Run - PE製品ガイドとしてのZscaler ZPA Central Authority（CA）
Enterprise 3 Build 2 (E3B2) - EIG Run - Microsoft Azure AD Conditional Access (later renamed Entra Conditional Access), Microsoft Intune, Forescout eyeControl, and Forescout eyeExtend as PEs Product Guides	Enterprise 3 Build 2 (E3B2) - EIG Run - PE製品ガイドとしてMicrosoft Azure AD Conditional Access（後にEntra Conditional Accessに改名）、Microsoft Intune、Forescout eyeControl、Forescout eyeExtend
Enterprise 1 Build 3 (E1B3) - SDP - Zscaler ZPA CA as PE Product Guides	エンタープライズ1ビルド3（E1B3） - SDP - PEとしてのZscaler ZPA CA製品ガイド
Enterprise 2 Build 3 (E2B3) - Microsegmentation - Cisco ISE, Cisco Secure Workload, and Ping Identity Ping Federate as PEs Product Guides	エンタープライズ2ビルド3（E2B3） - マイクロセグメンテーション - PEとしてのCisco ISE、Cisco Secure Workload、Ping Identity Ping Federate製品ガイド
Enterprise 3 Build 3 (E3B3) - SDP and Microsegmentation - Microsoft Azure AD Conditional Access (later renamed Entra Conditional Access), Microsoft Intune, Microsoft Sentinel, Forescout eyeControl, and Forescout eyeExtend as PEs Product Guides	エンタープライズ 3 ビルド 3（E3B3） - SDP とマイクロセグメンテーション - PE として Microsoft Azure AD Conditional Access（後に Entra Conditional Access に改称）、Microsoft Intune、Microsoft Sentinel、Forescout eyeControl、Forescout eyeExtend を提供する。
Enterprise 4 Build 3 (E4B3) - EIG Run - IBM Security Verify as PE Product Guides	エンタープライズ 4 ビルド 3（E4B3） - EIG ラン - PE としての IBM Security Verify 製品ガイド
Enterprise 1 Build 4 (E1B4) - SDP - Appgate SDP Controller as PE Product Guides	エンタープライズ1ビルド4（E1B4） - SDP - PEとしてのAppgate SDPコントローラ製品ガイド
Enterprise 2 Build 4 (E2B4) - SDP and SASE - Symantec Cloud Secure Web Gateway, Symantec ZTNA, and Symantec Cloud Access Security Broker as PEs Product Guides	エンタープライズ 2 ビルド 4（E2B4） - SDP および SASE - PE として Symantec Cloud Secure Web Gateway、Symantec ZTNA、Symantec Cloud Access Security Broker 製品ガイド
Enterprise 3 Build 4 (E3B4) - SDP - F5 BIG-IP, F5 NGINX Plus, Forescout eyeControl, and Forescout eyeExtend as PEs Product Guides	エンタープライズ3ビルド4（E3B4） - SDP - PEとしてのF5 BIG-IP、F5 NGINX Plus、Forescout eyeControl、およびForescout eyeExtend製品ガイド
Enterprise 4 Build 4 (E4B4) - SDP, Microsegmentation, and EIG - VMware Workspace ONE Access, VMware Unified Access Gateway, and VMware NSX-T as PEs Product Guides	エンタープライズ 4 ビルド 4（E4B4） - SDP、マイクロセグメンテーション、EIG - PE として VMware Workspace ONE Access、VMware Unified Access Gateway、VMware NSX-T 製品ガイド
Enterprise 1 Build 5 (E1B5) - SASE and Microsegmentation - PAN NGFW and PAN Prisma Access as PEs Product Guides	エンタープライズ1ビルド5（E1B5） - SASEおよびマイクロセグメンテーション - PAN NGFWおよびPAN Prisma AccessをPEとした製品ガイド
Enterprise 2 Build 5 (E2B5) - SDP and SASE - Lookout SSE and Okta Identity Cloud as PEs Product Guides	エンタープライズ2ビルド5（E2B5） - SDPおよびSASE - Lookout SSEおよびOkta Identity CloudをPEとして使用する場合の製品ガイド
Enterprise 3 Build 5 (E3B5) - SDP and SASE - Microsoft Entra Conditional Access (formerly Azure AD Conditional Access) and Microsoft Security Service Edge as PEs Product Guides	Enterprise 3 Build 5 (E3B5) - SDPおよびSASE - Microsoft Entra Conditional Access（旧Azure AD Conditional Access）およびMicrosoft Security Service EdgeをPEとして製品ガイドに追加
Enterprise 4 Build 5 (E4B5) - SDP and Microsegmentation - AWS Verified Access and Amazon VPC Lattice as PE	Enterprise 4 Build 5 (E4B5) - SDPとマイクロセグメンテーション - PEとしてAWS Verified AccessとAmazon VPC Lattice
Enterprise 1 Build 6 (E1B6) - SDP and Microsegmentation - Ivanti Neurons for Zero Trust Access as PEs Product Guides	Enterprise 1 Build 6 (E1B6) - SDP とマイクロセグメンテーション - Ivanti Neurons for Zero Trust Access as PE プロダクトガイド
Enterprise 2 Build 6 (E2B6) - SASE - Google Chrome Enterprise Premium (CEP) - Access Context Manager as PE	Enterprise 2 Build 6 (E2B6) - SASE - Google Chrome Enterprise Premium (CEP) - PEとしてのAccess Context Manager
Hardening Information	ハードニング情報
General Findings	一般的な調査結果
Functional Demonstrations	機能デモ
Demonstration Terminology	デモの用語
Use Case A: Discovery and Identification of IDs, Assets, and Data Flows	ユースケースA：ID、資産、データフローの発見と識別
Use Case B: Enterprise-ID Access	ユースケースB：エンタープライズIDアクセス
Use Case C: Collaboration: Federated-ID Access	ユースケースC：コラボレーション：統合IDアクセス
Use Case D: Other-ID Access	ユースケースD：その他のIDアクセス
Use Case E: Guest: No-ID Access	ユースケースE：ゲスト： IDなしアクセス
Use Case F: Confidence Level	ユースケースF：信頼度
Use Case G: Service-Service Interactions	ユースケースG：サービス間相互作用
Use Case H: Data Level Security Scenarios	ユースケースH：データ・レベルのセキュリティ・シナリオ
Functional Demonstration Result Summaries	機能デモ結果サマリー
Functional Demonstration Results	機能実証結果
EIG Crawl Phase Demonstration Results	EIGクロール・フェーズの実証結果
EIG Run Phase Demonstration Results	EIG実行フェーズの実証結果
SDP, Microsegmentation, and SASE Phase Demonstration Results	SDP、マイクロセグメンテーション、SASEフェーズの実証結果
Risk and Compliance Management	リスクおよびコンプライアンス・マネジメント
Risks Addressed by the ZTA Reference Architecture	ZTA参照アーキテクチャが対処するリスク
ZTA Security Mapping Context and Terminology	ZTAセキュリティマッピングのコンテキストと用語
Mappings	マッピング
Zero Trust Journey Takeaways	ゼロトラスト・ジャーニーの要点
Glossary	用語集
Acronyms	頭字語
Change Log	変更履歴

● まるちゃんの情報セキュリティ気まぐれ日記

1800-35...

・2024.08.08 米国 NIST SP 1800-35（第4次初期ドラフト）ゼロトラストアーキテクチャの実装 (2024.07.30)

・2023.09.16 NIST SP 1800-35（第2次初期ドラフト）ゼロトラストアーキテクチャの実装　Vol.E リスクとコンプライアンスマネジメント

・2023.08.24 NIST SP 1800-35（第3次初期ドラフト）ゼロトラストアーキテクチャの実装　Vol.D 機能デモ

・2023.07.23 NIST SP 1800-35（第2次初期ドラフト）ゼロトラストアーキテクチャの実装 (Vol. B, C)

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. A)

800-207他

・2024.09.03 米国 CISA 接続されたコミュニティ・ガイダンス：相互接続されたシステムを保護するためのゼロ・トラスト (2024.08.29)

・2023.09.17 NIST SP 800-207A マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

・2023.04.23 NIST SP 800-207A（ドラフト）マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

・2022.12.12 カナダサイバーセキュリティセンター「ゼロトラスト・セキュリティモデル - ITSAP.10.008」

・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画：連邦政府管理者向け計画策定ガイド

・2022.03.15 米国 CISA 意見募集ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2021.09.09 米国 CISA 意見募集ゼロトラスト成熟度モデル

・2021.06.30 金融庁「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

2024.12.15 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in クラウド, in パブコメ | Permalink | Comments (0)
Tweet

2024.12.14

米国 NIST SP 800-55 Vol. 1 情報セキュリティのための測定ガイド：第1巻 - 対策の識別と選択、Vol. 2 情報セキュリティ測定ガイド：第2巻 — 情報セキュリティ測定プログラムの開発 (2024.12.04)

こんにちは、丸山満彦です。

NISTが情報セキュリティの測定ガイドであるSP800-55の改訂版を公表していますね... 今回の改訂で、分冊になりましたね...

第1巻は、「対策の識別と選択」で、情報セキュリティ対策の開発、選択、優先順位付けの方法を提供していますね...定量的および定性的アセスメントの両方を調査し、データ分析技術、影響および可能性のモデリングに関する基本的な指針となっていますね...
第2巻は、『情報セキュリティ測定プログラムの開発』で、情報セキュリティ測定プログラムの開発のための方法論とワークフローが示されています..

情報セキュリティ対策はリスク対策なので、リスクアセスメントが重要となってきますが、そのリスクアセスメントについても定量的な方法も含めて、極めて基礎から説明してくれていると思うので、定量的なリスク評価を勉強してみようかなぁという人には良いかもしれません。（もっとも、かなり基礎的な部分だけで、かつ、情報セキュリティ対策の選択等に必要な部分だけですので、これだけでは普遍的な利用は難しいとは思いますが...）

ぜひ、読んでみてくださいませ..

● NIST - ITL

・2024.12.04 Measurement Guide for Information Security | NIST Releases Volumes 1 and 2 of SP 800-55

Measurement Guide for Information Security \| NIST Releases Volumes 1 and 2 of SP 800-55	情報セキュリティの測定ガイド｜NIST、SP 800-55の第1巻および第2巻を公開
NIST has published the final version of Special Publication (SP) 800-55, Measurement Guide for Information Security, which comprises:	NISTは、特別刊行物（SP）800-55の最終版を公開した。この特別刊行物（SP）800-55は、次の２つの「情報セキュリティの測定ガイド」で構成されている。
・SP 800-55v1, Volume 1 — Identifying and Selecting Measures·	・SP 800-55v1 第1巻 — 対策の識別と選択·
・SP 800-55v2, Volume 2 — Developing an Information Security Measurement Program	・SP 800-55v2 第2巻 — 情報セキュリティ測定プログラムの開発
Volume 1, Identifying and Selecting Measures, provides a flexible approach to the development, selection, and prioritization of information security measures. This volume explores both quantitative and qualitative assessment and provides basic guidance on data analysis techniques as well as impact and likelihood modeling. Major updates to SP 800-55v1 include:	第1巻、「対策の識別と選択」では、情報セキュリティ対策の開発、選択、優先順位付けに柔軟なアプローチを提供している。この巻では、定量的および定性的アセスメントの両方を調査し、データ分析技術、影響および可能性のモデリングに関する基本的な指針を提供している。SP 800-55v1の主な更新内容は以下の通りである。
・Introductory guidance on statistical analysis	・統計分析に関する導入ガイドライン
・Exploration of terminology relevant to the measurement and analysis of information technology	・情報技術の測定および分析に関連する用語の調査
・New information about measures documentation, reporting, data quality, and uncertainty	・対策の文書化、報告、データ品質、および不確実性に関する新しい情報
・Expanded information on selecting and prioritizing measures, including information about developing, testing, and validating measures; comparing measures and assessment results; prioritizing measures; using likelihood and impact modeling; weighing scales; and evaluating methods for supporting continuous improvement	・対策の選択と優先順位付けに関する拡充された情報（対策の開発、テスト、妥当性確認に関する情報、対策とアセスメント結果の比較、対策の優先順位付け、可能性と影響のモデリングの使用、尺度の評価、継続的な改善を支援する手法の評価を含む）
Volume 2, Developing an Information Security Measurement Program, provides a flexible methodology and workflow. Major updates to SP 800-55v2 include:	第2巻『情報セキュリティ測定プログラムの開発』では、柔軟な方法論とワークフローが提供されている。SP 800-55v2の主な更新内容は以下の通りである。
・A new workflow for developing and implementing an information security measurement program	・情報セキュリティ測定プログラムの開発と実施のための新しいワークフロー
・Expanded sections on measurement program benefits, program scope, foundations for a successful program, roles and responsibilities, the programmatic value of metrics, measures communication, organizational considerations, manageability, and data management concerns	・測定プログラムの利点、プログラムの範囲、プログラム成功の基盤、役割と責任、測定基準のプログラム上の価値、コミュニケーション、組織の考慮事項、管理可能性、データ管理に関する懸念事項に関するセクションの拡充
For more information on SP 800-55, see NIST’s Measurements for Information Security project, and send inquiries to cyber-measures@list.nist.gov.	SP 800-55 に関する詳細情報については、NIST の情報セキュリティ測定プロジェクトを参照し、cyber-measures@list.nist.gov までお問い合わせいただきたい。
*****	*****
NIST is also introducing a Metrics and Measures Community of Interest with a roundtable in 2025. For more information, see the Measurements for Information Security project and direct questions and comments to [mail].	NIST はまた、2025 年に円卓会議形式の「Metrics and Measures Community of Interest（測定基準および測定基準コミュニティ）」を開催する予定である。詳細情報については、情報セキュリティ測定プロジェクトを参照し、質問やコメントは cyber-[mail] まで直接お問い合わせいただきたい。

Vol. 1

・2024.12.04 NIST SP 800-55 Vol. 1 Measurement Guide for Information Security: Volume 1 — Identifying and Selecting Measures

NIST SP 800-55 Vol. 1 Measurement Guide for Information Security: Volume 1 — Identifying and Selecting Measures	NIST SP 800-55 Vol. 1 情報セキュリティのための測定ガイド：第1巻 - 対策の識別と選択
Abstract	要約
This document provides guidance on how an organization can develop information security measures to identify the adequacy of in-place security policies, procedures, and controls. It explains the measures prioritization process and how to evaluate measures.	本書は、組織が現行のセキュリティポリシー、手順、および管理の適切性を識別するための情報セキュリティ対策を開発する方法についての指針を提供する。本書では、対策の優先順位付けプロセスと対策の評価方法について説明している。

・[PDF] NIST.SP.800-55v1

・[DOCX][PDF] 仮訳

1. Introduction	1. 序文
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Relationship to Other NIST Publications	1.2. 他のNIST出版物との関係
1.3. Document Organization	1.3. 文書の構成
1.4. Document Terminology	1.4. 文書用語
2. Fundamentals	2. 基礎
2.1. Measurement and Quantitative Assessment	2.1. 測定と定量的アセスメント
2.2. Types of Assessment	2.2. アセスメントの種類
2.3. Benefits of Using Measure	2.3. 施策を利用するメリット
2.4. Metrics	2.4. メトリックス
3. Measurement Considerations	3. 測定に関する考察
3.1. Organizational Measures Considerations	3.1. 組織的措置に関する考察
3.1.1. Measures Documentation	3.1.1. 対策の文書化
3.1.2. Measurement Reporting	3.1.2. 測定報告
3.1.3. Data Management	3.1.3. データ管理
3.1.4. Data Quality	3.1.4. データの質
3.1.5. Uncertainty and Errors	3.1.5.不確実性と誤差
3.2. Characteristics of Measures	3.2. 対策の特徴
3.3. Types of Measures	3.3. 対策の種類
3.3.1. Implementation Measures	3.3.1. 実施対策
3.3.2. Effectiveness Measures	3.3.2. 効果測定
3.3.3. Efficiency Measures	3.3.3. 効率対策
3.3.4. Impact Measures	3.3.4. 影響対策
4. Selecting and Prioritizing ear	4. 対策の選択と優先順位付け
4.1. Identification and Definition	4.1. 識別と定義
4.2. Developing, Testing, and Validating Measures	4.2. 尺度の開発、テスト、妥当性確認
4.2.1. Comparing Measures and Assessment Results	4.2.1. 対策とアセスメント結果の比較
4.3. Prioritizing Measures	4.3. 対策の優先順位付け
4.3.1. Likelihood and Impact Modeling	4.3.1. 可能性と影響のモデリング
4.3.2. Weighing Scale	4.3.2. 計量器
4.4. Evaluating Methods for Supporting Continuous Improvement	4.4.継続的改善を支援する方法の評価
References	参考文献
Appendix A. Glossary	附属書A. 用語集
Appendix B. Data Analysis Dictionary	附属書B. データ分析辞書
B.1. Bayesian Methodology	B.1. ベイズの方法論
B.2. Classical Data Analysis	B.2. 古典的データ分析
B. 3. Exploratory Data Analysis	B.3. 探索的データ分析
Appendix C. Modeling Impact and Likelihood	附属書C. 影響と可能性のモデル化
C.1. Bayesian Methodology	C.1. ベイズの方法論
C.2. Monte Carlo Methodology	C.2. モンテカルロ法
C.3. Time Series Analysis	C.3. 時系列分析
C.4. Value at Risk	C.4. バリュー・アット・リスク
Appendix D. Change Log	附属書D. 変更履歴

1. Introduction	1. 序文
Information security measurement enables organizations to describe and quantify information security, allocate finite resources, and make informed and data-driven decisions for improved outcomes. However, organizations first need to know what policies, procedures, and controls they have in place at any given time; whether those policies and procedures are having the desired results; and how the organization and its risks are impacted. By developing and monitoring measurements that evaluate what an organization has in place for information security risk management and how well those efforts are working, an organization can better address their goals and direct resources.	情報セキュリティの測定によって、組織は情報セキュリティを記述・定量化し、有限のリソースを配分し、情報に基づいてデータ主導の意思決定を行い、成果を向上させることができる。しかし、組織はまず、その時点でどのような方針、手順、管理策を講じているのか、それらの方針と手順が望ましい結果をもたらしているのか、組織とそのリスクにどのような影響を与えているのかを知る必要がある。組織が情報セキュリティリスクマネジメントのために何を整備し、それらの取り組みがどの程度機能しているかを評価する測定方法を開発し、監視することによって、組織は目標によりよく取り組み、リソースを向けることができる。
1.1. Purpose and Scope	1.1. 目的と範囲
NIST Special Publication (SP) 800-55v1 (Volume 1) is a flexible guide for developing and selecting information security measures at the organization, mission/business, and system levels to identify the success of in-place policies, procedures, and controls.[1] This document expands on previous NIST work on information security measures and measurements by focusing on quantitative assessments[2] and addressing organizational and program maturity.	NIST特別刊行物（SP）800-55v1（第1巻）は、組織、ミッション／ビジネス、システムの各レベルで情報セキュリティ対策を策定し、選択するための柔軟な手引書であり、導入済みの方針、手順、管理の成功を識別するためのものである。[1]本文書は、情報セキュリティ対策と測定に関するNISTのこれまでの作業を拡張し、定量的なアセスメント（[2] ）に焦点を当て、組織とプログラムの成熟度を取り上げたものである。
The SP 800-55v2 [23] provides a methodology for implementing an information security measurement program. Additionally, while many of the principles of information security measurement may apply to privacy, privacy is out of scope for this document.	SP 800-55v2 [23]は、情報セキュリティ測定プログラムを実施するための方法論を提供する。さらに、情報セキュリティ測定の原則の多くはプライバシーにも適用できるかもしれないが、プライバシーは本文書の対象外である。
1.2. Relationship to Other NIST Publications	1.2. 他のNIST出版物との関係
This document is intended to provide considerations for measuring the information security program activities described in other NIST publications, including:	本文書は、NISTの他の刊行物（以下「NIST刊行物」という）に記載されている情報セキュリティプログラム活動を測定するための考慮事項を提供することを意図している：
• SP 800-137A, Assessing Information Security Continuous Monitoring Programs [14]	• SP 800-137A「情報セキュリティの継続的なモニタリングプログラムのアセスメント」[14]。
• The NIST Cybersecurity Framework (CSF) 2.0 [1]	• NIST サイバーセキュリティフレームワーク（CSF）2.0 [1]である。
• SP 800-30r1 (Revision 1), Guide for Conducting Risk Assessments [9]	• SP 800-30r1（改訂 1）、リスクアセスメント実施のためのガイド[9]。
• SP 800-37r2, Risk Management Framework for Information Security Systems and Organizations: A System Life Cycle Approach for Security and Privacy [10]	• SP 800-37r2「情報セキュリティシステム及び組織のためのリスクマネジメントの枠組み」：セキュリティとプライバシーのためのシステムライフサイクルアプローチ[10]。
• SP 800-161r1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations [17]	• SP 800-161r1、システム及び組織のためのサイバーセキュリティサプライチェーンリスクマネジメントの実践[17]。
• NIST Engineering Statistics Handbook [18]	• NIST エンジニアリング統計ハンドブック [18］
• NIST Internal Report (IR) 8286, Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM) [4]	• NIST 内部報告書（IR）8286「エンタープライズリスクマネジメント（ERM）のためのサイバーセキュリティリスクの特定と推定」[4]。
1.3. Document Organization	1.3. 文書の構成
The remaining sections of this document discuss the following:	本書の残りのセクションでは、以下について述べる：
• Section 2, Fundamentals	• セクション2：基礎
• Section 3, Measurement Considerations	• セクション3：測定に関する考察
• Section 4, Selecting and Prioritizing Measures	• セクション4：対策の選択と優先順位付け
• Appendix A, Glossary	• 附属書A：用語集
• Appendix B, Data Analysis Dictionary	• 附属書B ：データ分析辞典
• Appendix C, Modeling Impact and Likelihood	• 附属書C：影響と可能性のモデル化
• Appendix D, Change Log	• 附属書D ：変更履歴
[1] This document uses the term controls to broadly describe identified countermeasures for managing information security risks. It is intended to be framework- and standard-agnostic and can also apply to other existing models or frameworks.	[1] 本文書では、情報セキュリティリスクをマネジメントするために識別された対応策を広義に表すために、「統制」という用語を使用する。枠組みや標準にとらわれないことを意図しており、他の既存のモデルや枠組みにも適用できる。
[2] SP 800-55 uses the terms quantitative assessment and measurement synonymously. Refer to Sec. 1.4, Document Terminology, for additional information.	[2] SP 800-55 では、定量的アセスメントと測定という用語を同義語として使用している。追加情報については、セクション1.4 「文書用語」を参照のこと。

Vol.2

・2024.12.04 NIST SP 800-55 Vol. 2 Measurement Guide for Information Security: Volume 2 — Developing an Information Security Measurement Program

NIST SP 800-55 Vol. 2 Measurement Guide for Information Security: Volume 2 — Developing an Information Security Measurement Program	NIST SP 800-55 Vol. 2 情報セキュリティ測定ガイド：第2巻 — 情報セキュリティ測定プログラムの開発
Abstract	要約
This document provides guidance on how an organization can develop an information security measurement program with a flexible structure for approaching activities around the development and implementation of information security measures.	本書は、情報セキュリティ対策の開発と実施に関する活動に柔軟に対応できる構造を持つ情報セキュリティ測定プログラムを組織が開発する方法についての指針を提供する。

・[PDF] SP.800-55v2

・[DCOX][PDF] 仮訳

1. Introduction	1. 序文
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Relationship to Other NIST Publications	1.2. 他のNIST出版物との関係
1.3. Document Organization	1.3. 文書構成
1.4. Document Terminology	1.4. 文書用語
2. Fundamentals	2. 基礎
2.1. Measurement Program Benefits	2.1. 測定プログラムの利点
2.2. Program Scope	2.2. プログラムの範囲
2.3. Foundations for a Successful Information Security Measurement Program	2.3. 情報セキュリティ測定プログラムを成功させるための基礎知識
2.4. Roles and Responsibilities	2.4. 役割と責任
2.4.1. Chief Executive Officer/Agency Head	2.4.1. 最高経営責任者／機関長
2.4.2. Chief Information Officer	2.4.2. 最高情報責任者
2.4.3. Chief Information Security Officer	2.4.3. 最高情報セキュリティ責任者
2.4.4. Program Managers and System Owners	2.4.4. プログラムマネージャーとシステムオーナー
2.4.5. Other Roles	2.4.5. その他の役割
2.5. Programmatic Value of Metrics	2.5. メトリクスのプログラム的価値
2.6. Measures Communication	2.6. コミュニケーション
2.7. Measurement Program Considerations	2.7. 測定プログラムに関する考察
2.7.1. Organizational Considerations	2.7.1. 組織的考察
2.7.2. Manageability	2.7.2. 管理性
2.7.3. Data Management Concerns	2.7.3. データ管理に関する懸念
3. Workflow for Implementing an Information Security Measurement Program	3. 情報セキュリティ測定プログラム実施のためのワークフロー
3.1. Evaluation and Definition of the Existing Security Program	3.1. 既存のセキュリティ・プログラムの評価と定義
3.1.1. Gathering Stakeholder Input	3.1.1. ステークホルダーの意見を集める
3.1.2. Goals and Objectives	3.1.2. 目標と目標
3.1.3. Information Security Policies, Procedures, and Guidelines	3.1.3. 情報セキュリティ方針、手順、ガイドライン
3.1.4. Evaluating Current Implementation	3.1.4. 現在の実施状況を評価する
3.2. Identification and Prioritization of Measures	3.2 対策の特定と優先順位付け
3.3. Data Collection and Analysis	3.3. データ収集と分析
3.4. Identify Corrective Actions	3.4 是正措置の識別
3.5. Apply Corrective Actions	3.5 是正措置を適用する
References	参考文献
Appendix A. Glossary	附属書A. 用語集
Appendix B. Change Log	附属書B. 変更履歴

1. Introduction	1. 序文
Organizational, financial, and regulatory reasons drive the desire to build a robust information security measurement program. Such programs facilitate decision-making and improve performance and accountability by providing a structure for collecting, analyzing, and reporting relevant and related data. Organizations can use measures as management tools in their internal improvement efforts and link the implementation of their information security programs to agency- and enterprise-level planning efforts.	組織上、財務上、及び規制上の理由から、強固な情報セキュリティ測定プログラムを構築することが望まれる。このようなプログラムは、関連データ及び関連データを収集、分析、報告するための仕組みをプロバイダとして提供することによって、意思決定を容易にし、パフォーマンスと説明責任を向上させる。組織は、内部改善努力における管理ツールとして対策を使用し、情報セキュリティプログラムの実施を機関レベル及びエンタープライズレベルの計画策定努力と連携させることができる。
Purpose and Scope	1.1. 目的と範囲
NIST Special Publication (SP) 800-55v2 (Volume 2) is a flexible guide for developing and implementing an information security measurement program. The term “program” in SP 800-	NIST特別刊行物（SP）800-55v2（第2巻）は、情報セキュリティ測定プログラムを策定し、実施するための柔軟な手引書である。SP 800-55v2 における「プログラム」という用語は、以下のとおりである。
55v2 is intended to signify a flexible structure for approaching activities around the development and implementation of information security measures. A measurement program can be part of an existing cybersecurity program or its own dedicated effort. Measures provide the means for tying information security policy, procedure, and control[1] implementation, efficiency, and effectiveness to an organization’s success in its business activities.	55v2 は、情報セキュリティ対策の策定と実施に関連する活動に取り組むための柔軟な構造を示すことを意図している。測定プログラムは、既存のサイバーセキュリティプログラムの一部である場合もあれば、専用の取り組みである場合もある。対策は、情報セキュリティポリシー、手順、統制（[1] ）の実施、効率性、有効性を、組織の事業活動の成功に結びつけるための手段を提供する。
This document provides a methodology for developing and implementing an information security measurement program, while SP 800-55v1 [10] addresses the selection and development of information security measures. SP 800-55v2 discusses the concept of organizational or program maturity but is not intended for use as a maturity model and is intentionally agnostic toward any specific maturity models.	SP 800-55v1 [10]は情報セキュリティ対策の選択と開発について述べている。SP 800-55v2 は、組織またはプログラムの成熟度の概念について論じているが、成熟度モデルとして使用することを意図しておらず、特定の成熟度モデルに対して意図的に不可知論的である。
Relationship to Other NIST Publications	1.2. 他のNIST出版物との関係
This document is intended to provide considerations for measuring the information security program activities described in other NIST publications, including:	本文書は、NISTの他の刊行物（以下「NIST刊行物」という）に記載されている情報セキュリティプログラム活動を測定するための考慮事項を提供することを意図している：
• SP 800-137A, Assessing Information Security Continuous Monitoring Programs [1]	• SP 800-137A「情報セキュリティの継続的なモニタリングプログラムのアセスメント」 [1］
• The NIST Cybersecurity Framework (CSF) 2.0 [2]	• NIST サイバーセキュリティフレームワーク（CSF）2.0 [2]である。
• SP 800-30r1 (Revision 1), Guide for Conducting Risk Assessments [3]	• SP 800-30r1（改訂 1）、リスクアセスメント実施のためのガイド[3]。
• SP 800-37r2, Risk Management Framework for Information Security Systems and Organizations: A System Life Cycle Approach for Security and Privacy [4]	• SP 800-37r2「情報セキュリティシステム及び組織のためのリスクマネジメントの枠組み」：セキュリティとプライバシーのためのシステムライフサイクルアプローチ[4]」である。
• SP 800-161r1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations [5]	• SP 800-161r1、システム及び組織のためのサイバーセキュリティサプライチェーンリスクマネジメントの実践[5]。
• Internal Report (IR) 8286, Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM) [6]	• 内部報告書（IR）8286「エンタープライズリスクマネジメント（ERM）のためのサイバーセキュリティリスクの特定と推定」[6]。
Document Organization	1.3. 文書構成
The remaining sections of this document discuss the following:	本書の残りのセクションでは、以下のことを説明する：
• Section 2, Fundamentals	• セクション2、基礎
• Section 3, Workflow for Implementing an Information Security Measurement Program	• セクション3「情報セキュリティ測定プログラムを実施するためのワークフロー
• Appendix A, Glossary	• 附属書A、用語集
• Appendix B, Change Log	• 附属書B、変更履歴
[1] This document uses the term controls to broadly describe identified countermeasures for managing information security risks. It is intended to be framework- and standard-agnostic and can also apply to other existing models or frameworks.	[1] 本文書では、情報セキュリティリスクをマネジメントするために識別された対応策を広義に表すために、「統制」という用語を使用する。枠組みや標準にとらわれないことを意図しており、他の既存のモデルや枠組みにも適用できる。

2024.12.14 07:57 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2024.12.13

オーストラリア 2024年サイバーセキュリティ法 (2024.11.29)

こんにちは、丸山満彦です。

2024.10.08にオーストラリア議会にサイバーセキュリティの法制パックが提出されていますよ...と2024.11.30にブログに書きましたが...

オーストラリアのサイバーセキュリティ法について官報にのっているので紹介です。IoTの認証、ランサムウェア攻撃を受けた場合の報告義務、重要なサイバーインシデントの報告義務、サイバーインシデント審査会等ありますね...

米国に近いのかなぁ...

大項目でいうとこんな感じ...

Cyber Security Act 2024	Cyber Security Act 2024
Part 1—Preliminary	第1編ー序文
Part 2—Security standards for smart devices	第2編ースマートデバイスのセキュリティ標準
Part 3—Ransomware reporting obligations	第3編ーランサムウェアの報告義務
Part 4—Coordination of significant cyber security incidents	第4編ー重要なサイバーセキュリティインシデントの調整
Part 5—Cyber Incident Review Board	第5編ーサイバーインシデント審査会

● Australan Government - Federal Register of Legislation

・2024.11.29 Cyber Security Act 2024 No. 98, 2024

目次...

Cyber Security Act 2024	Cyber Security Act 2024
No. 98, 2024	No.98, 2024
An Act relating to cyber security for Australians, and for other purposes	オーストラリア国民のサイバーセキュリティに関する法律およびその他の目的
Contents	目次
Part 1—Preliminary	第1編ー序文
1 Short title	1 略称
2 Commencement	2 発効
3 Objects	3 目的
4 Simplified outline of this Act	4 本法令の簡略な概要
5 Extraterritoriality	5 治外法権
6 Act binds the Crown	6 王冠を拘束する法令
7 Concurrent operation of State and Territory laws	7 州および準州の法律の併用
8 Definitions	8 定義
9 Meaning of cyber security incident	9 サイバーセキュリティインシデントの意味
10 Meaning of permitted cyber security purpose	10 許可されたサイバーセキュリティ目的の意味
11 Disclosure to State body	11 州の団体への開示
Part 2—Security standards for smart devices	第2編ースマートデバイスのセキュリティ標準
Division 1—Preliminary	第1章ー序文
12 Simplified outline of this Part	12 本編の簡略な概要
13 Application of this Part	13 本編の適用
Division 2—Security standards for relevant connectable products	第2章ー関連接続製品に対するセキュリティ標準
14 Security standards for relevant connectable products	14 関連接続可能製品のセキュリティ標準
15 Compliance with security standard for a relevant connectable product	15 関連接続可能製品のセキュリティ標準への準拠
16 Obligation to provide and supply products with a statement of compliance with security standard	16 セキュリティ標準への準拠を表明した製品を提供・供給する義務
Division 3—Enforcement	第3章ー施行
17 Compliance notice	17 準拠通知
18 Stop notice	18 停止通知
19 Recall notice	19 回収通知
20 Public notification of failure to comply with recall notice	20 回収通知に従わない場合の公示
Division 4—Miscellaneous	第4章ーその他
21 Revocation and variation of notices given under this Part	21 本編に基づき行われた通知の取消しおよび変更
22 Internal review of decision to give compliance, stop or recall notice	22 準拠を与える決定の内部審査、停止またはリコール通知
23 Examination to assess compliance with security standard and statement of compliance	23 セキュリティ標準への準拠を評価するための審査および準拠表明
24 Acquisition of property	24 財産の取得
Part 3—Ransomware reporting obligations	第3編ーランサムウェアの報告義務
Division 1—Preliminary	第1章ー序文
25 Simplified outline of this Part	25 本編の簡易概要
Division 2—Reporting obligations	第2章ー報告義務
26 Application of this Part	26 本章の適用
27 Obligation to report following a ransomware payment	27 ランサムウェアの支払い後の報告義務
28 Liability	28 責任
Division 3—Protection of information	第3章ー情報の保護
29 Ransomware payment reports may only be used or disclosed for permitted purposes	29 ランサムウェアの支払い報告書は、許可された目的にのみ使用または開示することができる
30 Limitations on secondary use and disclosure of information in ransomware payment reports	30 ランサムウェアの支払い報告書の情報の二次使用および開示の制限
31 Legal professional privilege	31 法律専門家の秘匿特権
32 Admissibility of information in ransomware payment report against reporting business entity	32 報告事業者に対するランサムウェアの支払い報告書の情報の許容性事業体
Part 4—Coordination of significant cyber security incidents	第4編ー重要なサイバーセキュリティインシデントの調整
Division 1—Preliminary	第1章ー序文
33 Simplified outline of this Part	33 簡易概要
34 Meaning of significant cyber security incident	34 重要なサイバーセキュリティインシデントの意味
Division 2—Voluntary information sharing with the National Cyber Security Coordinator	第2章ー国家サイバーセキュリティ調整官との自主的な情報共有
35 Impacted entity may voluntarily provide information to National Cyber Security Coordinator in relation to a significant cyber security incident	35 影響を受けた事業体は、重要なサイバーセキュリティインシデントに関連して、国家サイバーセキュリティ調整官に自主的に情報を提供することができる
36 Voluntary provision of information in relation to other incidents or cyber security incidents	36 その他のインシデントまたはサイバーセキュリティインシデントに関連する自主的な情報提供
37 Role of the National Cyber Security Coordinator	37 国家サイバーセキュリティ調整官の役割
Division 3—Protection of information	第3章ー情報の保護
38 Information provided in relation to a significant cyber security incident—use and disclosure by National Cyber Security Coordinator	38-重要なサイバーセキュリティインシデントに関連して提供された情報-国家サイバー
39 Information provided in relation to other incidents—use and disclosure by National Cyber Security Coordinator	39 その他のインシデントに関連して提供された情報-国家サイバー・セキュリティ・コーディネーターによる使用と開示
40 Limitations on secondary use and disclosure	40 二次使用と開示の制限
41 Legal professional privilege	41 法律専門家の秘匿特権
42 Admissibility of information voluntarily given by impacted entity	42 影響を受けた事業体が自発的に提供した情報の許容性
43 National Cyber Security Coordinator not compellable as witness	43 国家サイバー・セキュリティ・コーディネーターは証人として強制されない。Coordinator not compellable as witness
Division 4—Miscellaneous	第4章ーその他
44 Interaction with other requirements to provide information in relation to a cyber security incident	44 サイバー・セキュリティ・インシデントに関する情報提供の他の要件との相互関係
Part 5—Cyber Incident Review Board	第5編ーサイバーインシデント審査会
Division 1—Preliminary	第1章ー序文
45 Simplified outline of this Part	45 本編の簡易概要
Division 2—Reviews	第2章ー審査
46 Board must cause reviews to be conducted	46 審査会は審査を実施させなければならない
47 Board may discontinue a review	47 審査会は審査を中止することができる。
48 Chair may request information or documents	48 委員長は情報または文書を要求することができる
49 Chair may require certain entities to produce documents	49 審査会の機能および権限
50 Civil penalty—failing to comply with a notice to produce documents	50 民事制裁金—文書提出命令に従わない場合
51 Draft review reports	51 審査報告書(ドラフト)
52 Final review reports	52 審査報告書(最終版)
53 Certain information must be redacted from final review reports	53 審査報告書(最終版)から特定の情報を削除しなければならない場合
54 Protected review reports	54 審査報告書(保護)
Division 3—Protection of information relating to reviews	第3章—審査に関する情報の保護
55 Limitations on use and disclosure by the Board	55 審査会による利用および開示の制限
56 Limitations on secondary use and disclosure	56 二次利用および開示の制限
57 Legal professional privilege	57 法律専門家の特権
58 Admissibility of information given by an entity that has been requested or required by the Board	58 審査委員会から要請または要求された事業体が提供した情報の証拠能力
59 Disclosure of draft review reports prohibited	59 審査報告書ドラフトの開示の禁止
Division 4—Establishment, functions and powers of the Board	第4章―審査委員会の設立、機能および権限
60 Cyber Incident Review Board	60 サイバーインシデント審査会
61 Constitution of the Board	61 審査会会則
62 Functions of the Board	62 審査会の機能
63 Independence	63 独立性
Division 5—Terms and conditions of appointment of the Chair and members of the Board	第5章ー審査会委員長および委員の任命条件
64 Appointment of Chair	64 委員長の任命
65 Remuneration of the Chair	65 委員長の報酬
66 Appointment of standing members of the Board	66 常任委員の任命
67 Remuneration of standing members of the Board	67 常任委員の報酬
68 Acting Chair	68 委員長代行
69 Terms and conditions etc. for standing members	69 常任委員の条件など
Division 6—Expert Panel, staff assisting and consultants	第6章ー専門家パネル、補助職員およびコンサルタント
70 Expert Panel	70 専門家パネル
71 Arrangements relating to staff of the Department	71 本省職員に関する取り決め
72 Consultants	72 コンサルタント
Division 7—Other matters relating to the Board	第7章ー審査会に関するその他の事項
73 Board procedures	73 審査会の手続き
74 Liability	74 責任
75 Certification of involvement in review	75 審査への関与の証明
76 Annual report	76 年次報告書
77 Rules may prescribe reporting requirements etc.	77 規則は報告要件などを定めることができる。
Part 6—Regulatory powers	第6編ー規制権限
Division 1—Preliminary	第1章ー序文
78 Simplified outline of this Part	78 本編の簡略概要
Division 2—Civil penalty provisions, enforceable undertakings and injunctions	第2章 - 民事上の制裁規定、強制可能な約束、および差止命令
79 Civil penalty provisions, enforceable undertakings and injunctions	79 民事罰規定、強制執行可能な約束および差止命令
Division 3—Monitoring and investigation powers	第3章ー監視および調査権限
80 Monitoring powers	80 監視権限
81 Investigation powers	81 調査権限
Division 4—Infringement notices	第4章ー侵害通知
82 Infringement notices	82 侵害通知
Division 5—Other matters	第5章ーその他の事項
83 Contravening a civil penalty provision	83 民事罰規定に違反すること
Part 7—Miscellaneous	第7編ーその他
84 Simplified outline of this Part	84 本編の簡易概要
85 How this Act applies in relation to non‑legal persons	85 非法人との関係における本法の適用
86 Delegation by Secretary	86 長官による委任
87 Rules	87 規則
88 Review of this Act	88 本法の見直し

条文

・[HTML]仮対訳

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.30 オーストラリア議会情報・安全保障合同委員会 2024年サイバーセキュリティ法制パッケージ (2024.10.08)

・2023.11.24 オーストラリア内務省 2023-2030 オーストラリアサイバーセキュリティ戦略と実行計画 (2023.11.22)

・2023.05.21 オーストラリア情報保護室による「2023-2030年サイバーセキュリティ戦略ディスカッションペーパー」への意見提出

2024.12.13 05:43 in 情報セキュリティ / サイバーセキュリティ, in ウイルス, in 法律 / 犯罪, in 安全保障 | Permalink | Comments (0)
Tweet

2024.12.12

欧州連合理事会ホワイトペーパー「欧州のデジタルインフラのニーズにどのように対応するか？」を承認

こんにちは、丸山満彦です。

欧州連合理事会 (Council of the European Union)が、024.12.04-06にブラッセルで会議（ハンガリーが議長国）を開催し、

ENISAの権限強化
欧州委員会の白書「欧州のデジタルインフラのニーズにどのように対応するか」に関する結論書

について承認し、

デジタル10年政策プログラム2030に関する政策

に対する討論をしたわけですが...

今回は、「欧州のデジタルインフラのニーズにどのように対応するか」の話...

欧州の通信インフラの課題とかが垣間見られるかもしれません...

そういう意味では日本はネットワーク環境が整備されていますね...もちろん、韓国とかはもっとよいですが...

欧州連合理事会...

● Europenan Council, Council of European Union

　会議報告 - Transport, Telecommunications and Energy Council

・Transport, Telecommunications and Energy Council (Telecommunications), 6 December 2024

関係する部分...

Council conclusions on EU’s future digital infrastructure needs

EUの将来のデジタルインフラ需要に関する欧州理事会の結論

The Council approved conclusions on the Commission’s White Paper titled ‘How to master EU’s digital infrastructure needs?’. Ministers conveyed a comprehensive set of messages on fostering innovation, ensuring security and resilience, promoting fair competition, and driving investments in digital infrastructures with a view to advancing the EU’s competitiveness and digital transformation goals. The text of the conclusions touches upon important questions, such as the need to thoroughly assess possible convergence of cloud and telecommunications in the digital ecosystem and market consolidation, where the need for effective competition in the relevant market was highlighted by a considerable number of ministers.Regulatory matters were also touched upon during the debate with some ministers underlining the importance of maintaining the possibility of ex-ante control on certain access markets, as well as of considering member states’ specificities, competition, and consumer welfare in the context of the migration from copper to fibre.

欧州理事会は、欧州委員会の白書「EUのデジタルインフラのニーズにどのように対応するか？」に関する結論書を承認した。閣僚は、EUの競争力とデジタルトランスフォーメーションの目標を推進する観点から、イノベーションの促進、セキュリティとレジリエンスの確保、公正な競争の促進、デジタルインフラへの投資の促進に関する包括的なメッセージを伝えた。結論書の本文では、デジタル・エコシステムにおけるクラウドと電気通信のコンバージェンスの可能性を徹底的に評価する必要性や、関連市場における効果的な競争の必要性が相当数の閣僚によって強調された市場統合など、重要な問題に触れている。規制問題についても議論の中で触れられ、一部の閣僚は、特定のアクセス市場における事前規制の可能性を維持することの重要性や、銅線から光ファイバーへの移行の文脈において加盟国の特殊性、競争、消費者福祉を考慮することの重要性を強調した。

欧州委員会...

● European Committee

・White Paper – ‘How to master Europe’s digital infrastructure needs?’

要はつぎのことですかね・・・

Pillar I: Creating the “3C Network” - “Connected Collaborative Computing”	柱 I：3Cネットワーク "の構築-"コネクテッド・コラボレーティブ・コンピューティング"
• Scenario 1: The Commission may consider proposing large-scale pilots that set up endto-end integrated infrastructures and platforms for telco cloud and edge. In a second step these pilot infrastructures would be used to orchestrate the development of innovative technologies and AI applications for various use cases.	• シナリオ1：欧州委員会は、通信事業者のクラウドとエッジのためのエンドツーエンドの統合インフラとプラットフォームを構築する大規模な試験運用を提案することを検討することができる。第二段階として、こうした試験的なインフラを利用して、さまざまなユースケースに対応した革新的な技術やAIアプリケーションの開発を組織化する。
• Scenario 2: The possibility of following-up the accomplishments of IPCEI CIS by a new infrastructure-focussed IPCEI could be discussed by the Commission’s Joint European Forum for Important Projects of Common European Interest (JEF-IPCEI), which is tasked with identifying and prioritising strategic technologies for the EU economy that could be relevant candidates for future IPCEIs.	• シナリオ2：IPCEI CISの成果を受け、インフラに焦点を当てた新たなIPCEIを立ち上げる可能性については、欧州委員会の「欧州共通重要プロジェクト合同フォーラム（JEF-IPCEI）」で検討することができる。同フォーラムは、将来のIPCEIの候補となりうるEU経済の戦略的技術を特定し、優先順位をつけることを任務としている。
• Scenario 3: Massive investments in connectivity capacity are required to support the creation of a collaborative connectivity and computing ecosystem. The Commission may consider different options in order to frame these investments into a simplified and coordinated support framework for a truly digital single market drawing on European and national, public and private investments.	• シナリオ3：協調的な接続とコンピューティングのエコシステムの構築を支援するために、接続容量への大規模な投資が必要である。欧州委員会は、このような投資を、欧州および各国の官民の投資を活用した、真のデジタル単一市場のための簡素化され調整された支援の枠組みに組み入れるために、さまざまな選択肢を検討することができる。
o This should streamline procedures and improve synergies between existing instruments and programmes (including based on the experience with the Chips Joint Undertaking, Important Projects of Common European Interest, the Connecting Europe Facility and the Digital Europe Programme), possibly tasking as a pilot under the current Multiannual Financial Framework the Smart Networks and Services Joint Undertaking (SNS JU) to adopt a more coordinating role, and by liaising with stakeholders such as the European Alliance for Industrial Data, Edge and Cloud as appropriate).	o これは、手続きを合理化し、既存の制度やプログラム間の相乗効果を向上させるものでなければならない（Chips Joint Undertaking、Important Projects of Common European Interest、Connecting Europe Facility、Digital Europe Programmeの経験に基づくものも含む）。場合によっては、現在の多年度財政枠組みの下で、スマートネットワーク・サービス共同事業（SNS JU）に試験的な任務を与え、より調整的な役割を担わせ、適宜、産業データ、エッジ、クラウドのための欧州連合（European Alliance for Industrial Data, Edge and Cloud）などの利害関係者と連携する）。
o This should explore means to ensure strengthening coherence, simplification and clarity of future support action, without prejudice to institutional programme design and budget allocation prerogatives under the next Multiannual Financial Framework.	これは、次期多年次財政枠組みにおける機構のプログラム設計と予算配分の特権を損なうことなく、今後の支援活動の一貫性強化、簡素化、明確化を確保するための手段を探るものでなければならない。
Pillar II: Completing the Digital Single Market	柱 II：デジタル単一市場の完成
• Scenario 4: In order to address the converged electronic communications connectivity and services sector and to ensure that its benefits reach all end-users everywhere, the Commission may consider broadening the scope and objectives of the current regulatory framework to ensure a regulatory level playing field and equivalent rights and obligations for all actors and end-users of digital networks where appropriate to meet the corresponding regulatory objectives; given the likely global magnitude and impact of the technological developments and of any possible regulatory changes, a reform of the current framework needs to be properly assessed in terms of the economic impact on all actors as well as debated broadly with all stakeholders;	• シナリオ4：統合された電子通信接続とサービスの分野に対応し、その恩恵があらゆる場所のエンドユーザーに行き届くようにするため、欧州委員会は、現行の規制枠組みの範囲と目的を拡大し、規制上の公平な競争条件と、デジタルネットワークのすべての関係者とエンドユーザーに同等の権利と義務を確保することを検討することができる。技術的発展と規制変更の可能性が世界的に大きく影響することを考えると、現行の枠組みの改革は、すべての関係者に与える経済的影響という観点から適切に評価するとともに、すべての利害関係者と幅広く議論する必要がある；
• Scenario 5: In order to address technological and market developments and the resulting need to change the regulatory paradigm and ensure less burden for companies and more efficient service delivery, while continuing to protect vulnerable end-users and promote territorial coverage, the Commission may consider:	• シナリオ5：技術と市場の発展、およびその結果として生じる規制パラダイムの変更の必要性に対応し、脆弱なエンドユーザーの保護と地域的なサービス提供の促進を継続しつつ、事業者の負担を軽減し、より効率的なサービス提供を確保するために、欧州委員会は以下を検討することができる：
o measures to accelerate copper switch-off (such as a target in 2030, aligned to the Digital Decade target for Gigabit connectivity, and support for copper-fibre switch-over from 2028);	o ギガビット接続の「デジタル 10 年」目標に沿った 2030 年の目標や、2028 年からの銅ファイバーへの切り替え支援など）；
o a change to access policy in view of full fibre environment, by proposing a European wholesale access product and recommending no markets for presumptive ex ante regulation while maintaining a safety net for NRAs to keep regulation if the “3 Criteria Test” is met (reverse burden of proof). In the alternative, only markets for civil infrastructure might be considered for regulation ex ante (as the most persistent bottleneck), combined with the implementation of lighter access regulation (no price regulation or pricing flexibility) along the lines of the recently adopted Gigabit Recommendation.	o フルファイバー環境を視野に入れたアクセス政策の変更として、欧州のホールセールアクセス製品を提案し、「3規準テスト」を満たせばNRAが規制を維持できるセーフティネット（逆の立証責任）を維持しつつ、推定的な事前規制のための市場なしを推奨する。代替案としては、（最も根強いボトルネックである）民間インフラ市場のみを事前規制の対象とし、最近採択されたギガビット勧告に沿った軽めのアクセス規制（価格規制や価格柔軟性はない）の実施と組み合わせることも考えられる。
• Scenario 6: In order to facilitate the single market and building scale for activities of all players, the Commission may consider:	• シナリオ6：単一市場を促進し、すべてのプレーヤーの活動の規模を拡大するために、欧州委員会は以下を検討することができる：
o a more integrated governance at Union level for spectrum that would allow, where necessary, for greater harmonisation of spectrum authorisation processes and thereby create the conditions for market scale necessary for panEU operators to attain larger investment capacity; the Commission may also consider solutions for more aligned authorisation and selection conditions, or even single selection or authorisation processes, for terrestrial and satellite communications and other innovative applications that make clear cases for fostering the development of the single market;	o また、必要であれば、周波数帯域の認可プロセスをより調和させ、それによって、汎EUの事業者がより大きな投資能力を獲得するために必要な市場規模の条件を整えることを可能にする、周波数帯域に関する政府レベルでのより統合されたガバナンスを構築する；また、欧州委員会は、地上および衛星通信、その他の革新的なアプリケーションで、単一市場の発展を促進するための明確な事例となるものについては、より整合性のある認可および選定の条件、あるいは単一の選定または認可プロセスに関する解決策を検討することができる；
o a more harmonized approach to authorisation (through the possible establishment of “country of origin” principle for certain activities less connected to consumer retail markets and local access networks).	o 消費者向け小売市場やローカルアクセスネットワークとの関連性が低い特定の活動については、「原産国主義」を確立する可能性がある。
• Scenario 7: The Commission may consider facilitating greening of digital networks through promoting the timely switch-off of copper networks and the move to a full fibre environment and a more efficient use of networks (codecs) throughout the Union territory.	• シナリオ7：欧州委員会は、銅線ネットワークの適時停止、完全な光ファイバー環境への移行、連邦領域全体におけるネットワーク（コーデック）の効率的利用を促進することにより、デジタルネットワークのグリーン化を促進することを検討することができる。
Pillar III: Secure and resilient digital infrastructures for Europe	柱III：欧州のための安全でレジリエンシーなデジタルインフラ
• Scenario 8: The Commission will promote the reinforcement of advanced R&I activities across the EU in support of new fibre and cable technologies.	• シナリオ8：欧州委員会は、新しいファイバーおよびケーブル技術を支援するために、EU全域で先進的な研究開発活動の強化を推進する。
• Scenario 9: The Commission may consider establishing a CPEI list and related labelling system by a Delegated Act under the Connecting Europe Facility.	• シナリオ9：欧州委員会は、欧州連結ファシリティーの下で、CPEIリストおよび関連するラベリング制度を委任法によって確立することを検討することができる。
• Scenario 10: The Commission may conduct a review of available instruments, in particular grants, procurement, blending operations under InvestEU and grant blending facilities, with a particular focus on leveraging private investment to support CPEIs, including the possibility of an equity fund.	• シナリオ10：欧州委員会は、利用可能な手段、特に、助成金、調達、EU投資委員会（InvestEU）の下での混合業務、助成金混合制度について、特に、株式ファンドの可能性を含め、CPEIを支援するための民間投資の活用に焦点を当てた見直しを行う可能性がある。
• Scenario 11: The Commission may consider proposing a joint EU governance system on submarine cable infrastructures.	• シナリオ11：欧州委員会は、海底ケーブルインフラに関するEU共同のガバナンスシステムの提案を検討する可能性がある。
• Scenario 12: The Commission may consider harmonising security requirements in international fora, which may be recognised through a dedicated EU certification scheme.	• シナリオ12：欧州委員会は、国際的な場におけるセキュリティ要件の調和を検討することができる。

2024.12.12 03:25 in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in パブコメ, in IoT, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2024.12.11

欧州連合理事会サイバーセキュリティ強化に向けENISAの権限の強化を承認 (2024.12.06)

こんにちは、丸山満彦です。

欧州連合理事会 (Council of the European Union)が、024.12.04-06にブラッセルで会議（ハンガリーが議長国）を開催し、

ENISAの権限強化
欧州委員会の白書「欧州のデジタル・インフラのニーズにどのように対応するか」に関する結論書

について承認し、

デジタル10年政策プログラム2030に関する政策

に対する討論をした

ようですね・・・

で、今回は、ENISAの権限強化についての承認の話...

ENISAの立場とか状況とかが垣間見られるかもしれません...

基本はサイバーレジリエンス法 (CRA) やNIS2指令の国内法の整備が一段落ついたところで、その法律に従って、ENISAの権限を強化するということは決まっていたので、その内容についての承認ということだろうと思います...

とくにCRAで求められるIoTセキュリティの認証制度については、「ENISAがんばれよ!」という応援ともプレッシャーともいえるような感じですね。。。これが簡単な制度ではないのは、理事会も理解しているということなのでしょうね...

もう一つは単一報告プラットフォームの構築ですね...CRAで、重大なインシデントがあった場合には各国に報告しなければならないわけですが、このプラットフォームは各国のCSIRTとENISA間の情報共有を促進するための効果的かつ安全なツールとして機能しないといけないということですね...

国家安全保障は各国の単独責任ですから、ENISAは国家安全保障の面からいうと各国の国家安全保障を必要におうじて支援するという位置付けになるかんじですかね...

一方、サイバー犯罪等については、EUのEuropolとの連携を通じて、それなりの役割を果たすことが期待されていますね...

● Europenan Council, Council of European Union

プレス...

・2024.12.06 ENISA: Council approves conclusions for a stronger EU agency for cybersecurity

ENISA: Council approves conclusions for a stronger EU agency for cybersecurity	ENISA：理事会、サイバーセキュリティ強化に向けたEU機関の結論を承認
At the initiative of the Hungarian presidency, today the Council approved conclusions on the EU agency for cybersecurity (ENISA). ENISA has proven to be an invaluable entity in the European cybersecurity ecosystem over the past two decades and the text of the conclusions encapsulates member states’ experiences and expectations regarding the agency. This is particularly important considering the ongoing evaluation of the cybersecurity act (CSA) and its possible revision. The conclusions therefore contain a series of recommendations and suggestions on behalf of the Council.	ハンガリー大統領の主導により、本日、理事会はEUサイバーセキュリティ機関（ENISA）に関する結論を承認した。ENISAは過去20年にわたり、欧州のサイバーセキュリティのエコシステムにおいて非常に重要な事業体であることが証明されており、結論の文章には、加盟国が同機関に対して抱いている経験と期待がまとめられている。これは、現在進行中のサイバーセキュリティ法（CSA）の評価と、その改正の可能性を考慮すると、特に重要である。そのため、結論には、理事会を代表する一連の提言と提案が含まれている。
The importance of ENISA can hardly be underestimated in tackling cybersecurity threats, which have significantly increased in level, complexity, and scale these last years. This comprehensive set of conclusions will help us build a robust and resilient digital space in Europe. Continuous cooperation, prioritisation of tasks and resources, as well as a simplification of the complex cyber landscape will be key elements to cope with current and future challenges.	近年、そのレベル、複雑性、規模が著しく増大しているサイバーセキュリティの脅威に対処する上で、ENISAの重要性は過小評価できない。この包括的な結論は、欧州における強固でレジリエントなデジタル空間の構築に役立つだろう。継続的な協力、タスクとリソースの優先順位付け、複雑なサイバーランドスケープの簡素化は、現在および将来の課題に対処するための重要な要素となる。
Zoltán Kovács, Hungarian minister of state for international communication and relations	ゾルターン・コヴァーチ、ハンガリー国際コミュニケーション・関係担当国務大臣
Key messages	主なメッセージ
The Council conclusions acknowledge that the expansion of ENISA’s important role is the result of recent legislative initiatives, such as the cyber resilience act (CRA) or the revised network and information systems (NIS 2) directive, which have entrusted the agency with additional tasks. Its key role was also boosted by the growing scale and complexity of the cyber threats and challenges these last years. Therefore, the Council recommends that this increase in tasks should be reflected in adequate resources, without pre-empting the upcoming negotiation of the Multiannual Financial Framework. It is, however, equally important to prioritise actions and to have a sound cooperation with other actors in the cyber domain to avoid duplication of tasks.	理事会の結論では、ENISAの重要な役割の拡大は、サイバーレジリエンス法（CRA）や改訂ネットワークと情報システム（NIS 2）指令などの最近の立法イニシアティブの結果であり、これらの法律によってENISAに新たな任務が委ねられたことを認めている。また、ここ数年のサイバー脅威と課題の規模と複雑性の増大により、ENISAの重要な役割も強化された。そのため、理事会は、今後予定されている複数年予算枠組みの交渉を妨げることなく、この業務増加を適切なリソースに反映させることを推奨している。しかし、業務の重複を避けるために、優先順位を付けた行動を取ることと、サイバー領域における他の関係者との健全な協力関係を築くことも同様に重要である。
The conclusions acknowledge ENISA’s support to member states when it comes to policy development and implementation. However, they also call for further improvements and action, notably regarding the development of European cybersecurity certification schemes, as well as the establishment of a single reporting platform.	結論では、政策の策定と実施に関して加盟国を支援するENISAの取り組みが認められている。しかし、とりわけ欧州サイバーセキュリティ認証スキームの開発や単一の報告プラットフォームの確立など、さらなる改善と行動が求められている。
The text of the conclusions also recognises ENISA’s important contribution in enhancing common situational awareness, as well as in developing a common response to large-scale cyber incidents or crises. Further cooperation with the European Commission, the European External Action Service (EEAS), the Computer Security Incident Response Teams (CSIRTs, groups of experts that assess, document, and respond to a cyber incident) network and the European cyber crisis liaison organisation network (EU-CyCLONe, a cooperation network for member states’ national authorities in charge of cybersecurity) is also emphasised in this respect.	結論の文章では、共通の状況認識の強化や、大規模サイバーインシデントや危機に対する共通の対応策の開発におけるENISAの重要な貢献も認められている。この点に関して、欧州委員会、欧州対外活動庁（EEAS）、コンピュータセキュリティ・インシデント対応チーム（CSIRT、サイバーインシデントのアセスメント、文書化、対応を行う専門家グループ）ネットワーク、欧州サイバー危機連絡組織ネットワーク（EU-CyCLONe、サイバーセキュリティを担当する加盟国当局間の協力ネットワーク）とのさらなる協力関係も強調されている。
Finally, the conclusions highlight the importance of ENISA’s cooperation with other actors in the cyber ecosystem, such as the cybersecurity service for EU institutions (CERT-EU), the European Cybersecurity Competence Centre and Europol, but also with international organisations and partners and with the private sector.	最後に、結論では、EU 機構のサイバーセキュリティサービス（CERT-EU）、欧州サイバーセキュリティ能力センター、欧州刑事警察機構（ユーロポール）など、サイバー生態系における他の関係者との ENISA の協力関係の重要性が強調されている。また、国際機関やパートナー、民間部門との協力関係も強調されている。
Council conclusions on ENISA	ENISA に関する理事会の結論
Cybersecurity : How the EU tackles cyber threats (background information)	サイバーセキュリティ：EU のサイバー脅威への取り組み（背景情報）

結論...

・[PDF] Council conclusions on ENISA 16527/24

From: General Secretariat of the Council	発信元：理事会事務局
To: Delegations	宛先：代表団
Subject: Council conclusions on ENISA	件名：ENISAに関する理事会の結論
Delegations will find in the annex the Council conclusions on ENISA, as approved by the Council at its meeting held on 6 December 2024.	代表団は、2024年12月6日に開催された理事会の会合で承認されたENISAに関する理事会の結論を附属書で確認すること。
ANNEX	附属書
Draft Council conclusions on ENISA	ENISAに関する理事会の結論（ドラフト）
THE COUNCIL OF THE EUROPEAN UNION,	欧州連合理事会は、
1. HIGHLIGHTS that challenges deriving from global cyberspace have never been as complex, diverse and serious as they are now, owing to the sophistication of emerging cyber threats, the constantly changing security environment and the current geopolitical tensions. Therefore, the EU and its Member States should continue with their efforts to become more resilient with a view to effectively identifying and addressing current and emerging threats and challenges. EMPHASISES that the work towards an increased level of cyber resilience should be continued following a whole-of-society approach. STRESSES that, in the years ahead, the EU and its Member States should focus on the effective implementation of legislative and nonlegislative initiatives underpinning and contributing to all actions that have been taken so far in this respect.	1. グローバルなサイバー空間から生じる課題が、これほどまでに複雑かつ多様で深刻なことはかつてなかったことを強調する。その理由は、新たなサイバー脅威の巧妙化、絶え間なく変化する安全保障環境、現在の地政学的な緊張にある。したがって、EUおよびその加盟国は、現在および新たに生じる脅威や課題を効果的に識別し対処することを視野に入れ、レジリエンスを高める努力を継続すべきである。サイバーレジリエンスの向上に向けた取り組みは、社会全体のアプローチに従って継続すべきであることを強調する。今後数年間、EUおよび加盟国は、この点に関してこれまでに行われたすべての行動を支え、貢献する立法および非立法イニシアティブの効果的な実施に焦点を当てるべきであることを強調する。
2. RECALLING that national security remains the sole responsibility of each Member State, ACKNOWLEDGES that the EU and its Member States have worked together tremendously in recent years on establishing the necessary institutional setup and forms of collaboration at both national and EU level in the cyber domain. WELCOMES the various legislative and non-legislative initiatives that have provided the EU and its Member States with a strong and robust framework in this area, increasing the overall cyber resilience of the Union. This framework has evolved to cover several aspects of the cyber domain: security, diplomacy, law enforcement and defence. NOTES that a large number of actors, including Member States’ cybersecurity authorities, the NIS Cooperation Group (NIS CG), the CSIRTs Network, the European cyber crisis liaison organisation network (EU-CyCLONe), the Network of National Coordination Centres (NCC) the European Cybersecurity Certification Group (ECCG), the Commission, the European External Action Service (EEAS), the European Union Agency for Cybersecurity (ENISA), the European Cybersecurity Competence Centre (ECCC), CERT-EU, the European Defence Agency (EDA), and Europol’s European Cybercrime Centre (EC3) are part of the EU cybersecurity ecosystem, each performing their part in the implementation of the EU-wide cybersecurity framework.	2. 国家の安全保障は依然として各加盟国の単独責任であることを想起し、EUおよび加盟国が近年、サイバー領域において、国家レベルおよびEUレベルで必要な機構の構築と協力形態の確立に向けて、多大な協力を行ってきたことを認める。この分野においてEUおよび加盟国に強固で堅牢な枠組みを提供し、EUのサイバーレジリエンス全体を向上させた、さまざまな立法および非立法イニシアティブを歓迎する。この枠組みは、サイバー領域のさまざまな側面（セキュリティ、外交、法執行、防衛）をカバーするように発展してきた。加盟国のサイバーセキュリティ当局、NIS協力グループ（NIS CG）、CSIRTネットワーク、欧州サイバー危機連絡組織ネットワーク（EU-CyCLONe）、各国調整センター（NCC）ネットワーク、欧州サイバーセキュリティ認証グループ（ECCG）、欧州委員会、欧州対外行動庁（EEAS）、欧州サイバーセキュリティ機関（ENISA）、欧州サイバーセキュリティ能力センター（ECCC）、欧州連合のサイバー防衛センター（CERT-EU）、欧州防衛機関（EDA）、欧州刑事警察機構（EC3）は、EUサイバーセキュリティエコシステムの一部であり、それぞれEU全域のサイバーセキュリティ枠組みの実施において、その役割を担っている。
3. RECOGNISES that over the past two decades ENISA has proven to be an invaluable entity in the European cybersecurity ecosystem, playing a crucial role in actively supporting Member States and EU institutions, bodies, offices and agencies (EUIBAs) in their implementation and development of cybersecurity policies, in their capacity-building and preparedness, in their cooperation and in their promotion of cybersecurity awareness and certification.	3. 過去20年以上にわたり、欧州ネットワーク・情報セキュリティ機関（ENISA）が欧州のサイバーセキュリティ生態系においてかけがえのない事業体であることを証明してきたことを認識し、加盟国およびEUの機構、団体、事務所、機関（EUIBAs）がサイバーセキュリティ政策を実施・発展させるにあたり、能力開発や準備、協力、サイバーセキュリティ意識の向上や認証の推進において、積極的な支援を行う上で重要な役割を果たしている。
GENERAL POLICY RECOMMENDATIONS	一般政策に関する提言
4. INVITES the Commission to use the evaluation of the Cybersecurity Act as an opportunity to examine how it can contribute to the simplification of the complex cyber ecosystem, thus enhancing the effectiveness and efficient use of resources. Therefore, CALLS ON the Commission to ensure that ENISA’s mandate to support Member States and EU institutions, bodies, offices and agencies (EUIBAs) is focused and clearly-defined, with concrete strategic objectives and prioritised tasks, in addition to a more precise division of tasks and competences with respect to other actors. In this respect, INVITES the Commission to examine and further strengthen ENISA’s role in supporting operational cooperation at the EU level and among Member States in enhancing cyber resilience, taking into account Member States’ competences in this field. In addition, CALLS ON the Commission to reinforce ENISA’s advisory role in providing expert and evidence-based guidance and recommendations, with regard to the implementation of current and future EU legislative and non-legislative initiatives, while ensuring a coherent EU cybersecurity framework.	4. 欧州委員会に対し、サイバーセキュリティ法案の評価を、複雑なサイバーエコシステムの簡素化にどのように貢献できるかを検討する機会として活用し、それによって資源の有効性と効率的な利用を強化することを求める。したがって、欧州委員会に対し、加盟国およびEU機構、団体、事務所、機関（EU-IBAs）を支援するENISAの任務が、他の関係者とのより明確な職務および権限のディビジョンに加え、具体的な戦略目標と優先順位の高いタスクに焦点を当て、明確に定義されることを確保するよう求める。この点において、欧州委員会に対し、加盟国のこの分野における権限を考慮しつつ、サイバーレジリエンスの強化に向けたEUレベルおよび加盟国間の運用協力の支援におけるENISAの役割を検証し、さらに強化することを求める。また、欧州委員会に対し、EUのサイバーセキュリティ枠組みの一貫性を確保しつつ、現在および将来のEUの立法および非立法イニシアティブの実施に関して、専門的かつ証拠に基づくガイダンスおよび勧告を提供するENISAの助言的役割を強化することを求める。
5. In the same spirit, ENCOURAGES the Commission to consider streamlining ENISA’s role in respect of tasks that are not at the core of its mission. UNDERLINES that ENISA’s responsibilities have been significantly broadened by recent legislative initiatives, including NIS 2, the Cyber Resilience Act and the Cyber Solidarity Act, among others. While NOTING that ENISA received additional resources as a result of some of these initiatives, HIGHLIGHTS that the broadening of ENISA’s responsibilities and the growing complexity of the cyber threats and challenges have led to a considerable increase in its tasks, which should be reflected in adequate resources – human, financial and technical – in order to fully enable the Agency to execute all the tasks under its competence, without pre-empting the negotiation of the Multiannual Financial Framework. To this end, CALLS ON the Commission to prioritise actions and assign priority to tasks related to supporting Member States in enhancing their cyber resilience, their operational cooperation and the development and implementation of Union Law when preparing the draft general budget of the Union.	5. 同じ精神に基づき、欧州委員会に対し、ENISAのミッションの中心ではない業務に関して、ENISAの役割を合理化することを検討するよう促す。最近の立法イニシアティブ、特にNIS 2、サイバーレジリエンス法、サイバー連帯法などにより、ENISAの責任が大幅に拡大していることを強調する。ENISAがこれらのイニシアティブの一部の結果として追加のリソースを受け取ったことを留意しつつ、ENISAの責任の拡大とサイバー脅威および課題の複雑化の増大が、その任務の大幅な増加につながっていることを強調する。これは、複数年財政枠組みの交渉を妨げることなく、当機関がその権限下にあるすべての任務を完全に遂行できるようにするため、人的、財務上、技術的な適切なリソースに反映されるべきである。この目的を達成するために、欧州委員会に対し、加盟国がサイバーレジリエンスを高め、運用面での協力を強化し、EU法の策定と実施を支援する関連業務を優先し、EU一般予算のドラフト作成時に優先的に取り組むよう求める。
ENISA’S SUPPORT TO POLICY DEVELOPMENT AND IMPLEMENTATION	政策の策定と実施に対するENISAの支援
6. RECALLS that under the current cybersecurity legal framework, ENISA is entrusted with several key supporting and advisory responsibilities across the EU. WELCOMES ENISA’s role in that respect in providing assistance to Member States on the effective implementation of legislative and non-legislative initiatives. CALLS ON ENISA, in close cooperation with the NIS CG and the Commission, to continue to provide general insights and analysis on the current legal environment as regards cybersecurity. ENCOURAGES ENISA to share and actively promote technical guidance and best practices in a regular and structured manner assisting the Member States in implementing cybersecurity policy and legislations.	6. 現在のサイバーセキュリティの法的枠組みの下で、ENISAがEU全域におけるいくつかの重要な支援および助言の責任を担っていることを想起する。加盟国が立法および非立法イニシアティブを効果的に実施する上で支援を行うという点におけるENISAの役割を歓迎する。NIS作業部会および欧州委員会と緊密に協力し、サイバーセキュリティに関する現在の法的環境に関する一般的な見解および分析を引き続き提供するようENISAに求める。ENISAが、加盟国によるサイバーセキュリティ政策および法規制の実施を支援する上で、技術的ガイダンスおよびベストプラクティスを定期的かつ体系的に共有し、積極的に推進することを奨励する。
7. ACKNOWLEDGES ENISA’s vital role in the development of European cybersecurity certification schemes, underpinning trust in ICT products, services and processes and, in addition, the managed security services in light of the forthcoming targeted amendment of the Cybersecurity Act. STRESSES that Member States and industry are concerned by the lengthy process of selection, elaboration and adoption of cybersecurity certification schemes; therefore, URGES the Commission to use the opportunity of the Cyber Security Act evaluation to find ways to have a leaner, risk-based as well as more transparent and faster approach to the development of EU cybersecurity certification schemes while STRESSING the important role of Member States in the process. In addition, HIGHLIGHTS the importance of explicitly attributing responsibility for the maintenance of each certification scheme. Furthermore, RECALLS that ENISA should consult all relevant stakeholders in a timely manner by means of a formal, open, transparent and inclusive process when preparing candidate schemes and that the Commission should consult in an open, transparent and inclusive way when assessing the efficiency and use of adopted schemes. ENCOURAGES ENISA to further strengthen the collaboration with the data protection community, particularly the European Data Protection Board, where relevant, and the national competent authorities, with special regard to fostering synergies in the context of the development of future European cybersecurity certification schemes.	7. サイバーセキュリティ法の改正を踏まえ、ICT製品、サービス、プロセスに対する信頼を支える欧州のサイバーセキュリティ認証スキームの開発におけるENISAの重要な役割、およびマネージドセキュリティサービスを認識する。加盟国および産業界は、サイバーセキュリティ認証スキームの選定、詳細化、採択に長期間を要することに懸念を抱いていることを強調し、欧州委員会に対し、サイバーセキュリティ法の評価の機会を活用し、EUのサイバーセキュリティ認証スキームの開発に、よりスリムでリスクベースのアプローチを導入し、より透明性が高く迅速なアプローチを実現する方法を見出すよう促す。また、そのプロセスにおける加盟国の重要な役割を強調する。さらに、各認証スキームの保守に対する責任を明確に割り当てることの重要性を強調する。さらに、ENISAは候補となるスキームを準備する際には、正式な、公開された、透明性のある、包括的なプロセスによって、すべての関連ステークホルダーと適時に協議すべきであり、欧州委員会は採択されたスキームの効率性と利用状況を評価する際には、公開された、透明性のある、包括的な方法で協議すべきであることを想起する。ENISAが、特に欧州データ保護委員会や各国の管轄当局など、データ保護コミュニティとの連携をさらに強化し、特に将来的な欧州サイバーセキュリティ認証スキームの開発における相乗効果の促進に重点的に取り組むことを奨励する。
8. To prevent the unnecessary administrative burden that could arise from a complex reporting framework, CALLS ON ENISA in cooperation with the Commission to continue to exchange with Member States on the practicalities, simplification and streamlining of the reporting procedure. Further, RECALLS its invitation for the Commission to prepare, with the support of ENISA and other relevant EU entities, a mapping of relevant reporting obligations set out in the respective EU legislative acts in cyber and digital matters. RECALLS that information exchange between ENISA and Member States is based on a relationship of trust, where security and confidentiality are guaranteed in accordance with the Cybersecurity Act and relevant rules and protocols and should be limited to which is relevant and proportionate to the purpose of the exchange. EMPHASISES the need for data and information to be treated with due care.	8. 複雑な報告枠組みから生じる可能性のある不必要な行政負担を防ぐため、欧州委員会と協力して加盟国と報告手続きの実務、簡素化、合理化について引き続き意見交換を行うよう、ENISAに要請する。さらに、サイバーおよびデジタル分野におけるEUの各立法行為に定められた関連報告義務の対応表を、ENISAおよびその他の関連EU事業体の支援を受けて作成するよう、欧州委員会に要請したことを想起する。ENISAと加盟国間の情報交換は、信頼関係に基づいており、サイバーセキュリティ法および関連規則やプロトコルに従ってセキュリティと機密性が保証され、交換の目的に関連し、かつ目的に見合ったものに限定されるべきであることを想起する。データおよび情報の適切な取り扱いの必要性を強調する。
9. HIGHLIGHTS the fact that ENISA is responsible for establishing and maintaining the single reporting platform under the Cyber Resilience Act which will have a concrete operational added value, especially for actively exploited vulnerabilities and severe incidents affecting the security of products with digital elements. Given the broad scope of this horizontal legislation, the single reporting platform should be an effective and secure tool for facilitating information sharing between national CSIRTs and ENISA. Consequently, URGES ENISA, as well as allocating sufficient human resources, to speed up the establishment of the platform as a key priority in order to ensure its readiness by the deadline set in the Cyber Resilience Act.	9. ENISAがサイバーレジリエンス法に基づく単一報告プラットフォームの確立と維持を担当しているという事実を強調する。このプラットフォームは、特にデジタル要素を含む製品のセキュリティに影響を与える、積極的に悪用される脆弱性や重大なインシデントに対して、具体的な運用上の付加価値をもたらす。この水平型法規制の適用範囲が広いことを踏まえ、単一報告プラットフォームは、各国のCSIRTとENISA間の情報共有を促進するための効果的かつ安全なツールであるべきである。したがって、ENISAに対し、サイバーレジリエンス法で定められた期限までに準備を整えるため、プラットフォームの確立を最優先事項として早急に進めるよう、十分な人的資源を確保することを求める。
10. ACKNOWLEDGES ENISA’s role in establishing a European vulnerability database, which aims to provide improved transparency regarding the disclosure of vulnerabilities, while ensuring the appropriate handling of sensitive data. Considering the end of the transposition period of the NIS 2 Directive, URGES ENISA to step up all the necessary work to ensure the smooth functionality of this database. In parallel, INVITES the NIS CG with the assistance of ENISA, to further publicise guidance, policies and procedures on vulnerability disclosure.	10. ENISAが欧州の脆弱性データベースの確立において果たす役割を認識する。このデータベースは、脆弱性の開示に関する透明性を改善することを目的とし、同時に機密データの適切な取り扱いを確保することを目的としている。NIS 2 指令の国内法化期間の終了を踏まえ、このデータベースの円滑な機能性を確保するために必要な作業をすべて強化するよう ENISA に強く要請する。同時に、ENISA の支援を受けながら、NIS CG に対して、脆弱性開示に関する指針、政策、手順のさらなる周知を要請する。
11. RECOGNISES the benefits of the Cybersecurity Support Action carried out by ENISA, which functions as a pool of cybersecurity services available for Member States to complement their endeavours, as well as ENISA’s experience gained from its implementation. In this regard, HIGHLIGHTS that ENISA should have a central role in the administration and operation of the EU Cybersecurity Reserve. INVITES ENISA to commence the mapping of the services needed and their availability immediately upon the entry into force of the Cyber Solidarity Act, in order to make the EU Cybersecurity Reserve as useful and tailored to users’ needs as possible in all Member States. INVITES ENISA, once entrusted, to involve Member States, in particular by gathering input on the required criteria and informing about upcoming tenders, early in the process of establishing the EU Cybersecurity Reserve. INVITES ENISA, once entrusted, to ensure that the selection process of trusted managed security services providers is transparent, open, fair, and allows for the participation of providers from all Member States, irrespective of size. Additionally, RECALLS that ENISA is required to issue the interoperability guidelines for the Cross-Border Cyber Hubs without undue delay.	11. ENISAが実施しているサイバーセキュリティ支援活動の利点を認識し、この活動が加盟国による取り組みを補完するサイバーセキュリティサービスの集積として機能していること、また、その実施を通じてENISAが得た経験を認識する。この点に関して、ENISAがEUサイバーセキュリティ予備軍の管理・運営において中心的な役割を果たすべきであることを強調する。サイバー連帯法案の発効後ただちに、必要なサービスとその利用可能性のマッピングを開始し、EUサイバーセキュリティ予備力をすべての加盟国において可能な限り有益で、ユーザーのニーズに合ったものにするよう、ENISAに要請する。ENISAが任務を委任された場合、EUサイバーセキュリティ予備力の確立プロセスにおいて、特に必要な規準に関する意見の収集や、今後の入札に関する情報の提供を通じて、加盟国を関与させるよう要請する。ENISAが信頼されるマネージド・セキュリティ・サービス・プロバイダの選定プロセスが透明性、公開性、公平性を確保し、規模に関係なくすべての加盟国のプロバイダが参加できるようにすることを要請する。さらに、ENISAが国境を越えたサイバーハブのための相互運用性ガイドラインを不当に遅延させることなく発行することが求められていることを想起する。
12. UNDERLINES that monitoring trends regarding emerging technologies in a fast-evolving domain such as cyber is of key importance for maintaining and further strengthening our cyber posture. RECOGNISES the work done by ENISA to draw the public’s attention to the risks and possibilities of technologies such as artificial intelligence and quantum computing, thus facilitating a better understanding of the current challenges. ENCOURAGES ENISA to contribute further to these tasks, to actively advocate for the implementation of its recommendations, and to advise and collaborate with, where relevant, the ECCC.	12. サイバーなどの急速に進化する領域における新興技術の動向を監視することが、サイバー対策を維持し、さらに強化する上で極めて重要であることを強調する。ENISAが人工知能や量子コンピューティングなどの技術のリスクと可能性について一般市民の注意を喚起し、現在の課題に対する理解を深める上で貢献したことを認識する。ENISAがこれらの任務にさらに貢献し、その勧告の実施を積極的に提唱し、関連する場合にはECCCに助言し協力することを奨励する。
ENISA’S SUPPORT TO MEMBER STATES TO ENHANCE CYBER RESILIENCE AND OPERATIONAL COOPERATION	加盟国に対するENISAの支援によるサイバーレジリエンスと運用協力の強化
13. STRESSES that ENISA fulfils an important role as secretariat of the two EU-level Member States driven cyber cooperation networks, the CSIRTs Network and EU-CyCLONe. EMPHASISES ENISA’s valuable participation in the NIS CG, notably through its active involvement and technical contributions in the various work streams. ENCOURAGES ENISA to continue to support the functioning and cooperation of these networks in the future, since they provide fundamental channels for Member States to collaborate at different levels.	13. ENISAは、EUレベルの加盟国2カ国が推進するサイバー協力ネットワークであるCSIRTネットワークおよびEU-CyCLONeの事務局として重要な役割を果たしていることを強調する。特に、さまざまな作業の流れにおける積極的な関与と技術的貢献を通じて、NIS CG における ENISA の貴重な参加を強調する。これらのネットワークは、さまざまなレベルで加盟国が協力するための基本的な手段を提供しているため、ENISA に対して、今後もこれらのネットワークの機能と協力を支援し続けるよう奨励する。
14. REITERATES the need to enhance common situational awareness at EU level, which contributes to the EU’s cyber posture, in connection with the detection of, prevention for, and response to cybersecurity incidents. In this regard, STRESSES the importance of ENISA’s foresight activities, regular reports and threat assessments, all of which contribute to improving situational awareness. ENCOURAGES ENISA to work in close co-operation with the Member States, in contributing to the development of EU-level situational awareness. In this context, RECOGNISES the important role of ENISA together with CERT-EU and Europol, in supporting the Council with situational briefings within the context of Cyber Diplomacy Toolbox complementing the situational awareness provided by Single Intelligence Analysis Capacity (SIAC) and STRESSES the need to build a comprehensive threat picture from various sources, including the private sector. ENCOURAGES in this regard the further development of ENISA’s cooperation with the EEAS, and in particular with INTCEN in full respect of their respective mandates.	14. サイバーセキュリティインシデントの検知、予防、対応に関連して、EUレベルでの共通の状況認識を強化する必要性を改めて強調する。これはEUのサイバーセキュリティ態勢の強化に寄与するものである。この点において、ENISAの先見性のある活動、定期的な報告書、脅威アセスメントの重要性が強調され、これらはすべて状況認識の改善に貢献する。EUレベルの状況認識の改善に貢献するため、ENISAが加盟国と緊密に協力して取り組むことを奨励する。この文脈において、ENISAがCERT-EUおよび欧州刑事警察機構（Europol）とともに、サイバー外交ツールボックスの枠組み内で状況報告書を作成し、単一情報分析能力（SIAC）が提供する状況認識を補完する上で重要な役割を果たしていることを認識し、民間部門を含むさまざまな情報源から包括的な脅威の全体像を構築する必要性を強調する。この点において、ENISAとEEAS、特にINTCENとの協力関係を、それぞれの権限を尊重した上でさらに発展させることを奨励する。
15. HIGHLIGHTS that the Cyber Situation and Analysis Centre of the Commission serves an internal function within the Commission and is supported by its collaboration with ENISA and CERT-EU. In order to create maximum potential for synergies and to reduce complexity within the EU cyber ecosystem, INVITES the Commission to take the results of the evaluation of the Cybersecurity Act as well as the discussions on the evaluation of the Cyber Blueprint into account in order to streamline the tasks of the Cyber Situation and Analysis Centre of the Commission and ENISA’s related tasks. ENCOURAGES the Commission to avoid unnecessary duplication of tasks, while safeguarding ENISA’s central role in contributing to developing common situational awareness at Union level in support of the Member States, with due respect to their national competences.	15. ハイライト委員会のサイバー状況分析センターは、委員会内部で機能しており、ENISAおよびCERT-EUとの連携によって支えられている。シナジー効果を最大限に引き出し、EUのサイバー生態系内の複雑性を軽減するために、欧州委員会に対し、サイバーセキュリティ法案の評価結果およびサイバー・ブループリントの評価に関する議論を考慮し、欧州委員会のサイバー状況分析センターおよびENISAの関連業務を合理化するよう求める。加盟国の権限を尊重しつつ、加盟国を支援する形で欧州連合レベルでの共通の状況認識の構築に貢献するというENISAの中核的役割を保護しながら、欧州委員会が不必要な業務の重複を回避するよう促す。
16. STRESSES that developing common situational awareness is a prerequisite for timely and effective crisis management of the Union as a whole. UNDERLINES that, at EU level, a variety of key actors are involved in responding to large-scale cybersecurity incidents, and that, in the event of such incidents, the effective cooperation among Member States is mainly underpinned by the CSIRTs Network and EU-CyCLONe. ENISA plays an important role in cyber crisis management as the secretariat to the CSIRTs Network and EU-CyCLONe. INVITES the Commission to use the evaluation of the Cyber Blueprint to properly reflect the additional tasks and responsibilities for contributing to developing a cooperative response to large-scale cross-border cyber incidents or crises, as well the role attributed to ENISA as the secretariat of CSIRT Network and EU-CyCLONe and by the recent cybersecurity legislation.	16. 共通の状況認識を構築することが、EU全体としての迅速かつ効果的な危機管理の前提条件であることを強調する。EUレベルでは、大規模サイバーセキュリティインシデントへの対応にさまざまな主要関係者が関与しており、そのようなインシデントが発生した場合、加盟国間の効果的な協力は主にCSIRTsネットワークとEU-CyCLONeによって支えられていることを強調する。ENISAは、CSIRTネットワークおよびEU-CyCLONeの事務局として、サイバー危機管理において重要な役割を果たしている。欧州委員会に対し、サイバー・ブループリントの評価を活用し、大規模な国境を越えたサイバーインシデントまたは危機への協調的な対応策の策定に貢献するための追加的な任務および責任を適切に反映すること、また、最近のサイバーセキュリティ関連法によって、CSIRTネットワークおよびEU-CyCLONeの事務局としてENISAに与えられた役割を反映することを求める。
17. UNDERLINES the importance of organising regular cybersecurity exercises which greatly increase the EU’s preparedness in responding to incidents and crises. ACKNOWLEDGES that ENISA has gathered valuable and extensive experience in this field supporting Member States. ACKNOWLEDGES ENISA’s important role in the planning, preparation, execution and evaluation phases of cybersecurity exercises, and EMPHASISES that it should continue to remain one of the central actors at EU level, keeping in mind that such exercises should be carried out based on structured frameworks and common terminologies. INVITES ENISA, the CSIRTs Network and EU-CyCLONe to make most efficient use of existing regular exercises to test and improve the EU-crisis response framework, and to assure maximum uptake of the lessons learned.	17. インシデントや危機への対応におけるEUの備えを大幅に高める定期的なサイバーセキュリティ演習の実施の重要性を強調する。ENISAが加盟国を支援するこの分野で貴重かつ広範な経験を蓄積していることを認める。サイバーセキュリティ演習の計画、準備、実施、評価の各段階におけるENISAの重要な役割を認識し、また、このような演習は体系的な枠組みと共通の用語に基づいて実施されるべきであることを念頭に置き、ENISAがEUレベルにおける中心的役割を継続すべきであることを強調する。ENISA、CSIRTネットワーク、EU-CyCLONeに対し、EUの危機対応枠組みをテストし改善するために、既存の定期的な演習を最大限に活用し、得られた教訓を最大限に生かすことを求める。
ENISA’S COOPERATION WITH OTHER ACTORS IN THE CYBER ECOSYSTEM	サイバーエコシステムにおける他の関係者とのENISAの協力
18. REITERATES that, owing to the horizontal nature of cybersecurity, collaboration among all actors at Member States and Union level is vital, and therefore UNDERSCORES that increasing overall cyber resilience at European level also requires joint work between ENISA and other relevant entities in the cyber field.	18. サイバーセキュリティの水平的な性質により、加盟国およびEUレベルにおけるすべての関係者間の協力が不可欠であることを改めて表明し、したがって、欧州レベルでのサイバーレジリエンシーの全体的な向上には、ENISAとサイバー分野の他の関連事業体との共同作業も必要であることを強調する。
19. UNDERLINES that EUIBAs’ ability to remain cyber-secure is of importance for overall EUlevel cyber resilience, in which CERT-EU’s role is invaluable. In this regard, WELCOMES the established structured cooperation between CERT-EU and ENISA and ENCOURAGES them to continue their close cooperation in the future.	19. EUIBAsがサイバーセキュリティを維持する能力は、EUレベルのサイバーレジリエンス全体にとって重要であり、その点においてCERT-EUの役割は計り知れない。この点において、CERT-EUとENISA間の確立された構造的な協力関係を歓迎し、両者に対し、今後も緊密な協力関係を継続するよう奨励する。
20. With the achieved financial autonomy, the ECCC will contribute significantly to the development of a strong European cyber research, industrial and technological ecosystem, encompassing skills for workforce development in line with its mandate. ENCOURAGES ENISA and the ECCC to continue their close cooperation, especially in relation to research and innovation needs and priorities, as well as cyber skills, to increase the competitiveness of the Union’s cybersecurity industry. INVITES the Commission to examine how synergies in the working of ENISA and the ECCC can be further optimised and how to better streamline activities according to their respective mandates.	20. 財政的自立を達成したECCCは、その権限に沿った労働力開発のためのスキルを網羅する、強力な欧州のサイバー研究、産業、技術のエコシステムの構築に大きく貢献する。ENISAおよびECCCに対し、特に研究およびイノベーションのニーズと優先事項、およびサイバーセキュリティのスキルに関して緊密な協力関係を継続し、欧州連合のサイバーセキュリティ産業の競争力を高めるよう奨励する。欧州委員会に対し、ENISAおよびECCCの業務における相乗効果をさらに最適化する方法、およびそれぞれの権限に従って活動をより効率化する方法を検討するよう求める。
21. UNDERLINES that providing regular updates on the threat landscape contributes to better identifying which measures and tools are needed in order to effectively fight cybercrime. HIGHLIGHTS the added value of the EU-Joint Cyber Assessment (J-CAR) reports, which are the outcome of the joint collaboration between ENISA, Europol’s EC3 and CERT-EU, and have already provided valuable input in addressing the different challenges including the fight against cybercrime. INVITES ENISA and Europol to continue collaborating in a structured manner in the future.	21. サイバー犯罪と効果的に闘うために必要な措置やツールをより適切に識別するために、脅威の全体像に関する定期的な最新情報の提供が役立つことを強調する。欧州連合合同サイバーアセスメント（J-CAR）報告書は、ENISA、欧州刑事警察機構（Europol）のEC3、および欧州サイバー犯罪対策センター（CERT-EU）の共同作業の成果であり、サイバー犯罪対策を含むさまざまな課題への対応においてすでに貴重な情報を提供している。欧州ネットワーク・情報セキュリティ庁（ENISA）と欧州刑事警察機構（Europol）に対し、今後も組織的な協力関係を継続するよう求める。
22. STRESSES that cyber defence constitutes an important and constantly developing part of tackling threats arising from cyberspace. HIGHLIGHTS the need for ENISA to engage with the EEAS and the Commission, in those cases where ENISA has a role in supporting the implementation of the EU Policy on Cyber Defence, in close cooperation with the EDA, the ECCC and the cyber defence community. EMPHASISES ENISA’s role as a civilian agency. UNDERLINES the importance of deepening and streamlining civil-military cooperation in the field of cyber within the EU including clear divisions of roles and responsibilities between the two communities and between the EU and NATO in full respect of the principles of inclusiveness, reciprocity, mutual openness and transparency, as well as the decision-making autonomy of both organisations. ENCOURAGES ENISA to continue to pursue working arrangement with NATO Communications and Information Agency.	22. サイバー防衛が、サイバー空間から生じる脅威への対処において、重要かつ常に発展する部分を構成していることを強調する。 ENISAがEUサイバー防衛政策の実施を支援する役割を担う場合、EDA、ECCC、およびサイバー防衛コミュニティと緊密に協力しながら、ENISAが欧州対外行動庁（EEAS）および欧州委員会と連携する必要性を強調する。 ENISAの文民機関としての役割を強調する。EU域内のサイバー分野における民軍協力の深化と合理化の重要性を強調し、その際には、包括性、相互性、相互開放性、透明性という原則を十分に尊重し、両組織の意思決定の自主性を尊重した上で、2つの共同体間およびEUとNATO間の明確な役割と責任のディビジョンを盛り込む。ENISAがNATOコミュニケーションズ・アンド・インフォメーション・エージェンシーとの作業体制を継続することを奨励する。
23. ENCOURAGES the EU to continue to promote our common values and joint efforts within global forums in order to safeguard a free, global, open and secure cyberspace. STRESSES that the cross-border nature of cyber threats and incidents requires strong and effective collaboration, not only at EU level, but also with international organisations and partners. NOTES that ENISA’s international involvement should focus on strategic partners and EU candidate countries, in line with the EU’s Common Foreign and Security Policy. STRESSES that in its international involvement, ENISA should act in accordance with its mandate and the respective provisions of the Cybersecurity Act. ACKNOWLEDGES the necessity of clarifying, in accordance with relevant procedures, ENISA’s international involvement, ensuring in particular that its Management Board is duly and timely informed of the related activities. ENCOURAGES ENISA’s involvement in relevant international cybersecurity cooperation frameworks, including organisations such as NATO and the OSCE.	23. 自由でグローバル、オープンで安全なサイバー空間を保護するために、EUがグローバルなフォーラムにおいて共通の価値観と共同の取り組みを推進し続けることを奨励する。サイバー脅威およびインシデントの国境を越えた性質を踏まえ、EUレベルだけでなく、国際機関およびパートナーとも強力かつ効果的な連携が必要であることを強調する。ENISAの国際的な関与は、EUの共通外交・安全保障政策に沿って、戦略的パートナーおよびEU加盟候補国に焦点を当てるべきであることに留意する。ENISAの国際的な関与においては、ENISAは、その権限およびサイバーセキュリティ法の各規定に従って行動すべきであることを強調する。関連手続きに従ってENISAの国際的関与を明確化する必要性を認め、特に理事会が関連活動について適時適切に通知されることを確保する。NATOやOSCEなどの組織を含む関連する国際的なサイバーセキュリティ協力枠組みへのENISAの関与を奨励する。
24. REITERATES that the EU and its Member States have frequently highlighted gaps in cybersecurity skills. RECALLS that the Commission and ENISA have introduced a broad and overarching framework to provide guidance to all stakeholders, such as the European Cybersecurity Skills Framework, the Communication on the Cybersecurity Skills Academy and the annually organised European Cyber Skills Conference and ENCOURAGES the Commission and ENISA to build on these initiatives with special regard to the ongoing discussion on the European Digital Infrastructure Consortium (EDIC). To this end, INVITES the Commission to liaise with Member States interested in setting up a EDIC. ACKNOWLEDGES that both ENISA and the ECCC are mandated to promote skills across the Union. INVITES ENISA to prioritise supporting Member States’ skills and education efforts, strengthening general public awareness and collaborate with the ECCC where appropriate.	24. EUおよび加盟国がサイバーセキュリティ技能のギャップをたびたび強調してきたことを再確認する。欧州サイバーセキュリティスキル枠組み、サイバーセキュリティスキルアカデミーに関するコミュニケーション、毎年開催される欧州サイバースキル会議など、欧州委員会およびENISAがすべての利害関係者にガイダンスを提供する広範かつ包括的な枠組みを導入したことを想起し、欧州デジタルインフラストラクチャコンソーシアム（EDIC）に関する進行中の議論に特に留意しながら、これらのイニシアティブを基盤として構築するよう欧州委員会およびENISAに促す。この目的のため、欧州委員会に対し、EDICの設立に関心のある加盟国と連携するよう求める。ENISAおよびECCCの両機関が、欧州連合全体でのスキル向上を推進する権限を有していることを認める。ENISAに対し、加盟国のスキルおよび教育への取り組みを優先的に支援し、一般市民の意識向上を強化し、必要に応じてECCCと協力するよう求める。
25. ACKNOWLEDGES that ENISA has developed cooperation with the private sector in recent years. RECALLS that because the private sector continuously monitors the cyber threat landscape, the information gathered by the industry could help to improve common situational awareness. Therefore, ENCOURAGES ENISA, in close cooperation with the Member States and across EU entities to bolster cooperation with the private sector.	25. 欧州ネットワーク・情報セキュリティ庁（ENISA）が近年、民間部門との協力関係を構築してきたことを認識する。民間部門はサイバー脅威の状況を継続的に監視しているため、同業界が収集した情報は共通の状況認識の改善に役立つ可能性があることを想起する。したがって、加盟国およびEU事業体と緊密に協力し、民間部門との協力関係を強化するようENISAを奨励する。
26. CALLS ON the Commission and ENISA to consider ways to enhance the collaboration between ENISA and European standardisation bodies. STRESSES the need for ENISA to increase its expertise for European cybersecurity standardisation by following up and participating in standardisation activities, among other things.	26. 欧州委員会およびENISAに対し、ENISAと欧州標準化機関との協力関係を強化する方法を検討するよう求める。とりわけ、標準化活動のフォローアップと参加を通じて、欧州サイバーセキュリティ標準化に関する専門知識をENISAが向上させる必要性を強調する。
27. URGES the Commission and ENISA to examine how to further optimise the functioning of the EU cybersecurity framework, taking into account the recommendations and proposals made in these conclusions. Continuous cooperation, prioritisation of tasks and resources, as well as simplification of the complex cyber landscape will be key elements to cope with current and future challenges.	27. 欧州委員会およびENISAに対し、これらの結論でなされた提言および提案を考慮に入れ、EUサイバーセキュリティ枠組みの機能をさらに最適化する方法を検討するよう促す。継続的な協力、任務とリソースの優先順位付け、および複雑なサイバー環境の簡素化は、現在および将来の課題に対処するための重要な要素となる。

会議報告 - Transport, Telecommunications and Energy Council

・Transport, Telecommunications and Energy Council (Telecommunications), 6 December 2024

ENISAに関連する部分...

Council conclusions on ENISA

ENISAに関する理事会の結論

The Council approved conclusions on the EU’s cybersecurity agency (ENISA). Ministers acknowledged ENISA’s key role in the European cybersecurity ecosystem in the aftermath of recent legislative initiatives, such as the cyber resilience act (CRA) or the revised network and information systems (NIS 2) directive, which have entrusted the agency with additional tasks. Ministers also acknowledged ENISA’s support to member states when it comes to policy development and implementation. They called, however, for further improvements and action, notably regarding the development of European cybersecurity certification schemes, as well as the establishment of a single reporting platform. Ministers also underlined ENISA’s important contribution in enhancing common situational awareness, as well as in developing a common response to large-scale cyber incidents or crises. Finally, ministers highlighted the importance of the agency’s cooperation with other actors in the cyber ecosystem, but also with international organisations and partners and with the private sector.

理事会は、EUのサイバーセキュリティ機関（ENISA）に関する結論を承認した。閣僚らは、サイバーレジリエンス法（CRA）や改訂ネットワークと情報システム（NIS 2）指令など、最近の立法イニシアティブを受けて、欧州のサイバーセキュリティエコシステムにおけるENISAの重要な役割を認識した。また、閣僚らは、政策の策定と実施に関してENISAが加盟国を支援していることも認識した。しかし、とりわけ欧州サイバーセキュリティ認証スキームの開発や単一の報告プラットフォームの確立に関しては、さらなる改善と行動を求めた。また、閣僚らは共通の状況認識の強化や、大規模なサイバーインシデントや危機に対する共通の対応策の開発におけるENISAの重要な貢献を強調した。最後に、閣僚らは、ENISAがサイバーエコシステムにおける他の関係者、国際機関やパートナー、民間部門と協力することの重要性を強調した。

● まるちゃんの情報セキュリティ気まぐれ日記

サイバーレジリエンス法の内容については...

・2024.11.25 欧州サイバーレジリエンス法、官報に掲載　(2024.11.20)

NIS2指令の内容については...

・2023.01.19 欧州 NIS2 指令条文 (2022.12.27)

2024.12.11 06:28 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続, in IoT, in 安全保障 | Permalink | Comments (0)
Tweet

2024.12.10

英国個人データ保護政府機関等のデータ保護の遵守を促し、問題が生じたときにどう対応すべきかを検討するための試行の結果についての報告

こんにちは、丸山満彦です。

英国の個人データ保護機関であるICOが、2022年に開始した政府機関等の公共部門のデータ保護の遵守を促し、被害を未然に防ぎ、問題が生じたときにどう対応すべきかを検討するための試行についての報告を公表していますね...

違反が生じた場合の罰則については

罰金 (fine)
警告 (warnings)
懲戒 (reprimands)
執行通知 (enforcement notices)

という手段がとれるようですね。民間企業だと罰金により株主利益が減ることが、経営者（執行者）にとって望ましくないことなので、罰金は違反に対する抑止効果として働くことになりますが、利益を追求していない政府機関等であれば、罰金は民間企業ほど抑止効果として高くないことになりますね。

とはいえ、国防省と北アイルランド警察には罰金を科したようです（民間に比べるとはるかに低額ですが...）

ちなみに執行については、こちらのウェブページにまとめられています（労働党、選挙管理委員会も含めて幅広く公表されています。。。）...

● U.K. Inofrmation Commissioner's Office; ICO - Enforcement action

ということで、Warnings、Reprimands、Enforcement noteicesなどの手段がとられることになると思うのですが、どの程度の罰則を与えるべきかというのは、執行の公平性等を考えると難しい問題なのかもしれません...

日本の個人情報保護委員会に比べると違反の時にとれる選択肢が広いので、適切な対応により、より効果的な執行に繋げることができそうですね...

日本の制度とは異なるので、限定されるかもしれませんが、参考になる部分はあるでしょうね。また、これから日本の個人情報保護委員会も公共部門に対する監督を強化する必要もありそうですからね（3年の見直しをしていますが、次の課題としてAI等による自動決定という問題がありますからね... それは民間よりも政府機関、特に捜査権限をもっている機関に対して重要となってきますからね...）

● U.K. Inofrmation Commissioner's Office; ICO

・2024.12.09 Statement on the public sector approach

Statement on the pubulic sector approach	公共部門のアプローチに関する声明
John Edwards, UK Information Commissioner, on the public sector approach:	英国情報コミッショナー、ジョン・エドワーズが公共部門のアプローチについて語った：
Two years ago, I set out my vision of working more effectively with public authorities across the UK so they could better protect people’s information, while transforming public services and improving outcomes for their communities.	2年前、私は、公共サービスを変革し、地域社会の成果を改善する一方で、人々の情報をよりよく保護できるよう、英国全土の公共機関とより効果的に協力するというビジョンを示した。
I introduced a two-year trial of an approach where we would work proactively with senior leaders across the public sector to encourage data protection compliance, prevent harms before they occur and learn lessons when things have gone wrong. I wanted my office to be part of the conversations early on, instead of being on the outside looking in.	私は、公共部門全体のシニア・リーダーと積極的に協力し、データ保護の遵守を促し、被害が発生する前に予防し、問題が発生した場合には教訓を学ぶというアプローチを2年間試行することを提案した。私は、私のオフィスが外から見ているのではなく、早い段階から話し合いに加わることを望んだ。
The trial would also see a greater use of my discretion when it came to fines. In practice, that meant we would increase the use of my wider powers, including warnings, reprimands and enforcement notices, with fines only issued when necessary. That’s so victims of a data breach are not being punished twice in the form of reduced budgets for vital public services.	この裁判では、罰金に関しても私の裁量がより大きく行使されることになる。実際には、警告、譴責、執行通告など、私の幅広い権限の行使を増やし、罰金は必要な場合にのみ科すということだ。データ漏洩の被害者が、重要な公共サービスの予算削減という形で二重に罰せられることがないようにするためだ。
As the trial progressed, I have been conscious of the diversity of opinion on the approach and its impact. That’s why it was important that we reviewed the trial to gain insight into the outcomes and learn from it before deciding on next steps.	裁判が進むにつれて、私はこのアプローチとその影響に関する意見の多様性を意識してきた。だからこそ、次のステップを決める前に、試験結果を検証し、そこから学ぶことが重要だったのだ。
Impact of the public sector approach	公共部門のアプローチの影響
Published today, the review of the two-year trial shows the public sector approach has had an impact, with some notable achievements, areas with more to do, unexpected challenges and unintended consequences.	本日発表された2年間のトライアルのレビューによれば、公的セクターのアプローチは、いくつかの顕著な成果、さらにやるべきこと、予期せぬ課題、意図せざる結果とともに、影響を及ぼした。
There is clear evidence from the review of how regulation happens across a spectrum, backed up by policy theory but also different approaches taken by international data protection authorities. Rather than being one definitive action, regulation is a series of activities such as guidance, engagement, public campaigning and enforcement, which can work together to drive change. Fines have their place, but so do other ways of regulating. Different incentives and disincentives work in different ways in different sectors of the economy.	レビューからは、政策理論に裏打ちされた、また国際的なデータ保護当局によって取られた様々なアプローチによって、規制がどのように行われたかという明確な証拠が得られた。規制は一つの決定的な行動であるよりも、ガイダンス、エンゲージメント、パブリックキャンペーン、エンフォースメントといった一連の活動であり、それらが連携して変化を促すことができる。制裁金にはそれなりの意味があるが、他の規制方法もある。インセンティブとディスインセンティブは、経済セクターによって異なる働きをする。
During the trial period we decided to start publishing reprimands on our website, with around 60 reprimands issued to public bodies. We've seen significant changes made by organisations following a reprimand. From a local council updating its procedures to prevent inappropriate disclosure of children’s information and an NHS Trust stopping sending bulk emails with sensitive information; to an advisory body improving its security measures to prevent unlawful access and a hospital implementing a decommissioning policy so personal details wouldn’t be lost when filing systems were terminated.	試行期間中、私たちはウェブサイト上で譴責処分の公表を開始することを決定し、公共団体に約60件の譴責処分を下した。譴責処分を受けた組織は大きな変化を遂げた。児童情報の不適切な開示を防止するために手続きを更新した地方議会や、機密情報を記載した大量の電子メールの送信を停止したNHSトラストから、不正アクセスを防止するためにセキュリティ対策を改善した諮問機関や、ファイリングシステムの廃止時に個人情報が失われないように廃止ポリシーを導入した病院まで、様々な組織がある。
Feedback from the review said that public authorities saw the publication of reprimands as effective deterrents, mainly due to reputational damage and potential impact on public trust, and how they can be used to capture the attention of senior leaders. Central government departments cited increased engagement and positive changes on the back of reprimands, particularly with our regular interaction with the government’s Chief Operation Officers Network. But wider public sector organisations displayed limited awareness, which means we must do more to share best practice and lessons learned.	レビューからのフィードバックによると、公的機関は譴責処分の公表を効果的な抑止力として捉えており、その主な理由は風評被害と社会的信頼への潜在的影響、そして上級指導者の注目を集めるために譴責処分の公表を利用できることであった。政府の中央省庁は、譴責処分をきっかけに、特に政府の最高業務責任者ネットワーク（Chief Operation Officers Network）との定期的な交流により、関与が増え、前向きな変化が見られたと述べている。しかし、公共部門のより広範な組織においては、その意識は限定的であり、ベストプラクティスや教訓を共有するためにもっと努力しなければならない。
While reprimands had an impact, we also used our other regulatory tools when needed, such as issuing an enforcement notice to the Home Office and fining the Ministry of Defence and Police Service of Northern Ireland for breaking data protection law. If the public sector approach had not been applied, the fines could have reached £23.2m, instead of £1.2m. The review showed that central government and wider public sector echoed the sentiment around the impact of fines on frontline services, and how it disproportionately affects the budget of smaller organisations and devolved administrations.	譴責処分は影響を与えたが、我々は必要に応じて他の規制手段も用いた。例えば、データ保護法違反で内務省に執行通知を出したり、国防省と北アイルランド警察に罰金を科したりした。公共部門のアプローチが適用されていなければ、罰金は120万ポンドではなく、2320万ポンドに達していた可能性がある。レビューによると、中央政府と公共部門は、罰金が最前線のサービスに与える影響や、それが小規模組織や分権行政機関の予算に不釣り合いな影響を与えることについて、同じ意見を持っていた。
The review also highlighted potential areas for improvement, specifically how we should make clearer which organisations fall within the scope of the public sector approach and what type of infringements could lead to a fine. It also showed there is more work to be done to reach wider public sector organisations and deliver targeted interventions.	また、改善すべき点として、どのような組織が公共部門アプローチの適用範囲に含まれるのか、またどのような違反が罰金につながるのかをより明確にする必要があることも指摘された。また、より広範な公共部門組織に働きかけ、的を絞った介入を実施するためには、もっとやるべきことがあることも示された。
You can read the full review report here.	レビュー報告書の全文はこちらで読むことができる。
Next steps	次のステップへ
Reflecting on the past two years and based on the evidence from the review, I have decided to continue with the public sector approach. But I also have listened to the feedback and will provide greater clarity on its parameters.	この2年間を振り返り、レビューから得られた証拠に基づき、私は公共部門のアプローチを継続することを決定した。しかし、フィードバックに耳を傾け、そのパラメーターをより明確にするつもりだ。
That’s why I’m launching a consultation on the scope of the approach and the factors and circumstances that would make it appropriate to issue a fine to a public authority. You can read more about it and respond to our consultation on our website by 31 January 2025. We will use the input received to inform and finalise our approach.	そのため、私はこのアプローチの範囲と、公的機関に罰金を科すことが適切となる要因や状況について協議を開始する。2025年1月31日までに、当協議についての詳細をお読みいただき、当協議にご回答いただきたい。私たちは、寄せられた意見をもとに、私たちのアプローチに情報を提供し、最終決定する。
I’m also committed to improve our engagement beyond central government and to ensure that senior leaders are taking accountability for their role in achieving greater data protection compliance. I expect to see more investment of time and resources in protecting people’s information, and I have been assured by the Permanent Secretary of DSIT, on behalf of Whitehall leaders, that they are committed to continuing our engagement on the approach.	また、中央政府以外とのエンゲージメントを改善し、上級指導者がデータ保護コンプライアンス強化のために果たすべき役割について説明責任を果たすよう尽力する所存である。私は、人々の情報を保護するために、より多くの時間と資源が投資されることを期待しており、ホワイトホールのリーダーを代表して、DSITの事務次官から、彼らがこのアプローチに関する私たちの関与を継続することを確約していると聞いている。
As we have done with the trial, we will keep the public sector approach under review, and I will reconsider it if necessary.	今回の試験と同様、公共部門のアプローチについても検討し、必要であれば再考するつもりである。

・Post-implementation review: Public sector approach trial – September 2024

Post-implementation review: Public sector approach trial – September 2024	実施後のレビューパブリック・セクター・アプローチの試行 - 2024年9月
The ICO announced a two-year trial of a revised approach to working with and regulating public organisations in June 2022, which we call the ‘Public Sector Approach’ (PSA). To assist in understanding both impact and learning from the trial, a monitoring and review plan was established that included a post-implementation review.	ICOは2022年6月、公的組織との協働と規制のための改訂アプローチを2年間試行すると発表した。試行からの影響と学習の両方を理解するために、実施後のレビューを含む監視・レビュー計画が策定された。
The purpose of the post-implementation review report is to present robust evidence on impact and learning from the trial to inform the ICO’s future decisions on regulating public organisations. The overall approach to the review has been theory based and employed mixed methods. This resulted in a broad evidence base to underpin the review’s findings, but one that also presented some challenges which should be kept in mind when considering the findings.	実施後のレビュー報告書の目的は、公的組織の規制に関するICOの将来の決定に情報を提供するために、試験からの影響と学習に関する確実な証拠を提示することである。レビューの全体的なアプローチは理論に基づいており、混合法を採用している。その結果、レビューの発見を裏付ける広範な証拠ベースが得られたが、発見を検討する際に留意すべき課題も提示された。
The evidence presented in the review shows that the PSA was an ambitious and challenging trial to deliver over two years with a limited lead-in time. The trial's outcome wasn't a straightforward success or failure. Instead, it was mixed with notable achievements, areas with more to do, unexpected challenges, and unintended consequences.	レビューで示された証拠から、PSAは野心的で困難な試験であり、2年間という限られた準備期間で実施されたことがわかる。試験の結果は、単純な成功でも失敗でもなかった。それどころか、注目すべき成果や、もっとやるべきことがある分野、予期せぬ課題、意図しない結果などが混在していた。

科学技術革新省 (Department for Science, Innovation and Technology; DTSI) の事務次官のコメント

「ICOのこの試行について感謝をし、今後の勧告（recommendations）を楽しみにしています！」だそうです。そして、それをしれーっとウェブサイトに載せるICO (^^)

ロンドンも京都に似たところがあるからなぁ...深読みしすぎか (^^;;

（科学技術革新省　事務次官）

I look forward to the outcome of the consultations and any future recommendations made by the Commissioner. I would lastly like to thank the ICO for their continued support and pragmatic approach to enforcing the UK’s data protection legislation in respect of public sector organisations. コミッショナーはん、いろいろとアドバイスいただいたみたいやね。これからもいろいろと勧告を出してくれはるみたいやし、楽しみにしときますわ。公共部門組織に対する私らのデータ保護法の施行に対する、おたくのいつもの支援と確認に感謝やわ。おおきに。

（ICO）

あら、科学技術革新省の事務次官はんから、えらいお褒めのお言葉もらったわ。せっかくやし、ウェブにでものせとこかしらね。。。

さて、

・2024.12.09 Statement on the public sector approach from the Permanent Secretary of DSIT

Statement on the public sector approach from the Permanent Secretary of DSIT	科学技術革新省（DSIT）事務次官の公共部門アプローチに関する声明
Statement on the ICO public sector approach from the Permanent Secretary of the Department for Science, Innovation and Technology (DSIT) on behalf of Whitehall leaders:	ホワイトホールのリーダーを代表して、科学技術革新省（DSIT）の事務次官がICOの公共部門アプローチに関する声明を発表した：
The Information Commissioner has set out the outcome of his two-year trial of a new approach to regulating public sector organisations. His review notes the positive impact this has had in protecting personal data and highlighting some key challenges going forward. Considering the evidence, he has decided to continue with the public sector approach and keep it under review for the foreseeable future.	情報コミッショナーは、公共部門組織を規制するための新しいアプローチを2年間試行した結果を発表した。彼のレビューでは、これが個人データの保護にプラスの効果をもたらしたことを指摘し、今後のいくつかの重要な課題を浮き彫りにしている。エビデンスを考慮し、彼は公共部門のアプローチを継続し、当分の間見直すことを決定した。
I welcome the results of the trial and its findings and the positive conclusions it provides. These highlight how the ICO’s regulatory activities can deter bad practice, whilst at the same time support the government in its ambitions to transform public service and drive positive outcomes for communities.	私は、この裁判の結果とその所見、そして前向きな結論を歓迎する。これらは、ICOの規制活動がいかに悪しき慣行を抑止し、同時に公共サービスを変革し、地域社会にとってプラスとなる成果を推進するという政府の野望を支援できるかを浮き彫りにするものである。
As the ICO’s sponsoring department within Government and on behalf of Whitehall leaders, DSIT would like to state its continued support to increase awareness of best practice and promote compliance across government departments. We will continue to engage with the ICO at a senior level in support of this initiative.	政府におけるICOのスポンサー部門として、またホワイトホールのリーダーを代表して、DSITは、ベストプラクティスに対する認識を高め、政府部門全体のコンプライアンスを促進するために、引き続き支援することを表明したい。我々は、このイニシアチブを支援するため、引き続きICOと上級レベルで関わっていく。
I look forward to the outcome of the consultations and any future recommendations made by the Commissioner. I would lastly like to thank the ICO for their continued support and pragmatic approach to enforcing the UK’s data protection legislation in respect of public sector organisations.	協議の結果と、コミッショナーによる今後の勧告を楽しみにしている。最後に、公共部門組織に関する英国のデータ保護法の施行に対するICOの継続的な支援と実際的なアプローチに感謝したい。

報告書はこちら...

・[PDF] PSA Post-Implementation Review Report

本文...

目次...

Executive summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. Background	1.1. 背景
1.2. Review of the trial approach	1.2. 試行アプローチのレビュー
1.3. Purpose and structure of this report	1.3. 本報告書の目的と構成
2. Review methodology and evidence	2. レビュー方法と証拠
2.1. Research methods and evidence base	2.1. 調査方法と根拠
2.2. Challenges with measuring the impact of the PSA	2.2. PSAの影響測定の課題
3. Theory and policy context	3. 理論と政策背景
3.1. Theoretical context for the PSA	3.1. PSAの理論的背景
3.2. UK policy context alignment	3.2. 英国の政策的背景
3.3. Trends in DP complaints and personal data breach reports	3.3. DP苦情と個人データ漏えい報告の傾向
3.4. International perspective to regulating the public sector	3.4. 公共部門を規制する国際的視点
4. Putting the PSA into practice - process learning	4. PSAの実践-プロセス学習
4.1. Implementation of the PSA	4.1. PSAの実施
4.2. How the PSA was delivered and received externally	4.2. PSAの実施と外部からの評価
5. Upstream regulatory activities in focus	5. 上流の規制活動に焦点を当てる
5.1. Upstream in context	5.1. 上流の状況
5.2. Enabling lessons learned via the publication of reprimands	5.2. 譴責処分の公表を通じて教訓を得られるようにする
5.3. Enhanced upstream engagement activities	5.3. 上流部門でのエンゲージメント活動の強化
6. Downstream regulatory activities in focus	6. 下流の規制活動に焦点を当てる
6.1. Downstream in context	6.1. 下流の状況
6.2. Enforcement activity during the trial period	6.2. 試行期間中の取締り活動
6.3. Views on the use of monetary penalties in the public sector	6.3. 公的部門における金銭的罰則の使用に関する見解
6.4. Other impacts from limiting the use of fines	6.4. 罰金の使用制限によるその他の影響
7. Exploring the impact of the PSA	7. PSAの影響を探る
7.1. Levels of data protection knowledge and awareness	7.1. データ保護に関する知識と意識のレベル
7.2. Changes to data protection processes and procedures	7.2. データ保護プロセスと手順の変更
7.3. Impact on the status of data protection within the public sector	7.3. 公共部門におけるデータ保護の地位への影響
7.4. Perceptions of the ICO	7.4. ICOに対する認識
7.5. Impact constraints	7.5. 影響の制約
8. Review conclusion and learnings	8. 結論と学びの振り返り
8.1. Conclusion	8.1. 結論
8.2. Learning points for consideration	8.2. 考慮すべき学習ポイント

エグゼクティブサマリー...

Executive summary	エグゼクティブサマリー
Purpose of the review and approach	見直しの目的とアプローチ
The ICO announced a two-year trial of a revised approach to working with and regulating public organisations in June 2022, which in this report we call the ‘Public Sector Approach’ (PSA). Its objective was to work more effectively with these organisations to raise data protection standards and ultimately lead to better outcomes for UK citizens. The PSA saw the use of the Commissioner’s discretion to reduce the impact of fines on the public sector, coupled with increased engagement, including publicising lessons learned and sharing good practice. To assist in understanding both impact and learning from the trial, a monitoring and review plan was established.	ICOは2022年6月、公的組織との協働および公的組織に対する規制のアプローチを改訂する2年間の試行を発表したが、本報告書ではこれを「パブリック・セクター・アプローチ」（PSA）と呼ぶ。その目的は、これらの組織とより効果的に連携してデータ保護の標準を高め、最終的に英国市民にとってより良い結果をもたらすことであった。PSAでは、公共部門に対する罰金の影響を軽減するためにコミッショナーの裁量を活用し、教訓の公表やグッドプラクティスの共有を含む関与の強化が行われた。試行からの影響と教訓を理解するために、モニタリングとレビューの計画が策定された。
The purpose of this post-implementation review report is to present robust evidence on impact and learning from the trial to inform the ICO’s future decisions on regulating public organisations. The ICO’s Economic Analysis directorate conducted the review. Although it was done internally, the team was not directly involved in the trial's development or implementation, ensuring objectivity. The overall approach to the review has been theory based and employed mixed methods. This resulted in a broad evidence base to underpin the review’s findings, but one that also presented some challenges which should be kept in mind when considering the findings.	この実施後のレビュー報告書の目的は、公的組織の規制に関するICOの将来の決定に情報を提供するために、試験からの影響と学習に関する確実な証拠を提示することである。ICOの経済分析部門がレビューを実施した。内部で行われたとはいえ、チームはトライアルの開発や実施に直接関与しておらず、客観性を確保している。レビューの全体的なアプローチは理論に基づき、混合法を採用した。その結果、レビュー結果を支える広範な証拠ベースが得られたが、調査結果を検討する際に留意すべき課題も提示された。
The PSA is well aligned with theory, the UK policy context and international approaches; whilst trends in complaints and breach report data have limitations	PSAは理論、英国の政策状況、国際的なアプローチとよく整合しているが、一方で苦情や違反報告データの傾向には限界がある。
The PSA is supported by alignment with the theoretical and policy context. The literature finds that fines are an effective regulatory deterrent but have limitations and are not the only tool for promoting compliance. Both monetary and non-monetary incentives play roles, especially in the public sector where motivations differ from the private sector.	PSAは、理論や政策的背景との整合性によって裏付けられている。文献によれば、罰金は効果的な規制抑止力であるが、限界があり、コンプライアンスを促進する唯一の手段ではない。金銭的インセンティブと非金銭的インセンティブの両方が、特に民間部門とは動機が異なる公共部門において、その役割を果たす。
The PSA is aligned with UK government goals by promoting best practice for safe data sharing and reducing barriers to data-driven growth. Engaging with public sector organisations helps address perceived data protection barriers and ensures early involvement of the ICO, making data protection laws more enabling.	PSAは、安全なデータ共有のためのベストプラクティスを推進し、データ主導の成長への障壁を軽減することで、英国政府の目標と一致している。公共部門と協力することで、データ保護の障壁を認識し、ICOの早期関与が保証され、データ保護法がより有効になる。
Internationally, Data Protection Authorities (DPAs) follow a range of approaches to fining public sector organisations. Practice varies amongst European Economic Area (EEA) countries, with over a third imposing no fines, a third imposing reduced fines, and less than a third having no specific rules and applying the same approach to all. Outside of EAA, in other countries, DPAs follow a wide range of approaches on how they impose fines on the public sector, influenced by different legal frameworks and data protection regulations.	国際的には、データ保護認可局（DPA）は公共部門組織への罰金について様々なアプローチに従っている。欧州経済領域（EEA）諸国では、3分の1以上が制裁金なし、3分の1が制裁金減額、3分の1以下が特定の規則を設けず、すべてに同じアプローチを適用している。EAA以外の国々では、DPAが公的部門に制裁金を科す方法は、異なる法的枠組みやデータ保護規制の影響を受け、幅広いアプローチに従っている。
Further context for the PSA is provided by ICO data on complaints and personal data breach reports, although for a number of reasons there wasn’t an expectation of being able to attribute any trends in these data to the PSA. This proved to be the case.	PSAのさらなる背景として、苦情や個人データ漏えい報告に関するICOのデータがプロバイダに提供されているが、さまざまな理由から、これらのデータの傾向をPSAに反映させることは期待されていなかった。しかし、これは事実であった。
Reflecting on putting the PSA into practice highlighted novel actions and areas for improvement	PSAの実践を振り返ると、斬新な行動と改善点が浮き彫りになった。
Within the ICO, the implementation of the PSA received mixed feedback across different staff levels. Some saw challenges due to a lack of guidance and clear definitions, while others appreciated its flexibility which empowered staff to make decisions based on principles. It was felt that limited engagement with staff prior to introducing the PSA contributed towards misunderstandings early on, and a short lead-in time limited opportunities to consider potential issues and mitigations prior to implementation.	ICOでは、PSAの実施について、さまざまなレベルのスタッフからさまざまな意見が寄せられた。ガイダンスや明確な定義の欠如による課題を指摘する声もあれば、原則に基づいてスタッフが意思決定できる柔軟性を評価する声もあった。PSA導入前のスタッフとの関わりが限定的であったことが、初期段階での誤解の一因となり、導入までのリードタイムが短かったために、導入前に潜在的な問題や緩和策を検討する機会が限られてしまったと感じられた。
External awareness and understanding of the PSA has varied. Central government engagement took longer than anticipated to set up, but once established it drove greater awareness than in the wider public sector. During the trial period, external coverage was mostly neutral to positive. Some external commentators were critical of the PSA. However, critics of the PSA were divided: some found it too lax, while others believed it should have been applied to the private sector too.	PSAに対する外部からの認識と理解にはばらつきがあった。中央政府の関与は、設定に予想以上の時間を要したが、設定後は、より広い公共部門よりも高い認知度を推進した。試行期間中、外部からの報道はほとんど中立か肯定的であった。一部の外部コメンテーターはPSAに批判的であった。しかし、PSAに対する批判は賛否両論であった。PSAは甘すぎるとする意見もあれば、民間部門にも適用すべきだったとする意見もあった。
The PSA was perceived as innovative, and it was viewed as positive that the ICO was prepared to trial a different approach so openly. Equally, the approach to monitoring and reporting on the PSA from the outset was noted as novel from an ICO perspective.	PSAは革新的と受け止められ、ICOが異なるアプローチを公然と試行する用意があったことは肯定的に受け止められた。同様に、当初からPSAをモニタリングし、報告するというアプローチは、ICOの観点からは斬新であると指摘された。
Upstream activities have driven change, though this was limited to central government	上流の活動が変化を促したが、これは中央政府に限られていた。
Awareness of published reprimands and the PSA varied significantly across the public sector, with central government data protection officers (DPOs) being the most aware due to targeted ICO engagement. However, accessibility and presentation of reprimands were seen as areas needing improvement.	公表された譴責処分とPSAのガバナンスは公共部門によって大きく異なり、中央政府のデータ保護責任者（DPO）はICOの標的を絞ったエンゲージメントにより最もよく認知されていた。しかし、譴責処分へのアクセスしやすさ、譴責処分の提示方法については改善が必要であると考えられている。
Published reprimands were seen as effective deterrents, mainly due to reputational damage, and helped DPOs capture senior leaders' attention. Reprimands were generally viewed as useful for raising data protection standards by sharing best practices and lessons learned, with central government departments citing positive changes and wider effects. However, awareness of reprimands was limited in the broader public sector.	公表された譴責処分は、主に風評被害による効果的な抑止力であると考えられており、DPOが上級幹部の注意を引くのに役立った。譴責は、ベストプラクティスや教訓を共有することでデータ保護の標準を高めるのに役立つと一般に見なされており、中央政府の部局は前向きな変化とより広範な効果を挙げている。しかし、より広範な公共部門では、譴責に対する認識は限定的であった。
The ICO's increased engagement during the trial was acknowledged. Published reprimands were seen as a useful regulatory tool for raising standards of data protection, through sharing best practice and lessons learned. Central government departments provided examples of this learning, driving change and having wider ripple effects. However, driving change relies on organisations’ awareness of published reprimands which remained limited across the wider public sector.	ICOが試験期間中に関与を強めたことは評価された。公表された譴責処分は、ベストプラクティスや学んだ教訓を共有することで、データ保護の標準を高めるための有用な規制手段であると考えられている。中央政府の省庁は、このような学習が変化を促し、より広範な波及効果をもたらしている例を示した。しかし、変革の推進は、公表された譴責処分に対する組織の認識にかかっており、公共部門全体では依然として限定的であった。
In terms of impact, around a third of respondents thought that increased engagement had improved data protection compliance, although the same proportion felt there had been no improvement. There was also evidence that upstream activities had raised the profile of data protection amongst senior leaders in central government, particularly the interaction with the Chief Operating Officers (COO) network. However, a recurring theme was that data protection is one of many competing priorities for senior leaders, making it challenging to get traction.	影響という点では、回答者の約3分の1が関与の増加によってデータ保護コンプライアンスが改善されたと考えているが、同じ割合の回答者は改善されていないと感じている。また、特に最高執行責任者（COO）ネットワークとの交流など、上流の活動によって中央政府の上級指導者の間でデータ保護の認知度が高まったという証拠もあった。しかし、繰り返されるテーマは、データ防御はシニアリーダーにとって競合する多くの優先事項の一つであり、牽引力を得るのは困難であるということであった。
Reduced impact of fines coupled with a notable increase in reprimands, but more to do	罰金の影響は減少し、譴責処分は顕著に増加したが、やるべきことはまだある
During the trial period, approximately 77 reprimands were issued, with 80% targeting the public sector. This marked a significant shift in the ICO’s enforcement activity, with a 54% increase in reprimands compared to the previous two-year period. However, the use of other powers like Enforcement Notices and warnings has been limited to date.	試行期間中、約77件の譴責処分が下され、その80％が公共部門を対象としていた。これはICOのエンフォースメント活動に大きな変化をもたらし、譴責処分は2年前と比べて54％増加した。しかし、執行通知や警告といった他の権限の使用はこれまで限定的であった。
Four monetary penalty notices with fines totalling £1.2 million were issued to public organisations during the trial. Without the PSA and the associated increased use of reprimands, fines could have reached £23.2 million, indicating an estimated £22 million difference due to the PSA. There was widespread agreement in the public sector that fines reduce budgets for public services, leading to support for a different regulatory approach, especially among central government DPOs. The wider public sector echoed this sentiment, noting the direct impact of fines on frontline services and disproportionate effects on smaller organisations and devolved administrations’ budgets.	試験期間中、公的機関に対し、罰金総額120万ポンドの金銭処罰通知が4通出された。PSAとそれに伴う譴責処分の増加がなければ、罰金額は2,320万ポンドに達していた可能性があり、PSAによる差は2,200万ポンドと推定される。罰金によって公共サービスの予算が削減されるという点で、特に中央政府のDPOの間で、異なる規制アプローチを支持する意見が政府内で広まった。公共部門全体もこの意見に賛同し、罰金が最前線のサービスに直接的な影響を与えること、小規模組織や分権行政機関の予算に不釣り合いな影響を与えることを指摘した。
However, feedback from some organisations in the wider public sector, including local authorities, was more negative about impact of the PSA. Several DPOs noted that it had made it more challenging to make the case for resources or maintain an interest in compliance with a more limited threat of fines.	しかし、地方自治体を含む公共部門の一部の組織からは、PSAの影響に否定的な意見もあった。いくつかのDPOは、罰金の脅威がより限定的になったことで、リソースの確保やコンプライアンスへの関心を維持することがより困難になったと指摘している。
Published reprimands a catalyst for change for some, but lack of clarity sees de-prioritisation for others	譴責処分の公表が変化のきっかけとなる者もいれば、明確性の欠如から優先順位が下がる者もいる。
The impact of the PSA on knowledge and awareness was mixed, but overall sentiment was positive. Data protection professionals, who were the majority of those surveyed, rated their existing knowledge highly. Despite this, the PSA facilitated information and knowledge transfer, with nearly half of central government DPOs reporting new or improved processes due to the PSA. Published reprimands were often cited as catalysts for change, showing how upstream and downstream regulatory activities can synergise to drive improvements.	PSAが知識と意識に与えた影響はまちまちであったが、全体的には肯定的であった。調査対象者の大多数を占めるデータ保護の専門家は、既存の知識を高く評価している。このような状況にもかかわらず、PSAは情報や知識の移転を促進し、中央政府のDPOの半数近くが、PSAのおかげで新たなプロセスや改善されたプロセスを報告している。公表された譴責処分は、しばしば変化のきっかけとして挙げられ、上流と下流の規制活動がいかに相乗効果を発揮して改善を推進できるかを示している。
The impact of the PSA on the status of data protection varied between the wider public sector and central government, likely reflecting the central government focus of the targeted upstream activity. In the wider public sector, there were concerns about the reduced influence of data protection professionals due to a perceived low threat of ICO enforcement. Conversely, central government DPOs reported increased support from senior leadership and maintained or increased professional influence.	データ保護の状況に対する PSA の影響は、より広範な公共部門と中央政府との間で異なっており、これは上流の活動の対象が中央政府に集中していることを反映していると思われる。より広範な公共部門では、ICOによる取締りの脅威が低いと認識されているため、データ保護の専門家の影響力が低下する懸念があった。ガバナンスとは逆に、中央政府のDPOは上級幹部からの支援が増加し、専門家としての影響力が維持または増加したと報告している。
The ICO’s reputation benefited from the PSA, being seen as more collaborative and proactive. However, some unintended effects in the wider public sector were highlighted resulting in the de-prioritisation of data protection issues in some instances. Some of these effects may have been exacerbated by a perceived lack of clarity at the outset of the PSA which led some parts of the public sector to believe that the ICO was no longer fining, or even regulating, public bodies. However, feedback received towards the end of the trial suggests this issue had been mitigated.	ICOの評判はPSAの恩恵を受け、より協力的で積極的と見なされるようになった。しかし、より広範な公共部門において、データ保護問題の優先順位が下がるという意図せざる影響も見受けられた。このような影響の一部は、公共部門の一部がICOはもはや公的団体に罰則を科すことも、規制することもないと考えるに至ったPSAの当初の明確性の欠如によって悪化した可能性がある。しかし、試験終了時に寄せられたフィードバックによると、この問題は緩和されたようだ。
Trial's outcome isn't a straightforward success or failure, instead, it involves multiple layers	トライアルの結果は、単純な成功や失敗ではなく、複数の層が関係している。
The evidence presented in this review shows that the PSA was an ambitious and challenging trial to deliver over two years with a limited lead-in time. The trial's outcome isn't a straightforward success or failure. Instead, it involves multiple layers: notable achievements, areas with more to do, unexpected challenges, and unintended consequences.	このレビューで提示された証拠から、PSAは、限られたリードタイムで2年間かけて実施された野心的で困難なトライアルであったことがわかる。試験の結果は、単純な成功とも失敗とも言えない。それどころか、特筆すべき成果、もっとやるべきことがある分野、予期せぬ課題、意図しない結果など、幾重にも重なっている。
Overall, the PSA has been impactful. It has driven changes that have increased data protection standards, albeit across a smaller population than anticipated. There is clear evidence of how upstream and downstream regulatory activities can work together to drive change. The PSA’s effect on the status of data protection varied, likely due to the central government focus of the targeted upstream activities.	全体として、PSAはインパクトがあった。予想より少ない人数ではあったが、データ保護標準を向上させる変化をもたらした。上流と下流の規制活動がどのように連携して変化を促すことができるかを示す明確な証拠がある。PSAがデータ保護の状況に及ぼした効果は様々であったが、これはおそらく対象となった上流の活動が中央政府を中心としたものであったためであろう。
The PSA was intended ‘not to be a one-way street’, with expectations of greater involvement from the public sector, including senior leaders, with investment of time, money and resources in ‘ensuring data protection practices remain fit for the future’. While engagement within central government has notably increased, clear evidence of financial and resource investment is less apparent. This reciprocal expectation is less applicable in the wider public sector due to the lack of targeted engagement.	PSAは「一方通行ではない」ことを意図しており、「データ保護の慣行が将来に適合し続ける」ための時間、資金、リソースの投資とともに、シニアリーダーを含む公共部門からのより大きな関与が期待されていた。中央政府内の関与は顕著に増加しているが、財政的・資源的投資の明確な証拠はあまり見られない。このような相互的な期待は、対象を絞ったエンゲージメントが欠如しているため、より広範な公共部門ではあまり当てはまらない。

序文...

1. Introduction	1. 序文
1.1. Background	1.1. 背景
In June 2022 the ICO announced^[1] and explained^[2] a two-year trial of a revised approach to working with and regulating public organisations which in this report we call the ‘Public Sector Approach’ (PSA). The objective was to work more effectively with these organisations to raise data protection (DP) standards and ultimately lead to better outcomes for UK citizens. The PSA has seen use of the Commissioner’s discretion to reduce the impact of fines on the public sector, coupled with increased engagement, including publicising lessons learned and sharing good practice. In June 2024, the two-year trial concluded and the ICO announced^[3] that it would review the learning from the trial before making a decision on its future public sector regulatory approach.	2022年6月、ICOは公的組織との協働と規制のあり方を見直す2年間の試行を発表^[1]し、説明^[2]した。その目的は、データ保護（DP）の標準を高め、最終的に英国市民にとってより良い結果をもたらすために、これらの組織とより効果的に協働することであった。PSAでは、公共部門に対する罰金の影響を軽減するためにコミッショナーの裁量を活用し、教訓の公表やグッドプラクティスの共有などのエンゲージメントを強化してきた。2024年6月、2年間の試行は終了し、ICOは試行から得られた教訓を検討した上で、今後の公共部門の規制手法を決定すると発表した^[3]。
1.2. Review of the trial approach	1.2. 試行アプローチのレビュー
To assist in understanding both the impact and learning from the trial period, a monitoring and review plan was established in conjunction with the launch and implementation of the trial. The plan was underpinned by a theory of change approach and HM Treasury principles (as set out in the Green^[4] and Magenta^[5] Books) and in line with the ICO’s Ex-Post Impact Framework.^[6]	試行期間からの影響と学習の両方を理解するために、試行の開始と実施に合わせてモニタリングとレビューの計画が策定された。この計画は、変化理論アプローチとHM Treasuryの原則（グリーンブック^[4]およびマゼンタブック^[5]に記載されている）に支えられ、ICOの事後影響フレームワーク^[6]に沿ったものである。
The overall purpose of the review is to gain insight into the outcomes and impacts of the trial and assess both the trial itself and the process through which it was delivered. The overall approach to the review has been theory based and employed mixed methods (see Section 2.1 for details of these methods). There were several challenges to measuring the impact of the PSA (see Section 2.2), which should be kept in mind when considering the evidence and findings presented.	レビューの全体的な目的は、トライアルの結果と影響を洞察し、トライアル自体とそれが実施されたプロセスの両方を評価することである。レビューの全体的なアプローチは理論に基づいており、混合法を採用している（これらの方法の詳細についてはセクション2.1を参照）。PSAの影響を測定するにはいくつかの課題があり（セクション2.2参照）、提示されたエビデンスと所見を検討する際には、この点に留意する必要がある。
Key aspects of the monitoring and review plan included:	モニタリング・レビュー計画の主な内容は以下のとおりである：
• A series of quarterly monitoring reports which set out the emerging evidence and sought to identify trends and points of note from a range of evidence activities.	- 四半期ごとのモニタリング報告書を作成し、新たなエビデンスを示すとともに、さまざまなエビデンス活動から傾向や留意点を明らかにした。
• This post-implementation review report, which brings together and analyses all of the (quantitative and qualitative) evidence streams with reference to the theory of change for the PSA, and presents key insights on impact and thematic learning from implementation of the trial period.	- この実施後レビュー報告書は、PSAの変化理論に基づき、すべての（量的・質的）エビデンスの流れをまとめ、分析したもので、試行期間の実施から得られた影響とテーマ別の学習に関する重要な洞察を示している。
The review has been undertaken by the ICO’s Economic Analysis directorate. Whilst it’s recognised that this is an internally delivered review, the team were not directly involved in the development or implementation of the trial itself, which helps provide objectivity.	このレビューはICOの経済分析部門が担当した。これは社内で実施されたレビューであるが、チームはトライアル自体の開発や実施に直接関与していないため、客観性を確保するのに役立っている。
1.3. Purpose and structure of this report	1.3. 本報告書の目的と構成
The purpose of this report is to present robust evidence on impact and learning from the trial to inform the ICO’s future decisions on regulating public organisations. It is structured as follows:	本報告書の目的は、公的組織の規制に関するICOの将来の決定に情報を提供するため、試験からの影響と学習に関する確固たる証拠を提示することである。本報告書の構成は以下の通りである：
• Chapter 2 sets out the methodology and sources of evidence for the review;	- 第2章では、レビューの方法論とエビデンスの情報源について述べている；
• Chapter 3 provides the theoretical and policy context, including international benchmarking;	- 第3章では、国際的なベンチマークを含む、理論的・政策的背景をプロバイダが説明する；
• Chapter 4 explains the process learnings we have found;	- 第4章では、我々が発見したプロセス学習について説明している；
• Chapter 5 describes upstream engagement activities and outcomes;	- 第5章では、上流のエンゲージメント活動とその成果について述べている；
• Chapter 6 describes downstream regulatory activities and outcomes;	- 第6章では、下流の規制活動とその成果について述べている；
• Chapter 7 explores the aggregate level impacts of the PSA; and	- 第7章では、PSAの総体レベルでの影響を探る。
• Chapter 8 provides the conclusion and learning points for consideration.	- 第8章は、結論と考察のための学習ポイントを提供する。
The report is supported by a series of annexes in a separate document:	本報告書は、別冊の一連の附属書によってサポートされている：
• A: review approach and methodology;	- A：レビューのアプローチと方法論
• B: public sector complaints and data breach report trends;	- B：公共部門の苦情およびデータ侵害報告書の傾向；
• C: evidence from international DPAs;	- C: 国際的なDPAのエビデンス、
• D: central government DPO survey; and	- D: 中央政府のDPO調査、E: ケーススタディ。
• E: case studies.	- E：ケーススタディ
A note on terminology	用語に関する注記
Throughout this report we use the term Public Sector Approach, or PSA, to refer to the ICO’s approach to data protection regulation for public organisations over the trial period June 2022 to June 2024.	本報告書では、2022 年 6 月から 2024 年 6 月までの試行期間中、公的組織に対するデータ保護規制に対する ICO のアプローチを指すために、PSA（Public Sector Approach）という用語を使用する。
Every effort has been made to ensure that the information contained in this report is correct at the time of writing.	本報告書に含まれる情報が執筆時点で正しいことを確認するためにあらゆる努力を払った。

^[1] ICO (2022) Open letter from UK Information Commissioner John Edwards to public authorities. Available at: https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/06/open-letterfrom-uk-information-commissioner-john-edwards-to-public-authorities/ [Accessed: 18 September 2024].

[2] ICO (2022) ICO sets out revised approach to public sector enforcement. Available at:
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/06/ico-sets-out-revisedapproach-to-public-sector-enforcement/ [Accessed: 18 September 2024].

^[3] ICO (2024) ICO statement on its public sector approach trial. Available at: https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/06/ico-statement-on-itspublic-sector-approach-trial/ [Accessed: 18 September 2024].

^[4] HM Treasury (2022) The Green Book. Available at: https://www.gov.uk/government/publications/the-green-book-appraisal-and-evaluation-in-centralgovernment/the-green-book-2020 [Accessed: 18 September 2024].

^[5] HM Treasury (2020) The Magenta Book. Available at: https://www.gov.uk/government/publications/the-magenta-book [Accessed: 18 September 2024].

^[6] ICO (2024) The ICO’s Ex-Post Impact Framework. Available at: https://ico.org.uk/about-theico/our-information/measuring-our-impact/ [Accessed: 18 September 2024].

8. Review conclusion and learnings	8. 結論と学びの振り返り
8.1. Conclusion	8.1. 結論
Trial outcome isn't a straightforward success or failure, instead, it involves multiple layers	トライアルの結果は単純な成功や失敗ではなく、何層にも重なっている。
The evidence presented in this review shows that the PSA was an ambitious and challenging trial to deliver over two years and with a limited lead-in time. The focus of this review was on the impact and learnings from the trial and these are multi-faceted. The trial's outcome isn't a straightforward success or failure. Instead, it involves multiple layers: notable achievements, areas with more to do, unexpected challenges, and unintended consequences.	このレビューで提示された証拠から、PSAは2年間という限られたリードタイムの中で実施された野心的で困難なトライアルであったことがわかる。このレビューの焦点は、試験から得られた影響と学習であり、これらは多面的なものである。トライアルの結果は、単純な成功でも失敗でもない。それどころか、注目すべき成果、もっとやるべきことがある分野、予期せぬ課題、意図しない結果など、多面的な要素を含んでいる。
When the Commissioner announced the trial via an open letter in June 2022, it sent a clear message that the ICO is a modern and forward-thinking regulator, unafraid to innovate transparently. It is easy to stick with the status quo, while investigating and acting on new approaches shows a commitment to pragmatic, proportionate and effective regulation focused on making a difference. Changes of this nature will always be open to criticism, and the review shows that some aspects of these were valid.	2022年6月にICO長官が公開書簡を通じてこのトライアルを発表したとき、ICOは透明性のある革新を恐れない、現代的で先進的な規制当局であるという明確なメッセージを送った。現状に固執するのは簡単だが、新しいアプローチを調査し、行動することは、変化をもたらすことに焦点を当てた、現実的で、比例した、効果的な規制へのコミットメントを示す。このような性質の変更には常に批判がつきまとうが、今回のレビューでは、これらの批判が妥当性を確認できた面もあった。
The two primary strands of the PSA - raising data protection standards with an enhanced use of influencing and educating regulatory activities (upstream) and enforcing the law using a wider range of regulatory tools and powers (downstream) – have had varied outcomes in different contexts.	PSAの2つの主要な柱である、影響力を行使し教育する規制活動を強化してデータ保護の標準を高めること（上流）と、より広範な規制手段と権限を用いて法を執行すること（下流）は、それぞれの状況において様々な結果をもたらした。
Upstream activities have driven change, though this was limited to central government	上流の活動は変化をもたらしたが、これは中央政府に限られたものであった。
The upstream activities in a central government context, primarily facilitated by the COO network engagement and the publication of reprimands, have driven real change in terms of enhancing data protection standards. However, beyond central government in the wider public sector the impact has been more limited. This should not be surprising given the focus of upstream activities on central government, but it has likely led to some unintended effects in the wider public sector, which are explored more below.	中央政府における上流の活動は、主にCOOネットワークの関与と防御の公表によって促進され、データ保護基準の強化という点で実質的な変化をもたらした。しかし、中央政府を越えて、より広範な公共部門への影響は限定的であった。上流の活動の焦点が中央政府に当てられていることを考えれば、これは驚くべきことではないが、より広範な公共部門において、意図しない効果をもたらしている可能性が高い。
Given the nature of a trial period involves testing a concept, it was reasonable to concentrate on central government until the trial’s outcomes were clear. However, to better manage expectations, the differing approaches to central government and the wider public sector could have been more clearly communicated at the outset. Although all public sector organisations had access to the published reprimands, awareness was lower in the wider public sector, and challenges regarding access and ease of use were also noted.	試行期間の性質上、コンセプトのテストが必要であり、試行の成果が明らかになるまでは中央政府に集中することは合理的であった。しかし、より良い期待管理をするためには、中央政府とより広い公共部門に対するアプローチの違いを、当初にもっと明確にコミュニケーションすることができたはずである。すべての公共部門が公表された譴責処分にアクセスできたが、より広範な公共部門では認知度が低く、アクセスや使いやすさに関する課題も指摘された。
Reduced impact of fines coupled with a notable increase in reprimands, but more to do	譴責処分の顕著な増加と相まって、罰金の影響は減少したが、さらにやるべきことがある。
There has been a shift over the trial period that has seen the ICO enforcing the law using a wider range of regulatory tools and powers. This has involved greater use of the Commissioner’s discretion to reduce the impact of fines on the public, resulting in a total of £1.2 million in fines instead of a possible estimate of £23.2 million absent the PSA. In practice, this has led to a notable increase in reprimands but a more limited use of other powers, such as enforcement notices, than initially suggested. This indicates that there is still work to be done in fully utilising the spectrum of regulatory powers and tools.	試行期間中に、ICOがより広範な規制手段と権限を用いて法律を執行するという変化があった。これには、一般市民への罰金の影響を軽減するために、コミッショナーの裁量をより大きく活用することが含まれ、その結果、罰金の総額は、PSAがなければ2320万ポンドと見積もられるところ、120万ポンドとなった。実際には、譴責処分は顕著に増加したが、執行通告など他の権限の使用は当初の想定よりも制限された。このことは、規制当局の権限や手段を十分に活用するにはまだ課題があることを示している。
This strand of the PSA encountered implementation challenges that have likely contributed to this need for more development. These challenges included:	PSAのこの分野では、実施上の課題があり、これがさらなる発展の必要性につながったと思われる。以下のような課題があった：
• misinterpretation of the PSA messaging leading to the misconception that it was solely about not fining public organisations;	・PSAのメッセージが誤解され、公的機関に罰金を科さないことだけが目的だと誤解された；
• slower-than-anticipated adaptation of internal processes and establishment of engagement to support the new approach; and	・新しいアプローチをサポートするための内部プロセスの適応とエンゲージメントの確立が予想以上に遅れた。
• an extended time period before it was possible to illustrate the ‘egregious’ threshold with an example.	・「ひどい」基準値を例で説明できるようになるまでに時間がかかった。
Effect on the status of data protection varied with some unintended consequences	データ保護の状況に対する効果は様々で、意図しない結果もあった。
Overall, the PSA has been impactful. As already highlighted, it has driven changes that have increased data protection standards, albeit across a smaller population than anticipated. There is clear evidence of how upstream and downstream regulatory activities can work together to drive change and the ICO has experienced positive reputational impacts. The PSA’s effect on the status of data protection varied, likely due to the central government focus of the targeted upstream activities. An unintended consequence in the wider public sector was concerns about the erosion of influence among data protection professionals. This stemmed from a perceived low threat of ICO enforcement and fears of possible de-prioritisation of data protection issues in some instances.	全体として、PSAはインパクトのあるものであった。すでに強調したように、予想より少ない母集団ではあるが、データ保護標準を向上させる変化を促した。上流と下流の規制活動がどのように連携して変化を促し、ICOが評判に好影響を与えたかは明らかである。データ保護の状況に対するPSAの効果は様々であったが、これはおそらく、対象となった上流の活動が中央政府を中心としたものであったためであろう。より広範な公共部門における予期せぬ結果は、データ保護の専門家の影響力の低下に対する懸念であった。これは、ICOによる取締りの脅威が低いと認識されたことや、データ保護問題の優先順位が低下する可能性があると懸念されたことに起因する。
Need for accountability to deliver improvements on all sides	各方面に改善をもたらす説明責任の必要性
At the beginning of the trial, the Commissioner noted the need for accountability to deliver improvements on all sides. The ICO demonstrated this accountability by establishing a monitoring and review programme to accompany the trial. The PSA was intended ‘not to be a one-way street’, expecting greater involvement from the public sector, including senior leaders, with investment of time, money and resources in ‘ensuring data protection practices remain fit for the future’. While engagement within central government has notably increased, clear evidence of financial and resource investment is less apparent. This reciprocal expectation is less applicable in the wider public sector due to the lack of targeted engagement.	裁判の冒頭で、委員はあらゆる面で改善を実現するための説明責任の必要性を指摘した。ICOは、試行に伴うモニタリングとレビューのプログラムを確立することで、この説明責任を示した。防御策は「一方通行ではない」ことを意図しており、「データ保護の慣行が将来に適合し続ける」ための時間、資金、リソースの投資とともに、シニアリーダーを含む公共部門からのより大きな関与を期待していた。中央政府内の関与は顕著に増加しているが、財政的・資源的投資の明確な証拠はあまり見られない。このような相互的な期待は、対象を絞った関与が欠如しているため、より広範な公共セクターではあまり当てはまらない。
8.2. Learning points for consideration	8.2. 考慮すべき学習ポイント
The learning highlighted here summarises themes presented throughout this review report. This includes some of the suggestions that were captured via the primary research to help to improve the future effectiveness and efficiency of the regulation of public sector organisations and wider learnings for the ICO.	ここで強調された学習は、このレビュー報告書を通して提示されたテーマを要約したものである。これには、公共部門組織に対する規制の将来的な有効性と効率性の改善に役立つ一次調査を通じて得られた提案や、ICO に対するより広範な学習が含まれる。
Table 7: PSA learnings for consideration	表 7：PSAの検討課題
Topic / Detail	トピック／詳細
・Scope and parameters of the PSA	PSA の範囲とパラメータ
A need for clarity and clear parameters on the scope of the regulatory approach upstream and downstream. The review also received feedback around amending the scope of the approach to focus on areas that present the highest risk and where the ICO can have the biggest impact.	上流および下流における規制アプローチの範囲について、明確かつ明確なパラメータが必要である。また、レビューでは、最もリスクが高く、ICOが最も大きな影響を与えることができる分野に焦点を当てるよう、アプローチの範囲を修正することに関する意見も寄せられた。
・Utilising the full spectrum of regulatory tools and leveraging greater public sector accountability	あらゆる規制手段を活用し、公共部門の説明責任を強化する
Ensure mechanisms are in place to enhance the use of the full spectrum of regulatory tools and powers, where this is appropriate. This includes the potential for greater use of enforcement notices and warnings.	適切な場合には、あらゆる規制手段や権限の利用を強化するための仕組みを確保する。これには、強制通告や警告をより活用する可能性も含まれる。
Suggestions were received from stakeholders about exploring alternate accountability mechanisms for the public sector which the ICO could investigate further.	関係者からは、ICO がさらに調査することができる公共部門の代替的な説明責任メカニズムを探求することについて提案があった。
・A more tailored regulatory approach	よりカスタマイズされた規制アプローチ
The trial was viewed as a one-size-fits-all approach by some and it was felt that greater consideration could be given to the impact of regulatory activities on different organisations, the nature of their role and impacts of enforcement.	今回の試みは、一部の関係者からは画一的なアプローチと受け止められ、異なる組織に対する規制活動の影響、その役割の性質、エンフォースメントの影響について、もっと考慮されるべきだと感じられた。
However, this does need to be balanced against the need for effective enforcement.	しかし、これは効果的な執行の必要性とのバランスをとる必要がある。
Recognising the pressures on public sector resources was also a common theme. The need for the ICO to better understand that public sector organisations are trying to do the best they can with limited resources was highlighted. To respond to this, it was suggested that the ICO could offer more guidance and support to help bodies with limited resources avoid breaches.	公共部門のリソースに対するプレッシャーを認識することも共通のテーマであった。ICOは、公共部門の組織が限られた資源で最善を尽くそうとしていることをよりよく理解する必要性が強調された。これに対応するため、ICOは、リソースが限られた団体が違反を回避できるよう、より多くのガイダンスやサポートを提供できるのではないかという意見が出された。
・External communication of the PSA and its supporting tools	PSAとその支援ツールの外部コミュニケーション
To enhance clarity it was suggested having a central resource on the ICO’s website about the approach, including its supporting tools. Also holding more information sessions about the approach to increase awareness and mitigate some misconceptions.	明確性を高めるため、ICOのウェブサイトに、支援ツールを含むアプローチに関する中心的なリソースを設けることが提案された。また、認知度を高め、誤解を緩和するために、アプローチに関する説明会をより多く開催することも提案された。
A more tailored approach to communication with wider public sector organisations to allow better understanding of the nuances of public sector processing (as the approach applied is often generic across the public sector) and providing more direct assistance to public sector organisations.	適用されるアプローチが公共部門全体で一般的であることが多いため）公共部門処理のニュアンスをよりよく理解し、公共部門組織により直接的な支援を提供できるよう、より幅広い公共部門組織とのコミュニケーションに合わせたアプローチをとる。
Improving access, searchability and retention on the ICO website of published cases and reprimands. It was also suggested that there could be improvements to the ways in which reprimands, cases and decision notices are shared, including accessibility considerations.	公表された事例や譴責に関するICOウェブサイトへのアクセス、検索性、保存性を改善する。また、アクセシビリティへの配慮を含め、譴責、事例、決定通知の共有方法の改善も提案された。
・Enhanced internal processes to support implementation and insight generation	実施と洞察の創出を支援するための内部プロセスの強化
A lack of guidance on the practical application of the PSA and definitions of key terminology was cited by ICO staff as a key challenge in the implementation of the PSA.	PSAの実施における主な課題として、ICOスタッフはPSAの実務的な適用に関するガイダンスや主要な用語の定義が不足していることを挙げた。
Internal consultees highlighted a need for enhanced processes to assist in streamlining the approach:	社内コンセンサスは、アプローチの合理化を支援するためのプロセス強化の必要性を強調した：
• procedural steps for implementation and clarification on how the PSA fits into the ICO’s fining guidance;	・実施のための手続き手順と、PSAがICOの罰金ガイダンスにどのように適合するかの明確化；
• the level of detail, length and processes for publication of reprimands to increase consistency and certainty; and	・一貫性と確実性を高めるための譴責処分の詳細度,長さ,公表プロセス
• key terminology (eg clear definitions of ‘egregious’ and of the types of organisations considered in scope).	・重要な用語（例えば、「悪質な」の明確な定義や、適用範囲とされる組織の種類）。
Further enhancements to the categorisation of internal data to allow more efficient generation of insights linked to public sector organisations.	内部データの分類をさらに強化し、公共部門組織に関連する洞察をより効率的に生成できるようにする。
・Research to understand public sector organisation perspectives and monitoring	公的機関の視点と監視を理解するための研究
Beyond the research set up to support the monitoring and review activity of the trial, there is a need to continue research with public sector organisations. This is at both a central government and wider public sector level, to allow effective targeting of interventions and to monitor change and impact. It should be explored how this could link to the ICO’s Data controller study.	本試験のモニタリングとレビュー活動を支援するために実施される調査以外にも、公共部門組織を対象とした調査を継続する必要がある。これは中央政府レベルでも、より広範な公共部門レベルでも、効果的な介入策のターゲティングを可能にし、変化と影響をモニターするためである。ICOのデータ管理者調査との関連性を検討する必要がある。
Source: ICO analysis.	出典 ICOの分析。

2024.12.10 05:54 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2024.12.09

欧州 ENISA 欧州連合におけるサイバーセキュリティの状況に関する報告書（2024）(2024.12.03)

こんにちは、丸山満彦です。

ENISAがNIS2指令第18条に基づく欧州連合（EU）におけるサイバーセキュリティの状況に関する初めての報告書を公表していますね...規制に基づくものなので、これから毎年公表されるということなのでしょうね...

● ENISA

・2024.12.03 2024 Report on the State of the Cybersecurity in the Union

2024 Report on the State of the Cybersecurity in the Union	2024 欧州連合におけるサイバーセキュリティの状況に関する報告書
This document marks the first report on the state of cybersecurity in the Union, adopted by ENISA in cooperation with the NIS Cooperation Group and the European Commission, in accordance with Article 18 of the Directive (EU) 2022/2555 (hereinafter NIS2).	本書は、指令（EU）2022/2555（以下、NIS2）の第18条に基づき、ENISAがNIS協力グループおよび欧州委員会と協力して採択した、EUにおけるサイバーセキュリティの状況に関する初の報告書である。
The report aims at providing policy makers at EU level with an evidence-based overview of the state of play of the cybersecurity landscape and capabilities at the EU, national and societal levels, as well as with policy recommendations to address identified shortcomings and increase the level of cybersecurity across the Union.	この報告書の目的は、EUレベルの政策立案者に対し、EU、国、社会レベルでのサイバーセキュリティの現状と能力に関する証拠に基づく概観を提供するとともに、明らかになった欠点に対処し、EU全体のサイバーセキュリティのレベルを向上させるための政策提言を提供することである。

・[PDF]

目次...

TABLE OF CONTENTS	目次
INTRODUCTION	序文
1. CYBERSECURITY LANDSCAPE IN THE UNION	1. 連合におけるサイバーセキュリティの状況
1.1 LEGISLATIVE CONTEXT	1.1 法的背景
1.2 UNION-LEVEL RISK ASSESSMENT	1.2 EUレベルのリスクアセスメント
1.3 EU CYBERTHREAT LANDSCAPE	1.3 EUのサイバー脅威の状況
2. CYBERSECURITY CAPABILITIES AT THE UNION LEVEL	2. 連合レベルのサイバーセキュリティ能力
2.1 HIGH-LEVEL FINDINGS	2.1 ハイレベルの調査結果
2.2 NATIONAL CAPABILITIES: ALIGNMENT OF NATIONAL CYBERSECURITY STRATEGIES	2.2 各国の能力国家サイバーセキュリティ戦略の整合性
2.3 PRIVATE SECTOR CAPABILITIES: CYBERSECURITY CAPABILITIES OF CRITICAL SECTORS	2.3 民間部門の能力重要セクターのサイバーセキュリティ能力
2.4 SOCIETAL CAPABILITIES: CYBERSECURITY AWARENESS AND CYBER-HYGIENE OF EU CITIZENS	2.4 社会の能力欧州市民のサイバーセキュリティ意識とサイバー衛生
3. INCREASING THE LEVEL OF CYBERSECURITY	3. サイバーセキュリティ水準の向上
3.1 POLICY IMPLEMENTATION	3.1 政策の実施
3.1.1 Implementing a comprehensive and complementary cybersecurity policy framework	3.1.1 包括的かつ補完的なサイバーセキュリティ政策の枠組みの導入
3.1.2 Identification and Supervision	3.1.2 識別と監督
3.1.3 Cybersecurity risk management measures	3.1.3 サイバーセキュリティリスクマネジメント対策
3.1.4 Information sharing and reporting obligations: institutional framework and practice	3.1.4 情報共有と報告義務：制度的枠組みと実践
3.2 CYBER CRISIS MANAGEMENT	3.2 サイバー危機管理
3.2.1 Situational awareness	3.2.1 状況認識
3.2.2 National CSIRTs	3.2.2 国家CSIRT
3.2.3 National capabilities: Cyber-exercises	3.2.3 国家能力サイバー演習
3.3 CYBERSECURITY SKILLS	3.3 サイバーセキュリティスキル
3.4 SUPPLY CHAIN SECURITY	3.4 サプライチェーンのセキュリティ
3.4.1 Vulnerability handling and disclosure	3.4.1 脆弱性の取り扱いと開示
4. LOOKING AHEAD	4. 先を見通す
5. ANNEX	5. 附属書

エグゼクティブサマリー

EXECUTIVE SUMMARY	エグゼクティブサマリー
This document marks the first report on the state of cybersecurity in the Union, adopted by ENISA in cooperation with the NIS Cooperation Group and the European Commission, in accordance with Article 18 of the Directive (EU) 2022/2555 (hereinafter NIS2). The report aims at providing policy makers at EU level with an evidence-based overview of the state of play of the cybersecurity landscape and capabilities at the EU, national and societal levels, as well as with policy recommendations to address identified shortcomings and increase the level of cybersecurity across the Union.	本書は、指令（EU）2022/2555（以下、NIS2）の第18条に基づき、ENISAがNIS協力グループおよび欧州委員会と協力して採択した、EUにおけるサイバーセキュリティの状況に関する初の報告書である。本報告書の目的は、EUレベルの政策立案者に対し、EU、国、社会レベルでのサイバーセキュリティの現状と能力に関するエビデンスに基づく概観を提供するとともに、明らかになった欠点に対処し、EU全体のサイバーセキュリティのレベルを向上させるための政策提言を提供することである。
The drafting of this report precedes the transposition date of NIS2. As a result, some of the data presented here may not fully reflect cybersecurity capabilities following the transposition deadline of 17 October 2024. Still, this report includes several data points unlikely to change in the short- and mid-term and serves as a snapshot of the state of cybersecurity in the Union just before NIS2 is fully implemented by EU Member States (MSs).	本報告書のドラフトは、NIS2の移管日に先立って行われた。そのため、ここに示したデータの一部は、2024年10月17日の移管期限後のサイバーセキュリティ能力を完全に反映していない可能性がある。それでも、本報告書には、短期的・中期的に変化する可能性の低いデータがいくつか含まれており、NIS2がEU加盟国（MS）によって完全に実施される直前の、EUにおけるサイバーセキュリティの状況を示すスナップショットとして役立つ。
The recent past has been characterised by horizontal policy initiatives including but not limited to NIS2, CRA, CSOA and EUDIF that improve the EU cybersecurity policy framework and establish all necessary structures and processes to allow for targeted improvements at the Union level of cybersecurity moving forward. Sectorial policy initiatives (e.g. DORA, NCCS, Aviation) were adopted in parallel to address specific sectorial challenges. At the same time the volatile geopolitical landscape has influenced the goals and tactics employed by state and non-state threat actors, while an assessment of the threat landscape reveals an increase in cybersecurity incidents in the EU with ransomware and DDoS attacks getting the lion’s share among the various types of attack observed.	最近では、NIS2、CRA、CSOA、EUDIFなどの水平的な政策イニシアチブがEUのサイバーセキュリティ政策の枠組みを改善し、サイバーセキュリティのEUレベルでの改善を可能にするために必要なすべての構造とプロセスを確立した。分野別の政策イニシアチブ（DORA、NCCS、航空など）は、特定の分野の課題に対処するために並行して採用された。同時に、不安定な地政学的情勢は、国家や非国家の脅威行為者が採用する目標や戦術に影響を及ぼしている。一方、脅威の状況をアセスメントした結果、EUにおけるサイバーセキュリティインシデントの増加が明らかになり、観測されたさまざまなタイプの攻撃の中で、ランサムウェアとDDoS攻撃が大きなシェアを占めている。
This report concludes that the maturity of the EU cybersecurity policy framework has reached a considerable level and that the following period could place emphasis on supporting private and public sector entities with the implementation of the legislation by EU MSs, with the support of the European Commission and ENISA. The plethora of mechanisms, processes and platforms for collaboration established within this framework, such as the NIS Cooperation Group, EU-CyCLONe and the CSIRTs Network to name but a few, provide a solid basis and a comprehensive toolbox to address the shortcomings identified in key policy areas, namely Policy Implementation, Cyber Crisis Management Skills and Supply Chains.	本報告書では、EUのサイバーセキュリティ政策の枠組みの成熟度はかなりのレベルに達しており、次の期間は、欧州委員会とENISAの支援を受けながら、EU加盟国による法律の実施と、民間および公共部門の事業体を支援することに重点を置くことができると結論づけている。NIS協力グループ、EU-CyCLONe、CSIRTsネットワークなど、この枠組みの中で確立された多くのメカニズム、プロセス、協力のためのプラットフォームは、主要な政策分野、すなわち、政策の実施、サイバー危機管理スキル、サプライチェーンにおいて特定された欠点に対処するための強固な基礎と包括的なツールボックスを提供している。
Specifically, this report recommends:	具体的には、本報告書は以下を提言する：
Strengthening the technical and financial support given to EUIBAs and national competent authorities and to entities falling within the scope of the NIS2 Directive to ensure a harmonised, comprehensive, timely and coherent implementation of the evolving EU cybersecurity policy framework using already existing structures at EU level such as the NIS Cooperation Group, CSIRTs Network and EU Agencies.	NIS協力グループ、CSIRTsネットワーク、EU機関など、EUレベルですでに存在する組織を活用し、EUIBAs、各国所轄官庁、NIS2指令の適用範囲に含まれる事業体に対し、調和のとれた、包括的でタイムリーかつ首尾一貫した、発展途上のEUサイバーセキュリティ政策枠組みの実施を確保するための技術的・財政的支援を強化する。
As called upon by the Council, revising the EU Blueprint for coordinated response to large-scale cyber incidents, while taking into account all the latest EU cybersecurity policy developments. The revised EU Blueprint should further promote EU cybersecurity harmonisation and optimisation, as well as strengthen both national and EU cybersecurity capabilities for levelled up cybersecurity resilience at national and European level.	EU理事会が要請したように、大規模サイバーセキュリティインシデントへの協調的対応のためのEUブループリントを、最新のEUサイバーセキュリティ政策の進展をすべて考慮しながら改訂する。改訂されたEUブループリントは、EUのサイバーセキュリティの調和と最適化をさらに推進するとともに、国内および欧州レベルでのサイバーセキュリティのレジリエンスをレベルアップするために、国内およびEUのサイバーセキュリティ能力を強化すべきである。
Strengthening the EU cyber workforce by implementing the Cybersecurity Skills Academy and in particular by establishing a common EU approach to cybersecurity training, identifying future skills needs, developing a coordinated EU approach to stakeholders’ involvement to address the skills gap and setting up a European attestation scheme for cybersecurity skills.	サイバーセキュリティ技能アカデミーを実施し、特に、サイバーセキュリティ訓練に対するEU共通のアプローチを確立し、将来の技能ニーズを特定し、技能格差に対処するための利害関係者の関与に対するEUの協調的アプローチを開発し、サイバーセキュリティ技能に関する欧州の認証制度を設けることにより、EUのサイバー労働力を強化する。
Addressing supply chain security in the EU by stepping up EU wide coordinated risk assessments and the development of an EU horizontal policy framework for supply chain security aimed at addressing the cybersecurity challenges faced both by the public and the private sectors.	EU全体で協調したリスクアセスメントを強化し、公共部門と民間部門の両方が直面するサイバーセキュリティの課題に対処することを目的とした、サプライチェーンセキュリティに関するEUの水平的政策枠組みを構築することにより、EUにおけるサプライチェーンセキュリティに対処する。
Enhancing the understanding of sectorial specificities and needs, improving the level of cybersecurity maturity of sectors covered by the NIS2 Directive and using the future Cybersecurity Emergency Mechanism to be established under the CSOA for sectorial preparedness and resilience with a focus on weak or sensitive sectors and risks identified through EU-wide risk assessments.	セクターの特殊性とニーズの理解を改善し、NIS2指令の対象となるセクターのサイバーセキュリティ成熟度を向上させ、CSOAの下で設立される予定のサイバーセキュリティ緊急メカニズムを、EU全体のリスク評価を通じて特定された脆弱なセクターやセンシティブなセクター、リスクに焦点を当てて、セクターごとの準備とレジリエンスのために活用する。
Promote a unified approach by building on existing policy initiatives and by harmonising national efforts to achieve a common high-level of cybersecurity awareness and cyber hygiene among professionals and citizens, irrespective of demographic characteristics.	既存の政策イニシアチブを基礎とし、人口統計学的特徴に関係なく、専門家や市民の間で共通の高いレベルのサイバーセキュリティ意識とサイバー衛生を達成するための各国の取り組みを調和させることにより、統一的なアプローチを推進する。

要約版...

・[PDF] CONDENSED VERSION

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.25 欧州 ENISA NIS投資報告書 2024

・2023.11.18 ENISA EUにおけるサイバーセキュリティ投資 2023

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17

・2024.09.26 ENISA 脅威状況2024

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

・2024.03.18 ENISA テレコム・セキュリティ・インシデント 2022

・2023.12.09 ENISA トラストサービス・セキュリティインシデント 2022年 (2023.11.30)

・2023.09.20 ENISA 2030の脅威の展望 (2023.09.13)

・2023.09.04 ENISA 海底ケーブルのセキュリティ上の課題

・2023.07.10 ENISA 健康分野のサイバーセキュリティ状況 (2023.07.05)

2024.12.09 06:47 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 安全保障 | Permalink | Comments (0)
Tweet

米国 CISA 継続的診断と緩和（CDM）プログラムアーキテクチャ CDMデータモデル文書 Ver. 5 （公開版） (2024.12.04)

こんにちは、丸山満彦です。

CISAが継続的診断と緩和（CDM）プログラムアーキテクチャ CDMデータモデル文書 Ver. 5 （公開版）を公表していました...

今回公開されているバージョンの変更履歴をみえていると2016年から取り組んでいますよね...米国連邦政府で8年間...

CDMって日本のデジタル庁で今どれくらい取り組んでいるのでしょうかね...

● CISA

・2024.12.04 CDM Data Model Document 5.0.1

・[PDF] Continuous Diagnostics and Mitigation (CDM) Program Architecture CDM Data Model Document

目次...

1 INTRODUCTION	1 序文
1.1 Purpose	1.1 目的
1.2 Scope	1.2 範囲
1.3 Audience	1.3 対象者
1.4 Context for the Model Derivation Process	1.4 モデル導出プロセスの文脈
2 CDM GUIDANCE IN INTERPRETING THE DATA MODEL	2 データモデルの解釈におけるCDMガイダンス
2.1 CDM Datasets	2.1 CDMデータセット
2.2 Relational Structure and Implications	2.2 関係構造とその意味合い
2.3 Specialization/Generalization	2.3 特殊化／一般化
2.4 Multivalued Attributes	2.4 多値属性
2.5 Master Device Record: Unique Identification of Hardware Devices	2.5 マスター・デバイス・レコード：ハードウェア・デバイスの一意な識別
2.6 Creating a Software Inventory: Unique Identification of Software	2.6 ソフトウェアインベントリの作成：ソフトウェアの一意識別
2.7 Managed Applications: Risk Accountability Based on HWAM and SWAM Datasets	2.7 管理されたアプリケーション HWAMおよびSWAMデータセットに基づくリスク説明責任
2.8 Master User Record: Unique Identification of People	2.8 マスターユーザーレコード：人の一意な識別
2.9 Creating the Master Incident Record: Tying Incidents, Related Events, Actors, and Activities Together	2.9 マスターインシデントレコードを作成する：インシデント、関連イベント、アクター、アクティビティを結びつける
2.10 Organizational Unit Containers (Organizational Unit Boundaries)	2.10 組織単位のコンテナ（組織単位の境界）
2.11 FISMA System Containers (System Boundaries)	2.11 FISMAシステムコンテナ（システム境界）
2.12 CVE and CCE Dictionaries	2.12 CVE辞書とCCE辞書
2.13 CyHy “Findings” Datasets	2.13 CyHy「発見」データセット
2.14 Threat Intelligence Within CDM	2.14 CDM内の脅威インテリジェンス
2.15 CDM-Required Data	2.15 CDMが要求するデータ
3 DATA MODEL KEY TERMS	3 データモデルのキーワード
4 DATA DICTIONARY FOR THE LOGICAL DATA MODEL	4 論理データモデルのデータ辞書
APPENDIX A: REFERENCES	附属書A：参考文献
APPENDIX B: THREAT ACTION VALUES	附属書B：脅威アクション値
APPENDIX C: RELEASE NOTES FOR THIS VERSION	附属書C：本バージョンのリリースノート

序文...

INTRODUCTION	序文
Purpose	目的
The Cybersecurity and Infrastructure Security Agency (CISA) Continuous Diagnostics and Mitigation (CDM) program operates on the premise of a common architecture that relies on capabilities provided by commercialoff-the-shelf (COTS) tools and sensors. In keeping with that approach, the CDM program has identified a need to overlay similar data requirements on the solution to ensure that common program objectives are met and to provide proper clarity to integration needs. This document outlines fundamental data elements that the program expects each CDM solution deployed at agencies to incorporate.	サイバーセキュリティ・インフラセキュリティ庁（CISA）の継続的診断・緩和（CDM）プログラムは、市販（COTS）ツールやセンサが提供する機能に依存する共通アーキテクチャを前提に運用されている。このアプローチに従って、CDM プログラムは、共通のプログラム目標が満たされることを保証し、統合ニーズを適切に明確にするために、同様のデータ要件をソリューションに重ねる必要性を特定した。この文書は、プログラムが各機関に展開されるCDMソリューションが取り入れることを期待する基本的なデータ要素の概要を示している。
It identifies the minimum set of data requirements needed to leverage the CDM solution to accomplish the program’s objectives: to reduce agency threat surface, increase visibility into the federal cybersecurity posture, improve federal cybersecurity response capabilities, and streamline Federal Information Security Modernization Act (FISMA) reporting.	CDM ソリューションを活用して、省庁の脅威サーフェスを削減し、連邦政府のサイバーセキュリティ態勢を可視化し、連邦政府のサイバーセキュリティ対応能力を向上させ、連邦情報セキュリティ近代化法（FISMA）報告を合理化するというプログラムの目的を達成するために必要な、データ要件の最小セットを特定している。
Additionally, this document delivers guidance regarding the data that CDM solutions at agencies must collect, with an explicit understanding that the system will be required to produce datasets from specific interrogations of the CDM data. It is expected that agencies and CDM integrators will enrich these datasets with other relevant Information Security Continuous Monitoring (ISCM) data that fulfill their agency-specific needs.	さらに、この文書は、CDM データに対する特定の質問からデータセットを生成することがシステムに要求されることを明確に理解した上で、各省庁の CDM ソリューションが収集しなければならないデータに関するガイダンスを提供する。各機関とCDMインテグレーターは、これらのデータセットを、各機関固有のニーズを満たす他の関連する情報セキュリティの継続的なモニタリング（ISCM）データで充実させることが期待される。
CDM integrators should use this document to drive development and refinement of the implementation of the holistic solution, incorporating these data requirements into the operational rhythm of security tools and sensors. This will provide data to facilitate the execution of the CDM program’s mission objectives.	CDMインテグレーターは、これらのデータ要件をセキュリティツールやセンサーの運用リズムに組み込んで、全体的なソリューションの実装の開発と改良を推進するためにこの文書を使用すべきである。これにより、CDMプログラムのミッション目標の実行を促進するためのデータが提供される。
Scope	適用範囲
The data requirements discussed in this document represent the minimum required dataset to accomplish the critical objectives of CDM, as foreseen by the CDM Program Management Office (PMO), across different solutions, while achieving consistent results. Currently, the scope is focused on data requirements related to the technical capabilities found under “Asset Management” (formerly Phase 1), “Identity & Access Management” (formerly Phase 2), and “Network Security Management” (formerly Phase 3). Detailed operational capabilities are found under the following decomposed tool functionalities:	この文書で議論されるデータ要件は、CDM プログラム管理室（PMO）が予見した CDM の重要な目的を、異なるソリューション間で、一貫した結果を達成しながら達成するために最低限必要なデータセットである。現在、この範囲は、「資産管理」（旧フェーズ1）、「アイデンティティ＆アクセス管理」（旧フェーズ2）、「ネットワークセキュリティ管理」（旧フェーズ3）の技術的能力に関連するデータ要件に焦点を当てている。詳細な運用機能は、以下の分解されたツール機能の下にある：
§ Asset Management (inclusive of mobile devices) (formerly known as Phase1)	§ 資産管理（モバイル・デバイスを含む）（旧Phase1）
o Hardware Asset Management (HWAM)	o ハードウェア資産管理（HWAM）
o Software Asset Management (SWAM)	o ソフトウェア資産管理（SWAM）
▪ Application Execution Control (AEC)	・アプリケーション実行制御（AEC）
o Configuration Settings Management (CSM)	o 構成設定管理（CSM）
o Vulnerability Management (VUL)	o 脆弱性管理（VUL）
▪ Enterprise Mobility Management (EMM) Mobile Threat Defense	・エンタープライズ・モビリティ管理（EMM）モバイル脅威防御
§ Identity & Access Management [formerly known as Phase 2]	§ アイデンティティ＆アクセス管理（旧フェーズ 2］
o Manage Trust in People Granted Access (TRUST)	o アクセスを許可された人の信頼を管理する（TRUST）
o Manage Security Related Behavior (BEHAVE)	o セキュリティ関連の行動を管理する（BEHAVE）
o Manage Credentials and Authentication (CRED)	o クレデンシャルと認証の管理（CRED）
o Manage Account Access (PRIV)	o アカウントアクセスの管理（PRIV）
§ Network Security Management [formerly known as Phase 3]	§ ネットワーク・セキュリティ管理[旧フェーズ 3］
o Manage Events (MNGEVT)	o イベントの管理（MNGEVT）
▪ Incident Response	・インシデント対応
▪ Ongoing Assessment (supporting Asset Management data only)	・継続的アセスメント（資産管理データのサポートのみ）
o Operate, Manage, and Improve (OMI)	o 運用・管理・改善（OMI）
▪ System and Information Integrity (supporting incident response)	・システム及び情報の完全性（インシデント対応をサポートする）
o BOUND-E	o BOUND-E
▪ Certificate Management (non-person entities only)	・証明書管理（非個人事業体のみ）
o BOUND-F to Manage Network Filters and Boundary Controls	o BOUND-F ・ネットワーク・フィルタおよびバウンダリ・コントロールの管理
▪ Network Access Protection	・ネットワーク・アクセス防御
It is anticipated that additional content will be incorporated in subsequent iterations of this artifact as new technical capabilities are added to the CDM program operational baseline.	新たな技術的能力が CDM プログラムの運用ベースラインに追加されるにつれて、この成果物の以降の反復において追加コンテンツが組み込まれることが予想される。
CDM’s conceptual architecture and associated security frameworks, which convey program needs through CDM Technical Capabilities, Volume 1 and Volume 2, are also used to derive necessary data requirements that are reflected in this model. Specifically in scope are the definitions of the logical groupings of key cybersecurity information in the following constructs:	CDM の概念アーキテクチャーと関連するセキュリティの枠組みは、CDM 技術能力第 1 巻と第 2 巻を通じてプログラムのニーズを伝えるものであるが、このモデルに反映される必要なデータ要件を導き出すためにも使用される。具体的には、以下の構成要素における主要なサイバーセキュリティ情報の論理的グループ化の定義が対象となる：
§ Master Device Records (MDRs)	§ マスターデバイスレコード（MDR）
§ Master User Records (MURs)	§ マスター・ユーザ・レコード（MUR）
§ Master Incident Records (MIRs)	§ マスターインシデントレコード（MIR）
§ FISMA and Organizational Unit (OU) Containers	§ FISMA および組織単位（OU）コンテナ
The CDM datasets included are decomposed into entities and attributes within the interrogation specifications section. They provide strong traceability for data requirements laid out for agencies (i.e., “must have” data).	含まれる CDM データセットは、質問仕様セクション内で事業体と属性に分解される。CDMデータセットは、各機関に提示されたデータ要件（すなわち「なくてはならない」データ）に対して、強力なトレーサビリティを提供する。
Another core principle of the program that influences the common schema is the system’s capability of “standardized scoring” through an algorithm that produces a quantitative measurement to facilitate prioritization and enumeration of risk-relevant states across the .gov enterprise. To support this effort, the CDM	共通スキーマに影響を与えるプログラムのもう一つの基本原則は、.govエンタープライズ全体のリスクに関連する状態の優先順位付けと列挙を容易にする定量的な測定値を生成するアルゴリズムによる「標準スコアリング」のシステムの機能である。この取り組みを支援するため、CDM
Data Model includes data requirements for a standardized federal risk score, the Agency-Wide Adaptive Risk Enumeration (AWARE) methodology.^[1] AWARE requires that specific data be collected or calculated to successfully implement the algorithm, and the data model acquiesces to these data requirements.	データ・モデルには、標準化された連邦リスク・スコアであるAWARE（Agency-Wide Adaptive Risk Enumeration）手法のためのデータ要件が含まれている^[1]。AWAREは、アルゴリズムをうまく実装するために特定のデータを収集または計算することを要求しており、データ・モデルはこれらのデータ要件に従う。
Finally, it is important to note that physical schemas and as-built designs are largely out of scope of this document. It is the CDM dashboard developer’s responsibility to develop and align the physical data schema (i.e., CDM “data target”) to the intent of this logical model through the requirements and solution engineering activities within the program.^[2]	最後に、物理的なスキーマと構築時の設計は、この文書の範囲外であることに注意することが重要である。物理的なデータスキーマ（すなわちCDMの「データターゲット」）を開発し、プログラム内の要求とソリューションエンジニアリングの活動を通じてこの論理モデルの意図に合わせることは、CDMダッシュボード開発者の責任である^[2]。
1.3 Audience	1.3 想定読者
This document’s intended audience is assumed to have a working knowledge of the CDM program. The audience primarily includes CISA Cybersecurity Division staff,^[3] CDM participating agencies’ staff, CDM Dynamic and Evolving Federal Network Defense (DEFEND) integrators, and the CDM dashboard provider.	本文書の対象読者は、CDMプログラムについて実務的な知識を持っていることを想定している。主な読者には、CISAサイバーセキュリティ・ディビジョンのスタッフ、^[3]CDM参加機関のスタッフ、CDM動的・進化型連邦ネットワーク防御（DEFEND）インテグレータ、CDMダッシュボード・プロバイダが含まれる。
1.4 Context for the Model Derivation Process	モデル導出プロセスの背景
CDM is:	CDMとは
§ A process within an agency’s ISCM strategy, as originally mandated in the Office of Management and Budget (OMB) Memorandum (M) 14-03^[4] (now superseded by OMB M-19-02^[5]), to strengthen the security posture of the federal civilian networks by enabling operators to continuously search for flaws, collect results, triage and analyze results, fix the worst flaws first, and report progress.	§ 行政管理予算局（OMB）の覚書（M）14-03^[4]（現在は OMB M-19-02^[5] に取って代わられている）で元々義務付けられていたように、オペレータが継続的に欠陥を検索し、結果を収集し、結果をトリアージして分析し、最も悪い欠陥を最初に修正し、進捗を報告することを可能にすることによって、連邦民間ネットワークのセキュリティ体制を強化するための、省庁の ISCM 戦略内のプロセスである。
§ A program that provides continuous monitoring, diagnosis, and mitigation capabilities by centrally coordinating the procurement, installation, operation, and maintenance of diagnostic sensors (tools) and dashboards deployed to participating agencies and a federal-level cyber diagnostic dashboard maintained at the Department of Homeland Security (DHS).	§ 参加省庁に展開される診断センサー（ツール）とダッシュボード、および国土安全保障省（DHS）で維持される連邦レベルのサイバー診断ダッシュボードの調達、設置、運用、保守を一元的に調整することにより、セキュリティの継続的なモニタリング、診断、緩和の機能を提供するプログラム。
§ A system consisting of multiple instantiations of tools and dashboards that work together to enable the CDM process.	§ CDM プロセスを実現するために連携するツールやダッシュボードの複数のインスタンスから構成されるシステムである。
The CDM Data Model is a common schema of data elements and attributes based on recommendations and requirements conveyed in the CDM architecture. This common schema is authoritative in developing the data requirements for the CDM program and represents the to-be state of the data both within (as ingested and stored) and outside of (as queried and reported) Layer C of the CDM architecture (see Figure 1-1). With regard to data queried or reported, a core set of data interrogation actions were captured based on input from various sources that were solicited in developing this artifact, including the CDM Technical Capabilities,^[6] Volume 1 and Volume 2 and the Chief Information Officer (CIO) Federal Information Security Modernization Act (FISMA) Metrics. In the case of the FISMA metrics, this document focused on information that could be specifically tied to CDM asset, identity and access, network security, and data management capabilities (formerly Phase 1, 2, 3, and 4 security capabilities, respectively). Each data interrogation action represents key fundamental mechanisms of the CDM solution, satisfying mission requirements for summary reporting, scoring, and/or defect prioritization.	CDM データモデルは、CDM アーキテクチャで伝達された勧告と要件に基づく、データ要素と属性の共通スキーマである。この共通スキーマは、CDM プログラムのデータ要件を策定する際の代表者であり、CDM アーキテクチャのレイヤ C 内（取り込まれ、保存された状態）とレイヤ C 外（照会され、報告された状態）の両方のデータのあるべき状態を表している（図 1-1 参照）。照会または報告されるデータに関しては、CDM 技術能力^[6]第 1 巻と第 2 巻、および最高情報責任者（CIO）の連邦情報セキュリティ近代化法（FISMA）メトリクスを含む、この成果物を開発する際に募集された様々な情報源からのインプットに基づいて、データ照会アクションの中核となるセットが取り込まれた。FISMA メトリクスの場合、本文書は、CDM 資産、ID とアクセス、ネットワークセキュリティ、およびデータ管理能力（それぞれ旧フェーズ 1、2、3、および 4 のセキュリティ能力）に特に結び付けられる情報に焦点を当てた。各データ調査アクションは、CDM ソリューションの主要な基本メカニズムを表し、概要報告、スコアリング、欠陥の優先順位付けなどのミッション要件を満たす。
The cohesive philosophy of normalizing metrics and key machine information is required to facilitate a standard CDM dashboard platform across all agencies (representing the aforementioned “Layer C “of the architecture as shown below). As one of the central aspects of CDM, the dashboard serves as the primary means by which the CDM Logical Data Model (LDM) can be physically implemented. Through the development and deployment of the CDM agency dashboard, a physical schema (“as-built” by the dashboard developer), which is aligned to the intent and requirements of the LDM, provides the realized vision of a normalized CDM dataset (i.e., common schema).	メトリックスと主要なマシン情報を正規化するという一貫した哲学は、すべての機関にわたって標準的なCDMダッシュボード・プラットフォームを促進するために必要である（以下に示すように、前述のアーキテクチャの「レイヤーC」を代表する）。CDMの中心的な側面の一つとして、ダッシュボードはCDM論理データモデル（LDM）を物理的に実装するための主要な手段として機能する。CDM機関ダッシュボードの開発と展開を通じて、LDMの意図と要件に沿った物理スキーマ（ダッシュボード開発者による「as-built」）が、正規化されたCDMデータセット（すなわち共通スキーマ）の実現ビジョンを提供する。
Leveraging this architecture, the federal dashboard collates the summary information and risk scores produced by the multiple agency dashboards to enable standardized, comprehensive cyber visibility into the entire civilian government enterprise. This CDM dashboard hierarchy represents the operationalization of the data architecture within this artifact. It allows for the common schema to be enumerated and queried at each agency, with the results providing stronger cybersecurity measurements across the agencies.	このアーキテクチャを活用して、連邦政府のダッシュボードは、複数の省庁のダッシュボードによって作成されたサマリー情報とリスクスコアを照合し、民間政府エンタープライズ全体に対する標準化された包括的なサイバー可視化を可能にする。この CDM ダッシュボードの階層構造は、この成果物におけるデータアーキテクチャの運用の代表者である。これによって、共通のスキーマを各機関で列挙してクエリし、その結果によって各機関全体でより強力なサイバーセキュリティ測定を行うことができる。
The CDM Data Model entities and attributes^[7] described in this document were iteratively derived using the following process:	本文書で説明する CDM データモデルの事業体と属性^[7]は、以下のプロセスで繰り返し導出された：
1. Enumerate all relevant data interrogation actions that have traceability to one or more of the key reference materials (see Appendix A).	1. 1 つ以上の鍵材料（附属書 A 参照）にトレーサビリティを持つ、関連するすべてのデータ問い合わせアクションを列挙する。
2. Generate specifications for each data interrogation action identified in a fully defined, common standard format (e.g., SQL^[8]).	2. 完全に定義された共通の標準形式（例えば、SQL^[8]）で、識別された各データ問合せ操作の仕様を生成する。
3. Derive data entities and attributes to meet the interrogation specifications (i.e., a common schema for CDM technical capabilities).	3. 質問仕様（すなわち、CDM技術仕様の共通スキーマ）を満たすデータ事業体と属性を導出する。
4. Develop a data dictionary that clearly describes the required entities and attributes to provide a consistent understanding for the audience.	4. 必要な事業体と属性を明確に記述したデータ辞書を作成し、利用者に一貫した理解を提供する。

^[1] For more information of the AWARE algorithm, refer to Appendix A.	[^1]AWAREアルゴリズムの詳細については、附属書Aを参照のこと。
^[2] For more information on how to use and interpret this document, refer to the guidance within Section 2.	[^2]本書の使用方法および解釈の詳細については、セクション 2 のガイダンスを参照のこと。
^[3] Specifically, this includes CISA Cybersecurity Division staff who support operationalization or oversight of the CDM program.	[^3]具体的には、CDMプログラムの運用化または監視を支援するCISAサイバーセキュリティ部門のスタッフを含む。
^[4] “Enhancing the Security of Federal Information and Information Systems,” M-14-03, November 18, 2013. [PDF]	[^4]「Enhancing the Security of Federal Information and Information Systems,」 M-14-03, November 18, 2013. [PDF]
^[5] “Management Requirements,” M-19-02, October 25, 2018. [PDF] .	^[5]「Management Requirements,」 M-19-02, October 25, 2018. [PDF] .
^[6] These documents describe the requirements for the CDM program that are consistent with the overarching goal of enabling U.S. government entities to assess and improve the security posture of an agency’s information systems. These requirements will be used for the CDM solicitations called Dynamically Evolving Federal Enterprise Network Defense (DEFEND) program as well as the Schedule 70 CDM-SIN Approved Product List (APL).	[^6]これらの文書は、米国政府機関が機関の情報システムのセキュリティ態勢をアセスメントし、改善できるようにするという包括的な目標に合致するCDMプログラムの要件を記述している。これらの要件は、ダイナミックに進化する連邦エンタープライズ・ネットワーク防御(DEFEND)プログラムと呼ばれるCDMの募集、およびSchedule 70 CDM-SIN Approved Product List (APL)に使用される。
^[7] Refer to Section 2 for more information regarding Unified Modeling Language (UML) entity relationship (ER) diagraming, entities, and attributes.	[7] 統一モデリング言語（UML）の実体関係（ER）図、事業体、属性に関する詳細は、セクション2を参照のこと^。
^[8] Structured Query Language (SQL) is a special purpose language for accessing data in databases. In this case, it is a well-known formal language that can be used to specify the interaction of the data interrogation action with the object data within the CDM system.	[^8]構造化クエリー言語（Structured Query Language：SQL）は、データベースのデータにアクセスするための特別な目的の言語である。この場合、CDMシステム内のオブジェクト・データとデータ質問アクションの相互作用を指定するために使用できる、よく知られた形式言語である。

2024.12.09 01:04 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

2024.12.08

CISA サイバーレジリエンスを強化する：米国の重要インフラ部門組織のCISAレッドチームアセスメントからの洞察 (2024.11.21)

こんにちは、丸山満彦です。

CISAが、米国の重要インフラ部門組織に対して、CISAレッドチームが実施したアセスメントからの洞察を公表していますね...

Mitigation（緩和策）の部分に

重要インフラ組織のシステムに財弱性（内部統制の不備といってもよいと思います）があるが、それは、、、

CISAは、安全でないソフトウェアがこれらの欠陥の多くの根本原因であり、エンドユーザーに責任が及ぶべきでないことを認識し、ソフトウェア製造事業者に以下のことを実施するよう促している：

ということで、

ソフトウェア開発ライフサイクル（SDLC）全体を通じて、製品アーキテクチャにセキュリティを組み込む。
デフォルトのパスワードをなくす。ソフトウェアにデフォルトのパスワードをプロバイダしてはならない。デフォルトパスワードをなくすには、インストールと構成の際に、管理者が強力なパスワードを設定するよう要求する [CPG 2.B]。
一つのセキュリティ管理が侵害されても、システム全体が侵害されないように製品を設計する。例えば、危殆化したアカウントの影響を軽減するために、デフォルトでユーザ特権を狭く設定し、ACL を採用する。これにより、悪意のあるサイバー行為者が特権をエスカレートさせ、横展開がより困難になる。
特権ユーザーに対してMFA（理想的にはフィッシングに強いMFA）を義務付け、MFAをオプトインではなくデフォルトの機能にする。
システムをデフォルトでセキュアにすることに重点を置き、ハードニング・ガイドのサイズを小さくする。このシナリオでは、レッドチームは、特権アカウントの列挙を可能にする Windows Server 2012 のデフォルト設定に気づいた。

重要なこと：製造事業者は、ハードニング・ガイドを解釈する時間、専門知識、および認識を持つ輸入事業者に依存するのではなく、製品に組み込まれた日常的なナッジを実装する必要がある。

といっています。。。

事業者で発生しているサイバーインシデントの多くの原因は、しょぼいベンダーのシステムのせいで、ベンダーはまともにシステムつくれや...といっているようにも聞こえます。個人の感想です(^^)

この雰囲気からすると、ベンダーが開発したシステムの脆弱性について、場合によっては厳しく対応をしていくようになるかもしれませんね...

それから、重要インフラのシステムについては、（止められないという問題があるかもしれませんが...）レッドチームアセスメントはデフォルトｄえするという方がよさそうですね...

● CISA

・2024.11.21 Enhancing Cyber Resilience: Insights from CISA Red Team Assessment of a US Critical Infrastructure Sector Organization

Alert Code: AA24-326A

Enhancing Cyber Resilience: Insights from CISA Red Team Assessment of a US Critical Infrastructure Sector Organization	サイバーレジリエンスを強化する：米国の重要インフラ部門組織のCISAレッドチームアセスメントからの洞察
Executive Summary	エグゼクティブサマリー
The Cybersecurity and Infrastructure Security Agency (CISA) conducted a red team assessment (RTA) at the request of a critical infrastructure organization. During RTAs, CISA’s red team simulates real-world malicious cyber operations to assess an organization’s cybersecurity detection and response capabilities. In coordination with the assessed organization, CISA is releasing this Cybersecurity Advisory to detail the red team’s activity—including their tactics, techniques, and procedures (TTPs) and associated network defense activity. Additionally, the advisory contains lessons learned and key findings from the assessment to provide recommendations to network defenders and software manufacturers for improving their organizations’ and customers’ cybersecurity posture.	サイバーセキュリティ・インフラセキュリティ庁（CISA）は、重要インフラ組織の要請を受けてレッドチーム評価（RTA）を実施した。RTAの間、CISAのレッドチームは、組織のサイバーセキュリティ検知・対応能力を評価するために、実際の悪意あるサイバー操作をシミュレートする。アセスメントを受けた組織と連携して、CISA はこのサイバーセキュリティ勧告を発表し、レッドチームの活動（戦術、技術、手順（TTP）、関連するネットワーク防御活動を含む）を詳述する。さらに、本アドバイザリーには、アセスメントから得られた教訓や重要な発見が含まれており、ネットワーク防御者やソフトウェア製造事業者に対し、組織や顧客のサイバーセキュリティ態勢を改善するための推奨事項を提示している。
Within this assessment, the red team (also referred to as ‘the team’) gained initial access through a web shell left from a third party’s previous security assessment. The red team proceeded to move through the demilitarized zone (DMZ) and into the network to fully compromise the organization’s domain and several sensitive business system (SBS) targets. The assessed organization discovered evidence of the red team’s initial activity but failed to act promptly regarding the malicious network traffic through its DMZ or challenge much of the red team’s presence in the organization’s Windows environment.	このアセスメントの中で、レッドチーム（「チーム」とも呼ぶ）は、サードパーティが以前に行ったセキュリティアセスメントから残されたウェブシェルを通じて最初のアクセスを得た。レッドチームは、非武装地帯（DMZ）を通過してネットワークに侵入し、組織のドメインと複数の機密業務システム（SBS）を完全に侵害した。アセスメントを受けた組織は、レッドチームの最初の活動の証拠を発見したが、DMZを通過する悪意のあるネットワーク・トラフィックに関して迅速に行動することができず、組織のWindows環境におけるレッドチームの存在に異議を唱えることもできなかった。
The red team was able to compromise the domain and SBSs of the organization as it lacked sufficient controls to detect and respond to their activities. The red team’s findings illuminate lessons learned for network defenders and software manufacturers about how to respond to and reduce risk.	レッドチームは、彼らの活動を検知し対応するための十分な管理体制を欠いていたため、組織のドメインとSBSを侵害することができた。レッドチームの調査結果は、ネットワーク防御者とソフトウェア製造事業者にとって、リスクへの対応とリスク軽減のための教訓となった。
・Lesson Learned: The assessed organization had insufficient technical controls to prevent and detect malicious activity. The organization relied too heavily on host-based endpoint detection and response (EDR) solutions and did not implement sufficient network layer protections.	・教訓：アセスメントを受けた組織は、悪意のある活動を防止・検知するための技術的コントロールが不十分であった。この組織は、ホストベースのエンドポイント検知・対応（EDR）ソリューションに過度に依存し、十分なネットワーク層の防御を実装していなかった。
・Lesson Learned: The organization’s staff require continuous training, support, and resources to implement secure software configurations and detect malicious activity. Staff need to continuously enhance their technical competency, gain additional institutional knowledge of their systems, and ensure they are provided sufficient resources by management to have the conditions to succeed in protecting their networks.	・教訓：この組織のスタッフは、安全なソフトウェア設定を実装し、悪意のある活動を検知するために、継続的なトレーニング、サポート、およびリソースを必要としている。職員は継続的に技術的能力を向上させ、機構に関する知識を深め、経営陣からネットワーク保護に成功するための十分なリソースを提供されるようにする必要がある。
・Lesson Learned: The organization’s leadership minimized the business risk of known attack vectors for the organization. Leadership deprioritized the treatment of a vulnerability their own cybersecurity team identified, and in their risk-based decision-making, miscalculated the potential impact and likelihood of its exploitation.	・教訓：この組織のリーダーシップは、組織にとって既知の攻撃ベクトルによるビジネスリスクを最小化した。リーダーシップは、自分たちのサイバーセキュリティチームが特定した脆弱性の扱いの優先順位を下げ、リスクベースの意思決定において、その脆弱性が悪用された場合の潜在的な影響と可能性を誤って計算した。
To reduce risk of similar malicious cyber activity, CISA encourages critical infrastructure organizations to apply the recommendations in the Mitigations section of this advisory to ensure security processes and procedures are up to date, effective, and enable timely detection and mitigation of malicious activity.	同様の悪意あるサイバー活動のリスクを低減するため、CISA は重要インフラ組織に対し、セキュリティ・プロセスと手順が最新かつ効果的で、悪意ある活動のタイムリーな検知と緩和を可能にするよう、本アドバイザリの緩和セクションの推奨事項を適用することを推奨する。
This document illustrates the outsized burden and costs of compensating for insecure software and hardware borne by critical infrastructure owners and operators. The expectation that owners and operators should maintain the requisite sophisticated cyber defense skills creates undue risk. Technology manufacturers must assume responsibility for product security. Recognizing that insecure software contributes to these identified issues, CISA urges software manufacturers to embrace Secure by Design principles and implement the recommendations in the Mitigations section of this advisory, including those listed below:	この文書は、重要インフラの所有者と運用者が負担する、安全でないソフトウェアとハードウェアを補償するための過大な負担とコストを示している。所有者や運用者が必要な高度なサイバー防御スキルを維持すべきとの期待は、過度のリスクを生み出す。技術製造事業者は、製品セキュリティに対する責任を負わなければならない。安全でないソフトウェアがこれらの特定された問題の一因であることを認識し、CISA はソフトウェア製造事業者に対し、セキュア・バイ・デザインの原則を受け入れ、以下に列挙するものを含め、この勧告の緩和セクションにある勧告を実施するよう促す：
・Embed security into product architecture throughout the entire software development lifecycle (SDLC).	・ソフトウェア開発ライフサイクル（SDLC）全体を通じて、製品アーキテクチャにセキュリティを組み込む。
・Eliminate default passwords.	・デフォルトのパスワードをなくす。
・Mandate MFA, ideally phishing-resistant MFA, for privileged users and make MFA a default, rather than opt-in, feature.	・特権ユーザには MFA（理想的にはフィッシングに強い MFA）を義務付け、MFA をオプトインではなくデフォルトの機能にする。

・[PDF]

目次...

Executive Summary	エグゼクティブサマリー
Introduction	序文
Technical Details	技術的詳細
Phase I: Red Team Cyber Threat Activity	第一段階レッドチームのサイバー脅威活動
Overview	概要
Initial Access	初期アクセス
Linux Infrastructure Compromise	Linux インフラの侵害
Local Privilege Escalation and Credential Access	ローカル特権の昇格とクレデンシャル・アクセス
Linux Command and Control	Linux コマンドと制御
Lateral Movement and Persistence	横展開と永続性
Windows Domain Controller Compromise	Windows ドメインコントローラの侵害
Windows Command and Control	Windows コマンドと制御
Post-Exploitation Activity: Gaining Access to SBSs	悪用後の活動： SBS にアクセスする
Admin Workstations	管理ワークステーション
Additional Host and Other Subnets	追加のホストおよびその他のサブネット
Corporate Workstations of Critical Infrastructure Administrators and Operators	重要インフラの管理者とオペレーターの企業ワークステーション
Command and Control	コマンド・アンド・コントロール
Defense Evasion and Victim Network Defense Activities	防御回避と被害者ネットワーク防御活動
Phase II: Red Team Measurable Events Activity	フェーズ II: レッドチームの測定可能イベント活動
Lessons Learned and Key Findings	教訓と主な発見
Lesson Learned: Insufficient Technical Controls	教訓不十分な技術的コントロール
Lesson Learned: Continuous Training, Support, and Resources	教訓継続的なトレーニング、サポート、リソース
Lesson Learned: Business Risk	教訓ビジネスリスク
Additional Findings	追加発見事項
Noted Strengths	指摘された強み
Mitigations	緩和策
Network Defenders	ネットワーク・ディフェンダー
Software Manufacturers	ソフトウェア製造事業者
Validate Security Controls	セキュリティ・コントロールの妥当性確認
Resources	リソース
Appendix: MITRE ATT&CK Tactics and Techniques	附属書 MITRE ATT&CK の戦術とテクニック

2024.12.08 02:57 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in IoT, in 安全保障 | Permalink | Comments (0)
Tweet

2024.12.07

JIPDEC ISO/IEC/JTC 1/SC 27/WG 1における国際規格の策定/改訂状況 (2024.12.04)

こんにちは、丸山満彦です。

JIPDECが、ISO/IEC/JTC 1/SC 27/WG 1における国際規格の策定/改訂状況を公表していますね...

● JIPDEC

・2024.12.05 ISO/IEC 27001ファミリー「ISO/IEC JTC 1/SC 27/WG 1における検討状況」を更新しました

・2024.12.04 [PDF]

現在の全体はこんな感じのようです...

ガイドラインを作りすぎなんじゃないですかね...

もちろん、本当に必要なものもありますが、ガイドラインの中では、なくてもよいのもあるんじゃないですかね...

社会的にどの程度引用されているのか、分析して利用率が少ないものは、本当に必要なものだけ残して、他の要求事項やガイドラインに附則として、追加するのがよいようにも思います。

私も一度も見たことがないのが、いくつかあります...

緑色は発行済規格
薄黄色は改訂中/追補作成中規格
灰色は中止プロジェクト
白は作成中

ISO/IEC番号	規格内容	規格作成の段階*
ISO/IEC番号	規格内容	2024年10月会議（今回）	2025年3月会議（予定）
27000	ISMS概要	（CD）	（DIS）
27001	ISMS要求事項	IS	IS
27002	情報セキュリティ管理策	IS	IS
27003	ISMSの手引	(WD)	(2nd WD)
27004	ISM －監視、測定、分析及び評価	(PWI)	(WD)
27005	情報セキュリティリスクマネジメントに関する指針	IS	IS
27006-1	ISMS認証機関に対する要求事項	（PWI）	（PWI）
TS 27006-2	ISO/IEC 27701認証機関に対する要求事項	(DIS)	(FDIS)
27007	ISMS監査の指針	IS	(PWI)
TS 27008	IS管理策の評価(assessment)のための指針	（CD）	（2nd CD）
27009	セクターへ規格の27001適用－要求事項	(廃止)	(廃止)
27010	セクター間及び組織間コミュニケーションのための情報セキュリティマネジメント	IS	IS
27011	ISO/IEC 27002に基づく電気通信組織のための情報セキュリティ管理策	IS	IS
27013	ISO/IEC 27001とISO/IEC 20000-1との統合導入についての手引	(DAM)	(IS<追補1>)
27014	情報セキュリティのガバナンス	IS	IS
TR 27015	金融サービスに対する情報セキュリティマネジメントの指針	（廃止）	（廃止）
TR 27016	ISM－組織の経済的側面(Organizational economics)	(PWI)	TR
27017	ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範	（CD）	（DIS）
27019	エネルギー業界のための情報セキュリティ管理策	（FDIS）	IS
27021	ISMS専門家の力量に関する要求事項	IS	IS
TS 27022	ISMSプロセスに関する手引	(PWI)	TS
TR 27023	ISO/IEC 27001及びISO/IEC 27002改訂版のマッピング	（廃止）	（廃止）
TR 27024	各国の規制要求事項等におけるISO/IEC 27001ファミリー規格の使用	DTR	DTR
27028	ISO/IEC 27002:2022の属性の利用及び作成に関する手引	CD	DIS
27029	ISO/IEC 27002の管理策及び手引を参照している規格一覧	SD	SD
TS 27100	サイバーセキュリティの概要及びコンセプト	TS	TS
27102	ISM－サイバー保険のためのガイドライン	IS	IS
TR 27103	サイバーセキュリティとISO及びIEC規格	（CD）	（DIS）
TR 27109	サイバーセキュリティに関する教育・訓練	DTR	DTR
TS 27110	サイバーセキュリティフレームワーク策定の指針	TS	TS

2024.12.07 07:34 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in クラウド | Permalink | Comments (0)
Tweet

欧州 EDPB 第三国当局へのデータ移転に関するGDPR第48条に関するガイドラインを発表し、新しい欧州データ保護シールを承認

こんにちは、丸山満彦です。

European data Protection Board；EDPBが、第三国当局へのデータ移転に関するGDPR第48条に関するガイドラインを発表し、新しい欧州データ保護シールを承認していますね。ガイドラインは、2025.01.27までパブリックコメントを受け付けています。

欧州の組織が「第三国」（すなわち欧州以外の国）の当局からデータ移転の要請を受けた場合、一般データ保護規則（GDPR）を遵守しなければならないことになりますね。（したがって、第三国当局の判決または決定は、欧州では自動的に承認または執行されることない）。

そこで、第三国当局に個人データを移転するよう要請された場合に、合法的に移転できるかどうかを組織が判断するために策定したのが、このガイドラインということになりますね...

もう一つの決定は、新しい欧州データ保護シールですね...GDPR認証は、組織がデータ保護法を遵守していることを証明することできます。　オランダで実施されている規準が欧州全体でつかえることになったということですね...規準自体は2023.09.19に策定されていますね...

● European data Protection Board；EDPB

・2024.12.03 EDPB clarifies rules for data sharing with third country authorities and approves EU Data Protection Seal certification

EDPB clarifies rules for data sharing with third country authorities and approves EU Data Protection Seal certification	EDPB、第三国当局とのデータ共有ルールを明確化し、EUデータ保護シールを認可
Brussels, 03 December - During its latest plenary, the European Data Protection Board (EDPB) published guidelines on Art.48 GDPR about data transfers to third country authorities and approved a new European Data Protection Seal.	ブリュッセル、12月3日 - 欧州データ保護委員会（EDPB）は最新の本会議で、第三国当局へのデータ移転に関するGDPR第48条に関するガイドラインを発表し、新たな欧州データ保護シールを承認した。
EDPB helps organisations assess data transfer requests by third country authorities	EDPBは第三国当局からのデータ移転要請に対する認可を支援する。
In a highly interconnected world, organisations receive requests from public authorities in other countries to share personal data. The sharing of data can, for instance, be of help to collect evidence in the case of crime, to check financial transactions or approve new medications.	高度に相互接続された世界では、認可組織は他国の公的機関から個人データの共有要請を受ける。データの共有は、例えば、犯罪の証拠収集、金融取引のチェック、新薬の承認などに役立つ。
When a European organisation receives a request for a transfer of data from a ‘third country’ (i.e. non-European countries) authority, it must comply with the General Data Protection Regulation (GDPR). In its guidelines, the EDPB zooms in on Art. 48 GDPR and clarifies how organisations can best assess under which conditions they can lawfully respond to such requests. In this way, the guidelines help organisations to make a decision on whether they can lawfully transfer personal data to third country authorities when asked to do so.	欧州の組織が「第三国」（すなわち欧州以外の国）の当局からデータ移転の要請を受けた場合、一般データ保護規則（GDPR）を遵守しなければならない。EDPBはそのガイドラインの中で、GDPR第48条に焦点を当てている。48 GDPRに焦点を当て、どのような条件下でそのような要請に合法的に対応できるかを、組織がどのように評価するのが最善かを明確にしている。このように、ガイドラインは、第三国当局に個人データを移転するよう求められた場合に、合法的に個人データを移転することができるかどうかについて、認可組織が判断する際の一助となるものである。
Judgements or decisions from third countries authorities cannot automatically be recognised or enforced in Europe. If an organisation replies to a request for personal data from a third country authority, this data flow constitutes a transfer and the GDPR applies. An international agreement may provide for both a legal basis and a ground for transfer. In case there is no international agreement, or if the agreement does not provide for an appropriate legal basis or safeguards, other legal bases or other grounds for transfer could be considered, in exceptional circumstances and on a case by case basis.*	第三国当局の判決や決定は、欧州では自動的に承認されたり、執行されたりすることはない。認可機関が第三国当局からの個人データの要求に応じる場合、このデータフローは移転に該当し、GDPRが適用される。国際協定は、移転の法的根拠と根拠の両方をプロバイダに提供することができる。国際協定がない場合、または協定が適切な法的根拠や保護措置を規定していない場合は、例外的な状況において、ケースバイケースで、他の法的根拠や他の移転根拠を考慮することができる*。
The guidelines are subject to public consultation until 27 January 2025.	ガイドラインは、2025年1月27日まで公開協議の対象となる。
Approval of EU Data Protection Seal	EUデータ保護シールの承認
During the plenary meeting, the Board also adopted an opinion approving the Brand Compliance certification criteria concerning processing activities by controllers or processors. In September 2023, the Board already adopted an opinion on the approval of the Brand Compliance national certification criteria, making them officially recognised certification criteria in the Netherlands for data processing by organisations. The approval of the new opinion means that these criteria will now be applicable across Europe and as a European Data Protection Seal.	理事会は本会議において、管理者または処理者による処理活動に関するブランドコンプライアンスの認証規準を承認する意見書も採択した。理事会はすでに2023年9月に、Brand Complianceの国内認証規準の承認に関する意見を採択しており、これによりオランダでは、組織によるデータ処理に関する認証規準として正式に認められている。新たな意見の承認は、これらの規準が欧州全域で、欧州データ保護シールとして適用されることを意味する。
GDPR certification helps organisations demonstrate their compliance with data protection law. This transparency helps people trust the product, service, process or system for which organisations process their personal data.	GDPRの防御は、組織がデータ保護法を遵守していることを証明するのに役立つ。この透明性は、組織が個人データの処理を行う製品、サービス、プロセス、システムを人々がトラストするのに役立つ。

まずは、「第三国当局へのデータ移転に関するGDPR第48条に関するガイドライン」...

2025.01.27まで受け付けています...

・2024.12.03 Guidelines 02/2024 on Article 48 GDPR

・[DOCX][PDF] 仮訳

● 個人情報保護委員会

・[PDF] 一般データ保護規則（GDPR）の条文

移転の一般原則...第44条

Article 44 General principle for transfers

第44 条移転に関する一般原則

Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined.

現に取扱われている又は第三国又は国際機関への移転の後に取扱いを意図した個人データ移転は、その第三国又は国際機関か別の第三国又は国際機関への個人データの転送に関するものを含め、本規則の他の条項に従い、本章に定める要件が管理者及び処理者によって遵守される場合においてのみ、行われる。本章の全ての条項は、本規則によって保証される自然人保護のレベルが低下しないことを確保するために適用される。

第48条

Article 48 Transfers or disclosures not authorised by Union law

第48 条 EU 法によって認められない移転又は開示

Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer pursuant to this Chapter.

管理者又は処理者に対して個人データの移転又は開示を命ずる第三国の裁判所若しくは法廷の判決及び公的機関の決定は、本章による移転のための別の法的根拠を妨げることなく、いかなる態様によるにせよ、司法共助条約のような要請元である第三国と EU 又は加盟国との間で有効な国際合意に基づく場合においてのみ、認められるか又は執行力を有することができる。

ちなみに、日欧間、日英間については、同等性の認定をうけていますので、日欧の間のデータ移転については、EU国内での移転と同様におこなえることになっていますよね...

・日EU間・日英間のデータ越境移転について

次は、GDPR認証...

オランダの個人データ保護機関

● Autoriteit Persoonsgegevens

・GDPR certificate

GDPR certificate	GDPR証明書
A GDPR certificate is a written statement that a product, process or service meets all or certain specific requirements from the General Data Protection Regulation (GDPR). With a GDPR certificate, organisations can show their target group that they process and protect personal data with due care. A GDPR certificate is not mandatory. Applying for a GDPR certificate is currently not yet possible.	GDPR証明書とは、製品、プロセス、またはサービスが、一般データ保護規則（GDPR）のすべてまたは特定の要件を満たしていることを示す文書である。GDPR証明書により、組織は個人データを適切に処理し、保護していることをターゲット・グループに示すことができる。GDPR証明書は義務ではない。GDPR証明書の申請は現在まだできない。
Applying for a GDPR certificate	GDPR証明書を申請する
Currently, there are no accredited certification bodies in the Netherlands for issuing GDPR certificates. These are bodies that have been accredited by the Dutch Accreditation Council (RvA). As soon as the RvA has accredited certification bodies, you will find this information on our website and in the register on the RvA website.	現在、オランダにはGDPR証明書を発行する認定認証団体はない。これらはオランダ認定審議会（RvA）によって認定された団体である。RvAが認証団体を認定し次第、当社のウェブサイトおよびRvAのウェブサイト上の登録簿にこの情報が掲載される。
As a controller or processor, you can then apply to such certification body for a GDPR certificate. The certification body will then assess whether your product, process or service is eligible for a GDPR certificate	管理者または処理者として、GDPR証明書を当該認証団体に申請することができる。認証団体はその後、貴社の製品、プロセスまたはサービスがGDPR認証の対象となるかどうかをアセスメントする。
Note: The Dutch Data Protection Authority (Dutch DPA) does not issue GDPR certificates itself. If you wish to apply for a GDPR certificate, you need to contact a certification body.	注：オランダデータ保護局（Dutch Data Protection Authority：DPA）はGDPR証明書自体を発行しない。GDPR証明書の申請を希望する場合は、認証団体に連絡する必要がある。
Approval of Brand Compliance criteria	ブランドコンプライアンス規準の承認
The Dutch DPA has approved the Brand Compliance criteria (Certification Standard and Criteria BC 5701:2023). However, requesting a GDPR certificate from Brand Compliance is not yet possible. For this, Brand Compliance must first be accredited by the RvA.	オランダDPAはブランドコンプライアンス規準（認証標準および規準BC 5701:2023）を承認している。しかし、Brand ComplianceにGDPR証明書を要求することはまだできない。そのためには、まずBrand ComplianceがRvAの認定を受ける必要がある。
If you have any questions about the course of that procedure, please contact Brand Compliance. You may already be able to start preparing for a certification process. Brand Compliance can inform you about this.	その手続きの経過について質問がある場合は、ブランド・コンプライアンスに問い合わせること。すでに認証手続きの準備を始めることができるかもしれない。ブランドコンプライアンスからお知らせすることができる。
Only official GDPR certificate is valid	GDPRの公式証明書のみが妥当性確認に有効である
To demonstrate your GDPR compliance, you can only use an official GDPR certificate. This is a certificate issued by an organisation accredited by the RvA. A certificate issued by a non-accredited organisation will not be considered a GDPR certificate.	GDPRへの準拠を証明するには、公式のGDPR証明書のみを使用することができる。これは、RvAの認定を受けた組織が発行した証明書である。認定を受けていない組織が発行した証明書は、GDPR証明書とはみなされない。
Do you want to be sure that you are dealing with an accredited organisation that is allowed to issue GDPR certificates? Check the register on the RvA website.	GDPR証明書の発行を許可されている認定組織と取引していることを確認したい。RvAのウェブサイト上の登録を確認する。
Have you been approached by an organisation offering you a GDPR certificate?	GDPR証明書を提供する組織からアプローチを受けたことがあるか？
You may be approached by organisations that offer you a GDPR certificate, but that are still in the process of being accredited. An example is if they are looking for (prospective) customers to demonstrate how their scheme works. This is part of the accreditation process.	GDPR証明書を提供しているが、まだ認定を受けていない組織からアプローチされる可能性がある。例えば、そのスキームがどのように機能するかを実証する（見込みのある）顧客を探している場合である。これは認定プロセスの一部である。
Would you like to check whether an organisation you are approached by has an accreditation application pending with the RvA and the Dutch DPA? You can ask the organisation to demonstrate this by showing its correspondence with the Dutch DPA. Are you still having doubts? You can ask your DPO to contact the Dutch DPA to make inquiries.	あなたが接触した組織が、RvAとオランダのDPAに認定申請中かどうかを確認したい。オランダのDPAとのやり取りを示すことで、それを証明するよう組織に求めることができる。まだ疑問があるのか？オランダのDPAに問い合わせるようDPOに依頼することができる。
Applying for accreditation as a certification body	認証団体としての認定を申請する
Do you want to issue GDPR certificates as a certification body? You can submit an application for accreditation to the RvA. The Dutch DPA does not accredit certification bodies itself.	認証団体としてGDPR証明書を発行したいのか。RvAに認定申請書を提出することができる。オランダDPAは認証団体を認定しない。
Drawing up a certification scheme for the application	申請のための認証スキームを作成する
Before making an application to the RvA, you have to draw up a certification scheme. As a certification body, you can draw up a scheme yourself. Or you can have this scheme drawn up and managed by an external scheme manager.	RvAに申請する前に、認証スキームを作成する必要がある。認証団体として、自らスキームを作成することもできる。または、外部のスキーム管理者にスキームの作成と管理を依頼することもできる。
The certification scheme contains requirements that the certificate holder must meet. The scheme also contains additional requirements for you as a certification body. The Dutch DPA has established these additional requirements and coordinated them with the European Data Protection Board (EDPB).	認証スキームには、認証保有者が満たさなければならない要求事項が含まれている。スキームには、認証機関としての追加要件も含まれている。オランダDPAはこれらの追加要件を定め、欧州データ保護委員会（EDPB）と調整した。
ISO/IEC 17065 standard	ISO/IEC 17065標準
The GDPR prescribes the use of the ISO/IEC 17065 standard for accreditation by the RvA. This is the standard for accreditation of certification bodies for products, processes and services. The standard is the basis of the certification scheme.	GDPRは、RvAによる認定にISO/IEC 17065標準の使用を規定している。これは、製品、プロセス、サービスに関する認証団体の認定標準である。この標準は、認証スキームの基礎となる。
Assessing the scheme	スキームのアセスメント
If you apply to the RvA for accreditation, the RvA will evaluate your certification scheme. The Dutch DPA will then assess whether your certification scheme gives sufficient substance to the relevant requirements under the GDPR. Did the Dutch DPA approve the scheme? Then the accreditation process at the RvA can continue.	RvAに認定を申請した場合、RvAは認証スキームを評価する。その後、オランダのDPAは、貴社の認証スキームがGDPRの関連要件を十分に満たしているかどうかを評価する。オランダDPAはスキームを承認したか？その後、RvAにおける認定プロセスを継続することができる。
Note: It is possible that multiple certification schemes that lead to a GDPR certificate will be used in the market.	注：GDPR認証につながる複数の認証スキームが市場で使用される可能性がある。
Steps for accreditation with the Dutch Accreditation Council (RvA) and the role of the Dutch DPA	オランダ認定審議会（RvA）による認定のステップとオランダDPAの役割
The accreditation process of the RvA and the role of the Dutch DPA in the approval of certification schemes comprise a number of steps:	RvAの認定プロセスおよび認証スキームの承認におけるオランダDPAの役割は、いくつかのステップから構成される：
evaluation by the RvA;	RvA による評価
assessment by the Dutch DPA;	オランダDPAによるアセスメント
accreditation by the RvA.	RvA による認定である。
Evaluation by the RvA	RvAによる評価
The RvA assesses whether your application for accreditation can be admitted.	RvAは、認定申請が認められるかどうかを評価する。
The RvA conducts a preliminary investigation. This includes an evaluation of the certification scheme drawn up by you or an external scheme manager.	RvAは予備調査を行う。これには、本人または外部のスキーム管理者が作成した認証スキームの評価が含まれる。
The RvA concludes the preliminary investigation, subject to approval of the certification scheme by the Dutch DPA.	RvAは、オランダDPAによる認証スキームの承認を条件として、予備調査を終了する。
Assessment by the Dutch DPA	オランダDPAによるアセスメント
After a positive conclusion of the evaluation by the RvA, the Dutch DPA assesses whether the certification scheme gives sufficient substance to the relevant requirements under the GDPR.	RvAによる評価が肯定的に終了した後、オランダDPAは認証スキームがGDPRに基づく関連要件を十分に満たしているかどうかを評価する。
As the certification body or scheme manager, you send the certification scheme to the Dutch DPA. The Dutch DPA will only process your application if the RvA has concluded the evaluation of the scheme with a positive result. And you can demonstrate this.	認証団体またはスキーム管理者として、オランダDPAに認証スキームを送付する。オランダDPAは、RvAがスキームの評価を肯定的な結果で終了した場合にのみ、申請を処理する。そして、それを証明することができる。
The Dutch DPA coordinates the draft decision for approval of the certification scheme with the EDPB. This procedure with the EDPB is in English. This means that you will have to supply the documentation to the EDPB in English. This also applies if you draw up a scheme that is only used in the Netherlands. The further communication from the EDPB to you will also be in English. There is no free translation option through the Dutch DPA or the EDPB. That is why the Dutch DPA recommends that you arrange for a translation into English of all your documentation yourself.	オランダDPAは認証スキームの承認決定案をEDPBと調整する。このEDPBとの手続きは英語で行われる。つまり、EDPBに対して英語で文書を提出する必要がある。これは、オランダ国内でのみ使用されるスキームを作成する場合にも適用される。EDPBからあなたへのコミュニケーションも英語で行われる。オランダDPAやEDPBには無料の翻訳オプションはない。そのためオランダDPAは、すべての書類の英訳を自分で手配することを推奨している。
After the Dutch DPA has approved the certification scheme, you send this decision for approval to the RvA. The RvA will then continue the accreditation procedure.	オランダDPAが認証スキームを承認した後、この承認決定をRvAに送付する。その後、RvAが認定手続きを継続する。
Accreditation by the RvA	RvAによる認定
The RvA will perform an accreditation assessment.	RvAは認定審査を行う。
The RvA will make an accreditation decision. After accreditation by the RvA, you are authorised to grant GDPR certificates for the relevant certification scheme.	RvAは認定決定を行う。RvAによる認定後、関連する認証スキームのGDPR証明書を付与する権限が付与される。
If the RvA has accredited you, the RvA will also assess you periodically.	RvAが貴社を認定した場合、RvAは貴社に対しても定期的にアセスメントを行う。
For more information, see the Accreditation process on the RvA website.	詳細については、RvAのウェブサイトの認定プロセスを参照のこと。
Do you have any questions?	質問はあるか？
Do you have any questions about submitting a certification scheme to the Dutch DPA and having this assessed? Please contact the Dutch DPA by email.	認証スキームをオランダDPAに提出し、アセスメントを受けることについて質問があるか。オランダDPAにEメールで問い合わせること。
Obtaining an approved certification scheme	承認された認証スキームを取得する
Would you like to find out more about an approved certification scheme? Or would you like to know if you can obtain the certification scheme? Please contact the scheme owner. That is the party that developed the certification scheme.	承認された認証スキームについてもっと知りたいか？または、認証スキームを取得できるかどうかを知りたいか。スキーム所有者に連絡すること。認証スキームを開発した当事者である。

EDPB...

ブランド・コンプライアンス認証規準に関するオランダ監督当局の決定草案に関する意見15/2023

・2023.09.19 Opinion 15/2023 on the draft decision of the Dutch Supervisory Authority regarding the Brand Compliance certification criteria

・[PDF]

2024.12.07 02:55 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 監査 / 認証, in パブコメ | Permalink | Comments (0)
Tweet

2024.12.06

欧州委員会 AI法における汎用AIモデル - Q&A (2024.11.20)

こんにちは、丸山満彦です。

欧州委員会が、AI法における汎用AIモデル - Q&Aを公表しています。今後追加等されていくのでしょうかね...

欧州AI法の理解を深めるにはよいかもですね...

● European Commission

・2024.11.20 General-Purpose AI Models in the AI Act – Questions & Answers

General-Purpose AI Models in the AI Act – Questions & Answers	AI法における汎用AIモデル - Q&A
The AI Office is facilitating the interpretation of certain provisions of the AI Act with this dedicated Q&A.	AI事務局は、この専用Q&Aにより、AI法の特定条項の解釈を促進している。
Note that only EU Courts can interpret the AI Act.	なお、AI法を解釈できるのはEU裁判所のみである。
General FAQ	一般的なFAQ
Why do we need rules for general-purpose AI models?	なぜ汎用AIモデルのルールが必要なのか？
AI promises huge benefits to our economy and society. General-purpose AI models play an important role in that regard, as they can be used for a variety of tasks and therefore form the basis for a range of downstream AI systems, used in Europe and worldwide .	AIは、経済や社会に大きな利益をもたらすことが期待されている。汎用AIモデルは、さまざまなタスクに使用できるため、欧州をはじめ世界中で使用されているさまざまな下流のAIシステムの基礎となり、その点で重要な役割を果たしている。
The AI Act aims to ensure that general-purpose AI models are safe and trustworthy.	AI法は、汎用AIモデルの安全性と信頼性を確保することを目的としている。
To achieve that aim, it is crucial that providers of general-purpose AI models possess a good understanding of their models along the entire AI value chain, both to enable the integration of such models into downstream AI systems and to fulfil their obligations under the AI Act. As explained in more detail below, providers of general-purpose AI models must draw up and provide technical documentation of their models to the AI Office and downstream providers, must put in place a copyright policy, and must publish a training content summary. In addition, providers of general-purpose AI models posing systemic risks, which may be the case either because they are very capable or because they have a significant impact on the internal market for other reasons, must notify the Commission, assess and mitigate systemic risks, perform model evaluations, report serious incidents, and ensure adequate cybersecurity of their models.	その目的を達成するためには、汎用AIモデルのプロバイダが、そのモデルを下流のAIシステムに統合できるようにするため、またAI法に基づく義務を果たすために、AIのバリューチェーン全体を通じて、そのモデルについて十分な理解を持つことが極めて重要である。以下に詳しく説明するように、汎用AIモデルのプロバイダは、そのモデルの技術文書を作成し、AI事務局や川下プロバイダに提供しなければならず、著作権ポリシーを定め、トレーニング内容の概要を公表しなければならない。さらに、システミック・リスクをもたらす汎用AIモデルのプロバイダは、その能力が非常に高いためか、あるいはその他の理由で域内市場に重大な影響を与えるためか、欧州委員会に通知し、システミック・リスクをアセスメントし緩和し、モデル評価を実施し、重大なインシデントを報告し、モデルの適切なサイバーセキュリティを確保しなければならない。
In this way, the AI Act contributes to safe and trustworthy innovation in Europe.	このように、AI法は欧州における安全で信頼できるイノベーションに貢献している。
What are general-purpose AI models?	汎用AIモデルとは何か？
The AI Act defines a general-purpose AI model as “an AI model, including where such an AI model is trained with a large amount of data using self-supervision at scale, that displays significant generality and is capable of competently performing a wide range of distinct tasks regardless of the way the model is placed on the market and that can be integrated into a variety of downstream systems or applications” (Article 3(63)).	AI法は、汎用AIモデルを「大規模な自己監視を使用して大量のデータで学習される場合を含め、有意な汎用性を示し、モデルが上市される方法に関係なく広範で明確なタスクを適切に実行でき、様々な下流のシステムやアプリケーションに統合できるAIモデル」と定義している（第3条63項）。
The Recitals to the AI Act further clarify which models should be deemed to display significant generality and to be capable of performing a wide range of distinct tasks.	AI法の前文では、どのようなモデルが重要な汎用性を示し、広範で明確なタスクを実行できるとみなされるべきかをさらに明確にしている。
According to Recital 98, “whereas the generality of a model could, inter alia, also be determined by a number of parameters, models with at least a billion of parameters and trained with a large amount of data using self-supervision at scale should be considered to display significant generality and to competently perform a wide range of distinctive tasks.”	前文98によれば、「モデルの汎用性は、特に、パラメータの数によっても決定され得るが、少なくとも10億個のパラメータを有し、大規模な自己監視を使用して大量のデータで訓練されたモデルは、有意な汎用性を示し、広範囲の特徴的なタスクを有能に実行するとみなされるべきである」。
Recital 99 adds that “large generative AI models are a typical example for a general-purpose AI model, given that they allow for flexible generation of content, such as in the form of text, audio, images or video, that can readily accommodate a wide range of distinctive tasks.”	前文99は、「大規模な生成的AIモデルは、テキスト、音声、画像、映像などのコンテンツの柔軟な生成を可能にし、幅広い特徴的なタスクに容易に対応できることから、汎用AIモデルの典型的な例である」と付け加えている。
Note that significant generality and ability to competently perform a wide range of distinctive tasks may be achieved by models within a single modality, such as text, audio, images, or video, if the modality is flexible enough. This may also be achieved by models that were developed, fine-tuned, or otherwise modified to be particularly good at a specific task.	モダリティが十分に柔軟であれば、テキスト、音声、画像、動画など、単一のモダリティ内のモデルによって、重要な汎用性と幅広い特徴的なタスクを有能に実行する能力が達成される可能性があることに留意されたい。また、特定のタスクを特に得意とするように開発、微調整、またはその他の方法で修正されたモデルによって達成される場合もある。
The AI Office intends to provide further clarifications on what should be considered a general-purpose AI model, drawing on insights from the Commission’s Joint Research Centre, which is currently working on a scientific research project addressing this and other questions.	AI室は、現在、この問題やその他の問題に取り組む科学的研究プロジェクトに取り組んでいる欧州委員会の共同研究センターからの知見を活用しながら、何が汎用AIモデルとみなされるべきかについて、さらに明確にしていくつもりである。
What are general-purpose AI models with systemic risk?	システミック・リスクを伴う汎用AIモデルとは何か？
Systemic risks are risks of large-scale harm from the most advanced (i.e. state-of-the-art) models at any given point in time or from other models that have an equivalent impact (see Article 3(65)). Such risks can manifest themselves, for example, through the lowering of barriers for chemical or biological weapons development, unintended issues of control over autonomous general-purpose AI models, or harmful discrimination or disinformation at scale (Recital 110). The most advanced models at any given point in time may pose systemic risks, including novel risks, as they are pushing the state of the art. At the same time, some models below the threshold reflecting the state of the art may also pose systemic risks, for example, through reach, scalability, or scaffolding.	システミックリスクとは、ある時点で最も先進的な（すなわち最先端の）モデル、あるいは同等の影響を及ぼす他のモデルから、大規模な被害が発生するリスクのことである（第3条65項参照）。このようなリスクは、例えば、化学兵器や生物兵器の開発障壁の低下、自律型汎用AIモデルの制御に関する意図せざる問題、あるいは規模に応じた有害な識別や偽情報を通じて顕在化する可能性がある（前文110）。ある時点で最も先進的なモデルは、最先端の技術を押し進めるため、新規リスクを含むシステミック・リスクを引き起こす可能性がある。同時に、最先端技術を反映する閾値以下のモデルも、例えば、リーチ、拡張性、足場によって、システミック・リスクをもたらす可能性がある。
Accordingly, the AI Act classifies a general-purpose AI model as a general-purpose AI model with systemic risk if it is one of the most advanced models at that point in time or if it has an equivalent impact (Article 51(1)). Which models are considered general-purpose AI models with systemic risk may change over time, reflecting the evolving state of the art and potential societal adaptation to increasingly advanced models. Currently, general-purpose AI models with systemic risk are developed by a handful of companies, although this may also change over time.	従って、AI法は、汎用AIモデルが、その時点で最も先進的なモデルの一つである場合、または同等の影響力を有する場合、システミック・リスクを有する汎用AIモデルとして分類している（51条1項）。どのモデルがシステミック・リスクを伴う汎用AIモデルとみなされるかは、進化する技術の状況や、高度化するモデルへの社会の潜在的な適応を反映して、時間の経過とともに変化する可能性がある。現在、システミック・リスクを伴う汎用AIモデルは一握りの企業によって開発されているが、これも時間の経過とともに変化する可能性がある。
To capture the most advanced models, the AI Act initially lays down a threshold of 10^25 floating-point operations (FLOP) used for training the model (Article 51(1)(a) and (2)). Training a model that meets this threshold is currently estimated to cost tens of millions of Euros (Epoch AI, 2024). The AI Office will continuously monitor technological and industrial developments and the Commission may update the threshold to ensure that it continues to single out the most advanced models as the state of the art evolves by way of delegated act (Article 51(3)). For example, the value of the threshold itself could be adjusted, and/or additional thresholds introduced.	最も高度なモデルを捕捉するため、AI法は当初、モデルの訓練に使用する浮動小数点演算（FLOP）の閾値を10^25と定めている（第51条1項（a）および（2））。この閾値を満たすモデルのトレーニングには、現在、数千万ユーロの費用がかかると見積もられている（Epoch AI, 2024）。AI事務局は、技術および産業の発展を継続的に監視し、欧州委員会は、委任法（第51条第3項）により、技術状況の進展に応じて、最先端モデルを選別し続けることができるよう、閾値を更新することができる。例えば、閾値自体の値を調整したり、追加の閾値を導入したりすることができる。
To capture models with an impact equivalent to the most advanced models, the AI Act empowers the Commission to designate additional models as posing systemic risk, based on criteria such as number of users, scalability, or access to tools (Article 51(1)(b), Annex XIII).	最先端モデルと同等の影響力を持つモデルを捕捉するため、AI法は、欧州委員会に対し、ユーザー数、拡張性、ツールへのアクセスなどの規準に基づいて、システミック・リスクをもたらすモデルを追加指定する権限を与えている（第51条1項（b）、附属書XIII）。
The AI Office intends to provide further clarifications on how general-purpose AI models will be classified as general-purpose AI models with systemic risk, drawing on insights from the Commission’s Joint Research Centre which is currently working on a scientific research project addressing this and other questions.	AI室は、現在、この問題やその他の問題に取り組む科学的研究プロジェクトに取り組んでいる欧州委員会の共同研究センターからの知見を活用し、汎用AIモデルがシステミック・リスクを有する汎用AIモデルとしてどのように分類されるかについて、さらなる明確化を行う意向である。
What is a provider of a general-purpose AI model?	汎用AIモデルのプロバイダとは何か？
The AI Act rules on general-purpose AI models apply to providers placing such models on the market in the Union, irrespective of whether those providers are established or located within the Union or in a third country (Article 2(1)(a)).	汎用AIモデルに関するAI法の規則は、当該モデルを域内で上市するプロバイダに適用され、プロバイダが域内に設立されているか、域内に所在しているか、第三国に所在しているかは問わない（第2条1項a）。
A provider of a general-purpose AI model means a natural or legal person, public authority, agency or other body that develops a general-purpose AI model or that has such a model developed and places it on the market, whether for payment or free or charge (Article 3(3)).	汎用AIモデルのプロバイダとは、汎用AIモデルを開発する、又はそのようなモデルを開発させ、有償であるか無償であるかを問わず、上市する自然人又は法人、公的機関、代理店その他の団体を意味する（第3条(3)）。
To place a model on the market means to first make it available on the Union market (Article 3(9)), that is, to supply it for distribution or use on the Union market in the course of a commercial activity, whether in return for payment or free of charge (Article 3(10)). Note that a general-purpose AI model is also considered to be placed on the market if that model’s provider integrates the model into its own AI system which is made available on the market or put into service, unless the model is (a) used for purely internal processes that are not essential for providing a product or a service to third parties, (b) the rights of natural persons are not affected, and (c) the model is not a general-purpose AI model with systemic risk (Recital 97).	モデルを上市するとは、まずそれを連合市場で入手可能にすること（3条9項）、すなわち、商業活動の過程において、有償であるか無償であるかを問わず、連合市場で頒布又は使用するためにそれを供給することを意味する（3条10項）。ただし、(a) 製品やサービスを第三者に提供するために不可欠でない純粋な内部処理に使用される場合、(b) 自然人の権利に影響を与えない場合、(c) システミック・リスクを伴う汎用AIモデルでない場合はこの限りではない（前文97）。
What are the obligations for providers of general-purpose AI models?	汎用AIモデルのプロバイダの義務は何か？
The obligations for providers of general-purpose AI models apply from 2 August 2025 (Article 113(b)), with special rules for general-purpose AI models placed on the market before that date (Article 111(3)).	汎用AIモデルのプロバイダに対する義務は2025年8月2日から適用され（113条b）、それ以前に上市された汎用AIモデルについては特別規定が設けられている（111条3）。
Based on Article 53 of the AI Act, providers of general-purpose AI models must document technical information about the model for the purpose of providing that information upon request to the AI Office and national competent authorities (Article 53(1)(a)) and making it available to downstream providers (Article 53(1)(b)). They must also put in place a policy to comply with Union law on copyright and related rights (Article 53(1)(c)) and draw up and make publicly available a sufficiently detailed summary about the content used for training the model (Article 53(1)(d)).	AI法第53条に基づき、汎用AIモデルのプロバイダは、AI事務局および各国所轄官庁の要求に応じて情報を提供し（第53条第1項(a)）、川下プロバイダが利用できるようにする（第53条第1項(b)）ことを目的として、モデルに関する技術情報を文書化しなければならない。また、著作権および関連する権利に関する連邦法を遵守するための方針を定め（第53条1項（c））、モデルの訓練に使用されるコンテンツについて十分に詳細な要約を作成し、一般に公開しなければならない（第53条1項（d））。
The General-Purpose AI Code of Practice should provide further detail on these obligations in the sections dealing with transparency and copyright (led by Working Group 1).	汎用AI実施規範は、透明性と著作権を扱うセクション（第1作業部会が主導）において、これらの義務に関するさらなる詳細を提供すべきである。
Based on Article 55 of the AI Act, providers of general-purpose AI models with systemic risk have additional obligations. They must assess and mitigate systemic risks, in particular by performing model evaluations, keeping track of, documenting, and reporting serious incidents, and ensuring adequate cybersecurity protection for the model and its physical infrastructure.	AI法第55条に基づき、システミック・リスクを有する汎用AIモデルのプロバイダには、さらなる義務がある。特に、モデル評価の実施、重大インシデントの追跡、文書化、報告、モデルとその物理的インフラに対する適切なサイバーセキュリティ保護の確保によって、システミック・リスクをアセスメントし緩和しなければならない。
The General-Purpose AI Code of Practice should provide further detail on these obligations in the sections dealing with systemic risk assessment, technical risk mitigation, and governance risk mitigation (led by Working Groups 2, 3, and 4 respectively).	汎用AIコード・オブ・プラクティスでは、システミックリスクのアセスメント、テクニカルリスクの緩和、ガバナンスリスクの緩和（それぞれワーキンググループ2、3、4が主導）を扱うセクションで、これらの義務についてさらに詳しく説明する必要がある。
If someone open-sources a model, do they have to comply with the obligations for providers of general-purpose AI models?	誰かがモデルをオープンソース化した場合、彼らは汎用AIモデルのプロバイダに対する義務を遵守しなければならないのか？
The obligations to draw up and provide documentation to the AI Office, national competent authorities, and downstream providers (Article 53(1)(a) and (b)) do not apply if the model is released under a free and open-source license and its parameters, including the weights, the information on the model architecture, and the information on model usage, are made publicly available. This exemption does not apply to general-purpose AI models with systemic risk (Article 53(2)). Recitals 102 and 103 further clarify what constitutes a free and open-source license and the AI Office intends to provide further clarifications on questions concerning open-sourcing general-purpose AI models.	AI事務局、各国所轄官庁、川下プロバイダに対して文書を作成し提供する義務（第53条(1)(a)及び(b)）は、モデルが無償のオープンソースライセンスの下でリリースされ、重み、モデルアーキテクチャに関する情報、モデルの使用状況に関する情報を含むパラメータが一般に公開されている場合には適用されない。この適用除外は、システミック・リスクを伴う汎用AIモデルには適用されない（第53条2項）。前文102および103は、何が無償かつオープンソースのライセンスを構成するかをさらに明確にしており、AI事務局は、汎用AIモデルのオープンソース化に関する疑問について、さらなる明確化を提供する意向である。
By contrast, providers of general-purpose AI models with systemic risk must comply with their obligations under the AI Act regardless of whether their models are open-source. After the open-source model release, measures necessary to ensure compliance with the obligations of Articles 53 and 55 may be more difficult to implement (Recital 112). Therefore, providers of general-purpose AI models with systemic risk may need to assess and mitigate systemic risks before releasing their models as open-source.	一方、システミック・リスクを有する汎用AIモデルのプロバイダは、そのモデルがオープンソースであるか否かにかかわらず、AI法に基づく義務を遵守しなければならない。オープンソースモデル公開後は、第53条および第55条の義務の遵守を確保するために必要な措置を実施することがより困難になる可能性がある（前文112）。したがって、システミック・リスクを伴う汎用AIモデルのプロバイダは、モデルをオープンソースとしてリリースする前に、システミック・リスクをアセスメントし緩和する必要があるかもしれない。
The General-Purpose AI Code of Practice should provide further detail on what the obligations in Articles 53 and 55 imply for different ways of releasing general-purpose AI models, including open-sourcing.	汎用AIコード・オブ・プラクティスは、オープンソースを含む汎用AIモデルのさまざまな公開方法について、第53条と第55条の義務が何を意味するのかについて、さらなる詳細を示すべきである。
An important but difficult question underpinning this process is that of finding a balance between pursuing the benefits and mitigating the risks from the open-sourcing of advanced general-purpose AI models: open-sourcing advanced general-purpose AI models may indeed yield significant societal benefits, including through fostering AI safety research; at the same time, when such models are open-sourced, risk mitigations are more easily circumvented or removed.	このプロセスの根底にある重要だが難しい問題は、高度な汎用AIモデルのオープンソース化による利益の追求とリスクの緩和のバランスを見つけることである。高度な汎用AIモデルをオープンソース化することは、AIの安全性研究の促進を含め、確かに大きな社会的利益をもたらすかもしれないが、同時に、そのようなモデルがオープンソース化されると、リスクの緩和が回避または除去されやすくなる。
Do the obligations for providers of general-purpose AI models apply in the Research & Development phase?	汎用AIモデルのプロバイダに対する義務は、研究開発段階でも適用されるのか？
Article 2(8) specifies that the AI Act “does not apply to any research, testing or development activity regarding AI systems or AI models prior to their being placed on the market or put into service.”	第2条8項では、AI法は「AIシステムまたはAIモデルが上市または実用化される前の研究、試験または開発活動には適用されない」と規定している。
At the same time, many of the obligations for providers of general-purpose AI models (with and without systemic risk) explicitly or implicitly pertain to the Research & Development phase of models intended for but prior to the placing on the market. For example, this is the case for the obligations for providers to notify the Commission that their general-purpose AI model meets or will meet the training compute threshold (Articles 51 and 52), to document information about training and testing (Article 53), and to assess and mitigate systemic risk (Article 55). In particular, Article 55(1)(b) explicitly specifies that “providers of general-purpose AI models with systemic risk shall assess and mitigate possible systemic risks at Union level, including their sources, that may stem from the development (...) of general-purpose AI models with systemic risk.”	同時に、汎用AIモデル（システミックリスクの有無にかかわらず）のプロバイダに対する義務の多くは、明示的または黙示的に、上市前のモデルの研究開発段階に関係している。例えば、プロバイダが、その汎用AIモデルがトレーニング計算の閾値を満たすこと、または満たす予定であることを欧州委員会に通知する義務（第51条および第52条）、トレーニングおよびテストに関する情報を文書化する義務（第53条）、システミック・リスクを評価し緩和する義務（第55条）がそうである。特に、第55条1項(b)は、「システミック・リスクを伴う汎用AIモデルのプロバイダは、システミック・リスクを伴う汎用AIモデルの開発（...）に起因する可能性のあるシステミック・リスクを、その発生源を含め、連合レベルで評価し緩和しなければならない」と明示している。
In any case, the AI Office expects discussions with providers of general-purpose AI models with systemic risk to start early in the development phase. This is consistent with the obligation for providers of general-purpose AI models that meet the training compute threshold laid down in Article 51(2) to “notify the Commission without delay and in any event within two weeks after that requirement is met or it becomes known that it will be met”(Article 52(1)). Indeed, training of general-purpose AI models takes considerable planning, which includes the upfront allocation of compute resources, and providers of general-purpose AI models are therefore able to know if their model will meet the training compute threshold before the training is complete (Recital 112).	いずれにせよ、AI事務局は、システミック・リスクを伴う汎用AIモデルのプロバイダとの話し合いが、開発段階の早い段階で開始されることを期待している。これは、第51条2項に規定されているトレーニング計算の閾値を満たす汎用AIモデルのプロバイダが、「その要件が満たされた後、または満たされることが判明した後、遅滞なく、いかなる場合にも2週間以内に欧州委員会に通知する」（第52条1項）義務と整合的である。実際、汎用AIモデルのトレーニングには、前もって計算資源を割り当てるなど、かなりの計画が必要であり、そのため、汎用AIモデルのプロバイダは、トレーニングが完了する前に、そのモデルがトレーニング計算量の閾値を満たすかどうかを知ることができる（前文112）。
The AI Office intends to provide further clarifications on this question.	AI事務局は、この問題についてさらなる明確化を行う予定である。
If someone fine-tunes or otherwise modifies a model, do they have to comply with the obligations for providers of general-purpose AI models?	誰かがモデルの微調整やその他の変更を行った場合、その人は汎用AIモデルのプロバイダに対する義務を遵守しなければならないのか。
General-purpose AI models may be further modified or fine-tuned into new models (Recital 97). Accordingly, downstream entities that fine-tune or otherwise modify an existing general-purpose AI model may become providers of new models. The specific circumstances in which a downstream entity becomes a provider of a new model is a difficult question with potentially large economic implications, as many organisations and individuals fine-tune or otherwise modify general-purpose AI models developed by another entity. The AI Office intends to provide further clarifications on this question.	汎用AIモデルは、新たなモデルにさらに修正または微調整することができる（前文97）。したがって、既存の汎用AIモデルを微調整またはその他の方法で修正する川下事業体は、新たなモデルのプロバイダになる可能性がある。多くの組織や個人が、他の事業体によって開発された汎用AIモデルを微調整またはその他の方法で修正するため、川下企業が新しいモデルのプロバイダになる具体的な状況は、経済的に大きな影響を及ぼす可能性のある難しい問題である。AI事務局は、この問題についてさらなる明確化を行う予定である。
In the case of a modification or fine-tuning of an existing general-purpose AI model, the obligations for providers of general-purpose AI models in Article 53 should be limited to the modification or fine-tuning, for example, by complementing the already existing technical documentation with information on the modifications (Recital 109). The obligations for providers of general-purpose AI models with systemic risk in Article 55 may be limited in similar ways. The General-Purpose AI Code of Practice could reflect differences between providers that initially develop general-purpose AI models and those that fine-tune or otherwise modify an existing model.	既存の汎用AIモデルの修正又は微調整の場合、第53条の汎用AIモデルのプロバイダに対する義務は、例えば、既に存在する技術文書を修正に関する情報で補完することにより、修正又は微調整に限定すべきである（前文109）。第55条のシステミック・リスクを伴う汎用AIモデルのプロバイダに対する義務も、同様の方法で制限される可能性がある。汎用AIコード・オブ・プラクティスには、汎用AIモデルを最初に開発するプロバイダと、既存のモデルを微調整またはその他の方法で修正するプロバイダとの違いを反映させることができる。
Note that regardless of whether a downstream entity that incorporates a general-purpose AI model into an AI system is deemed to be a provider of the general-purpose AI model, that entity must comply with the relevant AI Act requirements and obligations for AI systems.	なお、汎用AIモデルをAIシステムに組み込む川下の事業体が汎用AIモデルのプロバイダとみなされるか否かにかかわらず、その事業体はAIシステムに関するAI法の関連する要件と義務を遵守しなければならない。
What is the General-Purpose AI Code of Practice?	汎用AI規範とは何か？
Based on Article 56 of the AI Act, the General-Purpose AI Code of Practice should detail the manner in which providers of general-purpose AI models and of general-purpose AI models with systemic risk may comply with their obligations under the AI Act. The AI Office is facilitating the drawing-up of this Code of Practice, with four working groups chaired by independent experts and involving nearly 1000 stakeholders, EU Member States representatives, as well as European and international observers.	AI法第56条に基づき、汎用AIコード・オブ・プラクティスは、汎用AIモデルおよびシステミック・リスクを有する汎用AIモデルのプロバイダがAI法に基づく義務を遵守するための方法を詳述する必要がある。AI事務局は、独立した専門家を議長とし、1000人近い利害関係者、EU加盟国の代表者、欧州および国際的なオブザーバーが参加する4つの作業部会で、この実施規範の作成を促進している。
More precisely, the Code of Practice should detail at least how providers of general-purpose AI models may comply with the obligations laid down in Articles 53 and 55. This means that the Code of Practice can be expected to have two parts: one that applies to providers of all general-purpose AI models (Article 53), and one that applies only to providers of general-purpose AI models with systemic risk (Article 55). Another obligation that may be covered by the Code of Practice is the obligation to notify the Commission for providers of general-purpose AI models that meet or are expected to meet the conditions listed in Article 51 for being classified as a general-purpose AI model with systemic risk (Article 52(1)).	より正確には、実施規範は、汎用AIモデルのプロバイダが第53条と第55条に規定された義務を遵守する方法を少なくとも詳述するものでなければならない。すなわち、すべての汎用AIモデルのプロバイダに適用されるもの（第53条）と、システミック・リスクを伴う汎用AIモデルのプロバイダのみに適用されるもの（第55条）である。システミック・リスクを有する汎用AIモデルとして分類されるための第51条に列挙された条件を満たす、または満たすことが予想される汎用AIモデルのプロバイダについては、欧州委員会に通知する義務がある（第52条1項）。
What is not part of the Code of Practice?	実施基準には何が含まれないのか？
The Code of Practice should not address inter alia the following issues: defining key concepts and definitions from the AI Act (such as “general-purpose AI model”), updating the criteria or thresholds for classifying a general-purpose AI model as a general-purpose AI model with systemic risk (Article 51), outlining how the AI Office will enforce the obligations for providers of general-purpose AI models (Chapter IX Section 5), and questions concerning fines, sanctions, and liability.	特に、AI法における主要な概念や定義（「汎用AIモデル」など）の定義、汎用AIモデルをシステミック・リスクを有する汎用AIモデルとして分類するための規準や閾値の更新（第51条）、AI事務局が汎用AIモデルのプロバイダに対する義務をどのように執行するかの概要（第IX章第5節）、罰金、制裁、責任に関する問題などについては、実施規範は取り上げるべきではない。
These issues may instead be addressed through other means (decisions, delegated acts, implementing acts, further communications from the AI Office, etc.).	これらの問題は、代わりに他の手段（決定、委任法、実施法、AI事務局からのさらなるコミュニケーションなど）を通じて対処することができる。
Nevertheless, the Code of Practice may include commitments by providers of general-purpose AI models to document and report additional information, as well as to involve the AI Office and third parties throughout the entire model lifecycle, in so far as this is considered necessary for providers to effectively comply with their obligations under the AI Act.	とはいえ、実施基準には、プロバイダがAI法に基づく義務を効果的に遵守するために必要であると考えられる限りにおいて、汎用AIモデルのプロバイダが、追加情報を文書化して報告すること、及びモデルのライフサイクル全体を通じてAI事務局やサードパーティを関与させることを約束することを含めることができる。
Do AI systems play a role in the Code of Practice?	AIシステムは実施規範の中で役割を果たすのか？
The AI Act distinguishes between AI systems and AI models, imposing requirements for certain AI systems (Chapters II-IV) and obligations for providers of general-purpose AI models (Chapter V). While the provisions of the AI Act concerning AI systems depend on the context of use of the system, the provisions of the AI Act concerning general-purpose AI models apply to the model itself, regardless of what is or will be its ultimate use. The Code of Practice should only pertain to the obligations in the AI Act for providers of general-purpose AI models.	AI法は、AIシステムとAIモデルを区別し、特定のAIシステムには要件を課し（第II章から第IV章）、汎用AIモデルのプロバイダには義務を課している（第V章）。AIシステムに関するAI法の規定がシステムの使用状況に依存するのに対し、汎用AIモデルに関するAI法の規定は、その最終的な用途が何であるか、あるいは何になるかにかかわらず、モデル自体に適用される。実施規範は、汎用AIモデルのプロバイダに対するAI法の義務にのみ関係するはずである。
Nevertheless, there are interactions between the two sets of rules, as general-purpose AI models are typically integrated into and form part of AI systems. If a provider of the general-purpose AI model integrates a general-purpose AI model into an AI system, that provider must comply with the obligations for providers of general-purpose AI models and, if the AI system falls within the scope of the AI Act, must comply with the requirements for AI systems. If a downstream provider integrates a general-purpose AI model into an AI system, the provider of the general-purpose AI model must cooperate with the downstream provider of the AI system to ensure that the latter can comply with its obligations under the AI Act if the AI system falls within the scope of the AI Act (for example by providing certain information to the downstream provider).	とはいえ、汎用AIモデルは一般的にAIシステムに統合され、その一部を構成するため、2つのルールセットの間には相互作用が存在する。汎用AIモデルのプロバイダが汎用AIモデルをAIシステムに統合する場合、そのプロバイダは汎用AIモデルのプロバイダに対する義務を遵守しなければならず、AIシステムがAI法の適用範囲に含まれる場合には、AIシステムに対する要求事項を遵守しなければならない。川下プロバイダが汎用AIモデルをAIシステムに統合する場合、汎用AIモデルのプロバイダは、AIシステムの川下プロバイダがAI法に基づく義務を遵守できるように協力しなければならない（例えば、川下プロバイダに一定の情報を提供するなど）。
Given these interactions between models and systems, and between the obligations and requirements for each, an important question underlying the Code of Practice concerns which measures are appropriate at the model layer, and which need to be taken at the system layer instead.	このようなモデルとシステム、そしてそれぞれの義務と要件の相互関係を考えると、実施規範の根底にある重要な問題は、どのような措置がモデル層で適切であり、代わりにどのような措置をシステム層で講じる必要があるのかということにある。
How does the Code of Practice take into account the needs of start-ups?	実施規範は、新興企業のニーズをどのように考慮しているか？
The Code of Practice should set out its objectives, measures and, as appropriate, key performance indicators (KPIs) to measure the achievement of its objectives. Measures and KPIs related to the obligations applicable to providers of all general-purpose AI models should take due account of the size of the provider and allow simplified ways of compliance for SMEs, including start-ups, that should not represent an excessive cost and not discourage the use of such models (Recital 109). Moreover, the KPIs related to the obligations applicable to providers of general-purpose AI models with systemic risk should reflect differences in size and capacity between various providers (Article 56(5)), while ensuring that they are proportionate to the risks (Article 56(2)(d)).	実施規範は、目的、対策、そして必要に応じて、目的の達成度を測るための主要業績評価指標（KPI）を定めなければならない。すべての汎用AIモデルのプロバイダに適用される義務に関する措置とKPIは、プロバイダの規模を十分に考慮し、新興企業を含む中小企業にとって簡素化された遵守方法を認めるべきである。さらに、システミック・リスクを伴う汎用AIモデルのプロバイダに適用される義務に関連するKPIは、リスクに見合ったものであることを確保しつつ（第56条2項(d)）、様々なプロバイダ間の規模や能力の違いを反映したものでなければならない（第56条5項）。
When will the Code of Practice be finalised?	実施規範はいつ確定するのか？
After the publication of the first draft of the Code of Practice, it is expected that there will be three more drafting rounds over the coming months. Thirteen Chairs and Vice-Chairs, drawn from diverse backgrounds in computer science, AI governance and law, are responsible for synthesizing submissions from a multi-stakeholder consultation and discussions with the Code of Practice Plenary consisting of around 1000 stakeholders. This iterative process will lead to a final Code of Practice which should reflect the various submissions whilst ensuring a convincing implementation of the legal framework.	実施規範の最初のドラフトが公表された後、今後数ヶ月の間にさらに3回のドラフト作業が行われる予定である。コンピュータサイエンス、AIガバナンス、法律など、多様なバックグラウンドを持つ13人の委員長と副委員長が、マルチステークホルダーによる協議や、約1000人のステークホルダーで構成される「行動規範」全体会議での議論を経て、提出された内容を統合する。この反復プロセスは、法的枠組みの説得力のある実施を確保しつつ、様々な提出物を反映した最終的な実施規範につながる。
What are the legal effects of the Code of Practice?	実施規範の法的効果は？
If approved via implementing act, the Code of Practice obtains general validity, meaning that adherence to the Code of Practice becomes a means to demonstrate compliance with the AI Act. Nevertheless, compliance with the AI Act can also be demonstrated in other ways.	実施法によって承認されれば、実施規範は一般的妥当性を確認することができ、実施規範の遵守がAI法の遵守を証明する手段となる。とはいえ、AI法の遵守は他の方法でも証明できる。
Based on the AI Act, additional legal effects of the Code of Practice are that the AI Office can enforce adherence to the Code of Practice (Article 89(1)) and should take into account commitments made in the Code of Practice when fixing the amount of fines (Article 101(1)).	AI法に基づき、実施規範の追加的な法的効果として、AI事務局は実施規範の遵守を強制することができ（第89条1項）、罰金額を定める際には実施規範の公約を考慮すべきである（第101条1項）。
How will the Code of Practice be reviewed and updated?	実施規範はどのように見直され、更新されるのか？
While the first draft of the Code of Practice does not yet contain details on its review and updating, further iterations of the draft, and any implementing act adopted to approve the final Code of Practice, can be expected to include this information.	実施規範の第1草案には、その見直しと更新に関する詳細はまだ記載されていないが、草案のさらなる見直しや、最終的な実施規範を承認するために採択される施行法には、この情報が含まれることが期待される。
Which enforcement powers does the AI Office have?	AI事務局はどのような執行権限を有するのか？
The AI Office will enforce the obligations for providers of general-purpose AI models (Article 88), as well as support governance bodies within Member States in their enforcement of the requirements for AI systems (Article 75), among other tasks. Enforcement by the AI Office is underpinned by the powers given to it by the AI Act, namely the powers to request information (Article 91), conduct evaluations of general-purpose AI models (Article 92), request measures from providers, including implementing risk mitigations and recalling the model from the market (Article 93), and to impose fines of up to 3% of global annual turnover or 15 million Euros, whichever is higher (Article 101).	AI事務局は、汎用AIモデルのプロバイダに対する義務（第88条）を実施するほか、AIシステムに対する要求事項（第75条）を実施する加盟国のガバナンス団体を支援する。AI事務局による施行は、AI法によってAI事務局に与えられた権限、すなわち、情報要求権（第91条）、汎用AIモデルの評価実施権（第92条）、リスク緩和の実施やモデルの市場からの回収を含むプロバイダへの措置要求権（第93条）、および全世界の年間売上高の3％または1500万ユーロのいずれか高い方を上限とする罰金（第101条）によって支えられている。

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.04 欧州評議会 AIシステムの人権への影響を評価する新しいツールを発表 (2024.12.02)

・2024.10.30 欧州 AI法の調和標準の策定について...

・2024.10.18 オランダ AI利用ガイド (2024.10.16)

・2024.08.05 欧州AI法が施行された... (2024.08.01)

・2024.07.20 EU EDPB GDPRとEU-AI法関連

・2024.07.19 ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

2024.12.06 14:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

米国ホワイトハウス「サイバー人材と教育のエコシステムツールキット - 地域をつなぐ人をつなぐ」 (2024.12.02)

こんにちは、丸山満彦です。

ホワイトハウスのONCDから、「サイバー人材と教育のエコシステムツールキット - 地域をつなぐ人をつなぐ」が公表されていますね...

雇用側（産業界）、学術界、非営利団体、政府、その他の利害関係者間のつながりを構築する方法についての提言ということですね。

日本の政策においても参考になるかもですね...

● U.S. White House - ONCD

・2024.12.02 Readout: National Cyber Director Harry Coker and Congressman Bennie Thompson visit Mississippi to Highlight Best Practices Building the Nation’s Cyber Workforce and Work Done to Bring Good-Paying Cyber Jobs to Mississippi

Readout: National Cyber Director Harry Coker and Congressman Bennie Thompson visit Mississippi to Highlight Best Practices Building the Nation’s Cyber Workforce and Work Done to Bring Good-Paying Cyber Jobs to Mississippi	読み上げハリー・コーカー国家サイバー長官とベニー・トンプソン下院議員がミシシッピ州を訪問し、国家のサイバー人材育成のベストプラクティスと、ミシシッピ州に高収入のサイバー雇用をもたらすために行われた活動を紹介した。
ONCD announces new toolkit to help build and strengthen their cybersecurity ecosystems to better connect students with good-paying cyber jobs.	ONCDは、サイバーセキュリティのエコシステムを構築・強化し、学生を高収入のサイバー職につなげるための新しいツールキットを発表した。
Today, in Raymond, Mississippi, White House National Cyber Director Harry Coker, Jr. joined House Homeland Security Committee Ranking Member Bennie Thompson (MS-02) to spotlight best practices in Mississippi that are bringing good-paying cyber jobs to students across the area. They also highlighted investments by the Biden-Harris Administration that are contributing to more Mississippians being able to participate and thrive in the digital economy.	本日、ミシシッピ州レイモンドで、ホワイトハウスのハリー・コーカー・ジュニア・国家サイバー長官は、下院国土安全保障委員会のベニー・トンプソン委員（MS-02）と共に、ミシシッピ州全域の学生に高収入のサイバー職をもたらすミシシッピ州のベスト・プラクティスを紹介した。また、バイデン-ハリス政権による投資が、より多くのミシシッピ州民がデジタル経済に参加し、繁栄することに貢献していることも強調した。
Director Coker and Congressman Thompson spoke at Hinds Community College to celebrate the success of three academic institutions in the Jackson, Mississippi area: Hinds Community College (Hinds), Jackson State University (JSU), and Tougaloo College, which have all built strong programs and offerings to expand students’ interests in cyber and provide hands-on learning to prepare them for a cyber career.	コーカー長官とトンプソン下院議員は、ミシシッピ州ジャクソン地域の3つの学術機構の成功を祝うため、ハンズ・コミュニティ・カレッジで講演を行った：ハンズ・コミュニティ・カレッジ（Hinds）、ジャクソン州立大学（JSU）、トゥガルー・カレッジの3校はいずれも、学生のサイバーへの関心を高め、サイバー・キャリアへの準備のための実践的な学習を提供する強力なプログラムを構築している。
In line with the Biden-Harris Administration’s National Cyber Workforce and Education Strategy (NCWES) released in July 2023, Director Coker and Congressman Thompson heard about how a focus on work-based, experiential learning opportunities gives students a significant advantage when entering the workforce, allowing them to attain good-paying, meaningful jobs in cybersecurity that benefits their communities.	2023年7月に発表されたバイデン-ハリス政権の国家サイバー人材・教育戦略（NCWES）に沿って、コーカー長官とトンプソン下院議員は、仕事ベースの体験的な学習機会を重視することで、学生が社会に出たときに大きなアドバンテージを得ることができ、地域社会に利益をもたらすサイバーセキュリティの高賃金で有意義な仕事を獲得できるようになることを聞いた。
In Mississippi, as in other parts of the Nation, there is a strong demand for cyber talent. Over 5,000 Mississippians are currently employed in cyber careers, yet there are still almost 2,290 open cybersecurity jobs in the state, including about 950 open jobs in the Jackson area.	ミシシッピ州では、全米の他の地域と同様に、サイバー人材に対する強い需要がある。現在5,000人以上のミシシッピ州民がサイバーセキュリティの仕事に就いているが、州内にはまだ約2,290のサイバーセキュリティの仕事があり、ジャクソン地区では約950の仕事がある。
Director Coker and Congressman Thompson toured Hinds Community College’s facilities, spoke with students and alumni and met with administrators from Hinds, JSU, and Tougaloo College to learn about best practices at each of their institutions and how they can work together to inspire and train the next generation of cyber leaders. The day concluded with a roundtable of local employers all of whom are part of a growing cyber ecosystem. The group discussed ways they could further partner to increase access to cyber careers for students from all backgrounds, create competitive job opportunities, and keep cyber talent in the local community.	コーカー長官とトンプソン下院議員は、ハンズ・コミュニティ・カレッジの施設を見学し、学生や卒業生と話し、ハンズ、JSU、トゥガルー・カレッジの管理者と面会し、それぞれの機構におけるベスト・プラクティスや、次世代のサイバー・リーダーを鼓舞し育成するためにどのように協力できるかを学んだ。この日は、成長するサイバー・エコシステムの一翼を担う地元の雇用主による円卓会議で締めくくられた。このグループは、あらゆる背景を持つ学生のサイバー・キャリアへのアクセスを向上させ、競争力のある雇用機会を創出し、地域社会にサイバー人材を確保するために、さらなる提携を行う方法について話し合った。
“In order to protect the Nation and the critical digital systems that underpin our way of life, we must have a large, robust cybersecurity workforce. And in order to achieve the best mission outcomes, we need the best possible team,” said Director Coker. “I consider Mississippi to be an untapped talent pool, which America has to leverage to be as good as we need to be and as secure as we deserve.”	コーカー長官は次のように述べた。「国家と、我々の生活を支える重要なデジタルシステムを守るためには、大規模で強固なサイバーセキュリティ人材を確保しなければならない。そして、最高の任務を達成するためには、最高のチームが必要である。ミシシッピ州は未開拓の人材プールであり、米国はそれを活用することで、必要なだけの能力を備え、それに値するだけの安全性を確保することができる」。
Director Coker’s full remarks are available here.	コーカー局長の発言全文はこちらから。
The NCWES emphasizes the importance of locally-driven ecosystems, like the one in and around Jackson, which help equip cyber talent with the skills needed to meet the community’s needs and provide good-paying jobs to support local and national economic prosperity.	NCWESは、ジャクソンのような地域主導のエコシステムの重要性を強調している。エコシステムは、地域のニーズを満たすために必要なスキルをサイバー人材に身につけさせ、地域と国の経済繁栄を支える高収入の仕事を提供するのに役立つ。
Today, Director Coker announced the release of a new Cyber Workforce and Education Ecosystem Toolkit, a resource designed to help communities develop or expand their ecosystems. This Toolkit provides targeted recommendations for how to forge connections between employers, academia, non-profits, Government, and other stakeholders to foster strong cyber talent pipelines.	本日、コーカー長官は、地域社会がエコシステムを開発または拡大するのを支援するために設計されたリソースである、新しいサイバー人材・教育エコシステム・ツールキットのリリースを発表した。このツールキットは、強力なサイバー人材パイプラインを育成するために、雇用主、学術界、非営利団体、政府、その他の利害関係者間のつながりを構築する方法について、的を絞った提言を提供するものである。
“Today, I am proud to announce the publication of the Office of the National Cyber Director’s Cyber Workforce and Education Ecosystem Toolkit, which features what we have learned from these trips and best practices we hope to see be adopted in ecosystems all around the country,” said Director Coker. “This cyber ecosystem toolkit will help communities that are earlier in their journey of building the connections and best practices that set their students up become cyber workers so they are able to have good-paying, meaningful jobs at home, including here in Mississippi.”	「このツールキットは、私たちがこれらの視察から学んだこと、そして私たちが全国のエコシステムで採用されることを望むベストプラクティスを特集したものである。「このサイバー・エコシステム・ツールキットは、ここミシシッピ州を含め、生徒が自国で給料の良い有意義な仕事に就けるよう、サイバー労働者になるためのコネクションやベストプラクティスを構築する旅の初期段階にある地域社会を支援するものである。
In his remarks, Director Coker stressed the importance of HBCUs in growing a robust cyber workforce. HBCUs like JSU, Tougaloo College, and Hinds Community College’s Utica campus foster academic excellence around the country and play an important role in developing talent by creating pathways into cyber careers for Black Americans, who have traditionally been underrepresented in the cyber workforce. To help broaden pathways into cyber for Black Americans, the Office of the National Cyber Director has been working to expand the number of HBCUs with a National Center of Academic Excellence in Cybersecurity (NCAE-C) designation, the gold standard of cyber education. Through outreach efforts over the last year, ONCD has helped seven HBCUs begin the NCAE-C designation process.	コーカー長官は挨拶の中で、強力なサイバー人材育成におけるHBCUの重要性を強調した。JSU、トゥガルー・カレッジ、ヒンズ・コミュニティ・カレッジのユティカ・キャンパスのようなHBCUは、全米で卓越した学問を育成しており、伝統的にサイバー労働力として十分な存在感を示してこなかった黒人系アメリカ人にサイバー・キャリアへの道を開き、人材育成に重要な役割を果たしている。黒人系アメリカ人のサイバー分野への進路を広げるため、国家サイバー長官室は、サイバー教育の標準である国立サイバーセキュリティ・センター・オブ・エクセレンス（NCAE-C）の指定を受けたHBCUの数を拡大することに取り組んできた。ONCDは、昨年度の支援活動を通じて、7つのHBCUがNCAE-Cの指定プロセスを開始するのを支援した。
The Biden-Harris Administration’s Investing in America agenda, with support from advocates like Congressman Thompson, is ensuring that more resources are available for Mississippi, including the $1.7 billion that has been provided for affordable, reliable high-speed Internet. These investments include:	バイデン-ハリス政権の「アメリカへの投資」アジェンダは、トンプソン議員のような支持者の支援により、手頃な価格で信頼できる高速インターネットに提供された17億ドルを含め、ミシシッピ州により多くの資源が提供されることを保証している。これらの投資には以下が含まれる：
・Investing in expanding access to high-speed Internet across Mississippi with over $1.2 billion to build high-speed internet infrastructure, provide equipment, and teach skills so everyone can use the Internet;	・ミシシッピ州全体の高速インターネットへのアクセス拡大に12億ドル以上を投資し、高速インターネット・インフラを構築し、機器を提供し、誰もがインターネットを利用できるようにスキルを教える；
・Investing in efforts to promote digital inclusion and advance equity with $11.6 million through Digital Equity Act programs in the state; and	・デジタル・インクルージョンを促進し、公平性を高める取り組みに投資し、州内のDigital Equity Actプログラムを通じて1,160万ドルを提供する。
・Investing in ensuring lowered costs of high-speed Internet services to unserved and underserved communities with almost $13.6 million from the Enabling Middle Mile Broadband Infrastructure Program.	・Enabling Middle Mile Broadband Infrastructure Programによる約1,360万ドルで、サービスが行き届いていない地域や十分なサービスを受けていない地域への高速インターネット・サービスのコスト削減を保証する。
Beyond access to the Internet, $270 million was awarded to Mississippi community colleges through the American Rescue Plan, including $87 million to Hinds Community College. Congressman Thompson has been a strong advocate in Washington, helping the Jackson community prepare for the future, with $4 million allocated through congressional direct spending for science, technology, engineering, and math (STEM) projects. This spending included $1.2 million for information technology (IT) training and $2.8 million for the development of a STEM Training Academy.	インターネットへのアクセス以外にも、アメリカン・レスキュー・プランを通じて、ミシシッピ州のコミュニティ・カレッジに2億7,000万ドルが支給され、そのうちの8,700万ドルがハンズ・コミュニティ・カレッジに支給された。トンプソン下院議員はワシントンの強力な支持者であり、ジャクソン・コミュニティが将来に備えるのを支援し、科学・技術・工学・数学（STEM）プロジェクトに議会直接支出を通じて400万ドルが割り当てられた。この支出には、情報技術（IT）訓練に120万ドル、STEM訓練アカデミーの開発に280万ドルが含まれている。
In addition to Government support and academic offerings, employers, non-profits, and other partners also play a critical role in meeting the demand for skilled cyber talent. Today, Director Coker announced the following new commitments from private sector partners, each devoted to strengthening the local and national cyber workforce.	政府の支援や学術的な提供に加え、雇用主、非営利団体、その他のパートナーも、熟練したサイバー人材の需要を満たすために重要な役割を果たしている。本日、コーカー長官は、民間セクターのパートナーからの新たなコミットメントを発表した。
These four new commitments build on over 180 commitments to date from employers, academia, non-profits, and Governments at all levels. They include $110 million in direct funding to expand cyber workforce and education ecosystems, pledges to hire over 35,000 people into the cyber workforce, and commitments to train millions more through hands-on learning pathways.	これら4つの新たなコミットメントは、雇用主、学界、非営利団体、およびあらゆるレベルの政府からの180を超えるコミットメントを基礎とするものである。これらには、サイバー労働力と教育のエコシステムを拡大するための1億1000万ドルの直接資金、3万5000人以上をサイバー労働力として雇用する誓約、実践的な学習経路を通じて数百万人以上を訓練する誓約が含まれる。
Today’s new commitments include:	本日の新たなコミットメントは以下の通りである：
ClearanceJobs	クリアランスジョブズ
ClearanceJobs is committed to highlighting skills-based hiring for cleared technical roles through new resources and increased outreach to both candidates and hiring managers, including a video and article series to highlight the over 250 skills-based positions currently posted on the website, regular articles, and livestreams for candidates about how to apply to skills-based roles, and an article series for recruiters and hiring managers on writing positions descriptions for skills-based roles.	クリアランスジョブズは、現在ウェブサイトに掲載されている250以上のスキルベースのポジションを紹介するビデオや記事シリーズ、定期的な記事、スキルベースのポジションへの応募方法に関する候補者向けのライブストリーム、スキルベースのポジションの説明文の書き方に関するリクルーターや採用担当者向けの記事シリーズなど、新たなリソースや候補者と採用担当者の両方への働きかけの強化を通じて、クリアランスされた技術的役割のスキルベースの採用に焦点を当てることを約束する。
Hack The Box	ハック・ザ・ボックス
Hack The Box commits to train and introduce more than 20,000 individuals to cyber job roles aligned with the NICE Cybersecurity Workforce Framework by 2026 through a gamified platform. In addition, Hack The Box pledges to host 50 Capture The Flag (CTF) events, emphasizing outreach to high schools and universities, while collaborating with Government agencies to expand the cybersecurity workforce and enhance national resilience by focusing on increasing the representation of women, underrepresented groups, veterans, transitioning service members, and individuals from diverse socioeconomic backgrounds in cybersecurity.	Hack The Boxは、ゲーム化されたプラットフォームを通じて、2026年までに2万人以上にNICEサイバーセキュリティ人材枠組みに沿ったサイバー職務を訓練し、紹介することを約束する。さらにHack The Boxは、サイバーセキュリティの労働力を拡大し、国のレジリエンスを強化するために、政府機関と協力しながら、サイバーセキュリティにおける女性、社会的地位の低いグループ、退役軍人、移行兵、多様な社会経済的背景を持つ個人の代表を増やすことに重点を置きながら、高校や大学へのアウトリーチを重視したCTF（Capture The Flag）イベントを50回開催することを約束する。
SkillStorm	スキルストーム
SkillStorm is committed to training over 400 registered apprentices in 2025 to provide in-demand skills and boost economic mobility for individuals and organizations while accelerating the digital transformation in key sectors including cybersecurity, AI/ML, software development, and Cloud.	SkillStormは、サイバーセキュリティ、AI/ML、ソフトウェア開発、クラウドなどの主要分野におけるデジタルトランスフォーメーションを加速させながら、需要の高いスキルを提供し、個人や組織の経済的流動性を高めるために、2025年に400人以上の登録実習生を育成することを約束している。
STEMatch	STEMatch
STEMatch commits to expanding the COMPETE program to 40 students in 2025 with a total of 130 by 2026, using a grant provided by the Commonwealth of Massachusetts and funding from partner companies. The COMPETE program commitment provides skills training, company partnerships, mentorship, and paid internships to community college students who enter cybersecurity, IT support, software development, or EE/Electronics careers.	STEMatchは、マサチューセッツ州から提供される助成金とパートナー企業からの資金を活用し、COMPETEプログラムを2025年に40名、2026年までに合計130名に拡大することを約束している。COMPETEプログラムは、サイバーセキュリティ、ITサポート、ソフトウェア開発、EE/Electronicsのキャリアを目指すコミュニティカレッジの学生に、スキルトレーニング、企業との提携、指導、有給インターンシップを提供する。

・[PDF]

コーカー長官の発言の全文...

・2024.12.02 Remarks: National Cyber Director Coker at Hinds Community College

Remarks: National Cyber Director Coker at Hinds Community College	発言コーカー国家サイバー長官、ハンズ・コミュニティ・カレッジにて講演
Remarks as Prepared for Delivery	挨拶
Good afternoon,	こんにちは、
Thank you, Congressman Thompson, for inviting me to Jackson to showcase the incredible cyber ecosystem that has been built here.	トンプソン議員、ジャクソンにお招きいただき、ここで構築された素晴らしいサイバーエコシステムをご紹介いただきありがとう。
Thank you to Vice President Ginger Robbins and Vice President Jonathan Townes for the great work you’re doing here at Hinds Community College. I am grateful for your hospitality and graciousness in hosting us here.	ジンジャー・ロビンス副学長とジョナサン・タウンズ副学長には、ここハンズ・コミュニティ・カレッジでの素晴らしい仕事に感謝している。私たちを快く受け入れてくださったことに感謝している。
I want to thank Provost Dr. Denise Jones Gregory of Jackson State University and Provost Dr. Josiah Sampson of Tougaloo College and the rest of the college and university leadership for being here today.	ジャクソン州立大学のデニス・ジョーンズ・グレゴリー学長、トゥガルー・カレッジのジョサイア・サンプソン学長をはじめとする大学・カレッジの指導者の方々にも感謝したい。
I want to thank Regional Director Jay Gamble from CISA for also joining us today.	CISAのジェイ・ギャンブル地域ディレクターにも感謝したい。
To the school leaders, faculty, and partners from across the community, it’s a pleasure to spend time with you today.	地域の学校指導者、教員、パートナーの皆さん、今日はご一緒できて嬉しい。
And to the students we met this morning – I feel particularly inspired knowing that you’ll be well-prepared and excited for a future helping defend our Nation.	そして、今朝お会いした生徒の皆さん、私は、皆さんが将来、私たちの国を守るために十分な準備をし、わくわくしていることを知って、特に刺激を受けている。
I’ve been inspired by what I have seen about the great work you’re doing in the Jackson area and across Mississippi. You are working together to make sure that students are prepared to join our Nation’s cyber workforce. And that couldn’t be more important.	私は、ジャクソン地域やミシシッピ州全域で皆さんが行っている素晴らしい仕事について目にしたことに感銘を受けている。皆さんは、学生たちがわが国のサイバー人材になるための準備を整えるために協力している。そしてそれは、これ以上ないほど重要なことだ。
In July 2023, President Biden released the National Cyber Workforce and Education Strategy – a foundational document that focuses our collective effort on growing the cyber workforce – and follows up visions he laid out in America’s landmark National Cybersecurity Strategy.	2023年7月、バイデン大統領は「国家サイバー人材・教育戦略」を発表した。これは、サイバー人材の育成に向けた我々の総力を結集するための基本的な文書であり、米国の画期的な国家サイバーセキュリティ戦略で打ち出されたビジョンを踏襲するものである。
There’s a point I consistently believe needs to be make clear: having a strong cyber workforce isn’t only a matter of National security. It’s also a matter of economic prosperity and technological innovation.	強力なサイバー人材を確保することは、国家安全保障だけの問題ではない。それはまた、経済的繁栄と技術革新の問題でもある。
When I was in uniform, it was almost exclusively those of us in the Federal Government who were on the front lines defending our Nation against Nation-states.	私が軍服を着ていた頃、国家から国を守る最前線にいたのは、ほとんど連邦政府の人間だけだった。
But today, in our increasingly digital world, all of us can find ourselves up against bad cyber actors – whether they are foreign Governments or cyber criminals. And that’s a real concern for small businesses, schools, hospitals, state, local, territorial and Tribal Governments, and those that own and operate critical infrastructure.	しかし今日、ますますデジタル化が進む世界では、悪質なサイバー・アクター（それが外国政府であろうとサイバー犯罪者であろうと）に直面する可能性がある。そしてそれは、中小企業、学校、病院、州政府、地方政府、準州政府、部族政府、そして重要なインフラを所有し運営している人々にとって、本当に懸念すべきことなのだ。
Today, there are approximately half a million – 500,000 – open cybersecurity jobs in our great Nation.	現在、わが国ではサイバーセキュリティの職が約50万人（50万人）募集されている。
Here in Mississippi, there are almost 2,290 open cybersecurity jobs, and about 950 of those open jobs are here in the Jackson area.	ここミシシッピ州では、約2,290件のサイバーセキュリティ関連の求人があり、そのうち約950件がここジャクソン地域で募集されている。
In order to protect the Nation and the critical digital systems that underpin our way of life, we must have a large, robust cybersecurity workforce.	国家と、我々の生活を支える重要なデジタル・システムを守るためには、大規模で強固なサイバーセキュリティの労働力を確保しなければならない。
And in order to achieve the best mission outcomes, we need the best possible team.	そして、最高の任務成果を達成するためには、可能な限り最高のチームが必要である。
So, we need more people seeing themselves serving their own communities doing cyber jobs.	そのため、より多くの人々が、自分たちの地域社会でサイバー関連の仕事に従事している姿を目にする必要がある。
We need more people being trained and educated in cyber-related fields.	サイバー関連の分野で訓練を受け、教育を受ける人を増やす必要がある。
We need more ways for them to join our ranks.	彼らが我々の仲間に加わる方法を増やす必要がある。
We need Mississippi to help make our Nation safer and stronger. I consider Mississippi to be an untapped talent pool, which America has to leverage to be as good as we need to be and as secure as we deserve.	私たちの国をより安全で強固なものにするために、ミシシッピ州が必要なのだ。ミシシッピ州は未開発の才能の宝庫であり、それを活用することで、アメリカは必要なだけの力を発揮し、それに値するだけの安全性を確保することができる。
As I mentioned, Congressman Thompson and I are pleased to be here, meeting students and learning from the leadership of Hinds, Jackson State, and Tougaloo College.	申し上げたように、トンプソン下院議員と私はここで学生に会い、ハインズ大学、ジャクソン州立大学、トゥガルー大学の指導者から学べることを嬉しく思う。
In my year as National Cyber Director, I’ve been traveling across the country to see firsthand, and spotlight, the best practices – the things that are going right – as we work to build the Nation’s cybersecurity workforce.	国家サイバー部長としての1年間、私は全米を回り、国のサイバーセキュリティ人材の育成に取り組む中で、ベストプラクティス（うまくいっていること）を直接目にし、スポットライトを当ててきた。
From Madison to Michigan, and Norfolk to North Carolina, a common theme I’ve seen in all my travels is that the communities who have truly come together – where schools and employers are closely connected, where students are acquiring skills and the ability to use them through valuable internships and apprenticeships, where local Governments are eager to build bridges – these are the communities that are thriving and building the Nation’s cyber workforce.	マディソン州からミシガン州、ノーフォーク州からノースカロライナ州まで、私が旅先で目にした共通のテーマは、学校と雇用主が密接に結びつき、学生が貴重なインターンシップや実習を通じてスキルとそれを活用する能力を身につけ、地方政府が橋渡しに熱心な、真に団結した地域社会が繁栄し、国のサイバー人材を育成しているということである。
But building the cadre of cyber professionals isn’t an effort we can mandate from Washington. The most impactful work is happening community-by-community. We call these hubs of activity cyber ecosystems. And, after fourteen trips to community colleges, technical colleges, four-year universities, and community hubs, the National Cyber Director’s Office is proud to share the best practices we’ve seen in some of the strongest ecosystems in the Nation.	しかし、サイバー専門家の幹部を育成することは、ワシントンから強制できる取り組みではない。最も影響力のある仕事は、コミュニティごとに行われている。私たちはこうした活動の拠点をサイバー・エコシステムと呼んでいる。そして、コミュニティ・カレッジ、高等専門学校、4年制大学、コミュニティ・ハブを14回訪問した後、国家サイバー局長室は、全米で最も強力なエコシステムのいくつかで見たベスト・プラクティスを共有できることを誇りに思う。
Today, I am proud to announce the publication of the Office of the National Cyber Director’s Cyber Workforce and Education Ecosystem Toolkit, which features what we have learned from these trips and best practices we hope to see be adopted in ecosystems all around the country.	このツールキットは、私たちがこれらの視察から学んだこと、そして全米のエコシステムで採用されることを望むベストプラクティスを特集したものである。
This cyber ecosystem toolkit will help communities that are earlier in their journey of building the connections and best practices that set their students up become cyber workers so they are able to have good-paying, meaningful jobs at home, here in Mississippi.	このサイバー・エコシステム・ツールキットは、生徒たちがここミシシッピで、給料の良い有意義な仕事に就けるよう、サイバー労働者になるためのつながりやベストプラクティスを構築する旅の初期段階にある地域社会を支援するものである。
I hope the toolkit will be helpful for all of you as you continue to develop the cyber ecosystem in the Jackson area. And I hope other communities across the country will be able to learn from your work in Jackson and from the resources in the toolkit to build ecosystems that support their local and regional cyber workforce needs.	このツールキットが、ジャクソン地域のサイバー・エコシステムを発展させ続ける皆さんの役に立つことを願っている。そして、全国の他の地域社会が、あなた方のジャクソンでの活動やツールキットのリソースから学び、地元や地域のサイバー人材ニーズをサポートするエコシステムを構築できることを願っている。
Truth be told, I’ve already been truly impressed by the cyber ecosystem that you have developed and are continuing to grow in this region.	実を言うと、私はすでに、皆さんがこの地域で発展させ、成長させ続けているサイバー・エコシステムに心から感銘を受けている。
The institutions represented here today each demonstrate some of those best practices I mentioned earlier, which are included in the ecosystem toolkit and help us build a strong cyber workforce for our Nation.	本日ここに代表者をお招きした機構は、エコシステム・ツールキットに含まれる、先に述べたベスト・プラクティスのいくつかを実証しており、我が国の強力なサイバー人材の育成に貢献している。
Our host today, Hinds Community College, has earned the designation of Center of Academic Excellence – or CAE – in Cybersecurity. In fact, they were one of the first schools in Mississippi to achieve this impressive distinction.	本日のホスト校であるハンズ・コミュニティ・カレッジは、サイバーセキュリティ分野でCAE（Center of Academic Excellence）の認定を受けている。実際、同校はミシシッピ州で最初にこの素晴らしい栄誉を獲得した学校のひとつである。
The CAE program is administered by the National Security Agency and, as a former Executive Director of the NSA, I can tell you that status is not easy to obtain nor maintain. It’s the gold standard for cyber education, so it’s a big deal, and Mississippi should be proud of Hinds Community College. Congratulations.	CAEプログラムは国家安全保障局によって運営されており、NSAの元事務局長として言わせてもらえば、このステータスを得るのも維持するのも容易ではない。CAEはサイバー教育の標準であり、ミシシッピ州はハンズ・コミュニティ・カレッジを誇りに思うべきだ。おめでとう。
Jackson State has been working to build its cyber infrastructure and is developing programs and lab spaces to give its computer science and computer engineering students valuable hands-on experience with cybersecurity.	ジャクソン州立大学は、サイバーインフラの構築に取り組んでおり、コンピュータサイエンスとコンピュータエンジニアリングの学生にサイバーセキュリティに関する貴重な実地体験をさせるためのプログラムやラボスペースを開発している。
Just last month, Jackson State received a $2 million grant from Entergy to create a Critical Power Grid Network Security Lab.	つい先月、ジャクソン州立大学は、重要電力網ネットワーク・セキュリティ・ラボを設立するために、エンタージー社から200万ドルの助成金を受け取った。
This project will be a key part of JSU’s commitment to workforce development, and will help train a highly-skilled cybersecurity workforce by providing real-world experience safeguarding critical power grid infrastructure. We are grateful for JSU’s efforts to advance Mississippi’s – and the United States’ – economic prosperity and national security. Thank you, JSU.	このプロジェクトは、JSUが人材育成に取り組む上で重要な役割を果たすものであり、重要な電力網インフラを守る実体験を提供することで、高度な技能を持つサイバーセキュリティ人材の育成に貢献する。ミシシッピ州、そして米国の経済的繁栄と国家安全保障を促進するJSUの努力に感謝する。ありがとう、JSU。
And Tougaloo College has, not only, produced a congressional leader who cares deeply about cyber in Representative Thompson, but just last month Tougaloo opened its CyberSecurity Clinic.	そしてトゥガルー・カレッジは、トンプソン代表者というサイバーに深い関心を寄せる議会指導者を輩出しただけでなく、先月にはサイバーセキュリティ・クリニックを開設したばかりだ。
I love clinics because they bring students together and give critical hands-on experience while encouraging students to provide their expertise to organizations in the community that could badly use some cyber advice.	私がクリニックを気に入っているのは、学生を集め、重要な実地体験をさせながら、サイバー・アドバイスを必要としている地域の組織に専門知識を提供するよう学生を奨励しているからだ。
That means students are gaining real-world experience, which will make them job-ready on day-one after graduation and small businesses and other critical organizations in the community are better protected. Congratulations and thank you to Tougaloo.	つまり、学生は実地経験を積むことで、卒業後すぐに仕事に就くことができ、中小企業や地域の重要な組織はより守られることになる。おめでとう、そしてトゥガルーに感謝する。
The work I saw here today from all three of these institutions represents the kinds of best practices that we need to scale nationwide. I commend you for it. It’s clear that you are absolutely part of the solution. And I’m excited for the panel to follow where we’ll all learn more about these best practices.	私が今日ここで見た3つの機構の取り組みは、私たちが全国的に拡大する必要のある、ある種のベストプラクティスを代表するものである。私はあなた方を賞賛する。あなた方が解決策の一部であることは明らかだ。この後のパネルディスカッションで、これらのベストプラクティスについてさらに学びたいと思う。
Make no mistake, there is outstanding talent here in Mississippi. This talent will be a part of the solution to our growing need for skilled cyber talent and will be the next generation to keep our country safe.	間違いなく、ミシシッピには傑出した才能がいる。この優秀な人材は、熟練したサイバー人材に対するニーズの高まりに対する解決策の一部となり、わが国の安全を守る次世代の人材となるだろう。
The work being done here demonstrates how we can continue to support Americans by reducing barriers to good-paying, meaningful cyber jobs and providing students with hands-on experience and flexible pathways into the field.	ここで行われている活動は、高賃金で有意義なサイバー職への障壁を減らし、学生に実地体験とこの分野への柔軟な進路を提供することで、米国人を支援し続けることができることを示している。
The spirit of collaboration and partnership in the Jackson area helps create pathways for students from all backgrounds, so that opportunity is available for everyone. It also helps employers by providing a skilled cyber workforce whose training aligns to the specific needs in this community.	ジャクソン地域の協力とパートナーシップの精神は、あらゆる背景を持つ学生の進路開拓に役立ち、誰にでもチャンスが与えられる。また、この地域の特定のニーズに沿った訓練を受けた熟練したサイバー労働力を提供することで、雇用者にも役立っている。
As we work to grow the cyber workforce and expand opportunities to make sure we have the very best team possible, HBCUs have proven to be a vital to provide the talent our Nation needs to fill our open cybersecurity jobs, to foster academic excellence around our country, and to serve as a ladder for opportunities for all communities.	私たちがサイバー労働力の育成に取り組み、可能な限り最高のチームを編成できるよう機会を拡大する中で、HBCUは、サイバーセキュリティの公募職を満たすために我が国が必要とする人材を提供し、我が国各地で学問的卓越性を育成し、すべての地域社会にとって機会のはしごとしての役割を果たすために不可欠であることが証明されている。
At ONCD, we have been working to expand the number of HBCUs with the NSA’s Center of Academic Excellence in Cybersecurity designation that I mentioned earlier.	ONCD では、先に述べた NSA のサイバーセキュリティ分野の卓越した学問のセンター（Center of Academic Excellence in Cybersecurity）の指定を受けた HBCU の数を増やす努力をしてきた。
The CAE designation helps recognize their role in educating the next generation of the cyber workforce and provides additional funding, support, and opportunities for their programs.	CAEの指定は、次世代のサイバー人材教育におけるHBCUの役割を認識し、プログラムに追加的な資金、支援、機会を提供するのに役立つ。
Partners across industry also recognize the critical role that HBCUs play in creating a skilled cyber workforce. ONCD has received many commitments from employers, academia, non-profits, and other partners to support the implementation of the National Cyber Workforce and Education Strategy, which supports HBCUs and expands the opportunities available for Black Americans. IBM, Cisco, and the National Cybersecurity Alliance are just some of the organizations stepping up to establish leadership centers and train students from HBCUs.	また、業界全体のパートナーも、HBCUが熟練したサイバー人材の育成に果たす重要な役割を認識している。ONCDは、雇用主、学術界、非営利団体、その他のパートナーから、HBCUを支援し、黒人系アメリカ人が利用できる機会を拡大する国家サイバー人材・教育戦略の実施を支援するために、多くのコミットメントを得た。IBM、シスコ、全米サイバーセキュリティ連盟は、リーダーシップ・センターを設立し、HBCUの学生を訓練するために立ち上がった組織のほんの一部である。
It is my hope that more HBCUs will gain their CAE designation and that’s something Chairman Thompson and I have talked about today.	より多くのHBCUがCAEを取得することが私の望みであり、それはトンプソン会長と私が今日話したことでもある。
While I’ve been the National Cyber Director, I’ve spent a lot of time speaking with leaders across critical infrastructure and I repeatedly hear two things: they need more people ready to join the cyber workforce – like the talent you are growing here in Jackson – and they need resources.	私が国家サイバー局長であった間、私は重要インフラ全体のリーダーと話すことに多くの時間を費やしてきたが、繰り返し2つのことを聞いた。
Thanks to the Biden-Harris Administration’s Investing in America agenda – and through the hard work and collaboration of people like Congressman Thompson – we are making sure that more resources become available for Mississippi.	バイデン-ハリス政権の「アメリカへの投資」アジェンダのおかげで、そしてトンプソン下院議員のような人々の努力と協力のおかげで、ミシシッピ州にとってより多くのリソースが利用できるようになった。
We’re ensuring access to the digital economy for every American. Across the state, more than 244,000 households are benefitting from $1.7 billion provided for affordable, reliable high-speed Internet. These benefits include:	私たちは、すべてのアメリカ人がデジタル経済にアクセスできるようにしている。州全体で、24万4,000世帯以上が、手頃な価格で信頼できる高速インターネットのために提供された17億ドルの恩恵を受けている。これらの恩恵には以下が含まれる：
Over $1.2 billion from the Broadband Equity, Access, and Deployment (or BEAD) Program to build high-speed Internet infrastructure, support teaching skills, and provide equipment so everyone can use the Internet.	Broadband Equity, Access, and Deployment (BEAD)プログラムから12億ドル以上が提供され、誰もがインターネットを利用できるよう、高速インターネット・インフラの構築、教育スキルのサポート、機器の提供が行われている。
More than $13.6 million from the Enabling Middle Mile Broadband Infrastructure Program to reduce the cost of bringing high-speed Internet service to unserved and underserved communities by connecting local networks to major networks.	Enabling Middle Mile Broadband Infrastructure Programから1,360万ドル以上を拠出し、地域のネットワークを主要ネットワークに接続することで、サービスが行き届いていない地域に高速インターネット・サービスを提供するコストを削減する。
$11.6 million from Digital Equity Act Programs to provide funding to promote digital inclusion and advance equity for all. These programs aim to ensure that all communities have access to and can use affordable, reliable high-speed Internet.	デジタル・インクルージョンを促進し、すべての人のための公平性を高めるための資金をプロバイダするDigital Equity Act Programsから1160万ドル。これらのプログラムは、すべての地域社会が安価で信頼できる高速インターネットを利用できるようにすることを目的としている。
$270 million was awarded to Mississippi community colleges because of the American Rescue Plan, including $87 million to Hinds Community College.	アメリカン・レスキュー・プランにより、ミシシッピ州のコミュニティ・カレッジに2億7,000万ドルが支給され、そのうちの8,700万ドルがハンズ・コミュニティ・カレッジに支給された。
My friend Congressman Thompson has played a huge role in making sure that Hinds Community College and the Jackson community is prepared for the future.	私の友人であるトンプソン下院議員は、ハンズ・コミュニティ・カレッジとジャクソン・コミュニティが将来に備えることができるよう、大きな役割を果たしてくれた。
This includes $4 million allocated through Congressional Direct Spending for STEM projects, including $1.2 million for IT training and $2.8 million for the development of a STEM Training Academy.	これには、ITトレーニングに120万ドル、STEMトレーニング・アカデミーの開発に280万ドルを含む、STEMプロジェクトに対する議会直接支出による400万ドルが含まれている。
So, the Federal Government – and the Biden-Harris Administration – are making important investments. But we	つまり、連邦政府、そしてバイデン＝ハリス政権は、重要な投資を行っているのだ。しかし、我々は
know that the Federal Government can not solve this issue alone. Collaboration and partnership are critical to our success. And we’ve been seeing time and time again, partners step up and join our efforts.	連邦政府だけではこの問題を解決できないことは分かっている。我々の成功には、協力とパートナーシップが不可欠である。そして私たちは、パートナーたちが私たちの取り組みに参加してくれることを何度も目にしてきた。
In support of the National Cyber Workforce and Education Strategy, our office has received over 180 commitments from private sector industry, academia, nonprofits, and Governments at all levels across the country to do their part to grow the cyber workforce and create opportunities for more Americans to enter into good-paying, meaningful cyber careers.	国家サイバー人材・教育戦略を支援するため、私たちのオフィスは、全米の民間企業、学界、非営利団体、あらゆるレベルのガバナンスから、サイバー人材を育成し、より多くの米国人が報酬の高い有意義なサイバー・キャリアに就く機会を創出するために、それぞれの役割を果たすという180を超えるコミットメントを得た。
And the commitments continue to come in. Today I’m proud to announce three new commitments that will help broaden pathways, remove barriers, and connect job seekers to opportunities across the Nation:	そして、約束は続いている。今日、私は、道を広げ、障壁を取り除き、求職者を全米のチャンスに結びつけるのに役立つ3つの新しいコミットメントを発表できることを誇りに思う：
ClearanceJobs will encourage skills-based hiring by providing new resources to both candidates and hiring managers for how to apply and hire for skills-based roles. I want to acknowledge and thank their President Evan Lesser for being here.	クリアランスジョブズは、求職者と採用担当者の双方に、スキルベースの職務に応募し採用するための新しいリソースを提供することにより、スキルベースの採用を奨励する。ここに来てくれたエヴァン・レッサー社長に感謝したい。
SkillStorm, a tech talent firm, has committed to train over 400 registered apprentices in 2025, with an emphasis on providing in-demand skills for cybersecurity, artificial intelligence, machine learning, software development, and cloud.	SkillStormは技術系人材企業で、サイバーセキュリティ、人工知能、機械学習、ソフトウェア開発、クラウドといった需要の高いスキルのプロバイダに重点を置き、2025年に400人以上の登録実習生を育成することを約束している。
And Hack to Box, a cyber training and upskilling provider, will use its gamified platform to train more than 20,000 individuals and introduce them to potential careers in cyber, with an emphasis on outreach and programming for high schools and universities.	また、サイバー訓練とスキルアップのプロバイダであるHack to Boxは、そのゲーム化されたプラットフォームを使用して、2万人以上の個人を訓練し、高校や大学へのアウトリーチとプログラミングに重点を置いて、サイバー分野の潜在的なキャリアを紹介する予定である。
Thank you to these partners, who are showing up to help create new opportunities for all Americans to join the cyber workforce.	すべてのアメリカ人がサイバー労働力に参加できるよう、新たな機会を創出する手助けをしてくれるこれらのパートナーに感謝する。
I have been fortunate to serve in this role for the past year. I have been able to cross the country to hear remarkable stories from everyday people who want to get into cyber.	私はこの1年間、幸運にもこの役割を務めることができた。私は全国を渡り歩き、サイバーの世界に入りたいと願う一般の人々から、驚くべき話を聞くことができた。
Frequently, when you think of cyber and the tech communities around the country, our minds go to Silicon Valley and big coastal cities.	サイバーや国内のハイテク・コミュニティというと、シリコンバレーや沿岸部の大都市を思い浮かべることが多い。
I have been to Silicon Valley, and I have seen the innovative ways it is building and fostering cyber talent.	私はシリコンバレーを訪れたことがあり、サイバー人材を育成する革新的な方法を目の当たりにした。
But, as a country boy from rural Kansas, I’m well aware that cyber talent is in every corner of this country. In fact, some of my most impactful visits have been in unexpected places.	しかし、カンザス州の田舎出身の私は、サイバー人材がこの国の隅々にまでいることをよく知っている。実際、私が最も衝撃を受けた訪問先のいくつかは、思いがけない場所だった。
The cybersecurity training center surrounded by farms in rural Wisconsin. The Pennsylvania Cybersecurity Center in coal country. The collaboration being built by Black Tech Street in Tulsa, Oklahoma. I’ve been inspired by the spirit of innovation I’ve seen as so many have discovered that we have incredible talent, and are creating the next generation of cyber professionals, who will join the fight to protect our great Nation.	ウィスコンシン州の田舎にある農場に囲まれたサイバーセキュリティ・トレーニング・センター。石炭地帯にあるペンシルベニア州のサイバーセキュリティ・センター。オクラホマ州タルサのブラック・テック・ストリートが構築しているコラボレーション。多くの人々が、私たちには素晴らしい才能があることを発見し、私たちの偉大な国家を守るための戦いに参加する次世代のサイバー専門家を生み出しているのを目の当たりにし、私は革新の精神に刺激を受けた。
And I’m proud to say that the talent being developed here in Mississippi can compete against the talent in any place I have been to.	そして、ここミシシッピで育っている才能は、私が行ったことのあるどの場所の才能とも競い合えることを誇りに思う。
Cyber is about people. It doesn’t matter what your area code is. What matters is if you have the passion, discipline, and commitment to the cause, there is place for you in the cyber workforce.	サイバーは人である。市外局番は関係ない。重要なのは、情熱、規律、そして大義へのコミットメントがあれば、サイバー人材には居場所があるということだ。
You all are doing your part by fostering a community of faculty, educators, and students who are well-equipped to meet the growing need this region faces.	皆さんは、この地域が直面するニーズの高まりに対応するのに十分な能力を備えた教員、教育者、学生のコミュニティを育成することで、その役割を果たしている。
This region, the state of Mississippi, and the Nation are safer and more prosperous because of what you’re doing here.	この地域、ミシシッピ州、そして国家は、あなた方がここで行っていることのおかげで、より安全でより繁栄しているのだ。
Thank you again for the invitation and the opportunity to meet and learn from you. I look forward to continuing to grow the cyber workforce together.	お招きいただき、また皆さんとお会いして学ぶ機会を与えていただき、改めて感謝する。私は、サイバー人材が共に成長し続けることを楽しみにしている。

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.26 米国 ONCD 2024年のサイバーセキュリティ態勢2024とサイバーセキュリティ戦略実装計画Ver.2 (2024.05.07)

初版...

・2023.07.15 米国ホワイトハウスサイバーセキュリティ戦略実施計画

Continue reading "米国ホワイトハウス「サイバー人材と教育のエコシステムツールキット - 地域をつなぐ人をつなぐ」 (2024.12.02)"

2024.12.06 06:31 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 安全保障 | Permalink | Comments (0)
Tweet

2024.12.05

米国 Five Eyes 通信インフラに対する中国のサイバーセキュリティへの脅威についてガイダンス...

こんにちは、丸山満彦です。

（いつもの）Five Eyesが中華人民共和国（PRC）系の脅威行為者が世界の主要通信プロバイダーのネットワークを侵害し、広範かつ重大なサイバースパイ活動を行ったとことに対するガイダンスを公表していますね...2023.11.13にFBIとCISAによる共同声明に関連するものですね...

主に、通信インフラのネットワーク防御者やエンジニア向けに作成されたものです...

日本の通信事業者はもう知っていますよね...きっと...

可視化の強化

・モニタリングをちゃんとしよう

・しかもそれは自動化で（そのためには、構成管理から...）

システムとデバイスの強化（堅牢化）

・脆弱性を減らし、構成管理を改善しよう

もちろん、運用以外にも

インシデント報告

セキュアバイデザインによる開発

というのも重要...

といったところでしょうかね...

2024.11.13の発表と今回のガイドを見ていると、それなりに深刻な影響があったのではないかと感じますよね...知らんけど...

● 2024.12.04 Enhanced Visibility and Hardening Guidance for Communications Infrastructure

・[PDF]

2024.12.05 14:17 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 安全保障 | Permalink | Comments (0)
Tweet

Interpol Think Twiceキャンペーン：サイバー犯罪と金融犯罪に遭わないために (2024.12.03-19)

こんにちは、丸山満彦です。

Interpolが、サイバー犯罪と金融犯罪に遭わないためにということで、Think Twiceキャンページを始めたとのことです。

日本語のニュアンスでいうと、「二度見しよう」といったところですかね...

● Interpol

プレス...

・2024.12.03 INTERPOL campaign warns against cyber and financial crimes

説明...

・Awareness campaigns

キャンペーンでは、国境を越えた組織的サイバー犯罪の脅威として、次の５つを強調していますね...

- ランサムウェア攻撃

- マルウェア攻撃

- 詐欺と生成AI

- デジタル時代のフィッシング

- ロマンス詐欺

ビデオもあります...6つの短いビデオ...

・[YouTube]

リスクを軽減するためのチェックリストには以下が含まれる：

特に、未承諾の、見慣れない、または不審なリンク、電子メール、メッセージに対処する場合は、熟慮の上、合理的な選択をすること。

行動を起こす前に、デジタルコンテンツの信憑性と信頼性を評価するために立ち止まる。

複数のチャネルを通じて身元を確認し、「見知った顔」からの要求であっても慎重になる。

職場にサイバーセキュリティ文化を導入し、従業員に問題やインシデントに関するガイダンスを提供する。

オンライン上で人間関係を築く際、特に金銭が絡む場合は慎重になること。

サイバーによる金融犯罪の手口はますます高度化し、発見が非常に難しくなっている。

2024.12.05 12:49 in 情報セキュリティ / サイバーセキュリティ, in フィッシング, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

Google Cybersecurity Forecast 2025 (2024.11.14)

こんにちは、丸山満彦です。

Googleが、2025年のサイバーセキュリティに関する予測を簡潔にまとめた報告書を公表していますね...

いくつかのトピックスはありますが

攻撃者がAIを利用することにより、攻撃がより巧妙かつ大量に行われるようになる
情報操作のためのコンテンツもより説得力のあるものが大量に使われるようになる
ロシア、中国、イラン、北朝鮮はそれぞれの国の引き続きスパイ活動、サイバー犯罪、情報工作を続ける
ランサムウェアはさらに高度かつ広範囲に利用されるようになる
情報窃盗を目的としたマルウェアは引き続き主要な脅威である
サイバー攻撃ツールやサービスへのアクセスが容易となり多くの犯罪者が使うようになる
暗号通貨等は引き続きターゲットとなる
国家による組織的な脆弱性収集等が行われ、脆弱性を悪用するまでの時間は短くなる
耐量子暗号への移行の備えも忘れずに
クラウドのセキュリティ設定でミスがないように

といったところでしょうか？

わりとコンパクトで短いので、原文を読むのもそれほど苦にならないように思います。

● Google

・2024.11.14 Emerging Threats: Cybersecurity Forecast 2025

ダウンロードは

・2024.11.14 Cybersecurity Forecast 2025 Report

2024.12.05 09:54 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 脆弱性, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in クラウド, in AI/Deep Learning, in 暗号 / 電子署名 / ブロックチェーン, in 安全保障 | Permalink | Comments (0)
Tweet

米国 Health ISAC 脅威インテリジェンスプラットフォーム (2024.12.03) とCISO向け特権管理ガイド (2024.11.26)

こんにちは、丸山満彦です。

米国のHealth-ISACから

医療機関向け脅威インテリジェンスプラットフォーム（CYWARE）を公表
特権アクセス管理についてのCISO向けガイドが公表されていますね...

後者のCISO向けガイドについては、私は追っていなかったのですが、第9弾ということのようです...

● Health-ISAC

脅威インテリジェンスプラットフォーム

・2024.12.03 Cyware Launches Threat Intelligence Platform to Defend Healthcare Organizations from Cyber Threats

Cyware Launches Threat Intelligence Platform to Defend Healthcare Organizations from Cyber Threats	サイウェア、医療機関をサイバー脅威から守る脅威インテリジェンス・プラットフォームを発表
Purpose-built solution enables healthcare security teams with healthcare-specific threat feeds and automated response capabilities.	医療機関に特化した脅威フィードと自動化されたレスポンス機能により、医療機関のセキュリティチームを支援する。
Media mention:	メディアによる言及
Errol Weiss, Chief Security Officer at Health-ISAC and Cyware customer, expressed the critical need for this innovation: “Healthcare is one of the most targeted sectors by cybercriminals. Having a threat intelligence platform that’s designed specifically for our industry will allow healthcare organizations to quickly access relevant, actionable insights that can make a tangible difference in defending against sophisticated attacks.”	Health-ISACの最高セキュリティ責任者であり、サイウェアの顧客でもあるエロール・ワイス氏は、このイノベーションの重要な必要性を表明した：「医療はサイバー犯罪者に最も狙われる分野の一つである。私たちの業界向けに特別に設計された脅威インテリジェンス・プラットフォームを持つことで、医療機関は関連性の高い実用的な洞察に素早くアクセスできるようになり、高度な攻撃に対する防御に具体的な違いをもたらすことができる。
Rachel James, Health-ISAC Threat Intelligence Committee member, noted, “In an environment where time is critical, healthcare security teams need tools that allow them to do more with less effort but with greater accuracy. Cyware’s Healthcare Threat Intelligence Platform is designed to quickly identify and respond to healthcare-specific threats, empowering organizations to stay ahead of attacks without being overwhelmed by complexity.”	Health-ISAC脅威インテリジェンス委員会のレイチェル・ジェームズは、次のように述べている。「時間が非常に重要な環境では、ヘルスケア・セキュリティ・チームは、より少ない労力でより多くのことを、より高い精度で実行できるツールを必要としている。サイウェアのHealthcare Threat Intelligence Platformは、医療に特化した脅威を迅速に特定し、対応するように設計されており、組織が複雑さに圧倒されることなく、攻撃の先手を打つことができる。

フルプレス...

・2024.12.03 Cyware Launches Industry-Tuned Threat Intelligence Platform to Defend Healthcare Organizations from Cyber Threats

Cyware Launches Industry-Tuned Threat Intelligence Platform to Defend Healthcare Organizations from Cyber Threats	サイウェア、医療機関をサイバー脅威から守るために業界向けに調整されたThreat Intelligence Platformを発表
Purpose-built solution enables healthcare security teams with healthcare-specific threat feeds and automated response capabilities.	専用に構築されたソリューションにより、ヘルスケアに特化した脅威のフィードと自動化された対応機能でヘルスケア・セキュリティ・チームを支援する。
NEW YORK--(BUSINESS WIRE)--Cyware, the leading provider of threat intelligence management, low-code/no-code security automation, and cyber fusion solutions today announced the launch of its Healthcare Threat Intelligence Platform (HC-TIP), a solution specifically designed to facilitate accelerated cyber response in the healthcare sector. With healthcare systems increasingly targeted by sophisticated cyberattacks, including ransomware and medical device exploits, Cyware’s HC-TIP offers a robust platform for healthcare organizations to more efficiently and effectively defend against the specific threats targeting their industry.	ニューヨーク--(BUSINESS WIRE)--（ビジネスワイヤ） -- 脅威インテリジェンス管理、ローコード／ノーコード・セキュリティー・オートメーション、サイバー・フュージョン・ソリューションのリーディング・プロバイダであるサイウェアは本日、ヘルスケア分野のサイバー対応を加速するために特別に設計されたソリューション、ヘルスケア脅威インテリジェンス・プラットフォーム（HC-TIP）の発売を発表した。医療システムがランサムウェアや医療機器エクスプロイトを含む高度なサイバー攻撃の標的となりつつある中、サイウェアのHC-TIPは、医療機関がその業界を標的とする特定の脅威に対してより効率的かつ効果的に防御するための強固なプラットフォームを提供する。
Having a threat intelligence platform that’s designed specifically for our industry will allow healthcare organizations to quickly access relevant, actionable insights that can make a tangible difference in defending against sophisticated attacks.	私たちの業界向けに特別に設計された脅威インテリジェンス・プラットフォームを持つことで、医療機関は、高度な攻撃に対する防御に具体的な違いをもたらすことができる、適切で実用的な洞察に素早くアクセスできるようになる。
The healthcare industry faces unique cybersecurity challenges, including the protection of sensitive patient data, safeguarding connected medical devices, and ensuring the continuous operation of critical healthcare services. The Cyware HC-TIP is tailored to these needs, leveraging healthcare-specific threat feeds, real-time dashboards, and advanced threat intelligence tools to provide a comprehensive security solution.	医療業界は、機密性の高い患者データの保護、接続された医療機器の保護、重要な医療サービスの継続的な運用の確保など、独自のサイバーセキュリティの課題に直面している。サイウェアのHC-TIPは、こうしたニーズに合わせてカスタマイズされており、ヘルスケアに特化した脅威フィード、リアルタイムのダッシュボード、高度な脅威インテリジェンス・ツールを活用して、包括的なセキュリティ・ソリューションを提供する。
“Because they are valuable targets for adversaries, healthcare entities require security tools that are tailored to their specific needs. The Healthcare Threat Intelligence Platform offers pre-configured feeds, rules, and visualizations that healthcare security teams can immediately use to enhance and accelerate their defenses,” said Sachin Jade, Chief Product Officer at Cyware. “With this industry-specific platform, we’re enabling organizations to not only stay compliant with regulations but also reduce their attack surface and improve their proactive defense strategies.”	サイウェアの最高製品責任者であるSachin Jadeは次のように述べている。「医療機関は敵対者にとって貴重な標的であるため、医療機関特有のニーズに合わせたセキュリティツールが必要である。ヘルスケア脅威インテリジェンスプラットフォームは、設定済みのフィード、ルール、ビジュアライゼーションを提供し、ヘルスケアのセキュリティチームは、防御を強化し、加速するためにすぐに使用することができます」と、「この業界に特化したプラットフォームにより、当社は組織が規制に準拠するだけでなく、攻撃対象領域を減らし、プロアクティブな防御戦略を改善することを可能にする。
Errol Weiss, Chief Security Officer at Health-ISAC and Cyware customer, expressed the critical need for this innovation: “Healthcare is one of the most targeted sectors by cybercriminals. Having a threat intelligence platform that’s designed specifically for our industry will allow healthcare organizations to quickly access relevant, actionable insights that can make a tangible difference in defending against sophisticated attacks.”	Health-ISACの最高セキュリティ責任者であり、サイウェアの顧客でもあるエロール・ワイス氏は、このイノベーションの重要な必要性を表明した：「ヘルスケアは、サイバー犯罪者に最も狙われる分野の1つである。私たちの業界向けに特別に設計された脅威インテリジェンス・プラットフォームを持つことで、医療機関は関連性の高い実用的な洞察に素早くアクセスできるようになり、高度な攻撃に対する防御に具体的な違いをもたらすことができる。」
Pre-configured, the platform integrates industry-specific threat feeds from leading sources along with healthcare-focused feeds like HHS.gov and Healthcare InfoSecurity. These resources help organizations track healthcare-specific threats, including vulnerabilities in electronic health records (EHRs) and medical devices. Additionally, Cyware’s HC-TIP offers built-in tagging for healthcare and pharmaceutical threats, making it easier for organizations to categorize and analyze data.	事前に設定されたこのプラットフォームは、HHS.govやHealthcare InfoSecurityのようなヘルスケアに特化したフィードに加え、主要なソースからの業界固有の脅威フィードを統合している。これらのリソースは、電子カルテ（EHR）や医療機器の脆弱性など、医療特有の脅威を追跡するのに役立つ。さらに、サイウェアのHC-TIPは、ヘルスケアと製薬の脅威のためのビルトイン・タギングを提供し、組織がデータを分類・分析することを容易にする。
Rachel James, Health-ISAC Threat Intelligence Committee member, noted, “In an environment where time is critical, healthcare security teams need tools that allow them to do more with less effort but with greater accuracy. Cyware's Healthcare Threat Intelligence Platform is designed to quickly identify and respond to healthcare-specific threats, empowering organizations to stay ahead of attacks without being overwhelmed by complexity.”	Health-ISAC脅威インテリジェンス委員会のレイチェル・ジェームズは、「時間が非常に重要な環境において、ヘルスケア・セキュリティ・チームは、より少ない労力でより多くのことを、より高い精度で実行できるツールを必要としている。サイウェアのHealthcare Threat Intelligence Platformは、医療特有の脅威を迅速に特定し、対応するように設計されており、組織が複雑さに圧倒されることなく、攻撃の先手を打つことができる。
Tony Cook, Sr. Director, IR, TI, Proactive Services at GuidePoint Security, emphasized the role of tailored solutions for healthcare channel partners: “Healthcare organizations face increasingly complex cyber threats, and channel partners play a critical role in helping them address these challenges. Cyware’s Healthcare Threat Intelligence Platform empowers partners with a solution that’s purpose-built for the healthcare sector, enabling efficient and effective threat-driven decision-making. As a premier partner of Cyware we look forward to helping healthcare clients defend against sophisticated attacks while improving overall security outcomes.”	トニー・クック氏 GuidePoint SecurityのIR、TI、プロアクティブ・サービス担当シニア・ディレクターであるトニー・クック氏は、ヘルスケア・チャネル・パートナー向けにカスタマイズされたソリューションの役割を強調した：「医療機関はますます複雑化するサイバー脅威に直面しており、チャネルパートナーはこうした課題に対処する上で重要な役割を担っている。サイウェアのHealthcare Threat Intelligence Platformは、ヘルスケア部門向けに構築されたソリューションをパートナーに提供し、効率的かつ効果的な脅威主導の意思決定を可能にする。サイウェアの一流パートナーとして、我々は、ヘルスケア分野の顧客が全体的なセキュリティ成果を向上させながら、高度な攻撃から防御するのを支援できることを楽しみにしている。」
Key features of Cyware’s Healthcare Threat Intelligence Platform include:	サイウェアのHealthcare Threat Intelligence Platformの主な特徴は以下の通り：
Healthcare-Specific Threat Feeds: Aggregates threat intelligence related to ransomware, medical device vulnerabilities, and compliance threats.	ヘルスケアに特化した脅威フィード：ランサムウェア、医療機器の脆弱性、コンプライアンスの脅威に関する脅威インテリジェンスを集約する。
Industry-Specific Tagging and Saved Searches: Pre-configured tagging and searches to streamline access to relevant data for threat hunting and investigation.	業界固有のタグ付けと保存された検索：事前に設定されたタグ付けと検索により、脅威の探索と調査のための関連データへのアクセスを効率化する。
Healthcare Threat Landscape Dashboard: A real-time view of threats, vulnerabilities, and ongoing alerts specific to the healthcare sector.	ヘルスケア脅威ランドスケープダッシュボード：ヘルスケア分野に特化した脅威、脆弱性、進行中のアラートをリアルタイムで表示。
Automated TTP Mapping MITRE ATT&CK: Automated mapping to the MITRE ATT&CK framework, with support included for Cyber Kill Chain, and Diamond Model of Intrusion Analysis	MITRE ATT&CKへの自動TTPマッピング：MITRE ATT&CKフレームワークへの自動マッピングを行い、Cyber Kill ChainとDiamond Model of Intrusion Analysisをサポートする。
By offering these healthcare-focused capabilities, Cyware’s HC-TIP provides timely and accurate threat detection, helps organizations maintain compliance with regulations such as HIPAA and GDPR, and enables faster, data-driven decision-making. The platform is designed to streamline workflows, prioritize high-severity threats, and reduce the attack surface across healthcare networks.	ヘルスケアに特化したこれらの機能を提供することで、サイウェアのHC-TIPはタイムリーで正確な脅威検知を実現し、組織がHIPAAやGDPRなどの規制へのコンプライアンスを維持し、より迅速でデータ主導の意思決定を可能にする。このプラットフォームは、ワークフローを合理化し、重大性の高い脅威に優先順位を付け、医療ネットワーク全体の攻撃対象領域を縮小するように設計されている。
Cyware’s HC-TIP will be available later this month for healthcare organizations looking to fortify their cybersecurity posture with a solution that delivers rapid time-to-value and robust industry-specific protection.	サイウェアのHC-TIPは今月末に発売される予定であり、迅速なTime-to-Valueと業界特有の強固な保護を実現するソリューションでサイバーセキュリティ態勢を強化しようとしている医療機関向けに提供される。
For more information on Cyware’s Healthcare Threat Intelligence Platform, register for our December 17 virtual event or learn more [web].	サイウェアのHealthcare Threat Intelligence Platformの詳細については、12月17日のバーチャルイベントに登録するか、[web] 。
About Cyware	サイウェアについて
Cyware delivers an innovative approach to cybersecurity that unifies threat intelligence, automation, threat response, and vulnerability management with data insights gleaned from assets, users, malware, attackers, and vulnerabilities. Cyware’s Cyber Fusion platform integrates SOAR and TIP technology, enabling collaboration across siloed security teams. Cyware is widely deployed by enterprises, government agencies, and MSSPs, and is the leading threat-intelligence sharing platform for global ISACs and CERTs.	サイウェアは、資産、ユーザー、マルウェア、攻撃者、脆弱性から得られたデータインサイトにより、脅威インテリジェンス、自動化、脅威対応、脆弱性管理を統合するサイバーセキュリティへの革新的なアプローチを提供している。サイウェアのCyber Fusionプラットフォームは、SOARとTIPテクノロジーを統合し、サイロ化されたセキュリティチーム間のコラボレーションを可能にする。サイウェアは、企業、政府機関、MSSPに広く導入されており、グローバルなISACとCERTのための主要な脅威インテリジェンス共有プラットフォームである。

サイウェアのウェブページ

なかなか興味深い...

● CYWARE

CISO向け特権管理ガイド

・2024.11.26 Privileged Access Management: A Guide for Healthcare CISOs

Privileged Access Management: A Guide for Healthcare CISOs	特権アクセス管理：ヘルスケアCISOのためのガイド
Health-ISAC has released Privileged Access Management: A Guide for Healthcare CISOs, the ninth whitepaper in the ongoing series for CISOs on Identity & Access Management (IAM).	Health-ISACは、特権アクセス管理を発表した：このホワイトペーパーは、アイデンティティ＆アクセス管理（IAM）に関するCISO向けシリーズ第9弾である。
IAM systems manage the virtual front door for healthcare organizations. On one side, you have the employees, caregivers, and others who need access to a range of applications to do their jobs. On the other side, you have patients who are using different portals and applications to reach out to physicians, request medications, and make appointments. But there is also a third side to this identity triangle: Privileged Access Management (PAM).	IAMシステムは、医療機関のバーチャルな玄関を管理する。一方では、従業員や介護士など、業務を遂行するためにさまざまなアプリケーションへのアクセスを必要とする人々がいる。もう一方には、医師への連絡、投薬の依頼、予約のためにさまざまなポータルやアプリケーションを利用する患者がいる。しかし、このIDトライアングルには第3の側面もある：特権アクセス管理（PAM）である。
While enabling secure and simple access to systems is a goal of identity and access management for the workforce and patients, PAM purposely adds friction to the process to ensure the greatest possible security. Information and resources protected by PAM are an organization’s most critical resources. A separate, higher security system is necessary for these systems as unauthorized access could mean exfiltration of critical data and compromise of networks and applications. To put it simply, the compromise of privileged accounts would be devastating to a healthcare organization.	システムへの安全で簡単なアクセスを可能にすることは、従業員と患者のための ID およびアクセス管理の目標であるが、PAM は可能な限り最大のセキュリティを確保するために、意図的にプロセスに摩擦を加える。PAMによって保護される情報とリソースは、組織にとって最も重要なリソースである。不正アクセスは、重要なデータの流出や、ネットワークやアプリケーションの侵害を意味するため、これらのシステムには、別個のより高度なセキュリティ・システムが必要である。簡単に言えば、特権アカウントの漏洩は、医療機関にとって壊滅的な打撃となる。
Key Takeaways	要点
How PAM is different from an organization’s other identity and access management systems.	PAMは、組織の他のIDおよびアクセス管理システムとどのように異なるか。
Where PAM fits into the Health-ISAC framework for Managing Identities.	PAMがHealth-ISACのアイデンティティ管理フレームワークにどのように適合するか。
How PAM can help secure the most critical workflows for healthcare organizations.	PAMは医療機関にとって最も重要なワークフローのセキュリティ確保にどのように役立つのか。
The challenges that can arise with PAM systems for healthcare organizations.	医療機関のPAMシステムで発生する可能性のある課題。

・[PDF]

2024.12.05 02:59 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2024.12.04

欧州評議会 AIシステムの人権への影響を評価する新しいツールを発表 (2024.12.02)

こんにちは、丸山満彦です。

欧州評議会 (Council of Europe) [wikipdeia] がAIシステムの人権への影響を評価する方法論を発表していますね...2024.11.26-28に開催された会合で決定されたようです。HUDERIA METHODOLOGYというようです...正式名称は、METHODOLOGY FOR THE RISK AND IMPACT ASSESSMENT OF ARTIFICIAL INTELLIGENCE SYSTEMS FROM THE POINT OF VIEW OF HUMAN RIGHTS, DEMOCRACY AND THE RULE OF LAW...

今後、より具体的な手法等についての資料を公表していく予定ということです...

AI法が発効され、規制が始まってくるので、こういうツールの利用というのも重要となってきますよね...禁止AIの利用による罰則は最大ですが、世界売上の7%ですからね...

● Council of Europe

ミーティングのアジェンダ等.

・2024.11.26-28 12th Meeting

・[PDF] Agenda
・[PDF] List of participants
・[PDF] List of decisions

欧州評議会は、欧州連合（European Union: EU）[wikipedia] とは別の独立した組織で、人権保護を目的とした国際組織です。現在46カ国が加盟しているようです。欧州連合に加盟している27カ国はすべて欧州評議会に属していますね...

欧州評議会は、法律を制定することはできませんが、条約を制定することはできます。個人データ保護やプライバシーをしている人であれば、一度は耳にしたことがある有名な、1953年に発行された「人権と基本的自由の保護のための条約: Convention for the Protection of Human Rights and Fundamental Freedoms
」（[PDF] 日本語版）[wikipedia] も欧州評議会で決議されていますね...

さて、欧州評議会からの発表ですが...

プレス...

・2024.11.28 HUDERIA: New tool to assess the impact of AI systems on human rights

HUDERIA: New tool to assess the impact of AI systems on human rights	HUDERIA： AIシステムの人権への影響を評価する新しいツール
A new Council of Europe tool provides guidance and a structured approach to carry out risk and impact assessments for Artificial Intelligence (AI) systems. The HUDERIA Methodology is specifically tailored to protect and promote human rights, democracy and the rule of law. It can be used by both public and private actors to help identify and address risks and impacts to human rights, democracy and the rule of law throughout the lifecycle of AI systems.	欧州評議会の新しいツールは、人工知能（AI）システムのリスクと影響評価を実施するためのガイダンスと構造化されたアプローチを提供する。HUDERIA手法は、人権、民主主義、法の支配を保護・促進するために特別に調整されている。AIシステムのライフサイクル全体を通じて、人権、民主主義、法の支配に対するリスクや影響を特定し、対処するために、公的機関、民間企業の双方が利用することができる。
The methodology provides for the creation of a risk mitigation plan to minimise or eliminate the identified risks, protecting the public from potential harm. If an AI system used in hiring, for example, is found to be biased against certain demographic groups, the mitigation plan might involve adjusting the algorithm or implementing human oversight.	この方法論は、特定されたリスクを最小化または排除するためのリスク軽減計画の作成を提供し、潜在的な危害から国民を保護する。例えば、雇用に使用されるAIシステムが特定の人口統計グループに偏っていることが判明した場合、緩和計画にはアルゴリズムを調整したり、人間による監視を実施したりすることが含まれる。
The methodology requires regular reassessments to ensure that the AI system continues operating safely and ethically as the context and technology evolve. This approach ensures that the public is protected from emerging risks throughout the AI system's life cycle.	この手法では、AIシステムが文脈や技術の進化に伴って安全かつ倫理的に運用され続けるよう、定期的な再評価が必要となる。この手法により、AIシステムのライフサイクルを通じて、新たなリスクから国民が保護されることが保証される。
The HUDERIA Methodology was adopted by the Council of Europe's Committee on Artificial Intelligence (CAI) at its 12th plenary meeting, held in Strasbourg on 26-28 November. It will be complemented in 2025 by the HUDERIA Model, which will provide supporting materials and resources, including flexible tools and scalable recommendations.	HUDERIA手法は、欧州評議会の人工知能委員会（CAI）が、11月26〜28日にストラスブールで開催した第12回総会で採択した。2025年には、柔軟なツールや拡張可能な勧告を含む支援資料やリソースを提供するHUDERIAモデルによって補完される予定である。

・[PDF] METHODOLOGY FOR THE RISK AND IMPACT ASSESSMENT OF ARTIFICIAL INTELLIGENCE SYSTEMS FROM THE POINT OF VIEW OF HUMAN RIGHTS, DEMOCRACY AND THE RULE OF LAW (HUDERIA METHODOLOGY)

・[DOCX][PDF] 仮訳

ちなみに、

・[PDF] ヨーロッパにおける人権および基本的自由の保護のための条約

2024.11.26のJPNICのカンファレンスで講演をしたのですが、その時にも紹介しました...

2024.12.04 06:34 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2024.12.03

欧州 EUROPOL 「SIRIUS EU電子証拠状況レポート 2024年」 (2024.11.28)

こんにちは、丸山満彦です。

EUROPOLが、「SIRIUS EU電子証拠状況レポート 2024年」を公表していますね。。。

犯罪捜査、起訴等にために、証拠としてデジタルデータを利用することは重要となってくるが、それが国境を超えていたり、サービスプロバイダーの協力なしには、アクセスできなかったりという状況の中、どうすれば社会全体が適切な状況に保てるのかというのは、なかなか難しい問題ではあります。

日本ではNPOデジタルフォレンジック研究会が20年前の2004年に設立されたわけですので、新しい話ではないが、世の中が変わってきてるが、状況はあまり変わっていないような気もします。これからAIが大量にデジタルデータを作成し始めると、ますます、多くのデータの中に紛れ込む犯罪に関連するデータをどのように入手し、証拠として採用できるようにするのか？というのは重要なんですよね...

● EUROPOL

・2024.11.28 SIRIUS EU Electronic Evidence Situation Report 2024

SIRIUS EU Electronic Evidence Situation Report 2024	SIRIUS EU 電子証拠状況報告書 2024
The SIRIUS EU Electronic Evidence Situation Report 2024 provides a comprehensive status update based on direct exchange with public and private stakeholders in the field. It also sheds light on some of the challenges – and advantages – offered by the current situation, and looks at possible future developments shaping cross-border access to digital evidence by law enforcement authorities.	SIRIUS EU Electronic Evidence Situation Report 2024は、この分野における官民の利害関係者との直接的な意見交換に基づく包括的な最新状況を提供する。また、現在の状況によってもたらされる課題と利点のいくつかに光を当て、法執行当局によるデジタル証拠への国境を越えたアクセスを形成する、将来起こりうる展開についても考察している。
As legislation regulating the EU digital sphere evolves, the needs of law enforcement remain unchanged; to take speedy action and keep communities safe. For EU law enforcement authorities, the criminal investigations and prosecutions of today cannot be disconnected from the need to access digital data and electronic evidence.	EUのデジタル領域を規制する法律が進化しても、法執行当局のニーズは変わらない。EU法執行当局にとって、今日の犯罪捜査と訴追は、デジタルデータと電子証拠へのアクセスの必要性と切り離すことはできない。
Sirius Electronic Evidence Situation Report 2024	SIRIUS電子証拠状況報告書2024
2024 Sirius Report factsheet from perspective of judicial authorities	SIRIUS報告書2024 ファクトシート：司法当局の視点から
2024 Sirius Report factsheet from perspective of service providers	SIRIUS報告書2024 ファクトシート：サービスプロバイダーの視点から
2024 Sirius Report factsheet from perspective of EU law enforcement	SIRIUS報告書2024 ファクトシート：EU法執行機関の視点から

報告書...

・[PDF] Sirius Electronic Evidence Situation Report 2024

・[DOCX][PDF] 仮訳

EXECUTIVE SUMMARY	エグゼクティブサマリー
For EU competent authorities, the investigation and prosecution of crime in the current EU landscape cannot be disconnected from the need to access digital data and reliance on electronic evidence. As legislation regulating the EU digital sphere evolves, the panorama of cross-border access to electronic evidence remains largely unchanged compared to previous years, as emerging from the annual editions of this report.	EUの管轄当局にとって、現在のEUの状況における犯罪の捜査と訴追は、デジタルデータへのアクセスや電子証拠への依存の必要性と切り離すことはできない。EUのデジタル領域を規制する法律が進化するにつれ、本報告書の年次版から浮かび上がるように、電子証拠への国境を越えたアクセスのパノラマは、以前と比較してほとんど変わっていない。
Despite significant advancements, such as the EU Digital Services Act, the EU Electronic Evidence legislative package, and the Second Additional Protocol to the Budapest Convention on Cybercrime, the approach of EU competent authorities towards current instruments of judicial cooperation and voluntary cooperation with foreign service providers remains unchanged. Both channels, despite their advantages, face ongoing challenges. While judicial cooperation proves inadequate due to its cumbersome and lengthy procedures, the immediacy of voluntary cooperation exchanges lacks legal certainty for the entities affected. It may, for example, put service providers in a position where complying with data requests from foreign authorities could conflict with their home jurisdiction’s laws. Operating within a fragmented national and international legal framework, EU competent authorities involved in criminal investigations requiring access to cross-border digital data do not yet see their duties simplified.	EUデジタルサービス法、EU電子証拠法パッケージ、サイバー犯罪に関するブダペスト条約第2追加議定書といった重要な進歩にもかかわらず、司法協力や外国のプロバイダとの自主的協力といった現行の手段に対するEUの管轄当局のアプローチは変わっていない。どちらの手段も、その利点にもかかわらず、現在進行中の課題に直面している。司法協力はその煩雑で長い手続きのために不十分であることが判明しているが、自主的な協力交換の即時性は、影響を受ける事業体にとって法的確実性に欠ける。例えば、プロバイダが外国当局からのデータ要求に応じることで、自国の司法管轄区域の法律に抵触する可能性がある。断片化された国内および国際的な法的枠組みの中で活動するEUの認可当局は、国境を越えたデジタルデータへのアクセスを必要とする犯罪捜査に関与しているが、その義務はまだ簡素化されていない。
Pooling together strengths and weaknesses, and threats and opportunities affecting the wide field of cross-border access to electronic evidence for the purpose of EU criminal investigations, this report is based on direct exchange with main stakeholders in the field.	本報告書は、EUの犯罪捜査のために、国境を越えて電子証拠にアクセスするという広い分野に影響を与える強みと弱み、脅威と機会をまとめ、この分野の主要な利害関係者との直接の意見交換に基づいている。
From the perspective of EU law enforcement, the report highlights that direct requests under voluntary cooperation remain the primary tool for acquiring data in electronic format from social media platforms, messaging apps and cryptocurrency exchanges. Confirmed as the most relevant service providers in criminal investigations in 2023, they were mainly targeted for the disclosure of non-content data – such as connection logs, user names and IP addresses. While the relevance of Single Points of Contact (SPoCs) ⁽¹⁾ in all aspects of cross-border engagement with the industry remains significant in guaranteeing higher compliance rates of requests, EU law enforcement also benefits from a steady increase in the level of training received, year after year, on electronic evidence matters. Challenges, however, persist, particularly in the form of lengthy judicial cooperation procedures as well as fragmentation of companies’ policies for cross-border cooperation. The new legislative instruments in the EU Electronic Evidence legislative package, though not yet known in detail by authorities, appear to be met with a mixture of positive expectations, as well as some concerns. The lack of clarity over key concepts, the exact scope or providers covered, as well as the potential transformation of the roles of law enforcement authorities, are some of the issues highlighted by the direct feedback of the EU law enforcement surveyed. From a more general point of view, although not yet a concrete issue, the potential abuse of AI-related technological developments is expected to present new challenges for investigating authorities.	EU法執行機関の視点から、報告書は、自主的な協力に基づく直接請求が、ソーシャルメディア・プラットフォーム、メッセージングアプリ、暗号通貨取引所から電子形式のデータを取得するための主要な手段であり続けていることを強調している。2023年の犯罪捜査において最も関連性の高いプロバイダとして確認されたこれらのプロバイダは、主に非コンテンツデータ（接続ログ、ユーザー名、IPアドレスなど）の開示を対象としていた。この業界との国境を越えた関与のあらゆる側面において、シングル・コンタクト・ポイント（SPoC）⁽¹⁾ の関連性は、より高い要求遵守率を保証する上で依然として重要であるが、EUの法執行機関もまた、電子証拠に関する研修のレベルが年々着実に向上している恩恵を受けている。しかし、特に司法協力手続きに時間がかかることや、国境を越えた協力に対する企業の方針が断片的であることなど、課題も残っている。EUの電子証拠法パッケージにおける新たな立法措置は、当局によってまだ詳細に知られていないものの、肯定的な期待といくつかの懸念が混在しているように思われる。重要な概念、対象となる正確な範囲やプロバイダ、法執行当局の役割の変容の可能性などが明確になっていないことは、調査対象となったEU法執行当局の直接のフィードバックによって強調された問題点の一部である。より一般的な視点からは、まだ具体的な問題ではないが、AI関連の技術開発の潜在的な悪用は、捜査当局に新たな課題をもたらすと予想される。
From the perspective of judicial authorities, judicial cooperation channels remain the preferred method for obtaining electronic data from service providers located abroad. However, these channels often prove inadequate due to their slow processes, which can lead to the loss of crucial data. To mitigate these delays, some EU Member States’ authorities have resorted to direct voluntary cooperation with foreign service providers.	司法当局の視点からは、海外にあるサービス・プロバイダから電子データを入手する方法として、司法協力ルートが依然として好まれている。しかし、このような手段は、そのプロセスの遅さゆえに不十分であることがしばしば判明し、重要なデータの喪失につながりかねない。こうした遅れを軽減するため、EU加盟国の当局の中には、海外のサービスプロバイダーとの直接的な自発的協力に頼っているところもある。
Significant advancements are anticipated with the introduction of the EU Electronic Evidence legislative package and the Second Additional Protocol to the Budapest Convention on Cybercrime. Designed to be more efficient and flexible than existing judicial cooperation tools, these instruments will significantly enhance the toolkit available to EU judicial authorities, providing more robust and streamlined mechanisms for accessing electronic evidence across borders. However, these new legal frameworks will not address one of the key challenges identified by EU judicial authorities: the absence of a data retention framework for law enforcement purposes.	EU電子証拠法パッケージおよびサイバー犯罪に関するブダペスト条約第2追加議定書の序文により、大きな進展が期待される。既存の司法協力ツールよりも効率的で柔軟なものに設計されたこれらの文書は、EU司法当局が利用できるツールキットを大幅に強化し、国境を越えて電子証拠にアクセスするための、より強固で合理的なメカニズムを提供する。しかし、これらの新しい法的枠組みは、EU司法当局が指摘する重要な課題のひとつ、法執行目的のデータ保持の枠組みの欠如には対処できない。
Additionally, the report underscores the importance of continuous capacity building on both existing and forthcoming data acquisition modalities. This is crucial for enabling EU judicial authorities to navigate the complexities of the legal landscape and maximise the benefits of the new instruments for effective cross-border access to electronic evidence.	さらに報告書は、既存のデータ取得方法と今後導入されるデータ取得方法の両方について、継続的に能力開発を行うことの重要性を強調している。これは、EUの司法当局が複雑な法的状況を乗り切り、電子証拠への効果的な国境を越えたアクセスを可能にする新たな手段の利点を最大化するために極めて重要である。
From the perspective of service providers, the volume of requests for data disclosure has increased, but the processes for direct and voluntary cooperation have not recorded additional challenges as reported in the past, as this report shows. Conversely, as public-private cooperation improves, the challenges reported – such as overly broad requests, lack of contextual information or misunderstandings of services and policies provided, appear solvable through better communication and more targeted educational effort. SPoCs remain, also in the eyes of the industry, an efficient model to be multiplied and expanded within the current legislative framework and maintained in the future framework following the implementation of the EU Electronic Evidence legislative package.	サービス・プロバイダの視点から見ると、データ開示請求の量は増加しているが、本報告書が示すように、直接協力や自発的協力のプロセスは、過去に報告されたような新たな課題を記録していない。逆に、官民協力が改善されるにつれて、報告された課題-過度に広範な要求、文脈に沿った情報の欠如、提供されるサービスや政策に対する誤解など-は、より良いコミュニケーションと、より的を絞った教育努力によって解決可能であるように思われる。SPoCは、業界の目から見ても、現行の法的枠組みの中で増殖・拡大されるべき効率的なモデルであり、EU電子証拠法パッケージの実施後の将来の枠組みにおいても維持されるべきものである。
On legislative developments affecting the electronic evidence field, while feedback remains varied, providers are more vocal about their expectations for improved quality and frequency of efforts by main EU Institutions responsible for policy implementation. Recognising the substantial changes the new framework will introduce, providers regard the envisaged decentralised IT system for secure digital communication and data exchange as raising the biggest concerns.	電子証拠分野に影響を及ぼす法整備については、依然として様々な意見があるが、プロバイダは、政策実施を担当する主要なEU機構による取り組みの質と頻度の改善に対する期待について、より大きな声を上げている。プロバイダは、新しい枠組みが導入する大幅な変化を認識しつつ、安全なデジタルコミュニケーションとデータ交換のために想定される分散型ITシステムが最大の懸念を引き起こしていると考えている。
Finally, all public and private stakeholders involved in the preparation of this report view the SIRIUS Project, with its knowledge acquired and developed thus far, and its pivotal role as a centre of excellence in the EU on electronic evidence matters, as an essential actor in the present and future of the electronic evidence field.	最後に、本報告書の作成に関わったすべての官民の利害関係者は、SIRIUSプロジェクトが、これまでに獲得・開発された知識、および電子証拠に関するEUにおける卓越したセンターとしての極めて重要な役割を持つことから、電子証拠分野の現在および将来において不可欠なアクターであると考えている。

2024.12.03 02:08 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン, in 安全保障 | Permalink | Comments (0)
Tweet

2024.12.02

内閣官房サイバー安全保障分野での対応能力の向上に向けた提言 (2024.11.29)

こんにちは、丸山満彦です。

内閣官房の「サイバー安全保障分野での対応能力の向上に向けた有識者会議」が、「サイバー安全保障分野での対応能力の向上に向けた提言」を取りまとめて、公表していますね...

● 内閣官房 - サイバー安全保障分野での対応能力の向上に向けた有識者会議

・2024.11.29 [PDF] サイバー安全保障分野での対応能力の向上に向けた提言

・2024.11.29 [PDF] サイバー安全保障分野での対応能力の向上に向けた提言（概要）

参考として、自民党の提言も...

● 自由民主党

・2024.09.11 【サイバー安保】速やかな法制化を関係会議が提言申し入れ

・[PDF] サイバー安全保障政策の方向性に関する提言

概要...

サイバー安全保障分野での対応能力の向上に向けた提言

サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるための新たな取組の実現のために必要となる法制度の整備等について４度の全体会議及び９度のテーマ別会合にて検討し、提言とりまとめ。

実現すべき具体的な方向性

(１) 官民連携の強化

国家をも背景とした高度なサイバー攻撃への懸念の拡大、デジタルトランスフォーメーションの進展を踏まえると、官のみ・民のみでのサイバーセキュリティ確保は困難。インフラ機能など社会全体の強靱性を高めるため、産業界をサイバー安全保障政策の「顧客」としても位置づけ、政府が率先して情報提供し、官民双方向の情報共有を促進すべき。
高度な侵入・潜伏能力を備えた攻撃に対し事業者が具体的行動を取れるよう、専門的なアナリスト向けの技術情報に加え、経営層が判断を下す際に必要な、攻撃の背景や目的なども共有されるべき。情報共有枠組みの設置や、クリアランス制度の活用等により、情報管理と共有を両立する仕組みを構築すべき。
これらの取組を効果的に進めるため、システム開発等を担うベンダとの連携を深めるべき。脆弱性情報の提供やサポート期限の明示など、ベンダが利用者とリスクコミュニケーションを行うべき旨を法的責務として位置づけるべき。
経済安保推進法の基幹インフラ事業者によるインシデント報告を義務化するほか、その保有する重要機器の機種名等の届出を求め、攻撃関連情報の迅速な提供や、ベンダに対する必要な対応の要請ができる仕組みを整えるべき。基幹インフラ事業者以外についても、インシデント報告を条件に情報共有枠組みへの参画を認めるべき。被害組織の負担軽減と政府の対応迅速化を図るため、報告先や様式の一元化、簡素化等を進めるべき。

(２) 通信情報の利用

先進主要国は国家安保の観点からサイバー攻撃対策のため事前に対象を特定せず一定量の通信情報を収集し、分析。我が国でも、重大なサイバー攻撃対策のため、一定の条件下での通信情報の利用を検討すべき。
国外が関係する通信は分析の必要が特に高い。まず、①外外通信(国内を経由し伝送される国外から国外への通信)は先進主要国と同等の方法の分析が必要。加えて、 ②攻撃は国外からなされ、また、国内から攻撃元への通信が行われるといった状況を踏まえ、外内通信(国外から国内への通信）及び内外通信 (国内から国外への通信)についても、被害の未然防止のために必要な分析をできるようにしておくべき。
コミュニケーションの本質的内容に関わる情報は特に分析する必要があるとは言えない。機械的にデータを選別し検索条件等で絞る等の工夫が必要。
通信の秘密であっても法律により公共の福祉のために必要かつ合理的な制限を受ける。先進主要国を参考に明確で詳細なルールとなるよう考慮し、緻密な法制度を作るべき。その際、取得及び情報処理のプロセスについて独立機関の監督が重要。
なお、通信当事者の有効な同意がある場合の通信情報の利用は、同意がない場合とは異なる内容の制度により実施することも可能であると考えられる。その際、制度により、基幹インフラ事業者の協議の義務化等で、必要に応じ、同意を促すことが考えられる。
性質上非公開とすべき範囲はあるが適切な情報公開は行われるべき。公開困難な部分を独立機関の監督で補うべき。

(３) アクセス・無害化

サイバー攻撃の特徴（①危険の認知の困難性、②意図次第でいつでも攻撃可能、③被害の瞬時拡散性）を踏まえ、被害防止を目的としたアクセス・無害化を行う権限は、緊急性を意識し、事象や状況の変化に応じて臨機応変かつ即時に対処可能な制度にすべき。こうした措置は、比例原則を遵守し、必要な範囲で実施されるものとする必要。その際、執行のシステム等を含め、従前から機能してきた警察官職務執行法を参考としつつ、その適正な実施を確保するための検討を行うべき。
平時と有事の境がなく、事象の原因究明が困難な中で急激なエスカレートが想定されるサイバー攻撃の特性から、武力攻撃事態に至らない段階から我が国を全方位でシームレスに守るための制度とすべき。
アクセス・無害化の措置の性格、既存の法執行システムとの接合性等を踏まえ、権限の執行主体は、警察や防衛省・自衛隊とし、その能力等を十全に活用すべき。まずは警察が、公共の秩序維持の観点から特に必要がある場合には自衛隊がこれに加わり、共同で実効的に措置を実施できるような制度とすべき。
権限行使の対象は、国の安全や国民の生命・身体・財産に深く関わる国、重要インフラ、事態発生時等に自衛隊等の活動が依存するインフラ等へのサイバー攻撃に重点を置く一方、必要性が認められる場合に適切に権限行使できる仕組みとすべき。
国際法との関係では、他国の主権侵害に当たる行為をあらかじめ確定しておくことは困難。他国の主権侵害に当たる場合の違法性阻却事由としては、実務上は対抗措置法理より緊急状態法理の方が援用しやすいものと考えられるが、国際法上許容される範囲内でアクセス・無害化が行われるような仕組みを検討すべき。

(４) 横断的課題

脅威の深刻化に対し、普段から対策の強化・備えが重要であり、サイバーセキュリティ戦略本部の構成等を見直すとともに、NISCの発展的改組に当たり政府の司令塔として強力な情報収集・分析、対処調整の機能を有する組織とすべき。
重要インフラのレジリエンス強化のため、行政が達成すべきと考えるセキュリティ水準を示し、常に見直しを図る制度とするとともに、政府機関等についても国産技術を用いたセキュリティ対策を推進し、実効性を確保する仕組みを設けるべき。
政府主導でセキュリティ人材の定義の可視化を行い、関係省庁の人材の在り方の検討を含め、非技術者の巻き込みや人材のインセンティブに資する人材育成・確保の各種方策を自ら実践しながら、官民の人材交流を強化すべき。
サプライチェーンを構成する中小企業等のセキュリティについて、意識啓発や支援拡充、対策水準等を検討すべき。

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.22 参議院常任委員会調査室・特別調査室「能動的サイバー防御に係る制度構築の方向性と課題」

・2024.09.13 自民党サイバー安全保障分野での対応能力向上に向けた提言 (2024.09.11)

・2024.08.29 内閣官房サイバー安全保障分野での対応能力の向上に向けた有識者会議これまでの議論の整理 (2024.08.07)

・2024.07.13 防衛白書（2024年）

・2024.03.23 国立国会図書館調査及び立法考査局サイバーセキュリティの確保と通信の秘密の保護―この 20年の議論と能動的サイバー防御導入等に向けた課題―

・2023.09.23 サイバー領域への軍事的適応の課題：オランダの事例研究 (2023.07.13)

・2023.07.28 防衛白書（2023年）（+ 能動的サイバー防衛...）

・2023.07.17 英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

・2023.06.17 経団連サイバー安全保障に関する意見交換会を開催

・2023.05.24 米国国防総合大学「統合抑止力とサイバー空間 - 国益追求のためのサイバー作戦の役割を探る論文選集」(2023.05.15)

・2023.04.03 米国米サイバー軍がアルバニアでイランからのサイバー攻撃に対する防衛的ハント作戦を実施 (2023.03.23)

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.08.23 米国サイバー司令部：クロアチアと米国のサイバー防衛隊が悪質な行為者をハントする

・2021.04.07 ハックバックを認めるべき？民間企業による積極的サイバー防衛についての記事 ... Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line?

・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)

Continue reading "内閣官房サイバー安全保障分野での対応能力の向上に向けた提言 (2024.11.29)"

2024.12.02 06:10 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 安全保障 | Permalink | Comments (0)
Tweet

2024.12.01

個人情報保護委員会中小規模事業者（従業員数100名以下）における個人情報等の安全管理措置に関する実態調査 (2024.11.29)

こんにちは、丸山満彦です。

個人情報保護委員会が、「中小規模事業者における個人情報等の安全管理措置に関する実態調査」の結果を公表しています。サイバーセキュリティ対策として、中小企業のセキュリティ対応力の向上は、日本のみならず、全世界的に課題として認識されているので、日本として、こういう調査は、今後の政策と進める上でも、個々の組織が対策を進める上でも重要ですね...

できれば、このような調査は、定期的に経年で変化を追えるようにしていると、さらによりよい意思決定のリソースになっていきますよね...

中小企業というと、日本ではいろいろな状況で語られるためことなるのですが、今回は、従業員100名以下の組織を対象としています。。。

ちなみに英国の場合は、

o 零細企業：従業員数 10 人未満
o 小企業：従業員数 10 人以上 50 人未満
o 中企業：従業員数 50 人以上 250 人未満
o 大企業：従業員数 250 人以上

となっているので、（有益な調査ができるかどうかは別として）、調査の間でのブレはないですね...

日本では、中小企業基本法では、「中小企業」は、

製造業、建設業、運輸業: 資本金が3億円以下または従業員数が300人以下
卸売業: 資本金が1億円以下または従業員数が100人以下
小売業: 資本金が5,000万円以下または従業員数が50人以下
サービス業: 資本金が5,000万円以下または従業員数が100人以下

となっています。

相談先のほとんどが、税理士となっています。これは前から言われていたのですが、中小企業のセキュリティ対策については、財務省・国税庁とも連携して、税理士協会の協力を仰ぐのがよいように思いますね...

顧客情報を1000名以上もっている100名以下の企業においても、基本的なセキュリティ対策（ハイジーン）が十分にはできていない実態が明らかなので、「お助け隊」の活用はますます重要となるでしょう...

そういう意味では、地方の税理士会とお助け隊の連携というのは、もっと進められないかと思いました。

あと、意外とクラウドを利用していると回答している企業が少ないけど、ひょっとしたら「利用しているけど、そう思っていない」とか、、、

● 個人情報保護委員会

・2024.11.29 「中小規模事業者における個人情報等の安全管理措置に関する実態調査」を掲載しました

・・[PDF] 「中小規模事業者における個人情報等の安全管理措置に関する実態調査」の資料の公表について

・・[PDF] 中小規模事業者における個人情報等の安全管理措置に関する実態調査　結果概要

・・[PDF] 中小規模事業者における個人情報等の安全管理措置に関する実態調査　報告書

・・[PDF] 【参考】顧客情報の保有数別の中小規模事業者の安全管理措置の回答結果

2024.12.01 07:48 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

欧州委員会公共機関のAI導入に関する２つの報告書「どのような要因が公的管理者によるAI導入の認知に影響を与えるか？」「公共部門におけるAIのためのコンピテンシーとガバナンス慣行」 (2024.11.25)

こんにちは、丸山満彦です。

欧州委員会が、公共機関のAI導入に関する２つの報告書を公表しています(2024.11.25)...

JRC Publications Repository - What factors influence perceived artificial intelligence adoption by public managers?	どのような要因が公的管理者による人工知能導入の認知に影響を与えるか？

JRC Publications Repository - Competences and governance practices for artificial intelligence in the public sector	JRC政府刊行物リポジトリ - 公共部門における人工知能のためのコンピテンシーとガバナンス慣行

サンプル調査によると、半数ちょっと超の政府機関において、AIの導入が進んでいるようですね。。。日本政府や自治体での導入状況はどの程度なのでしょうかね...

● Eropean Commission

プレス...

・2024.11.25 AI adoption in the public sector: a new study on key influencing factors and two frameworks for competencies and governance

AI adoption in the public sector: a new study on key influencing factors and two frameworks for competencies and governance	公共部門におけるAI導入：主要な影響要因に関する新たな研究と、コンピテンシーとガバナンスのための2つの枠組み
Two new studies from the Joint Research Centre delve into the factors that influence the adoption of Artificial Intelligence (AI) in public sector organisations.	共同研究センターは、公的機関における人工知能（AI）導入に影響を与える要因について、2つの新しい研究を発表した。
A first report analyses a survey conducted among 574 public managers across seven EU countries, identifying what are currently the main drivers of AI adoption and providing 3 key recommendations to practitioners.	最初の報告書は、EU7カ国の574人の公的管理職を対象に実施した調査を分析し、現在AI導入の主な推進要因となっているものを特定し、実務者への3つの重要な提言を示している。
Strong expertise and various organisational factors emerge as key contributors for AI adoptions, and a second study sheds light on the essential competences and governance practices required for the effective adoption and usage of AI in the public sector across Europe.	強力な専門知識と様々な組織的要因が、AI導入の重要な要因として浮かび上がっており、2つ目の調査では、欧州全域の公共部門でAIを効果的に導入・活用するために必要な必須能力とガバナンスの実践について明らかにしている。
What factors influence perceived artificial intelligence adoption by public managers?	どのような要因が公的管理者による人工知能導入の認知に影響を与えるのか？
The study finds that AI adoption is no longer a promise for public administration, but a reality, particularly in service delivery and internal operations and to a lesser extent in policy decision-making. It also highlights the importance of organisational factors such as leadership support, innovative culture, clear AI strategy, and in-house expertise in fostering AI adoption. Anticipated citizen needs are also identified as a key external factor driving AI adoption.	本研究では、AI導入はもはや行政にとって約束事ではなく、現実のものとなっており、特にサービス提供や内部業務において、また政策の意思決定において、その程度は低いものの、導入が進んでいることを明らかにしている。また、AI導入を促進する上で、リーダーシップの支援、革新的な文化、明確なAI戦略、社内の専門知識といった組織的要因が重要であることも強調している。また、予測される市民のニーズは、AI導入を促進する重要な外部要因であることも明らかにされている。
Based on these findings, the report offers three policy recommendations. First, it suggests paying attention to AI and digitalisation in leadership programmes, organisational development and strategy building. Second, it recommends broadening in-house expertise on AI, which should include not only technical expertise, but also expertise on ethics, governance, and law. Third, the report advises monitoring (for instance through focus groups and surveys) and exchanging on citizen needs and levels of readiness for digital improvements in government service delivery.	これらの調査結果に基づき、報告書は3つの政策提言を提示している。第一に、リーダーシップ・プログラム、組織開発、戦略構築において、AIとデジタル化に注意を払うことを提言している。第2に、AIに関する社内の専門知識を広げることを提言している。技術的な専門知識だけでなく、倫理、ガバナンス、法律に関する専門知識も含めるべきである。第3に、報告書は、政府サービス提供におけるデジタル改善に対する市民のニーズや準備レベルについて、（例えばフォーカスグループや調査を通じて）モニタリングし、意見交換することを勧めている。
Check out the full report: JRC Publications Repository - What factors influence perceived artificial intelligence adoption by public managers?	報告書全文を見る JRC Publications Repository - どのような要因が公的管理者による人工知能導入の認知に影響を与えるか？
Competences and governance practices for artificial intelligence in the public sector	公共部門における人工知能のための能力とガバナンスの実践
If we want to determine at what pace AI is being adopted and the value that can be derived from these emerging technologies, it is crucial to look at both competences required by public managers and at governance practices necessary for leveraging AI effectively.	AIがどのようなペースで採用され、このような新たな技術からどのような価値が得られるかを見極めたいのであれば、政府管理者に求められる能力と、AIを効果的に活用するために必要なガバナンスの実践の両方に目を向けることが極めて重要である。
Another recent study looks precisely at the essential competences and governance practices required for the effective adoption and usage of artificial intelligence (AI) in the public sector across Europe.	最近の別の研究では、欧州全域の公共部門で人工知能（AI）を効果的に導入・活用するために必要な必須能力とガバナンスのあり方について正確に考察している。
Drawing on three empirical sources, including a systematic review of academic research literature and policy and grey literature, feedback from an online expert workshop, and 19 interviews across seven selected case studies, the study elaborated two frameworks for AI in the public sector:	学術研究文献や政策・灰色文献の体系的レビュー、オンライン専門家ワークショップからのフィードバック、7つの厳選されたケーススタディにおける19のインタビューなど、3つの実証的情報源に基づき、本研究は公共部門におけるAIのための2つの枠組みを精緻化した：
A competences framework that encompasses technical, managerial, and policy legal and ethical competences, as well attitudinal, operational, and literacy one:	コンピテンシー・フレームワークは、技術的、管理的、政策的な法的・倫理的コンピテンシーに加え、態度的、運用的、リテラシー的コンピテンシーを含む：

The governance practices framework includes procedural, structural, and relational practices, and strategic, tactical, and operational governance levels:	ガバナンス実践フレームワームには、手続き的、構造的、関係的実践、戦略的、戦術的、運用的ガバナンスレベルが含まれる：

Additionally, the report provides six recommendations, three for each framework, consisting of 18 actions for the development of competences and governance practices for AI in the public sector in Europe.	さらに報告書は、欧州の公共部門におけるAIの能力とガバナンスの実践の発展のための18の行動からなる6つの提言（各枠組みに3つずつ）を提示している。
A full, detailed list of both the competencies and governance practices identified is available in the report: JRC Publications Repository - Competences and governance practices for artificial intelligence in the public sector	識別されたコンピテンシーとガバナンスの詳細なリストは報告書に掲載されている： JRC政府刊行物リポジトリ - 公共部門における人工知能のためのコンピテンシーとガバナンス慣行
Related and Future Work	関連研究と今後の課題
These studies are part of the scope of the Public Sector Tech Watch, a specialized observatory that tracks and shares information on the adoption of emerging technologies in the public sector across Europe. This observatory is under the joint administration of the Directorate-General for Digital Services and JRC, with the JRC serving as the observatory’s scientific partner.	これらの研究はPublic Sector Tech Watchの一部であり、欧州全域の公共部門における新技術の採用に関する情報を追跡・共有する専門観測所である。この観測所は、デジタルサービス一般調達局とJRCの共同管理下にあり、JRCは観測所の科学的パートナーとしての役割を果たしている。

AI導入...

・2024.11.25 What factors influence perceived artificial intelligence adoption by public managers?

What factors influence perceived artificial intelligence adoption by public managers?	どのような要因が、公的管理者によるAI導入の認知に影響を与えるのか？
A survey among public managers in seven EU countries	EU7カ国の公的管理者を対象とした調査
The adoption of artificial intelligence (AI) in the public sector is now reaching a stage where, drawing on the experience of early pilots and adoptions, EU public administrations are starting to face the challenges of implementing AI solutions. In response, this study investigates AI adoption in the public sector with a twofold goal:	公共部門における人工知能（AI）の導入は、初期の試験導入の経験を踏まえ、EUの行政機関がAIソリューションの導入という課題に直面し始める段階に来ている。これを受けて、本研究では公共部門におけるAIの導入について2つの目標を掲げて調査している：
● Add evidence to the existing body of knowledge to have a better understanding of the dynamics underlying AI adoption in the EU. We do this by providing quantitative (survey) insights into AI readiness and adoption in the public sector, across different country contexts. By offering a picture of the status of AI adoption and readiness in public administrations, we identify the main challenges and drivers of AI adoption, which are required for ensuring AI’s trustworthy use.	既存の知見にエビデンスを加え、EUにおけるAI導入の根底にある団体をより深く理解する。これは、公共部門におけるAIの準備と採用に関する定量的（調査）洞察を、さまざまな国の状況にわたってプロバイダすることによって行う。行政機関におけるAIの導入状況と準備状況を明らかにすることで、AIの信頼できる利用を確保するために必要な、AI導入の主な課題と推進要因を特定する。
● Define recommendations for managers in the public sector and public administrations. Based on the insights from the first aim, we formulate ways forward to inform policymakers. We surveyed 576 public managers in seven countries: Germany, Spain, France, the Netherlands, Austria, Poland and Sweden. The sample was diverse in age, job level, organisation size and geographical origin. We asked each of them about the level of AI adoption in their organisation.	公共部門および行政の管理者に対する提言を定義する。第一の目的から得られた洞察に基づき、政策立案者に情報を提供するための方法を策定する。我々は7カ国の576人の公的管理者を対象に調査を行った：ドイツ、スペイン、フランス、オランダ、オーストリア、ポーランド、スウェーデンである。サンプルは、年齢、職務レベル、組織規模、出身地が多様であった。各管理職に対し、組織におけるAI導入の度合いを尋ねた。
This was measured in two ways: we asked specifically about the extent to which they thought that their organisation had implemented AI projects in service delivery, internal operations and policy decision-making. Next, we asked about the exact number of projects that were either planned or implemented, with the response options of 0, 1, 2–5 or more than 5. Building on the latest scientific insights, we look at what combination of technological, organisational, environmental and individual-level factors contributes to AI adoption.	これは2つの方法で測定された：具体的には、各組織がサービス提供、内部業務、政策決定においてAIプロジェクトをどの程度実施しているかを尋ねた。次に、計画または実施されたプロジェクトの正確な数を、0、1、2～5、5以上の選択肢で尋ねた。最新の科学的知見に基づき、技術的、組織的、環境的、個人レベルのどのような要因の組み合わせがAIの導入に寄与しているかを調べた。
Based on our research, we have three key conclusions:	調査に基づき、3つの重要な結論を得た：
1. AI adoption is no longer a promise; it is a reality, in particular for service delivery and internal operations.	1. AIの導入はもはや約束事ではなく、特にサービス提供や社内業務においては現実のものとなっている。
2. Soft factors and in-house expertise are important internal factors for AI adoption.	2. AI導入のための重要な内部要因として、ソフト面の要因と組織内の専門知識が挙げられる。
3. Citizen needs are an important external factor for AI adoption.	3.市民のニーズはAI導入の重要な外部要因である。

・[PDF]

実践...

・2024.11.25 Competences and governance practices for artificial intelligence in the public sector

Competences and governance practices for artificial intelligence in the public sector

公共部門における人工知能の能力とガバナンスの実践

The diffusion of artificial intelligence (AI) in the public sector depends largely on ensuring the presence of appropriate competences and establishing appropriate governance practices to deploy solutions. This report builds on a synthesis of empirical research, grey and policy literature, on an expert workshop and on interviews from seven case studies of European public organisations to identify the competences and governance practices around AI required to enable value generation in the public sector. Based on the analysis, we present a comprehensive framework for relevant competences and a framework for the governance practices for AI in the public sector. The report also introduces six recommendations to be implemented through 18 actions to facilitate the development of the competences and governance practices needed for AI in the public sector in Europe.

公共部門における人工知能（AI）の普及は、適切な能力を確保し、ソリューションを展開するための適切なガバナンスを確立することに大きく依存する。本報告書では、実証研究、灰色文献、政策文献の統合、専門家ワークショップ、欧州の公的機関の7つのケーススタディからのインタビューに基づき、公的部門での価値創出を可能にするために必要なAIに関するコンピテンスとガバナンスのあり方を明らかにする。分析に基づき、関連するコンピテンスの包括的なフレームワークと、公共部門におけるAIのガバナンス手法のフレームワークを提示する。また、欧州の公的セクターにおけるAIに必要なコンピテンスとガバナンス手法の開発を促進するため、18のアクションを通じて実施すべき6つの提言を紹介している。

・[PDF]

2024.12.01 01:26 in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

備忘録論文法人としてのAI：過去、パターン、展望

こんにちは、丸山満彦です。

例えば、生成AIが人間の指示を受けなくても、新しい物語や、絵画を作り始めるということは、将来的にはありえそうです。その場合、そのようなAIに会社のように法人格を与えるということは、AIが生み出す行為に対する社会的な課題を解決する手段として、適切かもしれません。（可能性の話です...）

ただ、現在のところは、人間の手を離れて契約を交わすこともないですし、具体的な検討は不要なんでしょうね...あくまで、思考ゲームというところなのでしょうかね...

● PhilArchive

・2024.11.24 AI as Legal Persons: Past, Patterns, and Prospects by Claudio Novelli, Luciano Floridi & Giovanni Sartor

概要...

This chapter examines the evolving debate on AI legal personhood, emphasizing the role of path dependencies in shaping current trajectories and prospects. Two primary path dependencies emerge: prevailing legal theories on personhood (singularist vs. clustered) and the impact of technological advancements. We argue that these factors dynamically interact, with technological optimism fostering broader rights-based debates and periods of skepticism narrowing discussions to limited rights. Additional influences include regulatory cross-linkages (e.g., data privacy, liability, cybersecurity) and historical legal precedents. Current regulatory frameworks, particularly in the EU, generally resist extending legal personhood to AI systems. Case law suggests that without explicit legislation, courts are unlikely to grant AI legal personhood on their own. For this to happen, AI systems would first need to prove de facto legitimacy through sustained social participation. The chapter concludes by assessing near- and longterm prospects, from generative AI and AI agents in the next 5–20 years to transformative possibilities such as AI integration with human cognition via BrainMachine Interfaces in a more distant future.

本章では、AIの法的人格に関する発展途上の議論を検証し、現在の軌跡と展望を形成する経路依存性の役割を強調する。人称に関する一般的な法理論（単一主義かクラスター主義か）と技術的進歩の影響である。技術的楽観主義がより広範な権利に基づく議論を促進し、懐疑主義の時期が限定的な権利に議論を狭めるというように、これらの要因は動的に相互作用していると我々は主張する。さらに、規制のクロスリンク（データ・プライバシー、賠償責任、サイバーセキュリティなど）や歴史的な判例も影響する。現在の規制枠組み、特にEUでは、一般的にAIシステムに法的人格権を拡大することに抵抗がある。判例は、明確な立法がなければ、裁判所がAIに単独で法人格を付与する可能性は低いことを示唆している。そのためにはまず、AIシステムが持続的な社会参加を通じて事実上の正当性を証明する必要がある。本章は、今後5～20年の生成的AIやAIエージェントから、より遠い将来におけるブレイン・マシン・インターフェースを介したAIと人間の認知との統合といった変革の可能性まで、近未来と長期的な展望を評価することで締めくくられている。

・[PDF]

同じ指導教官の少し前の論文

・2021.12.10 A conceptual framework for legal personality and its application to AI by Claudio Novelli, Giorgio Bongiovanni & Giovanni Sartor

In this paper, we provide an analysis of the concept of legal personality and discuss whether personality may be conferred on artificial intelligence systems (AIs). Legal personality will be presented as a doctrinal category that holds together bundles of rights and obligations; as a result, we first frame it as a node of inferential links between factual preconditions and legal effects. However, this inferentialist reading does not account for the ‘background reasons’ of legal personality, i.e., it does not explain why we cluster different situations under this doctrinal category and how extra-legal information is integrated into it. We argue that one way to account for this background is to adopt a neoinstitutional perspective and to update the ontology of legal concepts with a further layer, the meta-institutional one. We finally argue that meta-institutional concepts can also support us in finding an equilibrium around the legal-policy choices that are involved in including (or not including) AIs among legal persons.

本稿では、法的人格の概念を分析し、人工知能システム（AI）に人格が付与されるかどうかを議論する。法的人格は、権利と義務の束をまとめる教義上のカテゴリーとして提示される。その結果、我々はまず、それを事実的前提条件と法的効果との間の推論的リンクのノードとして枠組みする。しかし、この推論主義的な読解は、法的人格の「背景的理由」を説明するものではない。すなわち、なぜ異なる状況をこの学説上のカテゴリーに分類するのか、また、法律外の情報がどのようにこのカテゴリーに統合されるのかを説明するものではない。このような背景を説明する一つの方法として、新体制の観点を採用し、法概念の存在論をさらにメタ制度的なレイヤーで更新することを主張する。最後に、メタ制度的概念は、法人にAIを含める（あるいは含めない）ことに関わる法的・政策的選択をめぐる均衡を見出す際にも役立つと主張する。

・[PDF]

2024.12.01 00:06 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in ロボット, in AI/Deep Learning | Permalink | Comments (0)
Tweet

サイト内検索

Recent Posts

Recent Comments

Recent Trackbacks

連載 (ITmedia)

ウェブページ

December 2024

2024.12.31

2024.12.30

2024.12.29

2024.12.28

図2.住宅用または軽商用ソーラー・エネルギー・システムにおけるスマート・インバータの役割

図10.スマートインバータの機能要素

2024.12.27

2024.12.26

2024.12.25

2024.12.24

2024.12.23

2024.12.22

2024.12.21

2024.12.20

2024.12.19

2024.12.18

2024.12.17

2024.12.16

2024.12.15

2024.12.14

2024.12.13

2024.12.12

2024.12.11

2024.12.10

2024.12.09

2024.12.08

2024.12.07

2024.12.06

2024.12.05

2024.12.04

2024.12.03

2024.12.02

2024.12.01

ココログ

まるちゃん

関連団体

情報法関連Blog

情報法 Web

セキュリティ Blog

セキュリティ web

内部統制