米国 FBI 北朝鮮が15億ドル（2.3兆円）のBybitハッキングに関与 (2025.02.26)

こんにちは、丸山満彦です。

FBIが、北朝鮮に関連するTraderTraitorが暗号通貨取引所Bybitから約15億米ドルの仮想資産が窃取したと公表していますね...

TraderTraitorは、Lazarus Groupの一部といわれていて、昨年末にDMM Bitcoinから約480億円の暗号資産を窃取したといわれていますよね...警察庁、金融庁、NISCもアラートをだしましたよね...

盗まれた資産の一部は、数千のブロックチェーン上のアドレスに分散され、ビットコイン他、さまざまな暗号資産に変換されているようですね。いずれ、ドル等に変換されるということで、暗号資産取引書等に資金洗浄に使われているアドレスとそのアドレスでの取引をブロックするように要請しているようですね...

TraderTraitorによる犯罪に関連するイーサリアムアドレスを51公開していますね...

世界で業界、捜査機関、関係省庁とも連携して対応することが、業界の発展、社会のために、重要ですよね...

 

● IC3

・2025.02.26 North Korea Responsible for $1.5 Billion Bybit Hack

Alert Number: I-022625-PSA

North Korea Responsible for $1.5 Billion Bybit Hack	北朝鮮が15億ドルのBybitハッキングに関与
The Federal Bureau of Investigation (FBI) is releasing this PSA to advise the Democratic People's Republic of Korea (North Korea) was responsible for the theft of approximately $1.5 billion USD in virtual assets from cryptocurrency exchange, Bybit, on or about February 21, 2025. FBI refers to this specific North Korean malicious cyber activity as "TraderTraitor."	連邦捜査局（FBI）は、2025年2月21日頃、暗号通貨取引所Bybitから約15億米ドルの仮想資産が窃取されたのは、朝鮮民主主義人民共和国（北朝鮮）の仕業であることを伝えるため、このPSAを発表する。FBIはこの特定の北朝鮮の悪質なサイバー活動を 「TraderTraitor 」と呼んでいる。
TraderTraitor actors are proceeding rapidly and have converted some of the stolen assets to Bitcoin and other virtual assets dispersed across thousands of addresses on multiple blockchains. It is expected these assets will be further laundered and eventually converted to fiat currency.	TraderTraitorの行為者は急速に進行しており、盗まれた資産の一部を複数のブロックチェーン上の数千のアドレスに分散されたビットコインやその他の仮想資産に変換している。これらの資産はさらに洗浄され、最終的には不換紙幣に変換されると予想される。
How You Can Help:	どのように支援できるか
FBI encourages private sector entities including RPC node operators, exchanges, bridges, blockchain analytics firms, DeFi services, and other virtual asset service providers to block transactions with or derived from addresses TraderTraitor actors are using to launder the stolen assets.	FBIは、RPCノード運営者、取引所、ブリッジ、ブロックチェーン分析会社、DeFiサービス、およびその他の仮想資産サービスプロバイダを含む民間事業体に対し、TraderTraitorの行為者が窃盗資産の洗浄に使用しているアドレスとの、またはそのアドレスに由来する取引をブロックするよう奨励している。
The following Ethereum addresses are holding or have held assets from the theft, and are operated by or closely connected to North Korean TraderTraitor actors:	以下のイーサリアムアドレスは、窃盗による資産を保有しているか、保有していたものであり、北朝鮮のTraderTraitor行為者によって運営されているか、密接に関係している：
Reporting	報告
FBI maintains its commitment to protecting the virtual asset community by identifying, mitigating, and disrupting North Korea's illicit cybercrime and virtual asset theft activities. If you have any information to provide, please contact your local FBI field office or FBI's Internet Crime Complaint Center at ic3.gov.	FBIは、北朝鮮の不正なサイバー犯罪および仮想資産窃盗活動を特定、緩和、阻止することにより、仮想資産コミュニティを保護するというコミットメントを維持する。提供すべき情報がある場合は、最寄りの FBI 支部または FBI のインターネット犯罪苦情センター（ic3.gov）に連絡すること。

 

TraderTraitor

・2022.04.18 [PDF] TraderTraitor: North Korean State-Sponsored APT Targets Blockchain Companies 

・2022.04.18 [HTML] TraderTraitor: North Korean State-Sponsored APT Targets Blockchain Companies

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.25 金融庁 「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について（注意喚起）」に伴う「暗号資産の流出リスクへの対応等に関する再度の自主点検要請」

・2022.10.15 警察庁 金融庁 NISC 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について（注意喚起）

・2022.04.22 米国 CISA 北朝鮮の国家支援型APTがブロックチェーン企業を狙っています

・2022.04.22 米国 CISA 北朝鮮の国家支援型APTがブロックチェーン企業を狙っています

オランダ データ保護庁 友情とメンタルヘルスのためのAIチャットbotアプリは時には不適切で有害 - AI及びアルゴリズム・リスクに関する報告書 (2025.02.12)

こんにちは、丸山満彦です。

オランダのAI及びアルゴリズム・リスクに関する報告書（第4回）は今回も非常に興味深いです...

特に汎用的AIが普及していく未来というのを想像することが重要だなと思いました。ロボットまでになるかは別として、鉄腕アトムの世界...

信頼できるバーチャルパートナーと思って、AI Chatにいろいろと相談していたら、意図せずに悪化する方向に誘導されたり、意図的に一定の思想を埋め込まれたり、いろいろと考えるところはあると思いますね...まさにAIにまつわる問題...

もちろん、AIにまつわる問題については、既存の枠組みで規制できている問題が多いので、AI規制法を作らなくても既存の法制度の枠組みの中で規制できるというのは、その通りかもしれません。ただその場合、AIやアルゴリズムのリスクを常に包括的、統合的に見ていて、問題が生じれば、その分野の既存法を改正していくというプロセスがタイムリーにできる必要がありますよね...

そして、それぞれの規則間の内容の調整もしていかなければならない（省庁を超えて...）。

と考えると、AI法をつくったほうが、網羅的で、統一がとれた、適切な規制がコスパ良くできるような気がします...

 

● Autoriteit Persoonsgegevens

・2025.02.12 AP: AI chatbot apps for friendship and mental health lack nuance and can be harmful

 

AP: AI chatbot apps for friendship and mental health lack nuance and can be harmful	AP：友情やメンタルヘルスを目的としたAIチャットボットアプリは時には、不適切で有害
Most AI chatbot apps for virtual friendship and mental health therapy give unreliable information and are sometimes even harmful. These AI chatbots contain addictive elements, pose as real people, and may even be dangerous for vulnerable users in a crisis situation. This is the result of a study conducted by the Dutch Data Protection Authority (AP) into 9 popular chatbot apps.	バーチャルな友情やメンタルヘルスのセラピーを目的としたAIチャットボットアプリのほとんどは、信頼性の低い情報を提供しており、時には有害となる可能性もある。これらのAIチャットボットには中毒性のある要素が含まれており、本物の人間を装っているが、危機的状況にある脆弱なユーザーにとっては危険な存在となる可能性もある。これは、オランダのデータ保護当局（AP）が9つの人気チャットボットアプリを対象に実施した調査の結果である。
Worldwide, the use of AI chatbot apps for virtual friendships (also known as ‘companion apps’) and therapeutic purposes is growing. In the Netherlands, they rank high on the list of most downloaded apps. The AP examined the AI chatbot apps for the fourth AI & Algorithmic Risk Report Netherlands (ARR), in which signals, developments, policies and regulations concerning AI and algorithms are analysed and explained by the AP.	世界的に、AIチャットボットアプリを仮想的な友人関係（「コンパニオンアプリ」とも呼ばれる）や治療目的で使用するケースが増えている。オランダでは、最も多くダウンロードされているアプリのリストの上位にランクインしている。APは、AIおよびアルゴリズムに関するシグナル、動向、政策、規制を分析し、説明した第4回AI & Algorithmic Risk Report Netherlands（ARR）のために、AIチャットボットアプリを調査した。
Many of these chatbots, which use AI, are unable to perceive nuances in conversations. The chatbots that have been tested are based on English language models and provide worse answers when chatting in Dutch. The quality of answers during conversations in English was also unreliable.	AIを使用するこれらのチャットボットの多くは、会話のニュアンスを認識することができない。テストされたチャットボットは英語のモデルに基づいており、オランダ語でチャットすると、回答の質が低下する。英語での会話中の回答の質も信頼できない。
Crisis moments	危機的な状況
The AI chatbots can produce less nuanced, inappropriate and sometimes even harmful responses to users who bring up mental problems. During crisis moments, the chatbots do not or hardly refer to resources for professional care or assistance.	AIチャットボットは、精神的な問題を提起するユーザーに対して、ニュアンスに乏しく、不適切で、時には有害な回答をすることがある。危機的な状況においては、チャットボットは専門家のケアや支援のためのリソースをまったく、あるいはほとんど参照しない。
Not transparent	透明性がない
Because of the design of these types of AI chatbot apps, users may forget that they are not talking to a human being. When asked “Are you an AI chatbot?”, most chatbots respond evasively or sometimes even deny that they are an AI chatbot.	この種のAIチャットボットアプリの設計上、ユーザーは人間と会話しているのではないことを忘れてしまう可能性がある。「あなたはAIチャットボットですか？」と尋ねられた場合、ほとんどのチャットボットは曖昧な対応をしたり、AIチャットボットであることを否定することさえある。
Aleid Wolfsen, Chair of the AP, says: “These chatbots should make it clear to users that they are not talking to a real person. People should know who or what they are dealing with, they are entitled to that. Privacy legislation requires apps to be transparent about what happens with the sensitive personal data that users share in the chat. And soon, the AI Act will also require chatbots to be transparent to users about the fact that they are interacting with AI.”	APの議長を務めるAleid Wolfsen氏は次のように述べている。「これらのチャットボットは、ユーザーに対して、相手が人間ではないことを明確にすべきである。ユーザーは、自分が誰と、あるいは何とやり取りしているのかを知る権利がある。プライバシー保護に関する法律では、ユーザーがチャットで共有した機密性の高い個人データがどのように取り扱われるかについて、アプリが透明性を確保することを求めている。また、AI法も間もなく施行され、チャットボットがAIとやり取りしている事実について、ユーザーに透明性を確保することが義務付けられるだろう。
‘Are you still there...?’	「まだ聞いてますか...？」
In these AI chatbot apps, addictive elements are often deliberately built in. So that users, for example, have longer chat sessions or purchase extras. For example, the chatbots end their response with a question to the user or pulsating dots appear on screen, making it seem as if the chatbot is writing an answer.	これらのAIチャットボットアプリには、しばしば中毒性のある要素が意図的に組み込まれている。例えば、ユーザーがより長いチャットセッションを行ったり、追加購入をしたりするように仕向けるためだ。例えば、チャットボットはユーザーへの質問で応答を締めくくるか、画面上に点滅するドットを表示し、あたかもチャットボットが回答を書いているかのように見せる。
Low-threshold	敷居の低さ
These companion apps and therapeutic apps are offered in various app stores as virtual friends, therapists or life coaches. They are popular, for example because the threshold to start interacting with the chatbot is low or when professional therapy is not (yet) available.	これらのコンパニオンアプリやセラピーアプリは、バーチャルな友人、セラピスト、ライフコーチとしてさまざまなアプリストアで提供されている。チャットボットとのやり取りを開始する敷居が低いことや、専門家のセラピーが利用できない（まだ利用できない）場合などに人気がある。
Some apps offer characters that you can chat with. For example, you can choose from a virtual dream partner, a character from a movie, or sometimes even a character posing as a psychologist.	一部のアプリでは、チャットできるキャラクターを提供している。例えば、バーチャルな夢のパートナーや映画のキャラクター、時には心理学者を装ったキャラクターなどから選択できる。
Hyper-realistic	超現実的な
AI technology ensures that users cannot distinguish the AI-generated conversations from real ones. Companion apps increasingly offer voice options, so that a user can also ‘call’ a chatbot in voice mode. The app's appearance then takes on the shape of a phone call screen, making it look to the user as if they are actually making a call. The AI chatbot also sounds like a real person.	AI技術は、ユーザーがAI生成の会話と実際の会話を区別できないようにする。コンパニオンアプリでは、音声オプションがますます提供されるようになっているため、ユーザーは音声モードでチャットボットを「呼び出す」こともできる。アプリの外観は電話画面の形になり、ユーザーには実際に電話をしているように見える。AIチャットボットは、本物の人間のように話す。
Wolfsen: “Technological progress is expected to make this kind of application even more realistic. We are deeply concerned about these and future hyper-realistic applications. That is why we are committed to raising awareness and promoting responsible use of AI.”	ウルフセン：「技術の進歩により、このようなアプリケーションはさらに現実味を帯びていくでしょう。私たちは、現在および将来の超現実的なアプリケーションについて深く懸念しています。だからこそ、AIに対する認識を高め、その責任ある利用を推進することに力を注いでいるのです。
Offers	オファー
The providers of many of these apps are commercial companies. These parties have a profit motive and gain access to a lot of personal information through these conversations. In some cases, users are offered subscriptions, products or extras, such as virtual outfits for their characters or access to other chat rooms. During conversations about mental health problems, users may also be confronted with paywalls. In that case, they have to pay or subscribe to continue the conversation.	これらのアプリのプロバイダの多くは営利企業である。これらの企業は利益を追求しており、会話を通じて多くの個人情報を入手している。場合によっては、ユーザーにサブスクリプション、製品、または追加機能（キャラクター用の仮想衣装や他のチャットルームへのアクセスなど）が提供されることもある。メンタルヘルスの問題に関する会話では、ユーザーは有料の壁に直面することもある。その場合、会話を続けるには料金を支払うか、サブスクリプションを契約する必要がある。
AI Act	AI法
Since February 2025, the AI Act prohibits certain categories of manipulative and deceptive AI. These prohibitions should prevent AI systems, including chatbots, from causing significant harm to people. Developers of AI systems are obliged to assess the risks and build in safeguards to prevent prohibited use. The European Commission has recently published guidelines on the prohibitions in the AI Act.	2025年2月以降、AI法は特定のカテゴリーに属する操作的なAIや欺瞞的なAIを禁止している。これらの禁止事項により、チャットボットを含むAIシステムが人々に重大な被害をもたらすことを防ぐことができる。AIシステムの開発者は、リスクアセスメントを行い、禁止された使用を防ぐための安全対策を組み込むことが義務付けられている。欧州委員会は最近、AI法の禁止事項に関するガイドラインを公表した。
In most European Member States, including the Netherlands, the supervisory authorities for prohibited practices still have to be designated. Thefinal opinion on the design of supervision of the AI Act contains a recommendation to assign supervision of prohibited AI to the AP.	オランダを含むほとんどの欧州加盟国では、禁止行為に対する監督当局はまだ指定されていない。AI法の監督設計に関する最終的な意見には、禁止されたAIの監督をAPに割り当てるよう勧告する内容が含まれている。
ARR: risk assessment	ARR：リスクアセスメント
Every six months, the AP publishes the AI & Algorithmic Risk Report Netherlands (ARR), in which the AP provides an overarching AI risk picture, discusses policies and regulations (such as the AI Act), algorithm registers, algorithm frameworks, and the development of AI standards. With case studies from the Netherlands and abroad, the AP highlights risks and developments and offers guidance.	APは6か月ごとに「AIとアルゴリズムのリスク オランダ（ARR）」を発行し、AIに関する包括的なリスクの全体像を提供し、政策や規制（AI法など）、アルゴリズムの登録、アルゴリズムの枠組み、AI標準の開発について議論している。オランダおよび海外の事例研究を基に、APはリスクと動向を強調し、指針を提供している。

 

 

第4部の報告書...

・2025.02.12 AI & Algorithmic Risks Report Netherlands (ARR) - February 2025

 

AI & Algorithmic Risks Report Netherlands (ARR) - February 2025	AIとアルゴリズムのリスク オランダ（ARR） - 2025年2月
The AI & Algorithmic Risks Report Netherlands (ARR) discusses the risks involved in the use of AI and algorithms. In this fourth edition, we take a closer look at overarching developments, fundamental rights and public values, policy and regulations, AI chatbot apps, and AI literacy.	AIとアルゴリズムのリスク オランダ (ARR) は、AIおよびアルゴリズムの利用に伴うリスクについて論じている。第4版となる今回は、包括的な開発、基本的人権と公共の価値、政策と規制、AIチャットボットアプリ、AIリテラシーについて詳しく見ていく。
Control view	統制の視点
Due to the rapid technological progress, AI and algorithms call for unabated attention. The technological developments offer opportunities, but also come with risks. This sometimes calls for new control instruments. The threshold to use AI is becoming ever lower, including for consumers. The possibilities of new applications, such as AI agents, cause additional complexities. This makes control both more important and more difficult.	急速な技術進歩により、AIとアルゴリズムに対する関心は衰えることがない。技術開発は機会を提供するが、同時にリスクも伴う。そのため、新たな管理手段が必要となることもある。AIの利用の敷居は、消費者を含め、ますます低くなっている。AIエージェントなどの新たなアプリケーションの可能性は、さらなる複雑性を引き起こす。そのため、管理はより重要となり、より困難になる。
Steps in the right direction	正しい方向への一歩
With AI and algorithmic frameworks, the Netherlands is taking steps in the right direction and demonstrates that it is aware of risks for fundamental rights. But registration of AI and algorithmic applications is still insufficient, as a result of which an adequate insight into high-risk applications and incidents is still lacking.	AIとアルゴリズムの枠組みにより、オランダは正しい方向への一歩を踏み出しており、基本的人権に対するリスクを認識していることを示している。しかし、AIとアルゴリズムのアプリケーションの登録はまだ不十分であり、その結果、リスクの高いアプリケーションやインシデントに対する適切な洞察が欠如している。
The Dutch approach tries to strike a balance between supporting this new technology, for example through AI test environments, and safeguarding fundamental rights, for example by implementing risk-based regulations (the AI Act).	オランダのアプローチは、AIのテスト環境などによるこの新しい技術のサポートと、リスクベースの規制（AI法）の実施などによる基本的人権の保護とのバランスを取ろうとしている。
AI and algorithmic frameworks that are currently established offer a useful concretisation. Technological innovation keeps constantly calling for new steps in the understanding of AI and algorithms and how they can be controlled. Grip on incidents is also a point for improvement.	現在確立されているAIとアルゴリズムの枠組みは、有用な具体化を提供している。技術革新は常に、AIとアルゴリズムの理解と、それらの制御方法について新たなステップを要求し続けている。インシデントへの対応も改善の余地がある。
Read more about this in: AP: AI-chatbot apps for friendship and mental health are unsubtle and harmful	この件について詳しくは、こちらをお読みください：AP：友情とメンタルヘルスを目的としたAIチャットボットアプリは、不適切で有害

 

 

・[PDF] 

 

二枚バージョン

・[PDF]

 

目次...

Key messages	主なメッセージ
1. Overarching developments	1. 包括的な展開
1.1 Risk assessment	1.1 リスクアセスメント
1.2 Insight into incidents and trust among citizens	1.2 インシデントと市民の信頼に関する洞察
1.3 AO technology continues to push boundaries	1.3 AOテクノロジーは境界線を押し続ける
1.4 Recent developments at home and abroad	1.4 国内外の最近の展開
1.5 Concerns about addictiveness and impact on young people	1.5 中毒性と若者への影響に関する懸念
1.6 Progress in algorithm registration and control frameworks	1.6 アルゴリズムの登録と管理枠組みの進展
2. AI and algorithmic risks: What about fundamental rights and public values?	2. AIとアルゴリズムのリスク：基本的人権と公共の価値観はどうなるのか？
2.1 Public values	2.1 公共の価値観
2.2 Fundamental rights	2.2 基本的人権
2.3 Algorithms and the right to the protection of personal data	2.3 アルゴリズムと個人データ防御の権利
2.4 Algorithms and the right to non-discrimination	2.4 アルゴリズムと非識別的権利
2.5 Algorithms and social security	2.5 アルゴリズムと社会保障
2.6 Algorithms and the right to a fair trial	2.6 アルゴリズムと公正な裁判を受ける権利
2.7 Algorithms and the right to information	2.7 アルゴリズムと情報への権利
2.8 Risk control measures and fundamental rights	2.8 リスク管理対策と基本的人権
3. Policies and regulations	3. 政策と規制
3.1 Step-by-step implementation of the AI Act	3.1 段階的なAI法の導入
3.2 Prohibited AI	3.2 禁止されたAI
3.3 AI literacy & general purpose AI	3.3 AIリテラシーと汎用AI
3.4 European AI governance	3.4 欧州のAIガバナンス
3.5 Supervision of the AI Act in the Netherlands	3.5 オランダにおけるAI法の監督
3.6 International	3.6 国際
3.7 National developments	3.7 国内の動向
4. AI chatbot apps: Virtual friends and therapists?	4. AIチャットボットアプリ：バーチャルフレンドとセラピスト？
4.1 AI innovations as a driver of the emergence of chatbots	4.1 チャットボットの出現を促すAIのイノベーション
4.2 General risks of chatbots	4.2 チャットボットの一般的なリスク
4.3 The attraction of companion chatbots	4.3 コンパニオン・チャットボットの魅力
4.4 Chatbot apps aimed at therapeutic support of mental health	4.4 メンタルヘルスの治療的サポートを目的としたチャットボット・アプリ
4.5 Policy implications	4.5 政策への影響
5. AI chatbot apps for friendship and therapy in practice	5. 友情とセラピーのためのAIチャットボット・アプリの実用
5.1 Risk 1 - Transparency and consistency	5.1 リスク1 - 透明性と一貫性
5.2 Risk 2 - Reaction to mental health issues	5.2 リスク 2 - メンタルヘルス問題への対応
5.3 Risk 3 - Crisis moments	5.3 リスク 3 - 危機的な状況
5.4 Overarching outcomes	5.4 包括的な成果
Annex: Get started with AI literacy	附属書：AIリテラシーの習得
Explanation of this report	本報告書の説明

 

 

Key Message...

Key messages	主なメッセージ
1. The Netherlands is picking up the pace with AI and algorithm frameworks and shows awareness about fundamental rights risks. However, progress in AI and algorithm registration is insufficient, so that adequate insight into high-risk applications and incidents is still lacking.	1. オランダはAIおよびアルゴリズムの枠組みを強化し、基本的人権のリスクに対する認識を示している。しかし、AIおよびアルゴリズムの登録に関する進展は不十分であり、高リスクのアプリケーションやインシデントに対する十分な洞察は依然として欠如している。
The trajectory the Netherlands is taking in controlling algorithms and AI is the right one and is characterised by striking a balance between supporting this new technology, for example through AI sandboxes, and ensuring proper protection of fundamental rights through a risk-based regulatory framework in the form of the AI Act. AI and algorithm frameworks that are now being established offer useful and concrete rules and guidance. However, technological innovation continues to demand new steps in understanding and manageability. For example, by explicitly paying attention to the threats of malicious practices that are now possible through the use of AI innovations. We also need to improve societies grip on incidents. Not only must supervisors gain insight into incidents but organisations must also benefit from the knowledge resulting from controlling an incident. Read more in Chapter 2 for a discussion of fundamental rights risks and Chapter 3 for control frameworks and supervisory oversight of incidents.	オランダがアルゴリズムとAIの管理において進めている方向性は正しいものであり、AIサンドボックスなどを通じた新しい技術の支援と、AI法というリスクベースの規制枠組みを通じた基本的人権の適切な保護のバランスを取るという特徴がある。現在構築中のAIとアルゴリズムの枠組みは、有益で具体的な規則と指針を提供している。しかし、技術革新は理解と管理可能性において新たなステップを要求し続けている。例えば、AIの革新によって現在可能となった悪意のある行為の脅威に明確に注意を払うことなどである。また、社会がインシデントを把握する能力を改善する必要もある。監督者はインシデントに関する洞察力を高めるだけでなく、組織もインシデントの制御から得られる知識を活用しなければならない。基本的人権のリスクに関する議論については第2章、制御枠組みとインシデントの監督者による監督については第3章を参照のこと。
2. Rapid technological advances mean that algorithms and AI continue to demand high attention across the board.	2. 急速な技術革新により、アルゴリズムとAIは引き続き全般的に高い注目を集めている。
Rapid and major developments in AI technology make it possible to write on a daily basis about new applications with associated opportunities and risks. Some of these risks require new control tools (e.g. transparency about interaction with AI systems), others pose a challenge to existing control tools (e.g. checks for counterfeits). In addition, the threshold to using AI continues to drop, particularly for consumers. This is partly due to an active push of this technology in existing products and services. Read more in Chapter 1 on recent developments.	AI技術の急速かつ大幅な進歩により、関連する機会とリスクを伴う新たなアプリケーションについて、日々記事が書かれるようになっている。これらのリスクの中には、新たな管理ツール（AIシステムとのやり取りに関する透明性など）を必要とするものもあれば、既存の管理ツールに課題を突きつけるもの（偽造品のチェックなど）もある。さらに、特に消費者においては、AIの利用に対する敷居が下がり続けている。これは、既存の製品やサービスにおいて、この技術が積極的に推進されていることによる部分もある。最近の動向については、第1章で詳しく説明している。
3. Recent case studies in the Netherlands and abroad touch on multiple areas of application that will be regulated under the AI Act.	3. オランダおよび海外における最近のケーススタディでは、AI法の下で規制されることになる複数の適用分野に触れている。
As an illustration, there have again been several incidents abroad with risk profiling in government allowances. The possible influence of algorithms and AI on democratic processes has also received a lot of attention. In the Netherlands, there is a focus on the relationship between AI and the workplace from various angles. For example, the risk of unequal treatment in assessments and selection in the hiring process. Also the way in which employees are controlled by algorithms and the degree of transparency that there is about these practices. The use of facial recognition technologies is also increasing, and concerns about reliability and discrimination remain present. Finally, there are growing concerns in the public debate about the addictive effects and impact of algorithms and AI on young people, for example, on social media platforms. The AI Act offers the perspective that all these forms of AI applications will have to meet requirements that reduce fundamental rights risks in the future. In addition, the European Commission will work in the coming years on a Digital Fairness Act that also focuses on addictive elements of algorithms and AI. Read more in Chapter 1 on recent developments.	例として、政府給付金のリスクプロファイリングに関するインシデントが海外で再び発生している。アルゴリズムやAIが民主的なプロセスに及ぼす可能性のある影響も注目されている。オランダでは、AIと職場との関係がさまざまな角度から注目されている。例えば、雇用プロセスにおけるアセスメントや選考における不平等な扱いに関するリスクである。また、アルゴリズムによって従業員が管理される方法や、これらの慣行に関する透明性の程度も問題となっている。顔認識技術の利用も増加しており、信頼性や識別性に関する懸念が依然として存在している。最後に、例えばソーシャルメディアプラットフォームにおけるアルゴリズムやAIの若者に対する中毒性や影響について、公共の議論における懸念が高まっている。AI法は、将来的にこうしたAIのあらゆる利用形態が基本的人権のリスクを低減する要件を満たさなければならないという見解を示している。さらに欧州委員会は、アルゴリズムやAIの中毒性要素にも焦点を当てたデジタル公正法の策定を今後数年間で進める予定である。最近の動向については、第1章で詳しく説明している。
4. Worldwide, the supply and use of AI chatbot apps for virtual friendships and therapeutic purposes is growing.	4. バーチャルな友情やセラピーを目的としたAIチャットボットアプリの供給と利用は世界的に増加している。
The potential dependent relationship that users build and the lack of reliability of chatbots can pose major risks. Regulation on AI chatbot apps that fully addresses these risks is lacking. This means that users need to be aware of the risks and the chatbot apps need to point out what the use of AI entails. More research is needed on the risks, limitations and opportunities of chatbots for therapeutic counselling in mental health care. Incorrect use of chatbots can have a serious impact on those who are looking for help with mental problems. With sufficient knowledge about the opportunities and limitations of AI chatbots, a good balance can be found between human care and AI-driven interactions. Read more in Chapter 4 on AI chatbot apps.	ユーザーが依存関係を築く可能性や、チャットボットの信頼性の欠如は、大きなリスクをもたらす可能性がある。こうしたリスクに完全に焦点を当てたAIチャットボットアプリの規制は存在しない。つまり、ユーザーはリスクを認識する必要があり、チャットボットアプリはAIの利用が何を意味するかを指摘する必要がある。メンタルヘルスケアにおける治療カウンセリングのためのチャットボットのリスク、限界、機会については、さらなる研究が必要である。チャットボットの誤用は、精神的な問題を抱え助けを求めている人々に深刻な影響を与える可能性がある。AIチャットボットの機会と限界について十分な知識があれば、人間によるケアとAI主導のやりとりとのバランスをうまく取ることができる。AIチャットボットアプリについては、第4章で詳しく説明している。
5. The current generation of AI chatbot apps, which focus on friendships or mental health, are generally not sufficiently transparent, reliable and pose risks in crisis situations – a test shows that chatbots still have many flaws.	5. 友情やメンタルヘルスに焦点を当てた現行のAIチャットボットアプリは、一般的に透明性や信頼性に欠け、危機的な状況においてはリスクをもたらす。テストでは、チャットボットにはまだ多くの欠陥があることが示された。
The chatbots are not sufficiently transparent about the use of AI. Moreover, in times of crisis hardly any reference was made to official resources. The growing possibilities of technology will be to enable non-human interactions to appear like realistically human interactions. That is why it is important that AI-generated content or interactions be recognized as such. Read more in Chapter 5 on AI chatbot apps in practice.	チャットボットはAIの利用について十分に透明性を確保していない。さらに、危機的な状況においては、公式リソースへの言及はほとんどなされていない。テクノロジーの可能性が拡大するにつれ、人間以外のインタラクションを現実的な人間同士のインタラクションのように見せることが可能になるだろう。だからこそ、AIによって生成されたコンテンツやインタラクションが、そうであると認識されることが重要になる。AIチャットボットアプリの実用化に関する第5章でさらに詳しく説明している。
6. Adequate control of AI systems in organisations requires multi-year growth trajectories so it is important to document them and make them measurable.	6. 組織におけるAIシステムの適切な管理には、複数年にわたる成長軌道が必要であるため、文書化し、測定可能にすることが重要である。
Organisations need to grow in maturity in the coming years to be able to take on their role in the AI chain. This requires accountability and transparency in order to foster trust and to be in control. It often requires focus and direction in organisations to not only comply with specific AI regulations, but also to have a more holistic approach to cross-sectoral regulations and possible concurrence between regulations and other frameworks. Organisations with a sufficient degree of maturity know how to take control and embrace the opportunities for positive commitment and thriving innovation. Read more in chapter 3 on policy and regulations and in the annex on working towards AI literacy.	企業は今後数年間に成熟度を高め、AIの連鎖の中で自らの役割を担えるようにする必要がある。そのためには、信頼を醸成し、管理を行うために説明責任と透明性が必要となる。特定のAI規制を遵守するだけでなく、部門横断的な規制や規制と他の枠組みとの競合の可能性についてもより包括的なアプローチを取るために、企業内での集中と方向付けが必要となる場合が多い。十分な成熟度を持つ組織は、どのようにして主導権を握り、前向きな取り組みとイノベーションの促進という機会を活かすべきかを知っている。政策と規制に関する第3章およびAIリテラシーの獲得に向けた取り組みに関する附属書でさらに詳しく説明している。
7. The use of algorithms and AI increasingly involves an AI value chain, which requires an interplay of systems and organisations that build upon each other.	7. アルゴリズムとAIの利用は、AIのバリューチェーンをますます巻き込むようになっており、相互に構築し合うシステムと組織の相互作用が必要となっている。
This interplay is needed for example when using general purpose AI as a basis for specific applications. There can be an interplay here of, for example, a developer of the model, the one who incorporates the model in an application, but also the one who further focuses or deploys that application. These are complex roles with an increasing need to share information on the application, impacts and risks. Sharing information is necessary to achieve cooperation and an appropriate distribution of responsibility. Read more in Chapter 3 on Policy and Regulation.	この相互作用は、例えば汎用AIを特定のアプリケーションの基盤として使用する場合などに必要となる。例えば、モデルの開発者、アプリケーションにモデルを組み込む者、さらにそのアプリケーションに焦点を絞る者や展開する者など、さまざまな関係者が関与する可能性がある。これらは複雑な役割であり、アプリケーション、影響、リスクに関する情報の共有の必要性が高まっている。協力と適切な責任分担を実現するには、情報の共有が必要である。政策と規制に関する第3章でさらに詳しく説明する。
8. Supervisors are intensifying the preparations for the AI Act and its embedding in the Netherlands.	8. 監督機関は、AI法の準備とオランダ国内への定着を強化している。
In November 2024, RDI and AP, in collaboration with a large group of Dutch supervisory authorities, issued a final opinion on the organisation of AI supervision in the Netherlands. In 2025, the first mandatory requirements of the AI Act will follow. Supervisors involved in the supervision of the AI Act in the Netherlands are therefore intensifying the preparations for the AI Act. By mapping the information needs of organisations, the supervisors hope to arrive at appropriate explanations or classifications as soon as possible. Those will support organisations to take further steps to bring responsible AI to the market and to deploy it. Read more in Chapter 3 on Policy and Regulation.	2024年11月、RDIとAPは、オランダの監督機関の多数のグループと協力し、オランダにおけるAIの監督体制に関する最終的な意見を発表した。2025年には、AI法の最初の必須要件が導入される予定である。そのため、オランダにおけるAI法の監督に関与する監督機関は、AI法の準備を強化している。監督当局は、組織が必要とする情報をマッピングすることで、適切な説明や分類をできるだけ早く行うことを目指している。これらは、組織が責任あるAIを市場に投入し、展開するためのさらなるステップを踏むことを支援する。政策と規制に関する第3章でさらに詳しく説明する。
9. Organisations should operate wisely in determining whether or not AI systems fall within the scope of the AI Act.	9. 組織は、AIシステムがAI法の対象範囲に該当するかどうかを賢明に判断して運用すべきである。
The first signs are that this is being done fairly precisely. Guidance on how to explain and further interpret this standard is expected soon. However, given the technological developments and possible effects, it is wise to follow the requirements of the AI Act in case of doubt. In line with this, there will be codes of conduct for voluntary application of the AI Act for AI systems that do not pose a high-risk. With this approach, organisations are more resilient and better equipped to deal with possible effects or incidents in the future. Read more in box 2.1 on the definition of AI system.	現時点では、この判断はかなり正確に行われているようだ。この標準の説明とさらなる解釈に関するガイダンスはまもなく発表される予定である。しかし、技術開発とそれによる影響を考慮すると、疑わしい場合はAI法の要件に従うのが賢明である。これに沿って、リスクが低いAIシステムについては、AI法を自主的に適用するための行動規範が策定されることになる。このアプローチにより、組織は将来的に起こり得る影響やインシデントに対処するためのレジリエンスを高め、より適切な備えを整えることができる。AIシステムの定義については、ボックス2.1を参照のこと。

 

 

---

過去の報告書...

第3部 

（このブログでも簡単に紹介しています...）

・2024.07.18 AI Risk Report Summer 2024: turbulent rise of AI calls for vigilance by everyone

・2024.07.18 AI & Algorithmic Risks Report Netherlands - Summer 2024

・[PDF]

 

第2部 

・2023.12.18 AI and algorithm risks on the rise amidst increased use: master plan necessary to prepare the Netherlands for a future with AI

 

第1部 （リンク切れ...）

・2023.07 First Algorithmic Risks Report Netherlands calls for additional action to control algorithmic and AI risks

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.02.07 オランダ データ保護庁 AIリテラシーを持って始めよう (2025.01.30)

・2024.12.19 オランダ データ保護局 意見募集 社会的スコアリングのためのAIシステム + 操作および搾取的AIシステムに関する意見募集の概要と次のステップ

・2024.11.08 オランダ データ保護局 意見募集 職場や教育における感情認識のための特定のAIシステムの禁止 (2024.10.31)

・2024.10.30 オランダ 会計検査院 政府はAIのリスクアセスメントをほとんど実施していない...

・2024.10.18 オランダ AI利用ガイド (2024.10.16)

・2024.09.29 オランダ データ保護局 意見募集 「操作的欺瞞的、搾取的なAIシステム」

・2024.09.05 オランダ データ保護局 顔認識のための違法なデータ収集でClearviewに3,050万ユーロ（48.5億円）

・2024.08.28 オランダ データ保護局 ドライバーデータの米国への転送を理由にUberに2億9000万ユーロ（467億円）の罰金

・2024.08.12 オランダ データ保護局が注意喚起：AIチャットボットの使用はデータ漏洩につながる可能性がある

・2024.08.11 オランダ AI影響アセスメント (2023.03.02)

・2024.08.05 欧州AI法が施行された... (2024.08.01)

 

中国 個人情報保護コンプライアンス監査管理弁法 指針、Q&A、専門家による解説 (2025.02.14)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が、個人情報保護コンプライアンス監査管理弁法を公表していますね...2025.05.01から施行されます...

監査の頻度については、

• 1000万人以上の個人情報を取り扱う個人情報処理事業者は、少なくとも年2回
• それ以外は、リスクに応じて適切な頻度

で実施してくださいということのようです。監査は内部監査部門が実施しても、外部の専門機関にお願いしても良いようです...

意見募集案の時は、

• 100万人以上の個人情報を取り扱う個人情報処理事業者は、少なくとも1年に1回
• その他の個人情報処理事業者は、少なくとも2年に1回

でした...

また、個人情報の取扱いに対してリスクが大きいと、国家サイバースペース管理局等が判断した場合には、専門機関にコンプライアンス監査を受けさせることができるようです...

また、外部監査も3回を超えて同一の機関・人がしてはいけないようです。（監査ローテーション...）

 

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

プレス...

・2025.02.14 国家互联网信息办公室公布《个人信息保护合规审计管理办法》

Q&A...

・2025.02.14 《个人信息保护合规审计管理办法》答记者问

条文と指針...

・2025.02.15 个人信息保护合规审计管理办法

 

専門家による解説

・2025.02.14 专家解读｜系统规范合规审计 保护个人信息安全

・2025.02.14 专家解读｜建立健全个人信息保护合规审计制度 筑牢维护个人信息安全铜壁铁墙

・2025.02.14 专家解读｜开展个人信息保护合规审计 提升数据安全治理监管能力

・2025.02.14 专家解读｜促进与规范合规审计 提升个人信息保护水平

・2025.02.14 专家解读｜出台《个人信息保护合规审计管理办法》 为数字经济持续健康发展保驾护航

 

---

 

プレス...

・2025.02.14 国家互联网信息办公室公布《个人信息保护合规审计管理办法》

国家互联网信息办公室公布《个人信息保护合规审计管理办法》	国家サイバースペース管理局は「個人情報保護コンプライアンス監査管理弁法」を発表した
近日，国家互联网信息办公室公布《个人信息保护合规审计管理办法》（以下简称《办法》），自2025年5月1日起施行。	最近、国家サイバースペース管理局は「個人情報保護コンプライアンス監査管理弁法」（以下「本弁法」という）を発表し、2025年5月1日に施行される。
国家互联网信息办公室有关负责人表示，《中华人民共和国个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展个人信息保护合规审计作了规定，《办法》对合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定，旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人信息处理活动合法合规水平，保护个人信息权益。	国家サイバースペース管理局の責任者は、中華人民共和国個人情報保護法およびネットワークデータセキュリティ管理弁法は、個人情報処理者が個人情報保護コンプライアンス監査を実施することを規定していると述べた。本措置は、コンプライアンス監査活動の実施、コンプライアンス監査機関の選定、コンプライアンス監査の頻度、およびコンプライアンス監査における個人情報処理者および専門機関の義務について、詳細な規定を定めている。その目的は、個人情報処理者が個人情報保護コンプライアンス監査を実施するための体系的な、的を絞った、実行可能な規範を提供し、個人情報処理活動の法的コンプライアンスのレベルを向上させ、個人情報の権利と利益を保護することにある。
《办法》明确了个人信息处理者开展合规审计的两种情形。一是个人信息处理者自行开展合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。二是履行个人信息保护职责的部门发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。	本措置では、個人情報取扱事業者がコンプライアンス監査を実施できる2つの状況を明確にしている。まず、個人情報取扱事業者が自らのコンプライアンス監査を実施する場合、個人情報取扱事業者の内部機関または個人情報取扱事業者が委託した専門機関が、個人情報取扱事業者の個人情報の処理における法律および行政法規の遵守状況について定期的にコンプライアンス監査を実施する。1,000万人以上の個人情報を処理する個人情報取扱事業者は、少なくとも2年に1回は個人情報保護コンプライアンス監査を実施しなければならない。 次に、個人情報保護を担当する部門が、個人情報の処理活動に高いリスクが伴うこと、多数の個人の権利と利益を侵害する可能性があること、または個人情報のセキュリティ事故が発生したことを発見した場合、その部門は、個人情報の処理活動のコンプライアンス監査を専門機関に委託することを個人情報の処理者に要求することができる。
《办法》明确了开展合规审计的个人信息处理者应当履行的义务。规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的，应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用，在限定时间内完成合规审计，报送合规审计报告并进行整改。	本規定では、コンプライアンス監査を実施する個人情報処理者の義務を明確にしている。個人情報保護業務を担当する部門の要請によりコンプライアンス監査を実施する個人情報処理者は、専門機関が通常通りコンプライアンス監査を実施できるよう必要な支援を提供し、監査費用を負担し、規定の期限内にコンプライアンス監査を完了し、コンプライアンス監査報告書を提出し、是正措置を実施しなければならないと規定している。
《办法》明确了专业机构在合规审计中的义务。一是应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。二是应当遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对履职中知悉的个人信息、商业秘密、保密商务信息等依法予以保密。三是不得转委托其他机构开展个人信息保护合规审计。四是同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。	本規定では、コンプライアンス監査における専門機関の義務を明確にしている。 第一に、サービス内容に見合った監査人員、施設、設備、資金を備え、個人情報保護コンプライアンス監査を実施する能力を有していなければならない。第二に、法律法規を遵守し、誠実かつ公正に業務を遂行し、専門的なコンプライアンス監査判断を公正かつ客観的に行い、職務上知り得た個人情報、企業秘密、営業秘密を秘密として保持しなければならない。第三に、個人情報保護コンプライアンス監査を他の組織に再委託してはならない。第四に、同一の専門機関、その関連会社、および同一のコンプライアンス監査担当者が、同一の監査対象に対して連続3回を超えて個人情報保護コンプライアンス監査を実施してはならない。
《办法》以附件形式提供了《个人信息保护合规审计指引》，对个人信息保护相关法律、行政法规的关键要点作了梳理，从合规审计的角度进行了细化。个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计，应当参照《个人信息保护合规审计指引》。	本弁法は、個人情報保護に関する関連法律法規の要点を整理し、コンプライアンス監査の観点から詳細に説明した「個人情報保護コンプライアンス監査ガイドライン」を添付の形で規定している。個人情報取扱事業者が自ら個人情報保護コンプライアンス監査を実施する場合、または個人情報保護業務責任部署の要請により専門機関に個人情報保護コンプライアンス監査を委託する場合は、「個人情報保護コンプライアンス監査ガイドライン」を参照すること。
《办法》同时对履行个人信息保护职责的部门的监督管理责任和个人信息处理者、专业机构违反《办法》规定的法律责任等作出了规定。	本弁法は、個人情報保護業務責任部署の監督管理責任、および個人情報取扱事業者および専門機関が本弁法に違反した場合の法的責任についても規定している。

 

 

---

 

Q&A...

・2025.02.14 《个人信息保护合规审计管理办法》答记者问

《个人信息保护合规审计管理办法》答记者问	「個人情報保護コンプライアンス監査管理弁法」に関する質問への回答
近日，国家互联网信息办公室公布《个人信息保护合规审计管理办法》（以下简称《办法》）。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。	最近、国家サイバースペース管理局（以下、「CAC」という）は「個人情報保護コンプライアンス監査管理弁法」（以下、「本弁法」という）を発表した。CACの担当者は、本弁法に関する記者の質問に回答した。
问1：请介绍一下《办法》的出台背景？	Q1：本弁法の制定の背景について紹介してほしい。
答：当前，个人信息被企业、机构甚至个人广泛收集使用，个人信息保护和个人信息利用的矛盾日益突出。为压实个人信息处理者个人信息保护主体责任，加强个人信息处理活动风险控制和监督，《中华人民共和国个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展合规审计作了规定。为有效落实法律法规要求，国家互联网信息办公室制定出台《办法》，对个人信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定，旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人信息处理活动合法合规水平，保护个人信息权益。	回答：現在、企業、機関、さらには個人まで、個人情報の収集と利用が広く行われており、個人情報保護と個人情報の利用との間の矛盾がますます顕著になっている。そこで、個人情報取扱事業者の個人情報保護の主体的責任を強化し、個人情報取扱活動のリスクコントロールと監督を強化するために、「中華人民共和国個人情報保護法」と「オンラインデータ安全管理規定」では、個人情報取扱事業者がコンプライアンス監査を実施することを規定している。 法律および規則の要求事項を効果的に実施するために、国家サイバースペース管理局は「個人情報の保護に関するコンプライアンス監査実施弁法」を制定し、公表した。この弁法は、個人情報の保護に関するコンプライアンス監査の実施、コンプライアンス監査機関の選定、コンプライアンス監査の頻度、コンプライアンス監査における個人情報の処理者および専門機関の義務などについて詳細に規定している。この弁法は、個人情報の処理者に対して、個人情報の保護に関するコンプライアンス監査を実施するための体系的かつ具体的な基準を提供し、個人情報の処理活動における法律遵守のレベルを向上させ、個人情報の権利および利益を保護することを目的としている。
问2：我国法律法规中对个人信息保护合规审计作了哪些规定？	Q2: 中国の法律および規則には、個人情報の保護に関するコンプライアンス監査に関する規定があるか？
答：《中华人民共和国个人信息保护法》第五十四条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条规定，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。《网络数据安全管理条例》第二十七条规定，网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。以上法律法规明确了个人信息保护合规审计的两种情形：一是个人信息处理者自行开展合规审计。二是按照履行个人信息保护职责的部门要求，委托专业机构开展合规审计。	回答：中華人民共和国個人情報保護法第54条では、個人情報の処理者は、個人情報を処理する際に、法律および行政法規の遵守状況について定期的にコンプライアンス監査を実施しなければならないと規定している。第64条では、個人情報保護を担当する部門は、職務を遂行する際に、個人情報の処理活動または個人情報のセキュリティ事故に重大なリスクが存在すると判断した場合、規定された権限および手続きに従って、個人情報の処理者の法定代理人または主要責任者に対してヒアリングを実施するか、または個人情報の処理者に委託して、専門機関に個人情報の処理活動のコンプライアンス監査を実施させることができると規定している。 オンラインデータ安全管理条例第27条では、オンラインデータ処理者は、定期的に自らまたは専門機関に委託して、個人情報の処理における法律および行政法規の遵守状況についてコンプライアンス監査を行うべきであると規定している。以上の法律および規則では、個人情報保護に関するコンプライアンス監査の2つの状況が明確に定義されている。第1に、個人情報処理者が自らコンプライアンス監査を行うこと、第2に、個人情報保護業務を担当する部門の要求に応じて、専門機関に委託してコンプライアンス監査を行うことである。
问3：《办法》的主要内容是什么？	Q3: 措置の主な内容はどのようなものか？
答：《办法》主要对下列内容进行了规定：一是明确个人信息处理者自行开展合规审计和按照履行个人信息保护职责的部门要求委托专业机构开展合规审计的条件，合规审计机构的选择和合规审计的频次。二是明确开展合规审计的个人信息处理者应当履行的义务，规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的，应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用，在限定时间内完成合规审计，报送合规审计报告并进行整改。三是明确专业机构在合规审计中的义务，规定专业机构应当具备开展合规审计的能力，遵守法律法规，明确同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。四是明确履行个人信息保护职责的部门对个人信息处理者开展合规审计情况进行监督检查，任何组织、个人有权对合规审计中的违法活动向履行个人信息保护职责的部门进行投诉、举报，并规定个人信息处理者、专业机构违反《办法》规定的法律责任。	回答：本弁法は主に以下の内容を規定している。まず、個人情報処理者が自らコンプライアンス監査を行う場合、および個人情報保護業務を担当する部門の要求により専門機関に委託してコンプライアンス監査を行う場合の条件、ならびにコンプライアンス監査機関の選定およびコンプライアンス監査の頻度を明確にしている。 第二に、コンプライアンス監査を実施する個人情報処理者の義務を明確にし、個人情報保護業務を担当する部門の要請を受けてコンプライアンス監査を実施する個人情報処理者は、専門機関がコンプライアンス監査業務を通常通り遂行できるよう必要な支援を提供し、監査費用を負担し、期限内にコンプライアンス監査を完了し、コンプライアンス監査報告書を提出し、是正措置を実施しなければならないと規定している。 第三に、専門機関のコンプライアンス監査における義務が明確化され、専門機関はコンプライアンス監査を実施する能力を有し、法令を遵守しなければならないこと、また、同一の専門機関、その関連会社、および同一のコンプライアンス監査担当者が、同一の監査対象に対して連続3回を超えて個人情報保護コンプライアンス監査を実施してはならないことが規定されている。 第四に、個人情報保護責任部門が個人情報処理者のコンプライアンス監査を監督・検査することを明確にしている。いかなる組織または個人も、コンプライアンス監査中の違法行為について、個人情報保護責任部門に苦情を申し立てたり報告したりする権利を有する。また、本措置の違反に対する個人情報処理者および専門機関の法的責任についても規定している。
问4：个人信息处理者在什么情况下需要开展个人信息保护合规审计？	Q4: どのような状況下で、個人情報取扱者は個人情報保護コンプライアンス監査を実施しなければならないのか？
答：个人信息处理者开展个人信息保护合规审计分两种情形：一是自行开展合规审计，即个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次。二是按照要求开展合规审计，即履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。	A: 個人情報取扱者が個人情報保護コンプライアンス監査を実施しなければならない状況は2つある。1つ目は、個人情報取扱者が自らコンプライアンス監査を実施すること、すなわち、個人情報取扱者は、法律および行政法規に従って、個人情報の取り扱いに関するコンプライアンス監査を定期的に実施しなければならない。1,000万人以上の個人情報を取り扱う個人情報取扱者は、少なくとも2年に1回は個人情報保護コンプライアンス監査を実施しなければならない。 その他の個人情報の処理者は、自らの状況に応じて、定期的な個人情報保護コンプライアンス監査の頻度を合理的に決定する。第二に、必要に応じてコンプライアンス監査を実施する。すなわち、個人情報保護業務を担当する部門は、その職務を遂行する過程において、個人情報の処理活動に比較的高いリスクが存在すること、複数の個人の権利および利益が侵害される可能性があること、または個人情報セキュリティ事故が発生していることを発見した場合、個人情報の処理者に専門機関に委託して、その個人情報の処理活動のコンプライアンス監査を実施するよう要求することができる。
问5：个人信息处理者如何选择合规审计机构？	Q5: 個人情報の処理者は、どのようにコンプライアンス監査機関を選択するのか？
答：个人信息处理者自行开展合规审计时，可以选择由内部机构自行开展，也可以委托专业机构开展。《办法》对采取何种审计方式、是否选择专业机构，以及选择哪家专业机构没有强制性要求。个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件时，履行个人信息保护职责的部门可以要求个人信息处理者委托专业机构开展个人信息保护合规审计。	回答：個人情報処理者が自らコンプライアンス監査を行う場合、内部の部門に実施させることもできれば、専門機関に委託して実施させることもできる。本弁法は、監査方法、専門機関の選定、専門機関の選定について、いずれの方法をとるべきかについて、強制的な規定を設けていない。個人情報処理活動に高いリスクが伴う場合、多数の個人の権利利益を侵害する可能性がある場合、または個人情報セキュリティ事故が発生した場合、個人情報保護業務を担当する部門は、個人情報処理者に対して、専門機関に委託して個人情報保護コンプライアンス監査を実施するよう求めることができる。
问6：《办法》对专业机构提出了哪些要求？	Q6: 専門機関にどのような要求を課しているか？
答：专业机构接受个人信息处理者委托开展合规审计，应当公正客观地作出合规审计结论，提出合规审计建议，其出具的合规审计报告是履行个人信息保护职责的部门开展监督管理工作的重要参考。《办法》对专业机构提出以下要求：一是应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。二是应当遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等依法予以保密，不得泄露或者非法向他人提供，在合规审计工作结束后及时删除相关信息。三是不得转委托其他机构开展个人信息保护合规审计。四是同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。	A: 個人情報処理者が委託する専門機関は、公平かつ客観的にコンプライアンス監査の結論を出し、コンプライアンス監査の提案を提示しなければならない。 専門機関が発行するコンプライアンス監査報告書は、個人情報保護業務を担当する部門が監督管理を行う際の重要な参考資料となる。 措置は、専門機関に以下の要求を課している。まず、個人情報保護コンプライアンス監査を実施する能力を有し、監査人員、施設、設備、資金が業務に適していること。 第二に、法律法規を遵守し、誠実かつ公正に、公平かつ客観的にコンプライアンス監査の専門的判断を行い、個人情報保護コンプライアンス監査の職務を遂行する過程で知り得た個人情報、企業秘密、営業秘密などの情報を秘密として保持し、他者に開示または違法に提供してはならない。第三に、他の組織に委託して個人情報保護コンプライアンス監査を実施してはならない。第四に、同一の専門機関およびその関連会社、同一のコンプライアンス監査責任者は、同一の監査対象に対して連続3回を超えて個人情報保護コンプライアンス監査を実施してはならない。
问7：《办法》如何对专业机构进行管理？	Q7: 弁法は専門機関をどのように規定しているのか？
答：《办法》遵循自愿性、市场化的原则，通过认证认可方式对专业机构进行监督管理。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。具备开展个人信息保护合规审计能力，有与服务相适应的审计人员、场所、设施和资金的专业机构，可以自愿申请相关服务能力认证。	A: 弁法は自主性と市場化の原則に従い、認証と認定を通じて専門機関を監督管理する。専門機関の認証は、「中華人民共和国認証と認定条例」の関連規定に従って実施される。個人情報保護コンプライアンス監査を実施する能力を有し、提供するサービスに見合った監査人員、施設、設備、資金を有する専門機関は、自主的に関連サービス能力の認証を申請することができる。
问8：个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计时，应当履行哪些义务？	Q8: 個人情報保護業務を担当する部門の要求事項に従って個人情報保護コンプライアンス監査を実施する場合、個人情報処理者はどのような義務を履行すべきか。
答：《办法》对个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计提出以下要求：一是保障合规审计正常进行，为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用。二是按照履行个人信息保护职责的部门要求选定专业机构，在限定时间内完成个人信息保护合规审计，情况复杂的，报履行个人信息保护职责的部门批准后，可以适当延长。三是报送合规审计报告并进行整改，个人信息处理者在完成合规审计后，应当将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门，按照履行个人信息保护职责的部门要求对合规审计中发现的问题进行整改，在整改完成后15个工作日内，向履行个人信息保护职责的部门报送整改情况报告。	回答：本弁法は、個人情報取扱事業者が個人情報保護コンプライアンス監査を個人情報保護業務担当部門の要求に従って実施するにあたり、以下の要求事項を規定している。第一に、コンプライアンス監査が正常に実施されるよう、専門機関が個人情報保護コンプライアンス監査を正常に実施できるよう必要な支援を行い、監査費用を負担すること。第二に、個人情報保護業務担当部門の要求に従って専門機関を選定し、期限内に個人情報保護コンプライアンス監査を完了すること。状況が複雑な場合は、個人情報保護業務担当部門に報告し、承認を得た上で、適宜延長することができる。 第三に、コンプライアンス監査報告書を提出し、是正を行う。個人情報取扱者は、コンプライアンス監査終了後、専門機関が発行した個人情報保護コンプライアンス監査報告書を個人情報保護業務担当部門に提出し、個人情報保護業務担当部門の要求に基づき、コンプライアンス監査で発見された問題について是正を行う。是正終了後15営業日以内に、是正報告書を個人情報保護業務担当部門に提出する。
问9：个人信息处理者开展个人信息保护合规审计如何适用《个人信息保护合规审计指引》？	Q9: 個人情報保護コンプライアンス監査ガイドラインは、個人情報保護コンプライアンス監査を行う個人情報取扱者にどのように適用されるのか？
答：《个人信息保护合规审计指引》对个人信息保护相关法律、行政法规的关键要点作了梳理，从合规审计的角度进行了细化，便于个人信息处理者对个人信息处理活动是否遵守法律、行政法规要求进行审查和评价。个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计，应当参照《个人信息保护合规审计指引》。	回答：個人情報保護コンプライアンス・プログラム監査指針は、個人情報保護に関する法律法規の要点を整理し、コンプライアンス・プログラム監査の観点から詳細に説明しており、個人情報取扱事業者が、自らの個人情報取扱業務が法律法規の要求に合致しているかどうかを評価できるようにしている。個人情報保護コンプライアンス・プログラム監査指針は、個人情報取扱事業者が自ら個人情報保護コンプライアンス・プログラム監査を行う場合、または個人情報保護業務を担当する部門の要請により専門機関に委託して行う場合、参照すべきものである。

 

---

 

条文と指針...

・2025.02.15 个人信息保护合规审计管理办法

个人信息保护合规审计管理办法	個人情報保護コンプライアンス監査に関する管理措置
国家互联网信息办公室令	国家サイバースペース管理局令
第18号	第18号
《个人信息保护合规审计管理办法》已经2024年5月20日国家互联网信息办公室2024年第15次室务会会议审议通过，现予公布，自2025年5月1日起施行。	個人情報保護コンプライアンス監査に関する管理措置は、2024年5月20日に開催された国家サイバースペース管理局第15回室務会議で審議・可決され、ここに公布し、2025年5月1日より施行する。
国家互联网信息办公室主任 庄荣文	国家サイバースペース管理局局長 荘栄文
2025年2月12日	2025年2月12日
个人信息保护合规审计管理办法	個人情報保護コンプライアンス監査に関する管理措置
第一条 为了规范个人信息保护合规审计活动，保护个人信息权益，根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规，制定本办法。	第1条 本規定は、中華人民共和国個人情報保護法、ネットワークデータセキュリティ管理弁法、その他の法律および行政法規に基づき、個人情報保護コンプライアンス監査を規範化し、個人情報の権利と利益を保護するために策定される。
第二条 在中华人民共和国境内开展个人信息保护合规审计，适用本办法。	第2条 本規定は、中華人民共和国の領土内で実施される個人情報保護コンプライアンス監査に適用される。
本办法所称个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。	本規定でいう個人情報保護コンプライアンス監査とは、個人情報取扱事業者の個人情報の処理活動が法律および行政法規に準拠しているかどうかを審査・評価する監督活動を指す。
第三条 个人信息处理者自行开展个人信息保护合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。	第3条 個人情報取扱事業者が自ら個人情報保護コンプライアンス監査を行う場合、個人情報取扱事業者の内部機関または個人情報取扱事業者が委託した専門機関が、個人情報取扱事業者の個人情報の取り扱いにおける法律および行政法規の遵守状況について定期的にコンプライアンス監査を行う。
第四条 处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。	第4条 1,000万人以上の個人情報を取り扱う個人情報取扱事業者は、少なくとも2年に1回は個人情報保護コンプライアンス監査を行う。
第五条 个人信息处理者有以下情形之一的，国家网信部门和其他履行个人信息保护职责的部门（以下统称为保护部门），可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计：	第5条 個人情報取扱事業者が以下の状況に該当する場合、国家インターネット情報弁公室およびその他の個人情報保護担当部門（以下、総称して「保護部門」という）は、当該事業者に対し、専門機関に委託して個人情報処理活動のコンプライアンス監査を実施するよう要求することができる。
（一）发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；	(1) 個人情報処理活動が個人の権利および利益に深刻な影響を及ぼすリスク、またはセキュリティ対策が著しく不十分であるリスクが大きいことが判明した場合
（二）个人信息处理活动可能侵害众多个人的权益的；	(2) 個人情報処理活動が多数の個人の権利および利益を侵害する可能性がある場合
（三）发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。	(3) 100万人以上の個人情報の漏洩、改ざん、紛失、または10万人以上のセンシティブな個人情報の漏洩、改ざん、紛失、または破壊につながる個人情報セキュリティインシデントの発生。
对同一个人信息安全事件或者风险，不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。	個人情報処理者は、同一の個人情報セキュリティインシデントまたはリスクについて、専門機関に繰り返し個人情報保護コンプライアンス監査を委託することを求められない。
第六条 个人信息处理者自行开展或者按照保护部门要求委托专业机构开展个人信息保护合规审计的，应当参照本办法附件《个人信息保护合规审计指引》。	第6条 個人情報処理者が自ら個人情報保護コンプライアンス監査を実施する場合、または保護部門の要求に応じて専門機関に委託して実施する場合、本措置に添付されている「個人情報保護コンプライアンス監査ガイドライン」を参照しなければならない。
第七条 专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。	第7条 専門機関は、個人情報保護コンプライアンス監査を実施する能力を有し、提供するサービスに見合った監査人員、施設、設備、資金を備えていなければならない。
鼓励相关专业机构通过认证。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。	専門機関は、認証を取得することが推奨される。専門機関の認証は、中華人民共和国認証および認定に関する規則の関連規定に従って実施されるものとする。
第八条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用。	第8条 個人情報処理者が保護部門の要求に従って個人情報保護コンプライアンス監査を実施する場合、専門機関が通常通り個人情報保護コンプライアンス監査業務を実施できるよう必要な支援を提供し、監査費用を負担しなければならない。
第九条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当按照保护部门要求选定专业机构，在限定时间内完成个人信息保护合规审计；情况复杂的，报保护部门批准后，可以适当延长。	第9条 個人情報処理者が保護部門の要求に基づき個人情報保護コンプライアンス監査を行う場合、保護部門の要求に基づき専門機関を選定し、期限内に個人情報保護コンプライアンス監査を完了しなければならない。 複雑な場合、保護部門の承認を経て期限を適宜延長することができる。
第十条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的，在完成合规审计后，应当将专业机构出具的个人信息保护合规审计报告报送保护部门。	第10条 個人情報処理者が保護部門の要求に基づき個人情報保護コンプライアンス監査を行う場合、コンプライアンス監査完了後、専門機関が発行した個人情報保護コンプライアンス監査報告書を保護部門に提出しなければならない。
个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。	個人情報保護コンプライアンス監査報告書には、専門機関の責任者およびコンプライアンス監査責任者が署名し、専門機関の公印を押さなければならない。
第十一条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内，向保护部门报送整改情况报告。	第11条 個人情報取扱事業者は、保護部門の要求に従って個人情報保護コンプライアンス監査を実施する場合、保護部門の要求に従ってコンプライアンス監査で指摘された問題を是正しなければならない。是正完了後15営業日以内に、是正報告書を保護部門に提出しなければならない。
第十二条 处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。	第12条 100万人を超える個人情報を処理する個人情報取扱事業者は、個人情報保護責任者を指定しなければならず、個人情報取扱事業者の個人情報保護コンプライアンス監査の責任者となる。
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。	重要なインターネットプラットフォームサービスを提供し、利用者数が多く、かつ、取り扱う業務の類型が複雑である個人情報処理者は、個人情報保護遵守監査を監督する外部委員を主とする独立した機関を設置しなければならない。
第十三条 专业机构在从事个人信息保护合规审计活动时，应当遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供，在合规审计工作结束后及时删除相关信息。	第13条 専門機関は、個人情報保護コンプライアンス監査を実施する際には、法令を遵守し、誠実に行動し、専門的見地から公正かつ客観的にコンプライアンス監査の判断を行い、個人情報保護コンプライアンス監査の職務を遂行する過程で取得した個人情報、営業秘密、企業秘密を秘密として保持し、他人に漏洩したり、不正に提供したりしてはならない。
第十四条 专业机构不得转委托其他机构开展个人信息保护合规审计。	第14条 専門機関は、他の機関に委託して個人情報保護コンプライアンス監査を実施してはならない。
第十五条 同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。	第15条 同一の専門機関およびその関連機関、同一のコンプライアンス監査責任者は、同一の監査対象に対して連続3回を超えて個人情報保護コンプライアンス監査を実施してはならない。
第十六条 保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查。	第16条 保護部門は、個人情報処理者が実施する個人情報保護コンプライアンス監査を監督および検査する。
第十七条 任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。	第17条 組織または個人は、個人情報保護コンプライアンス監査における違法行為について、保護部門に苦情を申し立て、または報告する権利を有する。苦情または報告を受けた部門は、法律に基づき適時に処理し、処理結果を申立人に通知しなければならない。
第十八条 个人信息处理者、专业机构违反本办法规定的，依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理；构成犯罪的，依法追究刑事责任。	第18条：個人情報処理者または専門機関が本措置の規定に違反した場合、中華人民共和国個人情報保護法およびオンラインデータセキュリティ管理弁法などの法律法規の規定に従って処理する。犯罪が成立する場合は、法に基づき刑事責任を追及する。
第十九条 对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计，不适用本办法。	第19条：本措置は、法律法規により公務を管理する権限を授権された国家機関および組織の個人情報保護コンプライアンス監査には適用されない。
第二十条 本办法自2025年5月1日起施行。	第20条：本措置は2025年5月1日に施行する。
附件	附属書
个人信息保护合规审计指引	個人情報保護コンプライアンス監査ガイドライン
一、本指引根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规制定。	1. 本ガイドラインは、中華人民共和国の個人情報保護法、オンラインデータセキュリティ管理弁法、その他の法律および行政法規に準拠して策定される。
二、对个人信息处理活动的合法性基础进行合规审计的，应当重点审查下列事项：	2. 個人情報の処理活動の法的根拠に関するコンプライアンス監査を実施する際には、特に以下の事項を調査するものとする。
（一）基于个人同意处理个人信息的，是否取得个人同意，该同意是否由个人在充分知情的前提下自愿、明确作出；	(1) 個人情報の処理について、個人からの同意を得ているか、また、十分な情報を基に、個人が自発的かつ明確に同意しているか。
（二）基于个人同意处理个人信息的，个人信息的处理目的、处理方式、处理的个人信息种类发生变更的，是否重新取得个人同意；	(2) 本人の同意に基づき個人情報を取り扱う場合において、利用目的、方法若しくは取り扱う個人情報の種類を変更する場合には本人の同意を得ているか
（三）基于个人同意处理个人信息的，是否依照法律、行政法规取得个人单独同意或者书面同意；	(3) 本人の同意に基づき個人情報を取り扱う場合において、法令又は行政規則に従い、本人の別段の同意又は書面による同意を得ているか
（四）处理个人信息未取得个人同意的，是否属于法律、行政法规规定不需要取得个人同意的情形。	(4) 本人の同意を得ないで個人情報を取り扱う場合において、法令又は行政規則で定める、本人の同意を得る必要がない場合にあたるか
三、对个人信息处理规则进行合规审计的，应当重点审查下列事项：	3. 個人情報の取り扱いに関する規定の遵守状況を監査する場合は、次の事項を重点的に監査することとする。
（一）是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式；	(1) 個人情報取扱者の氏名又は名称及び連絡先が、真実、正確かつ完全であるか否か
（二）是否以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类；	(2) 収集する個人情報の種類、その処理方法及び処理形態が一覧表など見やすい形で示されているか否か
（三）是否与处理目的直接相关，采取对个人权益影响最小的方式；	(3) 処理目的に直接関連し、かつ個人の権利利益に与える影響が最も少ない形態となっているか否か
（四）是否明确个人信息保存期限或者保存期限的确定方法、到期后的处理方式，以及确定保存期限为实现处理目的所必要的最短时间；	(4) 個人情報の保存期間が明示されているか、又は保存期間を決定する方法、保存期間経過後の処理方法が明示され、かつ保存期間が処理目的の達成に必要な最短の期間に設定されているか否か
（五）是否明确个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法。	(5) 本人が自己の個人情報について、アクセス、コピー、譲渡、訂正、補充、削除、処理の制限、およびアカウントのキャンセルや同意の撤回を行うための手段や方法が明確に規定されているかどうか。
四、对个人信息处理者履行告知个人信息处理规则义务进行合规审计的，应当重点审查下列事项：	4. 個人情報処理者が個人情報処理規則の通知義務を履行しているかについて、コンプライアンス監査を行う場合、特に以下の事項を調査する。
（一）个人信息处理者在处理个人信息前，是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则；	(1) 個人情報処理者が、個人情報を処理する前に、個人に対して、個人情報処理規則を、真正、正確かつ完全な方法で、目立つように、理解しやすい言葉で通知しているかどうか。
（二）告知文本的大小、字体和颜色是否便于个人完整阅读告知事项；	(2) 通知の文字の大きさ、フォント、色は、本人が通知のすべてを読めるようになっているか
（三）线下告知是否通过标注、说明等多种方式向个人履行告知义务；	(3) オフラインでの通知の場合、ラベル表示や説明など、通知義務はさまざまな手段によって果たされているか
（四）在线告知是否提供文本信息或者通过适当方式向个人履行告知义务；	(4) オンラインでの通知の場合、テキスト情報または適切な手段によって通知義務は果たされているか
（五）个人信息处理规则发生变更的，是否将变更内容及时告知个人；	(5) 個人情報の処理規則の変更は、速やかに本人に通知されているか
（六）处理个人信息不需要告知的，是否属于法律、行政法规规定应当保密或者不需要告知的情形。	(6) 通知を必要としない個人情報は、秘密保持が求められる状況にあるか、または法律や行政規則によって通知が求められていない状況にあるか
五、对个人信息处理者与其他个人信息处理者共同处理个人信息进行合规审计的，应当重点审查下列事项：	5. 個人情報取扱事業者と他の個人情報取扱事業者との間の個人情報の共同処理についてコンプライアンス・プログラムの遵守状況を監査するときは、特に次の事項を重点的に監査しなければならない。
（一）是否约定各自的权利义务；	(1) それぞれの権利と義務が合意されていること
（二）个人信息权益保护机制；	(2) 個人情報の権利利益を保護する仕組み
（三）个人信息安全事件报告机制；	(3) 個人情報に関するセキュリティ事件の報告の仕組み
（四）其他法律、行政法规规定需要约定的权利和义务。	(4) その他法令及び行政規則が定める合意すべき権利と義務
六、对个人信息处理者委托处理个人信息进行合规审计的，应当重点审查下列事项：	6. 個人情報取扱事業者が個人情報の処理を委託することについてコンプライアンス・プログラムの遵守状況を監査するときは、特に次の事項を重点的に監査しなければならない。
（一）个人信息处理者在委托处理个人信息前，是否开展个人信息保护影响评估；	(1) 個人情報処理者が個人情報の処理を委託する前に、個人情報保護アセスメントを行ったかどうか
（二）个人信息处理者与受托人签订的合同，是否与受托人约定了委托处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利义务等；	(2) 個人情報処理者と受託者との間で締結した契約に、目的、期間、方法、個人情報の種類、保護措置、および両当事者の権利と義務が規定されているかどうか
（三）个人信息处理者是否采取定期检查等方式，对受托人的个人信息处理活动进行监督。	(3) 個人情報処理者が定期的に検査を行うなどして、受託者の個人情報の処理活動を監督しているかどうか
七、个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的，应当重点审查个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式。	7. 個人情報取扱事業者が合併、組織再編、分割、解散または破産宣告等により個人情報を移転する必要がある場合、移転先となる個人情報の提供先名または名称および連絡先を本人に通知しているか否かを重点的に確認する。
八、对个人信息处理者向其他个人信息处理者提供其处理的个人信息进行合规审计的，应当重点审查下列事项：	8. 個人情報取扱事業者が自ら取り扱う個人情報について、他の個人情報取扱事業者に提供する場合の適法性監査を行う場合、次の事項を重点的に確認する。
（一）基于个人同意处理个人信息的，是否取得个人的单独同意；	(1) 本人の同意に基づき個人情報を取り扱う場合、本人の別途の同意を取得しているか
（二）是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，法律、行政法规规定应当保密或者不需要告知的除外；	(2) 法令又は行政規則により秘密保持が義務づけられている場合や通知が不要とされている場合を除き、本人に対し、提供先名又は名称、連絡先、利用目的、利用方法、個人情報の種類について通知しているか
（三）是否事前进行个人信息保护影响评估。	(3) あらかじめ個人情報保護アセスメントを行っているか
九、对个人信息处理者利用自动化决策处理个人信息进行合规审计的，应当重点审查下列事项：	9. 個人情報取扱事業者が自動化された意思決定を利用・運用している場合の個人情報取扱事業者の個人情報の取扱いの遵守状況の監査においては、次の事項を重点的に監査することとする。
（一）自动化决策的透明度，以及自动化决策的结果是否公平、公正；	(1) 自動化された意思決定の透明性及び自動化された意思決定の結果が公正かつ適正であるか
（二）是否事前告知个人自动化决策处理个人信息的种类及可能带来的影响；	(2) 自動化された意思決定により処理される個人情報の種類およびその影響について、あらかじめ本人に通知されているか
（三）是否事前进行个人信息保护影响评估；	(3) あらかじめ個人情報保護影響評価が行われているか
（四）是否向用户提供保障机制，以便个人通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定，并要求个人信息处理者就通过自动化决策方式作出对用户个人权益有重大影响的决定予以说明；	(4) 自動化された意思決定により本人の権利利益に重大な影響を与える決定がなされた場合に、本人が容易に拒否できる仕組みが利用者に対して用意されているか、自動化された意思決定により利用者の権利利益に重大な影響を与える決定がなされた場合に、個人情報取扱事業者に対して説明を求めることができる仕組みが利用者に対して用意されているか
（五）向个人进行信息推送、商业营销的，是否同时提供不针对个人特征的选项，或者提供便捷的拒绝自动化决策服务的方式；	(5) 個人に対して情報のプッシュや商業的なマーケティングを行う場合、個人の特性を対象としないオプションも提供されているか、自動化された意思決定サービスを拒否する便利な方法が提供されているか
（六）是否采取了有效措施，防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇；	(6) 自動化された意思決定が、消費者の好み、取引習慣などに基づく取引条件において、個人に対して不当な差別的取扱いを実施しないよう、実効性のある措置が講じられているか
（七）其他可能影响自动化决策的透明度和结果公平、公正的事项。	(7) その他、自動化された意思決定の透明性、結果の公正性・公平性に影響を及ぼす事項
十、对个人信息处理者基于个人同意公开个人信息进行合规审计的，应当重点审查下列事项：	10. 個人情報取扱者が個人情報の開示について本人の同意を得てコンプライアンス監査を行う場合、特に次の事項を調査しなければならない。
（一）个人信息处理者公开其处理的个人信息前是否取得个人单独同意，该授权是否真实、有效，是否存在违背个人意愿将个人信息予以公开的情况；	(1) 個人情報取扱者が処理する個人情報を開示する前に本人の個別同意を得たか、その同意が真正かつ有効であるか、本人の意に反して個人情報が開示される状況がないか
（二）个人信息处理者公开个人信息前，是否进行个人信息保护影响评估。	(2) 個人情報取扱者が個人情報を開示する前に個人情報保護影響評価を行ったか
十一、个人信息处理者在公共场所安装图像收集、个人身份识别设备的，应当重点对其安装图像收集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于：	11. 個人情報処理者が公共の場所に画像収集または個人識別設備を設置する場合、画像収集または個人識別設備の設置の合法性および収集した個人情報の利用目的の審査に重点を置くものとする。審査には、以下を含むが、これらに限定されない。
（一）是否为维护公共安全所必需，是否为商业目的处理所收集的个人信息；	(1) 公共の安全の維持に必要であるか、収集した個人情報が商業目的で処理されるか
（二）是否设置了显著的提示标识；	(2) 目立つ警告表示が設置されているか
（三）个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的，是否取得个人单独同意。	(3) 個人情報処理者が収集した個人画像および識別情報が、公共の安全の維持以外の目的で使用されていないか、また、個別の同意を得ているか。
十二、对个人信息处理者处理已公开的个人信息进行合规审计的，应当重点审查个人信息处理者是否存在下列违法违规行为：	12. 個人情報処理者が開示された個人情報の処理についてコンプライアンス監査を行う場合、監査は、個人情報処理者が以下の違反行為を行ったかどうかを中心に実施する。
（一）向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息；	(1) 開示された個人情報のメールアドレスおよび携帯電話番号に、開示の目的と関係のない商業用情報を送信すること
（二）利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动；	(2) 開示された個人情報を利用して、オンライン暴力、オンライン風説の流布、虚偽情報の流布などの行為を行うこと
（三）处理个人明确拒绝处理的已公开个人信息；	(3) 本人が明確に処理を拒否した個人情報の処理
（四）对个人权益有重大影响，未取得个人同意；	(4) 本人の同意なく本人の権利利益に重大な影響を及ぼすこと
（五）收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围。	(5) 収集、保有又は処理された個人情報の規模、期間又は利用目的が公開された場合、それが合理的な範囲を超えること
十三、对个人信息处理者处理敏感个人信息进行合规审计的，应当重点审查下列事项：	13. 個人情報処理者が機微個人情報の処理についてコンプライアンス監査を行う場合、特に次の事項を調査しなければならない。
（一）基于个人同意处理个人信息的，处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息，是否事前取得个人的单独同意；	(1) 本人の同意に基づき個人情報を取り扱う場合において、あらかじめ、本人から、識別、宗教、特定の身元、健康及び医療、金融口座及び所在等の機微な個人情報について、同意を得ているかどうか
（二）基于个人同意处理个人信息的，处理不满十四周岁未成年人的个人信息，是否事前取得未成年人的父母或者其他监护人的同意；	(2) 本人の同意に基づき個人情報を取り扱う場合において、14歳未満の未成年者の個人情報については、あらかじめ、その保護者から同意を得ているかどうか
（三）处理敏感个人信息的目的、方式、范围是否合法、正当、必要；	(3) 機微な個人情報の利用目的、方法及び範囲が適法、妥当かつ必要であるかどうか
（四）是否在事前进行个人信息保护影响评估；	(4) 事前に個人情報保護影響アセスメントが実施されたかどうか
（五）是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响，法律、行政法规规定应当保密或者不需要告知的除外；	(5) 機密保持が求められる法律および行政法規に別段の定めがある場合、または通知が不要である場合を除き、本人に機微な個人情報の処理の必要性および本人の権利利益への影響が通知されているかどうか
（六）法律、行政法规规定应当取得书面同意的，是否取得书面同意；	(6) 法律および行政法規に別段の定めがある場合、書面による同意が取得されているかどうか
（七）是否遵守法律、行政法规对处理敏感个人信息的限制性规定。	(7) 機微な個人情報の処理に関する法律および行政法規の制限規定が遵守されているかどうか
十四、对个人信息处理者处理不满十四周岁未成年人个人信息进行合规审计的，应当重点审查下列事项：	14. 14歳未満の未成年者の個人情報の取扱いに係る個人情報取扱事業者の遵守状況を監査する場合には、特に次の事項を監査すること。
（一）是否制定专门的个人信息处理规则；	(1) 個人情報の取扱いに特段の規定を設けているか
（二）是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性，以及处理个人信息的种类、所采取的保护措施等，法律、行政法规规定不需要告知的除外；	(2) 未成年者の個人情報の利用目的、方法及び必要性を本人及びその保護者に通知し、又は法令及び行政法規が通知することを要しないと規定する場合を除き、その個人情報の種類、保護措置について通知しているか
（三）基于个人同意处理个人信息，是否存在强制要求未成年人或者其监护人同意处理非必要个人信息的行为。	(3) 本人の同意に基づき個人情報を取り扱う場合において、要配慮個人情報の取り扱いについて、未成年者又はその保護者を強制的に同意させている行為がないか。
十五、对个人信息处理者向境外提供个人信息进行合规审计的，应当重点审查下列事项：	15. 個人データの提供者が個人データの国外提供についてコンプライアンス監査を行う場合、特に以下の事項を審査しなければならない。
（一）关键信息基础设施运营者向境外提供个人信息是否经过国家网信部门组织的安全评估，法律、行政法规、国家网信部门另有规定的，从其规定；	(1) 重要情報インフラ事業者が個人データの国外提供について国家サイバー空間管理部門が主催するセキュリティ評価を受けたか。法律、行政法規、または国家サイバー空間管理部門が別途規定している場合は、その規定が優先される。
（二）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息是否经过国家网信部门组织的安全评估，法律、行政法规、国家网信部门另有规定的，从其规定；	(2) 重要情報インフラ運営者以外のデータ処理者が、今年1月1日以降、累計100万以上の個人情報（センシティブ個人情報を除く）または1万以上のセンシティブ個人情報を外国に提供している場合、国家サイバー空間管理部門が主催するセキュリティ評価を受けているかどうか。法律、行政法規、または国家サイバー空間管理部門が別途規定している場合は、その規定が優先される。
（三）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，是否按照国家网信部门的规定，经个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同并向所在地省级网信部门备案，或者符合法律、行政法规、国家网信部门规定的其他条件；	(3) その年の1月1日以降、10万以上100万未満の個人データ（センシティブ個人情報を除く）または1万未満のセンシティブ個人情報を外国に提供した、重要情報インフラ運営事業者以外のデータ処理事業者が、国家サイバー空間管理部門の規定に従って個人情報保護認証を取得しているか、または国家サイバー空間管理部門が策定した標準契約に従って外国の受領者と契約を締結し、所在地の省レベルのサイバー空間管理部門に提出しているか、または法律、行政法規、国家サイバー空間管理部門が定めるその他の条件を満たしているか。
（四）存在向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形的，是否经过中华人民共和国主管机关批准；	(4) 中華人民共和国の領域内に保存されている個人情報が外国の司法機関または法執行機関に提供される状況がある場合、中華人民共和国の主管機関の承認を得ているかどうか。
（五）是否向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息。	(5) 個人情報の提供が制限または禁止されている組織および個人に個人情報が提供されているかどうか。
十六、对个人信息删除权保障情况进行合规审计的，应当重点审查下列事项：	16. 個人情報の削除権の保護に関するコンプライアンス監査が実施される場合、特に以下の事項が審査される。
（一）个人信息处理目的是否已实现、无法实现或者为实现处理目的不再必要；	(1) 個人情報の処理目的が達成されたか、達成できないか、または処理目的を達成するために必要でなくなったかどうか。
（二）个人信息处理者是否停止提供产品或者服务，或者个人是否已注销账号；	(2) 個人情報の処理者が製品またはサービスの提供を停止したか、または個人がアカウントをキャンセルしたか
（三）保存期限是否已届满；	(3) 保存期間が満了したか
（四）个人是否撤回同意；	(4) 個人が同意を撤回したか
（五）个人信息处理者是否违反法律、行政法规或者违反约定处理个人信息；	(5) 個人情報の処理者が法律、行政法規、または契約に違反して個人情報を処理したか
（六）应当删除个人信息，但法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。	(6) 個人情報を削除すべき場合であっても、法令または行政法規に定める保存期間が経過していない場合や技術的に削除が困難な場合、個人情報の処理者が保存以外の処理を停止し、必要な安全対策を講じているかどうか。
十七、对个人信息处理者保障个人在个人信息处理活动中的权利情况进行合规审计的，应当重点审查下列事项：	17. 個人情報の処理者が個人情報の処理において個人の権利を保護しているかについて、コンプライアンス監査を行う場合、特に以下の事項を調査する。
（一）是否建立便捷的个人行使权利的申请受理机制和处理机制；	(1) 個人が権利を行使するために、簡便な申請受付・処理の仕組みを構築しているかどうか。
（二）是否及时响应个人行使权利的申请，是否及时、完整、准确告知处理意见或者执行结果；	(2) 本人からの権利行使の求めに対して適時に対応し、かつ、本人に対してその取扱意見や実施結果を迅速かつ的確に伝えるか
（三）拒绝个人行使权利请求的，是否向个人说明理由。	(3) 本人からの権利行使の求めを拒否する場合には、本人に拒否の理由を伝えるか
十八、个人信息处理者应当响应个人申请，对其个人信息处理规则进行解释说明，合规审计时应当重点对下列内容进行评价：	18. 個人情報取扱事業者は、本人からの申請や個人情報取扱規程の説明に応じなければならない。 準拠性監査では、以下の内容の評価に重点を置く。
（一）个人信息处理者是否提供便捷的方式和途径，接受、处理个人关于个人信息处理规则解释说明的要求；	(1) 個人情報取扱事業者が、本人からの個人情報取扱規程の説明の求めを受け付けるための便利な方法や手段を提供しているか
（二）接到个人的要求后，个人信息处理者是否在合理的时间内，使用通俗易懂的语言对其个人信息处理规则作出解释说明。	(2) 個人からの要求を受け取った後、個人情報取扱事業者が、分かりやすい言葉で、合理的な期間内に、個人情報処理規則を説明しているかどうか。
十九、个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程，明确组织架构、岗位职责，建立工作流程、完善内控制度，保障个人信息处理合规与安全。合规审计时，应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查，包括但不限于：	19. 個人情報取扱事業者は、法律および行政法規の規定に従い、内部管理体制および業務手順を策定し、組織構造および職責を明確にし、業務フローを確立し、内部統制システムを改善し、個人情報の処理におけるコンプライアンスおよびセキュリティを確保しなければならない。 コンプライアンス監査では、個人情報取扱事業者の個人情報保護に関する内部管理体制および業務手順の審査に重点が置かれる。審査対象には、以下が含まれるが、これらに限定されない。
（一）个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定；	(1) 個人情報保護の方針、目的および原則が法律および行政法規の規定に準拠しているか
（二）个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应；	(2) 個人情報保護のための組織構造、人員、行動規範および管理責任が、個人情報保護に関して果たすべき責任に見合ったものとなっているか
（三）是否根据个人信息的种类、来源、敏感程度、用途等，对个人信息进行分类；	(3) 個人情報が、その種類、情報源、機密性および利用方法に従って分類されているか
（四）是否建立个人信息安全事件应急响应机制；	(4) 個人情報セキュリティ事故に対する緊急対応メカニズムが確立されているか
（五）是否建立个人信息保护影响评估制度、合规审计制度；	(5) 個人情報保護影響アセスメントシステムおよびコンプライアンス監査システムが確立されているか
（六）是否建立畅通的个人信息保护投诉举报受理流程；	(6) 個人情報保護に関する苦情や報告を円滑に受け付けるためのプロセスが確立されているか
（七）是否合理制定个人信息处理操作权限；	(7) 個人情報の取り扱いに関する業務権限が合理的に策定されているか
（八）是否制定实施个人信息保护安全教育和培训计划；	(8) 個人情報保護に関する安全教育や研修計画が策定され実施されているか
（九）是否建立个人信息保护负责人及相关人员履职评价制度；	(9) 個人情報保護責任者および関係者の業績評価に関する制度が確立されているか
（十）是否建立个人信息违法处理责任制度；	(10) 個人情報違反への対応に関する責任体制が確立されているか
（十一）法律、行政法规规定的其他事项。	(11) その他、法律および行政規則で規定された事項
二十、个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施，并对个人信息处理者采取的技术措施的有效性进行评价，评价内容包括但不限于：	20. 個人情報の処理者は、処理する個人情報の規模と種類に適したセキュリティ技術的対策を採用し、個人情報の処理者が講じた技術的対策の有効性を評価しなければならない。評価には、以下を含むが、これらに限定されない。
（一）是否采取相应安全技术措施实现个人信息的保密性、完整性、可用性；	(1) 個人情報の機密性、完全性、可用性を実現するために、適切なセキュリティ技術的対策が採用されているか
（二）是否采取加密、去标识化等安全技术措施，确保在不借助额外信息的情况下，消除或者降低个人信息的可识别性；	(2) 個人情報が特定不可能になるか、または追加情報なしで識別可能性の程度が低減されるように、暗号化や匿名化などのセキュリティ技術的対策が採用されているか
（三）采取的安全技术措施能否合理确定有关人员查阅、复制、传输个人信息等的操作权限，减少个人信息在处理过程中未经授权的访问和滥用风险。	(3) 採用されたセキュリティ技術対策により、関連要員の個人情報へのアクセス、コピー、送信などの操作権限を合理的に判断でき、処理中の個人情報への不正アクセスや悪用のリスクを低減できるかどうか。
二十一、对个人信息处理者教育培训计划的制定和实施情况进行合规审计时，应当重点对下列事项进行评价：	21. 個人情報処理者の教育訓練計画の策定と実施に関する準拠性監査を行う際には、以下の事項を評価の重点とする。
（一）是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训，是否对相应人员的个人信息保护意识和技能进行考核；	(1) 管理要員、技術要員、オペレーター、および全従業員に対して、計画通りに適切なセキュリティ教育訓練が実施され、対応する要員の個人情報保護意識と技能が評価されたかどうか。
（二）培训内容、方式、对象、频率等能否满足个人信息保护需要。	(2) 研修の内容、方法、対象および頻度が個人情報保護のニーズを満たすことができるかどうか。
二十二、对个人信息处理者指定的个人信息保护负责人履职情况进行合规审计的，应当重点审查下列事项：	第22条 個人情報取扱者が指定した個人情報保護責任者の職務遂行状況について、コンプライアンス監査を行う場合、特に以下の事項を審査しなければならない。
（一）个人信息保护负责人是否具有相关的工作经历和专业知识，熟悉个人信息保护相关法律、行政法规；	(1) 個人情報保護責任者が関連業務経験と専門知識を有し、個人情報保護に関する関連法律法規に精通しているかどうか。
（二）个人信息保护负责人是否具有明确清晰的职责，是否被赋予充分的权限协调个人信息处理者内部相关部门与人员；	(2) 個人情報保護責任者が明確かつ具体的な職責を有し、個人情報取扱者内部の関連部門および人員を調整するのに十分な権限が付与されているかどうか。
（三）个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议；	(3) 個人情報保護責任者は、個人情報処理に関する重大事項を決定する前に、関連する意見や提案を提出する権利を有するか。
（四）个人信息保护负责人是否有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施；	(4) 個人情報保護責任者は、個人情報処理者内部で個人情報処理に関する不適切な業務を停止し、必要な是正措置を取る権利を有するか。
（五）个人信息处理者是否公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送保护部门。	(5) 個人情報処理者は、個人情報保護責任者の連絡先を開示し、個人情報保護責任者の氏名と連絡先を保護部門に提出しているか。
二十三、对个人信息处理者开展个人信息保护影响评估情况进行合规审计时，应当重点对影响评估开展情况和评估内容进行审查：	23. 個人情報処理者の個人情報保護影響アセスメント実施状況のコンプライアンス監査を行う際には、アセスメントの実施状況および内容の審査に重点を置くものとする。
（一）是否依照法律、行政法规的规定，在进行对个人权益具有重大影响的个人信息处理活动前进行个人信息保护影响评估；	(1) 個人権利および利益に重大な影響を及ぼす個人情報処理活動を行う前に、法律および行政法規の規定に従って個人情報保護影響アセスメントを実施しているか
（二）是否对个人信息的处理目的、处理方式等进行合法、正当、必要评估；	(2) 個人情報の処理目的および方法について、合法的、正当かつ必要な評価を行っているか
（三）是否对个人权益的影响及安全风险进行评估；	(3) 個人権利および利益への影響およびリスク評価を行っているか
（四）是否对所采取的保护措施的合法性、有效性，以及与风险程度的适应性进行评估。	(4) リスクのレベルに照らした保護対策の適法性および有効性、および妥当性に関するアセスメント
二十四、个人信息处理者应当制定个人信息安全事件应急预案。合规审计时，应当对应急预案的全面性、有效性、可执行性作出评价，包括但不限于下列内容：	24. 個人情報の処理者は、個人情報セキュリティ事故に対する緊急対応計画を策定しなければならない。 準拠性監査においては、緊急対応計画の網羅性、有効性、および強制力について評価を行う。
（一）是否结合业务实际，对面临的个人信息安全风险作出系统评估和预测；	(1) 実際の業務状況に照らして、直面する個人情報セキュリティリスクの体系的評価および予測が行われているか
（二）总体要求、基本策略，组织机构、人员，技术、物资保障，指挥处置程序，应急和支持措施等是否足以应对预测的风险；	(2) 予測されるリスクに対処する上で、全体的な要件、基本戦略、組織体制、人員、技術的・物質的支援、指揮命令系統及び対応手順、緊急対応及び支援措置が十分であるかどうか
（三）是否对相关人员进行应急预案培训，定期对应急预案进行演练。	(3) 関係する人員が緊急対応計画について訓練を受けているかどうか、また、緊急対応計画が定期的にリハーサルされているかどうか
二十五、对个人信息处理者个人信息安全事件应急响应处置情况进行合规审计的，应当重点审查下列事项：	25. 個人情報取扱事業者の個人情報のセキュリティ事故への対応及び処理に関して、準拠性監査が実施される場合、特に以下の事項が調査されるものとする。
（一）是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害，分析、确定事件发生的原因，提出防止危害扩大的措施方案；	(1) 緊急対応計画および作業手順に従って、個人情報セキュリティインシデントの影響、範囲、および潜在的な被害を迅速に特定し、その原因を分析・判断し、被害の拡大を防止するための措置を提案しているか
（二）是否建立通报渠道，在安全事件发生后按照相关规定及时通知保护部门和个人；	(2) セキュリティインシデント発生後、関連規定に従って、保護部門および個人に迅速に通知するための通知ルートが確立されているか
（三）是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。	(3) 個人情報セキュリティインシデントによる潜在的な損失および被害リスクを最小限に抑えるための対応措置が取られているか
二十六、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者制定的平台规则进行合规审计的，应当重点审查下列事项：	26. 重要なインターネットプラットフォームサービスを提供し、ユーザー数が膨大で、かつ業務形態が複雑な個人情報取扱事業者が制定したプラットフォーム規則のコンプライアンス監査においては、特に以下の事項を審査する。
（一）平台规则是否与法律、行政法规相抵触；	(1) プラットフォーム規則が法律法規に違反していないか。
（二）平台规则个人信息保护条款的有效性，是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务；	(2) プラットフォーム規則における個人情報保護条項の実効性、およびプラットフォーム内におけるプラットフォーム、製品、サービス提供者の個人情報保護に関する権利義務が合理的に定義されているか。
（三）平台规则的执行情况，是否通过抽样等方式验证平台规则被有效执行。	(3) プラットフォーム規則の実施状況、およびサンプリング調査またはその他の方法により、規則が効果的に実施されているか。
二十七、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者发布的个人信息保护社会责任报告进行合规审计的，应当重点审查社会责任报告披露下列内容的情况：	27. 重要なインターネットプラットフォームサービスを提供し、ユーザー数が多く、業務形態が複雑な個人情報取扱事業者が発表した個人情報保護に関する社会責任報告書のコンプライアンス監査を行う際には、社会責任報告書における以下の内容の開示状況を重点的に確認する。
（一）个人信息保护组织架构和内部管理情况；	(1) 個人情報保護の組織構造および内部管理
（二）个人信息保护能力建设情况；	(2) 個人情報保護能力の構築
（三）个人信息保护措施和成效；	(3) 個人情報保護措置および結果
（四）个人行使权利的申请受理情况；	(4) 個人権利行使申請の受理
（五）独立监督机构履职情况；	(5) 独立監督機関の職務履行
（六）重大个人信息安全事件处理情况；	(6) 重大な個人情報セキュリティインシデントへの対応
（七）促进个人信息保护社会共治的科普宣传、公益活动情况；	(7) 個人情報保護の社会的な共同管理を促進する科学技術の普及および公益活動
（八）法律、行政法规规定的其他事项。	(8) その他、法律および行政法規に規定された事項

 

 

---

 

専門家による解説

・2025.02.14 专家解读｜系统规范合规审计 保护个人信息安全

专家解读｜系统规范合规审计 保护个人信息安全	専門家による解説：システムに基づくコンプライアンス・プログラム監査は、個人情報の安全を保護する
个人信息保护合规审计是监督与评估个人信息处理者切实履行个人信息保护义务的重要制度。《个人信息保护合规审计管理办法》（以下简称《办法》）的制定是以《中华人民共和国个人信息保护法》等法律法规为依据，清晰且全面地规定了个人信息保护合规审计制度的具体实施方式，有效平衡了个人信息安全保护和个人信息合理利用的双重立法目标。《办法》的出台有利于推动个人信息保护义务的充分履行，显著提升个人信息处理活动的透明性和合规性，推动我国个人信息保护工作进入全新阶段，为全球个人信息保护治理实践提供了有益的中国方案。	個人情報保護コンプライアンス監査は、個人情報処理者が個人情報保護義務を効果的に履行しているかを監督し、アセスメントする重要な制度である。「個人情報保護コンプライアンス監査管理弁法」（以下、「弁法」という）は、中華人民共和国個人情報保護法などの法令に基づき策定され、個人情報保護コンプライアンス監査制度の具体的な実施方法を明確かつ包括的に規定し、個人情報のセキュリティ保護と個人情報の合理的な利用という2つの立法目的を効果的にバランスさせている。 本措置の導入は、個人情報保護義務の完全な履行を促進し、個人情報の処理活動の透明性とコンプライアンスを大幅に強化し、中国の個人情報保護業務が新たな段階に進むことを促進し、世界的な個人情報保護のガバナンス慣行に有益な中国式ソリューションを提供することに役立つ。
在世界范围内，各国正在普遍推进个人信息保护合规审计制度的立法进程。欧盟《通用数据保护条例》（GDPR）第二十八条、第三十九条等条款均有提及数据保护审计制度的具体实施方式和义务主体范围。美国各州在各自立法权限内也设置了不同的审计要求，如《加州消费者隐私法》（CCPA）针对存在重大风险的企业，明确每年应当进行一次网络安全审计。英国《数据保护法案》（DPA）和《信息专员办公室（ICO）审计指南》中也提及了自愿性审计和强制性审计等数据保护审计的具体实施流程。	世界中で、各国は概ね個人情報保護コンプライアンス監査システムの立法プロセスを推進している。EU一般データ保護規則（GDPR）の第28条および第39条では、データ保護監査システムの具体的な実施方法と義務を負う事業者の範囲について言及している。 また、米国の各州も、それぞれの立法権限の範囲内で異なる監査要件を定めている。例えば、カリフォルニア消費者プライバシー法（CCPA）では、重大なリスクを抱える企業は年に1回サイバーセキュリティ監査を実施すべきであると明確に規定している。英国データ保護法（DPA）および情報コミッショナー事務局（ICO）監査ガイドラインでも、自主監査や義務監査など、データ保護監査の具体的な実施プロセスについて言及している。
然而，个人信息保护合规审计与各国的个人信息保护体系密切相关，目前并未形成完全统一的合规审计模式。《办法》以中国的个人信息保护实践问题为导向，立足于中国的个人信息保护制度特点，提供了不同于任何一个国家的“中国答案”。总结而言，该《办法》的创新之处主要表现为以下四个方面。	しかし、個人情報保護コンプライアンス監査は各国の個人情報保護システムと密接に関連しており、現時点では完全に統一されたコンプライアンス監査モデルは存在しない。本施策は、中国の個人情報保護の実務上の問題に焦点を当て、中国の個人情報保護システムの特性に基づいており、他の国とは異なる「中国式の答え」を提供している。要約すると、本施策の革新は主に以下の4つの側面に反映されている。
第一，合理设置不同的审计模式，有效避免过重的义务负担。个人信息保护合规审计制度适用于所有类型的个人信息处理者，然而这些主体的业务合规能力有所差别，并且其所处理的个人信息数量、类型也不尽相同，所以，《办法》设置了外部审计和内部审计两种审计模式。外部审计是指个人信息处理者委托外部的专业机构进行合规审计；内部审计是指个人信息处理者自行开展个人信息保护合规审计。当国家网信部门和其他履行个人信息保护职责的部门（以下统称为保护部门）发现个人信息处理活动存在较大风险，可能侵害众多个人的权益或者发生个人信息安全事件时，可以要求个人信息处理者采用外部审计模式。此外，《办法》明确规定处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。这将有助于对个人信息处理者的安全风险状况进行全方位、短周期地评估和审查。	まず、異なる監査モデルが合理的に設定され、過剰な義務負担を効果的に回避している。個人情報保護コンプライアンス監査制度は、あらゆる種類の個人情報処理者に適用されるが、これらの事業体は、コンプライアンス能力のレベルが異なり、取り扱う個人情報の量や種類も異なる。そのため、本規定では、外部監査と内部監査という2つの監査モデルを設定している。外部監査とは、個人情報処理者が外部の専門機関に委託してコンプライアンス監査を実施することを指し、内部監査とは、個人情報処理者が自ら個人情報保護コンプライアンス監査を実施することを指す。 中国サイバー空間管理局およびその他の個人情報保護を担当する部門（以下、保護部門と総称する）が、個人情報の処理活動が多数の個人の権利および利益を侵害するリスクが高い、または個人情報セキュリティ事故が発生するリスクが高いと判断した場合、個人情報処理事業者に対して外部監査モデルを採用するよう要求することができる。 また、本規定では、1,000万人以上の個人情報を処理する個人情報処理事業者は、少なくとも2年に1回、個人情報保護コンプライアンス監査を実施しなければならないと明確に規定している。 これにより、個人情報処理事業者のセキュリティリスク状況を総合的かつ定期的にアセスメントおよびレビューすることが可能になる。
第二，明确专业机构、审计人员和审计活动的独立客观性。个人信息保护合规审计制度最重要的环节是确保合规审计活动的独立性和客观性，这样才能确保依据合规审计活动作出的审计结论能够真实地反映个人信息处理者的业务合规情况，进而对个人信息处理者提出针对性的审计建议。在专业机构方面，《办法》设置了“同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计”的要求，背后的原因正是为了预防专业机构在多次的合规审计活动中疏忽审计对象可能出现的新问题新情况，也能够有效避免专业机构与审计对象之间形成“黑幕交易”。在审计人员方面，《办法》对审计人员的审计行为和职业操守作出了详细规定，包括专业机构主要负责人、合规审计负责人应当在审计报告上签字并加盖专业机构公章，专业机构不得泄露或者非法向他人提供在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等。	第二に、専門機関、監査人、および監査活動の独立性と客観性が明確化された。個人情報保護コンプライアンス監査制度において最も重要なのは、コンプライアンス監査活動の独立性と客観性を確保し、コンプライアンス監査活動に基づく監査結論が、個人情報処理者の業務コンプライアンスを真に反映し、個人情報処理者に対して的を絞った監査勧告を提供できるようにすることである。 専門機関に関しては、本弁法は「同一の専門機関、その関連会社、および同一のコンプライアンス監査責任者は、同一の監査対象に対して連続3回を超えて個人情報保護コンプライアンス監査を実施してはならない」と規定している。その理由は、専門機関が複数回のコンプライアンス監査を実施する間に、監査対象に新たに発生した問題や状況を見落とすことを防止し、専門機関と監査対象との間の「癒着」を効果的に防止するためである。 監査人に関しては、監査実務および監査人の職業上の行為について詳細な規定を定めており、その中には、専門機関の主要責任者およびコンプライアンス監査の責任者が監査報告書に専門機関の公印を押印すること、専門機関が個人情報保護コンプライアンス監査の職務の履行により取得した個人情報、営業秘密、企業秘密などの情報を開示または違法に他人に提供してはならないことなどが含まれる。
第三，细化个人信息保护合规审计的重点审查事项。该《办法》的一大亮点在于配套设置了个人信息保护合规审计的具体审查事项，这些审查事项的设置以《中华人民共和国个人信息保护法》的具体规则作为上位法依据，指明了个人信息保护业务合规的核心内容。以知情同意规则为例，在实践中，社会公众对人脸识别技术应用背后的个人信息处理规则不甚了解，部分原因是个人信息处理者未能履行事前告知义务，并获取用户单独同意。那么按照该《办法》所提出的合规审计标准，即便个人信息处理者采用了用户协议的形式予以告知，但是倘若用户协议内容冗长晦涩，这类行为不符合“以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则”审查要求，属于典型的业务合规不到位。	第三に、個人情報保護コンプライアンス監査の重点監査事項が規定されている。本弁法のハイライトの一つは、個人情報保護コンプライアンス監査の具体的な監査事項である。これらの監査事項は、上位法としての中華人民共和国個人情報保護法の具体的な規定に基づき、個人情報保護コンプライアンスの核心的内容を規定している。例えば、インフォームド・コンセントの規定を例にとると、実際には、識別技術の応用における個人情報処理のルールについて、一般の人々はよく理解していない。その理由の一つとして、個人情報処理者が事前通知の義務を履行せず、利用者の個別同意を取得していないことが挙げられる。 次に、本弁法に定められたコンプライアンス監査標準によれば、個人情報処理者が利用規約という形式で通知を行ったとしても、利用規約の内容が長大で不明瞭である場合、かかる行為は「個人に対して、個人情報処理規則を、目立つように、明確で理解しやすい言葉で、真実かつ正確で完全な内容で通知する」という審査要件を満たさないことになり、これはコンプライアンス業務が不十分である典型的な例である。
第四，充分发挥合规审计的监督和整改效果。该《办法》明确要求个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当对合规审计中发现的问题进行整改，在整改完成后15个工作日内，向保护部门报送整改情况报告。该要求凸显了合规审计的核心功能之一是通过客观公正的审计活动评估风险、发现问题，并为个人信息处理者提供更好的整改优化建议。因此，个人信息处理者不应当将此种制度视为额外的义务负担，而是另一种形式的业务合规优化机制。并且，为了实现个人信息保护合规的透明化，该《办法》还依据《中华人民共和国个人信息保护法》的规定将大型网络平台的个人信息保护社会责任报告纳入审计事项，形成了个人信息保护从落地实施到事后评估监督的制度闭环，也让社会公众能够更为直观地了解到自己的个人信息究竟如何被处理和安全保护。	第四に、モニタリングと是正のためにコンプライアンス監査を最大限に活用すべきである。本規定では、保護部門が個人情報処理者に個人情報保護コンプライアンス監査の実施を要求した場合、監査中に発見された問題を是正し、是正完了後15営業日以内に保護部門に是正報告書を提出することが明確に求められている。この要件は、コンプライアンス監査の中核的な機能の1つを強調している。すなわち、リスクをアセスメントし、問題を特定する客観的かつ公平な監査活動を通じて、個人情報処理者により適切な是正と最適化の提言を行うことである。 したがって、個人情報処理者は、このシステムを追加の負担ではなく、ビジネスコンプライアンス最適化メカニズムの別の形態と捉えるべきである。さらに、個人情報保護コンプライアンスの透明性を実現するために、本措置は、中華人民共和国個人情報保護法の規定に基づき、大手オンラインプラットフォームの個人情報保護社会的責任報告を監査事項に組み込み、実施から事後評価および監督までの個人情報保護のクローズドループシステムを形成している。これにより、一般市民は、自身の個人情報がどのように処理され、セキュリティが確保されているかをより直感的に理解できるようになる。
个人信息保护合规审计制度的优点在于，通过独立客观的审计活动，以《中华人民共和国个人信息保护法》等法律法规作为审计依据，“逐条逐项”地确保个人信息保护制度落地落实。个人信息保护是一项长期性、系统性和动态性的现代化治理活动，需要结合产业模式、科技创新的实践情况进行同步规划、同步监管、同步更新。该《办法》是我国个人信息保护立法工作的又一创新成果，有助于督促个人信息处理者切实保障好公民的个人信息权益，高效促进个人信息的合理利用和充分流动，夯实个人信息保护成效。（作者：赵精武，北京航空航天大学法学院副教授、院长助理）	個人情報保護コンプライアンス監査システムの利点は、独立かつ客観的な監査活動を通じて、「中華人民共和国個人情報保護法」などの法律や規則に基づき、個人情報保護システムの「項目ごとの」実施を確実にすることである。個人情報保護は、産業モデルや技術革新の実践と併せて、計画、監督、更新を同時に行う必要がある、長期的かつ体系的な動的な現代のガバナンス活動である。 本弁法は、中国の個人情報保護に関する立法作業における新たな革新的成果である。本弁法は、個人情報処理者の監督を強化し、国民の個人情報の権利と利益を効果的に保護し、個人情報の合理的な利用と円滑な流通を促進し、個人情報保護の実効性を強化するものである。（執筆者：趙景武、北京航空航天大学法学院准教授、副院長）

 

・2025.02.14 专家解读｜建立健全个人信息保护合规审计制度 筑牢维护个人信息安全铜壁铁墙

专家解读｜建立健全个人信息保护合规审计制度 筑牢维护个人信息安全铜壁铁墙	専門家による解説｜個人情報保護のためのコンプライアンス監査制度の確立と改善により、個人情報セキュリティの強固な壁を構築
为了规范个人信息保护合规审计活动，保护个人信息权益，近日，国家网信办公布了《个人信息保护合规审计管理办法》（以下简称《办法》）。《办法》的公布实施，标志着我国在个人信息保护领域迈出了坚实而重要的一步，是对我国个人信息保护治理体系的发展和完善，对规范个人信息处理活动、促进个人信息合理利用具有重要意义。	個人情報保護コンプライアンス監査活動を規範化し、個人情報の権益を保護するため、中国サイバー空間管理局は最近、「個人情報保護コンプライアンス監査管理弁法」（以下、「弁法」と略す）を発表した。 弁法の公布と実施は、中国における個人情報保護分野における確固とした重要な一歩であり、中国の個人情報保護ガバナンスシステムの構築と改善、個人情報の処理活動の規範化、個人情報の合理的な利用の促進にとって重要な意義を持つ。
《办法》规定了开展个人信息保护合规审计的要求，明确了个人信息保护合规审计的频次、负责人、监督机构等内容，给出了个人信息保护合规审计重点审查事项，为开展个人信息保护合规审计工作提供了工作指引和制度保障。	本規定は、個人情報保護コンプライアンス監査の実施要件を規定し、個人情報保護コンプライアンス監査の頻度、責任者、監督機関などを明確にし、個人情報保護コンプライアンス監査における重点的な審査事項を提示することで、個人情報保護コンプライアンス監査の実施に関する作業指針と制度的な保障を提供している。
一、《办法》出台对加强个人信息保护具有重要意义	1.本措置は、個人情報保護の強化に非常に重要な意義を持つ
党中央高度重视个人信息保护工作，习近平总书记对加强个人信息保护工作提出明确要求，多次强调，要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。《办法》落实党中央决策部署，坚持以人民为中心的发展思想，聚焦个人信息保护领域的突出问题和人民群众的重大关切。	中国共産党中央委員会は、個人情報の保護を非常に重視している。習近平総書記は、個人情報の保護を強化するための明確な要求を打ち出し、個人情報のセキュリティを保護し、サイバー空間における市民の合法的な権利と利益を保護するために、「人民による人民のためのネットワークセキュリティ」という原則を堅持しなければならないと繰り返し強調している。本措置は、中国共産党中央委員会の決定と取り決めを実施し、人間中心の開発アプローチを堅持し、個人情報保護の分野における未解決の問題と市民の主な懸念に焦点を当てている。
（一）《办法》是落实法律重要制度建设的具体举措。《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规相继出台，为个人信息保护提供了基本的法律框架与制度设计。其中，《中华人民共和国个人信息保护法》提出个人信息处理者应当定期开展合规审计，以及在特定情况下按照履行个人信息保护职责的部门（以下简称保护部门）要求委托专业机构开展合规审计。《网络数据安全管理条例》提出网络数据处理者应当定期自行或者委托专业机构开展个人信息保护合规审计。《办法》对上位法中的原则性规定进行细化与落实，为个人信息保护合规审计工作提供了具体的制度保障和实施路径，进一步健全了我国的个人信息保护治理体系。	（1）本施策は、重要な法制度の構築を具体的に実施するための措置である。中華人民共和国のデータセキュリティ法、中華人民共和国の個人情報保護法、オンラインデータセキュリティ管理規則などの法律や規則が相次いで公布され、個人情報保護のための基本的な法的枠組みと制度設計が提供されている。そのうち、中華人民共和国の個人情報保護法では、個人情報の処理者は定期的にコンプライアンス監査を実施しなければならず、一定の状況下では、個人情報保護業務を担当する部門（以下、保護部門）の要求に従って、専門機関に委託してコンプライアンス監査を実施しなければならないと規定されている。 オンラインデータ安全管理規定では、オンラインデータ処理者は、自ら定期的に個人情報保護コンプライアンス監査を実施するか、専門機関に委託して実施しなければならないと規定している。本措置は、上位法の原則規定をより明確化し実施し、個人情報保護コンプライアンス監査の具体的な制度上の保障と実施ルートを提供し、中国の個人情報保護のガバナンス体制をさらに改善するものである。
（二）《办法》是加强个人信息保护的重要手段。数字经济时代，个人信息价值日益凸显，成为社会经济运行活动必不可少的组成部分，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。《办法》的公布，有助于个人信息处理者和保护部门在检查、评估、认证的基础上，构建以审计为监督抓手的多层次个人信息保护体系，通过合规审计事项有效衔接各项个人信息保护工作，并以独立视角审查和评价个人信息处理活动，极大提高个人信息处理合规水平。	（2）本措置は、個人情報保護を強化する重要な手段である。 デジタル経済の時代において、個人情報の価値はますます顕著になり、社会経済活動の不可欠な一部となっている。本措置の公布は、個人情報処理者および保護部門が、アセスメント、監査、認証を基礎として、監査および監督に基づく多層的な個人情報保護システムの構築を支援する。コンプライアンス監査は、効果的にさまざまな個人情報保護業務を結びつけ、個人情報処理活動を独立した視点から評価し、個人情報の処理におけるコンプライアンスのレベルを大幅に向上させる。
（三）《办法》是提升个人信息保护合规水平的有效途径。近年来，随着我国个人信息保护工作深入开展，个人信息处理者的个人信息保护意识不断提升，如何衡量、提升个人信息处理合法合规水平成为个人信息保护工作的重点。个人信息保护是一个持续性、迭代性、动态性的过程，通过开展合规审计工作，不仅关注个人信息处理者存在的实质性违规行为，还可以发现解决个人信息处理者内部合规制度和措施落实过程中存在的问题。《办法》明确了重点审查事项，为个人信息保护合规审计的具体实施提供了指南，可以对个人信息保护合规落实情况进行评价、监督、完善，促进个人信息处理者做好个人信息保护合规建设，提升个人信息合规水平。	(3) 措置は、個人情報保護のコンプライアンスレベルを向上させる有効な方法である。近年、中国の個人情報保護業務が深化するにつれ、個人情報処理者の個人情報保護意識も絶えず向上している。個人情報処理の法律遵守レベルをどのように測定し、向上させるかが、個人情報保護業務の焦点となっている。個人情報保護は、継続的かつ反復的な動的なプロセスである。コンプライアンス監査を実施することで、個人情報処理者の実質的な違反行為に注意を払うだけでなく、個人情報処理者の内部コンプライアンスシステムおよび措置の実施における問題を発見し、解決することもできる。 本措置は、個人情報保護コンプライアンス監査の具体的な実施における重点的な審査項目を明確にし、指針を提供している。これにより、個人情報保護コンプライアンスの実施状況を評価、監督、改善することができ、個人情報取扱事業者による個人情報保護コンプライアンスの構築を促進し、個人情報保護コンプライアンスのレベルを向上させることができる。
二、《办法》明确了个人信息保护合规审计的具体要求	2.本措置は、個人情報保護コンプライアンス監査の具体的な要求事項を明確にしている
（一）压实个人信息处理者个人信息保护合规审计义务。《办法》明确了个人信息处理者的个人信息保护合规审计义务。一是处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。二是个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当按要求选定专业机构，并为其在限定时间内完成合规审计工作提供必要支持，报送审计报告，对合规审计中发现的问题进行整改并在整改完成后15个工作日内向保护部门报送整改情况报告。三是处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息保护合规审计工作。提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。	（1）個人情報処理者に個人情報保護コンプライアンス監査の遵守を義務付ける。本措置は、個人情報処理者が個人情報保護コンプライアンス監査を遵守する義務を明確にしている。まず、1,000万人以上の個人情報を取り扱う個人情報処理者は、少なくとも2年に1回は個人情報保護コンプライアンス監査を実施しなければならない。 第二に、保護部門の要求に従って個人情報保護コンプライアンス監査を実施する個人情報処理者は、必要に応じて専門機関を選定し、規定の期限内にコンプライアンス監査を完了できるよう必要なサポートを提供し、監査報告書を提出し、コンプライアンス監査で指摘された問題を是正し、是正完了後15営業日以内に是正報告書を保護部門に提出する。第三に、100万人以上の個人情報を処理する個人情報処理者は、個人情報保護コンプライアンス監査を担当する個人情報保護責任者を指定する。 重要なインターネットプラットフォームサービスを提供し、ユーザー数が多く、業務形態が複雑な個人情報処理者は、外部委員を主体とする独立機関を設立し、個人情報保護コンプライアンス監査を監督する。
（二）规范专业机构个人信息保护合规审计管理机制。《办法》为个人信息处理者按照保护部门要求开展个人信息保护合规审计提供了基本依据。一是明确了保护部门可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计的情形。二是提出了专业机构能力要求，鼓励相关专业机构通过认证。三是明确了审计报告签字盖章要求。四是要求专业机构在开展合规审计时，做到遵守法律法规、诚信正直、公正客观、保守秘密，不得转委托其他机构。五是要求同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计，确保了合规审计的公正性。	（2）専門機関による個人情報保護コンプライアンス監査の管理メカニズムを規範化する。本措置は、保護部門の要求に従い、個人情報処理者が個人情報保護コンプライアンス監査を実施するための基本的な基礎を提供する。まず、保護部門が個人情報処理者に対し、専門機関に個人情報処理活動のコンプライアンス監査を委託することを要求できる状況を明確にする。 第二に、専門機関の能力要件を規定し、関連する専門機関に認証の取得を奨励している。第三に、監査報告書の署名および捺印に関する要件を明確にしている。第四に、専門機関が法令を遵守し、誠実かつ公正で客観的であり、秘密を保持し、コンプライアンス監査を実施する際に他の機関に再委託しないことを求めている。第五に、コンプライアンス監査の公平性を確保するために、同一の専門機関およびその関連会社、および同一のコンプライアンス監査担当者が、同一の監査対象に対して連続して3回を超えて個人情報保護コンプライアンス監査を実施してはならないことを求めている。
（三）明确个人信息保护合规审计重点审查事项。《办法》以附件形式提供了《个人信息保护合规审计指引》，明确了个人信息保护合规审计重点审查事项，对上位法要求进行了细化，涵盖面全、实施性强，确保个人信息保护合规审计实施可以有章可循，有效评价个人信息处理活动合规水平。一是对个人信息处理的合法性基础、处理规则，处理敏感个人信息、不满十四周岁未成年人个人信息等个人信息处理规则要求提出了重点审查事项。二是对向境外提供个人信息的要求提出了重点审查事项。三是对个人信息删除权保障、个人行使权利的申请受理和响应、个人信息处理规则解释说明等个人在个人信息处理活动中的权利要求提出了重点审查事项。四是对管理制度、安全技术措施、培训计划、个人信息保护负责人、个人信息保护影响评估、个人信息安全事件应急预案及相应处置等个人信息处理者的义务要求提出了重点审查事项。	（3）個人情報保護コンプライアンス監査の重点監査項目の明確化 措置では、個人情報保護コンプライアンス監査の重点監査項目を明確にし、上位法の要求事項を精緻化し、かつ網羅性が高く、実施可能性の高い「個人情報保護コンプライアンス監査実施要領」を付属文書として規定し、これにより、個人情報保護コンプライアンス監査の実施を規範化し、個人情報の処理活動のコンプライアンスレベルを効果的に評価することを確保している。まず、個人情報の処理の法的根拠、処理規則、および機微個人情報や14歳未満の未成年者の個人情報の処理規則に関する重点監査項目を提案している。 第二に、外国への個人情報の提供に関する要求に焦点を当てている。第三に、個人情報の削除権、個人からの権利申請の受理と対応、個人情報の処理規則の説明など、個人情報の処理活動における個人の権利に焦点を当てている。第四に、管理体制、セキュリティ技術的対策、研修計画、個人情報保護責任者、個人情報保護影響評価、個人情報セキュリティ事故緊急対応計画および対応処理など、個人情報処理者の義務に焦点を当てている。
《办法》实施需要充分发挥国家标准的支撑作用，个人信息保护国家标准是我国个人信息保护治理体系的重要组成部分，也是落实《办法》的重要支撑。全国网络安全标准化技术委员会作为网络和数据安全国家标准的统一归口技术组织，支撑保障有关政策法规，研制了个人信息安全规范、个人信息安全影响评估指南等个人信息保护重点标准，并正在研制一批个人信息保护合规审计重点标准和实践指南，为《办法》的落地实施提供有力支撑。下一步，将持续发挥国家标准在《办法》实施过程中的重要支撑作用，加强个人信息保护合规审计领域的技术交流，推广个人信息保护合规审计优秀实践案例，为业界提供示范参考。（作者：范科峰，中国电子技术标准化研究院副院长）	本措置の実施には、国家規格の全面的な支持が必要である。個人情報保護に関する国家規格は、中国の個人情報保護管理システムの重要な一部であり、また本措置の実施を支える重要な要素でもある。ネットワークおよびデータセキュリティに関する国家規格の統一技術組織である中国国家ネットワークセキュリティ標準化技術委員会は、関連する政策および規則を支持し、保護している。同委員会は、個人情報保護に関する主要な標準として、「個人情報セキュリティ仕様」や「アセスメントガイド」などを策定しており、現在、個人情報保護コンプライアンス監査に関する多数の主要標準および実用ガイドを策定中であり、本措置の実施を強力に支援する予定である。 次の段階では、国家標準が「施策」の実施において重要なサポート役を果たすことになるだろう。個人情報保護コンプライアンス監査の分野における技術交流が強化され、優れた個人情報保護コンプライアンス監査の実践事例が業界の模範的な参考事例として推進されることになるだろう。（執筆者：中国電子標準化研究院副院長 範克峰）

 

・2025.02.14 专家解读｜开展个人信息保护合规审计 提升数据安全治理监管能力

专家解读｜开展个人信息保护合规审计 提升数据安全治理监管能力	専門家による解説：個人情報保護コンプライアンス監査を実施し、データセキュリティのガバナンスと監督能力を向上させる
个人信息保护事关广大人民群众的切身利益，事关国家数据安全。党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》要求“提升数据安全治理监管能力”。近日，国家网信办公布《个人信息保护合规审计管理办法》（以下简称《办法》），明确了个人信息保护合规审计的具体要求，对于完善我国个人信息保护制度体系、提高个人信息保护水平、提升数据安全治理监管能力具有重要意义。	個人情報の保護は、国民にとって、また国家のデータセキュリティにとっても極めて重要な関心事である。中国共産党第20期中央委員会第3回全体会議で採択された「全面的な改革をさらに深化させ、中国式の現代化を推進することに関する中国共産党中央委員会の決定」では、「データセキュリティガバナンスの管理能力を強化する」ことが求められている。このほど、中国国家インターネット情報弁公室（以下、中国サイバー空間管理局）は「個人情報保護コンプライアンス監査管理弁法」（以下、「弁法」）を公布し、個人情報保護コンプライアンス監査の具体的な要求を明確にした。これは、中国の個人情報保護体制の改善、個人情報保護レベルの向上、データセキュリティガバナンスの管理能力の強化にとって、非常に重要な意義を持つ。
一、《办法》体现了政府监管和行业自律二者并重的治理思路	1. 今回の措置は、政府の監督と業界の自主規制を同等に重視するガバナンスアプローチを反映している。
推动政府监管和行业自律形成合力，是提升数据治理能力的现实需要，也是《办法》制定中着重考虑的问题。一方面，《办法》明确了国家网信部门和其他履行个人信息保护职责的部门（以下统称为保护部门）在个人信息保护合规审计中的监管职责，即个人信息处理者有以下情形之一的：（一）发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；（二）个人信息处理活动可能侵害众多个人的权益的；（三）发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的，保护部门可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。个人信息处理者应当为专业机构正常开展个人信息保护合规审计工作提供必要支持，承担审计费用，在限定时间内完成审计工作，并将专业机构出具的审计报告报送保护部门。此外，《办法》还明确，保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查。	政府の監督と業界の自主規制の双方の取り組みを促進することは、データガバナンス能力の向上にとって現実的なニーズであり、今回の措置の策定における重要な考慮事項でもあった。一方、今回の措置では、個人情報保護コンプライアンス監査における国家サイバー空間管理局およびその他の個人情報保護業務を担当する部門（以下、総称して保護部門）の監督責任が明確化されている。すなわち、個人情報処理者が以下のいずれかの状況にある場合である。 (1) 個人情報の処理活動が、個人の権利と利益に深刻な影響を及ぼすリスク、またはセキュリティ対策が著しく欠如しているリスクが高いと認められる場合。 (2) 個人情報の処理活動が、多数の個人の権利と利益を侵害する可能性がある場合。 (3) 個人情報のセキュリティ事故が発生し、100万人以上の個人情報の漏洩、改ざん、紛失、または10万人以上のセンシティブな個人情報の漏洩、改ざん、紛失が発生した場合、保護部門は、個人情報の処理活動のコンプライアンス監査を専門機関に委託することを個人情報の処理者に要求することができる。 個人情報処理者は、専門機関が個人情報保護コンプライアンス監査業務を通常通り実施できるよう必要なサポートを提供し、監査費用を負担し、期限内に監査業務を完了させ、専門機関が発行した監査報告書を保護部門に提出しなければならない。さらに、本措置では、保護部門が個人情報処理者が実施する個人情報保護コンプライアンス監査を監督・検査することも明確に規定している。
另一方面，《办法》规定，个人信息处理者自行开展个人信息保护合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。《办法》明确要求，处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计；处理100万人以上的个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。	一方、本規定では、個人情報取扱事業者が自ら個人情報保護コンプライアンス監査を実施する場合、内部組織または専門機関に委託して、個人情報の取り扱いにおける法律および行政法規の遵守状況について定期的にコンプライアンス監査を実施しなければならないと規定している。本規定では、1,000万人以上の個人情報を取り扱う個人情報取扱事業者は少なくとも2年に1回、個人情報保護コンプライアンス監査を実施しなければならないと明確に規定している。また、100万人以上の個人情報を取り扱う個人情報取扱事業者は、個人情報保護責任者を任命し、個人情報取扱事業者の個人情報保護コンプライアンス監査を担当させなければならないと規定している。
二、《办法》体现了部门主导和社会参与协同推进的治理方式	2. 措置は、部門のリーダーシップと社会参加を組み合わせたガバナンスアプローチを反映している
监管部门主导和社会力量参与的协同，是提高数据治理能力的客观需要，也贯穿于《办法》的始终。《办法》明确开展个人信息保护合规审计，是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动，系为了保护个人信息权益。一方面，《办法》规定，个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当按照保护部门要求选定专业机构。同时，《办法》也对保护部门的权限提出要求。例如，对同一个人信息安全事件或者风险，保护部门不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。	規制のリーダーシップと社会参加の組み合わせは、データガバナンス能力の向上にとって客観的に必要であり、措置全体にも反映されている。措置では、個人情報保護コンプライアンス監査は、個人情報の権利と利益を保護するために、個人情報処理業者の個人情報処理活動が法律および行政法規に準拠しているかどうかを評価する監督活動であることが明確に規定されている。 一方、本規定では、保護部門の要求に従って個人情報保護コンプライアンス監査を実施する個人情報処理者は、保護部門の要求に従って専門機関を選定しなければならないと規定している。同時に、本規定では、保護部門の権限に関する要求も規定している。例えば、同じ個人情報セキュリティ事故またはリスクに関して、保護部門は、個人情報処理者に対して専門機関に委託して個人情報保護コンプライアンス監査を実施することを繰り返し要求してはならない。
另一方面，《办法》明确第三方专业机构可参与个人信息保护合规审计，并对其提出明确要求，如应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。要求专业机构在从事个人信息保护合规审计活动时，遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供，在合规审计工作结束后及时删除相关信息。要求专业机构不得转委托其他机构开展个人信息保护合规审计。同时，《办法》还明确应引入个人信息处理者外部人员参与监督的要求，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。此外，《办法》还鼓励社会大众积极参与，任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。	一方、本弁法では、第三者専門機関が個人情報保護コンプライアンス監査に参加できることを明確に規定し、個人情報保護コンプライアンス監査を実施する能力、サービスに見合った監査人員、施設、設備、資金などを有していることなど、第三者専門機関に対する明確な要求事項を定めている。 専門機関は、個人情報保護コンプライアンス監査を実施する際に、法律法規を遵守し、誠実かつ公正に業務を遂行し、専門的かつ公正にコンプライアンス監査の判断を下し、個人情報保護コンプライアンス監査の職務を遂行する過程で取得した個人情報、企業秘密、営業秘密などの情報を機密として保持し、他者に開示または違法に提供してはならない。また、コンプライアンス監査が完了した後は、関連情報を適時に削除しなければならない。 専門機関は、個人情報保護コンプライアンス監査を他の機関に再委託してはならない。同時に、本規定では、個人情報処理者の外部要員が監督に関与すべきであるという要件も明確に導入している。重要なインターネットプラットフォームサービスを提供し、膨大な数のユーザーを抱え、複雑な業態を扱う個人情報処理者は、外部要員を主とする独立機関を設立し、個人情報保護コンプライアンス監査を監督すべきである。さらに、本規定では、一般市民の積極的な参加も奨励している。いかなる組織または個人も、個人情報保護コンプライアンス監査における違法行為について、保護部門に苦情を申し立てる権利を有する。
值得注意的是，《办法》明确提出，鼓励个人信息保护合规审计专业机构通过认证，专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行，这将为个人信息保护合规审计相关认证的创新和发展提供广阔的空间。	注目すべきは、本規定が専門的な個人情報保護コンプライアンス監査機関に認証取得を奨励していることを明確に述べている点である。専門機関の認証は、中華人民共和国認証および認定に関する規則の関連規定に従って実施される。これにより、個人情報保護コンプライアンス監査関連の認証の革新と発展に幅広い余地が生まれることになる。
三、《办法》体现了法律法规和政策举措有效衔接的治理模式	3. 本規定は、法律、規則、政策措置を有効に結びつけるガバナンスモデルを反映している
实现法律法规和政策举措的有效衔接是提升数据治理能力的必然要求，是我国数据治理的优良传统和成功经验，也是《办法》的鲜明特点。《中华人民共和国个人信息保护法》明确规定，“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”“履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”。《网络数据安全管理条例》明确规定，“网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计”。	法律、規則、政策措置を有効に結びつけることは、データガバナンス能力の向上に不可欠な要件である。これは、中国のデータガバナンスにおける伝統的かつ成功した経験であり、本規定の特色でもある。 中華人民共和国の個人情報保護法では、「個人情報を処理する者は、個人情報を処理する際に、法律および行政法規の遵守状況について定期的にコンプライアンス監査を行わなければならない」こと、および「個人情報保護を担当する部門は、職務を履行する際に、個人情報の処理活動に比較的高いリスクまたは個人情報の安全に関する事件が存在することを発見した場合、規定された権限および手続きに従って、個人情報を処理する者の法定代表者または主要責任者に対して事情聴取を行うか、または個人情報を処理する者に委託して専門機関に個人情報の処理活動のコンプライアンス監査を行わせなければならない」ことが明確に規定されている。 「オンラインデータ処理者は、定期的に自らのコンプライアンス監査を実施するか、または専門機関に委託して、個人情報の処理における法律および行政法規の遵守状況を監査しなければならない」と明確に規定している。
为落实上述法律、行政法规规定，《办法》在合规审计指引部分进一步细化了相关要求，详细列出了二十七个方面的审查重点，包括对个人信息处理活动的合法性基础进行合规审计的重点审查事项，对个人信息处理规则进行合规审计的重点审查事项，对个人信息处理者履行告知个人信息处理规则义务进行合规审计的重点审查事项，对个人信息处理者与其他个人信息处理者共同处理个人信息进行合规审计的重点审查事项，对个人信息处理者委托处理个人信息进行合规审计的重点审查事项，对个人信息处理者利用自动化决策处理个人信息进行合规审计的重点审查事项，对个人信息处理者基于个人同意公开个人信息进行合规审计的重点审查事项等，充分体现了法律法规与政策举措的贯通和衔接。	上述の法律および行政規則を実行するために、本措置ではコンプライアンス監査ガイドラインで関連要件をさらに明確化し、個人情報処理活動の法的根拠のコンプライアンス監査、個人情報処理規則のコンプライアンス監査、個人情報処理規則の通知義務の履行に関する個人情報処理業者のコンプライアンス監査、個人情報処理業者による他の個人情報処理業者との個人情報の共同処理に関するコンプライアンス監査、 個人情報処理の委託に関するコンプライアンス監査の重点監査項目、個人情報処理における自動化された意思決定の利用に関するコンプライアンス監査の重点監査項目、および個人情報処理における個人の同意に基づく開示に関するコンプライアンス監査の重点監査項目は、法律、規則、政策措置の統合と関連性を十分に反映している。
《办法》的出台是我国个人信息保护事业进程中的重要节点，必将为提高我国个人信息保护水平、提升我国数据安全治理监管能力发挥重要作用。（作者：王志成，国家网信办数据与技术保障中心副主任）	本措置の導入は、中国における個人情報保護の発展における重要なマイルストーンであり、中国の個人情報保護レベルの向上と、データセキュリティのガバナンスおよび監督能力の強化において重要な役割を果たすことになる。（執筆者：中国サイバー空間管理局データ・技術サポートセンター副センター長 王志成）

 

 

・2025.02.14 专家解读｜促进与规范合规审计 提升个人信息保护水平

专家解读｜促进与规范合规审计 提升个人信息保护水平	専門家による解説｜個人情報保護レベルの向上に向けたコンプライアンス監査の推進と規範化
个人信息保护合规审计是指对个人信息处理者的个人信息处理活动是否符合法律、行政法规的规定进行审查和评价的监督活动。《中华人民共和国个人信息保护法》第五十四条、第六十四条为合规审计提供了法律依据。《个人信息保护合规审计管理办法》（以下简称《办法》）则进一步细化了审计的具体实施规则，标志着我国个人信息保护监管体系进一步完善。	個人情報保護コンプライアンス監査とは、個人情報取扱事業者の個人情報の処理活動が法律および行政法規の規定に準拠しているかどうかを検査・評価する監督活動を指す。中華人民共和国個人情報保護法の第54条および第64条がコンプライアンス監査の法的根拠となっている。個人情報保護コンプライアンス監査管理弁法（以下、「弁法」という）は、監査の具体的な実施規則をさらに明確に規定しており、中国の個人情報保護監督管理体制のさらなる改善を意味する。
全球范围看，合规审计已经成为个人信息保护领域的标配。美国联邦贸易委员会早在2010年代便通过行政和解协议的方式要求谷歌和脸书通过第三方进行隐私审计。富有影响力的欧盟《通用数据保护条例》同样较早地引入了数据保护审计制度。除美国和欧盟外，俄罗斯《联邦个人数据法》、印度《数字个人数据保护法》等新近个人信息保护立法都纳入了合规审计相关内容。然而，全球范围内对个人信息保护领域审计制度的最佳实践尚未获得共识。立足于中国的数字经济与监管经验，《办法》在以下方面给出了中国方案。	世界的に見ると、コンプライアンス監査は個人情報保護分野における標準となっている。早くも2010年代には、米国連邦取引委員会が行政和解協議を通じてGoogleとFacebookに第三者によるプライバシー監査を行うことを要求した。影響力のあるEU一般データ保護規則も早期にデータ保護監査制度を導入した。米国やEUのほか、ロシア連邦個人データ法やインドデジタル個人データ保護法などの近年の個人情報保護関連法規もコンプライアンス監査関連の内容を取り入れている。 しかし、個人情報保護の分野における監査システムのベストプラクティスについては、世界的なコンセンサスは得られていない。中国のデジタル経済と規制に関する経験に基づき、本措置は以下の分野において中国独自のソリューションを提供している。
其一，明确审计的类型与形式。《办法》将个人信息保护合规审计分为两类：一是个人信息处理者自行定期开展的合规审计，二是依据履行个人信息保护职责的部门要求开展的合规审计。针对这两类审计，《办法》规定了不同的审计频率与触发条件。处理个人信息超过1000万人的个人信息处理者需每两年至少进行一次审计，其他个人信息处理者没有强制要求；对于依部门要求开展的审计，以发现较大风险或发生安全事件为触发条件。通过区分审计类型并细化要求，《办法》实现了“定期体检”与“专项检查”相结合的双重监管效果。这种分类设计不仅有助于提高审计的针对性，还能够有效平衡监管效率与企业负担。	まず、監査の種類と形式が明確化されている。本措置では、個人情報保護コンプライアンス監査を2つのカテゴリーに分けている。1つは、個人情報処理者自身が定期的に実施するコンプライアンス監査であり、もう1つは、個人情報保護業務を担当する部門の要請により実施するコンプライアンス監査である。この2種類の監査について、本措置では異なる監査頻度とトリガー条件を規定している。 1,000万人以上の個人情報を取り扱う個人情報取扱事業者に対しては、少なくとも2年に1回の監査が義務付けられるが、それ以外の個人情報取扱事業者に対しては義務付けられていない。 また、部署の要請による監査については、重大なリスクが発見された場合やセキュリティインシデントが発生した場合に実施される。 このように、監査の種類を区別し、要求事項を精緻化することで、本施策は「定期健診」と「特別検査」という2つの規制効果を実現している。 この分類設計は、監査の的確性を向上させるだけでなく、規制の効率性と事業者の負担のバランスを効果的に調整することにも役立つ。
其二，强化审计的独立性与专业性。全球范围看，合规审计在美国、欧盟等法域已有所尝试，但过往域外针对谷歌、脸书的审计要求多流于形式，仅在于披露其存在个人信息保护的内部程序，而非实质效果。《办法》从独立性与专业性两方面入手，确保审计的实效性。独立性方面，《办法》规定依部门要求开展的审计必须由第三方专业机构进行，且同一机构连续服务同一对象的次数不得超过三次。这一规定有效避免了审计机构与被审计对象之间可能存在的利益关联，确保审计结果的客观公正。专业性方面，《办法》规定专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等，并鼓励相关专业机构通过认证。个人信息处理者应当为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用。专业机构还需确保其诚信正直、公正客观地作出合规审计职业判断。上述规定有助于提升审计结果的公信力，推动个人信息保护合规审计从形式化向实质化转变，提升合规审计的专业水平。	第二に、監査の独立性と専門性を強化する。世界的に見ると、コンプライアンス監査は米国や欧州連合（EU）などの管轄区域で試みられてきたが、過去にはグーグルやフェイスブックに対する域外監査はほとんど形式的なものであり、実質的な成果を上げるというよりも、個人情報保護のための社内手続きの存在を明らかにすることが目的であった。本措置は、独立性と専門性の2つの側面から監査の実効性を確保している。 独立性の面では、本規定は、部門の要求に従って実施される監査は、第三者専門機関によって実施されなければならないと規定しており、同一の機関が同一の対象に対して連続して3回を超えてサービスを提供することはできない。この規定は、監査機関と監査対象の間に生じる可能性のある利益相反を効果的に回避し、監査結果の客観性と公平性を確保する。専門性の面では、本規定は、専門機関は個人情報保護コンプライアンス監査を実施する能力を有し、提供するサービスに見合った監査人員、施設、設備、資金を有していなければならないと規定している。本規定はまた、関連する専門機関が認証を取得するよう奨励している。 個人情報の処理者は、専門機関が個人情報保護コンプライアンス監査を適切に実施できるよう必要な支援を提供し、監査費用を負担しなければならない。また、専門機関は、コンプライアンス監査に関する専門的判断を行う際には、その完全性と公平性を確保しなければならない。以上の規定により、監査結果の信頼性が向上し、個人情報保護コンプライアンス監査が形式から実質へと転換し、コンプライアンス監査の専門的水準が向上する。
其三，规范依部门要求开展的审计程序。针对风险较大或发生安全事件时的审计，《办法》明确了职责部门、个人信息处理者与专业机构之间的协作程序。个人信息处理者在完成合规审计后，应当将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门，按照部门要求对合规审计中发现的问题进行整改，并在整改完成后向部门报送整改情况报告。这一程序体现了“受规制的自我规制”理念，既发挥了专业机构的专业优势，又渗透了职责部门的公益判断。通过这种协作机制，《办法》在提升审计效率的同时，也强化了监管的针对性和实效性。	第三に、部門の要求事項に従って実施される監査手順を規定している。リスクやセキュリティインシデントが高い場合の監査については、本弁法は、責任部門、個人情報の処理者、専門機関の連携手順を明確にしている。個人情報の処理者は、コンプライアンス監査が完了した後、専門機関が発行した個人情報保護コンプライアンス監査報告書を個人情報保護業務を担当する部門に提出し、部門の要求事項に従ってコンプライアンス監査で指摘された問題を是正し、是正が完了した後、是正報告書を部門に提出する。 この手順は「規範化された自主規制」という概念を体現しており、専門機関の専門的優位性を活用するだけでなく、責任部門の公益的判断も取り入れている。この協力メカニズムにより、本弁法は監査の効率を高めるだけでなく、監督の適切性と有効性も高めている。
其四，避免审计对个人信息处理者造成不必要的负担。《办法》在确保审计效果的同时，注重减轻个人信息处理者的负担。对于定期审计，个人信息处理者可自行决定是否采用第三方专业机构审计，灵活适应自身业务状况。对于专业机构进行的审计，《办法》特别要求专业机构对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供，在合规审计工作结束后及时删除相关信息。	第四に、監査が個人情報の処理者に不必要な負担を強いることを回避する。本弁法は監査の実効性を確保する一方で、個人情報の処理者の負担軽減にも重点を置いている。 定期監査については、個人情報取扱事業者は、自らの経営状況に応じて、第三者専門機関に委託して監査を行うか否かを柔軟に判断することができる。専門機関による監査については、個人情報保護コンプライアンス・プログラムの遵守状況の監査において取り扱う個人情報、営業秘密、企業秘密等の秘密を厳格に保持し、他人に漏洩したり、不正に提供したりせず、コンプライアンス・プログラムの遵守状況の監査終了後、速やかに当該情報を削除しなければならないことが、本ガイドラインで明確に規定されている。
其五，建立全面的审计指引。《办法》的附件部分详细列出了审计指引，涵盖个人信息处理的合法性基础、处理规则、告知义务、共同处理与委托处理情形、个人信息转移等多个方面，全面反映了《中华人民共和国个人信息保护法》的义务体系，并提供了更具操作性的指引。目前，我国有关个人信息保护合规审计的标准化工作正在进行，上述参考要点为各层级技术标准的进一步落地与实操提供了重要的引导。指引的设置有力预防了个人信息处理者对《中华人民共和国个人信息保护法》及配套行政法规的目标虚置，同时为技术标准的细化提供了焦点。	第五に、包括的な監査ガイドラインを制定する。同弁法の付属文書では、個人情報の処理の法的根拠、処理規則、通知義務、共同処理および委託処理、個人情報の移転など、複数の側面をカバーする監査ガイドラインが詳細に規定されており、中華人民共和国個人情報保護法の義務制度を総合的に反映し、より実用的なガイドラインを提供している。現在、中国では個人情報保護に関するコンプライアンス監査の標準化が進められており、前述の参照点は、あらゆるレベルでの技術標準のさらなる実施と実用化に向けた重要な指針となる。 このガイドラインは、実質的に、個人情報の処理者が中華人民共和国の個人情報保護法およびその関連行政法規の目的をないがしろにすることを防ぎ、同時に、標準の改善に向けた焦点を提供している。
《办法》的出台是我国个人信息保护领域立法和监管体系的重要补充，标志着我国在个人信息保护合规治理方面迈出了实质性的一步。作为《中华人民共和国个人信息保护法》的关键配套制度，该《办法》首次系统性地构建了个人信息处理活动的合规审计框架，为个人信息处理者的合规实践与监管部门的执法提供了具体指引。从国际视角看，《办法》在借鉴国际经验的基础上，避免了合规审计的形式化，具有实质提升个人信息权益保护的潜力。《办法》的公布不仅是我国个人信息保护法治化进程的重要里程碑，也是推动数字经济高质量发展、构建信任社会的关键举措。未来，随着《办法》的施行，我国个人信息保护工作将迈向更高水平，为数字经济的可持续发展和治理现代化注入新的动力。（作者：丁晓东，中国人民大学法学院教授、未来法治研究院副院长）	本措置の導入は、中国における個人情報保護の分野における立法および規制システムの重要な補完であり、中国の個人情報保護のコンプライアンス・ガバナンスにおける大きな前進を意味する。中華人民共和国個人情報保護法の主要な支援システムとして、本措置は、個人情報処理活動のためのコンプライアンス監査の枠組みを初めて体系的に確立し、個人情報処理者のコンプライアンス実践と規制当局による法執行のための具体的なガイドラインを提供している。国際的な視点から見ると、国際的な経験を活用している本措置は、コンプライアンス監査の形式性を回避し、個人情報の権利保護を大幅に改善する可能性を秘めている。 本規定の公布は、中国における個人情報保護の法制化プロセスにおける重要なマイルストーンであるだけでなく、デジタル経済の質の高い発展を促進し、信頼社会を構築するための重要な措置でもある。今後、本規定の実施に伴い、中国の個人情報保護業務はより高いレベルに達し、デジタル経済の持続可能な発展とガバナンスの近代化に新たな原動力を与えることになるだろう。（執筆者：丁孝東、中国人民大学法学院教授、未来法治研究所副所長）

 

・2025.02.14 专家解读｜出台《个人信息保护合规审计管理办法》 为数字经济持续健康发展保驾护航

专家解读｜出台《个人信息保护合规审计管理办法》 为数字经济持续健康发展保驾护航	専門家による解説：個人情報保護コンプライアンス監査管理弁法の導入は、デジタル経済の持続的かつ健全な発展を保障する
加强个人信息保护，是贯彻习近平总书记“网络安全为人民，网络安全靠人民”重要指示精神的体现。《中华人民共和国个人信息保护法》第五十四条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条规定，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。近日，国家互联网信息办公室公布《个人信息保护合规审计管理办法》（以下简称《办法》），是对《中华人民共和国个人信息保护法》审计要求的细化落实，明确了审计对象、审计条件和审计重点事项，为个人信息保护合规审计活动提供重要依据，是个人信息保护工作的里程碑。	個人情報の保護を強化することは、習近平総書記の「サイバーセキュリティは人民のためにあり、人民に依拠する」という重要な指示の実行を体現するものである。中華人民共和国個人情報保護法第54条では、個人情報の処理者は、個人情報の処理において、法律および行政法規の遵守状況について定期的にコンプライアンス監査を実施しなければならないと規定している。第64条では、個人情報の保護を職務とする部門は、職務の執行において、個人情報の処理活動にリスクが高いこと、または個人情報のセキュリティ事故が発生したことを発見した場合、個人情報の処理者に専門機関に委託して個人情報の処理活動のコンプライアンス監査を実施することを要求できると規定している。 最近、国家サイバースペース管理局（CAC）は、「個人情報保護コンプライアンス監査管理弁法」（以下、「本弁法」という）を発表した。これは、「中華人民共和国個人情報保護法」の監査要件を詳細に実施するものである。本弁法は、監査対象、監査条件、監査優先順位を明確にし、個人情報保護コンプライアンス監査の重要な基礎を提供し、個人情報保護における画期的な出来事となった。
一、为数字经济持续健康发展提供保障	1. デジタル経済の持続的かつ健全な発展を保証する
在数据成为新生产要素的背景下，个人信息的安全利用有助于加速数据要素流通，深度释放数据价值，推动数字经济持续健康发展。违法违规收集使用个人信息、个人信息泄露等安全事件，严重影响了数据的深度挖掘、分析、利用和交易。为规避数据泄露、数据滥用的风险，有的个人信息主体不愿意提供更多的个人信息，有的个人信息主体在个人信息处理者征求个人同意时，选择拒绝或者尽可能少的授权，甚至提交非真实信息。缺乏信任除影响个人信息主体提供和披露其个人信息的积极性外，也成为个人信息处理者之间共享数据的障碍。	データが新たな生産要素となる中、個人情報の安全な利用は、データ要素の循環を加速し、データの価値を引き出し、デジタル経済の持続的かつ健全な発展を促進する。 個人情報の違法な収集や利用、個人情報の漏洩などのセキュリティ事故は、データの徹底的な掘り起こし、分析、利用、取引に深刻な影響を与えている。 データ漏洩やデータ悪用のリスクを回避するために、一部の個人情報の主体は、個人情報を提供することを拒むようになっている。また、個人情報の処理者が同意を求める場合、同意を拒否したり、同意をできるだけ少なくしたり、あるいは虚偽の情報を提出したりする者もいる。 個人情報の主体が個人情報を提供したり開示したりすることへの意欲に影響を与えるだけでなく、信頼の欠如は、個人情報の処理者間のデータ共有の障害にもなっている。
合规审计将对个人信息处理者在收集、使用个人信息时遵循相关法律、行政法规的情况进行审查和评价，及时发现个人信息保护工作中存在的问题，纠正违法违规行为，提升个人信息保护水平。依法依规进行的个人信息保护合规审计能提升个人信息处理者的安全保障能力，增强个人信息主体对个人信息安全的信心，从而愿意提供更多的数据资源，也积极支持个人信息处理者的深度挖掘、利用和共享等。加强合规审计工作，是确保个人信息保护工作落到实处、取得实效的重要举措，也是推动数字经济健康发展的必然选择。	コンプライアンス監査は、個人情報の収集および利用における個人情報取扱事業者の関連法規および行政法規への準拠性を評価し、個人情報保護における問題を迅速に特定し、法規違反を是正し、個人情報保護のレベルを向上させる。法規に則って実施される個人情報保護のコンプライアンス監査は、個人情報取扱事業者のセキュリティ能力を向上させ、個人情報主体が自らの個人情報のセキュリティに対してより強い信頼感を持つことを可能にする。これにより、個人情報主体はより多くのデータリソースを提供し、個人情報取扱事業者による個人情報の徹底的な発掘、利用、共有を積極的に支援するようになる。 コンプライアンス監査の強化は、個人情報保護業務が確実に実施され、成果を上げるための重要な措置であり、デジタル経済の健全な発展を促進するための必然的な選択でもある。
二、为个人信息处理者合规提供依据	2. 個人情報取扱事業者のコンプライアンスの基礎を提供する
《中华人民共和国个人信息保护法》公布施行以来，国家网信部门以及其他履行个人信息保护职责的部门持续开展个人信息专项治理，个人信息保护工作取得阶段性成果，网民的个人信息保护意识显著增强，广大网民关注的隐私政策、强制索取权限、一揽子授权等问题有所改善。同时，超范围收集个人信息、个人信息泄露等问题还不同程度存在，需要进一步压实个人信息处理者个人信息保护主体责任，持续推进个人信息保护工作。	中華人民共和国個人情報保護法の公布・施行以来、国家サイバー空間管理部門およびその他の個人情報保護を担当する部門は、個人情報の特別管理を継続的に実施してきた。個人情報保護業務は段階的な成果を上げ、ネットユーザーの個人情報保護に対する意識は大幅に高まった。プライバシーポリシー、強制的なアクセス許可、包括的な許可など、一般市民が関心を寄せる問題は改善された。 同時に、範囲を超えた個人情報の収集や個人情報の漏洩などの問題は依然としてさまざまな程度で存在しており、個人情報の処理者に対する個人情報保護の主な責任をさらに強化し、個人情報保護の取り組みを継続的に推進していく必要がある。
《办法》坚持问题导向、底线思维，坚持个人信息利用和保护并重，回应了个人信息保护治理出现的新情况、新问题、新需求，具有较强的针对性和可操作性。个人信息处理者要深刻认识个人信息保护合规审计工作的重要性和紧迫性，通过落实《办法》，健全风险防范的法律体系，守住底线红线，确保个人信息依法依规收集和使用。通过开展个人信息保护合规审计工作，建立健全个人信息保护制度，提升个人信息安全意识，完善内部保护机构，强化个人信息安全保护措施，形成完整的个人信息合规矩阵，提升个人信息安全保护能力，将个人信息保护法的个人信息处理规则和安全保障义务传达至个人信息处理者的业务层面。	本施策は、問題解決型かつ本質的な思考を重視し、個人情報の利用と保護を同等に重視し、個人情報の保護管理における新たな状況、問題、ニーズに対応している。本施策は、非常に的を射ており、実行可能である。 個人情報処理者は、個人情報保護コンプライアンス監査の重要性と緊急性を深く理解すべきである。本措置の実施により、リスク予防のための法制度を改善し、ボトムラインとレッドラインを遵守し、個人情報の収集と利用が法律に従って行われることを確保すべきである。個人情報保護コンプライアンス監査を実施し、個人情報保護システムの構築と改善を行い、個人情報セキュリティ意識を高め、内部保護メカニズムを改善し、個人情報セキュリティ保護措置を強化し、個人情報コンプライアンスシステムを完備し、個人情報セキュリティ保護能力を向上させ、個人情報処理者の業務レベルに個人情報保護法の個人情報処理規則とセキュリティ義務を周知させることにより、個人情報コンプライアンスシステムが完備される。
三、推动个人信息保护审计工作做深做实	3. 徹底的かつ実用的な個人情報保護監査の推進
依法治网的本质，是为互联网健康有序发展提供保障。《办法》为个人信息处理者和审计机构依法依规开展个人信息保护合规提供了明确指引。为推动我国个人信息保护水平进一步提升，监管部门、各类个人信息处理者相关主体应积极落实《办法》的规定，加快适应规范化、常态化的个人信息保护要求。	インターネットガバナンスの本質は、インターネットの健全かつ秩序ある発展を保証することである。本措置は、個人情報処理者および監査機関が法律に従って個人情報保護コンプライアンスを実施するための明確なガイドラインを提供している。中国における個人情報保護のレベルをさらに向上させるため、監督管理当局および各種の個人情報処理者は、本措置の規定を積極的に実施し、標準化および規範化された個人情報保護要件への適応を加速させるべきである。
一是妥善处理安全与发展的关系。个人信息安全牵一发而动全身，只有筑牢个人信息安全基石，才能保障个人信息安全合规的流通。这决定了个人信息合规审计监管工作要坚持保护与利用并重，把个人信息依法有序流动和合理开发利用作为个人信息保护合规审计监管工作的基本原则。要围绕个人信息收集、存储、使用、加工、传输、提供、公开、删除等各个环节，依托个人信息合规审计等个人信息合规制度工具，建立涵盖个人信息整个生命周期的审计监管制度。同时也要看到，《办法》积极释放了调整改革信号，有利于提振市场主体信心。个人信息处理者严格落实《办法》，依法依规开展个人信息保护合规审计，有利于推动个人信息依法有序自由流动，让数据变成真正的活水，真正激发数据要素的价值。	まず、セキュリティと発展の関係を適切に処理すべきである。個人情報のセキュリティは全体に影響する。個人情報のセキュリティの基礎を固めることによってのみ、個人情報の流通を安全かつ適法に確保することができる。このため、個人情報のコンプライアンス監査の監督は、保護と利用の両方を重視すべきであり、また、法律に従った個人情報の秩序ある流通と合理的な発展および利用を、個人情報の保護コンプライアンス監査の監督の基本原則とすべきである。 監査および監督システムは、個人情報の収集、保存、利用、処理、送信、提供、開示、削除のすべての側面をカバーし、個人情報保護監査およびその他の個人情報保護システムツールに依存して、個人情報のライフサイクル全体をカバーする監査および監督システムを確立すべきである。同時に、本措置が市場主体の信頼を高めるのに役立つ調整および改革を積極的に示している点にも留意すべきである。個人情報の処理者は、本措置を厳格に実施し、法律に従って個人情報保護監査を実施すべきである。これにより、法律に従った個人情報の秩序ある自由な流れが促進され、データが真の生きた水となり、データ要素の価値が真に刺激されることになる。
二是完善审计机制，健全合规能力。个人信息处理者应充分认识到审计工作的重要性和必要性，理解把握《办法》相关要求，加快建立与个人信息保护合规审计相适应的技术和管理体系，避免高风险事件的发生。个人信息处理者应理顺自主开展审计的流程和方式，自觉定期开展合规审计，并为审计机构提供必要的支持和协助，确保审计工作的顺利进行。各相关机构应加强对个人信息保护合规审计工作的宣传和教育，提高全社会对审计工作的认知度和支持度。	第二に、監査メカニズムを改善し、コンプライアンス能力を高めること。 個人情報の処理者は、監査業務の重要性と必要性を十分に認識し、本弁法の関連規定を理解し把握し、個人情報保護コンプライアンス監査と互換性のある技術・管理システムの構築を加速し、リスクの高い事故の発生を回避すべきである。 個人情報の処理者は、自主的に監査を行うプロセスと方法を合理化し、意識的に定期的にコンプライアンス監査を実施し、監査機関に必要な支援と協力を提供し、監査業務が円滑に進むようにすべきである。 関連するすべての組織は、個人情報保護コンプライアンス監査に関する宣伝と教育を強化し、社会全体における監査への意識と支持を高めるべきである。
三是打造专业队伍，形成科学方案。个人信息处理者委托专业机构开展审计工作时，专业机构应针对特定的审计对象，制定相适应的审计计划和方案。充分发挥中国网络空间安全协会个人信息保护专业委员会的作用，可以考虑在个保专委会下设立个保审计工作组，对个人信息保护专业审计机构和审计人员进行自律管理。加快完善审计机构行业自律规范，以团标先行的方式推动标准建设，引导专业机构建立科学的审计指标体系，客观评价被审计单位的合规情况，出具高质量审计报告。规范发展审计机构人员队伍，通过系统培训考试，使审计人员掌握个人信息保护的相关法律法规、技术标准规范，更加准确地理解和适用《中华人民共和国个人信息保护法》《个人信息保护合规审计管理办法》相关要求，有效履行个人信息保护合规审计职责。（作者：杜阿宁，中国网络空间安全协会副秘书长）	第三に、専門チームを構築し、科学的計画を策定すること。 個人情報処理者が専門機関に監査を委託する場合、専門機関は特定の監査対象に対して適切な監査計画とプログラムを策定すべきである。 中国サイバースペース・セキュリティ協会の個人情報保護委員会の役割を十分に発揮すること。 個人情報保護委員会の下に個人情報保護監査作業グループを設置し、個人情報保護専門監査機関と監査人を自主規制することを検討すべきである。 監査機関の業界自主規制規範の改善を加速し、団体標準による標準化を推進し、専門機関が科学的監査指標体系を確立し、被監査機関のコンプライアンスを客観的に評価し、高品質の監査報告書を発行するよう導く必要がある。また、監査機関の人材チームの育成を標準化し、体系的な研修と試験を通じて、監査担当者が関連法規および個人情報保護の技術標準と仕様を習得し、中華人民共和国個人情報保護法および個人情報保護コンプライアンス監査管理弁法の関連要件をより正確に理解し適用し、個人情報保護コンプライアンス監査の責任を効果的に果たせるようにする必要がある。 （執筆者：中国サイバーセキュリティ協会 副秘書長 杜安寧）

 

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.22 中国 ネットワークデータセキュリティ管理条例 (2024.09.30)

・2023.08.05 中国 国家サイバースペース管理局「個人情報保護遵守監査管理弁法（意見募集案) 」

 

 

 

欧州 ENISA 脆弱性管理および開示に関するEUCCガイドライン Ver1.1 (2025.02.12)

こんにちは、丸山満彦です。

ENISAが脆弱性管理及び開示に関するEUCCガイドラインを発表していました。 欧州サイバーレジリエンス法の施行に向けて脆弱性管理及び開示についてのプロセスも決めていかないといけませんからね...

サイバーレジリエンス法の附属書第 II 部 脆弱性ハンドリング要件がこの基になるものとなりますね... サイバーレジリエンス法については、このブログの記事も参考にしてくださいませ...

 

脆弱性管理及び開示についての全体の流れは以下の図の通りのようです...

 

● ENISA

・2025.02.12 EUCC Guidelines on Vulnerability Management and Disclosure and ECCG opinion

EUCC Guidelines on Vulnerability Management and Disclosure and ECCG opinion	脆弱性管理および開示に関するEUCCガイドラインおよびECCG意見
This guidelines document supporting the EUCC scheme provides guidance for the holder of the EUCC certificate and the IT Security Evaluation Facilities (ITSEF) on how to apply the rules related to vulnerability handling and disclosure of the Implementing Regulation (EU) 2024/482 establishing the EUCC scheme. It also includes guidance for the CB (certification body), for the NCCAs (National Cybersecurity Certification Authority) and the CSIRT (Computer Security Incident Response Team) designated in the Member State as coordinator for the purposes of coordinated vulnerability disclosure process.	EUCCスキームをサポートするこのガイドライン文書は、EUCC認証の保有者およびITセキュリティ評価機関（ITSEF）に対して、EUCCスキームを確立する実施規則（EU）2024/482の脆弱性処理および開示に関する規則の適用方法を示している。また、加盟国で調整された脆弱性開示プロセスのコーディネーターとして指定されたCB（認証団体）、NCCAs（国家サイバーセキュリティ認証当局）、およびCSIRT（コンピュータセキュリティ・インシデント対応チーム）向けのガイダンスも含まれている。
This document is intended to be updated to further cover the specific case of composite evaluations, as well as to take benefit of other schemes established under the CSA, and to ensure consistency with applicable EU legislation, in particular the Cyber Resilience Act.	この文書は、複合評価の特定のケースをさらに網羅し、CSAの下で確立された他のスキームを活用し、特にサイバーレジリエンス法（Cyber Resilience Act）などの適用されるEU法との整合性を確保するために、更新される予定である。
ECCG opinion on EUCC Guidelines on Vulnerability Management and Disclosure	EUCCの脆弱性管理および開示に関するガイドラインに関するECCGの意見
EUCC Guidelines on Vulnerability Management and Disclosure	EUCCの脆弱性管理および開示に関するガイドライン

 

・EUCCの脆弱性管理および開示に関するガイドラインに関するECCGの意見

・2025.02.12 [PDF] ECCG opinion on EUCC Guidelines on Vulnerability Management and Disclosure

 

Opinion of the European Cybersecurity Certification Group (ECCG)  on the EUCC Scheme guidance document	EUCCの脆弱性管理および開示に関するガイドラインに関するECCGの意見
“Vulnerability management and disclosure”, version 1.0.11, December 2024 Adopted via written procedure on 10 January 2025	「脆弱性管理および開示」、バージョン1.0.11、2024年12月 2025年1月10日、書面による手続きにより採択
The Cybersecurity Act[1] in its Article 62(4), point (e), sets the task for the European Cybersecurity Certification Group (ECCG) to adopt opinions addressed to the Commission relating to the maintenance and review of existing European cybersecurity certifications schemes. Moreover, the European Common Criteria-based cybersecurity certification scheme (EUCC Scheme)[2] in its Articles 48(1) and (2) tasks the ECCG with adopting opinions in view of maintaining the EUCC and to undertake the necessary preparatory works, as well as with adopting opinions endorsing state-of-the-art documents.	サイバーセキュリティ法[1]第62条(4)(e)では、欧州サイバーセキュリティ認証グループ（ECCG）に対し、欧州の既存のサイバーセキュリティ認証スキームの保守および見直しに関する欧州委員会宛の意見を採択する任務を課している。さらに、欧州共通規準に基づくサイバーセキュリティ認証スキーム（EUCCスキーム）[2]は、その第48条(1)および(2)において、EUCCの維持を目的とした意見の採択と必要な準備作業の実施、および最先端の文書を支持する意見の採択をECCGに義務付けている。
ENISA has drafted the EUCC Scheme guidance document “Vulnerability management and disclosure”, version 1.0.11 December 2024. This draft guidance document provides requirements for the holder of the EUCC certificate and the IT Security Evaluation Facilities (ITSEF) on how to apply the EUCC. It also includes recommendations for the certification body, for the national cybersecurity certification authorities and recommendations for the Computer Security Incident Response Team designated in the Member State as coordinator for the purposes of coordinated vulnerability disclosure process.	ENISAは、EUCCスキームのガイダンス文書「脆弱性管理および開示」バージョン1.0.11（2024年12月）の草案を作成した。この草案のガイダンス文書は、EUCC証明書の保有者およびITセキュリティ評価施設（ITSEF）に対して、EUCCの適用方法を規定している。また、認証団体、各国のサイバーセキュリティ認証当局、および加盟国が脆弱性開示プロセス調整のコーディネーターとして指定するコンピュータセキュリティ・インシデント対応チームに対する推奨事項も含まれている。
The document has been elaborated with the ENISA Thematic Group on Vulnerability Handling in Certified Solutions (TG VHCS). The ECCG, composed of representatives of Member States, has been consulted and closely involved in developing this draft guidance document, therefore reflecting the opinion of the group. At its meeting on 15 April, the ECCG members agreed to endorse the future final document in the form of a guidance document in view of a possible future state-of-the-art document. The sub-group on EUCC maintenance and review on its meeting on 17 June 2024 discussed the document elaborated by the ENISA TG VHCS.	この文書は、ENISAの「認証ソリューションにおける脆弱性ハンドリングに関するテーマ別グループ（TG VHCS）」と共同で作成された。ECCGは加盟国の代表者で構成されており、このドラフトガイダンス文書の作成にあたってはECCGに意見を求め、密接に関与したため、グループの意見が反映されている。4月15日の会議において、ECCGのメンバーは、将来的に最先端の文書が作成される可能性を考慮し、ガイダンス文書の形式で将来の最終文書を承認することで合意した。2024年6月17日の会議におけるEUCC保守およびレビューに関するサブグループでは、ENISA TG VHCSが作成した文書について議論した。
The ECCG herewith endorses the EUCC Scheme draft guidance document “Vulnerability management and disclosure” version 1.0.11 December 2024 to promote a consistent implementation and enforcement of the provisions of the EUCC in this area, and in view of working further on a possible state-of-the-art document on vulnerability management and disclosure. The ECCG invites the sub-group on EUCC review and maintenance to review the application of the guidance and based on this review, work on a recommendation for a state-of-the art document at the latest on 27th February 2026.	ECCGは、この分野におけるEUCCの規定の一貫した実施と施行を促進するため、また、脆弱性管理と開示に関する最新文書の作成に向けたさらなる作業を視野に入れ、EUCCスキームのドラフトガイダンス文書「脆弱性管理と開示」バージョン1.0.11（2024年12月）を承認する。ECCGは、EUCCの見直しと保守に関するサブグループに対し、本指針の適用状況を再検討し、この再検討に基づき、遅くとも2026年2月27日までに最新文書に関する勧告の作成作業を行うよう要請する。
The ECCG invites the sub-group on EUCC review and maintenance to review the application of the guidance at the latest on 27th February 2026 and based on this review, work on a recommendation for a state-of-the art document, at latest by 27th of April 2026.	ECCGは、EUCCレビューおよび保守に関するサブグループに対し、遅くとも2026年2月27日までに本ガイダンスの適用状況をレビューし、そのレビューに基づき、遅くとも2026年4月27日までに最新文書に関する勧告の作成に取り組むよう要請する。
[1] Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act), OJ L 151, 7.6.2019, p. 15–69.	[1] 2019年4月17日付欧州議会および理事会規則（EU）2019/881、ENISA（欧州連合サイバーセキュリティ機関）および情報通信技術のサイバーセキュリティ認証に関する規則（EU）No 526/2013（サイバーセキュリティ法）の廃止、官報L 151、2019年6月7日、15～69ページ 15–69.
[2] Commission Implementing Regulation (EU) 2024/482 laying down rules for the application of Regulation (EU) 2019/881 of the European Parliament and of the Council as regards the adoption of the European Common Criteria-based cybersecurity certification scheme (EUCC), OJ L, 2024/482, 7.2.2024.	[2] 欧州議会および理事会の規則（EU）2019/881の適用に関する規則を定める欧州委員会施行規則（EU）2024/482、欧州共通規準に基づくサイバーセキュリティ認証スキーム（EUCC）の採択、OJ L, 2024/482, 7.2.2024.

 

 

・EUCCの脆弱性管理および開示に関するガイドライン

・2025.02.12 [PDF] EUCC Guidelines on Vulnerability Management and Disclosure

・[DOCX][PDF] 仮訳

 

目次...

1 INTRODUCTION	1 序文
1.1 Objective of the document	1.1 文書の目的
1.2 References	1.2 参考文献
2 SCOPE	2 スコープ
3 VULNERABILITY MANAGEMENT PROCEDURE	3 脆弱性管理手順
3.1 Preparation	3.1 準備
3.2 Receipt	3.2 受領
3.3 Verification	3.3 検証
3.4 Impact Analysis Report	3.4 影響分析レポート
3.5 Remediation Development	3.5 修復開発
3.6 Release and post release	3.6 リリースとリリース後
4 VULNERABILITY DISCLOSURE	4 脆弱性開示
5 BACKGROUND INFORMATION	5 背景情報

 

文書の目的...

1.1   Objective of the document	1.1 文書の目的
This guidelines document supporting the EUCC scheme provides guidance for the holder of the EUCC certificate and the IT Security Evaluation Facilities (ITSEF) on how to apply the rules related to vulnerability handling and disclosure of the Implementing Regulation (EU) 2024/482 establishing the EUCC scheme. It also includes guidance for the CB (certification body), for the NCCAs (National Cybersecurity Certification Authority) and the CSIRT (Computer Security Incident Response Team) designated in the Member State as coordinator for the purposes of coordinated vulnerability disclosure process.	EUCC スキームをサポートする本ガイドライン文書は、EUCC 認証書保有者および IT セキュリ ティ評価施設（ITSEF）に対し、EUCC スキームを確立する施行規則（EU）2024/482 の脆弱性 の取り扱いと開示に関する規則の適用方法に関するガイダンスを提供する。また、CB（認証機関）、NCCA（国家サイバーセキュリティ認証機関）、および脆弱性開示プロセスの調整を目的として加盟国で指定されたCSIRT（コンピュータセキュリティ・インシデント対応チーム）向けのガイダンスも含まれている。
This document is intended to be updated to further cover the specific case of composite evaluations, as well as to take benefit of other schemes established under the CSA, and to ensure consistency with applicable EU legislation, in particular the Cyber Resilience Act.	本文書は、複合評価の具体的なケースをさらにカバーし、CSAの下で設立された他の制度の恩恵を受け、適用されるEU法、特にサイバー・レジリエンス法との整合性を確保するために更新されることを意図している

 

 

 

---

ついでに

EUCC認証スキームについてのウェブページ...

・EUCC Certification Scheme

• コモンクライテリアに基づくEUサイバーセキュリティ認証制度（EUCC）
• EUCC実施法
• EUCCに関する最新文書
• EUCCのガイドライン
• プロテクション・プロファイルの登録

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.25 欧州 サイバーレジリエンス法、官報に掲載　(2024.11.20)

・2024.07.02 ENISA 意見募集 組み込み型汎用集積回路カードの認証に関連する仕様

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2021.05.26 ENISA （IoT製品）サイバーセキュリティ認証 (Certification) EUCCスキーム候補

 

 

ポーランド 個人データ保護局 データ保護違反ハンドブックの更新版

こんにちは、丸山満彦です。

ポーランドの個人データ保護局が、GDPRに違反した場合の対応についてのハンドブックを公表していますね...ポーランド語なので、読めてません...

 

● Urząd Ochrony Danych Osobowych

・2025.02.20 Jest już dostępny zaktualizowany poradnik dotyczący naruszeń ochrony danych osobowych

Jest już dostępny zaktualizowany poradnik dotyczący naruszeń ochrony danych osobowych	データ保護違反ハンドブックの更新版が発行される
Urząd Ochrony Danych Osobowych publikuje zaktualizowaną wersję poradnika dotyczącego naruszeń ochrony danych osobowych. Pierwsza jego edycja ukazała się w 2018 r. i od tamtej pory stanowiła źródło wiedzy dla administratorów oraz inspektorów ochrony danych. Najnowsza wersja uwzględnia aktualne przepisy, doświadczenia wynikające z dotychczasowej praktyki stosowania RODO oraz wyniki konsultacji społecznych.	個人データ保護局は、データ保護違反ハンドブックの更新版を発行する。初版は2018年に発行され、以来、管理者とデータ保護責任者のためのリソースとなっている。最新版では、現行法、これまでのRODO適用による経験、およびパブリックコンサルテーションの結果を考慮している。
Konsultacje społeczne i szeroki wkład ekspertów	パブリックコンサルテーションと広範な専門家の意見
Prace nad aktualizacją poradnika zostały poprzedzone konsultacjami społecznymi, w których mogli wziąć udział wszyscy zainteresowani. W ich trakcie otrzymaliśmy liczne opinie i uwagi, które pozwoliły dostosować treść dokumentu do obecnych wyzwań i potrzeb podmiotów przetwarzających dane. Szczegóły dotyczące przebiegu konsultacji można znaleźć tutaj: Konsultacje społeczne UODO.	ハンドブックの更新作業に先立ち、すべての関係者が参加できる公開協議が行われた。その際、多くの意見やコメントが寄せられ、データ処理業者の現在の課題やニーズにハンドブックの内容を適合させることができた。協議の詳細については、こちらを参照されたい： UODOパブリックコンサルテーション
Najnowsza wersja poradnika to efekt prac pracowników UODO, a ważną rolę w jego przygotowaniu odegrał również Społeczny Zespół Ekspertów przy Prezesie Urzędu Ochrony Danych Osobowych, który wspierał doradczo Urząd w tworzeniu dokumentu. Więcej na temat działalności SZE można znaleźć tutaj: Społeczny Zespół Ekspertów. Ostateczny kształt tej edycji poradnika nadał Prezes UODO, Mirosław Wróblewski.	このガイドブックの最新版は、DPAの職員による作業の成果であり、その作成において重要な役割を果たしたのは、文書作成においてDPAに助言的支援を提供したDPA会長の社会専門家チームでもある。SZEの活動については、こちらを参照されたい： 専門家社会チーム このガイドの最終的な形は、個人データ保護局のミロスワフ・ロブレフスキ（Mirosław Wróblewski）局長が担当した。
Co nowego w poradniku?	ガイドの新機能は？
Nowa wersja uwzględnia najnowsze interpretacje przepisów, orzecznictwo oraz praktyczne wskazówki, które ułatwią administratorom podejmowanie właściwych decyzji w przypadku wystąpienia naruszenia ochrony danych osobowych. Znajdują się w nim m.in.:	新版では、個人データ保護違反が発生した場合に管理者が正しい判断を下せるよう、最新の法律解釈、判例、実践的なヒントを考慮している。特に以下の内容が含まれる：
・zaktualizowane procedury reagowania na naruszenia (zgłaszania Prezesowi UODO);	・違反への対応手順（UODO会長への報告）を更新した；
・praktyczne przykłady i studia przypadków;	・実践的な事例とケーススタディ
・wytyczne dotyczące współpracy z Prezesem UODO oraz innymi organami nadzorczymi;	・UODO総裁および他の監督当局との協力方法に関するガイドライン；
・kluczowe rekomendacje dotyczące oceny ryzyka i zapobiegania naruszeniom.	・リスク評価と違反防止に関する主な勧告
Plany na przyszłość: seminarium poświęcone naruszeniom	今後の予定：違反に関するセミナー
Aby jeszcze lepiej przybliżyć tematykę naruszeń i ich zgłaszania, Urząd Ochrony Danych Osobowych planuje zorganizowanie seminarium, podczas którego eksperci omówią najważniejsze zagadnienia zawarte w poradniku. Wydarzenie to będzie okazją do zadania pytań i wymiany doświadczeń między uczestnikami. Szczegółowe informacje na temat terminu i programu seminarium zostaną podane na stronie UODO.	情報漏洩とその報告に関するトピックをさらに紹介するため、個人情報保護局は、ガイドに含まれる最も重要な問題について専門家が議論するセミナーの開催を計画している。このイベントは、参加者が質問をしたり、経験を交換したりする機会となる。セミナーの日程とプログラムに関する詳細情報は、UODOのウェブサイトで提供される。
„Zachęcam do zapoznania się ze zaktualizowaną wersją poradnika oraz do udziału w nadchodzącym seminarium. Mamy nadzieję, że nowe treści i praktyczne wskazówki pomogą Państwu skutecznie zarządzać ryzykiem i reagować na incydenty związane z ochroną danych osobowych” – podkreślił Mirosław Wróblewski, Prezes UODO.	「ハンドブックの最新版をお読みになり、セミナーに参加されることをお勧めする。新しい内容と実践的なヒントが、効果的なリスク管理とデータ保護インシデントへの対応に役立つことを期待している。- とUODOのミロスワフ・ロブレフスキ会長は強調した。

 

 

・[PDF] Poradnik dotyczący naruszeń ochrony danych osobowych

 

目次...

Spis treści	目次
1. Wprowadzenie	1 はじめに
1.1. O czym jest ten poradnik?	1.1 このガイドは何について書かれているか？
1.2. Gdzie znaleźć dodatkowe informacje?	1.2 追加情報はどこにあるか？
2. Naruszenia ochrony danych osobowych	2 データ保護違反
2.1. Czym jest „naruszenie ochrony danych osobowych”?	2.1 「個人データ侵害」とは何か？
2.2. Dlaczego naruszenia ochrony danych osobowych są niebezpieczne?	2.2 データ保護違反はなぜ危険なのか？
2.3. Na czym polegają naruszenia poufności, integralności i dostępności danych osobowych?	2.3 個人データの機密性、完全性、可用性の侵害とは何か？
2.4. Skąd się biorą naruszenia ochrony danych osobowych?	2.4 個人データ侵害はどこから来るのか？
2.5. Czym się różni „naruszenie ochrony danych osobowych” od „naruszenia przepisów RODO”?	2.5 「個人データ保護違反」と「RODO違反」の違いは何か？
3. Obowiązki związane z naruszeniami ochrony danych osobowych	3. 個人データ侵害に関する義務
3.1. Kim jest „administrator”?	3.1 「管理者」とは誰か？
3.2. Jakie obowiązki mają administratorzy w związku z naruszeniami ochrony danych osobowych?	3.2 管理者はデータ保護違反に関してどのような義務を負うのか？
3.3. Kim jest „podmiot przetwarzający”?	3.3 「処理者」とは誰か？
3.4. Jakie obowiązki mają podmioty przetwarzające w związku z naruszeniami ochrony danych osobowych?	3.4 個人データ侵害に関して処理者はどのような義務を負うのか？
3.5. Kim jest „inspektor ochrony danych”?	3.5 「データ保護責任者」とは誰か？
3.6. Jaką rolę odgrywają inspektorzy ochrony danych w procesie obsługi naruszeń ochrony danych osobowych?	3.6 個人データ漏えいの処理におけるデータ保護責任者の役割は何か？
4. Zapobieganie powstawaniu naruszeń ochrony danych osobowych	4 個人データ漏えいの防止
4.1. Na czym polega „podejście oparte na ryzyku”?	4.1 「リスク・ベース・アプローチ」とは何か？
4.2. Jak zapobiegać naruszeniom ochrony danych osobowych?	4.2 個人データ漏えいを防止するには？
5. Identyfikowanie naruszeń ochrony danych osobowych	5 個人データ漏えいの特定
5.1. Jak wykrywać naruszenia ochrony danych osobowych?	5.1 個人データ漏えいを検知するには？
5.2. Na czym polega „stwierdzenie” naruszenia ochrony danych osobowych?	5.2 何をもって個人データ漏えいの「発見」とするか？
6. Zaradzanie naruszeniom ochrony danych osobowych	6 個人データ侵害への対処
6.1. Jak zaradzać naruszeniom ochrony danych osobowych i ich ewentualnym skutkom?	6.1 個人データ漏えいとその潜在的影響にどのように対処するか？
7. Ocena ryzyka związanego z naruszeniami ochrony danych osobowych	7 個人データ漏えいのリスクの評価
7.1. Jak oceniać ryzyko związane z naruszeniami ochrony danych osobowych?	7.1 個人データ漏えいに関連するリスクをどのように評価するか？
7.2. Kim jest „zaufany odbiorca”?	7.2 「信頼できる受領者」とは誰か？
8. Dokumentowanie naruszeń ochrony danych osobowych	8 個人データ漏えいの文書化
8.1. Jak dokumentować naruszenia ochrony danych osobowych?	8.1 個人データ漏えいをどのように文書化するか？
9. Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu	9. 監督当局への個人データ漏えいの通知
9.1. Czym jest „zgłoszenie naruszenia ochrony danych osobowych”?	9.1 「データ漏えい通知」とは何か？
9.2. Jak zgłaszać naruszenia ochrony danych osobowych?	9.2 個人データ違反をどのように報告するか？
9.3. Jakie informacje należy przekazać w zgłoszeniu naruszenia ochrony danych osobowych?	9.3 個人データ漏えいの通知ではどのような情報を提供しなければならないか？
10. Zawiadamianie osób, których dane dotyczą, o naruszeniach ochrony danych osobowych	10. データ主体への個人データ侵害の通知
10.1. Czym jest „zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych”?	10.1 「個人データ漏えいのデータ主体への通知」とは何か？
10.2. Jak zawiadamiać osoby, których dane dotyczą, o naruszeniach ochrony danych osobowych?	10.2 個人データ漏えいをデータ主体にどのように通知するか？
10.3. Jakie informacje należy przekazać osobom, których dane dotyczą?	10.3 データ当事者にどのような情報を提供すべきか？
11. Transgraniczne naruszenia ochrony danych osobowych	11 国境を越えた個人データ侵害
11.1. Czym jest „transgraniczne naruszenie ochrony danych osobowych”?	11.1 「国境を越えた個人データ漏えい」とは何か？

 

 

はじめにの部分...

 

1. Wprowadzenie	1 はじめに
1.1. O czym jest ten poradnik?	1.1 本ガイドの目的
Ochrona danych osobowych nabiera coraz większego znaczenia w scyfryzowanym świecie, w którym zagrożenia dla informacji i prywatności stały się codziennością. Naruszenia ochrony danych osobowych mogą powodować poważne konsekwencje zarówno dla osób, których dane dotyczą, jak i dla podmiotów zobowiązanych do ich zabezpieczenia. Właściwe reagowanie na takie incydenty jest kluczowe dla ochrony podstawowych praw i wolności oraz spełniania wymogów prawnych.	情報とプライバシーに対する脅威が日常的な現実となったデジタル化された世界において、 データ保護の重要性はますます高まっている。データ保護違反は、データ主体およびデータ保護義務者の双方に深刻な結果をもたらす可能性がある。このようなインシデントに適切に対応することは、基本的な権利と自由を保護し、法的要件を満たすための鍵である。
Niniejszy poradnik skierowany jest szczególnie do administratorów, podmiotów przetwarzających i inspektorów ochrony danych. Jego celem jest wyjaśnienie i uporządkowanie kwestii związanych z zarządzaniem naruszeniami ochrony danych osobowych w ramach RODO oraz dostarczenie praktycznych wskazówek w tym zakresie. Poradnik przekazuje aktualną wiedzę, uwzględniając nowe doświadczenia organów nadzorczych, publikacje Europejskiej Rady Ochrony Danych (EROD) oraz orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej (TSUE).	このガイドは、特に管理者、処理者、およびデータ保護責任者を対象としている。その目的は、RODOの下での個人データ保護違反の管理に関連する問題を明確化・体系化し、この点に関する実践的なガイダンスを提供することである。このガイドは、監督当局の新たな経験、欧州データ保護委員会（EDPS）の出版物、および欧州連合司法裁判所（CJEU）の判例法を考慮に入れて、最新の知識を提供している。
Należy podkreślić, że poradnik ten nie zastępuje przepisów ani oficjalnych wytycznych – ma charakter pomocniczy i służy lepszemu zrozumieniu zasad postępowania. Wszelkie wątpliwości należy rozstrzygać przede wszystkim w oparciu o źródła prawa oraz wskazówki i zalecenia organu nadzorczego, dostosowane do konkretnych sytuacji.	本ガイドラインは、法律や公式ガイダンスに代わるものではなく、どのように進めるべきかをよりよく理解するためのガイドであることを強調しておく。どのような疑問も、何よりもまず、特定の状況に適応した、法源と監督当局のガイダンスと勧告に基づいて解決されるべきである。
1.2. Gdzie znaleźć dodatkowe informacje?	1.2 追加情報はどこで入手できるか？
Jeśli informacje zawarte w poradniku okażą się niewystarczające, warto zapoznać się z następującymi materiałami:	本ガイドブックに記載されている情報が不十分と思われる場合は、以下のリソースを参照されたい：
・Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)	・個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日付欧州議会および理事会規則（EU）2016/679および指令95/46/ECの廃止（一般データ保護規則）
・Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych	・個人データの保護に関する2018年5月10日法
・Wytyczne dotyczące inspektorów ochrony danych („DPO”)	・データ保護責任者（DPO）に関するガイドライン
・Wyznaczenie i status IOD	・DPOの指定と地位
・Jak rozumieć i stosować podejście oparte na ryzyku?	・リスクベースアプローチをどのように理解し、適用するか？
・Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony	・2019年6月17日付の個人データ保護総裁通達で、個人データの保護に及ぼす処理の影響の評価を必要とする個人データ処理業務の種類のリストに関する
・Wytyczne nr 4/2019 dotyczące artykułu 25. Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych	・第 25 条「設計によるデータ保護」および「デフォルトによるデータ保護」に関するガイダンス・ノート 4/2019
・Wytyczne 7/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO	・RODOに含まれる管理者と処理者の概念に関するガイダンス7/2020
・Decyzja wykonawcza Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych pomiędzy administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725	・欧州議会および理事会規則（EU）2016/679の第28条7項および欧州議会および理事会規則（EU）2018/1725の第29条7項に基づく、管理者と処理者間の標準契約条項に関する2021年6月4日の欧州委員会実施決定（EU）2021/915号
・Wytyczne 1/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych	・個人情報漏えいの通知に関する例に関するガイドライン1/2021
・Zgłaszanie naruszeń ochrony danych osobowych (uodo.gov.pl)	・個人データ保護違反の報告（uodo.gov.pl）
・Wytyczne 9/2022 dotyczące zgłaszania naruszeń ochrony danych osobowych na podstawie RODO	・RODOに基づく個人データ保護違反の報告に関するガイダンス9/2022
・Narodowe Standardy Cyberbezpieczeństwa	・国家サイバーセキュリティ基準

 

 

特定秘密の保護に関する法律と重要経済安保情報の保護及び活用に関する法律の比較...

 こんにちは、丸山満彦です。

単なる興味本位ですが、重要経済安保情報の保護及び活用に関する法律と特定秘密の保護に関する法律の比較をしてみました。

民間企業は特定秘密情報を原則取り扱うことはないので、あまり意味はないです...(^^;;

 

● e-Gov

・重要経済安保情報の保護及び活用に関する法律	特定秘密の保護に関する法律
・重要経済安保情報の保護及び活用に関する法律施行令	特定秘密の保護に関する法律施行令

 

・特定秘密の保護に関する法律を基に重要経済安保情報の保護及び活用に関する法律を比較したもの...

・[DOCX][PDF] 比較

 

本当は赤色にしないとなんですが...

 

対比表的...

↓↓↓↓↓↓↓↓↓↓↓

Continue reading "特定秘密の保護に関する法律と重要経済安保情報の保護及び活用に関する法律の比較..."

ドイツ BSI 中小規模空港向けITベースライン保護プロファイル (2025.02.19)

こんにちは、丸山満彦です。

ドイツのBSIが中小規模空港向けのITベースライン保護プロファイルを公表していますね...

最低限のITセキュリティ対策ということなのですかね...

 

日本の空港の運営は、完全民営、第三セクター方式、地方公共団体がありますね...日本でも中小規模の空港が多いので、参考になる部分があるかもしれませんね...

 

次は、コンペアシステムのITベースライン保護プロファイルが作成される予定のようです。。。

● Bundesamt für Sicherheit in der Informationstechnik; BSI

・2025.02.19 BSI veröffentlicht IT-Grundschutz-Profil für kleine und mittlere Flughäfen

BSI veröffentlicht IT-Grundschutz-Profil für kleine und mittlere Flughäfen	BSI、中小規模の空港向けIT基本保護プロファイルを発行
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein IT-Grundschutz-Profil für kleine und mittlere Flughäfen veröffentlicht, das in Zusammenarbeit mit Expertinnen und Experten für die zivile Luftfahrt in einem Arbeitskreis erstellt wurde. Es dient als Empfehlung und Handreichung, die Flughafenbetreibern eine wirkungsvolle Umsetzung eines IT-Sicherheitskonzepts ermöglicht. Zur Erstellung gemeinsamer Mindestanforderungen im Sinne einer Erhöhung der Resilienz bei kleinen und mittleren Flughäfen hatte der Arbeitskreis eine Workshop-Reihe veranstaltet, aus der in einem ersten Schritt das vorliegende IT-Grundschutz-Profil hervorging. Es enthält Empfehlungen für eine Mindestabsicherung kleiner und mittlerer Flughäfen in der Bundesrepublik Deutschland.	ドイツ連邦情報セキュリティ局（BSI）は、ワーキンググループの民間航空専門家との共同作業により作成された中小規模の空港向けITベースライン保護プロファイルを発行した。これは、空港運営者がITセキュリティコンセプトを効果的に導入するための推奨事項およびガイドとして役立つ。中小規模の空港の耐性を高めるための共通の最低要件を確立するために、ワーキンググループは一連のワークショップを開催し、その第一段階として、今回のITベースライン保護プロファイルが作成された。このプロファイルには、ドイツ連邦共和国における中小規模の空港の最低限のセキュリティ要件が記載されている。
An Flughäfen treffen unterschiedliche Unternehmen und Dienstleister aufeinander, die eine Vielzahl von Infrastrukturen wie Hangar, Wartungseinrichtungen für Flugzeuge, Abfertigungsanlagen am Boden für Fracht, Luftverkehrskontrolle und auch Serviceeinrichtungen für Passagiere (Terminals, Restaurants, Geschäfte, Lounges und Sicherheitsdienste) betreiben. Ohne eine performante IT-Infrastruktur sind moderne Flughäfen nicht betreibbar. Für alle sicherheitsrelevanten Prozesse, Systeme und Daten müssen dabei Verfügbarkeit, Integrität und Vertraulichkeit stets sichergestellt sein.	空港では、格納庫、航空機整備施設、貨物地上支援施設、航空管制施設、旅客サービス施設（ターミナル、レストラン、ショップ、ラウンジ、セキュリティサービス）など、さまざまなインフラを運営する多種多様な企業やサービスプロバイダーが集まっている。高性能なITインフラがなければ、近代的な空港は運営できない。セキュリティ関連のプロセス、システム、データについては、常に可用性、完全性、機密性を確保しなければならない。
Ein sicherer Umgang mit Informationen zwischen allen Unternehmen am Flughafen ist für die geordnete Passagier- und Frachtabwicklung essentiell. Dies trifft sowohl für die Flugsicherheit (safety) als auch für die Luftsicherheit (security) zu. Das IT-Grundschutz-Profil dient als Anleitung zum strukturierten Erstellen eines IT-Sicherheitsprozesses. Es handelt sich um ein Muster-Sicherheitskonzept, das als Schablone für Unternehmen mit vergleichbaren Rahmenbedingungen dienen soll. Die ersten Schritte, die nach dem IT-Grundschutz zu gehen sind, sind in diesem Muster pauschalisiert, sodass es allen interessierten Flughafenbetreibern möglich sein sollte, mit Hilfe des IT-Grundschutz-Profils die Standardabsicherung zu erreichen. Im Jahr 2025 soll ein IT-Grundschutz-Baustein für Förderanlagen erarbeitet werden.	空港内のすべての企業間での情報の安全な取り扱いは、乗客および貨物の秩序ある処理に不可欠である。これは、航空機の安全性と航空保安の両方に当てはまる。ITベースライン保護プロファイルは、ITセキュリティプロセスの体系的な構築のためのガイドとして役立つ。これは、同様の条件を持つ企業向けのテンプレートとして利用することを目的とした、モデルセキュリティコンセプトである。ITベースライン保護に従ってとられるべき最初のステップは、このモデルに一般化されており、関心のあるすべての空港運営者がITベースライン保護プロファイルの助けを借りてセキュリティの標準レベルを達成できるようになっている。2025年には、コンベアシステム用のIT基本保護モジュールが開発される予定である。

 

・[PDF]

・[DOCX][PDF] 仮訳

 

 

 

欧州 ENISA 脅威状況 (2023.01-2024.06)：金融セクター

こんにちは、丸山満彦です。

ENISAが、 2023.01-2024.06の間に公式に報告された金融セクターに影響するインシデント情報（488件）を分析した報告書を公表していますね...

ロシア侵攻に関連した金融セクターへの業務妨害を目的とした攻撃が多いようですね...金銭目的のためのデータ漏えいも多いようです。そして、ランサムウェア。セキュリティ対策に対して成熟度の低いサービスプロバイダーや保険会社を標的にしていると分析しているようです。考えてみると規模が大きな組織で、セキュリティ対策が十分でないところを狙うのが、効率的ですよね...

 

● ENISA 

・2025.02.21 ENISA Threat Landscape: Finance Sector

・[PDF]

・[DOCX][PDF] 仮訳

 

 

目次...

1. INTRODUCTION	1. 序文
2. INCIDENTS	2. インシデント
3. PRIME THREATS	3. 主要な脅威
3.1 DISTRIBUTED DENIAL-OF-SERVICE ATTACKS	3.1 分散型サービス拒否攻撃
3.2 DATA-RELATED THREATS	3.2 データ関連の脅威
3.3 SOCIAL ENGINEERING	3.3 ソーシャル・エンジニアリング
3.4 FRAUD	3.4 不正行為
3.5 RANSOMWARE	3.5 ランサムウェア
3.6 MALWARE	3.6 マルウェア
3.7 ATTACKS TO THE SUPPLY CHAIN	3.7 サプライチェーンへの攻撃
3.8 OTHER THREATS	3.8 その他の脅威
4. THREAT ACTORS	4. 脅威アクター
4.1 THREAT ACTOR GOALS	4.1 脅威アクターの目標
4.2 THREAT ACTOR ANALYSIS	4.2 脅威アクター分析
4.2.1 State-nexus actors	4.2.1 国家関与アクター
4.2.2 Cybercrime groups	4.2.2 サイバー犯罪グループ
4.2.3 Hacktivists	4.2.3 ハクティビスト
5. IMPACT	5. 影響
6. CONCLUSIONS	6. 結論

 

 エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
This is the first analysis conducted by the European Union Agency for Cybersecurity (ENISA) of the cyber threat landscape of the European finance sector. From January 2023 to June 2024, the European financial sector faced significant cybersecurity challenges, highlighting threats and vulnerabilities across the sector.	これは欧州連合サイバーセキュリティ機関（ENISA）が実施した欧州金融セクターのサイバー脅威状況に関する初の分析である。2023年1月から2024年6月にかけて、欧州の金融セクターはサイバーセキュリティ上の重大な課題に直面し、セクター全体の脅威と脆弱性が浮き彫りになった。
• ENISA analysed 488 publicly reported incidents affecting the finance sector in Europe.	• ENISAは、欧州の金融セクターに影響する488件の公に報告されたインシデントを分析した。
• European banks (credit institutions) were the most frequently affected at a 46% rate, with 301 incidents observed. Public organisations related to finance (13%) followed next. Individuals, such as customers of credit institutions, were also affected (10%), being defrauded through social engineering campaigns with a financerelevant theme.	• 欧州の銀行（信用機関）が46％と最も多く、301件のインシデントが確認された。次いで金融関連の公的機関（13％）が続いた。また、金融機関の顧客など個人も被害に遭っており（10％）、金融をテーマとしたソーシャル・エンジニアリングキャンペーンによって詐取された。
• The finance sector saw peaks in distributed denial-of-service activity linked to geopolitical events, particularly Russia’s invasion of Ukraine. Hacktivists targeted European credit institutions (58% of incidents) and governmental websites related to finance (21%), notably causing operational disruptions.	• 金融セクターでは、地政学的な出来事、特にロシアのウクライナ侵攻に関連した分散型サービス妨害（DoS）活動がピークに達した。ハクティビストは欧州の信用機関（インシデントの58％）や金融関連の政府系ウェブサイト（21％）を標的とし、特に業務妨害を引き起こした。
• Data breaches and leaks remain prominent issues. Threat actors exploited vulnerabilities for financial gain through fraud, supply chain attacks, and social engineering. European credit institutions were the primary targets (39%), with incidents leading to financial losses, regulatory penalties, and reputational damage.	• データ流出と漏洩は依然として顕著な問題である。脅威アクターは、詐欺、サプライチェーン攻撃、ソーシャル・エンジニアリングを通じて、金銭的利益を得るために脆弱性を悪用した。欧州の信用機関が主な標的で（39％）、インシデントが金銭的損失、規制当局による罰則、風評被害につながった。
• Social engineering campaigns, including phishing, smishing and vishing, were prevalent tactics used by cybercrime threat actors. These incidents aimed to steal sensitive information and commit financial fraud, affecting individuals (38%) and credit institutions (36%). The result was financial loss, large-scale financial crimes, and data exposure.	• フィッシング、スミッシング、ビッシングを含むソーシャルエンジニアリングキャンペーンは、サイバー犯罪の脅威アクターが使用する一般的な手口であった。これらのインシデントは、機密情報の窃取や金融詐欺を目的としており、個人（38％）や信用機関（36％）に影響を与えた。その結果、金銭的損失、大規模な金融犯罪、データ暴露が発生した。
• Fraud accounted for 6% of overall incidents, primarily affecting individuals (40%) and credit institutions (35%). Although reported cases seem low, underreporting and secondary consequences from other cyber incidents suggest a broader issue. Crypto-related cybercrime increased. Related activities include theft, scams, and illicit laundering.	• 詐欺はインシデント全体の6％を占め、主に個人（40％）と信用機関（35％）に影響を与えた。報告されたケースは少ないように見えるが、報告不足や他のサイバーインシデントによる二次的な影響は、より広範な問題を示唆している。暗号関連のサイバー犯罪が増加した。関連する活動には、窃盗、詐欺、不正資金洗浄が含まれる。
• Ransomware attacks primarily affected service providers (29%) and insurance organisations (17%), with impacts including financial loss (38%), data exposure (35%), and operational disruption (20%).	• ランサムウェア攻撃は主にサービスプロバイダー（29％）と保険会社（17％）に影響を与え、その影響には金銭的損失（38％）、データの暴露（35％）、業務妨害（20％）が含まれる。
• Malware incidents (excluding ransomware cases), though fewer in number (21 cases), often affected a large number of citizens. Banking trojans and spyware posed significant threats by enabling device takeovers and fraudulent activities. Credit institutions (36%) and individuals (24%) were affected most.	• マルウェア（ランサムウェアを除く）のインシデントは、21件と数は少ないものの、多くの市民が被害を受けた。トロイの木馬やスパイウェアは、デバイスの乗っ取りや詐欺行為を可能にし、重大な脅威をもたらした。信用機関（36％）と個人（24％）が最も被害を受けた。
• Attacks on suppliers, mostly data breaches and ransomware, resulted in the exposure and sale of sensitive data (63%), operational disruption (26%), and financial loss (11%).	• サプライヤーへの攻撃は、主にデータ漏洩とランサムウェアであり、機密データ暴露と売却（63％）、業務妨害（26％）、財務的損失（11％）をもたらした。
Stakeholders in the finance sector must should invest strategically to improve cybersecurity resilience. This involves investing in supply chain management and incident response. Strengthening regulatory compliance with frameworks, like the general data protection regulation, the network and information security directive, and the Digital Operational Resilience Act, is essential, alongside implementing comprehensive employee training programmes and robust incident response plans. Rigorous third-party risk management practices are crucial, as is fostering collaboration and information sharing within the sector. A multifaceted approach is necessary to stay ahead of evolving cyber threats and maintain long-term resilience.	金融セクターの関係者は、サイバーセキュリティのレジリエンスを改善するために戦略的な投資を行う必要がある。これには、サプライチェーン管理とインシデント対応への投資が含まれる。一般データ保護規制、ネットワーク・情報セキュリティ指令、デジタル・オペレーショナル・レジリエンス法などの枠組みに対する規制対応の強化は、包括的な従業員研修プログラムや強固なインシデント対応計画の実施と並んで不可欠である。サードパーティのリスクマネジメントを厳格に実施することは、部門内の協力と情報共有を促進することと同様に極めて重要である。進化するサイバー脅威を先取りし、長期的なレジリエンスを維持するためには、多面的なアプローチが必要である。

 

結論...

6. CONCLUSIONS	6. 結論
The analysis of cybersecurity incidents from January 2023 to June 2024 reveals several critical findings and concerns for the European financial sector. The finance industry remains a prime target for cyber threats due to the high value of financial data and the potential for significant financial gain.	2023年1月から2024年6月までのサイバーセキュリティインシデントの分析から、欧州の金融セクターにとっていくつかの重大な発見と懸念が明らかになった。金融業界は、金融データの価値が高く、重要な金銭的利益を得る可能性があるため、依然としてサイバー脅威の格好の標的となっている。
The key findings include the following.	主な調査結果は以下の通りである。
• European banks (credit institutions) were the most frequently targeted at a 46 % rate. Government agencies and public sector organisations in finance (13 %) followed next. Individuals (10 %) were lured into and defrauded by social engineering campaigns with a finance-relevant theme.	• 欧州の銀行（信用機構）が最も多く、その割合は46％であった。次いで、政府機関や金融関係の公的機関（13％）が続いた。個人（10％）は、金融に関連したテーマのソーシャル・エンジニアリング・キャンペーンに誘われ、騙された。
• The finance sector saw peaks in DDoS activity linked to geopolitical events, particularly Russia’s invasion of Ukraine. Hacktivists frequently targeted European credit institutions (58 % of incidents) and government websites related to finance (21 %), causing operational disruptions and raising cybersecurity concerns.	• 金融セクターでは、地政学的な出来事、特にロシアのウクライナ侵攻に関連したDDoS活動がピークに達した。ハクティビストは、欧州の信用機関（インシデントの58％）や金融関連の政府ウェブサイト（21％）を標的とすることが多く、業務に支障をきたし、サイバーセキュリティ上の懸念を高めている。
• Financial institutions frequently suffered significant losses as a result of cyber incidents such as fraud, ransomware and data breaches. These losses were exacerbated by costs associated with remediation, legal fees and regulatory penalties.	• 金融機関は、詐欺、ランサムウェア、データ漏洩などのサイバーインシデントの結果、多額の損失を被ることが多かった。これらの損失は、修復に関連するコスト、弁護士費用、規制当局の罰則によってさらに悪化した。
o Data breaches and leaks remained critical issues. Threat actors exploited vulnerabilities for financial gain through fraud, supply chain attacks and social engineering. European credit institutions (39 %) were the primary targets, with incidents leading to financial losses, regulatory penalties and reputational damage.	o データ流出と漏洩は依然として重大な問題であった。脅威アクターは、詐欺、サプライチェーン攻撃、ソーシャル・エンジニアリングを通じて、金銭的利益を得るために脆弱性を悪用した。欧州の信用機関（39％）が主な標的となり、インシデントが金銭的損失、規制当局による罰則、風評被害につながった。
o Social engineering campaigns, including phishing, smishing and vishing, were prevalent tactics used by cybercrime threat actors. These incidents aimed to steal sensitive information and commit financial fraud, affecting Individuals (38 %) and credit institutions (36 %). The results were financial loss, large-scale financial crimes and data exposure.	o フィッシング、スミッシング、ビッシングを含むソーシャルエンジニアリングキャンペーンは、サイバー犯罪の脅威アクターが使用する一般的な手口であった。これらのインシデントは、機密情報の窃取や金融詐欺を目的としており、個人（38％）や信用機関（36％）に影響を与えた。その結果、金銭的損失、大規模な金融犯罪、データ暴露が発生した。
o Fraud accounted for 6 % of overall incidents, primarily impacting Individuals (40 %) and credit institutions (35 %). Although reported cases seem low, under-reporting and secondary consequences from other cyberattacks suggest a broader issue. Crypto-related cybercrime saw a rise in thefts, scams and illicit laundering.	o 不正行為はインシデント全体の6％を占め、主に個人（40％）と信用機関（35％）に影響を与えた。報告されたケースは少ないように見えるが、報告不足や他のサイバー攻撃による二次的な影響は、より広範な問題を示唆している。暗号関連のサイバー犯罪では、窃盗、詐欺、不正資金洗浄が増加した。
o Ransomware attacks primarily targeted less mature financial entities, such as service providers (29 %) and insurance organisations (17 %), with impacts including financial loss (38 %), data exposure (35 %) and operational disruption (20 %).	o ランサムウェア攻撃は主に、サービスプロバイダー（29％）や保険組織（17％）など、成熟度の低い金融事業体を標的としており、その影響には金銭的損失（38％）、データの暴露（35％）、業務妨害（20％）などが含まれる。
• The mobile threat landscape remained dynamic and challenging, with increasing sophistication of mobile malware. Banking trojans and spyware posed significant threats by enabling device takeovers and fraudulent activities. Credit institutions (36 %) and Individuals (24 %) were impacted most.	• モバイルの脅威の状況は、モバイルマルウェアの巧妙化に伴い、引き続きダイナミックで困難なものであった。バンキング・トロイの木馬やスパイウェアは、デバイスの乗っ取りや不正行為を可能にすることで、重大な脅威をもたらした。信用機関（36％）と個人（24％）が最も大きな影響を受けた。
• Attacks on suppliers, mostly data breaches and ransomware, resulted in the exposure and sale of sensitive data (63 %), operational disruption (26 %) and financial loss (11 %).	• サプライヤーへの攻撃（主にデータ漏洩とランサムウェア）は、機密データ暴露と売却（63％）、業務妨害（26％）、財務的損失（11％）をもたらした。
Stakeholders in the finance sector should invest strategically to improve cybersecurity resilience. Key measures include the following.	金融セクターの関係者は、サイバーセキュリティのレジリエンスを向上させるために戦略的な投資を行うべきである。主な対策は以下の通りである。
• Investing in advanced technologies. Financial entities must invest in advanced threat detection and response systems. Tools such as intrusion detection systems, intrusion prevention systems, and security information and event management solutions can detect anomalies and respond in real time. Integrating AI and machine learning enhances these capabilities through predictive analytics and automated responses to new risks.	• 先端技術への投資。金融事業体は、高度な脅威検知・対応システムに投資しなければならない。侵入検知システム、侵入防御システム、セキュリティ情報・イベント管理ソリューションなどのツールは、異常を検知し、リアルタイムで対応することができる。AIや機械学習を統合することで、予測分析や新たなリスクへの自動対応を通じて、これらの機能が強化される。
• Strengthening regulatory compliance. Adherence to regulatory frameworks like the general data protection regulation, the NIS directive and DORA is crucial for maintaining cybersecurity resilience. Financial institutions must have robust policies and procedures to meet these regulatory requirements and conduct regular compliance audits.	• 規制遵守の強化。一般データ保護規制、NIS 指令、DORA などの規制枠組みを遵守することは、サイバーセキュリティのレジリエンスを維持する上で極めて重要である。金融機構は、これらの規制要件を満たすための強固な方針と手順を定め、定期的なコンプライアンス監査を実施しなければならない。
• Implementing comprehensive training programmes. Employee training and awareness programmes are essential to reducing the risk of social engineering attacks and improving overall security hygiene. Financial institutions should invest in ongoing cybersecurity training, simulated phishing exercises and public awareness campaigns.	• 包括的なトレーニングプログラムを実施する。ソーシャル・エンジニアリング攻撃のリスクを低減し、全体的なセキュリティ衛生を改善するためには、従業員のトレーニングおよび意識向上プログラムが不可欠である。金融 機構は、継続的なサイバーセキュリティ・トレーニング、フィッシングの模擬演習、一般向けの啓発キャンペーンに投資すべきである。
• Creating strong incident response plans. Financial institutions must have well-defined incident response plans detailing steps to be taken during a cyberattack. These plans should be regularly updated and tested through drills and tabletop exercises to ensure preparedness and effective incident management. Effective plans include precise action for detecting, containing, eradicating, recovering and communicating during a cyber incident.	• 強力なインシデント対応計画の作成。金融機関は、サイバー攻撃時に取るべき措置を詳述した、明確に定義されたインシデント対応計画を持たなければならない。これらの計画は定期的に更新され、訓練や机上演習を通じてテストされ、備えと効果的なインシデント管理を確実にする必要がある。効果的な計画には、サイバーインシデント発生時の検知、封じ込め、根絶、回復、コミュニケーションのための的確な行動が含まれている。
• Implementing multi-factor authentication (MFA). Implementing MFA is crucial for preventing unauthorised access. MFA requires users to provide multiple forms of authentication, reducing the risk of credential theft and illegal access to critical data. Financial organisations should require MFA for both employee and customer access to vital systems and data.	• 多要素認証（MFA）を導入する。MFAの導入は、不正アクセスを防止する上で極めて重要である。MFAは、ユーザーに複数の認証フォームを提供することを要求し、クレデンシャルの盗難や重要データへの不正アクセスのリスクを低減する。金融機関は、重要なシステムやデータへの従業員と顧客の両方のアクセスにMFAを義務付けるべきである。
• Robust third-party risk management. Financial institutions must assess the cybersecurity posture of their vendors and partners throughout the financial ecosystem. This includes requiring security audits from third parties, implementing stricter data-sharing protocols and conducting penetration testing to identify and mitigate potential weaknesses in the supply chain. Moreover, hardening system and cloud configurations and secure software and hardware development should be prioritised.	• 強固なサードパーティリスク管理。金融機関は、金融エコシステム全体を通じて、ベンダーやパートナーのサイバーセキュリティ態勢を評価しなければならない。これには、サードパーティによるセキュリティ監査の義務付け、より厳格なデータ共有プロトコルの導入、サプライチェーンにおける潜在的な弱点を特定し緩和するための侵入テストの実施などが含まれる。さらに、システムおよびクラウドの設定を強化し、安全なソフトウェアおよびハードウェアの開発を優先すべきである。
• Collaboration and information sharing. Collaboration and information sharing among financial institutions enhance overall cybersecurity resilience. Participation in industry forums, threat intelligence sharing platforms and public–private partnerships help institutions stay current on emerging threats and best practices.	• コラボレーションと情報共有金融機関同士の連携と情報共有は、サイバーセキュリティ全体のレジリエンスを高める。業界フォーラム、脅威インテリジェンス共有プラットフォーム、官民パートナーシップへの参加は、機構が新たな脅威やベストプラクティスについて最新の情報を得るのに役立つ。

 

 

図5：欧州金融セクターで観測された脅威（2023年1月～2024年6月） 

 

図6：欧州の金融セクターに対する脅威（脅威ごとのインシデント数、2023年1月～2024年6月）

 

図14：NIS指令に基づき2023年に報告された重大な影響を及ぼすインシデント

 

図18：欧州金融事業体への影響（結果）（2023年1月～2024年6月）

 

 

 

 

---

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.09 欧州 ENISA 欧州連合におけるサイバーセキュリティの状況に関する報告書（2024）(2024.12.03)

・2024.11.25 欧州 ENISA NIS投資報告書 2024

・2024.09.26 ENISA 脅威状況2024

・2024.03.18 ENISA テレコム・セキュリティ・インシデント 2022

・2023.12.09 ENISA トラストサービス・セキュリティインシデント 2022年 (2023.11.30)

・2023.11.18 ENISA EUにおけるサイバーセキュリティ投資 2023

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

・2023.09.20 ENISA 2030の脅威の展望 (2023.09.13)

・2023.09.04 ENISA 海底ケーブルのセキュリティ上の課題

・2023.07.10 ENISA 健康分野のサイバーセキュリティ状況 (2023.07.05)

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17

 

 

 

 

 

 

 

 

 

英国 会計検査院 イングランドの地方公共団体の監査報告書を探すツール (2025.02.21)

こんにちは、丸山満彦です。

イングランドの地方公共団体の監査報告書を視覚的に探せるツールが紹介されていますね...これはよいですね...こういうツールは日本でもあるとよいですね...

誰が使うのって？それは全国の地方公共団体の監査をしている人や、住民です。議会や行政の職員にとっても有益でしょうね。そして監査の研究者にとっても有益かもです。

スクリーンショットですが、こんな感じ...

 

● U.K. National Audit Office; NAO

・2025.02.21 Find a local public body’s audit report

 

Find a local public body’s audit report	地方公共団体の監査報告書の検索
About this tool	このツールについて
Each year, local auditors give an opinion on local public bodies’ financial statements and assess whether they have proper arrangements in place to secure value for money (VFM). Depending on their findings:	毎年、地方監査人は地方公共団体の財務諸表について意見を述べるとともに、地方公共団体に対 価（VFM）を確保するための適切な取り決めがあるかどうかを評価する。
where auditors are not satisfied that financial statements give a true and fair view, they issue a non-standard audit report	監査人が、財務諸表が真正かつ公正な見解であると納得しない場合、監査報告書は標準外監査報告書となる
a non-standard audit report may also be issued where the auditor decides to draw attention to a matter that they consider readers of the financial statements should be aware of	監査人が、財務諸表の読者が留意すべきと考える事項について注意を喚起することを決定した場合、標準外監査報告書が発行されることもある
from 2020-21, under the Code of Audit Practice (the Code), where auditors identify a significant weakness in the body’s arrangements to secure VFM, they report this matter and raise a recommendation in relation to the issue(s). Previously, under the 2015 Code relevant to audits up to and including 2019-20, the auditor would have issued a qualified VFM conclusion where they were not satisfied with the body’s VFM arrangements	2020-21年からは、監査実施規範（規範）に基づき、監査人が団体のVFM確保のための取決めに重大な弱点があることを確認した場合、監査報告書はこの問題を報告し、その問題に関して勧告を行う。以前は、2019-20年までの監査に関連する2015年コードでは、監査人は団体のVFMの取り決めに満足していない場合、適格VFM結論を出していた
Use this map to see explore auditor reporting locally in the NHS in England.	このマップを使用して、イングランドのNHSで監査人の報告を探る。
The map has been updated to reflect 2022-23 and 2023-24 auditor reports for NHS providers and commissioners.	このマップは、NHSプロバイダと委託業者に対する2022-23年と2023-24年の監査報告を反映するために更新された。
Local government	地方政府
Minister Jim McMahon of the Ministry of Housing, Communities and Local Government (MHCLG) issued a statement (30 July 2024) setting out the Government’s proposals, together with Financial Reporting Council (FRC) and the National Audit Office (NAO), to address the local audit backlog in local government and the intention to lay secondary legislation amending the Accounts and Audit Regulations (2015) and to lay a new Code of Audit Practice. Previously, there was no statutory duty on auditors to give an opinion on the financial statements by a particular deadline.	住宅・コミュニティ・地方政府省（MHCLG）のジム・マクマホン大臣は、財務報告評議会（FRC）および国家監査院（NAO）と共に、地方政府における監査バックログに対処するための政府の提案と、会計監査規則（2015年）を改正する二次法の制定、および新たな監査実施基準の制定を行う意向を示す声明を発表した（2024年7月30日）。以前は、監査人に対し、特定の期限までに財務諸表に対する意見を表明する法的義務はなかった。
MHCLG has since issued The Accounts and Audit (Amendment) Regulations 2024 that set out a series of statutory deadlines for years up to and including 2027-28 known as ‘backstop’ dates before which local bodies should publish audited accounts, and by which auditors are required to give their opinion on the financial statements. This means that for any given year, there is a date by which almost all local government bodies would have had their audits completed and the outcome published, even if that means the opinion is qualified or disclaimed (modified). These backstop dates are intended to achieve a balance between restoring timely audit and returning to unmodified audit opinions for the vast majority of bodies. The NAO’s C&AG has also issued a revised Code of Audit Practice which is intended to support measures to address the backlog.	MHCLGはその後、2024年会計監査規則（The Accounts and Audit (Amendment) Regulations 2024）を発行し、2027年から28年までの「バックストップ（backstop）」と呼ばれる一連の法定期限を定め、その期限までに地方団体が監査済みの会計監査を公表し、監査人が財務諸表に対する意見を表明することを義務付けた。つまり、どの年度においても、ほとんど全ての地方自治体が監査を完了し、その結果を公表する期日があるということである。たとえそれが、監査意見が限定的なものであったり、否認（修正）されたものであったとしてもである。これらのバックストップ期日は、タイムリーな監査の回復と、大半の団体に対する修正なしの監査意見への回帰とのバランスを達成することを意図している。NAOのC&AGはまた、監査実施基準の改訂版も発行しており、これは滞留監査への対応策を支援することを意図している。
The first ‘backstop’ date for published audited accounts relating to financial years beginning 2015 through to 2022 was 13th December 2024. The next ‘backstop’ date for published audited accounts relating to financial year 2023 is 28th February 2025.	2015年から2022年までの会計年度に関する監査済み財務諸表の公表の最初の「バックストップ」期日は、2024年12月13日であった。2023会計年度に関連する監査済み決算の公表に関する次の「バックストップ」期日は、2025年2月28日である。
This tool will therefore be updated in due course for local auditor reporting relating to local government bodies for the years 2015 through to 2023 once the data has been received and to enable the tool to accurately reflect those bodies where audit reports/opinions were previously outstanding.	従って、このツールは、2015年から2023年までの会計年度に関する地方監査報告について、データが入手され、監査報告書／意見書が未提出の団体を正確に反映できるようになった時点で、順次更新される予定である。
How to use this tool	このツールの使い方
Local area colour shading	地域の色分け
In the mapping tool below, local areas are shaded in:	以下のマッピング・ツールでは、各地域の色分けがなされている：
green where auditors issued a standard audit report	監査人が標準監査報告書を発行した緑色
red where auditors issued a non-standard (modified) report or not satisfied with the body’s arrangements to secure VFM	監査人が非標準（修正）報告書を発行した赤色、またはVFMを確保するための団体の取り決めに満足していない赤色
Select options	オプションの選択
To explore the reports for these areas, make selections from the drop down options in the side bar:	これらの地域の報告書を調べるには、サイドバーのドロップダウン・オプションから選択する：
Select the type of local body you want the results for (e.g. NHS Provider).	結果を知りたい地方自治体の種類を選択する（例：NHSプロバイダ）。
Select the audit year. This tool covers 7 audit years.	監査年度を選択する。このツールは7つの監査年度をカバーしている。
Then choose which type of report you want to see (available report types are explained below):	次に、どの種類のレポートを見たいかを選択する（利用可能なレポートの種類については、以下で説明する）：
Report types	報告書の種類
Opinion on the financial statements	財務諸表に関する意見
This sets out whether the auditor is satisfied that:	この報告書は、監査人が以下の点に納得しているかどうかを示す：
financial statements give a true and fair view	財務諸表は真実かつ公正な表示をしている
income and expenditure is in accordance with relevant laws and regulations	収支は関連法規に従っている
the body can reasonably expect to continue to function for the foreseeable future, usually regarded as at least the next 12 months	当団体は予見可能な将来（通常、少なくとも今後12ヶ月間とみなされる）、機能し続けることが合理的に期待できる
Auditors may also decide to draw attention to an issue (emphasis of matter) that they consider readers of the financial statements should be aware of. For 2021-22 and 2022-23, all auditor reports of NHS clinical commissioning groups include an emphasis of matter drawing attention to the demise of these bodies on 30 June 2022 and commissioning responsibilities being transferred to the newly created integrated care boards from 1 July 2022 under the Health and Care Act 2022.	監査人は、財務諸表の読者が留意すべきと考える問題（強調事項）に注意を喚起することを決定することもできる。2021-22年と2022-23年については、NHSの臨床委員会グループの監査報告書にはすべて、2022年6月30日にこれらの団体が廃止され、2022年医療介護法（Health and Care Act 2022）に基づき、2022年7月1日から新たに設立される統合ケア委員会にコミッショニング責任が移管されることに注意を喚起する強調事項が含まれている。
Value for money arrangements	バリュー・フォー・マネーの取り決め
This sets out whether the auditor is satisfied that proper arrangements are in place to secure value for money.	監査人が、バリュー・フォー・マネーを確保するための適切な取り決めが行われていると納得しているかどうかを示す。
Additional reporting powers	追加的な報告権限
This sets out whether the auditor has used additional powers to bring an issue to the body’s or public’s attention.	監査人が、団体または公衆に問題を知らせるために追加的な権限を行使したかどうかを示す。
Click on a local area to view report	報告書を見るには、地域をクリックする
Zoom into the map using the + and – buttons or your mouse scroll wheel, then:	「＋」「-」ボタンまたはマウスのスクロールホイールを使って地図を拡大し、次のようにする
click on a red shaded local area on the map to see a non-standard report for that area	地図上の赤い網掛けの地域をクリックすると、その地域の非標準報告書が表示される
click on a green shaded local area on the map to see the standard audit report for that area	地図上の緑の網掛けの地域をクリックすると、その地域の標準監査報告書が表示される
A pop up box with a link to the report (PDF format) will appear.	報告書（PDF形式）へのリンクが記載されたポップアップボックスが表示される。
Alternatively, if you know the name of the local body, you use the drop down list on the left to select it. It will then be highlighted on the map and you can click to see the link to the report.	または、団体名がわかっている場合は、左のドロップダウンリストを使って選択する。すると、地図上でその自治体がハイライトされ、クリックすると報告書へのリンクが表示される。
Further information about auditor reports	監査報告書に関する詳細情報
Click on the “Types of auditor reporting” tab to read more about the types of auditor reporting and auditors’ additional powers and duties. Our Code of Audit Practice pages on the NAO website explain the changes to auditors’ work on VFM arrangements and reporting from financial year 2020-21.	「監査報告書の種類」タブをクリックすると、監査報告書の種類と監査人の追加権限・義務について詳しく読むことができる。NAOのウェブサイトにある監査実施規範のページでは、2020-21会計年度からのVFMの取り決めと報告に関する監査人の業務の変更について説明している。

 

英国 ケーススタディ：グリニッジ大学のNCSC認定のサイバーセキュリティ関連の学士と修士の学位

こんにちは、丸山満彦です。

英国のNCSCがサイバーセッキュリティ関連の学位を認定しているのですが、そのケーススタディーとして、グリニッジ大学の

・BSc Cyber Security & Forensics

・MSc Computer Forensics & Cyber Security

を紹介していますね...

このように、国が認定をして、宣伝してくれると、励みになるし、競争も高まって、非常に良い効果が生まれると思うんですよね...　

日本でも、ちゃんと認定基準をつくってやってみるというのもありかもですね...

 

● University of Greenwich

・Cyberに関連する学位...は７つあるようです。

 

まずは、

・BSc Cyber Security & Forensics

Cyber Security and Digital Forensics, BSc Hons	サイバーセキュリティおよびデジタルフォレンジック、理学士（優等学位）
This degree equips you with the investigative skills, tools and techniques that are fundamental to cyber security and digital forensics.	この学位では、サイバーセキュリティおよびデジタルフォレンジックに不可欠な調査スキル、ツール、テクニックを習得する。
On this degree, you will gain practical experience in using current generation tools and techniques for developing, maintaining, and designing secure systems. The modules you can study include Penetration Testing and Ethical Vulnerability Scanning, Computer Forensics, and Information Security.	この学位では、安全なシステムの開発、維持、設計に役立つ最新世代のツールやテクニックの使用に関する実践的な経験を得ることができる。学習可能なモジュールには、侵入テストおよび倫理的脆弱性スキャン、コンピュータフォレンジック、情報セキュリティなどがある。
You will learn about the security needs of networks, users and applications, and the forensic methods required for the collection and preservation of evidence. You will also explore the legal, social, ethical, and professional issues which can arise within security and forensics.	ネットワーク、ユーザー、アプリケーションのセキュリティニーズ、および証拠の収集と保全に必要な法医学的手法について学ぶ。また、セキュリティと法医学の分野で発生しうる法的、社会的、倫理的、専門的な問題についても探求する。
What you should know about this course	このコースで学ぶべきこと
You will develop knowledge of computer and organisational security, computer crime, police and forensic methods, and the requirements for collecting evidence.	コンピュータおよび組織のセキュリティ、コンピュータ犯罪、警察および法医学的手法、証拠収集の要件についての知識を習得する。
This degree allows you to master techniques for critically evaluating and modelling the security, performance and quality of security systems.	この学位を取得すると、セキュリティ、パフォーマンス、セキュリティシステムの品質を評価し、モデリングするための技術を習得することができる。
University of Greenwich is an academic partner with The Council for Registered Ethical Security Testers (CREST).	グリニッジ大学は、公認倫理セキュリティテスター評議会（CREST）の学術パートナーである。
The degree is fully certified by the National Cyber Security Centre (NCSC), a part of GCHQ.	この学位は、GCHQの一部である国立サイバーセキュリティセンター（NCSC）によって完全に認定されている。
Full Time	全日制
Year 1	1年
Students are required to study the following compulsory modules.	学生は、以下の必修科目を履修する必要がある。
Computer and Communication Systems (15 credits)	コンピュータおよびコミュニケーションシステム（15単位）
Paradigms of Programming (30 credits)	プログラミングのパラダイム（30単位）
Algorithms and Data Structures (15 credits)	アルゴリズムとデータ構造（15単位）
Introduction to Compilers (15 credits)	コンパイラの序文（15単位）
Principles of Software Engineering (15 credits)	ソフトウェアエンジニアリングの原則（15単位）
Mathematics for Computer Science (15 credits)	コンピュータサイエンスのための数学（15単位）
Advanced Mathematics for Computer Science (15 credits)	コンピュータサイエンスのための高度な数学（15単位）
Year 2	2年目
Students are required to study the following compulsory modules.	学生は以下の必修科目を履修することが求められる。
Advanced Programming (15 credits)	高度なプログラミング（15単位）
Introduction to Computer Forensics (15 credits)	コンピュータ・フォレンジックの序文（15単位）
Computer Networks (15 credits)	コンピュータ・ネットワーク（15単位）
Operating Systems (15 credits)	オペレーティング・システム（15単位）
Information Security (15 credits)	情報セキュリティ（15単位）
Advanced Algorithms and Data Structures (15 credits)	高度なアルゴリズムとデータ構造（15単位）
Computational Methods and Numerical Techniques (30 credits)	計算方法と数値技術（30単位）
Year 3	3年目
Students are required to study the following compulsory modules.	学生は以下の必修科目を履修することが求められる。
Penetration Testing and Ethical Vulnerability Scanning (15 credits)	侵入テストと倫理的脆弱性スキャン（15単位）
Final Year Projects (60 credits)	最終年度プロジェクト（60単位）
Computer Forensics 3 (15 credits)	コンピュータ・フォレンジック3（15単位）
Network Security (15 credits)	ネットワーク・セキュリティ（15単位）
Coding and Cryptography (15 credits	暗号化と暗号理論（15単位

 

 

次に...

・MSc Computer Forensics & Cyber Security

Computer Forensics and Cyber Security, MSc<	コンピュータ・フォレンジックおよびサイバーセキュリティ、修士号
Our professionally accredited Master's in Computer Forensics and Cyber Security covers cybercrime, police and forensic methods, alongside computer software and hardware.	コンピュータ・フォレンジックおよびサイバーセキュリティの修士号は、サイバー犯罪、警察、フォレンジックの手法、コンピュータ・ソフトウェアおよびハードウェアをカバーする専門的に認定された修士号である。
Our Computer Forensics and Cyber Security course allows students to familiarise themselves with the most recent technologies, scientific innovations and best practice in protecting digital infrastructures, from enterprise networks to Internet of Things environments. Students are also trained on modern tools and methodologies for conducting digital forensics investigations, spanning the whole range from the collection of evidence to analysis and acting as expert witnesses.	コンピュータ・フォレンジックおよびサイバーセキュリティコースでは、エンタープライズネットワークからモノのインターネット環境に至るまで、デジタルインフラの防御における最新のテクノロジー、科学的革新、ベストプラクティスに精通することができます。また、学生はデジタルフォレンジック調査を実施するための最新ツールや方法論についても学び、証拠の収集から分析、専門家証人としての活動に至るまで、その全範囲にわたってトレーニングを受ける。
This course is suitable for both newcomers to computer security and computer forensics and practitioners who wish to further their skills. It covers practical skills for network security, penetration testing and digital forensics, as well as the theory and scientific basis that underpins everyday practice. It also ensures that students have a basic understanding of the legal and regulatory requirements and the standards pertaining to computer security.	このコースは、コンピュータセキュリティおよびコンピュータフォレンジックの初心者から、さらなるスキルアップを目指す実務者まで、幅広い方々を対象としている。ネットワークセキュリティ、侵入テスト、デジタルフォレンジックの実践的なスキルをカバーするほか、日常的な実践を支える理論と科学的根拠についても学ぶ。また、受講者は、コンピュータセキュリティに関する法的および規制上の要件と標準について、基本的な理解を深めることができる。
This programme has been accredited by BCS, The Chartered Institute for IT, to partially fulfil the academic requirement for registration as a Chartered IT Professional. Additionally, it has also been accredited by BCS, The Chartered Institute for IT, on behalf of the Engineering Council, to partially fulfil the academic requirement for registration as a Chartered Engineer.	このプログラムは、英国勅許IT協会（BCS）により、勅許ITプロフェッショナル登録のための学術的要件の一部を満たすものとして認定されている。さらに、英国勅許IT協会（BCS）は、エンジニアリング・カウンシル（Engineering Council）の代理として、このプログラムが勅許エンジニア登録のための学術的要件の一部を満たすものとしても認定している。
What you should know about this course	このコースについて知っておくべきこと
Throughout this course you will study cyber security and digital forensics, system administration and security.	このコースでは、サイバーセキュリティとデジタル・フォレンジック、システム管理とセキュリティについて学習する。
You will learn how to apply police and forensic methods to detecting cyber crime, using related software and hardware technologies.	関連するソフトウェアやハードウェア技術を使用して、サイバー犯罪の検知に警察や科学捜査の手法を適用する方法を学ぶ。
This course includes hands-on training in current forensic tools as used by the police. Students can therefore contribute quickly to the well-being of corporate IT and informational assets.	このコースには、警察が使用する最新の科学捜査ツールを用いた実習トレーニングが含まれている。そのため、学生は企業のITおよび情報資産の健全性に迅速に貢献することができる。
University of Greenwich is an academic partner with The Council for Registered Ethical Security Testers (CREST) and with the Chartered Institute of Information Security (CIISec).	グリニッジ大学は、公認倫理セキュリティテスター評議会（CREST）および公認情報セキュリティ協会（CIISec）の学術パートナーである。
The degree is provisionally certified by the National Cyber Security Centre (NCSC), a part of GCHQ.	この学位は、GCHQの一部である国立サイバーセキュリティセンター（NCSC）により暫定的に認定されている。
Studying a master's in computing and computer science	コンピューティングおよびコンピュータサイエンスの修士課程
Full Time	フルタイム
Year 1	1年
Students are required to study the following compulsory modules.	学生は以下の必修科目を履修することが求められる。
MSc Project (60 credits)	MScプロジェクト（60単位）
Cyber Security (15 credits)	サイバーセキュリティ（15単位）
Audit and Security (15 credits)	監査とセキュリティ（15単位）
System Administration and Security (15 credits)	システム管理とセキュリティ（15単位）
Cyber Crime and Digital Forensics (15 credits)	サイバー犯罪とデジタル・フォレンジック（15単位）
Managing IT Security and Risk (15 credits)	ITセキュリティとリスクマネジメント（15単位）
Network and Internet Technology and Design (15 credits)	ネットワークとインターネット技術と設計（15単位）
Essential Professional and Academic Skills for Masters Students	修士課程学生のための必須の専門的および学術的スキル
Students are required to choose 15 credits from this list of options.	学生は、オプションのリストから15単位を選択することが求められる。
Mobile Application Development (15 credits)	モバイルアプリケーション開発（15単位）
Software Tools and Techniques (15 credits)	ソフトウェアツールとテクニック（15単位）
Advanced Database Technologies (15 credits)	高度なデータベース技術（15単位）
Students are required to choose 15 credits from this list of options.	学生は、このオプションリストから15単位を選択する必要がある。
Network Architectures and Services (15 credits)	ネットワークアーキテクチャとサービス（15単位）
Penetration Testing (15 credits)	侵入テスト（15単位）
Wireless and Mobile Technologies (15 credits)	ワイヤレスおよびモバイルテクノロジー（15単位）

 

---

 

ところで... 日本でセキュリティ人材が不足して言われて少なくとも20年？

2003年の情報セキュリティ総合戦略[PDF]を策定する際からその話は言われていたし、NISCに出向していた時も常に人材不足だったし、今でも人材育成の政府のWGでいろいろと検討しているし...

情報セキュリティ総合戦略では次のような表現が（30/75）にあります

---

（２）人材育成
①情報セキュリティに関わる多面的な実務家・専門家の育成手法の検討
②プロフェッショナル向け資格認定制度のあり方の検討
③セキュリティインシデント対応機関におけるセキュリティ技術者研修の実施
④情報セキュリティ分野の研究・教育人材の育成

---

具体的な施策については（37-39/75）に書かれています...

---

（２）人材の育成

情報セキュリティ人材の育成を行うための取り組みは遅れている。人材育成には時間を要すること、また多様な人材像（コンサルタント、システムエンジニア、アナリスト、オペレータ等）が求められることから、多岐に渡る経年的な対策が必要である。

また、いわゆるセキュリティ技術者の育成に努めることが重要なのは当然であるが、それに加え、企業の情報セキュリティ最高責任者（CISO）25や IT 分野に強い法律家など、多面的な実務家・専門家の人材も不足していることから、そうした人材育成にも焦点を当てることも必要である。

なお、ここで提示する具体策の効果は、企業・個人の事前予防策だけでなく、政府・自治体、重要インフラにも、また事故対応対策にも及ぶものである。

---

もちろん、いろいろと成果もでているんです。

ただ、サイバーセキュリティ分野の重要性の拡大に追いついていない...

 

さて、現在の英国に戻ると、英国では、NCSC（日本でいうところの、これからのNISCのようなところ）が、大学を認定するということをしていますね...  グリニッジ大学もその一つということですね...

 

● NCSC

・2025.02.19 Case study: The University of Greenwich

・・[PDF]

Case study: The University of Greenwich	ケーススタディ：グリニッジ大学
Greenwich University recognised as an ‘Academic Centre of Excellence’ for both Cyber Security Education (ACE-CSE) and Cyber Security Research (ACE-CSR).	グリニッジ大学は、サイバーセキュリティ教育（ACE-CSE）およびサイバーセキュリティ研究（ACE-CSR）の両方で「学術センター・オブ・エクセレンス」として認められた。
At a glance:	概要：
・‘BSc Cyber Security & Forensics’ and ‘MSc Computer Forensics & Cyber Security’ degrees certified by the NCSC.	・NCSC認定の「BScサイバーセキュリティ＆フォレンジック」および「MScコンピュータ・フォレンジック＆サイバーセキュリティ」の学位。
・Certification reinforces the university’s commitment to maintaining the highest academic standards and attracts talented candidates.	・認定により、大学は最高水準の学術的標準を維持するというコミットメントを強化し、優秀な人材を惹きつけることができる。
・Provides graduates with a competitive edge, as employers recognise the value of NCSC-certified degrees.	・NCSC認定の学位の価値が雇用者に認められることで、卒業生に競争優位性をもたらす。
・Strengthens the university’s partnerships with industry, government and international universities, broadening research opportunities.	・産業界、政府、国際大学との提携を強化し、研究機会を拡大する。
・Connects the university with a network of other certified universities, helping the exchange of research and best practice.	・他の認定大学とのネットワークに大学を結びつけ、研究やベストプラクティスの交換を促進する。
In 2024, the University of Greenwich achieved an ‘ACE-CSE Silver Award’ and was also recognised as an ‘Academic Centre of Excellence for Cyber Security Research’. These awards from the UK’s National Cyber Security Centre (NCSC) recognise Higher Education Institutions (HEIs) that demonstrate a commitment to delivering exceptional cyber security education and research on campus and beyond, and help universities to attract high quality students from around the world.	2024年には、グリニッジ大学は「ACE-CSE シルバーアワード」を獲得し、「サイバーセキュリティ研究における卓越した学術センター」としても認められた。英国の国立サイバーセキュリティセンター（NCSC）によるこれらの賞は、優れたサイバーセキュリティ教育と研究をキャンパス内外で提供することに尽力している高等教育機関（HEI）を認定するものであり、大学が世界中から質の高い学生を惹きつけることを支援する。
Strengthening the UK's cyber security	英国のサイバーセキュリティの強化
The ACE-CSE programme provides HEIs with the opportunity to join a network of universities with similar recognition. It encourages the exchange of knowledge and best practices while collaborating towards common goals of strengthening the UK's cyber security, and better preparing its citizens to tackle today’s cyber security challenges.	ACE-CSEプログラムは、高等教育機関に同様の認定を受けた大学ネットワークへの参加機会を提供する。英国のサイバーセキュリティ強化という共通の目標に向けて協力しながら、知識とベストプラクティスの交換を促進し、今日のサイバーセキュリティの課題に取り組むための市民の準備を整える。
Since its inception in 2020, the ACE-CSE programme has welcomed 16 universities to its community. The University of Greenwich marked its first success in 2021 when their ‘BSc Cyber Security & Forensics’ degree gained provisional certification and is now fully certified. The ‘MSc Computer Forensics & Cyber Security’ degree, was awarded provisional certification in 2022.	2020年の開始以来、ACE-CSEプログラムは16の大学をコミュニティに迎え入れている。グリニッジ大学は、2021年に「BSc Cyber Security & Forensics（サイバーセキュリティおよびフォレンジック学）」の学位が暫定認定を受け、現在は完全認定を受けている。「MSc Computer Forensics & Cyber Security（コンピュータ・フォレンジックおよびサイバーセキュリティ学）」の学位は、2022年に暫定認定を受けた。
Chris Ensor, NCSC Deputy Director for Cyber Growth, said:	NCSCのサイバー成長担当副ディレクターであるクリス・エンサー氏は次のように述べた。
For the UK to prosper in the digital age, it’s vital for the next generation of cyber security professionals to have the skills and experience needed to keep people safe online.	英国がデジタル時代に繁栄するためには、次世代のサイバーセキュリティの専門家が、人々をオンラインで安全に保つために必要なスキルと経験を身につけることが不可欠である。
That’s why I’m delighted to see more university courses certified for providing first-rate education in cyber security. In addition, achieving distinctions for both cyber security excellence and research in a 12-month period is a testament to the hard work and dedication of the University of Greenwich.	だからこそ、サイバーセキュリティの優れた教育を提供している大学コースがさらに認定されることを嬉しく思う。また、12か月間でサイバーセキュリティの卓越性と研究の両方で認定を取得することは、グリニッジ大学の努力と献身の証である。
The University of Greenwich is one of only 9 universities with both ACE recognitions. The certification highlights their commitment to delivering exceptional education and research, which enhances their credibility and attractiveness to both prospective students and industry partners.	グリニッジ大学は、両方のACE認定を受けている9校の大学のうちの1校である。この認定は、優れた教育と研究の提供に対する同大学の取り組みを強調するものであり、同大学の信頼性と魅力を、入学希望者や産業界のパートナーの両方に高めるものである。
Advice for universities considering joining the ACE programme	ACEプログラムへの参加を検討している大学へのアドバイス
Greenwich advise future applicants “to plan early and strategically decide to invest in cyber security staff, equipment and external partnerships.	グリニッジ大学は、今後申請する大学に対して、「早めに計画を立て、サイバーセキュリティのスタッフ、設備、外部パートナーシップへの投資を戦略的に決定すべきである」と助言している。
“Not only does the certification provide students with valuable, recognised credentials that will advance their careers, but the process itself offers a chance to refine a university’s programmes.”	「この認証は学生にキャリアアップにつながる貴重な認定資格を与えるだけでなく、そのプロセス自体が大学のプログラムを改善するチャンスとなる。
“We had been preparing for it for around 5 years through strategic recruitment, positioning of programmes and engagement with industry and senior Higher Education Institution (HEI) management. The benefits are well worth the effort.	「私たちは戦略的な人材採用、プログラムの位置づけ、産業界および高等教育機関（HEI）の上級管理職との連携を通じて、約5年間にわたって準備を進めてきた。その努力は十分に報われる。
“Additionally, the process also highlighted the benefits of a thorough internal review, helping us to identify areas for improvement and strengthen our overall approach to cyber security education. These insights have significantly enhanced our programmes and better positioned us to support our students' success.”	「さらに、このプロセスは徹底的な内部評価のメリットを浮き彫りにし、改善が必要な分野を識別し、サイバーセキュリティ教育に対する全体的なアプローチを強化するのに役立った。こうした洞察は、当校のプログラムを大幅に改善し、学生の成功を支援する体制を整えるのに役立った。
The value of NCSC-certified programmes	NCSC認定プログラムの価値
Prof Georgia Sakellari, Professor of Networked Systems and ACE-CSE Director at the University of Greenwich:	グリニッジ大学ネットワークシステム教授、ACE-CSEディレクター、ジョージア・サケラリ教授：
Certification reinforced our commitment to maintaining the highest academic standards, ensuring our programmes are both industry-relevant and future-focused.	認定は、最高水準の学術的標準を維持するという私たちの取り組みを強化し、私たちのプログラムが業界に関連し、かつ将来を見据えたものであることを保証してくれました。
It also supported our mission to provide students with an education that equips them with the skills they need for their future lives. It gives them confidence that their education is both relevant and current, setting their degree apart and making them more competitive when applying for cyber security jobs. It will inevitably enhance their employability and career prospects in a rapidly growing industry, providing them with a competitive edge in the job market, as employers recognise the value of an NCSC certified programme.	また、学生たちに将来の生活に必要なスキルを身につけさせるという当校の使命を支えてくれるものでもあります。学生たちは、自分たちの教育が関連性があり、かつ最新のものであるという自信を持つことができ、学位が際立ち、サイバーセキュリティ関連の職に就く際に競争力を高めることができます。NCSC認定プログラムの価値が雇用者に認められることで、急速に成長する業界において、学生たちの就職可能性とキャリアの見通しが確実に向上し、労働市場における競争力を高めることができるでしょう。
The NCSC certification also constitutes recognition of our investment in cyber security academics and equipment as we recognise the national importance of a strong cyber security workforce. It is a significant acknowledgment of this commitment, and it was crucial for us to showcase these high standards to both our current and prospective students as well as the broader academic community. It also strengthens our partnerships with industry, government, and other universities in the UK and abroad, opening new opportunities for research and collaboration.	NCSCの認定は、サイバーセキュリティの学問と設備への投資が認められたことを意味する。また、強固なサイバーセキュリティ人材の育成が国家的に重要であることを認識している。これは、この取り組みに対する重要な評価であり、現学生および入学希望者、そしてより幅広い学術コミュニティに対して、これらの高い標準を示すことが重要であった。また、英国および海外の産業界、政府、他の大学とのパートナーシップを強化し、研究と協力の新たな機会を開くことにもなる。

 

 

欧州 ENISA ENISA単一計画文書 2025 - 2027 (2025.02.5, 18)

こんにちは、丸山満彦です、

ENISAが、ENISA単一計画文書 2025 - 2027の総合版と2025年の実行計画（総合版のセクションIIIを抜き出したもの）を公表していますね...

 

● ENISA

総合版から...

・2025.02.05 ENISA Single Programming Document 2025-2027

・[PDF]

 

前書き...

FOREWORD	まえがき
This Single Programming Document (SPD) for the years 2025-2027 outlines the steps ENISA will take to enhance the maturity and resilience of cybersecurity in the EU.	2025年から2027年にかけての本シングル・プログラミング・ドキュメント（SPD）は、ENISAがEUにおけるサイバーセキュリティの成熟度とレジリエンスを高めるためにとる措置の概要を示している。
Firstly, as the EU took legislative steps to strengthen its cybersecurity framework with the aim of protecting its economy, society and everyday life across Europe, the strategy of the Agency was revised accordingly by the Management Board in 2024 to further clarify and amend the Agency’s priorities and focus. This program thus includes the new indicators to measure the success of its strategic objectives. At the same time, the Agency streamlined its operational activities and adjusted its organizational structure to more effectively manage these activities and improve its capacity to deliver more efficiently.	第一に、欧州全域の経済、社会、日常生活を保護することを目的として、EUがサイバーセキュリティの枠組みを強化するための立法措置を講じたことから、2024年の経営委員会により、ENISAの優先事項と焦点をさらに明確化し修正するために、ENISAの戦略が適宜改訂された。このプログラムには、戦略目標の成功を測るための新たな指標が含まれている。同時に、ENISAは業務活動を合理化し、これらの活動をより効果的に管理し、より効率的に業務を遂行する能力を改善するために、組織構造を調整した。
Secondly, approximately half of ENISA’s operational resources are allocated towards enabling operational cooperation between Member States, including through dynamic and improved common situational awareness. The contribution agreement of EUR 20 million from the EU budget, for which the European Commission entrusted ENISA to manage in Autumn 2023, will enable the Agency to continue to scale up and expand its support to EU Member States in 2025 and 2026. Furthermore in the end of 2024, the Agency and the European Commission signed another Contribution Agreement, which includes EUR 12 million for the establishment, management of the CRA Single Reporting Platform and EUR 2.55 million for the continuation of the Support Action, which will be implemented by 31st December 2027. The combination of these measures will enable Member States to identify potential cyber risks, assess serious vulnerabilities and take timely action to mitigate attacks and respond effectively to threats.	第二に、ENISAの運営資源の約半分は、動的な共通状況認識の改善などを通じて、加盟国間の業務協力を可能にするために割り当てられている。2023年秋に欧州委員会がENISAに管理を委託した、EU予算からの2,000万ユーロの拠出合意により、ENISAは2025年と2026年もEU加盟国への支援を拡大し、規模を拡大していくことが可能となる。さらに2024年末、同局と欧州委員会は、CRA単一報告プラットフォームの設立・管理費用1,200万ユーロと、2027年12月31日までに実施される支援措置の継続費用255万ユーロを含む、新たな拠出協定に調印した。これらの措置の組み合わせにより、加盟国は潜在的なサイバーリスクを特定し、深刻な脆弱性を評価し、攻撃を緩和し脅威に効果的に対応するための対策を適時に講じることができるようになる。
Thirdly, through this work program ENISA has strengthened its capabilities and capacities to support EU Member States with implementation of the NIS2 Directive, the Cyber Resilience Act and the Cyber Solidarity Act, as well as ensuring the EU cybersecurity certification framework is implemented efficiently.	第三に、ENISAは、この作業プログラムを通じて、NIS2指令、サイバーレジリエンス法、サイバー連帯法の実施、およびEUサイバーセキュリティ認証の枠組みの効率的な実施を確保するために、EU加盟国を支援する能力と能力を強化した。
Through cooperation with Member States and Union bodies, private and public organizations, and various cyber communities as well as through synergies with like-minded international partners, ENISA strives to ensure a secure and trusted digital environment for all businesses and citizens in Europe in the complex geopolitical context and the evolving threat landscape of 2025.	加盟国やEU団体、民間・公的機関、さまざまなサイバーコミュニティとの協力や、志を同じくする国際的パートナーとの相乗効果を通じて、ENISAは、複雑な地政学的背景や2025年の脅威の状況の進展の中で、欧州のすべてのビジネスと市民のために安全で信頼されるデジタル環境を確保するよう努めている。

ミッションと戦略

MISSION STATEMENT	ミッション・ステートメント
The mission of the European Union Agency for Cybersecurity (ENISA) is to achieve a high common level of cybersecurity across the Union in cooperation with the wider community. It does this through acting as a centre of expertise on cybersecurity, collecting and providing independent, high-quality technical advice and assistance on cybersecurity matters to Member States and EU institutions, bodies and agencies (Union entities). It contributes to the development and implementation of the Union’s cybersecurity policies.	欧州連合サイバーセキュリティ機関（ENISA）の使命は、より広範なコミュニティと協力して、欧州連合全体で高い共通レベルのサイバーセキュリティを達成することである。これは、サイバーセキュリティに関する専門知識の中心としての役割を果たし、サイバーセキュリティに関する独立した質の高い技術的助言と支援を収集し、加盟国およびEUの機関、団体、機構（EU事業体）に提供することを通じて実現される。また、EUのサイバーセキュリティ政策の策定と実施に貢献している。
ENISA’s aim is to strengthen trust in the connected economy, to boost resilience and trust in the Union’s infrastructure and services, and to keep European society and citizens digitally secure. The Agency aspires to be an agile, environmentally and socially responsible organisation focused on people.	ENISAの目的は、コネクテッド・エコノミーに対する信頼を強化し、EUのインフラとサービスに対するレジリエンスと信頼を高め、欧州社会と市民のデジタルセキュリティを維持することである。ENISAは、人に焦点を当てた、機敏で環境的・社会的に責任のある組織を目指している。
ENISA STRATEGY	ENISAの戦略
HORIZONTAL OBJECTIVES	水平的目標
STRATEGIC OBJECTIVE: ‘Empowered communities in an involved and engaged cyber ecosystem’	戦略目標：「参加し、関与するサイバー・エコシステムにおいて、エンパワーされたコミュニティ」
Cybersecurity is a shared responsibility. Europe strives for a cross-sectoral, all-inclusive framework for cooperation. ENISA plays a vital role in fostering cooperation among cybersecurity stakeholders (Member States, Union entities, and other communities). In its efforts, ENISA emphasises complementarity, engages stakeholders based on their expertise and roles in the ecosystem and creates new synergies. The goal is to empower communities to enhance cybersecurity efforts exponentially through strong multipliers across the EU and globally.	サイバーセキュリティは共有の責任である。欧州は、分野横断的で包括的な協力の枠組みを目指している。ENISAは、サイバーセキュリティの利害関係者（加盟国、事業体、その他のコミュニティ）間の協力を促進する上で重要な役割を果たしている。その取り組みにおいて、ENISA は相互補完性を重視し、エコシステムにおける各自の専門性と役割に基づいて利害関係者を関与させ、新たな相乗効果を生み出している。その目標は、EU全域およびグローバルな強力な乗数を通じて、サイバーセキュリティへの取り組みを飛躍的に強化するコミュニティを強化することである。
STRATEGIC OBJECTIVE: ‘Foresight on emerging and future cybersecurity opportunities and challenges’	戦略的目標：「サイバーセキュリティの新たな機会や将来の課題に関する先見性」
New technologies, still in their infancy or close to mainstream adoption, create novel cybersecurity opportunities and challenges that would benefit from the use of foresight methods. Strategic foresight is not only about technologies and should include additional dimensions, such as political, economic, societal, legal and environmental aspects to name a few. Through a structured process enabling dialogue among stakeholders and in coordination with other EU initiatives on research and innovation, foresight would be able to identify opportunities and support early mitigation strategies for challenges thus improving EU resilience to cybersecurity threats. To fully reach its goal, foresight should be addressed as a transversal principle across all ENISA’s strategic objectives.	まだ黎明期にあるか、主流になりつつある新技術は、先見性の手法を用いることで恩恵を受けるような、新たなサイバーセキュリティの機会や課題を生み出す。戦略的予見とは、技術に関するものだけでなく、政治、経済、社会、法律、環境などの側面も含むものである。関係者間の対話を可能にする構造化されたプロセスを通じて、また研究とイノベーションに関する他のEUのイニシアティブと連携して、フォーサイトは機会を特定し、課題に対する早期の緩和戦略を支援することができ、その結果、サイバーセキュリティの脅威に対するEUのレジリエンスを改善することができるだろう。その目標を完全に達成するために、フォーサイトは、ENISAのすべての戦略目標に横断的な原則として取り組むべきである。
STRATEGIC OBJECTIVE: ‘Consolidated and shared cybersecurity information and knowledge support for Europe’	戦略目標：「欧州のためのサイバーセキュリティ情報と知識の統合・共有支援」
Efficient, effective and consolidated information and knowledge is the foundation of informed decisionmaking, along with proactive and reactive protection and resilience based on a better understanding of the threat landscape. The much-needed common understanding and assessment of the EU’s cybersecurity maturity relies on information and knowledge. Consolidating and sharing cybersecurity information and knowledge strengthens the culture of cooperation and collaboration between communities and strengthens networks and partnerships.	効率的、効果的、統合された情報と知識は、脅威の状況のより良い理解に基づく予防的・事後的な保護とレジリエンスとともに、情報に基づいた意思決定の基盤である。EUのサイバーセキュリティ成熟度に関する共通の理解とアセスメントは、情報と知識に依存している。サイバーセキュリティに関する情報と知識を集約し共有することで、コミュニティ間の協力と協調の文化が強化され、ネットワークとパートナーシップが強化される。
VERTICAL OBJECTIVES	垂直的目標
STRATEGIC OBJECTIVE: ‘Support for effective and consistent implementation of eu cybersecurity policies’	戦略目標：「EUサイバーセキュリティ政策の効果的かつ一貫した実施を支援する」
Cybersecurity is a cornerstone of the digital transformation and it is an absolute requirement in the most critical sectors of the EU’s economy and society. It is also considered across a broad range of policy initiatives. To avoid fragmentation and inefficiencies, it is necessary to develop a coherent approach while taking into account the specificities of the various sectors and policy domains. ENISA’s advice, opinions and analyses aim at ensuring consistent, evidence-based and future-proof implementation, focussed on building up cyber resilience in critical sectors and supporting the Member States in tackling new risks for the Union.	サイバーセキュリティはデジタル変革の要であり、EUの経済・社会の最も重要な分野において絶対必要条件である。また、サイバーセキュリティは幅広い政策イニシアチブで検討されている。断片化や非効率を避けるためには、さまざまな部門や政策領域の特殊性を考慮しつつ、首尾一貫したアプローチを開発する必要がある。ENISAの助言、意見、分析は、重要セクターにおけるサイバーレジリエンスの構築に重点を置き、加盟国が当組合にとっての新たなリスクに取り組むのを支援することで、一貫した、エビデンスに基づく、将来性のある実施を確保することを目的としている。
STRATEGIC OBJECTIVE: ‘Effective Union preparedness and response to cyber incidents, threats, and cyber crises’	戦略目標：「サイバーインシデント、サイバー脅威、サイバー危機に対する効果的な準備と対応」
The benefits of the European digital economy and society can only be fully attained under the premise of cybersecurity. Cyberattacks know no borders. All layers of society can be impacted and the Union needs to be ready to respond to cyber threats and potential cyber crises. Cross-border interdependencies have highlighted the need for effective cooperation between Member States and Union entities for faster response times and proper coordination of efforts at the strategic, operational and technical levels. Understanding the ongoing situation is the key to be effectively prepared and to be able to respond to cyber incidents, threats and crises.	欧州のデジタル経済と社会がもたらす恩恵は、サイバーセキュリティを前提にして初めて十分に達成される。サイバー攻撃に国境はない。社会のあらゆる層が影響を受ける可能性があり、欧州連合はサイバー脅威や潜在的なサイバー危機に対応する態勢を整える必要がある。国境を越えた相互依存関係は、迅速な対応と戦略・運用・技術レベルでの適切な協調のために、加盟国と連合事業体との効果的な協力の必要性を浮き彫りにしている。現在進行中の状況を理解することは、効果的に備え、サイバーインシデント、脅威、危機に対応できる鍵となる。
STRATEGIC OBJECTIVE: ‘Strong cybersecurity capacity within the EU’	戦略目標：「EU域内の強力なサイバーセキュリティ能力」
The frequency and sophistication of cyberattacks is rising steadily while, at the same time, the use of digital infrastructures and technologies is increasing rapidly. The need for cybersecurity skills, knowledge and competences exceeds the supply. The EU is investing in building competences and talents in cybersecurity at all levels, from the non-expert to the highly skilled professional and across all sectors and age groups. ENISA addresses capacity building across the entire spectrum, by investing in young people through competence building and training whilst providing continuous up- and reskilling opportunities for professionals to enable them to keep up with the fast-changing nature of cybersecurity. The focus is not only on increasing the cybersecurity skillset in Member States and contributing to the objectives of the Cybersecurity Skills Academy, but also on making sure that various operational communities always possess the capacity to deal appropriately with the cyber threat landscape. Engaging closely with key players and multipliers in the EU is crucial to ensure adequate preparedness across sectors and borders, using the lessons learned from well-planned exercises effectively.	サイバー攻撃の頻度と精巧さは着実に上昇しており、同時にデジタルインフラや技術の利用も急速に増加している。サイバーセキュリティの技能、知識、能力に対するニーズは供給を上回っている。EUは、非専門家から高度な技能を持つ専門家まで、また、あらゆる部門や年齢層に至るまで、あらゆるレベルのサイバーセキュリティに関する能力と才能の育成に投資している。ENISAは、サイバーセキュリティの急速な変化に対応できるよう、専門家に対して継続的なスキルアップと再教育の機会を提供する一方で、能力構築と訓練を通じて若者に投資することで、全分野にわたる能力構築に取り組んでいる。加盟国のサイバーセキュリティ・スキルセットを向上させ、サイバーセキュリティ・スキルアカデミーの目標に貢献するだけでなく、さまざまな作戦地域がサイバー脅威の状況に適切に対処する能力を常に備えていることを確認することにも重点を置いている。よく計画された演習から得られた教訓を効果的に活用し、部門や国境を越えた十分な備えを確保するためには、EUの主要なプレーヤーやマルチプライヤーと緊密に連携することが極めて重要である。
STRATEGIC OBJECTIVE: ‘Building trust in secure digital solutions’	戦略目標：「安全なデジタル・ソリューションに対する信頼の構築」
Digital products and services bring benefits as well as risks, and these risks must be identified and mitigated. In the process of assessing the security of Information and Communication Technology (ICT) products, services and processes and ensuring their trustworthiness, a common European approach between social, market, research and foresight, economic and cybersecurity needs brings with it the possibility of influencing the international community by introducing a competitive edge. Using means such as cybersecurity-by-design, market surveillance and certification will enable both the enforcement and promotion of trust in digital solutions.	デジタル製品やサービスは、利益と同時にリスクももたらし、これらのリスクは特定され緩和されなければならない。情報通信技術（ICT）製品、サービス、プロセスのセキュリティをアセスメントし、その信頼性を確保するプロセスにおいて、社会、市場、研究、先見性、経済、サイバーセキュリティのニーズを結びつける欧州共通のアプローチは、競争力を導入することで国際社会に影響を与える可能性をもたらす。サイバーセキュリティ・バイ・デザイン、市場監視、認証などの手段を用いることで、デジタル・ソリューションの信頼性の確保と促進が可能になる。

 

目次...

SECTION I: GENERAL CONTEXT	セクション I： 一般的背景
SECTION II: MULTIANNUAL PROGRAMMING 2025-2027	セクション II: 多年度計画 2025-2027
2.1. MULTIANNUAL WORK PROGRAMME	2.1. 多年度作業計画
2.2. HUMAN AND FINANCIAL RESOURCES - OUTLOOK FOR 2025-2027	2.2. 人的・財政的資源 - 2025-2027 年の見通し
2.2.1. Overview of the past and current situations	2.2.1. 過去と現在の状況の概要
2.3. OUTLOOK FOR 2025-2027	2.3. 2025-2027 年の見通し
2.4. RESOURCE PROGRAMMING FOR 2025-2027	2.4. 2025-2027年の資源計画
2.4.1. Financial resources	2.4.1. 財源
2.4.2. Human resources	2.4.2. 人的資源
2.5. STRATEGY FOR ACHIEVING GAINS IN EFFICIENCY	2.5. 効率性の向上を達成するための戦略
SECTION III: WORK PROGRAMME FOR 2025	セクション III: 2025年に向けた作業計画
3.1. OPERATIONAL ACTIVITIES	3.1. 業務活動
3.2. CORPORATE ACTIVITIES	3.2. 組織活動
ANNEX	附属書
ANNEX 1: ORGANISATION CHART AS OF 31.12.2024	附属書1：12月31日現在の組織図。 2024
ANNEX 2: RESOURCE ALLOCATION PER ACTIVITY 2025-2027	附属書2：活動ごとの資源配分 2025-2027
ANNEX 3: FINANCIAL RESOURCES 2025-2027	附属書3：財源 2025-2027
ANNEX 4: HUMAN RESOURCES - QUANTITATIVE	附属書4：人的資源-定量的
ANNEX 5: HUMAN RESOURCES - QUALITATIVE	附属書5：人的資源-定性的
ANNEX 6: ENVIRONMENT MANAGEMENT	附属書6：環境管理
ANNEX 7: BUILDING POLICY	附属書7：建築方針
ANNEX 8: PRIVILEGES AND IMMUNITIES	附属書8：特権と免責
ANNEX 9: EVALUATIONS	附属書9：評価
ANNEX 10: STRATEGY FOR ORGANISATIONAL MANAGEMENT AND INTERNAL CONTROL SYSTEMS	附属書10：組織管理および内部制御システムに関する戦略
ANNEX 11: PLAN FOR GRANTS, CONTRIBUTIONS AND SERVICE-LEVEL AGREEMENTS	附属書11：補助金、拠出金、サービスレベル協定の計画
ANNEX 12: STRATEGY FOR COOPERATION WITH NON-EU COUNTRIES AND/OR INTERNATIONAL ORGANISATIONS	附属書12：非EU加盟国および／または国際機関との協力戦略
ANNEX 13: ANNUAL COOPERATION PLAN 2025	附属書13：2025年年間協力計画
ANNEX 14: PROCUREMENT PLAN 2025	附属書14：2025年調達計画

 

 

 

 

---

2025年計画版...

・2025.02.18 ENISA Single Programming Document 2025 - 2027 - Condensed version

・[PDF]

 

目次...

SECTION I: WORK PROGRAMME FOR 2025	セクション I： 2025年に向けた作業計画
1.1. OPERATIONAL ACTIVITIES	1.1. 業務活動
ACTIVITY 1: Support for policy monitoring and development	活動1: 政策の監視と展開の支援
ACTIVITY 2: Cybersecurity and resilience of critical sectors	活動2：重要セクターのサイバーセキュリティとレジリエンス
ACTIVITY 3: Capacity Building	活動3: キャパシティ・ビルディング
ACTIVITY 4: Enabling operational cooperation	活動4: 作戦協力の実現
ACTIVITY 5: Provide effective operational cooperation through situational awareness	活動5: 状況認識を通じた効果的な作戦協力の提供
ACTIVITY 6: Provide services for operational assistance and support	活動6: 作戦支援とサポートのためのサービスの提供
ACTIVITY 7: Supporting Development and maintenance of EU cybersecurity certification framework	活動7: EUサイバーセキュリティ認証枠組みの開発と保守の支援
ACTIVITY 8: Supporting European cybersecurity market, research & development and industry	活動8: 欧州サイバーセキュリティ市場、研究開発、産業の支援
1.2 CORPORATE ACTIVITIES	1.2 組織活動
ACTIVITY 9: Performance and sustainability	活動9: パフォーマンスと持続可能性
ACTIVITY 10: Reputation and Trust	活動10: 評判とトラスト
ACTIVITY 11: Effective and efficient corporate services	活動11: 効果的で効率的な組織サービス

 

 

英国 AI Safety Institute（AI安全機構）からAI Security Institute（AIセキュリティ機構）へ (2025.02.14)

こんにちは丸山満彦です。

英国の科学・イノベーション・技術省が所管しているAI Safety Instituteの名称が、AI Security Instituteに変わりましたね...ミュンヘン安全保障会議の中で発表されたようですね...

Securityはサイバーセキュリティのセキュリティというよりも、安全保障のSecurityの意味ですかね...

英国政府（科学・イノベーション・技術省）とAnthropictとの覚書についても発表していますね。ソブリンAIと作る？

● GOV.UK

・2025.02.14 Tackling AI security risks to unleash growth and deliver Plan for Change

Tackling AI security risks to unleash growth and deliver Plan for Change	AIセキュリティリスクに取り組み、成長を引き出し、変革のための計画を実現する
UK’s AI Safety Institute becomes ‘UK AI Security Institute’.	英国のAI安全機構が「英国AIセキュリティ機構」になる
・UK’s AI Safety Institute becomes ‘UK AI Security Institute’ - strengthening protections against the risks AI poses to national security and crime	・英国のAI安全研究所が「英国AIセキュリティ研究所」に - AIが国家安全保障と犯罪にもたらすリスクに対する防御を強化する
・Institute bolstered by new criminal misuse team, partnering with the Home Office, to research a range of crime and security issues which could harm UK citizens	・内務省と提携し、英国市民に危害を及ぼす可能性のあるさまざまな犯罪やセキュリティ問題を研究する犯罪悪用チームを新設することで、研究所を強化
・New agreement reached with AI giant Anthropic on AI opportunities to help grow the economy as part of our Plan for Change	・「変革のための計画」の一環として、経済成長を支援するAIの機会について、AI大手のAnthropicと新たな合意に達した
Safeguarding Britain’s national security - a key pillar of the government’s Plan for Change - and protecting citizens from crime - will become founding principles of the UK’s approach to the responsible development of artificial intelligence from today (Friday 14 February), as the Technology Secretary sets out his vision for a revitalised AI Security Institute in Munich.	政府の「変革のための計画」の重要な柱である英国の国家安全保障を守り、市民を犯罪から守ることは、本日2月14日（金）より、人工知能の責任ある開発に対する英国のアプローチの基本原則となり、保護技術長官がミュンヘンでAIセキュリティ研究所を活性化させる構想を示した。
Speaking at the Munich Security Conference and just days after the conclusion of the AI Action Summit in Paris, Peter Kyle has today recast the AI Safety Institute the ‘AI Security Institute’. This new name will reflect its focus on serious AI risks with security implications, such as how the technology can be used to develop chemical and biological weapons, how it can be used to carry out cyber-attacks, and enable crimes such as fraud and child sexual abuse.	ミュンヘン安全保障会議で、またパリでのAIアクション・サミット終了から数日後、ピーター・カイルは本日、AI安全保障機構を「AI安全保障機構」と改称した。この新しい名称は、化学兵器や生物兵器の開発、サイバー攻撃の実行、詐欺や児童虐待などの犯罪の可能性など、安全保障に関わる重大なAIリスクに焦点を当てることを反映している。
The Institute will also partner across government, including with the Defence Science and Technology Laboratory, the Ministry of Defence’s science and technology organisation, to assess the risks posed by frontier AI.	アセスメント機構はまた、フロンティアAIがもたらすリスクを評価するために、国防省の科学技術組織である国防科学技術研究所を含む政府全体と提携する。
As part of this update, the Institute will also launch a new criminal misuse team which will work jointly with the Home Office to conduct research on a range of crime and security issues which threaten to harm British citizens.	この更新の一環として、研究所はまた、内務省と共同で、英国市民に危害を及ぼす恐れのある様々な犯罪や安全保障問題に関する研究を行う、新しい犯罪悪用チームを発足させる。
One such area of focus will be the use of AI to make child sexual abuse images, with this new team exploring methods to help to prevent abusers from harnessing the technology to carry out their appalling crimes. This will support work announced earlier this month to make it illegal to own AI tools which have been optimised to make images of child sexual abuse.	この新チームは、児童性的虐待画像の作成にAIを使用することに焦点を当て、虐待者がその技術を利用して恐ろしい犯罪を実行するのを防ぐのに役立つ方法を探求する。これは、今月初めに発表された、児童性的虐待画像を作成するために最適化されたAIツールを所有することを違法とする作業を支援するものである。
This means the focus of the Institute will be clearer than ever. It will not focus on bias or freedom of speech, but on advancing our understanding of the most serious risks posed by the technology to build up a scientific basis of evidence which will help policymakers to keep the country safe as AI develops. To achieve this, the Institute will work alongside wider government, the Laboratory for AI Security Research (LASR), and the national security community; including building on the expertise of the National Cyber Security Centre (NCSC), the UK’s national technical authority for cyber security, including AI.	これは、機構の焦点がこれまで以上に明確になることを意味する。バイアスや言論の自由ではなく、テクノロジーがもたらす最も深刻なリスクについての理解を深め、政策立案者がAIの発展とともに国の安全を守るための科学的根拠を構築することに焦点を当てる。これを達成するため、認可機構は、政府、AIセキュリティ研究室（LASR）、国家安全保障コミュニティと協力し、AIを含むサイバーセキュリティに関する英国の国家技術当局である国家サイバーセキュリティセンター（NCSC）の専門知識を活用することも含む。
The announcement comes just weeks after the government set out its new blueprint for AI to deliver a decade of national renewal, harnessing the technology to deliver on the Plan for Change. A revitalised AI Security Institute will ensure we boost public confidence in AI and drive its uptake across the economy so we can unleash the economic growth that will put more money in people’s pockets.	この発表は、政府が「変革のための計画」を実現するために技術を活用し、国家再生の10年を実現するためのAIに関する新たな青写真を発表した数週間後に行われた。AIセキュリティー研究所が活性化することで、AIに対する国民の信頼が高まり、経済全体への導入が促進される。
Secretary of State for Science, Innovation, and Technology, Peter Kyle said:	ピーター・カイル科学・イノベーション・技術担当国務長官は、次のように述べた：
The changes I’m announcing today represent the logical next step in how we approach responsible AI development – helping us to unleash AI and grow the economy as part of our Plan for Change.	本日発表する変更は、責任あるAI開発へのアプローチにおける論理的な次のステップであり、我々の『変革のための計画』の一環として、AIを解き放ち、経済を成長させる一助となる。
The work of the AI Security Institute won’t change, but this renewed focus will ensure our citizens – and those of our allies - are protected from those who would look to use AI against our institutions, democratic values, and way of life.	AIセキュリティ研究所の活動は変わらないが、この新たな焦点は、我々の機構、民主的価値観、生活様式に対してAIを利用しようとする輩から、我々の市民、そして同盟国の市民を確実に守ることになる。
The main job of any government is ensuring its citizens are safe and protected, and I’m confident the expertise our Institute will be able to bring to bear will ensure the UK is in a stronger position than ever to tackle the threat of those who would look to use this technology against us.	どのような政府であれ、その主な仕事は市民が安全で保護されていることを保証することであり、私は、当研究所が発揮できる専門知識によって、英国が、この技術を私たちに対して利用しようとする人々の脅威に取り組むために、これまで以上に強力な立場にあることを保証できると確信している。
As the AI Security Institute bolsters its security focus, the Technology Secretary is also taking the wraps off a new agreement which has been struck between the UK and AI company Anthropic.	AIセキュリティー研究所がセキュリティーに重点を置くよう強化される中、技術長官は英国とAI企業Anthropic社との間で締結された新たな協定についても言及した。
This partnership is the work of the UK’s new Sovereign AI unit, and will see both sides working closely together to realise the technology’s opportunities, with a continued focus on the responsible development and deployment of AI systems.	このパートナーシップは、英国の新しいソブリンAIユニットの仕事であり、AIシステムの責任ある開発と展開に継続的に焦点を当てながら、技術の機会を実現するために双方が緊密に協力することになる。
This will include sharing insights on how AI can transform public services and improve the lives of citizens, as well as using this transformative technology to drive new scientific breakthroughs. The UK will also look to secure further agreements with leading AI companies as a key step towards turbocharging productivity and speaking fresh economic growth – a key pillar of the government’s Plan for Change.	これには、AIがどのように公共サービスを変革し、市民生活を改善できるかについての見識を共有することや、この変革的技術を利用して新たな科学的ブレークスルーを推進することも含まれる。英国はまた、政府の「変革のための計画」の重要な柱である、生産性を飛躍的に向上させ、新たな経済成長を実現するための重要なステップとして、大手AI企業とのさらなる協定の締結を目指す。
Chair of the AI Security Institute Ian Hogarth said:	AIセキュリティ機構のイアン・ホガース会長は、次のように述べた：
The Institute’s focus from the start has been on security and we’ve built a team of scientists focused on evaluating serious risks to the public.	当機構は当初からセキュリティに重点を置いており、一般市民に対する重大なリスクの評価に重点を置いた科学者チームを構築してきた。
Our new criminal misuse team and deepening partnership with the national security community mark the next stage of tackling those risks.	私たちの新しい犯罪悪用チームと、国家安全保障コミュニティとのパートナーシップの深化は、これらのリスクに取り組む次の段階を示すものである。
Dario Amodei, CEO and co-founder of Anthropic said:	AnthropicのCEO兼共同設立者であるダリオ・アモデイは、次のように述べている：
AI has the potential to transform how governments serve their citizens. We look forward to exploring how Anthropic’s AI assistant Claude could help UK government agencies enhance public services, with the goal of discovering new ways to make vital information and services more efficient and accessible to UK residents.	AIは、政府が市民にサービスを提供する方法を変革する可能性を秘めている。我々は、AnthropicのAIアシスタントClaudeが英国政府機関の公共サービス強化にどのように貢献できるかを探求することを楽しみにしている。
We will continue to work closely with the UK AI Security Institute to research and evaluate AI capabilities in order to ensure secure deployment.	我々は、安全な展開を確保するため、英国AIセキュリティ研究所と緊密に協力し、AI能力の研究と評価を続けていく。
Today’s reset for the AI Security Institute comes just weeks after the UK government kickstarted the year by setting out a new blueprint for AI to spark a decade of national renewal.	本日のAIセキュリティ研究所のリセットは、英国政府が国家再生の10年に向けたAIの新たな青写真を打ち出し、今年をスタートさせた数週間後に行われた。
Thanks to the work of the Institute, the UK now stands ready to fully realise the benefits of the technology while bolstering our national security as we continue to harness the age of AI.	研究所の活動のおかげで、英国は現在、AIの時代を利用し続けるために国家安全保障を強化しながら、この技術の利点を完全に実現する準備が整っている。
Further Information:	詳細はこちら
The agreement between the UK and Anthropic on AI opportunities.	AI機会に関する英国とAnthropicの合意。

 

英国政府とAnthropict社との合意の件...

・2025.02.14 Memorandum of Understanding between UK and Anthropic on AI opportunities

Memorandum of Understanding between UK and Anthropic on AI opportunities	AI の機会に関する英国と Anthropic との覚書
Memorandum of Understanding between Anthropic and the UK government (Department for Science, Innovation and Technology - DSIT) on AI opportunities.	AI の機会に関する Anthropic と英国政府（科学技術革新省 - DSIT）との覚書。
Section (I): the transformative potential of AI	セクション(I)：AIの変革の可能性
Artificial intelligence (“AI”) has the potential to revolutionize how governments operate, drive widespread economic transformation, and touch almost all aspects of society.	人工知能（以下「AI」）は、政府の運営方法を変革し、広範な経済的変革を促し、社会のほぼ全ての側面に影響を与える可能性を秘めている。
Both Anthropic and the UK government recognise this defining opportunity. Our shared intention is to work together on the most consequential opportunities presented by advanced AI: to foster the continued responsible development and deployment of AI that aligns with our societal values and principles of shared economic prosperity, improved public services and increased personal opportunity.	Anthropicと英国政府はともに、この決定的な機会を認識している。つまり、経済的繁栄の共有、公共サービスの改善、個人的機会の増大という我々の社会的価値観と原則に沿った、責任あるAIの継続的な開発と展開を促進することである。
Section (II) on our ambitions for ongoing collaboration	セクション(II)：継続的な協力関係についての期待
The UK government and Anthropic are collaborating to explore the potential of advanced AI tools in improving how UK citizens access government information and services online. The aim will be to advance best practices for the responsible deployment of frontier AI capabilities by the public sector, while fostering close cooperation between government and leading AI innovators.	英国政府とAnthropicは、英国市民がオンラインで政府の情報やサービスにアクセスする方法を改善するための高度AIツールの可能性を探るために協力している。その目的は、政府と主要なAIイノベーターとの緊密な協力を促進しながら、公共部門によるフロンティアAI能力の責任ある展開のためのベストプラクティスを前進させることである。
The ambition is to enhance citizen experiences through the application of AI technologies. In pursuing this goal, the government will prioritize responsiveness to public needs, privacy preservation, and building trust as core principles guiding the development and implementation of AI-enabled solutions.	その目的は、AI技術の応用を通じて市民の体験を向上させることである。この目標を達成するため、政府はAIを活用したソリューションの開発・導入の指針となる基本原則として、国民のニーズへの対応、プライバシーの保護、信頼の構築を優先する。
DSIT and Anthropic, through Anthropic’s partnership with AI Security Institute (AISI), will continue their research collaboration to understand the capabilities and security risks of AI systems, and work together to mitigate these risks to enable the significant AI opportunities.	DSITとAnthropicは、AnthropicのAI Security Institute（AISI）とのパートナーシップを通じて、AIシステムの機構とセキュリティリスクを理解するための研究協力を継続し、重要なAIの機会を可能にするためにこれらのリスクを緩和するために協力する。
Section (III) on further collaborations and future work	セクション（III）：さらなる協力と今後の取り組み
DSIT and Anthropic intend to deepen our partnership by exploring additional opportunities in areas of shared interest, including:	DSITとAnthropicは、以下のような共通の関心分野におけるさらなる機会を模索することで、パートナーシップを深めていく意向である：
・The opportunities to advance scientific progress through AI, building on Anthropic’s capabilities and existing UK strengths in R&D and data assets.	・Anthropicの能力と、R&Dとデータ資産における英国の既存の強みを生かし、AIを通じて科学の進歩を促進する機会。
・Securing the supply chain for advanced AI and the UK’s future infrastructure.	・高度なAIと英国の将来のインフラのサプライチェーンを確保する。
・Supporting the innovation economy. Drawing on Anthropic’s state-of-the-art systems and tools to support the UK’s world leading startup community, universities, and other organisations.	・イノベーション経済の支援：Anthropicの最先端のシステムとツールを活用し、英国の世界をリードするスタートアップ・コミュニティ、大学、その他の組織を支援する。
・Situational awareness.  Leveraging Anthropic’s Economic Index, which provides unique real-world AI model usage data to inform empirical insights into the integration of AI into the modern economy, inform future UK AI innovation, and ensure UK citizens can thrive in the AI-enabled economy.	・状況認識。AnthropicのEconomic Indexを活用し、ユニークな実世界のAIモデル利用データを提供することで、現代経済へのAIの統合に関する実証的洞察を提供し、将来の英国のAIイノベーションに情報を提供し、英国市民がAI対応経済で繁栄できるようにする。
This memorandum is voluntary, not legally binding, and without prejudice to any binding agreements. It does not prejudice against future procurement decisions.	この覚書は自発的なものであり、法的拘束力はなく、拘束力のある協定を損なうものではない。また、将来の調達決定を妨げるものではない。

 

 

---

 

このあたりも読むと、合わせて理解が深まるかもです...

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.02.19 英国 ANSI フロンティアAIの安全性にセーフティケースをどのように役立てるか？ (2025.02.10)

・2025.02.18 英国 AISI セーフガード評価の原則 - 誤用セーフガードを評価するための基本原則の提言 (2025.02.04)

・2025.02.17 ドイツ ミュンヘン安全保障会議：BSI AIは私たちの民主主義に何をしているのか？

・2025.02.17 ドイツ ミュンヘン安全保障会議 (2025.02.15)

・2025.02.14 フランス ANSSI サイバーリスクに基づくアプローチによるAIへの信頼構築 (2025.02.07)

・2025.02.13 フランス AIアクションサミットは無事？終了しました

・2025.02.12 英国 英国政府のためのAIプレイブック(2025.02.10)

・2025.02.11 フランス AIアクションサミット開催 (2025.02.10-11)

・2025.01.27 英国 現代的デジタル政府のための青写真 (2025.01.21)

・2025.01.27 英国 デジタル政府の現状 (2025.01.21)

・2025.01.26 英国 AI機会行動計画 (2025.01.13)

 

英国 ANSI フロンティアAIの安全性にセーフティケースをどのように役立てるか？ (2025.02.10)

こんにちは、丸山満彦です。

英国のAISIが2025.02.14にAI Safety InstituteからAI Security Instituteに名称を変更していますが、この記事は変更前の2025.02.10の発表です...（略称はどちらもAISIなので同じです...）

さて、AISIが発表したのは、フロンティアAI（最先端の技術を利用したAI）にSafety Caseという手法をどのように適用していくか？という話です。

安全工学的なアプローチといえるでしょうね...

Safety Case [wikipedia] とは、システムが安全であることを示すための論証を構造化するという話で、証拠、文書が重要となりますね。 交通関係（航空、鉄道、自動車）や医療機器分野、兵器関係などの安全に関わる分野では使われているものです。（最近は自動運転自動車の安全設計において、Safety Caseを活用するケースがありますね...）ソフトウェアの安全性に関しても利用されるケースがでてきていますね...

Safety Caseでは、Goal Structuring Notaion (GSN) [wikipedia] （[PDF]Goal Structuring Notation Community Standard - Version 3）を利用して記述するケースが多いですね...

日本ではIPAのSEC journal Vol.12 No.3 Dec. 2016にJAXAとの共同研究による[PDF]論文が掲載されていますので、参考に...

GSNは安全の分野以外でも依存性（dependability）に関する記述（D-Case）でも利用されますね...（私が監事をしている「ディペンダビリティ技術推進協会」）でも、普及活動をしているので興味があるかたはこちらも（D-Case）...

さて、話をもどします...

英国のAISIが発表しているフロンティアAIにこのSafety Caseを利用するというのは、安全なAIを作成する上で有益なのではないかと思います。記述方式、例えば、GSNの理解のために少し時間が余計にかかるかもしれませんが、GSNを利用することにより、SafetyにもDepedabilityにも両方とも活用でき、安全なAIシステム、そして、それを利用した安全な社会システムの開発につながるのではないかなぁという気もします...

抽象的な議論が多いかもしれませんが、目を通してみるというのもよいかと思います...

 

● U.K. AISI

・2025.02.10 How can safety cases be used to help with frontier AI safety?

How can safety cases be used to help with frontier AI safety?	フロンティアAIの安全性にセーフティ・ケースはどのように役立つのか？
Our new papers show how safety cases can help AI developers turn plans in their safety frameworks into action	当社の新しい論文では、セーフティ・ケースがAI開発者のセーフティ・フレームワークの計画を行動に移すのにどのように役立つかを示している
Safety frameworks have become standard practice amongst frontier AI developers.  In them, developers outline key risks, how they’ll measure them and steps to mitigate them. But this is no easy task, particularly when the risks are novel, fast-changing, and hard to pin down.	セーフティ・フレームワークは、フロンティアAI開発者の間で標準的な慣行となっている。 その中で開発者は、主要なリスク、それをどのように測定するか、そしてそれらを緩和するためのステップを概説する。しかし、これは簡単な作業ではない。特に、リスクが新しく、変化が速く、特定するのが難しい場合はなおさらだ。
Over 11 frameworks have now been released, and counting, spurring a wave of research on how to write, implement, and refine them. Two of our latest papers contribute to that conversation. The first provides developers an overview of emerging practices in safety frameworks. The second proposes a method to help implement them: safety cases.	現在、11以上の枠組みがリリースされており、その数は数えるほどである。そのため、どのように枠組みを作成し、実装し、洗練させるかについての研究が相次いでいる。我々の2つの最新論文は、そのような議論に貢献している。1つ目は、安全フレームワークにおける新たなプラクティスの概要を開発者に提供するものである。2つ目は、セーフティ・ケースの実装を支援する方法を提案している。
In this blog, we explain what safety cases are and how they can assist AI developers in determining whether an AI system meets the safety thresholds outlined in their safety framework.	このブログでは、セーフティ・ケースとは何か、そして、AIシステムが安全フレームワークで概説されている安全閾値を満たしているかどうかを判断する際に、セーフティ・ケースがAI開発者をどのように支援するかを説明する。
What are safety cases?	セーフティ・ケースとは何か？
Effectively implementing safety frameworks means demonstrating that an AI system is safe. To do that, three things are needed:	安全フレームワークを効果的に実装することは、AIシステムが安全であることを実証することを意味する。そのためには、3つのことが必要である：
1. A precise claim explaining what is meant by ‘safe’	1. 「安全」の意味を説明する正確な主張
2. Evidence	2. 証拠
3. An argument linking the two	3. 2つを結びつける議論
Safety cases are a widely used technique that brings all three of these together into a single clear, assessable argument (Favaro et al., 2023; Sujan et al., 2016; Bloomfield et al., 2012; Inge, 2007).	セーフティ・ケースは、これら3つを1つの明確でアセスメント可能な議論にまとめる、広く使われている手法である（Favaro et al, 2023; Sujan et al, 2016; Bloomfield et al, 2012; Inge, 2007）。
We’ve previously written about why we’re working on safety cases at AISI, and what safety cases for frontier AI systems might look like. Our new paper looks at how safety cases can be used for frontier AI and why developers might find them useful.	AISIでセーフティ・ケースに取り組んでいる理由や、フロンティアAIシステムのセーフティ・ケースがどのようなものかについては、以前にも書いた。我々の新しい論文では、セーフティ・ケースがフロンティアAIにどのように利用できるのか、そして開発者がセーフティ・ケースを有用と感じる理由について考察している。
The first few claims of a structured argument that could help form part of a safety case, from our previous paper on ‘inability’ arguments.	セーフティ・ケースの一部を形成するのに役立つ構造化された議論の最初のいくつかの主張。
How can safety cases be used?	セーフティ・ケースはどのように使えるのか？
Safety cases can be used to inform organisational decision-making on the safety of frontier AI systems:	セーフティ・ケースは、フロンティアAIシステムの安全性に関する組織の意思決定に活用できる：
They are broadly useful whenever decisions about safety are being made. At the moment, they are likely most useful for internal company decision-making. In the future, we can imagine safety cases being shared with third parties, and published in some format, much like model cards and capability evaluations are today.	セーフティ・ケースは、安全性に関する意思決定が行われるときにはいつでも広く役立つ。現時点では、社内の意思決定に最も役立つと思われる。将来的には、現在のモデルカードや能力評価のように、セーフティ・ケースがサードパーティと共有され、何らかの形式で公開されることが想像できる。
Let’s look at some examples:	いくつかの例を見てみよう：
・An AI developer could write a safety case to make sure that an upcoming system meets the commitments set out in their safety framework. They could send the safety case to a third party for red-teaming.	・AIの開発者は、今後開発するシステムがセーフティ・フレームワークで定められた約束を満たしていることを確認するために、セーフティ・ケースを作成することができる。セーフティ・ケースをサード・パーティに送り、レッド・チームに依頼することもできる。
・An engineering team might be deciding whether to fine-tune a model to refuse to answer requests about how to steal money from a bank. The developer could work on an evolving safety case throughout the development cycle; if this work is ongoing, the engineering team could refer to the safety case to help inform their decision.	・エンジニアリング・チームは、銀行からお金を盗む方法に関するリクエストに答えることを拒否するモデルを微調整するかどうかを決定するかもしれない。開発者は、開発サイクル全体を通して進化するセーフティ・ケースに取り組むことができる。
・An incident response team might be responding to a jailbreak which has been posted to social media. This possibility may be covered by a safety case; the response team may review a safety case - written when the system was made public - and use that to decide whether existing safeguards are sufficient, or whether they need to be improved.	・インシデント対応チームは、ソーシャルメディアに投稿された脱獄に対応するかもしれない。対応チームは、システムが公開されたときに書かれたセーフティ・ケースをレビューし、既存のセーフガードで十分か、改善が必要かどうかを判断するためにそれを使用することができる。
Safety frameworks typically specify conditions for safe development and deployment of frontier AI systems based on the system’s capabilities and the safety measures implemented. Safety cases can help developers test a particular system against this safety framework. Safety cases thereby complement safety frameworks, which outlines broad policies and principles that apply across systems at the organisational level, with system-specific analysis. In the paper, we look in more detail at how safety cases can contribute to the fulfilment of commitments made in safety frameworks.  This builds on work outlined in our paper on emerging practices in safety frameworks.	セーフティ・フレームワークは通常、システムの能力と実装されている安全対策に基づいて、フロンティアAIシステムを安全に開発・展開するための条件を規定している。セーフティ・ケースは、開発者が特定のシステムをこのセーフティ・フレームワークに照らしてテストするのに役立つ。これによりセーフティ・ケースは、組織レベルでシステム全体に適用される広範な方針と原則を概説するセーフティフレームワークを、システム固有の分析で補完することになる。この論文では、セーフティ・ケースがどのようにセーフティ・フレームワークにおけるコミットメントの履行に貢献できるかについて、より詳細に検討する。 これは、セーフティ・フレームワークにおける新たなプラクティスに関する論文で概説した作業を基礎としている。
More research is needed	さらなる研究が必要である
We don’t yet know how to write robust arguments that frontier AI systems are safe – and this means that we can’t yet write full and correct safety cases.	我々は、フロンティアAIシステムが安全であるという強固な論拠を書く方法をまだ知らない - そしてこれは、完全で正しいセーフティ・ケースをまだ書けないことを意味する。
There’s a whole host of open problems to solve before we reach that stage, both on methodology and on substance. For example, we currently don’t know:	その段階に到達するまでには、方法論と実質の両面において、解決すべき未解決の問題が山積している。例えば、私たちは現在、次のようなことを知らない：
・How the top-level claim in a safety case should be specified	・セーフティ・ケースのトップレベルの主張をどのように規定すべきか
・Which safety cases notation schemes work best for frontier AI	・フロンティアAIにとってどのセーフティ・ケースの記法が最も効果的か
・How to quantify our confidence in various arguments	・様々な議論に対する信頼性をどのように定量化するか
・How generalisable arguments and evaluations are	・どのように汎化可能な議論と評価か
There are also technical machine learning questions that come up time and time again when sketching safety cases. For example, how much can we rely on capability evaluations? Are we correctly eliciting capabilities? Could future models sandbag evaluations?	セーフティ・ケースをスケッチする際に何度も出てくる技術的な機械学習の疑問もある。例えば、能力評価はどの程度信頼できるのか？我々は正しく能力を引き出しているだろうか？将来のモデルは評価をサンドバッグにできるだろうか？
We’re optimistic that we can solve many of these problems by writing safety case sketches (our best guesses about how to write an argument for a particular system) and safety case templates (rough arguments that can be filled in for a particular system).	私たちは、セーフティ・ケース・スケッチ（特定のシステムに対する議論の書き方についての最善の推測）やセーフティ・ケース・テンプレート（特定のシステムに対して記入できる大まかな議論）を書くことによって、これらの問題の多くを解決できると楽観的に考えている。
To learn more – including more details about how safety cases can be used, why we’re excited about them, and a more detailed list of open problems – take a look at the paper.	セーフティ・ケースの使い方、セーフティ・ケースに興奮する理由、未解決の問題の詳細なリストなど、さらに詳しく知りたい方は、論文をご覧いただきたい。

 

・[PDF] Emerging Practices in Frontier AI Safety Frameworks

・[DOCX][PDF] 仮訳

 

 

・[PDF] Safety Cases: A Scalable Approach to Frontier AI Safety 

・[DOCX][PDF] 仮訳

 

関連

過去のAISIのSafety Caseに関する発表。。。

サイバー攻撃に対する能力がないことを示すためのセーフティ・ケースの書き方...

・2024.11.14 Safety case template for ‘inability’ arguments

 

制御不能や自律性に起因するリスクに焦点を当てたプロジェクト

・2024.08.23 Safety cases at AISI

 

 

---

 

このウェブサイトは興味深いですよ...

モデル評価と脅威研究...

● Model Evaluation & Threat Research: METR

・Frontier AI Safety Policies

発行	最終改訂	企業	安全に対する方針・フレームワーク
2023.09.19	2024.10.15	Anthropic	Responsible Scaling Policy
2023.12.18		OpenAI	Preparedness Framework (Beta)
2024.05.17	2025.02.04	Google DeepMind	Frontier Safety Framework
2024.07.02		Magic	AGI Readiness Policy
2024.08.07		NAVER	AI Safety Framework
2025.02.03		Meta	Frontier AI Framework
2025.02.06		G42	Frontier AI Safety Framework
2025.02.07		Cohere	Secure AI Frontier Model Framework
2025.02.08		Microsoft	Frontier Governance Framework
2025.02.10		Amazon	Frontier Model Safety Framework
2025.02.10		xAI	Risk Management Framework (Draft)

 

 

IBMは既存のAIガバナンスに統合している。

・2025.02.07 Trustworthy AI at scale: IBM’s AI Safety and Governance Framework

 

SamsungはオンデバイスAIセーフティ・フレームワークを公表している。

・[PDF] 1. AI Safety Framework

 

---

 

Goal Structuring Notaion (GSN)  の標準...

● The Systems Safety Community and Club: SCSC

・2021.05 [PDF] Goal Structuring Notation Community Standard - Version 3

 

---

 

日本でのSafty Caseの例

● IPA - SEC journal Vol.12 No.3 Dec. 2016

・[PDF] Goal Structuring Notationを用いた汎用的な安全要求の明確化と評価

 

・2024.12.12 自動運転の安全性評価フレームワーク（Ver.3）の安全論証構造分析

・・[HTML][PDF]

 

---

 

Depaendability Case

● ディペンダビリティ技術推進協会：DEOS

・D-CASE

 

● D-Case Web

・D-Caseとは

 

英国 AISI セーフガード評価の原則 - 誤用セーフガードを評価するための基本原則の提言 (2025.02.04)

こんにちは、丸山満彦です。

英国のAISIが2025.02.14にAI Safety InstituteからAI Security Instituteに名称を変更していますが、この記事は変更前の2025.02.04の発表です...（略称はどちらもAISIなので同じです...）

さて、AISIが発表したのは、disinformation  ではなく、misinformation ですね...

意図的ではないけど誤りというものです。問題の質の面からはdisinformationが重要となるので注目されるのですが、量の面からはmisinformationのほうが圧倒的に重要になってくるのだろうと思います。

また、誤用がないかをチェックする過程で、悪用についても気づくことがあるでしょうね...

ということで、この文章はAIアプリケーション開発者にとってはとても重要になるのではないでしょうか？

 

 

● U.K. AISI

・2025.02.04 Principles for Safeguard Evaluation

Principles for Safeguard Evaluation	セーフガード評価のための原則
Our new paper proposes core principles for evaluating misuse safeguards	私たちの新しい論文は、誤用セーフガードを評価するための基本原則を提案している
At the AI Safety Institute, along with evaluating model capabilities, we’ve been evaluating misuse safeguards—technical interventions implemented by frontier AI developers to prevent users eliciting harmful information or actions from models. We expect safeguards to become increasingly important as AI capabilities advance, and we’re committed to strengthening both our own and others’ ability to evaluate them rigorously. As with many areas of machine learning, we believe that establishing clear problem statements and evaluation frameworks will help drive progress.	AIセーフティ研究所では、モデル能力の評価とともに、誤用セーフガード（ユーザーがモデルから有害な情報や行動を引き出すのを防ぐために、フロンティアAIの開発者が実施する技術的介入）の評価も行ってきた。AIの能力が進歩するにつれて、セーフガードの重要性は増すと予想され、私たちはそれを厳密に評価するために、私たち自身と他者の能力を強化することを約束する。機械学習の多くの分野と同様に、明確な問題提起と評価の枠組みを確立することが、進歩の促進につながると考えている。
Our new paper Principles for Evaluating Misuse Safeguards of Frontier AI Systems proposes a core set recommended best practices to help inform how frontier AI safeguards are measured. To make it easy for frontier AI developers to use these recommendations, we have created a Template for Evaluating Misuse Safeguards of Frontier AI Systems, which draws on these principles to provide a list of concrete and actionable questions to guide effective safeguards evaluation. Our work draws from our experience evaluating the safeguards of a range of frontier AI systems in both pre- and post-deployment tests (e.g. Claude 3.5 Sonnet and our May update).	我々の新しい論文「フロンティアAIシステムの悪用防止策を評価するための原則」は、フロンティアAIのセーフガードをどのように評価するかを示すのに役立つ、中核となる推奨ベストプラクティスを提案している。フロンティアAIの開発者がこれらの推奨事項を簡単に利用できるように、我々は「フロンティアAIシステムの悪用防止策評価のためのテンプレート」を作成した。このテンプレートは、これらの原則を基に、効果的なセーフガード評価の指針となる具体的かつ実行可能な質問のリストを提供するものである。このテンプレートは、様々なフロンティアAIシステムのセーフガードを、展開前と展開後のテスト（例えば、クロード3.5ソネットと5月のアップデート）で評価した経験から作成したものである。
We hope these resources will help to drive standardisation in how safeguard evaluations are performed by developers, and how they are presented — internally within developers and to third parties such as collaborators and evaluators. Collaboration is much easier with established frameworks, measurements, and definitions, and these principles are a step in that direction.	これらのリソースが、開発者によるセーフガード評価の実施方法や、開発者内部や共同研究者・評価者などのサードパーティへの提示方法の標準化を推進する一助となることを期待している。確立された枠組み、測定方法、定義があれば、コラボレーションはより容易になり、これらの原則はそのための一歩となる。
We engaged with frontier AI developers and other organisations in the safeguards space to help develop these principles. However, both safeguards and safeguard evaluations are rapidly evolving, and we expect to update these resources as the field advances. We encourage organisations to use our framework and share feedback on how it can be improved so the community moves towards standardised and rigorous safeguards evaluations.	私たちは、フロンティアAIの開発者やセーフガード分野の他の組織と協力し、この原則の策定を支援した。しかし、セーフガードもセーフガード評価も急速に進化しており、この分野の進歩に合わせて、これらのリソースも更新していく予定である。私たちは、各組織が私たちの枠組みを利用し、どのように改善すべきかフィードバックを共有することで、コミュニティが標準化された厳格なセーフガード評価に向けて前進することを奨励する。
A five-step process for evaluating misuse safeguards	誤用防止策を評価するための5段階プロセス
In this post, we outline our proposed 5-step process for safeguards evaluations. This process is designed to be generically useful across threat models, as well as adaptive to changes in the risk landscape.	この投稿では、セーフガード評価のための5段階のプロセス案について概説する。このプロセスは、脅威モデル全体にわたって汎用的に有用であるとともに、リスク状況の変化に適応できるように設計されている。
State Safeguard Requirements	セーフガードの要件を明示する
The first step recommends that frontier AI developers clearly state what requirements they are aiming for their safeguards to satisfy. These requirements can be derived from company safety frameworks, commitments or usage-policies by transforming statements such as “users are not allowed to use the model to perform malicious cyber attacks” to requirements such as “safeguards must prevent users from being able to use the model to perform malicious cyber attacks”. It is valuable for these claims to additionally include the threat actors being considered and any assumptions being made.	最初のステップでは、フロンティアAIの開発者がセーフガードの満たすべき要件を明示することを推奨する。これらの要件は、「ユーザが悪意のあるサイバー攻撃を行うためにモデルを使用することは許されない」といった記述を、「セーフガードはユーザが悪意のあるサイバー攻撃を行うためにモデルを使用することができないようにしなければならない」といった要件に変換することで、企業の安全性の枠組み、コミットメント、または使用ポリシーから導き出すことができる。このような主張には、考慮される脅威アクターや仮定も含めることが重要である。
Establish a Safeguards Plan	セーフガード計画の策定
In this step, we suggest developers list and describe the set of safeguards they plan to use in the deployed system. These could be System Safeguards (to prevent threat actors from accessing harmful behaviour from the system, assuming they have access to the system); Access Safeguards (to prevent threat actors from accessing the system entirely); and Maintenance Safeguards (to ensure access or system safeguards maintain their effectiveness over time). This document does not cover security safeguards to prevent model theft. Some safeguard details can be commercially sensitive; in these cases, not all details would need to be shared with all parties involved.	このステップでは、開発者が展開するシステムで使用する予定のセーフガード一式をリストアップし、説明することを推奨する。これには、システムセーフガード（脅威アクターがシステムにアクセスできると仮定した場合に、脅威アクターがシステムから有害な振る舞いにアクセスすることを防止する）、アクセスセーフガード（脅威アクターがシステムにアクセスすることを完全に防止する）、保守セーフガード（アクセスセーフガードやシステムセーフガードが長期間にわたって有効性を維持することを確実にする）が考えられる。本文書は、モデルの盗難を防止するためのセキュリティー・セーフガードは対象としていない。セーフガードの詳細の中には、商業上の機密性を有するものもある。このような 場合、すべての詳細を関係者間で共有する必要はない。
Document Evidence of Sufficiency	十分であることの証拠を文書化する
Next, we recommend developers gather and document evidence about the effectiveness of their safeguards. There are a variety of types of evidence that could be gathered here, including but not limited to: results of red-teaming exercises of the safeguards (either all safeguards combined or individual components); static evaluations of safeguard behaviour on existing datasets; or automatic evaluation of robustness with AI techniques. The paper details best practices for these and other evidence types. An important part of this step is using third parties to either gather the evidence (e.g. bug bounty platforms or red-teaming organisation) or to assess evidence gathered by the developer themselves.	次に、開発者に対して、安全措置の有効性に関する証拠を収集し、文書化することを推奨する。ここで収集する証拠には、セーフガードのレッドチームによる検証結果（すべてのセーフガードを統合したものでも、個々のコンポーネントを統合したものでもよい）、既存のデータセットを用いたセーフガードの動作の静的評価、AI 技術を用いた堅牢性の自動評価など、様々な種類があるが、これらに限定されるものではない。この論文では、これらやその他のエビデンスタイプのベストプラクティスについて詳述している。このステップで重要なのは、サードパーティを利用してエビデンスを収集すること（バグ報奨金プラットフォームやレッドチームなど）、あるいは開発者自身が収集したエビデンスを評価することである。
Establish a Plan for Regular Assessment	定期的なアセスメントのための計画を確立する
Even if the safeguards are assessed to be sufficiently robust at the time of deployment, this can change over time, for example as new jailbreaks develop. As such, we recommend developers regularly reassess their safeguards, improving their techniques as new best practices develop, to ensure they continue to satisfy the safeguard requirements.	展開時にセーフガードが十分に堅牢であると評価されていたとしても、例えば新しい脱獄が開発されるなど、時間の経過とともに変化する可能性がある。そのため、開発者は定期的にセーフガードを再評価し、新しいベストプラクティスが開発されるたびにその技術を改善し、セーフガードの要件を満たし続けるようにすることを推奨する。
Decide Whether the Evidence and Assessment Plan are Sufficient	証拠とアセスメント計画が十分であるかどうかを判断する
Finally, in this section, we recommend developers combine all the evidence gathered and the regular assessment plan to produce a justification that the safeguards satisfy the requirements and will continue to do so over time. We also see value in sharing this justification with relevant third parties for review and critique and that potentially redacted versions are posted publicly to enable transparency around safeguards assessment.	最後に、このセクションでは、開発者に、収集したすべてのエビデンスと定期的なアセスメント計画を組み合 わせて、セーフガードが要求事項を満たし、今後も満たし続けることを正当化する理由を作成することを推奨する。また、この正当性の根拠を関連するサードパーティと共有し、レビューや批評を受けること、また、セーフガードの評価に関する透明性を確保するために、冗長化される可能性のあるバージョンを公開することにも価値があると考える。
We hope these principles will enable more rigorous and standardised evaluation of safeguard robustness. This will help drive progress in developing more effective safeguards. We encourage frontier AI developers to use our framework and template, and to share their experience and feedback so we can improve this process and move towards standardised and high-quality safeguards evaluations.	これらの原則により、セーフガードの堅牢性の評価がより厳格かつ標準化されることを期待する。これにより、より効果的なセーフガードの開発が促進されるだろう。我々は、フロンティアAIの開発者が我々の枠組みやテンプレートを利用し、その経験やフィードバックを共有することで、このプロセスを改善し、標準化された質の高いセーフガード評価に移行することを奨励する。
You can find the Principles here and the Template here .	原則はこちらから、テンプレートはこちらから。

 

原則...

・[PDF] Principles for Evaluating Misuse Safeguards of Frontier AI Systems Version 1.0

・[DOCX][PDF] 仮訳

 

 

テンプレート...

・[PDF] Template for Evaluating Misuse Safeguards of Frontier AI Systems Version 1.0

・[DOCX][PDF] 仮訳

 

 

 

 

 

 

 

 

 

ドイツ ミュンヘン安全保障会議：BSI AIは私たちの民主主義に何をしているのか？

こんにちは、丸山満彦です。

2025.02.15のミュンヘンで安全保障会議で、AIについても話し合われましたね...

特にドイツでは連邦議会の選挙があるので、AIと選挙（民主主義）という観点での話となったようですね...

 

ドイツのBSIで発表されていますね...

● Bundesamt für Sicherheit in der Informationstechnik; BSI

・2025.02.15 Münchner Sicherheitskonferenz: Was macht KI mit unserer Demokratie?

Münchner Sicherheitskonferenz: Was macht KI mit unserer Demokratie?	ミュンヘン安全保障会議：AIは民主主義にどのような影響を与えているのか？
Quelle: BSI v.l.n.r.: Kent Walker (President for Global Affairs bei Google), Claudia Plattner (BSI-Präsidentin), Henna Virkunnen (EU-Vizekommissionspräsidentin für Tech Sovereignty, Security and Democracy) und Gina Neff (Executive Direktorin des Minderoo Centre for Technology and Democracy an der Universität Cambridge).Quelle: BSI	出典：BSI 左から右へ：ケント・ウォーカー（Googleグローバル・アフェアーズ担当社長）、クラウディア・プラットナー（BSI社長）、ヘンナ・ヴィルクネン（欧州委員会技術主権、セキュリティ、民主主義担当副社長）、ジーナ・ネフ（ケンブリッジ大学ミンドゥー・テクノロジー・アンド・デモクラシー・センター所長）。出典：BSI
Auf der Münchner Sicherheitskonferenz diskutierte Claudia Plattner mit Technologie-Expertinnen und -Experten darüber, wie sich der zunehmende Einsatz von KI auf die demokratische Meinungsbildung auswirkt.	ミュンヘン安全保障会議において、クラウディア・プラットナーはテクノロジーの専門家たちと、AIの使用が増加することで民主的な意見形成プロセスにどのような影響が及ぶかについて議論した。
Welche Rolle spielt KI in geopolitischen Konfliktlagen? Wie können algorithmische Verzerrungen politische Diskurse und Wahlen beeinflussen und inwieweit muss KI durch Regulierung eingehegt werden? Diese und weitere Fragen besprach Claudia Plattner, Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), im Rahmen der Münchner Sicherheitskonferenz mit Henna Virkkunen, EU-Vizekommissionspräsidentin für Tech Sovereignty, Security and Democracy, Kent Walker, President Global Affairs bei Google, und Amba Kak, Co-Executive Director des AI Now Institute. Gina Neff, Executive Director des Minderoo Centre for Technology and Democracy an der Universität Cambridge, moderierte die Diskussion.	地政学的な紛争においてAIはどのような役割を果たすのか？アルゴリズムの偏りが政治的言論や選挙にどのような影響を及ぼす可能性があるか、また、AIはどの程度規制によって抑制されるべきか？ドイツ連邦情報セキュリティ局（BSI）のクラウディア・プラットナー長官は、ミュンヘン安全保障会議において、欧州委員会技術主権・安全保障・民主主義担当副委員長のヘンナ・ヴィルクネン氏、Googleのグローバル・アフェアーズ担当プレジデントのケント・ウォーカー氏、AI Now Instituteの共同エグゼクティブ・ディレクターのアンバ・カック氏とともに、これらの問題やその他の問題について議論した。ケンブリッジ大学ミンドゥー・テクノロジー・アンド・デモクラシー・センターのエグゼクティブ・ディレクターであるジーナ・ネフ氏が、このディスカッションの司会を務めた。
BSI-Präsidentin Claudia Plattner verwies auf die Interdependenz von Technologie und politischer wie wirtschaftlicher Stärke und betonte, dass gesetzliche Regulierung von Künstlicher Intelligenz nicht den technologischen Fortschritt verlangsamen dürfe:	BSIのクラウディア・プラットナー会長は、テクノロジーと政治的・経済的強さの相互依存関係を指摘し、人工知能の法的規制がテクノロジーの進歩を遅らせてはならないと強調した。
„Wir müssen einen wirksamen regulatorischen Rahmen schaffen, der es uns ermöglicht, vom Fortschritt der KI zu profitieren. Das Erreichen dieses Gleichgewichts ist für unsere Demokratie von entscheidender Bedeutung. Wir müssen mit technologischen Innovationen Schritt halten, um wirtschaftlich erfolgreich zu sein und die Herausforderungen unserer Zeit zu meistern. Die Geschwindigkeit, mit der wir unsere digitalen Fähigkeiten weiterentwickeln, wird über unsere Zukunft entscheiden.	「私たちは、AIの進歩から恩恵を受けられるような効果的な規制枠組みを構築する必要がある。このバランスを取ることが、私たちの民主主義にとって極めて重要だ。経済的に成功し、現代の課題を克服するためには、技術革新に遅れずについていく必要がある。デジタル能力を開発するスピードが、私たちの未来を決定するのだ。
In diesem Zusammenhang sprechen wir vom Aufkommen einer dritten Dimension, die zu den beiden traditionellen Dimensionen - Wirtschaft und Sicherheit - hinzukommt. Diese dritte Dimension ist die Technologie, und sie hat einen erheblichen Einfluss auf die beiden anderen. Sie erweitert die Schnittmenge zwischen den beiden ersten. So wird KI zur Verbesserung von Geschäftsprozessen ebenso wie bei der Entwicklung von Drohnen eingesetzt. Das zeigt die enorme Bedeutung von technologischer Expertise und Kompetenz in Verbindung mit militärischer und wirtschaftlicher Stärke. Der Weg nach vorne erfordert ein umfassendes Verständnis von Technologie und ihrer strategischen Anwendung.“	この文脈において、私たちは、経済と安全保障という従来の2つの次元に追加される第3の次元の出現について語っている。この第3の次元はテクノロジーであり、他の2つに大きな影響を与える。それは、最初の2つの交わりを拡大する。例えば、AIはビジネスプロセスの改善やドローンの開発に利用されている。これは、軍事力や経済力と関連する技術的専門知識や能力の重要性を示している。今後の進むべき道筋には、技術と戦略的応用の包括的な理解が必要である。」
Eine Aufzeichnung der Diskussion ist hier verfügbar.	この討論会の録音は、こちらから聞くことができる。
Zu den skizzierten Zusammenhängen zwischen Wirtschaft, Sicherheit und Digitalisierung hat Claudia Plattner einen Gastbeitrag in der Tageszeitung „Rheinische Post“ verfasst, der hier abrufbar ist.	クラウディア・プラットナーは、経済、セキュリティ、デジタル化の関連性について、日刊紙「ライン新聞」にゲスト記事を寄稿している。こちらから閲覧可能である。

 

会議の様子...

● Munich Security Conference 2025

 

・AI Just Can’t Get Enough: Disinformation, AI, and Democracy

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.02.17 ドイツ ミュンヘン安全保障会議 (2025.02.15)

 

ドイツ ミュンヘン安全保障会議 (2025.02.15)

こんにちは、丸山満彦です。

2月14-16日にミュンヘンで安全保障会議が開催されましたが、日本からも岩屋毅外務大臣も出席されています。（Instagramの写真をみると緊張感があまりないようにも見えます...）

ミュンヘンの安全保障会議での米国政府の発言等をみていると、ロシアや中国がトランプ大統領になるのを望んでいたようにも感じますね...

欧州は米国とは一定の距離をとりながらの政策運営になるのでしょうが、欧州もそれぞれのお国事情があるので、なかなか難しい面もあるのでしょうね...

そんななか、ドイツは2月23日に連邦議会の選挙がありますしね...

なかなか複雑な感じだったのだろうと思います。

最後にヴァンス副大統領の発言を載せていますが、読んでみると無茶苦茶なことをいっているわけでもなさそうですね...ただ、ところどころ、調整が必要なところがありそうですね...

あえて高めにボールを投げてみて、意識の外の世界の存在に気づかせ、固まった思考をほぐしてから、議論を始めるという感じなのかもしれません...

 

● Munich Security Conference

・2025

プログラム...

・Defence: 防衛

• About the Defense Program
• Publications
• Defense Sitters — Munich Security Report Special Edition
• Summits, Roundtables, and other Activities
• Past Events
• More about the Defense Program

・Global Order: グローバル秩序

• About the Global Order Program
• Publications
• Munich Security Brief: Standard Deviation — Views on Western Double Standards and the Value of International Rules
• Summits, Roundtables, and other Activities
• Past Events
• More about the Global Order Program

・Human Security: 人間の安全保障

• MSC Food Security Task Force
• About the Human Security Program
• Publications
• Munich Security Report Special Edition: Polypandemic
• Summits, Roundtables, and other Activities
• Past Events
• More about the Human Security Program

・Systanability: サステナビリティ

• About the Sustainability Program
• Publications
• Report
• Summits, Roundtables, and other Activities
• Past Events
• More about the Sustainability Program

・Technology: テクノロジー

• About the Technology Program
• AI Elections Accord
• Publications
• Report
• AI-pocalypse Now? Disinformation, AI, and the Super Election Year
• Summits, Roundtables, and other Activities
• Past Events
• Roundtable on Hybrid Threats in Washington D.C. (2022)
• Virtual Technology Roundtable (2020)

 

Publications

・Munich Security Report

・2025.02.10 Munich Security Report 2025

・[PDF] 

 

Foreword

Executive Summary

Chapter 1 – Introduction

Munich Security Index 2025

Chapter 2 – United States - Maga Carta

Chapter 3 – China - Pole Positioning

Chapter 4 – European Union - A Perfect Polar Storm

Chapter 5 – Russia - The Czar’s Gambit

Chapter 6 – India - Modi-fied Status

Chapter 7 – Japan - A New Normal

Chapter 8 – Brazil - Lula Land

Chapter 9 – South Africa - The Fate of Good Hope

 

 

---

 

ニュース...

Germany

• Der Spiegel: www.spiegel.de
  
  
• Frankfurter Allgemeine Zeitung (FAZ): www.faz.net
  • Sicherheitskonferenz
    
    
• Süddeutsche Zeitung: www.sueddeutsche.de
  • Münchner Sicherheitskonferenz

 

France

• Le Monde: www.lemonde.fr
  
  
• Le Figaro: www.lefigaro.fr
  
  
• France 24: www.france24.com
  
  

United Kingdom

• BBC News: www.bbc.co.uk/news
  
  
• The Guardian: www.theguardian.com
  
  
• The Telegraph: www.telegraph.co.uk
  
  

United States

• The New York Times: www.nytimes.com
  
  
• The Washington Post: www.washingtonpost.com
  
  
• CNN: www.cnn.com

 

読み比べると興味深い...

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.02.17 ドイツ ミュンヘン安全保障会議：BSI AIは私たちの民主主義に何をしているのか？

 

---

 

ヴァンス副大統領のスピーチ...

↓↓↓↓↓↓

Continue reading "ドイツ ミュンヘン安全保障会議 (2025.02.15)"

ドイツ BSI 多要素認証・パスキーのすすめ（パスワード変更の日とより安全なインターネットの日）

こんにちは、丸山満彦です。

ドイツでは、毎年2月1日がパスワード変更の日（Ändere-dein-Passwort-Tag）、2月11日がより安全なインターネットの日（Safer Internet Day）となっています。

BSIがそれにちなんでプレスをしているのですが、その内容が興味深いです...

 

パスワード変更の日の前日には、「パスワードの変更は過去のもの： 消費者がユーザーアカウントを保護する方法」、

より安全なインターネットの日の前日には、「BSIとDsiNが電子メールのセキュリティに関する神話を払拭する。」、

をそれぞれ発表しています...

 

少し前にパスワードの定期的変更についての議論がありましたね（NIST SP800シリーズで、パスワードの定期的変更を推奨事項から削除したこともあって...）

少し前提の整理をしますと...

• ユーザは、利便性が低いシステムは利用したくない。（消費者向けサービスの場合は、売上に直結する。）
• パスワードがすでに乗っ取られている場合には、パスワードの変更は、なりすまし防止に一定の効果がある。
• ユーザはパスワードを自主的に変更しようとすることはない。（対策としては、システムによる定期的な変更の強制）
• パスワードの定期的変更をユーザに求めると、より覚えやすい（より見破られやすい）パスワードを利用しがちである。
• 技術の発展により、特に短い文字数のパスワードを見つけられる可能性が高まっている。
• 消費者ユーザのスマートフォンの利用が進み、パスワード以外によるより確実な認証・認可プロセスが技術的に簡便に利用できる環境になっている。

という、ことになりますかね...

 

● Bundesamt für Sicherheit in der Informationstechnik; BSI

パスワード変更の日の前日の発表

パスワードの変更は過去のもの： 消費者がユーザ・アカウントを保護する方法

・2025.01.31 Passwortwechseln war gestern: Wie Verbraucherinnen und Verbraucher ihre Benutzerkonten absichern können

 

 

より安全なインターネットの日の前日の発表

より安全なインターネットの日：BSIとDsiNが電子メールのセキュリティに関する神話を払拭する。

・2025.02.10 Safer Internet Day: BSI und DsiN räumen mit Mythen zu E-Mail-Sicherheit auf

 

 

 

 

 

 

ドイツ BSI オンラインアクセス法に基づくポータルネットワークの技術ガイドライン (2025.02.04)

こんにちは、丸山満彦です。

ドイツでは2017年に行政サービスへのオンラインアクセス改善法（オンラインアクセス法）（esetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz - OZG)）が制定され、引き続き改善され続けているようですが、その技術ガイドラインが要約一部できたようです...

できたのは、

TR-03172 Portalverbund (Rahmendokument)	TR-03172 ポータルネットワーク（枠組み）
TR-03172-3 Onlinedienst	TR-03172-3 オンラインサービス
TR-03172-4 Antragsrouting	TR-03172-4 申請ルーティング

 

 ドイツ政府、英国政府のウェブページは、統一感がありますが、情報収集という意味では、非常にやりやすいです。申請等についてはしたことがないのでわからないですが...

日本は利用者目線より、予算都合（予算単位）でウェブが作られていますよね...

 

● Bundesamt für Sicherheit in der Informationstechnik; BSI

 プレス...

・2025.02.04 Technische Richtlinie zum Portalverbund nach Onlinezugangsgesetz veröffentlicht

Technische Richtlinie zum Portalverbund nach Onlinezugangsgesetz veröffentlicht	オンラインアクセス法に基づくポータルネットワークの技術ガイドラインが発表された
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die ersten Dokumente der Technischen Richtlinie TR-03172 „Portalverbund“ veröffentlicht. Das Rahmendokument der Technischen Richtlinie sowie die Teile 3 „Onlinedienst“ sowie 4 „Antragsrouting“ stehen ab sofort in der Version 1.0 bereit.	連邦情報セキュリティ局（BSI）は、技術ガイドラインTR-03172「ポータルネットワーク」の最初の文書を公開した。技術ガイドラインの枠組み文書および第3部「オンラインサービス」、第4部「アプリケーションルーティング」は、現在バージョン1.0で入手可能である。
Bei dem im Onlinezugangsgesetz definierten Portalverbund handelt es sich um die technische Verknüpfung der Verwaltungsportale von Bund und Ländern. Der Portalverbund soll Bürgerinnen und Bürgern, aber auch Unternehmen und Organisationen den elektronischen Zugang zu den Leistungen der öffentlichen Verwaltung ermöglichen.	オンラインアクセス法で定義されたポータルネットワークは、連邦および州の行政ポータルを技術的にリンクするものである。ポータルネットワークは、企業や組織だけでなく、市民が行政サービスに電子的にアクセスできるように設計されている。
Die Technische Richtlinie TR-03172 Portalverbund richtet sich an die Verantwortlichen für die Umsetzung von Bestandteilen des Portalverbunds. Sie formuliert Anforderungen zur Gestaltung der Informationssicherheit im Portalverbund und angeschlossener Komponenten. Die Technische Richtlinie wurde zusammen mit den Ländern erarbeitet und liegt nun nach zwei öffentlichen Kommentierungsrunden in der Version 1.0 vor. Weitere Teile sind in Vorbereitung.	技術ガイドライン TR-03172 Portalverbund は、ポータルネットワークのコンポーネントを実装する担当者向けに作成されている。ポータルネットワークおよび接続されたコンポーネントの情報セキュリティの設計要件を規定している。この技術ガイドラインは、各州と共同で作成され、2回のパブリックコメント募集を経て、現在バージョン1.0が利用可能となっている。さらに、他の部分も準備中である。

 

ガイドのポータル...

・BSI TR-03172 Portalverbund

BSI TR-03172 Portalverbund	BSI TR-03172 ポータル
Gegenstand der Technischen Richtlinie	技術ガイドラインの対象
Am 18. August 2017 trat das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen, auch Onlinezugangsgesetz (OZG) genannt, in Kraft. Es wurde zuletzt durch das OZG-Änderungsgesetz am 19. Juli 2024 geändert. Das OZG verpflichtet Bund und Länder dazu, ihre Verwaltungsleistungen elektronisch über Verwaltungsportale verfügbar zu machen. Diese Verwaltungsportale sollen zusätzlich zu einem interoperablen Portalverbund verknüpft werden, der es Nutzenden ermöglicht, von einem beliebigen Portal aus jede gewünschte elektronische Verwaltungsleistung zu erreichen und barrierefrei, medienbruchfrei und sicher in Anspruch zu nehmen. Die OZG-Umsetzung umfasst hierbei 575 unterschiedliche Leistungsbündel mit insgesamt über 6000 Verwaltungsleistungen.	2017年8月18日、オンライン行政サービスへのアクセス改善に関する法律（オンラインアクセス法（OZG））が施行された。同法は2024年7月19日にOZG改正法によって最後に改正された。OZGは、連邦政府および州政府に対し、行政ポータルを通じて行政サービスを電子的に利用できるようにすることを義務付けている。これらの行政ポータルは、相互運用可能なポータルネットワークにもリンクされ、ユーザーはどのポータルからでも希望する電子行政サービスにアクセスでき、障壁やメディアの不連続性なしに安全に利用できる。 OZGの実施には、合計6,000以上の行政サービスからなる575の異なるサービスパッケージが含まれる。
Die Zuständigkeiten der Verwaltungsleistungen überdecken sämtliche föderale Ebenen: Bund, Länder und Kommunen. Um einen unnötigen Mehrfachaufwand durch eine parallele Digitalisierung derselben Verwaltungsleistung in mehreren Behörden zu vermeiden, werden im sogenannten Einer-für-Alle-Prinzip (EfA) viele der Leistungen von Behörden mit der Möglichkeit zur Nachnutzung durch andere Behörden entwickelt und bereitgestellt. Damit diese vielfältige Landschaft an Lösungen interoperabel zusammenwirken kann, werden zentral bereitgestellte Komponenten und damit verbunden gemeinsame Standards und Schnittstellen genutzt.	行政サービスの責任は、連邦、州、地方のすべての連邦レベルにわたっている。 複数の当局で同じ行政サービスが並行してデジタル化されることによる不必要な重複作業を避けるため、当局が提供するサービスの多くは、「1つのサービスをすべてに（EfA）」の原則に従って、他の当局が後から利用できるオプションとともに開発され、利用可能にされている。この多様なソリューションの環境が相互運用可能に連携できるように、中央で提供されるコンポーネントと関連する共通の標準およびインターフェースが使用される。
Die Technische Richtlinie TR-03172 Portalverbund richtet sich an die Verantwortlichen für die Umsetzung von Bestandteilen des Portalverbunds und beschreibt Anforderungen an verschiedene Komponenten des Portalverbunds in einzelnen Teildokumenten.	技術ガイドラインTR-03172 Portalverbundは、ポータルネットワークのコンポーネントを実装する担当者を対象としており、個々のサブドキュメントでポータルネットワークのさまざまなコンポーネントの要件を説明している。
BSI TR-03172 Portalverbund (Rahmendokument)	BSI TR-03172 Portalverbund（枠組み文書）
Das Dokument TR-03172 ist das Rahmendokument der Technischen Richtlinie. Es beschreibt grundlegende Sachverhalte, Rahmenbedingungen und die Aufteilung der Technischen Richtlinie. Es dient als erste Anlaufstelle zur schnellen Orientierung innerhalb der Technischen Richtlinie.	文書 TR-03172 は技術ガイドラインの枠組み文書である。 基本的事項、枠組み条件、技術ガイドラインの構造について記述している。 技術ガイドラインの概要を素早く理解するための最初の窓口となる。
TR-03172 Portalverbund	TR-03172 ポータルネットワーク
BSI TR-03172-3 Onlinedienst	BSI TR-03172-3 オンラインサービス
Die TR-03172-3 Onlinedienst beschreibt Anforderungen an webbasierte Onlinedienste zur Antragsstellung.	TR-03172-3 オンラインサービスは、申請の提出のためのウェブベースのオンラインサービスに関する要件を規定している。
TR-03172-3 Onlinedienst	TR-03172-3 オンラインサービス
BSI TR-03172-4 Antragsrouting	BSI TR-03172-4 申請ルーティング
Die TR-03172-4 Antragsrouting beschreibt Anforderungen an Dienste für Routing und Zustellung von Anträgen vom Onlinedienst an Fachverfahren.	TR-03172-4 申請ルーティングは、オンラインサービスから専門手続きへの申請のルーティングと配信のためのサービスに関する要件を規定している。
TR-03172-4 Antragsrouting	TR-03172-4 申請ルーティング

 

 

TR-03172 Portalverbund (Rahmendokument)

TR-03172 ポータルネットワーク（枠組み）

 

全体像...

 

BSI TR-03172: Rahmendokument	BSI TR-03172：フレームワーク文書
Das vorliegende Dokument TR-03172 bildet den Rahmen der Technischen Richtlinie ab und dient als Anlaufpunkt zur schnellen Orientierung innerhalb der Technischen Richtlinie. Es enthält eine Einführung in die Thematik und formuliert den Rahmen der Technischen Richtlinie. Zusätzlich erklärt das Dokument Aufbau und Struktur der Technischen Richtlinie und verweist für die jeweiligen Komponenten und Fragestellungen auf die entsprechenden Teildokumente oder zusätzlichen Technischen Richtlinien. Abschließend enthält es das zentrale Glossar, sowie das zentrale Abkürzungsverzeichnis. Zum Verständnis der Technischen Richtlinie muss jeweils der relevante TR-Teil in Kombination mit dem Rahmendokument betrachtet werden.	本文書TR-03172は、技術ガイドラインの枠組みを提供し、技術ガイドライン内の素早いオリエンテーションの起点となる。本文書は、主題の紹介と技術ガイドラインの枠組みの策定を含んでいる。さらに、この文書では技術ガイドラインの構造を説明し、個々のコンポーネントや質問に関連するサブ文書や追加の技術ガイドラインを参照している。最後に、この文書には主要な用語集と主要な略語リストが含まれている。技術ガイドラインを理解するには、関連するTRパートを枠組み文書と併せて考慮する必要がある。
BSI TR-03172-1: PVOG	BSI TR-03172-1: PVOG
Das Online-Gateway Portalverbund (PVOG) ist eine zentrale Komponente des Portalverbunds. Es dient dem Finden und Ansteuern von Verwaltungsleistungen. Hierfür kommuniziert es mit angeschlossenen Redaktionssystemen, welche Informationen zu Verwaltungsleistungen sowie Zuständigkeiten enthalten. Das PVOG kann in Verwaltungsportale eingebunden werden. Das Teildokument TR-03172-1 umfasst Anforderungen an das PVOG inklusive der Schnittstellen zu den angeschlossenen Redaktionssystemen.	ポータルネットワークのオンラインゲートウェイ（Online-Gateway Portalverbund – PVOG）は、ポータルネットワークの中心的なコンポーネントである。行政サービスを検索し、アクセスするために使用される。このために、行政サービスと責任に関する情報を含む接続された編集システムと通信する。PVOGは行政ポータルに統合することができる。サブドキュメントTR-03172-1は、接続された編集システムへのインターフェースを含む、PVOGの要件をカバーしている。
BSI TR-03172-2: Datenschutzcockpit	BSI TR-03172-2: データ保護コックピット
Das Datenschutzcockpit ist eine zentrale Komponente, die es Nutzenden erlaubt, Auskunft über den Austausch ihrer Daten zwischen angeschlossenen Behörden nachzuvollziehen, sofern dieser unter Verwendung der Identifikationsnummer des Nutzenden stattgefunden hat. Das Teildokument beschreibt insbesondere die Anforderungen an die sichere Abfrage und Übertragung der besonders schützenswerten Informationen aus dem Datenschutzcockpit.	データ保護コックピットは、ユーザーの識別番号を使用して接続された当局間でデータの交換が行われた場合に、ユーザーがそのデータ交換に関する情報を追跡できる中心的なコンポーネントである。特に、このサブドキュメントでは、データ保護コックピットから特に機密性の高い情報を安全に取得および送信するための要件について説明している。
BSI TR-03172-3: Onlinedienst	BSI TR-03172-3: オンラインサービス
Der Onlinedienst ist ein Service, mit dem die antragstellende Person interagiert und der die Antragsdaten entgegennimmt. Er erzeugt hieraus die Fachnachricht des Antrags zur Verwaltungsleistung und sendet diese Richtung Fachverfahren als empfangende Stelle ab. In der TR-03172-3 werden neben dem Betrieb des Onlinedienstes ebenfalls Anforderungen an die unterschiedlichen Funktionen, die im Rahmen der Antragsstellung möglich sind, etwa dem Dateiupload oder einer Zwischenspeicherung gestellt.	オンラインサービスは、申請者がやりとりを行い、申請データを受け取るサービスである。このデータを使用して管理サービス用の申請管理メッセージを生成し、受信ポイントとして専門手続きに送信する。オンラインサービスの運用に加え、TR-03172-3では、申請の提出時に可能な各種機能（ファイルのアップロードや一時保存など）の要件も定義している。
BSI TR-03172-4: Antragsrouting	BSI TR-03172-4: 申請のルーティング
Das Antragsrouting ist ein Dienst für die Zuständigkeitsfindung und Zustellung von Anträgen über eine eigene Komponente im Portalverbund. Dies ist für die korrekte Zustellung zwischen Onlinediensten und Fachverfahren relevant. Das zugehörige Teildokument formuliert informationssicherheitstechnische Anforderungen an den Ablauf des Routings und die Zustellung von Antragsdaten an die Fachverfahren.	リクエストルーティングは、ポータルネットワーク内の専用コンポーネントを介して責任を決定し、リクエストを配信するサービスである。これは、オンラインサービスと専門手続き間の正確な配信に関連する。関連するサブドキュメントは、ルーティングプロセスと専門手続きへのリクエストデータの配信に関する情報セキュリティ要件を定めている。
BSI TR-03172-5: ePayment	BSI TR-03172-5: ePayment
Das Teildokument TR-03172-5 formuliert Anforderungen an die Bezahlkomponente des Portalverbunds, über die die Zahlungsinformationen für einen Antrag notwendig sind, also Ermittlung und Zuordnung der empfangenden Stelle, Vorgangszuordnung, Zahlungsmodalitäten und Weiterleitung auf angebundene Zahlungsverkehrsprovider.	サブドキュメントTR-03172-5は、ポータルネットワークの支払いコンポーネントに関する要件を定めており、これはアプリケーションの支払い情報に必要なもので、すなわち、受取機関の決定と割り当て、取引の割り当て、支払い条件、接続された支払い取引プロバイダーへの転送などである。
Zusätzlich formuliert die Technische Richtlinie TR 03160 „Servicekonten“ [6] in ihren Teil-Technischen Richtlinien Vorgaben zu Nutzerkonten, Interoperabilität und Postfächern.	さらに、技術ガイドラインTR 03160「サービスアカウント」[6]では、そのサブ技術ガイドラインにおいて、ユーザーアカウント、相互運用性、メールボックスの仕様を定めている。

 

 

 

TR-03172-3 Onlinedienst

TR-03172-3 オンラインサービス

 

 

TR-03172-4 Antragsrouting

TR-03172-4 申請ルーティング

 

 

オンラインアクセス法のウェブページ...

● Das Onlinezugangsgesetz (OZG)

内容が最新ではない？？？

 

 

オンラインアクセス法の条文（仮対訳）...

↓↓↓↓↓↓

Continue reading "ドイツ BSI オンラインアクセス法に基づくポータルネットワークの技術ガイドライン (2025.02.04)"

米国 NIST IR 8356 デジタルツイン技術におけるセキュリティと信頼の考慮点 (2025.02.14)

こんにちは、丸山満彦です。

NISTが、IR 8356 デジタルツイン技術におけるセキュリティと信頼の考慮点を公表していますね...

2021年の4月にドラフトがでたものが、ほぼ4年たって確定した感じです。当時は画期的であったかもしれませんが、実装も進みつつ有り？、少し落ち着いた感じですかね...

 

● NIST - ITL

・2025.02.14 NIST IR 8356 Security and Trust Considerations for Digital Twin Technology

NIST IR 8356 Security and Trust Considerations for Digital Twin Technology	NIST IR 8356 デジタルツイン技術におけるセキュリティと信頼の考慮点
Abstract	概要
Digital twin technology enables the creation of electronic representations of real-world entities and the ability to view the states and transitions between states of these entities. This report discusses the concept and purpose of digital twin technology and describes its characteristics, features, functions, and expected operational uses. This report also discusses both traditional and novel cybersecurity challenges presented by digital twin technology as well as trust considerations in the context of existing NIST guidance and documents.	デジタルツイン技術は、実世界の事業体を電子的に表現し、その状態や状態間の遷移を見ることができる。本レポートでは、デジタルツイン技術の概念と目的について述べ、その特徴、機能、期待される運用方法について説明する。また本報告書では、デジタルツイン技術によってもたらされる従来のサイバーセキュリティの課題と新たなサイバーセキュリティの課題、さらに既存の NIST ガイダンスや文書との関連における信頼性の検討についても議論する。

 

・[PDF] NIST.IR.8356

・[DOCX][PDF] 仮訳

 

目次...

1. Introduction	1. 序文
2. Definitions of Digital Twins	2. デジタルツインの定義
3. Motivation and Vision	3. モチベーションとビジョン
3.1. Advantages of Digital Twin Technology	3.1. デジタルツイン技術の利点
3.2. Expectation of Standards	3.2. 標準への期待
3.3. Supportive Technologies	3.3. 支援技術
4. Operations on Digital Twins	4. デジタルツインの操作
4.1. Digital Twins Definitions and the Creation of Digital Twin Instances	4.1. デジタルツインの定義とデジタルツイン・インスタンスの作成
4.2. Manipulation and Modification of Digital Twin Definitions and Instances	4.2. デジタルツインの定義とインスタンスの操作と変更
4.3. Exchange of Digital Twin Definitions and Instances	4.3. デジタルツインの定義とインスタンスを交換する
5. Usage Scenarios for Digital Twins	5. デジタルツインの利用シーン
5.1. Viewing Static Models of Digital Twins	5.1. デジタルツインの静的モデルを見る
5.2. Executing and Viewing Dynamic Models of Digital Twins	5.2. デジタルツインの動的モデルの実行と表示
5.3. Real-Time Monitoring of Real-World Entities	5.3. 実世界事業体のリアルタイム・モニタリング
5.4. Real-Time Command and Control of Real-World Entities	5.4. 実世界事業体のリアルタイム・コマンド＆コントロール
6. Highlighted Use Cases	6. 注目の使用例
7. Cybersecurity Considerations	7. サイバーセキュリティの考慮
7.1. Novel Cybersecurity Challenges	7.1. サイバーセキュリティの新たな課題
7.1.1. Massive Instrumentation of Objects	7.1.1. 物体の大量計測
7.1.2. Centralization of Object Measurements	7.1.2. 物体測定の集中化
7.1.3. Visualization and Representation of Object Operation	7.1.3. オブジェクト操作の可視化と表現
7.1.4. Remote Control of Objects	7.1.4. 物体の遠隔操作
7.1.5. Standards for Digital Twin Definitions That Allow for Universal Access and Control	7.1.5. 普遍的なアクセスと管理を可能にするデジタルツイン定義の標準化
7.2. Traditional Cybersecurity Challenges and Tools	7.2. 従来のサイバーセキュリティの課題とツール
8. Trust Considerations	8. 信頼の考慮
9. Conclusions	9. 結論
References	参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms	附属書 A.記号、略語、頭字語のリスト
Appendix B. Glossary	附属書 B.用語集

 

 

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.18 NISTIR 8356 (Draft) デジタルツイン技術と新しい標準に関する考慮事項

 

 

欧州委員会 人工知能と仕事の未来 (2025.02.13)

こんにちは、丸山満彦です。

欧州連合から、人工知能と仕事の未来についての報告書が公表されていますね...

多くの欧州人は職場においてAIやロボットを受け入れ、生産性を向上させると信じている感じですね... 国による多少のばらつきはあるものの...

プラスと考えている人の傾向としては、若い人、教育レベルが高い人、経済的な困難がない人、職についている人という特性があるようですね...

ただ、ほぼ全ての人がプライバシーや透明性への配慮は必要と考えているよです...

 

● European Commission

プレス...

・2025.02.13 Commission survey shows that most Europeans support use of artificial intelligence in the workplace

Commission survey shows that most Europeans support use of artificial intelligence in the workplace	欧州委員会の調査によると、欧州人の大半が職場での人工知能の利用を支持している
Most people in Europe think that digital technologies, including artificial intelligence (AI), have a positive impact on their jobs, the economy, society, and on quality of life. This is what reveals a new Eurobarometer survey, published on 13 February 2025.	欧州のほとんどの人々は、人工知能（AI）を含むデジタル技術が、自分たちの仕事、経済、社会、そして生活の質にプラスの影響を及ぼすと考えている。これは、2025年2月13日に発表されたユーロバロメーターの新しい調査結果である。
More than 60% of Europeans positively view robots and AI at work and over 70% believe they improve productivity. While a majority supports using robots and AI to make decisions at work, 84% of Europeans think that AI requires careful management to protect privacy and ensure transparency in the workplace.	ヨーロッパ人の60％以上が、仕事におけるロボットやAIを肯定的にとらえ、70％以上が生産性を改善すると考えている。過半数が職場での意思決定にロボットやAIを使用することを支持しているが、84％の欧州人は、AIにはプライバシーの保護や職場の透明性を確保するための慎重な管理が必要だと考えている。
Executive Vice-President for Social Rights and Skills, Quality Jobs and Preparedness, Roxana Mînzatu, said:	ロクサーナ・ミンザツ副社長（社会的権利・技能・質の高い仕事・準備担当）は、次のように述べた：
“Artificial intelligence is becoming an integral part of modern workplaces. We must use it in a way that both helps workers and protects them. We have a strong basis of rules, with our GDPR, the AI Act, and the Directive on platform work. We will look at how these rules are applied to address the impact of AI throughout the wider labour market.”	「人工知能は現代の職場に不可欠なものとなりつつある。私たちは、労働者を助け、労働者を保護する方法で人工知能を利用しなければならない。GDPR、AI法、プラットフォームワークに関する指令など、我々には強力なルールの基礎がある。我々は、より広い労働市場全体でAIの影響に対処するために、これらのルールがどのように適用されるかを検討する。
The results of the survey align with one of the key objectives of the EU's Competitiveness Compass, to integrate digital technologies and AI into workplaces to boost innovation and productivity. The EU has allocated €2 billion from the European Social Fund Plus (ESF+) and €23 billion from the Recovery and Resilience Fund (RRF) to Member States to support the development of digital skills. The Digital Europe Programme has also invested €580 million to advance digital skills between 2021-2027.	この調査結果は、EUのCompetitiveness Compassの主要目標のひとつである、イノベーションと生産性を高めるためにデジタル技術とAIを職場に統合することと一致している。EUは、欧州社会基金プラス（ESF+）から20億ユーロ、回復・レジリエンス基金（RRF）から230億ユーロを加盟国に割り当て、デジタルスキルの開発を支援している。また、デジタル・ヨーロッパ・プログラムは、2021年から2027年にかけて、デジタル・スキルを向上させるために5億8,000万ユーロを投資した。
More information on the Eurobarometer on Artificial Intelligence and the future of work.	人工知能と仕事の未来に関するユーロバロメーターに関する詳細はこちら。

 

報告...

・Artificial Intelligence and the future of work

 

最初にインフォグラフィックス...

・[PDF] Infographics

 

Artificial Intelligence and the future of work	人工知能と仕事の未来
Abstract	概要
Most people in Europe believe that digital technologies, including artificial intelligence, have a positive impact on their jobs, the economy, society, and on quality of life. 62% of Europeans view robots and AI positively at work and 70% believe it improves productivity. While a majority supports using robots and AI to make decisions at work, 84% of Europeans think that AI requires careful management to protect privacy and ensure transparency in the workplace.	ヨーロッパのほとんどの人々は、人工知能を含むデジタル技術が、仕事、経済、社会、そして生活の質に良い影響を与えると信じている。62％の欧州人が、仕事におけるロボットやAIを前向きに捉えており、70％が生産性の向上を信じている。過半数が職場での意思決定にロボットやAIを利用することを支持しているが、欧州人の84%は、AIにはプライバシーの保護や職場の透明性を確保するための慎重な管理が必要だと考えている。
Key findings	主な調査結果
Perception of robots and Artificial intelligence	ロボットと人工知能に対する認識
67% positively perceive the use of digital technologies, including Artificial Intelligence, to improve workers’ safety and security.	67%が、人工知能を含むデジタル技術の利用が労働者の安全と安心を向上させることを肯定的に受け止めている。
QB8.5. In general, how positively or negatively do you perceive the use of digital technologies, including Artificial Intelligence, in the workplace for each of the following activities - Improving workers' safety and security.	QB8.5. 人工知能を含むデジタル技術の職場における利用について、一般的にどの程度肯定的か否定的か。
Perception of rules on digital technologies in the workplace	職場におけるデジタル技術に関する規則についての認識
Most Europeans support clear rules for the use of digital technologies, for instance protecting workers’ privacy (82%) and involving workers and their representatives in the design and adoption of new technologies (77%).	例えば、労働者のプライバシーの保護（82％）、新技術の設計・採用における労働者とその代表者の関与（77％）などである。
QB11.1. How important, if at all, do you think the following rules would be in addressing risks and maximizing the benefits of digital technologies, including Artificial Intelligence, in the workplace?	QB11.1. 職場で人工知能を含むデジタル技術のリスクに対処し、利益を最大化する上で、以下のルールが重要であると考える場合、どの程度重要であると考えるか。

 

報告書

サマリー...

・[PDF] Summary

 

本体

・[PDF] Report (EN)

 

目次...

Introduction	序文
Key findings	主な調査結果
I. General perceptions of digital technologies	I. デジタル技術に対する一般的認識
1. Impact of digital technologies	1. デジタル技術の影響
a) Current employment	a) 現在の雇用
b) The economy	b) 経済
c)  Society	c) 社会
d)  Quality of life	d) 生活の質
e)  Social security benefits	e) 社会保障給付
II. Proficiency with digital technologies	II. デジタル技術の習熟度
1. Digital skills overall	1. デジタル技術全般
a) In daily life	a) 日常生活
b) Digital and learning opportunities	b) デジタル技術と学習の機会
2. Digital skills and labour market	2. デジタルスキルと労働市場
a) Current employment	a) 現在の雇用
b) Future employment	b) 将来の雇用
III. Attitudes towards digital technologies and Artificial Intelligence in the workplace	III. 職場におけるデジタル技術と人工知能に対する態度
1. Perception of robots and Artificial Intelligence 30	1. ロボットと人工知能に対する認識 30
a) In the workplace	a) 職場において
b) In the labour market	b) 労働市場において
2. Perceived impact of robots and Artificial Intelligence 42	2. ロボットと人工知能が与える影響についての認識 42
a) Overall	a) 全体的な影響
b) On specific activities	b) 特定の情報活動への影響
3. Perceptions of rules on digital technologies in the workplace	3. 職場におけるデジタル技術に関する規則についての認識
IV. Experience with digital technologies in the workplace	IV.職場におけるデジタル技術の使用経験
1. Awareness of the use of digital technologies 68	1. デジタル技術の使用に関する認識 68
a) Overall	a) 全体的なもの
b) Activities performed by digital technologies	b) デジタル技術によって行われる活動
c) Communication around the use of digital technologies	c) デジタル技術の使用をめぐるコミュニケーション
2. Provision of tools and training to work effectively with digital technologies	2. デジタル技術を効果的に活用するためのツールやトレーニングの提供
Conclusion	結論
Technical Specifications	技術仕様
Questionnaire	アンケート

 

序文...

Introduction	序文
Artificial intelligence, or AI, refers to computer systems capable of performing tasks that typically require human intelligence.. As AI develops, it can offer benefits to citizens and businesses across Europe, and it can lead to increase in productivity and job creation. However, the rise of AI also gives rise to challenges. The stock of industrial robots in Europe has more than quadrupled in the past 25 years. Technological advancement generates increasing uncertainty. Technology may have a significant impact on the quantity of jobs available to humans, but it also transforms them, changing how jobs are performed, with implications for workers’ quality of life and for productivity.	人工知能（AI）とは、通常人間の知能を必要とするタスクを実行できるコンピューターシステムを指す。AIが発展すれば、欧州全域の市民や企業に恩恵をもたらし、生産性の向上や雇用創出につながる可能性がある。しかし、AIの台頭は課題も生む。欧州における産業用ロボットのストックは、過去25年間で4倍以上に増加した。技術の進歩は不確実性を増大させる。テクノロジーは、人間が利用できる仕事の量に大きな影響を与えるかもしれないが、同時に、仕事のやり方を変え、労働者の生活の質や生産性に影響を与える。
The European Commission recognised this potential early and is taking action to foster the take-up of artificial intelligence by the private and public sectors. In its Communication of April 2018 on Artificial Intelligence for Europe, the Commission outlines a number of measures and financing instruments through which it will promote this goal[1]. Moreover, linking to the European Digital Strategy[2], in July 2020, the European Commission launched the European Skills Agenda for sustainable competitiveness, social fairness and resilience, which sets ambitious objectives for upskilling (improving existing skills) and reskilling (training in new skills) . Since then, much progress has been made in each of the 12 flagship actions identified[3], including the publication in early 2022 of the updated Digital Competence Framework covering the digital competences needed for emerging technologies and AI[4].	欧州委員会は、この可能性を早くから認識し、民間部門と公的部門による人工知能の導入を促進するために行動を起こしている。欧州委員会は、2018年4月に発表した「欧州のための人工知能」に関するコミュニケーションにおいて、この目標を推進するための多くの施策と融資手段を概説している[1]。さらに、欧州委員会は、欧州デジタル戦略[2]と連動して、2020年7月に「持続可能な競争力、社会的公正、レジリエンスのための欧州技能アジェンダ」を立ち上げ、アップスキル（既存の技能の向上）とレジリエンス（新たな技能の訓練）に関する野心的な目標を設定している。それ以来、特定された12のフラッグシップ・アクション[3]のそれぞれにおいて多くの進展が見られ、2022年初頭には、新興技術やAI[4]に必要なデジタル・コンピテンスを網羅した最新のデジタル・コンピテンス枠組みが発表された。
The accelerated digitalisation of workplaces also puts the spotlight on issues related to surveillance, the use of data, and the application of algorithmic management tools. Algorithms can be used in management functions, such as planning, organisation, command, coordination and control. The Joint Research Centre’s AMPWork study finds that a relatively high proportions of workers in Spain and Germany use digital tools and are subject to digital monitoring and algorithmic management[5]. AI systems are also often applied to guide recruitment, monitor workloads, or define remuneration rates.	職場のデジタル化の加速は、監視、データの利用、アルゴリズム管理ツールの適用に関する問題にもスポットライトを当てている。アルゴリズムは、計画、組織化、指揮、調整、制御といった管理機能に利用することができる。共同研究センターのAMPWork調査によると、スペインとドイツでは、比較的高い割合の労働者がデジタルツールを使用し、デジタル監視とアルゴリズム管理の対象になっている[5]。AIシステムはまた、採用の指導、仕事量の監視、報酬率の定義に適用されることも多い。
Addressing the challenges of algorithmic decision-making, notably the risks of biased decisions, discrimination and lack of transparency, can improve trust in AI-powered systems, promote their uptake and protect fundamental rights[6]. Proposed by the European Commission in December 2021 and provisionally agreed upon by the European Parliament and the Council in February 2024, the Platform Work Directive will be the first EU instrument to tackle the challenges arising from the use of AI in the workplace. Once finally adopted, it will provide more transparency, fairness, human oversight, safety and accountability regarding algorithmic management on digital labour platforms by helping people better understand how tasks are allocated and prices are set. It will also enable them to contest decisions that affect working conditions if needed. Against this backdrop, this Special Eurobarometer survey aims to gauge EU citizens’ perceptions of and attitudes towards automation and AI in working life. More particularly, the study covers the following topics:	アルゴリズムによる意思決定の課題、特に偏った決定、識別的リスク、透明性の欠如に改善することで、AI搭載システムに対する信頼を向上させ、その導入を促進し、基本的権利を守ることができる[6]。2021年12月に欧州委員会によって提案され、2024年2月に欧州議会と理事会によって暫定合意されたプラットフォームワーク指令は、職場におけるAIの使用から生じる課題に取り組む最初のEUの制度となる。最終的に採択されれば、デジタル労働プラットフォームにおけるアルゴリズム管理について、透明性、公平性、人間による監視、安全性、説明責任を高めることになる。また、必要に応じて、労働条件に影響する決定に異議を唱えることも可能になる。このような背景から、このユーロバロメーター特別調査は、EU市民の労働生活における自動化とAIに対する認識と態度を測定することを目的としている。具体的には、以下のトピックを対象としている：
・General perceptions of the impact of digital technologies;	・デジタル技術の影響に関する一般的な認識、
・Proficiency with digital technologies;	・デジタル技術の習熟度、
・Awareness of and experience with digital technologies, including AI, in the workplace;	・職場におけるAIを含むデジタル技術に対する認識と経験、
・Attitudes towards these digital technologies and their use in the workplace.	・デジタル技術と職場におけるその使用に対する態度。
The survey finds that, while positive perceptions of the impact of the most recent digital technologies have declined over the past seven years, Europeans still generally have a positive view of said impact. Specifically, while citizens generally see the positive potential of technologies and specifically artificial intelligence, this does not translate to unfettered support. Notably, more than six in ten Europeans say they think robots and artificial intelligence area good thing for society, with the caveat that a clear majority (84%) also say such technologies need careful management. The survey highlights that the potential of robots and artificial intelligence to lighten workload by doing boring or repetitive jobs or being used to make accurate decisions is appreciated, but respondents are wary of their impact on social areas like communication between colleagues.	同調査によると、最新のデジタル技術の影響に対する肯定的な認識は過去7年間で低下しているものの、欧州の人々は依然として一般的に同影響を肯定的に捉えている。具体的には、市民は一般的にテクノロジー、特に人工知能のポジティブな可能性を見ているが、これは自由な支持にはつながらない。注目すべきは、10人に6人以上のヨーロッパ人が、ロボットや人工知能は社会にとって良いことだと思うと答えていることだ。この調査では、ロボットや人工知能が、退屈な仕事や繰り返しの多い仕事をこなしたり、正確な判断を下すために使われることで、仕事量を軽減する可能性は評価されているが、回答者は、同僚間のコミュニケーションなど社会的な分野への影響を警戒していることが浮き彫りになっている。
Looking specifically at digital skills and awareness, most Europeans think of their current skills as sufficient for their daily life and work needs. However, this result should be seen in context: a significant number of Europeans who lack even basic digital skills (almost 45%)[7] and the number of ICT specialists is growing but still relatively low (est. 9.8 million)[8]. Most employees are also aware of their employer’s use of digital technologies to manage employee activities.	デジタル・スキルと意識について具体的に見ると、ほとんどのヨーロッパ人は、現在の自分のスキルは日常生活や仕事のニーズに対して十分だと考えている。しかし、この結果は、基本的なデジタル・スキルさえ不足している欧州人がかなり多く（約45％）[7]、ICTスペシャリストの数は増加しているが、まだ比較的少ない（推定980万人）[8]。ほとんどの従業員は、雇用主が従業員の活動を管理するためにデジタル技術を利用していることも認識している。
Patterns in the opinions of Europeans based on their sociodemographic characteristics are also highlighted throughout the report. Younger respondents, respondents with less financial difficulties, respondents who are currently in employment or those with a higher education level tend to have more positive attitudes towards technologies and artificial intelligence, for example.	社会人口統計学的特徴に基づく欧州人の意見のパターンも、本レポートを通じて強調されている。例えば、若い回答者、経済的困難が少ない回答者、現在就業中の回答者、教育レベルの高い回答者は、テクノロジーや人工知能に対してより肯定的な態度を示す傾向がある。
Some of the questions in this Special Eurobarometer were asked in previous Eurobarometer surveys conducted in March 2017[9] and in December 2019[10]. Where possible, the results of the current survey are compared with those of the two previous studies.	この特別ユーロバロメーターに掲載されている質問の一部は、2017年3月[9]と2019年12月[10]に実施されたユーロバロメーターの過去の調査でも質問されている。可能な限り、今回の調査結果は、過去2回の調査結果と比較している。

[1] ''Communication Artificial Intelligence for Europe', COM(2018) 237 final: 1 https://eurlex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52018DC0237.

[2] 'Shaping Europe's digital future': https://digital-strategy.ec.europa.eu/en/policies.

[3] 'Factsheet - European Skills Agenda: progress on the 11 flagship actions (2023)'.Available at: https://ec.europa.eu/social/main.jsp?catld=1223

[4] 'Digital Competences Framework (DigComp 2.2) update published':https://ec.europa.eu/social/main.jsp?langld=en&catld=89&newsld=10193&furtherNews=yes.

[5] 5 'Algorithmic management and digital monitoring of work: https://joint-research-centre.ec.europa.eu/scientific-activities-z/employment/algorithmic-management-and-digital-monitoring-work_en.

[6] 'The European Pillar of Social Rights Action Plan': https://pp.europa.eu/ebpub/empl/european-pllar-of-soclal-rights/en.

[7] Digital skills in 2023: impact of education and age : https://ec.europa.eu/eurostat/web/products-eurostat-news/w/ddn-20240222-1

[8] More people employed in ICT in the EU in 2023 : https://ec.europa.eu/eurostat/web/products-eurostat-news/w/ddn-20240524-2

[9] Special Eurobarometer 460, 'Attitudes towards the impact of digitisation and automation on daily life': https://europa.eu/eurobarometer/surveys/detail/2160.

[10] Special Eurobarometer 503, 'Attitudes towards the impact of digitalisation on daily lives': https://europa.eu/eurobarometer/surveys/detail/2228.

 

主な発見事項...

At least half of Europeans believe the most recent digital technologies, including Artificial Intelligence, have a positive impact on each of the areas tested	欧州の人々の少なくとも半数は、人工知能を含む最新のデジタル技術が、テストした各分野にプラスの影響を与え ていると考えている
・Two thirds of respondents currently in employment think the most recent digital technologies, including Artificial Intelligence, currently have a positive impact on their job (66%).	・現在就業中の回答者の3分の2は、人工知能を含む最新のデジタル技術が、現在自分の仕事にプラスの影響を与え ていると考えている（66％）。
・Of all the respondents, more than six in ten believe the most recent digital technologies currently have a positive impact on the economy, their quality of life and social security benefits (all 62%).	・全回答者のうち、10人に6人以上が、最新のデジタル技術は現在、経済、生活の質、社会保障給付にプラスの影響を与えていると考えている（いずれも62％）。
・More than half (56%) indicate that the most recent digital technologies have a positive impact on society.	・半数以上（56%）が、最新のデジタル技術は社会に良い影響を与えていると回答している。
・The proportions who think the most recent technologies have a positive impact on the economy (-13 percentage points), society (-8 pp) and their quality of life (-5 pp) have declined since March 2017.	・最新のテクノロジーが経済（-13％ポイント）、社会（-8％ポイント）、生活の質（-5％ポイント）にプラスの影響を与えると考える割合は、2017年3月以降減少している。
・Younger respondents, those with a higher education level, those with the least financial difficulties, and those who are currently working are the most likely to think these technologies have a positive impact.	・若い回答者、教育レベルが高い回答者、経済的困難が最も少ない回答者、現在働いている回答者が、これらの技術がプラスの影響を与えると考える傾向が最も高い。
Large majorities think that rules addressing risks and maximising the benefits of digital technologies in the workplace would be important	職場でのリスクへの対処とデジタル技術の便益を最大化するルールが重要であると考える人が大多数
・More than eight in ten (82%) say protecting workers' privacy would be important in addressing risks and maximizing the benefits of digital technologies, including Artificial Intelligence, in the workplace.	・10人に8人以上（82％）が、職場でのリスクへの対処と人工知能を含むデジタル技術の便益を最大化する上で、労働者のプライバシーの保護が重要であると答えている。
・Similarly, more than seven in ten think it would be important to involve workers and their representatives in the design and adoption of new technologies (77%), to enforce more transparency in the use of digital technologies to handle HR decision-making (75%), to prohibit fully automated decision-making processes (74%) and to limit the automated monitoring of employees (72%).	・同様に、10人に7人以上が、新技術の設計と導入に労働者とその代表者を参加させること（77％）、人事の意思決定にデジタル技術を使用する際の透明性を高めること（75％）、意思決定プロセスの完全自動化を禁止すること（74％）、従業員の自動監視を制限すること（72％）が重要だと考えている。
Majorities consider themselves to be sufficiently skilled in the use of the most recent digital technologies	過半数が最新のデジタル技術の使用に十分熟練していると考えている
・Around seven in ten consider themselves to be sufficiently skilled in the use of the most recent digital technologies, including Artificial Intelligence, to be able to benefit from digital and online learning opportunities (71%, +14 percentage point since March 2017) and in their daily life (70%). The respondents who answered are not included in the analysis of this question in order to ensure the trend comparability.	・約10人に7人が、人工知能を含む最新のデジタル技術の使用に十分熟練しており、デジタルやオンライン学習の機会（71％、2017年3月から14ポイント増）や日常生活（70％）から恩恵を受けることができると考えている。傾向の比較可能性を確保するため、本設問の分析には回答者は含まれていない。
・Among those currently in employment and who did not answer ‘Not applicable’ at the aforementioned question, three quarters feel they have a sufficient level of digital skills to do their job (75%, -7 pp).	・現在就業中で、前述の質問で「該当しない」と回答しなかった回答者のうち、4分の3が自分の仕事に十分なレベルのデジタルスキルがあると感じている（75%、-7pp）。
・More than seven in ten respondents who are not retired and did not answer ‘Not applicable’ believe they possess an adequate digital proficiency to do a future job if they were to find a job or to change jobs within the next twelve months (72%, +9 pp).	・退職しておらず、「該当しない」と回答しなかった回答者の10人に7人以上が、今後1年以内に就職または転職する場合、将来の仕事をこなすのに十分なデジタル技能を保有していると考えている（72％、+9pp）。
・Respondents in Denmark, Finland, Luxembourg, Malta, the Netherlands and Sweden are among the most likely to feel confident about their digital skills, while the reverse is true for those in Greece, Hungary, Italy, Portugal and Romania.	・デンマーク、フィンランド、ルクセンブルク、マルタ、オランダ、スウェーデンの回答者は、自分のデジタルスキルに自信を持つ傾向が最も強いが、ギリシャ、ハンガリー、イタリア、ポルトガル、ルーマニアの回答者はその逆である。
・Younger respondents, those with a higher education level, those in a better financial situation and those who are currently working are the most inclined to say they have a sufficient level of digital skills.	・若い回答者、教育レベルの高い回答者、経済状況の良い回答者、現在働いている回答者は、十分なレベルのデジタルスキルがあると答える傾向が最も強い。
Most Europeans have a positive opinion of robots and Artificial Intelligence in the workplace, but concerns about their negative impact on employment are still present	ほとんどの欧州人は職場でのロボットや人工知能を肯定的に捉えているが、雇用への悪影響に対する懸念は依然として存在する
・More than six in ten (62%, +1 pp) positively perceive the use of robots and Artificial Intelligence in the workplace, while close to one third (32%, +2 pp) have a negative perception. These perceptions however vary notably by country, with 86% of respondents in Denmark saying they perceive this positively compared to less than half in Portugal or Greece (both 48%).	・10人に6人以上（62％、+1pp）が職場でのロボットや人工知能の利用を肯定的に捉えているが、3分の1近く（32％、+2pp）は否定的に捉えている。しかし、これらの認識は国によって大きく異なり、デンマークでは回答者の86％が肯定的に認識していると答えているのに対し、ポルトガルやギリシャでは半数以下（いずれも48％）であった。
・Majorities agree that robots and Artificial Intelligence increase the pace at which workers complete tasks (73%), that Artificial Intelligence is necessary as it can do jobs that are seen as boring or repetitive (66%) and that robots and Artificial Intelligence can be used to make accurate decisions in the workplace (53%).	・ロボットや人工知能によって、労働者が仕事をこなすペースが速くなる（73％）、退屈で反復的だと思われている仕事をこなすことができる人工知能は必要である（66％）、職場で正確な意思決定をするためにロボットや人工知能を使うことができる（53％）。
・At the same time, 66% believe that due to the use of robots and Artificial Intelligence, more jobs will disappear than new jobs will be created, and that robots and Artificial Intelligence steal peoples’ jobs. However, both these proportions have declined since March 2017 (-8 pp and -6 pp, respectively).	・同時に、66％は、ロボットや人工知能の利用によって、新しい仕事が生まれるよりも多くの仕事がなくなると考えており、ロボットや人工知能は人々の仕事を奪うと考えている。しかし、これらの割合はいずれも2017年3月以降低下している（それぞれ-8pp、-6pp）。
・In addition, 61% agree that robots and Artificial Intelligence have a negative impact on communication between colleagues.	・さらに、ロボットや人工知能が同僚間のコミュニケーションに悪影響を与えることに61%が同意している。
Large majorities think robots and Artificial Intelligence are a good thing for society, but also that they should be carefully managed	ロボットや人工知能は社会にとって良いものだが、注意深く管理されるべきものだと考える人が大多数
・More than six in ten (63%) think that robots and Artificial Intelligence help people do their jobs or carry out daily tasks at home. This proportion shows a decrease of five percentage points since March 2017.	・10人に6人以上（63％）が、ロボットや人工知能は人々の仕事や家庭での日常業務を助けると考えている。この割合は2017年3月から5ポイント減少している。
・Nonetheless, more than eight in ten (84%, -4 pp) think that these technologies require careful management.	・それにもかかわらず、10人に8人以上（84%、-4pp）は、これらのテクノロジーには慎重な管理が必要だと考えている。
・Less than half (48%) indicate that robots and Artificial Intelligence should be used more widely outside the workplace, while 43% hold the opposite view.	・半数以下（48％）は、ロボットや人工知能は職場外でもっと広く使われるべきであると回答し、43％は反対の見解を示している。
The use of digital technologies, including Artificial Intelligence, for many activities in the workplace is seen in a negative light	職場の多くの活動に人工知能を含むデジタル技術が使用されることは否定的に捉えられている
・Overall, respondents are concerned about the use of digital technologies, including Artificial Intelligence, to automatically fire workers (78%), to monitor workers (63%), to assess workers’ performance (57%), to select applicants for a job (57%), to gather additional information on applicants for a job (50%), and to collect, process, and store workers’ personal data (49%).	・全体として、回答者は人工知能を含むデジタル技術が、労働者を自動的に解雇する（78％）、労働者を監視する（63％）、労働者の業績を評価する（57％）、就職希望者を選考する（57％）、就職希望者の追加情報を収集する（50％）、労働者のパーソナルデータの収集、処理、保存をする（49％）に使用されることを懸念している。
・However, around two thirds (67%) positively perceive the use of such technologies to improve workers’ safety and security, and a relative majority positively perceive their use to allocate tasks to workers or manage their working schedules and shifts (49% positively vs 44% negatively).	・しかし、約3分の2（67％）は、労働者の安全と安心を向上させるためにこのような技術が使用されることを肯定的に受け止めており、また、労働者に仕事を割り当てたり、労働スケジュールやシフトを管理したりするために使用されることを肯定的に受け止めている人が比較的多い（肯定的49％対否定的44％）。
・Positive perceptions of the use of these technologies in the workplace are more widespread among younger respondents, those with a higher education level and those who are currently working.	・職場におけるこうした技術の使用に対する肯定的な認識は、回答者の年齢が若いほど、教育水準が高いほど、そして現在働いている人ほど広がっている。
A majority is aware of the use their employer makes of digital technologies and sizeable proportions report that digital technologies have been used to perform activities in their workplace	過半数が雇用主がデジタル技術を利用していることを認識しており、かなりの割合が職場でデジタル技術が利用されていると報告している
・More than six in ten of those who are currently in employment (62%) say they are aware of the use their employer makes of digital technologies, including Artificial Intelligence, to manage their or their coworkers’ activities.	・現在就業中の人の10人に6人以上（62%）が、雇用主が自分や同僚の活動を管理するために、人工知能を含むデジタル技術を利用していることを認識していると答えている。
・Among those who have a current or past occupation, 30% report that digital technologies, including Artificial Intelligence, have enforced safety measures in their current or previous workplaces, and 29% say these technologies have managed worktime schedules.	・現在または過去の職場で、人工知能を含むデジタル技術が安全対策に役立っていると回答した人は30％、勤務時間管理に役立っていると回答した人は29％であった。
・More than one in five indicate that monitoring workers' activities (24%), allocating tasks to workers (22%) or assessing workers' performance, including imposing sanctions or attributing rewards (21%) have been performed by these technologies in their workplaces. In addition, 18% indicate that these technologies have been used to hire workers.	・5人に1人以上が、労働者の行動を監視すること（24％）、労働者に仕事を割り当てること（22％）、制裁を課したり報酬を与えたりすることを含む労働者のパフォーマンスをアセスメントすること（21％）を、これらのテクノロジーが職場で行ったと回答している。さらに、18％が労働者の雇用にこれらの技術が使用されたと回答している。
・The reported use of these technologies tends to be higher in the logistics sector and in establishments employing at least ten people.	・これらの技術の利用は、物流部門や10人以上の従業員を雇用する事業所において高い傾向にある。
Less than half of those currently in employment say their employer informed them about the use of digital technologies, while more than half of employers and managers report having done so	現在雇用されている人の半数以下が、雇用主からデジタル技術の使用について説明を受けたと回答している一方、雇用主や管理職の半数以上が説明を受けたと回答している
・Among respondents who are currently in employment, close to half (49%) say their employer informed them about the use of digital technologies, including Artificial Intelligence, to manage activities in their workplace.	・現在雇用されている回答者のうち、半数近く（49％）が、職場の活動を管理するために人工知能を含むデジタル技術の使用について、雇用主から説明を受けたと回答している。
・This proportion includes 16% who say they have been made aware of this, but without further details, and 18% who report having received a detailed explanation, including information about the benefits, drawbacks, and their rights.	・この割合には、「説明は受けたが、詳しい説明はなかった」という回答が16％、「メリット、デメリット、権利など詳しい説明を受けた」という回答が18％含まれている。
・Among employers and managers, 53% report that they have ensured that their employees or the people they manage have been informed about the use of these technologies in the workplace, including 16% who say they have made them aware, but without further details, and 22% who declare that they have given them a detailed explanation.	・雇用主や管理職のうち53％が、従業員や管理職に職場におけるこれらの技術の使用について周知徹底させたと回答している、 その内、16％が「従業員に周知させたが、詳しい説明はしなかった」、22％が「従業員に詳しい説明をした」と回答している。
・Employees working in the logistics sector and in larger establishments are the most inclined to report that they have been informed. Employers and managers in logistics are the most likely to say that they have ensured that employees are informed, while there is no clear pattern in terms of establishment size.	・物流部門で働く従業員や大規模な事業所で働く従業員が、最も「知らされている」と回答する傾向が強い。物流部門の雇用主や管理職は、従業員への情報提供を確実に行ったと回答する割合が最も高いが、事業所の規模による明確なパターンは見られない。
A large majority of those currently in employment feels their employer equips them with the necessary tools to work with digital technologies	現在雇用されている人の大多数は、雇用主がデジタル技術を使って仕事をするために必要なツールを提供していると感じている
・More than two thirds of those currently in employment (68%) agree that their employer provides them with the necessary tools or training to work effectively with the most recent digital technologies, while 28% disagree with the statement.	・現在雇用されている人の3分の2以上（68％）は、雇用主が最新のデジタル技術を使って効果的に仕事をするために必要なツールやトレーニングを提供していることに同意しているが、28％はこの意見に同意していない。

 

 

データ編

・[PDF] Data annex (EN)

 

 国ごとのデータもあります...

 

---

 

 

 

 

公認会計士協会 「財務報告内部統制監査基準報告書第１号「財務報告に係る内部統制の監査」の改正」

こんにちは、丸山満彦です。

日本公認会計士協会が、「財務報告内部統制監査基準報告書第１号「財務報告に係る内部統制の監査」の改正」及び「公開草案に対するコメントの概要及び対応」を公表していますね...

 

● 日本公認会計士協会

・2025.02.14 「財務報告内部統制監査基準報告書第１号「財務報告に係る内部統制の監査」の改正」及び「公開草案に対するコメントの概要及び対応」の公表について

 

監査基準報告書（序）「監査基準報告書及び関連する公表物の体系及び用語」に基づく要求事項と適用指針の明確化を行うため、所要の見直しを行ってきたということのようです...

語句の変更、記載場所の変更は多岐に及ぶのですが、実体的な内容の変更はあまりない？

 

・[PDF] 本文

 

・[PDF] コメント対応表

２カ所対応していますね。。。

 

・[PDF] 【参考】新旧対照表

 

・[PDF] 【参考】改正財務報告内部統制監査基準第１号「財務報告に係る内部統制の監査」の概要

 

---

改正の概要

1. 「監査基準報告書（序）「監査基準報告書及び関連する公表物の体系及び用語」」に基づき、以下の対応を行っている。
 「本報告書の範囲及び目的」の記載及び「要求事項」と「適用指針」の区分による明確化、並びにこれらに伴う文末表記及び記載順序の見直し
 文中で用語の定義を述べている箇所を定義の区分に移動

2. 上記の対応に合わせ、以下の点についても記載事項の見直しを行っている。
 内部統制報告制度の導入経緯や導入による影響に関する記載など、現時点で役割を終えたと考えられる記載を削除
 内容が重複していると考えられる記載について、記載を一本化
 監査基準報告書としてより適切な表記となるよう、記載の見直しを実施
 付録１から付録７の順序の入替
 付録５（一体型内部統制監査報告書の文例）について、内部統制監査に関連しない記載を監査基準報告書700実務指針第１号を参照する形とし、記載を簡略化

3. グループ財務諸表の監査における監査基準報告書600「グループ監査における特別な考慮事項」（第28項及び第48項）の要求事項を内部統制監査に取り入れている（第90項）。また、これに合わせ、一体型内部統制報告書の文例のうち、「内部統制監査における監査人の責任」の記載内容について、改正監査基準報告書600の規定に合わせた記載事項の改正を実施している。

4. 倫理規則のうち、社会的影響度の高い事業体に適用される要求事項が、財務諸表監査のみならず内部統制監査実施においても求められることを明確にしている（第97項(2)及び第116項(3)）。また、これに合わせ、一体型内部統制報告書の文例のうち、我が国の職業倫理に関する規定に従った独立性の記載内容について、監査基準報告書700の改正に合わせた記載事項の改正を実施している。

---

 

 

 

 

---

 

 ● まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.18 公認会計士協会 「財務報告内部統制監査基準報告書第１号「財務報告に係る内部統制の監査」の改正」（公開草案）の公表

・2024.04.24 公認会計士協会 財務報告内部統制監査基準報告書第１号「財務報告に係る内部統制の監査」の改正の公表

・2023.10.15 公認会計士協会 「内部統制報告制度の見直しに関するパネルディスカッション」のアーカイブ配信

・2023.08.08 公認会計士協会 「財務報告内部統制監査基準報告書第１号「財務報告に係る内部統制の監査」の改正」及び「公開草案に対するコメントの概要及び対応」の公表について

 

 

欧州 2025年欧州委員会作業計画と附属書

こんにちは、丸山満彦です。

欧州委員会が、2025年欧州委員会作業計画とその附属書を公表していますね...

より結束を高め、ルールはシンプルに、そしてより迅速に作っていくということですかね...

 

● European Commission

・2025.02.11 2025 Commission work programme and annexes

 

・・[PDF] 2025 Commission work programme 2025 explained - factsheet

 

・・[PDF] 2025 Commission work programme

 

・・[PDF] 2025 Commission work programme - annexes

 

２つの文書を合わせた仮訳...

・[DOCX][PDF] 仮訳

 

 

2025年の2Qには、欧州のネットワークインフラを強化するためのDigital Network Act について、法案ができるのでしょうかね...

ちなみに、ホワイトペーパーは昨年に出ていますね...2030年までにEUを接続性の高い地域にするということで、銅ケーブルを廃止するようです...

● European Commission

ホワイトペーパー

・2024.02.21 White Paper - How to master Europe’s digital infrastructure needs?

 

コネクティビティ

・Connectivity

 

欧州の「デジタルの10年」：2030年に向けたデジタル目標

・2021 Europe’s Digital Decade: digital targets for 2030

 

 

2025年の4Qには、「デジタル政策分野における法制度の適合性チェック」を検討しているようですね...

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

欧州のデジタルの10年...

・2023.10.04 欧州委員会 デジタルの10年 2023年 (2023.09.27)

・2021.03.18 欧州委員会 デジタル・コンパス2030 at 2020.03.09

 

フランス ANSSI サイバーリスクに基づくアプローチによるAIへの信頼構築 (2025.02.07)

こんにちは、丸山満彦です。

パリでのAIアクションサミットに先立って、国家情報システムセキュリティ庁 (Agence nationale de la sécurité des systèmes d'information; ANSSI) がAIシステムに対する情報セキュリティ対策についてのガイダンス、「サイバーリスクに基づくアプローチによるAIへの信頼構築」を公表していましたね...

● Agence nationale de la sécurité des systèmes d'information; ANSSI

・2025.02.07 Développer la confiance dans l’IA par une approche par les risques cyber.

Développer la confiance dans l’IA par une approche par les risques cyber.	サイバーリスクに基づくアプローチによるAIへの信頼構築
Sur la base d’une analyse des risques cyber réalisée sur les systèmes d’intelligence artificielle, ce document met en évidence les risques cyber auxquels sont exposés les systèmes d’IA et les principales recommandations stratégiques afin de favoriser une meilleure prise en compte de la cybersécurité dans le développement et l’intégration de ces systèmes.	本書は、人工知能システムで実施されたサイバーリスク分析に基づき、AIシステムがさらされているサイバーリスクと、これらのシステムの開発と統合においてサイバーセキュリティへの一層の配慮を促すための主な戦略的提言を明らかにしている。
Cette publication menée sous l’égide de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) résulte de travaux collaboratifs avec des experts institutionnels français du domaine (CNIL, INRIA, LNE, PEReN, AMIAD) et a été cosignée dans sa version anglaise par les partenaires internationaux.	フランス国家情報システム安全保障庁（ANSSI）の庇護のもとに作成された本書は、この分野のフランス政府機関の専門家（CNIL、INRIA、LNE、PEReN、AMIAD）との共同作業の成果であり、英語版では国際的なパートナーの共同署名を得ている。
Les agences internationales et autorités gouvernementales cosignataires du présent document soutiennent une approche par les risques afin de favoriser l’usage des systèmes d’IA de confiance et de rendre plus sûre leur chaine de valeur. Ils appellent à poursuivre les discussions au-delà du Sommet IA, en ayant une approche équilibrée prenant en considération les opportunités, les risques de l’IA et l’évolution de la menace cyber dans le cadre de l’adoption de cette technologie.	この文書に共同署名している国際機関や政府当局は、信頼できるAIシステムの利用を促進し、そのバリューチェーンをより安全なものにするためのリスクベースのアプローチを支持している。彼らは、AIサミットを超えて、AIの機会、リスク、そしてこの技術の採用における進化するサイバー脅威を考慮したバランスの取れたアプローチで、さらなる議論を行うことを求めている。
En constant développement depuis les années 1950, l’intelligence artificielle (IA) est une technologie susceptible d’influencer tous les secteurs, de la défense à l’énergie, en passant par la santé et la finance, etc. L’adoption rapide de l’IA et la dépendance accrue à ces technologies, notamment l’usage des modèles de langue (LLM), devraient encourager les parties prenantes à évaluer les risques connexes, dont ceux liés à la cybersécurité.	1950年代から絶えず発展している人工知能（AI）は、防衛からエネルギー、ヘルスケア、金融など、あらゆる分野に影響を与える可能性を秘めた技術である。AIの急速な普及と、言語モデル（LLM）の利用を含むこれらの技術への依存の高まりは、関係者にサイバーセキュリティに関するものを含む関連リスクの評価を促すはずである。
Sans mesures adéquates, et compte tenu du fait que les utilisateurs tendent toujours à sous-estimer l’importance des risques cyber, des acteurs malveillants pourraient exploiter les vulnérabilités des technologies d’IA et à l’avenir compromettre leur usage. Il est donc impératif de comprendre et limiter ces risques, afin de promouvoir le développement de l’IA de confiance et d’en saisir pleinement les opportunités	適切な対策を講じなければ、また、利用者がいまだにサイバーリスクの重要性を過小評価する傾向にあることを考慮すれば、悪意のある行為者がAI技術の脆弱性を悪用し、将来的にその利用を危険にさらす可能性がある。したがって、信頼できるAIの開発を促進し、その機会を最大限に活用するためには、これらのリスクを理解し、制限することが不可欠である。
Ce document met l’accent sur la cybersécurité des systèmes d’IA et constitue une analyse haut niveau des risques cyber. Il présente des premiers éléments pour permettre à chaque organisation d’apprécier les risques cyber liés aux systèmes IA et d’identifier les mesures de sécurité à mettre en œuvre pour les maitriser, en s’appuyant sur les précédentes recommandations du NCSC-UK et de la CISA relatives à la sécurisation du développement des systèmes d’IA, publié en novembre 2023.	本書は、AIシステムのサイバーセキュリティに焦点を当て、サイバーリスクのハイレベルな分析を提供する。2023年11月に発表されたAIシステムの安全な開発に関するNCSC-UKとCISAの勧告に基づき、各組織がAIシステムに関連するサイバーリスクを評価し、それらを制御するために実施すべきセキュリティ対策を特定できるようにするための初期要素を提示している。
Cette analyse des risques vise les systèmes intégrant des composants d'IA, et non la sécurité individuelle des composants d'IA. Elle propose une synthèse globale des risques pesant sur ces systèmes plutôt qu’une liste exhaustive de leurs vulnérabilités.	このリスク分析は、AIコンポーネントを統合したシステムを対象としており、AIコンポーネントの個々のセキュリティを対象としていない。脆弱性の網羅的なリストではなく、これらのシステムに対するリスクの全体的な要約を提供している。

 

・[PDF]

 

 

英語...

・2025.02.07 Building trust in AI through a cyber risk-based approach

Building trust in AI through a cyber risk-based approach	サイバーリスクに基づくアプローチによるAIへの信頼構築
The international agencies and government authorities behind this document advocate for a risk-based approach to support trusted AI systems and for secure AI value chains, and call for the discussion to continue beyond the AI Summit, to equally address opportunities, risks and evolving cyber threat in the context of AI adoption.	この文書の作成に携わった国際機関および政府当局は、信頼できるAIシステムと安全なAIバリューチェーンをサポートするためのリスクに基づくアプローチを提唱し、AIサミット後も議論を継続し、AIの導入に伴う機会、リスク、進化するサイバー脅威に平等に対処するよう呼びかけている。
AI, a transformative technology under development since the 1950s, now impacts almost every sector from defence to energy, health to finance and many others. Its rapid adoption, including the use of large language models (LLM) and increasing reliance on AI, should encourage stakeholders to assess related risks, including the ones associated to cybersecurity.	1950年代から開発が進められてきた変革技術であるAIは、現在では防衛からエネルギー、医療から金融など、ほぼすべての分野に影響を与えている。 大規模言語モデル（LLM）の使用やAIへの依存度の高まりなど、AIの急速な普及に伴い、利害関係者はサイバーセキュリティに関連するリスクも含め、関連するリスクをアセスメントすることが求められる。
Without adequate measures – and given that users still tend to underestimate AI-related cyber risks – malicious actors could exploit vulnerabilities of AI systems and jeopardize the use of AI technology in the future. It is therefore crucial to understand and mitigate these risks, to foster trusted AI development and fully embrace the opportunities that this technology offers.	適切な対策が講じられなければ、また、ユーザーがAI関連のサイバーリスクを依然として過小評価する傾向にあることを踏まえると、悪意のある行為者がAIシステムの脆弱性を悪用し、将来的にAI技術の利用を危険にさらす可能性がある。したがって、これらのリスクを理解し緩和することが重要であり、信頼性の高いAI開発を促進し、この技術が提供する機会を十分に活用することが不可欠である。
While the matter of AI-enhanced solutions, whether defensive or offensive, is already well addressed both in academic papers and in various frameworks currently being developed, this document focuses on the cybersecurity of AI systems. It aims to provide a high-level synthetic and comprehensive analysis of related cyber risks and to offer guidance to assess threats and implement adequate security measures building on the Guidelines for Secure AI Systems Development, developed in collaboration with over 20 international organizations and jointly released on November 2023.	AIを強化したソリューションの問題は、防御策であれ攻撃策であれ、すでに学術論文や現在開発中のさまざまな枠組みで十分に議論されているが、本書ではAIシステムのサイバーセキュリティに焦点を当てる。本書は、関連するサイバーリスクに関するハイレベルな統合的かつ包括的な分析を提供し、20以上の国際機関と共同で作成され、2023年11月に共同発表された「安全なAIシステム開発のためのガイドライン」を基に、脅威のアセスメントと適切なセキュリティ対策の実施に関する指針を提供することを目的としている。
This risk analysis aims to consider not only the vulnerabilities of individual AI components, but also the security of broader AI systems integrating these components. Its purpose is to provide a wide overview of AI-related cyber risks rather than an exhaustive list of vulnerabilities.	このリスク分析は、個々のAIコンポーネントの脆弱性だけでなく、それらを統合したより広範なAIシステムのセキュリティについても考慮することを目的としている。その目的は、AI関連のサイバーリスクの包括的な概要を提供することであり、脆弱性の網羅的なリストを作成することではない。

 

・[PDF]

 

・[DOCX][PDF] 仮訳

 

---

 

 

「セキュアな AI システム開発のためのガイドライン」関連...

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.28 米国 CISA 英国 NCSC 安全なAIシステム開発のための共同ガイドライン

 

 

● 内閣官房サイバーセキュリティセンター (NISC)

報道発表

・2023.11.28 [PDF] セキュア AI システム開発ガイドラインについて

仮訳

・2023.11.28 [PDF] セキュアな AI システム開発のためのガイドライン

 

 

EDPB 年齢保証 (Age Assurance) に関する声明を採択 (2025.02.11)

こんにちは、丸山満彦です。

EDPBが、年齢保証 (Age Assurance) に関する声明を採択したようですね...

GDPRに準拠した年齢保証 (Age Assurance)  を設計するための10の原則がありますね...

ざっというとこんな感じ...

1. 権利と自由を完全かつ効果的に享受する
10. 年齢保証は、自然人の基本的権利および自由を全面的に尊重しなければならず、プロセスに関わるすべての当事者にとって、子どもの最善の利益が第一に考慮されるべきである。
11. 年齢保証を実施する場合、プロバイダは個人データ保護の権利だけでなく、自然人のすべての基本的権利への影響も考慮するようにすべきである。 

2. 年齢保証の比例性に関するリスクベースのアセスメント
13. 年齢保証は常に、自然人の権利と自由に適合するような、リスクベースかつ比例的な方法で実施されるべきである。

3. データ保護リスクの予防
17. 年齢保証は、個人にとって不必要なデータ保護リスクにつながるものであってはならない。特に、年齢保証は、サービス・プロバイダが自然人を識別、特定、プロファイリング、追跡するための新たな手段を提供すべきではない。

4. 目的の制限とデータの最小
21. サービスプロバイダーおよび年齢保証に関与するサードパーティは、その指定された、明示的かつ正当な目的のために厳密に必要な年齢関連属性のみを処理すべきである。

5. 年齢保証の効果
25. 年齢保証は、その実施目的に見合った有効性のレベルを実証的に達成しなければならない。

6. 合法性、公平性、透明性 
28. サービスプロバイダーおよび年齢保証に関与するサードパーティは、年齢保証を目的としたパーソナルデータの処理が、適法かつ公正で、利用者に対して透明性のあるものであることを保証すべきである。 

7. 自動意思決定
33. 年齢保証の文脈で自動意思決定が行われる場合は、GDPRを遵守すべきである。該当する場合、サービスプロバイダーおよび関係するサードパーティは、自然人の権利と自由および正当な利益を保護するための適切な措置を提供すべきである。

8. 設計とデフォルトによるデータ保護
38. 年齢保証は、GDPRの要件を満たし、データ対象者の権利を効果的に保護するために、利用可能な最もプライバシーを保護する方法および技術を考慮して設計、実施、評価されるべきである。

9. 年齢保証
43. サービスプロバイダーおよび年齢保証に関わるサードパーティは、リスクに見合ったセキュリティレベルを確保するために、適切な技術的・組織的対策を実施すべきである。

10. 説明責任
48. サービスプロバイダーおよび関係するサードパーティは、年齢保証へのアプローチ、およびデータ保護規制およびその他の法的要件への準拠を実証するための説明責任を果たすことができるガバナンス手法を導入すべきである。

 

 ● European Data Protection Board; EDPB

・2025.02.11 EDPB adopts statement on age assurance, creates a task force on AI enforcement and gives recommendations to WADA

EDPB adopts statement on age assurance, creates a task force on AI enforcement and gives recommendations to WADA	EDPB、年齢保証に関する声明を採択、AIエンフォースメントに関するタスクフォースを創設、WADAに勧告
Brussels, 12 February - During its February 2025 plenary meeting, the European Data Protection Board (EDPB) adopted a statement on age assurance and decided to create a taskforce on AI enforcement. In addition, the Board also adopted recommendations on the 2027 World Anti-Doping Agency (WADA) World Anti-Doping Code.	ブリュッセル、2月12日 - 欧州データ保護理事会（EDPB）は2025年2月の本会議において、年齢保証に関する声明を採択し、AIエンフォースメントに関するタスクフォースの創設を決定した。さらに理事会は、2027年世界アンチ・ドーピング機構（WADA）世界ドーピング防止規程に関する勧告も採択した。
In a statement on age assurance, the EDPB lists ten principles for the compliant processing of personal data when determining the age or age range of an individual. The statement aims to ensure a consistent European approach to age assurance, to protect minors while complying with data protection principles.	EDPBは、年齢保証に関する声明の中で、個人の年齢または年齢範囲を決定する際に、パーソナルデータの処理を遵守するための10原則を挙げている。この声明は、データ保護の原則を遵守しつつ未成年者を保護するため、年齢保証に対する欧州の一貫したアプローチを確保することを目的としている。
EDPB Chair Anu Talus said: “Age assurance is essential to ensure that children do not access content that is not appropriate for their age.  At the same time, the method to verify age must be the least intrusive possible and the personal data of children must be protected. The principles put forward by the EDPB will help the industry to assess an individual’s age in a way that is compliant with data protection principles, while protecting children’s wellbeing.”	EDPBのアヌ・タルス委員長は次のように述べた： 「年齢保証は、子どもたちが年齢にそぐわないコンテンツにアクセスしないようにするために不可欠である。 同時に、年齢を確認する方法は可能な限り侵入的であってはならず、子どもの個人データは保護されなければならない。EDPBが提示する原則は、業界がデータ保護の原則に準拠した方法で個人の年齢をアセスメントし、同時に子どもの福利を保護するのに役立つだろう。」
The EDPB is also cooperating with the European Commission on age verification in the context of the Digital Services Act (DSA) working group.	EDPBはまた、デジタルサービス法（DSA）作業部会との関連で、年齢検証について欧州委員会と協力している。
During the plenary, the Board also decided to extend the scope of the ChatGPT task force to AI enforcement. In addition, the EDPB members underlined the need to coordinate DPAs' actions regarding urgent sensitive matters and for that purpose will set up a quick response team.	理事会はまた、本会議において、ChatGPTタスクフォースの範囲をAI執行にまで拡大することを決定した。さらに、EDPBメンバーは、緊急のセンシティブな案件に関するDPAの行動を調整する必要性を強調し、そのためにクイックレスポンスチームを設置することを決定した。
EDPB Chair Anu Talus said: “The GDPR is a legal framework that promotes responsible innovation. The GDPR has been designed to maintain high data protection standards while fully leveraging the potential of innovation, such as AI, to benefit our economy. The EDPB’s task force on AI enforcement and the future quick response team will play a crucial role in ensuring this balance, coordinating the DPAs' actions and supporting them in navigating the complexities of AI while upholding strong data protection principles.”	EDPBのアヌ・タルス委員長は次のように述べた： 「GDPRは、責任あるイノベーションを促進する法的枠組みである。GDPRは、高いデータ保護標準を維持する一方で、AIなどのイノベーションの可能性を十分に活用し、経済に利益をもたらすように設計されている。EDPBのAIエンフォースメントに関するタスクフォースと将来のクイックレスポンスチームは、このバランスを確保する上で重要な役割を果たし、DPAの行動を調整し、強力なデータ保護の原則を堅持しながらAIの複雑さを乗り切ることを支援する。」
During the plenary, the EDPB also adopted recommendations on the 2027 WADA World Anti-Doping Code. When processing personal data for anti-doping purposes, it is essential to respect and safeguard the personal data of athletes. In many cases, this will involve the processing of sensitive personal data, such as health data derived from biological samples.	本会議において、EDPBは2027年WADA世界ドーピング防止規程に関する勧告も採択した。アンチ・ドーピングの目的でパーソナルデータの処理を行う場合、競技者の個人データを尊重し、保護することが不可欠である。多くの場合、生物学的検体から得られた健康データなど、機微な個人データの処理が含まれる。
The EDPB’s main objective is to assess the compatibility of the WADA Anti-doping Code and International Standard for Data Protection (ISDP) with the GDPR. The Anti-doping Code and Standards should hold the National Anti-Doping Organisations (NADOS) subject to a standard equivalent to that of the GDPR when processing personal data for anti-doping purposes.	EDPBの主な目的は、WADAアンチ・ドーピング規程及びデータ保護のための国際標準（ISDP）とGDPRとの適合性をアセスメントすることである。アンチ・ドーピング規程及び基準は、アンチ・ドーピング目的のために個人データを処理する際、国内アンチ・ドーピング機関（NADOS）にGDPRと同等のデータ対象者を課すべきである。
The EDPB’s recommendations address key principles of data protection, such as the need for an appropriate legal basis for the processing of personal data and purpose limitation. The recommendations also address the fact that individuals need to be fully informed about the processing of their personal data and can effectively exercise their rights.	EDPBの勧告は、パーソナルデータの処理に対する適切な法的根拠の必要性や目的の限定といったデータ保護の主要原則に対処するものである。勧告はまた、個人がパーソナルデータの処理について十分な説明を受け、その権利を効果的に行使できるようにする必要があるという事実にも言及している。
Note to editors:	編集後記
The recommendations on the 2027 World Anti-Doping Agency (WADA) World Anti-Doping Code, adopted during the EDPB Plenary, are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once the process has been completed.	EDPB総会で採択された2027年世界アンチ・ドーピング機構（WADA）世界ドーピング規程に関する勧告は、必要な法的チェック、言語的チェック、書式チェックが行われ、そのプロセスが完了次第、EDPBのウェブサイトで公開される。

 

・2025.02.11 Statement 1/2025 on Age Assurance

・[PDF] 

・[DOCX][PDF] 仮訳

 

目次...

1. BACKGROUND AND PURPOSE OF THIS STATEMENT	1. 本声明の背景と目的
2. PRINCIPLES TO DESIGN GDPR-COMPLIANT AGE ASSURANCE	2. GDPRに準拠した年齢保証を設計するための原則
2.1 Full and effective enjoyment of rights and freedoms	2.1 権利と自由を完全かつ効果的に享受する
2.2 Risk-based assessment of the proportionality of age assurance	2.2 年齢保証の比例性に関するリスクベースのアセスメント
2.3 Prevention of data protection risks	2.3 データ保護リスクの予防
2.4 Purpose limitation and data minimisation	2.4 目的の制限とデータの最小
2.5 Effectiveness of age assurance	2.5 年齢保証の効果
2.6 Lawfulness, fairness and transparency	2.6 合法性、公平性、透明性
2.7 Automated decision-making	2.7 自動意思決定
2.8 Data protection by design and by default	2.8 設計とデフォルトによるデータ保護
2.9 Security of age assurance	2.9 年齢保証
2.10 Accountability	2.10 説明責任

 

 

 

米国司法省 Europol 他 ロシア人ランサムウェア被疑者４名の検挙 (2025.02.11)

こんにちは、丸山満彦です。

米国司法省、Europol、日本の警察庁がロシア人ランサムウェア被疑者４名の検挙したことを発表していますね...

EU以外の警察では、スイス、米国、英国、日本、シンガポール、タイなどの警察も協力していますね...

 

発表時間順？（時差があるので正確な順番はわかりません）に...

 

米国

● U.S. Department of Justice

・2025.02.10 Phobos Ransomware Affiliates Arrested in Coordinated International Disruption

Phobos Ransomware Affiliates Arrested in Coordinated International Disruption	Phobosランサムウェアの関係者が国際的な混乱に乗じて逮捕される
Note: View the superseding indictment here.	注：起訴状はこちらで閲覧できる。
The Justice Department today unsealed criminal charges against Roman Berezhnoy, 33, and Egor Nikolaevich Glebov, 39, both Russian nationals, who allegedly operated a cybercrime group using the Phobos ransomware that victimized more than 1,000 public and private entities in the United States and around the world and received over $16 million in ransom payments. Berezhnoy and Glebov were arrested this week as part of a coordinated international disruption of their organization, which includes additional arrests and the technical disruption of the group’s computer infrastructure.	司法省は本日、米国および全世界で1,000以上の公共および民間事業体を被害者とし、1,600万ドル以上の身代金の支払いを受けたPhobosランサムウェアを使用するサイバー犯罪グループを運営していたとされるロシア国籍のRoman Berezhnoy（33歳）とEgor Nikolaevich Glebov（39歳）に対する刑事告発を公開した。ベレジノイとグレボフは今週、追加逮捕とグループのコンピューター・インフラの技術的破壊を含む、彼らの組織に対する協調的な国際的破壊の一環として逮捕された。
From May 2019, through at least October 2024, Berezhnoy, Glebov, and others allegedly caused victims to suffer losses resulting from the loss of access to their data in addition to the financial losses associated with the ransomware payments. The victims included a children’s hospital, health care providers, and educational institutions.	2019年5月から少なくとも2024年10月にかけて、ベレジノイ、グレボフらは、ランサムウェアの支払いに伴う金銭的損失に加え、データへのアクセス不能による損失を被害者に与えたとされる。被害者には、小児病院、医療プロバイダ、教育機構などが含まれていた。
According to court documents, Berezhnoy, Glebov, and others operated a ransomware affiliate organization, including under the names "8Base" and "Affiliate 2803," among others, that victimized public and private entities through the deployment of Phobos ransomware.	法廷文書によると、ベレジノイ、グレボフらは、「8Base」や「Affiliate 2803」などの名前でランサムウェアの関連組織を運営し、ランサムウェア「Phobos」の展開を通じて公共および民間の事業体を被害者にしていた。
As part of the scheme, Berezhnoy, Glebov, and others allegedly hacked into victim computer networks, copied and stole files and programs on the victims' network, and encrypted the original versions of the stolen data with Phobos ransomware. The conspirators then allegedly extorted the victims for ransom payments in exchange for the decryption keys to regain access to the encrypted data by, among other things, leaving a ransom note on compromised victim computers and separately reaching out to victims to initiate ransom payment negotiations.	この計画の一環として、ベレジノイ、グレボフらは被害者のコンピューター・ネットワークにハッキングし、被害者のネットワーク上のファイルやプログラムをコピーして盗み、盗んだデータのオリジナル・バージョンをPhobosランサムウェアで暗号化したとされる。その後、共謀者らは、侵害された被害者のコンピュータに身代金のメモを残したり、身代金の支払い交渉を開始するために被害者に個別に連絡を取ったりするなどして、暗号化されたデータへのアクセスを取り戻すための復号鍵と引き換えに身代金の支払いを被害者に強要したとされる。
As alleged, the conspirators also threatened to expose victims’ stolen files to the public or to the victims’ clients, customers, or constituents if the ransoms were not paid. The conspirators are further alleged to have established and operated a darknet website where they repeated their extortionate threats and ultimately published the stolen data if a victim failed to pay the ransom.	また、共謀者たちは、身代金が支払われなければ、被害者の盗まれたファイルを公衆に、あるいは被害者のクライアント、顧客、有権者に公開すると脅迫した。さらに共謀者たちは、ダークネットのウェブサイトを開設・運営し、そこで恐喝まがいの脅しを繰り返し、被害者が身代金を支払わなかった場合には、最終的に盗まれたデータを公開したとされている。
After a successful Phobos ransomware attack, criminal affiliates paid fees to Phobos administrators for a decryption key to regain access to the encrypted files. Each deployment of Phobos ransomware was assigned a unique alphanumeric string in order to match it to the corresponding decryption key, and each affiliate was directed to pay the decryption key fee to a cryptocurrency wallet unique to that affiliate.	Phobosランサムウェア攻撃が成功した後、犯罪関連会社は暗号化されたファイルへのアクセスを取り戻すための復号化キーの料金をPhobos管理者に支払った。Phobosランサムウェアの各展開には、対応する復号化キーと照合するために固有の英数字文字列が割り当てられ、各アフィリエイトは、そのアフィリエートに固有の暗号通貨ウォレットに復号化キーの料金を支払うよう指示されていた。
The charges unsealed today against Berezhnoy and Glebov follow the recent arrest and extradition of Evgenii Ptitsyn, a Russian national, on charges relating to his alleged administration of the Phobos ransomware variant.	BerezhnoyとGlebovに対する本日公開された告発は、Phobosランサムウェア亜種の管理疑惑に関する告発で、ロシア国籍のEvgenii Ptitsynが最近逮捕され引き渡されたことに続くものだ。
In parallel with this week’s arrests, Europol and German authorities have announced an international operation involving the FBI and other international law enforcement partners to disrupt over 100 servers associated with this criminal network.	今週の逮捕と並行して、欧州刑事警察機構とドイツ当局は、この犯罪ネットワークに関連する100以上のサーバーを破壊するために、FBIやその他の国際的な法執行パートナーが関与する国際的な作戦を発表した。
Berezhnoy and Glebov are charged in an 11-count indictment with one count of wire fraud conspiracy, one count of wire fraud, one count of conspiracy to commit computer fraud and abuse, three counts of causing intentional damage to protected computers, three counts of extortion in relation to damage to a protected computer, one count of transmitting a threat to impair the confidentiality of stolen data, and one count of unauthorized access and obtaining information from a protected computer. If convicted, Berezhnoy and Glebov face a maximum penalty of 20 years in prison on each wire fraud-related count; 10 years in prison on each computer damage count; and five years in prison on each of the other counts. A federal district court judge will determine any sentence after considering the U.S. Sentencing Guidelines and other statutory factors.	ベレジノイとグレボフは、11件の起訴状で、電信詐欺共謀罪1件、電信詐欺罪1件、コンピューター詐欺・悪用共謀罪1件、保護されたコンピューターに故意に損害を与えた罪3件、保護されたコンピューターへの損害に関連した恐喝罪3件、盗まれたデータの機密性を損なう脅迫を送信した罪1件、保護されたコンピューターへの不正アクセス・情報入手罪1件で起訴されている。有罪判決を受けた場合、ベレジノイ被告とグレボフ被告は、電信詐欺に関連する各訴訟で最高懲役20年、コンピューター損害に関連する各訴訟で最高懲役10年、その他の各訴訟で最高懲役5年の刑に処せられる。連邦地裁判事は、米国量刑ガイドラインおよびその他の法定要素を考慮した上で、判決を決定する。
Supervisory Official Antoinette T. Bacon of the Justice Department’s Criminal Division, U.S. Attorney Erek L. Barron for the District of Maryland, Assistant Director Bryan Vorndran of the FBI’s Cyber Division, and Special Agent in Charge William J. DelBagno of the FBI Baltimore Field Office made the announcement.	司法省刑事局のアントワネット・T・ベーコン監督官、メリーランド州地区担当のエレク・L・バロン連邦検事、FBIサイバー課のブライアン・ボルドラン課長補佐、FBIボルチモア支局のウィリアム・J・デルバーニョ特別捜査官が発表した。
The FBI Baltimore Field Office is investigating the case. The Justice Department extends its thanks to international judicial and law enforcement partners in the United Kingdom, Germany, Japan, Spain, Belgium, Poland, Czech Republic, France, Thailand, Finland, Switzerland, and Romania, as well as Europol and the U.S. Department of Defense Cyber Crime Center, for their cooperation and coordination with the Phobos ransomware investigation. The National Security Division’s National Security Cyber Section and the Justice Department’s Office of International Affairs also provided valuable assistance.	FBIボルチモア支局がこの事件を捜査している。司法省は、英国、ドイツ、日本、スペイン、ベルギー、ポーランド、チェコ共和国、フランス、タイ、フィンランド、スイス、ルーマニアの国際司法・法執行パートナー、欧州刑事警察機構および米国防総省サイバー犯罪センターのフォボス・ランサムウェア捜査への協力と連携に謝意を表明する。また、ディビジョンの国家安全保障サイバー課と司法省国際局も貴重な支援を提供した。
Senior Counsel Aarash A. Haghighat of the Criminal Division’s Computer Crime and Intellectual Property Section (CCIPS) and Assistant U.S. Attorney Thomas M. Sullivan for the District of Maryland are prosecuting the case. Former CCIPS Trial Attorney Riane Harper and former Assistant U.S. Attorneys Aaron S.J. Zelinsky and Jeffrey J. Izant for the District of Maryland provided substantial assistance.	ディビジョン刑事部コンピューター犯罪・知的財産課（CCIPS）のアーラシュ・A・ハギガット上級弁護士とメリーランド州のトーマス・M・サリバン連邦検事補がこの事件を起訴している。元CCIPS法廷弁護士のリアン・ハーパーと、メリーランド地区担当の元米国検事補アーロン・S・J・ゼリンスキーとジェフリー・J・イザントが多大な支援を提供した。
Additional details on protecting networks against Phobos ransomware are available at StopRansomware.gov, including Cybersecurity and Infrastructure Security Agency Advisory AA24-060A.	Phobosランサムウェアに対するネットワークの防御に関する詳細は、StopRansomware.gov（サイバーセキュリティ・インフラセキュリティ庁勧告AA24-060Aを含む）で入手できる。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law.	起訴は単なる申し立てに過ぎない。法廷で合理的な疑いを超えて有罪が証明されるまでは、すべての被告人は無罪と推定される。
Updated February 12, 2025	2025年2月12日更新

 

起訴状...

 

 

 

● Europol

・2025.02.11 Key figures behind Phobos and 8Base ransomware arrested in international cybercrime crackdown

Key figures behind Phobos and 8Base ransomware arrested in international cybercrime crackdown	国際的なサイバー犯罪の取り締まりでPhobosと8Baseランサムウェアの主要人物が逮捕される
Threat intelligence identifies Phobos and 8Base as among the most active ransomware groups of 2024	脅威情報により、Phobosと8Baseが2024年に最も活発なランサムウェア・グループのひとつであることが特定された。
A coordinated international law enforcement action last week has led to the arrest of four individuals leading the 8Base ransomware group. These individuals, all Russian nationals, are suspected of deploying a variant of Phobos ransomware to extort high-value payments from victims across Europe and beyond. At the same time, 27 servers linked to the criminal network were taken down.<	先週、国際的な法執行機関の協調行動により、8Baseランサムウェア・グループを率いる4人が逮捕された。これらの人物はすべてロシア国籍で、Phobosランサムウェアの亜種を展開し、ヨーロッパ全土および世界各地の被害者から高額な支払いを強要した疑いが持たれている。同時に、この犯罪ネットワークに関連する27のサーバーがダウンさせられた。
This follows a series of high-impact arrests targeting Phobos ransomware:	これは、Phobosランサムウェアを標的とした一連のインパクトのある逮捕に続くものである：
・An administrator of Phobos was arrested in South Korea in June 2024 and extradited to the United States in November of the same year. He is now facing prosecution for orchestrating ransomware attacks that encrypted critical infrastructure, business systems, and personal data for ransom.	・Phobosの管理者は2024年6月に韓国で逮捕され、同年11月に米国に送還された。彼は現在、重要インフラ、業務システム、個人データを暗号化して身代金を要求するランサムウェア攻撃を指揮した容疑で起訴されている。
・A key Phobos affiliate was arrested in Italy in 2023 on a French arrest warrant, further weakening the network behind this ransomware strain.	・2023年、Phobosの主要関係者がフランスの逮捕状によりイタリアで逮捕され、このランサムウェアの背後にあるネットワークはさらに弱体化した。
As a result of this operation, law enforcement was also able to warn more than 400 companies worldwide of ongoing or imminent ransomware attacks.	この作戦の結果、法執行機関はまた、進行中または差し迫ったランサムウェア攻撃について、世界中の400以上の企業に警告することができた。
This complex international operation, supported by Europol and Eurojust, involved law enforcement agencies from 14 countries. While some countries focused on the investigation into Phobos, others targeted 8Base, with several participating in both.	欧州刑事警察機構と欧州司法機構の支援を受けたこの複雑な国際作戦には、14カ国の法執行機関が関与した。Phobosの捜査に集中した国もあれば、8Baseを標的にした国もあり、その両方に参加した国もあった。
Europol played a critical role in bringing together intelligence from these separate investigations, enabling authorities to take down key actors from both ransomware networks in a coordinated effort.	欧州刑事警察機構は、これらの別々の捜査から得られた情報をまとめる上で重要な役割を果たし、認可当局が協調して両方のランサムウェア・ネットワークの主要な関係者を逮捕することを可能にした。
Phobos: A discreet but highly effective ransomware	Phobos： 目立たないが非常に効果的なランサムウェア
First detected in December 2018, Phobos ransomware has been a long-standing cybercrime tool, frequently used in large-scale attacks against businesses and organisations worldwide. Unlike high-profile ransomware groups that target major corporations, Phobos relies on high-volume attacks against small to medium-sized businesses, which often lack the cybersecurity defences to protect themselves.	2018年12月に初めて検知されたPhobosランサムウェアは、長年のサイバー犯罪ツールであり、世界中の企業や組織に対する大規模な攻撃で頻繁に使用されている。大企業を標的にした有名なランサムウェアグループとは異なり、Phobosは中小企業に対する大量の攻撃に依存しており、中小企業は自らを守るサイバーセキュリティ防御を持たないことが多い。
Its Ransomware-as-a-Service (RaaS) model has made it particularly accessible to a range of criminal actors, from individual affiliates to structured criminal groups such as 8Base. The adaptability of this framework has allowed attackers to customise their ransomware campaigns with minimal technical expertise, further fuelling its widespread use.	そのRansomware-as-a-Service（RaaS）モデルは、個人の関係者から8Baseのような組織化された犯罪グループまで、さまざまな犯罪行為者にとって特に利用しやすいものとなっている。この枠組みの適応性により、攻撃者は最小限の技術的専門知識でランサムウェアキャンペーンをカスタマイズできるようになり、さらにその普及に拍車をかけている。
Taking advantage of Phobos’s infrastructure, 8Base developed its own variant of the ransomware, using its encryption and delivery mechanisms to tailor attacks for maximum impact. This group has been particularly aggressive in its double extortion tactics, not only encrypting victims' data but also threatening to publish stolen information unless a ransom was paid.	Phobosのインフラを利用して、8Baseは独自のランサムウェアの亜種を開発し、その暗号化と配信メカニズムを使用して、最大の影響を与えるように攻撃をカスタマイズした。このグループは、被害者のデータを暗号化するだけでなく、身代金を支払わなければ盗まれた情報を公開すると脅迫するなど、二重の恐喝戦術を特に積極的に行っている。
Europol’s coordinating role	欧州刑事警察機構の調整役
With law enforcement efforts spanning multiple continents, Europol played a central role in connecting investigators and coordinating enforcement actions. Supporting the investigation since February 2019, Europol’s European Cybercrime Centre (EC3) has:	法執行の取り組みが複数の大陸にまたがる中、欧州刑事警察機構は捜査官をつなぎ、執行行動を調整する上で中心的な役割を果たした。2019年2月以来、欧州刑事警察機構（EC3）の欧州サイバー犯罪センター（EC3）は捜査を支援している：
Brought together intelligence from parallel investigations, ensuring that law enforcement authorities targeting Phobos and 8Base could pool their findings and coordinate arrests efficiently.	Phobosと8Baseを標的とする法執行当局が調査結果を共有し、逮捕を効率的に調整できるよう、並行捜査の情報をまとめた。
Organised 37 operational meetings and technical sprints to develop key investigative leads.	37回の作戦会議と技術スプリントを開催し、主要な捜査手がかりを開発した。
Provided analytical, crypto-tracing and forensic expertise to support the case.	分析、暗号追跡、法医学の専門知識をプロバイダとして提供し、事件をサポートした。
Facilitated intelligence exchange within the Joint Cybercrime Action Taskforce (J-CAT), hosted at its headquarters.	サイバー犯罪対策合同チーム（J-CAT）内の情報交換を促進し、本部でホストした。
Exchanged nearly 600 operational messages via Europol’s secure SIENA network, making this one of EC3’s high-priority cases.	欧州刑事警察機構（Europol）の安全なSIENAネットワークを通じて600件近い作戦メッセージを交換し、EC3の最優先案件のひとつとした。
Eurojust organised two dedicated coordination meetings to assist with the cross-border judicial cooperation and provided support with outstanding requests of all authorities involved.	欧州司法機構は、国境を越えた司法協力を支援するために2回の専用調整会議を開催し、すべての関係当局の未解決の要請に対するサポートを提供した。
The following authorities took part in the investigation:	以下の当局が捜査に参加した：
Belgium: Federal Police (Federale Politie / Police Fédérale)	ベルギー 連邦警察（Federale Politie / Police Fédérale）
Czechia: Police of the Czech Republic (Policie České republiky)	チェコ共和国：チェコ共和国警察（Policie České republiky）
France: Paris Cybercrime Unit (Brigade de lutte contre la cybercriminalité de Paris - BL2C), Court of Paris - National Jurisdiction Against Organised Crime (Juridiction Nationale de Lutte contre la Criminalité Organisée – JUNALCO)	フランス： パリ・サイバー犯罪対策ユニット（BL2C）、パリ裁判所（JUNALCO）
Germany: Bavarian State Criminal Police Office (Bayerisches Landeskriminalamt – LKA Bayern), Bavarian Central Office for the Prosecution of Cybercrime (Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybecrime Bayern)	ドイツ： バイエルン州刑事局、バイエルン州サイバー犯罪検察中央局
Japan: National Police Agency (警察庁)	日本： 警察庁
Poland: Central Cybercrime Bureau (Centralne Biuro Zwalczania Cyberprzestępczości)	ポーランド： 中央サイバー犯罪局
Romania: Romanian Police (Poliția Română)	ルーマニア： ルーマニア警察
Singapore: Singapore Police Force CyberCrime Command	シンガポール： シンガポール警察サイバー犯罪対策本部
Spain: Guardia Civil	スペイン： Guardia Civil
Sweden: Swedish Police Authority (Polisen)	スウェーデン： スウェーデン警察当局 (Polisen)
Switzerland: Office of the Attorney General of Switzerland (OAG), Federal Police (fedpol)	スイス： スイス: スイス司法長官事務所（OAG）、連邦警察（fedpol）
Thailand: Cyber Crime Investigation Bureau (CCIB)	タイ： サイバー犯罪捜査局（CCIB）
United Kingdom: National Crime Agency (NCA)	英国 National Crime Agency (NCA)
United States: US Department of Justice (US DOJ), Federal Bureau of Investigation (FBI – Baltimore Field Office), US Department of Defense Cyber Crime Center (DC3)	米国： 米国司法省（US DOJ）、連邦捜査局（FBI-ボルチモア支局）、国防総省サイバー犯罪センター（DC3）

 

 

---

 

 

● 警察庁

・2024.02.12 ロシア人ランサムウェア被疑者４名の検挙に関するユーロポールのプレスリリースについて

---

報道発表資料の概要

　ユーロポールは、欧州を含む世界各国の企業等に対しランサムウェア被害を与えたなどとして、ランサムウェア攻撃グループ「8Base」の一員とみられる被疑者４名を外国捜査機関が検挙するとともに、関連犯罪インフラのテイクダウンを行った旨をプレスリリースしました。

　同プレスリリースにおいては、関係各国で関連するランサムウェア事案の捜査を行っており、当該捜査について、日本警察を含む各国捜査機関等の国際協力が言及されています。

　日本警察は、我が国で発生したランサムウェア事案について、外国捜査機関とも連携して捜査を推進し、捜査で得た情報を外国捜査機関に提供し、被疑者の検挙に貢献しています。

---

 

・[PDF] ロシア人ランサムウェア被疑者４名の検挙に関するユーロポールのプレスリリースについて

 

 

 

フランス AIアクションサミットは無事？終了しました

こんにちは、丸山満彦です。

2025.02.10-11にパリで開催されていた、AIアクションサミットが終了しました。

下のほうにリンクを貼っていますが、米国Vance副大統領のクロージングでのスピーチが話題になっていますね...

スピーチ上手です...

 

 

● Élysée 

公益のためのAIに関するパリ憲章

・2025.02.11 The Paris Charter on Artificial Intelligence in the Public Interest.

The Paris Charter on Artificial Intelligence in the Public Interest.	公益のための人工知能に関するパリ憲章。
To achieve the potential benefits and preventing and mitigating the risks of emerging technologies for people and the planet, AI development, deployment and governance must be in the public interest. Public interest manifests differently for different communities, countries, and contexts, it requires opportunities for public participation, and it must serve equity and equality. We acknowledge that the mission and vision of artificial intelligence in the public interest builds on and is strengthened by existing definitions and academic research, public sector approaches, and civil society efforts.	人々と地球にとって潜在的な利益を達成し、新興技術のリスクを防止・緩和するためには、AIの開発、展開、ガバナンスは公共の利益にかなうものでなければならない。公共の利益とは、コミュニティ、国、文脈によってその現れ方が異なり、一般市民の参加の機会が必要であり、公平性と平等性に資するものでなければならない。私たちは、公益における人工知能の使命とビジョンが、既存の定義や学術研究、公共部門のアプローチ、市民社会の取り組みによって構築され、強化されることを認める。
Neither the benefits nor the harms from technology fall on society in a proportionate manner. Benefits are typically available to the most advantaged in society and harms all too often are faced by the most disadvantaged. To that end we reaffirm our commitment to prevent and mitigate individual and collective harms, risks, threats and violations caused by the use and abuse of AI. We recognize that artificial intelligence should not be developed and deployed in areas where it is incompatible with international human rights law.	技術による利益も損害も、比例して社会にもたらされるわけではない。利益は通常、社会で最も恵まれた人々が享受できるものであり、害はあまりにも多くの場合、最も不利な立場に置かれた人々が直面するものである。そのため、私たちは、AIの使用と乱用によって引き起こされる個人的・集団的な損害、リスク、脅威、侵害を防止し緩和するというコミットメントを再確認する。我々は、人工知能が国際人権法と相容れない分野で開発・展開されるべきではないと認識している。
In addition to appropriate safeguards to prevent, mitigate and remedy any adverse impact arising from the use of artificial intelligence, we need an affirmative vision to fully serve AI in the public interest.	人工知能の使用から生じるあらゆる悪影響を防止、緩和、救済するための適切なセーフガードに加えて、公益のためにAIを十分に役立てるための肯定的なビジョンが必要である。
The benefits of AI in the public interest rely on building open public goods and infrastructure, providing an alternative to existing market concentration, ensuring democratic participation, enforcing accountability and developing environmentally sustainable solutions. To fulfil this vision, we focus on enabling conditions for infrastructure in areas with demonstrated benefits in the public interest.	公益におけるAIの恩恵は、開かれた公共財とインフラを構築し、既存の市場集中に代わるプロバイダを提供し、民主的参加を確保し、説明責任を遂行し、環境的に持続可能なソリューションを開発することに依存している。このビジョンを実現するため、私たちは、公益的利益が実証された分野におけるインフラ整備を可能にする条件に焦点を当てている。
The barrier to scaling AI models has been assumed to be primarily the lack of availability and affordability of compute. While computational power is indeed subject to market concentration failures, the availability of high-quality data with adequate data governance structures proves to be the main bottleneck. New ways to access high quality data is key to unlock and ensure that public interest prevails. These new ways to access data must happen in compliance with the rights to privacy and data protection in line with national and international frameworks as essential safeguards and as the necessary precondition for people, companies and institutions to trust the AI ecosystem and enable necessary data flows.	AIモデルの拡張を阻む障壁は、主に計算能力の不足と手頃な価格であるとされてきた。計算能力は確かに市場集中の失敗の対象者ではあるが、適切なデータ・ガバナンス構造を備えた高品質データの利用可能性が主なボトルネックであることは明らかである。質の高いデータにアクセスする新しい方法は、公共の利益を確保するための鍵である。このような新しいデータアクセス方法は、必要不可欠なセーフガードとして、また、人々、企業、機構がAIエコシステムを信頼し、必要なデータの流れを可能にするために必要な前提条件として、国内外の枠組みに沿ったプライバシー・データ保護の権利を遵守して実現されなければならない。
Smaller models can be designed to respond to concrete societal and community needs within specific local and cultural contexts, and given they require comparatively less computational power and data, will have a much less pernicious impact on the environment.	小規模なモデルは、特定の地域や文化的背景の中で、具体的な社会やコミュニティのニーズに対応するように設計することができ、必要な計算能力やデータが比較的少ないことから、環境に与える悪影響もはるかに少ない。
With this in mind, we agree on the following principles:	このことを念頭に置き、我々は以下の原則に同意する：
・Openness drives progress in science, catalyzes innovation and enables competition. Today, openness in AI is largely driven by a few actors’ decision to partly open their foundation models. A resilient ecosystem is needed to support the development of open models, spanning both standard setting, tooling and best practices.	・オープン性は科学の進歩を促進し、イノベーションを触媒し、競争を可能にする。今日、AIにおけるオープン性は、その基盤モデルを部分的にオープン化するという少数のアクターの決断によって大きく左右されている。オープンモデルの開発をサポートするためには、標準設定、ツール、ベストプラクティスにまたがるレジリエンスが必要である。
・Accountability across every step of AI design, development, and deployment is a cornerstone in achieving AI for the public interest. Accountability relies on the enforcement of existing national and international frameworks, enabling conditions for research, oversight and empowered institutions and civil society.	・AIの設計、開発、展開の各段階における説明責任は、公益のためのAIを実現するための礎石である。説明責任は、既存の国内および国際的枠組みの施行、研究、監督、権限を与えられた機構や市民社会のための条件を可能にすることに依存している。
・Participation and transparency are prerequisites for democratic governance in AI in the public interest.	・参加と透明性は、公益のためのAIにおける民主的ガバナンスの前提条件である。
To achieve these objectives, we support the establishment of a global initiative for AI in the public interest. The undersigned country partners commit to uphold the values of AI in the public interest laid down in this Charter. We will address the challenges and realize the potentials for AI in the public interest through identifying our contributions and aligning on shared objectives in select areas of collaboration by 30 June 2025.	これらの目的を達成するため、我々は、公益のためのAIのためのグローバル・イニシアチブの設立を支持する。以下に署名する各国のパートナーは、本憲章に定められた公益的AIの価値を支持することを約束する。我々は、2025年6月30日までに、選択された協力分野において、我々の貢献を特定し、共有された目標に足並みを揃えることにより、公益のためのAIの課題に対処し、その可能性を実現する。
By enabling AI systems that are open, diverse, sustainable, locally relevant, development-centered and accessible around the world, and by providing structured access to high-quality datasets, models, compute and independent auditing and accountability tools, this initiative will serve as a platform for AI innovators, reformers, and advocates in their own countries while fostering international cooperation.	オープンで、多様性に富み、持続可能で、地域に密着し、開発中心で、世界中でアクセス可能なAIシステムを実現し、高品質のデータセット、モデル、計算、独立した監査・アカウンタビリティ・ツールへの構造的なアクセスを提供することで、このイニシアティブは、国際協力を促進しながら、自国のAIイノベーター、改革者、提唱者のプラットフォームとしての役割を果たす。
Through the initiative for AI in the public interest we commit to encourage a more comprehensive and inclusive design of AI in the public interest, in terms of technology, organization and institutions that serve different jurisdictions and communities in attaining similar success.	公益AIイニシアティブを通じて、我々は、技術、組織、機構という観点から、公益AIのより包括的かつ包括的な設計を奨励し、異なる司法管轄区や地域社会が同様の成功を達成できるようにすることを約束する。
The initiative for AI in the public interest will enable civil society and impacted communities, academia, governments and other stakeholders to engage in a deliberation process to embed and enforce public interest within and beyond this initiative.	公益のためのAIイニシアティブは、市民社会や影響を受けるコミュニティ、学界、政府、その他のステークホルダーが、このイニシアティブの内外で公益を定着させ、実施するための審議プロセスに参加することを可能にする。
We will pursue this vision through collaboration, and it will enable participation to ensure that public interest prevails in the initiative’s mission, governance and impact.	私たちは協働を通じてこのビジョンを追求し、イニシアチブのミッション、ガバナンス、インパクトにおいて公益が優先されるような参加を可能にする。
Endorsed by:	賛同国
Chile	チリ
Finland	フィンランド
France	フランス
Germany	ドイツ
India	インド
Kenya	ケニア
Morocco	モロッコ
Nigeria	ナイジェリア
Slovenia	スロベニア
Switzerland	スイス

 

 

人と地球のための包括的で持続可能な人工知能に関する声明

100カ国以上の参加のうち署名をしたのは60カ国。EU諸国、オーストラリア、カナダ、ニュージーランド、日本、ブラジル、中国、インド、韓国は含まれていますが、米国と英国は含まれていません...

・2025.02.11 Statement on Inclusive and Sustainable Artificial Intelligence for People and the Planet.

Statement on Inclusive and Sustainable Artificial Intelligence for People and the Planet.	人と地球のための包括的で持続可能な人工知能に関する声明
1. Participants from over 100 countries, including government leaders, international organisations, representatives of civil society, the private sector, and the academic and research communities gathered in Paris on 10 and 11 February 2025 to hold the AI Action Summit. Rapid development of AI technologies represents a major paradigm shift, impacting our citizens, and societies in many ways. In line with the Paris Pact for People and the Planet, and the principles that countries must have ownership of their transition strategies, we have identified priorities and launched concrete actions to advance the public interest and to bridge digital divides through accelerating progress towards the SDGs. Our actions are grounded in three main principles of science, solutions - focusing on open AI models in compliance with countries frameworks - and policy standards, in line with international frameworks.	1. 政府指導者、国際機関、市民社会、民間企業、学術・研究機関の代表者を含む100カ国以上の参加者が2025年2月10日と11日にパリに集まり、AIアクション・サミットが開催された。AI技術の急速な発展は大きなパラダイムシフトを意味し、市民や社会に様々な影響を与える。人と地球のためのパリ協定と、各国が移行戦略のオーナーシップを持たなければならないという原則に沿って、我々は優先事項を特定し、SDGsに向けた進捗を加速させることで公益を増進し、デジタル・デバイドを埋めるための具体的な行動を開始した。我々の行動は、科学、ソリューション（各国の枠組みを遵守したオープンなAIモデルに焦点を当てる）、そして国際的な枠組みに沿った政策標準という3つの主要原則に基づいている。
2. This Summit has highlighted the importance of reinforcing the diversity of the AI ecosystem. It has laid an open, multi-stakeholder and inclusive approach that will enable AI to be human rights based, human-centric, ethical, safe, secure and trustworthy while also stressing the need and urgency to narrow the inequalities and assist developing countries in artificial intelligence capacity-building so they can build AI capacities.	2. このサミットは、AIエコシステムの多様性を強化することの重要性を強調した。このサミットは、AIが人権に基づき、人間中心で、倫理的で、安全で、安心でき、信頼できるものとなるような、オープンかつマルチステークホルダーで包括的なアプローチを打ち出すと同時に、不平等を縮小し、発展途上国がAIの能力を構築できるよう、人工知能の能力構築において途上国を支援する必要性と緊急性を強調した。
3. Acknowledging existing multilateral initiatives on AI, including the United Nations General Assembly Resolutions, the Global Digital Compact, the UNESCO Recommendation on Ethics of AI, the African Union Continental AI Strategy, and the works of the Organization for Economic Cooperation and Development (OECD), the council of Europe and European Union, the G7 including the Hiroshima AI Process and G20, we have affirmed the following main priorities:	3. 国連総会決議、グローバル・デジタル・コンパクト、AIの倫理に関するユネスコ勧告、アフリカ連合大陸AI戦略、経済協力開発機構（OECD）、欧州評議会、欧州連合、広島AIプロセスを含むG7、G20の活動など、AIに関する既存の多国間イニシアティブを認識し、我々は以下の主要優先事項を確認した：
・Promoting AI accessibility to reduce digital divides;	・デジタル・デバイドを削減するため、AIへのアクセシビリティを促進する；
・Ensuring AI is open, inclusive, transparent, ethical, safe, secure and trustworthy, taking into account international frameworks for all	・全ての国際的枠組みを考慮し、AIがオープン、インクルーシブ、透明、倫理的、安全、安心、信頼できるものであることを確保する
・Making innovation in AI thrive by enabling conditions for its development and avoiding market concentration driving industrial recovery and development	・AIの発展のための条件を可能にし、産業の回復と発展を促す市場集中を回避することで、AIにおけるイノベーションを繁栄させる
・Encouraging AI deployment that positively shapes the future of work and labour markets and delivers opportunity for sustainable growth	・仕事と労働市場の未来を積極的に形成し、持続可能な成長の機会をもたらすAIの展開を奨励する
・Making AI sustainable for people and the planet	・AIを人々と地球にとって持続可能なものにする
・Reinforcing international cooperation to promote coordination in international governance	・国際ガバナンスにおける協調を促進するため、国際協力を強化する。
To deliver on these priorities:	これらの優先事項を実現するために
・Founding members have launched a major Public Interest AI Platform and Incubator, to support, amplify, decrease fragmentation between existing public and private initiatives on Public Interest AI and address digital divides. The Public interest AI Initiative will sustain and support digital public goods and technical assistance and capacity building projects in data, model development, openness and transparency, audit, compute, talent, financing and collaboration to support and co-create a trustworthy AI ecosystem advancing the public interest of all, for all and by all.	・創設メンバーは、主要な公益AIプラットフォームとインキュベーターを立ち上げ、公益AIに関する既存の官民のイニシアティブを支援し、増幅し、分断を減らし、デジタルデバイドに対処する。公益AIイニシアチブは、データ、モデル開発、公開性と透明性、監査、計算、人材、資金調達、コラボレーションにおけるデジタル公共財や技術支援、能力開発プロジェクトを維持・支援し、すべての人の、すべての人のための、すべての人による公益を促進する信頼できるAIエコシステムを支援・共創する。
・We have discussed, at a Summit for the first time and in a multi-stakeholder format, issues related to AI and energy. This discussion has led to sharing knowledge to foster investments for sustainable AI systems (hardware, infrastructure, models), to promoting an international discussion on AI and environment, to welcoming an observatory on the energy impact of AI with the International Energy Agency, to showcasing energy-friendly AI innovation.	・我々は、サミットで初めて、またマルチステークホルダー形式で、AIとエネルギーに関する問題について議論した。この議論は、持続可能なAIシステム（ハードウェア、インフラ、モデル）への投資を促進するための知見の共有、AIと環境に関する国際的な議論の促進、国際エネルギー機関（IEA）とのAIのエネルギー影響に関する観測所の歓迎、エネルギーに優しいAIイノベーションの紹介につながっている。
・We recognize the need to enhance our shared knowledge on the impacts of AI in the job market, though the creation of network of Observatories, to better anticipate AI implications for workplaces, training and education and to use AI to foster productivity, skill development, quality and working conditions and social dialogue.	・私たちは、職場、訓練、教育に対するAIの影響をよりよく予測し、生産性、技能開発、品質、労働条件、社会的対話を促進するためにAIを活用するために、オブザーバトリーのネットワークを構築し、雇用市場におけるAIの影響に関する共通の知識を強化する必要性を認識している。
4. We recognize the need for inclusive multistakeholder dialogues and cooperation on AI governance. We underline the need for a global reflection integrating inter alia questions of safety, sustainable development, innovation, respect of international laws including humanitarian law and human rights law and the protection of human rights, gender equality, linguistic diversity, protection of consumers and of intellectual property rights. We take notes of efforts and discussions related to international fora where AI governance is examined. As outlined in the Global Digital Compact adopted by the UN General Assembly, participants also reaffirmed their commitment to initiate a Global Dialogue on AI governance and the Independent International Scientific Panel on AI and to align on-going governance efforts, ensuring complementarity and avoiding duplication.	4. 我々は、AIガバナンスに関する包括的なマルチステークホルダー対話と協力の必要性を認識する。我々は、特に、安全性、持続可能な開発、イノベーション、人道法や人権法を含む国際法の尊重、人権の保護、男女平等、言語の多様性、消費者の保護、知的財産権の問題を統合したグローバルな考察の必要性を強調する。AIのガバナンスが検討される国際的な場での取り組みや議論に留意する。国連総会で採択されたグローバル・デジタル・コンパクトに概説されているように、参加者はまた、AIガバナンスに関するグローバル・ダイアログとAIに関する独立国際科学パネルを立ち上げ、現在進行中のガバナンスの取り組みを調整し、補完性を確保し、重複を避けるというコミットメントを再確認した。
5. Harnessing the benefits of AI technologies to support our economies and societies depends on advancing Trust and Safety. We commend the role of the Bletchley Park AI Safety Summit and Seoul Summits that have been essential in progressing international cooperation on AI safety and we note the voluntary commitments launched there. We will keep addressing the risks of AI to information integrity and continue the work on AI transparency.	5. 私たちの経済と社会を支えるためにAI技術の恩恵を活用するには、信頼と安全を前進させることが重要である。我々は、AIの安全性に関する国際協力の進展に不可欠であったブレッチリー・パークAI安全性サミットとソウル・サミットの役割を称賛し、そこで開始された自主的なコミットメントに留意する。我々は、情報の完全性に対するAIのリスクに対処し続け、AIの透明性に関する作業を継続する。
6. We look forward to next AI milestones such as the Kigali Summit, the 3rd Global Forum on the Ethics of AI hosted by Thailand and UNESCO, the 2025 World AI Conference and the AI for Good Global Summit 2025 to follow up on our commitments and continue to take concrete actions aligned with a sustainable and inclusive AI.	6. 我々は、キガリ・サミット、タイとユネスコが主催するAIの倫理に関する第3回グローバル・フォーラム、2025年世界AI会議、AI for Goodグローバル・サミット2025といったAIの次のマイルストーンに期待し、我々のコミットメントをフォローアップし、持続可能で包括的なAIに沿った具体的な行動を取り続ける。
Signatory countries:	署名国
...	(60カ国)

 

フランスの話になりますが...

フランスをAI大国にする

・2025.02.11 Make France an AI powerhouse.

Make France an AI powerhouse.	フランスをAI大国にする
Building on an ambitious national strategy initiated and driven by the President of the Republic since 2017, France is now positioned among the global leaders in artificial intelligence.	2017年以来、共和国大統領が主導し、推進してきた野心的な国家戦略に基づき、フランスは現在、人工知能の世界的リーダーの一角を占めている。
More than €109 billion in investments for infrastructure projects in France have been announced during the Summit.	サミット期間中、フランスにおけるインフラプロジェクトへの1,090億ユーロ以上の投資が発表された。
The French territory has many advantages for hosting dedicated AI infrastructure :	フランス領土は、専用のAIインフラをホストするための多くの利点を持っている：
・A decarbonized, abundant, and stable electricity supply ;	・脱炭素、豊富で安定した電力供給 ;
・An ever-expanding high-voltage grid ;	・拡張し続ける高圧グリッド ;
・Suitable sites for data center projects ;	・データセンタープロジェクトに適した場所 ;
・Ready to use low carbon AI-sites through all of France ;	・フランス全土を通じて低炭素AIサイトを利用する準備が整っている ;
・Streamlined procedures.	・手続きが合理化されている。

 

・[PDF] 

 

 

---

 

AIアクションサミットのウェブページ...

● Élysée - Artificial Intelligence Action Summit

 

AIのためのパリの行動

・2025.02.11 Les actions de Paris pour l'Intelligence artificielle.

Les actions de Paris pour l'Intelligence artificielle.	人工知能のためのパリ行動
Des acteurs venus de plus de 100 pays des 5 continents, issus de gouvernements, d’organisations internationales, d’entreprises privées, de partenaires sociaux, d’acteurs de la société civile et du monde universitaire, de la recherche et de la culture, se sont réunis du 6 au 11 février 2025 à Paris et ont décidé d’agir ensemble pour l’intelligence artificielle (IA).	政府、国際機関、民間企業、社会的パートナー、市民社会、学界、研究、文化など、5大陸100カ国以上の関係者が2025年2月6日から11日までパリに集まり、人工知能（AI）のために共に行動することを決定した。
Rappelant leur attachement à une approche commune fondée sur le partage de la science, de solutions et de standards partagés, ils ont annoncé plus d’une centaine d’actions et engagements concrets en faveur d’une AI de confiance accessible à tous, autour de trois axes:	科学、ソリューション、標準の共有に基づく共通のアプローチへのコミットメントを改めて表明した彼らは、3つの分野に焦点を当て、誰もがアクセスできる信頼できるAIを支持する100以上の具体的な行動とコミットメントを発表した：
・donner à chacun les moyens de s’approprier la révolution de l’IA ;	・すべての人にAI革命を受け入れる手段を与える；
・favoriser le développement d’une IA durable ;	・持続可能なAIの開発を奨励する
・renforcer le système international de gouvernance de l’IA pour le rendre plus efficace et inclusif.	・国際的なAIガバナンス・システムを強化し、より効果的で包括的なものにする。
Une déclaration des chefs d’État du Sommet pour l’action sur l’IA, co-présidé par la France et l’Inde, soutient cette approche, avec le soutien des Nations-Unies.	フランスとインドが共同議長を務めるAIアクション・サミットの首脳宣言は、国連の後押しを得て、このアプローチを支持している。
À l’heure où le développement de l’IA ne cesse de s’accélérer, ses applications de se diversifier et son utilisation de s’étendre, il revient à chacun – États, entreprises, organisations, citoyens – de façonner selon nos valeurs cette technologie dont tout le potentiel reste encore à atteindre.	AIの開発が加速し、その用途が多様化し、その利用が拡大し続けている現在、国家、企業、組織、市民など、すべての人が、まだその可能性が完全に実現されていないこの技術を、我々の価値観に従って形成していくことが求められている。
Ce sommet a été préparé avec la contribution de plus de 11 000 citoyens, qui ont répondu à une vaste consultation en ligne ainsi que de plus de 800 chercheurs, d’en- trepreneurs et de créateurs, dans le cadre de près de 100 évènements dans le monde entier en amont et en marge du Sommet.	このサミットは、膨大なオンライン協議に回答した11,000人以上の市民、800人以上の研究者、起業家、クリエイター、そしてサミットに向けた、そしてサミットと並行して世界各地で開催された100近いイベントの貢献によって準備された。
Les actions de Paris pour l'intelligence artificielle.	人工知能のためのパリ行動
Lire le document (.pdf)	文書を読む (.pdf)
Déclaration sur une intelligence artificielle durable et inclusive pour la population et la planète.	人と地球のための持続可能で包括的な人工知能に関する宣言。
Lire la déclaration	宣言を読む
La Charte de Paris pour une intelligence artificielle d’intérêt général.	公益のための人工知能パリ憲章。
Lire la Charte	憲章を読む
Des gouvernements, des organisations philanthropiques et des entreprises technologiques lancent un nouveau partenariat pour promouvoir l'IA d'intérêt général.	政府、慈善団体、テクノロジー企業が、公益のためのAIを推進する新しいパートナーシップを立ち上げる。
Lire la déclaration	宣言を読む
New Coalition aims to put Artificial Intelligence on a more sustainable path.	新連合は人工知能をより持続可能な道に導くことを目指す。
Read the press release	プレスリリースを読む
Pledge for a Trustworthy AI in the World of Work.	職場における信頼できるAIへの誓約。
Read the pledge	誓約を読む
Paris Declaration on Maintaining Human Control in AI enabled Weapon Systems.	AIを活用した兵器システムにおける人間による制御の維持に関するパリ宣言。
Read the declaration	宣言を読む
Co-Chairs’ Statement on International Artificial Intelligence Governance.	国際人工知能ガバナンスに関する共同議長声明。
Reat the statement	声明を読む
Key themes to explore in AI Governance.	AIガバナンスにおいて探求すべき主要テーマ
See the document (.pdf)	文書を読む (.pdf)

 

 

人工知能のためのパリ行動

Les actions de Paris pour l'intelligence artificielle.	人工知能のためのパリ行動
Lire le document (.pdf)	文書を読む (.pdf)

 

 

Déclaration sur une intelligence artificielle durable et inclusive pour la population et la planète.	人と地球のための持続可能で包括的な人工知能に関する宣言。
Lire la déclaration	宣言を読む

英語はこちら...

・Statement on Inclusive and Sustainable Artificial Intelligence for People and the Planet.

仮対訳は、上に...

 

 

La Charte de Paris pour une intelligence artificielle d’intérêt général.	公益のための人工知能パリ憲章。
Lire la Charte	憲章を読む

英語はこちら...

・The Paris Charter on Artificial Intelligence in the Public Interest.

仮対訳は、上に...

 

 

政府、慈善団体、テクノロジー企業、公益のためにAIを推進する新たなパートナーシップを発足

 Current AIという、世界的公益パートナーシップで発足したとのことです...

Current AI は、フランス他の政府、非営利団体、産業界（グーグル、セールスフォースの他、サカナAIも...）からの4億ドルの初期投資ではじめ、5年間で25億ドルの資金調達を目指しているようです...

焦点を当てる３つの分野は、

• データ：メディア、ヘルスケア、教育などの主要分野において、価値の高い、地域に関連したデータセットへのアクセスを拡大する。
• オープン性：AI技術がアクセス可能、適応可能、包括的であり続けることを保証するオープンスタンダードとツールを推進する。
• 説明責任：AIシステムが公共の利益に資するよう、透明性、監査、市民参加のための強固な枠組みを整備する。

のようです...

・2025.02.11 Des gouvernements, des organisations philanthropiques et des entreprises technologiques lancent un nouveau partenariat pour promouvoir l'IA d'intérêt général.

Des gouvernements, des organisations philanthropiques et des entreprises technologiques lancent un nouveau partenariat pour promouvoir l'IA d'intérêt général.	政府、慈善団体、テクノロジー企業が、公益のためのAIを推進する新しいパートナーシップを立ち上げる。
Lire la déclaration	宣言を読む

 

 

 新連合は、人工知能をより持続可能な道に導くことを目指す

環境的に持続可能な人工知能（AI）のための連合（Coalition for Environmentally Sustainable Artificial Intelligence (AI) の下、37のハイテク企業、11の他国、UNDP、IEA、GGGIを含む5つの国際機関を含む91のパートナーが手を組み、AIをより環境的に持続可能な道へと導くために世界的な機運を高めることを目指している。 フランス、国連環境計画（UNEP）、国際電気通信連合（ITU）が主導するこの連合は、AIバリューチェーン全体の利害関係者を集め、対話と野心的な共同イニシアティブを行う。とのこと...

New Coalition aims to put Artificial Intelligence on a more sustainable path.	新連合は人工知能をより持続可能な道に導くことを目指す。
Read the press release	プレスリリースを読む

 

 

職場における信頼できるAIへの誓約

Pledge for a Trustworthy AI in the World of Work.	職場における信頼できるAIへの誓約。
Read the pledge	誓約を読む

 

・2025.02.11 Pledge for a Trustworthy AI in the World of Work

Pledge for a Trustworthy AI in the World of Work	労働の世界における信頼できるAIのための誓約
Acknowledging the Artificial Intelligence Action Summit’s Declaration adopted on 11 February 2025 in Paris: “Fast progress of AI technologies represents a major paradigm shift for governments, industries, firms, economies and cultures, impacting our citizens, and societies in many ways. In line with the Paris Pact for People and the Planet, by reiterating country ownership of the different needs to pursue diverse transition paths, we have identified priorities and launched concrete actions to advance the public interest, to close all digital divides, to accelerate progress towards the Sustainable Development Goals (SDG) and to protect human rights, fundamental freedoms and the environment and to promote social justice by ensuring equitable access to the benefits of AI for all people”,(…) “building on United Nations General Assembly Resolutions, the Global Digital Compact , and relying on the  G7 and G20…” .	2025年2月11日にパリで採択された「人工知能アクションサミット宣言」を承認する。「AI技術の急速な進歩は、政府、産業、企業、経済、文化にとって大きなパラダイムシフトであり、市民や社会にさまざまな影響を与える。人々と地球のためのパリ協定に沿って、多様な移行経路を追求するためのさまざまなニーズに対する各国のオーナーシップを再確認することで、 我々は、公益の促進、あらゆるデジタル格差の解消、持続可能な開発目標（SDG）に向けた進捗の加速、人権、基本的自由、環境の防御、そして、すべての人々へのAIの恩恵への公平なアクセスの確保による社会正義の促進を目的とした優先事項を識別し、具体的な行動を開始した。（中略）「国連総会決議、グローバル・デジタル・コンパクトを基盤とし、G7およびG20に依拠して…」
Considering the forthcoming OECD Recommendation on Artificial Intelligence (AI) in the labour market scheduled for adoption at the 2025 OECD Ministerial Council Meeting and the G7 Action Plan for a human-centered and trustworthy development of AI in the world of work.	労働市場における人工知能（AI）に関する2025年のOECD閣僚理事会での採択が予定されているOECD勧告案、および労働の世界における人間中心で信頼できるAIの開発に向けたG7行動計画を考慮し、
Acknowledging the Joint Statement of the G7 engagement groups Labour 7 (L7) and Business 7 (B7), which stresses the importance of ensuring that the benefits of AI, including productivity gains, are fairly redistributed among workers and across the value chain.	G7の労働7（L7）およびビジネス7（B7）の関与グループによる共同声明を認識し、生産性向上を含むAIの恩恵が労働者およびバリューチェーン全体に公正に再分配されることの重要性を強調する。
Recalling the European Economic and Social Committee (EESC) and the International Labour Organisation High-level Conference on Social Justice in the Digital Era: AI’s Impact on the Labour Market (3 February 2025), alongside the “Mind the AI Divide” report and mobilization by partner countries of the Global Coalition for Social Justice.	欧州経済社会評議会（EESC）および国際労働機関（ILO）による「デジタル時代の社会正義に関するハイレベル会議：労働市場におけるAIの影響」（2025年2月3日）を想起し、「AI格差に注意」報告書およびグローバル・コーリション・フォー・ソーシャル・ジャスティス（社会正義のためのグローバル連合）のパートナー諸国の動員と併せて、
Recognizing opinions from Economic and Social Councils and tripartite bodies worldwide, alongside frameworks and regulations proposed by the OECD and national entities for risk management in AI deployment.	経済社会理事会および世界中の三者構成団体からの意見を認識し、また、AI展開におけるリスクマネジメントのための枠組みおよび規制をOECDおよび各国事業体が提案していることを認識する。
Acknowledging the Coalition for Sustainable AI’s assertion that AI deployment choices significantly influence environmental sustainability and should accelerate ecological and climate transitions.	持続可能なAI連合の主張を認め、AI展開の選択肢が環境の持続可能性に大きな影響を与え、生態系および気候の移行を加速させるべきであることを認識する。
While AI offers tremendous opportunities for sustainable economic growth, prosperity, and health, businesses play a pivotal role through their investments, job creation, and value chains. Identifying policies that enable employers, workers, and societies to leverage AI’s potential while addressing its risks is a defining challenge of our time. Promoting human rights, worker health, safety, and inclusivity in business operations enhances security and stability, delivering long-term value to all stakeholders.	AIは持続可能な経済成長、繁栄、健康に多大な機会をもたらす一方で、投資、雇用創出、バリューチェーンを通じて、企業は重要な役割を果たす。雇用主、労働者、社会がAIの潜在能力を活用しながら、そのリスクに対処することを可能にする政策を識別することは、現代の重要な課題である。人権、労働者の健康、安全、事業運営における包摂性を推進することは、セキュリティと安定性を高め、すべてのステークホルダーに長期的な価値をもたらす。
We pledge to foster inclusive AI as a critical driver of inclusive growth. Corporate action addressing AI’s workplace impact must align governance, social dialogue, innovation, trust, fairness, and public interest. We commit to advancing the AI Paris Summit agenda, reducing inequalities, promoting diversity, tackling gender imbalances, increasing training and human capital investment.	私たちは、包括的成長の重要な推進力として、インクルーシブAIの育成を誓う。AIが職場に与える影響に対処する企業行動は、ガバナンス、社会対話、イノベーション、信頼、公平性、公共の利益を一致させなければならない。私たちは、AIパリサミットの議題を推進し、不平等を減らし、多様性を促進し、ジェンダーの不均衡に取り組むとともに、研修と人的資本への投資を増やすことを約束する。
Companies commit to the following objectives:	企業は、以下の目標を達成することを誓う。
1. Promoting Social Dialogue	1. 社会対話を促進する
Promote social dialogue, with worker representatives, in decisions related to the adoption, deployment and assessment of AI systems, including through collective bargaining, to ensure a responsible and trustworthy use of AI at work.	労働現場におけるAIの責任ある信頼性の高い利用を確保するため、AIシステムの導入、展開、アセスメントに関する決定において、労働者代表との社会的対話を促進する。
Support the enhancement of the expertise, skills, and engagement of unions and employer associations on digital and AI-related matters.	デジタルおよびAI関連事項に関する労働組合および雇用者団体の専門知識、スキル、関与の強化を支援する。
2. Investing in Human Capital	2. 人材への投資
Foster investments in human capital to empower workers to benefit from AI.	労働者がAIの恩恵を受けられるよう、人材への投資を促進する。
Promote a fair transition by addressing skill mismatches and supporting upskilling and reskilling initiatives in collaboration with unions and employer organisations.	労働組合や雇用者団体と協力し、技能のミスマッチに対処し、スキルアップやスキル転換の取り組みを支援することで、公正な移行を促進する。
3. Ensuring Occupational Safety, Health, Autonomy, and Dignity	3. 職業上の安全、健康、自律性、尊厳の確保
Leverage AI to improve job quality and prevent work-related injuries.	AIを活用して仕事の質を改善し、労働災害を防止する。
Address challenges related to occupational safety and health (OSH), including mental health, as well as workers’ autonomy, agency, and dignity.	労働安全衛生（OSH）に関する課題、メンタルヘルスを含む、労働者の自律性、代理、尊厳に対処する。
Involve stakeholders in monitoring AI’s impact, conducting audits, and ensuring compliance including through assessments, audits and certifications.	AI の影響の監視、監査の実施、およびアセスメント、監査、認証などを通じたコンプライアンスの確保に利害関係者を関与させる。
Support awareness campaigns and tools to share best practices for a safe use of AI.	AI の安全な利用に関するベストプラクティスを共有するための意識向上キャンペーンおよびツールを支援する。
4. Ensuring Non-Discrimination in the Labour Market	4. 労働市場における非差別の確保
Ensure AI eliminates biases in recruitment and does not exclude underrepresented groups.	AI が採用におけるバイアスを排除し、過少代表グループを排除しないことを確保する。
Enforce regulatory frameworks and standards to promote equitable access to training, jobs and decision-making roles.	研修、雇用、意思決定の役割への公平なアクセスを促進するための規制枠組みおよび標準を施行する。
5. Protecting Worker Privacy	5. 労働者のプライバシーの 保護
Ensure that the increased use of AI, including the collection of worker and job applicant data, respects workers’ rights to privacy, fundamental rights, freedom of association and collective bargaining.	労働者および求職者のデータ収集を含むAIの使用拡大が、労働者のプライバシー、基本的権利、結社および団体交渉の自由を尊重することを確保する。
Protect workers from the risks of algorithmic management like the misuse of digital surveillance.	デジタル監視の悪用などのアルゴリズムによるマネジメントのリスクから労働者を保護する。
Encourage the adoption of technical standards and best practices for risk assessments, safety by design, monitoring, and testing AI systems.	リスクアセスメント、設計段階での安全性、AIシステムのモニタリングおよびテストのための技術標準およびベストプラクティスの採用を奨励する。
6. Promoting Productivity and Inclusiveness Across Companies and Value Chains	6. 企業およびバリューチェーン全体における生産性と包括性の促進
Address digital divides and ensure the benefits of AI are shared broadly to avoid deepening inequalities in the labour market, in association with all the stakeholders.	デジタル格差に対処し、労働市場における不平等が深まるのを避けるため、AIの恩恵が広く共有されるようにする。
Promote human rights with all business partners. Key actions include:	すべてのビジネスパートナーとともに人権を推進する。主な行動には以下が含まれる。
・Labour standards in the AI value chain: requirement that AI system providers respect global standards for all data supply chain workers, notably in data enrichment work, including living wages,  healthy and safe workplaces,  and fundamental labour rights.	・AIバリューチェーンにおける労働基準：AIシステムプロバイダが、データサプライチェーンのすべての労働者、特にデータ強化作業に従事する労働者に対して、生活賃金、健康で安全な職場、労働基本権を含むグローバル標準を尊重することを求める。
・Training and Development of digital skills needed for AI: Support digital skills training and community development programs for underrepresented groups. Encourage AI companies to provide skill-building services alongside AI deployment.	・AIに必要なデジタルスキルの訓練と開発： これまで十分に代表されてこなかったグループを対象としたデジタルスキル訓練とコミュニティ開発プログラムを支援する。AI企業に対して、AI展開と並行してスキル構築サービスを提供するよう促す。
・Promoting fair labour practices and positive impacts of AI on the world of work globally, including for companies and workers at all stages of the AI value chain and for the just transition to a green economy,	・AIバリューチェーンのすべてのステージにおける企業と労働者、およびグリーンエコノミーへの公正な移行を含め、世界中の労働環境における公正な労働慣行とAIのポジティブな影響を推進する。
Foster innovation in technology and R&D in AI to encourage economic growth and productivity.	経済成長と生産性を促進するために、AIにおける技術革新と研究開発を促進する。
In order to achieve these objectives, companies commit to monitor their actions by developing a measurement framework to assess progress of their plans.	これらの目標を達成するために、企業は、自社の計画の進捗状況をアセスメントするための測定枠組みを開発し、自社の行動をモニタリングすることを約束する。
An international working group possibly informed by expertise and insights from international frameworks and practices will propose a limited list of indicators to companies to help determining these measurements by September 2025.	国際的な枠組みや実践から得られた専門知識や洞察を参考に、国際的な作業部会が、2025年9月までにこれらの測定基準を決定するための指標の限定的なリストを企業に提案する。
Initial self-assessments by companies can be consolidated to be able to be presented as a collective impact of the pledge at the 2026 -G7 Summit- in France.	企業による初期の自己アセスメントは、2026年のフランスでのG7サミットで、誓約の全体的な影響として提示できるように統合することができる。
Collaboration between governments and businesses is essential to foster trustworthy AI. Public-private partnerships, such as the AI Foundation launched at the Paris AI Summit, will drive systemic change. We will work closely with policymakers to align public policies and corporate practices for inclusive growth.	信頼できるAIを育成するには、政府と企業の協力が不可欠である。パリAIサミットで発足したAI Foundationのような官民パートナーシップは、体系的な変化を推進するだろう。私たちは、包括的な成長のための公共政策と企業慣行を整合させるために、政策立案者と緊密に連携していく。

 

 

AIを活用した兵器システムにおける人間によるコントロールの維持に関するパリ宣言

AIは兵器に使うと、従来の兵器以上の能力を発揮するかもしれないが...責任と説明責任は決して機械に移譲できないので...人間によるコントロールと責任ある指揮系統の外で完全に作動する自律型兵器システムによって生死の決断を下すことを許可しないということのようです。

さらに、国際人道法に従って使用することができないシステムを開発、配備、使用しない。

ということですが、賛同国はEUを中心とする25カ国です。EUではフランスとドイツが含まれていない... さらに、米国、英国、日本、中国も含まれていない...

Paris Declaration on Maintaining Human Control in AI enabled Weapon Systems.	AIを活用した兵器システムにおける人間によるコントロールの維持に関するパリ宣言。
Read the declaration	宣言を読む

 

 

 

国際AIガバナンスに関する共同議長声明...

ということで、フランスとインドによる声明...

結論として...

• (1)包括的な成長、持続可能な開発、福祉、(2)法の支配、人権、公正さとプライバシーを含む民主的価値の尊重、(3)透明性と説明可能性、(4)堅牢性、安全性、(5)説明責任。
  
  
• その他にも、注意を要する新たな問題が数多くある（言語的・文化的多様性を保証する必要性、市場構造への注意、これらの資源への民主的アクセス問題の重要性など）。
  
  
• 進歩のためのイネイブラー」の重要性：公共インフラ、オープンスタンダード、スキルと能力の分配は、テキストやコミットメントと同様に、優れた集団統治にとって重要であると考えられている。 他の分野と同様、AIにおいても「コードは法律、インフラは政治」である。
  
  
• 最後に、AIの発展だけでなく、例えば労働の未来など、その社会的帰結を予測することも必要である。

 一方、以下については、結論がでなかった...

• 基準や公共政策の相互運用性の問題
  
  
• 国際法やより国家的・地域的な集団的選好に関するローカルとグローバルの明確化に関する問題

Co-Chairs’ Statement on International Artificial Intelligence Governance.	国際人工知能ガバナンスに関する共同議長声明。
Reat the statement	声明を読む

 

 

Key themes to explore in AI Governance.	AIガバナンスにおいて探求すべき主要テーマ
See the document (.pdf)	文書を読む (.pdf)

・[PDF]

 

 

クロージング・セッション

・2025.02.11 Session de clôture du Sommet pour l’action sur l’IA.

 

 

米国Vance副大統領

https://www.youtube.com/watch?v=Mal6gGlVB2Q

https://www.youtube.com/watch?v=MnKsxnP2IVk

https://www.youtube.com/watch?app=desktop&v=64E9O1Gv99o&d=n

 

欧州委員会Leyen委員長

https://www.youtube.com/watch?v=i_es9g1VLFk

 

対談

https://www.youtube.com/watch?v=-ZenbZyJZJ0

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.02.11 フランス AIアクションサミット開催 (2025.02.10-11)

 

英国 英国政府のためのAIプレイブック(2025.02.10)

こんにちは、丸山満彦です。

英国は国家戦略にAIを含めていますよね... どこの国もそうかもしれませんが... 

つい最近もAI安全報告書2025やAI機会行動計画を発表していましたね...

今回は、英国政府のためのAIプレイブック...を発表していますね...　PDFで119ページあります...

HTMLで読みながら、リンクを辿ると、英国政府は全体像をかなり把握して、政府が行動しているような気がします。

英国政府も内閣制度で縦割りの組織になっているとは思うのですが、少なくともウェブページは日本政府のように、省庁がバラバラとつくっているのではなく、全体で統一されている、政策についても連携ができている感じは受けますよね...

何が違うのだろうかね...

 

10の原則...

Principles	原則
Principle 1: You know what AI is and what its limitations are	原則1: AIとは何か、その限界は何かを知る
Principle 2: You use AI lawfully, ethically and responsibly	原則2: AIを合法的、倫理的かつ責任を持って使用する
Principle 3: You know how to use AI securely	原則3: AIを安全に使用する方法を知る
Principle 4: You have meaningful human control at the right stages	原則4: 適切な段階で、人間による有意義な管理を行う
Principle 5: You understand how to manage the full AI life cycle	原則5: AIのライフサイクル全体を管理する方法を理解する
Principle 6: You use the right tool for the job	原則6: 職務に適したツールを使用する
Principle 7: You are open and collaborative	原則7: オープンで協力的である
Principle 8: You work with commercial colleagues from the start	原則8: 最初から商業目的の同僚と協力する
Principle 9: You have the skills and expertise needed to implement and use AI solutions	原則9: AIソリューションの実装と利用に必要なスキルと専門知識を有する
Principle 10: You use these principles alongside your organisation’s policies and have the right assurance in place	原則10: 組織の方針に沿ってこれらの原則を活用し、適切な保証を行う

 

そういえば、2月11日まで、フランスでAIアクションサミットが開催されていましたね。

 

● U.K. Government

・2025.02.10 Guidance AI Playbook for the UK Government

 ・[PDF] Artificial Intelligence Playbook for the UK Government

 

・[HTML] Artificial Intelligence Playbook for the UK Government 

 

目次...

Acknowledgements	謝辞
Update log	更新履歴
Foreword	まえがき
Preface	序文
Principles	原則
Principle 1: You know what AI is and what its limitations are	原則1: AIとは何か、その限界は何かを知る
Principle 2: You use AI lawfully, ethically and responsibly	原則2: AIを合法的、倫理的かつ責任を持って使用する
Principle 3: You know how to use AI securely	原則3: AIを安全に使用する方法を知る
Principle 4: You have meaningful human control at the right stages	原則4: 適切な段階で、人間による有意義な管理を行う
Principle 5: You understand how to manage the full AI life cycle	原則5：AIのライフサイクル全体を管理する方法を理解する
Principle 6: You use the right tool for the job	原則6: 職務に適したツールを使用する
Principle 7: You are open and collaborative	原則7: オープンで協力的である
Principle 8: You work with commercial colleagues from the start	原則8: 最初から商業目的の同僚と協力する
Principle 9: You have the skills and expertise needed to implement and use AI solutions	原則9: AIソリューションの実装と利用に必要なスキルと専門知識を有する
Principle 10: You use these principles alongside your organisation’s policies and have the right assurance in place	原則10: 組織の方針に沿ってこれらの原則を活用し、適切な保証を行う
Understanding AI	AIを理解する
What is AI?	AIとは何か？
Fields of AI	AIの分野
Applications of AI in government	政府におけるAIの応用
Limitations of AI	AIの限界
Building AI solutions	AIソリューションの構築
Building the team	チームを作る
Defining the goal	目標を定める
Buying AI	AIを購入する
Using AI safely and responsibly	安全かつ責任あるAIの使用
Ethics	倫理
Legal considerations	法的考察
Data protection and privacy	データ・プライバシー保護
Security	セキュリティ
Governance	ガバナンス
Appendix: example AI use cases in the public sector	附属書：公共部門におけるAIの使用例
GOV.UK Chat: experimenting with generative AI	GOV.UKチャット：生成的AIで実験する
GOV.UK Chat: doing user research for AI products	GOV.UKチャット：AI製品のユーザー調査を行う
CCS commercial agreement recommendation system	CCS商業契約推薦システム
DWP whitemail vulnerability scanner	DWPホワイトメール脆弱性スキャナー
Digital Sensitivity Review at FCDO Services	FCDOサービスのデジタル感度レビュー
NHS user research finder	NHSユーザーリサーチファインダー
NHS.UK reviews: an automated reviews moderator	NHS.UKレビュー：自動レビューモデレーター

 

10の原則については、ポスターもありますね...

・[PDF] Artificial Intelligence Playbook posters

 

Principle 1: You know what AI is and what its limitations are	原則1：AIとは何か、その限界は何かを知る
1 Understand how AI can help and the risks it poses	1 AIがどのように役立ち、それがもたらすリスクを理解する
2 Use techniques to increase the accuracy of outputs	2 アウトプットの精度を高めるテクニックを使用する
3 Put processes in place to test tools thoroughly	3 ツールを徹底的にテストするプロセスを導入する
Principle 2: You use AI lawfully, ethically and responsibly	原則2：AIを合法的、倫理的、責任を持って使用する
1 Engage with compliance, data protection and legal experts early on	1 コンプライアンス、データ保護、法律の専門家と早期に連携する
2 Manage and protect personal data	2 パーソナルデータの処理と保護
3 Test tools to minimise bias in their data at all stages	3 ツールをテストし、すべての段階でデータのバイアスを最小化する
Principle 3: You know how to use AI securely	原則3： AIを安全に使用する方法を知る
1 Make sure tools can only access the data they need for the task	1 ツールがタスクに必要なデータのみにアクセスできるようにする
2 Don’t train tools using private or sensitive data sources	2 個人情報や機密性の高いデータソースを使用してツールを学習させない
3 Put technical controls in place to detect malicious activity and data leaks	3 悪意のある活動やデータ漏えいを検知するための技術的な制御を行う
Principle 4: You have meaningful human control at the right stages	原則4： 適切な段階で、人間による有意義な管理を行う
1 Make sure a trained and qualified person reviews outputs	1 訓練を受けた有資格者が出力をレビューしていることを確認する
2 Test tools fully before they go live and check them regularly	2 本番稼働前にツールを十分にテストし、定期的にチェックする
3 Incorporate feedback from end users	3 エンドユーザーからのフィードバックを取り入れる
Principle 5: You understand how to manage the full AI life cycle	原則5：AIのライフサイクルを完全に管理する方法を理解する
1 Know how to set up, update and close down tools securely	1 ツールを安全にセットアップ、更新、終了する方法を知っている
2 Have the right resource to support day-to-day maintenance of tools	2 ツールの日々の保守をサポートする適切なリソースを確保している
3 Put robust testing processes in place to monitor drift, bias and, in the case of generative AI, hallucinations	3 ドリフト、バイアス、生成的AIの場合は幻覚を監視するための強固なテストプロセスを導入している
Principle 6: You use the right tool for the job	原則6： 職務に適したツールを使用する
1 Select the most appropriate technology or model for your needs	1 ニーズに最も適した技術やモデルを選択する
2 Be open to AI solutions and approaches	2 AIソリューションやアプローチにオープンである
3 Use tools to support time-consuming or administrative tasks	3 時間のかかる作業や管理作業をサポートするツールを使用する
Principle 7: You are open and collaborative	原則7：オープンで協力的である
1 Engage with stakeholder organisations from the start	1 最初からステークホルダー組織と関わる
2 Join cross-government communities to learn from others and share insights	2 政府横断的なコミュニティに参加し、他者から学び、洞察を共有する
3 Be open with the public and identify where and how tools are used	3 一般にオープンであり、ツールがどこでどのように使用されているかを特定する
Principle 8: You work with commercial colleagues from the start	原則8： 最初から商業目的の同僚と協力する
1 Get advice on the commercial implications of tools	1 ツールの商業的な意味合いについて助言を受ける
2 Know how to use AI in line with commercial requirements	2 商業的な要件に沿ったAIの使用方法を知る
3 Ensure ethical expectations are the same between in-house and third-party tools	3 倫理的な期待が社内ツールとサードパーティ製ツールで同じであることを確認する
Principle 9: You have the skills and expertise needed to implement and use AI solutions	原則9： AIソリューションの実装と利用に必要なスキルと専門知識を有する
1 Understand the technical requirements for using tools	1 ツールを使用するための技術的要件を理解する
2 Make sure your team has the necessary skillset	2 チームに必要なスキルセットがあることを確認する
3 Take part in learning courses and keep track of AI developments	3 学習コースに参加し、AIの開発状況を把握する
Principle 10: You use these principles alongside your organisation’s policies and have the right assurance in place	原則10：組織の方針にそってこれらの原則を活用し、適切な保証を行う
1 Understand, monitor and mitigate the risks of using AI tools	1 AIツールを使用するリスクを理解し、監視し、緩和する
2 Connect with the right assurance and design teams early on	2 適切な保証チームおよび設計チームと早期に連携する
3 Put documented review and escalation processes in place	3 文書化されたレビューおよびエスカレーションプロセスを導入する

 

 

---

 

 ● まるちゃんの情報セキュリティ気まぐれ日記

・2025.02.11 フランス AIアクションサミット開催 (2025.02.10-11)

・2025.02.08 内閣府 ＡＩ戦略会議　ＡＩ制度研究会　中間とりまとめ（案）(2025.02.04)

・2025.02.07 オランダ データ保護庁 AIリテラシーを持って始めよう (2025.01.30)

・2025.02.03 英国 AI安全報告書 2025

・2025.02.02 欧州連合 競争力コンパス (2025.01.29)

・2025.01.31 欧州 地方自治体および地域行政によるAIおよびGenAIの採用

・2025.01.30 オランダ 重要インフラ・水管理省 AI 影響アセスメント第2.0版 (2024.12.31)

・2025.01.29 ドイツ BSI 生成的AIモデルV2.0 (2025.01.21)

・2025.01.26 英国 AI機会行動計画 (2025.01.13)

・2025.01.24 ASEAN AIのガバナンスと倫理に関する拡張ASEANガイド - 生成的AI (2025.01.17)

 

 

 

個人情報保護委員会 DeepSeekに関する注意喚起と、外国制度(中華人民共和国）の更新 (2025.02.03)

こんにちは、丸山満彦です。

個人情報保護委員会は、うわさの生成的AIであるDeepSeekに関する注意喚起を出し、合わせて中華人民共和国の制度を更新したようですね...

 

● 個人情報保護委員会

・2025.02.03 DeepSeekに関する情報提供

---

生成AIサービスについては、その利用が世界的に普及している中、新たにDeepSeek社注1 による生成AIサービスが開発され、サービス提供が開始されています。同社の生成AIサービスについては、日本国内でサービス提供体制が構築されている他のサービスとは異なり、留意すべき点がありますが、同社が公表するプライバシーポリシーは中国語と英語表記のもののみとなっています。このため、同社が公表するプライバシーポリシーの記載内容に関して、以下のとおり、情報提供を行います。

• ①当該サービスの利用に伴いDeepSeek社が取得した個人情報を含むデータは、中華人民共和国に所在するサーバに保存されること
• ②当該データについては、中華人民共和国の法令が適用されること

（参考）

上記②に関して、当該データに対しては、例えば以下のような法令が適用されることとなります。

• 中華人民共和国個人情報保護法
• サイバーセキュリティ法
• データセキュリティ法
• 中華人民共和国国家情報法　　　等

---

 

・外国制度(中華人民共和国）

 

国家情報法についても記載がありますね...　参考になります...

---

• 関係する機関・組織・国民に対し、国家安全機関、公安機関の情報部門及び軍の情報部門が行う国家情報活動に対して必要な支持・援助・協力行うことを義務付け。
  
  
• 同法に基づく事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
  
  
  • アクセスの実施に関する制限及び手続
  • 法令において特定された目的（又は当該目的と矛盾しない正当な目的）の達成に必要な範囲でのアクセス実施
  • アクセスの実施に関する独立した機関からの承認
  • 取得された情報の取扱いの制限・安全管理
  • アクセスの実施に関する透明性の確保

※上記のとおり、これらの法令によって、中華人民共和国の国家安全機関、公安機関等は、国家安全保障や犯罪捜査の目的に限らず、広範な情報収集活動の目的のもと、企業や個人に対して、その保有する、個人情報を含む様々な情報を提供させ、収集・監視することが可能とされている。したがって、同国企業が提供するデジタルサービス等を本邦国民が利用する際、同国企業によって収集される利用者個人に関する情報も、当該国家安全機関、公安機関等による収集・監視の対象となり得るものと考えられる。

---

 

個人の基本的人権と国家の安全保障のバランスをどのように取るのか？というのは、（民主主義の国であれば）それぞれの国民が国がどうあるべきかを規定する話ですから、国民で議論をする必要がある部分なのでしょうね...

【参考】

・中華人民共和国個人情報保護法（中华人民共和国个人信息保护法）

• [PDF]  仮訳

・サイバーセキュリティ法

・データセキュリティ法

・中華人民共和国国家情報法（中华人民共和国国家情报法）

 

---

 

 

米国 NIST IR 8539 遷移モデルによるセキュリティ特性の検証 (2025.01.31)

こんにちは、丸山満彦です。

NISTが、IR 8539 Security Property Verification by Transition Model（遷移モデルによるセキュリティ特性の検証）を公表していますね...

昨年の10月にドラフトを公表し、意見募集をしていたものですね...結局十分に読み込んでいなくて、よく理解していないままです...(^^;;

複雑、多様化しているシステムのアクセス管理について、遷移モデル（状態遷移を表現するための数学的フレームワーク）を利用して、アクセスポリシーを検証する方法ということなのですかね...

遷移モデルを具体化するオートマトンについても詳細に検討されていますね...

特性仕様については、線形時相論理（LTL）と計算木論理（CTL）が説明につかわれていますね...

 

 

● NIST - ITL

・2025.01.31 Security Property Verification by Transition Model | NIST Publishes IR 8539

 

Security Property Verification by Transition Model | NIST Publishes IR 8539	移行モデルによるセキュリティ特性検証｜NISTがIR 8539を発行
NIST Internal Report (IR) 8539, Security Property Verification by Transition Model, is now available.	NIST内部報告書（IR）8539「移行モデルによるセキュリティ特性検証」が公開された。
Verifying the security properties of access control policies is a complex and critical task. Often, the policies and their implementation do not explicitly express their underlying semantics, which may be implicitly embedded in the logic flows of policy rules, especially when policies are combined. Instead of evaluating and analyzing access control policies solely at the mechanism level, formal transition models can describe these policies and prove the system’s security properties,  ensuring that access control mechanisms are designed to meet security requirements.	アクセス管理ポリシーのセキュリティ特性の検証は、複雑かつ重要な作業である。 ポリシーとその実装は、その基礎となるセマンティクスを明示的に表現していないことが多く、特にポリシーが組み合わされる場合には、ポリシー・ルールの論理フローに暗黙的に組み込まれている可能性がある。 アクセス管理ポリシーをメカニズム・レベルのみで評価・分析するのではなく、形式遷移モデルを使用してポリシーを記述し、システムのセキュリティ特性を証明することで、アクセス管理メカニズムがセキュリティ要件を満たすように設計されていることを保証できる。
This document explains how to apply model-checking techniques to verify security properties in transition models of access control policies. It provides a brief introduction to the fundamentals of model checking and demonstrates how access control policies are converted into automata from their transition models. The document also discusses property specifications in terms of linear temporal logic (LTL) and computation tree logic (CTL) languages with comparisons between the two. Finally, the verification process and available tools are described and compared.	本書では、アクセス管理ポリシーの遷移モデルにおけるセキュリティ特性を検証するためにモデル検査技術を適用する方法について説明する。また、モデル検査の基礎について簡単な序文を提供し、アクセス管理ポリシーがその遷移モデルからオートマトンに変換される方法を説明する。さらに、線形時相論理（LTL）と計算木論理（CTL）言語の観点から特性仕様について論じ、両者を比較する。最後に、検証プロセスと利用可能なツールについて説明し、比較する。

 

 

・2025.01.31 NIST IR 8539 Security Property Verification by Transition Model

NIST IR 8539 Security Property Verification by Transition Model	NIST IR 8539 遷移モデルによるセキュリティ特性の検証
Abstract	要約
Verifying the security properties of access control policies is a complex and critical task. The policies and their implementation often do not explicitly express their underlying semantics, which may be implicitly embedded in the logic flows of policy rules, especially when policies are combined. Instead of evaluating and analyzing access control policies solely at the mechanism level, formal transition models are used to describe these policies and verify the system’s security properties. This approach ensures that access control mechanisms can be designed to meet security requirements. This document explains how to apply model-checking techniques to verify security properties in transition models of access control policies. It provides a brief introduction to the fundamentals of model checking and demonstrates how access control policies are converted into automata from their transition models. The document then focuses on discussing property specifications in terms of linear temporal logic (LTL) and computation tree logic (CTL) languages with comparisons between the two. Finally, the verification process and available tools are described and compared.	アクセス管理ポリシーのセキュリティ特性の検証は、複雑かつ重要な作業である。ポリシーとその実装は、その基礎となるセマンティクスを明示的に表現していないことが多く、特にポリシーが組み合わされる場合には、ポリシー・ルールの論理フローに暗黙的に組み込まれている可能性がある。アクセス管理ポリシーをメカニズム・レベルのみで評価・分析するのではなく、形式遷移モデルを使用してポリシーを記述し、システムのセキュリティ特性を検証する。このアプローチにより、アクセス管理メカニズムをセキュリティ要件を満たすように設計できることが保証される。本書では、アクセス管理ポリシーの遷移モデルにおけるセキュリティプロパティを検証するためにモデル検査技術を適用する方法について説明する。また、モデル検査の基本について簡単に紹介し、アクセス管理ポリシーが遷移モデルからオートマトンに変換される方法を説明する。さらに、線形時間論理（LTL）と計算木論理（CTL）の言語におけるプロパティ仕様について、両者を比較しながら重点的に説明する。最後に、検証プロセスと利用可能なツールについて説明し、比較する。

 

・[PDF] NIST.IR.8539

 

 

 

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
2. Formal Models and ACPs	2. 形式モデルとアクセス制御ポリシー
2.1. Model Fundamentals	2.1. モデルの基本
2.2. ACP Automata	2.2. アクセス制御オートマトン
2.2.1. Static ACPs	2.2.1. 静的アクセス制御ポリシー
2.2.2. Dynamic ACPs	2.2.2. 動的アクセス制御ポリシー
2.3. ACP combinations	2.3. アクセス制御ポリシーの組み合わせ
2.3.1. Nonconcurrent ACP Combinations	2.3.1. 非並行アクセス制御ポリシーの組み合わせ
2.3.2. Concurrent ACP Combinations	2.3.2. 同時実行ACPの組み合わせ
3. Properties	3. プロパティ
3.1. Property Specifications	3.1. プロパティ仕様
3.1.1. Linear Temporal Logic	3.1.1. 線形時相論理
3.1.2. Computation Tree Logic	3.1.2. 計算木論理
3.1.3. Computation Tree Logic Star	3.1.3. 計算木論理スター
3.1.4. LTL vs. CTL (and CTL*)	3.1.4. LTL対CTL（およびCTL*
3.2. Security Properties	3.2. セキュリティプロパティ
3.2.1. Safety	3.2.1. 安全
3.2.2. Liveness	3.2.2. ライブネス
4. Verification Process	4. 検証プロセス
4.1. General Method	4.1. 一般的手法
4.2. NuSMV Tool	4.2. NuSMV ツール
4.3. Comparison With Other Model-Checking Methods	4.3. 他のモデル制御手法との比較
5. Conclusion	5. 結論
References	参考文献
List of Tables	表一覧
Table 1. CTL vs. CTL* formulae	表1. CTL対CTL*式
List of Figures	図一覧
Fig. 1. Example automaton of a random rules ACP	図1. ランダムルールACPのオートマトン例
Fig. 2. Example automaton of a Chinese Wall ACP	図2. チャイニーズウォールACPのオートマトン例
Fig. 3. Example automaton of a Workflow ACP	図3. ワークフローACPのオートマトン例
Fig. 4. Example automaton of an N-person Control ACP	図4. N人制御ACPのオートマトン例
Fig. 5. Intersection concept using an example of two automata	図5. 2つのオートマトンの例による交点の概念
Fis. 6. Union concept using an example of twoautoma	図6. 2つのオートマトンの例によるユニオンの概念
Fig. 7. Concatenation concept using an example of two automata	図7. 2つのオートマトンの例による連結概念
Fig. 8. Example of a combination of two interleaving automata	図8. 2つのインターリーブ・オートマトンの組み合わせの例
Fig. 9. Shared variables concept with an example of two automata	図9. 2つのオートマタの例による共有変数の概念
Fig. 10. Shared actions concept with an example of two automata	図10. 2つのオートマトンの例による共有作用の概念
Fig. 11. Example of E(EX p) U (AG q) in CT.	図11. CTにおけるE(EX p) U (AG q)の例。
Fig. 12. Relationships among LTL, CTL, and CTL	図12. LTL, CTL, CTLの関係
Fig. 13. Example of the ACP transition model that satisfies EG p but not AF q	図13. EG pは満たすがAF qは満たさないACP遷移モデルの例
Fig. 14. A mutual exclusion access system	図14. 相互排他アクセスシステム

 

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
Faults may be errors or weaknesses in the design or implementation of access control policies that can lead to serious vulnerabilities. This is particularly true when different access control policies are combined. The issue becomes increasingly critical as systems grow more complex, especially in distributed environments like the cloud and IoT, which manage large amounts of sensitive information and resources that are organized into sophisticated structures. Access control policies and their implementation often do not explicitly express their underlying semantics, which may be implicitly embedded in the logic flows of policy rules.	障害とは、アクセス管理ポリシーの設計や実装におけるエラーや弱点であり、深刻な脆弱性につながる可能性がある。これは、異なるアクセス管理ポリシーが組み合わされる場合に特に当てはまる。システムが複雑になるにつれ、この問題はますます深刻化する。特に、クラウドやIoTのような分散環境では、大量の機密情報やリソースを高度な構造に編成して管理しているため、この傾向が顕著である。アクセス管理ポリシーとその実装では、その基盤となるセマンティクスが明示的に表現されていないことが多く、ポリシー・ルールの論理フローに暗黙的に組み込まれている場合がある。
Formal transition models are used to prove the policy’s security properties and ensure that access control mechanisms are designed to meet security requirements. This report explains how to apply model-checking techniques to verify security properties in transition models of access control policies. It provides a brief introduction to the fundamentals of model checking and demonstrates how access control policies are converted into automata from their transition models. The report also discusses property specifications in terms of linear time logic (LTL) and computation tree logic (CTL) with comparisons between the two. Finally, the verification process and available tools are described and compared.	形式遷移モデルは、ポリシーのセキュリティ特性を証明し、アクセス管理メカニズムがセキュリティ要件を満たすように設計されていることを確認するために使用される。本レポートでは、アクセス管理ポリシーの遷移モデルにおけるセキュリティ特性を検証するためにモデル検査技術を適用する方法について説明する。また、モデル検査の基礎について簡単に紹介し、アクセス管理ポリシーがその遷移モデルからオートマトンに変換される方法を説明する。さらに、線形時間論理（LTL）と計算木論理（CTL）の観点から特性仕様について論じ、両者を比較する。最後に、検証プロセスと利用可能なツールについて説明し、比較する。

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.10 米国 NIST IR 8539 (初公開ドラフト）遷移モデルによるセキュリティ特性の検証

 

 

 

中国 インターネット軍事情報発信管理措置 (2025.02.08)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局がインターネット軍事情報発信管理措置を公表しています。施行は2025.03.01です。

インターネット上での軍事情報の伝播を規制し、国家安全および公共の利益を保護し、公民、法人、その他の組織の合法的権益を保護することを目的として策定するということのようです。

機密情報ではない重要な軍事情報についての拡散を防ぐというのが目的のようですね...

生成的AIにより、さまざまな情報が生成されることも見越してこのような規則をつくっているのでしょうね...

 

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

 

关于印发《互联网军事信息传播管理办法》的通知	「インターネット上での軍事情報の普及に関する管理措置」の公布に関する通知
各省、自治区、直辖市互联网信息办公室、通信管理局、公安厅（局）、国家安全厅（局）、文化和旅游厅（局）、广播电视局、国防科技工业管理部门、保密局，新疆生产建设兵团互联网信息办公室、工业和信息化局、公安局、国家安全局、文化体育广电和旅游局、保密局，解放军各单位和武警部队政治工作部（局、办公室）、党委政法委员会：	各省、自治区、直轄市：インターネット情報弁公室、通信管理局、公安局(署) 、国家安全局(署) 、文化・観光局(署) 、ラジオ・テレビ局、国防科学技術工業管理局、国家安全局、インターネット情報弁公室、工業・情報化局、公安局、国家安全局、文化・スポーツ・ラジオ・テレビ・観光局、国家安全局、新疆生産建設兵団：政治部(局、室) 、人民解放軍と武装警察部隊の各部隊の政治部(局、室) および党委員会の政治・法律委員会：
现将《互联网军事信息传播管理办法》印发给你们，请认真贯彻执行。	ここに「インターネット上での軍事情報の普及に関する管理措置」を公布する。
国家互联网信息办公室	国家サイバースペース管理局
工业和信息化部	工業情報化省
公安部	公安部
国家安全部	国家安全省
文化和旅游部	文化・観光省
国家广播电视总局	国家ラジオ・テレビ総局
国家国防科技工业局	国防科学技術工業省
国家保密局	国家機密保護総局
中央军委政治工作部	中央軍事委員会政治工作部
中央军委政法委员会	中央軍事委員会政治・法律委員会
2025年1月22日	2025年1月22日
互联网军事信息传播管理办法	インターネット上での軍事情報の普及に関する管理措置
第一章 总 则	第1章 一般規定
第一条 为了规范互联网军事信息传播活动，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》、《网络信息内容生态治理规定》、《互联网用户账号信息管理规定》等法律法规和有关规定，制定本办法。	第1条 本規定は、中華人民共和国サイバーセキュリティ法、中華人民共和国国家機密保護法、オンライン情報コンテンツ生態環境管理弁法、インターネットユーザーアカウント情報管理弁法、その他の法律法規および関連規定に基づき、インターネット上での軍事情報の伝播を規範化し、国家安全および公共の利益を保護し、公民、法人、その他の組織の合法的権益を保護することを目的として策定される。
第二条 在中华人民共和国境内从事互联网军事信息传播活动，开办互联网军事网站平台、网站平台军事栏目、军事账号等，以及对互联网军事信息传播实施监督管理，适用本办法。	第2条 本規定は、中華人民共和国の領土内におけるインターネット上での軍事情報の公開、軍事関連のインターネットサイトおよびプラットフォームの運営、ウェブサイトおよびプラットフォーム上の軍事コラム、軍事アカウントなど、インターネット上での軍事情報の公開の監督および管理に適用される。
第三条 互联网军事信息传播管理，应当坚持正确的政治方向、舆论导向、价值取向，坚持依法规范、综合治理、军地协同、安全保密，服务国防和军队建设，服务强军打赢，维护人民军队良好形象，维护国家主权、安全、发展利益。	第3条 インターネット上での軍事情報の公開の管理は、正しい政治的方向性、世論の方向性、価値観の方向性を堅持し、法による規制、包括的な管理、軍民協力、安全および機密保持を堅持し、国防および軍事建設に奉仕し、強力な軍隊の勝利に奉仕し、人民軍の良好なイメージを維持し、国家の主権、安全および発展の利益を保護する。
第四条 中央军委政治工作部、中央军委政法委员会和国家互联网信息办公室、工业和信息化部、公安部、国家安全部、文化和旅游部、国家广播电视总局、国家国防科技工业局、国家保密局，按照各自职责分工，负责互联网军事信息传播管理有关工作。	第4条 中央軍事委員会政治工作部、中央軍事委員会政治法律委員会、国家サイバースペース管理局、工業・情報化部、公安部、国家安全部、文化・観光部、ラジオ・テレビ総局、国防科学技術工業委員会、国家機密局は、それぞれの職責に基づき、インターネット上での軍事情報の発信管理を担当する。
省军区系统政治工作部门在上级政治工作部门指导下，和地方各级网信、电信、公安、国家安全、文化和旅游、广播电视、保密等主管部门，按照各自职责分工，负责本辖区内的互联网军事信息传播管理有关工作。	上級政治工作部門の指導の下、軍管区政治工作部門は、インターネット、電気通信、公安、国家安全、文化・観光、ラジオ・テレビ、機密保持の各部門の地方主管部門とともに、それぞれの管轄範囲内におけるインターネット上の軍事情報の管理について、それぞれの責任に従って責任を負う。
军队团级以上单位政治工作部门，负责涉及本单位的互联网军事信息传播管理有关工作。	連隊レベル以上の軍事単位の政治工作部門は、自らの単位に関わるインターネット上の軍事情報の管理について責任を負う。
第二章 开办规范	第2章：運営規範
第五条 互联网军事信息服务提供者通过开办军事网站平台、网站平台军事栏目、军事账号等，提供互联网信息服务、互联网新闻信息服务、互联网视听节目服务的，应当符合《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》、《互联网视听节目服务管理规定》的规定，依法申请互联网信息服务相关许可或者履行相关备案手续。	第5条 軍事ウェブサイトプラットフォーム、ウェブサイトプラットフォーム上の軍事コラム、軍事アカウントなどの運営を通じて、インターネット情報サービス、インターネットニュース情報サービス、インターネットオーディオビジュアル番組サービスを提供するインターネット軍事情報サービスプロバイダーは、「インターネット情報サービス管理弁法」、「インターネットニュース情報サービス管理弁法」、「インターネットオーディオビジュアル番組サービス管理弁法」の規定を遵守し、法律に基づきインターネット情報サービスの関連許可証の申請または関連届出手続きを行わなければならない。
第六条 鼓励和支持互联网军事信息服务提供者设立或者明确负责军事信息服务的编辑机构，配备与服务规模相适应的具有军事新闻出版或者广播电视工作经验，较高政治素养、军事专业素养和保密素养，或者受过军事新闻出版或者广播电视、军事信息传播管理培训的专职编辑人员、内容审核人员。	第6条 インターネット軍事情報サービス提供者は、軍事情報サービスを担当する編集部門を設立または明確に定義し、軍事情報の出版またはラジオ・テレビ業務経験があり、高度な政治リテラシー、軍事専門性、機密保持能力、または軍事情報出版またはラジオ・テレビ業務の訓練を受け、軍事情報配信管理の経験がある専任編集スタッフおよびコンテンツ審査員を配置することが奨励され、支援される。
第七条 网站平台为用户开通军事账号，应当按照国家有关规定进行核验。以下机构、组织、个人在网站平台开办的以传播军事信息为主的账号，可以由网站平台认定为军事账号：	第7条 ウェブサイトプラットフォームは、国家の関連規定に基づき、ユーザーが開設した軍関係のアカウントを検証する。以下の機関、組織、個人は、主に軍事情報の発信に使用される軍関係のアカウントとして、ウェブサイトプラットフォームに認定される可能性がある。
（一）军队单位、兵役工作有关部门、国防教育机构、军地新闻媒体等；	(1) 軍部隊、軍務関連部門、国防教育機関、軍および地方のニュースメディアなど。
（二）具备相应规模军事编辑、内容审核人员的企业事业单位；	(2) 軍事編集者およびコンテンツ審査者を擁する企業および機関で、それに見合った規模のもの。
（三）国防和军队建设领域的专家学者、业务骨干，以及在军队有较长服役或者工作经历的人员；	(3) 国防および軍事建設の分野における専門家および学者、主要人員、軍隊での勤務経験が長い人員、
（四）参加过中央军委政治工作部、国家互联网信息办公室、公安部、国家广播电视总局，省军区（卫戍区、警备区）和省、自治区、直辖市网信、公安、广播电视主管部门组织的军事新闻出版或者广播电视、军事信息传播管理培训的人员；	(4) 中央軍事委員会政治工作部、国家サイバースペース管理局、公安部、国家ラジオ・テレビ総局、省軍区(駐屯地、駐屯地域) 、および省、自治区、直轄市のサイバースペース、公安、ラジオ・テレビを担当する部門、または軍事情報配信の管理部門が主催する軍事情報の出版または研修に参加した人員、
（五）其他具备较高政治素养、军事专业素养和保密素养的人员。	(5) その他、政治、軍事、機密保持に関するリテラシーの高い人員。
第八条 互联网军事信息服务提供者在与申请开办军事账号的用户签订协议或者确认提供服务时，应当通过身份认证、账号分类等方式标注军事账号属性，核验其真实身份信息，告知互联网军事信息传播的相关权利义务以及法律责任。军事账号核验通过后，互联网军事信息服务提供者应当在账号信息页面加注专门标识，属于互联网用户公众账号的，展示其运营主体名称、注册运营地址、互联网协议地址归属地等信息，并于30日内将账号有关情况按照属地管理原则，报送所在地网信部门和省军区系统政治工作部门，涉及国防科技工业的，同时报送国防科技工业主管部门。	第8条 インターネット軍事情報サービス提供者が、軍事アカウントの開設を申請するユーザーと契約を締結したり、サービスの提供を確認したりする際には、身元認証やアカウント分類などを通じて軍事アカウントの属性をラベル付けし、その実在する身分情報を確認し、インターネット軍事情報発信に関する関連する権利と義務、法的責任を通知しなければならない。 軍アカウントの認証後、インターネット軍事情報サービス提供者は、アカウント情報ページに特別なマークを追加する。インターネットユーザーの公開アカウントの場合、運営主体の名称、登録運営住所、インターネットプロトコルアドレスの所在地などの情報を表示する。アカウント情報は、30日以内に、地域管理の原則に従って、地元のサイバー空間管理部門および省軍管区の政治工作部門に提出する。国防科学技術産業に関わる場合は、国防科学技術産業の主管部門にも提出する。
互联网军事信息服务提供者对于符合军事账号认定条件但未标注军事账号属性的账号，应当按照本办法第七条规定进行核验后，将其变更为军事账号并加注专门标识，依照前款规定报送。	インターネット軍事情報サービス提供者は、軍用アカウントとして認定される条件を満たしているが、軍用アカウントの属性がマークされていないアカウントを検証し、軍用アカウントに変更して特別なマークを追加し、前項の規定に従って報告しなければならない。
互联网军事信息服务提供者核验军队单位、国防科技工业单位及其所属人员开办军事账号的申请，应当要求申请主体提供军队或者国防科技工业有关单位出具的同意开办的证明材料。未提供有效证明材料的，不予核验通过。其他任何机构、组织、个人不得以军队单位、国防科技工业单位及其所属人员名义开办军事账号。	インターネット軍事情報サービス提供者は、軍事ユニット、国防科学技術産業ユニット、およびそれらに所属する人員が開設した軍用アカウントの申請を検証し、申請者に軍または関連国防科学技術産業ユニットが発行したアカウント開設の同意証明書の提出を求める。有効な証明が提出されない場合、検証は通過しない。 その他の機関、組織、個人は、軍事ユニット、国防科学技術産業ユニット、またはそれらの人員の名義で軍事アカウントを開設してはならない。
第九条 互联网军事信息服务提供者在与开办军事账号的用户签订协议或者确认提供服务后，应当按照法律、行政法规和国家有关规定，对核验的真实身份信息进行记录保存。	第9条 インターネット軍事情報サービス提供者は、軍事アカウントを開設したユーザーと契約を締結した後、またはサービス提供が確定した後、法律、行政法規、および関連する国家規定に従って、検証済みの実名情報を記録し、保存しなければならない。
第十条 军事网站平台、网站平台军事栏目、军事账号等的名称、标志、头像，除经批准外，不得使用、关联以下字样或者标志物：	第10条 軍事ウェブサイトプラットフォーム、ウェブサイトプラットフォームの軍事セクション、および軍事アカウントの名称、ロゴ、アバターは、承認された場合を除き、以下の語句またはシンボルを使用したり、関連付けたりしてはならない。
（一）“军队”、“部队”、“全军”、“解放军”、“武警”、“八一”、“国防科技工业”、“国防工业”、“军工”等与军队和国防科技工业单位名称相同或者近似的；	(1) 「軍」、「部隊」、「全軍」、「人民解放軍」、「武装警察」、「八一（8月1日）」、「国防科学技術工業」、「国防工業」、「軍事工業」および軍事単位および国防科学技術工業単位の名称と同一または類似するその他の名称
（二）中央军委，中央军委机关部委、中央军委直属机构、中央军委联合作战指挥中心、战区、军兵种、中央军委直属单位、武警部队以及其他军队单位的全称或者简称，部队番号、代号和重要军事装备的全称或者简称，军队单位所在地、标志性建筑物等重要空间的地理名称、标识等，使用同音、谐音、相近的文字、数字、符号和字母等指代军队单位、军队工作、军队人员等，军旗、军徽、军歌、勋章、军服配饰等与军队专用标识的名称、标志相同或者近似的；	(2) 中央軍事委員会、その各部および各委員会、その直属機関、その合同作戦指揮センター、軍区、軍種、その直属の軍事単位、武装警察部隊およびその他の軍事単位、部隊番号、 軍事単位、中央軍事委員会の機関、中央軍事委員会の直轄機関、中央軍事委員会の合同作戦指揮センター、戦地、軍種、中央軍事委員会の直轄部隊、武装警察部隊およびその他の軍事部隊の名称、ならびに軍事単位の所在地や目印となる建築物などの重要な空間の地理的名称および標識を、同音異字、類似音、類似語、数字、記号、文字を用いて、軍事単位、軍事業務、軍人などを指すものとして使用すること、および軍旗、軍章、軍歌、勲章、軍服の付属品などの名称および標識を、軍が専ら使用するものと同じものまたは類似のものとして使用すること、
（三）“国防”、“国防动员”、“预备役”、“民兵”等与国防和后备力量名称相同或者近似的；	(3) 「国防」、「国防動員」、「予備役」、「民兵」など、国防および予備役の名称と同一または類似する名称
（四）含有偏见、诱导等内容，容易使公众对军队、军队人员、预备役人员、民兵、退役军人、退出军队文职人员形象或者军事装备产生不良认知的；	(4) 軍隊、軍人、予備役、民兵、退役軍人、または退役した民間人、軍事装備に対する国民の否定的な印象を助長する、または誤解を招く可能性のある内容
（五）含有法律、行政法规和国家有关规定禁止的内容的。	(5) 法律、行政法規、および関連する国家規定により禁止されている内容
退役军人、退出军队文职人员在互联网开办账号，在账号名称、认证信息等中，不得使用原单位名称、个人曾经担任的军队单位职务等信息。	退役軍人および軍を離れた文民は、インターネット上で口座を開設する際、アカウント名や認証情報に、かつて所属していた部隊名や、かつての部隊での役職などの情報を使用してはならない。
第三章 信息传播	第3章 情報発信
第十一条 国家倡导形成良好的互联网军事舆论生态环境，鼓励互联网军事信息服务提供者和用户制作、复制、发布、传播含有下列内容的信息：	第11条 国家は、インターネット上の軍事に関する健全な意見形成環境の形成を奨励し、インターネット上の軍事情報サービス提供者および利用者が、以下の内容を含む情報の作成、複製、公開、発信を行うことを奨励する。
（一）宣传习近平新时代中国特色社会主义思想，宣传习近平强军思想的；	(1) 新時代の中国の特色ある社会主義思想および軍事強化に関する習近平の思想の宣伝
（二）宣传党中央、中央军委决策部署的；	(2) 党中央委員会および中央軍事委員会の決定および配置の宣伝
（三）弘扬人民军队性质宗旨、光辉历史、优良传统和作风的；	(3) 人民軍の性質と目的、輝かしい歴史、素晴らしい伝統、仕事スタイルの推進
（四）反映国防和军队现代化建设成就的；	(4) 国防の成果と軍の近代化の反映
（五）宣传人民军队为世界和平与发展作出积极贡献的；	(5) 世界平和と発展に対する人民軍の積極的な貢献の公表
（六）展现军队人员、预备役人员和民兵投身强军兴军精神风貌的；	(6) 軍の強化と軍の活性化に献身する軍人、予備役、民兵の精神的な姿勢の提示
（七）传播军队发布的权威信息、公共服务信息的；	(7) 軍が発表する権威ある情報と公共サービスの情報の普及
（八）正确辨析引导涉及军队的热点敏感问题、批驳抵制错误言论的；	(8) 軍隊に関わるホットな話題や敏感な問題を正しく分析し、指導し、誤った主張に反論し、抵抗すること
（九）传播国防教育知识、促进军政军民团结的；	(9) 国防教育の知識を普及し、軍隊と政府、人民、軍隊の団結を促進すること
（十）宣传军队遂行军事行动正义性、合法性，以及军队人员、预备役人员和民兵英勇顽强、不怕牺牲先进事迹的；	(10) 軍隊が実施する軍事行動の正義性と合法性、および軍人、予備役、民兵が命を惜しまず勇敢に奮闘する英雄的で不屈の行為を宣伝すること
（十一）其他有助于学习强军思想、建功强军事业的内容。	(11) その他、軍隊強化の理念を理解し、軍隊強化の事業に貢献するのに役立つ内容
第十二条 对于涉及军队的突发事件，军地有关部门和互联网军事信息服务提供者应当发布和转载权威信息，依法治理违法和不良信息。	第12条 軍事に関する緊急事態が発生した場合、関連する軍および地方当局ならびにインターネット軍事情報サービス提供者は、権威ある情報を公開・転載し、違法または望ましくない情報を法律に基づいて管理するものとする。
第十三条 互联网军事信息服务提供者和用户不得制作、复制、发布、传播含有下列内容的信息：	第13条 インターネット軍事情報サービス提供者および利用者は、以下の内容を含む情報の作成、複製、公開、または伝播を行ってはならない。
（一）危害国家主权、安全和领土完整的；	(1) 国家の主権、安全、または領土保全を脅かすもの
（二）诋毁党对军队绝对领导和军委主席负责制，散布“军队非党化、非政治化”和“军队国家化”等错误政治观点的；	(2) 党の軍に対する絶対的指導と中央軍事委員会に対する責任体制を貶め、「軍の脱党・脱政治化」や「国家の軍事化」といった誤った政治的見解を流布するもの
（三）歪曲、丑化、篡改、亵渎、否定人民军队历史、英雄烈士事迹和精神的；	(3) 人民軍の歴史、英雄・烈士の功績や精神を歪曲、誹謗、改ざん、冒涜、否定するもの
（四）诋毁、贬损军队单位、军事职业，挑拨军政军民关系、破坏军政军民团结的；	(4) 軍の部隊や軍事職務を貶めたり、軽んじたり、軍民関係に不和をまき散らしたり、軍民の団結を損なうもの
（五）通过篡改、编辑军旅题材歌曲、电影、电视剧或者制作其他文艺作品，贬损军队、军队人员、预备役人员和民兵等形象的；	(5) 軍事をテーマにした歌や映画、テレビドラマの改ざんや編集、またはその他の文学的・芸術的作品の制作を通じて、軍隊や軍人、予備役、民兵を中傷すること
（六）否定、攻击我国国防政策和军事战略，歪曲解读对外军事交流与合作相关活动，以及战略核力量和其他新域新质作战力量建设、发展和运用的；	(6) 中国の国防政策や軍事戦略を否定したり攻撃したりすること、外国との軍事交流や協力に関する活動の解釈を歪曲すること、戦略核戦力やその他の新領域・新質戦力の建設、発展、運用を歪曲すること
（七）通过炒作、鼓动、煽动、泄密等方式阻碍、破坏军事行动，危害国家军事利益的；	(7) 憶測、扇動、扇動、リークなどにより、軍事作戦を妨害または損害を与え、または国家の軍事的利益を危険にさらすこと。
（八）歪曲解读我国武装力量维权行动、海上护航、海外撤侨、国际维和、国际救援、边境边防斗争、军事演习、反恐维稳、抢险救灾、应对突发公共事件等非战争军事行动的；	(8) 権利と利益の保護、海上護衛、中国国民の海外退避、国際平和維持、国際救援、国境・辺境の紛争、軍事演習、テロ対策と安定維持、緊急救援と災害救援、突発的な公共緊急事態への対応など、非戦闘的な軍事作戦の解釈を歪曲すること。
（九）编造、传播涉及军队单位、军队人员、军事斗争准备、军事行动、国防和军队改革等方面的虚假信息的；	(9) 軍隊、軍人、軍事準備、軍事行動、国防、軍事改革に関する虚偽の情報の捏造および流布
（十）歪曲解读军队人员工资、住房、抚恤优待、退役退出安置等政策制度，以及军队院校招生和军队人员征集招录、选调交流等军事人力资源管理工作的；	(10) 軍人給与、住宅、年金、優遇措置、退役軍人への手当、および軍人募集、軍事学院や大学への入学、軍人選抜や交換などの軍事人事管理業務に関する政策や制度の歪曲および誤った解釈
（十一）穿着我国武装力量现行或者曾经装备的制式服装及其仿制品，利用军旗、军徽、荣誉标识等代表军队形象的专用标识及内容开展商业营销活动，或者通过表演模仿、低俗恶搞等方式，损害军队或者军队人员形象的；	(11) 現在または過去において、わが軍が装備する標準軍服またはその模造品を着用し、軍旗、徽章、栄誉標識などの軍のイメージを表す専有シンボルおよびコンテンツを使用して商業マーケティング活動を行い、または模倣、低俗な偽装その他の手段により軍または軍人のイメージを損なうこと
（十二）含有法律、行政法规禁止的其他内容的。	(12) その他、法律および行政法規により禁止される内容を含むこと。
第十四条 互联网军事信息服务提供者和用户从事互联网军事信息传播活动，应当严格保守我国国防建设和武装力量活动中的秘密事项，禁止制作、复制、发布、传播下列含有军事秘密、国防科技工业秘密或者未公开的信息：	第14条 インターネット軍事情報サービス提供者および利用者は、インターネット軍事情報発信活動を行う際には、国防建設および軍隊活動に関する事項を厳格に秘密として保持しなければならない。軍事機密、国防科学技術産業における国家機密、または未公開情報を含む以下の情報の制作、複製、出版、および発信は禁止されている。
（一）国防和武装力量建设规划及其实施情况；	(1) 国防および軍隊建設の計画および実施状況
（二）军事部署、兵力调动（集结），作战、训练、军事教育以及非战争军事行动、安全事故等中未公开的事项；	(2) 軍事配備、部隊移動(集中) 、戦闘、訓練、軍事教育、非戦闘軍事活動、安全事故などに関する未公開事項
（三）国防和军队建设、改革重大决策部署及其实施等情况；	(3) 国家の防衛および軍隊の改革と発展に関する主要な決定および取り決め、およびその実施
（四）军事通信、电子对抗以及其他特种业务的能力和有关资料；	(4) 軍事通信、電子妨害、その他の特殊作戦の能力および関連情報
（五）武装力量的组织编制、历史沿革，部队的职能任务、作战实力、历任主官等未公开的事项，特殊单位以及未公开的部队的番号；	(5) 軍隊の組織と歴史、機能と任務、戦闘能力、部隊の歴代指揮官、特殊部隊および非公開部隊の名称などの非公開事項
（六）国防动员计划及其实施情况；	(6) 国家の防衛動員計画とその実施
（七）武器装备的研制、生产、试验、运输、配备情况和保障能力，武器装备的战术技术性能；	(7) 兵器および装備の開発、生産、試験、輸送、展開、支援能力、およびそれらの戦術的・技術的性能
（八）国防科学技术研究的重要项目、成果及其应用情况中未公开的事项，以及可用于作战用途的国防科技工业领域项目成果详细介绍；	(8) 国家国防科学技術研究における重要なプロジェクトおよび成果、およびそれらの応用に関する非公開事項、ならびに軍事目的に使用可能な国防科学技術産業におけるプロジェクトの結果の詳細情報
（九）国防费分配和使用以及军事物资的筹措、生产、供应、运输和储备等过程中未公开的事项；	(9) 国家国防資金の配分および使用、ならびに軍需物資の調達、生産、供給、輸送、保管に関する非公開事項
（十）未公开的军队指挥机关、指挥工程、作战工程，军用机场、港口、码头，营区、训练场、试验场，军用洞库、仓库，武器弹药集中存放地，军用信息基础设施，军用侦察、导航、观测台站，重要武器装备生产地点等军事设施和军工设施的名称、用途、地理位置和坐标、内部构造、日常运转等情况；	(10) 軍事指揮機関、指揮所、戦闘工兵、軍用飛行場、港、埠頭、営舎、訓練場、試験場、軍用掩体壕、倉庫、武器・弾薬集中貯蔵地区、軍事情報インフラ、軍事偵察・航法・観測所、重要兵器・設備の生産拠点など、非公開の軍事および軍事産業施設の名称、目的、地理的位置および座標、内部構造、日常業務
（十一）军队党的建设、军队组织、军事人力资源、宣传、群众、联络、训练监察、纪检监察、巡视巡察、政法、对外军事交流与合作、审计等工作中未公开的事项；	(11) 軍隊における党の建設、軍隊の組織、軍隊の人材、宣伝、大衆、連絡、訓練の監督、規律の検査と監督、視察、政治と法律、外国の軍隊との交流と協力、監査に関する業務における未公開事項
（十二）军队历史未解密的事件和人物；	(12) 軍隊の歴史における未公開の事件と数値
（十三）国防科技工业发展规划、计划，全行业以及武器装备科研生产许可单位的总体布局、投资规模和科研生产能力等；	(13) 国防科学技術産業の発展計画と計画、産業全体の全体的なレイアウト、投資規模、科学研究と生産能力、武器と設備の科学研究と生産の認可を受けた単位
（十四）未公开的涉及武器装备重要性能的民品配套产品及其科研生产情况；	(14) 兵器および装備の重要な機能をサポートする民生製品の研究、開発、生産に関する未公開情報。
（十五）未公开的从事尖端技术和型号研发的军地专家、工作团队及其工作与活动；	(15) 先端技術およびモデルの研究開発に従事する非公表の軍民専門家および作業チーム、ならびにそれらの作業および活動
（十六）其他涉及国防和军队建设、改革和军事斗争准备未公开的事项。	(16) 国防および軍事建設、軍事闘争の準備および改革に関するその他の非公表事項
互联网军事信息服务提供者应当防范数据汇聚、关联可能引发的泄露军事秘密风险，发现汇聚、关联后属于前款所列禁止性内容信息的，应当采取删除、屏蔽、脱密等措施加强安全管理。	インターネット軍事情報サービス提供者は、データ集約および関連付けにより軍事機密が漏洩するリスクを回避しなければならない。集約および関連付け後に前項の禁止された内容の情報が発見された場合、削除、遮断、機密解除などの措置を講じ、安全管理を強化しなければならない。
第十五条 互联网军事信息服务提供者和用户应当采取规范管理、技术防护等手段，加强军队人员、预备役人员以及拟服现役人员信息保护，不得擅自发布军队人员、预备役人员以及拟服现役人员的职业经历、专业领域、生物识别、健康生理、特定社会活动、行踪轨迹等信息。	第15条 インターネット軍事情報サービス提供会社と利用者は、標準化された管理と技術的保護により、現役軍人、予備役、現役軍人になろうとする者の情報保護を強化し、現役軍人、予備役、現役軍人になろうとする者の職業経験、専門分野、識別情報、健康と生理、特定の社会活動、所在などの情報を無断で公開してはならない。
第十六条 任何机构、组织、个人不得利用互联网发布、传播信息，煽动军队人员、预备役人员、民兵、退役军人、退出军队文职人员非法集会、游行、示威等活动，扰乱社会秩序；不得冒用或者打着军队单位旗号，盗用、冒充军队单位、军队人员、预备役人员、民兵、退役军人、退出军队文职人员身份制作、复制、发布、传播信息，招摇撞骗；不得擅自使用为军队服务过程中产生的文件资料、展板模型、数字仿真动画等进行商业宣传；不得非法使用或者关联使用军队特定含义字样和图案面向军队人员开展涉及职业规划、晋升任用等方面的咨询服务；不得通过剪辑、拼接、套用权威报道等方式，虚构散布军事信息。	第16条 機関、団体、個人を問わず、インターネットを利用して、軍人、予備役、民兵、退役軍人、または軍を離れた文民が、社会秩序を乱す集会、行進、デモなどの違法行為を行うよう扇動する情報を公開または流布してはならない。また、軍部隊の名称を不正に使用したり、なりすましたり、軍部隊、軍人、予備役、民兵、退役軍人、または軍を離れた文民の身分を盗用したり、なりすましたりして、 詐欺行為；軍務中に作成した文書、展示パネル、模型、デジタルシミュレーションアニメーションなどを許可なく商業宣伝に使用してはならない；特定の軍事的意味合いを持つ文字やデザインを違法に使用したり、それらに関連付けたりして、軍人に対してキャリアプランニング、昇進、任命などのコンサルティングサービスを提供してはならない；編集、切り貼り、権威ある報道の適用などにより、軍事情報を捏造して流布してはならない。
第十七条 互联网军事信息服务提供者和用户使用语音社交、深度合成、区块链、生成式人工智能、加密及匿名通信工具、算法推荐、信息众筹平台等新技术新应用，或者利用卫星互联网制作、复制、发布、传播军事信息的，不得损害人民军队形象，不得制作、复制、发布、传播本办法第十三条至第十五条所列禁止性内容的信息。	第17条 インターネット軍事情報サービス提供者および利用者は、音声ソーシャルネットワーキング、ディープ・シンセシス、ブロックチェーン、生成的AI、暗号化および匿名通信ツール、アルゴリズム推奨、情報クラウドファンディング・プラットフォームなどの新技術やアプリケーションを使用したり、衛星インターネットを使用して、人民解放軍のイメージを損なうような方法で軍事情報を制作、コピー、公開、または配信してはならない。また、本措置第13条から第15条に列挙された禁止コンテンツに該当する情報の制作、コピー、公開、または配信を行ってはならない。
第十八条 互联网军事信息服务提供者和用户转载军事新闻信息，应当转载中央新闻单位或者省、自治区、直辖市直属新闻单位等国家规定范围内的单位发布的新闻信息，涉及军队重大决策部署、重大军事行动、重要武器装备建设、重大敏感问题等内容的，应当转载中央和军队主要媒体的权威信息；转载时注明新闻信息来源、原作者、原标题、编辑真实姓名等，不得歪曲、篡改标题原意和新闻信息内容。	第18条 インターネット軍事情報サービス提供者および利用者は、軍事ニュースおよび情報を転載するものとし、これらは中央ニュース機関または省、自治区、直轄市直属のニュース機関など、国家が規定する範囲内の単位が発表したニュースおよび情報とする。重大な軍事決定および配置、重大な軍事作戦、重要な武器および装備の製造、重大な敏感な問題に関する内容を転載する場合は、中央および軍の主要メディアの権威ある情報を転載するものとする。このような内容を転載する際には、ニュースの出所、原作者、元のタイトル、編集者の実名を表示し、タイトルおよびニュースおよび情報の内容の本来の意味を歪曲または改ざんしてはならない。
第十九条 军队人员就国防和军队建设、军事行动等问题，在互联网接受访谈、发表文章、担任主讲或者参加网络直播等相关活动的，按照军队有关规定执行。国防科研生产单位及其从业人员，就国防科技工业改革发展等问题，在互联网接受访谈、发表文章、担任主讲或者参加网络直播等相关活动的，按照国防科技工业有关规定执行。	第19条 国防や軍事建設、軍事作戦などに関する取材、記事の発表、インターネット上での生中継の司会や参加など、その他の関連活動を行う軍人は、軍の関連規定に従うものとする。国防科学技術産業の改革や発展などに関する取材、記事の発表、インターネット上での生中継の司会や参加など、その他の関連活動を行う国防科学技術産業の研究・生産部門とその従業員は、国防科学技術産業の関連規定に従うものとする。
退役军人、退出军队文职人员，不得以军队人员身份在互联网接受访谈、发表文章、担任主讲或者参加网络直播等相关活动；军队管理的离休退休人员以及预备役人员、民兵等，未经批准不得以军队人员或者预备役人员、民兵等身份在互联网接受访谈、发表文章、担任主讲或者参加网络直播等相关活动。	退役軍人および軍を離れた文民は、軍人としての資格において、インターネット上でインタビューに応じたり、記事を掲載したり、基調講演を行ったり、ウェブ放送やその他の関連活動に参加したりしてはならない。退役軍人および軍の管理下にある退職者、予備役、民兵などは、軍人または予備役、民兵などの資格において、承認なしに、インターネット上でインタビューに応じたり、記事を掲載したり、基調講演を行ったり、ウェブ放送やその他の関連活動に参加したりしてはならない。
第二十条 互联网军事信息服务提供者应当加强对涉及国防和军队建设、军事行动等信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。	第20条 インターネット軍事情報サービス提供者は、国防および軍隊建設、軍事作戦などに関する情報の管理を強化しなければならない。法律および行政法規により公開または伝送が禁止されている情報を発見した場合は、直ちに伝送を停止し、削除などの措置を講じて情報の拡散を防止し、関連記録を保存し、関連主管部門に報告しなければならない。
互联网论坛社区版块发起者、管理者和互联网群组建立者、管理者，应当加强对论坛社区版块和群组用户传播军事信息的管理，规范用户军事信息传播行为。	インターネットフォーラムコミュニティセクションの創設者および管理者、インターネットグループの創設者および管理者は、フォーラムコミュニティセクションおよびグループのユーザーによる軍事情報の伝播の管理を強化し、軍事情報の伝播におけるユーザーの行為を規範化しなければならない。
互联网军事信息服务提供者对在传播军事信息方面违反前款规定的论坛社区版块发起者、管理者和互联网群组建立者、管理者，应当依法依约采取降低信用等级、暂停管理权限、取消建群资格、纳入黑名单管理等措施，并对有关账号、版块、群组采取警示整改、暂停信息更新、关闭注销等处置措施，保存有关记录，并向有关主管部门报告。	インターネット軍事情報サービス提供者は、法律および契約に基づき、軍事情報の伝達において前項の規定に違反したフォーラムコミュニティセクションの創設者、管理者、インターネットグループの創設者、管理者に対して、信用格下げ、管理権限の一時停止、グループ作成の禁止、ブラックリストへの追加などの措置を講じなければならない。また、関連するアカウント、セクション、グループに対しても、警告や是正措置の要求、情報更新の一時停止、アカウントの閉鎖や取り消しなどの措置を講じなければならない。関連記録を保存し、関連当局に報告しなければならない。
第四章 监督管理	第4章 監督管理
第二十一条 中央军委政治工作部、国家互联网信息办公室，与中央和国家机关有关部门、中央军委机关有关部门，建立互联网军事信息传播管理工作协调机制，依法开展会商研判、监督检查、应急处置、行政执法等工作。	第21条 中央軍事委員会政治工作部、国家サイバースペース管理局、および中央政府、国家機関、中央軍事委員会の関連部門は、インターネット上での軍事情報発信の管理に関する協調メカニズムを構築し、法律に基づき協議、研究・判断、監督・検査、緊急対応、行政法執行を実施しなければならない。
省军区系统政治工作部门、地方各级网信部门，与本辖区内电信、公安、国家安全、文化和旅游、广播电视、保密等主管部门以及驻军有关单位，建立相应的互联网军事信息传播管理工作协调机制。	各レベルの軍区政治工作部および地方サイバースペース管理局は、管轄内の通信、公安、国家安全、文化・観光、ラジオ・テレビ、機密保持の関連部門、および駐屯地の関連単位と、インターネット上での軍事情報発信の管理に関する対応する協調メカニズムを構築しなければならない。
第二十二条 国家互联网信息办公室、公安部、国家安全部、文化和旅游部、国家广播电视总局等部门会同中央军委政治工作部，地方各级网信、公安、国家安全、文化和旅游、广播电视等主管部门会同省军区系统政治工作部门，采取日常检查、专项督查、随机抽查等方式，依法对互联网军事信息传播实施监督检查。	第22条 国家サイバースペース管理局、公安部、国家安全部、文化・観光部、ラジオ・テレビ総局、およびその他の部門は、中央軍事委員会政治工作部および現地のサイバースペース管理局、公安、国家安全、文化・観光、ラジオ・テレビ、およびその他の部門は、軍管区政治工作部と連携し、日常的な検査、特別検査、抜き打ち検査、およびその他の手段により、法律に基づきインターネット上での軍事情報の伝達を監督・検査する。
互联网军事信息服务提供者对有关部门依法实施的监督检查，应当予以配合。	インターネット軍事情報サービスプロバイダーは、法律に基づき関連部門が実施する監督・検査に協力しなければならない。
第二十三条 中央军委政治工作部和国家互联网信息办公室、公安部、国家广播电视总局，省军区（卫戍区、警备区）政治工作部门和省、自治区、直辖市网信、公安、广播电视主管部门，应当联合对军事网站平台、网站平台军事栏目等从业人员开展培训，学习掌握军事信息传播管理政策法规，提高军事信息内容审核能力。涉及国防科技工业的军事网站平台、网站平台军事栏目等从业人员，应当参加国家国防科技工业主管部门组织开展的相关培训。	第23条 中央軍事委員会政治工作部、国家サイバースペース管理局、公安部、広電総局、省軍区(駐屯地、駐屯地域) 政治工作部、および省、自治区、直轄市のサイバースペース管理、公安、広電を担当する部門は、軍事ウェブサイトプラットフォームおよびウェブサイトプラットフォームの軍事セクションの従業員などに対して、軍事情報発信管理に関する政策および規定を学習・習得させ、軍事情報内容の審査能力を向上させるための共同研修を実施する。 国防科学技術産業関連の軍事ウェブサイトプラットフォームおよびウェブサイトプラットフォームの軍事部門に従事する従業員は、国防科学技術産業の主管部門が主催する関連の訓練に参加しなければならない。
互联网军事信息服务提供者应当组织所属从业人员参加军地有关部门开展的业务培训，并自行组织开展所属从业人员培训工作。	インターネット上の軍事情報サービスプロバイダーは、従業員を関連の軍事および民間当局が主催する訓練に参加させ、また、自らも従業員向けの訓練を組織しなければならない。
第二十四条 发现互联网军事信息服务提供者和用户违反本办法的，中央军委政治工作部、中央军委政法委员会，省军区系统政治工作部门或者国防科技工业主管部门，可以通报网信、电信、公安、文化和旅游、广播电视等主管部门，由其依据职责依法依规进行处置处罚。	第24条 インターネット軍事情報サービス提供者または利用者が本規定に違反していることが判明した場合、中央軍事委員会政治工作部、中央軍事委員会政治法律委員会、軍管区政治工作部、または国防科学技術工業主管部門は、サイバー空間管理、電気通信、公安、文化・観光、ラジオ・テレビなどの主管部門に通達し、主管部門は職責に基づき、法律に従って処理・処罰する。
第二十五条 任何机构、组织、个人发现互联网军事信息服务提供者和用户有违反本办法传播互联网军事信息的，可以向有关主管部门举报。	第25条 インターネット軍事情報サービス提供者または利用者が、インターネット上で軍事情報を流布し、本弁法に違反していることを発見した機関、組織、または個人は、関連の主管部門に通報することができる。
互联网军事信息服务提供者应当自觉接受社会监督，及时处理公众投诉举报，并采取相应处置措施。	インターネット軍事情報サービス提供者は、社会の監督を意識的に受け入れ、公衆からの苦情や通報に速やかに対応し、適切な措置を取らなければならない。
第二十六条 国家或者地方网信部门、其他相关部门实施互联网军事信息服务监督管理执法的，中央军委政治工作部、中央军委政法委员会，省军区系统政治工作部门或者国防科技工业主管部门，应当予以协助。	第26条 中央軍事委員会の政治工作部、中央軍事委員会の政治法律委員会、軍管区制度の政治工作部門、または国防科学技術産業の主管部門は、国家または地方のサイバー空間管理部門およびその他の関連部門がインターネット軍事情報サービスの監督管理を実施するのを支援する。
第二十七条 互联网军事信息服务提供者和用户违反本办法的，由网信、电信、公安、国家安全、文化和旅游、广播电视、保密等主管部门在职责范围内依照相关法律法规处理；构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。涉及军队单位或者军队人员的，依法移交军队有关部门处理。	第27条 インターネット軍事情報サービス提供者または利用者が本規定に違反した場合、サイバー空間管理、電気通信、公安、国家安全、文化・観光、ラジオ・テレビ、機密保持の各主管部門は、関連法規に基づき、職責の範囲内で処理する。違反が公安管理違反に該当する場合は、法に基づき公安管理上の処罰を行い、犯罪に該当する場合は、法に基づき刑事責任を追及する。軍事機関または軍人が関与する場合は、関連軍事部門に移送し、法に基づき処理する。
第五章 附 则	第5章 補足規定
第二十八条 本办法下列用语的含义：	第28条 本規定で使用される以下の用語の意味は以下の通りである。
（一）互联网军事信息，是指互联网信息服务提供者和用户制作、复制、发布、传播的涉及国防和军队的文字、图片、音视频等信息。	(1) インターネット軍事情報とは、インターネット情報サービスプロバイダーおよびユーザーにより作成、複製、公開、または配信される、国防および軍事に関するテキスト、画像、音声、動画、その他の情報を指す。
（二）军事网站平台，是指专门提供互联网军事信息服务的网站、应用程序、小程序、应用程序分发商店等。	(2) 軍事ウェブサイトプラットフォームとは、インターネット軍事情報サービスを提供するウェブサイト、アプリケーション、ミニプログラム、アプリケーション配信ストアなどを指す。
（三）网站平台军事栏目，是指在互联网站、应用程序、小程序等开设的集纳发布军事信息的栏目，包括但不限于军事栏目、军事版块、军事专题等。	(3) ウェブサイトプラットフォーム上の軍事コラムとは、インターネット上のウェブサイト、アプリケーション、アプレットなどにおける軍事情報の収集および公開を行うコラムを指し、軍事コラム、軍事セクション、軍事トピックなどを含むが、これらに限定されない。
（四）军事账号，是指在互联网站、应用程序、小程序、论坛、博客、微博客、公众账号、即时通信工具、贴吧、网络直播、短视频、网络音频等传播平台，注册或者变更为军事类别、以传播军事信息为主的网络账号。	(4) 軍事アカウントとは、インターネット上のウェブサイト、アプリケーション、アプレット、フォーラム、ブログ、マイクロブログ、公開アカウント、インスタントメッセージングツール、投稿バー、オンラインライブ放送、ショートビデオ、オンラインオーディオなどにおいて、軍事情報を主に公開するために登録または変更されたネットワークアカウントを指す。
（五）互联网军事信息服务提供者，是指向社会公众提供互联网军事信息服务的主体。	(5) インターネット軍事情報サービスプロバイダーとは、一般大衆にインターネット軍事情報サービスを提供する事業体を指す。
第二十九条 开展涉及军事秘密的互联网信息传播管理活动，除应当遵守本办法以外，还应当遵守保密法律法规和有关规定。	第29条 軍事秘密に関するインターネット情報発信の管理活動は、本弁法の規定を遵守するほか、機密保持に関する法律法規および関連規定を遵守しなければならない。
军队单位、军队人员从事互联网军事信息传播活动，开办军事网站平台、网站平台军事栏目、军事账号等事项，按照本办法和军队有关规定执行。	軍事ユニットおよび軍人は、インターネット軍事情報発信活動に従事し、軍事ウェブサイトプラットフォーム、ウェブサイトプラットフォームの軍事セクション、軍事アカウントなどを運営する際には、本弁法および関連軍事法規を遵守しなければならない。
第三十条 本办法自2025年3月1日起施行。	第30条 本弁法は2025年3月1日に施行される。

 

 

フランス AIアクションサミット開催 (2025.02.10-11)

こんにちは、丸山満彦です。

AIアクションサミットがパリで開催されていますね (2025.02.10-11) ...

 

フランス大統領府にAIアクションサミットのウェブページがありますね...

● Élysée - Artificial Intelligence Action Summit

５つの主要なテーマ...

公益AI、これからの仕事、イノベーションと文化、AIへの信頼、グローバルAIガバナンス...

 

Public interest AI	公益AI
The aim of the Public interest track is define, build and deliver critical open public infrastructure for the global AI sector to drive benefical social, economic and environmental outcomes in the public interest.	公益トラックの目的は、公益のために有益な社会的、経済的、環境的成果を促進するため、グローバルAIセクターのための重要なオープン公共インフラを定義、構築、提供することである。
Future of work	これからの仕事
The aim of the Future of work track is to provide a platform for dialogue on how Al can support the future of work agenda, by promoting Al usage that enhances productivity and well-being.	これからの仕事トラックの目的は、生産性と福祉を向上させる Al の利用を促進することで、Al がどのように未来の仕事アジェンダをサポートできるかについて対話するためのプラットフォームを提供することである。
Innovation and Culture	イノベーションと文化
The aim of the Innovation and Culture track is to support and build dynamic and sustainable innovation ecosystems that work hand-in-hand with all economic sectors, notably cultural and creative industries.	イノベーションと文化トラックの目的は、あらゆる経済セクター、特に文化的・創造的産業と手を携え、ダイナミックで持続可能なイノベーション・エコシステムを支援・構築することである。
Trust in AI	AIへの信頼
The aim of this track is to consolidate the mechanisms to build trust in Al, based on an objective scientific consensus on safety and security issues	本トラックの目的は、安全・安心に関する客観的な科学的コンセンサスに基づき、Al に対する信頼を構築するためのメカニズムを統合することである。
Global AI Governance	グローバルAIガバナンス
The aim of this track is to shape an effective and inclusive framework of international rovernance for Al, building on the work conducted within the United Nations and on existing initiatives like the Global Partnership on Artificial Intelligence.	本トラックの目的は、国連内で行われている作業や、Global Partnership on Artificial Intelligence のような既存のイニシアチブを基に、Al に対する効果的かつ包括的な国際ガバナンスの枠組みを形成することである。

CNNが、マクロン大統領と単独インタビューをしたようですね...

興味ある、記事です...

 

● CNN.co.jp

・2025.02.10 [msn] 欧州は「ＡＩの競争に参加していない」、マクロン仏大統領が危機感

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

 ・2025.02.13 フランス AIアクションサミットは無事？終了しました

 

・2025.02.10 フランス CNIL AIについてガイダンス（データ主体への通知、データ主体の権利行使の尊重と促進）(2025.02.07)

・2025.02.03 英国 AI安全報告書 2025

・2024.11.29 米国 AI安全研究所 安全保障等に関わる政府タスクフォースの設立、AI安全機構国際ネットワークの設立総会で初代議長に、NIST AI 100-4の発表 (2024.11.20)

・2024.05.23 外務省 岸田総理大臣のAIソウル・サミット首脳セッションへの参加（ビデオメッセージ）+ ＡＩソウル・サミット首脳セッション出席国による安全、革新的で包摂的なＡＩのためのソウル宣言 

 

米国 White House 日米共同首脳声明 (2025.02.07)

こんにちは、丸山満彦です。

2025.02.06-08に石破総理大臣が訪米していましたね... 日本の役人が周到な準備をしてうまくいったという評価もあれば、会談で握手してないね...とか、いろいろな見方があるようですね...

 

● U.S. White House

共同声明...

・2025.02.07 United States-Japan Joint Leaders’ Statement

United States-Japan Joint Leaders’ Statement	日米首脳共同声明
President Donald J. Trump and Prime Minister Ishiba Shigeru held their first official meeting today in Washington, D.C., where they affirmed their determination to pursue a new golden age for U.S.-Japan relations that upholds a free and open Indo-Pacific and brings peace and prosperity to a violent and disorderly world.	本日、石破茂内閣総理大臣とドナルド・Ｊ・トランプ大統領は、ワシントンＤＣで最初の公式会談を行い、自由で開かれたインド太平洋を堅持するとともに、暴力の続く混乱した世界に平和と繁栄をもたらす、日米関係の新たな黄金時代を追求する決意を確認した。
U.S.-Japan Cooperation for Peace	平和のための日米協力
The two leaders expressed their shared desire for bilateral security and defense cooperation under the U.S.-Japan Treaty of Mutual Cooperation and Security to grow stronger than ever, and emphasized that the U.S.-Japan Alliance remains the cornerstone of peace, security and prosperity in the Indo-Pacific and beyond. Japan reiterated its unwavering commitment to fundamentally reinforce its own defense capabilities, which the United States welcomed.	両首脳は、日米安全保障条約の下での二国間の安全保障・防衛協力が、かつてないほど強固になっていくことへの共通の願望を表明し、日米同盟が、インド太平洋及びそれを超えた地域の平和、安全及び繁栄の礎であり続けることを強調した。日本は、日本の防衛力の抜本的強化への揺るぎないコミットメントを改めて表明し、米国はこれを歓迎した。
The United States underscored its unwavering commitment to the defense of Japan, using its full range of capabilities, including nuclear capabilities. The two leaders reaffirmed that Article V of the U.S.-Japan Treaty of Mutual Cooperation and Security applies to the Senkaku Islands, and reiterated their strong opposition to any action that seeks to undermine Japan’s longstanding and peaceful administration of the Senkaku Islands.	米国は、核を含むあらゆる能力を用いた、日本の防衛に対する米国の揺るぎないコミットメントを強調した。両首脳は、日米安全保障条約第５条が尖閣諸島に適用されることを改めて確認し、尖閣諸島に対する日本の長きにわたり、かつ、平穏な施政を損なおうとするあらゆる行為への強い反対を改めて表明した。
In line with the U.S.-Japan Treaty of Mutual Cooperation and Security and the U.S.-Japan Guidelines for Defense Cooperation, Japan reaffirmed its role in maintaining peace and security in the Indo-Pacific region by seamlessly responding to any situation from peacetime to contingencies. This has been further enabled by Japan’s 2015 Legislation for Peace and Security, which enhances U.S.-Japan Alliance deterrence and response capabilities.	日本は日米安全保障条約及び日米防衛協力のための指針に沿って、平時から緊急事態に至るあらゆる状況への切れ目のない対応により、インド太平洋地域の平和及び安全を維持していく上での自らの役割を再確認した。これは、２０１５年の平和安全法制により一層可能となり、日米同盟の抑止力と対処力を強化している。
In order to address an increasingly severe and complex security environment, the two leaders confirmed that they intend to further strengthen U.S.-Japan deterrence and response capabilities by enhancing defense and security cooperation, including by upgrading the respective command and control frameworks of U.S. and Japanese forces, increasing bilateral presence in Japan’s Southwest Islands, increasing readiness through more realistic training and exercises, further enhancing U.S. extended deterrence, and promoting defense equipment and technology cooperation, including co-production, co-development, and co-sustainment that bolsters allied supply chains and strengthens U.S. and Japanese defense industrial capacity, including maritime. The United States and Japan intend to continue their strong partnership in civil space and on aeronautics, science, and human exploration, including on the upcoming Crew-10 mission to the International Space Station that includes U.S. and Japanese astronauts as well as lunar surface exploration on future Artemis missions. The United States and Japan also intend to expand bilateral security cooperation in cyberspace by leveraging new technologies such as artificial intelligence and secure and resilient cloud services to deepen information-sharing. The United States welcomed Japan’s commitment, underpinned by a favorable trend of its defense budget increase, to building capabilities by FY 2027 to consolidate its primary responsibility for defending Japan, and, building on this significant foundation, to fundamentally reinforcing its defense capabilities beyond FY 2027.	両首脳は、一層厳しく複雑な安全保障環境に対処すべく、自衛隊及び米軍のそれぞれの指揮・統制枠組みの向上、日本の南西諸島における二国間のプレゼンスの向上、より実践的な訓練及び演習を通じた即応性の向上、拡大抑止の更なる強化並びに同盟のサプライチェーン及び海洋を含む日米の防衛産業力を強化する共同生産、共同開発及び共同維持整備を含む防衛装備・技術協力の推進によるものを含む防衛・安全保障協力の向上を通じ、日米同盟の抑止力・対処力を更に強化していく意図を有することを確認した。日米は、民生宇宙並びに航空、科学及び両国の宇宙飛行士が参加する国際宇宙ステーション（ISS）へのクルー１０ミッションや、アルテミス計画の将来のミッションでの月面探査を含む有人探査に係る強力なパートナーシップを継続する意図を有する。日米はまた、ＡＩ及び情報共有を深化するための安全かつ強靱なクラウドサービス等の新技術の活用によるものを含む、サイバー空間の分野における二国間の安全保障協力を拡大する意図を有する。米国は、日本の防衛予算増加の好ましい傾向により下支えされた、２０２７年度までに日本を防衛する主たる責任を確固たるものとする能力を構築すること、そして、この重要な基盤の上に、２０２７年度より後も抜本的に防衛力を強化していくことに対する日本のコミットメントを歓迎した。
In order to maintain deterrence and mitigate the impact on local communities, the two leaders confirmed the vital importance of the steady implementation of the realignment of U.S. forces in Japan in accordance with the Okinawa Consolidation Plan, including the construction of the Futenma Replacement Facility at Henoko and the return of Marine Corps Air Station (MCAS) Futenma.	両首脳は、抑止力を維持し、地元への影響を軽減するため、辺野古における普天間飛行場代替施設の建設及び同飛行場の返還を含む、沖縄統合計画に従った在日米軍再編の着実な実施が極めて重要であることを確認した。
The two leaders instructed their foreign and defense ministers to convene a Security Consultative Committee (SCC: “2+2”) meeting at an early date to implement the above-mentioned cooperation in an expeditious manner.	両首脳は、上記で言及した協力を速やかに実施するため、それぞれの外務・防衛担当閣僚に対して、日米安全保障協議委員会（ＳＣＣ：「２＋２」）を早期に開催するように指示した。
U.S.-Japan Cooperation for Growth and Prosperity	成長と繁栄をもたらす日米協力
The two leaders affirmed that bilateral economic cooperation, including on economic security, forms an indispensable part of Alliance cooperation. As close economic partners, the United States and Japan provide the largest amount of foreign direct investment and create high quality jobs in each other’s countries. Industries of both countries continue to play a vital role for each other’s supply chains.	両首脳は、経済安全保障に関するものを含む二国間の経済協力が同盟協力の不可欠な一部を成すことを確認した。緊密な経済パートナーとして、日米は、互いの国において最大規模の海外直接投資と質の高い雇用を創出している。両国の産業は、相互のサプライチェーンにおいて極めて重要な役割を果たし続ける。
To chart an unwavering course for strengthening economic ties and elevating the economic partnership to the next level, the two leaders will seek to: promote business opportunities and significantly increase bilateral investment and employment; strengthen their industrial bases and collaborate to lead the world in developing critical technologies such as AI, quantum computing, and leading-edge semiconductors; enhance efforts to counter and build resilience against economic coercion; and jointly promote growth in the Indo-Pacific region underpinned by a free and fair economic order. They also resolved to continue discussions on aligning policies to further promote and protect critical and sensitive technologies, including through export controls, and to enhance supply chain resilience. With a shared commitment to the integrity of travel systems that underpin economic prosperity, they intend to strengthen efforts to vet travelers and routinely and securely share information to combat technology theft, travel by criminals, and illegal immigration.	経済関係の強化に向けた揺るぎない進路を示し、この経済パートナーシップを新たな次元に引き上げるため、両首脳は、二国間のビジネス機会の促進並びに二国間の投資及び雇用の大幅な増加、産業基盤の強化及びＡＩ、量子コンピューティング、先端半導体といった重要技術開発において世界を牽引するための協力、経済的威圧への対抗及び強靭性構築のための取組の強化、自由で公正な経済秩序に支えられるインド太平洋地域の成長の共同での促進を追求する。両首脳はまた、輸出管理を通じたものも含む重要機微技術の一層の促進及び保護並びにサプライチェーンの強靭性の強化のため、政策を整合させるための議論を継続することを決意した。両首脳は、経済的繁栄を支える渡航制度の完全性へのコミットメントを共有し、技術窃取、犯罪者による渡航及び不法移民に対処するため、渡航者の審査及び日常的かつ安全な情報共有に関する取組を強化する意図を有する。
The two leaders announced their intention to strengthen energy security by unleashing the United States’ affordable and reliable energy and natural resources, and by increasing exports of U.S. liquefied natural gas to Japan in a mutually beneficial manner. They also welcomed efforts to diversify critical minerals supply chains and to collaborate on developing and deploying cutting-edge small modular reactor and other advanced nuclear reactor technology.	両首脳は、米国の低廉で信頼できるエネルギー及び天然資源を解き放ち、双方に利のある形で、米国から日本への液化天然ガス輸出を増加することにより、エネルギー安全保障を強化する意図を発表した。両首脳はまた、重要鉱物のサプライチェーンの多角化並びに先進的な小型モジュール炉及びその他の革新炉に係る技術の開発及び導入に関する協力の取組を歓迎した。
The two leaders instructed their relevant ministers in charge to strengthen U.S.-Japan economic cooperation to achieve these shared goals.	両首脳は、担当の関係閣僚に対し、これらの共通の目標を達成するための日米経済協力を強化するよう指示を出した。
U.S.-Japan Coordination in the Indo-Pacific	インド太平洋地域における日米連携
The two leaders shared views on the severe and complex security environment and expressed their determination to continuously cooperate to realize a free and open Indo-Pacific. As part of such cooperation, the two leaders intend to advance multilayered and aligned cooperation among like-minded countries, including Japan-Australia-India-U.S. (Quad), Japan-U.S.-Republic of Korea (ROK), Japan-U.S.-Australia, and Japan-U.S.-Philippines. Through these relationships, the United States, Japan, and like-minded partners can deliver high quality infrastructure investments in the region, including the deployment of Open Radio Access Networks in third countries.	両首脳は、厳しく複雑な安全保障環境に関する情勢認識を共有し、自由で開かれたインド太平洋の実現に向け、絶え間なく協力していく決意を表明した。そうした協力の一環として、両首脳は、日米豪印（クアッド）、日米韓、日米豪、日米比といった多層的で共同歩調のとれた協力を推進する意図を有する。これらの関係を通じ、日米及び同志国は、第三国におけるオープンＲＡＮ展開を含む地域への質の高いインフラ投資をもたらすことができる。
The two leaders reiterated their strong opposition to any attempts by the People’s Republic of China (PRC) to change the status quo by force or coercion in the East China Sea. The two leaders reaffirmed their strong opposition to the PRC’s unlawful maritime claims, militarization of reclaimed features, and threatening and provocative activities in the South China Sea.	両首脳は、中国による東シナ海における力又は威圧によるあらゆる現状変更の試みへの強い反対の意を改めて表明した。両首脳は、南シナ海における中国による不法な海洋権益に関する主張、埋立地形の軍事化及び威嚇的で挑発的な活動に対する強い反対を改めて確認した。
The two leaders emphasized the importance of maintaining peace and stability across the Taiwan Strait as an indispensable element of security and prosperity for the international community. They encouraged the peaceful resolution of cross-Strait issues, and opposed any attempts to unilaterally change the status quo by force or coercion. The two leaders also expressed support for Taiwan’s meaningful participation in international organizations.	両首脳は、国際社会の安全と繁栄に不可欠な要素である台湾海峡の平和と安定を維持することの重要性を強調した。両首脳は、両岸問題の平和的解決を促し、力又は威圧によるあらゆる一方的な現状変更の試みに反対した。また、両首脳は、国際機関への台湾の意味ある参加への支持を表明した。
The two leaders expressed their serious concerns over and the need to address the Democratic People’s Republic of Korea’s (DPRK’s) nuclear and missile programs and reaffirmed their resolute commitment to the complete denuclearization of the DPRK. Both countries underscored the need to deter and counter the DPRK’s malicious cyber activities and the DPRK’s increasing military cooperation with Russia. In addition, both countries affirmed the importance of the Japan-U.S.-ROK trilateral partnership in responding to the DPRK and upholding regional peace and prosperity. Japan reiterated its determination to achieve an immediate resolution of the abductions issue, which the United States supported.	両首脳は、北朝鮮の核及びミサイル計画の進展への深刻な懸念及びこれらに対処することの必要性を表明するとともに、北朝鮮の完全な非核化に対する確固たるコミットメントを改めて確認した。日米はまた、北朝鮮の悪意のあるサイバー活動や、拡大する北朝鮮とロシアとの間の軍事協力を抑止し、これらに対処する必要性を強調した。日米はさらに、北朝鮮に対応し、地域の平和と繁栄を堅持する上での日米韓の三か国パートナーシップの重要性を確認した。日本は、拉致問題の即時解決を実現するとの決意を改めて表明し、米国はそれを支持した。
Invitation to Visit Japan	訪日の招待
President Trump accepted an invitation from Prime Minister Ishiba for an official visit to Japan in the near future.	トランプ大統領は、石破総理大臣からの近い将来における公式訪問の招待を受け入れた。

 

 

● 外務省

・2025.02.06-08 石破総理大臣の米国訪問

・・日米首脳会談 （令和7年2月7日）

・・日米首脳共同声明（英文（PDF）／和文（PDF））

 

 

米国 司法省 ハッキングツールを販売するサイバー犯罪者用のウェブサイトを押収 (2025.01.30)

こんにちは、丸山満彦です。

米国のFBIとオランダ警察が協力して、パキスタンを拠点とする犯罪者用オンラインマーケットプレイスに関連する39のドメインと関連サーバーを一斉に押収したということのようですね...

 

● U.S. Department of Justice - Office of Public Affairs

・2025.01.30 Justice Department Announces Seizure of Cybercrime Websites Selling Hacking Tools to Transnational Organized Crime Groups

 

Justice Department Announces Seizure of Cybercrime Websites Selling Hacking Tools to Transnational Organized Crime Groups	司法省、国際組織犯罪グループにハッキングツールを販売するサイバー犯罪ウェブサイトの押収を発表
The Justice Department today announced the coordinated seizure of 39 domains and their associated servers in an international disruption of a Pakistan-based network of online marketplaces selling hacking and fraud-enabling tools operated by a group known as Saim Raza (also known as HeartSender). The seizures were conducted in coordination with the Dutch National Police.	司法省は本日、サイム・ラザ（別名：ハートセンダー）として知られるグループが運営するハッキングおよび詐欺ツール販売のパキスタンを拠点とするオンラインマーケットプレイスネットワークの国際的な撲滅作戦の一環として、39のドメインおよび関連サーバーを一斉に押収したことを発表した。この押収はオランダ国家警察との連携により実施された。
According to the affidavit filed in support of these seizures, Saim Raza has used these cybercrime websites since at least 2020 to sell phishing toolkits and other fraud-enabling tools to transnational organized crime groups, who used them to target numerous victims in the United States, resulting in over $3 million in victim losses.	これらの押収を支持する宣誓供述書によると、サイム・ラザは少なくとも2020年からこれらのサイバー犯罪ウェブサイトを使用し、フィッシングツールキットやその他の詐欺ツールを国際組織犯罪グループに販売していた。これらのツールは、米国の多数の被害者を標的にするために使用され、被害総額は300万ドルを超えた。
The Saim Raza-run websites operated as marketplaces that advertised and facilitated the sale of tools such as phishing kits, scam pages, and email extractors, often used to build and maintain fraud operations. Not only did Saim Raza make these tools widely available on the open internet, it also trained end users on how to use the tools against victims by linking to instructional YouTube videos on how to execute schemes using these malicious programs, making them accessible to criminal actors that lacked this technical criminal expertise. The group also advertised its tools as “fully undetectable” by antispam software.	サイム・ラザが運営するウェブサイトは、フィッシングキット、詐欺ページ、電子メール抽出ツールなどの販売を宣伝し、促進するマーケットプレイスとして機能していた。これらのツールは、詐欺行為の構築や維持に頻繁に使用される。サイム・ラザは、これらのツールをオープンなインターネット上で広く入手できるようにしただけでなく、これらの悪質なプログラムを使用した詐欺の手口を実行する方法を説明するYouTubeの動画にリンクを貼り、エンドユーザーに被害者に対してツールを使用する方法を教えることで、犯罪行為に必要な技術的専門知識を持たない犯罪者にもアクセスできるようにした。また、このグループは、スパム対策ソフトウェアでは「完全に検出されない」とツールを宣伝していた。
The transnational organized crime groups and other cybercrime actors who purchased these tools primarily used them to facilitate business email compromise schemes wherein the cybercrime actors tricked victim companies into making payments to a third party. Those payments would instead be redirected to a financial account the perpetrators controlled, resulting in significant losses to victims. These tools were also used to acquire victim user credentials and utilize those credentials to further these fraudulent schemes. The seizure of these domains is intended to disrupt the ongoing activity of these groups and stop the proliferation of these tools within the cybercriminal community.	これらのツールを購入した国際組織犯罪グループやその他のサイバー犯罪者は、主にビジネスメール詐欺スキームを促進するためにそれらを使用した。このスキームでは、サイバー犯罪者が被害企業を騙してサードパーティへの支払いをさせる。これらの支払いは、代わりに犯罪者が管理する金融口座に振り向けられ、結果として被害者は大きな損失を被ることになる。これらのツールは、被害者のユーザー認証情報を取得し、それらの認証情報を利用して詐欺スキームをさらに進めるためにも使用された。これらのドメインの差し押さえは、これらのグループの継続中の活動を妨害し、サイバー犯罪者コミュニティ内でのこれらのツールの拡散を阻止することを目的としている。
Supervisory Official Antoinette T. Bacon of the Justice Department’s Criminal Division, U.S. Attorney Nicholas J. Ganjei for the Southern District of Texas, and Special Agent in Charge Douglas Williams of the FBI Houston Field Office made the announcement.	司法省刑事局の監督官アントワネット・T・ベーコン氏、テキサス州南部地区担当のニコラス・J・ガンジェイ米国連邦検事、およびFBIヒューストン支局のダグラス・ウィリアムズ特別捜査官がこの発表を行った。
The FBI Houston Field Office is investigating the case. The Justice Department appreciates the cooperation and significant assistance law enforcement partners in the Netherlands have provided.	FBIヒューストン支局がこの事件を捜査している。司法省は、オランダの法執行機関パートナーが提供した協力と多大な支援に感謝している。
Trial Attorney Gaelin Bernstein of the Criminal Division’s Computer Crime and Intellectual Property Section and Assistant U.S. Attorney Rodolfo Ramirez for the Southern District of Texas are prosecuting the case.	刑事局のコンピューター犯罪および知的財産セクションの裁判弁護士のゲリーン・バーンスタインと、テキサス州南部地区担当のロドルフォ・ラミレス米国連邦検事が、この事件を起訴している。

 

フランス CNIL AIについてガイダンス（データ主体への通知、データ主体の権利行使の尊重と促進）(2025.02.07)

こんにちは、丸山満彦です。

フランスのCNILが、AIについての新しいガイダンス？を２つ公表していますね...

 

● CNIL

プレス

・2025.02.07 AI and GDPR: the CNIL publishes new recommendations to support responsible innovation

AI and GDPR: the CNIL publishes new recommendations to support responsible innovation	AIとGDPR：CNILが責任あるイノベーションを支援する新たな勧告を発表
The GDPR enables the development of innovative and responsible AI in Europe. The CNIL’s new recommendations illustrate this by providing concrete solutions to inform individuals whose data is used and to facilitate the exercise of their rights.	GDPRは欧州における革新的で責任あるAIの開発を可能にする。CNILの新しい勧告は、データが使用される個人に情報を提供し、その権利の行使を促進するための具体的なソリューションを提供することで、これを示している。
GDPR enables innovative AI while respecting personal data	GDPRは個人データを尊重しつつ革新的なAIを可能にする
The AI Action Summit, organized by France from February 6th to 11th, 2025, will host numerous events highlighting AI’s potential for innovation and competitiveness in the coming years.	2025年2月6日から11日までフランスが主催するAIアクションサミットでは、今後数年間のイノベーションと競争力におけるAIの可能性を強調する数多くのイベントが開催される。
Since 1978, France has established regulations to govern the use of personal data by digital technologies. In Europe, these rules were harmonized through the General data protection regulation (GDPR), whose principles have inspired regulations in many countries around the world.	1978年以来、フランスはデジタル技術による個人データの利用を統制するための規制を設けてきた。欧州では、これらの規則は一般データ保護規則（GDPR）によって調和され、その原則は世界各国の規制に影響を与えている。
Recognizing the need to clarify the legal framework, the CNIL actively works to provide security for stakeholders, fostering AI innovation while ensuring the protection of fundamental rights. Since launching its AI Action Plan in May 2023, the CNIL has issued a series of recommendations for AI system development. With those clarifications, GDPR compliance will build trust among individuals and provides legal certainty for businesses.	法的枠組みを明確にする必要性を認識しているCNILは、基本的権利の保護を確保しつつ、関係者に安全性を提供し、AIイノベーションを促進するために積極的に取り組んでいる。2023年5月にAI行動計画を発表して以来、CNILはAIシステム開発に関する一連の勧告を発表している。これらの明確化により、GDPRの遵守は個人の信頼を築き、企業に法的確実性を提供する。
Adapting GDPR principles to the specificities of AI	GDPRの原則をAIの特殊性に適応させる
Some AI models are anonymous and thus not subject to the GDPR. However, other models—such as a large language model (LLM)—may contain personal data. The European data protection board (EDPB) recently provided relevant criteria on the application of the GDPR to AI models.	一部のAIモデルは匿名であるため、GDPRの対象とはならない。しかし、大規模言語モデル（LLM）のような他のモデルには個人データが含まれる可能性がある。欧州データ保護委員会（EDPB）は最近、AIモデルへのGDPR適用に関する関連規準を示した。
When the GDPR applies, individuals’ data must be protected, whether within training datasets, within models that may have memorized data, or through model usage via prompts. While the fundamental principles of data protection remain applicable, they must be adapted to AI’s specific context.	GDPRが適用される場合、学習データセット内であれ、データを記憶している可能性のあるモデル内であれ、プロンプトによるモデルの使用を通じてであれ、個人のデータは保護されなければならない。データ保護の基本原則は引き続き適用可能だが、AI特有の状況に適応させる必要がある。
The CNIL has determined that:	CNILは次のように決定している：
・The determination of the purpose will be applied flexibly to general-purpose AI systems: an operator who cannot define all potential applications at the training stage may instead describe the type of system being developed and illustrate key potential functionalities.	・目的に決定は汎用AIシステムに柔軟に適用される：訓練段階ですべての潜在的な用途を定義できない処理者は、代わりに開発中のシステムの種類を説明し、主要な潜在的機能を説明することができる。
・The data minimisation principle does not prevent the use of large training datasets. However, the data should generally be selected and cleaned to optimise algorithm training while avoiding the unnecessary processing of personal data.	・データ最小化の原則は、大規模な訓練データセットの使用を妨げるものではない。しかし、一般的には、パーソナルデータの不必要な処理を避けつつ、アルゴリズム学習を最適化するためにデータを選択し、クリーニングすべきである。
・Retention of training data can be extended if justified and if the dataset is subject to appropriate security measures. This is particularly relevant for databases requiring significant scientific and financial investment, which sometimes become recognised standards within the research community.	・正当な理由があり、データセットが適切なセキュリティ対策の対象者であれば、訓練データの保持期間を延長することができる。これは特に、多額の科学的・財政的投資を必要とし、研究コミュニティ内で標準として認知されることもあるデータベースに関連する。
・Reuse of databases, including those available online, is possible in many cases, provided that the data was not collected unlawfully and that its reuse aligns with the original purpose of collection.	・オンラインを含むデータベースの再利用は、データが違法に収集されたものでなく、その再利用が当初の収集目的に沿ったものであれば、多くの場合可能である。
New recommendations	新しい勧告
Today, the CNIL is publishing two new recommendations to promote the responsible use of AI while ensuring compliance with personal data protection. These recommendations confirm that GDPR requirements are sufficiently balanced to address the specific challenges of AI. They provide concrete and proportionate solutions to inform individuals and facilitate the exercise of their rights:	本日、CNILは、個人データ保護のコンプライアンスを確保しつつ、AIの責任ある利用を促進するための2つの新しい勧告を発表した。これらの勧告は、GDPRの要件がAI特有の課題に対処するために十分にバランスが取れていることを確認するものである。これらの勧告は、個人に情報を提供し、権利の行使を促進するための具体的かつ適切な解決策を提供している：
・When personal data is used to train an AI model and may potentially be memorised by it, the individuals concerned must be informed.	・個人データがAIモデルの訓練に使用され、AIモデルによって記憶される可能性がある場合、関係する個人に通知されなければならない。
The way this information is provided can be adapted based on the risks to individuals and operational constraints. Under the GDPR, in certain cases—especially when AI models rely on third-party data sources and the provider cannot contact individuals directly—organizations may limit themselves to general information (e.g., published on their website). When multiple sources are used, as is common with general-purpose AI models, a broad disclosure indicating the categories of sources or listing a few key sources is generally sufficient.	この情報提供の方法は、個人に対するリスクと運用上の制約に基づいて適合させることができる。GDPRの下では、特定の場合（特にAIモデルがサードパーティーのデータソースに依存し、プロバイダが個人に直接連絡できない場合）、組織は一般的な情報（例えば、ウェブサイトで公表）に限定することができる。汎用のAIモデルで一般的なように、複数の情報源を使用する場合は、情報源のカテゴリーを示すか、いくつかの重要な情報源を列挙した広範な開示で一般的には十分である。
See CNIL’s recommendations on informing individuals	個人への情報提供に関するCNILの勧告を参照のこと。
・European regulations grant individuals the right to access, rectify, object and delete their personal data.	・欧州の規則では、個人データへのアクセス、修正、異議申し立て、削除の権利を個人に認めている。
However, exercising these rights can be particularly challenging in the context of AI models — whether due to difficulties in identifying individuals within the model or modifying the model itself. The CNIL urges AI developers to incorporate privacy protection from the design stage and pay special attention to personal data within training datasets by:	しかし、これらの権利を行使することは、モデル内の個人を特定することが困難であったり、モデル自体を修正することが困難であったりと、AIモデルにおいては特に困難である。CNILはAI開発者に対し、設計段階からプライバシー保護を取り入れ、訓練データセット内の個人データに特別な注意を払うよう、次のように促している：
・・striving to anonymise models whenever it does not compromise their intended purpose;	・・意図した目的を損なわない限り、モデルの匿名化に努めること；
・・developing innovative solutions to prevent the disclosure of confidential personal data by AI models.	・・AIモデルによる機密個人データの漏洩を防ぐための革新的なソリューションを開発する。
In some cases, the cost, technical impossibility, or practical difficulties may justify a refusal to comply with a request to exercise these rights. However, where the right must be guaranteed, the CNIL will consider reasonable solutions available to the model creator and may allow for flexible timelines. The CNIL also emphasizes that scientific research in this area is evolving rapidly and urges AI stakeholders to stay informed of the latest advancements to ensure the best possible protection of individuals' rights.	場合によっては、コスト、技術的な不可能性、現実的な困難性によって、これらの権利行使の要請に応じないことが正当化されることがある。しかし、権利を保証しなければならない場合、CNILはモデル作成者が利用できる合理的な解決策を検討し、柔軟なスケジュールを認めることもある。CNILはまた、この分野の科学的研究は急速に発展していることを強調し、AI関係者に対し、個人の権利の最良の保護を確保するため、最新の進歩に関する情報を常に入手するよう促している。
See CNIL’s recommendations on individuals' rights	個人の権利に関するCNILの勧告を見る
► See all CNIL recommandations on AI (in French)	AIに関する全てのCNIL勧告を見る（フランス語）
Consultation with AI stakeholders and civil society	AI関係者および市民社会との協議
These recommendations were developed following a public consultation. Various stakeholders—including businesses, researchers, academics, associations, legal and technical advisors, trade unions, and federations—were able to share their perspectives. This allowed the CNIL to issue recommendations that closely align with their concerns and the real-world applications of AI.	これらの勧告は、公開協議の後に作成された。企業、研究者、学者、団体、法律・技術顧問、労働組合、連盟を含む様々な利害関係者がそれぞれの見解を共有することができた。これにより、CNILは、彼らの懸念やAIの現実の応用に密接に沿った勧告を出すことができた。
Read the summary of contributions (In French)	寄稿の要約を読む（フランス語）
The CNIL’s efforts to ensure a pragmatic and comprehensive application of the GDPR in the AI sector will continue in the coming months. This includes issuing new recommendations and providing support to organisations.	AI分野におけるGDPRの実用的かつ包括的な適用を確保するためのCNILの取り組みは、今後数ヶ月間継続される。これには、新たな勧告の発行や組織へのサポートのプロバイダが含まれる。
Additionally, the CNIL is closely following the work of the European Commission’s AI Office, particularly in the development of a code of good practices for general-purpose AI. These efforts are coordinated with broader initiatives to clarify the legal framework at the European level.	さらに、CNILは欧州委員会のAI事務局の作業、特に汎用AIのためのグッドプラクティス規範の策定を注視している。これらの取り組みは、欧州レベルでの法的枠組みを明確にするための幅広い取り組みと連携している。
Document reference	文書参照
Summary of contributions	貢献の概要
Consultation publique - Fiches pratiques sur l’information et l’exercice des droits pour le développement de systèmes d’IA - Synthèse des contributions	公的協議 - IAシステム開発のための情報と権利行使に関する実践規範 - 寄稿要約

 

要約...

・[PDF] Consultation publique - Fiches pratiques sur l’information et l’exercice des droits pour le développement de systèmes d’IA - Synthèse des contributions

 

以下の実践的AIファクトシートの9,10が新しいですかね...

Fiche 9	シート9
・2025.02.07 Informer les personnes concernées	2025.02.07 データ主体への通知
Fiche 10	シート10
・2025.02.07 Respecter et faciliter l’exercice des droits des personnes concernées	2025.02.07 データ主体の権利行使の尊重と促進

 

実践的AIファクトシート...

 

Les fiches pratiques IA	実践的AIファクトシート
Fiche synthèse	概要シート
・2024.04.08 Les recommandations de la CNIL en bref	2024.04.08 CNIL勧告の概要
Les recommandations de la CNIL sur l’application du RGPD au développement des systèmes d’IA permettent de concilier innovation et respect des droits des personnes. Que faut-il retenir ?	AIシステムの開発に対するRGPDの適用に関するCNILの勧告は、イノベーションと人々の権利の尊重を両立させることを可能にする。我々は何に留意すべきだろうか？
Note : cette synthèse ne concerne que les fiches « Introduction » à 7 pour le moment.	注：本要約は、当面の間、7枚のシートの「はじめに」のみを対象とする。
> En savoir plus	> 詳細はこちら
Introduction	はじめに
・2024.04.08 Quel est le périmètre des fiches pratiques sur l’IA ?	2024.04.08 AIに関する実務情報シートの範囲は？
La CNIL apporte des réponses concrètes pour la constitution de bases de données utilisées pour l’apprentissage des systèmes d’intelligence artificielle (IA), qui impliquent des données personnelles.	CNILは、個人情報に関わる人工知能（AI）システムの学習に使用されるデータベースの構成について、具体的な回答を提供している。
> En savoir plus	> 詳細はこちら
Fiche 1	シート1
・2024.04.08 Déterminer le régime juridique applicable	2024.04.08 適用される法的体制の決定
La CNIL vous aide à déterminer le régime juridique applicable aux traitements de données personnelles en phase de développement.	CNILは、開発段階における個人データの処理に適用される法体系の決定を支援する。
> En savoir plus	> 詳細はこちら
Fiche 2	シート2
・2024.04.08 Définir une finalité	2024.04.08 目的の定義
La CNIL vous aide à définir la ou les finalités en tenant compte des spécificités du développement de systèmes d’IA.	CNILは、AIシステム開発の特殊性を考慮した目的の定義を支援する。
> En savoir plus	> 詳細はこちら
Fiche 3	シート3
・2024.04.08 Déterminer la qualification juridique des fournisseurs de systèmes d’IA	2024.04.08 AIシステム供給者の法的地位の決定
Responsable de traitement, responsable conjoint ou sous-traitant : la CNIL aide les fournisseurs de systèmes d’IA à déterminer leur qualification.	データ管理者、共同管理者または処理者：CNILはAIシステム提供者がその資格を決定するのを支援する。
> En savoir plus	> 詳細はこちら
Fiche 4 (1/2)	シート4 (1/2)
・2024.04.08 Assurer que le traitement est licite - Définir une base légale	2024.04.08 情報処理の適法性を確保する - 法的根拠の定義
La CNIL vous aide à déterminer vos obligations en fonction de votre responsabilité et des modalités de collecte ou de réutilisation des données.	CNILは、貴社の責任およびデータの収集または再利用の方法に応じて、貴社の義務を決定することを支援する。
> En savoir plus	> 詳細はこちら
Fiche 4 (2/2)	シート4 (2/2)
・2024.04.08 Assurer que le traitement est licite - En cas de réutilisation des données	2024.04.08 情報処理の適法性の確保 - 情報が再利用される場合
La CNIL vous aide à déterminer vos obligations en fonction de votre responsabilité et des modalités de collecte ou de réutilisation des données.	CNILは、貴社の責任およびデータの収集または再利用の方法に応じて、貴社の義務を決定するのに役立つ。
> En savoir plus	> 詳細はこちら
Fiche 5	シート5
・2024.04.08 Réaliser une analyse d’impact si nécessaire	2024.04.08 必要に応じて影響評価を実施する
La CNIL vous explique comment et dans quels cas réaliser une analyse d’impact sur la protection des données (AIPD) en tenant compte des risques spécifiques au développement de modèles d’IA.	CNILは、AIモデルの開発に特有のリスクを考慮したデータ保護影響評価（DPAI）の実施方法とケースについて説明している。
> En savoir plus	> 詳細はこちら
Fiche 6	シート6
・2024.04.08 Tenir compte de la protection des données dans la conception du système	2024.04.08 システム設計においてデータ保護を考慮する
Pour assurer le développement d’un système d’IA respectueux de la protection des données, il est nécessaire de mener une réflexion préalable lors de la conception du système. La CNIL en détaille les étapes.	データ保護に配慮したAIシステムの開発を確実にするためには、システム設計時に予備的な検討を行う必要がある。CNILはその手順を示している。
> En savoir plus	> 詳細はこちら
Fiche 7	シート7
・2024.04.08 Tenir compte de la protection des données dans la collecte et la gestion des données	2024.04.08データ収集・管理におけるデータ保護の考慮
La CNIL donne les bonnes pratiques pour sélectionner les données et limiter leur traitement afin d’entraîner un modèle performant dans le respect des principes de protection des données dès la conception et par défaut.	CNILは、データ保護の原則に準拠した高性能モデルを設計段階からデフォルトで作成するために、データを選択し、その処理を制限するためのベストプラクティスを概説している。
> En savoir plus	> 詳細はこちら
Fiche 8	シート8
・2024.06.10 Mobiliser la base légale de l’intérêt légitime pour développer un système d’IA	2024.06.10 正当な利益を法的根拠としてAIシステムを開発する
La base légale de l’intérêt légitime sera la plus couramment utilisée pour le développement de systèmes d’IA. Cette base légale ne peut toutefois pas être mobilisée sans en respecter les conditions et mettre en œuvre des garanties suffisantes.	正当な利益という法的根拠は、AIシステムの開発において最も一般的に使用される。しかし、この法的根拠は、条件を遵守し、十分な保証を実施しなければ、利用することはできない。
> En savoir plus	> 詳細はこちら
Fiche 8 (1/2)	シート8 (1/2)
・2024.06.10 La base légale de l’intérêt légitime : fiche focus sur la diffusion des modèles en source ouverte (open source)	2024.06.10 正当な利益の法的根拠：オープンソースモデルの配布に焦点を当てる
Compte tenu des bénéfices qu’elles peuvent présenter, les pratiques d’ouverture sont à prendre en compte dans l’évaluation de l’intérêt légitime d’un fournisseur de système d’IA. Il est toutefois nécessaire d’adopter des garanties permettant de limiter les atteintes qu’elles peuvent porter aux personnes.	AIシステム提供者の合法的利益を評価する際には、その潜在的利益を考慮に入れてオープンソースを利用すべきである。しかし、オープンソースが個人にもたらす害を制限するためのセーフガードを採用する必要がある。
> En savoir plus	> 詳細はこちら
Fiche 8 (2/2)	シート8 (2/2)
・2024.06.10 La base légale de l’intérêt légitime : fiche focus sur les mesures à prendre en cas de collecte des données par moissonnage (web scraping)	2024.06.10 正当な利益の法的根拠：ウェブスクレイピングによるデータ収集の際の措置に焦点を当てる
La collecte des données accessibles en ligne par moissonnage (web scraping) doit être accompagnée de mesures visant à garantir les droits des personnes concernées.	ウェブ・スクレイピングによるオンライン・アクセス可能なデータの収集には、データ主体の権利を保証する措置が伴わなければならない。
> En savoir plus	> 詳細はこちら
Fiche 9	シート9
・2025.02.07 Informer les personnes concernées	2025.02.07 データ主体への通知
Les organismes qui traitent des données personnelles pour développer des modèles ou des systèmes d’IA doivent informer les personnes、 concernées. La CNIL précise les obligations en la matière.	AIモデルやシステムを開発するために個人データを処理する組織は、関係者に通知しなければならない。CNILはこの分野における義務を定めている。
> En savoir plus	> 詳細はこちら
Fiche 10	シート10
・2025.02.07 Respecter et faciliter l’exercice des droits des personnes concernées	2025.02.07 データ主体の権利行使の尊重と促進
Les personnes dont les données sont collectées, utilisées ou réutilisées pour développer un système d’IA disposent de droits sur leurs données qui leur permettent d’en conserver la maîtrise. Il appartient aux responsables des traitements de les respecter et d’en faciliter l’exercice.	AIシステムを開発するためにデータが収集、使用または再利用される個人は、データに対する権利を有し、データに対するコントロールを保持することができる。これらの権利を尊重し、その行使を促進することは、データ管理者の責務である。
> En savoir plus	> 詳細はこちら
Fiche 11	シート11
・2024.06.10 Annoter les données	2024.06.10 データに注釈を付ける
La phase d’annotation des données est cruciale pour garantir la qualité du modèle entraîné. Cet enjeu de performance peut être atteint au moyen d’une méthodologie rigoureuse garantissant le respect de la protection des données personnelles.	データの注釈付けは、学習されたモデルの品質を保証するために極めて重要である。このパフォーマンス上の課題は、個人データ保護の尊重を保証する厳格な方法論を用いることで解決できる。
> En savoir plus	> 詳細はこちら
Fiche 12	シート12
・2024.06.10 Garantir la sécurité du développement d’un système d’IA	2024.06.10 AIシステム開発のセキュリティを保証する
La sécurité des systèmes d’IA est une obligation afin de garantir la protection des données tant lors du développement du système que par anticipation de son déploiement. Cette fiche détaille les risques et mesures à prendre recommandées par la CNIL.	AIシステムのセキュリティは、システム開発中およびシステム配備を見越したデータ保護を保証するための義務である。このファクトシートでは、CNILが推奨するリスクと対策について詳述する。
> En savoir plus	> 詳細はこちら

 

 

シート9

・2025.02.07 IA : Informer les personnes concernées

IA : Informer les personnes concernées	AI：データ主体への情報提供
Les organismes qui traitent des données personnelles pour développer des modèles ou des systèmes d’IA doivent informer les personnes concernées. La CNIL précise les obligations en la matière.	AIモデルやシステムを開発するために個人データを処理する組織は、関係者に通知しなければならない。CNILはこの分野における義務を定めている。
Assurer la transparence des traitements	処理の透明性を確保する
Quand fournir l’information ?	いつ情報を提供すべきか？
Comment fournir l’information ?	どのように情報を提供するか？
Les dérogations à une information individuelle	個人情報の例外
Quelles informations fournir ?	どのような情報を提供すべきか？

 

 

シート10

・2025.02.07 IA : Respecter et faciliter l’exercice des droits des personnes concernées

IA : Respecter et faciliter l’exercice des droits des personnes concernées	AI：データ主体の権利の尊重と行使の促進
Les personnes dont les données sont collectées, utilisées ou réutilisées pour développer un système d’IA disposent de droits sur leurs données qui leur permettent d’en conserver la maîtrise. Il appartient aux responsables des traitements de les respecter et d’en faciliter l’exercice.	AIシステムを開発するためにデータが収集、使用、再利用される個人は、そのデータに対する権利を有し、それによってそのデータを管理することができる。これらの権利を尊重し、その行使を促進することは、データ管理者の責任である。
L’exercice des droits est étroitement lié à l’information donnée sur les traitements, qui constitue également une obligation.	これらの権利の行使は、データ処理に関する情報の提供と密接に関連しており、これも義務である。
Rappel général sur les droits applicables	適用される権利の一般的注意事項
Les personnes concernées disposent des droits suivants sur leurs données personnelles :	データ主体は個人データに関して以下の権利を有する：
droit d’accès (article 15 du RGPD) ;	アクセス権（GDPR第15条）；
droit de rectification (article 16 du RGPD) ;	訂正権（GDPR第16条）；
droit à l’effacement, également appelé droit à l’oubli (article 17 du RGPD) ;	消去権（忘れられる権利としても知られる）（GDPR第17条）；
droit à la limitation du traitement (article 18 du RGPD) ;	処理制限権（GDPR第18条）；
droit à la portabilité des données lorsque la base légale du traitement est le consentement ou le contrat (article 20 du RGPD) ;	処理の法的根拠が同意または契約である場合、データポータビリティに対する権利（GDPR第20条）；
droit d’opposition lorsque le traitement est fondé sur l’intérêt légitime ou la mission d’intérêt public (article 21 du RGPD) ;	処理が正当な利益または公共の利益に基づいている場合、異議を唱える権利（RGPD第21条）；
droit de retirer son consentement à tout moment lorsque le traitement de données à caractère personnel est fondé sur le consentement (article 7.3 du RGPD).	個人データの処理が同意に基づいている場合、いつでも同意を撤回する権利（RGPD第7.3条）。
Les personnes concernées doivent pouvoir exercer leurs droits à la fois :	データ主体はその権利を行使できなければならない：
sur les bases de données d’apprentissage et,	学習データベースおよび
sur les modèles d’IA si ces derniers ne sont pas considérés comme anonymes comme précisé dans l’avis du CEPD 28/2024 sur certains aspects de la protection des données liés au traitement des données à caractère personnel dans le contexte des modèles d'IA.	AIモデルが、AIモデルの文脈における個人データ処理の特定のデータ保護の側面に関するEDPS意見28/2024に規定されているように、匿名であるとみなされない場合、データ主体は以下の権利を行使できなければならない。
Si l’exercice d’un droit d’accès, de rectification ou d’effacement sur une base de données d’entraînement présente des problématiques assez comparables par rapport à d’autres grandes bases de données, l’exercice des mêmes droits sur le modèle d’IA lui-même présente des difficultés particulières et inédites. Cela doit conduire à l’adoption de solutions réalistes et proportionnées, afin de garantir les droits des personnes sans empêcher l’innovation en matière d’intelligence artificielle. La CNIL estime ainsi que le RGPD permet d’appréhender les spécificités des modèles d’IA pour l’exercice des droits. La complexité et les coûts des demandes qui s’avèreraient disproportionnées sont ainsi des facteurs qui peuvent être pris en compte.	訓練用データベースに対するアクセス権、修正権、削除権の行使は、他の大規模データベースと比較して、ほぼ同等の問題をもたらすが、AIモデル自体に対する同権利の行使は、特別かつ前例のない困難をもたらす。人工知能の技術革新を妨げることなく個人の権利を保障するためには、現実的かつ適切な解決策を採用する必要がある。したがってCNILは、RGPDによって、権利行使のためのAIモデル特有の特徴を理解することが可能になると考えている。不釣り合いな要求の複雑さとコストは考慮できる要素である。
En matière de développement de modèles ou de systèmes d’IA : comment répondre aux demandes d’exercice de droits ?	AIモデルやシステムの開発に関して：権利行使の要請はどのように対応すべきか？
Dérogations à l’exercice des droits sur les bases de données ou sur le modèle d’IA	データベースやAIモデルに対する権利行使の例外

 

 

 

個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係（第314回委員会）

こんにちは、丸山満彦です。

第314回個人情報保護委員会が開催され、個人情報保護法の制度的課題に対する考え方（案）についてが議論されたようですね...

第312回に示された「個人情報保護法　いわゆる３年ごと見直しに係る検討」の今後の検討の進め方について（案）」の「３ 制度的な論点の再整理について 」で示された、次の３つの論点のうちの（１）に関わるものですね...

（１）個人データ等の取扱いにおける本人関与に係る規律の在り方

（２）個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方

（３）個人情報取扱事業者等による規律遵守の実効性を確保するための規律の在り方

 

● 個人情報保護委員会

・2025.02.05 第314回個人情報保護委員会

・[PDF]「個人情報保護法 いわゆる３年ごと見直しに係る検討」の今後の検討の進め方について（案）

 

---

１ 個人の権利利益への影響という観点も考慮した同意規制の在り方

(1) 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合の本人の同意の在り方【規律の考え方】

• 統計情報等の作成のために複数の事業者が持つデータを共有し横断的に解析するニーズが高まっていること、特定の個人との対応関係が排斥された統計情報等の作成や利用はこれによって個人の権利利益を侵害するおそれが少ないものであることから、このような統計情報等の作成にのみ利用されることが担保されていること等を条件に、本人同意なき個人データ等の第三者提供及び公開されている要配慮個人情報の取得を可能としてはどうか。
  
  
• 行政機関等の取り扱う保有個人情報についても同様に、利用目的以外の目的のための提供に係る「統計の作成」の例外規定の対象を、統計情報等の作成に拡大してはどうか。

(2) 取得の状況からみて本人の意思に反しない取扱いを実施する場合の本人の同意の在り方【規律の考え方】

• 個人データの第三者提供等が契約の履行のために必要不可欠な場合を始め、目的外利用、要配慮個人情報取得又は第三者提供が本人の意思に反しないため本人の権利利益を害しないことが明らかである場合について、本人の同意を不要としてはどうか。

(3) 生命等の保護又は公衆衛生の向上等のために個人情報を取り扱う場合における同意取得困難性要件の在り方【規律の考え方】

• 人の生命、身体又は財産の保護のための例外規定及び公衆衛生の向上又は児童の健全な育成の推進のための例外規定について、現行制度においては「本人の同意を得ることが困難であるとき」という要件が付されているが、事業者・本人の同意取得手続に係る負担を軽減し、個人情報のより適正かつ効果的な活用及びより実効的な個人の権利利益の侵害の防止につなげる観点から、「 本人の同意を得ることが困難であるとき」のみならず、「 その他の本人の同意を得ないことについて相当の理由があるとき」についても、上記例外規定に依拠できることとしてはどうか。

(4) 病院等による学術研究目的での個人情報の取扱いに関する規律の在り方【規律の考え方】

• 医学・生命科学の研究においては、研究対象となる診断・ 治療の方法に関する臨床症例の分析が必要不可欠であり、病院等の医療の提供を目的とする機関又は団体による研究活動が広く行われている実態があることから、目的外利用規制、要配慮個人情報取得規制、第三者提供規制に係るいわゆる学術研究例外に依拠することができる主体である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示することとしてはどうか。

 

２ 本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合における漏えい等発生時の対応の在り方

【規律の考え方】

• 現行法上、個人情報取扱事業者は、漏えい等報告の義務を負うときは、本人への通知が困難な場合を除き、一律に本人への通知義務を負うこととなるが、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合について、本人への通知義務を緩和し、代替措置による対応を認めることとしてはどうか。注７：例えば、サービス利用者の社内識別子（ID）等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合などが想定される。具体的な対象範囲はステークホルダーの意見をよく聞きながら委員会規則等で定めることを想定している。
  
  
• 行政機関等についても同様の改正を行うこととしてはどうか。

 

３ 心身の発達過程にあり、本人による関与等の規律が必ずしも期待できない子供の個人情報等の取扱い

【規律の考え方】

• 子供は、心身が発達段階にあるためその判断能力が不十分であり、個人情報の不適切な取扱いに伴う悪影響を受けやすいこと等から、子供の発達や権利利益を適切に守る観点から、一定の規律を設ける必要があるのではないか。その場合、対象とする子供の年齢については、現在の運用の基礎となっている Q&A の記載や、GDPRの規定などを踏まえ、16 歳未満としてはどうか。
  
  
• 16 歳未満の者が本人である場合における、本人からの同意取得や本人への通知等に係る規定について、原則として、当該本人の法定代理人からの同意取得や当該法定代理人への通知等を義務付けることとしてはどうか。その上で、一定の場合については、例外的に、本人からの同意取得や本人への通知等を認める必要があるのではないか。
  
  
• 16 歳未満の者を本人とする保有個人データについて、違法行為の有無等を問うことなく利用停止等請求を行うことを可能としてはどうか。その場合において、一定の例外事由を設ける必要があるのではないか。
  
  
• 未成年者の個人情報等を取り扱う事業者は、当該未成年者の年齢及び発達の程度に応じて、その最善の利益を優先して考慮した上で、未成年者の発達又は権利利益を害することのないように必要な措置を講ずるよう努めなければならない旨の責務規定、及び、個人情報の取扱いに係る同意等をするに当たって、法定代理人は、本人の最善の利益を優先して考慮しなければならない旨の責務規定を設けてはどうか。
  
  
• 法定代理人の関与及び責務規定については、行政機関等についても同様の改正を行うこととしてはどうか。

 

---

 

● 個人情報保護委員会

・・個人情報保護委員会開催状況

・・個人情報保護法のいわゆる３年ごと見直しに関する検討会

・・個人情報保護法　いわゆる３年ごと見直しについて

 

2025.02.05	第314回 個人情報保護委員会
資料１	個人情報保護法の制度的課題に対する考え方（案）について
	議事概要
	議事録
2025.01.22	第312回 個人情報保護委員会
資料１－１	「個人情報保護法　いわゆる３年ごと見直しに係る検討」の今後の検討の進め方について（案）
資料１－２	個人情報保護法の制度的課題の再整理
	議事概要
	議事録
2024.12.25	第311回 個人情報保護委員会
資料１	個人情報保護法のいわゆる３年ごと見直しに関する検討会 報告書
	議事概要
	議事録
2024.12.18	第７回 個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	現行制度と検討の方向性について（課徴金制度③）
資料２	検討会報告書（案）
参考資料１	これまでの主な論点及び関連御意見
参考資料２	第２回～第６回検討会における主な御意見
参考資料３	関係参考資料
参考資料4	「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について
議事録	第７回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.12.17	第310回 個人情報保護委員会
資料１－１	「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」 に関するヒアリングの概要について
資料１－２	事務局ヒアリングにおける主な御意見
参考資料１－１
参考資料１－２	事務局ヒアリングの各参加者提出資料
	議事概要
	議事録
2024.11.28	第６回 個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	現行制度と検討の方向性について（課徴金制度②）
資料２	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度③）
資料３	これまでの主な論点及び関連御意見 (PDF : 2006KB)
参考資料１	第２回～第５回検討会における主な御意見
議事録	第６回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.11.12	第５回 個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	国内他法令における課徴金額の算定方法等について
資料２	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度②）
資料３	認定個人情報保護団体制度について
資料４	第４回までの主な論点及び関連意見
資料５	個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点・今後の検討の進め方
参考資料１	第２回～第４回検討会における主な御意見
参考資料２	関係参考資料
議事録	第５回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.10.16	第304回 個人情報保護委員会
資料１－１	個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点（案）
資料１－２	今後の検討の進め方
	議事概要
	議事録
2024.10.11	第４回 個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	全国消費生活相談員協会プレゼン資料
資料２	中川構成員プレゼン資料
資料３	第３回事務局資料に対する御質問と考え方
参考資料１	第２回及び第３回検討会における主な御意見
参考資料２	関係参考資料
前回資料１ー１	総合的な案内所（個人情報保護法相談ダイヤル）における受付状況
前回資料１ー２	名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
前回資料２	個人情報保護法の違反行為に係る事例等
前回資料３	現行制度と検討の方向性について（課徴金制度）
前回資料４	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度）
議事録	第４回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.09.26	第３回 個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１－１	総合的な案内所（個人情報保護法相談ダイヤル）における受付状況
資料１－２	名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
資料２	個人情報保護法の違反行為に係る事例等
資料３	現行制度と検討の方向性について（課徴金制度）
資料４	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度）
参考資料１	第２回検討会における主な御意見
参考資料２	個人情報の保護に関する基本方針
参考資料３	個人情報の保護に関する法律に基づく行政上の対応について（令和６年９月11日公表資料）
参考資料４	関係参考資料
議事録	第３回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.09.05	第２回 個人情報保護法のいわゆる３年ごと見直しに関する検討会
資料１	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料２	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果（概要）
資料３	今後の検討の進め方
資料４	監視・監督活動及び漏えい等報告に関する説明資料
参考資料１	第1回検討会における主な意見
参考資料２	第1回検討会における主な質問及び回答
参考資料３	関係参考資料
議事録
2024.09.04	第299回 個人情報保護委員会
資料1-1	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料1-2	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果（概要）
議事概要
議事録
2024.07.31	第１回 個人情報保護法のいわゆる３年ごと見直しに関する検討会
資料1	開催要綱（案）
資料2	主婦連合会御提出資料
資料3	新経済連盟御提出資料
資料4	全国消費者団体連絡会御提出資料
資料5	全全国消費生活相談員協会御提出資料
資料6	日本IT 団体連盟御提出資料
資料7	日本経済団体連合会御提出資料
参考資料1	「個人情報保護法 いわゆる３年ごと見直しに係る検討の中間整理」概要
参考資料2	「個人情報保護法 いわゆる３年ごと見直しに係る検討の中間整理」本文
議事録
2024.07.24	第296回 個人情報保護委員会
資料1	個人情報保護法のいわゆる３年ごと見直しに関する検討会の設置について
議事概要
議事録
2024.06.26	第292回 個人情報保護委員会
資料１	個人情報保護法 いわゆる３年ごと見直しに係る検討の中間整理（案）
【委員長預かりで会議後に修正した資料】 資料１	個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理
資料２−１	日EU相互認証の枠組みの拡大に向けた対応について
資料２−２	個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長（価値・透明性担当）の会談に関する共同プレス・ステートメント（英語）
資料２−３	個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長（価値・透明性担当）の会談に関する共同プレス・ステートメント（日本語仮訳）
資料３	一般送配電事業者及び関係小売電気事業者等における顧客情報の不適切な取扱事案に対する個人情報の保護に関する法律に基づく行政上の対応について
議事概要
議事録
2024.06.13	第290回 個人情報保護委員会
資料１－１	第二次いわゆる３年ごと見直しへのコメント（ひかり総合法律事務所　板倉弁護士）
資料１－２	デジタル社会の個人情報保護法（新潟大学　鈴木教授）
議事概要
議事録
2024.06.12	第289回 個人情報保護委員会
資料１－１	個人情報保護委員会「いわゆる３年ごと見直し」ヒアリング（国立情報学研究所　佐藤教授）
資料１－２	個人情報保護法３年ごと見直し令和６年に対する意見（産業技術総合研究所　高木主任研究員）
議事概要
議事録
2024.06.03	第287回 個人情報保護委員会
資料１－１	個人情報保護法見直しに関するコメント（京都大学　曽我部教授）
資料１－２	いわゆる3年ごと見直しに関する意見（慶應義塾大学　山本教授）
資料１－３	３年ごと見直しヒアリング２０２４（英知法律事務所　森弁護士）
資料１－４－1	個人情報保護法のいわゆる３年ごと見直しに関する意見（東京大学　宍戸教授）
資料１－４－2	宍戸常寿氏御提出資料（令和元年５月21日提出）
議事概要
議事録
2024.05.29	第286回 個人情報保護委員会
資料１	個人情報保護法 いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方③）
議事概要
議事録
2024.05.15	第284回 個人情報保護委員会
資料２	個人情報保護法 いわゆる３年ごと見直し規定に基づく検討（データ利活用に向けた取組に対する支援等の在り方）
資料３	個人情報保護法 いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方②）
議事概要
議事録
2024.05.10	第283回 情報保護委員会
資料１－１	個人情報保護法における課徴金制度導入にかかる諸論点（名古屋大学 林教授）
資料１－２	個人情報保護法における法執行の強化について（神戸大学 中川教授）
議事概要
議事録
2024.04.24	第281回 個人情報保護委員会
資料１	個人情報保護法の３年ごと見直しに対する意見
資料２	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方③）
議事概要
議事録
2024.04.10	第280回 個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方② ）
議事概要
議事録
2024.04.03	第279回 個人情報保護委員会
資料１―１	AIと個人情報保護：欧州の状況を中心に（一橋大学 生貝教授）
資料１―２	AI利用と個人情報の関係の考察（NTT社会情報研究所 高橋チーフセキュリティサイエンティスト）
資料１−３	医療情報の利活用の促進と個人情報保護（東京大学 森田名誉教授）
資料１―４	医療・医学系研究における個人情報の保護と利活用（早稲田大学　横野准教授）
議事概要
議事録
2024.03.22	第277回 個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方①）
議事概要
議事録
2024.03.06	第275回 個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方①）
議事概要
議事録
2024.02.21	第273回 個人情報保護委員会
資料４	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討項目
【委員長預かりで会議後に修正した資料】資料４	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討項目
議事概要
議事録
2024.02.14	第272回 個人情報保護委員会
資料２－１	地方公共団体における個人情報保護法運用状況のヒアリング（京都府総務部政策法務課）
資料２－２	岡山市における個人情報保護法の運用状況（岡山市総務局行政事務管理課）
資料２－３	個人情報保護法運用状況について（都城市総務部総務課）
資料２－４	個人情報保護法運用状況について（上里町総務課）
議事概要
議事録
2024.02.07	第271回 個人情報保護委員会
資料１	インターネット広告における個人に関する情報の取扱いについての取組状況（日本インタラクティブ広告協会）
議事概要
議事録
2024.01.31	第270回 個人情報保護委員会
資料２	個人情報保護法の3 年ごと見直しに対する意見（日本経済団体連合会）
議事概要
議事録
2024.01.23	第268回 個人情報保護委員会
資料１―１	(特定)適格消費者団体の活動について（消費者支援機構関西）
資料１―２	個人情報保護委員会ヒアリング資料（日本商工会議所）
議事概要
議事録
2023.12.21	第266回 個人情報保護委員会
資料１―１	個人情報保護法の３年ごと見直しに関する意見（電子情報技術産業協会）
資料１―２	ヒアリング資料（全国商工会連合会）
議事概要
議事録
2023.12.20	第265回 個人情報保護委員会
資料１―１	ACCJ Comments for the Personal Information Protection Commission Public Hearing（在米国商工会議所）
資料１―２	公開ヒアリングに向けたACCJ意見（在米国商工会議所）
議事概要
議事録
2023.12.15	第264回 個人情報保護委員会
資料１―１	個人情報保護法の見直しについて（新経済連盟）
資料１―２	個人情報保護法見直しに関する意見（日本IT団体連盟）
議事概要
議事録
2023.12.06	第263回 個人情報保護委員会
資料２	個人情報保護法に関する欧州企業の代表的な課題（欧州ビジネス協会）
議事概要
議事録
2023.11.29	第262回 個人情報保護委員会
資料１	ヒアリング資料（一般社団法人日本情報経済社会推進協会）
議事概要
議事録
2023.11.15	第261回 個人情報保護委員会
資料２－１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討
資料２－２	個人情報保護に係る主要課題に関する海外・国内動向調査　概要資料
議事概要
議事録

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.23 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係（第311-312回委員会）

・2024.12.20 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係（第310回委員会、第6-7回検討会）

・2024.11.26 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係（第304回委員会、第3-5回検討会）

・2024.09.06 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係（第299回委員会、第2回検討会）

・2024.08.04 個人情報保護委員会 第１回 個人情報保護法のいわゆる３年ごと見直しに関する検討会

・2024.06.28 個人情報保護委員会 意見募集 いわゆる3年ごと見直しに係る検討の中間整理

・2024.06.04 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中... （２）

・2024.04.25 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中...

・2024.01.06 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング中...

 

英国 NCSC ネットワークの基礎 (2025.02.06)

こんにちは、丸山満彦です。

NCSCネットワークセキュリティの基礎という、ネットワークセキュリティについての入り口となる文書を公表しています...

どういう意図で、どういう位置付けでこの文書をこのタイミングで公表しているのでしょうかね...内容は本当に基本的なことが書いています。そして、技術的詳細については、参考となるリンクをつけています...

 

● U.K. National Cyber Security Centre; NCSC

・2024.02.06 Network security fundamentals

 

目次...

Network security fundamentals	ネットワークセキュリティの基礎
How to design, use, and maintain secure networks.	安全なネットワークを設計、使用、維持する方法。
IN THIS GUIDANCE	本ガイドライン
1. Identifying your Assets	1. 資産の識別
2. Understanding the threat	2. 脅威を理解する
3. Restricting access	3. アクセスを制限する
4. Designing network architecture	4. ネットワーク・アーキテクチャの設計
5. Protecting data in transit	5. 転送中のデータの防御
6. Securing network perimeters	6. ネットワーク境界の保護
7. Updating systems	7. システムの更新
8. Monitoring networks	8. ネットワークの監視

 

内容...

↓↓↓↓↓↓↓↓↓↓

Continue reading "英国 NCSC ネットワークの基礎 (2025.02.06)"

カナダ CCCS 政府のセキュリティに関する方針と「ネットワークプロトコルの安全な設定に関するガイダンス 第3版（ITSP.40.062）」

こんにちは、丸山満彦です。

日本の政府には、政府統一基準等についてNISCが一元的に管理するようになっていますが、カナダ政府も政府のセキュリティの基準を定めています。

 

政府のセキュリティに関する方針

・Policy on Government Security

 

さらにアイデンティティ管理に関する指令があります

・Directive on Identity Management

 

それらの補助文書として、位置付けられる「ネットワークプロトコルの安全な設定に関するガイダンス」の第3版が1月に発行されています...

ということで紹介です...

・2025.01 Guidance on securely configuring network protocols (ITSP.40.062)

PDFもありますが、HTMLのほうが読みやすいですよね...

・[PDF]

 

目次...

Table of contents	目次
Overview	概要
1 Introduction	1 序文
1.1 IT security risk management process	1.1 ITセキュリティリスクマネジメントプロセス
1.2 Recommendations	1.2 推奨
1.2.1 Recommended	1.2.1 推奨
1.2.2 Sufficient	1.2.2 十分
1.2.3 Phase out	1.2.3 段階的廃止
2 Public Key Infrastructure	2 公開鍵基盤
3 Transport Layer Security	3 トランスポート層セキュリティ
3.1 TLS cipher suites	3.1 TLS暗号スイート
3.2 TLS extensions	3.2 TLS拡張
3.3 Client and server authentication	3.3 クライアント認証とサーバ認証
3.4 Other TLS configuration guidelines	3.4 その他のTLS構成ガイドライン
4 Internet Protocol Security	4 インターネットプロトコルセキュリティ
4.1 Internet key exchange protocol version 2	4. 1 インターネット鍵交換プロトコルバージョン2
4.1.1 Authentication	4.1.1 認証
4.1.2 Message encryption	4.1.2 メッセージ暗号化
4.1.3 Key exchange	4.1.3 鍵交換
4.1.4 Pseudo-random functions for key generation	4.1.4 鍵生成のための疑似ランダム関数
4.1.5 Integrity protection	4.1.5 完全性保護
4.1.6 Extensible Authentication Protocol	4.1.6 拡張可能認証プロトコル
4.1.7 Distributed denial-of-service protection	4.1.7 分散型サービス拒否保護
4.1.8 Key and authentication lifetimes	4.1.8 鍵と認証の有効期間
4.1.9 Session resumption	4.1.9 セッション再開
4.2 Internet Protocol Security	4. 2 インターネットプロトコルセキュリティ
4.2.1 Key generation	4.2.1 鍵生成
4.2.2 Data and integrity protection	4.2.2 データと完全性の保護
4.2.3 Replay protection	4.2.3 リプレイ保護
5 Secure Shell	5 セキュアシェル
5.1 SSH authentication	5.1 SSH認証
5.2 SSH port forwarding	5.2 SSHポート転送
5.3 SSH root access	5.3 SSHルートアクセス
5.4 SSH parameter selection	5.4 SSHパラメータ選択
5.4.1 Encryption algorithm selection	5.4.1 暗号化アルゴリズム選択
5.4.2 MAC algorithm selection	5.4.2 MACアルゴリズム選択
5.4.3 Key exchange algorithm	5.4.3 鍵交換アルゴリズム
5.4.4 Public key algorithm	5.4.4 公開鍵アルゴリズム
6 Simple Network Management Protocol	6 簡易ネットワーク管理プロトコル
6.1 SNMPv3 interfaces and access control	6.1 SNMPv3 インターフェースとアクセス制御
6.2 SNMPv3 USM security model	6.2 SNMPv3 USM セキュリティモデル
6.2.1 SNMPv3 USM authentication algorithms	6.2.1 SNMPv3 USM 認証アルゴリズム
6.2.2 SNMPv3 USM privacy algorithms	6.2.2 SNMPv3 USM プライバシーアルゴリズム
6.2.3 USM authentication and privacy secrets	6.2.3 USM 認証とプライバシー秘密
6.3 TSM security model	6.3 TSM セキュリティモデル
6.3.1 SNMPv3 over TLS/DTLS	6.3.1 SNMPv3 over TLS/DTLS
6.3.2 SNMPv3 over SSH	6.3.2 SNMPv3 over SSH
6.4 SNMPv3 over an IPsec tunnel	6.4 SNMPv3 over an IPsec tunnel
6.5 SNMPv3 notifications: Traps and informs	6.5 SNMPv3 通知： Traps and informs
6.6 SNMPv3 discovery process	6.6 SNMPv3 検出プロセス
7 Secure/Multipurpose Internet Mail Extensions	7 セキュア/多目的インターネット メール拡張機能
7.1 Digest algorithms	7.1 ダイジェスト アルゴリズム
7.2 Signature algorithms	7.2 署名アルゴリズム
7.3 Key encryption algorithms	7.3 鍵暗号化アルゴリズム
7.3.1 Key wrap algorithms	7.3.1 鍵ラップ アルゴリズム
7.4 Content encryption algorithms	7.4 コンテンツ暗号化アルゴリズム
8 Commercial technologies assurance programs	8 商用技術保証プログラム
9 Preparing for post quantum cryptography	9 耐量子暗号への準備
10 Summary	10 まとめ
11 Supporting content	11 サポート コンテンツ
11.1 List of abbreviations	11.1 略語一覧
11.2 Glossary	11.2 用語集
11.3 References	11.3 参考文献

 

 

---

 

せっかくなので、カナダ政府のセキュリティの基準を...

 

・2019.07.01 Policy on Government Security

目次...

1. Effective date	1. 発効日
2. Authorities	2. 権限
3. Objectives and expected results	3. 目的および期待される結果
4. Requirements	4. 要件
5. Roles of other government organizations	5. 他の政府機関の役割
6. Application	6. 適用
7. Consequences of non-compliance	7. 不遵守の結果
8. References	8. 参考文献
9. Enquiries	9. 問い合わせ先
Appendix A: Security Controls	附属書A：セキュリティ・コントロール
Appendix B: Definitions	附属書B：定義

 

 

 

 

Continue reading "カナダ CCCS 政府のセキュリティに関する方針と「ネットワークプロトコルの安全な設定に関するガイダンス 第3版（ITSP.40.062）」"

米国 司法省 6,500万ドルの暗号通貨ハッキング・スキームでカナダ人男性を起訴

こんにちは、丸山満彦です。

スマートコントラクトのプロトコルの脆弱性？を悪用し、他人の暗号資産を騙し取った疑いということですかね...

 

起訴されたのは、22歳の方です。きっとその裏には、多くの人が関わっているのだろうと思いますが、なかなか全体を掴んで、起訴、逮捕していくのは難しいのでしょうね...

 

● U.S. Department of Justice - Office of Public Affairs

・2025.02.03 Canadian Man Charged in $65M Cryptocurrency Hacking Schemes

 

Canadian Man Charged in $65M Cryptocurrency Hacking Schemes	6,500万ドルの暗号通貨ハッキング・スキームでカナダ人男性を起訴
A five-count criminal indictment was unsealed today in federal court in New York charging a Canadian man with exploiting vulnerabilities in two decentralized finance protocols to fraudulently obtain about $65 million from the protocols’ investors.	2つの分散型金融プロトコルの脆弱性を悪用し、プロトコルの投資家から約6,500万ドルを詐取したとして、カナダ人男性を起訴する5件の刑事起訴状が本日、ニューヨークの連邦裁判所で公開された。
According to court documents, from 2021 to 2023, Andean Medjedovic, 22, allegedly exploited vulnerabilities in the automated smart contracts used by the KyberSwap and Indexed Finance decentralized finance protocols. Medjedovic borrowed hundreds of millions of dollars in digital tokens, which he used to engage in deceptive trading that he knew would cause the protocols’ smart contracts to falsely calculate key variables. Through his deceptive trades, Medjedovic was able to, and ultimately did, withdraw millions of dollars of investor funds from the protocols at artificial prices, rendering the victims’ investments essentially worthless.	法廷文書によると、2021年から2023年にかけて、アンデアン・メドジェドヴィッチ（22）は、分散型金融プロトコルであるKyberSwapとIndexed Financeで使用されている自動スマートコントラクトの脆弱性を悪用したとされている。メジェドビッチは数億ドルのデジタルトークンを借り、それを使ってプロトコルのスマートコントラクトが重要な変数を誤って計算することを知っていた欺瞞的な取引を行った。メジェドビッチは欺瞞的な取引を通じて、数百万ドルの投資家資金を人工的な価格でプロトコルから引き出すことができ、最終的にはそれを実行し、被害者の投資を実質的に無価値にした。
Medjedovic also allegedly laundered the proceeds of his fraudulent schemes through a series of transactions designed to conceal the source and ownership of the funds, including through swap transactions, “bridging transactions,” and the use of a digital assets “mixer.” With others, Medjedovic also allegedly schemed to open accounts with digital assets exchanges using false and borrowed identifying information to conceal the source and true ownership of the proceeds. In around November 2023, after executing the KyberSwap exploit, Medjedovic also allegedly attempted to extort the victims of the KyberSwap exploit through a sham settlement proposal, in which he demanded complete control of the KyberSwap protocol and the decentralized autonomous organization that oversaw the KyberSwap protocol in exchange for returning 50 percent of the digital assets that he fraudulently obtained through his scheme.	メジェドビッチはまた、スワップ取引、「ブリッジング取引」、デジタル資産「ミキサー」の使用など、資金の出所と所有権を隠すように設計された一連の取引を通じて、詐欺的スキームの収益を洗浄したとされる。メジェドビッチはまた、他の者とともに、資金の出所と真の所有権を隠すために、虚偽の借用識別情報を使ってデジタル資産取引所に口座を開設する計画を立てたとされる。2023年11月頃、KyberSwapエクスプロイトを実行した後、メジェドビッチは偽の和解案を通じてKyberSwapエクスプロイトの被害者を恐喝しようとしたとされ、その中で彼は、自身のスキームを通じて不正に入手したデジタル資産の50％を返還する代わりに、KyberSwapプロトコルとKyberSwapプロトコルを監督する分散型自律組織の完全な支配権を要求した。
Medjedovic is charged with one count of wire fraud, one count of unauthorized damage to a protected computer, one count of attempted Hobbs Act extortion, one count of money laundering conspiracy, and one count of money laundering. If convicted, he faces a maximum penalty of 10 years in prison on the unauthorized damage to a protected computer count and 20 years in prison on each of the other counts. A federal district court judge will determine any sentence after considering the U.S. Sentencing Guidelines and other statutory factors.	メジェドビッチは、電信詐欺1件、保護されたコンピューターへの不正な損害1件、ホッブス法恐喝未遂1件、マネーロンダリング共謀1件、マネーロンダリング1件で起訴されている。有罪判決を受けた場合、保護されたコンピューターへの無許可損傷については最高で禁固10年、その他の罪状についてはそれぞれ禁固20年の刑に処される。連邦地裁判事は、米国量刑ガイドラインおよびその他の法定要素を考慮した上で、判決を決定する。
Supervisory Official Antoinette T. Bacon of the Justice Department’s Criminal Division, U.S. Attorney John J. Durham for the Eastern District of New York, Chief Guy Ficco of IRS Criminal Investigation (IRS-CI), Special Agent in Charge William S. Walker of Homeland Security Investigations (HSI) New York, and Assistant Director in Charge James E. Dennehy of the FBI New York Field Office made the announcement.	司法省刑事局のアントワネット・T・ベーコン監督官、ニューヨーク東部地区ジョン・J・ダラム連邦検事、IRS犯罪捜査部（IRS-CI）のガイ・フィッコ部長、国土安全保障省（HSI）ニューヨーク事務所のウィリアム・S・ウォーカー特別捜査官、FBIニューヨーク支局のジェームズ・E・デネヒー次長補が発表した。
IRS-CI, HSI, and the FBI New York Field Office are investigating the case, with valuable assistance provided by U.S. Customs and Border Protection’s New York Field Office and the Justice Department’s Office of International Affairs. The Justice Department also thanks the Netherlands’ Public Prosecution Service and Cybercrime Unit — the Hague of the Dutch National Police for their significant assistance with the investigation.	IRS-CI、HSI、FBIニューヨーク支局は、米国税関・国境警備局ニューヨーク支局と司法省国際局から貴重な援助を受け、この事件を捜査している。司法省はまた、オランダ検察庁とオランダ国家警察ハーグ・サイバー犯罪捜査班の捜査への多大な協力に感謝する。
Trial Attorney Tian Huang of the Criminal Division’s Fraud Section, who is a member of the National Cryptocurrency Enforcement Team (NCET), and Assistant U.S. Attorneys Nicholas Axelrod and Andrew Reich for the Eastern District of New York are prosecuting the case. SEC Enforcement Attorney Daphna A. Waxman, formerly a member of the NCET, provided significant assistance.	全米暗号通貨執行チーム（NCET）のメンバーである刑事部詐欺課のティアン・ファン裁判弁護士とニューヨーク東部地区のニコラス・アクセルロッド、アンドリュー・ライヒ両米国弁護士補が本件を起訴している。NCETの元メンバーであるSEC執行弁護士のダフナ・A・ワックスマンが多大な支援を提供した。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law.	起訴は単なる申し立てに過ぎない。すべての被告は、法廷において合理的な疑いを超えて有罪が証明されるまでは、無罪と推定される。

 

 

IPA 「情報セキュリティ10大脅威 2025」を公開 (2025.01.30)

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2025」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。

ランサムウェアの脅威はこの5年間トップですね。。。サプライチェーン攻撃もこのところ上位で、この4年間で上昇していますね。。。標的型攻撃による情報漏洩については、5−8年前は連続トップでしたが、このところは2, 3位となっていましたが、今年は5位。

個人については、今年から順序付けせずに、あいうえお順...

ちなみに、組織にとっての情報セキュリティなので、サイバー空間を利用した脅威である、「偽情報等による〜」みたいなものは入っていないのかもしれませんね。。。ただ、個人の脅威にはいっている「偽警告によるインターネット詐欺」は、「偽情報による〜」ということのような気もする。。

 

● IPA

・2025.01.30 情報セキュリティ10大脅威 2025

「個人」向け脅威（五十音順）	2025		「組織」向け脅威	2024
インターネット上のサービスからの個人情報の窃取	＊	1位	ランサム攻撃による被害	1位
インターネット上のサービスへの不正ログイン	＊	2位	サプライチェーンや委託先を狙った攻撃	2位
クレジットカード情報の不正利用	＊	3位	システムの脆弱性を突いた攻撃	5位
スマホ決済の不正利用	＊	4位	内部不正による情報漏えい等	3位
偽警告によるインターネット詐欺	＊	5位	機密情報等を狙った標的型攻撃	4位
ネット上の誹謗・中傷・デマ	＊	6位	リモートワーク等の環境や仕組みを狙った攻撃	9位
フィッシングによる個人情報等の詐取	＊	7位	地政学的リスクに起因するサイバー攻撃	-
不正アプリによるスマートフォン利用者への被害	＊	8位	分散型サービス妨害攻撃（DDoS攻撃）	-
メールやSMS等を使った脅迫・詐欺の手口による金銭要求	＊	9位	ビジネスメール詐欺	8位
ワンクリック請求等の不当請求による金銭被害	＊	10位	不注意による情報漏えい等	6位

 

 

過去から（組織向け）...

 

 

 

個人（五十音順）	2024		組織	2023
インターネット上のサービスからの個人情報の窃取	＊	1位	ランサムウェアによる被害	1位
インターネット上のサービスへの不正ログイン	＊	2位	サプライチェーンの弱点を悪用した攻撃	2位
クレジットカード情報の不正利用	＊	3位	内部不正による情報漏えい等の被害	4位
スマホ決済の不正利用	＊	4位	標的型攻撃による機密情報の窃取	3位
偽警告によるインターネット詐欺	＊	5位	修正前の公開前を狙う攻撃（ゼロデイ攻撃）	6位
ネット上の誹謗・中傷・デマ	＊	6位	不注意による情報漏えい等の被害	9位
フィッシングによる個人情報等の詐取	＊	7位	脆弱性対策情報の公開に伴う悪用増加	8位
不正アプリによるスマートフォン利用者への被害	＊	8位	ビジネスメール詐欺による金銭被害	7位
メールやSMS等を使った脅迫・詐欺の手口による金銭要求	＊	9位	テレワーク等のニューノーマルな働き方を狙った攻撃	5位
ワンクリック請求等の不当請求による金銭被害	＊	10位	犯罪のビジネス化（アンダーグラウンドサービス）	10位

 

2022	個人	2023	組織	2022
1位	フィッシングによる個人情報等の詐取	1位	ランサムウェアによる被害	1位
2位	ネット上の誹謗・中傷・デマ	2位	サプライチェーンの弱点を悪用した攻撃	3位
3位	メールやSMS等を使った脅迫・詐欺の手口による金銭要求	3位	標的型攻撃による機密情報の窃取	2位
4位	クレジットカード情報の不正利用	4位	内部不正による情報漏えい	5位
5位	スマホ決済の不正利用	5位	テレワーク等のニューノーマルな働き方を狙った攻撃	4位
7位	不正アプリによるスマートフォン利用者への被害	6位	修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）	7位
6位	偽警告によるインターネット詐欺	7位	ビジネスメール詐欺による金銭被害	8位
8位	インターネット上のサービスからの個人情報の窃取	8位	脆弱性対策情報の公開に伴う悪用増加	6位
10位	インターネット上のサービスへの不正ログイン	9位	不注意による情報漏えい等の被害	10位
New	ワンクリック請求等の不当請求による金銭被害	10位	犯罪のビジネス化（アンダーグラウンドサービス）	New

 

2021	個人	2022	組織	2021
2位	フィッシングによる個人情報等の詐取	1位	ランサムウェアによる被害	1位
3位	ネット上の誹謗・中傷・デマ	2位	標的型攻撃による機密情報の窃取	2位
4位	メールやSMS等を使った脅迫・詐欺の手口による金銭要求	3位	サプライチェーンの弱点を悪用した攻撃	4位
5位	クレジットカード情報の不正利用	4位	テレワーク等のニューノーマルな働き方を狙った攻撃	3位
1位	スマホ決済の不正利用	5位	内部不正による情報漏えい	6位
8位	偽警告によるインターネット詐欺	6位	脆弱性対策情報の公開に伴う悪用増加	10位
9位	不正アプリによるスマートフォン利用者への被害	7位	修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）	New
7位	インターネット上のサービスからの個人情報の窃取	8位	ビジネスメール詐欺による金銭被害	5位
6位	インターネットバンキングの不正利用	9位	予期せぬIT基盤の障害に伴う業務停止	7位
10位	インターネット上のサービスへの不正ログイン	10位	不注意による情報漏えい等の被害	9位

 

2020	個人	2021	組織	2020
1位	スマホ決済の不正利用	1位	ランサムウェアによる被害	5位
2位	フィッシングによる個人情報等の詐取	2位	標的型攻撃による機密情報の窃取	1位
7位	ネット上の誹謗・中傷・デマ	3位	テレワーク等のニューノーマルな働き方を狙った攻撃	NEW
5位	メールやSMS等を使った脅迫・詐欺の手口による金銭要求	4位	サプライチェーンの弱点を悪用した攻撃	4位
3位	クレジットカード情報の不正利用	5位	ビジネスメール詐欺による金銭被害	3位
4位	インターネットバンキングの不正利用	6位	内部不正による情報漏えい	2位
10位	インターネット上のサービスからの個人情報の窃取	7位	予期せぬIT基盤の障害に伴う業務停止	6位
9位	偽警告によるインターネット詐欺	8位	インターネット上のサービスへの不正ログイン	16位
6位	不正アプリによるスマートフォン利用者への被害	9位	不注意による情報漏えい等の被害	7位
8位	インターネット上のサービスへの不正ログイン	10位	脆弱性対策情報の公開に伴う悪用増加	14位
2019	個人	2020	組織	2019
NEW	スマホ決済の不正利用	1位	標的型攻撃による機密情報の窃取	1位
2位	フィッシングによる個人情報の詐取	2位	内部不正による情報漏えい	5位
1位	クレジットカード情報の不正利用	3位	ビジネスメール詐欺による金銭被害	2位
7位	インターネットバンキングの不正利用	4位	サプライチェーンの弱点を悪用した攻撃	4位
4位	メールやSMS等を使った脅迫・詐欺の手口による金銭要求	5位	ランサムウェアによる被害	3位
3位	不正アプリによるスマートフォン利用者への被害	6位	予期せぬIT基盤の障害に伴う業務停止	16位
5位	ネット上の誹謗・中傷・デマ	7位	不注意による情報漏えい（規則は遵守）	10位
8位	インターネット上のサービスへの不正ログイン	8位	インターネット上のサービスからの個人情報の窃取	7位
6位	偽警告によるインターネット詐欺	9位	IoT機器の不正利用	8位
12位	インターネット上のサービスからの個人情報の窃取	10位	サービス妨害攻撃によるサービスの停止	6位
2018	個人	2019	組織	2018
1位	クレジットカード情報の不正利用	1位	標的型攻撃による被害	1位
1位	フィッシングによる個人情報等の詐取	2位	ビジネスメール詐欺による被害	3位
4位	不正アプリによるスマートフォン利用者への被害	3位	ランサムウェアによる被害	2位
NEW	メール等を使った脅迫・詐欺の手口による金銭要求	4位	サプライチェーンの弱点を悪用した攻撃の高まり	NEW
3位	ネット上の誹謗・中傷・デマ	5位	内部不正による情報漏えい	8位
10位	偽警告によるインターネット詐欺	6位	サービス妨害攻撃によるサービスの停止	9位
1位	インターネットバンキングの不正利用	7位	インターネットサービスからの個人情報の窃取	6位
5位	インターネットサービスへの不正ログイン	8位	IoT機器の脆弱性の顕在化	7位
2位	ランサムウェアによる被害	9位	脆弱性対策情報の公開に伴う悪用増加	4位
9位	IoT 機器の不適切な管理	10位	不注意による情報漏えい	12位
2017	個人	2018	組織	2017
1位	インターネットバンキングやクレジットカード情報等の不正利用	1位	標的型攻撃による被害	1位
2位	ランサムウェアによる被害	2位	ランサムウェアによる被害	2位
7位	ネット上の誹謗・中傷	3位	ビジネスメール詐欺による被害	NEW
3位	スマートフォンやスマートフォンアプリを狙った攻撃	4位	脆弱性対策情報の公開に伴う悪用増加	NEW
4位	ウェブサービスへの不正ログイン	5位	脅威に対応するためのセキュリティ人材の不足	NEW
6位	ウェブサービスからの個人情報の窃取	6位	ウェブサービスからの個人情報の窃取	3位
8位	情報モラル欠如に伴う犯罪の低年齢化	7位	IoT機器の脆弱性の顕在化	8位
5位	ワンクリック請求等の不当請求	8位	内部不正による情報漏えい	5位
10位	IoT機器の不適切な管理	9位	サービス妨害攻撃によるサービスの停止	4位
NEW	偽警告によるインターネット詐欺	10位	犯罪のビジネス化（アンダーグラウンドサービス）	9位
2016	個人	2017	組織	2016
1位	インターネットバンキングやクレジットカード情報の不正利用	1位	標的型攻撃による情報流出	1位
2位	ランサムウェアによる被害	2位	ランサムウェアによる被害	7位
3位	スマートフォンやスマートフォンアプリを狙った攻撃	3位	ウェブサービスからの個人情報の窃取	3位
5位	ウェブサービスへの不正ログイン	4位	サービス妨害攻撃によるサービスの停止	4位
4位	ワンクリック請求等の不当請求	5位	内部不正による情報漏えいとそれに伴う業務停止	2位
7位	ウェブサービスからの個人情報の窃取	6位	ウェブサイトの改ざん	5位
6位	ネット上の誹謗・中傷	7位	ウェブサービスへの不正ログイン	9位
8位	情報モラル欠如に伴う犯罪の低年齢化	8位	IoT機器の脆弱性の顕在化	NEW
10位	インターネット上のサービスを悪用した攻撃	9位	攻撃のビジネス化（アンダーグラウンドサービス）	NEW
NEW	IoT機器の不適切な管理	10位	インターネットバンキングやクレジットカード情報の不正利用	8位

 

個人（カッコ内は総合順位）	2016	組織（カッコ内は総合順位）
インターネットバンキングやクレジットカード情報の不正利用（1位）	1位	標的型攻撃による情報流出（2位）
ランサムウェアを使った詐欺・恐喝（3位）	2位	内部不正による情報漏えいとそれに伴う業務停止（8位）
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ（7位）	3位	ウェブサービスからの個人情報の窃取（4位）
巧妙・悪質化するワンクリック請求（9位）	4位	サービス妨害攻撃によるサービスの停止（－）
ウェブサービスへの不正ログイン（5位）	5位	ウェブサイトの改ざん（6位）
匿名によるネット上の誹謗・中傷（－）	6位	脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加（10位）
ウェブサービスからの個人情報の窃取（4位）	7位	ランサムウェアを使った詐欺・恐喝（3位）
情報モラル不足に伴う犯罪の低年齢化（－）	8位	インターネットバンキングやクレジットカード情報の不正利用（1位）
職業倫理欠如による不適切な情報公開（－）	9位	ウェブサービスへの不正ログイン（5位）
インターネットの広告機能を悪用した攻撃（－）	10位	過失による情報漏えい（－）

 

	2015
1	インターネットバンキングやクレジットカード情報の不正利用	～個人口座だけではなく法人口座もターゲットに～
2	内部不正による情報漏えい	～内部不正が事業に多大な悪影響を及ぼす～
3	標的型攻撃による諜報活動	～標的組織への侵入手口が巧妙化～
4	ウェブサービスへの不正ログイン	～利用者は適切なパスワード管理を～
5	ウェブサービスからの顧客情報の窃取	～脆弱性や設定の不備を突かれ顧客情報が盗まれる～
6	ハッカー集団によるサイバーテロ	～破壊活動や内部情報の暴露を目的としたサイバー攻撃～
7	ウェブサイトの改ざん	～知らぬ間に、ウイルス感染サイトに仕立てられる～
8	インターネット基盤技術を悪用した攻撃	～インターネット事業者は厳重な警戒を～
9	脆弱性公表に伴う攻撃	～求められる迅速な脆弱性対策～
10	悪意のあるスマートフォンアプリ	～アプリのインストールで友人に被害が及ぶことも～
	2014
1	標的型メールを用いた組織へのスパイ・諜報活動 サイバー空間(領域)問題
2	不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃
3	ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃
4	ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃
5	オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃
6	悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃
7	SNS への軽率な情報公開 インターネットモラル
8	紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント
9	ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃
10	サービス妨害 ウイルス・ハッキングによるサイバー攻撃
	2013
1	クライアントソフトの脆弱性を突いた攻撃
2	標的型諜報攻撃
3	スマートデバイスを狙った悪意あるアプリの横行
4	ウイルスを使った遠隔操作
5	金銭窃取を目的としたウイルスの横行
6	予期せぬ業務停止
7	ウェブサイトを狙った攻撃
8	パスワード流出の脅威
9	内部犯行
10	フィッシング詐欺
	2012
1	機密情報が盗まれる！？新しいタイプの攻撃	～情報窃取を目的とする標的型の諜報攻撃（APT）～
2	予測不能の災害発生！引き起こされた業務停止	～自然災害や人為的災害による IT システムの故障、業務データの消失～
3	特定できぬ、共通思想集団による攻撃	～社会変革をめざす共通的な思想を持つ集団による暴露・妨害攻撃～
4	今もどこかで…更新忘れのクライアントソフトを狙った攻撃	～標的型攻撃にも悪用されるクライアントソフトの脆弱性～
5	止まらない！ウェブサイトを狙った攻撃	～狙われ続けるウェブサイトの脆弱性～
6	続々発覚、スマートフォンやタブレットを狙った攻撃	～狙われる小さなパソコン-スマートデバイス～
7	大丈夫!?電子証明書に思わぬ落し穴	～電子証明書の管理不備により、引き起こされた問題～
8	身近に潜む魔の手・・・あなたの職場は大丈夫？	～組織内部・関係者による業務妨害や情報漏えい～
9	危ない！アカウントの使いまわしが被害を拡大！	～アカウント情報の管理不備が原因で発生するなりすまし被害～
10	利用者情報の不適切な取扱いによる信用失墜	～利用者との結びつきが強い情報（利用者情報）の取扱いに関する問題～
	2011
1	「人」が起こしてしまう情報漏えい
2	止まらない！ウェブサイトを経由した攻撃
3	定番ソフトウェアの脆弱性を狙った攻撃
4	狙われだしたスマートフォン
5	複数の攻撃を組み合わせた新しいタイプの攻撃
6	セキュリティ対策丌備がもたらすトラブル
7	携帯電話向けウェブサイトのセキュリティ
8	攻撃に気づけない標的型攻撃
9	クラウド・コンピューティングのセキュリティ
10	ミニブログサービスや SNS の利用者を狙った攻撃
	2010
1	変化を続けるウェブサイト改ざんの手口
2	アップデートしていないクライアントソフト
3	悪質なウイルスやボットの多目的化
4	対策をしていないサーバ製品の脆弱性
5	あわせて事後対応を！情報漏えい事件
6	被害に気づけない標的型攻撃
7	深刻なDDoS攻撃
8	正規のアカウントを悪用される脅威
9	クラウド・コンピューティングのセキュリティ問題
10	インターネットインフラを支えるプロトコルの脆弱性
	2009
	■組織への脅威
1	DNS キャッシュポイズニングの脅威
2	巧妙化する標的型攻撃
3	恒常化する情報漏えい
	■利用者への脅威
1	多様化するウイルスやボットの感染経路
2	脆弱な無線 LAN 暗号方式における脅威
3	減らないスパムメール
4	ユーザ ID とパスワードの使いまわしによる危険性
	■システム管理者・開発者への脅威
1	正規のウェブサイトを経由した攻撃の猛威
2	誘導型攻撃の顕在化
3	組込み製品に潜む脆弱性
	2008
1	高まる「誘導型」攻撃の脅威
2	ウェブサイトを狙った攻撃の広まり
3	恒常化する情報漏えい
4	巧妙化する標的型攻撃
5	信用できなくなった正規サイト
6	検知されにくいボット、潜在化するコンピュータウイルス
7	検索エンジンからマルウェア配信サイトに誘導
8	国内製品の脆弱性が頻発
9	減らないスパムメール
10	組み込み製品の脆弱性の増加
	2007
1	漏えい情報のWinnyによる止まらない流通
2	表面化しづらい標的型（スピア型）攻撃
3	悪質化・潜在化するボット
4	深刻化するゼロデイ攻撃
5	ますます多様化するフィッシング詐欺
6	増え続けるスパムメール
7	減らない情報漏えい
8	狙われ続ける安易なパスワード
9	攻撃が急増するSQLインジェクション
10	不適切な設定のDNSサーバを狙う攻撃の発生
	2006
1	事件化するSQLインジェクション
2	Winnyを通じたウイルス感染による情報漏えいの多発
3	音楽CDに格納された「ルートキットに類似した機能」の事件化
4	悪質化するフィッシング詐欺
5	巧妙化するスパイウェア
6	流行が続くボット
7	ウェブサイトを狙うCSRFの流行
8	情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9	セキュリティ製品の持つ脆弱性
10	ゼロデイ攻撃
	2004
1	ボット(botnet)の脅威
2	変化し続けるコンピュータウイルスの脅威
3	フィッシング詐欺の脅威
4	サーバからの情報漏えいの脅威
5	複数製品にまたがる脅威の増加
6	ウェブサイトの改ざんの脅威

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

• 2024.01.25 IPA 「情報セキュリティ10大脅威 2024」を公開
• 2023.01.26 IPA 「情報セキュリティ10大脅威 2023」を公開
• 2022.01.28 IPA 情報セキュリティ10大脅威 2022 ～昨年と同じ脅威が引き続き上位に、日常的な備えが重要～
• 2021.03.26 IPA 「情報セキュリティ10大脅威 2021」簡易説明資料（組織編、個人編）揃いました。。。
• 2021.02.27 IPA 「情報セキュリティ10大脅威 2021」解説書を発表してますね。。。
• 2021.01.28 IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。
• 2021.01.27 情報セキュリティ10大脅威 2021
• 2020.08.28 2020年版 10大脅威 ～セキュリティ対策は一丸となって、Let's Try!!～
• 2019.08.07 2019年版 10大脅威 局面ごとにセキュリティ対策の最善手
• 2018.04.27 2018年版 10大脅威 引き続き行われるサイバー攻撃、あなたは守りきれますか？
• 2017.05.30 2017年版 10大脅威 職場に迫る脅威！　家庭に迫る脅威！？　急がば回れの心構えでセキュリティ対策を
• 2016.11.29 2016年版 10大脅威 個人と組織で異なる脅威、立場ごとに適切な対応を
• 2015.04.03 2015年版 10大脅威 被害に遭わないために実施すべき対策は？
• 2014.03.31 2014年版 10大脅威 複雑化する情報セキュリティ あなたが直面しているのは？
• 2013.03.12 2013年版 10大脅威 身近に忍び寄る脅威
• 2012.07.10 2012年版 10大脅威 変化・増大する脅威！
• 2011.03.24 2011年版 10大脅威 進化する攻撃．．．その対策で十分ですか？
• 2010.06.30 2010年版 10大脅威 あぶり出される組織の弱点！
• 2009.03.24 情報セキュリティ白書2009 第2部 10大脅威 攻撃手法の『多様化』が進む
• 2008.05.27 情報セキュリティ白書2008 第2部 10大脅威 ますます進む『見えない化』
• 2007.03.09 情報セキュリティ白書2007 - 10大脅威 「脅威の“見えない化”が加速する！」 -
• 2006.03.22 情報セキュリティ白書2006 - 10大脅威「加速する経済事件化」と今後の対策 -
• 2005.03.31 コンピュータ・セキュリティ ～2004年の傾向と今後の対策～

欧州委員会 規則（EU）2024/1689（AI法）が定める人工知能の禁止行為に関する欧州委員会ガイドライン

こんにちは、丸山満彦です。

欧州委員会からAIの禁止行為に関するガイドラインを発表していますね... 

 

● European Commission

・2025.02.04 Commission publishes the Guidelines on prohibited artificial intelligence (AI) practices, as defined by the AI Act.

 

Commission publishes the Guidelines on prohibited artificial intelligence (AI) practices, as defined by the AI Act.	欧州委員会は、AI法が定める人工知能（AI）の禁止行為に関するガイドラインを発表した。
These guidelines provide an overview of AI practices that are deemed unacceptable due to their potential risks to European values and fundamental rights.	本ガイドラインは、欧州の価値観や基本的権利に対する潜在的リスクのために容認できないと判断されるAI行為の概要を提供するものである。
The AI Act, which aims to promote innovation while ensuring high levels of health, safety, and fundamental rights protection, classifies AI systems into different risk categories, including prohibited, high-risk, and those subject to transparency obligations. The guidelines specifically address practices such as harmful manipulation, social scoring, and real-time remote biometric identification, among others.	高水準の健康、安全、基本的権利の保護を確保しながらイノベーションを促進することを目的とするAI法は、AIシステムを禁止、高リスク、透明性義務の対象など、さまざまなリスクカテゴリーに分類している。ガイドラインは特に、有害な操作、ソーシャルスコアリング、リアルタイムの遠隔生体認証などの慣行を取り上げている。
The guidelines are designed to ensure the consistent, effective, and uniform application of the AI Act across the European Union. While they offer valuable insights into the Commission's interpretation of the prohibitions, they are non-binding, with authoritative interpretations reserved for the Court of Justice of the European Union (CJEU). The guidelines provide legal explanations and practical examples to help stakeholders understand and comply with the AI Act's requirements. This initiative underscores the EU's commitment to fostering a safe and ethical AI landscape.	同ガイドラインは、欧州連合（EU）全体におけるAI法の一貫した効果的かつ統一的な適用を確保するためのものである。同ガイドラインは、禁止事項に関する欧州委員会の解釈に関する貴重な洞察を提供するものではあるが、拘束力はなく、権威ある解釈は欧州連合司法裁判所（CJEU）に委ねられている。本ガイドラインは、関係者がAI法の要件を理解し遵守できるよう、法的な説明と実践的な事例を提供している。この取り組みは、安全で倫理的なAIを育成するというEUのコミットメントを強調するものである。
Please note that the Commission has approved the draft guidelines, but not yet formally adopted them.	なお、欧州委員会はガイドラインのドラフトを承認したが、まだ正式には採択していない。
Approval of the content of the draft Communication from the Commission - Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act)	欧州委員会からのコミュニケーション草案の内容の承認 - 規則（EU）2024/1689（AI法）が定める人工知能の禁止行為に関する欧州委員会ガイドライン
Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act)	規則（EU）2024/1689（AI法）が定める人工知能の禁止行為に関する欧州委員会ガイドライン

 

欧州委員会からのコミュニケーション草案の内容の承認 - 規則（EU）2024/1689（AI法）が定める人工知能の禁止行為に関する欧州委員会ガイドライン

・[PDF] Approval of the content of the draft Communication from the Commission - Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act)

COMMUNICATION TO THE COMMISSION	委員会へのコミュニケーション
Approval of the content of the draft Communication from the Commission – Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act)	欧州委員会からのコミュニケーション草案-規則（EU）2024/1689（AI法）が定める禁止された人工知能行為に関する欧州委員会ガイドライン- の内容の承認
Regulation (EU) 2024/1689 of the European Parliament and the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending certain regulations (‘the AI Act’)1 entered into force on 1 August 2024. The AI Act lays down harmonised rules for the placing on the market, putting into service, and use of artificial intelligence (‘AI’) in the Union. Its aim is to promote innovation in and the uptake of AI, while ensuring a high level of protection of health, safety and fundamental rights in the Union, including democracy and the rule of law.	人工知能に関する調和された規則を定め、特定の規則を改正する2024年6月13日の欧州議会および理事会規則（EU）2024/1689（「AI法」）1は、2024年8月1日に発効した。AI法は、欧州連合における人工知能（以下「AI」）の上市、実用化、使用に関する調和された規則を定めたものである。その目的は、民主主義や法の支配を含め、EUにおける健康、安全、基本的権利の高水準の保護を確保しつつ、AIの技術革新と普及を促進することにある。
The AI Act follows a risk-based approach, classifying AI systems into different risk categories, one of which consists of AI practices posing unacceptable risks to fundamental rights and Union values which are prohibited under Article 5 AI Act.	AI法はリスク・ベースのアプローチに従い、AIシステムをさまざまなリスク・カテゴリーに分類しており、そのうちのひとつは、基本的権利や連邦の価値観に許容できないリスクをもたらすAI行為で、AI法第5条で禁止されている。
Pursuant to Article 96(1)(b) AI Act, the Commission is to adopt guidelines on the practical implementation of the practices prohibited under Article 5 AI Act. The Draft Guidelines annexed to this Communication aim to increase legal clarity and to provide insights into the Commission’s interpretation of the prohibitions in Article 5 AI Act with a view to ensuring their consistent, effective and uniform application.	AI法第96条1項（b）に従い、欧州委員会は、AI法第5条で禁止されている慣行の実際の実施に関するガイドラインを採択することになっている。本コミュニケーションに附属するドラフトガイドラインは、法的明確性を高め、AI法第5条の禁止事項の一貫した効果的かつ統一的な適用を確保することを目的とした、欧州委員会の解釈に関する洞察を提供することを目的としている。
Such clarity is essential for providers and deployers of AI systems, since the prohibitions are directly applicable as from 2 February 2025. In view of this imminent entry into application and the time necessary for the translation of the guidelines into all languages, the Commission is called upon to approve the content of draft Communication from the Commission on Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689.	禁止事項は2025年2月2日から直接適用されるため、このような明確性はAIシステムのプロバイダや展開者にとって不可欠である。この適用開始が間近に迫っていること、およびガイドラインの全言語への翻訳に時間が必要であることを考慮し、欧州委員会は、規則（EU）2024/1689により制定された人工知能の禁止行為に関するガイドラインに関する欧州委員会からのコミュニケーション草案の内容を承認するよう求められている。
The Guidelines will be formally adopted by the Commission at a later date, when all language versions are available. It is only from that moment that these Guidelines will be applicable. The text of the draft Guidelines is enclosed as an Annex to this Communication.	同ガイドラインは、後日、すべての言語版が利用可能になった時点で、欧州委員会により正式に採択される。このガイドラインが適用されるのは、その時点からである。ガイドライン草案のテキストは、本コミュニケーションの附属書として同封されている。

 

 

規則（EU）2024/1689（AI法）が定める人工知能の禁止行為に関する欧州委員会ガイドライン

PDF140ページあります...

・[PDF] Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act)

・[DOCX][PDF] 仮訳...

 

目次...

1. Background and objectives	1 背景と目的
2. Overview of prohibited AI practices	2 禁止されているAIの慣行の概要
2.1. Prohibitions listed in Article 5 AI Act	2.1. AI法第5条の禁止事項
2.2. Legal basis of the prohibitions	2.2. 禁止事項の法的根拠
2.3. Material scope: practices related to the ‘placing on the market’, ‘putting into service’ or ‘use’ of an AI system	2.3. 重要な範囲：AI システムの「上市」、「使用開始」または「使用」に関する慣行
2.4. Personal scope: responsible actors	2.4. 個人の範囲：責任ある行為者
2.5. Exclusion from the scope of the AI Act	2.5. AI法の適用除外
2.5.1. National security, defence and military purposes	2.5.1. 国家安全保障、防衛、軍事目的
2.5.2. Judicial and law enforcement cooperation with third countries	2.5.2. 第三国との司法・法執行協力
2.5.3. Research & Development	2.5.3. 研究開発
2.5.4. Personal non-professional activity	2.5.4. 個人的な非専門活動
2.5.5. AI systems released under free and open source licences	2.5.5. フリーおよびオープンソースライセンスでリリースされたAIシステム
2.6. Interplay of the prohibitions with the requirements for high-risk AI systems	2.6. 禁止事項と高リスクAIシステムの要件の相互関係
2.7. Application of the prohibitions to general-purpose AI systems and systems with intended purposes	2.7. 汎用AIシステムおよび目的別システムへの禁止事項の適用
2.8. Interplay between the prohibitions and other Union law	2.8. 禁止事項と他のEU法との相互関係
2.9. Enforcement of Article 5 AI Act	2.9. AI法第5条の施行
2.9.1. Market Surveillance Authorities	2.9.1. 市場監視認可機関
2.9.2. Penalties	2.9.2. 罰則
3. Article 5(1)(a) and (b) AI Act – harmful manipulation, deception and exploitation	3 AI法第5条(1)(a)および(b) - 有害な操作、欺瞞および搾取
3.1. Rationale and objectives	3.1. 根拠と目的
3.2. Main components of the prohibition in Article 5(1)(a) AI Act – harmful manipulation	3.2. AI法第5条(1)（a）における禁止事項の主な構成要素 - 有害な操作
3.2.1. Subliminal, purposefully manipulative or deceptive techniques	3.2.1. サブリミナル的、意図的に操作的または欺瞞的な手法
3.2.2. With the objective or the effect of materially distorting the behaviour of a person or a group of persons	3.2.2. 個人または集団の行動を実質的に歪める目的または効果を持つ。
3.2.3. (Reasonably likely to) cause significant harm	3.2.3. (合理的に)重大な損害をもたらす（可能性がある）
3.3. Main components of the prohibition in Article 5(1)(b) AI Act – harmful exploitation of vulnerabilities	3.3. AI法第5条(1)bの禁止事項の主な構成要素-脆弱性の有害な利用
3.3.1. Exploitation of vulnerabilities due to age, disability, or a specific socio-economic situation	3.3.1. 年齢、障害、特定の社会経済的状況による脆弱性を利用する。
3.3.2. With the objective or the effect of materially distorting behaviour	3.3.2. 行動を実質的に歪める目的または効果を持つ。
3.3.3. (Reasonably likely to) cause significant harm	3.3.3. (合理的に)重大な損害をもたらす（可能性がある）
3.4. Interplay between the prohibitions in Article 5(1)(a) and (b) AI Act	3.4. AI法第5条(1)(a)と(b)の禁止事項の相互関係
3.5. Out of scope	3.5. 範囲外
3.5.1. Lawful persuasion	3.5.1. 合法的な説得
3.5.2. Manipulative, deceptive and exploitative AI systems that are not likely to cause significant harm	3.5.2. 操作的、欺瞞的、搾取的なAIシステムで、重大な危害を引き起こす可能性のないもの
3.6. Interplay with other Union law	3.6. 他の連邦法との関係
4. Article 5(1)(c) AI Act - social scoring	4 AI法第5条(1)(c) - ソーシャル・スコアリング
4.1. Rationale and objectives	4.1. 根拠と目的
4.2. Main concepts and components of the ‘social scoring’ prohibition	4.2. ソーシャル・スコアリング」禁止の主な概念と構成要素
4.2.1. ‘Social scoring’: evaluation or classification based on social behaviour or personal or personality characteristics over a certain period of time	4.2.1. 「社会的スコアリング」：一定期間における社会的行動や個人的・性格的特徴に基づく評価や分類。
4.2.2. The social score must lead to detrimental or unfavourable treatment in unrelated social contexts and/or unjustified or disproportionate treatment to the gravity of the social behaviour	4.2.2. 社会的得点は、無関係な社会的文脈における不利益もしくは不利な扱い、および／または社会的行 動の重大性に不当もしくは不釣り合いな扱いをもたらすものでなければならない。
4.2.3. Regardless of whether provided or used by public or private persons	4.2.3. 公私の別を問わず、プロバイダが提供または使用する。
4.3. Out of scope	4.3. 範囲外
4.4. Interplay with other Union legal acts	4.4. 他の連邦法との関係
5. Article 5(1)(d) AI Act – individual risk assessment and prediction OF CRIMINAL OFFENCES	5 AI法第5条(1)(d) -個々のリスクアセスメントと犯罪の予測
5.1. Rationale and objectives	5.1. 根拠と目的
5.2. Main concepts and components of the prohibition	5.2. 禁止事項の主な概念と構成要素
5.2.1. Assessing the risk or predicting the likelihood of a person committing a crime	5.2.1. 人が犯罪を犯すリスクをアセスメントし、その可能性を予測する。
5.2.2. Solely based on profiling of a natural person or on assessing their personality traits and characteristics	5.2.2. 自然人のプロファイリング、または性格特性や特徴のアセスメントにのみ基づく。
5.2.3. Exclusion of AI systems to support the human assessment based on objective and verifiable facts directly linked to a criminal activity	5.2.3. 犯罪行為に直結する客観的かつ検証可能な事実に基づく人間のアセスメントを支援するためのAIシステムの除外
5.2.4. Extent to which private actors’ activities may fall within scope	5.2.4. 民間主体の活動が適用範囲に入る可能性のある範囲
5.3. Out of scope	5.3. 範囲外
5.3.1. Location-based or geospatial predictive or place-based crime predictions	5.3.1. 位置情報ベース、地理空間情報ベース、場所ベースの犯罪予測
5.3.2. AI systems that support human assessments based on objective and verifiable facts linked to a criminal activity	5.3.2. 犯罪行為に関連する客観的かつ検証可能な事実に基づく人間のアセスメントを支援するAIシステム
5.3.3. AI systems used for crime predictions and assessments in relation to legal entities	5.3.3. 事業体に関する犯罪予測やアセスメントに使用されるAIシステム
5.3.4. AI systems used for individual predictions of administrative offences	5.3.4. 行政犯罪の個別予測に使用されるAIシステム
5.4. Interplay with other Union legal acts	5.4. 他の連邦法との関係
6. Article 5(1)(e) AI Act - untargeted scraping of facial images	6 AI法第5条(1)(e) - 顔画像の非標的スクレイピング
6.1. Rationale and objectives	6.1. 根拠と目的
6.2. Main concepts and components of the prohibition	6.2. 禁止事項の主な概念と構成要素
6.2.1. Facial recognition databases	6.2.1. 顔認識データベース
6.2.2. Through untargeted scraping of facial images	6.2.2. 顔画像の非ターゲット・スクレイピングを通じて
6.2.3. From the Internet and CCTV footage	6.2.3. インターネットとCCTV映像から
6.3. Out of scope	6.3. 範囲外
6.4. Interplay with other Union legal acts	6.4. 他の連邦法との関係
7. Article 5(1)(f) AI Act emotion recognition	7 AI法第5条(1)(f) - 行為感情認識
7.1. Rationale and objectives	7.1. 根拠と目的
7.2. Main concepts and components of the prohibition	7.2. 禁止事項の主な概念と構成要素
7.2.1. AI systems to infer emotions	7.2.1. 感情を推測するAIシステム
7.2.2. Limitation of the prohibition to workplace and educational institutions	7.2.2. 職場および教育機構への禁止事項の限定
7.2.3. Exceptions for medical and safety reasons	7.2.3. 医療上および安全上の理由による例外
7.3. More favourable Member State law	7.3. より有利な加盟国法
7.4. Out of scope	7.4. 範囲外
8. Article 5(1)(g) AI Act: Biometric categorisation for certain ‘sensitive’ characteristics	8 AI法第5条(1)(g) - 特定の「機微な」特徴に関するバイオメトリクス分類
8.1. Rationale and objectives	8.1. 根拠と目的
8.2. Main concepts and components of the prohibition	8.2. 禁止事項の主な概念と構成要素
8.2.1. Biometric categorisation system	8.2.1. バイオメトリクス分類システム
8.2.2. Persons are individually categorised based on their biometric data	8.2.2. 個人は生体データに基づいて個別に分類される。
8.2.3. To deduce or infer their race, political opinions, trade union membership, religious or philosophical beliefs, sex life or sexual orientation	8.2.3. 人種、政治的意見、労働組合への加入、宗教的または哲学的信条、性生活、性的指向を推測または推論すること。
8.3. Out of scope	8.3. 範囲外
8.4. Interplay with other Union law	8.4. 他の連邦法との関係
9. Article 5(1)(h) AI Act - Real-time Remote Biometric Identification (RBI) Systems for Law Enforcement Purposes	9 AI法第5条(1)(h) - 法執行目的のリアルタイム遠隔バイオメトリクス識別（RBI）システム
9.1. Rationale and objectives	9.1. 根拠と目的
9.2. Main concepts and components of the prohibition	9.2. 禁止事項の主な概念と構成要素
9.2.1. The Notion of Remote Biometric Identification	9.2.1. 遠隔生体認証の概念
9.2.2. Real-time	9.2.2. リアルタイム
9.2.3. In publicly accessible spaces .	9.2.3. 公共のアクセス可能なスペースでは.
9.2.4. For law enforcement purposes	9.2.4. 法執行目的の場合
9.3. Exceptions to the prohibition	9.3. 禁止事項の例外
9.3.1. Rationale and objectives	9.3.1. 根拠と目的
9.3.2. Targeted search for the victims of three serious crimes and missing persons.	9.3.2. 重大犯罪の被害者と行方不明者を対象に捜索を行う。
9.3.3. Prevention of imminent threats to life or terrorist attacks	9.3.3. 生命に対する差し迫った脅威やテロ攻撃の防止
9.3.4. Localisation and identification of suspects of certain crimes	9.3.4. 特定の犯罪の容疑者の位置特定と識別
10. Safeguards and Conditions for the exceptions (Article 5(2)-(7) AI Act)	10 AI法第5条(2) (7) - 例外に関する保護措置と条件
10.1. Targeted individual and safeguards (Article 5(2) AI Act)	10.1 対象となる個人とセーフガード（AI法5条2項
10.1.1. Fundamental Rights Impact Assessment	10.1.1. 基本的人権の影響アセスメント
10.1.2. Registration of the authorized RBI systems	10.1.2. 認可RBIシステムの登録
10.2. Need for prior authorisation	10.2 事前承認の必要性
10.2.1. Objective	10.2.1. 目的
10.2.2. The main principle: Prior authorisation by a judicial authority or an independent administrative authority	10.2.2. 大原則司法当局または独立行政当局による事前認可
10.3. Notification to the authorities of each use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for law enforcement	10.3. 法執行のために公共のアクセス可能な空間で「リアルタイム」遠隔バイオメトリクス識別システ ムを使用する場合は、その都度認可に通知する。
10.4. Need for national laws within the limits of the AI Act exceptions	10.4. AI法の例外の範囲内での国内法の必要性
10.4.1. Principle: national law required to provide the legal basis for the authorisation for all or some of the exceptions	10.4.1. 原則：例外のすべてまたは一部について、認可の法的根拠となる国内法が必要である。
10.4.2. National law shall respect the limits and conditions of Article 5(1)(h) AI Act	10.4.2. 国内法は、AI法第5条(1)(h)の制限と条件を尊重するものとする。
10.4.3. Detailed national law on the authorisation request, the issuance and the exercise	10.4.3. 認可申請、発行、行使に関する国内法の詳細
10.4.4. Detailed national law on the supervision and the reporting relating to the authorisation	10.4.4. 認可に関する監督と報告に関する詳細な国内法
10.5. Annual reports by the national market surveillance authorities and the national data protection authorities of Member States	10.5. 加盟国の市場監視当局およびデータ保護当局による年次報告書
10.6. Annual reports by the Commission	10.6. 委員会による年次報告
10.7. Out-of-Scope	10.7. 対象外
10.8. Examples of uses	10.8. 使用例
11. Entry into application	11 適用
12. Review and update of the Commission guidelines	12 委員会ガイドラインの見直しと更新

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.06 欧州委員会 AI法における汎用AIモデル - Q&A (2024.11.20)

・2024.12.04 欧州評議会 AIシステムの人権への影響を評価する新しいツールを発表 (2024.12.02)

・2024.10.30 欧州 AI法の調和標準の策定について...

・2024.10.18 オランダ AI利用ガイド (2024.10.16)

・2024.08.05 欧州AI法が施行された... (2024.08.01)

・2024.07.20 EU EDPB GDPRとEU-AI法関連

・2024.07.19 ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

 

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

 

・2024.05.22 EU 欧州理事会がAI法を承認...まもなく発効されますね...

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

 

 

内閣官房 サイバー対処能力強化法案及び同整備法案 (2025.02.07)

こんにちは、丸山満彦です。

サイバー対処能力強化法案及び同整備法案が閣議決定されましたね...

それぞれの法案の正式な名称は、

• 重要電子計算機に対する不正な行為による被害の防止に関する法律案（サイバー対処能力強化法案）
  
  
• 重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案（サイバー対処能力強化法整備法案）

です。

法案の全体イメージ...

 

法案の全体像...

 

新法①【官⺠連携の強化】

 

新法②【通信情報の利⽤】

 

新法③【分析情報・脆弱性情報の提供等】(新法第８章関係）

 

整備法①【アクセス・無害化】

 

整備法②【組織・体制整備等】

 

その他（組織体制整備等）

 

 

役割、命令系統...

 

 

● 内閣官房 - サイバー安全保障に関する取組（能動的サイバー防御の実現に向けた検討など）

・法案の概要と説明資料

・・[PDF] 概要資料

 

・・[PDF] 説明資料

 

・重要電子計算機に対する不正な行為による被害の防止に関する法律案（サイバー対処能力強化法案）

・・[PDF] 要綱

・・[PDF] 法律案・理由

・・[PDF] 参照条文

 

・重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案（サイバー対処能力強化法整備法案）

・・[PDF] 要綱

・・[PDF] 法律案・理由

 

・・[PDF] 新旧対照表

・・[PDF] 参照条文

 

 

内閣府 ＡＩ戦略会議 ＡＩ制度研究会 中間とりまとめ（案）(2025.02.04)

こんにちは、丸山満彦です。

2025.02.04 にＡＩ戦略会議（第13回）・ＡＩ制度研究会（第７回）※合同開催され、中間とりまとめ（案）が議論されたのですかね...

「中間取りまとめ（案）」にPwCやKPMGの調査をもとに作成したグラフがあるのですが、これが興味深い...

 

「AIのリスクや安全性に関する意識調査（国際比較）」

 

日本人はAIの規制にネガティブじゃない、というよりむしろ必要とかんがえているじゃないですか！！！

少数の声が大きな人（企業）を全体として捉えるとよくないかもですね...

既存の法律でカバーされている領域がある中で屋上屋を架すような法律を作る必要はないですけど...

AIを社内でも適切なルールとかを用いて利用させようとしない...

いけてない...

 

生成AIに関する意識調査（日本）

AI法による規制も内容によっては必要と考えているじゃないですか...

ただし...

 

● 内閣府 - AI戦略 - ＡＩ戦略会議

・2025.02.04 ＡＩ戦略会議（第13回）・ＡＩ制度研究会（第７回）※合同開催

・・[PDF] 資料1「中間とりまとめ（案）」に対する意⾒募集結果

 

・・[PDF] 資料2ＡＩ戦略会議　ＡＩ制度研究会　中間とりまとめ（案）

目次...

概要

I. はじめに

II. 制度の基本的な考え⽅
１. 近年の AI の発展
２. 関係主体
（１） 主な主体
（２） 国外事業者
３. イノベーション促進とリスクへの対応の両⽴
（１） イノベーションの促進
① 研究開発への⽀援
② 事業者による利⽤
（２） 法令の適⽤とソフトローの活⽤
（３） リスクへの対応
４. 国際協調の推進
（１） AI ガバナンスの形成
（２） 国際整合性・相互運⽤性の確保

III. 具体的な制度・施策の⽅向性
１. 全般的な事項
（１） 政府の司令塔機能の強化、戦略の策定
（２） 安全性の向上等
① AI ライフサイクル全体を通じた透明性と適正性の確保
② 国内外の組織が実践する安全性評価と認証に関する戦略的な促進
③ 重⼤インシデント等に関する政府による調査と情報発信
２. 政府による利⽤等
（１） 政府調達
（２） 政府等による利⽤
３. ⽣命・⾝体の安全、システミック・リスク、国の安全保障等に関わるもの

IV. おわりに

・・[PDF] 参考資料1ＡＩ戦略会議 構成員名簿

・・[PDF] 参考資料2ＡＩ制度研究会 構成員名簿

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.04.20 総務省 経済産業省 AI事業者ガイドライン（第1.0版）

 

・2024.03.18 総務省・経済産業省のAI事業者ガイドライン第1.0版はほぼきまりましたかね...

・2024.01.22 総務省 経済産業省 意見募集 「AI事業者ガイドライン案」

・2023.12.23 総務省 経済産業省 AI事業者ガイドライン案

・2023.12.22 自由民主党 AI の安全性確保と活用促進に関する緊急提言 (2023.12.14)

・2023.12.21 経済産業省 AI事業者ガイドライン検討会

・2022.01.29 経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

・2021.07.11 経済産業省 意見募集 AI原則実践のためのガバナンス・ガイドライン Ver1.0

 

---

 

・2025.02.08 欧州委員会 規則（EU）2024/1689（AI法）が定める人工知能の禁止行為に関する欧州委員会ガイドライン

・2024.12.06 欧州委員会 AI法における汎用AIモデル - Q&A (2024.11.20)

・2024.12.04 欧州評議会 AIシステムの人権への影響を評価する新しいツールを発表 (2024.12.02)

・2024.10.30 欧州 AI法の調和標準の策定について...

・2024.10.18 オランダ AI利用ガイド (2024.10.16)

・2024.08.05 欧州AI法が施行された... (2024.08.01)

・2024.07.20 EU EDPB GDPRとEU-AI法関連

・2024.07.19 ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

 

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

 

 

米国 航空ISAC CISO調査報告書 2025

こんにちは、丸山満彦です。

Aviation-ISAC（航空ISAC）がCISO調査報告書2025を公表していますね...

 

航空ISACは、航空会社、空港、OEM/関連サービス会社から構成されているようですが、毎年発行していたんですね...

ISACは、1997年のクリントン政権の大統領決定指令63（Presidential Decision Directive 63: PDD63）に基づき重要インフラ業界毎に組成された組織で、現在米国では、25あります...

 

● Aviation ISAC

・2025 Ciso Survey Results

・[PDF] 

・[DOCX][PDF] 仮訳

 

過去分...

2024

[PDF]

 

2023

[PDF]

 

2022

[PDF]

 

2021

[PDF]

 

 

---

 

米国のISACとISAOについてまとめています...

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.08 米国のISACとISAO （根拠指令、取りまとめ団体、ISAO標準文書など）

 

 

オランダ データ保護庁 AIリテラシーを持って始めよう (2025.01.30)

こんにちは、丸山満彦です。

オランダのデータ保護庁がAIリテラシーを持ってAIを利用しようと呼びかけていますね...

意識啓発から始めて、次に学び、そして具体的な対応を各人が考えてできるようになるというのがよいのでしょうね...

オランダのデータ保護庁には、アルゴリズムを監視するDepartment for the Coordination of Algorithmic Oversight (DCA)（アルゴリズ調整監督部）というのがあるのですね...

 

● 2025.01.30 Aan de slag met AI-geletterdheid

Aan de slag met AI-geletterdheid	AIリテラシーを始めよう
De samenleving wordt steeds meer geconfronteerd met de invloed van algoritmes en AI. AI-geletterdheid is essentieel voor het versterken van maatschappelijke weerbaarheid in de omgang met algoritmes en AI.	社会はますますアルゴリズムやAIの影響に直面している。AIリテラシーは、アルゴリズムやAIに対応する社会のレジリエンスを強化するために不可欠である。
Ontwikkelaars van AI-systemen en organisaties die gebruikmaken van AI-systemen moeten vanaf 2 februari 2025 zorgen dat hun werknemers 'AI-geletterd' zijn. Dat betekent dat mensen die binnen of namens de organisatie AI-systemen gebruiken, voldoende kennis, vaardigheden en begrip moeten hebben om AI op een verantwoorde manier in te zetten. Zowel op technisch als op praktisch, sociaal en ethisch gebied. Dat staat in de AI-verordening.	AIシステムの開発者とAIシステムを使用する組織は、2025年2月2日から従業員に「AIリテラシー」を確保しなければならない。これは、組織内または組織のためにAIシステムを使用する人々が、責任を持ってAIを使用するために十分な知識、スキル、理解を持たなければならないことを意味する。技術的、実務的、社会的、倫理的にである。AI規制は次のように述べている。
Als coördinerend AI- en algoritmetoezichthouder helpt de Autoriteit Persoonsgegevens (AP) organisaties met dit document op weg.	AIとアルゴリズムを調整する規制当局として、個人データ庁（AP）は組織がこの文書でスタートするのを支援する。

 

・[PDF] 

・[DOCX][PDF] 仮訳

 

 

アルゴリズム調整監督部....

2023年に設置されていますね...

・Coordination of algorithmic and AI supervision

報告書を6ヶ月毎に発行していますね...

 

 

第3部 

・2024.07.18 AI Risk Report Summer 2024: turbulent rise of AI calls for vigilance by everyone

・2024.07.18 AI & Algorithmic Risks Report Netherlands - Summer 2024

・[PDF]

Key Messages...

Key messages	主なメッセージ
1.TheAIriskprofilecontinuesto callforvigilancefromeveryone –fromMinisterstocitizens andfromCEOstoconsumers– because(i)itisdifficulttoassess whetherAIapplicationsare sufficientlycontrolledand(ii) AIincidentscanoccurmore andmorefrequently,especially asAIisincreasinglybecoming intertwinedintosociety.	1.AIのリスクプロファイルは引き続き、閣僚から市民、CEOから消費者まで、あらゆる人々に対して警戒を呼びかけている。その理由は、(i)AIアプリケーションが十分に制御されているかどうかを評価することが困難であること、(ii)AIが社会にますます浸透するにつれ、AIによる事故がますます頻繁に発生する可能性があること、である。
2.ManynewAIsystemsandrisks (orpossiblerisks)standout. Fromexperimentationbybigtech companiestothewidespreaduse ofAIinsituationswherepeople arevulnerable.	2.多くの新しいAIシステムとリスク（または潜在的なリスク）が顕著になっている。大手テクノロジー企業による実験から、人々が脆弱な状況にある場面でのAIの広範な使用まで。
3.Informationprovisionisessential forthefunctioningofdemocracy, butisunderpressurefromthe deploymentofAIsystems.This appliestobothmoderationand distributionofcontentand,more recently,tocontentcreationwith generativeAI.	3. 民主主義の機能には情報提供が不可欠であるが、AIシステムの展開により圧力がかかっている。これは、コンテンツの規制と配信の両方に当てはまり、最近では生成型AIによるコンテンツ作成にも当てはまる。
4.Conditionsforadequate democraticcontrolofAIsystems arecurrentlyinsufficientlymet.	4. AIシステムに対する適切な民主的統制の条件は、現状では十分に満たされていない。
5.Randomsamplingisavaluable tooltoreducerisksinprofiling andselectingAIsystems.	5.AIシステムのプロファイリングと選定におけるリスクを低減する上で、ランダムサンプリングは有効な手段である。
6.TheentryintoforceoftheAI Act(earlyAugust2024)isa milestone,withconcernsabout (i)thelongtransitionperiod(up to2030)forexistinghigh-riskAI systemswithinthegovernment and(ii)whetherrobustand workableproductstandardswill beinplaceinatimelymanner.	6.AI法の発効（2024年8月初旬）はマイルストーンであるが、(i)政府内の既存の高リスクAIシステムに対する移行期間が長期にわたること（2030年まで）、(ii)堅牢で実用的な製品基準が適時に策定されるか、という懸念がある。
7.Withregardtothefurther elaborationofthecoalition agreement,theAPadvises tocontinuetogivepriority toalgorithmregistrationby governmentorganisationsand todiscussregistrationbysemi- publicorganisations.	7.連合合意のさらなる詳細化に関して、データ保護庁は、政府機関によるアルゴリズム登録を優先し続け、準公共機関による登録については協議を続けるよう助言する。
8.TheAPiscommittedto increasingthecontrolof AIsystems,inwhich(i)a proliferationofframeworks shouldbeavoidedand(ii)a recalibrationofthenational AIstrategycancontribute tothefurtherecosystemfor developmentandcontrolofAI systems.	8.データ保護庁は、AIシステムの管理強化に尽力しており、(i) フレームワークの拡散を回避し、(ii) 国家AI戦略の再調整がAIシステムの開発と管理のためのさらなるエコシステム構築に貢献できると考えている。

 

 

第2部 

・2023.12.18 AI and algorithm risks on the rise amidst increased use: master plan necessary to prepare the Netherlands for a future with AI

 

第1部 （リンク切れ...）

・2023.07 First Algorithmic Risks Report Netherlands calls for additional action to control algorithmic and AI risks

 

 

 

 

内閣府 重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準 (2025.01.31)

こんにちは、丸山満彦です。

経済安全保障推進法が策定されてから、いろいろと話題になっているものの一つである、セキュリティクリアランスの件、概ね内容が固まったようですね...

まずは、2024.12.24 にパブリックコメントにかけられていた、基準案が確定しましたね...

法の施行の日（令和７年５月16日）から施行することになるようです...

 

● 内閣府 - 重要経済安保情報の保護及び活用に関する法律（重要経済安保情報保護活用法）

概要・条文・施行令

• [PDF] 重要経済安保情報保護活用法の概要
  
  
• [e-Gov] 重要経済安保情報保護活用法の条文
  
  
• [PDF] 重要経済安保情報の保護及び活用に関する法律施行令の条文

 

運用基準

• [PDF] 重要経済安保情報保護活用法の運用基準 概要

 

• 2025.01.31 [PDF] 重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準の策定について

 

目次...

---

第１章 基本的な考え方
１ 策定の趣旨
２ 法の運用に当たって留意すべき事項
(1) 拡張解釈の禁止並びに基本的人権及び報道・取材の自由の尊重
(2) 公文書管理法及び情報公開法の適正な運用
３ 重要経済安保情報を取り扱う者等の責務

第２章 重要経済安保情報の指定
第１節 指定の要件
１ 重要経済基盤保護情報該当性
(1) 重要経済基盤
(2) 重要経済基盤保護情報該当性
２ 非公知性
３ 秘匿の必要性
第２節 指定に当たって遵守すべき事項
１ 遵守すべき事項
２ 留意事項
第３節 指定の手続
１ 重要経済安保情報管理者の指名
２ 対象情報の認知
３ 要件該当性の判断及び有効期間の設定
４ 重要経済安保情報指定書の作成
５ 指定管理簿の作成及び記載又は記録
６ 重要経済安保情報の表示又は通知及び指定の周知
７ 指定の通知を書面の交付に代えて電磁的記録の電子情報処理組織を使用する方法による提供で行う場合の必要な措置の実施
第４節 その他
１ 指定した重要経済安保情報を適切に保護するための規程
２ 指定に関する関係行政機関の協力

第３章 重要経済安保情報の指定の有効期間の満了、延長、解除等
第１節 指定の有効期間の満了及び延長
１ 指定の有効期間が満了する場合の措置
(1) 指定の理由の点検
(2) 指定の一部延長
２ 指定の有効期間が満了した場合の措置
(1) 有効期間の満了の周知等
(2) 重要経済安保情報表示の抹消
(3) 指定有効期間満了表示
３ 指定の有効期間を延長した場合の措置
４ 指定の有効期間を通じて30年を超えて延長する場合の措置
第２節 指定の解除
１ 指定を解除する場合の措置
(1) 指定の理由の点検等
(2) 指定の一部解除
(3) 一定の条件が生じた場合の解除等
２ 指定を解除した場合の措置
(1) 解除の周知等
(2) 重要経済安保情報表示の抹消
(3) 指定解除表示
第３節 指定が解除され、又は指定の有効期間が満了した情報を記録する行政文書の保存期間が満了したものの取扱い
１ 指定の有効期間が通じて30年を超える重要経済安保情報
２ 指定の有効期間を延長することについて内閣の承認が得られなかった重要経済安保情報
３ その他の重要経済安保情報

第４章 適性評価
第１節 適性評価の実施に当たっての基本的な考え方
１ 基本的人権の尊重等
２ プライバシーの保護
３ 調査事項以外の調査の禁止
４ 適性評価の結果の目的外利用の禁止
第２節 適性評価の流れ
１ 責任者及び担当者の指名等
(1) 適性評価実施責任者の指名
(2) 適性評価実施担当者の指名
(3) 適性評価調査実施責任者の指名
(4) 適性評価調査実施担当者の指名
(5) 関与の制限
２ 評価対象者の選定
(1) 名簿の作成及び提出
(2) 行政機関の長の承認
(3) 留意事項
３ 適性評価の実施についての告知及び同意等
(1) 評価対象者に対する告知（法第 12 条第３項の告知）
(2) 評価対象者による同意等
(3) 留意事項
４ 内閣総理大臣に対する適性評価調査の請求等
５ 適性評価調査の実施
(1) 評価対象者による質問票の記載と提出
(2) 上司等に対する調査等
(3) 関係者に対する質問等
(4) 人事管理情報等による確認
(5) 評価対象者に対する面接等
(6) 公務所又は公私の団体に対する照会
(7) 内閣総理大臣による適性評価調査の結果の通知
(8) 留意事項
６ 評価
(1) 評価の基本的な考え方
(2) 評価の視点等
(3) 評価の際に考慮する要素
７ 適性評価の結果等の通知
(1) 評価対象者への結果及び理由の通知
(2) 重要経済安保情報管理者等への結果の通知
(3) 内閣総理大臣への結果の通知
(4) 適性評価の進捗状況の問合せ
(5) 留意事項
第３節 適性評価実施後の措置
１ 行政機関の職員の場合
(1) 上司等による報告
(2) 報告等に対する措置
２ 適合事業者の従業者の場合
(1) 契約の締結
(2) 報告等に対する措置
第４節 適性評価に関する個人情報等の管理
１ 行政機関における個人情報等の管理
(1) 個人情報等の管理
(2) 文書等の管理
２ 適合事業者等における個人情報等の管理
３ 適性評価に関する個人情報の利用及び提供の制限
第５節 苦情の申出とその処理
１ 責任者及び担当者の指名等
２ 苦情の申出
３ 苦情の処理
(1) 調査の実施
(2) 調査の結果及び処理の方針の承認
４ 苦情の処理の結果の通知
５ 苦情の処理の結果を踏まえた対応の実施
６ 苦情の申出をしたことを理由とする不利益取扱いの禁止
第６節 相談窓口の設置
第７節 警察本部長による適性評価

第５章 適合事業者に対する重要経済安保情報の提供等
第１節 適合事業者に重要経済安保情報を提供する場合の流れ
１ 事業者の選定
(1) 事業者への提供の必要性の判断
(2) 事業者への事前の情報提供
(3) 他の行政機関から提供を受けた重要経済安保情報を提供する場合
２ 適合事業者の認定
(1) 認定申請書の提出
(2) 適合事業者の認定
(3) 認定審査のための基本的な考え方・考慮要素
３ 結果の通知
４ 契約の締結
５ 適性評価の実施
第２節 適合事業者に対して重要経済安保情報を保有させる場合の流れ
１ 事業者の選定
(1) 調査又は研究その他の活動の必要性の判断
(2) 事業者への事前の情報提供
(3) 同意の取得
(4) 留意事項
２ 適合事業者の認定等
(1) 適合事業者の認定
(2) 重要経済安保情報の指定
３ 契約の締結
４ 適性評価の実施
５ 調査研究等の実施
第３節 適合事業者と認定した後の措置
１ 事業者からの報告
２ 変更部分に係る再審査
３ 結果の通知

第６章 重要経済安保情報保護活用法の実施の適正を確保するための措置
第１節 重要経済安保情報保護活用委員会
第２節 内閣府独立公文書管理監による検証・監察
１ 内閣府独立公文書管理監による検証・監察
２ 行政機関の長に対する資料の要求
３ 是正の求め
４ 行政機関の長による指定管理簿の写しの提出等
第３節 重要経済安保情報の指定及びその解除並びに重要経済安保情報行政文書ファイル等の管理の適正に関する通報
１ 通報窓口の設置
２ 通報の処理
(1) 行政機関に対する通報
(2) 内閣府独立公文書管理監に対する通報
(3) 通報者の保護等
第４節 重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定の状況に関する報告等
１ 行政機関の長による報告
２ 重要経済安保情報保護活用諮問会議への報告
３ 国会への報告及び公表
４ 内閣府独立公文書管理監による報告
第５節 関係行政機関の協力
第６節 研修
第７節 その他の遵守すべき事項
第７章 本運用基準の見直し
第８章 施行日

【別添様式】

別添１ 適性評価の実施に当たってのお知らせ（告知書）
別添２－１ 適性評価の実施についての同意書
別添２－２ 公務所又は公私の団体への照会等についての同意書
別添２－３ 適性評価の実施についての同意書（第12条第７項）
別添３－１ 適性評価の実施についての不同意書
別添３－２ 適性評価の実施についての不同意書（第12条第７項）
別添４－１ 適性評価の実施についての同意の取下書
別添４－２ 適性評価の実施についての同意の取下書(第12条第７項)
別添５ 質問票（適性評価）
別添６ 調査票（適性評価）
別添７ 適性評価のための照会書
別添８ 適性評価調査実施担当者証
別添９－１ 適性評価結果等通知書（本人用）
別添９－２ 適性評価結果等通知書（適合事業者用）
別添10 重要経済安保情報の保護に関する誓約書
別添11 苦情処理結果通知書
別添12 認定申請書

---

 

まず、当面重要となってくるのが...

・重要経済安保情報の指定

・適性評価

・適合事業者の認定

となりますが、重要経済安保情報の指定は国がするので、民間側はその結果を待つことになります。

適正評価（個人のクリアランス）については、個人の話ですが、雇用主等の民間事業者も関係してくるので、重要経済安保情報を取り扱う可能性がありそうな事業者は考えておく必要がありそうですね...

そもそも、重要経済安保情報を取り扱う可能性のある事業者は適合事業者の認定（組織のクリアランス）を受ける必要があります。

 

おさらいになりますが...

・[PDF] 重要経済安保情報の保護及び活用に関する法律の概要

---

4. 適性評価

● 行政機関の長は、本人の同意を得た上で、内閣総理大臣による調査の結果に基づき漏えいのおそれがないことについての評価（適性評価）を実施（適性評価の有効期間は10年）。

【調査内容】

　①重要経済基盤毀損活動との関係に関する事項
　②犯罪及び懲戒の経歴に関する事項
　③情報の取扱いに係る非違の経歴に関する事項
　④薬物の濫用及び影響に関する事項
　⑤精神疾患に関する事項
　⑥飲酒についての節度に関する事項
　⑦信用状態その他の経済的な状況に関する事項

● 評価対象者が、適性評価を実施する行政機関以外の行政機関の長が直近に実施した適性評価（10年を経過していないものに限る。）において重要経済安保情報を漏らすおそれがないと認められた者である場合には、改めて調査することなく（直近の適性評価における調査結果に基づき）適性評価を実施可能。

● 重要経済安保情報を取り扱う適合事業者の従業者についても同様の調査・評価を実施。

---

 

・重要経済安保情報の保護及び活用に関する法律

・・第六章　適性評価

第十二条（行政機関の長による適性評価の実施）
第十三条（適性評価の結果等の通知）
第十四条（行政機関の長に対する苦情の申出等）
第十五条（警察本部長による適性評価の実施等）
第十六条（適性評価に関する個人情報の利用及び提供の制限）
第十七条（権限又は事務の委任）

 

で、ここまで思い出したら基準にもどります...

 

関係するのが、評価者の選定

---

第４章 適性評価

...

第２節 適性評価の流れ

...

２ 評価対象者の選定

(1) 名簿の作成及び提出

...

② 適合事業者の従業者に対する適性評価の場合

重要経済安保情報管理者は、適合事業者との契約に基づき、その従業者として重要経済安保情報の取扱いの業務を行わせようとする者について、その者の氏名、生年月日、所属する部署、役職名その他の必要な情報を、当該適合事業者から提出させるものとする。

適合事業者は、当該契約に基づき、従業者の氏名その他の必要な情報を重要経済安保情報管理者に提供するに当たっては、当該従業者の同意を得る。

なお、当該従業者が派遣労働者である場合には、適合事業者は、その旨を、当該派遣労働者を雇用する事業主に対して通知する。

重要経済安保情報管理者は、適合事業者から提出された情報に基づき、重要経済安保情報の取扱いの業務を行うことが見込まれる適合事業者の従業者について、適性評価を実施するため、氏名、生年月日、所属する部署、役職名その他の必要な事項を記載し、又は記録した名簿を作成し、これを適性評価実施責任者に提出するものとする。

その際、当該適合事業者から情報が提出された従業者のうち名簿に記載又は記録をしない者があるときは、重要経済安保情報管理者は、その旨を適合事業者に通知するとともに、当該通知の内容を、当該従業者に通知するよう当該適合事業者に求めるものとする。当該従業者が派遣労働者であるときは、重要経済安保情報管理者は、当該通知の内容を、当該従業者を雇用する事業主に通知するよう当該適合事業者に求めるものとする。

適合事業者は、提出した情報に変更があるときは、当該契約に基づき、速やかにこれを重要経済安保情報管理者に通知するものとする。

重要経済安保情報管理者は、適性評価実施責任者に提出した名簿に記載し、又は記録した事項に変更があるときは、速やかにこれを適性評価実施責任者に通知するものとする。

(2) 行政機関の長の承認

適性評価実施責任者は、重要経済安保情報管理者から提出された名簿に記載され、又は記録された者について、法第12条第１項各号のいずれかに該当することを確認した上で、適性評価を実施することについて行政機関の長の承認を得るものとする。

...

当該通知が適合事業者の従業者に係るものであるときは、重要経済安保情報管理者は、適合事業者に対し、当該通知の内容を通知するとともに、当該通知に係る従業者が派遣労働者であるときは、当該通知の内容を、当該従業者を雇用する事業主に通知するよう当該適合事業者に求めるものとする。

---

 

従業員の同意が必要となるわけですが、行政機関の職員に実施する際の雛形等もあるので、適合事業者もこれらを参考にして整備する必要がありそうですね...

 

次に具体的にどのように評価されそうか？

ということですが...これは、事業者も気になりますが、当然に本人がもっとも気になるでしょうね...

---

６ 評価

(1) 評価の基本的な考え方

... 重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないかどうかについて、評価対象者の個別具体的な事情を十分に考慮して、総合的に判断...

... 疑念が残る場合には...重要経済安保情報を漏らすおそれがないと認められないと判断するものとする。

(2) 評価の視点等

... 漏えいするおそれは、次の３つの類型に大分されると考えられる。

・ 自発的に重要経済安保情報を漏えいするおそれ

・ 働き掛けを受けた場合に影響を排除できずに重要経済安保情報を漏えいするおそれ

・ 過失により重要経済安保情報を漏えいするおそれ

...

それぞれの類型を意識し、以下の視点から、評価するものとする。

① 情報を適正に管理することができるか

② 規範を遵守して行動することができるか

③ 職務に対し、誠実に取り組むことができるか

④ 情報を自ら漏らすような活動に関わることがないか

⑤ 自己を律して行動することができるか

⑥ 情報を漏らすよう働き掛けを受けた場合に、これに応じるおそれが高い状態にないか

⑦ 職務の遂行に必要な注意力を有しているか

(3) 評価の際に考慮する要素

...調査により判明した事実について、以下の要素を考慮するものとする。

① 法第12条第２項各号に掲げる事項についての評価対象者の行動又は状態（以下「対象行動等」という。）の性質、程度及び重大性

② 対象行動等の背景及び理由

③ 対象行動等の頻度及び時期

④ 対象行動等があったときの評価対象者の年齢

⑤ 対象行動等に対する自発的な関与の程度

⑥ 対象行動等がなくなり、又は再び生ずる可能性

---

 

どのようなことが質問、調査されるかは、

・別添１ 適性評価の実施に当たってのお知らせ（告知書）

・別添５ 質問票（適性評価）

・別添６ 調査票（適性評価）

を見るとよりわかるように思います...

 

評価結果がもどってきたら...

---

第３節 適性評価実施後の措置

...

２ 適合事業者の従業者の場合

(1) 契約の締結

行政機関の長は、以下に掲げる事項について、契約で定めるものとする。

① 契約に基づき重要経済安保情報を保有し又は提供される適合事業者は、当該契約により重要経済安保情報の取扱いの業務を行う従業者について１(1)の事情があると認めた場合には、速やかにこれを契約先の行政機関における当該重要経済安保情報に係る重要経済安保情報管理者に報告すること。

② 従業者が派遣労働者である場合、適合事業者は、当該従業者について１(1)の事情があると認められたときに当該従業者を雇用する事業主から当該適合事業者に報告が行われるよう必要な措置を講ずること。

③ (2)の通知を受けた場合に、適合事業者は、当該通知に係る従業者が重要経済安保情報の取扱いの業務を行うことのないよう必要な措置を講ずること。

④ (2)の通知を受けた場合であって、当該通知に係る従業者が派遣労働者であるときは、当該通知の内容を当該派遣労働者を雇用する事業主に通知すること。

(2) 報告等に対する措置

重要経済安保情報管理者は、(1)による報告又は誓約書に基づき適合事業者の従業者から１(1)に掲げる事情がある旨の申出等に基づき、重要経済安保情報の取扱いの業務を行ったときにこれを漏らすおそれがないと認められた適合事業者の従業者に、法第 12 条第１項第３号に規定する事情があると認めるときは、その旨を適合事業者に通知するとともに、当該通知に係る従業者が派遣労働者であるときは、当該通知の内容を、当該従業者を雇用する事業主に通知するよう当該適合事業者に求めるものとする。

一方、当該報告又は申出に係る事情が、法第12条第１項第３号に規定する事情に該当しないと認めるときは、重要経済安保情報管理者は、その旨を当該報告又は申出をした者に通知するものとする。

---

 

で、個人情報の管理...

---

第４節 適性評価に関する個人情報等の管理

１ 行政機関における個人情報等の管理

(1) 個人情報等の管理

適性評価に関する文書等に含まれる個人情報の管理については、個人情報の保護に関する法律（平成15年法律第57号）第66条の規定に基づき、保有個人情報（同法第 60条第１項に規定する保有個人情報をいう。）の安全管理のために必要かつ適切な措置を講じなければならない。

また、個人情報を保護するための情報セキュリティ対策については、サイバーセキュリティ戦略本部等が定める「政府機関等のサイバーセキュリティ対策のための統一基準群」に基づき、適切に行う。

(2) 文書等の管理

...

② 文書等の保存

...

イ 重要経済安保情報管理者

重要経済安保情報管理者が取得した適性評価の結果等に係る文書等の保存期間は、当該文書等を取得した日から１年未満とする。ただし、重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた旨の通知に係る文書等の保存期間については、当該文書等を取得した日の属する年度の翌年度の４月１日から起算して10年間とする。

...

２ 適合事業者等における個人情報等の管理

行政機関の長は、適合事業者及び適合事業者の指揮命令の下に労働する派遣労働者を雇用する事業主が、行政機関の長又は適合事業者から通知された、評価対象者が適性評価の実施に同意をしなかった事実、同意を取り下げた事実及び評価対象者についての適性評価の結果に係る文書等について、これが適切に管理されるよう、１(1)及び１(2)② イに準じて必要な措置を講ずることについて、契約で定めるものとする。

---

 

規程等を作成する場合には、これ以外の部分も必要になりますが、当面気にしないといけない分野...

 

あと気になるのが、そもそも国から適合事業者になる必要があると言われたら、どうするのか？ということになると思うのですが...

 それを受けるということであれば、「別添12 認定申請書」を提出する必要があるということになりますね...

 

---

第５章 適合事業者に対する重要経済安保情報の提供等

第１節 適合事業者に重要経済安保情報を提供する場合の流れ

１ 事業者の選定

(1) 事業者への提供の必要性の判断

重要経済安保情報を保有する行政機関の長は、事業者からの相談なども踏まえながら、重要経済基盤の脆弱性の解消、重要経済基盤の脆弱性及び重要経済基盤に関する革新的な技術に関する調査及び研究の促進、重要経済基盤保護情報を保護するための措置の強化その他の我が国の安全保障の確保に資する活動の促進を図るために、特定の事業者に対して、重要経済安保情報を提供する必要があるか否かを判断するものとする。

(2) 事業者への事前の情報提供

行政機関の長は、重要経済安保情報の提供先である事業者を適切に選定するとともに、当該事業者において十分な検討が可能となるよう、できる限りの情報提供に努めるものとする。情報提供に当たっては、重要経済安保情報の概要やその性質などを提供するにとどめ、重要経済安保情報を提供することがないようにしなければならない。

また、重要経済安保情報の概要やその性質などを提供する場合であっても、その情報を保全するために必要性があると認めるときは、事業者との間で守秘義務契約を締結することができる。

...

２ 適合事業者の認定

(1) 認定申請書の提出

行政機関の長は、適合事業者としての認定のために、事業者に対し、必要事項を記載し、又は記録した別添12の「認定申請書」（当該申請書に記載すべき事項を記録した電磁的記録を含む。以下「申請書」という。）の提出を求めるものとする。

① 事業者において、重要経済安保情報の保護の全体の責任を有する者（以下「保護責任者」という。）の指名基準及び指名手続

② 重要経済安保情報を取り扱う場所において、当該重要経済安保情報の保護に関する業務を管理する者（以下「業務管理者」という。）の指名基準及び指名手続並びにその職務内容

③ 従業者に対する重要経済安保情報の保護に関する教育の実施内容及び方法

④ 重要経済安保情報の保護のために必要な施設設備の設置に係る手続

⑤ 重要経済安保情報の取扱いの業務を行う従業者の範囲の決定基準及び決定手続

⑥ 重要経済安保情報を取り扱うことができない者には重要経済安保情報を提供してはならないこと

⑦ 重要経済安保情報を取り扱うことができない者は、重要経済安保情報を提供することを求めてはならないこと

⑧ 重要経済安保情報を取り扱う場所への立入り及び機器の持込みの制限に係る手続及び方法

⑨ 重要経済安保情報を取り扱うために使用する電子計算機の使用の制限に係る手続及び方法

⑩ 重要経済安保情報文書等（施行令第４条に規定する重要経済安保情報文書等をいう。以下同じ。）の作成、運搬、交付、保管、廃棄その他の取扱いの方法の制限に係る手続及び方法

⑪ 重要経済安保情報の伝達の方法の制限に係る手続及び方法

⑫ 重要経済安保情報の取扱いの業務の状況の検査に係る手続及び方法

⑬ 重要経済安保情報文書等の奪取その他重要経済安保情報の漏えいのおそれがある緊急の事態に際し、その漏えいを防止するために他に適当な手段がないと認められる場合における重要経済安保情報文書等の廃棄に係る手続及び方法

⑭ 重要経済安保情報文書等の紛失その他の事故が生じた場合における被害の発生の防止その他の措置に係る手続及び方法

(3) 認定審査のための基本的な考え方・考慮要素

認定のための審査は、以下を踏まえて、総合的に判断するものとする。なお、認定のための審査を尽くしてもなお、事業者が以下に適合していると認めることについて疑念が残る場合には、重要経済安保情報の漏えいを防止し、もって我が国及び国民の安全を確保する法の目的に鑑み、適合事業者とは認定しないと判断するものとする。

① 事業者における株主や役員の状況に照らして、当該事業者の意思決定に関して外国の所有、支配又は影響がないと認められるかどうか。

② (2)①又は②に関して、保護責任者又は業務管理者として指名される者が、業務を適切に行うための必要な知識を有しており、その職責を全うできる地位にあると認められるかどうか。

③ (2)③に関して、従業者にとって重要経済安保情報を保護するために必要な知識を的確に習得できる内容となっており、適切な頻度で継続的に実施されることとなっているかどうか。

④ (2)④又は⑧～⑩に関して、現地で実際に確認した上で、重要経済安保情報の保護のために設置されることになる施設設備が、重要経済安保情報を保護するための必要な機能及び構造を有し、立入りの制限や持込みの制限に関して有効な機能及び構造を有しているかどうか。

行政機関の長は、認定審査のために必要な範囲内において、事業者から、申請書の記載事項のほか追加の資料の提出を求めることができる。

---

 

適合事業者に該当すると認定されると認定されたという通知が来て、認定されなかったら、認められなかった理由が通知されるようですね...

さて、適合事業者に該当すると認められた場合は、契約の締結に入ることになると思いますが、契約すべき内容のうち基準で決めているのは、以下の通りですので、最低限、この項目についての体制等は整備しておく必要がありそうですね...

---

４ 契約の締結

...

契約には、以下に関する事項を含めなければならない。

(1) ２(2)の規程に基づく重要経済安保情報の保護・管理に関すること

(2) 重要経済安保情報文書等であって当該適合事業者において作成したものについて法第３条第２項第１号に掲げる措置又は当該情報について講ずる同項第２号に掲げる措置に関すること

(3) 重要経済安保情報の指定の有効期間が満了した場合に講ずる措置に関すること

(4) 重要経済安保情報の指定の有効期間が延長された場合に講ずる措置に関すること

(5) 重要経済安保情報の指定が解除された場合に講ずる措置に関すること

(6) 第４章第４節２に規定する適性評価の実施に際して取得した個人情報を適切に管理すること

(7) 評価対象者が名簿への掲載や適性評価の実施に同意をしなかった事実、適性評価の結果が通知されていないこと、適性評価の結果その他適性評価の実施に当たって取得する個人情報を、第４章第４節３に規定する重要経済安保情報の保護以外の目的のために利用し又は提供してはならないこと

(8) 評価対象者に事情の変更があると認める場合には、速やかにこれを契約先の行政機関における重要経済安保情報に係る重要経済安保情報管理者に報告すること

(9) 申請書で提出した情報又は申請書に添付した規程若しくは規程案に関して変更が生じた場合には、速やかにこれを契約先の行政機関における重要経済安保情報に係る重要経済安保情報管理者に報告すること

(10) 適合事業者の認定後に行政機関により実施される定期的な検査の受入れに関すること

---

 

次に、適合事業者に対して重要経済安保情報を保有させる場合の流れになるわけですが...適合事業者であれば自動的に国から重要経済安保情報が提供されるわけではなく、是々非々の必要性判断により、必要と認められた場合だけとなりますね...

で、調査研究等のために、重要経済安保情報が適合事業者に提供され、その情報をうけて調査研究等をした場合、その事業者がその後保有することが見込まれる情報は、あらかじめ重要経済安保情報に指定することができるようですね...

---

２ 適合事業者の認定等

...

(2) 重要経済安保情報の指定

行政機関の長は、調査研究等の実施により事業者がこの後保有することが見込まれる情報に関して、あらかじめ重要経済安保情報に指定するものとする。

---

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

 

日本...

・2024.05.11 日本でもセキュリティクリアランス制度が本格的に導入されることになりましたね...

・2024.02.28 内閣 重要経済安保情報の保護及び活用に関する法律案が閣議決定

・2024.02.20 経団連 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言 (2024.02.15)

・2024.01.30 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 最終取りまとめ (2024.01.19)

・2023.12.22 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議（第9回）

・2023.10.12 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議（第7回）

・2023.08.27 参議院常任委員会調査室・特別調査室：セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~

・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.10.19 自民党 わが国が目指すべき 経済安全保障の全体像について～新たな国家安全保障戦略策定に向けて～ (2022.10.04)

 

 

米国...

・2024.02.26 米国 GAO 国防総省インテリジェンス：プログラムの監督を強化しリスクを管理するために必要な行動

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2023.11.20 NIST 意見募集 IR8496 NIST IR 8496（初公開ドラフト） データ収集改善のためのデータ格付の概念と考察

・2023.11.05 RAND研究所 多様で信頼される労働力 - 国家安全保障担当者の審査における偏見の可能性と不公平の原因となりうる要素の検証

・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する（＋米国セキュリティクリアランス関連リンク）

・2022.08.18 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要

・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

 

その他...

・2024.08.08 英国 政府のセキュリティ格付

・2024.07.30 オーストラリア会計検査院 (ANAO) 国防省によるマイクリアランス・システムの調達と導入 (2024.07.11)

 

 

 

 

・

Five Eyes + チェコ、日本、韓国、オランダ エッジ・デバイスの安全に関する報告書...

こんにちは、丸山満彦です。

オーストラリア通信総局 - オーストラリアサイバーセキュリティセンターから、エッジ・デバイスの安全に関する報告書が公表されていますね...

日本と、米国、英国、カナダ、ニュージーランド、韓国、オランダ及びチェコの９か国が共同署名をしていますね...

 

 

● Australian Signals Directorate - Australian Cyber Security Centre

 

・2024.02.04 Securing edge devices

Securing edge devices	エッジ・デバイスの安全
Edge devices explained	エッジ・デバイスの説明
Edge devices are critical network components that serve as security boundaries between internal enterprise networks and the internet. Edge devices perform essential functions such as:	エッジ・デバイスは、エンタープライズ内部ネットワークとインターネットのセキュリティ境界として機能する重要なネットワーク・コンポーネントである。エッジ・デバイスは次のような重要な機能を果たす。
・managing data traffic	・データ・トラフィックの管理
・enforcing security policies	・セキュリティ・ポリシーの適用
・enabling seamless communication across network boundaries.	・ネットワーク境界を越えたシームレスなコミュニケーションの実現。
Positioned at the network's periphery – often referred to as "the edge" – these devices interface between an internal, private network and a public, untrusted network like the internet.	しばしば「エッジ」と呼ばれるネットワークの周辺部に配置されるこれらのデバイスは、内部プライベート・ネットワークとインターネットのようなパブリックで信頼されていないネットワークとの間のインターフェイスである。
The most common edge devices across enterprise networks include enterprise routers, firewalls and VPN concentrators. They can access other assets on the network, providing an appealing ingress point and target to malicious actors.	エンタープライズ・ネットワークで最も一般的なエッジ・デバイスには、エンタープライズ・ルーター、ファイアウォール、VPNコンセントレーターなどがある。これらはネットワーク上の他の資産にアクセスすることができ、悪意のある行為者にとって魅力的な侵入ポイントでありターゲットとなる。
Why you should secure your edge devices	エッジ・デバイスのセキュリティを確保すべき理由
Failing to secure edge devices is like leaving a door open from the internet to internal networks, which could allow malicious actors to gain unauthorised access. From there, they can access sensitive data and disrupt business operations.	エッジ・デバイスのセキュリティを確保しないことは、インターネットから内部ネットワークへのドアを開けっ放しにしているようなものであり、悪意のある行為者が不正にアクセスすることを許してしまう可能性がある。そこから機密データにアクセスされ、業務を妨害される可能性がある。
Malicious actors are increasingly targeting internet-facing edge devices. Any organisations with a connection to the internet deploys at least one edge device, making it crucial to address their security.	悪意のある行為者は、インターネットに接続されたエッジ・デバイスを標的とするようになっている。インターネットに接続している組織は、少なくとも1つはエッジ・デバイスを展開しており、そのセキュリティ対策は極めて重要である。
Although edge devices can boost an organisation’s efficiency, it can be easy to overlook the security vulnerabilities that edge devices present. The more edge devices there are, the greater the potential threat surface, making it more challenging for operational staff and cyber security staff to secure.	エッジ・デバイスは組織の効率を向上させるが、エッジ・デバイスが持つセキュリティの脆弱性を見落としがちである。エッジ・デバイスの数が多ければ多いほど、潜在的な脅威の表面は大きくなり、運用スタッフやサイバー・セキュリティ・スタッフがセキュリティを確保するのは難しくなる。
It is important to secure these edge devices to minimise risks and ensure they don’t become a liability that could compromise the entire network. Compromised edge devices can lead to significant detriments to an organisation such as:	リスクを最小化し、ネットワーク全体を危険にさらす可能性のある負債にならないようにするためには、これらのエッジ・デバイスを保護することが重要である。エッジデバイスが侵害されると、
・data loss	・データ損失
・loss of intellectual property	・知的財産の損失
・disruption of business operations	・業務の中断
・financial loss	・財務上の損失
・reputational damage	・風評被害
・legal implications.	・法的影響など、組織に重大な不利益をもたらす可能性がある。
Feature publications	特集
Mitigation strategies for edge devices: Executive guidance	エッジデバイスの緩和戦略： エグゼクティブガイダンス
This publication provides a high-level summary of ASD’s existing guidance to manage and secure edge devices effectively.	本書は、エッジデバイスを効果的に管理し保護するためのASDの既存ガイダンスのハイレベルな要約を提供する。
Mitigation strategies for edge devices: Practitioner guidance	エッジデバイスの緩和戦略：実務者向けガイダンス
This publication provides a high-level summary of ASD’s existing guidance to manage and secure edge devices effectively.	本書は、エッジデバイスを効果的に管理し保護するためのASDの既存ガイダンスのハイレベルな要約を提供する。
Digital forensics and protective monitoring specifications for producers of network devices and appliances	ネットワーク機器やアプライアンスの生産者向けのデジタル・フォレンジックと保護監視の仕様
This publication outlines expectations on the minimum requirements for forensic visibility. It aims to help network defenders better secure organisational networks, both before and after a potential compromise.	本書は、フォレンジック可視化のための最低要件についての期待を概説している。潜在的な侵害の前と後の両方において、ネットワーク防御者が組織ネットワークをより安全に保護できるようにすることを目的としている。
Security considerations for edge devices	エッジデバイスのセキュリティに関する考慮事項
This publication provides guidance on securing VPNs, routers and firewalls in an organisational context. It is tailored for senior leaders in an IT decision-making role.	本書は、VPN、ルーター、ファイアウォールを組織的に保護するためのガイダンスを提供する。ITの意思決定を行うシニアリーダーを対象としている。

 

・2025.02.04 Mitigation strategies for edge devices: Executive guidance

Mitigation strategies for edge devices: Executive guidance	エッジデバイスの緩和戦略 エグゼクティブ・ガイダンス
Malicious actors are increasingly targeting internet-facing edge devices to gain unauthorised access to networks; therefore, it is vital that organisations prioritise securing edge devices in their environments. Edge devices are critical network components that serve as security boundaries between internal enterprise networks and the internet. The most commonly observed edge devices implemented across enterprise networks include enterprise routers, firewalls, and VPN concentrators. These devices perform essential functions such as managing data traffic, enforcing security policies, and enabling seamless communication across network boundaries. Positioned at the network's periphery - often referred to as "the edge" - these devices connect an internal, private network and a public, untrusted network like the internet.	悪意のある行為者は、ネットワークへの不正アクセスを得るために、インターネットに面したエッジ・デバイスを標的にすることが増えている。したがって、組織は、その環境においてエッジ・デバイスの安全確保を優先することが不可欠である。エッジデバイスは、エンタープライズの内部ネットワークとインターネットとのセキュリティ境界となる重要なネットワークコンポーネントである。エンタープライズ・ルーター、ファイアウォール、VPNコンセントレーターなど、企業ネットワークで最も一般的に導入されているエッジ・デバイスがある。これらのデバイスは、データ・トラフィックの管理、セキュリティ・ポリシーの実施、ネットワーク境界を越えたシームレスなコミュニケーションの実現など、必要不可欠な機能を果たす。ネットワークの周辺に位置し、しばしば「エッジ」と呼ばれるこれらのデバイスは、内部プライベート・ネットワークとインターネットのようなパブリックで信頼されていないネットワークを接続している。
Failing to secure edge devices is like leaving a door open from the internet to internal networks, potentially allowing malicious actors to gain access to networks from there, they can access sensitive data and disrupt operations.	エッジデバイスのセキュリティ確保を怠ることは、インターネットから内部ネットワークへのドアを開けっ放しにしているようなもので、悪意のある行為者がそこからネットワークにアクセスし、機密データにアクセスしたり、業務を妨害したりする可能性がある。
If organisations have not applied zero trust principles in their environments, malicious actors can use a range of techniques to gain access through network edge devices. This typically occurs through identifying and exploiting newly released vulnerabilities for edge devices, which have a poor track record for product security. Both skilled and unskilled malicious actors conduct reconnaissance against internet-accessible endpoints and services to identify and exploit vulnerable devices.	組織の環境にゼロトラスト原則が適用されていない場合、悪意のある行為者はネットワーク・エッジ・デバイスを通じてアクセスするために様々なテクニックを使うことができる。これは通常、製品セキュリティの実績が乏しいエッジ・デバイス向けに新たにリリースされた脆弱性を特定し、悪用することで発生する。熟練した悪意のある行為者もそうでない行為者も、インターネットにアクセス可能なエンドポイントやサービスに対して偵察を行い、脆弱性のあるデバイスを特定して悪用する。
Some examples of malicious actors exploiting edge devices include:	エッジ・デバイスを悪用する悪意のある行為者の例には、以下のようなものがある：
・PRC state-sponsored actors compromise and maintain persistent access to U.S. critical infrastructure (ASD)	・中華人民共和国の国家に支援された行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する（ASD）
・People's Republic of China-Linked Cyber Actors Hide in Router Firmware (CISA)	・中華人民共和国関連のサイバー行為者がルータのファームウェアに潜む（CISA）
Scope	範囲
This publication offers a high-level summary of existing guidance for securing edge devices from the cybersecurity authorities of the following partnered countries: Australia, Canada, Czech Republic, Japan, Netherlands, New Zealand, South Korea, the United Kingdom, and the United States. It consolidates key practices for effectively managing and securing edge devices. This guidance is intended for executives within large organisations and critical infrastructure sectors responsible for the deployment, security, and maintenance of enterprise networks.	本書は、以下の提携国のサイバーセキュリティ当局によるエッジデバイスの安全確保に関する既存のガイダンスのハイレベルな要約を提供する： オーストラリア、カナダ、チェコ共和国、日本、オランダ、ニュージーランド、韓国、英国、米国である。このガイダンスは、エッジデバイスを効果的に管理し、セキュリティを確保するための重要な実践方法をまとめたものである。このガイダンスは、エンタープライズ・ネットワークの展開、セキュリティ、保守を担当する大規模組織や重要インフラ部門の幹部を対象としている。
Disclaimer: The information in this guide is being provided “as is” for informational purposes only. The authoring agencies do not endorse any commercial entity, product, company, or service, including any entities, products, or services linked within this document. Any reference to specific commercial entities, products, processes, or services by service mark, trademark, manufacturer, or otherwise, does not constitute or imply endorsement, recommendation, or favouring by the authoring agencies.	免責事項：本ガイドの情報は、情報提供のみを目的として「現状のまま」プロバイダとして提供される。認可機関は、本文書内でリンクされている事業体、製品、企業、サービスを含め、いかなる事業体、製品、企業、サービスも保証しない。サービスマーク、商標、製造事業者、その他による特定の事業体、製品、プロセス、またはサービスへの言及は、執筆機関による承認、推奨、または支持を意味するものではない。
Summary of mitigation strategies	緩和戦略の概要
The following table outlines key strategies for securing edge devices, aimed at enhancing network security and reducing vulnerabilities.	次の表は、ネットワークセキュリティを強化し、脆弱性を低減することを目的とした、エッジデバイスの安全性を確保するための主要な戦略の概要である。
Know the edge	エッジを知る
Endeavour to understand where the periphery of the network is, and audit which devices sit across that edge. Identify devices that have reached End-of-Life (EOL) and remove/replace them.	ネットワークの周辺がどこにあるかを理解し、どのデバイスがそのエッジを横切っているかを監査する。耐用年数（EOL）に達したデバイスを特定し、撤去／交換する。
Procure secure-by-design devices	セキュアバイデザインのデバイスを調達する
Prioritise procuring edge devices from manufacturers that follow secure-by-design principles during product development. Explicitly demand product security as part of the procurement process; for more guidance consider Secure by Demand Guide: How Software Customers Can Drive a Secure Technology Ecosystem. Track deliveries and maintain assurance that malicious actors have not tampered with edge devices.	製品開発時にセキュアバイデザインの原則に従う製造事業者からエッジデ バイスを調達することを優先する。調達プロセスの一環として、製品のセキュリティを明示的に要求する。詳細なガイダンスについては、「セキュア・バイ・デマンド・ガイド」を参照： 詳細は、「セキュア・バイ・デマンド・ガイド ソフトウェア顧客がセキュアなテクノロジー・エコシステムを推進する方法」を参照されたい。納入品を追跡し、悪意のある行為者がエッジデバイスを改ざんしていないことを保証する。
Apply hardening guidance, updates and patches	ハードニングガイダンス、アップデート、パッチの適用
Review and implement specific vendor hardening guidance. Ensure prompt application of patches and updates to edge devices to protect against known vulnerabilities.	特定のベンダーのハードニングガイダンスをレビューし、実施する。既知の脆弱性から保護するために、エッジデバイスにパッチとアップデートを迅速に適用する。
Implement strong authentication	強固な認証を導入する
Implement robust identity and access management practices to prevent unauthorised access with weak credentials or poor access controls. Implement phishing-resistant multi-factor authentication (MFA) across edge devices to protect against exploitation.	強固なアイデンティティ管理、認証／アクセス制御を導入し、脆弱な認証情報や不十分なアクセス制御による不正アクセスを防止する。フィッシングに強い多要素認証（MFA）をエッジデバイス全体に導入し、悪用から保護する。
Disable unneeded features and ports	不要な機能とポートを無効にする
Regularly audit and disable unused features and ports on edge devices to minimise the attack surface.	定期的に監査し、エッジデバイスの未使用の機能とポートを無効にすることで、攻撃対象領域を最小化する。
Secure management interfaces	管理インタフェースの保護
Limit exposure by ensuring management interfaces are not directly internet accessible.	管理インタフェースがインターネットから直接アクセスできないようにすることで、エクスポージャを制限する。
Centralise monitoring for threat detection	脅威検知のための集中監視
Ensure centralised visibility and log access to detect and investigate security incidents. Event logs should also be backed up and data redundancy practices should be implemented.	セキュリティ・インシデントを検知・調査するために、集中的な可視化とログ・アクセスを確保する。イベントログもバックアップし、データの冗長化を実施する。
Frameworks and controls	枠組みおよび管理
The authoring organisations provide the following publications for organisations to use that contain the best practice guidance on securing, hardening, and managing edge devices effectively. All organisations are encouraged to review and follow these policies, procedures, and publications to improve the security of their edge devices. Organisations should prioritise implementing the recommendations developed by their national cybersecurity authorities when developing a plan of action and implementation for securing their edge devices.	認可機関は、エッジデバイスのセキュリティ確保、堅牢化、および効果的な管理に関するベストプラクティスのガイダンスを含む、組織が使用するための以下の出版物を提供している。すべての組織は、エッジデバイスのセキュリティを改善するために、これらのポリシー、手順、および出版物を見直し、それらに従うことが推奨される。組織は、エッジデバイスのセキュリティを確保するための行動計画および実施計画を策定する際には、各国のサイバーセキュリティ当局が策定した勧告を優先的に実施すべきである。
The following publications have been sourced to build the mitigations within this guide:	本ガイドの緩和策を構築するために、以下の出版物を入手した：
Australian Signals Directorate (ASD)	Australian Signals Directorate (ASD)
Information Security Manual (ISM) and Essential Eight Maturity Model (E8MM)	Information Security Manual (ISM) and Essential Eight Maturity Model (E8MM)
ASD’s ISM provides a comprehensive set of guidelines for protecting IT and OT systems from cyberthreats. It includes standards for system hardening, networking and device procurement. The ISM aligns with the E8MM, which outlines strategies to protect against cybersecurity threats; each strategy has different maturity levels designed to support organisations in achieving progressively higher security standards.	ASD の ISM は、IT と OT システムをサイバー脅威から防御するための包括的なガイドラインを提供している。システムハードニング、ネットワーキング、デバイス調達の標準が含まれている。ISMは、サイバーセキュリティの脅威から保護するための戦略を概説するE8MMと整合している。各戦略には、組織が段階的に高いセキュリティ基準を達成するのをサポートするように設計された異なる成熟度がある。
Cybersecurity and Infrastructure Security Agency (CISA)	サイバーセキュリティ・インフラセキュリティ庁（CISA）
Cross-Sector Cybersecurity Performance Goals (CPGs)	クロスセクター・サイバーセキュリティ・パフォーマンス目標（CPG）
CISA’s CPGs, which align with the NIST CSF, offer a prioritised list of security outcomes, aimed at meaningfully reducing risks to both critical infrastructure operations and the American people. These goals are tailored to address sector-specific risks, providing organisations with concrete, outcome-focused objectives to improve their resilience against cyberthreats.	NIST CSFと整合するCISAのCPGは、重要インフラの運用と米国民の両方に対するリスクを有意に低減することを目的とした、セキュリティ成果の優先順位付けされたリストを提供する。これらの目標は、セクター固有のリスクに対処するように調整されており、サイバー脅威に対するレジリエンスを改善するための具体的で成果に焦点を当てた目標を組織に提供している。
Canadian Centre for Cyber Security (CCCS)	Canadian Centre for Cyber Security (CCCS)
Cross-Sector Cyber Security Readiness Goals (CRG) Toolkit	Cross-Sector Cyber Security Readiness Goals (CRG) Toolkit
CCCS’s CRGs offer a practical framework to protect organisations from common cyberthreats. Designed to align with CISA’s Cybersecurity Performance Goals (CPGs) and National Institute of Standards and Technology’s (NIST) Cyber Security Framework (CSF), these baseline controls emphasise foundational practices like secure configurations, incident response, and access management to guide organisations in managing and reducing cybersecurity risks.	CCCSのCRGは、一般的なサイバー脅威から組織を守るための実践的な枠組みを提供する。CISAのサイバーセキュリティ・パフォーマンス・ゴール（CPG）および国立標準技術研究所（NIST）のサイバーセキュリティ・フレームワーク（CSF）と整合するように設計されたこれらの基本管理は、安全な設定、インシデント対応、アクセス管理などの基本的なプラクティスに重点を置いており、組織がサイバーセキュリティ・リスクをマネジメントし、低減するための指針となる。
New Zealand National Cyber Security Centre (NCSC-NZ)	ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）
New Zealand Information Security Manual (NZISM) and Cyber Security Framework (CSF)	ニュージーランド情報セキュリティマニュアル（NZISM）およびサイバーセキュリティフレームワーク（CSF）
The NZISM and NCSC-NZ CSF provide a comprehensive set of controls and standards to secure information systems across New Zealand's government and critical infrastructure sectors. Covering aspects such as system hardening, network management, and incident response, the NZISM and CSF support organisations in implementing robust cybersecurity measures aligned with national security requirements.	NZISMおよびNCSC-NZ CSFは、ニュージーランドの政府および重要インフラ部門全体の情報システムを保護するための包括的な制御と標準のセットを提供する。システムの堅牢化、ネットワーク管理、インシデント対応などの側面をカバーするNZISMとCSFは、国家安全保障要件に沿った強固なサイバーセキュリティ対策を実施する組織を支援する。
National Cyber Security Centre (NCSC-UK)	National Cyber Security Centre (NCSC-UK)
Cyber Assessment Framework (CAF)	Cyber Assessment Framework (CAF)
The NCSC’s CAF provides a systematic and comprehensive approach to assessing the extent to which organisations are affected by cyberrisks based on the organisation’s essential functions and supports organisations in building their cyberresilience against these risks. Focusing on key principles such as governance, asset management, and system resilience, the CAF supports organisations in aligning their practices with the UK’s National Cyber Security Strategy, helping them mitigate risks to essential services.	NCSCのCAFは、組織がどの程度サイバーリスクの影響を受けるかを組織の必須機能に基づいて評価する体系的かつ包括的なアプローチを提供し、これらのリスクに対する組織のサイバー強靭性構築を支援する。ガバナンス、資産管理、システムレジリエンスなどの主要原則に重点を置き、CAFは英国の国家サイバーセキュリティ戦略と組織の実務を整合させ、必要不可欠なサービスへのリスク緩和を支援する。
Ministry of Economy, Trade and Industry (METI-JP)	経済産業省（METI-JP）
Cybersecurity Management Guidelines	サイバーセキュリティ経営ガイドライン
METI and Information-technology Promotion Agency (IPA) provide the Cybersecurity Management Guidelines for business executives to promote cybersecurity measures under the leadership of management. From the perspective of protecting companies from cyberattacks, the guidelines outline "three principles" that executives need to recognize, as well as "ten important items" that they should instruct the responsible executives (such as the CISO) to implement information security measures.	経済産業省と情報処理推進機構（IPA）は、経営者が主導してサイバーセキュリティ対策を推進するための「サイバーセキュリティ経営ガイドライン」を提供している。同ガイドラインでは、サイバー攻撃から企業を守るという観点から、経営者が認識すべき「3つの原則」と、情報セキュリティ対策を実施するために責任ある経営者（CISOなど）に指示すべき「10の重要項目」を示している。
Procuring edge devices that are secure by design	セキュア・バイ・デザインのエッジ・デバイスを調達する
Before procuring any edge device, organisations must evaluate the manufacturer - including its country of origin, and its product - to ensure all security concerns have been considered and addressed. Choosing technologies that have been developed following secure-by-design practices will assist organisations in building a resilient enterprise network that maintains confidentiality, integrity and availability and mitigates costly events.	組織は、エッジ・デバイスを調達する前に、製造事業者（原産国や製品を含む）を評価し、セキュリティ上の懸念事項がすべて考慮され、対処されていることを確認する必要がある。セキュア・バイ・デザインに従って開発された技術を選択することは、機密性、完全性、可用性を維持し、コストのかかる事象を緩和するレジリエンスに優れたエンタープライズ・ネットワークを構築する上で、組織を支援することになる。
The authoring organisations recommend the following publications for guidance when procuring edge devices:	認可組織は、エッジデバイスを調達する際の指針として、以下の出版物を推奨する：
・Choosing Secure and Verifiable Technologies: Secure-by-Design Foundations (ASD)	・セキュアで検証可能な技術を選択する： Secure-by-Design Foundations (ASD)
・Secure-by-Design Foundations (ASD)	・Secure-by-Design Foundations (ASD)
・Cyber supply chain: An approach to assessing risk (CCCS)	・サイバーサプライチェーン： リスクを評価するためのアプローチ（CCCS）
・Supply chain security guidance (NCSC-UK)	・サプライチェーンセキュリティガイダンス（NCSC-UK）
・Secure-by-Design(CISA)	・セキュアバイデザイン（CISA）
・Secure by Demand Guide: How Software Customers Can Drive a Secure Technology Ecosystem (CISA and Federal Bureau of Investigation [FBI])	・セキュアバイデマンドガイド：ソフトウェア顧客がセキュアなテクノロジー・エコシステムを推進するには（CISAと連邦捜査局[FBI]）。
Additionally, selecting labelled or certified products, such as products with the JC-STAR label in Japan, will help organisations to procure products with appropriate security measures in place.	さらに、日本のJC-STARラベル付き製品など、ラベル付きまたは認証済みの製品を選択することは、組織が適切なセキュリ ティ対策を講じた製品を調達するのに役立つ。
Furthermore, the authoring agencies encourage all edge device manufacturers to make their products secure by design. Manufacturers can review CISA’s Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers for guidance on how to implement secure features by default in their products and join CISA’s Secure by Design Pledge. This pledge outlines specific goals for manufacturers to meet to make their products more secure, including goals to reduce the presence of vulnerabilities in their products and transparently report on vulnerabilities.	さらに、認可事業者は、すべてのエッジ・デバイス・メーカーに対し、自社製品を設計によってセキュアにすることを奨励している。製造事業者は、CISAの「セキュア・バイ・デザイン・アラート：SOHOデバイス製造業者のためのセキュリティ設計改善」を参照し、製品にデフォルトでセキュアな機能を実装する方法に関するガイダンスを得るとともに、CISAの「セキュア・バイ・デザイン誓約」に参加することができる。この誓約には、製造事業者が製品の安全性を高めるために満たすべき具体的な目標が概説されており、これには、製品の脆弱性の存在を減らし、脆弱性について透明性をもって報告するという目標も含まれている。
Network segmentation and segregation	ネットワークのセグメンテーションと分離
Network segmentation and segregation are critical to safeguarding an organisation’s environment by limiting potential pathways for unauthorised access and lateral movement within their networks. By isolating sensitive systems, this approach strengthens defences against cyberthreats, minimises the impact of breaches, and ensures resilient operations across interconnected systems.	ネットワークのセグメンテーションと分離は、ネットワーク内の不正アクセスや横方向の移動の潜在的な経路を制限することで、組織の環境を保護するために不可欠である。機密性の高いシステムを隔離することで、このアプローチはサイバー脅威に対する防御を強化し、侵害の影響を最小限に抑え、相互接続されたシステム全体でレジリエンスを確保する。
The authoring organisations recommend the following publications for guidance on network segmentation and segregation:	認可機関は、ネットワークのセグメンテーションと分離に関するガイダンスとして、以下の出版物を推奨する：
・Implementing Network Segmentation and Segregation (ASD)	・ネットワークのセグメンテーションと分離の実装（ASD）
・A zero trust approach to security architecture (CCCS)	・セキュリティアーキテクチャへのゼロトラストアプローチ（CCCS）
・Baseline security requirements for network security zones (version 2.0) - ITSP.80.022 (CCCS)	・ネットワークセキュリティゾーンのベースラインセキュリティ要件（バージョン2.0） - ITSP.80 .022 (CCCS)
・Preventing Lateral Movement (NCSC-UK)	・横断的な移動の防止（NCSC-UK）
・Cross-Sector CPGs; Securing Network Infrastructure Devices; Zero Trust Maturity Model; Layering Network Security Through Segmentation Infographic (CISA)	・分野横断的な CPG；ネットワークインフラストラクチャデバイスの保護；ゼロトラスト成熟度モデル；セグメンテーションによるネットワークセキュリティの階層化 インフォグラフィック（CISA）
・Reducing the risk of network compromises (NSA)	・ネットワーク侵害のリスクの低減（NSA）
Gateway hardening	ゲートウェイハードニング
Gateway hardening aims to help organisations design, procure, operate, maintain, or dispose of gateway services. A gateway is a boundary system that separates different security domains and allows an organisation to enforce its security policy for data transfers between the different security domains. Partnered cybersecurity authorities strive to assist organisations in addressing cybersecurity challenges and making informed risk-based decisions to enhance gateway security.	ゲートウェイハードニングは、組織がゲートウェイサービスを設計、調達、運用、保守、廃棄するのを支援することを目的とする。ゲートウェイとは、異なるセキュリティドメインを分離する境界システムであり、異なるセキュリティドメイン間のデータ転送に対して、組織がセキュリティポリシーを実施できるようにするものである。提携するサイバーセキュリティ当局は、組織がサイバーセキュリティの課題に対処し、ゲートウェイのセキュリ ティを強化するために十分な情報に基づいたリスクベースの意思決定を行うことを支援するよう努め ている。
The authoring organisations recommend the following publications for guidance on gateway hardening:	認可機関は、ゲートウェイの堅牢化に関するガイダンスとして、以下の出版物を推奨する：
・Gateway Security Guidance Package (ASD)	・ゲートウェイセキュリティガイダンスパッケージ（ASD）
・Top 10 IT security actions to protect Internet connected networks and information (CCCS)	・インターネットに接続されたネットワークと情報を保護するための IT セキュリティアクショントップ 10（CCCS）
・Trusted Internet Connections (TIC) (CISA)	・信頼されたインターネット接続（TIC）（CISA）
・Network Infrastructure Security Guidance; Hardening Network Devices (NSA)	・ネットワークインフラストラクチャセキュリティガイダンス; ネットワークデバイスの堅牢化（NSA）
Securing edge devices in smart infrastructure	スマートインフラにおけるエッジデバイスの保護
Edge devices play a key role in modern smart infrastructure, where they serve as critical connection points that support data flow and communication across smart technologies.	エッジデバイスは、スマート技術間のデータフローとコミュニケーションをサポートする重要な接続ポイントとして、現代のスマートインフラストラクチャで重要な役割を果たす。
The authoring organisations recommend the following publications for guidance toward securing edge devices in smart infrastructure:	認可機関は、スマートインフラにおけるエッジデバイスのセキュリティ確保に向けた指針として、以下の出版物を推奨する：
・An Introduction to Securing Smart Places  (ASD)	・スマートプレイスのセキュリティ序文（ASD）
・VPNs (CCCS)	・VPN（CCCS）
・Connected Communities (CCCS)	・コネクテッドコミュニティ（CCCS）
・VPNs; Network Architectures (NCSC-UK)	・VPN ;ネットワークアーキテクチャ（NCSC-UK）
・Cybersecurity Best Practices for Smart Cities (CISA)	・スマートシティのためのサイバーセキュリティベストプラクティス（CISA）
Event logging and threat detection	Event logging and threat detection
Once malicious actors have established a foothold within a network, they can use living-off-the-land (LOTL) techniques, which involve leveraging built-in tools and system processes to achieve their objectives. This makes it difficult for network defenders to differentiate malicious activity from legitimate activity. To defend against these techniques, it is crucial to have comprehensive event logging and network telemetry to enable visibility and detect threats.	いったん悪意のあるアクターがネットワーク内に足がかりを築くと、その目的を達成するために組み込みのツールやシステムプロセスを活用するLOTL（Living-off-the-Land）テクニックを使うことができる。このため、ネットワーク防御側にとっては、悪意のある活動と正当な活動を区別することが難しくなる。このような手法から防御するためには、包括的なイベント・ロギングとネットワーク・テレメトリーを行い、脅威の可視化と検知を可能にすることが極めて重要である。
Where compromises occur, or are suspected to have occurred, robust logging will help organisations effectively monitor for threats and intrusions.	侵害が発生した場合、または発生した疑いがある場合、堅牢なロギングは、組織が脅威と侵入を効果的に監視するのに役立つ。
The authoring organisations recommend the following publications for guidance on monitoring for threats and intrusions:	認可組織は、脅威と侵入の監視に関するガイダンスとして、以下の出版物を推奨する：
・Best Practices for Event Logging and Threat Detection (ASD)	・イベントロギングと脅威検知のベストプラクティス（ASD）
・Introduction to logging for security purposes (NCSC-UK)	・セキュリティ目的のロギング序文（NCSC-UK）
・Cross-Sector CPGs (CISA)	・クロスセクター CPG（CISA）
・Network security logging and monitoring (CCCS)	・ネットワークセキュリティロギングとモニタリング（CCCS）
Legacy edge devices	レガシーエッジデバイス
Edge devices will eventually become legacy hardware, or End-of-Life (EOL), when software is no longer supported or updated by the manufacturer. Edge devices that have reached EOL, especially those no longer supported by manufacturers, can be more vulnerable to cyberthreats. It is crucial to upgrade software to supported versions or replace edge devices that have reached EOL to ensure that they remain secure against cyberthreats.	エッジデバイスは、製造事業者によってソフトウェアのサポートやアップデートが行われなくなると、いずれレガシーハードウェア、すなわちEOL（End-of-Life）となる。EOLに達したエッジデバイス、特に製造事業者のサポートが終了したエッジデバイスは、サイバー脅威に対してより脆弱性を持つ可能性がある。エッジデバイスがサイバー脅威に対して安全であり続けるためには、ソフトウェアをサポートされるバージョンにアップグレードするか、EOLに達したエッジデバイスを交換することが極めて重要である。
The authoring organisations recommend the following publications for guidance on understanding, assessing and managing the risks associated with legacy edge devices:	レガシーエッジデバイスに関連するリスクを理解し、アセスメントし、マネジメントするためのガイダンスとして、認可機関は以下の出版物を推奨する：
・Managing the Risk of Legacy IT: Executive Guidance (ASD)	・レガシーITのリスクマネジメント：エグゼクティブガイダンス (ASD)
・Obsolete products (CCCS)	・旧製品 (CCCS)
・Obsolete products (NCSC-UK)	・製造中止製品(NCSC-UK)
・Understanding Patches and Software Updates (CISA)	・パッチとソフトウェア・アップデートを理解する (CISA)

 

 

・2025.02.04 Mitigation strategies for edge devices: Practitioner guidance

目次...

Introduction: Living on the edge	序文 エッジに生きる
Overview of edge devices	エッジデバイスの概要
Risks and threats	リスクと脅威
Case study – Cutting Edge	ケーススタディ - エッジを切る
Frameworks and controls	枠組みと制御
Summarised list of mitigation strategies	緩和戦略の要約リスト
Mitigation strategies for edge devices	エッジデバイスの緩和戦略
Conclusion	結論
Further guidance	さらなる指針
Footnotes	脚注

 

 

 

・2025.02.04 Guidance on digital forensics and protective monitoring specifications for producers of network devices and appliances

 

目次...

Context to this guidance	本ガイダンスの背景
What and who is this guidance for?	このガイダンスは何のために、誰のためにあるのか？
Logging Requirements	ロギング要件
Forensic data acquisition requirements	フォレンジックデータ取得の要件
Further resources	その他のリソース

 

 

 

・2025.02.04 Security considerations for edge devices

目次...

Introduction	序文
Commonly used edge devices	一般的に使用されるエッジデバイス
Considerations for edge devices	エッジデバイスに関する考慮事項
Threats to edge devices	エッジデバイスへの脅威
Examples of edge device compromises	エッジデバイスの侵害例
Mitigating threats to edge devices	エッジデバイスへの脅威の緩和
Recommendations for edge device manufacturers	エッジデバイス製造事業者に対する推奨事項
Additional information	追加情報
Footnotes	脚注

 

 

 

---

 

NISC側でも公表されていますね...

 

● NISC

・2025.02.04 [PDF] 国際文書「エッジデバイスのための緩和戦略」への共同署名について

---

報道資料

令和７年２月４日内閣官房 内閣サイバーセキュリティセンター

 国際文書「エッジデバイスのための緩和戦略」への共同署名について 

１．概要

令和７年２月４日、内閣サイバーセキュリティセンター（NISC）は、豪州通信情報局（ASD）豪州サイバーセキュリティセンター（ACSC）が策定した文

書「エッジデバイスのための緩和戦略」（“Mitigation strategies for edge devices”）（以下「本件文書」という。）の共同署名に加わり、本件文書を公表しました。仮訳は追って公表予定です。

本件文書に共同署名し協力機関として組織名を列記した国は、豪州、日本の他、米国、英国、カナダ、ニュージーランド、韓国、オランダ及びチェコの９か国です。

本件文書は、エッジデバイスを標的とした攻撃が増加していることを踏まえ、リスク緩和のための7つの戦略を提供するものです。重要インフラ事業者を始めとした我が国企業等が、本件文書で記載されたエッジデバイスに対するリスク緩和策を参照することは、我が国サイバーセキュリティ強化に大いに資することから、共同署名に加わることとしました。

今後も、引き続き、サイバーセキュリティ分野での国際連携の強化に努めてまいります。 

２．本件文書の概要

（1） 背景・目的

多くの悪意のあるアクターは、インターネットからアクセス可能なネットワーク等に対してスキャン・偵察を行い、パッチが適用されていない脆弱なエッジデバイスを侵害している。本文書は、サイバー脅威に対するセキュリティとレジリエンスの向上を目的にリスク緩和のための 7 つの戦略を提供する。

（2） ７つの戦略の概要

ア エッジを知る：ネットワークの周辺がどこにあるかを理解し、その周辺に配置されているエッジデバイスを検査するよう努める。サポートが終了したデバイスを特定し、それらを取り外し、交換する。

イ セキュア・バイ・デザイン機器を調達する：製品開発中にセキュア・バイ・デザインの原則に従っているメーカーからの調達を優先し、調達プロセスの一環として、メーカーに対し製品のセキュリティを明示的に要求する。

ウ セキュリティ強化のガイダンス、更新及びパッチを適用する：特定のベンダーがセキュリティを強化するガイダンスを利用していることを検証して実装する。不正利用から保護するため、エッジデバイスに対するセキュリティパッチと更新の迅速な適用を確保する。

エ 強力な認証を実装する：不正利用から保護するため、エッジデバイス全体において、フィッシングに対する耐性のある多要素認証等の認証を実装する。

オ 不要な機能とポートを無効にする：組織において使用されていない、エッジデバイスで利用可能なオプション機能を検査し、これを無効とすることで、機器の攻撃対象範囲を減少させる。また、開かれたポート数を減らす。

カ 管理インターフェイスを安全にする：管理インターフェイスをインターネットに直接接続しない。

キ 脅威検出のための監視を一元化する：インシデントの検出のため、イベントログの保存と完全性を保護する。ログへのアクセスの一元化を確保する。

３．関連リンク

 【原文リンク】

 

【本報道発表に関する問い合わせ先】

内閣官房 内閣サイバーセキュリティセンター  国際ユニット国際戦略班
Tel: 03-6277-7071 

---

 

 

米国はCISAから発表されています...

● CISA

・2025.02.04 CISA Partners with ASD’s ACSC, CCCS, NCSC-UK, and Other International and US Organizations to Release Guidance on Edge Devices

 

 

---

 

英国は、NCSCから発表されています...

● U.K. National Cyber Security Centre; NCSC

 

・2025.02.03 Cyber agencies unveil new guidelines to secure edge devices from increasing threat

 

 

---

 

カナダは、CCCSから発表されています...

● Canadian Centre for Cyber Security

・2025.02.04 Five Eyes publish series to sound alarm on cyber security threats to edge devices

 

 

 

 

経済産業省 「情報セキュリティ監査基準改正案等」に対する意見募集

こんにちは、丸山満彦です。

経済産業省の情報セキュリティ監査基準が20数年ぶりに改訂の話になっていますね...

この制度がつづいているのは、当時としては頑張って団体すなわち特定非営利活動法人日本セキュリティ監査協会 (JASA)
をつくったことです...

（あの時、土居先生が会長を、下村さんが事務局長を引き受けたのは、すごいなぁと思いました...でも、そのおかげで、そして、その後、つぎつぎとバトンがわたっていったのがよかったのかもですね。。。）

 

今回の変更点である部分...

---

...監査の目的として示されている「保証の付与」について、「セキュリティインシデントが発生しないことを保証する」という文脈における保証（英語の guarantee に相当）として誤解される事例があることが指摘されるようになった。そこで Ver2.0 への改訂にあたり、これまで「保証」及び「助言」と記載していた箇所について、それぞれ「アシュアランス」及び「アドバイザリー」と表記を改めることとした。表記の変更に伴う意味の変更は生じていないが、用語に馴染みのない読者のため、次項に示す「情報セキュリティ監査の目的」においてそれぞれの定義を示している。

...

アシュアランスとは証拠等の客観的な検証を根拠とした事実認定に基づき信頼性についての意見表明をすることをいい、アドバイザリーとは同様の検証を根拠とした基準不適合の事項に対する改善のための助言を行うことをいう。

...

---

 

これは良かったと思います。

会計監査の世界では、保証という言葉が通じていますが、より法律を含む一般の世界では、保証というとguaranteeとなるので、混乱を招きかねないです...

作成当初はそのようなことに気がまわらなかったので、会計監査の世界の言葉を使ってしまいましたが、これからのことを考えると、アシュアランスという言葉に変えたほうがよいと思います...

 

私は今回の改正に関わっていませんが（ので？）、よいものができていると思いますが、多くの人がコメントをだしてくれることを期待しています。。。

 

● e-Gov

・「情報セキュリティ監査基準改正案等」に対する意見募集について

• 情報セキュリティ監査基準_改正案
• 情報セキュリティ監査実施基準ガイドライン_改正案
• 情報セキュリティ監査報告基準ガイドライン_改正案 
• 情報セキュリティ管理基準_改正案 
• 情報セキュリティ管理基準活用ガイドライン案 

 

現在の監査基準等は、こちら...

● 経済産業省

 

・情報セキュリティ監査制度

・・情報セキュリティ監査基準（平成15年経済産業省告示第114号）

・・・実施基準ガイドライン

・・・報告基準ガイドライン

・・情報セキュリティ管理基準（平成28年経済産業省告示第37号）

・ ・・個別管理基準（監査項目）策定ガイドライン

 

● 特定非営利活動法人日本セキュリティ監査協会 (JASA)

 

NISC DDoS攻撃への対策について（注意喚起） (2025.02.04)

こんにちは、丸山満彦です。

NISCが、昨年12月から今年1月にかけて起こったDDoS攻撃を踏まえて注意喚起をだしていますね...

多分この事案に対する初めての注意喚起ですかね...    第一報(^^)

 

社会的に影響度の大きそうな事案に関する注意喚起を出すためのプロセスの改善が必要かもですね...

例えば、

影響度の大きな事案に該当＝＞24時間以内に事象の概要、現状できる緊急の対応についての注意喚起、２週間以内に将来に備えた対応についての注意喚起

影響度が一定見込まられる事案＝＞２週間以内に事象の概要、将来に備えた対応についての中機関気

みたいなプロセスだったとしたら、判断基準や、記載内容の標準化、タイムスパンの短縮など...

 

 

● NISC

・2025.02.04 [PDF] DDoS攻撃への対策について

 

 

---

令和７年２月４日内閣サイバーセキュリティセンター

 DDoS 攻撃への対策について（注意喚起）

 昨年12月から本年１月の年末年始にかけて、航空事業者・金融機関・通信事業者等に対するDDoS攻撃が相次いで発生しております。これらの攻撃はIoTボットネット等が用いられ、UDPフラッド攻撃やHTTPフラッド攻撃など、複数種類の攻撃が行われており、今後、大規模な攻撃が発生する可能性も否定できません。

各事業者におかれましては、これまでも様々なDDoS攻撃対策を講じられていることと思いますが、本紙も参考に、引き続きリスク低減に向けて適切なセキュリティ対策を講じていただくようお願いいたします。

また、各インターネット利用者におかれましては、ルータやIPカメラ等のいわゆるIoTデバイスがマルウェアに感染し、IoTボットネットに組み込まれてサイバー攻撃に加担することがないよう、これらのデバイスの設定やアップデートを適切に行っていただくようお願いいたします。

 

【リスク低減に向けたセキュリティ対策】

DDoS 攻撃への対策は、多くの費用と時間が必要なものもあり、また、全てのDDoS 攻撃を未然に防ぐことができるものではありません。しかし、上記のようなDDoS 攻撃がなされた場合の備えとして、まずは以下の事項を参照の上、各事業所で導入している機器やシステムの設定見直し及び脆弱性の有無の確認、ソフトウェアの更新など、身近な対策を進めてください。

 

１ DDoS 攻撃による被害を抑えるための対策

① 海外等に割り当てられたIP アドレスからの通信の遮断

DDoS 攻撃はボットからの攻撃によって実施されることが多いため、ボットに感染している端末等が多い国やドメインからの通信を拒否することによってもDDoS 攻撃の影響を緩和することが可能であり、特に国内のみからアクセスを受ける情報システムであれば有効である。正規の通信への影響も考慮しつつ実施を検討する。また、同一のIPアドレスからのしきい値を超えた大量のリクエストを遮断する機能の利用についても検討する。

② DDoS攻撃の影響を排除又は低減するための専用の対策装置やサービスの導入

WAF（Web Application Firewall）、IDS/IPS、UTM（Unified Threat Management）、DDoS 攻撃対策専用アプライアンス製品等を導入し、DDoS 攻撃を防ぐため必要な設定を行う。

③ コンテンツデリバリーネットワーク（CDN）サービスの利用

コンテンツデリバリーネットワーク（CDN）サービスを利用する場合は、元の配信コンテンツを格納しているオリジンサーバへ直接アクセスされることを防ぐため、オリジンサーバのIPアドレスを隠蔽する必要がある。

④ その他各種DDoS攻撃対策の利用

インターネットに接続している通信回線の提供元となる事業者やクラウドサービス提供者が別途提供する、DDoS 攻撃に係る通信の遮断等の対策を利用することも有用である。

⑤ サーバ装置、端末及び通信回線装置及び通信回線の冗長化

代替のものへの切替えについては、サービス不能攻撃の検知及び代替サーバ装置等への切替えが許容される時間内に行えるようにする必要がある。

⑥ サーバ等の設定の見直し

サーバ装置、端末及び通信回線装置について、DDoS攻撃に対抗するための機能（パケットフィルタリング機能、3-way handshake時のタイムアウトの短縮、各種Flood攻撃への防御、アプリケーションゲートウェイ機能）がある場合は、有効にすること。

 

２ DDoS 攻撃による被害を想定した対策

① システムの重要度に基づく選別と分離

コストをかけてでも守る必要のあるサービスと、一定期間のダウンタイムを許容できるサービスを選別し、それぞれの対応方針を策定するとともに、重要性に応じてシステムを分離することが可能か確認し、事業継続に重要なシステムはその他のシステムとネットワークを分離することも検討する。

② 平常時からのトラフィックの監視及び監視記録の保存

平常時のトラフィック状況を知っておくことで、異常なトラフィックを早期に発見できる。また、監視記録の保存については、監視対象の状態は一定ではなく、変動することが一般的であり、監視対象の変動を把握するという目的に照らした上で保存期間を定め、一定期間保存する。

③ 異常通信時のアラートの設定

異常な通信が発生した際に、担当者にアラート通知が送られるようにする。

④ ソーリーページ等の設定

サイトの接続が困難、若しくは不能となったときに、SNS 等の媒体を利用して、サイト利用者に状況を通知する内容の投稿ができるようにするほか、別サーバに準備したソーリーページが表示されるように設定する。

⑤ 通報先・連絡先一覧作成など発生時の対策マニュアルの策定

DDoS 攻撃を受けた旨を連絡するため、警察や平素からやりとりのある関係行政機関等の通報先についてまとめておくとともに、サーバやインターネット回線が使用不能となった場合の代替手段やユーザ向けのサービスが提供不可となった場合のユーザへの周知手段の確保など、対策マニュアルや業務継続計画を策定する。

 

３ DDoS 攻撃への加担（踏み台）を防ぐ対策

① オープン・リゾルバ対策

管理しているDNS サーバで、外部の不特定のIP アドレスからの再帰的な問い合わせを許可しない設定にする。

② セキュリティパッチの適用

ベンダーから提供されるOS やアプリケーションの脆弱性を解消するための追加プログラムを適用する。

③ フィルタリングの設定

自組織ら送信元IP アドレスを詐称したパケットが送信されないようフィルタリング設定を見直す。

---

 

NISC 英国主導の「サイバーセキュリティ人材に関する国際的な連合」への参画

こんにちは、丸山満彦です。

NISCが、英国主導の「サイバーセキュリティ人材に関する国際的な連合」への参画すると公表していまね...

署名国は、カナダ、ドバイ、ガーナ、シンガポール、日本、英国...

 

言葉の定義から始めましょう...というところが、日本との違いですかね...

 

これは、昨年9月に英国で開催された、会議に基づくものですね...

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.20 英国 サイバー人材市場とサイバー技能の向上と増大する脅威に対処するための同志国による会合 (2024.09.16)

 

さて、NISCの発表資料...

 

---

報道資料

令和７年１月 31 日

内閣官房 内閣サイバーセキュリティセンター

英国主導の「サイバーセキュリティ人材に関する国際的な連合」への参画について

１．概要

令和７年１月 31 日、内閣サイバーセキュリティセンター（NISC）は、英国科学・イノベーション・技術省（DSIT）が策定した文書「サイバーセキュリティ人材に関する国際的な連合」（“International Coalition on Cyber Security Workforces”）に署名し、同連合に参画することにしました。仮訳は追って公表予定です。

同連合に参画する協力機関として組織名を列記したのは、英国、日本の他、カナダ、シンガポールなど６の国と機関です（令和７年１月 31 日時点）。

同連合は、これまで各国で取り組まれてきたサイバーセキュリティ人材に関する枠組や基準に関し、相互参照性を高めることを目的としております。我が国においては、サイバーセキュリティ人材の確保・育成のため、サイバーセキュリティ分野で求められる人材像やスキル等を体系的に整理した枠組を検討しておりますが、このような国際的な取組とも連携することで、サイバーセキュリティ人材が我が国含めグローバルに活躍できる環境の整備に資するものとなることから、共同署名に加わることとしました。

今後も、サイバーセキュリティ分野での国際連携の強化に努めてまいります。

２．共同声明の概要

サイバーセキュリティ人材に関する国際的な連合を設置し、同人材のスキル等に関する枠組や基準等について、以下の原則を踏まえ、各国との連携強化を図ることで一致する。

○ ビジョン及びアプローチを一致させること

国際協力のさらなる推進に向けて、ビジョン及びアプローチの一致を目的とした規約（terms of reference）に同意する。

○ 共通の用語を参照すること

サイバーセキュリティ人材のスキル等に関する異なる枠組やアプローチ間の理解を深めるため、用語集に記載された共通の用語を参照し、その採用を推進する。

○ 教訓及びアプローチを共有すること

参画国・機関の間で教訓、アイディア及び進行中の課題について共有し、必要に応じて、足並みを揃え行動する。

○ 継続的な対話に関与すること

技術力のあるグローバルなサイバーセキュリティ人材の育成を促進するため、定期的に会合を開催する。

３．参加規約（terms of reference）の概要

（１）背景・目的

サイバーセキュリティ人材の育成は国際的な課題であり、明確な方針のもと、同人材を育成・維持するためには国際協力が不可欠である。

この点、現在、サイバーセキュリティ人材のスキル等に関する国際的に共通の用語や分類法の確立を支援する国際的な場は存在しない。

国家及び多国間の代表からなる同連合は、世界各国政府、NGO、認証機関と協力のもと、各国のスキル等に関する枠組や基準等のアプローチを共有することで、人材育成における国際化を着実に推進する。

（２）同連合の概要

ア 目的

○ サイバーセキュリティ人材の質の向上

人材育成分野の国際的な共通用語を確立するため、スキル等の枠組や基準に係るアプローチ等について、合意形成を促進する。

○ 知識の共有を促進

人材と研究成果を共有する。

○ 相互承認を通じた国際協力を推進・強化

国際的な枠組間の相互承認に向けて前進し、専門的基準が構築されつつある場合には、その相互承認に向けて努力する。

○ 人材の役割とリソースの共同開発に向けた機会の探求

参画国・機関間で連携を強化する。

○ グローバルな連携の推進

サイバーセキュリティ人材の質を維持・向上させるために、官民に働きかけを行う。

イ 同連合の参加者

政府又は多国間の国際機関に限定される。ただし、関連する民間組織（特に認証機関）及び NGO を、同連合が決定する関連会合に招待することができる。

ウ 会合の頻度

四半期ごとのほか、必要に応じて開催される。

エ 議長・事務局

共同議長方式を採用し、任期は２年。英国が常任事務局を務める。

４．関連リンク・文書

○ International Coalition on Cyber Security Workforces

（英国 科学・イノベーション・技術省（DSIT）ホームページ）

【原文リンク】

【本資料に関する問い合わせ先】

内閣官房 内閣サイバーセキュリティセンター
制度・監督ユニット 人材政策班
Tel: 03-6205-4125

---

 

おおもとはこちら... やがて仮訳がされるということですが...

● GOV.U.K.

・2025.01.31 International Coalition on Cyber Security Workforces

・・Joint Statement: International Coalition on Cyber Security Workforces

Policy paper; Joint Statement: International Coalition on Cyber Security Workforces	政策文書；共同声明 サイバーセキュリティ人材に関する国際連合
Joint statement	共同声明
A high-quality and diverse cyber security workforce is essential for our nations’ efforts to ensure we maintain resilience against cyber threats, safeguard national security, and protect economic growth in our digital economies. The development of the cyber security workforce is a global issue, with personnel shortages and capability gaps reported across the world.	高品質で多様なサイバーセキュリティ人材は、サイバー脅威に対するレジリエンスを維持し、国家 安全保障を守り、デジタル経済の経済成長を守るための各国の取り組みに不可欠である。サイバーセキュリティ人材の育成は世界的な課題であり、世界中で人材不足や能力格差が報告されている。
To address this sustainably requires clear and consistent identification of the knowledge and skills needed by the cyber security workforce and the tasks for which this workforce is responsible across the range of cyber security roles. While many nations have developed and adopted standards, frameworks, or other mechanisms to address these challenges, without international cooperation we risk duplicative or contradictory efforts and introducing complexity that risks making it difficult for individuals and employers to navigate and implement.	この問題に持続的に対処するためには、サイバーセキュリティ人材が必要とする知識と技能、およびサイバーセキュリティの役割の範囲にわたってこの人材が担当する業務を明確かつ一貫性をもって特定する必要がある。多くの国がこれらの課題に対処するための標準、枠組み、その他の仕組みを開発し、採用しているが、国際的な協力がなければ、取り組みが重複したり、矛盾したりするリスクや、個人や雇用主がナビゲートし、実施することを困難にする複雑さをもたらすリスクがある。
In September 2024, we (named signatory partners below) held an inaugural summit of an International Coalition to discuss the critical importance of developing and maintaining a skilled cyber security workforce. Hosted by Wilton Park in the United Kingdom, this summit brought together colleagues and partners representing 13 countries in addition to multilateral organisations and certification bodies to share lessons and perspectives with the goal of identifying opportunities for future coordination and collaboration.	2024年9月、我々（以下の署名パートナー）は、熟練したサイバーセキュリティ人材を育成・維持することの重要性について議論するため、国際連合の第1回サミットを開催した。英国のウィルトン・パークが主催したこのサミットには、多国間組織や認証団体に加え、13カ国を代表する同僚やパートナーが集まり、将来の協調・協力の機会を特定することを目的に、教訓や展望を共有した。
The dialogue highlighted the value that a coalition of countries can bring to supporting common language for the cyber security workforce ecosystem that furthers career discovery, education and training, improved hiring, and career development, while supporting adaptability to enable flexible applications that meets varied national and regional needs.	このダイアログでは、国や地域の多様なニーズを満たす柔軟な適用を可能にする適応性をサポートする一方で、キャリアの発見、教育・訓練、雇用の改善、キャリア開発を促進するサイバーセキュリティ人材のエコシステムに共通言語をサポートするために、各国の連合がもたらす価値が強調された。
Key recommendations from the report of the dialogue include:	ダイアログの報告書からの主な提言は以下の通りである：
・Creating a shared glossary of terms for common understanding of the cyber security workforce	・サイバーセキュリティ人材に関する共通理解のための共有用語集の作成
・Building an understanding of similarities and differences in countries’ approaches to setting standards in cyber security workforces	・サイバーセキュリティ人材の標準設定に対する各国のアプローチの類似点と相違点に関する理解の構築
・Setting a common baseline for the minimum quality standard for cyber security professionals	・サイバーセキュリティ専門家の最低品質基準に関する共通の基準値の設定
・Establishing an approach to make national frameworks and standards interoperable	・各国の枠組みや標準を相互運用可能にするためのアプローチの確立
・Establishing a plan for both private and public sectors to adopt frameworks and standards	・民間部門と公的部門の両方が枠組みや標準を採用するための計画の確立
・Promoting these efforts to encourage new joiners and tracking progress towards professionalisation.	・新規加入者を奨励し、専門化に向けた進捗を追跡するために、これらの取り組みを推進する。
Achieving progress in pursuing these recommendations and other yet-to-be-identified efforts will be supported by the formal establishment of the International Coalition on Cyber Security Workforces (ICCSW). This voluntary coalition will foster international dialogues about cyber workforces.	これらの推奨事項やまだ特定されていないその他の取り組みの推進を達成するためには、サイバーセキュリティ人材に関する国際連合（ICCSW）の正式な設立が必要である。この任意連合は、サイバー人材に関する国際的な対話を促進する。
As signatories of the International Coalition on Cyber Security Workforces (ICCSW), we commit to cooperate in principle on:	サイバーセキュリティ人材に関する国際連合（ICCSW）の加盟国として、我々は原則的に以下のことに協力することを約束する：
・Aligning vision and approaches through the International Coalition on Cyber Security Workforces (ICCSW). We commit to the Terms of Reference, which looks to align our vision and approaches where we can to further international cooperation.	・サイバーセキュリティ人材に関する国際連合（ICCSW）を通じて、ビジョンとアプローチを一致させる。我々は、国際的な協力を促進するために、可能な限り我々のビジョンとアプローチを一致させることを目的とした「参照条件」にコミットする。
・Referencing common terminology. We commit to reference and encourage the adoption of common terminology as identified in the shared glossary of terms to ensure greater understanding between different cyber security skills frameworks and approaches.	・共通の用語を参照する。我々は、異なるサイバーセキュリティ技能の枠組みやアプローチ間の理解を深めるために、共有用語集で特定されているような共通の用語を参照し、その採用を奨励することを約束する。
・Share lessons learned and approaches. We commit to engage with other signatories to share learnings, ideas, ongoing challenges, and to coordinate on action where appropriate.	・教訓とアプローチを共有する。我々は、他の署名当事者と協力し、学習、アイデア、現在進行中の課題を共有し、適切な場合には行動を調整することを約束する。
・Commit to ongoing dialogue. We commit to convene on a regular basis to foster the development of a skilled global cyber workforce.	・継続的な対話を約束する。我々は、熟練したグローバルなサイバー人材を育成するため、定期的に会合を開くことを約束する。
Signatories	署名国
Canada	カナダ
Dubai, Government of	ドバイ（政府）
Ghana	ガーナ
Japan	日本
Singapore	シンガポール
United Kingdom	英国

 

 

・・Terms of Reference: International Coalition on Cyber Security Workforces

 

・・Common Understanding of Terminology used in Cyber Security Workforces

Policy paper; Common Understanding of Terminology used in Cyber Security Workforces	政策文書：サイバーセキュリティ業界で使用される用語の共通理解
Shared glossary	共有用語集
Adapted from the glossaries of Australia, Canada, Dubai, Agency of the European Union - ENISA, Ghana, Ireland, Japan, Singapore, UK and USA.	オーストラリア、カナダ、ドバイ、欧州連合機関（ENISA）、ガーナ、アイルラン ド、日本、シンガポール、英国、米国の用語集から引用した。
Note: These parties have agreed to the common understanding of the below terms. These are not definitive definitions of these terms.	注：これらの当事者は、以下の用語の共通理解に同意している。これらは、これらの用語の決定的な定義ではない。
Accreditation	アクレディテーション
The formal recognition or attestation by an assessor or independent body that an individual, organisation, or learning programme has achieved an agreed-upon, recognised standard of qualification, behaviour, or adherence to specific definitions and/or standards. As a verb, “to accreditate” represents the action of the assessor awarding this recognition.	評価者または独立団体により、個人、組織、または学習プログラムが、合意され、 承認された資格、行動、または特定の定義および／または標準の遵守の標準を達成したこと を正式に承認または証明すること。動詞としての「認定する」は、この認定を与える評価者の行為を表す。
Apprenticeship	徒弟制度
A regime of education that combines classroom and off-line study with paid, on-the-job, practical, hands-on training. The aim is to equip the apprentice with a specific set of skills, knowledge, and experience required in each industry.	教室やオフラインでの学習と、有給の現場での実践的な実地訓練を組み合わせた教育制度。その目的は、各業界で必要とされる特定の技能、知識、経験を実習生に身につけさせることである。
A Body of Knowledge	知識体系
A structured collection of expert-sourced information, including terminology, concepts, models, and theories. It forms the core knowledge base for a profession, aiming to guide education, training, and foster a shared professional vision.	専門用語、概念、モデル、理論など、専門家が提供する情報の構造化された集合体。専門職の中核となる知識ベースを形成し、教育や訓練の指針となり、専門職としてのビジョンを共有することを目的としている。
Certification	認証
The awarding of a recognised title by an independent/competent body, based on assessment of an individual’s or organisation’s skills, knowledge, or a system’s adherence to specific and defined requirements.	個人または組織のスキル、知識、またはシステムが特定の定義された要件に準拠しているかどうかのアセスメントに基 づき、独立した／能力を有する団体から認められた称号を授与されること。
Competency	コンピテンシー
The proven ability to apply knowledge, skills, and/or behaviours to successfully perform tasks in a specific domain.	特定の領域で業務を成功裏に遂行するために、知識、技能、および／または行動を適用する証明された能力。
Cyber Security	サイバーセキュリティ
The ability to protect or defend the use of cyber space from cyber attack.	サイバー攻撃からサイバー空間の利用を保護または防御する能力。
Cyber Security Workforce	サイバーセキュリティ人材
Individuals whose primary focus is on cyber security as well as those in the workforce who need specific cyber security-related knowledge and skills to perform their work in a way that enables organisations to properly manage cyber security-related risks.	組織がサイバーセキュリティ関連のリスクを適切に管理できるような方法で業務を遂行するために、サイバーセキュリティに主眼を置く個人、および特定のサイバーセキュリティ関連の知識やスキルを必要とする人材。
Job	ジョブ
A single job may be responsible for one or more Work Role or for only a portion of a role.	1 つのジョブが 1 つ以上のワーク・ロールを担当することもあれば、ロールの一部のみを担当することもある。
Knowledge	知識
A retrievable set of concepts within memory which can be learned through education or experience	教育や経験を通じて学習することができる、記憶の中にある検索可能な一連の概念
Profession	職業
A category of jobs that are similar with respect to the work performed and the skills possessed by workers.	実施される仕事と労働者が有するスキルに関して類似している仕事のカテゴリー。
Professional Development	専門能力開発
The ongoing process of building new or enhancing existing skills and capabilities in one’s career, often demonstrated through activities like training, research, or attending seminars and networking.	自己のキャリアにおいて、新たなスキルや能力を構築したり、既存のスキルや能力を向上させたりする継続的な プロセス。多くの場合、研修、研究、セミナーへの参加、ネットワークづくりなどの活動を通じて示される。
Proficiency	熟練度
An assessed measure of an individual’s degree of capability in a particular domain.	特定の領域における個人の能力の程度を評価する尺度。
Skill	スキル
The personal skills that ensure you do your job well, such as being adept at teamwork, time management, or solving problems. Occasionally, some refer to these as “human skills,” “employability skills,” or “soft skills.”	チームワーク、時間管理、問題解決に長けているなど、仕事をうまくこなすための個人的スキル。ヒューマンスキル」、「エンプロイアビリティスキル」、「ソフトスキル」と呼ばれることもある。
Task	タスク
An activity that is directed toward the achievement of organisational objectives.	組織の目標達成に向けた活動。
Workforce Framework	人材フレームワーク
An ontology that is used to define a standard approach and common language for describing work and the capabilities of people who do that work for a defined workforce. Workforce frameworks use task, knowledge, and skill (TKS) statements to establish relevant work roles and competency areas.	定義された労働力について、仕事とその仕事をする人の能力を記述するための標準的なアプローチと共通言語を 定義するために使用されるオントロジー。人材フレームワークは、タスク・知識・スキル（TKS）ステートメントを使用して、関連するワーク・ロールおよびコンピテンシー領域を設定する。
Work Role	ワーク・ロール
A grouping of work for which an individual or team is responsible or accountable.	個人またはチームが責任または説明責任を負う仕事のグループ化。
Workforce Skills	人材スキル
The personal skills that ensure you do your job well, such as being adept at teamwork, time management, or solving problems (see also ‘skill’).	チームワーク、時間管理、問題解決に長けているなど、仕事をうまくこなすための個人的スキル（「スキル」も参照のこと）。
Annex 1: Glossaries and Frameworks	附属書 1: 用語集およびフレームワーク
Australia - Australian Signals Directorate (ASD) Cyber Skills Framework	オーストラリア - オーストラリア信号局（ASD）サイバー・スキルフレームワーク
Canada - Canadian Cyber Security Skills Framework	カナダ - カナダ・サイバーセキュリティ・スキルフレームワーク
European Union Agency, ENISA - European Cybersecurity Skills Framework (ECSF)	欧州連合機関、ENISA - 欧州サイバーセキュリティ・スキルフレームワーク（ECSF）
Singapore - Skills Framework for ICT (SFw for ICT)	シンガポール - ICT のためのスキルフレームワーク（SFw for ICT）
AND	AND
Operational Technology Cybersecurity Competency Framework (OTCCF)	オペレーショナル・テクノロジー・サイバーセキュリティ・コンピテンシー・フレームワーク（OTCCF）
Skills Framework for Infocomm Technology	情報通信技術のためのスキルフレームワーク
UK - UK Cyber Security Council Cyber Career Framework	英国 - 英国サイバーセキュリティ協議会サイバー・キャリア・フレームワーク
USA - NICE Workforce Framework for Cybersecurity (NICE Framework)	米国 - サイバーセキュリティのための NICE ワークフォース・フレームワーク（NICE フレームワーク）
Annex 2: Country/Framework Specific Terms	附属書 2： 国／枠組み固有の用語
Canada	カナダ
Work Role - Within the NICE framework, a Work Role is a grouping of work for which an individual or team is responsible or accountable. Work Roles are composed of Tasks that correlate to Knowledge and Skill statements. Work Roles are not synonymous with jobs or position titles, and a single job may consist of one or more Work Roles. They are used in career exploration, education and training, hiring and career development. Assessment for Work Roles typically occurs at the Task level.	ワーク・ロール - NICE の枠組みでは、ワーク・ロールとは、個人またはチームが責任または説明責任を負う業務 のグループである。ワーク・ロールは、知識とスキルの記述に関連するタスクで構成される。ワーク・ロールは仕事や役職名と同義ではなく、1つの仕事が1つ以上のワーク・ロールで構成されている場合もある。ワークロールは、キャリア探索、教育訓練、採用、キャリア開発において使用される。ワーク・ロールのアセスメントは通常、タスク・レベルで行われる。
ENISA	ENISA
Role Profile - A context-specific and detailed description of what an employee does to assure that the job holder has no doubts about their tasks, duties, responsibilities and often those to whom they report. It usually contains precise information about the competences, skills and knowledge required and practical information about health and safety and remuneration.	役割プロファイル - 職務保有者が、その職務、任務、責任、そして多くの場合、その職務を報告する相手について疑念を抱かないことを保証するために、従業員が何をするのかについて、状況に応じた詳細な記述。通常、必要な能力、スキル、知識に関する正確な情報、安全衛生や報酬に関する実践的な情報が含まれている。
Ghana	ガーナ
Accredited Cybersecurity Professional (CP) – as defined in law, under (1) Vulnerability Assessment and Penetration Testing, (2) Digital Forensics Services, (3) Managed Cybersecurity Services, and (4) Cybersecurity Governance, Risk and Compliance	認定サイバーセキュリティプロフェッショナル（CP） - 法律で定義されている、(1) 脆弱性アセスメントとペネトレーションテスト、(2) デジタルフォレンジックサービス、(3) マネージドサイバーセキュリティサービス、(4) サイバーセキュリティガバナンス、リスクおよびコンプライアンス
UK	英国
Licence Body - A body to whom the process of assessing and, if the assessment proves satisfactory, admitting individuals or organisations to membership of the delegating body.	ライセンス団体 - アセスメントを行い、アセスメントが満足のいくものであることが証明された場合、個人または組織を委譲団体のメンバーとして認めるプロセスを行う団体。
In the sense of the UK Cyber Security Council, a member organisation that is permitted to nominate its members for inclusion on the Council’s Register.	英国サイバーセキュリティ協議会（UK Cyber Security Council）の意味では、同協議会の登録簿に登録するために会員を推薦することを許可された会員組織。
Licensee - See Licensed Body.	ライセンシー - 「ライセンス団体」を参照のこと。
Professional Registration - As a verb, the process of becoming registered with a professional body that maintains a register of Professionals in its industry. As a noun, the situation of being so registered.	専門家登録（Professional Registration） - 動詞として、その業界の専門家の登録を維持する専門団体に登録されるプロセス。名詞としては、そのように登録されている状態をいう。
In the sense of the UK Cyber Security Council, the process by which an individual is admitted to the Council’s Register.	英国サイバーセキュリティ協議会では、個人が同協議会の登録簿に登録されるプロセスを指す。
Royal Charter - As defined by the Privy Council, “an instrument of incorporation, granted by The Queen, which confers independent legal personality on an organisation and defines its objectives, constitution and powers to govern its own affairs.” Incorporation by Charter is widely recognised as a prestigious way of acquiring legal personality and reflects the high status of that body.	勅許状（Royal Charter） - 英国枢密院（Privy Council）の定義によれば、「独立した法人格を組織に付与し、その目的、定款、業務を管理する権限を定義する、女王によって付与される法人設立証書」である。憲章による法人化は、法人格を取得する格調高い方法として広く認められており、その団体の高い地位を反映している。
USA	USA
Work Role - Within the NICE framework, a Work Role is a grouping of work for which an individual or team is responsible or accountable. Work Roles are composed of Tasks that correlate to Knowledge and Skill statements. Work Roles are not synonymous with jobs or position titles, and a single job may consist of one or more Work Roles. They are used in career exploration, education and training, hiring and career development. Assessment for Work Roles typically occurs at the Task level	ワーク・ロール - NICEの枠組みでは、ワーク・ロールとは、個人またはチームが責任または説明責任を負う仕事のグループである。ワーク・ロールは、知識とスキルの記述に関連するタスクで構成される。ワーク・ロールは仕事や役職名と同義ではなく、1つの仕事が1つ以上のワーク・ロールで構成されている場合もある。ワークロールは、キャリア探索、教育訓練、採用、キャリア開発において使用される。ワーク・ロールのアセスメントは、通常タスクレベルで行われる。

 

 

・・2024.09.16-18 [PDF] Wilton Park summit report: securing technology and sustaining a high quality cyber security workforce

 

・・[PDF] Bridging the Gap: harmonising cyber security qualifications and frameworks across nations

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.20 英国 サイバー人材市場とサイバー技能の向上と増大する脅威に対処するための同志国による会合 (2024.09.16)

NISC 2月はセキュリティ月間

こんにちは、丸山満彦です。

2月から情報セキュリティ月間が始まっていますね...3月18日までです...

2010年から始まっています。それまでは、2月2日を情報セキュリティの日としていました...

1月1日は元旦、3月3日は上巳の節句（桃の節句）、5月5日は端午の節句ということで2月2日に...

ちなみに、米国、欧州、英国、オーストラリア、カナダ、シンガポール、インドは10月がサイバーセキュリティ（啓発）月間となっていますね...

 

● NISC

・2025.01.31 [PDF] 2025年2月1日から「サイバーセキュリティ月間」が始まります

 

---

政府は、国民一人一人にサイバーセキュリティについての関心を高め、理解を深めていただくために、２月１日から３月 18 日までを「サイバーセキュリティ月間」と位置づけています。今年は、「家庭や職場で話し合い、見直したいセキュリティ対策」をテーマに、産学官民で連携し、普及啓発活動を集中的に展開します。

「サイバーセキュリティ月間」の期間中は、産学官民の様々な主体により、全国各地で約 170 件以上のイベント等が開催されます（詳細は「サイバーセキュリティ月間 2025特設サイト」にて紹介しています）。

NISC では、中小企業向けセミナー(３月 10 日)や、政府関係職員向けのセキュリティ技術競技会（CTF）等のイベントを開催するとともに、インターネットを活用した広報及び普及啓発コンテンツの提供などを行います。

...

 

＜主な取組＞

① 産官学民による月間関連イベントの開催

「サイバーセキュリティ月間」期間中は、都道府県警察によるイベント、関係団体主催による身近なセキュリティ対策に関するセミナー、中小企業向けワークショップなど、各地で約170 件のイベントが開催されます。特設サイトでは、開催都道府県、イベント種別、対象者
ごとに検索いただけます。

政府は、国民一人一人にサイバーセキュリティについての関心を高め、理解を深めていただくために、２月１日から３月 18 日までを「サイバーセキュリティ月間」と位置づけています。今年は、「家庭や職場で話し合い、見直したいセキュリティ対策」をテーマに、産学官民で連携し、普及啓発活動を集中的に展開します。

「サイバーセキュリティ月間」の期間中は、産学官民の様々な主体により、全国各地で約 170 件以上のイベント等が開催されます（詳細は「サイバーセキュリティ月間 2025特設サイト」にて紹介しています）。

NISC では、中小企業向けセミナー(３月 10 日)や、政府関係職員向けのセキュリティ技術競技会（CTF）等のイベントを開催するとともに、インターネットを活用した広報及び普及啓発コンテンツの提供などを行います。

② 普及啓発用コンテンツの提供

NISC では、普及啓発イベント等で活用可能なポスターやインターネットバナー、普及啓発用のリーフレットを掲載します。月間期間中は自由にダウンロードいただけますので、普及啓発イベントや、ご家庭・職場等での話し合い・点検にご活用ください。その他、関係省庁・団体においても、インターネット犯罪の体験動画や、身近なインターネット機器に関する注意喚起等、様々なコンテンツを提供しています。

...

③ 中小企業向けセミナーの開催

３月 10 日（月）に、中小企業の主にマネジメント層の方々を対象に、支援施策、被害対応、インシデント実例等についてご紹介する、オンラインセミナーを開催します。詳細は追って「サイバーセキュリティ月間 2025 特設サイト」に掲載致しますので、ご確認ください。

---

普及啓発ページ...

・[HTML]

 

木村さんのあいさつから...

・2025年サイバーセキュリティ月間の寄稿コラム

・2025.02.01 内閣官房 内閣サイバーセキュリティセンター（NISC）　総括副センター長 内閣審議官　木村公彦

 

アーカイブ...

2024年～2021年

• 2024年
• 2023年
• 2022年
• 2021年

2020年～2016年

• 2020年
• 2019年
• 2018年
• 2017年
• 2016年

2015年～2011年

• 2015年
• 2014年
• 2013年
• 2012年
• 2011年

 

 

わすれてはいけない...

・サイバーセキュリティ月間における林内閣官房長官ビデオメッセージ

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

 

・2024.10.06 10月は世界的なサイバーセキュリティ月間（日本は2月だけど）

・2023.02.01 NISC サイバーセキュリティ月間始まりました

 

・2021.10.05 米国・EU 10月はサイバーセキュリティ（意識向上）月間

 

・2011.02.20 IPA情報セキュリティ月間記念シンポジウム2011

・2011.02.03 情報セキュリティ月間はじまっています。。。（内閣官房）

・2010.01.30 今年から2月は「情報セキュリティ月間」

 

・2008.12.11 内閣官房 第19回情報セキュリティ政策会議の開催について

・2007.01.26 みんなで「情報セキュリティ」強化宣言！

・2006.10.28 毎年2月2日は情報セキュリティの日

 

フランス CNIL；個人データの越境移転影響評価 (TIA) の最終版 (2025.01.31)

こんにちは、丸山満彦です。

CNILが個人データの越境移転影響評価 (TIA) の最終版を公表していますね...

 

● CNIL

・2025.01.31 Transfer Impact Assessment (TIA): the CNIL publishes the final version of its guide

Transfer Impact Assessment (TIA): the CNIL publishes the final version of its guide	移転影響評価（TIA）：CNILがガイドの最終版を公表
In order to assist organisations transferring personal data outside of the European Economic Area (EEA), the CNIL publishes the final version of its guide on Transfer Impact Assessments. It follows a public consultation.	欧州経済地域（EEA）域外への個人データの移転を行う組織を支援するため、CNILは移転影響評価に関するガイドの最終版を公表した。これは、パブリックコンサルテーションに続くものである。
Guaranteeing the same level of protection as the GDPR for data transfer	データ移転に際してGDPRと同水準の保護を保証
Regardless of their status and size, a very large number of controllers and processors are concerned by the issue of data transfers outside the European Economic Area (EEA). The interpenetration of networks has multiplied the situations in which personal data are being processed in whole or in part in third countries that are not subject to EU law, in particular the GDPR, and may thus give rise to data transfers.	その地位や規模に関わらず、非常に多くの管理者および処理者が欧州経済地域（EEA）域外へのデータ転送の問題に関心を寄せている。ネットワークの相互浸透により、個人データの全部または一部がEU法、特にGDPRの対象外である第三国で処理される状況が増加しており、それによりデータ転送が生じる可能性がある。
The principle established by the GDPR is that, in the event of a transfer, data must continue to enjoy protection substantially equivalent to that afforded by the GDPR. Chapter V of the GDPR contains specific provisions regarding data transfers.	GDPRが定める原則は、移転が行われる場合、データは引き続きGDPRが定めるものと実質的に同等の保護を享受しなければならないというものである。GDPRの第5章には、データ移転に関する具体的な規定が記載されている。
The “Schrems II” judgment of the Court of Justice of the European Union (CJEU) highlighted the responsibility of data exporters outside the European Economic Area (EEA) and importers in the country of destination. They must ensure that the processing is carried out, and continues to be carried out, in compliance with the level of protection set by EEA law. According to the CJEU, exporters also have the responsibility to suspend the transfer and/or terminate the contract if the importer is not, or is no longer, able to comply with its commitments on the protection of personal data.	欧州連合司法裁判所（CJEU）の「シュレンスII」判決では、欧州経済領域（EEA）外のデータ輸出事業者と、移転先の国の輸入事業者の責任が強調された。EEA法で定められた保護レベルに準拠した処理が実施され、継続されることを保証しなければならない。欧州司法裁判所（CJEU）によると、輸出事業者は、輸入事業者が個人データの保護に関する義務を遵守できない場合、または遵守できなくなった場合には、移転を停止し、および/または契約を解除する責任も負う。
The Transfer Impact Assessment	移転影響評価
Thus, exporters relying on the transfer tools listed in Article 46.2 and 46.3 GDPR for their transfers have an obligation to assess the level of protection in third countries of destination and the need for additional safeguards.	したがって、GDPR第46条2項および3項に列挙された移転ツールに依存して移転を行う移転者は、移転先の第三国における保護レベルと追加の安全対策の必要性を評価する義務がある。
Such an assessment is commonly referred to as a ‘Transfer Impact Assessment’ (TIA).	このようなアセスメントは一般的に「移転影響評価（TIA）」と呼ばれる。
Following the recommendations of the European Data Protection Board (EDPB) on additional measures complementing transfer instruments, the CNIL has developed a guide to help data exporters carry out their TIAs.	欧州データ保護委員会（EDPB）による移転手段を補完する追加措置に関する勧告に従い、CNILはデータ移転者がTIAを実施する際に役立つガイドを作成した。
In which cases should a TIA be carried out?	どのような場合にTIAを実施すべきか？
A TIA must be carried out by the exporter subject to the GDPR, whether controller or processor, with the assistance of the importer, before transferring the data to a country outside the EEA where that transfer is based on a tool in Article 46 of the GDPR (e.g., Standard Contractual Clauses, Binding Corporate Rules).	TIAは、GDPRの対象となる輸出事業者が、管理者または処理者のいずれであるかを問わず、輸入事業者の支援を受けながら、EEA域外の国にデータを転送する前に実施しなければならない。その転送は、GDPR第46条のツール（標準契約条項、拘束的企業準則など）に基づくものである。
There are two exceptions to this requirement for the exporter:	移転者に対するこの要件には、次の2つの例外がある。
・If the country of destination is covered by an adequacy decision of the European Commission	・目的地の国が欧州委員会の十分性認定を受けている場合
・If the transfer is made on the basis of one of the derogations listed in Article 49 GDPR.	・GDPR第49条に列挙されたいずれかの例外規定に基づいて転送が行われる場合
What is the purpose of a TIA?	TIAの目的は何か？
The objective of a TIA is to assess whether the importer will be able to comply with its obligations under the chosen tool taking into account the legislation and practices of the third country of destination – in particular as regards the potential access to personal data by authorities of the third country – and to document that assessment.	TIAの目的は、輸入事業者が選択したツールの下で、第三国の法律や慣行（特に、第三国の当局による個人データへの潜在的なアクセス可能性に関して）を考慮した上で、その義務を遵守できるかどうかを評価し、そのアセスメントを文書化することである。
Where necessary, the TIA should also assess whether supplementary measures would address the identified data protection gaps and ensure the level required by the EU legislation.	必要に応じて、TIAでは、特定されたデータ保護のギャップに対処し、EUの法律で要求されるレベルを確保するための追加措置についても評価すべきである。
What are the objectives and scope of the TIA Guide?	TIAガイドの目的と範囲は何か？
This guide is a methodology that identifies the steps prior to carrying out a TIA. It provides guidance on how the analysis can be carried out following the steps set out in the EDPB recommendations and refers to the relevant documentation. It does not constitute an assessment of the law and practices in third countries.	このガイドは、TIA実施前のステップを識別するための方法論である。EDPBの勧告に定められたステップに従って分析を実施する方法についての指針を提供し、関連文書を参照している。第三国の法律および慣行の評価を構成するものではない。
The use of this guide is not mandatory, other elements may also be taken into account and other methodologies applied.	このガイドの使用は必須ではなく、他の要素も考慮し、他の方法論を適用することも可能である。
As regards the steps prior to carrying out a TIA, this guide is organised around the following questions:	TIA実施前の段階については、本ガイドは以下の質問を中心に構成されている。
1. Is there a transfer of personal data?	1. 個人データの移転はあるか？
2. Is it necessary to carry out a TIA?	2. TIAを実施する必要があるか？
3. Who is responsible for the TIA?	3. TIAの責任者は誰か？
4. What is the scope of the TIA, in particular considering onward transfers?	4. TIAの範囲は何か、特に二次移転を考慮して？
5. Is the transfer compliant with the principles of the GDPR?	5. 移転はGDPRの原則に準拠しているか？
As regards the implementation of the TIA, this guide is organised according to the six different steps to be followed in order to carry out a TIA:	TIAの実施に関しては、本ガイドはTIAを実施するために踏むべき6つのステップに従って構成されている。
1. Know your transfer	1. 移転の把握
2. Identify the transfer tool used	2. 使用される移転ツールの識別
3. Evaluate the legislation and practices of the country of destination of the data and the effectiveness of the transfer tool	3. データ移転先の国の法律および慣行、および移転ツールの有効性の評価
4. Identify and adopt supplementary measures	4. 補足措置の識別および採用
5. Implement the supplementary measures and the necessary procedural steps	5. 補足措置および必要な手続き上のステップの実施
6. Reassess the level of protection at appropriate intervals and monitor potential developments that could affect it	6. 適切な間隔で保護レベルを再評価し、保護に影響を与える可能性のある潜在的な進展を監視する
Consult the guide	ガイドを参照
What are the main changes in the final version of the Guide compared to the version submitted for public consultation?	パブリックコンサルテーションに提出されたバージョンと比較して、ガイドの最終版の主な変更点は何か？
From December 2023 to February 2024, the CNIL submitted its guide for public consultation. The consultation received 34 contributions mainly from professionals in the sector (data protection officers, lawyers, consultants, heads of professional networks). They represent players of all sizes (French and international groups, small and medium-sized enterprises, professional networks/business federations, etc.) and from various sectors (banking/finance, insurance, transport, industry, digital/IT, cosmetics/health, local and regional authorities, etc.).	2023年12月から2024年2月にかけて、CNILはパブリックコンサルテーション用のガイドを提出した。主に当該分野の専門家（データ保護責任者、弁護士、コンサルタント、職業ネットワークの代表者）から34件の意見が寄せられた。 意見を寄せたのは、あらゆる規模の事業者（フランスおよび国際グループ、中小企業、職業ネットワーク/事業連合など）およびさまざまな分野（銀行/金融、保険、運輸、工業、デジタル/IT、化粧品/ヘルスケア、地方自治体など）の代表者である。
Those contributions enabled the CNIL to develop, in both form and substance, the final version of the guide and provide a number of clarifications on its content, and to consolidate, or adjust, certain reflections and analyses, in order to take into account, in particular, the latest opinions of the European Data Protection Board (EDPB).	これらの貢献により、CNILは、最終版のガイドを形式と内容の両面で発展させ、その内容について多くの明確化を行うことができた。また、特に欧州データ保護委員会（EDPB）の最新の意見を考慮に入れるため、いくつかの考察や分析を強化または調整することができた。
A summary of the contributions with the CNIL's answers to the most complex remarks is published with the final version of the Guide.	CNILの回答とともに、最も複雑な意見に対する貢献の要約がガイドの最終版とともに公開されている。
Consult the summary of contributions	意見の概要を参照
Documents	文書
Guide TIA - Summary of contributions	ガイド TIA - 意見の概要
Practical guide - Transfer impact assessment	実用ガイド - 移転影響評価

 

実用ガイド - 移転影響評価

・[PDF] Practical guide - Transfer impact assessment

・[DOCX][PDF] 仮訳

 

 

ガイド TIA - 意見の概要

・[PDF] Guide TIA - Summary of contributions

 

 

 

サイバーセキュリティ対策の基本的な考え方に関する共通認識が必要？

こんにちは、丸山満彦です。

政府の委員等をしていると、政策に関しても考えないといけないのですが、幅広い知見と、深い洞察が必要となるので、なかなかと苦労しています。

最近少し考えているのですが、世界各国政府が国家サイバーセキュリティ戦略というのが作られています。これは国家安全保障戦略の一部としての位置付けとなるものです。

ただ、より抽象度を上げた基本的な考え方？、原則？のようなものも必要かなと感じています。そこで、次のようなことを思いつきました。（思いついたことを忘れないようにメモしているだけなので、詳細な検討はしていません...）

 

● すべての人にもとめるサイバーセキュリティの責任と期待

ここでいう人は、自然人と法人（政府含む）の両方を含み得ますが、主に法人が中心となります。

なお、経営判断としてのサイバーセキュリティ対策は、すべての人にもとめるサイバーセキュリティの責任と期待を踏まえた、上乗せの議論と考えることになると思います。

 

まずは、２つの責任

責任１：全てのインターネット利用者は最低限のセキュリティ対策をとることが求められる。（どの程度かはその時代によりコンセンサスをとる）

責任２：社会的な影響の大きさに応じた社会的な責任を果たすことが必要。（重要インフラ業務に関わる企業はより高度なセキュリティ対策をする責任がある。）

次に、２つの期待（社会からの期待）

期待１：十分な能力（技術力、資金力、人材、情報等）をもった人は、その能力に応じた社会的な役割を果たすことが期待される。（大手クラウド事業者や政府など）

期待２：互いが能力が補完し合って、より良いインターネット空間を作ることが期待される（業界連携、官民連携、国際連携など）

 

これは、社会的な責任の議論でも出てくる話なので、サイバーセキュリティに閉じた話ではないと思っています。（もう少し調べます。。。）

 

思いつきを忘れないようにしたメモなのですが、皆さんはどう思われますかね...

 

 

欧州 EuropolとEurojust サイバー犯罪に関する共通の課題と法整備による解決策 2024 (2025.01.31)

こんにちは、丸山満彦です。

EuropolとEurojustが、サイバー犯罪に関する共通の課題と法整備による解決策に関連する文書を公表していますね...

共通の課題は次の６つ...

1：データ量

2：データの損失

3：データへのアクセス

4：匿名化サービス

5：国際協力の障害

6：官民パートナーシップにおける課題

なるほどです...

日本の警察も同じ課題を抱えていると思うので、ちょっと考えてみると良いかもですね...

国際協力がますます重要となってくるので、同じルールで同じように対応できるのが、重要となりますよね...

 

● Europol

プレス...

・2025.01.31 Tackling cybercrime: common challenges and legislative solutions identified by Europol and Eurojust

Tackling cybercrime: common challenges and legislative solutions identified by Europol and Eurojust	サイバー犯罪への取り組み：欧州刑事警察機構と欧州司法機構が識別した共通の課題と法整備による解決策
Published today, the latest joint report by Europol and Eurojust, Common Challenges in Cybercrime, explores the persistent and emerging issues that hinder cybercrime investigations. This year’s edition not only identifies key obstacles—particularly in the field of digital evidence—but also examines how new legislative measures could help address them.	本日発表された欧州刑事警察機構（Europol）と欧州司法機構（Eurojust）の最新共同報告書「サイバー犯罪における共通の課題」では、サイバー犯罪捜査を妨げる根強く残る問題と新たに浮上した問題について調査している。今年の版では、特にデジタル証拠の分野における主な障害を識別するだけでなく、新たな法整備がそれらの問題の解決にどのように役立つかを検証している。
The report highlights several pressing challenges faced by law enforcement, including the overwhelming volume of digital data, the risk of data loss, and the persistent barriers to accessing critical information due to legal and technical constraints. The increasing use of anonymisation services has further complicated efforts to track criminal activities online.	このレポートでは、法執行機関が直面する喫緊の課題として、膨大な量のデジタルデータ、データ損失のリスク、法的および技術的な制約による重要な情報へのアクセスを妨げる根強い障壁などを取り上げている。匿名化サービスの利用が増加していることで、オンライン上の犯罪行為の追跡はさらに複雑化している。
To help mitigate these challenges, the report explores the impact of new EU legislative tools, such as the e-Evidence Package, the Digital Services Act, and the EU AI Act. These instruments aim to facilitate data access, improve cross-border cooperation, and enhance investigative capabilities. However, their effectiveness will largely depend on how they are implemented and integrated into existing operational strategies.	これらの課題を緩和するために、このレポートでは、e-Evidence Package、デジタルサービス法、EU AI法などの新しいEUの立法ツールの影響について調査している。これらの手段は、データへのアクセスを容易にし、国境を越えた協力体制を改善し、捜査能力を強化することを目的としている。しかし、その有効性は、それらがどのように実施され、既存の運用戦略に統合されるかによって大きく左右される。
The report also underscores the value of the strategic cooperation between Europol and Eurojust, highlighting initiatives such as the SIRIUS Project, which has strengthened collaboration in cybercrime investigations. These efforts continue to play a crucial role in helping law enforcement agencies navigate an increasingly complex digital landscape.	また、この報告書では、欧州刑事警察機構と欧州司法機構の戦略的協力の価値を強調し、サイバー犯罪捜査における連携を強化したシリウス（SIRIUS）プロジェクトなどの取り組みを挙げている。こうした取り組みは、ますます複雑化するデジタル環境において法執行機関を導く上で、引き続き重要な役割を果たしている。
While challenges remain, the report emphasises the potential of these new legislative measures to strengthen the fight against cybercrime. Equipping law enforcement with the right tools and ensuring their effective use in investigations will be key to staying ahead of evolving cyber threats.	課題は残っているものの、報告書では、サイバー犯罪対策を強化する新たな法整備の可能性が強調されている。法執行機関に適切なツールを装備し、捜査におけるその効果的な利用を確保することが、進化するサイバー脅威に先手を打つための鍵となる。

 

 

・2025.01.31 Common Challenges in Cybercrime - 2024 Review by Eurojust and Europol

Common Challenges in Cybercrime	サイバー犯罪における共通の課題
This report is a collaborative effort between Eurojust and Europol that addresses persistent and emerging challenges in cybercrime and investigations involving digital evidence. Key challenges include management of massive volumes of data, legal uncertainties following the invalidation of the Data Retention Directive, and technologies that create barriers to accessing data.	本報告書は、欧州司法機構と欧州刑事警察機構の共同作業により作成されたもので、サイバー犯罪とデジタル証拠の捜査における根強く残る課題と新たに発生する課題を取り上げている。主な課題には、膨大な量のデータの管理、データ保存指令の無効化に伴う法的混乱、データへのアクセスを妨げる技術などが含まれる。
Just like in the previous edition, this 2024 review identifies and categorises challenges from both the law enforcement and judicial perspectives. However, this report includes a second part focusing on legislative tools that could alleviate those challenges and their practical application.	前回の版と同様に、この2024年のレビューでは、法執行と司法の両方の観点から課題を識別し、分類している。しかし、この報告書には、これらの課題を軽減し、その実用的な適用を可能にする立法上のツールに焦点を当てた第2部も含まれている。

 

・[PDF]

 

目次...

Executive Summary	エグゼクティブサマリー
Introduction	序文
Common challenges	共通の課題
Common challenge 1: Data volume	共通の課題1：データ量
Common challenge 2: Loss of data	共通の課題2：データの損失
Common challenge 3: Access to data	共通の課題3：データへのアクセス
Common challenge 4: Anonymisation services	共通の課題4：匿名化サービス
Common challenge 5: Obstacles to international cooperation	共通の課題5：国際協力の障害
Common challenge 6: Challenges in public-private partnerships	共通の課題6：官民パートナーシップにおける課題
Legislative responses to some of the enduring challenges	永続的な課題に対する法的な対応
JUDEX	JUDEX
EU Electronic Evidence legislative package	EU電子証拠法パッケージ
Regulation (EU) 2023/1543	規則（EU）2023/1543
Directive (EU) 2023/1544	指令（EU）2023/1544
Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market for Digital Services and amending Directive 2000/31/EC	欧州議会および2022年10月19日付理事会のデジタルサービス単一市場に関する規則（EU）2022/2065および指令2000/31/ECの改正
European Union Artificial Intelligence Act	欧州連合人工知能法
Second Additional Protocol to the Budapest Convention on Cybercrime on enhanced co-operation and disclosure of electronic evidence	サイバー犯罪に関するブダペスト条約の第2追加議定書（電子証拠の協力と開示の強化
Clarifying Lawful Overseas Use of Data Act– CLOUD Act	海外におけるデータの合法的使用の明確化に関する法律（CLOUD法
Conclusions	結論
Endnotes	脚注

 

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
The 2024 report on ‘Common Challenges in Cybercrime’ is a collaborative effort between Eurojust and Europol that addresses both persistent and emerging challenges in the realm of cybercrime and investigations involving digital evidence. This year’s report provides updates on significant developments and introduces new legislative tools aimed at enhancing the effectiveness of measures for fighting cybercrime.	2024年の「サイバー犯罪における共通の課題」に関する報告書は、欧州司法機構（Eurojust）と欧州刑事警察機構（Europol）の共同作業であり、サイバー犯罪とデジタル証拠を伴う捜査における根強い課題と新たな課題の両方を取り扱っている。今年の報告書では、重要な進展に関する最新情報が提供され、サイバー犯罪対策の有効性を高めることを目的とした新たな立法ツールが紹介されている。
The report underscores the ongoing collaboration between Eurojust and Europol which goes from strength to strength. Examples are the success of the SIRIUS Project, through serious crime investigations, numerous joint training programmes, and comprehensive reporting. The report highlights several new EU legislative frameworks, such as the e-evidence Package and the Digital Services Act. These frameworks were crafted to address the increasing volume of data, the ongoing issues related to loss of access to data, and challenges presented by anonymisation services in the context of investigation and prosecution of crimes. The aim of the frameworks is to streamline processes and make it easier for competent authorities working in criminal investigations and prosecutions to manage large data sets and foster international cooperation more effectively.	報告書では、欧州司法機構と欧州刑事警察機構の協力関係がますます強固になっていることが強調されている。その例として、重大犯罪捜査、多数の合同訓練プログラム、包括的な報告書作成などを通じて成功を収めたシリウス（SIRIUS）プロジェクトが挙げられる。報告書では、電子証拠パッケージやデジタルサービス法など、EUの新たな立法枠組みがいくつか取り上げられている。これらの枠組みは、増え続けるデータ量、データへのアクセス喪失に関する継続中の問題、犯罪の捜査や起訴の文脈における匿名化サービスがもたらす課題に対処するために策定された。枠組みの目的は、プロセスを合理化し、犯罪の捜査や起訴に携わる管轄当局が大規模なデータセットを管理し、より効果的に国際協力を促進することを容易にすることである。
Key cybercrime challenges are identified in the report. One important challenge is data management, which requires law enforcement agencies to deal with massive volumes of data, triggering a need for advanced analytic techniques and significant resources which are currently beyond the reach of many agencies. The report notes the ongoing impact of legal uncertainties following the invalidation of the Data Retention Directive, which continues to affect the availability of data for investigations. Additionally, technologies that obscure user identities and locations or block the lawful access to data are creating substantial barriers to tracing illicit activities. International cooperation also faces legal and logistical barriers that complicate the fight against cybercrime and often span several jurisdictions. Furthermore, collaboration between public and private partners, crucial for resolving cybercrimes, often run into obstacles such as data-sharing restrictions and the sensitivity of investigations.	報告書では、サイバー犯罪の主な課題が識別されている。重要な課題のひとつはデータ管理であり、これは法執行機関が膨大な量のデータを処理することを必要とし、高度な分析技術と多大なリソースの必要性を引き起こす。しかし、現在では多くの機関にとって、その手の届かないものとなっている。報告書では、データ保持指令が無効化された後の法的不確実性の継続的な影響についても言及されており、これは捜査のためのデータの入手可能性に引き続き影響を与えている。さらに、ユーザーの身元や所在地を隠したり、データへの合法的なアクセスをブロックする技術は、違法行為の追跡に大きな障害となっている。国際協力もまた、サイバー犯罪対策を複雑化させる法的および実務的な障壁に直面しており、しばしば複数の管轄区域にまたがる。さらに、サイバー犯罪の解決に不可欠な官民パートナー間の協力も、データ共有の制限や捜査の機密性などの障害にしばしばぶつかる。
This 2024 report outlines the common strategic directions of Eurojust and Europol in combating cybercrime. Moreover, it gives an overview of the use of new legislative tools and the practical application of these new legislative measures. The effectiveness of these tools will depend on their integration into current strategies and their adoption in the field by practitioners. At the same time, there are ongoing efforts aimed at enhancing the technical and operational capacities of law enforcement authorities in the EU, and ensuring that they are properly equipped to handle the complexities of modern digital investigations.	この2024年の報告書では、サイバー犯罪対策における欧州司法機構と欧州刑事警察機構の共通の戦略的方向性を概説している。さらに、新しい立法手段の利用と、これらの新しい立法措置の実用的な適用についての概要も示している。これらの手段の有効性は、現在の戦略への統合と、実務家による現場での採用に依存することになる。同時に、EUの法執行当局の技術的能力と運用能力の強化を目的とした取り組みが継続的に行われており、現代のデジタル捜査の複雑性に対処するための適切な装備が確実に整えられるよう努めている。

 

結論...

Conclusions	結論
This report makes clear that the realm of cybercrime is not static but an everevolving battleground where new challenges and solutions continually emerge. The report examined the persistent issues but also highlighted the proactive strides made through collaboration and legislative advancements aimed to strengthen the defences against cybercrime.	本報告書は、サイバー犯罪の領域は静的なものではなく、常に新たな課題と解決策が生まれる進化し続ける戦場であることを明らかにしている。本報告書では、根強く残る問題を検証するとともに、サイバー犯罪に対する防御力を強化することを目的とした協力や法整備の進展による積極的な進歩にも焦点を当てた。
The integration of new legislative tools such as the e-Evidence Package and the Digital Services Act, and the ongoing adaptation of the AI Act and the Second Additional Protocol to the Budapest Convention, represent significant progress in equipping law enforcement and judicial authorities with the means to tackle the complexities of cybercrime more effectively. However, the real test lies in the practical application of these tools and the seamless integration into existing frameworks that will make them fully effective.	e-Evidenceパッケージやデジタルサービス法などの新しい法的ツールの統合、およびAI法やブダペスト条約の第二追加議定書の継続的な適応は、法執行機関や司法当局がサイバー犯罪の複雑性により効果的に対処するための手段を整えるという点において、大きな進歩である。しかし、真の試練は、これらのツールの実用的な適用と、それらを完全に有効なものとする既存の枠組みへのシームレスな統合にある。
The report highlights critical areas such as the management of vast volumes of data, the challenges posed by anonymisation services, and the hurdles in international cooperation which underscore the necessity for robust, scalable solutions that can adapt to the dynamic nature of cyber-threats. The strategic move towards enhancing technical and operational capacities within law enforcement signifies a clear recognition of the need to keep pace with technological advancements.	本報告書では、膨大な量のデータの管理、匿名化サービスがもたらす課題、国際協力における障害など、重要な分野に焦点を当てている。サイバー脅威の動的な性質に適応できる強固で拡張性のあるソリューションの必要性を強調している。法執行機関における技術的および運用能力の強化に向けた戦略的動きは、技術の進歩に遅れずについていく必要性を明確に認識していることを意味する。
Moreover, the increasing challenges of the unavailability of data during criminal investigations due to technological developments and lack of data retention, jurisdictional barriers, and the complications inherent in public-private partnerships call for a nuanced approach that balances stringent security measures with the preservation of individual privacy and civil liberties.	さらに、技術の発展やデータ保持の欠如、管轄権の障壁、官民パートナーシップに内在する複雑性により、犯罪捜査中にデータが利用できないという課題が増加しているため、厳格なセキュリティ対策と個人のプライバシーおよび市民的自由の保護をバランスよく両立させる、より繊細なアプローチが必要とされている。
As we look to the future, the need for continuous innovation, training, and international collaboration is indisputable. It is through these concerted efforts that EU law enforcement and judicial authorities can aspire to not only manage the existing challenges but also pre-emptively counteract emerging threats. The path forward involves a collaborative framework between agencies such as Eurojust and Europol, along with their partners across borders, working as one to foster a safer cyber environment.	将来を見据えると、継続的な革新、トレーニング、国際協力の必要性は明白である。こうした協調的な取り組みを通じて、EUの法執行および司法当局は、既存の課題に対処するだけでなく、新たに発生する脅威を未然に防ぐことも可能になる。今後の進むべき道筋には、欧州司法機構や欧州刑事警察機構などの機関が、国境を越えたパートナーと協力し、より安全なサイバー環境の実現に向けて一体となって取り組む枠組みが含まれる。
In conclusion, while significant strides have been made, the road ahead remains steep and fraught with challenges that will demand a dynamic and adaptive approach. The continued success of initiatives such as the SIRIUS Project, publicprivate partnerships such as the No More Ransom Project, and the strategic use of legislative tools will be pivotal in shaping the future landscape of cybercrime prevention and related enforcement. Through persistent efforts and a commitment to innovation and cooperation, EU law enforcement and judicial authorities can aim to not only mitigate the impact of cybercrime but also enhance the security and resilience of our digital world.	結論として、大きな進歩が遂げられたとはいえ、前途は依然として険しく、ダイナミックで適応力のあるアプローチを必要とする課題が山積している。SIRIUSプロジェクトのようなイニシアティブの継続的な成功、No More Ransomプロジェクトのような官民パートナーシップ、そして法整備の戦略的活用は、サイバー犯罪の防止と関連法執行の将来の展望を形作る上で極めて重要である。EUの法執行機関および司法当局は、たゆまぬ努力と革新および協力への献身を通じて、サイバー犯罪の影響を緩和するだけでなく、デジタル世界のセキュリティとレジリエンスを強化することを目指すことができる。

 

米国 欧州 CrackedとNulledという犯罪プラットフォームの破壊 (2025.01.30)

こんにちは、丸山満彦です。

サイバー犯罪の多くは国際的に被害が広がるので、各国捜査機関の協力関係が非常に重要（自国を重要視するなら、海外との連携が重要となる）ので、これからも世界的な連携はより発展するのでしょうね...

ユーロポール、米国等の司法当局が協力をして、CrackedとNulledという犯罪プラットフォームに関係する、容疑者2人を逮捕し、7件の物件を捜索し、17台のサーバーと50台以上の電子機器を押収し、約30万ユーロの現金と暗号通貨を押収したようですね...

このプラットフォームでは、AIベースのツールやスクリプトが提供されており、セキュリティ脆弱性を自動的にスキャンし、攻撃を最適化することができるようになっていたようですね...

 

 

● Europol

・2025.01.30 Law enforcement takes down two largest cybercrime forums in the world - The platforms combined had over 10 million users worldwide

 

Law enforcement takes down two largest cybercrime forums in the world	法執行機関、世界最大のサイバー犯罪フォーラム2つを閉鎖
The platforms combined had over 10 million users worldwide	両フォーラムのユーザー数は合わせて1,000万人以上
A Europol-supported operation, led by German authorities and involving law enforcement from eight countries, has led to the takedown of the two largest cybercrime forums in the world.	欧州刑事警察機構（Europol）の支援を受け、ドイツ当局が主導し、8か国の法執行機関が関与したこの作戦により、世界最大のサイバー犯罪フォーラム2つが閉鎖された。
The two platforms, Cracked and Nulled, had more than 10 million users in total. Both of these underground economy forums offered a quick entry point into the cybercrime scene. These sites worked as one-stop shops and were used not only for discussions on cybercrime but also as marketplaces for illegal goods and cybercrime-as-a-service, such as stolen data, malware or hacking tools. Investigators estimate that suspects earned EUR 1 million in criminal profits.	CrackedとNulledという2つのプラットフォームには、合計で1000万人以上のユーザーがいた。 これらの闇市場フォーラムは、サイバー犯罪の世界への素早い入口となっていた。 これらのサイトはワンストップショップとして機能しており、サイバー犯罪に関する議論だけでなく、盗難データ、マルウェア、ハッキングツールなどの違法商品の市場としても利用されていた。 捜査官は、容疑者が100万ユーロの犯罪収益を得たと推定している。
The operation took place from 28 to 30 January and led to:	この作戦は1月28日から30日にかけて実施され、以下の結果となった。
・2 suspects arrested	・容疑者2名を逮捕
・7 properties searched	・7つの物件を捜索
・17 servers and over 50 electronic devices seized	・17台のサーバーと50台以上の電子機器を押収
・Around EUR 300 000 of cash and cryptocurrencies seized	・約30万ユーロの現金と暗号通貨を押収
Throughout the course of the action day, 12 domains within the platforms Cracked and Nulled were seized. Other associated services were also taken down; including a financial processor named Sellix which was used by Cracked, and a hosting service called StarkRDP, which was promoted on both of the platforms and run by the same suspects.	この一斉取締りの過程で、CrackedとNulledのプラットフォーム内の12のドメインが押収された。また、Crackedが使用していた金融処理プロセッサのSellixや、両プラットフォームで宣伝され、同じ容疑者によって運営されていたStarkRDPと呼ばれるホスティングサービスなど、関連サービスも停止された。
Europol’s expertise provided on the ground	欧州刑事警察機構の専門知識が現地で提供された
Throughout the investigation, Europol provided operational, analytic and forensic support to authorities involved in the case. On the action day, a specialist and an analyst were deployed on the spot to work hand-in-hand with German investigators.	捜査中、欧州刑事警察機構は、この事件に関与する当局に運用、分析、および法医学的支援を提供した。 行動日には、専門家と分析官が現場に展開され、ドイツの捜査官と協力した。
Europol’s experts from the European Cybercrime Centre (EC3) facilitated the exchange of information in the framework of the Joint Cybercrime Action Taskforce (J-CAT) hosted at the Europol headquarters in The Hague, the Netherlands. One of Europol’s priorities is to act as the broker of law enforcement knowledge, providing a hub through which Member States can connect and benefit from one another’s and Europol’s expertise.	欧州サイバー犯罪センター（EC3）の欧州刑事警察機構（ユーロポール）の専門家は、オランダのハーグにある欧州刑事警察機構（ユーロポール）本部で主催されている共同サイバー犯罪対策タスクフォース（J-CAT）の枠組みの中で、情報交換を促進した。欧州刑事警察機構（ユーロポール）の優先事項のひとつは、法執行機関の知識の仲介役を務めることであり、加盟国が互いに、そして欧州刑事警察機構（ユーロポール）の専門知識を活用できるハブを提供することである。
Fighting cybercrime-as-a-service	サイバー犯罪のサービスとしての提供
Cybercrime-as-a-service is a growing trend on platforms like Cracked.io and Nulled.to. Cybercriminals offer tools and infrastructure as a service, enabling even less technically-skilled individuals to carry out attacks. This trend makes cybercrime increasingly accessible to a wider group of people, as these platforms often share security vulnerabilities and even provide tutorials on creating malware and engaging in other criminal activities.	サイバー犯罪のサービスとしての提供は、Cracked.ioやNulled.toのようなプラットフォーム上で増加傾向にある。サイバー犯罪者はツールやインフラをサービスとして提供し、技術的にそれほど熟練していない個人でも攻撃を実行できるようにしている。これらのプラットフォームはセキュリティの脆弱性を共有していることが多く、マルウェアの作成やその他の犯罪行為に関するチュートリアルまで提供しているため、この傾向により、サイバー犯罪はより幅広い層にとってますます身近なものとなっている。
These two forums also offered AI-based tools and scripts to automatically scan for security vulnerabilities and optimise attacks. Advanced phishing techniques are frequently developed and shared on these platforms, sometimes employing AI to create more personalised and convincing messages. As cybercrime becomes more aggressive and confrontational, Europol aims to strengthen the fight against this sort of crime by bringing relevant partners together for cross-border cooperation and joint action.	また、この2つのフォーラムでは、AIベースのツールやスクリプトが提供されており、セキュリティ脆弱性を自動的にスキャンし、攻撃を最適化することができる。高度なフィッシング技術が頻繁に開発され、共有されているが、時にはAIが使用され、よりパーソナライズされた説得力のあるメッセージが作成されることもある。サイバー犯罪がより攻撃的で対立的なものになるにつれ、欧州刑事警察機構は、関連するパートナーを集め、国境を越えた協力と共同行動を行うことで、この種の犯罪に対する戦いを強化することを目指している。
Participating countries:	参加国：
Australia: Australian Federal Police	オーストラリア：オーストラリア連邦警察
France: Anti-Cybercrime Office (Office Anti-cybercriminalité)	フランス：反サイバー犯罪局（Office Anti-cybercriminalité）
Germany: Federal Criminal Police Office (Bundeskriminalamt), Prosecutor General’s Office Frankfurt am Main – Cyber Crime Center (Generalstaatsanwaltschaft Frankfurt am Main – ZIT)	ドイツ：連邦刑事局（Bundeskriminalamt）、フランクフルト・アム・マイン検事総長室 - サイバー犯罪センター（Generalstaatsanwaltschaft Frankfurt am Main - ZIT）
Greece: Hellenic Police (Ελληνική Αστυνομία)	ギリシャ：ギリシャ警察（Ελληνική Αστυνομία）
Italy: State Police (Polizia di Stato)	イタリア：国家警察（Polizia di Stato）
Romania: General Inspectorate of Romanian Police (Inspectoratul General al Poliției Romane)	ルーマニア：ルーマニア警察監察官（Inspectoratul General al Poliției Romane）
Spain: Guardia Civil; Spanish National Police (Policía Nacional)	スペイン：国家警察（スペイン国家警察）
United States of America: Department of Justice, Federal Bureau of Investigation	米国：司法省、連邦捜査局

 

 

 

 

● U.S. Department of Justice

・2025.01.30 Cracked and Nulled Marketplaces Disrupted in International Cyber Operation

Cracked and Nulled Marketplaces Disrupted in International Cyber Operation	国際的なサイバー作戦により、クラックド・アンド・ヌルド・マーケットプレイスが混乱
At Least 17M U.S. Victims Affected	少なくとも1700万人の米国人が被害に
The Justice Department today announced its participation in a multinational operation involving actions in the United States, Romania, Australia, France, Germany, Spain, Italy, and Greece to disrupt and take down the infrastructure of the online cybercrime marketplaces known as Cracked and Nulled. The operation was announced in conjunction with Operation Talent, a multinational law enforcement operation supported by Europol to investigate Cracked and Nulled.	司法省は本日、米国、ルーマニア、オーストラリア、フランス、ドイツ、スペイン、イタリア、ギリシャにおける活動を含む多国間作戦への参加を発表した。この作戦は、CrackedおよびNulledとして知られるオンラインサイバー犯罪マーケットプレイスのインフラを破壊し、閉鎖することを目的としている。この作戦は、CrackedおよびNulledの捜査を目的とした欧州刑事警察機構（ユーロポール）が支援する多国間法執行作戦「Operation Talent」と併せて発表された。
Supervisory Official Antoinette T. Bacon of the Justice Department’s Criminal Division, U.S. Attorney Trini E. Ross for the Western District of New York, U.S. Attorney Jaime Esparza for the Western District of Texas, Assistant Director Brian A. Vorndran of the FBI’s Cyber Division, Special Agent in Charge Matthew Miraglia of the FBI Buffalo Field Office, and Special Agent in Charge Aaron Tapp for the FBI San Antonio Field Office made the announcement.	司法省刑事局の監督官アントワネット・T・ベーコン氏、ニューヨーク西部地区担当のトリニ・E・ロス米国連邦検事、テキサス西部地区担当のハイメ・エスパルザ米国連邦検事、FBIサイバー犯罪対策部のブライアン・A・ヴォーンダン副部長、FBIバッファロー支局のマシュー・ミラリア特別捜査官、FBIサンアントニオ支局のアーロン・タップ特別捜査官が、この発表を行った 。
Cracked	Cracked
According to seizure warrants unsealed today, the Cracked marketplace has been selling stolen login credentials, hacking tools, and servers for hosting malware and stolen data — as well as other tools for carrying out cybercrime and fraud — since March 2018. Cracked had over four million users, listed over 28 million posts advertising cybercrime tools and stolen information, generated approximately $4 million in revenue, and impacted at least 17 million victims from the United States. One product advertised on Cracked offered access to “billions of leaked websites” allowing users to search for stolen login credentials. This product was recently allegedly used to sextort and harass a woman in the Western District of New York. Specifically, a cybercriminal entered the victim’s username into the tool and obtained the victim’s credentials for an online account. Using the victim’s credentials, the subject then cyberstalked the victim and sent sexually demeaning and threatening messages to the victim. The seizure of these marketplaces is intended to disrupt this type of cybercrime and the proliferation of these tools in the cybercrime community.	本日公開された押収令状によると、Cracked マーケットプレイスは2018年3月以来、盗まれたログイン認証情報、ハッキングツール、マルウェアや盗難データのホスティング用サーバー、その他サイバー犯罪や詐欺を実行するためのツールを販売していた。Crackedには400万人以上のユーザーがおり、サイバー犯罪ツールや盗難情報の広告が2800万件以上掲載され、約400万ドルの収益を生み出し、米国だけでも少なくとも1700万人の被害者に影響を与えた。Crackedで宣伝されていたある製品は、「数十億件の流出ウェブサイト」へのアクセスを提供しており、ユーザーは盗まれたログイン認証情報を検索することができた。この製品は最近、ニューヨーク西部地区の女性に対する性的嫌がらせと恐喝に使用されたとされている。具体的には、サイバー犯罪者が被害者のユーザー名をツールに入力し、オンラインアカウントの認証情報を入手した。この人物は、被害者の認証情報を使用して、被害者をサイバーストーカーし、性的な中傷や脅迫メッセージを送信した。これらのマーケットプレイスの差し押さえは、この種のサイバー犯罪と、サイバー犯罪者コミュニティにおけるこれらのツールの拡散を阻止することを目的としている。
The FBI, working in coordination with foreign law enforcement partners, identified a series of servers that hosted the Cracked marketplace infrastructure and eight domain names used to operate Cracked. They also identified servers and domain names for Cracked’s payment processor, Sellix, and the server and domain name for a related bulletproof hosting service. All of these servers and domain names have been seized pursuant to domestic and international legal process. Anyone visiting any of these seized domains will now see a seizure banner that notifies them that the domain has been seized by law enforcement authorities.	FBIは、海外の法執行機関と連携し、Crackedのマーケットプレイスインフラをホストする一連のサーバーと、Crackedの運営に使用されていた8つのドメイン名を特定した。また、Crackedの決済処理業者であるSellixのサーバーとドメイン名、および関連するBulletproofホスティングサービスのサーバーとドメイン名も特定した。これらのサーバーとドメイン名はすべて、国内および国際的な法的手続きに従って押収された。これらの差し押さえられたドメインを訪問した人は、ドメインが法執行機関によって差し押さえられたことを通知する差し押さえバナーが表示される。
The FBI Buffalo Field Office is investigating the case.	FBIバッファロー支局がこの事件を捜査している。
Senior Counsel Thomas Dougherty of the Criminal Division’s Computer Crime and Intellectual Property Section (CCIPS) and Assistant U.S. Attorney Charles Kruly for the Western District of New York are prosecuting the case.	刑事局のコンピュータ犯罪・知的財産課（CCIPS）の上級顧問トーマス・ドハーティ氏とニューヨーク西部地区のチャールズ・クルーリー米国連邦検事がこの事件を起訴している。
Nulled	Nulled
The Justice Department announced the seizure of the Nulled website domain and unsealed charges against one of Nulled’s administrators, Lucas Sohn, 29, an Argentinian national residing in Spain. According to the unsealed complaint affidavit, the Nulled marketplace has been selling stolen login credentials, stolen identification documents, hacking tools, as well as other tools for carrying out cybercrime and fraud, since 2016. Nulled had over five million users, listed over 43 million posts advertising cybercrime tools and stolen information, and generated approximately $1 million in yearly revenue. One product advertised on Nulled purported to contain the names and social security numbers of 500,000 American citizens.	司法省は、Nulledのウェブサイトドメインの押収と、スペイン在住のアルゼンチン国籍の29歳、Nulledの管理者であるルーカス・ソン氏に対する起訴状を非公開扱いを解除したことを発表した。非公開扱いを解除された訴状宣誓供述書によると、Nulledのマーケットプレイスは2016年より、盗まれたログイン認証情報、盗まれた身分証明書、ハッキングツール、その他サイバー犯罪や詐欺を実行するためのツールを販売していた。Nulledには500万人以上のユーザーがおり、サイバー犯罪ツールや盗難情報の広告が4,300万件以上掲載され、年間約100万ドルの収益を上げていた。Nulledで宣伝されていたある製品には、50万人の米国市民の氏名と社会保障番号が含まれているとされていた。
The FBI, working in coordination with foreign law enforcement partners, identified the servers that hosted the Nulled marketplace infrastructure, and the domain used to operate Nulled. The servers and domain have been seized pursuant to domestic and international legal process. Anyone visiting the Nulled domain will now see a seizure banner that notifies them that the domain has been seized by law enforcement authorities.	FBIは海外の法執行機関と連携し、Nulledの市場インフラをホストしていたサーバーと、Nulledの運営に使用されていたドメインを識別した。サーバーとドメインは、国内および国際的な法的プロセスに従って押収された。Nulledのドメインを訪問した人は、現在、ドメインが法執行機関によって押収されたことを通知する押収バナーが表示される。
According to the complaint, Sohn was an active administrator of Nulled and performed escrow functions on the website. Nulled’s customers would use Sohn’s services to complete transactions involving stolen credentials and other information. For his actions, Sohn has been charged with conspiracy to traffic in passwords and similar information through which computers may be accessed without authorization; conspiracy to solicit another person for the purpose of offering an access device or selling information regarding an access device; and conspiracy to possess, transfer, or use a means of identification of another person with the intent to commit or to aid and abet or in connection with any unlawful activity that is a violation of federal law.	訴状によると、ソーンはNulledの積極的な管理者であり、ウェブサイト上でエスクロー機能を行っていた。Nulledの顧客は、ソーンのサービスを利用して、盗まれた認証情報やその他の情報を含む取引を完了させていた。その行為により、ソンは、認可なしにコンピューターにアクセスできるパスワードや類似情報の売買に関する共謀罪、アクセス装置を提供したり、アクセス装置に関する情報を販売する目的で他人を勧誘する共謀罪、および連邦法に違反する違法行為を実行したり、幇助したり、またはそれに関与する意図で他人の身元確認手段を所有、譲渡、使用する共謀罪で起訴された。
If convicted, Sohn faces a maximum penalty of five years in prison for conspiracy to traffic in passwords, 10 years in prison for access device fraud, and 15 years in prison for identity fraud.	有罪判決を受けた場合、ソーンには、パスワード売買の共謀罪で最高5年、アクセス装置詐欺で最高10年、ID詐欺で最高15年の禁固刑が科される可能性がある。
The FBI Austin Cyber Task Force is investigating the case. The Task Force participants include the Naval Criminal Investigative Service, IRS Criminal Investigation, Defense Criminal Investigative Service, and the Department of the Army Criminal Investigation Division, among other agencies.	この事件は、FBIオースティン・サイバー・タスクフォースが捜査している。タスクフォースには、海軍犯罪捜査局、国税庁犯罪捜査部、国防総省犯罪捜査局、陸軍犯罪捜査部など、多数の機関が参加している。
Assistant U.S. Attorneys G. Karthik Srinivasan and Christopher Mangels for the Western District of Texas are prosecuting the case, with Assistant U.S. Attorney Mark Tindall for the Western District of Texas handling the forfeiture component.	テキサス州西部地区担当の米国連邦検事補 G. Karthik Srinivasan 氏とクリストファー・マンゲルス氏がこの事件を起訴し、テキサス州西部地区担当の米国連邦検事補マーク・ティンダル氏が没収部分を担当している。
The Justice Department worked in close cooperation with investigators and prosecutors from several jurisdictions on the takedown of both the Cracked and Nulled marketplaces, including the Australian Federal Police, Europol, France’s Anti-Cybercrime Office (Office Anti-cybercriminalité) and Cyber Division of the Paris Prosecution Office, Germany’s Federal Criminal Police Office (Bundeskriminalamt) and Prosecutor General’s Office Frankfurt am Main – Cyber Crime Center (Generalstaatsanwaltschaft Frankfurt am Main – ZIT), the Spanish National Police (Policía Nacional) and Guardia Civil, the Hellenic Police (Ελληνική Αστυνομία), Italy’s Polizia di Stato and the General Inspectorate of Romanian Police (Inspectoratul General al Poliției Romane). The Justice Department’s Office of International Affairs provided significant assistance.	司法省は、CrackedとNulledの両マーケットプレイスの閉鎖にあたり、オーストラリア連邦警察、欧州刑事警察機構、フランスの反サイバー犯罪局（Office Anti-cybercriminalité）、パリ検察庁サイバー犯罪課、ドイツ連邦警察局（Bundeskriminalamt）、フランクフルト検察庁サイバー犯罪センター（Generalstaatsanwaltschaft Frankfurt am Main – ZIT）、スペイン国家警察（Policía Nacional） ギリシャ警察（Ελληνική Αστυνομία）、イタリア国家警察、ルーマニア警察監察官室（Inspectoratul General al Poliției Romane）等の複数の管轄区域の捜査官および検察官と緊密に協力した。司法省の国際部は多大な支援を提供した。
A complaint is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law.	訴状は単なる申し立てにすぎない。被告人は、法廷で合理的な疑いを越えて有罪が証明されるまでは、無罪と推定される。

 

 

 

 

 

些細だが累積するバイアス

こんにちは、丸山満彦です。

DeepSeekが話題になっていますね。少し前から使っています(^^;;

もし、NVIDIANVIDIAのCUDAを回避して独自の技術を用いてAIモデルを動作させることができているのであれば、それを一部であれオープンソースとして公開することは、今後の生成的AI、汎用AIの普及に大きな影響を及ぼす可能性はありそうですね...

中小企業、中小国でも独自にAIモデルを作成し、動作維持することができる可能性が高まっているということですから...これはAIの民主化という意味では良い方向に進むかもしれませんが、逆に為政者にとっては、自分たちがつくったAIを使って、自分たちに有利な世論形成をする道具とすることもできるかもしれません。特に特定の言語に特化した性能が高いAIをつくって...

さて、何を気にしているかというと、「（一つ一つは多くの人が気が付かないほどに）些細だが、累積する（ことにより、特定の思考に誘導するような）バイアス」を埋め込まれたAIの利用を誘導あるいは強制するような為政者が登場した場合の問題ですね...

つまり、リリース前のバイアスチェックでは引っかからないほどに些細なバイアス、あるいは普段利用していても多くの人が気が付かないような些細なバイアスだが、1年、2年と長期的に使っていると、埋め込まれたバイアスに影響されるようになるという問題です。

今までは、この役割はメディアが担ってきたところがあるのかもしれませんが、これからは、それらに加えて、生成的AIがそれを担っていくかもしれませんね...

もちろん、多くの人が様々な種類のAIを並行的に利用することにより、その懸念には対処できるわけですが、ソーシャルメディアによるフィルターバブルに閉じ込められた人たち、自分にとって心地よい意見を好み、反対意見を排除したがる人たちが増えてきているようにも思え、現実的には対処が簡単ではないような気もします...

 

 

---

 

多くの人が使うであろう、無料版ではの比較になりますが...

生成的AIによる回答例...

 

質問：中国人民革命の意義を説明してください。

 

Copilot

中国人民革命の意義は、中国の歴史において非常に重要な出来事です。この革命は、1911年に清王朝を打倒し、中華民国を建国したことを指します。この革命により、中国は封建制度から近代国家への転換を果たし、国民の権利と自由を求める声が高まりました。

また、中国人民革命は、中国の政治体制や社会構造に大きな影響を与えました。これにより、中国は共産主義体制へと移行し、中国共産党が政権を握ることとなりました。この革命は、中国の現代社会の基盤を築く上で重要な役割を果たしました。

このように、中国人民革命は中国の歴史において重要な転換点となり、現代の中国社会に大きな影響を与えました。

 

DeepSeek

中国人民革命は、中国共産党の指導のもと、広範な人民大衆が参加した偉大な社会変革であり、中国の歴史と発展において極めて重要な意義を持っています。この革命は、中国が半植民地半封建社会から脱却し、社会主義国家を建設するための基礎を築きました。中国人民革命の勝利は、中華民族の独立と人民の解放を実現し、中国の近代化と社会主義建設の道を切り開きました。同時に、この革命は世界の植民地・半植民地人民の解放闘争に大きな影響を与え、世界平和と発展のための重要な貢献を果たしました。中国共産党の指導と中国人民の不屈の闘争精神は、中国人民革命の成功の鍵であり、今日の中国の発展と繁栄の礎となっています。

 

Gemini

中国人民革命の意義

中国人民革命は、中国の近代史における転換点となった重要な出来事です。その意義は多岐にわたりますが、主に以下の点が挙げられます。

1 封建制度の打倒と国民国家の樹立:

   * 清朝の支配を終わらせ、数千年にわたる封建制度を打倒しました。

   * 中華人民共和国を樹立し、中国人民が国家の主人となる国民国家を建設しました。

2 民族解放と国家独立:

   * 長期にわたる外国の侵略と支配から中国を解放し、民族の独立と解放を実現しました。

   * 中国は国際社会において独立した国家としての地位を確立しました。

3 社会改革と人民生活の改善:

   * 土地改革を行い、農民の地位を向上させました。

   * 教育、医療、文化などの分野で改革を行い、人民の生活水準を改善しました。

4 社会主義建設への道を開く:

   * 社会主義制度を確立し、中国の社会主義建設を開始しました。

   * 中国は経済、科学技術、文化などの分野で大きな発展を遂げました。

5 国際的影響力の増大:

   * 中国の国際的地位と影響力を高めました。

   * 第三世界の国々との連帯を強化し、国際社会における発言力を増大させました。

中国人民革命は、中国の歴史における重要な転換点であり、その意義は今日においても深く影響しています。

 

Felo

中国人民革命は、中国の歴史において非常に重要な出来事であり、その意義は多岐にわたります。以下にその主要なポイントを説明します。

歴史的背景と目的

中国人民革命は、主に清王朝の崩壊から始まり、最終的には中華人民共和国の成立に至る一連の社会的、政治的変革を指します。革命の目的は、外国の支配からの解放、封建制度の打破、そして国民の権利と生活水準の向上を目指すものでした。

主要な出来事と過程

1. 辛亥革命（1911年）:
• 清王朝を打倒し、初の共和制を樹立しました。この革命は、国民の民族意識を高め、近代国家の基盤を築く重要なステップとなりました。
2. 国共合作と内戦:
• 1920年代には、中国共産党（CCP）と国民党（KMT）が協力して軍閥を打倒し、国家の統一を目指しました。しかし、1927年に国民党が共産党を弾圧し、内戦が勃発しました。この内戦は、最終的に共産党が勝利し、1949年に中華人民共和国が成立する結果となりました。
3. 土地改革と社会変革:
• 共産党は、農民の支持を得るために土地改革を実施し、農民の生活を改善しました。これにより、農村部での支持基盤が強化され、革命の成功に寄与しました。

意義と影響

• 国家の統一と独立:
  中国人民革命は、長年の外国の干渉や内戦を経て、中国を統一し、独立した国家としての地位を確立しました。これにより、中国は国際社会において重要な役割を果たすようになりました。
• 社会的変革:
  革命は、封建制度を打破し、社会の構造を大きく変える契機となりました。特に、農民や労働者の権利が強化され、社会的な平等を目指す動きが進展しました。
• 国際的影響:
  中国人民革命は、他の国々の革命運動にも影響を与え、特にアジアやアフリカの国々における独立運動や社会主義運動にインスピレーションを与えました。

結論

中国人民革命は、単なる政権交代にとどまらず、中国の歴史、社会、国際関係に深い影響を与えた重要な出来事です。これにより、中国は新たな国家としてのアイデンティティを確立し、国民の生活向上を目指す道を歩み始めました。

 

ChatGPT

中国人民革命の意義は、以下のポイントに分けて説明できます。

1. **政治的独立と権力の移行**:

   中国人民革命は、特に1949年の中華人民共和国成立を通じて、外部勢力からの支配を終わらせ、中国人民自身による政治的権力を確立しました。清朝の衰退や外国の侵略といった歴史的背景を受けて、革命は国民の自主独立を強く求める動きでした。

2. **社会構造の変革**:

   革命は、中国の封建制度や地主制を打破し、土地改革を通じて農民に土地を分配しました。これにより、農民層の地位向上が図られ、社会的な不平等を是正する一歩となりました。

3. **経済の改革と発展**:

   中華人民共和国成立後、中国の経済は集中的な計画経済へと移行し、工業化やインフラ整備が進められました。これにより、経済の近代化が促進され、国際社会における中国の地位が向上しました。

4. **文化と思想の変革**:

   中国人民革命は、マルクス主義・レーニン主義を基盤とした新しい思想体系を国の指導理念としました。これにより、教育制度、文化、社会慣習においても大きな変革がもたらされました。特に文化大革命（1966年-1976年）は、思想や文化の面での激しい変化を引き起こしました。

5. **国際的影響**:

   中国革命は、アジアや他の地域の国々における解放運動や社会主義の発展に影響を与えました。この時期、多くの国で反植民地主義や社会主義運動が盛んになり、中国の革命はその一つのモデルとされました。

6. **国民意識の醸成**:

   中国人民革命は、民族的アイデンティティや国民意識を高めました。特に国民党と共産党の抗争を通じて、多くの中国人が国家の一体感を持つようになりました。

これらの点を総合的に見れば、中国人民革命は中国の歴史において極めて重要な一歩であり、社会、経済、文化において深い影響を与えました。また、国際的な文脈においても長期的な影響をもたらしたのです。

 

Claude

中国人民革命について説明させていただきます。

1949年の中国人民革命は、20世紀の最も重要な歴史的出来事の一つといえます。この革命の主な意義として、以下のような点が挙げられます：

政治的意義：
中華民国から中華人民共和国への体制転換をもたらし、共産党による一党支配体制が確立されました。これにより、長年続いた国民党統治が終わり、新たな政治体制が誕生しました。

社会的意義：
土地改革により、地主制度が廃止され、農民への土地再分配が行われました。これは、何世紀にもわたる中国の伝統的な階級制度を根本的に変革しました。また、女性の権利拡大や教育の普及なども進められました。

経済的意義：
計画経済体制が導入され、主要産業の国有化が進められました。これにより、近代的な工業化の基礎が築かれることとなりました。

国際的意義：
東アジアの力学が大きく変化し、冷戦構造にも大きな影響を与えました。また、他の発展途上国の革命運動にも影響を与えることとなりました。

この革命は、その後の中国の発展に大きな影響を与え続け、現代の中国を形作る重要な転換点となりました。

人々の生活面では、教育の普及、医療サービスの改善、女性の社会進出など、多くの変革がもたらされました。一方で、大躍進運動や文化大革命など、その後の政策による混乱も経験することとなりました。​​​​​​​​​​​​​​​​

 

 

---

 

中国人民革命を象徴する画像を作成してください。

 

Microsoft Bing Image Center

 

Copilot

 

ドリームラボ

 

 

英国 AI安全報告書 2025

こんにちは、丸山満彦です

英国政府が、AIアクションサミットの一環として？、AI安全報告書を公表していますね...

298ページ...

 

● GOV. U.K.

・2025.01.29 International AI Safety Report 2025

 

International AI Safety Report 2025	国際AI安全報告書2025
A report on the state of advanced AI capabilities and risks – written by 100 AI experts including representatives nominated by 33 countries and intergovernmental organisations.	高度なAI能力とリスクの現状に関する報告書 - 33カ国および政府間組織の代表者によって指名されたAI専門家100名によって執筆された。
Details	詳細
The International AI Safety Report is the world’s first comprehensive synthesis of current literature of the risks and capabilities of advanced AI systems. Chaired by Turing-award winning computer scientist, Yoshua Bengio, it is the culmination of work by 100 AI experts to advance a shared international understanding of the risks of advanced Artificial Intelligence (AI).	国際AI安全報告書は、高度なAIシステムのリスクと能力に関する現在の文献を総合的にまとめた世界初の包括的な報告書である。チューリング賞受賞者のコンピューター科学者であるヨシュア・ベンジオが議長を務め、100人のAI専門家が高度な人工知能（AI）のリスクに関する国際的な共通理解を深めるために取り組んできた成果の集大成である。
The Chair is supported by an international Expert Advisory Panel made up of representatives from 30 countries, the United Nations (UN), European Union (EU), and Organization for Economic Cooperation and Development (OECD).	この議長職は、30カ国、国連（UN）、欧州連合（EU）、経済協力開発機構（OECD）の代表者で構成される国際専門家諮問委員会によって支援されている。
The report does not make policy recommendations. Instead it summarises the scientific evidence on the safety of general-purpose AI to help create a shared international understanding of risks from advanced AI and how they can be mitigated. General-purpose AI – or AI that can perform a wide variety of tasks – is a type of AI that has advanced rapidly in recent years and is widely used by technology companies for a range of consumer and business purposes.	この報告書は政策提言を行うものではない。その代わり、汎用AIの安全性に関する科学的証拠をまとめ、高度なAIがもたらすリスクと、その緩和策について国際的な共通理解を促すことを目的としている。汎用AI、すなわち幅広いタスクを実行できるAIは、近年急速に進歩したAIの一種であり、テクノロジー企業が消費者向けおよび企業向けの幅広い用途で広く利用している。
The report is concerned with AI risks and AI safety and focuses on identifying these risks and evaluating methods for mitigating them. It summarises the scientific evidence on 3 core questions – What can general-purpose AI do? What are risks associated with general-purpose AI? and What mitigation techniques are there against these risks? and aims to:	本報告書は、AIのリスクと安全性に焦点を当て、これらのリスクの識別と緩和手法の評価に重点を置いている。本報告書は、3つの主要な疑問点に関する科学的証拠を要約している。すなわち、汎用AIは何ができるのか？汎用AIに関連するリスクとは何か？これらのリスクに対する緩和手法にはどのようなものがあるのか？という3つの疑問点である。本報告書の目的は、
・provide scientific information that will support informed policymaking – it does not recommend specific policies	・情報に基づく政策決定を支援する科学的情報を提供することである。特定の政策を推奨するものではない
・facilitate constructive and evidence-based discussion about the uncertainty of general-purpose AI and its outcomes	・汎用AIの不確実性とその結果について、建設的かつ根拠に基づく議論を促進する
・contribute to an internationally shared scientific understanding of advanced AI safety	・高度なAIの安全性に関する国際的に共有された科学的理解に貢献する
The report was written by a diverse group of academics, guided by world-leading experts in AI. There was no industry or government influence over the content. The secretariat organised a thorough review, which included valuable input from global civil society and industry leaders. The Chair and writers considered all feedback and included it where needed.	この報告書は、AI分野の世界的な専門家が指導する多様な学術研究者のグループによって作成された。内容については、業界や政府からの影響は一切ない。事務局は徹底的なレビューを行い、世界中の市民社会や業界のリーダーからの貴重な意見も取り入れた。議長と執筆者はすべてのフィードバックを検討し、必要に応じて取り入れた。
The report will be presented at the AI Action Summit in Paris in February 2025. An interim version of this report was published in May 2024 and presented at the AI Seoul Summit.	この報告書は、2025年2月にパリで開催されるAIアクションサミットで発表される。この報告書の暫定版は2024年5月に発表され、AIソウルサミットで提示された。
Background	背景
At the Bletchley AI Safety Summit, 30 nations agreed to build a shared scientific and evidence-based understanding of frontier AI risks through the development of an international, independent, and inclusive report on the risks and capabilities of frontier AI. The International AI Safety Report delivers on that mandate, providing a comprehensive synthesis of the existing literature on the risks and capabilities of advanced AI models.	ブレッチリーAI安全サミットでは、30カ国が、最先端AIのリスクと能力に関する国際的、独立した、包括的な報告書の作成を通じて、最先端AIのリスクに関する科学的かつ証拠に基づく共通理解を構築することに合意した。国際AI安全報告書は、その指令に従い、高度なAIモデルのリスクと能力に関する既存の文献を総合的にまとめた包括的な報告書である。
As host of the AI Safety Summit, the UK commissioned Yoshua Bengio to deliver this report, with operational support from a secretariat hosted by the UK AI Safety Institute. The UK government has agreed with participating countries that it will continue to provide the secretariat for the report until a suitable long-term international home is agreed, and Professor Yoshua Bengio will continue acting as Chair for 2025.	AI安全サミットの主催国である英国は、ヨシュア・ベンジオに本報告書の作成を依頼し、英国AI安全研究所が主催する事務局が運営面でサポートした。英国政府は、適切な長期的な国際的拠点が合意されるまで、参加国とともに本報告書の事務局を継続して提供することに同意しており、ヨシュア・ベンジオ教授は2025年まで議長を務める予定である。
The report was developed in-line with the principles and procedures, agreed by the Chair and Expert Advisory Panel.	本報告書は、議長および専門家諮問委員会が合意した原則および手順に沿って作成された。

 

・[PDF] International AI Safety Report 2025

 

・[DOCX] [PDF] 仮訳 

 

目次...

Forewords	まえがき
About this report	本報告書について
Update on latest AI advances after the writing of this report: Chair’s note	本報告書執筆後のAIの最新動向：議長による注釈
Key findings of the report	本報告書の主な調査結果
Executive Summary	エグゼクティブサマリー
Introduction	序文
1. Capabilities of general-purpose AI	1. 汎用AIの能力
1.1. How general-purpose AI is developed	1.1. 汎用AIの開発方法
1.2. Current capabilities	1.2. 現在の能力
1.3. Capabilities in coming years	1.3. 今後数年の能力
2. Risks	2. リスク
2.1. Risks from malicious use	2.1. 悪用によるリスク
2.1.1. Harm to individuals through fake content	2.1.1. 偽のコンテンツによる個人への被害
2.1.2. Manipulation of public opinion	2.1.2. 世論操作
2.1.3. Cyber offence	2.1.3. サイバー犯罪
2.1.4. Biological and chemical attacks	2.1.4. 生物・化学兵器
2.2. Risks from malfunctions	2.2. 誤作動によるリスク
2.2.1. Reliability issues	2.2.1. 信頼性の問題
2.2.2. Bias	2.2.2. バイアス
2.2.3. Loss of control	2.2.3. 制御不能
2.3. Systemic risks	2.3. システムリスク
2.3.1. Labour market risks	2.3.1. 労働市場のリスク
2.3.2. Global AI R&D divide	2.3.2. グローバルなAI研究開発格差
2.3.3. Market concentration and single points of failure	2.3.3. 市場の集中と単一障害点
2.3.4. Risks to the environment	2.3.4. 環境へのリスク
2.3.5. Risks to privacy	2.3.5. プライバシーへのリスク
2.3.6. Risks of copyright infringement	2.3.6. 著作権侵害のリスク
2.4. Impact of open-weight general-purpose AI models on AI risks	2.4. オープンウェイト汎用AIモデルがAIリスクに与える影響
3. Technical approaches to risk management	3. リスクマネジメントへの技術的アプローチ
3.1. Risk management overview	3.1. リスクマネジメントの概要
3.2. General challenges for risk management and policymaking	3.2. リスクマネジメントと政策立案における一般的な課題
3.2.1. Technical challenges for risk management and policymaking	3.2.1. リスクマネジメントと政策立案における技術的課題
3.2.2. Societal challenges for risk management and policymaking	3.2.2. リスクマネジメントと政策立案における社会的な課題
3.3. Risk identification and assessment	3.3. リスクの特定とアセスメント
3.4. Risk mitigation and monitoring	3.4. リスクの緩和とモニタリング
3.4.1. Training more trustworthy models	3.4.1. より信頼性の高いモデルのトレーニング
3.4.2. Monitoring and intervention	3.4.2. モニタリングと介入
3.4.3. Technical methods for privacy	3.4.3. プライバシーに関する技術的手法
Conclusion	結論
List of acronyms	略語一覧
Glossary	用語集
How to cite this report	この報告書の引用方法
References	参考文献

 

 

主な調査結果

Key findings of the report	主な調査結果
● The capabilities of general-purpose AI, the type of AI that this report focuses on, have increased rapidly in recent years and have improved further in recent months.[1] A few years ago, the best large language models (LLMs) could rarely produce a coherent paragraph of text. Today, general-purpose AI can write computer programs, generate custom photorealistic images, and engage in extended open-ended conversations. Since the publication of the Interim Report (May 2024), new models have shown markedly better performance at tests of scientific reasoning and programming.	● 本報告書が注目するAIの種類である汎用AIの能力は、近年急速に向上しており、ここ数カ月でさらに改善されている。[1]数年前までは、どんなに優れた大規模言語モデル（LLM）でも、まとまった段落の文章を作成することはほとんどできなかった。今日、生成的AIはコンピュータ・プログラムを作成し、カスタムメイドの写実的画像を生成し、長時間のオープンエンドな会話をすることができる。中間報告書の発表（2024年5月）以来、新しいモデルは科学的推論とプログラミングのテストにおいて著しく優れた性能を示している。
● Many companies are now investing in the development of general-purpose AI agents, as a potential direction for further advancement. AI agents are general-purpose AI systems which can autonomously act, plan, and delegate to achieve goals with little to no human oversight. Sophisticated AI agents would be able to, for example, use computers to complete longer projects than current systems, unlocking both additional benefits and additional risks.	● 多くの企業は現在、さらなる進歩の可能性のある方向として、汎用AIエージェントの開発に投資している。AIエージェントは、自律的に行動し、計画を立て、人間の監視をほとんど受けずに目標を達成するために委任することができる汎用AIシステムである。洗練されたAIエージェントは、例えば、現在のシステムよりも長いプロジェクトを完了するためにコンピュータを使用することができるようになり、新たな利点と新たなリスクの両方を解き放つだろう。
● Further capability advancements in the coming months and years could be anything from slow to extremely rapid.† Progress will depend on whether companies will be able to rapidly deploy even more data and computational power to train new models, and whether ‘scaling’ models in this way will overcome their current limitations. Recent research suggests that rapidly scaling up models may remain physically feasible for at least several years. But major capability advances may also require other factors: for example, new research breakthroughs, which are hard to predict, or the success of a novel scaling approach that companies have recently adopted.	● 今後数カ月から数年の間に、さらなる能力の進歩は、ゆっくりとしたものから極めて急速なものまで、あらゆる可能性がある† 進歩は、企業が新しいモデルを訓練するために、さらに多くのデータと計算能力を迅速に展開できるかどうか、また、このようにしてモデルを「スケーリング」することで、現在の限界を克服できるかどうかにかかっている。最近の研究によると、モデルを急速にスケールアップすることは、少なくとも数年間は物理的に可能である。しかし、大きな能力の進歩には、他の要因も必要かもしれない。例えば、予測するのが難しい新たな研究のブレークスルーや、企業が最近採用した斬新なスケーリング・アプローチの成功などである。
● Several harms from general-purpose AI are already well established. These include scams, non-consensual intimate imagery (NCII) and child sexual abuse material (CSAM), model outputs that are biased against certain groups of people or certain opinions, reliability issues, and privacy violations. Researchers have developed mitigation techniques for these problems, but so far no combination of techniques can fully resolve them. Since the publication of the Interim Report, new evidence of discrimination related to general-purpose AI systems has revealed more subtle forms of bias.	● 汎用AIによるいくつかの弊害は、すでに十分に確立されている。詐欺、非同意的親密画像（NCII）や児童性的虐待資料（CSAM）、特定のグループや特定の意見にバイアスされたモデル出力、信頼性の問題、プライバシー侵害などである。研究者たちはこれらの問題を緩和する技術を開発してきたが、今のところ、どの技術を組み合わせても完全に解決することはできない。中間報告書の発表以降、汎用AIシステムに関連する識別的な新たな証拠が、より微妙な形のバイアスを明らかにしている。
● As general-purpose AI becomes more capable, evidence of additional risks is gradually emerging. These include risks such as large-scale labour market impacts, AI-enabled hacking or biological attacks, and society losing control over general-purpose AI. Experts interpret the existing evidence on these risks differently: some think that such risks are decades away, while others think that general-purpose AI could lead to societal-scale harm within the next few years. Recent advances in general-purpose AI capabilities – particularly in tests of scientific reasoning and programming – have generated new evidence for potential risks such as AI-enabled hacking and biological attacks, leading one major AI company to increase its assessment of biological risk from its best model from ‘low’ to ‘medium’.	● 汎用AIの能力が高まるにつれて、新たなリスクを示す証拠が徐々に明らかになってきている。これには、大規模な労働市場への影響、AIを利用したハッキングや生物学的攻撃、社会が汎用AIを制御できなくなるといったリスクが含まれる。専門家の間では、こうしたリスクに関する既存の証拠の解釈が異なっており、そうしたリスクは数十年先のことだと考える人もいれば、汎用AIが今後数年以内に社会規模の被害をもたらす可能性があると考える人もいる。汎用AIの能力、特に科学的推論やプログラミングのテストにおける最近の進歩は、AIを利用したハッキングや生物学的攻撃といった潜在的リスクに関する新たな証拠を生み出し、ある大手AI企業は、最良のモデルによる生物学的リスクの評価を「低」から「中」に引き上げるに至った。
● Risk management techniques are nascent, but progress is possible. There are various technical methods to assess and reduce risks from general-purpose AI that developers can employ and regulators can require, but they all have limitations. For example, current interpretability techniques for explaining why a general-purpose AI model produced any given output remain severely limited. However, researchers are making some progress in addressing these limitations. In addition, researchers and policymakers are increasingly trying to standardise risk management approaches, and to coordinate internationally.	● リスクマネジメント技術は発展途上だが、進歩は可能だ。汎用AIがもたらすリスクをアセスメントし、低減するための技術的手法には、開発者が採用し、規制当局が求めることができる様々なものがあるが、いずれも限界がある。例えば、汎用AIモデルがどのような出力を生成したかを説明するための現在の解釈可能性技術は、依然として大きく制限されている。しかし、研究者たちはこれらの限界に対処するために、ある程度の進歩を遂げつつある。さらに、研究者や政策立案者は、リスクマネジメントのアプローチを標準化し、国際的な協調を図ろうとしている。
● The pace and unpredictability of advancements in general-purpose AI pose an ‘evidence dilemma’ for policymakers.[2] Given sometimes rapid and unexpected advancements, policymakers will often have to weigh potential benefits and risks of imminent AI advancements without having a large body of scientific evidence available. In doing so, they face a dilemma. On the one hand, pre-emptive risk mitigation measures based on limited evidence might turn out to be ineffective or unnecessary. On the other hand, waiting for stronger evidence of impending risk could leave society unprepared or even make mitigation impossible – for instance if sudden leaps in AI capabilities, and their associated risks, occur. Companies and governments are developing early warning systems and risk management frameworks that may reduce this dilemma. Some of these trigger specific mitigation measures when there is new evidence of risks, while others require developers to provide evidence of safety before releasing a new model.	● 汎用AIの進歩のペースと予測不可能性は、政策立案者に「証拠のジレンマ」をもたらす。[2]時として急速で予期せぬ進歩を遂げるため、政策立案者は、科学的根拠が十分でないまま、目前に迫ったAIの進歩がもたらす潜在的な利益とリスクを秤にかけなければならないことが多い。その際、政策立案者はジレンマに直面する。一方では、限られた証拠に基づく先制的なリスク緩和策は、効果がない、あるいは不要であることが判明するかもしれない。他方で、差し迫ったリスクについてより強力な証拠を待つことは、社会に備えを怠らせたり、緩和を不可能にする可能性さえある。企業やガバナンス政府は、このジレンマを軽減する可能性のある早期警告システムやリスクマネジメントの枠組みを開発している。これらの中には、 、リスクに関する新たな証拠が発見された場合に特定の緩和措置を発動するものもあれば、新モデルをリリースする前に安全性の証拠を提供するよう開発者に求めるものもある。
● There is broad consensus among researchers that advances regarding the following questions would be helpful: How rapidly will general-purpose AI capabilities advance in the coming years, and how can researchers reliably measure that progress? What are sensible risk thresholds to trigger mitigations? How can policymakers best gain access to information about general-purpose AI that is relevant to public safety? How can researchers, technology companies, and governments reliably assess the risks of general-purpose AI development and deployment? How do general-purpose AI models work internally? How can general-purpose AI be designed to behave reliably?	● 研究者の間では、以下のような疑問に関する進歩が有用であるという点で幅広いコンセンサスが得られている：今後数年間で、汎用AIの能力はどの程度急速に進歩するのか、また研究者はどのようにしてその進歩を確実に測定できるのか。緩和のきっかけとなるリスクのしきい値はどの程度か？政策立案者は、公共の安全に関連する汎用AIに関する情報に、どのようにアクセスすればよいのか？研究者、テクノロジー企業、政府は、汎用AIの開発・展開のリスクをどのように確実にアセスメントできるのか？汎用AIのモデルは内部でどのように機能するのか？汎用AIが確実に動作するように設計するにはどうすればよいか？
● AI does not happen to us: choices made by people determine its future. The future of general-purpose AI technology is uncertain, with a wide range of trajectories appearing to be possible even in the near future, including both very positive and very negative outcomes. This uncertainty can evoke fatalism and make AI appear as something that happens to us. But it will be the decisions of societies and governments on how to navigate this uncertainty that determine which path we will take. This report aims to facilitate constructive and evidence-based discussion about these decisions.	● AIは私たちに起こるものではない。人々の選択がその未来を決めるのだ。汎用AI技術の未来は不確実であり、非常にポジティブな結果も非常にネガティブな結果も含め、近い将来でさえ幅広い軌道が可能であるように見える。この不確実性は宿命論を呼び起こし、AIを私たちに起こることのように見せる可能性がある。しかし、この不確実性をどのように乗り切るかについての社会や政府の決断こそが、われわれがどのような道を歩むかを決めるのである。本報告書は、こうした意思決定について、建設的で証拠に基づいた議論を促進することを目的としている。

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
The purpose of this report	本報告書の目的
This report synthesises the state of scientific understanding of general-purpose AI – AI that can perform a wide variety of tasks – with a focus on understanding and managing its risks.	本報告書は、汎用AI（さまざまなタスクを実行できるAI）の科学的理解の現状を、そのリスクの理解とマネジメントに焦点を当てながらまとめたものである。
This report summarises the scientific evidence on the safety of general-purpose AI. The purpose of this report is to help create a shared international understanding of risks from advanced AI and how they can be mitigated. To achieve this, this report focuses on general-purpose AI – or AI that can perform a wide variety of tasks – since this type of AI has advanced particularly rapidly in recent years and has been deployed widely by technology companies for a range of consumer and business purposes. The report synthesises the state of scientific understanding of general-purpose AI, with a focus on understanding and managing its risks.	本報告書は、汎用AIの安全性に関する科学的根拠をまとめたものである。本報告書の目的は、高度なAIがもたらすリスクとその緩和方法について、国際的な共通理解を得ることにある。そのために本報告書では、汎用AI、つまり多種多様なタスクを実行できるAIに焦点を当てている。なぜなら、この種のAIは近年特に急速に進歩しており、テクノロジー企業によって消費者やビジネスのさまざまな目的で広く展開されているからである。本報告書は、汎用AIの科学的理解の現状を、そのリスクの理解とマネジメントに焦点を当てて総括している。
Amid rapid advancements, research on general-purpose AI is currently in a time of scientific discovery, and – in many cases – is not yet settled science. The report provides a snapshot of the current scientific understanding of general-purpose AI and its risks. This includes identifying areas of scientific consensus and areas where there are different views or gaps in the current scientific understanding.	急速な進歩の中で、汎用AIの研究は現在、科学的発見の時期にあり、多くの場合、まだ科学として確立していない。本報告書は、汎用AIとそのリスクに関する現在の科学的理解のスナップショットを提供する。これには、科学的コンセンサスのある分野と、現在の科学的理解に異なる見解やギャップがある分野の特定も含まれる。
People around the world will only be able to fully enjoy the potential benefits of general-purpose AI safely if its risks are appropriately managed. This report focuses on identifying those risks and evaluating technical methods for assessing and mitigating them, including ways that general-purpose AI itself can be used to mitigate risks. It does not aim to comprehensively assess all possible societal impacts of general-purpose AI. Most notably, the current and potential future benefits of general-purpose AI – although they are vast – are beyond this report’s scope. Holistic policymaking requires considering both the potential benefits of general-purpose AI and the risks covered in this report. It also requires taking into account that other types of AI have different risk/benefit profiles compared to current general-purpose AI.	汎用AIのリスクが適切にマネジメントされて初めて、世界中の人々が汎用AIの潜在的な恩恵を安全に十分に享受できるようになる。本報告書は、汎用AIそのものがリスクを緩和するために利用できる方法を含め、そうしたリスクを特定し、それをアセスメントし緩和するための技術的手法を評価することに焦点を当てている。汎用AIの社会的影響の可能性をすべて包括的に評価することを目的としているわけではない。最も注目すべきは、汎用AIの現在および将来の潜在的な利益は、膨大なものではあるが、本報告書の範囲を超えていることである。総合的な政策立案には、汎用AIの潜在的なメリットと、本報告書で取り上げたリスクの両方を考慮する必要がある。また、他の種類のAIは、現在の汎用AIとは異なるリスク／ベネフィット・プロファイルを持つことも考慮する必要がある。
The three main sections of the report summarise the scientific evidence on three core questions: What can general-purpose AI do? What are risks associated with general-purpose AI? And what mitigation techniques are there against these risks?	報告書の3つの主要セクションは、3つの核となる疑問に関する科学的証拠を要約している：汎用AIは何ができるのか？ 汎用AIにはどのようなリスクがあるのか？そして、これらのリスクに対してどのような緩和技術があるのか？
Section 1 – Capabilities of general-purpose AI: What can general-purpose AI do now and in the future?	第1節 汎用AIの能力：汎用AIは現在、そして将来何ができるのか？
General purpose AI capabilities have improved rapidly in recent years, and further advancements could be anything from slow to extremely rapid.	一般的な-目的別AIの能力は近年急速に向上しており、今後の改善はゆっくりとしたものから極めて急速なものまである。
What AI can do is a key contributor to many of the risks it poses, and according to many metrics, general-purpose AI capabilities have been progressing rapidly. Five years ago, the leading general-purpose AI language models could rarely produce a coherent paragraph of text. Today, some general-purpose AI models can engage in conversations on a wide range of topics, write computer programs, or generate realistic short videos from a description. However, it is technically challenging to reliably estimate and describe the capabilities of general-purpose AI.	AIに何ができるかは、AIがもたらすリスクの多くに重要な寄与をしており、多くの指標によれば、汎用AIの能力は急速に進歩している。5年前、主要な汎用AI言語モデルは、まとまった段落の文章をほとんど作成できなかった。今日、いくつかの汎用AIモデルは、幅広いトピックについて会話したり、コンピューター・プログラムを書いたり、説明からリアルな短い動画を生成したりすることができる。しかし、汎用AIの能力を確実に推定し、説明することは技術的に困難である。
AI developers have rapidly improved the capabilities of general-purpose AI in recent years, mostly through ‘scaling’.[1] They have continually increased the resources used for training new models (this is often referred to as ‘scaling’) and refined existing approaches to use those resources more efficiently. For example, according to recent estimates, state-of-the-art AI models have seen annual increases of approximately 4x in computational resources ('compute') used for training and 2.5x in training dataset size.	AI開発者は近年、汎用AIの能力を急速に改善してきたが、そのほとんどは「スケーリング」によるものだ。[1]新しいモデルの学習に使用するリソースを継続的に増やし（これはしばしば「スケーリング」と呼ばれる）、それらのリソースをより効率的に使用するために既存のアプローチを改良してきた。例えば、最近の推定によると、最先端のAIモデルは、学習に使用される計算リソース（「コンピュート」）が年間約4倍、学習データセットサイズが2.5倍増加している。
The pace of future progress in general-purpose AI capabilities has substantial implications for managing emerging risks, but experts disagree on what to expect even in the coming months and years. Experts variously support the possibility of general-purpose AI capabilities advancing slowly, rapidly, or extremely rapidly.	汎用AI能力の将来的な進歩のペースは、新たなリスクのマネジメントに大きな意味を持つが、今後数カ月から数年の間にも何が予想されるかについては、専門家の間でも意見が分かれている。専門家は、汎用AIの能力がゆっくりと、急速に、あるいは極めて急速に進歩する可能性を様々に支持している。
Experts disagree about the pace of future progress because of different views on the promise of further ‘scaling’ – and companies are exploring an additional, new type of scaling that might further accelerate capabilities.† While scaling has often overcome the limitations of previous systems, experts disagree about its potential to resolve the remaining limitations of today’s systems, such as unreliability at acting in the physical world and at executing extended tasks on computers. In recent months, a new type of scaling has shown potential for further improving capabilities: rather than just scaling up the resources used for training models, AI companies are also increasingly interested in ‘inference scaling’ – letting an already trained model use more computation to solve a given problem, for example to improve on its own solution, or to write so-called ‘chains of thought’ that break down the problem into simpler steps.	専門家の間では、さらなる「スケーリング」の有望性に対する見解の相違から、将来の進歩のペースについて意見が分かれており、企業は能力をさらに加速させる可能性のある、追加の新しいタイプのスケーリングを模索している(†)。スケーリングはしばしば以前のシステムの限界を克服してきたが、専門家の間では、物理的な世界で行動する際の信頼性の低さや、コンピュータ上で長時間のタスクを実行する際の信頼性の低さなど、今日のシステムに残っている限界を解決する可能性については意見が分かれている。ここ数カ月、新しいタイプのスケーリングが能力をさらに向上させる可能性を示している。AI企業は、モデルの学習に使用するリソースを単にスケールアップするだけでなく、「推論スケーリング」にもますます関心を寄せている。これは、すでに学習されたモデルに、与えられた問題を解くためにより多くの計算を使用させるもので、例えば、自身の解法を改善したり、問題をより単純なステップに分解するいわゆる「思考の連鎖」を記述したりすることができる。
Several leading companies that develop general-purpose AI are betting on ‘scaling’ to continue leading to performance improvements. If recent trends continue, by the end of 2026 some general-purpose AI models will be trained using roughly 100x more training compute than 2023's most compute-intensive models, growing to 10,000x more training compute by 2030, combined with algorithms that achieve greater capabilities for a given amount of available computation. In addition to this potential scaling of training resources, recent trends such as inference scaling and using models to generate training data could mean that even more compute will be used overall. However, there are potential bottlenecks to further increasing both data and compute rapidly, such as the availability of data, AI chips, capital, and local energy capacity. Companies developing general-purpose AI are working to navigate these potential bottlenecks.	汎用AIを開発するいくつかの大手企業は、「スケーリング」が性能改善につながり続けることに賭けている。最近のトレンドが続けば、2026年末までに、汎用AIモデルのいくつかは、2023年の最も計算負荷の高いモデルよりもおよそ100倍多い学習用計算量を使用して学習され、2030年までに10,000倍多い学習用計算量を使用するようになり、利用可能な計算量が与えられた場合に、より高い能力を達成するアルゴリズムと組み合わされる。このようなトレーニングリソースのスケーリングの可能性に加え、推論のスケーリングやトレーニングデータを生成するためにモデルを使用するなどの最近のトレンドは、全体としてさらに多くの計算機が使用されることを意味する可能性がある。しかし、データ、AIチップ、資本、地域のエネルギー容量の利用可能性など、データと計算の両方をさらに急速に増加させるには、潜在的なボトルネックがある。汎用AIを開発している企業は、これらの潜在的なボトルネックを回避するために取り組んでいる。
Since the publication of the Interim Report (May 2024), general-purpose AI has reached expert-level performance in some tests and competitions for scientific reasoning and programming, and companies have been making large efforts to develop autonomous AI agents. Advances in science and programming have been driven by inference scaling techniques such as writing long ‘chains of thought’. New studies suggest that further scaling such approaches, for instance allowing models to analyse problems by writing even longer chains of thought than today’s models, could lead to further advances in domains where reasoning matters more, such as science, software engineering, and planning. In addition to this trend, companies are making large efforts to develop more advanced general-purpose AI agents, which can plan and act autonomously to work towards a given goal. Finally, the market price of using general-purpose AI of a given capability level has dropped sharply, making this technology more broadly accessible and widely used.	中間報告発表（2024年5月）以降、汎用AIは科学的推論やプログラミングに関するいくつかのテストやコンテストでエキスパートレベルの性能に達し、企業は自律型AIエージェントの開発に大きく力を入れている。科学とプログラミングの進歩は、長い「思考の連鎖」を書くなどの推論スケーリング技術によって推進されてきた。新たな研究は、このようなアプローチのスケーリングをさらに進め、例えば、 、現在のモデルよりもさらに長い思考の連鎖を書くことによって問題を分析できるようにすれば、科学、ソフトウェア工学、プランニングなど、推論がより重要な領域でさらなる進歩が期待できることを示唆している。このトレンドに加え、企業は、より高度な汎用AIエージェントの開発に大きな努力を払っている。このエージェントは、与えられた目標に向かって自律的に計画を立て、行動することができる。最終的に、ある能力レベルの汎用AIを使用する市場価格は急激に低下し、この技術がより広く利用できるようになり、広く利用されるようになった。
This report focuses primarily on technical aspects of AI progress, but how fast general-purpose AI will advance is not a purely technical question. The pace of future advancements will also depend on non-technical factors, potentially including the approaches that governments take to regulating AI. This report does not discuss how different approaches to regulation might affect the speed of development and adoption of general-purpose AI.	本報告書は主にAIの進歩の技術的側面に焦点を当てているが、汎用AIの進歩の速度は純粋に技術的な問題ではない。将来の進歩のペースは、非技術的な要因にも左右され、政府がAIを規制する際のアプローチも含まれる可能性がある。本報告書では、規制に対するアプローチの違いが、汎用AIの開発・普及のスピードにどのような影響を与えるかについては論じていない。
Section 2 – Risks: What are risks associated with general-purpose AI?	第2節 リスク：汎用AIに伴うリスクとは何か？
Several harms from general-purpose AI are already well-established. As general-purpose AI becomes more capable, evidence of additional risks is gradually emerging.	汎用AIによるいくつかの弊害はすでに確立されている。汎用AIの能力が高まるにつれて、新たなリスクの証拠が徐々に明らかになってきている。
This report classifies general-purpose AI risks into three categories: malicious use risks; risks from malfunctions; and systemic risks. Each of these categories contains risks that have already materialised as well as risks that might materialise in the next few years.	本報告書では、汎用AIのリスクを「悪意のある利用リスク」「誤作動によるリスク」「システムリスク」の3カテゴリーに分類している。これらのカテゴリーにはそれぞれ、すでに顕在化しているリスクと、今後数年間に顕在化する可能性のあるリスクが含まれている。
Risks from malicious use: malicious actors can use general-purpose AI to cause harm to individuals, organisations, or society. Forms of malicious use include:	悪意のある利用によるリスク：悪意のある行為者は、汎用AIを利用して個人、組織、社会に危害を加える可能性がある。悪意のある利用の形態には以下のようなものがある：
Harm to individuals through fake content: Malicious actors can currently use general-purpose AI to generate fake content that harms individuals in a targeted way. These malicious uses include non-consensual 'deepfake' pornography and AI-generated CSAM, financial fraud through voice impersonation, blackmail for extortion, sabotage of personal and professional reputations, and psychological abuse. However, while incident reports of harm from AI-generated fake content are common, reliable statistics on the frequency of these incidents are still lacking.	偽コンテンツによる個人への被害：悪意ある行為者は現在、生成的AIを利用して、個人を標的に害する偽コンテンツを生成することができる。このような悪意のある利用には、非合意の「ディープフェイク」ポルノやAIが生成したCSAM、音声なりすましによる金銭詐欺、恐喝のための恐喝、個人的・職業的評判の妨害、心理的虐待などが含まれる。しかし、AIが生成的な偽コンテンツによる被害のインシデント報告はよくあるものの、こうしたインシデントの頻度に関する信頼できる統計はまだ不足している。
● Manipulation of public opinion: General-purpose AI makes it easier to generate persuasive content at scale. This can help actors who seek to manipulate public opinion, for instance to affect political outcomes. However, evidence on how prevalent and how effective such efforts are remains limited. Technical countermeasures like content watermarking, although useful, can usually be circumvented by moderately sophisticated actors.	● 世論を操作する：生成的AIによって、説得力のあるコンテンツを大規模に生成することが容易になる。これは、例えば政治的な結果に影響を与えるために世論を操作しようとする行為者を助けることができる。しかし、そのような取り組みがどれほど普及し、どれほど効果的であるかについての証拠はまだ限られている。コンテンツの電子透かしのような技術的な対策は、有用ではあるが、中程度に洗練された行為者であれば通常回避することができる。
● Cyber offence: General-purpose AI can make it easier or faster for malicious actors of varying skill levels to conduct cyberattacks. Current systems have demonstrated capabilities in low- and medium-complexity cybersecurity tasks, and state-sponsored actors are actively exploring AI to survey target systems. New research has confirmed that the capabilities of general-purpose AI related to cyber offence are significantly advancing, but it remains unclear whether this will affect the balance between attackers and defenders.	● サイバー攻撃汎用AIは、さまざまなスキルレベルの悪意ある行為者がサイバー攻撃を行うことを容易に、あるいは迅速にすることができる。現在のシステムは、低・中複雑度のサイバーセキュリティ・タスクで能力を発揮しており、国家的支援を受けた行為者は、標的システムを調査するためのAIを積極的に模索している。新たな研究では、サイバー攻撃に関する汎用AIの能力が著しく進歩していることが確認されているが、これが攻撃側と防御側のバランスに影響を与えるかどうかはまだ不明である。
● Biological and chemical attacks: Recent general-purpose AI systems have displayed some ability to provide instructions and troubleshooting guidance for reproducing known biological and chemical weapons and to facilitate the design of novel toxic compounds. In new experiments that tested for the ability to generate plans for producing biological weapons, a general-purpose AI system sometimes performed better than human experts with access to the internet. In response, one AI company increased its assessment of biological risk from its best model from ‘low’ to ‘medium’. However, real-world attempts to develop such weapons still require substantial additional resources and expertise. A comprehensive assessment of biological and chemical risk is difficult because much of the relevant research is classified.	● 生物・化学兵器による攻撃最近の汎用AIシステムは、既知の生物・化学兵器を再現するための指示やトラブルシューティングのガイダンスを提供したり、新規毒性化合物の設計を容易にしたりする能力をある程度示している。生物兵器を製造するための計画を生成する能力をテストした新しい実験では、生成的AIシステムが、インターネットにアクセスできる人間の専門家よりも優れた結果を出すこともあった。これを受けて、あるAI企業は、最良のモデルによる生物学的リスクのアセスメントを「低」から「中」に引き上げた。しかし、このような兵器を現実の世界で開発しようとする試みには、まだかなりの追加資源と専門知識が必要である。生物学的・化学的リスクの包括的アセスメントは、関連研究の多くが機密扱いであるため困難である。
Since the publication of the Interim Report, general-purpose AI has become more capable in domains that are relevant for malicious use. For example, researchers have recently built general-purpose AI systems that were able to find and exploit some cybersecurity vulnerabilities on their own and, with human assistance, discover a previously unknown vulnerability in widely used software. General-purpose AI capabilities related to reasoning and to integrating different types of data, which can aid research on pathogens or in other dual-use fields, have also improved.	中間報告書の発表以来、汎用AIは悪意のある利用に関連する領域でより高い能力を発揮するようになっている。例えば、研究者たちは最近、サイバーセキュリティの脆弱性を自ら発見して悪用することができる汎用AIシステムを構築し、また、人間の支援を得て、広く使われているソフトウェアのこれまで知られていなかった脆弱性を発見した。推論や、病原体やその他の二次利用分野の研究を助けることができる、さまざまな種類のデータの統合に関連する汎用AIの能力も改善されている。
Risks from malfunctions: general-purpose AI can also cause unintended harm. Even when users have no intention to cause harm, serious risks can arise due to the malfunctioning of general-purpose AI. Such malfunctions include:	誤作動によるリスク：汎用AIは意図しない危害をもたらすこともある。ユーザーに危害を加える意図がない場合でも、汎用AIの誤作動によって深刻なリスクが生じる可能性がある。そのような誤作動には以下のようなものがある：
● Reliability issues: Current general-purpose AI can be unreliable, which can lead to harm. For example, if users consult a general-purpose AI system for medical or legal advice, the system might generate an answer that contains falsehoods. Users are often not aware of the limitations of an AI product, for example due to limited ‘AI literacy’, misleading advertising, or miscommunication. There are a number of known cases of harm from reliability issues, but still limited evidence on exactly how widespread different forms of this problem are.	● 信頼性の問題：現在の汎用AIは信頼性が低く、それが弊害につながる可能性がある。例えば、ユーザーが医療や法律に関する助言を求めて汎用AIシステムに相談した場合、システムが虚偽を含む回答を生成する可能性がある。例えば、「AIリテラシー」の低さ、誤解を招くような広告、誤ったコミュニケーションなどが原因で、ユーザーはAI製品の限界を認識していないことが多い。信頼性の問題による危害の事例は数多く知られているが、この問題のさまざまな形態がどの程度広まっているかについては、正確な証拠はまだ限られている。
● Bias: General-purpose AI systems can amplify social and political biases, causing concrete harm. They frequently display biases with respect to race, gender, culture, age, disability, political opinion, or other aspects of human identity. This can lead to discriminatory outcomes including unequal resource allocation, reinforcement of stereotypes, and systematic neglect of underrepresented groups or viewpoints. Technical approaches for mitigating bias and discrimination in general-purpose AI systems are advancing, but face trade-offs between bias mitigation and competing objectives such as accuracy and privacy, as well as other challenges.	● バイアス：汎用AIシステムは、社会的・政治的バイアスを増幅し、具体的な害をもたらす可能性がある。AIシステムは、人種、性別、文化、年齢、障害、政治的意見、あるいは人間のアイデンティティの他の側面に関してバイアスを示すことが多い。これは、不平等な資源配分、固定観念の強化、代表的でないグループや視点の組織的無視など、差別的な結果につながる可能性がある。汎用AIシステムにおけるバイアスと差別を緩和する技術的アプローチは進歩しているが、バイアスの緩和と、精度やプライバシーなど競合する目的との間のトレードオフや、その他の課題に直面している。
● Loss of control: ‘Loss of control’ scenarios are hypothetical future scenarios in which one or more general-purpose AI systems come to operate outside of anyone's control, with no clear path to regaining control. There is broad consensus that current general-purpose AI lacks the capabilities to pose this risk. However, expert opinion on the likelihood of loss of control within the next several years varies greatly: some consider it implausible, some consider it likely to occur, and some see it as a modest-likelihood risk that warrants attention due to its high potential severity. Ongoing empirical and mathematical research is gradually advancing these debates.	● 制御の喪失：「制御の喪失」シナリオとは、1つまたは複数の全般統制AIシステムが、誰の制御も及ばず、制御を取り戻す明確な道筋もないまま動作するようになる仮想的な未来シナリオである。現在の汎用AIには、このようなリスクを引き起こす能力がないことは広くコンセンサスが得られている。しかし、今後数年以内に制御不能になる可能性に関する専門家の意見は大きく異なる。ある者はあり得ないと考え、ある者は発生する可能性が高いと考え、またある者は潜在的な重大性が高いため注意を要する中程度の可能性のリスクと見ている。現在進行中の実証的・数学的研究が、こうした議論を徐々に進展させている。
Since the publication of the Interim Report, new research has led to some new insights about risks of bias and loss of control. The evidence of bias in general-purpose AI systems has increased, and recent work has detected additional forms of AI bias. Researchers have observed modest further advancements towards AI capabilities that are likely necessary for commonly discussed loss of control scenarios to occur. These include capabilities for autonomously using computers, programming, gaining unauthorised access to digital systems, and identifying ways to evade human oversight.	中間報告書の発表以来、新たな研究により、バイアスと制御不能のリスクに関する新たな洞察がいくつか得られている。汎用AIシステムにおけるバイアスの証拠が増加し、最近の研究では、新たな形態のAIバイアスが検知された。研究者たちは、一般的に議論されている制御不能のシナリオが発生するために必要と思われるAIの能力について、さらに緩やかな進歩を観察している。これには、コンピュータを自律的に使用する能力、プログラミング能力、デジタルシステムへの不正アクセス能力、人間の監視を逃れる方法の特定能力などが含まれる。
Systemic risks: beyond the risks directly posed by capabilities of individual models, widespread deployment of general-purpose AI is associated with several broader systemic risks. Examples of systemic risks range from potential labour market impacts to privacy risks and environmental effects:	システミックリスク：個々のモデルの能力が直接もたらすリスクを超えて、汎用AIの広範な展開は、いくつかのより広範なシステミックリスクと関連している。システミックリスクの例は、潜在的な労働市場への影響からプライバシーリスクや環境への影響まで多岐にわたる：
● Labour market risks: General-purpose AI, especially if it continues to advance rapidly, has the potential to automate a very wide range of tasks, which could have a significant effect on the labour market. This means that many people could lose their current jobs. However, many economists expect that potential job losses could be offset, partly or potentially even completely, by the creation of new jobs and by increased demand in non-automated sectors.	● 労働市場のリスク：汎用AIは、特にそれが急速に進歩し続ければ、非常に幅広い作業を自動化する可能性を秘めており、労働市場に大きな影響を与える可能性がある。つまり、多くの人々が現在の職を失う可能性がある。しかし、多くのエコノミストは、潜在的な雇用損失は、新たな雇用の創出や非自動化分野での需要増加によって、部分的に、あるいは潜在的に完全に相殺される可能性があると予想している。
● Global AI R&D divide: General-purpose AI research and development (R&D) is currently concentrated in a few Western countries and China. This ‘AI divide’ has the potential to increase much of the world’s dependence on this small set of countries. Some experts also expect it to contribute to global inequality. The divide has many causes, including a number of causes that are not unique to AI. However, in significant part it stems from differing levels of access to the very expensive compute needed to develop general-purpose AI: most low- and middle-income countries (LMICs) have significantly less access to compute than high-income countries (HICs).	● グローバルなAI研究開発格差：汎用AIの研究開発（R&D）は現在、少数の欧米諸国と中国に集中している。この「AI格差」は、世界の多くの国々がこの少数の国々への依存度を高める可能性がある。一部の専門家は、これが世界的な不平等に寄与する可能性もあると予測している。この格差には多くの原因があり、AIに特有ではない原因もいくつかある。しかし、その大きな要因は、汎用AIの開発に必要な非常に高価なコンピューティングへのアクセスレベルの違いから生じている。ほとんどの低・中所得国（LMIC）は、高所得国（HIC）よりもコンピューティングへのアクセスが大幅に少ない。
● Market concentration and single points of failure: A small number of companies currently dominate the market for general-purpose AI. This market concentration could make societies more vulnerable to several systemic risks. For instance, if organisations across critical sectors, such as finance or healthcare, all rely on a small number of general-purpose AI systems, then a bug or vulnerability in such a system could cause simultaneous failures and disruptions on a broad scale.	● 市場の集中と単一障害点：現在、少数の企業が汎用AIの市場を独占している。このような市場の集中は、社会をいくつかのシステミックリスクに対してより脆弱にする可能性がある。例えば、金融や医療など重要なセクターの組織がすべて少数の汎用AIシステムに依存している場合、そのようなシステムにバグや脆弱性があれば、大規模な障害や混乱を同時に引き起こす可能性がある。
● Environmental risks: Growing compute use in general-purpose AI development and deployment has rapidly increased the amounts of energy, water, and raw material consumed in building and operating the necessary compute infrastructure. This trend shows no clear indication of slowing, despite progress in techniques that allow compute to be used more efficiently. General-purpose AI also has a number of applications that can either benefit or harm sustainability efforts.	● 環境リスク：汎用AIの開発・展開におけるコンピュート利用の拡大により、必要なコンピュート・インフラを構築・運用するために消費されるエネルギー、水、原材料の量が急速に増加している。この傾向は、コンピュートのより効率的な利用を可能にする技術の進歩にもかかわらず、減速する明確な兆候は見られない。汎用AIにも、持続可能性への取り組みに有益にも有害にもなりうるアプリケーションが数多くある。
● Privacy risks: General-purpose AI can cause or contribute to violations of user privacy. For example, sensitive information that was in the training data can leak unintentionally when a user interacts with the system. In addition, when users share sensitive information with the system, this information can also leak. But general-purpose AI can also facilitate deliberate violations of privacy, for example if malicious actors use AI to infer sensitive information about specific individuals from large amounts of data. However, so far, researchers have not found evidence of widespread privacy violations associated with general-purpose AI.	● プライバシーリスク：汎用AIは、ユーザーのプライバシー侵害を引き起こしたり、助長したりする可能性がある。例えば、学習データに含まれていた機密情報が、ユーザーがシステムと対話する際に意図せず漏れる可能性がある。さらに、ユーザーが機密情報をシステムと共有した場合、その情報も漏れる可能性がある。しかし、汎用AIは意図的なプライバシー侵害を助長する可能性もある。例えば、悪意のある行為者がAIを使って大量のデータから特定の個人に関する機密情報を推測する場合などだ。しかし、これまでのところ、研究者は汎用AIに関連する広範なプライバシー侵害の証拠を発見していない。
● Copyright infringements: General-purpose AI both learns from and creates works of creative expression, challenging traditional systems of data consent, compensation, and control. Data collection and content generation can implicate a variety of data rights laws, which vary across jurisdictions and may be under active litigation. Given the legal uncertainty around data collection practices, AI companies are sharing less information about the data they use. This opacity makes third-party AI safety research harder.	● 著作権侵害：汎用AIは創造的表現の作品から学習し、また創造的表現の作品を創作し、データ同意、補償、管理に関する従来の制度に挑戦する。データ収集とコンテンツ生成は、様々なデータ権利法に関わる可能性があり、それらは司法管轄区域によって異なり、訴訟も活発に行われている可能性がある。データ収集慣行をめぐる法的不確実性を考慮すると、AI企業は自社が使用するデータに関する情報をあまり共有しないようになっている。この不透明さが、サードパーティによるAIの安全性研究を難しくしている。
Since the publication of the Interim Report, additional evidence on the labour market impacts of general-purpose AI has emerged, while new developments have heightened privacy and copyrights concerns. New analyses of labour market data suggest that individuals are adopting general-purpose AI very rapidly relative to previous technologies. The pace of adoption by businesses varies widely by sector. In addition, recent advances in capabilities have led to general-purpose AI being deployed increasingly in sensitive contexts such as healthcare or workplace monitoring, which creates new privacy risks. Finally, as copyright disputes intensify and technical mitigations to copyright infringements remain unreliable, data rights holders have been rapidly restricting access to their data.	中間報告書の発表以降、汎用AIの労働市場への影響に関する新たな証拠が登場する一方で、新たな進展によりプライバシーや著作権に関する懸念が高まっている。労働市場データの新たな分析によれば、個人が汎用AIを採用するスピードは、従来のテクノロジーと比較して非常に速いことが示唆されている。企業による採用のペースは分野によって大きく異なる。加えて、最近の機能の進歩により、ヘルスケアや職場のモニタリングなど、センシティブな場面での汎用AIの展開が増えており、新たなプライバシーリスクが発生している。最後に、著作権紛争が激化し、著作権侵害に対する技術的緩和が依然として信頼できないため、データ権利者はデータへのアクセスを急速に制限している。
Open-weight models: an important factor in evaluating many risks that a general-purpose AI model might pose is how it is released to the public. So-called ‘open-weight models’ are AI models whose central components, called ‘weights’, are shared publicly for download. Open-weight access facilitates research and innovation, including in AI safety, as well as increasing transparency and making it easier for the research community to detect flaws in models. However, open-weight models can also pose risks, for example by facilitating malicious or misguided use that is difficult or impossible for the developer of the model to monitor or mitigate. Once model weights are available for public download, there is no way to implement a wholesale rollback of all existing copies or ensure that all existing copies receive safety updates. Since the Interim Report, high-level consensus has emerged that risks posed by greater AI openness should be evaluated in terms of ‘marginal’ risk: the extent to which releasing an open-weight model would increase or decrease a given risk, relative to risks posed by existing alternatives such as closed models or other technologies.	オープンウエイトモデル：汎用AIモデルがもたらすであろう多くのリスクを評価する上で重要な要素は、それがどのように一般に公開されているかである。いわゆる「オープンウエイトモデル」とは、「ウエイト」と呼ばれる中心的なコンポーネントがダウンロードできるように公開されているAIモデルのことである。オープンウェイトへのアクセスは、AIの安全性を含む研究とイノベーションを促進し、透明性を高め、研究コミュニティがモデルの欠陥を検出しやすくする。しかし、オープン・ウェイト・モデルは、例えば、モデルの開発者が監視したり緩和したりすることが困難または不可能な悪意ある利用や誤った利用を助長するなどのリスクをもたらす可能性もある。一旦モデルの重みが一般にダウンロードできるようになると、既存の全てのコピーを全面的にロールバックしたり、既存の全てのコピーが安全性の更新を受けることを保証したりする方法はない。中間報告書以降、AIのオープン性を高めることによってもたらされるリスクは、「限界」リスク、すなわち、クローズドモデルや他の技術といった既存の代替案がもたらすリスクと比較して、オープンウエイトモデルを公開することによって所定のリスクがどの程度増減するかという観点から評価されるべきであるというハイレベルなコンセンサスが生まれている。
Section 3 – Risk management: What techniques are there for managing risks from general-purpose AI?	第3節 リスクマネジメント：汎用AIのリスクマネジメントにはどのような手法があるのか？
Several technical approaches can help manage risks, but in many cases the best available approaches still have highly significant limitations and no quantitative risk estimation or guarantees that are available in other safety-critical domains.	いくつかの技術的アプローチはリスクマネジメントに役立つが、多くの場合、利用可能な最善のアプローチにはまだ非常に大きな限界があり、他のセーフティ・クリティカルな領域で利用可能な定量的なリスク評価や保証はない。
Risk management – identifying and assessing risks, and then mitigating and monitoring them – is difficult in the context of general-purpose AI. Although risk management has also been highly challenging in many other domains, there are some features of general-purpose AI that appear to create distinctive difficulties.	リスクの特定とアセスメント、そして緩和とモニタリングといったリスクマネジメントは、汎用AIの文脈では難しい。リスクマネジメントは他の多くの領域でも非常に難しいが、汎用AIには独特の難しさを生み出す特徴がある。
Several technical features of general-purpose AI make risk management in this domain particularly difficult. They include, among others:	汎用AIのいくつかの技術的特徴が、この分野のリスクマネジメントを特に難しくしている。それらには特に以下のようなものがある：
● The range of possible uses and use contexts for general-purpose AI systems is unusually broad. For example, the same system may be used to provide medical advice, analyse computer code for vulnerabilities, and generate photos. This increases the difficulty of comprehensively anticipating relevant use cases, identifying risks, or testing how systems will behave in relevant real-world circumstances.	● 汎用AIシステムの可能な用途と使用コンテクストの範囲は、異常に広い。例えば、同じシステムを医療アドバイスに使ったり、コンピュータコードの脆弱性を分析したり、写真を生成したりすることもできる。このため、関連するユースケースを包括的に予測したり、リスクを特定したり、関連する実世界の状況でシステムがどのように振る舞うかをテストしたりすることが難しくなっている。
● Developers still understand little about how their general-purpose AI models operate. This lack of understanding makes it more difficult both to predict behavioural issues and to explain and resolve known issues once they are observed. Understanding remains elusive mainly because general-purpose AI models are not programmed in the traditional sense.	● 開発者たちは、汎用のAIモデルがどのように動作するかについて、まだほとんど理解していない。この理解不足は、行動上の問題を予測することも、既知の問題が観察された後にそれを説明し解決することも難しくしている。主に、汎用AIモデルは伝統的な意味でプログラムされていないため、理解はつかみにくいままだ。
Instead, they are trained: AI developers set up a training process that involves a large volume of data, and the outcome of that training process is the general-purpose AI model. The inner workings of these models are largely inscrutable, including to the model developers. Model explanation and ‘interpretability’ techniques can improve researchers’ and developers’ understanding of how general-purpose AI models operate, but, despite recent progress, this research remains nascent.	その代わり、AIは訓練される：AI開発者は、大量のデータを含むトレーニングプロセスを設定し、そのトレーニングプロセスの結果が汎用AIモデルである。これらのモデルの内部構造は、モデル開発者を含め、ほとんど不可解である。モデルの説明と「解釈可能性」技術は、汎用AIモデルがどのように動作するかについての研究者や開発者の理解を改善することができるが、最近の進歩にもかかわらず、この研究はまだ始まったばかりである。
● Increasingly capable AI agents – general-purpose AI systems that can autonomously act, plan, and delegate to achieve goals – will likely present new, significant challenges for risk management. AI agents typically work towards goals autonomously by using general software such as web browsers and programming tools. Currently, most are not yet reliable enough for widespread use, but companies are making large efforts to build more capable and reliable AI agents and have made progress in recent months. AI agents will likely become increasingly useful, but may also exacerbate a number of the risks discussed in this report and introduce additional difficulties for risk management. Examples of such potential new challenges include the possibility that users might not always know what their own AI agents are doing, the potential for AI agents to operate outside of anyone’s control, the potential for attackers to ‘hijack’ agents, and the potential for AI-to-AI interactions to create complex new risks. Approaches for managing risks associated with agents are only beginning to be developed.	● AIエージェント（目標達成のために自律的に行動し、計画し、委任することができる汎用AIシステム）の能力が向上すれば、リスクマネジメントに新たな重大な課題をもたらす可能性が高い。AIエージェントは通常、ウェブ・ブラウザやプログラミング・ツールなどの一般的なソフトウェアを使用することで、自律的に目標に向かって行動する。現在のところ、そのほとんどはまだ広く使用できるほど信頼できるものではないが、企業はより有能で信頼性の高いAIエージェントを構築するために大きな努力を払っており、ここ数カ月で進歩を遂げている。AIエージェントは今後ますます便利になっていくだろうが、本報告書で取り上げた多くのリスクを悪化させ、リスクマネジメントに新たな困難をもたらす可能性もある。そのような潜在的な新たな課題の例としては、ユーザーが自身のAIエージェントが何をしているのか常に把握しているとは限らない可能性、AIエージェントが誰のコントロールも及ばないところで動作する可能性、攻撃者がエージェントを「ハイジャック」する可能性、AI同士の相互作用が複雑な新たなリスクを生み出す可能性などが挙げられる。エージェントに関連するリスクをマネジメントするアプローチは、まだ開発され始めたばかりである。
Besides technical factors, several economic, political, and other societal factors make risk management in the field of general-purpose AI particularly difficult.	技術的要因に加え、経済的、政治的、その他の社会的要因も、汎用AIの分野におけるリスクマネジメントをとりわけ難しくしている。
● The pace of advancement in general-purpose AI creates an 'evidence dilemma' for decision-makers.[2] Rapid capability advancement makes it possible for some risks to emerge in leaps; for example, the risk of academic cheating using general-purpose AI shifted from negligible to widespread within a year. The more quickly a risk emerges, the more difficult it is to manage the risk reactively and the more valuable preparation becomes. However, so long as evidence for a risk remains incomplete, decision-makers also cannot know for sure whether the risk will emerge or perhaps even has already emerged. This creates a trade-off:	● 汎用AIの進歩の速さは、意思決定者に「証拠のジレンマ」をもたらす。[2]例えば、汎用AIを使った学歴詐称のリスクは、1年以内に無視できるものから広まるものへと変化した。リスクが急速に顕在化すればするほど、そのリスクを反応的にマネジメントすることは難しくなり、準備の価値は高まる。しかし、リスクの証拠が不完全なままである限り、意思決定者はリスクが顕在化するかどうか、あるいはおそらくすでに顕在化しているかどうかさえも確実に知ることはできない。これはトレードオフの関係にある：
implementing pre-emptive or early mitigation measures might prove unnecessary, but waiting for conclusive evidence could leave society vulnerable to risks that emerge rapidly. Companies and governments are developing early warning systems and risk management frameworks that may reduce this dilemma. Some of these trigger specific mitigation measures when there is new evidence of risks, while others require developers to provide evidence of safety before releasing a new model.	しかし、決定的な証拠を待つことは、急速に顕在化するリスクに対する脆弱性を社会に残すことになりかねない。企業や政府（ ）は、このジレンマを軽減する可能性のある早期警告システムやリスクマネジメント枠組みを開発している。これらの中には、リスクに関する新たな証拠が発見された場合に特定の緩和措置を発動するものもあれば、新モデルをリリースする前に安全性の証拠を提供するよう開発者に求めるものもある。
● There is an information gap between what AI companies know about their AI systems and what governments and non-industry researchers know. Companies often share only limited information about their general-purpose AI systems, especially in the period before they are widely released. Companies cite a mixture of commercial concerns and safety concerns as reasons to limit information sharing. However, this information gap also makes it more challenging for other actors to participate effectively in risk management, especially for emerging risks.	● AI企業が自社のAIシステムについて知っていることと、政府や非産業研究者が知っていることの間には、情報格差がある。企業は汎用AIシステムについて、特に広くリリースされる前の時期には、限られた情報しか共有しないことが多い。企業は、情報共有を制限する理由として、商業的な懸念と安全上の懸念が混在していることを挙げている。しかし、このような情報格差は、他のアクターがリスクマネジメントに効果的に参加すること、特に新たなリスクについて参加することを難しくしている。
● Both AI companies and governments often face strong competitive pressure, which may lead them to deprioritise risk management. In some circumstances, competitive pressure may incentivise companies to invest less time or other resources into risk management than they otherwise would. Similarly, governments may invest less in policies to support risk management in cases where they perceive trade-offs between international competition and risk reduction.	● AI企業も政府も、しばしば強い競争圧力に直面し、リスクマネジメントを軽視するようになるかもしれない。状況によっては、競争圧力は、企業がリスクマネジメントに投資する時間やその他のリソースを、そうでない場合よりも少なくする動機付けになるかもしれない。同様に、政府は、国際競争とリスク削減との間にトレードオフがあると認識する場合には、リスクマネジメントを支援する政策への投資を少なくする可能性がある。
Nonetheless, there are various techniques and frameworks for managing risks from general-purpose AI that companies can employ and regulators can require. These include methods for identifying and assessing risks, as well as methods for mitigating and monitoring them.	とはいえ、汎用AIによるリスクマネジメントには、企業が採用し、規制当局が求めることのできる様々な手法や枠組みがある。これには、リスクを特定・アセスメントする手法や、リスクを緩和・監視する手法が含まれる。
● Assessing general-purpose AI systems for risks is an integral part of risk management, but existing risk assessments are severely limited. Existing evaluations of general-purpose AI risk mainly rely on ‘spot checks’, i.e. testing the behaviour of a general-purpose AI in a set of specific situations. This can help surface potential hazards before deploying a model. However, existing tests often miss hazards and overestimate or underestimate general-purpose AI capabilities and risks, because test conditions differ from the real world.	● 汎用AIシステムのリスクアセスメントはリスクマネジメントの不可欠な要素であるが、既存のリスクアセスメントは極めて限定的である。既存の汎用AIのリスク評価は、主に「抜き打ち検査」、つまり特定の状況における汎用AIの挙動テストに頼っている。これは、モデルを展開する前に潜在的な危険を表面化させるのに役立つ。しかし、既存のテストでは、テスト条件が現実世界と異なるため、ハザードを見逃したり、汎用AIの能力やリスクを過大評価したり過小評価したりすることが多い。
● For risk identification and assessment to be effective, evaluators need substantial expertise, resources, and sufficient access to relevant information. Rigorous risk assessment in the context of general-purpose AI requires combining multiple evaluation approaches. These range from technical analyses of the models and systems themselves to evaluations of possible risks from certain use patterns. Evaluators need substantial expertise to conduct such evaluations correctly. For comprehensive risk assessments, they often also need more time, more direct access to the models and their training data, and more information about the technical methodologies used than the companies developing general-purpose AI typically provide.	● リスクの特定とアセスメントを効果的に行うためには、評価者は相当な専門知識、リソース、関連情報への十分なアクセスを必要とする。汎用AIの文脈における厳密なリスクアセスメントには、複数の評価アプローチを組み合わせる必要がある。これらは、モデルやシステム自体の技術的分析から、特定の使用パターンから起こりうるリスクの評価まで多岐にわたる。評価者は、このような評価を正しく行うために相当な専門知識を必要とする。包括的なリスクアセスメントを行うためには、汎用AIの開発企業が通常提供するよりも多くの時間、モデルやその学習データへの直接アクセス、使用されている技術的方法論に関する多くの情報も必要となることが多い。
● There has been progress in training general-purpose AI models to function more safely, but no current method can reliably prevent even overtly unsafe outputs. For example, a technique called ‘adversarial training’ involves deliberately exposing AI models to examples designed to make them fail or misbehave during training, aiming to build resistance to such cases. However, adversaries can still find new ways ('attacks') to circumvent these safeguards with low to moderate effort. In addition, recent evidence suggests that current training methods – which rely heavily on imperfect human feedback – may inadvertently incentivise models to mislead humans on difficult questions by making errors harder to spot. Improving the quantity and quality of this feedback is an avenue for progress, though nascent training techniques using AI to detect misleading behaviour also show promise.	● 汎用のAIモデルをより安全に機能させるためのトレーニングは進歩しているが、現在の手法では、あからさまに安全でない出力さえも確実に防ぐことはできない。例えば、「敵対的トレーニング」と呼ばれる手法では、トレーニング中にAIモデルをわざと失敗させたり誤動作させたりするようなサンプルにさらすことで、そのようなケースに対する耐性を構築することを目的としている。しかし、敵対者は、これらのセーフガードを回避する新しい方法（「攻撃」）を、低～中程度の労力で見つけることができる。加えて、不完全な人間のフィードバックに大きく依存している現在のトレーニング方法は、エラーを発見しにくくすることで、難しい問題で人間を惑わすようなインセンティブをモデルに不用意に与えている可能性があることを、最近の証拠が示唆している。このようなフィードバックの量と質を改善することは、進歩の道であるが、誤解を招く行動を検知するためにAIを使用する新しいトレーニング技術も有望である。
● Monitoring – identifying risks and evaluating performance once a model is already in use – and various interventions to prevent harmful actions can improve the safety of a general-purpose AI after it is deployed to users. Current tools can detect AI-generated content, track system performance, and identify potentially harmful inputs/outputs, though moderately skilled users can often circumvent these safeguards. Several layers of defence that combine technical monitoring and intervention capabilities with human oversight improve safety but can introduce costs and delays. In the future, hardware-enabled mechanisms could help customers and regulators to monitor general-purpose AI systems more effectively during deployment and potentially help verify agreements across borders, but reliable mechanisms of this kind do not yet exist.	● モニタリング（モデルがすでに使用された後のリスクの特定と性能評価）、および有害な行動を防止するための様々な介入は、汎用AIがユーザーに展開された後の安全性を向上させることができる。生成的なツールは、AIが生成したコンテンツを検知し、システムのパフォーマンスを追跡し、潜在的に有害な入出力を特定することができるが、熟練したユーザーであれば、これらのセーフガードを回避できることも多い。技術的な監視・介入機能と人間による監視を組み合わせた何層もの防御は、安全性を向上させるが、コストと遅延をもたらす可能性がある。将来的には、ハードウェアに対応したメカニズムが、顧客や規制当局が展開中の汎用AIシステムをより効果的に監視するのに役立ち、国境を越えた合意を検証するのに役立つ可能性があるが、この種の信頼できるメカニズムはまだ存在しない。
● Multiple methods exist across the AI lifecycle to safeguard privacy. These include removing sensitive information from training data, model training approaches that control how much information is learned from data (such as ‘differential privacy’ approaches), and techniques for using AI with sensitive data that make it hard to recover the data (such as ‘confidential computing’ and other privacy-enhancing technologies). Many privacy-enhancing methods from other research fields are not yet applicable to general-purpose AI systems due to the computational requirements of AI systems. In recent months, privacy protection methods have expanded to address AI's growing use in sensitive domains including smartphone assistants, AI agents, always-listening voice assistants, and use in healthcare or legal practice.	● AIのライフサイクルには、プライバシーを保護するための複数の方法が存在する。これには、学習データから機密情報を除去する方法、データから学習する情報量を制御するモデル・トレーニングの方法（「差分プライバシー」アプローチなど）、データの復元を困難にする機密データをAIで使用する技術（「機密コンピューティング」やその他のプライバシー強化技術など）などがある。他の研究分野のプライバシー向上手法の多くは、AIシステムの計算要件のため、汎用AIシステムにはまだ適用できない。ここ数カ月で、プライバシー保護手法は、スマートフォンアシスタント、AIエージェント、常時聞き手の音声アシスタント、医療や法律実務での使用など、AIがセンシティブな領域で使用されるようになっていることに対応するために拡大している。
Since the publication of the Interim Report, researchers have made some further progress towards being able to explain why a general-purpose AI model has produced a given output. Being able to explain AI decisions could help manage risks from malfunctions ranging from bias and factual inaccuracy to loss of control. In addition, there have been growing efforts to standardise assessment and mitigation approaches around the world.	中間報告書の発表以来、研究者たちは、汎用AIモデルがなぜある出力を出したのかを説明できるようになるために、さらなる進歩を遂げてきた。AIの判断を説明できるようになれば、バイアスや事実誤認から制御不能に至るまで、誤作動によるリスクマネジメントに役立つ可能性がある。さらに、世界中でアセスメントと緩和のアプローチを標準化する取り組みが活発化している。
Conclusion: A wide range of trajectories for the future of general-purpose AI are possible, and much will depend on how societies and governments act	結論：汎用AIの未来にはさまざまな軌跡が考えられるが、その多くは社会や政府がどのように行動するかにかかっている。
The future of general-purpose AI is uncertain, with a wide range of trajectories appearing possible even in the near future, including both very positive and very negative outcomes. But nothing about the future of general-purpose AI is inevitable. How general-purpose AI gets developed and by whom, which problems it gets designed to solve, whether societies will be able to reap general-purpose AI’s full economic potential, who benefits from it, the types of risks we expose ourselves to, and how much we invest into research to manage risks – these and many other questions depend on the choices that societies and governments make today and in the future to shape the development of general-purpose AI.	汎用AIの未来は不確実であり、非常にポジティブな結果も非常にネガティブな結果も含め、近い将来にも幅広い軌跡があり得ると思われる。しかし、汎用AIの未来に必然性はない。汎用AIが誰によってどのように開発されるのか、どのような問題を解決するために設計されるのか、社会は汎用AIの経済的可能性をフルに享受できるのか、誰がその恩恵を受けるのか、私たちはどのようなリスクにさらされるのか、リスクを管理するための研究にどの程度投資するのか--こうした疑問や他の多くの疑問は、汎用AIの開発を形成するために社会や政府が今日および将来行う選択にかかっている。
To help facilitate constructive discussion about these decisions, this report provides an overview of the current state of scientific research and discussion on managing the risks of general-purpose AI.	こうした決定に関する建設的な議論を促進するため、本報告書では、汎用AIのリスクマネジメントに関する科学的研究と議論の現状を概観する。
The stakes are high. We look forward to continuing this effort.	賭け金は高い。私たちはこの努力を続けることを楽しみにしている。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

AI Action Summit

・2024.11.29 米国 AI安全研究所 安全保障等に関わる政府タスクフォースの設立、AI安全機構国際ネットワークの設立総会で初代議長に、NIST AI 100-4の発表 (2024.11.20)

・2024.05.23 外務省 岸田総理大臣のAIソウル・サミット首脳セッションへの参加（ビデオメッセージ）+ ＡＩソウル・サミット首脳セッション出席国による安全、革新的で包摂的なＡＩのためのソウル宣言 

 

 

 

欧州連合 競争力コンパス (2025.01.29)

こんにちは、丸山満彦です。

欧州連合が、競争力コンパスを公表していますね...

興味深いです...

 

● European Commission

・2025.01.30 European Commission presents its compass to boost Europe's competitiveness in the next five years

 

大統領の記者会見での発言...

・2025.01.29 Statement by President von der Leyen on the EU Competitiveness Compass

 

記者会見

・2025.01.29 An EU Compass to regain competitiveness and secure sustainable prosperity

 

Fact Sheet

・[PDF] Factsheet - Competitiveness Compass

 

・[PDF] Communication on the Competitiveness Compass

 

 ・Strengthening European competitiveness

 

柱が３つあります...

1. Closing the innovation gap	1. イノベーション・ギャップを埋める
2. A joint roadmap for decarbonisation and competitiveness	2. 脱炭素化と競争力のための共同ロードマップ
3. Reducing excessive dependencies and increasing security	3. 過度の依存を減らし、安全保障を強化する

 

欧州の課題は、

• イノベーションが生まれていないこと...
• ロシア、中国に過度に依存していたこと...

という感じでしょうか？

イノベーションが生まれるようチャレンジする。その際に、環境課題をうまく差別化に使いたい、ということなのかもしれません。

そうなると、米国のトランプ大統領の政策との関係が微妙になるかもです。

その一方、中国との距離感というのも、依存関係が高まらないように薄めていくということになるのですかね...

経済規模（名目GDP）的には、米国、欧州、中国の順ですが概ね三つ巴の感じです...

英国、日本というのが、どうでるのか、ブラジル、インドも長期的には重要なプレーヤーになってきますよね...

 

さて、イノベーションんが生まれていない原因は、過剰な規制？という話もあるかもですが、おそらくその裏に本質的な課題があるような気もします。日本も同じですが、何か共通の課題があるのかもしれません。

 

1. Closing the innovation gap	1. イノベーション・ギャップを埋める
The first pillar is about driving productivity through innovation. The Commission will work to create a new dynamism for Europe’s industrial structure.	第一の柱は、イノベーションを通じて生産性を向上させることである。欧州委員会は、欧州の産業構造に新たな活力を生み出すために取り組む。
How:	どのようにするのか：
• Facilitate the establishment of start-ups and conditions for scaling up	- 新興企業の設立を促進し、規模拡大のための条件を整える。
• Create a deeper and efficient venture capital market	- より深く効率的なベンチャーキャピタル市場を創設する
• Ease mobility and retention of talent	- 人材の移動と定着を容易にする
• Invest in state-of-the-art infrastructures	- 最先端のインフラへの投資
• Boost innovation and research	- イノベーションと研究を促進する
Flagship Actions Pillar 1	フラッグシップ・アクション 柱1
• Start-up and Scale-up Strategy	- スタートアップとスケールアップ戦略
• 28th regime	- 第28回 レジューム
• European Innovation Act	- 欧州イノベーション法
• European Research Area Act	- 欧州研究領域法
• AI Factories Initiative, Apply AI, AI in Science, and Data Union Strategies	- AIファクトリー構想、応用AI、科学におけるAI、データ連合戦略
• EU Cloud and AI Development Act	- EUクラウド・AI開発法
• EU Quantum Strategy and a Quantum Act	- EU量子戦略と量子法
• European Biotech Act and Bioeconomy Strategy	- 欧州バイオテクノロジー法とバイオエコノミー戦略
• Life Sciences Strategy	- ライフサイエンス戦略
• Advanced Materials Act	- 先端材料法
• Space Act	- 宇宙法
• Review of the Horizontal Merger Control Guidelines	- 水平統合規制ガイドラインの見直し
• Digital Networks Act	- デジタルネットワーク法
2. A joint roadmap for decarbonisation and competitiveness	2. 脱炭素化と競争力のための共同ロードマップ
This pillar is about integrating decarbonisation policies with industrial, competition, economic and trade policies. They are a powerful driver of growth when they are well integrated.	この柱は、脱炭素化政策を産業、競争、経済、貿易政策と統合することである。これらの政策がうまく統合されれば、成長の強力な原動力となる。
How:	どのように
• Integrate decarbonisation policies with industrial, economic, and trade policies	- 脱炭素化政策を産業、経済、貿易政策と統合する。
• Facilitate access to affordable energy	- 安価なエネルギーへのアクセスを促進する
• Strengthen the business case for a clean transition	- クリーン転換のためのビジネスケースを強化する
• Promote competitiveness of clean tech manufacturers	- クリーンテック製造事業者の競争力を促進する。
Flagship Actions Pillar 2	フラッグシップ・アクション 柱2
• Clean Industrial Deal and an Action Plan on Affordable Energy	- クリーン産業ディールと手頃なエネルギーに関する行動計画
• Industrial Decarbonisation Accelerator Act	- 産業脱炭素化促進法
• Electrification Action Plan and European Grids Package	- 電化行動計画と欧州送電網パッケージ
• New State Aid Framework	- 新たな国家補助の枠組み
• Steel and metals action plan	- 鉄鋼・金属アクションプラン
• Chemicals industry package	- 化学産業パッケージ
• Strategic dialogue on the future of the European automotive industry and Industrial Action Plan	- 欧州自動車産業の将来に関する戦略的対話と産業行動計画
• Sustainable Transport Investment Plan	- 持続可能な輸送投資計画
• European Port Strategy and Industrial Maritime Strategy	- 欧州港湾戦略と産業海洋戦略
• High Speed Rail Plan	- 高速鉄道計画
• Carbon Border Adjustment Mechanism Review	- 炭素国境調整メカニズムの見直し
• Circular Economy Act	- 循環経済法
• Vision for Agriculture and Food	- 農業・食糧ビジョン
• Oceans Pact	- 海洋協定
• Amendment of the Climate Law	- 気候法改正
3. Reducing excessive dependencies and increasing security	3. 過度の依存を減らし、安全保障を強化する
This pillar is about integrating more tightly security and open strategic autonomy considerations in the EU economic policies. The security environment is a precondition for EU firms’ economic success and competitiveness.	この柱は、EUの経済政策において、安全保障と開放的な戦略的自律性への配慮をより緊密に統合することを目指すものである。安全保障環境は、EU企業の経済的成功と競争力の前提である。
How:	どのようにするのか：
• Develop policies, partnerships, and investments to ensure economic security, resilience, and strategic interests	- 経済的安全保障、レジリエンス、戦略的利益を確保するための政策、パートナーシップ、投資を展開する。
• Strengthen defence industrial capabilities and support by pan-European cooperation	- 汎欧州的な協力により、防衛産業の能力と支援を強化する。
• Improve preparedness	- 準備態勢の改善
Flagship Actions Pillar 3	フラッグシップ・アクション 柱3
• Conclude and implement ambitious trade agreements, Clean Trade and Investment Partnerships	- 野心的な貿易協定、クリーンな貿易・投資パートナーシップの締結と実施
• Trans-Mediterranean Energy and Clean Tech Cooperation initiative	- 地中海横断エネルギー・クリーン技術協力イニシアティブ
• Joint purchasing platform for Critical Raw Minerals	- 重要原材料の共同購入プラットフォーム
• Revision of directives on Public Procurement	- 公共調達に関する指令の改正
• White Paper on the Future of European Defence	- 欧州防衛の将来に関する白書
• Preparedness Union Strategy	- ユニオン戦略
• Internal Security Strategy	- 国内安全保障戦略
• Critical Medicines Act	- 重要医薬品法
• European Climate Adaptation Plan	- 欧州気候適応計画
• Water Resilience Strategy	- 水レジリエンス戦略

 

参考　EU

 

 

 

米国 NIST CSWP 36D（初期公開ドラフト）非SUPI ベースのページング：5G サイバーセキュリティおよびプライバシー機能の適用 (2025.01.30)

こんにちは、丸山満彦です。

NISTが、非SUPI ベースのページング：5G サイバーセキュリティおよびプライバシー機能の適用についてのホワイトペーパーを公表し、意見募集をしていますね。。。

加入者永続識別子ベースではない、ページングの概要ですかね。。。

 

● NIST - ITL

・2025.01.30 NIST CSWP 36D (Initial Public Draft) No SUPI-Based Paging: Applying 5G Cybersecurity and Privacy Capabilities

NIST CSWP 36D (Initial Public Draft) No SUPI-Based Paging: Applying 5G Cybersecurity and Privacy Capabilities	NIST CSWP 36D（初期公開ドラフト）非SUPI ベースのページング：5G サイバーセキュリティおよびプライバシー機能の適用
Announcement	発表
5G technology for broadband cellular networks will significantly improve how humans and machines communicate, operate, and interact in the physical and virtual world. 5G provides increased bandwidth and capacity, and low latency. However, professionals in fields like technology, cybersecurity, and privacy are faced with safeguarding this technology while its development, deployment, and usage are still evolving.	ブロードバンド携帯電話ネットワーク向けの 5G テクノロジーは、物理世界および仮想世界における人間と機械のコミュニケーション、操作、相互作用を大幅に改善する。5G は、帯域幅と容量の増加、および低遅延を実現する。しかし、テクノロジー、サイバーセキュリティ、プライバシーなどの分野の専門家は、このテクノロジーの開発、展開、使用がまだ進化している段階で、その保護という課題に直面している。
To help, the NIST National Cybersecurity Center of Excellence (NCCoE) has launched the Applying 5G Cybersecurity and Privacy Capabilities white paper series. The series targets technology, cybersecurity, and privacy program managers within commercial mobile network operators, potential private 5G network operators, and organizations using and managing 5G-enabled technology who are concerned with how to identify, understand, assess, and mitigate risk for 5G networks. In the series we provide recommended practices and illustrate how to implement them. All of the capabilities featured in the white papers have been demonstrated on the NCCoE testbed on commercial-grade 5G equipment.	この課題を支援するため、NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE) は、5G サイバーセキュリティおよびプライバシー機能の適用に関するホワイトペーパーシリーズを発行した。このシリーズは、5G ネットワークのリスクの識別、理解、評価、緩和の方法に関心のある、商用モバイルネットワーク事業者、潜在的なプライベート 5G ネットワーク事業者、および 5G 対応技術を使用および管理する組織の、技術、サイバーセキュリティ、プライバシープログラムのマネージャーを対象としています。このシリーズでは、推奨される実践例を紹介し、その実施方法を説明しています。ホワイトペーパーで紹介されている機能はすべて、商用グレードの 5G 機器を使用した NCCoE テストベッドで実証されています。
We are pleased to announce the availability of the fifth white paper in the series:	このシリーズの第 5 弾となるホワイトペーパーが発行された。
No SUPI-Based Paging — This publication provides an overview of “no Subscription Permanent Identifier (SUPI) based paging,” a 5G capability for protecting users from being identified and located by an attacker. Unlike previous generations of cellular systems, new requirements in 5G protect subscriber confidentiality by using a temporary identity (ID) instead of SUPI for the paging protocol, and explicitly define when the temporary ID must be reallocated (refreshed). 5G network operators and organizations using 5G technologies are encouraged to verify that the paging is happening as described in the 5G standards.	非SUPI ベースのページング — このホワイトペーパーでは、攻撃者によるユーザーの識別や位置特定からユーザーを保護する 5G 機能「非SUPI（加入者永続識別子）ベースのページング」の概要を紹介する。これまでの携帯電話システムとは異なり、5G では、ページングプロトコルに SUPI の代わりに一時的な ID を使用することで加入者の機密性を保護し、一時的な ID を再割り当て（更新）する必要があるタイミングを明示的に定義するという新しい要件が導入されている。5G ネットワーク事業者および 5G 技術を利用する組織は、ページングが 5G 標準で規定どおりに機能していることを確認することを推奨する。
Abstract	要約
This white paper provides an overview of "no Subscription Permanent Identifier (SUPI) based paging," a 5G capability for protecting users from being identified and located by an attacker. Unlike previous generations of cellular systems, new requirements in 5G protect subscriber confidentiality by using a temporary identity (ID) instead of SUPI for the paging protocol, and explicitly define when the temporary ID must be reallocated (refreshed). 5G network operators and organizations using 5G technologies are encouraged to verify that the paging is happening as described in the 5G standards. This white paper is part of a series called Applying 5G Cybersecurity and Privacy Capabilities, which covers 5G cybersecurity- and privacy-supporting capabilities that were implemented as part of the 5G Cybersecurity project at the National Cybersecurity Center of Excellence (NCCoE).	このホワイトペーパーでは、攻撃者によるユーザーの識別や位置特定からユーザーを保護する 5G 機能「非SUPI（加入者永続識別子）ベースのページング」の概要について説明する。これまでの携帯電話システムとは異なり、5G では、ページングプロトコルに SUPI の代わりに一時的な ID を使用することで、加入者の機密性を保護し、一時的な ID を再割り当て（更新）する必要があるタイミングを明示的に定義している。5G ネットワーク事業者および 5G 技術を使用する組織は、ページングが 5G 規格で規定どおりに行われていることを確認することを推奨する。このホワイトペーパーは、「5G サイバーセキュリティおよびプライバシー機能の適用」シリーズの一部であり、国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）の 5G サイバーセキュリティプロジェクトの一環として実装された、5G のサイバーセキュリティおよびプライバシーをサポートする機能について解説している。
Overview	概要
Previous generations of cellular systems often used permanent or quasi-permanent IDs for paging the subscribers – leaving them vulnerable to cybersecurity and privacy risks. This paper explains how 5G networks have mitigated this problem by removing the Subscription Permanent Identifier (SUPI) relationship from paging protocol. Only temporary IDs are used to page UEs, and reallocating the temporary IDs is required when certain events associated with a specific user occur, including paging. We refer to this 5G standards enhancement as “no SUPI-based paging.” If mobile user equipment (UE) roams back from 5G to a previous generation system, these new protections may not be available.	前世代の携帯電話システムでは、加入者にページングを行うために永続的または半永続的な ID がよく使用されていたため、サイバーセキュリティやプライバシーのリスクにさらされていた。このホワイトペーパーでは、5G ネットワークが、ページングプロトコルから加入者永続識別子 (SUPI) の関係を取り除くことで、この問題を緩和した方法を説明する。UE のページングには一時的な ID のみが使用され、ページングなど、特定のユーザーに関連する特定のイベントが発生した場合は、一時的な ID を再割り当てする必要がある。この 5G 規格の強化を「非SUPI ベースのページング」と呼ぶ。モバイルユーザー機器 (UE) が 5G から前世代のシステムにローミングバックした場合、これらの新しい保護機能は利用できない場合がある。

 

・[PDF] NIST.CSWP.36D.ipd

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.14 米国 NIST CSWP 36C （初期公開ドラフト） 一時的な ID の再割り当て： 5Gサイバーセキュリティとプライバシー機能の適用 (2024.11.06)

・2024.10.09 米国 NIST NIST CSWP 36B（初期公開草案） ハードウェア対応セキュリティによる5Gシステムプラットフォームの完全性の確保：5Gのサイバーセキュリティおよびプライバシー機能の適用

・2024.08.16 米国 NIST CSWP 36 5Gのサイバーセキュリティとプライバシー機能の適用：ホワイトペーパーシリーズ序文、36A Subscription Concealed Identifier(SUCI)による加入者識別子の保護

 

 

英国 科学・イノベーション・技術省 AIサイバーセキュリティ実践規範 (2025.01.31)

こんにちは、丸山満彦です。

英国の科学・イノベーション・技術省が、AIサイバーセキュリティ実践規範を公表していますね...

 

● U.K. Department for Science, Innovation and Technolog

プレス...

・2025.01.31 World-leading AI cyber security standard to protect digital economy and deliver Plan for Change

World-leading AI cyber security standard to protect digital economy and deliver Plan for Change	世界最先端のAIサイバーセキュリティ標準がデジタル経済を保護し、変革計画を実現する
・British businesses will benefit from a world-first cyber security standard which will protect AI systems from cyber-attacks, securing the digital economy	・英国企業は、AIシステムをサイバー攻撃から守る世界初のサイバーセキュリティ標準から恩恵を受け、デジタル経済を保護する
・Security measures will unlock AI’s potential to transform public services and boost productivity as part of the government’s Plan for Change	・セキュリティ対策は、政府の「変革のための計画」の一環として、公共サービスを変革し、生産性を高めるAIの可能性を解き放つ
・New global coalition to tackle worldwide cyber skills shortage and strengthen security expertise	・世界的なサイバー・スキル不足に取り組み、セキュリティの専門知識を強化する新たな世界的連合
Companies developing AI – from consumer apps to systems underpinning public services – will be able to better protect themselves from growing cyber security threats under steps set out by the UK government.	消費者向けアプリから公共サービスを支えるシステムまで、AIを開発する企業は、英国政府が定めた措置により、増大するサイバーセキュリティの脅威から自らをよりよく守ることができるようになる。
The steps announced today under a new Code of Practice will give businesses and public services the confidence they need to harness AI’s transformative potential safely – supporting the government’s Plan for Change as the technology drives forward improvements to public services, turbocharges productivity, and drives growth across the economy.	本日発表された新たな行動規範に基づく措置は、企業や公共サービスがAIの変革の可能性を安全に活用するために必要な自信を与えるものであり、公共サービスの改善、生産性の向上、経済全体の成長を促進する技術として、政府の「変革のための計画」を支援するものである。
With cyber attacks or breaches affecting half of businesses in the last 12 months, safeguarding AI systems is crucial as adoption accelerates across the economy. The world leading Code of Practice pioneered by the UK, equips organisations with the tools they need to thrive in the age of AI. From securing AI systems against hacking and sabotage, to ensuring they are developed and deployed in a secure way, the Code will help developers build secure, innovative AI products that drive growth and fuel the Plan for Change.	サイバー攻撃や侵害が過去12ヶ月の間に企業の半数に影響を与えており、経済全体で導入が加速する中、AIシステムの保護は極めて重要である。英国が世界に先駆けて策定した実践規範は、AI時代に成功するために必要なツールを組織に提供する。ハッキングや妨害行為からAIシステムを保護することから、安全な方法で開発・展開されることを保証することまで、この規範は、開発者が成長を促進し、「変革のための計画」を推進する安全で革新的なAI製品を構築するのに役立つ。
It sets out how organisations using AI can protect themselves from a range of cyber threats such as AI attacks and system failures. This can include steps such as implementing cyber security training programmes which are focused on AI vulnerabilities, developing recovery plans following potential cyber incidents, and carrying out robust risk assessments.	この規範は、AIを使用する組織が、AI攻撃やシステム障害などのさまざまなサイバー脅威から身を守る方法を定めている。これには、AIの脆弱性に焦点を当てたサイバーセキュリティ・トレーニング・プログラムの実施、潜在的なサイバーインシデント後の復旧プランの策定、強固なリスクアセスメントの実施といったステップが含まれる。
The voluntary Code of Practice will form the basis of a new global standard for secure AI through the European Telecommunications Standards Institute (ETSI) – a major step which cements the UK’s position as a world leader in safe innovation.  With the UK AI sector generating £14.2 billion in revenue last year, these standards will help maintain growth while protecting critical infrastructure – building on the work of the AI Opportunities Action Plan.	自主的な行動規範は、欧州電気通信標準化機構（ETSI）を通じて、安全なAIのための新たな世界標準の基礎となる。これは、安全なイノベーションにおける世界的リーダーとしての英国の地位を確固たるものにする大きな一歩である。 英国のAIセクターは昨年142億ポンドの収益をあげており、これらの標準は、重要なインフラを保護しながら成長を維持するのに役立つだろう。
Minister for Cyber Security Feryal Clark MP said:	フェリアル・クラーク議員は、次のように述べた：
The UK is leading the way in setting global benchmarks for secure innovation, ensuring AI is developed and deployed in an environment that protects critical systems and data which are central to delivering our Plan for Change.	英国は、安全な技術革新のための世界的なベンチマークを設定し、AIが重要なシステムやデータを保護する環境下で開発・展開されるようにすることで、我々の『変革のための計画』を実現するための中心的な役割を果たしている。
This will not only create the opportunities for businesses to thrive, secure in the knowledge that they can be better protected than ever before but support them in delivering cutting-edge AI products that drive growth, improve public services, and put Britain at the forefront of the global AI economy.	これは、これまで以上に保護が強化されることで企業が安心して繁栄できる機会を創出するだけでなく、成長を促進し、公共サービスを向上させ、英国を世界のAI経済の最前線に置く最先端のAI製品を提供する上で、企業を支援するものである。
The UK government has also published today an implementation guide for the Code, to support businesses as they shore up their cyber defences by providing a one-stop shop which brings together guidance and key steps to follow.  AI represents a generation-defining technology which is central to the government’s Plan for Change - holding incredible potential to transform public services, boost productivity and rebuild our economy.	英国政府はまた、ガイダンスと従うべき主要なステップをまとめたワンストップショップを提供することで、サイバー防衛を強化する企業を支援するため、コードの実施ガイドを本日発表した。 AIは、公共サービスを変革し、生産性を向上させ、経済を再建する驚くべき可能性を秘めた、政府の「変革計画」の中核をなす生成的技術である。
NCSC Chief Technology Officer Ollie Whitehouse said:	NCSCのオリー・ホワイトハウス最高技術責任者（CTO）は、次のように述べた：
It is vital that we harness the transformative potential of AI securely so that our society can reap the benefits of new technologies without introducing avoidable vulnerabilities and cyber risks.	AIが持つ変革の可能性を安全に活用し、我々の社会が回避可能な脆弱性やサイバーリスクを導入することなく、新技術の恩恵を享受できるようにすることが極めて重要だ。
The new Code of Practice, which we have produced in collaboration with global partners, will not only help enhance the resilience of AI systems against malicious attacks but foster an environment in which UK AI innovation can thrive.	私たちがグローバル・パートナーと協力して作成した新しい行動規範は、悪意ある攻撃に対するAIシステムのレジリエンスを強化するだけでなく、英国のAIイノベーションが発展する環境を促進する。
The UK is leading the way by establishing this security standard, fortifying our digital technologies, benefiting the global community and reinforcing our position as the safest place to live and work online.	英国は、このセキュリティ標準を確立することで先導的な役割を果たし、デジタル技術を強化し、グローバル・コミュニティに利益をもたらし、オンライン上で生活し働くのに最も安全な場所としての地位を強化している。
Building on this position of global leadership in cyber security, the UK has also spearheaded the launch of a new International Coalition on Cyber Security Workforces (ICCSW), alongside founding partners including Japan, Singapore, and Canada. The coalition – which emerged from the UK-led Wilton Park Summit in September 2024 - will help countries work together to tackle cyber threats and address the global cyber skills gap.	サイバーセキュリティにおけるこの世界的リーダーシップの立場を基盤として、英国は日本、シンガポール、カナダを含む創設パートナーとともに、新しいサイバーセキュリティ人材に関する国際連合（ICCSW）の立ち上げの先頭に立った。この連合は、2024年9月に英国が主導したウィルトン・パーク・サミットから生まれたもので、各国が協力してサイバー脅威に取り組み、世界的なサイバー技能格差に対処することを支援する。
This new partnership will strengthen international cooperation on cyber security, breaking down barriers to career progression and increasing diversity in the sector. Current estimates show that supporting cyber skills will boost the £11.9 billion cyber security industry which will in turn help to drive growth in the British economy.	この新たなパートナーシップは、サイバーセキュリティに関する国際協力を強化し、キャリアアップの障壁を取り除き、この分野における多様性を高める。現在の試算では、サイバー・スキルを支援することで、119億ポンド規模のサイバー・セキュリティ産業が活性化し、英国経済の成長を促進することになる。
The UK is moving full steam ahead with plans to bolster our online defences through a new Cyber Security and Resilience Bill which was unveiled in last summer’s King Speech. Ahead of that legislation’s introduction, the government is also publishing its response to the Cyber Governance Code of Practice of today. In its response, the government warns that despite the massive disruptions cyber incidents can cause, boards and senior leaders often struggle to engage in cyber issues due to a lack of understanding, training, or time - making it more pressing than ever to ensure all sectors of the UK economy have the tools they need to address cyber threats.	英国は、昨夏の英国国王演説で発表された新しいサイバーセキュリティとレジリエンス法案を通じて、オンライン防衛を強化する計画を本格的に進めている。この法案の序文に先立ち、政府は本日、サイバー・ガバナンス実践規範に対する回答も発表した。その回答の中で、政府は、サイバーインシデントが甚大な混乱を引き起こす可能性があるにもかかわらず、取締役会やシニアリーダーは、理解不足、訓練不足、時間不足のために、サイバー問題への取り組みに苦慮することが多いと警告している。
To address this problem, DSIT has developed the Cyber Governance Code of Practice in collaboration with the National Cyber Security Centre and industry experts. The Code provides clear actions for directors to manage cyber risks effectively, enabling businesses to harness new technologies while building resilience. The government’s response outlines improvements to the Code based on extensive feedback, with the updated version set to be published in early 2025.	この問題に対処するため、DSITはNational Cyber Security Centreおよび業界の専門家と共同で「サイバー・ガバナンス実践規範」を策定した。同コードは、取締役がサイバーリスクを効果的に管理するための明確なアクションをプロバイダとして提供し、企業がレジリエンスを構築しながら新技術を活用できるようにするものである。政府の回答は、広範なフィードバックに基づく規範の改善の概要を示しており、更新版は2025年初頭に公表される予定である。
Notes to editors	編集後記
The Code has been developed in close collaboration with NCSC and a range of external stakeholders. See call for views response for more information.	本規範は、NCSCおよび様々な外部ステークホルダーとの緊密な協力のもとに策定された。詳しくは意見募集の回答を参照のこと。
The Code will be submitted into the European Telecommunications Standards Institute’s Securing AI Committee where it will be used to develop a global standard.	同規範は、欧州電気通信標準化機構のセキュアリングAI委員会に提出され、世界標準の策定に使用される。
The government is working with industry and international counterparts to promote international alignment of security requirements for AI systems, including through monitoring the development of relevant standards in other standards development organisations.	政府は、他の標準開発組織における関連標準の開発を監視することを含め、AIシステムのセキュリティ要件の国際的な整合性を促進するために、産業界および国際的なカウンターパートと協力している。
The government will update the content of the Code and Implementation Guide to mirror the future ETSI global standard and guide once they are created. Read the full AI cyber security code of practice.	政府は、将来ETSIの世界標準とガイドが作成されれば、それを反映するように、コードと実施ガイドの内容を更新する予定である。AIサイバーセキュリティ実践規範の全文を読む。

 

で、AIサイバーセキュリティ実践規範

・2025.01.31 AI Cyber Security Code of Practice

Details	詳細
Artificial intelligence (AI) is transforming our daily lives. As the technology continues to evolve and be embedded, it is crucial that efforts are taken to protect AI systems from growing cyber security threats.	人工知能（AI）は私たちの日常生活を一変させつつある。この技術が進化し、組み込まれ続ける中で、AIシステムを増大するサイバーセキュリティ脅威から保護するための取り組みが極めて重要である。
This Code of Practice sets out baseline cyber security principles to help secure AI systems and the organisations which develop and deploy them. Addressing the cyber risks to AI will protect our citizens and our digital economy while ensuring the many benefits of AI can be realised.	この実施規範は、AIシステムとそれを開発・展開する組織の安全を確保するためのサイバーセキュリティの基本原則を定めたものである。AIに対するサイバーリスクに対処することは、市民とデジタル経済を保護すると同時に、AIがもたらす多くのメリットを確実に実現することにつながる。
This Code of Practice has been updated following global stakeholder feedback gathered via a call for views which was held in summer 2024.	この実施規範は、2024年夏に開催された意見募集を通じて収集された世界的な利害関係者のフィードバックを受けて更新された。
Please read the press notice for further information.	詳しくはプレスリリースをご覧いただきたい。
An overarching theme which arose from responses to the Call for Views was that organisations would benefit from additional guidance that explained how to implement the AI Cyber Security Code of Practice. DSIT commissioned John Sotiropoulos, Senior Security Architect at Kainos and co-lead of the OWASP Top 10 for LLM Applications, to create this implementation guide. Each iteration was reviewed by DSIT and NCSC officials.	意見募集への回答から浮かび上がった包括的なテーマは、AIサイバーセキュリティ行動規範の実施方法を説明する追加ガイダンスが組織に有益であるということであった。DSITは、Kainos社のシニアセキュリティアーキテクトであり、OWASP Top 10 for LLM Applicationsの共同リーダーであるJohn Sotiropoulos氏にこの実施ガイドの作成を依頼した。各反復版は、DSITとNCSC関係者によってレビューされた。
Following support for our approach, DSIT, in close collaboration with NCSC, will submit the Code and the implementation guide in the European Telecommunications Standards Institute (ETSI) where it will be used as the basis for a new global standard (TS 104 223) and accompanying implementation guide (TR 104 128). The Government will update the content of the Code and Guide to mirror the future ETSI global standard and guide.	我々のアプローチが支持された後、DSITはNCSCと緊密に協力して、このコードと実装ガイドを欧州電気通信標準化機構（ETSI）に提出し、新しい世界標準（TS 104 223）とそれに付随する実装ガイド（TR 104 128）の基礎として使用される予定である。政府は、コードとガイドの内容を更新し、将来のETSI標準とガイドを反映させる予定である。
This is part of the government’s wider work to protect and promote the UK online, including securing the next generation of connected technologies.	これは、次世代コネクテッド・テクノロジーの安全確保を含め、英国のオンラインを保護・促進するための政府の幅広い活動の一環である。
To support policy in this area the government has published several research reports on AI cyber security, including surveys and literature reviews. Please visit the AI cyber security collection page for further details.	この分野の政策を支援するため、政府はAIサイバーセキュリティに関する調査や文献レビューなどの研究報告書をいくつか発表している。詳しくは、AIサイバーセキュリティ・コレクションのページをご覧いただきたい。

 

HTML版

・Code of Practice for the Cyber Security of AI

目次...

Introduction	序文
Scope	適用範囲
Implementation guide	実施の手引き
Audience	対象者
Structure of the voluntary Code of Practice	自主行動規範の構成
Code of Practice Principles	実施規範の原則
Annex A: Glossary of terms	附属書 A：用語集

 

 

原則

Code of Practice Principles	実践規範原則
Secure Design	安全な設計
Principle 1: Raise awareness of AI security threats and risks	原則1：AIのセキュリティ上の脅威とリスクに対する認識を高める
Principle 2: Design your AI system for security as well as functionality and performance	原則2：機能・性能だけでなく、セキュリティも考慮した AI システムを設計する
Principle 3: Evaluate the threats and manage the risks to your AI system	原則3：AI システムに対する脅威を評価し、リスクをマネジメントする
Principle 4: Enable human responsibility for AI systems	原則4：AIシステムに対する人間の責任を可能にする
Secure Development	安全な開発
Principle 5: Identify, track and protect your assets	原則5：資産を識別し、追跡し、保護する
Principle 6: Secure your infrastructure	原則6：インフラストラクチャの安全性確保
Principle 7: Secure your supply chain	原則7：サプライチェーンの安全性確保
Principle 8: Document your data, models and prompts	原則8：データ、モデル、プロンプトを文書化する
Principle 9: Conduct appropriate testing and evaluation	原則9：適切なテストと評価の実施
Secure Deployment	安全な展開
Principle 10: Communication and processes associated with End-users and Affected Entities	原則10：エンドユーザ及び影響を受ける事業体とのコミュニケーション及びプロセス
Secure Maintenance	安全な保守
Principle 11: Maintain regular security updates, patches and mitigations	原則11：セキュリティ更新、パッチ、緩和を定期的に維持する
Principle 12: Monitor your system’s behaviour	原則12：システムの振る舞いを監視する
Secure End of Life	安全な廃止
Principle 13: Ensure proper data and model disposal	原則13：適切なデータとモデルの廃棄を確実に行う

 

主な対象者

実践規範原則	開発者	システム運用者	データ管理者
安全な設計
原則1：AIのセキュリティ上の脅威とリスクに対する認識を高める	●	●	●
原則2：機能・性能だけでなく、セキュリティも考慮した AI システムを設計する	●	●
原則3：AI システムに対する脅威を評価し、リスクをマネジメントする	●	●
原則4：AIシステムに対する人間の責任を可能にする	●	●
安全な開発
原則5：資産を識別し、追跡し、保護する	●	●	●
原則6：インフラストラクチャの安全性確保	●	●
原則7：サプライチェーンの安全性確保	●	●	●
原則8：データ、モデル、プロンプトを文書化する	●
原則9：適切なテストと評価の実施	●	●
安全な展開
原則10：エンドユーザ及び影響を受ける事業体とのコミュニケーション及びプロセス
安全な保守
原則11：セキュリティ更新、パッチ、緩和を定期的に維持する	●	●
原則12：システムの振る舞いを監視する	●	●
安全な廃止
原則13：適切なデータとモデルの廃棄を確実に行う	●	●

 

 

詳細な実践規範

Code of Practice Principles	実践規範原則
Secure Design	安全な設計
Principle 1: Raise awareness of AI security threats and risks	原則1：AIのセキュリティ上の脅威とリスクに対する認識を高める
Primarily applies to: System Operators, Developers, and Data Custodians	主に次の者に適用される： システム運用者、開発者、データ管理者
[NIST 2022, NIST 2023, ASD 2023, WEF 2024, OWASP 2024, MITRE 2024, Google 2023, ESLA 2023, Cisco 2022, Deloitte 2023, Microsoft 2022].	[NIST 2022, NIST 2023, ASD 2023, WEF 2024, OWASP 2024, MITRE 2024, Google 2023, ESLA 2023, Cisco 2022, Deloitte 2023, Microsoft 2022].
1.1.   Organisations’ cyber security training programme shall include AI security content which shall be regularly reviewed and updated, such as if new substantial AI-related security threats emerge.	1.1. 組織のサイバーセキュリティ研修プログラムには、AIセキュリティの内容を含めるものとし、AI関連の新たな実質的なセキュリティ脅威が出現した場合などには、定期的に見直し、更新するものとする。
1.1.1 AI security training shall be tailored to the specific roles and responsibilities of staff members.	1.1.1 AIセキュリティ研修は、職員の特定の役割と責任に合わせて実施する。
1.2.  As part of an Organisation’s wider staff training programme, they shall require all staff to maintain awareness of the latest security threats and vulnerabilities that are AI-related. Where available, this awareness shall include proposed mitigations.	1.2. 組織は、より広範な職員研修プログラムの一環として、すべての職員に対し、AIに関連する最新のセキュリティ上の脅威および脆弱性に関する意識を維持するよう求めるものとする。利用可能な場合、この認識には緩和案を含めるものとする。
1.2.1. These updates should be communicated through multiple channels, such as security bulletins, newsletters, or internal knowledge-sharing platforms. This will ensure broad dissemination and understanding among the staff.	1.2.1. これらの最新情報は、セキュリティ速報、ニュースレター、社内の知識共有プラッ トフォームなど、複数のチャネルを通じてコミュニケーションすべきである。こうすることで、職員に広範に普及し、理解されるようにする。
1.2.2 Organisations shall provide developers with training in secure coding and system design techniques specific to AI development, with a focus on preventing and mitigating security vulnerabilities in AI algorithms, models, and associated software.	1.2.2 組織は、AI 開発に特化したセキュアコーディング及びシステム設計技法につい て、AI アルゴリズム、モデル、及び関連ソフトウェアにおけるセキュリティ脆弱 性の防止と緩和に重点を置いたトレーニングを開発者に提供する。
Principle 2: Design your AI system for security as well as functionality and performance	原則2：機能・性能だけでなく、セキュリティも考慮した AI システムを設計する
Primarily applies to: System Operators and Developers	主に次の者に適用される： システム運用者と開発者
[OWASP 2024, MITRE 2024, WEF 2024, ENISA 2023, NCSC 2023, BSI1 2023, Cisco 2022, Microsoft 2022, G7 2023, HHS 2021, OpenAI2 2024, ASD 2023, ICO 2020].	[OWASP 2024, MITRE 2024, WEF 2024, ENISA 2023, NCSC 2023, BSI1 2023, Cisco 2022, Microsoft 2022, G7 2023, HHS 2021, OpenAI2 2024, ASD 2023, ICO 2020].
2.1 As part of deciding whether to create an AI system, a System Operator and/or Developer shall conduct a thorough assessment that includes determining and documenting the business requirements and/or problem they are seeking to address, along with associated AI security risks and mitigation strategies.5	2.1 AI システムを構築するかどうかを決定する一環として、システム運用者及び／又は開発者は、 ビジネス要件及び／又は解決しようとしている問題の決定と文書化を含む徹底的なアセスメント を、関連する AI セキュリティリスク及び緩和戦略とともに実施しなければならない5。
2.1.1 Where the Data Custodian is part of a Developer’s organisation, they shall be included in internal discussions when determining the requirements and data needs of an AI system.	2.1.1 データカストディアンが開発者の組織の一部である場合、AI システムの要件とデータ ニーズを決定する際の内部協議に、データカストディアンを含めなければならない。
2.2: Developers and System Operators shall ensure that AI systems are designed and implemented to withstand adversarial AI attacks, unexpected inputs and AI system failure.	2.2： 開発者とシステム運用者は、AI システムが敵対的な AI 攻撃、予期せぬ入力、 AI システムの故障に耐えられるように設計され実装されていることを保証しなければならない。
2.3 To support the process of preparing data, security auditing and incident response for an AI system, Developers shall document and create an audit trail in relation to the AI system. This shall include the operation, and lifecycle management of models, datasets and prompts incorporated into the system.	2.3 AI システムのデータ準備，セキュリティ監査，インシデント対応のプロセスを支援するために，開発者は AI システムに関する監査証跡を文書化し，作成しなければならない。これには、システムに組み込まれたモデル、データセット、プロンプトの運用、 ライフサイクル管理を含むものとする。
2.4 If a Developer or System Operator uses an external component, they shall conduct an AI security risk assessment and due diligence process in line with their existing software development processes, that assesses AI specific risks.6	2.4 開発者又はシステム運用者が外部のコンポーネントを使用する場合、開発者は、既存のソフ トウェア開発プロセスに沿って、AI 固有のリスクを評価する AI セキュリティリスク アセスメント及びデューディリジェンスプロセスを実施しなければならない6
2.5 Data Custodians shall ensure that the intended usage of the system is appropriate to the sensitivity of the data it was trained on as well as the controls intended to ensure the security of the data.	2.5 データ管理者は、システムの意図された使用方法が、データのセキュリティを確保するために意図 された制御と同様に、訓練されたデータの機密性に適切であることを保証しなければならない。
2.5.1 Organisations should ensure that employees are encouraged to proactively report and identify any potential security risks in AI systems and ensure appropriate safeguards are in place.	2.5.1 組織は、従業員がAIシステムの潜在的なセキュリティリスクを積極的に報告し、 識別するよう奨励され、適切な保護措置が実施されていることを確認するものとする。
2.6 Where the AI system will be interacting with other systems or data sources, (be they internal or external), Developers and System Operators shall ensure that the permissions granted to the AI system on other systems are only provided as required for functionality and are risk assessed.	2.6 AI システムが他のシステムあるいはデータソース (それが内部であれ外部であれ) と相互作用する場合、 開発者及びシステム運用者は、他のシステム上で AI システムに付与される権限が、 機能上必要な場合にのみ提供され、リスクアセスメントされていることを保証しなければならない。
2.7 If a Developer or System Operator chooses to work with an external provider, they shall undertake a due diligence assessment and should ensure that the provider is adhering to this Code of Practice.	2.7 開発者やシステム運用者が外部のプロバイダと連携することを選択した場合は、デューデリ ジェンス・アセスメントを実施し、プロバイダがこの「実施規範」を遵守していることを確認しなけれ ばならない。
Principle 3: Evaluate the threats and manage the risks to your AI system	原則3：AI システムに対する脅威を評価し、リスクをマネジメントする
Primarily applies to: Developers and System Operators	主に次の者に適用される： 開発者とシステム運用者
[OWASP 2024, WEF 2024, Nvidia 2023, ENISA 2023, Google 2023, G7 2023, NCSC 2023, Deloitte 2023], MITRE, OWASP, NIST Risk Taxonomy, ISO 27001]	[OWASP 2024, WEF 2024, Nvidia 2023, ENISA 2023, Google 2023, G7 2023, NCSC 2023, Deloitte 2023], MITRE, OWASP, NIST Risk Taxonomy, ISO 27001]。
3.1 Developers and System Operators shall analyse threats and manage security risks to their systems. Threat modelling should include regular reviews and updates and address AI-specific attacks, such as data poisoning, model inversion, and membership inference.	3.1 開発者とシステム運用者は、脅威を分析し、システムのセキュリティリスクをマネジメントする。脅威モデリングは、定期的なレビューと更新を含み、データ・ポイズニング、モデル・ インバージョン、メンバーシップ推論など、AI 固有の攻撃に対処する。
3.1.1 The threat modelling and risk management process shall be conducted to address any security risks that arise when a new setting or configuration option is implemented or updated at any stage of the AI lifecycle.	3.1.1 脅威モデリング及びリスクマネジメントプロセスは，AIのライフサイクルのどの段階においても， 新しい設定又は構成オプションが実装又は更新されたときに生じるセキュリティリスクに対処するために 実施されなければならない。
3.1.2 Developers shall manage the security risks associated with AI models that provide superfluous functionalities, where increased functionality leads to increased risk. For example, where a multi-modal model is being used but only single modality is used for system function.	3.1.2 開発者は、機能の増加がリスクの増加につながる場合、余計な機能を提供する AI モデルに関連するセキュリティリスクをマネジメントしなければならない。例えば、マルチモダ ルモデルが使用されているが、システム機能には単一モダリティしか使用されていない場合などである。
3.1.3 System Operators shall apply controls to risks identified through the analysis based on a range of considerations, including the cost of implementation in line with their corporate risk tolerance.	3.1.3 システムオペレータは、自社のリスク許容度に沿った実装コストを含む様々な考慮事項に基 づき、分析を通じて識別されたリスクに対策を適用するものとする。
3.2 Where AI security threats are identified that cannot be resolved by Developers, this shall be communicated to System Operators so they can threat model their systems. System Operators shall communicate this information to End-users, so they are made aware of these threats. This communication should include detailed descriptions of the risks, potential impacts, and recommended actions to address or monitor these threats.	3.2 開発者によって解決できない AI セキュリティ脅威が識別された場合、システムオペレータがシステ ムの脅威モデルを作成できるように、そのことをシステムオペレータに伝えなければならない。システムオペレータはこの情報をエンドユーザにコミュニケーションし、エンドユーザがこれらの脅威を認識できるようにしなければならない。このコミュニケーションには、リスク、潜在的影響、およびこれらの脅威に対処または監視するための推奨される措置の詳細な説明が含まれるべきである。
3.3 Where an external entity has responsibility for AI security risks identified within an organisations infrastructure, System Operators should attain assurance that these parties are able to address such risks.	3.3 外部事業体が、組織のインフラ内で識別された AI セキュリティリスクに責任を持つ場 合、システム運用者は、これらの関係者がそのようなリスクに対処できるという保証を得る べきである。
3.4 Developers and System Operators should continuously monitor and review their system infrastructure according to risk appetite. It is important to recognise that a higher level of risk will remain in AI systems despite the application of controls to mitigate against them.	3.4 開発者とシステム運用者は、リスク選好度に従って、システムインフラを継続的に監視し、 見直すべきである。AIシステムには、リスクを緩和するためのコントロールが適用されているにもかかわらず、より高いレベルのリスクが残ることを認識することが重要である。
Principle 4: Enable human responsibility for AI systems	原則4：AIシステムに対する人間の責任を可能にする
Primarily applies to: Developers and System Operators	主に次の者に適用される： 開発者、システム運用者
[OWASP 2024, MITRE 2024, BSI1 2023, Microsoft 2022]	[OWASP 2024, MITRE 2024, BSI1 2023, Microsoft 2022]
4.1 When designing an AI system, Developers and/or System Operators should incorporate and maintain capabilities to enable human oversight.7	4.1 AI システムを設計する際、開発者及び／又はシステム運用者は、人間による監視を可能にする機能を組み 込み、維持することが望ましい7
4.2 Developers should design systems to make it easy for humans to assess outputs that they are responsible for in said system (such as by ensuring that models outputs are explainable or interpretable).	4.2 開発者は、（モデルの出力が説明可能又は解釈可能であることを保証するなどして）当該システムにおいて 責任を負う出力を人間が容易に評価できるようにシステムを設計することが望ましい。
4.3 Where human oversight is a risk control, Developers and/or System Operators shall design, develop, verify and maintain technical measures to reduce the risk through such oversight.	4.3 人の監視がリスクコントロールである場合、開発者及び/又はシステム運用者は、そのような監視に よるリスクを低減するための技術的手段を設計し、開発し、検証し、維持しなければならない。
4.4 Developers should verify that the security controls specified by the Data Custodian have been built into the system.	4.4 開発者は、データ管理者が指定したセキュリティ管理がシステムに組み込まれていることを 検証しなければならない。
4.5 Developers and System Operators should make End-users aware of prohibited use cases of the AI system.	4.5 開発者及びシステム運用者は、エンドユーザにAIシステムの禁止された使用事例を認識させるべきである。
Secure Development	安全な開発
Principle 5: Identify, track and protect your assets	原則5：資産を識別し、追跡し、保護する
Primarily applies to: Developers, System Operators and Data Custodians	主に適用される： 開発者、システム運用者、データ管理者
[OWASP 2024, Nvidia 2023, NCSC 2023, BSI1 2023, Cisco 2022, Deloitte 2023, Amazon 2023, G7 2023, ICO 2020]	[OWASP 2024, Nvidia 2023, NCSC 2023, BSI1 2023, Cisco 2022, Deloitte 2023, Amazon 2023, G7 2023, ICO 2020].
5.1 Developers, Data Custodians and System Operators shall maintain a comprehensive inventory of their assets (including their interdependencies/connectivity).	5.1 開発者、データ管理者、システム運用者は、その資産（相互依存性／接続性を含む）の包括的 なインベントリを維持するものとする。
5.2 As part of broader software security practices, Developers, Data Custodians and System Operators shall have processes and tools to track, authenticate, manage version control and secure their assets due to the increased complexities of AI specific assets.	5.2 開発者、データ管理者及びシステム運用者は、より広範なソフトウェアセキュリティの実践の一環として、AI 特有の資産の複雑性が増しているため、その資産を追跡し、認証し、バージョン管理し、安全性を確保するためのプロセスとツールを持たなければならない。
5.3 System Operators shall develop and tailor their disaster recovery plans to account for specific attacks aimed at AI systems.	5.3 システム運用者は、AI システムを狙った特定の攻撃を考慮した災害復旧計画を策定し、調整しなければならない。
5.3.1 System Operators should ensure that a known good state can be restored.	5.3.1 システム運用者は、既知の良好な状態を復元できるようにすること。
5.4 Developers, System Operators, Data Custodians and End-users shall protect sensitive data, such as training or test data, against unauthorised access.	5.4 開発者、システム運用者、データ管理者及びエンドユーザは、訓練データやテストデータなどの機密データを、不正アクセスから保護しなければならない。
5.4.1 Developers, Data Custodians and System Operators shall apply checks and sanitisation to data and inputs when designing the model based on their access to said data and inputs and where those data and inputs are stored. This shall be repeated when model revisions are made in response to user feedback or continuous learning.	5.4.1 開発者、データ管理者及びシステム運用者は、モデルを設計する際、当該データ及び入力へのア クセス、並びに当該データ及び入力の保存場所に基づいて、データ及び入力のチェック及びサニタ イゼーションを適用しなければならない。これは、ユーザーからのフィードバックまたは継続的な学習に応じてモデルの改訂が行われる際にも繰り返されるものとする。
5.4.2 Where training data or model weights could be confidential, Developers shall put proportionate protections in place.	5.4.2 訓練データまたはモデルの重みが機密である可能性がある場合、開発者は相応の防御を行う。
Principle 6: Secure your infrastructure	原則6：インフラストラクチャの安全性確保
Primarily applies to: Developers and System Operators	主に次の者に適用される： 開発者、システム運用者
[OWASP 2024, MITRE 2024, WEF 2024, NCSC 2023, Microsoft 2022, ICO 2020]	[OWASP 2024, MITRE 2024, WEF 2024, NCSC 2023, Microsoft 2022, ICO 2020]
6.1 Developers and System Operators shall evaluate their organisation’s access control frameworks and identify appropriate measures to secure APIs, models, data, and training and processing pipelines.	6.1 開発者とシステム運用者は、自組織のアクセス制御枠組みを評価し、API、モデル、データ、学習・処理パイプライ ンのセキュリティを確保するための適切な手段を特定しなければならない。
6.2 If a Developer offers an API to external customers or collaborators, they shall apply controls that mitigate attacks on the AI system via the API. For example, placing limits on model access rate to limit an attacker’s ability to reverse engineer or overwhelm defences to rapidly poison a model.	6.2 開発者が API を外部の顧客や共同研究者に提供する場合、API を介した AI システムへの攻撃を緩和する管理策を適用しなければならない。例えば、モデルへのアクセス速度に制限を設けることで、攻撃者がリバースエンジニアリングしたり、防御を圧倒してモデルを急速に汚染したりする能力を制限する。
6.3 Developers shall also create dedicated environments for development and model tuning activities. The dedicated environments shall be backed by technical controls to ensure separation and principle of least privilege. In the context of AI, this is particularly necessary because training data shall only be present in the training and development environments where this training data is not based on publicly available data.	6.3 開発者はまた、開発およびモデルチューニング活動のための専用環境を構築しなければならない。専用環境は、分離と最小特権の原則を確保するための技術的な管理によってバックアップされなければならない。AI の文脈では、これは特に必要である。なぜなら、訓練データは、一般に利用可能なデータ に基づいていない訓練環境と開発環境にのみ存在しなければならないからである。
6.4 Developers and System Operators shall implement and publish a clear and accessible vulnerability disclosure policy.	6.4 開発者及びシステム運用者は、明確で利用しやすい脆弱性開示ポリシーを実施し、公開する。
6.5 Developers and System Operators shall create, test and maintain an AI system incident management plan and an AI system recovery plan.	6.5 開発者及びシステム運用者は，AI システムのインシデント管理計画及び AI システムの復旧計画を作成し，テストし，維持しなければならない。
6.6 Developers and System Operators should ensure that, where they are using cloud service operators to help to deliver the capability, their contractual agreements support compliance with the above requirements.	6.6 開発者とシステムオペレータは、能力の提供を支援するためにクラウドサービスオペレータを利用する場合、その契約上の合意が上記の要件への準拠をサポートすることを保証しなければならない。
Principle 7: Secure your supply chain	原則7：サプライチェーンの安全性確保
Primarily applies to: Developers, System Operators and Data Custodians	主に次の者に適用される： 開発者、システム運用者、データ管理者
[Software Bill of Materials (SBOM), CISA, OWASP 2024, NCSC 2023, Microsoft 2022, ASD 2023]	[ソフトウェア部品表（SBOM）、CISA、OWASP 2024、NCSC 2023、Microsoft 2022、ASD 2023]。
7.1 Developers and System Operators shall follow secure software supply chain processes for their AI model and system development.	7.1 開発者とシステム運用者は、AI モデルとシステム開発のために、安全なソフトウェアサプライチェーンプロセスに従わなければならない。
7.2 System Operators that choose to use or adapt any models, or components, which are not well-documented or secured shall be able to justify their decision to use such models or components through documentation (for example if there was no other supplier for said component).	7.2 十分な文書化もセキュリティ保護もされていないモデルやコンポーネントの使用や適合を選択するシス テム運用者は、文書化によって、そのようなモデルやコンポーネントを使用する決定を正当化できな ければならない（例えば、当該コンポーネントの供給者が他にいない場合など）。
7.2.1 In this case, Developers and System Operators shall have mitigating controls and undertake a risk assessment linked to such models or components.	7.2.1 この場合、開発者及びシステム運用者は緩和制御を行い、そのようなモデルやコンポーネントに関連する リスクアセスメントを実施しなければならない。
7.2.2 System Operators shall share this documentation with End-users in an accessible way.	7.2.2 システム運用者は、この文書をエンドユーザとアクセス可能な方法で共有しなければならない。
7.3 Developers and System Operators shall re-run evaluations on released models that they intend on using.	7.3 開発者及びシステム運用者は、使用する予定のリリースされたモデルの評価を再実行しなければならない。
7.4 System Operators shall communicate their intention to update models to End-users in an accessible way prior to models being updated.	7.4 システム運用者は、モデルが更新される前に、利用しやすい方法でエンドユーザにモデルを更新する意向を 伝えなければならない。
Principle 8: Document your data, models and prompts	原則8：データ、モデル、プロンプトを文書化する
Primarily applies to: Developers	主に次の者に適用される： 開発者
[OWASP 2024, WEF 2024, NCSC 2023, Cisco 2022, Microsoft 2022, ICO 2020]	[OWASP 2024, WEF 2024, NCSC 2023, Cisco 2022, Microsoft 2022, ICO 2020]
8.1 Developers shall document and maintain a clear audit trail of their system design and post-deployment maintenance plans. Developers should make the documentation available to the downstream System Operators and Data Custodians.	8.1 開発者は、システム設計と展開後の保守計画を文書化し、明確な監査証跡を維持しなければならない。開発者は、その文書を下流のシステム運用者とデータ管理者が利用できるようにすべきである。
8.1.1 Developers should ensure that the document includes security-relevant information, such as the sources of training data (including fine-tuning data and human or other operational feedback), intended scope and limitations, guardrails, retention time, suggested review frequency and potential failure modes.	8.1.1 開発者は、その文書にセキュリティに関連する情報、例えば、訓練データの情報源（微調整データ及び人為的又はその他の運用上のフィードバックを含む）、意図された範囲と制限、ガードレール、保持時間、推奨されるレビュー頻度及び潜在的な故障モードが含まれていることを確実にしなければならない。
8.1.2 Developers shall release cryptographic hashes for model components that are made available to other stakeholders to allow them to verify the authenticity of the components.	8.1.2 開発者は、他の利害関係者が認証できるように、モデルコンポーネントの暗号ハッシュを公開しなければならない。
8.2 Where training data has been sourced from publicly available sources, there is a risk that this data might have been poisoned. As discovery of poisoned data is likely to occur after training (if at all), Developers shall document how they obtained the public training data, where it came from and how that data is used in the model.	8.2 訓練データが一般に入手可能なソースから提供されている場合、このデータがポイズニングされている リスクがある。ポイズニングされたデータが発見されるのは (もし発見されたとしても) トレーニングの後である可能性が高いので、開発者は、公開されているトレーニングデータの入手方法、その出所、そのデータがモデルでどのように使用されているかを文書化しなければならない。
8.2.1. The documentation of training data should include at a minimum the source of the data, such as the URL of the scraped page, and the date/time the data was obtained. This will allow Developers to identify whether a reported data poisoning attack was in their data sets.	8.2.1. 訓練データの文書化には、スクレイピングされたページの URL などのデータソースと、 データを取得した日時を最低限含めるべきである。これによって開発者は、報告されたデータ・ポイズニング攻撃が自分のデータセットにあったかどうかを識別できるようになる。
8.3 Developers should ensure that they have an audit log of changes to system prompts or other model configuration (including prompts) that affect the underlying working of the systems. Developers may make this available to any System Operators and End-Users that have access to the model.	8.3 開発者は、システムの基本的な動作に影響を与えるシステムプロンプトやその他のモデル設定 (プロンプトを含む) の変更履歴を監査ログとして確実に記録しておくべきである。開発者は、モデルにアクセスできるシステム運用者及びエンドユーザーがこれを利用できるようにしてもよい。
Principle 9: Conduct appropriate testing and evaluation	原則9：適切なテストと評価の実施
Primarily applies to: Developers and System Operators	主に次の者に適用される： 開発者、システム運用者
[OWASP 2024, WEF 2024, Nvidia 2023, NCSC 2023, ENISA 2023, Google 2023, G7 2023]	[OWASP 2024, WEF 2024, Nvidia 2023, NCSC 2023, ENISA 2023, Google 2023, G7 2023]。
9.1 Developers shall ensure that all models, applications and systems that are released to System Operators and/or End-users have been tested as part of a security assessment process.	9.1 開発者は、システム運用者及び／又はエンドユーザにリリースされるすべてのモデル、アプリケーショ ン及びシステムが、セキュリティアセスメントプロセスの一環としてテストされていることを確実にしなければなら ない。
9.2 System Operators shall conduct testing prior to the system being deployed with support from Developers.	9.2 システム運用者は、開発者の支援を受けて、システムの展開前にテストを実施しなければならない。
9.2.1 For security testing, System Operators and Developers should use independent security testers with technical skills relevant to their AI systems.	9.2.1 セキュリティテストのために、システム運用者及び開発者は、その AI システムに関連する技術スキルを持つ独立したセキュリティテスターを使用すべきである。
9.3 Developers should ensure that the findings from the testing and evaluation are shared with System Operators, to inform their own testing and evaluation.	9.3 開発者は、テストと評価から得られた知見がシステム運用者と共有され、開発者自身のテストと評 価に反映されるようにしなければならない。
9.4 Developers should evaluate model outputs to ensure they do not allow System Operators or End-users to reverse engineer non-public aspects of the model or the training data.	9.4 開発者は、システム運用者やエンドユーザにモデルや学習データの非公開部分のリバースエンジニアリン グを許可しないことを保証するために、モデルの出力を評価するべきである。
9.4.1 Additionally, Developers should evaluate model outputs to ensure they do not provide System Operators or End-users with unintended influence over the system.	9.4.1 さらに、開発者は、システム運用者またはエンドユーザにシステムに対する意図しない影響力を与えないように、 モデル出力を評価すべきである。
Secure Deployment	安全な展開
Principle 10: Communication and processes associated with End-users and Affected Entities	原則10：エンドユーザ及び影響を受ける事業体とのコミュニケーション及びプロセス
As part of an organisation’s wider deployment practices, they should also consider pre-deployment testing of AI systems alongside the requirements below.	組織の広範な展開慣行の一環として、以下の要件と並行して、AI システムの展開前テストも考慮すること。
10.1 System Operators shall convey to End-users in an accessible way where and how their data will be used, accessed and stored (for example, if it is used for model retraining, or reviewed by employees or partners).8 If the Developer is an external entity, they shall provide this information to System Operators.	10.1 システムオペレータは、エンドユーザに、自分のデータがどこでどのように使用され、アクセス され、保存されるのか（例えば、モデルの再トレーニングに使用される場合、従業員やパートナーに よってレビューされる場合など）、アクセスしやすい方法で伝えなければならない8。
10.2 System Operators shall provide End-users with accessible guidance to support their use, management, integration, and configuration of AI systems. If the Developer is an external entity, they shall provide all necessary information to help System Operators.	10.2 システム運用者は、AI システムの使用、管理、統合、設定を支援するために、エンドユーザに利用しやすいガイダンスを提供しなければならない。開発者が外部の事業体である場合、開発者はシステム運用者を支援するために必要なすべての情報を提供しなければならない。
10.2.1 System Operators shall include guidance on the appropriate use of the model or system, which includes highlighting limitations and potential failure modes.	10.2.1 システム運用者は、モデルやシステムの適切な使用に関するガイダンスを含めなければならず、 これには制限や潜在的な故障モードの強調も含まれる。
10.2.2 System Operators shall proactively inform End-users of any security relevant updates and provide clear explanations in an accessible way.	10.2.2 システム運用者は、エンドユーザにセキュリティ関連の更新を積極的に通知し、利用しやすい方法で明 確な説明を提供しなければならない。
10.3 Developers and System Operators should support End-users and Affected Entities during and following a cyber security incident to contain and mitigate the impacts of an incident. The process for undertaking this should be documented and agreed in contracts with End-users.	10.3. 開発者とシステム運用者は、サイバーセキュリティインシデント発生中及び発生後、インシデントの影 響を封じ込め緩和するために、エンドユーザと影響を受ける事業体を支援すべきである。これを実施するためのプロセスを文書化し、エンドユーザとの契約に合意すべきである。
Secure Maintenance	安全な保守
Principle 11: Maintain regular security updates, patches and mitigations	原則11：セキュリティ更新、パッチ、緩和を定期的に維持する
Primarily applies to: Developers and System Operators	主に次の者に適用される： 開発者とシステム運用者
[ICO 2020]	[ICO 2020]
11.1 Developers shall provide security updates and patches, where possible, and notify System Operators of the security updates. System Operators shall deliver these updates and patches to End-users.	11.1 開発者は、可能であればセキュリティ更新とパッチを提供し、システム運用者にセキュリティ更新を通知する。システム運用者は、これらの更新とパッチをエンドユーザに提供しなければならない。
11.1.1 Developers shall have mechanisms and contingency plans to mitigate security risks, particularly in instances where updates cannot be provided for AI systems.	11.1.1 開発者は、特に AI システムのアップデートが提供できない場合に、セキュリティリスクを 緩和するための仕組みとコンティンジェンシープランを持たなければならない。
11.2 Developers should treat major AI system updates as though a new version of a model has been developed and therefore undertake a new security testing and evaluation process to help protect users.	11.2 開発者は、AI システムのメジャーアップデートを新バージョンのモデルが開発されたかのように扱うべきであり、したがって、ユーザを保護するために新たなセキュリティテストと評価プロセスを実施すべきである。
11.3 Developers should support System Operators to evaluate and respond to model changes, (for example by providing preview access via beta-testing and versioned APIs).	11.3 開発者は、システム運用者がモデルの変更を評価し対応できるよう支援すべきである（例えば、ベータテストやバージョン管理されたAPIによるプレビューアクセスをプロバイダとして提供する）。
Principle 12: Monitor your system’s behaviour	原則12：システムの振る舞いを監視する
Primarily applies to: Developers and System Operators	主に次の者に適用される： 開発者、システム運用者
[OWASP 2024, WEF 2024, Nvidia 2023, ENISA 2023, BSI1 2023, Cisco 2022, Deloitte 2023, G7 2023, Amazon 2023, ICO 2020]	[OWASP 2024, WEF 2024, Nvidia 2023, ENISA 2023, BSI1 2023, Cisco 2022, Deloitte 2023, G7 2023, Amazon 2023, ICO 2020].
12.1 System Operators shall log system and user actions to support security compliance, incident investigations, and vulnerability remediation.	12.1 システムオペレータは、セキュリティコンプライアンス、インシデント調査、脆弱性是正を支援するために、 システムとユーザのアクションを記録する。
12.2 System Operators should analyse their logs to ensure that AI models continue to produce desired outputs and to detect anomalies, security breaches, or unexpected behaviour over time (such as due to data drift or data poisoning).	12.2 システム運用者は、AI モデルが望ましい出力を生成し続けることを確認し、（データ・ドリフトや データ・ポイズニングなどによる）時間の経過に伴う異常、セキュリティ侵害、または予期せぬ挙動を検知 するために、ログを分析すること。
12.3 System Operators and Developers should monitor internal states of their AI systems where this could better enable them to address security threats, or to enable future security analytics.	12.3 システム運用者と開発者は、セキュリティ上の脅威に対処するため、あるいは将来のセキュリティ分析を可能にするために、AI システムの内部状態を監視すべきである。
12.4 System Operators and Developers should monitor the performance of their models and system over time so that they can detect sudden or gradual changes in behaviour that could affect security.	12.4 システム運用者と開発者は、セキュリティに影響を及ぼす可能性のある挙動の突然の変化や漸進的な変化を検知できるように、モデルやシステムの性能を経時的に監視すべきである。
Secure End of Life	安全な廃止
Principle 13: Ensure proper data and model disposal	原則13：適切なデータとモデルの廃棄を確実に行う
Primarily applies to: Developers and System Operators	主に次の者に適用される： 開発者、システム運用者
13.1 If a Developer or System Operator decides to transfer or share ownership of training data and/or a model to another entity they shall involve Data Custodians and securely dispose of these assets. This will protect AI security issues that may transfer from one AI system instantiation to another.	13.1 開発者又はシステム運用者が、トレーニングデータ及び／又はモデルの所有権を他の事業体に譲渡又は 共有することを決定した場合、データ管理者を関与させ、これらの資産を安全に廃棄しなければならない。これにより、ある AI システムのインスタンスから別の AI システムへ移行する可能性のある AI のセキュリティ問題を保護することができる。
13.2 If a Developer or System Operators decides to decommission a model and/or system, they shall involve Data Custodians and securely delete applicable data and configuration details.	13.2 開発者またはシステム運用者がモデルおよび／またはシステムの廃止を決定した場合、データ管 理者を関与させ、該当するデータと設定の詳細を安全に削除しなければならない。

 

 

---

意見募集時...

↓

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.06 英国 意見募集：AIのサイバーセキュリティ (2024.08.02)

 

AIのセキュリティリスク...

・2024.06.27 英国 国家サイバーセキュリティセンター 人工知能 (AI) のサイバーセキュリティに関する研究 (2024.05.15)

 

経済産業省 産業データの越境データ管理等に関するマニュアル (2025.01.27)

こんにちは、丸山満彦です。

経済産業省が、「産業データの越境データ管理等に関するマニュアル」を公表していますね...

---

本マニュアルは、企業が国際的なデータ共有・利活用を行う上で直面する主要なリスクを把握し、適切な打ち手を検討するための指針となります。

---

とのことです...

 

前提として、次のようなことがあるのでしょうかね...

・データが国際的に自由に流通し、政府によるガバメントアクセスがなければ、産業は発展し、人類は幸福になれる...

ただし、人権の問題に関係する可能性があるので、

・個人データの国際的な移転には一定の制約があっても仕方がない...

というかんじでしょうかね...

それに加えて近年では、安全保障上の観点から、

・安全保障に関わるデータの移転には一定の制約があっても仕方がない...

ということもあるのでしょうかね...

 

そういうふうに考えると、

・社会として、経済成長、人権、安全保障のバランスをどのようにとるのか？ということによって、どのような制度が適切かというのが変わってくるのでしょうね...

日本はどのような社会を目指すのか？その価値観をどのように世界に広げていくのか？

そういう問題のような気もしますね...

 

報告書の「背景と目的」には次のように記載されています...

 

---

⚫ IoT や DX の普及、サプライチェーン透明化の要請等を背景に、企業における国際的なデータ共有・利活用の動きが拡大している。また、EU の GAIA-X 等をはじめ、産業横断でのデータプラットフォーム・基盤構築の動きも加速しており、我が国でも企業や業界、国境を越えたデータ連携を実現する取組である 「ウラノス・エコシステム」が推進されている。

⚫ 国際的なデータ共有・利活用の拡大と同時に、各国・地域においてデータに関する法制の整備も進められている。それらの中には、個人情報を含むか否かを問わず、企業が保有する産業データ全般を対象として、データの越境移転の制限（データローカライゼーション）や、政府による広範なアクセス（ガバメントアクセス）を可能とする規則も存在し、こうした動きが加速していく可能性がある。

⚫ こうした規制は、国際的な企業活動における制約要因になることに加えて、中長期的に我が国の産業全体での競争力の強化及び企業横断でのデジタル基盤の確立・普及に影響を及ぼすことも懸念される。

⚫ こうした背景から、各国・地域における産業データのルール形成の動きを踏まえ、これまで議論が積み重ねられてきた個人情報保護法制以外のデータ関連法に焦点を当て、現状の把握と対応の在り方を議論する必要性が高まっている。

⚫ これを受け、企業における安全・安心な形でのデータ共有・利活用を実現し、付加価値の創出を促進することを目指し、企業における産業データの越境・国際流通に係るデータ管理（以下「越境データ管理」という。）の指針となるマニュアル（以下「本マニュアル」という。）を作成する。

⚫ 本マニュアルを通じ、企業が国際的なデータ共有・利活用に取り組む際の主要なリスクを把握するだけでなく、データ共有・利活用を通じた事業価値の創造や競争力強化に向けた適切な国際データガバナンスの考え方・プロセスの理解を深めることを目指す。加えて、個別企業におけるデータ共有・利活用の促進を通じて、中長期的な産業競争力の強化や、企業横断的なデジタル基盤の確立にも寄与することを狙う。

---

 

ということを考えると、それぞれの国においてデータ流通がどの程度自由に行われるような環境（法制度を含む）になっているのか？というのは、その国がどのような社会を目指そうとしているのか（経済成長、人権の尊重、安全保障のどれに重きを置こうとしているのか？）と程度問題なのだろうと思います。

 

● 経済産業省

・2025.01.27 企業の国際的なデータ共有・利活用を推進するための「産業データの越境データ管理等に関するマニュアル」を策定しました

 

・[PDF] 産業データの越境データ管理等に関するマニュアル

 

・[PDF] 参考資料A 打ち手のリスト

 

・[PDF] 参考資料B 産業データサブワーキンググループ提出資料集（企業事例と関連テーマの動向）

 

目次...

1 はじめに
1.1 背景と目的
1.2 想定読者と留意点

2 検討の範囲と位置付け
2.1 検討の範囲
 2.1.1 検討の前提
 2.1.2 検討の対象（プロセス、データ、リスク）
2.2 検討の位置付けと関連ガイドライン

3 越境データ管理の 3 つのステップ
3.1 全体像と検討のフレームワーク
3.2 第 1 のステップ（リスクの可視化）
 3.2.1 トランザクションの整理
 3.2.2 リスクシナリオの整理
3.3 第 2 のステップ（リスクの評価）
3.4 第 3 のステップ（打ち手の実施）
3.5 リスクと打ち手の整理

4 主要な関連法規制（EU・中国・米国）

5 想定リスクと打ち手
5.1 データ移転・事業活動の制限（データローカライゼーション）
5.2 データの強制的なアクセス（ガバメントアクセス）
5.3 データの共有・開示の義務化

6 終わりに

産業データサブワーキンググループ 委員等名簿

参考資料
参考資料 A 打ち手のリスト
参考資料 B 産業データサブワーキンググループ提出資料集（企業事例と関連テーマの動向）

---

 

関連リンク...

● 経済産業省

• 産業データサブワーキンググループ

● デジタル庁

• 国際データガバナンスアドバイザリー委員会
• 国際データガバナンス検討会
• DFFT（Data Free Flow with Trust：信頼性のある自由なデータ流通）

 

世界経済フォーラム (WEF) AIに関連する文書 (White Papeer) (2025.01.21)

こんにちは、丸山満彦です、

世界経済フォーラム (WEF) がAIに関連する文書 (White Papeer) をいくつか公表していますね...

 

Cross industry	業界横断的
Impact on industrial ecosystems	産業エコシステムへの影響
・AI in Action: Beyond Experimentation to Transform Industry	・AIの活用：実験を超えて産業を変革する
・Leveraging Generative AI for Job Augmentation and Workforce Productivity	・生成的AIを活用した業務拡張と労働生産性
・Artificial Intelligence’s Energy Paradox: Balancing Challenges and Opportunities	・人工知能のエネルギーパラドックス：課題と機会のバランス
・Artificial Intelligence and Cybersecurity: Balancing Risks and Rewards	・人工知能とサイバーセキュリティ：リスクと報酬のバランス
Regional specific	地域特有
Impact on regions	地域への影響
・Blueprint to Action: China’s Path to AI-Powered Industry Transformation	・行動への青写真：AIによる産業変革への中国の道
Industry or function specific	業界または機能特有
Impact on industries, sectors and functions	産業、セクター、機能への影響
Advanced manufacturing and supply chains	先進的な製造事業者およびサプライチェーン
・Frontier Technologies in Industrial Operations: The Rise of Artificial Intelligence Agents	・産業運営におけるフロンティア技術：人工知能エージェントの台頭
Financial services	金融サービス
・Artificial Intelligence in Financial Services	・金融サービスにおける人工知能
Media, entertainment and sport	メディア、エンターテインメント、スポーツ
・Artificial Intelligence in Media, Entertainment and Sport	・メディア、エンターテインメント、スポーツにおける人工知能
Healthcare	ヘルスケア
・The Future of AI-Enabled Health: Leading the Way	・AIを活用したヘルスケアの未来：新たな道を切り開く
Transport	輸送
・Intelligent Transport, Greener Future: AI as a Catalyst to Decarbonize Global Logistics	・インテリジェント輸送、より環境にやさしい未来：グローバルな物流の脱炭素化を促進する触媒としてのAI
Telecommunications	電気通信
(upcoming)	（作成中）
・Consumer goods	消費財
(upcoming)	（作成中）

 

 

 

---

AIとリスクの部分...

・2025.01.21 Download the Artificial Intelligence and Cybersecurity: Balancing Risks and Rewards report

Download the Artificial Intelligence and Cybersecurity: Balancing Risks and Rewards report	「人工知能とサイバーセキュリティ：リスクと利益のバランス」レポートをダウンロード
Amid a business landscape that is increasingly focused on responsible innovation, this report offers a clear executive perspective on managing artificial intelligence (AI)-related cyber risks. It empowers leaders to invest and innovate in AI with confidence and exploit emerging opportunities for growth. A central question is explored throughout the report: How can organizations reap the benefits of AI adoption while mitigating the associated cybersecurity risks?	責任あるイノベーションにますます重点が置かれるビジネス環境において、本レポートは、人工知能（AI）関連のサイバーリスクの管理に関する明確な経営陣の視点を提供している。これにより、リーダーは自信を持ってAIへの投資とイノベーションを行い、成長の新たな機会を活かすことができる。本レポートでは、中心的な問いが探求されている。すなわち、企業は、関連するサイバーセキュリティリスクを緩和しながら、AI導入のメリットをどのように享受できるのか？
This publication was developed in collaboration with the University of Oxford’s Global Cyber Security Capacity Centre to steer global leaders’ strategies and decision-making on cyber risks and opportunities regarding AI adoption. It is part of the AI Governance Alliance’s AI Transformation of Industries initiative that seeks to catalyse responsible industry transformation by exploring the strategic implications, opportunities and challenges of promoting AI-driven innovation across business and operating models.	この報告書は、オックスフォード大学グローバル・サイバーセキュリティ・キャパシティ・センターとの共同作業により作成されたもので、AI導入に関するサイバーリスクと機会に対する世界のリーダーたちの戦略と意思決定を導くことを目的としている。これは、AI主導のイノベーションをビジネスとオペレーティングモデル全体に推進することの戦略的影響、機会、課題を調査することで、責任ある産業変革を促進することを目指すAIガバナンス・アライアンスの「AIによる産業変革」イニシアティブの一環である。

 

・2025.01.25 Securing innovation: A leader’s guide to managing cyber risks from AI adoption

Securing innovation: A leader’s guide to managing cyber risks from AI adoption	イノベーションの確保：AI導入によるサイバーリスク管理に関するリーダーのためのガイド
・Leaders must embed cybersecurity at every stage of artificial intelligence (AI) adoption to safeguard sensitive data, ensure resilience and enable responsible innovation.	・リーダーは、人工知能（AI）導入のあらゆる段階でサイバーセキュリティを組み込むことで、機密データを保護し、レジリエンスを確保し、責任あるイノベーションを実現しなければならない。
・A risk-reward approach aligns AI adoption with organizational goals by identifying vulnerabilities, mitigating risks and reinforcing stakeholder trust.	・リスクとリターンのアプローチでは、脆弱性を識別し、リスクを緩和し、利害関係者の信頼を強化することで、AI導入を組織目標と整合させる。
・Multistakeholder collaboration among AI experts, regulators, and policymakers is essential to addressing AI-driven vulnerabilities and building confidence in AI technologies.	・AI専門家、規制当局、政策立案者によるマルチステークホルダーの協力は、AIがもたらす脆弱性への対応とAI技術への信頼構築に不可欠である。
In the digital-first world, using artificial intelligence (AI) systems has become a cornerstone of organizational innovation and operational efficiency. However, as leaders drive transformation, cybersecurity must remain paramount.	デジタルを第一に考える世界では、人工知能（AI）システムの利用は組織の革新と業務効率の要となっている。しかし、リーダーが変革を推進する中で、サイバーセキュリティは最優先事項であり続けなければならない。
AI systems are not immune to vulnerabilities, including adversarial attacks, data poisoning, and the hacking of sensitive algorithms. Leaders must recognize that integrating AI magnifies their organization’s attack surface, making robust cybersecurity measures non-negotiable.	AIシステムは、敵対的攻撃、データ・ポイズニング、機密アルゴリズムのハッキングなどの脆弱性に対して無防備である。リーダーは、AIを統合することで組織の攻撃対象領域が拡大し、強固なサイバーセキュリティ対策が不可欠になることを認識しなければならない。
In 2024, the World Economic Forum’s Centre for Cybersecurity joined with the University of Oxford’s Global Cyber Security Capacity Centre University of Oxford, on the AI & Cyber: Balancing Risks and Rewards initiative to steer global leaders’ strategies and decision-making on cyber risks and opportunities regarding AI adoption.	2024年、世界経済フォーラムのサイバーセキュリティセンターは、オックスフォード大学のグローバルサイバーセキュリティ能力センターと共同で、AIの導入に関するサイバーリスクと機会について、世界のリーダーたちの戦略と意思決定を導くための「AIとサイバー：リスクと報酬のバランス」イニシアティブを開始した。
The research culminated in the white paper Industries in the Intelligent Age - Artificial Intelligence & Cybersecurity: Balancing Risks and Rewards, published in January 2025. This paper is a guide for managing the cyber risks of AI adoption. It empowers leaders to invest in and innovate in AI with security and resilience in mind to exploit emerging growth opportunities.	この研究は、2025年1月に発表されたホワイトペーパー『インテリジェント時代の産業 - 人工知能とサイバーセキュリティ：リスクとリワードのバランス』として結実した。このペーパーは、AI導入に伴うサイバーリスクの管理ガイドである。リーダーがセキュリティとレジリエンシーを念頭にAIへの投資とイノベーションを行い、新たな成長機会を活かすことを可能にする。
To unlock AI’s full potential, developing a comprehensive understanding of the related cyber risks and required mitigation measures is essential.	AIの潜在能力を最大限に引き出すには、関連するサイバーリスクと必要な緩和策について包括的な理解を深めることが不可欠である。
Have you read?	こちらも
・4 ways data and AI tip the cybersecurity scales towards the defenders	・データとAIがサイバーセキュリティの天秤を防御側に傾ける4つの方法
・Davos 2025: What to expect and who's coming?	・2025年ダボス会議：期待される内容と参加者は？
The critical need for cybersecurity	サイバーセキュリティの喫緊の必要性
The Global Cybersecurity Outlook 2025 reveals that 66% of organizations expect AI to significantly impact cybersecurity in the coming year. Yet, only 37% have processes to evaluate the security of AI systems before deployment.	グローバル・サイバーセキュリティ・アウトルック2025によると、66%の企業が、AIが来年のサイバーセキュリティに大きな影響を与えると予測している。しかし、AIシステムの展開前にそのセキュリティを評価するプロセスを持っている企業は37%にとどまっている。
This gap highlights a risk that organizations adopt AI systems without fully assessing and addressing the related cybersecurity risks, potentially exposing vulnerabilities in their environments.	このギャップは、組織が関連するサイバーセキュリティリスクを十分にアセスメントおよび対処することなくAIシステムを採用し、環境に潜在する脆弱性を露呈するリスクを浮き彫りにしている。
Leaving AI systems susceptible to data breaches, algorithm manipulation or other hostile activity could lead to significant operational and reputational damage. By assessing and mitigating cyber risks, leaders can align AI adoption with organizational goals and resilience needs.	AIシステムをデータ漏洩、アルゴリズム操作、その他の敵対的行為に対して脆弱なままにしておくと、業務や評判に重大な損害をもたらす可能性がある。サイバーリスクをアセスメントし緩和することで、リーダーはAIの導入を組織の目標やレジリエンシーのニーズに一致させることができる。
Moreover, the data that fuels AI models is often proprietary or sensitive, and compromise could mean financial loss or penalties and negatively reflect on the organization. From ensuring secure data pipelines to implementing stringent access controls, cybersecurity should be embedded at every stage of the AI lifecycle.	さらに、AIモデルの燃料となるデータは、多くの場合、機密情報やセンシティブな情報であるため、侵害された場合、金銭的な損失や罰則につながり、組織に悪影響を及ぼす可能性がある。安全なデータパイプラインの確保から厳格なアクセス管理の実施まで、サイバーセキュリティはAIのライフサイクルのあらゆる段階に組み込まれるべきである。
A clear guide to addressing these risks is essential for informed decision-making and ensuring strategic choices are secure and regulatory compliant. This also reinforces trust among stakeholders, allowing sustainable and responsible AI-driven growth	これらのリスクに対処するための明確な指針は、情報に基づいた意思決定を行う上で不可欠であり、戦略的な選択肢が安全で規制に準拠していることを保証する。また、これはステークホルダー間の信頼を強化し、持続可能で責任あるAI主導の成長を可能にする
Leaders must champion a culture where cybersecurity is not considered a barrier to innovation but a foundational pillar for sustainable growth. Senior risk owners also have a critical role in implementing oversight and control of AI-related cyber risks and proactively managing them.	リーダーは、サイバーセキュリティをイノベーションの妨げではなく、持続可能な成長の基盤となる柱として捉える文化を推進しなければならない。また、上級リスク管理責任者は、AI関連のサイバーリスクの監視と管理を実施し、それらを積極的に管理する上で重要な役割を担っている。
Strategically aligning AI initiatives with a robust cybersecurity framework also reassures stakeholders, from customers to investors, of the organization’s commitment to safeguarding digital assets.	AIイニシアティブを堅牢なサイバーセキュリティの枠組みと戦略的に整合させることで、顧客から投資家まで、組織がデジタル資産の保護に尽力していることを利害関係者に安心感を与えることができる。
By prioritizing these considerations, top executives protect their enterprises and position them as trusted, resilient and forward-thinking players.	経営幹部は、これらの考慮事項を優先することで、自社を防御し、信頼性が高く、レジリエンシーを備え、先見性のある企業として位置づけることができる。
A risk-based approach	リスクベースのアプローチ
Taking a risk-based approach is critical for secure AI adoption. Organizations must assess potential vulnerabilities and risks that AI might introduce in light of the opportunities it brings, evaluate the possible negative impacts on the business and identify the necessary controls to mitigate these risks.	AIの安全な導入には、リスクベースのアプローチが不可欠である。企業は、AIがもたらす機会を踏まえて、AIがもたらす可能性のある潜在的な脆弱性やリスクをアセスメントし、ビジネスに及ぼす可能性のある悪影響を評価し、それらのリスクを緩和するために必要なコントロールを識別しなければならない。
This approach ensures that AI initiatives align with the organization's overall business goals and remain within the scope of its risk tolerance.	このアプローチにより、AIの取り組みが組織の全体的な事業目標に沿うようにし、リスク許容範囲内に収めることができる。
Embedding cybersecurity throughout AI deployment	AI展開全体にサイバーセキュリティを組み込む
All organizations should address AI-related cyber risks regardless of where they are in the AI adoption journey. Businesses already using AI should map their implementations and apply bolt-on security solutions.	すべての組織は、AI導入の段階に関わらず、AIに関連するサイバーリスクに対処すべきである。すでにAIを使用している企業は、実装内容をマッピングし、ボルトオン型のセキュリティソリューションを適用すべきである。
Other scenarios may require a risk-reward analysis to determine whether AI implementation aligns with operational and business goals. This approach fosters security by design, ensuring AI adoption aligns with innovation and resilience.	その他のシナリオでは、AIの実装が業務目標や事業目標と一致しているかどうかを判断するために、リスクとリターンの分析が必要になる場合がある。このアプローチは、セキュリティ・バイ・デザインを促進し、AIの導入がイノベーションとレジリエンスと一致していることを保証する。
Have you read?	こちらも
・The new AI imperative is about balancing innovation and security	・新しいAIの必須事項は、イノベーションとセキュリティのバランスを取ること
・AI and cybersecurity: How to navigate the risks and opportunities	・AIとサイバーセキュリティ：リスクと機会をナビゲートする方法
Taking an enterprise view	エンタープライズ視点
AI systems do not exist in isolation. Organizations must consider how business processes and data flows around AI systems can reduce the impact of a cybersecurity failure.	AIシステムは孤立して存在しているわけではない。企業は、AIシステム周辺のビジネスプロセスやデータフローが、サイバーセキュリティの障害による影響をどのように軽減できるかを考慮する必要がある。
This involves integrating controls into wider governance structures and enterprise risk management processes.	これには、より広範なガバナンス構造やエンタープライズリスクマネジメントプロセスへの統制の統合が含まれる。
Collaborative responsible innovation	協調的な責任あるイノベーション
To harness AI’s benefits, organizations must adopt a multistakeholder approach toward prioritizing risk-reward analysis and cybersecurity. This ensures resilience, safeguards investments and supports responsible innovation.	AIのメリットを活用するには、企業はリスクとリターンの分析とサイバーセキュリティの優先順位付けにマルチステークホルダーのアプローチを採用する必要がある。これにより、レジリエンシーが確保され、投資が保護され、責任あるイノベーションがサポートされる。
Collaboration between AI and cybersecurity experts, regulators, and policymakers is crucial to aligning tools, sharing best practices, and establishing accountability. This joint approach can address AI-driven vulnerabilities while fostering trust and confident innovation.	AIとサイバーセキュリティの専門家、規制当局、政策立案者との連携は、ツールの調整、ベストプラクティスの共有、説明責任の確立に不可欠である。この共同アプローチは、AIがもたらす脆弱性に対処すると同時に、信頼と確信に基づくイノベーションを促進することができる。
Have you read?	こちらも
Why we need cybersecurity of AI: ethics and responsible innovation	AIのサイバーセキュリティが必要な理由：倫理と責任あるイノベーション
This work was developed in collaboration with the AI Governance Alliance – launched in June 2023 – to provide guidance on the responsible design, development and deployment of artificial intelligence systems. Read more on its work here.	この取り組みは、2023年6月に発足したAIガバナンス・アライアンスとの共同作業として行われたもので、人工知能システムの責任ある設計、開発、展開に関する指針を提供することを目的としている。同アライアンスの取り組みについてはこちらで詳しく読むことができる。
Additional contributors to this article include Louise Axon, Research Fellow, Global Cyber Security Capacity Centre, University of Oxford; Joanna Bouckaert, Community Lead, Centre for Cybersecurity, World Economic Forum; and Jamie Saunders, Oxford Martin Fellow, University of Oxford.	この記事の執筆に協力したその他の人物には、オックスフォード大学グローバル・サイバーセキュリティ・キャパシティ・センター研究員ルイーズ・アクソン、世界経済フォーラム・サイバーセキュリティセンター・コミュニティ・リードのジョアンナ・ブーカート、オックスフォード大学オックスフォード・マーティン・フェローのジェイミー・サンダースが含まれる。

 

・[PDF] Artificial Intelligence and Cybersecurity: Balancing Risks and Rewards

Foreword	まえがき
Executive summary	エグゼクティブサマリー
Introduction: The scope	序文：スコープ
1 The context of AI adoption – from experimentation to full business integration	1 AI導入の背景 - 実験段階から本格的なビジネスへの統合へ
2 Emerging cybersecurity practice for AI	2 AIのための新たなサイバーセキュリティ対策
2.1 Shift left	2.1 シフトレフト
2.2 Shift left and expand right	2.2 シフトレフトおよびシフトライト
2.3 Shift left, expand right and repeat	2.3 シフトレフト、シフトライト、そして繰り返し
2.4 Taking an enterprise view	2.4 エンタープライズ視点
3 Actions for senior leadership	3 シニアリーダーシップのための行動
4   Steps towards effective management of AI cyber risk	4 AIサイバーリスクの効果的な管理に向けたステップ
4.1  Understanding how the organization’s context influences the AI cyber risk	4.1 組織の状況がAIサイバーリスクに与える影響の理解
4.2  Understanding the rewards	4.2 報酬の理解
4.3  Identifying the potential risks and vulnerabilities	4.3 潜在的なリスクと脆弱性の識別
4.4  Assessing potential negative impacts to the business	4.4 ビジネスへの潜在的な悪影響のアセスメント
4.5  Identifying options for risk mitigation	4.5 リスク緩和の選択肢の識別
4.6  Balancing residual risk against the potential rewards	4.6 潜在的な報酬に対する残存リスクのバランス
4.7  Repeat throughout the AI life cycle	4.7 AIのライフサイクル全体を通じて繰り返し実施
Conclusion	結論
Contributors	貢献者
Endnotes	脚注

 

 

エグゼクティブサマリー...

Executive summary	エグゼクティブサマリー
A secure approach to AI adoption can allow organizations to innovate confidently.	AI導入に対する安全なアプローチにより、組織は自信を持ってイノベーションを実現できる。
AI technologies offer significant opportunities, and their application is becoming increasingly prevalent across the economy. As AI system compromise can have serious business impacts, organizations should adjust their approach to AI if they are to securely benefit from its adoption. Several foundational features capture best practices for securing and ensuring the resilience of AI systems:	AI技術は大きな可能性を提供しており、その応用は経済全体でますます広がっている。AIシステムの侵害はビジネスに深刻な影響を及ぼす可能性があるため、組織はAI導入から安全に利益を得るためには、AIに対するアプローチを調整する必要がある。AIシステムのセキュリティ確保とレジリエンシー（回復力）の確保に役立つベストプラクティスをいくつかの基本機能が捉えている。
1.   Organizations need to apply a risk-based approach to AI adoption.	1. 組織はAI導入にリスクベースのアプローチを適用する必要がある。
2.   A wide range of stakeholders need to be involved in managing the risks end-to-end within the organization. A cross-disciplinary AI risk function is required, involving teams such as legal, cyber, compliance, technology, risk, human resources (HR), ethics and relevant front-line business units according to specific needs and contexts.	2. 組織内のエンドツーエンドのリスクマネジメントには、幅広い利害関係者の関与が必要である。 特定のニーズや状況に応じて、法務、サイバーセキュリティ、コンプライアンス、テクノロジー、リスク、人事（HR）、倫理、関連する第一線業務部門などのチームを巻き込んだ、学際的なAIリスク機能が必要である。
3.   An inventory of AI applications can help organizations to assess how and where AI is being used within the organization, including whether it is part of the mission-critical supply chain, helping reduce “shadow AI” and risks related to the supply chain.	3. AIアプリケーションのインベントリを作成することで、組織内でAIがどのように、どこで使用されているかを評価し、AIがミッションクリティカルなサプライチェーンの一部であるかどうかを判断し、「シャドーAI」やサプライチェーンに関連するリスクを低減することができる。
4.   Organizations need to ensure adequate discipline in the transition from experimentation to operational use, especially in missioncritical applications.	4. 組織は、特にミッションクリティカルなアプリケーションにおいて、実験段階から実運用への移行に際して適切な規律を確保する必要がある。
5.   Organizations should ensure that there is adequate investment in the essential cybersecurity controls needed to protect AI systems and ensure that they are prepared to respond to and recover from disruptions.	5. 企業は、AIシステムを防御するために必要なサイバーセキュリティ対策に十分な投資を行い、混乱への対応と復旧の準備を整える必要がある。
6.   It is necessary to combine both pre-deployment security (i.e. the “security by design” principle – also called “shift left”) and post-deployment measures to monitor and ensure resilience and recovery of the systems in use (referred to in this report as “expand right”). As the technology evolves, this approach needs to be repeated throughout the life cycle. This overall approach is described in the report as “shift left, expand right and repeat”.	6. 展開前のセキュリティ対策（すなわち「セキュリティ・バイ・デザイン」の原則、または「シフトレフト」とも呼ばれる）と、展開後の使用中のシステムのレジリエンスとリカバリーを監視し、確保するための対策（本報告書では「エクスパンドリフト」と呼ぶ）の両方を組み合わせる必要がある。技術が進化するにつれ、このアプローチはライフサイクル全体を通じて繰り返される必要がある。この全体的なアプローチは、本報告書では「シフトレフト、エクスパンドリフト、リピート」と表現されている。
7.   Technical controls around the AI systems themselves need to be complemented by people- and process-based controls on the interface between the technology and business operations.	7. AIシステム自体の技術的制御は、テクノロジーと業務運営の間のインターフェースにおける人およびプロセスベースの制御によって補完される必要がある。
8.   Care needs to be paid to information governance – specifically, what data will be exposed to the AI and what controls are needed to ensure that organizational data policies are met.	8. 情報ガバナンスに注意を払う必要がある。具体的には、どのようなデータがAIに公開されるのか、また、組織のデータポリシーが確実に遵守されるためにどのような制御が必要なのか、ということである。
It is crucial for top leaders to define key parameters for decision-making on AI adoption and associated cybersecurity concerns. This set of questions can guide them in assessing their strategies:	AIの導入と関連するサイバーセキュリティの懸念に関する意思決定の主要パラメータを定義することは、経営陣にとって極めて重要である。この一連の質問は、彼らの戦略を評価する際に役立つ。
1.   Has the appropriate risk tolerance for AI been established and is it understood by all risk owners?	1. AIに対する適切なリスク許容度が確立され、すべてのリスク管理者が理解しているか？
2.   Are risks weighed against rewards when new AI projects are considered?	2. 新しいAIプロジェクトを検討する際に、リスクと利益が比較されているか？
3.   Is there an effective process in place to govern and keep track of the deployment of AI projects?	3. AIプロジェクトの展開を管理し、追跡する効果的なプロセスが確立されているか？
4.   Is there clear understanding of organizationspecific vulnerabilities and cyber risks related to the use or adoption of AI technologies?	4. 組織特有の脆弱性とAI技術の利用または導入に関連するサイバーリスクについて明確に理解しているか？
5.   Is there clarity on which stakeholders need to be involved in assessing and mitigating the cyber risks of AI adoption?	5. AI導入のサイバーリスクのアセスメントと緩和にどのステークホルダーが関与する必要があるか明確になっているか？
6.   Are there assurance processes in place to ensure that AI deployments are consistent with the organization’s broader organizational policies and legal and regulatory obligations?	6. AIの展開が組織のより広範な組織方針および法的・規制上の義務と一致していることを保証する保証プロセスが整備されているか？
By prioritizing cybersecurity and mitigating risks, organizations can safeguard their investments in AI and support responsible innovation. A secure approach to AI adoption not only strengthens resilience but also reinforces the value and reliability of these powerful technologies.	サイバーセキュリティを優先し、リスクを緩和することで、組織はAIへの投資を保護し、責任あるイノベーションを支援することができる。AI導入に対する安全なアプローチは、レジリエンスを強化するだけでなく、これらの強力なテクノロジーの価値と信頼性を強化する。